« September 2021 | Main | November 2021 »

October 2021

2021.10.31

米国 NSA CISA 「5Gクラウド基盤のセキュリティガイダンス:(パート1)横展開の防止と検知」を公表

こんにちは、丸山満彦です。

NSA、CISAが5Gクラウド基盤のサイバーセキュリティガイダンス、四部作の第一弾「5Gクラウド基盤のセキュリティガイダンス:(パート1)横展開の防止と検知」を公表していますね。。。

National Security Agency/Central Security Service

2021.10.28 NSA and CISA provide cybersecurity guidance for 5G cloud infrastructures

NSA and CISA provide cybersecurity guidance for 5G cloud infrastructures NSAとCISAが5Gクラウド基盤のサイバーセキュリティガイダンスを提供
FORT MEADE, Md.   –   The National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA) have published cybersecurity guidance to securely build and configure cloud infrastructures in support of 5G. Security Guidance for 5G Cloud Infrastructures: Prevent and Detect Lateral Movement is the first of a four-part series created by the Enduring Security Framework (ESF), a cross-sector, public-private working group which provides cybersecurity guidance that addresses high priority cyber-based threats to the nation’s critical infrastructure. 米国国家安全保障局(NSA)と米国サイバーセキュリティ・インフラストラクチャ・セキュリティ庁(CISA)は、5Gに対応したクラウドインフラを安全に構築・構成するためのサイバーセキュリティガイダンスを発表しました。5Gクラウド基盤のためのセキュリティガイダンスです。5Gクラウド基盤のセキュリティガイダンス:横展開の防止と検知」は、国の重要インフラに対するサイバーベースの脅威の優先度が高いサイバーセキュリティガイダンスを提供する官民横断のワーキンググループであるEnduring Security Framework(ESF)が作成した4部作の第1弾です。
“This series provides key cybersecurity guidance to configure 5G cloud infrastructure,” said Natalie Pittore, Chief of ESF in NSA’s Cybersecurity Collaboration Center.  “Our team examined priority risks so that we could provide useful guidance, disseminated in an actionable way to help implementers protect their infrastructure.” 「NSAのサイバーセキュリティ・コラボレーションセンターでESFのチーフを務めるナタリー・ピットーア氏は、「このシリーズは、5Gクラウドのインフラを構成するための重要なサイバーセキュリティガイダンスを提供します。 「このシリーズは、5Gクラウド基盤を構成するための重要なサイバーセキュリティガイダンスを提供します。
The series builds on the ESF Potential Threat Vectors to 5G Infrastructure analysis paper released in May 2021, which focused specifically on threats, vulnerabilities, and mitigations that apply to the deployment of 5G infrastructures. Based on preliminary analysis and threat assessment, the top 5G cloud infrastructure security challenges were identified by ESF and a four-part series of instructional documents covering those challenges will be released over the next few weeks.  Topics include securely isolating network resources; protecting data in transit, in use, and at rest; and ensuring integrity of the network infrastructure. このシリーズは、2021年5月に発表した「ESF Potential Threat Vectors to 5G Infrastructure」の分析ペーパーをベースにしており、5G基盤の展開に適用される脅威、脆弱性、緩和策に特化しています。予備的な分析と脅威の評価に基づき、ESFは5Gクラウド基盤のセキュリティに関する上位の課題を特定し、これらの課題をカバーする4部構成の解説文書を今後数週間にわたって公開する予定です。 その内容は、ネットワークリソースの安全な分離、転送中、使用中、保管中のデータの保護、ネットワーク基盤の完全性の確保などです。
Part I focuses on detecting malicious cyber actor activity in 5G clouds to prevent the malicious cyberattack of a single cloud resource from compromising the entire network.  The guidance provides recommendations for mitigating lateral movement attempts by malicious cyber actors who have successfully exploited a vulnerability to gain initial access into a 5G cloud system. パート1では、5Gクラウドにおける悪意のあるサイバーアクターの活動を検知し、単一のクラウドリソースに対する悪意のあるサイバー攻撃がネットワーク全体を危険にさらすことを防ぐことに焦点を当てています。 本ガイダンスでは、脆弱性を悪用して5Gクラウドシステムへの初期アクセスに成功した悪意のあるサイバーアクターによる横展開の試みを軽減するための推奨事項を示しています。
“This series exemplifies the national security benefits resulting from the joint efforts of ESF experts from CISA, NSA, and industry,” said Rob Joyce, NSA Cybersecurity Director. “Service providers and system integrators that build and configure 5G cloud infrastructures who apply this guidance will do their part to improve cybersecurity for our nation.” NSAサイバーセキュリティ・ディレクターのロブ・ジョイスは、「このシリーズは、CISA、NSA、産業界のESF専門家が共同で取り組んだ結果、国家安全保障上のメリットが得られたことを例証しています」と述べています。「このシリーズは、CISA、NSA、産業界のESF専門家が共同で取り組んだ国家安全保障上のメリットを示すものです。
“Strong and vibrant partnerships are critical to the overall effort to reduce cyber risk. Along with our public and private partners in the ESF, CISA is proud to partner with NSA to present the Security Guidance series for 5G Infrastructure,” said Alaina Clark, Assistant Director for Stakeholder Engagement. “Protecting 5G cloud infrastructure is a shared responsibility and we encourage 5G providers, operators and customers to review the new guidance.” 「サイバーリスクを低減するための全体的な取り組みには、強力で活気あるパートナーシップが不可欠です。CISAは、ESFの官民パートナーとともに、NSAと提携して5G基盤のセキュリティガイダンスシリーズを発表できることを誇りに思います」と、ステークホルダーエンゲージメント担当アシスタントディレクターのAlaina Clark氏は「5Gクラウド基盤の保護は共通の責任であり、5Gプロバイダー、オペレーター、顧客に新しいガイダンスを確認することを推奨する」と述べています。
5G cloud providers, integrators, and network operators share the responsibility to detect and mitigate lateral movement attempts within their 5G cloud infrastructure. This document provides best practices to secure the 5G cloud from specific cyber threats of lateral movement that could compromise a network. 5Gクラウドのプロバイダー、インテグレーター、ネットワークオペレーターは、5Gクラウド基盤内の横展開の試みを検知し、軽減する責任を共有しています。本文書は、ネットワークを危険にさらす可能性のある横展開の特定のサイバー脅威から5Gクラウドを保護するためのベストプラクティスを提供します。

 

・[PDF]SECURITY GUIDANCE FOR 5G CLOUD INFRASTRUCTURES Part I: Prevent and Detect Lateral Movement

20211031-64351

目次。。。

Background 背景
Scope 範囲
5G Cloud Security Challenge Overview 5Gクラウドセキュリティチャレンジの概要
5G Threat 5Gの脅威
5G Cloud Security Guidance 5Gクラウドセキュリティガイダンス
Prevent and Detect Lateral Movement in the 5G Cloud 5Gクラウドにおける横展開の防止と検知
Implement Secure Identity and Access Management (IdAM) in the 5G Cloud 5Gクラウドにおける安全なアイデンティティおよびアクセス管理(IdAM)の実装
Keep 5G Cloud Software Up-to-Date and Free from Known Vulnerabilities 5Gクラウドのソフトウェアを常に最新の状態に保ち、既知の脆弱性を排除する
Securely Configure Networking within the 5G Cloud 5Gクラウド内のネットワークを安全に設定
Lock Down Communications Among Isolated Network Functions 分離されたネットワーク機能間の通信のロックダウン
Monitor for Indications of Adversarial Lateral Movement 敵の横展開の兆候の監視
Develop and Deploy Analytics to Detect Sophisticated Adversarial Presence 高度な敵対者の存在を検知するための分析手法の開発と導入
Conclusion 結論

 

 

| | Comments (0)

ロシア 通信・IT・マスメディア監督連邦サービス(Roskomnadzor) が「Googleが禁止された映像等の削除を繰り返し怠った」として行政上の責任を問うたと公表していますね。。。

こんにちは、丸山満彦です。

ロシア 通信・IT・マスメディア監督連邦サービス (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) )  [wikipedia EN]がGoogleが禁止された映像等の削除を繰り返し怠ったとして行政上の責任を負ったと公表しています。

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2021.10.27 Google привлекут к административной ответственности за повторное неудаление запрещенных материалов

Google привлекут к административной ответственности за повторное неудаление запрещенных материалов Googleは、禁止された動画等の削除を繰り返し怠ったことにより、行政上の責任を負うことになります。
Роскомнадзор 27 октября составил административный протокол в отношении американской ИТ-компании Google LLC за повторное нарушение порядка ограничения доступа к материалам, содержащим запрещенную информацию (ч. 5 ст. 13.41 КоАП РФ). 10月27日、通信・IT・マスメディア監督連邦サービスは、米国のIT企業であるGoogle LLC(Google社)に対し、禁止された情報を含む動画等へのアクセスを制限する手続き(ロシア連邦行政法第13.41条第5部)に繰り返し違反したとして、行政手続を行いました。
Такое правонарушение предполагает наказание в виде наложения административного штрафа, который может составлять от 1/20 до 1/10 годового оборота интернет-компании. このような違反行為は、インターネット企業の年間売上高の20分の1から10分の1の範囲の行政罰金で処罰されます。
Протокол будет передан в суд для привлечения компании к ответственности. この手続きは、会社を起訴するために裁判所に送致されます。
Видео-хостинг YouTube (принадлежит компании Google LLC) систематически не выполняет требования по удалению материалов, содержащих запрещённую в РФ информацию. 動画投稿サイト「YouTube」(Google社が所有)は、ロシア連邦で禁止されている情報を含む動画等を削除するための要件を組織的に順守していません。
Всего на данный момент YouTube не удалил свыше 2, 4 тыс. опасных для граждан России противоправных материалов, в том числе: YouTubeはこれまでに、ロシア市民にとって有害な2,400件以上の違法な動画等を削除していません。
- пропагандирующих взгляды и идеологию экстремистских и террористических организаций, разжигающих религиозную рознь, а также содержащих признаки героизации террористов; - 過激派やテロ組織の見解やイデオロギーを宣伝したり,宗教的な不和を煽ったり,テロリストを称賛するような表示
- пропагандирующих индифферентное отношение к жизни и здоровью несовершеннолетних («зацепинг», «руфинг»); - 未成年者の生命や健康に無関心な態度を誘発する行為(「フッキング」、「ルーフィング」)。
- содержащих недостоверную общественно значимую информацию, связанную с отрицанием опасности COVID-19, а также ложную информацию о природных и техногенных катастрофах; - COVID-19の危険性の否定に関連する公共性の高い虚偽の情報、および自然災害や技術災害に関する虚偽の情報
- содержащих способы употребления, а также методы культивирования наркотических средств; - 麻薬の使用方法や麻薬の栽培方法
-  с призывами к участию несовершеннолетних в несанкционированных массовых акциях. - 未成年者を無許可の集団行動に参加させること
С начала 2021 года за неудаление запрещенного контента в отношении компании Google LLC составлено 16 протоколов об административных нарушениях по ст. 13.41 КоАП РФ. Компания привлечена к административной ответственности на 32,5 млн рублей. 2021年初め以降、不正なコンテンツを削除しなかったことを理由に、Google社に対して、ロシア連邦行政犯罪法典第13条第41項に基づく行政違反の報告書が16件作成されました。同社は3,250万ルーブル(約5,200万円)の行政責任を問われました。

 

1920pxemblem_of_roskomnadzorsvg

 

関連する条文をうまく拾えていないですが、これですかね。。。

・ 法律情報の公式ポータル http://pravo.gov.ru

РОССИЙСКАЯ ФЕДЕРАЦИЯ - Кодекс Российской Федерации об административных правонарушениях

Статья 13.41. Нарушение порядка ограничения доступа к информации, информационным ресурсам, доступ к которым подлежит ограничению в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, и (или) порядка удаления указанной информации 第13.41条 情報、情報技術、情報保護に関するロシア連邦の法律に基づき、アクセスが制限されている情報、情報資源へのアクセスを制限するための手順、および(または)当該情報を削除するための手順に違反した場合
1. Непринятие провайдером хостинга или иным лицом, обеспечивающим размещение в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", информационного ресурса, мер по ограничению доступа к информации, информационному ресурсу или сайту в сети "Интернет" в случае, если обязанность по принятию таких мер предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, за исключением случаев, предусмотренных частью 3 настоящей статьи, - 1. ホスティング・プロバイダーまたはインターネットを含む情報通信ネットワーク上に情報資源を配置することを保証するその他の者が、インターネット上の情報、情報資源またはウェブサイトへのアクセスを制限する措置を取らなかった場合、本条第3部に規定された場合を除き、情報、情報技術および情報保護に関するロシア連邦の法律によってそのような措置を取る義務が規定されている場合には、以下のことが課せられる。
влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц - от восьмисот тысяч до четырех миллионов рублей. 市民の場合は5万~10万ルーブル、公務員の場合は20万~40万ルーブル、法人の場合は80万~400万ルーブルの行政処分が科せられる。
2. Неудаление владельцем сайта или владельцем информационного ресурса в информационно-телекоммуникационной сети "Интернет" информации или интернет-страницы в случае, если обязанность по удалению такой информации, интернет-страницы предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, за исключением случаев, предусмотренных частью 4 настоящей статьи, - 2. ウェブサイトの所有者または情報通信ネットワーク「インターネット」の情報リソースの所有者が、情報、インターネット・ページを削除する義務が情報、情報技術、情報保護に関するロシア連邦の法律で規定されている場合に、情報またはインターネット・ページを削除しなかった場合(本条第4項で規定されている場合を除く)には、以下が課せられる。
влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц - от восьмисот тысяч до четырех миллионов рублей. 市民には5万~10万ルーブル、職員には20万~40万ルーブル、法人には80万~400万ルーブルの行政処分が科せられる。
3. Непринятие провайдером хостинга или иным лицом, обеспечивающим размещение в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", информационного ресурса, мер по ограничению доступа к информационному ресурсу или сайту в сети "Интернет", на которых размещены информация, содержащая призывы к осуществлению экстремистской деятельности, материалы с порнографическими изображениями несовершеннолетних и (или) объявления о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятиях порнографического характера, информация о способах, методах разработки, изготовления и использования наркотических средств, психотропных веществ и их прекурсоров, новых потенциально опасных психоактивных веществ, местах их приобретения, способах и местах культивирования наркосодержащих растений, в случае, если обязанность по принятию указанных мер предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, - 3.ホスティング・プロバイダーまたはインターネットを含む情報通信ネットワーク上に情報資源を配置することを保証するその他の者が、過激な活動への呼びかけを含む情報、未成年者のポルノ画像を含む資料、および/または未成年者をポルノ的な娯楽イベントへの参加のための出演者として従事させるための広告、麻薬・向精神薬およびそれらの前駆物質の開発、製造および使用の方法、方法に関する情報、新しい潜在的に危険な向精神薬、それらの取得場所、麻薬植物の栽培方法および栽培場所、これらの措置を講じる義務が情報、情報技術および情報保護に関するロシア連邦の法律によって規定されていることについて情報資源またはインターネットサイトへのアクセスを制限する措置を講じなかった場合には、以下が課せられる。
влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от трех миллионов до восьми миллионов рублей. 市民は10万ルーブルから20万ルーブル、公務員は40万ルーブルから80万ルーブル、法人は300万ルーブルから800万ルーブルの行政処分が科せられる。
4. Неудаление владельцем сайта или владельцем информационного ресурса в информационно-телекоммуникационной сети "Интернет" информации или интернет-страницы, содержащих призывы к осуществлению экстремистской деятельности, материалы с порнографическими изображениями несовершеннолетних и (или) объявления о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятиях порнографического характера, информацию о способах, методах разработки, изготовления и использования наркотических средств, психотропных веществ и их прекурсоров, новых потенциально опасных психоактивных веществ, местах их приобретения, способах и местах культивирования наркосодержащих растений, в случае, если обязанность по удалению такой информации, интернет-страницы предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, - 4. ウェブサイトの所有者または情報通信ネットワーク「インターネット」上の情報資源の所有者が、過激な活動を行うように訴える内容を含む情報またはウェブページを削除しなかったこと、未成年者のポルノ画像を含む資料および(または)未成年者をポルノ的性質を持つ娯楽イベントの出演者として従事させるための広告、麻薬、向精神薬およびそれらのpの開発・製造・使用の方法・手法に関する情報を削除しなかったこと。
влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от трех миллионов до восьми миллионов рублей. 市民は10万ルーブルから20万ルーブル、公務員は40万ルーブルから80万ルーブル、法人は300万ルーブルから800万ルーブルの行政罰金を科す。
5. Повторное совершение административного правонарушения, предусмотренного частью 1 или 2 настоящей статьи, - 5. 本条第1項または第2項に規定された行政犯罪を繰り返し犯した場合には
влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц - от одной двадцатой до одной десятой совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее четырех миллионов рублей. 市民の場合は10万ルーブルから20万ルーブル、公務員の場合は50万ルーブルから80万ルーブル、法人の場合は行政違反が確認された年の前の暦年、または行政違反が確認された日の前の暦年の一部において、すべての商品(作品、サービス)の販売から得た収入の総額の20分の1から10分の1を行政処分とする。
6. Повторное совершение административного правонарушения, предусмотренного частью 3 или 4 настоящей статьи, - 6. 本条第3項または第4項に基づく行政上の違法行為を繰り返し行った場合には、次のことが求められる。
влечет наложение административного штрафа на граждан в размере от двухсот тысяч до пятисот тысяч рублей; на должностных лиц - от восьмисот тысяч до одного миллиона рублей; на юридических лиц - от одной десятой до одной пятой совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее восьми миллионов рублей. 市民の場合は20万~50万ルーブル、役人の場合は80万~100万ルーブル、法人の場合は行政違反が発覚した年の前の暦年、または行政違反が発覚した日の前の暦年の一部において、すべての商品(作品、サービス)の販売から得た総収入の10分の1から5分の1までの行政上の罰金を科す。
П р и м е ч а н и е. Действие настоящей статьи не распространяется на случаи ограничения доступа к информации, распространяемой с нарушением авторских и (или) смежных прав в информационно-телекоммуникационной сети "Интернет", и удаления указанной информации. N o t e 。本条は、情報通信ネットワーク「インターネット」において、著作権および(または)関連する権利を侵害して配信された情報へのアクセスを制限し、当該情報を削除する場合には適用されないものとする。
(Статья введена - Федеральный закон от 30.12.2020 № 511-ФЗ) (記事は2020年12月30日の連邦法第511-FZ号により導入されています)。)

 

● PPT

Статья 13.41 КОАП РФ. Нарушение порядка ограничения доступа к информации, информационным ресурсам, доступ к которым подлежит ограничению в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, и (или) порядка удаления указанной информации

 


ロシア 通信・IT・マスメディア監督連邦サービス関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.25 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が個人データ保護委員会を設立する計画を発表していますね。。。

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

 

 

| | Comments (0)

2021.10.30

NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

こんにちは、丸山満彦です。

NISTが、SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)を公開し、意見募集をしていますね。。。

● NIST

・2021.10.28 SP 800-161 Rev. 1 (Draft)  Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (2nd Draft)

 

SP 800-161 Rev. 1 (Draft) Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations (2nd Draft) SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)
Announcement 発表内容
NIST has just released the second public draft of Special Publication (SP) 800-161 Revision 1, Cybersecurity Supply Chain Risk Management Practices for Systems and Organizations, for public comment. We listened to your comments from earlier this year about the first version, we’ve made new changes, and we are hoping to get your feedback again on our new draft. NISTは、Special Publication (SP) 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践の第2次ドラフトをパブリックコメント用に公開しました。今年初めにいただいた第1版についての意見に耳を傾け、新たな変更を加え、今回のドラフトでも皆様の意見をいただきたいと考えています。
The initial public draft was published in April of 2021 and preceded the release of the President’s Executive Order (EO) 14028 on Improving the Nation’s Cybersecurity issued on May 12, 2021. This EO charged multiple agencies—including NIST—with enhancing cybersecurity through a variety of initiatives, but with a specific focus on the security and integrity of the software supply chain. 最初の公開草案は2021年4月に発表され、それに先立って2021年5月12日に発表された「国家のサイバーセキュリティの向上に関する大統領の大統領令(EO)14028」が発表されました。このEOは、NISTを含む複数の機関に対して、さまざまな取り組みを通じてサイバーセキュリティを強化することを求めていますが、特にソフトウェアのサプライチェーンのセキュリティと整合性に焦点を当てています。
What is different about this second version? 今回の第2版では何が違うのですか?
We worked on making the implementation guidance more consumable by different audiences by revising the structure of the document and adding Audience Profiles. We also added two NEW appendices focused more specifically on Federal departments and agencies:  実施ガイダンスの構成を見直し、想定読者を追加することで、さまざまな人が利用できるようにしました。また、連邦政府の省庁に特化した新たな附属書を2つ追加しました。
APPENDIX E: A Federal Acquisition Supply Chain Security Act of 2018 (FASCSA) appendix, which provides additional guidance tailored to federal executive agencies related to supply chain risk assessment factors, assessment documentation, risk severity levels, and risk response.    附属書E:2018年連邦調達サプライチェーンセキュリティ法(FASCSA)の附属書であり、サプライチェーンのリスク評価要因、評価文書、リスクの深刻度レベル、リスク対応に関連する連邦行政機関に合わせた追加ガイダンスを提供しています。  
APPENDIX F: A Response to Executive Order 14028’s Call to Publish Preliminary Guidelines or Enhancing Software Supply Chain Security appendix, which seeks to provide a response to the directives outlined within Section 4(c) of the EO by outlining existing industry standards, tools, and recommended practices within the context of SP 800-161 Revision 1, as well as any new standards, tools, and recommended practices stemming from the EO and recent developments in the discipline. 附属書F:大統領令14028の予備ガイドラインの公開またはソフトウェアサプライチェーンセキュリティの強化に関する附属書への対応。これは、大統領令の第4章(c)に概説されている指令への対応を、既存の業界標準、ツール、および SP 800-161 Rev.1 のコンテキスト、および大統領令とこの分野の最近の開発に由来する新しい標準、ツール、および推奨されるプラクティスに対応することを目的としています。
See the "Note to Reviewers" on page iii of the draft for a summary of changes and questions for reviewers to consider. ドラフトの3ページ目にある「レビュアーへの注意事項」には、レビュアーが検討すべき変更点と質問の概要が記載されています。
Abstract 概要
Organizations are concerned about the risks associated with products and services that may contain potentially malicious functionality, are counterfeit, or are vulnerable due to poor manufacturing and development practices within the cyber supply chain. These risks are associated with an enterprise’s decreased visibility into, and understanding of, how the technology that they acquire is developed, integrated, and deployed, as well as the processes, procedures, and practices used to assure the security, resilience, reliability, safety, integrity, and quality of the products and services. 企業は、悪意のある機能が含まれている可能性のある製品やサービス、偽造品、あるいはサイバー・サプライ・チェーン内の不適切な製造・開発方法による脆弱性に関連するリスクを懸念しています。このようなリスクは、企業が取得した技術がどのように開発、統合、展開されているか、また、製品やサービスのセキュリティ、回復力、信頼性、安全性、完全性、品質を保証するために使用されるプロセス、手順、および実践に対する企業の可視性や理解が低下していることに関連しています。
This publication provides guidance to organizations on identifying, assessing, and mitigating cyber supply chain risks at all levels of their organizations. The publication integrates cyber supply chain risk management (C-SCRM) into risk management activities by applying a multi-level, C-SCRM-specific approach, including guidance on development of C-SCRM strategy implementation plans, C-SCRM policies, C-SCRM plans, and C-SCRM risk assessments for products and services. 本書は、組織のあらゆるレベルにおけるサイバーサプライチェーンのリスクを特定、評価、軽減するためのガイダンスを提供しています。本書は、C-SCRM戦略実施計画、C-SCRMポリシー、C-SCRM計画、製品・サービスのC-SCRMリスクアセスメントの策定に関するガイダンスを含む、複数レベルのC-SCRM固有のアプローチを適用することで、サイバーサプライチェーンリスクマネジメント(C-SCRM)をリスクマネジメント活動に統合しています。

 

・[PDF] SP 800-161 Rev. 1 (Draft)

20211030-33734

1. INTRODUCTION 1. 序論
1.1. Purpose 1.1. 目的
1.2. Target Audience 1.2. 想定読者
1.3. Audience Profiles and Document Use Guidance 1.3. 対象者のプロファイルと文書使用の手引き
1.3.1. Enterprise Risk Management and C-SCRM Owners and Operators 1.3.1. エンタープライズリスク管理及びC-SCRMのオーナー及び運営者
1.3.2. Enterprise, Agency, Mission and Business Process Owners and Operators 1.3.2. エンタープライス、省庁、ミッション及びビジネスプロセスのオーナー及び運営者
1.3.3. Acquisition and Procurement Owners and Operators 1.3.3. 取得及び調達のオーナー及び運営者
1.3.4. Information Security, Privacy, or Cybersecurity operators 1.3.4. 情報セキュリティ、プライバシー、またはサイバーセキュリティのオペレータ
1.3.5. Systems development, system engineering, and system implementation personnel 1.3.5. システム開発、システムエンジニアリング、およびシステム実装の担当者
1.4. Background 1.4. 背景
1.4.1. Enterprise’s Supply Chain 1.4.1. 組織体のサプライチェーン
1.4.2. Supplier Relationships within Enterprises 1.4.2. 組織体におけるサプライヤーとの関係
1.5. Relationship to Other Publications and Publication Summary 1.5. 他の出版物との関係および出版物の概要
2. INTEGRATION OF C-SCRM INTO ENTERPRISE-WIDE RISK MANAGEMENT 2. 組織体全体のリスクマネジメントへのC-SCRMの統合
2.1. The Business Case for C-SCRM 2.1. C-SCRMのビジネスケース
2.2. Cybersecurity Risk in Supply Chains 2.2. サプライチェーンにおけるサイバーセキュリティリスク
2.3. Multi-level Risk Management 2.3. マルチレベルのリスクマネジメント
2.3.1. Roles and Responsibilities Across the Three Levels 2.3.1. 3つのレベルにまたがる役割と責任
2.3.2. Level 1—Enterprise 2.3.2. レベル1-組織体
2.3.3. Level 2—Mission/Business Process 2.3.3. レベル2-ミッション/ビジネスプロセス
2.3.4. Level 3—Operational 2.3.4. レベル3-オペレーション
2.3.5. C-SCRM PMO 2.3.5. C-SCRM PMO
3. CRITICAL SUCCESS FACTORS 3. 重要成功要因
3.1. C-SCRM in Acquisition 3.1. 取得における C-SCRM
3.1.1. Acquisition in the C-SCRM Strategy and Implementation Plan 3.1.1. C-SCRM 戦略及び実施計画における取得
3.1.2. The Role of C-SCRM in the Acquisition Process 3.1.2. 獲得プロセスにおけるC-SCRMの役割
3.2. Supply Chain Information Sharing 3.2. サプライチェーンの情報共有
3.3. C-SCRM Training and Awareness 3.3. C-SCRM のトレーニングと意識向上
3.4. C-SCRM KEY PRACTICES 3.4. C-SCRMのキー・プラクティス
3.4.1. Foundational Practices 3.4.1. 基礎的な実践
3.4.2. Sustaining Practices 3.4.2. 持続的実践
3.4.3. Enhancing Practices 3.4.3. 強化のための施策
3.5. Capability Implementation Measurement and C-SCRM Measures 3.5. 能力実装の測定およびC-SCRMの測定
3.5.1. Measuring C-SCRM Through Performance Measures 3.5.1. パフォーマンス指標によるC-SCRMの測定
3.6. Dedicated Resources 3.6. 専用リソース
APPENDIX A: C-SCRM SECURITY CONTROLS 附属書A:C-SCRMのセキュリティ対策
C-SCRM CONTROLS INTRODUCTION C-SCRMコントロールの紹介
C-SCRM CONTROLS SUMMARY C-SCRMコントロールの概要
C-SCRM CONTROLS THROUGHOUT THE ENTERPRISE 組織体全体におけるC-SCRMの統制
APPLYING C-SCRM CONTROLS TO ACQUIRING PRODUCTS & SERVICES 製品およびサービスの取得への C-SCRM 規制の適用
SELECTING AND TAILORING IMPLEMENTING C-SCRM SECURITY CONTROLS C-SCRMのセキュリティ管理を実施するための選択と調整
C-SCRM SECURITY CONTROLS C-SCRMのセキュリティ対策
FAMILY: ACCESS CONTROL ファミリー: アクセスコントロール
FAMILY: AWARENESS AND TRAINING ファミリー: 認識とトレーニング
FAMILY: AUDIT AND ACCOUNTABILITY ファミリー: 監査と説明責任
FAMILY: ASSESSMENT, AUTHORIZATION, AND MONITORING ファミリー: 評価、承認、および監視
FAMILY: CONFIGURATION MANAGEMENT ファミリー: 構成管理
FAMILY: CONTINGENCY PLANNING ファミリー: コンティンジェンシー・プランニング
FAMILY: IDENTIFICATION AND AUTHENTICATION ファミリー: 識別と認証
FAMILY: INCIDENT RESPONSE ファミリー: インシデント対応
FAMILY: MAINTENANCE ファミリー: メンテナンス
FAMILY: MEDIA PROTECTION ファミリー: メディア保護
FAMILY: PHYSICAL AND ENVIRONMENTAL PROTECTION ファミリー: 物理的および環境的保護
FAMILY: PLANNING ファミリー: 計画
FAMILY: PROGRAM MANAGEMENT ファミリー: プログラム管理
FAMILY: PERSONNEL SECURITY ファミリー: 人事セキュリティ
FAMILY: PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND ファミリー: 個人を特定できる情報の処理と透明性
FAMILY: RISK ASSESSMENT ファミリー: リスクアセスメント
FAMILY: SYSTEM AND SERVICES ACQUISITION ファミリー: システム・サービス取得
FAMILY: SYSTEM AND COMMUNICATIONS PROTECTION ファミリー: システムと通信の保護
FAMILY: SYSTEM AND INFORMATION INTEGRITY ファミリー: システムと情報の完全性
FAMILY: SUPPLY CHAIN RISK MANAGEMENT ファミリー: サプライチェーン・リスクマネジメント
APPENDIX B: C-SCRM CONTROL SUMMARY 附属書B:C-SCRMコントロールの概要
APPENDIX C: RISK EXPOSURE FRAMEWORK 附属書C:リスクエクスポージャーフレームワーク
SAMPLE SCENARIOS サンプルシナリオ
SCENARIO 1: Influence or Control by Foreign Governments Over Suppliers シナリオ 1:外国政府によるサプライヤーへの影響・支配
SCENARIO 2: Telecommunications Counterfeits シナリオ 2:電気通信の偽造
SCENARIO 3: Industrial Espionage シナリオ 3:産業スパイ
SCENARIO 4: Malicious Code Insertion シナリオ 4: 悪意のあるコードの挿入
SCENARIO 5: Unintentional Compromise シナリオ 5: 意図しないコンプロマイズ
SCENARIO 6: Vulnerable Reused Components Within Systems シナリオ 6:システム内の脆弱な再利用コンポーネント
APPENDIX D: C-SCRM TEMPLATES 附属書D: C-SCRM テンプレート
1. C-SCRM STRATEGY & IMPLEMENTATION PLAN 1. C-SCRM戦略及び実施計画
1.1. C-SCRM Strategy & Implementation Plan Template 1.1. C-SCRM 戦略及び実施計画のテンプレート
2. C-SCRM POLICY 2. C-SCRM ポリシー
2.1. C-SCRM Policy Template 2.1. C-SCRM 方針のテンプレート
3. C-SCRM PLAN 3. C-SCRMプラン
3.1. C-SCRM Plan Template 3.1. C-SCRM プランテンプレート
4. SUPPLY CHAIN CYBERSECURITY RISK ASSESSMENT TEMPLATE 4. サプライチェーン・サイバーセキュリティ・リスク評価テンプレート
4.1. C-SCRM Template 4.1. C-SCRM テンプレート
APPENDIX E: FASCSA 附属書E:FASCSA
INTRODUCTION 序論
Purpose, Audience, and Background 目的、対象者、および背景
Scope 対象範囲
Relationship to SP 800-161 Revision 1, Cybersecurity Supply Chain Risk Management SP 800-161 改訂 1 版との関係 システム及び組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメ ントの実践
Practices for Systems and Organizations システム及び組織のための実践
SUPPLY CHAIN RISK ASSESSMENTS (SCRAs) サプライチェーンリスクアセスメント(SCRA)について
General Information 一般的な情報
Baseline Risk Factors (Common, Minimal) ベースラインリスク要因(共通、最小)
Risk Severity Schema リスク深刻度スキーマ
Risk Response Guidance リスク対応ガイダンス
ASSESSMENT DOCUMENTATION AND RECORDS MANAGEMENT アセスメントの文書化と記録管理
Content Documentation Guidance コンテンツ文書化のガイダンス
Assessment Record 評価記録
APPENDIX F: RESPONSE TO EXECUTIVE ORDER 14028’s CALL TO PUBLISH PRELIMINARY GUIDELINES FOR ENHANCING SOFTWARE SUPPLY CHAIN 附属書 F: 大統領令14028の「ソフトウェア・サプライチェーンを強化するための予備ガイド」の発行要請に対する回答
SECURITY セキュリティ
INTRODUCTION 序論
Purpose 目的
Scope 対象範囲
Audience 聴衆
Relationship to SP 800-161 Rev. 1 SP 800-161 Rev.1との関係
THE EO THROUGH THE LENS OF SP 800-161 Rev. 1 SP 800-161 Rev. 1のレンズを通してみた大統領令
EO-Critical Software 大統領令-クリティカル・ソフトウェア
Software Verification ソフトウェアの検証
Cybersecurity Labeling for Consumers: Internet of Things (IoT) Devices and Software 消費者のためのサイバーセキュリティ・ラベリング モノのインターネット(IoT)デバイスとソフトウェア
Emerging software supply chain concepts ソフトウェアサプライチェーンの新しいコンセプト
Software Bill of Materials (SBOM) ソフトウェア部品表(SBOM)
Enhanced vendor risk assessments ベンダーリスク評価の強化
Open source software controls オープンソースソフトウェアの管理
Vulnerability management practices 脆弱性管理の実践
Additional existing industry standards, tools, and recommended practices その他の既存の業界標準、ツール、推奨事例
APPENDIX G: C-SCRM ACTIVITIES IN THE RISK MANAGEMENT PROCESS 附属書G:リスクマネジメントプロセスにおけるC-Scrm活動
TARGET AUDIENCE 対象者
ENTERPRISE-WIDE RISK MANAGEMENT & THE RMF 企業全体のリスク管理とRMF
Frame フレーム
Assess 評価
Respond 対応
Monitor モニタリング
APPENDIX H: GLOSSARY 附属書H:用語集
APPENDIX I: ACRONYMS 附属書I: 用語集(ACRONYMS
APPENDIX J: REFERENCES 附属書J:参考文献
RELATIONSHIP TO OTHER PROGRAMS AND PUBLICATIONS 他のプログラムや出版物との関係
NIST Publications NISTの出版物
Regulatory and Legislative Guidance 規制・立法ガイダンス
Other U.S. Government Reports その他の米国政府報告書
Standards, Guidelines, and Best Practices 規格、ガイドライン、ベストプラクティス
Guidance for Cloud Service Providers クラウドサービス事業者向けガイダンス
METHODOLOGY FOR BUILDING C-SCRM GUIDANCE USING SP 800-39, SP 800-37 REVISION 2, AND NIST SP 800-53 REVISION 5 SP800-39、SP800-37リビジョン2、NIST SP800-53リビジョン5を用いたC-SCMガイダンス構築の方法論
Integration into Risk Management Process リスクマネジメントプロセスへの統合
Implementing C-SCRM in the Context of SP 800-37 Revision 2 SP 800-37 改訂 2 版の文脈における C-SCRM の導入
Enhanced C-SCRM Overlay 強化されたC-SCRMオーバーレイ
FULL LIST OF REFERENCES 参考文献一覧

 

 

 

・[Web] NIST’s Cyber Supply Chain Risk Management Program

 


関連

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性を検証する(暫定ドラフト)

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.01 NIST SP 800-161 Rev. 1 (ドラフト) システムと組織のためのサイバー・サプライチェーン・リスク管理の実践

・2021.02.13 NIST NISTIR 8276 サイバーサプライチェーンのリスク管理における鍵となる実践:産業からの観察

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

・2020.02.05 NISTがサプライチェーンセキュリティの実践資料のドラフトを公開していますね。。。

 

 

| | Comments (0)

英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

こんにちは、丸山満彦です。

英国の会計検査院 (National Audit office) が「サイバー・情報セキュリティ:グッドプラクティスガイド」を公表していますね。。。

 

National Audit Office: NAO

・2021.10.28 Cyber and information security: Good practice guide

Cyber and information security: Good practice guide サイバー・情報セキュリティ:グッドプラクティスガイド
Audit committees should be scrutinising cyber security arrangements. To aid them, this guidance complements government advice by setting out high-level questions and issues for audit committees to consider. 監査委員会は、サイバー・セキュリティの仕組みを精査する必要があります。本指針は、監査委員会が検討すべきハイレベルな質問と課題を示し、政府の助言を補完するものです。
Audit committees should gain the appropriate assurance for the critical management and control of cyber security and information risk.   監査委員会は、サイバーセキュリティと情報リスクの重要な管理・統制について、適切な保証を得るべきです。  
Cyber security is the activity required to protect an organisation’s data, devices, networks and software from unintended or unauthorised access, change or destruction via the internet or other communications systems or technologies. Effective cyber security relies on people and management of processes as well as technical controls.  サイバー・セキュリティとは、組織のデータ、機器、ネットワーク、ソフトウェアを、インターネットやその他の通信システム・技術を介した意図しない、または不正なアクセス、変更、破壊から保護するために必要な活動です。効果的なサイバーセキュリティは、技術的な管理だけでなく、人材やプロセスの管理にも依存しています。 
Our guide supports audit committees to work through this complexity, being able to understand and question the management of cyber security and information risk.   本ガイドは、監査委員会がこの複雑さを克服し、サイバーセキュリティと情報リスクの管理を理解し、疑問を持つことができるよう支援します。  
It takes into account several changes which affect the way in which we interact with and manage our information and can drive increased risk. These include changes to the way we work and live due to the COVID-19 pandemic and the ongoing demand to digitise and move to cloud-based services.    本ガイドでは、私たちの情報との関わり方や管理方法に影響を与え、リスクを増大させる可能性のあるいくつかの変化を考慮しています。これらの変化には、COVID-19パンデミックによる仕事や生活の仕方の変化、デジタル化やクラウドベースのサービスへの移行が求められていることなどが含まれます。   
The strategic advice, guidance and support provided by government has also been updated to keep pace with these changes, detailing the impact and risks on the management of cyber security and information risk.   政府が提供している戦略的なアドバイス、ガイダンス、サポートもこれらの変化に対応するために更新され、サイバーセキュリティと情報リスクの管理に与える影響とリスクについて詳しく説明しています。  
The guide provides a checklist of questions and issues covering:  このガイドでは、以下をカバーする質問と問題点のチェックリストを提供しています。 
・The overall approach to cyber security and risk management  ・サイバーセキュリティとリスク管理に対する全体的なアプローチ 
・Capability needed to manage cyber security  ・サイバーセキュリティを管理するために必要な能力 
・Specific aspects, such as information risk management, engagement and training, asset management, architecture and configuration, vulnerability management, identity and access management, data security, logging and monitoring and incident management.   ・情報リスク管理、エンゲージメントとトレーニング、資産管理、アーキテクチャと構成、脆弱性管理、アイデンティティとアクセス管理、データセキュリティ、ログとモニタリング、インシデント管理などの特定の側面  
Our guidance is based on our previous work and our detailed systems audits, which have identified a high incidence of access-control weaknesses. It also provides links to other government guidance and NAO resources.  本ガイダンスは、これまでの調査や詳細なシステム監査に基づいており、アクセス制御の脆弱性が多く見られることが確認されています。また、他の政府指針やNAOのリソースへのリンクも掲載しています。 

 

・[PDF

20220115-03006

目次...

Introduction はじめに
Why this issue requires attention なぜこの問題に注意が必要なのか
Why audit committees need to monitor cyber risks なぜ監査委員会がサイバー・リスクを監視する必要があるのか
What we have found through our work 何が監査委員会の調査で分かったか
How government policy has changed in this area どのようにこの分野における政府の方針が変化したのか
Our guidance 我々の指針
How this guidance links to other standards どのように本指針が他の基準と連携しているのか
What this guidance covers 何を本指針は述べているのか
High-level questions ハイレベルな質問
More detailed areas to explore より詳細な検討事項
Further resources その他のリソース

 

| | Comments (0)

2021.10.29

NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

こんにちは、丸山満彦です。

NISTが、「NISTIR 8320(ドラフト)ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2ドラフト)」を公表し、二回目の意見募集をしていますね。。。

 

NIST

・2021.10.27 NISTIR 8320 (Draft) Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)

 

NISTIR 8320 (Draft) Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft) NISTIR 8320(ドラフト)ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2ドラフト)
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released three new draft reports on hardware-enabled security and trusted cloud for public comment. The foundation of any cloud data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform provides the initial protections to help ensure that higher-layer security controls can be trusted. National Cybersecurity Center of Excellence(NCCoE)は、ハードウェアで実現するセキュリティとトラステッドクラウドに関する3つの新しいドラフトレポートを公開し、パブリックコメントを求めています。クラウドデータセンターやエッジコンピューティングのセキュリティ戦略の基盤となるのは、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティです。物理的なプラットフォームは、上位層のセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。
The three new draft reports are: 新しいドラフトレポートは以下の3つです。
2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases, examines hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. 2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases」は、クラウドデータセンターやエッジコンピューティングのプラットフォームセキュリティやデータ保護を向上させることができるハードウェア対応のセキュリティ技術やテクノロジーについて検討しています。
Draft NIST IR 8320B, Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms, explains an approach for safeguarding container deployments in multi-tenant cloud environments, as well as a prototype implementation of the approach. NIST IR 8320B(ドラフト)「Hardware-Enabled Security: Trusted Container PlatformsにおけるPolicy-Based Governance」では、マルチテナントのクラウド環境におけるコンテナ展開を保護するためのアプローチと、そのプロトタイプの実装について説明しています。
Draft NIST Special Publication (SP) 1800-19, Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments, describes an example solution for using trusted compute pools leveraging hardware roots of trust to monitor, track, apply, and enforce security and privacy policies on cloud workloads. ドラフトNIST Special Publication (SP) 1800-19「Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments」では、信頼できる計算プールを使用して、ハードウェアのルートオブトラストを活用し、クラウドのワークロードに対してセキュリティとプライバシーのポリシーを監視、追跡、適用、実施するソリューションの例を紹介しています。
Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, hacking has become industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the first layer for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. 今日のクラウドデータセンターやエッジコンピューティングでは、攻撃対象が大幅に増加し、ハッキングが産業化しており、ほとんどのセキュリティ制御の実装は一貫性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、あらゆるレイヤーのセキュリティアプローチにおける最初のレイヤーであり、上位レイヤーのセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。本レポートでは、クラウド・データ・センターやエッジ・コンピューティングのプラットフォーム・セキュリティとデータ保護を向上させるハードウェア対応のセキュリティ技術とテクノロジーについて解説します。

 

・[PDF] NISTIR 8320 (2md Draft)

20211029-150552

1 Introduction  1 はじめに
2 Hardware Platform Security Overview  2 ハードウェア・プラットフォーム・セキュリティの概要
3 Platform Integrity Verification 3 プラットフォームの完全性検証
3.1 Hardware Security Module (HSM)  3.1 ハードウェア・セキュリティ・モジュール (HSM)
3.2 The Chain of Trust (CoT) 3.2 信頼の連鎖(CoT)
3.3 Supply Chain Protection  3.3 サプライチェーンの保護
4 Software Runtime Protection Mechanisms . 8 4 ソフトウェア・ランタイムの保護機構
4.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming 161 (COP/JOP) Attacks  4.1 ROP(Return Oriented Programming)攻撃とCOP/JOP(Call/Jump Oriented Programming)攻撃
4.2 Address Translation Attacks  4.2 アドレス変換攻撃
4.3 Memory Safety Violations  4.3 メモリ安全性の侵害 
4.4 Side-Channel Attacks  4.4 サイドチャネル攻撃
5 Data Protection and Confidential Computing 5 データ保護とコンフィデンシャル・コンピューティング
5.1 Memory Isolation 5.1 メモリ隔離
5.2 Application Isolation 5.2 アプリケーション隔離
5.3 VM Isolation  5.3 VM隔離
5.4 Cryptographic Acceleration 5.4 暗号アクセラレーション
6 Remote Attestation Services 6 リモート認証サービス
6.1 Platform Attestation 6.1 プラットフォーム証明
6.2 TEE Attestation 6.2 TEE証明
7 Cloud Use Case Scenarios Leveraging Hardware-Enabled Security  7 ハードウェアベースのセキュリティを活用したクラウド利用のシナリオ
7.1 Visibility to Security Infrastructure 7.1 セキュリティインフラの可視化
7.2 Workload Placement on Trusted Platforms 7.2 信頼できるプラットフォームへのワークロードの配置
7.3 Asset Tagging and Trusted Location  7.3 資産のタグ付けと信頼できる場所への配置
7.4 Workload Confidentiality  7.4 ワークロードの機密性の確保
7.5 Protecting Keys and Secrets 7.5 鍵と秘密の保護
8 Next Steps  8 次のステップ
References 参考文献
List of Appendices 附属書の一覧
Appendix A— Vendor-Agnostic Technology Examples  附属書A- ベンダーに依存しない技術例
A.1 Platform Integrity Verification  A.1 プラットフォームの完全性検証
A.1.1 UEFI Secure Boot (SB)  A.1.1 UEFIセキュアブート(SB)
A.2 Keylime A.2 キーライム
Appendix B— Intel Technology Examples 附属書B- インテルの技術例
B.1 Platform Integrity Verification  B.1 プラットフォームの完全性検証
B.1.1 The Chain of Trust (CoT) B.1.1 信頼の連鎖(CoT)
B.1.2 Supply Chain Protection B.1.2 サプライチェーンの保護
B.2 Software Runtime Protection Mechanisms  B.2 ソフトウェア・ランタイムの保護機構
B.2.1 Return Oriented Programming (ROP) and Call/Jump Oriented Programming (COP/JOP) Attacks B.2.1 リターン指向プログラミング (ROP) 攻撃および コール/ジャンプ指向プログラミング (COP/JOP) 攻撃
B.2.2 Address Translation Attacks B.2.2 アドレス変換攻撃
B.3 Data Protection and Confidential Computing  B.3 データ保護とコンフィデンシャル・コンピューティング
B.3.1 Memory Isolation  B.3.1 メモリ隔離
B.3.2 Application Isolation B.3.2 アプリケーション隔離
B.3.3 VM Isolation B.3.3 VM分離
B.3.4 Cryptographic Acceleration  B.3.4 暗号アクセラレーション
B.3.5 Technology Example Summary B.3.5 技術例のまとめ
B.4 Remote Attestation Services B.4 リモート証明サービス
B.4.1 Intel Security Libraries for the Data Center (ISecL-DC) B.4.1 インテル・セキュリティ・ライブラリー・フォー・ザ・データセンター(ISecL-DC)
B.4.2 Technology Summary B.4.2 技術例のまとめ
Appendix C— AMD Technology Examples 附属書C- AMDの技術例
C.1 Platform Integrity Verification  C.1 プラットフォームの完全性検証
C.1.1 AMD Platform Secure Boot (AMD PSB) C.1.1 AMDプラットフォーム・セキュアブート(AMD PSB)
C.2 Data Protection and Confidential Computing  C.2 データ保護とコンフィデンシャル・コンピューティング
C.2.1 Memory Isolation  C.2.1 メモリー隔離
C.2.2 VM Isolation C.2.2 VM隔離
Appendix D— Arm Technology Examples 附属書D- Armの技術例
D.1 Platform Integrity Verification  D.1 プラットフォームの完全性検証 
D.1.1 Arm TrustZone TEE for Armv8-A D.1.1 Armv8-A用Arm TrustZone TEE
D.1.2 The Chain of Trust (CoT) D.1.2 信頼の連鎖(CoT)
D.1.3 Platform Security Architecture (PSA) Functional APIs D.1.3 プラットフォーム・セキュリティ・アーキテクチャ(PSA)機能API
D.1.4 Platform AbstRaction for SECurity (Parsec) D.1.4 Platform AbstRaction for SECurity(Parsec)について
D.2 Software Runtime Protection Mechanisms  D.2 ソフトウェアランタイムの保護機構
D.2.1 Return Oriented Programming (ROP) and Jump Oriented Programming (JOP) Attacks D.2.1 リターン指向プログラミング (ROP) 攻撃とジャンプ指向プログラミング(JOP) 攻撃
D.2.2 Memory Safety Violations D.2.2 メモリ安全性の侵害
D.2.3 Side-Channel Attacks D.2.3 サイドチャネル攻撃
D.3 Data Protection and Confidential Computing  D.3 データ保護とコンフィデンシャル・コンピューティング 
D.3.1 Confidential Compute Architecture (CCA) D.3.1 コンフィデンシャル・コンピューティング・アーキテクチャ(CCA
D.3.2 Cryptographic Acceleration  D.3.2 暗号アクセラレーション 
Appendix E— Cisco Technology Examples  附属書E シスコの技術例 
E.1 Platform Integrity Verification  E.1 プラットフォームの完全性検証 
E.1.1 Cisco Platform Roots of Trust E.1.1 シスコ プラットフォームの信頼の根源
E.1.2 The Chain of Trust (CoT) E.1.2 信頼の連鎖(CoT)
E.2 Supply Chain Protection  E.2 サプライチェーンの保護 
E.3 Software Runtime Protections  E.3 ソフトウェアランタイムの保護 
E.4 Data Protection and Confidential Computing  E.4 データ保護と機密性の高いコンピューティング 
E.5 Platform Attestation E.5 プラットフォームの認証
E.6 Visibility to Security Infrastructure E.6 セキュリティインフラストラクチャの可視化
E.7 Workload Placement on Trusted Platforms E.7 信頼できるプラットフォームへのワークロードの配置
Appendix F— IBM Technology Examples 附属書F-IBMの技術例
F.1 Platform Integrity Verification  F.1 プラットフォーム完全性検証 
F.1.1 Hardware Security Module (HSM) F.1.1 ハードウェア・セキュリティ・モジュール (HSM)
F.1.2 IBM Chain of Trust (CoT)  F.1.2 IBM 信頼の連鎖 (CoT) 
F.2 Software Runtime Protection Mechanisms  F.2 ソフトウェア・ランタイムの保護機構
F.2.1 IBM ROP and COP/JOP Attack Defenses F.2.1 IBM ROPおよびCOP/JOP攻撃に対する防御策
F.3 Data Protection and Confidential Computing  F.3 データ保護とコンフィデンシャル・コンピューティング 
F.3.1 IBM Memory Isolation Technology  F.3.1 IBM メモリ隔離技術
F.3.2 IBM Application Isolation Technology F.3.2 IBM アプリケーション隔離技術
F.3.3 IBM VM Isolation Technology F.3.3 IBM VM 隔離技術
F.3.4 IBM Cryptographic Acceleration Technology F.3.4 IBM 暗号アクセラレーション技術
F.4 Remote Attestation Services F.4 リモート証明サービス
F.4.1 IBM Platform Attestation Tooling  F.4.1 IBM プラットフォーム証明サービス
F.4.2 IBM Continuous Runtime Attestation F.4.2 IBM 継続的ランタイム証明
Appendix G— Acronyms and Abbreviations 附属書G- 頭字語と略語
Appendix H— Glossary  附属書H- 用語集
   
List of Figures 図の一覧
Figure 1: Notional Example of Remote Attestation Service 図1:リモート証明サービスの想定例
Figure 2: Notional Example of TEE Attestation Flow 図2:TEE証明フローの概念的な例
Figure 3: Notional Example of Orchestrator Platform Labeling  図3:オーケストレータ・プラットフォームのラベリングの想定例
Figure 4: Notional Example of Orchestrator Scheduling 図4:オーケストレータのスケジューリングの想定例
Figure 5: Notional Example of Key Brokerage  図5:キー・ブローカーの想定例
Figure 6: Notional Example of Workload Image Encryption  図6:ワークロード画像の暗号化の想定例
Figure 7: Notional Example of Workload Decryption 図7:ワークロードの復号の想定例
Figure 8: Firmware and Software Coverage of Existing Chain of Trust Technologies   図8:既存の信頼の連鎖技術のファームウェアおよびソフトウェアの範囲
Figure 9: Arm Processor with TrustZone 図9:TrustZoneを搭載したArmプロセッサ
Figure 10: Boot-Time and Run-Time Firmware  図10:ブートタイムとランタイムのファームウェア 
Figure 11: Root World (Monitor), Realm World, and Isolation Boundaries 図11:ルートワールド(モニター)、レルムワールド、および分離境界

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

| | Comments (0)

NISTIR 8320B (Draft) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

こんにちは、丸山満彦です。

NISTが「NISTIR 8320B (Draft) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス」を公表し、意見募集をしていますね。。。

NIST

・2021.10.27 NISTIR 8320B (Draft) Hardware-Enabled Security: Policy Based Governance in Trusted Container Platforms

 

