« June 2021 | Main | August 2021 »

July 2021

2021.07.31

米国 CISA 米国、英国、オーストラリアが共同サイバーセキュリティアドバイザリを発行

こんにちは、丸山満彦です。

CISAは米国、英国、オーストラリアが共同サイバーセキュリティアドバイザリ(アラート(AA21-209A)日常的に悪用される脆弱性)を発行したと発表していますね。。。

 

CISA

・2021.07.28 U.S., U.K., AND AUSTRALIA ISSUE JOINT CYBERSECURITY ADVISORY

アラートはこちら、、、

・2021.07.28 Alert (AA21-209A) Top Routinely Exploited Vulnerabilities

2020年、2021年に広く悪用された脆弱性として、

Table 1:Top Routinely Exploited CVEs in 2020
Vendor CVE Type
Citrix CVE-2019-19781 arbitrary code execution
Pulse CVE 2019-11510 arbitrary file reading
Fortinet CVE 2018-13379 path traversal
F5- Big IP CVE 2020-5902 remote code execution (RCE)
MobileIron CVE 2020-15505 RCE
Microsoft CVE-2017-11882 RCE
Atlassian CVE-2019-11580 RCE
Drupal CVE-2018-7600 RCE
Telerik CVE 2019-18935 RCE
Microsoft CVE-2019-0604 RCE
Microsoft CVE-2020-0787 elevation of privilege
Netlogon CVE-2020-1472 elevation of privilege

 

Fig1_20210731004501

| | Comments (0)

総務省 「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

こんにちは、丸山満彦です。

総務省が「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」を公表していますね。。。

パブコメが出たとき (2021.06.10) に紹介をするのを忘れていました。。。

● 総務省

・2021.07.29 「ICTサイバーセキュリティ総合対策2021」(案)に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

・[PDF] ICTサイバーセキュリティ総合対策2021

20210731-01217

目次は、

はじめに
Ⅰ 改定に当たっての主要な政策課題

(1)昨年の「IoT・5G セキュリティ総合対策 2020」以降の状況変化
(2)状況変化等を踏まえた主要な政策課題
(3)主要な政策課題への対処のための施策の整理・分類
(4)施策の推進・実施に当たっての基本的な考え方・主な留意点

Ⅱ 情報通信サービス・ネットワークの個別分野に関する具体的施策
1 電気通信事業者における安全かつ信頼性の高いネットワークの確保のためのセキュリティ対策の推進
(1)安全かつ信頼性の高いネットワークの確保
(2)サイバー攻撃に対する電気通信事業者の積極的な対策の実現
(3)5G の本格的な普及に向けたセキュリティ対策の強化

COVID-19 への対応を受けたセキュリティ対策の推進
(1)テレワークセキュリティの確保
(2)トラストサービスの制度化と普及促進

3 デジタル改革・DX 推進の基盤となるサービス等のセキュリティ対策の推進
(1)IoT のセキュリティ対策
 ① IoT 機器の設計・製造・販売段階での対策
 ② IoT 機器の運用段階での対策(脆弱性等のある IoT 機器の調査・注意喚起)
(2)クラウドサービスの利用の進展を踏まえた対応
(3)スマートシティのセキュリティ対策

4 分野別の具体的施策
(1)無線 LAN のセキュリティ対策
(2)放送分野のセキュリティ対策
(3)地域の情報通信サービスのセキュリティの確保

Ⅲ 横断的施策
1 サイバーセキュリティ情報に関する産学官での連携・共有等の促進
(1)我が国のサイバーセキュリティ情報の収集・分析能力の向上に向けた産学官連携の加速
(2)サイバー攻撃被害情報の適切な共有及び公表の促進
(3)その他の情報共有・情報開示の促進
 ① 事業者間での情報共有を促進するための基盤の構築
 ② サイバーセキュリティ対策に係る情報開示の促進
ICT サイバーセキュリティに係る横断的施策
(1)国際連携の推進
 ① ASEAN 各国をはじめとするインド太平洋地域等との連携
 ② 国際的な ISAC 間連携
 ③ 国際標準化の推進
 ④ サイバー空間における国際ルールを巡る議論への積極的参画
(2)研究開発の推進
 ① 基礎的・基盤的な研究開発等の推進
 ② IoT 機器のセキュリティ対策技術の研究開発の推進
 ③ 脆弱性の検証手法等の確立と体制整備
 ④ 衛星通信におけるセキュリティ技術の研究開発
 ⑤ 暗号技術に関する安全性評価と研究開発の推進
 ⑥ IoT 社会に対応したサイバー・フィジカル・セキュリティ対策
(3)人材育成・普及啓発の推進
 ① 人材育成オープンプラットフォームの構築
 ② 実践的サイバー防御演習(CYDER)の実施
 ③ 若手セキュリティ人材の育成の促進
 ④ 地域におけるセキュリティ人材育成
 ⑤ 利用者への普及啓発

Ⅳ 今後の進め方
別添 プログレスレポート 2021

 

・[PDF] 提出された意見及びその意見に対する同タスクフォースの考え方

 

意見を出したのは、

1 一般社団法人情報処理安全確保支援士会
2 KDDI株式会社
3 華為技術日本株式会社
4 ヴイエムウェア株式会社
5 BSA ザ・ソフトウェア・アライアンス
に、個人が4名のようですね。。。

 

| | Comments (0)

2021.07.30

Cloud Security Alliance がクラウド脅威モデリングを促進するためのガイドを公表していますね。。。

こんにちは、丸山満彦です。

Cloud Security Alliance がクラウド脅威モデリングを促進するためのガイドを公表していますね。。。

クラウドの普及により、従来の脅威モデルでは十分に対応できない部分も増えてきたので、クラウドを利用する際の脅威モデルを作成することの重要性を強調し、各企業が独自にそれができるようにするために開発されたようですね。このガイドでは、クラウドの脅威モデルを作成するためのカード(脅威、脆弱性、資産、統制)と参照モデルを掲載しており、企業が独自のクラウドの脅威モデルを作成することで、リスク管理プロセスに磨きをかけ、その過程でサイバーセキュリティプログラム全体を成熟させることができるということのようです。

ユニークな取り組みと思いました。。。

Cloud Security Alliance

・2021.07.29 Cloud Security Alliance Releases Guide to Facilitate Cloud Threat ModelingDocument provides tangible exercise for organizations to create their own cloud threat model

 

SEATTLE – July 29, 2021 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications and best practices to help ensure a secure cloud computing environment, today released its latest guide, Cloud Threat Modeling. Written by the CSA Top Threats Working Group, the document provides cloud and security practitioners responsible for system preparedness with critical guidance on conducting threat modeling for cloud applications, their services, and surrounding security decisions. To facilitate the exercise, the guide features cloud threat modeling cards (Threat, Vulnerability, Asset, and Control) and a reference model that organizations can use to create their own cloud threat model, thereby honing their risk management process and maturing their overall cybersecurity program in the process. 2021年7月29日、シアトル発 - 安全なクラウドコンピューティング環境を実現するための標準規格、認証、ベストプラクティスの策定に取り組む世界有数の組織であるクラウドセキュリティアライアンス(CSA)は、本日、最新のガイド「Cloud Threat Modeling」を発表しました。CSA Top Threats Working Groupによって作成された本ガイドは、システムの準備を担当するクラウドおよびセキュリティの実務者に、クラウドアプリケーションやそのサービス、周辺のセキュリティに関する意思決定のための脅威モデルの実施に関する重要なガイダンスを提供します。本ガイドでは、クラウドの脅威モデルを作成するためのカード(脅威、脆弱性、資産、統制)と参照モデルを掲載しており、企業が独自のクラウドの脅威モデルを作成することで、リスク管理プロセスに磨きをかけ、その過程でサイバーセキュリティプログラム全体を成熟させることができます。
Threat modeling is an essential practice for software and systems security — doubly so for cloud software, systems, and services — and it’s imperative that organizations develop a structured and repeatable approach for modeling threats in order to successfully anticipate and mitigate cyberattacks. 脅威のモデル化は、ソフトウェアやシステムのセキュリティに不可欠な手法であり、クラウドのソフトウェア、システム、サービスにおいては特に重要です。サイバー攻撃を予測し、軽減するためには、脅威をモデル化するための構造的で反復可能なアプローチを開発することが不可欠です。
“The fast pace of cloud adoption has surpassed some security methodologies that were honed over the course of 40 years of information technology development. Threat modeling is one of those security methodologies that, unfortunately, hasn’t kept pace with the rate of cloud adoption. As such, there is a great deal of benefit to be had in aligning the critical practice of threat modeling with cloud services, technologies, and models. This guide serves to close the gap and set enterprises off on their own threat modeling journey,” said Alex Getsin, co-chair, Top Threats Working Group and the paper’s lead author. 「クラウドの急速な普及に伴い、40年以上にわたる情報技術の発展の中で培われてきたいくつかのセキュリティ方法論は、もはや通用しなくなっています。脅威のモデル化は、残念ながら、クラウドの導入速度に追いついていないセキュリティ手法の一つです。そのため、脅威モデルの重要な実践を、クラウドのサービス、テクノロジー、モデルに合わせることで、大きなメリットを得ることができます。このガイドは、このギャップを解消し、企業が独自の脅威モデリングの道を歩むためのものです」と、トップスレットワーキンググループの共同議長であり、本文書の主執筆者であるAlex Getsinは述べています。

 

 ・[PDF] Cloud Threat Modeling

20210730-23505

目次

Introduction はじめに
Purpose 目的
Target Audience 想定読者
Key Takeaways 主な論点
Threat Modeling 脅威モデリング
Cloud Threat Modeling クラウド脅威モデリング
 Is the Purpose of Cloud Threat Modeling Different?  クラウド脅威モデリングの目的は異なるのか?
 Cloud Threat Modeling Process  クラウド脅威モデリングのプロセス
Creating a Cloud Threat Model クラウド脅威モデルの作成
Conclusions おわりに
References 参考文献
Appendix 1: Threat Modeling Reporting Detailed Guidance 附属書1:脅威モデル報告書詳細ガイダンス
Appendix 2: Cloud Threat Modeling Cards 附属書2:クラウド脅威モデリングカード

 

Core Threat Modeling Activities:  主要な脅威モデリング活動
1. Identify threat modeling security objectives for the threat modeling exercise, focusing on critical aspects such as confidentiality, integrity, availability, and privacy, e.g., 1. 機密性、完全性、可用性、プライバシーなどの重要な側面に着目して、脅威モデル演習のセキュリティ目標を特定する。例えば、以下の事項。
a. protect the company’s databases containing customer or regulated information from external attackers; a. 顧客情報や規制された情報を含む会社のデータベースを、外部の攻撃者から保護する。
b. ensure high availability for the e-commerce web application; and  b. E コマース用 Web アプリケーションの高可用性を確保する。
c. select a cloud application model with the least attack surface or customer security responsibility. c. 攻撃対象や顧客のセキュリティ責任が最も少ないクラウドアプリケーションモデルを選択する。
2. Set the scope of the assessment with respect to the systems and/or cloud infrastructure under consideration by providing an overview of the system or cloud application. This typically covers areas such as the various organizational assets, including technology stack used, existing security controls, deployment scenario, type of users, and any specific security or regulatory requirement which needs to be addressed in the threat modeling. 2. システムまたはクラウドアプリケーションの概要を説明することにより、検討中のシステムやクラウドインフラストラクチャに関する評価の範囲を設定する。一般的には、使用されている技術スタックを含む様々な組織資産、既存のセキュリティ管理、展開シナリオ、ユーザの種類、脅威モデルで対処する必要のある特定のセキュリティ要件または規制要件などの分野をカバーする。
3. System/application decomposition covers breaking down the system into subsystems and examining the interaction among the various components. The key activities done in this phase are: 3. システム/アプリケーションの分解では、システムをサブシステムに分解し、さまざまなコンポーネント間の相互作用を検証する。このフェーズで行われる主な活動は以下のとおりである。 
 a. Understand trust boundaries (external and internal facing, privileged, unauthenticated, etc.). a. 信頼の境界を理解する(外部と内部の境界、特権、未認証など)。
b. Identify input and egress to the system (input and output), as well as data format. b. システムへの入力と出力、およびデータフォーマットを特定する。
c. Map the data flows in the system/s. c. システムにおけるデータフローをマッピングする。
4. Identify and rate the potential threats; that is, identify the threats, type of attacks, and how the given system or its functionalities can be misused by a malicious user. Some of the common threats are related to unauthorized access, denial of service, information disclosure, etc. The severity of the threat can be rated by using a framework such as DREAD3 . 4. 潜在的な脅威を特定し、評価する。すなわち、脅威、攻撃の種類、および悪意のあるユーザーによ って与えられたシステムまたはその機能がどのように悪用されるかを特定する。一般的な脅威には、不正アクセス、サービス拒否、情報開示などに関するものがある。脅威の深刻度は、DREAD3のようなフレームワークを使用して評価することができる。
5. Identify weaknesses and gaps in the system design and components to aid the security decisions and define the scope and nature of security testing. 5. セキュリティに関する意思決定を支援するために、システム設計やコンポーネントの弱点やギャップを特定し、セキュリティテストの範囲や性質を定義する。
6. Design and prioritize mitigations and controls applicable to the predetermined threats and reflect on how those controls would reduce the threat or risk level. 6. 事前に設定した脅威に適用可能な緩和策および管理策を設計して優先順位をつけ、それらの管理策がどのように脅威またはリスクレベルを低減するかを反映する。
7. Communicate and create call to action: Communicate the identified threats, their potential impact and severity, as well as the applicable and proposed controls. Make the modeling data and insights available and call to the action of threat mitigation by design or effect. 7. 伝達と行動喚起を行う。識別された脅威、その潜在的な影響および重大性、ならびに適用可能な対策および提案された対策を伝えること。モデル化されたデータと洞察を利用可能にし、設計または効果による脅威の緩和という行動を呼びかける。

| | Comments (0)

2021.07.29

国連 地域間犯罪司法研究所 人工知能によるオンラインテロ対策 at 2021.06.30

こんにちは、丸山満彦です。

国連の地域間犯罪司法研究所が人工知能によるオンラインテロ対策を2021.06.30に公開していましたね。。。

 

United Nations Interregional Crime and Justice Research Institute

・2021.06.30 Countering Terrorism Online with Artificial Intelligence - An Overview for Law Enforcement and Counter-Terrorism Agencies in South Asia and South-East Asia

・[PDF] COUNTERING TERRORISM ONLINE WITH ARTIFICIAL INTELLIGENCE - AN OVERVIEW FOR LAW ENFORCEMENT AND COUNTER-TERRORISM AGENCIES IN SOUTH ASIA AND SOUTH-EAST ASIA

20210729-22019

 

・[DOCX] 仮訳

 

 

FOREWORD 序文 
Artificial intelligence (AI) can have, and already is having, a profound impact on our society, from healthcare, agriculture and industry to financial services and education. However, as the United Nations Secretary-General António Guterres stated in his 2018 Strategy on New Technologies, “while these technologies hold great promise, they are not risk-free, and some inspire anxiety and even fear. They can be used to malicious ends or have unintended negative consequences”. AI embodies this duality perhaps more than any other emerging technology today. While it can bring improvements to many sectors, it also has the potential to obstruct the enjoyment of human rights and fundamental freedoms – in particular, the rights to privacy, freedom of thought and expression, and non-discrimination. Thus, any exploration of the use of AI-enabled technologies must always go hand-in-hand with efforts to prevent potential infringement upon human rights. In this context, we have observed many international and regional organizations, national authorities and civil society organizations working on initiatives aimed at putting in place ethical guidelines regarding the use of AI, as well as the emergence of proto-legal frameworks. 人工知能(AI)は、医療、農業、産業から金融サービス、教育に至るまで、私たちの社会に大きな影響を与える可能性があり、また、すでに影響を与えている。しかし、国連のグテーレス事務総長が「2018年新技術戦略」で述べているように、「これらの技術は大きな可能性を秘めているが、リスクがないわけではなく、不安や恐怖を抱かせるものもある。悪意のある目的に使われたり、意図しない悪い結果をもたらしたりする可能性がある」。AIは、おそらく今日の他のどの新興技術よりも、この二面性を体現している。AIは多くの分野に改善をもたらす一方で、人権や基本的自由、特にプライバシー、思想・表現の自由、無差別の権利の享受を妨げる可能性がある。したがって、AI技術の利用を検討する際には、人権侵害の可能性を防止するための取り組みと常に密接に関連していなければならない。このような観点から、私たちは、多くの国際・地域機関、国家機関、市民社会組織が、AIの使用に関する倫理的ガイドラインの策定を目指した取り組みや、暫定的な法的枠組みの出現を確認している。
This duality is most obviously prevalent online, where increased terrorist activity is a growing challenge that is becoming almost synonymous with modern terrorism. Consider that as part of 2020 Referral Action Day, Europol and 17 Member States identified and assessed for removal as many as 1,906 URLs linking to terrorist content on 180 platforms and websites in one day. Facebook has indicated that over the course of two years, it removed more than 26 million pieces of content from groups such as the Islamic State of Iraq and the Levant (ISIL) and Al-Qaida. The Internet and social media are proving to be powerful tools in the hands of such groups, enabling them to communicate, spread their messages, raise funds, recruit supporters, inspire and coordinate attacks, and target vulnerable persons. このような二面性が最も顕著に表れているのがオンラインであり、テロ活動の活発化は、現代のテロとほぼ同義語になりつつある課題である。2020 Referral Action Dayの一環として、Europolと17の加盟国は、1日で180のプラットフォームとウェブサイト上のテロリストコンテンツにリンクする1,906のURLを特定し、削除するよう評価したことを考えてみてください。フェイスブックは、イラク・レバントのイスラム国(ISIL)やアルカイダなどのグループからのコンテンツを2年間で2,600万件以上削除したと発表している。インターネットとソーシャルメディアは、これらのグループにとって強力なツールであり、コミュニケーション、メッセージの拡散、資金調達、支援者の募集、攻撃の鼓舞と調整、弱者の標的となることを可能にしている。
In the United Nations Global-Counter Terrorism Strategy (A/RES/60/288), Member States resolved to work with the United Nations with due regard to confidentiality, respecting human rights and in compliance with other obligations under international law, to explore ways to coordinate efforts at the international and regional levels to counter-terrorism in all its forms and manifestations on the Internet and use the Internet as a tool for countering the spread of terrorism. At the same time, the Strategy recognizes that Member States may require assistance to meet these commitments. 国連グローバル・カウンター・テロリズム戦略」(A/RES/60/288)において、加盟国は、機密性に十分配慮し、人権を尊重し、国際法上のその他の義務を遵守して、国際レベルおよび地域レベルでの努力を調整する方法を模索し、インターネット上のあらゆる形態および症状のテロリズムに対抗し、インターネットをテロリズムの拡散に対抗するためのツールとして使用するために、国連と協力することを決議した。同時に、本戦略は、加盟国がこれらのコミットメントを果たすために支援を必要とする可能性があることを認識している。 
Through the present report – a product of the partnership between the United Nations Counter-Terrorism Centre in the United Nations Office of Counter-Terrorism and the United Nations Interregional Crime and Justice Research Institute through its Centre for Artificial Intelligence and Robotics – we seek to explore how AI can be used to combat the threat of terrorism online. 本報告書は、国連テロ対策局の国連テロ対策センターと、国連地域間犯罪司法研究所の人工知能・ロボットセンターとの連携による成果であり、オンライン上のテロの脅威に対抗するためにAIをどのように活用できるかを模索している。 
Recognizing the threat of terrorism, growing rates of digitalization and burgeoning young, vulnerable and online populations in South Asia and South-East Asia, this report provides guidance to law enforcement and counter-terrorism agencies in South Asia and South-East Asia on the potential application of AI to counter terrorism online, as well as on the many human rights, technical and political challenges they will need to consider, and address should they opt to do so. 本報告書は、南アジア・東南アジアにおけるテロの脅威、デジタル化の進展、若年層・脆弱層・オンライン人口の急増を認識し、南アジア・東南アジアの法執行機関やテロ対策機関に対し、オンラインでのテロ対策にAIを適用する可能性、また適用する場合に検討・対処すべき多くの人権的・技術的・政治的課題についてガイダンスを提供している。 
Our work does not end here. Addressing the challenges identified in this report and unlocking the potential for using AI to counter terrorism will require further in-depth analysis. Our Offices stand ready to support Member States and other counter-terrorism partners to prevent and combat terrorism, in all its forms and manifestations, and to explore innovative and human rights-compliant approaches to do so. 私たちの仕事はここで終わらない。本報告書で明らかになった課題に対処し、テロ対策にAIを活用する可能性を引き出すには、さらなる詳細な分析が必要である。我々のオフィスは、加盟国やその他のテロ対策パートナーが、あらゆる形態や症状のテロリズムを防止し、闘うことを支援し、そのための革新的で人権に準拠したアプローチを模索する用意がある。
EXECUTIVE SUMMARY エグゼクティブ・サマリー
The integration of digital technologies into everyday life has increased at an extraordinary pace in South Asia and South-East Asia in recent years, with the use of social media by the regions’ notably young population surpassing the global average. While this trend offers a wide range of opportunities for development, the freedom of expression, political participation, and civic action, it also increases the risk of potentially vulnerable youths being exposed to terrorist online content produced by terrorist and violent extremist groups online. Additionally, given an established terrorist and violent extremist presence in South Asia and South-East Asia, law enforcement and counter-terrorism agencies in these regions are increasingly pressed to adapt to transformations in criminal and terrorist activities, as well as to how investigations into these activities are carried out.  近年、南アジア・東南アジアでは、日常生活へのデジタル技術の導入が驚異的なスピードで進んでおり、特に若年層のソーシャルメディアの利用率は世界平均を上回っている。この傾向は、開発、表現の自由、政治参加、市民活動などの幅広い機会を提供する一方で、潜在的に脆弱な若者が、テロリストや暴力的過激派グループがネット上で制作したテロリストのコンテンツにさらされるリスクを高めている。さらに、南アジアや東南アジアでは、テロリストや暴力的過激派の存在が確立されているため、これらの地域の法執行機関やテロ対策機関は、犯罪やテロリストの活動の変化や、これらの活動の捜査方法への対応をますます迫られている。 
Artificial intelligence (AI) has received considerable attention globally as a tool that can process vast quantities of data and discover patterns and correlations in the data unseen to the human eye, which can enhance effectiveness and efficiency in the analysis of complex information. As a general-purpose technology, such benefits can also be leveraged in the field of counter-terrorism. In light of this, there is growing interest amongst law enforcement and counter-terrorism agencies globally in exploring how the transformative potential of AI can be unlocked.  人工知能(AI)は、膨大な量のデータを処理し、人間の目には見えないデータのパターンや相関関係を発見し、複雑な情報の分析の有効性や効率性を高めることができるツールとして、世界的に大きな注目を集めている。また、汎用的な技術であるため、テロ対策の分野でも活用することができる。このような背景から、世界の法執行機関やテロ対策機関の間では、AIの持つ変革の可能性をどのようにして引き出すことができるかについて関心が高まっている。 
Considering the aforementioned trends and developments, this report serves as an introduction to the use of AI to counter terrorism online for law enforcement and counter-terrorism agencies in the regions of South Asia and SouthEast Asia. This report is introductory in nature as a result of the limited publicly available information on the degree of technological readiness of law enforcement and counter-terrorism agencies in these regions, which is considered likely to be indicative of limited experience with this technology. In this regard, the report provides a broad assessment of different use cases of AI, demonstrating the opportunities of the technology, as well as curbing out the challenges. The report is intended to serve as an initial mapping of AI, contextualizing possible use cases of the technology that could theoretically be deployed in the regions, whilst juxtaposing this with the key challenges that authorities must overcome to ensure the use of AI is responsible and human rights compliant. Give its introductory nature, this report is by no means intended to be an exhaustive overview of the application of AI to counter terrorism online. 本報告書は、前述の傾向と発展を考慮し、南アジアおよび東南アジア地域の法執行機関およびテロ対策機関を対象に、オンラインでのテロ対策のためのAIの使用について紹介するものである。本報告書は、これらの地域の法執行機関やテロ対策機関の技術的な準備状況に関する公開情報が限られており、この技術の経験が少ないことを示していると考えられるため、入門的な内容となっている。本報告書では、AIのさまざまな使用例を幅広く評価し、この技術の可能性を示すと同時に、課題も明らかにしている。本報告書は、AIの最初のマッピングとしての役割を果たすことを目的としており、理論的には地域で展開される可能性のあるAIの使用事例を文脈に沿って説明するとともに、AIの使用が責任あるものであり、人権を遵守したものであることを保証するために当局が克服しなければならない主要な課題を並置している。本報告書は、入門編という性格上、オンライン・テロ対策のためのAI活用を網羅的に紹介することを意図したものではない。
The report is divided into five chapters. The first chapter provides a general introduction to the context of terrorism, Internet usage in South Asia and South-East Asia and AI. The second chapter introduces and explains some key terms, technologies, and processes relevant for this report from a technical perspective. The third chapter maps applications of AI in the context of countering the terrorist use of the Internet and social media, focusing on six identified use cases, namely: i) Predictive analytics for terrorist activities; ii) Identifying red flags of radicalization; iii) Detecting mis- and disinformation spread by terrorists for strategic purposes; iv) Automated content moderation and takedown; v) Countering terrorist and violent extremist narratives; and vi) Managing heavy data analysis demands. The fourth chapter examines the challenges that law enforcement and counter-terrorism agencies must be prepared to address in their exploration of the technology, in particular specific political and legal challenges, as well as technical issues. The report concludes with the fifth and final chapter, which provides high-level recommendations for law enforcement and counter-terrorism agencies in South Asia and South-East Asia to take onboard to support them to navigate the challenges described in terms of the use of AI to counter terrorism online.  本報告書は5つの章で構成されている。第1章では、テロリズムの背景、南アジア・東南アジアのインターネット利用状況、AIについて一般的に紹介している。第2章では、本報告書に関連する主要な用語、技術、プロセスを技術的な観点から紹介・解説している。第3章では、テロリストによるインターネットやソーシャルメディアの利用に対抗するためのAIの応用例を、次の6つのユースケースに焦点を当ててマッピングしている。すなわち、i) テロ活動の予測分析、ii) 急進化のレッドフラッグの特定、iii) 戦略的な目的でテロリストが流す誤情報や偽情報の検出、iv) コンテンツの自動調整とテイクダウン、v) テロリストや暴力的過激派のナラティブへの対抗、vi) 重いデータ分析要求の管理、である。第4章では、法執行機関やテロ対策機関がこの技術を探求する際に覚悟しなければならない課題、特に技術的な問題だけでなく、政治的・法的な課題について考察している。最後の第5章では、南アジアおよび東南アジアの法執行機関やテロ対策機関が、オンライン・テロ対策のためのAIの利用という観点から、これらの課題を解決するために必要なハイレベルな提言を行っている。

 

目次は、

↓↓↓↓↓↓↓↓↓↓


Continue reading "国連 地域間犯罪司法研究所 人工知能によるオンラインテロ対策 at 2021.06.30"

| | Comments (0)

2021.07.28

バイデン大統領は国家情報長官室での演説でサイバー攻撃が「本当の射撃戦争につながる可能性がある」と発言?

こんにちは、丸山満彦です。

演説を聴けていないのですが、バイデン大統領が国家情報長官室での演説で、「サイバー攻撃が実弾を伴う本当の戦争につながる可能性がある」と発言したようなニュースがありました。あとで演説を聴きます。。。

● C-SPAN

・2021.07.27 President Biden Remarks to the Intelligence Community


President Biden Remarks to the Intelligence Community 情報機関に対するバイデン大統領の発言
President Biden delivered remarks at the Office of the Director of National Intelligence in McLean, Virginia. He made a commitment to the intelligence community workforce that he will not politicize their work. After completing remarks, he responded to two pandemic related questions from reporters. President Biden defended the new CDC mask guidance for vaccinated individuals and said they are considering requiring all federal employees to get the COVID-19 vaccine. バイデン大統領は、バージニア州マクリーンにある国家情報長官室で演説を行いました。バイデン大統領は、情報機関の従業員に対して、彼らの仕事を政治的に利用しないことを約束しました。挨拶を終えた後、記者からのパンデミックに関する2つの質問に答えました。バイデン大統領は、ワクチン接種者に対するCDCの新しいマスクガイダンスを擁護し、連邦政府職員全員にCOVID-19ワクチンの接種を義務付けることを検討していると述べました。

 

● NEWSMAX

・2021.07.28 Biden Warns Cyber Attacks Can Lead 'to Real Shooting War'

こちらの記事に発言の抜き出しがありますね。。。

"I think it's more than likely we're going to end up, if we end up in a war – a real shooting war with a major power – it's going to be as a consequence of a cyber breach of great consequence and it's increasing exponentially, the capabilities,"
要は、大国との実弾を伴う本当の戦争は、サイバー攻撃の結果によることがあり得て、その可能性は指数関数的に増加している、という感じですかね。。。

 

 

20210728-155539

| | Comments (0)

ISACA サイバーセキュリティ調査報告2021 Part1 & Part2

こんにちは、丸山満彦です。

ITガバナンスに関するグローバルな団体として有名なISACA [wikipedia] から、サイバーセキュリティについての調査報告の2021年度版が公表されています。。。約20年前に大阪支部の会長をし、その後東京支部の副会長もし、10年ほど前から御隠居状態になっています(^^)。

2部構成になっていて、「第1部:人材育成の取り組み、リソース、予算に関するグローバルな最新情報」は5月に、そして「第2部:脅威の状況、セキュリティオペレーション、サイバーセキュリティの成熟度」が7月に公表されていますね。。

 

Fig1_20210727233201

 


● ISACA

Part1: Global Update on Workforce Efforts, Resources and Budgets

・2021.05.04 (press) New ISACA Study Finds Cybersecurity Workforce Minimally Impacted by Pandemic, but Still Grappling with Persistent Hiring Challenges

  • 61%:自社のサイバーセキュリティチームの人員が不足していると回答している
  • 55%:サイバーセキュリティ関連の職種に未充足のものがあると回答している
  • 50%:サイバーセキュリティ分野の応募者が十分な資格を持っていないと回答している
  • 31%:人事部がサイバーセキュリティの採用ニーズを定期的に把握していると回答している

・(resources) Infographic - STATE OF CYBERSECURITY 2021

 ・[PDF] infographic

20210727-233737

・(booksotre) State of Cybersecurity 2021, Part 1: Global Update on Workforce Efforts, Resources and Budgets

 ・[PDF] white paper (Downloaded)

20210727-232850

 

Part2: Threat Landscape, Security Operations and Cybersecurity Maturity

・2021.07.27 (press) More than One in Three Organizations Say That They Are Experiencing More Cyberattacks in New Research from ISACA

最も頻繁に発生する攻撃のタイプは、前年と同様。

  • 14%:ソーシャルエンジニアリング
  • 10%:APT(Advanced persistent threat)
  • 09%:ランサムウェア 
  • 09%:パッチが適用されていないシステム

State of Cybersecurity 2021, Part 2: Threat Landscape, Security Operations and Cybersecurity Maturity

・(resources) Infographic STATE OF CYBERSECURITY 2021, PART 2

 ・[PDF] infografic

20210727-234204

・(bookstore) State of Cybersecurity 2021 Part 2: Threat Landscape, Security Operations and Cybersecurity Maturity

 ・[PDF] white paper (Downloaded)

20210727-232929


白書の目次

Part1: Global Update on Workforce Efforts, Resources and Budgets Part1: 人材育成の取り組み、リソース、予算に関するグローバルな最新情報
Executive Summary 調査の概要
Survey Methodology 調査方法
Uncertainty Amid a Global Pandemic 世界的なパンデミックの中での不確実性
 Vacancies  ポジションの空き率
 Pipeline Challenges  パイプラインの課題
 Employer Actions  企業の対応
 Education vs. Training  教育 vs トレーニング
 Retention Positivity  リテンションの積極性
Has Cybersecurity Funding Reached an Apex? サイバーセキュリティのリソースは頂点に達したのか?
What Now? これからどうする?
 National Initiative for Cybersecurity Education  サイバーセキュリティ教育のための国家イニシアティブ
 European Union Agency for Cybersecurity  欧州連合のサイバーセキュリティ担当機関
 Workforce Development Perspective  人材開発の視点
 Industry Perspective  産業界の視点
Conclusion—Business as Usual Is Not Working 結論-普通にやっていてもうまくいかない
Acknowledgments 謝辞
Part2: Threat Landscape, Security Operations and Cybersecurity Maturity Part2: 脅威の状況、セキュリティオペレーション、サイバーセキュリティの成熟度
Executive Summary エグゼクティブサマリー
Survey Methodology 調査方法
Rate of Increase in Cyberattacks Jumps After Slowing in Recent Years サイバー攻撃の増加率はここ数年鈍化していたが急上昇
Confidence and Awareness Improve 自信と意識の向上
Perseverance Rises Amid Pandemic パンデミックの中、忍耐力が向上
Threat Actors, Attacks Change Little 脅威の主体や攻撃方法はほとんど変化なし
A Snapshot of Security Operations 21 CISO or CIO—Does It Really Matter?  セキュリティオペレーションのスナップショット 21 CISOかCIOか、それは本当に重要なのか?
Cybersecurity Maturity Is a Business Imperative サイバーセキュリティの成熟はビジネスの必須条件である
Conclusion—Business as Usual Is Not Working 結論-普通にやっていてもうまくいかない
Acknowledgments 謝辞

| | Comments (0)

2021.07.27

NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加する18社を指名していますね。。。

こんにちは、丸山満彦です。

NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加するベンダーを18社指名しています。。。このプロジェクトは、サイバーセキュリティの参照できる設計を実装するための実践的な手順を示した、一般に公開できるNISTのサイバーセキュリティ実践ガイドを作成することが目標ですね。。。

NIST - NCCoE

・2021.07.23 NCCoE Names 18 Firms for Zero Trust Collaboration Project

 

18社は、

  1. Amazon Web Services, Inc.
  2. Appgate
  3. Cisco Systems, Inc.
  4. F5 Networks, Inc.
  5. FireEye, Inc.
  6. Forescout Technologies, Inc.
  7. International Business Machines Corporation (IBM)
  8. McAfee Corp.
  9. Microsoft Corporation
  10. MobileIron, Inc. an Ivanti Company
  11. Okta, Inc.
  12. Palo Alto Networks
  13. PC Matic, Inc.
  14. Radiant Logic, Inc.
  15. SailPoint Technologies, Inc.
  16. Symantec, a Division of Broadcom
  17. Tenable, Inc.
  18. Zscaler, Inc.

ですね。。。

 

| | Comments (0)

2021.07.26

Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

こんにちは、丸山満彦です。

EUでNO MORE RANSOMのウェブページがありますね。。。NO MORE RANSOMはオランダ警察ハイテク犯罪ユニット、Europolの欧州サイバー犯罪センター、Kaspersky、McAfeeによるイニシアチブですね。。。

取り組みとしては面白いですね。。。

 

NO MORE RANSOM

復号ツール

2021.07.26で、149種類ありますね。。。

 

EuropolがNO MORE RANSOM (NMR)のリーフレットを作っています。。。

Europol

・2021.07.23 NO MORE RANSOM (NMR)

Need help unlocking your digital life? デジタルライフを充実させるためのサポートが必要ですか?
No More Ransom (NMR) showcases the value of public-private cooperation in disrupting criminal businesses with ransomware connections. Victims should no longer be forced to either pay a ransom or lose their files. By restoring access to their infected systems free of charge, we provide users with a third choice they did not have before. No More Ransom(NMR)は、ランサムウェアと関係のある犯罪者のビジネスを中断させるための官民協力の価値を紹介しています。被害者はもはや、身代金を支払うか、ファイルを失うかのどちらかを迫られるべきではありません。感染したシステムへのアクセスを無料で復元することで、ユーザーにこれまでなかった第3の選択肢を提供します。

 

・[PDF] No More Ransom leaflet

20210726-61433

How can you avoid becoming infected with ransomware? ランサムウェアに感染しないためには?
› Regularly back up data stored on your computer. Keep at least one copy offline. ・コンピュータに保存されているデータを定期的にバックアップする。少なくとも1つのコピーをオフラインにしておく。
› Do not click on links in unexpected or suspicious emails. ・知らないメールや不審なメールのリンクをクリックしない。
› Browse and download only official versions of software and always from trusted websites. ・ソフトウェアの閲覧やダウンロードは、常に信頼できるウェブサイトから、正式なバージョンのみを行う。
› Use robust security products to protect your system from all threats, including ransomware. ・堅牢なセキュリティ製品を使用して、ランサムウェアを含むあらゆる脅威からシステムを保護する。
› Ensure that your security software and operating system are up-todate. ・セキュリティソフトウェアとオペレーティングシステムを最新の状態にしておく。
› Be wary while browsing the internet and do not click on suspicious links, pop-ups or dialogue boxes. ・インターネットを閲覧する際には注意を払い、疑わしいリンク、ポップアップ、ダイアログボックスをクリックしないこと。
› Do not use high privilege accounts (accounts with administrator rights) for daily business. ・高い権限を持つアカウント(管理者権限を持つアカウント)を日常業務で使用しない。
Infected? 感染したら?
› Always visit www.nomoreransom.org to check whether you have been infected with one of the ransomware variants for which there are decryption tools available free of charge. ・必ずwww.nomoreransom.org にアクセスして、無料で利用できる復号化ツールがあるランサムウェアの亜種に感染していないかどうかを確認する。
› Don’t pay the ransom. You will be financing criminals and encouraging them to continue their illegal activities. ・身代金を払わない。犯罪者に資金を提供することになり、違法行為の継続を促すことになる。
› Report it to your national police. The more information you provide, the more effectively law enforcement can disrupt the criminal enterprise. ・あなたの国の警察に報告する。より多くの情報を提供することで、法執行機関はより効果的に犯罪行為を阻止することができる。
› Disconnect your device from the internet or other network connections (such as home WiFi) as soon as possible in order to prevent the infection from spreading. ・感染の拡大を防ぐために、できるだけ早くデバイスをインターネットやその他のネットワーク接続(自宅のWiFiなど)から切断する。
› Format the hard drive of the infected device, reinstall the operating system and apps, run any available updates and restore the locked files from your backup device (if you have one). ・感染したデバイスのハードドライブをフォーマットし、OSとアプリを再インストールし、利用可能なアップデートを実行し、ロックされたファイルをバックアップデバイス(あれば)から復元する。

 

| | Comments (0)

2021.07.25

中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

こんにちは、丸山満彦です。

中国のCNCERT / CCが2020年のインターネットセキュリティ報告書を公開していますね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.07.21 国家互联网应急中心(CNCERT)发布《2020年中国互联网网络安全报告》

国家互联网应急中心(CNCERT)发布《2020年中国互联网网络安全报告》 中国インターネット緊急対応センター(CNCERT)が「中国インターネットセキュリティ報告書2020」を発表
2021年07月21日 18:16来源: “国家互联网应急中心CNCERT”微信公众号 2021年7月21日 18:16 出典:「CNCERT」WeChat公開番号
2021年7月20日,国家计算机网络应急技术处理协调中心(CNCERT/CC)编写的《2020年中国互联网网络安全报告》正式发布。自2008年起,CNCERT持续编写发布中国互联网网络安全年度报告,依托CNCERT多年来从事网络安全监测、预警和应急处置等工作的实际情况,对我国互联网网络安全状况进行总体判断和趋势分析,具有重要的参考价值。该系列报告为政府部门提供监管支撑,为互联网企业提供运行管理技术支持,向社会公众普及互联网网络安全知识,对提高全社会、全民的网络安全意识发挥积极作用。 2021年7月20日、国家コンピュータ緊急対応技術・調整センター(CNCERT/CC)が作成した「2020年中国インターネットセキュリティ報告書」が正式に発表されました。 2008 年以降、CNCERT は、中国のインターネットセキュリティに関する年次報告書の編集・発行を継続しており、ネットワークセキュリティの監視、早期警告及び緊急対応における CNCERT の長年の実務経験に依拠して、中国のインターネットセキュリティの状況に関する一般的な判断及び傾向分析を行っており、重要な 参考価値を有している。 一連の報告書は、政府部門に対する規制面でのサポート、インターネット企業の運用・管理面での技術サポート、インターネットセキュリティに関する知識の一般への普及、そして社会全体、国民全体のネットワークセキュリティに対する意識向上に積極的な役割を果たしています。
《2020年中国互联网网络安全报告》汇总分析了CNCERT自有网络安全监测数据和CNCERT网络安全应急服务支撑单位报送的数据,具有重要的参考价值,内容涵盖我国互联网网络安全态势分析、网络安全监测数据分析、网络安全事件案例详解、网络安全政策和技术动态等多个方面。其中,报告对计算机恶意程序传播和活动、移动互联网恶意程序传播和活动、网站安全监测、DDoS攻击监测、信息安全漏洞通报与处置、网络安全事件接收与处置等情况进行深入细致的分析,并对 2020年的典型网络安全事件进行了专题介绍。此外,本报告还对网络安全组织发展情况和CNCERT举办的重要网络安全会议和活动等情况进行了阶段性总结,并对2021年网络安全关注方向进行预测。 中国インターネットセキュリティ報告書2020」は、CNCERTが独自に収集したネットセキュリティ・モニタリング・データと、CNCERTのネットワークセキュリティ緊急サービス支援部隊から報告されたデータをまとめ、分析したもので、中国のセキュリティ状況の分析、ネットワークセキュリティ・モニタリング・データの分析、ネットワークセキュリティ・インシデント事例の詳細分析、ネットワークセキュリティ政策や技術開発など、様々な側面を網羅した、参考価値の高いものです。 中でも、コンピュータの悪意あるプログラムの拡散・活動、モバイルインターネットの悪意あるプログラムの拡散・活動、Webサイトのセキュリティ監視、DDoS攻撃の監視、情報セキュリティ脆弱性の通知・処理、ネットワークセキュリティインシデントの受付・処理について、詳細かつ詳細な分析を行い、2020年の代表的なネットワークセキュリティインシデントを特集しています。 さらに、本レポートでは、CNCERTが主催するネットワークセキュリティ組織や重要なネットワークセキュリティ会議・イベントの発展を段階ごとにまとめ、2021年のネットワークセキュリティに関する関心事の方向性を予測しています。

報告書は中国書です。。。

・[PDF] 中国互联网 网络安全报告 2020年

20210724-232917

目次は

01 2020 年网络安全状况综述 01 2020年のネットワークセキュリティ事情の概要
1.1 2020 年我国互联网网络安全状况 1.1 2020年における中国のネットワークセキュリティの状況
1.2 2020 年我国互联网网络安全监测数据分析 1.2 2020年の中国におけるネットワークセキュリティ・モニタリング・データの分析
02 网络安全专题分析 02 サイバーセキュリティのテーマ別分析
2.1 2020 年我国境内云网络安全态势专题分析 2.1 2020年の中国におけるクラウドネットワークのセキュリティ態勢に関するテーマ別分析
2.2 2020 年我国境内联网智能设备安全态势专题分析 2.2 2020年の中国におけるコネクテッド・スマートデバイスのセキュリティ態勢に関するテーマ別分析
2.3 2020 年我国网络生物安全态势专题分析 2.3 2020年の中国のネットワークバイオセキュリティの態勢に関するテーマ別分析
2.4 SolarWinds 供应链攻击事件专题分析 2.4 SolarWindsのサプライチェーン攻撃のテーマ別分析
2.5 2020 年网络安全漏洞影响情况分析 2.5 2020年におけるネットワークセキュリティの脆弱性がもたらす影響の分析
2.6 2020 年勒索病毒专题分析 2.6 2020年におけるランサムウェアのテーマ別分析
2.7 新冠肺炎疫情相关网络攻击事件专题分析 2.7 新型冠動脈性肺炎の発生に関連するネットワーク攻撃のテーマ別分析
03 计算机恶意程序传播和活动情况 03 コンピュータ・マルウェアの配布と活動
3.1 木马或僵尸网络监测情况 3.1 トロイの木馬やボットネットの監視状況
3.2 恶意程序传播活动监测情况 3.2 悪意のあるプログラム配布活動の監視状況
3.3 支撑单位的监测情况 3.3 サポートユニットによる監視状況
04 移动互联网恶意程序传播和活动情况 04 モバイルインターネット上での悪意のあるプログラムの配布と活動
4.1 移动互联网恶意程序监测情况 4.1 モバイルインターネット上の悪意のあるプログラムの監視状況
4.2 支撑单位的监测情况 4.2 サポートユニットによる監視状況
05 网站安全监测情况 05 ウェブサイトのセキュリティ監視状況
5.1 网页篡改情况 5.1 ウェブページの改竄状況
5.2 网站后门情况 5.2 ウェブサイトのバックドアの状況
5.3 网页仿冒情况 5.3 偽サイトの状況
5.4 支撑单位的监测情况 5.4 サポートユニットによる監視の状況
06 DDoS 攻击监测情况 06 DDoS攻撃の監視状況
6.1 DDoS 攻击资源监测分析情况 6.1 DDoS攻撃リソース監視の分析状況
6.2 主流 DDoS 攻击平台和僵尸网络活动监测情况 6.2 主なDDoS攻撃プラットフォームとボットネット活動の監視状況
6.3 支撑单位的监测情况 6.3 サポートユニットによる監視状況
07 信息安全漏洞通报与处置情况 07 情報セキュリティの脆弱性の通知と対応状況
7.1 CNVD 漏洞收录情况 7.1 CNVD 脆弱性の収集状況
7.2 CNVD 行业漏洞库收录情况 7.2 CNVD業界の脆弱性データベースへの登録状況
7.3 漏洞报送和通报处置情况 7.3 脆弱性の報告と対応の通知状況
7.4 高危漏洞典型案例 7.4 リスクなの高い脆弱性の代表例
08 网络安全事件接收与处置情况 08 ネットワークセキュリティ・インシデント報告と対応
8.1 事件接收情况 8.1 インシデント報告状況
8.2 事件处置情况 8.2 インシデント対応状況
09 网络安全组织发展情况 09 ネットワークセキュリティ組織の開発状況
9.1 CNCERT/CC 应急服务支撑单位 9.1 CNCERT/CC 緊急サービス支援ユニット
9.2 CNVD 支撑单位发展情况 9.2 CNVDサポートユニットの開発状況
9.3 ANVA 成员发展情况 9.3 ANVAメンバーの開発状況
9.4 CCTGA 成员发展情况 9.4 CCTGAメンバーの育成状況
10 CNCERT/CC 举办的重要网络安全会议和活动 10 CNCERT/CCが主催する重要な ネットワークセキュリティ・カンファレンスとイベント
11 2021 年网络安全关注方向预测 11 2021年のネットワークセキュリティに関する懸念の予測
附录:网络安全术语解释 附属書:ネットワークセキュリティ用語の解説

 

 

| | Comments (0)

ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が個人データ保護委員会を設立する計画を発表していますね。。。

こんにちは、丸山満彦です。

ロシア 通信・IT・マスメディア監督連邦サービス (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) )  [wikipedia EN]が個人データを保護するための委員会と有害コンテンツから子供を保護するための委員会を設立する計画を発表していますね。。。

詳細はわかりませんが、これから発表されてくるんでしょうかね。。。


Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2021.07.23 Общественный совет при Роскомнадзоре провел очередное заседание

Общественный совет при Роскомнадзоре провел очередное заседание Roskomnadzor傘下の公開評議会が定例会議を開催
22 июля состоялось второе заседание Общественного совета (ОС) при Роскомнадзоре. Его участники утвердили план работы, график заседаний на 2021 год и Кодекс этики члена ОС при Роскомнадзоре, обсудили публичную декларацию целей и задач РКН на 2021 год. 7月22日、Roskomnadzorの公開評議会の第2回セッションが行われました。会議の参加者は、2021年の作業計画、会議のスケジュール、ロスコムナゾル傘下の公開評議会のメンバーの倫理規定を承認し、2021年のRCNの目標と目的の公開宣言について議論しました。
В ходе заседания было принято решение о создании двух постоянных комиссий в составе совета: комиссии по защите детей от деструктивного и опасного контента и комиссии по защите персональных данных. この会議では、破壊的で危険なコンテンツからの子どもの保護に関する委員会と、個人情報の保護に関する委員会の2つの常設委員会を評議会内に設置することが決定されました。

 

1920pxemblem_of_roskomnadzorsvg

| | Comments (0)

NISTIR 8319 Advanced Encryption Standardのレビュー

こんにちは、丸山満彦です。

NISTが、NNISTIR 8319 Advanced Encryption Standardのレビュー を公開していますね。。。

● NIST - ITL

・2021.07.23 NISTIR 8319 Review of the Advanced Encryption Standard 

・[PDF]  NISTIR 8319 (DOI)

20210724-215853

 

Abstract 概要
The field of cryptography continues to advance at a very rapid pace, leading to new insights that may impact the security properties of cryptographic algorithms. The Crypto Publication Review Board ("the Board") has been established to identify publications to be reviewed. This report subjects the first standard to the review process: Federal Information Processing Standard (FIPS) 197, which defines the Advanced Encryption Standard (AES). 暗号の分野は、非常に速いペースで進歩を続けており、暗号アルゴリズムのセキュリティ特性に影響を与える可能性のある新しい洞察が得られています。審査対象となる出版物を特定するために、Crypto Publication Review Board(以下、「審査会」)が設立された。本報告書では、最初の規格をレビューの対象としています。本報告書では、最初の規格であるAdvanced Encryption Standard (AES)を定義したFederal Information Processing Standard (FIPS) 197を審査対象としています。

| | Comments (0)

2021.07.24

U.K. 国立監査院 (National Audit Office: NAO) が「デジタル変革を実施する上での課題」を公表していますね。。。

こんにちは、丸山満彦です。

英国の国立監査院 (National Audit Office: NAO) が「デジタル変革を実施する上での課題」という報告書を公表していますね。。。

U.K. National Audit Office: NAO

・2021.07.21 (Press) The challenges in implementing digital change

 

・2021.07.21 The challenges in implementing digital change

 

The challenges in implementing digital change デジタル変革を実施する上での課題
This report sets out the lessons for government and departments to learn from the experience of implementing digital change. 本報告書は、デジタル変革を実施した経験から、政府や各省庁が学ぶべきことをまとめたものです。
Background to the report 本報告書の背景
Our way of life is now increasingly digital, and technology is almost always a feature of large-scale government business change programmes. Current and future public services are dominated by digital change. This is clear in much of government’s thinking about how to build back public services following the COVID-19 pandemic, as well as in longer-term policies and strategies. In addition, the public increasingly expects the government to make effective use of technology, so public bodies have little choice but to deliver high-quality digital services. 現在、私たちの生活はますますデジタル化が進んでおり、政府の大規模な事業変革プログラムでは、ほとんどの場合、テクノロジーが特徴となっています。現在および将来の公共サービスは、デジタル変革に支配されています。このことは、COVID-19パンデミック後の公共サービスの再建方法に関する政府の考え方の多くや、より長期的な政策や戦略を見れば明らかです。さらに、国民は政府がテクノロジーを効果的に活用することをますます期待するようになっているため、公共機関は高品質のデジタルサービスを提供する以外に選択肢はありません。
When large digital business change programmes run into difficulty, the technology solution is often cast as the primary reason for failure. There is rarely a single, isolated reason which causes critical programmes to fail. Many of these programmes face intrinsic business challenges as well as technical challenges. Pressures on public finances mean there is an urgent imperative for those designing and delivering digital business change programmes to learn from the mistakes and experiences of their predecessors. If they do not do so, these programmes will continue to fail. 大規模なデジタルビジネス変革プログラムが困難に陥った場合、テクノロジーソリューションが失敗の主な理由として挙げられることがしばしばあります。しかし、重要なプログラムが失敗する原因が単一であることはほとんどありません。これらのプログラムの多くは、技術的な課題だけでなく、本質的なビジネス上の課題に直面しています。公的財政へのプレッシャーから、デジタルビジネス変革プログラムを設計・実施する者は、先人の失敗や経験から学ぶことが急務となっています。それができなければ、これらのプログラムは失敗し続けるでしょう。
Scope of the report 報告書の範囲
This report sets out the lessons for the centre of government and departments to learn from the experience of implementing digital change. It sets out these lessons in six categories, which are essential to get right at the outset: 本報告書は、政府の中枢や各省庁が、デジタル変革の実施経験から学ぶべき教訓をまとめたものです。これらの教訓は6つのカテゴリーに分類されており、最初から正しく理解することが重要です。
・understanding aims, ambition and risk; ・目的、狙い、リスクの理解
・engaging commercial partners; ・民間のパートナーとの連携
・legacy systems and data; ・レガシーのシステムとデータ
・capability; ・能力
・delivery methods; and ・提供方法、そして
・funding mechanisms. ・資金調達の仕組み
In pulling together these lessons, the NAO has reviewed previously published reports and interviewed senior digital leaders across government and the private sector. This report assesses good practice, following consultation with experts from industry, academia and think tanks to highlight the nature of the challenges and understand why government has found it hard to apply the lessons of experience. NAOは、これらの教訓をまとめるにあたり、過去に発表されたレポートを検討し、政府や民間企業のデジタル分野のリーダーにインタビューを行いました。本レポートでは、産業界、学界、シンクタンクの専門家との協議を経て、課題の本質を明らかにし、なぜ政府が経験の教訓を適用することが難しいのかを理解するために、優れた実践を評価しています。
Report conclusions 報告書の結論
Initiating digital change involves taking a difficult set of decisions about risk and opportunity, but these decisions often do not reflect the reality of the legacy environment and do not fit comfortably into government’s standard mechanisms for approval, procurement, funding and assurance. This report found that digital leaders understand these issues well and bring much needed expertise to the public sector, but they often struggle to get the attention, understanding and support they need from senior decision-makers who lack sufficient digital expertise. デジタル変革に着手するには、リスクと機会に関する難しい決断が必要となりますが、これらの決断は、レガシー環境の現実を反映していないことが多く、承認、調達、資金調達、保証に関する政府の標準的なメカニズムにはうまく適合しません。本報告書によると、デジタルリーダーはこれらの問題をよく理解しており、公共部門に必要な専門知識をもたらしているが、デジタルに関する十分な専門知識を持たない上級意思決定者から、必要な注目、理解、支援を得るのに苦労していることが多い。
Despite 25 years of government strategies and countless attempts to deliver digital business change successfully, the findings of this report show a consistent pattern of underperformance. This underperformance can often be the result of programmes not being sufficiently thought through before key decisions on technology solutions are made. This means that there is a gap between what government intends to achieve and what it delivers to citizens and service users, which wastes taxpayers’ money and delays improvements in public services. If government is to improve its track record in delivering digital business change, it must learn the hard-won lessons of experience and equip its leaders to act effectively. 25年間にわたって政府の戦略が策定され、デジタルビジネスの変革を成功させるために数多くのことが試みられてきたにもかかわらず、本報告書の調査結果は、一貫してパフォーマンスの低下というパターンを示しています。このようなパフォーマンスの低下は、テクノロジーソリューションに関する重要な決定がなされる前に、プログラムが十分に検討されていないことが原因であることがしばしばです。つまり、政府が達成しようとしていることと、市民やサービス利用者に提供していることとの間にギャップがあり、納税者の資金を無駄にし、公共サービスの改善を遅らせることになるのです。政府がデジタルビジネスの変革における実績を向上させるためには、これまでの経験から得られた教訓を学び、リーダーが効果的に行動できるようにしなければなりません。

