« August 2021 | Main | October 2021 »

September 2021

2021.09.30

日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

こんにちは、丸山満彦です。

日本がサイバーセキュリティ戦略の中で、サイバー攻撃の脅威として、初めて中国、ロシア、北朝鮮について言及し、 草中国、ロシア、北朝鮮がサイバー敵対行為を行っている疑いがあるとし、日本は外交的、刑事訴追的措置を講じて強硬に対応するとしている、としていることについての中国中央電視台[wikipedia]記者の質問に対して、中国政府スポークスマンが回答していますね。。。


中国 外交部

・2021.09.28 外交部发言人华春莹主持例行记者会

总台央视记者:27日,日本政府出台未来三年网络安全战略草案,首次将中国、俄罗斯、朝鲜列为网络攻击威胁。草案称,中俄朝涉嫌从事网络敌对活动,日将采取外交、刑事起诉等举措强硬回击。中方对此有何评论? CCTV記者:27日、日本政府は今後3年間のサイバー・セキュリティ戦略案を発表しましたが、サイバー攻撃の脅威として、初めて中国、ロシア、北朝鮮が登場しました。 草案では、中国、ロシア、北朝鮮がサイバー敵対行為を行っている疑いがあるとし、日本は外交的、刑事訴追的措置を講じて強硬に対応するとしている。 これに対する中国のコメントは?
华春莹:日方罔顾基本事实,在网络安全问题上无端抹黑攻击中国,恶意渲染“邻国威胁”,中方坚决反对。 華春瑩:日本側は、基本的な事実を無視し、サイバーセキュリティの問題で中国を理由なく中傷・攻撃し、中国が断固として反対する「周辺国の脅威」を悪意を持って誇張しています。
这个世界上到底哪个国家在搞“网络窃密”,到底哪个国家是最大的“黑客帝国”,搞各种窃密、窃听,甚至连自己的盟友都不放过,相信大家都非常清楚。日方其实也是清楚的。日方在网络攻击问题上恶意诋毁中国,难道是得到了谁的授意,试图帮助转移焦点吗? 世界は実際に、どの国が「サイバー窃盗」に従事しているのか、どの国が最大の「ハッカー帝国」なのか、あらゆる種類の窃盗や盗聴に従事しているのか、自国の同盟国でさえ免れないのか、私たちはよく知っていると思います。 日本側もその点は明確です。 日本側がサイバー攻撃の問題で中国を悪者にしているのは、焦点をずらすのに協力しようとしている人の指示なのでしょうか?
我们希望日方深刻反思,从自身利益出发,多做有利于增进同邻国政治互信、有利于地区和平稳定的事情。中国将继续采取必要措施维护自身网络安全,并且坚决回应各类将网络安全政治化的错误行为。 日本側が深く反省し、自らの利益のために行動し、近隣諸国との政治的相互信頼を高め、地域の平和と安定に資することをより多く行うことを期待しています。 中国は、引き続き自国のサイバーセキュリティを守るために必要な措置を講じ、サイバーセキュリティを政治的に利用するあらゆる種類の不正行為に断固として対応していきます。

 

落ち着いた回答だと思いました。

 

なお、日本の自民党の総裁選の結果については、

・2021.09.29 外交部发言人华春莹主持例行记者会

日本广播协会记者:日本执政党自民党总裁选举今天举行,前外务大臣岸田文雄当选,他将接替菅义伟担任首相职务,中方对此有何评论? 日本放送協会記者:日本の与党である自民党の総裁選が本日行われ、岸田文雄元外相が当選し、菅義偉氏の後任として首相に就任することになったが、これに対する中国のコメントは?
华春莹:我们注意到刚刚出来的有关选举结果。中方愿同日本新一届执政团队一道,恪守中日四个政治文件确定的各项原则和精神,深化各领域务实合作,推动中日关系沿着正确轨道健康稳定发展。 華春瑩:私たちは、先日発表された選挙結果に注目しました。 中国は、日本の新政権チームと協力して、日中の4つの政治文書に示された原則と精神を守り、さまざまな分野で実用的な協力を深め、日中関係の健全で安定した発展を正しい道筋に沿って推進したいと考えている。

 

こちらも落ち着いた対応となっていますね。。。

 

1_20210612030101


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?

 

| | Comments (0)

2021.09.29

世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が、技術の責任ある利用:IBMをケースにした研究を公表しています。最近はAIを含む情報技術について言われますが、火薬、原子力、遺伝子操作など、昔からありますね。。。

技術というのは使い用の話なので、人間の意図が重要となってきますね。。。特に影響が大きい技術ほど使う人間側の倫理感と、利用による結果についての責任を考える必要があるのでしょうね。。。

 

World Economic Forum - White Papers

・2021.09.28 Responsible Use of Technology: The IBM Case Study

Responsible Use of Technology: The IBM Case Study 技術の責任ある利用。IBMをケースとした研究
The World Economic Forum Responsible Use of Technology project aims to provide practical resources for organizations to operationalize ethics in their use of technology. This White Paper is the second in a series that highlights processes, tools and organizational constructs that facilitate the responsible design, development and implementation of technology. It presents IBM’s ethics journey, which can encourage organizations to adopt and operationalize technology ethics, and seeks to promote discussion and evaluation of IBM’s methods, tools and experiences. The Forum and its partners in this project hope that more organizations not only operationalize such ethics, but also share their experience with the global community. 世界経済フォーラムの「技術の責任ある利用」プロジェクトは、組織がテクノロジーの利用において倫理を運用するための実践的なリソースを提供することを目的としています。このホワイトペーパーは、責任あるテクノロジーの設計、開発、実装を促進するプロセス、ツール、組織構造を紹介するシリーズの第2弾です。このホワイトペーパーは、組織が技術倫理を採用し、運用することを促すことができるIBMの倫理の旅を紹介し、IBMの方法、ツール、経験についての議論と評価を促進することを目的としています。フォーラムとこのプロジェクトのパートナーは、より多くの組織がこのような倫理を運用するだけでなく、その経験をグローバルコミュニティと共有することを望んでいます。

 

・[PDF] Responsible Use of Technology: The IBM Case Study

20210929-164248

 

Foreword 前書き
Introduction 序文
1 The evolution of artificial intelligence ethics at IBM 1 IBMにおける人工知能倫理の変遷
2 Governance 2 ガバナンス
2.1 AI Ethics Board 2.1 AI倫理委員会
2.2 Local focal points and Advocacy Network 2.2 ローカルフォーカルポイントとアドボカシーネットワーク
3 IBM’s Principles for Trust and Transparency 3 信頼と透明性に関するIBMの原則
3.1 The purpose of AI is to augment human intelligence 3.1 AIの目的は人間の知能を増強すること
3.2 Data and insights belong to their creator 3.2 データとインサイトはその作成者に帰属する
3.3 New technology, including AI systems, must be transparent and explainable 3.3 AIシステムを含む新しい技術は、透明で説明可能でなければならない
4 The pillars of trust 4 信頼の柱とは
4.1 Explainability 4.1 説明可能性
4.2 Fairness 4.2 公正性
4.3 Robustness 4.3 堅牢性
4.4 Transparency 4.4 透明性
4.5 Privacy 4.5 プライバシー
5 Trustworthy AI research and toolkits 5 信頼性の高いAI研究とツールキット
5.1 Open source 5.1 オープンソース
5.2 IBM proprietary tools 5.2 IBM独自のツール
6 Delivery capabilities for ethical outcomes 6 倫理的な成果をもたらすデリバリー能力
6.1 Trustworthy AI 6.1 信頼に足るAI
6.2 Ethics by design 6.2 デザインによる倫理
7 Leveraging AI in the workplace 7 職場でのAIの活用
8 Diversity and inclusion 8 ダイバーシティとインクルージョン
9 Education and enablement 9 教育とイネーブルメント
10 Partnerships and stakeholder engagements 10 パートナーシップとステークホルダー・エンゲージメント
11 Summary of progress 11 進捗状況のまとめ
11.1 Influencing policy 11.1 政策への影響
11.2 Integrating ethics in the AI development pipeline 11.2 AI開発パイプラインへの倫理の組み込み
12 What remains to be done 12 残る課題
Conclusion 結論
Contributors 貢献者
Endnotes 巻末資料

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

 

| | Comments (0)

Cloud Security Alliance ブロックチェーン攻撃、脆弱性と弱点トップ10

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がブロックチェーン攻撃、脆弱性と弱点トップ10を公表していますね。。。

CSAによると、過去5年間で、43の暗号資産取引所がハッキングされ、49以上の分散型金融プロトコルが悪用され、28億ドル(3,100億円)以上の損失が発生したとのことです。。。

暗号通貨および分散型台帳技術を標的とした攻撃ベクトル(例えば、取引所のハッキング、分散型金融(DeFi)のハッキング、51%攻撃、秘密鍵入手のためのフィッシングなど)についての概要、それぞれの攻撃方法についての例示、その結果として起こりうる結果と教訓を簡単に説明していて、防御を考える人には参考になりそうですね。。。

Cloud Security Alliance (CSA)

・2021.09.28 (press) Latest Paper from Cloud Security Alliance Examines Top 10 Blockchain Attacks, Vulnerabilities, and Weaknesses

・2021.09.28 Top 10 Blockchain Attacks, Vulnerabilities & Weaknesses

・[PDF] 簡単な質問に答えるとダウンロードできます

20210929-54626

トップ10に上がっているのは、

1. Exchange Hack 1. 取引所のハッキング
2. DeFi Hack 2. DeFiハック
3. 51% Attack 3. 51%攻撃
4. Phishing (for private keys) 4. (秘密鍵入手のための)フィッシング
5. Rug Pull/Exit Scam 5. ラグプル/出口詐欺(取り込み詐欺)
6. Ransomware 6. ランサムウェア
7. SIM Swap 7. SIMスワップ
8. Investment Scam 8. 投資詐欺
9. High Profile Doubler Scam 9. 知名度のある人を使った替え玉詐欺
10. Extortion 10. 恐喝

ブロックチェーンの脆弱性というよりも、ブロックチェーンに関連する(たとえば、暗号資産取引所等)問題を幅広く捉えたという感じですかね。。。

暗号資産については、中国の動きをみていると、エネルギー消費やロンダリングに使われやすかったりする問題のために、今後普及していくのかどうか難しい状況になっているのかもしれませんね。。。

ただ、ブロックチェーン技術は、暗号資産以外にもスマートコントラクト等の他の領域での活用もできるので、違う形で利用がひろがるのかもしれませんが、他の手段がまったくないというわけでもないような気もするので、そこそこという感じなんでしょうかね。。。

 

 

| | Comments (0)

2021.09.28

NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

こんにちは、丸山満彦です。

内閣官房サイバーセキュリティ戦略本部第31回会合でサイバーセキュリティ戦略等が確定しましたね。。。

少し気になったのは、「資料5 政府のサイバーセキュリティに関する予算」のほうですかね。。。

令和4年度予算概算要求額の分野別の内訳では、(3)安全保障的な内容に4割となっていることですかね。。。

20210928-41518

 

省庁別予算概算要求額をみても、防衛省が一番多くなっています。。。2番目ば総務省であるのはわかるのですが、3番目が文科省ですか...デジタル庁よりも多い...

 

20210928-42153

 

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリテ2021

20210928-42952

・[PDF] 政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みの一部改正

議事資料

・[PDF] 議事次第

・[PDF] 資料1 次期サイバーセキュリティ戦略(案)

20210928-43423

・[PDF] 資料2 サイバーセキュリティ2021(2020年度年次報告・2021年度年次計画)(案) 

・[PDF] 資料3 政府情報システムにおけるクラウドサービスのセキュリティ評価制度の基本的枠組みの一部改正(案) 

・[PDF] 資料4 東京オリンピック・パラリンピック競技大会におけるサイバーセキュリティ対策(結果報告)等

・[PDF] 資料5 政府のサイバーセキュリティに関する予算

・[PDF] 資料6 デジタル庁の発足等に伴う関係規程の一部改正について

・[PDF] 資料7 遠藤本部員提出資料

 

参考

● 防衛省 - 防衛白書

・令和3年版

・・特集3 宇宙・サイバー・電磁波領域における挑戦

 

● 警察庁 - 警察白書

令和3年版

・・特集2 サイバー空間の安全の確保

 

総務省 - 情報通信白書

令和3年版

・・第2部 基本データと政策動向 - 第5章 ICT政策の動向 - 第5節 サイバーセキュリティ対策の推進 

 

● 文部科学省 - 文部科学白書

令和2年版 (2021.07.30)

・・第11章 ICTの活用の推進

ほとんど、セキュリティに触れられていませんが、、、予算は多い。。。

 

 


海外のサイバーセキュリティ戦略

■ 参考

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

・2016.11.01 (Policy paper) National Cyber Security Strategy 2016 to 2021

The National Cyber Security Strategy 2016 to 2021 sets out the government's plan to make Britain secure and resilient in cyberspace.

・[PDF] National Cyber Security Strategy 2016 to 2021

20210513-131213

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

 

 

| | Comments (0)

2021.09.27

ホワイトハウス クワッドリーダー共同声明他...サイバーもあります...

こんにちは、丸山満彦です。

クワッドの初めてのサミットが2021.09.24に開催され、その成果等についての報告がホワイトハウスのウェブページに記載されていますね。。。

(日本の外務省からも日本の立場からの発表がされています。。。)

物理的に集まることについては、おそらく米国が拘ったのでしょうかね。。。インドとの関係強化がポイントだったのでしょうかね。。。

 

● The White House

Quad関係

・2021.09.24 Quad Principles on Technology Design, Development, Governance, and Use

・2021.09.24 Joint Statement from Quad Leaders

We have established cooperation on critical and emerging technologies, to ensure the way in which technology is designed, developed, governed, and used is shaped by our shared values and respect for universal human rights. In partnership with industry, we are advancing the deployment of secure, open, and transparent 5G and beyond-5G networks, and working with a range of partners to foster innovation and promote trustworthy vendors and approaches such as Open-RAN.  Acknowledging the role of governments in fostering an enabling environment for 5G diversification, we will work together to facilitate public-private cooperation and demonstrate in 2022 the scalability and cybersecurity of open, standards-based technology. With respect to the development of technical standards, we will establish sector-specific contact groups to promote an open, inclusive, private-sector-led, multi-stakeholder, and consensus-based approach. We will also coordinate and cooperate in multilateral standardization organizations such as the International Telecommunication Union. We are mapping the supply chain of critical technologies and materials, including semiconductors, and affirm our positive commitment to resilient, diverse, and secure supply chains of critical technologies, recognizing the importance of government support measures and policies that are transparent and market-oriented. We are monitoring trends in the critical and emerging technologies of the future, beginning with biotechnology, and identifying related opportunities for cooperation. We are also launching today Quad Principles on Technology Design, Development, Governance, and Use that we hope will guide not only the region but the world towards responsible, open, high-standards innovation.

...

Today, we begin new cooperation in cyber space and pledge to work together to combat cyber threats, promote resilience, and secure our critical infrastructure. In space we will identify new collaboration opportunities and share satellite data for peaceful purposes such as monitoring climate change, disaster response and preparedness, sustainable uses of oceans and marine resources, and on responding to challenges in shared domains. We will also consult on rules, norms, guidelines and principles for ensuring the sustainable use of outer space.

・2021.09.24 Fact Sheet: Quad Leaders’ Summit

Cybersecurity

Building on longstanding collaboration among our four countries on cybersecurity, the Quad will launch new efforts to bolster critical-infrastructure resilience against cyber threats by bringing together the expertise of our nations to drive domestic and international best practices. The Quad will:

  • Launch a Quad Senior Cyber Group: Leader-level experts will meet regularly to advance work between government and industry on driving continuous improvements in areas including adoption and implementation of shared cyber standards; development of secure software; building workforce and talent; and promoting the scalability and cybersecurity of secure and trustworthy digital infrastructure.

・2021.09.24 Remarks by President Biden, Prime Minister Morrison, Prime Minister Modi, and Prime Minister Suga at Quad Leaders Summit

We’re working to make cyberspace and emerging and critical technologies trusted and secure in open societies, solving problems, and addressing the supply chain challenges that in many ways hold the keys to our security and our prosperity and our environment in the 21st century. 

 

インド関連

・2021.09.24 U.S.-India Joint Leaders’ Statement: A Partnership for Global Good

・2021.09.24 FACT SHEET: The United States and India – Global Leadership in Action

・2021.09.24 Remarks by President Biden and Prime Minister Modi of the Republic of India Before Bilateral Meeting

・2021.09.24 Background Press Call by Senior Administration Officials Previewing the Quad Leaders Summit and Bilateral Meeting with India

 

Fig1_20210802074601


日本

外務省 - 菅内閣総理大臣の米国訪問(令和3年9月23日~26日)

2021.09.24 第2回日米豪印首脳会合(令和3年9月24日)

・二国間会談等

Unnamed

 


 

インド政府のウェブページ

India.gov.in

Misintry of External Affairs

Quad関係

・2021.09.24 Prime Minister’s participation in the Quad Leaders’ Summit   

・2021.09.22 PM’s Departure Statement ahead of his visit to USA   

二国間会議

・2021.09.24 Prime Minister's meeting with President of the United States of America   

・2021.09.23 Meeting between Prime Minister Shri Narendra Modi and H.E. Mr. SUGA Yoshihide, Prime Minister of Japan   

・2021.09.23 Meeting between Prime Minister Shri Narendra Modi and Vice President Kamala Harris of the USA   

・2021.09.23 Prime Minister’s meeting with Australian Prime Minister Scott Morrison on the sidelines of the Quad Leaders’ Summit   

 


 

オーストラリア

Prime Minister of Australia

・2021.09.24 QUAD LEADERS' SUMMIT COMMUNIQUE

・2021.09.24 TRANSCRIPT

・2021.09.24 TRANSCRIPT

| | Comments (0)

欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

こんにちは、丸山満彦です。

欧州委員会から、職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)についての報告書が公表されていますね。。。

COVID-19になり、在宅勤務が広がったことによる、勤務状況の管理に際して、電子観察等の機会が増えてきたことにより、プライバシーとの関係の整理が必要となったからでしょうかね。。。論文の分析を踏まえた政策提言となっています。。。

興味深い内容ですが、まだ読めていません。。。

 

European Commission - JRC - JRC Publications Repository

・2021.09 Electronic Monitoring and Surveillance in the Workplace

Electronic Monitoring and Surveillance in the Workplace 職場での電子モニタリングと監視
This report re-evaluates the literature about surveillance/monitoring in the standard workplace, in home working during the COVID 19 pandemic and in respect of digital platform work. It utilised a systematic review methodology (see Appendix I). A total of 398 articles were identified, evaluated and synthesised. The report finds that worker surveillance practices have extended to cover many different features of the employees as they work. Surveillance in the workplace targets thoughts, feelings and physiology, location and movement, task performance and professional profile and reputation. In the standard workplace, more aspects of employees’ lives are made visible to managers through data. Employees’ work/non-work boundaries are contested terrain. The surveillance of employees working remotely during the pandemic has intensified, with the accelerated deployment of keystroke, webcam, desktop and email monitoring in Europe, the UK and the USA. Whilst remote monitoring is known to create work-family conflict, and skilled supervisory support is essential, there is a shortage of research which examines these recent phenomena. Digital platform work features end-to-end worker surveillance. Data are captured on performance, behaviours and location, and are combined with customer feedback to determine algorithmically what work and reward are offered to the platform worker in the future. There is no managerial support and patchy colleague support in a hyper-competitive and gamified freelance labour market. Once again there is a shortage of research which specifically addresses the effects of monitoring on those who work on digital platforms. Excessive monitoring has negative psycho-social consequences including increased resistance, decreased job satisfaction, increased stress, decreased organisational commitment and increased turnover propensity. The design and application of monitoring, as well as the managerial practices, processes and policies which surround it influence the incidence of these psycho-social risks. Policy recommendations target at mitigating the psycho-social risks of monitoring and draw upon privacy, data justice and organisational justice principles. Numerous recommendations are derived both for practice and for higher level policy development. 本報告書は、標準的な職場、COVID19パンデミック時の在宅勤務、デジタルプラットフォーム作業に関する監視・モニタリングについての文献を再評価したものです。本報告書は、システマティックレビューの手法を用いています(付録I参照)。合計398件の論文が特定され、評価、統合されました。本報告書によると、労働者の監視行為は、働く従業員のさまざまな特徴をカバーするように拡大しています。職場での監視の対象は、思考、感情、生理、場所や動き、タスクのパフォーマンス、職業上のプロフィールや評判などです。標準的な職場では、従業員の生活のより多くの側面がデータを通して管理者に見えるようになっています。従業員の仕事と非仕事の境界線は論争の種になっています。ヨーロッパ、イギリス、アメリカでは、キーストローク、ウェブカメラ、デスクトップ、電子メールの監視が加速的に導入され、パンデミックの間、遠隔地で働く従業員の監視が強化されました。遠隔監視は仕事と家庭の軋轢を生むことが知られており、熟練した監督者のサポートが不可欠ですが、こうした最近の現象を調査した研究は不足しています。デジタルプラットフォームの仕事は、エンドツーエンドの労働者の監視を特徴としています。パフォーマンス、行動、場所などのデータが収集され、顧客からのフィードバックと組み合わせて、将来的にどのような仕事や報酬を提供するかをアルゴリズムで決定します。競争が激しく、ゲーム化されたフリーランスの労働市場では、管理者によるサポートはなく、同僚によるサポートも限られています。繰り返しになりますが、デジタルプラットフォームで働く人々に対するモニタリングの影響を具体的に取り上げた研究は不足しています。過剰なモニタリングは、抵抗感の増加、仕事への満足度の低下、ストレスの増加、組織へのコミットメントの低下、離職率の増加など、心理社会的にマイナスの影響を及ぼします。 離職率の上昇など、心理社会的に悪影響を及ぼします。モニタリングの設計と適用、およびモニタリングを取り巻く経営慣行、プロセス、ポリシーは、これらの心理社会的リスクの発生に影響を与える。政策提言は、モニタリングの心理社会的リスクを軽減することを目的とし、プライバシー、データの公正、組織的公正の原則に基づいています。実践とより高いレベルの政策開発のために、多くの提言がなされています。

 

・[PDF] Electronic Monitoring and Surveillance in the Workplace

20210927-61216

 

1 Introduction 1 はじめに
1.1 What is surveillance? 1.1 サーベイランスとは?
1.2 A note on terminology and method 1.2 専門用語と方法についての注意点
1.3 What is new in workplace surveillance/monitoring? 1.3 職場での監視/モニタリングの新機能とは?
1.4 What do we already know about surveillance/monitoring in the workplace? 1.4 職場での監視・モニタリングについて、私たちはすでに何を知っているのか?
1.5 Contemporary analytical frameworks 1.5 現代の分析フレームワーク
1.6 Incorporating Organisation Studies and Employment Relations 1.6 組織研究と雇用関係を取り入れる
1.7 How this report is structured 1.7 本報告書の構成
2 New workplace surveillance practices 2 新しい職場の監視方法
2.1 Introduction 2.1 はじめに
2.2 Current worker surveillance/monitoring practices 2.2 現在の労働者の監視/モニタリングの慣行
2.3 New monitoring targets: Thoughts, feelings and physiology 2.3 新しいモニタリング対象:思考、感情、生理
2.3.1 Biometrics 2.3.1 バイオメトリクス
2.3.2  Emotion monitoring 2.3.2 感情のモニタリング
2.3.3  Wearable devices for self-tracking 2.3.3 ウェアラブルデバイスによるセルフトラッキング
2.4 New monitoring targets: Location and movement 2.4 新たなモニタリングの対象 位置と動き
2.4.1  Digital camera surveillance 2.4.1 デジタルカメラによる監視
2.4.2  Location tracking 2.4.2 位置情報の追跡
2.5 New Monitoring Practices: Task 2.5 新たなモニタリングの実践 タスク
2.6 New monitoring practices: Professional profiles and reputation 2.6 新たなモニタリングの実践 職業プロフィールと評判
2.6.1  People analytics in practice: Studies of cybervetting and social network analysis 2.6.1 ピープルアナリティクスの実践。サイバーベッティングとソーシャルネットワーク分析の研究
2.7 Conclusion 2.7 結論
3 The impacts of monitoring at the individual and social process levels of analysis 3 個人および社会的プロセスレベルの分析におけるモニタリングの影響
3.1 Introduction 3.1 はじめに
3.2 The individual level of analysis 3.2 個人レベルでの分析
3.2.1  The individual level of analysis: The individual boundary 3.2.1 個人レベルの分析:個人の境界線
3.2.2  The individual level of analysis: Compliance and Resistance 3.2.2 個人レベルの分析:遵守と抵抗
3.2.3  The individual level of analysis: Controlling or limiting the effects of surveillance/monitoring 3.2.3 個人レベルの分析:監視/モニタリングの影響を制御または制限する
3.2.4  Conclusion: The individual level of analysis 3.2.4 結論 個人レベルの分析
3.3 The social processes surrounding monitoring: Negotiated order 3.3 監視を取り巻く社会的プロセス:交渉による秩序
3.3.1  Conceptual developments 3.3.1 概念的展開
3.3.2  Negotiated order: New research contexts 3.3.2 交渉による秩序:新しい研究コンテクスト
3.4 The social processes surrounding monitoring: Meta communication and organisational value systems 3.4 モニタリングを取り巻く社会的プロセス:メタ・コミュニケーションと組織の価値システム
3.4.1  Monitoring and trust 3.4.1 モニタリングと信頼
3.4.2  Procedural justice 3.4.2 手続き的公正さ
3.4.3  The social processes surrounding monitoring: Managerial Support 3.4.3 モニタリングを取り巻く社会的プロセス: マネージャーのサポート
3.4.4  The social processes surrounding monitoring: Gender 3.4.4 モニタリングを取り巻く社会的プロセス:マネージャーのサポート ジェンダー
3.4.5  Conclusion: The social processes surrounding monitoring 3.4.5 結論 モニタリングを取り巻く社会的プロセス
3.5 Chapter conclusion 3.5 章の結論
4 Surveillance, remote work and the pandemic 4 監視、リモートワーク、パンデミック
4.1 Introduction 4.1 はじめに
4.2 What is remote work? 4.2 リモートワークとは?
4.3 Remote working and monitoring pre-pandemic 4.3 パンデミック前のリモートワークとモニタリング
4.4 Surveillance, monitoring and remote work in 2020 4.4 2020年の監視・モニタリング・リモートワーク
4.5 Conclusion 4.5 結論
5 Surveillance, monitoring and platform work 5 監視、モニタリング、プラットフォーム作業
5.1 Introduction 5.1 はじめに
5.2 What is platform work? 5.2 プラットフォーム作業とは?
5.3 Surveillance, monitoring and platform work 5.3 監視・モニタリングとプラットフォーム・ワーク
5.4 Individual reactions to surveillance/monitoring on platforms 5.4 プラットフォームにおける監視・モニタリングに対する個人の反応
5.5 The social systems surrounding platform work: Negotiated order 5.5 プラットフォーム・ワークを取り巻く社会システム 交渉された秩序
5.5.1  Practical action and platform action 5.5.1 実践的行動とプラットフォーム・アクション
5.5.2  Discursive framing and legal mobilisation 5.5.2 差別的フレーミングと法的動員
5.6 New concepts: Visibility and the Public-Private Boundary 5.6 新しい概念:可視性と公私の境界線
5.7 Conclusions 5.7 おわりに
6 Policy Recommendations and Conclusions 6 政策提言と結論
6.1 Introduction 6.1 はじめに
6.2 The psycho-social risks which surround employee monitoring 6.2 従業員モニタリングにまつわる心理社会的リスク
6.2.1  Function creep in the purpose for which monitoring is used; unclear or absent purpose 6.2.1 モニタリングを使用する目的の機能クリープ、目的の不明確さまたは不在
6.2.2  Personality traits which determine reactions to monitoring 6.2.2 モニタリングへの反応を決定する性格的特徴
6.2.3  Invasive monitoring configurations 6.2.3 侵襲的なモニタリング構成
6.2.4  Trust-damaging monitoring configurations 6.2.4 信頼を損なうモニタリングの構成
6.2.5  Monitoring processes which are not transparent or open 6.2.5 透明性・開放性に欠けるモニタリングプロセス
6.2.6  Low autonomy job designs and sectoral differences 6.2.6 自律性の低い職務設計と部門間の差異
6.2.7  Low managerial support on monitored tasks 6.2.7 監視対象業務に対する管理者のサポートが少ない
6.2.8  Hard wired surveillance technology design 6.2.8 ハードワイヤードな監視技術の設計
6.2.9  Discriminatory outcomes and poor distributive justice in monitoring processes 6.2.9 モニタリングプロセスにおける差別的な結果と分配的正義の欠如
6.2.10 Procedural unfairness in monitoring processes 6.2.10 モニタリングプロセスにおける手続き上の不公平感
6.2.11 Emotional labour and identity work 6.2.11 感情的労働とアイデンティティ・ワーク
6.3 Policy recommendations: The underpinning principles 6.3 政策提言 裏付けとなる原則
6.3.1  OECD Privacy Principles 6.3.1 OECDプライバシー原則
6.3.2  Data justice 6.3.2 データ・ジャスティス
6.3.3  Organisational justice 6.3.3 組織的正義
6.4 Policy recommendations 6.4 政策提言
6.5 Conclusion 6.5 おわりに
Bibliography 参考文献
List of Figures 図の一覧
List of Tables 表の一覧
Appendix I: Methodology 附属書 I: 方法論



エグゼクティブ・サマリーです。。。

Executive summary エグゼクティブ・サマリー
This report analyses the research literature about surveillance/monitoring in the workplace. It reviews recent developments in workplace surveillance. It then establishes the psycho-social risk factors associated with employee surveillance/monitoring and identifies where policy may develop in respect of its use. 本報告書は、職場での監視・モニタリングに関する研究文献を分析したものです。また、職場での監視に関する最近の動向をレビューしています。そして、従業員の監視・モニタリングに関連する精神的・社会的なリスク要因を明らかにし、その使用に関してどのような政策が展開されるかを明らかにしています。
There are four new developments in workplace surveillance. 職場での監視には4つの新しい動きがあります。
1. A wider range of technologies have been identified which enable surveillance to extend beyond the realm of performance management and into the thoughts, feelings and behaviours, location and movement, and professional profile and reputation of the employee. 1. 監視の対象を業績管理の領域を超えて、従業員の思考、感情、行動、場所、移動、職業上のプロフィールや評判にまで拡大することを可能にする幅広い技術が確認されています。
2. The implications of these new surveillance technologies for employees concern: 2. これらの新しい監視技術が従業員に与える影響は以下の通りです。
the extent to which they are more controlled personally and more aspects of their person are made visible to managers ・個人的に管理される度合いや、個人のより多くの側面が管理者に見えるようになる度合い
the extent to which surveillance intrudes into workers private lives beyond work ・監視が仕事以外の私生活に入り込む度合い
consequences including increased resistance, decreased job satisfaction, increased stress, decreased organisational commitment and increased turnover propensity ・抵抗感の増大、仕事への満足度の低下、ストレスの増大、組織へのコミットメントの低下、離職率の上昇などの結果
3. The surveillance of employees forced to work remotely has intensified during the pandemic, with an acceleration in the deployment of keystroke, webcam, desktop and email monitoring in Europe, the UK and the US. Where remote working was enforced, monitoring was linked to perceptions that work was interfering in home life and increased the likelihood of work-family conflict. In pre-pandemic times, where remote working was a choice, monitoring just performance outputs was preferable as it provided remote workers with autonomy. Its success depended upon: 3. ヨーロッパ、イギリス、アメリカでは、キーストローク、ウェブカメラ、デスクトップ、電子メールの監視が加速的に導入されています。リモートワークが強制されている場合、監視は、仕事が家庭生活の妨げになっているという認識と関連しており、仕事と家庭の対立の可能性を高めています。パンデミック前にリモートワークを選択していた場合は、リモートワーカーに自律性を与えるため、パフォーマンスのアウトプットのみを監視することが好ましいです。その成功は以下に依存します。
whether the remote workers job characteristics featured enough autonomy ・リモートワーカーの職務特性が十分な自律性を備えているかどうか
whether the remote workers job had measurable outputs ・リモートワーカーの仕事に測定可能なアウトプットがあるかどうか
whether the supervisor had the knowledge, skills, experience and an appropriate style to select employees for remote work, support them socially, and integrate their work into that of their team and department ・上司が、リモートワークをする社員を選び、社会的にサポートし、社員の仕事をチームや部門の仕事に統合するための知識、スキル、経験、適切なスタイルを持っていたかどうか
The enforced and rapid transition to remote working during the pandemic will have precluded the consideration of these factors for many organisations and their employees. パンデミック時には、リモートワークへの強制的かつ急速な移行が行われたため、多くの組織とその従業員にとって、これらの要因を考慮することは不可能であった。
4. Platform work features end-to-end employee surveillance. Platform work is short-term subcontracted work which is engaged, executed and rewarded on a digital labour platform and is increasingly a work option for Europeans. Data are captured on performance, behaviours and location and combined with customer feedback to determine algorithmically what work and reward are offered to the platform worker in future. It was found that: 4. プラットフォームワークの特徴は、エンドツーエンドの従業員監視です。プラットフォームワークとは、デジタルな労働プラットフォーム上で従事し、実行し、報酬を得る短期の下請け労働のことで、ヨーロッパでは働き方の選択肢として増えています。パフォーマンス、行動、場所などのデータが収集され、顧客からのフィードバックと組み合わせて、プラットフォームワーカーに今後どのような仕事と報酬を提供するかをアルゴリズムで決定します。次のことが明らかになりました。
The psychological impacts of platform surveillance are under-researched. ・プラットフォーム監視の心理的な影響はあまり研究されていない
Platform surveillance is more likely to be perceived as intrusive because of the breadth of surveillance targets and purposes. ・プラットフォームでの監視は、監視対象や目的が多岐にわたるため、押しつけがましいと感じられる可能性が高い
Output monitoring of tasks is acceptable to platform workers as it acts as a form of protection, as an extrinsic motivator in the short term, and allows for autonomy when the task is completed. ・作業結果の監視は、保護の一形態として、また短期的には外発的動機付けとして作用し、作業が完了したときには自律性を可能にするため、プラットフォーム・ワーカーにとって受け入れられる
An autonomy paradox then arises because platform workers have no control over the onset or process of surveillance/monitoring. ・プラットフォームワーカーは、監視の開始やプロセスをコントロールできないため、自律性のパラドックスが発生する
Workers are completely exposed to an opaque platform, producing information asymmetries. ・ワーカーは、不透明なプラットフォームに完全にさらされ、情報の非対称性が生じる
Workers learn to anticipate what the algorithms want them to do and adapt their behaviour accordingly, managing how they are seen by the platform. ・ワーカーは、プラットフォームからどのように見られているかを管理するために、アルゴリズムが何をさせたいのかを予測し、それに応じて自分の行動を適応させることを学ぶ
There is no managerial support for workers, but they support each other using online fora and other digital means. ・ワーカーには経営的なサポートはないが、オンライン・フォーラムなどのデジタルな手段を使ってワーカー同士がサポートし合う
The negative outcomes of algorithmic platform surveillance include frustration, reduced fairness perceptions, reduced well-being, reduced voice and increased employment precarity, loss of privacy, problems with data accuracy, discrimination. ・アルゴリズムによるプラットフォーム監視のネガティブな結果としては、フラストレーション、公平性の認識の低下、幸福度の低下、発言力の低下、雇用の不安定さの増大、プライバシーの喪失、データの正確性の問題、差別などが挙げられる
Unique resistant strategies include practical action, platform action, discursive framing and legal mobilisation alongside traditional industrial action such as striking. ・独自の抵抗戦略としては、ストライキなどの伝統的な産業行動に加えて、実践的行動、プラットフォーム行動、言説的フレーミング、法的動員などがある
Monitoring, psycho-social risks and psycho-social risk factors: モニタリング、心理社会的リスクと心理社会的リスク要因:
Monitoring can cause negative psycho-social outcomes. These outcomes are numerous: they include increased resistance (or counterproductive work behaviours), decreased job satisfaction, increased stress, decreased organisational commitment and increased turnover propensity. Depending on how it is configured, monitoring can also cause negative privacy, trust, procedural and distributive justice perceptions as well as negative impacts on autonomy and creativity. Should these adverse consequences occur, as well as detrimental impacts on individuals they will also impact the organisation in terms of labour costs, performance, values and culture. モニタリングは、心理社会的にネガティブな結果を引き起こす可能性があります。これらの結果には、抵抗感の増大(または反生産的な作業行動)、仕事の満足度の低下、ストレスの増大、組織的コミットメントの低下、離職傾向の増大など、数多くのものがあります。また、モニタリングの構成によっては、プライバシー、信頼、手続き的および分配的な正義感の低下や、自律性や創造性への悪影響を引き起こす可能性があります。これらの悪影響が発生した場合、個人への有害な影響だけでなく、人件費、パフォーマンス、価値観、文化の面でも組織に影響を与えることになります。
Psycho-social risk factors relate to the design and use of monitoring, as well as with the managerial processes and policies which surround it, which increase the likelihood of these psycho-social risks arising, as follows: 心理社会的リスク要因は、モニタリングの設計と使用、およびそれを取り巻く管理プロセスとポリシーに関連しており、これらの心理社会的リスクが発生する可能性を高めるものとして、次のようなものがあります。
Function creep in the purpose for which monitoring is deployed; unclear or absent monitoring purpose: Safety monitoring and monitoring for training purposes are more acceptable to employees providing the purpose for which the information is used does not change over time without employees knowledge. Surveillance whose purpose is unclear or absent will seem excessive to employees. If surveillance is perceived as excessive it will reduce fairness, justice and satisfaction perceptions, trust in management, commitment to the organisation, creativity and autonomy. ・監視目的の機能クリープ、監視目的の不明確・不存在:安全監視や研修目的の監視は、従業員が知らないうちに情報の使用目的が時系列で変化しない方が、従業員に受け入れられやすいでしょう。目的が不明瞭または欠如している監視は、従業員にとって過剰な印象を与えます。監視が過剰だと感じられると、公正さ、正義感、満足感、経営陣への信頼、組織へのコミットメント、創造性、自律性が低下します。
The presence of personality traits which provoke angry reactions to monitoring: Certain personality traits trait reactance and ethical orientation - can increase the likelihood of an angry, emotional or resistant reaction to the prospect and actuality of being monitored. This then increases the emotional labour employees deploy to cope with monitoring, which may affect workplace relationships and may damage the psychological contract. ・監視に対する怒りの反応を引き起こす性格的特徴の存在:性格的特徴である反応性や倫理的志向性は、監視されることに対する怒り、感情、抵抗の反応の可能性を高めます。これにより、従業員はモニタリングに対処するために感情的な労働力を増大させ、職場の人間関係に影響を与え、心理的な契約が損なわれる可能性があります。
Configuring monitoring in a way which increases invasiveness perceptions: Monitoring will be perceived as more invasive if it gathers proportionately more information about individuals than it does about a group, team or department; if it uses technology which can target workers thoughts, feelings and physiology; location and movement or profile and reputation as well as task performance. The extent to which workers can place constraints on data sharing and access to data; and the extent to which individuals can control the onset of monitoring and have autonomy in the way that they respond to it also influence invasiveness perceptions. ・侵犯性の認識を増加させるようなモニタリングの設定:モニタリングは、グループ、チーム、部門よりも個人についての情報を比例的に多く収集する場合、作業の遂行だけでなく、ワーカーの思考、感情、生理、位置や移動、プロフィールや評判を対象とする技術を使用する場合、より侵略的であると認識されます。また、ワーカーがデータの共有やデータへのアクセスをどの程度制限できるか、個人がモニタリングの開始をどの程度コントロールできるか、モニタリングにどのように対応するかをどの程度自律的に決められるかなども、侵襲性の認識に影響を与えます。
Configuring monitoring in a way which damages trust: Monitoring is a proxy for the extent to which managers trust employees. As monitoring can meta communicate organisational value systems to employees, exacting monitoring may be interpreted by employees as questioning their competence, organisational commitment (as an aspect of benevolence) and honesty (as an aspect of integrity). Competence, benevolence and integrity are the three components of trust. Excessive monitoring will leave employees feeling they are not trusted by managers. Low trust relationships impact justice, fairness and privacy perceptions in the workplace. A negative cycle may result which will be difficult to break, with punitive surveillance becoming a self-fulfilling prophecy. ・信頼を損なうようなモニタリングの設定:モニタリングは、管理者が従業員をどの程度信頼しているかを表す指標です。モニタリングは、組織の価値観を従業員に「メタ的に伝える」ことができるため、厳密なモニタリングは、従業員の能力、(善意の側面としての)組織的コミットメント、(誠実さの側面としての)正直さを問うものと解釈される可能性があります。能力、博愛、誠実さは、信頼の3つの要素です。過剰な監視は、従業員がマネジャーから信頼されていないと感じることになります。信頼関係の低さは、職場における正義感、公平性、プライバシーの認識に影響を与えます。懲罰的な監視が自己実現的な予言となって、解決が困難な負のサイクルが生じる可能性があります。
Monitoring processes and policy which are not transparent and open: Monitoring processes which are perceived as opaque, secretive and which are not fully explained to employees will result in reduced feelings of task satisfaction, procedural and informational justice, trust, reduced performance and increased perceptions of monitoring as purposeless and authoritarian. ・透明性と開放性に欠ける監視プロセスと方針:不透明で秘密主義と感じられ、従業員に十分に説明されていない監視プロセスは、仕事の満足感、手続き上の公正さ、情報上の公正さ、信頼感を低下させ、パフォーマンスを低下させ、監視は目的がなく権威主義であるとの認識を高めます。
Job designs of monitored employees which do not allow for autonomy in response to monitoring: Professional jobs which feature greater autonomy afford employees greater control in their response to monitoring. Monitored low paid service jobs feature less autonomy so employees will experience less control in their response. Public sector employees have the added pressure of public interest and public accountability when performing monitored tasks. ・モニタリングされる従業員の職務設計が、モニタリングに対する自律性を認めないものであること:自律性の高い専門職は、従業員がモニタリングへの対応をよりコントロールできます。監視される低賃金のサービス業では、自律性が低いため、従業員は監視への対応をコントロールしにくくなります。公共部門の従業員は、モニタリングされる業務を行う際に、公共の利益と公的な説明責任というプレッシャーが加わります。
Low managerial support on monitored tasks: Appropriate consideration behaviour, a humancentred supervisory style, skill and expertise of supervisors with monitoring can mitigate some of the negative effects. ・モニタリングされる仕事では、管理者のサポートが少ない:適切な配慮のある行動、人間中心の監督スタイル、監視に関する監督者のスキルと専門知識は、いくつかの悪影響を軽減することができます。
Using hard wired surveillance technologies: Past studies have focused on employee participation in the design of monitoring rather than the technology itself. Technology design does make a difference where surveillance is hard wired into the technology such as body cameras, webcams or digital CCTV and cannot be circumvented. This type of technology design risks provoking the behaviours it was installed to prevent. There are fewer psycho-social risks if any surveillant aspects can be adapted and accommodated into supportive and fair managerial processes. ・ハードワイヤードな監視技術の使用:過去の研究では、技術そのものよりも、監視の設計における従業員の参加に焦点が当てられています。ボディカメラ、ウェブカメラ、デジタルCCTVなど、監視が技術に組み込まれていて、回避できない場合は、技術設計に違いがあります。このようなテクノロジーデザインは、防ぐために設置された行動を誘発する危険性があります。監視者としての側面を支持的で公正な管理プロセスに適合させることができれば、心理社会的なリスクは少なくなります。
Discriminatory outcomes and poor distributive justice in monitoring processes: Discriminatory outcomes arise when surveillance is disproportionately targeted at particular groups over others and discriminates between them in terms of reward or opportunity. In respect of platform work there are concerns about differential wages, work allocations and precarity between geographic territories, groups and individuals. Surveillance intensity can also reproduce gender, race, class and immigration status inequalities in terms of the extent to which these groups are represented in lower paid service roles. ・監視プロセスにおける差別的な結果と分配的正義の欠如:監視が他のグループよりも特定のグループに偏って行われ、報酬や機会の面で彼らを差別する場合、差別的な結果が生じます。プラットフォーム・ワークに関しては、地理的領域、グループ、個人の間で、賃金、仕事の割り当て、不安定さに差があることが懸念されます。監視の強さは、ジェンダー、人種、階級、移民の地位の不平等を、これらのグループが低賃金のサービス業務に従事しているという点で、再現する可能性もあります。
Procedural unfairness in monitoring processes: A monitoring process is fair if employees have been able to express their views and influence the outcome, if the procedure is consistently applied to all, if it is free of bias, based on accurate information, if that outcome can be appealed, and if moral and ethical standards are upheld. When AI or algorithmic surveillance is being utilised, there is a risk that these opportunities will be side-lined. ・モニタリングプロセスにおける手続き上の不公平:監視プロセスにおける手続き上の不公平:監視プロセスは、従業員が意見を述べ、結果に影響を与えることができ、その手続きがすべての人に一貫して適用され、偏見がなく、正確な情報に基づいており、その結果に異議を申し立てることができ、道徳的・倫理的基準が守られていれば、公正なものとなります。AIやアルゴリズムによる監視が活用されている場合、これらの機会が横取りされてしまう危険性があります。
The amount of emotional labour and identity work undertaken by individuals as they come to terms with surveillance may increase psycho-social risks if surveillance crosses established public-private boundaries. Surveillance provokes a raft of emotions in which individuals labour to manage their visibility and control their exposure to surveillance. Such phenomena are documented in a wide range of standard work contexts, remote work and platform work. ・監視を受け入れる際に個人が行う感情的な労働やアイデンティティの作業は、監視が確立された官民の境界を越える場合、精神的・社会的リスクを高める可能性があります。監視は、個人が自分の可視性を管理し、監視への暴露をコントロールしようとする一連の感情を引き起こす。このような現象は、標準的な仕事、遠隔地での仕事、プラットフォームでの仕事など、さまざまな場面で記録されています。
The research produced several policy recommendations which specifically address each of these psycho-social risk factors to ameliorate the psycho-social risks associated with monitoring. 今回の調査では、監視に伴う心理社会的リスクを改善するために、これらの心理社会的リスク要因を具体的に解決するいくつかの政策提言を行いました。
They combine legal thinking with principles of data justice and organisational justice. Set out on pages 78 - 80, it is suggested that: これらの提言は、法的な考え方と、データの正義および組織の正義の原則を組み合わせたものです。78ページから80ページに記載されていますが、以下のことが提案されています。
These policy recommendations apply to monitoring process and to the way in which they are managed in standard, remote and platform work. ・これらの政策提言は、通常ワーク、リモートワーク、プラットフォームワークにおけるモニタリングのプロセスとその管理方法に適用される。
In remote working, policy concerning the configuration of monitoring is crucial not only in terms of its lawfulness but in terms of the way it may exacerbate the social isolation and workload difficulties of remote working. ・リモートワークでは、モニタリングの設定に関する政策は、その合法性の観点だけでなく、 リモートワークにおける社会的孤立や作業負荷の問題を悪化させる可能性の観点からも重要です。
The configuration and purpose of monitoring on platforms would be considered unnecessary and disproportionate in the standard workplace. Through a surveillance lens, the paucity of managerial and social support for platform workers in the face of such exacting surveillance is ethically unacceptable. ・プラットフォーム上での監視の構成と目的は、通常の職場では不必要で不釣り合いなものと考えられます。監視という観点から見ると、このような厳しい監視に直面しているプラットフォーム・ワーカーに対する経営的・社会的サポートの少なさは、倫理的に受け入れがたいものです。
Based on the research reviewed, future research priorities include: レビューした研究に基づき、今後の研究の優先事項は以下の通りです。
the replication and extension of Occupational Psychology and Organisational Behaviour (OP/OB) research in remote and platform work surveillance contexts ・職業心理学と組織行動学(OP/OB)の研究を、リモートワークやプラットフォームワークの監視の文脈で再現し、拡張すること。
the identification and testing of ethical principles which can underpin fair monitoring practices ・公正な監視行為を支える倫理原則の特定と検証
the development of high trust employee monitoring practices ・信頼性の高い従業員モニタリング手法の開発
technical and practical ways in which employees can gain autonomy over data collection and sharing and the impact on performance and efficiency ・従業員がデータの収集と共有に関する自律性を獲得するための技術的・実用的な方法と、パフォーマンスや効率への影響
the potential for non-surveillant alternatives and employee self-reporting of information ・監視者ではない代替手段と従業員による情報の自己申告の可能性
exploration of the boundary work undertaken by surveilled workers in all settings, and the articulation/contestation of the work/private life boundary ・あらゆる環境で監視されている労働者が行う境界作業、および仕事と私生活の境界の明確化/合意の探求
legal and regulatory research which considers the ways in which employment law may be updated and extended to protect workers from the abuse of their personal data in the workplace. How may workers make the most of their full range of GDPR rights? ・職場での個人情報の乱用から労働者を保護するために、雇用法をどのように更新・拡張していくかを検討する法的・規制的研究。労働者がGDPRの権利を最大限に活用するには?
the use of co-design processes to create ethical monitoring solutions ・倫理的な監視ソリューションを作成するための共同設計プロセスの利用
the use of collective representation to challenge and negotiate workplace surveillance ・職場の監視に異議を唱え、交渉するための集団代表の利用
effective resistant strategies, wider media campaigns and legal restriction of workplace surveillance. ・効果的な抵抗戦略、幅広いメディアキャンペーン、職場監視の法的規制

 

| | Comments (0)

2021.09.26

独国 サイバーセキュリティ戦略2021 at 2021.09.08

こんにちは、丸山満彦です。

ドイツがサイバーセキュリティ戦略 2021を2021.09.08に発表していましたね。。。

「サイバーセキュリティはデジタル化を成功させるための前提条件」というのがキーメッセージですかね。。。

 

Bundesministerium des Innern, für Bau und Heimat (内務省(建設・国土担当))

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

 

