« April 2021 | Main | June 2021 »

May 2021

2021.05.31

独国 ITセキュリティ法 2.0施行

こんにちは、丸山満彦です。

ドイツのいわゆる「ITセキュリティ法 2.0」が施行されましたね。。。

法律については、こちら ↓↓↓

Bundesgesetzblatt(連邦法官報)

2021.05.27 Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

「ITシステムのセキュリティ強化に関する法律 第二版」と言う感じですね。。。BSIにより強力な権限を与えられていますね。。。

 

参考

Deutscher Bundestag(ドイツ連邦議会)

Sicher­heit infor­ma­tions­technischer Systeme thematisiert(ITシステムのセキュリティ対応)

Bundesrat(連邦参議院)

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme

 

1_20210531014301

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)

Neues IT-Sicherheitsgesetz für eine moderneCyber-Sicherheit

Photo_20210603214001

 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.29 ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16

 



2021.06.05 追記

● JETRO

・2021.06.04 ITセキュリティー法2.0施行、5G機器など重要部品の審査厳格化

・2020.12.25 ITセキュリティー法2.0を閣議決定、特定企業の排除は明示せず

 



 

 

| | Comments (0)

文部科学省 「教育情報セキュリティポリシーに関するガイドライン」公表について

こんにちは、丸山満彦です。

文部科学省が、「教育情報セキュリティポリシーに関するガイドライン」の第2回改訂版を公表していました。。。

文部科学省

・2021.05 「教育情報セキュリティポリシーに関するガイドライン」公表について


文部科学省では、「教育情報セキュリティポリシーに関するガイドライン」を策定し、地方公共団体が設置する学校(小学校、中学校、義務教育学校、高等学校、中等教育学校及び特別支援学校をいう。以下同じ。)を対象とした情報セキュリティポリシーの策定や見直しを行う際の参考となるよう、学校における情報セキュリティポリシーの考え方や内容を示してきました。
この度、GIGAスクール構想における1人1台端末整備や高速大容量の校内通信ネットワーク整備が概ね整うなど、急速な学校ICT環境整備の推進を踏まえ、1人1台端末を活用するために必要なセキュリティ対策やクラウドサービスの活用を前提としたネットワーク構成等の課題に対応するため、本ガイドラインの第2回改訂を行うとともに、本ガイドラインの中核となる考え方を解説したハンドブックを作成しましたので、お知らせします。


 

あるべき姿として、ゼロトラストを書いているのはよいと思います。

・[PDF] 教育情報セキュリティポリシーに関するガイドライン(令和3年5月)改訂説明資料

・[PDF] 教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)

20210828-175121

・[PDF] 教育情報セキュリティポリシーに関するガイドライン(令和3年5月)

20210828-175241

修正・・・

・[PDF] 教育情報セキュリティポリシーに関するガイドラインの第2回改訂(令和3年5月) 正誤表(令和3年6月30日)

 

ちなみに、教育情報セキュリティポリシーに関するガイドラインハンドブック(令和3年5月)でゼロトラストが説明されていますね。

20210828-182908

参考

●文部科学省

学校におけるICT環境の整備・運用について

 


まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.29 総務省 「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」の公表及び意見募集の結果



| | Comments (0)

2021.05.30

米国 CISAとFBIが「政府機関、IGO、NGO を標的とした高度なスピアフィッシング キャンペーン」についてのアラートを出していますね。。。

こんにちは、丸山満彦です。

CISAとFBIが「政府機関、IGO、NGO を標的とした高度なスピアフィッシング キャンペーン」についてのアラートを出していますね。。。

Cybeersecurity and Infrastructure Security Agancy: CISA

・2021.05.28 Alert (AA21-148A) Sophisticated Spearphishing Campaign Targets Government Organizations, IGOs, and NGOs

メールマーケティングソフトウェア会社であるConstant Contactの侵害したエンドユーザ・アカウントを利用して、約350の政府機関、IGO、NGOの7,000以上のアカウントにフィッシングメールを送信したとのことです。。。

1_20210529041501

| | Comments (0)

Cloud Security Alliance 「IoTセキュリティコントロールフレームワーク 第2版」とその「利用ガイド」の日本語訳を公表

こんにちは、丸山満彦です。

Cloud Security Alliance 「IoTセキュリティコントロールフレームワーク バージョン2」(エクセル)とその「利用ガイド」の日本語訳を公表していますね。。。

Cloud Security Alliance: CSA

・2021.05.28 IoT Security Controls Framework Version 2 - Japanese Translation

 ・[xlsx

・2021.05.28 

 ・[PDF

20210530-64943


 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.01.29 Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。

| | Comments (0)

Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン

こんにちは、丸山満彦です。

Cloud Security Allianceが、CSA STAR Attestation v2 を提供する米国公認会計士へのガイドラインを公表していますね。。。

基本的にはSOC2ですから、基本は米国公認会計士協会のガイドラインを遵守することが基礎で、その際にSTAR Attestation v2に特有な部分についての補足的な資料という位置付けですね。。。専門家としての要件、能力要件、証明の範囲、CSAへの資料提出のガイドラインなどの関連情報が含まれていますね。。。

Cloud Security Alliance: CSA

・2021.05.27 Guidelines for CPAs Providing CSA STAR Attestation v2

・[PDF

20210530-63552

 


役立ちそうな米国公認会計士協会のリンク

● AICPA

System and Organization Controls: SOC Suite of Services

・[PDF] CPAs: Helping service organizations build trust and transparency

20210530-64414

SOC 2® Examination That Addresses Additional Subject Matters and Additional Criteria

・[PDF] TSP Section 100 - 2017 Trust Services Criteria for Security, Availability, Processing Integrity, Confidentiality, and Privacy - Includes March 2020 updates

20210530-64402

 

| | Comments (0)

グローバルサプライチェーンにおける米日協力関係の強化

こんにちは、丸山満彦です。

半導体製品等のサプライチェーンの保護が重要な課題となってきていますね。。。Atlantic Councilから、グローバルサプライチェーンにおける米日協力関係の強化について半導体産業とレアアース産業に関する調査報告書が公表されていますね。。。半導体ウェハーの製造は日本企業が市場の過半数を占めているので、ケースの一つに取り上げたということは興味深いですね。。。


半導体のサプライチェーンの例

1_20210530061201

出典:Atlantic Council・2021.05.27 Enhancing US-Japan cooperation on global supply chains


 

Atlantic Council

・2021.05.27 Enhancing US-Japan cooperation on global supply chains

Mounting US-China tensions and the COVID-19 pandemic have led to growing calls in the United States and among its allies and partners, including Japan, to address the vulnerabilities in global supply chains critical to national security and economic competitiveness. Strategic uncertainty has led stakeholders to pose the following questions. What role should government play, and to what extent can, or should, governments require firms to operate more in line with national security interests? How can firms manage short-term and long-term risks to balance national security requirements and commercial interests?1 How should trusted partners be defined, and what is a desirable allied and multilateral approach to enhancing security and resilience of global high-tech supply chains? With new administrations in both the United States and Japan, the two countries have an opportunity to consider these questions and rethink coordination of their efforts to establish secure and resilient supply chains. 米国と中国の緊張関係の高まりやCOVID-19パンデミックの発生を受けて、米国や日本を含む同盟国・パートナー国の間では、国家安全保障や経済競争力に不可欠なグローバルなサプライチェーンの脆弱性に対処する必要性が高まっています。戦略の不確実性から、関係者は次のような疑問を抱いています。政府はどのような役割を果たすべきか、また、政府はどの程度まで企業に国家安全保障上の利益に沿った運営を求めることができるのか、あるいはそうすべきなのか。国家安全保障上の要求と商業上の利益とのバランスをとるために、企業はどのように短期および長期のリスクを管理すればよいか。信頼できるパートナーとはどのように定義すべきか、また、グローバルなハイテク・サプライチェーンの安全性と回復力を高めるための望ましい同盟国や多国間のアプローチとはどのようなものか。日米両国の新政権の下、両国はこれらの疑問を検討し、安全で強靭なサプライチェーンを確立するための努力の連携を再考する機会を得ました。
This issue brief analyzes recent developments in US and Japanese supply-chain policy, explores the importance of closer coordination through case studies of the semiconductor and rare-earth minerals industries, and provides a set of recommendations for the Joseph R. Biden Jr. and Yoshihide Suga administrations to enhance US-Japan cooperation in the years ahead. These recommendations include actions to operationalize the April 2021 US-Japan Joint Leaders’ Statement by creating a bilateral interagency Supply Chain Steering Committee that includes sector-specific working groups to enhance public-private-partnerships in high-technology industries, and by expanding bilateral supply-chain cooperation into multilateral efforts through flexible and informal frameworks.  本報告書では、日米のサプライチェーン政策の最近の動向を分析し、半導体産業とレアアース産業のケーススタディを通じて、より緊密な連携の重要性を探り、今後数年間の日米協力を強化するために、ジョセフ・R・バイデン・ジュニア政権と菅義偉政権に向けた一連の提言を行います。これらの提言には、2021年4月の日米共同首脳声明を運用するためのアクションとして、ハイテク産業における官民連携を強化するためのセクター別ワーキンググループを含む二国間省庁間サプライチェーン運営委員会の設置や、柔軟かつ非公式な枠組みを通じて二国間サプライチェーン協力を多国間の取り組みに拡大することなどが含まれています。

・[PDF]

20210530-54956

 

| | Comments (0)

2021.05.29

米国 国土安全保障省が重要なパイプラインの所有者と運用者のための新しいサイバーセキュリティ要件を発表してますね。。。

こんにちは、丸山満彦です。

米国 国土安全保障省が重要なパイプラインの所有者と運用者のための新しいサイバーセキュリティ要件を発表してますね。。。

Department of Homeland Security: DHS

・2021.05.27 DHS Announces New Cybersecurity Requirements for Critical Pipeline Owners and Operators

 

セキュリティ指令では、重要なパイプラインの所有者と運用者に、

  • 確認されたサイバーセキュリティインシデントと潜在的なサイバーセキュリティインシデントを CISAに報告する
  • サイバーセキュリティコーディネーターを指定して、24 時間年中無休で対応する
  • 現在の慣行をレビューし、サイバー関連のリスクに対処するためのギャップと関連する是正措置を特定し、30 日以内に TSA と CISA に結果を報告する

こと等を要求しているようですね。。。

 

パイプラインのセキュリティガイドラインです。

Transportation Security Administration: TSA

・2021.04 [PDF] Pipeline Security Guidelines - March 2018 (with Change 1 (April 2021))

目次

1 Introduction 1 はじめに
1.1 Background and Purpose 1.1 背景と目的
1.2 Scope 1.2 範囲
2 Corporate Security Program 2 コーポレート・セキュリティ・プログラム
3 Corporate Security Plan 3 コーポレート・セキュリティ計画
3.1 Introduction 3.1 はじめに
3.2 Security Plan Elements 3.2 セキュリティ計画の要素
4 Risk Analysis 4 リスク分析
4.1 Introduction 4.1 はじめに
4.2 Criticality Assessment 4.2 重要性の評価
4.3 Security Vulnerability Assessment 4.3 セキュリティ脆弱性評価
5 Criticality 5 重要性
5.1 Introduction 5.1 はじめに
5.2 Facility Criticality 5.2 施設の重要性
6 Facility Security Measures 6 施設のセキュリティ対策
6.1 Introduction 6.1 はじめに
6.2 Baseline and Enhanced Security Measures 6.2 ベースライン及び強化されたセキュリティ対策
6.3 Site-Specific Security Measures 6.3 サイト固有のセキュリティ対策
7 Pipeline Cyber Asset Security Measures 7 パイプラインのサイバー資産のセキュリティ対策
7.1 Introduction 7.1 はじめに
7.2 Pipeline Cyber Assets Identification 7.2 パイプライン・サイバー資産の特定
7.3 Security Measures for Pipeline Cyber Assets 7.3 パイプライン・サイバー資産のセキュリティ対策
7.4 Cyber Security Planning and Implementation Guidance 7.4 サイバーセキュリティの計画と実施に関する指針
8 Protective Measures for National Terrorism Advisory System (NTAS) Alerts 8 国家テロリズム勧告システム(NTAS)の警報に対する防護策
Appendix A – Recurring Actions 附属書A - 反復行動
Appendix B – TSA Notification Criteria 附属書B - TSA通知基準
Appendix C – Acronyms 附属書C - 頭字語
Appendix D – Reference Documents 附属書D - 参考資料

 

1_20210529041501

 


 

 

 

Continue reading "米国 国土安全保障省が重要なパイプラインの所有者と運用者のための新しいサイバーセキュリティ要件を発表してますね。。。"

| | Comments (0)

2021.05.28

NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

こんにちは、丸山満彦です。

NISTが、NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現を公表し、意見を募集していますね。。。

NIST - ITL - Publication

・2021.05.27 NISTIR 8320 (Draft) Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases

今回の発表は、昨年2020.04.28に公表された白書 [PDF] Hardware-Enabled Security for Server Platforms: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Casesに代わるものですね。。。

Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、ハッキングが産業化しており、ほとんどのセキュリティ制御の実装は一貫性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、あらゆるレイヤーのセキュリティアプローチにおける最初のレイヤーであり、上位レイヤーのセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。本レポートでは、クラウド・データセンターやエッジ・コンピューティングのプラットフォーム・セキュリティとデータ保護を向上させるハードウェア対応のセキュリティ技術とテクノロジーについて解説します。

 

・[PDF] NISTIR 8320 (Draft)

20210528-105122

1 Introduction 1 はじめに
2 Hardware Platform Security Overview 2 ハードウェア・プラットフォーム・セキュリティの概要
3 Platform Integrity Verification 3 プラットフォームの完全性検証
3.1 Hardware Security Module (HSM) 3.1 ハードウェア・セキュリティ・モジュール (HSM)
3.2 The Chain of Trust (CoT) 3.2 信頼の連鎖(CoT)
3.3 Supply Chain Protection 3.3 サプライチェーン保護
4 Software Runtime Protection Mechanisms 4 ソフトウェア・ランタイムの保護メカニズム
4.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming COP/JOP) Attacks 4.1 ROP(Return Oriented Programming)攻撃とCOP/JOP(Call/Jump Oriented Programming)攻撃
4.2 Address Translation Attacks 4.2 アドレス変換攻撃
5 Data Protection and Confidential Computing 5 データ保護とコンフィデンシャル・コンピューティング
5.1 Memory Isolation 5.1 メモリ隔離
5.2 Application Isolation 5.2 アプリケーション隔離
5.3 VM Isolation 5.3 VM隔離
5.4 Cryptographic Acceleration 5.4 暗号化アクセラレーション
6 Remote Attestation Services 6 リモート認証サービス
6.1 Platform Attestation 6.1 プラットフォーム認証
6.2 TEE Attestation 6.2 TEE認証
7 Cloud Use Case Scenarios Leveraging Hardware-Enabled Security 7 ハードウェアベースのセキュリティを活用したクラウド利用のシナリオ
7.1 Visibility to Security Infrastructure 7.1 セキュリティインフラの可視化
7.2 Workload Placement on Trusted Platforms 7.2 信頼できるプラットフォームへのワークロードの配置
7.3 Asset Tagging and Trusted Location 7.3 資産のタグ付けと信頼できる場所への配置
7.4 Workload Confidentiality 7.4 ワークロードの機密性の確保
7.5 Protecting Keys and Secrets 7.5 鍵と秘密の保護
8 Next Steps 8 次のステップ
References 参考文献
   
List of Appendices 巻末資料
Appendix A— Vendor-Agnostic Technology Examples 附属書A- ベンダーに依存しない技術の例
A.1 Platform Integrity Verification A.1 プラットフォームの完全性検証
A.1.1 UEFI Secure Boot (SB) A.1.1 UEFIセキュアブート(SB)について
Appendix B— Intel Technology Examples 附属書B- インテルの技術例
B.1 Platform Integrity Verification B.1 プラットフォーム・インテグリティの検証
B.1.1 The Chain of Trust (CoT) B.1.1 信頼の連鎖(CoT)について
B.1.2 Supply Chain Protection B.1.2 サプライチェーンの保護
B.2 Software Runtime Protection Mechanisms B.2 ソフトウェア・ランタイムの保護メカニズム
B.2.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming (COP/JOP) Attacks B.2.1 Return Oriented Programming (ROP) および Call/Jump Oriented Programming (COP/JOP) による攻撃
B.2.2 Address Translation Attacks B.2.2 アドレス変換攻撃
B.3 Data Protection and Confidential Computing B.3 データ保護とコンフィデンシャル・コンピューティング
B.3.1 Memory Isolation B.3.1 メモリ分離
B.3.2 Application Isolation B.3.2 アプリケーションの隔離
B.3.3 VM Isolation B.3.3 VM 分離
B.3.4 Cryptographic Acceleration B.3.4 暗号の高速化
B.3.5 Technology Example Summary B.3.5 技術事例のまとめ
B.4 Remote Attestation Services B.4 リモート認証サービス
B.4.1 Intel Security Libraries for the Data Center (ISecL-DC) B.4.1 インテル・セキュリティ・ライブラリー・フォー・ザ・データセンター(ISecL-DC)
B.4.2 Technology Summary B.4.2 テクノロジー例のまとめ
Appendix C— AMD Technology Examples 附属書C- AMDの技術例
C.1 Platform Integrity Verification C.1 プラットフォーム・インテグリティ検証
C.1.1 AMD Platform Secure Boot (AMD PSB) C.1.1 AMDプラットフォーム・セキュアブート(AMD PSB)
C.2 Data Protection and Confidential Computing C.2 データ保護とコンフィデンシャル・コンピューティング
C.2.1 Memory Isolation: AMD Secure Memory Encryption (SME)/Transparent Memory Encryption (TSME) C.2.1 メモリー隔離:AMDセキュア・メモリー・暗号(SME)/トランスペアレント・メモリー・エンクリプション(TSME)
C.2.2 VM Isolation: AMD Secure Encrypted Virtualization (SEV) C.2.2 VM隔離:AMD セキュア暗号 バーチャリぜーション (SEV)
Appendix D— Acronyms and Abbreviations 附属書D- 頭字語と略語
Appendix E— Glossary 附属書E- 用語集
   
List of Figures 図の一覧
Figure 1: Notional Example of Remote Attestation Service 図1:リモート認証サービスの想定例
Figure 2: Notional Example of TEE Attestation Flow 図2:TEE認証フローの概念的な例
Figure 3: Notional Example of Orchestrator Platform Labeling 図3:オーケストレータ・プラットフォームのラベリングの想定例
Figure 4: Notional Example of Orchestrator Scheduling 図4:オーケストレータのスケジューリングの想定例
Figure 5: Notional Example of Key Brokerage 図5:キー・ブローカーの想定例
Figure 6: Notional Example of Workload Image Encryption 図6:ワークロード画像の暗号化の想定例
Figure 7: Notional Example of Workload Decryption 図7:ワークロードの復号化の想定例
Figure 8: Firmware and Software Coverage of Existing Chain of Trust Technologies 図8:既存の信頼の連鎖技術のファームウェアおよびソフトウェアの範囲

 

 


■ 参考

・2020.04.28 Hardware-Enabled Security for Server Platforms: Draft White Paper Available for Comment

・2020.04.28 Hardware-Enabled Security for Server Platforms: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases

まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

・2020.07.23 トラステッドプラットフォームにおけるポリシーベースのガバナンス by NIST NCCoE

| | Comments (0)

会計検査院 「政府情報システムに関する会計検査の結果について」

こんにちは、丸山満彦です。

会計検査院が、「政府情報システムに関する会計検査の結果について」を公表していますね。NHKのニュースにもなっていてよかったなと思っています。GDP世界第3位の国の会計検査院の結果は世界的にももっと注目されて良いと思います。

今回の報告は、参議院決算委員会 (2019.06.10) において会計検査院に会計検査を要請されたものですね。。。

合規性、経済性、効率性、有効性等の観点から国会の要請に応えている、素晴らしい検査内容だと思います!!!もっと深く突っ込んでも良いと思うところはありますが、時間的、リソース的制約等もあるでしょうからね。。。

是非、多くの国民に見てもらいたいですね(パワポ資料(報告のポイント)だけでも!)特に、

20210528-35537

20210528-35625

20210528-40041

国会からの要請なので、国会議員の方はもちろんよく理解して、政策立案に活かしていくのでしょうが、各省庁も先んじて対応するのが良いでしょうね。

省庁CIO等の指揮のもとCIO補佐官等はすでに熟読されていると思うので、この検査結果にどのように応えていくのか楽しみではあります!結果的に効率的な予算執行ができるようになると各省庁でも他にやるべきことに予算が回せるし、会計検査院の指摘に対応するための予算は国会からの要請に基づく改善でもありますから、予算もつかないとおかしいですしね。。。

会計検査院の適切な指摘は、省庁、国民にとっても良いことだと思います。結果を受けて、大臣がリーダーシップを発揮してより良い税金の使い方になってくれると、国民としてはありがたいです!

 

● 会計検査院

・2021.05.26 「政府情報システムに関する会計検査の結果について」


会計検査院は、令和3年5月26日、国会法第105条の規定による検査要請を受諾した下記の事項について、会計検査院法第30条の3の規定により、検査の結果を報告しました。

「政府情報システムに関する会計検査の結果について」

 参議院決算委員会において、令和元年6月10日、国家財政の経理及び国有財産の管理に関する調査のため、会計検査院に対し、政府情報システムの整備、運用、利用等の状況について会計検査を行い、その結果を報告するよう要請することが決定され、同日参議院議長を経て、会計検査院長に対し会計検査及びその結果の報告を求める要請がなされた。これに対して、会計検査院は、同月11日、検査官会議において本要請を受諾することを決定した。
 本報告書は、上記の要請により実施した会計検査の結果について、会計検査院長から参議院議長に対して報告するものである。


 

[PDF] 概要

20210528-40541

[PDF] 報告のポイント

20210528-40717

報告書本文の内容がやはり素晴らしいですね。。。最後にデータを添付していますが、ここまで綺麗に整理されたものは過去なかったのではないですかね。。。分析もしやすいかもです。。。

[PDF] 本文

20210528-42125

目次はこちら


■ 報道等

● NHK

・2021.05.26 国の情報システム契約 70%超で入札参加は1業者 会計検査院

Continue reading "会計検査院 「政府情報システムに関する会計検査の結果について」"

| | Comments (0)

2021.05.27

U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。

こんにちは、丸山満彦です。

U.S. GAO 連邦政府はサプライチェーンリスクを管理するための勧告に従ってね。。。という報告書を出していますね。。。

GAOは23省庁に、サプライチェーンリスクを管理するための基礎的な実施事項を完全に実施するよう勧告し、2021年5月にGAOは23機関のうち6機関から、提言に対応するために実施または計画された行動に関する最新情報を受け取った。結果、どの省庁も勧告を完全に実施できていない状況であった。ということのようですね。。。

● U.S. Government Accountability Office: GAO

・2021.05.25 Cybersecurity: Federal Agencies Need to Implement Recommendations to Manage Supply Chain Risks

 

1_20210527103901

・[PDF] Accessible Text 

・[PDF] Full Report

20210527-105035

・[PDF] Highlights Page

| | Comments (0)

事故前提の対応ができていたのかな? ビジネス基幹システムへの侵入

こんにちは、丸山満彦です。

富士通のシステム開発等のプロジェクト管理のためのクライアントとの情報基盤が何者かに侵入され、その情報基盤に保管されていた情報が搾取された疑いがあるという報道がされておりますね。。。システム開発を行なっている会社にとってはまさにビジネス基幹システムで、このシステムが停止することにより(代替策がとられているとしても)、ビジネスにも企業経営にも多大な影響が生じていると思います。また、委託していた組織にとっても重要なプロジェクトであった可能性もあり、その影響は小さくはないと思います。

2021年5月27日午前6時現在では、5月25日の発表以上の情報がありませんので、どのような脆弱性をつかれて侵入を許してしまったかは不明ですが、長年使われているシステムであり、それなりの対策はとられていたと思います。

① それでも侵入を許してしまう

のだ、ということと、それであれば

② ビジネス上の重要なシステムに侵入を許してしまった場合の対応についての予めの対応をしておくことが重要

なのだなぁと改めて思いました。

改めて思ったというのは、私も関与していたのですが、2003年10月10日に経済産業省の産業構造審議会情報セキュリティ部会、情報セキュリティ総合戦略策定研究会(委員長代理は山口英先生)が公表した[PDF] 「情報セキュリティ総合戦略 世界最高水準の「高信頼性社会」実現による経済・文化国家日本の競争力強化と総合的な安全保障向上」を作成する際にすでに議論した内容だからです。。。当時の研究会を推進した経済産業省の山崎琢也当時課長補佐(現在、JETROブリュッセル事務所)と山口先生の先見の明には驚かされます。。。ちなみに、この報告書がきっかけにして現在のNISCが誕生するわけです。。。

皮肉にもそのNISCが今回の被害者にもなっていて、事故前提の対応ができていたのかは気になるところではあります。。。個人的には事故想定という方が適切なような気はしています。。。

しかし、今後クラウド事業者の寡占化が進んでいくことを考えると、その根っこに侵入されることによる社会的な影響は大きいので、少し前にこのブログに載せましたが、

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.17 クラウドは竹 クラウド集中リスク

は意識しておく必要があるかもですね。。。

11_20210217103601

 


● 富士通

・2021.05.25 プロジェクト情報共有ツールへの不正アクセスについて [copied text]

● 内閣官房 - NISC

・2021.05.26 [PDF] 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる情報の流出について

・2021.05.25 [PDF] プロジェクト情報共有ツールに対する不正アクセス対策の確認に関する政府機関等及び重要インフラ事業者等への注意喚起の発出について

● 国土交通省

・2021.05.26 富士通株式会社が管理・運営するプロジェクト情報共有ツールへの不正アクセスによる国土交通省関係情報の流出について [PDF][Downloaded]


 

Piyolog

 富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた


 

ProjectWeb関係

● 富士通 機関紙 Fujitsu

・2011.03 [PDF] Vol.63 (2) [PDF] ワークスタイルを支えるナレッジベース

・2009.11 [PDF] Vol.60 (6) [PDF] SEのビジネス基盤を目指すProjectWEBの新たな取組み [Downloaded]


 

まるちゃんの情報セキュリティ気まぐれ日記で、「事故前提」の記載がある記事

● まるちゃんの情報セキュリティ気まぐれ日記

・2011.08.30 内閣府 個人情報保護専門調査会報告書 ~個人情報保護法及びその運用に関する主な検討課題~

・2009.06.26 セキュアジャパン2009 事故前提。。。

・2009.05.09 内閣官房 パブコメ 「セキュア・ジャパン2009」(案)

・2008.12.11 内閣官房 パブコメ 「第2次情報セキュリティ基本計画」(案)

・2008.07.28 NISC 第8回基本計画検討委員会の資料

 

1_20210527061601

 

| | Comments (0)

2021.05.26

ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補

こんにちは、丸山満彦です。

ENISAから、IoT製品のサイバーセキュリティ認証 (Certification) EUCCスキーム候補についての報告書 (ver1.1.1) が公開されていますね。。。

● ENISA

・2021.05.25 Cybersecurity Certification: Candidate EUCC Scheme V1.1.1

Cybersecurity Certification: Candidate EUCC Scheme V1.1.1 サイバーセキュリティ認証 EUCCスキーム候補 V1.1.1
Following the request from the European Commission in accordance with Article 48.2 of the Cybersecurity Act, ENISA has set up an Ad Hoc Working Group to support the preparation of a candidate EU cybersecurity certification scheme as a successor to the existing schemes operating under the SOG-IS MRA. This has been named EUCC scheme (Common Criteria based European candidate cybersecurity certification scheme) and it looks into the certification of ICT products cybersecurity, based on the Common Criteria, the Common Methodology for Information Technology Security Evaluation, and corresponding standards, respectively, ISO/IEC 15408 and ISO/IEC 18045. This version -V.1.1.1- of the scheme has been updated based on the comments received through the public consultation and from the ECCG. サイバーセキュリティ法第48条2項に基づく欧州委員会からの要請を受けて、ENISAは、SOG-IS MRAの下で運用されている既存のスキームの後継となるEUサイバーセキュリティ認証スキーム候補の準備を支援するためのアドホック・ワーキンググループを設置しました。これは、EUCCスキーム(Common Criteria based European candidate cybersecurity certification scheme)と名付けられ、コモンクライテリア、情報技術セキュリティ評価のための共通方法論、および対応する規格であるISO/IEC 15408とISO/IEC 18045に基づいて、ICT製品のサイバーセキュリティの認証を検討しています。本バージョン(V.1.1.1)は、パブリックコンサルテーションやECCGから寄せられたコメントをもとに更新されています。

・[PDF]

20210526-100103

 