 

・[PDF] Report - The challenges in implementing digital change

20210723-134900

 目次です。。。

  • Summary
  • Part One Introduction
  • Part Two Initiating for success
  • Part Three Setting up for effective delivery
  • Appendix One Our scope and evidence base

 

・[PDF] Summary - The challenges in implementing digital change

20210723-135024

Recommendations: Actions for government 提言:政府の行動
We do not underestimate the challenge involved in digital change, particularly given government’s vast legacy IT estate and the need for government to deliver services where there is no counterpart model in the private sector from which government can draw. But there is widespread support from stakeholders for the centre of government to learn from the lessons we have identified in this report and make the required changes. The new Central Digital and Data Office, along with the Government Digital Service and the Cabinet Office, should work to provide clear leadership for this agenda, in particular: 特に、政府が膨大なレガシーIT資産を抱えていることや、政府が参考にできる民間企業のモデルがない場合に政府がサービスを提供する必要があることを考えると、デジタル変革に伴う課題を過小評価することはできません。しかし、本報告書で明らかにした教訓から学び、必要な変革を行うために、政府の中枢部を担うべきだという関係者の支持は広く浸透しています。新設された「中央デジタル・データ室 (Central Digital and Data Office) 」は、「政府デジタルサービス」や「内閣事務局」とともに、このアジェンダに対して明確なリーダーシップを発揮するために、特に以下のような取り組みを行うべきです。
a. revise existing training programmes to better equip and train all decision‑makers with responsibility for digital transformation programmes. This should include education on legacy systems, the importance of data and the risks of ‘build before buy’ and of opting for unproven technology; a. 既存のトレーニングプログラムを改訂し、デジタル変革プログラムに責任を持つすべての意思決定者に、より良い装備とトレーニングを提供する。これには、レガシーシステム、データの重要性、「買う前に作る」ことや実績のない技術を選択することのリスクについての教育が含まれます。
b. work with HM Treasury to review existing business case funding and approval processes for digital programmes to: remove the incentives to state with full confidence those things which are still unknown; ensure that uncertainties associated with assumptions are made clear, together with when these uncertainties will be better understood; understand what the final product should look like, and the path to get there; be clear on what risks represent ‘unknown unknowns’; and ensure professional independent technical assurance mechanisms are in place, to support those responsible for approving programmes; and b. 財務省と協力して、デジタルプログラムの既存のビジネスケースの資金調達と承認プロセスを見直し、次のような対策を講じる:まだ不明な点を自信を持って表明する動機を取り除く、仮定に関連する不確実性を明確にし、その不確実性がいつ理解されるかを明確にする、最終製品がどのようなものであるべきか、そこに到達するための道筋を理解する、「未知の未知」を表すリスクを明確にする、プログラムの承認責任者をサポートするために、専門的な独立した技術保証メカニズムを確保する。
c. disseminate and apply lessons learned from the successes and failures of the past and seek to understand why digital strategies have made poor progress. c. 過去の成功と失敗から学んだ教訓を広め、適用し、デジタル戦略がうまく進まなかった理由を理解するよう努める。
Individual departments and public bodies should: 個々の省庁や公共団体は
d. carry out proper evaluation and assurance in the early stages of a digital programme to understand its complexity and scope, assess how realistic the chance of success is and reflect this in the programme approach; d. デジタルプログラムの初期段階で適切な評価と保証を行い、その複雑さと範囲を理解し、成功の可能性がどれだけ現実的かを評価し、プログラムのアプローチに反映させる。
e. ensure senior digital, data and technology colleagues have wider influence on all change programmes with digital components, by providing strategic direction and oversight at key decision points in the process; e. 上級のデジタル、データ、技術担当者が、プロセスの重要な意思決定ポイントで戦略的な方向性と監督を提供することにより、デジタル要素を含むすべての変革プログラムに幅広い影響力を持つようにする。
f. strengthen their intelligent client function for digital change including identifying and developing key requirements before tenders and bid processes commence and taking the lead on supplier engagement; f. 入札プロセスが始まる前に主要な要件を特定・開発し、サプライヤーとのエンゲージメントを主導するなど、デジタル変革のためのインテリジェントクライアント機能を強化する。
g. maximise the chances of effective digital delivery by ensuring that business leaders have sufficient skills, commitment and time to engage in all aspects of governance and decision-making;  g. ビジネスリーダーが、ガバナンスと意思決定のあらゆる側面に関与するための十分なスキル、コミットメント、時間を確保することで、効果的なデジタル配信の可能性を最大化する。
h. produce departmental strategies and plans for how to manage the legacy IT estate so that maintenance, support and decommissioning are systematically addressed and required funding is ringfenced; and h. レガシーITエステートの管理方法に関する部門戦略と計画を作成し、メンテナンス、サポート、廃炉に体系的に取り組み、必要な資金を確保する。
i. ensure that agile principles and approaches are appropriately applied within the context of significant business programme change, for example by developing interim and target operating models, and having appropriate business and technical architecture in place. i. 大幅なビジネスプログラムの変更の際には、暫定的および目標とするオペレーションモデルを策定し、適切なビジネスおよび技術アーキテクチャを導入するなどして、アジャイルの原則およびアプローチを適切に適用するようにする。

 

| | Comments (0)

2021.07.23

U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

こんにちは、丸山満彦です。

U.S. GAOが「人工知能のための新しい枠組み」を2021.06.30に発表していましたね。。。

これなかなか興味深く、日本の会計検査院もこれをベースに作ったら良いようにも思えます。。。。

監査人や第三者評価者が聞くべきポイントと、それを確認するための監査手続きまで記載がありますね。。。

U.S. GAO

・2021.06.30 Artificial Intelligence:An Accountability Framework for Federal Agencies and Other Entities

ハイライト

What GAO Found GAOの見解
To help managers ensure accountability and responsible use of artificial intelligence (AI) in government programs and processes, GAO developed an AI accountability framework. This framework is organized around four complementary principles, which address governance, data, performance, and monitoring. For each principle, the framework describes key practices for federal agencies and other entities that are considering, selecting, and implementing AI systems. Each practice includes a set of questions for entities, auditors, and third-party assessors to consider, as well as procedures for auditors and third- party assessors. 政府のプログラムやプロセスにおける人工知能(AI)の説明責任と責任ある利用を管理者が確保できるように、GAOはAI説明責任枠組みを開発しました。この枠組みは、ガバナンス、データ、パフォーマンス、モニタリングの4つの補完的な原則を中心に構成されています。 この枠組みでは、各原則について、AIシステムを検討・選定・導入している連邦政府機関やその他の団体のための重要なプラクティスが記載されています。各プラクティスには、企業、監査人、第三者評価者が検討すべき質問事項と、監査人や第三者評価者のための手順が含まれています。
Why GAO Developed This Framework GAOがこの枠組みを開発した理由
AI is a transformative technology with applications in medicine, agriculture, manufacturing, transportation, defense, and many other areas. It also holds substantial promise for improving government operations. Federal guidance has focused on ensuring AI is responsible, equitable, traceable, reliable, and governable. Third-party assessments and audits are important to achieving these goals. However, AI systems pose unique challenges to such oversight because their inputs and operations are not always visible. AIは、医療、農業、製造、輸送、防衛、その他多くの分野で応用されている、変革をもたらす技術です。また、政府業務の改善にも大きな期待が寄せられています。連邦政府のガイダンスは、AIが責任を持って、公平に、追跡可能に、信頼性を持って、統治可能であることを保証することに重点を置いています。これらの目標を達成するためには、第三者による評価や監査が重要です。しかし、AIシステムは、その入力や操作が常に可視化されているわけではないため、このような監視には特有の課題があります。
GAO's objective was to identify key practices to help ensure accountability and responsible AI use by federal agencies and other entities involved in the design, development, deployment, and continuous monitoring of AI systems. To develop this framework, GAO convened a Comptroller General Forum with AI experts from across the federal government, industry, and nonprofit sectors. It also conducted an extensive literature review and obtained independent validation of key practices from program officials and subject matter experts. In addition, GAO interviewed AI subject matter experts representing industry, state audit associations, nonprofit entities, and other organizations, as well as officials from federal agencies and Offices of Inspector General. GAOの目的は、AIシステムの設計、開発、展開、継続的なモニタリングに携わる連邦政府機関やその他の団体が、説明責任を果たし、責任を持ってAIを使用できるようにするための重要なプラクティスを特定することです。この枠組みを開発するために、GAOは連邦政府、産業界、非営利団体のAI専門家を集めた会計検査院フォーラムを開催しました。また、広範な文献調査を行い、プログラム関係者や対象分野の専門家から主要な実践方法について独立した検証を得ました。さらにGAOは、産業界、州の監査協会、非営利団体、その他の組織を代表するAIの専門家や、連邦政府機関や監察総監室の職員にインタビューを行いました。

Fig1_20210723040601

・[PDF] Full Report

20210723-40419

 

・[PDF] Highlights Page

20210723-40447_20210723040701

 

そのフレームワークに関する開発者の簡単なビデオメッセージがブログで2021.07.21に公開されていました。。。

U.S. GAO - blog

・2021.07.21 Our New Framework for Artificial Intelligence (video)

 

 

1. Governance 1. ガバナンス
Promote accountability by establishing processes to manage, operate, and oversee implementation. 管理・運営・監督するプロセスを確立することで、説明責任を果たす。
To help entities promote accountability and responsible use of AI systems, GAO identified key practices for establishing governance structures and processes to manage, operate, and oversee the implementation of these systems. AIシステムの説明責任と責任ある利用を促進するために、GAOは、AIシステムの導入を管理・運営・監督するためのガバナンス構造とプロセスを確立するための主要なプラクティスを特定する。
Governance at the Organizational Level  組織レベルのガバナンス 
Entities should define clear goals, roles, and responsibilities, demonstrate values and principles to foster trust, develop a competent workforce, engage stakeholders with diverse perspectives to mitigate risks, and implement an Al-specific risk management plan. 事業体は、明確な目標、役割、責任を定め、信頼を醸成するための価値観や原則を示し、有能な人材を育成し、リスクを軽減するために多様な視点を持つステークホルダーを関与させ、AI固有のリスク管理計画を実施しなければならない。
1.1 Clear goals: Define clear goals and objectives for the AI system to ensure intended outcomes are achieved.  1.1 明確な目標:意図した結果を確実に達成するために、AIシステムの明確な目標と目的を定義する。
1.2 Roles and responsibilities: Define clear roles, responsibilities, and delegation of authority for the AI system to ensure effective operations, timely corrections, and sustained oversight.  1.2 役割と責任:効果的な運用、タイムリーな修正、継続的な監視を確実にするために、AIシステムの明確な役割、責任、権限の委譲を定義する。
1.3 Values: Demonstrate a commitment to values and principles established by the entity to foster public trust in responsible use of the AI system.  1.3 価値観:AIシステムの責任ある使用に対する国民の信頼を醸成するために、事業者が確立した価値と原則へのコミットメントを示す。
1.4 Workforce: Recruit, develop, and retain personnel with multidisciplinary skills and experiences in design, development, deployment, assessment, and monitoring of AI systems.  1.4 労働力:AIシステムの設計、開発、展開、評価、および監視において、学際的なスキルと経験を有する人材を採用、開発、および保持する。
1.5 Stakeholder involvement: Include diverse perspectives from a community of stakeholders throughout the AI life cycle to mitigate risks.  1.5 利害関係者の関与:リスクを軽減するために、AIのライフサイクルを通じて、利害関係者のコミュニティから多様な視点を取り入れる。
1.6 Risk management: Implement an AI-specific risk management plan to systematically identify, analyze, and mitigate risks.  1.6 リスク管理:AIに特化したリスク管理計画を実施し、リスクを体系的に特定、分析、軽減する。
Governance at the Systems Level  システムレベルのガバナンス 
Entities should establish technical specifications to ensure the Al system meets its intended purpose and complies with relevant laws, regulations, standards, and guidance. Entities should promote transparency by enabling external stakeholders to access information on the Al system.1.7 Specifications: Establish and document technical specifications to ensure the AI system meets its intended purpose.  企業は、Alシステムが意図された目的を満たし、関連する法律、規制、基準、ガイダンスに準拠することを保証するための技術仕様を確立すべきである。事業者は、外部の利害関係者が Al システムに関する情報にアクセスできるようにすることで、透明性を促進すべきである。AIシステムが意図された目的を満たすことを確実にするために、技術仕様を確立し、文書化する。
1.8 Compliance: Ensure the AI system complies with relevant laws, regulations, standards, and guidance.  1.8 コンプライアンス:AIシステムが、関連する法律、規制、基準、及びガイダンスに確実に準拠する。
1.9 Transparency: Promote transparency by enabling external stakeholders to access information on the design, operation, and limitations of the AI system. 1.9 透明性:外部のステークホルダーがAIシステムの設計、運用、および制限に関する情報にアクセスできるようにすることで、透明性を促進する。
2. Data 2. データ
Ensure quality, reliability, and representativeness of data sources and processing. データソースおよび処理の品質、信頼性、および代表性を確保する。
To help entities use data that are appropriate for the intended use of each AI system, GAO identified key practices to ensure data are of high quality, reliable, and representative. 各AIシステムの使用目的に適したデータをエンティティが使用するために、GAOはデータが高品質で、信頼性があり、代表性があることを保証するための重要なプラクティスを特定する。
Data used for Model Development (Data Used to Develop an AI Model) モデル開発に使用されるデータ(AIモデルの構築に使用するデータ)
Entities should document sources and origins of data, ensure the reliability of data, and assess data attributes, variables, and augmentation/enhancement for appropriateness. 事業者は、データのソースと起源を文書化し、データの信頼性を確保し、データの属性、変数、増強・強化が適切であるかどうかを評価しなければならない。
2.1 Sources: Document sources and origins of data used to develop the models underpinning the AI system.  2.1 ソース:AIシステムの基礎となるモデルを開発するために使用されるデータの出所および起源を文書化する。
2.2 Reliability: Assess reliability of data used to develop the models.  2.2 信頼性:モデルの開発に使用したデータの信頼性を評価する。
2.3 Categorization: Assess attributes used to categorize data.  2.3 カテゴリー化:データを分類するための属性を評価する。
2.4 Variable selection: Assess data variables used in the AI component models.  2.4 変数の選択:AIコンポーネントモデルに使用されるデータの変数を評価する。
2.5 Enhancement: Assess the use of synthetic, imputed, and/or augmented data.  2.5 エンハンスメント:合成データ、入力データ、および/または拡張データの使用を評価する。
Data Used for System Operation (Data Used to Operate an AI System) システム運用に使用されるデータ(AIシステムの運用に使用されるデータ)
Entities should assess the interconnectivities and dependencies of data streams that operationalize an Al system, identify potential biases, and assess data security and privacy. 事業者は、AIシステムを運用するデータストリームの相互関連性と依存性を評価し、潜在的なバイアスを特定し、データセキュリティとプライバシーを評価しなければならない。
2.6 Dependency: Assess interconnectivities and dependencies of data streams that operationalize the AI system.  2.6 依存性:AI システムを運用するデータストリームの相互接続性および依存性を評価する。
2.7 Bias: Assess reliability, quality, and representativeness of all the data used in the system’s operation, including any potential biases, inequities, and other societal concerns associated with the AI system’s data.  2.7 偏り:AIシステムのデータに関連する潜在的な偏り、不公平、およびその他の社会的関心事を含め、システムの運用に使用されるすべてのデータの信頼性、品質、および代表性を評価する。
2.8 Security and privacy: Assess data security and privacy for the AI system. 2.8 セキュリティとプライバシー:AIシステムのデータセキュリティとプライバシーを評価する。
3. Performance 3. パフォーマンス
Produce results that are consistent with program objectives. プログラムの目的に合致した結果を出すこと。
To help entities ensure AI systems produce results that are consistent with program objectives, GAO identified key practices for ensuring that systems meets their intended purposes. AIシステムがプログラムの目的に合致した結果を生み出すことを確実にするために、GAOはシステムが意図された目的を満たすことを確実にするための主要なプラクティスを特定した。
Performance at the Component Level  コンポーネントレベルでのパフォーマンス 
Entities should catalog model and non-model components that make up the Al system, define metrics, and assess performance and outputs of each component. 事業体は、AIシステムを構成するモデルおよび非モデルのコンポーネントを分類し、評価基準を定め、各コンポーネントのパフォーマンスとアウトプットを評価しなければならない。
3.1 Documentation: Catalog model and non-model components, along with operating specifications and parameters.  3.1 文書化:モデルおよび非モデルのコンポーネントを、動作仕様およびパラメータとともにカタログ化する。
3.2 Metrics: Define performance metrics that are precise, consistent, and reproducible.  3.2 メトリクス:正確で、一貫性があり、再現性のある性能評価指標を定義する。
3.3 Assessment: Assess the performance of each component against defined metrics to ensure it functions as intended and is consistent with program goals and objectives.  3.3 評価:意図したとおりに機能し、プログラムの目標と目的に合致していることを確認するため、定義された測定基準に照らして各コンポーネントの性能を評価する。
3.4 Outputs: Assess whether outputs of each component are appropriate for the operational context of the AI system.  3.4 出力:各コンポーネントの出力が、AIシステムの運用状況に適しているかどうかを評価する。
Performance at the System-Level  システムレベルでの性能 
Entities should define metrics and assess performance of the AI system. In addition, entities should document methods for assessment, performance metrics, and outcomes; identify potential biases; and define and develop procedures for human supervision of the Al system. 事業体は、AIシステムのパフォーマンスを評価するための指標を定義しなければならない。加えて、評価方法、性能指標、結果を文書化し、潜在的なバイアスを特定し、AIシステムを人間が監督するための手順を定義・策定する。
3.5 Documentation: Document the methods for assessment, performance metrics, and outcomes of the AI system to provide transparency over its performance.  3.5 文書化:AIシステムの性能に関する透明性を確保するために、AIシステムの評価方法、性能指標、および結果を文書化する。
3.6 Metrics: Define performance metrics that are precise, consistent, and reproducible.  3.6 メトリクス:正確で、一貫性があり、再現性のある性能評価指標を定義する。
3.7 Assessment: Assess performance against defined metrics to ensure the AI system functions as intended and is sufficiently robust.  3.7 評価:AIシステムが意図された通りに機能し、十分に堅牢であることを確認するために、定義されたメトリクスに対するパフォーマンスを評価する。
3.8 Bias: Identify potential biases, inequities, and other societal concerns resulting from the AI system.  3.8 バイアス:AIシステムに起因する潜在的なバイアス、不公平、およびその他の社会的懸念を特定する。
3.9 Human supervision: Define and develop procedures for human supervision of the AI system to ensure accountability. 3.9 人間による監督:説明責任を果たすために、AIシステムを人間が監督するための手順を定義し、開発する。
4. Monitoring 4. モニタリング
Ensure reliability and relevance over time. 時間をかけて信頼性と関連性を確保する。
To help entities ensure reliability and relevance of AI systems over time, GAO identified key practices for monitoring performance and assessing sustainment and expanded use. 長期的にAIシステムの信頼性と妥当性を確保するために、GAOは、パフォーマンスのモニタリング、持続性と使用拡大の評価に関する重要なプラクティスを特定する。
Continuous Monitoring of Performance  パフォーマンスの継続的なモニタリング 
Entities should develop plans for continuous or routine monitoring of the Al system and document results and corrective actions taken to ensure the system produces desired results. 事業体は、AIシステムの継続的または定期的なモニタリングのための計画を策定し、システムが望ましい結果を生み出すことを保証するために実施された結果と是正措置を文書化しなければならない。
4.1 Planning: Develop plans for continuous or routine monitoring of the AI system to ensure it performs as intended.  4.1 計画:AI システムが意図したとおりに動作することを確実にするために、AI システムの継続的 または定期的なモニタリングのための計画を策定する。
4.2 Drift: Establish the range of data and model drift that is acceptable to ensure the AI system produces desired results.  4.2 ドリフト:AIシステムが望ましい結果を得るために許容可能なデータおよびモデルのドリフトの範囲を設定する。
4.3 Traceability: Document results of monitoring activities and any corrective actions taken to promote traceability and transparency.  4.3 トレーサビリティー:モニタリング活動の結果および是正措置を文書化し、トレーサビリティーと透明性を確保する。
Assessing Sustainment and Expanded Use  持続可能性及び使用拡大の評価 
Entities should assess the utility of the Al system to ensure its relevance and identify conditions under which the Al system may or may not be scaled or expanded beyond its current use. 企業は、AI システムの有用性を評価して、その妥当性を確認し、AI システムを現在の使用を超えて拡張または拡大してもよい、またはしなくてもよい条件を特定しなければならない。
4.4 Ongoing assessment: Assess the utility of the AI system to ensure its relevance to the current context.  4.4 継続的な評価:現在の状況との関連性を確保するために、AI システムの有用性を評価する。
4.5 Scaling: Identify conditions, if any, under which the AI system may be scaled or expanded beyond its current use. 4.5 スケーリング:AIシステムが現在の使用を超えて拡大または拡張される可能性がある条件があれば、それを特定する。

| | Comments (0)

2021.07.22

日本銀行金融研究所 金融研究 スマートフォン等のスマート・デバイスにおけるセキュリティ:プラットフォーム化によるリスクの現状と展望

こんにちは、丸山満彦です。

日本銀行金融研究所 金融研究第40巻第3号に「スマートフォン等のスマート・デバイスにおけるセキュリティ:プラットフォーム化によるリスクの現状と展望」という論文が掲載されていますね。。。

宇根さんですね。。。


近年、プラットフォームのセキュリティに関する問題を示唆する研究成果が報告されている。アプリケーション・ソフトウェアのセキュリティを確保して安全なサービスを提供しつづけるためには、こうした研究動向をフォローしつつ、リスクの所在や影響について検討することが重要である。本稿では、スマート・デバイスのプラットフォームのセキュリティに関する最近の主な研究成果を紹介するとともに、アプリケーション・ソフトウェアの提供者の立場から、問題への対応のあり方について考察する。


頭の整理によいですね。。。

日本銀行金融研究所

・2021.07.20 金融研究第40巻第3号 スマートフォン等のスマート・デバイスにおけるセキュリティ:プラットフォーム化によるリスクの現状と展望

・[PDF

20210722-15130

| | Comments (0)

日本銀行金融研究所 金融研究 機械学習システムの脆弱性とセキュリティ・リスク:「障害モード」による分類と今後へのインプリケーション

こんにちは、丸山満彦です。

日本銀行金融研究所 金融研究第40巻第3号に「機械学習システムの脆弱性とセキュリティ・リスク:「障害モード」による分類と今後へのインプリケーション」という論文が掲載されていますね。。。


まず、機械学習システムとそのセキュリティ・リスクの特徴について考察する。次に、最近のサーベイ論文を参照しつつ、同システムの主な脆弱性やそれへの攻撃手法を「障害モード(failure mode)」の観点から、(1)外部からの攻撃の有無、(2)脆弱性の所在領域、(3)喪失する機能特性の3つの軸をもとに分類・整理する。最後に、今後の機械学習システムの活用に向けた留意点を述べる。


頭の整理にはよいですね。。。

● 日本銀行金融研究所

・2021.07.20 金融研究第40巻第3号 機械学習システムの脆弱性とセキュリティ・リスク:「障害モード」による分類と今後へのインプリケーション

・[PDF

20210722-14403

| | Comments (0)

NISTIR 8369 NIST軽量暗号化標準化プロセスの第2ラウンドに関するステータスレポート

こんにちは、丸山満彦です。

NISTが、NISTIR 8369 NIST軽量暗号化標準化プロセスの第2ラウンドに関するステータスレポートを公開していますね。。。

● NIST - ITL

・2021.07.21 NISTIR 8369 Status Report on the Second Round of the NIST Lightweight Cryptography Standardization Process

・[PDF] NISTIR 8369

20210722-11224

| | Comments (0)

NIST SP 800-47 Rev.1 情報交換におけるセキュリティ管理 Managing the Security of Information Exchanges

こんにちは、丸山満彦です。

今年の1月にドラフトが発表され、意見募集がされていたNIST SP 800-47 Managing the Security of Information Exchangesが確定していますね。。。18年ぶりの改訂で、名称が「ITシステム相互接続セキュリティガイド」から「情報交換におけるセキュリティ管理」に変わっていますね。。。

日本もこういうガイドをつくればよいのにね。。。とか。。。

● NIST - ITL

・2021.07.20 SP 800-47 Rev. 1 Managing the Security of Information Exchanges

・[PDF] SP 800-47 Rev. 1

20210722-02336

Abstract 概要
An organization often has mission and business-based needs to exchange (share) information with one or more other internal or external organizations via various information exchange channels; however, it is recognized that the information being exchanged also requires the same or similar level of protection as it moves from one organization to another (protection commensurate with risk). 組織は、さまざまな情報交換チャネルを介して、社内外の複数の組織と情報交換(共有)したいと いうミッションや事業上の必要性がしばしばあり、その場合、交換される情報は、ある組織から別の組織に移る際には、同程度の保護 (リスクに見合った保護)が必要であると理解されている。
This publication focuses managing the protection of the information being exchanged or accessed before, during, and after the exchange rather than on any particular type of technology-based connection or information access or exchange method and thus provides guidance on identifying information exchanges, considerations for protecting exchanged information, and the agreement(s) needed to help manage protection of the exchanged information. Organizations are expected to tailor the guidance to meet specific organizational needs and requirements regarding the information exchange. 本書では、技術ベースの特定の接続や情報アクセス、交換方法ではなく、交換前、交換中、交換後の情報の保護管理に焦点を当て、情報交換の特定、交換された情報を保護するための考慮事項、および交換された情報の保護管理を支援するために必要な契約についてのガイダンスを提供する。組織は、情報交換に関する特定の組織の必要性や要求事項を満たすために、ガイダンスを適宜修正して利用するべきと考えている。

 

概要は、

Executive Summary  エグゼクティブサマリー 
Managing the Security of Information Exchanges provides guidance for planning, establishing, maintaining, and discontinuing information exchange and access between systems that are owned and operated by different organizations (internal or external) or that cross authorization boundaries. The guidance is consistent with the requirements specified in the Office of Management and Budget (OMB) Circular A-130 for the secure management of information exchanges.   「情報交換のセキュリティ管理」は、異なる組織(内部または外部)が所有・運営するシステム間の情報交換やアクセスを計画、確立、維持、中止するためのガイダンスです。このガイダンスは、情報交換を安全に管理するために、行政管理予算局(OMB)のCircular A-130に規定されている要件と一致しています。 
This guidance defines the scope of information exchange, describes the benefits of the secure management of information exchange, identifies types of information exchanges, discusses potential security risks associated with information exchange, and discusses several types of agreements that may be applied by organizations with a mission or business need to exchange information.   このガイダンスでは、情報交換の範囲を定義し、情報交換を安全に管理することの利点を説明し、情報交換の種類を特定し、情報交換に関連する潜在的なセキュリティリスクを議論し、情報交換のミッションやビジネスニーズを持つ組織が適用できるいくつかのタイプの契約について説明しています。 
An approach for securely managing information exchange between systems and organizations is presented. The following four phases of information exchange management are addressed:   システムや組織間の情報交換を安全に管理するためのアプローチが示されています。情報交換管理の以下の4つのフェーズを取り上げています。 
1. Planning the information exchange: The participating organizations perform preliminary activities; examine all relevant technical, security, and administrative issues; and develop an appropriate agreement to govern the management and use of the information and how it is to be exchanged (e.g., via a dedicated circuit or virtual private network, database sharing, cloud- or web-based services, or simple file exchange).   1. 情報交換の計画:参加組織は、予備活動を行い、関連するすべての技術、セキュリティ、および管理上の問題を検討し、情報の管理と使用、および情報交換の方法(専用回線や仮想プライベートネットワーク、データベースの共有、クラウドやウェブベースのサービス、または単純なファイル交換など)を管理するための適切な契約を締結する。 
2. Establishing the information exchange: The organizations develop and execute a plan for establishing the information exchange, including implementing or configuring appropriate security controls and developing and signing appropriate agreements.   2. 情報交換の確立:組織は、情報交換を確立するための計画を策定し、実行する。この計画には、適切なセキュリティ管理の実施または設定、および適切な契約の作成と締結が含まれる。 
3. Maintaining the exchange and associated agreements: The organizations actively maintain the security of the information exchange after it is established and ensure that the terms of the associated agreements are met and remain relevant, including reviewing and renewing the agreements at an agreed-upon frequency.   3. 情報交換および関連契約の維持:情報交換が確立された後、組織は積極的にそのセキュリティを維持し、合意された頻度で契約を見直し、更新することを含め、関連する契約の条件が満たされ、適切であり続けることを保証する。 
4. Discontinuing the information exchange: Information exchange may be temporary, or at some point, the organizations may need to discontinue the information exchange. Whether the exchange was temporary or long-term, the conclusion of an information exchange is conducted in a manner that avoids disrupting any other party’s system. In response to an incident or other emergency, however, the organizations may decide to discontinue the information exchange immediately.   4. 情報交換の中止:情報交換は一時的な場合もあれば、ある時点で組織が情報交換を中止しなければならない場合もあります。情報交換が一時的なものであっても長期的なものであっても、情報交換の終了は、他の当事者のシステムを混乱させない方法で行われる。しかし、事件やその他の緊急事態に対応するために、組織は情報交換を直ちに中止することを決定する場合がある。 
This publication provides recommended steps for completing each phase with an emphasis on the security measures necessary to protect the shared data.   本書では、共有データを保護するために必要なセキュリティ対策に重点を置いて、各フェーズを完了するための推奨手順を説明しています。 
Also included is information for selecting and developing appropriate information exchange agreements and agreement templates. Agreements specify the responsibilities of participating organizations and the technical and security requirements for the information exchange.   また、適切な情報交換契約書および契約書テンプレートの選択と作成に関する情報も含まれています。契約書には、参加組織の責任、情報交換のための技術的およびセキュリティ上の要件が明記されています。 

 

目次は、、、

Executive Summary エグゼクティブ・サマリー
1  Introduction 1 はじめに
1.1  Purpose and Applicability 1.1 目的と適用性
1.2 Target Audience 1.2 想定読者
1.3 Organization of this Publication 1.3 本書の構成
2  The Fundamentals 2 基本的事項
2.1 Information Exchange 2.1 情報交換
2.1.1 System Interconnections 2.1.1 システムの相互接続
2.1.2 Methods of Information Exchange 2.1.2 情報交換の方法
2.2 Information Exchange: Accessing or Transferring the Information 2.2 情報交換:情報へのアクセスまたは情報の転送
3  Information Exchange Security Management 3 情報交換のセキュリティ管理
3.1. Planning an Information Exchange 3.1. 情報交換の計画
3.1.1 Step 1: Establish a Joint Planning Team 3.1.1 ステップ1:共同企画チームの設立
3.1.2  Step 2: Define the Business Case 3.1.2 ステップ2: ビジネスケースの定義
3.1.3  Step 3: Apply the NIST Risk Management Framework 3.1.3 ステップ3: NISTリスクマネジメントフレームワークの適用
3.1.4  Step 4: Identify Specific Protection Requirements 3.1.4 ステップ4:特定保護要件の特定
3.1.5  Step 5: Document Appropriate Agreements 3.1.5 ステップ5: 適切な合意の文書化
3.1.6 Step 6: Approve or Reject the Information Exchange 3.1.6 ステップ6:情報交換の承認または否認
3.1.7 Emergency Information Exchange 3.1.7 緊急時の情報交換
3.2 Establishing the Information Exchange 3.2 情報交換の確立
3.2.1 Step 1: Develop an Implementation Plan 3.2.1 ステップ1:実施計画の策定
3.2.2 Step 2: Execute the Implementation Plan 3.2.2 ステップ2:実施計画の実行
3.2.3 Step 3: Activate the Information Exchange 3.2.3 ステップ3:情報交換の有効化
3.3 Maintaining the Information Exchange 3.3 情報交換の維持
3.3.1 Maintain Clear Lines of Communication 3.3.1 明確なコミュニケーションラインの維持
3.3.2 Maintain Systems and System Components 3.3.2 システムおよびシステムコンポーネントの維持
3.3.3 Manage User Accounts 3.3.3 ユーザーアカウントの管理
3.3.4 Conduct Security Assessments 3.3.4 セキュリティ評価の実施
3.3.5 Analyze Event Logs 3.3.5 イベントログの分析
3.3.6 Report and Respond to Security Incidents 3.3.6 セキュリティインシデントの報告と対応
3.3.7 Coordinate Contingency Planning Activities 3.3.7 緊急時計画活動の調整
3.3.8 Manage Configuration Changes 3.3.8 設定変更の管理
3.3.9 Review and Maintain System Security Plans and Applicable Agreements 3.3.9 システムセキュリティ計画および適用協定の見直しと維持
3.3.10 Review the Continued Need for the Information Exchange 3.3.10 情報交換を継続する必要性の見直し
3.4 Discontinuing the Information Exchange 3.4 情報交換の中止
3.4.1 Planned Discontinuance 3.4.1 計画的中止
3.4.2 Emergency Discontinuance 3.4.2 緊急中止
3.4.3 Resumption of Interconnection 3.4.3 相互接続の再開
References 参考文献

| | Comments (0)

2021.07.21

CISA Alert (AA21-201A) 中国によるガスパイプライン侵入キャンペーン(2011年から2013年)

こんにちは、丸山満彦です。

米国のCISAが2021.07.20に「中国によるガスパイプライン侵入キャンペーン」についてのアラートをだしています。ただし、2011年から2013年に関する攻撃のようです。。。。。

 

Logo_verbose

● CISA

・2021.07.20 Alert (AA21-201A) Chinese Gas Pipeline Intrusion Campaign, 2011 to 2013

 

これは、これ単独の話ではなく。前日に公表されているAlert

中国による攻撃に関する総括的なアラート

・2021.07.19 Alert (AA21-200B) Chinese State-Sponsored Cyber Operations: Observed TTPs

APT40に攻撃に関するアラート

・2021.07.19 Alert (AA21-200A) Tactics, Techniques, and Procedures of Indicted APT40 Actors Associated with China’s MSS Hainan State Security Department

の2つに関係しますよね。。。そして、

ICSを標的としたキャンペーンに関する発表

・2021.07.20 Significant Historical Cyber-Intrusion Campaigns Targeting ICS

とも関係していますね。。。

なお、中国に関する情報についてもまとめられています。。。

China Cyber Threat Overview and Advisories

 

このあたりの情報を公表していることについて、中国側はだからといって、中国がやったといえるわけではないと答えているように思います(参考:2021.07.20の外交部の赵立坚報道官の発言

网络空间虚拟性强,溯源难,行为体多样,在调查和定性网络事件时应有完整充分证据,将有关网络攻击与一国政府相关联,更应慎之又慎。美方发布的所谓技术细节并不能构成完整的证据链。 サイバースペースが仮想的であるという性質、発信元を追跡することの難しさ、行為者の多様性を考慮すると、サイバー事件の調査と特徴づけには完全かつ十分な証拠が必要であり、問題となっているサイバー攻撃を政府と関連付ける際にはさらに注意が必要であると考えます。 米国が発表したいわゆる技術的な詳細は、完全な証拠の連鎖を構成するものではありません。

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.21 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応(その2)

・2021.07.20 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

 

 

| | Comments (0)

米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応(その2)

こんにちは、丸山満彦です。

2021月7月19日に米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なった」と発表したことに対する中国側の対応ですが、中国外交部趙立堅報道官の2021年7月20日の定期会見の中でReutersの記者、湖北テレビラジオ局の記者が質問し、それに対する回答という形で答えていますね。。。

趙立堅報道官ってスマートな感じがしますよね。。。政府職員が作った原稿を読んでいるのかもしれませんが、しっかりした感じはします。。。

 

国務院 - 外交部

2021.07.21 外交部发言人赵立坚主持例行记者会

路透社记者: ロイター記者:
周一,美国联合其盟友指责中国国家安全部在全球实施网络攻击行为。中方对此有何评论? 月曜日、米国は同盟国とともに、中国の国家安全部が世界各地でサイバー攻撃を行っていると非難しました。 これに対する中国のコメントは?
赵立坚: 赵立坚:
美国纠集盟友在网络安全问题上对中国进行无理指责,此举无中生有,颠倒黑白,完全是出于政治目的的抹黑和打压,中方绝不接受。 米国は同盟国を集めて、サイバーセキュリティの問題で中国に対して理不尽な非難をしていますが、これは根拠がなく、白黒を逆転させ、中傷と弾圧を目的とした完全に政治的な動機によるもので、中国は決して受け入れません。
中方坚决反对并打击任何形式的网络攻击,更不会对黑客攻击进行鼓励、支持或纵容。这一立场是一贯和明确的。网络空间虚拟性强,溯源难,行为体多样,在调查和定性网络事件时应有完整充分证据,将有关网络攻击与一国政府相关联,更应慎之又慎。美方发布的所谓技术细节并不能构成完整的证据链。 中国は、いかなる形態のサイバー攻撃にも断固として反対し、対抗するとともに、ハッキングを奨励、支持、容認しません。 この立場は一貫していて明確です。 サイバースペースが仮想的であるという性質、発信元を追跡することの難しさ、行為者の多様性を考慮すると、サイバー事件の調査と特徴づけには完全かつ十分な証拠が必要であり、問題となっているサイバー攻撃を政府と関連付ける際にはさらに注意が必要であると考えます。 米国が発表したいわゆる技術的な詳細は、完全な証拠の連鎖を構成するものではありません。
事实上,美国才是全球最大的网络攻击来源国。根据中国网络安全公司360报告,来自北美的APT组织攻击手法复杂且战备资源充足,持久聚焦特定行业和单位。中国国家互联网应急中心(CNCERT)数据显示,2020年位于境外的约5.2万个计算机恶意程序控制服务器控制了中国境内约531万台主机。就控制中国境内主机数量来看,美国及其北约盟国分列前三位。此外,360公司报告还显示,美国中央情报局的网络攻击组织APT-C-39曾对中国航空航天、科研机构、石油行业、大型互联网公司以及政府机构等关键领域进行了长达11年的网络渗透攻击。上述攻击严重损害中国的国家安全、经济安全、关键基础设施安全和广大民众的个人信息安全。 実際、米国は世界で最も多くのサイバー攻撃を行なっています。 中国のサイバーセキュリティ企業である360社の報告書によると、北米のAPTグループは、特定の産業や単位にしつこく焦点を当てて、洗練された豊富なリソースを使って攻撃を行っています。 中国の国家インターネット緊急対応センター(CNCERT)のデータによると、中国国外に設置された約5万2,000台のコンピュータ・マルウェア制御サーバーが、2020年には中国国内の約531万台のホストを制御しています。 中国国内で管理されているホストの数では、米国とNATOの同盟国が上位3カ国となっています。 また、360社のレポートでは、米国中央情報局のサイバー攻撃グループAPT-C-39が、中国の航空宇宙、科学研究機関、石油産業、大手インターネット企業、政府機関などの主要分野に対して、11年に渡ってサイバー侵入攻撃を行っていたことが明らかになりました。 これらの攻撃は、中国の国家安全保障、経済安全保障、重要インフラの安全性、一般市民の個人情報の安全性を著しく損なっています。
美国的窃听对象既包括竞争对手,也包括自身盟友。美国的欧洲盟友对美国利用丹麦情报部门合作监听其领导人等行径轻描淡写,却对“中国网络攻击”捕风捉影、大动干戈,这与其一贯宣称的战略自主自相矛盾。 米国の盗聴の対象は、競合国と自国の同盟国の両方です。 米国の欧州の同盟国は、米国がデンマークの諜報機関を利用して自国の指導者を監視していることを軽視している一方で、「中国のサイバー攻撃」については大騒ぎしており、長年主張してきた戦略上の自主性とは矛盾しています。
网络攻击是全球面临的共同威胁。我们一贯主张各国应在相互尊重,互信互利的基础上,通过对话合作维护网络安全。我想强调的是,一小部分国家代表不了国际社会,抹黑他人洗白不了自己。中方再次强烈要求美国及其盟友停止针对中国的网络窃密和攻击,停止在网络安全问题上向中国泼脏水,撤销所谓起诉。中方将采取必要措施坚定维护中国的网络安全和自身利益。 サイバー攻撃は、世界共通の脅威です。 私たちは常に、すべての国が相互尊重、信頼、相互利益に基づいて、対話と協力を通じてサイバーセキュリティを維持すべきだと提唱してきました。 私が強調したいのは、一部の国が国際社会を代表することはできないし、他人の信用を落とすことで自分を白紙にすることはできないということです。 中国は、米国とその同盟国が中国に対するサイバー窃盗と攻撃をやめ、サイバーセキュリティ問題で中国に汚い水をかけるのをやめ、訴えを撤回することを改めて強く要求します。 中国は必要な措置を講じて、中国のサイバーセキュリティと自国の利益をしっかりと守っていきます。
湖北广播电视台记者: 湖北テレビラジオ局記者:
我们注意到,此次北约首次就中国网络攻击发表共同声明。请问中方有何评论? NATOが中国のサイバー攻撃について共通の声明を出したのは今回が初めてであることに注目しています。 中国のコメントを聞いてもいいですか?
赵立坚: 赵立坚:
在美国推动下,北约近年来明确将网络空间作为新的战场,不断推进网络军事作战部署,建立作战司令部网络空间作战中心。这种将军事同盟引入网络空间的做法,不仅无助于实现自身安全,反而可能刺激网络军备竞赛,增加国家间发生网络摩擦和冲突的风险,危害国际和平与安全。 米国の後押しを受けて、NATOは近年、サイバースペースを新たな戦場として明示的に採用し、サイバー軍事作戦の展開を継続的に推進し、戦闘司令部サイバースペースオペレーションセンターを設立しました。 サイバースペースに軍事同盟を導入するこのような行為は、自国の安全保障に役立たないばかりか、かえってサイバー軍拡競争を刺激し、国家間のサイバー摩擦や紛争のリスクを高め、国際的な平和と安全を危うくする恐れがあります。
北约如果真关心网络安全,就应该言行一致维护网络空间和平,而不是在网络空间整军备战。北约如果真关心其成员国的网络安全,就应该首先讨论其个别成员国对其他成员国大规模网络窃密问题。 NATOが本当にサイバーセキュリティを重視するのであれば、サイバースペースでの戦争に備えるのではなく、サイバースペースの平和を維持するために、言動を一貫させるべきです。 NATOが加盟国のサイバーセキュリティを本当に重視しているのであれば、まず、個々の加盟国が他の加盟国に対して行う大規模なサイバー窃盗の問題を議論すべきである。

 

1_20210705085401


ちなみに、会見で触れられている360社というのは中国のセキュリティ会社である奇虎360 (Qihoo 360 Technology Co Ltd) [wikipedia CN] のことですよね。。。

奇虎360

Blog

 

ちなみに奇虎360 (Qihoo 360 Technology Co Ltd)は、2011年3月30日にNY証券取引所に上場していましたが、2016年7月18日に上場廃止していますね。。。

Edger 

Qihoo 360 Technology Co Ltdの検索結果


 

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.20 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

| | Comments (0)

中国 意見募集「深圳経済特区における人工知能産業振興条例(案)」

こんにちは、丸山満彦です。

ハイテク産業の集積地で知られる中国の深圳市[wikipedia]、その人民代表大会が「深圳経済特区における人工知能産業振興条例(案)」を発表し、これについての意見募集をしていますね。。。

自治体等がこれからどんどんAIを活用していくと思いますが、AIについてのルールがないといけないですよね。。。中国のほうが早く気が付いたか・・・

 

・附件:[DOCX] 深圳经济特区人工智能产业促进条例(草案).docx

20210720-223904

 

・[DOCX] 关于:《深圳经济特区人工智能产业促进条例(草案)》的说明.docx

 

目  录 目次
第一章  总则 第1章 総則
第二章  基础研究与技术开发 第2章 基礎研究と技術開発
第三章  产业基础设施建设 第3章 産業インフラ整備
第四章  应用场景拓展 第4章 アプリケーションのシナリオ作成
第五章  促进与保障 第5章 プロモーションと保証
第六章  治理原则与措施 第6章 ガバナンスの原則と施策
第七章  附则 第7章 附則

 

つづきはこちら。。。

 

 


 

参考

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.11.10 中国 TC260 パブコメ AI倫理に関するガイドライン案

 

日本のAI原則

● 経済産業省

・2021.07.09 [PDF] AI 原則実践のためのガバナンス・ガイドライン ver. 1.0

 

● 内閣府

・2019.03.29 [PDF] 人間中心のAI社会原則

社会がAIを受け入れ適正に利用するため、社会が留意すべき基本原則(7原則)

原則 説明
1. 人間中心の原則 AIは、人間の労働の一部を代替するのみならず、高度な道具として人間の仕事を補助することにより、人間の能力や創造性を拡大することができる等
2. 教育・リテラシーの原則 人々の格差やAI弱者を生み出さないために、幼児教育や初等中等教育において幅広く機会が提供されるほか、社会人や高齢者の学び直しの機会の提供が求められる等
3. プライバシー確保の原則 パーソナルデータを利用したAI、及びそのAIを活用したサービス・ソリューションは、政府における利用を含め、個人の自由、尊厳、平等が侵害されないようにすべきである等
4. セキュリティ確保の原則 社会は、AIの利用におけるリスクの正しい評価や、リスクを低減するための研究等、AIに関わる層の厚い研究開発を推進し、サイバーセキュリティの確保を含むリスク管理のための取組を進めなければならない等
5. 公正競争確保の原則 特定の国にAIに関する資源が集中することにより、その支配的な地位を利用した不当なデータの収集や主権の侵害が行われる社会であってはならない等
6. 公平性、説明責任、及び透明性(FAT)の原則 AIの設計思想の下において、人々がその人種、性別、国籍、年齢、政治的信念、宗教等の多様なバックグラウンドを理由に不当な差別をされることなく、全ての人々が公平に扱われなければならない等
7. イノベーションの原則 Society.5.0を実現し、AIの発展によって、人も併せて進化していくような継続的なイノベーションを目指すため、国境や産学官民、人種、性別、国籍、年齢、政治的信念、宗教等の垣根を越えて、幅広い知識、視点、発想等に基づき、人材・研究の両面から、徹底的な国際化・多様化と産学官民連携を推進するべきである等

 

 

OECDのAI原則

● OECD

・2019.05.22 Recommendation of the Council on Artificial Intelligence

翻訳版

総務省

・[PDF] 人工知能に関する理事会勧告

信頼できるAIの責任あるスチュワードシップのための原則

1. 包摂的な成長、持続可能な開発及び幸福 ステークホルダーは、人間の能力の増強や創造性の向上、少数派の包摂の促進、経済・社会・性別における格差の改善、及び自然環境の保護などがもたらす包摂的な成長、持続可能な開発及び幸福の増進といった人々と地球にとって有益な結果を追求することにより、信頼できるAIの責任あるスチュワードシップに積極的に取り組むべきである。
2. 人間中心の価値観及び公平性 a) AIのアクターは、AIシステムのライフサイクルを通じ、法の支配、人権及び民主主義の価値観を尊重すべきである。これらには、自由や尊厳、自主自律、プライバシーとデータの保護、無差別と平等、多様性、公平性、社会正義及び国際的に認知された労働権が含まれる。
b) この目的を達成するため、AIのアクターは、人間による最終的な意思決定の余地を残しておくことなど、状況に適した形で、かつ技術の水準を踏まえたメカニズムとセーフガードを実装すべきである。
3. 透明性及び説明可能性 AIのアクターは、AIシステムに関する透明性と責任ある開示に積極的に関与すべきである。これらを達成するため、AIのアクターは、以下のために、状況に適した形で、かつ技術の水準を踏まえ、意味のある情報提供を行うべきである:
i. AIシステムの一般的な理解を深めること。
ii. 職場におけるものを含め、AIシステムが使われていることをステークホルダーに認識してもらうこと。
iii. AIシステムに影響される者がそれから生じた結果を理解できるようにすること。及び、
iv. AIシステムから悪影響を受けた者がそれによって生じた結果に対して、その要因に関する明快かつ分かりやすい情報、並びに予測、推薦又は意思決定のベースとして働いたロジックに基づいて、反論することができるようにすること。
4. 頑健性、セキュリティ及び安全性 a) AIシステムは、通常の使用、予見可能な使用や誤用、又はその他の悪条件においても正常に機能するとともに、不合理な安全上のリスクをもたらすことがないように、そのライフサイクル全体にわたって頑健で、セキュリティが高く、かつ安全であるべきである。
b) この目的のために、AIのアクターは、AIシステムの出力の分析や問合せに対する対応が可能であるように、状況に適した形で、かつ技術の水準を踏まえたトレーサビリティを確保すべきである。トレーサビリティの確保には、データセット、プロセス及びAIシステムがそのライフサイクルの中で行った決定に関することも含まれる。
c) プライバシー、デジタル・セキュリティ、安全性及びバイアスといったAIシステムに関するリスクに対処していくために、AIのアクターは、その役割、状況及び能力に基づき、系統化されたリスクマネジメントのアプローチをAIシステムのライフスタイルの各段階に絶え間なく適用すべきである。
5. アカウンタビリティ AIのアクターは、その役割と状況に基づき、かつ技術の水準を踏まえた形で、AIシステムが適正に機能していること及び上記の原則を尊重していることについて、アカウンタビリティを果たすべきである。

 

Continue reading "中国 意見募集「深圳経済特区における人工知能産業振興条例(案)」"

| | Comments (0)

2021.07.20

米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応

こんにちは、丸山満彦です。

2021月7月19日に米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なった」と発表したことに対する中国側の対応ですが、今、現在では中国外交部のウェブページには特に記載はありませんが、中国の英国大使は質問に回答していますね。。。

 

Embassy of the People's Republic of China in the United Kingdom of Great Britain and Northern Ireland

・2021.07.20 Embassy Spokesperson's Comment on the Remarks by the UK Side about Cyber Attack

 

Embassy Spokesperson's Comment on the Remarks by the UK Side about Cyber Attack サイバー攻撃に関する英国の発言についての大使館報道官のコメント
Question:  質問
The Foreign, Commonwealth and Development Office of the UK issued a press release saying that the UK joins likeminded partners to confirm "Chinese state-backed actors" were responsible for gaining access to computer networks via Microsoft Exchange servers. The press release claims that the attacks took place in early 2021 and that “widespread, credible evidence demonstrates that sustained, irresponsible cyber activity emanating from China” continues. The UK is calling on China not to conduct or support cyber-enabled theft. What is the comment of the Chinese Embassy? 英国のForeign, Commonwealth and Development Officeはプレスリリースを発表し、英国は志を同じくするパートナーと協力して、「中国国家に支援された行為者」がMicrosoft Exchangeサーバを介してコンピュータネットワークにアクセスしたことを確認したと述べています。プレスリリースによると、この攻撃は2021年初頭に行われたもので、「広範で信頼できる証拠は、中国から発信された持続的で無責任なサイバー活動が続いていることを示している」としています。英国は中国に対し、サイバーを利用した窃盗を行わない、あるいは支援しないよう呼びかけています。中国大使館のコメントは?
Embassy Spokesperson:  大使館報道官の回答
The accusation against China by the UK side is sheer fabrication and slander. The Chinese side is gravely concerned and strongly opposed to this. We call on the UK side to immediately stop echoing the groundless and irresponsible accusation against China. 英国側の中国に対する非難は、全くの捏造であり、誹謗中傷です。中国は重大な懸念を抱いており、これに強く反対します。英国に対し、中国に対する根拠のない無責任な非難を直ちにやめるよう求めます。
China is a staunch defender of cyber security and a main victim of cyber thefts and attacks. According to the annual report 2020 by the National Computer Network Emergency Response Technical Team/Coordination Center of China (CNCERT/CC), about 52,000 overseas C&C servers controlled about 5.31 million hosts on the Chinese mainland. This posed severe threat to China’s national security, economic and social development and daily life of the people. In February this year alone, 830,000 computers with IP addresses in China suffered unknown attacks, 70% of which came from abroad. 中国は、サイバーセキュリティの確固たる擁護者であると同時に、サイバー窃盗や攻撃の主な被害者でもあります。CNCERT/CC(National Computer Network Emergency Response Technical Team/Coordination Center of China)の2020年の年次報告書によると、約5万2000台の海外のC&Cサーバーが中国本土の約531万台のホストを制御していました。これは、中国の国家安全保障、経済・社会の発展、国民の日常生活に深刻な脅威をもたらしました。今年の2月だけでも、中国国内のIPアドレスを持つ83万台のコンピュータが未知の攻撃を受け、そのうちの70%が海外からの攻撃でした。
The US, in violation of international law and basic norms governing international relations, has long been engaging in practices of large-scale, organized and indiscriminate cyber theft, surveillance and attacks against foreign governments, enterprises and individuals. Its despicable actions, from the cases of WikiLeaks, Edward Snowden and Crypto AG to the information theft on heads of state of European countries through the intelligence agency of a third country, are known to the world. If the UK side is serious about cyber security, it should not be indifferent toward, and still less an accessory to, such abuse of technological advantage and unscrupulous, large-scale and indiscriminate tapping and stealing of secrets against countries across the world, including its allies. On cyber security issues, the UK and a handful of other “like-minded countries” are applying double standards and playing the trick of a thief crying “Stop thief!”. We are firmly opposed to this practice. 米国は、国際法および国際関係を支配する基本的な規範に違反して、外国の政府、企業および個人に対する大規模かつ組織的な無差別のサイバー窃盗、監視および攻撃を長年にわたって行ってきました。ウィキリークス、エドワード・スノーデン、Crypto AGの事件から、第三国の情報機関を通じた欧州各国首脳の情報窃盗に至るまで、その卑劣な行為は世界に知られています。英国がサイバーセキュリティに真剣に取り組んでいるのであれば、このような技術的優位性の乱用や、同盟国を含む世界各国に対する無節操で大規模かつ無差別な盗聴・盗撮行為に無関心であってはなりませんし、ましてや共犯者であってはなりません。サイバーセキュリティの問題では、英国をはじめとする一握りの「志を同じくする国々」が二重基準を適用し、泥棒が「泥棒を止めろ!」と叫ぶようなまねをしています。私たちはこのような行為に断固として反対します。
Cyber security is a global issue which concerns the common interests of all. Safeguarding cyber security requires the joint efforts of the international community. China has always been open and honest on cyber security and is always ready to work with all parties to build up the community of shared cyber security for everyone. Last September, China launched the Global Initiative on Data Security, which calls for all States to stand against the use and abuse of ICT for destruction of critical infrastructure or theft of important data of other States, mass surveillance targeting other States and illegal harvesting of personal information of citizens of other countries. It is hoped that all countries including the UK will join the Initiative and make clear-cut commitments on cyber security, so as to jointly foster a peaceful, secure, open and cooperative cyberspace. サイバーセキュリティは、すべての人の共通の利益に関わるグローバルな問題です。サイバーセキュリティを守るためには、国際社会の共同努力が必要です。中国は、サイバーセキュリティに関して常にオープンで誠実であり、すべての関係者と協力して、すべての人が共有できるサイバーセキュリティのコミュニティを構築する用意があります。昨年9月、中国は「データセキュリティに関するグローバルイニシアティブ」を立ち上げました。このイニシアティブは、重要なインフラの破壊や他国の重要なデータの窃盗、他国を標的とした大規模な監視、他国の市民の個人情報の違法な収穫のためのICTの使用や乱用に立ち向かうことをすべての国に呼びかけています。英国を含むすべての国がこのイニシアティブに参加し、サイバーセキュリティに関する明確な約束をすることで、平和で安全、開放的で協力的なサイバー空間を共同で育成することが期待されています。

 

1_20210705085401


 

● まるちゃんの情報セキュリティ気まぐれ日記

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

 

| | Comments (0)

Cloud Security Alliance ヘルスケアにおけるブロックチェーンの利用

こんにちは、丸山満彦です。

クラウドセキュリティアライアンスが、医療機関におけるブロックチェーンの利用に関する報告書が公表されていますね。。。ブロックチェーンを利用すれば、患者のプライバシーとデータのセキュリティを同時に確保しながら、医療データを効率的に共有できる可能性があるということのようです。。。

 

Cloud Security Alliance: CSA

・2021.07.15 The Use of Blockchain in Healthcare

・[PDF]  簡単に質問に答えると入手できます。

20210720-163852

 

Abstract 概要
Introduction はじめに
Blockchain ブロックチェーン
Smart Contracts スマートコントラクト
General 概要
Research リサーチ
Supply Chain サプライチェーン
Financial 金融
Billing Processing 請求処理
Billing and Medical Coding 請求書作成と医療コーディング
Facility and Energy Management 施設・エネルギー管理
Telehealth テレヘルスって何?
Patient Administration 患者管理
Blockchain In Healthcare Cases 医療分野におけるブロックチェーンの事例
 Combat Covid-19 with Blockchain in China  中国におけるブロックチェーンを用いたCovid-19対策
 China BAT Blockchain for Healthcare  中国BATの医療用ブロックチェーン
  Baidu’s Blockchain for Healthcare   Baiduの医療用ブロックチェーン
  Alibaba’s Blockchain for Healthcare   アリババの医療分野用ブロックチェーン
  Tecent’s Blockchain for Healthcare   テセントの医療分野用ブロックチェーン
North America Blockchain for Healthcare 北米の医療分野用ブロックチェーン
 USA - MedRec EHR Blockchain for Healthcare  アメリカ - MedRec EHRの医療分野用ブロックチェーン
 Canada - University Health Network (UHN) Blockchain for Healthcare  カナダ - UHN(University Health Network)の医療分野用ブロックチェーン
Discussion 考察
Conclusion まとめ
References 参考文献

| | Comments (0)

Cloud Security Alliance - Healthcare Cyber​​securityPlaybook-進化する風景

こんにちは、丸山満彦です。

クラウドセキュリティアライアンスから、医療機関向けのサイバーセキュリティのプレイブックが公表されていますね。。。

Cloud Security Alliance: CSA

・2021.07.14 Healthcare Cybersecurity Playbook - An Evolving Landscape

・[PDF]  簡単に質問に答えると入手できます。

20210720-153005

 

目次

Introduction  はじめに 
 An Evolving Landscape   進化する環境 
Healthcare as a Prime Target  第一の標的としてのヘルスケア
The Promise of Secure Healthcare  セキュアなヘルスケアの実現に向けて 
 Protecting all Patients all the Time  すべての患者をいつでも保護する
Scalability for Today and The Future  現在と将来のためのスケーラビリティ 
Time, Money, and Resources  時間、お金、リソース 
Managing the Entire Lifecycle  ライフサイクル全体の管理 
Elevating Your Security Posture セキュリティ体制の強化
Conclusion  まとめ 
 Training and Education  トレーニングと教育

 

医療機関のセキュリティは、これから重要性をますと思います。。。データを見るのではなく、人をみるのが医療ではあるものの、データへの依存、データをとるためのセンサーへの依存の割合が高まってくるだろうと思うからです。なので、通常であれば、より正確に状態が見え、より的確な対応ができているところが、場合によっては昔ながらの治療にもどってしまうということだろうと思います(ベテランの医者にはあまり問題ないかもしれませんが。。。)

それと、不正に取得した患者情報が売買されるのは気持ち悪い感じですね。。。

 

 

 

 

| | Comments (0)

米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

こんにちは、丸山満彦です。

米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。日本ははいっていませんね。。。(外務報道官の談話で発表され、NISC・警察庁からAPT40 についての注意喚起はだされています...)