Cybersicherheitsstrategie für Deutschland 2021 beschlossen ドイツ2021年のサイバーセキュリティ戦略を採択
Seehofer: "Die Cybersicherheit ist Voraussetzung dafür, dass die Digitalisierung gelingt" ゼーホーファー:サイバーセキュリティはデジタル化を成功させるための前提条件
Das Bundeskabinett hat heute die vom Bundesminister des Innern, für Bau und Heimat vorgelegte "Cybersicherheitsstrategie für Deutschland 2021" beschlossen. Sie bildet den Rahmen für die Cybersicherheit für die nächsten fünf Jahre. 連邦内閣は本日、連邦内務大臣(建設・国土担当)が提示した「ドイツの2021年のサイバーセキュリティ戦略」を承認しました。この戦略は、今後5年間のサイバーセキュリティの枠組みを提供するものです。
Die Cybersicherheit ist eine Aufgabe der Gegenwart und eine der wichtigsten Aufgaben für die Zukunft. Unsere Zeit ist geprägt von neuen Möglichkeiten einer digitalisierten Welt, wie künstliche Intelligenz (KI), vernetzte elektronische Geräte und neue innovative Kommunikationskanäle. Um die Chancen der Digitalisierung ausschöpfen zu können, müssen die Risiken minimiert werden. サイバーセキュリティは、現在の課題であると同時に、将来に向けた最も重要な課題のひとつです。私たちの時代は、人工知能(AI)、ネットワーク化された電子機器、新しい革新的な通信チャネルなど、デジタル化された世界の新たな機会に特徴づけられます。デジタル化の機会を活用するためには、リスクを最小限に抑えなければなりません。
Bundesminister des Innern, für Bau und Heimat Horst Seehofer: "Die Gefährdungslage im Cyberraum ist sehr hoch. Der Staat hat gemeinsam mit Wirtschaft und Gesellschaft Sorge dafür zu tragen, dass die neuen Technologien sicher, frei und selbstbestimmt nutzbar sind.  Dazu gehören gut ausgestattete Sicherheitsbehörden, ein effektiver Schutz von kritischen Infrastrukturen und Wirtschaftsunternehmen und mehr Sicherheit für die Bürgerinnen und Bürger im digitalen Raum. Cybersicherheit ist kein notwendiges Übel, sondern Voraussetzung dafür, dass die Digitalisierung gelingt." ホルスト・ゼーホーファー連邦内務大臣(建設・内務担当)は、「サイバー空間における脅威のレベルは非常に高い。国は、産業界や社会と協力して、新しいテクノロジーを安全に、自由に、自己決定に基づいて利用できるようにしなければなりません。 これには、十分な装備を備えたセキュリティ当局、重要なインフラや商業企業の効果的な保護、デジタル空間における市民の安全性の向上などが含まれます。サイバーセキュリティは必要悪ではなく、デジタル化を成功させるための前提条件なのです」と述べています。
Die Cybersicherheitsstrategie konzentriert sich auf die vier Handlungsfelder Gesellschaft, Wirtschaft, Staat und EU/Internationales. In den Handlungsfeldern werden 44 strategische Ziele beschrieben. Neue Schwerpunkte werden u.a. mit folgenden Zielen gesetzt: サイバーセキュリティ戦略は、社会、経済、国家、EU/国際の4つの行動分野に焦点を当てています。行動分野は、44の戦略目標を記述しています。新たな優先事項は、特に以下の目標で設定されています。
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) soll zu einer Zentralstelle im Bund-Länder-Verhältnis ausgebaut werden und somit – neben dem Bundeskriminalamt im Polizeiwesen und dem Bundesamt für Verfassungsschutz im Verfassungsschutzverbund – zur dritten Säule einer föderal integrierten Cybersicherheitsarchitektur weiterentwickelt werden. 連邦情報セキュリティ局(BSI)は、連邦と国家の関係における中央機関に拡大され、警察制度における連邦刑事警察局および憲法保護ネットワークにおける連邦憲法保護局とともに、連邦的に統合されたサイバーセキュリティ・アーキテクチャーの第3の柱としてさらに発展することになります。
Die Strategie stärkt die Digitale Souveränität und damit die sichere Digitalisierung unseres Landes. Hierzu wird die deutsche Digitalwirtschaft durch gezielte Förderung von Schlüsseltechnologien und die Vernetzung mit relevanten Forscherinnen und Forschern vorangebracht. Für Schlüssel- und Zukunftstechnologien wird der Security-by-Design-Ansatz von Anfang an berücksichtigt. この戦略は、デジタル主権を強化し、その結果、わが国の安全なデジタル化を実現するものである。この目的のために、ドイツのデジタル経済は、鍵となる技術に的を絞った資金提供と、関連する研究者とのネットワークを通じて促進されます。鍵となる技術や将来のテクノロジーについては、最初からセキュリティ・バイ・デザインのアプローチが考慮されます。
Die "Cybersicherheitsstrategie für Deutschland 2021" ersetzt die "Cybersicherheitsstrategie für Deutschland 2016". Die Strategie beschreibt die grundsätzliche, langfristige Ausrichtung der Cybersicherheitspolitik der Bundesregierung in Form von Leitlinien, Handlungsfeldern und strategischen Zielen. 2021年のドイツのサイバーセキュリティ戦略は、「2016年のドイツのサイバーセキュリティ戦略」に代わるものです。この戦略は、ドイツ政府のサイバーセキュリティ政策の基本的かつ長期的な方向性を、ガイドライン、行動分野、戦略目標の形で記述しています。
Die einzelnen Ziele der Strategie werden transparent und messbar aufbereitet, so dass in Zukunft nachvollzogen werden kann, welcher Entwicklungsstand in jedem der einzelnen Bereich erreicht wurden.  戦略の個々の目標は、透明性のある測定可能な方法で提示されており、将来的に個々の分野で達成された開発のレベルを追跡することが可能です。

 

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

・2021.09.08 Bundesinnenminister Seehofer: "Damit Digitalisierung gelingt, brauchen wir Cybersicherheit"

Bundesinnenminister Seehofer: "Damit Digitalisierung gelingt, brauchen wir Cybersicherheit" ゼーホーファー内務大臣:デジタル化を成功させるためには、サイバーセキュリティが必要
Die Bundesregierung setzt auf gut ausgestattete Sicherheitsbehörden, einen effektiven Schutz kritischer Infrastrukturen und Wirtschaftsunternehmen sowie mehr Sicherheit für Bürgerinnen und Bürger im digitalen Raum. 連邦政府は、十分に装備されたセキュリティ当局、重要なインフラや商業企業の効果的な保護、そしてデジタル空間における市民のためのセキュリティ強化に注力しています。
Heute hat die Bundesregierung eine Strategie für ihr cybersicherheitspolitisches Handeln in den nächsten fünf Jahren beschlossen. "Cybersicherheit ist kein notwendiges Übel, sondern Voraussetzung dafür, dass die Digitalisierung gelingt", betonte der Bundesminister des Innern, für Bau und Heimat, Horst Seehofer, im Anschluss an die Kabinettssitzung im Bundeskanzleramt. 本日、連邦政府は、今後5年間のサイバーセキュリティ政策の取り組みに関する戦略を採択しました。ホルスト・ゼーホーファー内務大臣は、連邦首相官邸で行われた閣議の後、「サイバーセキュリティは必要悪ではなく、デジタル化を成功させるための必須条件である」と強調しました。
Bei einer hohen Gefährdungslage im Cyberraum müssten sich Staat, Wirtschaft und Gesellschaft gemeinsam um die sichere und freie Nutzung neuer Technologien kümmern. "Dazu gehören gut ausgestattete Sicherheitsbehörden, ein effektiver Schutz von kritischen Infrastrukturen und Wirtschaftsunternehmen und mehr Sicherheit für die Bürgerinnen und Bürger im digitalen Raum", so der Minister. ゼーホーファー内務大臣は、連邦首相官邸で行われた閣議の後、「サイバー空間における脅威のレベルは高く、国家、企業、社会が協力して新しいテクノロジーを安全かつ自由に利用しなければならない」と述べました。「これには、十分な装備を備えた治安当局、重要なインフラや商業企業の効果的な保護、デジタル空間における市民の安全性の向上などが含まれます」と述べました。
Digitalisierung weiterhin sicher voranbringen デジタル化を安全に進めていく
So will die Bundesregierung das dem Bundesinnenministerium unterstellte Bundesamt für Sicherheit in der Informationstechnik (BSI) in den nächsten Jahren zur zentralen Stelle für die Zusammenarbeit von Bund und Ländern ausbauen. そのため、連邦政府は、連邦内務省の下部組織である連邦情報セキュリティ局(BSI)を拡大し、今後数年のうちに連邦政府と各州の協力関係の中心的な機関とする意向です。
Um die Digitalisierung weiterhin sicher voranzubringen, will die Bundesregierung Schlüsseltechnologien in der deutschen Digitalwirtschaft gezielt fördern und Forscherinnen und Forscher auf diesem Gebiet besser vernetzen. デジタル化を確実に進めていくために、連邦政府はドイツのデジタル経済における鍵となる技術を特に推進し、この分野の研究者をよりよくネットワーク化したいと考えています。
Bei den staatlichen Akteuren der Cybersicherheit geht es neben Kompetenzverteilung und Zusammenarbeit zwischen den Behörden vor allem um den Ausbau von Fähigkeiten und Befugnissen für die neuen Herausforderungen im Cyberraum. サイバーセキュリティにおける国家アクターの場合、権限の分配や当局間の協力に加えて、サイバー空間における新たな課題に対する能力と権限の拡大が主な課題となっています。
Mehr als 70 Akteure aus Wirtschaft, Wissenschaft, Gesellschaft und Staat beteiligt 企業、科学、社会、政府から70人以上の関係者が参加
Die Cybersicherheitsstrategie für Deutschland definiert den strategischen Rahmen für die Cybersicherheitspolitik in den nächsten fünf Jahren. Nach einer breiten öffentlichen Diskussion waren über 70 Akteurinnen und Akteure aus Wirtschaft, Wissenschaft, Gesellschaft und Staat in die Entwicklung der Strategie eingebunden. ドイツのサイバーセキュリティ戦略は、今後5年間のサイバーセキュリティ政策の戦略的枠組みを定めたものです。広範な公開討論を経て、企業、科学、社会、国からの70人以上のステークホルダーが戦略の策定に参加しました。
Die Strategie beschreibt die grundsätzliche, langfristige Ausrichtung der Cybersicherheitspolitik der Bundesregierung. Gemeinsam mit den Cybersicherheitsstrategien der Länder bildet sie die Grundlage für eine enge föderale Zusammenarbeit in diesem Bereich. Sie ist außerdem Teil der Europäischen Cybersicherheitsstrategie für die Gestaltung der digitalen Zukunft Europas. この戦略は、連邦政府のサイバーセキュリティ政策の基本的かつ長期的な方向性を示しています。また、各州のサイバーセキュリティ戦略と合わせて、この分野における連邦政府の緊密な協力関係の基礎を形成しています。また、「欧州のデジタルな未来を形作るための欧州サイバーセキュリティ戦略」の一環でもあります。

 

 

1 Inhaltsverzeichnis 1.目次
2 Zusammenfassung (Management Summary) 2 マネージメントサマリー
3 Einleitung 3 はじめに
4 Zielstellung der Cybersicherheitsstrategie 2021 4 「サイバーセキュリティ戦略2021」の目的
5 Cyberbedrohungslage 5.サイバー脅威の状況
5.1 Angriffsvektoren – welche Einfallstore ermöglichen den Angriff? 5.1 攻撃ベクター - どのゲートウェイが攻撃を可能にするか?
5.2 Bedrohungen – welche Entwicklungen werden bei Cyberangriffen festgestellt? 5.2 脅威-サイバー攻撃の傾向は?
5.2.1 Cyberkriminalität 5.2.1 サイバー犯罪
5.2.2 Staatlich motivierte Cyberangriffe 5.2.2 国家主導のサイバー攻撃
5.2.3 Cyberangriffe im Rahmen hybrider Bedrohungen 5.2.3 ハイブリッドな脅威の中でのサイバー攻撃
5.3 Assets – welche Güter sind bedroht? 5.3 資産 - どの資産が脅かされているのか?
5.4 Fazit 5.4 結論
6 Die Cybersicherheitslandschaft in Deutschland 6 ドイツのサイバーセキュリティ事情
6.1 Zivilgesellschaftliche Initiativen und Akteure 6.1 市民社会の取り組みと関係者
6.2 Wissenschaftliche Initiativen und Akteure 6.2 科学的イニシアチブと関係者
6.3 Wirtschaftliche Akteure und Initiativen 6.3 経済活動の主体と取り組み
6.4 Staatliche Initiativen und Akteure 6.4 政府の取り組みと関係者
6.4.1 Strategische Ebene 6.4.1 戦略レベル
6.4.2 Operative Ebene 6.4.2 運用レベル
6.4.3 Die Zusammenarbeit zwischen Bund und Ländern 6.4.3 連邦政府と州政府の協力関係
7 Leitlinien der Cybersicherheitsstrategie 7 サイバーセキュリティ戦略の指針
7.1 Leitlinie: „Cybersicherheit als eine gemeinsame Aufgabe von Staat, Wirtschaft, Wissenschaft und Gesellschaft etablieren“ 7.1 指針:「サイバーセキュリティを国、企業、科学、社会の共同作業として確立すること」。
7.2 Leitlinie: „Digitale Souveränität von Staat, Wirtschaft, Wissenschaft und Gesellschaft stärken“ 7.2 指針:「国家、企業、科学、社会のデジタル主権を強化する」
7.3 Leitlinie: „Digitalisierung sicher gestalten“ 7.3 指針:「デジタル化を安全にする」
7.4 Leitlinie: „Ziele messbar und transparent ausgestalten“ 7.4 指針:「目標は測定可能で透明性のあるものにする」
8 Handlungsfelder der Cybersicherheitsstrategie 8 サイバーセキュリティ戦略の行動分野
8.1 Handlungsfeld 1: Sicheres und selbstbestimmtes Handeln in einer digitalisierten Umgebung 8.1 行動分野1:デジタル化された環境における安全で自己決定的な行動
8.1.1 Digitale Kompetenzen bei allen Anwenderinnen und Anwendern fördern 8.1.1 すべてのユーザーのデジタルコンピテンシーの促進
8.1.2 Anwenderfreundlichkeit sicherheitstechnischer Lösungen steigern 8.1.2 セキュリティソリューションの使いやすさの向上
8.1.3 Staatliche Angebote des digitalen Verbraucherschutzes ausbauen 8.1.3 デジタル消費者保護に関する州の提案の拡大
8.1.4 Europäisch einheitliche Sicherheitsanforderungen 8.1.4 欧州統一のセキュリティ要件
8.1.5 Sichere elektronische Identitäten gewährleisten 8.1.5 安全な電子アイデンティティの確保
8.1.6 Elektronische Identitäten (von Personen und Dingen) im weiteren Sinne und Authentizität und Integrität von Algorithmen, Daten und Dokumenten absichern 8.1.6 広義の(人や物の)電子的なアイデンティティと、アルゴリズム、データ、文書の真正性・完全性の確保
8.1.7 Voraussetzungen für sichere elektronische Kommunikation und sichere Web-Angebote schaffen 8.1.7 安全な電子通信および安全なウェブ提供のための条件の整備
8.1.8 Verantwortungsvoller Umgang mit Schwachstellen – Coordinated Vulnerability Disclosure fördern 8.1.8 脆弱性の責任ある取り扱い-協調的な脆弱性開示の推進
8.1.9 Verschlüsselung als Voraussetzung eines souveränen und selbstbestimmten Handelns flächendeckend einsetzen 8.1.9 主権を持った自己決定権のある行動の前提条件として、暗号化を全面的に導入する。
8.1.10 IT-Sicherheit durch KI und IT-Sicherheit für KI gewährleisten 8.1.10 AIによるITセキュリティの確保、AIのためのITセキュリティの確保
8.2 Handlungsfeld 2: Gemeinsamer Auftrag von Staat und Wirtschaft 8.2 活動分野2:国家と経済の共同ミッション
8.2.1 Den NCSR in seiner Koordinierungsfunktion für die Cybersicherheitslandschaft stärken 8.2.1 サイバーセキュリティの状況を調整する役割を担うNCSRの強化
8.2.2 Die Zusammenarbeit von Staat, Wirtschaft, Wissenschaft und Zivilgesellschaft im Bereich der Cybersicherheit verbessern 8.2.2 サイバーセキュリティの分野における政府、企業、学界、市民社会の協力関係の向上
8.2.3 Eine kooperative Kommunikationsplattform zu Cyberangriffen zwischen Staat, Wirtschaft, Wissenschaft und Gesellschaft aufbauen 8.2.3 サイバー攻撃に関する政府、企業、学術界、社会の協力的なコミュニケーション・プラットフォームの構築
8.2.4 Unternehmen in Deutschland schützen 8.2.4 ドイツ国内の企業の保護
8.2.5 Die deutsche digitale Wirtschaft stärken 8.2.5 ドイツのデジタル経済の強化
8.2.6 Einen einheitlichen europäischen Regulierungsrahmen für Unternehmen schaffen 8.2.6 企業のための欧州統一の規制枠組みの構築
8.2.7 Forschung und Entwicklung resilienter, sicherer IT-Produkte, Dienstleistungen und Systeme für den EU-Binnenmarkt fördern 8.2.7 EU単一市場向けの回復力のある安全なIT製品、サービス、システムの研究開発を促進する。
8.2.8 Sicherheit von Zukunfts- und Schlüsseltechnologien im Sinne eines Security-by-Design-Ansatzes stärken 8.2.8 セキュリティ・バイ・デザインという意味での、将来の主要技術のセキュリティの強化
8.2.9 IT-Sicherheit durch Quantentechnologie gewährleisten 8.2.9 量子技術によるITセキュリティの確保
8.2.10 Prüf- und Abnahmeverfahren mit Innovationszyklen harmonisieren (Time-to-Market) 8.2.10 技術革新サイクル(市場投入までの時間)に合わせたテストおよび受け入れ手順の調和
8.2.11 Schutz Kritischer Infrastrukturen weiter verbessern 8.2.11 重要インフラ保護のさらなる向上
8.2.12 Cybersicherheitszertifizierung 8.2.12 サイバースペース認証
8.2.13 Telekommunikationsinfrastrukturen der Zukunft sichern 8.2.13 未来のセキュアな通信インフラ
8.3 Handlungsfeld 3: Leistungsfähige und nachhaltige gesamtstaatliche Cybersicherheitsarchitektur 8.3 行動分野3:効率的で持続可能な州全体のサイバー・セキュリティ・アーキテクチャ
8.3.1 Die Möglichkeiten des Bundes zur Gefahrenabwehr bei Cyberangriffen verbessern 8.3.1 サイバー攻撃を回避する連邦政府の能力の向上
8.3.2 Die technisch-operativen Einheiten des BSI zukunftsfähig ausgestalten und vernetzen 8.3.2 将来のためのBSIの技術・運用ユニットの設計とネットワーク化
8.3.3 Die institutionalisierte Zusammenarbeit zwischen dem BSI und den Ländern stärken 8.3.3 BSIと各州の間の制度的な協力関係の強化
8.3.4 Das Nationale Cyber-Abwehrzentrum weiterentwickeln 8.3.4 国家サイバー防衛センターのさらなる発展
8.3.5 Cyber- und Informationssicherheit der Bundesverwaltung stärken 8.3.5 連邦行政機関におけるサイバー・情報セキュリティの強化
8.3.6 Cybersicherheit im Umfeld von Wahlen erhöhen 8.3.6 選挙環境におけるサイバー・セキュリティの向上
8.3.7 Strafverfolgung im Cyberraum intensivieren 8.3.7 サイバースペースにおける法執行の強化
8.3.8 Zentrale Kompetenz- und Service-Dienstleistungen des BKA zur Bekämpfung von Cyberkriminalität ausbauen 8.3.8 サイバー犯罪対策のためのBKAの中心的能力とサービスの拡充
8.3.9 Sicherheit durch Verschlüsselung und Sicherheit trotz Verschlüsselung gewährleisten 8.3.9 暗号化によるセキュリティと暗号化されていてもセキュリティを確保する
8.3.10 Den verantwortungsvollen Umgang mit Zero-Day-Schwachstellen und Exploits fördern 8.3.10 ゼロデイ脆弱性およびエクスプロイトの責任ある取り扱いの推進
8.3.11 Die Digitale Souveränität der Sicherheitsbehörden durch den Ausbau der ZITiS stärken 8.3.11 ZITiSの拡大によるセキュリティ当局のデジタル主権の強化
8.3.12 Das Cybersicherheitsniveau durch gestärkte Vorfeldaufklärung erhöhen 8.3.12 展開前のインテリジェンスの強化によるサイバーセキュリティのレベルの向上
8.3.13 Verteidigungsaspekte der Cybersicherheit stärken 8.3.13 サイバー・セキュリティの防御面の強化
8.3.14 Das Telekommunikations- und Telemedienrecht und die Fachgesetze an den technologischen Fortschritt anpassen 8.3.14 電気通信法、テレメディア法及び専門法の技術的進歩との適合
8.4 Handlungsfeld 4: Aktive Positionierung Deutschlands in der europäischen und internationalen Cybersicherheitspolitik 8.4 活動分野4:欧州および国際的なサイバー・セキュリティ政策におけるドイツの積極的な位置づけ
8.4.1 Eine wirksame europäische Cybersicherheitspolitik aktiv gestalten 8.4.1 効果的な欧州のサイバー・セキュリティ政策の積極的な形成
8.4.2 Cybersicherheit und -verteidigung in der NATO mitgestalten 8.4.2 NATOにおけるサイバーセキュリティと防衛の形成に貢献
8.4.3 Völkerrecht und den normativen Rahmen für den Cyberraum stärken und auf verantwortliches Staatenverhalten hinwirken 8.4.3 国際法とサイバースペースに関する規範的枠組みの強化と国家の責任ある行動への取り組み
8.4.4 Vertrauensbildende Maßnahmen fördern 8.4.4 信頼醸成措置の推進
8.4.5 Bilaterale und regionale Unterstützung und Kooperation zum Auf- und Ausbau von Cyberfähigkeiten (Cyber Capacity Building) stärken 8.4.5 サイバーキャパシティビルディングのための二国間・地域間の支援・協力の強化
8.4.6 Internationale Zusammenarbeit bei der Strafverfolgung stärken und internationale Cyberkriminalität bekämpfen 8.4.6 国際的な法執行協力の強化と国際的なサイバー犯罪の撲滅
8.4.7 Gemeinsam in der EU an innovativen Lösungen für eine effektivere Bekämpfung von Kriminalität arbeiten 8.4.7 犯罪との戦いをより効果的にするための革新的なソリューションについてのEU内での協力
9 Umsetzung, Berichtswesen, Controlling und Evaluierung der Cybersicherheitsstrategie 9 サイバーセキュリティ戦略の実施、報告、管理、評価
9.1 Umsetzung 9.1 実装
9.2 Berichtswesen 9.2 報告
9.3 Controlling 9.3 コントロール
9.4 Evaluierungen der Cybersicherheitsstrategie 2021 9.4 「サイバーセキュリティ戦略2021」への評価
10 Glossar 10 用語集
11 Abkürzungsverzeichnis 11 略語のリスト

 

・英語版

・2021.09.08 Goals adopted in the area of cyber security

・[PDF] Cyber Security Strategy for Germany 2021 

 


■ 参考

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ UKの場合

● National Cyber Security Cntre

・2016.11.01 (Policy paper) National Cyber Security Strategy 2016 to 2021

The National Cyber Security Strategy 2016 to 2021 sets out the government's plan to make Britain secure and resilient in cyberspace.

・[PDF] National Cyber Security Strategy 2016 to 2021

20210513-131213

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

・2016.12.27 National Cyberspace Security Strategy

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch





■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

| | Comments (0)

中国 人民銀行等 仮想通貨取引における投機リスクの更なる防止・対処に関する通知

こんにちは、丸山満彦です。

中国人民銀行、最高人民検察院、市場監督総局、証券取引委員会、外国為替局等が、 仮想通貨取引における投機リスクの更なる防止・対処に関する通知を出していますね。。。

Bitcoin等は禁止という感じですね。。。

中国人民银行

・2021.09.24 关于进一步防范和处置虚拟货币交易炒作风险的通知

关于进一步防范和处置虚拟货币交易炒作风险的通知 仮想通貨取引における投機リスクの更なる防止・対処に関する通知
各省、自治区、直辖市人民政府,新疆生产建设兵团: 省、自治区、中央政府直轄市の人民政府、新疆生産建設兵団。
近期,虚拟货币交易炒作活动抬头,扰乱经济金融秩序,滋生赌博、非法集资、诈骗、传销、洗钱等违法犯罪活动,严重危害人民群众财产安全。为进一步防范和处置虚拟货币交易炒作风险,切实维护国家安全和社会稳定,依据《中华人民共和国中国人民银行法》《中华人民共和国商业银行法》《中华人民共和国证券法》《中华人民共和国网络安全法》《中华人民共和国电信条例》《防范和处置非法集资条例》《期货交易管理条例》《国务院关于清理整顿各类地方交易场所切实防范金融风险的决定》《国务院办公厅关于清理整顿各类交易场所的实施意见》等规定,现就有关事项通知如下: 近年、仮想通貨取引における投機的行為が増加しており、経済・金融秩序を混乱させ、賭博、違法な資金調達、詐欺、ネズミ講、マネーロンダリングなどの違法・犯罪行為を助長し、人々の財産の安全を著しく脅かしている。 仮想通貨取引における投機のリスクをより一層防止・処理し、国家安全保障と社会安定を効果的に維持するため、中華人民共和国人民銀行法、中華人民共和国商業銀行法、中華人民共和国証券法、中華人民共和国ネットワークセキュリティ法、中華人民共和国電気通信規則、違法資金調達の防止・処理に関する規則、先物取引の管理に関する規則、その他の規則に基づき、仮想通貨取引を行っている。 金融リスクを効果的に防止するための地方の様々な取引所の清掃と是正に関する国務院の決定」「様々な取引所の清掃と是正に関する国務院総局の実施意見」などの規定に基づき、関連事項を以下の通り通知する。
一、明确虚拟货币和相关业务活动本质属性 1. 仮想通貨および関連する事業活動の本質的属性の明確化
(一)虚拟货币不具有与法定货币等同的法律地位。比特币、以太币、泰达币等虚拟货币具有非货币当局发行、使用加密技术及分布式账户或类似技术、以数字化形式存在等主要特点,不具有法偿性,不应且不能作为货币在市场上流通使用。 (1) 仮想通貨は法定通貨と同じ法的地位を持たない。 ビットコイン、イーサ、TEDAなどの仮想通貨は、通貨当局から発行されていないこと、暗号や分散アカウントなどの技術を使用していること、デジタル形式で存在していることなどを主な特徴としていますが、法的な支払能力はなく、市場で流通する通貨として使用すべきではなく、使用できない。
(二)虚拟货币相关业务活动属于非法金融活动。开展法定货币与虚拟货币兑换业务、虚拟货币之间的兑换业务、作为中央对手方买卖虚拟货币、为虚拟货币交易提供信息中介和定价服务、代币发行融资以及虚拟货币衍生品交易等虚拟货币相关业务活动涉嫌非法发售代币票券、擅自公开发行证券、非法经营期货业务、非法集资等非法金融活动,一律严格禁止,坚决依法取缔。对于开展相关非法金融活动构成犯罪的,依法追究刑事责任。 (2) 仮想通貨に関する事業活動は違法な金融活動である。 法定通貨と仮想通貨との交換業務、仮想通貨同士の交換業務、中央取引所としての仮想通貨の売買、仮想通貨取引の情報仲介・価格設定サービスの提供、トークン発行の資金調達、仮想通貨デリバティブの取引など、仮想通貨に関連する業務を行うことは、トークンや紙幣の違法な販売、有価証券の不正な公募、先物取引の違法な運営、違法な資金調達など、違法な金融行為の疑いがある。 これらは法律に基づいて厳しく禁止されており、断固として禁止されている。 違法な金融活動が犯罪を構成する場合、刑事責任は法律に基づいて調査される。
(三)境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动。对于相关境外虚拟货币交易所的境内工作人员,以及明知或应知其从事虚拟货币相关业务,仍为其提供营销宣传、支付结算、技术支持等服务的法人、非法人组织和自然人,依法追究有关责任。 (3)インターネットを通じて国内居住者にサービスを提供する海外の仮想通貨取引所も違法な金融行為である。 関連する海外の仮想通貨取引所の国内スタッフおよび、仮想通貨関連事業に従事していることを知りながら、または知るべきであるにもかかわらず、マーケティングやプロモーション、決済、技術サポートなどのサービスを提供した法人、法人でない組織、自然人については、法律に基づいて責任を負う。
(四)参与虚拟货币投资交易活动存在法律风险。任何法人、非法人组织和自然人投资虚拟货币及相关衍生品,违背公序良俗的,相关民事法律行为无效,由此引发的损失由其自行承担;涉嫌破坏金融秩序、危害金融安全的,由相关部门依法查处。 (4)仮想通貨の投資・取引活動への参加には法的リスクがある。 公序良俗に反して仮想通貨および関連デリバティブに投資した法人、非法人組織および自然人は、その関連する民事法律行為を無効とし、それによって生じた損失を負担しなければならない。金融秩序を損ない、金融の安全を危うくした疑いがある場合は、法律に基づいて関連部門が調査し、対処しなければならない。
二、建立健全应对虚拟货币交易炒作风险的工作机制 2. 仮想通貨取引における投機のリスクに対処するための健全な作業メカニズムの確立
(五)部门协同联动。人民银行会同中央网信办、最高人民法院、最高人民检察院、工业和信息化部、公安部、市场监管总局、银保监会、证监会、外汇局等部门建立工作协调机制,协同解决工作中的重大问题,督促指导各地区按统一部署开展工作。 (5) 各部門の協力・共同作業:人民銀行は、中央インターネット情報局、最高人民法院、最高人民検察院、工業情報化省、公安省、市場監督総局、銀監会、SFC、外国為替局と連携して、作業調整メカニズムを構築し、作業上の主要な問題を解決し、各地域が統一された展開に沿って作業を行うよう監督・指導する。
(六)强化属地落实。各省级人民政府对本行政区域内防范和处置虚拟货币交易炒作相关风险负总责,由地方金融监管部门牵头,国务院金融管理部门分支机构以及网信、电信主管、公安、市场监管等部门参加,建立常态化工作机制,统筹调动资源,积极预防、妥善处理虚拟货币交易炒作有关问题,维护经济金融秩序和社会和谐稳定。 (6) 現地での実施の強化:省レベルの人民政府は、地方の金融規制当局が主導し、国務院の金融管理部門とネットワーク情報、通信、公安、市場監督を担当する部門の支部が参加して、行政区域内の仮想通貨取引の投機に関するリスクの防止と対処に全面的な責任を負い、正規の作業メカニズムを確立し、資源を調整・動員し、仮想通貨取引の投機に関する問題を積極的に防止し、適切に対処し、経済・金融秩序を維持する。 また、政府は、定期的な作業メカニズムを確立して、資源を調整・動員し、仮想通貨取引の投機に関する問題を積極的に防止し、適切に対処して、経済・金融秩序と社会の調和と安定を維持する必要がある。
三、加强虚拟货币交易炒作风险监测预警 3. 仮想通貨取引における投機リスクの監視・早期警戒の強化
(七)全方位监测预警。各省级人民政府充分发挥地方监测预警机制作用,线上监测和线下排查相结合,提高识别发现虚拟货币交易炒作活动的精度和效率。人民银行、中央网信办等部门持续完善加密资产监测技术手段,实现虚拟货币“挖矿”、交易、兑换的全链条跟踪和全时信息备份。金融管理部门指导金融机构和非银行支付机构加强对涉虚拟货币交易资金的监测工作。 (7)  全方位のモニタリングと早期警報:省レベルの人民政府は、地方の監視・早期警報メカニズムを十分に活用し、オンラインの監視とオフラインの調査を組み合わせ、仮想通貨取引の投機的行為の特定と検出の精度と効率を向上させるべきである。 中国人民銀行、中央インターネット情報局などの部門は、暗号資産を監視する技術的手段を引き続き改善し、仮想通貨の「採掘」、「取引」、「交換」のチェーン全体の追跡と、フルタイムの情報のバックアップを実現していく。 金融管理部門は、金融機関やノンバンクの決済機関に対し、仮想通貨取引に関わる資金の監視を強化するよう指導している。
(八)建立信息共享和快速反应机制。在各省级人民政府领导下,地方金融监管部门会同国务院金融管理部门分支机构、网信部门、公安机关等加强线上监控、线下摸排、资金监测的有效衔接,建立虚拟货币交易炒作信息共享和交叉验证机制,以及预警信息传递、核查、处置快速反应机制。 (8) 情報共有と迅速な対応のためのメカニズムの確立:各省レベルの人民政府の指導の下、地方の金融規制部門は、国務院財政管理部門の支局、インターネット情報部門、公安当局と連携して、オンライン監視、オフラインマッピング、資金監視の効果的な接続を強化し、仮想通貨取引投機の情報共有と相互検証のメカニズム、早期警戒情報の伝達・検証・処分の迅速な対応メカニズムを構築する。
四、构建多维度、多层次的风险防范和处置体系 4. 多次元・多段階のリスク回避・処理システムの構築
(九)金融机构和非银行支付机构不得为虚拟货币相关业务活动提供服务。金融机构和非银行支付机构不得为虚拟货币相关业务活动提供账户开立、资金划转和清算结算等服务,不得将虚拟货币纳入抵质押品范围,不得开展与虚拟货币相关的保险业务或将虚拟货币纳入保险责任范围,发现违法违规问题线索应及时向有关部门报告。 (9) 金融機関およびノンバンク決済機関は、仮想通貨関連の事業活動のためのサービスを提供してはならない。 金融機関およびノンバンク決済機関は、仮想通貨に関連する事業活動のために口座開設、資金移動、決済などのサービスを提供してはならず、仮想通貨を担保の範囲に含めてはならず、仮想通貨に関連する保険業務を行ってはならず、仮想通貨を保険負債の範囲に含めてはならず、違法・不正の手がかりを発見した場合には、速やかに関連部門に報告しなければならない。
(十)加强对虚拟货币相关的互联网信息内容和接入管理。互联网企业不得为虚拟货币相关业务活动提供网络经营场所、商业展示、营销宣传、付费导流等服务,发现违法违规问题线索应及时向有关部门报告,并为相关调查、侦查工作提供技术支持和协助。网信和电信主管部门根据金融管理部门移送的问题线索及时依法关闭开展虚拟货币相关业务活动的网站、移动应用程序、小程序等互联网应用。 (10) 仮想通貨関連のインターネット情報の内容とアクセス管理の強化:インターネット企業は、仮想通貨関連事業活動のためのオンライン事業所、商業表示、マーケティング・宣伝、有料転用などのサービスを提供してはならず、違法・非合法な問題の糸口を見つけた場合には速やかに関連部門に報告し、関連する調査・発見作業に技術支援・協力を提供しなければならない。 インターネット情報通信当局は、問題の糸口に応じて財務管理部門を担当し、タイムリーに、法律に基づいて、仮想通貨関連の業務活動を行うウェブサイト、モバイルアプリケーション、小型プログラムなどのインターネットアプリケーションを閉鎖する。
(十一)加强对虚拟货币相关的市场主体登记和广告管理。市场监管部门加强市场主体登记管理,企业、个体工商户注册名称和经营范围中不得含有“虚拟货币”“虚拟资产”“加密货币”“加密资产”等字样或内容。市场监管部门会同金融管理部门依法加强对涉虚拟货币相关广告的监管,及时查处相关违法广告。 (11) 仮想通貨に関連する市場主体の登録と広告管理の強化:市場監督部門は、市場主体の登録管理を強化し、企業や個々の工商家は、登録名や業務範囲に「仮想通貨」「仮想資産」「暗号通貨」という言葉を含めることはできない。 市場監督部門は、財務管理部門と連携して、法律に基づいて仮想通貨に関連する広告の監督を強化し、関連する違法広告を適時に調査・対処しなければならない。
(十二)严厉打击虚拟货币相关非法金融活动。发现虚拟货币相关非法金融活动问题线索后,地方金融监管部门会同国务院金融管理部门分支机构等相关部门依法及时调查认定、妥善处置,并严肃追究有关法人、非法人组织和自然人的法律责任,涉及犯罪的,移送司法机关依法查处。 (12) 仮想通貨に関わる違法な金融活動の取り締まり:仮想通貨に関する違法な金融活動の手がかりを発見した後、地方の金融監督部門は、国務院財政管理部門の支部やその他の関連部門と連携して、速やかに調査・特定し、適切に対処するとともに、関連する法人、非法人組織、自然人の法的責任を真剣に追及し、犯罪に関与している場合は司法機関に移送し、法律に基づいて調査・処罰する。
(十三)严厉打击涉虚拟货币犯罪活动。公安部部署全国公安机关继续深入开展“打击洗钱犯罪专项行动”“打击跨境赌博专项行动”“断卡行动”,依法严厉打击虚拟货币相关业务活动中的非法经营、金融诈骗等犯罪活动,利用虚拟货币实施的洗钱、赌博等犯罪活动和以虚拟货币为噱头的非法集资、传销等犯罪活动。 (13) 仮想通貨を利用した犯罪行為の取り締まり: 公安省は、全国の公安機関を配置し、引き続き「マネーロンダリング犯罪に対する特別作戦」、「越境賭博に対する特別作戦」、「カード破りの作戦」を綿密に実施し、法律に基づいて仮想通貨に関連する違法操業、違法事業活動、違法行為を取り締まる。 公安部は、全国の公安当局を配置し、「マネーロンダリング撲滅特別作戦」、「越境ギャンブル撲滅特別作戦」、「カードブレイキング作戦」を継続して実施し、仮想通貨関連事業活動における違法操業、金融詐欺などの犯罪行為、仮想通貨をギミックとして使用したマネーロンダリング、ギャンブルなどの犯罪行為、違法な資金調達、マルチ商法などを取り締まる。
(十四)加强行业自律管理。中国互联网金融协会、中国支付清算协会、中国银行业协会加强会员管理和政策宣传,倡导和督促会员单位抵制虚拟货币相关非法金融活动,对违反监管政策和行业自律规则的会员单位,依照有关自律管理规定予以惩戒。依托各类行业基础设施开展虚拟货币交易炒作风险监测,及时向有关部门移送问题线索。 (14) 業界の自主規制管理の強化:中国インターネット金融協会、中国決済清算協会、中国銀行協会は、会員管理と政策宣伝を強化し、会員に仮想通貨に関連する違法な金融活動に抵抗するように提唱・要請し、規制政策や業界の自主規制規則に違反した会員を関連の自主規制規則に基づいて処罰する。 様々な業界のインフラを利用して、仮想通貨取引の投機のリスクモニタリングを行い、問題のある手がかりをタイムリーに関連部門に転送する。
五、强化组织实施 5. 組織と実施の強化
(十五)加强组织领导和统筹协调。各部门、各地区要高度重视应对虚拟货币交易炒作风险工作,加强组织领导,明确工作责任,形成中央统筹、属地实施、条块结合、共同负责的长效工作机制,保持高压态势,动态监测风险,采取有力措施,防范化解风险,依法保护人民群众财产安全,全力维护经济金融秩序和社会稳定。 (15) 組織のリーダーシップとコーディネーションの強化:すべての部門と地域は、仮想通貨取引における投機のリスクに取り組むことを重要視し、組織のリーダーシップを強化し、仕事の責任を明確にし、中央の調整、地方の実施、部門とブロックの統合、共同責任という長期的な作業メカニズムを形成し、高圧的な姿勢を維持し、リスクを動的に監視し、リスクの防止と解決のために強力な措置を講じ、法律に基づいて人々の財産を保護し、経済・金融の秩序と社会の安定を維持するために全力を尽くすべきである。
(十六)加强政策解读和宣传教育。各部门、各地区及行业协会要充分运用各类媒体等传播渠道,通过法律政策解读、典型案例剖析、投资风险教育等方式,向社会公众宣传虚拟货币炒作等相关业务活动的违法性、危害性及其表现形式等,增强社会公众风险防范意识。 (16) 政策解釈と広報・教育の強化:すべての部門、地域、業界団体は、様々なメディアやその他のコミュニケーション・チャンネルを十分に活用し、法政策の解釈、典型的な事例の分析、投資リスク教育などを通じて、仮想通貨投機やその他の関連事業活動の違法性や危険性、その発現状況などを国民に周知し、国民のリスク防止意識を高めるべきである。
中国人民银行 中央网信办 最高人民法院 最高人民检察院 工业和信息化部 公安部 市场监管总局 银保监会 证监会 外汇局 中国人民銀行 中央インターネット情報局 最高人民法院 最高人民検察院 工業・情報技術部 公安部 市場監督総局 銀行・保険監督総局 証券監督管理委員会 外国為替局
2021年9月15日 2021年9月15日

 

記者との質疑

・2021.09.24 人民银行有关负责人就《关于进一步防范和处置虚拟货币交易炒作风险的通知》答记者问

人民银行有关负责人就《关于进一步防范和处置虚拟货币交易炒作风险的通知》答记者问 「仮想通貨取引における投機リスクのさらなる防止と処分に関する通知」に関する人民銀行担当者と記者との質疑
近日,人民银行等十部门发布《关于进一步防范和处置虚拟货币交易炒作风险的通知》(以下简称《通知》)。人民银行有关负责人就相关问题回答了记者提问。 先日、人民銀行をはじめとする10の部門が「仮想通貨取引における投機リスクのさらなる防止と処分に関する通知」(以下、本通知)を発表しました。 人民銀行の担当者は、関連事項について記者の質問に答えました。
1.《通知》的出台背景是什么? 1. 通知の背景を教えてください。
近年来,比特币等虚拟货币交易炒作活动盛行,扰乱经济金融秩序,滋生洗钱、非法集资、诈骗、传销等违法犯罪活动,严重危害人民群众财产安全。按照党中央、国务院决策部署,人民银行会同有关部门出台一系列政策措施,明确虚拟货币不具有法定货币地位,禁止金融机构开展和参与虚拟货币相关业务,清理取缔境内虚拟货币交易和代币发行融资平台,持续开展风险提示和金融消费者教育,取得积极成效。为建立常态化工作机制,始终保持对虚拟货币交易炒作活动的高压打击态势,人民银行等部门结合新的风险形势,在总结前期工作经验的基础上,起草了《通知》。 近年、ビットコインをはじめとする仮想通貨取引への投機が横行し、経済・金融秩序を乱し、マネーロンダリング、違法な資金調達、詐欺、ねずみ講などの違法・犯罪行為を助長し、人々の財産の安全を著しく脅かしています。 人民銀行は、党中央委員会および国務院の決定・展開に基づき、関連部門とともに一連の政策・措置を発動し、仮想通貨が法定通貨の地位を持たないことを明確にし、金融機関が仮想通貨関連事業を実施・参加することを禁止し、国内の仮想通貨取引およびトークン発行・融資プラットフォームの浄化・禁止を行い、リスク警告や金融消費者教育を継続して実施し、成果を上げています。 定期的な作業メカニズムを確立し、仮想通貨の取引や投機に対して高い圧力を維持するため、人民銀行をはじめとする各部門は、新たなリスク状況とこれまでの作業の経験に基づいて、本通知を起草しました。
2.《通知》对虚拟货币和相关业务活动如何定性? 2. 通知は、仮想通貨や関連するビジネス活動をどのように捉えていますか?
我国对虚拟货币的监管政策是明确的、一贯的。《通知》再次强调具有非货币当局发行、使用加密技术、分布式账户或类似技术、以数字化形式存在等特点的虚拟货币,如比特币、以太币等,包括泰达币等所谓稳定币,均不具有与法定货币等同的法律地位,不能作为货币在市场上流通。《通知》明确指出,虚拟货币兑换、作为中央对手方买卖虚拟货币、为虚拟货币交易提供撮合服务、代币发行融资以及虚拟货币衍生品交易等虚拟货币相关业务全部属于非法金融活动,一律严格禁止,坚决依法取缔;境外虚拟货币交易所通过互联网向我国境内居民提供服务同样属于非法金融活动。 仮想通貨に対する中国の規制政策は明確で一貫しています。 今回の通知では、通貨当局が発行したものではなく、暗号や分散型アカウントなどの技術を使用し、デジタル形式で存在する仮想通貨、例えば、TEDAなどのいわゆる安定型コインを含むビットコインやイーサなどは、法定通貨と同じ法的地位を持たず、通貨として市場で流通することはできないことを改めて強調しています。 今回の通知では、仮想通貨取引所、中央取引所としての仮想通貨取引、仮想通貨取引の集約サービスの提供、トークンの発行と融資、仮想通貨デリバティブの取引などの仮想通貨関連事業はすべて違法な金融活動であり、法律に基づいて厳格に禁止され、断固として禁止されることが明記されています。また、インターネットを通じて中国国内の居住者にサービスを提供する海外の仮想通貨取引所も違法な金融活動です。 海外の仮想通貨取引所がインターネットを通じて中国国内の居住者にサービスを提供することも違法な金融活動です。
3.《通知》提出哪些工作措施? 3. 通知で提案されている施策とは?
一是建立部门协同、央地联动的常态化工作机制。中央层面,人民银行、中央网信办、公安部等十部门建立协调机制,整体统筹和推动工作落实;地方层面,各省级人民政府落实属地风险处置责任,依法取缔打击本辖区虚拟货币相关非法金融活动。 第一に、部門間の調整や中央と地方の連携による正常な作業メカニズムの確立です。 中央レベルでは、中国人民銀行、中央インターネット情報局、公安部など10の部門が調整メカニズムを構築し、全体として作業の実施を調整・推進します。地方レベルでは、各省政府が地方のリスク管理責任を遂行し、法律に基づいてそれぞれの管轄区域で仮想通貨に関連する違法な金融活動を抑制・撲滅します。
二是加强对虚拟货币交易炒作风险的监测预警。人民银行、中央网信办完善虚拟货币监测技术平台功能,提高识别发现虚拟货币交易炒作活动的精度和效率。金融机构和非银行支付机构加强对涉虚拟货币交易资金的监测工作。各部门、各地区加强线上监控、线下摸排、资金监测的有效衔接,建立信息共享和交叉验证机制。 第二に、仮想通貨取引における投機のリスクの監視と早期警戒の強化です。 中国人民銀行と中央インターネット情報局は、仮想通貨を監視するための技術プラットフォームの機能を向上させ、仮想通貨取引における投機的行為の特定と検出の精度と効率を高めました。 金融機関やノンバンクの決済機関は、仮想通貨取引に関わる資金の監視を強化しています。 様々な部門や地域が、オンライン・モニタリング、オフライン・マッピング、ファンド・モニタリングの効果的な連携を強化し、情報共有や相互検証の仕組みを構築します。
三是构建多维度、多层次的虚拟货币交易炒作风险防范和处置体系。金融管理部门、网信部门、电信主管部门、公安部门、市场监管部门密切协作,从切断支付渠道、依法处置相关网站和移动应用程序、加强相关市场主体登记和广告管理、依法打击相关非法金融活动等违法犯罪行为等方面综合施策,有关行业协会加强会员管理和政策宣传,全方位防范和处置虚拟货币交易炒作风险。 第三に、仮想通貨取引投機の多次元・多段階のリスク防止・処理システムを構築することです。 金融管理部門、インターネット情報部門、電気通信部門、公安部門、市場監督部門が緊密に連携し、決済手段の遮断、法律に基づく関連ウェブサイトおよびモバイルアプリケーションの廃棄、関連市場主体の登録および広告管理の強化、法律に基づく関連違法金融行為およびその他の犯罪行為の取り締まりなど、総合的な対策を実施します。 関連業界団体は、会員管理および政策広報を強化し、仮想通貨のリスクを防止し、処理します。 関連業界団体は、仮想通貨取引における投機のリスクを防止・対処するために、会員の管理や方針の発信を強化します。
4.后续有什么工作安排? 4.フォローアップの方法は?
打击虚拟货币交易炒作是党中央、国务院作出的重要决策部署,是贯彻以人民为中心的发展理念、落实国家总体安全观的必然要求。各部门、各地区将认真贯彻落实《通知》提出的各项举措,构建中央统筹、属地实施、条块结合、共同负责的长效工作机制,始终保持高压态势,动态监测、及时处置相关风险,坚决遏制虚拟货币交易炒作风气,严厉打击虚拟货币相关非法金融活动和违法犯罪活动,依法保护人民群众财产安全,全力维护经济金融秩序和社会稳定。 仮想通貨取引における投機の撲滅は、党中央委員会と国務院の重要な決定であり、国民を中心とした発展理念と国の総合的な安全保障理念を実現するために必要な要件です。 すべての部門と地域は、通知で提案された取り組みを意識的に実施し、中央で調整され、地方で実施され、統合され、共同で責任を負う長期的な作業メカニズムを構築し、高圧的な姿勢を維持し、関連するリスクを動的に監視し、迅速に対処し、仮想通貨取引の投機を断固として抑制し、仮想通貨に関連する違法な金融活動や犯罪行為を厳しく取り締まり、法律に基づいて人々の財産を保護し、経済・金融秩序と社会保障を完全に保護します。 私たちは、経済・金融秩序と社会的安定の維持に全力を尽くします。

 

1_20210612030101


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」


暗号資産関係

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.08.12 米国のSECはサイバー関連の専門家を年収1600万円−2800万円で募集中

・2021.07.17 米国 連邦政府国務省 国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供についての報奨(最高約11億円

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2021.01.26 JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化 (2021.03.12午後)

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2020.12.30 US OIG によるFBIのダークウェブの利用に関する監査 at 2020.12.17

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.10 NYDFS - Twitter Investigation Report ニューヨーク州金融サービス局 ツイッター調査報告書 @2020.10.14

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.09.18 欧州議会 暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.06.15 日本銀行金融研究所 暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

 

| | Comments (0)

2021.09.25

DHS NIST 重要インフラ制御システムのサイバーセキュリティパフォーマンス目標暫定版を発表

こんにちは、丸山満彦です。

DHSとNISTが重要インフラ制御システムのサイバーセキュリティパフォーマンス目標暫定版を発表していますね。。。

NIST

・2021.09.23 DHS, NIST Coordinate in Releasing Preliminary Cybersecurity Performance Goals for Critical Infrastructure Control Systems

 

9つのカテゴリーにわけて目標を設定していますね。。。

Risk Management and Cybersecurity Governance リスクマネジメントとサイバーセキュリティガバナンス
Architecture and Design アーキテクチャと設計
Configuration and Change Management 構成と変更管理
Physical Security 物理的セキュリティ
System and Data Integrity, Availability, and Confidentiality システムとデータの整合性、可用性、および機密性
Continuous Monitoring and Vulnerability Management 継続的な監視と脆弱性の管理
Training and Awareness トレーニングと意識向上
Incident Response and Recovery インシデントレスポンスとリカバリー
Supply Chain Risk Management サプライチェーン・リスク管理

 

目的については、こちらから...