NISTIR 8320B (Draft) Hardware-Enabled Security: Policy Based Governance in Trusted Container Platforms NISTIR 8320B (Draft) Hardware-Enabled Security(ハードウェアで実現するセキュリティ)。トラステッドコンテナプラットフォームにおけるポリシーベースのガバナンス
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released three new draft reports on hardware-enabled security and trusted cloud for public comment. The foundation of any cloud data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform provides the initial protections to help ensure that higher-layer security controls can be trusted. National Cybersecurity Center of Excellence(NCCoE)は、ハードウェアで実現するセキュリティとトラステッドクラウドに関する3つの新しいドラフトレポートを公開し、パブリックコメントを求めています。クラウドデータセンターやエッジコンピューティングのセキュリティ戦略の基盤となるのは、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティです。物理的なプラットフォームは、上位層のセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。
The three new draft reports are: 新しいドラフトレポートは以下の3つです。
2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases, examines hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. 2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases」は、クラウドデータセンターやエッジコンピューティングのプラットフォームセキュリティやデータ保護を向上させることができるハードウェア対応のセキュリティ技術やテクノロジーについて検討しています。
Draft NIST IR 8320B, Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms, explains an approach for safeguarding container deployments in multi-tenant cloud environments, as well as a prototype implementation of the approach. NIST IR 8320B(ドラフト)「Hardware-Enabled Security: Trusted Container PlatformsにおけるPolicy-Based Governance」では、マルチテナントのクラウド環境におけるコンテナ展開を保護するためのアプローチと、そのプロトタイプの実装について説明しています。
Draft NIST Special Publication (SP) 1800-19, Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments, describes an example solution for using trusted compute pools leveraging hardware roots of trust to monitor, track, apply, and enforce security and privacy policies on cloud workloads. ドラフトNIST Special Publication (SP) 1800-19「Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments」では、信頼できる計算プールを使用して、ハードウェアのルートオブトラストを活用し、クラウドのワークロードに対してセキュリティとプライバシーのポリシーを監視、追跡、適用、実施するソリューションの例を紹介しています。
Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, cyber attacks are industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the foundation for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a prototype implementation of the approach intended to be a blueprint or template for the general security community. 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、階層化されたセキュリティアプローチの基礎となるものであり、上位層のセキュリティ管理を信頼できるものにするための初期保護を提供します。本レポートでは、マルチテナント型のクラウド環境におけるコンテナのデプロイメントを保護するための、ハードウェアを利用したセキュリティ技術とテクノロジーに基づくアプローチについて説明しています。また、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的とした、このアプローチのプロトタイプの実装についても説明しています。

 

・[PDF] NISTIR 8320B (Draft)

20211029-143829

 

1 Introduction  1 はじめに 
1.1 Purpose and Scope  1.1 目的と範囲 
1.2 Terminology  1.2 用語集 
1.3 Document Structure 1.3 ドキュメントの構造
2 Prototype Implementation 2 プロトタイプの実装
2.1 Objective 2.1 目的
2.2 Goals  2.2 目標 
2.2.1 Stage 0: Platform attestation and measured worker node launch  2.2.1 ステージ0:プラットフォームの認証とワーカーノードの起動測定 
2.2.2 Stage 1: Trusted placement of workloads  2.2.2 ステージ1:ワークロードの信頼できる配置 
2.2.3 Stage 2: Asset tagging and trusted location  2.2.3 ステージ2:資産のタグ付けと信頼できるロケーション 
2.2.4 Stage 3: Trust-based workload encryption  2.2.4 ステージ3:信頼に基づくワークロードの暗号化 
2.2.5 Stage 4: Trust-based workload access to information 2.2.5 ステージ 4:信頼できるワークロードの情報へのアクセス
2.3 Additional Resources 2.3 追加リソース
3 Prototyping Stage 0  3 プロトタイピング・ステージ0 
4 Prototyping Stage 1  4 プロトタイピングステージ1 
5 Prototyping Stage 2  5 プロトタイピングステージ 2 
6 Prototyping Stage 3  6 プロトタイピングステージ3 
6.1 Solution Overview 6.1 ソリューションの概要
6.2 Solution Architecture 6.2 ソリューションのアーキテクチャ
7 Prototyping Stage 4  7 プロトタイピングステージ4 
7.1 Solution Overview 7.1 ソリューションの概要
7.2 Solution Architecture 7.2 ソリューション・アーキテクチャー
References 参考文献
Appendix A— Hardware Root of Trust Implementation 附属書A-ハードウェアRoot of Trustの実装
A.1 High-Level Implementation Architecture  A.1 ハイレベルな実装アーキテクチャ 
A.2 Hardware Root of Trust: Intel TXT and Trusted Platform Module (TPM)  A.2 信頼のおけるハードウェア。Intel TXTおよびTPM(Trusted Platform Module)
A.3 Attestation: Intel Security Libraries (ISecL) A.3 認証 インテル・セキュリティ・ライブラリー (ISecL)
Appendix B— Workload Orchestration Implementation: OpenShift  附属書B-ワークロードオーケストレーションの実装:OpenShift 
B.1 Prototype Architecture  B.1 プロトタイプアーキテクチャ 
B.2 OpenShift Installation and Configuration B.2 OpenShiftのインストールと構成
B.2.1 VMware-Based Management Cluster (Cluster A) B.2.1 VMwareベースの管理クラスタ(クラスタA)
B.2.2 KVM-Based Managed Cluster (Cluster B) B.2.2 KVMベースの管理クラスタ(クラスタB)
B.2.3 Installing MCM Pak 1.3 (MCM HUB - VMware) B.2.3 MCM Pak 1.3 (MCM HUB - VMware)のインストール
Appendix C— Workload Encryption Implementation  附属書C-ワークロード暗号化の実装 
C.1 Prototype Architecture  C.1 プロトタイプアーキテクチャ 
C.2 Workload Encryption Configuration C.2 ワークロードエンクリプションの構成
Appendix D— Trusted Service Identity (TSI)  附属書D- 信頼されたサービスアイデンティティ (TSI)
D.1 TSI Overview  D.1 TSI の概要 
D.2 TSI Installation and Configuration D.2 TSI のインストールと構成
Appendix E— Supporting NIST SP 800-53 Security Controls and Publications 附属書E-NIST SP 800-53セキュリティコントロールと出版物のサポート
Appendix F— Cybersecurity Framework Subcategory Mappings 附属書F-サイバーセキュリティフレームワークのサブカテゴリーのマッピング
Appendix G— Acronyms and Other Abbreviations  附属書G-頭字語およびその他の略語 
List of Tables 表の一覧
Table 1: VMs Instantiated on the VMware-Based Management Cluster  表1:VMwareベースの管理クラスタ上にインスタンス化されたVM 
Table 2: VMs Instantiated on the KVM-Based Managed Cluster  表2: KVMベースの管理クラスタ上にインスタンス化されたVM 
Table 3: Security Capabilities Provided by the Prototype 表3: プロトタイプが提供するセキュリティ機能
Table 4: Mapping of Security Capabilities to NIST SP 800-53 Controls 表4:NIST SP 800-53コントロールへのセキュリティ機能のマッピング
List of Figures 図の一覧
Figure 1: Concept of Trusted Pools 図1:トラステッドプールの概念
Figure 2: Stage 1 Solution Overview 図2:ステージ1のソリューション概要
Figure 3: Stage 3 Solution Architecture 図3:ステージ3のソリューション・アーキテクチャ
Figure 4: Stage 4 Solution Architecture 図4:ステージ4のソリューション・アーキテクチャ
Figure 5: Prototype Implementation Architecture  図5:プロトタイプの実装アーキテクチャ 
Figure 6: Remote Attestation Protocol 図6:リモート認証プロトコル
Figure 7: Prototype Architecture 図7: プロトタイプのアーキテクチャ
Figure 8: MCM Console to Import a Cluster 図8:クラスタをインポートするMCMコンソール
Figure 9: Managed Cluster Policies 図9:マネージドクラスターポリシー
Figure 10: Creating Pipeline for Image Decryption 図10:画像復号のためのパイプラインの作成
Figure 11: Sample JWT Created by TSI 図11:TSI が作成した JWT のサンプル

 

 

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

| | Comments (0)

NIST SP 1800-19 (Draft) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

こんにちは、丸山満彦です。

NISTがSP 1800-19 (Draft) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイドを公表し、意見募集をしていますね。。。

NIST

・2021.10.27 SP 1800-19 (Draft) Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments

 

SP 1800-19 (Draft) Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released three new draft reports on hardware-enabled security and trusted cloud for public comment. The foundation of any cloud data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform provides the initial protections to help ensure that higher-layer security controls can be trusted. National Cybersecurity Center of Excellence(NCCoE)は、ハードウェアで実現するセキュリティとトラステッドクラウドに関する3つの新しいドラフトレポートを公開し、パブリックコメントを求めています。クラウドデータセンターやエッジコンピューティングのセキュリティ戦略の基盤となるのは、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティです。物理的なプラットフォームは、上位層のセキュリティ管理が信頼できるものであることを保証するための初期保護を提供します。
The three new draft reports are: 新しいドラフトレポートは以下の3つです。
2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases, examines hardware-enabled security techniques and technologies that can improve platform security and data protection for cloud data centers and edge computing. 2nd Draft NIST Internal Report (IR) 8320, Hardware-Enabled Security: Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases」は、クラウドデータセンターやエッジコンピューティングのプラットフォームセキュリティやデータ保護を向上させることができるハードウェア対応のセキュリティ技術やテクノロジーについて検討しています。
Draft NIST IR 8320B, Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms, explains an approach for safeguarding container deployments in multi-tenant cloud environments, as well as a prototype implementation of the approach. NIST IR 8320B(ドラフト)「Hardware-Enabled Security: Trusted Container PlatformsにおけるPolicy-Based Governance」では、マルチテナントのクラウド環境におけるコンテナ展開を保護するためのアプローチと、そのプロトタイプの実装について説明しています。
Draft NIST Special Publication (SP) 1800-19, Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments, describes an example solution for using trusted compute pools leveraging hardware roots of trust to monitor, track, apply, and enforce security and privacy policies on cloud workloads. ドラフトNIST Special Publication (SP) 1800-19「Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments」では、信頼できるコンピュートプールを使用して、ハードウェアのルートオブトラストを活用し、クラウドのワークロードに対してセキュリティとプライバシーのポリシーを監視、追跡、適用、実施するソリューションの例を紹介しています。
The public comment period for these drafts is open through December 6, 2021. See each of the publication details for copies of the drafts and instructions for submitting comments. これらのドラフトに対するパブリックコメント期間は、2021年12月6日までとなっています。草案のコピーおよびコメントの提出方法については、各発行物の詳細をご覧ください。
Abstract 概要
A cloud workload is an abstraction of the actual instance of a functional application that is virtualized or containerized to include compute, storage, and network resources. Organizations need to be able to monitor, track, apply, and enforce their security and privacy policies on their cloud workloads, based on business requirements, in a consistent, repeatable, and automated way. The goal of this project is to develop a trusted cloud solution that will demonstrate how trusted compute pools leveraging hardware roots of trust can provide the necessary security capabilities. These capabilities not only provide assurance that cloud workloads are running on trusted hardware and in a trusted geolocation or logical boundary, but also improve the protections for the data in the workloads and in the data flows between workloads. The example solution leverages modern commercial off-the-shelf technology and cloud services to address lifting and shifting a typical multi-tier application between an organization-controlled private cloud and a hybrid/public cloud over the internet. クラウドワークロードとは、機能的なアプリケーションの実際のインスタンスを抽象化したもので、コンピュート、ストレージ、ネットワークのリソースを含むように仮想化またはコンテナ化されています。企業は、ビジネス要件に基づいて、一貫性があり、反復可能で自動化された方法で、クラウド・ワークロードに対するセキュリティおよびプライバシー・ポリシーを監視、追跡、適用、実施できる必要があります。このプロジェクトの目的は、トラステッドクラウドソリューションを開発し、ハードウェアの信頼性を活用したトラステッドコンピュートプールが必要なセキュリティ機能を提供できることを実証することです。これらの機能は、クラウドのワークロードが信頼できるハードウェア上で、信頼できる地理的位置や論理的境界で実行されていることを保証するだけでなく、ワークロード内のデータやワークロード間のデータフローの保護を向上させます。このソリューション例では、最新の商用技術とクラウドサービスを活用して、組織が管理するプライベートクラウドと、インターネットを介したハイブリッド/パブリッククラウドの間で、典型的な多層アプリケーションのリフティングと移行を行っています。

・[PDF] Draft SP 1800-19

20211029-124734

 

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

 

| | Comments (0)

ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

こんにちは、丸山満彦です

ENISAがThreat Landscape 2021を公表していますね。今年で第9回となります。。。

今年は9つの脅威が挙げられていますが、特に

  1. ランサムウェア
  2. クリプトジャッキング
  3. 誤情報と偽情報

の3つが強調されていますね。。。

 

ENISA

2021.10.27 Hackers-for-Hire drive the Evolution of the New ENISA Threat Landscape

The 9th edition of the ENISA Threat Landscape (ETL) report released by the European Union Agency for Cybersecurity highlights the surge in cybercriminality motivated by monetisation using ransomware or cryptojacking.

Hackers-for-Hire drive the Evolution of the New ENISA Threat Landscape ENISAの新たな脅威の状況:雇われハッカーが進化する
The 9th edition of the ENISA Threat Landscape (ETL) report released by the European Union Agency for Cybersecurity highlights the surge in cybercriminality motivated by monetisation using ransomware or cryptojacking. 欧州連合(EU)のサイバーセキュリティ機関が発表したENISA Threat Landscape(ETL)レポートの第9版では、ランサムウェアやクリプトジャッキングを利用したマネタイズを動機とするサイバー犯罪の急増が強調されています。
The ENISA Threat Landscape 2021 (ETL) report is the annual report of the EU Agency for Cybersecurity, ENISA, on the state of the cybersecurity threat landscape. The 9th edition released today covers a period of reporting starting from April 2020 up to July 2021. ENISA Threat Landscape 2021(ETL)レポートは、EUのサイバーセキュリティ機関であるENISAが、サイバーセキュリティの脅威の状況について毎年発表しているレポートです。本日発表された第9版は、2020年4月から2021年7月までの報告期間を対象としています。
Cybersecurity threats are on the rise. Ransomware ranks as a prime threat for the reporting period. For each of the identified threats, attack techniques, notable incidents and trends are identified alongside recommendations. The new report also features a list of trends concerning threat actors. サイバーセキュリティの脅威は増加の一途をたどっています。報告期間中、ランサムウェアが主要な脅威としてランクインしています。本レポートでは、特定された脅威ごとに、攻撃手法、注目すべきインシデント、トレンドを明らかにし、提言を行っています。また、本報告書では、脅威となる人物の動向についても言及しています。
EU Agency for Cybersecurity Executive Director, Juhan Lepassaar stated that “Given the prominence of ransomware, having the right threat intelligence at hand will help the whole cybersecurity community to develop the techniques needed to best prevent and respond to such type of attacks. Such an approach can only rally around the necessity now emphasised by the European Council conclusions to reinforce the fight against cybercrime and ransomware more specifically.” EUサイバーセキュリティ機関のエグゼクティブディレクターであるJuhan Lepassaarは次のように述べています。「ランサムウェアが急増していることを考えると、適切な脅威情報を手に入れることは、サイバーセキュリティコミュニティ全体が、このようなタイプの攻撃を最も効果的に防ぎ、対応するために必要な技術を開発するのに役立ちます。このようなアプローチは、欧州理事会の結論で強調された、サイバー犯罪やランサムウェアとの戦いをより具体的に強化する必要性を支持するものです」。
The cybersecurity threat landscape has grown in terms of sophistication of attacks, complexity and impact. Such a trend is spurred by an ever-growing online presence, the transitioning of traditional infrastructures to online solutions, advanced interconnectivity and the exploitation of new features of emerging technologies. サイバーセキュリティの脅威は、攻撃の巧妙さ、複雑さ、影響の大きさの点で増大しています。こうした傾向に拍車をかけているのが、オンラインでの存在感の高まり、従来のインフラのオンラインソリューションへの移行、高度な相互接続性、新興技術の新機能の活用などです。
Without surprise, supply-chains attacks rank highly among prime threats because of the significant potential they have in inducing catastrophic cascading effects. The risk is such that ENISA recently produced a dedicated threat landscape report for this specific category of threat. サプライチェーン攻撃は、壊滅的な連鎖効果を引き起こす可能性が高いため、驚くことなく主要な脅威の上位にランクされています。サプライチェーン攻撃は、壊滅的なカスケード効果を引き起こす可能性が高いため、ENISAは最近、この種の脅威に特化した脅威状況レポートを作成しました。
The 9 top threats トップレベルの9つの脅威
9 threat groups were identified due to their prominent materialisation over the reporting period. 報告期間中に顕著に顕在化した9つの脅威グループを特定しました。
・Ransomware; ・ランサムウェア
・Malware; ・マルウェア
・Cryptojacking; ・クリプトジャッキング
・E-mail related threats; ・電子メール関連の脅威
・Threats against data; ・データに対する脅威
・Threats against availability and integrity; ・可用性と完全性に対する脅威
・Disinformation – misinformation; ・偽情報-誤報
・Non-malicious threats; ・悪意のない脅威
・Supply-chain attacks. ・サプライチェーンを狙った攻撃
Key trends 主な傾向
The COVID-19 crisis has created possibilities for adversaries who used the pandemic as a dominant lure in campaigns for email attacks for instance. Monetisation appears to be the main driver of such activities. COVID-19の危機は、敵対者に可能性をもたらしました。敵対者は、例えばメール攻撃のキャンペーンでパンデミックを圧倒的な魅力として利用しました。このような活動の主な要因は、収益化であると考えられます。
The techniques that threat actors are resorting to are numerous. The non-exhaustive list below presents some of the most prevalent ones identified in the report, across all threats: 脅威となる人物が利用している技術は数多くあります。以下のリストは、すべての脅威を対象に、レポートで特定された最も一般的な手法の一部を網羅的に示したものです。
Ransomware as a Service (RaaS)-type business models; Ransomware as a Service(RaaS)型のビジネスモデル。
Multiple extortion ransomware schemes; 複数の恐喝型ランサムウェアのスキーム。
Business Email Compromise (BEC); ビジネスメール詐欺(BEC)。
Phishing-as-a-service (PhaaS); フィッシング・アズ・ア・サービス(PhaaS)。
Disinformation-as-a-Service (DaaS) business model; etc. DaaS(Disinformation-as-a-Service)型ビジネスモデル、など。
Focus on three threats 3つの脅威にフォーカス
・Ransomware ・ランサムウェア
Ransomware is a type of malicious attack where attackers encrypt an organisation’s data and demand payment to restore access. Ransomware has been the prime threat during the reporting period, with several high profile and highly publicised incidents. The significance and impact of the threat of ransomware is also evidenced by a series of related policy initiatives in the European Union (EU) and worldwide. ランサムウェアとは、攻撃者が組織のデータを暗号化し、アクセス権を回復するために支払いを要求する悪意のある攻撃の一種です。報告期間中、ランサムウェアは主要な脅威となっており、いくつかの有名な事件が発生し、大きく報道されました。ランサムウェアの脅威の重要性と影響力は、欧州連合(EU)および世界各国での一連の関連政策によっても証明されています。
Compromise through phishing e-mails and brute-forcing on Remote Desktop Protocol (RDP) services remain the two most common infection vectors. The occurrence of triple extortion schemes also increased strongly during 2021 and cryptocurrency remains the most common pay-out method for threat actors. フィッシングメールによる感染と、リモートデスクトッププロトコル(RDP)サービスのブルートフォースによる感染は、依然として最も一般的な2つの感染経路です。また、2021年には3重の恐喝スキームの発生が大幅に増加しており、暗号通貨が脅威の担い手にとって最も一般的な支払い方法となっています。
・Cryptojacking infections ・クリプトジャッキングによる感染
Cryptojacking or hidden cryptomining is a type of cybercrime where a criminal secretly uses a victim’s computing power to generate cryptocurrency. With the proliferation of cryptocurrencies and their ever-increasing uptake by the wider public, an increase in corresponding cybersecurity incidents has been observed. Cryptocurrency remains the most common pay-out method for threat actors. クリプトジャッキングまたは隠れクリプトマイニングは、犯罪者が被害者のコンピューティングパワーを密かに利用して暗号通貨を生成するサイバー犯罪の一種です。暗号通貨が普及し、広く一般に受け入れられるようになったことで、それに対応するサイバーセキュリティインシデントの増加が観察されています。暗号通貨は、脅威をもたらす者にとって最も一般的な支払い方法であることに変わりはありません。
・Misinformation and disinformation ・誤報と偽情報
This type of threats makes its first appearance in the ENISA threat landscape report. このタイプの脅威は、ENISAの脅威状況レポートに初めて登場します。
Disinformation and misinformation campaigns are on the rise as a result of the increased online presence due to the COVID-19 pandemic logically leading to an overuse of social media platforms and online media. COVID-19のパンデミックによりオンラインでの存在感が高まった結果、偽情報や誤報キャンペーンが増加しており、論理的にはソーシャルメディアプラットフォームやオンラインメディアの乱用につながっています。
Such threats are of paramount importance in the cyber world. Disinformation and misinformation campaigns are frequently used in hybrid attacks to foster doubt or create confusion, therefore reducing the overall perception of trust as a consequence and damaging this major proponent of cybersecurity in the process. このような脅威は、サイバーの世界では非常に重要です。ハイブリッド攻撃では、疑念を抱かせたり、混乱を生じさせたりするために、偽情報や誤報キャンペーンが頻繁に使用されます。その結果、全体的な信頼感が低下し、その過程でサイバーセキュリティの主要な推進力にダメージを与えることになります。
Threat actors: who are they? 脅威アクターは誰?
Cyber threat actors are an integral component of the threat landscape. They are entities aiming to carry out a malicious act by taking advantage of existing vulnerabilities, with the intent to do harm to their victims. Understanding how threat actors think and act, what their motivations and goals are, is an important step towards a stronger cyber incident response. Monitoring the latest developments with respect to the tactics and techniques used by threat actors to achieve their objectives is crucial for an efficient defence in today’s cybersecurity ecosystem. Such threat assessment allows us to prioritise security controls and devise an adequate strategy based on the potential impact and likelihood of threat materialisation. サイバー脅威アクターは、脅威の全体像を構成する重要な要素です。彼らは、既存の脆弱性を利用して悪意のある行為を行い、被害者に損害を与えることを目的としている団体です。脅威となる人物がどのように考え、行動しているのか、その動機や目標を理解することは、サイバーインシデント対応を強化するための重要なステップとなります。今日のサイバーセキュリティのエコシステムにおいて、効率的な防御を行うためには、脅威となる人物が目的を達成するために使用する戦術や技術に関する最新の動向を監視することが重要です。このような脅威の評価により、セキュリティ管理に優先順位をつけ、脅威の実現に伴う潜在的な影響と可能性に基づいて適切な戦略を考案することができます。
For the purposes of the ETL 2021, focus was given to four categories of cybersecurity threat actors: state-sponsored, cybercrime, hacker-for-hire actors and hacktivists. 今回のETL2021では、サイバーセキュリティ上の脅威となる行為者として、国家支援型、サイバー犯罪型、ハッカー・フォー・ハイヤー型、ハクティビスト型の4つのカテゴリーに焦点を当てました。
Background 背景
The ETL report maps the cyber threat landscape in a means to help decision-makers, policy-makers and security specialists define strategies to defend citizens, organisations and cyberspace. ETLレポートは、意思決定者、政策立案者、セキュリティ専門家が、市民、組織、サイバー空間を守るための戦略を定義するのに役立つように、サイバー脅威の状況をマッピングしています。
This work is part of the EU Agency for Cybersecurity’s annual work programme to provide strategic intelligence to its stakeholders. この作業は、EUサイバーセキュリティ機関がステークホルダーに戦略的情報を提供するための年間作業プログラムの一部です。
The report’s content is gathered from open sources such as media articles, expert opinions, intelligence reports, incident analysis and security research reports; as well as through interviews with members of the ENISA Cyber Threat Landscapes Working Group (CTL working group). 本報告書の内容は、メディア記事、専門家の意見、情報報告書、インシデント分析、セキュリティ調査報告書などのオープンソースに加え、ENISAのサイバー・スレット・ランドスケープ・ワーキンググループ(CTLワーキンググループ)のメンバーへのインタビューを通じて収集されています。
From the information collected, the Agency produces its own analysis and views of the threat landscape that are meant to be industry and vendor neutral. 収集した情報をもとに、ENISAは業界やベンダーに依存しない独自の分析や脅威の状況に関する見解を作成しています。

 

 

・2021.10.27 ENISA Threat Landscape 2021

ENISA Threat Landscape 2021 ENISA Threat Landscape 2021
This is the ninth edition of the ENISA Threat Landscape (ETL) report, an annual report on the status of the cybersecurity threat landscape that identifies prime threats, major trends observed with respect to threats, threat actors and attack techniques, and also describes relevant mitigation measures. In the process of constantly improving our methodology for the development of threat landscapes, this year’s work has been supported by a newly formatted ENISA ad hoc Working Group on Cybersecurity Threat Landscapes (CTL). In this report we discuss the first 8 cybersecurity threat categories. Supply chain threats, the 9th category, were analysed in detail, in a dedicated ENISA report. ENISA Threat Landscape(ETL)レポートは今回で9回目となります。このレポートは、サイバーセキュリティの脅威の状況についての年次報告書で、主要な脅威、脅威、脅威の主体、攻撃手法に関して観察される主要な傾向を特定し、関連する緩和策についても記載しています。脅威のランドスケープを構築するための手法を常に改善していく過程で、今年の作業は、新たに設置されたENISA ad hoc Working Group on Cybersecurity Threat Landscapes (CTL)によってサポートされています。本レポートでは、最初の8つのサイバーセキュリティ脅威のカテゴリーについて説明します。9番目のカテゴリーであるサプライチェーンの脅威については、ENISAの専用レポートで詳細に分析されています。

 

・[PDF] Threat Landscape 2021

20211029-82639

 

目次

1. THREAT LANDSCAPE OVERVIEW 1. 脅威の概要
1.1 PRIME THREATS 1.1 主要な脅威
1.2 KEY TRENDS 1.2 主要なトレンド
1.3 EU PROXIMITY OF PRIME THREATS 1.3 EUにおける主要な脅威の近接性
1.4 PRIME THREATS PER SECTOR 1.4 セクター別の主要な脅威
1.5 METHODOLOGY 1.5 方法論
1.6 STRUCTURE OF THE REPORT 1.6 レポートの構成
2. THREAT ACTOR TRENDS 2. 脅威の主体の傾向
2.1 STATE-SPONSORED ACTORS 2.1 国が関与している行為者
2.2 CYBERCRIMINALS 2.2 サイバー犯罪者
2.3 HACKER-FOR-HIRE ACTORS 2.3 「雇われハッカー」
2.4 HACKTIVISTS 2.4 ハクティビスト
3. RANSOMWARE 3. ランサムウェア
3.1 TRENDS 3.1 トレンド
3.2 RECOMMENDATIONS 3.2 推奨事項
4. MALWARE 4. マルウェア
4.1 TRENDS 4.1 トレンド
4.2 RECOMMENDATIONS 4.2 推奨事項
5. CRYPTOJACKING 5. クライプトジャッキング
5.1 TRENDS 5.1 トレンド
5.2 RECOMMENDATIONS 5.2 推奨事項
6. E-MAIL RELATED THREATS 6. 電子メールに関する脅威
6.1 TRENDS 6.1 トレンド
6.2 RECOMMENDATIONS 6.2 推奨事項
7. THREATS AGAINST DATA 7. データに対する脅威
7.1 TRENDS 7.1 トレンド
7.2 RECOMMENDATIONS 7.2 推奨事項
8. THREATS AGAINST AVAILABILITY AND INTEGRITY 8. 可用性と完全性への脅威
8.1 TRENDS 8.1 トレンド
8.2 RECOMMENDATIONS 8.2 推奨事項
9. DISINFORMATION - MISINFORMATION 9. 偽情報、誤報
9.1 TRENDS 9.1 トレンド
9.2 RECOMMENDATIONS 9.2 推奨事項
10.NON-MALICIOUS THREATS 10.悪意のない脅威
10.1   TRENDS 10.1 トレンド
10.2  RECOMMENDATIONS 10.2 推奨事項
A ANNEX: MITRE ATT&CK 附属書A:MITRE ATT&CK
B ANNEX: MAJOR INCIDENTS 附属書B:主要なインシデント

 

参考

Threat Landscape

 

・2021.07.29 Threat Landscape for Supply Chain Attacks

・2020.10.20 ENISA Threat Landscape 2020 - Cyber espionage

・2019.01.28 ENISA Threat Landscape Report 2018

・2018.01.15 ENISA Threat Landscape Report 2017

・2017.02.08 ENISA Threat Landscape Report 2016

・2016.01.27 ENISA Threat Landscape 2015

・2015.01.27 ENISA Threat Landscape 2014

・2013.12.11 ENISA Threat Landscape 2013 - Overview of current and emerging cyber-threats

・2013.09.19 ENISA Threat Landscape mid year 2013

・2013.01.08 ENISA Threat Landscape 2012

 


● まるちゃんの情報セキュリティ気まぐれ日記

2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

 

| | Comments (0)

国際決済銀行 (BIS) 金融におけるビッグ・テクノロジー:データ・プライバシーと競争の間の新たな結びつきについて at 2021.10.21

こんにちは、丸山満彦です。

国際決済銀行 (BIS)が「金融におけるビッグ・テクノロジー:データ・プライバシーと競争の間の新たな結びつきについて」についての報告書を公表していますね。。。

 

 ● Bank for International Settlements: BIS 

・2021.10.21 Big techs in finance: on the new nexus between data privacy and competition

 

Big techs in finance: on the new nexus between data privacy and competition 金融におけるビッグ・テクノロジー:データ・プライバシーと競争の間の新たな結びつきについて
Summary サマリー
Focus フォーカス
Large technology companies such as Alibaba, Amazon, Facebook, Google and Tencent have started to provide financial services. The activities of big techs in finance are a special case of broader fintech innovation. While fintech companies are set up to operate primarily in financial services, big tech firms offer financial services as part of a much wider set of activities. Big techs' foray into finance raises both opportunities and risks. アリババ、アマゾン、フェイスブック、グーグル、テンセントなどの大規模なテクノロジー企業が、金融サービスを提供し始めている。大手テクノロジー企業の金融における活動は、より広範なフィンテック・イノベーションの特殊なケースである。フィンテック企業が主に金融サービスを提供するために設立されているのに対し、ビッグテック企業はより広範な活動の一環として金融サービスを提供している。ビッグテック企業の金融への進出は、チャンスとリスクの両方をもたらす。
Contribution 貢献
The contribution of this paper is threefold. First, it describes big techs' business models and analyses the potential benefits in their provision of financial services such as financial inclusion and reduced asymmetric information problems in the supply of credit. Second, it evaluates the potential costs, including the new risks of price discrimination, abuse of market power, anti-competitive behaviour and limits to data privacy. Third, it lays out the complex public policy trade-off between the objectives of efficiency and privacy, and discusses the policy options 本論文の貢献は3つある。第一に、ビッグテック企業のビジネスモデルを説明し、金融包摂やクレジット供給における非対称情報問題の軽減など、金融サービスの提供における潜在的なメリットを分析している。第二に、価格差別、市場支配力の濫用、反競争的行動、データプライバシーの制限などの新たなリスクを含む、潜在的なコストを評価しています。第三に、効率性とプライバシーという目的の間の複雑な公共政策上のトレードオフを明らかにし、政策オプションを議論しています。
Findings 調査結果
Big techs' entry in finance builds on their established digital platforms in e-commerce, search and social media, and holds the prospect of efficiency gains and greater financial inclusion. Their business model rests on enabling direct interactions among a large number of users. An essential by-product of their business is their large stock of user data, which are used as an input for a range of services that exploit natural network effects, generating further user activity. Increased user activity then completes the circle, as it generates yet more data. The self-reinforcing loop between data, network externalities and activities, is the DNA of big techs. Big techs have the potential to become dominant through the advantages afforded by the data-network-activities DNA loop – raising competition and data privacy issues.How to define and regulate the use of data has become an important policy issue for authorities and increases the need to coordinate policies at both the domestic and international level. ビッグテック企業の金融分野への参入は、電子商取引、検索、ソーシャルメディアで確立されたデジタルプラットフォームを基盤としており、効率化と金融包摂の拡大が期待されています。彼らのビジネスモデルは、多数のユーザー間の直接的な交流を可能にすることにかかっています。彼らのビジネスの重要な副産物は、大量のユーザーデータであり、これらのデータは、自然なネットワーク効果を利用した様々なサービスのインプットとして使用され、さらなるユーザーの活動を生み出します。ユーザーの活動が活発になると、さらに多くのデータが生成されるという循環が生まれます。データ、ネットワーク外部性、活動の間の自己強化ループは、ビッグテックのDNAである。データの利用をどのように定義し、規制するかは、当局にとって重要な政策課題となっており、国内および国際レベルで政策を調整する必要性が高まっています。
Abstract 概要
The business model of big techs rests on enabling direct interactions among a large number of users on digital platforms, such as in e-commerce, search and social media. An essential by-product is their large stock of user data, which they use to offer a wide range of services and exploit natural network effects, generating further user activity. Increased user activity completes the circle, as it generates yet more data. Building on the self-reinforcing nature of the data- network-activities loop, some big techs have ventured into financial services, including payments, money management, insurance and lending. The entry of big techs into finance promises efficiency gains and greater   financial inclusion. At the same time, it introduces new risks associated with market power and data privacy. The nature of the new trade-off between efficiency and privacy will depend on societal preferences, and will vary across jurisdictions. This increases the need to coordinate policies both at the domestic and international level. ビッグテック企業のビジネスモデルは、電子商取引、検索、ソーシャルメディアなどのデジタルプラットフォーム上で、多数のユーザー間の直接的なやり取りを可能にすることにあります。副産物として、ユーザーデータが大量に蓄積され、それを利用して様々なサービスを提供し、自然なネットワーク効果を利用して、さらなるユーザーの活動を生み出しています。ユーザーの活動が活発になると、さらに多くのデータが生成されるため、その輪が完成します。データ-ネットワーク-アクティビティのループの自己強化の性質を利用して、一部のビッグテック企業は、決済、資金管理、保険、融資などの金融サービスに進出しています。ビッグテックの金融への参入は、効率化と金融包摂の拡大を約束するものです。一方で、市場支配力やデータ・プライバシーに関連する新たなリスクが生じる。効率性とプライバシーの間の新たなトレードオフの性質は、社会的な嗜好に左右され、また、法域によっても異なります。このため、国内および国際的なレベルで政策を調整する必要性が高まっています。

 

・[PDF] BIS Working Papers No 970 Big techs in finance: on the new nexus between data privacy and competition

20211029-02916

 

目次的なもの...

 

Abstract 概要
Introduction はじめに
Big techs’ business model ビッグテックのビジネスモデル
Big techs as multi-sided platforms and their life cycle 多面的なプラットフォームとしてのビッグテックとそのライフサイクル
The DNA of big techs ビッグテックのDNA
Potential benefits from big techs ビッグテックがもたらす潜在的利益
Financial inclusion ファイナンシャル・インクルージョン
Reduction of financial frictions in lending 貸し出しにおける金融摩擦の軽減
Potential costs of big techs’ use of personal data ビッグテックが個人データを利用することによる潜在的コスト
Monopolistic use of data and price discrimination データの独占的利用と価格差別
Algorithmic biases and abuse of market power アルゴリズムの偏りと市場支配力の濫用
Anti-competitive behaviour 反競争的な行動
Privacy プライバシー
The new policy trade-off between efficiency and privacy 効率性とプライバシーの間の新しい政策的トレードオフ
Challenges for public policy 公共政策の課題
Policy options 政策の選択肢
Domestic and international policy coordination 国内および国際的な政策調整
References 参考文献

| | Comments (0)

Cloud Security Alliance: ゼロトラスト・アーキテクチャーに向けて

こんにちは、丸山満彦です。

Cloud Security Allianceが、ゼロトラスト・アーキテクチャーに向けてと言う文書を公表していますね。。。ゼロトラスト・アーキテクチャーの実装に際して参考になりそうですねね。。。

Cloud Security Alliance (CSA)

・2021.10.27 Toward a Zero Trust Architecture

 

Toward a Zero Trust Architecture ゼロトラスト・アーキテクチャーに向けて
Enterprise stakeholders must consider the challenges of increased real-time system complexity, the need for new cybersecurity policy and strong cultural support that is required to securely operate systems in a complex and hybrid world. Emerging technology solutions and approaches such as Zero Trust are critical to meeting the mandates in President Biden’s Executive Order on Improving the Nation’s Cybersecurity. The implications of an emerging, rich and diverse solutions landscape and the challenges to an organization’s ability to ultimately deliver a Zero Trust Architecture (ZTA) are explored in this paper. Recommendations on how industry can improve collaboration among key stakeholder groups is discussed to accelerate both enterprise leaders and security practitioners’ adoption of Zero Trust into their environments.   組織体の関係者は、リアルタイムシステムの複雑化、新しいサイバーセキュリティ政策の必要性、複雑でハイブリッドな世界でシステムを安全に運用するために必要な強力な文化的サポートといった課題を考慮する必要があります。ゼロトラストのような新しいテクノロジー・ソリューションとアプローチは、バイデン大統領の「国家のサイバーセキュリティの改善に関する大統領令」の指令を満たすために不可欠です。本稿では、新たに出現した豊富で多様なソリューションの意味と、ゼロトラストアーキテクチャ(ZTA)を最終的に実現するための組織の能力に関する課題について検討します。また、企業のリーダーとセキュリティ専門家の両方がゼロトラストの導入を加速させるために、業界が主要なステークホルダーグループ間のコラボレーションを改善する方法について提言しています。 

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220513-54446

Abstract 概要
Acknowledgments 謝辞
Dedication 献辞
1 Background 1 背景
1.1 Why Zero Trust? 1.1 なぜゼロ・トラストなのか?
1.2 Assessing the Current Zero Trust Maturity Level 1.2 現在のゼロトラスト成熟度の評価
1.3 Developing a Zero Trust Roadmap 1.3 ゼロ・トラスト・ロードマップの策定
2 Considerations for Zero Trust Adoption 2 ゼロ・トラスト導入のための考慮事項
2.1 Technology 2.1 テクノロジー
2.2 Organizational Culture 2.2 組織文化
2.3 Policy 2.3 ポリシー
2.4 Regulatory Environment 2.4 規制環境
3 Zero Trust Solution Landscape 3 ゼロ・トラスト・ソリューションの状況
3.1 Software-Defined Perimeter 3.1 ソフトウェア定義型ペリメーター
3.2 Network Segmentation 3.2 ネットワーク・セグメンテーション
3.3 Service Mesh 3.3 サービスメッシュ
3.4 Edge Computing 3.4 エッジコンピューティング
3.5 Policy as Code 3.5 コードとしてのポリシー
3.6 Identity Aware Proxy 3.6 アイデンティティ・アウェア・プロキシ
4 Implications for Industry 4 産業界への影響
4.1 Technology 4.1 テクノロジー
4.2 Organizational Culture 4.2 組織文化
4.3 Policy 4.3 ポリシー
4.4 Regulatory Environment 4.4 規制環境
5 Recommendations 5 推奨事項
6 Additional Reading 6 追加文献
7 References 7 参考文献

 

 

 

| | Comments (0)

2021.10.28

英国 データ保護局 (ICO) ビデオ会議事業者に期待されるグローバルなプライバシーに関する共同声明

こんにちは、丸山満彦です。

世界的なパンデミックの中、ビデオ会議 (Video TeleConferencing: VTC) サービスの利用が急速に増加しているにもかかわらず、プライバシー保護対策が追いついていないのではないかという懸念から、オーストラリア、カナダ、ジブラルタル、中国香港特別行政区、スイス、英国の6つのデータ保護・プライバシー当局がVTC企業に向けて公開書簡をだし、マイクロソフト、グーグル、シスコ、ズームの4社が回答したようです。

その回答結果を踏まえた報告書が、英国 データ保護局 (ICO)、カナダプライバシーデータ保護局等 から公表されていますね。。。


U.K. Information Commissioner's Office

・2021.10.27 Joint statement on global privacy expectations of Video Teleconferencing companies

● Office of the Privacy Commissioner of Canada

・2021.10.27 Observations following global initiative on privacy expectations for video teleconferencing companies

 

・[PDF] Observations following the joint statement on global privacy expectations of video teleconferencing companies



20211028-12852

 

Observations following the joint statement on global privacy expectations of video teleconferencing companies  ビデオ会議事業者が期待するグローバルなプライバシーに関する共同声明を受けての考察 
What we did  我々が行ったこと 
In July 2020, six data protection and privacy authorities from Australia, Canada, Gibraltar, Hong Kong SAR, China, Switzerland and the United Kingdom jointly signed an open letter to video teleconferencing (VTC) companies. The letter highlighted concerns about whether privacy safeguards were keeping pace with the rapid increase in use of VTC services during the global pandemic, and provided VTC companies with some guiding principles to address key privacy risks.  2020年7月、オーストラリア、カナダ、ジブラルタル、中国香港特別行政区、スイス、英国のデータ保護・プライバシー当局が、ビデオ会議(VTC)企業に向けた公開書簡に共同で署名しました。この公開書簡では、世界的なパンデミックの中、VTCサービスの利用が急速に増加しているにもかかわらず、プライバシー保護対策が追いついていないのではないかという懸念が浮き彫りにされ、VTC企業に対して、主要なプライバシーリスクに対処するための指針が示されました。
The joint signatories invited five of the biggest VTC companies to reply to the letter. Microsoft, Google, Cisco and Zoom responded, setting out how they take the principles into account in the design and development of their VTC services. Following a review of the responses, the joint signatories further engaged with these companies in a series of video calls, to better understand the steps they take to implement, monitor, and validate the privacy and security measures put in place.  共同署名者は、VTCの大手企業5社に回答を求めました。その結果、マイクロソフト、グーグル、シスコ、ズームの4社が、VTCサービスの設計・開発において、この原則をどのように考慮しているかを回答しました。共同署名者は、回答を確認した後、これらの企業とビデオ通話を行い、プライバシーおよびセキュリティ対策を実施、監視、検証するためにどのような手順を踏んでいるのかについて理解を深めました。
The joint signatories also sent the open letter directly to Houseparty but did not receive a response. In December 2020, the joint signatories encouraged Houseparty to engage with them, including via a public statement. To date, the group of joint signatories has not received contact from Houseparty. However, Houseparty has engaged directly with the UK Information Commissioner’s Office as part of enquiries separate to those of the joint signatories and provided detailed responses to these enquiries. The UK Information Commissioner’s Office recommended certain steps to Houseparty to improve compliance with the GDPR. However, in any event, in September of 2021, Houseparty announced that for business reasons it had already decided that it would cease offering its VTC service.  共同署名者は、ハウスパーティにも公開書簡を直接送付したが、回答は得られませんでした。2020年12月、共同署名者はハウスパーティに対し、公開声明を出すなどして関与するよう促しました。現在までのところ、共同署名者のグループはハウスパーティから連絡を受けていません。しかし、ハウスパーティは、共同署名者のグループとは別の問い合わせの一環として、英国情報コミッショナー事務所と直接関わり、これらの問い合わせに対する詳細な回答を提供しました。英国情報コミッショナーズオフィスは、GDPRの遵守を改善するためにハウスパーティに特定の措置を勧告しました。しかし、いずれにしても、2021年9月、ハウスパーティは、ビジネス上の理由から、VTCサービスの提供を中止することをすでに決定したと発表しました。
What we learned  私たちが学んだこと 
Constructive engagement  建設的なエンゲージメント 
This activity is an example of constructive engagement between the privacy regulatory community and the organisations we regulate.   この活動は、プライバシー規制団体とその規制対象である組織との間の建設的な取り組みの一例です。 
It has allowed the joint signatories to engage, in a coordinated manner and with a uniform voice, with some of the largest and fastest growing technology companies, whose services are used worldwide. It has also given those companies the opportunity to explain their approach to data protection and privacy through direct and practical interaction with a subset of the global privacy regulatory community representing citizens from jurisdictions across four continents.  この活動により、共同署名者は、世界中でサービスを提供している大手企業や急成長中のテクノロジー企業に対して、協調して統一した意見を述べることができました。また、これらの企業は、4大陸の管轄区域の市民を代表する世界のプライバシー規制コミュニティの一部と直接かつ実践的に交流することで、データ保護とプライバシーに対するアプローチを説明する機会を得ました。
The dialogue between VTC companies and data protection authorities has proven effective, efficient and mutually beneficial. Moving forward, the joint signatories highlight this model of engagement as valuable and replicable in circumstances where emerging issues would benefit from open dialogue to help set out regulatory expectations, clarify understanding, identify good practice, and foster public trust in innovative technologies.  VTC企業とデータ保護当局との対話は、効果的かつ効率的であり、相互に有益であることが証明されています。今後、新たな問題が発生した際には、規制当局の期待値の設定、理解の明確化、優れた事例の特定、革新的な技術への社会的信頼の醸成のために、オープンな対話が有益であると考え、共同署名者はこのモデルに注目しています。
Good practice  グッドプラクティス 
The joint signatories set out five principles in the open letter to help VTC companies identify and address some of the key privacy risks of their services.  共同署名者は、VTC企業が自社のサービスにおける主要なプライバシーリスクを特定し、対処するための5つの原則を公開書簡の中で提示しました。
In their responses and subsequent engagement with the joint signatories, Microsoft, Google, Cisco and Zoom highlighted, and in some cases demonstrated, measures, processes and safeguards they implement that take account of the principles and mitigate privacy risks.  マイクロソフト、グーグル、シスコ、ズームの各社は、それぞれの回答や共同署名者との対話の中で、原則を考慮し、プライバシーリスクを軽減するために実施している対策、プロセス、保護措置を強調し、場合によってはそれを示しました。
The joint signatories recognised several areas of good practice in the approaches explained to our Offices by these companies. Some examples are summarised below under each of the five principles set out in our open letter. We do so to proactively and publicly communicate certain areas of good practice, and to recommend adoption of these measures, and others, across the broader VTC industry.   共同署名企業は、これらの企業が当事務所に説明したアプローチの中に、いくつかの優れた実践分野があることを認識しました。いくつかの例は、公開書簡に記載された5つの原則のそれぞれについて、以下に要約されています。これは、優れた実践例を積極的に公開し、VTC業界全体にこれらの対策やその他の対策の採用を推奨するためのものです。 
It is noted that such good practices will only be effective if faithfully implemented and observed. In addition, the areas of good practice set out below relate solely to what was reported to the joint signatories as part of this engagement exercise, noting that the joint signatories did not formally investigate the VTC platforms. They are without prejudice to any enquiries or investigations that each individual joint signatory may have undertaken separate to this joint engagement activity. They also do not reflect the privacy practices of Houseparty who did not take part in the engagement activity with the joint signatories.   このような優良事例は、忠実に実施・順守されて初めて効果を発揮するものであることに留意してください。また、以下に示す優良事例は、本取り組みの一環として共同署名者に報告された内容のみに関連しており、 共同署名者はVTCプラットフォームを正式に調査していないことに留意してください。また、共同署名者がこの共同参画活動とは別に実施した調査や研究を侵害するものではありません。また、共同署名機関の活動に参加していないハウスパーティ社のプライバシーポリシーを反映したものではありません。 
Additionally, while Microsoft, Google, Cisco and Zoom described some features relating to the use of their VTC platforms in specific contexts, like for telehealth or distance education purposes, we did not examine nor discuss these aspects in detail. Therefore, our comments and observations relate to general public use of VTC platforms and do not generally address their use for the sharing of sensitive information.   さらに、マイクロソフト、グーグル、シスコ、ズームは、遠隔医療や遠隔教育といった特定の状況下でのVTCプラットフォームの使用に関するいくつかの特徴を説明していますが、我々はこれらの側面を詳細に検討したり議論したりしていません。したがって、我々のコメントや見解は、一般市民によるVTCプラットフォームの利用に関するものであり、機密情報の共有を目的とした利用については一般的に言及していません。 
1. Security  1. セキュリティ 
Testing – Regular testing of security measures is vital to ensure they remain robust against constantly evolving threats. Various approaches to security testing were reported, including: penetration tests; threat modelling; “bug bounty” programs; independent audits; internationally recognised certification; and use of open source code to enable third party scrutiny. The joint signatories recommend VTC companies take a comprehensive approach by overlaying several such measures into an overall and recurrent security testing approach.  テスト - セキュリティ対策を定期的にテストすることは、常に進化する脅威に対してセキュリティ対策が強固であることを保証するために不可欠である。セキュリティテストには、侵入テスト、脅威のモデル化、「バグバウンティ」プログラム、独立した監査、国際的に認知された認証、第三者による精査を可能にするオープンソースコードの使用など、様々なアプローチが報告されています。共同署名者は、VTC企業が包括的なアプローチをとることを推奨しています。このようないくつかの対策を重ね合わせて、全体的かつ反復的なセキュリティテストのアプローチをとるのです。
Employees and third parties – It is important that employees and third-party sub-processors understand and comply with their obligations around access to, and handling of, personal information. Reported good practice examples of relevant measures included: preemployment checks; regular employee training on privacy and security; vetting of third parties, including via vendor selection and review committees; regular audits of third parties, including logging sub-processor access to personal information; and a principle of least privilege approach to access controls where employee access is limited to that required for their job functions.  従業員と第三者 - 従業員と第三者であるサブプロセッサーが、個人情報へのアクセスとその取り扱いに関する義務を理解し、遵守することが重要である。報告されている関連措置のグッドプラクティス例としては、雇用前のチェック、プライバシーとセキュリティに関する定期的な従業員トレーニング、ベンダー選定およびレビュー委員会を通じた第三者の審査、個人情報へのサブプロセッサーのアクセス記録を含む第三者の定期的な監査、従業員のアクセスが職務上必要なものに限定されるアクセスコントロールに対する最小権限の原則などがあります。
2. Privacy-by-design and default  2. プライバシー・バイ・デザインおよびデフォルト 
Privacy programs – Data protection and privacy cannot be bolted on as an afterthought; for measures to work in practice they must be embedded. Detailed privacy programs were reported as in place or under development, incorporating various requirements in VTC services from concept to deployment, including: completion of privacy impact assessments for all new VTC features; regular contact between privacy, security and development teams; and adherence to the data minimisation principle. The joint signatories recommend that all VTC companies take a holistic approach to privacy by adopting an overarching privacy program or framework within their organisation.  個人情報保護プログラム - データ保護と個人情報保護を後付けで行うことはできない、対策が実際に機能するためには、それらが組み込まれていなければならない。詳細なプライバシープログラムが導入されている、あるいは開発中であることが報告されており、VTCサービスのコンセプトから展開に至るまでの様々な要件が組み込まれている。共同署名者は、すべてのVTC企業が組織内で包括的なプライバシープログラムまたはフレームワークを採用し、プライバシーに対する全体的なアプローチをとることを推奨しています。
Default settings – The joint signatories recommend that all VTCs place settings for their service at the most privacy protective by default. We saw examples of this in practice, such as: passwords required by default; virtual waiting rooms by default; privacy protective default settings consistent in browser and app versions of VTC services; and video and microphone off by default.  デフォルトの設定 - 共同署名者は、すべてのVTCが自社サービスの設定をデフォルトで最もプライバシーを保護するものにすることを推奨している。例えば、デフォルトでパスワードを要求する、デフォルトでバーチャルな待合室を提供する、VTCサービスのブラウザ版とアプリ版でプライバシー保護のためのデフォルト設定を統一する、デフォルトでビデオとマイクをオフにするなどの実践例が見られました。
3. Know your audience  3. 視聴者を知る 
Enhanced features – Use of VTC services has sharply increased in contexts where discussions and shared information are particularly sensitive, in education and healthcare for example. VTC companies must ensure robust privacy and security safeguards to adequately protect personal data in these more sensitive environments. While this engagement did not fully explore the use of VTC platforms in such contexts, some good practice examples reported to the joint signatories included: teacher-controlled access to meetings; sole teacher control of screen sharing functions; and secure screen sharing of health documents.  充実した機能 - VTCサービスの利用は、教育や医療など、議論や共有する情報が特にセンシティブな状況下で急増しています。VTC事業者は、このようなセンシティブな環境下で個人情報を適切に保護するために、強固なプライバシーとセキュリティのセーフガードを確保する必要があります。今回の調査では、このような環境でのVTCプラットフォームの利用については十分に検討されていませんが、共同署名者に報告されたいくつかの優れた実践例には、教師による会議へのアクセス制御、教師による画面共有機能の単独制御、健康文書の安全な画面共有などがあります。
Guidance – People and businesses are increasingly using VTC services for a wide range of purposes. Tailored privacy and security guidance for specific groups is a good practice to help ensure users are more confident using a VTC service and selecting the settings and features most appropriate for them. The joint signatories saw examples of custom-guidance such as: guidance and documentation for teachers and school administrators; guidance and advice for parents; blogs for users of popular laptop brands; and video tutorials for enterprise clients.  ガイダンス - 人々や企業がVTCサービスを様々な目的で利用するようになっています。特定のグループに合わせたプライバシーとセキュリティのガイダンスは、ユーザーが自信を持ってVTCサービスを利用し、自分に最も適した設定や機能を選択できるようにするためのグッドプラクティスです。共同署名者は、教師や学校管理者向けのガイダンスや文書、保護者向けのガイダンスやアドバイス、人気のあるノートPCブランドのユーザー向けのブログ、企業クライアント向けのビデオチュートリアルなどのカスタムガイダンスの例を挙げている。
4. Transparency  4. 透明性 
Layered notices – Keeping people informed about how and why their information is collected and used is a key tenet of data protection and privacy regimes worldwide. Good examples of providing such information to users via a ‘layered’ approach were reported to the joint signatories, including: detailed privacy notices and dashboards delineating different categories of personal information collected; privacy check-up features; contextual notices in advance of video calls; pop-up written or audible notifications during calls, indicating instances of data collection through recording or transcripts.  レイヤー表示 - 自分の情報がどのように収集され、どのように使用されているかについて、常に情報を提供することは、世界中のデータ保護およびプライバシー保護制度の重要な原則です。例えば、収集される個人情報のカテゴリーを明確にした詳細なプライバシー通知やダッシュボード、プライバシーチェックアップ機能、ビデオ通話の前に文脈に沿った通知を行うこと、通話中に書面や音声によるポップアップ通知を行い、録音やトランスクリプトによりデータ収集の事例を示すことなどが挙げられます。
Third parties – Increasingly, there is heightened awareness and concern amongst businesses and consumers about how personal information is shared with third parties and for what purposes. Users of VTC services must be clearly informed about who their information will be shared with and why . Reported examples of good practice in this regard included: privacy notices detailing categories of personal information shared, the contractors with whom this is shared, and the reasons for them processing this information; 6-month notification periods prior to use of new third party processors; and publication of transparency reports regarding law enforcement and government requests for access to data.  第三者 - 個人情報がどのような目的でどのように第三者と共有されるかについて、企業や消費者の間で認識と関心が高まっています。VTCサービスの利用者は、自分の情報が誰と、何のために共有されるのかを明確に知らされなければなりません。この点に関する優れた実践例として報告されたのは、共有する個人情報のカテゴリー、共有する委託先、情報を処理する理由を詳しく説明したプライバシー通知、新しい第三者処理業者を使用する前の6ヶ月間の通知期間、法執行機関や政府からのデータへのアクセス要求に関する透明性レポートの公開などです。
5. End-user control  5. エンドユーザーによる管理 
Meeting controls – It is important that users be given intuitive and clear controls for their interaction with VTC services and that they are alerted to the information about them that is collected. The joint signatories saw some good examples of such controls in practice, including: ability to opt out of attendance or engagement reports; virtual and blurred backgrounds; user consent prior to host unmuting audio or activating video; and the ability to report a user for inappropriate conduct (or ejection by hosts).  会議のコントロール - VTCサービスを利用する際には、ユーザーが直感的で明確なコントロールを行うことが重要であり、また、収集されたユーザーの情報について注意を喚起する必要がある。共同署名者の間では、出席率や参加率の報告を拒否する機能、仮想的な背景やぼかした背景、ホストが音声のミュートを解除したりビデオを作動させたりする前にユーザーが同意する機能、不適切な行為をしたユーザーを報告する機能(またはホストが退出させる機能)など、このような制御が実際に行われている良い例がいくつか見られました。
Risk management – VTC users may unknowingly put the privacy and security of other meeting participants at risk by making meeting information publicly available, via social media posts for instance. Beyond educational material in guidance products, the joint signatories noted some innovative approaches to mitigating this risk, such as a tool to scan social media and alert meeting hosts of at-risk meetings, encouraging them to secure the meeting or schedule a new one.  リスク管理 - VTCの利用者は、ソーシャルメディアへの投稿などにより会議情報を公開することで、知らず知らずのうちに他の会議参加者のプライバシーやセキュリティを危険にさらす可能性があります。共同署名者は、ガイダンス製品の教材以外にも、ソーシャルメディアをスキャンしてリスクのある会議をホストに警告し、会議を確保するか新しい会議を予約するよう促すツールなど、このリスクを軽減するための革新的なアプローチを挙げています。
Recommendations  推奨事項 
As well as areas of good practice, the joint signatories identified opportunities to further enhance or improve some of the measures reported. These are set out below.  共同署名者は、優れた実践例に加えて、報告されたいくつかの対策をさらに強化・改善する機会を見出した。これらは以下の通りである。
As with the areas of good practice set out above, the opportunities highlighted here relate solely to the learnings the joint signatories took from this engagement exercise. They do not reflect, and are without prejudice to, any separate enquiries or investigations that each individual joint signatory may have undertaken, or may undertake in future. They also do not relate to the privacy practices of Houseparty who were not part of the engagement activity with the joint signatories.  上述の優れた実践例と同様、ここで強調されている機会は、共同署名者がこのエンゲージメント活動から得た学びにのみ関連している。これらは、各共同署名者がこれまでに行った、あるいは今後行う可能性のある個別の調査や研究を反映したものではなく、またそれらを損なうものでもない。また、共同署名者とのエンゲージメント活動に参加していないハウスパーティ社の個人情報保護活動にも関連していない。
1. Encryption  1. 暗号化 
The joint signatories acknowledge the reported use by the VTC companies of industry standard encryption as a minimum. They also welcome the development or implementation of end-to-end encryption (where the meeting host creates the key and only they and participants have access to it) in certain circumstances. They recognise certain limitations on functionality that this can pose, such as the inability for users to join by phone and the loss of transcription, while also recognizing that such limitations may be beneficial in certain circumstances.  共同署名者は、VTC企業が業界標準の暗号を最低限使用していることを報告していることを認める。また、特定の状況下において、エンド・ツー・エンドの暗号化(会議主催者が鍵を作成し、主催者と参加者 のみがその鍵にアクセスできる)が開発または導入されることを歓迎している。この場合、ユーザーが電話で参加できない、テープ起こしができないなどの機能制限が生じることを認識していますが、状況によってはこのような制限が有益であることも認識しています。
To further enhance VTC companies’ approach to encryption, the joint signatories recommend the following:  VTC企業の暗号化に対する取り組みをさらに強化するために、共同署名者は以下のことを推奨します。
• Making end-to-end encryption available to all users of VTC services whether enterprise, consumer, paid, or free; including via development and implementation of end-to-end encryption as an option in video calls involving multiple participants;  ・企業,消費者,有料,無料を問わず,VTCサービスのすべてのユーザーがエンド・ツー・エンドの暗号化を利用できるようにすること。複数の参加者が関わるビデオ通話のオプションとしてエンド・ツー・エンドの暗号化を開発・導入することも含む。
• the provision of clear and easily understandable information to users about the different levels of security and relevant limitations of ‘standard’ vs. end-to-end encryption;  ・標準」とエンド・ツー・エンドの暗号化のセキュリティレベルの違いや関連する制限について,ユーザーに明確で分かりやすい情報を提供する。
• more clearly signposted meeting controls and information to allow meeting hosts and / or users to select their desired type of encryption, and so meeting participants can easily see the type of encryption in use in a meeting; and  ・会議の主催者やユーザーが希望する暗号化の種類を選択できるように,また会議の参加者が会議で使用されている暗号化の種類を簡単に確認できるように,会議のコントロールや情報がより明確に表示されていること。
• the use of end-to-end encryption by default in sensitive oneon-one settings, such as tele-health.  ・遠隔医療など1対1の環境では,エンドツーエンドの暗号化をデフォルトで使用すること。
2. Secondary use of data  2. データの二次利用 
It is important that VTC services build trust with their users by only using information about them in ways that they would reasonably expect. The joint signatories recognise that many companies will only use personal information to provide the core features required to operate their VTC service, and will not retain it longer than necessary for that purpose.  VTCサービスは、利用者が合理的に期待する方法でのみ、利用者に関する情報を使用することで、利用者との信頼関係を築くことが重要である。共同署名者は、多くの企業がVTCサービスの運営に必要な中核機能を提供するためにのみ個人情報を使用し、その目的のために必要以上に個人情報を保持しないことを認識している。
However, where personal information is used for secondary purposes, VTC companies should explicitly make this clear to users with proactive, upfront, and easily understandable messaging about what information is used and for which purposes.  しかし、個人情報を二次的な目的で使用する場合、VTC企業は、どのような情報がどのような目的で使用されるかについて、積極的かつ前もってわかりやすいメッセージを発信し、利用者に明示する必要があります。
Where secondary purposes include targeted advertising and/or the use of tracking cookies, it is recommended that VTC companies only do this if users have expressly opted-in to such processing.  副次的な目的にターゲット広告やトラッキングクッキーの使用が含まれる場合、VTC企業は、ユーザーがそのような処理を明示的にオプトインした場合にのみ、これを行うことを推奨します。
3. Data centres  3. データセンター 
The location where data is held and how it travels across borders and around the world are increasingly important considerations, particularly for enterprise VTC customers looking to ensure appropriate levels of protection for personal information.  データがどこに保管され、どのように国境や世界を移動するかは、特に個人情報を適切なレベルで保護しようとするVTC事業者にとって、ますます重要な検討事項となっています。
Some positive steps were reported in this regard, and the joint signatories recommend that all VTC companies:  この点については、いくつかの前向きな取り組みが報告されており、共同署名者はすべてのVTC企業に対し、以下のことを推奨しています。
• be fully transparent with users on the locations where data is stored and through which it is routed;   ・データが保存されている場所およびデータが経由する場所について,ユーザーに対して完全に透明性を確保する。
• where possible, give users the choice of which locations and jurisdictions their personal information is routed through and stored; and  ・可能であれば,個人情報がどの国や地域を経由して保存されているかを利用者が選択できるようにする。
• implement measures, contractual or others, to ensure that information is adequately protected when shared with third parties, including in foreign jurisdictions.  ・外国の管轄区域を含む第三者と情報を共有する際に,情報が適切に保護されることを保証するために,契約上の措置またはその他の措置を実施すること。
What’s next  今後の展開 
Most people have found VTC services very useful during the current global health crisis. For many, they have been a vital lifeline. Our dependence on, and general use of, VTC services is likely to continue through the pandemic and after we emerge from it.  現在の世界的な健康危機の中で、ほとんどの人がVTCサービスを非常に便利だと感じています。多くの人にとって、VTCサービスは重要なライフラインとなっています。VTCサービスへの依存とその一般的な利用は、パンデミックの間も、そしてパンデミックからの脱却後も続くと思われます。
High standards, robust measures, and best practices for privacy and security in the VTC industry are important for the safe deployment of these services and the ongoing trust of business and personal users.  VTC業界におけるプライバシーとセキュリティに関する高い基準、強固な対策、ベストプラクティスは、これらのサービスを安全に展開し、企業や個人のユーザーの信頼を継続するために重要です。
The joint signatories therefore thank Microsoft, Google, Cisco and Zoom for their engagement and cooperation on this important matter.  このため、共同署名者は、マイクロソフト、グーグル、シスコ、ズームの4社がこの重要な問題に取り組み、協力してくれたことに感謝します。
The joint signatories will continue to make themselves available to all VTC companies for any further engagement to support the maintenance and development of their services in a privacy protective, safe and trustworthy manner. 共同署名者は、プライバシー保護、安全性、信頼性の高い方法でサービスを維持・発展させるために、今後もすべてのVTC企業に協力していきたいと考えています。