 

1_20210719230501

The White House

・2021.07.19 The United States, Joined by Allies and Partners, Attributes Malicious Cyber Activity and Irresponsible State Behavior to the People’s Republic of China

Gov. U.K.

・2019.07.19 UK and allies hold Chinese state responsible for a pervasive pattern of hacking

Council of the EU

・2021.07.19 China: Declaration by the High Representative on behalf of the European Union urging Chinese authorities to take action against malicious cyber activities undertaken from its territory

● NATO 

・2021.07.19 Statement by the North Atlantic Council in solidarity with those affected by recent malicious cyber activities including the Microsoft Exchange Server compromise

 

 

なお、

外務省

・2021.07.19 中国政府を背景に持つAPT40といわれるサイバー攻撃グループによるサイバー攻撃等について(外務報道官談話)

NISC・警察庁からだされている注意喚起はこちら

● NISC

・2021.07.19 [PDF] 中国政府を背景に持つAPT40 といわれるサイバー攻撃グループによるサイバー攻撃等について(注意喚起)

警察庁

・2021.07.19 [PDF] 中国政府を背景に持つAPT40といわれるサイバー攻撃グループによるサイバー攻撃等について(注意喚起)


 


The White House

1_20210719230801

・2021.07.19 The United States, Joined by Allies and Partners, Attributes Malicious Cyber Activity and Irresponsible State Behavior to the People’s Republic of China

The United States, Joined by Allies and Partners, Attributes Malicious Cyber Activity and Irresponsible State Behavior to the People’s Republic of China 米国は、同盟国およびパートナーとともに、悪意あるサイバー活動と無責任な国家行動を中華人民共和国に帰す
The United States has long been concerned about the People’s Republic of China’s (PRC) irresponsible and destabilizing behavior in cyberspace. Today, the United States and our allies and partners are exposing further details of the PRC’s pattern of malicious cyber activity and taking further action to counter it, as it poses a major threat to U.S. and allies’ economic and national security. 米国は、サイバー空間における中華人民共和国の無責任で不安定な行動に長年懸念を抱いてきました。本日、米国と同盟国およびパートナーは、中国の悪質なサイバー活動の詳細を明らかにし、米国および同盟国の経済と国家安全保障に大きな脅威を与える中国の悪質なサイバー活動に対抗するため、さらなる行動を起こします。
An unprecedented group of allies and partners – including the European Union, the United Kingdom, and NATO – are joining the United States in exposing and criticizing the PRC’s malicious cyber activities. 欧州連合(EU)、英国、NATOなど、前例のない同盟国やパートナーが、中国の悪質なサイバー活動を暴露し、批判するために米国に加わっています。
The PRC’s pattern of irresponsible behavior in cyberspace is inconsistent with its stated objective of being seen as a responsible leader in the world. Today, countries around the world are making it clear that concerns regarding the PRC’s malicious cyber activities is bringing them together to call out those activities, promote network defense and cybersecurity, and act to disrupt threats to our economies and national security. サイバー空間における中国の無責任な行動パターンは、世界の責任あるリーダーと見なされるという中国の表明した目的とは矛盾しています。今日、世界各国は、中国の悪質なサイバー活動への懸念から、これらの活動を非難し、ネットワーク防衛とサイバーセキュリティを推進し、我々の経済と国家安全保障への脅威を破壊するために行動していることを明らかにしています。
Our allies and partners are a tremendous source of strength and a unique American advantage, and our collective approach to cyber threat information sharing, defense, and mitigation helps hold countries like China to account. Working collectively enhances and increases information sharing, including cyber threat intelligence and network defense information, with public and private stakeholders and expand diplomatic engagement to strengthen our collective cyber resilience and security cooperation. Today’s announcement builds on the progress made from the President’s first foreign trip. From the G7 and EU commitments around ransomware to NATO adopting a new cyber defense policy for the first time in seven years, the President is putting forward a common cyber approach with our allies and laying down clear expectations and markers on how responsible nations behave in cyberspace. 私たちの同盟国とパートナーは、非常に大きな力の源であり、アメリカ独自の強みでもあります。サイバー脅威の情報共有、防御、緩和に対する私たちの集団的なアプローチは、中国のような国に責任を負わせるのに役立ちます。我々は、サイバー脅威の情報共有やネットワーク防御情報を含む情報共有を官民一体となって強化し、外交的関与を拡大することで、サイバーレジリエンスと安全保障協力を強化します。本日の発表は、大統領の最初の外遊から得られた進展を基にしています。ランサムウェアに関するG7とEUのコミットメントから、NATOが7年ぶりに新たなサイバー防衛政策を採択するまで、大統領は同盟国と共通のサイバーアプローチを打ち出し、責任ある国家がサイバー空間でどのように行動するかについて、明確な期待と指標を示しています。
Today, in coordination with our allies, the Biden administration is: 今日、バイデン政権は、同盟国との連携のもと、以下を行っています。
Exposing the PRC’s use of criminal contract hackers to conduct unsanctioned cyber operations globally, including for their own personal profit. 中国が犯罪者であるハッカーを利用して、個人的な利益を得ることを含め、認可されていないサイバー活動を世界中で行っていることを明らかにしました。
The United States is deeply concerned that the PRC has fostered an intelligence enterprise that includes contract hackers who also conduct unsanctioned cyber operations worldwide, including for their own personal profit. As detailed in public charging documents unsealed in October 2018 and July and September 2020, hackers with a history of working for the PRC Ministry of State Security (MSS) have engaged in ransomware attacks, cyber enabled extortion, crypto-jacking, and rank theft from victims around the world, all for financial gain.  米国は、中国が、個人的な利益のためも含めて世界中で無許可のサイバー活動を行う契約ハッカーを含む情報企業を育成していることを深く懸念しています。2018年10月および2020年7月と9月に開封された公的な告発文書に詳述されているように、中華人民共和国国家安全部(MSS)に勤務した経歴を持つハッカーたちは、ランサムウェア攻撃、サイバーを利用した恐喝、暗号ジャッキング、世界中の被害者からのランク窃盗などを、すべて金銭的な利益のために行っています。 
In some cases, we are aware that PRC government-affiliated cyber operators have conducted ransomware operations against private companies that have included ransom demands of millions of dollars. The PRC’s unwillingness to address criminal activity by contract hackers harms governments, businesses, and critical infrastructure operators through billions of dollars in lost intellectual property, proprietary information, ransom payments, and mitigation efforts. 場合によっては、中国政府系のサイバーオペレーターが、民間企業に対して数百万ドルの身代金を要求するランサムウェアの運用を行っていることもわかっています。中華人民共和国は、契約ハッカーによる犯罪行為に対処しようとしないため、数十億ドルもの知的財産や専有情報の喪失、身代金の支払い、被害軽減のための努力を通じて、政府、企業、重要インフラ事業者に損害を与えています。
[United States Department of Justice] imposing costs and announcing criminal charges against four MSS hackers. [米国司法省】MSSのハッカー4人にコストを課し、刑事告発を発表。
The US Department of Justice is announcing criminal charges against four MSS hackers addressing activities concerning a multiyear campaign targeting foreign governments and entities in key sectors, including maritime, aviation, defense, education, and healthcare in a least a dozen countries. DOJ documents outline how MSS hackers pursued the theft of Ebola virus vaccine research and demonstrate that the PRC’s theft of intellectual property, trade secrets, and confidential business information extends to critical public health information. Much of the MSS activity alleged in the Department of Justice’s charges stands in stark contrast to the PRC’s bilateral and multilateral commitments to refrain from engaging in cyber-enabled theft of intellectual property for commercial advantage. 米国司法省は、少なくとも十数カ国の海事、航空、防衛、教育、医療などの主要分野における外国政府や団体を対象とした複数年にわたるキャンペーンに関する活動について、MSSハッカー4名を刑事告発することを発表しました。司法省の文書には、MSSのハッカーがエボラウイルスのワクチン研究の盗用をどのように追求したかが記載されており、中国による知的財産、企業秘密、企業の機密情報の盗用が重要な公衆衛生情報にまで及んでいることを示しています。司法省の告発で主張されているMSSの活動の多くは、商業的利益のためにサイバーを利用した知的財産の窃盗に関与しないという中国の二国間および多国間の公約とは全く対照的です。
Attributing with a high degree of confidence that malicious cyber actors affiliated with PRC’s MSS conducted cyber espionage operations utilizing the zero-day vulnerabilities in Microsoft Exchange Server disclosed in early March 2021.  2021年3月上旬に公開されたMicrosoft Exchange Serverのゼロデイ脆弱性を利用して、中国のMSSに所属する悪意のあるサイバーアクターがサイバースパイ活動を行ったと高い確度で断定しています。 
Before Microsoft released its security updates, MSS-affiliated cyber operators exploited these vulnerabilities to compromise tens of thousands of computers and networks worldwide in a massive operation that resulted in significant remediation costs for its mostly private sector victims.  マイクロソフトがセキュリティアップデートを公開する前に、MSS所属のサイバーオペレーターがこれらの脆弱性を悪用して、世界中の数万台のコンピューターとネットワークを侵害する大規模な作戦を展開し、そのほとんどが民間企業の被害者であったため、多額の修復費用が発生しました。 
We have raised our concerns about both this incident and the PRC’s broader malicious cyber activity with senior PRC Government officials, making clear that the PRC’s actions threaten security, confidence, and stability in cyberspace. 我々は、今回の事件と中国の広範な悪意あるサイバー活動の両方について、中国政府高官に懸念を表明し、中国の行動がサイバー空間の安全性、信頼性、安定性を脅かすことを明らかにしました。
The Biden Administration’s response to the Microsoft Exchange incident has strengthened the USG’s Cyber Defenses.   Microsoft Exchangeの事件に対するバイデン政権の対応は、米国政府のサイバー防衛力を強化しました。 
In the past few months, we have focused on ensuring the MSS-affiliated malicious cyber actors were expelled from public and private sector networks and the vulnerability was patched and mitigated to prevent the malicious cyber actors from returning or causing additional damage. ここ数ヶ月は、MSS系列の悪意のあるサイバーアクターを官民のネットワークから確実に追放し、悪意のあるサイバーアクターが戻ってきたり、さらなる被害を引き起こしたりしないように、脆弱性にパッチを当てて緩和することに注力してきました。
As announced in April, the U.S. Government conducted cyber operations and pursued proactive network defense actions to prevent systems compromised through the Exchange Server vulnerabilities from being used for ransomware attacks or other malicious purposes. The United States will continue to take all appropriate steps to protect the American people from cyber threats. Following Microsoft’s original disclosure in early March 2021, the United States Government also identified other vulnerabilities in the Exchange Server software. Rather than withholding them, the United States Government recognized that these vulnerabilities could pose systemic risk and the National Security Agency notified Microsoft to ensure patches were developed and released to the private sector. We will continue to prioritize sharing vulnerability information with the private sector to secure the nation’s networks and infrastructure. 4月に発表したとおり、米国政府は、Exchange Serverの脆弱性によって侵害されたシステムがランサムウェア攻撃やその他の悪意のある目的に使用されることを防ぐために、サイバー作戦を実施し、積極的なネットワーク防御活動を展開しました。米国は今後も、サイバー脅威から米国民を守るためにあらゆる適切な措置を講じていきます」と述べています。米国政府は、2021年3月初旬にマイクロソフトが最初に公開した後、Exchange Serverソフトウェアに他の脆弱性も確認しました。米国政府は、それらを保留するのではなく、これらの脆弱性がシステミックなリスクをもたらす可能性があることを認識し、国家安全保障局は、パッチが開発され、民間企業にリリースされるようにマイクロソフトに通知しました。今後も、国家のネットワークとインフラの安全を確保するために、民間企業との脆弱性情報の共有を優先していきます。
The U.S. Government announced and operated under a new model for cyber incident response by including private companies in the Cyber Unified Coordination Group (UCG) to address the Exchange Server vulnerabilities. The UCG is a whole-of-government coordination element stood up in response to a significant cyber incident. We credit those companies for being willing to collaborate with the United States Government in the face of a significant cyber incident that could have been substantially worse without key partnership of the private sector. We will build on this model to bolster public-private collaboration and information sharing between the United States Government and the private sector on cybersecurity. 米国政府は、Exchange Serverの脆弱性に対処するため、サイバー統一調整グループ(UCG)に民間企業を参加させることで、サイバーインシデント対応の新しいモデルを発表し、それに基づいて運営しました。 UCGは、重大なサイバーインシデントに対応するために設立された政府全体の調整機関です。民間企業の協力がなければさらに深刻化していたかもしれない重大なサイバーインシデントに直面しながらも、米国政府との協力を惜しまなかった企業を高く評価しています。私たちはこのモデルを基に、サイバーセキュリティに関する米国政府と民間企業の間の官民協力と情報共有を強化していきます」と述べています。
Today, the National Security Agency, the Cybersecurity and Infrastructure Agency, and the Federal Bureau of Investigation released a cybersecurity advisory to detail additional PRC state-sponsored cyber techniques used to target U.S. and allied networks, including those used when targeting the Exchange Server vulnerabilities. By exposing these techniques and providing actionable guidance to mitigate them, the U.S. Government continues to empower network defenders around the world to take action against cybersecurity threats. We will continue to provide such advisories to ensure companies and government agencies have actionable information to quickly defend their networks and protect their data. 本日、国家安全保障局、サイバーセキュリティ・インフラストラクチャー庁、連邦捜査局は、サイバーセキュリティに関する勧告を発表し、Exchange Serverの脆弱性を狙ったものを含め、米国および同盟国のネットワークを標的とした中国の国家支援によるサイバー技術の詳細を明らかにしました。米国政府は、このような技術を公開し、それを緩和するための実用的なガイダンスを提供することで、世界中のネットワーク防御者がサイバーセキュリティの脅威に対抗するための力を与え続けています。今後も、企業や政府機関が自社のネットワークを迅速に防御し、データを保護するための実用的な情報を入手できるよう、このような勧告を提供していきます」と述べています。
The Biden Administration is working around the clock to modernize Federal networks and improve the nation’s cybersecurity, including of critical infrastructure. バイデン政権は、連邦政府のネットワークを近代化し、重要インフラを含む国家のサイバーセキュリティを向上させるために24時間体制で取り組んでいます。
The Administration has funded five cybersecurity modernization efforts across the Federal government to modernize network defenses to meet the threat. These include state-of-the-art endpoint security, improving logging practices, moving to a secure cloud environment, upgrading security operations centers, and deploying multi-factor authentication and encryption technologies. バイデン政権は、脅威に対応してネットワーク防御を近代化するために、連邦政府全体で5つのサイバーセキュリティ近代化の取り組みに資金を提供しています。これらの取り組みには、最先端のエンドポイントセキュリティ、ログ取得方法の改善、安全なクラウド環境への移行、セキュリティオペレーションセンターのアップグレード、多要素認証と暗号化技術の導入などが含まれます。
The Administration is implementing President Biden’s Executive Order to improve the nation’s cybersecurity and protect Federal government networks. The E.O. contains aggressive but achievable implementation milestones, and to date we have met every milestone on time including: 米国政府は、国家のサイバーセキュリティを向上させ、連邦政府のネットワークを保護するために、バイデン大統領の大統領令を実施しています。この大統領令には、積極的かつ達成可能な実施マイルストーンが含まれており、現在までにすべてのマイルストーンを予定通り達成しています。
The National Institute of Standards and Technology (NIST) convened a workshop with almost 1000 participants from industry, academia, and government to obtain input on best practices for building secure software. 米国国立標準技術研究所(NIST)は、安全なソフトウェアを構築するためのベストプラクティスに関する意見を得るために、産学官から約1000人の参加者を集めてワークショップを開催しました。
NIST issued guidelines for the minimum standards that should be used by vendors to test the security of their software. This shows how we are leveraging federal procurement to improve the security of software not only used by the federal government but also used by companies, state and local governments, and individuals.  NISTは、ベンダーがソフトウェアのセキュリティをテストする際に使用すべき最低基準のガイドラインを発行しました。これは、連邦政府だけでなく、企業、州・地方自治体、個人が使用するソフトウェアのセキュリティを向上させるために、連邦政府の調達を活用していることを示しています。 
The National Telecommunications and Information Administration (NTIA) published minimum elements for a Software Bill of Materials, as a first step to improve transparency of software used by the American public.   米国電気通信情報局(NTIA)は、米国民が使用するソフトウェアの透明性を高めるための第一歩として、ソフトウェア部品表(Bill of Materials)の最小要素を公開しました。 
The Cybersecurity and Infrastructure Security Agency (CISA) established a framework to govern how Federal civilian agencies can securely use cloud services. また、CISA(Cybersecurity and Infrastructure Security Agency)は、連邦政府の民間機関がクラウドサービスを安全に利用する方法を規定するフレームワークを確立しました。
We continue to work closely with the private sector to address cybersecurity vulnerabilities of critical infrastructure. The Administration announced an Industrial Control System Cybersecurity Initiative in April and launched the Electricity Subsector Action Plan as a pilot. Under this pilot, we have already seen over 145 of 255 priority electricity entities that service over 76 million American customers adopt ICS cybersecurity monitoring technologies to date, and that number keeps growing. The Electricity Subsector pilot will be followed by similar pilots for pipelines, water, and chemical. 重要インフラのサイバーセキュリティ上の脆弱性に対処するため、引き続き民間企業と緊密に連携しています。当局は、4月に「産業制御システム・サイバーセキュリティ・イニシアチブ」を発表し、試験的に「電力サブセクター・アクションプラン」を開始しました。このパイロット版では、米国の7,600万人以上の顧客にサービスを提供している優先的な電力事業体255社のうち、145社以上がICSのサイバーセキュリティ監視技術を導入しており、その数は増え続けています。電力サブセクターのパイロットに続いて、パイプライン、水道、化学分野でも同様のパイロットが実施される予定です。
The Transportation Security Administration (TSA) issued Security Directive 1 to require critical pipeline owners and operators to adhere to cybersecurity standards. Under this directive, those owners and operators are required to report confirmed and potential cybersecurity incidents to CISA and to designate a Cybersecurity Coordinator, to be available 24 hours a day, seven days a week. The directive also requires critical pipeline owners and operators to review their current practices as well as to identify any gaps and related remediation measures to address cyber-related risks and report the results to TSA and CISA within 30 days. In days to come, TSA will issue Security Directive 2 to further support the pipeline industry in enhancing its cybersecurity and that strengthen the public-private partnership so critical to the cybersecurity of our homeland. 運輸保安局(TSA)は、重要なパイプラインの所有者と運営者にサイバーセキュリティ基準を遵守するよう求める「セキュリティ指令1」を発行しました。 この指令では、重要なパイプラインの所有者および運営者は、確認されたサイバーセキュリティインシデントおよび潜在的なサイバーセキュリティインシデントをCISAに報告し、24時間365日対応可能なサイバーセキュリティコーディネーターを指名することが求められています。また、この指令は、重要なパイプラインの所有者および運営者に対し、現在の実務を見直すとともに、サイバー関連のリスクに対処するためのギャップや関連する改善策を特定し、その結果を30日以内にTSAおよびCISAに報告することを求めています。今後、TSAはセキュリティ指令2を発行し、パイプライン業界のサイバーセキュリティ強化を支援するとともに、国土のサイバーセキュリティに不可欠な官民のパートナーシップを強化していきます。
By exposing the PRC’s malicious activity, we are continuing the Administration’s efforts to inform and empower system owners and operators to act. We call on private sector companies to follow the Federal government’s lead and take ambitious measures to augment and align cybersecurity investments with the goal of minimizing future incidents. 中華人民共和国の悪質な行為を明らかにすることで、システムの所有者や運営者に情報を提供し、行動を促すための政府の取り組みを続けています。民間企業に対しても、連邦政府に倣って、将来のインシデントを最小限に抑えることを目的に、サイバーセキュリティへの投資を強化・調整するための意欲的な対策を講じるよう呼びかけています。 

 

Gov. U.K.

・2019.07.19 UK and allies hold Chinese state responsible for a pervasive pattern of hacking

2_20210719233801

UK and allies hold Chinese state responsible for a pervasive pattern of hacking 英国と同盟国は、中国の国家が広範囲にわたるハッキングに責任があると判断
UK joins likeminded partners to confirm Chinese state-backed actors were responsible for gaining access to computer networks via Microsoft Exchange servers. 英国は同様のパートナーと協力して、中国国家に支援された人物がMicrosoft Exchangeサーバを介してコンピュータネットワークにアクセスした責任を確認しました。
The UK is joining likeminded partners to confirm that Chinese state-backed actors were responsible for gaining access to computer networks around the world via Microsoft Exchange servers. 英国は、同様のパートナーと協力して、中国国家に支援された行為者がMicrosoft Exchangeサーバーを介して世界中のコンピュータネットワークへのアクセスを行ったことを確認しています。
The attacks took place in early 2021, affecting over a quarter of a million servers worldwide. この攻撃は2021年初頭に行われ、世界中の25万台以上のサーバーに影響を与えました。
Foreign Secretary Dominic Raab said: ドミニク・ラーブ外務大臣は次のように述べています。
The cyber attack on Microsoft Exchange Server by Chinese state-backed groups was a reckless but familiar pattern of behaviour. 中国の国家支援グループによるMicrosoft Exchange Serverへのサイバー攻撃は、無謀ではありますが、おなじみの行動パターンです。
The Chinese Government must end this systematic cyber sabotage and can expect to be held account if it does not. 中国政府は、このような組織的なサイバー妨害行為をやめさせなければならず、そうしなければ責任を問われることになります。
The attack was highly likely to enable large-scale espionage, including acquiring personally identifiable information and intellectual property. At the time of the attack, the UK quickly provided advice and recommended actions to those affected and Microsoft said that by end of March that 92% of customers had patched against the vulnerability. 今回の攻撃は、個人を特定できる情報や知的財産の取得など、大規模なスパイ活動を可能にする可能性が高いものでした。攻撃を受けた際、英国は被害を受けた人々に迅速にアドバイスと推奨措置を提供し、マイクロソフト社は、3月末までに92%の顧客が脆弱性に対するパッチを適用したと発表しました。
Today the UK is also attributing the Chinese Ministry of State Security as being behind activity known by cyber security experts as “APT40” and “APT31”. 本日、英国は、サイバーセキュリティの専門家の間で「APT40」および「APT31」と呼ばれている活動の背後に、中国国家安全部が存在するとも述べています。
Widespread, credible evidence demonstrates that sustained, irresponsible cyber activity emanating from China continues. 中国から発信される持続的で無責任なサイバー活動が続いていることは、広く信頼性の高い証拠によって証明されています。
The Chinese government has ignored repeated calls to end its reckless campaign, instead allowing its state-backed actors to increase the scale of their attacks and act recklessly when caught. 中国政府は、無謀な活動をやめるようにとの再三の呼びかけを無視し、その代わりに、国が支援するアクターが攻撃の規模を拡大し、捕まっても無謀な行動をとることを許しています。
This coordinated action today sees the international community once again urge the Chinese government to take responsibility for its actions and respect the democratic institutions, personal data and commercial interests of those with whom it seeks to partner. 本日の協調行動では、国際社会が中国政府に対し、自らの行動に責任を持ち、民主主義制度、個人情報、提携先の商業的利益を尊重するよう、改めて要請しています。
The UK is calling on China to reaffirm the commitment made to the UK in 2015 and as part of the G20 not to conduct or support cyber-enabled theft of intellectual property of trade secrets. 英国は中国に対し、2015年に英国とG20の一員として行った、サイバーを利用した知的財産や企業秘密の窃盗を行わない、あるいは支援しないという約束を再確認するよう求めています」。
Notes to editors 編集者への注意事項
As part of a cross-Government response, the National Cyber Security Centre (NCSC) issued tailored advice to over 70 affected organisations to enable them successfully to mitigate the effects of the compromise. 政府横断的な対応の一環として、国家サイバーセキュリティセンター(NCSC)は、影響を受けた70以上の組織に対して、不正アクセスの影響をうまく軽減できるようにするためのアドバイスを発行しました。
In 2018, the UK government and its allies revealed that elements of the Chinese Ministry of State Security (MSS) were responsible for one of the most significant and widespread cyber intrusions stealing trade secrets. [link] 2018年、英国政府とその同盟国は、中国国家安全部(MSS)の構成員が、企業秘密を盗む最も重要かつ広範なサイバー侵入の1つに関与していたことを明らかにしました[リンク]。
The European Union has also made an announcement today [link]. また、欧州連合(EU)も本日、発表を行いました[リンク]。
The National Cyber Security Centre has assessed that: 国家サイバーセキュリティセンターは次のように評価しています。
Actors 行為者
HAFNIUM HAFNIUM
Activity 活動内容
Compromising Microsoft Exchange gave the perpetrator a foothold to pivot further into the IT networks of victims. Microsoft Exchangeを危険にさらすことで、犯人は被害者のITネットワークにさらに軸足を置く足がかりを得た。
NCSC Assessment NCSCの評価
NCSC is almost certain that the Microsoft Exchange compromise was initiated and exploited by a Chinese state-backed threat actor. NCSC judge it highly likely that HAFNIUM is associated with the Chinese state. The attack was highly likely to enable large-scale espionage, including acquiring personally identifiable information and intellectual property. NCSCは、今回のMicrosoft Exchangeの侵害が、中国国家に支援された脅威主体によって開始され、悪用されたことをほぼ確信しています。NCSCは、HAFNIUMが中国国家と関連している可能性が高いと判断しています。この攻撃は、個人を特定できる情報や知的財産の取得を含む大規模なスパイ活動を可能にする可能性が高い。
Actors 行為者
APT40, TEMP.Periscope, TEMP.Jumper. Leviathan APT40, TEMP.Periscope, TEMP.Jumper. Leviathan
Activity 活動内容
Targeting maritime industries and naval defence contractors in the US and Europe. Targeting regional opponents of the Belt and Road Initiative. Targeting multiple Cambodian electoral entities in the run up to the 2018 election. 欧米の海事産業や海軍防衛関連企業を標的とする。地域の「一帯一路」構想への反対者を標的にしています。2018年の選挙に向けて、カンボジアの複数の選挙管理団体を標的にする。
NCSC Assessment NCSCの評価
NCSC is almost certain that the Microsoft Exchange compromise was initiated and exploited by a Chinese state-backed threat actor. NCSC judge it highly likely that HAFNIUM is associated with the Chinese state. The attack was highly likely to enable large-scale espionage, including acquiring personally identifiable information and intellectual property. NCSCは、Microsoft Exchangeの侵害が中国国家に支援された脅威主体によって開始され、悪用されたことはほぼ確実であると考えています。NCSCは、HAFNIUMが中国国家と関連している可能性が高いと判断しています。この攻撃は、個人を特定できる情報や知的財産の取得を含む大規模なスパイ活動を可能にする可能性が高い。
Actors 行為者
APT31, Judgement Panda, Zirconium, Red Keres APT31、Judgement Panda、Zirconium、Red Keres
Activity 活動内容
Since 2020 targeting government entities, political figures, contractors and service providers. European countries. Targeting Finnish Parliament in 2020. 2020年以降、政府機関、政治家、契約者、サービスプロバイダーを標的にしています。ヨーロッパ諸国。2020年にフィンランド議会を標的に。
NCSC Assessment NCSCの評価
NCSC is almost certain that the Microsoft Exchange compromise was initiated and exploited by a Chinese state-backed threat actor. NCSC judge it highly likely that HAFNIUM is associated with the Chinese state. The attack was highly likely to enable large-scale espionage, including acquiring personally identifiable information and intellectual property. NCSCは、Microsoft Exchangeの侵害が中国国家に支援された脅威アクターによって開始され、悪用されたことはほぼ確実であると判断している。NCSCは、HAFNIUMが中国国家と関連している可能性が高いと判断しています。この攻撃は、個人を特定できる情報や知的財産の取得を含む大規模なスパイ活動を可能にする可能性が高い。

 

Council of the EU

・2021.07.19 China: Declaration by the High Representative on behalf of the European Union urging Chinese authorities to take action against malicious cyber activities undertaken from its territory

 

Oylrk8qu_400x400

 

China: Declaration by the High Representative on behalf of the European Union urging Chinese authorities to take action against malicious cyber activities undertaken from its territory 中国 欧州連合(EU)を代表して、中国当局に自国の領土で行われた悪意あるサイバー活動への対処を促す上級代表の声明
Today, the EU and its member states, together with partners, expose malicious cyber activities that significantly affected our economy, security, democracy and society at large. The EU and its member states assess these malicious cyber activities to have been undertaken from the territory of China. 本日、EUとその加盟国は、パートナーと協力して、我々の経済、安全保障、民主主義および社会全般に著しい影響を与えた悪質なサイバー活動を暴露した。EUとその加盟国は、これらの悪質なサイバー活動が中国の領域から行われたと評価しています。
The compromise and exploitation of the Microsoft Exchange server undermined the security and integrity of thousands of computers and networks worldwide, including in the member states and EU institutions. It allowed access to a significant number of hackers that have continued to exploit the compromise to date. This irresponsible and harmful behaviour resulted in security risks and significant economic loss for our government institutions and private companies, and has shown significant spill-over and systemic effects for our security, economy and society at large. Microsoft Exchangeサーバーの侵害と悪用により、加盟国やEU機関を含む世界中の何千ものコンピューターやネットワークの安全性と完全性が損なわれました。その結果、多数のハッカーがアクセスできるようになり、そのハッカーは現在もその危殆化を利用し続けています。このような無責任で有害な行為は、我が国の政府機関や民間企業にセキュリティリスクと多大な経済的損失をもたらし、我が国の安全保障、経済、社会全体に大きな波及効果と制度的な影響を示しています。
We have also detected malicious cyber activities with significant effects that targeted government institutions and political organisations in the EU and member states, as well as key European industries. These activities can be linked to the hacker groups known as Advanced Persistent Threat 40 and Advanced Persistent Threat 31 and have been conducted from the territory of China for the purpose of intellectual property theft and espionage. また、EUおよび加盟国の政府機関や政治団体、欧州の主要産業を標的とした重大な影響を及ぼす悪質なサイバー活動も検出されています。これらの活動は、「Advanced Persistent Threat 40」や「Advanced Persistent Threat 31」と呼ばれるハッカーグループに関連している可能性があり、知的財産権の窃盗やスパイ活動を目的として中国の領域から行われています。
The EU and its member states strongly denounce these malicious cyber activities, which are undertaken in contradiction with the norms of responsible state behaviour as endorsed by all UN member states. We continue to urge the Chinese authorities to adhere to these norms and not allow its territory to be used for malicious cyber activities, and take all appropriate measures and reasonably available and feasible steps to detect, investigate and address the situation. EUとその加盟国は、これらの悪質なサイバー活動を強く非難します。これらの活動は、すべての国連加盟国が支持する責任ある国家行動の規範に反して行われています。我々は、中国当局に対し、これらの規範を遵守し、自国の領土が悪意のあるサイバー活動に利用されることを許さず、状況を検知し、調査し、対処するためのあらゆる適切な措置および合理的に入手可能で実現可能な手段を講じるよう引き続き求めています。
The EU and its member states reaffirm their strong commitment to responsible state behaviour to ensure a global, open, free, stable and secure cyberspace. To this end, we will continue to work on the establishment of a Programme of Action under UN auspices to advance and effectively support states to adhere to responsible state behaviour in cyberspace. EUとその加盟国は、グローバルで開かれた自由で安定した安全なサイバー空間を確保するために、責任ある国家行動をとるという強いコミットメントを再確認する。この目的のために、我々は、サイバー空間における責任ある国家行動を遵守する国家を前進させ、効果的に支援するために、国連の支援の下、行動プログラムの確立に向けて引き続き取り組んでいきます。
We reiterate our determination to continue to counter malicious behaviour in cyberspace. We will continue to enhance our cooperation, including with international partners and other public and private stakeholders, through increased exchange of information and continued diplomatic engagement, by strengthening cyber resilience and incident handling cooperation, as well as through joint efforts to improve the overall security of software and their supply chains. 我々は、サイバースペースにおける悪意のある行動への対策を継続するという決意を改めて表明する。我々は、情報交換の強化と外交的関与の継続、サイバーレジリエンスとインシデント処理の協力の強化、さらにはソフトウェアとそのサプライチェーンの全体的なセキュリティを向上させるための共同の取り組みを通じて、国際的なパートナーやその他の官民の利害関係者を含む協力関係を強化していきます。

 

NATO 

・2021.07.19 Statement by the North Atlantic Council in solidarity with those affected by recent malicious cyber activities including the Microsoft Exchange Server compromise

Seal_of_the_north_atlantic_treaty_organi

 

Statement by the North Atlantic Council in solidarity with those affected by recent malicious cyber activities including the Microsoft Exchange Server compromise Microsoft Exchange Serverの不正アクセスを含む最近の悪質なサイバー活動の影響を受けた人々と連帯する北大西洋理事会の声明
1.         We observe with increasing concern that cyber threats to the security of the Alliance are complex, destructive, coercive, and becoming ever more frequent. This has been recently illustrated by ransomware incidents and other malicious cyber activity, targeting our critical infrastructure and democratic institutions, as well as exploiting weaknesses in hardware and software supply chains. 1.         我々は、同盟国の安全保障に対するサイバー脅威が複雑かつ破壊的、強制的であり、その頻度が高まっていることに懸念を抱いています。このことは、最近、ランサムウェア事件やその他の悪意あるサイバー活動が、我々の重要なインフラや民主主義機関を標的とし、また、ハードウェアやソフトウェアのサプライチェーンの弱点を突くことによって示されています。
2.         We condemn such malicious cyber activities which are designed to destabilize and harm Euro-Atlantic security and disrupt the daily lives of our citizens. We use NATO as a platform for political consultations, to share concerns about malicious cyber activities, to exchange national approaches and responses, as well as to consider possible collective responses. Reaffirming NATO’s defensive mandate, the Alliance is determined to employ the full range of capabilities, as applicable, at all times to actively deter, defend against, and counter the full spectrum of cyber threats, in accordance with international law. NATO will continue to adapt to the evolving cyber threat landscape, which is affected by both state and non-state actors, including state-sponsored. We remain committed to uphold strong national cyber defences, including through full implementation of NATO’s Cyber Defence Pledge. 2.         我々は、欧州・大西洋の安全を不安定にし、損害を与え、我々市民の日常生活を混乱させることを目的とした、このような悪意のあるサイバー活動を非難します。我々は、NATOを政治的協議の場として活用し、悪意のあるサイバー活動に関する懸念を共有し、各国のアプローチや対応を交換するとともに、可能な集団的対応を検討します。NATOの防衛的使命を再確認し、同盟は、国際法に基づき、あらゆる種類のサイバー脅威を積極的に抑止し、防御し、対抗するために、必要に応じてあらゆる能力を常に使用することを決意しています。NATOは、国家と非国家の両方から影響を受ける、進化するサイバー脅威の状況に適応していきます(国家主導を含む)。我々は、NATOのサイバー防衛誓約の完全な実施を含め、国家の強力なサイバー防衛を維持することに引き続きコミットします。
3.         We stand in solidarity with all those who have been affected by recent malicious cyber activities including the Microsoft Exchange Server compromise. Such malicious cyber activities undermine security, confidence and stability in cyberspace. We acknowledge national statements by Allies, such as Canada, the United Kingdom, and the United States, attributing responsibility for the Microsoft Exchange Server compromise to the People’s Republic of China. In line with our recent Brussels Summit Communiqué, we call on all States, including China, to uphold their international commitments and obligations and to act responsibly in the international system, including in cyberspace. We also reiterate our willingness to maintain a constructive dialogue with China based on our interests, on areas of relevance to the Alliance such as cyber threats, and on common challenges.  3.         我々は、Microsoft Exchange Server の不正アクセスを含む最近の悪意のあるサイバー活動の影響を受けたすべての人々と連帯します。このような悪意のあるサイバー活動は、サイバー空間の安全性、信頼性、安定性を損ないます。我々は、カナダ、英国、米国などの同盟国が、Microsoft Exchange Serverの危殆化の責任は中華人民共和国にあるとした国別声明を認めます。我々は、最近のブリュッセルサミットのコミュニケに沿って、中国を含むすべての国に対し、国際的な約束と義務を守り、サイバー空間を含む国際システムにおいて責任ある行動をとることを求めます。また、我々は、中国との間で、我々の利益、サイバー脅威などの同盟に関連する分野、および共通の課題に基づき、建設的な対話を維持する意思があることを改めて表明します。
4.         We promote a free, open, peaceful and secure cyberspace, and pursue efforts to enhance stability and reduce the risk of conflict by promoting respect for international law and the voluntary norms of responsible state behaviour in cyberspace, as recognized by all member states of the United Nations. We are working together as an Alliance and with like-minded partners to address these challenges. All States have an important role to play in promoting and upholding these voluntary norms of responsible state behaviour. 4.         我々は、自由で開かれた平和で安全なサイバースペースを推進し、国際法の尊重と、国連の全加盟国が認めているサイバースペースにおける国家の責任ある行動に関する自発的な規範を促進することにより、安定性を高め、紛争のリスクを低減するための努力を追求します。我々は、同盟として、また志を同じくするパートナーと協力して、これらの課題に取り組んでいます。すべての国は、責任ある国家行動の自主規範を促進し、維持するために重要な役割を担っています。

 


 

● 朝日新聞

・2021.07.19 「中国がサイバー攻撃関与」 米政権、同盟国と非難

| | Comments (0)

2021.07.19

IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

こんにちは、丸山満彦です。

IPAがNIST Sp800-53 rev.5 組織と情報システムのためのセキュリティおよびプライバシー管理策」とSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開していますね。。。

● IPA

・2021.07.19 NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開しました。

・[PDF] SP800-53 rev.5 組織と情報システムのためのセキュリティおよびプライバシー管理策

20210719-171750

 

・[PDF] SP800-53B 組織と情報システムのための管理策ベースライン

20210719-171859


 

まるちゃんの情報セキュリティ気まぐれ日記のSP800-53に関する記事

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

2020.08.01 NIST SP 800-53B(ドラフト)情報システムおよび組織の管理ベースライン

 

ちょっと遡って...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2010.05.10 NIST SP800-53関係の情報

 

内閣官房 (NISC) 兼務時代、統一基準を作成していた頃に読んでいたんですよ。。。

・2006.08.02 NIST SP800-53Aの評価手順書作成の考え方

・2005.07.20 NIST SP800-53A & FIPS 200 Draft

2005.06.18 NIST SP-800

 

 

| | Comments (0)

U.K. プライバシー強化技術:採用ガイド β版 by デジタル・文化・メディア・スポーツ省 データ倫理・イノベーションセンター

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省にあるデータ倫理・イノベーションセンターがプライバシー強化技術 (PET):採用ガイドβ版を公表していますね。。。

動的な感じで使いやすいかもですね。。。

Department for Digital, Culture, Media & Sport - Centre for Data Ethics and Innovation (CDEI)

・2021.07.14 (Policy paper) Privacy enhancing technologies: Adoption guide

S712_pets

Privacy enhancing technologies: Adoption guide プライバシー保護技術:採用ガイド
The CDEI has published a beta version of its PETs adoption guide, which is an interactive tool designed to aid decision-making around the use of PETs in data-driven projects. CDEIは、データ駆動型プロジェクトにおけるプライバシー強化技術の使用に関する意思決定を支援するために設計されたインタラクティブなツールである、プライバシー強化技術:採用ガイドのベータ版を公開しました。

 

・[Web] Privacy enhancing technologies: Adoption guide

 

Details 詳細
What does the adoption guide cover? 採用ガイドの内容は?
The core component of the adoption guide is a question and answer-based decision tree, which seeks to support decision-making around the use of PETs by helping the user to explore which technologies could be beneficial to their use-case. It poses a series of questions relating to the sensitivity of data, how it is stored and accessed, and how it is intended to be used. The adoption guide also provides background on what PETs are, and the opportunities they present, as well as a repository of real-world use-cases, and a catalogue of additional resources for further reading. 採用ガイドの中心となるのは、質問と回答で構成された決定木で、利用者が自分のユースケースにどの技術が有益であるかを検討することで、プライバシー強化技術の使用に関する意思決定を支援することを目的としています。この決定木では、データの機密性、データの保存方法、アクセス方法、データの使用目的に関連する一連の質問を投げかけています。また、採用ガイドでは、プライバシー強化技術とは何か、プライバシー強化技術がもたらす機会、実際の使用例、さらに読み進めるための追加リソースのカタログなどの背景情報も提供しています。
What happens next? 今後の展開は?
Over the next few months, the CDEI will be gathering feedback on its adoption guide, and conducting usability tests to maximise its relevance and usefulness to developers and practitioners, with a view to publishing a final version later in the year, after incorporating the feedback it receives. Additionally, it aims to supplement the repository of real-world use-cases, which it hopes will prove a useful resource for organisations seeking to leverage PETs, and enable them to learn from others in the community. If you have an example use-case you think would be relevant, you can share it with the CDEI by completing this form. CDEIは、今後数ヶ月間、採用ガイドに対するフィードバックを収集し、開発者や実務者にとっての関連性や有用性を最大限に高めるためのユーザビリティテストを実施し、寄せられたフィードバックを反映した最終版を年内に発表する予定です。さらに、実世界のユースケースのレポジトリを補完することも目的としています。このレポジトリは、プライバシー強化技術を活用しようとしている組織にとって有用なリソースとなり、コミュニティ内の他の人々から学ぶことができると期待しています。関連するユースケースの例をお持ちの方は、このフォームに記入してCDEIと共有することができます。

 

 

| | Comments (0)

米国 Hoover研究所 中国共産党の目からみた米中関係

こんにちは、丸山満彦です。

米国のHoover研究所が「中国共産党の目からみた米中関係」についての論考を公表しています。著者は、中国共産党中央委員会の党学校の党建設教育研究部の教授をしていた下中国共産党員の蔡霞氏 [wikipedia] です。

歴史的な過程も含めて今の米中関係を考える一つの視点ということで...

