サイト内検索

My Photo
August 2022
Sun Mon Tue Wed Thu Fri Sat
  1 2 3 4 5 6
7 8 9 10 11 12 13
14 15 16 17 18 19 20
21 22 23 24 25 26 27
28 29 30 31      

Recent Trackbacks

連載 (ITmedia)

ウェブページ

« March 2021 | Main | May 2021 »

April 2021

2021.04.30

総務省 パブコメ 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集

こんにちは、丸山満彦です。

総務省が、「組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)」に対する意見募集をしていますね。。。

eシールについて、レベルを3段階に分けていますね。。。

 

総務省

・2021.04.30 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)及びeシールに係る指針(案)に対する意見募集

・[PDF] 組織が発行するデータの信頼性を確保する制度に関する検討会取りまとめ(案)

20210430-155251

 

・[PDF] eシールに係る指針(案)

20210430-155225



目 次

本指針の目的

第1章 e シールとは
1.1 我が国における e シールの定義
1.2 e シールと電子署名の異同
1.3 e シールのユースケース
1.4 e シールの仕組み
1.5 e シールの方式(ローカル/リモート)
 1.5.1 ローカル e シール
 1.5.2 リモート e シール

第2章 我が国における e シールの在り方
2.1 e シールの分類
2.2 e シール用電子証明書の発行対象となる組織等の範囲
2.3 組織等の実在性・申請意思の確認の方法
2.4 e シール用電子証明書のフォーマット及び記載事項
2.5 認証局/利用者の秘密鍵の管理に係る基準
 2.5.1 認証局の秘密鍵の管理
 2.5.2 利用者の秘密鍵の管理
2.6 e シールを大量に行う際の処理
2.7 リモート e シールにおける認証
 2.7.1 リモート e シールを行う際の認証
 2.7.2 鍵認可で使用する要素の管理
2.8 利用者における e シール用電子証明書の失効要求

おわりに

■ 関連

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.07 備忘録:内閣府 押印手続の見直し・電子署名の活用促進について

・2021.03.12 ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

・2021.02.17 ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)

・2021.02.10 内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。

・2020.12.25 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.12.06 ENISA 第19条専門家グループ第16回会合:eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

・2020.11.13 JIPDEC 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」資料公開

・2020.04.21 会社認印電子版?=>総務省 組織が発行するデータの信頼性を確保する制度に関する検討会

・2020.04.16 ENISA eIDと信託サービスにおけるENISAの役割

・2020.03.24 総務省 「タイムスタンプ認定制度に関する検討会」の開催

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

2021.04.30 16:08 in 情報セキュリティ / サイバーセキュリティ, in パブコメ, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

こんにちは、丸山満彦です。

NISCの重要インフラチームがが連休を前に、「ランサムウエアによるサイバー攻撃に関する注意喚起について」を発表していますね。。。

万が一被害に遭った場合は、被害拡大防止の観点から、一人で解決しようとせず、警察など関係機関に御相談ください。

 

NISC

・2021.04.30 [PDF] ランサムウエアによるサイバー攻撃に関する注意喚起について

20210430-154438

 

端末やサーバ等のデータを暗号化し身代金を要求し、身代金を払わない場合は搾取した個人情報や機密情報を公表するぞと脅す、いわゆる二重脅迫が行われるケースも増えてきているので、厄介な問題ですよね。。。

チェックポイント等も記載してくれているので、参考になりますかね。。。

 

会社名 脆弱性 CVE(NIST) 参考URL
Fortinet 製  Virtual Private Network(VPN)装置 CVE-2018-13379 https://www.nisc.go.jp/active/infra/pdf/fortinet20201203.pdf
Ivanti 製  VPN 装置 Pulse Connect Secure CVE-2021-22893
CVE-2020-8260
CVE-2020-8243
CVE-2019-11510		 https://blog.pulsesecure.net/pulse-connect-secure-security-update/
Citrix 製 Citrix Application Delivery Controller
Citrix Gateway
Citrix SD-WAN WANOP		 CVE-2019-19781 https://support.citrix.com/article/CTX267027
Microsoft  Exchange Server  CVE-2021-26855 https://msrc-blog.microsoft.com/2021/03/02/multiple-security-updates-released-for-exchange-server/
SonicWall  Secure Mobile Access (SMA) 100 シリーズ CVE-2021-20016 https://psirt.global.sonicwall.com/vuln-detail/SNWLID-2021-0001
QNAP Systems 製  NAS(Network Attached Storage)製品 QNAP CVE-2021-28799
CVE-2020-36195
CVE-2020-2509		 https://www.qnap.com/en/security-news/2021/response-to-qlocker-ransomware-attacks-take-actions-to-secure-qnap-nas
Microsoft Windows のドメインコントローラー CVE-2020-1472 https://msrc.microsoft.com/update-guide/ja-jp/vulnerability/CVE-2020-1472

2021.04.30 15:46 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in ウイルス, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

MITRE ATT&CKのVer 9.0がリリースされましたね。。。

こんにちは、丸山満彦です。

MITRE ATT&CKのVer 9.0がリリースされましたね。。。

主な変更点はブログを見ればわかりやすいと思います。。。、まだ追いきれていませんが...(^^;;

MITRE ATT&CK

概要はBlogがわかりやすいです。

・2021.04.29 Data Sources, Containers, Cloud, and More: What’s New in ATT&CK v9? by Jamie Williams

Updated: A revamp of data sources (Episode 1 of 2) 更新:データソースの刷新(第1話/第2話)
Updated: Some refreshes to macOS techniques 更新:macOSの操作方法を一部変更しました。
New: Consolidation of IaaS platforms 新規: IaaSプラットフォームの統合
New: The Google Workspace platform 新規:Google Workspaceプラットフォーム
New: ATT&CK for Containers (and not the kind on boats) 新規:コンテナ(船の上にあるものではありません)のためのATT&CK

 

詳細はこちら。。。

Updates - April 2021

 

Twitter (MITRE ATT&CK) でも告知されています...

2021.04.29 

 

 

■ 関連

● まるちゃんの情報セキュリティきまぐれ日記

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

2021.04.30 15:33 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 危機管理 / 事業継続, in クラウド | | Comments (0)

NISC 政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)

こんにちは、丸山満彦です。

NISCから、政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)等の発表がありましたね。。。

● NISC

・2021.04.30 [PDF] 政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン)【概要資料】 

20210430-145041

・2021.04.30 [PDF] 政府機関・地方公共団体等における業務でのLINE利用状況調査を踏まえた今後のLINEサービス等の利用の際の考え方(ガイドライン) 

20210430-144941

 

・2021.04.30 [PDF] 政府機関等における業務でのLINE利用状況調査のまとめについて 

20210430-144948

 

2021.04.30 14:55 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続 | | Comments (0)

NISC 「政府機関等における情報システム運用継続計画ガイドライン」の改定について

こんにちは、丸山満彦です。

NISCから「政府機関等における情報システム運用継続計画ガイドライン(第3版)」と「同 付録(第2版)」が公表されていますね。。。8年ぶりの改訂ですね。。。

平成24年5月に内閣官房情報セキュリティセンターが改定した「中央省庁における情報システム運用継続計画ガイドライン(以下「本ガイドライン」という。)」について、感染症の流行及び技術動向の変化を踏まえて改定しましたので、お知らせいたします。

...

改訂履歴

  • 2021年4月
      感染症の流行及び技術動向の変化に係る内容を追加し、利便性向上を目的に構成を見直しました。また、「政府機関等の情報セキュリティ対策のための統一基準群(平成30年度版)」との整合性を図り、対象組織に独立行政法人及びサイバーセキュリティ戦略本部が指定する法人を加えました。

ということのようです...

 

● NISC

・2021.04.28 政府機関等における情報システム運用継続計画ガイドライン」の改定について

 ・[PDF] 政府機関等における情報システム運用継続計画ガイドライン(第3版)

20210430-143148

 ・[PDF] 同 付録(第2版)

20210430-143201

どこが変わったか見比べないとよくわからない..(^^;;

2021.04.30 14:41 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in (temp)COVID-19 | | Comments (0)

G7:デジタルと技術 閣僚宣言

こんにちは、丸山満彦です。

G7のデジタル関係大臣によって、6月に開催されるサミットに向けて閣僚宣言が出されていますね。。。議長国が英国だったので、英国政府のウェブページに掲載されていますね。。。

● 2021.04.28 (press) G7 tech leaders agree bold new proposals to boost online safety worldwide

An ambitious vision to put technology at the heart of global efforts to build back better from the pandemic has been signed by the world’s leading democracies.


世界の主要な民主主義国家が、パンデミックからの復興に向けたグローバルな取り組みの中心にテクノロジーを据えるという野心的なビジョンに署名しました。

ということで、日本も入っていますが、日本が取り残されなければ良いですけどね。。。

これから、子供がインターネットに関わっていくことを前提に、子供の保護や、若者の参加なども強調されていますね。。。(附属書3のインターネット安全原則)

 

さらに、海外取引を意識して貿易に関わる証券・手形(金融手形は除く)などの電子化も目指すようですね。(現在はコンテナ船による取引だけで250億の文書が1年間で取り交わされているようです...)

・2021.04.28 (notice) G7 Digital and Technology - Ministerial Declaration



・[PDF] Ministerial Declaration G7 Digital and Technology Ministers’ meeting - 28 April 2021

・G7デジタル・テクノロジー担当大臣会合 閣僚宣言

20210430-81334

・[PDF] Annex 1 - Framework for G7 collaboration on Digital Technical Standards

附属書1:デジタル技術標準に関するG7コラボレーションの枠組み

20210430-81345

・[PDF] Annex 2 - Roadmap for cooperation on Data Free Flow with Trust

附属書2:信頼性のあるデータ自由流通に関するG7コラボレーションのためのロードマップ

20210430-81356

・[PDF] Annex 3 - Internet Safety Principles

附属書3G7インターネット安全原則

20210430-81410

・[PDF] Annex 4 - Framework for G7 collaboration on Electronic Transferable Records

附属書4:電子記録に関するG7コラボレーションの枠組み

20210430-81420



4月30日の朝の段階では日本の外務省のページにはなかったように思います。。。そういえば、日本は誰が出たんでしょうね。。。平井大臣?

 

とりあえず、まとめて仮訳してみました・・・[DOCX]

 

■ 2021.05.01 追記

総務省から発表がありましたね(^^)

仮訳(本文のみ)もあります!

 

・2021.04.30 G7デジタル・技術大臣会合(テレビ会議)の開催結果

仮訳(本文のみ)

 

2021.04.30 09:21 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in (temp)COVID-19 | | Comments (0)

サイバーセキュリティに関する第3回ARF会期間会合の開催(結果)

こんにちは、丸山満彦です。

ASEAN地域フォーラム (ARF) のサイバーセキュリティに関する第3回会合 (The 3rd ARF Inter-Sessional Meeting on ICTs Security) が開催されたようですね。日本からは赤堀さん(赤堀毅外務省総合外交政策局審議官(国連・サイバー政策担当大使))が参加したようですね。。。

今回の議論は、

地域的・国際的なサイバーセキュリティ環境に対する見方や各国・地域の取組について意見交換を行った上で、国連等の国際社会における成果を踏まえ、今後取り組むべき信頼醸成措置等について議論し、その成果を会期間支援グループ会合(ISG)で報告することを確認しました。

ということのようです。。。「今後取り組むべき信頼醸成措置」について議論をしたとありますね。。。

● 外務省

・2021.04.29 (press) サイバーセキュリティに関する第3回ARF会期間会合の開催(結果)

・関連リンク


 

ASEAN Regional Forum

ASEAN

Asean

 


2021.04.30 05:36 in 情報セキュリティ / サイバーセキュリティ | | Comments (0)

U.S. FTC(連邦取引委員会) のブログ 取締役会に向けて「セキュリティにちゃんと注意を払いなさい」と記事を書いていますね。。。

こんにちは、丸山満彦です。

米国連邦政府の取引委員会(U.S. Federal Trade Commission: FTC)[wikipedia]のブログで色々と啓発活動をしています(前回はAIの話を紹介しましたね。。。)が、今回紹介するのは、「セキュリティは取締役会から始まる。君たちがちゃんとしなければ、会社のセキュリティは保てない、君たちの重要な仕事だよ」という内容で、正直言って、当たり前のことを堂々と書かれているので、反論する余地が無いような内容です(^^)

ということで、とても参考になりますね。。。

U.S. Federal Trade Commission: FTCTips & Advice  - Business Center - Business Blog 

・2021.04.28 Corporate boards: Don’t underestimate your role in data security oversight

FTCの調査によると調査対象の60%の企業の取締役会が来年度はセキュリティ予算を増やすと答えているようですね。。。技術的詳しいことがわからなくても、セキュリティ対策が経営課題であるということについての腹落ちがしているのでしょうね。。。

さて、FTCは、取締役会に向けて5つの推奨事項を紹介しています。

MAKE DATA SECURITY A PRIORITY. データセキュリティを優先する
UNDERSTAND THE CYBERSECURITY RISKS AND CHALLENGES YOUR COMPANY FACES. 自社が直面しているサイバーセキュリティのリスクと課題を理解する。
DON’T CONFUSE LEGAL COMPLIANCE WITH SECURITY. 法令遵守とセキュリティを混同しない。
IT’S MORE THAN JUST PREVENTION. セキュリティは単なる予防ではない。
LEARN FROM MISTAKES. 失敗から学ぶ。

 

Security begins with the Board of Directors

セキュリティは取締役会から始まる。

 

良い言葉です(^^)

 

Fec-seal

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

2021.04.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 危機管理 / 事業継続 | | Comments (0)

カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

こんにちは、丸山満彦です。

カーネギー大学ソフトウェア工学研究所

Carnegie Mellon University - Software Engineering Institute

・2021.04 Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization (Version 2.0)

CVSSが脆弱性についての数値をアウトプットとして出すのに対して、SSVCはとるべき対応をアウトプットして出すところがポイントですかね。。。現場の利用者としては、CVSSの数値を受け取ってもどのように対応すべきかについての判断がもう一段必要となっていたので、SSVCでは利用者に応じた対応を意思決定ツリーに従って導くことになっていますね。。。

これから普及していくのだろうと思います。。。

・[PDF

20211202-62557

Contents 目次
Introduction 序論
Current state of practice 実践の現状
Representing Information for Decisions About Vulnerabilities 脆弱性に関する意思決定のための情報表現
Formalization Options 形式化の選択肢
Decision Trees 決定木
Representation choices 表現方法の選択
Vulnerability Management Decisions 脆弱性管理の意思決定
Enumerating Stakeholders ステークホルダーの列挙
Enumerating Decisions 決定事項の列挙
Enumerating Vulnerability Management Actions 脆弱性管理アクションの列挙
Items With the Same Priority 同じ優先順位の項目
Risk Tolerance and Response Priority リスク許容度と対応の優先順位
Scope 範囲
Reasoning Steps Forward 推論のステップアップ
Likely Decision Points and Relevant Data 想定される判断材料と関連データ
Exploitation Exploitation
Technical Impact テクニカルインパクト
Utility 実用性
Automatable 自動化
Value Density 価値密度
Safety Impact 安全性への影響
Mission Impact ミッションへの影響
Human Impact 人間への影響
System Exposure システムへの影響
Decisions During Vulnerability Coordination 脆弱性の調整時の判断
Coordination Triage Decisions コーディネート トリアージの決定
Coordinator Decision Points コーディネーターの判断ポイント
Coordination Triage Decision Process コーディネーション・トリアージの決定プロセス
Publication Decision 出版決定
Prioritization 優先順位付け
Supplier Tree サプライヤーツリー
Deployer Tree デプロイメント・ツリー
Coordinator trees コーディネーターのツリー
Tree Construction and Customization Guidance ツリーの構築とカスタマイズのガイダンス
Guidance for Evidence Gathering エビデンス収集のガイダンス
Relationship to asset management 資産管理との関係
Development Methodology 開発方法のガイダンス
Guidance on Communicating Results 結果を伝えるためのガイダンス
Communication Formats コミュニケーションフォーマット
Partial or Incomplete Information 部分的または不完全な情報
Information Changes Over Time 時間の経過による情報の変化
Version 2 Changelog バージョン2の変更箇所
Coordinator stakeholder コーディネーター関係者
Terminology changes 用語の変更
Improvements to decision points ディシジョンポイントの改善
Tree management and communication tools ツリーの管理とコミュニケーションツール
Evaluation of the Draft Trees ドラフトツリーの評価
Pilot Methodology パイロット方法論
Pilot Results 試験結果
Improvements Instigated by the Pilot 試験的に導入された改善策
Worked Example 実施例
Related Vulnerability Management Systems 関連する脆弱性管理システム
CVSS CVSS
EPSS EPSS
VPR VPR
CVSS spin offs CVSSのスピンオフ
vPrioritizer vPrioritizer
SSVC using Current Information Sources 現在の情報源を利用したSSVC
Potential Future Information Feeds 将来の情報提供の可能性
Future Work 今後の作業
Requirements Gathering via Sociological Research 社会学的研究による要求の収集
Types of Risks リスクの種類
Further Decision Tree Testing デシジョンツリーの検証
Limitations 制限事項
Conclusion 結論
Acknowledgements 謝辞
References 参考文献

 

参考

最初のバージョンについての発表

・2019.12 Prioritizing Vulnerability Response: A Stakeholder-Specific Vulnerability Categorization

 

CERTCC

・[Github] CERTCC/SSVC: Stakeholder-Specific Vulnerability Categorization

 

Firstで発表されたCERTCCの方のプレゼンテーションはCVSSとの比較でわかりやすいかもしれません。。。

・2020 [PDF] SSVC: Stakeholder-Specific Vulnerability Categorization

 

 

2021.04.30 00:00 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | | Comments (0)

2021.04.29

NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

こんにちは、丸山満彦です。

NISTがポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査という白書を公表していますね。昨年に案が出てきたものが確定したものです。。。

● NIST - ITL - CSRC - publication

・2021.04.28 White Paper Getting Ready for Post-Quantum Cryptography: Exploring Challenges Associated with Adopting and Using Post-Quantum Cryptographic Algorithms

Abstract 概要
Cryptographic technologies are used throughout government and industry to authenticate the source and protect the confidentiality and integrity of information that we communicate and store. The paper describes the impact of quantum computing technology on classical cryptography, particularly on public-key cryptographic systems. This paper also introduces adoption challenges associated with post-quantum cryptography after the standardization process is completed. Planning requirements for migration to post-quantum cryptography are discussed. The paper concludes with NIST’s next steps for helping with the migration to post-quantum cryptography. 暗号技術は、通信や保存する情報の発信元を認証し、機密性や完全性を保護するために、政府や産業界で利用されています。本白書では、量子コンピュータ技術が古典暗号、特に公開鍵暗号システムに与える影響について説明します。また、標準化プロセスが完了した後のポスト量子暗号に関連する採用課題についても紹介します。また、ポスト量子暗号への移行に必要な計画についても述べています。最後に、ポスト量子暗号への移行を支援するためのNISTの次のステップを紹介しています。

・[PDF] White Paper

20210429-92630

関連

 

2021.04.29 09:29 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 暗号 / 電子署名 / ブロックチェーン, in 量子技術 | | Comments (0)

コンピュータソフトウェア協会・Software ISAC 「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開

こんにちは、丸山満彦です。

一般社団法人コンピュータソフトウェア協会・Software ISAC が「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開していますね。これは、

ソフトウェア開発を行う組織の管理者や責任者に向けて、ソフトウェアにおける課題と、ソフトウェア管理体制の構築方法を簡易的に示すとともに、組織規模にかかわらず、最低限取り組むべきソフトウェア管理の在り方についてまとめた

ものですね。。。

ソフトウェアをゆりかごから墓場まで」考えていくためのガイドラインとしていきたいという思いですね。。。

今後、ガイドの詳細版を作成していく予定です。

ということです。

私も作成に関わっています。みなさん、どんどんご意見をくださいませ。多くの人に使っていただけるように良いものを、みんなで作っていければと思っています。

 

一般社団法人コンピュータソフトウェア協会・Software ISAC 

・2021.04.28 「ソフトウェアの安全性を意識した管理体制(ver.1.0)」を公開

・[PDF] ソフトウェアの安全性を意識した管理体制(ver.1.0)

20210428-191255

1.はじめに
2.ソフトウェア管理体制の必要性
3.ソフトウェア管理体制の構築に向けて
(1)契約状況の把握
(2)プロジェクトの把握
(3)開発環境や開発に使うソフトウェア情報の把握
(4)関係者のスキルやリテラシーの把握
(5)管理体制のメンバーの決定と把握
(6)ステークホルダー(利害関係者)全体の把握
(7)ツールやシートを使った管理
4.ソフトウェア脆弱性の把握と管理
(1)脆弱性の発見
(2)脆弱性の判断と改善(発見、判断(トリアージ)、改善、開示)
(3)脆弱性の情報開示
5.普段からのトレーニングと教育
6.最後に

 

・頑丈なハードと変化前提のソフト

・オープンソフトを使う前提

・多重下請け構造

という状況を意識して作っています。。。

 

2021.04.29 00:00 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性 | | Comments (0)

2021.04.28

NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

こんにちは、丸山満彦です。

NISTが、非連邦政府組織およびシステムにおける管理対象非機密情報 (Controlled Unclassified Information: CUI)に対する強化版セキュリティ要件の評価に関する標準案について意見募集をしていますね。

SP 800-171Aと同じく、

  • 評価手法として、「EXAMINE(検証)」「INTERVIEW(インタビュー)」「TEST(テスト)」の3種類
  • 評価の深さとして、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
  • 評価の対象範囲として、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階

が定義されていて、監査論的にも興味深いですね。。。

 

● NIST - ITL - Computer Security Resource Center - Publication

・2021.04.27 SP 800-172A (Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information

・[PDF]  SP 800-172A (Draft)

20210428-65230

Announcement 発表
The protection of controlled unclassified information (CUI) in nonfederal systems and organizations—especially CUI associated with a critical program or high value asset—is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. To determine if the enhanced security requirements in NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171, have been satisfied, organizations develop assessment plans and conduct assessments. 連邦政府以外のシステムや組織における管理下の未分類情報(CUI)、特に重要なプログラムや高価値の資産に関連するCUIの保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を正常に遂行する能力に直接影響を与える可能性があります。”NIST Special Publication (SP) 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information:”A Supplement to NIST Special Publication 800-171”の強化されたセキュリティ要件が満たされているかどうかを判断するために、組織は評価計画を策定し、評価を実施します。
Draft NIST SP 800-172A, Assessing Enhanced Security Requirements for Controlled Unclassified Information, provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST SP 800-172. The generalized assessment procedures are flexible, provide a framework and starting point to assess the enhanced security requirements, and can be tailored to the needs of organizations and assessors. Organizations tailor the assessment procedures by selecting specific assessment methods and objects to achieve the assessment objectives and by determining the scope of the assessment and the degree of rigor applied during the assessment process. The assessment procedures can be employed in self-assessments, independent third-party assessments, or assessments conducted by sponsoring organizations (e.g., government agencies). Such approaches may be specified in contracts or in agreements by participating parties. The findings and evidence produced during assessments can be used by organizations to facilitate risk-based decisions related to the CUI enhanced security requirements. In addition to developing determination statements for each enhanced security requirement, Draft NIST SP 800-172A introduces an updated structure to incorporate organization-defined parameters into the determination statements. ドラフトNIST SP 800-172A「管理対象非機密情報に対する強化版セキュリティ要件の評価」は、NIST SP 800-172の要件の評価を実施するために使用できる評価手順を連邦機関および非連邦組織に提供しています。一般化された評価手順は柔軟性があり、強化版セキュリティ要件を評価するためのフレームワークと出発点を提供し、組織と評価者のニーズに合わせて調整することができます。組織は、評価目的を達成するために特定の評価方法と評価対象を選択し、評価の範囲と評価プロセスに適用する厳密さの度合いを決定することによって、評価手順を調整します。評価手順は、自己評価、独立した第三者評価、またはスポンサー組織(政府機関など)が実施する評価に利用できます。このようなアプローチは、契約書または参加者による合意書に明記することができます。評価中に得られた所見と証拠は、組織が CUI 強化版セキュリティ要件に関連するリスクベースの 判断を促すために使用することができます。NIST SP 800-172A(ドラフト)では、セキュリティ強化要件ごとに判定書を作成することに加えて、組織が定義したパラメータを判定書に組み込むための最新の構造を導入しています。
NIST is seeking feedback on the assessment procedures, including the assessment objectives, determination statements, and the usefulness of the assessment objects and methods provided for each procedure. We are also interested in the approach taken to incorporate organization-defined parameters into the determination statements for the assessment objectives. NISTは、評価目的、判定文、各手順に用意された評価対象と評価方法の有用性など、評価手順に関するフィードバックを求めている。また、評価目的の決定文に組織で定義されたパラメータを組み込むために取られたアプローチにも関心があります。
Abstract 概要
The protection of Controlled Unclassified Information (CUI) in nonfederal systems and organizations is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. This publication provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST Special Publication 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171. The assessment procedures are flexible and can be tailored to the needs of organizations and assessors. Assessments can be conducted as 1) self-assessments; 2) independent, third-party assessments; or 3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the CUI enhanced security requirements. 連邦政府以外のシステムや組織における管理対象非機密情報 (CUI: Controlled Unclassified Information) の保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を成功裏に遂行する能力に直接影響を与える可能性があります。本書は、連邦機関および非連邦組織に対して、NIST SP 800-171の補足するNIST SP 800-172「管理対象非機密情報を保護するための強化版セキュリティ要件」にある要件の評価を行うために使用できる評価手順を提供します。この評価手順は柔軟性があり、組織や評価者のニーズに合わせて調整することができます。評価は、1)自己評価、2)独立した第三者評価、3)政府主導の評価として実施することができます。アセスメントは、利用者が定義した深度と対象範囲の属性に基づいて、さまざまな程度の厳密さで実施することができます。アセスメントで得られた知見や証拠は、CUI の強化版セキュリティ要件に関連して、組織がリスクに基づく判断を行うために使用することができます。

 

 

 

 

■ 関連文書

● NIST - ITL

・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers

・2021.02.03 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

 ・[PDF] SP 800-172

・2021.01.28 SP 800-171 Rev. 2  Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

・[PDF]  SP 800-171 Rev. 2

Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2

Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
 SP 800-171A

 SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。

また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。

SP 800-172 はEva Aviationが第3章までの機械翻訳(対訳)を出しています。


Eva Aviation

・2020.12.28 NIST SP 800-171関連主要ドキュメント

・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護

・[PDF] NIST SP 800-172 管理対象非機密情報CUIの保護に対する強化版セキュリティ要件(第3章まで機械翻訳(対訳))

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

2021.04.28 07:29 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | | Comments (0)

中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

こんにちは、丸山満彦です。

中国の個人情報関係の規則や基準ってどうも全体像がよくわかりません。。。どこかでじっくり学ばないとですね。。。

 

中共中央网络安全和信息化委员会办公室中国共産党中央委員会ネットワークセキュリティ・情報化対策室

・2021.04.26 移动互联网应用程序个人信息保护管理暂行规定 - 公开征求意见(モバイル・インターネット・アプリケーションの個人情報保護管理に関する暫定規定 - 意見募集)

 

北大法宝

・2021.04.25 将出台App个人信息保护管理暂行规定(アプリ個人情報保護管理規定が導入されます)

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

(いわゆるTC260)がセキュリティについて以下の意見募集をおこなっています。。。関係する標準もありますね。。。

国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件」
国家标准《信息安全技术 移动互联网应用程序(APP)个人信息安全测评规范》  国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション(APP)個人情報セキュリティ測定仕様」
国家标准《信息安全技术 移动互联网应用程序(APP)SDK安全指南》 国家標準「情報セキュリティ技術 モバイルインターネットアプリケーション(APP)SDKセキュリティガイド」
国家标准《信息安全技术 政务网络安全监测平台技术规范》  国家標準「政府機関ネットワークのセキュリティ監視プラットフォームの情報セキュリティ技術技術仕様」 
国家标准《信息安全技术 信息系统密码应用测评要求》  国家標準「情報セキュリティ技術 情報システムパスワードアプリケーション測定要件」
国家标准《信息安全技术 个人信息去标识化效果分级评估规范》 国家標準「情報セキュリティ技術 個人情報匿名化効果採点評価仕様書」
国家标准《信息安全技术 边缘计算安全技术要求》  国家標準「情報セキュリティ技術 エッジコンピューティング セキュリティ技術の要件」
国家标准《信息安全技术 IPSec VPN安全接入基本要求与实施指南》 国家標準「情報セキュリティ技術 IPSec VPN セキュリティアクセス基本要件および実装ガイド」

 

Photo_20210427233701

 

まるちゃんの情報セキュリティきまぐれ日記

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 

↓↓↓↓ パブコメの対象 ↓↓↓↓

Continue reading "中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定"

2021.04.28 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド, in IoT | | Comments (0)

2021.04.27

軍隊がサイバーセキュリティとどう向き合うのかという話かもしれませんが、これは企業でも同じだろうと思うので、参考になるかもですね。。。

こんにちは、丸山満彦です。

Rand研究所のブログ「How the Military Might Expand Its Cyber Skills」(軍はどのようにしてサイバースキルを向上させるのか)は、軍が新しい技術をどう取り入れていったのかということを振り返りながら、サイバーやソフトウェアといった情報技術を使うスキルを軍がどのようにすれば向上することができるかを検討しています。

道具をうまく使えた方が良いのでしょうね。。。個人としてではなく、組織としてどのようにすれば、道具をうまく使えるようになるのか。。。なかなか興味深い内容ですえ。。。

一般的な組織にも当てはまることだと思います(尤も、筆者の James Ryseff さんは民間の人なので、民間の考え方を軍に当てはめてみたのかもしれませんが、、、)

Rand Corporation

・2021.04.22 How the Military Might Expand Its Cyber Skills by James Ryseff 

 

1_20210427202801

2021.04.27 20:32 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | | Comments (0)

防衛研究所 台湾関係 日米首脳共同声明等

こんにちは、丸山満彦です。

防衛研究所が[PDF]「台湾海峡を巡る危機感の高まりと日米首脳会談」を公表していますが、台湾付近を巡る緊張度が増してきているということなんでしょうね。。。

● 防衛研究所

・2021.04.22 [PDF] 台湾海峡を巡る危機感の高まりと日米首脳会談

20210427-65637  

2005年の2+2の共同文書、2021年の2+2の共同文書、そして2021年の日米首脳共同声明での台湾をめぐる表現をなぞった後、米国の西太平洋に対する対応を踏まえて、

現在西太平洋地域に配備されているアセットだけを切り取って、短期決戦シナリオを想定した場合には、中国が優位に立つ可能性が高くなってきていると考えられるようになってきているのである。こうした現実を踏まえれば、抑止力を抜本的に強化する必要があるのは明白であり、西太平洋地域の平和と安定のための日米同盟の役割が大きく高まってきている。バイデン政権発足後、大急ぎでアジア外交が展開された背景には、このような戦略的現実に基づく切迫した危機感がある。

 

■ 日米首脳会議等

● 外務省

・2021.04.16 日米首脳共同声明

 

・2021.03.16 日米安全保障協議委員会(日米「2+2」) (結果)

The White House

・2021.04.16 U.S.- Japan Joint Leaders’ Statement: “U.S. – JAPAN GLOBAL PARTNERSHIP FOR A NEW ERA”

・2021.04.16 Fact Sheet: U.S.-Japan Competitiveness and Resilience (CoRe) Partnership

・記者会見等

 

 

■ 参考

● JETRO

・2021.04.19 日米首脳共同声明で「台湾海峡の平和と安定」を明記

 

● Rand Corporation

What Deters and Why - The State of Deterrence in Korea and the Taiwan Strait

・[PDF] 研究概要

・[PDF] 報告書 

20210427-81828

Preface 序文
Tables テーブル
Summary まとめ
Acknowledgments 謝辞
Abbreviations 省略記号
CHAPTER ONE 第1章
Foundations for the Analysis and Outline of the Report 分析のための基礎と報告書の概要
CHAPTER TWO 第2章
The State of Deterrence in Korea 韓国の抑止力の現状
North Korea’s Motivation 北朝鮮の動機
Clarity of the U.S. Deterrence Message 米国の抑止力メッセージの明確性
Credibility of the U.S. Deterrence Message 米国の抑止力メッセージの信頼性
Conclusion 結論
CHAPTER THREE 第3章
The State of Deterrence in Taiwan 台湾における抑止力の現状
China’s Motivation 中国の動機
Clarity of the U.S. Deterrence Message 米国の抑止力メッセージの明確さ
Credibility of the U.S. Deterrence Message 米国の抑止力メッセージの信憑性
Conclusion 結論
CHAPTER FOUR 第4章
Conclusions and Implications for the U.S. Army 結論と米軍への示唆
Deterrence in Korea 韓国における抑止力
Deterrence in Taiwan 台湾における抑止力
APPENDIX 附属書
U.S. Deterrence of China in Three Taiwan Elections 台湾の三大選挙における米国の対中抑止力

2021.04.27 08:22 in 危機管理 / 事業継続 | | Comments (0)

欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加

こんにちは、丸山満彦です。

欧州委員会が4月21日、欧州グリーン・ディールにおける持続可能な資金調達に関する政策パッケージの一環として、企業持続可能性開示指令案発表していますね。。。

Eurpean Commissoner

・2021.04.21 Sustainable Finance and EU Taxonomy: Commission takes further steps to channel money towards sustainable activities

・[PDF] Proposal for a DIRECTIVE OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL amending Directive 2013/34/EU, Directive 2004/109/EC, Directive 2006/43/EC and Regulation (EU) No 537/2014, as regards corporate sustainability reporting

20210427-41843

JETROのページに詳しいです。

● JETRO

・2021.04.23 欧州委、非財務情報開示指令の改正案発表、対象企業が大幅に拡大

・2021.04.22 欧州委、持続可能な経済活動のタクソノミー基準のリストを公表

Continue reading "欧州委員会 非財務情報開示指令の改正案発表 対象企業が大幅に増加"

2021.04.27 04:39 in ESG/CSR, in 新エネルギー | | Comments (0)

経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

こんにちは、丸山満彦です。

経済産業省が、「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめ、発表していますね。

経済産業省のサイバーセキュリティ経営ガイドライン Ver2.0の作成に関わっていましたが、指示2(サイバーセキュリティリスク管理体制の構築)及び指示3(サイバーセキュリティ対策のための資源(予算、人材等)確保)について具体的な検討のための手引きで、昨年9月に発表された1.0版からの改訂内容は、

本書(第 1.1 版)は 2020 年 9 月に公表した第1版をもとに、読者の利便性の観点から以下の内容の追加及び見直しを行ったものです。

  • 経営層向けサマリ資料の提供、ならびに経営者がリーダーシップを発揮するにあたって予め理解していただきたい事項に関する記載の追加
  • サイバーセキュリティ対策に従事する人材の確保方法に関する記載の追加
  • 「プラス・セキュリティ」に関する記述の見直し(「プラス・セキュリティ」は従来の人材とは別に必要になるとの誤解を防ぐため)
  • ユーザー企業で必要となるスキルの習得に活用可能な資格制度の紹介
  • ユーザー企業でサイバーセキュリティ対策に従事する人材の育成計画と対象者のキャリアデザインに関する記載の追加

となるようです。。。

 

● 経済産業省

・2021.04.26(ニュース)「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)を取りまとめました

20210426-204653

 

[PDF] 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)本体

20210426-204629

 

■ 関連リンク

 

 

サイバーセキュリティ体制構築・人材確保の手引き 」の「図 3 セキュリティ統括機能のイメージ(CRIC CSF)16」を見ていて思ったのですが、、、

20210426-205356

これって、「CISO」を「CFO」に変え、「セキュリティ統括室長」を「財経部長」とかに変え、「セキュリティ」を「経理」に変えれば大体成り立ちますよね。。。経理もセキュリティも第2線なので、それはそうなんですよね。。。

なので、セキュリティがわかりにくい経営者も会計は流石にわかると思うので、同じように組織を考えてみれば、大きくは異らないと思ったりもします。。。

 

 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

 

その他参考

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

 

2021.04.27 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント | | Comments (0)

2021.04.26

NISC 意見募集「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンター (NISC) が、政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)について意見募集をしていますね。

思い返せば、NISCが「内閣官房 情報セキュリティ対策推進室」(多分)といわれていた頃に内閣官房に参加し、まずは情報セキュリティセンターの立ち上げと同時に、政府統一基準の策定を進めておりましたね。当時は、内閣府の新しいビルが立つ前で、そこに3階建のプレハブがあり、そこで色々としておりましたね。。。もう、16年以上も前の話ですね。。。

作成当時の重要なルールとして、「主語」を明確にするというのがありましたね。XXXをする責任を持ってするのは誰か?を明確にするということですね。これは、セキュリティの役割の「椅子」を用意することができないので、担当という「帽子」を被せるということにしたのですが、どの帽子の人が何をしなければならないかを明確にしないといけないですよね。。。ということから来ています。。。

なので遵守事項は、「最高情報セキュリティ責任者は」とか、「職員等(当時は、「行政事務従事者」でしたね。。。)は」とか、になっているんですよね。。。

今回は、「ISMAPの制度」もできたし、「常時アクセス判断・許可アーキテクチャ」(きっとゼロトラスト的なものなんでしょう。。。)も海外政府では取り組んでいるし、「コロナで在宅やし」という感じですかね。。

● NISC

・2021.04.26「政府機関等のサイバーセキュリティ対策のための統一基準群」の改定(案)に関する意見の募集

意見募集は...