 

公開書簡

・2020.07.20 Global privacy expectations of video teleconference providers

・[PDF] Joint statement on global privacy expectations of Video Teleconferencing companies 

20211028-13003

| | Comments (0)

世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

こんにちは、丸山満彦です。

サイバーセキュリティの人材不足は、日本だけでなく、全世界的な課題ですね。。。

世界経済フォーラム (WEF)がサイバーセキュリティには多様で包括的(D&I)な人材がなぜ必要なのか?ということについての報告書、Diversity, Equity, and Inclusion in Cybersecurityを公開していますね。。。

こういう切り口は重要ですね。。。これから。。。

World Economic Forum - White Papers

・2021.10.26 Why cybersecurity needs a more diverse and inclusive workforce

Why cybersecurity needs a more diverse and inclusive workforce サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか
・Cybersecurity is quickly becoming one of the most important industries to safeguard our democratic values. ・サイバーセキュリティは、私たちの民主主義の価値を守るために最も重要な産業の一つに急速になりつつあります。
・The demand for cybersecurity professionals is rising globally, as cyberattacks are increasing in scale and severity. ・サイバー攻撃の規模と深刻さが増していることから、サイバーセキュリティの専門家に対する需要は世界的に高まっています。
・Here are multiple reasons why diversity and inclusion can solve the acute talent shortage in the industry. ・ここでは、多様性&包括性が、この業界の深刻な人材不足を解決できる複数の理由を紹介します。
As cyberattacks increase in scale and severity, so too does the global demand for cybersecurity professionals – in all aspects of the field and across all sectors. The supply seemingly cannot keep up, resulting in an acute talent shortage. サイバー攻撃の規模と深刻さが増すにつれ、サイバーセキュリティの専門家に対する世界的な需要は、この分野のあらゆる面で、あらゆる分野で高まっています。しかし、その供給が追いつかないため、深刻な人材不足に陥っています。
But in this talent shortage, there is an even bigger and more troubling gap: the lack of diversity in cybersecurity. しかし、この人材不足には、さらに大きな問題があります。それは、サイバーセキュリティ分野における多様性の欠如です。
Have you read? すでに読みましたか?
Protecting critical infrastructure from a cyber pandemic  重要インフラをサイバーパンデミックから守るために 
Cybersecurity risks in aviation: Building a cyber-resilient future 航空業界のサイバーセキュリティ・リスク:サイバーレジリエントな未来を築くために
Businesses are building a global response to cybersecurity risks 企業はサイバーセキュリティリスクへのグローバルな対応策を構築している
Improving the work environment for underrepresented groups 社会的弱者のための職場環境の改善
The latest statistics on demographics in cybersecurity are troubling: according to the Aspen Digital Tech Policy hub’s latest report, underrepresented groups such as Black (9%), Hispanic (4%) and Asian (8%) professionals make up an increasingly low percentage of the industry. For example, women make up 51% of the population, but only comprise only 24% of the cybersecurity workforce. サイバーセキュリティ業界の人口動態に関する最新の統計によると、Aspen Digital Tech Policy hubの最新レポートによると、黒人(9%)、ヒスパニック系(4%)、アジア系(8%)などの代表性の低いグループが業界に占める割合はますます低くなっています。例えば、女性は人口の51%を占めていますが、サイバーセキュリティの労働力に占める割合は24%に過ぎません。
On the flip side, there are almost 500,000 open jobs in cybersecurity in the United States alone, signaling a systemic, yet not-insurmountable divide. If we work together through individual and collective action to improve the current environment for underrepresented groups, there could be lasting positive impacts across the field of cybersecurity. その一方で、米国だけでもサイバーセキュリティ分野では約50万件の求人があり、システム上の格差があることを示していますが、これは決して克服できるものではありません。もし、私たちが個人的にも集団的にも協力して、社会的地位の低いグループの現在の環境を改善することができれば、サイバーセキュリティの分野全体に永続的なプラスの影響を与えることができるでしょう。
Cybersecurity professionals work long hours. In many circumstances, they exhaust themselves to safeguard infrastructure, IT systems and institutions. Almost everyone in cybersecurity is stretched thin. Organizations and nations alike need more qualified people to work in cybersecurity. サイバーセキュリティの専門家は、長時間労働を強いられます。多くの場合、インフラ、ITシステム、機関を保護するために身を粉にして働いています。サイバーセキュリティに携わるほとんどの人が、手薄になっています。組織も国も、サイバーセキュリティの分野で働く有能な人材をより多く必要としています。
Professionals must truly understand the threats while coming up with more robust solutions. To do so, the industry must fix parts of recruitment, retention and leadership development. 専門家は、脅威を真に理解し、より強固なソリューションを考え出さなければなりません。そのためには、人材の採用、定着、リーダーシップの育成といった部分を改善していかなければなりません。
Choosing candidates with the right core traits 正しい核となる特性を持つ候補者を選ぶ
Focusing on the barriers to inclusion and success in the industry, instead of just overt discrimination, can help reduce the talent shortage. Cybersecurity leaders play an important role in this. They should focus on diversity and inclusion when selecting candidates. あからさまな差別ではなく、業界への参入と成功を阻む障害に焦点を当てることが、人材不足の解消につながります。サイバーセキュリティのリーダーは、そのための重要な役割を担っています。彼らは候補者を選ぶ際に、多様さと包括を重視すべきです。
Instead of merely recruiting new diverse candidates into the workforce, they must also provide those professionals already in it with opportunities, and tools to succeed and grow. Finally, managers have to allow diverse candidates to obtain a skillset to succeed as future leaders in the field. 単に多様な候補者を新たに採用するのではなく、すでに働いているプロフェッショナルに成功と成長の機会とツールを提供しなければなりません。最後に、マネージャーは、多様な候補者がその分野の将来のリーダーとして成功するためのスキルセットを得られるようにしなければなりません。
Curiosity, problem-solving ability and critical thinking should be taken into consideration when recruiting experienced talents. Cybersecurity is a vibrant field that is constantly changing, especially when it comes to threats or potential attacks. Professionals cannot be static in their knowledge to succeed in this field. 経験豊富な人材を採用する際には、好奇心、問題解決能力、批判的思考を考慮に入れるべきです。サイバーセキュリティは、特に脅威や潜在的な攻撃に関しては、常に変化し続ける活気ある分野です。この分野で成功するためには、プロフェッショナルは自分の知識を固定化することはできません。
This is why a curious mind and problem-solving abilities are crucial for the next generation of cyber professionals. そのため、次世代のサイバープロフェッショナルには、好奇心と問題解決能力が欠かせません。
People who are looking to break into cybersecurity believe that it is too challenging to even land their first job. The entry level jobs they’re applying for require a number of qualifications. サイバーセキュリティ業界への参入を考えている人は、最初の仕事に就くことすら難しいと考えています。彼らが応募するエントリーレベルの仕事は、多くの資格を必要とします。
What if instead recruiters looked at core traits and then trained and invested in people? This is the practice that many militaries around the globe use, including the Israeli and the US armies. その代わりに、採用担当者が核となる特性に注目し、人材を育成・投資するとしたらどうでしょうか。これは、イスラエル軍やアメリカ軍など、世界の多くの軍隊で採用されている方法です。
Prioritizing diversity, equity and inclusion 多様、平等、包括を優先する
On top of this, leaders need to ensure they are taking care of people already in the industry, especially when it comes to future leadership positions. This includes everything from professional development over allyship to childcare and paid family leave. その上で、リーダーはすでに業界にいる人々、特に将来的にリーダーシップを発揮することになる人々を大切にする必要があります。これには、アライシップに関する専門的な開発から、育児や有給の家族休暇に至るまで、あらゆることが含まれます。
This is where efforts like #ShareTheMicInCyber come in. The project highlights expertise of professionals already in the industry. Initiatives like CyberBase and #MakingSpace from the R Street Institute, which aim to boost diversity at cybersecurity events, as well as the Women in Security and Privacy scholarship fund, eliminating financial barriers to cybersecurity trainings, grew out of #ShareTheMicInCyber. These are actionable and powerful ways where allies have made a huge difference in this space. そこで、「#ShareTheMicInCyber」のような取り組みが行われています。このプロジェクトでは、すでに業界で活躍している専門家の専門知識を紹介しています。サイバーセキュリティのイベントで多様性を高めることを目的としたR Street InstituteのCyberBaseや#MakingSpace、サイバーセキュリティのトレーニングを受ける際の経済的障壁をなくすためのWomen in Security and Privacy scholarship fundなどの取り組みは、#ShareTheMicInCyberから生まれたものです。これらは、同盟国がこの分野で大きな変化をもたらした、実行可能で強力な方法です。
Organizations prioritizing diversity, equity and inclusion have found these four concrete steps to be useful: 多様、平等、包括を優先する組織は、以下の4つの具体的なステップが有用であると考えています。
・Prioritize retention and development opportunities of diverse staff members. Employee retention is essential if you want to build up diversity at higher organizational levels. ・多様なスタッフの確保と育成を優先する。より高い組織レベルで多様性を構築するためには、従業員の維持が不可欠です。
・Treat all employees as individuals, provide opportunities for them to express themselves, create a safe space and acknowledge their contributions. ・すべての従業員を個人として扱い、自己表現の機会を提供し、安全な空間を作り、その貢献を認める。
・Ensure that your leader actively supports diversity, equity and inclusion across the organization. ・リーダーが組織全体の多様、平等、包括を積極的にサポートするようにする。
・Create opportunities for everyone to publish, write, and engage in public speaking. ・全員が出版、執筆、人前で話す機会を作る。
Preparing for future challenges 将来の課題に備える
Illuminating more pathways to leadership for a bigger pool of employees is vital for the retention of talent. But diversity needs to be represented at all levels of the organization. These issues are all interlinked and they are connected to national and international security. より多くの従業員にリーダーシップへの道筋を示すことは、人材の確保に不可欠です。しかし、多様性は組織のすべてのレベルで表現される必要があります。これらの問題はすべて相互にリンクしており、国家および国際的な安全保障につながっています。
The next generation of leaders in cybersecurity needs to come prepared. Present leaders should focus on creating opportunities for a diverse group of staff for professional development, mentorship and networking. サイバーセキュリティ分野の次世代のリーダーは、準備を整えておく必要があります。現在のリーダーは、多様なスタッフが専門的な開発、メンターシップ、ネットワーキングを行う機会を設けることに注力すべきです。
The lack of diversity blinds us to the myriad ways that actors can attack us, and robs us of the talent and engagement of important parts of the global population. A lack of different perspectives and diverse representation mires us in the issues of today. It saps our energy and ability to look ahead to future threats. 多様性の欠如は、アクターが我々を攻撃する無数の方法を見えなくさせ、世界の重要な人々の才能と関与を奪ってしまいます。さまざまな視点や多様な表現の欠如は、今日の問題に私たちを悩ませます。また、将来の脅威を予測するためのエネルギーや能力も失われます。
As we have adapted digitalization in every sphere of our lives, threats to our safety and health have grown in scale and complexity. These threats need to be addressed on a global scale – through creative ways. 生活のあらゆる分野でデジタル化が進むにつれ、私たちの安全と健康を脅かす脅威は規模と複雑さを増しています。これらの脅威には、グローバルな規模で、クリエイティブな方法で対処する必要があります。
Diversity is a vital part in our collective toolkit to guarantee more robust, more innovative and more agile ideas. 多様性は、より強固で、より革新的で、より俊敏なアイデアを保証するための、私たちのツールキットの重要な一部です。
It’s hard to know where to start. It’s hard to admit your own privilege and know that you can do better... It requires some serious introspection. But from a security, a business, and moral perspective, it is worth it. どこから手をつけていいのか、なかなかわかりません。自分が恵まれていることを認め、もっとうまくやれることを知るのは難しいことです...。それには真剣な内省が必要です。しかし、セキュリティ、ビジネス、モラルの観点からは、それだけの価値があります。
Break down the problem, identify your platform, leverage and act. 問題を分解し、自分のプラットフォームを特定し、活用し、行動します。

 

・2021.09 [PDF] Diversity, Equity, and Inclusion in Cybersecurity

20211027-223553

 

SUMMARY サマリー
Key Report Recommendations 報告書の主な推奨事項
Education 教育
Actions That Can Be Taken Now 今すぐできること
Organizations can take over the burden of certification costs from candidates and embrace apprenticeships as a common training practice within the industry. 組織は、資格取得費用の負担を候補者から引き継ぎ、業界内の一般的なトレーニング方法として実習を受け入れることができる。
Academic institutions can consider creating new cybersecurity bridge programs to give students structured pathways from cybersecurity education to employment. 教育機関は、サイバーセキュリティ教育から就職までの体系的な道筋を学生に提供するために、新しいサイバーセキュリティブリッジプログラムの創設を検討することができる。
Actions Requiring Additional Institutional Support  追加の組織的支援を必要とすること 
A coalition should assess the value of certifications in developing quality cybersecurity candidates. 連合 (coalition) は、質の高いサイバーセキュリティ候補者を育成する上での認証の価値を評価すべきである。
A task force should survey diverse participants in apprenticeship programs to better support diverse candidates. タスクフォースは、多様な候補者をよりよくサポートするために、実習プログラムの多様な参加者を調査すべきである。
Recruitment and Hiring 採用と雇用
Actions That Can Be Taken Now 今すぐできること
Companies should establish partnerships with programs that provide pathways for diverse talent and work to remove bias from their hiring practices.  企業は、多様な人材への道筋を提供するプログラムとのパートナーシップを確立し、雇用慣行から偏見を排除するよう努めるべきである。
Actions Requiring Additional Institutional Support 追加の組織的支援を必要とすること 
Cybersecurity organizations that succeed at hiring diverse talent should collect and share anonymous data about the diversity of characteristics that prove successful in hiring for cybersecurity jobs. 多様な人材の採用に成功しているサイバーセキュリティ企業は、サイバーセキュリティの仕事の採用に成功した特徴の多様性に関する匿名のデータを収集し、共有すべきである。
A group of pro bono experts should help cybersecurity employers rewrite their job descriptions without jargon and focus on the skills required.  プロボノの専門家グループは、サイバーセキュリティの雇用者が職務記述書を専門用語を使わず、必要なスキルに焦点を当てて書き直すのを支援すべきである。
A task force should consider whether the current criminal background check process is appropriate, fair, and equitable. タスクフォースは、現在の犯罪歴調査のプロセスが適切、公正、公平であるかどうかを検討すべきである。
Retention 人材確保
Actions That Can Be Taken Now 今すぐできること
Organizations can tie executives’ participation in DEI initiatives to their performance evaluations, carve out a certain percentage of staff time for projects related to DEI, and track retention and attrition rates for diverse candidates.  組織は、役員の DEI イニシアチブへの参加を業績評価に連動させたり、スタッフの時間の一定割合を DEI に関連するプロジェクトのために確保したり、多様な候補者の定着率や離職率を追跡したりすることができる。
Executives can get involved in DEI work, directly sponsor diverse employees’ professional development, and highlight how diversity is a business asset. エグゼクティブは、DEIの活動に参加したり、多様な従業員の専門的な開発を直接支援したり、多様性がビジネスの資産であることを強調することができる。
Actions Requiring Additional Institutional Support 追加の組織的支援を必要とすること 
A task force should track C-suite executives’ commitments to initiatives related to cybersecurity professionals within their companies. タスクフォースは、企業内のサイバーセキュリティ専門家に関連するイニシアチブに対するC-suite Executiveのコミットメントを追跡すべきである。
Mentorship メンターシップ
Actions That Can Be Taken Now 今すぐにできること
Cybersecurity workplaces can create diversity-focused mentorship programs that are wellresourced and emphasize the importance of allyship.  サイバーセキュリティの職場では、リソースが豊富で同盟関係の重要性を強調した、多様性に焦点を当てたメンターシッププログラムを作成することができる。
Academic institutions can add programming for students of diverse backgrounds at technology and cybersecurity career fairs, and include diversity and allyship in the cybersecurity curriculum.  学術機関は、テクノロジーやサイバーセキュリティのキャリアフェアにおいて、多様な背景を持つ学生のためのプログラムを追加したり、サイバーセキュリティのカリキュラムに多様性やアライシップを盛り込んだりすることができる。
Actions Requiring Additional Institutional Support 追加の組織的支援を必要とすること
A coalition of cybersecurity experts should identify best practices for mentoring diverse cybersecurity practitioners and create a platform of shared resources. サイバーセキュリティ専門家の連合は、多様なサイバーセキュリティ実務者を指導するためのベスト・プラクティスを特定し、共有リソースのプラットフォームを作成するべきである。
Shifting the Narrative ナラティブの転換
Actions That Can Be Taken Now 今すぐにできること
Educators can introduce students to cybersecurity as an interdisciplinary field that combines information and social sciences. 教育者は、サイバーセキュリティが情報科学と社会科学を融合した学際的な分野であることを学生に紹介することができる。
Organizations can support initiatives that uplift underrepresented profiles in cybersecurity, make select, non-sensitive cybersecurity projects available for educators and students to learn from for free, and encourage employee participation in school career fairs. 組織は、サイバーセキュリティの分野で不遇をかこっている人々の地位を向上させる取り組みを支援し、機密性の低いサイバーセキュリティのプロジェクトを厳選して教育者や学生が無料で学べるようにし、学校のキャリアフェアへの従業員の参加を促すことができる。
Individuals can participate in #ShareTheMicInCyber and other movements that amplify the profiles of underrepresented communities in the cybersecurity industry.  個人は、#ShareTheMicInCyberや、サイバーセキュリティ業界における代表性の低いコミュニティのプロフィールを拡大するその他の運動に参加することができる。
Actions Requiring Additional Institutional Support 追加の組織的支援を必要とすること
Brands, advertisers, and media influencers should cultivate partnerships to reimagine narratives around the cybersecurity field.  ブランド、広告主、メディアインフルエンサーは、サイバーセキュリティ分野の物語を再構築するためのパートナーシップを築くべきである。

 

| | Comments (0)

2021.10.27

米国 国務省配下にサイバースペース・デジタル政策局を新設?

こんにちは、丸山満彦です。

米国の国務省配下に

  1. 国際的なサイバースペースの安全保障 (international cyberspace security)
  2. 国際的なデジタル政策 (international digital policy)
  3. デジタルの自由 (digital freedom) 

という3つの主要分野に注力する

  • サイバースペース・デジタル政策局 (Bureau of Cyberspace and Digital Policy)

を新設するようですね。。。

  1. 安全保障
  2. 経済
  3. 価値観

の要素を統合するのが目的のようですね。。。

そのために、この分野の特使 (envoy) を設置するようです。。。

大使 (ambassador) > 特使 (envoy) > 公使 (minister) のランクですね。。。

 

U.S. Department of State

・2021.10.25 Department Press Briefing – October 25, 2021

25日ですからスーダンで起きたクーデター?の話題が中心なのですが。。。

関係するところだけ抜粋します。。。

 

As one element of our broader State Department modernization effort, we undertook an extensive review of cyberspace and emerging technology policy and organization. That team, led by Deputy Secretary Wendy Sherman and Deputy Secretary for Management and Resources Brian McKeon, consulted widely with outside experts, former government officials, partners in government, and with members of Congress and their staffs. The review is now complete, and the Secretary has reviewed the findings carefully, and decided to pursue a couple of rather historic changes. 国務省の近代化に向けた取り組みの一環として、私たちはサイバースペースと新興技術に関する政策と組織の広範な見直しを行いました。ウェンディ・シャーマン副長官とブライアン・マッケオン管理・リソース担当副長官が率いるチームは、外部の専門家、元政府高官、政府のパートナー、そして議会議員とそのスタッフと幅広く協議しました。このレビューが完了し、長官はその結果を慎重に検討し、いくつかの歴史的な変更を行うことを決定しました。
Pending consultations with Congress, we plan to establish a Bureau of Cyberspace and Digital Policy, led by a Senate-confirmed ambassador-at-large which will focus on three key areas: international cyberspace security, international digital policy, and digital freedom. This will integrate the core security, economic, and values components of our cyber agenda. We also plan to establish a new special envoy for critical and emerging technology to lead the immediate technology diplomacy agenda with our allies, partners, and across the range of multilateral fora. 議会との協議を経て、上院で承認された特命全権大使が率いるサイバースペース・デジタル政策局を設立し、国際的なサイバースペースの安全保障、国際的なデジタル政策、デジタルの自由という3つの主要分野に注力する予定です。これにより、私たちのサイバーアジェンダの中核となる安全保障、経済、価値観の要素が統合されます。また、重要技術・新興技術担当の特使を新たに設置し、同盟国やパートナーとの間で、また、さまざまな多国間の場で、当面の技術外交アジェンダを主導する予定です。
Secretary Blinken will deliver remarks on this and the broader modernization agenda at 11:30 a.m. on Wednesday – this coming Wednesday, October 27th, 2021 – at the Department of State’s Foreign Service Institute. I hope many of you will certainly tune in. ブリンケン長官は、今週末の水曜日(2021年10月27日)午前11時30分から、国務省の外交研究所で、この件と広範な近代化アジェンダについて発言します。多くの皆様にご視聴いただきたいと思います。
So with that, I’m happy to turn to your questions. それでは、皆様からのご質問をお受けしたいと思います。
QUESTION: Ned, just on that last one, didn’t the previous administration try to set up the same kind of thing, and you guys put the kibosh on it? 質問者:ネッドさん、最後のことについての質問ですが、前政権も同じようなことをやろうとしていませんでしたか、そして、それをあなた方が阻止したのではなかったのでしょうか?
MR PRICE: So, Matt, this is – this is quite different. So what the previous administration set up – what they proposed, I should say – was to create a bureau that would be responsible for the national security aspects of cyberspace security and security-related aspects of emerging technology. The Cyberspace Security and Emerging Technology Bureau would have been placed under the under secretary for arms control and international security. So this is a very different structure. This is a bureau that is focused on the issues that are most critical to cyber, to emerging technologies, but also with the cyber envoy attached separately. プライス氏: マット、これはまったく違うものです。前政権が提案したのは、それは、サイバースペースのセキュリティの国家安全保障の側面と新興技術の側面の安全保障を担当する局を創設することでした。その当時のサイバースペース安全保障・新興技術局は、軍備管理・国際安全保障担当の次官の下に置かれるはずでした。なので、これは今回のものとは非常に異なる構造です。今回のものは、サイバーや新興技術にとって最も重要な問題に焦点を当てた局であり、同時にサイバー特使が別に配置されています。
QUESTION: Well, okay. But it just seems like it’s the same kind of addition – additional layer of bureaucracy that you guys didn’t want to when it was the last administration’s idea, and now – I mean, what difference does it make which under secretary of state it reports to? It would still be led by its own senate-confirmed assistant secretary, right? I guess I just don’t understand what — 質問者:なるほど。しかし、前政権のアイデアのときにあなた方が嫌がった、官僚主義の追加のように思えます。つまり、どの国務次官に報告するかは重要ではありません。上院議員に承認されたあなた自身の国務次官補が率いることになりますよね。私には違いが理解できないのですが。
MR PRICE: So — プライス氏:それでは...。
QUESTION: Suddenly you see value in this? 質問者:突然ですが、あなたはこれに価値を見出していますか?
MR PRICE: Well, we’ve always seen value in prioritizing cyber and emerging technologies. The point we have made is that even with the creation of this new bureau, even with the creation of the new cyber envoy, these issues are going to be pervasive across the department, across the government. プライス氏:私たちは、サイバー技術や新興技術を優先的に取り組むことに価値を見出してきました。私たちが言いたいのは、この新しい局ができても、新しいサイバー特使ができても、これらの問題は省庁全体、政府全体にすみずみまでいきわたっていくということです。
QUESTION: I get that, but — 質問者:それはわかりますが...。
MR PRICE: So it’s not going to be squarely confined, solely confined, to one bureau, to one special envoy, but we do see tremendous value in ensuring that we have a bureau that is focused on these issues squarely, on some of the most important elements of these issues. The Bureau of Cyberspace and Digital Policy, that will include three sub-units focused on international cyberspace security – that’s cyber policy and negotiations, cyber deterrence, cyber operations, and capacity building – international digital policy – and so that includes, for example, engagement with the ITU, standard-setting bodies, promotion of trusted telecom systems, digital technology tracks and multilateral agenda – and digital freedom. プライス氏:しかし、私たちは、これらの問題の最も重要な要素に焦点を当てている局を確保することに大きな価値があると考えています。サイバースペース・デジタル政策局には、国際的なサイバー空間の安全保障(サイバー政策と交渉、サイバー抑止、サイバー作戦、能力開発)、国際的なデジタル政策(ITUとの連携、標準設定機関、信頼できる通信システムの推進、デジタル技術トラック、多国間アジェンダなど)、そしてデジタルの自由に焦点を当てた3つのサブユニットが含まれます。

QUESTION: Okay, but — 質問者:わかりました、でも
MR PRICE: But then, of course, with a cyber envoy that comes on top of that. Both of them reporting to the deputy secretary for at least the first year. So these are two empowered components, components that will oversee some of the most critical elements of our work – and again, work that is pervasive across the department, across our diplomacy, and across this administration – allowing us to harness some of the most important tools that will really shape our ability to deliver for the American people in the years to come. プライス氏:もちろん、その上にはサイバー特使がいます。両者とも、少なくとも最初の1年間は副長官に報告します。これら2つの権限を与えられた部門は、私たちの仕事の中で最も重要な要素を監督する部門であり、これもまた、アメリカ政府、外交、そしてこの政権全体にいきわたらせていく仕事ですが、今後数年間、アメリカ国民に貢献する私たちの能力を形作る最も重要なツールを活用することができます。
QUESTION: I really don’t – I don’t want to spend a lot of time on this, but I – maybe the Secretary or maybe someone else could explain to me exactly what it is that’s different about your idea than what was the idea of the previous administration, because frankly it sounds almost exactly the same to me, except that instead of reporting to the under secretary this one is going to report to the deputy secretary. All right, let’s move to – so perhaps we can get an answer as to how this is different and why this is better, you think, than the previous idea? 質問者:私は、このことに多くの時間を費やしたくないのです。私は、長官か誰かに、今回のアイデアが前政権のアイデアと何が違うのか、正確に説明してもらいたいのです。なぜならば、率直に言って、私にはほとんど同じように聞こえるのです。もちろん、次官に報告するのではなく、副長官に報告することになっていますが。では、前政権の案とどう違うのか、なぜこの案の方がいいのか、答えていただけますか?
MR PRICE: Well, I think we’ve – I’ve just told you about how this is different from CSET. The new bureau that we’re establishing, the ambassador-at-large that we’re establishing — プライス氏:先ほど、CSETとの違いについてお話ししました。私たちが設立する新しい局、そして大使の設立です。
QUESTION: Okay, let’s go — 質問者:わかりました、次に行きましょう。
MR PRICE: Go ahead. プライス氏:では、次にいきます。

 

Fig1_20211027042201

 


 

● 毎日新聞

・2021.10.26 米国務省にサイバー・デジタル政策の局を新設へ 中露の脅威に対抗

米国務省のプライス報道官は25日の記者会見で、同省にサイバー空間とデジタル政策に関する新たな局を設置すると発表した。局を率いるのは、議会承認が必要な大使級ポスト。また、安全保障に直結する重要・新興技術の分野についても新たに特使が任命されることを明らかにした。

 バイデン政権は中国やロシアによるサイバー攻撃を安全保障上の脅威とみなしている。国務省に新たな局やポストを設けることで、同盟国やパートナー国との連携を強化し、こうした分野での国際的な規範作りを主導したい考えだ。

 

Wall Street Journal

・2021.10.25 State Department to Form New Cyber Office to Face Proliferating Global Challenges


● CNN

・2021.10.25 State Department will form new cyber bureau

 

Newsweek

・2021.10.25 U.S. Launches New Bureau to Combat Cybercrime After Rise in Cyberattacks During Pandemic



| | Comments (0)

個人情報保護委員会 中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年3月)を公表

こんにちは、丸山満彦です。

個人情報保護委員会が、中小規模事業者の安全管理措置に関する実態調査(報告書)を公表していますね。。。

3月末に納品された?のが、10月末に公表されたのですね。。。

 

個人情報保護委員会

・2021.10.26 中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年3月)を掲載しました。

・[PDF] 中小規模事業者の安全管理措置に関する実態調査(報告書)(令和3年年3月

20211026-172434

回答してくれた事業者は、3,711社で内訳は、

20211026-173459

幅広い対応業社が答えてくれていますね。。。

個人情報保護法の安全管理措置については、経済産業省が最初にガイドラインを公表したのですが、その時に私と2名の方が中心となって安全管理措置は作ったのですが、基本的にその時の考え方が今でも踏襲されていますね。。。まぁ、基本的なことを書いているので、環境変化があっても要件は大きくかわらないので、それでよいのだろうと思います。

報告書の内容としては興味深いですね。。。

 

| | Comments (0)

2021.10.26

Cloud Security Alliance 継続的監査メトリクスカタログ at 2021.10.19

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) が継続的監査メトリクスカタログについての文書を公表していますね。。。

Cloud Security Alliance (CSA)

・2021.10.19 The Continuous Audit Metrics Catalog

The Continuous Audit Metrics Catalog 継続的な監査メトリックスカタログ
Are traditional infosec assurance tools outdated? Many cloud customers think so. They see that technology changes quickly, and products are frequently evolving with continuous integration and deployment. Therefore, a certification obtained once a year after a third-party audit is not asufficient source of assurance anymore. It’s time to move from “point-in-time” assurance to continuous assurance. This change requires moving away from manual audits and instead building automated tools that continuously assess the effectiveness of an information system. In other words, it’s time to move to the world of security metrics. 従来の情報セキュリティ保証ツールは時代遅れではないなのか?多くのクラウド事業者はそう考えています。技術は急速に変化し、製品は継続的な統合と展開によって頻繁に進化しています。そのため、1年に1度、第三者機関による監査を受けて得られる認証は、もはや十分な保証の源ではありません。今こそ、「一時的」な保証から「継続的」な保証へと移行すべきなのです。そのためには、手動での監査をやめ、情報システムの有効性を継続的に評価する自動化ツールを構築する必要があります。言い換えれば、セキュリティメトリクスの世界に移行する時が来たのです。
There is no standard reference for the continuous auditing of cloud services that supports security metrics in a way that is comparable to what the CSA CCM or ISO/IEC 27002 does for security controls. To address this gap, CSA launched the Continuous Audit Metrics Working Group in early 2020 to build the first catalog of security metrics for the cloud. We have released the first version of this catalog that contains an initial set of 34 security metrics, each mapped to the CCM v4. These metrics aim to support internal CSP governance, risk, and compliance (GRC) activities and provide a helpful baseline for service-level agreement transparency.  CSA CCMやISO/IEC 27002がセキュリティ管理に対して行っているのと同等の方法で、セキュリティメトリクスをサポートする、クラウドサービスの継続的な監査のための標準的なリファレンスはありません。このギャップに対処するため、CSAは2020年初頭に継続的監査メトリクスワーキンググループを立ち上げ、クラウドのセキュリティメトリクスの最初のカタログを構築しました。このカタログには、34のセキュリティメトリクスの初期セットが含まれており、それぞれがCCM v4にマッピングされています。 これらのメトリクスは、CSPの内部のガバナンス、リスク、コンプライアンス(GRC)活動をサポートし、サービスレベル合意の透明性に役立つベースラインを提供することを目的としています。
Topics covered:  対象項目 
・Explanation of security metrics ・セキュリティメトリクスの説明
・How to measure the effectiveness of an information system ・情報システムの有効性を測定する方法
・How to enable continuous auditing ・継続的な監査を可能にする方法
・Catalog listing the 34 metrics ・34種類のメトリクスを掲載したカタログ
Included in this zip file: このZIPファイルに含まれるもの
・Continuous Audit Metrics Catalog ・継続的監査のための指標カタログ
・Code of Practice for Implementing and Maintaining Key Metrics ・主要メトリクスの導入と維持のための実施基準

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20211026-111415

 

Acknowledgments 謝辞
1. Introduction 1. はじめに
2. Security Metrics and Continuous Auditing 2. セキュリティメトリクスと継続的な監査
2.1 What Are Metrics? 2.1 メトリクスとは何か?
2.1.1 Terminology 2.1.1 用語解説
2.2 Benefits of metrics 2.2 メトリクスの利点
2.2.1 Measuring the Effectiveness of an Information System 2.2.1 情報システムの有効性の測定
2.2.2 Increasing the Maturity of an Organization’s Governance and Risk Management Approach 2.2.2 組織のガバナンスとリスク管理アプローチの成熟度を高める
2.2.3 Increasing Transparency, Fostering accountability, and Enabling Continuous Auditing and Compliance 2.2.3 透明性の向上、説明責任の遂行、継続的な監査とコンプライアンスの実現
2.3 Continuous Auditing 2.3 継続的な監査
2.4 Linking Metrics to the CCM 2.4 メトリクスとCCMの関連付け
2.5 Selecting and Using Metrics for Continuous Auditing 2.5 継続的監査のためのメトリクスの選択と使用
3. Catalog Structure 3. カタログの構成
3.1 Metric Description 3.1 メトリクスの説明
3.2 Sampling Period and Measurement Frequency 3.2 サンプリング期間と測定頻度
4. Metrics Catalog 4. メトリクスカタログ

 


Continuous Audit、継続的監査が含まれるについての記事

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.17 Cloud Security Alliance STAR認証:継続的監査の導入

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2016.08.23 監査をもっと自動化できないか・・・

・2011.02.25 NIST IR-7756, Draft An Enterprise Continuous Monitoring Technical Reference Architecture



Continue reading "Cloud Security Alliance 継続的監査メトリクスカタログ at 2021.10.19"

| | Comments (0)

Cloud Security Alliance 量子後の世界への実践的な備え at 2021.10.19

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) が量子後の世界への実践的な備えについての文書を公表していますね。。。

 

Cloud Security Alliance (CSA)

・2021.10.19 Practical Preparations for the Post-Quantum World

Practical Preparations for the Post-Quantum World 量子化後の世界への実践的な備え
This document discusses the cybersecurity challenges and recommended steps to reduce likely new risks due to quantum information sciences. This paper was created for awareness and education, and to communicate example steps every organization should be performing to prepare for the post-quantum world. Following its recommendations should result in increased project efficiencies, decreased cybersecurity risk, and increased, long-term, crypto-agility. Part I is a discussion of the various quantum threats which require mitigation. Part II is an actionable, step-by-step, blueprint for preparing for the post-quantum world. 本文書では、量子情報科学によって新たに発生する可能性のあるリスクを低減するためのサイバーセキュリティ上の課題と推奨ステップについて説明しています。本文書は、認識と教育のために作成され、量子後の世界に備えるためにすべての組織が実行すべき手順の例を伝えるものです。本文書の推奨事項に従うことで、プロジェクトの効率化、サイバーセキュリティリスクの低減、長期的な暗号化の敏捷性の向上が期待できます。第1部では、緩和が必要なさまざまな量子の脅威について説明しています。第2部では、量子後の世界に備えるための、実行可能な段階的な青写真を紹介します。
Key Takeaways: 主な内容
Part 1: Outline the quantum threats that will need to be mitigated 第1部:緩和が必要な量子の脅威の概要
Part 2: Steps to prepare for the post-quantum world 第2部:量子後の世界に備えるためのステップ

・[PDF] 簡単な質問に答えるとダウンロードできます

20211026-80701

 

目次です。。。

Acknowledgments 謝辞
Executive Summary 概要
1. Quantum Threats Against Traditional Cryptography 1. 従来の暗号技術に対する量子の脅威
1.1 Asymmetric Cryptography Breaks 1.1 非対称暗号の破たん
1.2 Symmetric Encryption Weakening 1.2 対称暗号の弱体化
1.3 Hash Functions and Hash-Based Digital Signatures Weakening 1.3 ハッシュ関数とハッシュベースのデジタル署名の弱体化
1.4 Storing Captured Data Now 1.4 キャプチャしたデータを今すぐ保存する
1.5 Quantum Threat Solution Summary 1.5 量子的な脅威ソリューションの概要
1.6 Post-Quantum Migration Goal 1.6 量子後軽減目標
1.7 Additional Resources 1.7 追加リソース
2. A Prescriptive Post-Quantum Mitigation Plan 2. 規範となる量子後の軽減計画
2.1 Post-Quantum Mitigation Plan Summary 2.1 量子後の軽減計画の概要
2.2 Awareness and Education 2.2 意識向上と教育
2.2.1 Senior Management Communication and Memo Example 2.2.1 シニアマネジメントのコミュニケーションとメモの例
2.2.2 Post-Quantum Migration Training and Awareness Goals 2.2.2 量子移行後のトレーニングと意識向上の目標
2.2.3 Awareness and Education Critical Task Summary 2.2.3 意識向上と教育 重要課題の概要
2.3 Creating a Post-Quantum Project 2.3 量子後プロジェクトの創出
2.3.1 Create a Post-Quantum Project Team 2.3.1 量子後プロジェクトチームの結成
2.3.2 Create a Plan and Timeline 2.3.2 計画とタイムラインの作成
2.3.3 Project Team and Plan Phase Critical Task Summary 2.3.3 プロジェクトチームと計画段階の重要タスクの概要
2.4 Taking a Data Protection Inventory 2.4 データ保護の棚卸し
2.4.1 Take Raw Inventory 2.4.1 生データ・機器の棚卸し
2.4.1.1 Data Protection Inventory Fields 2.4.1.1 データ保護インベントリー分野
2.4.1.2 Find Data 2.4.1.2 データを探す
2.4.1.3 Data Protection Inventory Questionnaire 2.4.1.3 データ保護インベントリー調査票
2.4.2 Classify and Rank Data and Devices 2.4.2 データや機器の分類とランク付け
2.4.3 Determine Data’s Useful Life 2.4.3 データの有効期限の決定
2.4.4 Inventory Cryptography 2.4.4 暗号のインベントリー
2.4.5 Determine Effective Cryptography 2.4.5 効果的な暗号技術を見極める
2.4.6 Track by Implementation Version 2.4.6 実装バージョン別の追跡
2.4.7 Data Protection Inventory Tools 2.4.7 データ保護インベントリーツール
2.4.8 Data Protection Inventory Phase Critical Task Summary 2.4.8 データ保護インベントリーフェーズの重要タスクの概要
2.5 Analysis 2.5 分析
2.5.1 Analysis Objectives 2.5.1 分析の目的
2.5.2 Determine Post-Quantum Readiness 2.5.2 量子後の準備状況の把握
2.5.3 Quantum-Susceptible Cryptography 2.5.3 量子感応型暗号
2.5.4 Quantum-Resistant Cryptography 2.5.4 耐量子暗号
2.5.5 Analysis Phase Critical Task Summary 2.5.5 分析フェーズ 重要タスクの概要
2.5.6 Risk-Analysis Approaches and Timing 2.5.6 リスク分析の手法とタイミング
2.5.6.1 Greatest Risk Remediation First 2.5.6.1 最大限のリスクを取り除くことが先決
2.5.6.2 Low-Hanging Fruit Approach 2.5.6.2 低い枝に実をつけた果実・アプローチ
2.5.6.3 Low Complexity Approach 2.5.6.3 複雑性が少ないアプローチ
2.5.6.4 Risk-Analysis and Timing Critical Task Summary 2.5.6.4 リスク分析とタイミング 重要タスクのまとめ
2.6 Implementing Post-Quantum Mitigations 2.6 量子後のためのセキュリティ対策
2.6.1 Policies and Documents 2.6.1 ポリシーと文書
2.6.1.1 Update Existing Acceptable Cryptography Standards 2.6.1.1 既存の受け入れ可能な暗号規格の更新
2.6.1.2 Update IT Audit Programs 2.6.1.2 IT監査プログラムの更新
2.6.1.3 Vendor Attestation Documents 2.6.1.3 ベンダー認証文書
2.6.1.4 Third-Party Vendor Management 2.6.1.4 サードパーティ・ベンダー・マネジメント
2.6.2 Technical Mitigations 2.6.2 技術的軽減
2.6.2.1 Physical Isolation 2.6.2.1 物理的隔離
2.6.2.2 Strengthen Symmetric Key Sizes 2.6.2.2 対称鍵長の強化
2.6.2.3 Use Post-Quantum Cryptography 2.6.2.3 量子後暗号の使用
2.6.2.4 Implement Quantum Key Distribution to Protect Networks 2.6.2.4 ネットワークを守るための量子鍵配布の実現
2.6.2.5 Hybrid Defenses 2.6.2.5 ハイブリッド防御
2.6.2.6 Implement Quantum Random Number Generators 2.6.2.6 量子乱数生成器の実装
2.6.2.7 Other Quantum-Enabled Protections 2.6.2.7 その他の量子化による保護機能
2.6.2.8 Testing 2.6.2.8 テスト
2.6.2.9 Encourage Crypto-Agility 2.6.2.9 Crypto-Agilityの奨励
2.7 Post-Quantum Implementation 2.7 量子後の実現
2.7.1 Mitigation Phase Critical Task Summary 2.7.1 Mitigation Phase Critical Task Summary
2.8 Other Post-Quantum Implementation Resources 2.8 その他の量子後実装リソース
Appendix A. Example Senior Management Memo Explaining Quantum Threat and Project 附属書A.量子の脅威とプロジェクトを説明する上級管理職のメモの例
Page 2 – Frequently Asked Questions (FAQ) よくある質問(FAQ)について

 

[ODCX] 仮訳

 


Cloud Security Alliance (CSA)

量子時代のセキュリティについての研究会等の情報です。。。参考になる報告書がいくつかあります!!!