● CISA

・2021.09.21 CRITICAL INFRASTRUCTURE CONTROL SYSTEMS CYBERSECURITY PERFORMANCE GOALS AND OBJECTIVES

 

・[DOCX] 仮訳

 

Cisa_20210925052301


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

 

| | Comments (0)

中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

こんにちは、丸山満彦です。

中国が電力消費等を理由として、仮想通貨のマイニングの禁止について強化の方針ですね。。。

デジタル人民元の利用に集約したいのかもしれませんね。。。資金移動の管理を政府ができないと困るというのが本音かもですね。。。もちろん電力の需給バランスの問題等の問題もあるとは思いますが。。。

米国は完全に捨てているわけではないようにも見えますが、通貨的な使い方は難しいのかもしれませんね。。。

 

中华人民共和国 国家发展和改革委员会 (National Development and Reform Commission)

・2021.09.24 国家发展改革委等部门关于整治虚拟货币“挖矿”活动的通知 - 发改运行〔2021〕1283号

国家发展改革委等部门关于整治虚拟货币“挖矿” 国家発展改革委員会などが仮想通貨の "マイニング "を規制することについて
活动的通知 活動内容
发改运行〔20211283 開発と改革のオペレーション [2021] No.1283
各省、自治区、直辖市人民政府,新疆生产建设兵团: 省、自治区、直轄市の人民政府、新疆生産建設兵団。
为有效防范处置虚拟货币“挖矿”活动盲目无序发展带来的风险隐患,深入推进节能减排,助力如期实现碳达峰、碳中和目标,现就整治虚拟货币“挖矿”活动有关事项通知如下: 仮想通貨「マイニング」活動の盲目的かつ無秩序な発展がもたらすリスクや隠れた危険性を効果的に防止・処理し、省エネ・排出削減を促進し、予定通りのカーボンピーク・カーボンニュートラルの実現を支援するため、仮想通貨「マイニング」活動の是正に関する事項を以下の通り通知する。
一、充分认识整治虚拟货币“挖矿”活动的重要意义 1. 仮想通貨の「マイニング」活動を規制することの重要性を十分に理解する。
虚拟货币“挖矿”活动指通过专用“矿机”计算生产虚拟货币的过程,能源消耗和碳排放量大,对国民经济贡献度低,对产业发展、科技进步等带动作用有限,加之虚拟货币生产、交易环节衍生的风险越发突出,其盲目无序发展对推动经济社会高质量发展和节能减排带来不利影响。整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。各地区、各部门和有关企业要高度重视,充分认识整治虚拟货币“挖矿”活动的必要性和重要性,切实把整治虚拟货币“挖矿”活动作为促进经济社会高质量发展的一项重要任务,进一步增强责任感和紧迫感,抓住关键环节,采取有效措施,全面整治虚拟货币“挖矿”活动,确保取得实际成效。 仮想通貨の「マイニング」とは、特殊な「マイニングマシン」の計算によって仮想通貨を生産するプロセスのことで、エネルギー消費量や二酸化炭素排出量が多く、国民経済への貢献度が低く、産業の発展や技術の進歩に対する役割が限定されている。 また、仮想通貨の製造や取引に起因するリスクはますます顕著になっており、その盲目的で無秩序な発展は、質の高い経済社会の発展や省エネルギー、排出削減の促進に悪影響を及ぼす。 仮想通貨マイニング活動の規制は、中国の産業構造の最適化を推進し、省エネルギーと排出削減を促進し、カーボンピーキングとカーボンニュートラルの目標を予定通り達成する上で大きな意義がある。 すべての地域、部門、関連企業は、仮想通貨マイニング活動の規制を重要視し、その必要性と重要性を十分に理解し、仮想通貨マイニング活動の規制を質の高い経済社会の発展を促進するための重要な任務として効果的に実施し、さらに 責任感と緊張感を高め、重要なリンクを捉えて効果的な対策を講じ、仮想通貨の「マイニング」行為を全面的に是正し、実際に成果を上げることを目指す。
二、总体要求 2. 一般要求事項
(一)指导思想。以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中全会精神,深入贯彻习近平生态文明思想,坚定不移贯彻新发展理念,按照“严密监测、严防风险、严禁增量、妥处存量”的总体思路,充分发挥各地区、各部门合力,加强虚拟货币“挖矿”活动上下游全产业链监管,严禁新增虚拟货币“挖矿”项目,加快存量项目有序退出,促进产业结构优化和助力碳达峰、碳中和目标如期实现。 (1) 指針となるイデオロギー 習近平の新時代の中国の特色ある社会主義の思想に導かれ、第19回中国共産党全国代表大会および第19回中国共産党中央委員会第2345回全体会議の精神を全面的に実行し、習近平の生態文明の思想を徹底的に実行し、新発展の概念を揺るぎなく実行し、「厳格な監視、リスクの厳格な防止、増加の厳格な禁止、在庫の適切な処理」という一般的な考え方に従う。 緊密な監視、厳格な危険防止、増加の厳格な禁止、ストックの適切な処理」という一般的な考え方に基づき、すべての地域と部門の共同努力を十分に発揮し、仮想通貨マイニング活動の上流と下流の産業チェーン全体の監督を強化し、新規の仮想通貨マイニングプロジェクトを厳格に禁止し、ストックプロジェクトの秩序ある撤退を加速し、産業構造の最適化を促進し、カーボンピーキングとカーボンニュートラルの目標達成に貢献し、カーボンピーキングとカーボンニュートラルの目標を予定通り達成する。
(二)基本原则。 (2)基本原則
坚持分级负责。建立中央统筹、省负总责、市县落实的工作机制。中央统筹全国虚拟货币“挖矿”活动整治整体推进工作;省级政府对本区域范围的整治工作负总责,并压实市县政府落实责任,按照中央统一安排明确具体实施方案;市县政府按照中央部署和省级政府实施方案要求,细化落实举措,保证落实到位。 段階的な責任を主張する。 中央が調整し、州が責任を持ち、市や郡が実施するという作業メカニズムを確立する。 中央政府は、全国の仮想通貨「マイニング」活動の是正を全体的に推進することを調整する。省政府は、それぞれの地域内の是正作業に全体的な責任を負い、中央政府の統一的な配置に従って、具体的な実施計画を実施するために、市政府と県政府の責任を押し下げる。市政府と県政府は、中央政府の配置と省政府の実施計画の要求に従って、実施手段を改良し、実施を確保する。 をその場所に置いている。
坚持分类处理。区分虚拟货币“挖矿”增量和存量项目。严禁投资建设增量项目,禁止以任何名义发展虚拟货币“挖矿”项目;加快有序退出存量项目,在保证平稳过渡的前提下,结合各地实际情况科学确定退出时间表和实施路径。 分類プロセスを遵守する。 仮想通貨マイニングの増産型プロジェクトとストック型プロジェクトの区別。 増設プロジェクトへの投資は厳しく禁止されており、いかなる名称の仮想通貨「マイニング」プロジェクトの開発も禁止されている。ストックプロジェクトの秩序ある撤退が加速されており、スムーズな移行を前提に、各地域の実情に応じて撤退のスケジュールと実施経路が科学的に決定されている。
坚持依法依规。运用法治思维和法治方式全面推进虚拟货币“挖矿”活动整治工作,严格执行有关法律法规和规章制度,严肃查处整治各地违规虚拟货币“挖矿”活动。 法規制を遵守する。法の思考と法の支配を適用して、仮想通貨「マイニング」活動の規制を包括的に推進し、関連する法律、規制、規則を厳格に実施し、世界中の違法な仮想通貨「マイニング」活動の規制を真剣に調査し、対処する。
坚持积极稳妥。在整治虚拟货币“挖矿”活动推进过程中,要积极作为、稳妥推进,既实现加快退出,又妥善化解矛盾纠纷,确保社会稳定。 積極的かつ着実なアプローチを貫く。 仮想通貨「マイニング」活動を規制する過程では、社会の安定性を確保するために、撤退の迅速化と紛争・トラブルの適切な解決を両立させるべく、積極的かつ着実に行動する必要がある。
三、全面梳理排查虚拟货币“挖矿”项目 3. 仮想通貨マイニング案件の徹底した選別・調査
(三)梳理排查存量项目。全面摸排本地已投产运行的虚拟货币“挖矿”项目,建立项目清单,对在运的虚拟货币“挖矿”项目逐一梳理所属企业、规模、算力、耗电量等基础数据,每周实时动态更新。对大数据产业园、高技术园区内是否存在虚拟货币“挖矿”活动进行全面排查,精准区分数据中心与虚拟货币“矿场”,保证本地虚拟货币“挖矿”排查工作不留空白。 (3) 既存のプロジェクトの整理と調査。稼働中の仮想通貨マイニングプロジェクトのリストを作成し、稼働中の仮想通貨マイニングプロジェクトの企業名、規模、演算能力、消費電力などの基本データを1つずつ整理し、毎週リアルタイムで更新すること。 ビッグデータ工業団地やハイテクパークにおける仮想通貨「マイニング」活動の存在について包括的な調査を行い、データセンターと仮想通貨「マイニングサイト」を正確に区別して、現地の仮想通貨「マイニング」が "この調査は隙を与えない。
(四)梳理排查在建新增项目。在虚拟货币“挖矿”项目前期工作各个环节中加大排查力度,对正在建设或准备建设的虚拟货币“挖矿”项目建立清单,逐一梳理所属企业、规模、算力、耗电量、计划投产时间等基础信息。在节能审查、用电报装申请等环节加大甄别力度,保证梳理排查数据真实全面。 (4) 建設中の新しいプロジェクトを整理し、チェックする。 仮想通貨「マイニング」プロジェクトの事前作業のあらゆる側面を調査する努力を強化し、建設中または建設準備中の仮想通貨「マイニング」プロジェクトのリストを作成し、所属企業、規模、演算能力、消費電力、試運転予定時期などの基本情報を一つずつ整理する。 その都度、情報を整理していく。 また、省エネ審査や電力申請の際の審査を強化し、収集したデータが真実かつ包括的なものであることを確認する。
(五)加强异常用电监测分析。进一步开展并网发电数据、异常用电数据分析,运用技术手段监测监控,加强数据中心用电大户现场检查。加大对除来水、调度等系统原因以外的并网电厂降负荷数据监控力度,防止公用并网电厂拉专线直供虚拟货币“挖矿”企业。对发现的非法供电行为,及时向有关监管部门报告。 (5)異常な電力消費の監視・分析を強化する。 系統連系の発電データや異常な電力消費データの分析をさらに進め、技術的な手段を用いて監視・制御を行い、データセンターの大規模な電力消費者への立ち入り検査を強化する。 入水やスケジューリング以外の理由による系統連系発電所の負荷遮断データの監視を強化し、公共の系統連系発電所が仮想通貨「マイニング」企業に直接供給するための特別な回線を引くことを防止する。 違法な電力供給があった場合には、関連する規制当局に速やかに報告する。
四、严禁新增项目投资建设 4. 新規プロジェクトの投資・建設の厳禁
(六)强化新增虚拟货币“挖矿”项目能耗双控约束。将严禁新增虚拟货币“挖矿”项目纳入能耗双控考核体系,严格落实地方政府能耗管控责任,对发现并查实新增虚拟货币“挖矿”项目的地区,在能耗双控考核中,按新增项目能耗量加倍计算能源消费量。 (6) 新しい仮想通貨「マイニング」プロジェクトのエネルギー消費に対する二重管理の制約を強化する。 新たな仮想通貨「マイニング」プロジェクトの厳格な禁止をエネルギー消費二重管理評価システムに含め、エネルギー消費管理に対する地方政府の責任を厳格に実施すること。 エネルギー消費量の算出
(七)将虚拟货币“挖矿”活动列为淘汰类产业。将“虚拟货币‘挖矿’活动”增补列入《产业结构调整指导目录(2019年本)》“淘汰类”。在增补列入前,将虚拟货币“挖矿”项目视同淘汰类产业处理,按照《国务院关于发布实施<促进产业结构调整暂行规定>的决定》(国发﹝200540号)有关规定禁止投资。 (7) 仮想通貨の「マイニング」活動を排除すべき産業のカテゴリーとして分類する。 産業構造調整指導用カタログ(2019年版)」の「排除カテゴリー」に「仮想通貨『マイニング』活動」を追加。 今回の追加に先立ち、仮想通貨の「マイニング」プロジェクトは排除カテゴリーの産業として扱われ、「産業構造改革の促進に関する暫定規定の発行と実施に関する国務院の決定」(Guo Fa (2005) No.40)の関連規定に基づいて投資が禁止されました。
(八)严禁以数据中心名义开展虚拟货币“挖矿”活动。强化虚拟货币“挖矿”活动监管调查,明确区分“挖矿”与区块链、大数据、云计算等产业界限,引导相关企业发展资源消耗低、附加价值高的高技术产业,严禁利用数据中心开展虚拟货币“挖矿”活动,禁止以发展数字经济、战略性新兴产业等名义宣传、扩大虚拟货币“挖矿”项目。 (8) データセンターの名を借りた仮想通貨の「マイニング」活動は厳禁する。 仮想通貨「マイニング」活動の監督・調査を強化し、「マイニング」とブロックチェーン、ビッグデータ、クラウドコンピューティングなどの産業との境界を明確に区別し、関連企業が資源消費量が少なく、付加価値の高いハイテク産業を発展させるよう指導し、データセンターを利用して仮想通貨「マイニング」活動を行うことを厳しく禁止する。 仮想通貨マイニング活動のためにデータセンターを利用することは厳しく禁じられており、デジタル経済や戦略的新興産業の発展の名の下に仮想通貨マイニングプロジェクトを推進・拡大することも禁じられている。
(九)加强数据中心类企业信用监管。对数据中心类企业开展信用监管,实施信用承诺制,组织签署信用承诺书,自主承诺不参与虚拟货币“挖矿”活动。依托各级信用信息共享平台将企业承诺内容以及承诺履行情况纳入信用记录,作为事中事后监管依据。对不履行承诺的企业依法实施限制。 (9) データセンター企業の信用監督の強化。 データセンター企業に対しては信用監督が行われ、信用誓約書に署名して、仮想通貨の「マイニング」活動に参加しないことを独自に約束する信用誓約制度が実施されている。 各レベルの信用情報共有プラットフォームを利用して、企業のコミットメントの内容とその履行状況を信用記録に反映させ、事後の監督の基礎とする。 法律に基づいて約束を果たさない企業には、制限が課せられる。
(十)严格限制虚拟货币“挖矿”企业用电报装和用能。禁止新增虚拟货币“挖矿”项目报装接电,严格用电报装业务审核,不得以任何名义向虚拟货币“挖矿”企业供电,在办申请的报装项目一律停止办理。严格落实电力业务许可制度,严禁以网前供电、拉专线等方式对新建虚拟货币“挖矿”项目的企业供电。加强用电报装业务监管,通过“双随机、一公开”等方式开展抽查核实。 (10) 仮想通貨マイニング企業の電気の設置・使用を厳しく制限すること。 新たな仮想通貨「マイニング」プロジェクトの設置・接続が禁止され、電気の用途の監査が厳しく行われている。 同社の電力供給は、電力ライセンス制度によって厳格に管理されており、ネットワークの前での電力供給、特別な回線を引くなどして、新しい仮想通貨「マイニング」プロジェクト企業に電力を供給することは厳しく禁じられている。 電気利用事業の監督を強化するため、「ダブルランダム、パブリック」などの方法で、ランダムなチェックと検証を行う。
(十一)严禁对新建虚拟货币“挖矿”项目提供财税金融支持。严禁地方政府、金融机构和非银行支付机构等以财税、金融等任何形式支持新建虚拟货币“挖矿”项目。对政府主导的产业园区,不允许引入新的虚拟货币“挖矿”项目。 (11)新たな仮想通貨マイニングプロジェクトへの財政・金融支援の厳禁。 地方自治体、金融機関、ノンバンク決済機関は、新たな仮想通貨「マイニング」プロジェクトを、財政、税制、金融面での支援を含め、いかなる形でも支援することを固く禁じる。 政府主導の工業団地に、新たな仮想通貨マイニングプロジェクトを導入することはできない。
五、加快存量项目有序退出 5. 株式プロジェクトの秩序ある撤退の加速
(十二)依法查处违法违规供电行为。加大行政执法工作力度,坚决杜绝发电企业特别是小水电企业向虚拟货币“挖矿”项目网前供电、专线直供电等行为。严禁虚拟货币“挖矿”企业以任何形式发展自备电厂供电。畅通12398能源监管投诉举报热线等各类渠道,严肃查处违法违规供电行为,并依法依规给予行政处罚。对已查实非法用电的虚拟货币“挖矿”企业依法采取停限电措施。 (12) 違法・不正な電力供給行為を調査し、法律に基づいて対処する。 政府は行政執行の努力を強化し、発電企業、特に小規模水力発電企業がネットワークの前で仮想通貨の「マイニング」プロジェクトに電力を供給したり、特別回線に直接電力を供給したりすることを断固として阻止する。 仮想通貨の「マイニング」企業が、いかなる形であれ、独自の電源を開発することは厳しく禁じられている。 12398エネルギー規制苦情・通報ホットラインなどを開設し、違法な電力供給行為を真摯に調査・対処するとともに、法律に基づいて行政処分を行う。 同社は、仮想通貨「マイニング」企業に違法に電力を使用していたことが判明したため、法律に基づいて電力を停止・制限する措置を取ることになった。
(十三)实行差别电价。将虚拟货币“挖矿”项目纳入差别电价政策实施范围,执行“淘汰类”企业电价,加价标准为每千瓦时0.30元,地方可根据实际情况进一步提高加价标准。及时更新虚拟货币“挖矿”项目名单,加强监督检查,确保差别电价政策严格执行到位,对虚拟货币“挖矿”企业及时足额收取加价电费。 (13) 差別化された電気料金の導入。 仮想通貨の「マイニング」プロジェクトを差動関税政策の範囲に含め、「排除」された企業の関税を実施し、1キロワット時あたり0.30元の関税引き上げを行う。 同社の仮想通貨「マイニング」プロジェクトのリストはタイムリーに更新され、監督・検査が強化されたことで、差額税政策が厳格に実施され、仮想通貨「マイニング」企業には税引き上げ分が全額かつ期限内に請求されるようになった。
(十四)不允许虚拟货币“挖矿”项目参与电力市场。加强电力市场秩序监管力度,对参与电力市场的企业用户加强甄别,不允许虚拟货币“挖矿”项目以任何名义参与电力市场,不允许虚拟货币“挖矿”项目以任何方式享受电力市场让利。已进入电力市场的虚拟货币“挖矿”项目需限期退出。 (14) 仮想通貨「マイニング」プロジェクトの電力市場への参加を認めない。 電力市場秩序の監督を強化し、電力市場に参加する企業ユーザーの審査を強化し、いかなる名目であれ、仮想通貨「マイニング」プロジェクトが電力市場に参加することを認めず、いかなる方法であれ、仮想通貨「マイニング」プロジェクトが電力市場のコンセッションを享受することを認めないこと。 電力市場に参入した仮想通貨「マイニング」事業は、期限までに撤退することが求められる。
(十五)停止对虚拟货币“挖矿”项目的一切财税支持。对地方政府已经给予税费、房租、水电费等优惠政策的存量项目,要限期予以停止和取消。对虚拟货币“挖矿”项目及其所在园区,不允许地方政府给予财政补贴和税收优惠政策。 (15) 仮想通貨「マイニング」プロジェクトへのすべての財政的・税務的支援を停止すること。 すでに地方自治体が税金や家賃、光熱費などの優遇政策を行っているプロジェクトのストックは、期限までに中止・解約すること。 地方自治体は、仮想通貨の「マイニング」プロジェクトや、そのプロジェクトが設置されている公園に対して、財政的な補助金や税制上の優遇措置を与えることはできない。
(十六)停止对虚拟货币“挖矿”项目提供金融服务。禁止各金融机构、非银行支付机构直接或间接为虚拟货币“挖矿”企业和项目提供金融服务和各种形式的授信支持,并采取措施收回已发放的贷款。严厉打击各类以虚拟货币“挖矿”名义开展的非法集资和非法发行证券活动。 (16)仮想通貨の「マイニング」プロジェクトに金融サービスを提供することをやめる。 金融機関やノンバンク決済機関は、仮想通貨「マイニング」企業やプロジェクトに対して、直接的または間接的に金融サービスや各種の信用サポートを提供することを禁止し、すでに供与された融資を撤回する措置を講じる。 仮想通貨マイニングを名目とした、あらゆる違法な資金調達や違法な証券発行行為を取り締まる。
(十七)按照《产业结构调整指导目录》规定限期淘汰。按照《产业结构调整指导目录》有关规定,采取有力措施对存量虚拟货币“挖矿”项目即行有序整改淘汰。对不按期淘汰的企业,要依据国家有关法律法规责令其停产或予以关闭。对违反规定者,依法追究相关责任。 (17) 「産業構造改革の指導のためのカタログ」の規定に従った期限までの段階的廃止。 産業構造改革指導要綱の関連規定に基づき、仮想通貨「マイニング」プロジェクトの在庫を早急かつ秩序ある方法で是正し、段階的に廃止するための強力な措置を講じる。 期限までに段階的に廃止しない企業に対しては、関連する国内法や規則に従って、生産停止や閉鎖を命じられる。 規則に違反した者は、法律に基づいて責任を負う。
六、保障措施 6. 保証措置
(十八)明确责任分工。发展改革部门会同金融、能源、工信、网信、财政、税务、市场监管等部门统筹推进对“挖矿”活动的整治工作。各地区要建立相应的协调推进机制,细化措施,确保任务落实到位。各地区、各有关部门要加强工作协同和信息共享,按照“中央统筹、省负总责、市县落实”的原则,切实推动虚拟货币“挖矿”活动整治工作。 (18) 明確な責任の分担 開発・改革部門は、金融、エネルギー、産業、情報、ネットワーク情報、金融、税務、市場監督などの部門と連携して、「マイニング」活動の是正を調整・推進する。 すべての地域は、それに対応する調整と推進のメカニズムを確立し、タスクを確実に実行するための方策を練るべきである。 すべての地域と関連部門は、調整と情報共有を強化し、「中央の調整、省の責任、市や県の実施」という原則に基づいて、仮想通貨の「マイニング」活動の是正を効果的に推進する必要がある。
(十九)形成监管合力。金融管理部门、网信部门加强对相关主体的监测分析和穿透式监管,对虚拟加密资产大数据监测平台等识别出的矿场定位到IP地址、具体企业和物理住所,并加强与相关监管部门的信息共享交流和数据交叉验证,形成全链条治理合力。能源监管机构要加大力度对违规供电项目和存在电力安全隐患项目进行查处,并对违反规定参与电力市场交易的行为进行监管。各地有关部门要建立联合工作机制,对虚拟货币“挖矿”和交易环节进行全链条治理。各地要建立完善举报平台,畅通全社会对虚拟货币“挖矿”项目的监督渠道。 (19) レギュレーション・シナジーの形成 財務管理部門とインターネット情報部門は、関連団体の監視・分析と浸透監督を強化し、仮想暗号資産のビッグデータ監視プラットフォームで特定されたマイニングサイトをIPアドレス、特定の企業、物理的な居住地に特定し、関連する規制部門との情報共有・交換とデータの相互検証を強化して、ガバナンスのフルチェーンの相乗効果を形成する必要がある。 エネルギー規制当局は、規制に適合しない電力供給プロジェクトや電力安全上の問題があるプロジェクトの調査・対処や、規制に違反した電力市場取引への参加を監督するための取り組みを強化すべきである。 関連する地方部門は、仮想通貨の「マイニング」と「取引」に関するチェーン全体のガバナンスを実行するために、共同作業メカニズムを確立する必要がある。 すべての地方自治体は、報告プラットフォームを構築・改善し、社会全体が仮想通貨「マイニング」プロジェクトを監視するためのチャンネルを開くべきである。
(二十)强化督促落实。各地区要明确时间表、路线图,建立工作台账,强化工作落实,及时跟踪分析涉及本地区的相关政策措施实施进展及成效,确保各项工作措施做实做细、落实到位。国家相关部门要适时组织第三方机构对各地虚拟货币“挖矿”项目清理退出情况开展评估,并建立信息通报机制,及时通报各地工作进展。 (20) 監督と実施の強化 すべての地域は、タイムテーブルとロードマップを明確にし、作業台帳を整備し、作業の実施を強化し、地域が関与する関連政策・施策の実施状況と効果を速やかに追跡・分析して、すべての作業施策が詳細に行われ、所定の場所で実施されるようにすべきである。 国家の関連部門は、第三者機関を組織して、各地域の仮想通貨「マイニング」プロジェクトの浄化と撤退を適時に評価し、各地域の作業の進捗状況を適時に伝える情報通知メカニズムを構築する。
国家发展改革委
中央宣传部
中央网信办
工业和信息化部
公安部
财政部
人民银行
税务总局
市场监管总局
银保监会
国家能源局
国家発展改革委員会
中央プロパガンダ部
中央ネットワーク情報局
産業・情報技術省
公安部
財務省
中国人民銀行
税務総局
市場規制総局
銀行・保険規制委員会
国家エネルギー局
2021年93 2021年93

 

記者会見の内容

・2021.09.24 国家发展改革委有关负责同志就《关于整治虚拟货币“挖矿”活动的通知》答记者问

国家发展改革委有关负责同志就《关于整治虚拟货币“挖矿”活动的通知》答记者问 国家発展改革委員会の担当による、仮想通貨「マイニング」活動の規制に関する通知についての記者との質疑

近日,国家发展改革委、人民银行等11个部门联合印发了《关于整治虚拟货币“挖矿”活动的通知》(发改运行〔2021〕1283号,以下简称《通知》)。就《通知》有关内容,国家发展改革委有关负责同志回答了记者提问。

先日、国家発展改革委員会(NDRC)、中国人民銀行など11の部門が共同で「仮想通貨の「マイニング」活動の規制に関する通知」(発展改革工作[2021]第1283号、以下「通知」)を発表しました。 国家発展改革委員会の担当同志が、通知の内容に関する記者の質問に答えてくれました。
问:为什么要开展虚拟货币“挖矿”活动整治工作? Q: なぜ仮想通貨の「マイニング」活動に対する是正作業が必要なのですか?
答:虚拟货币“挖矿”活动指的是通过专用“矿机”计算生产虚拟货币的过程,能源消耗和碳排放量大,对国民经济贡献度低,对产业发展、科技进步等带动作用有限,加之虚拟货币生产、交易环节衍生的风险越发突出,其盲目无序发展对经济社会高质量发展和节能减排带来不利影响。一方面,“挖矿”活动能耗和碳排放强度高,对我实现能耗双控和碳达峰、碳中和目标带来较大影响,加大我部分地区电力安全保供压力,并加剧相关电子信息产品供需紧张;另一方面,比特币炒作交易扰乱我国正常金融秩序,催生违法犯罪活动,并成为洗钱、逃税、恐怖融资和跨境资金转移的通道,一定程度威胁了社会稳定和国家安全。整治虚拟货币“挖矿”活动对促进我国产业结构优化、推动节能减排、如期实现碳达峰、碳中和目标具有重要意义。 A:仮想通貨の「マイニング」とは、特殊な「マイニングマシン」の計算によって仮想通貨を生産するプロセスのことで、エネルギー消費量や二酸化炭素排出量が多く、国民経済への貢献度が低く、産業の発展や科学技術の進歩に果たす役割が限定されています。 また、仮想通貨の製造や取引に由来するリスクはますます顕著になっており、その盲目的で無秩序な発展は、質の高い経済・社会の発展、省エネ・排出削減に悪影響を及ぼします。 一方で、「マイニング」活動の高いエネルギー消費量と炭素排出強度は、エネルギー消費量と炭素ピークの二重管理とカーボンニュートラルの達成という私の目標に大きな影響を与え、わが国の一部の地域では電力供給の安全性に対する圧力を高め、関連する電子情報製品の需給の緊張を悪化させます。他方で、ビットコインの投機や取引は、中国の正常な金融秩序を乱し、違法・犯罪行為を生み、マネーロンダリングや脱税の原因となります。 一方、ビットコイン投機は、中国の正常な金融秩序を乱し、違法・犯罪行為を誘発し、マネーロンダリング、脱税、テロリストの資金調達、国境を越えた資金移動の経路となり、社会の安定と国家の安全をある程度脅かしています。 仮想通貨の「マイニング」活動の規制は、中国の産業構造の最適化を推進し、省エネルギーと排出削減を促進し、カーボンピーキングとカーボンニュートラルの目標を予定通り達成する上で大きな意義があります。
问:整治虚拟货币“挖矿”活动的总体工作思路是什么? Q: 仮想通貨の「マイニング」活動を是正するための一般的な考え方を教えてください。
答:国家发展改革委等相关部门将按照“严密监测、严防风险、严禁增量、妥处存量”的总体思路,形成各地区、各部门合力,加强虚拟货币“挖矿”活动上下游全产业链监管,严禁新增虚拟货币“挖矿”项目,加快存量项目有序退出,促进产业结构优化和助力碳达峰、碳中和目标如期实现。在整治虚拟货币“挖矿”活动中要做到“四个坚持”: A:国家発展改革委員会をはじめとする関連部門は、「厳格な監視、厳格なリスク防止、厳格な増加禁止、適正な在庫処分」という一般的な考え方に従い、すべての地域と部門の共同作業を形成し、仮想通貨「マイニング」活動の上流と下流の産業チェーン全体の監督を強化し、新たな仮想通貨「マイニング」活動を厳格に禁止します。 また、仮想通貨マイニングプロジェクトのストックの秩序ある撤退を加速させ、産業構造の最適化を促進し、カーボンピーキングとカーボンニュートラルの目標を予定通り達成できるよう支援していきます。 仮想通貨の「マイニング」活動の規制においては、「4つの主張」を実現する必要があります。
一是坚持分级负责。建立中央统筹、省负总责、市县落实的工作机制。中央统筹全国虚拟货币“挖矿”活动整治整体推进工作;省级政府对本区域范围的整治工作负总责,并压实市县政府落实责任,按照中央统一安排明确具体实施方案;市县政府按照中央部署和省级政府实施方案要求,细化落实举措,保证落实到位。 第一は、「上下関係の責任を守る」こと。 中央政府が作業を調整し、省が全体的な責任を負い、市や県が作業メカニズムを実行します。 中央政府は、全国の仮想通貨「マイニング」活動の是正を総合的に推進することを調整します。省政府は、それぞれの地域における是正作業に総合的な責任を負い、中央政府の統一的な取り決めに従って、具体的な実施計画を実施するために、市政府と県政府の責任を押えます。市政府と県政府は、中央政府の展開と省政府の実施計画の要求に従い、実施の取り組みを洗練させ、確実に実施します をその場所に置いています。
二是坚持分类处理。区分虚拟货币“挖矿”增量和存量项目。严禁投资建设增量项目,禁止以任何名义发展虚拟货币“挖矿”项目;加快有序退出存量项目,在保证平稳过渡的前提下,结合各地实际情况科学确定退出时间表和实施路径。 第二は、分類プロセスを遵守することです。 仮想通貨マイニングのインクリメンタル・プロジェクトとストック・プロジェクトを区別してください。 増設プロジェクトへの投資や建設は厳しく禁止されており、いかなる名称の仮想通貨「マイニング」プロジェクトの開発も禁止されています。ストックプロジェクトの秩序ある撤退が促進され、スムーズな移行を前提に、各地域の実情に応じて撤退のスケジュールや実施経路が科学的に決定されます。
三是坚持依法依规。运用法治思维和法治方式全面推进虚拟货币“挖矿”活动整治工作,严格执行有关法律法规和规章制度,严肃查处整治各地违规虚拟货币“挖矿”活动。 第三は、法律や規則を守ること。 法の思考と法の支配を適用して、仮想通貨「マイニング」活動の規制を包括的に推進し、関連する法律、規制、規則を厳格に実施し、世界中の違法な仮想通貨「マイニング」活動の規制を真剣に調査し、対処します。
四是坚持积极稳妥。在整治虚拟货币“挖矿”活动推进过程中,要积极作为、稳妥推进,既实现加快退出,又妥善化解矛盾纠纷,确保社会稳定。 第四は、ポジティブで安定したものを堅持すること。 仮想通貨「マイニング」活動を規制する過程では、積極的に行動し、着実に進めていくことで、撤退を早めるとともに、紛争やトラブルを適切に解決し、社会の安定を図る必要があります。
问:对于虚拟货币“挖矿”活动,《通知》提出了哪些具体整治措施? Q: 仮想通貨の「マイニング」活動について、通知では具体的にどのような改善策が提案されていますか?
答:在全面梳理排查虚拟货币“挖矿”项目的基础上,《通知》对新增投资项目和存量项目分别提出了具体整治措施。 A: 仮想通貨の「マイニング」プロジェクトを包括的に整理・調査した上で、新規投資プロジェクトとストックプロジェクトそれぞれに具体的な改善策を提案しています。
对于新增投资项目:一是强化能耗双控约束,在能耗双控考核中,按新增项目能耗量加倍计算能源消费量;二是将虚拟货币“挖矿”活动列为淘汰类产业,在增补列入前,将虚拟货币“挖矿”项目视同淘汰类产业处理,按照有关规定禁止投资;三是严禁以数据中心名义开展虚拟货币“挖矿”活动,禁止以发展数字经济、战略性新兴产业等名义宣传、扩大虚拟货币“挖矿”项目;四是加强数据中心类企业信用监管,组织签署信用承诺书,自主承诺不参与虚拟货币“挖矿”活动,并将企业承诺内容以及承诺履行情况纳入信用记录;五是严格限制虚拟货币“挖矿”企业用电报装和用能,不得以任何名义向虚拟货币“挖矿”企业供电,在办申请的报装项目一律停止办理;六是严禁地方政府、金融机构和非银行支付机构等以财税、金融等任何形式支持新建虚拟货币“挖矿”项目。 新規投資プロジェクトについて:第一に、エネルギー消費量の二重管理制約を強化し、エネルギー消費量の二重管理評価において、新規プロジェクトのエネルギー消費量を2倍にする。第二に、仮想通貨「マイニング」活動を排除すべき業種に分類し、追加で仮想通貨「マイニング」を含める前に、仮想通貨「マイニング」活動を排除する。 第三に、データセンターの名のもとに仮想通貨「マイニング」活動を行うことは厳禁であり、デジタル経済や戦略的新興産業の発展の名のもとに仮想通貨「マイニング」プロジェクトを推進・拡大することも禁止されています。 第四に、データセンター企業の信用監督を強化し、信用誓約書に署名し、仮想通貨「マイニング」活動に参加しないことを自主的に約束し、その内容と履行状況を企業の信用記録に反映させる。第五に、仮想通貨「マイニング」企業の電力使用を厳しく制限する。 また、信用コミットメントレターを締結し、コミットメントの内容とその履行状況を信用記録に記載する。第5に、仮想通貨「マイニング」企業による電力の設置・使用を厳しく制限し、いかなる名目でも仮想通貨「マイニング」企業に電力を供給せず、進行中のすべての申請の処理を停止する。第6に、地方政府、金融機関、ノンバンク決済機関が財政・金融などいかなる形でも新規の仮想通貨「マイニング」プロジェクトを支援することを厳しく禁止する。 マイニング」プロジェクト。
对于存量项目:一是依法查处违法违规供电行为,坚决杜绝发电企业特别是小水电企业向虚拟货币“挖矿”项目网前供电、专线直供电等行为;二是实行差别电价,执行“淘汰类”企业电价,加价标准为每千瓦时0.30元,地方可根据实际情况进一步提高加价标准;三是不允许虚拟货币“挖矿”项目参与电力市场;四是停止对虚拟货币“挖矿”项目的一切财税支持;五是停止对虚拟货币“挖矿”项目提供金融服务;六是按照《产业结构调整指导目录》规定限期淘汰。 ストック・プロジェクトについて:第一に、法律に基づいて違法・不規則な電力供給行為を調査・対処し、発電事業者、特に小規模水力発電事業者がネットワークの手前で仮想通貨の「マイニング」プロジェクトに電力を供給すること(特別な回線による直接電力供給など)を断固として阻止すること。第二に、電気料金の差をつけ、「排除」事業者を実施すること。 1キロワット時あたり0.30元の値上げを行い、地方政府は実際の状況に応じてさらに値上げを行うことができる。第三に、仮想通貨マイニングプロジェクトの電力市場への参加を認めないこと。第四に、仮想通貨マイニングプロジェクトに対するすべての財政的・税務的支援を停止すること。 第五に、仮想通貨マイニングプロジェクトへの金融サービスの提供を中止すること。第六に、産業構造改革指導目録の規定に従って仮想通貨マイニングプロジェクトを段階的に廃止すること。
通过以上综合性措施,各项政策将形成合力,推动全面整治虚拟货币“挖矿”活动取得实效。 以上の包括的な施策により、政策が相乗効果を発揮して、仮想通貨「マイニング」活動の包括的な規制を推進し、効果的な成果を得ることができます。
问:虚拟货币“挖矿”活动整治后续有何工作考虑? Q: 仮想通貨の「マイニング」活動を是正するために、どのようなフォローアップの配慮が必要ですか?
答:随着整治虚拟货币“挖矿”活动政策文件的正式印发,各有关方面将采取更大力度开展核查整治工作,大型集中式虚拟货币“挖矿”活动将进一步得到有效清理。与此同时也要看到,虚拟货币“挖矿”活动也出现一些新特征,如从集中式向分散式、小规模转变,隐蔽性更强,精准识别难度更大。下一步,国家发展改革委将会同有关方面,建立健全长效机制,坚持不懈抓好虚拟货币“挖矿”活动整治工作。一是完善工作机制。发展改革部门会同金融、能源、工信、网信、财政、税务、市场监管等部门,针对虚拟货币“挖矿”的新特征,加强部门协同联动,及时研究出台针对性举措。二是形成监管合力。加强与相关监管部门的信息共享和协同联动,建立完善电网企业、能源监管部门等多方参与的监管机制,利用新技术查处“挖矿”活动。三是强化督促落实。督促各地按照《通知》要求,建立协调推进机制,明确时间表、路线图,建立工作台账,强化工作落实。会同相关部门加强督促落实,及时通报各地进展。 A:仮想通貨「マイニング」活動の規制に関する政策文書が正式に発行されたことで、すべての関係者は検証と規制作業の実施に一層の努力を払い、大規模な集中型仮想通貨「マイニング」活動はさらに効果的に浄化されるでしょう。 一方で、仮想通貨の「マイニング」活動には、中央集権型から分散型、小規模な活動への移行など、隠蔽性が高く、正確な特定が難しいという新たな特徴も出てきていることにも留意する必要があります。 次のステップとして、国家発展改革委員会は関係者と協力して健全な長期的メカニズムを確立し、仮想通貨の「マイニング」行為の是正を粘り強く進めていきます。 第一は、動作メカニズムの改善です。 発展改革部門は、財務、エネルギー、産業情報、ネットワーク情報、金融、税務、市場監督などの部門とともに、仮想通貨「マイニング」の新たな特性に対応して部門間の相乗効果を強化し、的を射た対策を速やかに検討・導入していきます。 第二は、規制面でのシナジーを形成すること。 関連する規制部門との情報共有と調整を強化し、電力網企業やエネルギー規制部門など複数の関係者が関与する規制メカニズムを構築・改善し、新技術を活用して「マイニング」行為を調査・対処する。 第三に、監督と実施の強化。 通知の要求に従って地方を監督し、調整と推進のメカニズムを確立し、タイムテーブルとロードマップを明確にし、作業台帳を確立し、作業の実施を強化する。 関連部署と連携し、監督と実施を強化し、各所の進捗状況を迅速に伝えます。

 

 

1_20210612030101


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

 

 

| | Comments (0)

2021.09.24

ホワイトハウス 半導体チップが不足した時: サプライチェーンの混乱を防ぎ、対処するために

こんにちは、丸山満彦です。

半導体の供給不足が自動車生産等にも影響を与えていますが、ホワイトハウスから文書が公開されていますね。。。いろいろと考えることがありますね。。。

 

The White House

・2021.09.23 When the Chips Are Down: Preventing and Addressing Supply Chain Disruptions

 

When the Chips Are Down: Preventing and Addressing Supply Chain Disruptions 半導体チップが不足した時: サプライチェーンの混乱を防ぎ、対処するために
Prior to the COVID-19 pandemic, the things consumers and producers wanted, from cars to toilet paper to yeast to lumber, simply appeared in showrooms, on store shelves, and in ports to be purchased and used when convenient. But over the last 18 months, we’ve seen shortages in goods large and small, often due to surprisingly small causes and hidden vulnerabilities. For example, the demand for yeast quadrupled in spring 2020, as homebound Americans tried their hand at making bread. Fleischmann’s Yeast, a major producer, had capacity to make yeast; it was lack of packaging that led to shortages and delays. The glass jars used to package the yeast were sourced from India, where production had been shut down due to the COVID-19 pandemic.[1] COVID-19のパンデミック以前は、自動車、トイレットペーパー、酵母、木材など、消費者や生産者が欲しがるものは、ショールームや店舗の棚、港に現れ、都合の良い時に購入して使うことができました。しかし、この1年半の間に、大小さまざまな商品が不足しました。その原因は、意外と小さな原因や隠れた脆弱性であることが多いのです。 例えば、2020年春には、在宅のアメリカ人がパン作りに挑戦したことで、酵母の需要が4倍になりました。大手メーカーであるFleischmann's Yeastは、酵母を作る能力を持っていましたが、欠品や遅延の原因となったのはパッケージの不足でした。酵母を包装するためのガラス瓶は、COVID-19パンデミックの影響で生産が停止していたインドから調達していたのです[1]。
Nimble firms resolved some of these shortages quickly. Fleischmann’s figured out how to package yeast in plastic bags, and toilet paper manufacturers made numerous small adjustments to equipment and product mix.[2] Others, like the semiconductor chip shortage, have proven harder to resolve and are dragging down the US economy. Some analysts estimate the chip shortage could cut nearly a percentage point from GDP growth this year, and it has resulted in waves of production shutdowns that have hurt the hundreds of thousands of U.S. workers employed in manufacturing jobs across the automotive and heavy trucking sectors.[3] 機敏な企業はこれらの不足の一部を迅速に解決しました。Fleischmann's社は酵母をビニール袋に入れる方法を考え出し、トイレットペーパーメーカーは設備や製品構成を何度も細かく調整しました[2]。 半導体チップの不足のように、解決が困難なものもあり、米国経済の足を引っ張っています。アナリストの中には、チップ不足によって今年のGDP成長率が1%ポイント近く低下するのではないかと予測している人もいます。また、チップ不足のために生産停止が相次ぎ、自動車や大型トラックなどの製造業に従事する何十万人もの米国人労働者に打撃を与えています[3]。
The ability to recover quickly from an unexpected shock is a hallmark of a resilient system. When it comes to manufacturing supply chains, firms often adopt three inter-related strategies to strengthen resiliency: 予期せぬショックから素早く回復する能力は、レジリエンスの高いシステムの特徴です。製造業のサプライチェーンにおいて、企業はレジリエンスを強化するために、相互に関連する3つの戦略を採用することが多いです。
Visibility: The capability to monitor the supply chain, often in real time. 可視性:サプライチェーンをリアルタイムで監視する能力。
Buffer: Having multiple sources of supply or holding more inventory. 緩衝力:複数の供給源を持つこと、またはより多くの在庫を保有すること。
Agility: The ability to pivot quickly to alternative processes or products. 敏捷性:代替プロセスや代替製品への迅速なピボット能力のこと。
However, an individual firm’s ability to pivot quickly in the face of a shock can be limited by collective action problems—including a lack of communication and trust between firms along a supply chain—and a lack of access to the data necessary to support visibility and agility. Government has a unique ability to solve coordination challenges and serve as a trusted source of data. This role is especially critical at times of shortage, to counter the tendency of downstream firms, like manufacturers of finished goods, to overorder or hoard inventory and of upstream firms, like manufacturers of the inputs, to not fulfill orders due to a lack of trust in the demand signal, which results in shortages, delays, price increases, and uncertainty for the workers, families, and small businesses who ultimately depend on these goods. しかし、個々の企業がショックに直面したときに迅速にピボットする能力は、サプライチェーンに沿った企業間のコミュニケーションや信頼の欠如を含む集団行動の問題や、可視性と敏捷性をサポートするために必要なデータへのアクセスの欠如によって制限される可能性があります。政府は、調整の問題を解決し、信頼できるデータソースとしての役割を果たすユニークな能力を持っています。これは、完成品メーカーなどの川下企業が過剰に注文したり、在庫を抱え込んだりすることや、投入物メーカーなどの川上企業が需要のシグナルに対する信頼を欠いて注文を履行しないことに対抗するためであり、最終的にこれらの商品に依存する労働者、家族、中小企業にとって、不足、遅延、価格上昇、不確実性をもたらすことになります。
Renewing our Commitment to Transparency and Agility 透明性と敏捷性へのコミットメントの更新
Since April, the Administration has used its convening power to strengthen communication and trust between the firms that produce semiconductors—including those that design chips, produce wafers, and assemble them into devices—and those that use semiconductors—including automakers, consumer electronics firms, and medical device firms. The result has been a change in supply chain management practices by firms like General Motors, which announced new efforts to build more direct working relationships with semiconductor suppliers who are downstream suppliers to GM. It also includes a growing recognition by chip producers that industrial sectors like the automotive industry represent a growing customer base. This is progress, and we continue to look to industry to take further steps to improve transparency, trust, and communication to address supply chain bottlenecks. 4月以降、米国政府は、半導体を製造する企業(チップを設計し、ウェハーを製造し、デバイスに組み立てる企業を含む)と、半導体を使用する企業(自動車メーカー、家電メーカー、医療機器メーカーを含む)との間のコミュニケーションと信頼関係を強化するために、その招集力を活用してきました。その結果、ゼネラルモーターズ社は、同社の川下サプライヤーである半導体サプライヤーとより直接的な協力関係を築くための新たな取り組みを発表するなど、サプライチェーン・マネジメントのあり方が変化してきています。また、チップメーカーは、自動車産業などの産業分野が成長する顧客基盤であることを認識しつつあります。 私たちは、サプライチェーンのボトルネックを解消するために、透明性、信頼性、コミュニケーションを向上させるためのさらなる取り組みを業界に求め続けています。
Today, the Department of Commerce is taking new steps to improve data collection, by conducting a voluntary survey of industry participants to both diagnose chokepoints in the supply chain and offer firms data that can help them adapt their production processes to adjust to the supply shortage. For example, the survey may show that the chips used in sensors that help activate a pacemaker and power the safety features of a car are in shortage, but not the ones that support power management on a device. In this way, the information can also provide a clear demand signal that can attract more private investment to expand capacity to resolve the shortage. 本日、商務省はデータ収集を改善するための新たなステップを踏み出しました。それは、サプライチェーンの隘路を診断すると同時に、企業が供給不足に対応するために生産プロセスを適応させるのに役立つデータを提供するために、業界関係者を対象とした自主的な調査を実施することです。例えば、ペースメーカーを作動させたり、自動車の安全機能を作動させたりするセンサーに使われているチップは不足しているが、デバイスの電源管理をサポートするチップは不足していないという調査結果が得られるかもしれません。このようにして、情報は明確な需要のシグナルとなり、不足を解消するための生産能力拡大のための民間投資を呼び込むことができます。
In addition, to address shocks to global supply chains stemming from the COVID-19 pandemic, we have been working with foreign governments in Southeast Asia and elsewhere to keep critical factories up and running, while putting worker health and safety and the public health response of our trading partners at the center of our efforts. The Biden-Harris Administration is building on this work by standing up a new early alert system for COVID-related shutdowns to microelectronics manufacturing around the world. The system will allow us to detect potential disruptions earlier, and support faster problem solving and coordination with our trading partners and the private sector, balancing a focus on worker health and safety, supporting the public health response, and safely re-opening plants. This system is also designed to protect proprietary or business sensitive information for companies that voluntarily participate. The Commerce Department will be industry’s entry point, and they will work closely with the State Department—both here in Washington and also at our Embassies abroad. We will also rely on technical experts from USAID and the CDC to carry out this mission. また、COVID-19パンデミックに起因するグローバルサプライチェーンへのショックに対処するため、労働者の健康と安全、貿易相手国の公衆衛生対応を中心に考えながら、重要な工場を稼働させるために、東南アジアなどの外国政府と協力しています。バイデン政権は、こうした取り組みを踏まえて、COVIDに関連した世界中のマイクロエレクトロニクス製造業の停止を早期に警告するシステムを新たに立ち上げています。このシステムにより、潜在的な混乱をより早く察知し、労働者の健康と安全に重点を置き、公衆衛生対応を支援し、工場を安全に再開するというバランスを取りながら、より迅速な問題解決と貿易相手国や民間企業との調整をサポートすることができます。また、このシステムは、自主的に参加する企業の専有情報やビジネス上の機密情報を保護するように設計されています。商務省は産業界の窓口となり、ワシントンと海外の大使館にある国務省と密接に連携します。また、この任務を遂行するために、USAIDやCDCの技術専門家にも協力してもらう予定です。
Preventing the Next Chips Shortage 次のチップ不足を防ぐために
In the longer term, however, the U.S. must take stronger action to identify and get ahead of vulnerabilities in the supply chains of critical goods. Supply chain shocks are not unexpected. A McKinsey Global Institute analysis found that supply-chain shocks affecting global production lasting at least a month occur on average every 3.7 years, leading companies to lose 42 percent of one year’s earnings every ten years. The climate crisis is causing supply chain-disrupting “100-year” events more frequently and with greater ferocity, due to increased intensity and frequency of storms, droughts, and other extreme weather events. U.S workers, consumers, and businesses will continue to suffer from disruptions and price shocks unless we take action, across the public and private sector and with partners and allies, to build more resilient supply chains. しかし、より長期的には、米国は重要な商品のサプライチェーンにおける脆弱性を特定し、それを先取りするための行動を強化しなければなりません。サプライチェーンのショックは予想外ではありません。マッキンゼー・グローバル・インスティテュートの分析によると、世界の生産に影響を与えるサプライチェーンショックが1ヵ月以上続く場合、平均して3.7年ごとに発生しており、企業は10年ごとに1年分の収益の42%を失うことになります。気候危機は、暴風雨や干ばつなどの異常気象の強度と頻度の増加により、サプライチェーンを破壊する「100年に一度」の出来事をより頻繁に、より猛烈に引き起こしています。米国の労働者、消費者、企業は、官民を問わず、またパートナーや同盟国と協力して、より回復力のあるサプライチェーンを構築するための行動を起こさない限り、混乱や価格ショックに悩まされ続けるでしょう。
That is why the President has taken swift and persistent action to address supply chain vulnerabilities since he came into office. In February, he ordered a 100-day review of supply chains for select critical products and a 1-year review of vulnerabilities in the supply chains for select critical sectors. The 100-day report, published in June, lays out a framework for closing supply chain vulnerabilities by investing in U.S. workers, communities, and innovation. It also makes the case for a new federal toolbox for closing these vulnerabilities. This includes the capacity to map and monitor current gaps and conduct stress tests to identify future vulnerabilities, funding to support applied research on best practices on supply chain resiliency at both the firm-level and national-level, and financial tools including grants and loans to pull forward private sector investments in resiliency, countering the private market’s tendency to overinvest in short-term cost control and underinvest in resiliency. だからこそ、大統領は就任以来、サプライチェーンの脆弱性に対処するため、迅速かつ粘り強く行動してきました。2月、大統領は、特定の重要製品のサプライチェーンを100日間でレビューし、特定の重要セクターのサプライチェーンの脆弱性を1年間でレビューすることを命じました。 6月に発表された100日レポートでは、米国の労働者、コミュニティ、イノベーションに投資することで、サプライチェーンの脆弱性を解消するための枠組みが示されています。また、これらの脆弱性を解消するために、連邦政府が新たなツールボックスを用意することを提案しています。これには、現在のギャップをマッピングして監視し、将来の脆弱性を特定するためのストレステストを実施する能力、企業レベルおよび国家レベルでのサプライチェーンの回復力に関するベストプラクティスの応用研究を支援するための資金、回復力に対する民間部門の投資を促進するための助成金や融資などの金融ツールが含まれており、短期的なコスト管理に過度に投資し、回復力に十分な投資をしないという民間市場の傾向に対抗しています。
There are two critical steps that Congress could take to accelerate our progress towards more resilient supply chains. First, Congress could fund the bipartisan CHIPS for America Act, which would enable transformative investments in domestic semiconductor research, design, and manufacturing. This is the long-term solution to solving the current chip shortage. Second, Congress could establish the new Critical Supply Chain Resiliency Program (CSCRP) at the Department of Commerce, which President Biden has proposed as part of his Build Back Better plan that is before Congress right now. The program would serve as a central node in the federal government for supply chain resilience, facilitate better coordination and planning across federal agencies to address vulnerabilities, and invest in critical supply chains where the private market has failed to allocate sufficient capital. より弾力性のあるサプライチェーンへの進展を促進するために、議会がとるべき重要なステップは2つあります。まず、米国議会は超党派の「CHIPS for America Act」に資金を提供し、国内の半導体研究、設計、製造への変革的な投資を可能にします。これは、現在のチップ不足を解消するための長期的な解決策となります。次に、バイデン大統領が現在議会で審議中の「Build Back Better」計画の一環として提案している、商務省の「Critical Supply Chain Resiliency Program(CSCRP)」を議会が新設することです。このプログラムは、サプライチェーンの回復力に関する連邦政府の中心的なノードとしての役割を果たし、脆弱性に対処するための連邦政府機関間のより良い調整と計画を促進し、民間市場が十分な資本を配分できなかった重要なサプライチェーンに投資するものです。
Some examples of the activities the new office could support include: 新オフィスが支援する活動の例としては、次のようなものがあります。
Mapping supply chains for critical industries: The U.S. government is trying to prevent disruptions in the supply chains for advanced energy and communications equipment. The CSCRP conducts a survey of firms in each industry, working with industry partners. The data and mapping from the survey allows the office to run stress tests for various shocks, including a cyber attack at a critical node, and run scenario planning exercises to facilitate greater preparedness across the private sector and government agencies to respond to potential shocks to a critical supply chain. 重要産業のサプライチェーンのマッピング: 米国政府は、先進的なエネルギー機器や通信機器のサプライチェーンの混乱を防ごうとしています。CSCRPは、産業界のパートナーと協力して、各産業の企業を対象とした調査を行っています。この調査で得られたデータやマッピングをもとに、重要なノードへのサイバー攻撃など、さまざまなショックに対するストレステストや、シナリオプランニング演習を実施し、重要なサプライチェーンに起こりうるショックに対応するための民間企業や政府機関の準備を促進しています。
Growing domestic clean energy supply chains: A U.S. consortium of green energy companies wishes to onshore the supply chain for manufacturing solar panels, 80% of which are currently made by Chinese companies due in part to Chinese government subsidies. The CSCRP provides low-cost financing to support the development of new U.S. factories so that a larger share of the planned U.S. renewables build-out is U.S.-made. 国内のクリーンエネルギー・サプライチェーンの拡大: 米国のグリーンエネルギー企業のコンソーシアムは、中国政府の補助金の影響もあり、現在80%が中国企業によって製造されているソーラーパネルの製造サプライチェーンを陸上化したいと考えています。CSCRPは、低コストの融資を提供し、米国の新工場の開発を支援することで、米国で計画されている自然エネルギーの生産量のうち、米国製のものがより多くなるようにします。
Expanding supply of trusted and secure hardware: A promising early-stage 5G equipment start-up seeks to scale up manufacturing for 5G network infrastructure equipment. However, it has had trouble securing the late-stage funding to commercialize its technology, which has been a longstanding problem that has pushed many U.S. manufacturers offshore. The company is being courted by a contract manufacturer to move its production to Asia. To address this issue, CSCRP provides a direct loan, for one portion of its scale up need, and a loan guarantee for the rest. 信頼性と安全性の高いハードウェアの供給拡大: 5G機器の初期段階にある有望な新興企業は、5Gネットワークインフラ機器の製造規模を拡大しようとしています。しかし、同社は自社の技術を商業化するための後期資金の確保に苦労しており、多くの米国メーカーを海外に追いやってきた長年の問題でもあります。同社は、生産拠点をアジアに移すべく、製造委託先から求婚されています。この問題に対処するため、CSCRPはスケールアップの必要性の一部分に対しては直接融資を行い、残りの部分に対しては融資保証を行っています。
The federal government must be better equipped to get ahead of possible disruptions and have tools at its disposal to limit their impact on the U.S. economy, workers, and consumers. When supply chain shocks cascade, the spillover effects can impact the global economy in ways that no one firm or sector can anticipate or adequately resolve on their own. By taking a holistic view of the industrial base and supply chains critical to US economic and national security, the federal government can monitor, anticipate, and respond to economic, geopolitical, and climate-related shocks. The CHIPS Act and the CSCRP are two important steps towards our goal of strengthening our nation’s longer term economic competitiveness, our national security, and advancing the President’s21st century industrial strategy. The key to resolving the next global supply chain crisis is preventing it from happening in the first place. 連邦政府は、起こりうる混乱を先取りし、米国経済、労働者、消費者への影響を抑えるための手段を用意しなければなりません。サプライチェーンのショックが連鎖すると、その波及効果は、どの企業やセクターも単独では予測できず、十分に解決できない形で世界経済に影響を与えます。連邦政府は、米国の経済と国家安全保障に不可欠な産業基盤とサプライチェーンを総合的に把握することで、経済、地政学、気候関連のショックを監視し、予測し、対応することができます。CHIPS法とCSCRPは、米国の長期的な経済競争力と国家安全保障を強化し、大統領の21世紀産業戦略を推進するという目標に向けた2つの重要なステップです。次の世界的なサプライチェーン危機を解決するための鍵は、そもそもそれが起こらないようにすることです。
[1] website [1] website
[2] Why the Pandemic Has Disrupted Supply Chains | The White House [2] パンデミックがサプライチェーンを混乱させた理由|ホワイトハウス
[3] Spencer Hill, Goldman Sachs, US Daily: A Semi-Troubling Shortage (Apr. 24, 2021). [3] スペンサー・ヒル(ゴールドマン・サックス)、US Daily: 半ば困ったような人手不足(2021424日)。