目次

1. SUBJECT MATTER AND SCOPE 1. 主題と範囲
2. PURPOSE OF THE SCHEME 2. 制度の目的
3. EVALUATION STANDARDS 3. 評価基準
4. ASSURANCE LEVELS 4. 保証レベル
5. CONFORMITY SELF-ASSESSMENT 5. 適合性の自己評価
6. SPECIFIC REQUIREMENTS APPLICABLE TO A CAB 6. 適合性評価機関に適用される特定の要求事項
7. NOTIFICATION AND AUTHORISATION OF CABS, FUNCTIONING OF CABS AND SUBCONTRACTORS 7. 適合性評価機関、適合性評価機関の機能、およびその委託業者の通知と認可
8. SPECIFIC EVALUATION CRITERIA AND METHODS 8. 特定の評価基準および方法
9. NECESSARY INFORMATION FOR CERTIFICATION 9. 認証に必要な情報
10. MARKS AND LABELS 10. マークとラベル
11. RULES FOR MONITORING COMPLIANCE 11. 遵守状況を監視するための規則
12. CONDITIONS FOR ISSUING, MAINTAINING, CONTINUING AND RENEWING CERTIFICATES 12. 証明書の発行、維持、継続および更新の条件
13. RULES RELATED TO NON-COMPLIANCE 13. 遵守違反に関する規定
14. RULES RELATED TO HANDLING VULNERABILITIES 14. 脆弱性の取扱いに関する規定
15. RETENTION OF RECORDS BY A CAB 15. 適合性評価機関による記録の保持
16. NATIONAL OR INTERNATIONAL SCHEMES 16. 国または国際的な制度
17. CONTENT AND FORMAT OF CERTIFICATES 17. 証明書の内容および形式
18. AVAILABILITY OF INFORMATION 18. 情報の入手可能性
19. PERIOD OF VALIDITY OF CERTIFICATES 19. 証明書の有効期間
20. DISCLOSURE POLICY FOR CERTIFICATES 20. 証明書の開示方針
21. MUTUAL RECOGNITION WITH THIRD COUNTRIES 21. 第三国との相互認証
22. PEER ASSESSMENT 22. 相互アセスメント
23. SUPPLEMENTARY CYBERSECURITY INFORMATION - ARTICLE 55 23. 補足的なサイバーセキュリティ情報 - 第55条
24. ADDITIONAL ELEMENTS OF THE SCHEME 24. スキームの追加要素
25. RECOMMENDATIONS FROM THE AHWG 25. AHWGからの提言
26. REFERENCES 26. 参考文献
27. ANNEX 1: ASSURANCE PACKAGE DECLARATION IN A CERTIFICATE 27. 附属書1:証明書における保証パッケージ宣言
28. ANNEX 2: MINIMUM SITE SECURITY REQUIREMENTS 28. 附属書2: サイトセキュリティの最低要件
29. ANNEX 3: APPLICATION OF CC TO INTEGRATED CIRCUITS 29. 附属書3:集積回路へのコモンクライテリアの適用
30. ANNEX 4: SECURITY ARCHITECTURE REQUIREMENTS (ADV_ARC) FOR SMART CARDS AND SIMILAR DEVICES 30. 附属書4:スマートカード及び類似機器のセキュリティアーキテクチャ要件 (Adv_arc)
31. ANNEX 5: CERTIFICATION OF "OPEN" SMART CARD PRODUCTS 31. 附属書5:「オープン」スマートカード製品の認証
32. ANNEX 6: COMPOSITE PRODUCT EVALUATION FOR SMART CARDS AND SIMILAR DEVICES 32. 附属書6:スマートカード及び類似機器の複合製品評価
33. ANNEX 7: APPLICATION OF ATTACK POTENTIAL TO SMARTCARDS AND SIMILAR DEVICES 33. 附属書7:スマートカード及び類似デバイスへの攻撃可能性の適用
34. ANNEX 8: MINIMUM ITSEF REQUIREMENTS FOR SECURITY EVALUATIONS OF SMART CARDS AND SIMILAR DEVICES 34. 附属書8:スマートカード及び類似機器のセキュリティ評価のための最低限のITSEF要件
35. ANNEX 9: APPLICATION OF ATTACK POTENTIAL TO HARDWARE DEVICES WITH SECURITY BOXES 35. 附属書9:セキュリティボックスを有するハードウェア機器への攻撃可能性の適用
36. ANNEX 10: MINIMUM ITSEF REQUIREMENTS FOR SECURITY EVALUATIONS OF HARDWARE DEVICES WITH SECURITY BOXES 36. 附属書10:セキュリティボックスを備えたハードウェア機器のセキュリティ評価のための最低限のITSEF 要件
37. ANNEX 11: ASSURANCE CONTINUITY 37. 附属書11:保証の継続性
38. ANNEX 12: PROCEDURE FOR CONDUCTING A PEER ASSESSMENT 38. 附属書12:相互評価の実施手順
39. ANNEX 13: CONTENT OF A CERTIFICATION REPORT 39. 附属書13:認証報告書の内容
40. ANNEX 14: ST SANITISING FOR PUBLICATION 40. 附属書14:公表のための統計的サニタイズ
41. ANNEX 15: PATCH MANAGEMENT 41. 附属書15:パッチマネジメント

 

■ 参考

●まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.12 ENISA サイバーセキュリティ認証市場調査についての報告書

・2020.11.26 ENISA 認証をサポートする規格

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.04.21 ENISA Underpinning software security: the role of the EU cybersecurity certification framework

 

| | Comments (0)

サイバーセキュリティ対策推進議員連盟 サイバーセキュリティ対策に関する提言を取りまとめ

こんにちは、丸山満彦です。

サイバーセキュリティ対策推進議員連盟がサイバーセキュリティ対策に関する提言を取りまとめたようですね。。。

3つの柱からなっていて、例えば、次のような項目が提言の中に含まれていますね。。。

1.DX with Cybersecurity

サイバーインシデントに対して適切に対応することへのインセンティブ設計を行うべきである。

2.サプライチェーンセキュリティ

「サイバーセキュリティお助け隊サービス」...の今後の利用拡大が望まれるところ、政府としてもその周知徹底を図るべきである。

3.人材育成

プラス・セキュリティ」人材の育成につき、プログラム策定等必要な施策を講じる必要がある。

 

● 衆議院議員 鈴木隼人

・2021.05.25 サイバーセキュリティ対策に関する提言を取りまとめ

 

1_20210526070201

Continue reading "サイバーセキュリティ対策推進議員連盟 サイバーセキュリティ対策に関する提言を取りまとめ"

| | Comments (0)

U.K. National Audit Office (会計監査院)が「効果的な規制の原則」を公表していますね。。。

こんにちは、丸山満彦です。

U.K. National Audit Office (会計監査院)が政策立案者、規制当局、議員向けに「効果的な規制の原則」を公表していますね。。。国レベルの話ですが、会社の規定等を作る際にも参考になると思います。

● U.K. National Audit Office

・2021.05.25 Principles of effective regulation

・[PDF

20210526-05232

目次です。

Introduction はじめに
The objectives of regulation and who is involved 規制の目的と関係者
Different approaches, and alternatives, to regulation 規制に対するさまざまなアプローチとその代替手段
The principles of effective regulation: a learning cycle 効果的な規制の原則:学習サイクル
1. Design 1. 設計
2. Analyse 2. 分析
3. Intervene 3. 介入
4. Learn 4. 学習

学習サイクルの概要

1. Design 1. 設計
These principles are intended to translate the policy intent and purpose of regulation into the design of an overall regulatory framework. When setting up, or considering changes to, a regulator or regulatory system, these principles need particular consideration and resolution to avoid costly, untimely or disruptive remedial action later (for example, because they may require new legislation). これらの原則は、規制の政策意図と目的を、規制の枠組み全体の設計に反映させることを目的としています。規制機関や規制システムの設立や変更を検討する際には、これらの原則を特に考慮し、解決する必要があります。これは、後になってコストがかかり、時間がかからず、混乱を招くような改善措置を避けるためです(例えば、新たな法律が必要になる場合があります)。
・Defining the overall purpose of regulation  ・規制の全体的な目的の定義 
・Setting regulatory objectives  ・規制目的の設定 
・Ensuring accountability  ・説明責任の確保 
・Determining the degree of regulatory independence  ・規制の独立性の度合いの決定
・Deciding on powers  ・権限の決定 
・Determining a funding model ・資金調達モデルの決定
・Designing organisational structure and culture ・組織の構造と文化の設計
2. Analyse 2. 分析
Within a regulatory framework as designed, these principles are intended to help regulators and policymakers: analyse the market or issue being regulated on an ongoing basis; identify and assess in a timely manner where problems may be occurring that require intervention; engage with stakeholders to understand needs and priorities; and understand what capacity is needed to respond appropriately. 設計された規制の枠組みの中で、これらの原則は規制当局と政策立案者を支援することを目的としています。規制の枠組みの中で、これらの原則は、規制当局や政策立案者が、規制の対象となる市場や問題を継続的に分析し 介入が必要な問題がどこで発生しているかをタイムリーに把握し評価します。ニーズと優先事項を理解するためにステークホルダーと関わり、適切な対応をするために必要な能力を理解し、適切に対応するために必要な能力を理解します。
・Using information and data ・情報とデータの活用
・Embedding the citizen perspective ・市民の視点を取り入れる
・Monitoring service provider compliance and incentives ・サービス提供者のコンプライアンスとインセンティブの監視
・Engaging with stakeholders ・ステークホルダーとの連携
・Ensuring capacity and capability ・キャパシティとケイパビリティの確保
・Adopting a forward-looking approach ・将来を見越したアプローチの採用
3. Intervene 3. 介入
Where regulators identify problems that may require intervention, these principles are intended to help them: understand what impact they might have; prioritise actions; and consider how best to respond to achieve their intended outcomes with proportionate and timely responses. Regulatory tools range from ‘soft’ approaches (such as guidance and support) to ‘harder’ tools, including enforcement action and prosecution. 規制当局が介入を必要とする可能性のある問題を発見した場合、これらの原則は、それらがどのような影響を及ぼしうるかを理解し、行動に優先順位をつけ、意図した結果を達成するためにどのように対応するのが最善かを、適切かつ適時に検討するのに役立つことを目的としています。規制手段は、ガイダンスや支援などの「ソフト」なアプローチから、強制執行や告発などの「ハード」な手段まで多岐にわたります。
・Developing a theory of change ・変化の理論の開発
・Prioritising interventions ・介入の優先順位付け
・Drawing on a range of regulatory tools ・さまざまな規制手段の活用
・Embedding consistency and predictability ・一貫性と予測可能性の確立
・Ensuring interventions are proportionate ・介入が適切であることの確認
・Being responsive ・積極的な対応
4. Learn 4. 学習
It is important for regulators and policymakers to work collaboratively, measure progress and learn from experience to maximise effectiveness in future. These principles are intended to help measure and report performance and outcomes against regulatory objectives, evaluate the real-world impact of interventions, and work in a joined-up way with other organisations in the regulatory landscape. 規制当局と政策立案者は、今後の効果を最大化するために、協力して作業を行い、進捗を測定し、経験から学ぶことが重要です。これらの原則は、規制目的に対するパフォーマンスと成果を測定して報告し、介入の現実世界での影響を評価し、規制環境の中で他の組織と連携して作業するためのものです。
・Establishing governance processes ・ガバナンスプロセスの確立
・Measuring performance ・パフォーマンスの測定
・Evaluating impact and outcomes ・影響と成果の評価
・Engendering cooperation and coordination ・協力と調整の促進
・Ensuring transparency ・透明性の確保

 

■ 関連

● U.K. NAO

・2020.05.18 Overview Regulation 2019

 ・[PDF] Departmental Overview Regulation 2019

・2017.09.27 A Short guide to Regulation

 ・[PDF]

・2016.11.04 Performance measurement by regulators

 ・[DOC] Performance measurement good practice criteria and maturity mode

 ・[PDF] Performance Measurement by Regulators

・2015.08.03 A Short Guide to Regulation

 ・[PDF]

 

 

| | Comments (0)

2021.05.25

米国GAO サイバー保険の加入率も保険料率も上昇?

こんにちは、丸山満彦です。

日本でもサイバー保険が一般的になってきたようにも思います。保険は事故が起きた時のキャッシュフローのボラティリティを平準にするという機能ですので、十分に資金がある組織や個人では入る必要がない場合も多いかと思います。

さて、サイバー事故の増加に伴い、サイバー保険は米国でも加入率が伸びているようですが、同時に保険金支払額の増加もあり、保険料率も上がっているようですね。。。

● U.S. Government Accountability Office: GAO

・2021.05.20 Cyber Insurance: Insurers and Policyholders Face Challenges in an Evolving Market

保険料率の変化(上)と加入率(下)

1_20210525052701

報告書

・[PDF] Full Report 

20210525-81641

 

・[PDF] Accessible 

・[PDF] Highlights 

 

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

英国でもサイバー保険加入会社は増えているようですね。。。↓

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

サイバー保険会社のリスク管理について。。。↓

・2021.02.16 ニューヨーク州金融サービス局(NYDFS)サイバー保険リスクフレームワーク (保険通達2021年第2号)at 2021.02.04

ランサムウェアの身代金を保険がカバーした場合は制裁リスクがある。。。↓

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

日本でのサイバー保険の走り。。。↓

・2012.05.20 紹介(≠勧誘)w サイバー攻撃保険?

 

| | Comments (0)

2021.05.24

自動で偽の情報を作成するマシーンはできるのか?

こんにちは、丸山満彦です。

誤った情報を広く信頼されるように提供することによって、社会を混乱させることができます。例えば、重要な選挙において偽の情報を流すことにより、世論を動かし、適切でない選挙結果になるようにすることは可能かも知れませんね。。。選挙だけでなくても、国民内の対立を深めるような目的や、漁夫の利を得たいC国がA国とB国を犬猿の仲にする目的で利用することができるかも知れません。

このような偽の情報によって世論を動かすことについてのリスクは、世界の経営者の中でも高まっているという調査報告もありますし、今後注目すべき問題だろうと思います。民主主義の根幹に関わりますからね。。。独裁国家にとっても革命を防ぐ意味でも重要でしょうね。。。

単なる偽の情報を流すのは簡単ですが、広く信頼される状態にするには、状況を見極めた高度なコミュニケーションの能力が必要となってきます。なので、今は人が行っていると思います。従って、作戦範囲は限定的となってきますね。これを人工知能(主に機械学習なんでしょうが)に置き換えることができれば、より広範囲に継続的に影響を与え続けることができますね。。。

こういうリスクについての研究報告書が出ています。。。GPT-3 [wikipedia] を使った研究です。GPT-3についてはここここも参照。。。

Centre for Security and Emerging Technology: CSET

・2021.05 Truth, Lies, and Automation - How Language Models Could Change Disinformation

・[PDF

20210524-25116

この調査報告によると、今現在でも、熟練された人間の補助が必要ではあるが、実現は可能だろうと言うことのようです。この辺りは、学習の仕方によるので、事実上時間と予算をかければ、可能と言うことだろうと思います。(GPT3は45TBの情報を学習し、1750億のパラメータがあるようですが。。。)

で、問題はこれを阻止することは難しく、個別に潰していくよりも、広げるインフラ(例えばソーシャルメディア)で対応する方が効果的かも知れないということのようです。。。

目次

EXECUTIVE SUMMARY エグゼクティブ・サマリー
INTRODUCTION 序論
1 | HUMAN-MACHINE TEAMS FOR DISINFORMATION 1|情報操作のための人間+機械チーム
2 | TESTING GPT-3 FOR DISINFORMATION 2|情報操作のためのGPT-3のテスト
Narrative Reiteration 文脈の再利用
Narrative Elaboration 文脈の精緻化
Narrative Manipulation 文脈の操り方
Narrative Seeding 文脈作り
Narrative Wedging 文脈の割り込み
Narrative Persuasion 文脈の説得
3 | OVERARCHING LESSONS 3|包括的訓練
Working with GPT-3 GPT-3との連携
Examining GPT-3’s Writing GPT-3が作成した文書の検証
4 | THE THREAT OF AUTOMATED DISINFORMATION 4|自動化された偽情報の脅威
Threat Model 脅威のモデル
Mitigations 緩和策
CONCLUSION 結論
ENDNOTES おわりに

 

■ 報道等

AXIOS

 ・2021.05.19 The disinformation threat from text-generating AI


 

 

Continue reading "自動で偽の情報を作成するマシーンはできるのか?"

| | Comments (0)

2021.05.23

GPSの二重化は現在のところ経済効率的ではないようですね。。。

こんにちは、丸山満彦です。

RAND研究所がGPSが中断した場合についての影響を検討し、GPSの中断に備えたGPSの二重化は現在のところ経済効率的ではないと言う報告書を公表していますね。。。

その報告書によれば、GPSの機能の代替は、既存の複数のシステムを組み合わせることである程度カバーできる反面、GPSの二重化には多額の投資が必要で、バランスを考えるとGPSの二重化は現在のところ経済効率的ではないという結論になっていますね。。。

RAND

・2021.05 Analyzing a More Resilient National Positioning, Navigation, and Timing Capability

Key Findings 主な調査結果
The costs associated with Global Positioning System– (GPS-) focused threats were assessed 全地球測位システム(GPS)に焦点を当てた脅威に関連するコストの評価
GPS is far from the only source of capability for positioning, navigation, and timing (PNT). GPSは、測位、ナビゲーション、タイミング(PNT)のための唯一の能力ではありません。
Many of these alternative and complementary PNT capabilities are already implemented broadly, and some additional technologies are being implemented for public safety or other purposes. これらの代替・補完的なPNT機能の多くはすでに広く実装されており、いくつかの追加技術は公共の安全や他の目的のために実装されています。
Fallback technologies—for example, navigation by traditional visual or manual course plotting, positioning using reference points—increase the robustness of PNT nationally. 例えば、従来の目視や手動でのコースプロットによるナビゲーションや、基準点を用いた測位などのフォールバック技術は、全国的にPNTの堅牢性を高めています。
The threat from spoofing GPS signals should not influence a decision about any new PNT systems, as robust means to counter spoofing already exist. GPS信号の詐称による脅威は、新しいPNTシステムの決定に影響を与えるべきではありません。なぜならば、詐称に対抗する強固な手段がすでに存在するからです。
When cost estimates of GPS disruption or loss include realistic adaptation options and existing complementary technologies, the estimates are surprisingly low. GPSが使えなくなった場合のコスト試算は、現実的な適応策や既存の補完技術を含めて考えると、驚くほど低いものになります。
Additions to the PNT ecosystem in light of the potential benefits were considered 潜在的な利益を考慮したPNTエコシステムへの追加検討
No single system is a perfect backup for GPS. GPSを完全にバックアップできるシステムはありません。
Given realistic cost estimates of GPS disruption, the bar for extensive government investment in a GPS backup (that does not serve some other purpose) is very high and therefore difficult to justify. GPSが使えなくなった場合の現実的なコストを考えると、GPSのバックアップ(他の目的に使えないもの)に政府が大規模な投資をするハードルは非常に高く、したがって正当化するのは難しいと考えられます。
The federal government is already involved in one public-private partnership that will provide a GPS backup for many users in important urban areas. 連邦政府は、重要な都市部の多くのユーザーにGPSのバックアップを提供する、ある官民パートナーシップにすでに参加しています。
Modest investments by the government in threat detection could also reinforce private incentives to maintain a robust PNT ecosystem. また、政府が脅威検知のために少額の投資を行うことで、強固なPNTエコシステムを維持するための民間のインセンティブを強化することができます。
Recommendations 推奨事項
Government investment in a "Global Positioning System (GPS) backup" appears unwarranted at this time. New positioning, navigation, and timing (PNT) systems could be developed for the complementary benefits they bring while GPS is operating, but not primarily as a backup for GPS outages. 全地球測位システム(GPS)のバックアップ」に政府が投資することは、現時点では必要ないと思われます。新しい測位・航法・計時(PNT)システムは、GPSが作動している間の補完的な利点のために開発されるかもしれませんが、主にGPSが停止したときのバックアップとしてではありません。
Having diverse, time-proven, robust fallbacks to GPS available is highly desirable. Maintaining those capabilities while seeking the efficiency gains of modern PNT should be a priority. 多様で実績のある、堅牢なGPSへのフォールバックを利用できることは、非常に望ましいことです。このような能力を維持しつつ、最新のPNTの効率化を図ることが優先されるべきです。
Dispersal and diversity of capabilities in the national PNT ecosystem is a strength, not a weakness. 国のPNTエコシステムにおける能力の分散と多様性は、弱点ではなく強みです。
Considering both current and potential future systems, prudent system design necessitates avoiding dependencies that increase the risk associated with GPS loss. 現在のシステムと将来の潜在的なシステムの両方を考慮して、慎重なシステム設計を行うには、GPSの喪失に伴うリスクを高める依存関係を避ける必要があります。

 

・[PDF] Full Document

20210523-35751

・[PDF] Reserch Summary

 

目次です。。。

Preface 序文
Figures
Tables
Summary まとめ
Acknowledgments 謝辞
Abbreviations 省略記号
CHAPTER ONE 第1章
Introduction はじめに
Objective 目的
Background 背景
Approach 検討方法
Scoping 検討範囲
Outline of This Report 本報告書の概要
CHAPTER TWO 第2章
Considerations in Evaluating Backups and Complements to PNT/GPS Systems PNT/GPSシステムのバックアップと補完を評価する際の検討事項
Prior Efforts That Examined the Value and Vulnerabilities of PNT Systems  PNTシステムの価値と脆弱性を調査した先行研究 
Considerations in Evaluating Potential Backups or Complements バックアップや補完機能を評価する際の考慮点
CHAPTER THREE 第3章
Identify Threats and Vulnerabilities of GPS and Other PNT Systems GPSおよびその他のPNTシステムの脅威と脆弱性の特定
A Systematic Way to Consider the Risks of a Full Range of Threats あらゆる脅威のリスクを体系的に検討する方法
Explicating the Threat Matrix 脅威マトリックスの説明
A Specific Case: Cyberattacks Against GPS 具体的なケース GPSに対するサイバー攻撃
Summary まとめ
CHAPTER FOUR 第4章
Conduct an Economic Analysis of the Damages Resulting from Varied Threats to PNT PNTに対する様々な脅威がもたらす損害の経済分析
Approach for Conducting the Economic Analysis 経済分析を行うための方法論
viii Analyzing a More Resilient National Positioning, Navigation, and Timing Capability Estimating Damages Due to a Nationwide Disruption of GNSS より強靭な国家の測位・航法・計時能力の分析 GNSSが国家規模で途絶した場合の損害額の推定
Estimating Damages from Regional GNSS Jamming 地域的なGNSSジャミングによる被害の推定
Consumer Location-Based Services 消費者向け位置情報サービス
Commercial Road Transport 商業用道路輸送
Emergency Services 緊急サービス
Agriculture 農業
Construction 建設
Surveying 測量
Aviation 航空
Maritime 海事
Railway 鉄道
Telecommunications 電気通信
Electricity Generation and Transmission 発電・送電
Finance 金融
Port Operations 港湾事業
Mining 鉱業
Oil and Gas Exploration 石油・ガス探査
Multisector Regional Jamming Vignette: Los Angeles–Long Beach マルチセクター・リージョナル・ジャミング・ヴィネット:ロサンゼルス-ロングビーチ
Some Historical Evidence Against Predictions of Extreme Disruption 極端な混乱の予測に対するいくつかの歴史的証拠
Summary まとめ
CHAPTER FIVE 第5章
Identify Alternative Sources and Technologies to Increase National PNT Resilience and Robustness 国家のPNTの回復力と堅牢性を高めるための代替ソースと技術の特定
Identifying the Technology Options for Increasing PNT Robustness and Resilience PNTの堅牢性と回復力を高めるための技術オプションの特定
Considering System Performance Versus User Fidelity Ranges システムの性能とユーザーの忠実度の範囲の考慮
Summary まとめ
CHAPTER SIX 第6章
Conduct Cost-Benefit Assessment of Alternative Sources and Technologies to Increase National PNT Resilience and Robustness 国のPNTの回復力と堅牢性を高めるための代替手段と技術の費用便益評価の実施
Considering the Costs of GPS Disruptions GPS障害のコストの考慮
Considering the Relative Costs of PNT Options PNTオプションの相対的コストの検討
Considering the Potential Benefits from Different PNT Options 異なるPNTオプションから得られる潜在的な利益の検討
Example Cases of Potential Losses Avoided from Threats and Hazards Compared with Costs 脅威や危険から回避できる潜在的な損失をコストと比較した例
Summary まとめ
CHAPTER SEVEN 第7章
Summary and Weighing Alternatives and Potential Federal Initiatives 代替案と潜在的な連邦政府のイニシアチブのまとめと評価
Summary まとめ
Impact of Worldview 世界観の影響
Inverse Problem: Assumptions on Threats 逆問題:脅威への思い込み
Potential Federal Actions 潜在的な連邦政府の取り組み
Final Observations 最終見解
APPENDIXES 附属書
A. Nationwide Framework for Valuing the Change in Productivity Enabled by GPS A. GPSがもたらす生産性の変化を評価するための全国的な枠組み
B. Supplemental Information on the Regionally Based Microeconomic and Geographic Analysis B. 地域別のミクロ経済分析と地理的分析に関する補足情報
C. Technical Overview of GPS Enhancements and Alternatives for Degraded GPS Environments C. GPSの強化とGPS環境の悪化に対する代替手段の技術的概要
D. Traditional Acquisition Versus Public-Private Partnership D. 従来の取得と官民パートナーシップの比較
E. U.S. Commitments and Obligation to Sustain and Operate GPS E. GPSを維持・運用するための米国のコミットメントと義務
F. Solar Storm Effects on the GPS Satellites F. 太陽嵐によるGPS衛星への影響
Bibliography 参考文献

| | Comments (0)

Apple Platform Security May 2021

こんにちは、丸山満彦です。

Apple Platform Securityが5月に更新されていました。TouchID付きのMagicKeyboardのセキュリティ、AppleWatchからiPhoneのロック解除する仕組み等について更新しているようですね。。。

Apple

Apple Platform Security

日本語

Appleプラットフォームのセキュリティ

・[PDF]

20210522-153426

 


■ 報道等

● IT Media

・2020.05.20 iMac 24インチ付属のTouch IDキーボードは、他のM1搭載Macでも使用可能かチェックしてみた

9 to 5 MAC

・2021.05.17 Apple updates Platform Security guide with details on iPhone Apple Watch unlock, Touch ID Magic Keyboard

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.20 Apple Platform Security February 2021

・2012.06.12 Apple iOS security 2012

 

 

| | Comments (0)

2021.05.22

第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

こんにちは、丸山満彦です。

2921.05.20から二日間にわたって開催された、第25回サイバー犯罪に関する白浜シンポジウム&第16回情報危機管理コンテストが終了しました。

今年のテーマは"今こそ考えるサイバー空間の「信頼」~クラウドセキュリティとゼロトラストネットワーク~"でした

 

第25回サイバー犯罪に関する白浜シンポジウム

今回の講演はどれもレベルが高かったという評判を聞きましたが、私を除けば、確かに講演者を見ればレベル高いですよね。。。

2021年春の通常国会におけるサイバー関連重要法案の動向 岡村久道氏 弁護士 博士(情報学)
境界はどこへ行った?~曖昧化する境界とデータとヒトの守り方~ 仲上竜太氏 株式会社ラック
リモート環境下でのインシデント対応への課題 洞田慎一氏 一般社団法人JPCERTコーディネーションセンター
クラウド・テレワーク環境に求められるセキュリティ要件 梅城崇師氏 総務省 サイバーセキュリティ統括官室
攻撃に強いIT環境づくりのためのエッセンス 河野省二氏 日本マイクロソフト株式会社
ゼロトラストにおけるトラスト 松本泰氏 セコム(株)
サイバー空間をめぐる脅威情勢警察の課題と役割 河原淳平氏 警察庁 長官官房
アフターコロナのトラスト形成 崎村夏彦氏 NATコンサルティング代表
トラストなき時代のセキュリティ 河野省二氏 日本マイクロソフト株式会社
丸山満彦氏 PwCコンサルティング合同会社
崎村夏彦氏 NATコンサルティング代表

 

最後のところでパネルディスカッションで言ったのですが、都度検証するゼロトラストアーキテクチャーは、セキュリティ対策の理想に近い形であると思うんですよね。。。

城壁の中の人は全て信頼するという管理の仕方は実世界では通用すると思うんですよね。お互いに顔を知っていて、都度、顔や態度や振る舞いを見て確認できているからね。そして、疑わしいと思ったらその場で捕まえて確認をすれば良い。命と引き換えに嘘をつくという感じになるので、そこまでリスクを犯して不正に潜り込む人も少ない。。。

でもコンピュータの世界は暗闇で名前を印刷された紙を見せられるだけのようなものなので、かつ不正に潜り込んだとしても自分の命が危険に晒されることはない。なので、Firewallで囲まれた中にいるからといって必ず信頼するというのも難しいというのは理解できると思うんですよね。。。

なので、色々な状況を見てリスク値に応じて動的に確認するというやり方は理想に近い。しかし、そのための手間はかかる。なので、ゼロトラストをすることによってかかるコスト、ゼロトラストをしないことによるリスクや機会損失のバランスの問題なんですよね。

技術進歩によりコストが下がってきた。そして、DX等も含めてコンピュータの利用がさらに求められるためゼロトラストをしないことによるリスクや機会損失がさらに上昇しているということで、そのバランスが変わってきているのが、今の状況なのだろうと思います。

問題は、どのようにして新しいアーキテクチャーに移していくかですが、河野さんが、「引っ越し」と言っていましたが、まさにそうなんですよね。今の環境をゼロトラストに変えるのではなく、新しい環境を作ってそこに引っ越していく感じですね。。。

楽しい2日間でした!!!

毎年、開催のために頑張ってくれている実行委員やスタッフのメンバーの活躍には頭が下がります。ありがとうございます。そして来年もよろしくお願いいたします。

 

Sccs_ogp600

 

これから温泉シリーズは続きますね。。。

● 道後 

・2021.06.16-17 サイバーセキュリティシンポジウム道後2021(SEC道後2021)

● 越後湯沢

情報セキュリティワークショップin越後湯沢

● 熱海

サイバー防衛シンポジウム熱海

● 別府

九州サイバーセキュリティシンポジウム

 


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

| | Comments (0)

2021.05.21

U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

こんにちは、丸山満彦です。

米国のGAOは、コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

とブログに書いていますね。。。

今回のケースではパイプラインを念のため一時的に止めたのですが、結果的に大きな問題が起こらなかったので、よかったと思いました。

インフォグラフィックがアメリカンな感じですね。。。

あと、ポッドキャストがあるのですが、参考になりますよ。。。スクリプトもついてます!!!