20210426-143641

20210426-143744 

20210426-143804

ここからは、参考資料...

見直しの概要

1.クラウドサービスの利用拡大を見据えた記載の充実
■ 政府情報システムのためのセキュリティ評価制度(ISMAP)の管理基準も踏まえ、クラウドサービス利用者側として実施すべき対策や考え方に係る記載を追加。
⇒外部サービスを安全に利用するために、業務内容や取り扱う情報の格付や取扱制限に応じた情報セキュリティ対策を自ら講じられることが重要。

2.情報セキュリティ対策の動向を踏まえた記載の充実
■ 政府機関等を標的とした主要なサイバー攻撃や近年の情報セキュリティインシデント事例、最新のセキュリティ対策などを踏まえた記載、また今後取り組むべき情報セキュリティ対策の将来像について記載。
⇒従来からの境界型防御を補完するものとして「常時アクセス判断・許可アーキテクチャ」にも目を向ける。また、情報システム「常時システム診断・対処」を引き続き推進するなど、情報セキュリティ対策基盤を着実に進化させることが重要。

3.多様な働き方を前提とした情報セキュリティ対策の整理
■ 新型コロナウイルス感染症対策として政府機関等においても急速に広まったテレワークや遠隔会議の経験も踏まえ、係る多様な働き方を前提とする場合に必要な情報セキュリティ対策について、参照すべき統一基準上の規定や解説を整理することで、政府機関等が実施すべき対策の水準を明確にする。
⇒危機管理や働き方改革への対応として、通常とは異なる環境下においても必要な情報セキュリティ水準を確保した上で業務の円滑な継続を図ることが重要。

新旧対照表

です。。。

 

2021.04.26 14:40 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 危機管理 / 事業継続, in クラウド, in パブコメ, in (temp)COVID-19 | | Comments (0)

総務省 意見募集 「スマートシティセキュリティガイドライン(第2.0版)」(案)

こんにちは、丸山満彦です。

総務省が、「スマートシティセキュリティガイドライン(第2.0版)」(案)についての意見募集をしておりますね。。。

● 総務省

・2021.04.23 「スマートシティセキュリティガイドライン(第2.0版)」(案)に対する意見募集

・[PDF] スマートシティセキュリティガイドライン(第2.0版)(案)概要

20210425-225138

 

意見募集対象 

・[PDF] スマートシティセキュリティガイドライン(第2.0版)(案)

20210425-225250

目次

1. ガイドラインの背景と目的
1.1. 背景
1.2. 目的
1.3. 関係主体の定義
1.4. 対象範囲
1.5. 想定読者
1.6. 全体構成
1.7. 活用方法

2. スマートシティセキュリティの考え方
2.1. スマートシティリファレンスアーキテクチャ
2.2. スマートシティのセキュリティ検討のアプローチ
 2.2.1. スマートシティの各カテゴリにおけるセキュリティ検討
 2.2.2. スマートシティ全体におけるセキュリティ検討
2.3. スマートシティのセキュリティの概要
 2.3.1. 各カテゴリにおけるセキュリティの考え方
 2.3.2. スマートシティ特有のセキュリティの考え方

3. スマートシティにおけるセキュリティ対策
3.1. 各カテゴリのセキュリティ対策
 3.1.1. ガバナンス
 3.1.2. サービス
 3.1.3. 都市 OS
 3.1.4. アセット
3.2. スマートシティ特有のセキュリティ対策
 3.2.1. 適切なサプライチェーン管理
 3.2.2. インシデント対応時の連携
 3.2.3. データ連携時のセキュリティ
3.3. スマートシティ特有のセキュリティ対策事例
 3.3.1. セキュリティ管理体制に関する問題
 3.3.2. マルチステークホルダ間の責任分界に関する問題
 3.3.3. マルチステークホルダにおけるセキュリティポリシーに関する問題
 3.3.4. マルチステークホルダにおけるデータ管理ポリシーに関する問題
 3.3.5. データの連携先の拡大に関する問題

4. セキュリティ検討のための補助コンテンツ
4.1. セキュリティ対策一覧
4.2. スマートシティセキュリティ導入チェックシート

AppendixA 参照すべき法令・ガイド
AppendixB セキュリティ上のリスク一覧
AppendixC セキュリティ対策一覧
AppendixD 各分野におけるリスク特定とセキュリティ対策検討のイメージ

■ 参考

● 総務省

・2020.10.14 [PDF] スマートシティ セキュリティガイドライン (第 1.0 版)概要

・2020.10.14 [PDF] スマートシティ セキュリティガイドライン (第 1.0 版)

 

● 内閣府

スマートシティ

・2021.04.09 スマートシティ・ガイドブック Ver.1.00

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.26 IoT対応のスマートシティにおけるセキュリティとプライバシー:課題と将来の方向性 (IEEE Security & Privacy)

・2021.02.02 ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities(プライバシー保護- スマートシティーのためのプライバシーガイドライン

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.08.13 スウェーデンデータ保護局 公共交通機関のビデオ監視についてのガイドライン

2021.04.26 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in パブコメ, in IoT | | Comments (0)

2021.04.25

ENISA サイバーセキュリティ研究の方向性を探る

こんにちは、丸山満彦です。

ENISがサイバーセキュリティ研究の方向性に関する報告書を公表し、サイバーセキュリティ研究の方向性とイノベーションのテーマを特定していますね。。。

目的は、EU’s digital strategic autonomy(欧州のデジタル戦略の自立性)を保つことのようですね。。。

「欧州のデジタル戦略の自立性」とは、「欧州が、外部からの不当な影響を受けずに、自らの必要性や価値観に合った製品やサービスを調達する能力」と定義されているようですね。。。

ENISA

・2021.04.23 Exploring Research Directions in Cybersecurity

The European Union Agency for Cybersecurity has identified key research directions and innovation topics in cybersecurity to support the efforts of the EU towards a Digital Strategic Autonomy.

特定されたテーマは次の7つですね。。。

Data security データセキュリティ
Trustworthy software platforms 信頼性の高いソフトウェア・プラットフォーム
Cyber threat management and response サイバー脅威の管理と対応
Trustworthy hardware platforms 信頼性の高いハードウェア・プラットフォーム
Cryptography 暗号技術
User-centric security practices and tools ユーザ中心のセキュリティ対策とツール
Digital communication security デジタル・コミュニケーション・セキュリティ

 

・2021.04.23 Cybersecurity Research Directions for the EU’s Digital Strategic Autonomy

・[PDF] CYBERSECURITY RESEARCH DIRECTIONS FOR THE EU’S DIGITAL STRATEGIC AUTONOMY

20210425-183243 

1. INTRODUCTION 1. 序論
1.1. DEFINITION OF DIGITAL STRATEGIC AUTONOMY AND SOVEREIGNTY 1.1. デジタル戦略的自律性と主権の定義
1.2. SCOPE AND TARGET AUDIENCE 1.2. 対象範囲と対象者
1.3. STRUCTURE 1.3. 構成
2. STRATEGIC AUTONOMY IN EUROPE: SCENARIOS 2. 欧州における戦略的自治:シナリオ
3. KEY AREAS FOR DEVELOPING THE EU’S DIGITAL STRATEGIC AUTONOMY 3. EUのデジタル戦略的自律性を発展させるための主要分野
3.1. DATA SECURITY 3.1. データの安全性
3.2. TRUSTWORTHY SOFTWARE PLATFORMS 3.2. 信頼性の高いソフトウェア・プラットフォーム
3.3. CYBER THREAT MANAGEMENT AND RESPONSE 3.3. サイバー脅威の管理と対応
3.4. TRUSTWORTHY HARDWARE PLATFORMS 3.4. 信頼できるハードウェア・プラットフォーム
3.5. CRYPTOGRAPHY 3.5. 暗号技術
3.6. USER-CENTRIC SECURITY PRACTICES AND TOOLS 3.6. ユーザ中心のセキュリティ対策とツール
3.7. DIGITAL COMMUNICATION SECURITY 3.7. デジタル・コミュニケーション・セキュリティ
4. SOCIAL SCIENCE DIMENSIONS OF STRATEGIC AUTONOMY 4. 戦略的自律性の社会科学的側面
4.1. HUMAN CAPACITY BUILDING 4.1. 人間の能力開発
4.2. LEGAL AND REGULATORY FRAMEWORKS 4.2. 法規制の枠組
ANNEX A: SURVEY METHODOLOGY AND ANALYSIS 附属書A:調査方法と分析
A.1. METHODOLOGY OF THE STUDY A.1. 調査の方法
A.2. SURVEY OBJECTIVE A.2. 調査の目的
A.3. ANALYSIS OF THE RESULTS A.3. 結果の分析
A.4. RESPONDENT ANALYSIS A.4. 回答者分析

 

■ 関連

● European Commission - Shaping Europe’s digital future

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

 

 

2021.04.25 19:05 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 脆弱性, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

U.S. FBI サイバー犯罪者が偽の求人情報を利用して応募者の個人情報を狙っていると警告

こんにちは、丸山満彦です。

FBIが「サイバー犯罪者が偽の求人情報を利用して応募者の個人情報を狙っている」と警告していますね。。。

確かに、COVID-19でウェブでの面接が増えているでしょうし、求人ということで色々な個人情報を出せと言われてもおかしくはないでしょうしね。。。ただ、その求人をしている人が本当にその会社の人なのか、そんな会社が本当にあるのか、などの確認もする必要があるということなんでしょうね。。。

FBI

・2021.04.21 FBI Warns Cyber Criminals Are Using Fake Job Listings to Target Applicants’ Personally Identifiable Information

完璧ではないにしても、次のような点に気をつければ良いのでしょうね。。。

  1. 求人情報が企業のウェブページで行われているか?
  2. 連絡が会社のメールアドレスから行われているか?

これで、実在する会社になりすましている場合はある程度防げそうですね。それ以外にも

  1. 連絡してきた採用担当者が自分のことをある程度理解しているか?

これで、匿名の会社から貴方に興味があるのですがというリクルータを装った対応にはある程度気をつけることができるかもですね。。。

疑わしいと思ったら、実在の会社ならその会社にこちらから確認をするとか、

リクルータを経由して匿名の会社と言われる場合だと、そのリクルーターの信用が確認できるまでは、それ以上進めるのはやめておくほうが良いかもですね。。。

 

Fbi_20210425171201

 

 

2021.04.25 17:11 in フィッシング, in 個人情報保護 / プライバシー, in 法律 / 犯罪 | | Comments (0)

世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が、データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準を公表していますね。。。

 

World Economic Forum

・2021.04.23 (White Paper) Resetting Data Governance: Authorized Public Purpose Access and Society Criteria for Implementation of APPA Principles

報告書

・[PDF

20210425-130416

表題は英語ですが、日本語のページもあります。。。

・2021.04.23 Resetting Data Governance: Authorized Public Purpose Access and Society Criteria for Implementation of APPA Principles

2020年1月に発表したホワイトペーパーにおいて、個人の人権とデータホルダーの合理性、および公益とのバランスをとろうとするデータガバナンスモデル、Authorized Public Purpose Access(APPA)を提唱した。APPAの実装は、パンデミックを含むヘルスケアデータの公衆衛生のための適切な活用のみならず、例えばSDGsの実現等に向けたデータガバナンスにおいても重要な示唆を与えるだろう。本ホワイトペーパーは、APPAの社会実装に向けて、幅広い社会的合意を通じた公益目的の定義の在り方とともに、データ所有者の法的利益の保護のバランスに配慮しつつ、公益目的を達成するためのプロセス、さらにそのプロセスの実行性を担保するための体系的なアプローチを提案する。

 

報告書も日本語です

・[PDF]

Conclusion

APPA WP1で提唱したAuthorized Public Purpose Access (APPA)の概念を、まずはヘルスケアの領域において社会実装するため、本報告では「APPA原則」、判断規準、ガバナンスメソッドを提示した。

......

APPAは、4IR後の新たなガバナンスの枠組みを前提とすることで、プライバシーの権利をはじめとする個人の人権への配慮を行うものである。COVID-19に関する「合意がなされた特定の公的な目的」は、例えば、「一人一人のいのちを守るために必要なデータを、市民を守る義務を有する行政機関が主体となり、市民行動制限の設定・解除の方針を示すために使う」となる。それは許容されるだろうか。

その判断には、マルチステークホルダーの関与が不可欠であり、国際機関等の公的な組織の果たすべき役割も大きい。.....2010年代の世界各国でのオープンガバメントの拡がりとともに、データを公共の目的で利用する潮流はみられていた。一方で、データに対する囲い込み(データローカライゼーション)や不都合なデータの隠蔽・改ざんへの誘惑も大きい。

.....国際的に信頼されるデータの利用基盤構築や国際的なルール化が求められている。Data Commonsや分散型のデータ基盤のような仕組みを利用するにあたっては、個人の人権への配慮は不可欠であり、形式的な同意に逃げるのではなく、実体的に個人の人権を保障できなくては、信頼は生まれない。.....

刻々と状況が変化する中で、本ペーパーで提示したAPPA原則、判断基準、ガバナンスメソッドがまずはヘルスケア領域において社会実装され、さらに今後より多様な対象領域に広げていくことで、人類共通の財産を築いていけるよう、ステークホルダーに働きかけていきたい。COVID-19対策のためのデータ活用は大きな期待と不安に満ちたものであり、本ホワイトペーパーが国際的なルール化の参考になれば幸いである。

このホワイトペーパーの著者は

井上 裕介 フェロー
岡本 雅子 フェロー(田辺三菱製薬株式会社)
藤田 卓仙 プロジェクト長
山本 精一郎 プロジェクト長
落合 孝文 渥美坂井法律事務所・外国法共同事業 パートナー・弁護士

となっております。。。

 

■ 参考

● World Economic Forum

APPA – Authorized Public Purpose Access: Building Trust into Data Flows for Well-being and Innovation

・[PDF

20210425-132606

2021.04.25 13:29 in 個人情報保護 / プライバシー, in 危機管理 / 事業継続 | | Comments (0)

英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)は、スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性について発表していますね。。。


スマートデバイスの工場出荷時のパスワードを全て同じにしてたらあかんで、販売する時にセキュリティアップデートの期間を説明する必要がありまっせとか、脆弱性を見つけた場合の報告先を作っときや、といった規制が考えれているようですね。。。

U.K. Government - Department for Digital, Culture, Media & Sport 

発表文

・2021.04.21 (press) New cyber security laws to protect smart devices amid pandemic sales surge

Groundbreaking plans to protect people from cyber attacks


規制概要のまとめページ

・2021.04.21 (Policy Paper) Regulating consumer smart product cyber security - government response

The government's response to a call for views on proposals for regulating consumer smart product cyber security.


法律の方向性

・2021.04.21 Government response to the call for views on consumer connected product cyber security legislation

1. Ministerial foreword 1. 大臣による序文
2. Executive summary 2. エグゼクティブサマリー
3. Policy objectives 3. 政策目標
3.1 Protecting citizens, networks and infrastructure from harm 3.1 市民、ネットワーク、インフラを被害から守ること
3.2 Enabling emerging tech to grow and flourish by improving security, and Increasing consumer confidence 3.2 セキュリティを向上させ、消費者の信頼を高めることで、新興技術の成長と繁栄を可能にする。
3.3 Adopting a proportionate approach to placing obligations on relevant economic actors, without compromising effectiveness 3.3 有効性を損なうことなく、関連する経済主体に義務を課すための比例的なアプローチを採用する。
3.4 Continuing to protect citizens, networks and infrastructures from harm in the face of an uncertain future 3.4 不確実な未来に直面する中で、市民、ネットワーク、インフラを被害から守り続けること
4. Overview of the government’s intent 4. 政府の意図の概要
4.1 Key policy positions 4.1 主要な政策的立場
4.2 Key policy positions - scope of the intended legislation 4.2 主要な政策的立場-意図された法律の範囲
4.3 Key policy positions - role of economic actors 4.3 主要な政策的立場-経済関係者の役割
4.4 Key policy positions - how the legislation will be enforced 4.4 主要な政策的立場-立法の執行方法
4.5 Key policy positions - scope of the intended legislation 4.5 主要な政策的立場-意図する立法の範囲
4.6 Key policy positions - role of economic actors 4.6 主要な政策的立場-経済的関係者の役割
4.7 Key policy positions - How this legislation will be enforced 4.7 主要な政策的立場-本立法をどのように施行するか
5. Call for views - analysis overview 5. 意見募集-分析概要
6. Call for views - questions 6. 意見募集-質問

対象予定のスマート製品の例は

  • スマートフォン
  • ネット接続されるカメラ、テレビ、スピーカー
  • ネット接続される子供用玩具とベビーモニター
  • ネット接続される安全関連製品(煙探知器やドアロックなど)
  • 複数の機器が接続するIoT基地局とハブ
  • ネット接続されるウェアラブルフィットネストラッカー
  • ウェアラブルではないネット接続型アウトドアレジャー製品(携帯型GPS機器など)
  • ネット接続されるホームオートメーション、家庭警報システム
  • ネット接続される電化製品(洗濯機、冷蔵庫など)
  • スマートホームアシスタント

のようです。。。

明示的に除外されるもの

  • 既存の規制または将来予定されている規制によって、セキュリティがすでにカバーされている製品
    • スマートメーター
  • ビジネスへの影響を評価するための追加的な関与と分析が行われるまで、政府が含めることが不適切と判断した製品
    • ノートパソコン、デスクトップパソコン、携帯電話に接続していないタブレット
  • 含めることで企業に非現実的な義務を課すことになる製品
    • 中古製品

予定されている規制内容

  • 一定のセキュリティ要件または指定された基準に適合しない限り、消費者向け接続製品を英国市場で販売しないことを義務付ける

 

セキュリティ要件 採用 指定された外部基準
セキュリティ要件 1
ユニバーサル・デフォルト・パスワードの禁止


 管理インターフェースのパスワードやサブコンポーネントのファームウェア内のパスワードなど、ユーザーが通常アクセスできないものも含め、デバイス内のすべてのパスワードを対象とすることを意図しています。サードパーティが提供するデバイスにプリインストールされているソフトウェアアプリケーション(アプリ)も対象となります。我々の意図は、デバイスごとにユニークであっても、容易に推測可能であり、したがってリスクをもたらすパスワードを禁止することです(例えば、「password1」、「password2」などの増分カウンタが使用されている場合など)。 EN 303 645 provisions 5.1-1 and 5.1-2
セキュリティ要件 2
脆弱性の報告を管理する手段の導入


 この要求事項の意図は、第三者がメーカーに脆弱性を報告するための透明なルートを提供し、セキュリティ問題の解決を可能にすることにあります。消費者向けのコネクテッド製品のメーカーでは、このような慣行はまだ一般的ではありませんが、セキュリティ上の欠点を特定して対処し、この分野でのセキュリティ革新を支援するためには、このような仕組みが不可欠です。

注:この成果に対する指定基準は、デバイスおよび関連するデジタルサービスに適用されなければならない。		 EN 303 645 provisions 5.2-1

OR

ISO/IEC 29147(2018): clause 6.2
セキュリティ要件 3
最低限、どのくらいの期間、製品がセキュリティアップデートを受けるかについての透明性の提供


 セキュリティアップデートの提供は、お客様を保護するための最も重要な仕組みの一つです。セキュリティアップデートの目的は、お客様のプライバシー、データ、およびセキュリティを危険にさらすセキュリティ上の欠陥に対処することであり、通常、製品が市場に投入されて初めて認識され、利用できるようになります。また、お客様が十分な情報を得た上で購入を決定できるようにすることも目的としています。消費者は、製品を購入する際に、その製品がセキュリティアップデートでサポートされる最低期間を知ることができます。また、定義されたサポート期間は、常にメーカーによって一方的に延長される可能性があることにも留意する必要があります。 EN 303 645 provision 5.3-13

 

 

Uk

 

 

関連する過去の調査

 

・[PDF] Consumer attitudes to IoT security - research report

20210425-91646  

 

・[PDF]  The UK code of practice for consumer IoT security - PETRAS/UCL research report

 

20210425-91705

2021.04.25 09:20 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in IoT | | Comments (0)

2021.04.24

欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

こんにちは、丸山満彦です。

欧州委員会がAIへの規制を提案 (2021.04.21) していますね。それに対して、欧州データ保護官は歓迎していますが、公共空間での遠隔生体認証(識別)(例えば、駅での顔認証(識別)とか)についての規制に触れられていないのは残念だと回答 (2021.04.23) していますね。

欧州委員会によるAIへの規制への提案のプレス

European Commission

・2021.04.21 (press) Europe fit for the Digital Age: Commission proposes new rules and actions for excellence and trust in Artificial Intelligence

 

AIについての欧州アプローチに関する規則の提案

・2021.04.21 Proposal for a Regulation on a European approach for Artificial Intelligence

1. [PDF] Proposal for a Regulation on a European approach for Artificial Intelligence

20210424-65830

取り急ぎの仮訳。。。
[DOCX]


2. [PDF] Annexes to the Proposal
20210424-65840

 

上記の関連資料

・2021.04.21 Communication on Fostering a European approach to Artificial Intelligence

・[PDF] COM(2021) 205 final  COMMUNICATION FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL, THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE AND THE COMMITTEE OF THE REGIONS - Fostering a European approach to Artificial Intelligence 

20210424-140112

 

・2021.04.21 Coordinated Plan on Artificial Intelligence 2021 Review

・[PDF] COM(2021) 205 final ANNEX ANNEXES to the Communication from the Commission to the European Parliament, the European Council, the Council, the European Economic and Social Committee and the Committee of the Regions Fostering a European approach to Artificial Intelligence

20210424-140120

COM(2021)206

・2021.04.21 COM(2021)206. final Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

・ [PDF] COM(2021)206 final Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

20210808-73201

 

・[PDF] COM(2021)206 final ANNEXES to the Proposal for a Regulation of the European Parliament and of the Council LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

20210808-73503

 

 

欧州委員会の提案に対する欧州データ保護官 (EDPS) の回答

European Data Protection Supervisor

・2021.04.23 (press) Artificial Intelligence Act: a welcomed initiative, but ban on remote biometric identification in public space is necessary

・2021.04.21 [PDF] Artificial Intelligence Act: a welcomed initiative, but ban on remote biometric identification in public space is necessary

20210424-73941

 

Artificial Intelligence Act: a welcomed initiative, but ban on remote biometric identification in public space is necessary 人工知能法: 歓迎すべき取り組みだが、公共空間での遠隔生体認証(識別)の禁止が必要
The European Commission’s legislative proposal for an Artificial Intelligence Act is the first initiative, worldwide, that provides a legal framework for Artificial Intelligence (AI). The EDPS welcomes and supports the European Union’s (EU) leadership aiming to ensure that AI solutions are shaped according to the EU’s values and legal principles. 欧州委員会が提案した「人工知能法」は、人工知能(AI)の法的枠組みを提供する世界初の取り組みです。EDPSは、AIソリューションがEUの価値観と法的原則に沿って形成されることを目指す欧州連合(EU)のリーダーシップを歓迎し、支持します。
Wojciech Wiewiórowski, EDPS, said: “I am proud of this initiative and particularly welcome the horizontal approach in a Regulation, as well as the broad scope of its application which importantly includes the European Union institutions, bodies, offices and agencies (EUIs). The EDPS stands ready to fulfil its new role as the AI regulator for the EU public administration.  EDPSのWojciech Wiewiórowski氏は次のように述べています。「この取り組みを誇りに思います。特に、規則における水平方向のアプローチと、重要なことに欧州連合の機関、団体、事務所、機関(EUI)を含む幅広い適用範囲を歓迎します。EDPSは、EUの行政機関のためのAI規制機関としての新たな役割を果たす準備ができています。 
I also acknowledge the merits in the risk-based approach underpinning the proposal. Indeed, there are numerous Artificial Intelligence applications that present limited threat for the fundamental rights to data protection and privacy while giving the humanity a potentially powerful tool to fight against today’s problems.” また、本提案の背景にあるリスクベースのアプローチのメリットも認めている。実際、データ保護やプライバシーに関する基本的な権利に対する脅威は限定的である一方、人類が今日の問題に立ち向かうための潜在的に強力なツールを提供する人工知能アプリケーションは数多く存在します」と述べています。
At the same time, the EDPS regrets to see that our earlier calls for a moratorium on the use of remote biometric identification systems - including facial recognition - in publicly accessible spaces have not been addressed by the Commission.  同時に、EDPSは、顔認証(識別)を含む遠隔生体認証(識別)システムを公共のアクセス可能な空間で使用することのモラトリアムを求める我々の以前の呼びかけが、欧州委員会によって対処されていないことを残念に思います。 
The EDPS will continue to advocate for a stricter approach to automated recognition in public spaces of human features - such as of faces but also of gait, fingerprints, DNA, voice, keystrokes and other biometric or behavioural signals - whether these are used in a commercial or administrative context, or for law enforcement purposes. A stricter approach is necessary given that remote biometric identification, where AI may contribute to unprecedented developments, presents extremely high risks of deep and non-democratic intrusion into individuals’ private lives. EDPSは、商業的・行政的な文脈であれ、法執行目的であれ、公共の場における人間の特徴(顔だけでなく、歩行、指紋、DNA、音声、キーストローク、その他の生体情報や行動信号など)の自動認識に対して、より厳格なアプローチをとるよう引き続き提唱していきます。AIが前例のない発展をもたらす可能性のある遠隔生体認証(識別)は、個人の私生活に深くかつ非民主的に侵入する危険性が極めて高いことを考えると、より厳格なアプローチが必要です。
The EDPS will undertake a meticulous and comprehensive analysis of the Commission’s proposal to support the EU co-legislators in strengthening the protection of individuals and society at large. In this context, the EDPS will focus in particular on setting precise boundaries for those tools and systems which may present risks for the fundamental rights to data protection and privacy.  EDPSは、欧州委員会の提案を綿密かつ包括的に分析し、EUの共同立法者が個人および社会全体の保護を強化することを支援します。この観点から、EDPSは特に、データ保護とプライバシーに関する基本的権利にリスクをもたらす可能性のあるツールやシステムに正確な境界線を設定することに重点を置きをおきます。 

 

■ 追記 2021.04.26

平先生のブログ「新聞紙学的」に興味深い記事が載っていますね。。。

新聞紙学的

・2021.04.25 すごく危ないAI」の禁止に潜む大きな「抜け穴」とは

 

Continue reading "欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね"

2021.04.24 13:13 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning | | Comments (0)

欧州データ保護委員会 (EDPB) が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」の最新版の公表をソーシャルメディアで行っていますね(^^)

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」の最新版の公表をソーシャルメディアで行っています...(^^)

● Twitter - EDPB

 ・2021.04.22 The final version of the EDPB Guidelines on the targeting of social media users, following public consultation, is now available here: europa.eu/!wV63XH

 

European Data Protection Board: EDPB

・2021.04.13 Guidelines 8/2020 on the targeting of social media users

・[PDF] Guidelines 8/2020 on the targeting of social media users Version 2.0

20210424-10313

 

1 Introduction 1 はじめに
2 Scope 2 範囲
3 Risks to the rights and freedoms of users posed by the processing of personal data 3 個人データの処理によってもたらされるユーザーの権利および自由に対するリスク
4 Actors and Roles 4 関係者および役割
4.1 Users 4.1 ユーザ
4.2 Social media providers 4.2 ソーシャルメディアプロバイダ
4.3 Targeters 4.3 ターゲッタ
4.4 Other relevant actors 4.4 その他の関連アクター
4.5 Roles and responsibilities 4.5 役割と責任
5 Analysis of different targeting mechanisms 5 さまざまなターゲティング・メカニズムの分析
5.1 Overview 5.1 概要
5.2 Targeting on the basis of provided data 5.2 提供されたデータに基づくターゲティング
5.2.1 Data provided by the user to the social media provider 5.2.1 ユーザーがソーシャルメディアプロバイダーに提供するデータ
A. Roles A. 役割
B. Legal basis B. 法的根拠
5.2.2 Data provided by the user of the social media platform to the targeter 5.2.2 ソーシャルメディアプラットフォームのユーザーからターゲッターに提供されたデータ
A. Roles A. 役割
B. Legal basis B. 法的根拠
5.3 Targeting on the basis of observed data 5.3 観察されたデータに基づくターゲティング
5.3.1 Roles 5.3.1 役割
5.3.2 Legal basis 5.3.2 法的根拠
5.4 Targeting on the basis of inferred data 5.4 推測されるデータに基づくターゲティング
5.4.1 Roles 5.4.1 役割
5.4.2 Legal basis 5.4.2 法的根拠
6 Transparency and right of access 6 透明性およびアクセス権
6.1 Essence of the arrangement and information to provide (Article 26 (2) GDPR) 6.1 取り決めの本質および提供すべき情報(GDPR第26条(2)項
6.2 Right of access (Article 15) 6.2 アクセスの権利(第15条
7 Data protection impact assessments (DPIA) 7 データ保護影響評価(DPIA)
8 Special categories of data 8 データの特別なカテゴリー
8.1 What constitutes a special category of data 8.1 データの特別なカテゴリーを構成するもの
8.1.1 Explicit special categories of data 8.1.1 明示的なデータの特別なカテゴリー
8.1.2 Inferred and combined special categories of data 8.1.2 推論された及び結合された特別なカテゴリーのデータ
8.2 The Article 9(2) exception of special categories of data made manifestly public 8.2 明示的に公開されたデータの特別なカテゴリーの第9条(2)の例外
9 Joint controllership and responsibility 9 共同管理者と責任
9.1 Joint controller arrangement and determination of responsibilities (Art. 26 GDPR) 9.1 共同管理者の配置と責任の決定(GDPR第26条)
9.2 Levels of responsibility 9.2 責任のレベル

 

■ 関連

意見募集段階...

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.09 欧州データ保護委員会 (EDPB)が「ソーシャルメディアユーザーのターゲティングに関するガイドライン」について意見募集をしていますね。。。

2021.04.24 01:22 in 個人情報保護 / プライバシー | | Comments (0)

2021.04.23

警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

こんにちは、丸山満彦です。

警察庁サイバー犯罪対策プロジェクトから、「犯罪インフラ化するSMS認証代行への対策について」が公表されています。

SMS認証代行は以前から問題となっていて、県警レベルでは注意喚起等が行われていましたね。。。

社会的には、携帯電話番号を本人確認の手段とするべきかという問題がまずはあるのだろうと思います。個人的には、銀行口座、携帯電話番号は本人との紐付けを確実にすることを明確にし、かつ本人確認のための基準も明確にするのが良いのだろうかなぁと思っています。

 

 

警察庁 - 警察庁サイバー犯罪対策プロジェクト

・2021.04.22 [PDF] 犯罪インフラ化するSMS認証代行への対策について

 

広報資料
令和3年4月22日
情報技術犯罪対策課


犯罪インフラ化するSMS認証代行への対策について

1 課題
(1) SMS認証とその機能
○ 「SMS認証」とは、ショートメッセージサービス(SMS)で利用者の番号に認証コードを通知し、当該コードを用いて認証する方式。
○ 通常は、利用者が自ら用いる本人確認済の携帯電話の番号に当該認証コードが通知されることから、金融機関等においては、ID・パスワードに
よる認証に加え、SMS認証を利用者に実施させる「二経路認証」を採用。なりすまし等による不正認証を防止。

(2) SMS認証代行とその問題点
○ 「SMS認証代行」は、通信事業者とSMS機能付データ通信に係る契約をし、利用者に当該契約に係る番号を提供。また、当該番号に通知され
た認証コードを利用者に代わって受領し利用者に提供。
○ 利用者は、SMS認証代行から番号・認証コードの提供を受けることにより、なりすまし等による不正アカウントの設定が可能。
○ 通信事業者の中には、本人確認をすることなくSMS認証代行と契約するものがおり、警察捜査における事後追跡性の確保に支障。

2 サイバーセキュリティ政策会議及びIT業界団体の提言
(1) 令和2年度サイバーセキュリティ政策会議の提言
報告書において、通信事業者による上記契約時の本人確認の徹底や犯罪インフラを提供する悪質事業者の摘発強化を提言。

(2) IT業界団体の提言
(一社)日本IT団体連盟は、SMSを用いた二経路認証の抜け道になっているとして上記契約時の本人確認の徹底を提言。

3 警察における対策
(1) 通信事業者の業界団体に対する要請
令和3年1月、総務省と連携して、(一社)テレコムサービス協会MVNO委員会に対し、契約時の確実な本人確認を要請。同要請を受け、同月、加盟事業者の自主的な取組として、SMS機能付データ通信契約に係る本人確認を実施することを申し合わせ。

(2) 取締りの強化
都道府県警察に対し、SMS認証代行を含む犯罪インフラに関し、法令に違反する悪質事業者に対する取締りの強化を指示。

 

1_20210423160801

 

■ 関連報道

● 日本経済産業新聞

・2021.04.22 SMS認証代行、取り締まり強化 犯罪目的防止で警察庁

 

過去分

● 埼玉新聞

・2020.06.09 女逮捕「小遣い稼ぎ」…SMS認証代行で57万円稼いだか 横行すると大きな脅威、県警が警鐘

 電子決済アプリのアカウント登録のためにショートメッセージサービス(SMS)認証を代行したとして、県警サイバー犯罪対策課と岩槻署は8日、私電磁的記録不正作出・同供用の疑いで、神奈川県秦野市堀西、無職の女(40)を逮捕した。

 逮捕容疑は、昨年7月19日、札幌市豊平区の無職の男(29)=電子計算機使用詐欺罪で公判中=に、スマートフォンの決済アプリ「PayPay」のアカウント作成に必要な電話番号とSMS認証コードを提供し、不正にアカウントを作成させた疑い。容疑を認め、「小遣い稼ぎだった」と供述しているという。

 同課によると、女は会員制交流サイト(SNS)に「有償でSMS認証代行を請け負う」とメッセージを公開。依頼してきた男に、あらかじめ契約していた格安スマホの電話番号と認証コードを教え、代金1100円を受け取っていた。

 県警は女が同年6~12月、少なくとも570回以上の認証代行を繰り返し、1回1000~1500円の代金で計約57万円を得ていたとみて調べる。

 同課はSMS認証代行が横行することで、「依頼者による匿名性を利用した犯罪が懸念される」と指摘。「匿名化されたアカウントが犯罪に利用されれば、安全安心なサイバー空間、現実空間の大きな脅威となる」と警鐘を鳴らしている。

 

2021.04.23 13:53 in 法律 / 犯罪 | | Comments (0)

NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(初期ドラフト)

こんにちは、丸山満彦です。

NISTが「SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(初期ドラフト)」を公開し、意見募集をしていますね。。。

● NIST - ITL

SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources (Preliminary Draft)

● NIST -NNCoE

・2021.04.22 NCCoE Releases Draft Guide on Securing the Industrial Internet of Things

Example Solution Addresses Cybersecurity Challenges for Distributed Energy Resources

Securing the Industrial Internet of Things

20210423-111045

20210423-111030

  • SP 1800-32C: How-To Guides (under development)

 