 

Fig1_20210802074601

| | Comments (0)

英国 国家AI戦略

こんにちは、丸山満彦です。

英国が国家AI戦略が公表されていますね。

U.K. Goverment

・2021.09.22 National AI Strategy

The National AI Strategy builds on the UK’s strengths but also represents the start of a step-change for AI in the UK, recognising the power of AI to increase resilience, productivity, growth and innovation across the private and public sectors. 国家AI戦略は、英国の強みを基盤としながらも、英国におけるAIのステップチェンジの始まりを意味しており、民間および公共部門全体のレジリエンス、生産性、成長、イノベーションを向上させるAIの力を認識しています。
Details 詳細
Artificial Intelligence (AI) is the fastest growing deep technology in the world, with huge potential to rewrite the rules of entire industries, drive substantial economic growth and transform all areas of life. The UK is a global superpower in AI and is well placed to lead the world over the next decade as a genuine research and innovation powerhouse, a hive of global talent and a progressive regulatory and business environment. 人工知能(AI)は、世界で最も急速に成長している深層技術であり、産業全体のルールを書き換え、大幅な経済成長を促し、生活のあらゆる分野を変革する大きな可能性を秘めています。英国はAIの世界的な大国であり、真の研究・イノベーション大国、グローバルな人材の集積地、先進的な規制・ビジネス環境として、今後10年間、世界をリードする立場にあります。
Many of the UK’s successes in AI were supported by the 2017 Industrial Strategy, which set out the government’s vision to make the UK a global centre for AI innovation. In April 2018, the government and the UK’s AI ecosystem agreed a near £1 billion AI Sector Deal to boost the UK’s global position as a leader in developing AI technologies. 英国のAIにおける成功の多くは、英国をAIイノベーションの世界的な中心地にするという政府のビジョンを示した2017年の産業戦略に支えられています。2018年4月、政府と英国のAIエコシステムは、AI技術開発のリーダーとしての英国の世界的地位を高めるため、10億ポンド近いAIセクターディールに合意しました。
This new National AI Strategy builds on the UK’s strengths but also represents the start of a step-change for AI in the UK, recognising the power of AI to increase resilience, productivity, growth and innovation across the private and public sectors. この新しい国家AI戦略は、英国の強みを基盤としながらも、英国におけるAIのステップチェンジの始まりを意味しており、民間部門と公共部門全体のレジリエンス、生産性、成長、イノベーションを向上させるAIの力を認識しています。

 

・[HTML] National AI Strategy

・[PDF] National AI Strategy

20211209-153949

・[PDF] National AI Strategy (mobile version)

 

Executive summary エグゼクティブサマリー
Artificial Intelligence (AI) is the fastest growing deep technology1 in the world, with huge potential to rewrite the rules of entire industries, drive substantial economic growth and transform all areas of life. The UK is a global superpower in AI and is well placed to lead the world over the next decade as a genuine research and innovation powerhouse, a hive of global talent and a progressive regulatory and business environment. 人工知能(AI)は、世界で最も急速に成長しているディープテクノロジー1であり、産業全体のルールを書き換え、大幅な経済成長をもたらし、生活のあらゆる分野を変革する大きな可能性を秘めています。英国はAIの世界的な大国であり、真の研究・イノベーション大国、グローバルな人材の集積地、先進的な規制・ビジネス環境として、今後10年間、世界をリードする立場にあります。
Many of the UK’s successes in AI were supported by the 2017 Industrial Strategy, which set out the government’s vision to make the UK a global centre for AI innovation. In April 2018, the government and the UK’s AI ecosystem agreed a near £1 billion AI Sector Deal to boost the UK’s global position as a leader in developing AI technologies. 英国のAIにおける成功の多くは、英国をAIイノベーションの世界的な中心地にするという政府のビジョンを示した2017年の産業戦略に支えられています。2018年4月、政府と英国のAIエコシステムは、AI技術開発のリーダーとしての英国の世界的地位を高めるために、10億ポンド近いAIセクターディールに合意しました。
This new National AI Strategy builds on the UK’s strengths but also represents the start of a stepchange for AI in the UK, recognising the power of AI to increase resilience, productivity, growth and innovation across the private and public sectors. この新しい国家AI戦略は、英国の強みに基づいて構築されていますが、同時に英国におけるAIのステップチェンジの始まりを意味しており、民間および公共部門全体のレジリエンス、生産性、成長、イノベーションを向上させるAIの力を認識しています。
This is how we will prepare the UK for the next ten years, and is built on three assumptions about the coming decade:  これは、英国が次の10年に向けて準備する方法であり、今後の10年についての3つの仮定に基づいています。
• The key drivers of progress, discovery and strategic advantage in AI are access to people, data, compute and finance – all of which face huge global competition;  ・AIにおける進歩,発見,戦略的優位性の主な要因は人材、データ、計算機、資金へのアクセスであり,これらはすべて大きなグローバル競争に直面しています。
• AI will become mainstream in much of the economy and action will be required to ensure every sector and region of the UK benefit from this transition;  ・AIは経済の多くの分野で主流となり英国のすべての部門と地域がこの移行から利益を得られるようにするための行動が必要となります。
• Our governance and regulatory regimes will need to keep pace with the fast-changing demands of AI, maximising growth and competition, driving UK excellence in innovation, and protecting the safety, security, choices and rights of our citizens. ・英国のガバナンスと規制体制は,急速に変化するAIの需要に対応し,成長と競争を最大化し,英国の卓越したイノベーションを推進し,市民の安全,セキュリティ,選択肢,権利を保護する必要があります。
The UK’s National AI Strategy therefore aims to:  そこで、英国の国家AI戦略は以下を目指しています。
• Invest and plan for the long-term needs of the AI ecosystem to continue our leadership as a science and AI superpower;  ・科学とAIの大国としてのリーダーシップを継続するために,AIエコシステムの長期的なニーズに向けた投資と計画を行う。
• Support the transition to an AI-enabled economy, capturing the benefits of innovation in the UK, and ensuring AI benefits all sectors and regions;  ・AI対応経済への移行を支援し,英国内のイノベーションの利益を獲得し,AIがすべてのセクターと地域に利益をもたらすようにする。
• Ensure the UK gets the national and international governance of AI technologies right to encourage innovation, investment, and protect the public and our fundamental values. ・英国がAI技術の国内および国際的なガバナンスを適切に行い,イノベーションと投資を促進し,国民と我々の基本的な価値観を守ること。
This will be best achieved through broad public trust and support, and by the involvement of the diverse talents and views of society. これは、広く国民の信頼と支持を得て、社会の多様な才能と見解が関与することによって、最もよく達成されるでしょう。

 

・[PDF] Where can I learn more about AI

20211209-154718

 

また、国家AI戦略の発表に関連して、ロンドンで行われたAIサミットで大臣がスピーチしていますね。。。

 

Minister Chris Philp's speech at the AI Summit launching the National AI Strategy クリス・フィルプ大臣のAIサミットでのスピーチ(国家AI戦略の発表)
DCMS Minister celebrates tech success, particularly in AI, throughout the UK and champions the sector during London Tech Week DCMS大臣は、英国内での技術的成功、特にAIの成功を称え、London Tech Weekにおいてこの分野を支持しました。
Good morning and thank you for inviting me to the AI summit. おはようございます。このAIサミットにお招きいただき、ありがとうございます。
This is the first event I have spoken at since being appointed as Minister with responsibility for Technology last week. As one of very few MPs or Ministers to have a science background, having studied Physics at Oxford, I have always taken an interest in the intersection between technology and business. In fact, when I was 21 I co-founded a distribution business that we later floated on AIM and, two takeovers later, is now part of Tesco. That business was substantially tech enabled. It used predictive stock ordering to reduce inventory to minimal levels while enabling next day delivery at high fulfilment rates. You would consider what we did then extremely rudimentary, but back in the year 2000 we felt quite pleased with what we did. So anyway, I’m very happy to be here with you today. 先週、テクノロジー担当大臣に任命されてから、初めてのイベントでの講演となります。私は、オックスフォード大学で物理学を学び、科学のバックグラウンドを持つ数少ない国会議員や大臣の一人として、テクノロジーとビジネスの接点に常に関心を持ってきました。実際、私が21歳のときに共同で設立した流通業は、後にAIMに上場し、その後2度の買収を経て現在はTescoの一部となっています。そのビジネスは、テクノロジーを駆使したものでした。予測在庫発注を用いて在庫を最小限に抑え、高い充足率で翌日配送を可能にしていました。当時の私たちがやっていたことは非常に初歩的なことだと思われるかもしれませんが、2000年当時の私たちは自分たちのやったことに満足していました。とにかく、今日は皆さんと一緒にいられることをとても嬉しく思います。
I’m especially happy to be here because the UK’s tech industry as a whole is an extraordinary success story. We saw figures earlier this week that in the first half of 2021 1,400 private UK tech firms collectively raised £13.5 billion, by far the highest in Europe - and over double the amount raised in second-placed Germany. 特に嬉しいのは、英国のハイテク産業が全体的に素晴らしいサクセスストーリーであることです。今週初めに発表された数字によると、2021年上半期に英国の民間ハイテク企業1,400社が集めた資金は135億ポンドで、これはヨーロッパで最も高く、2位のドイツの2倍以上です。
So the UK is in an admirable position, with a rich legacy of spearheading many of the greatest leaps in AI over the decades; we have advanced scholarships at universities and research centres across the country; and, in London, the most vibrant startup scene outside of San Francisco - with companies like Deepmind, Benevolent AI and Improbable pushing the envelope of what’s possible in AI in their respective fields. 英国には、数十年にわたってAIの飛躍を先導してきた豊かな遺産があり、国内の大学や研究センターでは先進的な奨学金制度があり、ロンドンではサンフランシスコ以外で最も活気のあるスタートアップシーンがあり、Deepmind、Benevolent AI、Improvableといった企業がそれぞれの分野でAIの可能性の限界を押し広げています。
The UK saw 20 tech firms reach Unicorn status in the first half of this year, including Tractable and Zego. We have ten privately owned tech firms valued at over $10 billion. And in your field, Exscientia, which uses AI to discover new drugs, raised nearly a quarter of a billion dollars this year. From Alan Turing to Demis Hassabis, the UK has always led. 英国では、Tractable社やZego社など、今年の上半期に20社のテック企業がユニコーンの地位を獲得しました。評価額が100億ドルを超える非上場のテック企業が10社あります。また、あなたの分野では、AIを使って新薬を発見するExscientiaが、今年25億ドル近くを調達しました。アラン・チューリングからデミス・ハサビスまで、英国は常にリードしてきました。
The Government is completely committed to maintaining and building the UK’s leading tech position, including in AI. The UK is the clear European leader in AI and third globally behind only the USA and China - and I know we can catch them up. So let me say today: we want AI innovators to locate and scale up in the UK. We want you to succeed in the UK. We want the UK to lead the world in this field. It is a critical national priority. 政府は、AIをはじめとする英国のハイテク分野でのリーディングポジションを維持・構築することに完全にコミットしています。英国は、AIの分野では明らかに欧州のリーダーであり、世界的に見ても米国と中国に次ぐ第3位ですが、必ずや追いつくことができると信じています。そこで今日は、AIイノベーターが英国に拠点を置き、規模を拡大することを望んでいることをお伝えします。英国で成功していただきたいのです。英国がこの分野で世界をリードすることを望んでいます。これは国家の重要な優先事項です。
It is critical because AI is a profound technology. It is the future. Your field has the potential to - in fact it will - infuse every aspect of our personal and business lives in ways we cannot currently imagine. As Andrew Ng has argued, AI will fulfil a similar role in the coming century to the one that electricity and then regular computing played in the last century - a meta-enabler which underpins activity in a huge range of fields, including those without initially obvious applicability. 重要なのは、AIが非常に重要なテクノロジーであるからです。それは未来のことです。この分野は、私たちの個人的な生活やビジネスのあらゆる側面に、現在では想像もつかないような形で浸透していく可能性を秘めていますし、実際にそうなるでしょう。アンドリュー・ングが主張しているように、AIは前世紀に電気や通常のコンピュータが果たした役割と同様の役割を来世紀には果たすことになるでしょう。
So it’s important for Government to engage with technology, which of course includes AI technologies, because of how inextricably linked they are with each and every one of our lives - something the pandemic has made clear. パンデミックが明らかにしたように、テクノロジーは私たちの生活の隅々まで密接に関係しているため、政府がテクノロジーに取り組むことは重要です。
And this AI Summit is timely, because as many of you will have seen, and as the Secretary of State trailed on Monday, the Government has launched its ambitious National AI Strategy today. 今回のAIサミットは、多くの方がご覧になっているように、また国務長官が月曜日に述べたように、政府が本日、野心的な「国家AI戦略」を発表したことから、時宜を得たものとなっています。
For the first time, the Government has set out its strategic vision for how we remain a pre-eminent AI nation. Building on the investments we’ve made through the AI Sector Deal and since, and the kinds of successes we’ve seen this week in terms of our startups, we want to ensure the UK remains an AI superpower for years and decades to come. 政府は今回初めて、我が国が卓越したAI国家であり続けるための戦略的ビジョンを打ち出しました。AIセクターディールやそれ以降に行った投資、そして今週見られたスタートアップ企業の成功例を基に、今後何年、何十年にもわたって英国がAI大国であり続けることを目指します」と述べています。
A number of important steps have already been taken. In the last seven years the Government has invested £2.3 billion supporting AI. This has included a quarter of a billion pounds to develop the use of AI in the NHS, the same amount again for the Centre for Connected and Autonomous vehicles and £100 million to fund 1,000 AI PhDs. The British Business Bank has already invested £372 million in UK AI companies. And this is just the start. すでにいくつかの重要なステップが踏み出されています。過去7年間で、政府は23億ポンドをAIに投資してきました。この中には、NHSにおけるAIの利用を発展させるための25億ポンド、Centre for Connected and Autonomous vehiclesのための同額の再投資、1,000人のAI博士に資金を提供するための1億ポンドなどが含まれています。British Business Bankは、英国のAI企業にすでに3億7,200万ポンドを投資しています。そして、これはほんの始まりに過ぎません。
Undoubtedly the investments we’ve made to date have kept us at the forefront of AI - only behind the USA and China - far ahead of the chasing pack of other countries. But we have more to do to keep and build our position. これまでの投資により、英国はAIの最先端に位置し、米国と中国の後塵を拝しているだけで、他国の追随をはるかに凌駕しています。しかし、この地位を維持・構築するためには、まだまだやるべきことがあります。
Many of you who have had a glimpse of the AI Strategy will see how neatly it links up with other Government Strategies. AI戦略をご覧になった方の多くは、この戦略が他の政府戦略といかにうまくリンクしているかをご存知でしょう。
It wouldn’t have been possible without the independent AI Council, who pivoted their expertise first to helping Government understand the potential for AI to help with the initial crisis during the pandemic, and then to setting out their vision for how AI could help us rebuild our economy. I thank them for their work. この戦略は、独立したAIカウンシルなしには実現できませんでした。彼らは、まず政府がパンデミックの初期の危機を救うためにAIの可能性を理解することを支援し、次にAIが経済の再建にどのように役立つかというビジョンを示すために、その専門知識を活用しました。彼らの働きに感謝します。
It wouldn’t have been possible without detailed analysis, consultation and collaboration across the whole of Government. これは、政府全体での詳細な分析、協議、協力がなければ実現しませんでした。
And it wouldn’t have been possible without the help of many of you. In fact, since the publication of the AI Council’s Roadmap, the Office for AI - who led on developing the Strategy - has spoken to literally hundreds of organisations and individuals to capture the collective vision of the ecosystem. また、多くの皆様のご協力がなければ実現しませんでした。実際、AIカウンシルのロードマップが発表されて以来、戦略の策定を主導したOffice for AIは、エコシステムの総合的なビジョンを把握するために、文字通り何百もの組織や個人と話をしてきました。
So what’s in the Strategy? では、この戦略には何が書かれているのでしょうか?
Let me tell you: this is an ambitious and inclusive strategy. It aims to build on our leadership in delivering responsible AI, to point to how we drive growth across every sector while ensuring that the benefits and the opportunities are spread across society. これは、野心的で包括的な戦略です。この戦略は、責任あるAIの実現に向けた当社のリーダーシップを基盤とし、社会全体に恩恵と機会が行き渡るようにしながら、あらゆる分野で成長を促進する方法を示すことを目的としています。
The Strategy is structured around three pillars: 本戦略は、3つの柱を中心に構成されています。
・Investing in and planning for the long term needs of the AI ecosystem to continue our leadership as a science and AI superpower; ・科学およびAI大国としてのリーダーシップを継続するために、AIエコシステムの長期的なニーズに投資し、計画すること。
・Supporting the transition to an AI-enabled economy, capturing the benefits of innovation in the UK, and ensuring AI benefits all sectors and regions; ・AI対応経済への移行を支援し、英国内のイノベーションの利益を獲得し、AIがすべてのセクターと地域に利益をもたらすようにすること。
・Ensuring the UK gets the national and international governance of AI technologies right to encourage innovation, investment, and protect the public and our fundamental values. ・英国がAI技術の国内および国際的なガバナンスを適切に行い、イノベーションと投資を促進し、国民と基本的な価値観を保護すること。
But just as this Strategy is being published, we want you to know we’re serious about delivering it. しかし、この戦略が発表されると同時に、私たちがその実現に真剣に取り組んでいることを知っていただきたいと思います。
That’s why we commit to delivering from day 1: そのために、私たちは初日から実行することを約束します。
We’ll… Support our future skills and diversity needs through Turing Fellowships, Centres for Doctoral Training and Postgraduate Industrial Masters and Conversion Courses and visa routes - such as the Global Talent visa and the High Potential Individual Route and the Scale-Up route to make sure the brightest and the best can come here easily; Support the National Centre for Computing Education to ensure programmes for children in AI are accessible and reach the widest demographic; Publish a report into the UK’s future computation capacity needs to support AI research, development and commercialisation. Continue to support academic R&D into AI and its commercialisation and work to ensure better access to the big data needed to support AI projects. チューリング・フェローシップ、センター・フォー・ドクトラル・トレーニング、大学院のインダストリアル・マスターズ、コンバージョン・コースや、グローバル・タレント・ビザ、ハイ・ポテンシャル・インディビジュアル・ルート、スケールアップ・ルートなどのビザ・ルートを通じて、将来のスキルと多様性のニーズをサポートし、優秀な人材が容易に来日できるようにする。ナショナル・センター・フォー・コンピューティング・エデュケーションをサポートし、AIの子供向けプログラムが利用しやすく、幅広い層にリーチできるようにする。AIに関する学術的な研究開発とその商業化を引き続き支援するとともに、AIプロジェクトを支援するために必要なビッグデータへのアクセスを改善する。
We’ll also… Support the Levelling Up agenda by launching a joint Office for AI & UKRI programme aimed at developing AI in sectors beyond London and the South East; Launch a Defence AI Strategy later this year and the new Defence AI Centre through the Ministry of Defence; Work with teams across government to identify where using AI can provide a catalytic contribution to strategic challenges, and consider how Innovation Missions can include AI capabilities to promote ambitious mission-based cooperation. ロンドンや南東部以外の地域でのAI開発を目的としたOffice for AIとUKRIの共同プログラムを立ち上げ、Levelling Upのアジェンダをサポートします。今年後半に防衛AI戦略を発表し、国防省に新しい防衛AIセンターを設置する。政府内の各チームと協力して、AIを活用することで戦略的課題の解決に貢献できる分野を特定し、イノベーションミッションにAI機能を持たせて、ミッションに基づいた野心的な協力関係を促進する方法を検討する。
And finally…we’ll: Pilot an AI Standards Hub to coordinate UK engagement in AI standardisation globally - so UK startups and data scientists can feed into their development; Undertake an analysis of algorithmic transparency with a view to publishing a cross-government standard; and Update guidance on AI ethics and safety in the public sector. そして最後に......。AI標準化への英国の関与を世界的に調整するためのAI標準化ハブを試験的に導入し、英国の新興企業やデータサイエンティストがその開発に貢献できるようにする。政府横断的な基準の発行を視野に入れたアルゴリズムの透明性の分析を行う。
One of the most crucial areas we will work on is setting out our pro-innovation policy position on how we’ll get AI governance and regulation right, within the next few months. So far we’ve been pragmatic in delivering guidance for the public sector, working with the World Economic Forum, Alan Turing Institute, ICO and others, but this work will be a wider vision that gives greater clarity to businesses about how we think AI should benefit society. We will seek to give certainty, support innovation and deployment, reassure the public and set a standard that could be adopted globally. We will seek to keep regulatory intervention to a minimum, generally seeking to use existing structures and to approach the issue with the permissive mindset that we want to make AI innovation easy and straightforward, while avoiding any public harm where there is evidence it exists. 私たちが取り組む最も重要な分野の一つは、AIのガバナンスと規制をどのようにして正しく行うかについて、イノベーション推進の政策的立場を今後数カ月以内に示すことです。これまで私たちは、世界経済フォーラム、アラン・チューリング研究所、ICOなどと協力して、公共部門向けに実用的なガイダンスを提供してきましたが、今回の作業は、私たちが考えるAIが社会にどのような恩恵をもたらすべきかについて、企業がより明確に理解できるようにするための、より広範なビジョンとなります。私たちは、確実性を与え、イノベーションと展開を支援し、一般市民を安心させ、世界的に採用可能な基準を設定することを目指します。我々は、規制当局の介入を最小限にとどめ、一般的には既存の構造を利用し、AIの革新を容易かつ簡単にし、かつ、それが存在するという証拠がある場合には社会的な損害を回避したいという寛容な考え方でこの問題に取り組むことを目指します。
We’ll also be looking at how we continue to support the most advanced research in AI - whether in a university, a startup or large company. We’ll launch a UKRI National AI Research & Innovation Programme to support the transformation of the UK’s capability in AI and better coordinate and join up their activities; また、大学、新興企業、大企業を問わず、AIの最先端の研究を継続的に支援する方法についても検討しています。また、UKRI National AI Research & Innovation Programmeを立ち上げ、英国のAI能力の変革を支援するとともに、各機関の活動をより適切に調整し、連携させていきます。
Finally, we’ll examine, together with employers and providers, what skills are needed to enable employees to use AI in a business setting, and work with the Department for Education to explore how skills provision can meet those needs. 最後に、従業員がビジネスの場でAIを活用するためにはどのようなスキルが必要なのかを、雇用主や提供者とともに検討し、教育省と協力してスキル提供の方法を検討します。
The conversations that Government has had with the tech and AI ecosystem haven’t ended, and indeed this Strategy isn’t the end of the conversation on AI, as you have now heard. It’s the beginning of a new conversation. It started with the AI review and Sector Deal, and has continued with the AI Council and all of you as we developed the Strategy. 政府がテクノロジーやAIのエコシステムと交わしてきた会話は終わっておらず、実際、この戦略はAIに関する会話の終わりではありません(今、皆さんが聞いたように)。新しい会話の始まりなのです。この戦略は、AIレビューとセクターディールから始まり、AIカウンシルと皆さんと一緒に開発を進めてきました。
Now, our strategic vision is set out, and we’ll continue to engage with you as we work hard to implement and deliver it. 今、私たちの戦略的ビジョンが示されました。私たちは、それを実行し、実現するために努力しながら、皆様と関わり続けます。
To finish: I’ll echo a sentiment I touched on earlier - AI is a truly transformative technology, with the power to not only help us to recover as a country economically, but the potential to dramatically improve lives and livelihoods across the UK, and make us a global leader in tackling the biggest challenges humanity faces. To make us a true AI and science superpower. AIは真に変革をもたらす技術であり、経済的に国を復興させるだけでなく、英国全体の生活や人生を劇的に向上させ、人類が直面する最大の課題に取り組むグローバルリーダーとなる可能性を秘めています。英国を真のAI・科学大国にするために。
And to echo my colleague, the Secretary of State in the foreword of the Strategy, AI is here now. It is improving our lives now. We want to make sure the UK can lead the world in ensuring AI works for people and delivers on its potential. And with this Strategy, I believe we can do that. 同僚の国務長官が戦略の序文で述べているように、AIは今ここにあります。今、私たちの生活を向上させています。私たちは、AIが人々のために働き、その可能性を実現することにおいて、英国が世界をリードできるようにしたいと考えています。この戦略があれば、それが可能になると信じています。
Enjoy the AI summit! AIサミットをお楽しみください

 

| | Comments (0)

2021.09.23

金融庁 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

こんにちは、丸山満彦です。

度重なる、システム障害について金融庁がみずほ銀行及びみずほフィナンシャルグループに対して行政処分をだしましたね。。。

 

● 金融庁

・2021.09.22 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について


金融庁は、本日、株式会社みずほ銀行(以下「当行」という。)及び株式会社みずほフィナンシャルグループ(以下「当社」という。)に対し、以下のとおり業務改善命令を発出した。

Ⅰ.業務改善命令の内容

【みずほ銀行】(銀行法第26条第1項

  1.  当面のシステム更改及び更新等(顧客影響を生ずる機器の更改及び更新並びに保守作業を含む。以下同じ。)の計画について、これまでのシステム障害、システム更改及び更新等を行う必要性及び緊急性並びに銀行業務に及ぼすリスクを踏まえた、再検証及び見直しを行うこと。
  2.  上記1.により再検証及び見直しを行った上で実行すべきシステム更改及び更新等がある場合には、当該システム更改及び更新等に係る適切な管理態勢(障害発生時の顧客対応に係る態勢を含む。以下同じ。)を確保すること。
  3.  当面のシステム更改及び更新等の計画について、上記1.に基づく再検証及び見直しの結果並びに上記2.に基づく適切な管理態勢の確保のための計画を10月29日(金)まで(10月末までの計画については、10月6日(水)まで)に提出し、速やかに実行すること。なお、当該計画の変更又は追加等を行った場合には、速やかに追加報告を行うこと。


【みずほフィナンシャルグループ】(銀行法第52条の33第1項

  1.  当行によるシステム更改及び更新等の計画に係る再検証及び見直しの結果並びに適切な管理態勢の確保のための計画を検証すること。
  2.  上記1.の検証結果について、10月29日(金)までに提出すること。

 
Ⅱ.処分の理由

 【みずほ銀行

  1.  当行は、令和3年2月から9月の間に合計7回のシステム障害を発生させ、個人・法人の利用者に大きな影響を及ぼしている。これを受け、金融庁は検査において、当行及び当社のシステム面及びガバナンス面について全般的な検証を進めている。
  2.  一方、当行においては、今後、業務継続上必要なシステム更改及び更新等の実施が見込まれており、これらが新たなシステム障害の発生を招くことのないよう、システム更改及び更新等に係る適切な管理態勢を確保する必要があると認められる。


【みずほフィナンシャルグループ】

 当社においては、当行の銀行持株会社として、当行の行うシステム更改及び更新等に係る管理態勢の状況を適切に経営管理する必要があると認められる。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.16 みずほFG システム障害特別調査委員会の調査報告書

10年前の話...

・2011.05.21 みずほ銀行 システム障害特別調査委員会の調査報告書

・2011.03.29 金融庁 みずほ銀の事故の根本原因を検査

 

こちらは着服事例

・2006.01.15 銀行行員等による顧客預金の着服

 

 

| | Comments (0)

2021.09.22

NIST SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築

こんにちは、丸山満彦です。

NISTが、SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築を公表し、意見募集をしていますね。

ここでえられた意見を踏まえて、ドラフトを作成するようですね。。。

● NIST - ITL

・2021.09.21 SP 800-50 Rev. 1 (Draft) PRE-DRAFT Call for Comments: Building a Cybersecurity and Privacy Awareness and Training Program

 

SP 800-50 Rev. 1 (Draft) PRE-DRAFT Call for Comments: Building a Cybersecurity and Privacy Awareness and Training Program SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築
Announcement 発表
Cybersecurity awareness and training resources, methodologies, and requirements have evolved since NIST Special Publication (SP) 800-50, Building an Information Technology Security Awareness and Training Program, was published in 2003 and companion document NIST SP 800-16, Information Technology Security Training Requirements: a Role- and Performance-Based Model, was published in 1998 (a 3rd draft revision was released in 2014).  New guidance to inform this work comes from the National Defense Authorization Act (NDAA) for FY2021 and the Cybersecurity Enhancement Act of 2014; in addition, the 2016 update to OMB Circular A-130 emphasizes the role of both privacy and security in the federal information life cycle and requires agencies to have both security and privacy awareness and training programs. To ensure NIST stakeholders benefit from guidance informed by these updated resources, methodologies, and requirements, NIST plans to update SP 800-50 to include privacy, and potentially consolidate with SP 800-16. The new proposed title for SP 800-50 is Building a Cybersecurity and Privacy Awareness and Training Program. 2003年にNIST Special Publication (SP) 800-50「情報技術セキュリティの意識向上とトレーニングプログラムの構築」が発行され、関連文書であるNIST SP 800-16「情報技術セキュリティのトレーニング要件:役割とパフォーマンスに基づくモデル」が1998年に発行されて以来、サイバーセキュリティの認識とトレーニングのリソース、方法論、要件は進化してきました(2014年に第3次改訂版が発表されました)。 この作業に役立つ新たなガイダンスは、2021年度の国防権限法(NDAA)と2014年のサイバーセキュリティ強化法から得られたものです。さらに、2016年に更新されたOMB Circular A-130では、連邦情報のライフサイクルにおけるプライバシーとセキュリティの両方の役割が強調されており、各機関がセキュリティとプライバシーの両方の意識向上とトレーニングプログラムを持つことが求められています。NISTのステークホルダーが、これらの最新のリソース、方法論、要求事項を反映したガイダンスの恩恵を受けられるように、NISTはSP 800-50を更新してプライバシーを含め、SP 800-16と統合する可能性を計画しています。SP 800-50の新しいタイトル案は「サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築」です。
The public is invited to provide input by November 5, 2021, for consideration in the update. The list of topics below covers the major areas in which NIST is considering updates. Reviewers may respond to any or all topic areas as they choose. Reviewers may also provide other relevant comments unrelated to the specific topics below. 更新内容を検討するために、2021年11月5日までに一般からの意見を募集しています。以下のトピックのリストは、NISTが更新を検討している主な分野を網羅しています。レビュアーは、任意のトピック領域に回答することができます。また、以下のトピック以外にも、関連するコメントを寄せていただいても構いません。
1. Updated Security Awareness and Training Program Lifecycle: 1. セキュリティ教育・訓練プログラムのライフサイクルの更新
NIST proposes updating the descriptions of and terminology used for building a security awareness and training program to include the following elements. NIST seeks input on how to improve items A-E, including any elements that may be missing: NISTは、セキュリティ意識とトレーニングプログラムを構築するための説明と用語を更新し、以下の要素を含めることを提案する。NISTは、項目A~Eをどのように改善するか、欠けている可能性のある要素を含めて意見を求めている。
a. Identifying the organization’s awareness and training needs a. 組織の認識とトレーニングのニーズの特定
b. Planning and designing the awareness and training program b. 意識向上とトレーニングプログラムの計画と設計
c. Developing the awareness and training materials c. 意識向上とトレーニングの教材の開発
d. Implementing the program content d. プログラムの実施
e. Post-implementation assessment e. 実施後の評価
2. Incorporation of Privacy Awareness and Training Programs: 2. プライバシーに関する意識向上とトレーニングプログラムの組み込み
NIST proposes incorporating descriptions of and terminology used for building a privacy awareness and training program in parallel with a security awareness and training program. NIST seeks input on whether: NISTは、セキュリティ意識向上・研修プログラムと並行して、プライバシー意識向上・研修プログラムを構築するための説明や用語を取り入れることを提案しています。NISTは、以下の点について意見を求めています。
a. The process steps for building a security awareness and training program in item 1 above also accurately reflect the process steps for building a privacy awareness and training program. a. 上記項目1のセキュリティ意識向上とトレーニングプログラム構築のプロセスステップは、プライバシー意識向上とトレーニングプログラム構築のプロセスステップも正確に反映しています。
b. There are any training and awareness activities that are unique to privacy. b. プライバシーに特有のトレーニングや意識向上のための活動する。
c. There are key privacy training and awareness terminology and topics that should be addressed. c. プライバシーに関するトレーニングや意識向上のための主要な用語やトピックがあり、それらを取り扱うべきです。
3. Consolidation of SP 800-50 with SP 800-16: 3. SP 800-50とSP 800-16の統合
Originally, NIST SP 800-50 and NIST SP 800-16 operated as companion guidance documents. NIST proposes combining content from NIST SP 800-16 into NIST SP 800-50 and producing a single reference document to describe the fundamental elements necessary to develop a security and privacy awareness and training program. もともとNIST SP 800-50とNIST SP 800-16は付随するガイダンス文書として運用されていました。NISTは、NIST SP 800-16の内容をNIST SP 800-50に統合し、セキュリティとプライバシーに関する意識向上とトレーニングプログラムの開発に必要な基本要素を記述した単一の参考文書を作成することを提案します。
a.  Identify benefits or impacts of this proposed consolidation of guidance. a.  提案されているガイダンスの統合による利点や影響を明らかにすること。
b. Identify the content of NIST SP 800-50 and NIST SP 800-16 that you or your organization are using and how. b. NIST SP 800-50及びNIST SP 800-16のうち、あなた又はあなたの組織が使用している内容及び方法を特定すること。
c. Describe which aspects of NIST SP 800-50 and NIST SP 800-16 have been the most useful and why. c. NIST SP 800-50及びNIST SP 800-16のどの部分が最も有用であったか、またその理由を説明すること。
d. Describe which aspects of NIST SP 800-50 and NIST SP 800-16 have been the least useful and why. d. NIST SP 800-50及びNIST SP 800-16のどの部分が最も役に立たなかったか,そしてその理由を記述すること。
e. Share key concepts or topics that are missing from these publications, including what they are and why they merit special attention. e. これらの出版物に欠けている重要な概念やトピックを共有し、それらが何であるか、なぜ特別な注意を払う必要があるのかを含むこと。
General feedback is requested on: 一般的なフィードバックをお願いします。
1. The scope of NIST SP 800-50 and NIST SP 800-16. Please specify what the scope should be if the two are consolidated. 1. NIST SP 800-50 と NIST SP 800-16 のスコープについて。両者を統合した場合のスコープはどうあるべきか、具体的に教えてください。
2. The range of program areas and work roles included in the publications. 2. 出版物に含まれるプログラム領域と作業の役割の範囲。

3. Terminology, including descriptions of types of cybersecurity and privacy risks, threats, and technologies. 3. サイバーセキュリティとプライバシーに関するリスク、脅威、技術の種類の説明を含む用語。
4. Appropriateness of program development framework guidance for organizations of varying size and complexity. 4. 様々な規模と複雑さを持つ組織に対するプログラム開発フレームワークガイダンスの適切性。
5. The work role and responsibilities of those who manage the privacy and IT security awareness and training programs. With respect to security, explain if the NICE Framework Work Roles of Cyber Curriculum Developer or Cyber Instructor sufficiently capture the responsibilities.  5. プライバシー及びITセキュリティ意識向上・研修プログラムを管理する者の業務上の役割及び責任。セキュリティに関しては、NICEフレームワークの作業役割である「サイバーカリキュラム開発者」または「サイバーインストラクター」がその責任を十分に捉えているかどうかを説明すること。
6. Redundancy of material; or material now addressed by other NIST publications. 6. 資料の重複、または他の NIST 出版物で扱われている資料。
When providing comments, please be specific and include the rationale for any proposed additions or deletions of material. コメントを提出する際には、具体的に、提案された資料の追加や削除の根拠を含めてください。
Submitted comments, including attachments and other supporting materials, will become part of the public record and are subject to public disclosure. Personally-identifiable information (PII) and confidential business information should not be included (e.g., account numbers, Social Security numbers, names of other individuals). Comments that contain profanity, vulgarity, threats, or other inappropriate language will not be posted or considered. 提出されたコメントは、添付ファイルやその他の補足資料を含めて、パブリックレコードの一部となり、公開されることになります。個人を特定できる情報(PII)や企業の機密情報(口座番号、社会保障番号、他の個人の名前など)は記載しないでください。冒涜的な言葉、下品な言葉、脅迫的な言葉、その他の不適切な言葉を含むコメントは、投稿または検討されません。
An Initial Public Draft of the update, which will be published as SP 800-50 Revision 1, is scheduled for an early 2022 release. このアップデートの初期公開草案は、SP 800-50 Revision 1として発行され、2022年初頭にリリースされる予定です。

 

■ 関連文書

SP 800-50 Building an Information Technology Security Awareness and Training Program

SP 800-16 Information Technology Security Training Requirements: a Role- and Performance-Based Model

 

Nist_20210922094701

| | Comments (0)

NIST SP 1800-32 (ドラフト) 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティ

こんにちは、丸山満彦です。

NISTがSP 1800-32 (ドラフト) 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティを公表し、意見募集をしていますね。。。

2021.04.21に暫定ドラフトを出したものの更新版です。米国の電力環境を前提としていますので、日本では参考にならない部分も多いかもしれませんね。。。

課題の整理の仕方、対策の考え方といった部分は参考になると思います。。。

 

● NIST - ITL

・2021.09.21 SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources

 

SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources SP 1800-32 (ドラフト) 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティ
Announcement 発表内容
The use of small-scale distributed energy resources (DERs) is growing rapidly and transforming the power grid. In fact, a distribution utility may need to remotely communicate with thousands of DERs and other grid-edge devices—many of which are not owned by them.  Any attack that can deny, disrupt, or tamper with DER communications could prevent a utility from performing necessary control actions and could diminish grid resiliency. 小規模分散型エネルギー資源(DER)の利用は急速に拡大しており、電力網に変革をもたらしています。実際、配電事業者は、何千ものDERやその他のグリッドエッジデバイスと遠隔で通信する必要があるかもしれませんが、その多くは事業者が所有していません。 DER の通信を拒否、妨害、または改ざんするような攻撃を受けた場合、配電事業者は必要な制御を行うことができず、送電網の回復力が低下する可能性があります。
In this practice guide, the NCCoE applies standards, best practices, and commercially available technology to protect the digital communication, data, and control of cyber-physical grid-edge devices. The guide demonstrates an example solution for monitoring and detecting unusual behavior of connected industrial internet of things devices and building a comprehensive audit trail of trusted IIoT data flows. この実践ガイドでは、NCCoEが標準規格、ベストプラクティス、および市販の技術を適用して、サイバーフィジカルなグリッドエッジ機器のデジタル通信、データ、および制御を保護します。このガイドでは、接続された産業用IoTデバイスの異常な動作を監視・検出し、信頼できるIIoTデータフローの包括的な監査証跡を構築するためのソリューションの例を示しています。
Abstract 概要
The Industrial Internet of Things (IIoT) refers to the application of instrumentation and connected sensors and other devices to machinery and vehicles in the transport, energy, and other critical infrastructure sectors. In the energy sector, distributed energy resources (DERs) such as solar photovoltaics including sensors, data transfer and communications systems, instruments, and other commercially available devices that are networked together. DERs introduce information exchanges between a utility’s distribution control system and the DERs to manage the flow of energy in the distribution grid. 産業用IoT(IIoT)とは、輸送、エネルギー、およびその他の重要なインフラ分野の機械や車両に、計測器や接続されたセンサーなどのデバイスを適用することを指します。エネルギー分野では、太陽光発電などの分散型エネルギー資源(DER)に、センサー、データ転送・通信システム、計測器、その他の市販の機器がネットワーク接続されています。DERは、配電網におけるエネルギーの流れを管理するために、電力会社の配電制御システムとDERの間で情報交換を行います。
This practice guide explores how information exchanges among commercial- and utility-scale DERs and electric distribution grid operations can be monitored and protected from certain cybersecurity threats and vulnerabilities. この実践ガイドでは、商業規模および公益事業規模のDERと配電網運用との間の情報交換をどのように監視し、特定のサイバーセキュリティの脅威や脆弱性から保護するかを検討しています。
The NCCoE built a reference architecture using commercially available products to show organizations how several cybersecurity capabilities, including communications and data integrity, malware detection, network monitoring, authentication and access control, and cloud-based analysis and visualization can be applied to protect distributed end points and reduce the IIoT attack surface for DERs. NCCoEは、市販の製品を使用してリファレンス・アーキテクチャを構築し、通信とデータの整合性、マルウェアの検出、ネットワークの監視、認証とアクセス制御、クラウドベースの分析と可視化など、いくつかのサイバーセキュリティ機能を適用して分散型エンドポイントを保護し、DERのIIoT攻撃対象を削減する方法を組織に示しました。

 

・[PDF] Draft SP 1800-32

20210922-55453

Executive Summary エグゼクティブサマリー
Protecting Industrial Internet of Things (IIoT) devices at the grid edge is arguably one of the more difficult tasks in cybersecurity. There is a wide variety of devices, many of which are deployed and operate in a highly specific manner. Their connectivity, the conduit through which they can become vulnerable, represents a growing cyber threat to the distribution grid. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, best practices, and commercially available technology to protect the digital communication, data, and control of cyber-physical grid-edge devices. We demonstrate how to monitor and detect unusual behavior of connected IIoT devices and build a comprehensive audit trail of trusted IIoT data flows. グリッドエッジにある産業用IoT(IIoT)デバイスを保護することは、サイバーセキュリティの中でも最も困難な作業の一つであることは間違いありません。デバイスには様々な種類があり、その多くは非常に特殊な方法で配置され、動作しています。これらの機器が脆弱になるきっかけとなる接続性は、配電網にとって増大するサイバー脅威となっています。この実践ガイドでは、NCCoE(National Cybersecurity Center of Excellence)が、標準規格、ベストプラクティス、および市販の技術を適用して、サイバーフィジカルなグリッドエッジ機器のデジタル通信、データ、制御を保護します。接続されているIIoT機器の異常な動作を監視・検出し、信頼できるIIoTデータフローの包括的な監査証跡を構築する方法を紹介しています。

 

■ 参考

SP 1800-32 (Draft) Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources (Preliminary Draft)

● NIST -NNCoE

・2021.04.22 NCCoE Releases Draft Guide on Securing the Industrial Internet of Things

Example Solution Addresses Cybersecurity Challenges for Distributed Energy Resources

Securing the Industrial Internet of Things

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.23 NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(暫定ドラフト)

 

| | Comments (0)

英国 ICO(データ保護局)がデータフローに関するG7会議を開催した理由

こんにちは、丸山満彦です。

2021.09.07-08にかけてデータ保護局(ICO)が、G7諸国のデータ保護およびプライバシー当局、ならびに経済協力開発機構(OECD)および世界経済フォーラム(WEF)のゲストを集めて、情報の共有に関する議論を行ったわけですが、主催国である英国のデータ保護局長官が、データフローに関するG7会議を開催したのか、発言していますね。。。

U.K. Information Commissioner's Office

・2020.09.20 International progress for domestic benefit: why the ICO convened a G7 meeting on data flows

International progress for domestic benefit: why the ICO convened a G7 meeting on data flows 国内の利益のための国際的進展:ICOがデータフローに関するG7会議を開催した理由
The free flow of data between countries is crucial for UK businesses. It enables international trade, opens up backroom efficiencies like cloud services, and accelerates data-driven innovation. 国家間のデータの自由な流れは、英国企業にとって極めて重要です。国際貿易を可能にし、クラウドサービスなどのバックルームの効率性を高め、データ主導のイノベーションを加速させます。
That importance is recognised in ‘data free flows with trust’ being a focus at recent G20 and G7 meetings. この重要性は、最近のG20やG7の会合で「信頼できるデータの自由な流れ」が重視されていることからも認識されています。
As a regulator, my office plays an important role in the trust aspect of that ambition. We oversee the checks and balances that reassure people their data is protected, and that new data-driven products and business models can be trusted. 規制当局である私たちは、この強い目標についての信頼面で重要な役割を果たしています。私たちは、人々にデータが守られていることを確信させ、新しいデータ駆動型の製品やビジネスモデルが信頼できるものであることを保証するためのチェックアンドバランスを監督しています。
It is important we take an international view on this work. Firstly, in our borderless digital world, the protections we offer people here in the UK rely on international cooperation – the data people share through phone apps or online can travel round the world in moments. Secondly, businesses benefit from the more consistent approach to international regulation of common issues that cooperation brings. And finally, some of the challenges my office faces are too large to overcome alone. この業務には、国際的な視野を持つことが重要です。第一に、国境のないデジタル世界では、英国の人々に提供する保護は、国際的な協力に依存しています。携帯電話のアプリやオンラインで人々が共有するデータは、一瞬にして世界を駆け巡ります。第二に、企業にとっては、国際協力によって共通の課題に対してより一貫したアプローチで国際的な規制を行えるというメリットがあります。そして最後に、私たち当局が直面している課題の中には、私たち当局だけで克服するには大きすぎるものもあります。
It was with this focus on international collaboration for practical benefit that I convened a meeting of my G7 counterparts earlier this month, organised as part of the digital and technology track that forms part of the UK’s presidency of G7 this year. We wanted to consider how we could better work together to enable data free flow with people’s trust. 今月初め、私は実用的な利益のための国際協力に焦点を当てて、G7のカウンターパートとの会合を開催しました。私たちは、人々の信頼を得てデータの自由な流通を可能にするために、どのように協力していけばよいかを考えました。
Over the course of two days, we discussed seven topics, covering specific uses of data, like AI and cookies; how privacy overlaps with competition and national security; and regulatory aspects like enforcement, deterrents and the impact of the pandemic. 2日間にわたり、AIやCookieなどのデータの具体的な利用方法、プライバシーが競争や国家安全保障とどのように重なるのか、また、強制力や抑止力、パンデミックの影響といった規制面など、7つの話題について議論しました。
Throughout, our focus was on where we could commit to making progress that would have a positive impact domestically, both on the organisations we regulate, and the people whose rights we protect. 私たちは、規制対象となる組織と、その権利を守る人々の両方に対して、国内でポジティブな影響を与えるような進展を約束できるところに焦点を当てました。
Our work around cookies is a good example. As I said ahead of the meeting, people’s privacy needs to be meaningfully protected. Where people grow tired of having to engage with so many cookie pop-ups, there is a risk they then give more personal data that they would like. And the system is far from ideal for organisations running websites too. But with nearly two billion websites around the world, no single country can tackle this issue alone. Cookieに関する取り組みはその好例です。会議の前にも申し上げましたが、人々のプライバシーは有意義に保護される必要があります。多くのCookieのポップアップに人々がうんざりしている場合、人々が望む以上の個人情報を提供してしまう危険性があります。また、ウェブサイトを運営している企業にとっても、このシステムは理想的とはいえません。しかし、世界には約20億ものウェブサイトがあり、一国だけでこの問題に取り組むことはできません。
At our meeting, the G7 data protection and privacy authorities committed to working together with tech firms, standards bodies, designers, civil society and of course users, to find better ways to secure informed and meaningful consent online. Our initial planning on this work is underway, and will lead to us examining the role of web browsers, software applications and device settings in enabling people to set and update their privacy preferences. 今回の会合で、G7のデータ保護およびプライバシーに関する当局は、技術企業、標準化団体、デザイナー、市民社会、そしてもちろんユーザーと協力して、オンライン上でインフォームドコンセントと意味のある同意を確保するためのより良い方法を見つけることを約束しました。この作業の初期計画は現在進行中で、人々がプライバシーに関する好みを設定・更新できるようにするためのウェブブラウザ、ソフトウェアアプリケーション、デバイス設定の役割を検討することになっています。
Cookies are just one example of where progress was made, and further details on all of the agreed outcomes, as well as a summary of the topics discussed, can be found in the communique. Cookieは、進展が見られた一例です。合意されたすべての成果の詳細および議論されたトピックの概要は、コミュニケに記載されています。
This is timely and important work. The government today reiterated its vision of data flows, supported by high standards for personal data protection, as a key enabler of international trade. My office’s work supports that vision, from working with G7 colleagues, to chairing the Global Privacy Assembly, to providing advice and support to the Department for International Trade. これはタイムリーで重要な仕事です。政府は本日、個人情報保護の高い基準に支えられたデータの流れが、国際貿易の重要な実現手段であるというビジョンを繰り返し表明しました。私の事務所の活動は、G7の同僚との協力、Global Privacy Assemblyの議長、国際貿易省への助言と支援など、このビジョンを支えるものです」。

 

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.17 G7データ保護・プライバシー機関ラウンドテーブル 2021.09

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

 

 

| | Comments (0)

2021.09.21

国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

こんにちは、丸山満彦です。

米国連邦政府の国務省のOIGがセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要という報告書を公開していますね。。。

内容の不備というよりも、プロセス管理の不備というところですかね。。。

 

U.S. Department of State  - Office of Inspector General

・2021.09.17 [PDF] Management Assistance Report: Process To Report Department of State Security Clearance Data to the Office of the Director of National Intelligence Needs Improvement

20210921-54556

 