 

Hoover institution

・2021.06.29 China-US Relations In The Eyes Of The Chinese Communist Party: An Insider’s Perspective

・[PDF]

20210719-11400

 

・[DOCX] 語からの仮対訳

 

 

 

| | Comments (0)

2021.07.18

独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

こんにちは、丸山満彦です。

ドイツのBSIがことし5月28日に施行されたITセキュリティー法2.0により導入されることになったITセキュリティラベルについてのウェブページを公開しています。いつから公開しているかは知りません...(^^;;

Itsiklogo

Bundesamt für Sicherheit in der Informationstechnik: BSI

発表

・2021.07.16 Informationswebseite zum zukünftigen IT-Sicherheitskennzeichen veröffentlicht

Informationswebseite zum zukünftigen IT-Sicherheitskennzeichen veröffentlicht これから始まるITセキュリティラベルに関する情報サイトを公開
Mit dem IT-Sicherheitsgesetz 2.0 hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Damit sollen Verbraucherinnen und Verbraucher Ende des Jahres 2021 die Möglichkeit erhalten, sich leicht über vom Hersteller zugesicherte Sicherheitsfunktionen von vernetzten, internetfähigen Produkten und Diensten zu informieren. ITセキュリティ法2.0により、連邦情報セキュリティ局(BSI)は、任意のITセキュリティラベルを導入することになりました。2021年末までに、消費者は、ネットワークに接続されたインターネット上の製品やサービスのセキュリティ機能について、メーカーが保証する内容を容易に知ることができるようになります。
Das IT-Sicherheitskennzeichen wird in Zukunft zum Beispiel auf den Verpackungen von Produkten aufgebracht. Das Etikett des IT-Sicherheitskennzeichens enthält einen Link und einen QR-Code, den Verbraucherinnen und Verbraucher scannen können. Darüber gelangen sie auf eine Webseite des BSI mit aktuellen Sicherheitsinformationen zum Produkt. 将来的には、製品のパッケージなどにもITセキュリティラベルが貼られるようになるでしょう。ITセキュリティラベルのラベルには、消費者がスキャンできるリンクとQRコードが記載されています。これにより、製品に関する最新のセキュリティ情報が掲載されたBSIのウェブサイトにアクセスすることができます。
Herstellern bietet das IT-Sicherheitskennzeichen die Möglichkeit, über dieses zu kennzeichnen, dass ihre Produkte einschlägige IT-Sicherheitsstandards erfüllen. Dies kann ein Anreiz sein, bereits während der Entwicklungsphase neuer Produkte und Dienste wichtige Sicherheitsanforderungen zu berücksichtigen. Hersteller können damit das steigende Informationsbedürfnis der Verbraucherinnen und Verbraucher erfüllen und ihr Produkt am Markt hervorheben, da IT-Sicherheit bei der Kaufentscheidung eine Rolle spielt. ITセキュリティラベルは、メーカーが自社の製品が関連するITセキュリティ基準を満たしていることを示すために使用する機会を提供します。これは、新しい製品やサービスの開発段階で、重要なセキュリティ要件を考慮するための動機付けとなります。メーカーは、ITセキュリティが購入の意思決定に重要な役割を果たしていることから、消費者の情報に対するニーズの高まりに応え、市場で自社製品をアピールすることができます。

 

ITセキュリティラベルの情報ページ

Transparente Sicherheit durch das IT-Sicherheitskennzeichen

Transparente Sicherheit durch das IT-Sicherheitskennzeichen ITセキュリティラベルによる透明性のあるセキュリティ
Mit dem IT-Sicherheitsgesetz 2.0 hat das BSI den Auftrag erhalten, ein freiwilliges IT-Sicherheitskennzeichen einzuführen. Das IT-Sicherheitskennzeichen schafft Transparenz für Verbraucherinnen und Verbraucher: Es ist ein Kennzeichen, mit dem grundlegende Sicherheitseigenschaften digitaler Produkte auf einen Blick erkennbar werden. ITセキュリティ法2.0により、BSIは任意のITセキュリティラベルを導入します。ITセキュリティラベルは、消費者に透明性を提供するもので、デジタル製品の基本的なセキュリティ機能が一目でわかるようになっています。
Denn während mehr und mehr Alltagsgegenstände mit dem Internet und mit anderen smarten Dingen vernetzt werden, ist es für Verbraucherinnen und Verbraucher immer schwieriger zu beurteilen, welche Geräte und Dienste welche Sicherheitseigenschaften besitzen. 身近なものがインターネットなどのスマートなものに接続されるようになると、どの機器やサービスがどのようなセキュリティ機能を持っているかを消費者が判断することが難しくなってきます。

 

メーカー向け

IT-Sicherheitskennzeichen ITセキュリティラベル
Ausblick auf das IT-Sicherheitskennzeichen für Hersteller メーカー向けITセキュリティラベルの展望
Das IT-Sicherheitskennzeichen kommt schon 2021: 早ければ2021年にはITセキュリティのラベルが貼られます。
Die Antragsstellung für ein IT-Sicherheitskennzeichen wird schon gegen Ende 2021 für die ersten Produktkategorien möglich sein: ITセキュリティラベルの申請は、早ければ2021年末に最初の製品カテゴリーで可能になります。
1. Breitbandrouter, auf Basis BSI TR-03148 1. BSI TR-03148に基づくブロードバンドルーター
2. E-Mail-Dienste, auf Basis BSI TR-03108 2. BSI TR-03108に準拠した電子メールサービス
Das IT-Sicherheitskennzeichen wird durch das BSI für Ihre Produkte oder Dienste erteilt, wenn Sie als Hersteller die Konformität Ihres Produkts zu bestimmten IT-Sicherheitsvorgaben vollständig geprüft und deren Erfüllung durch eine Herstellererklärung bestätigt haben. Wenn Sie beabsichtigen ein IT-Sicherheitskennzeichen zu beantragen, ist dies im Rahmen der vom BSI definierten Produktkategorien. ITセキュリティマークは、製造者であるあなたが、製品の特定のITセキュリティ要求事項への適合性を十分にテストし、製造者の宣言によってその適合性を確認した場合に、あなたの製品またはサービスに対してBSIから発行されます。ITセキュリティマークを申請する場合は、BSIが定めた製品カテゴリーの範囲内となります。
4 Schritte zur Erteilung (ab Ende 2021): 発行までの4つのステップ(2021年末から)
Schritt 1: Download auf der BSI Website Step1:BSIウェブサイトから申請書のダウンロード
Der Antrag zur Erteilung eines IT-Sicherheitskennzeichens wird Ihnen voraussichtlich ab Ende 2021 auf der Website des BSI zum Download zur Verfügung stehen. ITセキュリティマークの付与申請書は、2021年末からBSIのウェブサイトでダウンロードできるようになる予定です。
Schritt 2: Antragstellung inkl. Herstellererklärung ステップ2:メーカー宣言を含む申請
Bevor Sie den Antrag einreichen, müssen Sie prüfen, ob Ihr Produkt oder Dienst die Anforderungen der jeweiligen Produktkategorie erfüllt. Mit der Abgabe der Herstellererklärung bestätigen Sie, dass Ihr Produkt oder Dienst die Anforderungen der jeweiligen Produktkategorie und der zugrundeliegenden Standards erfüllt. 申請書を提出する前に、あなたの製品やサービスがそれぞれの製品カテゴリーの要件を満たしているかどうかを確認する必要があります。製造者の宣言を提出することにより、お客様は、お客様の製品またはサービスが、それぞれの製品カテゴリーおよび基礎となる規格の要件を満たしていることを確認します。
Anschließend müssen Sie den Antrag inkl. Herstellererklärung vollständig ausfüllen und unterschrieben an das BSI übersenden. その後、製造者の宣言を含む申請書を完全に記入し、署名してBSIに送付する必要があります。
Schritt 3: Plausibilitätsprüfung durch das BSI ステップ3:BSIによる妥当性チェック
Nachdem Sie als Hersteller Ihren Antrag auf Erteilung des IT-Sicherheitskennzeichens gestellt haben, prüft das BSI den Antrag und die Herstellererklärung auf Vollständigkeit und Plausibilität. 製造者であるあなたがITセキュリティマークの申請書を提出すると、BSIは申請書と製造者の宣言書の完全性と妥当性をチェックします。
Schritt 4: Erteilung des IT-Sicherheitskennzeichens Step4:ITセキュリティマークの発行
Nach positiver Antragsprüfung erhalten Sie vom BSI einen Bescheid, der Sie zur Nutzung des jeweiligen IT-Sicherheitskennzeichen für eine festgelegte Laufzeit berechtigt. Neben dem Bescheid erhalten Sie das IT-Sicherheitskennzeichen als nutzbares Kennzeichen, dass Sie auf Ihr Produkt oder die Umverpackung aufbringen können. 申請書が肯定的に審査された後、BSIから決定書が発行され、指定された期間、それぞれのITセキュリティラベルを使用する権利が与えられます。通知に加えて、製品や外箱に貼ることができる使用可能なラベルとして、ITセキュリティラベルを付与します。
Mit Erteilung des IT-Sicherheitskennzeichens erstellt das BSI außerdem eine produktspezifische Website, die zur Information der Verbraucherinnen oder Verbraucher über Ihr Produkt und die von Ihnen abgegebene Herstellererklärung dient. Die produktspezifische Website kann über einen permanenten Link erreicht werden, der als QR-Code auch fester Bestandteil des Kennzeichens ist. また、ITセキュリティマークが発行されると、BSIは製品専用のウェブサイトを作成し、消費者に製品と発行した製造者宣言を知らせる役割を果たします。製品別のウェブサイトにはパーマネントリンクでアクセスできますが、このリンクはQRコードとしてラベルの一部にもなっています。
IT-Sicherheitskennzeichen- Schaubild für Hersteller ITセキュリティラベル - メーカー向けダイアグラム
Itsikherstellerschaubild_alternative  
Prozess der Beantragung eines IT-Sicherheitskennzeichens ITセキュリティラベル申請の流れ
Nachgelagerte Marktaufsicht 下流市場の監視
In einem nachgelagerten Prozess wird geprüft, ob die in der Herstellererklärung bestätigten Eigenschaften des Produkts bzw. bestätigten Anforderungen des zugrundeliegenden Standards während der Laufzeit erfüllt werden. Dieser Prozess wird eine Komponente enthalten, die zu einer regelmäßigen, systematischen Prüfung der Kennzeichen führt. Ergänzend dazu wird es anlassbezogene Prüfungen geben, die initiiert werden, wenn dem BSI Tatsachen bekannt werden, die darauf schließen lassen, dass ein Herstellerversprechen nicht er 下流のプロセスでは、製造者の宣言で確認された製品の特性または基礎となる規格の確認された要求事項が、期間中に満たされているかどうかがチェックされます。このプロセスには、マークを定期的かつ体系的にチェックすることにつながる要素が含まれます。これに加えて、メーカーの約束が守られていないことを示唆する事実をBSIが認識した場合に開始される臨時の監査もあります。

 

メーカー向けFAQ

 

消費者向け

IT-Sicherheitskennzeichen ITセキュリティラベル
Neuigkeiten für Verbraucherinnen und Verbraucher 消費者向けニュース
Verbraucherinnen und Verbraucher verbinden im sogenannten Internet der Dinge (Internet of Things) unter anderem Router, Smart-TVs, internetfähige Heizungsthermostate oder Überwachungskameras mit dem Internet oder auch untereinander, um den Alltag bequemer und effizienter zu gestalten. Dabei ist von außen nicht zu erkennen, ob und wie diese Geräte und Dienste potentiellen Angreifern die Möglichkeit bieten, Daten auszuspähen und die Geräte für kriminelle Zwecke zu missbrauchen. Umso wichtiger ist es, dass diese Geräte technisch definierte Standards erfüllen und die Kundinnen und Kunden vor dem Kauf die Möglichkeit haben, sich auf einen Blick über bestimmte Sicherheitseigenschaften neutral zu informieren. いわゆる「モノのインターネット」では、消費者が日常生活をより便利で効率的なものにするために、ルーター、スマートテレビ、インターネット対応の暖房用サーモスタット、監視カメラなどをインターネットに接続したり、互いに接続したりします。これらの機器やサービスが、潜在的な攻撃者にデータを盗み見たり、機器を犯罪目的に悪用したりする機会を与えているかどうか、また、どのように提供しているかを外部から確認することはできません。そのため、これらの機器が技術的に定義された基準を満たし、お客様が購入する前に、特定のセキュリティ機能に関する中立的な情報を一目で得られる機会があることがより重要です。
Das IT-Sicherheitskennzeichen kommt schon 2021: ITセキュリティラベルは、早ければ2021年に導入される予定です
Mit dem IT-Sicherheitskennzeichen entsteht ein neuer Pfeiler des digitalen Verbraucherschutzes in Deutschland, mit dem Verbraucherinnen und Verbraucher ein praktisches Werkzeug für ihren digitalen Alltag an die Hand bekommen. ITセキュリティラベルは、ドイツにおけるデジタル消費者保護の新たな柱であり、消費者が日常のデジタルライフを送るための実用的なツールを提供するものです。
Ab Ende 2021 sollen die ersten Geräte, die das IT-Sicherheitskennzeichen tragen, im Regal der Elektronikmärkte und Onlineshops stehen. Dann können Kundinnen und Kunden die aufgedruckten QR-Codes einfach mit dem Smartphone scannen und gelangen auf eine zugehörige Produktseite des BSI mit Informationen zu den IT-Sicherheitseigenschaften des Produkts, für das sie sich interessieren. 2021年末には、このITセキュリティラベルが付いた最初の機器が、家電量販店やオンラインショップに並びます。お客様は、印刷されたQRコードをスマートフォンで読み取るだけで、興味のある製品のITセキュリティ機能に関する情報が掲載されたBSIの製品ページにアクセスすることができます。
Für Unternehmen gibt die Einführung des IT-Sicherheitskennzeichens den Anstoß, schon während der Entwicklungsphase neuer Produkte und Dienste wichtige Sicherheitsanforderungen zu berücksichtigen. 企業にとっては、ITセキュリティラベルの導入により、新しい製品やサービスの開発段階で、重要なセキュリティ要件を検討するきっかけとなります。
Das IT-Sicherheitskennzeichen kann… ITセキュリティラベルでできることは、...
... wichtige Fakten zu Sicherheitseigenschaften eines vernetzten Produkts verständlich zusammenfassen. ... ネットワーク製品のセキュリティ機能に関する重要な事実を、理解しやすい方法でまとめること。
... aufzeigen, dass sich der Hersteller eines Produkts freiwillig dazu verpflichtet hat, die Anforderungen des BSI einzuhalten. ... 製品の製造者が自発的にBSIの要求事項を遵守していることを示すこと。
... fördern, dass mehr Hersteller das Sicherheitsniveau ihrer Produkte anheben, weil sie das Kennzeichen verwenden wollen. ... このラベルを使いたいがために、より多くのメーカーが製品のセキュリティレベルを上げることを奨励すること。
... Vertrauen in Geräte, Dienste und auch Hersteller schaffen. ... デバイスやサービス、そしてメーカーに対する信頼感を醸成すること。
... Kundinnen und Kunden bei der Kaufentscheidung für ein IT-Produkt helfen. ... お客様がIT製品の購入を決定する際に役立つこと。
Das IT-Sicherheitskennzeichen kann nicht… ITセキュリティラベルではできないことは、...
… garantieren, dass ein IT-Produkt absolut sicher ist. ... IT製品が絶対に安全であることを保証すること。
… garantieren, dass die Hersteller die aufgeführten Standards jederzeit und nach Ablauf der Gültigkeit des Kennzeichens erfüllen. ... ラベルの有効期限が切れた後も、製造者が常に記載された基準を満たしていることを保証すること。
… als Prüfsiegel verstanden werden. Das BSI prüft das IT-Produkt nicht, sondern legt die Kriterien fest, denen sich die Hersteller verpflichten. ...は、承認の印として理解されています。BSIは、IT製品をテストするのではなく、メーカーがコミットする基準を定義すること。
… garantieren, dass darüber hinaus Sicherheitslücken im Produkt bekannt werden oder ausschließen, dass Kriminelle Wege finden, die Sicherheitsmerkmale eines Produkts zu überwinden. Sobald das BSI davon Kenntnis erhält, informiert es über die Schwachstelle. ... 加えて、製品のセキュリティ上の脆弱性が知られるようになったり、犯罪者が製品のセキュリティ機能を克服する方法を見つけることを排除することを保証すること。BSIはこのことに気づくとすぐに、その脆弱性についてお知らせします。

 

消費者向けFAQ

 

FAQの仮対訳

 


 

■ 参考

ITセキュリティ法2.0の情報

● BSI

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.31 ドイツ ITセキュリティ法 2.0施行

・2020.12.29 ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16

 

BSI規格

ルータ製品の規格

・2020.04.30 [PDF]  BSI TR-03148: Secure Broadband Router

電子メール

BSI TR-03108 Sicherer E-Mail-Transport

・BSI TR-03108-1 BSI TR-03108-1 Secure E-Mail Transport, Version 1.0.1
・BSI TR-03108-2 BSI TR-03108-2 Testspezifikation, Version 1.0.1
・Schemadateien Schemadateien zur BSI TR-03108-2, Version 1.0.1

 


 

Continue reading "独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。"

| | Comments (0)

2021.07.17

米国 連邦政府国務省 国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供についての報奨(最高約11億円)

こんにちは、丸山満彦です。

米国連邦政府国務省(日本の外務省に相当)が国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供した場合、最高約11億円の報奨を払うという発表をしていますね。。。

本気度が伝わってきますね。。。

U.S. Department of State

・2021.07.15 Rewards for Justice – Reward Offer for Information on Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure

 

 

Rewards for Justice – Reward Offer for Information on Foreign Malicious Cyber Activity Against U.S. Critical Infrastructure 正義への報奨 - 米国の重要インフラに対する外国の悪質なサイバー活動に関する情報に対する報奨提供
The U.S. Department of State’s Rewards for Justice (RFJ) program, which is administered by the Diplomatic Security Service, is offering a reward of up to $10 million for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, participates in malicious cyber activities against U.S. critical infrastructure in violation of the Computer Fraud and Abuse Act (CFAA). 外交安全保障局が管理する米国務省の司法のための報奨(RFJ)プログラムは、外国政府の指示または支配下で行動している間に、コンピュータ詐欺・乱用法(CFAA)に違反して米国の重要インフラに対する悪意あるサイバー活動に参加した人物の特定または居場所につながる情報に対して、最高1000万ドルの報奨金を提供します。
Certain malicious cyber operations targeting U.S. critical infrastructure may violate the CFAA. Violations of the statute may include transmitting extortion threats as part of ransomware attacks; intentional unauthorized access to a computer or exceeding authorized access and thereby obtaining information from any protected computer; and knowingly causing the transmission of a program, information, code, or command, and as a result of such conduct, intentionally causing damage without authorization to a protected computer. Protected computers include not only U.S. government and financial institution computer systems, but also those used in or affecting interstate or foreign commerce or communication. 米国の重要インフラを対象とした特定の悪意のあるサイバー活動は、CFAAに違反する可能性があります。CFAAに違反する可能性があるのは、ランサムウェア攻撃の一環としての脅迫状の送信、コンピュータへの意図的な不正アクセス、または許可されたアクセスを超えて保護されたコンピュータから情報を取得すること、プログラム、情報、コード、コマンドの送信を故意に引き起こし、その結果、保護されたコンピュータに意図的に不正な損害を与えることなどです。保護されているコンピューターには、米国政府や金融機関のコンピューターシステムだけでなく、州間・外国間の商取引や通信に使用されたり、影響を与えたりするコンピューターも含まれます。
Commensurate with the seriousness with which we view these cyber threats, the Rewards for Justice program has set up a Dark Web (Tor-based) tips-reporting channel to protect the safety and security of potential sources. The RFJ program also is working with interagency partners to enable the rapid processing of information as well as the possible relocation of and payment of rewards to sources. Reward payments may include payments in cryptocurrency. このようなサイバー脅威を深刻にとらえるのにふさわしく、司法のための報奨プログラムは、潜在的な情報源の安全とセキュリティを保護するためにダークウェブ(Torベース)のヒント報告チャンネルを設置しました。司法のための報奨プログラムはまた、情報源の移転や報奨金の支払いの可能性だけでなく、情報の迅速な処理を可能にするために省庁間のパートナーと協力しています。報酬の支払いには、暗号通貨での支払いも含まれます。
More information about this reward offer is located on the Rewards for Justice website at www.rewardsforjustice.net . We encourage anyone with information on malicious cyber activity, carried out against U.S. critical infrastructure in violation of the CFAA by actors at the direction of or under the control of a foreign government, to contact the Rewards for Justice office via our Tor-based tips-reporting channel at: he5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion (Tor browser required). この報奨金の提供に関する詳細情報は、司法のための報奨のウェブサイト(www.rewardsforjustice.net )に掲載されています。外国政府の指示または支配下にある行為者がCFAAに違反して米国の重要インフラに対して行った悪質なサイバー活動に関する情報をお持ちの方は、司法のための報奨事務局にTorベースのヒント報告チャンネルであるhe5dybnt7sr6cm32xt77pazmtm65flqy6irivtflruqfc5ep7eiodiad.onion(Torブラウザが必要)に連絡することをお勧めします。
Since its inception in 1984, the program has paid in excess of $200 million to more than 100 people across the globe who provided actionable information that helped prevent terrorism, bring terrorist leaders to justice, and resolve threats to U.S. national security. Follow us on Twitter at https://twitter.com/RFJ_USA . 1984年の開始以来、このプログラムは、テロを防止し、テロリストのリーダーを裁判にかけ、米国の国家安全保障への脅威を解決するための実用的な情報を提供した世界中の100人以上の人々に、2億ドルを超える金額を支払ってきました。ツイッターhttps://twitter.com/RFJ_USA をフォローしてください。

 

1_20210717012801

| | Comments (0)

総務省 意見募集 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)

こんにちは、丸山満彦です。

総務省が「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)についての意見募集をしていますね。。。

  • クラウドサービスにおける責任分界の在り方
  • 国際規格等との整合性

の観点から見直したようです。。。

そもそも日本独自で作らなくても良いような気もしたり...

● 総務省

・2021.07.16 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集


1 概要


 総務省では、安全・安心なクラウドサービスの利活用推進のため、平成26年4月に「クラウドサービス提供における情報セキュリティ対策ガイドライン」を公表し、その後IoTサービスを提供するクラウドサービスにおけるリスクへの対応を考慮した改定を行い、平成30年7月に「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」として公表しました。
 その後、当ガイドラインにおける、クラウドサービスにおける責任分界のあり方や国際規格等との整合性の観点から、有識者にも御意見を伺いつつ、さらなる内容の検討を行いました。


20210717-02438

概要 P2

「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)

20210717-02623

 

20210717-02703

 


過去のガイドについての総務省の発表

● 総務省

・2018.07.31 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表

・2018.06.15 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)に対する意見募集

・2014.04.02 クラウドサービス提供における情報セキュリティ対策ガイドラインの公表

・2014.02.21「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対する意見募集


目次は、、、

↓↓↓↓↓

 

Continue reading "総務省 意見募集 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)"

| | Comments (0)

2021.07.16

中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

こんにちは、丸山満彦です。

中国の工業情報化部がネットワーク製品のセキュリティ脆弱性管理に関する規定を公開していますね。。。

次のような内容が含まれていますね。。。

  • ネットワーク製品のセキュリティの脆弱性に関する情報を収集、販売、または公開を禁止(第四条)
  • 組織またはネットワーク事業者は、脆弱性報告書を受信した記録を6か月間を保持する義務(第五条)
  • 脆弱性報告書は2日以内に工業情報化部に報告する義務(第六条)
  • ベンダーがパッチを適用する合理的な機会を得る前に、研究者がバグの詳細を開示することを禁止(第九条(一))
  • ネットワーク製品プロバイダー以外の海外組織や個人に脆弱性の詳細を開示することを禁止(第九条(七))

当局への報告を二日以内にするというのは大変かもしれませんね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.07.12 工业和信息化部 国家互联网信息办公室 公安部关于印发网络产品安全漏洞管理规定的通知

 

仮訳です。。。

网络产品安全漏洞管理规定 ネットワーク製品のセキュリティ脆弱性管理に関する規定
第一条 为了规范网络产品安全漏洞发现、报告、修补和发布等行为,防范网络安全风险,根据《中华人民共和国网络安全法》,制定本规定。 第一条 ネットワーク製品のセキュリティ脆弱性の発見、報告、修復、公開を規制し、ネットワークセキュリティリスクを防止するため、中華人民共和国のネットワークセキュリティ法に基づき、本規定を制定する。
第二条 中华人民共和国境内的网络产品(含硬件、软件)提供者和网络运营者,以及从事网络产品安全漏洞发现、收集、发布等活动的组织或者个人,应当遵守本规定。 第二条 中華人民共和国におけるネットワーク製品(ハードウェアおよびソフトウェアを含む)の提供者およびネットワーク事業者、ならびにネットワーク製品のセキュリティ脆弱性の発見、収集、公開などの活動に従事する組織または個人は、本規定を遵守しなければならない。
第三条 国家互联网信息办公室负责统筹协调网络产品安全漏洞管理工作。工业和信息化部负责网络产品安全漏洞综合管理,承担电信和互联网行业网络产品安全漏洞监督管理。公安部负责网络产品安全漏洞监督管理,依法打击利用网络产品安全漏洞实施的违法犯罪活动。 第三条 国家サイバースペース管理局は、ネットワーク製品のセキュリティ脆弱性の管理を調整する責任がある。 工業情報化部は、ネットワーク製品のセキュリティの脆弱性を包括的に管理する責任があり、電気通信・インターネット業界におけるネットワーク製品のセキュリティの脆弱性の監督・管理を請け負っている。 公安部は、法律に基づき、ネットワーク製品のセキュリティの抜け穴を監督・管理し、ネットワーク製品のセキュリティの抜け穴を利用して行われる違法・犯罪行為を取り締まる責任を負っている。
有关主管部门加强跨部门协同配合,实现网络产品安全漏洞信息实时共享,对重大网络产品安全漏洞风险开展联合评估和处置。 関連する管轄部門は、部門間の連携を強化し、ネットワーク製品のセキュリティの脆弱性に関する情報のリアルタイムの共有を達成するために、主要なネットワーク製品のセキュリティの脆弱性のリスクは、共同評価と処分を実施する。
第四条 任何组织或者个人不得利用网络产品安全漏洞从事危害网络安全的活动,不得非法收集、出售、发布网络产品安全漏洞信息;明知他人利用网络产品安全漏洞从事危害网络安全的活动的,不得为其提供技术支持、广告推广、支付结算等帮助。 第四条 組織または個人は、ネットワーク製品のセキュリティ上の脆弱性を利用して、ネットワークセキュリティを危険にさらす活動に従事したり、ネットワーク製品のセキュリティ上の脆弱性に関する情報を不正に収集、販売または公表してはならず、他者がネットワーク製品のセキュリティ上の脆弱性を利用して、ネットワークセキュリティを危険にさらす活動に従事していることを知りながら、技術支援、広告宣伝、代金決済などの支援を行ってはならない。
第五条 网络产品提供者、网络运营者和网络产品安全漏洞收集平台应当建立健全网络产品安全漏洞信息接收渠道并保持畅通,留存网络产品安全漏洞信息接收日志不少于6个月。 第五条 ネットワーク製品提供者、ネットワーク事業者及びネットワーク製品セキュリティ脆弱性収集プラットフォームは、健全なネットワーク製品セキュリティ脆弱性情報の受信経路を確立して維持し、これを開放しておくとともに、ネットワーク製品セキュリティ脆弱性情報の受信ログを6ヶ月以上保存する。
第六条 鼓励相关组织和个人向网络产品提供者通报其产品存在的安全漏洞。 第六条 関連する組織や個人が、ネットワーク製品の提供者に対して、その製品にセキュリティ上の脆弱性が存在することを知らせることを奨励する。
第七条 网络产品提供者应当履行下列网络产品安全漏洞管理义务,确保其产品安全漏洞得到及时修补和合理发布,并指导支持产品用户采取防范措施: 第七条 ネットワーク製品提供者は、以下のネットワーク製品セキュリティ脆弱性管理義務を果たし、製品のセキュリティ脆弱性が適時にパッチされ、合理的に公開されることを保証し、製品利用者が予防措置を講じるよう指導・支援する。
(一)发现或者获知所提供网络产品存在安全漏洞后,应当立即采取措施并组织对安全漏洞进行验证,评估安全漏洞的危害程度和影响范围;对属于其上游产品或者组件存在的安全漏洞,应当立即通知相关产品提供者。 (一)提供するネットワーク製品にセキュリティ上の脆弱性が存在することを発見または知らされた後、直ちに対策を講じ、セキュリティ上の脆弱性の検証を整理し、セキュリティ上の脆弱性の危害や影響の度合いを評価しなければならない。また、その上流の製品やコンポーネントに属するセキュリティ上の脆弱性については、直ちに関連する製品提供者に通知しなければならない。
(二)应当在2日内向工业和信息化部网络安全威胁和漏洞信息共享平台报送相关漏洞信息。报送内容应当包括存在网络产品安全漏洞的产品名称、型号、版本以及漏洞的技术特点、危害和影响范围等。 (二)関連する脆弱性情報は、2日以内に産業・情報技術省のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームに報告しなければならない。 報告書の内容は、ネットワーク製品のセキュリティ脆弱性が存在する製品の名称、モデル、バージョンに加え、脆弱性の技術的特性、危険性、影響範囲を含むものとする。
(三)应当及时组织对网络产品安全漏洞进行修补,对于需要产品用户(含下游厂商)采取软件、固件升级等措施的,应当及时将网络产品安全漏洞风险及修补方式告知可能受影响的产品用户,并提供必要的技术支持。 (三)ネットワーク製品のセキュリティ脆弱性の修復を速やかに整理し、製品のユーザー(川下のベンダーを含む)にソフトウェアやファームウェアのアップグレードなどの措置を要求するものについては、影響を受ける可能性のある製品のユーザーにネットワーク製品のセキュリティ脆弱性のリスクとその修復方法を速やかに伝え、必要な技術サポートを提供する。
工业和信息化部网络安全威胁和漏洞信息共享平台同步向国家网络与信息安全信息通报中心、国家计算机网络应急技术处理协调中心通报相关漏洞信息。 工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォームでは、関連する脆弱性情報を国家ネットワーク・情報セキュリティ情報通知センターと国家コンピュータネットワーク緊急対応技術処理調整センターに同期して通知する。
鼓励网络产品提供者建立所提供网络产品安全漏洞奖励机制,对发现并通报所提供网络产品安全漏洞的组织或者个人给予奖励。 ネットワーク製品の提供者は、自らが提供するネットワーク製品のセキュリティ上の脆弱性を発見・通知した組織や個人に報いる仕組みを構築することが推奨する。
第八条 网络运营者发现或者获知其网络、信息系统及其设备存在安全漏洞后,应当立即采取措施,及时对安全漏洞进行验证并完成修补。 第八条 ネットワーク事業者は、自己のネットワーク、情報システム及びその設備にセキュリティ上の脆弱性が存在することを発見し、又は知らされた場合には、速やかに、セキュリティ上の脆弱性を検証し、その修復を完了するための措置を講じなければならない。
第九条 从事网络产品安全漏洞发现、收集的组织或者个人通过网络平台、媒体、会议、竞赛等方式向社会发布网络产品安全漏洞信息的,应当遵循必要、真实、客观以及有利于防范网络安全风险的原则,并遵守以下规定: 第九条 ネットワーク製品のセキュリティ脆弱性の発見・収集に従事する組織または個人は、ネットワーク製品のセキュリティ脆弱性に関する情報をオンラインプラットフォーム、メディア、会議、コンテストなどを通じて社会に公開する際には、必要性、真実性、客観性、ネットワークセキュリティリスクの防止に資するという原則に従うものとし、以下の規定を遵守しなければならない。
(一)不得在网络产品提供者提供网络产品安全漏洞修补措施之前发布漏洞信息;认为有必要提前发布的,应当与相关网络产品提供者共同评估协商,并向工业和信息化部、公安部报告,由工业和信息化部、公安部组织评估后进行发布。 (一)ネットワーク製品提供者がネットワーク製品のセキュリティ脆弱性修復措置を提供する前に脆弱性情報を公開してはならない。事前に公開する必要があると判断した場合は、関連するネットワーク製品提供者と共同で評価・協議し、産業情報化省および公安省に報告するものとし、公開の整理後に工業情報化部および公安部が評価する。
(二)不得发布网络运营者在用的网络、信息系统及其设备存在安全漏洞的细节情况。 (二)ネットワーク事業者が使用しているネットワークや情報システムおよびその機器のセキュリティ上の脆弱性の詳細を公開してはならない。
(三)不得刻意夸大网络产品安全漏洞的危害和风险,不得利用网络产品安全漏洞信息实施恶意炒作或者进行诈骗、敲诈勒索等违法犯罪活动。 (三)ネットワーク製品のセキュリティ上の脆弱性の危険性やリスクを意図的に誇張したり、ネットワーク製品のセキュリティ上の脆弱性に関する情報を利用して、悪意のある推測を行ったり、詐欺や恐喝などの違法・犯罪行為を行ったりしてはならない。
(四)不得发布或者提供专门用于利用网络产品安全漏洞从事危害网络安全活动的程序和工具。 (四)ネットワーク製品のセキュリティ上の脆弱性を利用して、ネットワークセキュリティを害する活動を行うことを目的としたプログラムやツールを公開または提供してはならない。
(五)在发布网络产品安全漏洞时,应当同步发布修补或者防范措施。 (五)ネットワーク製品のセキュリティ上の脆弱性のリリースでは、パッチや予防措置のリリースと同期させる必要がある。
(六)在国家举办重大活动期间,未经公安部同意,不得擅自发布网络产品安全漏洞信息。 (六)国が開催する主要なイベントにおいて、ネットワーク製品のセキュリティ上の脆弱性に関する情報は、公安部の同意なしに公開してはならない。
(七)不得将未公开的网络产品安全漏洞信息向网络产品提供者之外的境外组织或者个人提供。 (七) 一般に公開されていないネットワーク製品のセキュリティ上の脆弱性に関する情報をネットワーク製品提供者以外の組織や個人に提供してはならない。
(八)法律法规的其他相关规定。 (八)その他関連する法令の規定
第十条 任何组织或者个人设立的网络产品安全漏洞收集平台,应当向工业和信息化部备案。工业和信息化部及时向公安部、国家互联网信息办公室通报相关漏洞收集平台,并对通过备案的漏洞收集平台予以公布。 第十条 組織または個人がネットワーク製品のセキュリティ脆弱性収集プラットフォームを構築する場合は、工業情報化部に届け出なければならない。 工業情報化部は、公安部および国家サイバースペース管理局に関連する脆弱性収集プラットフォームを速やかに通知し、記録に合格した脆弱性収集プラットフォームを公表する。
鼓励发现网络产品安全漏洞的组织或者个人向工业和信息化部网络安全威胁和漏洞信息共享平台、国家网络与信息安全信息通报中心漏洞平台、国家计算机网络应急技术处理协调中心漏洞平台、中国信息安全测评中心漏洞库报送网络产品安全漏洞信息。 ネットワーク製品のセキュリティ脆弱性を発見した組織または個人は、ネットワーク製品のセキュリティ脆弱性に関する情報を、工業情報化部のネットワークセキュリティ脅威・脆弱性情報共有プラットフォーム、国家ネットワーク・情報セキュリティ情報通知センターの脆弱性プラットフォーム、国家コンピュータネットワーク緊急技術対応コーディネーションセンターの脆弱性プラットフォーム、中国情報セキュリティ試験評価センターの脆弱性データベースに報告することが推奨される。
第十一条 从事网络产品安全漏洞发现、收集的组织应当加强内部管理,采取措施防范网络产品安全漏洞信息泄露和违规发布。 第十一条 ネットワーク製品のセキュリティ上の脆弱性の発見及び収集に従事する組織は、内部管理を強化し、ネットワーク製品のセキュリティ上の脆弱性情報の漏洩及び不正な公開を防止するための措置を講じなければならない。
第十二条 网络产品提供者未按本规定采取网络产品安全漏洞补救或者报告措施的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十条规定情形的,依照该规定予以处罚。 第十二条 本規定に基づき、ネットワーク製品のセキュリティ脆弱性に対する改善措置または報告措置を講じなかったネットワーク製品提供者は、工業情報化部および公安部がそれぞれの責任に基づき、法律に基づいて対処するものとし、その状況が中華人民共和国ネットワークセキュリティ法第60条に規定された状況に該当する場合は、同規定に基づいて処罰される。
第十三条 网络运营者未按本规定采取网络产品安全漏洞修补或者防范措施的,由有关主管部门依法处理;构成《中华人民共和国网络安全法》第五十九条规定情形的,依照该规定予以处罚。 第十三条 ネットワーク事業者が本規定に基づいてネットワーク製品のセキュリティ脆弱性を修復または防止するための措置を講じなかった場合、関連する管轄当局が法律に基づいて対処し、その状況が中華人民共和国ネットワークセキュリティ法第59条に規定されている状況に該当する場合には、同規定に基づいて処罰する。
第十四条 违反本规定收集、发布网络产品安全漏洞信息的,由工业和信息化部、公安部依据各自职责依法处理;构成《中华人民共和国网络安全法》第六十二条规定情形的,依照该规定予以处罚。 第十四条 この規定に違反してネットワーク製品のセキュリティ上の脆弱性に関する情報を収集・公開した場合、工業情報化部および公安部がそれぞれの責任において法律に基づいて対処するものとし、中華人民共和国ネットワークセキュリティ法第62条に該当する場合は、当該規定に基づいて処罰する。
第十五条 利用网络产品安全漏洞从事危害网络安全活动,或者为他人利用网络产品安全漏洞从事危害网络安全的活动提供技术支持的,由公安机关依法处理;构成《中华人民共和国网络安全法》第六十三条规定情形的,依照该规定予以处罚;构成犯罪的,依法追究刑事责任。 第十五条 ネットワーク製品のセキュリティ上の抜け穴を利用してネットワークセキュリティを危険にさらす行為を行った者、またはネットワーク製品のセキュリティ上の抜け穴を利用してネットワークセキュリティを危険にさらす行為を行うために他者に技術的支援を行った者は、法律に基づいて公安当局により処分され、中華人民共和国ネットワークセキュリティ法第63条に規定された事態を構成した者は規定に基づいて処罰され、犯罪を構成した者は法律に基づいて刑事責任を問われる。
第十六条 本规定自2021年9月1日起施行。 第十六条 この規定は、2021年9月1日から施行する。

 

1_20210705085401


 

■ 報道等

The Register

・2021.07.15 So nice of China to put all of its network zero-day vulns in one giant database no one will think to break into

We sum up Middle Kingdom's massive crackdown on bug reports

The Record

・2021.07.14 Chinese government lays out new vulnerability disclosure rules

The Stack

・2021.07.14 China’s security researchers ordered to report all new bugs to the gov’t within 2 days

TechNadu

・2021.07.14 China Introduced New Rules for Software Vulnerability Disclosure

| | Comments (0)

FedRAMP 意見募集 境界に関するガイダンス Ver2.0案

こんにちは、丸山満彦です。

FedRAMPのガイドラインはいくつかでていますが、2018年5月に作成された「境界に関するガイダンス」の改訂案についての意見募集がでていますね。。。

 

FedRAMP

・2021.07.14 (Blog) Requesting Public Comment on FedRAMP Authorization Boundary Guidance

・[PDF] FedRAMP Authorization Boundary Guidance

20210715-171224

 

TABLE OF CONTENTS 目次
Purpose  目的 
Key Federal Definitions and Requirements  主要な連邦政府の定義と要件 
1. Defining Your Authorization Boundary in the Cloud  1. クラウドにおける権限の境界線の定義 
2. Federal Data in the Cloud  2. クラウドにおける連邦政府のデータ 
3. Federal Metadata in the Cloud  3. クラウドにおける連邦政府のメタデータ 
4. Interconnections in the Cloud  4. クラウドでの相互接続 
5. External Services in the Cloud  5. クラウド上の外部サービス 
6. Leveraging External Services with a FedRAMP Authorization  6. FedRAMP認証を受けた外部サービスの活用 
7. Corporate Services  7. 企業向けサービス 
Data Requirements  データ要件 
Additional Agency-Specific Security Requirements  機関固有の追加セキュリティ要件 
Appendix A: Guidance on Developing Authorization Boundary, Network and Data Flows Diagrams  附属書A:認証境界図、ネットワーク・フロー図、データ・フロー図の作成に関するガイダンス 
Authorization Boundary Diagram (ABD)  認可境界線図(ABD 
Network Diagram  ネットワーク図 
Data Flow Diagrams (DFD)  データ・フロー・ダイアグラム(DFD 
Appendix B: Frequently Asked Questions  附属書B:よくある質問 
What is an authorization boundary and why is it important?  認可境界とは何ですか、なぜそれが重要なのですか?
Does a system that stores or processes federal data/metadata or sensitive system data, but is not directly connected to the boundary, need to be identified as an external system and/or service? 連邦政府のデータ/メタデータまたは機密性の高いシステム・データを保存または処理するが、境界に直接接続されていないシステムは、外部システムおよび/またはサービスとして識別される必要があるか?
How does FedRAMP define "corporate" services? FedRAMPは「企業」サービスをどのように定義するか?
Appendix C: Data Type Use Cases 附属書C:データタイプの使用例

 

日本もISMAPという制度がありますが、このようなガイダンスもできる限りFedRAMPと合わせて、クラウド事業者の負担軽減も検討するとよいと思うんですよね。。。

ガイダンスやテンプレート等はこちら・・・

 

DOCUMENTS & TEMPLATES

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

| | Comments (0)

2021.07.15

経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

こんにちは、丸山満彦です。

政府が次期サイバーセキュリティ戦略の検討を進めていることを踏まえ、経団連が、提言「全員参加によるサイバーセキュリティの実現に向けて」を公表しましたね。。。

経団連といえば、


日本の代表的な企業1,461社、製造業やサービス業等の主要な業種別全国団体109団体、地方別経済団体47団体などから構成されています(2021年4月1日現在)。

その使命は、総合経済団体として、企業と企業を支える個人や地域の活力を引き出し、日本経済の自律的な発展と国民生活の向上に寄与することにあります。

このために、経済界が直面する内外の広範な重要課題について、経済界の意見を取りまとめ、着実かつ迅速な実現を働きかけています。


ということで、サイバーセキュリティに関しても経済界の意見をとりまとめて公表をしているということですね。。。

ちなみに、現会長の所属会社である、住友化学さんの第140期 (2020.04.01-2021.03.31)有価証券報告書の「事業等のリスク」では、


2.事業継続の基盤に関わるリスク

③ 情報セキュリティ

ITを活用することで業務の生産性向上、事業の競争力確保、新たなビジネスモデル創出を追求するデジタル革新が加速している一方、情報システムに関するさまざまな影響を及ぼすサイバー攻撃の脅威が高まっており、 事業運営に悪影響を及ぼす可能性があります。
当社グループは、情報を正しく管理し、漏洩や紛失を未然防止する対策、およびセキュリティインシデント発生時に影響を最小限に抑える対策を講じておりますが、情報セキュリティを経営問題と捉え、ますます高まる情報セキュリティの脅威に対応してまいります。

④ DXによる事業環境の急変

当社グループでは、プラント、研究開発、オフィス、サプライチェーンマネジメントのそれぞれの領域において、IoT、AI、MIやRPAなどのデジタル技術を積極的に活用し、業務プロセスの飛躍的な生産性向上、 既存事業の競争力確保、新たなビジネスモデルの実現に取り組んでおります。しかしながら、デジタル技術の適用が著しく遅延した場合や、他社がデジタル技術を活用して生産性や競争力を向上させる、あるいは新たなビジ ネスモデルを創造するなど事業環境の急変により、当社グループの競争力が相対的に低下することで経営成績な らびに財政状態に悪影響を及ぼす可能性があります。


という感じで、セキュリティやテクノロジーに関するリスクが記載されていますねPDFがコピー禁止になっていますので、コピーをする場合はGoogle Document等で読み込んでからという一手間がかかる...

通りいっぺんな感じはしますが、事業継続の基盤に関わるリスクとしては、① 事故・災害、② 製品の品質の次の3つ目ということで比較的重要に感じているのかもしれません。。。

昔から、各社の有価証券報告書に記載されている、事業等のリスクにおいて、情報セキュリティ、サイバーセキュリティ、プライバシーがどのように記載されているか、各社の一覧が欲しいなと思っているんですよね。。。

 

さて、本題に戻って、

● 日本経済団体連合会

・2021.07.15 経団連タイムス - 提言「全員参加によるサイバーセキュリティの実現に向けて」公表

20210716-63727

・2021.07.13 全員参加によるサイバーセキュリティの実現に向けて

・[PDF] 概要

20210716-64000

・[PDF] 本文

20210716-64136


目次

1.はじめに

2.全員参加によるサイバーセキュリティの実現に向けた3つの視点
(1)各主体の果たすべき役割
 ① 国による率先垂範
 ② サイバーセキュリティ経営のさらなる推進
 ③ サプライチェーン全体での取組み強化
 ④ 官民一体での社会風土醸成

(2)人材育成・研究開発力強化
 ① 全員参加の人材教育
 ② 産業・国際競争力の強化
 ③ サイバー空間の信頼性確保への貢献

(3)社会の変化に対応した取組みの推進
 ① 連携の強化
 ② 重要インフラ分野の相互依存関係の分析および新規分野の追加
 ③ 既存制度の検証

3.おわりに


 

「全員参加」ということについて、いいたいことは、「サイバーセキュリティに関して、みなさん意識高めて、それぞれの持ち場で自分の業務をする際にもサイバー関連リスクを想像し、必要ならば専門家等に相談し、適切な対策が実施されるようにしましょうね。。。」ということで、「ひとりひとり竹槍でも、鍋の蓋でももって戦いましょうね」ではないと思いますが、そう思われないような表現等の工夫があってもよいかもですね。。。

 

| | Comments (0)

経済産業省 意見募集 「データによる価値創造(Value Creation)を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク(仮)」骨子案

こんにちは、丸山満彦です。

経済産業省が「データによる価値創造(Value Creation)を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク(仮)」骨子案の意見募集をしています。

「データマネジメントの在り方」ですが、サイバーセキュリティ課です(^^)

経済産業省

・2021.07.15 「データによる価値創造(Value Creation)を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク(仮)」骨子案の意見公募手続(パブリックコメント)を開始しました


経済産業省では、IoTやAIによって実現される「Society5.0」、「Connected Industries」におけるデータの信頼性確保の考え方を整理した「データによる価値創造(Value Creation)を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク(仮)」骨子案について、7月15日(木曜日)からパブリックコメントを開始しました。

1.背景・趣旨

経済産業省では、令和元年7月31日 に「『第3層:サイバー空間におけるつながり』の信頼性確保に向けたセキュリティ対策検討タスクフォース」を設置し、データの信頼性確保に求められる要件について検討を行ってきました。

サイバー空間とフィジカル空間が高度に融合した「Society5.0」、「Connected Industries」においては、データがサイバー空間を自由に流通し、多様なデータが新たなデータを生み出して付加価値を創出することが可能になります。そうしたサイバー空間のつながりにおいては、データそのものが正しいことが重要な前提であり、データがサイバー空間におけるつながりの信頼性を確保するための基点となります。

データ自体に信頼性の基点を置いて包括的なセキュリティ対策を実施するためには、データのライフサイクル全体にわたってリスクを洗い出し、セキュリティ確保のための様々な措置を実施することが必要となります。

そのため、上記タスクフォースでは、データを軸に置き、データのライフサイクルを通じて、その置かれている状態を可視化してリスクを洗い出し、そのセキュリティを確保するために必要な措置を適切なデータマネジメントによって実現することを可能とする 「データによる価値創造(Value Creation)を促進するための新たなデータマネジメントの在り方とそれを実現するためのフレームワーク(仮)」 の骨子案を取りまとめました。

同フレームワークでは、データマネジメントを「データの属性が場におけるイベントにより変化する過程を、データのライフサイクルを踏まえて管理すること」と定義し、「イベント(生成・取得、加工・利用、移転・提供、破棄、保管)」、「場(各国の法令、組織の内部規則、組織間の契約など)」、「属性(カテゴリ、開示範囲、利用目的、データ管理主体、データ権利者など)」というそれぞれに影響しあう関係にある3つの要素から構成されるモデルとして整理しています。3つの要素によってデータの状態が可視化され、ステークホルダーの間で認識を共有しやすくなることによって、ステークホルダー全体での適切なデータマネジメントの実施につながることを期待しています。

今般、同フレームワークの骨子案について幅広い御意見を頂くべく、パブリックコメントを開始しました。幅広く忌憚のない御意見をいただきたいと考えています。


 

・[PDF] フレームワーク骨子案  [Downloaded]

20210715-231907

 


1.新たなデータマネジメントの在り方

1-1 CPSFにおける第3層(サイバー空間におけるつながり)
 1-1-1 CPSF概論
 1-1-2 第3層の位置づけ
1-2 データの信頼性確保:データマネジメントの考え方の確立
1-3 本フレームワークの目的
1-4 本フレームワークの想定読者

2.本フレームワークにおけるデータマネジメントのモデル

2-1 概要編
 2-1-1 データマネジメントのモデル化の概要
 2-1-2 リスク分析手順
  STEP 1 データ処理フロー(「イベント」)の可視化
  STEP 2 必要な制度的な保護措置(「場」)の整理
  STEP 3 「属性」の具体化
  STEP 4 「イベント」ごとのリスクポイントの洗い出し
2-2 詳細編
 2-2-1 モデル化(「イベント」)
   生成・取得
   加工・利用
   移転・提供
   保管
   廃棄
 2-2-2 モデル化(「場」)
   パーソナルデータの保護
   知的財産・営業秘密保護
   機微技術管理
   適切な社会機能の維持
 2-2-3 モデル化(「属性」) 
   カテゴリ
   開示範囲
   利用目的
   データ管理主体
   データ権利者
   価値 (重要度)
   媒体・保存先
   利用期限

3.活用方法

3-1 サプライチェーンを構成するステークホルダー間での活用
3-2 ルール間のギャップの分析

添付A. ユースケース
添付B. イベントごとのリスクの洗い出しのイメージ(第三回TF資料P38などを参照)


 

関連資料

参考リンク

| | Comments (0)

防衛研究所 国家のサイバー攻撃とパブリック・アトリビューション:ファイブ・アイズ諸国のアトリビューション連合と SolarWinds 事案対応

こんにちは、丸山満彦です。

防衛省の防衛研究所が、「国家のサイバー攻撃とパブリック・アトリビューション:ファイブ・アイズ諸国のアトリビューション連合と SolarWinds 事案対応」を公開していますね。。。

これ、面白いです。

是非是非...

 

防衛研究所

・2021.07.15 国家のサイバー攻撃とパブリック・アトリビューション:ファイブ・アイズ諸国のアトリビューション連合と SolarWinds 事案対応

20210715-213538

目次です。。。

国家のサイバー攻撃とパブリック・アトリビューション:ファイブ・アイズ諸国のアトリビューション連合と SolarWinds 事案対応

はじめに:SolarWinds 事案にみる国家のサイバー攻撃と同盟国・同志国連携による対応

1. パブリック・アトリビューション:「誰がやったのか」の(非)公表とコミュニケーション

2. ファイブ・アイズ諸国によるアトリビューション連合

3. パブリック・アトリビューションの主要機能:抑止、対処・防御、規範設定の 3 つの柱

4. SolarWinds 事案へのアトリビューション連合対応:3 つの機能からみる継続性と論争点

5. 専門家の論争の背景:SolarWinds 事案が問うサイバー諜報を許容するリスクと規範設定の是非

むすびにかえて:同志国とアトリビューションを議論する共通の「ものさし」の必要性

 

 

 

| | Comments (0)

国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

こんにちは、丸山満彦です。

国際決済銀行の決済および市場インフラに関する委員会 (CPMI) ・国際通貨基金 (IMF) ・世界銀行が共同で、国際決済のための中央銀行デジタル通貨に関するG20への報告書を公表していますね。。。

● Bank for International Settlements: BIS 

・2021.07.09 (press) International cooperation is essential for central bank digital currencies to improve cross-border payments

次のような結論が強調されていますね。。。

  • CBDCは、当局が国際的に協調すれば、国際決済の強化に役立つ

  • その影響は国境を越えて広がり、マクロ金融的な影響や相互運用性に関する多国間の協力が必要

  • 規制・監督・監視の枠組みの強化は、CBDCが国際決済をするための不可欠な前提条件

規制、監督、監視は、マネーロンダリング、テロ資金供与、サイバーセキュリティリスク等に関することですね。。。

CBDCはこれからの話なのですが、普及するとしたらおそらく完全匿名の紙幣のようなものではなく、KYCがきっちりとしたものになるんでしょうね。。。

 

・2021.07.09 Central bank digital currencies for cross-border payments


Joint report to the G20 by the Committee on Payments and Market Infrastructures, the BIS Innovation Hub, the International Monetary Fund (IMF) and the World Bank.