U.S. GAO

・2021.05.18 (blog) Colonial Pipeline Cyberattack Highlights Need for Better Federal and Private-Sector Preparedness (infographic)

 

Colonial-pipeline-infographic

 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.18 世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

高橋弁護士のブログは大変参考になります。。。

● ITリサーチアート

・2021.05.17 パイプライン攻撃事件の法的論点 (「Good wife」の予言-犯罪者サイトのテイクダウン/ハックバック/ビットコインの押収?) -Colonial Pipeline事件

・2021.05.16 パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件

・2021.05.14 パイプライン攻撃事件の法的論点(国家責任・デューディリジェンス)-Colonial Pipeline事件

| | Comments (0)

NIST White Paper ドラフト データ格付の実践:データ中心のセキュリティ管理の促進

こんにちは、丸山満彦です。

NISTがIデータ格付の実践:データ中心のセキュリティ管理の促進についての白書のドラフトが公開され、意見募集していますね。。。

NIST - ITL - Computer Security Resource Center

・2021.05.19 White Paper (Draft) [Project Description] Data Classification Practices: Facilitating Data-Centric Security Management

・[PDF] Draft Project Description

20210520-211744

 

 Project homepage (web)

Announcement 発表
The National Cybersecurity Center of Excellence (NCCoE) has released a new draft project description, Data Classification Practices: Facilitating Data-Centric Security. This begins a process to further identify project requirements, scope, and hardware and software components for use in a laboratory environment.  National Cybersecurity Center of Excellence(NCCoE)は、新しいプロジェクト案「データ格付の実践:データ中心のセキュリティ管理の促進」を発表しました。これにより、実験室環境で使用するためのプロジェクトの要件、範囲、ハードウェアおよびソフトウェアコンポーネントをさらに特定するプロセスが開始されます。 
The NCCoE will solicit participation from industry to develop an approach for defining data classifications and data handling rulesets and for communicating them to others. In addition, this project will attempt a basic proof-of-concept implementation that will include limited data discovery, analysis, classification, and labeling capabilities, as well as a rudimentary method for expressing how data with a particular label should be handled for each use case scenario. This project will result in practice guides and other publications to encourage increased standardization and adoption of data classification methods. NCCoEは、データ格付とデータ処理ルールセットを定義し、それを他の人に伝えるためのアプローチを開発するために、産業界からの参加を募ります。さらに、このプロジェクトでは、限られたデータの発見、分析、格付、ラベル付けの機能と、ユースケースのシナリオごとに特定のラベルを持つデータをどのように処理するかを表現する初歩的な方法を含む、基本的な概念実証の実装を試みます。このプロジェクトでは、データ分類方法の標準化と採用を促進するため、プラクティスガイドなどの出版物を作成します。
Abstract 概要
As part of a zero trust approach, data-centric security management aims to enhance protection of information (data) regardless of where the data resides or who it is shared with. Data-centric security management necessarily depends on organizations knowing what data they have, what its characteristics are, and what security and privacy requirements it needs to meet so the necessary protections can be achieved. Standardized mechanisms for communicating data characteristics and protection requirements are needed to make data-centric security management feasible at scale. This project will examine such an approach based on defining and using data classifications. The project’s objective is to develop technology-agnostic recommended practices for defining data classifications and data handling rulesets and for communicating them to others. This project will inform, and may identify opportunities to improve, existing cybersecurity and privacy risk management processes by helping with communicating data classifications and data handling rulesets. It will not replace current risk management practices, laws, regulations, or mandates. This project will result in a freely available NIST Cybersecurity Practice Guide. データ中心のセキュリティ管理は、ゼロトラスト・アプローチの一環として、データがどこにあるか、誰と共有されているかにかかわらず、情報(データ)の保護を強化することを目的としています。 データ中心のセキュリティ管理は、組織がどのようなデータを持っているか、その特性は何か、必要な保護を達成するために満たすべきセキュリティおよびプライバシーの要件は何かを知ることに必然的に依存します。データ中心のセキュリティ管理を大規模に実現するためには、データの特性と保護要件を伝達するための標準的なメカニズムが必要です。このプロジェクトでは、データ格付の定義と使用に基づいて、そのようなアプローチを検討します。このプロジェクトの目的は、データ格付とデータ処理ルールセットを定義し、それを他者に伝えるための技術にとらわれない推奨プラクティスを開発することである。本プロジェクトは、データ分類とデータ取り扱いルールセットの伝達を支援することで、既存のサイバーセキュリティとプライバシーのリスク管理プロセスに情報を提供し、改善の機会を見出すことができる。本プロジェクトは、現行のリスクマネジメントの実践、法律、規制、または義務に取って代わるものではありません。このプロジェクトは、自由に利用できるNISTのサイバーセキュリティ実践ガイドになる予定です。

 

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 範囲
Assumptions/Challenges 前提・課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Financial sector シナリオ1:金融部門
Scenario 2: Government sector シナリオ2:官公庁
Scenario 3: Manufacturing sector シナリオ3:製造業
Scenario 4: Technology sector シナリオ4:技術部門
Scenario 5: Healthcare sector シナリオ5:ヘルスケア分野
3 High-Level Architecture 3 ハイレベル・アーキテクチャ
Component List コンポーネントリスト
Desired Security Capabilities 望ましいセキュリティ機能
4 Relevant Standards and Guidance 4 関連する規格とガイダンス
Appendix A References 附属書A 参考文献
Appendix B Acronyms and Abbreviations 附属書B 頭語と略語

 

Continue reading "NIST White Paper ドラフト データ格付の実践:データ中心のセキュリティ管理の促進"

| | Comments (0)

世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表へ

こんにちは、丸山満彦です。

世界経済フォーラムユニセフ・ジェネレーションAIスマートトイ賞を22日に発表するそうです。子供が日々触れるオモチャにもAIが搭載されてくる時代ですね。そんな中、教育上の効果のみならず、子供のプライバシーについても配慮する必要がありますね。。。

そんな中、世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表されるようですね。。。

World Economic Forum

・2021.05.18 How 7 'smart toys' are protecting kids' data and safety

 

現在7つのスマートトイが候補に残っているようです。興味がある方は除いてみてくださいませ!!!

Twin Science Autonomous Vehicle Kit  Twin Science Autonomous Vehicle Kit is a self-driving car for kids they can build. Kids learn how to build a self-driving car from a kit that includes sensors, cameras and motors. Twin Science Autonomous Vehicle Kitは、子供たちが組み立てられる自動運転車です。センサーやカメラ、モーターなどが入ったキットを使って、自動運転車の作り方を学びます。
Intelino Smart Train  Intelino Smart Train is a smart train set that teaches kids how to code. Kids can give the train commands by placing coloured tiles on the tracks or controlling it from the app. Intelino Smart Trainは、コードの書き方を学べるスマートな電車のセットです。子供たちは、線路に色のついたタイルを置いたり、アプリから操作したりして、列車にコマンドを与えることができます。
LEGO VIDIYO  LEGO VIDIYO is a music video maker that uses augmented reality. The app lets kids direct and star in their own music videos using LEGO sets and mini-figures. LEGO VIDIYOは、AR(拡張現実)を利用したミュージックビデオメーカーです。このアプリでは、子供たちがLEGOのセットやミニフィギュアを使って自分のミュージックビデオを監督したり、出演したりすることができます。
PlayShifu Plugo  PlayShifu Plugo is an educational augmented reality gaming kit. Kids use real-world toys to play games on a tablet. Learning spelling, music, maths and science along the way PlayShifu Plugoは、拡張現実を利用した教育用ゲームキットです。子供たちは現実のおもちゃを使って、タブレットでゲームをします。綴り、音楽、数学、科学を学ぶことができます。
ROYBI Robot  ROYBI Robot is an educational AI-powered robot. The robot creates and teaches personalized lessons in languages, sciences, technology, engineering and math. ROYBI Robotは、AIを搭載した教育用ロボットです。このロボットは、言語、科学、技術、工学、数学などのパーソナライズされたレッスンを作成して教えてくれます。
Leka Alpha  Leka Alpha is a robot for children with special needs. The robot uses movement, lights and games to develop kids’ cognitive, physical and emotional skills. Leka Alphaは、特別なニーズを持つ子どもたちのためのロボットです。このロボットは、動き、光、ゲームを使って、子供たちの認知能力、身体能力、感情能力を高めます。
CoderMindz  CoderMindz is a board game that teaches kids about AI developed by a 16-year-old inventor. Players must train their playing pieces to navigate the board. It teaches kids the fundamental concepts of AI. CoderMindzは、16歳の発明家によって開発された、AIについて子供たちに教えるボードゲームです。プレイヤーは、ゲームの駒を訓練してボード上を移動させる必要があります。子供たちはAIの基本的な概念を学ぶことができます。

 

評価のポイントは次のようですね。。。

How does the toy protect children and other users' data privacy and cybersecurity? その玩具は、子どもや他のユーザーのデータ・プライバシーやサイバー・セキュリティをどのように保護していますか?
How is the toy accessible for children with physical, mental, and learning disabilities, including neurodiversity, and children speaking languages other than English and from other cultures? ニューロ・ダイバーシティ[wikipedia]を含む身体的、精神的、学習的な障害を持つ子どもや、英語以外の言語を話す子ども、異文化の子どもにとって、おもちゃはどのようにアクセス可能ですか?
How does the toy innovatively use AI and how is the use of AI communicated to the child user and their parents/guardians? おもちゃはどのようにAIを革新的に使用していますか?また、AIの使用を子どものユーザーとその保護者にどのように伝えていますか?
How is the toy age and developmental stage appropriate and how does it promote healthy play and child development? 年齢や発達段階に応じて、どのように健康的な遊びや子どもの発達を促進していますか?

 

過去のスマートトイに関するWEFの記事

・2021.03.31 Smart toys: Your child’s best friend or a creepy surveillance tool?

・2021.03.04 A Lego game is helping children learn digital empathy skills

・2021.02.24 In an AI world, children must learn to write like humans

 


 

1_20210520202501

| | Comments (0)

2021.05.20

中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

こんにちは、丸山満彦です。

中国で自動車データセキュリティの管理に関する規定に関する意見募集が行われていました。個人データと重要データの取り扱いについてですめ。

重要なデータは、国の機密情報、公開されているよりも精度の高い地図データ、車両充電ネットワークの運用に関するデータ、道路上の車両の種類、流れについてのデータ、顔、声、ナンバープレートを含む音声・画像データ等となっていますね。。。

色々と参考になります。。。

中共中央网络安全和信息化委员会办公室中国共産党中央委員会ネットワークセキュリティ・情報化対策室

・2021.05.12 国家互联网信息办公室关于《汽车数据安全管理若干规定(征求意见稿)》

汽车数据安全管理若干规定 自動車データセキュリティの管理に関する規定
第一条 为了加强个人信息和重要数据保护,规范汽车数据处理活动,维护国家安全和公共利益,根据《中华人民共和国网络安全法》等法律法规,制定本规定。 第1条 この規定は、個人情報および重要なデータの保護を強化し、自動車のデータ処理活動を規制し、国家の安全および公共の利益を守るために、「ネットワークセキュリティに関する中華人民共和国法」およびその他の法令に基づいて制定される。
第二条 运营者在中华人民共和国境内设计、生产、销售、运维、管理汽车过程中,收集、分析、存储、传输、查询、利用、删除以及向境外提供(以下统称处理)个人信息或重要数据,应当遵守相关法律法规和本规定的要求。 第2条 事業者は、自動車の設計、製造、販売、運用、保守管理の過程において、中華人民共和国の領域外で個人情報や重要なデータを収集、分析、保管、送信、照会、利用、削除、提供(以下、総称して処理と呼ぶ)する場合には、関連法令および本規定の要求に従うものとする。
第三条 本规定所称运营者指汽车设计、制造、服务企业或者机构,包括汽车制造商、部件和软件提供者、经销商、维修机构、网约车企业、保险公司等。 第3条 この規定でいう事業者とは、自動車メーカー、部品・ソフトウェア提供者、ディーラー、修理機関、オンラインカー会社、保険会社など、自動車の設計・製造・サービスを行う企業または機関をいう。
本规定所称个人信息包括车主、驾驶人、乘车人、行人等的个人信息,以及能够推断个人身份、描述个人行为等的各种信息。 ここでいう個人情報とは、自動車の所有者、運転者、ライダー、歩行者などの個人情報のほか、個人を推定したり、個人の行動を記述したりするさまざまな情報を含む。
本规定所称重要数据包括: この規定で言及されている重要なデータは以下の通りです。
(一)军事管理区、国防科工等涉及国家秘密的单位、县级以上党政机关等重要敏感区域的人流车流数据; (1) 軍政地域、国防科学工業などの国家機密に関わるユニット、県レベル以上の党・政府機関など、重要で敏感な地域の人や車の流れに関するデータ
(二)高于国家公开发布地图精度的测绘数据; (2) 国が公開している地図の精度よりも高い地図データ
(三)汽车充电网的运行数据; (3) 車両充電ネットワークの運用に関するデータ
(四)道路上车辆类型、车辆流量等数据; (4) 道路上の車両の種類、車両の流れなどのデータ
(五)包含人脸、声音、车牌等的车外音视频数据; (5) 顔、声、ナンバープレートなどを含む車外の音声・映像データ
(六)国家网信部门和国务院有关部门明确的其他可能影响国家安全、公共利益的数据。 (6) その他、国家インターネット情報部および国務院の関連部門が指定する、国家安全保障や公共の利益に影響を与える可能性のあるデータ
第四条 运营者处理个人信息或重要数据的目的应当合法、具体、明确,与汽车的设计、制造、服务直接相关。 第4条 事業者が個人情報または重要なデータを取り扱う目的は、適法かつ具体的で明確であり、自動車の設計、製造、サービスに直接関連するものでなければならない。
第五条 运营者应当落实网络安全等级保护制度,加强个人信息和重要数据保护,依法履行网络安全义务。 第5条 事業者は、法律に基づき、ネットワークセキュリティレベルの保護システムを実施し、個人情報や重要データの保護を強化し、ネットワークセキュリティの義務を果たさなければならない。
第六条 倡导运营者处理个人信息和重要数据过程中坚持: 第6条では、個人情報や重要なデータを取り扱う際に、事業者が遵守すべきことを定めています。
(一)车内处理原则,除非确有必要不向车外提供; (1) 車両内処理の原則:必要な場合以外は車両外に提供しないこと。
(二)匿名化处理原则,确有必要向车外提供的,尽可能地进行匿名化和脱敏处理; (2) 匿名化処理の原則:車両外に提供することが必要な場合には、可能な限り匿名化および無感応化を行うこと。
(三)最小保存期限原则,根据所提供功能服务分类型确定数据保存期限; (3) 最小保存期間の原則:提供される機能的サービスのサブタイプに応じてデータの保存期間を決定すること。
(四)精度范围适用原则,根据所提供功能服务对数据精度的要求确定摄像头、雷达等的覆盖范围、分辨率; (4) 精度範囲適用の原則、提供する機能的なサービスに必要なデータの精度に基づいて、カメラやレーダーなどのカバー率、解像度を決定すること。
(五)默认不收集原则,除非确有必要,每次驾驶时默认为不收集状态,驾驶人的同意授权只对本次驾驶有效。 (5) デフォルト非取得の原則:必要な場合を除き、デフォルトの状態では各運転に対してデータを取得しないこと、運転者の同意承認は個々の運転に対してのみ有効であること。
第七条 运营者处理个人信息应当通过用户手册、车载显示面板或其他适当方式,告知负责处理用户权益责任人的有效联系方式,以及收集数据的类型,包括车辆位置、生物特征、驾驶习惯、音视频等,并提供以下信息: 第7条 事業者は、個人情報を取扱う際には、取扱説明書、車載表示パネルその他の適切な手段を用いて、利用者の権利利益を取り扱う責任者の有効な連絡先と、収集するデータの種類(車両位置、生体特性、運転習慣、音声・映像等)を通知し、以下の情報を提供するものとします。
(一)收集每种类型数据的触发条件以及停止收集的方法; (1) データの種類ごとの収集のトリガーとなる条件と収集を停止する方法
(二)收集各类型数据的目的、用途; (2) 収集するデータの種類ごとの目的と使用方法。
(三)数据保存地点、期限,或者确定保存地点、期限的规则; (3) データ保持の場所と期間、または保持の場所と期間を決定するための規則。
(四)删除车内、请求删除已经提供给车外的个人信息的方法步骤。 (4) 車内の個人情報を削除したり、車外に既に提供されている個人情報の削除を依頼するための方法論的手順。
第八条 运营者收集和向车外提供敏感个人信息,包括车辆位置、驾驶人或乘车人音视频等,以及可以用于判断违法违规驾驶的数据等,应当符合以下要求: 第8条 車両の位置情報、運転者または同乗者の音声・映像、運転違反の判断材料となるデータなど、車両外の機微な個人情報を事業者が取得・提供する場合は、以下の要件に従うものとする。
(一)以直接服务于驾驶人或者乘车人为目的,包括增强行车安全、辅助驾驶、导航、娱乐等; (1) 運転の安全性向上、運転支援、ナビゲーション、エンターテイメントなど、運転者や乗員に直接サービスを提供する目的であること。
(二)默认为不收集,每次都应当征得驾驶人同意授权,驾驶结束(驾驶人离开驾驶席)后本次授权自动失效; (2) デフォルトでは収集を行わず、その都度ドライバーの同意を得てオーソリゼーションを行い、このオーソリゼーションは運転終了後(ドライバーが運転席を離れた時)に自動的に失効すること。
(三)通过车内显示面板或语音等方式告知驾驶人和乘车人正在收集敏感个人信息; (3) 機密性の高い個人情報が収集されていることを、車内の表示パネルや音声などで運転者や乗員に知らせること。
(四)驾驶人能够随时、方便地终止收集; (4) ドライバーがいつでも自分の都合で回収を終了できること。
(五)允许车主方便查看、结构化查询被收集的敏感个人信息; (5)車両の所有者が、収集されている機密性の高い個人情報を容易に閲覧し、構造化してアクセスできるようにすること。
(六)驾驶人要求运营者删除时,运营者应当在2周内删除。 (6)運転者が事業者に対して削除を求めた場合、事業者は2週間以内に削除すること。
第九条 运营者收集个人信息应当取得被收集人同意,法律法规规定不需取得个人同意的除外。实践上难以实现的(如通过摄像头收集车外音视频信息),且确需提供的,应当进行匿名化或脱敏处理,包括删除含有能够识别自然人的画面,或对这些画面中的人脸等进行局部轮廓化处理等。 第9条 事業者は、法令により本人の同意を必要としない旨が定められている場合を除き、個人情報を収集する際には、本人の同意を得なければならない。 実際には実現が難しく(例:カメラを通して車外の音声・映像情報を取得する)、どうしても提供する必要がある場合には、自然人が写っている画像のうち、個人を特定できるものを削除したり、その画像の顔などを部分的に輪郭化するなど、匿名化や減感度化を行うこと。
第十条 仅当为了方便用户使用、增加车辆电子和信息系统安全性等目的,方可收集驾驶人指纹、声纹、人脸、心律等生物特征数据,同时应当提供生物特征的替代方式。 第10条 運転者の指紋、声紋、顔、心拍数などの生体情報は、利用者の利便性や車両の電子・情報システムのセキュリティ向上のためにのみ取得することができ、生体情報の特徴を表す代替手段を提供しなければならない。
第十一条 运营者处理重要数据,应当提前向省级网信部门和有关部门报告数据类型、规模、范围、保存地点与时限、使用方式,以及是否向第三方提供等。 第11条 重要なデータを扱う事業者は、その種類、規模、範囲、保持する場所と期限、使用方法、第三者への提供の有無などを、国家インターネット情報局および関連部門に事前に報告するものとする。
第十二条 个人信息或者重要数据应当依法在境内存储,确需向境外提供的,应当通过国家网信部门组织的数据出境安全评估。 第12条 個人情報や重要なデータは、法律に基づいて領域内で保管され、国外で提供する必要がある場合は、国家インターネット情報局が管理するデータ出口セキュリティ評価に合格しなければならない。
我国参与的或者与其他国家和地区、国际组织缔结的条约、协议等对向境外提供个人信息有明确规定的,适用其规定,我国声明保留的条款除外。 中国が締結している、あるいは他の国や地域、国際機関と締結している条約や協定に、個人情報の海外提供に関する明確な規定がある場合には、中国が留保を宣言している規定を除き、その規定を適用する。
第十三条 运营者向境外提供个人信息或者重要数据的,应当采取有效措施明确和监督接收者按照双方约定的目的、范围、方式使用数据,保证数据安全。 第13条 事業者は、個人情報または重要なデータを中国国外に提供する場合には、両者が合意した目的、範囲、方法に従って、受領者によるデータの使用を明確にし、監督し、データのセキュリティを確保するための有効な手段を講じなければならない。
第十四条 运营者向境外提供个人信息或者重要数据的,应当接受和处理所涉及的用户投诉;造成用户合法权益或公共利益受到损害的,应当依法承担相应责任。 第14条 事業者は、個人情報または重要なデータを国外で提供する場合、関係するユーザーからの苦情を受け付けて処理し、ユーザーの正当な権利利益または公共の利益を損なった場合には、法律に基づき相応の責任を負うものとする。
第十五条 运营者不得超出出境安全评估时明确的目的、范围、方式和数据类型、规模等,向境外提供个人信息或重要数据。 第15条 事業者は、アウトバウンドセキュリティアセスメントで定めた目的、範囲、方法、データの種類・規模を超えて、個人情報や重要データを国外に提供してはならない。
国家网信部门会同国务院有关部门以抽查方式核验向境外提供个人信息或重要数据的类型、范围等,运营者应当以明文、可读方式予以展示。 国家インターネット情報局は、国務院の関連部門と連携して、国外で提供された個人情報や重要データの種類や範囲を抜き打ちで確認し、事業者はそれらを明示的かつ可読性の高い方法で表示する。
第十六条 科研和商业合作伙伴需要查询利用境内存储的个人信息和重要数据的,运营者应当采取有效措施保证数据安全,防止流失;严格限制对重要数据以及车辆位置、生物特征、驾驶人或者乘车人音视频,以及可以用于判断违法违规驾驶的数据等敏感数据的查询利用。 第16条 科学研究者や商業提携者が領域内に保存されている個人情報や重要なデータの使用を照会する必要がある場合、事業者はデータのセキュリティを確保し、損失を防止するための効果的な措置を講じるものとし、車両の位置、バイオメトリック特性、運転者または同乗者のオーディオおよびビデオ、違法な運転違反を判断するために使用できるデータなどの重要なデータや機密データの照会および使用を厳しく制限するものとする。
第十七条 处理个人信息涉及个人信息主体超过10万人、或者处理重要数据的运营者,应当在每年十二月十五日前将年度数据安全管理情况报省级网信部门和有关部门,内容包括: 第17条 10万人以上の対象者が関わる個人情報を取り扱う事業者、または重要なデータを取り扱う事業者は、毎年12月15日までに省のインターネット情報部門および関連部門に対して、以下のような年間のデータセキュリティ管理を報告しなければならない。
(一)数据安全负责人以及负责处理用户权益相关事务责任人的姓名和联系方式; (1) データセキュリティの責任者およびユーザーの権利と利益に関する事項を取り扱う責任者の名前と連絡先
(二)处理数据的类型、规模、目的及必要性; (2) 取り扱うデータの種類、大きさ、目的および必要性
(三)数据的安全防护和管理措施,包括保存地点、期限等; (3) データの安全保護および管理措置(保管場所および保管期間を含む)
(四)与境内第三方共享数据情况; (4) 領域内の第三者とのデータの共有
(五)数据安全事故及处理情况; (5) データセキュリティインシデントとその処理
(六)与个人信息和数据相关的用户投诉及处理情况; (6)個人情報・データに関するお客様からの苦情とその対応
(七)国家网信部门明确的其他数据安全情况。 (7) 国家インターネット情報局が指定するその他のデータセキュリティ状況。
第十八条 如果存在向境外提供数据的情况,运营者应当在本规定第十七条基础上,报告以下情况: 第18条 事業者は、データが国外で提供される場合、本規定第17条に基づき、以下の情報を報告するものとします。
(一)接收者的名称和联系方式; (1) 受取人の名前と連絡先
(二)出境数据的类型、数量及目的; (2) 送出データの種類、数量および目的
(三)数据在境外的存放地点、使用范围和方式; (3) 国外でのデータの使用場所、範囲および方法
(四)涉及向境外提供数据的用户投诉及处理情况; (4) 国外へのデータ提供に伴うユーザーからの苦情とその対応
(五)国家网信部门明确的向境外提供数据需要报告的其他情况。 (5) その他、国外でのデータ提供に関する報告が必要な状況として、国家インターネット情報局が指定した場合
第十九条 国家网信部门会同国务院有关部门根据处理数据情况对运营者进行数据安全评估,运营者应当予以配合。 第19条 国家インターネット情報局は、国務院の関連部門と連携して、データ処理状況に基づいて事業者のデータセキュリティ評価を行うものとし、事業者はこれに協力する。
参与安全评估的机构和人员不得披露评估中获悉的运营者商业秘密、未公开信息,不得将评估中获悉的信息用于评估以外目的。 セキュリティ評価に関わる機関および担当者は、評価で知り得た事業者の商業機密や未公開情報を開示してはならず、また評価で知り得た情報を評価以外の目的で使用してはならない。
第二十条 运营者违反本规定的,由省级以上网信部门和有关部门依照《中华人民共和国网络安全法》等法律法规的有关规定进行处罚。构成犯罪的,依法追究刑事责任。 第20条 事業者が本規定に違反した場合、国家インターネット情報局および関連部門は、中華人民共和国ネットワークセキュリティ法の関連規定およびその他の法令に基づき、罰則を科すものとする。 犯罪に該当する場合は、法律に基づいて刑事責任が追及される。
第二十一条 本规定自2021年 月 日起施行。 第21条 この規定は、2021年◯月◯日以降に施行する。

 

Photo_20210427233701


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

| | Comments (0)

個人情報保護委員会の今後の取り組みと個人情報保護法ガイドラインの改正(パブコメ)

こんにちは、丸山満彦です。

個人情報の保護に関する法律の改正等を伴うデジタル社会の形成を図るための関係法律の整備に関する法律が2021.05.12に成立したことを受けて、個人情報保護委員会の今後の取り組みと個人情報保護法のガイドラインの改正が検討され、ガイドラインは意見募集が行われていますね。。。

個人情報保護委員会

・2021.05.19 第174回 個人情報保護委員会

議事次第

議題

  • 個人情報の保護に関する法律の改正等を伴うデジタル社会の形成を図るための関係法律の整備に関する法律の成立を受けた個人情報保護委員会の今後の取組(案)について
  • 令和2年改正個人情報保護法 ガイドライン(案)について

配付資料

 

Ppc_logo_20210325120001_20210520035201

パブコメントはこちらから↓

● e-Gov

・2021.05.19 「個人情報の保護に関する法律についてのガイドライン(通則編、外国にある第三者への提供編、第三者提供時の確認・記録義務編及び匿名加工情報編)の一部を改正する告示」等に関する意見募集について


 

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.13 参議院 デジタル社会形成基本法案等を議決 デジタル庁設置、個人情報保護法改正、地方自治体システム標準化等。。。

・2021.02.10 内閣官房 IT総合戦略室が「デジタル社会形成基本法案」「デジタル庁設置法案」「デジタル社会の形成を図るための関係法律の整備に関する法律案」を国会に提出しましたね。。。

・2020.12.22 内閣官房 個人情報保護制度の見直しに関する最終報告案

・2020.12.01 内閣官房 「第10回 個人情報保護制度の見直しに関する検討会」 地方自治体関係

・2020.09.01 パブコメ「個人情報保護制度の見直しに向けた中間整理案」

・2020.06.18 令和2年個人情報保護法改正と施行準備等のポイント by 日置先生

・2020.06.16 個人情報保護委員会 個人情報の保護に関する法律等の一部を改正する法律の成立を受けた個人情報保護委員会の今後の取組(案)

・2020.06.14 個人情報保護委員会からのお知らせ:改正個人情報保護法の公布他

・2020.06.07 改正個人情報保護法が成立

・2020.06.05 内閣官房 個人情報保護制度の見直しに関するタスクフォース 個人情報保護制度の見直しに関する検討会委員 第2回(個人情報保護制度見直しの基本的な方向性(案)について)

 

| | Comments (0)

2021.05.19

英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての意見募集

こんにちは、丸山満彦です。

世の中、デジタル改革 (DX) とか言われ、企業におけるビジネス、政府の国民等へのサービスにITが当たり前のこととして利用されております。ITの利用も、社会全体としてクラウド+インターネット+個人端末+各種センサーといったようにそれこそ社会の隅々まで入り込んでいっている感じです。

ということで、ここの要素だけでなく、システム全体としての安全をどのようにして担保するのか、重要性が増してきているのでしょうね。。。

英国が、ITサプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての意見募集をしています。今後の日本の規制等のあり方についても参考になるかも知れませんね。。。

 

● U.K. Govenment

- Cyber Security

・2021.05.17 (press) New plans to boost cyber resilience of UK’s critical supply chains

DCMS is calling for views on a number of measures to enhance the security of digital supply chains and third party IT services.