Summary of Review   レビューの概要  
During an Audit of the Integrity and Use of Security Clearance Data Reported to the Office of the Director of National Intelligence (ODNI), which is ongoing and being conducted jointly with the Inspector General of the Intelligence Community, the Office of Inspector General (OIG) identified deficiencies in the Department of State’s (Department) reporting of security clearance data to ODNI.[1] The reporting of security clearance data is required by the Intelligence Authorization Act for FY 2010, codified at 50 U.S. Code § 3104, and the National Defense Authorization Act for FY 2018, codified at 10 U.S. Code § 1564 note.[2] To comply with the legislation, ODNI requires each Intelligence Community element to submit quarterly and annual assessments of Timeliness Data and National Security Metrics.[3]  国家情報長官室(ODNI)に報告されたセキュリティ・クリアランス・データの整合性と利用に関する監査(現在進行中で、情報コミュニティの監察官と共同で実施されている)において、監察官室(OIG)は、国務省(Department)のODNIへのセキュリティ・クリアランス・データの報告に不備があることを確認しました。[1]セキュリティクリアランスデータの報告は、50 U.S. Code § 3104で成文化されている2010年度の情報認可法と、10 U.S. Code § 1564注で成文化されている2018年度の国防認可法によって求められています。[2]この法律を遵守するために、ODNIは各情報コミュニティの要素に、「適時性データ」と「国家安全保障指標」の四半期および年次評価を提出するよう求めています。 [3]
The Timeliness Data reporting requirement is meant to identify the processing time of personnel security clearances at each phase of the process (initiation, investigation, and adjudication), by clearance level, for both initial investigations and periodic reinvestigations during the prior fiscal year for Government and contractor employees. The National Security Metrics reporting requirements include, among other things, identifying the timeliness for each phase of the security clearance process; number of completed or pending cases that took longer than 1 year; number of individuals enrolled in continuous evaluation; adjudicative reporting requirements for denied, revoked, and appealed cases; and reciprocity reporting requirements. Once ODNI collects the information from each agency, it prepares an annual report to Congress, in accordance with the Intelligence Authorization Act for FY 2010, codified at 50 U.S. Code § 3104, and the National Defense Authorization Act for FY 2018, codified at 10 U.S. Code § 1564 note. The Bureau of Diplomatic Security (DS) is responsible for the Department’s security clearance investigations.  適時性データの報告要件は、前年の会計年度において、政府および請負業者の従業員を対象とした初回調査と定期的な再調査の両方について、クリアランスレベル別に、プロセスの各段階(開始、調査、裁定)における人員のセキュリティクリアランスの処理時間を特定することを目的としています。国家安全保障指標の報告要件には、特に、セキュリティ・クリアランス・プロセスの各段階における適時性の特定、1年以上かかった完了または保留案件の数、継続的評価に登録された個人の数、拒否された案件、取り消された案件、上訴された案件の裁定報告要件、および互恵的報告要件が含まれます。ODNIは、各機関から情報を収集すると、50 U.S.コード§3104で成文化されている2010年度の情報認可法と、10 U.S.コード§1564注で成文化されている2018年度の国防認可法に基づいて、議会への年次報告書を作成します。外交安全局(DS)は、本省のセキュリティクリアランス調査を担当しています。 
OIG found that the Department’s methodology for collecting and reporting FY 2019 quarterly and annual Timeliness Data and National Security Metrics did not meet ODNI requirements. Specifically, to report Timeliness Data, OIG found that DS collected a random sample of security clearance cases for the quarter and reported the average for each quarterly submission to ODNI for the initiation phase, which is not reflective of the true timeframe for completing the initiation phase for all security clearances because it involves an average timeframe of the sample of cases selected. With respect to the National Security Metrics, OIG found that in FY 2019, DS did not submit the required quarterly reporting to ODNI because the process to provide all of the information on a quarterly basis was considered too cumbersome due to the manual nature of collecting and organizing the data. OIG also found that of the two reporting requirements (Timeliness Data and National Security Metrics), DS had outdated standard operating procedures to guide the collection and reporting process for Timeliness Data and had not developed standard operating procedures for collecting and reporting National Security Metrics. Moreover, DS told OIG that there was only one official responsible for collecting and reporting security clearance data to ODNI.  OIGは、2019年度の四半期および年次の「適時性データ」と「国家安全保障指標」を収集・報告するための省の手法がODNIの要件を満たしていないことを発見しました。具体的には、適時性データを報告するために、OIGは、DSが四半期のセキュリティクリアランス事例の無作為なサンプルを収集し、ODNIに提出した各四半期の開始段階の平均値を報告していることを発見しましたが、これは選択した事例のサンプルの平均的な時間枠を含むため、すべてのセキュリティクリアランスの開始段階を完了するための真の時間枠を反映していません。国家安全保障指標に関して、OIGは、2019年度、DSがODNIに必要な四半期報告書を提出しなかったことを明らかにしました。その理由は、四半期ごとにすべての情報を提供するプロセスは、データの収集と整理が手作業であるため、あまりにも煩雑であると考えられたからです。またOIGは、2つの報告要件(適時性データと国家安全保障指標)のうち、DSは適時性データの収集と報告プロセスを示す標準作業手順書が古く、国家安全保障指標の収集と報告のための標準作業手順書を作成していないことを発見しました。さらに、DSはOIGに対し、セキュリティクリアランスデータの収集とODNIへの報告を担当する職員は1人しかいないと述べました。 
The FY 2019 reporting deficiencies occurred, in part, because the case management system DS used to maintain all of the Department’s security clearance data in FY 2019 did not have the capability to produce the exact data required for ODNI reporting. For example, the case management system used in FY 2019 could not connect to and extract the initiation phase timeframe data that were maintained on a separate IT system. As a result, DS selected a random sample of security clearance cases for the quarter and reported the average for each quarterly submission to ODNI. However, this methodology is not reflective of the true timeframe for completing the initiation phase for all security clearances because it involves a random sample. Consequently, OIG was unable to recreate the data that DS reported to ODNI for FY 2019 to verify that the information submitted was accurate. It is important to note that the limitations of the case management system used in FY 2019 were recently addressed. Specifically, in January 2021, DS implemented a new case management system that can directly connect to and access the initiation phase data to complete the Timeliness Data reporting requirements. However, OIG found that additional system modifications to the new case management system are needed to fully meet ODNI reporting requirements for the National Security Metrics.   2019年度の報告の不備は、2019年度に部局のすべてのセキュリティクリアランスデータを維持するために使用したケース管理システムDSが、ODNIの報告に必要な正確なデータを作成する機能を持たなかったことが原因のひとつです。例えば、2019年度に使用した案件管理システムは、別のITシステムで管理されていた開始段階の時間枠データに接続して抽出することができませんでした。その結果、DSは四半期のセキュリティクリアランス案件をランダムに選択し、ODNIへの各四半期の提出物の平均値を報告しました。しかし、この方法は無作為のサンプルを用いているため、すべてのセキュリティ・クリアランスの開始段階を完了するための真の時間枠を反映していません。その結果、OIGは、DSが2019年度にODNIに報告したデータを再現して、提出された情報が正確であることを確認することができませんでした。なお、2019年度に使用された症例管理システムの限界は、最近になって対処されたことが重要です。具体的には、DSは2021年1月に、開始段階のデータに直接接続してアクセスできる新しいケース管理システムを導入し、適時性データの報告要件を完了させた。しかし、OIGは、国家安全保障指標に関するODNIの報告要件を完全に満たすためには、新しい症例管理システムに対する追加のシステム修正が必要であることを発見しました。  
Until DS makes the necessary modifications to the case management system to respond to all reporting requirements, establishes requisite internal controls to guide the reporting process to ODNI, and adequately resources the process with staff and supervisory support to fulfill the reporting requirements, the Department will not have assurance that the data reported to ODNI, and subsequently to Congress, are accurate and reliable. OIG therefore made three recommendations to address the deficiencies identified in this report. On the basis of DS’s response to a draft of this report, OIG considers all three recommendations resolved, pending further action. A synopsis of DS’s comments on the recommendations offered and OIG’s reply follow each recommendation in the Results section of this report. DS’s response to a draft of this report is reprinted in its entirety in Appendix A.  DSがすべての報告要件に対応するために事例管理システムに必要な変更を加え、ODNIへの報告プロセスを導くために必要な内部統制を確立し、報告要件を満たすためにスタッフと監督者のサポートでプロセスを適切に支援するまでは、DSはODNIに報告されたデータ、続いて議会に報告されたデータが正確で信頼できるものであることを保証できません。そこでOIGは、本報告書で指摘された欠陥に対処するため、3つの提言を行った。本報告書の草稿に対するDSの回答に基づき、OIGは3つの勧告すべてが解決され、今後の対応が保留されていると考えています。提言に対するDSのコメントとOIGの回答の概要は、本報告書の「結果」セクションの各提言の後に記載されています。本報告書の草稿に対するDSの回答は、その全文を附属書Aに掲載しています。
[1] The objectives of the ongoing audit are to determine whether: (1) Intelligence Community elements accurately capture, document, and report required security clearance processing timeliness information; (2) Intelligence Community elements calculate processing timeliness in a consistent manner; (3) the Security Executive Agent accurately compiles and reports data provided by Intelligence Community elements, as required; and (4) the Security Executive Agent uses Timeliness Data to address the security clearance backlog and inform security clearance-related policy decisions. This audit is currently delayed as a result of the COVID-19 pandemic.  [1] 現在行われている監査の目的は、以下の点を確認することです。(1) 情報コミュニティの要素が、必要なセキュリティ・クリアランス処理の適時性情報を正確に把握し、文書化し、報告しているか、(2) 情報コミュニティの要素が、一貫した方法で処理の適時性を計算しているか、(3) セキュリティ担当執行官が、情報コミュニティの要素から提供されたデータを必要に応じて正確に集計し、報告しているか、(4) セキュリティ担当執行官が、適時性データを、セキュリティ・クリアランスのバックログに対処し、セキュリティ・クリアランス関連の政策決定に役立てているか、を判断することを目的としている。この監査は、COVID-19 パンデミックの結果、現在延期されている。 
[2] See 10 U.S. Code § 1564 note, Background and Security Investigations for Department of Defense Personnel, (k)(1).   [2] 10 U.S. Code § 1564 note, 背景 and Security Investigations for Department of Defense Personnel, (k)(1)を参照。  
[3] ODNI developed its reporting requirements based on the data reported to Congress as detailed in 50 U.S. Code  § 3104 and 10 U.S. Code § 1564 note, Background and Security Investigations for Department of Defense Personnel.  [3] ODNIは、50 U.S.コード§3104と10 U.S.コード§1564注「国防省職員の身元調査とセキュリティ調査」で詳述されているように、議会に報告されたデータに基づいて、その報告要件を作成した。 

 

 

・仮訳 [DOCX]

| | Comments (0)

2021.09.20

米国 SEC長官の上院での証言(2) 投資家はサイバーセキュリティに関する情報を企業に求めている

こんにちは、丸山満彦です。

SECの長官が上院で証言していますが、その中にサイバーセキュリティに関する投資の開示に関する話がありました。。。

 

U.S. Securities and Exchange Commission: SEC - Testimony

・2021.09.14. Testimony Before the United States Senate Committee on Banking, Housing, and Urban Affairs

 

Issuers and Issuer Disclosure 発行体と発行体情報開示
The third theme relates to issuers and issuer disclosure. 3つ目のテーマは、発行者と発行者の情報開示に関するものです。
Disclosures 開示
Since the 1930s, when Franklin Delano Roosevelt and Congress worked together to reform the securities markets, there’s been a basic bargain in our capital markets: investors get to decide what risks they wish to take. Companies that are raising money from the public have an obligation to share information with investors on a regular basis. フランクリン・デラノ・ルーズベルトと議会が協力して証券市場を改革した1930年代から、資本市場には、投資家がどのようなリスクを取りたいかを決定するという基本的な取引が存在しています。公的機関から資金を調達している企業は、定期的に投資家と情報を共有する義務があります。
Those disclosures changes over time. Over the years, we’ve added disclosure requirements related to management discussion and analysis, risk factors, executive compensation, and much more. 情報開示の内容は時とともに変化します。これまでに、マネジメントディスカッション&アナリシス (MD&A) 、リスクファクター、役員報酬など、さまざまな開示項目が追加されてきました。
Today’s investors are looking for consistent, comparable, and decision-useful disclosures around climate risk, human capital, and cybersecurity. I’ve asked staff to develop proposals for the Commission’s consideration on these potential disclosures. These proposals will be informed by economic analysis and will be put out to public comment, so that we can have robust public discussion as to what information matters most to investors in these areas. 今日の投資家は、気候変動リスク、人的資本、サイバーセキュリティについて、一貫性があり、比較可能で、意思決定に役立つ情報を求めています。私は、これらの潜在的な情報開示について、委員会が検討するための提案を作成するようスタッフに求めました。これらの提案は、経済分析に基づいて作成され、パブリックコメントに付されます。そうすることで、これらの分野で投資家にとって最も重要な情報は何かについて、しっかりとした議論を行うことができます。
Companies and investors alike would benefit from clear rules of the road. I believe the SEC should step in when there’s this level of demand for information relevant to investors’ investment decisions. 明確なルールがあれば、企業にも投資家にもメリットがあります。私は、投資家の投資判断に関連する情報がこれほど求められているのであれば、SECが介入すべきだと考えています。

 

Sec_20210920060901

 

まるちゃんの情報セキュリティ気まぐれ日記

SEC方針関係

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

| | Comments (0)

米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

こんにちは、丸山満彦です。

SECの長官が上院で証言していますが、その中に暗号資産に関する話がありました。。。

 

U.S. Securities and Exchange Commission: SEC - Testimony

・2021.09.14. Testimony Before the United States Senate Committee on Banking, Housing, and Urban Affairs

 

 

Market Structure
市場構造
Crypto Assets Market 暗号資産市場
Next, I’ll turn to a newer market structure issue: crypto assets. 次に、新たな市場構造の問題として、暗号資産を取り上げます。
Right now, large parts of the field of crypto are sitting astride of — not operating within — regulatory frameworks that protect investors and consumers, guard against illicit activity, and ensure for financial stability. 現在、暗号の分野の大部分は、投資家や消費者を保護し、不正行為を防止し、金融の安定性を確保するための規制の枠組みの中ではなく、その上に乗っかっている状態です。
Currently, we just don’t have enough investor protection in crypto finance, issuance, trading, or lending. Frankly, at this time, it’s more like the Wild West or the old world of “buyer beware” that existed before the securities laws were enacted. This asset class is rife with fraud, scams, and abuse in certain applications. We can do better. 現在、暗号金融、発行、取引、貸付において、投資家の保護は十分ではありません。率直に言って、現時点では、西部開拓時代や、証券取引法が制定される前に存在していた古い「buyer beware(買う奴が気をつけろ)」の世界のようなものです。この資産クラスには、詐欺や不正行為が蔓延しており、特定の用途では乱用されています。私たちはもっとうまくやれるはずです。
I have asked SEC staff, working with our fellow regulators, to work along two tracks: 私は、SECのスタッフに、他の規制当局と協力して、2つのトラックに沿って作業するように求めました。
One, how can we work with other financial regulators under current authorities to best bring investor protection to these markets? 1つは、現在の権限で他の金融規制当局と協力して、これらの市場に投資家保護をもたらすためにはどうすればよいか。
Two, what gaps are there that, with Congress’s assistance, we might fill? 2つ目は、議会の協力を得て、どのようなギャップを埋めることができるかということです。
At the SEC, we have a number of projects that cross over both tracks: SECでは、この2つの観点からいくつかのプロジェクトを進めています。
・The offer and sale of crypto tokens ・暗号トークンの提供と販売
・Crypto trading and lending platforms ・暗号取引および貸付プラットフォーム
・Stable value coins ・安定した価値のあるコイン
・Investment vehicles providing exposure to crypto assets or crypto derivatives ・暗号資産または暗号デリバティブへのエクスポージャーを提供する投資ビークル
・Custody of crypto assets ・暗号資産のカストディ
With respect to investor protection, we’re working with our sibling agency, the CFTC, as our two agencies each have relevant, and in some cases, overlapping jurisdiction in the crypto markets. With respect to a broader set of policy frameworks, we’re working with not only the CFTC, but also the Federal Reserve, Department of Treasury, Office of the Comptroller of the Currency, and other members of the President’s Working Group on Financial Markets on these matters.[11] 投資家保護に関しては、兄弟機関であるCFTC(商品先物取引委員会)と協力しています。これは、2つの機関がそれぞれ暗号市場に関連する管轄権を有しており、場合によっては重複する管轄権もあるためです。より広範な政策フレームワークに関しては、CFTCだけでなく、連邦準備制度理事会、財務省、通貨監督庁、その他の金融市場に関する大統領のワーキンググループのメンバーとも協力しています[11]。
Further, I’ve suggested that platforms and projects come in and talk to us. Many platforms have dozens or hundreds of tokens on them. While each token’s legal status depends on its own facts and circumstances, the probability is quite remote that, with 50, 100, or 1,000 tokens, any given platform has zero securities. Make no mistake: To the extent that there are securities on these trading platforms, under our laws they have to register with the Commission unless they qualify for an exemption. さらに、私は、プラットフォームやプロジェクトが私たちと話し合うことを提案してきました。多くのプラットフォームには、何十、何百ものトークンが存在します。各トークンの法的地位はそれぞれの事実と状況に依存しますが、50、100、1,000のトークンを持っていても、あるプラットフォームがゼロの証券を持っている可能性は極めて低いと言えます。勘違いしないでください。これらの取引プラットフォームに証券が存在する限り、わが国の法律では、免除の資格がない限り、委員会に登録しなければなりません。
I am technology-neutral. I think that this technology has been and can continue to be a catalyst for change, but technologies don’t last long if they stay outside of the regulatory framework. I believe that the SEC, working with the CFTC and others, can stand up more robust oversight and investor protection around the field of crypto finance. 私はテクノロジーには中立です。テクノロジーはこれまでも、そしてこれからも変化のきっかけになると思いますが、テクノロジーは規制の枠外にあると長続きしません。SECはCFTCなどと協力して、暗号金融の分野でより強固な監視と投資家保護を行うことができると信じています。
... ...
[11] See “Readout of the Meeting of the President’s Working Group on Financial Markets to Discuss Stablecoins” (July 19, 2021), available at [web] [11] ステーブルコインを議論する「金融市場に関する大統領のワーキンググループ」会合の議事録 (2021.07.19) を参照 
[web].

 

Sec_20210920060901

ちなみに、日本の法的枠組みは資金決済に関する法律に規定されていますね。。。

● e-Gov - 資金決済に関する法律


【資金決済に関する法律(資金決済法)】
(定義)
第二条
この法律において「暗号資産交換業」とは、次に掲げる行為のいずれかを業として行うことをいい、「暗号資産の交換等」とは、第一号及び第二号に掲げる行為をいい、「暗号資産の管理」とは、第四号に掲げる行為をいう。
 暗号資産の売買又は他の暗号資産との交換
 前号に掲げる行為の媒介、取次ぎ又は代理
 その行う前二号に掲げる行為に関して、利用者の金銭の管理をすること。
 他人のために暗号資産の管理をすること(当該管理を業として行うことにつき他の法律に特別の規定のある場合を除く。)。

 

第4号はいわゆるカストディ業務ですね。。。

金融庁 

・[PDF] 暗号資産事務ガイドライン

 


 

Market Structure 市場構造
Treasury Market 財務省市場
Non-Treasury Fixed Income Market 財務省以外の債券市場
Equity Market 株式市場
Security-Based Swaps セキュリティベースドスワップ
Crypto Assets Market 暗号資産市場
Predictive Data Analytics 予測型データ分析
Issuers and Issuer Disclosure 発行体と発行体情報開示
Disclosures 開示
Special Purpose Acquisition Companies, China, and 10b5-1 Plans 特別目的買収会社、中国、10b5-1プラン
Funds and Investment Management ファンドと投資管理
Enforcement and Examinations 取締りと審査
Conclusion まとめ

 


 

まるちゃんの情報セキュリティ気まぐれ日記

SEC方針関係

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 

----- <2021.09.25 追記> -----

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

-----

暗号資産関係

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.08.12 米国のSECはサイバー関連の専門家を年収1600万円−2800万円で募集中

・2021.07.17 米国 連邦政府国務省 国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供についての報奨(最高約11億円

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.02.11 NIST NISTIR 8301 Blockchain Networks: Token Design and Management Overview(ブロックチェーンネットワーク:トークンのデザインと管理の概要)

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2021.01.26 JC3 Forum 2021 - サイバー犯罪の特定・軽減・無効化 (2021.03.12午後)

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2020.12.30 US OIG によるFBIのダークウェブの利用に関する監査 at 2020.12.17

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.10 NYDFS - Twitter Investigation Report ニューヨーク州金融サービス局 ツイッター調査報告書 @2020.10.14

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.09.18 欧州議会 暗号資産のリスクに関する報告書を発表、サイバー耐性とプライバシーを重要な関心事として強調

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.06.15 日本銀行金融研究所 暗号資産とブロックチェーンの安全性の現状と課題 by 松尾真一郎

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

 

| | Comments (0)

2021.09.19

NISTIR 8360 アクセス制御ポリシー検証のための機械学習

こんにちは、丸山満彦です。

NISTが、アクセス制御ポリシー検証のための機械学習についての報告書を公開していますね。。。

興味深い内容です。

● NIST -ITL

・2021.09.16 NISTIR 8360 Machine Learning for Access Control Policy Verification

・[PDF]  NISTIR 8360 (DOI)

20210919-11443

 

Abstract 概要
Access control policy verification ensures that there are no faults within the policy that leak or block access privileges. As a software test, access control policy verification relies on methods such as model proof, data structure, system simulation, and test oracle to verify that the policy logic functions as expected. However, these methods have capability and performance issues related to inaccuracy and complexity limited by applied technologies. For instance, model proof, test oracle, and data structure methods initially assume that the policy under verification is faultless unless the policy model cannot hold for test cases. Thus, the challenge of the method is to compose test cases that can comprehensively discover all faults. Alternatively, a system simulation method requires translating the policy to a simulated system. The translation between systems may be difficult or impractical to implement if the policy logic is complicated or the number of policy rules is large. To answer these challenges, this internal report (IR) proposes
an efficient and straightforward method for access control policy verification by applying a classification algorithm of machine learning, which does not require comprehensive test cases, oracle, or system translation but rather checks the logic of policy rules directly, making it more efficient and feasible compared to traditional methods.

アクセス制御ポリシーの検証では、アクセス権限を漏らしたり遮断したりするような欠陥がポリシー内にないことを確認します。アクセス制御ポリシーの検証は,ソフトウェアテストとして,モデル証明,データ構造,システムシミュレーション,テストオラクルなどの手法を用いて,ポリシーの論理が期待通りに機能することを確認します。しかし、これらの手法には、不正確さや複雑さなど、応用技術によって制限される能力や性能の問題があります。例えば,モデル証明,テストオラクル,データ構造の手法は,テストケースに対してポリシーモデルが成立しない場合を除き,検証対象のポリシーが故障しないことを最初に仮定します。そのため、すべての欠陥を包括的に発見できるテストケースを構成することが、この手法の課題となります。あるいは、システムシミュレーション手法では、ポリシーをシミュレーションされたシステムに翻訳する必要があります。ポリシーの論理が複雑であったり、ポリシールールの数が多い場合には、システム間の変換が困難であったり、現実的でない場合があります。このような課題に応えるため、本IRでは、機械学習の分類アルゴリズムを適用することで、包括的なテストケースやオラクル、システムの翻訳を必要とせず、ポリシールールの論理を直接チェックすることで、従来の手法に比べて効率的で実現性の高いアクセス制御ポリシーの検証手法を提案しています。

 

Executive Summary  要旨 
Access control policy verification ensures that there are no faults within the policy that leak or block access privileges. As a software test, access control policy verification relies on methods such as model proof, data structure, system simulation, and test oracle to verify that the policy logic functions as expected. However, these methods have capability and performance issues related to inaccuracy and complexity limited by applied technologies. For instance, model proof, test oracle, and data structure methods initially assume that the policy under verification is faultless unless the policy model cannot hold for test cases. Thus, the challenge of the method is to compose test cases that can comprehensively discover all faults. Alternatively, a system simulation method requires translating the policy to a simulated system. The translation between systems may be difficult or impractical to implement if the policy logic is complicated or the number of policy rules is large.   アクセス制御ポリシーの検証では、アクセス権限を漏らしたり遮断したりするような欠陥がポリシー内にないことを確認します。ソフトウェアテストとしてのアクセス制御ポリシー検証は,ポリシーロジックが期待通りに機能することを検証するために,モデル証明,データ構造,システムシミュレーション,テストオラクルなどの手法に依存しています。しかし、これらの手法には、不正確さや複雑さなど、応用技術によって制限される能力や性能の問題があります。例えば,モデル証明,テストオラクル,データ構造の手法は,テストケースに対してポリシーモデルが成立しない場合を除き,検証対象のポリシーが故障しないことを最初に仮定します。そのため、すべての欠陥を包括的に発見できるテストケースを構成することが、この手法の課題となります。一方、システムシミュレーション手法では、ポリシーをシミュレーションされたシステムに翻訳する必要があります。ポリシーの論理が複雑であったり,ポリシールールの数が多かったりすると,システム間の変換が困難であったり,現実的でなかったりします。 
To answer these challenges, this report proposes an efficient and straightforward method for access control policy verification by applying a classification algorithm of machine learning, which does not require comprehensive test cases, oracle, or system translation but rather checks the logic of policy rules directly, making it more efficient and feasible compared to traditional methods. This report demonstrates an experiment for the proposed method with an example that uses current available machine learning tools to facilitate the random forest classification algorithm. The result illustrates its capabilities as well as parameter settings for performing the verification steps. Ultimately, three general applications are provided: enhancement of existing verification methods, verification of access control policies with numerical attributes, and policy enforcement that can be supported by the proposed machine learning policy verification method.  これらの課題を解決するために,本報告では,機械学習の分類アルゴリズムを適用することで,包括的なテストケースやオラクル,システムの翻訳を必要とせず,ポリシールールの論理を直接チェックすることで,従来の手法に比べて効率的で実現性の高いアクセスコントロールポリシーの検証手法を提案します.本報告書では,現在入手可能な機械学習ツールを用いて,ランダムフォレスト分類アルゴリズムを促進する例を用いて,提案手法の実験を行っています。その結果、検証ステップを実行するためのパラメータ設定と同様に、その機能を説明しています。最終的には、既存の検証方法の強化、数値属性を持つアクセス・コントロール・ポリシーの検証、および提案する機械学習ポリシー検証方法によってサポートされるポリシー・エンフォースメントの3つの一般的なアプリケーションが提供されます。 

Executive Summary  エグゼクティブ・サマリー 
1 Introduction 1 はじめに
2 Machine Learning for Access Control Verification 2 アクセスコントロール検証のための機械学習
3 RFC verification approach 3 RFC検証のアプローチ
4 Applications 4 アプリケーション
5 Conclusion 5 まとめ
References 参考文献

 

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.25 NISTIR 8360 (ドラフト) アクセス制御ポリシー検証のための機械学習

| | Comments (0)

2021.09.18

JNSA 「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書

こんにちは、丸山満彦です。

サイバーセキュリティ企業の老舗団体JNSAが、「現代のサイバーセキュリティの法的課題についての国際的な研究」に関する調査報告書を公表しています。

高橋弁護士のチームです。

読み応えあります!!!

 

JNSA

Jnsa_20210918025301

・2021.09.13 「現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査報告書」データ

・[PDF] Part1:ランサムウェアによる被害の実情及び支払いの可否に対する議論の動向、その他の対応における注目すべき事案

20210918-24847

・[PDF] Part2:脅威インテリジェンスサービスの利用における注意すべき法令上の問題についての調査

20210918-25622

・[PDF] Part3:情報セキュリティサービス提供者と法執行機関・監督官庁などとの協力

20210918-25640

 

 

| | Comments (0)

2021.09.17

警察庁 ランサムウェア被害防止対策

こんにちは、丸山満彦です。

警察庁がランサムウェア被害防止対策を公表していますね。。。

先日はカナダのサイバーセキュリティセンタのウェブページを紹介しましたが、まぁ世界的に被害が広がっていますからね。犯罪行為なので、警察に連絡をして解決に向けて協力してもらうことは重要ですよね。。。

警察庁

・2021.09.16 ランサムウェア被害防止対策について【令和3年9月16日更新】

・[PDF] (参考) 広報啓発用リーフレット

20210917-145331

  • ランサムウェアとは
  • ランサムウェアの手口
  • 被害の未然防止対策
    ・電子メール等への警戒
    ・OS等の脆弱性対策
    ・ウイルス対策ソフトの導入等によるマルウェア対策
    ・認証情報の適切な管理
  • 感染に備えた被害軽減対策
  • 感染してしまったら・・
  • 再発防止対策
  • 参考リンク

参考リンク



 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)

2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.15 総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.02.02 Perl公式サイトのドメイン”perl.com”が乗っ取られランサムウェアを配布するサイトと同一のIPアドレスにホストされているようですね、、、

・2021.01.31 Canadian Centre for Cyber Security がIT復旧計画の策定に関する文書を公開していましたね。。。at 2021.01.14

・2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2021.01.14 英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.06.10 EKANS / Snake - 工場やプラントのセキュリティ

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.10 外貨両替のTravelex社はSodinokibiランサムウェアの解決のために2.3MUS$(2.5億円)の身代金を支払った?

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

・2020.01.29 IPA 情報セキュリティ10大脅威 2020

 

だいぶ前ですが、ここにもランサムウェアがでていました・・・

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

 

| | Comments (0)

G7データ保護・プライバシー機関ラウンドテーブル 2021.09

こんにちは、丸山満彦です。

2021.09.07-08にかけて英国情報コミッショナーオフィス(ICO)が、G7諸国のデータ保護およびプライバシー当局、ならびに経済協力開発機構(OECD)および世界経済フォーラム(WEF)のゲストを集めて、情報の共有に関する議論を行った結果の報告です。。。

● 個人情報保護委員会

・2021.09.13 丹野委員長及び大島委員がG7データ保護・プライバシー機関ラウンドテーブルに出席

コミュニケです。。。

 ・[PDF] “Data Free Flow with Trust” ROUNDTABLE OF G7 DATA PROTECTION AND PRIVACY AUTHORITIES 07 – 08 SEPTEMBER 2021- Communiqué -

 ・[PDF] 『信頼性のある自由なデータ流通(DFFT:データ・フリー・フロー・ウィズ・トラスト)』G7 データ保護・プライバシー機関ラウンドテーブル コミュニケ(仮訳) 

 

20210917-14003

英国の場合

U.K. Information Commissioner's Office

・2020.09.09 G7 data protection and privacy authorities’ meeting: communiqué

・[PDF] “Data Free Flow with Trust” ROUNDTABLE OF G7 DATA PROTECTION AND PRIVACY AUTHORITIES 07 – 08 SEPTEMBER 2021- Communiqué -

 

Cookieの話はのっていないような気もするんですけど、、、

 

1_20210917020101

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.07 英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

| | Comments (0)

Cloud Security Alliance STAR認証:継続的監査の導入

こんにちは、丸山満彦です。

Cloud Security Allianceが継続的監査の導入についての報告書を公表していますね。。。

1996年に堀江正之先生が執筆した「システム監査の理論」に継続的監査について触れられていたと思います。ついに現実になるのでしょうか???

これは、STAR認証のレベル3と最も高いレベルの監査ということのようです。。。

POCを募集中のようです。

 

Cloud Security Alliance (CSA)

・2021.09.15 (press) Cloud Security Alliance Releases New Guidelines Providing Insight Into Effectively Using Its Industry-Leading Security Assessment, Assurance Tools

・2021.09.14 The Evolution of STAR: Introducing Continuous Auditing

・[PDF] 簡単な質問に答えるとダウンロードできます

20210917-02235

Introductio はじめに
Value Proposition バリュープロポジション
How Does STAR Level 3 Work? STAR Level 3の仕組みとは?
Roles and Responsibilities 役割と責任
Continuous Auditing Foundations 継続的監査の基礎
Preparing for the Continuous Audit 継続的監査の準備
Executing the Continuous Audit 継続的監査の実施
 Collection  収集
 Measurement  測定
 Evaluation  評価
 Certification  認証
Conclusion 結論
References 参考文献

Continuous-audit-model_20210917074001

Continue reading "Cloud Security Alliance STAR認証:継続的監査の導入"

| | Comments (0)

2021.09.16

金融庁 会計監査の在り方に関する懇談会(令和3事務年度)はじまりました

こんにちは、丸山満彦です。

金融庁で「会計監査の在り方に関する懇談会(令和3事務年度)」の第一回が開催されたようですね。。。

 

金融庁 - 会計監査の在り方に関する懇談会

・2021.09.15(第1回)議事次第

・配付資料

[PDF] 資料1 「会計監査の在り方に関する懇談会(令和3事務年度)」メンバー名簿(PDF:88KB)

[PDF] 資料2 運営要領(案)(PDF:103KB)

[PDF] 資料3 事務局資料(PDF:2.52MB)

 

事務局として、論点例を示していますね。。。 


議論の視点(例)

① 監査品質の向上に向け、監査市場の仕組み・構造を踏まえ、監査法人のマネジメント/ガバナンスに関してどのような点を検討すべきか。特に、能力ある中小監査法人が上場会社の監査の担い手として品質の高い監査を行うために検討すべき点は何か。

  • 一般投資家を含め多数のステークホルダーを有する上場会社の監査について、監査の担い手の規模、体制、リソース、規律付け等の観点で、他の監査と比してどのような考慮が求められるか。
  • 上場会社監査の担い手となる中小監査法人に対し、どのようなサポートが行われることが求められるか。

② 企業不正を見抜く力の向上に向け、公認会計士の能力向上・能力発揮について、どのような取組みが考えられるか。

  • 企業不正を見抜く力を向上させるため、継続的な人材育成・教育として、どのような能力開発が必要になると考えるか。また、そうした人材育成・教育の担保をどのように図っていくべきか。
  • 能力ある公認会計士の活躍の機会を十分確保するためにどのような点を検討すべきか。
  • 公認会計士の活躍の場が多様化する中、いわゆる組織内会計士を含め、公認会計士全体の能力発揮を実現するために検討すべき点は何か。
  • この他、監査基準等の制度面において、企業不正を見抜くために取り組むべき点は何か。

③ 「第三者の眼」として、チェック機能の更なる向上が期待される主体とその役割についてどう考えるか。

  • 当局や日本公認会計士協会によるエンフォースメントの実効性の向上に向け、検討すべき点は何か。

④ 監査品質の向上に向けた取組みが市場において自律的に行われるよう、会計監査に関する情報提供として、更なる充実が期待される事項は何か。

⑤ コーポレート・ガバナンス改革に向けた取組みと歩調を合わせる形で、“監査”機能の更なる向上を促すために検討すべき事項は何か。

  • 財務報告の信頼性の向上などに向け、監査機能が果たすべき更なる役割は何か。

 

個別の論点例について、いろいろと考えるところはあるのですが、特に、監査の品質向上については、外部有識者等の意見を聞くのも悪くはないですが、公認会計士武田雄治のブログ(■CFOのための最新情報■)にも書いているように、会計士に直接アンケートをとったらよいと思います。

また、監査法人単体で考えるのではなく、同じブランドのコンサルティング会社や税理士法人、弁護士法人等も合わせた全体のガバナンスの話を金融庁としてやったほうがよいと思います(所管を超えるという議論があるのかもしれませんが、今や一体運営しているので。。。)

それから、海外との連携のあり方にも触れた方が良いのかもしれませんね。。。どこまで、グローバルのガバナンスを影響をうけるとか。。。

 

八田先生には、ここ10年ほどお話はしていませんが、委員の方には知り合いも何人かいるので、議論の行方は楽しみです(^^)

 

 


 

■CFOのための最新情報■

・2021.09.16 金融庁「会計監査の在り方に関する懇談会」開催される

こちらの記事にデータがありますね。。。

・2021.09.13 4大大手監査法人の決算出揃う 監査証明業務売上高は今期もEY新日本がトップ

 

 

| | Comments (0)

総務省 「プラットフォームサービスに関する研究会 中間とりまとめ」及び意見募集の結果の公表

こんにちは、丸山満彦です。

総務省が、「プラットフォームサービスに関する研究会 中間とりまとめ」及び意見募集の結果を公表していますね。。。

グローバルに活動している企業では、法律はともかく、各国ごとの政策にすべて対応することはできないため、ユーザや収益の多い主要国への対応を優先するでしょうね。

日本程度の国であれば、企業の力に負けていく部分がでてくるのでしょうね。日本一国での対応ではなく、国が連携して対応をしていく必要があるでしょうね。。。そうなると、国ごとに異なる法律もその内容がある程度収斂していくのでしょうかね。。。個人情報保護法のように。。。

日本人全体が、国際的な感覚をもって考えていかないといけないのでしょうかね。。。

 

総務省 - プラットフォームサービスに関する研究会

・2021.09.15「プラットフォームサービスに関する研究会 中間とりまとめ」及び意見募集の結果の公表

 ・[PDF] 別紙1:「プラットフォームサービスに関する研究会」中間とりまとめ(案)に対する意見募集結果

 ・[PDF] 別紙2:プラットフォームサービスに関する研究会 中間とりまとめ

20210916-33318

 

 

誹謗中傷への対応


20210916-32432 20210916-32409


 

偽情報への対応 

20210916-32738 20210916-32720 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.07.29 国連 地域間犯罪司法研究所 人工知能によるオンラインテロ対策 at 2021.06.30

・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿

・2021.07.01 防衛研究所 バイデン政権と中国

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.21 米国 上院議員がデータ保護法案を再提出

・2021.06.20 NATO ブリュッセル・サミット・コミュニケ

・2021.06.13 U.S. White House 新大西洋憲章

・2021.06.04 欧州検査院 特別報告書 EUに影響を与える偽情報:対処しても対処しきれない

・2021.05.24 自動で偽の情報を作成するマシーンはできるのか?

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての(いかにもアメリカンな)漫画

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.26 RAND研究所 真実の崩壊に対抗するためのメディアリテラシー標準についての報告

・2021.01.18 新聞紙学的(平和博さんのブログ) - ディープフェイクスにどれだけ騙される? 意外な実験結果とは

・2020.12.10 デジタル時代のニュース消費の測定 - Pew Research Center

・2020.12.07 民主主義を守るための偽情報との戦い

・2020.11.28 国連(UNICRI) テロリスト、過激派、組織犯罪グループがソーシャルメディアを悪用しCOVID-19対応中の政府への信頼失墜をさせようとしている

・2020.11.24 フェイク画像はここまで来たのか・・・ (The New York Times)+IDF辻井先生のコラム

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.07.02 ディズニーがメガピクセルのディープフェイクで映画?

・2020.04.20 別人になりきってオンラインビデオ会議に参加できるオープンソースのディープフェイクツール「Avatarify」...

・2020.04.04 Europol COVID-19パンデミックに乗じて行われるサイバー犯罪と偽情報等に関する報告書

・2020.03.31 英国政府はCOVID-19に関する偽情報(misinformation)を取り締まるチームを設置したようですね。。。

・2020.01.27 Deepfake


少し古いですが...

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

 

 

 

Continue reading "総務省 「プラットフォームサービスに関する研究会 中間とりまとめ」及び意見募集の結果の公表"

| | Comments (0)

2021.09.15

Cloud Security Alliance 安全なサーバーレス・アーキテクチャをどう設計すればよいか

こんにちは、丸山満彦です。

Cloud Security Allianceが安全なサーバーレス・アーキテクチャの設計の仕方についての報告書を公表していますね。。。

どんどんサーバーレス・アーキテクチャにかわっていくんでしょうね。。。クラウド利用のもっとも良い点の一つですよね。。


Cloud Security Alliance (CSA)

・2021.09.14 How to Design a Secure Serverless Architecture

How to Design a Secure Serverless Architecture 安全なサーバーレス・アーキテクチャをどう設計すればよいか
Like any solution, serverless computing brings with it a variety of cyber risks. This paper covers security for serverless applications, focusing on best practices and recommendations. It offers an extensive overview of the different threats, focusing on the application owner risks that serverless platforms are exposed to and suggesting the appropriate security controls. 他のソリューションと同様に、サーバーレスコンピューティングは様々なサイバーリスクをもたらします。本報告書では、サーバーレスアプリケーションのセキュリティについて、ベストプラクティスや推奨事項を中心に取り上げています。サーバーレスプラットフォームがさらされているアプリケーションオーナーのリスクに焦点を当て、適切なセキュリティコントロールを提案することで、さまざまな脅威の概要を説明しています。
The recommendations and best practices described in this paper are intended for a wide audience, including application developers, security professionals, CISOs, system and security administrators, information system security officers, and others who are interested in the security of serverless computing. 本報告書に記載されている推奨事項やベストプラクティスは、アプリケーション開発者、セキュリティ専門家、CISO、システム・セキュリティ管理者、情報システム・セキュリティ・オフィサーなど、サーバーレス・コンピューティングのセキュリティに関心のある方を含む幅広い層を対象としています。

・[PDF] 簡単な質問に答えるとダウンロードできます

20210915-120432

 

Executive Summary エグゼクティブサマリー
Serverless platforms enable developers to develop and deploy faster, allowing an easy way to move to Cloud-native services without managing infrastructures like container clusters or virtual machines. As businesses work to bring technology value to market faster, serverless platforms are gaining adoption with developers.  サーバーレス・プラットフォームは、開発者が開発と導入を迅速に行うことを可能にし、コンテナ・クラスターや仮想マシンなどのインフラを管理することなく、クラウド・ネイティブ・サービスへの移行を容易に実現します。企業がテクノロジーの価値をより早く市場に投入するために、サーバーレス・プラットフォームは開発者の間で採用されつつあります。
Like any solution, Serverless brings with it a variety of cyber risks. This paper covers security for serverless applications, focusing on best practices and recommendations. It offers an extensive overview of the different threats focusing more on the  Application Owner risks that Serverless platforms are exposed to and suggest the appropriate security controls.  他のソリューションと同様に、サーバーレスも様々なサイバーリスクをもたらします。本報告書では、サーバーレスアプリケーションのセキュリティについて、ベストプラクティスと推奨事項を中心に取り上げています。サーバーレス・プラットフォームがさらされるアプリケーション・オーナーのリスクに焦点を当てて、さまざまな脅威の概要を説明し、適切なセキュリティ対策を提案しています。
From a deployment perspective, organizations adopting serverless architectures can focus on core product functionality without being bothered by managing and controlling the platform or the compute resources with their respective load balancing, monitoring, availability, redundancy, and security aspects. Serverless solutions are inherently scalable and offer an abundance of optimized compute resources for the “Pay as you go” paradigm.  導入の観点からは、サーバーレスアーキテクチャを採用している企業は、プラットフォームやコンピューティングリソースの管理や制御、ロードバランシング、モニタリング、可用性、冗長性、セキュリティなどに煩わされることなく、製品のコア機能に集中することができます。 サーバーレスソリューションは本質的にスケーラブルであり、「Pay as you go」パラダイムに最適化されたコンピュートリソースを豊富に提供します。
Further, from a software development perspective, organizations adopting serverless architectures are offered deployment models under which the organization is no longer required to manage and control the underlying operating system, application server, or software runtime environment. As a result, such organizations can deploy services with less time to market and lower their overall operational costs.  さらに、ソフトウェア開発の観点から見ると、サーバーレスアーキテクチャを採用している組織には、基盤となるオペレーティングシステム、アプリケーションサーバー、ソフトウェアランタイム環境を管理・制御する必要がない展開モデルが提供されます。その結果、企業は市場投入までの時間を短縮し、全体的な運用コストを削減しながらサービスを展開することができます。
This paper›s recommendations and best practices were developed through extensive collaboration among a diverse group with extensive knowledge and practical experience in information security, cloud operations, application containers, and microservices. The information is intended for a wide variety of audiences who may have some responsibility in Serverless environments. 本論文の推奨事項とベストプラクティスは、情報セキュリティ、クラウド運用、アプリケーションコンテナ、マイクロサービスに関する豊富な知識と実践経験を持つ多様なグループの広範な協力により作成されました。この情報は、サーバーレス環境において何らかの責任を負う可能性のある、幅広い読者を対象としています。

 

 

Continue reading "Cloud Security Alliance 安全なサーバーレス・アーキテクチャをどう設計すればよいか"

| | Comments (0)

Cloud Security Alliance クラウドネイティブな鍵管理サービスを利用するための推奨事項

こんにちは、丸山満彦です。

Cloud Security Allianceがをクラウドネイティブな鍵管理サービスを利用するための推奨事項を公表していますね・・・

いろいろなモノがクラウドネイティブになっていくでしょうね。。。これから、、、

そうなると、セキュリティ機能の大半もクラウド上に載っていき、設定の問題になるのでしょうかね。。。

セッキュリティコンサルもそうなると範囲が狭くなっていくのかもしれませんね。。。

 

Cloud Security Alliance (CSA)

・2021.09.14 クラウドネイティブな鍵管理サービスを利用するための推奨事項

Recommendations for Adopting a Cloud-Native Key Management Service クラウドネイティブな鍵管理サービスを採用するための推奨事項
The purpose of this document is to provide general guidance for choosing, planning, and deploying cloud-native Key Management Systems (KMS). The guidance within will provide recommendations that address technical, operational, legal, regulatory, and financial aspects of leveraging a cloud-native KMS. The goal is to optimize business outcomes, including agility, cost, and compliance.  本文書の目的は、クラウド・ネイティブな鍵管理システム(KMS)を選択、計画、導入するための一般的なガイダンスを提供することである。このガイダンスでは、クラウド・ネイティブな KMS を活用する際の技術的、運用的、法的、規制的、財務的な側面に対応する推奨事項を提供する。その目的は、アジリティ、コスト、コンプライアンスなどのビジネス成果を最適化することにあります。

・[PDF] 簡単な質問に答えるとダウンロードできます

20210915-91525

 

Acknowledgments 謝辞
1. Introduction 1. はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Target Audience 1.3 対象となる読者
2. Cloud-Native KMS Overview 2. クラウドネイティブなKMSの概要
3. Choosing a Cloud-Native KMS 3. クラウドネイティブなKMSの選択
3.1 Technical Considerations 3.1 技術的検討事項
3.1.1 Hardware Security Module (HSM) Backed Keys 3.1.1 ハードウェア・セキュリティ・モジュール(HSM)を使った鍵のバックアップ
3.1.2 General Technical Considerations 3.1.2 一般的な技術的検討事項
3.2 Operational Considerations 3.2 運用面での検討事項
3.3 Regulatory Considerations 3.3 規制に関する検討事項
3.4 Legal Considerations 3.4 法律面での検討事項
3.5 Financial Considerations 3.5 財務上の検討事項
4. Planning a Cloud-Native KMS 4. クラウドネイティブなKMSの計画
4.1 Technical Considerations 4.1 技術的な検討事項
4.1.1 Identity and Access Management 4.1.1 アイデンティティおよびアクセス管理
4.1.2 Shared Responsibilities 4.1.2 責任の共有
4.1.3 Separation of Duties (SOD) 4.1.3 義務の分離(SOD)
4.1.4 General Technical Considerations 4.1.4 一般的な技術的検討事項
4.2 Operational Considerations 4.2 運用上の検討事項
4.3 Regulatory Considerations 4.3 規制に関する検討事項
4.4 Legal Considerations 4.4 法律上の検討事項
4.5 Financial Considerations 4.5 財務上の検討事項
5. Deploying a Cloud-Native KMS 5. クラウドネイティブなKMSの導入
5.1 Technical Considerations 5.1 技術的検討事項
5.2 Operational Considerations 5.2 運用上の検討事項
5.3 Regulatory Considerations 5.3 規制に関する検討事項
5.4 Legal Considerations 5.4 法律上の検討事項
5.5 Financial Considerations 5.5 財務上の検討事項
6. Conclusion 6. 結論
7. References 7. 参考文献
Appendix A: Acronyms 附属書A:頭字語
Appendix B: Glossary 附属書B:用語集

 

20210915-93739

 

Cloud Key Management

・2021.03.01 クラウドサービス使用時の鍵管理-日本語翻訳

・2020.11.09 Key Management in Cloud Services

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.10 Cloud Security Alliance Japanが「クラウドサービスの鍵管理」を翻訳していましたね。。。 at 2021.03.01

・2020.11.11 Cloud Security Allianceが「クラウドサービスにおける鍵管理」を公開していますね。。。

 

Continue reading "Cloud Security Alliance クラウドネイティブな鍵管理サービスを利用するための推奨事項"

| | Comments (0)

Cloud Security Alliance クラウド・コントロール・マトリクス v4.0 実装ガイダンス

こんにちは、丸山満彦です。

Cloud Security Allianceがクラウド・コントロール・マトリクス v4.0 実装ガイダンスを公表していますね・・・

 

Cloud Security Alliance (CSA)

・2021.09.13 CCM v4.0 Implementation Guidelines

Research - Cloud Control Matrix (CCM)

実装ガイダンスは、簡単な質問に答えると関連資料と一緒にZIPファイルでダウンロードできます。

エクセルのシートになっています。。。

20210915-45509

 

V4 Control Domain Control Domainの仮訳
A&A Audit & Assurance  - A&A 監査・保証
AIS Application & Interface Security - AIS アプリケーションとインターフェースのセキュリティ
BCR Business Continuity Management and Operational Resilience  - BCR 事業継続管理と運用維持
CCC Change Control and Configuration Management  - CCC 変更管理と構成管理
CEK Cryptography, Encryption & Key Management 暗号、暗号化、鍵管理
DCS Datacenter Security  - DCS データセンタセキュリティ
DSP Data Security and Privacy Lifecycle Management - DSP データセキュリティとプライバシーライフサイクル管理
GRC Governance, Risk and Compliance - GRC ガバナンス、リスクとコンプライアンス
HRS Human Resources - HRS 人事
IAM Identity & Access Management - IAM アイデンティティとアクセスの管理
IPY Interoperability & Portability - IPY 相互運用性・移植容易性
IVS Infrastructure & Virtualization Security - IVS インフラと仮想化のセキュリティ
LOG Logging and Monitoring  - LOG 記録と監視
SEF Security Incident Management, E-Discovery, & Cloud Forensics - SEF セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジックス
STA Supply Chain Management, Transparency, and Accountability - STA サプライチェーンの管理、透明性と説明責任
TVM Threat & Vulnerability Management - TVM 脅威と脆弱性の管理
UEM Universal Endpoint Management - UEM 統合的エンドポイント管理

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン

・2021.01.23 Cloud Security Alliance - Cloud Controls Matrix v4を公表しましたね。。。

 

| | Comments (0)

欧州議会 Think Tank 欧州連合に関する中国の報道の動向:新華社の2012-2021年におけるEU関連報道の分析

こんにちは、丸山満彦です。

EU議会のThink Tankが欧州連合に関する中国の報道の動向について新華社の2012-2021年におけるEU関連報道を分析した報告書をだしていますね。。。

米国、欧州、中国、ロシア関係の動きというのは、気になりますね。。。

EU Parliament - Think Tank

・2021.09.10 Trends in Chinese reporting on the European Union: Xinhua's coverage of EU affairs, 2012-2021

Trends in Chinese reporting on the European Union: Xinhua's coverage of EU affairs, 2012-2021 欧州連合に関する中国の報道の動向。新華社のEU関連報道、2012-2021年
The main Chinese news service, Xinhua, has steadily expanded its coverage on the European Union over the past decade. The main challenges facing the Union have featured strongly, from the refugee crisis to Brexit to the impact of Covid 19. The tone of the coverage in this period has been neutral, rather than negative, and has not become more critical during the pandemic. Internal EU policies are often put in a favourable light, although internal divisions also feature in Xinhua's reporting. Xinhua tends to emphasise EU cooperation with China and EU divisions with the United States. It also criticises EU sanctions and human rights complaints, both about China – for example on Xinjiang and Hong Kong – and about countries including Russia and Turkey. These trends are in line with China's long-standing stated preference for the EU to become a pole in a multipolar world order that is able to balance US power, despite its disapproval of the EU's pursuit of human rights issues. Xinhua's coverage emphasises both the opportunities and the challenges facing European integration. This dual approach tends to support the view that China is ambiguous about the EU's ability to become a more influential and more useful strategic partner on the world stage. This briefing is based on a quantitative and qualitative analysis of Chinese-language online articles by the state-affiliated Xinhua News Agency since 2012, as well as a selection of secondary sources. 中国の主要報道機関である新華社は、過去10年間、EUに関する報道を着実に拡大してきました。難民危機からBrexit、Covid19の影響まで、EUが直面する主な課題が強く取り上げられています。この時期の報道のトーンは、ネガティブなものではなくニュートラルなもので、パンデミックの際に批判的になることはありませんでした。新華社の報道では、EUの内部政策は好意的に扱われることが多いですが、内部分裂も取り上げられています。新華社は、EUと中国との協力関係やEUと米国との対立を強調する傾向があります。また、新疆ウイグル自治区や香港などの中国や、ロシアやトルコなどの国々に対するEUの制裁や人権問題への不満を批判しています。このような傾向は、中国が、EUの人権問題への取り組みには否定的であるものの、EUが多極化した世界秩序の中で米国の力と均衡を保つ役割を果たすことを望んでいることと一致しています。新華社の報道は、欧州統合が直面している機会と課題の両方を強調しています。このような二重のアプローチは、中国が、EUが世界の舞台でより影響力のある、より有用な戦略的パートナーになる能力について曖昧にしているという見方を支持する傾向があります。本報告書は、2012年以降の新華社通信による中国語のオンライン記事の量的・質的分析、および二次資料の選択に基づいています。

 

テーマごとの報道のされ方です。。。

20210915-41738

中国に対する制裁や批判についてはネガティブな報道が多いのですが、それは当たり前とすると、どちらかというと、それ以外は比較的好意的な報道のような気もします。。。

・[PDF

20210915-42151

 

| | Comments (0)

2021.09.14

ENISA セクター別サイバーセキュリティ評価の方法論(270xxと15408の統合する?)