・[PDF

20210715-105237

 

Contents  目次 
Executive Summary エグゼクティブ・サマリー
Introduction はじめに
1.  Domestic CBDC designs and cross-border considerations: a primer 1.  国内CBDCの設計と国境を越える際の考慮事項:入門編
Improving cross-border payments efficiency is an important motivation for CBDC work 国境を越えた決済の効率化がCBDC作業の重要な動機である
2.  Stocktaking potential CBDC designs in cross-border payments 2.  国際決済における潜在的なCBDCデザインの蓄積
Current central bank thinking on cross-border CBDC use 国境を越えたCBDCの利用に関する現在の中央銀行の考え方
Cross-border aspects of advanced retail CBDC projects 先進的なリテールCBDCプロジェクトの国境を越えた側面
Enabling retail or wholesale interoperability of CBDC arrangements CBDCアレンジメントのリテールまたはホールセールの相互運用性の実現
CBDC arrangements in practice: current projects with cross-border focus 実際のCBDCアレンジメント:国際決済に焦点を当てた現在のプロジェクト
Central bank considerations regarding interoperability, mCBDC arrangements and FX conversion 相互運用性、mCBDCアレンジメント、FX変換に関する中央銀行の検討事項
3.  Opportunities and risks associated with cross-border use of CBDCs 3.  国境を越えるCBDCの使用に関連する機会とリスク
Possible benefits of CBDCs with regards to existing frictions in payments 決済における既存の摩擦に関するCBDCの可能なメリット
Existing frictions in cross-border payments 国境を越えた決済における既存の摩擦
How CBDCs could help alleviate existing frictions CBDCがどのようにして既存の摩擦を軽減することができるか
International macro-financial implications of cross-border CBDC use 国境を越えたCBDC利用の国際的なマクロ金融への影響
Potential increase in cross-border flows クロスボーダー・フローの増加の可能性
Potential financial stability risks and currency substitution 金融安定化リスクと通貨代替の可能性
Reserve currency configurations and backstops 基軸通貨の構成とバックストップ
Early central bank thinking on risks associated with cross-border use of CBDCs 国境を越えたCBDCの使用に伴うリスクに関する中央銀行の初期の考え方
4.  Conclusion and considerations for further work 4.  結論と今後の検討課題
Glossary 用語集
References 参考文献
Annex 1: Projects for cross-border CBDC arrangements 附属書1:国境を越えたCBDCアレンジメントのためのプロジェクト
Annex 2: List of building blocks for enhancing cross-border payments 附属書2:国境を越えた決済を強化するためのビルディングブロックのリスト
Annex 3: Building block 19 - factoring an international dimension into CBDC design 附属書3:ビルディングブロック19 - CBDC設計における国際的側面の考慮
Actions and milestones 行動とマイルストーン
Action 1: Stocktaking and analysis of different CBDC designs 行動1:様々なCBDCデザインのストックテーキングと分析
Action 2: Development of options for access and/or interlinking 行動2:アクセスおよび/または相互リンクのためのオプションの開発
Action 3: Design study and dissemination 行動3:デザインの研究と普及
Annex 4: Composition of the Future of Payments Working Group (FoP) 附属書4:決済の未来作業部会(FoP)の構成
   
Executive Summary  エグゼクティブ・サマリー 
The G20 has made enhancing cross-border payments a priority and endorsed a comprehensive programme to address the key challenges.[1] Faster, cheaper, more transparent and more inclusive  cross-border payment services would deliver widespread benefits for citizens and economies worldwide, supporting economic growth, international trade, global development and financial inclusion. To that end, this report takes stock of the international dimension of central bank digital currency (CBDC, see glossary) projects and the extent to which they could be used for cross-border payments. The report also investigates possible macro-financial implications associated with the cross-border use of CBDCs. The analysis does not imply that central banks mentioned in this report have reached a decision about issuance of a CBDC.    G20 は、国際決済の強化を優先事項とし、主要な課題に対処するための包括的なプログラムを承認しました[1]。より早く、より安く、より透明性が高く、より包括的な国際決済サービスは、世界中の市民や経済に広く利益をもたらし、経済成長、国際貿易、グローバルな発展、金融包摂を支えます。そのため、本報告書では、中央銀行デジタル通貨(CBDC、用語解説参照)プロジェクトの国際的な側面と、それらがどの程度、国境を越えた決済に利用され得るかについて、考察しています。また、CBDCの国境を越えた使用に関連して考えられるマクロ金融上の影響についても調査しています。本分析は、本レポートで言及されている中央銀行がCBDCの発行について決定に達したことを意味するものではありません。  
To date, no major jurisdiction has launched a CBDC and many design and policy decisions are still unresolved. Also, most CBDC investigations by central banks focus on domestic issues and use cases. Given this early state of play, the considerations in this report are exploratory and examine cross-border implications of CBDCs in a situation in which CBDCs are widely used. In practice, domestic issuance of CBDC will be subject to considerable further economic and practical examination before exploration of cross-border use will gather pace. Furthermore, enhancements in other areas of the cross-border payments programme, such as aligning regulatory, supervisory and oversight frameworks for cross-border payments, Anti-Money Laundering/Combating the Financing of Terrorism (AML/CFT) consistency, Payment versus Payment (PvP) adoption and payment system access[2] will be critical for cross-border CBDC use.   現在のところ、主要な法域ではCBDCを発行しておらず、多くの設計や政策決定はまだ未解決です。また、中央銀行によるCBDCの調査のほとんどは、国内の問題やユースケースに焦点を当てています。この初期の状態を考慮して、本レポートでの考察は探索的なものであり、CBDC が広く使用されている状況で CBDC のクロスボーダーの意味を検討するものです。実際には、CBDC の国内発行は、国境を超えた利用の検討がペースを上げる前に、かなりのさらなる経済的・実用的な検討を必要とするでしょう。さらに、国境を越えたCBDCの利用には、国境を越えた決済のための規制・監督・監視の枠組みの調整、マネーロンダリング防止/テロ資金供与防止(AML/CFT)の一貫性、PvP(Payment versus Payment)の採用、決済システムへのアクセス[2]など、国境を越えた決済プログラムの他の分野での強化が不可欠となります。 
Against this background, the report identifies a number of questions that would need to be taken into account in order for CBDCs to support the enhancement of cross-border payments. The report approaches these questions from two angles: first, from the practical perspective of how a cross-border payment infrastructure with CBDCs could be set up; and second, from a macro-financial perspective, examining the potential increase in cross-border flows, possible financial stability risks and currency substitution, and reserve currency configurations and backstops. Cross-border payments with CBDCs can be envisioned in two fundamentally different ways. The first scenario assumes availability of a retail[3] CBDC of a given jurisdiction to anybody inside and outside of that jurisdiction, with limited to no coordination between the issuing central banks. In this case, if the design allows for anonymous payments like cash, it would by default be accessible to foreign residents. In practice, however, relatively few central banks are considering fully anonymous systems. In contrast to cash, various restrictions on cross-border use could be imposed via the technological and regulatory design of the CBDC. This first scenario is conditioned by the domestic design of a CBDC.   このような背景から、本報告書では、CBDC が国境を越えた決済の強化を支援するために考慮しなければならないいくつかの質問を挙げています。本報告書では、これらの問題に 2 つの角度からアプローチしています。第一に、CBDC を用いた国際決済のインフラをどのように構築するかという実用的な観点から、第二に、マクロ金融の観点から、クロスボーダー・フローの潜在的な増加、金融安定リスクや通貨代替、基軸通貨の構成やバックストップなどを検証しています。CBDC を利用した国際決済は、根本的に異なる 2 つの方法で想定することができます。第一のシナリオは、ある法域のリテール[3]CBDC が、その法域の内外を問わず誰でも利用できることを想定しており、発行する中央銀行間の調整は限られているか、あるいは全くありません。この場合、現金のように匿名での支払いを可能にする設計であれば、デフォルトで外国人居住者がアクセスできることになります。しかし、実際には、完全な匿名システムを検討している中央銀行はあまりありません。現金とは対照的に、CBDCの技術的・規制的な設計を通じて、国境を越えた利用に対する様々な制限が課せられる可能性があります。この第一のシナリオは、CBDCの国内設計が条件となります。 
The second scenario assumes some degree of interoperability between CBDCs based on access and settlement arrangements to facilitate the cross-border use of CBDCs from two or more jurisdictions. Such arrangements can connect both wholesale and retail CBDCs across borders, imply strong cooperation among central banks, and include technological, market structure and legal aspects. This second scenario – which is the main focus of the report – relies on design choices of the interoperability infrastructure. Both scenarios are discussed in the report and illustrated with examples of ongoing projects.   第二のシナリオは、2つ以上の国・地域のCBDCのクロスボーダー利用を促進するためのアクセスと決済の取り決めに基づいて、CBDC間のある程度の相互運用性を想定しています。このような取り決めは、国境を越えてホールセールとリテールの両方のCBDCを接続することができ、中央銀行間の強力な協力を意味し、技術、市場構造、法的側面を含む。この2つ目のシナリオは、本報告書の主眼であるが、相互運用性インフラの設計上の選択に依存しています。本報告書では、両方のシナリオについて議論し、進行中のプロジェクトの例を挙げて説明しています。 
Introducing a CBDC could have a range of macro-financial implications. Ultimately, those implications will depend on several factors, such as the level and nature of international adoption, and on the degree of collaboration among issuing and recipient countries. International use of CBDCs could potentially increase cross-border flows, but specific design choices of CBDCs could limit such use. The implications would differ for wholesale versus retail CBDCs. Hence, multilateral collaboration to agree on design principles will be key to addressing concerns of central banks regarding currency substitution risk, capital flow volatility, and contagion risk. These macro-financial implications of cross-border currency use are not exclusive for CBDCs, but also exist for privately issued forms of money. However, CBDCs could allow jurisdictions greater room of manoeuvre to mitigate potentially adverse macro-financial implications. CBDCの導入は、マクロ金融に様々な影響を与える可能性があります。最終的には、これらの影響は、国際的な採用のレベルや性質、発行国と受領国の間の協力の度合いなど、いくつかの要因に依存します。CBDC の国際的な使用は、潜在的にクロスボーダー・フローを増加させる可能性がありますが、CBDC の特定の設計上の選択がそのような使用を制限する可能性があります。その影響はホールセール型とリテール型のCBDCでは異なるでしょう。したがって、設計原則に合意するための多国間の協力は、通貨代替リスク、資本フローのボラティリティ、および伝染病リスクに関する中央銀行の懸念に対処するための鍵となります。国境を越えた通貨の使用がもたらすこれらのマクロ金融上の影響は、CBDCに限ったことではなく、民間で発行された貨幣にも存在します。しかし、CBDC は、国・地域が潜在的に不利なマクロ金融的な影響を軽減するために、より大きな操作の余地を与えることができます。
CBDCs have the potential to enhance the efficiency of cross-border payments, as long as their design follows the “Hippocratic Oath for CBDC design” and its premise to “do no harm”, as highlighted by the Group of central banks (2020). The coordination of national CBDC designs could lead to more efficient cross-currency and cross-border payments. Cross-border CBDCs could offer the opportunity to start with a “clean slate”, and address the frictions inherent in current cross-border payment systems and arrangements from the outset. The enhancements could be made by offering secure settlement (see glossary), reducing costly and lengthy intermediation chains throughout the payment process, and eliminating operating hour mismatches by being accessible 24/7.  CBDCは、その設計が、中央銀行グループ(2020年)で強調されている「CBDC設計のためのヒポクラテスの誓い」と「害を及ぼさない」という前提に従う限り、国境を越えた決済の効率性を高める可能性がある。各国のCBDCのデザインを調整することで、より効率的なクロスカレンシーやクロスボーダーの決済が可能になります。クロスボーダーCBDCは、「白紙」の状態からスタートし、現行の国際決済システムや取り決めに内在する摩擦に最初から対処する機会を提供することができます。安全な決済(用語集参照)を提供し、決済プロセス全体でコストのかかる長い仲介チェーンを削減し、24時間365日アクセス可能にすることで営業時間のミスマッチをなくすことで、機能強化を図ることができます。
It is necessary to continue deepening the analysis on CBDC designs, especially regarding options for access and interlinking of CBDCs, including interoperability with non-CBDC payment infrastructures and arrangements. Further actions in this workstream will continue to investigate these questions, both from a practical and theoretical perspective and by leveraging analytical synergies from other building blocks of the cross-border programme, such as the investigation into global stablecoin arrangements and the feasibility of new multilateral platforms for cross-border payments.  特に、CBDC以外の決済インフラやアレンジメントとの相互運用性を含め、CBDCへのアクセスや相互リンクのオプションについて、CBDCのデザインに関する分析を深めていく必要があると考えています。このワークストリームのさらなる活動は、実用的かつ理論的な観点から、また、グローバルなステーブルコインの取り決めや国際決済のための新たな多国間プラットフォームの実現可能性の調査など、クロスボーダープログラムの他のビルディングブロックからの分析的な相乗効果を活用して、これらの問題を引き続き調査します。
   
[1] See FSB (2020a, b, c), CPMI (2020a, b). See also Annex 2.  [1] FSB (2020a, b, c), CPMI (2020a, b)を参照。附属書2も参照。
[2] These topics are addressed in building blocks 4, 5, 9 and 10, respectively. See also CPMI Stage 2 report to the G20 – technical background report, July 2020.  [2] これらのテーマは、それぞれビルディングブロック4、5、9、10で扱われています。2020年7月のG20に対するCPMIステージ2報告書-技術的背景報告書も参照。
[3] A retail (or general-purpose) CBDC could be used by individuals to pay businesses, shops or each other, while a wholesale CBDC would be designed for restricted access by financial institutions to settle trades in financial markets, similar to today’s central bank reserve and settlement accounts.  [3] リテール(または汎用)CBDCは、個人が企業や店舗、あるいは相互に支払いを行うために使用することができるが、ホールセールCBDCは、今日の中央銀行の準備・決済口座と同様に、金融機関が金融市場での取引を決済するためにアクセスを制限するために設計されます。
   
Central bank digital currencies; CBDC 中央銀行デジタル通貨
A digital payment instrument, denominated in the national unit of account that is a direct liability of the central bank. 中央銀行の直接的な負債である国家単位で表示されるデジタル決済手段。

 

 

 

| | Comments (0)

米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

こんにちは、丸山満彦です。

GAOのこの報告書を見逃していました。。。2021.06.03にGAOが顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要があるという報告書を公表していました。。。

  1. 従業員がどのような非連邦システムを使用しているかを追跡する仕組みを導入し、
  2. これらのシステムを使用することのリスク評価する

という勧告をだしていますね。。。

● GAO

・2021.06.03 Facial Recognition Technology:Federal Law Enforcement Agencies Should Better Assess Privacy and Other Risks 

Fast Facts 速報
We surveyed 42 federal agencies that employ law enforcement officers about their use of facial recognition technology. 法執行官を雇用している42の連邦政府機関を対象に、顔認識技術の使用状況を調査しました。
20 reported owning such systems or using systems owned by others 20機関が顔認識システムを所有している、または他社のシステムを利用していると回答
6 reported using the technology to help identify people suspected of violating the law during the civil unrest, riots, or protests following the death of George Floyd in May 2020 6機関が、2020年5月に起きたジョージ・フロイド氏の死去に伴う市民の不安、暴動、抗議活動において、法律違反の疑いがある人物を特定するために同技術を使用と報告
3 acknowledged using it on images of the U.S. Capitol attack on Jan. 6 3機関が、1月6日に発生した連邦議会議事堂襲撃事件の画像に使用したと報告
15 reported using non-federal systems 15機関が、連邦政府以外のシステムを使用と報告
We recommended that 13 agencies track employee use of non-federal systems and assess the risks these systems can pose regarding privacy, accuracy, and more. GAOは、13機関に対し、従業員の非連邦システムの使用状況を追跡し、これらのシステムがプライバシーや正確性などに関するリスクを評価するよう勧告しました。
Highlights ハイライト
What GAO Found GAOの調査結果
GAO surveyed 42 federal agencies that employ law enforcement officers about their use of facial recognition technology. Twenty reported owning systems with facial recognition technology or using systems owned by other entities, such as other federal, state, local, and non-government entities (see figure). GAOは、法執行官を雇用している42の連邦機関に対し、顔認識技術の使用状況について調査しました。そのうち20機関が、顔認識技術を搭載したシステムを所有しているか、他の連邦政府、州政府、地方自治体、非政府機関など、他の機関が所有するシステムを使用していると回答しました(図参照)。
Ownership and Use of Facial Recognition Technology Reported by Federal Agencies that Employ Law Enforcement Officers 法執行官を雇用している連邦機関が報告した顔認識技術の所有・使用状況
20210714-231123
Note: For more details, see figure 2 in GAO-21-518. 注:詳細はGAO-21-518の図2参照
Agencies reported using the technology to support several activities (e.g., criminal investigations) and in response to COVID-19 (e.g., verify an individual's identity remotely). Six agencies reported using the technology on images of the unrest, riots, or protests following the death of George Floyd in May 2020. Three agencies reported using it on images of the events at the U.S. Capitol on January 6, 2021. Agencies said the searches used images of suspected criminal activity. 機関は、いくつかの活動(例:犯罪捜査)をサポートするために、またCOVID-19に対応するために(例:リモートで個人のアイデンティティを確認する)技術を使用していると報告しました。6機関が、2020年5月のジョージ・フロイド氏の死に伴う騒動、暴動、抗議活動の画像にこの技術を使用したと報告しています。また、2021年1月6日に米国連邦議会議事堂で発生した事件の画像について、3機関が使用したと報告しています。機関は、検索では犯罪行為の疑いのある画像を使用したと述べています。
All fourteen agencies that reported using the technology to support criminal investigations also reported using systems owned by non-federal entities. However, only one has awareness of what non-federal systems are used by employees. By having a mechanism to track what non-federal systems are used by employees and assessing related risks (e.g., privacy and accuracy-related risks), agencies can better mitigate risks to themselves and the public. 犯罪捜査を支援するために顔認識テクノロジーを使用したと報告した14機関すべてが、非連邦機関が所有するシステムの使用も報告しています。しかし、どのような非連邦機関のシステムを従業員が使用しているかを把握しているのは1機関のみでした。どのような非連邦機関のシステムが従業員に使用されているかを把握し、関連するリスク(プライバシーや正確性に関するリスクなど)を評価する仕組みを持つことで、各機関は自身や国民に対するリスクをよりよく軽減することができます。
Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies that employ law enforcement officers can use facial recognition technology to assist criminal investigations, among other activities. For example, the technology can help identify an unknown individual in a photo or video surveillance. 法執行官を雇用している連邦政府機関は、犯罪捜査などを支援するために顔認識技術を使用することができます。例えば、この技術は、写真やビデオ監視に写っている未知の個人を特定するのに役立ちます。
GAO was asked to review federal law enforcement use of facial recognition technology. This report examines the 1) ownership and use of facial recognition technology by federal agencies that employ law enforcement officers, 2) types of activities these agencies use the technology to support, and 3) the extent that these agencies track employee use of facial recognition technology owned by non-federal entities. GAOは、連邦政府の法執行機関による顔認識技術の使用について検討するよう依頼されました。本レポートでは、1)法執行官を雇用している連邦機関による顔認識技術の所有と使用、2)これらの機関が顔認識技術を使用して支援する活動の種類、3)これらの機関が従業員による非連邦機関が所有する顔認識技術の使用を追跡する範囲、について調査しています。
GAO administered a survey questionnaire to 42 federal agencies that employ law enforcement officers regarding their use of the technology. GAO also reviewed documents (e.g., system descriptions) and interviewed officials from selected agencies (e.g., agencies that owned facial recognition technology). This is a public version of a sensitive report that GAO issued in April 2021. Information that agencies deemed sensitive has been omitted. GAOは、法執行官を雇用している42の連邦機関に対して、技術の使用に関するアンケート調査を実施しました。また、GAOは文書(システムの説明書など)を確認し、特定の機関(顔認識技術を所有している機関など)の職員にインタビューを行った。これは、GAOが2021年4月に発行した機密性の高いレポートの公開版です。機関が機密とみなした情報は省略されています。
Recommendations 勧告事項
GAO is making two recommendations to each of 13 federal agencies to implement a mechanism to track what non-federal systems are used by employees, and assess the risks of using these systems. Twelve agencies concurred with both recommendations. U.S. Postal Service concurred with one and partially concurred with the other. GAO continues to believe the recommendation is valid, as described in the report. GAOは13の連邦機関それぞれに対し、従業員がどのような非連邦システムを使用しているかを追跡する仕組みを導入し、これらのシステムを使用することのリスクを評価するよう2つの勧告を行っています。12の機関が両方の勧告に同意しました。U.S. 郵便サービスは1つの勧告に同意し、もう1つの勧告に一部同意しました。GAOは、報告書に記載されている通り、この勧告は有効であると引き続き考えています。
Recommendations for Executive Action エグゼクティブ・アクションの勧告事項
Agency Affected Recommendation 関係機関  勧告
Bureau of Alcohol, Tobacco, Firearms and Explosives 1. The Director of the Bureau of Alcohol, Tobacco, Firearms and Explosives should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities.  アルコール・タバコ・火器・爆発物取締局 1. アルコール・タバコ・火器・爆発物局の局長は、捜査活動を支援するために従業員がどのような顔認識技術を搭載した非連邦システムを使用したかを追跡する仕組みを導入すべきである。
Bureau of Alcohol, Tobacco, Firearms and Explosives 2. The Director of the Bureau of Alcohol, Tobacco, Firearms and Explosives should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks.  アルコール・タバコ・銃器・爆発物取締局 2. アルコール・タバコ・火器・爆発物局の局長は、非連邦システムを追跡する仕組みを導入した後、プライバシーや精度に関するリスクを含め、当該システムを使用することのリスクを評価すべきである。
Drug Enforcement Administration 3. The Administrator for the Drug Enforcement Administration should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities. 麻薬取締局 3. 麻薬取締局長官は、捜査活動を支援するために従業員が使用する顔認識技術を備えた非連邦システムを追跡する仕組みを導入すべきである。
Drug Enforcement Administration 4. The Administrator for the Drug Enforcement Administration should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks. 麻薬取締局 4. 麻薬取締局長官は、非連邦システムを追跡する仕組みを導入した後、プライバシーや正確性に関するリスクを含め、当該システムを使用することのリスクを評価すべきである。
Federal Bureau of Investigation 5. The Director of the FBI should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities. 連邦捜査局 5. FBI長官は、顔認識技術を搭載した非連邦システムのうち、捜査活動を支援するために従業員が使用したものを追跡する仕組みを導入すべきである。
Federal Bureau of Investigation 6. The Director of the FBI should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks. 連邦捜査局 6. FBI長官は、連邦政府以外のシステムを追跡する仕組みを導入した後、プライバシーや精度に関するリスクを含め、当該システムを使用することによるリスクを評価すべきである。
United States Marshals Service 7. The Director of the U.S. Marshals Service should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities. 米国連邦保安局 7. 米国連邦保安局の局長は、顔認識技術を備えた非連邦システムのうち、捜査活動を支援するために従業員が使用したものを追跡する仕組みを導入すべきである。
United States Marshals Service 8. The Director of the U.S. Marshals Service should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks.  米国連邦保安局 8. 米国連邦保安局の局長は、非連邦システムを追跡する仕組みを導入した後、プライバシーや正確性に関するリスクを含め、当該システムを使用するリスクを評価すべきである。
United States Customs and Border Protection 9. The Commissioner of CBP should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities. 米国税関国境警備局 9. CBP長官は、捜査活動を支援するために従業員がどのような顔認識技術を備えた非連邦システムを使用しているかを追跡する仕組みを導入すべきである。
United States Customs and Border Protection 10. The Commissioner of CBP should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks.  米国税関国境警備局 10. CBP長官は、非連邦システムを追跡するメカニズムを実施した後、プライバシーや精度に関連するリスクを含めて、当該システムを使用するリスクを評価すべきである。
United States Secret Service 11. The Director of the Secret Service should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities. 米国シークレットサービス 11. シークレット・サービス長官は、顔認識技術を備えた非連邦システムのうち、捜査活動を支援するために従業員が使用したものを追跡する仕組みを導入すべきである。
United States Secret Service 12. The Director of the Secret Service should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks.  米国シークレットサービス 12. シークレット・サービスの長官は、非連邦システムを追跡するメカニズムを実施した後、プライバシーや正確性に関するリスクを含めて、そのようなシステムを使用するリスクを評価すべきである。
United States Fish and Wildlife Service 13. The Director of the U.S. Fish and Wildlife Service should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities.  米国魚類野生生物局 13. 米国魚類野生生物局の局長は、顔認識技術を備えた非連邦システムのうち、捜査活動を支援するために従業員が使用したものを追跡する仕組みを導入すべきである。
United States Fish and Wildlife Service 14. The Director of the U.S. Fish and Wildlife Service should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks. 米国魚類野生生物局 14. 米国魚類野生生物局の局長は、非連邦システムを追跡するメカニズムを実施した後、プライバシーと精度に関連するリスクを含め、当該システムを使用することのリスクを評価すべきである。
United States Park Police 15. The Chief of the U.S. Park Police should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities. 米国公園警察 15. 米国公園警察署長は、捜査活動を支援するために従業員が使用する顔認識技術を備えた非連邦システムを追跡する仕組みを導入すべきである。
United States Park Police 16. The Chief of the U.S. Park Police should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks.  米国公園警察 16. 米国公園警察署長は、非連邦システムを追跡する仕組みを導入した後、プライバシーや正確性に関するリスクを含め、そのようなシステムを使用することのリスクを評価すべきである。
Bureau of Diplomatic Security 17. The Assistant Secretary of the Bureau of Diplomatic Security should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities.  外交安全保障局 17. 外交安全局次官補は、捜査活動を支援するために従業員がどのような顔認識技術を備えた非連邦システムを使用しているかを追跡する仕組みを導入すべきである。
Bureau of Diplomatic Security 18. The Assistant Secretary of the Bureau of Diplomatic Security should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks. 外交安全保障局 18. 外交安全保障局次官補は、非連邦システムを追跡するメカニズムを実施した後、プライバシーや精度に関するリスクを含め、当該システムを使用することのリスクを評価すべきである。
Food and Drug Administration 19. The Assistant Commissioner of the Food and Drug Administration's Office of Criminal Investigations should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities. 食品医薬品局 19. 食品医薬品局犯罪捜査部次長は、捜査活動を支援するために従業員がどのような顔認識技術を備えた非連邦システムを使用しているかを追跡する仕組みを導入すべきである。
Food and Drug Administration 20. The Assistant Commissioner of the Food and Drug Administration's Office of Criminal Investigations should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks.  食品医薬品局 20. 食品医薬品局犯罪捜査部のアシスタント・コミッショナーは、連邦以外のシステムを追跡する仕組みを導入した後、プライバシーや精度に関するリスクを含め、当該システムを使用することによるリスクを評価すべきである。
Internal Revenue Service 21. The Chief of the Internal Revenue Service's Criminal Investigation Division should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities.  米国内国歳入庁 21. 内国歳入庁刑事調査部の部長は、顔認識技術を搭載した非連邦システムのうち、調査活動を支援するために職員が使用したものを追跡する仕組みを導入すべきである。
Internal Revenue Service 22. The Chief of the Internal Revenue Service's Criminal Investigation Division should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks.  内国歳入庁 22. 内国歳入庁刑事調査課の課長は、非連邦システムを追跡する仕組みを導入した後、プライバシーや正確性に関するリスクを含め、当該システムを使用するリスクを評価すべきである。
Inspection Service 23. The Chief Postal Inspector of the U.S. Postal Inspection Service should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities.  検査局 23. 米国郵便検査局のチーフ・ポスタル・インスペクターは、顔認識技術を備えた非連邦システムのうち、捜査活動を支援するために従業員が使用したものを追跡する仕組みを導入すべきである。
Inspection Service 24. The Chief Postal Inspector of the U.S. Postal Inspection Service should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks. 検査局 24. 米国郵便検査局の首席検査官は、非連邦システムを追跡する仕組みを導入した後、プライバシーや正確性に関するリスクを含め、当該システムを使用することによるリスクを評価すべきである。
United States Capitol Police 25. The Chief of Police, U.S. Capitol Police, should implement a mechanism to track what non-federal systems with facial recognition technology are used by employees to support investigative activities.  米国連邦議会議事堂警察 25. 米国連邦議会議事堂警察の警察署長は、捜査活動を支援するために従業員がどのような顔認識技術を備えた非連邦システムを使用しているかを追跡する仕組みを導入すべきである。
United States Capitol Police 26. The Chief of Police, U.S. Capitol Police, should, after implementing a mechanism to track non-federal systems, assess the risks of using such systems, including privacy and accuracy-related risks. 米国連邦議会議事堂警察 26. 米国連邦議会議事堂警察署長は、非連邦システムを追跡する仕組みを導入した後、プライバシーや精度に関するリスクを含め、当該システムを使用するリスクを評価すべきである。

 

Highlights Page
20210714-234556


Accessible Text
20210714-234632


Full Report
20210714-234650

 

| | Comments (0)

2021.07.14

中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

こんにちは、丸山満彦です。

中国の国務院工業情報化部が「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」についての意見募集をしていますね。。。

日本の経済産業省等がすすめている産業サイバーセキュリティに近いかもですね。。。

 

工业和信息化部(工業情報化部)

・2021.07.12 公开征求对《网络安全产业高质量发展三年行动计划(2021-2023年)(征求意见稿)》的意见(サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023年)
についての意見募集)

 


中国政府の組織図については、外務省のページが正確かつわかりやすいと思います。。。

外務省 - 国・地域 - アジア - 中華人民共和国

・[PDF] 中国国家組織図 

・[PDF] 中国共産党組織図


 