Quantum-safe Security

 

 

| | Comments (0)

2021.10.25

独国 BSIがITセキュリティの状況(2021年)に関するレポートを公開

こんにちは、丸山満彦です。

ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) が2021年のITセキュリティの状況に関するレポートを公開していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

BSI-Lagebericht 2021: Bedrohungslage angespannt bis kritisch BSI状況報告書2021:脅威の状況が緊迫から危機へ
Cyber-Angriffe gefährden zunehmend eine erfolgreiche Digitalisierung サイバー攻撃は、デジタル化の成功をますます危うくする。
Cyber-Angriffe führen zu schwerwiegenden IT-Ausfällen in Kommunen, Krankenhäusern und Unternehmen. Sie verursachen zum Teil erhebliche wirtschaftliche Schäden und bedrohen existenzgefährdend Produktionsprozesse, Dienstleistungsangebote und Kunden. Das sind zentrale Feststellungen des Berichts zur Lage der IT-Sicherheit in Deutschland 2021, der heute von Bundesinnenminister Horst Seehofer und dem Präsidenten des Bundesamtes für Sicherheit in der Informationstechnik (BSI), Arne Schönbohm, vorgestellt wurde. Der neue Lagebericht macht deutlich: Die erfolgreiche Digitalisierung ist auf Grund der zunehmenden Vernetzung, einer Vielzahl gravierender Schwachstellen in IT-Produkten sowie der Weiterentwicklung und Professionalisierung von Angriffsmethoden zunehmend gefährdet. サイバー攻撃により、自治体、病院、企業などで深刻なIT障害が発生しています。場合によっては、かなりの経済的ダメージを与え、生産プロセス、サービス提供、顧客の存在を脅かすこともあります。これは、ホルスト・ゼーホーファー内務大臣とアルネ・シェーンボーム連邦情報セキュリティ局(BSI)長官が本日発表した「2021年のドイツにおけるITセキュリティの状況」に関する報告書の中心的な内容です。新しい状況報告書では、ネットワーク化の進展、IT製品に存在する多数の深刻な脆弱性、攻撃手法のさらなる発展と専門化により、デジタル化の成功がますます危険にさらされていることが明らかにされています。
Bundesinnenminister Seehofer führte aus: „Die Gefährdungslage im Cyber-Raum ist hoch. Wir müssen davon ausgehen, dass dies dauerhaft so bleibt oder sogar zunehmen wird. Wir haben die letzten Jahre deshalb genutzt, um die Cyber-Sicherheit in unserem Land massiv zu stärken. Wir haben das BSI mit über 700 neuen Stellen in dieser Legislaturperiode fast verdoppelt. Mit seiner Arbeit sorgt das BSI dafür, dass die IT-Sicherheit ein Wettbewerbsvorteil für Deutschland wird.“ ゼーホーファー内務大臣は、「サイバー空間における脅威のレベルは高い。これは、長期的には変わらないか、あるいは増加すると考えなければなりません。そこで私たちは、この数年間で、国内のサイバーセキュリティを大幅に強化しました。今回の立法期間中に700人以上の新しいポストを設け、BSIの規模をほぼ2倍にしました。BSIの活動により、ITセキュリティがドイツの競争力となることを確実にしています」と述べています。
BSI-Präsident Arne Schönbohm: „Im Bereich der Informationssicherheit haben wir – zumindest in Teilbereichen – Alarmstufe Rot. Der neue Lagebericht des BSI zeigt deutlich wie nie: Informationssicherheit ist die Voraussetzung für eine erfolgreiche und nachhaltige Digitalisierung.“ BSI社のアルネ・シェーンボーム局長は、「情報セキュリティの分野では、少なくとも一部の地域では、厳戒態勢が敷かれています。BSIの新しい状況報告書は、情報セキュリティがデジタル化を成功させ、持続させるための前提条件であることを、これまで以上に明確に示しています」と述べています。
Am Beispiel von erfolgreichen Ransomware-Angriffen wird deutlich, wie extrem sich mangelnde Informationssicherheit auswirken kann: So musste sich ein Krankenhaus für 13 Tage von der Notfallversorgung abmelden. Immer öfter sind auch ganze Lieferketten von derartigen Angriffen beeinträchtigt, mit Folgen nicht nur für die Opfer, sondern auch für deren Kunden oder für andere unbeteiligte Dritte. ランサムウェア攻撃の成功例は、情報セキュリティの欠如がどれほど極端な影響を及ぼすかを明確に示しています。例えば、ある病院では13日間、緊急用の備品をログオフしなければなりませんでした。最近では、サプライチェーン全体がこのような攻撃の影響を受けることも増えており、被害者だけでなく、その顧客や他の無関係な第三者にも影響が及びます。
Das BSI beobachtet zudem die Weiterentwicklung von kriminellen Methoden. So wird bei Ransomware-Angriffen neben der Forderung nach einem Lösegeld immer öfter auch damit gedroht, zuvor gestohlene Daten zu veröffentlichen. Mit dieser Schweigegelderpressung erhöhen Cyber-Kriminelle den Druck auf Betroffene. Auch DDoS-Angriffe haben im Berichtszeitraum deutlich zugenommen. Sie werden dazu eingesetzt, digital Schutzgeld zu erpressen. また、BSIは犯罪手法のさらなる発展を見守っています。例えば、ランサムウェアの攻撃では、身代金を要求するだけでなく、過去に盗んだデータを公開すると脅すケースが増えています。この脅迫により、サイバー犯罪者は被害を受けた人への圧力を高めます。また、DDoS攻撃も報告期間中に大幅に増加しました。デジタルで保護費を強要するために使われます。
Im Februar 2021 hat das BSI den höchsten jemals gemessenen Wert an neuen Schadprogramm-Varianten notiert. Pro Tag kamen durchschnittlich 553.000 neue Varianten hinzu. Insgesamt wurden im Berichtszeitraum 144 Millionen neue Schadprogramm-Varianten gezählt, ein Plus von 22 Prozent gegenüber dem Vorjahreszeitraum. 2021年2月、BSIは新しいマルウェアの亜種の測定値が過去最高になったことを記録しました。1日あたり平均553,000個の新しいバリアントが追加されました。報告期間中に数えられた新しいマルウェアの亜種は合計1億4,400万個で、昨年の同時期と比べて22%増加しました。
Auch die Qualität und die Verbreitung vieler gravierender Schwachstellen in IT-Produkten gibt Anlass zur Sorge. So wurde eine gravierende Schwachstelle in Microsoft-Exchange auf 98 % aller geprüften Systeme festgestellt. Das BSI hatte darauf mit einer Warnung der Stufe Rot reagiert und öffentlich und gezielt die Betroffenen zum Handeln aufgerufen. また、IT製品の多くの深刻な脆弱性の質と広がりも懸念されています。例えば、Microsoft Exchangeの深刻な脆弱性は、チェックしたすべてのシステムの98%で発見されました。BSIはこれを受けてレベルレッドの警告を発し、影響を受けた人々に対策を講じるよう公にかつ具体的に呼びかけました。
Als Konsequenz aus der Bedrohungslage fordert das BSI, der Informationssicherheit einen höheren Stellenwert beizumessen. Im Rahmen von Digitalisierungsprojekten sollte die Cyber-Sicherheit fest verankert werden sowie die gesamte Lieferkette umfassen. 脅威の状況の結果として、BSIは情報セキュリティをより重要視することを要求しています。サイバーセキュリティは、デジタル化プロジェクトの中にしっかりと組み込まれ、サプライチェーン全体を網羅する必要があります。
Weitere Informationen und Beispiele sind im „Bericht zur Lage der IT-Sicherheit in Deutschland 2021“ zusammengefasst. Der Lagebericht des BSI gibt einen Überblick über die Entwicklung der Bedrohungslage im Cyber-Raum vom 1. Juni 2020 bis zum 31. Mai 2021 und über die Aktivitäten und Gegenmaßnahmen des BSI. さらに詳しい情報や事例は「ドイツにおけるITセキュリティの現状に関する報告書2021」にまとめられています。BSIの状況報告書では、2020年6月1日から2021年5月31日までのサイバー空間における脅威状況の進展と、BSIの活動と対策の概要を紹介しています。

 

・[PDF] Die Lage der IT-Sicherheit in Deutschland 2021

20211024-201847

 

Vorworte 序文
Vorwort Horst Seehofer, Bundesminister des Innern, für Bau und Heimat ホルスト・ゼーホーファー 連邦内務省建設・内務担当大臣
Vorwort Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik アルネ・シェーンボーム 連邦情報セキュリティ局長官
1 Gefährdungen der Cyber-Sicherheit in Deutschland 1 ドイツにおけるサイバー・セキュリティへの脅威
1.1 Zusammenfassung und Bewertung 1.1 まとめと評価
1.2 Schadprogramme  1.2 マルウェア
1.2.1 Neue Schadprogramm-Varianten  1.2.1 新しいマルウェアの亜種
1.2.2 Big Game Hunting mit Ransomware  1.2.2 ランサムウェアでビッグゲームハンティング
1.2.3 Spam und Malware-Spam  1.2.3 スパムとマルウェアのスパム
1.2.4 Botnetze  1.2.4 ボットネット
1.3 Diebstahl und Missbrauch von Identitätsdaten  1.3 IDデータの盗用と誤用
1.3.1 Phishing und weitere Betrugsformen  1.3.1 フィッシングやその他の不正行為について
1.3.2 Schadprogramme und Daten-Leaks  1.3.2 マルウェアとデータの漏洩
1.3.3 Cyber-Angriffe auf Videokonferenzen  1.3.3 テレビ会議へのサイバー攻撃
1.4 Schwachstellen  1.4 脆弱性
1.5 Advanced Persistent Threats  1.5 高度で執拗な脅威 (APT)
1.6 Distributed Denial of Service (DDoS)  1.6 Distributed Denial of Service (DDoS)
1.7 Angriffe im Kontext Kryptografie  1.7 暗号技術を利用した攻撃
1.8 Hybride Bedrohungen  1.8 ハイブリッドな脅威
1.9 Gefährdungen der Cyber-Sicherheit durch die COVID-19-Pandemie  1.9 COVID 19パンデミックによるサイバーセキュリティの脅威
2 Zielgruppenspezifische Erkenntnisse und Maßnahmen  2 ターゲットグループ固有の知見と対策
2.1 Gesellschaft  2.1 社会
2.1.1 Erkenntnisse zur Gefährdungslage in der Gesellschaft  2.1.1 社会における脆弱性の状況に関する調査結果
2.1.2 Digitaler Verbraucherschutz  2.1.2 デジタル消費者保護
2.1.3 Das IT-Sicherheitskennzeichen  2.1.3 ITセキュリティラベル
2.1.4 Information und Sensibilisierung von Verbraucherinnen und Verbrauchern  2.1.4 消費者への情報提供と意識向上
2.1.5 Sicherheit im Internet der Dinge, Smart Home und Smart Cities  2.1.5 IoT、スマートホーム、スマートシティにおけるセキュリティ
2.1.6 Sicherheit von Medizinprodukten  2.1.6 医療機器の安全性
2.1.7 Corona-Warn-App  2.1.7 コロナ警告アプリ
2.1.8 eHealth und Telematik-Infrastruktur  2.1.8 eヘルスとテレマティクスのインフラ
2.1.9 Sichere Gestaltung virtueller Versammlungen und Abstimmungen  2.1.9 バーチャル会議や投票の安全な設計
2.1.10 Sicherheit von Bezahlverfahren  2.1.10 支払い手続きのセキュリティ
2.1.11 Zwei-Faktor-Authentisierung  2.1.11 ニ要素認証
2.1.12 Bewertung von elektronischen Identifizierungsverfahren  2.1.12 電子的な識別手順の評価
2.1.13 Sichere elektronische Identitäten auf dem Smartphone  2.1.13 スマートフォンでの電子的なアイデンティティの確保
2.1.14 Biometrie im Zeitalter der Künstlichen Intelligenz  2.1.14 人工知能時代のバイオメトリクス
2.2 Wirtschaft  2.2 経済
2.2.1 Gefährdungslage Kritischer Infrastrukturen  2.2.1 重要インフラの脅威の状況
2.2.2 UP KRITIS  2.2.2 UP CRITIS
2.2.3 Digitalisierung der Energiewirtschaft: Rollout intelligenter Messsysteme  2.2.3 エネルギー産業のデジタル化:スマートメータリングシステムの展開
2.2.4 Moderne Telekommunikationsinfrastrukturen (5G)  2.2.4 最新の通信インフラ(5G)について
2.2.5 Cyber-Sicherheit im Automobilbereich  2.2.5 自動車分野におけるサイバーセキュリティ
2.2.6 Cyber-Sicherheit im Luftverkehr  2.2.6 航空輸送におけるサイバーセキュリティ
2.2.7 Cyber-Sicherheit in der industriellen Versorgungskette  2.2.7 産業界のサプライチェーンにおけるサイバー・セキュリティ
2.2.8 Besondere Situation der KMU in Deutschland  2.2.8 ドイツにおける中小企業の特殊事情
2.2.9 Technische Sicherheitseinrichtung für elektronische Aufzeichnungssysteme  2.2.9 電子記録システムのための技術的なセキュリティ装置
2.2.10 IT-Sicherheitszertifizierung als Instrument für eine nachweislich sichere Digitalisierung  2.2.10 ITセキュリティ認証を実証的に安全なデジタル化のための手段
2.2.11 IT-Grundschutz: Lösungen für Informationssicherheit  2.2.11 ITの基本的な保護:情報セキュリティのためのソリューション
2.2.12 IT-Sicherheit im Homeoffice  2.2.12 ホームオフィスにおけるITセキュリティ
2.2.13 Allianz für Cyber-Sicherheit  2.2.13 アライアンス・フォー・サイバー・セキュリティ
2.2.14 Sonstige Lösungen / Angebote für die Wirtschaft  2.2.14 経済に関するその他のソリューション/オファー
2.3 Staat und Verwaltung  2.3 国家と行政
2.3.1 Die Gefährdungslage der Bundesverwaltung  2.3.1 連邦行政機関における脅威の状況
2.3.2 Nationales Cyber-Abwehrzentrum  2.3.2 国立サイバー防衛センター
2.3.3 Computer Emergency Response Team für Bundesbehörden  2.3.3 連邦政府当局のコンピュータ緊急対応チーム
2.3.4 IT-Konsolidierung Bund: Neuer Informationssicherheitsbeauftragter  2.3.4 ITコンソリデーション・コンフェデレーション:新しい情報セキュリティ担当者
2.3.5 Nationales Verbindungswesen  2.3.5 ナショナル・リエゾン
2.3.6 Realisierung Umsetzungsplan Bund (UP Bund)  2.3.6 連邦実施計画(UP Bund)の実現に向けて
2.3.7 Cyber-Sicherheit von Bundestags- und Landtagswahlen  2.3.7 連邦・州議会選挙のサイバーセキュリティ
2.3.8 Informationssicherheitsberatung  2.3.8 情報セキュリティコンサルティング
2.3.9 Smart Borders und hoheitliches Identitätsmanagement  2.3.9 スマートボーダーズと主権者のアイデンティティ管理
2.3.10 Technologie-Verifikations-Programm  2.3.10 技術検証プログラム
2.3.11 App-Testing für mobile Lösungen  2.3.11 モバイルソリューションのアプリテスト
2.3.12 Lauschabwehr  2.3.12 盗聴の防御策
2.3.13 Verschlusssachen-Zulassung und Herstellerqualifizierung  2.3.13クラス認定とメーカー認定
2.3.14 Messenger-Dienste für sichere VS-Kommunikation  2.3.14 安全なVS通信のためのメッセンジャーサービス
2.3.15 Umsetzung des Onlinezugangsgesetzes  2.3.15 Online Access Actの実施について
2.4 Internationale und europäische Zusammenarbeit  2.4 国際・欧州協力
2.4.1 Engagement des BSI im EU-Rahmen  2.4.1 EUフレームワークにおけるBSIの関与
2.4.2 Multilaterales und bilaterales Engagement des BSI  2.4.2 BSI の多国間および二国間の関与
2.4.3 Nationales Koordinierungszentrum für europäische Forschungsvorhaben  2.4.3 欧州研究プロジェクトのためのナショナル・コーディネーション・センター
2.4.4 eID: Europaweite Anerkennung der Online-Ausweisfunktion  2.4.4 e ID:オンラインID機能の欧州全域での認知
2.4.5 Krypto-Modernisierung für Satellitensysteme  2.4.5衛星システムのための暗号の近代化
2.5 Aktuelle Trends und Entwicklungen in der IT-Sicherheit  2.5 ITセキュリティの最新動向と開発
2.5.1 Künstliche Intelligenz  2.5.1 人工知能
2.5.2 Kryptografie  2.5.2 暗号
2.5.3 Quantum Key Distribution  2.5.3 量子鍵の配布
2.5.4 Blockchain-Technologie  2.5.4 ブロックチェーン技術
3 Fazit  3 結論
4 Glossar  4 用語集
5 Quellenverzeichnis  5 ソースのリスト

 

・[DOCX] 仮抄訳

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.09.08 独国 BSI 自動車業界におけるサイバーセキュリティ

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

・2021.07.06 独国 コンラート・アデナウアー財団 平時における日本、オランダ、米国のサイバー防衛態勢の比較

・2021.07.05 独国 BSI 技術ガイドライン TR-03166 - 認証用機器におけるバイオメトリクス認証コンポーネントに関する技術ガイドラインについての意見募集

・2021.05.31 独国 ITセキュリティ法 2.0施行

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。

・2021.01.20 ドイツの情報セキュリティ標準 BSI standard 200-4 Business Continuity Management ドラフトの意見募集

・2020.12.29 ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

・2020.08.25 ドイツ連邦内務省に革新的なサイバーセキュリティ技術の開発を促進する「サイバーセキュリティ革新機構」ができてました。。。

・2020.06.27 ドイツとイタリアのCOVID-19接触通知アプリのPIA

・2020.06.19 ドイツ:BfDI発行2019年次報告書

・2020.06.17 ドイツはCOVID-19 contact tracing applicationである「Corona-Warn-App」をリリースしたようですね。。。

・2020.04.17 ドイツ連邦政府 「COVID19の流行を抑制するための公衆衛生上の制限」についての決定 at 2020.04.15
かなり前(^^)
・2005.08.24 ドイツのITベースライン保護

| | Comments (0)

欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認

こんにちは、丸山満彦です。

欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認していますね。。。

 

Council of the EU

・2021.10.19 (press) Cybersecurity: Council adopts conclusions on exploring the potential of a joint cyber unit

 

Cybersecurity: Council adopts conclusions on exploring the potential of a joint cyber unit サイバーセキュリティ。理事会、共同サイバー部隊の可能性を探るための結論を採択
The Council today adopted conclusions inviting the EU and member states to further develop the EU cybersecurity crisis management framework, including by exploring the potential of a joint cyber unit. 欧州連合(EU)理事会は本日、EUと加盟国に対し、共同サイバー部隊の可能性を探ることを含め、EUのサイバーセキュリティ危機管理フレームワークをさらに発展させるよう求める結論を採択した。
In its conclusions, the Council emphasises the need to consolidate existing networks and to establish a mapping of possible information sharing gaps and needs within and across cyber communities. This should subsequently lead to an agreement on possible primary objectives and priorities of a potential joint cyber unit. It is an incremental, transparent and inclusive process which is essential to enhance trust. The Council has an instrumental role in the policy-making and coordination function regarding the further development of the EU cybersecurity crisis management framework and will monitor the progress and provide guidance for complementing this framework. 結論の中で、EU理事会は、既存のネットワークを統合し、サイバー・コミュニティの内部および外部で起こりうる情報共有のギャップとニーズのマッピングを確立する必要性を強調している。これにより、潜在的な共同サイバーユニットの主要な目的と優先事項についての合意が得られるはずである。これは、信頼性を高めるために不可欠な、段階的で透明性のある包括的なプロセスである。理事会は、EUのサイバーセキュリティ危機管理フレームワークのさらなる発展に関する政策立案および調整機能において重要な役割を担っており、進捗状況を監視し、このフレームワークを補完するためのガイダンスを提供する。
The Council also stresses the need to establish adequate working methods and governance to allow for the participation of all member states in the deliberations, development and effective decision-making processes. A potential joint cyber unit would need to respect the competences, mandates and legal powers of its possible future participants and any participation by member states would be of a voluntary nature. また、理事会は、審議、開発、効果的な意思決定プロセスにすべての加盟国が参加できるよう、適切な作業方法とガバナンスを確立する必要性を強調している。潜在的な共同サイバーユニットは、将来参加する可能性のある国々の能力、権限、法的権限を尊重する必要があり、加盟国の参加は任意である。
The Council calls for further reflection on individual elements of the recommendation on the joint cyber unit, including regarding the ideas of EU cybersecurity rapid reaction teams and an EU cybersecurity incident and crisis response plan. 理事会は、EUサイバーセキュリティ迅速反応チームやEUサイバーセキュリティ事件・危機対応計画のアイデアを含め、共同サイバーユニットに関する勧告の個々の要素についてさらに検討することを求める。
Background 背景
On 23 June, the European Commission presented a recommendation on building a joint cyber unit to tackle the rising number of serious cyber incidents impacting public services, businesses and citizens across the EU. Under this recommendation, the joint cyber unit would act as a platform bringing together resources and expertise from the different cyber communities in the EU and its member states to effectively prevent, deter and respond to mass cyber incidents. 6月23日、欧州委員会は、EU全域の公共サービス、企業、市民に影響を与える深刻なサイバー事件の増加に対処するため、共同サイバー部隊の構築に関する勧告を提示した。この勧告では、共同サイバーユニットは、大規模なサイバー事件を効果的に防止、抑止、対応するために、EUとその加盟国のさまざまなサイバーコミュニティからリソースと専門知識を集めたプラットフォームとして機能することになる。

 

承認された内容はこちら。。。

・[PDF] Council conclusions on exploring the potential of the Joint Cyber Unit initiative

20211024-104530

仮対訳

 

サイバー関係の情報...

Cybersecurity: how the EU tackles cyber threats (background information

 

Continue reading "欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認"

| | Comments (0)

2021.10.24

豪州 ビクトリア州  人工知能とプライバシーに関する報告書(2つ)

こんにちは、丸山満彦です。

オーストラリア ビクトリア州が2021.04に人工知能 - プライバシーに関する報告書を2つ発行していました...

ここでは、人工知能=機械学習です。学習データの個人情報についての取り扱いについてとか、参考になるかもですね。。。

 

Office of the Victorian Information Commissioner: OVIC

・2021.04.13 ARTIFICIAL INTELLIGENCE AND PRIVACY – ISSUES AND CHALLENGES

 ・[DOCX] 原文

20211024-31422

 ・[DOCX] 仮訳

 

ARTIFICIAL INTELLIGENCE AND PRIVACY – ISSUES AND CHALLENGES 人工知能とプライバシー - 論点と挑戦
INTRODUCTION 序文 
This resource serves as an introduction to a wider conversation regarding information privacy and AI. It is written for a non-technical audience and does not endeavour to solve questions posed, nor provide legal guidance. It should be noted that there are many other ethical, technical and legal issues associated with AI that are beyond the scope of this document.  この資料は、情報のプライバシーとAIに関するより広い会話への導入として提供されています。本資料は、技術者ではない読者を対象に作成されており、提起された疑問を解決しようとするものでも、法的な指針を提供するものでもありません。AIに関連する倫理的、技術的、法的な問題は、本資料の範囲を超えて多数存在することに留意する必要があります。 
The purpose of this resource is to: この資料の目的は
・provide a high-level understanding of AI and its uses in the public sector; and  ・公共部門におけるAIとその利用についての高度な理解を提供します。 
・highlight some of the challenges and opportunities that AI presents in relation to information privacy.  ・情報プライバシーに関連してAIがもたらすいくつかの課題と機会を紹介します。 
Artificial Intelligence (AI) at its most simple, is a sub-field of computer science with the goal of creating programs that can perform tasks generally performed by humans. These tasks can be considered intelligent, and include visual and audio perception, learning and adapting, reasoning, pattern recognition and decision-making. ‘AI’ is used as an umbrella term to describe a collection of related techniques and technologies including machine learning, predictive analytics, natural language processing and robotics. 人工知能(AI)とは、コンピュータサイエンスの一分野であり、一般的に人間が行うタスクを実行できるプログラムを作成することを目的としています。これらのタスクは知的と見なされ、視覚や聴覚の知覚、学習と適応、推論、パターン認識、意思決定などが含まれます。AIは、機械学習、予測分析、自然言語処理、ロボット工学など、関連する技術やテクノロジーの集合体を表す包括的な用語として利用されています。
While the philosophy of Artificial Intelligence has been argued since at least Leibnitz in the early 18th Century, the concept of AI as we use it has existed since the early 1940s and made famous with the development of the “Turing test” in 1950. More recently, we are experiencing a period of rapid development in the field of AI as a result of three factors: improved algorithms, increased networked computing power, and increased ability to capture and store an unprecedented amount of data.[i] As well as technological advancements, the very way of thinking about intelligent machines has shifted significantly since the 1960s, which has enabled many of the developments we are seeing today.  人工知能の哲学は、少なくとも18世紀初頭のライプニッツから論じられてきましたが、私たちが利用しているAIの概念は1940年代初頭から存在し、1950年に「チューリングテスト」が開発されたことで有名になりました。最近では、アルゴリズムの改良、ネットワーク化されたコンピューティング能力の向上、前例のない量のデータを取得・保存する能力の向上という3つの要因により、AIの分野で急速な発展を遂げています。[i]技術的な進歩だけでなく、知的機械に対する考え方も1960年代から大きく変化しており、それが今日のような発展を可能にしています。 
Real-life applications of AI technologies are already established in our everyday lives, although many people are not conscious of this. One of the characteristics of AI is that once the technology works, it stops being referred to as AI and transforms into mainstream computing.[ii] For example, being greeted by an automated voice on the other end of the phone, or being suggested a movie based on your preferences, are examples of mainstream AI technology. Now that these systems are an established element in our lives, the fact that AI techniques – including speech recognition, natural language processing and predictive analytics – are at work is often forgotten.   AI技術の現実の応用は、多くの人が意識していないにもかかわらず、すでに私たちの日常生活の中に定着しています。AIの特徴の一つは、一度動作した技術はAIと呼ばれなくなり、メインストリームのコンピューティングに変化することです。[ii]例えば、電話の向こうで自動音声が挨拶してくれる、好みに合わせて映画を勧めてくれるなどは、主流のAI技術の一例です。これらのシステムが私たちの生活に定着している今、音声認識、自然言語処理、予測分析などのAI技術が働いているという事実は忘れられがちです。  
The ways that AI can enrich our lives are immense. Increased efficiency and lower costs, huge improvements in healthcare and research, increased safety of vehicles, and general convenience, are just some of the promises of AI. But, as with any new technology, the opportunities of AI come with an array of challenges for society and the law.[iii]  AIが私たちの生活を豊かにする方法は計り知れません。効率性の向上やコストの削減、医療や研究の大幅な改善、自動車の安全性の向上、一般的な利便性の向上などは、AIが約束してくれることのほんの一部です。しかし、他の新しい技術と同様に、AIの機会には、社会や法律にとっての様々な課題が伴います。 [iii]
[i] Alex Campolo, Madelyn Sanfilippo, Meredith Whittaker & Kate Crawford, ‘AI Now 2017 Report’, AI Now, 2017, available at: web, p 3. [i] Alex Campolo, Madelyn Sanfilippo, Meredith Whittaker & Kate Crawford, 'AI Now 2017 Report', AI Now, 2017, available at: web, p 3.
[ii] Toby Walsh, It's Alive! Artificial Intelligence from the logic piano to killer robots, Latrobe University Press, 2017, p 60. [ii] トビー・ウォルシュ『It's Alive!Artificial Intelligence from the logic piano to killer robots, Latrobe University Press, 2017, p 60.
[iii] For example, Samuel Warren and Louis Brandeis wrote on the impact of the portable camera on the right to be let alone in the 19th century. See Samuel D. Warren and Louis D. Brandeis, ‘The Right to Privacy’, Harvard Law Review, Vol. IV, No. 6, 15 December 1890. [iii]例えば、Samuel WarrenとLouis Brandeisは、19世紀に携帯カメラが独りにされる権利に与える影響について書いています。Samuel D. Warren and Louis D. Brandeis, 'The Right to Privacy', Harvard Law Review, Vol.IV, No.6, 15 December 1890を参照。

 


・2021.04.17 ARTIFICIAL INTELLIGENCE – UNDERSTANDING PRIVACY OBLIGATIONS

 ・[DOCX] 原文

20211024-31514

 ・[DOCX] 仮訳

 

ARTIFICIAL INTELLIGENCE – UNDERSTANDING PRIVACY OBLIGATIONS 人工知能 - プライバシーに関する義務の理解
INTRODUCTION 序文 
Many artificial intelligence (AI) technologies rely on enormous amounts of data – which may include personal information – in order to train and test algorithms. When Victorian public sector (VPS) organisations collect personal information to train an AI model, feed personal information into an AI system, or use AI to infer information about individuals, the Information Privacy Principles (IPPs) of the Privacy and Data Protection Act 2014 (PDP Act) apply.  多くの人工知能(AI)技術は、アルゴリズムのトレーニングやテストのために、個人情報を含む膨大な量のデータに依存しています。ビクトリア州の公共部門(VPS)の組織が、AIモデルを訓練するために個人情報を収集したり、個人情報をAIシステムに供給したり、AIを利用して個人に関する情報を推論したりする場合、2014年プライバシー・データ保護法(PDP法)の情報プライバシー原則(IPP)が適用されます。 
The purpose of this guidance is to assist VPS organisations to consider their privacy obligations when using or considering the use of personal information in AI systems or applications. It will cover the collection, use, handling and governance of personal information within this context. Organisations should also conduct a privacy impact assessment (PIA) when designing or implementing AI systems, to help identify potential privacy risks associated with the collection and use of personal information in the AI system. PIAs are discussed later in this guidance. このガイダンスの目的は、VPS組織がAIシステムやアプリケーションで個人情報を利用する、または利用を検討する際に、プライバシーに関する義務を考慮することを支援することです。このガイダンスは、この文脈における個人情報の収集、利用、取扱、およびガバナンスをカバーします。また、組織は、AIシステムを設計または実装する際に、プライバシー影響評価(PIA)を実施し、AIシステムにおける個人情報の収集および利用に関連する潜在的なプライバシーリスクの特定に役立てる必要があります。PIAについては、本ガイダンスで後述します。
What is AI? Artificial intelligence, or ‘AI’, is a way for computers to perform tasks that require abstraction and which would ordinarily be performed by humans. AI is used as an umbrella term to describe a collection of different techniques and technologies, including machine learning, speech recognition, natural language processing, robotics, and predictive analytics. AI is present in many of the day-to-day interactions in our personal lives – for example, when we give voice commands on our mobile phones, or the movie recommendations on streaming services. AIとは?人工知能(AI)とは、抽象化が必要で、通常は人間が行う作業をコンピュータが行う方法のことです。AIは、機械学習、音声認識、自然言語処理、ロボット工学、予測分析など、さまざまな技術の集合体を表す包括的な用語として利用されています。AIは、私たちの日常生活の中で、例えば、携帯電話での音声コマンドや、ストリーミングサービスでのお勧めの映画など、多くの場面で利用されています。
The use of AI applications and systems is also growing in the public sector, enabled by the generation, availability and variety of sources of data accessible to government. Organisations are increasingly turning to AI to help carry out their functions, automate decision making processes, inform policy, and deliver services to the public. Common applications of AI include identifying objects, making predictions, translating language and processing very large amounts of information. For example, an increasingly common use of AI in the public sector is the use of chat bots to provide customer service and advice to individuals on a website. AIアプリケーションやシステムの利用は、政府がアクセス可能なデータの生成、利用可能性、および多様なソースによって可能となり、公共部門でも拡大しています。組織は、機能の遂行、意思決定プロセスの自動化、政策への情報提供、一般市民へのサービス提供のために、ますますAIを利用するようになっています。AIの一般的なアプリケーションには、対象物の識別、予測、言語の翻訳、非常に大量の情報の処理などがあります。例えば、公共部門でますます一般的になっているAIの利用法は、チャットボットを使ってウェブサイト上で個人に顧客サービスやアドバイスを提供することです。
While the use of an AI system to process personal information can deliver significant benefits, VPS organisations should consider whether the deployment of such a system is necessary to address an identified problem, and whether it is the best solution to that problem – AI systems should not necessarily be deployed simply because they are available. 個人情報の処理にAIシステムを利用することで大きなメリットが得られる可能性がありますが、VPS組織は、特定された問題に対処するためにそのようなシステムの導入が必要であるかどうか、またその問題に対する最善の解決策であるかどうかを検討する必要があります - AIシステムは、単に利用可能であるという理由で必ずしも導入すべきではありません。
This is particularly important given the potential risks associated with the use of an AI system, including the risk of discrimination, bias and inequality. The use of AI to inform decision making, for example, can have long lasting and significant impacts on individuals’ lives and human rights, such as where AI is used to help assess the risk of a person recommitting an offence, or to assist in determining eligibility for welfare services or payments.  これは、差別、偏見、不平等など、AIシステムの利用に伴う潜在的なリスクを考えると、特に重要です。例えば、AIを利用して意思決定を行うことは、個人の生活や人権に長期的かつ重大な影響を与える可能性があります。例えば、AIを利用して犯罪を再犯するリスクを評価したり、福祉サービスや支払いの適格性を判断したりする場合などが挙げられます。 
Ensuring that individuals’ privacy rights are upheld in the context of an AI system is therefore crucial, in order to mitigate some of the potential risks that may arise.[i] VPS organisations using AI systems or applications are also obliged to consider and act compatibly with the Charter of Human Rights and Responsibilities Act 2006 (Vic), which includes the right to privacy. したがって、起こりうるリスクを軽減するためには、AIシステムにおいて個人のプライバシー権が確実に守られることが重要です。[i]また、AIシステムやアプリケーションを利用するVPS組織は、プライバシー権を含む2006年人権責任憲章(Vic)を考慮し、それに適合するように行動する義務があります。
[i] For more information about the potential for discrimination, bias and inequality in AI, see OVIC’s Closer to the Machine: Technical, social and legal aspects of AI, available at web.
[i] AIにおける差別、偏見、不平等の可能性については、OVICのCloser to the Machineを参照してください。Technical, social and legal aspects of AI, available at web

 


 

State Government of Victoria - Victorian Legislation

Privacy and Data Protection Act 2014

 

 

| | Comments (0)

2021.10.23

内閣官房 NISC 第14回「日・ASEANサイバーセキュリティ政策会議」の結果

こんにちは、丸山満彦です。

内閣官房 NISCが第14回「日・ASEANサイバーセキュリティ政策会議」の結果を発表していますね。。。

NISC

・20201.10.22 [PDF] 第14回「日・ASEANサイバーセキュリティ政策会議」の結果(報道発表資料)


令和3年 10 月 21 日(木)、「日・ASEAN サイバーセキュリティ政策会議」(以下「政策会議」という。)がオンラインで開催されました。

政策会議は、サイバーセキュリティ分野における我が国と ASEAN 諸国(※1)との国際的な連携・取組を強化することを目的として、平成 21(2009)年以降、およそ一年に一度開催されているものです。

第 14 回の開催となる今年の政策会議では、この一年間の各国のサイバーセキュリティ政策について意見交換を行ったほか、共同サイバー演習、重要インフラ防護に関する事例の共有、共同意識啓発、能力構築及び産学官連携などの協力活動の確認・評価を行いました。

本政策会議において、日・ASEAN の各種の協力活動の進展が確認されたとともに、今後も継続的に協力活動を行うことについて合意しました。

※1 ブルネイ、カンボジア、インドネシア、ラオス、マレーシア、ミャンマー、フィリピン、シンガポール、タイ、ベトナムの10か国


 

(1)情報共有体制及びサイバーインシデント発生時の対処体制の強化

(2)重要インフラ防護に関する取り組みの推進

(3)能力構築及び意識啓発における協力の推進

(4)産官学連携の推進

が議論されたようですね。。。

篠田先生が基調講演しているようですね。。。

 

Nisc_20211018004601

 

 

| | Comments (0)

米国 意見募集 連邦商務省 民間人の監視など悪質なサイバー活動に使用される品目の輸出規制を強化

こんにちは、丸山満彦です。

米国 連邦商務省は、ワッセナーアレンジメントに沿った民間人の監視など悪質なサイバー活動に使用される品目の輸出規制を強化する暫定最終規則を公表していますね。。。

U.S. Department of Commerce

・2021.10.21 Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities

ライセンス例外認定サイバーセキュリティ輸出(License Exception Authorized Cybersecurity Exports:ACE)が新たに創設されるようですね。。。

 

Commerce Tightens Export Controls on Items Used in Surveillance of Private Citizens and other Malicious Cyber Activities 商務省、民間人の監視やその他の悪意あるサイバー活動に使用される品目の輸出規制を強化
The Commerce Department’s Bureau of Industry and Security (BIS) has released an interim final rule, establishing controls on the export, reexport, or transfer (in-country) of certain items that can be used for malicious cyber activities.  The rule also creates a new License Exception Authorized Cybersecurity Exports (ACE) and requests public comments on the projected impact of the proposed controls on U.S. industry and the cybersecurity community.  商務省産業安全保障局(BIS)は、暫定最終規則を発表し、悪意のあるサイバー活動に使用される可能性のある特定の品目の輸出、再輸出、または(国内での)転送に対する規制を確立しました。 本規則では、新たに「ライセンス例外認定サイバーセキュリティ輸出(ACE)」を創設し、提案されている規制が米国の産業およびサイバーセキュリティコミュニティに与える影響を予測してパブリックコメントを求めています。
License Exception ACE would allow the export, reexport and transfer (in-country) of ‘cybersecurity items’ to most destinations, while retaining a license requirement for exports to countries of national security or weapons of mass destruction concern.  In addition, countries subject to a U.S. arms embargo will require a license. ライセンス例外ACEは、国家安全保障上または大量破壊兵器上の懸念がある国への輸出についてはライセンス要件を維持しつつ、ほとんどの目的地への「サイバーセキュリティ品目」の輸出、再輸出、および(国内での)移転を可能にします。 また、米国の武器禁輸措置を受けている国にはライセンスが必要となります。
While allowing certain exclusions, restricted end users targeted by this interim final rule would include a ‘government end user,’ as defined in § 740.22 of the EAR, of countries of concern for national security reasons or those subject to an arms embargo. Furthermore, the License Exception ACE would impose an end-use restriction in circumstances where the exporter, re-exporter, or transferor knows or has reason to know at the time of export, reexport, or transfer (in-country), including a deemed export or reexport, that the ‘cybersecurity item’ will be used to affect the confidentiality, integrity or availability of information or information systems, without authorization by the owner, operator or administrator of the information system (including the information and processes within such systems). この暫定最終規則の対象となる制限付きエンドユーザーには、国家安全保障上の懸念国または武器禁輸対象国のEAR第740.22条に定義されている「政府のエンドユーザー」が含まれています。さらに、ライセンス例外ACEは、輸出者、再輸出者、譲渡者が、みなし輸出・再輸出を含む輸出・再輸出・譲渡(国内)の時点で、情報システム(当該システム内の情報やプロセスを含む)の所有者、運営者、管理者の許可なく、情報や情報システムの機密性、完全性、可用性に影響を与えるために「サイバーセキュリティ・アイテム」が使用されることを知っているか、知る理由がある場合には、最終用途の制限を課すことになります。
The United States Government opposes the misuse of technology to abuse human rights or conduct other malicious cyber activities, and these new rules will help ensure that U.S. companies are not fueling authoritarian practices. U.S. exporters are likewise encouraged to consult the State Department’s Guidance on Implementing the “Guiding Principles” for Transactions Linked to Foreign Government End Users for Products or Services with Surveillance Capabilities to minimize the risk that their products or services are misused by governments to violate or abuse human rights. 米国政府は、技術を悪用して人権を侵害したり、その他の悪意のあるサイバー活動を行うことに反対しており、今回の新規則は、米国企業が権威主義的な行為を助長しないようにするために役立ちます。また、米国の輸出業者は、自社の製品やサービスが政府によって人権侵害や虐待に悪用されるリスクを最小限に抑えるために、監視機能を有する製品・サービスの外国政府のエンドユーザーとの連携取引に関する「指導原則」の実施に関するガイダンスを参考にすることが推奨されます。
Today’s rule is consistent with the result of BIS’s negotiations in the Wassenaar Arrangement (WA) multilateral export control regime and with a review of comments from Congress, the private sector, academia, civil society, and other stakeholders on previously proposed BIS rulemaking in this area. Comments to the rule must be received in no later than 45 days from today, and the rule will become effective 90 days from today. 本日の規則は、ワッセナー・アレンジメント(WA)多国間輸出管理体制におけるBISの交渉結果と一致しており、また、この分野で以前提案されたBISの規則制定に対する米国議会、民間企業、学界、市民社会、その他の利害関係者からのコメントを検討したものである。本規則に対するコメントは、本日から45日以内に提出する必要があり、本規則は本日から90日後に発効します。
U.S. Secretary of Commerce Gina M. Raimondo released the following statement: “The United States is committed to working with our multilateral partners to deter the spread of certain technologies that can be used for malicious activities that threaten cybersecurity and human rights. The Commerce Department’s interim final rule imposing export controls on certain cybersecurity items is an appropriately tailored approach that protects America’s national security against malicious cyber actors while ensuring legitimate cybersecurity activities.” 米国商務省のジーナ・M・ライモンド長官は以下の声明を発表しました。「米国は、多国間パートナーと協力して、サイバーセキュリティと人権を脅かす悪意のある活動に利用される可能性のある特定の技術の拡散を抑止することに尽力しています。特定のサイバーセキュリティ品目に輸出規制を課す商務省の暫定最終規則は、正当なサイバーセキュリティ活動を確保しつつ、悪意あるサイバーアクターから米国の国家安全保障を守る、適切に調整されたアプローチである」と述べています。
For more information, visit www.bis.doc.gov. 詳細については、www.bis.doc.gov

 

● Federal Register

・2021.10.21 Information Security Controls: Cybersecurity Items



報道等

FENWICK

・2021.10.21 Being a White-Hat Hacker Just Got Tougher: U.S Commerce Department Issues New Cybersecurity Export Controls on Intrusion and Surveillance Tools

ZDNet

・2021.10.22 US rolls out new rules governing export of hacking and cyberdefense tools

According to the Washington Post, the new rules are meant to target companies selling to Russia and China.

● LEXOLOGY

・2021.10.21 Cybersecurity Community Beware: US Finally Enacts “Intrusion Software” Rule

BleepingComputer

・2021.10.20 US govt to ban export of hacking tools to authoritarian regimes

(台湾)

IThome

・2021.10.21 美國商務部祭出新規,不准將駭客工具出口至特定國家

美國商務部公布《授權網路安全出口》(ACE)許可例外,要求當地企業出口網路安全項目至中國、俄羅斯、伊朗、北韓等特定國家時,必須先行申報取得許可,這項許可例外預計明年開始實施

 

 

 

 

 

Fig1_20210910064001

| | Comments (0)

2021.10.22

MITRE ATT&CKのVer 10.0がリリースされましたね。。。

こんにちは、丸山満彦です。

MITRE ATT&CKのVer 10.0がリリースされましたね。。。

主な変更点はブログを見ればわかりやすいと思います。。。と思いましたが、ちょっと分かりづらいです...(^^;;

MITRE ATT&CK

ATT&CK V10

・2021.10.22 Introducing ATT&CK v10: More Objects, Parity, and Features

 

Twitter (MITRE ATT&CK) でも告知されています...

2021.10.22 

 

 

V9.0への更新は2021.04.29だったので、半年後のバージョンアップですね。。。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.20 MITRE AIの5つの失敗例とそこから学ぶべきこと

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.06.24 米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

・2021.04.30 MITRE ATT&CKのVer 9.0がリリースされましたね。。。

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

| | Comments (0)

CISA Alert (AA21-291A) BlackMatter Ransomware 食料、農業分野を狙っている?

こんにちは、丸山満彦です。

CISAが米国の食料、農業分野が、BlackMatterランサムウェアの標的になっているとの勧告をだしていますね。。。

BlackMatterについては、

Technical Details 技術的な詳細
Overview 概要
First seen in July 2021, BlackMatter is ransomware-as-a-service (Raas) tool that allows  the ransomware's developers to profit from cybercriminal affiliates (i.e., BlackMatter actors) who deploy it against victims. BlackMatter is a possible rebrand of DarkSide, a RaaS which was active from September 2020 through May 2021. BlackMatter actors have attacked numerous U.S.-based organizations and have demanded ransom payments ranging from $80,000 to $15,000,000 in Bitcoin and Monero. 2021年7月に初めて登場したBlackMatterは、ランサムウェアの開発者が、被害者に対してランサムウェアを展開するサイバー犯罪者の関連会社(BlackMatterアクター)から利益を得ることができるRaaS(ランサムウェア・アズ・ア・サービス)ツールです。BlackMatterは、2020年9月から2021年5月まで活動していたRaaSである「DarkSide」のリブランドの可能性があります。BlackMatterアクターは、米国を拠点とする数多くの組織を攻撃し、ビットコインやモネロで8万ドルから1,500万ドルの身代金の支払いを要求しています。

ということで、金銭目的の犯罪者が利用している監事なんでしょうかね。。。

ランサムウェアというツールは、金銭目的の犯罪者が脅迫ツールとして使う場合もあれば、社会混乱目的でシステムの破壊ツールとして使う場合もあるでしょうね。。。

Logo_verbose

CISA - Alert

・2021.10.18 Alert (AA21-291A) BlackMatter Ransomware

 

Summary 概要
Actions You Can Take Now to Protect Against BlackMatter Ransomware BlackMatterランサムウェアからの保護のために今すぐできる行動
• Implement and enforce backup and restoration policies and procedures. ・バックアップ・復元のポリシーと手順の導入と実施
• Use strong, unique passwords. ・強力で固有のパスワードの使用
• Use multi-factor authentication. ・多要素認証の使用
• Implement network segmentation and traversal monitoring. ・ネットワークのセグメンテーションとトラバーサルモニタリング(セグメントを超えた活動の監視)の実施
Note: this advisory uses the MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9. See the ATT&CK for Enterprise for all referenced threat actor tactics and techniques. 注:本アドバイザリは、MITRE Adversarial Tactics, Techniques, and Common Knowledge (ATT&CK®) framework, version 9を使用しています。参照されているすべての脅威行為者の戦術と技術については、ATT&CK for Enterpriseを参照してください。
This joint Cybersecurity Advisory was developed by the Cybersecurity and Infrastructure Security Agency (CISA), the Federal Bureau of Investigation (FBI), and the National Security Agency (NSA) to provide information on BlackMatter ransomware. Since July 2021, BlackMatter ransomware has targeted multiple U.S. critical infrastructure entities, including two U.S. Food and Agriculture Sector organizations. この共同サイバーセキュリティアドバイザリは、ランサムウェア「BlackMatter」に関する情報を提供するために、サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)、米連邦捜査局(FBI)、米国家安全保障局(NSA)が作成したものです。2021年7月以降、BlackMatterランサムウェアは、米国食糧農業部門の2組織を含む複数の米国重要インフラ組織を標的としています。
This advisory provides information on cyber actor tactics, techniques, and procedures (TTPs) obtained from a sample of BlackMatter ransomware analyzed in a sandbox environment as well from trusted third-party reporting. Using embedded, previously compromised credentials, BlackMatter leverages the Lightweight Directory Access Protocol (LDAP) and Server Message Block (SMB) protocol to access the Active Directory (AD) to discover all hosts on the network. BlackMatter then remotely encrypts the hosts and shared drives as they are found. 本勧告では、サンドボックス環境で分析したBlackMatterランサムウェアのサンプルや、信頼できる第三者の報告書から得られた、サイバーアクターの戦術、技術、手順(TTP)に関する情報を提供します。BlackMatterは、埋め込まれた認証情報を利用して、LDAP(Lightweight Directory Access Protocol)およびSMB(Server Message Block)プロトコルを利用してActive Directory(AD)にアクセスし、ネットワーク上のすべてのホストを検出します。その後、BlackMatterは、発見されたホストや共有ドライブをリモートで暗号化します。
Ransomware attacks against critical infrastructure entities could directly affect consumer access to critical infrastructure services; therefore, CISA, the FBI, and NSA urge all organizations, including critical infrastructure organizations, to implement the recommendations listed in the Mitigations section of this joint advisory. These mitigations will help organizations reduce the risk of compromise from BlackMatter ransomware attacks. 重要インフラ事業体に対するランサムウェアの攻撃は、消費者の重要インフラサービスへのアクセスに直接影響を与える可能性があります。そのため、CISA、FBI、NSAは、重要インフラ事業体を含むすべての組織に対し、この共同アドバイザリの「緩和策」のセクションに記載されている推奨事項を実施するよう求めています。CISA、FBI、NSAは、重要インフラ組織を含むすべての組織に対し、この共同勧告の「緩和策」に記載されている推奨事項を実施するよう求めています。

 

 

| | Comments (0)

金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

こんにちは、丸山満彦です。

G20カ国等が参加する金融機関の団体である金融安定理事会 (Financial Stability Board: FSB) [wikipedia] が、「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ (Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence) 」を公表していますね。。。

Financial Stability Board: FSB

・2021.10.19 Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ
Cyber incidents remain a threat to the financial system and are rapidly growing in frequency and sophistication. サイバーインシデントは依然として金融システムに対する脅威であり、その頻度と巧妙さは急速に高まっています。
This report explores whether greater convergence in the reporting of cyber incidents could be achieved in light of increasing financial stability concerns, especially given the digitalisation of financial services and increased use of third-party service providers. 本報告書では、金融安定性への懸念の高まり、特に金融サービスのデジタル化や第三者サービスプロバイダーの利用の増加を踏まえ、サイバーインシデントの報告の収束を図ることができるかどうかを検討しています。
Following a stocktake of existing supervisory and regulatory practices, the FSB found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. This underscores a need to address constraints in information-sharing among financial authorities and financial institutions. 金融安定理事会は、既存の監督・規制上の慣行を調査した結果、サイバーインシデントについて報告すべき範囲、インシデントの重大性や影響を測定する方法、サイバーインシデントを報告するための時間枠、サイバーインシデント情報の利用方法などについて、セクターや法域によってばらつきがあることを明らかにしました。このため、国境やセクターを越えて業務を行う金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局は、特定のインシデントについて異種の情報を受け取ることになり、金融機関の対応や復旧の行動が損なわれる可能性があります。このことは、金融当局と金融機関の間の情報共有における制約に対処する必要があることを強調しています。
Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the FSB has identified three ways that it will take work forward to achieve greater convergence in cyber incident reporting: 金融安定理事会は、サイバーインシデントに関する情報が、効果的な対応や金融安定性の促進のために極めて重要であることを認識し、サイバーインシデント報告の収斂を高めるために、以下の3つの方法を実施します。
・Develop best practices. Identify a minimum set of types of information authorities may require related to cyber incidents to fulfil a common objective (e.g. financial stability, risk assessment, risk monitoring) that authorities could consider when developing their cyber incident reporting regime. ・ベストプラクティスの開発:当局がサイバーインシデント報告体制を構築する際に考慮すべき、共通の目的(例:金融安定性、リスク評価、リスクモニタリング)を果たすために当局が必要とする最小限の情報の種類を特定する。
・Identify common types of information to be shared, understand any legal and operational impediments to sharing such information, and continue efforts to reduce such barriers. ・共有すべき共通の情報を特定し、そのような情報を共有するための法的および運用上の障害を理解し、そのような障害を軽減するための努力を継続する。
・Create common terminologies for cyber incident reporting, in particular a common definition for ‘cyber incident’. ・サイバーインシデント報告のための共通の用語、特に「サイバーインシデント」の共通の定義を作成する。
The report notes that greater harmonisation of regulatory reporting of cyber incidents would promote financial stability by: 報告書では、サイバーインシデントに関する規制上の報告の調和を図ることで、以下のように金融の安定を促進するとしています。
i. building a common understanding, and the monitoring, of cyber incidents affecting financial institutions and the financial system; i. 金融機関や金融システムに影響を与えるサイバーインシデントについての共通理解を深め、その監視を行う。
ii. supporting effective supervision of cyber risks at financial institutions; and ii. 金融機関のサイバー・リスクに対する効果的な監督を支援する。
iii. facilitating the coordination and sharing of information amongst authorities across sectors and jurisdictions. iii. セクターや国・地域を超えた当局間の情報の調整と共有を促進する。
By end-2021, the FSB will develop a detailed plan for taking this work forward. 金融安定理事会は、2021年末までに、この作業を進めるための詳細な計画を策定する。

 

・[PDF] Cyber Incident Reporting: Existing Approaches and Next Steps for Broader Convergence

 

20211022-00239

Executive summary  要約 
Cyber incidents remain a threat to the financial system and are rapidly growing in frequency and sophistication. In light of increasing financial stability concerns, especially given the digitalisation of financial services and increased use of third-party service providers, the Financial Stability Board (FSB) explored whether harmonisation in cyber incident reporting could be achieved.  サイバーインシデントは依然として金融システムに対する脅威であり、その頻度と巧妙さは急速に増している。特に金融サービスのデジタル化や第三者サービスプロバイダーの利用が増加していることから、金融安定理事会(FSB)は、サイバーインシデント報告の調和を図ることができないかを検討しました。
The FSB found that fragmentation exists across sectors and jurisdictions in the scope of what should be reported for a cyber incident; methodologies to measure severity and impact of an incident; timeframes for reporting cyber incidents; and how cyber incident information is used. This subjects financial institutions that operate across borders or sectors to multiple reporting requirements for one cyber incident. At the same time, financial authorities receive heterogeneous information for a given incident, which could undermine a financial institution’s response and recovery actions. This underscores a need to address constraints in informationsharing among financial authorities and financial institutions.  FSBは、サイバーインシデントについて報告すべき範囲、インシデントの重大性と影響を測定する方法、サイバーインシデントを報告するための時間枠、サイバーインシデント情報の利用方法などが、セクターや管轄区域によって分断されていることを明らかにしました。このため、国境やセクターを越えて業務を行う金融機関は、1つのサイバーインシデントに対して複数の報告義務を負うことになります。同時に、金融当局は、あるインシデントについて異種の情報を受け取ることになり、金融機関の対応や復旧の行動が損なわれる可能性があります。このことは、金融当局と金融機関の間の情報共有における制約に対処する必要があることを強調しています。
Recognising that information on cyber incidents is crucial for effective actions and promoting financial stability, the FSB identified three ways that it will take work forward to achieve greater convergence in cyber incident reporting:  FSBは、サイバーインシデントに関する情報が、効果的な対応や金融安定性の促進のために極めて重要であることを認識し、サイバーインシデント報告の収束を図るための3つの方法を特定しました。
■  Develop best practices. Identify a minimum set of types of information authorities may require related to cyber incidents to fulfil a common objective (e.g. financial stability, risk assessment, risk monitoring) that authorities could consider when developing their cyber incident reporting regime. This set of information would also help authorities in determining reporting thresholds, timeframes for reporting and notification, while recognising that a one-size-fits-all approach may neither be appropriate nor possible.   ■ ベストプラクティスを開発する。共通の目的(例:金融安定性、リスク評価、リスクモニタリング)を達成するために、当局がサイバーインシデントに関連して必要とする最小限の情報を特定し、当局がサイバーインシデント報告体制を構築する際に検討する。この一連の情報は、当局が報告のしきい値や報告・通知の期間を決定する際にも役立つだろうが、一方で、画一的なアプローチは適切でも可能でもないかもしれないことを認識しておく必要がある。 
■  Identify common types of information to be shared. Identify key information items that should be shared across sectors and jurisdictions, and to understand any legal and operational impediments to sharing such information. This would facilitate more information-sharing and help authorities obtain a better understanding of impacts of a cyber incident across sectors and jurisdictions. As a multilateral solution to informationsharing problems would be challenging, it would be essential for FSB member jurisdictions to continue bilateral and regional efforts to reduce legal and operational barriers to information sharing.  ■ 共有すべき一般的な情報の種類を特定すること。セクターや法域を超えて共有されるべき主要な情報項目を特定し、そのような情報を共有する上での法的・運用上の障害を理解する。これにより、より多くの情報共有が促進され、当局がセクターや法域を超えてサイバーインシデントの影響をよりよく理解することができます。情報共有の問題を多国間で解決することは困難であるため、FSBメンバー国は、情報共有に対する法的・運用上の障害を軽減するための二国間・地域間の努力を継続することが不可欠である。
■  Create common terminologies for cyber incident reporting. Harmonised cyber incident reporting schemes necessitate a ‘common language’. In particular, a common definition for ‘cyber incident’ is needed that avoids the reporting of incidents that are not significant for a financial institution or financial stability.   ■ サイバーインシデント報告のための共通用語の作成。調和のとれたサイバー・インシデント報告制度には、「共通の言語」が必要である。特に、金融機関や金融の安定性にとって重要ではないインシデントの報告を避けるために、「サイバーインシデント」の共通の定義が必要である。 
Greater harmonisation of regulatory reporting of cyber incidents would promote financial stability by: (i) building a common understanding, and the monitoring, of cyber incidents affecting financial institutions and the financial system, (ii) supporting effective supervision of cyber risks at financial institutions; and (iii) facilitating the coordination and sharing of information amongst authorities across sectors and jurisdictions.   サイバー・インシデントの規制当局による報告の調和が進めば、以下のようにして金融安定性を促進することができる。(i)金融機関や金融システムに影響を与えるサイバーインシデントについての共通理解と監視を構築すること、(ii)金融機関のサイバーリスクに対する効果的な監督を支援すること、(iii)セクターや法域を超えた当局間の情報の調整と共有を促進すること。 
The FSB will develop detailed timelines and modalities for taking this work forward by the end of 2021. FSBは2021年末までに、この作業を進めるための詳細なタイムラインと方法を策定する。