こんにちは、丸山満彦です。

ENISA セクター別サイバーセキュリティ評価の方法論(SCSA方法論)についての報告書を公表していますね。。。

さまざまな保証を統合するようなものなんでしょうかね。。。監査論とか詳しい人のサポートがいるかもですね。。まずは、読んでみようかと思います。。。

 

ENISA

・2021.09.13 Risky business or a leap of faith? A risk based approach to optimise cybersecurity certification

 

Risky business or a leap of faith? A risk based approach to optimise cybersecurity certification 危険なビジネスか、思い切ってやってみるか?サイバーセキュリティ認証を最適化するためのリスクベースのアプローチ
The European Union Agency for Cybersecurity (ENISA) launches a cybersecurity assessment methodology for cybersecurity certification of sectoral multistakeholder ICT systems. 欧州連合サイバーセキュリティ機関(ENISA)は、セクターごとのマルチステークホルダーのICTシステムのサイバーセキュリティ認証のためのサイバーセキュリティ評価手法を発表しました。
The Methodology for Sectoral Cybersecurity Assessments (SCSA Methodology) in a nutshell セクター別サイバーセキュリティ評価のための方法論(SCSA方法論)を一言で言うと
The Methodology for a Sectoral Cybersecurity Assessment - (SCSA Methodology) was developed to enable the preparation of EU cybersecurity certification schemes for sectoral ICT infrastructures and ecosystems. SCSA aims at market acceptance of cybersecurity certification deployments and supports the requirements of market stakeholders and the EU Cybersecurity Act (CSA). In particular, SCSA endorses the identification of security and certification requirements based on risks associated with the “intended use” of the specific ICT products, services and processes. セクター別サイバーセキュリティ評価のための方法論-(SCSA方法論)は、セクター別のICTインフラとエコシステムのためのEUサイバーセキュリティ認証スキームの準備を可能にするために開発されました。SCSAは、サイバーセキュリティ認証を展開する市場で受け入れられることを目指しており、市場の利害関係者やEUサイバーセキュリティ法(CSA)の要件をサポートしています。特に、SCSAは、特定のICT製品、サービス、およびプロセスの「意図された使用」に関連するリスクに基づいて、セキュリティおよび認証要件を特定することを支持しています。
The SCSA Methodology makes available to the ENISA stakeholders a comprehensive ICT security assessment instrument that includes all aspects pertinent to sectoral ICT systems and provides thorough content for the implementation of ICT security and cybersecurity certification. SCSA方法論は、セクター別のICTシステムに関連するすべての側面を含む包括的なICTセキュリティ評価手段をENISA関係者に提供し、ICTセキュリティおよびサイバーセキュリティ認証の実施のための徹底したコンテンツを提供します。
While SCSA draws from widely accepted standards, in particular ISO/IEC 27000-series and ISO/IEC 15408-series, the proposed enhancements tackle multi-stakeholder systems and the specific security and assurance level requirements concerning ICT products, processes and cybersecurity certification schemes. SCSAは広く受け入れられている規格、特にISO/IEC 27000シリーズとISO/IEC 15408シリーズを参考にしていますが、提案されている強化点は、マルチステークホルダー・システムや、ICT製品、プロセス、サイバーセキュリティ認証制度に関する特定のセキュリティおよび保証レベルの要件に取り組んでいることです。
This is achieved by introducing the following features and capabilities: これは、以下の特徴と機能を導入することによって達成されます。
・Business processes, roles of sectoral stakeholders and business objectives are documented at ecosystem level, overarching the ICT subsystems of the individual stakeholders. Stakeholders are invited to actively contribute to the identification and rating of ICT security risks that could affect their business objectives. ・ビジネスプロセス、各分野のステークホルダーの役割、ビジネス目標は、個々のステークホルダーのICTサブシステムを包括したエコシステムレベルで文書化されます。事業目的に影響を与える可能性のある ICT セキュリティリスクの特定と評価に、ステークホル ダーが積極的に貢献するよう促します。
・A dedicated method associates the stakeholders’ ratings of risks with the security and assurance level requirements to dedicated ICT subsystems, components or processes of the sectoral ICT system. ・利害関係者が評価したリスクを、セクター別 ICT システムの専用の ICT サブシステム、コンポーネン ト、またはプロセスに対するセキュリティおよび保証レベルの要求事項と関連付ける専用の手法です。
・SCSA specifies a consistent approach to implement security and assurance levels across all parts of the sectoral ICT system and provides all information required by the sectoral cybersecurity certification schemes. ・SCSA は、セクター別 ICT システムのすべての部分にセキュリティおよび保証レベルを実装するための一貫したアプロー チを規定しており、セクター別サイバーセキュリティ認証制度が必要とするすべての情報を提供します。
Benefits of the SCSA Methodology for stakeholders SCSA方法論がステークホルダーにもたらすメリット
The sectoral cybersecurity security assessment provides a comprehensive approach of the multi-faceted aspects presented by complex multi-stakeholder ICT systems and it features the following benefits: セクター別サイバーセキュリティセキュリティ評価は、複雑なマルチステークホルダーのICTシステムが提示する多面的な側面に対する包括的なアプローチを提供するものであり、以下のようなメリットがあります。
1. The security of a sectoral system requires synchronisation across all participating stakeholders. SCSA introduces comparability of security and assurance levels between different stakeholders’ systems and system components. SCSA enables building open multi-stakeholder ecosystems even among competitors to the benefit of suppliers and customers. 1. セクターシステムのセキュリティには、参加しているすべてのステークホルダーの同期が必要です。SCSAは、異なるステークホルダーのシステムおよびシステムコンポーネント間のセキュリティおよび保証レベルの比較可能性を導入します。SCSAは、競合他社であってもオープンなマルチステークホルダーのエコシステムを構築することを可能にし、サプライヤーや顧客の利益につながります。
2. The risk-based approach supports transparency and a sound balance between the cost for security and certification and the benefit of mitigating ICT-security-related business risks for each concerned stakeholder. 2. リスクベースのアプローチは、透明性と、セキュリティ及び認証のためのコストと、関係する各ステークホルダーのICTセキュリティ関連のビジネスリスクを軽減することによる利益との間の健全なバランスをサポートします。
3. Security measures can focus on the critical components, optimising the security architecture of the sectoral system, hence minimising cost of security. 3. セキュリティ対策は、重要なコンポーネントに焦点を当て、セクター別システムのセキュリティ・アーキテクチャーを最適化することで、セキュリティ・コストを最小限に抑えることができる。
4. SCSA generates accurate and consistent information on security and certification level requirements for all relevant ICT subsystems, components or processes. On this basis, suppliers can match their products to their customers’ requirements. 4. SCSAは、すべての関連するICTサブシステム、コンポーネント、またはプロセスに対するセキュリティおよび認証レベルの要件に関する正確で一貫性のある情報を生成します。この情報を基に、サプライヤーは自社の製品を顧客の要求に合わせることができる。
5. SCSA supports the integration of existing risk management tools and information security management systems (ISMS). 5. SCSAは、既存のリスク管理ツールと情報セキュリティ管理システム(ISMS)の統合をサポートします。
6. Due to a consistent definition of assurance levels, the re-use of certificates from other cybersecurity certification schemes is supported. 6. 保証水準の定義が一貫しているため、他のサイバーセキュリティ認証制度の認証書の再利用が可能です。
Target audience - Who is it meant for? 対象者 - 誰を対象としていますか?
SCSA aims at an expert level audience, in particular ICT experts, ICT security experts and decision-makers in charge of sectoral multi-stakeholder systems, as well as suppliers. Examples of relevant market sectors include mobile networks / 5G, electronic identity (eID), eHealth, payments, Mobility as a Service (MaaS) and automotive. SCSAは、専門家レベルの読者、特にICT専門家、ICTセキュリティ専門家、セクター別マルチステークホルダーシステムの責任者である意思決定者、及びサプライヤーを対象としています。関連する市場セクターの例としては、モバイルネットワーク/5G、電子ID(eID)、eHealth、ペイメント、MaaS(Mobility as a Service)、自動車などが挙げられます。
Next steps 次のステップ
After successfully passing a pilot implementation in a 5G context, SCSA will be used towards the development of the EU 5G candidate cybersecurity certification scheme. SCSAは、5Gのパイロット実施に成功した後、EUの5G候補のサイバーセキュリティ認証スキームの開発に向けて使用する予定です。

 

 

 ・2021.09.13 Methodology for a Sectoral Cybersecurity Assessment

Methodology for a Sectoral Cybersecurity Assessment セクター別サイバーセキュリティ評価のための方法論
The methodology for sectoral cybersecurity assessments described in this document (called SCSA Methodology) addresses objectives in the context of ICT security for sectoral multi-stakeholder systems and drafting sectoral cybersecurity certification schemes. Applying the SCSA Methodology will generate sound information about the sectoral ICT system and relationships between the stakeholders involved, providing transparency concerning ICT-related risks and the potential to optimize the implementation of ICT security for the sectoral ICT system. It also enables full support for the European Cybersecurity Act’s requirements concerning the risk-based identification of security and assurance requirements. 本書に記載されているセクター別サイバーセキュリティ評価のための方法論(SCSA方法論と呼ばれる)は、セクター別のマルチステークホルダーシステムのためのICTセキュリティと、セクター別サイバーセキュリティ認証制度の起草という文脈での目的に対応しています。SCSA方法論を適用することにより、セクター別ICTシステム及び関係するステークホルダー間の関係に関する健全な情報が生成され、ICT関連のリスクに関する透明性とセクター別ICTシステムのためのICTセキュリティの実施を最適化する可能性が提供されます。また、欧州サイバーセキュリティ法のセキュリティおよび保証要件のリスクベースの特定に関する要件を完全にサポートすることができます。

 

・[PDF]

20210914-142224

 

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Cybersecurity certification under the European Union Cybersecurity Act (CSA) is intended to increase trust and security for European consumers and businesses and help to achieve a genuine digital single market .  欧州連合サイバーセキュリティ法(CSA)に基づくサイバーセキュリティ認証は、欧州の消費者と企業の信頼と安全性を高め、真のデジタル単一市場の実現に貢献することを目的としています。
This requires that all relevant levels of the ICT market, from sectoral ICT services and systems via ICT infrastructures to ICT products and ICT processes, will be addressed and that the related cybersecurity certification schemes are well accepted by the market. The CSA stipulates specific requirements, which target efficiency and coherence between schemes of the CSA’s cybersecurity certification framework. These requirements include:  そのためには、セクター別のICTサービスやシステムから、ICTインフラ、ICT製品、ICTプロセスに至るまで、ICT市場のすべての関連レベルに対応し、関連するサイバーセキュリティ認証制度が市場に十分に受け入れられることが必要です。CSAは、CSAのサイバーセキュリティ認証フレームワークのスキーム間の効率性と一貫性を目的とした特定の要件を規定しています。これらの要件には以下が含まれます。
・The security and assurance requirements for ICT services, ICT processes or ICT products should be defined based on the risk associated with their intended use.  ICTサービス、ICTプロセス、またはICT製品のセキュリティおよび保証の要件は、その使用目的に関連するリスクに基づいて定義されなければなりません。
・Assurance levels should be implemented consistently across schemes.  保証水準はスキーム間で一貫して実施されるべきです。
・Support for security-by-design.  セキュリティ・バイ・デザインを支援します。
The methodology for sectoral cybersecurity assessments described in this document (hereinafter called SCSA Methodology) addresses these objectives in the context of drafting sectoral cybersecurity certification schemes, which address ICT services in individual market sectors. It is designed to be used as a preparatory step for the definition of a candidate scheme involving sectoral stakeholders.  本書に記載されているセクター別サイバーセキュリティ評価のための方法論(以下、 SCSA方法論)は、個々の市場セクターにおける ICTサービスを対象としたセクター別サイ バーセキュリティ認証制度を起草するという観点から、これらの目的に対応するものです。この方法論は、セクターの利害関係者が関与する候補スキームの定義の準備段階として使用されるように設計されています。
A basic principle of the proposed methodology is to establish a sound understanding of the sectoral ICT services and system as a foundation for all other functions:  提案された方法論の基本原則は、他のすべての機能の基礎として、セクターのICTサービスとシステムの健全な理解を確立することです。
・A cybersecurity assessment at the sectoral level will provide information about the objectives of the sectoral stakeholders and will identify the primary assets and related risks. As an enhancement of the typical risk assessment procedure, a ‘deep dive’ to gain detailed information about the intended use of relevant subsystems, products or services will be conducted. In addition, cyberthreat intelligence (CTI) will be employed to provide information on potential attackers, their motivation and capabilities. This adds an important parameter to the risk analysis and contributes to the information needed to assign security and assurance requirements to ICT subsystems, ICT products or ICT services based on risk.  セクターレベルでのサイバーセキュリティ評価は、セクターの利害関係者の目的に関する情報を提供し、主要な資産と関連するリスクを特定します。典型的なリスクアセスメントの手順の強化として、関連するサブシステム、製品またはサービスの使用目的に関する詳細な情報を得るための「ディープダイブ」を実施します。さらに、潜在的な攻撃者やその動機、能力に関する情報を提供するために、サイバー・スレット・インテリジェンス(CTI)が採用されます。これにより、リスク分析に重要なパラメータが追加され、リスクに基づいて ICTサブシステム、ICT製品または ICTサービスにセキュリティおよび保証の要件を割り当てるために必要な情報に貢献します。
・The SCSA Methodology provides the option to integrate sectoral, product, process and potentially also ISMS-based cybersecurity certification schemes. It offers a concept of internal risk, security and assurance reference levels. If these are commonly used, they will support consistency in the definition of risk, security and assurance across schemes. The SCSA Methodology is designed to address a wide range of certification schemes, beyond Common Criteria or other ISO/IEC 15408-based schemes. Optionally other types of certification schemes can be integrated in order to establish consistency across the various types of schemes that support the proposed methodology.   SCSA方法論は、セクター、製品、プロセス、そして潜在的にはISMSベースのサイバーセキュリティ認証制度を統合するオプションを提供します。SCSA方法論は、セクターごとの製品やプロセス、さらにはISMS ベースのサイバーセキュリティ認証制度を統合するオプションを提供します。これらが一般的に使用されれば、制度間でのリスク、セキュリティ、保証の定義の一貫性をサポートすることになります。SCSA方法論は、コモンクライテリアやISO/IEC 15408ベースの認証制度以外にも、様々な認証制度に対応できるように設計されています。提案された方法論をサポートする様々なタイプのスキーム間の一貫性を確立するために、オプションとして他のタイプの認証スキームを統合することができます。 
・A link between the ISO/IEC 270xx series of standards and ISO/IEC 15408 is needed to allow information to be exchanged between the outcome of risk assessment and the specification of security and assurance of products. The expert team has developed a mapping approach that addresses existing divergences of terminology between these standards and allows the transfer of the information that is required.  リスクアセスメントの結果と、製品のセキュリティや保証の仕様との間で情報を交換するために、ISO/IEC 270xxシリーズの規格とISO/IEC 15408との間のリンクが必要です。専門家チームは、これらの規格間の既存の用語の乖離を解決し、必要な情報の伝達を可能にするマッピングアプローチを開発しました。
・The introduction of a common, scalable approach to risk-based security and assurance supports the definition of scaled controls. These controls are associated with clear security levels which are defined in accordance with their ability to treat risk and protect against known attack potentials. The expert team has drafted a sample list of scaled controls and has described how these controls can be used in a coordinated way.   リスクベースのセキュリティと保証に共通のスケーラブルなアプローチを導入することで、 スケーラブルなコントロールの定義が可能になります。これらの管理策は、リスクを処理し、既知の攻撃の可能性から保護する能力に応じて定義される明確なセキュリティレベルと関連しています。専門家チームは、スケールドコントロールのサンプルリストを作成し、これらのコントロールをどのように協調して使用するかを説明しています。 
Based on these properties and functions, the SCSA Methodology has the potential to fully support the aforementioned requirements stipulated by the CSA and to promote the market acceptance of cybersecurity certification in the following ways:  これらの特性と機能に基づき、SCSA方法論は、CSAが規定した前述の要件を完全にサポートし、次のような方法でサイ バーセキュリティ認証の市場受容を促進する可能性があります。
・The SCSA Methodology supports the identification of risk associated with the intended use of ICT systems, ICT services and ICT processes at any level of the sectoral architecture. In applying the methodology, relevant stakeholders will be responsible for the identification of risks and they will be involved in the definition of security and assurance requirements. This will allow them to balance their view of risks against the investment needed to mitigate these risks by introducing appropriate levels of security and assurance. It can be expected that this transparent, cooperative approach will contribute significantly to the market acceptance of schemes under the CSA.   SCSA方法論は、セクター・アーキテクチャのどのレベルにおいても、ICTシステム、ICTサービス、および ICTプロセスの意図された使用に関連するリスクの特定をサポートするものです。この方法論を適用する際には、関連するステークホルダーがリスクの特定に責任を持ち、セキュリ ティ及び保証要件の定義に関与することになります。これにより、利害関係者は、リスクに対する見解と、適切なレベルのセキュリティと保証を導入することでこれらのリスクを軽減するために必要な投資のバランスを取ることができます。このような透明性のある協力的なアプローチが、CSAに基づくスキームの市場への受け入れに大きく貢献することが期待されています。 
・As required by the CSA, consistency in the implementation of assurance levels can be achieved across schemes. This will allow the re-use of certificates issued by one scheme in other schemes, thus providing an important benefit both to the business interests of product and infrastructure service providers and to their customers. At the same time, the methodology’s approach to consistency is also flexible enough to support the integration of new types of cybersecurity certification schemes, which may emerge as a result of specific requirements from different markets.  CSAが要求しているように、スキーム間で保証水準の実施に一貫性を持たせることができます。これにより、あるスキームで発行された証明書を他のスキームで再利用することが可能となり、製品・ インフラサービスプロバイダのビジネス上の利益とその顧客にとって重要なメリットがもたらされる。同時に、一貫性に対する本方法論のアプローチは、異なる市場からの特定の要求の結果として出現する可能性のある新しいタイプのサイバーセキュリティ認証制度の統合をサポートするのに十分な柔軟性も備えています。
・Introducing a common concept for security levels facilitates the definition of controls which can be commonly used across participating schemes. This provides a sound basis  セキュリティレベルに共通の概念を導入することで、参加している認証制度間で共通して使用できるコントロールの定義が容易になります。これは、そのようなコントロールのライブラリを導入するための健全な基盤となります。
for the introduction of libraries of such controls. The availability of those could significantly promote the introduction of security-by-design, as well as the implementation of defined security levels in ICT products, ICT processes and also in ICT systems.  これは、そのようなコントロールのライブラリを導入するための健全な基礎となります。これらのライブラリが利用可能になることで、セキュリティ・バイ・デザインの導入や、ICT製品、ICTプロセス、および ICTシステムにおける定義されたセキュリティレベルの実装が大幅に促進される可能性があります。
Applying the SCSA Methodology will generate sound information about the sectoral system and defined relationships between the stakeholders involved, which may enable additional tangible benefits, including:  SCSA方法論を適用することで、セクター別システムに関する健全な情報と、関係するステークホル ダー間の明確な関係が生成され、以下のような追加の具体的な利益が得られる可能性があります。
・Product and service providers will benefit from reliable information about the intended use of their products and services, as well as sectoral security and assurance requirements. This will allow them to optimize their products and their market reach.  製品やサービスの提供者は、製品やサービスの使用目的や、セクター別のセキュリティや保証の要求事項など、信頼できる情報を得ることができます。製品やサービスの提供者は、製品やサービスの使用目的や、分野別のセキュリティや保証の要求事項に関する信頼性の高い情報を得ることができ、製品や市場への参入を最適化できます。
・The defined relationships between risk, security and assurance proposed by this methodology support the definition of horizontal products and services, which can serve various sectors.  本方法論が提案するリスク、セキュリティ、および保証の関係の定義は、様々なセクターに対応可能な水平方向の製品およびサービスの定義を支援します。
・A sound understanding of the ICT system, the defined roles of the relevant parts and stakeholders, and the availability of controls with defined properties concerning risk and attack potential open new options, especially for sectors that have, for example, to deal with cost pressures and attackers with an elevated potential at the same time. Based on this methodology, the deployment of controls may be coordinated and firmly agreed between stakeholders. For example a basic-level control in an IoT device and a mediumlevel control in the sectoral back-office may be concatenated and coordinated in such a way that they jointly reach a security level that also protects against elevated attack potentials.  ICTシステムの十分な理解、関連部門や利害関係者の役割の定義、リスクや攻撃の可能性に関 して定義された特性を持つコントロールの利用が可能になることで、特に、コスト圧 力と潜在的な攻撃者に同時に対処しなければならないような部門にとって、新たな選択肢 が生まれる。この方法論に基づいて、コントロールの展開を調整し、関係者間でしっかりと合意することができます。例えば、IoTデバイスの基本的なレベルのコントロールと、セクターのバックオフィスの中程度のレベルのコントロールを連結して調整することで、高度な攻撃の可能性からも保護するセキュリティレベルに共同で到達することができます。
The version of the methodology described in this document is sufficiently mature to allow a first practical use in drafting sectoral cybersecurity certification schemes. Experience gained from this first deployment should be used to improve and consolidate the methodology.  本書に記載されている方法論のバージョンは、セクターごとのサイバーセキュリティ認証スキームを起草する際に最初の実用化を可能にするほど十分に成熟しています。この最初の導入から得られた経験は、本方法論の改善と統合に利用されるべきです。
In summary, the proposed methodology not only supports the workflow of drafting the CSA cybersecurity scheme but also offers a potential for a broader use by sectors and providers of infrastructure.  要約すると、提案されている方法論は、CSAサイバーセキュリティスキームを起草する際のワークフローをサポートするだけでなく、セクターやインフラのプロバイダがより広く利用できる可能性を秘めています。

Continue reading "ENISA セクター別サイバーセキュリティ評価の方法論(270xxと15408の統合する?)"

| | Comments (0)

ENISA 中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。

こんにちは、丸山満彦です。

ENISAが中小企業のセキュリティのためのツール「SecureSMEツール」を発表していますね。。。EUの企業のうち99%がSMEで、約1億人(EU全体で約4.5億人)がSMEで働いているようですね。。。

2021.06.28に公開した、「中小企業のためのサイバーセキュリティの課題と推奨事項」の続編でツール編ということのようです。。。

 

ENISA

Enisa_20210914122701

 

・2021.09l.08 (news) New Tool is another step towards securing the Digital Future of SMEs

SecureSME

サイバーに関するヒントが

従業員の保護 (7)

プロセスの強化 (5)

技術的対策の強化 (7)

Covid19問題の克服 (6)

のページが用意されていてます。

全体をみるとこんな目次構成

Protect Employees (7) 従業員を守る (7)
Responsibility 社会的責任
Management Commitment マネジメント・コミットメント
Employee Buy-in 従業員の参加
Employee Awareness 従業員の意識向上
Cybersecurity Training サイバーセキュリティ・トレーニング
Cybersecurity Policies サイバーセキュリティポリシー
Third Party Management サードパーティ管理
Enhance processes (5) プロセスの強化(5)
Cybersecurity Audits サイバーセキュリティ監査
Incident Planning and Response インシデントの計画と対応
Passwords パスワード
Software Patches ソフトウェアパッチ
Data Protection データ保護
Strengthen technical measures (7) 技術的対策の強化(7)
Network Security ネットワークセキュリティ
Anti-Virus ウィルス対策
Employ Email and Web Protection Tools メール・Web保護ツールの導入
Encryption 暗号化
Security Monitoring セキュリティモニタリング
Physical Security 物理的セキュリティ
Secure Backups バックアップの確保
Overcome COVID19 issues (6) COVID19の課題を克服する (6)
Review Remote Access Facilities リモートアクセス機能の見直し
Engage with the Cloud クラウドへの取り組み
Implement Mobile Device Management モバイルデバイス管理の導入
Conduct Security Awareness Trainings セキュリティ意識向上のためのトレーニングの実施
Secure Online Sites オンラインサイトの保護
Information Sharing 情報共有

 

ビデオ (01':39'')

20210914-123054

ガイドライン

・2021.06.28 Cybersecurity for SMEs - Challenges and Recommendations

20210707-15123

 

・2021.06.28 Cybersecurity guide for SMEs - 12 steps to securing your business

20210707-21550

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.07 ENISA 中小企業のためのサイバーセキュリティの課題と推奨事項 at 2021.06.28

 

| | Comments (0)

カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンタが、ランサムウェアへの対策を公表していますね。。。

Canadian Centre for Cyber Security

・2021.09.09 Ransomware: How to prevent and recover (ITSAP.00.099)

 

身代金については、身代金を支払うことのリスクとして、次のように説明していますね。。。

 

"Paying the ransom is not usually advised"です。

 

Risks of paying the ransom 身代金を支払うことのリスク
The decision to pay a cyber threat actor to release your files or devices is difficult and you may feel pressured to give in to the demands of the threat actor. Before you pay, contact your local police department and report the cybercrime. Paying the ransom is not usually advised, due to the following: サイバー犯罪者に身代金を支払ってファイルやデバイスを解放してもらうかどうかの判断は難しく、脅威者の要求に応じることにプレッシャーを感じるかもしれません。身代金を支払う前に、最寄りの警察署に連絡し、サイバー犯罪を通報してください。身代金を支払うことは、以下の理由から、通常はお勧めできません。
・The ransom will not guarantee access to your files. Threat actors may demand more money despite receiving the first ransom payment. ・身代金を支払っても、ファイルへのアクセスは保証されません。脅威の行為者は、最初の身代金の支払いを受けたにもかかわらず、さらに金銭を要求する場合もあります。
・It encourages threat actors to continue infecting your devices or those of other organizations with ransomware as they assume you will continue to pay with each attack. ・脅威の行為者は、あなたが攻撃のたびに身代金を支払い続けると想定しているため、あなたのデバイスや他の組織のデバイスにランサムウェアを感染させ続けることになります。
・Threat actors can use wiper malware that masquerades as ransomware. In this case, your files are not recoverable as the malware alters or permanently deletes them once the ransom is paid. ・脅威の行為者は、ランサムウェアを装ったワイパーマルウェアを使用することができます。この場合、身代金が支払われると、マルウェアがファイルを変更または永久に削除するため、ファイルは復元できません。
・Your data has likely been copied and can be leaked by the threat actor for profit. They may also continue to extort you with the copied data. ・あなたのデータはコピーされている可能性が高く、脅迫者が利益を得るために流出させることができます。また、コピーされたデータを使って、あなたを脅迫し続ける可能性もあります。
・Your payment may be used to support other ransomware attacks or terrorist organizations. ・支払った身代金は、他のランサムウェア攻撃やテロ組織の支援に使われる可能性があります。

 

Ewsbhq5xqaaro7b

 


ランサムウェア関係...

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)

2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.15 総務省 「テレワークセキュリティガイドライン(第5版)」(案)に対する意見募集

・2021.02.14 オーストラリア ACSC 2020年の医療セクターのサイバーセキュリティ脅威についてのスナップショット

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.02.02 Perl公式サイトのドメイン”perl.com”が乗っ取られランサムウェアを配布するサイトと同一のIPアドレスにホストされているようですね、、、

・2021.01.31 Canadian Centre for Cyber Security がIT復旧計画の策定に関する文書を公開していましたね。。。at 2021.01.14

・2021.01.28 IPA 「情報セキュリティ10大脅威 2021」を発表してますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2021.01.24 Interpol ASEANのサイバー脅威評価報告書2021

・2021.01.14 英国 政府がスポーツ団体に対してサイバーセキュリティ犯罪者から身を守るための会議を主催したようですね。。。

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.06.10 EKANS / Snake - 工場やプラントのセキュリティ

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.10 外貨両替のTravelex社はSodinokibiランサムウェアの解決のために2.3MUS$(2.5億円)の身代金を支払った?

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

・2020.01.29 IPA 情報セキュリティ10大脅威 2020

だいぶ前ですが、ここにもランサムウェアがでていました・・・

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

| | Comments (0)

地⽅⾃治体によるガバメントクラウドの活⽤について(案)2021.08現在

こんにちは、丸山満彦です。

備忘録です。。。

政府CIOポータル

・2021.01.22「地方自治体によるガバメントクラウドの活用について(案)」【地方自治体職員対象】

・2021.08.31 [PDF] 地⽅⾃治体によるガバメントクラウドの活⽤について(案)

  ※ (ISMAPクラウドサービスリストを更新)[downloaded]

 

途中イメージ・最終イメージ

20210914-32150

 

ガバメントクラウドを活用する業務システム

20210914-32248


 

技術的に新しいものではないので、このプロジェクトの成否は、技術の問題ではなく、人の問題、組織の問題なんですよね。。。

さて、どこまでできますでしょうか???

 

後、気になるのは、バックアップ体制ですね。いわゆる集中リスクが生じるわけですから、バックアップが重要となるのですが、どのレベルでどの程度の冗長化がされるのか、、、

それを決めるための方法論はあるのか、、、

簡単ではなさそうですね。。。

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.31 文部科学省 「教育情報セキュリティポリシーに関するガイドライン」公表について

・2021.05.13 参議院 デジタル社会形成基本法案等を議決 デジタル庁設置、個人情報保護法改正、地方自治体システム標準化等。。。

・2020.12.31 自民党デジタル社会推進本部 デジタル庁創設に向けた中間提言 at 2020.12.22 (小林史明議員公式サイト)

・2020.12.29 総務省 「地方公共団体における情報セキュリティポリシーに関するガイドライン」と「地方公共団体における情報セキュリティ監査に関するガイドライン」の公表及び意見募集の結果

・2020.12.25 官邸 「デジタル社会の実現に向けた改革の基本方針」と「デジタル・ガバメント実行計画」が閣議決定

・2020.12.13 総務省 意見募集「地方公共団体における情報セキュリティポリシーに関するガイドライン」(改定案)、「地方公共団体における情報セキュリティ監査に関するガイドライン」(改定案)

・2020.11.19 自民党デジタル社会推進本部がデジタル庁についての第一次提言を平井卓也デジタル改革担当相に手交

・2020.09.05 J-LIS (予告)「自治体テレワーク推進実証実験」の公募について

・2020.05.23 総務省 「自治体情報セキュリティ対策の見直しについて」の公表

 

ちょっと遡って...

・2012.07.22 総務省 ASP・SaaS・クラウドの普及拡大に向けたガイドの公表

・2010.11.16 総務省 確定 地方公共団体における情報セキュリティポリシーに関するガイドラインと地方公共団体における情報セキュリティ監査に関するガイドライン

・2010.12.12 総務省 自治体クラウド推進本部 有識者懇談会(第3回)

・2010.09.17 総務省 パブコメ 地方公共団体における情報セキュリティポリシーに関するガイドライン(案)と地方公共団体における情報セキュリティ監査に関するガイドライン(案)

・2010.08.06 総務省 電子自治体 情報セキュリティ対策の推進

・2010.08.05 総務省 自治体クラウド推進本部

・2010.05.01 内閣府 地方公共団体の業務継続ガイドライン

・2010.04.02 総務省 確定 地方公共団体におけるASP・SaaS導入活用ガイドライン

・2010.03.12 「サイバー攻撃に無防備、193自治体」だそうです。。。

・2010.03.09 総務省 自治体クラウドポータルサイトの開設

・2010.02.20 総務省 パブコメ 「地方公共団体におけるASP・SaaS導入活用ガイドライン(案)」

・2010.01.25 長崎県がクラウド事業者として市町村にサービスを提供するの件

・2010.01.18 日本経団連 「電子行政推進シンポジウム」(2009.12.08)開催の様子

・2009.03.28 総務省 電子自治体の推進に関する懇談会(セキュリティワーキング グループ)検討結果

・2008.08.23 総務省 確定 「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」

・2008.06.28 総務省 パブコメ 「地方公共団体におけるICT部門の業務継続計画(BCP)策定に関するガイドライン」(案)

・2008.04.26 総務省 地方自治情報管理概要

・2007.07.14 総務省 「地方公共団体におけるITガバナンスの強化ガイド」を公表

・2007.07.09 総務省 確定 「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.06.09 総務省 パブコメ 「地方公共団体における情報セキュリティ監査に関するガイドライン」

・2007.04.02 総務省 自治体ISAC(仮称)実証実験の実施結果

・2006.09.30 総務省 地方公共団体における情報セキュリティポリシーに関するガイドラインを公表

・2006.08.21 総務省 パブコメ 「地方公共団体における情報セキュリティポリシーに関するガイドライン」(案)

・2006.06.01 地方公共団体セキュリティ対策支援フォーラム 「情報セキュリティ監査実施状況および推進課題に関する検討」報告書

・2006.04.06 総務省 「地方公共団体の情報セキュリティレベルの評価に係る制度の在り方に関する調査研究報告書」の公表

・2006.01.24 総務省 住民基本台帳ネットワークシステム及びそれに接続している既設ネットワークに関する調査票による点検状況

・2005.07.19 総務省 平成17年度電子自治体関連施策 セキュリティ認定制度

・2005.07.17 「地方公共団体における情報セキュリティ内部アセスメント(監査)の進め方」

・2005.02.15 住民基本台帳ネットワークシステム 政府と国民の信頼がポイントではないのだろうか?

 

| | Comments (0)

2021.09.13

NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約

こんにちは、丸山満彦です。

NISTがNIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて2021.04.22に開催したオンラインワークショップの要約を公表していますね。。。

このワークショップの基調講演がGAOというのが興味深いですよね。。。日本でいう会計検査院です。

監査した結果を報告しています。

連邦政府90機関のうち56機関でIoTが利用されているようですね。。。翻って日本政府はどうなんでしょうね。それなりに利用していると思いますが、データがないかもですね。。。

関連するNIST文書は、

Draft SP 800-213, IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements ドラフトSP 800-213「連邦政府のためのIoTデバイスサイバーセキュリティガイダンス:IoTデバイスのサイバーセキュリティ要件の確立」
Draft NISTIR 8259D, Profile Using the IoT Core Baseline and Non-Technical Baseline for the Federal Government  ドラフトNISTIR 8259D「連邦政府のためのIoTコアベースラインおよび非技術ベースラインを使用したプロファイル 」
Draft NISTIR 8259C, Creating a Profile Using the IoT Core Baseline and Non-Technical Baseline ドラフトNISTIR 8259C「IoTコアベースラインと非技術ベースラインを使用したプロファイルの作成」
NISTIR 8259B, IoT Non-Technical Supporting Capability Core Baseline NISTIR 8259B「 IoT非技術的支援能力コアベースライン」

です。

 

● NIST - ITL

・2021.09.09 NISTIR 8379 Summary Report for the Virtual Workshop Addressing Public Comment on NIST Cybersecurity for IoT Guidance

・[PDF

20210913-23956

1 Introduction 1 はじめに
1.1 About the NIST Cybersecurity for the Internet of Things Program 1.1 NIST Cybersecurity for the Internet of Things Programについて
1.2 Background 1.2 背景
1.3 About the Workshop Addressing Public Comment on NIST Cybersecurity for IoT Guidance 1.3 NISTのIoT向けサイバーセキュリティガイダンスに対するパブリックコメントを受けたワークショップについて
2 Event Summary and Key Takeaways 2 イベントの概要と主な成果
2.1 Plenary Sessions 2.1 全体会議
2.1.1 Introduction: NIST Cybersecurity for IoT Program Manager 2.1.1 はじめに IoTのためのNISTのサイバーセキュリティプログラムマネージャー
2.1.2 Keynote: GAO Survey of Federal IoT Use 2.1.2 基調講演:GAOによる連邦政府のIoT利用に関する調査
2.1.3 Groundwork: Overview of Comment Themes and Paths Forward for the Documents 2.1.3 グラウンドワーク:コメントテーマの概要とドキュメントの今後の進め方
2.1.4 Online Informative Reference Program 2.1.4 オンライン参考資料プログラム
2.1.5 Facilitator Panel Discussion & Wrap-Up 2.1.5 ファシリテーターによるパネルディスカッションとラップアップ
2.2 Summary and Takeaways from Breakout Session Discussions 2.2 分科会での議論のまとめと得られたもの
2.2.1 Breakout 1: Risk Descriptors 2.2.1 分科会1:リスク記述子(Risk Descriptors)
2.2.2 Breakout 2: System and Architecture Descriptors 2.2.2 分科会2:システムおよびアーキテクチャ記述子
2.2.3 Breakout 3: IoT Ecosystem 2.2.3 分科会3:IoTエコシステム
3 Next Steps 3 今後に向けて
References 参考文献
Appendix A: Descriptor Definitions 附属書A:記述子の定義
Appendix B: Acronyms 附属書B:頭字語

 

2.2.1 Breakout 1:  Risk Descriptors  2.2.1 分科会1:リスク記述子
The stated objective for this breakout session was to obtain feedback on the utility of the proposed risk descriptors for:   この分科会の目的は、提案されたリスク記述子の有用性について、以下のようなフィードバックを得ることでした。 
● Selection of additional needed system controls and IoT capabilities (Note that additional controls/capabilities may be non-technical)  ●追加で必要となるシステム制御および IoT 機能の選択(追加の制御/機能は非技術的なものである可能性があることに留意してください。)
● Adding or deleting requirements from NISTIR 8259D to support needed additional controls (Note that this uses the NIST SP 800-213 process and the capabilities catalogs)   ●必要な追加コントロールをサポートするためのNISTIR 8259Dからの要求事項の追加または削除(これはNIST SP 800-213プロセスと能力カタログを使用することに注意してください。) 
A goal for the descriptors is to support better understanding between manufacturers and customers about federal organizations’ expectations and requirements.  記述子の目的は、連邦組織の期待と要件について、メーカーと顧客の間の理解を深めることにあります。
Takeaway 1: IoT device use risk cannot be independently described without the context of device deployment and system architecture.  要点1:IoTデバイスの使用リスクは、デバイスの配置やシステムアーキテクチャのコンテキストなしに独立して記述することはできない。
Takeaway 2:  Unintended uses can create unanticipated risks.  論点2:意図しない使い方は、予期しないリスクを生む可能性がある。
Takeaway 3:  The descriptors could be useful as a communications tool.  論点3:記述子は、コミュニケーションツールとして有用である。
2.2.2 Breakout 2:  System and Architecture Descriptors  2.2.2 分科会2:システムおよびアーキテクチャ記述子 
The stated objective for this breakout session to obtain feedback on the utility of the proposed device and system architecture descriptors for:   この分科会の目的は、提案されたデバイスおよびシステムアーキテクチャ記述子の有用性について、以下のようなフィードバックを得ることであった。 
● Selecting additional needed (or potentially deletion of) controls (Note that the additional controls may be non-technical)  ●必要な追加管理項目の選択(または削除の可能性)(追加管理項目は非技術的なものである可能性があります。
● Adding or deleting requirements from the profile in NISTIR 8259D to support needed additional controls for devices (Note that this uses the NIST SP 800-213 process and the capabilities catalogs)   ●必要とされる追加の管理項目をサポートするために、NISTIR 8259Dのプロファイルから要件を追加または削除すること(これは、NIST SP 800-213プロセスと能力カタログを使用することに注意してください)。 
● Identifying mismatches between manufacturer expectations about usage scenarios from federal organization expectations  ●使用シナリオに関するメーカーの期待値と連邦組織の期待値との間のミスマッチの特定 
● Supporting allocation of requirements within the system addressing the constraints of device and system architecture  ●デバイスとシステム・アーキテクチャの制約に対応したシステム内での要件の割り当てをサポートします。
As with the descriptors discussed in Breakout 1, a goal for these descriptors is to support better understanding between manufacturers and customers about federal organizations’ expectations and requirements.  分科会1で議論された記述子と同様に、これらの記述子の目標は、連邦組織の期待と要求についてメーカーと顧客の間の理解を深めることです。
Takeaway 1:  The “device architecture” descriptor definitions have insufficient precision.  論点1:「デバイス・アーキテクチャ」記述子の定義は、精度が不十分である。
Takeaway 2:  More “device architecture” descriptors are needed for sufficient granularity.  要点2:十分な粒度を得るためには、より多くの「デバイスアーキテクチャ」記述子が必要である。
Takeaway 3:  The “system relationship” descriptors aren’t mutually exclusive.  要点3:「システム関係」の記述は相互に排他的なものではない。
2.2.3 Breakout 3:  IoT Ecosystem  2.2.3 第3分科会:IoTエコシステム 
The stated objective for this breakout session was to gather feedback regarding IoT device customers’ ecosystem risk considerations, and discussion was focused around how the associated risks can be mitigated:  この分科会の目的は、IoT デバイスの顧客が考慮するエコシステムのリスクに関するフィードバックを収集することであり、関連するリスクをどのように軽減できるかを中心に議論が行われました。
● What are the technical, administrative, and physical risks?  ●技術的、管理的、物理的なリスクは何か?
● What do IoT device customers need from manufacturers to support risk mitigation?  ●IoTデバイスのお客様は、リスク軽減のためにメーカーに何を求めているか 
● Why is supply-chain/vendor/manufacturer ecosystem transparency needed?   ●なぜサプライチェーン/ベンダー/メーカーのエコシステムの透明性が必要なのか? 
● Why is IoT platform/cloud ecosystem transparency needed?   ●なぜIoTプラットフォーム/クラウドのエコシステムの透明性が必要なのか? 
● Do international standards, confidence mechanisms, and trustworthiness play a role in risk mitigation, or device purchasing decisions? In what ways?  ●国際標準、信頼メカニズム、および信頼性は、リスク軽減やデバイス購入の意思決定において役割を果たしますか?どのような点で?
Takeaway 1:  A single set of ideally international requirements, standards, and associated confidence mechanisms is needed to address market fragmentation.  要点1:市場の断片化に対処するためには、理想的な国際的要件、標準、および関連する信頼性メカニズムの単一セットが必要である。
Takeaway 2:  Standards need to encourage cybersecurity by default.  論点2:基準はデフォルトでのサイバーセキュリティを推奨する必要がある。
Takeaway 3:  Supply chain security and transparency are important but very complex.  論点3:サプライチェーンのセキュリティと透明性は重要だが、非常に複雑である。

 


参考

Blog_1_v7

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.04.25 英国 スマートデバイスを保護するための新しいサイバーセキュリティ法の方向性

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2021.01.29 Cloud Security AllianceがIoTセキュリティコントロールフレームワーク第2版とその利用ガイドを公開していますね。。。

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

| | Comments (0)

2021.09.12

バイデン米大統領と習近平中国国家首席との電話会談

こんにちは、丸山満彦です。

米国時間の2021.09.09、中国時間の09.10にバイデン大統領と習近平国家首席との電話会談があったようですね。内容については中国のウェブページの方が詳細ですね。。。

米国側は、その後のサキ報道官の記者機会見も歯切れ悪いですね。。。

 

国務院 - 外交部

・2021.09.10 习近平同美国总统拜登通电话

习近平同美国总统拜登通电话 習近平氏、バイデン米大統領と電話会談
  2021年9月10日上午,国家主席习近平应约同美国总统拜登通电话,就中美关系和双方关心的有关问题进行了坦诚、深入、广泛的战略性沟通和交流。   2021年9月10日午前、習近平氏国家主席はジョー・バイデン大統領と電話会談を行い、中米関係および相互に関心のある関連問題について議論し、率直で、深く、広範な戦略的コミュニケーションと交流を行いました。
  习近平首先就飓风“艾达”造成美国多地人员伤亡和财产损失向拜登和美国人民表示慰问。拜登对此表示感谢。   習近平氏はまず、ハリケーン「アイダ」によって米国各地で発生した死傷者や物的損害に対し、バイデン氏と米国国民に哀悼の意を表しました。 バイデンはこのことに感謝の意を表しました。
  习近平指出,一段时间以来,美国采取的对华政策致使中美关系遭遇严重困难,这不符合两国人民根本利益和世界各国共同利益。中美分别是最大的发展中国家和最大的发达国家,中美能否处理好彼此关系,攸关世界前途命运,是两国必须回答好的世纪之问。中美合作,两国和世界都会受益;中美对抗,两国和世界都会遭殃。中美关系不是一道是否搞好的选择题,而是一道如何搞好的必答题。   習近平氏は、一時期、米国の対中政策が中米関係に深刻な困難をもたらしたことを指摘し、これは両国民の基本的な利益と世界各国の共通の利益に反するものだと述べました。 中国は最大の発展途上国、米国は最大の先進国であり、中国と米国が互いの関係をうまく処理できるかどうかは、世界の未来と運命を左右する問題であり、両国がうまく答えなければならない世紀の問題です。 中国と米国が協力すれば、両国と世界は利益を得ることができ、中国と米国が対立すれば、両国と世界は苦しむことになります。 中国と米国の関係は、「正しいかどうか」という多肢選択問題ではなく、「どうすれば正しいか」という必答問題なのです。
  习近平强调,中国古诗曰:“山重水复疑无路,柳暗花明又一村。”中美自1971年双边关系“破冰”以来,携手合作,给各国带来实实在在的好处。当前,国际社会面临许多共同难题,中美应该展现大格局、肩负大担当,坚持向前看、往前走,拿出战略胆识和政治魄力,推动中美关系尽快回到稳定发展的正确轨道,更好造福两国人民和世界各国人民。   習近平氏は、古代中国の詩に 「山が重く、水が怪しいときには出口がなく、柳が暗く、花が明るいときには別の村がある 」という言葉があることを強調しました。 1971年に中国と米国の二国間関係が「氷解」して以来、両国は協力してすべての国に具体的な利益をもたらしてきました。 現在、国際社会は多くの共通の問題に直面しています。 中国と米国は、大局的な見地に立ち、大きな責任を負い、前を向いて前進することを主張し、戦略的な大胆さと政治的な勇気を示し、中米関係が安定した発展の正しい軌道に一日も早く戻るよう促進し、両国民と世界の人々のより良い利益のために貢献しなければなりません。
  习近平阐述了中方在气候变化等问题上的立场,强调中方坚持生态优先、走绿色低碳的发展道路,一直积极主动承担同自身国情相符的国际责任。在尊重彼此核心关切、妥善管控分歧的基础上,两国有关部门可以继续接触对话,推进在气候变化、疫情防控、经济复苏以及重大国际和地区问题上的协调和合作,同时挖掘更多合作潜力,为两国关系增添更多积极因素。   習近平氏は、気候変動などに関する中国の立場を詳しく説明し、「中国はエコロジーを優先し、グリーンで低炭素な発展の道を追求することを主張しており、自国の国情に合った国際的な責任を常に積極的に担ってきた」と強調しました。 互いの核心的関心事を尊重し、相違点を適切に管理することを基本に、両国の関連部門は、気候変動、伝染病の予防と制御、経済復興、さらには主要な国際的・地域的問題について、引き続き対話を行い、調整と協力を促進することができ、より多くの協力の可能性を模索し、両国関係にさらに肯定的な要素を加えることができます。
  拜登表示,世界正在经历快速变化,美中关系是世界上最重要的双边关系,美中如何互动相处很大程度上将影响世界的未来。两国没有理由由于竞争而陷入冲突。美方从无意改变一个中国政策。美方愿同中方开展更多坦诚交流和建设性对话,确定双方可以开展合作的重点和优先领域,避免误解误判和意外冲突,推动美中关系重回正轨。美方期待同中方就气候变化等重要问题加强沟通合作,形成更多共识。   バイデン氏は、「世界は急速な変化を遂げており、米中関係は世界で最も重要な二国間関係であり、米中がどのように相互作用するかが世界の未来を大きく形成する」と述べました。 競争のために両国が対立する理由はありません。 米国は、これまで一度も「一帯一路」の方針を変えるつもりはありまえんでした。 米国は、中国とのより率直な交流と建設的な対話を行い、優先事項や協力分野を特定し、誤解や誤算を避け、米中関係の正しい軌道への復帰を促進したいと考えています。 米国は、気候変動などの重要な問題について中国とのコミュニケーションと協力を強化し、より多くの合意を得られることを期待しています。」と述べています。
  双方一致认为,中美元首就中美关系和重大国际问题深入沟通对引领中美关系正确发展非常重要,同意继续通过多种方式保持经常性联系,将责成双方工作层加紧工作、广泛对话,为中美关系向前发展创造条件。   双方は、米中関係および主要な国際問題について、米中両国の首脳が綿密なコミュニケーションを図ることが、米中関係の正しい発展を導くために非常に重要であることに合意し、今後も様々な手段で定期的に連絡を取り合うことにし、米中関係の前進的発展のための条件を整えるために、双方の実務者レベルでの作業と広範な対話を強化することを課題とします。

バイデン大統領が何を言ったのかと公表しているのかわかりにくいです...