意見募集対象はこちらです。

网络安全产业高质量发展三年行动计划 サイバーセキュリティ産業の質の高い発展のための3カ年行動計画
(2021-2023年) (2021-2023)
(征求意见稿) (Draft for Comments)
网络安全产业作为新兴数字产业,是维护国家网络空间安全和发展利益的网络安全技术、产品生产和服务活动,是建设制造强国和网络强国的基础保障。近年来,我国网络安全产业取得积极进展,特别是随着5G、大数据、人工智能、车联网、工业互联网、物联网等新技术新业务新模式快速发展,网络安全、数据安全等技术、产品和服务蓬勃发展。为深入贯彻落实习近平总书记关于网络强国的重要思想,落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,加快建设创新能力强、产业结构优、供给质量高、需求释放足、产融合作深、人才队伍专的健康有序产业发展生态,推动网络安全产业实现技术先进、产业发达的高质量发展目标,不断提升国家网络安全保障能力,制定本行动计划。 新興のデジタル産業であるサイバーセキュリティ産業は、国家のサイバー空間の安全と発展の利益を維持するためのサイバーセキュリティ技術、製品生産、サービス活動であり、強い製造業の国、強いネットワークの国を構築するための基本的な保証でもある。 近年、中国のサイバーセキュリティ産業は積極的に進展しており、特に5G、ビッグデータ、人工知能、車両ネットワーク、産業用インターネット、モノのインターネットなどの新技術、新ビジネス、新モデルの急速な発展に伴い、サイバーセキュリティやデータセキュリティなどの製品・サービスが隆盛を極めています。 習近平総書記のネットワークパワーに関する重要な考えを徹底的に実行し、「中華人民共和国サイバーセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国国家経済社会発展第14次5カ年計画及び2035年ビジョンの概要」を実施し、強力なイノベーション能力、優れた産業構造、高い供給品質、十分な需要の解放、深い産業統合の構築を加速して この行動計画は、強力なイノベーション能力、優れた産業構造、高い供給品質、十分な需要解放、深い業界統合、専門的な人材チームを備えた健全で秩序ある産業発展エコロジーの構築を加速し、サイバーセキュリティ産業が先進技術と先進産業による高品質な発展という目標を達成することを促進し、国家のサイバーセキュリティ能力を継続的に向上させるために策定されたものである。
一、总体要求 一. 一般要求事項
(一)指导思想 (一)指導思想
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,立足新发展阶段、贯彻新发展理念、构建新发展格局,统筹发展和安全,积极把握数字产业化和产业数字化发展机遇,加快推进供给侧结构性改革,以推动网络安全产业高质量发展为目标,以有效需求引领高质量供给为主线,充分激发技术创新活力,充分发挥各类资本支持作用,加强多层次人才支撑保障,促进创新链、产业链、价值链的协同发展,培育健康有序的产业生态,为制造强国和网络强国建设奠定坚实基础。 新時代の中国の特色ある社会主義という習近平氏の思想に導かれ、第19回中国共産党全国代表大会と第19回中国共産党中央委員会第2、3、4、5回全体会議の精神を総合的に実施し、新発展段階を基礎とし、新発展概念を実施し、新発展パターンを構築し、発展と安全を協調させ、デジタル産業化と産業デジタル発展の機会を積極的に把握し、供給側の構造改革を加速し、サイバーセキュリティ産業の高品質な発展を促進する。 その目的は、サイバーセキュリティ産業の高品質な発展を促進し、高品質な供給と効果的な需要を導き、技術革新の活力を十分に刺激し、各種の資本支援の役割を十分に発揮し、マルチレベルの人材支援とセキュリティを強化し、イノベーションチェーン、産業チェーン、バリューチェーンの相乗的な発展を促進し、健全で秩序ある産業生態を育成し、強い製造業国家と強いネットワーク国家の建設のための強固な基礎を築くことにある。
(二)基本原则 (二)基本原則
创新驱动,夯实基础。加强基础性、通用性、前瞻性安全技术研究,加快关键核心技术攻关,激发企业创新动力,有效推进技术成果转化,强化产业基础能力,提升产业链水平。 イノベーションを重視した、強固な基盤。 基礎的、一般的、将来的なセキュリティ技術の研究を強化し、重要なコア技術の研究を加速し、企業のイノベーションの勢いを刺激し、技術的成果の転換を効果的に促進し、産業の基礎能力を強化し、産業チェーンのレベルを向上する。
需求牵引,供给转型。推动重点行业加大网络安全投入,以有效需求牵引供给。引导网络安全产品向服务化、高级化转变,以高质量供给创造高层次需求。 デマンドトラクション、サプライトランスフォーメーション 主要産業のサイバーセキュリティへの投資を促進し、効果的な需要と供給を確保する。 サイバーセキュリティ製品のサービス化・高度化を誘導し、高水準の需要と高水準の供給を実現する。
深度融合,协同推进。坚持网络安全教育、技术、产业融合发展,强化产学研用资深度合作,支持创新联合体建设,加大资本助力作用,突出协同推进实效。 徹底した統合、共同プロモーション サイバーセキュリティの教育、技術、産業の統合を堅持し、産学、研究、資本の綿密な協力関係を強化し、イノベーションコンソーシアムの構築を支援し、資本支援の役割を高め、共同プロモーションの効果を強調する。
市场主导,政府引导。发挥各类市场主体作用,鼓励差异化发展和竞争。更好发挥政府规划引导、政策支持、标准制定、市场监管等作用,督促企业落实网络安全和数据安全主体责任,营造良好发展环境。 市場主導型、政府主導型:市場の様々なプレーヤーの役割を果たし、差別化された開発と競争を促す。 政府の計画指導、政策支援、規格開発、市場監督などの役割を果たし、企業にサイバーセキュリティとデータセキュリティの主な責任を履行するよう促し、良好な開発環境を構築する。
(三)发展目标 (三) 開発目標
到2023年,网络安全技术创新能力明显提高,产品和服务水平不断提升,经济社会网络安全需求加快释放,产融合作精准高效,网络安全人才队伍日益壮大,产业基础能力和综合实力持续增强,产业结构布局更加优化,产业发展生态健康有序。 2023年までに、サイバーセキュリティ技術の革新能力が大幅に向上し、製品やサービスのレベルが継続的に改善され、経済的・社会的なサイバーセキュリティのニーズが加速して解放され、業界の統合が正確かつ効率的に行われ、サイバーセキュリティの人材チームが成長し、業界の基礎能力と総合力が継続的に強化され、産業構造のレイアウトがより最適化され、業界の発展生態が健全かつ秩序あるものになると考えられる。
——产业规模。网络安全产业规模超过2500亿元,年复合增长率超过15%。 業界規模:サイバーセキュリティ産業の規模は2,500億元を超え、年平均成長率は15%を超えている。
——技术创新。一批网络安全关键核心技术实现突破,达到先进水平。新兴技术与网络安全融合创新明显加快,网络安全产品、服务创新能力进一步增强。 技術革新:サイバーセキュリティの主要なコア技術の数は,ブレークスルーを達成し,高度なレベルに到達する。 新技術とサイバーセキュリティの統合の革新が大幅に加速され,サイバーセキュリティ製品とサービスの革新能力がさらに強化されている。
——企业发展。一批质量品牌、经营效益优势明显的具有网络安全生态引领能力的领航企业初步形成,一批面向车联网、工业互联网、物联网、智慧城市等新赛道的“专精特新”中小企业群体迅速成长,网络安全产品、服务、解决方案单项冠军企业数量逐步壮大。 企業の発展:品質のブランドの数は、ビジネス効率の利点は明らかに生態系のパイロット企業の初期形成のサイバーセキュリティの能力をリードして、車両のネットワークのための新しいトラックの数は、産業用インターネット、モノのインターネット、スマートシティと他の "専門の新しい "中小企業グループの急速な成長、サイバーセキュリティ製品、サービス、ソリューションは、単一のチャンピオン企業の数は徐々に サイバーセキュリティ製品、サービス、ソリューションのシングルチャンピオン企業の数は徐々に増えている。
——需求释放。电信等重点行业网络安全投入占信息化投入比例达10%。重点行业领域安全应用全面提速,中小企业网络安全能力明显提升,关键行业基础设施网络安全防护水平不断提高。 需要リリース:通信などの基幹産業におけるサイバーセキュリティへの投資の割合は、情報技術への投資の10%に達した。 主要産業分野でのセキュリティ適用が加速され、中小企業のサイバーセキュリティ能力が大幅に向上し、主要産業インフラのサイバーセキュリティ保護レベルが継続的に改善される。
——人才培养。建成一批网络安全人才实训基地、公共服务平台和实训靶场,创新型、技能型、实战型人才培养力度显著加大,多层次网络安全人才培养体系更加健全,网络安全人才规模质量不断提高。 人材育成:数多くのサイバーセキュリティ要員の訓練基地,公共サービスプラットフォーム,訓練場が建設され,革新的で熟練した戦闘志向の要員の訓練が大幅に増加し,マルチレベルのサイバーセキュリティ要員の訓練システムがより健全になり,サイバーセキュリティ要員の規模と質が継続的に改善されている。
——生态培育。产融对接更加精准高效,资本赋能作用持续加大。网络安全产业结构进一步优化,产业聚集效应显著增强。以产品服务能力为导向的健康市场秩序不断完善,大中小企业融通发展的产业格局基本形成。 エコシステムの育成: 生産と金融のドッキングは,より正確で効率的であり,資本のエンパワーメントの役割は増え続けています。 サイバーセキュリティ業界の構造がさらに最適化され,業界の集約効果が大幅に高まっている。 製品とサービスの能力を重視した健全な市場秩序が改善され,大企業と中小企業の統合と発展の産業パターンが基本的に形成されるだろう。
二、重点任务 二.重点任務
(一)产业供给强化行动 (一)産業界の供給強化行動
1.加快传统安全产品升级。进一步提高入侵检测系统、高级威胁检测、网络审计、主机和终端安全、内容安全等传统检测类产品性能,优化规则提取算法,提高安全检测质量。推动防火墙、抗拒绝服务系统、安全网关等传统防护类产品安全能力集约化发展。推动安全运营平台、网络流量分析系统、威胁信息分析与溯源系统等传统分析类产品向智能化发展,提升大数据、人工智能、密码技术在安全领域的应用水平。 1.従来セキュリティ製品のアップグレードの加速:侵入検知システム、高度な脅威検知、ネットワーク監査、ホスト・端末セキュリティ、コンテンツセキュリティなど、従来の検知製品の性能をさらに向上させ、ルール抽出アルゴリズムを最適化し、セキュリティ検知の品質を向上させる。 ファイアウォール、サービス妨害防止システム、セキュリティゲートウェイなど、集中的なセキュリティ機能を備えた従来の保護クラス製品の開発を促進する。 セキュリティオペレーションプラットフォーム、ネットワークトラフィック分析システム、脅威情報分析、トレーサビリティーシステムなどの従来の分析製品のインテリジェンス化を推進し、セキュリティ分野におけるビッグデータ、人工知能、暗号技術の適用レベルを向上させる。
2.加强重点领域网络安全供给。针对5G、云计算、人工智能等新兴技术领域,加速推动原生安全、智能编排、内生安全、动态访问控制、可信计算等技术产品研发和推广落地。针对工业互联网,强化大流量安全分析、漏洞挖掘与管理、数据融合分析、协议标识解析等能力。针对车联网和物联网,推动内生结合的轻量级终端安全产品或中间件,以及通信安全、身份认证、平台安全等防护方案应用。推动联邦学习、多方安全技术、隐私计算、密态计算、安全检索、多阈协同追踪等数据安全技术研究应用。 2.重点分野におけるサイバーセキュリティの供給強化:5G、クラウドコンピューティング、人工知能などの新興技術分野では、ネイティブ・セキュリティ、インテリジェント・オーケストレーション、エンドジェニック・セキュリティ、ダイナミック・アクセス・コントロール、トラステッド・コンピューティングなどの技術製品の開発・普及を加速させる。 産業用インターネットでは、大規模トラフィックのセキュリティ分析、脆弱性のマイニングと管理、データフュージョン分析、プロトコル識別の解決などの機能を強化する。 自動車やIoTについては、内生的に組み合わされた軽量のエンドポイントセキュリティ製品やミドルウェア、通信セキュリティ、ID認証、プラットフォームセキュリティなどの保護ソリューションの適用を促進する。 連邦学習、マルチパーティセキュリティ技術、プライバシーコンピューティング、デンステイトコンピューティング、セキュアリトリーバル、マルチスレッショルドコラボレーティブトラッキングなどのデータセキュリティ技術の研究と応用を推進する。
3.强化数据安全技术研究与应用。针对数据防泄露、防篡改、防窃取等传统数据安全保障需求,进一步优化数据安全管理、分类分级安全防护等产品功能和性能,提升数据安全智能防护和管理水平。针对数据安全监管需求,进一步强化监测预警和应急处置技术研究,提升智能风险分析、威胁预警和自动化事件处置能力。针对数据安全共享需求,大力推进安全多方计算、联邦学习、可信计算等技术的研究攻关和部署应用,促进数据要素安全有序流动。 3.データセキュリティ技術の研究と応用の強化:データ漏洩防止、改ざん防止、盗難防止など、従来のデータセキュリティのニーズに対して、データセキュリティ管理、分類、等級別のセキュリティ保護などの製品の機能と性能をさらに最適化し、インテリジェントなデータセキュリティの保護と管理のレベルを向上させる。 データセキュリティの監督ニーズに対しては、監視と早期警告、緊急処理技術の研究をさらに強化し、インテリジェントなリスク分析、脅威の警告、イベントの自動処理機能を強化する。 データセキュリティの共有ニーズに対しては、データ要素の安全で秩序ある流れを促進するために、セキュリティマルチパーティコンピューティング、フェデラルラーニング、トラステッドコンピューティングなどの技術の研究と応用を積極的に推進する。
4.创新安全服务模式。加强安全企业技术产品的云化能力,推动云化安全产品应用,鼓励综合实力强的安全企业发展弹性、灵活的云模式网络安全服务。发展集约化安全服务,鼓励企业提供集防火墙、用户身份认证、数据安全、应用安全等一揽子整体解决方案。支持开展威胁管理、检测响应等安全托管和咨询服务。发展地区级、城市级、行业级安全运营服务,提高运营自动化、流程化、工具化水平。鼓励基础电信企业、大型云服务提供商,并充分发挥网络和基础资源优势,输出安全服务能力,同时升级改造基础设施,支持安全企业嵌入安全服务能力。 4.革新的なセキュリティサービスモデル:セキュリティ企業の技術製品のクラウドベース機能を強化し、クラウドベースのセキュリティ製品の適用を促進し、総合力の高いセキュリティ企業が弾力的で柔軟なクラウドモードのサイバーセキュリティサービスを開発することを奨励する。 集中的なセキュリティサービスの開発は、企業がファイアウォール、ユーザー認証、データのセキュリティ、アプリケーションのセキュリティと他の全体的なソリューションのパッケージを提供することを推奨する。 脅威管理、検知対応、その他のセキュリティのホスティングやコンサルティングサービスの開発を支援する。 地域レベル、都市レベル、業界レベルのセキュリティオペレーションサービスを開発し、オペレーションの自動化、プロセス、ツールのレベルを向上させる。基本的な通信企業、大規模なクラウドサービスプロバイダを奨励し、ネットワークとインフラリソースの利点を最大限に活用し、セキュリティサービスの機能を輸出するために、セキュリティ企業をサポートするためにインフラをアップグレードしながら、セキュリティサービスの機能を埋め込む。
5.发展创新安全技术。推动网络安全架构向内生、自适应发展,加快开展基于开发安全运营、主动免疫、零信任等框架的网络安全体系研发。加快发展动态边界防护技术,鼓励企业深化微隔离、软件定义边界、安全访问服务边缘框架等技术产品应用。积极发展智能检测响应技术,提升用户实体行为分析、安全编排与自动化响应、扩展检测与响应等技术应用水平。推动发展主动安全防御技术,推进欺骗防御、威胁狩猎、拟态防御等技术产品落地。加速应用基于区块链的防护技术,推进多方认证、可信数据共享等技术产品发展。加强卫星互联网、量子通信等领域安全技术攻关。 5.革新的なセキュリティ技術の開発:サイバーセキュリティ・アーキテクチャの内発的・適応的な開発を推進し、セキュリティ・オペレーション、アクティブ・イミュニティ、ゼロ・トラストなどのフレームワークの開発に基づくサイバーセキュリティ・システムの研究・開発を加速する。 動的境界保護技術の開発を加速し、企業がマイクロアイソレーション、ソフトウェア定義境界、セキュリティアクセスサービスエッジフレームワークなどの技術製品の応用を深めることを奨励すること。 インテリジェントな検知・応答技術を積極的に開発し、ユーザーエンティティの行動分析、セキュリティオーケストレーションと自動応答、拡張検知・応答などの技術の適用を強化する。 アクティブ・セキュリティ・ディフェンス技術の開発を推進し、ディセプション・ディフェンス、スレット・ハンティング、ミメティック・ディフェンスなどの技術製品の導入を進める。 ブロックチェーンベースの保護技術の適用を加速し、マルチパーティ認証、信頼できるデータ共有などの技術製品の開発を促進する。 衛星インターネットや量子通信など、セキュリティ技術の研究開発を強化する。
6.加强共性基础支撑。持续建设高质量威胁信息、漏洞、恶意代码、恶意地址、攻击行为特征等网络安全基础知识库,强化网络安全知识支撑能力。加快发展恶意代码检测、高级威胁监测分析、信息处理、逆向分析、漏洞分析、密码安全性分析等底层引擎和工具,提升网络安全知识使用水平。加快发展源代码分析、组件成分分析等软件供应链安全工具,提升网络安全产品安全开发水平。积极推进网络靶场技术研究,建设结合虚拟环境和真实设备的安全孪生试验床,提升网络安全技术产品测试验证能力。 6.共通基盤の強化:高品質な脅威情報、脆弱性、悪意のあるコード、悪意のあるアドレス、攻撃行動の特徴など、サイバーセキュリティの基本的な知識ベースを継続的に構築し、サイバーセキュリティの知識サポート能力を強化する。 悪意のあるコードの検出、高度な脅威の監視と分析、情報処理、逆解析、脆弱性解析、パスワードセキュリティ解析などの基礎となるエンジンやツールの開発を加速し、サイバーセキュリティの知識の活用レベルを高める。 ソースコード解析、コンポーネント解析、その他のソフトウェアサプライチェーンセキュリティツールの開発を加速し、サイバーセキュリティ製品のセキュリティ開発レベルを向上させる。 ネットワークレンジ技術の研究を積極的に推進し、仮想環境と実在の機器を組み合わせたセキュリティツインテストベッドを構築し、サイバーセキュリティ技術製品のテスト・検証能力を強化する。
专栏1  面向新设施新要素的安全技术与产品提升工程 コラム1 新しい施設や要素に対するセキュリティ技術や製品の強化プロジェクト
5G安全。针对5G核心网、边缘计算平台等5G网络基础设施,推进安全编排与自动化响应、深度流量分析、威胁狩猎、信令安全等产品应用,推动云边协同安全能力建设。针对网络切片、网络功能虚拟化等技术特点,推动容器安全、微隔离等虚拟化安全防护产品及5G空口和信令防护检测等安全产品部署应用,提升5G内生安全能力和5G网络威胁的感知能力。针对5G虚拟专网、5G共建共享等网络建设模式,积极推进安全资源池、零信任安全架构、资产识别等安全解决方案应用,构建按需供给的安全能力。 5Gのセキュリティ:5Gコアネットワーク、エッジコンピューティングプラットフォーム、その他の5Gネットワークインフラについては、セキュリティオーケストレーションと自動応答、ディープトラフィック分析、脅威ハンティング、シグナリングセキュリティなどの製品アプリケーションを推進し、クラウドエッジコラボレーティブセキュリティ機能の構築を促進する。 ネットワークスライシングやネットワーク機能の仮想化などの技術的特徴については、コンテナセキュリティやマイクロアイソレーションなどの仮想化されたセキュリティ保護製品の導入・適用を促進し、5Gのエアポートやシグナリング保護の検知など、5Gの内発的なセキュリティ能力と5Gネットワークの脅威認識能力を強化する。 5G仮想プライベートネットワーク、5G共通共有などのネットワーク構築モードでは、セキュリティリソースプール、ゼロトラストセキュリティアーキテクチャ、資産識別などのセキュリティソリューションの適用を積極的に推進し、オンデマンドで供給されるセキュリティ機能を構築する。
云安全。面向多云、云原生、边缘云、分布式云等新型云计算架构,发展多云身份管理、云安全管理平台、云安全配置管理、云原生安全、云灾备等技术产品,推动云架构安全发展。面向云环境中云服务器、虚拟主机、网络等基础资源,加强基础信息采集水平,提升能够面向双栈(IPv4、IPv6)的流量可视化、微隔离、软件定义边界、云工作负载保护等安全产品能力,保障云上资源安全可靠。面向云上业务、应用等服务,提升安全访问服务边缘模型、云Web应用防火墙、云上数据保护等安全产品效能,保障云上业务安全运行。 クラウドセキュリティ:マルチクラウド、クラウドネイティブ、エッジクラウド、分散型クラウドなどの新しいクラウドコンピューティングアーキテクチャに直面し、マルチクラウドのアイデンティティ管理、クラウドセキュリティ管理プラットフォーム、クラウドセキュリティ構成管理、クラウドネイティブセキュリティ、クラウドディザスタリカバリなどの技術製品を開発し、クラウドアーキテクチャセキュリティの開発を促進する。 クラウドサーバー、バーチャルホスト、ネットワークなど、クラウド環境の基本的なリソースについて、基本的な情報収集のレベルを強化し、トラフィックの可視化、マイクロアイソレーション、Software-Defined Boundary、デュアルスタック(IPv4、IPv6)に対応可能なクラウドワークロードプロテクションなどのセキュリティ製品の能力を高め、クラウド上のリソースの安全性と信頼性を確保する。 クラウド上のビジネスやアプリケーションなどのサービスについて、セキュリティアクセスサービスエッジモデル、クラウドWebアプリケーションファイアウォール、クラウド上のデータ保護などのセキュリティ製品の有効性を向上させ、クラウド上のビジネスを安全に運営できるようにする。
人工智能安全。构建人工智能安全威胁分类体系,面向人工智能系统的生命周期,建立人工智能威胁模型,制定面向人工智能系统安全性检测与评估标准体系。研究人工智能系统可解释性、隐私性等安全要素,突破人工智能模型攻击与防御关键技术,设计实现人工智能系统自动攻防平台,构建人工智能安全靶场。 人工知能(AI)のセキュリティ: AIセキュリティ脅威分類システムを構築し、AIシステムのライフサイクルにおけるAI脅威モデルを確立し、AIシステムのセキュリティ検出・評価基準システムを開発する。 解釈可能性やプライバシーなどのAIシステムセキュリティ要素の研究、AIモデルの攻撃・防御キーテクノロジーのブレークスルー、AIシステムの自動攻撃・防御プラットフォームの設計・実装、AIセキュリティの目標範囲を構築する。
数据安全。优化数据安全管理技术,提升数据识别、分类分级、质量管控、血缘分析等基础性技术产品准确性和智能水平,提升质量管控、血缘分析技术能力,准确掌握数据资源情况,做到数据可视、可管、可控。完善数据应用安全防护技术,推进数据脱敏、数据防泄漏、数据加密、数据备份恢复、细粒度访问控制等技术产品升级,保障数据应用安全可控。强化数据安全监测预警和应急处置技术,提高对终端、网络、云以及跨境等场景中数据流动和异常行为监测的广度、深度和准确性,提升事件处置智能化和自动化水平。突破数据共享安全保障技术,推动安全多方计算、联邦学习、可信计算、同态加密、差分隐私、区块链、数据水印等隐私保护和流向溯源技术实用化部署和普及应用,推动国产商用密码应用,促进数据要素安全有序流动。 データセキュリティ:データセキュリティ管理技術を最適化し、データの識別、分類と等級付け、品質管理、血統分析などの基本的な技術製品の精度と知能レベルを向上させ、品質管理と系統分析の技術力を強化し、データ資源の状況を正確に把握し、データを可視化し、管理し、制御可能にする。 データアプリケーションのセキュリティ保護技術を向上させ、データの鈍感化、データの漏洩防止、データの暗号化、データのバックアップとリカバリー、きめ細かなアクセスコントロールなどの技術製品のアップグレードを推進し、データアプリケーションの安全性と制御性を確保する。 データセキュリティの監視と早期警報・緊急処理技術を強化し、端末、ネットワーク、クラウド、クロスボーダーのシナリオにおけるデータフローと異常行動の監視の幅、深さ、精度を向上させ、インシデント処理のインテリジェンスと自動化のレベルを高める。 データ共有セキュリティ技術のブレークスルー、セキュア・マルチパーティ・コンピューティング、フェデラル・ラーニング、トラステッド・コンピューティング、ホモモルフィック暗号、ディファレンシャル・プライバシー、ブロックチェーン、データ電子透かしなどのプライバシー保護やフロー・トレーサビリティ技術の実用化・普及促進、国内商用パスワードの適用促進、データ要素の安全で秩序ある流れを促進する。
(二)安全需求牵引行动 (二)セキュリティ要求によるプルアクション
7.推动电信和互联网行业网络安全能力升级。指导电信、互联网等重点行业企业加大网络安全投入,推进网络安全与信息化同步规划、同步建设和同步使用,健全网络安全管理和技术保障体系。深入开展网络安全资产测绘、监测预警、检测评估、信息共享,健全基于网络侧的木马病毒、移动恶意程序和高级威胁行为等异常行为安全监测与处置手段。强化电信、互联网行业网络安全风险评估和应急演练,增强网络安全威胁防范、隐患处理和应急处置能力,持续提升安全防护体系成熟度水平。加强数据全生命周期安全保护,实施分类分级管理,开展数据安全风险评估,提高个人数据、重要数据安全保护水平,保障人民群众的生命财产安全和个人隐私安全。 7.通信・インターネット業界におけるサイバーセキュリティ能力の向上の推進:通信、インターネットなどの基幹産業の企業がサイバーセキュリティへの投資を増やし、サイバーセキュリティと情報技術の同期的な計画、同期的な建設、同期的な使用を促進し、サイバーセキュリティ管理と技術セキュリティシステムを改善するよう指導する。 綿密なサイバーセキュリティ資産のマッピング、監視と早期警戒、検出と評価、情報共有を実施し、トロイの木馬ウイルス、モバイル悪意のあるプログラム、ネットワーク側に基づく高度な脅威行動などの異常行動のセキュリティ監視と処理の手段を改善する。 通信・インターネット業界におけるサイバーセキュリティのリスク評価と緊急時の訓練を強化し、サイバーセキュリティの脅威の防止、隠れた危険への対処、緊急時の処理能力を高め、セキュリティ保護システムの成熟度を継続的に向上させること。 データのライフサイクル全体のセキュリティ保護を強化し、分類と等級管理を実施し、データセキュリティのリスク評価を行い、個人データと重要データのセキュリティ保護レベルを向上させ、人々の生命と財産、個人のプライバシーを保護する。
8.加快新兴融合领域安全应用。全面推动工业互联网企业网络安全分类分级落地实施,面向原材料、装备制造、消费品、电子信息等行业,针对联网工业企业、平台企业、标识解析企业等加强网络安全分级防护体系建设。面向车联网安全,鼓励整车企业提升汽车、网络关键设备及云平台的安全防护与检测能力,强化路侧联网设施安全,推动车联网示范区、先导区和测试场安全解决方案的测试验证和示范应用。实施物联网基础安全“百企千款”产品培育行动,面向物联网终端、网关、平台等物联网关键环节,开展物联网安全检测、异常处置和公共服务,打造“物联网安心产品”。  8.新たなコンバージェンス分野でのセキュリティアプリケーションの高速化:包括的に産業用インターネット企業のサイバーセキュリティの分類とグレーディングの実装を促進し、原材料、機器製造、消費財、電子情報や他の産業のために、ネットワーク産業の企業、プラットフォーム企業、ロゴ解像度の企業などのサイバーセキュリティグレーディング保護システムの構築を強化する。 車のサイバーセキュリティについては、自動車企業が車、ネットワークの主要機器、クラウドプラットフォームのセキュリティ保護とテスト能力を向上させることを奨励し、路上のネットワーク設備のセキュリティを強化し、車のネットワークのデモエリア、パイロットエリア、テストサイトのセキュリティソリューションをテストと検証、デモアプリケーションのために推進する。 モノのインターネットの基本的なセキュリティ「100企業1000」の製品育成アクションを実施し、モノのインターネットの端末、ゲートウェイ、プラットフォームなどの重要な側面、モノのインターネットのセキュリティテスト、異常処理、公共サービスに対して、「モノのインターネットの安心製品」を作成する。
9.推动关键行业基础设施强化网络安全建设。推动能源、金融、交通、水利、卫生医疗、教育等行业领域加强资产识别、设备防护、边界防护、身份认证、数据安全、应用安全等技术手段建设,提升重要系统、关键节点及数据的安全防护能力。支持建立态势感知、通报预警、应急响应、安全运营等安全机制及纵深防护体系,不断提高风险防范和应急处置能力。推进零信任、人工智能等技术应用,提升防护体系效能。 9.重要産業インフラのサイバーセキュリティ強化の推進:エネルギー、金融、交通、水利、医療、教育などの産業分野において、資産識別、設備保護、国境警備、本人認証、データセキュリティ、アプリケーションセキュリティなどの技術的手段の構築を強化し、重要なシステム、キーノード、データのセキュリティ保護能力を高めることを推進する。 状況認識、通知・早期警告、緊急対応、セキュリティオペレーションのためのセキュリティメカニズムと深層防護システムの構築を支援し、リスク予防と緊急対応能力を継続的に向上させる。 保護システムの有効性を高めるために、ゼロトラストや人工知能などの技術の適用を促進する。
10.推进中小企业加强网络安全能力建设。实施中小企业“安全上云”专项行动,建设网络安全运营服务中心,面向中小企业提供高质量、低成本、集约化的网络安全产品和服务。引导中小企业通过网络安全产品服务一站式购买、租赁、订阅、托管、云端交付等方式,灵活部署网络安全产品和解决方案。支持开展多元化网络安全意识宣贯和技能培训,不断提升中小企业网络安全防护意识和能力。 10.中小企業のためのサイバーセキュリティ能力向上の促進:中小企業向けに「クラウドでのセキュリティ」という特別なアクションを実施し、サイバーセキュリティ運用サービスセンターを構築し、中小企業向けに高品質で低コストかつ集中的なサイバーセキュリティ製品・サービスを提供する。 中小企業は、サイバーセキュリティ製品・サービスの購入、リース、サブスクリプション、ホスティング、クラウド配信をワンストップで行うことができ、サイバーセキュリティ製品・ソリューションを柔軟に導入することができる。 中小企業のサイバーセキュリティ保護の意識と能力を継続的に高めるために、多様なサイバーセキュリティ意識の促進とスキルトレーニングを支援する。
专栏2  面向数字化新场景新业务的安全能力建设工程 コラム2 新しいデジタルシナリオと新ビジネスのためのセキュリティ能力向上プロジェクト
车联网安全。强化车联网安全能力建设,针对网联汽车及其网络关键设备,推进轻量化身份认证、车载安全网关、车载防火墙、入侵检测等关键技术及产品应用,强化纵深防御技术能力建设。针对V2X通信,推进基于PKI的安全认证与审计技术,加快车联网身份认证和安全信任体系建设。针对车联网平台及应用,建设安全运营中心,推进一体化云安全防护、数据合规保护与安全检测、监测和应急处置等技术产品落地。推动网络安全技术在OTA升级、远程监控、自动驾驶、车路协同等重点场景的应用部署。 テレマティクス・セキュリティ:テレマティクスのセキュリティ能力構築を強化し、コネクテッドカーとそのネットワークのキーデバイスに対する軽量認証、車両セキュリティゲートウェイ、車両ファイアウォール、侵入検知などのキーテクノロジーや製品の適用を促進し、防衛技術の能力構築を徹底的に強化することができる。 V2X通信では、PKIベースのセキュリティ認証・監査技術を推進し、テレマティクスのアイデンティティ認証とセキュリティトラストシステムの構築を加速する。 テレマティクスのプラットフォームやアプリケーションについては、セキュリティオペレーションセンターを構築し、クラウドのセキュリティ保護、データのコンプライアンス保護、セキュリティの検知・監視・緊急処理などの技術製品を現場で統合的に推進する。 OTAアップグレード、リモートモニタリング、自律走行、車両と道路のコラボレーションなどの重要なシナリオにおけるサイバーセキュリティ技術の展開を促進する。
工业互联网和工控安全。面向工业互联网全业务流程,围绕设备、控制、网络、标识、平台、数据安全防护需求,加快工业主机快照回滚、控制系统漏洞挖掘、控制系统内生安全等工控安全技术攻关,突破协议逆向分析、轻量级加密认证、大流量安全分析、工业网络安全威胁信息共享分析等工业互联网安全技术攻关。强化工业级防护设备、海量联网设备可信接入、平台安全、标识解析安全管理、工业数据全生命周期保护等安全产品推广应用,提升工业互联网场景化安全防护能力。 産業用インターネットと産業用制御のセキュリティ:産業用インターネットのビジネスプロセス全体に直面して、機器、制御、ネットワーク、ロゴ、プラットフォーム、データのセキュリティ保護のニーズに焦点を当て、産業用ホストのスナップショットのロールバック、制御システムの脆弱性のマイニング、制御システムの内因性セキュリティ、その他の産業用制御セキュリティ技術の研究を加速し、画期的なプロトコルの逆解析、軽量暗号化認証、大規模なトラフィックのセキュリティ分析、産業用サイバーセキュリティの脅威の情報共有分析、その他の産業用インターネットセキュリティ技術の研究を行っている。 産業レベルの保護装置、大規模ネットワーク機器への信頼できるアクセス、プラットフォームセキュリティ、ロゴの解像度のセキュリティ管理、産業データのライフサイクル保護などのセキュリティ製品を強化し、産業インターネットのシナリオベースのセキュリティ保護機能の適用を促進する。
物联网安全。积极推进智慧能源、智慧农业、智能家居、智能穿戴设备等物联网场景网络安全应用,鼓励企业研制适应异构物联网场景下的端到端安全防护解决方案。针对物联网平台,发展基于安全传输、异常行为分析、可信身份、威胁分析、数据防泄漏等技术的平台安全类产品。针对物联网设备可信接入网关,加快发展身份识别、协议解析和安全检测分析技术,鼓励企业将更多安全能力集成至网关。针对物联网终端,加强物联网设备及固件的漏洞挖掘,研制集接口防护、安全认证、应用安全、敏感数据保护等于一体的嵌入式集约化安全产品,打造安心物联网。 IoTセキュリティ:スマートエネルギー、スマートアグリカルチャー、スマートホーム、スマートウェアラブルデバイスなどのモノのインターネットシナリオのサイバーセキュリティアプリケーションを積極的に推進し、企業が異種のモノのインターネットシナリオに適応するためのエンドツーエンドのセキュリティ保護ソリューションを開発することを奨励する。 IoTプラットフォームについては、セキュア伝送、異常行動分析、信頼できるID、脅威分析、データ漏洩防止などの技術をベースに、プラットフォームセキュリティ製品を開発する。 IoTデバイスのトラステッドアクセスゲートウェイについては、ID識別、プロトコル解決、セキュリティ検知・分析技術の開発を加速させ、企業がより多くのセキュリティ機能をゲートウェイに統合することを奨励する。 IoT端末については、IoT機器やファームウェアの脆弱性マイニングを強化するとともに、インターフェース保護、セキュリティ認証、アプリケーションセキュリティ、センシティブデータ保護を統合した組み込み型の集中セキュリティ製品を開発し、安全なIoTを実現する。
智慧城市安全。适配智慧城市政务、交通、能源、制造、教育、医疗等业务场景,构建“一脑,三云”的网络安全防御能力集群,加强异构安全能力联动水平,打造动态安全防御体系。鼓励打造智慧城市安全大脑,建设网络安全“智能云”,搭建全景安全知识库、网络安全监测分析引擎及大数据中心,以全局视角提升网络安全感知、分析、响应、决策等能力。打造网络安全“靶场云”,建设数字孪生靶场,为城市安全能力验证等提供支撑。构建网络安全“服务云”,聚集智慧城市安全规划、建设、运营等服务资源,保障城市安全有序运行。 スマートシティのセキュリティ:スマートシティ政府、交通、エネルギー、製造、教育、医療などのビジネスシナリオに適応し、「a brain, three cloud」サイバーセキュリティ防御能力クラスターを構築し、異種のセキュリティ能力の連携レベルを強化し、ダイナミックなセキュリティ防御システムを構築する。 スマートシティ・セキュリティ・ブレインの構築を奨励し、サイバーセキュリティ「インテリジェント・クラウド」を構築し、パノラマ・セキュリティ知識ベース、サイバーセキュリティ監視・分析エンジン、ビッグ・データ・センターを構築し、グローバルな視点でサイバーセキュリティの認識、分析、対応、意思決定能力を向上させること。 サイバーセキュリティ「レンジクラウド」の構築、デジタルツインレンジの構築、アーバンセキュリティ能力検証の支援など。 サイバーセキュリティの「サービス・クラウド」を構築し、スマートシティのセキュリティ計画、建設、運用のためのサービス・リソースを集め、都市の安全で秩序ある運営を確保する。
(三)产融合作深化行动 (三)産業の融合を深める行動
11.加大产业基金投入力度。引导国家制造业转型升级基金等政府引导基金向网络安全新技术、新模式以及融合创新领域倾斜,适时推动设立国家级网络安全产业引导基金,加速新产品和服务在市场中成熟落地。鼓励地方政府将网络安全产业纳入政府引导基金投资范畴,支持本地区网络安全企业发展。 11.産業ファンドへの投資拡大:国家製造業変革・向上基金などの政府誘導基金をサイバーセキュリティ分野の新技術、新モデル、融合・革新に誘導し、適宜、国家サイバーセキュリティ産業誘導基金の設立を推進し、市場での新製品・新サービスの成熟を促進する。 地方政府に対し、サイバーセキュリティ産業を政府の指導資金の投資範囲に含めることを奨励し、地域のサイバーセキュリティ企業の発展を支援する。
12.引导资本精准支持企业发展。鼓励各类资本建立科创基金,围绕产业科技创新和核心技术攻关,探索“科技捐赠”和知识产权、期权融资模式,引导资本市场投早投小,助力成长型企业强化技术优势,深耕细分市场,做专做精。鼓励基础较强的网络安全企业上市,支持领航企业通过战略投资方式整合资源,做大做强,提升网络安全生态引领能力。 12.企業の発展を的確に支援するための資本誘導:あらゆる資本に科学革新基金の設立を奨励し、産業科学技術の革新とコア技術の研究に重点を置き、「技術寄贈」と知的財産権、オプションの融資モードを模索し、資本市場に早期かつ小規模な投資を誘導し、成長企業が技術的優位性を強化することを支援し、市場セグメントを深く掘り下げ、専門化と精密化を行う。 強力な基盤を持つサイバーセキュリティ企業の上場を奨励し、有力企業が戦略的投資によって資源を統合し、より大きく、より強く成長することを支援し、サイバーセキュリティ・エコロジーの主導的能力を高める。
13.强化产融合作机制建设。鼓励产融合作试点城市加大投入,深化网络安全产融合作。健全产融动态监测体系,定期开展网络安全领域风险投资、股权投资、企业并购、上市公司运营等动态监测,促进产融精准对接。推动建立符合网络安全产业特征、针对企业不同发展阶段的评价体系,支持开展高成长企业、高价值项目评估,协同做好信息共享和信用评价成果转换。 13.産業界の統合的な協力体制の構築強化: パイロット都市がサイバーセキュリティ産業の統合に向けて投資を増やし、協力を深めることを奨励する。 生産と資金調達の動態監視システムを改善し、定期的にベンチャー投資、株式投資、企業のM&A、サイバーセキュリティ分野の上場企業の運営などの動態監視を行い、生産と資金調達の正確なドッキングを促進する。 サイバーセキュリティ産業の特性や企業の異なる発展段階を対象とした評価システムの構築を推進し、高成長企業や高価値プロジェクトの評価を支援するとともに、信用評価結果の情報共有や変換に協力する。
专栏3  网络安全产业资本赋能工程 コラム3 サイバーセキュリティ産業資本増強プロジェクト
健全网络安全产融合作机制。充分发挥工业和信息化部国家产融合作平台作用,加强财税金融政策、融资需求、金融产品服务等信息交流共享,促进网络安全产融精准对接。 健全なサイバーセキュリティ産業を融合するための機構:工業情報化省の全国産業融合協力プラットフォームの役割を十分に発揮し、財政・金融政策、資金調達ニーズ、金融商品・サービスに関する情報の交換・共有を強化し、サイバーセキュリティのための産業と金融の的確なドッキングを促進する。
积极开展安全产融服务。成立“网络安全产业资本创新论坛”,积极开展上市辅导、企业路演、项目推介、融资培训等多层次产融对接活动和咨询服务,切实发挥充分应用金融资本对产业发展的助推升级作用。 積極的で安全な金融サービス:「サイバーセキュリティ産業資本革新フォーラム」を設立し、積極的に上場相談、企業ロードショー、プロジェクト推進、資金調達トレーニングなどのマルチレベルの産業資金ドッキング活動やコンサルティングサービスを実施し、金融資本を十分に活用して産業の発展を後押しし、アップグレードする役割を効果的に果たす。
探索开展网络安全保险。面向电信和互联网、工业互联网、车联网等领域,开展网络安全保险服务试点。加快网络安全保险政策引导和标准制定,通过网络安全保险服务监控风险敞口,鼓励企业构建并完善自身网络安全风险管理体系,强化网络安全风险应对能力。 サイバーセキュリティ保険の開発: 通信・インターネット、産業用インターネット、車両ネットワークなどを対象としたサイバーセキュリティ保険サービスを試験的に提供する。 サイバーセキュリティ保険の政策指導と基準策定を加速し、サイバーセキュリティ保険サービスによるリスクエクスポージャーを監視し、企業が自らのサイバーセキュリティリスク管理システムを構築・改善することを奨励し、サイバーセキュリティリスク対応能力を強化する。
探索开展网络安全企业价值评估。针对企业不同阶段及网络安全细分赛道,鼓励产业界和资本界联合建立价值评估模型和细化指标,探索开展高成长性企业清单、高价值项目目录发布工作。 サイバーセキュリティの企業価値評価の検討:さまざまな段階の企業とサイバーセキュリティの区分けトラックについて、産業界と資本部門が共同で価値評価モデルを確立し、指標を改良することを奨励し、高成長企業のリストと高価値プロジェクトのディレクトリの発行を検討する。
(四)人才队伍建设行动 (四)人材育成に関する行動
14.发挥领军人才带动作用。培育一批在理论研究、技术创新、成果转化、应用实战等方面能力突出的领军人才。鼓励企业、高校、科研机构等通过成立工作室、提供科研经费、股权激励、人才交流等多种方式,健全领军人才激励机制。鼓励高校、科研机构、企业等通过国际合作等多种途径,吸引全球高水平人才及创新团队。 14.人材をリードして推進する役割を果たす:理論研究、技術革新、成果の転換、実運用に優れた能力を持つ優秀な人材を育成する。 企業、大学、科学研究機関などに対し、ワークショップの設置、研究費の提供、株式奨励金、人材交換などの手段により、優秀な人材のインセンティブメカニズムを改善するよう奨励する。 大学、研究機関、企業が国際協力などを通じて、グローバルなハイレベル人材やイノベーションチームを誘致することを奨励する。
15.深化产教融合协同育人。鼓励高等院校加强网络安全学科专业建设。推进网络安全校企合作,支持鼓励高等院校、研究机构与企业共建网络安全实训基地、联合实验室等,打造“双师型”师资队伍,增强网络安全人才实践能力。发挥行业特色高校、职业院校作用,发展更多网络安全技能型、服务型人才。积极开展网络安全教育培训活动,鼓励举办多层次、多元化网络安全能力竞赛,培育高素质网络安全人才。 15.産業界と教育界の融合を深め、協働教育を実現する:高等教育機関に対し、サイバーセキュリティ分野の構築を強化することを奨励する。 学校と企業のサイバーセキュリティの協力を促進し、大学、研究機関、企業が共同でサイバーセキュリティの訓練基地や共同研究室を構築することを支援・奨励し、「ダブルティーチャー」の教師チームを作り、サイバーセキュリティ人材の実践能力を高める。 産業別の大学や専門学校の役割を果たし、より多くのサイバーセキュリティに精通したサービス志向の人材を育成する。 サイバーセキュリティの教育・訓練活動を積極的に行い、多層で多様なサイバーセキュリティ競技会の開催を奨励し、質の高いサイバーセキュリティの人材を育成する。
16.推动开展网络安全人才能力评价。实施工业通信业职业技能提升行动,通过计算机技术与软件专业技术资格(水平)考试、全国工业互联网安全技术技能大赛等方式,培养选拔网络安全专业人才。面向装备制造、原材料、消费品、电子信息等重点行业,构建“X+安全”人才评价体系,建立健全网络安全人才选拔评价机制。 16.サイバーセキュリティ人材のコンピテンシー評価の開発の推進:実装は、コンピュータ技術とソフトウェアの専門家の技術的資格(レベル)試験を通じて、産業用通信業界の職業技能のアップグレードアクションは、全国の産業用インターネットセキュリティ技術のスキル競争、等、トレーニングやサイバーセキュリティの専門家を選択する。 機器製造、原材料、消費財、電子情報などの基幹産業では、"X + セキュリティ "人材評価システムの構築、健全なサイバーセキュリティ人材の選択と評価メカニズムの確立が必要である。
(五)产业生态优化行动 (五)産業エコシステム最適化の行動
17.引导网络安全产业集聚。打造“多点支撑、辐射全国、优势互补、协同发展”的网络安全产业园区布局,积极推进北京、湖南长沙国家网络安全产业园区建设,发挥成渝、长三角、珠三角等产业基础优势,加快国家网络安全产业园区布局。积极建设一批具有带动性、引领性的网络安全创新应用先进示范区。 17.サイバーセキュリティ産業の集積化の主導:サイバーセキュリティ産業パークの "複数拠点サポート、全国への広がり、補完的関係、共同開発 “の全体像を作成し、積極的に北京、長沙、湖南省の国家サイバーセキュリティ産業パークの建設を促進し、成都、重慶、長江デルタ、珠江デルタなどの産業基地の利点を再生、国家サイバーセキュリティ産業パークのレイアウトを加速する。 サイバーセキュリティの革新と応用を推進し、リードする多数の先進的なデモンストレーションゾーンを積極的に構築する。
18.推进创新联合体建设。鼓励基础电信运营商、行业用户、科研机构、高等院校、安全企业等建立网络安全联合创新中心、联合实验室等,强化基础网络安全理论研究,促进研究成果应用转化,提升网络安全领域关键核心技术创新能力。充分发挥网络安全相关行业企业联盟、协会作用,通过技术攻关、项目合作、人才培养、园区建设等多种形式,促进创新要素流动,整合技术优势和资源优势,激发创新活力。 18.イノベーションコンソーシアムの構築:基本的な通信事業者、業界ユーザー、科学研究機関、大学、セキュリティ企業が、サイバーセキュリティのための共同イノベーションセンターや共同研究所を設立し、サイバーセキュリティの基礎理論研究を強化し、研究成果の応用や変換を促進し、サイバーセキュリティ分野の主要なコア技術の革新能力を高めることを奨励する。 サイバーセキュリティ関連産業の企業の連合体や団体の役割を十分に発揮し、技術研究、プロジェクト協力、人材育成、パーク建設などを通じてイノベーション要因の流れを促進し、技術的優位性と資源的優位性を統合し、イノベーションの活力を喚起する。
19.培育公平竞争的市场环境。支持开展网络安全产品服务能力评价、网络安全工程建设与系统运行维护质量评价,和面向新技术新业务的安全评估。综合企业产品服务质量、漏洞贡献、威胁信息共享情况、恶意竞争等因素,加强企业信用体系建设,逐步建立企业“红黑榜”,不断提升市场透明度,引导形成以产品服务能力为导向的良性市场竞争环境。 19.公正な競争市場環境の醸成:サイバーセキュリティ製品・サービスの能力評価、サイバーセキュリティエンジニアリング構築やシステム運用・保守の品質評価、新技術・新事業のセキュリティ評価などを支援する。 企業信用システムの構築を強化し、企業の「レッドリスト」と「ブラックリスト」を徐々に確立し、市場の透明性を継続的に向上させ、製品やサービスの品質、脆弱性の貢献、脅威の情報共有、悪意のある競争などの要素を統合して、製品やサービスの能力を重視した良性の市場競争環境の形成を誘導する。
专栏4  网络安全产业生态培育工程 コラム4 サイバーセキュリティ産業エコシステム育成プロジェクト
建立网络安全产品和服务能力评价制度。聚焦网络安全产业链上下游关键环节技术产品,绘制网络安全产业链图谱,持续开展网络安全产业重大风险研判。综合网络安全产品关键功能性能、能力成熟度、应用效果,以及网络安全服务水平等因素,分别制定网络安全产品和服务能力评价规范,公开发布评价结果。 サイバーセキュリティ製品・サービスの能力を評価するシステムの確立: サイバーセキュリティ産業チェーンの主要な川上および川下の技術製品に焦点を当て、サイバーセキュリティ産業チェーンの地図を描き、サイバーセキュリティ産業の主要なリスクの調査と判断を継続的に実施する。 包括的なサイバーセキュリティ製品の主要機能のパフォーマンス、能力の成熟度、アプリケーションの効果だけでなく、サイバーセキュリティのサービスレベルと他の要因は、それぞれ、サイバーセキュリティ製品やサービスの能力評価仕様を開発し、評価結果を公開する。
完善网络安全威胁信息共享服务体系和机制。建立驱动漏洞、恶意程序、恶意地址、攻击行为等威胁信息挖掘、披露、流转和利用的规则机制,鼓励网络安全企业、行业用户、科研机构、高校积极参与信息共享,提升威胁信息要素聚集水平与服务能力。 サイバーセキュリティ脅威情報共有サービスのシステムとメカニズムの改善:ドライバーの脆弱性、悪意のあるプログラム、悪意のあるアドレス、攻撃行動などの脅威情報の発見、公開、流通、利用のためのルール・メカニズムを確立し、サイバーセキュリティ企業、業界ユーザー、研究機関、大学が積極的に情報共有に参加することを奨励し、脅威情報の要素収集とサービス能力のレベルを向上させる。
强化先进技术应用示范推广。面向5G、车联网、工业互联网、物联网等重点方向,开展优秀安全产品及解决方案遴选,通过交流论坛、举办比赛、供需对接等方式,促进试点示范项目在各重点行业领域应用推广,持续激发创新活力,促进成果转化。 先端技術の応用に関するデモンストレーションとプロモーションの強化:5G、テレマティクス、インダストリアル・インターネット、モノのインターネットなどの重要な方向性に直面し、優れたセキュリティ製品やソリューションの選定を実施し、交流フォーラム、コンペ、需給マッチングなどを通じて、様々な主要産業分野での試験的な実証プロジェクトの適用と推進を促進し、イノベーションの活力を継続的に刺激し、成果の転換を促進する。
培育网络安全优质企业标杆。鼓励企业加大研发投入,强化知识产权保护和技术创新。鼓励综合实力强,在国内外技术、标准、市场等方面具有较强影响力的企业进一步整合产业链、供应链和创新链,成为产业链领航企业。针对网络安全产品细分市场优秀企业,通过政策指导、项目倾斜、人才培育等方式,强化对技术研发、产品推广、供需对接等的支持,加快培育网络安全单项冠军企业和专精特新“小巨人”企业。 サイバーセキュリティの分野で、質の高いベンチマーク企業の育成:企業が研究開発への投資を増やし、知的財産権保護と技術革新を強化することを奨励する。 強力な総合力を持ち、国内外の技術、規格、市場に強い影響力を持つ企業が、インダストリーチェーン、サプライチェーン、イノベーションチェーンをさらに統合し、インダストリーチェーンのナビゲーターになることを奨励する。 サイバーセキュリティ製品の市場分野で優れた企業に対しては、技術の研究開発、製品の普及、政策指導による需要と供給のマッチング、プロジェクトの傾斜、人材育成などの支援を強化し、サイバーセキュリティのシングルチャンピオン企業や専門的・特殊な新「小さな巨人」企業の育成を加速させる。
三、保障措施 三.保証措置
(一)加强组织领导。各地工业和信息化主管部门、通信管理局要加强组织领导,强化部门协同,积极推动将网络安全产业纳入地方“十四五”总体规划及有关专项规划重要内容。加强对不同行业、不同领域、不同主体网络安全建设的分类指导,推动网络安全产业发展差异化布局,建立健全网络安全保障体系,营造有利于网络安全产业发展的良好环境。 (一)組織のリーダーシップの強化:工業・情報技術・通信管理局の主管部門は、組織的なリーダーシップを強化し、部門間の連携を強化し、サイバーセキュリティ産業を地域の「第14次5ヵ年計画」全体計画と関連する特別計画の重要な内容に組み込むことを積極的に推進すべきである。 異なる産業、異なる分野、異なるテーマのサイバーセキュリティの建設指導の分類を強化し、サイバーセキュリティ産業の開発を促進する差別化されたレイアウト、確立し、サイバーセキュリティの保護システムを改善し、サイバーセキュリティ産業の発展を助長する良い環境を作成する。
(二)强化政策引导。充分利用网络安全技术应用试点示范、首台(套)、专项项目等现有政策,推动地方结合本地实际情况,针对不同发展阶段的网络安全企业,在财政金融、人才培育、产业集聚等方面研究制定有针对性的支持政策,强化政企协同和部省联动,形成工作合力,推动网络安全产业与地方数字经济发展紧密融合。鼓励地方在财政投资的信息化项目中同步配套建设网络安全技术措施,在项目验收阶段加强对网络安全方面的评审。鼓励重点行业企业加大网络安全投入,单独列支网络安全预算,推动网络安全技术、产品和服务部署应用。 (二)ポリシーガイダンスの強化:サイバーセキュリティ技術のアプリケーションのパイロットデモを最大限に活用し、最初の(セット)、特別なプロジェクトやその他の既存の政策は、サイバーセキュリティ企業の開発のさまざまな段階のために、実際の地域の状況と組み合わせてローカルを促進する、金融、財政、人材育成、産業クラスターや研究開発の他の側面を対象としたサポートポリシーは、政府と企業の相乗効果と省庁間の連携を強化し、相乗効果の形成、およびサイバーセキュリティ産業と地域のデジタル経済の発展を促進するために 緊密に連携する。 情報技術プロジェクトへの財政投資において、サイバーセキュリティの技術的対策の構築を同期させ、プロジェクトの受け入れ段階でサイバーセキュリティ面の評価を強化するよう地方自治体に奨励する。 主要産業の企業がサイバーセキュリティへの投資を増やし、別途サイバーセキュリティのための予算を確保し、サイバーセキュリティ技術、製品、サービスの展開と応用を促進することを奨励する。
(三)增强产业协同。成立工业和信息化部网络安全产业高质量发展专家咨询委员会,对重大问题和政策实施情况提出咨询建议。充分发挥产学研用资各方力量,强化供需对接,协同推进标准制定、人才培养和成果转化,加强行业自律,营造健康有序、良性发展的产业生态。 (三)産業上の相乗効果の強化:工業情報化省は、サイバーセキュリティ産業の高品質な発展に関する専門家諮問委員会を設置し、主要な課題や政策の実施について諮問的な提言を行っています。 産・学・研・資の力を最大限に発揮し、需要と供給のドッキングを強化し、協力して基準の策定、人材育成、成果の転換を推進し、業界の自己規律を強化し、産業生態の健全で秩序ある良性の発展を実現する。
(四)推进国际合作。充分利用双多边机制,积极参与网络安全国际规则和重点领域安全国际标准制定,加强网络安全政策、法规、产业交流合作。支持企业设立海外研发中心、联合实验室,支持各类网络安全会议论坛、展示展览等交流活动,着力构建多层次、常态化产业合作交流机制。 (四)国際協力の推進:二国間および多国間のメカニズムを最大限に活用し、サイバーセキュリティに関する国際ルールやセキュリティの主要分野における国際基準の策定に積極的に参加し、サイバーセキュリティに関する政策や規制、産業界の交流・協力を強化する。 企業が海外の研究開発センターや共同研究所を設立することを支援し、サイバーセキュリティに関する各種会議やフォーラム、展示会などの交流活動を支援し、マルチレベルで正常化された産業協力・交流メカニズムの構築に努める。

 

1_20210705085401

 

| | Comments (0)

日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

こんにちは、丸山満彦です。

最近、サイバーセキュリティや情報セキュリティから離れた安全保障系のトピックスが多くなっているのですが、私がどのような主張をしたいかということよりも、どのような発表や発言がされているかということは、いわゆるサイバー攻撃に間接的には影響するだろうと思い、記載している感じです。ものによって、その影響の程度は幅があると思いますが、、、

で、昨日は防衛白書が発表されたので、防衛白書の紹介したのですが、今回は防衛白書が、初めて台湾周辺情勢の安定の重要性を触れたことについての中国政府の見解です。。。

ちなみに防衛白書で「台湾」という単語は225回登場します。「サイバー」は630回です。。。どうでもよいかもしれませんが。。。

・[PDF] 防衛白書(2021)


台湾 ... P.51

  • 台湾について、中国は中国軍機による台湾南西空域への進入など台湾周辺での軍事活動を一層活発化。一方、米国は米艦艇による台湾海峡通過や台湾への武器売却など、軍事面において台湾を支援する姿勢を鮮明に。台湾情勢の安定は、わが国の安全保障や国際社会の安定にとって重要。一層緊張感を持って注視していくことが必要

  • 中台の軍事バランスは全体として中国側に有利な方向に変化し、その差は年々拡大する傾向。今後の中台の軍事力の強化や、米国による台湾への武器売却、台湾による主力装備の自主開発などの動向に注目

中国外交部は防衛白書を詳細に分析して回答しているというよりも、台湾問題の質問に対する過去からの回答に則った回答なのだろうと思います。。。

 

国務院 外交部

・2021.07.13 外交部发言人赵立坚主持例行记者会外務省報道官趙立堅の定期記者会見

《南华早报》记者:日本今日发布《防卫白皮书》,其中首次提到台湾周边局势稳定的重要性。中方对此有何回应? サウスチャイナ・モーニング・ポスト紙記者:日本は本日、防衛白書を発表し、その中で初めて台湾周辺情勢の安定の重要性に言及しました。 これに対する中国の反応は?
赵立坚:这段时间,日方接二连三拿中国说事,粗暴干涉中国内政,无理指责中方正常的国防建设和军事活动,对中方正当的海洋活动说三道四,渲染所谓“中国威胁”,这是极其错误和不负责任的。中方对此强烈不满和坚决反对。 趙麗健:この間、日本側は中国に関する発言を繰り返し、中国の内政に激しく干渉し、中国の正常な国防活動と軍事活動を不当に非難し、中国の合法的な海洋活動について発言し、いわゆる「中国の脅威」を誇張してきたが、これは極めて間違っており、無責任です。 中国はこれに強い不満を持ち、断固として反対します。
我必须强调,台湾是中国领土,台湾问题纯属中国内政,中方绝不容许任何国家以任何方式插手台湾问题。中国必须统一,也必然统一,中国实现完全统一最有利于地区和平稳定。 強調しておきたいことは、台湾は中国の領土であり、台湾問題は純粋に中国の内政問題であり、中国はいかなる国も台湾問題に干渉することを決して許さないということです。 中国は再統一されなければならないし、再統一されるに決まっています。中国が完全な再統一を達成することは、地域の平和と安定のために最善の利益となります。
钓鱼岛及其附属岛屿是中国领土不可分割的一部分。中方在钓鱼岛海域开展巡航执法活动,是行使本国固有权力,正当合法。《海警法》是一项例行的国内立法,不针对特定国家,完全符合国际法和国际实践。实际上,包括日本在内很多国家早就制定实施了类似法律。日方的“谎言外交”和双重标准可以休矣! 釣魚諸島は、中国の領土の不可分の一部です。 釣魚島海域における中国の哨戒活動および法執行活動は、中国固有の力の行使であり、合法的かつ適法なものです。 海洋警察法は、特定の国を対象としたものではなく、国際的な法律や慣行に完全に沿った日常的な国内法です。 実際、日本を含む多くの国では、すでに同様の法律が制定・施行されています。 日本側の「嘘の外交」や「ダブルスタンダード」はもう終わりにしましょう。
“印太战略”旨在推行集团对抗,是要打造地缘争夺的“小圈子”,是冷战思维的复辟和历史的倒退,应该被扫进垃圾堆。日方把太平洋的“自由开放”调门唱得老高,能不能先解决自身试图在太平洋搞核污染水“自由排放”的问题呢? 「インド太平洋戦略」は、集団的な対立を促進し、地政学的競合関係の「小さな輪」を作ることを目的としていますが、これは冷戦時代のメンタリティの復活であり、歴史の逆行であり、ゴミ山に掃き捨てられるべきものです。 日本側は太平洋での「フリー&オープン」を歌っていますが、まず太平洋で核汚染水を「自由に排出」しようとしている自分たちの問題を解決できるでしょうか。
我们再次敦促日方端正心态,体现出对中国主权的尊重以及对维护地区和平稳定的诚意。 日本側が、中国の主権を尊重し、地域の平和と安定を維持するための誠意を示すために、もう一度、心を正すことを強く求めます。

 

ここで、福島の汚染水問題がでてきているのは、これより前に、この件についての質問があったからだと思われます。

深圳卫视记者:日本广播协会8日报道称,东京电力公司近日对福岛第一核电站核废弃物存放区域进行调查时,发现其中2个容器的容器盖松动出现缝隙,其内部积水的放射性物质浓度高达每公升7.9万贝克勒尔,存放区周边也遭到不同程度污染。这也是自3月以来,福岛核电站内核废弃物容器第三次发生泄漏。中方对此有何评论? 深圳テレビ記者:日本放送協会は8日、東京電力が最近、福島第一原子力発電所の核廃棄物貯蔵庫を調査したところ、2つの容器のゆるい蓋に隙間があり、中の水の放射性物質の濃度が1リットル当たり7万9千ベクレルと高く、貯蔵庫周辺も程度の差はあれ、汚染されていることが分かったと報じました。 また、福島原子力発電所の炉心廃棄物容器の漏えいは、3月以降3回目となります。 これに対する中国のコメントはありますか?
赵立坚:中国有句俗话,事不过三。仅今年3月以来,福岛核电站被曝光的核废弃物容器泄漏事件就已达三次。我们不敢想象,未被发现或仍被隐瞒的泄漏事件又有多少。 趙麗健:中国には「何事も3回以上は起こらない」という言葉があります。 今年の3月以降だけでも、福島原子力発電所の核廃棄物容器の漏えい事故が3件も明るみに出ています。 この他にも、どれだけのリークが発見されていないか、あるいはまだ隠されているか想像もつきません。
今年4月,日方单方面错误决定向海洋排放核污染水。在其后长达3个月时间里,日方对国内外质疑和关切之声置若罔闻,将国际责任和义务抛诸脑后,频频歪曲事实,狡辩塞责。不仅如此,日方还任由福岛核电站核废弃物泄漏事故一再发生。这让人如何不担忧、不关切?日方这种将自身经济利益置于全人类共同利益之上的做法,挑战的是人类良知的底线,危害的是国际社会的公共利益和世界人民的健康安全。日方应早日重新审视错误决定,给国际社会一个负责任的交代。 今年の4月、日本側は一方的に誤った判断で核汚染水を海に流しました。 その後の3ヶ月間、日本側は国内外の質問や懸念に耳を貸さず、国際的な責任や義務を置き去りにして、事実を歪曲したり詭弁を弄することが多くありました。 しかも、日本側は福島原発からの核廃棄物の流出を何度も許しています。 このことを心配し、気にかけないわけにはいきません。 人類共通の利益よりも自国の経済的利益を優先させる日本側のやり方は、人間の良心の底辺に挑戦し、国際社会の公共の利益と世界の人々の健康と安全を危うくするものです。 日本側は早い時期に誤った判断を見直し、国際社会に責任ある説明をすべきです。
经中国、韩国、俄罗斯等利益攸关方多次呼吁,国际原子能机构已经决定建立日本福岛核事故污染水处置问题技术工作组,中、韩、俄等国专家将参加。日方应切实拿出诚意,全面配合工作组的工作,本着对国际公共利益高度负责的态度,以公开、透明、科学的方式审慎处理有关问题。 国際原子力機関(IAEA)は、中国、韓国、ロシアなどのステークホルダーからの再三の訴えを受け、日本の福島原発事故による汚染水の処理について、中国、韓国、ロシアの専門家が参加する技術作業部会の設置を決定しました。 日本側は、その誠意を効果的に示し、作業部会の作業に全面的に協力し、関連する問題をオープンで透明性のある科学的な方法で、国際的な公共の利益のために高い責任をもって処理すべきです。

1_20210705085401

内政がうまくいっていない時は、国民の不満をそらすために、対外的に国民を鼓舞するような発言がでがちになるという話もあるようですが、近隣国にそのように取られないように、感情的ではなく、周到な準備の上での発言が求められるのでしょうね。。。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.13 防衛白書(2021年)

| | Comments (0)

2021.07.13

防衛白書(2021年)

こんにちは、丸山満彦です。

防衛省が令和3年、2021年の防衛白書を公表しましたね。。。

特集3として、「宇宙・サイバー・電磁波領域における挑戦」があり、サイバー領域の重要性が強調されていますね。。。


● 防衛省

・防衛白書

PDF版

PDF一括【100MB】

20210713-170631

 


サイバー領域の重要性

情報通信ネットワークは、様々な領域における自衛隊の活動の基盤であり、これに対する攻撃は、自衛隊の組織的な活動に重大な障害を生じさせます。サイバー攻撃は相手の活動を低コストで阻害可能な非対称的な攻撃手法として認識されており、各国の軍隊はネットワークやシステムに侵入してマルウェアを埋め込むなどして、指揮統制や通信機能を無力化する能力の獲得を図っていると指摘されています。また、サイバー攻撃により、情報の窃取や重要インフラ等の脆弱性が高まる可能性も懸念されています。サイバー領域の安定的な利用は自衛隊の活動、ひいては国家・国民の安全に不可欠なものです。

...

サイバー領域における能力

・サイバーに関する最新のリスク、 対応策及び技術動向の把握

サイバーセキュリティにかかる最新のリスク、対応策、技術動向を常 に把握しておくため、民間企業や米国をはじめとする諸外国と効果的 に連携しています 。

・サイバー人材の確保・育成

部内におけるサイバー教育の強化とともに、サイバーセキュリティに 関する専門的知見を備えた優秀な人材を発掘することを目的にした サイバーコンテストの開催や、高度な知見を有するサイバーセキュリ ティ統括アドバイザーの採用に向けた取組など部外の人材の活用も 進めています。


 

この他、節レベルでサイバーの文字があらわれているのが、次の箇所です。(全体を見ずにここだけ見ると偏った見方になるので、全体感は把握して上で読むのがよいのでしょうね。。。)

第I部 わが国を取り巻く安全保障環境
第3章  宇宙・サイバー・電磁波といった新たな領域をめぐる動向・国際社会の課題
第3節 サイバー領域をめぐる動向

第III部 わが国防衛の三つの柱(防衛の目標を達成するための手段)
第1章 わが国自身の防衛体制
第3節 宇宙・サイバー・電磁波の領域での対応

第3章 安全保障協力
第3節 宇宙領域及びサイバー領域の利用にかかる協力

 

 

 

| | Comments (0)

NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティセンターが、「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(2020年度年次報告・2021年度年次計画)(案)」に関する意見募集をおこなっていますね。。。

20210713-30100

 

● NISC

・2021.07.12 次期サイバーセキュリティ戦略(案)」等に関する意見の募集について

[PDF] 「次期サイバーセキュリティ戦略(案)」 
[PDF] サイバーセキュリティ2021(2020年度年次報告・2021年度年次計画)(案) 

参考(意見募集外)

[PDF] 「次期サイバーセキュリティ戦略(案)」の概要
[PDF] 「サイバーセキュリティ2021(2020年度年次報告・2021年度年次計画)(案)」の概要

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.01 内閣官房 NISC 第25回 重要インフラ専門調査会

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

 

 

 

 

| | Comments (0)

RuNetの再評価:ロシアのインターネット孤立化とロシアのサイバー行動への影響

こんにちは、丸山満彦です。

Atlantic Councilから、ロシア国内の隔離されたインターネットRuNetについての記事が公表されていますね。。。

Atrantic Council

・2021.07.21 Reassessing RuNet: Russian internet isolation and implications for Russian cyber behavior

・[PDF

20210713-12604

 

Executive summary 要旨
The Russian government has long exerted control over the internet in Russia, but it has more aggressively pushed in recent years to technically isolate the internet within Russia from the rest of the world. It remains to be seen how successful the government will be in achieving this objective—due to a combination of political and especially technical factors—but the pursuit of a domestic internet may shift the layout of internet infrastructure in Russia and the state’s control over it. This issue brief examines recent “RuNet” developments and explores how they could elevate national security risks for the United States and Europe by changing the internet landscape in Russia and potentially shifting Russian cyber behavior. In the process, it also analyzes the relationship between Russian President Vladimir Putin, the Kremlin, and Russian cyber strategy; the Russian government’s notion of “information security”; and how the Russian model of internet control differs from the oft-cited Chinese model. ロシア政府は、長年にわたりロシア国内のインターネットを統制してきましたが、近年では、ロシア国内のインターネットを技術的に世界から隔離することを積極的に推進しています。ロシア政府がこの目的を達成できるかどうかは、政治的な要因と特に技術的な要因が組み合わさっているため、まだわかりませんが、ロシア国内のインターネットを追求することで、ロシア国内のインターネットインフラの配置と、それに対する国家のコントロールが変化する可能性があります。本報告書では、最近の「RuNet」の動向を検証し、ロシアのインターネット環境を変化させ、ロシアのサイバー行動を変化させることによって、米国と欧州の国家安全保障上のリスクをどのように高めることができるかを検討しています。その過程で、ロシアのプーチン大統領、クレムリン、ロシアのサイバー戦略との関係、ロシア政府の「情報セキュリティ」の概念、ロシアのインターネット制御モデルが、よく言われる中国のモデルとどう違うのか、などについても分析しています。
It concludes with five main points that the United States and Europe should take away:
1) the state’s political willingness to push internet isolation costs on companies and citizens is an open question;
2) Kremlin perceptions of information onslaught from the West drive top-level attention to internet isolation;
3) RuNet isolation could increase Kremlin perceptions of insulation from foreign cyber threats—resulting in more assertive cyber operations abroad;
4) it could also prompt the Kremlin to selectively provide increased support to non-state cyber proxies; and
5) the Kremlin’s pursuits may undermine the cybersecurity of Russian cyberspace itself.
最後に、アメリカとヨーロッパが取るべき5つのポイントを紹介しています。
1)インターネットの分離コストを企業や市民に押し付けることに対する国家の政治的意思は未解決である。
2)西側からの情報攻勢に対するクレムリンの認識が、トップレベルでのインターネット分離への注目を促している。
3) インターネットの孤立は、外国のサイバー脅威からの隔離というクレムリンの認識を高め、その結果、海外でのより積極的なサイバー活動につながる可能性がある。
4)それはまた、クレムリンが非国家のサイバー・プロキシへの支援を選択的に強化することを促す可能性がある。
5)クレムリンの追求は、ロシアのサイバースペース自体のサイバーセキュリティを損なう可能性がある。

 


 

ロシアのインターネットの分離の話...

まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

| | Comments (0)

従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

こんにちは、丸山満彦です。

サイバースペース・ソラリウム委員会の事務局長のマーク・モンゴメリー氏米国国防大学に「従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性」という記事を寄稿していますね。。。

● National Defence University

・2021.07.01 Cyber Threats and Vulnerabilities to Conventional and Strategic Deterrence

・[PDF]

20210712-222402

 

サイバー戦略と紛争分野の学者や実務家は、米国にとって次の2つの重要な戦略課題に注目しているとしています。

  1. 重大な結果をもたらすサイバー攻撃に対する現在の抑止力を維持・強化すること
  2. 武力攻撃のレベルには至らないものの、敵対勢力の作戦の一部として累積的な戦略的意味合いを持つ悪意ある行動の流れを変えること

そして、

  • 国防総省の戦略コンセプト "Defend Forward "
  • 米国サイバーコマンドのコンセプトである "Persistent Engagement "

は、主にこの後者の課題に向けたものと説明していますね。。。

米国は、武力紛争の閾値を超えるような戦略的サイバー攻撃を表向きには抑止してきましたが、その閾値以下の敵対者に対しては、敵対者の行動を望ましい方向に導くような十分なコストを生じさせることができていないと指摘しています。

悪意のある攻撃にさらされているということは、武力行使の閾値以下の戦略的サイバーキャンペーンを抑止することに失敗しているからということですね。。。

攻撃者は、このようなキャンペーンを行うことによるコストやリスクが利益を上回ると認識していないため、このようなキャンペーンを思いとどませることができなかった。その結果、敵対者は、米国の脆弱性とサイバースペースにおける大きな攻撃面を利用して、国家安全保障上の重要な知的財産を含む知的財産権の窃盗を大規模に行い、米国の民主的制度を弱体化させる情報操作を支援するためにサイバースペースを利用し、米国の経済、国家安全保障、生活様式を支える重要なインフラを危険にさらそうとする、組織的かつ広範な取り組みを行っていると指摘していますね。。。

抑止力を効かせるだけの十分な優位性を確保するというのが重要なのでしょうかね。。。

興味深い内容です。。。

 

Continue reading "従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長"

| | Comments (0)

2021.07.12

NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

こんにちは、丸山満彦です。

高橋弁護士のITリサーチアートのほうのブログ記事で紹介していたので知りましたが、NATO関連機関(NATO Strategic Communications Centre of Excelence)がサイバー空間におけるロシアの戦略を分析していますね。。。

参考文献が非常に分厚くて参考になりそうです。。。

NATO Strategic Communications Centre of Excelence

・2021.06.11 Russia's Strategy in Cyberspace

・[PDF

20210712-114341

 

Introduction はじめに
Russia’s “information confrontation” ロシアの 「情報対立」
Russian conceptions of ‘cyber’ ロシアにおける「サイバー」の概念
Protecting ‘information’: cognitive and technical 「情報」の保護:認知的なものと技術的なもの
National security interests and strategic objectives 国家安全保障上の利益と戦略的目標
Russia’s threat perception ロシアの脅威認識
Strategic deterrence 戦略的抑止力
Securing the information space - ‘digital sovereignty’ 情報空間の確保-「デジタル主権」について
State actors and proxies 国家アクターとプロキシ
Activities in cyberspace サイバースペースでの活動
Implications and objectives 意味合いと目的
Conclusion and recommendations 結論と提言
Endnotes 参考文献

 


 

内容の分析をしています。。。

IT Research - Blog

・2021.07.11 「敵を知り」-究極のデジタル主権-ロシアのサイバー戦略

 

他国のサイバーセキュリティ戦略等も並べて載せています。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

 

参考文献↓↓↓

 

Continue reading "NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11"

| | Comments (0)

ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

こんにちは、丸山満彦です。

ニューヨーク市のいわゆる生体情報プライバシー条例 (New York City Administrative Code - Title 22: Economic Affairs - Chapter 12: Biometric Identifier Information) が2021.07.09から施行され、顧客の生体識別子情報を収集、保持、変換、保存、または共有する商業施設は、そのようなことをことをすることを原則として、商業施設のすべての顧客入口の近くに明確で目立つ標識を配置して開示しなければならなくなり、生体情報を販売、リース、取引、共有したり、それ以外でも生体識別子情報から利益を得ることは禁止されましたね。。。罰金付きです。。。

でも、商業施設の消費者の保護で、警察等の行政機関は適用外ですね。

オレゴン州ポートランド市も同様の条例がありますが、こちらは顔識別技術の公的機関民間の利用の二本立てなので、少し違います。。。

 

New York City Council

Requiring businesses to notify customers of the use of biometric identifier technology and prohibiting the sale of biometric identifier information.