Executive Summary エグゼクティブサマリー
Protecting Industrial Internet of Things (IIoT) devices at the grid edge is arguably one of the more difficult tasks in cybersecurity. There is a wide variety of devices, many of which are deployed and operate in a highly specific manner. Their connectivity—the conduit through which they can become vulnerable—represents a growing cyber threat to the distribution grid. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, best practices, and commercially available technology to protect the digital communication, data, and control of cyber-physical grid-edge devices. We demonstrate how to monitor and detect unusual behavior of connected IIoT devices and build a comprehensive audit trail of trusted IIoT data flows. グリッドエッジにある産業用IoT(IIoT)機器を保護することは、サイバーセキュリティにおいて最も困難な課題の一つであることは間違いありません。機器には様々な種類があり、その多くは非常に特殊な方法で設置され、動作しています。これらの機器の接続性は、機器が脆弱になるきっかけとなるもので、配電網に対するサイバー脅威が高まっていることを示しています。本実践ガイドでは、NCCoE(National Cybersecurity Center of Excellence)が、標準規格、ベストプラクティス、および市販の技術を用いて、サイバーフィジカルなグリッドエッジ機器のデジタル通信、データ、制御を保護します。接続されたIIoT機器の異常な動作を監視・検出し、信頼できるIIoTデータフローの包括的な監査証跡を構築する方法を紹介します。
CHALLENGE 課題
The use of small-scale distributed energy resources (DERs)—grid-edge devices such as wind and solar photovoltaics—is growing rapidly and transforming the traditional power grid. As the use of DERs expands, the distribution grid is becoming a multisource grid of interconnected devices and systems driven by two-way data communication and power flows. These data and power flows often rely on IIoT technologies that are connected to wireless networks, given a level of digital intelligence that allows them to be monitored and tracked and to share data on their status and communicate with other devices. 風力発電や太陽光発電などのグリッドエッジ機器である小規模分散型エネルギー源(DER)の利用は急速に拡大しており、従来の電力網に変化をもたらしています。DERの使用が拡大するにつれ、配電網は、双方向のデータ通信と電力の流れによって駆動される、相互に接続された機器とシステムのマルチソースグリッドになりつつあります。これらのデータや電力の流れは、多くの場合、無線ネットワークに接続されたIIoT技術に依存しています。IIoT技術には、監視や追跡、状態に関するデータの共有、他の機器との通信を可能にするデジタルインテリジェンスが付与されています。
A distribution utility may need to remotely communicate with thousands of DERs—some of which may not even be owned or configured by the utility—to monitor the status of these devices and control the operating points. Many companies are not equipped to offer secure access to DERs and to monitor and trust the rapidly growing amount of data coming from them. Securing DER communications will be critical to maintain the reliability of the distribution grid. Any attack that can deny, disrupt, or tamper with DER communications could prevent a utility from performing necessary control actions and could diminish grid resiliency. 配電事業者は、何千ものDER(その中には事業者が所有していないものや設定されていないものもある)と遠隔で通信し、これらの機器の状態を監視し、動作点を制御する必要があるかもしれません。多くの企業は、DERへの安全なアクセスを提供したり、DERから送られてくる急速に増加するデータを監視したり信頼したりする能力を備えていません。配電網の信頼性を維持するためには、DERの通信を確保することが重要です。DERの通信を拒否、妨害、改ざんするような攻撃を受けた場合、電力会社は必要な制御を行うことができなくなり、送電網の回復力が低下する可能性があります。
SOLUTION 解決策
The NCCoE collaborated with stakeholders in the electricity sector, the University of Maryland, and cybersecurity technology providers to build an environment that represents a distribution utility interconnected with a campus DER microgrid. Within this ecosystem, we are exploring several scenarios in which information exchanges among DERs and electric distribution grid operations can be protected from certain cybersecurity compromises. The example solution demonstrates the following capabilities:  NCCoEは、電力セクターの関係者、メリーランド大学、サイバーセキュリティ技術プロバイダーと協力して、キャンパス内のDERマイクログリッドと相互接続された配電ユーティリティを表す環境を構築しました。このエコシステムでは、DER間の情報交換や配電網の運用を、特定のサイバーセキュリティ侵害から保護するためのいくつかのシナリオを検討しています。このソリューション例では、以下の機能を実現しています。
・   authentication and access control to ensure that only known, authorized systems can exchange information ・    認証およびアクセス制御により、既知の認可されたシステムのみが情報を交換できるようにする
・   communications and data integrity to ensure that information is not modified in transit ・    通信とデータの整合を維持し、情報が転送中に変更されないようにする。
・   malware detection to monitor information exchanges and processing to identify potential malware infections ・    情報のやり取りや処理を監視し、マルウェアに感染する可能性を検知するマルウェア検知機能
・   command register that maintains an independent, immutable record of information exchanges between distribution and DER operators ・    配電事業者とDER事業者の間で行われる情報交換の独立した変更できない記録を維持するコマンドレジスタ
・   behavioral monitoring to detect deviations from operational norms ・    動作標準からの逸脱を検出するための動作監視
・   analysis and visualization processes to monitor data, identify anomalies, and alert operators ・    データを監視し、異常を特定し、オペレータに警告するための分析・可視化プロセス
The example solution documented in the practice guide uses technologies and security capabilities (shown below) from our project collaborators. The solution is mapped to security standards and guidelines of the NIST Cybersecurity Framework; NIST Interagency or Internal Report 7628 Rev 1: Guidelines for Smart Grid Cybersecurity; and the Institute of Electrical and Electronics Engineers (IEEE) 1547-2018, IEEE Standard for Interconnection and Interoperability of Distributed Energy Resources with Associated Electric Power Systems Interfaces. 実践ガイドに掲載されているソリューション例では、協力者の技術とセキュリティ機能(下図)を使用しています。このソリューションは、「NIST Cybersecurity Framework」、「NIST Interagency or Internal Report 7628 Rev 1: Guidelines for Smart Grid Cybersecurity」、「IEEE(Institute of Electrical and Electronics Engineers)1547-2018, IEEE Standard for Interconnection and Interoperability of Distributed Energy Resources with Associated Electric Power Systems Interfaces」のセキュリティ基準とガイドラインにマッピングされています。
... ...
HOW TO USE THIS GUIDE このガイドの使い方
Depending on your role in your organization, you might use this guide in different ways: Business decision makers, including chief information security and technology officers, can use this part of the guide, NIST Special Publication (SP) 1800-32A: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization. 本ガイドは、組織内での役割に応じて、さまざまな方法でご利用することができます。最高情報セキュリティ責任者や技術責任者などの経営意思決定者は、本書である、NIST Special Publication (SP) 1800-32A: Executive Summary(エグゼクティブサマリー)を使用して、本ガイドの推進要因、本ガイドが取り組むサイバーセキュリティの課題、この課題を解決するためのアプローチ、およびその解決策が組織にどのようなメリットをもたらすかを理解することができます。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-32B: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security control mappings. リスクを特定、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラムマネージャーは、NIST SP 1800-32B: Approach, Architecture, and Security Characteristics(アプローチ、アーキテクチャ、セキュリティ特性)を利用することができ、実行したリスク分析やセキュリティ管理のマッピングなど、構築するもの、またその理由について説明を知ることができます。
Information technology (IT) or operational technology (OT) professionals who want to implement an approach like this can use NIST SP 1800-32C: How-To Guides, which provide specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project. このようなアプローチを実装したいと考えている情報技術(IT)や運用技術(OT)の専門家は、NIST SP 1800-32C:How-To Guides(ガイド)を利用することができます。このガイドには、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が記載されており、このプロジェクトのすべてまたは一部を再現することができます。

 

SP 1800-32B: Approach, Architecture, and Security Characteristics の目次

Continue reading "NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(初期ドラフト)"

2021.04.23 12:48 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 新エネルギー, in IoT | | Comments (0)

CISA SUPERNOVAマルウェアに対するインシデントの対応

こんにちは、丸山満彦です。

CISAがSolarWindsに関連したSUPERNOVAマルウェアに対するインシデントの対応のための分析レポートを公表していますね。。。

CISA

・2021.04.22 CISA Incident Response to SUPERNOVA Malware

・2021.04.22 Analysis Report (AR21-112A) - CISA Identifies SUPERNOVA Malware During Incident Response

Supernovaについては、

・2021.01.27 Malware Analysis Report (AR21-027A) - MAR-10319053-1.v1 - Supernova

1_20210423064601

2021.04.23 06:46 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 危機管理 / 事業継続 | | Comments (0)

2021.04.22

U.S. White House 副国家安全保障補佐官(サイバー・新技術担当)によるSolarWindsとMicrosoft Exchangeのインシデントに関する声明

こんにちは、丸山満彦です。

ホワイトハウスのブリーフィングのページにSolarWindsとMS Exchangeの件が記載されているのですが、技術的な課題を組織的に解決し、次に繋げていっているという視点でうまく説明しているなと思いました。

経営者レベルでサイバーを語れる人材が米国企業では多いという話がありますが、政府レベルでも同じなのかもしれません。さまざまな能力を組み合わせたチームで戦うイメージの米国。振り返って日本の社会全体を見ると、多様性と言いながら、年長者と同じ価値観の人が年長者に重んじられて組織ができていて、単一価値観、時代遅れの組織になっているのかもしれませんね。。。

ちなみに副国家安全保障補佐官(サイバー・新技術担当)のAnne Neuberger氏 [wikipedia] は、40代の女性ですね。お子様がお二人いるようです。

The White House

・2021.04.19 Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents

 

Statement by Deputy National Security Advisor for Cyber and Emerging Technology Anne Neuberger on SolarWinds and Microsoft Exchange Incidents SolarWindsとMicrosoft Exchangeのインシデントに関する副国家安全保障補佐官(サイバー・新技術担当)アン・ニューバーガー氏の声明
The Biden Administration convened two Unified Coordination Groups (UCGs) to drive a whole of government response to the SolarWinds and Microsoft Exchange incidents. Due to the vastly increased patching and reduction in victims, we are standing down the current UCG surge efforts and will be handling further responses through standard incident management procedures.  バイデン政権は、SolarWindsとMicrosoft Exchangeのインシデントに対する政府全体の対応を推進するため、それぞれについて統合調整グループ(UCG)を招集しました。膨大な数のパッチが適用され、被害が減少したため、現在は、UCGの活動を終了し、標準的なインシデント管理手順で今後の対応を行うことになりました。
The innovations from the Exchange UCG and the lessons learned from these responses will be used to improve future unified, whole of Government responses to significant cyber incidents, including: Exchange UCGの技術革新とこれらの対応から得られた教訓は、今後の重要なサイバーインシデントに対する政府全体での統一された対応を改善するために利用されます。得られた教訓は次のものを含みます。
Integrating private sector partners at the executive and tactical levels. The active private sector involvement resulted in an expedited Microsoft one-click tool to simplify and accelerate victims’ patching and clean-up efforts, and direct sharing of relevant information. This type of partnership sets precedent for future engagements on significant cyber incidents. 民間企業のパートナーを幹部レベルと戦術レベルで統合する。民間企業が積極的に関与した結果、Microsogt社のワンクリックツールにより、被害者のパッチ適用やクリーンアップ作業が簡素化・迅速化され、関連情報が直接共有されることになりました。このようなパートナーシップは、重大なサイバーインシデントに対する今後の取り組みの先例となるものです。
CISA created and utilized a methodology to track trends in patching and exposed Exchange servers that enabled the UCG to quantify the scope of the incident. CISAは、UCGが事件の範囲を定量的に把握するために、パッチ適用の傾向や流出したExchangeサーバを追跡する方法を作成し、活用しました。
・Through industry relationships and leveraging legal authorities, the FBI and DOJ quickly identified the scale of the incidents – in the SolarWinds UCG, for example, scoping from a worst case of 16,800 to fewer than 100 targeted exploited nongovernment entities. This enabled focused victim engagement and improved understanding of what the perpetrators targeted from the larger set of exposed entities. ・業界との連携や法的権限をうまく活用することにより、FBI と DOJ はインシデントの規模を迅速に特定しました。例えば SolarWinds の UCG では、最悪のケースである 16,800 人から、悪用された非政府機関を対象とした 100 人未満にまで範囲を拡大しました。これにより、被害者を重点的に支援することが可能になり、また、被害に遭った企業の中で犯人が何を狙っていたのかを理解することができました。
NSA and CISA released cybersecurity advisories that detailed adversary techniques and provided mitigation for system owners. NSA also provided guidance to other U.S. military and intelligence organizations, as well as contractors in the defense industrial base.  NSAとCISAは、サイバーセキュリティに関する勧告を発表し、敵対者のテクニックを詳細に説明するとともに、システム所有者に対する緩和策を提供しました。また、NSAは、他の米軍や情報機関、防衛産業基盤の請負業者にもガイダンスを提供しました。
The Biden Administration is undertaking a whole-of-government effort – working closely with Congress, the private sector, and allies and partners around the world – to build back better in new and innovative ways, to modernize our cyber defenses and enhance the nation’s ability to quickly and effectively respond to significant cybersecurity incidents. While this will not be the last major incident, the SolarWinds and Microsoft Exchange UCGs highlight the priority and focus the Administration places on cybersecurity, and at improving incident response for both the U.S. government and the private sector. バイデン政権は、議会、民間企業、世界中の同盟国やパートナーと緊密に協力しながら、政府全体で取り組んでいます。これは、新しく革新的な方法で、サイバー防御を近代化し、重大なサイバーセキュリティインシデントに迅速かつ効果的に対応する能力を強化するためのものです。これが最後の大規模インシデントではありませんが、SolarWinds社とMicrosoft Exchange社のUCGは、米国政府がサイバーセキュリティを重視し、米国政府と民間企業の両方のインシデント対応を改善することに重点を置いていることを強調しています。

 

個人的な思い込みですが、SolarWinds事件で米国政府は相当慌てたように感じました。しかし、ややもすると縦割りで動きがちが政府機関が、政府全体の危機に直面し、省庁間で連携して動き、課題を解決しつつあるという状況になり、その学びから得た教訓も踏まえ、自信に繋がっていっているようにも感じました。。。

米国のこういう一面は非常に羨ましいと感じます。。。

 

2_20210422103801

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

2021.04.22 16:52 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 法律 / 犯罪, in 危機管理 / 事業継続 | | Comments (0)

米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

こんにちは、丸山満彦です。

このブログでも紹介していますが、米国によるロシアの制裁の後、ロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談をしていて、その概要が公開されていますね。。。

ロシアと米国の関係はソビエト時代からの歴史があるので、今やなんか不思議な安定感がありますね。。。

ロシア側の公開

1_20210422103501

Совет Безопасности Российской Федерации(ロシア連邦安全保障理事会

・2021.04.19 19 апреля по инициативе американской стороны состоялся телефонный разговор Секретаря Совета Безопасности Российской Федерации с Помощником Президента США по национальной безопасности

19 апреля по инициативе американской стороны состоялся телефонный разговор Секретаря Совета Безопасности Российской Федерации с Помощником Президента США по национальной безопасности 4月19日、米国の主導により、ロシア連邦安全保障理事会書記は、米国大統領補佐官(国家安全保障担当)と電話会談を行いました。
Николай Патрушев и Джейкоб Салливан  обсудили ход подготовки к встрече на высшем уровне, а также возможные направления в развитии  российско-американского сотрудничества. ニコライ・パトルシェフとジェイコブ・サリバンは、首脳会談の準備や、ロシアと米国の協力可能な分野について話し合いました。
Состоялся обмен мнениями по ряду проблем международной повестки дня.  Подчеркнута важность скорейшего запуска двустороннего механизма по стратегической стабильности, необходимость взаимодействия России и США  по ядерной проблеме Корейского полуострова, по ситуации вокруг иранской ядерной программы. Затронуты проблемы, связанные с  участием двух государств в Договоре по открытому небу. 国際的なアジェンダであるいくつかの問題について意見交換が行われました。  両者は、戦略的安定のための二国間メカニズムを迅速に立ち上げることの重要性、朝鮮半島の核問題やイランの核開発問題でロシアと米国が協力する必要性を強調しました。また、両国のオープンスカイ条約への参加に関する問題にも触れました。
Российской стороной указано на  недопустимость вмешательства США во внутренние дела Российской Федерации и ее союзников, на необоснованность и бездоказательность обвинений, предъявленных в адрес России, на основании которых Белым домом введен пакет антироссийских санкций. ロシア側は、米国がロシア連邦およびその同盟国の内政に干渉することは許されないこと、ホワイトハウスが反ロシア制裁パッケージを導入した根拠のない非難を指摘しました。
Несмотря на неконструктивные шаги американской стороны, ведущие к дальнейшей деградации двусторонних отношений, подтверждена  готовность к продолжению диалога в интересах нормализации отношений между Москвой и Вашингтоном и обеспечения международной безопасности. 米国による非建設的な措置が二国間関係のさらなる悪化を招いているにもかかわらず、モスクワとワシントンの関係を正常化し、国際的な安全保障を確保するために、対話を継続する用意があることが確認されました。

 

 

米国側

2_20210422103801

White House

・2021.04.19 Statement by NSC Spokesperson Emily Horne on National Security Advisor Jake Sullivan’s Call with Nikolay Patrushev, Secretary of the Russian Security Council

Statement by NSC Spokesperson Emily Horne on National Security Advisor Jake Sullivan’s Call with Nikolay Patrushev, Secretary of the Russian Security Council サリバン国家安全保障補佐官とパトルシェフロシア安全保障会議書記との電話会談に関するNSC報道官エミリー・ホーンの声明
National Security Advisor Jake Sullivan spoke by phone today with Nikolay Patrushev, Secretary of the Russian Security Council. The two discussed a number of issues in the bilateral relationship, as well as regional and global matters of concern. Mr. Sullivan and Secretary Patrushev also discussed the prospect of a presidential summit between the United States and Russia and agreed to continue to stay in touch. ジェイク・サリバン国家安全保障補佐官は本日、ロシア安全保障会議のニコライ・パトルシェフ書記と電話で会談しました。二人は、二国間関係における様々な問題や、地域的・世界的な関心事について話し合いました。また、サリバン氏とパトルシェフ書記は、米露間の大統領サミットの見通しについても話し合い、今後も連絡を取り合うことで合意しました。

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.10.14 ノルウェー政府は8月のノルウェー議会の電子メールシステムへのサイバー攻撃はロシアによるものだとする声明を出していますね。。。

・2020.09.14 サイバーパワー世界ランキング

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.07.25 英国議会 諜報及び安全保証委員会報告書 ロシア

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

・2020.04.08 削除できないマルウェア xHelper の仕組みがわかった?

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

 

 

2021.04.22 10:56 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | | Comments (0)

ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.04.21 BSI zeigt Maßnahmen für sicheren KI-Einsatz auf Bild-Dokument für das Frontend

・[PDF] Sicherer, robuster und nachvollziehbarer Einsatz von KI - Probleme, Maßnahmen und Handlungsbedarfe

20210422-03705

 

BSI zeigt Maßnahmen für sicheren KI-Einsatz auf  BSIは示す安全なAI導入のための対策をまとめた
Die Künstliche Intelligenz (KI) hält zunehmend Einzug in den Alltag. Das betrifft auch potentiell kritische Anwendungsgebiete wie das (teil)autonome Fahren, die Gesichtserkennung oder die Auswertung medizinischer Daten. Den guten Leistungen der KI-Methoden stehen aber auch bislang ungelöste Probleme gegenüber. 人工知能(AI)が日常生活に浸透しつつあります。これは、(限定的な)自律走行、顔認識、医療データの解析など、潜在的に重要なアプリケーション分野にも影響を与えます。一方で、AIを安全に、堅牢に、そして追跡可能な状態で使用することに関しては、現在、未解決の問題が多くあります。
In einem Überblicksdokument zeigt das Bundesamt für Sicherheit in der Informationstechnik (BSI) Probleme, Maßnahmen und Handlungsbedarfe für einen sicheren, robusten und nachvollziehbaren KI-Einsatz auf. Acht Seiten liefern Entwicklern und Anbietern erste Ansatzpunkte für die Absicherung von KI-Produkten. Gleichzeitig unterstützt das Dokument professionelle Anwender, relevante Aspekte für Beschaffung und Einsatz von KI-Lösungen zu identifizieren. ドイツ連邦情報セキュリティ局(BSI)は、概要文書の中で、安全かつ堅牢で追跡可能なAI導入のための問題点、対策、行動の必要性を指摘しています。8ページの概要文書では、開発者やプロバイダがAI製品のセキュリティを確保するための初期のスタートポイントを提供しています。同時に、この概要文書は、AIソリューションの調達と使用に関連する側面を特定する際に事業を行う利用者を支援します。

 

・[DOC] 仮訳

 

 

2021.04.22 08:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ロボット, in 危機管理 / 事業継続, in AI/Deep Learning | | Comments (0)

欧州データ保護監督官 (EDPS) 2020年次報告 - COVID-19状況下のデータ保護

こんにちは、丸山満彦です。

欧州データ保護監督官 (European Data Protection Supervisor: EDPS) の2020年次報告書が公開されていますね。

EDPSの活動の他、個人データの侵害件数等、のデータも少しありますね。。。

 

● European Data Protection Supervisor: EDPS

・2021.04.19 (press) EDPS Annual Report 2020: data protection during COVID-19

・2021.04.19 Annual Report 2020

・[PDF] Full Text

20210421-150651 

・[PDF] Exective Summary

20210421-173649 

 

Full Textの目次と図表です。。。

 

FOREWORD 序文
MISSION, VALUES AND PRINCIPLES ミッション、バリュー、プリンシプル
EDPS STRATEGY 2020-2024 EDPS戦略2020-2024
CHAPTER 1: ABOUT THE EDPS 第1章 EDPSについて
1.1 Supervision and Enforcement 1.1 監督と執行
1.2 Policy and Consultation 1.2 政策と協議
1.3 Technology and Privacy 1.3 テクノロジーとプライバシー
1.4 The EDPS works on transversal issues 1.4 EDPSは横断的な問題に取り組んでいる
CHAPTER 2: THE EDPS’ 2020 HIGHLIGHTS 第2章 EDPSの2020年のハイライト
2.1 Data protection in a global health crisis 2.1 世界的な健康危機におけるデータ保護
2.2 EUIs’ compliance with data protection law 2.2 EUIのデータ保護法への対応
2.3 Safeguarding digital rights 2.3 デジタル権の保護
2.4 Monitoring technologies 2.4 テクノロジーの監視
2.5 The EDPS as a member of the EDPB 2.5 EDPBのメンバーとしてのEDPS
2.6 International cooperation in data protection 2.6 データ保護のための国際協力
2.7 Internal administration 2.7 内部管理
2.8 Communicating data protection 2.8 データ保護の伝達
2.9 Key Performance Indicators 2.9 主要業績評価指標
CHAPTER 3: 2020 — AN OVERVIEW 第3章 2020年 - 概要
3.1 Data Protection amid a global health crisis 3.1 世界的な健康危機の中でのデータ保護
3.2 Safeguarding EU digital rights 3.2 EUのデジタル権を守る
3.3 Supervising European institutions, bodies and agencies (EUIs) 3.3 欧州の機関・団体・組織(EUI)の監督
3.4 Supervising Area of Freedom, Security and Justice 3.4 自由・安全・正義の領域の監督
3.5 Technology and Privacy 3.5 テクノロジーとプライバシー
3.6 Legislative Consultations 3.6 立法機関への諮問
3.7 The EDPS as a member of the EDPB 3.7 EDPBのメンバーとしてのEDPS
3.8 International Cooperation 3.8 国際協力
3.9 Cooperation with Civil Society 3.9 市民社会との協力
CHAPTER 4: TRANSPARENCY AND ACCESS DOCUMENTS 第4章 透明性とアクセス文書
CHAPTER 5: THE SECRETARIAT 第5章 事務局
5.1 Information and Communication 5.1 情報とコミュニケーション
5.2 Administration, budget and staff 5.2 管理、予算およびスタッフ
CHAPTER 6. THE DATA PROTECTION OFFICER AT THE EDPS 第6章 EDPSにおけるデータ保護担当者
6.1 Accountability 6.1 説明責任
6.2 Enquiries and complaints 6.2 照会および苦情
6.3 Advising the EDPS 6.3 EDPSへの助言
6.4 Awareness-raising 6.4 アウェアネス・レイジング
6.5 Collaboration with DPOs of other EUIs 6.5 他のEUIのDPOとの連携
CHAPTER 7. ANNEXES 第7章 附属書
Annex A Legal Framework 附属書A 法的枠組み
Annex B Extract from Regulation (EU) 2018/1725 附属書B 規則(EU)2018/1725の抜粋
Annex C List of Data Protection Officers 附属書C データ保護担当者のリスト
Annex D List Of Opinions and Formal Comments 附属書D 意見と正式なコメントのリスト
Annex E List of Consultations and Prior Consultations 附属書E 協議および事前協議のリスト
Annex F Speeches by the Supervisor 附属書F 監督者のスピーチ
Annex G The EDPS 附属書G EDPSについて
   
TABLES AND GRAPHS 表とグラフ
Figure 1 EDPS KPI analysis table 図1 EDPSのKPI分析表
Figure 2 Number of complaints received 図2 苦情受付件数の推移
Figure 3 Evolution of the number of complaints, including admissible complaints, received by the EDPS 図3 EDPS が受理した苦情数(認容性のある苦情を含む)の推移
Figure 4 Europol statistics 図4 Europol統計
Figure 5 Number of personal data breach notifications per month 図5 月間の個人データ侵害通知数
Figure 6 Number of Personal Data Breach Notifications per month for the years 2019 and 2020 図6 2019 年および 2020 年の 1 ヶ月あたりの個人データ侵害通知数
Figure 7 Type of submission on personal data breach notifications in the year 2019 and 2020 図7 2019 年と 2020 年の個人データ侵害通知に関する提出物の種類
Figure 8 Type of Data Breach Notifications 図8 データ違反通知の種類
Figure 9 Root Cause of the personal data breach incidents 図9 個人データ侵害インシデントの根本原因
Figure 10 Root Cause of the personal data breach incidents - Comparison 2019-2020 図10 個人データ侵害インシデントの根本原因 - 2019 年と 2020 年の比較
Figure 11 Number of individuals affected from personal data breach incidents 図11 個人データ侵害インシデントで影響を受けた個人の数
Figure 12 Special categories of data in personal data breach incidents 図12 個人データ侵害インシデントにおけるデータの特別なカテゴリー
Figure 13 Number of personal data breach where the controller informed the data subject 図13 管理者がデータ対象者に通知した個人データ侵害の件数
Figure 14 Social media statistics 図14 ソーシャルメディアの統計

 

■ 関連

● EDPS -  Our work by topics

・ COVID 19

・2019.10.21  (press)  EDPS investigation into IT contracts: stronger cooperation to better protect rights of all individuals

・2020.09.28 Joint Parliamentary Scrutiny Group on Europol (JPSG) - Wojciech Wiewiórowski

・2020.10.29 Strategy for EU institutions to comply with “Schrems II” Ruling

欧州データ戦略に対する意見

・2020.06.20 [PDF] Opinion 3/2020 on the European strategy for data

20210421-174659

欧州委員会「AI白書 - 卓越性と信頼性のための欧州的アプローチ」に対する意見 

・2020.06.29 [PDF] Opinion 4/2020 EDPS Opinion on the European Commission’s White Paper on Artificial Intelligence – A European approach to excellence and trust

20210421-175303

オンラインでの児童性的虐待関連

・2020.11.10 [PDF] Opinion 7/2020 on the Proposal for temporary derogations from Directive 2002/58/EC for the purpose of combatting child sexual abuse online

20210421-180644

健康データ関連

・2020.11.17 [PDF] Preliminary Opinion 8/2020 on the European Health Data Space

20210421-181153


科学研究データ関係

・2020.01.06 [PDF] A Preliminary Opinion on data protection and scientific research

20210421-181717

 

EDPSの中期計画(2020-2024)

・2020.06.30 Shaping a safer digital future The EDPS Strategy 2020-2024

・2020.06.30 [PDF] Shaping a safer digital future The EDPS Strategy 2020-2024

20210421-182416

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.09 EUデータ保護当局 (EDPB/EDPS) は、デジタルグリーン証明書の提案についての共同意見を採択

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

2021.04.22 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪, in IoT, in AI/Deep Learning, in (temp)COVID-19 | | Comments (0)

2021.04.21

U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

こんにちは、丸山満彦です。

日本でもFTCで知られる、米国連邦政府の取引委員会(U.S. Federal Trade Commission: FTC)[wikipedia]は、米国の消費者保護政策等に関わり、独禁法や消費者保護法を所管する委員会で、かなり強力な権限を持っていますので、硬いイメージがあるのですが、こうやって、ブログで色々と啓発活動をしていますね。。。こうすることによって、常識形成というか世論形成をすることができるので、良いですね。日本の政府機関等もDXの一環(^^)として、もっと情報発信や情報公開を進めれば良いのにと思ってりもします。

さて、今回紹介するのは、会社でAIを使ったサービス等を提供する場合の注意点として、FTCの立場からのアドバイスということになっていますね。

意識として、Truth(真実)Fairness(公正)Equity(公平)を目指そうという内容で、とても参考になりますね。。。これからAIを社会実装したいと思っている人は、このブログの内容を参考にすれば良いと思いました。。。

正直言って、当たり前のことを堂々と書かれているので、反論する余地が無いような内容です(^^)

 

U.S. Federal Trade Commission: FTCTips & Advice  - Business Center - Business Blog 

・2021.04.19 Aiming for truth, fairness, and equity in your company’s use of AI

 

ここでは、次の3つの法律が例示されていますね。

 

Start with the right foundation. With its mysterious jargon (think: “machine learning,” “neural networks,” and “deep learning”) and enormous data-crunching power, AI can seem almost magical. But there’s nothing mystical about the right starting point for AI: a solid foundation. If a data set is missing information from particular populations, using that data to build an AI model may yield results that are unfair or inequitable to legally protected groups. From the start, think about ways to improve your data set, design your model to account for data gaps, and – in light of any shortcomings – limit where or how you use the model. 正しい出発点から始める。「機械学習」、「ニューラルネットワーク」、「ディープラーニング」などの神秘的な専門用語や膨大なデータ処理能力を持つAIは、まるで魔法のように思えるかもしれません。しかし、AIの正しい出発点である強固な基本には、神秘的なものはありません。あるデータセットに特定の集団の情報が欠けている場合、そのデータを使ってAIモデルを構築すると、法的に保護された集団に対して不公平な結果が出る可能性があります。最初から、データセットを改善する方法を考え、データのギャップを考慮してモデルを設計し、欠点を考慮してモデルを使用する場所や方法を制限してください。
Watch out for discriminatory outcomes. Every year, the FTC holds PrivacyCon, a showcase for cutting-edge developments in privacy, data security, and artificial intelligence. During  PrivacyCon 2020,  researchers presented work showing that algorithms developed for benign purposes like healthcare resource allocation and advertising actually resulted in racial bias. How can you reduce the risk of your company becoming the example of a business whose well-intentioned algorithm perpetuates racial inequity? It’s essential to test your algorithm – both before you use it and periodically after that – to make sure that it doesn’t discriminate on the basis of race, gender, or other protected class. 差別的な結果に注意する。FTCは毎年、プライバシー、データセキュリティ、人工知能の最先端の発展を紹介するPrivacyConを開催しています。PrivacyCon 2020では、医療資源の配分や広告などの良心的な目的で開発されたアルゴリズムが、実際には人種的な偏見をもたらしていることを示す研究成果が発表されました。良かれと思って開発したアルゴリズムが人種間の不公平を助長してしまう、という例に自社がなってしまうリスクを減らすにはどうしたらよいでしょうか。アルゴリズムを使用する前に、また使用後も定期的にテストを行い、人種や性別、その他の保護されたクラスに基づく差別が行われていないことを確認することが重要です。
Embrace transparency and independence. Who discovered the racial bias in the healthcare algorithm described at PrivacyCon 2020 and later published in Science? Independent researchers spotted it by examining data provided by a large academic hospital. In other words, it was due to the transparency of that hospital and the independence of the researchers that the bias came to light. As your company develops and uses AI, think about ways to embrace transparency and independence – for example, by using transparency frameworks and independent standards, by conducting and publishing the results of independent audits, and by opening your data or source code to outside inspection. 透明性と独立性を受け入れる。PrivacyCon 2020で発表され、その後Sサイエンス誌に掲載されたヘルスケアアルゴリズムの人種的偏りを発見したのは誰でしょうか?独立した研究者が、大規模な学術病院から提供されたデータを調査することで発見しました。つまり、その病院の透明性と研究者の独立性があったからこそ、偏りが明らかになったのです。あなたの会社でも、AIを開発・利用する際には、透明性と独立性を確保する方法を考えましょう。例えば、透明性フレームワークや独立した基準を利用する、独立した監査を実施してその結果を公表する、データやソースコードを外部に公開するなどの方法があります。
Don’t exaggerate what your algorithm can do or whether it can deliver fair or unbiased results. Under the FTC Act, your statements to business customers and consumers alike must be truthful, non-deceptive, and backed up by evidence. In a rush to embrace new technology, be careful not to overpromise what your algorithm can deliver. For example, let’s say an AI developer tells clients that its product will provide “100% unbiased hiring decisions,” but the algorithm was built with data that lacked racial or gender diversity. The result may be deception, discrimination – and an FTC law enforcement action. アルゴリズムができることや、公正で偏見のないな結果を出せるかどうかを誇張してはいけません。FTC法では、企業の顧客や消費者に向けた声明は、真実であり、欺瞞的でなく、証拠に裏付けられたものでなければならないとされています。新技術の導入を急ぐあまり、アルゴリズムが提供できる結果を過大評価しないように注意してください。例えば、AI開発者がクライアントに「100%偏りのない採用判断」を提供すると言っておきながら、そのアルゴリズムは人種や性別の多様性を欠いたデータで構築されていたとします。そうであれば、欺瞞的で差別のある結果になるかもしれません。そしてその結果、FTCによる法執行が行われるかもしれません。 
Tell the truth about how you use data. In our guidance on AI  last year, we advised businesses to be careful about how they get the data that powers their model. We noted the FTC’s complaint against Facebook which alleged that the social media giant misled consumers by telling them they could opt in to the company’s facial recognition algorithm, when in fact Facebook was using their photos by default. The recent action against app developer Everalbum reinforces that point. According to the complaint, Everalbum used photos uploaded by app users to train its facial recognition algorithm. The FTC alleged that the company deceived users about their ability to control the app’s facial recognition feature and made misrepresentations about users’ ability delete their photos and videos upon account deactivation. To deter future violations, the proposed order  requires the company to delete not only the ill-gotten data, but also the facial recognition models or algorithms developed with users’ photos or videos. データの使用方法について真実を伝える。昨年のAIに関するガイダンスで、私たちは企業に対し、モデルの動力源となるデータの入手方法に注意するようアドバイスしました。これは、ソーシャルメディア大手のFacebookが、同社の顔認識アルゴリズムへの参加を選択できると伝えて消費者を欺いていたが、実際にはFacebookはデフォルトで消費者の写真を使用していたとするものです。今回のFTCによるアプリ開発会社Everalbumに対する措置は、この点を補強するものです。訴状によると、Everalbumはアプリのユーザーがアップロードした写真を使って、顔認識アルゴリズムを訓練していました。FTCは、同社がアプリの顔認識機能をコントロールする能力についてユーザーを欺き、アカウント停止時にユーザーが写真やビデオを削除できることについて虚偽の説明をしたと主張しています。今後の違反行為を抑止するため、今回の命令案では、不正に取得したデータだけでなく、ユーザーの写真や動画を用いて開発された顔認識モデルやアルゴリズムも削除するよう求めています。
Do more good than harm. To put it in the simplest terms, under the FTC Act, a practice is unfair if it causes more harm than good. Let’s say your algorithm will allow a company to target consumers most interested in buying their product. Seems like a straightforward benefit, right? But let’s say the model pinpoints those consumers by considering race, color, religion, and sex – and the result is digital redlining (similar to the Department of Housing and Urban Development’s case against Facebook in 2019). If your model causes more harm than good – that is, in Section 5 parlance, if it causes or is likely to cause substantial injury to consumers that is not reasonably avoidable by consumers and not outweighed by countervailing benefits to consumers or to competition – the FTC can challenge the use of that model as unfair. 害になることではなく良いことをする。もっとも簡単に言えば、FTC法では、ある行為が善よりも害をもたらす場合、その行為は不公正であるとしています。例えば、あなたのアルゴリズムによって、ある企業が自社製品の購入に最も関心のある消費者をターゲットにできるようになるとします。一見、単純なメリットに見えますよね?しかし、そのモデルが、人種、肌の色、宗教、性別を考慮してそれらの消費者をピンポイントで特定し、その結果、デジタル・レッドラインとなったとしましょう(2019年に住宅都市開発省がFacebookに対して行った訴訟に似ています)。あなたのモデルが善よりも害をもたらす場合、つまり、セクション5の言葉で言えば、消費者によって合理的に回避できず、消費者または競争に対する相殺される利益によって相殺されない実質的な損害を消費者にもたらす、またはその可能性がある場合、FTCはそのモデルの使用を不公正として異議を唱えることができます。
Hold yourself accountable – or be ready for the FTC to do it for you. As we’ve noted, it’s important to hold yourself accountable for your algorithm’s performance. Our recommendations for transparency and independence can help you do just that. But keep in mind that if you don’t hold yourself accountable, the FTC may do it for you. For example, if your algorithm results in credit discrimination against a protected class, you could find yourself facing a complaint alleging violations of the FTC Act and ECOA. Whether caused by a biased algorithm or by human misconduct of the more prosaic variety, the FTC takes allegations of credit discrimination very seriously, as its recent action against Bronx Honda demonstrates. 自分で責任を負うか、さもなくばFTCが責任を負わせるということを覚悟してください。これまで述べてきたように、自社のアルゴリズムのパフォーマンスに責任を持つことは重要です。透明性と独立性に関する私たちの推奨事項は、まさにそのためのものです。しかし、説明責任を果たさなければ、FTCが代わりに説明責任を果たさせることを覚悟しておいてください。例えば、アルゴリズムの結果、保護されるべきクラスに対する信用差別が発生した場合、FTC法およびECOAの違反を主張する訴状に直面する可能性があります。偏ったアルゴリズムによるものであれ、より平凡な人間の不正行為によるものであれ、FTCは信用差別の申し立てを非常に深刻に受け止めており、Bronx Hondaに対する最近の措置がそれを示しています。

 

Fec-seal



  

2021.04.21 14:58 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in AI/Deep Learning | | Comments (0)

英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

こんにちは、丸山満彦です。

U.K. のCentre for Data Ethics and Innovation: CDEI(データ倫理とイノベーションセンター)のブログでAIの保証についての3つの記事がありますね。。。

これはなかなか興味深いです。。。

 

● U.K. Government - Centre for Data Ethics and Innovation: CDEI - blog

・2021.04.15 The need for effective AI assurance(効果的なAI認証の必要性)

・2021.04.16 User needs for AI assurance(AI保証についてのユーザのニーズ)

・2021.04.17 Types of assurance in AI and the role of standards(AI保証の種類と標準の役割)

 

Gvmntlogosquare

 

■ 参考

英国 情報保護局のAIのアルゴリズム監査についてのガイドです。

U.K. Information Commissioner's Office 英国 情報保護局

Guidance on AI and data protection

・2020.07.30 Blog: ICO launches guidance on AI and data protection

・2019.03.26 An overview of the Auditing Framework for Artificial Intelligence and its core components

Reuben Binns, our Research Fellow in AI, and Valeria Gallo, Technology Policy Advisor, outline the proposed structure, core components and areas of focus of the ICO’s new auditing framework for artificial intelligence (AI).

・2019.03.26 [PDF] Guidance on the AI auditing framework (draft)

20210421-24408

Draft Guidance on AI and data protection

AIの保証については、これも参考にしてくださいませ。(上の英国 情報保護局のガイドを読む前にこっちを先に読んで全体感を理解してから、上を読んだ方が良いかも...)