 

・[DOCX] 仮訳

 

 

 

| | Comments (0)

中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

こんにちは、丸山満彦です。

「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」の標準案が情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260から公開され、意見募集されていますね。。。

 

全国信息安全标准化技术委员会 

2021.10.19 关于征求《信息安全技术 汽车采集数据的安全要求》国家标准(征求意见稿)意见的通知 国家標準「情報セキュリティ技術 自動車収集データに関するセキュリティ要件」に関する意見募集
  [PDF]信息安全技术 汽车采集数据的安全要求
情報セキュリティ技術 自動車収集データに関するセキュリティ要件

 

20211021-194945

 

 

信息安全技术 汽车采集数据的安全要求  情報セキュリティ技術 自動車収集データに関するセキュリティ要件 
1 范围  1 適用範囲
本文件规定了对汽车采集数据进行传输、存储和出境等处理活动的安全要求。  この標準は、自動車から収集したデータの送信、保存、出口などの処理活動に関するセキュリティ要件を規定している。
本文件适用于汽车制造商开展汽车的设计、生产、销售、使用、运维,也适用于主管监管部门、第三方评估机构等对汽车采集数据处理活动进行监督、管理和评估。不适用于警车、消防车、救护车、工程救险车等执行紧急任务时的汽车采集数据,以及装置有专用设备或器具的作业车辆在封闭场所内从事作业活动时的汽车采集数据。  この標準は、車両の設計、製造、販売、使用、運用、保守を行う自動車製造業、および車両収集データ処理活動の監督、管理、評価を行う所轄の規制当局、第三者評価機関などに適用される。 なお、警察車両、消防車、救急車、人命救助車などが緊急作業を行っている場合や、特殊な機器・装置を搭載した業務用車両が密閉された場所で業務を行っている場合は、車両によるデータ収集には適用されない。
2 规范性引用文件  2 引用標準 
下列文件中的内容通过文中的规范性引用而构成本文件必不可少的条款。其中,注日期的引用文件,仅该日期对应的版本适用于本文件;不注日期的引用文件,其最新版本(包括所有的修改单)适用于本文件。  以下の文書の内容は、本文中の規範的な参照によって、この文書の本質的な条項を構成している。 参考文献に日付が記載されている場合は、その日付に対応するバージョンのみが本書に適用される。参考文献に日付が記載されていない場合は、最新バージョン(すべての修正シートを含む)が本書に適用される。
GB   7258   机动车运行安全技术条件  GB 7258 自動車の運転に関する技術的条件 
GB/T 25069  信息安全技术  术语  GB/T 25069 情報セキュリティ技術用語集 
GB/T 35273  信息安全技术  个人信息安全规范  GB/T 35273 情報セキュリティ技術 個人情報セキュリティの仕様 
3 术语和定义  3 用語及び定義 
GB 7258、GB/T 25069、GB/T 35273界定的以及下列术语和定义适用于本文件。  GB 7258、GB/T 25069、GB/T 35273 で定義されている用語、および以下の用語と定義がこの文書に適用される。
 3.1 汽车 vehicle  3.1 自動車 vehicle 
由动力驱动、用于载运人员货物的非轨道承载的车辆。  動力で駆動し、人や物を運ぶために使用される非鉄道車両。
3.2 汽车采集数据 vehicle collected data  3.2 自動車収集データ  vehicle collected data 
通过汽车传感设备、控制单元采集的数据,以及对其进行加工后产生的数据。  車両のセンシングデバイスやコントロールユニットによって収集されたデータ、およびそれらを処理して生成されたデータ。
注:不包含通过网络或物理接口获取的其他系统或设备的数据。  注:ネットワークや物理的なインターフェースを介して取得した他のシステムや機器からのデータは含まれない。
3.3 远程信息服务平台 telematics service platform 3.3 テレマティクス・プラットフォーム telematics service platform
用于车辆管理或者提供信息服务的远程系统。  車両管理や情報サービスを提供するための遠隔システム
4 汽车采集数据内容  4 自動車収集データの内容 
汽车采集数据主要包括:  自動車収集データには、主に 
a) 车外数据:通过摄像头、雷达等传感器从汽车外部环境采集的道路、建筑、地形、交通参与者等数据,以及对其进行加工后产生的数据;  a) 車外のデータ:カメラやレーダなどのセンサーによって車外環境から収集した道路、建物、地形、交通参加者などのデータと、それらを処理して生成したデータ。
注1:交通参与者是指参与交通活动的人,包括机动车、非机动车、其他交通工具的驾驶员与乘员,以及其他参与交通活动相关的人员。  注1:交通参加者とは、自動車、非自動車、その他の車両の運転者や乗員など、交通に関わる活動に従事する人たち。
注2:车外数据可能包含人脸、车牌等个人信息以及车辆流量、物流等法律法规标准所规定的重要数据。  注2:車外データには、顔やナンバープレートなどの個人情報のほか、車両の流れや物流など、法規制で定められた重要なデータが含まれることがある。
b) 座舱数据:通过摄像头、红外传感器、指纹传感器、麦克风等传感器从汽车座舱采集的数据,以及对其进行加工后产生的数据;  b) コックピットデータ:カメラ、赤外線センサー、指紋センサー、マイクなどのセンサーを用いて車両のコックピットから収集したデータと、それらを処理して生成したデータ。
注3:座舱数据可能包含驾驶员和乘员的人脸、声纹、指纹、心律等敏感个人信息。  注3:コックピットのデータには、ドライバーや乗員の顔、声紋、指紋、心拍数などの機密性の高い個人情報が含まれている可能性がある。
注4:座舱数据不包括对汽车采集数据处理产生的操控记录数据。  注4:コックピットデータには、車両から収集したデータを加工したハンドリングレコードデータは含まれない。
c) 运行数据:通过车速传感器、温度传感器、轴转速传感器、压力传感器等从动力系统、底盘系统、车身系统、舒适系统等电子电气系统采集的数据;  c) 稼働データ:パワートレイン、シャシーシステム、ボディシステム、コンフォートシステムなどの電気・電子システムから、スピードセンサー、温度センサー、アクセルスピードセンサー、圧力センサーなどを介して収集されたデータ。
注5:运行数据包含整车控制数据、运行状态数据、系统工作参数、操控记录数据等。  注5:動作データには、車両全体の制御データ、動作状態データ、システム動作パラメータ、ハンドリング記録データなどが含まれる。
d) 位置轨迹数据:基于卫星定位、通信网络等各种方式获取的汽车定位和途经路径相关的数据。  d) 位置・軌跡データ:衛星測位や通信ネットワークなどの様々な手段を用いて、車両の位置や走行経路に関するデータ。
5 传输要求  5 伝送条件 
  未经个人信息主体单独同意,汽车不应通过网络向外传输包含其个人信息的车外数据,已进行匿名化处理的视频、图像数据除外。    自動車は、匿名化された映像・画像データを除き、個人情報の主体の個別の同意を得ることなく、個人情報を含むデータをネットワークを介して外部に送信してはならない。
注1:匿名化处理包括对视频、图像中可识别个人身份的人脸、车牌等信息进行擦除等,确保无法利用视频、图像数据识别个人身份。  注1:匿名化処理とは、映像・画像データが個人を特定できないように、映像・画像から顔やナンバープレートなどの個人を特定できる情報を消去することである。
注2:通过网络向外传输是指通过移动通信网络、无线局域网、充电桩接口等方式,向位于车外的设备、系统传输。  注2:ネットワークを介した外部への送信とは、移動体通信網、無線LAN、充電ポストのインターフェースなどを介して、車外にある機器やシステムに送信することである。
  汽车不应通过网络向外传输座舱数据。    自動車は、コックピットのデータをネットワーク経由で外部に送信してはならない。
  满足以下条件的,可作为上述条款的例外情形。    以下の条件を満たす場合は、上記の規定の例外とすることができる。
a) 为实现 5.1 所述匿名化处理功能,需要通过远程信息服务平台实时执行匿名化处理操作的情形,但应确保原始数据传输到平台后不用于其他目的,并在匿名化处理后得到删除。  a) 5.1に記載された匿名化機能を実現するために、テレマティクス・プラットフォームを介してリアルタイムに匿名化処理を行う必要がある場合。ただし、元のデータがプラットフォームへの送信後に他の目的で使用されず、匿名化処理後に削除されることが条件となる。
b) 为实现语音识别等直接服务于驾驶人或乘员的功能,需要通过远程信息服务平台实时配合处理座舱数据的情形,但应征得驾驶人同意授权,且确保功能实现后即时删除原始数据及处理结果。  b) 音声認識など、運転者や乗員に直接役立つ機能を実現するために、テレマティクスプラットフォームを介した車室内データの処理にリアルタイムで協力する必要がある場合。ただし、運転者の同意を得て、元のデータおよび処理結果を機能の実現後直ちに削除することが条件となる。
c) 为实现用户远程监控车内外情况、使用云盘存储用户数据等直接服务于用户的功能,需要通过网络向用户终端设备传输数据或使用远程信息服务平台存储数据的情形,但应在传输以及存储时采取加密等措施,确保用户数据只能由用户终端设备访问,在其他设备以及远程信息服务平台上无法访问。  c) 車内外の遠隔監視やクラウドドライブへのユーザデータの保存など、ユーザに直接役立つ機能を実現するために、ネットワークを介してユーザのデータをユーザーの端末機器に送信したり、テレマティクスプラットフォームに保存したりする場合。ただし、送信や保存の際に暗号化などの措置を講じ、ユーザーデータがユーザーの端末機器からのみアクセスでき、他の機器やテレマティクスプラットフォームからはアクセスできないようにすることが条件となる。 このデータは、他の機器やテレマティクス・プラットフォームからはアクセスできない。
d) 道路运输车辆、运营车辆依据相关行政管理要求向外传输座舱数据的情形。  d) 関連する行政上の要求に基づき、道路交通車両および業務用車両からのコックピットデータの送信。
e) 道路交通事故发生后按执法部门要求向外传输数据的情形。  e) 交通事故が発生した後、法執行機関からデータの送信を求められた場合。
6 存储要求  6 ストレージ要件 
  车外数据、位置轨迹数据在远程信息服务平台等车外位置中保存时间均不应超过14天。    車外のデータおよび位置情報の追跡データは、テレマティクス・プラットフォームなどの車外の場所に14日以上保存してはならない。
  满足以下条件的数据,可作为上述条款的例外。    以下の条件を満たすデータについては、上記の例外が適用される場合がある。
a) 为优化行驶安全功能而存储的特定场景数据,但每车每天不应超过3个连续时间的数据片段,每个片段不应超过2分钟。  a) 運転安全機能を最適化する目的で保存されるシナリオ固有のデータ。ただし、1台の車両につき1日に保存される連続したデータクリップは3つ以下で、1つのデータクリップは2分を超えないものとする。
b) 符合5.3 c)要求,用户传输到远程信息服务平台的数据。  b) 5.3 c)の要件に従い、ユーザがテレマティクス・プラットフォームに転送したデータ。
c) 由采集训练数据的专用采集车辆或在特定区域行驶的专用测试车辆采集的数据,但车辆外部应有“测试车辆”或“数据采集车辆”及所属单位的显著标识,且驾驶人员为具备授权的特定人员。  c) トレーニングデータを収集する専用の収集車両、または特定のエリアを走行する専用のテスト車両によって収集されたデータ。ただし、車両の外側に「テスト車両」または「データ収集車両」であること、およびその車両が属するユニットが目立つように表示されていること、および運転者が認可された人物であることが条件となる。 ドライバーは権限を持った特定の人である。
d) 新能源汽车、道路运输车辆、网络预约出租汽车依据相关行政管理要求进行存储的数据。  d) 新エネルギー車、道路運送車両、ネットワーク予約用ハイヤーによって保存されたデータで、関連する行政上の要件に従ったもの。
e) 用于生产经营的汽车产生的,生产经营者可控的位置轨迹数据。  e) 生産および操作に使用される車両によって生成されるデータで、その位置と軌道は生産オペレーターの管理下にあるもの。
7 数据出境要求  7 データ越境要件 
  车外数据、座舱数据、位置轨迹数据不应出境;运行数据如需出境,应当通过国家网信部门组织开展的数据出境安全评估。    車外のデータ、車内のデータ、位置追跡データは越境してはならない。業務データを越境する必要がある場合は、国家ネットワーク情報部門が実施するデータ越境セキュリティ評価に合格しなければならない。
  汽车制造商应为主管监管部门开展数据出境情况的抽查工作提供技术手段,包括传输的数据格式、便于读取的数据展示方式等。    自動車製造者は、所轄の監督官庁が、送信するデータの形式や読みやすいデータ表示など、データの越境に関するランダムなチェックを行うための技術的手段を提供しなければならない。
8 其他要求  8 その他の要件 
  汽车制造商应对整车的数据安全负责,全面掌握其生产的整车所含各零部件采集、传输数据情况,对零部件供应商处理汽车采集数据的行为进行约束和监督,并将汽车采集数据向外传输的完整情况对用户披露。    自動車製造者は、車両全体のデータセキュリティに責任を持ち、自らが製造する車両全体に含まれる各部品が収集・送信するデータを完全に把握し、車両が収集したデータの取り扱いに関する部品供給者の行動を規律・監督し、車両が収集したデータの送信状況を完全にユーザーに開示しなければならない。
  为执行相关行政管理要求采集的数据应仅用于行政管理要求明确规定的目的。    関連する行政上の要求事項の実施のために収集されたデータは、行政上の要求事項で指定された目的のためにのみ使用されるものとする。 

 

 

| | Comments (0)

2021.10.21

欧州データ保護委員会 (EDPB) GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)が、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択していますね。。。

日本でも参考になるかもですね。。。

 

European Data Protection Board: EDPB

・2021.10.19 EDPB adopts Guidelines on restrictions of data subject rights under Article 23 GDPR following public consultation

EDPB adopts Guidelines on restrictions of data subject rights under Article 23 GDPR following public consultation EDPB、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを公開協議を経て採択
During its October plenary, the EDPB adopted a final version of the Guidelines on restrictions of data subject rights under Art. 23 GDPR following public consultation. The guidelines aim to recall the conditions surrounding the use of such restrictions by Member States or the EU legislator in light of the Charter of Fundamental Rights and the GDPR. They provide a thorough analysis of the criteria to apply restrictions, the assessments that need to be observed, how data subjects can exercise their rights after the restrictions are lifted, and the consequences of infringements of Art. 23 GDPR. Additionally, the guidelines analyse how the legislative measures setting out the restrictions need to meet the foreseeability requirement and examine the grounds for the restrictions listed by Art. 23(1) GDPR, and the obligations and rights which may be restricted. EDPBは、10月の本会議において、GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインの最終版を、公開協議の後に採択しました。このガイドラインは、基本権憲章およびGDPRに照らして、加盟国またはEUの立法者がこのような制限を使用する際の条件を想起することを目的としています。このガイドラインは、制限を適用するための基準、遵守すべき評価、制限解除後にデータ主体が権利を行使する方法、GDPR第23条を侵害した場合の結果などを徹底的に分析しています。GDPR第23条 さらに、このガイドラインでは、制限を定めた立法措置がどのように予見可能性の要件を満たす必要があるかを分析し、GDPR第23条(1)で挙げられている制限の理由を検討しています。また、GDPR第23条(1)で挙げられている制限の根拠や、制限される可能性のある義務や権利についても検討しています。

 

・[PDF

20211020-174933

 

目次です。。。。

1 Introduction  1 序論
2 The meaning of restrictions  2 制限の意味
3  Requirements of Article 23(1) GDPR 3 GDPR第23条(1)の要件
3.1  Respect of the essence of the fundamental rights and freedoms 3.1 基本的権利及び自由の本質の尊重
3.2  Legislative measures laying down restrictions and the need to be foreseeable (Recital 41 and CJEU case law)  3.2 制限を定めた立法措置と予見可能であることの必要性(説明文41及びCJEU判例)
3.3  Grounds for the restrictions 3.3 制限の根拠
3.3.1  National security, defence and public security 3.3.1 国家安全保障、防衛、公共の安全
3.3.2  Prevention, investigation, detection and prosecution of criminal offences or the execution of criminal penalties including the safeguarding against and the prevention of threats to public security 3.3.2 公共の安全への脅威に対する保護と予防を含む、刑事犯罪の予防、捜査、発見、起訴または刑事罰の執行
3.3.3  Other important objectives of general public interest 3.3.3 一般的な公共の利益のためのその他の重要な目的
3.3.4  Protection of judicial independence and judicial proceedings 3.3.4 司法の独立性および司法手続きの保護 
3.3.5  Prevention, investigation, detection and prosecution of breaches of ethics for regulated professions 3.3.5 規制対象となる職業の倫理違反の予防、調査、検知、起訴
3.3.6  Monitoring, inspection or regulatory function connected to the exercise of official authority in the cases referred to in points (a) to (e) and (g) of Article 23 GDPR 3.3.6 GDPR第23条の(a)~(e)及び(g)に言及されている場合の公権力の行使に関連する監視、検査又は規制機能
3.3.7  Protection of the data subject or the rights and freedoms of others 3.3.7 データ対象者または他者の権利および自由の保護
3.3.8  Enforcement of civil law claims 3.3.8 市民法上の請求権の行使
3.4  Data subjects’ rights and controller’s obligations which may be restricted 3.4 制限される可能性のあるデータ対象者の権利及び管理者の義務
3.5  Necessity and proportionality test 3.5 必要性及び比例性テスト
4  Requirements of Article 23(2) GDPR 4 GDPR第23条(2)項の要件
4.1  Categories of personal data 4.1 個人データのカテゴリー
4.2  Scope of the restrictions 4.2 制限の範囲
4.3  Safeguards to prevent abuse or unlawful access or transfer 4.3 濫用または違法なアクセスもしくは移転を防止するためのセーフガード
4.4  Specification of the controller 4.4 管理者の指定
4.5  Storage periods 4.5 保存期間
4.6  Risks to data subjects’ rights and freedoms 4.6 データ対象者の権利及び自由に対するリスク
4.7  Right to be informed about the restriction, unless prejudicial to the purpose of the  restriction 4.7 制限の目的に不利益を与えない限り、制限について知らされる権利
5 Consultation with the SAS (Articles 36(4) and 57(1)(c) GDPR)  5 SASとの協議(GDPR第36条(4)および第57条(1)(c))
6 Non - observation of article 23 GDPR requirements by a Member State 6 加盟国によるGDPR第23条の要求の非遵守
7  Specific elements for controllers and processors 7 管理者および処理者のための具体的な要素
7.1 Accountability Principle 7.1 説明責任の原則
7.2 Exercise of data subject’s rights after the lifting of the restriction 7.2 制限解除後のデータ対象者の権利の行使
7.3 Non-observation of a legislative measure imposing such restrictions by a controller 7.3 管理者による当該制限を課す立法措置の不遵守
8  Conclusions 8 結論
9  Annex: Check-lists - Article 23 GDPR in a nutshell 9 附属書:チェックリスト-GDPR第23条の概要
9.1  Requirements under Article 23(1) GDPR 9.1 GDPR第23条(1)に基づく要求事項
9.2  Requirements under Article 23(2) GDPR 9.2 GDPR第23条(2)に基づく要件

 

全文の仮対訳...

↓↓↓

 

 

Continue reading "欧州データ保護委員会 (EDPB) GDPR第23条に基づくデータ主体の権利の制限に関するガイドラインを採択"

| | Comments (0)

2021.10.20

米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

こんにちは、丸山満彦です。

湯淺先生のFacebookで知ったのですが、米国司法省が国家暗号通貨執行チームの設立を発表していましたね。。。。

米国司法省がコロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収したことを公表していましたが、こういう背景があったということだと思いました。

 U.S.  Department of Justice Office of Public Affairs - News

・2021.10.06 Deputy Attorney General Lisa O. Monaco Announces National Cryptocurrency Enforcement Team

 

Deputy Attorney General Lisa O. Monaco Announces National Cryptocurrency Enforcement Team リサ・O・モナコ司法副長官が国家暗号通貨執行チームを発表
Deputy Attorney General Lisa O. Monaco announced today the creation of a National Cryptocurrency Enforcement Team (NCET), to tackle complex investigations and prosecutions of criminal misuses of cryptocurrency, particularly crimes committed by virtual currency exchanges, mixing and tumbling services, and money laundering infrastructure actors. Under the supervision of Assistant Attorney General Kenneth A. Polite Jr., the NCET will combine s the expertise of the Department of Justice Criminal Division’s Money Laundering and Asset Recovery Section (MLARS), Computer Crime and Intellectual Property Section (CCIPS) and other sections in the division, with experts detailed from U.S. Attorneys’ Offices. The team will also assist in tracing and recovery of assets lost to fraud and extortion, including cryptocurrency payments to ransomware groups. 司法省のリサ・O・モナコ司法副長官は、仮想通貨取引所、ミキシング・タンブリングサービス、マネーロンダリング・インフラ業者による犯罪を中心とした、暗号通貨の悪用に関する複雑な捜査や起訴に取り組むため、国家暗号通貨執行チーム(NCET)を設立することを発表しました。NCETは、ケネス・A・ポライト・ジュニア司法次官補の監督のもと、司法省刑事局のマネーロンダリング・資産回収部門(MLARS)、コンピュータ犯罪・知的財産部門(CCIPS)、およびその他の部門の専門知識と、米国弁護士事務所から派遣された専門家を組み合わせて編成されます。このチームは、ランサムウェアグループへの暗号通貨の支払いなど、詐欺や恐喝によって失われた資産の追跡と回収も支援します。
“Today we are launching the National Cryptocurrency Enforcement Team to draw on the Department’s cyber and money laundering expertise to strengthen our capacity to dismantle the financial entities that enable criminal actors to flourish — and quite frankly to profit — from abusing cryptocurrency platforms” said Deputy Attorney General Monaco. “As the technology advances, so too must the Department evolve with it so that we’re poised to root out abuse on these platforms and ensure user confidence in these systems.” モナコ司法副長官は、「本日、我々は国家暗号通貨執行チームを立ち上げました。これは、犯罪者が暗号通貨プラットフォームを悪用して繁栄し、率直に言って利益を得ることを可能にしている金融機関を解体する能力を強化するために、米国連邦検事局のサイバーおよびマネーロンダリングに関する専門知識を活用するものです。テクノロジーの進歩に伴い、我々もそれに合わせて進化しなければなりません。そうすることで、これらのプラットフォームでの不正行為を根絶し、これらのシステムに対するユーザーの信頼を確保する態勢を整えることができるのです。」と述べました。
“The Criminal Division is already an established leader in investigating and prosecuting the criminal misuse of cryptocurrency,” said Assistant Attorney General Polite. “The creation of this team will build on this leadership by combining and coordinating expertise across the Division in this continuously evolving field to investigate and prosecute the fraudulent misuse, illegal laundering, and other criminal activities involving cryptocurrencies.” ポリット司法長官補は、「刑事部門は、暗号通貨の悪用に関する調査と起訴において、すでに定評のあるリーダーです。このチームの創設は、このリーダーシップに基づいて、継続的に進化するこの分野における部門全体の専門知識を組み合わせ、調整することで、暗号通貨に関わる不正使用、違法なロンダリング、その他の犯罪行為を調査し起訴することになります。」と述べました。
The head of the NCET will report to the Assistant Attorney General in the Criminal Division and will be selected after an application process seeking an individual with experience with complex criminal investigations and prosecutions, as well as the technology underpinning cryptocurrencies and the blockchain. Once selected, the Team Leader will lead the team of attorneys from MLARS, CCIPS, and Assistant U.S. Attorneys (AUSAs) detailed from U.S. Attorneys’ Offices across the country to identify, investigate, support, and pursue cases against cryptocurrency exchanges, infrastructure providers, and other entities that are enabling the misuse of cryptocurrency and related products to commit or facilitate criminal activity. NCETの責任者は、刑事部門の司法長官補の直属となり、複雑な犯罪捜査・起訴の経験や、暗号通貨やブロックチェーンを支える技術に精通した人材を求めて応募した後に選出されます。チームリーダーは、MLARS、CCIPSの弁護士、および全米の連邦検事局から派遣された連邦検事補(AUSA)で構成されるチームを率いて、暗号通貨やその関連商品を悪用して犯罪行為を行うことを可能にしている暗号通貨取引所やインフラ提供者、その他の事業体を特定し、調査し、支援し、訴訟を提起します。
Importantly, the NCET will draw and build upon the established expertise across the Criminal Division to deter, disrupt, investigate, and prosecute criminal misuse of cryptocurrency, as well as to recover the illicit proceeds of those crimes whenever possible. Because cryptocurrency is used in a wide variety of criminal activity, from being the primary demand mechanism for ransomware payments, to money laundering and the operation of illegal or unregistered money services businesses, to being the preferred means of exchange of value on “dark markets” for illegal drugs, weapons, malware and other hacking tools, the NCET will foster the development of expertise in cryptocurrency and blockchain technologies across all aspects of the Department’s work. The NCET will also play a critical support role for international, federal, state, local, tribal, and territorial law enforcement authorities grappling with these new technologies and new forms of criminal tradecraft. NCETは、暗号通貨を悪用した犯罪を抑止、妨害、捜査、起訴し、可能な限り犯罪による不正収益を回収するために、刑事部門全体で確立された専門知識を活用していきます。暗号通貨は、ランサムウェアの支払いの主な要求メカニズムから、マネーロンダリングや違法または未登録のマネーサービス事業の運営、さらには違法薬物や武器、マルウェアなどのハッキングツールの「闇市場」での価値交換手段として好まれるなど、さまざまな犯罪行為に利用されているため、NCETは、刑事部門の業務のあらゆる側面において、暗号通貨とブロックチェーン技術の専門知識の開発を促進します。また、NCETは、これらの新技術や新しい形態の犯罪手法に取り組む国際的、連邦的、州的、地方的、部族的、準州的な法執行機関に対して、重要な支援の役割を果たします。
National Cryptocurrency Enforcement Team Details 国家暗号通貨執行チームの詳細
The NCET builds upon MLARS’s Digital Currency Initiative and will be informed by the Department’s Cryptocurrency Enforcement Framework, released in October 2020. Because crimes involving cryptocurrency can take many forms, the NCET will not only pursue its own cases, but also support existing and future cases brought across the Criminal Division and in the U.S. Attorneys’ Offices across the country. NCETは、MLARSのデジタル通貨イニシアチブを基盤とし、2020年10月に発表された同省の「Cryptocurrency Enforcement Framework(暗号通貨執行フレームワーク)」を参考にします。暗号通貨に関わる犯罪はさまざまな形態があるため、NCETは独自の案件を追求するだけでなく、刑事局や全米の連邦検事局で提起された既存の案件や将来の案件をサポートします。
NCET team members will be drawn from three initial sources: MLARS, CCIPS, and detailees to the Criminal Division from U.S. Attorneys’ Offices across the country. Team members will draw upon the expertise of their home offices while working collaboratively under the Team Leader to combine their expertise in financial systems, blockchain technology, tracing transactions, and applicable criminal statutes to address illegal activity involving cryptocurrency in a structured way. The NCET will: NCETのチームメンバーは次の3分野から集められます:MLARS、CCIPS、そして全国の米国弁護士事務所から刑事部に派遣される出向者。チームメンバーは、それぞれの所属部署の専門知識を活用しながら、チームリーダーのもとで協力して、金融システム、ブロックチェーン技術、取引の追跡、適用される刑法などの専門知識を組み合わせ、暗号通貨に関わる違法行為に組織的に対処します。NCETは以下を行います。
・Investigate and prosecute cryptocurrency cases, comprising a central part of a nationwide enforcement effort to combat the use of cryptocurrency as an illicit tool. ・暗号通貨の事件を調査・起訴し、不正な手段としての暗号通貨の使用に対抗するための全国的な取り組みの中心的な役割を果たします。
・Develop strategic priorities for investigations and prosecutions involving cryptocurrency, in consultation with the USAOs, Department components, and investigative agencies involved in cryptocurrency investigations. ・暗号通貨の捜査に携わる米国大使館、省庁、捜査機関と協議しながら、暗号通貨に関する捜査・訴追の戦略的優先順位を決定します。
・Identify areas for increased investigative and prosecutorial focus, including professional money launderers, ransomware schemes, human traffickers, narcotics traffickers, and financial institutions working with cryptocurrency. ・マネーロンダリング事業者、ランサムウェアのスキーム、人身売買、麻薬売買、暗号通貨を扱う金融機関など、捜査・訴追を強化すべき分野を特定します。
・Build and enhance relationships with cryptocurrency focused AUSAs and prosecutors with other Department litigating components and offices to pursue cryptocurrency investigations and prosecutions. ・暗号通貨に特化したAUSAや他の省庁の検察官との関係を構築・強化し、暗号通貨の捜査・起訴を推進します。
・Develop and maintain relationships with federal, state, local, and international law enforcement agencies that investigate and prosecute cryptocurrency cases. ・暗号通貨事件を捜査・起訴する連邦・州・地方・国際的な法執行機関との関係構築・維持します。
・Train and advise federal prosecutors and law enforcement agencies in developing investigative and prosecutorial strategies. Such training and advice will include providing guidance concerning search and seizure warrants, restraining orders, criminal and civil forfeiture allegations, indictments, and other pleadings. ・連邦検察官や法執行機関に対し、捜査・起訴戦略に関する研修や助言を行います。このようなトレーニングやアドバイスには、捜査令状や押収令状、禁止命令、刑事および民事の没収申し立て、起訴、その他の弁論に関するガイダンスの提供が含まれます。
・Support the coordination and sharing of information and evidence among law enforcement offices to maximize the effectiveness of the Department’s investigations, prosecutions, and forfeitures involving cryptocurrency. ・暗号通貨に関わる捜査、起訴、没収の効果を最大化するために、法執行機関の間で情報や証拠を調整・共有することを支援します。
・Collaborate and build relationships with private sector actors with expertise in cryptocurrency matters to further the criminal enforcement mission. ・暗号通貨に関する専門知識を有する民間企業と協力し、関係を構築することで、刑事執行の任務を推進します。
The NCET will work closely with other federal agencies, subject matter experts, and its law enforcement partners throughout the government. NCETは、他の連邦機関、専門家、政府内の法執行機関のパートナーと緊密に連携します。

 

参考

・2021.06.07 Department of Justice Seizes $2.3 Million in Cryptocurrency Paid to the Ransomware Extortionists Darkside

 

Doj_20210608075901


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

 

 

| | Comments (0)

NIST SP 800-108 Rev.1 (Draft) 擬似乱数関数を使用した鍵導出の推奨事項

こんにちは、丸山満彦です。

NISTがSP 800-108 Rev.1 (Draft) 擬似ランダム関数を使用した鍵導出の推奨事項を公開し、意見募集をしていますね。。。

NIST - ITL

・2021.10.18 SP 800-108 Rev. 1 (Draft) Recommendation for Key Derivation Using Pseudorandom Functions

SP 800-108 Rev. 1 (Draft) Recommendation for Key Derivation Using Pseudorandom Functions SP 800-108 Rev.1 (ドラフト) 疑似乱数関数を用いた鍵の導出の推奨
Announcement 発表
This document specifies families of key derivation functions for deriving additional keys from existing cryptographic keys. 本文書は、既存の暗号鍵から追加の鍵を導出するための鍵導出関数のファミリを規定する。
This revision specifies key derivation functions using Keccak-based message authentication codes (KMAC) in addition to key derivation functions using keyed-hash message authentication codes (HMAC) and cipher-based message authentication codes (CMAC). 今回の改訂では、鍵付きハッシュメッセージ認証コード(HMAC)や暗号ベースのメッセージ認証コード(CMAC)を用いた鍵導出関数に加え、ケチャクベースのメッセージ認証コード(KMAC)を用いた鍵導出関数を規定する。
Abstract 概要
This Recommendation specifies techniques for the derivation of additional keying material from a secret key—either established through a key establishment scheme or shared through some other manner—using pseudorandom functions HMAC, CMAC, and KMAC. この推奨事項は,擬似乱数関数HMAC,CMAC,KMACを用いて,鍵確立方式で確立されたか,あるいは他の方法で共有された秘密鍵から,追加の鍵材料を導出するための技術を規定する。

・[PDF]  SP 800-108 Rev. 1 (Draft)

20211020-03008

1 Introduction 1 はじめに
2 Scope and Purpose 2 範囲と目的
3 Definitions, Symbols, and Abbreviations 3 定義、記号、および略語
3.1 Definitions 3.1 定義
3.2 Symbols and Abbreviations 3.2 記号と略記号
4 Pseudorandom Function (PRF) 4 擬似乱数関数 (PRF)
5 Key Derivation Function (KDF) 5 鍵の導出関数 (KDF)
5.1 KDF in Counter Mode 5.1 カウンタモードのKDF
5.2 KDF in Feedback Mode 5.2 フィードバック・モードのKDF
5.3 KDF in Double-Pipeline Mode 5.3 ダブル・パイプライン・モードのKDF
5.4 KDF Using KMAC 5.4 KMACを用いたKDF
6 Key Hierarchy 6 鍵ヒエラルキー
7 Security Considerations 7 セキュリティに関する考察
7.1 Cryptographic Strength 7.1 暗号の強度
7.2 The Length of Key Derivation Key 7.2 鍵導出用の鍵の長さについて
7.3 Converting Keying Material to Cryptographic Keys 7.3 鍵素材の暗号鍵への変換
7.4 Input Data Encoding 7.4 入力データの暗号化
7.5 Key Separation 7.5 鍵の分離
7.6 Context Binding 7.6 コンテキスト・バインディング
References 参考文献
List of Appendices 附属書一覧
Revisions 改訂版
List of Figures 図一覧
Figure 1. KDF in Counter Mode 図1. KDFのカウンターモード
Figure 2. KDF in Feedback Mode 図2. フィードバックモードのKDF
Figure 3. KDF in Double-pipeline Mode 図3. KDFのダブルパイプライン・モード
Figure 4. KDF Using KMAC 図4. KMACを用いたKDF
Figure 5. Key Hierarchy 図5. 鍵ヒエラルキー

 

 

| | Comments (0)

2021.10.19

Cloud Security Alliance ヘルスケアにおけるITのガバナンス、リスク、コンプライアンス

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がヘルスケアにおけるITのガバナンス、リスク、コンプライアンスを公表していますね。。。

 

 

Cloud Security Alliance (CSA)

・2021.10.15 Information Technology Governance, Risk and Compliance in Healthcare

・[PDF] 簡単な質問に答えるとダウンロードできます

20211019-02758

Information Technology Governance, Risk and Compliance in Healthcare ヘルスケアにおけるITのガバナンス、リスク、コンプライアンス
Information Technology (IT) Governance, Risk, and Compliance (GRC), are three words that have a significant impact on organizations. While each term seems straightforward, putting them together brings up a concept that is hard to understand and even harder to implement. Overall, GRC is the policies and procedures that manage the organization's process for aligning the management and control of information with business objectives, the organization's risk tolerance, and how they comply with regulations and manage risk. Defining each and then integrating them into one program gives the organization a structured process to ensure IT supports business objectives while managing risk and compliance. This paper will show how to create a program for each and then integrate them into one cohesive and effective program.  情報技術(IT)のガバナンス、リスク、コンプライアンス(GRC)は、組織に大きな影響を与える3つの言葉です。それぞれの言葉は簡単なように見えますが、これらをまとめると、理解しにくく、さらに実行するのが難しい概念が浮かび上がってきます。全体的に見ると、GRCとは、情報の管理と統制をビジネス目標、組織のリスク許容度、規制への準拠とリスク管理の方法と整合させるための組織のプロセスを管理する方針と手順のことです。それぞれを定義してから1つのプログラムに統合することで、組織はリスクとコンプライアンスを管理しながらITがビジネス目標をサポートするための構造化されたプロセスを得ることができます。本稿では、それぞれのプログラムを作成し、それらを1つのまとまった効果的なプログラムに統合する方法を紹介します。 

目次...

Acknowledgments 謝辞
Abstract 概要
Introduction はじめに
Governance ガバナンス
 Create  作成
 Store  保存
 Use  使用
 Share  共有
 Archive  保管
 Destruction  破棄
Risk Management リスクマネジメント
 Risk Appetite  リスク選考
 Risk Tolerance  リスク許容
 Threats  脅威
 Vulnerability  脆弱性
 Likelihood  可能性
 Impact  影響度
 Risk Profile  リスクプロファイル
Compliance コンプライアンス
Measurement 測定
Monitoring and Reporting モニタリングと報告
Governance, Risk, and Compliance ガバナンス、リスク、コンプライアンス
 Example 1 HIPAA Rule  例1 HIPAAルール
 Example 2 GDPR Rule  例2 GDPR規則
Conclusion まとめ
References 参考文献

20211019-04825

 

 

 

 

| | Comments (0)

Zホールディングス 「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について

こんにちは、丸山満彦です。

Zホールディングスが「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について発表していますね。。。

Zホールディングス株式会社

・2021.10.18 「グローバルなデータガバナンスに関する特別委員会」最終報告書受領および今後のグループガバナンス強化について

・2021.10.18 「グローバルなデータガバナンスに関する特別委員会」最終報告

 ・[PDF] 最終報告要旨 (Downloaded)

20211018-225352

 ・[PDF] 最終報告書(詳細全体版) (Downloaded)

20211018-225639

参考

 ・2021.06.11 第一次報告の要旨

 ・2021.08.04 第二次報告の要旨

 ・グローバルなデータガバナンスに関する特別委員会の過去の開催状況

 

報告書の要旨によると、問題は、


 LINEアプリにおいて

①通信内容である送受信されたテキスト、画像、動画及びファイル(PDFなど)のうち、ユーザーから通報されたものについて、委託先中国企業からの業務に基づくアクセスがあり、そのことについてユーザに対して説明をしていなかったこと、

②画像、動画及びファイル(PDFなど)が韓国のデータセンターに保存されていたにもかかわらず、対外的に「LINEの個人情報を扱う主要なサーバーは日本国内にある」という不正確な説明をしていたこと、また、中央省庁等に対して、「LINEアプリの日本ユーザーに関する全てのデータが『日本に閉じている』」旨の客観的事実に反する説明を一部で行っていたこと


ということのようですね。。。

内部統制の目的でもある、報告の正確性の問題のように思います。

安全保障の問題という話もあるようですが、安全保障の問題であるのであれば、「正しい報告、情報提供がされていれば安全保障上の理由から利用しなかったであろう組織が利用していた」ことによる副次的な問題なのだろうと思います。ガバメントアクセスについては、捜査令状に基づくものであれば日本でもあるし、捜査令状に基づかないものに限るとしても米国についてどう考えるかとか、難しい問題があるかもしれませんね...

ところで、Lineのサービスは、ISMAPクラウドサービスリストには含まれていませんね(at 2021.10.19)。。。検討するように提言されていますね。。。

 

なお、提言・・・


委員会による提言(第5、6章)

本委員会は、これまでの検討を踏まえ、次の提言を行った。また、個別の領域においても提言を行った(次頁参照)。

(1) LINE社に対する提言
• LINE社の政策渉外を含む対外コミュニケーションについて、客観的な事実を誠実に伝えるという点にコミットすべく必要な体制を整備すること
• LINE社において適切な「横のガバナンス」を確立し強化していくこと

(2) ZHD社に対する提言
• ZHD社が実現すべきグローバルなデータガバナンスについて、「ユーザー目線での横と縦のガバナンス」を構築すること
• 各事業会社において「3ライン・モデル」を導入すること等によって「横のガバナンス」を強化し、ZHD社において、事業会社による「横のガバナンス」が適切かつ円滑に運用され、ZHDグループ全体が一元的な体制の下、調和をもった形で適切に事業運営を行うための諸条件を満たしていることをチェックする「縦のガバナンス」を高度かつ適切なバランスで実現すること


本委員会の提言に関するZHD社及びLINE社における対応の状況に関しては、別途ZHD社が設置する有識者会議等に継続的に報告し、その助言を受けながら確実に実現していくよう提言した。


委員会による提言(第6章 ZHD社に対する個別の領域に関するもの)

本委員会は、ZHD社に対して、個別の領域においても以下のとおり提言を行った。

①政策渉外
「縦のガバナンス」を適切に効かせ、ZHDグループ全体から適材適所の人事配置を推進していくこと、ZHD社においてユーザー代表を含む第三者
の意見を求める有識者会議を設置すること

②経済安全保障
ZHDグループ全体において複雑化する地政学的リスクに対応することができるよう動的なガバナンスが求められることから、 外国における法令等の検討状況や日本と外国の関係の状況等について調査する体制を強化し、一元的に情報を収集、分析、評価することができる体制を整備するとともに、各国政府と的確なコミュニケーションを取るために経済安全保障に関する政府渉外活動の一元的な連携・管理を行うこと

③セキュリティ
ZHDグループ全体ですでに取り組んでいるNIST(米国標準技術研究所)の定めるSP800-171をはじめとしたセキュリティ基準への準拠及び各事業会社の実態に応じた適切なリソース配分実現のための人的支援の実施に加え、政府情報システムのためのセキュリティ評価制度(ISMAP)への対応についても検討すること

④プライバシー
主要事業会社における独立性の高いData Protection Officer(データ保護責任者、DPO)とPrivacy Impact Assessment(プライバシー影響評価)の導入、事業会社のDPO等が連携できる体制や教育プログラム、コンサルティングの提供を含むグループ内の人的リソースの最適化のための体制の整備、CBPR認証取得の推進、NISTプライバシーフレームワークへの準拠、ZHD主体の事業会社における令和2年改正個人情報保護法の越境移転規制への対応についてZHD社が主体となってZHDグループ全体で取り組んでいくこと

⑤リスクマネジメント
今後の新たに生じるリスクに対し適切な対応が取れるようZHD社の体制を強化すること


ここでの「経済安全保障」という言葉の定義はどういうことなのでしょうかね...

 

 

| | Comments (0)

2021.10.18

JETRO EUデジタル政策の最新概要(2021年10月)

こんにちは、丸山満彦です。

JETROがEUデジタル政策の最新概要を2021.10.05現在でまとめていますね。。。全体像を俯瞰する上では有益と思います。

 

● JETRO

・2021.10.05 EUデジタル政策の最新概要(2021年10月)


欧州委員会のウルズラ・フォン・デア・ライエン委員長は、2019年12月の就任以来、「欧州グリーン・ディール」と並ぶ新体制の優先課題として、「デジタルへの移行」を掲げている。また、新型コロナウイルス対策である復興基金の中核部分を占める「復興レジリエンス・ファシリティ(RFF)」において、予算の20%をデジタル化政策へ活用することを決定するなど、EUのデジタル化の推進を明確に打ち出している。本レポートでは、フォン・デア・ライエン体制において、強化されたEUのデジタル政策の最新概要をまとめ、欧州委員会が発表した2020年の政策文書「Shaping Europe’s digital future」や、2021年の政策文書「デジタル・コンパス2030」、「新産業政策」の改定版などを中心に解説。また、復興基金や中期予算計画(MFF)におけるデジタル政策の位置づけや、「欧州グリーン・ディール」との関係など、デジタル分野における主要政策の内容と今後の展望についてまとめた。


 

 

・[PDF] EUデジタル政策の最新概要

20211018-01401

目次・・・

はじめに
I EUにおけるデジタル政策の全体概要
1 EUデジタル政策の策定背景と位置付け
(1)デジタル政策の位置付けと予算
2 欧州のデジタル未来の形成(欧州デジタル戦略)
(1)ビジョンと目標
(2)具体的なアクション
3 デジタル・コンパス2030
(1)概要
(2)具体的な数値目標
(3)デジタル・コンパス2030の実施のための政策プログラム
4 新産業政策の改定
(1)改定の背景と目的
(2)概要
Ⅱ EUデジタル政策における各政策の概要
1 データ政策
(1)総論
(2)欧州データ戦略
(3)データガバナンス政策
(4)個人情報関連
2 オンラインプラットフォーム政策
(1)総論
(2)デジタルサービス法案
(3)デジタル市場法案の概要
(4)デジタル課税法案
3 新たなテクノロジー・インフラ政策
(1)総論
(2)人工知能(AI)に関する政策パッケージ
(3)通信インフラに関する政策動向
(4)コンピューティング技術に関する政策動向
4 サイバーセキュリティ政策
(1)総論
(2)サイバーセキュリティ戦略
(3)NIS指令の改正
(4)サイバーセキュリティに関わるEU認証制度
(5)その他
5 デジタル金融政策
(1)総論
(2)デジタル金融パッケージに含まれる主要文書の概要
〈図表目次〉
表 1: 「欧州のデジタルの未来の形成」の 3 つの目標とアクション
表 2: 「欧州のデジタルの未来の形成」で挙げられた具体的なアクション
表 3: 「デジタル・コンパス 2030」の具体的な数値目標
表 4: 欧州データ戦略による 8 つの課題
表 5: 欧州データ戦略の 4 つの戦略と主な取り組み内容
表 6: 9 つの戦略的分野での欧州データ空間構築に向けた欧州委員会の取り組み
表 7: デジタルサービス法が提案する新たなルールの適用対象
表 8: サイバーセキュリティ戦略の主な施策
表 9: NIS 指令および NIS 2 指令(改正案)の対象の違い
図 1:デジタルサービス法案のルールの適用対象の関係
図 2:EU サイバーセキュリティ認証制度の策定の流れ

 

 

| | Comments (0)

内閣官房 NISC ランサムウェア特設ページ

こんにちは、丸山満彦です。

NISCがランサムウェア特設ページ(ポータルサイトのようなもの)を開設していますね。。。

NISC

・2021.10.13 ストップ! ランサムウェア ランサムウェア特設ページ STOP! RANSOMWARE

 

内閣サイバーセキュリティセンター(NISC)
重要インフラ事業者等向け注意喚起 ランサムウェアによるサイバー攻撃について、予防・検知・対応・復旧の観点から、具体的な対策を採れるよう、重要インフラ事業者等向けに注意喚起を発出し、広く一般にも活用していただけるよう公開。
インターネットの安全・安心ハンドブック 一般国民向けに、ランサムウェアに関するコラムを掲載。
経済産業省
経営者向け注意喚起 ランサムウェア攻撃によって発生した被害への対応は企業の信頼に直接関わる重要な問題であり、その事前対策から事後対応まで、経営者のリーダーシップが求められる 等
警察庁
特設ページ ランサムウェアの手口、未然防止対策、被害軽減対策、再発防止対策等を掲載。
IPA
特設ページ  IPA注意喚起情報、対策情報等を掲載。
JPCERT/CC
特設ページ ランサムウェアの種類や対策、JPCERT/CCの取組等を掲載。
日本サイバー犯罪対策センター(JC3)
特設ページ 予防対策、復号ツール等を掲載。

 

Nisc_20211018004601

 

米国、英国、カナダ、オーストラリア、EU、英国、ドイツ、オランダ、中国、ロシアの政府等のランサムウェアのサイトも合わせて紹介してくれればよいのに...

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

・2021.10.05 米国・EU 10月はサイバーセキュリティ(意識向上)月間

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.05 米国 CISA FBI 休日と週末のためのランサムウェアの認識

・2021.08.26 米国 カリフォルニア州 医療機関等へのランサムウェアの被害を踏まえ、司法長官が医療データ・プライバシー法の完全な遵守を呼びかけていますね。

・2021.08.19 ニップンとその上場子会社のオーケー食品工業がデータを暗号化され決算発表が遅れていますね。。。

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

・2021.08.03 ENISA サプライチェーン・セキュリティ攻撃の増加を理解する

・2021.08.01 米国 上院商務・科学・運輸委員会 公聴会 パイプラインサイバーセキュリティ:重要インフラストラクチャの保護

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

2021.07.10 バイデン大統領とプーチン大統領は電話会議でランサムウェアについて話をしたようですね。。。

・2021.07.03 米国 CISA ランサムウェアへの備えについての自己評価ツールの公表

・2021.06.10 米国 国土安全保障委員会 パイプラインに潜むサイバー脅威:コロニアル・ランサムウェア攻撃から得た教訓を重要インフラの防御に活かす

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.05.10 米国の精製石油パイプライン運用会社がランサムウェアにやられ、被害拡大を防止するためにパイプラインを停止した

・2021.04.30 NISC ランサムウエアによるサイバー攻撃に関する注意喚起について

・2021.04.15 カプコン 不正アクセスに関する調査結果のご報告【第4報】

・2021.04.11 FBI インターネット犯罪レポート2020を発表

・2021.02.08 Ziggy Ransomwareの管理者が過去を反省して、サイトを閉じて被害者の復号鍵を公開?

・2021.02.05 米国 National Cyber​​ Investigative Joint TaskForceがランサムウェアのファクトシートを発表していますね。。。

・2021.01.24 CISA ランサムウェアのリスクを低減するためのキャンペーンを開始し、ランサムウェア対策のサイトを立ち上げていますね。。。

・2020.12.25 組織に対するランサムウェア攻撃の実証研究:脆弱性に影響を与える重大性と顕著な要因の評価 Oxford Academic - Journal of Cybersecurity

・2020.12.09 SP 1800-25 Data Integrity: Identifying and Protecting Assets Against Ransomware and Other Destructive Events

・2020.12.09 SP 1800-26 Data Integrity: Detecting and Responding to Ransomware and Other Destructive Events

・2020.12.08 Egregor ransomware

・2020.11.07 民間刑務所施設、更生施設を経営している米国 GEO Groupがランサムウェアの攻撃を受けてForm 8-Kを提出していますね

・2020.11.06 ブラジルの裁判所のシステムがランサムウェアの攻撃を受けて停止中のようですね。

・2020.10.30 米国CISA 経済的利益を目的としてヘルスケア業界をターゲットにしたサイバー犯罪者が、ランサムウェアをシステムに感染させるために使用する、戦術・技術・手順(TTP)の説明

・2020.10.21 ENISA Threat Landscape 2020 : サイバー脅威トップ15 サイバー攻撃はより高度化し、標的化が進み、対象も広範囲になり、検知もされにくくなる。。。

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

・2020.10.03 米国財務省は金融機関等にランサムウェアの支払いを勧めた場合の制裁リスクを強調する勧告を出していますね。。。

・2020.10.03 ランサムウェアに関するブルース シュナイアーさんのブログ

・2020.09.23 NIST SP 1800-11 Data Integrity: Recovering from Ransomware and Other Destructive Events  ランサムウェア等の破壊的なイベントからの復旧

・2020.09.19 AU ACSC Annual Cyber Threat Report: July 2019 to June 2020

・2020.08.08 Interpol COVID-19により在宅勤務に関連する脆弱性と経済的利益が増加し、今後サイバー犯罪はさらに増える?

・2020.07.13 米国のシークレットサービスが金融犯罪調査委員会(FCTF)と電子犯罪調査委員会(ECTF)を統合してサイバー不正調査委員会(CFTF)を設立したようですね。

・2020.04.30 ランサムウェア攻撃者からの防御方法 by Microsoft Threat Protection Intelligence Team

・2020.04.07 Interpol 病院に対ランサムウェアの攻撃に気をつけるようにアウアンスしていますね。。。COVID-19対応で大変な状況なのに犯罪者もちょっと考えてみてよ...

・2020.04.06 アルジェリアの石油合弁会社がMazeランサムウェアに攻撃され投資計画等の機密情報がネット上に公開されているようです。。。

 

言葉としては、この時代から

・2005.06.14 米国 ファーミングを中心とした悪意ある行為

 

↓Ransomwareをまるちゃんブログで検索... 