CHAPTER 12: BIOMETRIC IDENTIFIER INFORMATION 第12章:バイオメトリック識別子情報
§ 22-1201 Definitions. 第22-1201条 定義
§ 22-1202 Collection, use, and retention of biometric identifier information. 第22-1202条 バイオメトリック識別子情報の収集、使用及び保存
§ 22-1203 Private right of action. 第22-1203条 私的請求権
§ 22-1204 Applicability. 第22-1204条 適用範囲
§ 22-1205 Outreach and education. 第22-1205条 支援活動と教育
§ 22-1201 Definitions. As used in this chapter, the following terms have the following meanings: 第22-1201条 定義:本章で使用される以下の用語は、以下の意味である。
Biometric identifier information. The term “biometric identifier information” means a physiological or biological characteristic that is used by or on behalf of a commercial establishment, singly or in combination, to identify, or assist in identifying, an individual, including, but not limited to: (i) a retina or iris scan, (ii) a fingerprint or voiceprint, (iii) a scan of hand or face geometry, or any other identifying characteristic. バイオメトリック識別情報:「バイオメトリクス識別子情報」とは、商業施設によって、または商業施設のために、単独または組み合わせて、個人を識別するため、または個人の識別を支援するために使用される生理学的または生物学的特性をいう。(i) 網膜または虹彩スキャン、(ii) 指紋または声紋、(iii) 手または顔の形状のスキャン、またはその他の識別特性。
Commercial establishment. The term “commercial establishment” means a place of entertainment, a retail store, or a food and drink establishment. 商業施設:「商業施設」とは、娯楽施設、小売店、または飲食店をいう。
Consumer commodity.  The term “consumer commodity” means any article, good, merchandise, product or commodity of any kind or class produced, distributed or offered for retail sale for consumption by individuals, or for personal, household or family purposes. 消費者商品:「消費者商品」とは、個人による消費のために、または個人、家庭、家族の目的のために、小売販売のために生産、流通、提供されるあらゆる種類またはクラスの物品、商品、製品または商品をいう。
Customer. The term “customer” means a purchaser or lessee, or a prospective purchaser or lessee, of goods or services from a commercial establishment. 顧客:「顧客」とは、商業施設から商品またはサービスを購入する人、賃借人、または購入予定者、賃借予定者をいう。
 Financial institution. The term “financial institution” means a bank, trust company, national bank, savings bank, federal mutual savings bank, savings and loan association, federal savings and loan association, federal mutual savings and loan association, credit union, federal credit union, branch of a foreign banking corporation, public pension fund, retirement system, securities broker, securities dealer or securities firm, but does not include a commercial establishment whose primary business is the retail sale of goods and services to customers and provides limited financial services such as the issuance of credit cards or in-store financing to customers.  金融機関:「金融機関」とは、銀行、信託会社、国立銀行、貯蓄銀行、連邦相互貯蓄銀行、貯蓄貸付組合、連邦貯蓄貸付組合、連邦相互貯蓄貸付組合、信用組合、連邦信用組合、外国銀行の支店、公的年金基金、退職金制度、証券会社、証券ブローカー、証券ディーラー、証券会社をいうが、顧客への商品・サービスの小売販売を主な業務とし、顧客へのクレジットカードの発行や店内融資などの限定的な金融サービスを提供する商業施設は含まれない。
Food and drink establishment. The term “food and drink establishment” means an establishment that gives or offers for sale food or beverages to the public for consumption or use on or off the premises, or on or off a pushcart, stand or vehicle. 飲食施設:「飲食施設」とは、敷地内または敷地外、あるいは押し車、スタンド、車両の上または下で消費または使用するために、公衆に食品または飲料を提供する、または販売する施設をいう。
Place of entertainment. The term “place of entertainment” means any privately or publicly owned and operated entertainment facility, such as a theater, stadium, arena, racetrack, museum, amusement park, observatory, or other place where attractions, performances, concerts, exhibits, athletic games or contests are held. 娯楽施設:「娯楽施設」とは、劇場、スタジアム、アリーナ、競馬場、博物館、遊園地、展望台、その他アトラクション、パフォーマンス、コンサート、展示、スポーツゲーム、コンテストが行われる場所など、民間または公的に所有・運営されているあらゆる娯楽施設をいう。
Retail store. The term “retail store” means an establishment wherein consumer commodities are sold, displayed or offered for sale, or where services are provided to consumers at retail. 小売店:「小売店」とは、消費者商品を販売、展示、販売のために提供する施設、または小売で消費者にサービスを提供する施設をいう。
§ 22-1202 Collection, use, and retention of biometric identifier information. a. Any commercial establishment that collects, retains, converts, stores or shares biometric identifier information of customers must disclose such collection, retention, conversion, storage or sharing, as applicable, by placing a clear and conspicuous sign near all of the commercial establishment’s customer entrances notifying customers in plain, simple language, in a form and manner prescribed by the commissioner of consumer and worker protection by rule, that customers’ biometric identifier information is being collected, retained, converted, stored or shared, as applicable. 第22-1202条:生体識別情報の収集、使用および保持。顧客の生体識別子情報を収集、保持、変換、保管または共有する商業施設は、当該商業施設のすべての顧客入口付近に、消費者・労働者保護委員会が規則で定める形式および方法で、平易な言葉で顧客に顧客の生体識別子情報が収集、保持、変換、保管または共有されていることを通知する明確かつ目立つ標識を設置することにより、当該収集、保持、変換、保管または共有を開示しなければならない(該当する場合)。
b. It shall be unlawful to sell, lease, trade, share in exchange for anything of value or otherwise profit from the transaction of biometric identifier information. b. 生体識別情報を販売、リース、取引、価値あるものと交換して共有すること、またはその他の方法で取引から利益を得ることは違法とする。
§ 22-1203 Private right of action. A person who is aggrieved by a violation of this chapter may commence an action in a court of competent jurisdiction on his or her own behalf against an offending party. At least 30 days prior to initiating any action against a commercial establishment for a violation of subdivision a of section 22-1202, the aggrieved person shall provide written notice. to the commercial establishment setting forth such person’s allegation. If, within 30 days, the commercial establishment cures the violation and provides the aggrieved person an express written statement that the violation has been cured and that no further violations shall occur, no action may be initiated against the commercial establishment for such violation. If a commercial establishment continues to violate subdivision a of section 22-1202, the aggrieved person may initiate an action against such establishment. No prior written notice is required for actions alleging a violation of subdivision b of section 22-1202. A prevailing party may recover: 第22-1203条 私的訴訟権:本章の違反により損害を受けた者は、自らのために管轄裁判所で違反者に対して訴訟を起こすことができる。第22-1202条a項の規定に違反した商業施設に対して訴訟を起こす少なくとも30日前に、被害を受けた者は商業施設に対して申し立てを記載した書面による通知を行わなければならない。30日以内に商業施設が違反を是正し、被害者に違反が是正され今後違反が起こらないことを明示した書面を提供した場合には、その違反に対して商業施設に対して訴訟を起こすことはできない。商業施設が第22-1202条a項に引き続き違反している場合、苦情を受けた者は当該施設に対して訴訟を起こすことができる。第22-1202条b項の違反を主張する訴訟では、書面による事前通知は必要ない。勝訴した当事者は以下を回復することができる。
1. For each violation of subdivision a of section 22-1202, damages of $500; 1. 第22-1202条a項の各違反に対しては、500ドルの損害賠償。
2. For each negligent violation of subdivision b of section 22-1202, damages of $500; 2. 過失による第22-1202条b項の各違反については、500ドルの損害賠償。
3. For each intentional or reckless violation of subdivision b of section 22-1202, damages of $5,000; 3. 意図的または無謀な第22-1202条b項の各違反については、5,000ドルの損害賠償。
4. Reasonable attorneys’ fees and costs, including expert witness fees and other litigation expenses; and 4. 妥当な弁護士報酬および費用(専門家の証人費用およびその他の訴訟費用を含む);および
5. Other relief, including an injunction, as the court may deem appropriate. 5. 裁判所が適切と判断する差止命令を含むその他の救済。
§ 22-1204 Applicability. a. Nothing in this chapter shall apply to the collection, storage, sharing or use of biometric identifier information by government agencies, employees or agents. 第22-1204条 適用範囲: a. 本章のいかなる規定も、政府機関、従業員または代理人によるバイオメトリクス識別子情報の収集、保存、共有または使用には適用されない。
b. The disclosure required by subdivision a of section 22-1202 shall not apply to: b. 第22-1202条a項で要求される開示は、以下には適用されない。
1. Financial institutions. 1. 金融機関
2. Biometric identifier information collected through photographs or video recordings, if: (i) the images or videos collected are not analyzed by software or applications that identify, or that assist with the identification of, individuals based on physiological or biological characteristics, and (ii) the images or video are not shared with, sold or leased to third-parties other than law enforcement agencies. 2. 写真またはビデオ撮影によって収集されたバイオメトリクス識別子情報であって、以下の場合。(i) 収集された画像またはビデオが、生理学的または生物学的特性に基づいて個人を特定する、または個人の特定を支援するソフトウェアまたはアプリケーションによって分析されていない場合、および (ii) 画像またはビデオが、法執行機関以外の第三者と共有されたり、販売されたり、貸し出されたりしていない場合。
§ 22-1205 Outreach and education. The chief privacy officer shall conduct or facilitate, with any other relevant agency or office, outreach and education efforts, through guidance posted on city websites or through such other means as may be feasible, to inform commercial establishments likely to be affected by this chapter about its requirements. 第22-1205条 支援活動と教育:個人情報保護責任者は、他の関連機関または事務所と協力して、市のウェブサイトに掲載されたガイダンスまたは実行可能な他の手段を用いて、本章の影響を受ける可能性のある商業施設にその要件を知らせるための支援活動および教育活動を実施または促進するものとする。
§ 2. This local law takes effect 180 days after it becomes law. 2. この地方法は、法律になってから180日後に発効する。

 

 

Citysealcolor

こちらのウェブページも条例がみやすいです。。。

 

● American Leagal Publishing Corporation

NYNew York City - The New York City Administrative Code - Title 22: Economic Affairs - Chapter 12: Biometric Identifier Information

 

 

ちなみにニューヨーク市の個人情報の取り扱いについての規則はこちら・・・

・2021.02.24 [PDF] Citywide Privacy Protection Policies and Protocols  [Downloaded]

 

20210712-70020

 

 


報道

● Tech Crunch Japan/ Tech Crunch

・2021.07.10 ニューヨーク市で生体情報プライバシー法が発効、データの販売・共有を禁止

・2021.07.09 New York City’s new biometrics privacy law takes effect

● JD Supra

・2021.06.23 Get Ready for New York City’s New Biometric Identifier Information Law

Find Biometrics

・2021.07.01 New York Law Firm Helps Explain City’s New Biometric Data Protection Law


 

顔識別技術に関して

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2021.07.11

経済産業省 違憲募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

こんにちは、丸山満彦です。

経済産業省が、AI原則実践のためのガバナンス・ガイドライン Ver1.0を公表し、意見募集をしていますね。。。

● 経済産業省

・2021.07.09 「AI原則実践のためのガバナンス・ガイドライン ver. 1.0」の意見公募手続(パブリックコメント)を開始しました。


1.経緯・背景

経済産業省は、統合イノベーション戦略2020及びAI戦略2019フォローアップの下、AI社会原則の実装に向けて、国内外の動向も見据えつつ、我が国の産業競争力の強化と、AIの社会受容の向上に資する規制、標準化、ガイドライン、監査等、我が国のAIガバナンスの在り方を検討するために、「AI社会実装アーキテクチャー検討会」を開催し、国内外のAI原則やルール形成の動向を構造的に明らかにするとともに、人間中心のAI社会原則の実装のための中間的なガイドラインの作成を含む我が国の在るべきAIガバナンスの全体像を提示する「我が国のAIガバナンスの在り方 ver. 1.0(AI社会実装アーキテクチャー検討会 中間報告書)」(以下、「中間報告書」という。)を令和3年1月15日に公表しました。

令和3年度には、これまでの企業、アカデミア、法律、監査の専門家に加え、標準や消費者保護に詳しい専門家にも参加いただいて「AI原則の実践の在り方に関する検討会」を開催し、中間報告書に対するパブリックコメントを踏まえながら、AIガバナンスの在り方に関する議論を継続し、中間報告書を更新した「我が国のAIガバナンスの在り方 ver. 1.1」をとりまとめるとともに、AIシステム開発者だけではなくAIシステム運用者にも実務的な指針を提供すべく、「AI原則実践のためのガバナンス・ガイドライン ver. 1.0」(以下、「AIガバナンス・ガイドライン ver. 1.0」という。)を策定しました。


概要を先に読むとわかりやすいかもですね。。。

・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.0 (概要)

20210721-174410

 

意見募集は

・[PDF] AI 原則実践のためのガバナンス・ガイドライン ver. 1.0

20210721-172603

目次

A. はじめに
. AI ガバナンス・ガイドラインの狙い
. 本ガイドラインの法的性格
. 他のガイドライン等との関係
. AI ガバナンス・ガイドラインの使い方
. Living Document

B. 定義

C. AI ガバナンス・ガイドライン
. 環境・リスク分析
(1)  AI
システムがもたらしうる正負のインパクトを理解する
(2)  AI システムの開発や運用に関する社会的受容を理解する
(3) 自社の AI 習熟度を理解する

. ゴール設定
(1) AI
ガバナンス・ゴールの設定を検討する

. システムデザイン(AI マネジメントシステムの構築)
(1) AI
ガバナンス・ゴールからの乖離の評価と乖離への対応を必須プロセスとする
 ① 業界の標準的な乖離評価プロセスとの整合性を確保する
 ② 利用者に対して乖離の可能性や対応策に関する十分な情報を提供する
 ③ データ事業者は乖離評価に十分な情報を AI システム開発者に提供する

(2) AI マネジメントシステムを担う人材のリテラシーを向上させる

(3) 適切な情報共有等の事業者間・部門間の協力により AI マネジメントを強化する
 ① 複数事業者間の情報共有の現状を理解する
 ② 環境・リスク分析のために日常的な情報収集や意見交換を奨励する

(4) インシデントの予防と早期対応により利用者のインシデント関連の負担を軽減する
 ① 複数事業者間の不確実性への対応負担を適切に分配する
 ② インシデント/紛争発生時の対応をあらかじめ検討しておく

. 運用
(1) AI
マネジメントシステムの運用状況について説明可能な状態を確保する
(2) 個々の AI システムの運用状況について説明可能な状態を確保する
(3) AI ガバナンスの実践状況を非財務情報に位置づけて積極的な開示を検討する

. 評価
(1) AI
マネジメントシステムが適切に機能しているかを検証する
(2) 社外ステークホルダーから意見を求めることを検討する

. 環境・リスクの再分析
(1)
行動目標1-1から1-3を適時に再実施する

D.  AI ガバナンス・ガイドラインに関わった有識者等
.  AI 原則の実践の在り方に関する検討会(AI 社会実装アーキテクチャー検討会)
.  AI ガバナンス・ガイドライン ワーキンググループ
. 協力者
(1)
上記検討会における講演(講演順)
(2)
上記ワーキンググループを拡大した事前コンサルテーションへの参加
(3)
事務局による個別ヒアリング
. 事務局

E. 参考文献
F. 別添1(行動目標一覧)
G. 別添2(AI ガバナンス・ゴールとの乖離を評価するための実務的な対応例)
H. 別添3(補論:アジャイル・ガバナンスの実践)



・2021.07.09 我が国のAIガバナンスの在り方 ver1.1

・[PDF] 我が国のAIガバナンスの在り方 ver. 1.1

20210721-175132


1. はじめに

2.  AI ガバナンスをめぐる国内外の動向
A.  AI
原則からガバナンスの具体化へ
B.
リスクベース・アプローチ
C.
リスクの評価と分類
D.  AI
ガバナンスの構造
(1) AI
原則(ゴール)
(2) 横断的で中間的なルール
 (a) 法的拘束力のないガイドライン等
 (b) 法的拘束力のある横断的な規制
 (c) 国際標準
(3) 個別分野等にフォーカスしたルール
 (a) 特定の利用態様に対する規制
 (b) 特定の分野における規制
 (c) 政府の AI 利用に対する規制等
(4) モニタリング・エンフォースメント
 (a) モニタリング
 (b) エンフォースメント

E.
国際的な調和とレイヤー間の協調

3. 我が国の AI ガバナンスのあり方
A.
ガバナンス・イノベーションから得られる示唆
B.
ステークホルダーの意見
(1)
産業界の意見(欧州委員会に寄せられた意見)
(2) 本検討会とヒアリングにおける指摘
(3) 消費者の視点

C.
我が国にとって望ましい AI ガバナンス
(1)
法的拘束力のない企業ガバナンス・ガイドライン
(2) 国際標準
(3) 法的拘束力のある横断的な規制
(4) 個別分野等にフォーカスした規制

D.
今後の課題
(1)
非拘束の中間的なガイドラインを利用するインセンティブの確保
(2) 政府の AI 利活用に対するガイダンスの導入
(3) 他国のガバナンスとの調和
(4) 政策と標準の連携
(5) モニタリングとエンフォースメント

4. おわりに

5. 有識者会議名簿(AI 原則の実装の在り方に関する検討会)


 

| | Comments (0)

中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

こんにちは、丸山満彦です。

中国サイバースペース管理局が2021.07.05に「运满满」[wikipedia]、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

中国サイバースペース管理局は、NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」に対しても個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止しているのですが、その翌日ですね。。。

NY上場企業がねらわれているんですかね。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.07.05 网络安全审查办公室关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告

网络安全审查办公室关于对“运满满”“货车帮”“BOSS直聘”启动网络安全审查的公告 「运满满」、「货车帮」、「BOSS直聘」のサイバーセキュリティ審査開始に関するサイバーセキュリティ審査室のお知らせ
为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“运满满”“货车帮”“BOSS直聘”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“运满满”“货车帮”“BOSS直聘”停止新用户注册。 国家データ・セキュリティ・リスクを防止し、国家安全を守り、公共の利益を保護するため、中華人民共和国国家安全法および中華人民共和国ネットワーク・セキュリティ法に基づき、ネットワーク・セキュリティ審査事務所は、ネットワーク・セキュリティ審査弁法に基づき、「运满满」、「货车帮」および「BOSS直聘」のネットワーク・セキュリティ審査を実施しました。 ネットワークセキュリティの見直し作業に協力し、リスクの拡大を防ぐため、見直し期間中は「运满满」「货车帮」「BOSS直聘」の新規ユーザー登録を停止します。

 

1_20210705085401


参考

● Fortune

・2021.07.05 Not just Didi: China’s Internet watchdog targets more U.S.-listed firms for ‘national security’ review By EAMON BARRETT and YVONNE LAU

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

| | Comments (0)

2021.07.10

バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

こんにちは、丸山満彦です。

バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

まずは、米国側の発表

● White House

・2021.07.09 Readout of President Joseph R. Biden, Jr. Call with President Vladimir Putin of Russia

Readout of President Joseph R. Biden, Jr. Call with President Vladimir Putin of Russia ジョセフ・R・バイデン・ジュニア大統領がロシアのウラジーミル・プーチン大統領と電話会談を実施
President Biden spoke today with President Putin. The leaders commended the joint work of their respective teams following the U.S.-Russia Summit that led to the unanimous renewal of cross-border humanitarian assistance to Syria today in the UN Security Council. バイデン大統領は、本日、プーチン大統領と会談しました。両首脳は、本日、国連安全保障理事会において、シリアへの国境を越えた人道支援を全会一致で更新するに至った、米露首脳会談後のそれぞれのチームの共同作業を称賛しました。
President Biden also spoke with President Putin about the ongoing ransomware attacks by criminals based in Russia that have impacted the United States and other countries around the world. President Biden underscored the need for Russia to take action to disrupt ransomware groups operating in Russia and emphasized that he is committed to continued engagement on the broader threat posed by ransomware. President Biden reiterated that the United States will take any necessary action to defend its people and its critical infrastructure in the face of this continuing challenge. また、バイデン大統領は、ロシアを拠点とする犯罪者によるランサムウェア攻撃が米国をはじめとする世界各国に影響を与え続けていることについて、プーチン大統領と会談しました。バイデン大統領は、ロシア国内で活動するランサムウェアグループの活動を停止させるために、ロシアが行動を起こす必要性を強調し、ランサムウェアがもたらす広範な脅威について、継続的な関与を約束することを強調しました。バイデン大統領は、この継続的な課題に直面したとき、米国は国民と重要なインフラを守るために必要なあらゆる行動をとることを繰り返し述べました。

 

ロシア連邦側の発表は、、、

Президент России(ロシア大統領)

・2021.07.09 Телефонный разговор с Президентом США Джозефом Байденом

Телефонный разговор с Президентом США Джозефом Байденом ジョセフ・バイデン米国大統領との電話会談
Состоялся телефонный разговор Владимира Путина с Президентом Соединённых Штатов Америки Джозефом Байденом. ウラジーミル・プーチン大統領は、ジョセフ・バイデン大統領と電話会談を行いました。
Продолжен начатый на российско-американском саммите в Женеве диалог по вопросам информационной безопасности и борьбы с киберпреступностью. ジュネーブでの米ロ首脳会談で始まった情報セキュリティとサイバー犯罪対策に関する対話は継続されました。
В контексте недавних сообщений о серии кибератак, якобы совершённых с территории России, Владимир Путин отметил, что, несмотря на готовность российской стороны к совместному пресечению криминальных проявлений в информационном пространстве, за последний месяц по линии компетентных ведомств США не поступало обращений по этим вопросам. Вместе с тем с учётом масштабов и серьёзности вызовов в данной сфере взаимодействие России и США должно носить постоянный, профессиональный и неполитизированный характер, осуществляться с использованием специализированных каналов обмена данными между уполномоченными государственными структурами в рамках двусторонних юридических механизмов, а также с соблюдением положений международного права. ロシア領内から行われたとされる一連のサイバー攻撃に関する最近の報道に関連して、ウラジーミル・プーチン大統領は、情報空間における犯罪行為を共同で抑制するためのロシア側の準備が整っているにもかかわらず、この1ヶ月間、米国の管轄機関からこれらの問題に関する訴えが届いていないと指摘しました。しかし、この分野の課題の規模と深刻さを考えると、ロシアと米国の間の交流は、二国間の法的メカニズムの枠組みの中で認可された政府機関間のデータ交換のための特別なチャンネルを使用し、国際法を遵守しながら、継続的、専門的、非政治的なものでなければならないと考えています。
Лидерами подчёркнута необходимость предметного и конструктивного сотрудничества в области кибербезопасности, продолжения соответствующих контактов. 両首脳は、サイバーセキュリティ分野における実質的かつ建設的な協力の必要性を強調し、関連するコンタクトを継続することを表明しました。
Затрагивалась также ситуация в Сирии с акцентом на гуманитарные аспекты. С обеих сторон дана позитивная оценка координации усилий России и США по этой проблематике, в том числе в Совете Безопасности ООН. 双方はまた、人道的側面に焦点を当てたシリアの状況についても触れました。双方ともに、国連安全保障理事会を含め、この問題に関する米露の協調を肯定的に評価しました。
Владимир Путин выразил искренние соболезнования в связи с трагическими последствиями обрушения жилого дома в городе Серфсайде (штат Флорида), повлёкшего многочисленные жертвы. ウラジーミル・プーチン氏は、フロリダ州サーフサイドの住宅ビルが倒壊し、多数の死者を出した悲劇的な結果に対し、心からの哀悼の意を表しました。

 

1_20210710070801

| | Comments (0)

米国 米国経済における競争促進に関する大統領令

こんにちは、丸山満彦です。

米国経済における競争促進に関する大統領令が出されていますね。。。

White House

・2021.07.09 Executive Order on Promoting Competition in the American Economy

こういうタイミングやから競争強化し、経済を強くしようという感じですかね。。。

危機感がありますね。。。

1_20210710063301

[DOCX] 仮訳

 

 

 

| | Comments (0)

2021.07.09

あなたは米国が好き?中国が好き?国別状況

こんにちは、丸山満彦です。

米国のPew研究所が、米国と中国についてどう思うか、17の先進国の18,850人を対象に代表調査(2021年2月1日から5月26日に実施)を実施したようですが、国別に少し違いがあり、特に日本は他の国と異なる状況であると思うので、日本の状況だけで判断すると世界的な流れを見誤るかもしれないなぁと思いました。。。

2019年、2020年の調査から見ると、バイデン大統領になって米国に対して他国がより好意を持ち、その反動があるかもしれませんが、中国についての好意が減っているようです。ただ、日本は中国に対する好意が他国に比して低いですね。。。

シンガポールは中国に対する好意が他の国よりも高い感じですね。


Pew Reserch Center

Global Image of Countries (各国に対する国際的なイメージ)

・2021.06.30 China’s international image remains broadly negative as views of the U.S. rebound

米国に対して好意を持つ人、中国に対して好意を持つ人...

Screenshot20210629at123653pm

 


過去の調査結果

2020年、2019年の調査もあります。。。

2020年調査

・2020.10.06 Negative views of both U.S. and China abound across advanced economies amid COVID-19

2019年調査

・2019.12.05 CHINA’S ECONOMIC GROWTH MOSTLY WELCOMED IN EMERGING MARKETS, BUT NEIGHBORS WARY OF ITS INFLUENCE

 

米国は、大統領が変わって、海外からの好意が増えたような感じですね。。。

 

| | Comments (0)

英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

こんにちは、丸山満彦です。

英国のデータ保護局 (ICO) が年次報告書を公開していますね。。。財務報告書までついていて、会計先進国、特に公会計先進国だと思います。報酬も個人別に開示していますね。。。

金融庁なんて、企業の財務報告に不正があるとすごく「おらっ!」と怒るわけですが、自分たちは財務諸表すら作っていませんからね。。。(複式簿記をしていないし。。。)

さて、コミッショナーの次の発言は私の感覚と同じです。。。


Information Commissioner, Elizabeth Denham said: 情報委員会のエリザベス・デンハム氏は次のように述べています。
“At its core, data protection is about trust. 「データ保護の核心は信頼にあります。」
“Over the past five years, we have seen real growth in the number of people with high trust and confidence in how businesses and organisations process personal information. 「過去5年間で、企業や組織が個人情報をどのように処理するかについて、高い信頼と確信を持つ人の数が実際に増加しています。」

 

過去5年間の分析が今月末にでてくるようですね。。。

 

● U.K. Information Commissioner's Office

プレス発表

・2021.07.07 (press) ICO publishes annual tracking research

年次報告書

Information Commissioner’s Annual Report and Financial Statements 2020-21

20210709-65544

 

情報の権利に関する研究のウェブサイト

Information rights research

・2021.06.17 [PDF] Global Privacy Enforcement Network: GPEN Report ‘Resetting privacy’

20210709-65250

・2021.06.29 [PDF] Information Rights Strategic Plan: Trust and Confidence

20210709-65845

| | Comments (0)

2021.07.08

NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

こんにちは、丸山満彦です。

NISTがNISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)を公表し、意見募集をしていますね。。

NISTは2020年10月に「NISTIR 8286 サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」を公表しています。今回はこのNISTIR8286の詳細版となりますね。。。

この後、8286B, 8286C も公開されていくことになります。。。

 

1_20210707191501

● NIST - ITL

・2021.07.06 NISTIR 8286A (Draft) Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM) (2nd Draft)

・[PDF] NISTIR 8286A (Draft)

20210707-191847

 

目次の仮対訳

 

NISTIR 8286A (Draft) NISTIR 8286A (ドラフト)
Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management (ERM) (2nd Draft) エンタープライズ・リスク・マネジメント(ERM)のためのサイバーセキュリティ・リスクの識別と推定(第2次ドラフト
Announcement 発表内容
This report provides a more in-depth discussion of the concepts introduced in NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This IR8286 series document is intended to help organizations better implement cybersecurity risk management (CSRM) as an integral part of ERM – both taking its direction from ERM and informing it. The increasing frequency, creativity, and severity of cybersecurity attacks mean that all enterprises should ensure that cybersecurity risk is receiving appropriate attention within their ERM programs and that the CSRM program is anchored within the context of ERM. 本文書は、NISTIR 8286「サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」で紹介されている概念をより詳細に説明しています。このIR8286シリーズは、サイバーセキュリティ・リスク・マネジメント(CSRM)をERMの重要な一部として、ERMから方向性を得て、また、ERMに情報を提供しながら、組織がよりよく実施できるようにすることを目的としています。 サイバーセキュリティ攻撃の頻度、創造性、深刻さが増していることから、すべての企業はERMプログラムの中でサイバーセキュリティリスクに適切な注意を払い、ERMの文脈の中でCSRMプログラムを定着させる必要があります。
This second draft specifically incorporates feedback received during the first public comment period and provides improved editorial updates and graphics to better illustrate the intersection of cybersecurity and enterprise risk management. With the inclusion of an example risk detail report (RDR) template, this draft more clearly demonstrates how risks are summarized in the risk register using methods for populating the RDR. The language surrounding activities – including metrics and communication at each level of the enterprise – has also been updated, and the topics of privacy and supply chain have been introduced for planned future treatment. 今回の第2次ドラフトでは、第1次パブリックコメント期間中に寄せられた意見を具体的に反映し、サイバーセキュリティと企業のリスク管理の接点をより分かりやすく示すために、編集上の更新や図表を改善しました。リスク詳細報告書(RDR)のテンプレートの例を含めることで、本ドラフトでは、RDRの作成方法を用いて、リスクがどのようにリスクレジスタにまとめられるかをより明確に示している。また、企業の各レベルにおける測定基準やコミュニケーションを含む活動に関する表現も更新されており、プライバシーやサプライチェーンのトピックも今後の予定として紹介されています。
A companion document, NISTIR 8286B: Prioritizing Cybersecurity Risk for Enterprise Risk Management, will be available for review and comment in the coming weeks. 関連文書であるNISTIR 8286B: エンタープライズ・リスク・マネジメントにおけるサイバーセキュリティ・リスクの優先順位付けは、今後数週間のうちにレビューとコメントが可能になります。
Also, see the related publications: また、関連出版物もご覧ください。
NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) NISTIR 8286, サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
NISTIR 8170, Approaches for Federal Agencies to Use the Cybersecurity Framework NISTIR 8170, 連邦機関がサイバーセキュリティフレームワークを使用するためのアプローチ
Abstract 概要
This document supplements NIST Interagency or Internal Report 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), by providing additional detail regarding risk guidance, identification, and analysis. This report offers examples and information to illustrate risk tolerance, risk appetite, and methods for determining risks in that context. To support the development of an Enterprise Risk Register, this report describes documentation of various scenarios based on the potential impact of threats and vulnerabilities on enterprise assets. Documenting the likelihood and impact of various threat events through cybersecurity risk registers integrated into an enterprise risk profile helps to later prioritize and communicate enterprise cybersecurity risk response and monitoring. 本文書は、NIST Interagency or Internal Report 8286「Iサイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」を補足するもので、リスクのガイダンス、識別、分析に関する追加の詳細を提供しています。本報告書では、リスク許容度、リスクアペタイト、およびその文脈におけるリスクの決定方法を説明するための例や情報を提供している。企業リスク登録簿の作成を支援するために、本報告書では、脅威や脆弱性が企業資産に与える潜在的な影響に基づく様々なシナリオの文書化について説明しています。企業リスクプロファイルに統合されたサイバーセキュリティリスクレジスターを通じて、様々な脅威事象の可能性と影響を文書化することは、後に企業のサイバーセキュリティリスク対応とモニタリングの優先順位付けと伝達に役立ちます。
   
Executive Summary 要約
All organizations face a broad array of risks, including cyber security risk. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives.” An organization’s mission and business objectives can be impacted by such effects and must be managed at various levels within the organization. すべての組織は、サイバーセキュリティ・リスクを含む広範なリスクに直面しています。連邦政府機関の場合、行政管理予算局(OMB)のCircular A-11では、リスクを "不確実性が目的に及ぼす影響 "と定義しています。組織のミッションや事業目標は、このような影響を受ける可能性があり、組織内の様々なレベルで管理しなければなりません。
This report highlights aspects of cybersecurity risk management (CSRM) inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; however, without an understanding of organizational structure, effective risk management is impossible. For the purposes of this document, an organization is defined as an entity of any size, complexity, or position within a larger organizational structure. The enterprise exists at the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems.1  本レポートでは、企業、組織、システムに固有のサイバーセキュリティ・リスク管理(CSRM)の側面に焦点を当てています。組織と企業という言葉はしばしば同じ意味で使われますが、組織構造を理解しなければ、効果的なリスク管理は不可能です。この文書では、組織とは、より大きな組織構造の中で、あらゆる規模、複雑さ、または地位を持つ事業体と定義します。企業は、シニアリーダーが固有のリスクガバナンス責任を有する階層の最上位に存在する。企業や政府機関などの各企業は、システムに支えられた組織で構成されています1。
Enterprise risk management (ERM) calls for understanding the core (i.e., significant) risks that an organization faces, and this document provides supplemental guidance for aligning cyber security risks within an organization’s overall ERM program. Lessons learned from historical cybersecurity incidents demonstrate the importance of collaboration among CSRM and ERM. This document helps enterprises to apply, improve, and monitor the quality of that cooperation and communication. エンタープライズ・リスク・マネジメント(ERM)では、組織が直面する中核的な(すなわち重要な)リスクを理解することが求められます。本文書は、組織のERMプログラム全体の中でサイバーセキュリティ・リスクを調整するための補足的なガイダンスを提供します。過去のサイバーセキュリティ事件から得られた教訓は、CSRMとERMの連携の重要性を示しています。この文書は、企業がその協力とコミュニケーションの質を適用し、改善し、監視するのに役立ちます。
This NIST Interagency/Internal Report (NISTIR) is part of a series of publications supporting NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). Each publication in the  series, illustrated in Figure 1, provides additional detail and guidance to supplement topics in that document: このNIST Interagency/Internal Report(NISTIR)は、NISTIR 8286「サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合」をサポートする一連の出版物の一部です。このシリーズの各出版物は、図1に示すように、その文書のトピックを補足するための追加の詳細とガイダンスを提供しています。
• NISTIR 8286A (this report) provides additional detail regarding risk context, scenario identification, and analysis of likelihood and impact. It also includes methods to convey risk information, such as through cybersecurity risk registers (CSRRs) and risk detail records (RDRs). Similar processes and the uses of the Risk Register and RDRs are helpful to identify and manage other types of risk, including those for Cyber Supply Chain and Privacy. - NISTIR 8286A(本文書)では、リスクの背景、シナリオの特定、可能性と影響の分析について詳細に説明しています。また、サイバーセキュリティ・リスク・レジスタ(CSRR)やリスク詳細記録(RDR)など、リスク情報を伝達する方法も記載されています。同様のプロセスや、リスクレジスターとRDRの用途は、サイバーサプライチェーンやプライバシーに関するものなど、他の種類のリスクを特定し管理するのに役立ちます。
• NISTIR 8286B describes ways to apply risk analysis to prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy. - NISTIR 8286Bでは、企業のCSRM戦略の一環として、サイバーセキュリティリスクの優先順位付け、適切なリスク対応の評価と選択、リスク活動の伝達にリスク分析を適用する方法を説明しています。
• NISTIR 8286C describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor achievement of risk objectives, consider any changes to risk strategy, and use the combined information to maintain awareness of risk factors and positive risks (or opportunities). - NISTIR 8286Cでは、企業全体のCSRM活動から得られる情報を集約するためのプロセスを説明しています。これらの情報が統合され、調和されることで、組織や企業のリーダーは、リスク目標の達成状況を監視し、リスク戦略の変更を検討し、統合された情報を用いて、リスク要因やポジティブなリスク(または機会)に対する認識を維持します。
A key CSRM success factor is setting leadership expectations, such as through risk appetite and risk tolerance. Section 2.1 of this report provides examples of setting and communicating those expectations and provides input into Section 2.2, which describes methods for identifying CSRM scenarios. Each of the potential risk scenarios are analyzed, as described in Section 2.3, to consider specific likelihood and impact on the organization. Throughout these processes, risk data is developed and recorded in cybersecurity risk registers (and risk detail records) in support of ongoing risk communication. This information becomes the input to risk prioritization and response, which is described in NISTIR 8286B. CSRMの重要な成功要因は、リスク選好度やリスク許容度など、リーダーの期待値を設定することである。本報告書のセクション2.1では、これらの期待値の設定とコミュニケーションの例を示し、CSRMシナリオの特定方法を説明したセクション2.2へのインプットとしています。2.3項に記載されているように、潜在的なリスクシナリオはそれぞれ分析され、具体的な可能性と組織への影響が検討されます。これらのプロセスを通じて、リスクデータが作成され、継続的なリスクコミュニケーションを支援するために、サイバーセキュリティリスクレジスター(およびリスク詳細記録)に記録される。この情報は、NISTIR 8286Bに記載されているリスクの優先順位付けと対応のための情報となります。

 

 


■ 参考

Supplemental Material:

 See NISTIR 8286 details for JSON files in Open Risk Register Format (ORRF) (web)

Other Parts of this Publication:

・2020.10.13 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・[PDF] NISTIR 8286 

20210708-44340

Document History:

・2020.12.24 NISTIR 8286A (Draft)

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

2020.07.12 NISTIR 8286(ドラフト)サイバーセキュリティとエンタープライズリスク管理(ERM)の統合(第2ドラフト)

2020.03.20 NISTIR 8286(ドラフト)サイバーセキュリティとエンタープライズリスク管理(ERM)の統合

 


 

 

Continue reading "NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)"

| | Comments (0)

IoT製品・システムを安全に実装するための国際規格 (ISO/IEC 30147) at 2021.06.21

こんにちは、丸山満彦です。

経済産業省が、「ISO/IEC 30147:2021 Internet of Things (IoT) - Integration of IoT trustworthiness activities in ISO/IEC/IEEE 15288 system engineering processes」(IoT製品やサービスにおけるトラストワージネスの実装・保守のためのシステムライフサイクルプロセス)が発行されたことを公表していました。。。

● 経済産業省 - 

・2021.06.21 IoT製品・システムを安全に実装するための国際規格が発行されました


2.規格の内容

ISO/IEC 30147は、IoT製品やサービスにおけるトラストワージネスの実装・保守のためのシステムライフサイクルプロセスを提供するものであり、一般的なシステムライフサイクルプロセスの国際規格ISO/IEC/IEEE 15288:2015を適用・補完する内容となっています。ここで、トラストワージネスとは、セキュリティ、プライバシー、セーフティ、リライアビリティ、レジリエンスなどによって、システムがその関係者の期待に応える能力のことです。

 

出典:つながる世界の開発指針(IPA)
図 あらゆるモノがネットにつながるIoT

 

表 ISO/IEC 30147:2021とISO/IEC/IEEE 15288:2015の関係

国際規格 対応JIS 各規格が規定するもの
ISO/IEC/IEEE 15288:2015 X0170 一般的なシステムライフサイクルプロセス
(システムを開発し利用するための工程、作業、行動)
ISO/IEC 30147:2021 IoT製品やサービスにおけるトラストワージネスの実装・保守のためのシステムライフサイクルプロセス
(ISO/IEC/IEEE 15288:2015を補完)

 

3.期待される効果

本規格がIoT製品・サービスの開発や保守において広く活用され、安全安心な社会の発展に寄与することが期待されます。


 

● IPA

・2021.06.21 IoT製品・サービスにセーフティ・セキュリティ等を実装するプロセスが国際標準として出版 ~日本提案の規格が国際標準化団体ISO/IECにて出版~

 

実際の標準はこちらから。。。

● IEC

ISO/IEC 30147:2021 Internet of Things (IoT) - Integration of IoT trustworthiness activities in ISO/IEC/IEEE 15288 system engineering processes

 

目次は↓↓↓

 

Continue reading "IoT製品・システムを安全に実装するための国際規格 (ISO/IEC 30147) at 2021.06.21"

| | Comments (0)

2021.07.07

NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

こんにちは、丸山満彦です。

内閣官房が2021.07.07と、2021.07.06に「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」が開催され、資料が公開されていますね。

戦略本部会合では、

・次期サイバーセキュリティー戦略

・政府統一基準の改定

・予算重点化方針

・ISMAPの暫定措置の見直し

・政府IT・セキュリティ人材育成

・政府IT調達

等が議論されたようですね。。。

推進体制は次のようになっているようですね。。。

20210707-152814

次期サイバーセキュリティ戦略(案) P.8 

NISC

サイバーセキュリティ戦略本部 サイバーセキュリティ対策推進会議(CISO等連絡会議)
2021.07.07 2021.07.06
第30回会合 第18回会合
報道発表資料  報道発表資料 
政府機関等の情報セキュリティ対策のための統一基準群の改定  政府機関におけるデジタル改革に必要なIT・セキュリティ知識を有する人材の確保・育成総合強化方針
サイバーセキュリティ関係施策に関する令和4年度予算重点化方針  IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ(令和3年7月6日一部改正)
  政府情報システムのためのセキュリティ評価制度(ISMAP)の暫定措置の見直しについて
議事次第 議事次第
資料1 次期サイバーセキュリティ戦略(案)  資料1-1 政府機関におけるデジタル改革に必要なIT・セキュリティ知識を有する人材の確保・育成総合強化方針(案)【概要】
資料2 政府機関等の情報セキュリティ対策のための統一基準群の改定(案)  資料1-2 政府機関におけるデジタル改革に必要なIT・セキュリティ知識を有する人材の確保・育成総合強化方針(案)
資料3 サイバーセキュリティ関係施策に関する令和4年度予算重点化方針(案)  資料2-1 「IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ」の改正(案)【概要】
資料4 サイバーセキュリティ2021(2020年度年次報告・2021年度年次計画)(案)  資料2-2 IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ(令和3年7月6日一部改正)(案)
資料5 2020年東京オリンピック・パラリンピック競技大会に向けたサイバーセキュリティ対策  資料2-3 IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せ(令和3年9月1日一部改正)(案)
資料6 政府情報システムのためのセキュリティ評価制度(ISMAP)の暫定措置の期間見直し  資料3-1 政府情報システムのためのセキュリティ評価制度(ISMAP)の暫定措置の見直し(案)【概要】
資料7 政府機関におけるデジタル改革に必要なIT・セキュリティ知識を有する人材の確保・育成総合強化方針  資料3-2 政府情報システムのためのセキュリティ評価制度(ISMAP)の暫定措置の見直しについて(案)
資料8 IT調達に係る国等の物品等又は役務の調達方針及び調達手続に関する申合せの改定  資料4-1 次期サイバーセキュリティ戦略(案)の概要
資料9 ランサムウェア対策への取組状況  資料4-2 次期サイバーセキュリティ戦略(案)
  資料5-1 政府機関等の情報セキュリティ対策のための統一基準群の改定(案)について【概要】
  資料5-2 政府機関等のサイバーセキュリティ対策のための統一規範(案)
  資料5-3 政府機関等のサイバーセキュリティ対策のための統一基準(案)
  資料5-4 政府機関等のサイバーセキュリティ対策の運用等に関する指針(案)
  資料5-5 「政府機関等のサイバーセキュリティ対策のための統一基準群(案)」に対する意見募集の結果の概要
  資料5-6 「政府機関等のサイバーセキュリティ対策のための統一基準群(案)」に対する意見募集の結果
  資料6-1 「政府機関等における情報システム運用継続ガイドライン」の改定について【概要】
  資料6-2 政府機関等における情報システム運用継続計画ガイドライン(第3版)
  資料6-3 政府機関等における情報システム運用継続計画ガイドライン付録(第2版)
  ◆ 議事要旨

| | Comments (0)

ENISA 中小企業のためのサイバーセキュリティの課題と推奨事項 at 2021.06.28

こんにちは、丸山満彦です。

ENISAが中小企業のためのサイバーセキュリティの課題と推奨事項をだしています。日本もサプライチェーン全体を考えると中小企業が重要といわれていますが、欧州でもそうということで、中小企業をサイバー攻撃からどう守るかというのは重要な課題なのでしょうね。。。きっと、世界中で同じだとは思います。。。

日本でも参考になるかもですね。。。

ENISA

・2021.06.28 (press) Phishing most common Cyber Incident faced by SMEs

Phishing most common Cyber Incident faced by SMEs 中小企業が直面する最も一般的なサイバーインシデントはフィッシング
The European Union Agency for Cybersecurity identifies the cybersecurity challenges SMEs face today and issues recommendations. 欧州連合(EU)のサイバーセキュリティ機関は、中小企業が今日直面しているサイバーセキュリティ上の課題を明らかにし、提言を行っています。
Small and medium-sized enterprises (SMEs) are considered to be the backbone of Europe's economy. 25 millions of SMEs are active today in the European Union and employ more than 100 million workers. 中小企業(SME)は、欧州経済の屋台骨と言われています。現在、欧州連合内では2,500万社の中小企業が活動しており、1億人以上の労働者を雇用しています。
The report Cybersecurity for SMEs ENISA issues today provides advice for SMEs to successfully cope with cybersecurity challenges, particularly those resulting from the COVID-19 pandemic. With the current crisis, traditional businesses had to resort to technologies such as QR codes or contactless payments they had never used before. Although SMEs have turned to such new technologies to maintain their business, they often failed to increase their security in relation to these new systems. Research and real-life experience show that well prepared organisations deal with cyber incidents in a much more efficient way than those failing to plan or lacking the capabilities they need to address cyber threats correctly. ENISAが本日発行したレポート「中小企業のためのサイバーセキュリティ」は、中小企業がサイバーセキュリティの課題、特にCOVID-19パンデミックの影響を受けた課題にうまく対処するためのアドバイスを提供しています。今回の危機では、従来の企業は、QRコードや非接触型決済など、これまで使ったことのない技術に頼らざるを得ませんでした。中小企業はビジネスを維持するためにこのような新しい技術に頼ってきましたが、これらの新しいシステムに関連してセキュリティを高めることができなかったことがよくあります。調査や実際の経験から、準備の整った組織は、計画を怠ったり、サイバー脅威に正しく対処するために必要な能力を欠いている組織よりも、はるかに効率的にサイバーインシデントに対処することができます。
Juhan Lepassaar, EU Agency for Cybersecurity Executive Director said: “SMEs cybersecurity and support is at the forefront of the EU’s cybersecurity strategy for the digital decade and the Agency is fully dedicated to support the SME community in improving their resilience to successfully transform digitally.” EUサイバーセキュリティ機関のエグゼクティブ・ディレクターであるジュハン・レパッサールは次のように述べています。 「中小企業のサイバーセキュリティと支援は、デジタル10年に向けたEUのサイバーセキュリティ戦略の最前線であり、同庁は、デジタルトランスフォーメーションを成功させるために、中小企業のコミュニティの回復力を向上させる支援に全面的に取り組んでいます。」
In addition to the report, ENISA also publishes today the Cybersecurity Guide for SMEs: “12 steps to securing your business”. The short cybersecurity guide provides SMEs with practical high-level actions to better secure their systems, hence their businesses. 報告書に加えて、ENISAは本日、中小企業向けのサイバーセキュリティガイド「あなたのビジネスを安全に導く12のステップ」を発表しました。この短いサイバーセキュリティガイドは、中小企業が自社のシステム、ひいてはビジネスの安全性を高めるための実践的なハイレベルアクションを提供します。
[VIDEO] https://youtu.be/ymLKVTat-IM [VIDEO] https://youtu.be/ymLKVTat-IM
Based on an extended desktop research, an extensive survey and targeted interviews, the report identifies those pre-existing cybersecurity challenges worsened by the impact of the pandemic crisis. 本報告書は、広範なデスクトップ調査、広範なアンケート調査、および対象となるインタビューに基づき、パンデミック危機の影響で悪化した既存のサイバーセキュリティの課題を特定しています。
Key findings 主な調査結果
85% of the SMEs surveyed agree that cybersecurity issues would have a serious detrimental impact on their businesses with 57% saying they would most likely go out of business. Out of almost 250 SMEs surveyed, 36% reported that they had experienced an incident in the last 5 years. Nonetheless, cyberattacks are still not considered as a major risk for a large number of SMEs and a belief remains that cyber incidents are only targeting larger organisations. 調査対象となった中小企業の85%が、サイバーセキュリティの問題が自社のビジネスに深刻な悪影響を及ぼすと考えており、57%が廃業する可能性が高いと回答しています。調査対象となった約250社の中小企業のうち、36%が過去5年間にインシデントを経験したことがあると回答しています。それにもかかわらず、多くの中小企業にとってサイバー攻撃はまだ主要なリスクとは考えられておらず、サイバー攻撃は大規模な組織のみを対象としているとの考えが残っています。
However, the study reveals that phishing attacks are among the most common cyber incidents SMEs are likely to be exposed to, in addition to ransomware attacks, stolen laptops, and Chief Executive Officer (CEO) frauds. For instance, with the concerns induced by the pandemic, cyber criminals seek to compromise accounts using phishing emails with Covid-19 as a subject. CEO frauds are other decoys meant to lure an employee into acting upon the instructions of a fraudulent email displayed as if sent from their CEO, and usually requesting a payment to be performed in urgency under business-like circumstances. しかし、今回の調査では、ランサムウェア攻撃、ノートパソコンの盗難、CEO(最高経営責任者)の不正行為に加えて、中小企業が遭遇する可能性の高いサイバーインシデントとして、フィッシング攻撃が挙げられています。例えば、パンデミックが懸念される中、サイバー犯罪者はCovid-19を件名にしたフィッシングメールを使ってアカウントを侵害しようとします。CEO詐欺とは、従業員をおとりにして、あたかもCEOから送られてきたかのように表示された詐欺メールの指示に従わせるもので、通常はビジネスライクな状況下で緊急に行うべき支払いを要求するものです。
The report unveils the following challenges SMEs are faced with: レポートでは、中小企業が直面している以下のような課題を明らかにしています。
・Low awareness of cyber threats; ・サイバー脅威に対する認識が低いこと。
・Inadequate protection for critical and sensitive information; ・重要な機密情報の保護が不十分であること。
・Lack of budget to cover costs incurred for implementing cybersecurity measures; ・サイバーセキュリティ対策を実施するために必要な予算が不足している。
・Availability of ICT cybersecurity expertise and personnel; ・ICTサイバーセキュリティの専門家や人材の確保。
・Absence of suitable guidelines tailored to the SMEs sector; ・中小企業向けの適切なガイドラインが存在しないこと。
・Moving online; ・オンライン化。
・Low management support. ・経営陣のサポート不足。
How to address those challenges? これらの課題に対処するにはどうすればよいのか?
The recommendations issued fall into three categories: 提言は3つのカテゴリーに分かれています。
・People ・人
People play an essential role in the cybersecurity ecosystem. The report draws attention to the importance of responsibility, employee buy-in and awareness, cybersecurity training and cybersecurity policies as well as third party management in relation to confidential and/or sensitive information. サイバーセキュリティのエコシステムでは、人が重要な役割を果たします。報告書では、責任感、従業員の賛同と意識、サイバーセキュリティ研修、サイバーセキュリティポリシー、さらには機密情報・重要情報に関連する第三者管理の重要性に注目しています。
・Processes ・プロセス
Monitoring internal business processes include performing audits, incident planning and response, passwords, software patches and data protection. 内部ビジネスプロセスの監視には、監査の実施、インシデントの計画と対応、パスワード、ソフトウェアのパッチ、データ保護などが含まれます。
・Technical ・テクニカル
At the technical level, a number of aspects should be considered in relation to network security, anti-virus, encryption, security monitoring, physical security and the securing of backups. 技術的なレベルでは、ネットワークセキュリティ、アンチウイルス、暗号化、セキュリティモニタリング、物理的セキュリティ、バックアップの確保など、さまざまな側面を考慮する必要があります。
Target audience 想定読者
The report intends to deliver actionable guidance to the owners and employees of SMEs. In addition, this work can be of use to other entities involved in the SME ecosystem, such as SMEs national and European associations, policymakers and implementers, SME ICT providers and others. 本報告書は、中小企業の経営者および従業員に実用的なガイダンスを提供することを目的としています。また、中小企業の国や欧州の協会、政策立案者や実施者、中小企業のICTプロバイダーなど、中小企業のエコシステムに関わる他の団体にも役立つ内容となっています。
Background 背景
For nearly 15 years, the EU Agency for Cybersecurity has been pushing forward cybersecurity initiatives to assist SMEs to integrate cybersecurity into their digital environments. Starting in 2006 and 2007, the Agency published two Information Package for SMEs reports, providing risk assessment and management methodologies for SMEs. In 2010, the Agency published the Business Continuity for SMEs report to help facilitate IT knowledge transfer to SMEs. In 2015, the Cloud Security Guide for SMEs report was released to assist SMEs understand the security risks and opportunities regarding cloud services. Two years later, the Agency published the Guidelines for SMEs on the security of personal data processing. 15年近くにわたり、EUサイバーセキュリティ庁は、中小企業がデジタル環境にサイバーセキュリティを組み込むことを支援するためのサイバーセキュリティの取り組みを推進してきた。2006年から2007年にかけて、同庁は中小企業のためのリスク評価と管理方法を提供する2つの「中小企業向け情報パッケージ」レポートを発行しました。2010年には、中小企業へのIT知識の移転を促進するために、「中小企業のための事業継続性」レポートを発行しました。2015年には、中小企業がクラウドサービスに関するセキュリティリスクと機会を理解するのを支援するために、「中小企業向けクラウドセキュリティガイド」レポートを発表しました。その2年後、同庁は個人データ処理のセキュリティに関する中小企業向けガイドラインを発表しました。
The EU Agency for Cybersecurity released last year a series of tips to help businesses face the rapidly changing digital sphere during the pandemic: Tips for selecting and using online communication tools; Tips for cybersecurity when buying and selling online; Tips for cybersecurity when working from home; Top ten cyber hygiene tips for SMEs during covid-19 pandemic. The EU Agency for Cybersecurity and the National Cyber Security Alliance published a joint checklist for SME in November 2020, offering businesses on both sides of the Atlantic a basic guide to maintaining digital security. EUサイバーセキュリティ機関は昨年、パンデミックの際に急速に変化するデジタル領域に企業が立ち向かうための一連のヒントを発表しました。オンライン・コミュニケーション・ツールを選択・使用する際のヒントオンラインで売買する際のサイバーセキュリティのヒント自宅で仕事をする際のサイバーセキュリティのヒントcovid-19パンデミック時に中小企業が行うべきサイバー衛生上のヒントトップ10。EUサイバーセキュリティ庁と全米サイバーセキュリティアライアンスは、2020年11月に中小企業向けの共同チェックリストを発表し、大西洋の両側の企業にデジタルセキュリティを維持するための基本的なガイドを提供しています。

 

・2021.06.28 Cybersecurity for SMEs - Challenges and Recommendations

Cybersecurity for SMEs - Challenges and Recommendations 中小企業のためのサイバーセキュリティ - 課題と推奨事項
In response to the COVID19 pandemic, ENISA analysed the ability of SMEs within the EU to cope with the cybersecurity challenges posed by the pandemic and determining good practices to address those challenges. This report provides cybersecurity advice for SMEs, but also proposals for actions that Member States should consider in order to support SMEs improve their cybersecurity posture. COVID19パンデミックに対応して、ENISAは、パンデミックがもたらすサイバーセキュリティの課題に対処するEU域内の中小企業の能力を分析し、それらの課題に対処するための優れた実践方法を決定しました。本報告書では、中小企業向けのサイバーセキュリティに関するアドバイスだけでなく、中小企業のサイバーセキュリティ態勢の改善を支援するために加盟国が検討すべき行動についても提案しています。

・[PDF]

20210707-15123

目次。。。

1. INTRODUCTION 1. 序論
1.1 SCOPE / OBJECTIVES 1.1 範囲/目的
1.2 TARGET AUDIENCE 1.2 想定読者
1.3 METHODOLOGY OVERVIEW 1.3 方法論の概要
1.4 SME CHARACTERISTICS 1.4 SMEの特徴
2. KEY SURVEY FINDINGS 2. 主な調査結果
2.1 SURVEY DEMOGRAPHICS 2.1 調査対象者の属性
2.2 SURVEY CONCLUSIONS 2.2 調査結果の概要
3. CHALLENGES 3. 課題
3.1 LOW CYBERSECURITY AWARENESS 3.1 サイバーセキュリティに対する意識の低さ
3.2 INADEQUATE PROTECTION FOR CRITICAL AND SENSITIVE INFORMATION 3.2 重要・機密情報の不十分な保護
3.3 BUDGETARY ISSUES 3.3 予算の問題
3.4 LACK OF ICT CYBERSECURITY EXPERTISE & PERSONNEL 3.4 ITサイバーセキュリティに関する専門知識と人材の不足
3.5 LACK OF SUITABLE GUIDELINES 3.5 適切なガイドラインの欠如
3.6 SHADOW IT/PERSONAL DEVICES 3.6 シャドーIT/個人デバイス
3.7 MOVING ONLINE 3.7 オンライン化
3.8 LOW MANAGEMENT SUPPORT 3.8 経営陣のサポート不足
4. CYBERSECURITY INCIDENTS 4. サイバーセキュリティインシデント
4.1 IT SERVICE PROVIDER COMPANY RANSOMWARED 4.1 ITサービスプロバイダー企業へのランサムウェア攻撃
4.2 STOLEN LAPTOP 4.2 ノートパソコンの盗難
4.3 EMAIL ACCOUNT HIJACKED TO FACILITATE FRAUD 4.3 詐欺目的のメールアカウントの乗っ取り
4.4 RANSOMWARED PC & SERVER 4.4 ランサムウェアに攻撃されたPCおよびサーバ
4.5 CEO FRAUD 4.5 CEO不正
5. RECOMMENDATIONS 5. 推奨事項
5.1 PEOPLE RECOMMENDATIONS 5.1 人々への推奨事項
5.1.1 Responsibility 5.1.1 責任の所在
5.1.2 Employee Buy-in 5.1.2 従業員の賛同
5.1.3 Employee Awareness 5.1.3 従業員の意識向上
5.1.4 Cybersecurity Training 5.1.4 サイバースペース・トレーニング
5.1.5 Cybersecurity Policies 5.1.5 サイバースペース・ポリシー
5.1.6 Third Party Management 5.1.6 委託先管理
5.2 PROCESS RECOMMENDATIONS 5.2 プロセスに関する推奨事項
5.2.1 Cybersecurity Audits 5.2.1 サイバースペースの監査
5.2.2 Incident Planning and Response 5.2.2 インシデントの計画と対応
5.2.3 Passwords 5.2.3 パスワード
5.2.4 Software Patches 5.2.4 ソフトウェアパッチ
5.2.5 Data Protection 5.2.5 データ保護
5.3 TECHNICAL RECOMMENDATIONS 5.3 推奨される技術
5.3.1 Network Security 5.3.1 ネットワークセキュリティ
5.3.2 Anti-Virus 5.3.2 ウィルス対策
5.3.3 Employ Email and Web Protection Tools 5.3.3 電子メールおよびWeb保護ツールの採用
5.3.4 Encryption 5.3.4 暗号化
5.3.5 Security Monitoring 5.3.5 セキュリティモニタリング
5.3.6 Physical Security 5.3.6 物理的セキュリティ
5.3.7 Secure Backups 5.3.7 安全なバックアップ
5.4 COVID19 SPECIFIC RECOMMENDATIONS 5.4 COVID19特有の推奨事項
5.4.1 Review Remote Access Facilities 5.4.1 リモートアクセス設備の見直し
5.4.2 Engage with the Cloud 5.4.2 クラウドへの取り組み
5.4.3 Implement Mobile Device Management 5.4.3 モバイルデバイス管理の導入
5.4.4 Conduct Appropriate Security Awareness Training 5.4.4 適切なセキュリティ意識向上トレーニングの実施
5.4.5 Secure Online Sites 5.4.5 オンラインサイトのセキュリティ確保
5.4.6 Information Sharing 5.4.6 情報の共有
5.5 MAPPING THREATS TO RECOMMENDATIONS 5.5 脅威を提言につなげる
6. EU AND NATIONAL LEVEL RECOMMENDATIONS 6. EU及び国家レベルの提言
6.1 PROMOTE CYBERSECURITY AT LARGE 6.1 全体的なサイバーセキュリティの推進
6.2 PROVIDE TARGETED GUIDELINES AND TEMPLATES 6.2 対象となるガイドライン及びテンプレートの提供
6.3 CREATE SME FOCUSED CYBERSECURITY STANDARDS 6.3 科学技術に焦点を当てたサイバーセキュリティ基準の策定
6.4 BOLSTER USE OF RISK MANAGEMENT FRAMEWORKS 6.4 リスク管理フレームワークの使用を強化する
6.5 MAKE CYBERSECURITY AFFORDABLE 6.5 サイバーセキュリティを手頃な価格にする
6.6 PROMOTE THE CREATION OF ISACS 6.6 ISACの設立を促進する
A ANNEX: METHODOLOGY A 附属書:方法論
A.1 SMES IN EU A.1 EUの中小企業
A.2 METHODOLOGY A.2 方法論
A.2.1 Phase I: Stock Taking A.2.1 フェーズI:ストックテイキング
Analysis of Phase I(a): Desktop Research フェーズI(a)の分析:デスクトップ・リサーチ
Analysis of Phase I(b): Survey フェーズI(b)の分析:アンケート調査
Analysis of Phase I(c): Interviews フェーズI(c)の分析:インタビュー
A.2.2 Phase II: Extraction of Results A.2.2 フェーズII:結果の抽出
A.2.3 Phase III: Report Validation A.2.3 フェーズIII:報告書の検証