Ada Lovelace Institute の報告書で、AIアルゴリズムの評価方法を4種類に分けて説明していて、英国 情報保護局のガイドは4種類の評価方法のうちの1つに分類されるという整理になっています。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

2021.04.21 02:45 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in AI/Deep Learning | | Comments (0)

2021.04.20

経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

こんにちは、丸山満彦です。

経済産業省が、

...セキュリティ検証サービスの高度化を目的とし、検証サービス事業者及び検証依頼者が実施すべき事項や、二者間のコミュニケーションにおいて留意すべき事項等について整理した「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」を公開しました。 

とのことです。。。産業サイバーセキュリティ研究会WG3の成果物ですね。(ちなみに私はWG2です。。。)

● 経済産業省

・2021.04.19 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引きを取りまとめました

本手引きは、セキュリティ検証サービスの高度化を目的とするもので、以下の点について整理したものです。

  • 機器のセキュリティ検証において検証サービス事業者が実施すべき事項
  • より良い検証サービスを受けるために検証依頼者が実施すべき事項及び持つべき知識
  • 検証サービス事業者・検証依頼者間の適切なコミュニケーションのために二者間で共有すべき情報や留意すべき事項

 

手引きの本編・別冊の概要

20210420-132405

(いわゆる白表紙。。。表紙より中身です。もちろん!でも、諸外国の資料と比べるとなぁ...とか...)

本編の目次

----
「機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き」 の策定にあたって

1. 背景と目的
1.1 背景
1.2 本手引きの目的
1.3 本手引きで対象とする機器
1.4 対象者
1.5 本手引きの活用方法
1.6 本手引き・本編の構成

2. 機器検証とは
2.1 検証の目的
2.2 一般的な検証手法
2.3 その他の検証手法

3. 検証の実施
3.1 検証手順
3.2 検証に向けた準備
3.3 検証計画の策定
3.4 検証実施
3.5 検証における留意点

4 検証結果の報告
4.1 検証結果の分析
4.2 検証結果の報告

5 付録
5.1 機器固有の検証手法等
5.2 用語集
5.3 参考文書

【別冊1】脅威分析及びセキュリティ検証の詳細解説書の目次

1. 背景と目的

2. 対象機器の調査・モデル化

3. 対象機器の脅威分析
3.1 概要
3.2 脅威分析の対象の決定と守るべき資産の洗い出し
3.3 DFD によるデータフローの可視化
3.4 STRIDE による脅威の洗い出し
3.5 Attack Tree による脅威を実現する攻撃手法の調査
3.6 DREAD による脅威が実現した場合のリスクの評価
3.7 脅威分析の具体例
3.8 分析結果のセキュリティ検証への活用

4. セキュリティ検証の詳細手順
4.1 概要
4.2 検証環境
4.3 ファームウェア解析
4.4 バイナリ解析
4.5 ネットワークスキャン
4.6 既知脆弱性の診断
4.7 ファジング
4.8 ネットワークキャプチャ

5. 検証結果の分析と報告
5.1 ファームウェア解析
5.2 バイナリ解析
5.3 ネットワークスキャン
5.4 既知脆弱性の診断
5.5 ファジング
5.6 ネットワークキャプチャ

6 付録
6.1 用語集
6.2 参考文書
6.3 脅威分析手法の補足
6.4 Raspberry Pi 環境の構築手順
6.5 Bluetooth インタフェースに対する検証について
6.6 セキュリティ検証に活用できるツール、技術の補足
6.7 DREAD によるスコアリングの補足

 

1. 背景と目的

2. IoT 機器等開発における検証の位置づけ

3. 機器メーカにおける脅威分析の実施
3.1 守るべき資産の検討
3.2 攻撃ポイントの分析
3.3 想定される脅威の分析
3.4 セキュリティ要求事項の検討

4. 検証依頼にあたって機器メーカが知るべき検証手法
4.1 機器メーカが知るべき代表的な検証手法
4.2 ハードウェアハッキング・ファームウェア解析
4.3 バイナリ解析
4.4 ネットワークスキャン
4.5 既知脆弱性の診断
4.6 ファジング
4.7 ネットワークキャプチャ
4.8 検証依頼時に用意することが望まれる情報

5. 検証結果を踏まえた対応の検討
5.1 検証報告に対する機器メーカの対応
5.2 検証結果に基づくリスク評価と対応方針の検討
5.3 ハードウェアハッキング・ファームウェア解析の結果を踏まえての対応
5.4 バイナリ解析の結果を踏まえての対応
5.5 ネットワークスキャンの結果を踏まえての対応
5.6 既知脆弱性の診断の結果を踏まえての対応
5.7 ファジングの結果を踏まえての対応
5.8 ネットワークキャプチャの結果を踏まえての対応
5.9 製品リリースにあたり機器メーカとして検討しておくべき事項

6 付録
6.1 国内外のセキュリティガイドラインと本別冊との対応
6.2 検証依頼時に用意することが望まれる情報の逆引き表
6.3 用語集


 

2021.04.20 13:59 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | | Comments (0)

気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

こんにちは、丸山満彦です。

今日は、気になった記事を2つ紹介したいと思います。

最初は、JNSAの自動車セキュリティに関連する記事で、J-Auto-ISACの中島さんの記事です...

● JNSA - リレーコラム

・2021.04.16 第209号:大変革期に突入した自動車産業とサイバーセキュリティ

印象に残ったのが、

すでにクルマの制御プログラムに使用するソースコードの総行数はスマホOSの1,200万行、戦闘機の2,400万行を大きく上回り、2億行に迫っています。今後の自動運転技術の進展を踏まえて6億行に達するという予測も出ています。

という話です。自動車のコードって戦闘機よりのコードよりも多いんですね。プロが乗る戦闘機と違い、一般大衆が乗る自動車だからこそ、エラー処理も含めて丁寧に対応する必要もあってコードが増えているという面もあるのですかね。。。

まぁ、いずれにしても2億行もコードがあれば、どこかに脆弱性はあるでしょうし、いろいろな利害関係者のネットワークと思うと対応が難しいかもしれませんね。。。そして、

今、自動車業界は「ソフトウェアのサプライチェインマネジメント」という課題に直面しています。しかし何層もの裾野産業に支えられた巨大なピラミッド構造を考えると解決は容易ではありません。

という話です。

ソフトウェアというかプログラムの資産管理が必要かもしれませんね。。。ソフトウェアBOMのような仕組みです。オープンソフトも含めて考えなければならないのですが、何かアイデアを絞って考える必要がありますね。。。

 

 

もう一つは、「クラウドネイティブセキュリティ101」です。

● Cloud Seucurity Alliance

・2021.04.19 Cloud-Native Security 101

これは、Intezerブログ2021.04.01に掲載されていたものを再掲載したものです。これからクラウドネイティブに変わるとセキュリティについての考え方を変えて行かないといけないのでは、という話です。

Traditional perimeter-based security approaches fall short for cloud-native applications. The deployment and delivery processes have become more decentralized and agile, but security strategies need to be revamped to keep up with development. As those strategies change and enterprises shift to cloud-native applications, what are the do’s and don’ts of security? 従来の境界線を利用したセキュリティアプローチでは、クラウド・ネイティブ・アプリケーションには対応できません。デプロイメントとデリバリーのプロセスはより分散化され、アジャイルになっていますが、開発に追いつくためにはセキュリティ戦略を見直す必要があります。このような戦略の変化と企業のクラウドネイティブアプリケーションへの移行に伴い、セキュリティの「やるべきこと」と「やってはいけないこと」はどのようになっているのでしょうか。

という話です。

deployment と delivery の違いとか、整理しないといけないなぁと思ったりしました。。。

次のポイントが指摘されていました。参考まで...

The “Cattle, Not Pets” Approach 「ペットではなく牛」というアプローチ
Dynamically scalable environments drive agility in the cloud, where environments are created and destroyed as needed. This means that security should be integrated with the deployment process through security as code to keep up with the speed of development. In short, security should be integrated into design from day one, not as an afterthought. 動的に拡張可能な環境は、必要に応じて環境を作成したり破壊したりするクラウドのアジリティを促進します。つまり、開発のスピードに追いつくためには、セキュリティをコードとして統合し、デプロイメント・プロセスに組み込む必要があります。つまり、セキュリティは後付けではなく、初日から設計に組み込まれるべきなのです。
As workloads move to the cloud, deployments get automated through infrastructure as code (IaC). If you integrate security best practices into IaC, the resources will be protected when you deploy for the first time, reducing the attack surface. Deploying resources first and securing them later leaves your application vulnerable to attack. ワークロードがクラウドに移行すると、Infrastructure as Code(IaC)によってデプロイメントが自動化されます。IaCにセキュリティのベストプラクティスを統合すれば、最初にデプロイする際にリソースが保護され、攻撃対象が減少します。リソースを先にデプロイし、後からセキュリティを確保すると、アプリケーションは攻撃されやすい状態になります。
... ...
Focus on Runtime Protection ランタイム保護の重視
When compared to cloud non-native deployments, the focus shifts from perimeter security to runtime security in the cloud. While minimizing attack surface is important, it is also crucial to ensure comprehensive runtime security. クラウドの非ネイティブなデプロイメントと比較すると、クラウドでは境界線のセキュリティからランタイムのセキュリティに焦点が移ります。攻撃対象を最小限に抑えることは重要ですが、包括的なランタイム・セキュリティを確保することも重要です。
... ...
Undetected Threats in Linux Linuxに潜む脅威
... ...
Linux is traditionally considered secure, as it has features like SELinux and restricted user access, which is reinforced with cloud firewalls and access control mechanisms. However, recent trends show that Linux is increasingly becoming a preferred target for attackers. Linuxは、SELinuxのような機能を持ち、ユーザーのアクセスが制限されており、クラウドのファイアウォールやアクセス制御機構で強化されているため、伝統的に安全だと考えられています。しかし、最近の傾向では、Linuxが攻撃者の好ましい標的となるケースが増えています。
... ...
Cloud-Native Microservices クラウドネイティブなマイクロサービス
... ...
However, keep in mind that the cloud follows a shared responsibility model, where ownership of workload security is still with the customer. Defense-in-depth security practices for cloud-native microservices should include guardrails at all layers, such as the cluster, containers and code security. しかし、クラウドは責任共有モデルを採用しており、ワークロードのセキュリティの所有権は依然として顧客にあることに留意してください。 クラウドネイティブなマイクロサービスのための徹底したセキュリティ対策には、クラスター、コンテナ、コードセキュリティなど、すべての層でガードレールを設ける必要があります。
... ...
Moving one layer deeper to containers, where the workloads are deployed, it is recommended to implement image scanning to identify compromised images. Enabling the principle of least privilege (PoLP) for users will help to protect against unauthorized access to containers. You should also avoid security anti-patterns, such as disabling SELinux, host root access, and privilege elevation. Any configuration change should be enabled only through CI/CD pipelines, and deviations should be strictly monitored and reported. また、ワークロードが配置されているコンテナについては、イメージスキャンを実施して危険なイメージを特定することが推奨されます。ユーザーにPoLP(Principle of least privilege)を有効にすることで、コンテナへの不正なアクセスから保護することができます。また、SELinuxの無効化、ホストのルートアクセス、特権昇格など、セキュリティのアンチパターンを避ける必要があります。構成の変更は、CI/CDパイプラインを通じてのみ有効にし、逸脱は厳密に監視して報告する必要があります。
In addition to cluster and container security, you should also ensure code security through static code analysis, third-party library scanning for vulnerabilities, use of automated tools to protect from known attacks, port restriction, and other means. クラスタやコンテナのセキュリティに加えて、静的なコード解析、サードパーティのライブラリによる脆弱性のスキャン、既知の攻撃から保護するための自動化ツールの使用、ポートの制限などにより、コードのセキュリティを確保する必要があります。
... ...

セキュリティ対策の根本は変わらないと思いますが、重点を当てる部分や手段は環境に合わせて考える必要がありますね。。。

 

2021.04.20 13:12 追記

「“Cattle, Not Pets”って何?」と質問がきたのですが、これはパブリッククラウドを説明する際に、過去から時々出てくる言い回しのようなもので、要は、「あなたにとってかけがえのないたった一つのペット(従来のオンプレミスの比喩)ではなくて、広大な牧場にいる番号で管理されている牛の群れ(クラウドの比喩)を扱っているという感覚ですよ。。。ということだと思います。。。多分。。。」

1_20210420085201

2021.04.20 08:46 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT | | Comments (0)

2021.04.19

EDPB(欧州データ保護会議) UKの十分性についての意見

こんにちは、丸山満彦です。

EDPB(欧州データ保護会議) UKの十分性についての意見を発表しているので、備忘録... (当初、同等性と書いていました、十分性に修正しました。 at 2021.07.07)

現在は同等だが、将来は乖離するかもしれないので、よくみておかないといけないよ、という感じでしょうか? 意見省は2つあります。

Opinion 14/2021は、GDPRに基づく意見。一般的なデータ保護の側面と、適切な決定案に含まれる法執行と国家安全保障の目的でEEAから転送された個人データへの政府のアクセスの両方を評価するものです。

Opinion 15/2021は、法執行指令(LED)に基づく意見。法執行指令の下での妥当性参照に関する勧告01/2021、監視措置のための欧州必須保証に関する勧告02/2020に反映された関連判例法に照らして妥当性決定案を分析しているもので、欧州委員会が提示し、EDPBが評価を行った、LEDの下での第三国の妥当性に関する初めての実施決定案となっています。

 

European Data Protection Board: EDPB

・2021.04.16 EDPB Opinions on draft UK adequacy decisions

・2021.04.13 [PDF] Opinion 14/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the United Kingdom

20210419-65345

 

・2021.04.13 [PDF] Opinion 15/2021 regarding the European Commission Draft Implementing Decision pursuant to Directive (EU) 2016/680 on the adequate protection of personal data in the United Kingdom

20210419-65403

 

 

各意見書の目次は↓

 

Continue reading "EDPB(欧州データ保護会議) UKの十分性についての意見"

2021.04.19 10:06 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | | Comments (0)

複式簿記・会計システムとゼロトラスト・アーキテクチャ、そして収斂進化

こんにちは、丸山満彦です。

とある理由で公認会計士の資格をとったわけですが、そして気づいたことが、複式簿記システムがよくできていること。そしてその上で、個々の仕訳処理の承認と、決算時の処理、そして内部監査を含む内部統制、そして外部の独立監査、この全体の仕組みがよくできているということです。時々、粉飾決算の問題はあるものの、その事故の発生割合は比較的少ないと言えると思います。

さて、それがどうゼロトラスト・アーキテクチャーと関連するのかということですが、、、

まず、ゼロトラスト・アーキテクチャーを簡単に復習しましょう。PwCジャパンのウェブページの「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」がわかりやすいので、そこを参考にしてみましょう。

NISTのゼロトラストの考え方について、図2に示しています。

①すべてのデータソースとコンピューティングサービスはリソースと見なす
②ネットワークの場所に関係なく、全ての通信を保護する
③企業リソースへのアクセスは、セッション単位で付与する
④リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する
⑤企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する
⑥全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する
⑦企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する

さて、これを会計システムとマッピングしていきましょう。。。

 

①すべてのデータソースとコンピューティングサービスはリソースと見なす 会計では、財産的な価値や義務があるものは全て勘定科目に記録されますよね。。。
②ネットワークの場所に関係なく、全ての通信を保護する 会計帳簿を昔はボールペンで書いていたということですかね(消せない、濡れても滲まない...)
③企業リソースへのアクセスは、セッション単位で付与する これ重要です! 会計処理は仕訳単位で都度承認する。コクヨの仕訳伝票には承認欄がついていますね。。。
④リソースへのアクセスは、クライアントID、アプリケーション、要求する資産の状態、その他の行動属性や環境属性を含めた動的ポリシーによって決定する これも重要です! 処理の重要性に応じて決裁ルールを決める。日々の文房具の承認は購買課長の承認で良いが、本社ビル用の土地の購入は取締役決議が必要ですよね。
⑤企業は、全ての資産の整合性とセキュリティ動作を監視し、測定する 複式簿記の仕組みと、各組織における予実分析、経理部門による分析等による日常の監視に当たりますかね。
⑥全てのリソースの認証と認可は動的に行われ、アクセスが許可される前に厳格に実施する 現金や預金通帳、銀行印、有価証券等を扱える人は事前に厳格に決められていて、取引をする前に事前承認をしますよね。
⑦企業は、資産やネットワークインフラストラクチャ、通信の現状について可能な限り多くの情報を収集し、それをセキュリティ対策の改善に利用する 第二線としての経理部門、第三線としての内部監査部門の役割ですかね。。。

 

類似性がありますよね。会計のわかっている人は、ゼロトラストが絶対わかると思います!!!お金の保護から始まったか、デジタル資産の保護から始まったかの違いがあるものの、同じような「資産の保全」に関連することですから、内部統制に通じ、同じような構造になるのでしょうね。

さらにゼロトラスト・アーキテクチャというかこれらのデジタル資産保護で求められるのは、複式簿記的な自律的なチェック機能かもしれませんね。複式簿記の仕組みは本当によくできています。。。

逆に、ゼロトラスト・アーキテクチャから会計システムが学ぶべきことは、その実行の仕方でしょうね。

会計システムでは、多くが人を解して処理されますが、コンピュータ処理上の多くは自動承認となります(トランザクション量が違いすぎますからね...) 。これからは会計システムでも、AI等を活用した自動承認処理の導入が進むでしょうね。

 

独立して進化してきたにもからわらず、類似環境に置かれたことによりよく似た形態になることを収斂進化 (Convergent evolution) [wikipedia]と言います。

 

有名な例は、

魚竜(例えば、イクチオサウルス)とイルカやサメ

1599pxichthyosaur_vs_dolphinsvg

(wikipedia)

翼竜(例えば、プテラノドン)とコウモリや鳥

746pxhomology

(wikipedia)

がありますね。

会計システムとゼロトラスト・アーキテクチャも同じなのかもしれませんね。。。

2021.04.19 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント | | Comments (0)

2021.04.18

NISTIR 8356 (Draft) デジタルツイン技術と新しい標準に関する考慮事項

こんにちは、丸山満彦です。

NISTが NISTIR 8356 Considerations for Digital Twin Technology and Emerging Standardsのドラフトを公表し、意見募集をしていますね。。。

これは、興味深い!

 

NIST - ITL

・2021.04.16 NISTIR 8356 (Draft) Considerations for Digital Twin Technology and Emerging Standards

・[PDF]  NISTIR 8356 (Draft)

20210417-151658

 

Announcement 発表
Digital twin technology is an emerging area of research and standardization. Because of this, there may be a lack of clarity as to what is new with digital twins and what promise this technology holds. This report provides a detailed definition of digital twins, the motivation and vision for their use, common low-level operations, usage scenarios, and example use cases. Focusing on technical considerations with the cybersecurity and trust of digital twins, this report analyzes novel cybersecurity challenges arising from the use of digital twin architectures and examines the traditional cybersecurity challenges that apply. Finally, this draft report evaluates trust issues—including the impact a lack of trust and standards can have on digital twin functionality and quality—and maps those evaluations to other NIST cybersecurity guidance. デジタルツイン技術は、研究や標準化が進んでいる分野です。そのため、デジタルツインの何が新しいのか、この技術がどのような可能性を秘めているのか、明確になっていない場合があります。本レポートでは、デジタルツインの詳細な定義、使用の動機とビジョン、一般的な低レベルの操作、使用シナリオ、および使用例を提供します。デジタルツインのサイバーセキュリティと信頼性に関する技術的考察に焦点を当て、デジタルツイン・アーキテクチャの使用から生じる新たなサイバーセキュリティの課題を分析し、適用される従来のサイバーセキュリティの課題を検討しています。最後に、信頼や基準の欠如がデジタルツインの機能や品質に与える影響など、信頼に関する問題を評価し、それらの評価をNISTの他のサイバーセキュリティガイダンスにマッピングしています。
   
Abstract 概要
Digital twin technology enables the creation of electronic representations of real-world entities and the viewing of the state of those entities. Its full vision will require standards that have not yet been developed. It is relatively new although it uses many existing foundational technologies and, in many cases, appears similar to existing modeling and simulation capabilities. This report attempts to provide clarity in understanding the concept and purpose of digital twins. It offers a new definition for a digital twin, and describes characteristics, features, functions, and expected operational uses. The report then discusses novel cybersecurity challenges presented by digital twin architectures. Lastly, it discusses traditional cybersecurity challenges as well as trust considerations in the context of existing NIST guidance and documents. デジタルツイン技術は、実世界のエンティティを電子的に表現し、それらのエンティティの状態を見ることを可能にします。この技術を実現するには、まだ開発されていない標準規格が必要です。デジタルツインは比較的新しい技術ですが、既存の基盤技術を多く使用しており、多くの場合、既存のモデリングやシミュレーション機能と類似しています。本報告書は、デジタルツインの概念と目的を明確にすることを目的としています。本レポートでは、デジタルツインの概念と目的を明確にし、デジタル・ツインの新しい定義を提示し、特徴、機能、期待される運用方法について説明しています。次に、デジタルツイン・アーキテクチャがもたらす新たなサイバーセキュリティ上の課題について説明します。最後に、従来のサイバーセキュリティの課題と、NISTの既存のガイダンスや文書との関連で、信頼に関する考察について述べています。

 

1 Introduction 1 序文
2 Definition of Digital Twins 2 「デジタルツイン」の定義
3 Motivation and Vision 3 動機とビジョン
3.1 Advantages of Digital Twin Technology 3.1 デジタルツイン技術の利点
3.2 Expectation of Standards 3.2 標準規格への期待
3.3 A More Detailed Look at Supportive Technologies 3.3 より詳細な支援技術の検討
4 Operations on Digital Twins 4 デジタルツインの運用
4.1 Creation and Definition of Digital Twins 4.1 デジタルツインの作成と定義
4.2 Manipulation and Modification of Digital Twin Definitions 4.2 デジタルツインの定義の操作と変更
4.3 Exchange of Digital Twin Definitions 4.3 デジタルツインの定義の交換
5 Usage Scenarios for Digital Twins 5 デジタルツインの利用シーン
5.1 Viewing Static Models of Digital Twins 5.1 デジタルツインの静的モデルの閲覧
5.2 Executing and Viewing Dynamic Models of Digital Twins 5.2 デジタルツインの動的モデルの実行と閲覧
5.3 Real-time Monitoring of Real-world Entities 5.3 実世界のエンティティのリアルタイムな監視
5.4 Real-time Command and Control of Real-world Entities 5.4 実世界のエンティティのリアルタイムなコマンド&コントロール
6 Highlighted Use Cases 6 注目のユースケース
7 Cybersecurity Considerations 7.サイバーセキュリティに関する考察
7.1 Novel Cybersecurity Challenges 7.1 新たなサイバーセキュリティの課題
7.1.1 Massive Instrumentation of Objects 7.1.1 オブジェクトの大規模な計測
7.1.2 Centralization of Object Measurements 7.1.2 物体計測の集中化
7.1.3 Visualization/Representation of Object Operation 7.1.3 対象物の操作の視覚化と表現
7.1.4 Remote Control of Objects 7.1.4 物体の遠隔操作
7.1.5 Standards for Digital Twin Definitions 7.1.5 デジタルツインの定義に関する規格
7.2 Traditional Cybersecurity Challenges and Tools 7.2 従来のサイバーセキュリティの課題とツール
8 Trust Considerations 8 信頼に関する考察
9 Conclusions 9 結論
References 参考文献

2021.04.18 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | | Comments (0)

2021.04.17

U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

こんにちは、丸山満彦です。

U.S. GAOが、連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点があると報告していますね。。。

(これに限りませんが)こういうことを全世界に公表できるGAOはすごいし、それを当然と考えている米国民はすごいなぁ、と思います。。。

● U.S. GAO

・2021.04.16 Information Technology and Cybersecurity:Significant Attention Is Needed to Address High-Risk Areas

・[PDF] Highlits

・[PDF] INFORMATION TECHNOLOGY AND CYBERSECURITY: Significant Attention Is Needed to Address High-Risk Areas

20210417-144443

Fast Facts 概要
The federal government spends more than $100 billion on IT and cyber-related investments annually—but many of them have failed or performed poorly, have been poorly managed, and have security weaknesses. 連邦政府は、ITおよびサイバー関連の投資に年間1,000億ドル(10兆円)以上を費やしていますが、その多くが失敗したり、パフォーマンスが低かったり、管理が不十分だったり、セキュリティ上の弱点を抱えています。
Improving IT acquisitions and operations management and ensuring cybersecurity have been on our High Risk List since 2015 and 1997, respectively. We testified that little progress has been made. IT取得・運用管理の改善とサイバーセキュリティの確保は、それぞれ2015年と1997年からハイリスクリストに掲載されています。GAOは、それがほとんど進展していないと証言しました。
The federal government and agencies must take action. For example, the government should develop and execute a comprehensive cybersecurity strategy. 連邦政府と各省庁は対策を講じる必要があります。例えば、政府は、包括的なサイバーセキュリティ戦略を策定し、実行する必要があります。
Agencies have yet to implement many of our critical recommendations in these areas. 各省庁は、これらの分野における我々の重要な提言の多くをまだ実施していません。
   
Highlights ハイライト
What GAO Found GAOの調査結果
In its March 2021 high-risk series update, GAO reported that significant attention was needed to improve the federal government's management of information technology (IT) acquisitions and operations, and ensure the nation's cybersecurity. Regarding management of IT, overall progress in addressing this area has remained unchanged. Since 2019, GAO has emphasized that the Office of Management and Budget (OMB) and covered federal agencies need to continue to fully implement critical requirements of federal IT acquisition reform legislation, known as the Federal Information Technology Acquisition Reform Act (FITARA), to better manage tens of billions of dollars in IT investments. For example: GAOは、2021年3月のハイリスクシリーズの更新で、連邦政府の情報技術(IT)の取得と運用の管理を改善し、国のサイバーセキュリティを確保するために、重要な注意が必要であると報告しました。ITの管理については、全体的な取り組みの進捗状況は変わっていません。2019年以降、GAOは、数百億ドル規模のIT投資をよりよく管理するために、連邦情報技術取得改革法(FITARA)として知られる連邦IT取得改革法の重要な要件を、行政管理予算局(OMB)と対象となる連邦機関が引き続き完全に実施する必要があることを強調してきました。例えば、以下のようなものがあります。
・OMB continued to demonstrate leadership commitment by issuing guidance to implement FITARA statutory provisions, but sustained leadership and expanded capacity were needed to improve agencies' management of IT. ・OMBは、FITARAの法的規定を実施するためのガイダンスを発行し、引き続きリーダーシップを発揮しましたが、各省庁のIT管理を改善するためには、持続的なリーダーシップと能力の拡大が必要でした。
・Agencies continued to make progress with reporting FITARA milestones and plans to modernize or replace obsolete IT investments, but significant work remained to complete these efforts. ・各省庁は、FITARA のマイルストーンの報告や、老朽化した IT 投資の近代化や置き換えの計画について、引き続き進展がありましたが、これらの取り組みを完了させるには大きな課題が残っていました。
・Agencies improved the involvement of their agency Chief Information Officers in the acquisition process, but greater cost savings could be achieved if IT acquisition shortcomings, such as reducing duplicative IT contracts, were addressed. ・各省庁は、取得プロセスにおける省庁の最高情報責任者の関与を改善しましたが、重複するIT契約の削減など、IT取得の欠点に取り組めば、より大きなコスト削減が可能です。
In March 2021, GAO reiterated the need for agencies to address four major cybersecurity challenges facing the nation: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting cyber critical infrastructure, and (4) protecting privacy and sensitive data. GAO identified 10 actions for agencies to take to address these challenges. However, since 2019, progress in this area has regressed—GAO's 2021 rating of leadership commitment declined from met to partially met. To help address the leadership vacuum, in January 2021, Congress enacted a statute establishing the Office of the National Cyber Director. Although the director position has not yet been filled, on April 12 the President announced his intended nominee. Overall, the federal government needs to move with a greater sense of urgency to fully address cybersecurity challenges. In particular: 2021年3月、GAOは、国家が直面している4つの主要なサイバーセキュリティの課題に各省庁が取り組む必要性を改めて指摘しました。(1)包括的なサイバーセキュリティ戦略の確立と効果的な監督の実行、(2)連邦政府のシステムと情報の保護、(3)サイバー重要インフラの保護、(4)プライバシーと機密データの保護。GAOは、これらの課題に対処するために各機関が取るべき10の行動を特定しました。しかし、2019年以降、この分野での進捗は後退しており、GAOの2021年の評価では、リーダーシップのコミットメントが「満たされている」から「部分的に満たされている」に低下した。リーダーシップの空白に対処するため、2021年1月、議会は国家サイバー長官室を設立する法令を制定しました。局長職はまだ任命されていませんが、4月12日に大統領が候補者を発表しました。全体として、連邦政府は、サイバーセキュリティの課題に完全に対処するために、より大きな緊急性を持って動く必要があります。具体的には
・Develop and execute a more comprehensive federal strategy for national cybersecurity and global cyberspace. In September 2020, GAO reported that the cyber strategy and implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources needed. ・国家的なサイバーセキュリティとグローバルなサイバースペースのための、より包括的な連邦戦略を策定し、実行する。2020年9月、GAOは、サイバー戦略と実行計画は、目標や必要なリソースなど、国家戦略の望ましい特性のすべてではないが、一部に対応していると報告した。
・Mitigate global supply chain risks. In December 2020, GAO reported that few of the 23 civilian federal agencies it reviewed implemented foundational practices for managing information and communication technology supply chain risks. ・グローバルなサプライチェーンのリスクを軽減する。2020年12月、GAOは、レビューした23の文民連邦機関のうち、情報通信技術のサプライチェーンリスクを管理するための基礎的なプラクティスを実施しているところは少ないと報告した。
・Enhance the federal response to cyber incidents. In July 2019, GAO reported that most of 16 selected federal agencies had deficiencies in at least one of the activities associated with incident response processes. ・サイバーインシデントに対する連邦政府の対応を強化する。2019年7月、GAOは、選択した16の連邦機関のほとんどが、インシデント対応プロセスに関連する活動の少なくとも1つに不備があると報告した。
Why GAO Did This Study GAOがこの調査を行った理由
The effective management and protection of IT has been a longstanding challenge in the federal government. Each year, the federal government spends more than $100 billion on IT and cyber-related investments; however, many of these investments have failed or performed poorly and often have suffered from ineffective management. ITを効果的に管理・保護することは、連邦政府の長年の課題となっています。毎年、連邦政府はITやサイバー関連の投資に1,000億ドル以上を費やしていますが、これらの投資の多くは失敗したり、パフォーマンスが低下したりしており、しばしば効果的でない管理に悩まされています。
Accordingly, GAO added improving the management of IT acquisitions and operations as a high-risk area in February 2015. Information security has been on the high-risk area since 1997. In its March 2021 high-risk update, GAO reported that significant actions were required to address IT acquisitions and operations. Further, GAO noted the urgent need for agencies to take 10 specific actions on four major cybersecurity challenges. そのため、GAOは2015年2月に、ITの取得と運用の管理を改善することを高リスク分野として追加しました。情報セキュリティは1997年から高リスク領域に入っています。GAOは、2021年3月のハイリスクアップデートで、ITの取得と運用に対応するために重要なアクションが必要であると報告した。さらにGAOは、サイバーセキュリティの4つの主要な課題について、各機関が10の具体的な行動をとることが急務であると指摘しました。
GAO was asked to testify on federal agencies' efforts to address the management of IT and cybersecurity. For this testimony, GAO relied primarily on its March 2021 high-risk update and selected prior work across IT and cybersecurity topics. GAOは、ITとサイバーセキュリティの管理に対処する連邦政府機関の取り組みについて証言するよう求められました。この証言のために、GAOは主に2021年3月のハイリスク・アップデートと、ITとサイバーセキュリティのトピックにわたる厳選された先行研究に依拠した。 

 

 

■ 関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.20 US GAO 連邦政府のIT人材のニーズの優先順位付け

2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

・2016.09.20 US GAO "Federal Chief Information Security Officers: Opportunities Exist to Improve Roles and Address Challenges to Authority"

 

 

2021.04.17 14:46 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | | Comments (0)

日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について

こんにちは、丸山満彦です。

日本公認会計士協会が、情報セキュリティの監査に関係する基準として、

  • 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」
  • IT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」

を公表し、

  • IT委員会実務指針第2号 Trustサービスに係る実務指針(中間報告)
  • IT委員会実務指針第5号 ITに係る保証業務等の実務指針(一般指針) 
  • IT委員会研究報告第45号 保証業務実務指針3852「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針」の実施上の留意点

を廃止しましたね。。。

● 日本公認会計士協会 (JICPA)

・2021.04.16 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表について

 

20210417-41623

廃止の方はこちら...

・2021.04.16 IT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 の廃止について

・2021.04.16 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」 の廃止について

・2021.04.16 IT委員会研究報告第45号「保証業務実務指針3852「受託業務のセキュリティ、可用性、処理のインテグリティ、機密保持及びプライバシーに係る内部統制の保証報告書に関する実務指針」の実施上の留意点」の廃止について


論点とかは、この基準の公開草案が出た時のブログに少し詳しく書いていますので、そちらを参考にしてください!!!

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.26 日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています)

 

2021.04.17 04:18 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | | Comments (0)

2021.04.16

FedRAMP インシデント・コミュニケーション手順4.0の公表

こんにちは、丸山満彦です。

これも、2021.04.15の一連の措置の一環として、CISA緊急指令への対応が含まれていますね。。。

FedRAMP

・2021.04.15 (blog) Release of FedRAMP Incident Communications Procedures

・[PDF] FedRAMP Incident Communications Procedures Version 4.0

20210416-105829

Introduction and Purpose 序文・目的
Applicability 適用
Compliance コンプライアンス
Applicable Laws and Regulations 適用法と規制
Applicable Standards and Guidance 適用される基準とガイダンス
Assumptions 前提条件
Roles and Responsibilities 役割と責任
CSP General Reporting Process クラウド・サービス・プロバイダーの一般的な報告プロセス
JAB Reviewers’ Responsibilities 共同承認ボードのレビュアーの責任
Appendix A: CSP General Reporting Process Graphic 附属書A:クラウド・サービス・プロバイダーの一般的な報告プロセスのグラフィック

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

 

 

2021.04.16 11:15 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | | Comments (0)

White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

こんにちは、丸山満彦です。

White Houseはロシアに制裁のための大統領令を出していますね。。。

White House

・2021.04.15 FACT SHEET: Imposing Costs for Harmful Foreign Activities by the Russian Government

その中で、SolarWindsの件にも触れられていますね。。。

Further Responses to the SolarWinds Malicious Cyber Activity SolarWindsの悪意あるサイバー活動へのさらなる対応
Today the United States is formally naming the Russian Foreign Intelligence Service (SVR), also known as APT 29, Cozy Bear, and The Dukes, as the perpetrator of the broad-scope cyber espionage campaign that exploited the SolarWinds Orion platform and other information technology infrastructures. The U.S. Intelligence Community has high confidence in its assessment of attribution to the SVR. 本日、米国は、APT29、Cozy Bear、The Dukesとしても知られるロシア対外情報庁(SVR)を、SolarWinds Orionプラットフォームやその他の情報技術インフラを悪用した広範囲のサイバースパイキャンペーンの実行者として正式に指名します。米国の情報コミュニティは、SVRへの帰属を確信しています。
The SVR’s compromise of the SolarWinds software supply chain gave it the ability to spy on or potentially disrupt more than 16,000 computer systems worldwide. The scope of this compromise is a national security and public safety concern. Moreover, it places an undue burden on the mostly private sector victims who must bear the unusually high cost of mitigating this incident. SVRがSolarWindsのソフトウェアサプライチェーンを侵害したことで、世界中の16,000以上のコンピュータシステムをスパイしたり、混乱させることができるようになりました。この危殆化の範囲は、国家安全保障および公共の安全に関わる問題です。さらに、被害者のほとんどが民間企業であることから、この事件を軽減するための異常に高いコストを負担しなければならないという、不当な負担を強いられています。
Today, the National Security Agency, the Cybersecurity & Infrastructure Security Agency, and the Federal Bureau of Investigation are jointly issuing a cybersecurity advisory, “Russian SVR Targets U.S. and Allied Networks,” that provides specific details on software vulnerabilities that the SVR uses to gain access to victim devices and networks. The advisory also provides specific steps that network defenders can take to identify and defend against the SVR’s malicious cyber activity. 本日、米国家安全保障局、サイバーセキュリティ・インフラ安全保障局、連邦捜査局は共同でサイバーセキュリティ勧告「Russian SVR Targets U.S. and Allied Networks」を発表し、SVRが被害者の機器やネットワークへのアクセスに使用するソフトウェアの脆弱性について具体的な内容を示しています。この勧告では、SVRが被害者の機器やネットワークにアクセスする際に使用するソフトウェアの脆弱性について具体的に説明しているほか、SVRの悪質なサイバー活動を特定し、それを防御するためにネットワーク防御者が取るべき具体的な方法についても言及しています。
Additionally, the SVR’s compromise of SolarWinds and other companies highlights the risks posed by Russia’s efforts to target companies worldwide through supply chain exploitation. Those efforts should serve as a warning about the risks of using information and communications technology and services (ICTS) supplied by companies that operate or store user data in Russia or rely on software development or remote technical support by personnel in Russia.  The U.S. government is evaluating whether to take action under Executive Order 13873 to better protect our ICTS supply chain from further exploitation by Russia. さらに、SVRによるSolarWinds社などの不正アクセスは、ロシアがサプライチェーンを悪用して世界中の企業を標的にしていることのリスクを浮き彫りにしています。このような取り組みは、ユーザーデータをロシアで運用・保管している企業や、ロシア国内の人員によるソフトウェア開発や遠隔技術サポートに依存している企業が提供する情報通信技術・サービス(ICTS)を利用する際のリスクに対する警告となります。  米国政府は、ロシアによる更なる悪用からICTSサプライチェーンをより良く保護するために、大統領令第13873号に基づいて行動を起こすかどうかを検討しています。
Supporting a Global Cybersecurity Approach グローバルなサイバーセキュリティアプローチの支援
The United States continues to strongly affirm the importance of an open, interoperable, secure, and reliable Internet. Russia’s actions run counter to that goal, which is shared by many of our allies and partners. To strengthen our collective approach to bolstering cybersecurity, we are announcing two additional steps: 米国は、オープンで相互運用性があり、安全で信頼できるインターネットの重要性を引き続き強く主張しています。ロシアの行動は、多くの同盟国やパートナーが共有しているこの目標に反するものです。サイバーセキュリティを強化するための集団的アプローチを強化するために、我々は2つの追加措置を発表します。
First, the United States is bolstering its efforts to promote a framework of responsible state behavior in cyberspace and to cooperate with allies and partners to counter malign cyber activities. We are providing a first-of-its kind course for policymakers worldwide on the policy and technical aspects of publicly attributing cyber incidents, which will be inaugurated this year at the George C. Marshall Center in Garmisch, Germany. We are also bolstering our efforts through the Marshall Center to provide training to foreign ministry lawyers and policymakers on the applicability of international law to state behavior in cyberspace and the non-binding peacetime norms that were negotiated in the United Nations and endorsed by the UN General Assembly. まず、米国は、サイバー空間における国家の責任ある行動の枠組みを推進し、同盟国やパートナーと協力して悪意あるサイバー活動に対抗するための取り組みを強化します。米国は、世界中の政策立案者を対象に、サイバー事件の公表に関する政策的および技術的側面についての初のコースを提供しており、このコースは今年、ドイツのガルミッシュにあるジョージ・C・マーシャルセンターで開始されます。また、マーシャルセンターでは、サイバー空間での国家の行動に対する国際法の適用性や、国連で交渉され国連総会で承認された拘束力のない平時の規範について、外務省の弁護士や政策立案者にトレーニングを提供する取り組みも強化しています。
Second, we are reinforcing our commitment to collective security in cyberspace. The Department of Defense is taking steps to incorporate additional allies, including the UK, France, Denmark, and Estonia, into the planning for CYBER FLAG 21-1, which is an exercise designed to improve our defensive capabilities and resiliency in cyberspace.  CYBER FLAG 21-1 will build a community of defensive cyber operators and improve overall capability of the United States and allies to identify, synchronize, and respond in unison against simulated malicious cyberspace activities targeting our critical infrastructure and key resources. 次に、サイバー空間における集団安全保障への取り組みを強化しています。国防総省は、英国、フランス、デンマーク、エストニアを含む追加の同盟国を、サイバースペースにおける防衛能力と回復力を向上させるための演習である「CYBER FLAG 21-1」の計画に組み込むための措置を講じています。  CYBER FLAG 21-1は、サイバー空間における防御能力と回復力の向上を目的とした演習で、防衛的なサイバーオペレーターのコミュニティを構築し、米国と同盟国が重要なインフラや重要な資源を標的とした悪意のあるサイバー空間の活動を特定し、同期し、一体となって対応するための総合的な能力を向上させます。

 

大統領令

・2021.04.15 Executive Order on Blocking Property with Respect to Specified Harmful Foreign Activities of the Government of the Russian Federation

 

関連

・2021.04.15 A Letter on Blocking Property with Respect to Specified Harmful Foreign Activities of the Government of the Russian Federation

・2021.04.15 16:56 EDT Remarks by President Biden on Russia

・2021.04.15 09:36 EDT Background Press Call by Senior Administration Officials on Russia

1_20210414191001

 

U.S. Embassy & Consulates in Russia

・2021.04.15 Holding Russia To Account. Statement by Secretary Anthony J. Blinken

 

下院の安全保障委員会

U.S House Committee on Homeland Security

・2021.04.15 CHAIRMAN THOMPSON STATEMENT ON THE BIDEN ADMINISTRATION ANNOUNCING NEW SANCTIONS AGAINST RUSSIA

(WASHINGTON) – Today, Rep. Bennie G. Thompson (D-MS), Chairman of the Committee on Homeland Security, released the following statement after the Biden Administration announced a new executive order and additional sanctions to hold Russia accountable for the SolarWinds hack and their interference in the 2020 election:

上院の軍事委員会

U.S. SENATE ARMED SERVICES COMMITTEE

・2020.04.14 To receive testimony on Future Cybersecurity Architectures.