 

山重水复疑无路,柳暗花明又一村」[Baidu]ですが、詩人・呂有の作品『山西の村への旅』の一節で、「ある解決策がうまくいかないとき、別の解決策を見つけることができる」という考えの例えのようです。

「行き詰まって隘路に入ってしまった時は、考え方を変えてみたら解決策が見つかるでしょう(逆境には無限の可能性があるんですよ)、アメリカさん」ということなんでしょうかね。。。

こういう歴史に敷衍された文化的なコンテンツをもってくるところが余裕を感じさせる演出なんでしょうかね。。。

《游山西村》
(南宋)陆游
莫笑农家腊酒浑,
丰年留客足鸡豚。
山重水复疑无路,
柳暗花明又一村。
箫鼓追随春社近,
衣冠俭朴古风存。
从今若许闲乘月,
拄杖无时夜叩门。

意訳:

農家がつくる濁り酒を笑ってはいけない、
豊作の年であれば、客に出す料理は鳥や豚でとても豪華だ。
山が重なり、水が曲がりくねっていて、行き止まりかと思っていたら
薄暗く生い茂った柳の向こうに、色鮮やかな桃の花に囲まれた村があった
笛を吹き、太鼓を打ち鳴らして春祭りの日が近づいているようだが
村人たちはまだ質素な服を着ていて、昔ながらの習慣が残っている。
将来、美しい月明かりの下で外出できるようになったら、
いつでも杖をついてあなたの家の門を叩きに行こう

美しい七言律詩ですね。。。

 

さて、翌日の外交部の記者会見です。

・2021.09.10 2021年9月10日外交部发言人赵立坚主持例行记者会

彭博社记者:你能否提供中美元首通话更多细节?双方还提到将责成工作层加紧工作、广泛对话,能否介绍具体情况?未来数周或数月内,中美关系可能因此次通话发生哪些值得关注的变化? ブルームバーグ記者:中米ドルコールについて、もう少し詳しく教えてください。 また、双方ともに、作業レベルを強化し、幅広い対話を行うことを課題とすると述べていますが、具体的に教えてください。 今回の呼びかけによって、今後数週間から数カ月の間に、米中関係にどのような変化が起こるでしょうか。
  赵立坚:中美分别是最大的发展中国家和最大的发达国家。中美能否处理好彼此关系,攸关世界前途命运,是两国必须回答好的世纪之问。中美合作,两国和世界都会受益;中美对抗,两国和世界都会遭殃。中美关系不是一道是否搞好的选择题,而是一道如何搞好的必答题。   Zhao Lijian:中国とアメリカは、それぞれ最大の発展途上国と最大の先進国です。 中国と米国がその関係をうまく処理できるかどうかは、世界の未来と運命にかかわる問題であり、両国がうまく答えなければならない世紀の問題である。 中国と米国が協力すれば、両国と世界は利益を得ることができ、中国と米国が対立すれば、両国と世界は苦しむことになります。 中国と米国の関係は、「うまくいくかどうか」という多肢選択問題ではなく、「どうすればうまくいくか」という必答問題なのです。
  当前,国际社会面临许多共同难题。中美应该展现大格局、肩负大担当,坚持向前看、往前走,拿出战略胆识和政治魄力,推动中美关系尽快回到稳定发展的正确轨道,更好造福两国人民和世界各国人民。   現在、国際社会は多くの共通の問題に直面しています。 中国と米国は、大局観を持ち、大きな責任を担い、前を向いて前進することを主張し、戦略的な大胆さと政治的な勇気を示し、両国民と世界の人々の向上のために、中米関係が安定した発展の正しい軌道に一刻も早く戻るように促進すべきである」と述べた。
  在此次通话中,双方一致认为,中美元首就中美关系和重大国际问题深入沟通对引领中美关系正确发展非常重要,同意继续通过多种方式保持经常性联系,将责成双方工作层加紧工作、广泛对话,为中美关系向前发展创造条件。   双方は通話中、米中関係や主要な国際問題について、中米両国の首脳が綿密なコミュニケーションを図ることが、米中関係の正しい発展を導くために非常に重要であることに合意し、今後も様々な手段で定期的に連絡を取り合うことにし、双方の実務レベルに課題を課して、米中関係の前進的発展のための条件を整えるために、作業を強化し、広範な対話を行うことにしました。
  关于你提到的具体问题,我没有可以补充的信息。   あなたがおっしゃった具体的な問題について、私は何も情報を持っていません。
《南华早报》记者:美国总统拜登在通话中表示,美方无意改变一个中国政策。中方对此有何评论?对美方表述是否满意? サウスチャイナ・モーニング・ポスト紙記者:ジョー・バイデン米大統領は、通話の中で「米国は一中国政策を変えるつもりはない」と述べた。 これに対する中国のコメントは? 米国の声明に満足していますか?
  赵立坚:台湾问题始终是中美关系中最重要、最敏感的问题。一个中国原则是中美关系的政治基础。习近平主席在通话中强调,中美应在尊重彼此核心关切、妥善管控分歧的基础上,继续接触对话,推进协调合作,为两国关系增添更多积极因素。拜登总统在通话中表示,美方从来无意改变一个中国政策。   趙麗健:台湾問題は、中米関係において常に最も重要で敏感な問題です。 中米関係の政治的基盤となっているのが「一つの中国の原則」です。 習近平国家主席は、「中国と米国は、互いの核心的関心事を尊重し、相違点を適切に管理することを基礎に、引き続き対話を行い、協調と協力を促進し、関係にさらに肯定的な要素を加えるべきである」と強調しました。 その際、バイデン大統領は「米国は一中国政策を変えるつもりはない」と述べました。

 

 

一方、米国側はあっさりしています。。。

The White House

・2021.09.09 Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China

Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China ジョセフ・R・バイデン・Jr.大統領と中国の習近平国家主席との電話会談
President Joseph R. Biden, Jr. spoke today with President Xi Jinping of the People’s Republic of China (PRC). The two leaders had a broad, strategic discussion in which they discussed areas where our interests converge, and areas where our interests, values, and perspectives diverge. They agreed to engage on both sets of issues openly and straightforwardly. This discussion, as President Biden made clear, was part of the United States’ ongoing effort to responsibly manage the competition between the United States and the PRC. President Biden underscored the United States’ enduring interest in peace, stability, and prosperity in the Indo-Pacific and the world and the two leaders discussed the responsibility of both nations to ensure competition does not veer into conflict. ジョセフ・R・バイデン・Jr.大統領は、本日、中華人民共和国の習近平国家主席と会談しました。両首脳は、広範かつ戦略的な議論を行い、我々の利益が一致する分野と、我々の利益、価値観、視点が異なる分野について議論しました。両首脳は、この2つの問題について、オープンで率直に取り組むことに合意しました。この話し合いは、バイデン大統領が明らかにしたように、米中の競争を責任を持って管理するための米国の継続的な取り組みの一環です。バイデン大統領は、インド太平洋および世界の平和、安定、繁栄に対する米国の持続的な関心を強調し、両首脳は、競争が紛争に発展しないようにするための両国の責任について議論しました。

 

翌日のサキ報道官の記者会見でのやりとりで中国に関連するところ...

・2021.09.10 Press Briefing by Press Secretary Jen Psaki, September 10, 2021

Press Briefing by Press Secretary Jen Psaki, September 10, 2021 ジェン・プサキ報道官によるプレス・ブリーフィング(2021年9月10日
... ...
Q    And just on another topic: the call with President Xi of China.  How long was that?  And also, did they discuss meeting in person at the G20? Q また、別の話題として、中国の習近平国家主席との電話会談がありました。  その時間はどのくらいでしたか?  また、G20での直接会談についても話し合われたのでしょうか?
MS. PSAKI:  It was about 90 minutes, the call.  The President has spent a lot of time with President Xi in the past, as he’s talked about publicly, and he drew on that shared experience in this call.  So the call was very familiar.  It was candid.  He didn’t avoid areas of disagreement, but the tone was not lecturing, nor was it condescending; it was respectful.  It was 90 minutes.  MS. PSAKI:通話時間は約90分でした。  大統領は、公の場で話しているように、過去に習主席と多くの時間を過ごしており、今回の通話でもその共通の経験を生かしました。  そのため、非常に親近感のある通話となりました。  率直なものでした。  意見の異なる部分を避けることはありませんでしたが、その口調は説教臭くもなく、見下しているわけでもなく、尊重されていました。  時間は90分でした。 
I don’t have anything to preview for you in terms of future meetings.  I would note that this call was about keeping the channels of communication open.  And what we’ve seen is that the importance here is about engaging Xi directly at the leader level, due to the centralization of power and the power that’s in his hands, hence that was the importance of the call.  It covered a range of topics.  今後のミーティングに関しては、何も情報を持ち合わせていません。  今回の電話では、対話のチャンネルをオープンにしておくことが重要だと述べました。  習近平氏が中央集権的であり、彼の手中にある権力のために、リーダーレベルで習近平氏に直接働きかけることが重要であることがわかりましたので、それがこの電話の重要性でした。  さまざまなトピックを取り上げました。 
... ...
Q    Thank you, Jen.  To follow up on the call with President Xi last night, exactly two weeks ago, when the intel community came up empty trying to figure out the origins of COVID, the President said “critical information” about the origins of this pandemic exists in the People’s Republic of China.  When he talked to the President of China last night, did he press him like he said he was going to? Q ジェンさん、ありがとうございました。  昨晩の習近平国家主席との会談の続きですが、ちょうど2週間前、情報機関がCOVIDの起源を解明しようとして空振りに終わったとき、大統領は、このパンデミックの起源に関する「重要な情報」は中華人民共和国に存在すると言いました。  昨夜、中国の大統領と話をしたとき、彼は言っていたように彼に圧力をかけたのでしょうか?
MS. PSAKI:  Well, I’m not going to go into a list — (alarm sounds) — of every topic discussed.  That was a very dramatic entry to that answer, but I’ll start again.  MS. PSAKI:そうですね、すべての話題をリストアップして説明するつもりはありません。  今の答えはとてもドラマチックなものでしたが、もう一度始めます。 
I’m not going to go into every list of every topic discussed.  They did discuss a range of transnational issues, including COVID-19.  And understanding its origins is, of course, a primary concern for this administration.  We continue to support phase two of the WHO’s investigation in China, and call on China to allow further studies of COVID-19 origins in China.  議論されたすべてのトピックのリストを説明するつもりはありません。  彼らはCOVID-19を含む、さまざまな国境を越えた問題を議論しました。  COVID-19の起源を理解することは、もちろん、この政権の主要な関心事です。  私たちは、中国におけるWHOの第2段階の調査を引き続き支持し、中国に対してCOVID-19の起源に関するさらなる調査を許可するよう求めています。 
I will also note that, you know, one of the topics the presidents also discussed is the importance of being able to have private discussions between the two leaders.  This is in contrast to some of the other interactions we’ve had at lower levels with the PRC.  And so, yes, it was a topic raised, but I’m not going to go into further detail. また、両首脳が話し合ったテーマの1つに、両首脳の間でプライベートな話し合いができることの重要性があります。  これは、これまでに行われてきた中国との低レベルの交流とは対照的です。  これは、これまでの中国との低レベルの交流とは対照的です。
Q    So we should understand that to mean that the President did ask him to let international investigators in to get this information that he says China has? Q つまり、中国が持っているという情報を得るために、国際的な調査機関を入れるように大統領が要請したと理解してよいのでしょうか?
MS. PSAKI:  We’ve conveyed that many times publicly.  I think they know that that’s our position and view. MS. PSAKI:私たちはそのことを何度も公に伝えてきました。  それが私たちの立場であり、見解であることを知っていると思います。
... ...
Q    Thank you, Jen.  On China, maybe — I understand you don’t want to provide too many details about the phone calls, but were human rights part of the conversation?  And also, did the President get the impression that China is willing to play an active role at the upcoming COP summit about climate?  Q ありがとうございます、ジェンさん。  中国についてですが、電話でのやりとりについてはあまり詳しくお話ししたくないとのことですが、会話の中に人権問題は含まれていましたか?  また、気候変動に関する次のCOPサミットで、中国が積極的な役割を果たすという印象を大統領は受けましたか? 
MS. PSAKI:  I’m not going to speak for what their intentions are at the COP summit.  Of course, I would note that, of course, climate around — as well as a number of topics were discussed, and the COP summit is the next big moment for the international community on that front.  And certainly, human rights were a part of the discussion, and the President did raise them, as he always does in these engagements. MS. PSAKI:中国がCOPサミットでどのような意図を持っているかを語るつもりはありません。  もちろん、気候問題を中心に、さまざまなテーマが議論され、COPサミットは国際社会にとって次の大きなチャンスであることは言うまでもありません。  また、人権についても議論され、大統領はいつものように人権問題を提起しました。
... ...
Q    Okay.  And one last one on Taiwan.  Is the administration seriously considering a request from Taiwan to change the name of its mission in Washington from “Taipei Economic and Cultural Representative Office” to “Taiwan Representative Office”? Q  わかりました。  最後にもうひとつ、台湾について。  台湾から、ワシントンにあるミッションの名称を「台北経済文化代表事務所」から「台湾代表事務所」に変更するよう要請があった場合、政権は真剣に検討しているのでしょうか?
MS. PSAKI:  I have — I would have to check with our team on this issue.  MS. PSAKI:この問題については、私たちのチームに確認しなければなりません。 
... ...
Q    — ask one last one on China? Q - 最後に中国についてお聞きします。
MS. PSAKI:  Oh, no, I got to keep going.  MS. PSAKI:あ、いえ、次の話題にいかないといけません。 

 

Fig1_20210912034601


 

参考

Yahoo! News

・2021.09.11 後退するアメリカーー米中首脳電話会談で「一つの中国」を認め、ウイグル問題を避けたバイデン by 遠藤誉

遠藤さんは、さらに踏み込んだ解釈をしていますね。。。いつも参考になります。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.05 ロシア 第6回 東方経済フォーラムに習近平さんも電話で参加したようです。。。

・2021.07.21 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応(その2)

・2021.07.20 米国、英国、欧州連合が「中国が悪意あるサイバー活動を行なっている」と発表したことに対する中国側の対応

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書(2021年)

・2021.07.05 中国共産党100周年の演説 at 天安門広場 by 習近平さん

・2021.07.01 防衛研究所 バイデン政権と中国

・2021.04.27 防衛研究所 台湾関係 日米首脳共同声明等

・2021.03.10 防衛省 NIDS 防衛研究所 米大統領選後の安全保障の展望

・2020.12.04 防衛省 防衛研究所 「一帯一路構想と国際秩序の行方」(安全保障国際シンポジウム報告書)

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

 

 

| | Comments (0)

2021.09.11

英国 Ada Lovelance 研究所 「参加型データスチュワードシップ - データの利用に人々を参加させるためのフレームワーク」

こんにちは、丸山満彦です。

英国 Ada Lovelance 研究所が「参加型データスチュワードシップ - データの利用に人々を参加させるためのフレームワーク」という報告書を公表しています。

Ada Lovelance Institute

・2021.09.07 Participatory data stewardship - A framework for involving people in the use of data

 

なかなか興味深い内容です。

英国だから、このスチュワードシップ (stewardship) ということばがでてくるのかも知れません。

データから利益を得る人も含めてデータにまつわる全ての利害関係者が参加するような仕組みが必要という考え方という感じですかね。。。

「データマイニング」、「データは資源だ」、まぁ言えば、「地下に眠っていた金や石油を掘り出して、価値を生み出す」という考え方は多分に、ゴールドラッシュを経験したり、世界有数の石油埋蔵量を誇る米国だから生まれた発想なのかもしれません。

一方、貴族が家(城)に執事を住まわせていて、後に資本家が自分の資本をレバレッジさせて金融の仕組み(銀行貸付、証券投資等)で富を築いてきた英国の目から見ると、ガバナンスやスチュワードシップのほうがしっくりくるのかもしれません。。。しらんけど。。。

ちなみに、Ada Lovelace(エイダ・ラブレイス 1815-1852)については、Wikipediaが参考になります。彼女は最初のプログラマーといわれています、、、

・[PDF

20210911-55953

Executive summary エグゼクティブ・サマリー
Foreword 序文
Introduction はじめに
・Why participatory data stewardship matters ・なぜ参加型データスチュワードシップが重要なのか?
・What do we mean by ‘stewardship’? ・スチュワードシップ」とは何を意味するのか?
Introducing a framework for participatory data stewardship 参加型データスチュワードシップの枠組みの紹介
Mechanisms for participatory data stewardship 参加型データスチュワードシップの仕組み
・Inform ・知らせる
・Consult ・相談する
・Involve ・巻き込む
・Collaborate ・協力する
・Empower ・力を与える
Who to involve when developing participatory mechanisms 参加型メカニズムの開発には誰を参加させるべきか
Benefits of effective participation for the design, development and use of data-driven systems データ駆動型システムの設計、開発、使用における効果的な参加の利点
Conclusion 結論
Methodology 方法論
Appendix 附属書
References 参考文献

 

Executive summary エグゼクティブ・サマリー
Well-managed data can support organisations, researchers, governments and corporations to conduct lifesaving health research, reduce environmental harms and produce societal value for individuals and communities. But these benefits are often overshadowed by harms, as current practices in data collection, storage, sharing and use have led to high-profile misuses of personal data, data breaches and sharing scandals. 適切に管理されたデータは、組織、研究者、政府、企業にとって、命を救う健康研究の実施や、環境への悪影響の軽減、個人やコミュニティへの社会的価値の提供に役立ちます。しかし、データの収集、保存、共有、利用に関する現在の慣行では、個人データの悪用、データ侵害、共有に関するスキャンダルが目立っているため、これらのメリットはしばしば弊害によって覆い隠されています。
These range from the backlash to Care.Data,[1] to the response to Cambridge Analytica and Facebook’s collection and use of data for political advertising.[2] These cumulative scandals have resulted in ‘tenuous’ public trust in data sharing,[3] which entrenches public concern about data and impedes its use in the public interest. To reverse this trend, what is needed is increased legitimacy, and increased trustworthiness, of data and AI use. これらのスキャンダルは、Care.Dataに対する反発[1]から、Cambridge AnalyticaやFacebookによる政治広告のためのデータ収集・利用に対する反発[2]まで、多岐にわたっています。これらのスキャンダルの累積により、データ共有に対する国民の信頼が「希薄」になり[3]、データに対する国民の懸念が定着し、公益のための利用が妨げられています。この流れを変えるために必要なのは、データとAIの利用に対する正当性と信頼性を高めることです。
This report proposes a ‘framework for participatory data stewardship’, which rejects practices of data collection, storage, sharing and use in ways that are opaque or seek to manipulate people, in favour of practices that empower people to help inform, shape and – in some instances – govern their own data. 本報告書では、「参加型データスチュワードシップのためのフレームワーク」を提案しています。これは、データの収集、保存、共有、利用の方法が不透明であったり、人々を操作しようとするものであったりすることを否定し、人々が自らのデータについて情報を提供したり、形を整えたり、場合によっては統治したりすることができるような方法を推奨するものです。
As a critical component of good data governance, it proposes data stewardship as the responsible use, collection and management of data in a participatory and rights-preserving way, informed by values and engaging with questions of fairness. 優れたデータガバナンスの重要な要素であるデータスチュワードシップとは、参加型で権利を守る方法でデータを責任をもって使用、収集、管理することであり、価値観に基づいて公平性の問題に取り組むことであると提案しています。
Drawing extensively from Sherry Arnstein’s ‘ladder of citizen participation’[4] and its more recent adaptation into a spectrum,[5] this new framework is based on an analysis of over 100 case studies of different methods of participatory data stewardship.[6] It demonstrates ways that people can gain increasing levels of control and agency over their data – from being informed about what is happening to data about themselves, through to being empowered to take responsibility for exercising and actively managing decisions about data governance. この新しいフレームワークは、シェリー・アーンスタインの「市民参加の梯子」[4]と、それを最近になってスペクトラム化したもの[5]を参考に、参加型データスチュワードシップのさまざまな手法に関する100件以上のケーススタディの分析に基づいています[6]。 このフレームワークは、人々が自分のデータに対するコントロールとエージェンシーのレベルを高めていく方法を示しています。それは、自分自身に関するデータに何が起こっているかを知ることから、データガバナンスに関する決定を行使し、積極的に管理する責任を負うことまでです。
Throughout this report, we explore – using case studies and accompanying commentary – a range of mechanisms for achieving participatory decision-making around the design, development and use of data-driven systems and data-governance frameworks. This report provides evidence that involving people in the way data is used can support greater social and economic equity, and rebalance asymmetries of power.[7] 本報告書では、データ駆動型システムおよびデータガバナンスフレームワークの設計、開発、使用に関する参加型の意思決定を実現するためのさまざまなメカニズムを、ケーススタディと解説を交えて紹介しています。本報告書は、データの利用方法に人々を参加させることで、社会的・経済的な公平性を高め、権力の非対称性のバランスを取ることができるという証拠を示しています[7]。
It also highlights how examining different mechanisms of participatory data stewardship can help businesses, developers and policymakers to better understand which rights to enshrine, in order to contribute towards the increased legitimacy of – and public confidence in – the use of data and AI that works for people and society. また、参加型データスチュワードシップのさまざまなメカニズムを検証することで、企業、開発者、政策立案者が、どの権利を明記すべきかをよりよく理解し、人々や社会に役立つデータやAIの利用の正当性と信頼性の向上に貢献することができることを強調しています。
Focusing on participatory approaches to data stewardship, this report provides a complementary perspective to Ada’s joint publication with the AI Council, Exploring legal mechanisms for data stewardship, which explores three legal mechanisms that could help facilitate responsible data stewardship.[8] 本報告書は、データスチュワードシップへの参加型アプローチに焦点を当て、エイダがAIカウンシルと共同で発行した「Exploring legal mechanisms for data stewardship」を補完する視点を提供するものです。
We do not propose participatory approaches as an alternative to legal and rights-based approaches, but rather as a set of complementary mechanisms to ensure public confidence and trust in appropriate uses of data, and – in some cases – to help shape the future of rights-based approaches, governance and regulation. 我々は参加型アプローチを法的・権利ベースのアプローチに代わるものとして提案しているのではなく、データの適切な利用に対する国民の信頼と信用を確保するための一連の補完的なメカニズムとして、また、場合によっては権利ベースのアプローチ、ガバナンス、規制の将来を形成するのに役立つものとして提案しているのです。

[1] Triggle, N. (2014). ‘Care.data: How did it go so wrong?’ BBC News. 19 Feb. Available at: https://www.bbc.co.uk/news/health-26259101 [Accessed 6 Jul. 2021]

[2] Fruchter, N., Yuan, B. and Specter, M. (2018). ‘Facebook/Cambridge Analytica: Privacy lessons and a way forward’. Internet Policy Research Initiative at MIT. Available at: https://internetpolicy.mit.edu/blog-2018-fbcambridgeanalytica/.

[3] Centre for Data Ethics and Innovation. (2020). Independent report: Addressing trust in public sector data use. GOV.UK. Available at: https://www.gov.uk/government/publications/cdei-publishes-its-first-report-on-public-sector-data-sharing/addressing-trust-in-public-sector-data-use [Accessed 15 February 2021]

[4] Arnstein, S. (1969). ‘A Ladder of Citizen Participation’. Journal of the American Institute of Planners, 35(4), pp.216-224. Available at: https://www.tandfonline.com/doi/abs/10.1080/01944366908977225

[5] Patel, R. and Gibbon, K. (2018). ‘Why decisions about the economy need you’. The RSA. Available at: https://www.thersa.org/blog/2017/04/why-decisions-about-the-economy-need-you [Accessed 15 February 2021]

[6] Patel, R. and Peppin, A. (2020). ‘Exploring principles for data stewardship’. Ada Lovelace Institute. Available at: https://www.adalovelaceinstitute.org/project/exploring-principles-for-data-stewardship/ [Accessed 16 Feb. 2021]

[7] Kapoor, Astha and Whitt, Richard S. (2021). Nudging Towards Data Equity: The Role of Stewardship and Fiduciaries in the Digital Economy. February 22. Available at SSRN: https://ssrn.com/abstract=3791845 or http://dx.doi.org/10.2139/ssrn.3791845

[8] Ada Lovelace Institute. (2021). Exploring legal mechanisms for data stewardship. Available at: https://www.adalovelaceinstitute.org/report/legal-mechanisms-data-stewardship/


 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.05 コーポレートガバナンス・コード改訂(案)

 

今回の文書は、下記の文書の補足文書の位置付けのようです。。。

・2021.03.06 英国 Ada Lovelace 研究所 データスチュワードシップの法的メカニズムを探る

 

 

| | Comments (0)

2021.09.10

米国 CSET AIの偶発事故:新たな脅威となる可能性

こんにちは、丸山満彦です。

米国ジョージタウン大学のCenter for Security and Emerging Technology: CSET が、AIの偶発事故が将来の人類の脅威になるという論文を7月に公表していました。。。

AIが偶発事故 (Accident) を起こす要因として、次の3つの失敗をあげています。

  • robustness failures (堅牢性の失敗)
  • specification failures (要件の失敗)
  • assurance failures (保証の失敗)

です。

そして、その失敗を引き起こす要因として、

  • fast-paced operation (高速処理)
  • system complexity (システムの複雑化)
  • competitive pressure. (競争上の圧力)
  • など

をあげています。

Center for Security and Emerging Technology: CSET

・2021.07 AI Accidents: An Emerging Threat - What Could Happen and What to Do

AI Accidents: An Emerging Threat AIの偶発事故:新たな脅威となる可能性
What Could Happen and What to Do 何が起こりうるか、何をすべきか
As modern machine learning systems become more widely used, the potential costs of malfunctions grow. This policy brief describes how trends we already see today—both in newly deployed artificial intelligence systems and in older technologies—show how damaging the AI accidents of the future could be. It describes a wide range of hypothetical but realistic scenarios to illustrate the risks of AI accidents and offers concrete policy suggestions to reduce these risks. 最新の機械学習システムがより広く使用されるようになるにつれ、誤作動による潜在的なコストは増大しています。このポリシー・ブリーフでは、新たに導入された人工知能システムと旧来のテクノロジーの両方において、現在すでに見られる傾向が、将来のAI事故がどれほどの被害をもたらすかを示していることを説明しています。また、AI事故のリスクを説明するために、様々な仮想的かつ現実的なシナリオを説明し、これらのリスクを軽減するための具体的な政策提案を行っています。
Executive Summary エグゼクティブサマリー
Modern machine learning is powerful in many ways, but profoundly fragile in others. Because of this fragility, even the most advanced artificial intelligence tools can unpredictably fail, potentially crippling the systems in which they are embedded. As machine learning becomes part of critical, real-world systems, from cars and planes to financial markets, power plants, hospitals, and weapons platforms, the potential human, economic, and political costs of AI accidents will continue to grow. 現代の機械学習は多くの点で強力であるが、他の点では深く脆弱である。この脆さゆえに、最先端の人工知能ツールであっても、予期せぬ失敗をして、組み込まれたシステムを崩壊させる可能性があります。機械学習が、自動車や飛行機、金融市場、発電所、病院、兵器プラットフォームなど、重要な実世界のシステムに組み込まれるようになるにつれ、人工知能の事故がもたらす潜在的な人的、経済的、政治的コストは増大し続けるでしょう。
Policymakers can help reduce these risks. To support their efforts, this brief explains how AI accidents can occur and what they are likely to look like “in the wild.” Using hypothetical scenarios involving AI capabilities that already exist or soon will, we explain three basic types of AI failures—robustness failures, specification failures, and assurance failures—and highlight factors that make them more likely to occur, such as fast-paced operation, system complexity, and competitive pressure. Finally, we propose a set of initial policy actions to reduce the risks of AI accidents, make AI tools more trustworthy and socially beneficial, and support a safer, richer, and healthier AI future. Policymakers should: 政策立案者はこれらのリスクを軽減することができます。本報告書では、政策立案者の取り組みを支援するために、AIの偶発事故がどのようにして起こりうるか、また、「自然界」ではどのような形で起こりうるかを説明します。すでに存在している、あるいは近い将来登場するであろうAIの能力を想定したシナリオを用いて、AIの失敗の3つの基本的なタイプ(堅牢性の失敗、要件の失敗、保証の失敗)を説明し、これらの失敗が発生しやすい要因として、操作の高速化、システムの複雑化、競争上の圧力などを取り上げています。最後に、AIの偶発事故のリスクを低減し、AIツールの信頼性を高めて社会的に有益なものとし、より安全で豊かで健康的なAIの未来を支えるための一連の初期政策を提案します。政策立案者は以下のことを実行すべきです。
Facilitate information sharing about AI accidents and near misses, working with the private sector to build a common base of knowledge on when and how AI fails. AIの偶発事故やヒヤリハットに関する情報共有を促進し、民間企業と協力して、AIがいつ、どのように失敗するかについての共通の知識基盤を構築する。
Invest in AI safety research and development (R&D), a critical but currently underfunded area. AIの安全性に関する研究開発(R&D)に投資すること。
Invest in AI standards development and testing capacity, which will help develop the basic concepts and resources needed to ensure AI systems are safe and reliable. AIシステムの安全性と信頼性を確保するために必要な基本的な概念とリソースの開発に役立つ、AI標準開発とテスト能力に投資する。
Work across borders to reduce accident risks, including through R&D alliances and intergovernmental organizations. R&Dアライアンスや政府間組織など、国境を越えて協力し、事故リスクを低減する。

 

・[PDF] AI Accidents: An Emerging Threat - What Could Happen and What to Do

20210910-130408

 

Executive Summary エグゼクティブ・サマリー
1. What are AI accidents? 1.AIの偶発事故とは?
2. What could AI accidents look like? 2.AIの偶発事故はどのようなものか?
  Robustness  堅牢性
  Specification  仕様
  Assurance  保証
3. When are AI accidents more likely? 3.AIの偶発事故が起こりやすいのはどんなとき?
4. What to do 4.何をすべきか
Authors 著者
Acknowledgments 謝辞
Endnotes 巻末資料



・[DOCX] 仮訳

 


これをベースに戦争に関連したことについての対談もあります。。。

National Defense

・2021.0.9.08 Algorithmic Warfare: How AI Could Go Disastrously Wrong

もちろん、そういうことは通常の場合はあらかじめ組み込まれているFail Safe機能により、障害が拡大しないようになるのですが、今までのシステムはそうかもしれませんが、これからでてくる新しいシステムでは、そのFail Safe機能を入れ忘れてしまうかもしれません。。。そうならないように気をつけましょうという話ですね。。。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.09 紹介 AIインシデントデータベース

・2021.08.20 MITRE AIの5つの失敗例とそこから学ぶべきこと

・2021.03.31 米国 CSET AI安全性の主要概念:概要

-----

・2021.03.11 「失敗を恐れると何もできない!」?

・2020.02.26 高信頼性組織を思い出そう!

・2011.03.29 金融庁 みずほ銀の事故の根本原因を検査

・2011.03.29 これも仕分けられたん? 「失敗知識データベース」サービス終了

・2005.04.15 論よりRUN

・2005.03.24 失敗知識データベース これはイイ

| | Comments (0)

NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

こんにちは、丸山満彦です。

NISTがNISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイルを公表し、意見募集をしていますね。。。

2021年6月9日に暫定草案が公表されていたものです。。。

サイバーセキュリティフレームワークに沿って検討されています。

内容的には特段新しいことはなく、リンクが中心ですが、それが良いと思います。既存の枠組みの中で、ちゃんと説明することが、現場には受け入れやすい。。。

 

NIST - ITL

・2021.09.08 Ransomware Risk Management: Draft NISTIR 8374 Available for Comment

・2021.09.08 NISTIR 8374 (Draft) Cybersecurity Framework Profile for Ransomware Risk Management

Announcement 発表
This revised draft addresses the public comments provided for the preliminary draft released in June 2021. 今回の改訂版は、2021年6月に発表した暫定草案に対して寄せられたパブリックコメントに対応したものです。
Ransomware is a type of malware that encrypts an organization’s data and demands payment as a condition of restoring access to that data. In some instances, ransomware may also steal an organization’s information and demand additional payment in return for not disclosing the information to authorities, competitors, or the public. Ransomware attacks target organizations’ data or critical infrastructure, disrupting or halting operations.  ランサムウェアとは、組織のデータを暗号化し、そのデータへのアクセス権を回復する条件として支払いを要求するマルウェアの一種です。場合によっては、組織の情報を盗み出し、その情報を当局や競合他社、一般市民に開示しないことを条件に、追加の支払いを要求することもあります。ランサムウェアの攻撃は、組織のデータや重要なインフラを標的とし、業務を中断または停止させます。
This report defines a Ransomware Profile, which identifies security objectives from the NIST Cybersecurity Framework that support preventing, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping gauge an organization’s level of readiness to mitigate ransomware threats and to react to the potential impact of events. このプロファイルは、ランサムウェアのイベントの防止、対応、回復をサポートするNIST Cybersecurity Frameworkのセキュリティ目標を特定するものです。このプロファイルは、ランサムウェアのリスクを管理するための指針として使用することができます。これには、ランサムウェアの脅威を軽減し、イベントの潜在的な影響に対応するための組織の準備レベルを評価することも含まれます。
Abstract 概要
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. In some instances, attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Ransomware Profile identifies the Cybersecurity Framework Version 1.1 security objectives that support preventing, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization's level of readiness to counter ransomware threats and to deal with the potential consequences of events. ランサムウェアとは、攻撃者が組織のデータを暗号化し、アクセス権を回復するための支払いを要求する悪意のある攻撃の一種です。場合によっては、攻撃者が組織の情報を盗み出し、その情報を当局や競合他社、一般市民に開示しないことを条件に、追加の支払いを要求することもあります。このランサムウェアのプロファイルは、ランサムウェアの発生を防ぎ、対応し、回復するためのサイバーセキュリティフレームワーク バージョン1.1のセキュリティ目標を示しています。このプロファイルは、ランサムウェアのイベントのリスクを管理するためのガイドとして使用できます。これには、ランサムウェアの脅威に対抗するための組織の準備レベルの測定や、イベントの潜在的な影響への対処が含まれます。

 

・[PDF] Draft NISTIR 8374 Cybersecurity Framework Profile for Ransomware Risk Management

20210910-102453

1 Introduction 1 序文
1.1 The Ransomware Challenge 1.1 ランサムウェアの課題
1.2 Audience 1.2 想定読者
1.3 Additional Resources 1.3 追加リソース
2 The Ransomware Profile 2 ランサムウェアの概要
References 参考文献

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)

| | Comments (0)

米国 連邦商務省 国家人工知能諮問委員会を設立

こんにちは、丸山満彦です。

米国連邦政府の商務省が、「国家人工知能諮問委員会」を設立すると公表していますね。。。

● Department of Commerce

・2021.09.08 Department of Commerce Establishes National Artificial Intelligence Advisory Committee

The department is now seeking to recruit top-level candidates to serve on the committee.

NIST

・2021.09.08 Department of Commerce Establishes National Artificial Intelligence Advisory Committee

 

 官報でメンバーを呼びかけていますね。。。

Federal Register

 ・2021.09.08 Call for Nominations To Serve on the National Artificial Intelligence Advisory Committee and Call for Nominations To Serve on the Subcommittee on Artificial Intelligence and Law Enforcement

 


Fig1_20210910064001

| | Comments (0)

EU議会 提言 バイオメトリクス認識と行動検知

こんにちは、丸山満彦です。

欧州議会は、2021年9月2日に、法務委員会と請願委員会の要請に応じて、バイオメトリクス認識と行動検出に関する研究とそれに基づく提言をおこないましたね。。。

内容は、8月6日に公表されたもののExective Summaryと本文は同じです。

 ● European Parliament 

・[PDF] Biometric Recognition and Behavioural Detection

20210910-61110_20210910061101

 

提言内容

Key recommendations  主な提言 
The recent Proposal for an AIA goes in the right direction but still fails to address ethical concerns in a consistent manner, in particular due to various restrictions in the scope of provisions. The study proposes to include in the Proposal a new Title IIa that is devoted to restricted AI practices, including biometric techniques and inferences, ensuring responsible use of these techniques without stifling innovation and growth.   最近のAIAの提案は、正しい方向性を示していますが、特に規定の範囲に様々な制限があるため、倫理的な懸念に一貫して対処することができていません。本研究では、提案の中に、バイオメトリクス認証技術や推論を含む制限されたAIの実践に専念する新たなタイトルIIaを含めることで、イノベーションと成長を阻害することなく、これらの技術の責任ある使用を保証することを提案します。 
The Study suggests that, in particular, the amendments to the Proposal as listed below should be considered by the European Parliament.  本研究では、特に、次のような提案の修正を欧州議会で検討することを提案する。
The definitions in Article 3 should be amended:   第3条の定義を修正すべきである。 
• The definitions of ‘emotion recognition system’ and ‘biometric categorisation system’ should be detached from the concept of ‘biometric data’ as defined in the GDPR and rather based on a new definition of ‘biometrics-based data’;  •「感情認識システム」と「バイオメトリクス分類システム」の定義は、GDPRで定義されている「バイオメトリクスデータ」の概念から切り離し、むしろ「バイオメトリクスに基づくデータ」という新たな定義に基づくべきである。
• The definitions of ‘remote’ and ‘real-time’ with regard to biometric identification should be slightly modified.  • バイオメトリクス認証に関する「リモート」と「リアルタイム」の定義を若干変更すること。
• An additional definition for ‘biometric inferences’ should be introduced; Title II on prohibited AI practices should be amended:   • 禁止されたAI行為に関するタイトルIIを修正すべきである。
Title II on prohibited AI practices should be amended:
AIの禁止行為に関するタイトルIIを修正すべきである。
• The current Article 5(1)(d) and (2) to (4) on real-time remote biometric identification should be removed from Article 5 and transferred to a new Title IIa on ‘restricted AI practices’;   • リアルタイム遠隔バイオメトリクス認証に関する現行の第5条(1)(d)及び(2)~(4)は、第5条から削除し、「制限されたAI行為」に関する新たなタイトルIIaに移すべきである。 
• The list of prohibited AI practices in Article 5(1) should be enriched, at least, by a prohibition of total or comprehensive surveillance of natural persons in their private or work life and of infringements of mental privacy and integrity (further extensions being beyond the scope of this Study);   • 第5条(1)の禁止されるAI行為のリストは、少なくとも、自然人の私生活や仕事上の生活における全面的または包括的な監視の禁止、および精神的なプライバシーや完全性の侵害の禁止によって強化されるべきである(さらなる拡張は本研究の範囲外である)。 
• The Commission should have the possibility to adapt the list of prohibited AI practices periodically, potentially under the supervision of the European Parliament;   • 欧州委員会は,禁止されたAI行為のリストを,欧州議会の監視下で定期的に変更する可能性を持つべきである。
• There should be a clarification that prohibitions following from other laws (such as data protection or consumer protection law) remain unaffected.  • 他の法律(データ保護法や消費者保護法など)に基づく禁止事項は影響を受けないことを明確にするべきである。
A new Title IIa on ‘restricted AI applications’ should be inserted:   「制限付きAIアプリケーション」に関する新たなタイトルIIaを挿入すべきである。 
• The new Title IIa should deal with ‘real-time’ remote biometric identification (or even with other forms of real-time remote identification) in a more comprehensive way, without limitation to law enforcement purposes;  • 新しいタイトルIIaは、法執行目的に限定することなく、より包括的な方法で「リアルタイム」の遠隔バイオメトリクス認証(あるいは他の形態のリアルタイム遠隔認証)を取り扱うべきである。
• It should also include a provision on other biometric identification systems, emotion recognition systems and biometric categorisation systems, limiting the admissibility of such systems and integrating the transparency obligation which is currently in Article 52(2);  • また,他のバイオメトリクス認証システム,感情認識システム,バイオメトリクス分類システムに関する規定を盛り込み,これらのシステムの許容性を制限し,現在の第52条第2項にある透明性義務を統合すべきである。
• Title IIa should likewise include a new provision on decisions based on biometric techniques;  • タイトルIIaは,同様に,バイオメトリック技術に基づく決定に関する新たな規定を含むべきである。
• Title IIa might possibly also include provisions that put substantive limits to the drawing of biometric inferences and provide for automated consent management.  • タイトルIIaには,バイオメトリック推論の抽出に実質的な制限を加え,自動化された同意管理を規定する条項も含まれる可能性がある。
Annex III point 1 should be extended so as to cover emotion recognition systems in (at least) the same way as biometric categorisation systems.  附属書IIIのポイント1は、バイオメトリクス情報による分類システムと(少なくとも)同じように、感情認識システムをカバーするように拡張すべきである。

 

ということで、内容はこちらを参考にしてください。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

 


人工知能法案

AIについての欧州アプローチに関する規則の提案

・2021.04.21 Proposal for a Regulation on a European approach for Artificial Intelligence

1. [PDF] Proposal for a Regulation on a European approach for Artificial Intelligence

20210424-65830



取り急ぎの仮訳。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.09 経団連 提案された欧州人工知能法に関する意見

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

中国関係では、

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.07.21 中国 意見募集「深圳経済特区における人工知能産業振興条例(案)」

 

| | Comments (0)

2021.09.09

米国 CISA 意見募集 ゼロトラスト成熟度モデル

こんにちは丸山満彦です。

CISAが2021.09.07に「クラウドセキュリティ技術参照アーキテクチャ (TRA) 」と「ゼロトラスト成熟度モデル」を公開し、パブリックコメントを受け付けていますね。。。意見は10月1日まで受け付けていますね。。。

これ両方とも重要そうですね。。。

こちらは、「ゼロトラスト成熟度モデル」の紹介です。。。

● CISA

・2021.09.07 CISA RELEASES THE CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE AND ZERO TRUST MATURITY MODEL FOR PUBLIC COMMENT

CISA RELEASES THE CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE AND ZERO TRUST MATURITY MODEL FOR PUBLIC COMMENT CISA、クラウド・セキュリティ・テクニカル・リファレンス・アーキテクチャとゼロ・トラスト成熟度モデルをパブリック・コメント用に公開
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Cloud Security Technical Reference Architecture (TRA) and Zero Trust Maturity Model for public comment. As the federal government continues to expand past the traditional network perimeter, it is paramount that agencies implement data protection measures around cloud security and zero trust. The TRA is designed to guide agencies’ secure migration to the cloud by explaining considerations for shared services, cloud migration, and cloud security posture management. CISA’s Zero Trust Maturity Model assists agencies in the development of their zero trust strategies and implementation plans, and presents ways in which various CISA services can support zero trust solutions across agencies. ワシントン - 本日、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、クラウドセキュリティ技術参照アーキテクチャ(TRA)とゼロトラスト成熟度モデルを公開し、パブリックコメントを受け付けました。連邦政府が従来のネットワーク境界を越えて拡大を続ける中、各省庁がクラウドセキュリティとゼロトラストに関するデータ保護対策を実施することは最重要課題となっています。TRAは、共有サービス、クラウドへの移行、クラウド・セキュリティ・ポスチャ管理に関する考慮事項を説明することで、各省庁がクラウドに安全に移行するための指針となるように設計されています。CISAのゼロトラスト成熟度モデルは、各省庁のゼロトラスト戦略と実施計画の策定を支援し、さまざまなCISAサービスが各省庁のゼロトラスト・ソリューションを支援する方法を提示しています。
In accordance with Executive Order 14028, “Improving the Nation’s Cybersecurity,” CISA developed the Cloud Security TRA in partnership with the United States Digital Service (USDS) and the Federal Risk and Authorization Management Program (FedRAMP). To expand this collaboration, CISA is releasing the document for public comment to collect critical feedback from agencies, industry, and academia to ensure the guidance fully addresses considerations for secure cloud migration. CISAは、大統領令14028「国家のサイバーセキュリティの向上」に基づき、米国デジタル・サービス(USDS)および連邦リスク認可管理プログラム(FedRAMP)と協力してクラウド・セキュリティTRAを開発しました。この協力関係を拡大するために、CISAはこの文書をパブリックコメント用に公開し、政府機関、産業界、学界から重要なフィードバックを集め、ガイダンスが安全なクラウド移行のための考慮事項に完全に対応していることを確認します。
CISA drafted the Zero Trust Maturity Model in June to assist agencies in complying with the Executive Order. While the distribution was originally limited to agencies, CISA is excited to release the maturity model for public comment. CISAは、政府機関が大統領令を遵守することを支援するために、6月にゼロトラスト成熟度モデルを起草しました。このモデルの配布は当初、政府機関に限定されていましたが、CISAはこの成熟度モデルをパブリックコメントとして公開することになりました。
“President Biden’s Cyber Executive Order outlined crucial steps needed to secure the federal government’s networks and CISA is focused on completing the required tasks and more,” said Eric Goldstein, Executive Assistant Director of Cybersecurity, CISA. “To meet agencies’ needs, we drafted the Zero Trust Maturity Model and Cloud Security TRA in coordination with USDS and FedRAMP. We are now requesting public comment to ensure our recommended cloud technology modernization and zero trust efforts, respectively, enable the best visibility, flexibility, and security.” CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、「バイデン大統領のサイバー大統領令は、連邦政府のネットワークを保護するために必要な重要なステップを示しており、CISAは必要なタスクを完了することに注力しています。各省庁のニーズに応えるために、我々はUSDSおよびFedRAMPと協力して、ゼロトラスト成熟度モデルとクラウドセキュリティTRAを起草しました。現在、我々が推奨するクラウド技術の近代化とゼロトラストの取り組みが、それぞれ最高の可視性、柔軟性、セキュリティを実現するために、パブリックコメントを求めています」と述べています。

 

・2021.09.07 NO TRUST? NO PROBLEM: MATURING TOWARDS ZERO TRUST ARCHITECTURES

NO TRUST? NO PROBLEM: MATURING TOWARDS ZERO TRUST ARCHITECTURES 信頼がない?でも問題ないです: ゼロトラスト・アーキテクチャーに向けて成熟する
Trust is an essential part of human connection. However, for network connections, trust can cause more harm than good. Executive Order (EO) 14208, “Improving the Nation’s Cybersecurity” is pushing agencies to adopt zero trust cybersecurity principles and adjust their network architectures accordingly. To help this effort, the Cybersecurity and Infrastructure Security Agency (CISA) developed a Zero Trust Maturity Model to assist agencies as they implement  zero trust architectures. The maturity model complements the Office of Management and Budget’s (OMB) Zero Trust Strategy, designed to provide agencies with a roadmap and resources to achieve an optimal zero trust environment. 信頼は、人と人とのつながりに不可欠な要素です。しかし、ネットワーク接続においては、信頼は良いことよりも悪いことを引き起こす可能性があります。大統領令14208「国家のサイバーセキュリティの向上」は、各省庁にゼロトラストのサイバーセキュリティ原則を採用し、それに応じてネットワークアーキテクチャを調整するよう促しています。この取り組みを支援するために、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、各省庁がゼロトラストアーキテクチャを導入する際に役立つ「ゼロトラスト成熟度モデル」を開発しました。この成熟度モデルは、行政管理予算局(OMB)の「ゼロトラスト戦略」を補完するもので、最適なゼロトラスト環境を実現するためのロードマップとリソースを各省庁に提供することを目的としています。
What is Zero Trust? ゼロトラストとは?
Zero trust is a security philosophy based on the premise that everyone and everything inside a network is suspect. Zero trust shifts the security focus from being location-centric to data-centric. In other words, instead of focusing on the network perimeter, zero trust directs security measures towards the identity of users, assets, and resources within a given network environment. Not only does the security focus shift with zero trust, but the principles and practices of cybersecurity shift as well. The old process of validating a user within a network was linear: users would provide their credentials, the system would verify the user, and then the user was granted access and considered a trusted entity within the network. The zero trust process is based on a continuous cycle of credentialing, verifying, and authorizing a user’s identity. This shift is incredibly important in a world where network perimeters are constantly changing with the increased use of remote and cloud services. ゼロトラストとは、「ネットワーク内のすべての人、すべてのものが疑わしい」という前提に基づくセキュリティ哲学です。ゼロトラストは、セキュリティの焦点を、場所中心からデータ中心へと移します。つまり、ネットワークの境界線に焦点を当てるのではなく、ネットワーク環境内のユーザ、資産、リソースのアイデンティティにセキュリティ対策を施すのがゼロトラストです。ゼロトラストでは、セキュリティの焦点が変わるだけでなく、サイバーセキュリティの原則と実践も変わります。ユーザーが認証情報を提供し、システムがユーザーを検証し、その後、ユーザーにアクセスが許可され、ネットワーク内の信頼されたエンティティとみなされるというのが、ネットワーク内でユーザーを検証する従来のプロセスでした。ゼロトラストプロセスは、ユーザーのアイデンティティを認証し、検証し、承認するという継続的なサイクルに基づいています。リモートサービスやクラウドサービスの増加に伴い、ネットワークの境界線が常に変化する世界において、この変化は非常に重要です。
What is the Zero Trust Maturity Model? ゼロトラスト成熟度モデルとは?
CISA’s Zero Trust Maturity Model is one of many roadmaps for agencies to reference as they transition towards a zero trust architecture. The maturity model, which include five pillars and three cross-cutting capabilities, is based on the foundations of zero trust. Within each pillar, the maturity model provides agencies with specific examples of a traditional, advanced, and optimal zero trust architecture. It also presents ways in which various CISA services can support zero trust solutions across agencies. The framework within the CISA Zero Trust Maturity Model allows agencies to ensure they are progressing towards a comprehensive zero trust architecture.  CISAのゼロトラスト成熟度モデルは、省庁がゼロトラスト・アーキテクチャに移行する際に参照できる数多くのロードマップの1つです。成熟度モデルは、5つの柱と3つの横断的な能力を含み、ゼロトラストの基礎に基づいています。各柱の中で、成熟度モデルは、従来型、先進型、最適型のゼロトラストアーキテクチャの具体例を各省庁に示しています。また、CISAの各種サービスが各省庁のゼロトラスト・ソリューションを支援する方法も紹介している。CISAゼロトラスト成熟度モデルのフレームワークにより、各省庁は包括的なゼロトラスト・アーキテクチャに向けて前進していることを確認できます。

 

ZERO TRUST MATURITY MODEL

ZERO TRUST MATURITY MODEL ゼロトラスト成熟度モデル
CISA’s Zero Trust Maturity Model is one of many roadmaps for agencies to reference as they transition towards a zero trust architecture. The goal of the maturity model is to assist agencies in the development of their zero trust strategies and implementation plans and present ways in which various CISA services can support zero trust solutions across agencies. CISAのゼロトラスト成熟度モデルは、政府機関がゼロトラスト・アーキテクチャに移行する際に参照できる数多くのロードマップの1つです。成熟度モデルの目的は、各省庁のゼロトラスト戦略と実施計画の策定を支援し、CISAの各種サービスが各機関のゼロトラスト・ソリューションを支援する方法を提示することにあります。
The maturity model, which include five pillars and three cross-cutting capabilities, is based on the foundations of zero trust. Within each pillar, the maturity model provides agencies with specific examples of a traditional, advanced, and optimal zero trust architecture. 成熟度モデルは、5つの柱と3つの横断的な能力を含み、ゼロトラストの基礎に基づいています。各柱の中で、成熟度モデルは、従来型、先進型、最適型のゼロトラスト・アーキテクチャの具体的な例を各機関に示しています。
Public Comment Period – NOW OPEN! パブリックコメント期間 - 現在公開中
CISA drafted the Zero Trust Maturity Model in June to assist agencies in complying with the Executive Order. While the distribution was originally limited to agencies, CISA is excited to release the maturity model for public comment. CISAは、政府機関が大統領令を遵守することを支援するために、6月にゼロトラスト成熟度モデルを起草しました。配布は当初、政府機関に限定されていましたが、CISAはこの成熟度モデルを公開し、一般からのコメントを受け付けます。
CISA is releasing the Zero Trust Maturity Model for public comment beginning Tuesday, September 7, 2021 and concludes on Friday, October 1, 2021. CISA is interested in gathering feedback focused on the following key questions: CISAは、2021年9月7日(火)から2021年10月1日(金)まで、ゼロトラスト成熟度モデルをパブリックコメント用に公開すします。CISAは、以下の重要な質問に焦点を当てたフィードバックを集めたいと考えています。
・Has this document been helpful to your agency as you prepared your Cyber Executive Order zero trust implementation plan? If not, what guidance could be added? ・この文書は、サイバー大統領令に基づくゼロトラスト実施計画を作成する際に、あなたの省庁にとって役立ちましたか? 役に立たなかった場合、どのような指針を追加すればよいですか?
・Does your agency have suggestions on how better to delineate the 5 pillars from the 3 crosscutting capabilities—Visibility and Analytics, Automation and Orchestration, and Governance? ・5つの柱を、3つの横断的機能(可視性と分析、自動化とオーケストレーション、ガバナンス)からどのように切り離すのが良いか、提案はありますか?
・Which pillars do you think are the best defined and which pillars need help? ・どの柱が最もよく定義されていて、どの柱に助けが必要だと思いますか?
・How could the Zero Trust Maturity Model better support your agency’s Cyber Executive Order zero trust implementation plan? ・ゼロトラスト成熟度モデルは、あなたの省庁のサイバー大統領令に基づくゼロトラスト実施計画をどのようにサポートすることができますか? 

 

・[PDF] Zero Trust Maturity Model - Pre-decisional Draft

20210909-121916

 

目次はこちら...