・2021.05.17 (policy) Call for views on supply chain cyber security

本文はこちらです↓

- Department for Digital, Culture, Media & Sport: DCMS

・2021.05.17 (policy) Call for views on cyber security in supply chains and managed service providers

 

Ministerial foreword 閣僚の序文
Introduction はじめに
Open call for views 意見募集
Part 1: Supply chain risk management 第1部:サプライチェーン・リスクマネジメント
1A: Barriers to effective supplier cyber risk management 1A: 効果的なサプライヤーのサイバーリスク管理を阻むもの
1B: Supply chain cyber risk management 1B: サプライチェーンにおけるサイバーリスクマネジメント
1C: Supplier Assurance 1C: サプライヤーの保証
1D: Commercial offerings 1D: 商業提供
1E: Additional government support required 1E: 必要となる政府の追加支援
Part 2: Managed Service Providers 第2部:マネージドサービスプロバイダ
2A: The benefits and risks of Managed Service Providers 2A:マネージドサービスプロバイダーのメリットとリスク
2B: Securing the provision of managed services 2B:マネージドサービスの提供をセキュアにする
A future Managed Service Provider security framework 将来のマネージドサービスプロバイダのセキュリティフレームワーク
2C: Implementation options 2C: 実装オプション
Next steps 次のステップ
Annex 1: List of Questions 附属書1:質問リスト
Annex 2: Glossary 附属書2:用語集

 

1605137912888

| | Comments (0)

中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

こんにちは、丸山満彦です。

中国政府が、スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...  Counter Intelligenceという感じですかね。。。

平安浙江网 > 长安资讯 

・2021.04.26 反间谍安全防范工作规定

下に、この規定の根拠法?である、国家安全法、反スパイ活動法、反スパイ活動法実施規則も合わせてリンクしておきます。。。

反间谍安全防范工作规定 スパイ活動のセキュリティ対策規定
国家安全法 国家安全保障法
反间谍法 反スパイ活動法
反间谍法实施细则 反スパイ活動法実施細則

 

Photo_20210427233701

 

■ 参考

Deutsche Welle

・2021.04.27 中国公布《反间谍安全防范工作规定》

| | Comments (0)

フランス クラウドの国家戦略を発表

こんにちは、丸山満彦です。

その国のクラウド事業者を持っていないと、国家の主権の維持すら難しい時代になっていったりして、、、と思ったかどうかはわかりませんが、フランスがクラウドの国家戦略を公表しています。。。

● France Ministère de l'Économie, des Finances et de la Relance

動画です。。。(みてませんが。。。)

・2021.05.17 [Vidéo] Bruno Le Maire, Amélie de Montchalin et Cédric O ont présenté la stratégie nationale pour le Cloud

プレス発表

・[PDF] Communiqué - Le Gouvernement annonce sa stratégie nationale pour le Cloud 

フランス語なので、どうしようかと思っていたら、高橋弁護士が訳していました (^^)

 

クラウドの国家戦略

・[PDF] Dossier de presse - Le Gouvernement annonce sa stratégie nationale pour le Cloud

20210519-02652

テキストに落とせないので、読めていません。。。

 

ITリサーチ・アート

・2021.05.18 データ主権維持のための公的データの域内保存-フランスの国家クラウド戦略

| | Comments (0)

2021.05.18

欧州委員会 (研究報告書)災害リスク管理のための科学2020 備あれば憂なし

こんにちは、丸山満彦です。

欧州委員会が、災害リスク管理のための科学2020 (Science for Disaster Risk Management 2020: Acting Today, Protecting Tomorrow) という報告書を公表していますね。。。2017年の報告書(Science for Disaster Risk Management 2017: Knowing Better and Losing Less)に続くものです。災害リスク管理に焦点を当てているようですね。。。

600ページ以上です。。。ケーススタディーがいくつかかるのですが、福島原発の放射能漏洩事故もあげられていますね。。。

 

European Commission - Joint Reserch Centre

・2021.05.17 Science for Disaster Risk Management 2020: Acting Today, Protecting Tomorrow

 

Science for Disaster Risk Management 2020 災害リスク管理のための科学 2020
Abstract: Following the previous Report, Science for DRM 2017: knowing better and losing less, the current Report will approach the Disaster Risk Management cycle through the potential impacts suffered by several assets at risk, such as population, the environment and critical infrastructures, among others. The focus is then on the asset at risk, emphasizing the causes and drivers that lead them to be exposed and vulnerable to different threats and hazards. The information provided would be accompanied with good practices and case studies that are relevant for European stakeholders. The idea behind these is to illustrate best practices and ways to manage risk and to promote the use of research results . 概要:前回の報告書「災害リスク管理のための科学2017:よく知れば、失うものは少ない」に続き、今回の報告書では、人口、環境、重要なインフラなど、リスクにさらされているいくつかの資産が受ける潜在的な影響を通して、災害リスク管理のサイクルにアプローチします。そして、リスクにさらされている資産に焦点を当て、さまざまな脅威や危険にさらされたり、脆弱になったりする原因や要因を強調しています。提供された情報には、欧州のステークホルダーに関連するグッドプラクティスやケーススタディが添えられています。これらの背景には、リスクを管理するためのベストプラクティスや方法を示し、研究成果の利用を促進するという考えがあります。

・[PDF] Entire Document (60Mb)

20210518-113103

 

・[PDF] Exective Summary

20210518-113253


Entire Documentの目次

FOREWORD 序文
PREFACE 前書き
DISASTER RISK MANAGEMENT KNOWLEDGE CENTRE 災害リスク管理知識センター
SHORT EXECUTIVE SUMMARYCONTENTS 内容の要約
1. Introduction  1. はじめに
References 参考文献
2. Integrating the risk management cycle 2. リスクマネジメントサイクルの統合
Introduction はじめに
2.1 Risk assessment 2.1 リスクアセスメント
2.2 Risk management planning 2.2 リスクマネジメントの計画
2.3 Implementing risk management measures 2.3 リスクマネジメント対策の実施
Conclusions おわりに
References 参考文献
3. Assets at risk and potential impacts 3. リスクのある資産と潜在的な影響
3.1 Methodologies for disaster impact 3.1 災害の影響に関する方法論
References 参考文献
Super Case Study 1. Earthquakes in Central Italy in 2016-2017 スーパーケーススタディ1. 2016-2017年にイタリア中部で発生した地震
3.2 Population 3.2 人口
Introduction はじめに
3.2.1 Threat to life 3.2.1 生活への脅威
3.2.2 Threat to housing and habitat 3.2.2 住宅・生息地への脅威
3.2.3 Threat to society 3.2.3 社会への脅威
Conclusions おわりに
References 参考文献
Super Case Study 2. Fukushima Daiichi accident in 2011 スーパーケーススタディ2. 2011年の福島第一原発事故
3.3 Economic sectors 3.3 経済分野
Introduction はじめに
3.3.1 Residential sector 3.3.1 住宅部門
3.3.2 Agriculture 3.3.2 農業分野
3.3.3 Industry and energy  3.3.3 産業・エネルギー 
Conclusions おわりに
References 参考文献
Super Case Study 3. Eyjafjallajökull eruption in 2010 スーパーケーススタディ3. 2010年のEyjafjallajökullの噴火
3.4 Critical infrastructures 3.4 重要インフラ
Introduction はじめに
3.4.1 Emergency infrastructure and facilities 3.4.1 緊急時のインフラと施設
3.4.2 Network infrastructures 3.4.2 ネットワーク・インフラストラクチャー
3.4.3 Core industrial and energy facilities 3.4.3 産業・エネルギーの中核施設
3.4.4 Communication systems 3.4.4 通信システム
Conclusions おわりに
References 参考文献
Super Case Study 4. Forest fires in Portugal in 2017 スーパーケーススタディ 4. 2017年にポルトガルで発生した森林火災
3.5 Environment and ecosystem services 3.5 環境と生態系サービス
References 参考文献
Super Case Study 5. COVID - 19 emergency スーパーケーススタディ5. COVID - 19の緊急事態
3.6 Cultural heritage 3.6 文化遺産
References 参考文献
4. Communicating risk among all 4. 全員でリスクを共有する
Introduction はじめに
4.1 Linking actors, sectors and governance levels 4.1 アクター、セクター、ガバナンスレベルの連携
4.2 Citizen participation and public awareness 4.2 市民参加と国民の意識
4.3 Integrating tools for prevention and response communication systems 4.3 予防と対応のコミュニケーションシステムのためのツールの統合
Conclusions おわりに
References 参考文献
Super Case Study 6: Education, cultural inclusion and disasters: lessons from Greece, the United Kingdom and Central Europe スーパーケーススタディ6:教育、文化的インクルージョンと災害:ギリシャ、イギリス、中欧からの教訓
5. Transferability of knowledge and innovation across the world 5. 知識とイノベーションの世界への移転性
References 参考文献
6. Conclusions and final recommendations 6. 結論と最終提言
ACKNOWLEDGEMENTS 謝辞
Contributors by chapter 章ごとの貢献者

 

2017年の時の...

Science for Disaster Risk Management 2017

・[PDF] Entire Document (89Mb)

20210518-132910

 

・[PDF] Executive Summary

20210518-132241

 

| | Comments (0)

世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

こんにちは、丸山満彦です。

このタイミングで、世界経済フォーラム (WEF)が石油・ガス産業におけるサイバーレジリエンス- 取締役と執行役のためのプレイブックを公表していますね。。。

World Economic Forum: WEF

・2021.05.17 Cyber Resilience in the Oil and Gas Industry: Playbook for Boards and Corporate Officers

Cyber Resilience in the Oil and Gas Industry: Playbook for Boards and Corporate Officers 石油・ガス産業におけるサイバーレジリエンス - 取締役と執行役のためのプレイブック
To help the energy industry improve its resilience against cyber risk, the World Economic Forum has convened over 40 senior executives to establish a blueprint for evaluating cyber risk across the oil and gas industry. This White Paper is the result of their in-depth discussions to illuminate the industry’s best practices and create new solutions for corporate leaders to address cyber risk. It presents six principles to help boards at oil and gas companies govern this risk and strengthen their organization’s cyber resilience. Adopting them will support the industry in its efforts to continue delivering safe, affordable and low-carbon energy for decades to come. 世界経済フォーラムは、エネルギー業界がサイバーリスクに対する耐性を向上させるために、40人以上の経営幹部を招集し、石油・ガス業界全体のサイバーリスクを評価するための青写真を作成しました。この白書は、業界のベストプラクティスを明らかにし、企業のリーダーがサイバーリスクに対処するための新たなソリューションを生み出すために、彼らが行った綿密な議論の結果として作成されました。この白書では、石油・ガス会社の取締役会がこのリスクを管理し、組織のサイバーレジリエンスを強化するための6つの原則を提示しています。これらの原則を採用することで、石油・ガス業界は、今後何十年にもわたって、安全で安価な低炭素エネルギーを提供し続けることができます。

・[PDF

20210518-11907

Foreword 序文
Executive summary エグゼクティブサマリー
1 Introduction 1 はじめに
2 How to use this playbook 2 このプレイブックの使い方
3 Cyber-resilience principles for oil and gas industry boards 3 石油・ガス産業の取締役会のためのサイバーレジリエンスの原則
4 Implementing the oil and gas principles 4 石油・ガス原則の実施
5 Conclusion 5 結論
Appendix A: General cyber-resilience principles for boards 附属書 A: 取締役会のための一般的なサイバーレジリエンスの原則
Appendix B: How to operationalize the principles 附属書 B: 原則を運用する方法
Appendix C: Taxonomy 附属書 C: 用語
Appendix D: Cyber Resilience in Oil and Gas Strategy and Culture Working Group 附属書 D:石油・ガス業界におけるサイバーレジリエンス戦略・文化ワーキンググループ
Contributors 貢献者
Endnotes エンドノート

テキストだけ仮訳[DOCX]しました・・・

 


■ 参考

事故

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

高橋弁護士のブログは大変参考になります。。。

● ITリサーチアート

・2021.05.17 パイプライン攻撃事件の法的論点 (「Good wife」の予言-犯罪者サイトのテイクダウン/ハックバック/ビットコインの押収?) -Colonial Pipeline事件

・2021.05.16 パイプライン攻撃事件の法的論点 (支払うべきか、支払わざるべきか、それが問題だ) -Colonial Pipeline事件

・2021.05.14 パイプライン攻撃事件の法的論点(国家責任・デューディリジェンス)-Colonial Pipeline事件

 

世界経済フォーラム関係

・2021.04.25 世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

・2021.04.08 世界経済フォーラム Global Technology Governance Summit

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

| | Comments (0)

2021.05.17

Interpol 英国の資金でアフリカのサイバー犯罪と戦うためのイニシアティブを始めた

こんにちは、丸山満彦です。

Interpolは英国の資金でアフリカのサイバー犯罪と戦うためのイニシアティブを始めたようですね。。。サイバー犯罪関係なので、シンガポールということになりますね。。。

Interpol

・2021.05.12 (news) INTERPOL launches initiative to fight cybercrime in Africa - New INTERPOL desk targets cybercriminals and Internet fraud in Africa

SINGAPORE – INTERPOL is creating a new cybercrime operations desk with UK funding to boost the capacity of 49 African countries to fight cybercrime.

The Africa desk will help shape a regional strategy to drive intelligence-led coordinated actions against cybercriminals and support joint operations.

プロジェクトの概要はこちらです。。。

AFJOC - African Joint Operation against Cybercrime

このプロジェクトは、

2021.03.08-2023.02.28までの約2年間。予算は、2.9百万ポンド(約4.5億円)

成果物として予定されているものは、次のようですね。。。


The major deliverables of the project will be: このプロジェクトの主な成果物は以下の通りです。
Framework: The desk will collaborate with the member countries to form a framework for a coordinated response to cybercrimes that will establish work processes that law enforcement agencies in Africa can continue to adopt beyond the life of the project. 枠組み:当デスクは、メンバー国と協力して、サイバー犯罪への協調的な対応のための枠組みを作り、アフリカの法執行機関がプロジェクト終了後も継続して採用できる作業プロセスを確立する。
Intelligence: An Africa Cybercrime Threat Assessment will be published annually that will inform stakeholders of the key threats and consolidate regional knowledge. インテリジェンス:アフリカのサイバー犯罪脅威評価を毎年発表し、主要な脅威を関係者に伝え、地域の知識を集約する。
Operations: Specific operations will be run on a regional and intra-regional level to collectively address the cyber threats based on actionable intelligence. オペレーション:実行可能なインテリジェンスに基づいてサイバー脅威に総合的に対処するため、地域および地域内レベルで特定のオペレーションを実施する。
Campaigns: Information awareness campaigns will address the threats at the public level. キャンペーン:一般市民レベルで脅威に対処するために情報啓発キャンペーンをする。

 

■ 参考

アフリカ関係

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.17 INTERPOLが「アフリカのオンライン犯罪は表のインターネットからダークウェブに」という報告書を出していますね。。。

・2020.07.07 INTERPOLが「急成長しているアフリカのモバイルマネー業界に犯罪者が深く広く入り込んでいる」という報告書を出していますね。。。

 

その他のインターポール X サイバーセキュリティ関係

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.10.30 Interpol / Council of Europe: Guide for Criminal Justice Statistics on Cybercrime and Electronic Evidence サイバー犯罪・電子証拠に関する刑事司法統計のガイド

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

 

2552553474_transparenttruevaluelogopngin

 

 

| | Comments (0)

個人情報保護委員会 令和3年度活動方針

こんにちは、丸山満彦です。

個人情報保護委員会が、令和3年度活動方針を公表していますね。。。

「2枚にまとめてください」と言われて、字を小さくして、行間を詰めただけような感じがしないわけでもない。。。

 

個人情報保護委員会

・2021.05.14 令和3年度活動方針を公表しました。

[PDF【概要】令和3年度 個人情報保護委員会活動方針

20210516-152221

[PDF] 令和3年度 個人情報保護委員会活動方針


目次です。。。

Ⅰ.令和2年度における委員会の取組
1.個人情報保護法関係
(1)いわゆる3年ごと見直し
(2)個人情報保護制度の一元化
(3)個人情報保護法に基づく監督等
(4)個人情報保護法に基づく個人情報等の利活用等
(5)国民からの相談・苦情等への対応
(6)国民の正しい理解のための広報活動

2.マイナンバー法関係
(1)マイナンバー法に基づく監視・監督等
(2)特定個人情報の適正な取扱いの確保に向けた取組
(3)国民からの相談・苦情等への対応

3.国際協力
(1)信頼性のある個人データ流通のための国際的な枠組み構築に向けた取組の推進
(2)情報通信技術の進展等を踏まえた個人データ保護の在り方に関する国際的な議論への参画
(3)地域別対話
(4)国内事業者による国際的な活動に資する情報の発信

4.新型コロナウイルス感染症に係る対応
(1)個人情報保護法関係
(2)マイナンバー法関係
(3)国際協力関係

Ⅱ.令和3年度における委員会の取組
1.基本的な考え方
(1)個人情報保護法関係
(2)マイナンバー法関係
(3)国際協力

2.具体的な取組
(1)個人情報保護法関係
(2)マイナンバー法関係
(3)国際協力
(4)共通事項


ワードにもしてみました。。。

[DOCX]

 

| | Comments (0)

2021.05.16

U.K. NCSC 早期警戒サービスを提供開始

こんにちは、丸山満彦です。

U.K. National Cyber Security Centreが早期警戒 (Early Warning) サービスを提供開始しましたね。。。このサービスに登録すると、ネットワークに影響を与えるマルウェアや脆弱性についての連絡が来るようですね。。。サービスは無料で、このサービスは他のサービスを保管するサービスなので、これだけで満足しないでね。。。ということのようです・・・

U.K. National Cyber Security Centre: NCSC

・2021.05.11 (information) The NCSC's Early Warning service

Early Warning helps organisations investigate cyber attacks on their network by notifying them of malicious activity that has been detected in information feeds.


サービス内容は、、、

Incident Notifications - Activity that suggests an active compromise of your system. インシデント通知 - 登録者のシステムへの積極的な侵害を示唆する活動
Example: Your IP address has been involved in a DDOS attack. 例:IPアドレスがDDOS攻撃の対象となっています。
Network Abuse Events - Indicators that your assets have been associated with malicious activity. ネットワーク不正使用イベント - 登録者の資産が悪意のある活動に関連付けられたことを示す指標
Example: A client on your network is a part of a Botnet. 例:ネットワーク上のクライアントがボットネットの一部となっています。
Vulnerability Alerts - Indications of vulnerable services running on your assets. 弱性警告 - 登録者の資産上で実行されている脆弱なサービスを示す。
Example: You have a vulnerable port open. 例:脆弱なポートが開いています。

 

説明のビデオ(YouTube)

https://youtu.be/Fi6G22a9ras

20210516-141720

サービス登録はこのページからできますね。。。

Early Warning

 

| | Comments (0)

Five Eyesについて書かれた記事

こんにちは、丸山満彦です。

日本もFive Eyes [wikipedia] に入れてもらおうという動きもあるのでしょうかね、2020年にはそういう話も新聞等で取り上げられましたね。。。

例えば、

● 日経新聞

・2020.08.14 機密共有「ファイブ・アイズ」と連携意欲 河野防衛相

河野太郎防衛相は日本経済新聞のインタビューで、米英など5カ国の機密情報共有の枠組み「ファイブ・アイズ」との連携拡大に意欲を示した。「価値観を共有している国々だ。日本も近づいて『シックス・アイズ』と言われるようになってもいい」と述べた。

EUから離脱したUKが孤立化を避けるために日本に近づいているとか、米国の知日派の議員も賛成しているとか、色々と話はあるようですね。。。

さて、Atlantic CouncilにFive Eyesに関する記事がありました。言語が重要ということもありますね。。。

 

● Atlantic Council

・2021.05.10 What would Winston do? Cooperative approaches toward securing the Five Eyes information environment by Daniel Dobrowolski, David V. Gioe, and Trey Herr

Executive summary エグゼクティブ・サマリー
Introduction はじめに
Five Eyes liaison provides a proven model for the way ahead ファイブアイズ連携は今後の方向性を示す実証済みのモデルである
Cooperative solutions 協働ソリューション
Operational collaboration with technology firms テクノロジー企業との運用連携
Civilian defense and education 民間の防衛と教育
Ongoing research to support and evolve election laws 選挙法を支え、進化させるための継続的な研究
Forward together 共に歩む

この著者のDaniel Dobrowolskiさんは3月に、別の記事も書いていますね。

Engelsberg Ideas

・2021.03.18 Five Eyes: the past, present and future of the world’s key intelligence alliance by

The Five Eyes network represents one of the closest partnerships between nation states in history - how did it come into being? And what explains its remarkable durability?

 

1_20210516085201

 

 

| | Comments (0)

U.S. FBI & CISA 国内テロリズムに関する戦略的情報評価とデータ

こんにちは、丸山満彦です。

FBI & CISAが国内テロリズムに関する戦略的情報評価とデータに関する報告書を公開していますね。。。こういう分析をしていると、ヘイトクライム等の犯罪の重要性(単に人権問題に閉じるのではなく、国益の問題としての重要性)も理解できるのかも知れませんね。。。)

● CISA

・2021.05.14 LONG AWAITED DHS & DOJ DOMESTIC TERRORISM DATA REPORT FINALLY RELEASED

● FBI

・2021.05.14 Strategic Intelligence Assessment and Data on Domestic Terrorism

As required by the National Defense Authorization Act, the FBI and Department of Homeland Security, in consultation with the Director of National Intelligence, have produced this strategic intelligence assessment on domestic terrorism, which includes a discussion of activities, certain data on domestic terrorism matters, and recommendations.

・[PDF] Strategic Intelligence Assessment and Data on Domestic Terrorism 

20210515-201403

目次です。。。

I. Overview of Reporting Requirement  I. 報告要件の概要 
II. Executive Summary  II. エグゼクティブ・サマリー 
III. Introduction  III. はじめに 
IV. Strategic Intelligence Assessment  IV. 戦略的情報評価 
Strategic Intelligence Assessment for 2017  2017年の戦略的インテリジェンス・アセスメント 
Strategic Intelligence Assessment for 2018  2018年の戦略的情報評価 
Strategic Intelligence Assessment for 2019  2019年の戦略的情報評価 
V. Discussion and Comparison of Investigative Activities  V. 調査活動の議論と比較 
Criteria for Opening, Managing, and Closing DT and IT Investigations  国内テロリズムおよび国外テロリズムに関する調査を開始、管理、終了するための基準 
Standards and Procedures for Reviewing, Prioritizing, and Mitigating DT and IT Threats  国内テロリズムおよび国外テロリズムの脅威を検討、優先順位付け、軽減するための基準と手順 
Planning, Development, Production, Analysis, and Evaluation of Intelligence and Intelligence Products Relating to DT and IT  国内テロリズムおよび国外テロリズムに関連する情報および情報製品の計画、開発、生産、分析、および評価 
Sharing of Information Relating to DT and IT  国内テロリズムおよび国外テロリズムに関連する情報の共有 
Criteria and Methodology to Identify or Assign Terrorism Classifications to FBI DT Investigations  FBIのDT捜査にテロリズムの分類を特定または割り当てるための基準と方法論 
Compliance with Privacy, Civil Rights, and Civil Liberties Policies and Protections  プライバシー、公民権、市民的自由に関する方針と保護の遵守 
Training or Resources Provided to Federal, State, Local, and Tribal Law Enforcement Agencies  連邦、州、地方、部族の法執行機関に提供されるトレーニングまたはリソース 
VI. FBI Data on Domestic Terrorism  VI. 国内テロリズムに関するFBIデータ 
Completed or Attempted DT Incidents in the United States  米国内で発生したテロ事件の件数および未遂件数 
Identification and Number of Each FBI DT Investigation  各FBI DT調査の識別と番号 
Identification of FBI DT Assessments and Investigations as a Result of a Hate Crime  ヘイトクライムの結果としてのFBIのDT評価および調査の特定 
Number of Federal Charges with a DT Nexus  国内テロリズムに関連する連邦法違反の件数 
Referrals of DT Incidents to the FBI  国内テロリズム事件のFBIへの照会件数 
DT Intelligence Products  国内テロリズムインテリジェンス情報
Number of Staff Working DT Matters  国内テオリズム問題を扱うスタッフの数 
VII. Recommendations  VII. 推奨事項 
Appendix  附属書
FBI-Designated Significant Domestic Terrorism Incidents in the United States from  米国で発生したFBI指定の重大な国内テロ事件の概要 

 

IV. Strategic Intelligence Assessment(戦略的情報評価)のここで仮訳...

 

 

Continue reading "U.S. FBI & CISA 国内テロリズムに関する戦略的情報評価とデータ"

| | Comments (0)

2021.05.15

NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

こんにちは、丸山満彦です。

NISTがIoTデバイスのセキュリティの信頼を確立するためにどうすれば良いのか?について白書のドラフトが公開され、意見募集していますね。。。

NIST - ITL - Computer Security Resource Center

・2021.05.14 White Paper (Draft) Establishing Confidence in IoT Device Security: How do we get there?

・[PDF

20210515-14529

Announcement 発表内容
The purpose of this draft paper is to start a conversation about what it means to have confidence in the cybersecurity of IoT devices used by individuals and organizations and the various ways of gaining that confidence. This paper describes the landscape of confidence mechanisms that are currently available for establishing the security of IoT devices in the marketplace.  In preparing this paper, NIST conducted extensive research on initiatives that can help to instill confidence in IoT device security and held a series of meetings with government and industry experts to glean information on the unique aspects and challenges in this space. このドラフトペーパーの目的は、個人や組織が使用するIoTデバイスのサイバーセキュリティに確信を持つことの意味と、その確信を得るための様々な方法について、会話を始めることです。本ペーパーでは、市場でIoTデバイスのセキュリティを確立するために現在利用可能な信頼性メカニズムの状況について説明しています。  本ペーパーを作成するにあたり、NISTは、IoTデバイスのセキュリティに対する信頼性の確立に役立つ取り組みについて広範な調査を行い、政府や業界の専門家と一連の会合を開いて、この分野に特有の側面や課題に関する情報を収集しました。
   
Abstract 概要
NIST conducted a review of the available alternative approaches for providing confidence in the cybersecurity of Internet of Things (IoT) devices in November 2020 through January 2021, conducting interviews with government and private sector organizations who are experts on these approaches. This white paper describes the available landscape of approaches and draws out themes commonly heard during the interviews. NISTは、2020年11月から2021年1月にかけて、モノのインターネット(IoT)機器のサイバーセキュリティに対する信頼性を提供するために利用可能な代替アプローチのレビューを実施し、これらのアプローチの専門家である政府および民間の組織にインタビューを行いました。このホワイトペーパーでは、利用可能なアプローチの状況を説明するとともに、インタビューでよく聞かれたテーマを紹介しています。

 

サイバーフィジカルシステムの信頼性の構造は次のように考えているようですね。。。

 

20210515-13732

Figure 1 - Trustworthiness of Cyber Physical Systems(サイバー・フィジカル・システムの信頼性)

 

目次です。。。

1 Introduction 1 はじめに
1.1 Background and Purpose 1.1 背景と目的
1.2 Scope 1.2 対象範囲
1.3 Intended Audience 1.3 想定される読者層
1.4 Organization 1.4 組織
2 Security of IoT Devices 2 IoTデバイスのセキュリティ
3 Confidence Mechanisms for IoT Device Security 3 IoTデバイスのセキュリティに関する信頼性のメカニズム
3.1 Sources of Confidence 3.1 信頼性の源泉
3.2 Framework for Customer Confidence 3.2 顧客の信頼感の枠組み
3.3 Benefits of Confidence in IoT Device Security 3.3 IoTデバイス・セキュリティの信頼性がもたらすメリット
4 Landscape of Non-Regulatory Confidence Mechanisms 4 規制外の信頼性メカニズムの状況
4.1 Consumer Advocacy Groups 4.1 消費者保護団体(Consumer Advocacy Groups
4.2 Industry Consortia (Trade Associations and Business Advocacy Groups) 4.2 業界コンソーシアム(業界団体や企業の擁護団体
4.3 Third Party Confidence Mechanisms 4.3 第三者による信頼性向上のための仕組み
5 Landscape of Policy-Based Confidence Mechanisms 5 政策的信頼性メカニズムの状況
5.1 National Level Efforts 5.1 国家レベルの取り組み
5.2 State Government Efforts 5.2 州政府の取り組み
5.3 International Efforts 5.3 国際的な取り組み
6 Confidence Mechanisms - Discussion 6 信頼性の高いメカニズム - 考察
6.1 Emerging Themes 6.1 新たなテーマ
6.2 The Way Forward 6.2 進むべき道
References 参考文献
Appendix A— Conformity Assessment 附属書A-適合性評価
A.1 Requirements A.1 要求事項
A.2 Determination A.2 判定
A.3 Attestation A.3 証明
A.4 Surveillance A.4 調査
A.5 Examples of Existing Conformity Assessment Programs A.5 既存の適合性評価プログラムの例
List of Figures 図の一覧
Figure 1 - Trustworthiness of Cyber Physical Systems 図1 - サイバー・フィジカル・システムの信頼性
Figure 2: Framework for Customer Confidence 図2:顧客信頼感の枠組み
Figure 3: Conformity Assessment Components 図3:適合性評価の構成要素

 


■ 参考

NIST Cyber​​security for IoT Program

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.25 英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2021.01.29 Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

2020.11.19 2020年IoT膨迫改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

| | Comments (0)

U.S. Rand研究所 拡張性のある警告・回復モデル(SWARM) - サイバースペースにおける防御側の予測能力の強化

こんにちは、丸山満彦です。

Rand研究所が、「拡張性のある警告・回復モデル(SWARM) - サイバースペースにおける防御側の予測能力の強化」という研究報告書を公開していますね。。。

RAND Corporation

・2021.05 RAND's Scalable Warning and Resilience Model (SWARM)

Enhancing Defenders' Predictive Power in Cyberspace

この4つのステップでインテリジェンスベースの防御を考えるということですね。。。

20210514-161535

パワーポイントです。。。[PPTX]

 

さて、報告書です。。。

・[PDF]

20210514-153727

Preface 序文
Figures and Tables 図と表
Summary まとめ
Acknowledgments 謝辞
Abbreviations 省略記号
CHAPTER ONE
Introduction, Research Methodology, and Historical Evolution of Concepts
第1章
はじめに、研究方法、概念の歴史的変遷
Research Methodology and Report Organization 調査方法と報告書の構成
History and Evolution of Indications and Warning Frameworks in the USIC USICにおける指標と警告のフレームワークの歴史と進化
Main Definitions of I&W Frameworks I&Wフレームワークの主な定義
History and Evolution of the Concept of Resilience レジリエンスの概念の歴史的変遷
CHAPTER TWO
Indications and Warning Frameworks
第2章
指標と警告のフレームワーク
CHAPTER THREE
RAND’s Scalable Warning and Resilience Model at a Glance
第3章
ランド研究所の拡張性のある警告・回復モデルの概要
CHAPTER FOUR
SWARM Step One: Identify Relevant Cyber Adversaries
第4章
SWARMステップ1:関連するサイバー敵対者を特定する
Identify Organization Type to Be Protected 保護すべき組織のタイプを特定する
Categorizing Cyber Threat Classes サイバー脅威のクラスを分類する
Identifying the Main Cyber Threat Classes Targeting an Organization 組織を標的とする主なサイバー脅威クラスの特定
CHAPTER FIVE
SWARM Step Two: Focus All-Source Intelligence Collection
第5章
SWARMステップ2:あらゆる情報を収集する
Technical CTI Collection 技術的なCTIの収集
Nontechnical OSINT Collection and Analysis 非技術的なOSINTの収集と分析
CHAPTER SIX
SWARM Step Three: Apply a Threat Model
第6章
SWARMステップ3.脅威モデルを適用する
CHAPTER SEVEN
SWARM Step Four: Adversary Emulation
第7章
SWARMステップ4 敵対者をまねる
CHAPTER EIGHT
Case Study: Applying SWARM to Predict Phishing Campaigns from the North Korea–Nexus Kimsuky Threat Actor
第8章
ケーススタディ:SWARMを適用して、北朝鮮と関係のあるKimsuky脅威アクターからのフィッシング・キャンペーンを予測する
Step One Applied—Identify Relevant Cyber Adversaries ステップ1 応用 - 関連するサイバー敵対者を特定する
Step Two Applied—Focus All-Source Intelligence Collection ステップ2 応用 - あらゆる情報を収集する
Step Three Applied—Apply a Threat Model ステップ3 応用 - 脅威モデルを適用する
Step Four Applied—Adversary Emulation ステップ4 応用 - 敵対者をまねる
CHAPTER NINE
Conclusion
第9章
結論
References 参考文献

 

まだ、読んでいませんが、興味深そうな報告書です。。。

 

 

 

Continue reading "U.S. Rand研究所 拡張性のある警告・回復モデル(SWARM) - サイバースペースにおける防御側の予測能力の強化"

| | Comments (0)

2021.05.14

Cloud Security Alliance 災害復旧 as a Serviceのガイド

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がDisaster Recovery as a Service (DRaaS) のガイドを公表していますね。。。

いつもながら、CSAの発行するものは興味深いですね。。。そしてこれからクラウドサービスが中心となるのでますますCSAは重要となってきますね。。。

ところで、サンマイクロのSun Modular Datacenterも[wikipedia] ってDRaaSに含まれるんですかね。。。ウィキペディアのDisaster Recoveryの中のDRaaS[日本語, English]ではDRaaSの一つとして紹介されていますね。。。もちろん定義次第ですが。。。

 

Cloud Security Alliance: CSA

・2021.05.13 Disaster Recovery as a Service

・[PDF]は簡単な質問に答えると入手できます。

20210514-63451

 