上院の議員からZero Trust Frameworkという言葉が出てきていますね。。。

Witnesses

 

 

  1. Mr. Robert Joyce
    Director Of Cybersecurity National Security Agency


  2. Mr. David McKeown
    Senior Information Security Officer/ Chief Information Officer For Cybersecurity Department Of Defense


  3. Rear Admiral William Chase III
    Senior Military Advisor For Cyber Policy To The Under Secretary Of Defense For Policy/Deputy Principal Cyber Advisor To The Secretary Of Defense Secretary Of Defense


 

U.S. サイバー軍と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開していますね。。。

U.S. Cyber Command

・2021.04.15 US Cyber Command, DHS-CISA release Russian malware samples tied to SolarWinds compromise

 

● CISA

・2021.04.15 Malware Analysis Report (AR21-105A) - MAR-10327841-1.v1 – SUNSHUTTLE

ロシアのSVR Foreign Intelligence Service [wikipedia] (ロシア対外情報庁)(APT 29、Cozy Bear、The Dukes)に起因する、SolarWindsOrionネットワーク管理ソフトウェアのサプライチェーンの侵害に関連する悪意のある18のファイルと挙動等に関する分析を記載していますね。。。

Remediating Networks Affected by the SolarWinds and Active Directory/M365 Compromise

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

2021.03.27 上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.03.19 米国 下院エネルギー・商業委員会は、SolarWindsサイバー攻撃に関する情報を要求する超党派議員に関する声明を発表し、関係省庁に質問状を送付していますね。。。

・2021.01.07 米国 FBI,、CISA,、国家情報長官室(ODNI)、国家安全保障局(NSA)がSolar Winds関連事案に関して共同声明を公表していますね。

・2021.01.01 U.S. CISAが、攻撃者がSolarWinds Orionのソフトウェアのサプライチェーンを侵害し一般的に使用されている認証メカニズムを広範囲に悪用しているとして、ウェブサイトを立ち上げ、無料の検証ツールを提供していますね。。。

2020.12.21 U.S. NSA 認証メカニズムを悪用してクラウド上のリソースに攻撃者がアクセスすることについての注意喚起

・2020.12.19 米国国土安全保障省 緊急指令21-01 関連。。。SolarWinds Orion Code Compromise

Continue reading "White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開"

2021.04.16 08:16 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | | Comments (0)

JNSA デジタル署名検証ガイドライン

こんにちは、丸山満彦です。

JNSAが「デジタル署名検証ガイドライン」を公表していますね。。。このガイドラインは、”電子署名のうち公開鍵暗号技術に基づくデジタル署名について検証のガイドライン”を示すものということのようです。

● JNSA

・2021.04.15 デジタル署名検証ガイドライン

・2021.03.31 [PDF] デジタル署名検証ガイドライン 第 1.0 版

20210416-13920

 



 

 

 

Continue reading "JNSA デジタル署名検証ガイドライン"

2021.04.16 01:47 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

こんにちは、丸山満彦です。

米国のRand研究所[wikipedia]が衛星インターネットサービスが権威主義的な国に対して影響を与えることができるが、そのような国ではそれを見越した法整備を進めているというような内容のブログ記事を掲載していますね。。。

RAND Corporation

・2021.04.12 Satellite Internet Services—Fostering the Dictator's Dilemma? by Michael Schwille and Scott Fisher

 

Constellations of low-altitude, low-latency satellites providing broadband internet access to wide swathes of the earth are an impending challenge to the information dominance enjoyed by the world's authoritarian states. Whether Amazon's proposed Project Kuiper, Elon Musk's Starlink (already functional in some areas of North America), or the United Kingdom funded OneWeb, the ability to provide relatively low cost internet access outside of government control is both a challenge for authoritarian states and an opportunity for democracies. 低高度・低遅延の衛星を使って地球上の広い範囲にブロードバンド・インターネット・アクセスを提供するコンステレーションは、世界の権威主義国家が享受している情報支配に対する差し迫った挑戦です。アマゾンが提案している「プロジェクト・カイパー」、イーロン・マスク氏の「スターリンク」(北米の一部地域ではすでに機能しています)、イギリスが出資する「ワンウェブ」など、政府の管理下にない比較的低コストのインターネットアクセスを提供できることは、権威主義国家にとっての課題であると同時に、民主主義国家にとってのチャンスでもあります。
In Russia, the Duma is already considering a law to criminalize access to such satellite services. China is not only planning to launch a competing service, it has Starlink's Musk concerned about having his satellites “blown up.” North Korea, which bans its citizens from accessing the internet and (in)famously attacks leaflets with machine guns, shells loudspeakers with artillery, and punishes citizens for accessing Chinese cellphone towers, has yet to comment publicly on such services. Given this history though, Pyongyang's reaction is unlikely to be very positive. ロシアでは、連邦議会がこのような衛星サービスへのアクセスを犯罪とする法律をすでに検討しています。中国は、競合するサービスの立ち上げを計画しているだけでなく、スターリンクを運用しているマスク氏は、自分の衛星が「吹き飛ばされる」ことを懸念しています。国民のインターネットアクセスを禁止し、機関銃でビラを撃ち、大砲で拡声器を撃ち、中国の携帯電話の電波塔にアクセスした国民を罰することで有名な北朝鮮は、このようなサービスについてまだ公にコメントしていません。しかし、過去の経緯から、平壌の反応は良いものではないでしょう。

1_20210416012001

続きは↓

Continue reading "U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?"

2021.04.16 01:25 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | | Comments (0)

2021.04.15

カプコン 不正アクセスに関する調査結果のご報告【第4報】

こんにちは、丸山満彦です。

2020.11.16に【プレスリリース】不正アクセスによる情報流出に関するお知らせとお詫びをしたカプコンさんですが、2021.04.13に不正アクセスに関する調査結果のご報告【第4報】を公表していますね。

 

● カプコン

・2021.04.13 不正アクセスに関する調査結果のご報告【第4報】

 

身代金については、

6.身代金額に関する認知について

ランサムウェアに感染した機器上には攻撃者からのメッセージファイルが残置されており、攻撃者との交渉に向けたコンタクトを要求されたことは事実ですが、同ファイルには身代金額の記載はありませんでした。既報の通り、当社は警察とも相談の上、攻撃者との交渉をしないことといたしましたので、実際には、一切コンタクトも図っていないことから(2020年11月16日発表のプレスリリース参照)、当社では金額を確知しておりません。

となっていますね。

米国でもランサムウェアの攻撃者に対して身代金を払うことは推奨しない立場ですね。。。

参考↓

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

 

ちなみに、カプコンさんは、今回の事件を契機に、「セキュリティ監督委員会」を2021年1月下旬に発足していますが、外部専門家として、

立命館大学 上原哲太郎 教授、英知法律事務所 岡村久道 弁護士、大阪大学 猪俣敦夫 教授、PwCコンサルティング合同会社 丸山満彦 パートナー

と公表されていまして、私も外部専門家に入っております。ということで、この件については公開情報のみということで(^^)

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

 

2021.04.15 07:54 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 個人情報保護 / プライバシー, in 脆弱性, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

IPA 「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書 <= 暗号の話です

こんにちは、丸山満彦です。

IPAが、「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書を公表していますが、暗号の話が中心です。表題と内容がいまいち会っていない感じですが、暗号に関する政策と思って読めば問題ないです...

報告書の概要ですが、

  • 調査対象国等:米国、英国、フランス、ドイツ、エストニア、ロシア、中国、韓国、オーストラリア、EU
  • 調査概要:暗号に関わるセキュリティ政策に関する組織体制、役割、法制度、最新の政策動向
  • 調査方法:文献・Webによる調査
  • 文献調査での主な確認事項
  1. 暗号に関わるセキュリティ政策の遂行に関連する法制度
  2. 暗号方式の利用に関連する法制度やガイドライン等
  3. セキュリティ認証制度に関連する法制度やガイドライン等
  4. 政府のセキュリティ製品の調達要件に関連する法制度やガイドライン等
  5. 暗号に関連する輸出入規制についての法制度やガイドライン等
  6. その他、暗号又はセキュリティに関連するサービスに対する法制度やガイドライン等

● IPA

・2021.04.14「各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査」報告書の公開

・[PDF] 各国政府のセキュリティ政策に関する実施体制、法制度及び認証制度調査 — 調査報告書 —

20210414-224738

 

 

前回の調査

・2015.05.26 「暗号利用環境に関する動向調査」報告書の公開

・[PDF] 暗号利用環境に関する動向調査 - 調査報告書 -

20210414-225059

2021.04.15 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in IoT, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

2021.04.14

White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

こんにちは、丸山満彦です。

White Houseのウェブページにもソフトウェアの脆弱性についてのプレスが掲載されていますね。。。

● Whitehouse

・2021.04.13 Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches

Statement from Deputy National Security Advisor for Cyber & Emerging Technologies Anne Neuberger on New Microsoft Exchange Patches アン・ニューバーガー副国家安全保障顧問(サイバー・新技術担当)によるMicrosoft Exchangeの新パッチに関する声明
Cybersecurity is a top priority for the Biden Administration and we’re committed to sharing actionable and timely information to help the American public operate safely online. サイバーセキュリティは、バイデン政権の最優先事項であり、米国民がオンラインで安全に活動できるよう、実用的でタイムリーな情報を共有することを約束します。
Microsoft released a set of Exchange patches today that are critical. We urge all owners and operators of Microsoft Exchange Servers to apply these latest patches immediately. The U.S. Government will lead by example – we are requiring all agencies to immediately patch their Exchange servers, as well. Should these vulnerabilities evolve into a major incident, we will manage the incident in partnership with the private sector, building on the Unified Coordination Group processes established and exercised in the recent Microsoft Exchange incident. 本日、マイクロソフト社がリリースした一連のExchangeパッチは非常に重要なものです。Microsoft Exchange Serverの所有者および運営者の皆様には、これらの最新パッチを直ちに適用することをお勧めします。米国政府も例に漏れず、すべての政府機関にExchangeサーバに直ちにパッチを適用するよう求めています。これらの脆弱性が重大なインシデントに発展した場合には、最近のMicrosoft Exchangeインシデントで確立され、実施されたUnified Coordination Group(統合調整グループ)のプロセスを基に、民間企業と協力してインシデントを管理します。
The U.S. government discovered and notified Microsoft on these vulnerabilities. The U.S. Government carefully weighs the national security, public, and commercial interests in deciding to disclose a vulnerability. Moreover, we recognize when vulnerabilities may pose such a systemic risk that they require expedited disclosure. This disclosure is an example of the responsible and transparent approach the U.S. government uses when handling vulnerabilities. This is consistent with our expectations for how responsible governments and companies can work together to promote cybersecurity.  米国政府は、これらの脆弱性を発見し、マイクロソフトに通知しました。米国政府は、脆弱性の開示を決定する際に、国家安全保障、公共、商業上の利益を慎重に考慮します。さらに、脆弱性が迅速な開示を必要とするようなシステム上のリスクをもたらす場合も認識しています。今回の公開は、米国政府が脆弱性を取り扱う際に用いている責任ある透明なアプローチの一例です。これは、責任ある政府と企業がサイバーセキュリティを促進するためにどのように協力するかについての我々の期待と一致しています」と述べています。

 

1_20210414191001

 


■ 関連

● Department of Homeland Security: DHS - Emergency Directive 21-02

・2021.04.13 supplemental direction v2 

● Cyberseurity & Infrastracture Security Agency: CISA

MITIGATE MICROSOFT EXCHANGE ON-PREMISES PRODUCT VULNERABILITIES 

 

裁判所はFBIに対して、脆弱なMicrosoft Exchange Serverに仕込まれたバックドアのweb shellを使って、そのweb shell自身を削除する許可を与えていますね。。。実際に実行して、後から削除をした旨を通知するようですね。おそらくそのタイミングで「パッチをあてろよ」と言うんでしょうね。

● U.S. Department of Justice

・2021.04.13 Justice Department Announces Court-Authorized Effort to Disrupt Exploitation of Microsoft Exchange Server Vulnerabilities

Action Copied and Removed Web Shells that Provided Backdoor Access to Servers, but Additional Steps may be Required to Patch Exchange Server Software and to Expel Hackers from the Victims’ Networks.

[PDF] 裁判所からの許可

・2021.04.13 Justice Department announces court-authorized effort to disrupt exploitation of Microsoft Exchange Server vulnerabilities

Action copied and removed web shells that provided backdoor access to servers, but additional steps may be required to patch Exchange Server software and expel hackers from victim networks.

 

2021.04.14 19:07 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 危機管理 / 事業継続 | | Comments (0)

NISC 「サイバーセキュリティ研究開発戦略(改訂案)」に関する意見募集について

こんにちは、丸山満彦です。

NISCが「サイバーセキュリティ研究開発戦略(改訂案)」に対して意見募集をしていますね。。。

● NISC

・2021.04.13 「サイバーセキュリティ研究開発戦略(改訂案)」に関する意見募集について

期限は4月23日(金)17時までのようですので、意見があれば急いで...

・[PDF] 「サイバーセキュリティ研究開発戦略(改訂案)」

20210414-163535

2021.04.14 16:37 in パブコメ | | Comments (0)

Cloud Security Alliance 暗号資産交換セキュリティガイドライン

こんにちは、丸山満彦です。

Cloud Security Allianceが、「CSAが暗号資産交換セキュリティガイドライン」を公表していますね。。。

そういえば、本日のお昼ごろは暗号資産関係の方と少し話をしておりました。。。

Cloud Security Alliance: CSA

・2021.04.13 CSA Crypto-Asset Exchange Security Guidelines Abstract

・[PDF]は簡単な質問に答えると入手できます。

20210413-234458

 

Key Takeaways: 要点
The types of attacks that threaten crypto-asset exchanges 暗号資産取引所を脅かす攻撃の種類
The details of a centralized exchange reference architecture that applies to a broad spectrum of crypto-asset exchanges 広範な暗号資産取引所に適用される集中型取引所リファレンスアーキテクチャの詳細
Crypto-asset exchange security best practices for end-users, exchange operators, and auditors エンドユーザ、取引所運営者、監査人向け暗号資産取引所セキュリティのベストプラクティス
Crypto-asset exchange administrative and physical security control measures including: legal considerations, risk management, information access management, security awareness and training, workstation security, and more 法的考察、リスク管理、情報アクセス管理、セキュリティ意識とトレーニング、ワークステーションのセキュリティを含む、暗号アセット取引所の管理および物理的なセキュリティ管理対策

 

目次は、

1. Crypto-Asset Exchange Threat Modeling 1. 暗号資産取引所の脅威モデル
Threat Models Against Exchanges 取引所に対する脅威モデル
2. Crypto-assets Exchange Security Reference Architecture 2. 暗号資産取引所のセキュリティ参照アーキテクチャ
3. Crypto-Asset Exchange Security Best Practices 3. 暗号資産取引所のセキュリティのベストプラクティス
3.1 Security Best Practices from End-User Perspective 3.1 エンドユーザから見たセキュリティのベストプラクティス
3.2 Security best practices from Exchange Operator’s perspective 3.2 取引所運営者から見たセキュリティのベストプラクティス
3.3 Security Best Practices from Auditor’s Perspective 3.3 監査人から見たセキュリティのベストプラクティス
4. Crypto-asset Exchange Administrative and Physical Security 4. 暗号資産取引所の管理的・物理的セキュリティ
4.1 Administrative Controls 4.1 管理的コントロール
4.2 Crypto-asset Exchange Legal Aspects 4.2 暗号資産取引所の法的側面
4.3 Insurance for Exchanges: Internal and External 4.3 取引所の保険:内部・外部
4.4 Exchange Alliance for Security Incidents 4.4 セキュリティインシデントに対する取引所の提携
4.5 Risk Management Process 4.5 リスク管理プロセス
4.6 Assigned Security Responsibility 4.6 割り当てられたセキュリティ責任
4.7 Policies and Procedures 4.7 方針と手続き
4.8 Information Access Management 4.8 情報アクセス管理
4.9 Security Awareness and Training 4.9 セキュリティに関する意識向上とトレーニング
4.10 Security Incident Management Procedures 4.10 セキュリティインシデント管理手順
4.11 Contingency Plan 4.11 コンティンジェンシー計画
4.12 Evaluation 4.12 評価
4.13 Physical Controls 4.13 物理的コントロール

 

3.1 エンドユーザから見たセキュリティのベストプラクティス3.2 取引所運営者から見たセキュリティのベストプラクティス

3.1 Security Best Practices from End-User Perspective 3.1 エンドユーザから見たセキュリティのベストプラクティス
1. Use reputable and safe exchanges 1. 信頼できる安全な取引所の利用
2. Password management and Two-Factor or Multi-Factor Authentication 2. パスワード管理と2要素または多要素認証
3. Use a separate device 3. 別デバイスの使用
4. Understand the key concepts associated with wallet application 4. 財布アプリケーションに関する重要なコンセプトの理解
 Public Key and Address  公開鍵とアドレス
 Private Key  秘密鍵
 Keystore File  鍵保管ファイル
 Mnemonic Phrase (Recovery Phrase)  ニーモニックフレーズ(リカバリーフレーズ)
5. Be careful what you install or click 5. インストール、クリック時の注意
6. Protect sensitive data 6. 大切なデータの保護
7. Keep your device secure 7. デバイスの安全保持
8. Always use secure network connection 8. 安全なネットワーク接続
9. Know different types of wallets and how to use them 9. 財布の種類と使い方の理解
 Paper Wallets  ペーパーウォレット
 Software Wallets  ソフトウェアウォレット
 Hardware Wallets  ハードウェアウォレット
10. Use Multisig for large amount of funds 10. 多額の資金についてのマルチシグの利用
   
3.2 Security best practices from Exchange Operator’s perspective 3.2 取引所運営者から見たセキュリティのベストプラクティス
1. Distributed Denial of Service Attack (DDoS) protection 1. 分散型サービス拒否攻撃(DDoS)対策
 Increase Network Bandwidth  ネットワーク帯域幅の拡大
 Use Early Detection and Packet Monitoring DDoS Attack Mitigation  早期発見とパケット監視による DDoS 攻撃の緩和
 Manage and Block Malicious Traffic  悪質なトラフィックの管理とブロック
 Build Infrastructure Redundancy  インフラの冗長化
 Incorporate ISP Redundancy  ISPの冗長性の確保
 Blocking DDoS Attacks With a Cloud Solution  クラウドソリューションによるDDoS攻撃の遮断
2. Cross-Site Scripting (XSS-Protection) 2. クロスサイトスクリプティング(XSS-Protection)
3. Do Not Expose Server Information 3. サーバ情報の不開示
4. Web Application Firewall 4. ウェブアプリケーションファイアウォール
5. Database Firewall 5. データベースファイアーウォール
6. Third-Party Components and Patch 6. サードパーティ製コンポーネントとパッチ
7. Clickjacking Attack and X-Frame-Options 7. クリックジャッキング攻撃とX-Frame-Options
8. HSTS (HTTP Strict-Transport-Security) and Secure Socket Layer (SSL) 8. HSTS(HTTP Strict-Transport-Security)とSSL(Secure Socket Layer)
9. Applying Machine Learning for Better Protection 9. 機械学習を利用した保護機能の強化
 Flow Analysis  フロー解析
 Address Classification  アドレスの分類
 Analyzing Trading Behaviors  取引行動の分析
 Fraud Detection  不正行為の検知
10. HTTP Public Key Pinning (HPKP) 10. HTTP Public Key Pinning (HPKP)
11. Use Hardware Security Module (HSM) Enabled Wallet 11. ハードウェア・セキュリティ・モジュール(HSM)対応財布の使用
12. Deploy a Zero Trust Architecture 12. ゼロトラストアーキテクチャの導入
13. Error Handling 13. エラー処理
14. 2FA 14. 2要素認証
15. 51% attack 15. 51%攻撃
16. Cloud Service Security Protection 16. クラウドサービスのセキュリティ保護

 

■ 関連

ブロックチェーンのユースケース

・2019.07.31 Documentation of Relevant Distributed Ledger Technology and Blockchain Use Cases v2

・[PDF]は簡単な質問に答えると入手できます。

  • 国際決済
  • 投票
  • 土地登記所
  • 食品サプライチェーン
  • メディアとエンターテインメント
  • 身元
  • 使用料
  • 保険

 

・2018.11.27 Blockchain DLT Use Cases

・[PDF]は簡単な質問に答えると入手できます。

  • 運送
  • 航空券販売
  • 自動再保険
  • Nostro銀行口座の調整
  • 医薬品サプライチェーンのセキュリティ
  • 食品安全
  • 教育
  • サプライチェーン
  • 不動産 

2021.04.14 00:39 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

2021.04.13

宇宙の安全保障の将来:30年先の米国の戦略についての提案? by Atlantic Council

こんにちは、丸山満彦です。

米国のシンクタンクのAtlantic Council [wikipedia] が宇宙の安全保障の将来について米国が考えるべき戦略を提案?していますね。。。

興味深いですね。。。

Atlantic Council

・2021.04.11 The future of security in space: A thirty-year US strategy

・[PDF]

20210413-55418  

主要なメッセージは次の3つです。

Space development has reached an inflection point, transitioning from a phase of discovery to phases of security and commerce. 宇宙開発は、発見の段階から安全保障と商取引の段階に移行しています。
Spacefaring countries and companies are harnessing new technologies to push new boundaries, uncovering value while simultaneously opening the door to chaos and competition. 宇宙に進出している国や企業は、新しい技術を利用して新たな限界に挑み、価値を見出すと同時に、混沌とした競争への扉を開きました。
The United States and its allies and partners must take action over the next three decades to secure a future of security and prosperity. 米国とその同盟国やパートナーは、安全と繁栄の未来を確保するために、今後30年間にわたって行動を起こさなければなりません。

目次は次のようになっています。

PDFで読むのも良いかもしれませんが、Webで読む方が読みやすいかもしれません...

FOREWORD  序文 
EXECUTIVE SUMMARY  要約 
I. STRATEGIC CONTEXT  I. 戦略的背景 
Routinization of Earth Orbit  地球周回軌道の通常化
 Great-Power Competition   大国間の競争 
 More States in Space   宇宙における国家の増加 
 Space Sustainability   宇宙の持続可能性 
The Promise of Cislunar Space  地球月間空間の可能性 
Commercial and Defense Technology   商業・防衛技術  
 Commercial and Dual-Use Technology    商用・デュアルユース技術  
 Space Weapons Technology    宇宙兵器技術  
Private-Sector Engagement   民間企業の参画  
II. KEY GOALS FOR US SECURITY STRATEGY IN SPACE  II. 宇宙における米国の安全保障戦略の主要目標 
Promote Stability, Harmony, and Freedoms by Establishing a Rules-based Order for Space  宇宙のルールに基づく秩序を確立し、安定、調和、自由を促進する 
Deter Hostile Action and Secure Space Assets and Access  敵対行為の抑止と宇宙資産およびアクセスの確保 
Foster US and Global Prosperity Through the Continued Expansion of Space Commerce  宇宙商業の継続的な拡大による米国と世界の繁栄の促進 
III. MAJOR ELEMENTS OF THE STRATEGY  III. 戦略の主要要素 
Update and Refine the Legal a Regulatory Framework Governing Space  宇宙を管理する法的・規制的枠組みの更新と精緻化 
Establish a Space Security Alliance  宇宙安全保障同盟の設立 
Accelerate Space Commerce through Clear Regulation and Targeted Investment  明確な規制と焦点を絞った投資による宇宙商業の促進 
 Harness the Private Sector   民間セクターの活用 
 Rocket Transportation   ロケット輸送 
 Invest in Keystone Technologies   基幹技術への投資 
Take a Cislunar Approach to Space 地球月間空間アプローチによる宇宙開発
IV. GUIDELINES FOR IMPLEMENTATION IV. 実施のためのガイドライン
Space Law and Policy 宇宙法と宇宙政策
 Establish a New Comprehensive Space Treaty  新しい包括的宇宙条約の制定
 Amend Existing Treaties  既存の宇宙条約の改正
 Moon Treaty  月面条約
 US Federal Recommendations  米国連邦政府の提言
 US State-Level Recommendations  米国の州レベルの推奨事項
Space Security Alliance 宇宙安全保障同盟
Cislunar Space 地球月間空間
Rocket Transportation ロケット輸送
Emerging Space Defense Technologies 新たな宇宙防衛技術
Public-Private Partnerships 官民パートナーシップ
 Bolster Human Capital    人的資本の強化  
 Public-Private Collaboration    官民連携  
 Speed is Paramount; Investment is Essential    スピードが命、投資が命  
Space Critical Infrastructure and Cybersecurity 宇宙の重要インフラとサイバーセキュリティ
Space Propulsion and ISRU 宇宙の推進力とISRU
Space Situational Awareness and Space Traffic-Management 宇宙の状況認識と宇宙交通管理
 SSA Recommendations    SSAへの提言  
 STM Recommendations    STMの提言  
Summary of Guidelines for Implementation and Strategy Timeline 実施のためのガイドラインと戦略のタイムラインのまとめ
V. CONCLUSION V. 結論
VI. APPENDIX A: PERTINENT SPACE LAW  VI. 附属書A:関連する宇宙法 
ENDNOTES 巻末資料

 

サイバーセキュリティとの関係では、ここでも宇宙関連分野を重要インフラに位置付けるべきという提案がされていますね。。。

7. Space Critical Infrastructure and Cybersecurity 7. 宇宙の重要インフラとサイバーセキュリティ
Space assets are critical to supporting critical infrastructure, from finance to energy and beyond. In fact, space assets are so critical to the communication, timekeeping, and other functions that society relies on that, under the Biden administration, the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) should be directed to evaluate whether space should be declared the seventeenth critical infrastructure sector. Because such designation comes with often-burdensome regulation, that decision should be made only in close consultation with large and small space industry representatives. 宇宙資産は、金融やエネルギーなどの重要なインフラを支える重要なものです。実際、宇宙資産は、通信や時間管理など、社会が必要としている機能にとって非常に重要であるため、バイデン政権は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁(CISA)が、宇宙を17番目の重要インフラ部門として宣言すべきかどうかを評価するよう指示すべきです。この指定には、面倒な規制が伴うため、その決定は、大規模および小規模な宇宙産業の代表者との緊密な協議を経て行われるべきです。
Regardless of its official designation, the space sector is critical, and must be protected from threats, including cyberattacks—not even space-based systems are immune to cyberattacks. The US government should insist on cyber best practices—from supply-chain security to penetration testing to cyber-hygiene trainings for employees—in all of the space projects that it funds, operates, or permits. However, as adversaries evolve, the US government must adapt best practices to account for the shifting operating environments over the short, medium, and long terms. The DoD and private sector should prioritize the resilience of space assets and ground stations so that they can limit harm and gracefully overcome failure when it eventually does occur.158 The National Space Council should regularly study, and publicly report on, cyber threats specific to space. 正式な呼称にかかわらず、宇宙分野は重要であり、サイバー攻撃を含む脅威から守られなければなりません。米国政府は、資金提供、運営、許可を行っているすべての宇宙プロジェクトにおいて、サプライチェーンセキュリティ、侵入テスト、従業員のサイバー衛生教育など、サイバーに関するベストプラクティスを徹底すべきです。しかし、敵が進化するにつれ、米国政府は、短期、中期、長期にわたる活動環境の変化を考慮して、ベストプラクティスを適応させなければなりません。国防総省と民間企業は、宇宙資産と地上局の回復力を優先し、被害を最小限にとどめ、障害が発生した場合には 優雅に乗り越えることができるようにすべきです158 。国家宇宙評議会は、宇宙に特有のサイバー脅威を定期的に研究し、国民に報告すべきです。
158 Trey Herr, Reed Porada, Simon Handler, Orton Huang, Stewart Scott, Robert Lychev, and Jeremy Mineweaser, How Do You Fix a Flying Computer? Seeking Resilience in Software-Intensive Mission Systems, Atlantic Council, December 14, 2020, 
https:// www.atlanticcouncil.org/in-depth-research-reports/report/how-do-you-fix-a-flying-computer-seekingresilience-in-software-intensive-mission-systems/
 

 

2021.04.13 06:52 in 情報セキュリティ / サイバーセキュリティ | | Comments (0)

2021.04.12

ENISA サイバーセキュリティ認証市場調査についての報告書

こんにちは、丸山満彦です。

ENISAがサイバーセキュリティ認証市場調査についての報告書を公開していますね。。。市場分析結果ではなく、方法論の提案です。。。

・目的は、EUのサイバーセキュリティ認証の枠組みや、欧州委員会、欧州サイバーセキュリティ認証グループ (ECCG) 、利害関係者のサイバーセキュリティ認証グループ (SCCG) の計画活動に貢献すること

・そのために、サイバーセキュリティ認証の将来的な分野を特定する

・そのために、ICTの製品、サービス、プロセスについてのサイバーセキュリティ認証に関する市場分析に向けて、初期の方法論的ステップを提案する

ということのようですね。。。

これはある意味興味深いです。。。こういう分析をしてから、監査制度とか、ISMS制度とかを検討するのがよかったのでしょうね。。。と思いました。。。

もちろん、方法論が良くても、それを進めるために必要なデータ等が集まるのか?という話はありますが、問題を切り分けられるということで前には進みますよね。。。

● ENISA

・2021.04.09  Cybersecurity Certification Market Study

・[PDF] Cybersecurity Certification Market Study - Towards a research and analysis methodology

20210412-102814

 

EXECUTIVE SUMMARY 要旨
Drawing up EU cybersecurity certification schemes aims at providing harmonised criteria to carry out conformity assessments to demonstrate the degree of adherence of ICT products, ICT services or ICT processes against specific predefined cybersecurity requirements. From an economic perspective, these evaluations might subsequently also address imbalances in the market that could lead to suboptimal outcomes. Cybersecurity certification also touches upon socio-economic aspects such as user trust and market responsibility of the owner of the certificate. Further to that it also touches upon the need to provide a reasonable level of cybersecurity for a ‘duty of care’ throughout the ICT product, ICT service or ICT process lifecycle and the prevention of costs of a cybersecurity failure and subsequent loss of market reputation. Therefore, the drivers for cybersecurity certification in the EU go beyond cybersecurity requirements. EUのサイバーセキュリティ認証制度の策定は、ICT製品、ICTサービス、またはICTプロセスが、特定の定義済みサイバーセキュリティ要件にどの程度準拠しているかを示す適合性評価を実施するための調和された基準を提供することを目的としています。経済的な観点から、これらの評価制度は、最適解にならない可能性のある市場の不均衡に対処することにもなります。サイバーセキュリティ認証は、ユーザの信頼や認証制度の責任者の市場への責任など、社会経済的な側面にも関係してきます。さらに、ICT 製品、ICT サービス、または ICT プロセスのライフサイクル全体を通じた「注意義務」のために合理的なレベルのサイバーセキュリティを提供する必要性や、サイバーセキュリティの失敗によるコストやその後の市場評判の低下を防ぐ必要性にも触れています。したがって、EUにおけるサイバーセキュリティ認証の推進力は、サイバーセキュリティの要件を超えている。
This study proposes a set of initial methodological steps to work towards a market analysis on cybersecurity certification of ICT products, ICT services and ICT processes. The performance of a market analysis on cybersecurity certification aims to contribute to the EU cybersecurity certification framework and the planning activities of the European Commission, the ECCG and the SCCG by identifying future areas for cybersecurity certification. 本研究は、ICT製品、ICTサービス、ICTプロセスのサイバーセキュリティ認証に関する市場分析に向けて、一連の初期の方法論的ステップを提案します。サイバーセキュリティ認証に関する市場分析の実施は、サイバーセキュリティ認証の将来的な分野を特定することで、EUのサイバーセキュリティ認証の枠組みや、欧州委員会、ECCG、SCCGの計画活動に貢献することを目的としています。
The proposed steps described in this study are divided into four main sections and cover: 本研究で述べられている提案されたステップは、4つの主要セクションに分かれており、以下の内容をカバーしています。
i) the identification of the context of the market analysis, i) 市場分析の文脈の特定
ii) the scope of the target of analysis, ii) 分析対象の範囲
iii) assessing the impact of a cybersecurity certification initiative and iii) サイバーセキュリティ認証イニシアチブの影響の評価
iv) the identification of the available options and possible initiatives. iv) 利用可能なオプションと可能なイニシアチブの特定
The goal is to be able to identify certification needs or ‘gaps’ in the market without relying solely on input of stakeholders, but rather to provide evidence both from the supply and demand sides while factoring societal and economic aspects. 目標は、利害関係者の意見だけに頼ることなく、市場における認証のニーズや「ギャップ」を特定できるようにすることであり、むしろ、社会的・経済的側面を考慮しながら、供給側と需要側の両方から証拠を提供することです。
This first attempt on proposing such a methodology is expected to evolve and to be further developed and improved after the publication of the Union Rolling Work Programme by the European Commission. It is expected that a more mature market analysis methodology will be able to generate information that feeds the identification of the strategic priorities set by the European Commission, the ECCG and the SCCG. The methodology also aims to provide valuable input to the preparations of candidate cybersecurity certification schemes. このような方法論を提案する最初の試みは、欧州委員会によるUnion Rolling Work Programmeの発表後に発展し、さらに開発・改良されることが期待されている。より成熟した市場分析手法は、欧州委員会、ECCG、SCCGが設定した戦略的優先事項の特定に役立つ情報を生み出すことができると期待されています。また、この方法論は、サイバーセキュリティ認証制度の候補の準備に貴重な情報を提供することも目的としています。