1_20210415075201

| | Comments (0)

2021.10.17

インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

こんにちは、丸山満彦です。

インターポール国連地域間犯罪司法研究所オランダ警察世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の調査」の白書を公表していました。。。

 

World Economic Forum: WEF(世界経済会議)

・2021.10.05 A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations

A Policy Framework for Responsible Limits on Facial Recognition Use Case: Law Enforcement Investigations 顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査
The World Economic Forum’s governance framework for the responsible use of facial recognition in law enforcement investigations addresses the need for a set of concrete guidelines to ensure the trustworthy and safe use of this technology. It includes a set of principles that defines in practical terms what constitutes the responsible use of facial recognition in law enforcement investigations and a self-assessment questionnaire detailing the requirements that law enforcement agencies must respect to ensure compliance with the principles for action. 世界経済フォーラムの法執行機関における顔認識の責任ある利用のためのガバナンスフレームワークは、この技術の信頼性と安全性を確保するための一連の具体的なガイドラインの必要性に対応するものです。このフレームワークには、法執行機関の捜査における顔認識の責任ある利用を実際的に定義する一連の原則と、法執行機関が行動原則の遵守を保証するために尊重しなければならない要件を詳述した自己評価アンケートが含まれています。

・[PDF]

20211017-24415

Foreword 序文
Introduction はじめに
Methodology 方法論
1  Law enforcement investigations: use cases and definitions 1 法執行機関による捜査:ユースケースと定義
2  Proposed principles 2 提案された原則
3  Proposed self-assessment questionnaire 3 自己評価アンケートの提案
Conclusion 結論
Glossary 用語解説
Contributors 貢献者
Endnotes 巻末資料

 

「序文」と「提案された原則」の仮対訳

 

United Nations Interregional Crime and Justice Research Institute: UNICRI(国連地域間犯罪司法研究所)

・2021.10.05 Law Enforcement Agencies Develop Best Practices for Using Facial Recognition

Law Enforcement Agencies Develop Best Practices for Using Facial Recognition 法執行機関が顔認証を利用するためのベストプラクティスを開発
The rapid uptake of facial recognition technology by law enforcement agencies in helping to resolve crimes, conduct faster investigations and bring offenders to justice has raised serious governance challenges. 法執行機関が、犯罪の解決、迅速な捜査、犯罪者の裁きを支援するために、顔認識技術を急速に導入していることは、深刻なガバナンス上の課題を提起しています。
To address these challenges, the World Economic Forum, in partnership with the International Criminal Police Organization (INTERPOL), the Centre for Artificial Intelligence and Robotics of the United Nations Interregional Crime and Justice Research Institute (UNICRI), and the Netherlands police have published a white paper, Responsible Limits on Facial Recognition, Use Case: Law enforcement investigation. これらの課題に対処するため、世界経済フォーラムは、国際刑事警察機構(INTERPOL)、国連地域間犯罪司法研所(UNICRI)の人工知能・ロボットセンター、およびオランダ警察と共同で、白書「顔認識の責任ある制限、使用例:法執行機関の捜査」を発表しました。
The initiative represents the most comprehensive policy response to the risks associated with facial recognition technology (FRT) and aims to ensure its responsible use by law enforcement agencies. The Netherlands police will pilot the paper’s framework. この白書は、顔認識技術に関連するリスクに対する最も包括的な政策対応であり、法執行機関による顔認識技術の責任ある使用を保証することを目的としています。オランダ警察は、このフレームワークを試験的に導入する予定です。
 “Around the world, law enforcement agencies are rapidly adopting facial recognition technology as part of their investigations, but this comes with risks for citizens,” said Kay Firth-Butterfield, Head of Artificial Intelligence and Machine Learning, World Economic Forum. “This is the first global multistakeholder effort to mitigate these risks effectively.”    世界経済フォーラムの人工知能・機械学習部門の責任者であるKay Firth-Butterfield氏は、「世界中の法執行機関は、捜査の一環として顔認識技術を急速に導入していますが、これには市民にとってのリスクが伴います。これは、これらのリスクを効果的に軽減するための、世界初のマルチステークホルダーによる取り組みです」と述べています。  
Remote biometric technologies – particularly FRT – have gained a lot of traction in the law enforcement sector and FRT accuracy has improved significantly. However, incorrect implementation, without due consideration of the ramifications, can result in major abuses of human rights and harm to citizens, particularly those in underserved communities. 遠隔バイオメトリクス技術、特に顔認識技術は、法執行機関の分野で多くの支持を得ており、顔認識技術の精度も大幅に向上しています。しかし、その影響を十分に考慮せずに誤った方法で導入すると、重大な人権侵害を引き起こし、市民、特に十分なサービスを受けていないコミュニティの人々に損害を与える可能性があります。
These concerns have led to policy-makers exploring various options, from banning FRT for law enforcement agencies to introducing additional accountability mechanisms that limit the risk of abuse of fundamental freedoms and wrongful arrests. However, prevention of untargeted surveillance, assessment of the performance of authorized solutions, procurement processes for law enforcement agencies and the training of professional forensic examiners are largely overlooked. The new framework is primarily designed to address these gaps.  このような懸念から、政策立案者は、法執行機関に対する顔認識技術の禁止から、基本的自由の濫用や不当逮捕のリスクを抑えるための追加的な説明責任メカニズムの導入まで、さまざまな選択肢を検討しています。しかし、ターゲットを絞らない監視の防止、認可されたソリューションの性能評価、法執行機関の調達プロセス、プロのフォレンジック検査官のトレーニングなどは、ほとんど見落とされています。新しいフレームワークは、これらのギャップに対処することを主な目的としています。
The Forum partnered with key law enforcement players to identify the risks and build appropriate governance processes. It also held workshops with civil society organizations to review the various drafts and incorporated their recommendations. In practice, the framework is composed of a common set of proposed principles for using FRT by law enforcement agencies that includes provisions on the protection of fundamental human rights. There is also a self-assessment questionnaire intended to support agencies to comply with these principles. フォーラムは、法執行機関の主要メンバーと協力して、リスクを特定し、適切なガバナンスプロセスを構築しました。また、市民社会団体とのワークショップを開催し、さまざまな草案を検討し、その提言を取り入れました。実際には、このフレームワークは、法執行機関が顔認識技術を利用するための共通の原則案で構成されており、基本的人権の保護に関する規定も含まれています。また、各機関がこれらの原則に従うことを支援するための自己評価アンケートも用意されています。
As a central partner of this endeavour, the Netherlands police will begin testing the assessment questionnaire in early 2022. “Building and maintaining trust with citizens is fundamental to accomplish our mission and we are well aware of the various concerns related to facial recognition. In this regard, being the first law enforcement agency to test the self-assessment questionnaire is a means to reaffirm our commitment to the responsible use of facial recognition for the benefits of our community,” said Marjolein Smit-Arnold Bik, Head of Special Police Operations, the Netherlands. “We also encourage other law enforcement agencies in various countries to participate in the testing phase and contribute to this global effort.” この取り組みの中心的なパートナーとして、オランダ警察は2022年初頭に評価アンケートのテストを開始する予定です。「市民との信頼関係を構築・維持することは、我々のミッションを達成するための基本であり、顔認識に関する様々な懸念を十分に認識しています。この意味で、自己評価アンケートをテストする最初の警察機関になることは、我々のコミュニティの利益のために顔認識を責任を持って使用するというコミットメントを再確認する手段です。また、様々な国の他の法執行機関にもテスト段階に参加してもらい、このグローバルな取り組みに貢献したいと考えています」と、オランダの特殊警察活動の責任者であるMarjolein Smit-Arnold Bik氏は述べています。
“We have co-designed this framework to serve as a unique reference to law enforcement in our 194 member countries on the responsible and transparent use of facial recognition,” said Cyril Gout, Director of Operational Support and Analysis, INTERPOL. “We will support its implementation through our global police network to increase awareness of this important biometric technology. Almost 1,500 terrorists, criminals, fugitives, persons of interest or missing persons have been identified since the launch of INTERPOL’s facial recognition system in 2016.” INTERPOLの運用サポート・分析ディレクターであるCyril Gout氏は、「我々は、194の加盟国の法執行機関が顔認識を責任を持って透明に使用するための独自の参考資料となるよう、このフレームワークを共同で設計しました。私達は、この重要なバイオメトリクス技術の認知度を高めるために、我々のグローバルな警察ネットワークを通じて、その実施を支援していきます。2016年にINTERPOLの顔認証システムが開始されて以来、約1,500人のテロリスト、犯罪者、逃亡者、要注意人物、行方不明者が特定されています。」と述べています。
“Ensuring the human rights compliant use of FRT in a way that is strictly necessary and proportionate to meet legitimate policing aims is immensely important,” said Irakli Beridze, Head, UNICRI Centre for Artificial Intelligence and Robotics. “We are pleased to contribute to this valuable initiative to develop a robust governance framework for the use of facial recognition in the context of criminal investigations and believe that it will also be an important source for our broader joint work with INTERPOL on the responsible use of artificial intelligence by law enforcement.” UNICRIの人工知能・ロボットセンター長であるIrakli Beridze氏は、「正当な警察活動の目的を達成するために、厳密に必要かつ比例した方法で、人権に準拠したFRTの使用を保証することは非常に重要です。私たちは、犯罪捜査における顔認識の使用のための強固なガバナンスフレームワークを開発するこの貴重なイニシアチブに貢献できることを嬉しく思い、また、法執行機関による人工知能の責任ある使用に関するINTERPOLとの広範な共同作業のための重要な資料となると信じています。」と述べています。

 

 

 


 

International Criminal Police Organization: INTERPOL(国際刑事警察機構)にはFacial Recognition(顔による認識)のウェブページがあります。

Interpol

Facial Recognition

インターポールでは世界中(179カ国のようです)から集めた犯罪者の顔写真データを活用するシステムが2016年から稼働していますが、既に1500名以上のテロリスト、行方不明者等の特定を行なった実績があるようですね。。。

 


● まるちゃんの情報セキュリティ気まぐれ日記

顔認識関係

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

 

 

Continue reading "インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05"

| | Comments (0)

米国 CISA 上下水道システムセクター施設に対する進行中のサイバー脅威

こんにちは、丸山満彦です。

CISAが、上下水道システムセクター施設に対する進行中のサイバー脅威についてのアラートを出していますね。。。

CISA

・2021.10.14 Ongoing Cyber Threats to U.S. Water and Wastewater Systems Sector Facilities

Ongoing Cyber Threats to U.S. Water and Wastewater Systems Sector Facilities 米国の上下水道システムセクター施設に対する進行中のサイバー脅威
CISA, the Federal Bureau of Investigation (FBI), the Environmental Protection Agency (EPA), and the National Security Agency (NSA) have released a joint Cybersecurity Advisory (CSA) that details ongoing cyber threats to U.S. Water and Wastewater Systems (WWS) Sector. This activity—which includes cyber intrusions leading to ransomware attacks—threatens the ability of WWS facilities to provide clean, potable water to, and effectively manage the wastewater of, their communities. The joint CSA provides extensive mitigations and resources to assist WWS Sector facilities in strengthening operational resilience and cybersecurity practices. CISA、連邦捜査局(FBI)、環境保護庁(EPA)、国家安全保障局(NSA)は、共同でサイバーセキュリティ勧告(CSA)を発表し、米国の上下水道部門に対する継続的なサイバー脅威について詳しく説明しました。この活動には、ランサムウェア攻撃につながるサイバー侵入も含まれており、WWS施設が地域社会に清潔な飲料水を提供し、効果的に廃水を管理する能力を脅かしています。この共同CSAは、WWSセクターの施設がオペレーションの回復力とサイバーセキュリティの実践を強化するために、広範な緩和策とリソースを提供しています。
CISA has also released a Cyber Risks & Resources for the Water and Wastewater Systems Sector infographic that details both information technology and operational technology risks the WWS Sector faces and provides select resources. また、CISAは「上下水道セクターのサイバーリスクとリソース」というインフォグラフィックを発表しました。このインフォグラフィックでは、WWSセクターが直面している情報技術と運用技術の両方のリスクを詳細に説明し、厳選したリソースを提供しています。

 

NATIONAL CRITICAL FUNCTIONS - SUPPLY WATER AND MANAGE WASTEWATER

Fig1_20211017045001

インフォグラフィックス

・[PDF] RISKS TO THE SUPPLY WATER NATIONAL CRITICAL FUNCTION 

Infographicsupplywaternationalcriticalfu

 

・[PDF] RISKS TO THE MANAGE WASTEWATER NATIONAL CRITICAL FUNCTION 

Infographicmanagewastewaternationalcriti

 

-----

● CISA

・2021.10.14 Alert (AA21-287A) Ongoing Cyber Threats to U.S. Water and Wastewater Systems

 

| | Comments (0)

2021.10.16

英国 ICO(データ保護局)意見募集 「ジャーナリズムの実践規範」案

こんにちは、丸山満彦です。

英国のデータ保護局 (Information Commissioner's Office: ICO) が「ジャーナリズムの実践規範」案を公表し、意見募集をしていますね。。。

メディア、ジャーナリストが個人情報を取り扱う際のガイドを示すものという感じでしょうかね。。。

 

U.K. Information Commissioner's Office

・2021.10.13 Blog: Providing practical data protection guidance to the media sector

Blog: Providing practical data protection guidance to the media sector ブログ メディアセクターに実践的なデータ保護ガイダンスを提供
A blog by Elizabeth Denham, Information Commissioner 情報コミッショナー、エリザベス・デンハムによるブログ
Freedom of expression and freedom of information play a vital role in our democracy. Trust in our democratic system relies on people to ask questions of public bodies who operate on their behalf, to understand and scrutinise the decisions of local and national government. 表現の自由と情報の自由は、私たちの民主主義において重要な役割を果たしています。民主主義システムへの信頼は、人々が自分たちのために活動する公的機関に質問し、地方自治体や国の政府の決定を理解し、精査することにかかっています。
A free press is a crucial part of that trust. Journalists perform an essential function – whether that is by informing the public about what takes place in the halls of power or by holding elected officials and public institutions accountable, at a national or local level. Their work can create social change, bring issues to the forefront of decision makers and help citizens to participate in society. 自由な報道は、その信頼に不可欠な要素です。ジャーナリストは、権力の中枢で何が行われているかを国民に知らせたり、国や地方レベルで選出された公務員や公的機関に責任を負わせるなど、重要な機能を果たしています。彼らの仕事は、社会に変化をもたらし、意思決定者に問題を提起し、市民が社会に参加するのを助けることができます。
Personal data is often at the heart of the stories journalists tell. Data protection law recognises and specifically protects the special public interest served by journalism and freedom of expression. And the law also protects people’s privacy rights, reassuring them that there are proportionate checks and balances in place. ジャーナリストが伝えるストーリーの中心には、しばしば個人データがあります。データ保護法は、ジャーナリズムと表現の自由がもたらす特別な公益を認識し、特に保護しています。また、データ保護法は、人々のプライバシー権を保護し、適切なチェックアンドバランスが行われていることを保証しています。
My office has been working on a statutory code of practice to help media organisations and key staff with compliance responsibilities, such as senior editors, data protection officers and lawyers, understand their obligations. The ICO is required to produce the code under the Data Protection Act 2018. 私のオフィスでは、メディア組織や、上級編集者、データ保護担当者、弁護士など、コンプライアンスに責任を持つ主要スタッフがその義務を理解するのに役立つ、法定の実務規範の作成に取り組んできました。ICOは、2018年のデータ保護法に基づき、コードの作成を求められています。
The draft journalism code of practice is now out for consultation, and the support it offers reflects changes in legislation, developments in privacy case law and the digital age. It provides practical help to strike the right balance between journalism, freedom of expression and data protection and responds to feedback from our earlier call for views. ジャーナリズムの実践規範の草案は現在、協議のために公開されており、この規範が提供するサポートは、法律の変更、プライバシー判例法の発展、デジタル時代を反映しています。このコードは、ジャーナリズム、表現の自由、データ保護の間で適切なバランスを取るための実践的な支援を提供しており、以前の意見募集で寄せられたフィードバックにも対応しています。
Let me be clear, the code is about data protection law. The code does not concern press conduct or standards in general, and journalists can be reassured that data protection law and the code will not stop them from doing their job of informing the public and holding the powerful to account. このコードは、データ保護法に関するものであることを明確にしておきます。ジャーナリストは、データ保護法やコードによって、国民に情報を提供し、権力者の責任を追及するという仕事を妨げられることはないので、安心してください。
In fact, many of the key data protection principles, such as treating people fairly, keeping personal data secure and making sure it is accurate, will already be familiar practice to journalists in their day-to-day work. 実際、人々を公平に扱うこと、個人データを安全に保つこと、データが正確であることを確認することなど、データ保護の重要な原則の多くは、ジャーナリストが日々の仕事の中ですでに実践していることです。
Our code will support media organisations and journalists in getting data protection right, which ultimately helps them build and maintain public trust and confidence in their work. 私たちの規範は、メディア組織やジャーナリストがデータ保護を正しく理解することを支援し、最終的には彼らの仕事に対する社会の信頼と信用を構築・維持することにつながります。
Through our consultation, we want to hear more from journalists, media organisations, civil society and campaign groups, academics, bloggers and individuals so they can continue to help shape the final code. We will also be running online workshops with the industry and other experts in November 2021 to discuss key themes in the code and the development of tools and resources. Register your interest to attend the workshops by completing this online survey. 今回のコンサルテーションでは、ジャーナリスト、メディア組織、市民社会、キャンペーングループ、学者、ブロガー、個人からの意見を聞き、最終的な規約の策定に役立てていきたいと考えています。また、202111月には、業界やその他の専門家とオンラインワークショップを開催し、コードの主要テーマやツール・リソースの開発について議論する予定です。ワークショップへの参加を希望される方は、こちらのオンラインアンケートにご協力ください。
By engaging closely with the sector we will make sure the final code and its resources are practical and effective in supporting the vital public interest work journalists do. 業界と密接に関わることで、最終的なコードとそのリソースが、ジャーナリストが行う重要な公益活動を支援するための実用的で効果的なものになることを確信しています。
Elizabeth Denham was appointed UK Information Commissioner on 15 July 2016, having previously held the position of Information and Privacy Commissioner for British Columbia, Canada. エリザベス・デナムは、カナダ・ブリティッシュコロンビア州の情報・プライバシー委員を経て、2016715日に英国情報コミッショナーに就任しました。
Notes to Editors 編集者への注意事項
About the draft Journalism Code of Practice ジャーナリズム実践規範(案)について
1. The Data Protection Act 2018 (DPA18) requires the ICO to produce a statutory code of practice that provides practical guidance for organisations and individuals processing personal data for the purposes of journalism. 1. 2018年データ保護法(DPA18)は、ICOがジャーナリズムの目的で個人データを処理する組織や個人に実践的なガイダンスを提供する法定実務規範を作成することを求めています。
2. The DPA18 also requires the ICO to create guidance for the public on how to complain about media organisations, and review how personal data is being processed for the purposes of journalism. 2. DPA18はまた、ICOに、メディア組織に対して苦情を言う方法について一般市民向けのガイダンスを作成し、ジャーナリズムの目的のために個人データがどのように処理されているかを見直すことを求めています。
3. The draft journalism code of practice builds on the ‘Data protection and journalism: a guide for the media’ published in 2014, and it takes into account the responses from the initial call for views in 2019. You can read the responses here. 3. ジャーナリズムの実践規範の草案は、2014年に発表された「データ保護とジャーナリズム:メディアのためのガイド」を基にしており、2019年に行われた最初の意見募集の回答を考慮しています。回答はこちらでご覧いただけます。
4. The ICO is encouraging journalists, media organisations, civil society and campaign groups, academics, bloggers and members of the public to submit their opinions on the draft code through the consultation by 10 January 2022. 4. ICOは、ジャーナリスト、報道機関、市民社会・キャンペーン団体、学者、ブロガー、一般市民に対し、2022110日までに、コンサルテーションを通じてコード案に対する意見を提出するよう呼びかけています。
5. The ICO will also be running online workshops with the industry in November 2021 to discuss key themes in the code and the development of practical tools and resources. To register your interest to attend the workshops please complete this online survey. 5. ICOはまた、202111月に業界とのオンラインワークショップを開催し、コードの主要テーマや実用的なツールやリソースの開発について議論します。ワークショップへの参加をご希望の方は、このオンラインアンケートにご協力ください。
6. Alongside the draft code, the regulator is also seeking views on a draft impact assessment. Responses will help the ICO understand the practical impact of proposed approaches on organisations and individuals. 6. コードのドラフトと並行して、規制当局は影響評価のドラフトについても意見を求めています。この意見は、提案されたアプローチが組織や個人に与える実際の影響をICOが理解するのに役立ちます。
7. The current consultation and stakeholder engagement will inform a final code of practice the ICO will lay before Parliament. 7. 現在行われているコンサルテーションとステークホルダーエンゲージメントは、ICOが議会に提出する最終的なコードオブプラクティスに反映されます。

 

・2021.10.13 ICO consultation on the draft journalism code of practice

・[PDF] Draft journalism code of practice

20211016-21841

Summary  概要 
About this code  この規範について 
•       This is a statutory code of practice under the Data Protection Act 2018 (DPA 2018) to support organisations and individuals processing personal data for the purposes of journalism.   •    これは、ジャーナリズムの目的で個人データを処理する組織や個人を支援するための、データ保護法2018(DPA2018)に基づく法定の実践規範です。  
•       It will help you to comply with your legal obligations under the DPA 2018 and the UK General Data Protection Regulation (UK GDPR) and follow good practice.  •       DPA2018と英国一般データ保護規則(UK GDPR)に基づく法的義務を遵守し、グッドプラクティスに従うことができます。 
•       This code is primarily aimed at media organisations and journalists whose purpose is to publish journalistic material and who are controllers.  •       この規約は、ジャーナリスティックな内容の出版を目的とし、管理者であるメディア組織やジャーナリストを主な対象としています。 
•       Controllers decide the purpose and means of personal data processing.  •       管理者は、個人データ処理の目的と手段を決定します。 
•       For media organisations, the people most likely to benefit from using this code will be staff who have defined roles and responsibilities, such as lawyers, data protection officers and senior editorial staff.  •       メディア企業の場合、このコードを使用することで最も恩恵を受けるのは、弁護士、データ保護担当者、上級編集スタッフなど、明確な役割と責任を持つスタッフでしょう。 
•       We have produced complementary resources to support journalists in their day-to-day work, and they may find this code helpful if further detail is required.   •       私たちは、ジャーナリストの日々の仕事をサポートするための補足資料を作成しています。  
•       This code is limited to data protection law. It does not concern press conduct or standards in general, which are covered by industry codes.  •       この規約は、データ保護法に限定されています。この規範は、データ保護法に限定されており、業界規範でカバーされている報道機関の行動や基準一般には関係ありません。 
•       This code informs our review of journalism processing in accordance with the statutory requirement under the DPA 2018.  •       このコードは、DPA2018の下での法定要件に従ったジャーナリズム処理のレビューを知らせるものです。 
1. Balance journalism and privacy  1.ジャーナリズムとプライバシーの両立 
•       Journalism plays a vital role in the free flow of communications in a democracy. It increases knowledge, informs debates and helps citizens to participate more fully in society. It also helps to hold the powerful to account.  •       ジャーナリズムは、民主主義社会における自由なコミュニケーションにおいて重要な役割を果たしています。ジャーナリズムは、知識を増やし、議論に情報を提供し、市民がより完全に社会に参加するのを助けます。また、権力者の責任を追及するのにも役立ちます。
•       Journalism should be balanced with other rights that are also fundamentally important to democracy, such as data protection and the right to privacy.  •       ジャーナリズムは、データ保護やプライバシーの権利など、民主主義にとっても根本的に重要な他の権利とバランスをとるべきです。
•       Data protection law specifically protects journalism and the special public interest in freedom of expression and information, reflecting its importance to society.  •       データ保護法は、社会的重要性を反映して、ジャーナリズムと、表現と情報の自由という特別な公益を特に保護しています。 
•       In particular, the broad special purposes exemption under the DPA 2018 can dis-apply many of the usual requirements of data protection law.  •       特に、DPA2018の広範な特別目的免除は、データ保護法の通常の要件の多くを適用外にすることができます。 
•       The special purposes are journalism, academic, artistic or literary purposes. This code is about journalism, however parts of this code will help you to consider the other special purposes.   •       特別な目的とは、ジャーナリズム、学術的、芸術的または文学的な目的です。このコードはジャーナリズムに関するものですが、この規範の一部は他の特別な目的を検討するのに役立ちます。  
•       In relation to journalism, the exemption applies if you:   •       ジャーナリズムとの関連では、以下の場合に免除が適用されます。  
-   are processing personal data for journalism;   -   ジャーナリズムのために個人データを処理している場合。  
-   are acting with a view to publication;   -   出版を視野に入れて行動している場合。  
-   reasonably believe publication is in the public interest; and   -   公開することが公共の利益になると合理的に考えられる場合。  
-   reasonably believe that compliance with a data protection provision would be incompatible with journalism.  -   データ保護規定を遵守することがジャーナリズムと両立しないと合理的に考えられる場合。 
•       You can rely on the special purposes exemption even if you are processing personal data for another purpose, as well as journalism, such as campaigning.  •       選挙運動などのジャーナリズムだけでなく、別の目的で個人データを処理している場合でも、特別目的の免責に頼ることができます。 
•       This code explains which data protection requirements are covered by the exemption.  •       この規範では、どのデータ保護要件が免除の対象となるかを説明しています。 
2.      Be able to demonstrate your compliance  2.      遵守していることを証明できること 
•       Accountability is a key principle of data protection law. Being able to show that you have appropriate data protection measures in place puts you in a much stronger position if challenged. It also helps to build and sustain public trust in journalism.  •       説明責任は、データ保護法の主要な原則です。適切なデータ保護対策を実施していることを示すことができれば、問題を提起されたときにはるかに有利な立場に立つことができます。また、ジャーナリズムに対する国民の信頼を築き、維持することにもつながります。 
•       Journalism often involves working at pace, under pressure and delegating significant responsibilities. Policies and procedures can support this type of work. For example, a good policy can clarify responsibilities around how decisions are made.  •       ジャーナリズムでは、ペースやプレッシャーの中で仕事をしたり、重要な責任を委任したりすることがよくあります。ポリシーと手順は、この種の仕事をサポートします。例えば、優れたポリシーは、意思決定の方法に関する責任を明確にすることができます。 
•       You can comply with the accountability principle by acting proportionately and considering the risks of what you are doing with personal data.   •       比例して行動し、個人データで行うことのリスクを考慮することで、説明責任の原則を遵守することができます。  
•       Many media organisations, in line with industry codes, will already have suitable broader policies and procedures in place that can be easily adapted to include data protection considerations.  •       多くのメディア企業は、業界規範に沿って、データ保護の考慮事項を簡単に取り入れることができる適切な広範なポリシーと手順をすでに持っています。 
•       You do not need to carry out a data protection impact assessment (DPIA) for every story that is likely to involve high risk processing. A single DPIA that applies to the overall type of processing (eg investigative journalism) is very likely to be sufficient. A DPIA sets out how you manage the risks of the different types of processing you carry out.  •       高リスクの処理を伴う可能性のあるすべての記事について、データ保護影響評価(DPIA)を実施する必要はありません。全体的な処理の種類(例:調査報道)に適用される単一のDPIAで十分な場合があります。DPIAは、実施するさまざまな種類の処理のリスクを管理する方法を定めたものです。 
•       Reviewing the effectiveness of the data protection measures you have in place will help you to demonstrate you are complying with the law.  •       導入したデータ保護対策の有効性を確認することで、法律を遵守していることを証明することができます。 
•       You always need to comply with the accountability principle. It will stand you in good stead to comply with all aspects of data protection legislation.   •       説明責任の原則を常に遵守する必要があります。これにより、データ保護法のすべての側面を遵守することができるようになります。  
3.      Keep personal data secure  3.      個人情報を安全にしておく
•       Security is a key principle of data protection law. It involves protecting personal data against unauthorised or unlawful processing and accidental loss, destruction or damage.   •       セキュリティは、データ保護法の重要な原則です。これには、不正または違法な処理、および偶発的な損失、破壊、損害から個人データを保護することが含まれます。  
•       You can protect personal data by putting in place appropriate, risk-based organisational and technical security measures. This involves cybersecurity as well as how your staff handle paper records, for example.  •       個人データを保護するには、リスクに応じた適切な組織的・技術的セキュリティ対策を講じる必要があります。これには、サイバーセキュリティだけでなく、スタッフによる紙の記録の扱い方なども含まれます。 
•       Your security arrangements should take into account the heightened security risks that may arise as a result of the work that journalists do. For example, risks concerning remote working, the use of portable devices, such as laptops and smart phones, and portable media, such as USB memory sticks.  •       セキュリティ対策は、ジャーナリストの仕事によって生じる可能性のある、高度なセキュリティリスクを考慮したものでなければなりません。例えば、遠隔地での作業、ノートパソコンやスマートフォンなどの携帯機器、USBメモリーなどの携帯メディアの使用に関するリスクです。 
•       Asking processors acting on your behalf to show that they can keep personal data secure also helps you to protect people’s personal data.   •       あなたに代わって業務を行う処理業者に、個人データを安全に保つことができることを示すよう求めることも、人々の個人データを保護することにつながります。  
•       You always need to comply with the security principle. As with the accountability principle, it provides strong foundations to help you to comply with other aspects of data protection law.  •       セキュリティの原則は常に遵守する必要があります。説明責任の原則と同様に、セキュリティの原則は、データ保護法の他の側面を順守するための強力な基盤となります。 
4.      Justify your use of personal data  4.      個人データの使用を正当化する 
•       Processing personal data lawfully, fairly and transparently is a key principle of data protection law. It helps you to make sure that individuals are treated according to commonly accepted general standards, in a way that is free from dishonesty and injustice.  •       個人データを合法的に、公正かつ透明性をもって処理することは、データ保護法の主要な原則です。この原則は、一般的に受け入れられている一般的な基準に従って、個人が不正や不公平のない方法で扱われるようにするために役立ちます。 
•       This principle helps you to balance different interests, which is often a key part of a journalist’s role.  •       この原則は、ジャーナリストの役割の多くを占める、異なる利害関係のバランスをとるのに役立ちます。 
•       You can process personal data lawfully using one of the lawful bases provided by the UK GDPR. You can process special category or criminal offence data if you can also satisfy one of the conditions concerning this type of personal data.  •       あなたは、英国のGDPRで規定されている合法的根拠の一つを用いて、個人データを合法的に処理することができます。また、この種の個人データに関する条件の1つを満たすことができる場合は、特別なカテゴリーまたは犯罪歴のあるデータを処理することができます。 
•       One of the conditions concerns the disclosure of information for the purposes of journalism in connection with unlawful acts and dishonesty. This condition allows controllers to disclose these types of sensitive personal data to journalists in some circumstances.  •       その条件の1つは、違法行為や不正行為に関連したジャーナリズムの目的での情報開示に関するものです。この条件により、管理者は状況に応じて、これらの種類のセンシティブな個人データをジャーナリストに開示することができます。 
•       You can process personal data fairly by considering what a person would reasonably expect in the circumstances and whether the processing would cause any unwarranted harm.   •       個人データを公正に処理するには、その状況下で人が合理的に期待することを考慮し、その処理によって不当な損害が発生しないかどうかを検討します。  
•       You can comply with people’s right to be informed by providing privacy information when you collect their personal data.   •       個人情報を収集する際にプライバシー情報を提供することで、人々の情報提供を受ける権利を遵守することができます。  
•       If you have collected personal data about an individual from someone else, you do not have to provide privacy information if doing so would be impossible or would seriously impair your work.  •       他人から個人に関するデータを収集した場合、プライバシー情報を提供することが不可能であるか、またはあなたの業務に重大な支障をきたす場合は、プライバシー情報を提供する必要はありません。 
•       The special purposes exemption provides additional protection for journalism where necessary.   •       特別な目的のための免責は、必要に応じてジャーナリズムに対する追加的な保護を提供します。  
5.      Take reasonable steps to make sure personal data is accurate   5.      個人データが正確であることを確認するための合理的な措置を講じること  
•       Accuracy is a key data protection principle. Taking reasonable steps to make sure that personal data is accurate is fundamental to both journalism and data protection.   •       正確性は、データ保護の重要な原則です。個人データが正確であることを確認するために合理的な措置を講じることは、ジャーナリズムとデータ保護の両方にとって基本的なことです。  
•       Complying with this principle complements journalism by helping to maintain public trust. It will also help you to protect the public from harm caused by inaccuracies, which can be magnified and spread quickly online.   •       この原則を遵守することで、ジャーナリズムを補完し、公共の信頼を維持することができます。また、不正確な情報はネット上ですぐに拡大・拡散されてしまうため、それによる被害から一般市民を守ることにもつながります。  
•       You can comply with the accuracy principle by taking reasonable steps to correct or erase personal data where necessary.  •       必要に応じて個人データを修正または消去するための合理的な措置を講じることにより、正確性の原則を遵守することができます。 
•       Clearly distinguishing between fact and opinion, and taking the context into account, will help you to make sure personal data is accurate.  •       事実と意見を明確に区別し、文脈を考慮することで、個人データの正確性を確保することができます。 
•       You should be able to comply with the accuracy principle in the majority of cases because it complements the public interest served by journalism. Where necessary, the special purposes exemption specifically protects journalism.   •       正確性の原則は、ジャーナリズムが提供する公共の利益を補完するものであるため、大半のケースで遵守することができるはずです。必要に応じて、特別目的のための免責がジャーナリズムを特別に保護します。  
6.      Process personal data for specific purposes  6.      特定の目的のための個人データの処理 
•       Processing personal data for specific purposes that are “compatible” with your initial purpose is a key data protection principle.   •       当初の目的と「互換性」のある特定の目的のために個人データを処理することは、データ保護の重要な原則です。  
•       Being clear about why you are using personal data helps individuals to be informed and exercise their rights. It also helps you to avoid function creep. This is when personal data is used for new purposes that are not acknowledged.   •       個人データを使用する理由を明確にすることは、個人が情報を得て、自分の権利を行使するのに役立ちます。また、ファンクションクリープを回避することもできます。これは、個人データが認識されていない新しい目的のために使用されることです。  
•       You can comply with the purpose limitation principle by specifying your reasons for processing in your privacy information.   •       あなたは、プライバシー情報に処理の理由を明記することで、目的制限の原則を遵守することができます。  
•       Regular review will help you to check whether your purposes change over time and to keep your records up-to-date.   •       定期的に見直すことで、時間の経過とともに目的が変化していないかどうかを確認し、記録を最新の状態に保つことができます。  
•       Where necessary, the special purposes exemption specifically protects journalism.  •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。 
7.       Use the right amount of personal data  7.       適切な量の個人情報の使用 
•       You are required to make sure that you have sufficient personal data to do what you need to do, that it is relevant, and not excessive. This is known as the data minimisation principle.  •       あなたは、必要なことを行うために十分な個人データを持ち、それが適切であり、過剰でないことを確認する必要があります。これは「データ最小化の原則」として知られています。 
•       Limiting the amount of personal data that you hold helps to manage risks. It will also make it easier to limit requests about personal data and deal with them more efficiently.   •       保有する個人データの量を制限することで、リスクを管理することができます。また、個人データに関する要求を制限し、より効率的に対処することが容易になります。  
•       You can comply with the data minimisation principle by reviewing the personal data that you have from time to time and deleting anything you no longer need. •       保有する個人データを随時見直し、不要になったものを削除することで、データ最小化の原則を遵守することができます。 
•       Where necessary, the special purposes exemption specifically protects journalism.   •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。  
8.      Decide how long to keep personal data  8.      個人情報の保存期間の決定 
•       You are required to keep personal data for no longer than is necessary. This principle helps you to reduce risks and comply with other aspects of data protection law.   •       あなたは、個人データを必要以上に長く保管しないことが求められます。この原則は、リスクを低減し、データ保護法の他の側面を遵守するのに役立ちます。  
•       A retention policy or schedule will help you to justify how long to keep personal data, where this is possible  •       保存方針やスケジュールは、個人データをどのくらいの期間保存するかを正当化するのに役立ちます(可能な場合)。 
•       Where necessary, the special purposes exemption specifically protects journalism.  •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。 
9.      Be clear about third party roles and responsibilities  9.      第三者の役割と責任を明確にする 
•       When a third party is involved in processing personal data, consider whether they are a controller or a processor. Controllers determine the means and purposes for processing personal data, whereas processors act only on instructions.  •       第三者が個人データの処理に関与している場合、その第三者が管理者なのか処理者なのかを検討します。管理者は個人データを処理する手段と目的を決定するのに対し、処理者は指示に基づいてのみ行動します。 
•       Understanding the respective roles of yourself and third parties will help you to be clear about responsibilities.  •       自分と第三者のそれぞれの役割を理解することで、責任の所在を明確にすることができます。 
•       You are required to have a written contract with processors and to make sure that they can comply with data protection law.   •       処理者と書面による契約を結び、処理者がデータ保護法を遵守できることを確認することが求められます。  
•       If you are acting as a joint controller with a third party ie you both determine the means and purposes of the processing, the law requires you to have a transparent arrangement in place setting out your respective responsibilities.   •       第三者と共同管理者として行動している場合、つまり、あなたと第三者の両方が処理の手段と目的を決定している場合、法律はあなたがそれぞれの責任を定めた透明性のある取り決めを行うことを要求しています。  
•       When sharing personal data with another controller, a data sharing agreement will help you to be clear about arrangements and responsibilities. Considering whether a DPIA is needed will help you to manage any associated risks.   •       個人データを他の管理者と共有する場合、データ共有契約を締結することで、取り決めと責任を明確にすることができます。DPIAが必要かどうかを検討することは、関連するリスクを管理するのに役立ちます。  
•       Carrying out appropriate checks when third parties share personal data with you that you want to use for journalism will help you to be confident that you are complying with data protection law. Relevant checks include confirming the source, how and when the data was collected, and checking that it is accurate. •       ジャーナリズムのために使用したい個人データを第三者と共有する際には、適切なチェックを行うことで、データ保護法を遵守していることを確信することができます。適切なチェックには、情報源の確認、データがいつ、どのようにして収集されたかの確認、データが正確であるかの確認などがあります。
10.  Help people to exercise their data protection rights  10.  データ保護の権利行使の支援 
•       Individuals have general data protection rights which they can exercise on request. These include an individual’s right to access their own personal data and to ask for it to be erased if certain conditions are met. You are required to help people to exercise these rights.   •       個人は、要求に応じて行使できる一般的なデータ保護権を有しています。この権利には、自分の個人データにアクセスする権利や、一定の条件を満たした場合にデータの消去を求める権利などがあります。あなたは、人々がこれらの権利を行使できるように支援することが求められます。  
•       However, you may refuse to comply with individual requests in certain circumstances.  •       ただし、特定の状況下では、個別の要求に応じることを拒否することができます。 
•       There is a very strong, general public interest in protecting the identity of journalists’ confidential sources. It is very unlikely you would be required to disclose information identifying a confidential source in response to an individual’s request for their own personal data.  •       ジャーナリストの機密情報源の身元を保護することには、非常に強い一般的な公共の利益があります。個人からの個人情報の要求に対して、情報源を特定する情報の開示を求められる可能性は極めて低いと考えられます。 
•       You can keep records of mistakes. To make sure that your records are clear, you may need to add a note or a correction.  •       間違いの記録を残すことができます。記録を明確にするために、メモや訂正を加える必要があるかもしれません。 
•       The right to erasure does not apply if your processing is necessary to exercise the right to freedom of expression and information.  •       消去する権利は、表現の自由および情報の権利を行使するために処理が必要な場合には適用されません。 
•       There is a strong, general public interest in the preservation of news archives, which contribute significantly to the public’s access to information about past events and contemporary history. This is generally a weighty factor in favour of not erasing personal data from news archives.   •       ニュースアーカイブは、過去の出来事や現代の歴史に関する情報へのアクセスに大きく貢献しており、その保存には強い一般的な関心があります。このことは、一般的に、ニュースアーカイブから個人データを消去しないことを支持する重要な要因となります。  
•       Where necessary, the special purposes exemption specifically protects journalism. This applies to all individuals’ rights except for rights relating to automated processing.  •       必要に応じて、特別な目的のための免責がジャーナリズムを特別に保護します。これは、自動処理に関する権利を除く、すべての個人の権利に適用されます。 
Disputes and enforcement  紛争と執行 
•       If someone has concerns about your handling of personal data, it helps to save the time and resources of all parties if you are able to resolve the matter directly with the individual in the first instance.   •       あなたの個人データの取り扱いに懸念を抱いている人がいる場合、最初にその人と直接問題を解決することができれば、すべての関係者の時間とリソースを節約することができます。  
•       If a complaint is made to the ICO, we will consider whether it is likely that there has been a breach of data protection and we may ask you to take steps to put things right.  •       ICOに苦情が寄せられた場合、ICOはデータ保護の違反があった可能性が高いかどうかを検討し、事態を改善するための措置を講じるようあなたにお願いすることがあります。 
•       We exercise our enforcement powers, where necessary, in a proportionate way. The DPA 2018 significantly restricts how we can use our powers for the special purposes, offering additional protection for journalism.   •       私たちは、必要に応じて、適切な方法で強制力を行使します。DPA2018では、特別な目的のために権限を行使する方法が大幅に制限されており、ジャーナリズムにさらなる保護を提供しています。  
•       There are a number of criminal offences under the DPA 2018. However, there are public interest defences available for some of these. This includes a specific defence to protect journalism, where the person acted with a view to the publication of journalistic material and in the reasonable belief that publication would be in the public interest.  •       DPA2018では、多数の刑事犯罪があります。しかし、これらのうちのいくつかには公共の利益に関する抗弁があります。これには、ジャーナリズムを保護するための特定の抗弁が含まれており、ジャーナリズム資料の公開を視野に入れて、公開が公益になると合理的に信じて行動した場合に適用されます。 
•       The ICO may offer assistance to claimants in cases of substantial public importance.  •       ICOは、公共の重要性が高いケースでは、請求者に支援を提供することがあります。 
•       In certain circumstances you can apply for a stay to legal proceedings. This prevents data protection being used to block publication.  •       特定の状況下では、法的手続きの停止を申請することができます。これにより、データ保護を利用して公開を阻止することができます。 

 

・[DOCX] 仮訳

 

 

| | Comments (0)

2021.10.15

欧州議会 Think Tank 「困難な時代におけるEU・中国関係」

こんにちは、丸山満彦です。

EUと中国の関係の今についての簡単な説明ですね。。。参考になります。

 

EU Parliament - Think Tank

・2021.10.14 EU-China relations in challenging times

・[PDF

20211015-90334

 

EU-China relations in challenging times 困難な時代におけるEU・中国関係
SUMMARY  概要 
Following the 1975 establishment of diplomatic relations with China, the European Economic Community (EEC) focused its strategic approach – in line with its competences at the time – on support for China's economic opening, launched in 1978 by Deng Xiaoping. While this approach resulted in a swiftly expanding trade and investment relationship, results in other areas are rather mixed. By most accounts, the strategy also failed to contribute to making significant progress on the rule of law in China and there were no visible results of the EU's human rights engagement.  1975年に中国との外交関係が樹立された後、欧州経済共同体(EEC)は、当時の権限に沿った戦略的アプローチとして、1978年に鄧小平が開始した中国の経済開放への支援に焦点を当てました。このアプローチにより、貿易・投資関係は急速に拡大しましたが、その他の分野での成果はまちまちです。一般的には、この戦略は中国の法の支配を大きく進展させることには貢献しておらず、EUの人権への関与も目に見える成果はありませんでした。 
Given that, at the beginning of Deng's reforms, China was very poor, the EEC/European Union (EU) de facto agreed to an arrangement for special and differential treatment, linked to China's status as a developing country. However, with China having become an upper-middle income country and the bilateral trade relationship still characterised by considerable asymmetries, the existing lack of reciprocity in market access and of a level playing field in general have attracted increasing attention.  鄧小平の改革が始まった当初、中国は非常に貧しかったため、EEC/欧州連合(EU)は中国の発展途上国としての地位に関連した特別・優遇的待遇の取り決めに事実上合意しました。しかし、中国が高中所得国となり、二国間の貿易関係は依然としてかなりの非対称性を特徴としているため、市場アクセスや一般的に公平な競争条件における相互性の欠如が注目を集めています。 
At the same time, China has been regressing in terms of human rights. Furthermore, the country has become much more assertive in the regional context, is fast improving its (offensive) military capabilities and has started to engage in global disinformation campaigns and cyber-attacks.  その一方で、中国は人権の面でも後退しています。さらに、中国は地域的に自己主張を強め、(攻撃的な)軍事力を急速に向上させ、世界的な偽情報キャンペーンやサイバー攻撃にも関与し始めています。 
As a consequence, the EU has changed its strategic approach considerably, as exemplified by the 2019 Joint Communication, which proposed different legal instruments to ensure a level playing field in trade, and to fend off Chinese attempts to gain access to critical infrastructures. Relations with the European Parliament have deteriorated, pushing Parliament to put the comprehensive agreement on investment (CAI) – which had been agreed on 30 December 2020 – on ice. その結果、EUは戦略的アプローチを大幅に変更しました。その一例として、2019年の共同コミュニケーションでは、貿易における公平な競争条件を確保し、重要なインフラへのアクセスを得ようとする中国の試みを撃退するために、さまざまな法的手段を提案しています。欧州議会との関係は悪化し、議会は2020年12月30日に合意していた投資に関する包括的合意(CAI)を氷解させるに至りました。

 

・[DOCX] 仮訳

 

| | Comments (0)

米国 国家安全保障会議ランサムウェア対策イニシアチブ

こんにちは、丸山満彦です。

米国の国家安全保障会議のランサムウェア対策イニシアチブが30カ国を招いてでオンライン開催されましたね。。。インドは招待されていましたが、ロシアと中国は招待されていなかったようですね。。。

あっ、日本も参加しています。。。

国家対国家の問題でなく、犯罪者に対してどう立ち向かうのかということであれば、ロシアと中国も含めてみんなで議論をしたほうがよいのではないかと思ったりはしましたが、深慮遠謀があるのでしょう...ロシアとは個別に会議をしているとのことです。。。

The White House

・2021.10.14 Joint Statement of the Ministers and Representatives from the Counter Ransomware Initiative Meeting October 2021

・2021.10.13 FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware

・2021.10.13 Background Press Call on the Virtual Counter-Ransomware Initiative Meeting

 


・2021.10.14 Joint Statement of the Ministers and Representatives from the Counter Ransomware Initiative Meeting October 2021

 

Joint Statement of the Ministers and Representatives from the Counter Ransomware Initiative Meeting October 2021< 2021年10月に開催されたランサムウェア対策イニシアチブ会合の閣僚および代表者の共同声明
Having gathered virtually on October 13 and 14 to discuss the escalating global security threat from ransomware, we the Ministers and Representatives of Australia, Brazil, Bulgaria, Canada, Czech Republic, the Dominican Republic, Estonia, European Union, France, Germany, India, Ireland, Israel, Italy, Japan, Kenya, Lithuania, Mexico, the Netherlands, New Zealand, Nigeria, Poland, Republic of Korea, Romania, Singapore, South Africa, Sweden, Switzerland, Ukraine, United Arab Emirates, the United Kingdom, and the United States recognize that ransomware is an escalating global security threat with serious economic and security consequences. ランサムウェアによる世界的な安全保障上の脅威の拡大について議論するために、10月13日と14日に事実上集まった私たち、オーストラリア、ブラジル、ブルガリア、カナダ、チェコ共和国、ドミニカ共和国、エストニア、欧州連合、フランス、ドイツ、インド、アイルランド、イスラエル、イタリア、日本、ケニア、リトアニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、ポーランド、韓国、ルーマニアの閣僚と代表は、ランサムウェア対策イニシアチブの共同声明を発表します。メキシコ、オランダ、ニュージーランド、ナイジェリア、ポーランド、韓国、ルーマニア、シンガポール、南アフリカ、スウェーデン、スイス、ウクライナ、アラブ首長国連邦、英国、米国は、ランサムウェアが深刻な経済的および安全保障上の影響をもたらすグローバルなセキュリティ脅威であることを認識しています。
From malign operations against local health providers that endanger patient care, to those directed at businesses that limit their ability to provide fuel, groceries, or other goods to the public, ransomware poses a significant risk to critical infrastructure, essential services, public safety, consumer protection and privacy, and economic prosperity. As with other cyber threats, the threat of ransomware is complex and global in nature and requires a shared response. A nation’s ability to effectively prevent, detect, mitigate and respond to threats from ransomware will depend, in part, on the capacity, cooperation, and resilience of global partners, the private sector, civil society, and the general public. 患者の治療を危険にさらす地域の医療機関を狙った悪質なものから、燃料や食料品などを一般市民に提供する能力を制限する企業を狙ったものまで、ランサムウェアは、重要なインフラ、重要なサービス、公共の安全、消費者保護とプライバシー、そして経済的繁栄に大きなリスクをもたらします。他のサイバー脅威と同様に、ランサムウェアの脅威は複雑かつグローバルな性質を持っており、共通の対応が必要です。ランサムウェアの脅威を効果的に防止、検知、緩和、対応するための国家の能力は、グローバルパートナー、民間企業、市民社会、一般市民の能力、協力、回復力に大きく左右されます。
Governments recognize the need for urgent action, common priorities, and complementary efforts to reduce the risk of ransomware. Efforts will include improving network resilience to prevent incidents when possible and respond effectively when incidents do occur; addressing the abuse of financial mechanisms to launder ransom payments or conduct other activities that make ransomware profitable; and disrupting the ransomware ecosystem via law enforcement collaboration to investigate and prosecute ransomware actors, addressing safe havens for ransomware criminals, and continued diplomatic engagement. 各国政府は、ランサムウェアのリスクを低減するためには、緊急の行動、共通の優先事項、および補完的な取り組みが必要であることを認識しています。この取り組みには、可能な限りインシデントを防止し、インシデント発生時に効果的に対応するためのネットワークの回復力の向上、身代金の支払いをロンダリングするための金融メカニズムの乱用やランサムウェアを収益性の高いものにするためのその他の活動への対応、ランサムウェアの行為者を捜査・起訴するための法執行機関の協力、ランサムウェア犯罪者のセーフハーバへの対応、継続的な外交的関与を通じたランサムウェアのエコシステムの破壊などが含まれます。
Resilience  レジリエンス 
Network resilience is about more than technical capabilities – it also requires effective policy frameworks, appropriate resources, clear governance structures, transparent and well-rehearsed incident response procedures, a trained and ready workforce, partnership with the private sector, and consistently enforced legal and regulatory regimes. These efforts will naturally reflect each nation’s unique domestic context, and may vary from one nation to the next. ネットワークの回復力は、技術的な能力だけではありません。効果的な政策フレームワーク、適切なリソース、明確なガバナンス構造、透明性のある十分に訓練されたインシデント対応手順、訓練された準備の整った労働力、民間部門とのパートナーシップ、一貫して施行される法規制体制などが必要です。このような取り組みは、当然、各国固有の国内事情を反映したものであり、国ごとに異なる可能性があります。
However, several universal cybersecurity best practices can dramatically reduce the likelihood of a ransomware incident and mitigate the risk from a host of other cyber threats. These basic steps include maintaining offline data backups, use of strong passwords and multi-factor authentication, ensuring software patches are up to date, and education against clicking suspicious links or opening untrusted documents. We are committed to working together and with the private sector to promote improvements in basic cyber hygiene to boost network resilience and mitigate the risk of ransomware. しかし、いくつかの普遍的なサイバーセキュリティのベストプラクティスは、ランサムウェア事件の可能性を劇的に減少させ、他の多くのサイバー脅威からのリスクを軽減することができます。これらの基本的な対策には、オフラインでのデータバックアップの維持、強力なパスワードと多要素認証の使用、ソフトウェアのパッチを最新の状態にすること、不審なリンクをクリックしたり信頼できない文書を開いたりしないよう教育することなどが含まれます。私たちは、ネットワークの回復力を高め、ランサムウェアのリスクを軽減するために、基本的なサイバー衛生の改善を促進するために、共同で、また民間部門と協力して取り組んでいます。
Nations should also consider appropriate steps to promote incident information sharing between ransomware victims and relevant law enforcement and cyber emergency response teams (CERTs), with protection for privacy and human rights. Such sharing enables cybercrime investigations and prosecutions, and facilitates broad distribution of cyber threat mitigation steps.    また、各国は、ランサムウェアの被害者と、関連する法執行機関やサイバー緊急対応チーム(CERT)との間で、プライバシーや人権を保護しつつ、インシデント情報の共有を促進するための適切な措置を検討すべきです。このような共有は、サイバー犯罪の捜査と起訴を可能にし、サイバー脅威の緩和策を広く普及させることにつながります。   
Moving forward, we are committed to sharing lessons learned and best practices for development of policies to address ransom payments, as appropriate. We will also engage with private sector entities to promote incident information sharing and to explore other opportunities for collective buy-down of risk. Further, we note that resilience efforts are most effective when accountable senior leaders with the ability to direct resources, balance associated trade-offs, and drive outcomes are actively involved in cybersecurity decision-making. 今後は、身代金の支払いに対処するための政策を策定する上で得られた教訓やベストプラクティスを適宜、共有していきたいと考えています。また、インシデント情報の共有を促進し、リスクをまとめて買い取るためのその他の機会を模索するために、民間企業と協力していきます。さらに、私たちは、リソースを指示し、関連するトレードオフのバランスを取り、結果を推進する能力を持つ説明可能なシニアリーダーが、サイバーセキュリティの意思決定に積極的に関与する場合に、レジリエンスの取り組みが最も効果的であることに留意します。
Countering Illicit Finance 不法金融への対策
Ransomware is primarily a profit-seeking endeavor, commonly leveraging money laundering networks to move ransomware proceeds. We recognize the significant potential for combating ransomware through enhanced international cooperation to inhibit, trace, and interdict ransomware payment flows, consistent with national laws and regulations, which will drive down economic incentives for ransomware actors. Cooperation can include a wide range of activities, such as efforts intended to facilitate customer due diligence, suspicious activity reporting, and transaction monitoring.   ランサムウェアは主に利益を追求するもので、ランサムウェアの収益を移動させるためにマネーロンダリングネットワークを利用するのが一般的です。私たちは、各国の法律や規制に基づき、ランサムウェアの支払いの流れを抑制、追跡、阻止するための国際協力を強化することで、ランサムウェアに対抗する大きな可能性を認識しています。協力には、顧客のデューデリジェンス、疑わしい活動の報告、取引の監視を促進するための取り組みなど、幅広い活動が含まれます。 
Taking action to disrupt the ransomware business model requires concerted efforts to address illicit finance risks posed by all value transfer systems, including virtual assets, the primary instrument criminals use for ransomware payments and subsequent money laundering. We acknowledge that uneven global implementation of the standards of the Financial Action Task Force (FATF) to virtual assets and virtual asset service providers (VASPs) creates an environment permissive to jurisdictional arbitrage by malicious actors seeking platforms to move illicit proceeds without being subject to appropriate anti-money laundering (AML) and other obligations. We also recognize the challenges some jurisdictions face in developing frameworks and investigative capabilities to address the constantly evolving and highly distributed business operations involving virtual assets. ランサムウェアのビジネスモデルを崩壊させるためには、犯罪者がランサムウェアの支払いやその後のマネーロンダリングに使用する主要な手段である仮想資産を含む、あらゆる価値伝達システムがもたらす不法金融のリスクに対処するための協調的な取り組みが必要です。私たちは、金融活動作業部会(FATF)の基準を仮想資産及び仮想資産サービス・プロバイダー(VASP)に対して世界的に統一して実施することが、適切なマネーロンダリング防止(AML)等の義務に服することなく不正な収益を移動させるプラットフォームを求める悪意のある行為者による法域間の裁定を許容する環境を作り出すことを認識している。また、仮想資産を利用した高度に分散された事業活動を継続的に発展させるためのフレームワークや捜査能力の開発において、一部の法域が直面している課題を認識しています。
We are dedicated to enhancing our efforts to disrupt the ransomware business model and associated money-laundering activities, including through ensuring our national AML frameworks effectively identify and mitigate risks associated with VASPs and related activities. We will enhance the capacity of our national authorities, to include regulators, financial intelligence units, and law enforcement to regulate, supervise, investigate, and take action against virtual asset exploitation with appropriate protections for privacy, and recognizing that specific actions may vary based on domestic contexts.  We will also seek out ways to cooperate with the virtual asset industry to enhance ransomware-related information sharing. 私たちは、ランサムウェアのビジネスモデルとそれに関連するマネーロンダリング活動を阻止するための取り組みを強化することに注力しています。これには、各国のAMLフレームワークが、VASPとそれに関連する活動に関連するリスクを効果的に特定し、軽減することも含みます。私たちは、規制当局、金融情報機関、法執行機関を含む国家機関の能力を強化し、プライバシーを適切に保護しつつ、仮想資産の搾取に対する規制、監督、調査、措置を行うとともに、具体的な行動が国内の状況に応じて異なることを認識する。  また、仮想資産業界と協力して、ランサムウェア関連の情報共有を強化する方法を模索していきます。
Disruption and other Law Enforcement Efforts 分裂と他の法執行機関への取り組み
Beyond implementing measures to improve resilience and harden our financial system from exploitation, we must also act to degrade and hold accountable ransomware criminal operators.  Ransomware criminal activity is often transnational in nature, and requires timely and consistent collaboration across law enforcement, national security authorities, cybersecurity agencies, and financial intelligence units. Such collaboration must be consistent with domestic legal requirements, and may be pursued alongside diplomatic engagement so that malicious activity can be identified and addressed, and the actors responsible can be investigated and prosecuted.  Together, we must take appropriate steps to counter cybercriminal activity emanating from within our own territory and impress urgency on others to do the same in order to eliminate safe havens for the operators who conduct such disruptive and destabilizing operations. 私たちは、金融システムの回復力を高め、悪用されないようにするための対策を実施するだけでなく、ランサムウェアの犯罪者の能力を低下させ、責任を取らせるためにも行動しなければなりません。  ランサムウェアの犯罪行為は、その性質上、国境を越えて行われることが多く、法執行機関、国家安全保障当局、サイバーセキュリティ機関、金融情報機関などがタイムリーかつ一貫性のある連携を行う必要があります。このような協力体制は、国内の法的要件と一致していなければならず、悪意のある活動を特定して対処し、責任のある行為者を調査して起訴できるよう、外交的な関与と並行して進めていくことも可能です。  このような破壊的で不安定な活動を行う事業者のセーフハーバーをなくすために、私たちは共に、自国の領域内で発生するサイバー犯罪行為に対抗するための適切な措置を講じ、他国にも同様の措置を講じるよう強く求めなければなりません。
We intend to cooperate with each other and with other international partners to enhance the exchange of information and provide requested assistance where able to combat ransomware activity leveraging infrastructure and financial institutions within our territories. We will consider all national tools available in taking action against those responsible for ransomware operations threatening critical infrastructure and public safety. 私たちは、お互いに、また他の国際的なパートナーと協力して、情報交換を強化し、私たちの領域内のインフラや金融機関を利用したランサムウェア活動に対抗するために、必要な支援を提供するつもりです。私たちは、重要なインフラや公共の安全を脅かすランサムウェアの実行者に対して行動を起こすために、国内で利用可能なあらゆる手段を検討します。
Diplomacy 外交
In addition to disruption of the ransomware ecosystem, diplomatic efforts can promote rules-based behavior and encourage states to take reasonable steps to address ransomware operations emanating from within their territory. We will leverage diplomacy through coordination of action in response to states whenever they do not address the activities of cybercriminals. Such collaboration will be a critical component to meaningfully reduce safe havens for ransomware actors. ランサムウェアのエコシステムを破壊するだけでなく、外交的な努力によって、ルールに基づく行動を促進し、自国の領土内で発生したランサムウェアに対処するための合理的な措置をとるよう各国に働きかけることができます。私たちは、国家がサイバー犯罪者の活動に対処しない場合には、国家に対する行動を調整することで、外交を活用します。このような連携は、ランサムウェアの活動家の安全な避難場所を有意義に減らすための重要な要素となります。