Key Takeaways: 要点
The proper division of shared responsibilities between the cloud provider and the cloud customer for different DRaaS services 異なるDRaaSサービスにおけるクラウド事業者とお客様との間の責任分担の適切な方法
The features, advantages, and disadvantages of four architectural models: one non-DRaaS model (in-house own data center no cloud) and three DRaaS models (in-house own data center with cloud, hybrid cloud, and multi-cloud) 4つのアーキテクチャモデルの特徴、メリット、デメリット:
非DRaaSモデル(自社データセンターでクラウドなし)、DRaaSモデル(自社データセンターでクラウドあり、ハイブリッドクラウド、マルチクラウド)。
The types of backup and disaster recovery services バックアップとディザスタリカバリサービスの種類
Which best practice considerations should be addressed to ensure that DRaaS Services are secure, including usable checklists DRaaSサービスの安全性を確保するために、どのようなベスト・プラクティスを考慮すべきか(使用可能なチェックリストを含む)
The most significant benefits of DRaaS services and why you should use them as part of your disaster recovery plan DRaaSサービスの最も重要な利点と、ディザスタリカバリ計画の一環としてDRaaSサービスを利用すべき理由
The definitions of different cloud architectures from multiple sources including NIST, ISO, and IBM NIST、ISO、IBMを含む複数のソースによる異なるクラウドアーキテクチャの定義

 

目次です。

1. Introduction 1. はじめに
1.1 Purpose 1.1 目的
1.2 Goal 1.2 目標
1.3 Scope 1.3 範囲
1.4 Target Audience 1.4 想定読者
2. Architectures 2. アーキテクチャー
2.1 In-House Own Data Center No Cloud 2.1 自社データセンター(クラウドなし)
2.2 In-House Own Data Center with Cloud 2.2 自社内データセンター(クラウドあり)
2.3 Hybrid Cloud 2.3 ハイブリッドクラウド
2.4 Multi-Cloud 2.4 マルチクラウド
3. Services 3. サービス
3.1 Object-Level Storage for Backups 3.1 オブジェクトレベルのバックアップ用ストレージ
3.2 Block/Volume-Level Storage for Backups 3.2 ブロック/ボリュームレベルのバックアップ用ストレージ
3.3 PaaS – Replicated Database Instances 3.3 PaaS - 複製されたデータベースインスタンス
3.4 IaaS – Replicated OS Instances 3.4 IaaS - 複製されたOSインスタンス
3.5 PaaS – Application Failover 3.5 PaaS - アプリケーション・フェイルオーバー
3.6 SaaS – Replicated File-Level Storage for Clients/Hosts Backups 3.6 SaaS - クライアント/ホストのバックアップ用ファイルレベル・ストレージの複製
3.7 Cloud-Based Systems Recovery 3.7 クラウドベースのシステム復旧
3.8 DR and Backup as Cloud Service 3.8 クラウドサービスとしてのDRとバックアップ
3.9 DR and Backup for Physical Environmental Level 3.9 物理的環境レベルでのDRとバックアップ
3.10 SaaS – Replicated File-Level Storage for File Shares 3.10 SaaS - ファイル共有のための複製されたファイルレベル・ストレージ
3.11 SaaS – Data Export 3.11 SaaS - データエクスポート
3.12 IAM – Leveraging Federated Identities 3.12 IAM - Federated Identitiesの活用
3.13 Recovery as a Service 3.13 サービスとしてのリカバリー
3.14 Traditional Non-Cloud Systems Recovery as a Service 3.14 従来の非クラウド型システムのサービスとしての復旧
3.15 Disaster Recovery and Backup using Distributed Metadata 3.15 分散型メタデータを用いた災害復旧とバックアップ
3.16 Disaster Recovery in the Cloud 3.16 クラウドにおける災害復旧
4. Best Practice Considerations 4. ベストプラクティスに関する検討事項
4.1 Replication of Files and Data 4.1 ファイルとデータの複製
4.2 Service Level Agreements (SLAs) 4.2 サービスレベルアグリーメント(SLA)
4.3 Data Privacy 4.3 データプライバシー
4.4 Data Protection/Encryption 4.4 データ保護/暗号化
4.5 Segregation of Duties (SOD) 4.5 権限分離(SOD
4.6 Access Controls 4.6 アクセス制御
4.7 CSP Resilience 4.7 CSP の耐障害性
4.8 Metadata Retention, Separation, and Protection 4.8 メタデータの保持、分離、および保護
4.9 Licensing 4.9 ライセンス
4.10 Migration 4.10 マイグレーション
4.11 Failover 4.11 フェイルオーバー
4.12 Clustering 4.12 クラスタリング
4.13 Services Already Hosted in the Cloud 4.13 クラウドで既にホストされているサービス
4.14 In-House “Traditional” Non-Cloud Services 4.14 クラウドではない自社の「従来型」サービス
4.15 Traditional On-Premises Infrastructure to the Cloud 4.15 従来のオンプレミスのインフラをクラウドへ
4.16 Cloud Service to Cloud Service 4.16 クラウドサービスからクラウドサービスへ
4.17 Ransomware 4.17 ランサムウェア
4.18 Requirements, Manual Workarounds/Alternate Processes 4.18 要件、手動による回避策/代替プロセス
5. Benefits 5. メリット
6. Conclusion/Summary 6. 結論・まとめ
7. References 7. 参考文献
8. Acronyms 8. 頭字語
9. Glossary 9. 用語集
Appendix 1 – NIST Definitions of Cloud Architectures 附属書1 - NISTによるクラウドアーキテクチャーの定義
Appendix 2 - ISO Definitions of Cloud Architectures 附属書2 - ISOによるクラウドアーキテクチャーの定義
Appendix 3 - IBM Definitions of Cloud Architectures 附属書3 - IBMによるクラウドアーキテクチャーの定義
Appendix 4 – Definitions of Multi-Cloud Architectures 附属書4 - マルチクラウドアーキテクチャの定義

 

| | Comments (0)

2021.05.13

米国 国家のサイバーセキュリティ向上に関する大統領令

こんにちは、丸山満彦です。

サイバーセキュリティ戦略本部で次のサイバーセキュリティ戦略の骨子が議論されていて、その会議用の資料が公開されていますが、こっちの方が差し迫って重要かもしれませんね。。。(遠からず日本にも影響が来るということも考えると...。)知らんけど。。。

気になっていたのですが、やはりSBOM(Software Bill of Materials)ソフトウェア部品表が入ってきましたね。。。食品の成分表示のようなもの、、、ということですね。。。

ゼロ・トラスト・アーキテクチャーの導入は強調されていますね。。。

そして、インテリジェンスも含めて組織の壁を超えて情報共有の強化しろと。。。

日本政府でもこれからしないといけないと思われる脅威+脆弱性についての継続監視。。。

そして、当然、インシデント対応能力の向上。。。

できるのかどうかは知りませんが、レベルの高いことを言ってきていますね。。。(攻撃者のレベルが高いですから仕方ないですね。。。)

 

The White House

・2021.05.12 Executive Order on Improving the Nation’s Cybersecurity

Federal Register

・2021.05.12 Improving the Nation's Cybersecurity (EO) 14028 



 

Executive Order on Improving the Nation’s Cybersecurity 国家のサイバーセキュリティの向上に関する大統領令
Section 1.  Policy.   第1条  方針
Sec. 2.  Removing Barriers to Sharing Threat Information. 第2条  脅威情報を共有するための障害を取り除く
Sec. 3.  Modernizing Federal Government Cybersecurity. 第3条  連邦政府のサイバーセキュリティの近代化
Sec. 4.  Enhancing Software Supply Chain Security.  第4条  ソフトウェア・サプライチェーン・セキュリティの強化 
Sec. 5.  Establishing a Cyber Safety Review Board. 第5条  サイバー安全審査会の設置
Sec. 6.  Standardizing the Federal Government’s Playbook for Responding to Cybersecurity Vulnerabilities and Incidents.   第6条  サイバーセキュリティの脆弱性とインシデントに対応するための連邦政府のプレイブックの標準化
Sec. 7.  Improving Detection of Cybersecurity Vulnerabilities and Incidents on Federal Government Networks.   第7条  連邦政府のネットワークにおけるサイバーセキュリティの脆弱性およびインシデントの検出の改善
Sec. 8.  Improving the Federal Government’s Investigative and Remediation Capabilities.   第8条  連邦政府の調査能力および修復能力の向上
Sec. 9.  National Security Systems. 第9条  国家安全保障システム
Sec. 10.  Definitions.   第10条  用語の定義 
Sec. 11.  General Provisions.   第11条  一般規定

1_20210513174901

 

全文の仮訳。。。

 

Continue reading "米国 国家のサイバーセキュリティ向上に関する大統領令"

| | Comments (0)

サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

こんにちは、丸山満彦です。

サイバーセキュリティ戦略本部の会議が今朝開催されたのですが、次期サイバーセキュリティ戦略の骨子が公表されていますね。。。

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.05.13 第28回会合

 ・[PDF] 報道発表資料 

 ・[PDF] サイバーセキュリティ研究開発戦略(改訂) 

 

次期サイバーセキュリティ戦略(骨子)の概要

20210513-115731

 


■ 参考

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ UKの場合

● National Cyber Security Cntre

・2016.11.01 (Policy paper) National Cyber Security Strategy 2016 to 2021

The National Cyber Security Strategy 2016 to 2021 sets out the government's plan to make Britain secure and resilient in cyberspace.

・[PDF] National Cyber Security Strategy 2016 to 2021

20210513-131213

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

選略全文

・2016.12.27 国家网络空间安全战略

・英語訳

・2016.12.27 National Cyberspace Security Strategy

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch





■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

| | Comments (0)

UK NCSC スマートシティを安全に設計、管理、構築する方法を示す一連の原則

こんにちは、丸山満彦です。

UK NCSCがスマートシティを安全に設計、管理、構築する方法を示す一連の原則を発表していましたね。。。この原則、スマートシティーの開発等に関わる国、自治体を主な対象としているようです。。。

U.K. National Cyber Security Centre: NCSC

・2021.05.07 (news) Cyber experts set out blueprint to secure smart cities of the future

The NCSC has published a set of principles outlining how to securely design, manage and build smart cities.

ガイダンスはこちら

・2021.05.07 (guidance) Connected Places Cyber Security Principles

Secure design, build and management of public realm technology, infrastructure, and data-rich environments for local authorities.

 

・[PDF] Connected Places Cyber Security Principles

20210513-70802

 

Connected Places Cyber Security Principles 接続された場 サイバーセキュリティ原則
About the connected place principles 接続された場の原則について
Understanding your connected place 接続された場の理解
#1 Understanding your connected place and the potential impacts #1 接続された場とその潜在的影響の理解
#2 Understanding the risks to your connected place #2 接続された場のリスクの理解
#3 Understanding cyber security governance and skills #3 サイバーセキュリティのガバナンスとスキルの理解
#4 Understanding your suppliers' role within your connected place #4 接続された場におけるサプライヤーの役割の理解
#5 Understanding legal and regulatory requirements #5 法律および規制要件の理解
Designing your connected place 接続された場の設計
#6 Designing your connected place architecture #6 接続された場のアーキテクチャの設計
#7 Designing your connected place to reduce exposure #7 露出を減らすための接続された場の設計
#8 Designing your connected place to protect its data #8 データを保護するための接続された場の設計
#9 Designing your connected place to be resilient and scalable #9 弾力性と拡張性を備えた接続された場の設計
#10 Designing your connected place monitoring #10 接続された場のモニタリングを設計する
Managing your connected place 接続された場の管理
#11 Managing your connected place's privileges #11 接続された場の特権の管理
#12 Managing your connected place's supply chain #12 接続された場のサプライチェーンの管理
#13 Managing your connected place throughout its life cycle #13 ライフサイクルを通じた接続先の管理
#14 Managing incidents and planning your response and recovery #14 インシデントの管理、対応と回復の計画
   
Note: Within this document, the terms connected place, public realm technology and data-rich environments cover the wider connected infrastructure, including local areas where data is collected through sensors and Internet of Things (IoT) devices. Within these connected areas, this guidance supports singular or multiple service functions. Such examples could include: 注:本書では、接続された場、公共領域で利用する技術、大量データ環境という用語は、センサーやIoTデバイスを通じてデータが収集されるローカルエリアを含む、より広い接続されたインフラを対象としています。これらの接続されたエリアにおいて、本ガイダンスは単一または複数のサービス機能を支援します。そのような例としては、以下のようなものが考えられます。
traffic light management 交通信号管理
CCTV CCTV
waste management 廃棄物管理
streetlight management 街路灯管理
parking management 駐車場管理
transport services 輸送サービス
public services (such as health/social care, or emergency services) 公共サービス(医療・社会福祉、緊急サービスなど)

Connected Placesという言葉って日本語で表現しようとするとどうすればわかりやすいですかね。。。

 


■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.26 総務省 意見募集 「スマートシティセキュリティガイドライン(第2.0版)」(案)

・2021.02.26 IoT対応のスマートシティにおけるセキュリティとプライバシー:課題と将来の方向性 (IEEE Security & Privacy)

・2021.02.02 ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities(プライバシー保護- スマートシティーのためのプライバシーガイドライン

| | Comments (0)

中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260が、顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準を発表し、意見募集していますね。。。

地道なことを着々と進めていますね。。。いずれ国際標準に提案していくのでしょうかね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) 情報セキュリティ標準化技術委員会

2021.05.12 国家标准《信息安全技术 基因识别数据安全要求》 国家標準「情報セキュリティ技術 遺伝子識別データセキュリティ要件」 DOCX
2021.04.28 国家标准《信息安全技术 声纹识别数据安全要求》 国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件 DOCX
2021.04.28 国家标准《信息安全技术 步态识别数据安全要求》 国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件 PDF
2021.04.23 国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件 DOCX

 

前言 序文
1 范围 1 範囲
2 规范性引用文件 2 標準からの引用文献
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 概述 5 概要
5.1 文件结构 5.1 ドキュメントの構造
5.2 基因识别数据及关联信息相关活动 5.2 遺伝的に識別可能なデータおよびリンクされた情報に関連する活動
5.3 基因识别数据及关联信息应用场景 5.3 遺伝的に識別可能なデータとリンク情報の適用シナリオ
6 基本安全要求 6 基本的なセキュリティ要件
7 安全处理要求 7 セキュリティ処理要件
7.1 通用要求 7.1 一般要求事項
7.2 个体服务场景安全要求 7.2 サービスシナリオ別のセキュリティ要件
7.3 研究开发场景安全要求 7.3 研究開発シナリオにおけるセキュリティ要件
7.4 其他场景安全要求 7.4 その他のシナリオにおけるセキュリティ要件
8 安全管理要求 8 セキュリティ管理の要件
附录A(资料性附录)基因识别数据各场景的典型活动 附属書A(参考情報) 遺伝子組み換えデータのシナリオごとの典型的な活動内容
附录B(资料性附录)基因识别数据各场景下的实体类型 附属書B(参考情報) 遺伝的に特定されたデータの各シナリオにおけるエンティティタイプ
附录C(资料性附录)基因识别典型数据格式 附属書C(参考情報) 遺伝子認識のための典型的なデータフォーマット
C.1 概述 C.1 概要
C.2 序列数据格式 C.2 シーケンスデータフォーマット
C.3 遗传变异数据格式 C.3 遺伝的変異のデータフォーマット
附录D(资料性附录)医学服务类保存规则(摘选) 附属書D(参考情報) メディカルサービスクラス保存規定(抜粋
附录E(资料性附录)知情同意书模板示例 附属書E(参考情報) インフォームド・コンセント・フォームのテンプレート例
E.1医学服务场景知情同意书模板 E.1 医療サービスシナリオのインフォームド・コンセントのテンプレート
E.2法庭科学生物样本基因信息的鉴定服务场景知情同意书模板 E.2 生物試料から遺伝子情報を特定するための法廷科学サービスシナリオ用のインフォームド・コンセント・テンプレート
E.3消费级服务知情同意书模板 E.3 消費者向けサービスのためのインフォームド・コンセント・テンプレート
E.4研究开发场景知情同意书模板 E.4 研究開発向けシナリオのためのインフォームド・コンセント・テンプレート
E.5基因识别数据及关联信息存储(捐赠保藏)知情同意书模板 E.5 遺伝子識別データおよび関連情報の保存(寄付による保存)に関するインフォームド・コンセント・テンプレート
E.6基因识别数据及关联信息共享知情同意书模板 E.6 遺伝的識別データおよびリンクされた情報を共有するためのインフォームド・コンセント・テンプレート
参考文献 参考文献

 

1_20210513052301


 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

 

Continue reading "中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。"

| | Comments (0)

参議院 デジタル社会形成基本法案等を議決 デジタル庁設置、個人情報保護法改正、地方自治体システム標準化等。。。

こんにちは、丸山満彦です。

参議院で、デジタル社会形成基本法案等が可決されましたね。。。

参議院

・2021.05.12 デジタル社会形成基本法案等を議決

可決された法案は、

提出回次 提出番号 件名
204 26 デジタル社会形成基本法案 議案要旨 提出法律案
204 27 デジタル庁設置法案 議案要旨 提出法律案
204 28 デジタル社会の形成を図るための関係法律の整備に関する法律案 議案要旨 提出法律案
204 29 公的給付の支給等の迅速かつ確実な実施のための預貯金口座の登録等に関する法律案 議案要旨 提出法律案
204 30 預貯金者の意思に基づく個人番号の利用による預貯金口座の管理等に関する法律案 議案要旨 提出法律案
204 31 地方公共団体情報システムの標準化に関する法律案 議案要旨 提出法律案

個人情報保護法は、「デジタル社会の形成を図るための関係法律の整備に関する法律案」で改正されています。。。

(電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律の一部改正)第四十八条 第四十九条

(個人情報の保護に関する法律の一部改正)第五十条 第五十一条 

 

1200pxgoshichi_no_kiri_crest_2svg


参考

官邸 - デジタル改革

この資料が全体像がわかりやすいですかね。。。↓

官邸 - 高度情報通信ネットワーク社会推進戦略本部(IT総合戦略本部)- 開催状況 - デジタル・ガバメント分科会

・2021.03 [PDF] デジタル改革関連法案について [downloaded]

| | Comments (0)

2021.05.12

SafetyとSecurityの分断は米国でもあるんですよね。。。カーネギーメロン大学 SEI

こんにちは、丸山満彦です。

SafetyとSecurityの分断は米国でもあるんですよね。。。日本でもそういう話があるのですが、むしろそれは米国でもあるから日本でもあるということなのだろうと思います。。。なので、この話は世界的な共通の話ですね。。。

カーネギーメロン大学内にあるソフトウェアエンジニアリング協会のブログでもその点が指摘されています。。。

Carnegie Mellon University - Software Engineering Institute - blog

・2020.05.10 Integrating Safety and Security Engineering for Mission-Critical Systems by SAM PROCTER and SHOLOM COHEN

出だしはこんな感じです。。。

Critical systems must be both safe from inadvertent harm and secure from malicious actors. However, safety and security practices have historically evolved in isolation. Safety-critical systems, such as aircraft and medical devices, have long been analyzed for problems that could arise accidentally or from component degradation. They have been considered standalone systems, however, that were impervious to security issues because they had no networking capabilities. Security research, on the other hand, focused to a large extent on low-level issues (e.g., buffer overflows) and often did not make explicit connections to safety goals. There is a growing understanding that the safety and security communities are not well coordinated, and a growing recognition that this disconnect is harmful. In this blog post, we describe how research on safety and security engineering at the SEI is being applied to improve this coordination. 重要なシステムは、不注意による被害からの安全性と、悪意のある攻撃者からのセキュリティの両方が求められます。しかし、安全性とセキュリティは、これまで別々に考えられてきました。航空機や医療機器などの安全性が求められる重要なシステムは、偶発的に発生する可能性のある問題や、部品の劣化に起因する問題を長い間分析してきました。しかし、これらのシステムは、ネットワーク機能を持たないスタンドアローンのシステムと考えられており、セキュリティの問題には無縁でした。一方、セキュリティの研究は、バッファオーバーフローなどの低レベルの問題に重点が置かれており、安全性の目標との明確な関連性がないことが通常でした。このように、安全性とセキュリティの両分野がうまく連携していないことが明らかになってきており、このような断絶は有害であるという認識が高まっています。このブログの記事では、SEIの安全性とセキュリティエンジニアリングに関する研究が、この連携を改善するためにどのように応用されているかを紹介します。

今後は、AIの活用等も考慮していく必要がありますね。。。

 

Wordmarksquarered600x600

 

| | Comments (0)

ISOがDiversity and inclusionに関する人材管理についての標準 (ISO 30415) を公表していましたね。。。

こんにちは、丸山満彦です。

ISOがDiversity and Inclusionに関する人材管理についての標準 (ISO 30415:2021 Human resource management — Diversity and inclusion) を公開していますね。。。

ISO

・2021.05.04 (news) VARIETY IS THE SPICE OF SUCCESS

ここから購入できます。150スイスフランです。

・2021.05.04 ISO 30415:2021 Human resource management — Diversity and inclusion

一部はサンプルとして見ることができます。

ISO 30415:2021(en) Human resource management — Diversity and inclusion

 

Figure 1 — Organizational diversity and inclusion

Fig_1

 


Diversityは多様である状態、Includionは、全体をまとめて包み込んでいる状態なのだろうと思います。なので、ふたつをあわせると、「多様な状態のままでくるっと包み込んでいる」感じでしょうかね。。。

多様というのは、外見(男女、老若、肌の色、身長の高低、体重の軽重等)や記号的なもの(国籍、民族、人種、話す言語、学歴、婚姻関係、宗教、病気の有無等)だけでなく、考え方(政治的な信条、思想、重きをおく価値観、男女の嗜好等)も含み、むしろ本質は、考え方の多様性にあるのかもしれません。。。

組織に当てはめて考えると、マイノリティーを含む男女、国籍、民族、宗教、思想等に関わりなく多様な状態のままで、組織に受け入れられ、それぞれの特徴を生かして活躍できる状態になっていることなのだろうと思います。

国連やグローバルの政府会議でもSDGが大きく取り上げられるようになってきていることもあり、Diversity and inclusionを組織経営の重要な施策に入れている組織も多いと思います。

Diversity and inclusionを現実に実行しようとすると簡単ではありませんよね。。。特に考え方(政治的な信条、思想、重きをおく価値観、男女の嗜好等)の多様性を組織に持ち込むのはトップから現場に至るまでの知性が要求されると思います。特に、「ムラ社会」的に、自分たちと価値観が似たもの同士で組織を作り、同じ価値観を強要してきたような社会にとっては、本当の意味でのDiversity and Inclusionを根付かせるのは相当に難しいのではないかと思っています。(もちろん、女性管理職の登用の強化や、LGBT用のトイレの設置から始めても良いのですが、それで終わりという話ではダメですよね。。。)

私は子供の頃から、少し変わっていたところもあり、標準偏差の真ん中にはいなかったように感じています。。。そうだからかもしれませんが、個人的には、「熱帯雨林のジャングルのような組織」って好きなんですよね。。。「纏まっていないように見えて、実は安定的な環境」であるような。。。

この感覚って、判りますかね。。。

 

NPO デジタル・フォレンジック研究会 - コラム

・2020.02.03 第600号コラム:「デジタルフォレンジックスと多様性」

 

Continue reading "ISOがDiversity and inclusionに関する人材管理についての標準 (ISO 30415) を公表していましたね。。。"

| | Comments (0)

カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

こんにちは、丸山満彦です。

カナダのプライバシーコミッショナー (Daniel Therrien氏) が顔認識技術について議会 (Standing Committee on Access to Information, Privacy and Ethics) で見解を述べたようですね。。。

AI(機械学習)の利用により、画像データを使った顔の識別がかなり高い確率でできるようになったことから、顔認識技術の利用についてプライバシーの配慮をよりしていかなくてはならないのだろうと思います。

デジタルデータが長期的に散在的に残り続けることを考慮すると、コミッショナーの発言の通り、より長期的な視点でそのリスクを考える必要がありそうですね。

強力な道具の利用には、より強力な知性が必要となるのでしょうね。。。

Office of the Privacy Commissioner of Canada

・2021.05.10 (Announcement) Commissioner shares views on Facial Recognition Technology with Parliament

Privacy Commissioner of Canada Daniel Therrien appeared today before the Standing Committee on Access to Information, Privacy and Ethics to discuss facial recognition technology. カナダのプライバシー・コミッショナーであるダニエル・テリアンは、本日、情報公開、プライバシーおよび倫理に関する常設委員会に出席し、顔認識技術について議論しました。
In his remarks, the Commissioner noted that facial recognition technology has emerged as a powerful tool. He noted that, if used responsibly and in the right circumstances, it can offer significant benefits to society, but the technology also has the potential to be extremely privacy invasive. It can enable widespread surveillance, provide biased results, and erode privacy, freedom and other human rights. コミッショナーは発言の中で、顔認識技術が強力な道具として登場したことを指摘しました。責任を持って適切な状況で使用すれば、社会に大きな利益をもたらすことができる一方、この技術は極めてプライバシーを侵害する可能性もあると指摘しました。この技術は、広範な監視を可能にし、偏った結果をもたらし、プライバシー、自由、その他の人権を侵害する可能性があります。
Commissioner Therrien also explained that to effectively regulate facial recognition technologies, Canada needs stronger protections in its privacy laws including: a rights-based approach to privacy; meaningful accountability measures; and stronger enforcement powers and oversight mechanisms. またコミッショナーは、顔認識技術を効果的に規制するためには、カナダのプライバシー法において、プライバシーに対する権利ベースのアプローチ、意味のある説明責任の手段、より強力な執行力と監視メカニズムなど、より強力な保護が必要であると説明しました。
In particular, he noted how the OPC’s recent Clearview AI investigation highlights the need for improvements to the penalty scheme under the government’s private sector legislative reform bill.  Clearview AI collected, used and disclosed personal information without consent and for an inappropriate purpose, but the proposed new administrative penalty regime created under Bill C-11 would not apply to these and other important violations of the legislation. 特に、プライバシー委員会が最近実施したClearview AIの調査では、政府の民間部門の法制改革法案に基づく罰則制度の改善の必要性が浮き彫りになったと述べています。  Clearview AIは、同意なしに、不適切な目的で個人情報を収集、使用、開示していましたが、法案C-11に基づいて提案された新しい行政処分制度は、これらの違反やその他の重要な法律違反には適用されないからです。

 

以下の発言を読むとより真意がわかると思います。。。

・2021.05.10 (Advice to Parliament) Appearance before the Standing Committee on Access to Information, Privacy and Ethics (ETHI) on Facial Recognition Technology

こちらに仮訳しました・・・

 

あと、関連文書

Office of the Privacy Commissioner of Canada

・2021.02.03 Clearview AI’s unlawful practices represented mass surveillance of Canadians, commissioners say

・2020.10.29 Cadillac Fairview collected 5 million shoppers’ images

 

1_20210512063201

 


私のブログでも取り上げていますね。。。

 

● まるちゃんの情報セキュリティきまぐれ日記

ClearViewAI [wikipedia] についての声明については、下で説明しています。。。

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

報告書については、、、

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

 

法律、ガイドライン関係等

・2020.10.10 カナダ プライバシー法、個人データ保護と電子文書法に関する議会への報告書

・2020.08.29 カナダのプライバシーコミッショナーがIoTに関するプライバシーガイドラインを公表してました。。。

・2020.08.15 カナダのプライバシーコミッショナーが企業向けの新しいプライバシーガイドを公開

・2020.05.08 カナダ 連邦、州、地域のプライバシー委員会委員によるコンタクト・トレーシング・アプリに対するプライバシー原則についての共同声明

・2020.04.25 COVID-19 トラック・トレーシング・アプリについて米国・カナダ関連

 


 

Continue reading "カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。"

| | Comments (0)

2021.05.11

ENISA CTFの分析(^^)

こんにちは、丸山満彦です。

ENISAがCTFの分析をした報告書を公表していますね。。。CTFを設計する人には参考になると思います。。。これは面白い視点ですね。。。主要な22のCTFとトータル879のCTFの分析をしています。。。

ENISAも毎年CTF (EUROPEAN CYBER SECURITY CHALLENGE) を開催していて、今年は2021.09.28に開催予定のようですね。。。

● ENISA

・ 2021.05.10 (news) Capture-The-Flag Competitions: all you ever wanted to know!

The report reviews the current formats of Capture-The-Flag (CTF) competitions at a global scale. Find out how they operate and what experts recommend for designing such events.