 

目次です。

1. INTRODUCTION 1. 序論
1.1 SCOPE - OBJECTIVES 1.1 範囲と目的
1.2 STRUCTURE OF THE DOCUMENT 1.2 文書の構成
2. CONSIDERATIONS PRIOR TO THE ANALYSIS 2. 分析に先立つ検討事項
2.1 SCOPING AND SEGMENTATIONS OF THE CYBERSECURITY MARKET 2.1 サイバーセキュリティ市場の調査とセグメント化
2.2 DEVELOPING RESEARCH QUESTIONS 2.2 調査質問の作成
3. PROPOSED WORKFLOW 3. 作業案
4. PROPOSED METHODOLOGICAL STEPS  4. 方法論的ステップ案
4.1 STEP 1: DETERMINE THE CONTEXT AND THE SCOPE OF THE TOA  4.1 ステップ1:文脈とTOAの範囲の決定 
4.2 STEP 2: PRELIMINARY ASSESSMENT OF THE IMPACT OF A CERTIFICATIO INITIATIVE  4.2 ステップ2:認証イニシアティブの影響の予備評価 
4.3 STEP 3: IDENTIFY AVAILABLE OPTIONS  4.3 ステップ3:利用可能なオプションの特定 
4.4 STEP 4: COMPARE THE IMPACT OF POSSIBLE OPTIONS  4.4 ステップ4:可能な選択肢の影響の比較
4.5 STEP 5: SELECT THE OPTIMAL OPTION  4.5 ステップ5:最適なオプションの選択 
5. CONCLUSIONS AND NEXT STEPS  5. 結論と次のステップ 
A ANNEX: HOW TO ASSESS THE COSTS AND BENEFI OF A CERTIFICATION INITIATIVE  附属書A:認証イニシアティブのコストとベネフィットの評価方法 
B ANNEX: CHECKLIST OF POTENTIAL ACTIVITIES PERTYPE OF COST OF A CERTIFICATION INITIATIVE  附属書B:認証イニシアティブのコストタイプごとの潜在的活動のチェックリスト 
C ANNEX: LIST OF VARIOUS METHODS TO GATHER INFORMATION ON COSTS AND BENEFITS 附属書C:コストと便益に関する情報を収集するための様々な方法のリスト
D ANNEX: POTENTIAL DATA SOURCES 附属書D:潜在的なデータソース

 

 

■ 参考

● 欧州委員会 (European Commission)

・2021.03.26 The Cybersecurity Certification Group (ECCG)

・2021.03.26 The EU Cybersecurity Act

・2020.12.16 Revised Directive on Security of Network and Information Systems (NIS2)

・2020.06.24 Stakeholder Cybersecurity Certification Group (SCCG)


サイバーセキュリティ法の条文は,,,

● 欧州連合官報 (Official Journal of the European Union)

・209.04.17  ENISA (the European Union Agency for Cybersecurity) and on information and communications technology cybersecurity certification and repealing Regulation (EU) No 526/2013 (Cybersecurity Act)

[html][pdf]

 

●まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

2021.04.12 10:38 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | | Comments (0)

宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

こんにちは、丸山満彦です。

スイスのThe Center for Security Studies at ETH Zürichが宇宙経済のサイバー防御に関する論文を掲載しています。ちょうど、宇宙サイバーに関するサブワーキングのメンバーでもあるので、勉強がてら読んでみました。。。

● ETH Zürich

・2021.01.07 Terra Calling: Defending and Securing the Space Economy

This report aims to provide a deeper understanding of the fundamental cybersecurity and -​defense challenges pertaining to the space economy. It outlines the broad contours of what constitutes the space economy and takes a closer look at the problems on the terrestrial surface, space-​​based assets, and the area of up- and downlinks. Furthermore, this report dives into two case studies pertaining to NASA and the European global navigation satellite system Galileo, and disentangles the cyber threat landscape by examining public reporting on the most referenced satellite hacking incidents in terms of its veracity and fact-​​based representation. Finally, it provides several recommendations for the Swiss government and a brief horizon scan highlighting three future trends. 本報告書は、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について、より深い理解を得ることを目的としています。本レポートは、宇宙経済に関わるサイバーセキュリティおよび防衛の基本的な課題について理解を深めることを目的としており、宇宙経済を構成する大枠を説明した上で、地表の問題、宇宙ベースの資産、アップリンクおよびダウンリンクの領域について詳しく説明しています。さらに、NASAと欧州の全地球測位衛星システム「ガリレオ」に関する2つのケーススタディを紹介するとともに、最もよく知られている衛星ハッキング事件に関する一般の報道を、その真実性と事実に基づく表現の観点から検証することで、サイバー脅威の現状を明らかにしています。最後に、スイス政府へのいくつかの提言と、将来の3つのトレンドに焦点を当てた簡単な地平線スキャンを行っています。

 

・[PDF] CYBERDEFENSE REPORT - Terra Calling: Defending and Securing the Space Economy - From Science to Fiction and Back to Reality

20210412-15824

Executive Summary エグゼクティブ・サマリー
With the growing importance of the space domain and the increasing activities in space by both nation-state actors and private sector entities, the question as to the state of cybersecurity and -defense in the space economy is a pressing one. While many other reports have been written on the topic, this study provides the reader with an elemental baseline that seeks to be both holistic and detailed, and endeavors to rectify many persisting misconceptions and outright false information that has been pervading the discussion on cybersecurity and the space economy. 宇宙領域の重要性が増し、国家や民間企業による宇宙での活動が活発化する中、宇宙経済におけるサイバーセキュリティと防衛のあり方は喫緊の課題となっています。このテーマについては他にも多くのレポートが書かれているが、本研究では、全体的かつ詳細であることを目指した基本的なベースラインを読者に提供し、サイバーセキュリティと宇宙経済に関する議論に蔓延している多くの根強い誤解や全くの虚偽の情報を正すことを目的としています。
Currently, there is no existing consensus on how the space economy ought to be defined. Section 1 tries to rectify that by outlining five parts that span multiple domains, multiple sectors, and multiple assets across the globe that make up the space economy. 現在、宇宙経済をどのように定義すべきか、既存のコンセンサスはありません。第 1 章では、宇宙経済を構成する複数の領域、複数のセクター、そして地球上の複数の資産にまたがる 5 つの部分について説明することで、この問題を解決しようとしています。
Section 1.1 subsequently outlines the still ongoing discussions in both the US and the EU on designating the space sector as its own critical infrastructure sector. In the US, the relatively new Space Information Sharing and Analysis Center (ISAC) has been pushing the issue, while in the EU, the European Commission is currently again in the process of trying to create pan-EU critical infrastructure sector designations – after two previous unsuccessful attempts to do so in 2006 and 2013. 第 1.1 章では、宇宙分野を独自の重要インフラ分野として指定することについて、米国と EU で現在進行中の議論について説明しています。米国では、比較的新しい宇宙情報共有分析センター(ISAC)がこの問題を推進しており、EU では、欧州委員会が、2006 年と 2013 年に失敗した EU 全体の重要インフラ部門の指定を再び試みています。
Section 1.2 focuses on terrestrial assets and geo-dispersion by taking a closer look at OneWeb’s infrastructure as an example for commercial entanglement. The study argues that when it comes to intelligence collection, nation-state adversaries will preferably sit in any of OneWeb’s data centers or hook into national satellite network portals (SNPs) rather than try to infiltrate a satellite operation center. Similarly, if satellite destruction or collision is the aim, then targeting any other company or institution whose assets are not globally entangled with multiple governments would be more desirable. In regard to the military realm, the study highlights the example of Automatic Dependent Surveillance – Broadcast (ADS-B). Concluding that, while the system can be jammed and spoofed, the risk of exploitation can be minimized to such an extent that its vulnerabilities become almost irrelevant. The study thus notes the need for both military and civilian operators to manage and explain varying risks to a public flooded with breaking news stories and heightened cybersecurity concerns. 第 1.2 章では、商業的な絡み合いの例として、OneWeb のインフラを詳しく見ながら、地上の資産と地理的な分散に焦点を当てています。この研究では、情報収集に関しては、国家の敵対者は、衛星運用センターに侵入するよりも、OneWeb のデータセンターに居座ったり、各国の衛星ネットワークポータル(SNP)に接続したりすることを好むだろうとしています。同様に、衛星の破壊や衝突が目的であれば、複数の政府とグローバルに絡み合っていない資産を持つ他の企業や機関をターゲットにする方が望ましいでしょう。また、軍事分野では、ADS-B(Automatic Dependent Surveillance - Broadcast)を例に挙げています。その結果、ADS-B はジャミングやスプーフィングが可能なシステムではあるものの、その脆弱性がほとんど問題にならないほど、悪用されるリスクを最小限に抑えることができると結論づけています。この研究では、軍と民間の両方の事業者が、ニュース速報やサイバーセキュリティへの関心が高まる中、様々なリスクを管理し、国民に説明する必要があることを指摘しています。
On the subject of supply chains, the study notes that supply chain fragmentation is the norm in the space economy, as specialized manufacturers and alternative suppliers are few and far between. However, while there have been examples of APT intrusions into supplier, contractor, and major aeronautic company networks, most – if not all of them – are espionage related. The study also explains that adversarial nation states most likely face the same, if not more extensive supply chain risks – as the Iranians learned first-hand through the deployment of Stuxnet. One can only speculate to what degree adversarial space industry supply chains have been targeted in the past, and are compromised today, to for example enable pinpoint sabotage or facilitate continuous intelligence collection efforts. サプライチェーンに関しては、専門メーカーや代替サプライヤーが少ないため、宇宙経済ではサプライチェーンの断片化が常態化していると指摘しています。しかし、サプライヤー、コントラクター、大手航空会社のネットワークに APT が侵入した例はありますが、すべてではないにせよ、そのほとんどがスパイ活動に関連したものです。また、この研究では、敵対的な国家は、Stuxnet の展開を通じてイランが身をもって学んだように、広範囲ではないにしても、同じサプライチェーンリスクに直面している可能性が高いと説明しています。敵対する宇宙産業のサプライチェーンが過去にどの程度まで標的にされていたのか、そして現在も危険にさらされているのか、推測するしかありません。例えば、ピンポイントでの破壊工作を可能にしたり、継続的な情報収集活動を促進したりするために。
Section 1.3 focuses on space-based assets. It notes that particularly military satellite systems owned by Western nations are not always single-use or single-owned – and can pivot if necessary, to commercial satellite services to bridge short-term redundancy gaps. Adversaries who seek to disrupt or degrade specific satellite services will have a hard time to achieve persistent and tangible effects. A similar logic applies to commercial space assets given that service disruptions might create regional cascading effects that are undesirable, uncontrollable, and too public for an adversary’s risk appetite. 第 1.3 章では、宇宙ベースの資産に焦点を当てています。特に欧米諸国が保有する軍事衛星システムは、必ずしも単一用途・単一所有ではなく、必要に応じて商業衛星サービスに軸足を移し、短期的な冗長性のギャップを埋めることができることを指摘しています。特定の衛星サービスを妨害・劣化させようとする敵は、持続的かつ具体的な効果を得ることは難しいでしょう。同様の理屈が商業宇宙資産にも当てはまり、サービスの途絶は、望ましくない、制御不可能な、敵対者のリスク許容範囲を超えた地域的な連鎖効果を生み出す可能性があります。
On the subject of legacy systems, the study notes that there are different logics at play between commercial satellite operators and the military when it comes to satellite life spans. The latter prefers higher refresh rates, while the former is interested in long-term use. A potential solution to bridge this gap is to build hybrid satellite constellations that connect military and commercial satellites – which would also introduce a whole new cybersecurity dimension in space as satellite-to-satellite communications are rather rare. The study also explains the difference between operating systems on Earth and real-time operating systems used in space. This also includes the problem of patching vulnerabilities in space which is similar to the forever-day vulnerability problem in industrial control systems back on Earth. The study thus notes that the cybersecurity lessons learned in space are not very much different from the best practices on Earth. レガシーシステムに関しては、衛星の寿命に関して、商業衛星オペレーターと軍との間で異なる論理が存在することが指摘されています。後者はより高い更新を好み、一方の軍部は長期的な使用を重視しています。このギャップを埋めるためには、軍用衛星と商業衛星を接続するハイブリッド衛星コンステレーションを構築することが考えられますが、衛星間の通信がほとんど行われていない宇宙では、サイバーセキュリティの面でも全く新しい局面を迎えることになります。この研究では、地球上の OS と宇宙で使われるリアルタイム OS の違いについても説明しています。これには、宇宙における脆弱性のパッチ適用の問題も含まれています。これは、地上の産業用制御システムにおける永遠に続く脆弱性の問題に似ています。このように、宇宙で学ぶサイバーセキュリティの教訓は、地上でのベストプラクティスと大きな違いはないとしています。
In terms of the data colonization of space, i.e., the deployment of data centers in space, the study points out that while there are still major hurdles to their creation, a move toward mirroring Earth-based infrastructure in space is going to create synergies and overlaps that have long shielded space-based infrastructure from non-state adversaries. また、宇宙にデータセンターを設置する「宇宙データコロナイゼーション」については、その実現にはまだ大きなハードルがあるものの、地球上のインフラを宇宙に反映させることで、これまで宇宙のインフラが非国家的な敵から守られてきたこととの相乗効果や重複効果が期待できると指摘しています。
Section 1.4 explains the fundamentals of up- and downlinks and highlights that there is a major difference between intercepting unencrypted communications from an Iridium constellation satellite and conducting real-time packet injections into target communications as carried out at Menwith Hill Station. 第 1.4 章では、アップリンクとダウンリンクの基礎について説明し、イリジウム衛星からの暗号化されていない通信を傍受することと、メンウィズ・ヒル・ステーションで実施されたターゲットの通信にリアルタイムでパケットを注入することには大きな違いがあることを強調しています。
Section 2 discusses two case studies: NASA and Galileo. The NASA case study highlights that there are fundamental hurdles for cybersecurity progress that are not caused by technical problems but are induced by administrative and organizational shortcomings. Meanwhile, the Galileo case is an example of public communication failures and an opaque organizational structure that can exacerbate a severe IT problem. Both cases exemplify the difficulties of tackling cybersecurity in a highly bureaucratic and multi-stakeholder environment within the space economy. 第 2 章では、2 つのケーススタディについて説明します。NASA と Galileo です。NASA のケーススタディは、技術的な問題に起因するのではなく、管理的・組織的な欠点によって誘発されるサイバーセキュリティの進歩に対する根本的なハードルがあることを強調している。一方、ガリレオのケースは、公的なコミュニケーションの失敗と不透明な組織構造が、深刻なIT 問題を悪化させる例です。どちらのケースも、宇宙経済の中で、高度に官僚的で複数の利害関係者が存在する環境でサイバーセキュリティに取り組むことの難しさを例示しています。
Section 3 takes a closer look at five major cybersecurity incidents that have been widely cited and used in numerous research papers and conference talks on the topic of cybersecurity in space. The study calls out several misinterpretations, the spread of false information, and rectifies the narrative to separate reality from fiction and rumors. The section also utilizes the case of Jay Dyson and H4GiS to showcase how cybersecurity issues at work can migrate into a private setting and become deeply personal. As militaries around the globe are increasingly attracted to the idea of running information warfare campaigns to create persistent psychological effects within a population or target workforce, maintaining and caring for the mental health of network defenders will highly likely become a priority for government agencies and the private sector alike. 第 3 章では、宇宙におけるサイバーセキュリティをテーマにした数多くの研究論文や会議で広く引用され、使用されている5 つの主要なサイバーセキュリティインシデントについて詳しく見ていきます。この研究では、いくつかの誤った解釈や誤った情報の拡散を呼び起こし、現実とフィクションや噂を分けるために物語を修正しています。また、ジェイ・ダイソンと H4GiS のケースを利用して、仕事上のサイバーセキュリティの問題がプライベートな場に移行し、深く個人的なものになることを紹介しています。世界中の軍隊が、人口や対象となる労働力に持続的な心理的影響を与えるために情報戦キャンペーンを展開するというアイデアにますます惹かれるようになっている中、ネットワーク防衛者のメンタルヘルスを維持しケアすることは、政府機関と民間企業の両方にとって優先事項となる可能性が高いでしょう。
Section 4 explains the Hack-A-Sat challenge at DEFCON 2020 to highlight the various challenges and different knowledge necessary to both the adversary and the defender to control and command space assets. It also specifically emphasizes the efforts by the hacking community and the US government in advancing outreach and getting people involved into satellite security and securing the space economy at large. 第  4 章では、DEFCON 2020 における「Hack-A-Sat」チャレンジについて説明し、宇宙資産を制御・指揮するために敵対者と防御者の双方が必要とする様々な課題や知識について強調しています。また、ハッキング・コミュニティや米国政府が、衛星のセキュリティや宇宙経済全体の安全性確保に向けたアウトリーチ活動を推進し、人々を巻き込んでいることを特に強調しています。
Section 5 outlines various implication for Switzerland, including: 第  5 章では、スイスにとっての様々な示唆をまとめています。
(1) The Swiss federal government would be well-advised to comprehensively map out current Swiss space dependencies and redundancies across the identified nine critical infrastructure sectors and 27 sub-sectors. (1) スイス連邦政府は、特定された9 つの重要インフラ部門と 27 のサブ部門について、現在のスイスの宇宙への依存性と冗長性を包括的にマッピングすることを推奨します。
(2) It might also be prudent to map out potential cascading effects of what might occur if one or several satellites, ground stations, relevant webservers and/or data outside of Swiss territory becomes unavailable due to a persistent cyber incident. (2) また、スイス国外にある衛星や地上局、関連するウェブサーバやデータが、持続的なサイバーインシデントによって利用できなくなった場合、どのような影響が連鎖的に発生するかを想定しておくべきです。
(3) The federal government ought to proactively engage the European Commission and coordinate with other members of the European Space Agency (ESA) to insert itself into the EU debate on pan-European critical infrastructure. (3) 連邦政府は、欧州委員会に積極的に働きかけ、欧州宇宙機関(ESA)の他のメンバーと調整して、汎欧州的な重要インフラに関する EU の議論に参加すべきです。
(4) The federal government would do well to open up the debate on ESA’s cybersecurity posture, threat environment, and public outreach and communication practices. (4)  連邦政府は、ESA のサイバーセキュリティの態勢、脅威の環境、広報活動やコミュニケーションの実践について議論を深めることが望ましい。
(5) It might be prudent to stand up a joint cyber task force together with various ESA member countries to proactively tackle cyber-related incidents affecting the Agency. (5) ESA に影響を与えるサイバー関連のインシデントに積極的に取り組むために、ESA 加盟各国と共同でサイバータスクフォースを立ち上げるのが賢明でしょう。
(6) The federal government should seek clarification from the European Commission as to whether Swiss companies and government departments can get involved in the Commission’s plan to build up a European satellite communication system. (6) 連邦政府は、欧州委員会が計画している欧州衛星通信システムの構築に、スイスの企業や政府部門が関与できるかどうかについて、欧州委員会に説明を求めるべきです。
(7) The Swiss Defense Department, in cooperation with RUAG and Armasuisse, could partner up with selected European or US counterparts to pick up on the success of Hack-A-Sat and advance a series of hacking challenges pertaining to the space economy across Europe and the US. (7) スイス国防省は、RUAG や Armasuisse と協力して、「Hack-A-Sat」の成功を受けて、ヨーロッパやアメリカで宇宙経済に関する一連のハッキング・チャレンジを実施することができます。
(8) Swiss government departments and/or research institutions might want to serve as neutral arbiters that collect information and investigative reports on past cyber incidents affecting the space economy to paint a realistic picture of what actually occurred (excluding attribution claims). (8) スイスの政府機関や研究機関は、中立的な判断者として、宇宙経済に影響を与えた過去のサイバー事件に関する情報や調査報告書を収集し、実際に起こったことをリアルに描き出すことができるかもしれません(帰属の主張は除く)。
(9) A comprehensive and structured revisiting of past cases by a Swiss government department will most likely spur a reflection on how past incidents have been covered by the media and have been able to proliferate throughout the information security and policy community unchallenged – leading hopefully to better journalistic practices and better research conduct. (9) スイスの政府機関が過去の事件を包括的かつ体系的に再検討することで、過去の事件がどのようにメディアに取り上げられ、情報セキュリティや政策のコミュニティに無関係に広まっていったのかを振り返ることができ、よりよいジャーナリズムの実践やよりよい研究の実施につながることが期待されます。
(10) Switzerland should also keep an eye out on the legal debates that have and will increasingly occur when it comes to the interception of satellite communications by intelligence agencies, and the legal status of data transmitted and hosted in space. (10) また、情報機関による衛星通信の傍受や、宇宙空間で送信・ホストされるデータの法的地位について、これまでも、そして今後も、法的な議論が行われていくことにも注目したい。
Section 5.1 provides a brief horizon scan that highlights three trends: 第  5.1 章では、3 つのトレンドに焦点を当てた簡単なホライズンスキャンを行っています。
(a) Satellite Internet broadband constellations will become an essential extension – if not even a dominating part – of cyberspace as we know it. Opening up new regulatory and legal questions in a domain populated by vendors with little cybersecurity experience. (a) 衛星インターネット・ブロードバンド・コンステレーションは、私たちが知っているようなサイバースペースの重要な延長線上に、あるいは支配的な部分になるでしょう。サイバーセキュリティの経験がほとんどないベンダーが参入している分野で、新たな規制や法的問題が発生しています。
(b) The increased hybridization of space assets will most likely lead to new adversarial targeting dynamics against space-based assets. (b) 宇宙資産のハイブリッド化が進むと、宇宙ベースの資膨大なデータ量と宇宙空間でのデータストリームの再編成により、地球上に新たな標的と攻撃のベクトルが開かれることになります。
(c)  The sheer data volume and realignment of data streams through space will open up new target and attack vectors on Earth. (c)膨大なデータ量と宇宙空間でのデータストリームの再調整により、地球上に新たな標的と攻撃のベクトルが生まれます。

 

・[DOC] 本文部分の仮訳

 

2021.04.12 02:16 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 案内(講演 / 書籍等) | | Comments (0)

2021.04.11

FBI インターネット犯罪レポート2020を発表

こんにちは、丸山満彦です。

FBIというか、ICS3というか、が2020年のインターネット犯罪レポートを発表していますね。

今年の上位5位の苦情について過去5年間のグラフにしてみました。COVID-19の影響もあってか、2020は急激に報告数が増えていますね・・・

 

1_20210411045601

● FBI

・2021.04.09 FBI Releases 2020 Internet Crime Report

Internet Crime Complaint Center: IC3

・[PDF] Internet Crime Report 2020

20210410-163300

・[HTML] 2020 State Reports

過去分

 

今年の報告書の目次

Introduction はじめに
About the Internet Crime Complaint Center インターネット犯罪被害申告センターについて
IC3 History IC3の歴史
The IC3 Role in Combating Cyber Crime サイバー犯罪撲滅のためのIC3の役割
IC3 Core Functions IC3のコア・ファンクション
Hot Topics for 2020 2020年のホットトピック
Business Email Compromise (BEC) ビジネス・メール・コンプロマイズ(BEC)
IC3 Recovery Asset Team (RAT) IC3リカバリー・アセット・チーム(RAT)
RAT Successes RATの成功例
Tech Support Fraud テクニカルサポート詐欺
Ransomware ランサムウェア
2020 Victims by Age Group 2020年の年齢層別被害者数
2020 - Top 20 International Victim Countries 2020年 - 国際的な被害者数上位20カ国
2020 - Top 10 States by Number of Victims 2020年 - 被害者数の多い国トップ10
2020 - Top 10 States by Victim Loss 2020年 - 被害者損失額上位10州
2020 Crime Types 2020年 犯罪の種類
Last 3 Year Complaint Count Comparison 過去3年間の苦情件数の比較
2020 Overall State Statistics 2020年 州全体の統計
Appendix A: Definitions 付録A:用語の定義
Appendix B: Additional information about IC3 Data 付録B:IC3データに関する追加情報

 

2021年の犯罪タイプ別集計の詳細(件数順、被害順)をこちらに乗せておきました

 

年齢層別

11_20210410233301

若い人はもともと持っているお金や権限が弱いので、件数の割りに被害額は少なくなりますね。。。

12

Continue reading "FBI インターネット犯罪レポート2020を発表"

2021.04.11 00:01 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント | | Comments (0)

CSA : Oracle E-Business Suiteへの重要なコントロールの導入

こんにちは、丸山満彦です。

Cloud Security Alliance: CSAが、Oracle E-Business Suiteへの重要なコントロールの導入についてのガイダンスを公開していますね。。。

Cloud Security Alliance: CSA

・2021.04.05 Critical Controls Implementation for Oracle E-Business Suite

・[PDF]は簡単な質問に答えると入手できます...

20210411-52336

CSAが提唱する重要な20のコントロールは

USR01 Secure Authentication 安全な認証
USR02 User Accounts Management ユーザアカウント管理
USR03 Role-Based Access Control 役割ベースのアクセス制御
USR04 Emergency Access 緊急時のアクセス
USR05 Segregation of Duties 職務権限の分離
USR06 Secure User Provisioning / Deprovisioning 安全なユーザプロビジョニング/デプロビジョニング
USR07 Enterprise Resource Planning (ERP) Accounts Security ERPアカウントのセキュリティ
APP01 Secure Landscape 安全な環境
APP02 Secure Baseline Configurations 安全なベースライン構成
APP03 Implementation of Security Patches セキュリティ・パッチの実施
APP04 Secure Communications 安全な通信
APP05 Change Management Controls 変更管理コントロール
APP06 Secure Extensions 安全な拡張機能
INT01 Secure Integrations and Application Programming Interface (API) 安全な統合とAPI
DAT01 Continuous Monitoring 継続的モニタリング
DAT02 Data Separation データの分離
DAT03 Data Encryption データの暗号化
BUS01 Inventory of Business Assets, Data, and Processes ビジネス資産、データ、およびプロセスのインベントリ
BUS02 Business Process Controls ビジネス・プロセス・コントロール
BUS03 Continuous Compliance 継続的なコンプライアンス

で、これは

・2019.06.10 Top 20 Critical Controls for Cloud ERP Customers

・[PDF]は簡単な質問に答えると入手できます...

20210411-60019

 

SAP版もあります...

・2020.10.05 Critical-Controls-Implementation-for-SAP-(Parts-1-and-2)

・[PDF]は簡単な質問に答えると入手できます...

20210411-60953

・2020.10.09 (blog) Using CSA’s Implementation Guide for SAP to securely migrate and operate ERP applications in the cloud.

2021.04.11 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | | Comments (0)

2021.04.10

米国のソーシャルメディアの利用についての調査報告 (2021)

こんにちは、丸山満彦です。

米国のPew Research Centerが米国におけるソーシャルメディアの利用についての調査報告書(2021)を公表しています。2020年は飛んでいますが、過去から調査しているものです。。。

● Pew Research Center

・2021.04.07 Social Media Use in 2021

Social Media Fact Sheet

Pi_20210407_socialmedia_001

ポイント

  • YouTubeとRedditを除いて、ほとんどのプラットフォームは2019年以降ほとんど成長していない
  • Instagram、Snapchat、TikTokの利用は30歳未満の成人で際立っている
  • Facebook、Snapchat、Instagramの利用者の大多数は、これらのプラットフォームに毎日アクセスしている

報告書

・[PDF

20210410-80424

 

・2019.04.10 Share of U.S. adults using social media, including Facebook, is mostly unchanged since 2018

・2018.03.01 Social Media Use in 2018

・2016.11.11 Social Media Update 2016

 

2021.04.10 08:15 in 個人情報保護 / プライバシー | | Comments (0)

欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える

こんにちは、丸山満彦です。

欧州自動車工業会の事務局長 (Eric-Mark Huitema) が「自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える」と声明を発表 (2021.03.30) していましたね。

これは、Shaping Europe's Digital Future (2020.02.19) と呼ばれる欧州委員会のデータ経済戦略に沿って、2021年後半に出されるであろう欧州委員会の「車載データアクセスについての法案」への牽制ですかね。。。

European Automobile Manufacturers Association

・2021.03.30 Auto industry actively sharing vehicle data, putting consumer choice, safety and security first

In recent months various initiatives were launched that involve automobile manufacturers working together with governments and other businesses to facilitate data sharing. Indeed, Europe’s auto industry is committed to giving access to the data generated by the vehicles it produces. However, uncontrolled access to in-vehicle data poses major safety, (cyber) security, data protection and privacy threats. That is why any EU legislative framework should keep vehicles and their occupants safe and secure, while also guaranteeing that our sector can remain competitive and continue to innovate. ここ数カ月の間に、自動車メーカーが政府や他の企業と協力してデータ共有を促進するためのさまざまな取り組みが開始されました。実際、欧州の自動車業界は、生産した自動車が生み出すデータへのアクセスを提供することを約束しています。しかし、車載データへの無秩序なアクセスは、安全性、(サイバー)セキュリティ、データ保護、プライバシーの面で大きな脅威となります。だからこそ、EUの法的枠組みは、自動車とその乗員の安全と安心を守ると同時に、我々の業界が競争力を維持し、革新を続けられることを保証するものでなければなりません。

 

気になったコメント

  • 欧州委員会は車載データアクセスを法制化する意向を明らかにしており、2021年後半に提案が出される予定です。

  • デジタルサービスやシェアードモビリティの市場は、欧州の自動車メーカーが互いに、また欧州以外の自動車メーカーと積極的に競争するだけでなく、ますます多くのサービスプロバイダーと競争する、競争の激しい市場になりつつあります。

  • ここでの指針は、欧州自動車工業会の会員が、ユーザーの個人データの保護を確実にし、車両とその乗員の安全性と(サイバー)セキュリティを危険にさらさず、車両メーカーの責任や知的財産権を損なわない方法で、車両で生成されたデータを第三者のサービスに利用できるようにすることです。

  • 自動車メーカーは、車載データの新たな活用法を模索することにも意欲的です。なぜなら、欧州のデータ経済の一翼を担うことが、自動車産業の競争力と革新性を維持するための鍵になると考えているからです。欧州委員会が車載データへのアクセスを規制することを決定したとしても、それはデータを利用可能にするための基本原則を定めることに限定すべきであると考えるのは、まさにこのためです。欧州委員会は、特定の技術の使用を規定すべきではありません。

  • 市場での公正な競争を確保するためには、自動車メーカーと、同じ市場で活動する第三者のサービスプロバイダーとの間に公平な競争条件が存在することが重要な原則です。これを可能にするために、自動車メーカーは、非差別的な条件で車載データやリソースへのアクセスを提供することをすでに約束しています。

  • 車載データへのアクセスに関する将来の枠組みを導くべき2つ目の重要な原則は、顧客の選択です。

  • 車載データの共有は、プライバシーおよびデータ保護のルールに完全に準拠した上で、消費者がどのようなデータを誰と共有しているのかを知ることができるよう、明確な条件に基づいて行われるべきです。私たちは、第三者がデータにアクセスすることを許可する必要があり、データ共有のコントロールは常に顧客が行うべきであると強く信じています。

  • 車両データへのアクセスが、車両データへのアクセスを希望する者をコントロールする適切なメカニズムと組み合わされなければ、これを確実にすることはできないと考えています。同様に、自動車メーカーは、サイバーセキュリティ対策を制限されたり、車両が設計されていない意図しない使用のための「バックドア」を作ることを強いられたりすべきではありません。

  • 車載データへのアクセスに関する将来のEUの枠組みは、革新と競争力を制約するものであってはならないと確信しています。むしろ、公平で無差別なアクセス、技術の中立性、顧客の選択、そして何よりも人々の安全と安心を守るために、主要な分野における基本原則を定めるべきです。

 

Tz505d8q_400x400

全文はこちら・・・

 

■ 参考

● EU Commission - Strategy 

Priorities 2019-2024 - A Europe fit for the digital age

Shaping Europe's digital future

The Digital Services Act: ensuring a safe and accountable online environment

Shaping Europe’s digital future - Policies

The Digital Services Act package

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2021.03.15 欧州データ保護監督官 (EDPS) が欧州のサイバーセキュリティ戦略とネットワークおよび情報システムのセキュリティに関する改訂された指令(NIS 2.0)を歓迎すると表明

・2021.03.13 欧州委員会 Digitranscope デジタルトランスフォーメーションと人間社会のガバナンス 最終報告書

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2021.02.12 欧州連合理事会がePrivacyルールについて合意し、欧州議会に提出されることになったようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

2020.03.28 EU Ethics Guidelines for Trustworthy AI(信頼できるAIのためのEU倫理ガイドライン)

 

Continue reading "欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える"

2021.04.10 06:51 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | | Comments (0)

2021.04.09

EUデータ保護当局 (EDPB/EDPS) は、デジタルグリーン証明書の提案についての共同意見を採択

こんにちは、丸山満彦です。

EUデータ保護委員会 (The European Data Protection Board: EDPB) と EUデータ保護監督官 (The European Data Protection Supervisor: EDPS) は、グリーンデジタル証明書(Covid-19に陰性、ワクチン接種等の情報を確認できる電子証明書)について、法的根拠、COVID-19パンデミック時期における緊急性を強調して、一時的なものとして問題はないという意見をだしていますね。。。

The European Data Protection Board: EDPB

・2021.04.06 EU data protection authorities adopt joint opinion  on the Digital Green Certificate Proposals

 

Andrea Jelinek, Chair of the EDPB, said: 
"A Digital Green Certificate that is accepted in all Member States can be a major step forward in re-starting travel across the EU. Any measure adopted at national or EU level that involves processing of personal data must respect the general principles of effectiveness, necessity and proportionality. Therefore, the EDPB and the EDPS recommend that any further use of the Digital Green Certificate by the Member States must have an appropriate legal basis in the Member States and all the necessary safeguards must be in place."		 EDPBの議長であるアンドレア・イェリネクは次のように述べています。
「すべての加盟国で受け入れられるデジタルグリーン認証は、EU全域の旅行を再開するための大きな一歩となるでしょう。国またはEUレベルで採択された、個人データの処理を伴うあらゆる措置は、有効性、必要性、比例性の一般原則を尊重しなければなりません。したがって、EDPBとEDPSは、加盟国によるデジタルグリーン認証のさらなる使用には、加盟国における適切な法的根拠が必要であり、必要なすべての保護措置が講じられなければならないと勧告する。」
Wojciech Wiewiórowski, EDPS, said: 
It must be made clear that the Proposal does not allow for - and must not lead to - the creation of any sort of central database of personal data at EU level. In addition, it must be ensured that personal data is not processed any longer than what is strictly necessary and that access to and use of this data is not permitted once the pandemic has ended. I have always stressed that measures taken in the fight against COVID-19 are temporary and it is our duty to ensure that they are not here to stay after the crisis.”		 EDPSのWojciech Wiewiórowski氏は次のように述べています。 
「本提案は、EUレベルで個人データのあらゆる種類の中央データベースを作成することを認めておらず、また、そのようなことにつながってはならないことを明確にしなければならない。さらに、個人情報が厳密に必要な期間を超えて処理されないようにし、パンデミック終了後は、このデータへのアクセスや使用が許可されないようにしなければならない。私は常に、COVID-19との戦いで取られた措置は一時的なものであり、危機の後もここに留まることがないようにすることが我々の義務であると強調してきた。」

 

意見書は、

The European Data Protection Board: EDPB

・2021.03.31 EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery

・[PDF] EDPB-EDPS Joint Opinion 04/2021 on the Proposal for a Regulation of the European Parliament and of the Council on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate)

20210409-61309

TABLE OF CONTENTS 目次
1 BACKGROUND TO THE PROPOSALS 1 提案の背景
2 SCOPE OF THE JOINT OPINION 2 共同意見書の範囲
3 PRELIMINARY CONSIDERATIONS 3 事前検討事項
4 THE NEED FOR A COMPREHENSIVE LEGAL FRAMEWORK 4 包括的な法的枠組みの必要性
5 SPECIFIC DATA PROTECTION-RELATED COMMENTS 5 特定のデータ保護関連のコメント
5.1 General comments 5.1 一般的なコメント
5.2 Categories of personal data 5.2 個人データのカテゴリー
5.3 Adoption of adequate technical and organisational privacy and security measures in the context of the Proposal 5.3 提案の文脈における適切な技術的、組織的なプライバシー、セキュリティ対策の採用
5.4 Identification of controllers and processors 5.4 管理者及び処理者の識別
5.5 Transparency and data subject’s rights 5.5 透明性及びデータ対象者の権利
5.6 Data storage 5.6 データの保管
5.7 International Data Transfers 5.7 国際的なデータ移転

 

 

● CNIL

2021.04.07 COVID-19 : le CEPD et le Contrôleur européen de la protection des données rendent un avis sur la proposition de certificat vert numérique