 

・2021.06.28 Cybersecurity guide for SMEs - 12 steps to securing your business

Cybersecurity guide for SMEs - 12 steps to securing your business 中小企業のためのサイバーセキュリティガイド - あなたのビジネスを安全に導く12のステップ
The COVID-19 crisis showed how important the Internet and computers in general are for SMEs. In order to thrive in business during the pandemic many SMEs had to take business continuity measures, such as adopting to cloud services, improving their internet services, upgrading their websites and enabling staff to work remotely. This short guide provides SMEs with practical 12 high level steps on how to better secure their systems and their business. It is a companion publication to the more detailed ENISA report “Cybersecurity for SMES -Cybersecurity guide for SMEs Challenges and Recommendations”. COVID-19危機は、中小企業にとってインターネットやコンピュータがいかに重要であるかを示しました。パンデミック時にビジネスを成功させるために、多くの中小企業は、クラウドサービスの導入、インターネットサービスの改善、ウェブサイトのアップグレード、スタッフのリモートワークの実現など、事業継続のための対策を講じる必要がありました。この短いガイドブックは、中小企業が自社のシステムとビジネスの安全性を高めるための実践的な12の高レベルのステップを提供します。これは、より詳細なENISAのレポート「中小企業のためのサイバーセキュリティ  - 課題と推奨事項 」の姉妹誌です。

・[PDF]

20210707-21550

 

 

| | Comments (0)

2021.07.06

独国 コンラート・アデナウアー財団 平時における日本、オランダ、米国のサイバー防衛態勢の比較

こんにちは、丸山満彦です。

ドイツのコンラート・アデナウアー財団 (KONRAD ADENAUER STIFTUNG) [wikipedia EN DE] が平時における日本、オランダ、米国にサイバー防衛態勢の比較という報告書をだしていますね。日本の情報がどうかからえているか気になったのですが、全体としてそれほど詳細ではないですね。。。

KONRAD ADENAUER STIFTUNG

・2021.06.28 Outward Defense – Comparing the Cyber Defense Postures of Japan, the Netherlands and the United States in Peace Time


Outward Defense – Comparing the Cyber Defense Postures of Japan, the Netherlands and the United States in Peace Time 外向きの防衛 - 平時における日本、オランダ、米国のサイバー防衛態勢の比較
In light of the discussion on the alignment of cyber doctrines this brief uses the defense postures of Japan, the Netherlands, and the United States, to exemplify their contrasting evolutionary pathways. By outlining their core guidelines, organizational background and operational conduct, the comparison of these three countries illustrates the spectrum from more defensive to more offensive postures. サイバー・ドクトリンの整合性に関する議論を踏まえて、本報告書では、日本、オランダ、米国の防衛態勢を用いて、それぞれの対照的な進化の道筋を例示する。基本的なガイドライン、組織的背景、作戦行動を概説することで、この3カ国の比較は、より防御的な姿勢からより攻撃的な姿勢へのスペクトルを示している。
Targeted campaigns by adversarial nation state actors led to the evolution of cyber defense postures – their orientation ranges from more defensive to more offensive. 敵対する国家のアクターによる標的型キャンペーンにより、サイバー防衛態勢は進化し、その方向性は防御的なものから攻撃的なものへと変化しています。
Japan‘s defensively orientated approach focuses on hardening Japanese IT systems and increasing their resilience. The Dutch cyber defense posture is geared toward counter-intelligence efforts both at home and abroad to spoil adversarial campaigns. By conducting operations in adversarial networks, the US strategy of persistent engagement proactively seeks to create friction within adversarial operations. 日本の防御的なアプローチは、日本のITシステムを強化し、その回復力を高めることに重点を置いている。オランダのサイバー防衛姿勢は、敵対的なキャンペーンを阻止するための国内外での防諜活動を目的としている。米国の持続的関与戦略は、敵対的なネットワークで作戦を展開することで、敵対的な作戦に摩擦を生じさせることを積極的に目指すものである。
Common to the three approaches is that the tasks of the military and (civilian) intelligence agencies overlap – the trend is toward organizational integration and joint operations. これら3つのアプローチに共通しているのは、軍と(民間の)情報機関の任務が重複していることであり、組織の統合や共同作戦に向かう傾向にある。
Currently none of the considered countries has found an effective and coherent approach to address all state sponsored malicious cyber activities yet. Therefore, continuous experimentation and a willingness to adapt and learn remains key to better defend the homeland in cyberspace. 現在のところ、どの国も、国家が支援するすべての悪意のあるサイバー活動に対処するための効果的で一貫性のあるアプローチを見つけていない。したがって、サイバースペースにおける自国の防衛を強化するためには、継続的な実験と、適応して学ぶ姿勢が鍵となる。

 

・[PDF

20210706-143804

 ・[DOCX] 本文の仮対訳

 

| | Comments (0)

英国データ保護局 刑事司法制度における携帯電話のデータ抽出方法の改善について

こんにちは、丸山満彦です。

英国のデータ保護局 (Information Commissioner's Office)ブログで、コミッショナーのElizabeth Denhamが「英国の刑事司法制度における携帯電話のデータ抽出方法の改善について」を公表しています。

彼女の思いは、従来のプライバシーへの配慮が不十分な慣行によって、捜査機関、ひいては政府全体にたいして失われたかもしれない国民の信頼を取り戻すことことが重要とし、正当化できない携帯電話からの個人データの不必要な処理を止めるためのカルチャーの変化を刑事司法制度全体にもとめています。すなわち、警察が正当な理由なしに携帯電話を渡すように国民等に要求することは許されないとし、厳密に必要な場合にのみ、人々のデータを取得するするように変革しているとのことです。

民主主義の基本のような話かもしれませんね。。。個々人の基本的人権が優先する。しかし、状況によってはそれが制限され社会全体の安全が優先される場合がある。例外なので、それは厳格に運用する。

反対に社会主義的であれば、社会全体の安全が個人の基本的人権に優先するので、個々人の自由は限定的である。

もし、欧米諸国と共に発展しようと思っているのであれば、前者の道をいくのでしょうね。。。

 

Information Commissioner's Office; ICO 

・2021.06.30 Blog: Improving mobile phone data extraction practices across the criminal justice system in the UK

最新の報告書はこちらで、、、

・2021.06.30 ICO investigation into mobile phone data extraction by police in the UK

イングランドとウェールズの更新版

・2021.06.30 [PDF] Investigation update report: Mobile phone data extraction by police forces in England and Wales

2_20210706010101

 

スコットランド

・2021.06.30 [PDF] Investigation report: Mobile phone data extraction by police in Scotland

20210706-65541

 

北アイルランド

・2021.06.30 [PDF] Investigation report: Mobile phone data extraction by police in Northern Ireland

20210706-65735

 

 

1年前に公表された調査報告ですが、こちらも是非。。。

・2020.06.20 Investigation report: Mobile phone data extraction by police forces in England and Wales

・[PDF

2_20210706010101

 

| | Comments (0)

産総研 「機械学習品質マネジメントガイドライン 第2版」を公開

こんにちは、丸山満彦です。

産総研が「機械学習品質マネジメントガイドライン 第2版」を公開していますね。。。

産業技術総合研究所

「機械学習品質マネジメントガイドライン」の公開

・[PDF] 機械学習品質マネジメントガイドライン 第2版

20210907-55659

第2版での主な変更点は、


  • 1.5.3 節の公平性の定義を、より詳細に検討し変更した。
  • 1.7節及び6章の内部品質特性をA~Dにカテゴリ分けし、A-1~E-1まで付番した。
  • 内部品質特性 B-3「データの妥当性」を、特性 C-1「機械学習モデルの正確性」から分離し、内容を拡充した。
  • 内部品質特性の一部を改名した。
  • 公平性に関する 8 章及びセキュリティに関する 9 章を追加した。

ということで、セキュリティに関する項目も追加されていますね。。。

全体像については、、、

20210907-61858

内部品質について5分野9特性ありますね。。。

20210907-63855 20210907-63920

20210907-62649

分野 特性 特性 E 概要
A: 品質構造・データセットの設計  A-1: 問題領域分析の十分性 sufficiency of problem domain analysis 機械学習利用システムの実世界での利用状況に対応して機械学習要素に入力されると想定される運用時の実データの性質について分析が行われ、その分析結果が想定される全ての利用状況を被覆していること
 A-2: データ設計の十分性 coverage of distinguished problem cases 問題領域分析の十分性を前提として、システムが対応すべき様々な状況に対して十分な訓練用データやテスト用データを収集し整理するためのデータ設計の十分な検討
B: データセットの品質  B-1: データセットの被覆性 coverage of dataset 「対応すべき状況の組み合わせ」の各々に対して、状況の抜け漏れがなく、十分な量のデータが与えられていること
 B-2: データセットの均一性 uniformity of datasets 想定する入力データ集合全体に対する「データセットの均一性」
 B-3: データの妥当性 Adequacy of data データセット中のデータ 1つ 1 つが訓練の目的に照らして妥当であること
C: 機械学習モデルの品質  C-1: 機械学習モデルの正確性 correctness of the trained model 一定の品質を担保されたデータセット(訓練用データセット、テスト用データセット、バリデーション用データセットからなる)に含まれる具体的な入力データに対して、機械学習要素が期待通りの反応を示すこと
 C-2: 機械学習モデルの安定性 stability of the training model 学習データセットに含まれない入力データに対して、機械学習要素が期待する反応を示すこと
D: ソフトウェア実装の品質  D-1: プログラムの信頼性 reliability of underlying software system 機械学習の訓練段階に用いる訓練用プログラムや、実行時に使われる予測・推論プログラムが、与えられたデータや訓練済み機械学習モデルなどに対してソフトウェアプログラムとして正しく動作すること
E: 運用時の品質  E-1: 運用時品質の維持性 maintainability of quality during operation 運用開始時点で充足されていた内部品質が、運用期間中を通じて維持されること

 

セキュリティに関しては、

・攻撃の分類

A) 訓練済み学習モデルの誤動作の誘発
B) 訓練済み学習モデルについての情報の窃取
C) 訓練データに含まれるセンシティブ情報の窃取
D) 訓練済み学習モデルやシステムの解釈/説明機能の誤動作の誘発

 

脅威の分類になるんでしょうかね。。。

一般的な情報セキュリティの攻撃 データの収集プロセスに対する攻撃
ハイパーパラメータ窃取・データ窃取
機械学習フレームワークに対する攻撃
テスト用データの改竄
モデル窃取
モデル改竄・解釈/説明機能の改竄
機械学習アルゴリズムに対する攻撃 データポイズニング攻撃
モデルポイズニング攻撃
回避攻撃
モデル抽出攻撃
メンバシップ推測攻撃
モデルインバージョン攻撃
性質推測攻撃
解釈/説明機能を誤動作させる攻撃

 

機械学習アルゴリズムに対する攻撃

データポイズニング攻撃 data poisoning attack データポイズニング攻撃は、学習に用いる訓練用データに意図的な改変を加えることにより、完全性(integrity)を低下させる攻撃
モデルポイズニング攻撃 model poisoning attack 差分開発・転移学習などで既存の事前訓練済みモデルを学習に利用する場合には、事前訓練済みモデルの中にあらかじめバックドアを仕込んでおくことで、構築した訓練済みモデルに対して不正な動作などを埋め込めることがある。
回避攻撃 evasion attack 運用時に機械学習利用システムに特定の改変した入力(敵対的データ、adversarial example)を与えることで、機械学習要素に想定外の誤動作を生じさせる攻撃
モデル抽出攻撃 model extraction attack 運用時に、入力データに対する出力の振る舞いを観察することで、訓練済みモデルと同様
の動作をするモデルを抽出し窃取できる場合もある 
メンバシップ推測攻撃 membership inference attack 訓練済みモデルに正常な入力データを与え、モデルの出力を観測することにより、入力データがモデルの学習に用いられた訓練データセットに含まれているか否か(メンバシップ情報)を特定する攻撃
モデルインバージョン攻撃 model inversion 訓練済みモデルからの出力情報から学習データを復元する攻撃
性質推測攻撃 property inference attack 訓練データセットが満たす統計的な性質を推測する攻撃
解釈/説明機能を誤動作させる攻撃   解釈/説明可能性を実現する技術は、多くの場合ブラックボックスであり、敵対的データによって誤動作を生じることがある

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.01 産総研 「機械学習品質マネジメントガイドライン」を公開

 

 

Continue reading "産総研 「機械学習品質マネジメントガイドライン 第2版」を公開"

| | Comments (0)

2021.07.05

中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

こんにちは、丸山満彦です。

中国サイバースペース管理局がNY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」[wikipedia EN JP]を個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止しましたね。。。

しかし、上場した2日後に検査をし、その2日後に新規にアプリ提供禁止(中国国内のみ)を命じるというのは、すごいスピード感というかなんというか。。。

具体的にどのような問題があったのかがよくわからないんですが、概要だけでもわかると他社への参考になるのですが。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.07.04 关于下架“滴滴出行”App的通报

关于下架“滴滴出行”App的通报 「滴滴出行」アプリのダウンロードに関するお知らせ
根据举报,经检测核实,“滴滴出行”App存在严重违法违规收集使用个人信息问题。国家互联网信息办公室依据《中华人民共和国网络安全法》相关规定,通知应用商店下架“滴滴出行”App,要求滴滴出行科技有限公司严格按照法律要求,参照国家有关标准,认真整改存在的问题,切实保障广大用户个人信息安全。 報告書によると、テストと検証の結果、「滴滴出行」アプリには重大な違法・不正な個人情報の収集と使用がありました。 国家サイバースペース管理局は、中華人民共和国ネットワークセキュリティ法の関連規定に基づき、アプリケーションストアに「滴滴出行」アプリの停止を通知するとともに、滴滴出行科技有限公司に対し、法的要求を厳格に遵守し、関連する国家標準を参照し、既存の問題を真剣に是正し、大多数のユーザーの個人情報のセキュリティを効果的に保護するよう要請しました。

 

・2021.07.02 网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告

网络安全审查办公室关于对“滴滴出行”启动网络安全审查的公告 サイバースペース管理局による "滴滴出行"のネットワーク・セキュリティ・レビューの開始についてのお知らせ
为防范国家数据安全风险,维护国家安全,保障公共利益,依据《中华人民共和国国家安全法》《中华人民共和国网络安全法》,网络安全审查办公室按照《网络安全审查办法》,对“滴滴出行”实施网络安全审查。为配合网络安全审查工作,防范风险扩大,审查期间“滴滴出行”停止新用户注册。 国家データセキュリティリスクを防止し、国家安全保障を維持し、公共の利益を保護するため、中華人民共和国国家安全保障法および中華人民共和国ネットワークセキュリティ法に基づき、サイバースペース管理局は、ネットワークセキュリティ審査措置に基づいて「滴滴出行」のネットワークセキュリティ審査を実施します。 ネットワークセキュリティの見直しに協力し、リスクの拡大を防ぐために、「滴滴出行」は見直し期間中の新規ユーザー登録を停止します。

1_20210705085401


DiDI Global Inc.

・2021.07.04 DiDi Announces App Takedown in China

DiDi Announces App Takedown in China DiDi、中国でのアプリテイクダウンを発表
BEIJING--(BUSINESS WIRE)-- DiDi Global Inc. (“DiDi” or the “Company”) (NYSE: DIDI), the world’s leading mobility technology platform, today announced that according to the announcement posted by the Cyberspace Administration of China (the “CAC”) on July 4, 2021, the CAC stated that it was reported and confirmed that the "DiDi Chuxing" app had the problem of collecting personal information in violation of relevant PRC laws and regulations. Pursuant to the PRC's Cybersecurity Law, the CAC notified app stores to take down the "DiDi Chuxing" app in China, and required the Company to strictly comply with relevant laws and regulations, follow the relevant standards set by the PRC government authorities, and rectify the problem to ensure the security of users' personal information. 北京--(BUSINESS WIRE)--DiDi Global Inc. 以下、「DiDi」または「当社」)(NYSE: DIDI)は本日、中国サイバースペース理局(以下、「CAC」)が2021年7月4日に掲載した発表によると、「DiDi Chuxing」アプリには中国の関連法規に違反して個人情報を収集する問題があると報告・確認されたと発表しました。中国のサイバーセキュリティ法に基づき、CACはアプリストアに対し、中国国内で「DiDi Chuxing」アプリを停止するよう通知し、当社に対し、関連法令を厳格に遵守し、中国政府当局が定めた関連基準に従い、ユーザーの個人情報のセキュリティを確保するために問題を是正するよう求めました。
Once the "DiDi Chuxing" app is taken down from app stores in China, the app can no longer be downloaded in China, although existing users who had previously downloaded and installed the app on their phones prior to the takedown may continue using it. The Company will strive to rectify any problems, improve its risk prevention awareness and technological capabilities, protect users' privacy and data security, and continue to provide secure and convenient services to its users. The Company expects that the app takedown may have an adverse impact on its revenue in China. 「DiDi Chuxing」アプリが中国のアプリストアから削除されると、中国では同アプリをダウンロードすることができなくなりますが、削除前に同アプリをダウンロードして携帯電話にインストールしていた既存の利用者は、引き続き使用することができます。当社は、問題の是正に努め、リスク防止意識と技術力の向上を図り、利用者のプライバシーとデータセキュリティを保護し、利用者に安心で便利なサービスを提供し続けます。当社は、今回のアプリのテイクダウンにより、中国における当社の収益に悪影響を及ぼす可能性があると考えています。
Apart from the suspension of new user registration in China that was previously announced on July 2, 2021, and the app takedown in China as announced in this release, DiDi maintains normal operations globally. 2021年7月2日に既に発表した中国での新規利用社登録の停止と、本リリースで発表した中国でのアプリのテイクダウンを除けば、DiDiはグローバルで通常の業務を維持しています。

 

・2021.07.02 DiDi Announces Cybersecurity Review in China

DiDi Announces Cybersecurity Review in China DiDi、中国でのサイバーセキュリティ・レビューを発表
BEIJING--(BUSINESS WIRE)-- DiDi Global Inc. (“DiDi” or the “Company”) (NYSE: DIDI), the world’s leading mobility technology platform, today announced that pursuant to the announcement posted by the PRC's Cyberspace Administration Office on July 2, 2021, DiDi is subject to cybersecurity review by the authority. During the review, DiDi is required to suspend new user registration in China. 北京--(BUSINESS WIRE)--DiDi Global Inc. 以下「DiDi」または「当社」)(NYSE: DIDI)は本日、中国のサイバー空間管理局が2021年7月2日に掲載した発表に基づき、DiDiが当局によるサイバーセキュリティの審査を受けることを発表しました。審査中、DiDiは中国での新規利用者登録を停止する必要があります。
DiDi will fully cooperate with the PRC government authority during the review. It plans to conduct a comprehensive examination of cybersecurity risks and continue to improve on its cybersecurity systems and technology capabilities. DiDiは、審査の間、中国政府当局に全面的に協力します。また、サイバーセキュリティのリスクを包括的に検証し、サイバーセキュリティシステムと技術力を継続的に改善していく予定です。
Apart from the suspension of new user registration in China, DiDi maintains normal operation. 中国での新規利用者登録の停止以外、DiDiは通常の業務を行っています。

 

 

適時開示(6-K)

● Edgar

・2021.07.02 6-K

具体的な開示内容

2021.07.02 Ex99.1

 

 

 


■ 株価

645ca549b3b243959e80a79f09b8e992

Google

 

 

■ 報道等

● REUTERS

・2021.07.05 再送-中国当局、配車サービス滴滴のアプリ配信停止を命じる

● Business Insider

・2021.07.05 中国当局、IPOしたばかりの「ディディ(滴滴出行)」をDL停止処分

| | Comments (0)

独国 BSI 技術ガイドライン TR-03166 - 認証用機器におけるバイオメトリクス認証コンポーネントに関する技術ガイドラインについての意見募集

こんにちは、丸山満彦です。

ドイツの 情報セキュリティに関する連邦事務局 (Bundesamt für Sicherheit in der Informationstechnik) が認証用機器におけるバイオメトリクス認証コンポーネントに関する技術ガイドライン、TR-03166の草案を公開し、意見募集をしていますね。。。

報告書は英語です。。。

プレスです

Bundesamt für Sicherheit in der Informationstechnik

・2021.07.02 BSI veröffentlicht Community Draft zur Kommentierung der BSI TR-03166

BSI veröffentlicht Community Draft zur Kommentierung der BSITR-03166 BSIはBSI TR-03166に対するコメントを募集するコミュニティドラフトを公開しました。
Der erste Community Draft der vom Bundesamt für Sicherheit in der Informationstechnik (BSI) veröffentlichten BSI TR-03166 definiert in Anlehnung an die eIDAS-Verordnung drei Vertrauensniveaus. Diese zeichnen sich durch unterschiedliche biometrische Performanz und Stärke aus, um Präsentationsangriffe rechtzeitig zu erkennen. Die Technische Richtlinie soll ein erster Baustein auf dem Weg hin zu biometrischer Authentifikation mittels zertifizierten mobilen Verbraucherendgeräten sein und in der Folge Identitätsmissbräuche erschweren. ドイツ連邦情報セキュリティ局(BSI)が発表したBSI TR-03166の最初のコミュニティドラフトでは、eIDAS規則に基づいて3つの信頼レベルを定義しています。これらは、プレゼンテーション攻撃を時間内に検出するために、異なるバイオメトリクスの性能と強度によって特徴付けられます。本技術ガイドラインは、認証されたモバイルコンシューマー端末によるバイオメトリクス認証を実現するための最初のビルディングブロックとなり、その後、IDの不正使用をより困難にすることを目的としています。
Viele Bürger verwenden täglich Biometrie in privaten mobilen Geräten. Das Notebook wird über den Fingerabdruckscanner entsperrt oder ein Blick auf das Smartphone genügt, um Zugriff auf gespeicherte Daten und eingerichtete Dienste zu erhalten. Ein Gerät kann bei fehlenden Vorkehrungen von einem Dritten mit nachgemachten biometrischen Merkmalen, wie einem Bild aus den sozialen Medien, entsperrt werden (Präsentationsangriff). Mit ihrer zweigeteilten Charakteristik macht die Technische Richtlinie einerseits Vorgaben bezüglich der biometrischen Performanz und der Widerstandsfähigkeit einer biometrischen Authentifikationskomponente gegenüber Präsentationsangriffen. Diese müssen von Dienstleistern bezüglich einer sicheren und vertrauensvollen Authentifikation berücksichtigt werden. Anderseits werden Empfehlungen anhand eines Smartphones gegeben wie Biometrie als ein Authentifikationsfaktor von Software-Entwicklern implementiert und Biometrie letztendlich vom Nutzer verwendet werden kann. 多くの市民が日常的に個人用のモバイル機器でバイオメトリクスを使用しています。ノートブックのロック解除は、指紋認証で行うか、スマートフォンを一目見るだけで、保存されたデータへのアクセスやサービスの設定が可能です。何の対策もしていなければ、ソーシャルメディア上の写真などの生体情報を模倣して、第三者がデバイスのロックを解除することができます(プレゼンテーション攻撃)。この技術ガイドラインは、2つの部分から構成されているのが特徴で、一つはバイオメトリクスの性能で、もう一つはバイオメトリクス認証コンポーネントのプレゼンテーション攻撃に対する耐性について規定しています。サービスプロバイダーは、安全で信頼できる認証に関して、これらを考慮しなければなりません。一方で、ソフトウェア開発者が認証要素としてバイオメトリクスをどのように実装し、最終的にユーザーがバイオメトリクスをどのように利用できるかについて、スマートフォンをベースにした提言がなされています。

 

説明です

BSI TR-03166 Technical Guideline for Biometric Authentication Components in Devices for Authentication

 

BSI TR-03166 Technical Guideline for Biometric Authentication Components in Devices for Authentication BSI TR-03166 認証用機器におけるバイオメトリクス認証コンポーネントの技術ガイドライン
Biometrie bietet den Komfort einer einfachen Authentifikation. Dieser zeichnet sich dadurch aus, dass biometrische Charakteristika nicht vergessen oder ohne Weiteres verloren werden können, wie dies beispielsweise bei PINs oder Passwörtern der Fall ist. Aus den genannten Gründen wird Biometrie als Authentifikationsfaktor immer häufiger angewendet. Ein prominentes Beispiel hierfür ist das Smartphone, welches viele technische Merkmale, wie Konnektivität zu internen und externen Netzwerken, Speicherung von sensiblen Daten und vielfältiger Sensorik vereint. Biometrie ist meist eine Möglichkeit zur Verifikation oder Authentifikation gegenüber offline und online Diensten auf einem entsprechenden Gerät. Zu nennen sind hier aktuell die biometrischen Modalitäten Finger und Gesicht, die mit in Smartphones integrierter Hard- und Software verwendet werden. Durch die fortschreitende Digitalisierung verschwimmt zunehmend die zuvor strikte Trennung zwischen privater Hardware und hoheitlicher Anwendung. Um Identitätsmissbräuche zu erschweren und ein Vertrauensniveau in einer biometrischen Verifikation oder Authentifikation zu erzeugen, sind Definitionen für biometrische Performanzwerte, wie auch eine Präsentationsangriffsdetektion (engl. Presentation Attack Detection PAD) notwendig. Denn im Gegensatz zu Passwörtern und Authentisierungstoken ist die Anzahl an biometrischen Instanzen begrenzt und sie lassen sich, wenn einmal veröffentlicht, nicht beliebig häufig ändern oder löschen. バイオメトリクスは、シンプルな認証の利便性を提供します。これは、例えば暗証番号やパスワードのように、生体の特徴を忘れたり、簡単に失ったりすることができないという特徴があります。上記のような理由から、バイオメトリクスが認証要素として使用されることが多くなっています。その代表例がスマートフォンです。スマートフォンは、社内外のネットワークへの接続、機密データの保存、多様なセンサー技術など、多くの技術的機能を兼ね備えています。バイオメトリクスとは、主に、対応するデバイス上のオフラインおよびオンラインサービスに対する検証または認証の方法です。現在、指と顔のバイオメトリック・モダリティは、スマートフォンに組み込まれたハードウェアとソフトウェアで使用されています。デジタル化の進展により、これまで厳格に区分されていた個人のハードウェアと主権者のアプリケーションとの関係がますます曖昧になってきています。IDの不正使用をより困難にし、バイオメトリクスによる検証や認証に信頼性を持たせるためには、バイオメトリクスの性能値やPAD(Presentation Attack Detection)の定義が必要です。これは、パスワードや認証トークンとは異なり、バイオメトリクスのインスタンスの数は限られており、一度公開すると何度も変更や削除ができないためです。
Die Technische Richtlinie "Technical Guideline for Biometric Authentication Components in Devices for Authentication” (BSI TR-03166) macht Vorgaben und gibt Empfehlungen bezüglich Biometrie als ein Authentifikationsfaktor neben Wissen und Besitz. Die entsprechenden Performanzanforderungen und die Forderung nach PAD-Funktionalitäten sind angelehnt an Anforderungen aus der eIDAS-Verordnung. Zukünftige Anwendungsszenarien können es erforderlich machen, dass eine biometrische Verifikation oder Authentifikation einem dem Anwendungsszenario angemessenen Vertrauensniveau entspricht. Das erforderliche Vertrauensniveau in die Authentifikation wird durch den Service oder Dienst selbst bestimmt. Exemplarisch sind im Anhang der Technischen Richtlinie Verwendungsszenarien am Beispiel eines Smartphones skizziert. 技術ガイドライン「Technical Guideline for Biometric Authentication Components in Devices for Authentication」(BSI TR-03166)では、知識や所有に加えて、認証要素としてのバイオメトリクスに関する仕様や推奨事項が定められています。対応する性能要件とPADの機能性に対する要求は、eIDAS規則の要件に基づいています。将来のアプリケーションシナリオでは、バイオメトリクス検証または認証が、アプリケーションシナリオに適した信頼レベルに対応することが必要になるかもしれません。認証に必要な信頼度は、サービスまたはサービス自体によって決定されます。スマートフォンを例にした例示的な使用シナリオは、技術ガイドラインの付属書に記載されています。

・[PDF

20210705-150527

目時 ↓↓↓↓↓

Continue reading "独国 BSI 技術ガイドライン TR-03166 - 認証用機器におけるバイオメトリクス認証コンポーネントに関する技術ガイドラインについての意見募集"

| | Comments (0)

中国共産党100周年の演説 at 天安門広場 by 習近平さん

こんにちは、丸山満彦です。

2021.07.01に天安門広場で習近平さんが中国共産党100周年の演説をしましたね。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2021.07.01 庆祝中国共产党成立100周年大会在天安门广场隆重举行 习近平发表重要讲话(中国共産党創立100周年を記念して天安門広場で盛大な会議が開催され、習近平が重要な演説を行った)

一百年前,中国共产党的先驱们创建了中国共产党,形成了坚持真理、坚守理想,践行初心、担当使命,不怕牺牲、英勇斗争,对党忠诚、不负人民的伟大建党精神,这是中国共产党的精神之源。一百年来,中国共产党弘扬伟大建党精神,在长期奋斗中构建起中国共产党人的精神谱系,锤炼出鲜明的政治品格。历史川流不息,精神代代相传。我们要继续弘扬光荣传统、赓续红色血脉,永远把伟大建党精神继承下去、发扬光大 100年前、中国共産党の先駆者たちは中国共産党を創立し、真実を堅持し、理想を堅持し、初志を実践し、使命を引き受け、犠牲を恐れず、勇敢に奮闘し、党に忠誠を尽くし、人民のために生きるという偉大な創立精神を形成し、これが中国共産党の精神の源となっている。 この一世紀の間、中国共産党は偉大な建国精神を継承し、長期にわたる闘争の中で中国共産党の精神的系譜を築き上げ、明確な政治的性格を磨き上げてきた。 歴史は延々と流れ、精神は世代を超えて受け継がれていく。 輝かしい伝統を継承し、赤い血統を継続し、偉大な党建設の精神を常に継承、発展させていかなければなりません。

 

特設ページ

习近平新时代元中国特色社会主义思想

 

演説の全文はこちらです。。。

その他、いろいろと関連する演説もありますね。。。

・2021.07.01 习近平:在庆祝中国共产党成立100周年大会上的讲话(習近平:中国共産党創立100周年記念大会での演説)

 

1_20210705085401

 

| | Comments (0)

2021.07.04

ロシア連邦大統領令第400号「ロシア連邦の国家安全保障戦略」を公表

こんにちは、丸山満彦です。

ロシアの国家安全保障戦略は6年毎に策定されます。前回が2015年でしたので、今年が改訂の年となります。ということで、7月2日にロシア連邦の国家安全保障戦略が公表されていますね。ロシア語で読めていませんが。。。

安全保障にインターネット関連、情報セキュリティが重要という認識はロシアも同じようですね。。。

20210704-152813

Официальный интернет-портал правовой информации(ロシア連邦政府 法律情報の公式インターネットポータル

・2021.07.02 Указ Президента Российской Федерации от 02.07.2021 № 400 "О Стратегии национальной безопасности Российской Федерации"

・[PDF] <Downloaded>

20210704-153347

・[DOCX] テキスト変換

・[DOCX] 露米日対訳

 


 

Совет Безопасности Российской Федерации(ロシア連邦安全保障会議)

1_20210704153901・2021.06.28 Интервью заместителя Секретаря Совета Безопасности Российской Федерации Олега Храмова информационному агентству РИА-НОВОСТ(ロシア連邦安全保障理事会副書記Oleg Khramov氏のRIA Novost通信社へのインタビュー:ロシアはサイバー分野での公正な鼓動のルールを提案している

・2021.06.01 Интервью Секретаря Совета Безопасности Российской Федерации Н.П.Патрушева «Российской газете»(ロシア連邦安全保障理事会事務局長N.P.パトルシェフ氏のRossiyskaya Gazetaへのインタビュー)

・2021.05.19 Заместитель Секретаря Совета Безопасности России Сергей Вахруков в интервью информационному агентству Интерфакс рассказал о проекте обновленной стратегии нацбезопасности, которую вскоре представят Президенту РФ(ロシア安全保障会議の副長官セルゲイ・バクルコフは、間もなくロシア大統領に提出される最新の国家安全保障戦略の草案について、インタファクス通信とのインタビューで次のように述べています。:国家安全保障に対する新たな脅威に応じて、新たな優先事項が策定されます)

・2021.03.26 Президент провёл в режиме видеоконференции заседание Совета Безопасности, в ходе которого рассматривался проект «Основ государственной политики Российской Федерации в области международной информационной безопасности»(大統領はビデオ会議による安全保障会議を開催し、国際情報セキュリティ分野におけるロシア連邦の国家政策の原則案を検討した)

 


■ 報道

TACC

・2021.07.03 Путин утвердил Стратегию национальной безопасности(プーチン大統領が国家安全保障戦略を承認)

В документе говорится, что его реализация будет способствовать повышению качества жизни и благосостояния россиян, укреплению обороноспособности страны, единства и сплоченности российского общества.

iz

・2021.07.04 Эксперт указал на связь угроз НАТО и новой стратегии нацбезопасности(専門家は、NATOの脅威と新国家安全保障戦略の関連性を指摘)

・2021.07.03 Путин утвердил Стратегию национальной безопасности Россииプーチンはロシアの国家安全保障戦略を承認した

| | Comments (0)

ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

こんにちは、丸山満彦です。

ロシア 通信・IT・マスメディア監督連邦サービス (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) )  [wikipedia EN]が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表していますね。

Roskomnadzor (Роскомнадзор) はロシア連邦政府の通信・IT・マスメディアを監督する行政サービス(政府の外郭組織)で、個人情報の監督も扱っているところですね。。。

 

罰金は100万ルーブル(約150万円)、繰り返しした場合は600万ルーブル(約900万円)。EUに比べるとむっちゃ良心的(^^)。FacebookとTwitterについては2020年にすでに400万ルーブルの罰金が言い渡されていて、Facebookは支払い、Twitterは支払っていないようですね。。。

 

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

1920pxemblem_of_roskomnadzorsvg

・2021.07.01 Facebook, WhatsApp и Twitter не подтвердили локализацию баз данных российских пользователей на территории РФ

 

Facebook, WhatsApp и Twitter не подтвердили локализацию баз данных российских пользователей на территории РФ Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない
Роскомнадзор вызвал представителей американских интернет-сервисов Facebook, WhatsApp и Twitter на составление административных протоколов за нарушение требований российского законодательства в области персональных данных (ПД) в части локализации баз данных российских пользователей на территории России. 通信・IT・マスメディア監督連邦サービスは、米国のインターネットサービスであるFacebook、WhatsApp、Twitterの代表者を召喚し、ロシアの個人データ法の要件に違反しているとして、ロシア人利用者のデータベースをロシア国内でローカライズするための行政プロトコルを作成しました。
Ранее Роскомнадзор потребовал от ряда иностранных компаний предоставить документы, подтверждающие, что хранение и обработка персональных данных российских пользователей осуществляется на территории РФ. Сервисы Facebook, WhatsApp и Twitter такие данные своевременно не предоставили. これに先立ち、通信・IT・マスメディア監督連邦サービスは多数の外国企業に対し、ロシア人利用者の個人データの保存と処理がロシア連邦の領土内で行われていることを確認する文書の提出を要求しました。Facebook、WhatsApp、Twitterはそのようなデータを期限内に提供できませんでした。
В отношении мессенджера WhatsApp будет составлен административный протокол по ч. 8 ст. 13.11 КоАП РФ. В отношении Facebook и Twitter — за повторное нарушение требования о локализации ПД по ч. 9 ст. 13.11 КоАП РФ. メッセンジャーのWhatsAppについては、ロシア連邦行政犯罪法第13.11条第8項に基づき、FacebookおよびTwitterに関して - CAO RFの第13.11条第9項に基づくPDのローカライズ要求に繰り返し違反したため行政プロトコルが作成されます。
В 2020 году Facebook и Twitter уже привлекались к ответственности по ч. 8 ст. 13.11 КоАП РФ и были оштрафованы судом на 4 млн рублей каждая. Компания Facebook оплатила штраф, Twitter – не оплатил. Вопрос о необходимости локализации баз данных российских пользователей в РФ обсуждается с зарубежными компаниями с 2015 года. 2020年、FacebookとTwitterはすでにCAO RFの13.11条の第8部に基づいて起訴され、裁判所からそれぞれ400万ルーブルの罰金を科されました。Facebookは罰金を支払い、Twitterは支払いませんでした。ロシア人利用者のデータベースをロシア連邦にローカライズする必要があるという問題は、2015年から外国企業との間で議論されてきました。
Согласно российскому законодательству (Федеральный закон от 27.06.2006 г. № 152-ФЗ) оператор ПД обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на ее территории. Локализация баз данных на территории РФ позволяет обеспечить необходимый уровень защищённости персональных данных российских пользователей. ロシアの法律(2006年6月27日付連邦法第152-FZ号)によると、個人データ事業者は、ロシア領内にあるデータベースを使用して、ロシア国民の個人データの記録、体系化、蓄積、保管、明確化(更新、変更)、抽出を確実に行う義務があります。ロシア連邦の領土にデータベースを配置することで、ロシア人利用者の個人データを必要なレベルで保護することが可能になります。
Отсутствие подтверждения факта локализации баз данных российских граждан на территории РФ влечет наложение административного штрафа на юридических лиц в размере от 1 млн до 6 млн рублей (ч. 8 ст. 13.11 КоАП РФ). В случае повторного нарушения этого требования – от 6 млн до 18 млн рублей (ч. 9 ст. 13.11 КоАП РФ). ロシア連邦内でのロシア市民のデータベースのローカライズを怠ると、法人に対して100万~600万ルーブルの行政罰金が科せられます(ロシア連邦行政犯罪法第8条第13.11項)。この要件に繰り返し違反した場合、600万ルーブルから1,800万ルーブルとなります(CAO RFの第13.11条の第9項)。


Googleについては、こちら。。。

・2021.06.30 Компания Google не локализовала данные российских граждан на территории России

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

昨年成立した罰金をあげる法案の件

・2021.02.15 ロシア プライバシー法に違反した場合の罰金を引き上げる法案を下院が承認したようですね。。。

 

少し古いですが、各国のデータローカリゼーション等の法制度の報告書。ロシアもふくまれています。

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

| | Comments (0)

2021.07.03

米国 CISA ランサムウェアへの備えについての自己評価ツールの公表

こんにちは、丸山満彦です。

米国のCybersecurity & Infrastracture Seucurity Agency; CISAがランサムウェアへの備えについての自己評価ツールの公表していますね。。。

Fig2_20210703065701

 

Cybersecurity & Infrastracture Seucurity Agency; CISA

・2021.06.30 CISA’s CSET Tool Sets Sights on Ransomware Threat

CISA’s CSET Tool Sets Sights on Ransomware Threat CISAのCSETツールがランサムウェアの脅威に照準を合わせる
The RRA is a self-assessment based on a tiered set of practices to help organizations better assess how well they are equipped to defend and recover from a ransomware incident. CISA has tailored the RRA to varying levels of ransomware threat readiness to make it useful to all organizations regardless of their current cybersecurity maturity. The RRA: RRAは、ランサムウェアのインシデントに対する防御と復旧の能力を評価するための、段階的な実践方法に基づいた自己評価です。CISAは、現在のサイバーセキュリティの成熟度にかかわらず、すべての組織に役立つように、ランサムウェアの脅威に対する準備状況のレベルに応じてRRAを調整しました。RRAは、
Helps organizations evaluate their cybersecurity posture, with respect to ransomware, against recognized standards and best practice recommendations in a systematic, disciplined, and repeatable manner. 組織がランサムウェアに関するサイバーセキュリティの態勢を、認知された基準やベストプラクティスの推奨事項に照らして、体系的、規律的、かつ反復可能な方法で評価すできるように支援します。
Guides asset owners and operators through a systematic process to evaluate their operational technology (OT) and information technology (IT) network security practices against the ransomware threat. ランサムウェアの脅威に対する運用技術(OT)および情報技術(IT)ネットワークのセキュリティ対策を評価するための体系的なプロセスを、資産の所有者および運営者に提供します。
Provides an analysis dashboard with graphs and tables that present the assessment results in both summary and detailed form. 評価結果をグラフや表で示した分析ダッシュボードを提供し、概要と詳細の両方を表示します。
CISA strongly encourages all organizations to take the CSET Ransomware Readiness Assessment, available at  (site). CISAは、すべての組織に対し、siteで入手可能なCSET Ransomware Readiness Assessmentを受けることを強く推奨します。

 

ツールはここで入手できます。。。

・2021.06.30 Ransomware Readiness Assessment CSET v10.3

| | Comments (0)

「取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律」についての板倉先生の解説

こんにちは、丸山満彦です。

「取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律」の解説を板倉先生がかいていますね。。。

Business & Law

・2021.07.02 「取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律」の解説

 


 

● 消費者庁

国会提出法案

・2021.03.05 国会提出 取引デジタルプラットフォームを利用する消費者の利益の保護に関する法律案

20210703-64002

 ポイントは次の4つですかね。。。

  1. 取引DPF提供者:消費者保護のための自主的取組とその取組の開示についての努力義務
  2. 消費者庁:安全性を欠く商品を取引DPF上から削除することを求める要請権限の付与
  3. 消費者:取引DPF提供者に対する販売業者等情報の開示の請求権の創設
  4. 官民協議会の設置・申出制度の創設

 


広い意味での参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.01 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク

・2021.03.11 欧州消費者団体 「EU消費者保護2.0-デジタル消費者市場における構造的非対称性」を公表していますね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

・2021.02.02 「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律」が施行された

 

 

| | Comments (0)

米国 保健福祉省 内部監査:病院内ネットワークに接続された医療機器に対するサイバーセキュリティに関する一貫した監督が不十分 at 2021.06.21

こんにちは、丸山満彦です。

米国 社会福祉省 (Department of Health and Human Services: HHS) の内部監査 (Office of Inspector General: OIG) が病院内ネットワークに接続された医療機器に対するサイバーセキュリティに関する一貫した監督が不十分という報告書を公開していましたね。。。

病院の品質管理等を確認する機関は、サイバーセキュリティに関する監督ルールが明確でないことから、Centers for Medicare & Medicaid Services: CMSが病院を監督する際に、医療機器に対するサイバーセキュリティ対策がどのようになっているのか確認ができていない場合があるということなのでしょうかね。。。

Department of Health and Human Services: HHS - Office of Inspector General: OIG

・2021.06.21 Medicare Lacks Consistent Oversight of Cybersecurity for Networked Medical Devices in Hospitals

・[PDF] 

20210703-55751

Medicare Lacks Consistent Oversight of Cybersecurity for Networked Medical Devices in Hospitals メディケアは病院内のネットワーク接続された医療機器のサイバーセキュリティについて一貫した監督を行っていない
WHY WE DID THIS STUDY この調査を行った理由
Without proper cybersecurity controls, hospitals' networked medical devices (i.e., devices designed to connect to the internet, hospital networks, and other medical devices) can be compromised, which can lead to patient harm. CMS's survey protocol for overseeing hospitals is silent with respect to the cybersecurity of these devices. This evaluation sheds new light on the extent to which Medicare accreditation organizations (AOs) use their discretion to address cybersecurity of networked devices during hospital surveys. As hospitals continue to be targeted in cyberattacks that risk patient harm, it is important to know whether and how AOs evaluate and hold hospitals accountable for cybersecurity of their devices. 適切なサイバーセキュリティ管理を行わないと、病院のネットワーク医療機器(インターネット、病院ネットワーク、その他の医療機器に接続するように設計された機器)が危険にさらされ、患者に被害が及ぶ可能性があります。病院を監督するCMSの調査プロトコルは、これらの機器のサイバーセキュリティに関しては言及していません。今回の評価は、メディケアの認定機関(AO)が、病院調査の際にネットワーク機器のサイバーセキュリティをどの程度まで考慮しているかについて、新たな光を当てます。病院がサイバー攻撃の標的となり、患者に被害を与える危険性があるため、認定機関が病院の機器のサイバーセキュリティを評価し、責任を持たせるかどうか、どのように評価するかを知ることは重要です。
HOW WE DID THIS STUDY 本調査の方法
We conducted structured telephone interviews with leadership at the four AOs and sent written questions to CMS. We asked AOs about the extent to which their survey standards required hospitals to have a cybersecurity plan for networked devices as well as other ways in which their surveys might cover cybersecurity for networked devices. We also reviewed documentation of relevant survey standards and procedures from the AOs. 私たちは、4つのAOのリーダーに電話インタビューを行い、CMSに書面で質問を送りました。AOには、その調査基準で病院がネットワーク機器のサイバーセキュリティ計画を持つことをどの程度要求しているか、またネットワーク機器のサイバーセキュリティを調査の対象とするその他の方法について尋ねました。また、AOが作成した関連する調査基準と手順の文書を確認しました。
WHAT WE FOUND 発見事項
CMS's survey protocol does not include requirements for networked device cybersecurity, and the AOs do not use their discretion to require hospitals to have such cybersecurity plans. However, AOs sometimes review limited aspects of device cybersecurity. For example, two AOs have equipment-maintenance requirements that may yield limited insight into device cybersecurity. If hospitals identify networked device cybersecurity as part of their emergency preparedness risk assessments, AOs will review the hospitals' mitigation plans. AOs told us that in practice, however, hospitals did not identify device cybersecurity in these risk assessments very often. Assessing hospital safeguards for the privacy of medical records may prompt AOs to examine networked devices. Finally, CMS and the AOs do not plan to update their survey requirements to address networked devices or general cybersecurity. CMSの調査手順には、ネットワーク機器のサイバーセキュリティに関する要件は含まれておらず、また、AOはその裁量で病院にそのようなサイバーセキュリティ計画を要求することはありません。しかし、AOは時々、機器のサイバーセキュリティの限られた部分を審査しています。例えば、2つのAOは、機器のサイバーセキュリティに関して限られた洞察をもたらす可能性のある機器メンテナンスの要件を持っています。病院が緊急時対策のリスク評価の一環としてネットワーク機器のサイバーセキュリティを特定した場合、AOは病院の緩和策を検討します。しかし AO によると、実際には、病院がこれらのリスク評価で機器のサイバーセキュリティを特定することはあまりないとのことでした。医療記録のプライバシーに対する病院の保護対策を評価することで、AO はネットワーク接続された機器を調査することになるかもしれません。最後に、CMS と AO は、ネットワーク機器や一般的なサイバーセキュリティに対応するために調査要件を更新する予定はありません。
WHAT WE RECOMMEND 推奨事項
As health care delivery becomes more reliant on technology, cyberattacks on hospitals are increasing. Yet CMS's requirements are silent on networked device cybersecurity as well as cybersecurity in general. As a result, Medicare lacks consistent oversight of networked device cybersecurity in hospitals. Therefore, we recommend that CMS identify and implement an appropriate way to address cybersecurity of networked medical devices in its quality oversight of hospitals, in consultation with Department of Health and Human Services (HHS) partners and others. CMS stated that it concurred with considering additional ways to appropriately highlight the importance of cybersecurity of networked medical devices for providers in consultation with its HHS partners that have specific oversight authority regarding cybersecurity. We look forward to CMS's sharing, in its Final Management Decision, its plan for addressing cybersecurity of networked medical devices under its own authority for quality oversight of hospitals. 医療サービスのテクノロジーへの依存度が高まるにつれ、病院へのサイバー攻撃が増加しています。しかし、CMSの要件は、ネットワーク機器のサイバーセキュリティや一般的なサイバーセキュリティについては言及していません。その結果、メディケアは、病院におけるネットワーク機器のサイバーセキュリティについて一貫した監視を行っていません。そこで我々は、CMSが、保健福祉省(HHS)のパートナーなどと協議しながら、病院の品質監督においてネットワーク医療機器のサイバーセキュリティに対処する適切な方法を特定し、実施することを提言します。CMSは、サイバーセキュリティに関する特定の監督権限を持つHHSのパートナーと協議して、ネットワーク医療機器のサイバーセキュリティの重要性を提供者に適切に強調する追加の方法を検討することに同意すると述べました。我々は、CMSがその最終管理決定において、病院の品質監督のための独自の権限の下でネットワーク医療機器のサイバーセキュリティに対処するための計画を共有することを期待しています。

 

| | Comments (0)

2021.07.02

米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。

こんにちは、丸山満彦です。

米国 (NSA, CISA, FBI) 英国 (NCSC) が共同でロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開と公表していますね。

このキャンペーンの標的は、米国政府や国防総省の組織を含む、世界中の数百の米国および外国(主に欧州)の組織のようですね。。。

 

20210702-111545

■ 米国

発表です...

● Department of Defence

・2021.07.01 [PDF] Russian GRU Conducting Global Brute Force Campaign to Compromise Enterprise and Cloud Environments

20210702-100707

エグゼクティブサマリーだけ対訳

Executive summary  エグゼクティブサマリー
Since at least mid-2019 through early 2021, Russian General Staff Main Intelligence Directorate (GRU) 85th Main Special Service Center (GTsSS), military unit 26165, used a Kubernetes® cluster to conduct widespread, distributed, and anonymized brute force access attempts against hundreds of government and private sector targets worldwide. GTsSS malicious cyber activity has previously been attributed by the private sector using the names Fancy Bear, APT28, Strontium, and a variety of other identifiers. The 85th GTsSS directed a significant amount of this activity at organizations using Microsoft Office 365® cloud services; however, they also targeted other service providers and onpremises email servers using a variety of different protocols. These efforts are almost certainly still ongoing.  少なくとも2019年半ばから2021年初めにかけて、ロシア軍参謀本部主要情報局(GRU)第85主要特殊サービスセンター(GTsSS)の軍事ユニット26165が、Kubernetes®クラスターを使用して、世界中の数百の政府機関や民間企業のターゲットに対して、広範囲に分散し、匿名化されたブルートフォースによるアクセス試行を行いました。GTsSSの悪質なサイバー活動は、これまでに民間企業によってFancy Bear、APT28、Strontiumなどの名称で公表されています。第85次GTsSSは、この活動の大部分をMicrosoft Office 365®のクラウドサービスを利用している組織に向けて行いましたが、その他のサービスプロバイダーや、さまざまなプロトコルを使用している社内のメールサーバーも標的としていました。これらの活動は現在も継続していると思われます。
This brute force capability allows the 85th GTsSS actors to access protected data, including email, and identify valid account credentials. Those credentials may then be used for a variety of purposes, including initial access, persistence, privilege escalation, and defense evasion. The actors have used identified account credentials in conjunction with exploiting publicly known vulnerabilities, such as exploiting Microsoft Exchange servers using CVE 2020-0688 and CVE 2020-17144, for remote code execution and further access to target networks. After gaining remote access, many well-known tactics, techniques, and procedures (TTPs) are combined to move laterally, evade defenses, and collect additional information within target networks.   この総当