・2021.05.10 (publications) CTF Events

 ・[PDF] CTF EVENTS - Contemporary Practices and State-of-the-Art in Capture-the-Flag Competitions

20210511-04436

主要なCTFとして取り上げた22のCTFは

 European Cyber Security Challenge
 Cyber Centurion - CSC UK
 ACSC-ASEAN
 Cambridge 2 Cambridge Cyber Competition
 Country 2 Country
 Cyber Challenge Italia
 Cyber Security Challenge Canada
 Cyber Security Challenge Germany
 Cyber Security Challenge SA
 DEF CON CTF
 Midnight Sun Capture the Flag (AFCEA Sweden)
 PicoCTF
 Pwn2Own
 US Cyber Challenge
 WCTF (Qihoo 360)
 CyberTalents Arab and Africa Regional CTF
 National Collegiate Cyber Defense Competition
 International Collegiate Cyber Defense Competition
 Global Cyberlympics
 PlaidCTF
 HITCON
 Google CTF

です。。。

概要は、

EXECUTIVE SUMMARY 要旨
This report addresses the contemporary use of capture-the-flag (CTF) competitions around the world. It first provides background on such competitions, their structure and variations. Analyses of recent competitions is then conducted, comprising an in-depth qualitative analysis of notable events (22 in total) and a high-level statistical analysis of a large dataset of public events of all levels (879 in total). 本報告書は、世界各地で行われている「旗を取る」(CTF)競技の現状を取り上げています。まず、このような競技の背景、その構造やバリエーションについて説明している。続いて、最近の大会の分析を行った。注目すべきイベント(合計22件)の詳細な質的分析と、あらゆるレベルの公共イベント(合計879件)の大規模なデータセットのハイレベルな統計分析からなります。
The results show a great deal of variation in some areas: その結果、いくつかの分野で非常に大きなばらつきが見られました。
• team size • チームサイズ
• challenge categories • 課題のカテゴリー
• scoring methodology • 点数付方法
• hosting of event online vs. in-person • オンラインと対面式のイベントの開催
• use of qualifier rounds • 予選ラウンドの使用
• inclusion of peripheral activities • 併設活動の組み込み
• communication channels for media strategy • メディア戦略におけるコミュニケーションチャネル
By contrast, little variation was seen in: 一方、次の項目についてはほとんど違いが見られませんでした。
• entry restrictions (usually only upon location) • 入場制限(通常は場所による制限のみ)
• diversity policy (mostly absent) • ダイバーシティ・ポリシー(ほとんど存在しない)
• format (typically a ‘Jeopardy’ format) • 形式(通常は「Jeopardy」形式)
• prizes (usually provided) • 賞品(通常は提供される)
• duration (events typically spanning a single day or a few days) • 期間(イベントは通常、1日または数日で終わる)
The report discusses the findings and proposes topics for consideration during event design. In particular: 本報告書では、調査結果を考察し、イベント設計時に検討すべきテーマを提案しています。具体的には
Team sizes: Hard limits may not be necessary and unbounded team sizes are seen in notable events. チームサイズ:難しい制限は必要ないかもしれませんが、注目すべきイベントでは制限のないチームサイズが見られます。
Formats: Recognised formats promote east of understanding among participants. フォーマット:認知されたフォーマットは、参加者間の理解を深める。
Formats have commonly-associated scoring methodologies and challenge categories, which can act as a starting point for event design. フォーマットには、一般的に関連付けられたスコアリング方法やチャレンジカテゴリーがあり、イベントデザインの出発点となります。
Parallel Competitions: Running parallel events with a different focus (different audience or different challenge type) can broaden appeal easily. 併設競技:並行して開催されるイベントは、異なる焦点(異なる対象者、異なる種類の課題)を持つことで、アピールの幅を広げることができます。
Range of Media: Public engagement strategies benefit from a range of media. Inclusion of CTF specific venues (such as that used in the statistical analysis) is recommended to best reach the CTF community. 様々なメディア:パブリックエンゲージメント戦略には、さまざまなメディアが有効です。CTFコミュニティに最もリーチできるよう、CTF専用の会場(統計分析に使用した会場など)を含めることをお勧めします。
Release of Data: Retrospective release of challenges, solutions, competition metrics and lessons-learned are helpful to the wider community. データの公開:課題、解決策、競技の評価指標、得られた教訓などを過去にさかのぼって公開することで、より広いコミュニティに貢献することができます。

 

目次は、、、

1. INTRODUCTION 1. 序論
1.1 SUMMARY 1.1 概要
1.2 STRUCTURE 1.2 構造
2. BACKGROUND 2. 背景
2.1 JEOPARDY 2.1 JEOPARDY
2.1.1 Format 2.1.1 フォーマット
2.1.2 Scoring 2.1.2 点数付け
2.1.3 Discussion 2.1.3 議論
2.1.4 Variants 2.1.4 バリエーション
2.2 ATTACK-DEFENCE 2.2 アタック・ディフェンス
2.2.1 Format 2.2.1 フォーマット
2.2.2 Scoring 2.2.2 点数付け
2.2.3 Discussion 2.2.3 議論
2.2.4 Variants 2.2.4 バリエーション
3. REPORT METHODOLOGY 3. 報告方法
3.1 MANUAL ANALYSIS 3.1 マニュアル分析
3.1.1 Selection criteria 3.1.1 選定基準
3.1.2 Data sources 3.1.2 データソース
3.1.3 Themes 3.1.3 テーマ
3.1.4 Coding and aggregation 3.1.4 コーディングと集計
3.2 STATISTICAL ANALYSIS 3.2 統計的分析
3.2.1 Dataset structure 3.2.1 データセットの構造
4. ANALYSIS RESULTS 4. 分析結果
4.1 MANUAL ANALYSIS 4.1 マニュアル分析
4.2 PER-THEME ANALYSIS 4.2 テーマ別分析
4.2.1 Entry requirements 4.2.1 エントリー要件
4.2.2 Diversity and inclusion 4.2.2 ダイバーシティとインクルージョン
4.2.3 Challenge format 4.2.3 チャレンジの形式
4.2.4 Competition format 4.2.4 競技会の形式
4.2.5 Event organisation 4.2.5 イベント組織
4.2.6 Post-event 4.2.6 イベント後
4.3 STATISTICAL ANALYSIS 4.3 統計分析
5. DISCUSSION 5. 考察
5.1 PARTICIPATION AND INVOLVEMENT 5.1 参加と関与
5.1.1 Popularity 5.1.1 人気度
5.1.2 Online and in-person 5.1.2 オンラインと対面式
5.1.3 Mentors and coaches 5.1.3 メンターとコーチ
5.2 COMPETITION AND CHALLENGE 5.2 競争と挑戦
5.2.1 Format 5.2.1 フォーマット
5.2.2 Challenge categories 5.2.2 チャレンジカテゴリー
5.2.3 Challenge sources 5.2.3 チャレンジソース
5.2.4 Jeopardy variants 5.2.4 Jeopardyの亜種
5.3 STRUCTURE AND ORGANISATION 5.3 構造と組織
5.3.1 Event length 5.3.1 イベントの長さ
5.3.2 Peripheral activities 5.3.2 併設活動
5.3.3 Organiser communication 5.3.3 主催者のコミュニケーション
5.4 QUALIFICATION AND POST-EVENT 5.4 資格認定およびイベント後の活動
5.4.1 Qualification 5.4.1 予選
5.4.2 Team allocation 5.4.2 チームの割り当て
5.4.3 Resultant publications 5.4.3 結果としての出版物
5.4.4 Data Sharing 5.4.4 データの共有
5.4.5 Writeups 5.4.5 ライトアップ
6. CONCLUSIONS 6. 結論
6.1 COMPETITION FORMAT 6.1 競技形式
6.2 TEAM REQUIREMENTS 6.2 チーム要件
6.3 TEAM SIZES 6.3 チームサイズ
6.4 SCORING AND RULES 6.4 点数付とルール
6.5 PARALLEL COMPETITIONS 6.5 併設競技
6.6 CHALLENGE FORMATS 6.6 チャレンジフォーマット
6.7 COMMUNICATION AND MEDIA 6.7 コミュニケーションとメディア
6.8 POST-EVENT 6.8 イベント後
7. BIBLIOGRAPHY 7. 参考文献
A ANNEX: CTF EVENT PROFILES 附属書A:CTFイベントのプロフィール
B ANNEX: MANUAL ANALYSIS DATA TABLES  附属書B:マニュアル分析データテーブル 

 

■ 関連

カリキュラムとルール

EUROPEAN CYBER SECURITY CHALLENGE

| | Comments (0)

2021.05.10

米国連邦政府 人工知能イニシアティブ

こんにちは、丸山満彦です。

米国連邦政府が人工知能のイニシアティブ (AI.gov) を立ち上げていますね。。。

● U.S. NATIONAL ARTIFICIAL INTELLIGENCE INITIATIVE

Welcome to AI.gov, home of the National AI Initiative and connection point to ongoing activities to advance U.S. leadership in AI. The National AI Initiative Act of 2020 became law on January 1, 2021, providing for a coordinated program across the entire Federal government to accelerate AI research and application for the Nation’s economic prosperity and national security. The mission of the National AI Initiative is to ensure continued U.S. leadership in AI research and development, lead the world in the development and use of trustworthy AI in the public and private sectors, and prepare the present and future U.S. workforce for the integration of AI systems across all sectors of the economy and society. AI.govへようこそ。AI.govは、National AI Initiativeのホームページであり、AIにおける米国のリーダーシップを促進するための進行中の活動への接続点です。2020年国家AIイニシアチブ法は、2021年1月1日に法制化され、米国の経済的繁栄と国家安全保障のためにAIの研究と応用を加速させるための、連邦政府全体にわたる協調プログラムを規定しています。全米AIイニシアチブの使命は、AIの研究開発における米国の継続的なリーダーシップを確保し、官民における信頼できるAIの開発と利用において世界をリードし、経済と社会のあらゆる分野におけるAIシステムの統合に向けて、現在および将来の米国の人材を確保することです。

関連リンクです...

根拠法

 

関連大統領令

OMB文書

 

Nationalaiofficeseal_300x

 


■ 参考

● OECD - Artificial intelligence - OECD Principles on AI

● G20

・2019.06.09 [PDF] G20 Ministerial Statement on Trade and Digital Economy [外務省][経済産業省]

 

● まるちゃんの情報セキュリティきまぐれ日記

2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.11.30 米国 OMBが「人工知能アプリケーション規制のためのガイダンス」を発行

 

| | Comments (0)

米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

こんにちは、丸山満彦です。

米国の精製石油パイプライン運用会社(非上場)である Colonial Pipeline 社 [wikipedia] がランサムウェアに感染し、被害拡大を防止するためにシステムを停止し、その結果、パイプラインの運用が止まったようですね。。。過去に物理的な大きな漏洩事故を起こしていることもあり、安全には配慮した経営をしているように見受けられました。[wikipedia]

中学、高校時代の友人を頼って、原子力発電所の見学に行ったときに、プラント的な装置を止めるためには、Fail Safe の考え方を利用するのが手っ取り早いだろうなと思いました。要は安全が確認できなければ運転しないという方針を意識して、安全が確認できない状態にしておくということです。

例えば、原子力発電所であれば、地震計のシステムやデータを改ざんする(地震が起こっていないのに地震が起こったと誤認させる)とかです。今回のランサムウェアでも、やはり安全に配慮してシステムを止めたわけで、コントロールされた停止ではありますが、結果的に運用は止まった状態になったわけです。安全に配慮するからこそ、ここは検討しないといけないポイントかもしれませんね。。。

Colonial Pipeline

・2021.05.08 Media Statement Updated: Colonial Pipeline System Disruption

 

※ 2021.05.10 13:45 追記


Update — Sunday, May 9, 5:10 p.m.

On May 7, Colonial Pipeline Company learned it was the victim of a cybersecurity attack and has since determined that the incident involved ransomware. Quickly after learning of the attack, Colonial proactively took certain systems offline to contain the threat. These actions temporarily halted all pipeline operations and affected some of our IT systems, which we are actively in the process of restoring. 5月7日、Colonial Pipeline社はサイバーセキュリティ攻撃の被害に遭ったことを知り、その後、この事件がランサムウェアに関係していると判断しました。攻撃を受けたことを知ってからすぐに、Colonial Pipeline社は脅威を抑えるために特定のシステムを積極的にオフラインにしました。これらの措置により、パイプラインの操業は一時的に停止し、当社の一部のITシステムにも影響が出ましたが、現在積極的に復旧作業を進めています。
Leading, third-party cybersecurity experts were also immediately engaged after discovering the issue and launched an investigation into the nature and scope of this incident. We have remained in contact with law enforcement and other federal agencies, including the Department of Energy who is leading the Federal Government response.  また、この問題を発見した後、第三者のサイバーセキュリティ専門家に直ちに依頼し、この事件の性質と範囲について調査を開始しました。また、連邦政府の対応を主導しているエネルギー省を含め、法執行機関やその他の連邦機関との連絡を継続しています。
Maintaining the operational security of our pipeline, in addition to safely bringing our systems back online, remain our highest priorities. Over the past 48 hours, Colonial Pipeline personnel have taken additional precautionary measures to help further monitor and protect the safety and security of its pipeline. パイプラインの安全性を維持することと、システムを安全に復旧させるColonial Pipeline社の担当者は、パイプラインの安全性とセキュリティをさらに監視、保護するために、さらなる予防措置を講じました。
The Colonial Pipeline operations team is developing a system restart plan. While our mainlines (Lines 1, 2, 3 and 4) remain offline, some smaller lateral lines between terminals and delivery points are now operational. We are in the process of restoring service to other laterals and will bring our full system back online only when we believe it is safe to do so, and in full compliance with the approval of all federal regulations. Colonial Pipeline社のオペレーションチームは、システム再起動計画を策定中です。メインライン(ライン1、2、3、4)は依然としてオフラインですが、ターミナルと配送地点の間にあるいくつかの小規模なラテラルラインは現在稼働しています。現在、他のラテラルラインの復旧作業を進めていますが、システム全体の再開は、安全性が確保され、連邦政府の規制に完全に準拠した上で行う予定です。
At this time, our primary focus continues to be the safe and efficient restoration of service to our pipeline system, while minimizing disruption to our customers and all those who rely on Colonial Pipeline. We appreciate the patience and outpouring of support we have received from others throughout the industry.  現時点では、当社のお客様およびColonial Pipelineに依存しているすべての人々の混乱を最小限に抑えつつ、当社のパイプラインシステムを安全かつ効率的に復旧させることに引き続き重点を置いています。業界関係者の皆様からいただいたご理解とご支援に感謝いたします。

※ 追記終わり


Updated — Saturday, May 8, 12:30 p.m.

On May 7, the Colonial Pipeline Company learned it was the victim of a cybersecurity attack. We have since determined that this incident involves ransomware. In response, we proactively took certain systems offline to contain the threat, which has temporarily halted all pipeline operations, and affected some of our IT systems. Upon learning of the issue, a leading, third-party cybersecurity firm was engaged, and they have launched an investigation into the nature and scope of this incident, which is ongoing. We have contacted law enforcement and other federal agencies.  5月7日、Colonial Pipeline社は、サイバーセキュリティ攻撃の被害者であることを知りました。その後、この件にはランサムウェアが関与していることが判りました。このため、パイプラインの操業が一時的に停止し、当社の一部のITシステムにも影響が出ています。この問題の発生を受けて、第三者の大手サイバーセキュリティ企業に依頼し、この件の内容と範囲について調査を開始し、現在も継続中です。また、当社は法執行機関およびその他の連邦機関と連絡を取っています。 
Colonial Pipeline is taking steps to understand and resolve this issue. At this time, our primary focus is the safe and efficient restoration of our service and our efforts to return to normal operation. This process is already underway, and we are working diligently to address this matter and to minimize disruption to our customers and those who rely on Colonial Pipeline. Colonial Pipeline社は、この問題を理解し解決するための措置を講じています。現時点では、サービスを安全かつ効率的に復旧させ、通常のオペレーションに戻すことに主眼を置いています。このプロセスは現在進行中であり、当社はこの問題に対処し、当社のお客様およびColonial Pipelineに依存している方々への混乱を最小限に抑えるため、真摯に取り組んでいます。

01


・2021.05.15 追記

Hackerに75ビットコイン(約500万ドル、約5億円)を支払った?

US NBC News

・2021.05.14 Colonial Pipeline paid ransomware hackers $5 million, U.S. official says

The FBI has historically discouraged but not prohibited American ransomware victims from paying their hackers.

US Bloomberg

・2021.05.13 Colonial Pipeline Paid Hackers Nearly $5 Million in Ransom 

● US Forebes

・2021.05.13 Hackers Got $5 Million: Colonial Pipeline Reportedly Paid A Ransom In Cryptocurrency, Contrary To Claims

● US New York Times

・2021.05.13 Colonial Pipeline paid 75 Bitcoin, or roughly $5 million, to hackers.

US CNBC

・2021.05.13 Colonial Pipeline paid $5 million ransom to hackers

 

ハッカー(DarkSide [wikipedia] )のサイトが落とされた?

● US AFP

・2021.05.15 米石油会社サイバー攻撃、ハッカー集団のサイトがダウン

 


・2021.05.13 追記

● Piyolog

 ・ 米石油パイプライン企業へのサイバー攻撃についてまとめてみた

CISA

・2021.05.11 Alert (AA21-131A) DarkSide Ransomware: Best Practices for Preventing Business Disruption from Ransomware Attacks

● Singapore OT-ISAC

・2021.05.10 Colonial Pipeline Ransomware Attack


追記終わり

 


■ 参考 - 報道

● US MSN - The New York Times

・2021.05.09 Cyberattack Forces a Shutdown of a Top U.S. Pipeline

● US npr

・2021.05.09 Ransomware Attack Shuts Down A Top U.S. Gasoline Pipeline

● US CBS News

・2021.05.09 (video) Cyber attack shuts down major U.S. fuel pipeline network

A major U.S. fuel pipeline operator was forced to shut down its entire network after a cyber attack that the company says was caused by ransomware. Christina Ruffini has more.

● US Yahoo! - Reuters

・2021.05.09 Cyber attack shuts down top U.S. pipeline network

● Ir The Jerusalem Post

・2021.05.09 Top US fuel pipeline operator pushes to recover from cyberattack

The incident is one of the most disruptive digital ransom operations ever reported & has prompted calls from American lawmakers to tighten up protection for critical US energy infrastructure.

● US PENN LIVE Patriot-News

・2021.05.08 Cyberattack shuts down pipeline company serving U.S. East Coast

● US WSAW-TV

・2021.05.08 Major US pipeline halts operations after ransomware attack

● US CNBC

・2021.05.09 Commerce Secretary says ‘all hands on deck’ to avert supply disruptions after pipeline cyberattack


KEY POINTS
  • U.S. Commerce Secretary Gina Raimondo on Sunday said the federal government is working to avoid supply disruptions after Colonial Pipeline temporarily suspended all operations due to a ransomware attack.
  • “This is what businesses now have to worry about,” Raimondo said during an interview on CBS’ “Face the Nation.” “Unfortunately, these sorts of attacks are becoming more frequent. They’re here to stay.”
  • So far, the impact of the network shutdown on fuel prices has been small, though some analysts say the country could see shortages of fuel develop rapidly if the outage persists.

● AU The Courier

・2021.05.09 Cyber attack shuts down US fuel pipeline

● JP CNN - JP

・2021.05.09 米最大級の石油パイプライン、サイバー攻撃で一時停止

● JP REUTERS

・2021.05.09 再送-米最大の石油パイプライン停止、サイバー攻撃で 東海岸に供給

● JP IT Media

・2021.05.09 米石油パイプライン大手Colonialにサイバー攻撃 全米への石油移送を一時停止

● JP JIJI

・2021.05.09 米最大の石油パイプライン停止 身代金要求型のサイバー攻撃

● JP 日経新聞

・2021.05.09 米最大の石油パイプライン停止 サイバー攻撃で

● JP 朝日新聞

・2021.05.09 米最大のパイプライン、操業停止 ランサムウェア攻撃で

● JP NHK

・2021.05.09 アメリカ最大級のパイプラインがサイバー攻撃被害

● JP TBS - news

・2021.05.09 (YouTube) 米最大級のパイプライン サイバー攻撃で操業一時停止

 

 

| | Comments (0)

2021.05.09

NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」

こんにちは、丸山満彦です。

NATO CCDCOE [wikipedia] の5月発行の第10号の特集は、SolarWindsの影響もあって「ソフトウェアサプライチェーン」となってますね。。。


The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2021.05 Recent Cyber Events No 10

The 10th instalment in the series designed for military and national security decision makers looks at various ways a supply chain could be compromised as was the case for SolarWinds, the political response to the SolarWinds attack and much more. The new CCDCOE report also highlights the growing interest towards strategic decision-making exercises focusing on threats in the cyber domain. 軍事・国家安全保障分野の意思決定者を対象としたシリーズの第10回目は、SolarWinds社のケースのようにサプライチェーンが危険にさらされる可能性がある様々な方法や、SolarWinds社の攻撃に対する政治的対応などについて考察しています。CCDCOEの新しいレポートは、サイバー領域の脅威に焦点を当てた戦略的意思決定演習への関心が高まっていることにも注目しています。

・[PDF] Recent Cyber Events: Considerations for Military and National Security Decision Makers No 10 /May 2021

20210509-50834

The Software Supply Chain: ソフトウェアのサプライチェーン
→ The SolarWinds Supply Chain Attack → SolarWinds社へのサプライチェーン攻撃
→ Did Leaked Code Help Attackers Breach Exchange? → 流出したコードがExchangeへの侵入に役立ったか?
→ Supply Chain Vulnerabilities and Open-Source Software → サプライチェーンの脆弱性とオープンソース・ソフトウェア
Other topics in this issue: その他のトピック
→ Responding to the SolarWinds Attack → SolarWinds社への攻撃への対応
→ Leaked Facebook Data May Be Used for Phishing → 流出したFacebookのデータがフィッシングに利用される可能性について
→ China-India Relations and Cyber Events → 中国・インド関係とサイバーイベント
→ Remote Working Increasing Cyber Risk → リモートワークで高まるサイバーリスク
→ Cyber Exercises for the Strategic Level → 戦略レベルでのサイバー演習

「Cyber Exercises for the Strategic Level(戦略レベルでのサイバー演習)については、ココに仮訳

過去の記事一覧

発行月 contents 記事 file
10 2021.05 The Software Supply Chain: ソフトウェアサプライチェーン PDF
9 2021.03 Internet Blackout in Crises インターネット遮断 PDF
8 2021.01 A look at the trends from 2020 and towards the future 2020年から未来に向けてのトレンドを見る PDF
7 2020.11 Cyber conflict in Nagorno-Karabakh and more ナゴルノ・カラバフのサイバー紛争 ほか PDF
6 2021.10 Wearable tokens can make authentication less distracting and more ウェアラブル・トークンは、認証を邪魔しないようにすることができる ほか PDF
5 2020.09 Consolidating the ‘new normal’ and more 「新しい常識」を定着させる ほか PDF
4 2020.07 Leaked government data could put personnel at risk and more 政府のデータが流出すると職員が危険にさらされる可能性がある ほか PDF
3 2020.06 APT uses one breached government organisation to attack others and more APTは侵入した政府組織を利用して他の組織を攻撃する ほか PDF
2 2020.05 COVID-19 disinformation continues to spread using social media and other cyber means and more COVID-19の偽情報はソーシャルメディアやその他のサイバー手段を使って拡散し続けている ほか PDF
1 2020.04 COVID-19 changes the cyber landscape COVID-19はサイバー環境を一変させる PDF

 

 


■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2020.12.16 NATO CCDCOEがタリンマニュアル3.0の開発を進めるとアナウンスしていますね。。。

Continue reading "NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」"

| | Comments (0)

2021.05.08

NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem を公開し、意見を募集していますね・・・今回は、昨年11月に公表されたドラフトのアップデート版となる第2ドラフトです。。。

 

NIST - ITL - Computer Security Resource Center

・2021.05.06 SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem (2nd Draft)

 

パブコメの対象は、

Publication: 
・[PDF] Second Draft SP 1800-30

20210508-65408

その他情報は、

Supplemental Material:
・[web]  Project homepage

 

Announcement 発表
Increasingly, healthcare delivery organizations (HDOs) incorporate telehealth and remote patient monitoring (RPM) as part of a patient’s care regimen. RPM systems may offer convenience and may be cost effective for patients and HDOs, which promotes increased adoption rates. Without adequate privacy and cybersecurity measures, however, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、患者治療の一環として、テレヘルスや遠隔患者モニタリング(RPM)を導入するケースが増えています。RPMシステムは、利便性が高く、患者やHDOにとって費用対効果が高いことから、導入率が高まっています。しかし、適切なプライバシー保護とサイバーセキュリティ対策がなければ、権限のない者が機密データを漏洩させたり、患者モニタリングサービスを妨害したりする可能性があります。
The NCCoE developed a reference architecture that demonstrates how HDOs may use standards-based approaches and commercially available cybersecurity technologies to implement privacy and cybersecurity controls, thereby enhancing the resiliency of the telehealth RPM ecosystem. NCCoEは、HDOが標準ベースのアプローチと市販のサイバーセキュリティ技術を用いてプライバシーとサイバーセキュリティ対策を実施する方法を示すリファレンスアーキテクチャを開発し、それによって遠隔医療RPMエコシステムの回復力を高めました。
After adjudicating all the comments from the first draft, notable adjustments were made to the RPM Practice Guide, including: 第一次ドラフトに寄せられたすべてのコメントを精査した結果、「RPM実践ガイド」には以下のような注目すべき調整が加えられました。
・Adjusted the security and privacy control mapping in accordance with NIST SP 800-53 Revision 5. ・NIST SP 800-53 Revision 5 に準拠した、セキュリティおよびプライバシー管理のマッピングの調整。
・Enhanced cybersecurity capabilities in the Identity Management and Data Security sections. ・アイデンティティ管理」と「データセキュリティ」のセクションでの、サイバーセキュリティ機能の強化。
・Updated the final architecture to include secure broadband communication between the patient's home and the telehealth platform provider. ・患者の自宅と遠隔医療プラットフォーム提供者との間の安全なブロードバンド通信を含むように最終的アーキテクチャの更新。
・Included guidance from NIST’s Cybersecurity for the Internet of Things program on device cybersecurity capabilities and nontechnical supporting capabilities that telehealth platform providers should be aware of in their biometric device acquisition processes. ・NISTの「Cybersecurity for the Internet of Things」プログラムによる、生体認証機器の取得プロセスにおいて遠隔医療プラットフォーム提供者が留意すべき機器のサイバーセキュリティ機能および非技術的なサポート機能に関するガイダンスを掲載。
Abstract 概要
Increasingly, healthcare delivery organizations (HDOs) are relying on telehealth and remote patient monitoring (RPM) capabilities to treat patients at home. RPM is convenient and cost-effective, and its adoption rate has increased. However, without adequate privacy and cybersecurity measures, unauthorized individuals may expose sensitive data or disrupt patient monitoring services. 医療機関では、在宅で患者を治療するために、テレヘルスや遠隔患者監視(RPM)機能を利用するケースが増えています。RPMは利便性と費用対効果に優れており、その導入率は高まっています。しかし、適切なプライバシーおよびサイバーセキュリティ対策を講じなければ、権限のない者によって機密データが漏洩したり、患者モニタリングサービスが妨害されたりする可能性があります。
RPM solutions engage multiple actors as participants in patients’ clinical care. These actors include HDOs, telehealth platform providers, and the patients themselves. Each participant uses, manages, and maintains different technology components within an interconnected ecosystem, and each is responsible for safeguarding their piece against unique threats and risks associated with RPM technologies. RPMソリューションには、患者の臨床ケアに参加する複数のアクターが関わっています。これらの関係者には、HDO、遠隔医療プラットフォームプロバイダー、そして患者自身が含まれます。それぞれの関係者は、相互に接続されたエコシステムの中で、異なるテクノロジーコンポーネントを使用、管理、維持しており、RPMテクノロジーに関連する固有の脅威やリスクから作品を保護する責任を負っています。
This practice guide assumes that the HDO engages with a telehealth platform provider that is a separate entity from the HDO and patient. The telehealth platform provider manages a distinct infrastructure, applications, and set of services. The telehealth platform provider coordinates with the HDO to provision, configure, and deploy the RPM components to the patient home and assures secure communication between the patient and clinician. この実践ガイドでは、HDOが、HDO及び患者とは別の事業体である遠隔医療プラットフォームプロバイダーと契約することを想定しています。遠隔医療プラットフォーム提供者は、別個のインフラストラクチャ、アプリケーション、および一連のサービスを管理する。遠隔医療プラットフォーム提供者は、HDO と連携して RPM コンポーネントのプロビジョニング、設定、および患者宅への配備を行い、患者と臨床医の間の安全な通信を保証します。
The NCCoE analyzed risk factors regarding an RPM ecosystem by using risk assessment based on the NIST Risk Management Framework. The NCCoE also leveraged the NIST Cybersecurity Framework, NIST Privacy Framework, and other relevant standards to identify measures to safeguard the ecosystem. In collaboration with healthcare, technology, and telehealth partners, the NCCoE built an RPM ecosystem in a laboratory environment to explore methods to improve the cybersecurity of an RPM. NCCoEは、NISTリスクマネジメントフレームワークに基づくリスクアセスメントを用いて、RPMエコシステムに関するリスク要因を分析しました。また、NIST Cybersecurity Framework、NIST Privacy Framework、およびその他の関連規格を活用して、エコシステムを保護するための手段を特定しました。NCCoE は,医療,技術,遠隔医療のパートナーと協力して,実験室環境で RPM のエコシステムを構築し,RPM のサイバーセキュリティを向上させる方法を検討しました.
Technology solutions alone may not be sufficient to maintain privacy and security controls on external environments. This practice guide notes the application of people, process, and technology as necessary to implement a holistic risk mitigation strategy. 外部環境におけるプライバシーとセキュリティの管理を維持するためには、技術的な解決策だけでは十分でない場合があります。この実践ガイドでは、全体的なリスク軽減戦略を実施するために必要な、人、プロセス、技術の適用について言及しています。
This practice guide’s capabilities include helping organizations assure the confidentiality, integrity, and availability of an RPM solution, enhancing patient privacy, and limiting HDO risk when implementing an RPM solution. この実践ガイドは、組織がRPMソリューションを導入する際に、RPMソリューションの機密性、完全性、および可用性を保証し、患者のプライバシーを強化し、HDOリスクを制限することを支援します。

 

目次はこちら

 


 

■ 参考

● まるちゃんの情報セキュリティきまぐれ日記

・2020.11.17 NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

 

 

Continue reading "NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)"

| | Comments (0)

5月6日は「世界パスワードの日」でした。。。FBI「強力なパスフレーズとアカウント保護」

こんにちは、丸山満彦です。

5月の第一木曜日は「世界パスワードの日 (World Password Day) 」として、色々な行事が...

この世界パスワードの日は2013年から始まっていて米国ではFBIも祝っていますね。。。

● FBI 

・2021.05.04 (news) FBI Tech Tuesday: Strong Passphrases and Account Protection

NISTのガイドを引用して、使う文字数の複雑さよりも、長さが重要と強調していますね。。。

なので、意味がない単なる特殊文字を含む文字の8桁の羅列よりも、意味があっても長いパスフレーズを使うことを推奨していますね。。。

Recent guidance from the National Institute of Standards and Technology (NIST) advises that password length is much more important than password complexity. Instead of using short complex passwords, use passphrases that combine multiple words and are longer than 15 characters. For example TechTuesday2021Strengthen! 米国国立標準技術研究所(NIST)の最近のガイダンスでは、パスワードの長さはパスワードの複雑さよりもはるかに重要であると勧告されています。短い複雑なパスワードを使用する代わりに、複数の単語を組み合わせた15文字以上のパスフレーズを使用してください。例えば、TechTuesday2021Strengthen!

 

以下は、FBIのアドバイスです...

Make sure, at the very least, that your email, financial, and health accounts all have different unique passwords and/or passphrases. 少なくとも、電子メール、金融機関、医療機関のアカウントには、それぞれ固有のパスワードやパスフレーズが設定されていることを確認してください。
Make sure your password is as long as the system will allow. パスワードは、システムが許容する範囲内の長さで設定してください。
Set up multi-factor authentication for your accounts. 自分のアカウントに多要素認証を設定してください。
Don’t allow password “hints” パスワードの "ヒント "を許可しない

 

Fbi_20210425171201


■  参考

● NIST - ITL

・ Digital Identity Guidelines

・ [PDF] SP 800-63-3 Digital Identity Guidelines

OpenID Fondation Japanの翻訳

● JIPDEC

OIDF-J・JIPDEC共催OpenID BizDay#11「NIST SP 800-63-3を読む」

・[PDF] SP 800-63-3「Digital Authentication Guideline」(Final翻訳)

 


盛り上がり感を...

■ NEWS

● US Security Magazine

・2021.05.06 Best practices during World Password Day

● Ca IT world Canada

・2021.05.06 Will this be the last World Password Day?

● It Network Digital 360

・2021.05.06 World Password Day, la maledizione della banalità: perché credenziali deboli sono un rischio per le aziende

● US Tech Republic

・2021.05.06 (Vedeo) The need for cybersecurity "never goes away," expert says: World Password Day

● US Facility Exective

・2021.05.05 Just In Time For World Password Day: Worst Password Awards!