L’essentiel 要約
La Commission européenne propose de faciliter la libre circulation au sein de l’Union européenne en mettant en place un certificat vert numérique. Ce certificat permettrait de prouver qu'une personne a été vaccinée contre la COVID-19, ou qu’elle a reçu un résultat négatif à un test de dépistage ou qu’elle s’est rétablie de la COVID-19. 欧州委員会は、デジタルグリーン証明書を導入することで、欧州連合内の自由な移動を促進することを提案している。この証明書により、COVID-19の予防接種を受けたこと、スクリーニング検査で陰性の結果を得たこと、またはCOVID-19から回復したことを証明することができます。
Cette proposition a pour objectif de créer un cadre européen harmonisé et interopérable pour la délivrance, la vérification et l’acceptation des certificats au sein de l’Union européenne. 本提案の目的は、欧州連合内での証明書の発行、検証および受け入れのために、調和のとれた相互運用可能な欧州の枠組みを構築することにあります。
Compte tenu des enjeux pour les droits et libertés fondamentaux des personnes, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données souhaitent une meilleure définition, dans la proposition de règlement, des finalités poursuivies par le certificat vert numérique (faciliter la libre circulation au sein de l’Union européenne) et reviennent sur les garanties nécessaires au déploiement d’un tel dispositif. 個人の基本的権利と自由に関わる問題に鑑み、欧州データ保護委員会(EDPS)と欧州データ保護監督官(EDPS)は、デジタルグリーン認証の目的(欧州連合内での自由な移動の促進)を規制案の中でより明確に定義し、このようなシステムの展開に必要な保証に立ち返ることを希望します。
Dans leur avis, ils soulignent également que les États membres qui souhaitent utiliser le certificat vert numérique pour d’autres usages doivent s’assurer d’avoir une base légale : 彼らの意見では、グリーン認証を他の目的で使用しようとする加盟国は、法的根拠があることを確認しなければならないと強調しています。
qui respecte les principes de nécessité et de proportionnalité ; 必要性と比例性の原則を尊重しています。
qui devra contenir les garanties essentielles pour éviter tout risque de discrimination et d’atteinte aux droit et libertés fondamentaux des personnes concernées. 差別や関係者の基本的な権利・自由の侵害のリスクを回避するための必須の保証が含まれていなければなりません。

 

 

■ 参考

ヨーロッパ委員会によるデジタルグリーン証明書の提案

● European Commission

・2021.03.17 (press) Coronavirus: Commission proposes a Digital Green Certificate

法案

Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL on a framework for the issuance, verification and acceptance of interoperable certificates on vaccination, testing and recovery to facilitate free movement during the COVID-19 pandemic (Digital Green Certificate)

・英語の法案 [HTML] [DOC] [PDF]

 

 

■ 参考

● JETRO - ビジネス短信

・2021.03.17 欧州委、新型コロナワクチン接種など証明書の発行枠組み法案発表

・2021.03.01 EU首脳、ワクチン接種の共通証明書の検討継続で一致

 

● Tech Crunch Japan

・2021.03.20 欧州が推し進める新型コロナ「デジタルパス」に存在する差別や技術的課題の懸念



2021.04.09 06:51 in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 危機管理 / 事業継続, in (temp)COVID-19 | | Comments (0)

2021.04.08

世界経済フォーラム Global Technology Governance Summit

こんにちは、丸山満彦です。

2021.04.06-2021.04.08まで、世界経済フォーラム (World Economic Forum) でGlobal Technology Governance Summitが開催されています。

日本からは、菅総理大臣が発表をし、中西経団連会長がパネルに出ていますね。。。

World Economic Forum: WEF

Global Technology Governance Summit (2021)

Worldeconomicforum_logo

Live logが色々とあって面白いです。

The Next Frontier: Corporate Governance 次のフロンティア:コーポレートガバナンス
Transformation in Action - Positive Futures 変革の実践 - ポジティブな未来へ
Harnessing Data for a Healthy Ocean データを活用した健康な海の実現
The Next Frontier: Healthy Ageing 次のフロンティア:健康な高齢者
Leading Industry Transformation 産業界の変革をリードする
Driving Circular Growth with Data データを活用した循環型成長の推進
Countering Harmful Content 有害なコンテンツへの対策
Rebuilding the Trust to Travel 旅への信頼を取り戻す
An Insight, An Idea Susan Wojcicki 洞察とアイデア - スーザン・ウォジッキ
An Insight, an Idea - Marc Benioff 洞察とアイデア - マーク・ベニオフ
Transformation in Action: Responsible Innovation トランスフォーメーション・イン・アクション 責任あるイノベーション
The Next Frontier: Space Technologies 次なるフロンティア:宇宙技術
Technology Governance Outlook テクノロジーガバナンスの展望
Taxing Digital Value デジタル価値への課税
Closing the Digital Divide デジタルデバイドの解消
Transforming Agriculture 農業の変革
Shaping the Future of the Data Economy データ経済の未来を切り拓く
Special Address by Suga Yoshihide, Prime Minister of Japan 日本 内閣総理大臣 菅義偉による特別講演
Technology Governance Outlook 1 テクノロジーガバナンスの展望1
The perfect swag for GTGS? An NFT 'voice gem' GTGSにぴったりのスワッグ?NFTの「声の宝石」とは
Radio Davos goes to the GTGS tech summit ラジオダボスがGTGSの技術サミットに潜入
The Global Technology Governance Summit Begins グローバル・テクノロジー・ガバナンス・サミットが始まる

 

キーノートのようなものはこちら。。。

  Key Moment キーモーメント
2021.04.07.11:45 Driving Circular Growth with DataWed データで循環型成長を促進する
2021.04.07.10:00 Countering Harmful ContentWed 有害コンテンツへの対応
2021.04.07.08:15 Rebuilding the Trust to TravelWed 旅行への信頼の再構築
2021.04.07.03:45 An Insight, An Idea Susan WojcickiWed 洞察力、アイデアスーザン・ウォジッキ
2021.04.07.03:00 An Insight, an Idea - Marc BenioffWed 洞察力とアイデア - マーク・ベニオフ
2021.04.06.17:15 Technology Governance OutlookTue テクノロジーガバナンスの展望
2021.04.06.16:00 Taxing Digital ValueTue デジタル価値への課税
2021.04.06.02:30 Shaping the Future of the Data EconomyTue データエコノミーの未来を形作る
2021.04.06.01:22 Special Address by Suga Yoshihide, Prime Minister of JapanTue 菅義偉内閣総理大臣による特別講演
2021.04.06.01:15 Technology Governance Outlook 1Tue テクノロジー・ガバナンスの展望
2021.04.05.17:00 The Global Technology Governance Summit BeginsMon グローバル・テクノロジー・ガバナンス・サミット開催

2021.04.08 11:31 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in ESG/CSR, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT, in (temp)COVID-19 | | Comments (0)

世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

こんにちは、丸山満彦です。

世界経済フォーラムが2021.03.23にサイバーリスクの取締役会ガバナンスための原則を公表していましたね。。。

World Economic Forum: WEF

・2021.03.23 Principles for Board Governance of Cyber Risk

・[PDF] Principles for Board Governance of Cyber Risk INSIGHT REPORT

20210407-213438

 

Cyber risk is among the top risks facing businesses today, and it has become clear that boards, especially, need stronger foundations to govern cyber risks effectively. Companies that effectively manage the entire portfolio of risks, including cyber, do better in the marketplace. This paper is designed as a reference for corporate directors as they set their organization’s cybersecurity strategy and engage with stakeholders on the issue of cyber risk. Building on existing guidance and developed in cooperation with the National Association of Corporate Directors, the Internet Security Association, and Forum partners, it offers six consensus principles for cybersecurity board governance. It provides advice and suggests critical actions that directors may find useful as they seek to understand their organization’s current position, exercise their oversight function and set future goals. サイバーリスクは、今日の企業が直面している最大のリスクの1つであり、特に取締役会は、サイバーリスクを効果的に管理するためのより強力な基盤を必要としていることが明らかになっています。サイバーを含むリスクのポートフォリオ全体を効果的に管理する企業は、市場でより良い業績を上げています。この報告書は、企業の取締役が組織のサイバーセキュリティ戦略を設定し、サイバーリスクの問題について利害関係者と関わりを持つ際の参考資料として作成されています。また、既存のガイダンスに基づいて構築され、全米企業取締役会、インターネットセキュリティ協会、およびフォーラムパートナーと協力して開発され、サイバーセキュリティ取締役会のガバナンスに関する6つのコンセンサス原則を提供します。さらに、取締役が組織の現在の状況を理解し、監視機能を発揮し、将来の目標を設定する際に役立つアドバイスや重要な行動を提案しています。

 

目次です。。。

Preface 序文
Executive summary エグゼクティブサマリー
Background 背景
1 Principles for board governance of cyber risk 1 サイバーリスクに関する取締役会ガバナンスの原則
2 Cyber-risk principles in-depth 2 サイバーリスク原則の詳細
2.1 Cybersecurity is a strategic business enabler 2.1 サイバーセキュリティは戦略的なビジネスイネーブラーである
2.2 Understand the economic drivers and impact of cyber risk 2.2 サイバーリスクの経済的推進要因と影響を理解する
2.3 Align cyber-risk management with business needs 2.3 サイバーリスクマネジメントをビジネスニーズに合わせる
2.4 Ensure organizational design supports cybersecurity 2.4 組織設計がサイバーセキュリティをサポートするようにする
2.5 Incorporate cybersecurity expertise into board governance 2.5 取締役会のガバナンスにサイバーセキュリティの専門知識を組み込む
2.6 Encourage systemic resilience and collaboration 2.6 システムの回復力とコラボレーションを促進する
Conclusion 結論
Taxonomy 用語
Contributors 貢献者
Acknowledgements 謝辞
Endnotes 巻末資料

 

本文部分の訳...

・[DOC]

 

Worldeconomicforum_logo

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

2021.04.08 00:29 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | | Comments (0)

IPA 「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

こんにちは、丸山満彦です。

IPAが「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」を公開していますね。。。

● IPA

・2021.04.07 「ニューノーマルにおけるテレワークとITサプライチェーンのセキュリティ実態調査」

本調査では、主に以下のことが明らかになりました。

  • コロナ禍でやむを得ず認めたセキュリティ対策の例外や特例が現状も継続している組織があること
  • 規定・規則・手順などが取り決められていても、委託元の5割5分が、従業員が規定・規則・手順を守れているかどうかの確認を実施していないこと
  • ニューノーマルに関する業務委託契約は進んでいないこと

 

20210408-24531

2021.04.08 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in ウイルス, in 内部統制 / リスクマネジメント, in ロボット, in 危機管理 / 事業継続, in クラウド, in パブコメ, in IoT, in (temp)COVID-19 | | Comments (0)

ENISA 病院におけるサイバーセキュリティのための調達ガイドライン(オンライン版)

こんにちは、丸山満彦です。

ENISAが病院におけるサイバーセキュリティのための調達ガイドライン(オンライン版)を公表していますね。。。

2020.02.24に発行され病院におけるサイバーセキュリティの調達ガイドラインの使用を容易にするために、作られたツールという位置付けのようですね。。。

● ENISA

・2021.04.07 (press) Procurement Guidelines for Cybersecurity in Hospitals: New Online tool for a Customised Experience!

The new tool helps healthcare organisations identify best practices in order to meet cybersecurity needs when procuring products or services.

Online Tools

20210408-23839

■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.22 ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.05.16 Tropic Trooperが台湾、フィリピンの政府、軍、医療機関等の物理的に分離されたネットワークをターゲットにUSBフェリー攻撃 by Trendmicro

2020.02.25 ENISA Procurement Guidelines for Cybersecurity in Hospitals

 

 

 

 

2021.04.08 00:00 in 情報セキュリティ / サイバーセキュリティ, in フォレンジック, in ウイルス, in 内部統制 / リスクマネジメント, in クラウド, in IoT | | Comments (0)

2021.04.07

ハックバックを認めるべき?民間企業による積極的サイバー防衛についての記事 ... Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line?

こんにちは、丸山満彦です。

Oxford Academicの"Journal of Cybersecurity"で、民間企業による能動的サイバー防衛についての記事がありますね。。。

● Oxford Academic - Journal of Cyversecurity

・2021.03.30 Oxford Academic, Journal of Cybersecurity: Private active cyber defense and (international) cyber security—pushing the line? 

 

Abstract 概要
Private sector Active Cyber Defence (ACD) lies on the intersection of domestic security and international security and is a recurring subject, often under the more provocative flag of ‘hack back’, in the American debate about cyber security.
This article looks at the theory and practice of private cyber security provision and analyses in more detail a number of recent reports and publications on ACD by Washington DC based commissions and think tanks.
Many of these propose legalizing forms of active cyber defence, in which private cyber security companies would be allowed to operate beyond their own, or their clients’ networks, and push beyond American law as it currently stands.
Generally, public-private governance solutions for security problems have to manage a balance between
(i) questions of capacity and assigning responsibilities,
(ii) the political legitimacy of public–private security solutions and
(iii) the mitigation of their external effects.
The case of private active cyber defence reveals a strong emphasis on addressing the domestic security (and political) problem, while failing to convincingly address the international security problems.
The proposals aim to create a legitimate market for active cyber defence, anchored to the state through regulation and certification as a way to balance capacity, responsibilities and domestic political legitimacy.
A major problem is that even though these reports anticipate international repercussions and political pushback, against what is likely be received internationally as an escalatory and provocative policy, they offer little to mitigate it.		 民間企業による能動的サイバー防衛(Active Cyber Defence: ACD)は、国内安全保障と国際安全保障の接点に位置しており、米国のサイバーセキュリティに関する議論では、しばしば「ハックバック」という挑発的な旗印のもと、繰り返し取り上げられるテーマとなっています。
この記事では、民間のサイバーセキュリティ提供の理論と実践について考察し、ワシントンDCを拠点とする委員会やシンクタンクがACDに関して最近発表した数多くのレポートや出版物をより詳細に分析しています。
これらの提案の多くは、能動的サイバー防衛を合法化するもので、民間のサイバーセキュリティ企業が自社や顧客のネットワークを超えて活動することを認め、現在のアメリカの法律を超えて活動することを提案しています。
一般的に、安全保障問題に対する官民のガバナンスによる解決策は、
(1)能力と責任の分担に関する問題、
(2)官民の安全保障解決策の政治的正当性、
(3)外部への影響の緩和、
のバランスを管理しなければなりません。
民間の能動的サイバー防衛のケースでは、国内の安全保障上(および政治上)の問題に対処することに重点が置かれている一方で、国際的な安全保障上の問題に説得力を持って対処することができていません。
これらの提案は、能力、責任、国内政治的正当性のバランスをとる方法として、規制や認証を通じて国家に固定された、能動的サイバー防衛のための合法的な市場を創出することを目的としています。
大きな問題は、これらの報告書が、国際的にはエスカレートした挑発的な政策として受け取られるであろうことに対して、国際的な反響や政治的な反発を予想しているにもかかわらず、それを緩和するための提案がほとんどないことです。

少し気になった図が下の図です。

 

1_20210406071301

Figure 1: the continuum between defensive and offensive cyber operations.

Source: Center for Cyber and Homeland Security. Into the Gray Zone. The Private Sector and Active Defense against Cyber Threats. Washington: George Washington University, 2016.

* Passive Defense * パッシブディフェンス
Basic security controls,  基本的なセキュリティ対策。
Firewalls, ファイアウォール。
Antivirus, アンチウイルス。
Patch management, パッチ管理。
Scanning and スキャンと
Monitoring, etc モニタリングなど
* Active Defense: The (Light) Gray Zone * アクティブディフェンス (ライト)グレーゾーン
Information Sharing 情報共有
Tarpits, Sandboxes & Honeypots タールピット、サンドボックス、ハニーポット
Denial & Deception 拒否と欺瞞 (D&D)
Hunting ハンティング
Beacons - Notify owner in case of theft ビーコン - 盗難の際に所有者に知らせる
Beacons - Provide information on External networks ビーコン - 外部ネットワークの情報提供
Intelligence Gathering in Deep Web/Dark Net ディープウェブ/ダークネットでの情報収集
* Active Defense: The (Dark) Gray Zone * アクティブディフェンス (ダーク)グレーゾーン
Botnet Takedowns ボットネットのテイクダウン
Coordinated sanctions, indictments & Trade Remedies 制裁、起訴、貿易救済措置の調整
White-hat Ransomware ホワイトハットランサムウェア
Rescue Missions to Recover Assets 資産回復のための救助任務
* Offensive Cyber * 攻撃的サイバー
Hacking back/Operations intended to disrupt or destroy external networks or information without authorization ハッキングバック/許可なく外部のネットワークや情報を破壊することを目的とした作戦

 

Center for Cyber and Homeland Security:
CCHS

・2016.10.12 [PDF] Into the Gray Zone. The Private Sector and Active Defense against Cyber Threats (Downloded)

 

20210407-01700

 

また、米国では、能動的サイバー防御確実性法(Active Cyber Defense Certainty Act: ACDC)案、2017年に下院に提出されていますが、

・2017.10.12 [PDF] 115th Congress 1st Session H. R. 4036 Active Cyber Defense Certainty Act

議論はされずに、2019年に下院再提出されていますね。。。

・2019.06.28 116th Congress 1st Session H.R.3270 - Active Cyber Defense Certainty Act

 

またYou Tubeの議論も参考になるかもです。。。

Center for Cyber and Homeland Security CCHS Event

・2016.11.01 [Youtube] "Into the Gray Zone: The Private Sector and Active Defense against Cyber Threats"

■ 参考

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.21 U.K. NSCS 2019年能動的サイバー防御についての実績報告書 (Active Cyber Defence (ACD) - The Third Year)

2021.04.07 00:19 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in フォレンジック, in 法律 / 犯罪, in 危機管理 / 事業継続, in クラウド | | Comments (0)

備忘録:内閣府 押印手続の見直し・電子署名の活用促進について

こんにちは、丸山満彦です。

内閣府に「押印手続の見直し・電子署名の活用促進について」のウェブページがあるので備忘録(^^)

よくある名前であれば、百均で誰でも三文判が購入できる状態で、登録もされていない陰影で本人確認ができる訳がないことなんておそらく小学生高学年であればわかるようなことを大人がいつまでもやり続けていたのはすごいな。。。と思います。

内閣府

内閣府 押印手続の見直し・電子署名の活用促進について

電子署名の利用促進については、読んでおいても良いかもです...

○ 会計手続におけるクラウド型電子署名サービスの活用に当たっての考え方

 国の契約手続において、各府省がクラウド型電子署名サービスの活用を検討する際の参考となるよう、同サービスの利用に当たっての考え方について、内閣府においてとりまとめました。

○ 「利用者の指示に基づきサービス提供事業者が電子署名を行うサービス」に関するQ&A

 押印の代替手段の1つである電子署名の活用を促進するため、クラウド型の電子署名のうち、特に「利用者の指示に基づきサービス提供事業者が電子署名を行うサービス」について、総務省、法務省、経済産業省において電子署名法における位置付けの明確化を行いました。

【電子署名法3条(真正な成立の推定)関係】

【電子署名法2条(定義)関係】

4riar7j3 

2021.04.07 00:00 in 暗号 / 電子署名 / ブロックチェーン | | Comments (0)

2021.04.06

IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

こんにちは、丸山満彦です。

IPAが「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書を公開していますね。。。

要は、「プラクティス集の利用実態やプラクティスへの要望等の調査」ですね。。。サイバーセキュリティ経営ガイドラインの作成メンバーなので、よく読んでおかないと(^^)。

次も委員になるかどうかはわからないけど...(^^;;

● IPA

・2021.04.05 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・[PDF] 2020 年度 サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査- 調査報告書 -

20210405-224323

 

各企業の事業がどの程度ITに依存しているかという「IT依存度」を4段階に分けて分析をしているのが面白いですね(^^)。

高い カテゴリー1 ITシステム・ITサービスが事業上必要不可欠な要素であり、その停止は事業全体または重要な事業の停止に繋がる
・「金融、保険業」での割合が最も高く25.0%。「卸売業、小売業」「情報通信業」においても比較的高い傾向
カテゴリー2 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しており、その停止は事業の一部に大きく影響する
・「製造業」の割合が最も高い
カテゴリー3 顧客へのサービス提供や生産活動の一部でITシステム・ITサービスを利用しているが、ITに依存しない代替手段等があるため、一時的な停止であれば事業への影響は小さい
・「製造業」の割合が最も高い
低い カテゴリー4 ITシステム・ITサービスは主に社内業務等に利用するのみで、その停止は事業にあまり影響しない
・「サービス業(他に分類されないもの)」の割合が最も高い

 

 

(1)プラクティス集を利活用する目的(または、今後利活用する目的として想定されるもの)<複数選択>

  • カテゴリー1:「管理体制の構築やPDCAサイクルの実施等の、通常時の体制強化を念頭においたサイバーセキュリティ対策の検討に活用するため」の割合が最も高く44.1%
  • カテゴリー2と3は、「サイバーセキュリティ対策のうち、対策が遅れている(対策の必要性が新たに生じた)テーマに関する「はじめの一歩」として、具体的な対策を確認・検討するため」が最も高い。
  • カテゴリー4では「セキュリティ対策で始めにすべきことの理解」が最も高く40.7%

.....

(2)構成・内容についての要望

  • カテゴリー1、2、3は、「企業の状況や課題に応じた利用方法、参照すべきプラクティスについて、具体的に解説する」のニーズが最も高い。
  • カテゴリー4では、「サイバー攻撃が経営課題である理由を具体的に解説する」のニーズが最も高く26.9%、他のカテゴリーと異なる傾向。

.....

有識者・企業インタビュー調査

 プラクティス利活用の目的とプラクティス集の構成・内容との整合性などについてインタビューし、現在のプラクティス集に対する有用な見解が得られた。
  • 体制構築が一定程度進んだ企業を念頭にした場合、実践的な対策内容を確認したいというニーズが想定されるが、現状の第2章および第3章はそのニーズには十分対応できておらず、第3章を中心とした実践的な対策内容の充実化と、プラクティス集全体を通じた「対策が必要な理由」が伝わるような構成・内容とする工夫が求められる。
  • 企業が現実に直面している課題とその対処方法について、理解しやすいように構成や内容面を工夫して取扱う必要がある。また、テレワーク・クラウド利用・DXなど最近のトレンドとなっているテーマについても、一定程度、対策内容の議論・標準化が進んで段階において、テーマとしての取扱いを検討することが求められる。
  • 可視化ツール(*3)とプラクティス集を連携することで、可視化ツールでの診断結果と、その診断結果に対応するプラクティスを、一連の流れで確認できれば有効である。また、Webコンテンツとして、診断結果の業種比較がオンラインで参照できるとよい。

なるほど...

 

2021.04.06 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 案内(講演 / 書籍等) | | Comments (0)

2021.04.05

CSA クラウドセキュリティの懸念、課題、インシデントに関する調査レポート

こんにちは、丸山満彦です。

CSAが、クラウドセキュリティの懸念、課題、インシデントに関する調査レポートを公開していましたね。。。

  • さまざまな規模や所在地のIT・セキュリティ専門家(約1,900人)を対象に調査したもので、
  • パンデミックの発生以来、複雑化しているクラウド環境についての洞察を得ることを目的としている

とのことのようですね。

パブリッククラウドの活用が今後急速に広がりそうな感じがしますね。。。その一方、セキュリティにかかわらずクラウド上での開発や運用に知見のある要員の不足が懸念されていますね。そして、クラウドセキュリティの課題としては、クラウド事業者の問題、クラウドにおけるセキュリティ設定の問題が上がっているような感じですね。。。

  • クラウド導入時の懸念事項としては、
    • ネットワークセキュリティ(58%)
    • クラウドに関する専門知識の不足(47%)
    • ワークロードのクラウドへの移行(44%)
    • クラウド環境を管理するスタッフの不足(32%)
  • 過去1年間にクラウドセキュリティインシデント(停止や侵入)を報告(11%)。その主な原因は、
    • クラウド事業者の問題(26%)
    • セキュリティの設定ミス(22%)
    • サービス妨害などの攻撃(20%)
  • クラウドの停止による影響。オペレーションの復旧にかかった時間は、
    • 半日以上かかった(26%)
    • 最大3時間(24%)

クラウドセキュリティ管理の所管は組織によって様々で、まだまだ自動化も進んでいないような感じですね。。。

 

● Cloud Security Alliance

・2021.03.30 Cloud Security Alliance Releases Latest Survey Report on State of Cloud Security Concerns, Challenges, and Incidents

 報告書は簡単な質問に回答すればダウンロードできます。

20210405-121434

・[PDF] Downloaded

 

Survey Creation And Methodology 調査の作成と方法論
Goals of the study 調査の目標
Executive Summary エグゼクティブサマリー
Key Findings 主な調査結果
Key Finding 1: Organizations are continuing to move to complex cloud environments 調査結果1:企業は複雑なクラウド環境への移行を続けている
Key Finding 2: Cloud provider’s native security controls not enough for many organizations 調査結果2:多くの企業にとって、クラウド事業者のネイティブなセキュリティ管理では十分ではない
Key Finding 3: Organizations look for security tools that can supplement their workforce 調査結果3:企業は自社の労働力を補完できるセキュリティツールを求めている
Public Cloud Usage パブリッククラウドの利用状況
Public cloud platforms organizations are using 企業が利用しているパブリッククラウドのプラットフォーム
Expectations being met by public cloud パブリック・クラウドに期待されること
Past, present, and future cloud workloads 過去、現在、そして将来のクラウドのワークロード
Team Responsible for Managing Security in Public Cloud パブリック・クラウドのセキュリティ管理を担当するチーム
Cloud Security Concerns クラウドセキュリティの懸念事項
Concerns when adopting cloud クラウド導入時の懸念事項
Addressing staff expertise in cloud security クラウドセキュリティに関するスタッフの専門性への対応
Concerns when running applications in pubic cloud パブリッククラウドでアプリケーションを実行する際の懸念事項
Tools ツール
Network security controls ネットワークセキュリティ管理
Tools for Application Orchestration アプリケーション・オーケストレーション用ツール
Sought after benefits in cloud security management tools クラウドセキュリティ管理ツールに求められるメリット
Cloud Security Incidents And Outages クラウドセキュリティのインシデントと停止
Cloud-related operational incidents クラウド関連の運用インシデント
Outage contributors 障害の発生要因
Downtime from most disruptive outage 最も影響の大きい障害によるダウンタイム
Demographics 調査対象の特性
Industry 業界
Organization Size 組織規模
Role 役割
Location 所在地

 

 

2021.04.05 12:37 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | | Comments (0)

NISTIR 8212 ISCMA: An Information Security Continuous Monitoring Program Assessment(情報セキュリティ継続的監視プログラムの評価)

こんにちは、丸山満彦です。

NISTがNISTIR 8212 ISCMA: An Information Security Continuous Monitoring Program Assessment(情報セキュリティ継続的監視プログラムの評価)が公表されていますね。。。

パブコメが出された時(2020.10.01)に紹介するのを忘れていました。。。

情報セキュリティ継続的監視(ISCM)プログラムを評価するための方法論の例を紹介した文書ですね。ここで紹介されている方法論例は、NISTのガイダンスから直接作成されたもので、連邦政府だけでなく、あらゆる組織に適用可能ということです。

 

● NIST - ITL

・2021.03.31 (publication) NISTIR 8212 ISCMA: An Information Security Continuous Monitoring Program Assessment

・ [PDF] NISTIR 8212

20210405-62221

目次はこちら...

Related NIST Publications:

 

Supplemental Material:

 

20210405-94723

 

Exective Summary エグゼクティブサマリー
National Institute of Standards and Technology Interagency Report (NISTIR) 8212 provides an operational approach to the assessment of an organization’s Information Security Continuous Monitoring (ISCM) program.1 The ISCM assessment (ISCMA) approach is consistent with the ISCM Program Assessment described in NIST SP 800-137A [SP800-137A], Assessing Information Security Continuous Monitoring Programs: Developing an ISCM Program Assessment. 米国標準技術局(NIST)の機関間報告書(NISTIR8212は、組織の情報セキュリティ継続的監視(ISCM)プログラムを評価するための運用アプローチを提供しています1ISCM評価(ISCMA)のアプローチは、NIST SP 800-137A [SP800-137A]「情報セキュリティ継続的監視プログラムの評価」で説明されているISCMプログラム評価と一致しています。ISCM プログラムアセスメントの開発。
Included with the ISCMA approach in this report is the ISCMAx tool [ISCMAx], a free, publicly available, working implementation of ISCMA that can be tailored to fit the needs of an organization. The ISCMAx tool is a Microsoft Excel application that runs on Windows-based systems only. This report includes instructions for using ISCMAx as provided and for tailoring it, if desired. 本レポートの ISCMA アプローチに含まれる ISCMAx ツール [ISCMAx]は、組織のニーズに合わせて調整可能な、無料で一般に利用できる ISCMA の実用的な実装です。ISCMAxツールは、Windowsベースのシステムでのみ動作するMicrosoft Excelアプリケーションです。本レポートには、ISCMAxをそのまま使用する方法と、必要に応じてカスタマイズする方法が記載されています。
ISCMAx is suited for self-assessment by organizations of any size or complexity. Organizations choose the desired breadth and depth of the assessment. Breadth options are provided for organizations ranging from those that already have functioning ISCM programs to those that are just starting. Depth options allow organizations to focus on the more critical aspects of the program, followed by details and nuances. ISCMAxは、組織の規模や複雑さを問わず、組織の自己評価に適しています。組織は、必要な評価の幅と深さを選択します。広さのオプションは、すでにISCMプログラムが機能している組織から、これから始めようとしている組織まで、さまざまな組織に提供されます。深度オプションは、プログラムのより重要な側面に焦点を当て、次に詳細やニュアンスに焦点を当てることができます。
The ISCMA is designed around participation by personnel from the following risk management levels2 and associated ISCM responsibilities: ISCMAは、次のようなリスク管理レベル2の担当者が参加することを前提に設計されており、それに伴うISCMの責任も考慮されています。
• Level 1 personnel are responsible for the organization-wide ISCM strategy, policies, procedures, and implementation. • レベル 1 の要員は、組織全体の ISCM 戦略、方針、手順、および実施に責任を負う。
• Level 2 personnel are responsible for the ISCM strategy, policies, procedures, and implementation for specific mission or business processes. • レベル 2 の要員は、特定のミッション又は業務プロセスの ISCM 戦略、方針、手順及び実施に責任を負う。
• Level 3 personnel are responsible for ISCM strategy, policies, procedures, and implementation for individual information systems. • レベル 3 の要員は、個々の情報システムの ISCM 戦略、ポリシー、手順、および実施に責任を負う。
At each risk management level, an ISCMA unique to that level is conducted. Judgments are made about assessment elements, which are statements that should be true for a well-implemented ISCM program. Under ISCMA, an assessment with the maximum breadth and depth consists of 128 assessment elements. The results for each risk management level are then merged into a single overall result 各リスク管理レベルにおいて、そのレベルに固有の ISCMA が実施される。評価要素についての判断は、適切に実施された ISCM プログラムが真であるべきであるという記述に基づいて行われます。ISCMA では、最大の広さと深さを持つ評価は 128 の評価要素で構成される。そして、各リスク管理レベルの結果は、1つの全体的な結果に統合されます。
The ISCMA process proceeds according to the following steps: ISCMAのプロセスは、以下の手順で進められます。
• Plan the approach • アプローチの計画
• Conduct: Evaluate the elements • 実施:要素の評価
• Conduct: Score the judgments • 実施:判断の採点
• Report: Analyze the results • 報告:結果の分析
• Report and Follow-on: Formulate actions • 報告とフォロー:アクションの策定
Part of the “Plan the Approach” step is to determine how to organize the selected participants at each risk management level. For example, all participants from Level 2 could conduct a single ISCMA as a group with judgments made by consensus. Alternatively, participants from each mission or business process could conduct individual assessments in parallel and allow[ISCMAx] to assemble and merge those assessments. In the latter case, the most common judgment of all the individual assessments is the overall judgment for a risk management level. 「アプローチを計画する」ステップの一環として、各リスク管理レベルで選ばれた参加者をどのように編成するかを決定します。例えば、レベル2の参加者全員がグループとして1回のISCMAを実施し、コンセンサスに基づいて判定を行うことができる。あるいは、各ミッション又はビジネスプロセスの参加者が個々の評価を並行して実施し、[ISCMAx]がそれらの評価をまとめて統合することも可能です。後者の場合、個々の評価の中で最も共通する判断を、リスク管理レベルの総合判断とします。
ISCMAx produces a detailed scorecard and associated graphical output. It also automatically reports conditions that may warrant further analysis, such as: ISCMAxは、詳細なスコアカードと関連するグラフ出力を作成します。また、以下のような更なる分析を必要とする状況を自動的に報告します。
• Elements where the overall organizational judgment is weakest • 組織全体の判断が最も弱い要素
• Elements where different risk management levels have widely divergent judgments • 異なるリスク管理レベルの判断が大きく異なっている要素
   
1 ISCM is defined in NIST Special Publication (SP) 800-137 [SP800-137], Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations, as maintaining ongoing awareness of information security, vulnerabilities, and threats to support organizational risk management decisions. 1 ISCMは、NIST SP 800-137 [SP800-137]「連邦政府の情報システムおよび組織のための情報セキュリティ継続的モニタリング(ISCM)」において、情報セキュリティ、脆弱性、脅威について継続的な認識を持ち、組織のリスク管理の決定を支援することと定義されています。
2 Risk management levels are described in NIST SP 800-39 [SP800-39], Managing Information Security Risk: Organization, Mission, and Information System View. 2 リスク管理レベルは、NIST SP 800-39 [SP800-39]の「情報セキュリティリスクの管理:組織、ミッション、情報システムの視点」に記載されています。

 

References

[Catalog] National Institute of Standards and Technology (2020) ISCM Assessment Procedures Catalog. Available at
https://csrc.nist.gov/publications/detail/sp/800-137a/final


[CSF1.1] National Institute of Standards and Technology (2018) Framework for Improving Critical Infrastructure Cybersecurity, Version 1.1. (National Institute of Standards and Technology, Gaithersburg, MD).
https://doi.org/10.6028/NIST.CSWP.04162018


[ISCMAx] National Institute of Standards and Technology (2020) ISCMAx. Available from
https://csrc.nist.gov/publications/detail/nistir/8212/final


[IGMetrics] FY 2018 Inspector General Federal Information Security Modernization Act of 2014 (FISMA) Reporting Metrics Version 1.0.1, Department of Homeland Security, Washington, DC, May 2018. Available at
https://www.cisa.gov/publication/fy18-fisma-documents


[SP800-37r2] Joint Task Force (2018) Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-37, Rev. 2.
https://doi.org/10.6028/NIST.SP.800-37r2


[SP800-39] Joint Task Force Transformation Initiative (2011) Managing Information Security Risk: Organization, Mission, and Information System View. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-
39.
https://doi.org/10.6028/NIST.SP.800-39


[SP800-53r5] Joint Task Force (2020) Security and Privacy Controls for Federal Information Systems and Organizations. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication 800-53, Revision 5, Includes updates as of December 10, 2020.
https://doi.org/10.6028/NIST.SP.800-53r5


[SP800-137] Dempsey KL, Chawla NS, Johnson LA, Johnston R, Jones AC, Orebaugh AD, Scholl MA, Stine KM (2011) Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-137.
https://doi.org/10.6028/NIST.SP.800-137


[SP800-137A] Dempsey KL, Pillitteri VY, Baer C, Niemeyer R, Rudman R, Urban S (2020) Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment. (National Institute of Standards and Technology, Gaithersburg, MD), NIST Special Publication (SP) 800-137A.
https://doi.org/10.6028/NIST.SP.800-137A

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.05.23 NIST SP 800-137A Assessing Information Security Continuous Monitoring (ISCM) Programs: Developing an ISCM Program Assessment

・2011.10.04 NIST SP800-137 Information Security Continuous Monitoring (ISCM) for Federal Information Systems and Organizations

 

Continue reading "NISTIR 8212 ISCMA: An Information Security Continuous Monitoring Program Assessment(情報セキュリティ継続的監視プログラムの評価)"

2021.04.05 10:20 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | | Comments (0)

コーポレートガバナンス・コード改訂(案)

こんにちは、丸山満彦です。

2021.03.31に開催された金融庁の「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」(第26回)において、コーポレートガバナンス・コード改訂(案)についての議論がされたようですね。。。

主な改訂ポイントは、取締役会の機能発揮を強く意識した上(関連して、グループガバナンス、監査に対する信頼性、内部統制・リスク管理)で、合わせてサステナビリティ対応、ダイバーシティー&インクルージョン対応、IT化ですかね。。。

下の方にも書いていますが、取締役会と執行メンバーの関係は環境に応じて動的に変わるものという前提で議論をするのが重要なんでしょうね。。。

● 金融庁

・2021.03.31 「スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議」(第26回)

資料  [PDF] コーポレートガバナンス・コードと投資家と企業の対話ガイドラインの改訂について(案)

20210404-73259


別紙1 [PDF] コーポレートガバナンス・コード改訂案

20210404-73019


別紙2 [PDF] 投資家と企業の対話ガイドライン改訂案

20210404-73118


    [PDF] 意見(松岡メンバー)
    [PDF] 意見(ケリー・ワリングメンバー)(原文)
    [PDF] 意見(ケリー・ワリングメンバー)(日本語訳)

 

コーポレートガバナンス・コードと投資家と企業の対話ガイドラインの改訂について(案)の内容は、

Ⅰ.はじめに

Ⅱ.本コードと対話ガイドラインの改訂に当たっての考え方

1.取締役会の機能発揮
2.企業の中核人材における多様性(ダイバーシティ)の確保
3.サステナビリティ(ESG要素を含む中長期的な持続可能性)を巡る課題への取組み
4.その他個別の項目

(1)グループガバナンスの在り方
(2)監査に対する信頼性の確保及び内部統制・リスク管理
(3)株主総会関係
(4)上記以外の主要課題

Ⅲ.本コードの改訂の適用について

Ⅳ.おわりに

コーポレートガバナンス・コードと投資家と企業の対話ガイドラインの改訂について(案)はワードにもしてみました。

・[DOCX]コーポレートガバナンス・コードと投資家と企業の対話ガイドラインの改訂について(案)

 

取締役会の役割はまさに、「取締役会が経営者による迅速・果断なリスクテイクを支え重要な意思決定を行うとともに、実効性の高い監督を行う」(意見書5)ですよね。。。

会社経営のイメージは、大海原を船で突き進んでいるイメージです。穏やかな気候の中を海流に乗って悠々と進んでいる時もあれば、荒れ狂う暴風雨の中を木の葉のように舞いながらも進んでいる時もある。そんな操縦室の中で、エンジンや舵をどう切るか、船長と共に専門性や経験をもった賢人たちが意思決定を行っている感じです。

気候によって、船長やそれをサポートする人の役割って動的に変わってくると思うんですよね。。。穏やかな気候の時は、取締役会で決めた方向に向かって船長はある意味自由闊達に工夫しことを進め、取締役会は決めた方向にきちんと進んでいることを確認するという監督者的な役割が重要視されるのだろうと思います。一方、荒れ狂う暴風雨の時は、取締役会も全面的に船長をサポートし、難局を乗り切らなければいけない。船長のやり方が正しいかどうかをあれやこれや資料を出させて議論ばかりしている場合ではない時もあると思います。もちろん、いつが難局でいつが平時かという切れ目すら動的に変わってくるのだろうと思っています。南氷洋のように常い暴風雨が吹き荒れているようなところを進むのであれば、それがもう平時ですしね。。。大きな船にとっては穏やかな波であっても、小さな船にとっては大波と感じることもあるでしょうしね。。。

取締役会もCEOも最終的には株主の利益のために活動をすべきなのだろうと思います。株主の利益の中には他の利害関係者との関係を適切に築くことにより得られる利益も含まれます。

この株主会社制度の原理原則をきちんと理解すれば、方法論に多少の揺らぎがあっても大きくずれることはないでしょうね。。。

 

■ 参考

● ビジネス法務の部屋

・2021.04.02 監査機関の一元的統合に関する課題にどう答えるか?