 

 

・2021.10.13 FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware

FACT SHEET: Ongoing Public U.S. Efforts to Counter Ransomware ファクトシート:ランサムウェア対策における米国の継続的な公的取り組み
This week the National Security Council is facilitating an international counter-ransomware event with over 30 partners to accelerate cooperation on improving network resilience, addressing the financial systems that make ransomware profitable, disrupting the ransomware ecosystem via law enforcement collaboration, and leveraging the tools of diplomacy to address safe harbors and improve partner capacity. 今週、米国家安全保障会議は、ネットワークの回復力の向上、ランサムウェアの収益性を高める金融システムへの対応、法執行機関との連携によるランサムウェアのエコシステムの破壊、セーフハーバーへの対応とパートナーの能力向上のための外交手段の活用などの協力を促進するために、30以上のパートナーとともにランサムウェア対策の国際イベントを開催しています。
Ransomware incidents have disrupted critical services and businesses worldwide – schools, banks, government offices, emergency services, hospitals, energy companies, transportation, and food companies have all been affected. Ransomware attackers have targeted organizations of all sizes, regardless of where they are located. The global economic losses from ransomware are significant. Ransomware payments reached over $400 million globally in 2020, and topped $81 million in the first quarter of 2021, illustrating the financially driven nature of these activities. ランサムウェアは、学校、銀行、政府機関、救急隊、病院、エネルギー会社、交通機関、食品会社など、世界中の重要なサービスやビジネスに影響を与えてきました。ランサムウェアの攻撃者は、場所を問わず、あらゆる規模の組織を標的にしています。ランサムウェアによる世界的な経済損失は甚大です。ランサムウェアによる支払いは、2020年には世界全体で4億ドル以上に達し、2021年の第1四半期には8,100万ドルを突破しており、これらの活動が経済的に成り立っていることを示しています。
The Biden Administration has pursued a focused, integrated effort to counter the threat. Yet, government action alone is not enough. The Administration has called on the private sector, which owns and operates the majority of U.S. critical infrastructure, to modernize their cyber defenses to meet the threat of ransomware. The Administration has announced specific efforts to encourage resilience, including voluntary cyber performance goals, classified threat briefings for critical infrastructure executives and the Industrial Control Systems Cybersecurity Initiative. And, the Administration has stepped up to lead international efforts to fight ransomware. International partnership is key since transnational criminal organizations are often the perpetrators of ransomware crimes, leveraging global infrastructure and money laundering networks to carry out their attacks. バイデン政権は、この脅威に対抗するため、重点的かつ統合的な取り組みを進めています。しかし、政府の活動だけでは十分ではありません。バイデン政権は、米国の重要インフラの大部分を所有・運営する民間企業に対して、ランサムウェアの脅威に対応するためにサイバー防御を近代化するよう呼びかけています。政権は、自主的なサイバーパフォーマンス目標、重要インフラの幹部に対する機密脅威の説明会、産業用制御システム・サイバーセキュリティ・イニシアチブなど、回復力を高めるための具体的な取り組みを発表しました。また、ランサムウェアに対抗するための国際的な取り組みを主導するためにも、政府は積極的に動いています。ランサムウェアによる犯罪の実行者は多国籍の犯罪組織であることが多く、グローバルなインフラやマネーロンダリングネットワークを活用して攻撃を行っているため、国際的なパートナーシップが重要です。
The Administration’s counter-ransomware efforts are organized along four lines of effort: 米国政府のランサムウェア対策は、4つの取り組みラインに沿って構成されています。
Disrupt Ransomware Infrastructure and Actors: The Administration is bringing the full weight of U.S. government capabilities to disrupt ransomware actors, facilitators, networks and financial infrastructure; ランサムウェアのインフラとアクターを破壊する:ランサムウェアのアクター、ファシリテーター、ネットワーク、金融インフラを破壊するために、米国政府の能力を総動員しています。
Bolster Resilience to Withstand Ransomware Attacks: The Administration has called on the private sector to step up its investment and focus on cyber defenses to meet the threat. The Administration has also outlined the expected cybersecurity thresholds for critical infrastructure and introduced cybersecurity requirements for transportation critical infrastructure; ランサムウェア攻撃に耐えうる回復力の強化:ランサムウェアの脅威に対応するために、民間企業にサイバー防御への投資と集中を呼びかけています。また、重要インフラに期待されるサイバーセキュリティの基準値を示し、輸送の重要インフラにサイバーセキュリティの要件を導入しました。
Address the Abuse of Virtual Currency to Launder Ransom Payments: Virtual currency is subject to the same Anti-Money Laundering and Countering the Financing of Terrorism (AML/CFT) controls that are applied to fiat currency, and those controls and laws must be enforced. The Administration is leveraging existing capabilities, and acquiring innovative capabilities, to trace and interdict ransomware proceeds; and 身代金支払いのための仮想通貨の悪用に対処する:仮想通貨は、不換紙幣に適用されるのと同じマネーロンダリング防止およびテロ資金調達対策(AML/CFT)の対象であり、これらの管理と法律は施行されなければなりません。政府は、ランサムウェアの収益を追跡し、阻止するために、既存の能力を活用し、革新的な能力を獲得しています」と述べています。
Leverage International Cooperation to Disrupt the Ransomware Ecosystem and Address Safe Harbors for Ransomware Criminals: Responsible states do not permit criminals to operate with impunity from within their borders. We are working with international partners to disrupt ransomware networks and improve partner capacity for detecting and responding to such activity within their own borders, including imposing consequences and holding accountable those states that allow criminals to operate from within their jurisdictions. 国際協力を活用し、ランサムウェアのエコシステムを破壊し、ランサムウェア犯罪者のセーフハーバーに対処する:責任ある国家は、犯罪者が国境を越えて無罪放免で活動することを許しません。私たちは国際的なパートナーと協力して、ランサムウェアのネットワークを破壊し、犯罪者が自国内で活動することを許している国に罰則を与えて責任を負わせるなど、自国内でこのような活動を検知して対応するパートナーの能力を向上させています。
Actions to date within these lines of effort include: これまでの取り組みには以下のものがあります。
Disrupt Ransomware Infrastructure and Actors ランサムウェアのインフラと行為者の破壊
The Department of Justice established a Task Force to enhance coordination and alignment of law enforcement and prosecutorial initiatives combating ransomware. Law enforcement agencies, working through the National Cyber Investigative Joint Task Force (NCIJTF) and with the support of the interagency, are surging investigations, asset recovery, and other efforts to hold ransomware criminals accountable.   司法省は、ランサムウェアに対抗する法執行機関や検察の取り組みの連携と調整を強化するために、タスクフォースを設立しました。法執行機関は、National Cyber Investigative Joint Task Force(NCIJTF)を通じ、省庁間の協力を得て、ランサムウェアの犯罪者に責任を負わせるための捜査、資産回収、その他の取り組みを急ピッチで進めています。 
The Department of the Treasury levied its first-ever sanctions against a virtual currency exchange. The exchange, SUEX, was responsible for facilitating ransomware payments to ransomware criminals associated with at least eight ransomware variants.  Treasury will continue to disrupt and hold accountable these ransomware actors and their money laundering networks to reduce the incentive for cybercriminals to continue to conduct these attacks. 財務省は、仮想通貨取引所に対して初の制裁を科しました。この取引所であるSUEXは、少なくとも8つのランサムウェアの亜種に関連するランサムウェア犯罪者へのランサムウェアの支払いを促進する役割を担っていました。  財務省は、サイバー犯罪者がこれらの攻撃を継続的に行う動機を減らすために、これらのランサムウェアの行為者とそのマネーロンダリングネットワークを破壊し、責任を追及していきます。
The Department of the Treasury published an updated sanctions advisory encouraging and emphasizing the importance of reporting ransomware incidents and payments to U.S. Government authorities. 財務省は、ランサムウェアのインシデントや支払いを米国政府当局に報告することの重要性を促し、強調した最新の制裁勧告を発表しました。
US Cyber Command and National Security Agency are dedicating people, technology, and expertise to generate insights and options against ransomware actors. Their technical expertise and insights enable and support whole-of-government efforts, including actions against criminals, their infrastructure, and their ability to profit from their crimes. 米国のサイバー司令部と国家安全保障局は、ランサムウェアに対抗するための洞察力と選択肢を生み出すために、人材、技術、専門知識を投入しています。これらの技術的専門知識と洞察力は、犯罪者やそのインフラ、犯罪によって利益を得る能力に対する行動を含む、政府全体の取り組みを可能にし、サポートします。
The Department of State’s Rewards for Justice (RFJ) Office has offered a $10 million reward for information leading to the identification or location of any person who, while acting at the direction or under the control of a foreign government, engages in, or aids or abets, certain malicious cyber activities against U.S. critical infrastructure, to include ransomware activities. 国務省の司法のための報奨(RFJ)事務局は、外国政府の指示または支配下で行動しているときに、ランサムウェア活動を含む米国の重要インフラに対する特定の悪意のあるサイバー活動に従事したり、それを幇助したりした人物の特定または居場所につながる情報に対して、1,000万ドルの報奨金を提供しています。
Bolster Resilience against Ransomware ランサムウェアからの回復力の強化
The President launched an Industrial Control System Cybersecurity (ICS) Initiative in April – a voluntary, collaborative effort between the federal government and the critical infrastructure community.  The ICS Initiative has led to over 150 electricity utilities representing almost 90 million residential customers to deploy or commit to deploy control system cybersecurity technologies, bolstering the security and resilience of these facilities.  The ICS Initiative has been expanded to natural gas pipelines, and will shortly be expanded to the water sector.  大統領は、4月に産業用制御システムのサイバーセキュリティ(ICS)イニシアティブを開始しました。これは、連邦政府と重要インフラのコミュニティが自発的に協力して行う取り組みです。  ICSイニシアティブにより、約9,000万人の家庭を持つ150社以上の電力会社が制御システムのサイバーセキュリティ技術を導入、または導入を約束し、これらの施設のセキュリティと耐障害性を強化しています。  ICSイニシアティブは、天然ガスパイプラインにも拡大されており、まもなく水事業にも拡大される予定です。 
In July, the U.S. Department of Homeland Security (DHS) and the U.S. Department of Justice (DOJ) established the StopRansomware.gov website to help private and public organizations access resources to mitigate their ransomware risk. 7月、米国国土安全保障省(DHS)と米国司法省(DOJ)は、民間および公的機関がランサムウェアのリスクを軽減するためのリソースにアクセスできるよう、ウェブサイト「StopRansomware.gov」を開設しました。
The Transportation Security Administration (TSA) at the Department of Homeland Security issued two Security Directives, requiring critical pipeline owners and operators to bolster their cyber defenses, enabling DHS to better identify, protect against, and respond to threats to critical companies in the pipeline sector. 米国国土安全保障省の運輸保安局(TSA)は2つのセキュリティ指令を発行し、重要なパイプラインの所有者と運営者にサイバー防御の強化を要求しました。これにより、DHSはパイプライン分野の重要企業に対する脅威をより適切に特定し、防御し、対応することができます。
Deputy National Security Advisor for Cyber and Emerging Technology, Anne Neuberger, sent an open letter to CEOs in June communicating best practices to defend against and prepare for ransomware incidents, including backing up data, implementing multi-factor authentication, and testing incident response plans. アン・ニューバーガー副国家安全保障顧問(サイバー・新技術担当)は、6月にCEOに公開書簡を送り、データのバックアップ、多要素認証の導入、インシデント対応計画のテストなど、ランサムウェアからの防御と対策のためのベストプラクティスを伝えました。
In August, President Biden met with private sector and education leaders to discuss the whole-of-nation effort needed to address cybersecurity threats – and leaders announced ambitious initiatives to bolster the Nation’s cybersecurity. 8月には、バイデン大統領が民間企業や教育機関のリーダーと会談し、サイバーセキュリティの脅威に対処するために必要な国全体での取り組みについて話し合いました。リーダーたちは、国のサイバーセキュリティを強化するための意欲的な取り組みを発表しました。
The National Institute of Standards and Technology (NIST), within the Department of Commerce, is working with industry to improve current and emerging standards, practices, and technical approaches to address ransomware. Their efforts include the development of the Cybersecurity Framework Profile for Ransomware Risk Management, which builds off the NIST Cybersecurity Framework to provide organizations a guide to prevent, respond to, and recover from ransomware events.    米国商務省内の国立標準技術研究所(NIST)は、業界と協力して、ランサムウェアに対応するための現行および新規の標準、慣行、技術的アプローチを改善しています。この取り組みには、ランサムウェアリスク管理のためのサイバーセキュリティフレームワークプロファイルの開発が含まれます。これは、NISTサイバーセキュリティフレームワークを構築して、ランサムウェアイベントを防止、対応、および回復するためのガイドを組織に提供します。
Treasury and the Department of Homeland Security’s CISA are engaging the cyber insurance sector to explore incentives to enhance implementation of cyber hygiene and improve visibility of ransomware activity. 財務省と国土安全保障省のCISAは、サイバー保険部門を巻き込んで、サイバーハイジーンの実施を強化し、ランサムウェアの活動の可視性を高めるためのインセンティブを検討しています。
Combat Virtual Currency Misuse to Launder Ransom Payments 身代金支払いを目的とした仮想通貨の不正使用への対策
The United States remains at the forefront of applying anti-money laundering/countering the financing of terrorism (AML/CFT) requirements on virtual currency businesses and activities. We continue to hold U.S. virtual currency exchanges accountable to our regulatory requirements, and we have shared indicators and typologies of virtual currency misuse with the virtual currency and broader financial sector through venues like the Financial Crimes Enforcement Network (FinCEN) Exchange program. 米国は、仮想通貨のビジネスや活動に対して、マネーロンダリング防止/テロ資金供与防止(AML/CFT)の要件を適用することにおいて、常に最先端を走っています。米国の仮想通貨取引所に対しては、引き続き規制上の義務を課すとともに、金融犯罪執行ネットワーク(FinCEN)のExchangeプログラムなどを通じて、仮想通貨や広範な金融セクターと仮想通貨の悪用に関する指標や類型を共有しています。
Treasury is leading efforts to drive implementation of international standards on financial transparency related to virtual assets at the Financial Action Task Force and to build bilateral partnerships designed to strengthen AML/CFT controls for virtual currency exchanges overseas. Uneven implementation of international AML/CFT virtual currency standards creates vulnerabilities ransomware actors exploit and inhibits the U.S. Government’s ability to disrupt ransomware-associated money laundering. 財務省は、金融活動作業部会において、仮想資産に関連する金融の透明性に関する国際基準の実施を推進するとともに、海外の仮想通貨取引所のAML/CFT管理を強化するための二国間パートナーシップの構築に向けた取り組みを主導しています。仮想通貨に関するAML/CFTの国際基準が統一されていないことで、ランサムウェアが悪用する脆弱性が生まれ、ランサムウェアに関連したマネーロンダリングを阻止する米国政府の能力が阻害されています。
Led by the Federal Bureau of Investigation, the Administration is building an Illicit Virtual Asset Notification (IVAN) information sharing partnership and supporting platform to improve timelines of detection and disruption of ransomware and other illicit virtual currency payment flows. 米国政府は、連邦捜査局を中心に、IVAN(Illicit Virtual Asset Notification)の情報共有パートナーシップと支援プラットフォームを構築し、ランサムウェアやその他の不正な仮想通貨の支払いの流れの検知と遮断のタイムラインを改善しています。
Bolster International Cooperation 国際協力の強化
The Administration is working closely with international partners to address the shared threat of ransomware and galvanize global political will to counter ransomware activities – as reflected in the recent G7 and North Atlantic Treasury Organization (NATO) joint statements, and Financial Action Task Force (FATF) efforts, among others. The Administration continues to advocate for expanded membership in, and implementation of, the Budapest Convention and its principles. 当局は、国際的なパートナーと緊密に協力して、ランサムウェアの共通の脅威に対処し、ランサムウェアの活動に対抗するための世界的な政治的意思を喚起しています。これは、最近のG7や北大西洋財務機構(NATO)の共同声明、金融活動作業部会(FATF)の取り組みなどにも反映されています。当局は、ブダペスト条約およびその原則の加盟国および実施の拡大を引き続き主張します。
Departments and Agencies continue to engage with States to improve their capacity for addressing ransomware threats, including through capacity building that promotes cybersecurity best practices and combats cybercrime, such as trainings on network defense and resilience, cyber hygiene, virtual currency analysis, and other training and technical assistance to foreign law enforcement partners to combat criminal misuse of information technologies.  各省庁は、ランサムウェアの脅威に対処するための能力を向上させるため、引き続き各国と協力しています。これには、サイバーセキュリティのベストプラクティスを推進し、サイバー犯罪に対抗するための能力向上が含まれます。例えば、ネットワークの防御と回復力、サイバー衛生、仮想通貨の分析に関するトレーニングや、情報技術の悪用犯罪に対抗するための外国の法執行機関パートナーに対するトレーニングや技術支援などがあります。 
The United States remains committed to eliminating safe harbors for ransomware criminals through a more direct diplomatic approach.  President Biden has directly engaged President Putin, and established the White House and Kremlin Experts Group to directly discuss and address ransomware activity. The Experts Group continues to meet to address the ransomware threat and to press Russia to act against criminal ransomware activities emanating from its territory. The President has made clear the United States will act to protect our people and critical infrastructure. 米国は、より直接的な外交的アプローチを通じて、ランサムウェア犯罪者のセーフハーバーをなくすことに引き続き尽力します。  バイデン大統領は、プーチン大統領に直接働きかけ、ホワイトハウスとクレムリンの専門家グループを設立し、ランサムウェアの活動について直接話し合い、対処しています。専門家グループは、ランサムウェアの脅威に対処するために会合を継続し、ロシアに対して自国の領土から発信されるランサムウェアの犯罪行為に対して行動するよう圧力をかけています。大統領は、米国が国民と重要インフラを守るために行動することを明確にしています。

 

・2021.10.13 Background Press Call on the Virtual Counter-Ransomware Initiative Meeting

Background Press Call on the Virtual Counter-Ransomware Initiative Meeting ランサムウェア対策イニシアティブ会議の背景に関するプレスコール
MODERATOR: Thank you. And thanks, everyone, for joining. We’re going to be discussing today the virtual Counter-Ransomware Initiative meetings that are being facilitated by the White House National Security Council this Wednesday and Thursday. 司会:ありがとうございます。皆さん、お集まりいただきありがとうございます。本日は、ホワイトハウスの国家安全保障会議が今週の水曜日と木曜日に開催する、オンライン・ランサムウェア対策イニシアティブ会議についてご説明します。
The call will be on background, attributable to “senior administration officials,” and the contents will be embargoed until tomorrow, Wednesday, October 13th, 5:00 a.m. Eastern. 通話はバックグランドで行われ、【政府高官】に帰属し、内容は明日10月13日(水)東部時間午前5時まで禁じることになっています。
For your awareness and not for reporting, joining us is [senior administration official]. [Senior administration official] will give some brief remarks at the top, and then we’re going to turn it over to your questions. 報告のためではなく、皆さんに知っていただくために、【政府高官】が参加します。冒頭に【政府高官】から簡単なご挨拶をさせていただき、その後、皆様からのご質問にお応えしたいと思います。
With that, I’ll turn it over to [senior administration official]. それでは、【政府高官】にお任せします。
SENIOR ADMINISTRATION OFFICIAL: Thank you so much. Good afternoon, everybody. Thank you for joining us today. 【政府高官】:ありがとうございました。皆さん、こんにちは。本日はご参加いただきありがとうございます。
So, I wanted to give a brief preview of the virtual Counter-Ransomware Initiative meeting taking place at the White House tomorrow and Thursday. さて、明日と木曜日にホワイトハウスで開催されるオンライン・ランサムウェア対策イニシアティブ会議について、簡単にご紹介したいと思います。
The initiative builds on President Biden’s leadership to rally allies and partners to counter the shared threat of ransomware. It builds on our own domestic efforts as well — significant efforts, as you saw, on the recent Treasury designation and other efforts we have underway. このイニシアティブは、ランサムウェアという共通の脅威に対抗するために同盟国やパートナーを集めるというバイデン大統領のリーダーシップに基づいています。これは、最近の財務省による指定や、現在進行中のその他の取り組みに見られるように、我々自身の国内での取り組みにも基づいています。
But focusing on President Biden’s international efforts: In June, the President and G7 leaders agreed on the importance of the international community working together to ensure that critical infrastructure is resilient against this threat, that malicious cyberactivity is investigated and prosecuted, and that we bolster our collective cyber defenses. In addition, noting that states address the criminal activity taking place from within their borders. また、バイデン大統領の国際的な取り組みにも注目してください。6月、大統領とG7のリーダーたちは、重要なインフラがこの脅威からの回復力を備えていること、悪意のあるサイバー活動が調査され起訴されること、そして集団的なサイバー防御を強化するために、国際社会が協力することの重要性について合意しました。さらに、各国が国境内で行われている犯罪行為に対処することにも言及しました。
At NATO, President Biden and leaders endorsed a new cyber defense policy to ensure the NATO Alliance is resilient against malicious cyberactivity perpetrated by state and non-state actors, including disruptive ransomware attacks against critical infrastructure. NATOでは、バイデン大統領をはじめとする首脳陣が、重要インフラに対する破壊的なランサムウェア攻撃など、国家および非国家主体によって行われる悪意あるサイバー活動に対してNATO同盟が確実に対処できるよう、新たなサイバー防衛政策を支持しました。
And finally, as you know, we’ve worked with allies and partners to hold nation-states accountable for malicious cyberactivity as evidenced by, really, the broadest international support we had ever in our attributions for Russia and China’s malicious cyber activities in the last few months. 最後に、ご存じのように、我々は同盟国やパートナーと協力して、悪意のあるサイバー活動に対する国家の責任を追及してきましたが、そのことは、ここ数カ月のロシアと中国の悪意のあるサイバー活動に対する我々の責任追及が、これまでになく幅広い国際的な支持を得ていることからも明らかです。
So, now onto tomorrow and Thursday’s meeting specifically. So, we’re hosting — we’re facilitating a virtual meeting. It’ll be joined by ministers and senior officials from over 30 countries and the European Union to accelerate cooperation to counter ransomware. さて、明日と木曜日の会議について説明します。今回、私たちはバーチャル会議を開催します。この会議には、30カ国以上の国々とEUの閣僚や高官が参加し、ランサムウェア対策の協力を加速させます。
The Counter-Ransomware Initiative will meet over two days, and participants will cover everything from efforts to improve national resilience, to experiences addressing the misuse of virtual currency to launder ransom payments, our respective efforts to disrupt and prosecute ransomware criminals, and diplomacy as a tool to counter ransomware. ランサムウェア対策イニシアティブ」は2日間にわたって開催され、参加者は、国の回復力を高めるための取り組みから、身代金の支払いを洗浄するためのオンライン・通貨の悪用に対処した経験、ランサムウェアの犯罪者を阻止し起訴するためのそれぞれの取り組み、ランサムウェア対策のツールとしての外交まで、あらゆることを取り上げます。
The work is organized in six sessions. The first meeting is a plenary and is open to press and observers. All the subsequent discussions are restricted to invited participants to allow for frank, open dialogue. 作業は6つのセッションで構成されています。最初の会議は全体会議で、報道関係者およびオブザーバーに公開されます。その後のすべての議論は、率直でオープンな対話を可能にするため、招待された参加者に限定されます。
We expect participants will speak to four areas in greater detail. And those are, as I mentioned, national resilience, countering illicit finance, disruption and other law enforcement efforts, and diplomacy. 参加者には、4つの分野についてより詳細に語っていただくことを期待しています。それは、先ほど述べたように、国家の強靭さ、不正資金への対策、破壊活動やその他の法執行努力、そして外交です。
I should note two things: While the United States is facilitating this meeting, we don’t view this solely as a U.S. initiative. Indeed, we’re leading internationally — bringing other countries together. ここで2つのことをお伝えしたいと思います。米国はこの会議の進行役を務めていますが、これを米国だけの取り組みとは考えていません。実際、私たちは国際的に主導しており、他国を巻き込んでいます。
Many governments have been indispensable in organizing the meeting, and four countries in particular have volunteered to lead and organize specific thematic discussions: India for resilience, Australia for disruption, the UK for virtual currency, and Germany for diplomacy. この会議の開催には多くの政府の協力が不可欠であり、特に4つの国が特定のテーマに沿った議論をリードし、組織することに志願しました。インドはレジリエンス、オーストラリアはディスラプション、英国はオンライン・通貨、ドイツは外交を担当しています。
In addition, I want to note that we see this meeting as the first of many conversations among the international partners participating this week and beyond. さらに、今回の会議は、今週以降に参加する国際的なパートナーとの間で行われる数多くの対話の最初の機会であると考えていることもお伝えしておきます。
We’ll have more to say on Thursday regarding takeaways from the discussions, but I want to give a brief laydown of U.S. ransomware efforts — a four-part strategy that we have here, run by the White House, to coordinate a whole-of-government effort. 議論から得られたものについては木曜日に詳しく説明しますが、ここでは米国のランサムウェア対策について簡単に説明したいと思います。ホワイトハウスが中心となって、政府全体の取り組みを調整するための4つの戦略があります。
First: disrupt ransomware infrastructure and actors. We’re bringing the full weight of U.S. government capabilities to disrupt ransomware actors, networks, financial infrastructure, and other facilitators. Some examples that I can share publicly were, as I noted, DOJ recovering colonial ransom and Treasury’s SUEX designation recently. 第一は、ランサムウェアのインフラとアクターを破壊することです。私たちは、米国政府の能力を総動員して、ランサムウェアのアクター、ネットワーク、金融インフラ、その他の促進要因を破壊します。先に述べたように、司法省がコロニーの身代金を回収したことや、財務省が最近SUEXを指定したことなどがその例です。
The second part of our strategy: bolstering resilience to withstand ransomware attacks. Even as we work to disrupt criminal ransomware networks, we also have to address our own vulnerabilities so we’re not easy targets. Some examples of what the government has done: the ICS initiative focusing on control systems and TSA’s recent security directives mandating cybersecurity across pipelines and other transportation networks. 戦略の第二は、ランサムウェアの攻撃に耐えるための回復力の強化です。ランサムウェアの犯罪ネットワークを壊滅させるためには、私たち自身の脆弱性にも対処し、簡単には標的にならないようにしなければなりません。政府の取り組みの例としては、制御システムに焦点を当てたICSイニシアティブや、パイプラインなどの輸送ネットワーク全体のサイバーセキュリティを義務付けるTSAの最近のセキュリティ指令などがあります。
You also recall [our] letter, where [we] called on the private sector to step up and do their part independently to modernize their defenses and invest to ensure the resilience of their networks is adequate to meet the threat. また、民間企業に対しても、自社の防衛力を近代化し、ネットワークの回復力が脅威に対応するのに十分であることを確認するための投資を行うよう、独自の役割を果たすことを呼びかけた書簡をご記憶でしょうか。
Third, we’re addressing the abuse of virtual currency to launder ransom payments. We’re leveraging existing and acquiring new capabilities to trace and interdict ransomware proceeds. 第三は、身代金支払いの資金洗浄を目的としたオンライン・通貨の濫用に対処することです。ランサムウェアの収益を追跡して阻止するために、既存の能力を活用し、新たな能力を獲得しています。
Finally, leveraging international cooperation to disrupt the ransomware ecosystem and address safe harbors for ransomware criminals. 最後に、国際協力を活用してランサムウェアのエコシステムを破壊し、ランサムウェア犯罪者のセーフハーバーに対処します。
And really, this event over the next two days is exhibit A of how we’re working with international partners to disrupt ransomware networks, to improve partner capacity for detecting and responding to such activity within their own borders, including imposing consequences on the perpetrators, and holding accountable states that allow criminals to operate from within their jurisdictions. この2日間のイベントは、私たちが国際的なパートナーと協力してランサムウェアのネットワークを破壊し、パートナーの能力を向上させて、国境内でのこのような活動を検知・対応し、加害者に結果を与え、犯罪者が自国の管轄内で活動することを許している国に責任を負わせることを目的としています。
So, with that, I’ll take your questions. それでは、ご質問をお受けします。
Q  Thank you for hosting this call. Can you tell us what the 30 countries are and also what you are hoping to get out of this two-day meeting by the end of Thursday? Any particular agreement or deliverable? Anything specific or concrete? Q このような電話会議を開催していただき、ありがとうございます。30カ国の概要と、木曜日までの2日間の会議で何を得たいのかを教えてください。何か特定の合意や成果物があるのでしょうか?何か具体的なものはありますか?
SENIOR ADMINISTRATION OFFICIAL: Absolutely. So, first, we’ll be joined by ministers and representatives from the following countries: Australia, Brazil, Bulgaria, Canada, Czech Republic, Dominican Republic, Estonia, the EU, France, Germany, India, Ireland, Israel, Italy, Japan, Kenya, Lithuania, Mexico, the Netherlands, New Zealand, Nigeria, Poland, the Republic of Korea, Romania, Singapore, South Africa, Sweden, Switzerland, Ukraine, the UAE, and the UK. 【政府高官】:もちろんです。まず、以下の国の大臣や代表者が参加します。オーストラリア、ブラジル、ブルガリア、カナダ、チェコ共和国、ドミニカ共和国、エストニア、EU、フランス、ドイツ、インド、アイルランド、イスラエル、イタリア、日本、ケニア、リトアニア、メキシコ、オランダ、ニュージーランド、ナイジェリア、ポーランド、大韓民国、ルーマニア、シンガポール、南アフリカ、スウェーデン、スイス、ウクライナ、アラブ首長国連邦、英国です。
And I think that list of countries highlights just how pernicious and transnational and global the ransomware threat has been in the different countries from all different parts of the world who will be participating. このような国のリストは、ランサムウェアの脅威がいかに悪質で国境を越えたグローバルなものであるかを、世界のさまざまな地域から参加するさまざまな国の人々に示すものだと思います。
And to your point regarding concrete: Absolutely, I won’t preview it at this time. There’s been a lot of very good preparatory discussions, particularly around the four panels I mentioned to you. I’ll be hosting the final plenary, which is when we’ll summarize the discussions in the four panels and outline very key next steps. And we’ll be happy to discuss that more on Thursday, following the event. また、具体的な内容についてですが。もちろん、今のところプレビューはしません。特に、先ほどお話した4つのパネルを中心に、非常に良い準備段階の議論が行われています。最後の全体会議は私が主催しますが、そこで4つのパネルでの議論をまとめ、重要な次のステップの概要を説明します。これについては、イベント終了後の木曜日に詳しくお話させていただきたいと思います。
Q  Hi, thanks for doing the call. One question I had was that Victoria Nuland, the senior State Department official, is in Russia this week to meet with her Russian counterparts, and I’m wondering if cybersecurity, and particularly the administration’s message on cracking down on ransomware groups within Russia, is a message that she’s delivered and has been received by the Russians. Q 電話での質問にお答えいただきありがとうございます。一つ質問があるのですが、国務省の高官であるビクトリア・ヌーランド氏が今週ロシアに滞在し、ロシア側と会談していますが、サイバーセキュリティ、特にロシア国内のランサムウェアグループを取り締まるという政権のメッセージは、彼女が伝えてロシア側に届いているのでしょうか。
And then, secondly, I wonder if you can address the elephant in the room in that Russia not being part of these talks, for a number of reasons — but how are you going to lean on U.S. allies and countries that are more in Russia’s neighborhood to try to crack down on cyber criminals that may be in that region? Thanks. 次に、さまざまな理由でロシアがこの会談に参加していないという部屋の中の象のような問題にも触れていただきたいのですが、米国の同盟国やロシアの近隣にある国々に、その地域にいるかもしれないサイバー犯罪者を取り締まるために、どのように働きかけるつもりなのでしょうか?ありがとうございます。
SENIOR ADMINISTRATION OFFICIAL: Sure. So, yes, Toria is traveling, and cybersecurity is always one of the topics we engage with internationally. I won’t go into more details regarding our discussions, as, you know, diplomacy is always best done in private. 【政府高官】:サイバーセキュリティは、常に私たちが国際的に取り組んでいるテーマの1つです。ご存知のように、外交は常に内輪で行うのがベストですから、話し合いの詳細については言及しません。
With regard to the countries who are participating, there’s a host of reasons that, you know, particular countries were invited to participate, including scheduling restrictions, availability of partners, and logistical considerations. 参加国については、スケジュールの制約やパートナーの有無、物流面での配慮など、特定の国に参加を呼びかけた理由はさまざまです。
But most importantly, this is not our first international engagement; it won’t be our last. And the countries that are participating are not our only valued partners. We look forward to future engagements and collaboration with these and other countries as we expand and accelerate cooperation on this important topic. しかし、最も重要なことは、これが私たちの最初の国際的な活動ではなく、最後の活動でもないということです。また、今回参加していただいた国々は、私たちの大切なパートナーだけではありません。私たちは、この重要なテーマでの協力を拡大・加速させるために、これらの国々や他の国々との今後のエンゲージメントやコラボレーションを楽しみにしています。
We will continue to lead in this area, and we will continue to lead internationally in this area. 私たちはこの分野で、国際的にもリードしていきたいと思います。
And then, with regard to Russia: So, I think, as you know, the U.S.-Kremlin Experts Group, which is led by the White House, was established by President Biden and President Putin, so the U.S. engages directly with Russia on this — on the issue of ransomware. The President has been very clear about marshaling the resources of all the departments and agencies to counter ransomware and address the four-part strategy I talked about. そして、ロシアに関して。ご存知のように、ホワイトハウスが主導する米・クレムリン専門家グループは、バイデン大統領とプーチン大統領によって設立されたもので、米国はランサムウェアの問題についてロシアと直接関わっています。大統領は、ランサムウェア対策のために、すべての省庁のリソースを結集し、先ほど述べた4つの戦略に取り組むことを明確にしています。
We do look to the Russian government to address ransomware criminal activity coming from actors within Russia. I can report that we’ve had, in the Experts Group, frank and professional exchanges in which we’ve communicated those expectations. We’ve also shared information with Russia regarding criminal ransomware activity being conducted from its territory. 私たちは、ロシア国内の関係者によるランサムウェアの犯罪行為に対処するため、ロシア政府に期待しています。専門家グループでは、率直かつ専門的な意見交換を行い、そのような期待を伝えてきたことを報告します。また、ロシアの領土で行われているランサムウェアの犯罪活動に関する情報をロシアと共有しました。
We’ve seen some steps by the Russian government and are looking to see follow-up actions. And broader international cooperation is an important line of effort because these are transnational criminal organizations and they leverage global infrastructure money laundering networks to carry out their attacks. ロシア政府によるいくつかの措置を確認し、それに続く行動を期待しています。これらの犯罪組織は多国籍の犯罪組織であり、グローバルインフラのマネーロンダリングネットワークを活用して攻撃を行っているため、より広範な国際協力は重要な取り組みのひとつです。
So, working with our international partners is also something we are doing in parallel to our diplomatic efforts to ensure we can disrupt the ransomware ecosystem, the actors, and the, frankly, illicit use of virtual currency that really drives this — drives the growth of ransomware. 国際的なパートナーとの協力は、外交活動と並行して行っており、ランサムウェアのエコシステムや関係者、さらにはランサムウェアの成長を促しているオンライン・通貨の不正使用を確実に阻止するために行っています。
Q  Hey, thanks for doing this. One simple logistical one and then one follow-up one on (inaudible). Q 今回の取材には感謝しています。簡単なロジスティックな質問と、(聞き取れないが)フォローアップの質問があります。
First of all, what’s the format for the call? You know, is it Zoom? Is it Microsoft Teams? Is there a special, you know, international government tool that we’ve never heard of? まず、通話の形式はどうなっていますか?Zoomなのか?Microsoft Teamsですか?私たちが聞いたこともないような、国際的な政府の特別なツールがあるのでしょうか?
And then, secondly, I just want to clarify the invitation process here. You’re saying Russia was not invited to be part of the U.S.’s — this initial summit because there’s this other kind of channel open with Russia — do I understand that correctly? 次に、招待のプロセスを明確にしておきたいと思います。ロシアとの間には別のチャンネルがあるので、アメリカの最初のサミットにはロシアは招待されなかったということですが、正しく理解していますか?
SENIOR ADMINISTRATION OFFICIAL: So, first, I won’t speak — I’m not going to speak to the logistical way we’re going do it. It’s a routine commercial technology that’s bringing individuals together. 【政府高官】:まず、私はロジスティックな方法についてはお話しません。これは、個人を結びつける日常的な商業技術です。
And as I said, a host of factors went into the planning of a virtual, international meeting of this size to include scheduling restrictions, availability of partners, and logistical considerations. And there will be opportunities for other groups of partners to join us as well. 先ほど申し上げたように、このような規模のバーチャルな国際会議を計画するには、スケジュールの制約、パートナーの利用可能性、物流面での配慮など、さまざまな要因があります。また、他のパートナーグループにも参加していただく機会を設けています。
The headline, folks, should really be around U.S. government leading and bringing countries together to fight ransomware effectively. 皆さん、ランサムウェアと効果的に闘うために、米国政府が各国をリードし、協力していくことが重要なポイントです。
And as you can imagine, with as many time zones and the complexity of bringing this many countries together, some could, some couldn’t play. The important part is that we’re starting on this journey, really building on the work that the President previously did in the G7 and at NATO. ご想像のとおり、時差があり、これだけ多くの国をまとめるのは複雑なので、参加できる人もできない人もいます。重要なのは、大統領が以前G7やNATOで行った活動を基に、私たちがこの旅を始めていることです。
Q  Hi. Thank you for doing the call. So, first, just as a clarification, you said, “We’ve seen some steps by the Russian government. We’re looking to see follow-up actions.” Can you just identify what those steps were that you’re referring to? Q こんにちは。電話でのお問い合わせありがとうございます。まず、明確にしておきたいのですが、あなたは「ロシア政府によるいくつかのステップを確認した。我々はそれに続く行動を期待している」とおっしゃいました。そのステップとは何を指しているのか、具体的に教えてください。
And then, secondly, we’ve talked about Russia, but North Korea is obviously a big player in ransomware just to support the operations of their government. And if Russia is at least nominally, you know, susceptible to various geopolitical pressure as part of the international economic system, North Korea is really, really much less susceptible — I think most people would agree. So, can you talk about how this meeting fits into your strategy for applying pressure on North Korea, which obviously has different incentives and motivations here than Russia? 次に、これまでロシアの話をしてきましたが、北朝鮮は明らかに政府の活動を支援するためにランサムウェアを利用しています。ロシアが名目上、国際経済システムの一部として様々な地政学的圧力の影響を受けやすいとすれば、北朝鮮はそれに比べてはるかに影響を受けにくいというのが、多くの人の意見でしょう。北朝鮮に圧力をかけるための戦略の中で、今回の会議がどのような位置づけにあるのか、お話しいただけますか?
SENIOR ADMINISTRATION OFFICIAL: Thanks. On the first part, I won’t go into more detail on the initial steps that we’ve seen taken. I noted that we’ve had very candid and direct discussions. And in the context of those discussions, we’ve seen those steps by the Russian government, and we’re looking to see follow-up actions. 【政府高官】:ありがとうございます。最初の部分については、私たちが見てきた最初のステップについて、これ以上の詳細は述べません。私は、非常に率直で直接的な話し合いが行われたと述べました。その話し合いの中で、ロシア政府がこのような措置を取ったことを確認しており、それに続く行動を期待しています。
With regard to North Korea, you’re making a really excellent — and I also just, you know, would note, to the point on that, that we initially — sorry, I just — there was a key point I wanted to note to you — that, you know, ransomware focuses on our citizens and businesses, and as a result, the best insights regarding ransomware attacks often comes from private sector entities who monitor public and private networks. 北朝鮮に関しては、非常に優れたご意見をいただきましたが、私も最初にお伝えしたように、ランサムウェアは市民や企業を標的にしており、その結果、ランサムウェアの攻撃に関して最も優れた洞察力を持つのは、公共および民間のネットワークを監視する民間企業であることが多いということです。
So, I just want to flag, you know, a recent kind of note and tweet that a respected private sector entity — Kevin Mandia of FireEye — did, where he noted a lull from several high-profile actors and a reduction in activities in some of the most impactful ransomware groups they’ve responded to in the last — you know, in the last few months. そのため、ランサムウェアの攻撃に関しては、官民のネットワークを監視している民間企業が最も優れた知見を提供してくれることが多いのです。ここでは、著名な民間企業であるFireEye社のKevin Mandia氏が最近行ったツイートを紹介します。
We won’t speculate from here why that is, but I just did want to flag that as we’re watching that closely as we continue to execute the administration’s counter-ransomware strategy. その理由をここで推測することはできませんが、政権のランサムウェア対策戦略を実行していく上で、この問題を注視していることをお伝えしたいと思います。
And to your question on North Korea, that is why we’re putting such a focus on the four-part strategy I talked about, right? Because while we can work to try to shape actors — you know, as you’ve said, North Korea is famously difficult in that way — what we do control is ourselves. 北朝鮮についてのご質問ですが、だからこそ、私たちは先ほどお話した4つの戦略に重点を置いているのです。というのも、私たちはアクターをコントロールすることはできますが、北朝鮮はその点で非常に難しい国だと言われています。
So, that is why we have, A, called on the private sector to make the investments to improve cybersecurity. The President announced in his executive order that the federal government will actually start practicing what we preach in making significant improvements in our own cybersecurity. We’ve put a real focus on disrupting ransomware actors and networks, whether that’s the work coming out of DOJ, whether that’s the work of Treasury with the first-ever designation. そこで私たちは、サイバーセキュリティを向上させるための投資を民間企業に求めているのです。大統領は大統領令の中で、連邦政府が自らのサイバーセキュリティを大幅に改善するために、自らが説くことを実際に実践することを発表しました。私たちは、司法省や財務省が初めて指定したランサムウェアの行為者やネットワークの破壊に重点的に取り組んでいます。
A huge amount of work went into that first-ever designation because virtual currency is a new area, and the very strong anti-money laundering and other rules that we have in place globally on fiat currencies are not yet in place all around the world. というのも、オンライン・通貨は新しい分野であり、不換紙幣に対して世界的に導入されている非常に強力なアンチマネーロンダリングやその他の規則が、世界中でまだ導入されていないからです。
So, we really are in our own way both saying we’re going to enforce these and work with partners around the world on that, as well as, as I noted, you know, leverage international cooperation to disrupt the ransomware ecosystem, as in this case — right? — facilitating a meeting with 32 other countries to discuss these four areas to really coordinate our fight against ransomware. また、先に述べたように、ランサムウェアのエコシステムを破壊するために国際的な協力関係を活用することもあります。- 今回の例では、ランサムウェアとの戦いを実質的に調整するため、他の32カ国との会議を促進し、これら4つの分野について話し合いました。
Q  Thank you so much [senior administration official]. So — sorry, did you say that Russia was indeed invited at least, but they just were not able to make it this time? Q ありがとうございました(政府高官)。ところで、ロシアは少なくとも招待されていたが、今回は都合がつかなかったということですか?
SENIOR ADMINISTRATION OFFICIAL: Russia is not participating at this time, but we have a separate channel in which we’re actively discussing ransomware with Russia. 【政府高官】:ロシアは今回参加していませんが、別のチャンネルでロシアとランサムウェアについて積極的に話し合っています。
Q  Hey, good afternoon. Sorry, [senior administration official], just to clarify: I understand that Russia isn’t participating, but can you definitively say whether they’re invited or not to participate? Q やあ、こんにちは。ロシアが参加していないことは理解していますが、ロシアが招待されているのか、参加していないのか、明確に言うことができますか?
SENIOR ADMINISTRATION OFFICIAL: In this first round of discussions, we did not invite the Russians to participate for a host of reasons, including various constraints. However, as I noted, we are having active discussions with the Russians. But in this particular forum, they were not invited to participate, but that doesn’t preclude future opportunities for them to participate as we do further sessions like these. 【政府高官】:今回の第1回目の話し合いでは、さまざまな制約を含む多くの理由から、ロシアの参加を要請しませんでした。しかし、先に述べたように、私たちはロシア人と積極的に議論しています。しかし、今回のフォーラムではロシア人を招待しませんでしたが、今後このようなセッションを重ねていく中で、ロシア人に参加してもらう機会を排除するものではありません。
Q  Sure. One quick follow-up, if I may. Do you see a long-term successful strategy to combat ransomware coming out of these sessions if the Russian government doesn’t participate in the future, or does it require their involvement, do you think? Q 続いて1つ質問です。今後、ロシア政府が参加しなくても、ランサムウェア対策の長期的な戦略は成功するとお考えですか?それともロシア政府の参加が必要だとお考えですか?
SENIOR ADMINISTRATION OFFICIAL: So, two-part. One is: I am very hopeful and really excited about this international coalition work. 【政府高官】:2つの要素があります。1つ目は 私はこの国際連合の活動にとても期待しています。
I can honestly say, as we started extending invitations and as we’ve talked to — as I’ve talked with my counterparts around the world; as my amazing team, who pulled this event together, has talked to their counterparts around the world, the eagerness to participate, the eagerness to learn, the eagerness to help other countries build capacity in areas like virtual currency tracing and areas like disruption to share information around law enforcement, intelligence, financial facilitators has just been huge. 正直なところ、招待状を出し始めてから、私が世界中の担当者と話をしたり、このイベントを企画した私の素晴らしいチームが世界中の担当者と話をしたりしているうちに、参加したいという熱意、学びたいという熱意、オンライン・通貨の追跡や破壊行為などの分野で他国が能力を高め、法執行機関や情報機関、金融円滑化業者に関する情報を共有するのを支援したいという熱意が非常に高まってきました。
Everybody has been suffering from ransomware, and I just — I’m really excited about what this will kick off. And I’m really excited about, as I noted — right? — the four countries who raised their hand and said, “We want to lead panels.” 誰もがランサムウェアに悩まされていますが、私はこのイベントが始まることをとても楽しみにしています。そして、先ほど述べたように、手を挙げてくれた4つの国にも期待しています。- 我々がパネルをリードしたい」と手を挙げた4カ国のことを、私はとても楽しみにしています。
It’s often that you have — you know, people have good ideas; it’s less often that folks raise their hand and say, “I really believe in this; I want to lead.” 良いアイデアを持っている人はよくいますが、「私はこれを本当に信じているので、リードしたい」と手を挙げてくれる人はあまりいません。
So, truly exciting, and I look forward to sharing with you all on Thursday, you know, more details on, as Ellen asked early on, next steps. 木曜日には、エレンが最初に質問したように、次のステップについての詳細を皆さんと共有できることを楽しみにしています。
To your point: Clearly, you know, there are — Russia plays a role because of a number of criminal actors who are, you know, operating from Russia. And that is the reason that President Biden established with his counterpart — with President Putin — a dedicated channel for us to have very focused and candid discussions. And that’s why I noted to you that we’ve had several and they continue. おっしゃるとおりです。明らかに、ロシアから活動している多くの犯罪者がいるために、ロシアが役割を果たしています。だからこそ、バイデン大統領は相手のプーチン大統領と専用のチャンネルを設け、集中的かつ率直な議論を行っているのです。だからこそ私は、これまでにも何度か話し合いを行ってきたし、現在も継続していると述べたのです。
And we’ve shared information regarding specific criminal actors within Russia, and Russia has taken initial steps. So, we are seeing and we will look to see follow-on in that area as well. また、ロシア国内の特定の犯罪者に関する情報を共有し、ロシアは最初のステップを踏みました。この分野でのフォローアップを期待しています。
MODERATOR: All right. Thank you. With that, that was our last question. If we did not get to your question, please feel free to reach out to me directly, and we’ll make sure to get back to you. 司会:わかりました。ありがとうございました。以上で最後の質問とさせていただきます。もしご質問にお答えできなかった場合は、私に直接ご連絡ください。
As a reminder, this call was on background, attributable to “senior administration officials.” And the contents of the call are embargoed until tomorrow, Wednesday, October 13th, 5:00 a.m. Eastern. 念のために申し上げますが、この通話は "政府高官 "に帰属するバックグラウンドで行われました。この通話内容は、明日10月13日(水)午前5時(東部時間)まで公開されません。
Thanks, everyone, for your time. Bye. 皆さん、お時間をいただきありがとうございました。それでは。
12:50 P.M. EDT 午後12時50分(東海岸時間)

Fig1_20210802074601



| | Comments (0)

2021.10.14

消費者庁 公益通報者保護法に基づく指針の解説を公表

こんにちは、丸山満彦です。

消費者庁が、2022年6月1日から施行される改正公益通報者保護法に基づく「指針」の解説を公表していますね。。。

 

消費者庁

・2021.10.13 公益通報者保護法に基づく指針の解説を公表しました。

・[PDF] 公益通報者保護法に基づく指針(令和3年内閣府告示第 118 号)の解説

Symbolmark

参考

公益通報者保護法に基づく指針等に関する検討会

・2021.04.21 [PDF] 公益通報者保護法に基づく指針等に関する検討会報告書

20211014-34827


公益通報に関しては、山口利昭弁護士のブログが参考になりますね。。。

ビジネス法務の部屋

・2021.10.14  (速報版)公益通報者保護法に基づく指針の解説が公表されました

 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.06.10 改正公益通報者保護法が成立

・2020.03.08 公益通報者保護法の一部を改正する法律案

・2020.02.04 通報窓口の従業員に罰則付きの守秘義務 公益通報者保護法、自民PTが改正案

 

古いので、参照先にはリンクしませんが...