May 6 is World Password Day. What better time to hand out awards for the worst passwords?

 US KTEM News

・2021.05.06 It’s World Password Day – How Strong Is Your Password?

● US Mac World

・2021.05.06 Celebrate World Password Day by locking down your Apple devices

● UK VERDICT

・2021.05.06 It’s World Password Day – time for a reset!

● US CBS

・2021.05.06 'World Password Day' prompts safety tips from Florida AG

● US Analytics Insight

・2021.05.06 THIS WORLD PASSWORD DAY, GODADDY OFFERS SECURITY PROTECTIONS FOR SMALL BUSINESS WEBSITES

Security Boulevard

・2021.05.06 Password Reuse: Rampant and Risky

・2021.05.05 On World Password Day eat your greens, exercise more, and ditch the password!

● US Government Technology

・2021.05.02 (blog) Email Security, Working from Home and World Password Day

What is the future of passwords? More urgently, how are you doing with using (or reusing) passwords now? Here are some helpful tips ahead of World Password Day on May 6.

● US Information Security Buzz News

・2021.04.28 Experts Advise on World Password Day

● Ir Tech Central

・2021.05.06 Thou shalt not pass… word

Strong passwords? Forget about them, says Billy MacInnes

● US Syracuse University

・2021.05.01 (blog) World P@$$w0rd Day: Tips To Protect Your Digital Identity

● US CX Todays.com

・2021.05.06 Comment on World Password Day from Kartik Shahani, Country Manager, Tenable

● UAE Khaleej Times

・2021.05.06 These are the most common passwords; is yours on the list?

● SG Tech Wire Asia

・2021.05.06 SEA businesses exposed to highest rate of data breaches globally

● US The Daily Swig - Cybersecurity news and views

・2021.05.06 Troy Hunt at Black Hat Asia: ‘We’re making it very difficult for people to make good security decisions’

Have I Been Pwned founder’s keynote offered a sobering counterpoint to the well-meaning ‘World Password Day’

● Br Olhar digital

・2021.05.06 World Password Day: saiba como criar e manter uma senha segura

● Ca Global News

・2021.05.06 Consumer Matters: Why your current password might not be enough to protect you from cyber criminals

May 6 marks World Password Day. Security experts warn given the number of passwords required on various accounts and website, consumers need to do more than just make passwords strong and unique. Consumer Matters reporter Anne Drewa has the details.


 

| | Comments (0)

2021.05.07

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

こんにちは、丸山満彦です。

ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」という白書を公表していますね。。。

欧米人は、自然環境の違い(温帯から寒帯にかけた比較的シンプルな自然環境)で文化を作ってきたからでしょうか、養老孟司のいうところの「ああすれば、こうなる」がわからないと気持ちが悪いのかもしれませんね。。。だから宗教や科学が発達してきたのでしょう...一方、熱帯から温帯にかけた環境で生まれ育った文化は、複雑な自然をそのまま受けれいれるしかなく、全体で丸ごと感じるようになったのかもしれません。。。

機械学習というある意味、綺麗な実験環境から、複雑な環境、例えば自然環境での実験と言えるかもしれません。自然環境で育てたパラメータがたくさんある(よってその組み合わせがたくさんある)システムは「ああすればこうなる」と100%説明することはできないと思います。

皆さんには一卵性の双子の知り合いがいるかもしれませんが、彼ら、彼女らは全く同じ遺伝子です。でも全く同じ顔、身長、体重、性格でしょうか?

彼ら、彼女らは、最初のアルゴリズム(遺伝子)は同じです。その後の学習(母親の体内にいる時からの育つ環境)の違いで全く同じ全く同じ顔、身長、体重、性格にはなりませんね、特に、複雑な脳の神経のつながり方は同じ遺伝子でも、その後の育ってきた環境によって大きく変わるでしょう。

機械学習もそう考えると、同じアルゴリズム(遺伝子)であっても、与えるデータ等のインプットを変えると違うシステムになりますよね。。。しかもそのパターンは膨大すぎて全てを理解しようとすれば、さらにそれ以上に複雑な機械学習マシーンが必要となり、終わりがありませんね。。。

ということで、私的には、Auditable AI Systemというのは、どのような学習をさせたかを説明することにより、複雑なケースであれば70%くらい予想がつけば良いのではないかと思っています。(人間だってそんなもんでしょう。。。)

一つ一つのステップで99.99%予想がつけば、直列的な思考で1000ステップ踏んでも90%は予測がつくことにはなりますね。。。

と前置きが長くなりましたが、、、

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.05.06 BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen

BSI veröffentlicht Whitepaper zum aktuellen Stand der Prüfbarkeit von KI-Systemen BSI、AIシステムの監査可能性の現状に関する白書を発行
Künstlich Intelligente (KI) Systeme spielen eine immer größer werdende Rolle als automatisierte Entscheidungs- und Kontrollsysteme in verschiedenen, zum Teil sicherheitskritischen Anwendungsbereichen. Hierzu gehören u. a. autonome Fahrzeuge und biometrische Zugangskontrollsysteme. Neben den immensen Chancen, die sich durch den Einsatz von KI-Technologie eröffnen, ergeben sich gleichzeitig zahlreiche, qualitativ neue Probleme hinsichtlich u. a. der Sicherheit, der Robustheit und der Vertrauenswürdigkeit. Um diesen Problemen angemessen zu begegnen, wird eine Rahmenstruktur für die Prüfung von KI-Systemen benötigt, die neben Prüfstrategien und -werkzeugen auch entsprechende Standards umfasst. Diese Strategien, Werkzeuge und Standards sind aktuell noch nicht hinreichend für den praktischen Einsatz verfügbar. 人工知能(AI)システムは、様々なアプリケーション分野において、自動化された意思決定や制御システムとしての役割がますます高まっており、その中には安全性が求められるものもあります。これらには、自律走行車や生体認証アクセス制御システムなどが含まれます。AI技術の活用によってもたらされる大きな可能性がある一方、セキュリティ、堅牢性、信頼性などについて、質的に新しい問題が同時に数多く発生します。これらの問題に適切に対処するためには、テスト戦略、ツール、標準を含む、AIシステムのテストのフレームワークが必要です。これらの戦略、ツール、基準は、現状ではまだ十分に実用化されていません。
Basierend auf einem gemeinsam vom BSI, vom Verband der TÜVs (VdTÜV) und vom Fraunhofer HHI ausgetragenen internationalen Expertenworkshop im Oktober 2020 wurde nun, zusammen mit zahlreichen nationalen und internationalen Experten, ein Whitepaper zum aktuellen Stand, offenen Fragen und zukünftig wichtigen Aktivitäten bezüglich der Prüfbarkeit von KI-Systemen verfasst. Das Whitepaper beleuchtet verschiedene Aspekte der Sicherheit von KI-Systemen, u.a. deren Lebenszyklus, Online-Lernverfahren, qualitativ neue Angriffe, mögliche Verteidigungsmaßnahmen, Verifikation, Prüfung, Interpretation und Standardisierung. Bei all diesen Betrachtungen wird deutlich, dass es zahlreiche Zielkonflikte zwischen den gewünschten Eigenschaften eines operativen KI-Systems einerseits und den Eigenschaften des KI-Modells, der ML-Algorithmen, der Daten und weiteren Randbedingungen gibt, die letztlich die Skalierbarkeit und Generalisierbarkeit von sicher prüfbaren KI-Systemen beschränken. Basierend auf zwei grundlegenden Strategien zur Verbesserung der Prüfbarkeit, Sicherheit und Robustheit von KI-Systemen, d.h. einerseits der Schaffung verbesserter Rahmenbedingungen und andererseits der erhöhten Investition in Forschung und Entwicklung, werden Lösungsvorschläge und -ideen zur Mitigation der bekannten Probleme benannt, bewertet und Folgeschritte vorgeschlagen. このたび、2020年10月にBSI、ドイツ技術検査機関協会(VdTÜV)、フラウンホーファーHHIが共同で開催した国際専門家ワークショップをもとに、国内外の多数の専門家とともに、AIシステムのテスト可能性に関する現状、未解決の問題、今後の重要な活動についてホワイトペーパーを作成しました。この白書では、AIシステムのライフサイクル、オンライン学習方法、質的に新しい攻撃、考えられる防御策、検証、テスト、解釈、標準化など、AIシステムのセキュリティに関するさまざまな側面を紹介しています。これらの考察から、運用可能なAIシステムに求められる特性と、AIモデルの特性、MLアルゴリズム、データ、その他の制約との間には、数多くのトレードオフがあり、最終的には安全にテスト可能なAIシステムのスケーラビリティとジェネラビリティを制限していることが明らかになりました。AIシステムのテスト可能性、セキュリティ、堅牢性を向上させるための2つの基本的な戦略、すなわち、一方では改善されたフレームワーク条件の作成、他方では研究開発への投資の増加に基づいて、既知の問題を軽減するための提案されたソリューションとアイデアが挙げられ、評価され、フォローアップのステップが提案されています。

 

白書は英語です(^^)

・[PDF] Towards Auditable AI Systems - Current status and future directions

20210507-64522

目次です。。。

1 AI systems: opportunities and challenges 1 AIシステム:機会と課題
2 Auditability of AI systems: state of the art 2 AIシステムの監査可能性:技術の現状
2.1 Life Cycle 2.1 ライフサイクル
2.2 Online learning and model maintenance in the presence of non-stationary environments. 2.2 非定常環境下でのオンライン学習とモデルメンテナンス
2.3 Attack & Defense 2.3 攻撃と防御
2.3.1 Adversarial Machine Learning 2.3.1 敵対的機械学習(Adversarial Machine Learning
2.3.2 Backdoor Attacks on DNNs 2.3.2 DNNに対するバックドア攻撃
2.3.3 Detection of and Defenses against attacks on DNNs 2.3.3 DNNへの攻撃の検知と防御方法
2.4 Verification of AI systems 2.4 AIシステムの検証
2.5 Auditing safety-critical AI systems 2.5 安全性が求められるAIシステムの監査
2.6 Explaining Black Box AI Models 2.6 ブラックボックスAIモデルの説明
2.7 Overview of AI standardization activities worldwide 2.7 世界のAI標準化活動の概要
3 Open Issues and Promising Approaches 3 未解決の課題と有望なアプローチ
4 Setting Priorities for Work Towards Auditable AI Systems 4 監査可能なAIシステムに向けた作業の優先順位設定
5 References 5 参考文献

 

仮訳です。。[DOCX]

 


■ 参考

養老さんの本は読みやすいです...

● 書籍 - Kindle版

AIの壁 人間の知性を問いなおす 養老 孟司  (PHP新書) 

 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2021.02.16 IPA 2018年10月に発刊されたAI白書2019のPDF版を公開

 

 

| | Comments (0)

2021.05.06

ENISA コネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法

こんにちは、丸山満彦です。

ENISAがコネクテッド&オートメーテッド・モビリティ(CAM)エコシステムの安全性を確保する方法についての報告書を公開していますね。。。CAMが直面するサイバーセキュリティ上の課題の分析と、課題を軽減するための実行可能な提言が書かれています。。。

自動車産業は急速にEVシフト、自動運転シフトが進んでいくと思いますので、技術動向に合わせて規制がどうあるべきかも含めて検討を進めていくことが重要ですよね。。。人類共通の人命に関わる問題なので、仲良く決められると良いですね。。。

● ENISA

・2021.05.05 (news) How to Secure the Connected & Automated Mobility (CAM) Ecosystem

The European Union Agency for Cybersecurity discloses an in-depth analysis of the cybersecurity challenges faced by the CAM sector and provides actionable recommendations to mitigate them.

報告書の概要は...

Which challenges does the report identify? 報告書ではどのような課題が指摘されていますか?
The report published today provides recommendations for each challenge identified, such as: 本日発表された報告書では、特定された課題ごとに以下の提言を示しています。
Governance and cybersecurity integration into corporate activity 企業活動におけるガバナンスとサイバーセキュリティの統合
Cybersecurity governance in the CAM ecosystem represents an organisational and technical challenge for all stakeholders concerned. Recommendations given include: CAMエコシステムにおけるサイバーセキュリティのガバナンスは、すべての関係者にとって組織的・技術的な課題です。提言は以下の通りです。
・promote the integration of cybersecurity along with digital transformation at the board level in the organisation; ・組織内の役員レベルで、デジタルトランスフォーメーションとともに、サイバーセキュリティの統合を推進する。
・promote procurement processes to integrate cybersecurity risk-oriented requirements. ・サイバーセキュリティのリスク指向の要件を統合するための調達プロセスを促進する。
Technical complexity in the CAM ecosystem CAMエコシステムにおける技術的な複雑さ
Dependencies, interactions and supply chain management in this sector are a well-known challenge acknowledged by the majority of the actors involved. Recommendations given include: この分野における依存関係、相互作用、サプライチェーンマネジメントは、関係者の大半が認める周知の課題です。提言は以下の通りです。
・promote the use of suitable certification schemes; ・適切な認証スキームの使用を促進する。
・promote security assessment for both on-board and off-board solutions and standardise the discovery and remediation of vulnerabilities during the lifetime of the product. ・オンボードおよびオフボードソリューションのセキュリティ評価を促進し、製品のライフタイムにおける脆弱性の発見と修正を標準化する。
Lack of expertise and skilled resources for CAM cybersecurity CAMのサイバーセキュリティに関する専門知識と熟練した人材の不足
The lack of human resources with expertise in cybersecurity on the market is a major obstacle that hinders the adoption of security measures specific to CAM products and solutions. サイバーセキュリティの専門知識を持つ人材が市場に不足していることが、CAM製品やソリューションに特化したセキュリティ対策の採用を妨げる大きな障害となっています。
・encourage cross-functional security and safety knowledge exchange between IT/OT and mobility experts respectively; ・IT/OTとモビリティの専門家の間で、機能横断的なセキュリティと安全の知識交換を促進する。
・introduce programmes at schools and universities to address the lack of security and safety knowledge across the industry. ・業界全体におけるセキュリティと安全に関する知識の不足を解消するため、学校や大学でプログラムを導入する。
Such challenges are only an example of the important challenges addressed in the ENISA Report – Recommendations for the Security of Connected and Automated Mobility (CAM). このような課題は、ENISAレポート「Connected and Automated Mobility (CAM)のセキュリティに関する提言」で取り上げられている重要な課題の一例に過ぎません。

報告書は...

・2021.05.05 (publish) Recommendations for the security of CAM

・[PDF] Recommendations for the security of CAM

20210506-50611

1. INTRODUCTION 1. 序論
1.1 STUDY OBJECTIVES AND SCOPE 1.1 調査の目的と範囲
1.2 TARGET AUDIENCE 1.2 対象者
1.3 DOCUMENT STRUCTURE 1.3 ドキュメントの構成
2. CYBERSECURITY CHALLENGES AND RECOMMENDATIONS IN THE CAM AREA 2. CAM領域におけるサイバーセキュリティの課題と提言
2.1 GOVERNANCE AND CYBERSECURITY INTEGRATION INTO CORPORAT ACTIVITIES 2.1 企業活動におけるガバナンスとサイバーセキュリティの統合
2.2 LACK OF TOP MANAGEMENT SUPPORT AND CYBERSECURITY PRIORITISATION 2.2 トップマネジメントの支援とサイバーセキュリティの優先順位付けの欠如
2.3 TECHNICAL COMPLEXITY IN THE CAM ECOSYSTEM 2.3 CAMエコシステムにおける技術的複雑さ
2.4 TECHNICAL CONSTRAINTS FOR IMPLEMENTATION OF SECURITY INTO CAM 2.4 CAMにセキュリティを実装する際の技術的制約
2.5 FRAGMENTED REGULATORY ENVIRONMENT 2.5 断片化された規制環境
2.6 LACK OF EXPERTISE AND SKILLED RESOURCES FOR CAM CYBERSECURITY 2.6 CAMのサイバーセキュリティに関する専門知識と熟練したリソースの不足
2.7 LACK OF INFORMATION SHARING AND COORDINATION ON SECURITY ISSUES AMONG THE CAM ACTORS  2.7 CAM関係者の間でのセキュリティ問題に関する情報共有と調整の欠如 

 


参考

● まるちゃんの情報セキュリティきまぐれ日記

・2021.04.20 気になった記事2つ(大変革期に突入した自動車産業とサイバーセキュリティ、クラウドネイティブセキュリティ101)

・2021.04.10 欧州自動車工業会 事務局長の声明:自動車業界は車両データを積極的に共有し、消費者の選択と安全・安心を第一に考える

・2021.03.15 欧州データ保護委員会 (EDPB) コネクテッド・カーおよびモビリティ関連アプリケーションにおける個人データの処理に関するガイドラインの最終版を公表

・2021.02.12 ENISA 人工知能を使った自律走行におけるサイバーセキュリティの課題

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.06.26 国土交通省 自動運行装置(レベル3)に係る国際基準が初めて成立しました

・2020.04.30 NISTIR 8294 Symposium on Federally Funded Research on Cybersecurity of Electric Vehicle Supply Equipment (EVSE)

・2020.03.31 トヨタ自動車製 DCU (ディスプレイコントロールユニット) に脆弱性

少し古くなりますが・・・

・2016.10.26 U.S. DOT issues Federal guidance to the automotive industry for improving motor vehicle cybersecurity

・2012.06.21 IPA 「2011年度 自動車の情報セキュリティ動向に関する調査」報告書の公開 ~ネットワーク化・オープン化の進む自動車にセキュリティを~

・2012.04.25 自動車のオープンソース化は危険ではないか、という意見

 

 

| | Comments (0)

2021.05.05

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance がクラウド利用時のインシデント対応のためのガイドを公表していますね。。。

運用における標準約款契約を含む国際的多層委託モデルが複数存在し、かつオンプレ環境もある状況が当たり前になってくる中で、インシデント対応はより複雑になってきますよね。。。これ、日本語化してくれるといいかもですね。。。

● Cloud Security Alliance

・2021.05.04 (press) Cloud Security Alliance’s New Cloud Incident Response Framework Serves as Transparent, Common Blueprint Through Which to Share Best Practices

・2021.05.04 (published) Cloud Incident Response Framewor

Key Takeaways: Key Takeaways
How to effectively manage cloud incidents through the entire lifecycle of a disruptive event, including: 破壊的イベントのライフサイクル全体を通して、クラウド・インシデントをいかに効果的に管理するかについての
・Preparation ・準備
・Detection and analysis ・検知と分析
・Containment, eradication, and recovery ・封じ込め、根絶、回復
・Post-mortem ・事後処理
How to coordinate and share information with stakeholders and other organizations ステークホルダーや他の組織といかに調整や情報共有をするか
Who It’s For: 想定読者
All cloud customers すべてのクラウド利用者
Cloud service providers who need a clear framework for sharing incident response practices with customers インシデント対応方法を利用者と共有するための明確なフレームワークを必要とするクラウドサービスプロバイダー

 

20210505-53437

Table of Contents 目次
1. Introduction  1. 序文
Purpose  目的
Target Audience 想定読者
2. Normative References 2. 規範となる文献
3. Definitions 3. 定義
4. CIR Overview 4. CIRの概要
5. CIR Framework 5. CIRの枠組み
5.1 Phase 1: Preparation and Follow-on Review 5.1 フェーズ1:準備とフォローオンレビュー
5.1.1 Documentation 5.1.1 文書化
5.2 Phase 2: Detection and Analysis 5.2 フェーズ2:検知と分析
5.2.1 Inducement 5.2.1 誘引
5.2.1.1 Cause of Cloud Incident 5.2.1.1 クラウドインシデントの原因
5.2.1.2 Signs of an Incident 5.2.1.2 インシデントの兆候
5.2.1.3 Common Sources of Precursors and Indicators 5.2.1.3 前兆と指標の一般的な情報源
5.2.2 Incident Analysis to Determine Impacts 5.2.2 影響を決めるためのインシデント分析
5.2.2.1 Incident Analysis 5.2.2.1 インシデントの分析
5.2.2.2 Incident Notification 5.2.2.2 インシデントの通知
5.2.2.2.1 Incident Notification Timing 5.2.2.2.1 インシデントの通知タイミング
5.2.2.3 Incident Impacts 5.2.2.3 インシデントの影響
5.2.3 Evidence Gathering and Handling 5.2.3 証拠の収集と処理
5.3 Phase 3: Containment, Eradication, and Recovery 5.3 フェーズ3:封じ込め、根絶、回復
5.3.1 Choosing a Containment Strategy 5.3.1 封じ込め戦略の選択
5.3.2 Eradication and Recovery 5.3.2 封じ込めと回復
5.4 Phase 4: Post-Mortem 5.4 フェーズ4:事後処理
5.4.1 Incident Evaluation 5.4.1 インシデントの評価
5.4.1.1 Incident Evaluation Metrics 5.4.1.1 インシデントの評価指標
5.4.1.2 Incident Classification 5.4.1.2 インシデントの分類
5.4.2 Incident Closing Report 5.4.2 インシデントの終結報告
5.4.2.1 Lessons Learned 5.4.2.1 学んだ教訓
5.4.3 Incident Evidence Retention 5.4.3 インシデントの証拠の保持
6. Coordination and Information Sharing 6. 連携と情報共有
6.1 Coordination 6.1 コーディネーション
6.1.1 Coordination Relationships 6.1.1 協調関係
6.1.2 Sharing Agreements and Reporting Requirements 6.1.2 共有契約及び報告要件
6.2 Information-Sharing Techniques 6.2 情報共有の手法
6.3 Granular Information Sharing 6.3 概要レベルの情報共有
6.3.1 Business Impact Information 6.3.1 ビジネスインパクト情報
6.3.2 Technical Information 6.3.2 技術情報
6.4 Table-Top Exercises and Incident Simulations 6.4 テーブルトップ演習とインシデントシミュレーション
7. Summary 7. まとめ

20210607-14726

 

| | Comments (0)

カナダ サイバーセキュリティセンター がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンター (Canadian Centre for Cyber Security) がBluetoothと暗号に関する2つのガイダンスを公表していますね。。。

多少の専門的な知識があることが前提となるとは思いますが、比較的平易に説明されていると思います。が、Bluetoothのガイダンスで記載されている内容は、利用者にとっては厳し目に感じるかもしれませんが、個人使用ではなく、組織の重要な情報を扱う端末での利用を考えると思いますので、、、

 

● Canadian Centre for Cyber Security

・2021.05.03 Using Encryption to Keep Your Sensitive Data Secure (ITSAP.40.016)

The cccs recommends CCCSの推奨事項
Evaluate the sensitivity of your information (e.g. personal and proprietary data) to determine where it may be at risk and implement encryption accordingly. 情報の機密性(個人情報や非公開専有情報など)を評価し、どこにリスクがあるかを判断し、それに応じて暗号化を導入する。
Choose a vendor that uses standardized encryption algorithms (e.g. CC and CMVP supported modules). 標準化された暗号化アルゴリズムを使用しているベンダーを選択する(例:CCおよびCMVP対応モジュール)。
Review your IT lifecycle management plan and budget to include software and hardware updates for your encryption products. ITライフサイクル管理計画と予算を見直し、暗号化製品のソフトウェアおよびハードウェアの更新を含める。
Update and patch your systems frequently. システムを適時に更新し、パッチを当てる。

20210505-51102

 

・2021.05.03 Using Bluetooth Technology (ITSAP.00.011)

Summary of security tips セキュリティに関する注意事項のまとめ
Keep all Bluetooth devices up to date (e.g. phones, headphones, keyboards, gaming equipment) すべてのBluetooth機器を最新の状態に保つ(例:携帯電話、ヘッドホン、キーボード、ゲーム機など)
Turn off Bluetooth when you’re not using itFootnote* Bluetoothを使用しないときは、Bluetoothをオフにする。
Turn off discovery mode when you’re not connecting devices デバイスを接続していないときはディスカバリーモードをオフにする
Avoid pairing devices in public spaces 公共の場でのデバイスのペアリングを避ける
Pair only with devices that you know and trust 知っていて信頼できるデバイスとのみペアリングする
Never transfer sensitive information over Bluetooth 機密情報をBluetoothで転送しない
Avoid using Bluetooth-enabled keyboards to enter sensitive information or passwords Bluetooth対応のキーボードを使って機密情報やパスワードを入力しない
Remove lost or stolen devices from your list of paired devices 紛失または盗難にあったデバイスをペアリング済みデバイスのリストから削除する
Delete all stored data and devices from Bluetooth enabled cars Bluetooth対応車から保存されたデータやデバイスをすべて削除する
Avoid pairing devices with rental cars レンタカーとデバイスのペアリングを避ける

 

20210505-51225

| | Comments (0)

2021.05.04

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

こんにちは、丸山満彦です。

ISACA, AICPA&CIMAが共同でブロックチェーンのリスクに関する白書を公開していますね。。。

● ISACA

・2021.04.29 (white paper) Blockchain Risk - Considerations for Professionals

・[PDF] [downloaded

20210504-91154

 

RD # Risk Domain リスクドメイン RSD # Risk Subdomain リスクサブドメイン
R-1 Governance ガバナンス R-1.01 Design デザイン
      R-1.02 Policies and Procedures 方針と手続き
R-2 Infrastructure インフラ R-2.01 Software Vulnerabilities ソフトウェアの脆弱性
      R-2.02 Protocol Management プロトコルの管理
      R-2.03 Consensus Mechanism 合意形成メカニズム
      R-2.04 Data Management データ管理
      R-2.05 Interoperability 相互運用性
      R-2.06 Integration 統合
R-3 Data データ R-3.01 Data Integrity データインテグリティ
      R-3.02 Access Rights アクセス権
      R-3.03 Blockchain Bloat ブロックチェーンの肥大化
      R-3.04 Nonstandard Transactions 標準外の取引
      R-3.05 Data Output データ出力
      R-3.06 Out-of-Range Data 範囲外のデータ
      R-3.07 Orphan Address 孤立したアドレス
R-4 Key Management 鍵管理 R-4.01 Insufficient Entropy 不完全なエントロピー
      R-4.02 Key Creation Methodology Validation 鍵の作成方法の検証
      R-4.03 Key Ceremony 鍵の儀式
      R-4.04 Third-party Created Keys 第三者が作成した鍵
      R-4.05 In-use Key Security 使用中の鍵のセキュリティ
      R-4.06 Key Encryption When Not In Use 未使用時の鍵の暗号化
      R-4.07 Key Backup Existence 鍵のバックアップの有無
      R-4.08 Geographic Key Backups 地理的な鍵のバックアップ
      R-4.09 Key Backup Access Controls 鍵のバックアップ アクセス制御
      R-4.10 Key Backup Environmental Protection 鍵のバックアップの環境保護
      R-4.11 Key Compromise Protocol キーコンプロマイズプロトコル
      R-4.12 Keyholder Grant/Revoke Policies 鍵の所有者への許可/取り消しポリシー
      R-4.13 Usage of Known Identifiers 既知の識別子の使用
      R-4.14 SMS Used as 2FA 2FAとしてSMSの使用
      R-4.15 Multisig Implementation マルチシグの実装
      R-4.16 Strong Encryption 強力な暗号化
      R-4.17 HSM Settings HSMの設定
      R-4.18 Recovery Process 回復プロセス
      R-4.19 Hardware Wallet Used for Cold Storage ハードウェアウォレットを使ったコールドストレージ
R-5  Smart Contracts スマート契約 R-5.01 Governance Risk ガバナンスリスク
      R-5.02 Design Risk 設計リスク
      R-5.03 External Interaction Risk 外部とのやりとりのリスク
      R-5.04 Manipulation/Denial of Service Risk 操作/サービス拒否リスク

 

エクセルにしたものです・・・

[xlsx]

| | Comments (0)

米国 OMB FISMA Report 2020

こんにちは、丸山満彦です。

米国行政管理局(OMB)が2020年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

ポイントは次の3つということのようです...