山口先生の論点はいつも現実に即した論点で非常に参考になりますね。。。

監査役の特性(属性)についても積極的に開示すべきと考えます。

↑:当然でしょうね。投資家、株主にとっての開示ですからガバナンスの重要な一部を担う人についての特性(属性)は取締役が開示することが重要という判断であれば、監査役についての開示も当然に重要となりますよね。

取締役や監査役の情報入手の重要性との関係で「内部監査部門の充実」に光が当たっていますが、なぜ監査役専属スタッフの活用については記載がないのでしょうか。

↑:山口先生の思いと同じく当然でしょうね。監査役が責任を持って業務を行うためには、監査役スタッフの活用が不可欠ですよね。プライム市場上場会社で監査役にスタッフがついていないというところがあれば、それはそれで問題でしょうね。。。監査役スタッフの選任については、監査役が決める話(もちろん、内部人材を活用する場合には執行の責任者との調整が必要ですが...)ですよね。むしろ、企業の業種業態、規模、内部監査部門の充実等との兼ね合いでどの程度が適切であるのかという議論をむしろ深める必要があるでしょうね。。。

山口先生のブログでちょっと気になったのは、

社外取締役に経営者の監督機能を果たしてもらうことでエージェンシーコストをできるだけ少なくしたい、会計監査人や内部監査人が別に存在するのだから、それ以外の監査コストはできるだけ低減したい、という機関投資家の気持ちからすれば、「監査は取締役・監査委員の会合で代替できるのではないか」「情報収集は優秀な内部監査部門と連携すればよいのではないか」といった素朴な疑問が湧いてきても不思議ではないでしょう。といいますか、最近のガバナンス改革の流れからすれば、そういった意見が今後も強くなるような気がします。

の部分です。機関投資家には監査コストをできるだけ低減したいという思いがあるのでしょうかね。。。本当は「低減」ではなく、「適正」なんでしょうね。。。それは長期的に株式をもつ場合と、短期的な利益を重視する場合で異なるのかもしれませんね。。。投資家が社会にとって重要な位置付けを持つということを考えると、機関投資家が監査コストをどのように決めるべきかを投資家としての行動規範(例えば、[PDF] スチュワードシップ・コード)で規定していくのが良いのかもしれませんね。。。

 

● 金融庁 - 審議会・研究会等 - スチュワードシップ・コード及びコーポレートガバナンス・コードのフォローアップ会議

・意見書等

 

● 金融庁  - 審議会・研究会等 - スチュワードシップ・コードに関する有識者検討会

 

F200012261_20210404072101

2021.04.05 00:00 in 監査 / 認証, in ESG/CSR, in 内部統制 / リスクマネジメント | | Comments (0)

2021.04.04

日医総研 医療機器高度化に伴う医療情報のサイバーセキュリティマネジメントに関する研究

こんにちは、丸山満彦です。

日医総研から医療機器高度化に伴う医療情報のサイバーセキュリティマネジメントに関する研究が公表されていますね。。。

執筆者は、秋冨慎司先生で、研究協力者には澤倫太郎先生、川口洋さん、笹原英司さん、篠田佳奈さん、園田道夫先生、鎮西清行先生、山寺純さん、Assaf Marcoさんの名前が上がっていますね。。。

 

● 日本医師会総合政策研究機構

・2021.04.02 医療機器高度化に伴う医療情報のサイバーセキュリティマネジメントに関する研究

・[PDF] 医療機器高度化に伴う医療情報のサイバーセキュリティマネジメントに関する研究

20210403-70908

Webページの概要のよりぬき。。。

仮に病院を一斉に攻撃された場合に混乱が1週間以上続き、重症患者の受け入れが困難になるだけでなく、通常の外来受診機や定期手術などの病院機能が消失する可能性があり、その対策は急を要する。 

・・・

今まで多くの医療現場で導入されている医療機関自らがサーバを保有し管理するオンプレ型は、サーバテロなどのネットワーク上の脅威にさらされることは少なく安全と思われていたが、医療機器のIoT化により知らない間に外部とつながっているリスクが分かってきた。

・・・

異なるメーカーのIoT医療機器、違う型番、OSの違いやOSは同じだがバージョンが違うと機能も動作環境も異なることが多い

・・・

気がついていない機器がすでにIoT化されている数が多い事や、意外なところで使用されているなど、病院の情報システム管理者ですら把握出来なくなっており、ネットワークに接続されたIoT医療機器の全体構成を把握するのが困難を極めている。

・・・

医療現場の状況を把握しつつ、日本医師会が責任ある形で政府や民間に提供、提案していく必要がある。さらにCOVID-19パンデミックを契機に、海外のスタートアップ企業主導で新規医療機器の開発・承認申請ラッシュが起きており、その対応は急務である。


目次は、

1. はじめに(背景と目的)
2. 医療分野におけるインターネット活用とサイバーセキュリティへの危機意識
3. 医療環境における2つのサイバーセキュリティの型とその関係
4. 医療機器の IoT 化によるサンバー攻撃のリスク
5. 医療サイバーインシデントの現状
6. 今後の対策
7. 情報提供: 産業技術総合研究所における情報システムへの不正アクセスに関する報告
8. 参考資料

 

そういえば、数年ほど前に知り合いの医者数名(ダビンチ等も使って治療している人も含む)に、電子カルテが使えなくなったらどうなる?って聞いたことがあります。

医者なので治療自体はできる。けど、過去の治療歴や投薬履歴がみられないと時間や手間がかかったり、治療がやりにくくなる、

というのが数名のしかも偏ったサンプルの私の強引にまとめた意見です(^^)。人によっては結構やりにくという意見もありましたね。。。

2021.04.04 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT | | Comments (0)

2021.04.03

U.S. Office of Inspectors General(連邦監察官室)

こんにちは、丸山満彦です。

米国連邦政府の仕組みの特徴的なところは、各省庁に内部監査部門のような部署、Office of Inspectors General: IG(連邦監察官室)があるところですかね。。。

各省庁の連邦監査官室は政府組織ですから大統領の指揮下にあることになっていますが、議会が一定の歯止めをかけられる感じですね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE と[Wikipedia]が一番まとまってわかりやすいですかね...

で、各府省庁を監査するGAOがさらにある、という構造ですね。

GAOは連邦議会の活動を補佐する業務ではあるのですが、委員長の選任は上院下院の議員からなる委員会が推薦して大統領が任命するので、完全な第三者とは言えない部分もありますね。

なんで、このような記事を書いたかというと、各府省庁の監察官室でもセキュリティ監査をしているからです。。。ということで、2014年の報告では74あると報告されている連邦監察官室の監査についてもチェックしないといけないかな。。。とか思っているところなんですよね。。。いや、大変だ・・・

で、IGは内部通報の受付窓口にもなっていますね。。。

The Council of the Inspectors General on Integrity and Efficiency: CIGIE

Wikipedia - Office of Inspector General (United States)

1_20210402030201

 

Wikipediaからリストを作ってみました。。。(リンクが切れていたところは、リンクを貼り直していたりする場合もあります・・・※ 記載が漏れていたものを追加したものもあります・・・※※)

Presidentially-appointed inspectors general 大統領に任命された監察官  
Jurisdiction 所管 Website
Agency for International Development (AID-OIG) 国際開発庁 AID-OIG
Department of Agriculture (USDA-OIG) 米国農務省 USDA-OIG
Central Intelligence Agency (CIA-OIG) 米国中央情報局 CIA-OIG ※
Department of Commerce (DOC-OIG) 商務省 DOC-OIG
Corporation for National and Community Service (CNCS-OIG) 全米社会奉仕団 CNCS-OIG
Department of Defense (DOD-OIG) 国防総省 DOD-OIG
Department of Education (ED-OIG) 教育省 DOED-OIG
Department of Energy (DOE-OIG) エネルギー省 DOE-OIG
Environmental Protection Agency and Chemical Safety and Hazard Investigation Board (EPA-OIG) 環境保護庁および化学物質安全・有害性調査委員会 EPA-OIG
Export-Import Bank (EIB-OIG) 米国輸出入銀行 EIB-OIG
Federal Deposit Insurance Corporation (FDIC-OIG) 連邦預金保険公社 FDIC-OIG
Federal Housing Finance Agency (FHFA-OIG) 連邦住宅金融機関 FHFA-OIG
General Services Administration (GSA-OIG) 一般調達局 GSA-OIG
Department of Health and Human Services (HHS-OIG) 保健社会福祉省 HHS-OIG
Department of Homeland Security (DHS-OIG) 米国国土安全保障省 DHS-OIG
Department of Housing and Urban Development (HUD-OIG) 住宅都市開発省 HUD-OIG
Intelligence Community (ICIG) 情報コミュニティ ICIG
Department of the Interior (DOI-OIG) 内務省 DOI-OIG
Internal Revenue Service (TIGTA) 内国歳入庁 TIGTA
Department of Justice (DOJ-OIG) 司法省 DOJ-OIG
Department of Labor (DOL-OIG) 労働省 DOL-OIG
National Aeronautics and Space Administration (NASA-OIG) 米国航空宇宙局 NASA-OIG
Nuclear Regulatory Commission (NRC-OIG) 原子力規制委員会 NRC-OIG
Office of Personnel Management (OPM-OIG) 人事管理局 OPM-OIG
Railroad Retirement Board (RRB-OIG) 鉄道退職委員会 RRB-OIG
Small Business Administration (SBA-OIG) 中小企業庁 SBA-OIG
Social Security Administration (SSA-OIG) 社会保障庁 SSA-OIG
Department of State and the Agency for Global Media (DOS-OIG) 国務省およびグローバルメディア庁 DOS-OIG
Tennessee Valley Authority (TVA-OIG) テネシーバレー公社 TVA-OIG
Department of Transportation and National Transportation Safety Board (DOT-OIG) 運輸省および国家運輸安全委員会 DOT-OIG
Department of the Treasury (Treasury OIG) 財務省 Treasury OIG
Department of Veterans Affairs (VA-OIG) 退役軍人省 VA-OIG
List of presidentially appointed inspectors general 大統領が任命した監察官のリスト  
Designated federal entity inspectors general 指定された連邦機関の連邦監察官室  
Jurisdiction 所管 Website
Appalachian Regional Commission (ARC-OIG) アパラチア地域委員会 ARC-OIG ※
Committee for Purchase from People Who Are Blind or Severely Disabled (CPPBSD-OIG) 盲目または重度障害者からの購入委員会 CPPBSD-OIG
Commodity Futures Trading Commission (CFTC-OIG) 商品先物取引委員会 CFTC-OIG
Consumer Product Safety Commission (CPSC-OIG) 消費者製品安全委員会 CPSC-OIG
Corporation for Public Broadcasting (CPB-OIG) 公共放送協会 CPB-OIG
Denali Commission (DC-OIG) デナリ委員会 Denali OIG
Election Assistance Commission (EAC-OIG) 選挙支援委員会 EAC-OIG
Equal Employment Opportunity Commission (EEOC-OIG) 男女雇用機会均等委員会 EEOC-OIG ※
Farm Credit Administration (FCA-OIG) 農業信用機関 FCA-OIG
Federal Communications Commission (FCC-OIG) 連邦通信委員会 FCC-OIG
Federal Election Commission (FEC-OIG) 連邦選挙委員会 FEC-OIG
Federal Labor Relations Authority (FLRA-OIG) 連邦労働関係局 FLRA-OIG
Federal Maritime Commission (FMC-OIG) 連邦海事委員会 FMC-OIG
Federal Reserve Board and Consumer Financial Protection Bureau (FRB-OIG) 連邦準備委員会および消費者金融保護局 FRB-OIG
Federal Trade Commission (FTC-OIG) 連邦取引委員会 FTC-OIG
International Development Finance Corporation (DFC-OIG) 国際開発金融公社 DFC-OIG ※※
International Trade Commission (USITC-OIG) 国際貿易委員会 USITC-OIG
Legal Services Corporation (LSC-OIG) リーガルサービス・コーポレーション LSC-OIG
National Archives and Records Administration (NARA-OIG) 米国国立公文書館および記録管理局( NARA-OIG
National Credit Union Administration (NCUA-OIG) 全米信用組合管理局 NCUA-OIG
National Endowment for the Arts (NEA-OIG) 全米芸術基金 NEA-OIG
National Endowment for the Humanities (NEH-OIG) 全米人文科学振興財団 NEH-OIG
National Labor Relations Board (NLRB-OIG) 全米労働関係委員会 NLRB-OIG
National Railroad Passenger Corporation 全米鉄道旅客公社 Amtrak OIG
National Science Foundation (NSF-OIG) 全米科学財団 NSF-OIG
Peace Corps (PC-OIG) 平和部隊 PC-OIG
Pension Benefit Guaranty Corporation (PBGC-OIG) 年金給付保証公社 PBGC-OIG
Postal Regulatory Commission (PRC-OIG) 郵政規制委員会 PRC-OIG
Postal Service (USPS-OIG) 郵政公社 USPS-OIG
Securities and Exchange Commission (SEC-OIG) 証券取引委員会 SEC-OIG
Smithsonian Institution (SI-OIG) スミソニアン協会 SI-OIG
Special inspectors general 特別監察官  
Jurisdiction 所管 Website
Afghanistan Reconstruction (SIGAR) アフガニスタン復興支援 SIGAR
Pandemic Recovery (SIGPR) パンデミック対策  
Troubled Asset Relief Program (SIGTARP) 問題資産救済プログラム SIGTARP
Legislative agency inspectors general 立法機関の監察官  
Jurisdiction 所管 Website
Architect of the Capitol (AOC-OIG) 連邦議会議事堂 AOC-OIG
Capitol Police (USCP-OIG) 議事堂警察 USCP-OIG
Government Accountability Office (GAO-OIG) GAO GSA-OIG
Government Publishing Office (GPO-OIG) 政府出版局 GPO-OIG
House of Representatives 下院 House IG
Library of Congress (LOC-OIG) 議会図書館 LOC-OIG
U.S. military[edit] 米軍  
Jurisdiction 所管 Website
United States Air Force (USAF-OIG) アメリカ空軍 USAF-OIG
United States Army (USA-OIG) アメリカ陸軍 USA-OIG
Defense Intelligence Agency (DIA-OIG) 国防情報局 DIA-OIG
National Geospatial-Intelligence Agency (NGA-OIG) 国家地理空間情報局 NGA-OIG ※
National Reconnaissance Office (NRO-OIG) 国家偵察局 NRO-OIG ※
National Security Agency and Central Security Service (NSA-OIG) 国家安全保障局および中央警備局 NSA-OIG
United States Navy (USN-OIG) 米国海軍 USN-OIG

 

 

2021.04.03 00:00 in リンク, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント | | Comments (0)

2021.04.02

NIST SP 1800-27 プロパティ管理システムの保護

こんにちは、丸山満彦です。

NISTがSP 1800-27 Securing Property Management Systems(プロパティ管理システムの保護)を公表しましたね。。。

ホテル向けのサイバーセキュリティガイドですね。

● NIST - ITL

・2021.03.30 SP 1800-27 Securing Property Management Systems

・[PDF]  SP 1800-27

20210331-23135

 

Abstract 概要
Hotels have become targets for malicious actors wishing to exfiltrate sensitive data, deliver malware, or profit from undetected fraud. Property management systems, which are central to hotel operations, present attractive attack surfaces. This example implementation strives to increase the cybersecurity of the property management system (PMS) and offer privacy protections for the data in the PMS. The objective of this guide was to build a standards-based example implementation that utilizes readily available commercial off-the-shelf components that enhance the security of a PMS. ホテルは、機密データの流出、マルウェアの配信、検知されない不正行為などを目的とした悪意ある攻撃者の標的となっています。ホテル運営の中心となるプロパティマネジメントシステムは、攻撃対象として魅力的です。この導入例では、プロパティマネジメントシステム(PMS)のサイバーセキュリティを向上させ、PMS内のデータのプライバシー保護を実現することを目指しています。このガイドの目的は、PMSのセキュリティを強化するために、すぐに入手できる市販のコンポーネントを利用して、標準ベースの実装例を構築することです。
The NCCoE at NIST built a PMS reference design in a laboratory environment to demonstrate methods to improve the cybersecurity of a PMS. The PMS reference design included the PMS, a credit card payment platform, and an analogous ancillary hotel system. In this example implementation, a physical access control system was used as the ancillary system. NISTのNCCoEは、PMSのサイバーセキュリティを向上させる方法を実証するために、ラボ環境でPMSリファレンスデザインを構築しました。このPMSリファレンスデザインには、PMS、クレジットカード決済プラットフォーム、および類似した補助的なホテルシステムが含まれています。この実装例では、物理的なアクセス制御システムが補助的なシステムとして使用されています。
The principal capabilities include protecting sensitive data, enforcing role-based access control, and monitoring for anomalies. The principal recommendations include implementing cybersecurity concepts such as zero trust architecture, moving target defense, tokenization of credit card data, and role-based authentication. 主な機能としては、機密データの保護、ロールベースのアクセスコントロールの実施、異常の監視などが挙げられます。推奨事項としては、ゼロ・トラスト・アーキテクチャ、ムービング・ターゲット・ディフェンス、クレジット・カード・データのトークン化、ロール・ベース認証などのサイバーセキュリティ・コンセプトの導入が挙げられます。
The PMS environment outlined in this guide encourages hoteliers and similar stakeholders to adopt effective cybersecurity and privacy concepts by using standard components that are composed of opensource and commercially available components. このガイドで紹介されているPMS環境は、ホテル経営者や同様の関係者が、オープンソースや市販のコンポーネントで構成された標準的なコンポーネントを使用することで、効果的なサイバーセキュリティとプライバシーのコンセプトを採用することを推奨しています。

 

 

1 Summary 1 要約
Hotel operators rely on a property management system (PMS) for daily administrative tasks such as reservations, availability, pricing, occupancy management, check-in/out, guest profiles, guest preferences, report generation, planning, and record keeping, which includes financials. This PMS controls the on-site property activities for guests and colleagues and connects with other applications such as the hotel point-of-sale (POS) and central reservation system (CRS), which support availability, reservations, and guest profile information. ホテル経営者は、予約、空室状況、価格設定、稼働率管理、チェックイン・アウト、ゲストのプロファイル、ゲストの好み、報告書作成、計画、財務を含む記録管理などの日常的な管理業務を、プロパティマネジメントシステム(PMS)に頼っています。このPMSは、ゲストや従業員のためのオンサイトのプロパティアクティビティを制御し、空室状況、予約、ゲストのプロファイル情報をサポートするホテルのPOS(Point of Sales)やCRS(Central Reservation System)などの他のアプリケーションと接続します。
Additionally, various interfaces are available to create further links from the PMS to internal and external systems such as room-key systems, restaurant and banquet solutions, sales and catering applications, minibars, telephone and call centers, revenue management, on-site spas, online travel agents, guest Wi-Fi, loyalty solutions, and payment providers. さらに、PMSから、ルームキーシステム、レストラン・バンケットソリューション、セールス・ケータリングアプリケーション、ミニバー、電話・コールセンター、収益管理、施設内スパ、オンライン旅行代理店、ゲストWi-Fi、ロイヤリティソリューション、決済プロバイダーなどの社内外のシステムへのリンクを構築するためのさまざまなインターフェースが用意されています。
The value of the data in a PMS and the number of connections to a PMS make it a target for bad actors. This guide documents a system that prevents unauthorized access to a PMS and applies both security and privacy protections to the data used in the PMS. PMS内のデータの価値やPMSへの接続数の多さから、悪質な攻撃者の標的となっています。本ガイドでは、PMSへの不正アクセスを防止し、PMSで使用されるデータにセキュリティとプライバシーの両方の保護を適用するシステムについて説明します。



 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.15 NIST SP 1800-27 (Draft) Securing Property Management Systems

 

2021.04.02 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | | Comments (0)

2021.04.01

GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

こんにちは、丸山満彦です。

U.S. GAOのブログで、米国政府の2020年版財務諸表に深刻な経営上の弱点があるので監査意見を付与することができないと書いていますね。。。

● U.S. GAO - Blog

・2021.03.29 U.S. Government’s 2020 Financial Statements Reveal Serious Management Weaknesses and Ongoing Efforts to Correct Those Weaknesses

 

U.S. Government’s 2020 Financial Statements Reveal Serious Management Weaknesses and Ongoing Efforts to Correct Those Weaknesses 米国政府の2020年版財務諸表で明らかになった深刻な経営上の弱点とその修正のための継続的な努力
The federal government has recently issued its 2020 financial statements. These statements provide a comprehensive view of government finances—including spending, revenues, and debt. However, like in past years, serious financial management weaknesses prevented us from giving the government a “clean opinion” that its financial statements are fairly presented. These weaknesses continue to hinder the federal government from having reliable, useful, and timely financial information to operate effectively and efficiently. Congress and the Administration need reliable information on spending, revenues, and debt. Without reliable statements, which include rectifying some of the concerns we outlined below, policymakers are not best positioned to plan for our fiscal future. 連邦政府はこのほど、2020年版の財務諸表を発表しました。この財務諸表は、支出、収入、負債など、政府の財政を包括的に表しています。しかし、例年同様、財務管理上の重大な弱点により、財務諸表が公正に表示されているという「クリーン・オピニオン」を与えることができませんでした。これらの弱点は、連邦政府が効果的かつ効率的に運営するために、信頼性が高く、有用で、タイムリーな財務情報を得ることを妨げ続けています。議会と行政は、支出、収入、債務に関する信頼できる情報を必要としています。信頼できる情報がなければ、政策立案者は将来の財政計画を立てるのに最適な立場に立つことができません。
Today’s WatchBlog post explores our new report on the government’s financial statements and explains why we are unable to render such an opinion. 本日のウォッチブログでは、政府の財務諸表に関する我々の新しいレポートについて説明し、なぜ我々がそのような意見を述べることができないのかを説明します。
Serious financial management weaknesses 深刻な財務管理上の弱点
Our audit report on the federal government’s FY 2020 financial statements discusses serious financial management weakness and ongoing efforts to address them. For example: 連邦政府の2020年度の財務諸表に関する我々の監査報告書は、深刻な財務管理上の弱点と、それに対処するための継続的な取り組みについて述べています。例えば、以下のようなものがあります。
The Department of Defense—which accounted for about 18% of federal net costs—continues to face long-standing financial management challenges. For example, DOD is unable to account for its property and equipment and has ineffective information system controls. DOD has made some improvements. For FY 2020, DOD identified nearly $3 billion in materials that could be reused and closed 24% of findings from prior year financial statement audits. However, as in prior years, DOD auditors couldn’t say whether or not there were mistakes in DOD’s financial statements. DOD acknowledged that achieving a clean opinion will take time and is prioritizing critical areas for improvement. 連邦政府の純費用の約18%を占める国防総省は、長年にわたる財務管理上の課題に直面し続けています。例えば、国防総省は有形固定資産の会計処理ができず、情報システムの管理も効果的ではありません。DODはいくつかの改善を行った。2020年度、DODは再利用可能な資材を30億ドル近く特定し、前年度の財務諸表監査での指摘事項の24%を解消しました。しかし、過年度と同様に、DODの監査人はDODの財務諸表に誤りがあったかどうかを言い当てることができませんでした。DODは、クリーン・オピニオンの達成には時間がかかることを認識しており、改善すべき重要な分野を優先しています。
The federal government is not able to adequately account for federal transactions and balances between agencies and properly prepare the government’s financial statements. Treasury is making progress toward addressing these weaknesses. For example, Treasury issued new accounting guidance for intragovernmental transactions and balances, and continued to assist federal agencies in better accounting for their transactions with other agencies. Also, Treasury implemented new processes to improve how it collects data from agencies. 連邦政府は、省庁間の連邦取引と残高を適切に説明し、政府の財務諸表を適切に作成することができません。財務省はこれらの弱点に対処するために前進しています。例えば、財務省は政府内の取引と残高に関する新しい会計ガイダンスを発行し、連邦政府機関が他の機関との取引をより適切に会計処理するための支援を続けています。また、財務省は政府機関からのデータ収集方法を改善するために新しいプロセスを導入しました。
The Small Business Administration (SBA) needed to implement COVID-19 related relief as quickly and efficiently as possible in order to be responsive to the needs of small businesses affected by the pandemic. But, this quick response led to several financial management weaknesses, resulting in an inability for the auditor to express an opinion on SBA’s fiscal year 2020 financial statements. Concerns over the SBA’s management and oversight of COVID-19 relief programs, including the susceptibility to improper payments (payments made in error), prompted us to add SBA’s emergency loans for small businesses on our latest High Risk List.  中小企業庁(SBA)は、パンデミックの影響を受けた中小企業のニーズに応えるために、COVID-19関連の救済措置をできるだけ迅速かつ効率的に実施する必要がありました。しかし、この迅速な対応がいくつかの財務管理上の弱点につながり、その結果、監査人はSBAの2020年度の財務諸表に意見を表明することができませんでした。SBAのCOVID-19救済プログラムの管理・監督については、不適切な支払い(過誤による支払い)の影響を受けやすいことなどの懸念があり、当社はSBAの中小企業向け緊急融資を最新のハイリスクリストに追加しました。 
Why it matters? Our long-term concerns なぜそれが重要なのか?私たちの長期的な懸念
As we have reported, Congress and the administration have responded in an unprecedented manner to the COVID-19 pandemic and the resulting severe economic repercussions. However, the fiscal response and the economic downturn generated a substantial increase in federal debt. Once the pandemic recedes and the economy substantially recovers, Congress and the Administration should quickly pivot to developing an approach to place the federal government on a sustainable long-term fiscal path. これまで報告してきたように、COVID-19パンデミックとそれに伴う深刻な経済的影響に対し、議会と行政は前例のない方法で対応してきました。しかし、この財政的対応と景気後退により、連邦政府の債務は大幅に増加しました。パンデミックが収まり、経済が大幅に回復したら、議会と政府は連邦政府を長期的に持続可能な財政路線に乗せるためのアプローチの開発に速やかに軸足を移すべきです。
Federal agencies have opportunities to contribute to a sustainable fiscal future right now. For example, the IRS could take steps to close the roughly $381 billion yearly tax gap—the difference between taxes owed to the government and taxes paid to the government. The tax gap, and the overall enforcement of tax laws made our High Risk List again this year.   連邦政府機関には、持続可能な財政の未来に貢献する機会が今すぐにでもあります。例えば、IRSは、年間約3,810億ドルの税金のギャップ(政府に納める税金と、政府に支払う税金の差)を解消するための措置をとることができます。このギャップと、税法の施行に関する問題は、今年も「ハイリスクリスト」に含まれています。 
Also, individual agencies can help to reduce improper payments (payments made in error) estimates of which total about $206 billion for FY 2020, up from $175 billion for FY 2019. This amount generally doesn’t include potential payment errors related to COVID-19 response and recovery efforts—which may be substantial. Agencies can take steps to determine the full extent of improper payments and take appropriate actions to reduce them. また、各省庁は、不適切な支払いを減らすための支援を行うことができます。その額は、2019年度の1,750億ドルから2020年度には2,060億ドルになると推定されます。この金額には、COVID-19の対応や復旧作業に関連する潜在的な支払いミスは含まれていません。各省庁は、不適切な支払いの全容を把握し、その削減のために適切な措置を講じることができます。
Federal Financial Management Improvements 連邦財務管理の改善
Overall, the federal government has made significant strides in improving financial management since the Chief Financial Officers Act of 1990 was enacted. For example, 22 of 24 major agencies received clean opinions on their FY 2020 financial statements, up from 6 agencies for FY 1996. You can find out about the progress federal agencies have made in financial management by checking out our August 2020 report. 1990年に最高財務責任者法が制定されて以来、連邦政府は全体的に財務管理の改善において大きな進歩を遂げてきました。例えば、主要24機関のうち22機関が2020年度の財務諸表に対してクリーン・オピニオンを取得しており、1996年度の6機関から増加しています。連邦政府機関の財務管理の進捗状況については、2020年8月のレポートをご覧ください。

 

■ 参考

● U.S. GAO - Reports & Testimonies 

・2021.03.25 Financial Audit:FY 2020 and FY 2019 Consolidated Financial Statements of the U.S. Government

20210331-14947

20210331-15141

What GAO Found GAOの見解
To operate as effectively and efficiently as possible, Congress, the administration, and federal managers must have ready access to reliable and complete financial and performance information—both for individual federal entities and for the federal government as a whole. GAOs report on the U.S. governments consolidated financial statements for fiscal years 2020 and 2019 discusses progress that has been made but also underscores that much work remains to improve federal financial management. 可能な限り効果的かつ効率的に活動するために、議会、行政、連邦政府の管理者は、個々の連邦機関と連邦政府全体の両方について、信頼できる完全な財務およびパフォーマンス情報にすぐにアクセスできなければなりません。2020年度と2019年度の米国政府の連結財務諸表に関するGAOの報告書は、これまでの進捗状況について述べていますが、連邦政府の財務管理を改善するために多くの作業が残っていることも強調しています。
GAO found the following: GAOは以下のことを発見しました
Certain material weaknesses in internal control over financial reporting and other limitations resulted in conditions that prevented GAO from expressing an opinion on the accrual-based consolidated financial statements as of and for the fiscal years ended September 30, 2020, and 2019. 財務報告に係る内部統制における特定の重要な欠陥およびその他の制限により、GAO2020年および2019930日に終了した会計年度の時点および会計年度の発生主義に基づく連結財務諸表に対する意見を表明することができない状況となっています。
Significant uncertainties, primarily related to the achievement of projected reductions in Medicare cost growth, prevented GAO from expressing an opinion on the sustainability financial statements, which consist of the 2020 and 2019 Statements of Long-Term Fiscal Projections; the 2020, 2019, 2018, 2017, and 2016 Statements of Social Insurance; and the 2020 and 2019 Statements of Changes in Social Insurance Amounts. A material weakness in internal control also prevented GAO from expressing an opinion on the 2020 and 2019 Statements of Long-Term Fiscal Projections. 主に医療費増加の削減の予算達成に関連する重大な不確実性により、GAOは、2020年および2019年の長期財政予測計算書、2020年、2019年、2018年、2017年および2016年の社会保険計算書、ならびに2020年および2019年の社会保険金額変動計算書からなる持続可能性のある財務諸表について意見を表明することができませんでした。また、内部統制の重要な弱点により、GAO2020年および2019年の長期財政予測計算書に対する意見を表明することができませんでした。
Material weaknesses resulted in ineffective internal control over financial reporting for fiscal year 2020. 重要な欠陥により、2020年度の財務報告に係る内部統制は効果的ではありませんでした。
Material weaknesses and other scope limitations, discussed above, limited tests of compliance with selected provisions of applicable laws, regulations, contracts, and grant agreements for fiscal year 2020. 上述の重要な欠陥およびその他の範囲の制限により、2020年度の適用される法律、規制、契約、および助成金契約の特定の条項への準拠のテストが制限されました。
Three major impediments have continued to prevent GAO from rendering an opinion on the federal government’s accrual-based consolidated financial statements:
(1) serious financial management problems at the Department of Defense,
(2) the federal governments inability to adequately account for intragovernmental activity and balances between federal entities, and
(3) weaknesses in the federal governments process for preparing the consolidated financial statements.
In addition, the Small Business Administration (SBA), which had substantial activity related to the COVID-19 pandemic response, received a disclaimer of opinion on its fiscal year 2020 financial statements, after years of receiving clean opinions. Efforts are under way to resolve these issues.		 GAOが連邦政府の発生主義に基づく連結財務諸表に対する意見を表明することを妨げる3つの大きな障害が続いています。
(1)国防総省の深刻な財務管理問題、
(2)連邦政府が政府内の活動や連邦機関間の残高を適切に説明できないこと、
(3)連邦政府の連結財務諸表作成プロセスの不備
また、COVID-19のパンデミック対応に関連した活動を実質的に行っていた中小企業庁(SBA)は、長年無限定適正意見を受けていたにもかかわらず、2020年度の財務諸表で意見の不適正意見を受けました。これらの問題を解決するための努力が行われています。
The material weaknesses underlying these three major impediments, as well as the new weaknesses identified at SBA, continued to
(1) hamper the federal government’s ability to reliably report a significant portion of its assets, liabilities, costs, and other related information;
(2) affect the federal governments ability to reliably measure the full cost, as well as the financial and nonfinancial performance, of certain programs and activities;
(3) impair the federal governments ability to adequately safeguard significant assets and properly record various transactions; and
(4) hinder the federal government from having reliable, useful, and timely financial information to operate effectively and efficiently.		 これら3つの重要な障害の基礎となる重要な欠陥は、SBAで確認された新たな欠陥と同様に、
(1)連邦政府がその資産、負債、コスト、その他の関連情報の大部分を確実に報告する能力を阻害する。
(2)連邦政府が特定のプログラムや活動の全コスト、財務的・非財務的パフォーマンスを確実に測定する能力に影響を与える。
(3)重要な資産を適切に保護し、様々な取引を適切に記録する連邦政府の能力を損なう。
(4) 連邦政府が効果的かつ効率的に運営するための信頼性のある有用な財務情報をタイムリーに得ることを妨げる。
GAO also identified two other material weaknesses. These are the federal government’s inability to
(1) determine the full extent to which improper payments occur and reasonably assure that appropriate actions are taken to reduce them and
(2) identify and resolve information security control deficiencies and manage information security risks on an ongoing basis.		 GAOは他にも2つの重要な欠陥を指摘しています。これらは、連邦政府が、
(1)不適切な支払いの発生範囲を完全に把握し、その削減のために適切な行動が取られることを合理的に保証できないこと、
(2)情報セキュリティ管理の不備を特定・解決し、情報セキュリティリスクを継続的に管理できないことです。
The comprehensive long-term fiscal projections presented in the Statement of Long-Term Fiscal Projections and related information show that absent policy changes, the federal government continues to face an unsustainable long-term fiscal path in which debt is projected to grow faster than gross domestic product. Since 2017, GAO has stated that a plan is needed to ensure that the United States remains in a strong economic position to meet its social and security needs, as well as to preserve flexibility to address unforeseen events. Once the pandemic recedes and the economy substantially recovers, Congress and the administration should quickly pivot to developing an approach to place the federal government on a sustainable long-term fiscal path. 長期財政予測計算書および関連情報に示された包括的な長期財政予測によると、政策の変更がなければ、連邦政府は引き続き、債務が国内総生産よりも速く成長すると予測される持続不可能な長期財政経路に直面しています。2017年以降、GAOは、米国が社会的および安全保障上のニーズを満たすための強固な経済的地位を維持するとともに、不測の事態に対処するための柔軟性を保つための計画が必要であると述べています。パンデミックが収まり、経済が大幅に回復したら、議会と行政は、連邦政府を長期的に持続可能な財政経路に乗せるためのアプローチの開発に速やかに軸足を移すべきです。
In commenting on a draft of this report, Department of the Treasury (Treasury) and Office of Management and Budget (OMB) officials provided technical comments that GAO incorporated as appropriate. Treasury and OMB officials expressed their continuing commitment to addressing the problems this report outlines. 本報告書の草稿に対するコメントとして、財務省および行政管理予算局(OMB)の職員から技術的なコメントをいただき、GAOはこれを適宜反映させました。財務省とOMBの担当者は、本報告書が指摘した問題への対処に引き続き取り組むことを表明しました。

 


なお、Material Weaknessについて...昔も面白い記事を書いています(^^)

● まるちゃんの情報セキュリティ気まぐれ日記

・2008.07.11 米国における重要な不備の定義

・2006.03.08 Significant DeficiencyのSignificantは「重大」というより「注目すべき」という意味ではないか

Continue reading "GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・"

2021.04.01 00:00 in 監査 / 認証, in 内部統制 / リスクマネジメント | | Comments (0)

« March 2021 | Main | May 2021 »