 


参考

まるちゃんの情報セッキュリティ気まぐれ日記

・2021.07.27 NISTのNCCoEがゼロトラスト・アーキテクチャ・プロジェクトの実装に参加する18社を指名していますね。。。

・2021.06.30 金融庁 「ゼロトラストの現状調査と事例分析に関する調査報告書」の公表

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.12.04 米国 国防情報システム局 戦略計画 FY19-22の改訂版を公開

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.05.28 CSAがソフトウェア定義の境界(SDP)を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

 

Continue reading "米国 CISA 意見募集 ゼロトラスト成熟度モデル"

| | Comments (0)

米国 CISA 意見募集 政府機関のクラウドへの移行を支援する

こんにちは丸山満彦です。

CISAが2021.09.07に「クラウドセキュリティ技術参照アーキテクチャ (TRA) 」と「ゼロトラスト成熟度モデル」を公開し、パブリックコメントを受け付けていますね。。。意見は10月1日まで受け付けていますね。。。

これ両方とも重要そうですね。。。

まずは、「クラウドセキュリティ技術参照アーキテクチャ (TRA) 」の紹介です。。。

● CISA

・2021.09.07 CISA RELEASES THE CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE AND ZERO TRUST MATURITY MODEL FOR PUBLIC COMMENT

CISA RELEASES THE CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE AND ZERO TRUST MATURITY MODEL FOR PUBLIC COMMENT CISA、クラウド・セキュリティ・テクニカル・リファレンス・アーキテクチャとゼロ・トラスト成熟度モデルをパブリック・コメント用に公開
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Cloud Security Technical Reference Architecture (TRA) and Zero Trust Maturity Model for public comment. As the federal government continues to expand past the traditional network perimeter, it is paramount that agencies implement data protection measures around cloud security and zero trust. The TRA is designed to guide agencies’ secure migration to the cloud by explaining considerations for shared services, cloud migration, and cloud security posture management. CISA’s Zero Trust Maturity Model assists agencies in the development of their zero trust strategies and implementation plans, and presents ways in which various CISA services can support zero trust solutions across agencies. ワシントン - 本日、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、クラウドセキュリティ技術参照アーキテクチャ(TRA)とゼロトラスト成熟度モデルを公開し、パブリックコメントを受け付けました。連邦政府が従来のネットワーク境界を越えて拡大を続ける中、各省庁がクラウドセキュリティとゼロトラストに関するデータ保護対策を実施することは最重要課題となっています。TRAは、共有サービス、クラウドへの移行、クラウド・セキュリティ・ポスチャ管理に関する考慮事項を説明することで、各商法がクラウドに安全に移行するための指針となるように設計されています。CISAのゼロトラスト成熟度モデルは、各省庁のゼロトラスト戦略と実施計画の策定を支援し、さまざまなCISAサービスが各省庁のゼロトラスト・ソリューションを支援する方法を提示しています。
In accordance with Executive Order 14028, “Improving the Nation’s Cybersecurity,” CISA developed the Cloud Security TRA in partnership with the United States Digital Service (USDS) and the Federal Risk and Authorization Management Program (FedRAMP). To expand this collaboration, CISA is releasing the document for public comment to collect critical feedback from agencies, industry, and academia to ensure the guidance fully addresses considerations for secure cloud migration. CISAは、大統領令14028「国家のサイバーセキュリティの向上」に基づき、米国デジタル・サービス(USDS)および連邦リスク認可管理プログラム(FedRAMP)と協力してクラウド・セキュリティTRAを開発しました。この協力関係を拡大するために、CISAはこの文書をパブリックコメント用に公開し、政府機関、産業界、学界から重要なフィードバックを集め、ガイダンスが安全なクラウド移行のための考慮事項に完全に対応していることを確認します。
CISA drafted the Zero Trust Maturity Model in June to assist agencies in complying with the Executive Order. While the distribution was originally limited to agencies, CISA is excited to release the maturity model for public comment. CISAは、政府機関が大統領令を遵守することを支援するために、6月にゼロトラスト成熟度モデルを起草しました。このモデルの配布は当初、政府機関に限定されていましたが、CISAはこの成熟度モデルをパブリックコメントとして公開することになりました。
“President Biden’s Cyber Executive Order outlined crucial steps needed to secure the federal government’s networks and CISA is focused on completing the required tasks and more,” said Eric Goldstein, Executive Assistant Director of Cybersecurity, CISA. “To meet agencies’ needs, we drafted the Zero Trust Maturity Model and Cloud Security TRA in coordination with USDS and FedRAMP. We are now requesting public comment to ensure our recommended cloud technology modernization and zero trust efforts, respectively, enable the best visibility, flexibility, and security.” CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、「バイデン大統領のサイバー大統領令は、連邦政府のネットワークを保護するために必要な重要なステップを示しており、CISAは必要なタスクを完了することに注力しています。各省庁のニーズに応えるために、我々はUSDSおよびFedRAMPと協力して、ゼロトラスト成熟度モデルとクラウドセキュリティTRAを起草しました。現在、我々が推奨するクラウド技術の近代化とゼロトラストの取り組みが、それぞれ最高の可視性、柔軟性、セキュリティを実現するために、パブリックコメントを求めています」と述べています。

 

・2021.09.07 CLOUDY WITH A CHANCE OF MIGRATION: HELPING AGENCIES MAKE THE MOVE TO THE CLOUD

CLOUDY WITH A CHANCE OF MIGRATION: HELPING AGENCIES MAKE THE MOVE TO THE CLOUD クラウディには移行のチャンスがある:政府機関のクラウドへの移行を支援する
The forecast has long called for agencies’ transition to cloud services, and a new guidance document just allowed for a smooth and secure migration process. Today, the Cybersecurity and Infrastructure Security Agency (CISA) released the Cloud Security Technical Reference Architecture (TRA) for public comment, in accordance with Section 3(c)(ii) of Executive Order 14028. CISA hopes that feedback from agencies, industry, and academia will help us include all considerations for secure cloud migration. 予報では、以前から各省庁のクラウドサービスへの移行が求められていましたが、新しいガイダンス文書により、スムーズで安全な移行プロセスが可能になったところです。本日、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、大統領令 14028のセクション3(c)(ii)に基づき、クラウドセキュリティ技術参照アーキテクチャ(TRA)をパブリックコメント用に公開しました。CISAは、政府機関、産業界、学界からのフィードバックにより、安全なクラウド移行のためのあらゆる検討事項を盛り込むことができることを期待しています。
The Approach アプローチ
To tackle such a complex subject as cloud security, CISA teamed up with the United States Digital Service (USDS) and the Federal Risk and Authorization Management Program (FedRAMP) to co-author the guidance. Each organization brought a unique perspective to different aspects of the cloud migration process, which is reflected in the layout of the document: クラウドセキュリティという複雑なテーマに取り組むため、CISAは米国デジタルサービス(USDS)および連邦リスク認可管理プログラム(FedRAMP)と共同でガイダンスを執筆しました。それぞれの組織は、クラウド移行プロセスのさまざまな側面に独自の視点をもたらし、それが本文書のレイアウトに反映されています。
FedRAMP provided an overview of different cloud services, the shared risk model for cloud service adoption, and how FedRAMP resources can help agencies select and operate cloud services. FedRAMPは、さまざまなクラウドサービスの概要、クラウドサービス導入のための共有リスクモデル、政府機関がクラウドサービスを選択・運用する際にFedRAMPのリソースがどのように役立つかを説明しました。
USDS gave a rundown of all things cloud migration: benefits, challenges, strategies, and scenarios. So once agencies understand FedRAMP cloud considerations, they can reference the USDS recommendations as they build and maintain different cloud environments. USDSは、メリット、課題、戦略、シナリオなど、クラウド移行に関するあらゆる情報を提供した。FedRAMPのクラウドに関する考慮事項を理解した省庁は、さまざまなクラウド環境を構築・維持する際に、USDSの推奨事項を参照することができます。
CISA explained the importance of robust cloud security posture management, or CSPM, in the implementation and monitoring phases of cloud migration. So once agencies build their cloud environments using USDS recommendations, they can act on the CSPM capabilities and outcomes to integrate zero trust principles and maintain a strong cloud security posture into the future. CISAは、クラウド移行の導入と監視の段階で、堅牢なクラウド・セキュリティ・ポスチャー・マネジメント(CSPM)が重要であることを説明している。そのため、政府機関はUSDSの推奨事項を利用してクラウド環境を構築した後、CSPMの機能と成果を利用してゼロトラスト原則を統合し、将来にわたって強固なクラウドセキュリティ態勢を維持することができます。
The Result 結果
The Cloud Security TRA can help agencies at all points in the cloud migration process; agencies still using on-premises systems will be better prepared to migrate securely and effectively to the cloud, while agencies currently migrating to the cloud can reference the TRA to ensure they’re on the right course. Designed using an iterative approach, agencies can continue to reference the TRA into the future as cloud security technologies and practices continue to evolve. Most importantly, the TRA can help decrease cyber breaches across the federal network. The use of modern security tools, appropriate cloud configurations, and cloud security best practices will strengthen the government’s defenses and reduce the amount of resources spent on incident response and recovery. クラウドセキュリティTRAは、クラウドへの移行プロセスのあらゆる段階で省庁を支援します。オンプレミスのシステムを使用している省庁は、安全かつ効果的にクラウドに移行するための準備を整えることができ、クラウドへの移行を進めている省庁は、TRAを参照することで、正しい方向性を確認することができます。また、現在クラウドへの移行を進めている省庁は、TRAを参考にして正しい方向に進むことができます。最も重要なことは、TRAが連邦政府のネットワークにおけるサイバー犯罪の減少に役立つことです。最新のセキュリティツール、適切なクラウド構成、クラウドセキュリティのベストプラクティスを活用することで、政府の防御力を強化し、インシデント対応や復旧に費やすリソースを削減することができます。

 

CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE

CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE クラウドセキュリティ技術参照アーキテクチャ
The purpose of the Cloud Security Technical Reference Architecture (TRA) is to illustrate recommended approaches to cloud migration and data protection, as outlined in Section 3(c)(ii) of Executive Order 14028. As the Federal Government continues to transition to the cloud, the TRA will be a guide for agencies to leverage when migrating to the cloud securely. Additionally, the document explains considerations for shared services, cloud migration, and cloud security posture management. クラウドセキュリティテクニカルリファレンスアーキテクチャ(TRA)の目的は、大統領令14028のセクション3(c)(ii)に記載されているように、クラウドへの移行とデータ保護の推奨アプローチを示すことです。連邦政府はクラウドへの移行を進めており、TRA は各省庁がクラウドに安全に移行する際の指針となります。さらに、共有サービス、クラウドの移行、クラウドのセキュリティ態勢の管理に関する考慮事項についても説明しています。
The Cloud Security TRA was developed through a collaborative, multi-agency effort with contributions from the Cybersecurity and Infrastructure Security Agency (CISA), United States Digital Service (USDS), and the Federal Risk and Authorization Management Program (FedRAMP). The Cloud Security TRA provides agencies with guidance on the shared risk model for cloud service adoption (authored by FedRAMP), how to build a cloud environment (authored by USDS), and how to monitor such an environment through robust cloud security posture management (authored by CISA). クラウドセキュリティTRAは、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)、米国デジタルサービス(USDS)、連邦リスク認可管理プログラム
(FedRAMP)の複数の省庁が協力して作成しました。クラウドセキュリティTRAは、クラウドサービス導入のための共有リスクモデル(FedRAMPが作成)、クラウド環境の構築方法(USDSが作成)、強固なクラウドセキュリティポスチャー管理による環境の監視方法(CISAが作成)に関するガイダンスを各省庁に提供しています。
... ...
Overall 全体的に
The document strikes a balance between governance, operations, and security. Are there critical areas that should be expanded? この文書は、ガバナンス、運用、セキュリティのバランスをとっている。拡大すべき重要な分野はあるか?
Section 3: Shared Services セクション3:共有サービス層
Does the updated Authorization Boundary definition meet your organization’s needs? 更新された認証境界線の定義は、組織のニーズを満たしているか?
Section 4: Cloud Migration セクション4:クラウドへの移行
What additional scenarios could be incorporated? どのような追加シナリオを組み込むことができますか?
Section 5: Cloud Security Posture Management セクション 5: クラウドセキュリティ状態管理
Does the definition of Cloud Security Posture Management in Section 5.1 align with and support your needs? セクション5.1のクラウドセキュリティポスチャーマネジメントの定義は、あなたのニーズに合致し、サポートしていますか?
Section 5.2 outlines seven outcomes. Are there other outcomes to be considered? セクション5.2では、7つの成果を概説しています。考慮すべき他の成果はありますか?
Are there other capabilities of CSPM that should be highlighted in Section 5.3? セクション5.3で強調すべきCSPMの他の機能はありますか?

 

・[PDF] Cloud Security Technical Reference Architecture (Version 1)

20210909-105352

目次はこちら...↓↓↓

 

 

Continue reading "米国 CISA 意見募集 政府機関のクラウドへの移行を支援する"

| | Comments (0)

米国 CISA ITサービスプロバイダーのセキュリティ対策の評価

こんにちは、丸山満彦です。

CISAがITサービスプロバイダーのセキュリティ対策の評価についての報道をしていますね。。。

CISA

・2021.09.02 GOING BEYOND: ASSESSING SECURITY PRACTICES OF IT SERVICE PROVIDERS

 

GOING BEYOND: ASSESSING SECURITY PRACTICES OF IT SERVICE PROVIDERS 越えていく:ITサービスプロバイダーのセキュリティ対策の評価
No business or organization wants to be the victim of a cybersecurity attack. Adversaries target organizations of all sizes and in every industry, so cyber security is not just a large business problem. Many times, they try to breach an organization’s systems through weak spots or entry points outside the direct control of organizations, such as via third-party vendors. Therefore, it’s no longer enough for organizations to focus on securing their own data and information systems; they must also encourage enhanced cybersecurity practices of their managed service providers (MSPs). どんな企業や組織も、サイバーセキュリティ攻撃の被害に遭いたくはありません。敵対者は、あらゆる規模、あらゆる業界の組織を標的にしているため、サイバーセキュリティは大企業だけの問題ではありません。多くの場合、敵対者は、組織の弱点や、サードパーティ・ベンダーを経由するなど、組織が直接管理できない侵入口から組織のシステムに侵入しようとします。そのため、企業は、自社のデータや情報システムの安全性を確保するだけでは不十分であり、マネージドサービスプロバイダー(MSP)のサイバーセキュリティ対策の強化を促す必要があります。
To help mitigate these risks, the Cybersecurity and Infrastructure Security Agency (CISA) released a new CISA Insights titled, Risk Considerations for Managed Service Provider Customers. This resource provides a framework that government and private sector organizations (to include small and medium-sized businesses) outsourcing some level of IT support to MSPs can use to better mitigate against third-party risk. The framework includes best practices and considerations from the National Institute of Standards and Technology and other authoritative sources with guidance geared to the three main organizational levels that play a role in reducing overall risk: 1) senior executives and boards of directors; 2) procurement professionals; and 3) network administrators, systems administrators, and front-line cybersecurity staff. このようなリスクを軽減するために、サイバーセキュリティ・インフラストラクチャ・セキュリティ機関(CISA)は、「Risk Considerations for Managed Service Provider Customers」と題したCISA Insightsを発表しました。この資料は、MSPにある程度のITサポートを委託している政府機関や民間企業(中小企業を含む)が、第三者のリスクをよりよく軽減するために使用できるフレームワークを提供しています。このフレームワークには、米国国立標準技術研究所(National Institute of Standards and Technology)やその他の権威ある情報源からのベストプラクティスや考察が含まれており、全体的なリスクを軽減する役割を担う3つの主要な組織レベル(1)上級経営者および取締役会、(2)調達担当者、(3)ネットワーク管理者、システム管理者、および第一線のサイバーセキュリティ担当者に向けたガイダンスとなっています。
The bottom line is that outsourcing IT services provides both increased benefits and risk to an organization. Key responsible individuals should take a step back to look at the security practices in place across their enterprise to answer:  IT サービスを外部に委託することは、 組織にとってメリットとリスクの両方をもたらします。主となる責任者は、 一歩下がって、 企業全体で実施されているセキュリ ティ対策を確認し、 答えを出す必要があります。
 ・Who is responsible for security and operations when outsourcing IT services to an MSP? ・MSPにITサービスを委託する場合、セキュリティとオペレーションの責任者は誰か?
・What are the most critical assets that we must protect and how do we protect them? ・守らなければならない最も重要な資産は何で、どのようにして守るのか?
・What should an MSP provide to an organization in advance of a contract award to demonstrate security controls in place? ・MSP は、契約締結前に、セキュリティ管理が行われていることを証明するために、組織に何を提供すべきか?
・What network and system access levels are appropriate for third-party service providers? ・サードパーティのサービスプロバイダにとって、どのようなネットワークやシステムのアクセスレベルが適切か?
It will require effort and time upfront for an organization to review their security practices and answer these types of questions. But, in the long run, it will help them spot pockets of risk from third-party vendors and improve their overall security and resilience. 自社のセキュリティ対策を見直し、このような質問に答えるためには、前もって努力と時間が必要になります。しかし、長い目で見れば、サードパーティ・ベンダーのリスクを発見し、全体的なセキュリティと回復力を向上させることができるでしょう。

 

RISK CONSIDERATIONS FOR MANAGED SERVICE PROVIDER CUSTOMERS

RISK CONSIDERATIONS FOR MANAGED SERVICE PROVIDER CUSTOMERS マネージド・サービス・プロバイダの顧客のリスクに関する件等
This CISA Insights provides a framework that government and private sector organizations (to include small and medium-sized businesses) outsourcing some level of IT support to MSPs can use to better mitigate against third-party risk. このCISA Insightsは、MSPにある程度のITサポートを委託している政府機関や民間企業(中小企業を含む)が、サードパーティのリスクをよりよく軽減するために使用できるフレームワークを提供しています。
This resource focuses guidance to the three main organizational groups that play a role in reducing overall risk: (1) senior executives and boards of directors (strategic decision-making); (2) procurement professionals (operational decision-making); and (3) network administrators, systems administrators, and front-line cybersecurity staff (tactical decision-making). この資料では、全体的なリスクを軽減する役割を担う3つの主要な組織グループに対するガイダンスに焦点を当てています。(1)上級管理職および取締役会(戦略的意思決定)、(2)調達担当者(運用的意思決定)、(3)ネットワーク管理者、システム管理者、および最前線のサイバーセキュリティスタッフ(戦術的意思決定)です。
Strategic Decision-Making 戦略的意思決定
Senior executives must balance cost effectiveness and efficiency with reliability and security when considering whether to outsource IT services to an MSP. Outsourcing IT services does not absolve executives of risk management responsibilities. In order to balance these priorities, executives must maintain awareness of the technologies and systems supporting their operations. Executives must also understand the risks from potential loss of core organizational systems and services, loss of confidentiality, integrity, and availability of data, loss of consumer and market confidence, loss of productivity due to operational disruption, and fines, legal fees, or other regulatory costs, and other adverse financial impacts. Organizations must also account for risks to the vendors themselves, as vendors’ financial health and other attributes can serve as indicators of potential future service disruptions. シニアエグゼクティブは、MSP に IT サービスをアウトソーシングするかどうかを検討する際に、費用対効果や効率性と信頼性やセキュリティのバランスを取る必要があります。IT サービスをアウトソーシングしたからといって、 経営者のリスク管理責任が免除されるわけではありません。これらの優先順位のバランスをとるために、経営者は自社の業務を支えるテクノロジーとシステムに対する認識を維持する必要があります。また、組織の中核となるシステムやサービスの喪失、データの機密性・完全性・可用性の喪失、消費者や市場の信頼性の喪失、業務の中断による生産性の低下、罰金・弁護士費用・その他の規制コスト、その他の財務上の悪影響などのリスクを理解していなければなりません。また、ベンダーの財務状況やその他の属性が、将来のサービス中断の可能性を示す指標となるため、企業はベンダー自身のリスクも考慮しなければなりません。
Operational Decision Making オペレーション上の意思決定
Coordinated procurement, operations, continuity, and security requirements will decrease enterprise supply chain risk and improve system performance. Organizations with separate staff dedicated to each of those functions should coordinate IT requirements across organizational silos. For smaller organizations or those without staff dedicated specifically to these functions, an enterprise risk management plan should account for each of these requirements as part of an integrated approach to risk management at whatever scale is appropriate for the organization. 調達、運用、継続性、セキュリティの各要件を調整することで、企業のサプライチェーンのリスクを低減し、システムのパフォーマンスを向上させることができます。これらの機能をそれぞれ専門に担当するスタッフがいる組織は、組織の壁を越えてIT要件を調整する必要があります。小規模な組織や、これらの機能に特化したスタッフがいない組織の場合、企業リスク管理計画は、組織にとって適切な規模のリスク管理への統合的アプローチの一環として、これらの各要件を考慮すべきである。
Tactical Decision Making 戦術的な意思決定
Policies and controls on network access, controls, and logs, remain the organization’s responsibility while outsourcing IT services to an MSP. Organizations should identify personnel responsible for monitoring and managing the day-to-day activity of MSPs and must set careful policies on the access given to any third-party vendors. Common examples of such policies include establishing clear requirements for authentication or verification and maintaining controls and logs separate from the vendor’s records. Organizational policies and practices relating to the authentication of vendor logs and activities across the IT enterprise helps ensure appropriate and authorized activities by MSPs while protecting the client’s interests from unauthorized activities. MSP に IT サービスを委託する場合でも、ネットワークへのアクセ ス、制御、およびログに関するポリシーと管理は、引き続き組織の責任で行われます。組織は、MSP の日々の活動を監視・管理する責任者を特定し、サードパーティのベンダーに与えられるアクセスについて慎重なポリシーを設定する必要があります。このようなポリシーの一般的な例としては、認証または検証のための明確な要件を設定することや、管理およびログをベンダーの記録とは別に維持することなどが挙げられます。IT企業全体におけるベンダーのログや活動の認証に関連する組織的なポリシーとプラクティスは、MSPによる適切で認可された活動を保証すると同時に、不正な活動からクライアントの利益を保護するのに役立ちます。

 

・[PDF] Risk Considerations for Managed Service Provider Customers

20210909-94612

 

| | Comments (0)

紹介 AIインシデントデータベース

こんにちは、丸山満彦です。

今回のは、時事ネタではなく、紹介です。。。

Partnership on AIがAIに関する事故データベースを作っています。

過去の失敗事例からの学びを将来の成功の糧にしようという話で、素晴らしい取り組みだと思っています。データに記載するための規準もつくって、品質の維持もしていますし。。。継続は力なので、続いて欲しいですね。。。

日本でも失敗知識データベースというのがありますね。。。

 

Partnership on AI -

AI Incident Database:AIIDのウェブページ:↓

Welcome to the Artificial Intelligence Incident Database

20210909-45245

概要を理解するには :↓

・2020.11.18 When AI Systems Fail: Introducing the AI Incident Database

 

全体のインシデントリスト

Incident List

20210909-45434

↑:是非目を通してください。。。

 

分類は、The Center for Security and Emerging Technology (CSET) の分類によっていますね。。。

・2021.07.08 The First Taxonomy of AI Incidents

 

CSET

参考

The Center for Security and Emerging Technology: CSET - about


 

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.20 MITRE AIの5つの失敗例とそこから学ぶべきこと

・2021.03.11 「失敗を恐れると何もできない!」?

・2020.02.26 高信頼性組織を思い出そう!

・2011.03.29 金融庁 みずほ銀の事故の根本原因を検査

・2011.03.29 これも仕分けられたん? 「失敗知識データベース」サービス終了

・2005.04.15 論よりRUN

・2005.03.24 失敗知識データベース これはイイ

 

 

| | Comments (0)

2021.09.08

独国 BSI 自動車業界におけるサイバーセキュリティ

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) が「自動車業界におけるサイバーセキュリティ」の報告書を公表していますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.09.07 Crashtest für Cyber-Sicherheit – BSI stellt Automotive-Lagebild vor

Crashtest für Cyber-Sicherheit – BSI stellt Automotive-Lagebild vor サイバーセキュリティのクラッシュテスト - BSIが提示する自動車の状況図
Das moderne Auto ist so stark digitalisiert wie nie zuvor. Die IT sorgt dabei nicht nur für das passende Entertainment während der Fahrt, sondern übernimmt längst wichtige Funktionen zur Steuerung des Fahrzeugs. Bremsen, Lenken, Einparken - in naher Zukunft werden Computer das Fahrzeug – auch mit Hilfe künstlicher Intelligenz, für die das BSI in Saarbrücken ein eigenes Kompetenzzentrum eingerichtet hat – vermehrt eigenständig steuern. Durch die für neue Funktionen nötige Vernetzung vergrößert sich automatisch die Angriffsfläche für Cyber-Angriffe. In seinem heute vorgestellten Branchenlagebild Automotive fordert das BSI die Hersteller daher auf, Cyber-Sicherheit frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle zu berücksichtigen. 現代の自動車は、かつてないほどデジタル化されています。ITは、運転中に適切なエンターテインメントを提供するだけでなく、車両を制御するための重要な機能を引き継いでいます。近い将来、ブレーキ、ステアリング、パーキングなど、コンピュータが車両を独立して制御するようになるでしょう。また、BSIはザールブリュッケンに独自のコンピテンスセンターを設立しました。新しい機能に必要なネットワークは、サイバー攻撃の攻撃対象を自動的に増やします。そこでBSIは、本日発表した「自動車セクター状況報告書」の中で、メーカーに対し、新型車の開発サイクルの早い段階でサイバーセキュリティを考慮に入れるよう呼びかけています。
„Computer sind das Hirn jedes modernen Fahrzeugs und übernehmen längst zentrale Steuerungsfunktionen. Wenn Autos mit anderen Autos oder mit der Straßeninfrastruktur vernetzt sind, müssen wir sichergehen können, dass wir beim Fahren vor Manipulationsversuchen Dritter geschützt sind. Cyber-Sicherheit wird dabei genauso wichtig wie funktionierende Bremsen. Wir brauchen einen Crashtest für Cyber-Sicherheit!“, sagt BSI-Präsident Arne Schönbohm. BSI会長のアルネ・シェーンボーム氏は「現代の自動車の頭脳はコンピュータであり、中央制御の機能はとっくに終わっている。自動車が他の自動車や道路インフラとネットワーク化された場合、運転中に第三者による操作の試みから確実に保護されなければなりません。サイバーセキュリティは、ブレーキの機能と同じくらい重要になってきています。サイバーセキュリティのクラッシュテストが必要だ!」と言います。
Das Branchenlagebild Automotive des BSI betrachtet deshalb neben der IT im Auto auch die Cyber-Sicherheit der Lieferkette im Herstellungsprozess. So kann unzureichend geprüfte oder manipulierte Hard- oder Software die Sicherheit des Autos einschränken, wenn dies im Produktionsprozess nicht rechtzeitig erkannt wird. Dabei stehen nicht nur die Herstellergrößen für Automobile weltweit im Fokus der Angreifenden, sondern auch deren Zulieferer. Dadurch kann es zu erheblichen Beeinträchtigungen der Lieferkette kommen. Allein im Jahr 2021 waren mehrere Automobilzulieferer von Ransomware-Vorfällen betroffen. Es kam zu massiven Unterbrechungen der Leistungserbringung. そのため、BSIの自動車部門の状況報告では、自動車のITだけでなく、製造工程におけるサプライチェーンのサイバーセキュリティにも注目しています。テストや操作が不十分なハードウェアやソフトウェアは、製造過程で発見されなければ、車のセキュリティを制限することになります。このような状況では、世界の主要な自動車メーカーだけでなく、そのサプライヤーも攻撃の対象となります。これにより、サプライチェーンに大きな混乱が生じる可能性があります。2021年だけでも、複数の自動車部品メーカーがランサムウェアの被害に遭いました。サービスの提供が大幅に中断されました。
„Ein Ransomware-Angriff ist immer auch eine Bedrohung für die Verfügbarkeit von kritischen Prozessen. Fällt ein Zulieferer aus, kann der gesamte Produktionsprozess zum Stillstand kommen. Dadurch können immense wirtschaftliche Schäden entstehen. Cyber-Sicherheit muss daher immer auch die gesamte Lieferkette umfassen“, so Schönbohm. 「ランサムウェアの攻撃は、常に重要なプロセスの可用性を脅かすものです。サプライヤーが故障すると、生産工程全体が停止してしまいます。これは莫大な経済的損害をもたらします。そのため、サイバーセキュリティには、常にサプライチェーン全体が含まれていなければなりません」とシェーンボームは言います。
Um die Cyber-Sicherheit für den Wirtschafts- und Automobilstandort Deutschland zu erhöhen, arbeitet das BSI in Fragen der Cyber-Sicherheit eng mit dem Kraftfahrtbundesamt und dem Verband der Automobilindustrie (VDA) zusammen. Mit neuen Regeln in den Bereichen Typ-Genehmigung und Marktüberwachung sollen beispielsweise das Thema Cyber-Sicherheit in der Fahrzeugentwicklung fest verankert und Risiken besser vorgebeugt werden. ビジネスや自動車の拠点としてのドイツのサイバーセキュリティを高めるために、BSIは連邦自動車交通局やドイツ自動車工業会(VDA)と緊密に連携し、サイバーセキュリティの問題に取り組んでいます。例えば、型式承認や市場監視の分野で新たなルールが導入されたことにより、サイバーセキュリティのテーマが車両開発にしっかりと定着し、リスクを未然に防ぐことができるようになりました。

 

・2021.09.07 Branchenlagebild Automotive

・[PDF] Branchenlagebild Automotive - Cyber-Sicherheit in der Automobilbranche

20210908-61137

目次

1 EINLEITUNG 1 はじめに
2 MANAGEMENTÜBERSICHT ZUR GESAMTLAGE 2 経営陣による全体像の把握
3 CYBER-SICHERHEIT IN DER AUTOMOBILBRANCHE 3 自動車業界におけるサイバーセキュリティ
3.1 Branchenüberblick 3.1 業界の概要
3.2 Gefahren durch Cybercrime 3.2 サイバー犯罪による危険性
3.3 Qualifizierung von Schlüsselpersonal im Bereich Informations- und Cyber-Sicherheit 3.3 情報・サイバーセキュリティ分野のキーパーソンの資質向上
3.4 Bedeutung der Informationssicherheit in der Supply Chain 3.4 サプライチェーンにおける情報セキュリティの重要性
3.5 Auswirkung der “neuen Normalität" auf die informations - und Cyber-Sicherheit 3.5 「ニューノーマル」が情報・サイバーセキュリティに与える影響
4 CYBER-SICHERHEIT IM FAHRZEUG SOWIE IN DIGITALEN PRODUKTEN 4 車内およびデジタル製品のサイバーセキュリティ
4.1 Vernetztes Fahren 4.1 コネクテッド・ドライビング
4.2 Automatisierung und Künstliche Intelligenz 4.2 自動化と人工知能
4.3 Angriffsmöglichkeiten auf digitale Produkte 4.3 デジタル製品の可能性を攻める
5 CYBER-SICHERHEIT IN PRODUKTIONSANLAGEN UND -PROZESSEN 5 生産プラントやプロセスにおけるサイバーセキュリティ
5.1 Digitalisierung in der Produktion 5.1 生産現場のデジタル化
5.2 Umgang mit Schwachstellen 5.2 脆弱性への対応
5.3 Dienstleister und Fernservices 5.3 サービスプロバイダーとリモートサービス
6 MAßNAHMEN UND AKTIVITÄTEN 6 施策・活動
6.1 Informationssicherheit im Unternehmen 6.1 社内の情報セキュリティ
6.2 Regulierung und Standardisierung - Vorgaben zur CyberSicherheit 6.2 規制と標準化 - サイバーセキュリティの要件
6.3 Zusammenarbeit und Aktivitäten des BSI 6.3 BSIの協力と活動
7 CHANCEN UND RISIKEN: EIN BLICK IN DIE NAHE ZUKUNFT 7 チャンスとリスク:近未来の展望
LITERATURVERZEICHNIS 参考文献

 

・[DOCX] 仮訳

 

 

| | Comments (0)

防衛研究所 :米国防計画における「Pacing Threat」としての中国

こんにちは、丸山満彦です。

防衛省の防衛研究所のレポートです。。。

● 防衛省 - 防衛研究所

・2021.09.02 米国防計画における「Pacing Threat」としての中国

 

参考になることも多いです。。。

 


 

● 防衛省 - 防衛研究所

中国の安全保障に関する記事。。。英語と中国語もあります。

中国安全保障レポート

年度 副題 テーマ
2021 新時代における中国の軍事戦略 1 情報化戦争の準備を進める中国
2 中国のサイバー戦略
3 中国における宇宙の軍事利用
4 中国の軍民融合発展戦略
2020 ユーラシアに向かう中国 1 中国のユーラシア外交
2 中央アジア・ロシアから見た中国の影響力拡大
3 ユーラシアにおけるエネルギー・アーキテクチャ
2019 アジアの秩序をめぐる戦略とその波紋 1 既存秩序と摩擦を起こす中国の対外戦略
2 中国による地域秩序形成とASEANの対応 ――「台頭」から「中心」へ
3 「一帯一路」と南アジア――不透明さを増す中印関係
4 太平洋島嶼国 ――「一帯一路」の南端
2018 岐路に立つ米中関係 1 中国の対米政策
2 米国の対中政策
3 地域における米中関係の争点
2017 変容を続ける中台関係 1 中国の台湾政策の変遷
2 台湾から見た中台関係
3 米国にとっての台湾問題
4 中台関係の変容と「現状維持」
2016 拡大する人民解放軍の活動範囲とその戦略 1 遠海での作戦能力強化を図る中国海軍
2 空軍の戦略的概念の転換と能力の増大
3 ミサイル戦力の拡充
4 統合的な作戦能力の強化
2014 多様化する人民解放軍・人民武装警察部隊の役割 1 中央国家安全委員会創設とその背景
2 人民武装警察部隊の歴史と将来像
3 人民解放軍による災害救援活動
4 軍事外交としての国連平和維持活動
5 ソマリア沖・アデン湾における海賊対処活動
2013   1 中国の対外危機管理体制
2 中国の危機管理概念
3 危機の中の対外対応
2012   1 「党軍」としての性格を堅持する人民解放軍
2 深化する軍と政府の政策調整
3 軍と政府が連携を深める安全保証政策
4 政策調整の制度化を求める人民解放軍
2011   1 海洋に向かう中国
2 南シナ海で摩擦を起こす中国
3 外洋に進出する中国海軍
4 対外園で発言力を増す人民解放軍
創刊号   1 中国の対外姿勢
2 拡大する活動範囲
3 役割を増す軍事外交
4 進む装備の近代化

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿

・2021.07.01 防衛研究所 バイデン政権と中国

2021.04.27 防衛研究所 台湾関係 日米首脳共同声明等

・2021.03.10 防衛省 NIDS 防衛研究所 米大統領選後の安全保障の展望

・2020.12.04 防衛省 防衛研究所 「一帯一路構想と国際秩序の行方」(安全保障国際シンポジウム報告書)

・2020.12.01 防衛省 防衛研究所 米大統領選後の安全保障の展望 ASEAN, 中国, 南アジア

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

 

Continue reading "防衛研究所 :米国防計画における「Pacing Threat」としての中国"

| | Comments (0)

2021.09.07

英国 データ保護局 (ICO) のブログ Cookie承諾の茶番はやめて、そろそろ真面目に考えようとG7の個人データ・プライバシー関連当局に呼びかける...

こんにちは、丸山満彦です。

英国は、ブレグジットでEUから離脱して、自由を得たのと同時に、プレゼンスも出そうとしているのでしょうかね。。。

英国データ保護局 (ICO) のブログでCookieについて

・いちいちいウェブページを開くたびにCookieについてのポップアップがでてくるが、そもそもほとんど多くの人が深く理解せずに承諾しているでしょう!

・いちいちポップアップがあがってきて、鬱陶しい

・こんな、茶番劇なんか止めて、まじめに対策を考えようよとG7の個人データ・プライバシー関連当局に呼びかけていますね。。。

U.K. Information Commissioner's OfficeAbout the ICO - News and events - News and blogs

ブログ

・2021.09.07 ICO to call on G7 countries to tackle cookie pop-ups challenge

 

ICO to call on G7 countries to tackle cookie pop-ups challenge ICO、G7諸国にクッキーのポップアップに関する課題への取り組みを要請
The UK Information Commissioner’s Office (ICO) will today call on fellow G7 data protection and privacy authorities to work together to overhaul cookie consent pop-ups, so people’s privacy is more meaningfully protected and businesses can provide a better web browsing experience. 英国情報コミッショナーズオフィス(ICO)は、本日、G7のデータ保護およびプライバシーに関する当局に対し、クッキーの同意を示すポップアップを改善するために協力するよう要請します。これにより、人々のプライバシーがより有意義に保護され、企業はより良いウェブ閲覧体験を提供できるようになります。
Chairing the meeting, Information Commissioner Elizabeth Denham will virtually meet the G7 authorities on 7-8 September. At the meeting, she will present an idea on how to improve the current cookie consent mechanism, making web browsing smoother and more business friendly while better protecting personal data. この会議の議長を務めるエリザベス・デナム・コミッショナーは、9月7日から8日にかけて、G7の当局とオンライン会議を持ちます。この会議では、現行のクッキー同意メカニズムを改善し、ウェブブラウジングをよりスムーズにし、個人情報をより適切に保護しながら、企業にとってより使いやすいものにするためのアイデアを提示します。
Currently many people automatically select ‘I agree’ when presented with cookies pop-ups on the internet, which means they are not having meaningful control over their personal data. 現在、多くの人は、インターネット上でクッキーのポップアップが表示されると、自動的に「同意する」を選択してしまい、個人データを有意義にコントロールできていないことになります。
Information Commissioner Elizabeth Denham said: 情報コミッショナーのエリザベス・デナムは次のように述べています。
“I often hear people say they are tired of having to engage with so many cookie pop-ups. That fatigue is leading to people giving more personal data than they would like. 「クッキーのポップアップが多すぎてうんざりする、という声をよく耳にします。その疲れから、人々は自分が望む以上の個人データを提供することになります。」
“The cookie mechanism is also far from ideal for businesses and other organisations running websites, as it is costly and it can lead to poor user experience. While I expect businesses to comply with current laws, my office is encouraging international collaboration to bring practical solutions in this area. 「クッキーの仕組みは、コストがかかり、ユーザー体験の低下につながるため、ウェブサイトを運営する企業やその他の組織にとっても理想的とは言えません。企業が現行法を遵守することを期待する一方で、私のオフィスは、この分野で実用的な解決策をもたらすための国際的な協力を奨励しています。」
“There are nearly two billion websites out there taking account of the world’s privacy preferences. No single country can tackle this issue alone. That is why I am calling on my G7 colleagues to use our convening power. Together we can engage with technology firms and standards organisations to develop a coordinated approach to this challenge.” 「世界中には20億近くのウェブサイトが存在し、世界中の人々のプライバシーに関する好みを考慮しています。一国だけでこの問題に取り組むことはできません。だからこそ、私はG7の仲間たちに、我々の招集力を利用するよう呼びかけているのです。テクノロジー企業や標準化団体と協力して、この課題に対する協調的なアプローチを開発することができます。」

会議自体は8日らしいですので、明日ですね。。。

 

Icologo

 


 

報道等

TechCrunch

・2021.09.07 After years of inaction against adtech, UK’s ICO calls for browser-level controls to fix ‘cookie fatigue’

● BBC News

・2021.09.07 Cookie banners: G7 urged to consider solution to pop-up notices

 

 

 

 

| | Comments (0)

ISO/SAE 21434:2021 路上走行車 — サイバーセキュリティ エンジニアリング (Road vehicles — Cybersecurity engineering) at 2021.08.31

こんにちは、丸山満彦です。

ISOとSAEが路上走行車のサイバーセキュリティエンジニアリングに関する標準を発行していましたね。。。

● ISO

・2021.08.31 ISO/SAE 21434:2021 Road vehicles — Cybersecurity engineering

SAE

・2021.08.31 Road Vehicles - Cybersecurity Engineering ISO/SAE21434

 

Fig1_20210907142201

 

ABSTRACT 概要
This document specifies engineering requirements for cybersecurity risk management regarding concept, product development, production, operation, maintenance and decommissioning of electrical and electronic (E/E) systems in road vehicles, including their components and interfaces. この規格は、路上走行車の電気・電子(E/E)システムのコンセプト、製品開発、生産、運用、保守、およびそれらのコンポーネントやインターフェースを含むデコミッショニングに関する、サイバーセキュリティ・リスク管理のためのエンジニアリング要件を規定している。
A framework is defined that includes requirements for cybersecurity processes and a common language for communicating and managing cybersecurity risk. サイバーセキュリティ・プロセスの要件と、サイバーセキュリティ・リスクを伝達、管理するための共通言語を含むフレームワークが定義されている。
This document is applicable to series production road vehicle E/E systems, including their components and interfaces, whose development or modification began after the publication of this document. この規格は、この規格の発行後に開発または変更が開始された、コンポーネントとインターフェースを含む量産道路車両のE/Eシステムに適用される。
This document does not prescribe specific technology or solutions related to cybersecurity. この規格は、サイバーセキュリティに関連する特定の技術やソリューションを規定するものではない。

 

Foreword 序文
Introduction はじめに
1 Scope 1 適用範囲
2 Normative references 2 引用規格
3 Terms, definitions and abbreviated terms 3 定義及び略語
3.1 Terms and definitions 3.1 用語及び定義
3.2 Abbreviated terms 3.2 略語
4 General considerations 4 一般的な考慮事項
5 Organizational cybersecurity management 5 組織的なサイバーセキュリティ管理
5.1 General 5.1 概要
5.2 Objectives 5.2 目的
5.3 Inputs 5.3 入力項目
5.4 Requirements and recommendations 5.4 要求事項及び推奨事項
5.5 Work products 5.5 成果物
6 Project dependent cybersecurity management 6 プロジェクトに依存したサイバーセキュリティマネジメント
6.1 General 6.1 概要
6.2 Objectives 6.2 目的
6.3 Inputs 6.3 入力項目
6.4 Requirements and recommendations 6.4 要求事項及び推奨事項
6.5 Work products 6.5 作業成果物
7 Distributed cybersecurity activities 7 分散型サイバーセキュリティ活動
7.1 General 7.1 概要
7.2 Objectives 7.2 目的
7.3 Inputs 7.3 入力項目
7.4 Requirements and recommendations 7.4 要求事項及び推奨事項
7.5 Work products 7.5 作業成果物
8 Continual cybersecurity activities 8 継続的なサイバーセキュリティ活動
8.1 General 8.1 一般
8.2 Objectives 8.2 目的
8.3 Cybersecurity monitoring 8.3 サイバーセキュリティのモニタリング
8.4 Cybersecurity event evaluation 8.4 サイバーセキュリティ事象の評価
8.5 Vulnerability analysis 8.5 脆弱性分析
8.6 Vulnerability management 8.6 脆弱性管理
9 Concept 9 概念
9.1 General 9.1 一般
9.2 Objectives 9.2 目的
9.3 Item definition 9.3 アイテムの定義
9.4 Cybersecurity goals 9.4 サイバーセキュリティの目標
9.5 Cybersecurity concept 9.5 サイバーセキュリティのコンセプト
10 Product development 10 製品開発
10.1 General 10.1 一般
10.2 Objectives 10.2 目的
10.3 Inputs 10.3 入力項目
10.4 Requirements and recommendations 10.4 要求事項及び推奨事項
10.5 Work products 10.5 成果物
11 Cybersecurity validation 11 サイバーセキュリティ検証
11.1 General 11.1 一般
11.2 Objectives 11.2 目的
11.3 Inputs 11.3 入力項目
11.4 Requirements and recommendations 11.4 要求事項及び推奨事項
11.5 Work products 11.5 ワークプロダクト
12 Production 12 製造
12.1 General 12.1 一般
12.2 Objectives 12.2 目的
12.3 Inputs 12.3 入力項目
12.4 Requirements and recommendations 12.4 要求事項及び推奨事項
12.5 Work products 12.5 ワークプロダクト
13 Operations and maintenance 13 運用及び保守
13.1 General 13.1 一般
13.2 Objectives 13.2 目的
13.3 Cybersecurity incident response 13.3 サイバーセキュリティのインシデント対応
13.4 Updates 13.4 アップデート
14 End of cybersecurity support and decommissioning 14 サイバーセキュリティサポートの終了及びデコミッショニング
14.1 General 14.1 一般
14.2 Objectives 14.2 目的
14.3 End of cybersecurity support 14.3 サイバーセキュリティサポートの終了
14.4 Decommissioning 14.4 デコミッショニング
15 Threat analysis and risk assessment methods 15 脅威分析及びリスクアセスメントの方法
15.1 General 15.1 一般
15.2 Objectives 15.2 目的
15.3 Asset identification 15.3 資産の特定
15.4 Threat scenario identification 15.4 脅威のシナリオの特定
15.5 Impact rating 15.5 影響度評価
15.6 Attack path analysis 15.6 攻撃経路の分析
15.7 Attack feasibility rating 15.7 攻撃実行可能性評価
15.8 Risk value determination 15.8 リスク値の決定
15.9 Risk treatment decision 15.9 リスク処理の決定
Annex A Summary of cybersecurity activities and work products 附属書A サイバーセキュリティ活動及び作業成果の概要
Annex B Examples of cybersecurity culture 附属書B サイバーセキュリティ文化の例
Annex C Example of cybersecurity interface agreement template 附属書C サイバーセキュリティ・インターフェース合意書テンプレートの例
Annex D Cybersecurity relevance – example methods and criteria 附属書D サイバーセキュリティの関連性 - 方法と基準の例
Annex E Cybersecurity assurance levels 附属書E サイバーセキュリティ保証レベル
Annex F Guidelines for impact rating 附属書F 影響度評価のガイドライン
Annex G Guidelines for attack feasibility rating 附属書G 攻撃の実行可能性評価に関するガイドライン
Annex H Examples of application of TARA methods – headlamp system 附属書H TARA手法の適用例-ヘッドランプシステム

 

 

Continue reading "ISO/SAE 21434:2021 路上走行車 — サイバーセキュリティ エンジニアリング (Road vehicles — Cybersecurity engineering) at 2021.08.31"

| | Comments (0)

欧州委員会 39億超の実世界のアカウントのパスワードの推測可能性分析

こんにちは、丸山満彦です。

漏洩したアカウントとパスワードのリストの中で有意なアカウント(約39.5億ID)のパスワードの分析結果です。。。

漏洩した時期から若干傾向は変わっているかもしれませんし、普段使う言語やキーボード配列によってもパスワードで使う文字列の傾向は異なる可能性もあるのですが、そこまでの分析は入手したデータの特性上できていないようですが、参考にということで。。。

 

EU Commission - EU Science Hub (Joint Research Centre)

・2021 How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts

How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts デジタル・フォレンジック調査におけるパスワード・クラッキングの実行性は?39億超の実在するアカウントの推測可能性を分析する
Abstract: Passwords have been and still remain the most common method of authentication in computer systems. From accessing your smartphone, to setting up your online banking account or social identification, there is a plethora of passwords users are required toset and remember in hundreds of websites. While the sheer volume of different passwords makes it almost impossible for users to remember them, it also makes the job of law enforcement engaged in a digital investigation more difficult, especially since time is ofthe essence. Oftentimes, a password can be the crucial piece of the puzzle to prevent future crime activity or swiftly resolve a criminal investigation. To this end, this paper presents an analysis of the passwords associated with over 3.9 billion real-world accounts. To the best of our knowledge, an analysis of this scale has not been conducted before. This analysis includes statistics onuse and most common patterns found in passwords as well as an advanced analysis of the constituent fragments of passwords and a classification of the fragments according to their semantic meaning. Finally, we provide an in depth study on the guessability of thedataset of passwords. 概要 パスワードは、昔も今も、コンピュータシステムにおける最も一般的な認証方法です。スマートフォンへのアクセスから、オンライン・バンキングやソーシャル・アイデンティティの設定に至るまで、ユーザーは何百ものウェブサイトで膨大な数のパスワードを設定し、記憶する必要があります。膨大な数のパスワードは、ユーザーが記憶することを不可能にする一方で、デジタル捜査に携わる法執行機関の仕事を困難にしています。パスワードは、将来の犯罪行為を防止したり、犯罪捜査を迅速に解決したりするための重要なピースとなることがよくあります。そこで本稿では,そこで本稿では、39億件以上の実世界のアカウントに関連するパスワードの分析結果を紹介します。私たちの知る限り、この規模の分析はこれまでに行われたことはありません。この分析には、パスワードの使用状況や最も一般的なパターンに関する統計、パスワードを構成する断片の高度な分析、意味的な意味に基づく断片の分類などが含まれています。最後に、パスワードのデータセットの推測可能性に関する詳細な研究を行っています。

 

Science Direct

・2021.07 How viable is password cracking in digital forensic investigation? Analyzing the guessability of over 3.9 billion real-world accounts by AikateriniKantaabSeinCoraycIwenCoiselbMarkScanlona

 

パスワードの強度を5段階にスコア化し、そのパスワード長がどのくらいになるのかを示した図とかもありますね。。。

1s20s2666281721000949gr5_lrg

Fig. 5Password Length Distribution within zxcvbn Score Classes.

出典:上記論文

 

PDF↓もあります。

・[PDF

20210907-31342

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.18 スマートなパスワードクラッキングのためのオープンソースインテリジェンス

 

| | Comments (0)

2021.09.06

中国 デジタル村建設ガイド1.0

こんにちは、丸山満彦です。

中国が「デジタル村建設ガイド1.0」を公表していますね。。。

これは是非、目を通した方が良いと思います。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2021.09.03 关于印发《数字乡村建设指南1.0》的通知
 

关于印发《数字乡村建设指南1.0》的通知 「デジタル村構築ガイド1.0」発行のお知らせ
各省、自治区、直辖市及计划单列市、新疆生产建设兵团网信、农业农村、发改、工信、科技、市场监管、乡村振兴部门: 省、自治区、中央政府直轄市、中央計画都市、新疆生産建設隊、ネットワーク情報部門、農業農村部、開発改革部門、産業情報部門、科学技術部門、市場監督部門、農村活性化部門。
为贯彻落实习近平总书记关于乡村振兴的重要指示批示精神,深入实施《数字乡村发展战略纲要》,结合“我为群众办实事”实践活动有关要求,扎实有序推进数字乡村建设,中央网信办、农业农村部、国家发展改革委、工业和信息化部、科技部、市场监管总局、国家乡村振兴局等部门相关司局组织编制了《数字乡村建设指南1.0》,现印发你们,供推进数字乡村工作时参考使用。 習近平総書記の農村活性化に関する重要な指示・命令の精神を実行し、「デジタル農村発展戦略綱要」をさらに実行し、「私は大衆のために実用的なことをする」という実践の要求を結合し、デジタル村落の建設を堅実かつ秩序ある形で推進するために、中央インターネット情報局、農業農村開発省、国家発展改革委員会、工業情報化省、科学技術省、市場監督総局、国家農村開発総局は 科学技術省、市場監督総局、国家農村活性化局などの関連部門・局は、デジタル村の作業を推進するための参考資料として、「デジタル村建設ガイド1.0」を整理・編集し、ここに発行する。
各地区在使用本指南时,要结合本地实际,选择适配本地资源禀赋和经济基础的内容进行参考,切忌生搬硬套、盲目跟风。在推进数字乡村建设过程中,要稳步有序推进,合理设置阶段性目标任务和工作重点,杜绝搞大融资、大拆建、大开发。 このガイドを使用する際、すべての地域は地域の現実を考慮し、地域の資源賦存量や経済基盤に適した内容を参考に選ぶべきであり、コピーして盲目的にトレンドに従うべきではない。 デジタル・ビレッジの構築を推進する過程では、着実かつ秩序ある進歩を遂げ、合理的なマイルストーンと作業の優先順位を設定し、大規模な資金調達、大規模な解体、大規模な開発を行わないことが重要です。

 

・2021.09.03 [PDF] 数字乡村建设指南1.0

20210906-181224

 [DOCX] 仮訳

 

 

 

 

| | Comments (0)

2021.09.05

ロシア 第6回 東方経済フォーラムに習近平さんも電話で参加したようです。。。

こんにちは、丸山満彦です。

ロシアで開催された第6回 東方経済フォーラムに習近平さんも電話で参加したようです。。。そらそうでしょう、ということなんですが、一応備忘録ということで...

日本に関する話題も登場しています。。。

1920pxstandard_of_the_president_of_the_r

(ロシア大統領旗)

 

ロシア側

Президент России ロシア大統領
2021.09.03 Пленарное заседание Восточного экономического форума 東方経済フォーラムの全体会議
2021.09.03 Встреча с модераторами ключевых сессий Восточного экономического форума 東方経済フォーラムの主要セッションのモデレーターとのミーティング
Правительство России ロシア政府
2021.09.03 Дмитрий Чернышенко в рамках встречи Президента с модераторами ключевых сессий ВЭФ рассказал об ИТ-образовании для школьников в России ドミトリー・チェルニシェンコ副首相は、東方経済フォーラムの主要セッションのモデレーターとの会合で、ロシアの学童に対するIT教育について語った
2021.09.03 На полях Восточного экономического форума в присутствии Юрия Трутнева прошло подписание трёх соглашений 東方経済フォーラムでユーリ・トルトネフ副首相が出席し、3つの協定が締結された

 

中国側

国務院 - 外交部  
2021.09.03 习近平出席第六届东方经济论坛全会开幕式并致辞 習近平が第6回東方経済フォーラム全体会議の開会式に出席し、スピーチをする
2021.09.03 习近平在第六届东方经济论坛全会开幕式上的致辞(全文) 第6回東方経済フォーラム全体会議開会式における習近平のスピーチ(全文)

 

习近平在第六届东方经济论坛全会开幕式上的致辞(全文) 第6回東方経済フォーラム全体会議開会式における習近平のスピーチ(全文)
共克时艰,同谋发展 共に困難を乗り越え、共に発展を目指す
携手谱写远东合作新篇章 手を取り合って、極東協力の新しい章を書く
——在第六届东方经济论坛全会开幕式上的致辞 ・東方経済フォーラム第6回全体会議の開会式でのスピーチ
尊敬的普京总统, 親愛なるプーチン大統領へ
女士们,先生们,朋友们: 紳士淑女の皆さん、友人の皆さん。
  感谢普京总统盛情邀请。很高兴时隔3年再次出席东方经济论坛。   プーチン大統領、ご招待いただきありがとう