  1. 2020年度には30,819件のインシデントが報告され(前年比8%増)、そのうち6件が重大インシデントとして報告された。
  2. 各省庁は、利用可能なサイバー衛生対策の改善を引き続き示しているが、さらなる努力が必要である。
  3. COVID-19パンデミックの際、各省庁はテレワークへの移行に迅速かつ安全に対応することができた。

 

● OMB

・ 2021.05.02 [PDF] Federal Information Security Modernizaion Act of 2014 - Annual Report to Congress Fiscal Year 2020 

20220113-42100

 

Executive Summary: The State of Federal Cybersecurity エグゼクティブサマリー:連邦政府のサイバーセキュリティの現状
Section I: Federal Cybersecurity Activities I章: 連邦政府のサイバーセキュリティ活動
A.  Roles and Responsibilities A. 役割と責任
B.  Programs and Policy Areas B. プログラムと政策分野
Section II: Federal Cybersecurity Reporting and Analysis II章: 連邦政府のサイバーセキュリティに関する報告と分析
A.  Improvements in Cybersecurity Hygiene A. サイバーセキュリティの衛生状態の改善
B.  Response to the COVID-19 Emergency B. COVID-19緊急事態への対応
C.  FY 2020 Information Security Incidents C. 2020年度情報セキュリティインシデント
D.  Cybersecurity Risk Management D. サイバーセキュリティのリスク管理
Section III: Senior Agency Official for Privacy (SAOP) Performance Measures III章:プライバシー担当上級職員(SAOP)のパフォーマンス指標
A.  Senior Agency Officials for Privacy (SAOPs) and Privacy Programs A. プライバシー担当上級職員(SAOP)とプライバシープログラム
B.  Personally Identifiable Information and Social Security Numbers B. 個人識別情報と社会保障番号
C.  Privacy and the Risk Management Framework C. プライバシーとリスクマネジメントフレームワーク
D.  Information Technology Systems and Investment D. 情報技術システムと投資
E.  Privacy Impact Assessments E. プライバシー影響評価
F.  Workforce Management F.  労働力管理
G.  Breach Response and Privacy G. 情報漏えい対策とプライバシー
Appendix I: Agency Cybersecurity Performance Summaries 附属書I: 各省庁のサイバーセキュリティパフォーマンス要約
Appendix II: Commonly Used Acronyms 附属書II:一般的に使用される略語

 

 

Executive Summary: The State of Federal Cybersecurity  エグゼクティブサマリー:連邦政府のサイバーセキュリティの現状 
Cybersecurity remains a significant challenge in the Federal Information Technology (IT) landscape. In December 2020, it was discovered that a sophisticated supply chain attack was used to gain access to a large number of information systems across several Federal Government agencies and U.S.-based companies. Commonly associated with the SolarWinds software that was among those exploited, this protracted attack was perpetrated by wellresourced actors spanning several months and is one of many reasons that the President has made cybersecurity one of the top priorities of his Administration. These events serve as a reminder that the Federal Government must continually invest in defensive capabilities in order to reduce the impact of cybersecurity incidents on our Nation.   サイバーセキュリティは、連邦政府の情報技術(IT)の状況において、依然として大きな課題となっています。2020年12月、高度なサプライチェーン攻撃を利用して、複数の連邦政府機関および米国に拠点を置く企業の多数の情報システムへのアクセスが行われたことが判明しました。一般的には、SolarWinds社のソフトウェアが悪用されたと考えられていますが、この長期にわたる攻撃は、十分なリソースを持った関係者によって数ヶ月間にわたって行われたものであり、大統領がサイバーセキュリティを政権の最優先事項の一つとしている理由の一つでもあります。これらの出来事は、連邦政府がサイバーセキュリティインシデントによる国家への影響を軽減するために、継続的に防御能力に投資しなければならないことを思い出させてくれます。 
Agencies reported 30,819 cybersecurity incidents in fiscal year (FY) 2020, an 8% increase over the 28,581 incidents that agencies reported in FY 2019. This trend highlights the everincreasing threats within the digital landscape and the need for the Federal Government to take action to reduce the impact of cybersecurity incidents. With respect to this same time period, agencies reported six major incidents to the Office of Management and Budget (OMB), Cybersecurity and Infrastructure Security Agency (CISA), and Congress. The incidents covered in this document were reported to CISA during FY 2020, which spans October 1, 2019 to September 30, 2020. Incidents related to the compromise of SolarWinds software are not directly covered in this report because they were first reported in December 2020, after the FY 2020 reporting period. Those incidents, for which facts continue to evolve, will be more directly addressed in the FY 2021 FISMA report.   2020年度に各省庁が報告したサイバーセキュリティインシデントは30,819件で、2019年度に各省庁が報告した28,581件に比べて8%増加しました。この傾向は、デジタルランドスケープ内の脅威がますます増大していることと、サイバーセキュリティインシデントの影響を軽減するために連邦政府が対策を講じる必要があることを浮き彫りにしています。この同時期に関して、各機関は6つの主要なインシデントを行政管理予算局(OMB)、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)、および議会に報告しました。本書で取り上げるインシデントは、2019年10月1日から2020年9月30日までの期間である2020年度にCISAに報告されたものです。SolarWindsソフトウェアの侵害に関連するインシデントは、2020年度の報告期間後の2020年12月に初めて報告されたため、本報告書では直接取り上げていません。これらのインシデントは、事実関係が引き続き進展しているため、2021年度のFISMA報告書でより直接的に取り上げられる予定です。 
The coronavirus disease 2019 (COVID-19) pandemic National emergency was also a significant factor in information security during FY 2020. This report highlights successful agency efforts during FY 2020 to rapidly transition the Federal enterprise to a telework posture during the ongoing pandemic.  コロナウイルス病2019(COVID-19)パンデミック国家緊急事態は、2020年度の情報セキュリティにおいても重要な要因となりました。本報告書では、現在進行中のパンデミック中に、連邦企業をテレワーク態勢に迅速に移行させるために、2020年度に成功した各省庁の取り組みを紹介しています。
Due to the consistency in reporting metrics between FY 2017 and FY 2020, this report is able to demonstrate the longterm improvement of cybersecurity hygiene across the Federal Government. This report also highlights Government-wide programs and initiatives as well as agencies’ progress to enhance Federal cybersecurity over the past year; however, the work of cybersecurity is never done, as adversaries constantly evolve and so must the defenders. Included in this report are a series of findings and actions for the Administration derived from data collected from departments and agencies.   2017年度と2020年度の間で報告指標が一貫しているため、本報告書では、連邦政府全体のサイバーセキュリティ衛生状態が長期的に改善されていることを示すことができます。また、本報告書では、政府全体のプログラムやイニシアチブ、および各省庁の過去1年間の連邦サイバーセキュリティ強化の進捗状況を紹介しています。しかし、敵対者は常に進化しており、防御側も同様に進化しなければならないため、サイバーセキュリティの仕事に終わりはありません。本報告書では、各省庁から収集したデータをもとに、行政機関に対する一連の所見と行動をまとめています。 
In addition to the focus on cybersecurity, this report offers insight into agencies’ privacy performance through their responses to Senior Agency Official for Privacy (SAOP) metrics. While privacy and cybersecurity are independent and separate disciplines, coordination between them is critical to agencies’ efforts to protect the information entrusted to them.  本報告書では、サイバーセキュリティに加えて、SAOP(Senior Agency Official for Privacy:プライバシー担当上級職員)メトリクスに対する各省庁の回答を通じて、各省庁のプライバシーに関するパフォーマンスについても考察しています。プライバシーとサイバーセキュリティは独立した別個の分野ですが、各省庁が委託された情報を保護するためには、両者の連携が不可欠です。
FY 2020 Report Key Takeaways:  2020年度報告書の主なポイント 
・30,819 incidents were reported in FY 2020 (8% increase over previous year), six of which were reported as major incidents.  ・2020年度には30,819件のインシデントが報告され(前年比8%増)、そのうち6件が重大インシデントとして報告された。
・Agencies continue to show improvements in available cyber hygiene measures; however, more work is necessary.  ・各省庁は、利用可能なサイバー衛生対策の改善を引き続き示しているが、さらなる努力が必要である。
・Agencies were able to quickly and   securely respond to the shift to telework during the COVID-19 pandemic.  ・COVID-19パンデミックの際、各省庁はテレワークへの移行に迅速かつ安全に対応することができた。

 

セキュリティインシデントの状況

NCISSのプライオリティレベル  FY 2019  FY 2020 
未分類
NCISS優先度を提供するために十分な情報が収集されなかったインシデント。
471 177
ベースライン - 無視できる (White)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、国民の信頼に影響を与える可能性が極めて低い。しかし、影響を与える可能性は存在し、さらなる精査が必要である。
19,850 19,039
ベースライン - マイナー (Blue)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性は極めて低い。
7,316 10,765
低 (Green)
国民の健康や安全、国家安全保障、経済安全保障、対外関係、市民的自由、社会的信頼に影響を与える可能性が低い。 
938 831
中 (Yellow)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性がある。
6 7
高 (Orange)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に実証可能な影響をもたらす可能性が高い。
0 0
重大 (Red)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由に重大な影響を与える可能性が高い。
0 0
緊急事態 (Black)
広範な重要インフラサービスの提供、国家政府の安定、または米国人の生命に差し迫った脅威をもたらす。
0 0
合計  28,581 30,819

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 

| | Comments (0)

2021.05.03

U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

こんにちは、丸山満彦です。

米国の「サイバーセキュリティ・インフラセキュリティ庁」 (Cybersecurity & Infrastracture Security Agency: CISA) が偽情報・誤情報の脅威とその対応方法についての漫画を2つ公開しています。

漫画はいかにもアメリカンな感じですが、参考になると思います。。。

CISA - RESILIENCE SERIES GRAPHIC NOVELS

2020年10月に公表された1作目です。

GRAPHIC NOVEL: REAL FAKE 

Real Fake, the first graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with dis- and misinformation through fictional stories that are inspired by real-world events. CISAのResilienceシリーズの最初のグラフィックノベル「Real Fake」は、現実の出来事から着想を得た架空の話を通して、偽情報や誤情報にまつわる危険性やリスクを伝えています。
Readers follow protagonists Rachel and Andre as they discover that a command center in Russia is using a network of troll farms to spread false narratives about elections to American voters. With the elections coming up, Rachel and Andre follow the trail of synthetic media and stop the cyber assailants from causing chaos, confusion, and division. 主人公のレイチェルとアンドレは、ロシアの司令部がトロールファーム [wikipedia] のネットワークを使って、アメリカの有権者に選挙に関する誤った情報を流していることを見つけます。選挙を間近に控えたレイチェルとアンドレは、合成メディア [wikipedia] の痕跡を追い、カオス、混乱、分裂を引き起こすサイバー攻撃者たちを阻止します。

・[PDF] Graphic Novel: 11.6 MB

20210503-64005

・[PDF] Script


2021.04.28に公表された2作目です。

GRAPHIC NOVEL: BUG BYTES

Bug Bytes, the second graphic novel in CISA’s Resilience Series, communicates the dangers and risks associated with threat actors using social media and other communication platforms to spread mis-, dis-, and malinformation (MDM) for the sole purpose of planting doubt in the minds of targeted audiences to steer their opinion. CISAの「Resilience Series」の2作目となるグラフィックノベル「Bug Bytes」は、ソーシャルメディアやその他のコミュニケーションプラットフォームを利用して、標的となる人々の心に疑念を植え付け、意見を誘導することを唯一の目的として、誤情報、偽情報、悪意のある情報(MDM)を広める脅威にまつわる危険性とリスクを伝える作品です。
Readers follow protagonist Ava who uses her wits and journalism skills to uncover a disinformation campaign set to damage 5G critical communications infrastructure in the United States. 主人公のエヴァは、知恵とジャーナリズムスキルを駆使して、米国の5G重要通信インフラにダメージを与えるための偽情報キャンペーンを明らかにしていきます。

・[PDF] Graphic Novel: 15.2 MB

20210503-64219

・[PDF] Script

 

| | Comments (0)

中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

こんにちは、丸山満彦です。

中国の情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260が、顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準を発表し、意見募集していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) 情報セキュリティ標準化技術委員会

2021.04.28 国家标准《信息安全技术 声纹识别数据安全要求》 国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件 DOCX
2021.04.28 国家标准《信息安全技术 步态识别数据安全要求》 国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件 PDF
2021.04.23 国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件 DOCX

 

国家标准《信息安全技术 声纹识别数据安全要求》 国家標準「情報セキュリティ技術 音声認識データのセキュリティ要件」
前言  序文
1 范围  1 範囲
2 规范性引用文件  2 規範となる引用文書
3 术语和定义  3 用語と定義 
4 概述  4 概要 
4.1 声纹识别数据活动典型场景  4.1 音声認識データ活動の典型的なシナリオ 
4.2 声纹识别应用场景  4.2 声紋認証の利用シーン 
4.3 科学实验场景  4.3 科学実験のシナリオ 
4.4 非声纹识别的语音应用场景  4.4 非音声認識音声アプリケーションのシナリオ 
5 基本安全要求  5 基本的なセキュリティ要件 
6 安全处理要求  6 安全な処理の要件 
6.1 通用安全处理要求  6.1 一般的なセキュリティ処理の要件 
6.2 声纹识别应用场景安全处理要求  6.2 音声認識アプリケーションシナリオのセキュリティ処理要件 
6.3 科学实验场景安全处理要求  6.3 科学実験シナリオにおけるセキュリティ処理の要件 
6.4 非声纹识别的语音应用场景安全处理要求  6.4 音声認識以外の音声アプリケーションシナリオのセキュリティ処理要件 
7 安全管理要求 7 セキュリティ管理の要件
附录A (资料性) 声纹识别数据活动的典型场景 附属書A(参考)音声認識データ活動の典型的なシナリオ
A.1 声纹识别应用场景 A.1 音声認識アプリケーションのシナリオ
A.2 科学实验场景 A.2 科学実験のシナリオ
A.3 非声纹识别的语音应用场景 A.3 非音声認識音声アプリケーションのシナリオ
附录B (资料性) 声纹识别数据安全风险分析  附属書B (参考) 音声認識データのセキュリティリスク分析 
B.1 共性风险  B.1 一般的なリスク 
B.2 特性风险  B.2 特徴的なリスク 
附录C (资料性) 科学实验场景知情同意书示例  附属書C(参考) 科学実験シナリオのためのインフォームド・コンセント・フォームの例 
参考文献  参考文献 
   
国家标准《信息安全技术 步态识别数据安全要求》 国家標準「情報セキュリティ技術 歩行認識データセキュリティ要件
前言  序文
1 范围 1 範囲
2 规范性引用文件 2 規範となる引用文書
3 术语和定义 3 用語と定義
4 概述 4 概要
4.1 步态识别数据活动典型场景 4.1 歩行認識データ活動の典型的なシナリオ
4.2 场景分类  4.2 シナリオ分類 
4.3 数据控制者  4.3 データコントローラ 
5 基本安全要求  5 基本的なセキュリティ要件 
6 步态识别数据安全处理要求  6 歩行認識データの安全な処理条件 
6.1 通用安全处理要求  6.1 一般的なセキュリティ処理の要件 
6.2 身份识别应用场景  6.2 識別アプリケーションのシナリオ 
6.3 非身份识别场景  6.3 非識別化シナリオ 
6.4 科研场景  6.4 科学研究のシナリオ 
7 步态识别数据安全管理要求  7 歩行認識データのセキュリティ管理要件 
附录 A (资料性) 步态识别数据活动的典型场景  附属書A(参考) 歩行認識データの活動に関する典型的なシナリオ 
A.1 身份识别应用场景  A.1 識別アプリケーションのシナリオ 
A.2 非身份识别应用场景  A.2 非識別アプリケーションのシナリオ 
A.3 科研场景  A.3 科学研究のシナリオ 
附录 B (资料性) 步态识别数据常见安全风险  附属書B(参考) 歩行認識データに共通するセキュリティリスク 
B.1 常见安全风险  B.1 一般的なセキュリティリスク 
B.2 常见安全风险与条款对照表  B.2 一般的なセキュリティリスクと用語の比較表 
附录 C (资料性) 科学实验场景知情同意书示例  附属書C(参考) 科学実験シナリオのためのインフォームド・コンセント・フォームの例
参考文献  参考文献
   
国家标准《信息安全技术 人脸识别数据安全要求》 国家標準「情報セキュリティ技術 顔認識データセキュリティ要件
前言 序文
1 范围 1 スコープ
2 规范性引用文件 2 基準となる文献
3 术语和定义 3 用語と定義
4 概述 4 概要
5 基本安全要求 5 基本的な安全要件
6 安全处理要求 6 安全な取り扱いの要件
7 安全管理要求 7 安全管理の要件
参考文献 参考文献

20210502-234126


■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.04 中国が情報セキュリティに関連の国家標準のパブコメを18件出していました・・・

| | Comments (0)

2021.05.02

デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

こんにちは、丸山満彦です。

AIによる画像認識については、欧米を中心に大変関心が高まっていますが、中国の中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)がデジタルチャイナの情報セキュリティ・プライバシーに対する記事(原典:经济日报)を紹介していますね。。。(2021.04.14)

基本はプライバシーをちゃんと確保しましょうということです。。。

中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

・2021.04.14 经济日报:信息安全保护任重道远——建设数字中国系列述评之三

 

興味深いです。。。

1_20210502070401

| | Comments (0)

100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

こんにちは、丸山満彦です。

100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)となるようですね。。。そして、最も強化するポイン2つのうちの一つはサイバーセキュリティ監査能力。おそらく、政府のデジタル化というかIT利用(AI等も含む)がより進んでいっている結果、それに伴うリスクを低減するための活動にも寄与できるようにするということなんでしょうね。。。

● U.S. GAO

・2021.04.28 Fiscal Year 2022 Budget Request:U.S. Government Accountability Office

20210502-63237

Fast Facts ポイント
In FY 2020, our work yielded $77.6 billion in financial benefits, a return of about $114 for every $1 invested in us. We also identified 1,332 other benefits for the American people. 2020年度、私たちの活動は776億ドル(8.5兆円)の経済的利益をもたらしました。これは、私たちに投資された1ドルにつき約114ドルの利益をもたらしたことになります。また、それ以外にも1,332の米国民にとっての利益を確認しました。
In this testimony before the Senate Subcommittee on the Legislative Branch, Committee on Appropriations, U.S. Comptroller General Gene Dodaro discusses GAO's FY 2022 budget request. In our centennial year, we seek to lay the foundation for our next 100 years. For example, with our requested funding, we will: この証言は、上院の歳出委員会の法制部門小委員会で行われたもので、米国監査院長のジーン・ドダロ氏がGAOの2022年度予算要求について述べています。100周年の今年、私たちは次の100年のための基礎を築こうとしています。例えば、今回要求された予算で、我々は以下のことを行います。
・Expand our work on rapidly evolving science and technology ・急速に発展する科学技術に関する業務を拡大する
・Boost our capacity to review complex cyber security developments ・複雑なサイバーセキュリティ開発を検証する能力を高める
Highlights ハイライト
In fiscal year (FY) 2020, GAO's work yielded $77.6 billion in financial benefits, a return of about $114 for every dollar invested in GAO. We also identified 1,332 other benefits that led to improved services to the American people, strengthened public safety, and spurred program and operational improvements across the government. In March 2021, GAO reported on 36 areas designated as high risk due to their vulnerabilities to fraud, waste, abuse, and mismanagement or because they face economy, efficiency, or effectiveness challenges. In FY 2020 GAO's High Risk Series products resulted in 168 reports, 26 testimonies, $54.2 billion in financial benefits, and 606 other benefits. 2020会計年度(FY)において、GAOの活動は776億ドルの経済的利益をもたらし、GAOへの投資1ドルに対して約114ドルのリターンがあった。また、米国民へのサービス向上、公共安全の強化、政府全体のプログラムや業務改善に拍車をかけた1,332件のその他の利益を確認しました。2021年3月、GAOは、詐欺、無駄、乱用、不正管理に対する脆弱性、または経済性、効率性、有効性の課題に直面していることから高リスクと指定された36分野について報告しました。2020年度のGAOのハイリスクシリーズの成果は、168の報告書、26の証言、542億ドルの財政的利益、606のその他の利益をもたらしました。
In this year of GAO's centennial, GAO's FY 2022 budget request seeks to lay the foundation for the next 100 years to help Congress improve the performance of government, ensure transparency, and save taxpayer dollars. GAO's fiscal year (FY) 2022 budget requests $744.3 million in appropriated funds and uses $50.0 million in offsets and supplemental appropriations. These resources will support 3,400 full-time equivalents (FTEs). We will continue our hiring focus on boosting our Science and Technology and appropriations law capacity. GAO will also maintain entry-level and intern positions to address succession planning and to fill other skill gaps. These efforts will help ensure that GAO recruits and retains a talented and diverse workforce to meet the priority needs of the Congress. GAO創立100周年の今年、GAOの2022年度予算要求は、議会が政府のパフォーマンスを改善し、透明性を確保し、納税者のドルを節約するのを助けるために、次の100年のための基礎を築くことを目指しています。GAOの2022年度予算は、7億4,430万ドル(約820億円)の予算を要求し、5,000万ドルのオフセットと追加予算を使用しています。これらのリソースは、3,400人相当(FTE)をサポートします。GAOは、科学技術と予算法の能力を高めることに重点を置いた採用を継続します。またGAOは、後継者育成やその他のスキルギャップを埋めるために、エントリーレベルやインターンのポジションを維持します。これらの取り組みにより、GAOは議会の優先的なニーズを満たすために、有能で多様な人材を採用し、維持することができます。

 

予算等の推移

20210502-63444

GAO’ requested FY 2022 funding level would enable GAO to continue to increase our capabilities to review the opportunities and challenges associated with evolving science and technology issues; complex and growing cyber security developments; and rising health care costs. GAOが要求した2022年度の予算レベルは、進化する科学技術の問題、複雑で拡大するサイバーセキュリティの発展、医療費の増加に関連する機会と課題を検討するためにGAOの能力を継続的に向上させることができます。
Specifically 特に
Science and Technology. These resources will allow us to expand our science and technology capabilities in accordance with the 2019 plan provided to Congress to bolster our technology assessments and other science and technology (S&T) assistance to Congress, and help ensure that GAO has the bandwidth and expertise to support audits where this expertise is critical in addressing congressional priorities. 科学技術。これらのリソースにより、議会に提供された2019年の計画に従って科学技術能力を拡大し、技術評価やその他の議会への科学技術(S&T)支援を強化することができ、議会の優先事項に対処する上で重要な監査をサポートするための幅と専門知識をGAOが確保するのに役立ちます。
CyberSecurity. GAO will continue to expand our expertise and ability to assess the cybersecurity challenges facing the Nation, including assessments of the implementation of the National Cyber Strategy, government global cyberspace strategies, and government and private sector efforts to address the impact of the SolarWinds intrusion. サイバーセキュリティ。GAOは、国家サイバー戦略の実施、政府のグローバルサイバースペース戦略、SolarWinds侵入の影響に対処するための政府と民間企業の取り組みの評価など、国家が直面するサイバーセキュリティの課題を評価するための専門知識と能力を引き続き拡大していきます。
Health Care Spending. GAO will continue to examine the sustainability and integrity of the Medicare and Medicaid programs and to oversee VA, DOD, and Indian Health Service health care services. Health care spending now accounts for over 25 percent of the federal budget and is one of the fastest growing federal expenditures. 医療費の支出。GAOは、メディケアとメディケイドプログラムの持続可能性と完全性の調査、およびVA、DOD、インディアンヘルスサービスのヘルスケアサービスの監督を継続します。医療費は現在、連邦予算の25%以上を占めており、最も急速に増加している連邦支出の一つです。

 

 

一定げずられるでしょうが、増えていますね。。。

 

 

 

日本の会計検査院(令和3年)と比較してみましょう、、、

  GAO 会計検査院
Gene Dodaro 森田祐司
設置 1921年 1880年
人数 約3400名(FTE) 約1250名(2020.12)
予算 2022年度 要求 744 M US$ (約820億円) 概算決定 約168億円
予算 2019年度 637 M US$ (約700億円) 約177億円

GDP比的に見ても米国は厚い陣容です。。。

ちなみに、現在の会計検査院長の森田さんは、私がトーマツに入った時の上司で最初の結婚式の仲人的な方です。システム監査をしておられて、ISACAに入るきっかけになった方でもあります(^^)。

あれっ、日本は2019年度から比較して減少していますね。。。GDP比的に見ても米国は厚い陣容です。。。

 


■ 参考

● 会計検査院 - 会計検査院の予算・決算 -令和3年度予算 

 

 

 

| | Comments (0)

2021.05.01

Cloud Security Alliance APIを提供・利用するためのセキュリティガイドライン

こんにちは、丸山満彦です。

Cloud Security Allianceが、「APIを提供・利用するためのセキュリティガイドライン」を公表していますね。。。

そういえば、本日のお昼ごろは暗号資産関係の方と少し話をしておりました。。。

Cloud Security Alliance: CSA

・2021.04.30 Security Guidelines for Providing and Consuming APIs

・[PDF]は簡単な質問に答えると入手できます。

20210501-90842

Introduction はじめに
Purpose of This Document この文書の目的
 Document Terminology  用語
 Document Scope  文書の範囲
 Target Audience  想定読者
 Overview  概要
Part 1: Risk Evaluation Part 1: リスク評価
Part 2: Security Checklist Part 2: セキュリティチェックリスト
 API Security Guidelines  APIセキュリティガイドライン
 Section 1: Design for Ingress API Connectivity   セクション1:Ingress API接続の設計 
 Section 2: Design for Egress API Connectivity  セクション2:Egress API接続の設計
Final Thoughts 最終的な考え
Appendix A: Mapping OWASP API Top Ten to Section 1 Controls 附属書A:OWASP API Top Tenとセクション1のコントロールのマッピング
Appendix B: Third-Party Integration – Non-API Access Security Guidelines 附属書B:サードパーティとの統合 - 非 API アクセスセキュリティガイドライン
Appendix C: SaaS Marketplace Integration 附属書C:SaaS マーケットプレイスの統合
Appendix D: Mapping to Other CSA Resources 附属書D:CSA の他のリソースへのマッピング
Further Reading 参考文献

| | Comments (0)

U.K. 国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

こんにちは、丸山満彦です。

英国の国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。前のバージョンは2019年に4月でしたから2年ぶりの更新です。記述が増えましたね(^^)

U.K. National Audit Office: NAO

・2021.04.30 Guidance for audit committees on cloud services


このガイダンスでは、クラウドサービスの概要と、その利用に関する政府の方針を説明しています。その上で、監査委員会が経営陣と関わる際に、3つの段階で質問することを検討するための具体的な質問を示しています。

  • クラウドサービスの評価:組織戦略やデジタル戦略、ビジネスケースプロセス、デューデリジェンスの一環としてクラウドサービスを検討する。
  • クラウドサービスの導入:システム構成、データ移行、サービスのリスクとセキュリティを考慮する。
  • クラウドサービスの管理と最適化:運用上の考慮点、第三者による保証の必要性、本番稼動を管理するために必要な能力を説明する。

本ガイダンスは、他で配布されている詳細なクラウド・ガイダンスを参照・補完するものです。


ということのようです。。。

・[PDF] Guidance for audit committees on cloud services

20210430-235829

目次

Foreword 序文
Introduction はじめに
 Why this requires attention  なぜこれが必要なのか
 What is government policy on cloud services?  クラウドサービスに関する政府の政策とは?
 Other guidance available  その他のガイダンス
An overview of cloud services クラウドサービスの概要
 Pricing of cloud services  クラウドサービスの価格
 Legacy systems  従来のシステム
 Lock-in and exit strategy  ロックインと出口戦略
Part One: Assessment of cloud services 第1部:クラウドサービスの評価
 Digital strategy  デジタル戦略
 Business case  ビジネスケース
 Due diligence  デューディリジェンス
Part Two: Implementation of cloud services 第2部:クラウドサービスの導入
 System configuration  システム構成
 Risk and security  リスクとセキュリティ
 Implementation  実装
Part Three: Management and optimisation of cloud services  第3部:クラウドサービスの管理と最適化 
 Operations  運用
 Assurance  保証
 Capability  キャパシティ
Appendix One: National Cyber Security Centre guidance 附属書1:王立サイバーセキュリティセンターのガイダンス
Appendix Two: Assurance arrangements: Service Organisation Controls(SOC) reports, Cyber Essentials and ISO 27001 附属書2:保証体制:Service Organisation Controls(SOC)レポート、Cyber Essentials、ISO 27001

 

2019年4月に初版が公表された時のページです。

・2019.04.24 Guidance for audit committees on cloud services

20210501-00430

 

2018年5月に監査委員会向けの啓発をした時のページです。

・2018.05.24 Transformation guidance for audit committees


このガイダンスは、監査委員会が、経営陣が変革によって何を意図しているのか、サービスはどのように変化するのか、そして目的を達成するための戦略を明確にすることを促すためのものです。本ガイダンスでは、3つの段階での質問と、注目すべき証拠や指標を示しています。

  • セットアップ:ビジョン、戦略、ガバナンス、アーキテクチャ、および変革の進化する性質を含みます。
  • 提供:変更と実装、およびサービスとパフォーマンスの管理をカバーします。
  • 実運用と便益の実現:人、プロセス、技術を対象とします。

変革においてデータが中心的な役割を果たすことを踏まえ、本ガイダンスでは、監査委員会がデータの役割と管理について質問できる項目も用意されています。


20210501-60920

 

2017年に監査委員会向けにサイバーセキュリティについて発表した資料

・2017.09.13 Cyber security and information risk guidance for Audit Committees


以下をカバーする質問と問題のチェックリストを提供します。

  • サイバーセキュリティとリスク管理についての全体的なアプローチ
  • サイバーセキュリティを管理するために必要な機能
  • 情報リスク管理、ネットワークセキュリティ、ユーザー教育、インシデント管理、マルウェア保護、監視、在宅およびモバイル作業などの特定の側面
  • クラウドサービスの利用や新しいサービス・テクノロジーの開発などの関連分野

20210501-61608

 

| | Comments (0)

NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

こんにちは、丸山満彦です。

NISTがSP 800-161 Rev. 1 (ドラフト) 「システムと組織のためのサイバー・サプライチェーン・リスク管理の実践」を公表し、意見募集をしておりますね。。。

6月14日に締め切った後、9月に第2次ドラフトを公開する予定ですね。。。ボストンコンサルティングの方がメンバーですね。。。

NIST - ITL - Computer Security Resource Center

・2021.04.29 SP 800-161 Rev. 1 (Draft) Cyber Supply Chain Risk Management Practices for Systems and Organizations

 

パブコメの対象は、

Publication: 

・[PDF]  SP 800-161 Rev. 1 (Draft)

20210430-211045

その他参考情報は

Workshop (web)

NIST’s Cyber Supply Chain Risk Management Program (other)

現在の文書

SP 800-161 (web) 

 

Announcement 発表
More than ever, organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks can decrease an enterprise’s visibility into and understanding of how the technology that they acquire is developed, integrated, and deployed. They can also affect and be affected by the processes, procedures, and practices used to ensure the security, resilience, reliability, safety, integrity, and quality of products and services. 企業はこれまで以上に、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバーサプライチェーン内での不適切な製造・開発行為による脆弱性に関連するリスクを懸念しています。これらのリスクは、企業が取得したテクノロジーがどのように開発、統合、展開されているかについて、企業の可視性や理解を低下させる可能性があります。また、製品やサービスのセキュリティ、耐障害性、信頼性、安全性、完全性、品質を確保するために使用されるプロセス、手順、実践にも影響を与え、影響を受ける可能性があります。
That is why NIST is inviting comments on a major revision to Cyber Supply Chain Risk Management Practices for Systems and Organizations (SP 800-161). The updates are designed to better help organizations identify, assess, and respond to cyber supply chain risks while still aligning with other fundamental NIST cybersecurity risk management guidance. そのため、NISTは、「システムと組織のためのサイバーサプライチェーンリスクマネジメントの実践」(SP 800-161)の大幅な改訂についてコメントを募集しています。今回の改訂は、NISTの他の基本的なサイバーセキュリティ・リスク管理ガイダンスとの整合性を保ちつつ、組織がサイバー・サプライチェーン・リスクを特定し、評価し、対応するのに役立つように設計されています。
The revision to this foundational NIST publication represents a 1-year effort to incorporate next generation cyber supply chain risk management (C-SCRM) controls, strategies, policies, plans, and risk assessments into broader enterprise risk management activities by applying a multi-level approach. The changes focus on making implementation guidance more modular and consumable for acquirers, suppliers, developers, system integrators, external system service providers, and other information and communications technology (ICT)/operational technology (OT)-related service providers. Additionally, the references have been updated and expanded. このNISTの基本的な出版物の改訂は、次世代のサイバーサプライチェーンリスク管理(C-SCRM)の統制、戦略、方針、計画、リスク評価を、マルチレベルのアプローチを適用することで、より広範な企業のリスク管理活動に組み込むための1年間の取り組みを表しています。今回の変更点は、買収者、供給者、開発者、システムインテグレーター、外部システムサービスプロバイダー、その他の情報通信技術(ICT)/運用技術(OT)関連のサービスプロバイダー向けに、実施ガイダンスをよりモジュール化し、消費可能にすることに重点を置いています。さらに、参考文献も更新・拡充されています。
..... .....
Abstract 概要
Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services. 企業は、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバー・サプライ・チェーン内の不適切な製造・開発方法による脆弱性に関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、および実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services. 本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント(C-SCRM)をリスクマネジメント活動に統合しています。

 

目次 ↓

Continue reading "NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践"

| | Comments (0)

« April 2021 | Main | June 2021 »