・2005.09.06 内閣府 国民生活局 公益通報者保護制度ウェブサイト(2)

・2005.07.28 内閣府 国民生活局 公益通報者保護制度ウェブサイト

・2005.04.02 公益通報者保護法の施行日・対象法令

 

これも古いですが。。。。

・2011.02.10 KPMG 不正は「内部通報」により発覚するケースが最も多い

・2010.04.12 不正と経営者の胆力

・2009.07.02 経営者不正があり統制環境に重要な欠陥があった場合

・2006.11.11 実施基準(2006.11.06部会資料) 全社的な内部統制に関する評価項目の例

・2006.06.08 内部統制実施基準の行方

・2005.01.14 個人情報保護法に対する取り組みを実施している 48% @Sep.-Dec.2004

 

 

| | Comments (0)

2021.10.13

中国 TC260 15のセキュリティ関連の標準を決定

こんにちは、丸山満彦です。

中国が15のセキュリティ関連の標準を決定しましたね。。。

 

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

2021.10.12 15项网络安全国家标准获批发布 サイバーセキュリティに関する15の国家標準の発行を承認

 

# 标准编号 标准名称 標準名 代替标准号
1 GB/T 17903.2-2021 信息技术 安全技术 抗抵赖 第2部分:采用对称技术的机制 情報技術 セキュリティ技術 否認への抵抗力 第2部:対称的な技術を用いたメカニズム GBT 17903.2-2008
2 GB/T 17964-2021 信息安全技术 分组密码算法的工作模式 情報セキュリティ技術 グループ化された暗号アルゴリズムの作業モード GB/T 17964-2008
3 GB/T 20275-2021 信息安全技术 网络入侵检测系统技术要求和测试评价方法 情報セキュリティ技術 ネットワーク侵入検知システムの技術的要求事項と試験・評価方法 GB/T 20275-2013
4 GB/T 29765-2021 信息安全技术 数据备份与恢复产品技术要求与测试评价方法 情報セキュリティ技術 データバックアップ・リカバリー製品の技術的要求事項と試験・評価方法 GB/T 29765-2013
5 GB/T 29766-2021 信息安全技术 网站数据恢复产品技术要求与测试评价方法 情報セキュリティ技術 ウェブサイトのデータ復旧製品に関する技術的要求事項および試験・評価方法 GB/T 29766-2013
6 GB/T 30272-2021 信息安全技术 公钥基础设施标准符合性测评 情報セキュリティ技術 公開鍵基盤規格適合性評価 GB/T 30272-2013
7 GB/T 33133.2-2021 信息安全技术 祖冲之序列密码算法 第2部分:保密性算法 情報セキュリティ技術 Zucシーケンス暗号アルゴリズム Part 2: 機密性アルゴリズム -
8 GB/T 33133.3-2021 信息安全技术 祖冲之序列密码算法 第3部分:完整性算法 情報セキュリティ技術 Zucシーケンス暗号アルゴリズム Part 3: 完全性アルゴリズム -
9 GB/T 40645-2021 信息安全技术 互联网信息服务安全通用要求 情報セキュリティ技術 インターネット情報サービスのセキュリティに関する一般要求事項 -
10 GB/T 40650-2021 信息安全技术 可信计算规范 可信平台控制模块 情報セキュリティ技術 トラステッドコンピューティング仕様 トラステッドプラットフォームコントロールモジュール -
11 GB/T 40651-2021 信息安全技术 实体鉴别保障框架 情報セキュリティ技術 エンティティ識別保証フレームワーク -
12 GB/T 40652-2021 信息安全技术 恶意软件事件预防和处理指南 情報セキュリティ技術 マルウェア・インシデント防止・対応ガイド -
13 GB/T 40653-2021 信息安全技术 安全处理器技术要求 情報セキュリティ技術 セキュア・プロセッサの技術要件 -
14 GB/T 40660-2021 信息安全技术 生物特征识别信息保护基本要求 情報セキュリティ技術 バイオメトリクス情報保護の基本要件 -
15 GB/T 40813-2021 信息安全技术 工业控制系统安全防护技术要求和测试评价方法 情報セキュリティ技術 産業用制御システムの安全性と保護のための技術的要求事項および試験・評価方法 -

 

 

・[PDF] 中华人民共和国 国家标准 公告 2021年第12号


この標準はいつくらいに、意見募集されたのかと気になり、

 

について、確認したところ、2018年6月13日に意見募集されていましたね。。。

2018.06.13 关于国家标准《信息安全技术 恶意软件事件预防和处理指南》征求意见稿征求意见的通知 国家標準「情報セキュリティ技術マルウェアインシデント防止・対応ガイド」案の意見募集のお知らせ

 

 


参考...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト 

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.27 中国 TC260 パブコメ ブロックチェーン情報サービスのセキュリティ仕様他

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.21 中国電子標準化研究所が国家標準GB/T 37988-2019「情報セキュリティ技術 データセキュリティ能力成熟度モデル」に準拠した成熟度評価ツールをリリースしましたね

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

 

 

| | Comments (0)

2021.10.12

米国 K-12サイバーセキュリティ法2021

こんにちは、丸山満彦です。

米国では、K-12(幼稚園年長から高校卒業まで)の児童・学生についての情報を保護するためのK-12サイバーセキュリティ法が成立しましたね。。。

The White House

・2021.10.08 Statement of President Joe Biden on Signing the K-12 Cybersecurity Act Into Law

Statement of President Joe Biden on Signing the K-12 Cybersecurity Act Into Law K-12 Cybersecurity Actの法律への署名に関するジョー・バイデン大統領の声明
STATEMENTS AND RELEASES 声明およびリリース
Today, I was pleased to sign the K-12 Cybersecurity Act into law to enhance the cybersecurity of our Nation’s K-12 educational institutions. This law highlights the significance of protecting the sensitive information maintained by schools across the country, and my Administration looks forward to providing important tools and guidance to help secure our school’s information systems. I want to thank Congress for passing it with bipartisan support. 本日、私は、米国のK-12教育機関のサイバーセキュリティを強化するためのK-12サイバーセキュリティ法に署名し、法律を制定することができました。この法律は、国内の学校が保持している機密情報を保護することの重要性を強調するものであり、私の政権は、学校の情報システムの安全性を確保するための重要なツールやガイダンスを提供することを期待しています。超党派の支持を得てこの法律を通過させた議会に感謝したい。
The global pandemic has impacted an entire generation of students and educators and underscores the importance of safeguarding their sensitive information, as well as for all Americans. This law is an important step forward to meeting the continuing threat posed by criminals, malicious actors, and adversaries in cyberspace. My Administration is marshalling a whole-of-nation effort to confront cyber threats. Recognizing how much work remains to be done and that maintaining strong cybersecurity practices is ongoing work, the advancements we have put in place during the first months of my Administration will enable us to build back better, modernize our defenses, and protect our children, families, and communities. 世界的なパンデミックは、全世代の学生や教育者に影響を与えており、彼らの機密情報を保護することの重要性は、すべてのアメリカ人にとっても強調されています。この法律は、サイバー空間における犯罪者、悪意のある行為者、敵対者による継続的な脅威に対処するための重要な一歩となります。私の政権は、サイバーの脅威に立ち向かうために、国を挙げて努力しています。まだまだやるべきことがたくさんあり、強力なサイバーセキュリティを維持することは継続的な作業であることを認識した上で、私の政権の最初の数ヶ月間に導入した進歩は、私たちがより良いものを作り直し、防御を近代化し、子供たち、家族、コミュニティを守ることを可能にします。

 

 

Fig1_20210802074601

 

具体的な法文は、

Congress

S.1917 - K-12 Cybersecurity Act of 2021

・2021.10.08 法 XML/HTMLTXTPDF

 

An Act
To establish a K-12 education cybersecurity initiative, and for other purposes. K-12教育のサイバーセキュリティイニシアチブを確立すること、およびその他の目的のために。
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, アメリカ合衆国議会の上院および下院によって制定される。
SECTION 1. SHORT TITLE. 第1条 略称
This Act may be cited as the ``K-12 Cybersecurity Act of 2021''. 本法は、「2021年K-12サイバーセキュリティ法」として引用することができる。
SEC. 2. FINDINGS. 第2条 承認
Congress finds the following: 議会は以下のことを承認している。
(1) K-12 educational institutions across the United States are facing cyber attacks. (1) 米国内のK-12教育機関は、サイバー攻撃に直面している。
(2) Cyber attacks place the information systems of K-12 educational institutions at risk of possible disclosure of sensitive student and employee information, including-- (2) サイバー攻撃により、K-12教育機関の情報システムは、以下のような生徒や従業員の機密情報が開示される危険性がある。
(A) grades and information on scholastic development; (A) 成績および学業成績に関する情報
(B) medical records; (B) 医療記録
(C) family records; and (C) 家族の記録
(D) personally identifiable information. (D) 個人を特定できる情報。
(3) Providing K-12 educational institutions with resources to aid cybersecurity efforts will help K-12 educational institutions prevent, detect, and respond to cyber events. (3) K-12教育機関にサイバーセキュリティの取り組みを支援するためのリソースを提供することは、K-12教育機関がサイバーイベントを予防、検知、対応するのに役立つ。
SEC. 3. K-12 EDUCATION CYBERSECURITY INITIATIVE. 第3条 K-12 教育機関サイバーセキュリティ・イニシアチブ
(a) Definitions.--In this section: (a) 定義--本条では以下の定義を用いる。
(1) Cybersecurity risk.--The term ``cybersecurity risk'' has the meaning given the term in section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659). (1) 「サイバーセキュリティ・リスク」という用語は、2002年国土安全保障法第2209条(6 U.S.C. 659)の定義をいう。
(2) Director.--The term ``Director'' means the Director of Cybersecurity and Infrastructure Security. (2) ディレクター --「ディレクター」とは、サイバーセキュリティ・インフラセキュリティ担当ディレクターを意味する。
(3) Information system.--The term ``information system'' has the meaning given the term in section 3502 of title 44, United States Code. (3) 情報システム --「情報システム」という用語は、合衆国法典第44編第3502項の定義をいう。
(4) K-12 educational institution.--The term ``K-12 educational institution'' means an elementary school or a secondary school, as those terms are defined in section 8101 of the Elementary and Secondary Education Act of 1965 (20 U.S.C. 7801). (4) K-12教育機関 --「K-12教育機関」とは、1965年初等中等教育法(20 U.S.C. 7801)8101項に定義されている小学校または中等学校をいう。
(b) Study.-- (b) 研究
(1) In general.--Not later than 120 days after the date of enactment of this Act, the Director, in accordance with subsection (g)(1), shall conduct a study on the specific cybersecurity risks facing K-12 educational institutions that-- (1) 局長は、本法令の施行日から120日以内に、第(g)項(1)号に従い、K-12教育機関が直面する具体的なサイバーセキュリティ・リスクに関する以下の調査を実施する。
(A) analyzes how identified cybersecurity risks specifically impact K-12 educational institutions; (A) 特定されたサイバーセキュリティ・リスクがK-12教育機関にどのような影響を与えるかを分析する。
(B) includes an evaluation of the challenges K-12 educational institutions face in-- (B) K-12教育機関が以下の点で直面する課題の評価を含む。
(i) securing-- (i) 安全を確保すること。
(I) information systems owned, leased, or relied upon by K-12 educational institutions; and (I) K-12教育機関が所有、リース、または依存している情報システム、および
(II) sensitive student and employee records; and (II) 機密性の高い学生や従業員の記録。
(ii) implementing cybersecurity protocols; (ii) サイバーセキュリティプロトコルの導入。
(C) identifies cybersecurity challenges relating to remote learning; and (C) 遠隔学習に関連するサイバーセキュリティ上の課題を特定する。
(D) evaluates the most accessible ways to communicate cybersecurity recommendations and tools. (D) サイバーセキュリティに関する提言やツールを伝えるための最もアクセスしやすい方法を評価する。
(2) Congressional briefing.--Not later than 120 days after the date of enactment of this Act, the Director shall provide a Congressional briefing on the study conducted under paragraph (1). (2) 議会でのブリーフィング--本法の制定日から120日以内に、長官は、(1)項に基づいて実施された調査に関する議会でのブリーフィングを行う。
(c) Cybersecurity Recommendations.--Not later than 60 days after the completion of the study required under subsection (b)(1), the Director, in accordance with subsection (g)(1), shall develop recommendations that include cybersecurity guidelines designed to assist K-12 educational institutions in facing the cybersecurity risks described in subsection (b)(1), using the findings of the study. (c) サイバーセキュリティに関する提言--(b)(1)項に基づき求められる調査の完了後60日以内に、局長は(g)(1)項に従い、調査結果を用いて、K-12教育機関が(b)(1)項に記載されたサイバーセキュリティ・リスクに直面することを支援するために設計されたサイバーセキュリティ・ガイドラインを含む提言を作成する。
(d) Online Training Toolkit.--Not later than 120 days after the completion of the development of the recommendations required under subsection (c), the Director shall develop an online training toolkit designed for officials at K-12 educational institutions to-- (d) オンライン・トレーニング・ツールキット--(c)項に基づき求められる提言の作成完了後120日以内に、長官は、K-12教育機関の職員向けに設計されたオンライン・トレーニング・ツールキットを作成し、以下を行うものとする。
(1) educate the officials about the cybersecurity recommendations developed under subsection (c); and (1) (c)項に基づいて作成されたサイバーセキュリティに関する提言について関係者を教育する。
(2) provide strategies for the officials to implement the recommendations developed under subsection (c). (2) 関係者が(c)項に基づいて策定された提言を実施するための戦略を提供する。
(e) Public Availability.--The Director shall make available on the website of the Department of Homeland Security with other information relating to school safety the following: (e) 一般公開--局長は、学校の安全に関連するその他の情報とともに、国土安全保障省のウェブサイトで以下のものを公開する。
(1) The findings of the study conducted under subsection (b)(1). (1) サブセクション(b)(1)に基づいて行われた調査の結果。
(2) The cybersecurity recommendations developed under subsection (c). (2) (c)項に基づいて作成されたサイバーセキュリティに関する提言。
(3) The online training toolkit developed under subsection (d). (3) (d)項に基づいて作成されたオンライントレーニングツールキット。
(f) Voluntary Use.--The use of the cybersecurity recommendations developed under (c) by K-12 educational institutions shall be voluntary. (f) 自主的な使用--K-12教育機関による(c)に基づいて策定されたサイバーセキュリティ勧告の使用は、自主的なものでなければならない。
(g) Consultation.-- (g) コンサルテーション
(1) In general.--In the course of the conduction of the study required under subsection (b)(1) and the development of the recommendations required under subsection (c), the Director shall consult with individuals and entities focused on cybersecurity and education, as appropriate, including-- (1) 一般的に--(b)(1)で要求された調査の実施および(c)で要求された提言の策定の過程において、局長は、サイバーセキュリティと教育に焦点を当てた個人および団体と適宜協議するものとし、これには以下が含まれる。
(A) teachers; (A) 教師。
(B) school administrators; (B) 学校管理者。
(C) Federal agencies; (C) 連邦政府機関
(D) non-Federal cybersecurity entities with experience in education issues; and (D) 教育問題の経験を有する連邦以外のサイバーセキュリティ団体、および
(E) private sector organizations. (E) 民間の組織。
(2) Inapplicability of faca.--The Federal Advisory Committee Act (5 U.S.C App.) shall not apply to any consultation under paragraph (1). (2) 連邦諮問委員会法(5 U.S.C. App.)は、第1項の協議には適用されない。

 

 

| | Comments (0)

中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

こんにちは、丸山満彦です。

中国の科学技術部が「 新世代の人工知能倫理規定」を発表していますね。。。

科学技术部

・2021.09.26 《新一代人工智能伦理规范》发布

  1. 人間の福祉の増進
  2. 公正と正義の推進
  3. プライバシーとセキュリティの保護
  4. 制御性と信頼性の確保
  5. 責任の強化
  6. 倫理意識の向上

の6つの基本的な倫理要件を定めていますね。。。

 

《新一代人工智能伦理规范》发布 「新世代の人工知能倫理規定」を発表
9月25日,国家新一代人工智能治理专业委员会发布了《新一代人工智能伦理规范》(以下简称《伦理规范》),旨在将伦理道德融入人工智能全生命周期,为从事人工智能相关活动的自然人、法人和其他相关机构等提供伦理指引。 9月25日、「新世代人工知能のガバナンスに関する国家専門委員会」は、人工知能のライフサイクル全体に倫理を統合し、AI関連の活動に従事する自然人、法人、その他の関連機関等に倫理的なガイドラインを提供することを目的とした「新世代人工知能の倫理コード」(以下、倫理コード)を発表しました。
《伦理规范》经过专题调研、集中起草、意见征询等环节,充分考虑当前社会各界有关隐私、偏见、歧视、公平等伦理关切,包括总则、特定活动伦理规范和组织实施等内容。《伦理规范》提出了增进人类福祉、促进公平公正、保护隐私安全、确保可控可信、强化责任担当、提升伦理素养等6项基本伦理要求。同时,提出人工智能管理、研发、供应、使用等特定活动的18项具体伦理要求。《伦理规范》全文如下: 倫理規定は、プライバシー、偏見、差別、公正さに関する現在の倫理的懸念を十分に考慮した上で、調査、集中的な起草、協議のプロセスを経て作成されており、一般的な規定、特定の活動に対する倫理的規範、組織的な実施方法が含まれています。 倫理綱領では、「人間の福祉の増進」「公正と正義の推進」「プライバシーとセキュリティの保護」「制御性と信頼性の確保」「責任の強化」「倫理意識の向上」の6つの基本的な倫理要件を定めています。 同時に、人工知能の管理、研究開発、供給、使用などの具体的な活動に対して、18の具体的な倫理的要件が提案されています。 倫理綱領の全文は以下の通りです。
  新一代人工智能伦理规范为深入贯彻《新一代人工智能发展规划》,细化落实《新一代人工智能治理原则》,增强全社会的人工智能伦理意识与行为自觉,积极引导负责任的人工智能研发与应用活动,促进人工智能健康发展,制定本规范。   新世代人工知能倫理綱領」は、「新世代人工知能開発計画」の徹底、「新世代人工知能ガバナンス原則」の精緻化と実行、人工知能の倫理と行動意識に対する社会全体の意識の向上、責任ある人工知能の研究開発と応用活動の積極的な指導、人工知能の健全な発展の促進を目的として策定されたものです。

 

具体的な規定は次のとおりです。。。

第一章 总则 第1章 総則
第一条 本规范旨在将伦理道德融入人工智能全生命周期,促进公平、公正、和谐、安全,避免偏见、歧视、隐私和信息泄露等问题。 第1条 本コードは、倫理・道徳を人工知能のライフサイクル全体に統合し、公正・正義・調和・安全を促進し、偏見・差別・プライバシー・情報漏洩などの問題を回避することを目的としています。
第二条 本规范适用于从事人工智能管理、研发、供应、使用等相关活动的自然人、法人和其他相关机构等。(一)管理活动主要指人工智能相关的战略规划、政策法规和技术标准制定实施,资源配置以及监督审查等。(二)研发活动主要指人工智能相关的科学研究、技术开发、产品研制等。(三)供应活动主要指人工智能产品与服务相关的生产、运营、销售等。(四)使用活动主要指人工智能产品与服务相关的采购、消费、操作等。 第2条 この規程は、AIの管理、研究開発、提供・利用、その他関連する活動を行う自然人、法人、その他関連機関等に適用されます。 (1)マネジメント活動とは、主にAIに関する戦略立案、政策・規制・技術基準の策定と実施、資源配分、監督・審査を指します。 (2)研究開発活動とは、主にAIに関する科学研究、技術開発、製品開発などを指します。 (3)供給活動とは、主にAI製品・サービスの生産、運用、販売を指します。 (4)利用活動とは、主にAI製品・サービスに関わる調達、消費、運用などを指します。
第三条 人工智能各类活动应遵循以下基本伦理规范。(一)增进人类福祉。坚持以人为本,遵循人类共同价值观,尊重人权和人类根本利益诉求,遵守国家或地区伦理道德。坚持公共利益优先,促进人机和谐友好,改善民生,增强获得感幸福感,推动经济、社会及生态可持续发展,共建人类命运共同体。(二)促进公平公正。坚持普惠性和包容性,切实保护各相关主体合法权益,推动全社会公平共享人工智能带来的益处,促进社会公平正义和机会均等。在提供人工智能产品和服务时,应充分尊重和帮助弱势群体、特殊群体,并根据需要提供相应替代方案。(三)保护隐私安全。充分尊重个人信息知情、同意等权利,依照合法、正当、必要和诚信原则处理个人信息,保障个人隐私与数据安全,不得损害个人合法数据权益,不得以窃取、篡改、泄露等方式非法收集利用个人信息,不得侵害个人隐私权。(四)确保可控可信。保障人类拥有充分自主决策权,有权选择是否接受人工智能提供的服务,有权随时退出与人工智能的交互,有权随时中止人工智能系统的运行,确保人工智能始终处于人类控制之下。(五)强化责任担当。坚持人类是最终责任主体,明确利益相关者的责任,全面增强责任意识,在人工智能全生命周期各环节自省自律,建立人工智能问责机制,不回避责任审查,不逃避应负责任。(六)提升伦理素养。积极学习和普及人工智能伦理知识,客观认识伦理问题,不低估不夸大伦理风险。主动开展或参与人工智能伦理问题讨论,深入推动人工智能伦理治理实践,提升应对能力。 第3条 AIのあらゆる活動は、以下の基本的な倫理規範に従わなければならない。 (1) 人間の福祉の増進 人を第一に考え、人類共通の価値観に従い、人権と人間の基本的利益を尊重し、国や地域の倫理や道徳を守ることを主張する。 公共の利益を優先し、人間と機械の調和と友好を促進し、人々の生活を向上させ、幸福感を高め、経済、社会、生態系の持続的な発展を促進し、人類の運命共同体を構築するものでなければならない。 (2)公平性と公正性の促進 普遍性と包括性の原則を遵守し、関連するすべての対象者の正当な権利と利益を効果的に保護し、AIがもたらす利益の社会全体での公正な共有を促進し、社会正義と機会の平等を推進します。 AI製品やサービスを提供する際には、不利な立場にある人々や特別な立場にある人々を十分に尊重し、支援するとともに、必要に応じて適切な代替手段を提供しなければなりません。 (iii) プライバシーとセキュリティの保護 個人情報の情報化と同意の権利を十分に尊重し、合法性、正当性、必要性、誠実性の原則に従って個人情報を取り扱い、個人のプライバシーとデータセキュリティを保護し、個人の正当なデータの権利を傷つけず、盗用、改ざん、漏洩などによる個人情報の不正な収集と使用を行わず、個人のプライバシー権を侵害しない。 (4)制御性と信頼性の確保 人間の意思決定における完全な自律性、AIが提供するサービスを受けるかどうかを選択する権利、いつでもAIとの対話から撤退する権利、いつでもAIシステムの運用を停止する権利を確保し、AIが常に人間の管理下に置かれるようにする。 (5)責任感の強化 人間に最終的な責任があることを主張し、利害関係者の責任を明確にし、責任意識を全面的に高め、AIのライフサイクルのすべての局面で自省と自己管理を行い、AIの説明責任のメカニズムを確立し、責任の見直しを回避したり、責任を問われることを回避したりしないこと。 (vi) 倫理的リテラシーの向上 AI倫理の知識を積極的に学び、普及させ、倫理的問題を客観的に理解し、倫理的リスクを過小評価したり誇張したりしない。 人工知能の倫理的な問題に関する議論を積極的に行い、人工知能の倫理的なガバナンスの実践を徹底的に推進し、対応能力を強化する。
第四条 人工智能特定活动应遵守的伦理规范包括管理规范、研发规范、供应规范和使用规范。 第4条 特定のAI活動において遵守すべき倫理規範には、管理規範、研究開発規範、供給規範、使用規範があります。
第二章 管理规范 第2章 管理規定
第五条 推动敏捷治理。尊重人工智能发展规律,充分认识人工智能的潜力与局限,持续优化治理机制和方式,在战略决策、制度建设、资源配置过程中,不脱离实际、不急功近利,有序推动人工智能健康和可持续发展。 第5条 アジャイルガバナンスの推進:AI発展の法則を尊重し、AIの可能性と限界を十分に理解し、ガバナンスのメカニズムとアプローチを継続的に最適化し、戦略的意思決定、システム構築、資源配分のプロセスにおいて、現実から離れたり、急いだりすることなく、秩序ある方法でAIの健全で持続可能な発展を促進すること。
第六条 积极实践示范。遵守人工智能相关法规、政策和标准,主动将人工智能伦理道德融入管理全过程,率先成为人工智能伦理治理的实践者和推动者,及时总结推广人工智能治理经验,积极回应社会对人工智能的伦理关切。 第6条 積極的な実践のデモンストレーション:AI関連の規制、方針、基準を遵守し、率先してAI倫理を経営プロセス全体に統合し、率先してAI倫理ガバナンスの実践者・推進者となり、AIガバナンスの経験をタイムリーにまとめて普及させ、AIに関する社会の倫理的関心に積極的に対応すること。
第七条 正确行权用权。明确人工智能相关管理活动的职责和权力边界,规范权力运行条件和程序。充分尊重并保障相关主体的隐私、自由、尊严、安全等权利及其他合法权益,禁止权力不当行使对自然人、法人和其他组织合法权益造成侵害。 第7条 適切な権利行使:AI関連の管理活動の責任と権限の境界を明確にし、権限を運用するための条件と手順を規定する。 関連する対象者のプライバシー、自由、尊厳、安全、およびその他の正当な権利と利益を十分に尊重し、保護し、自然人、法人、およびその他の組織の正当な権利と利益を侵害するような不適切な権力行使を禁止すること。
第八条 加强风险防范。增强底线思维和风险意识,加强人工智能发展的潜在风险研判,及时开展系统的风险监测和评估,建立有效的风险预警机制,提升人工智能伦理风险管控和处置能力。 第8条 リスク対策の強化:ボトムライン思考とリスク認識を強化し、AI開発における潜在的なリスクの調査と判断を強化し、適時で体系的なリスクの監視と評価を行い、効果的なリスク警告メカニズムを確立し、AIの倫理的リスクの管理と処分の能力を強化すること。
第九条 促进包容开放。充分重视人工智能各利益相关主体的权益与诉求,鼓励应用多样化的人工智能技术解决经济社会发展实际问题,鼓励跨学科、跨领域、跨地区、跨国界的交流与合作,推动形成具有广泛共识的人工智能治理框架和标准规范。 第9条 包括性と開放性の促進:AIに関わるすべてのステークホルダーの権利と要求に十分な注意を払い、経済・社会発展の現実的な問題を解決するために多様なAI技術の適用を奨励し、学際的、異分野的、地域的、国境的な交流と協力を促進し、幅広いコンセンサスのあるAIガバナンスフレームワークと標準的な規範の形成を促進すること。
第三章 研发规范 第3章 研究開発規定
第十条 强化自律意识。加强人工智能研发相关活动的自我约束,主动将人工智能伦理道德融入技术研发各环节,自觉开展自我审查,加强自我管理,不从事违背伦理道德的人工智能研发。 第10条 自律意識の強化:AI研究開発関連の自主規制を強化し、技術研究開発のあらゆる側面にAI倫理を統合することを率先して行い、意識的に自己検閲を行い、自己管理を強化し、倫理・道徳に反するAI研究開発を行わないこと。
第十一条 提升数据质量。在数据收集、存储、使用、加工、传输、提供、公开等环节,严格遵守数据相关法律、标准与规范,提升数据的完整性、及时性、一致性、规范性和准确性等。 第11条 データ品質の向上:データの収集、保管、使用、処理、送信、提供、開示の過程では、データ関連の法律、基準、規範を厳格に遵守し、データの整合性、適時性、一貫性、標準化、正確性などを向上させること。
第十二条 增强安全透明。在算法设计、实现、应用等环节,提升透明性、可解释性、可理解性、可靠性、可控性,增强人工智能系统的韧性、自适应性和抗干扰能力,逐步实现可验证、可审核、可监督、可追溯、可预测、可信赖。 第12条 安全性と透明性の向上:アルゴリズムの設計、実装、応用においては、透明性、解釈可能性、理解可能性、信頼性、制御可能性を高め、AIシステムの回復力、自己適応性、反干渉性を強化し、検証可能性、監査可能性、監督可能性、追跡可能性、予測可能性、信頼性を徐々に実現していくこと。
第十三条 避免偏见歧视。在数据采集和算法开发中,加强伦理审查,充分考虑差异化诉求,避免可能存在的数据与算法偏见,努力实现人工智能系统的普惠性、公平性和非歧视性。 第13条 偏見による差別の回避:データ収集やアルゴリズム開発においては、倫理的な審査を強化し、差別的な主張を十分に考慮し、データやアルゴリズムの偏りの可能性を回避し、AIシステムの普遍性、公平性、無差別性の実現に努めること。
第四章 供应规范 第4章 供給規定
第十四条 尊重市场规则。严格遵守市场准入、竞争、交易等活动的各种规章制度,积极维护市场秩序,营造有利于人工智能发展的市场环境,不得以数据垄断、平台垄断等破坏市场有序竞争,禁止以任何手段侵犯其他主体的知识产权。 第14条 市場ルールの尊重:市場へのアクセス、競争、取引などに関する各種規則を厳格に遵守し、積極的に市場秩序を維持し、AIの発展に資する市場環境を整備するとともに、データの独占、プラットフォームの独占などで市場の秩序ある競争を損なうことを控え、いかなる手段によっても他の主体の知的財産権を侵害することを禁止すること。
第十五条 加强质量管控。强化人工智能产品与服务的质量监测和使用评估,避免因设计和产品缺陷等问题导致的人身安全、财产安全、用户隐私等侵害,不得经营、销售或提供不符合质量标准的产品与服务。 第15条 品質管理の強化:AI製品・サービスの品質監視と使用評価を強化し、設計や製品の欠陥などに起因する個人の安全、財産の安全、利用者のプライバシーの侵害を回避し、品質基準を満たさない製品・サービスを運営、販売、提供しないこと。
第十六条 保障用户权益。在产品与服务中使用人工智能技术应明确告知用户,应标识人工智能产品与服务的功能与局限,保障用户知情、同意等权利。为用户选择使用或退出人工智能模式提供简便易懂的解决方案,不得为用户平等使用人工智能设置障碍。 第16条 利用者の権利保護:製品およびサービスにおけるAI技術の使用は、利用者に明確に通知されなければならず、AI製品およびサービスの機能および制限は、情報および同意に対する利用者の権利を保護するために特定されなければならない。 利用者がAIモードを利用するか撤退するかを選択するためのわかりやすいソリューションを提供し、利用者が平等にAIを利用するための障害とならないようにする。
第十七条 强化应急保障。研究制定应急机制和损失补偿方案或措施,及时监测人工智能系统,及时响应和处理用户的反馈信息,及时防范系统性故障,随时准备协助相关主体依法依规对人工智能系统进行干预,减少损失,规避风险。 第17条 緊急時の保護強化:緊急時のメカニズムや損失補償のスキームや手段を検討・開発し、AIシステムをタイムリーに監視し、利用者からのフィードバックにタイムリーに対応・処理し、システム障害をタイムリーに防止し、損失を軽減しリスクを回避するために、法令に基づいてAIシステムに介入する関係主体を支援する準備をします。
第五章 使用规范 第5章 使用規定
第十八条 提倡善意使用。加强人工智能产品与服务使用前的论证和评估,充分了解人工智能产品与服务带来的益处,充分考虑各利益相关主体的合法权益,更好促进经济繁荣、社会进步和可持续发展。 第18条 善意利用の促進:使用前の人工知能製品・サービスのデモンストレーションと評価を強化し、AI製品・サービスがもたらす利益を十分に理解し、すべての利害関係者の合法的な権利と利益を十分に考慮し、経済的繁栄、社会的進歩、持続可能な発展をよりよく促進すること。
第十九条 避免误用滥用。充分了解人工智能产品与服务的适用范围和负面影响,切实尊重相关主体不使用人工智能产品或服务的权利,避免不当使用和滥用人工智能产品与服务,避免非故意造成对他人合法权益的损害。 第19条 誤用・濫用の回避:AI製品・サービスの適用範囲や悪影響を十分に理解し、関連する対象者のAI製品・サービスを使用しない権利を効果的に尊重し、AI製品・サービスの不適切な使用や乱用を避け、意図せずに他者の合法的な権利や利益に損害を与えないようにすること。
第二十条 禁止违规恶用。禁止使用不符合法律法规、伦理道德和标准规范的人工智能产品与服务,禁止使用人工智能产品与服务从事不法活动,严禁危害国家安全、公共安全和生产安全,严禁损害社会公共利益等。 第20条 違法・悪用の禁止:法令や倫理・規格・規範に適合しないAI製品・サービスの使用を禁止し、AI製品・サービスを使用して違法行為を行うことを禁止し、国家安全保障・公安・生産安全を危うくすることを禁止し、社会公共の利益を毀損することを禁止すること。
第二十一条 及时主动反馈。积极参与人工智能伦理治理实践,对使用人工智能产品与服务过程中发现的技术安全漏洞、政策法规真空、监管滞后等问题,应及时向相关主体反馈,并协助解决。 第21条 適時で積極的なフィードバック:AIの倫理的なガバナンスの実践に積極的に参加し、関連するテーマに適時にフィードバックし、AI製品やサービスを利用する過程で見つかった技術的な安全性の抜け穴、政策や規制の空白、規制の遅れなどの問題解決を支援すること。
第二十二条 提高使用能力。积极学习人工智能相关知识,主动掌握人工智能产品与服务的运营、维护、应急处置等各使用环节所需技能,确保人工智能产品与服务安全使用和高效利用。 第22条 利用能力の向上:AI製品・サービスを安全に使用し、効率的に活用するために、AI関連の知識を積極的に学び、運用・保守・緊急時の処理などに必要なスキルを率先して習得する。
第六章 组织实施 第6章 組織への実装
第二十三条 本规范由国家新一代人工智能治理专业委员会发布,并负责解释和指导实施。 第23条 この規定は、新世代人工知能のガバナンスに関する国家専門委員会が発行するものであり、その解釈と実施の指導に責任を持つ。
第二十四条 各级管理部门、企业、高校、科研院所、协会学会和其他相关机构可依据本规范,结合实际需求,制订更为具体的伦理规范和相关措施。 第24条 あらゆるレベルの管理部門、企業、大学、研究機関、協会および学会、その他の関連機関は、この規程に基づき、実際の必要性を考慮して、より具体的な倫理規定および関連する措置を策定することができる。
第二十五条 本规范自公布之日起施行,并根据经济社会发展需求和人工智能发展情况适时修订。 第25条 この規定は、発行日に施行され、経済社会の発展や人工知能の発達の必要性に応じて、適切な時期に改訂されるものとする。

 

1_20210612030101

 


 

まるちゃんの情報セキュリティきまぐれ日記

 

 

 

 

| | Comments (0)

2021.10.11

シンガポール サイバーセキュリティ戦略2021

こんにちは、丸山満彦です。

シンガポールがサイバーセキュリティ戦略2021を公表していますね。。。

 

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

The Singapore Cybersecurity Strategy 2021 outlines Singapore’s updated goals and approach to adapt to a rapidly evolving strategic and technological environment. Potential disruptive technologies such as edge computing and quantum technologies are on the horizon. Threat actors are becoming more sophisticated and taking advantage of increasingly ubiquitous connectivity to launch more cyberattacks. Singapore thus reviewed and refreshed its cybersecurity strategy, which was first launched in 2016.  シンガポール・サイバーセキュリティ戦略2021」は、急速に進化する戦略的・技術的環境に適応するためのシンガポールの最新の目標とアプローチを概説しています。エッジコンピューティングや量子技術など、破壊的な技術が登場する可能性があります。脅威となる人物はより洗練され、ユビキタスな接続性を利用してより多くのサイバー攻撃を仕掛けてきます。そこでシンガポールは、2016年に初めて打ち出されたサイバーセキュリティ戦略を見直し、刷新しました。
Cybersecurity is a team sport, and everyone has a part to play. Developed in consultation with multiple stakeholders, including industry, and local and overseas academia, Strategy 2021 seeks to actively defend our cyberspace, simplify cybersecurity for end-users, and promote the development of international cyber norms and standards. Workforce and ecosystem development are the foundations of this strategy.   サイバーセキュリティはチームスポーツであり、誰もが果たすべき役割を持っています。産業界、国内外の学界を含む複数のステークホルダーとの協議を経て策定された戦略2021は、サイバー空間を積極的に防御し、エンドユーザーのためにサイバーセキュリティを簡素化し、国際的なサイバー規範や基準の策定を促進することを目指しています。労働力とエコシステムの開発がこの戦略の基盤となっています。 
The Singapore Cybersecurity Strategy 2021 comprises three strategic pillars and two foundational enablers:  シンガポール・サイバーセキュリティ戦略2021は、3つの戦略的な柱と2つの基礎的なイネーブラーで構成されています。
• Strategic Pillar 1: Build Resilient Infrastructure ・戦略的柱1:強靭なインフラの構築
• Strategic Pillar 2: Enable a Safer Cyberspace ・戦略的柱2:より安全なサイバースペースの実現
• Strategic Pillar 3: Enhance International Cyber Cooperation ・戦略的柱3:国際的なサイバー協力の強化
• Foundational Enabler 1: Develop a Vibrant Cybersecurity Ecosystem ・基盤となるイネーブラ1: 活発なサイバーセキュリティ・エコシステムの構築
• Foundational Enabler 2: Grow a Robust Cyber Talent Pipeline ・基盤となるイネーブラー2:強固なサイバー人材パイプラインの育成

 


・[PDF]

20211011-134730

Overview of the Singapore Cybersecurity Strategy 2021 シンガポール・サイバーセキュリティ戦略2021の概要
Introduction: Singapore’s Cyber Operating Landscape はじめに シンガポールのサイバー事業環境
Chapter 1: Build Resilient Infrastructure  第1章:強靭なインフラの構築 
Enable a coordinated approach to national cybersecurity with Critical Information Infrastructures (CIIs) at its core  重要情報インフラ(CII)を核とした国家サイバーセキュリティへの協調的アプローチを可能にする 
Ensure government systems are secure and resilient  政府システムの安全性と回復力の確保 
Safeguard important entities and systems beyond CIIs  CII以外の重要なエンティティとシステムを保護する 
Chapter 2: Enable a Safer Cyberspace  第2章 より安全なサイバースペースの実現 
Secure digital infrastructure, devices, and applications that power our digital economy  デジタル経済を支えるデジタルインフラ、デバイス、アプリケーションを保護する 
Safeguard our cyberspace activities  サイバースペースでの活動を保護する 
Empower our cyber-savvy population for a healthy digital way of life  健全なデジタルライフのために、サイバーに精通した人々を強化する 
Chapter 3: Enhance International Cyber Cooperation  第3章:国際的なサイバー協力の強化 
Advance the development and implementation of voluntary, non-binding norms, which sit alongside international law  国際法と並行して、自主的で拘束力のない規範の開発と実施を進める 
Strengthen the global cybersecurity posture through capacity-building initiatives and the development of technical and interoperable cybersecurity standards  能力向上のための取り組みや、技術的かつ相互運用可能なサイバーセキュリティ標準の開発を通じて、世界のサイバーセキュリティ体制を強化する 
Contribute to international efforts to combat cross-border cyber threats  国境を越えたサイバー脅威に対抗するための国際的な取り組みに貢献する 
Chapter 4: Develop a Vibrant Cybersecurity Ecosystem  第4章: 活発なサイバーセキュリティ・エコシステムの構築 
Develop advanced capabilities for economic growth and national security  経済成長と国家安全保障のために先進的な能力を開発する 
Innovate to build world-class products and services  世界クラスの製品とサービスを構築するためのイノベーション 
Grow our cybersecurity market  サイバーセキュリティ市場の拡大 
Chapter 5: Grow a Robust Cyber Talent Pipeline  第5章: 強固なサイバー人材パイプラインの育成 
Support youths, women, and mid-career professionals to pursue a cybersecurity career  若者、女性、中途採用者がサイバーセキュリティのキャリアを追求することを支援する 
Create an upskilling culture for a globally competitive workforce  国際的な競争力を備えた人材を育成するためのスキルアップ文化の構築 
Foster a dynamic sector with strong professional communities  強力な専門家コミュニティを持つダイナミックなセクターを育成する 
Conclusion  まとめ 
Glossary  用語集 

 

Overview of the SINGAPORE CYBERSECURITY STRATEGY 2021 シンガポール・サイバーセキュリティ戦略2021の概要
A secure cyberspace underpins our national security, powers a digital economy, and protects our digital way of life. 安全なサイバースペースは、国家安全保障を支え、デジタル経済を活性化し、私たちのデジタルライフを守っています。
Singapore launched our first Singapore Cybersecurity Strategy in 2016 (‘Strategy 2016’), which helped lay the foundations of our cybersecurity efforts today. As our strategic and technological environment has changed significantly over the past five years, we have reviewed and refreshed our cybersecurity strategy to address new and emerging cyber-threats. シンガポールは、2016年に最初の「シンガポール・サイバーセキュリティ戦略」(以下、「戦略2016」)を発表し、今日のサイバーセキュリティへの取り組みの基礎を築きました。過去5年間で戦略的・技術的環境が大きく変化したため、新たなサイバー脅威に対応するため、サイバーセキュリティ戦略を見直し、刷新しました。
With a robust cybersecurity workforce and a vibrant cybersecurity ecosystem as key enablers, the Singapore Cybersecurity Strategy 2021 (‘Strategy 2021’) lays out our plans to strengthen the security and resilience of our digital infrastructure and enable a safer cyberspace to support our digital way of life. It also articulates how Singapore could play an outsized role in the digital domain despite being a small country, to support an open, secure, stable, accessible, peaceful, and interoperable cyberspace.  堅牢なサイバーセキュリティ人材と活気あるサイバーセキュリティ・エコシステムを主要な実現手段として、「シンガポール・サイバーセキュリティ戦略2021」(以下、戦略2021)は、我々のデジタルインフラのセキュリティと回復力を強化し、我々のデジタルライフをサポートするために、より安全なサイバー空間を実現するための計画を示しています。また、オープンで安全、安定、アクセス可能、平和で相互運用可能なサイバースペースを実現するために、シンガポールは小国でありながらデジタル領域で大きな役割を果たすことができることを明確にしています。
Build Resilient Infrastructure 強靭なインフラの構築
• Enable a coordinated approach to national cybersecurity with CIIs at its core ・CIIを核とした国家のサイバーセキュリティへの協調的アプローチを可能にする
• Ensure government systems are secure and resilient ・政府システムの安全性と回復力の確保
• Safeguard important entities and systems beyond CIIs ・CII以外の重要なエンティティとシステムを保護する
Enable a Safer Cyberspace より安全なサイバースペースの実現
• Secure digital infrastructure, devices, and applications that power our digital economy ・デジタル経済を支えるデジタルインフラ,デバイス,アプリケーションを保護する
• Safeguard our cyberspace activities ・サイバースペースでの活動を保護する
• Empower our cyber-savvy population for a healthy digital way of life ・健全なデジタルライフのために,サイバーに精通した人々を強化する
Enhance International Cyber Cooperation 国際的なサイバー協力の強化
• Advance the development and implementation of voluntary, non-binding norms, which sit alongside international law ・国際法と並行して,自発的で拘束力のない規範の開発と実施を促進する
• Strengthen the global cybersecurity posture through capacity-building initiatives and the development of technical and interoperable cybersecurity standards ・キャパシティビルディングや,技術的かつ相互運用可能なサイバーセキュリティ基準の開発を通じて,グローバルなサイバーセキュリティ体制を強化する
• Contribute to international efforts to combat cross-border cyber threats ・国境を越えたサイバー脅威に対抗するための国際的な取り組みへの貢献
Develop a Vibrant Cybersecurity Ecosystem 活発なサイバーセキュリティ・エコシステムの構築
• Develop advanced capabilities for economic growth and national security ・ 経済成長と国家安全保障のための先進的な能力の開発
• Innovate to build world-class products and services ・世界クラスの製品とサービスを構築するためのイノベーション
• Grow our cybersecurity market ・サイバーセキュリティ市場の拡大
Grow a Robust Cyber Talent Pipeline 強固なサイバー人材パイプラインの育成
• Support youths, women, and midcareer professionals to pursue a cybersecurity career ・若者,女性,中途採用者がサイバーセキュリティのキャリアを追求できるよう支援する
• Create an upskilling culture for a globally competitive workforce ・世界的な競争力を持つ人材のためのスキルアップ文化の構築
• Foster a dynamic sector with strong professional communities ・強力な専門家集団によるダイナミックなセクターの育成

 

 


 参考

・2020.10.10 Singapore's Cybersecurity Strategy 2016

・[PDF

20211011-134707


 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

・2016.11.01 (Policy paper) National Cyber Security Strategy 2016 to 2021

The National Cyber Security Strategy 2016 to 2021 sets out the government's plan to make Britain secure and resilient in cyberspace.

・[PDF] National Cyber Security Strategy 2016 to 2021

20210513-131213

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリテ2021

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

 

| | Comments (0)

米国 カリフォルニア州 遺伝情報プライバシー法を制定

こんにちは、丸山満彦です。

カリフォルニア州が遺伝情報のプライバシーに関する規制を定めるための法改正(2021.10.06に知事が署名)をしていますね。。。

 

● California Legislative Information

法文

SB-41 Privacy: genetic testing companies.(2021-2022)

Fig1_20211011064401

 

2022.01.01施行ですね。。。

 

条文の仮訳...

 

Continue reading "米国 カリフォルニア州 遺伝情報プライバシー法を制定"

| | Comments (0)

JIPDEC 2020年度「個人情報の取扱いにおける事故報告集計結果」について

こんにちは、丸山満彦です。

JIPDECが、2020年度「個人情報の取扱いにおける事故報告集計結果」を公表していますね。。。

 

● JIPDEC

・2021.10.05 2020年度「個人情報の取扱いにおける事故報告集計結果」について

2020年度中に「プライバシーマーク付与事業者」から「JIPDEC及び審査機関」に報告のあった個人情報の取扱いにおける事故等について、取りまとめて集計したもののようです。

「プライバシーマーク付与事業者」が中小企業に偏っている傾向にあると思いますので、データソースの偏りを踏まえて読む必要があるとは思いますが、中小企業を中心に参考になるところはあると思います。


報告内容の概要

  1. 事故の原因を件数が多い順に見ると、「誤送付」(1,648件:62.3%)が最も多く、次いで「その他漏えい」(454件:17.2%)、「紛失」(394件:14.9%)、その他(140件:5.3%)となりました。

  2. 「誤送付」の内訳では、多い順に見ると、「メール誤送信」(764件:28.9%)、「封入ミス」(323件:12.2%)、「宛名間違い等」(314件:11.9%)となりました。「メール誤送信」が2019年度よりも大きく増加しています。

  3. 「その他漏えい」の内訳では、「関係者事務処理・作業ミス等」は、2019年度には2018年度より減少(205件→138件)しましたが、2020年度には2018年度を超える232件に増加しました。
    また、2019年度に2018年度から大幅に増加(55件→185件)した「プログラム/システム設計・作業ミス」は2020年度には102件に減少しましたが、一件あたりの事故による漏えい件数が増加傾向にあります。また「ウイルス感染」も2019年度の9件から2020年度は3倍以上増えて29件となっており、増加傾向にあります。

  4. 「その他」の内訳では、2018年度から2019年度にかけて増加(24件→66件)した「誤廃棄」が2020年度には38件に減少しました。他に目立つ点としては、2019年度には8件だった「内部不正行為」が、2020年度には15件に増加しました。

  5. 2020年度は、新型コロナウイルス感染症対策のための「テレワーク実施」「新たなコミュニケーションツールの利用」などの業務環境の変化の影響が、事故報告の内容にも見られます

 

報告書には事故事例の記載あります。。。

 

・[PDF] 2020年度「個人情報の取扱いにおける事故報告集計結果」

20211011-55644

 

1. はじめに
2. 概要
3. 全般的な状況
(1) 事故報告の状況
(2) 原因別に見た事故報告状況
4. 事故の発生傾向とその防止策について
(1) ソーシャルエンジニアリング
<事例①>
<事例②>
<事例③>
<原因及び対策>
(2) 設定ミスによる誤公開
<事例①>
<事例②>
<原因及び対策>
(3) ランサムウェア
<ランサムウェアとは?>
<事例>
<事例の説明>
<一般的な感染経路>
<ランサムウェアによる被害>
<対策>
(4) 環境変化による事故(新型コロナウイルス感染症対策より)
<イレギュラーオペレーションの状況・環境とリスク要因等>
<事故事例>
<事故発生防止策>
5. まとめ
データ編
1. 事故報告書を提出した付与事業者数と事故報告件数
2. 付与事業者から報告された原因別事故報告件数と割合
(1) 原因別事故報告件数
(2) 原因別事故報告件数における「その他漏えい」の内訳
(3)  原因別事故報告件数における「その他」の内訳

 

 

 

 

| | Comments (0)

2021.10.10

総務省 意見募集 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)

こんにちは、丸山満彦です。

総務省が、電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)についての意見募集をしていますね。。。

総務省

・2021.010.05 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)についての意見募集


2 概要

 本研究会では、情報通信技術の発展に伴い、巧妙化・複雑化するサイバー攻撃に対して、電気通信事業者が通信の秘密等に配慮した適切な対応を行うことが可能となるよう、電気通信事業におけるサイバー攻撃への適正な対処の在り方について議論を行っているところですが、今般取りまとめた「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)」について広く意見を募集することとしたものです。


 

・[PDF] 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)の概要 

20211010-70540

意見募集はこちら...

・[PDF] 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案) 

20211010-70654

序章
第1章 最近のサイバー攻撃に係る課題と対策例
(1) 最近のサイバー攻撃に係る課題
(2) 平時におけるフロー情報の収集・蓄積・分析によるC&Cサーバである可能性が高い機器の検知
(3) フロー情報を収集・蓄積・分析して検知したC&Cサーバに関する情報についての共有
第2章 具体的検討
第1節 通信の秘密の利用等に関する違法性阻却事由等について
(1)正当業務行為
(2)正当防衛、緊急避難
第2節 平時におけるフロー情報の収集・蓄積・分析による C&C サーバである可能性が高い機器の検知
(1)対策の概要及び問題の所在
(2)違法性阻却事由について
 ① 目的の正当性
 ② 行為の必要性
 ③ 手段の相当性
 ④ まとめ
第3節 フロー情報を収集・蓄積・分析して検知した C&C サーバに関する情報についての共有
(1)対策の概要及び問題の所在
(2)検討
第3章 おわりに

 

| | Comments (0)

欧州議会 Think Tank 「EUのサイバー防衛能力」 at 2021.09.30

こんにちは、丸山満彦です。

2021.09.30 に公表されたEU cyber-defence capabilitiesの報告書は、関連する資料へのリンクがあり便利です。。。

 

EU Parliament - Think Tank

・2021.09.30 EU cyber-defence capabilities

・[PDF

20211010-22841

 

EU cyber-defence capabilities EUのサイバー防衛能力
Cyberspace has become the fifth domain of warfare alongside the traditional sea, land, air and space. As societies digitalise and become more technologically connected, cyber risks and vulnerabilities increase. The European Union (EU) has been highly active in strengthening cyber capabilities and coordination frameworks through a collection of initiatives and proposals, notably since 2017. The European Parliament will debate recent as well as future measures during the October I 2021 plenary session, with a focus on cyber-defence capabilities, the subject of a report discussed and voted in the Foreign Affairs (AFET) Committee in July 2021. サイバースペースは、従来の海、陸、空、宇宙と並ぶ第5の戦域となっています。社会がデジタル化し、技術的なつながりが強まるにつれ、サイバーリスクや脆弱性が増加しています。欧州連合(EU)は、特に2017年以降、一連の取り組みや提案を通じて、サイバー能力と調整枠組みの強化に積極的に取り組んでいます。欧州議会は、2021101日の本会議で、20217月に外交委員会で審議・採決された報告書の対象であるサイバー防衛能力に焦点を当てて、最近の施策および今後の施策について議論します。
Background 背景
The diversity of cyber threats has increased over time, ranging from outright cyber conflict or warfare to cyber sabotage and espionage. Malicious cyber actors, from lone wolves to professional criminals and to state and non-state actors, exploit the anonymity and affordability of cyberspace. Coordinated cyberattacks alongside economic pressure, disinformation and armed warfare are testing the resilience of democratic states and institutions, directly targeting peace and security in the EU. The World Economic Forum has placed cyber-attacks in its top 10 global risks for several years in a row. Their data suggest that the number of countries experiencing such attacks increased by 150 % between 2017 and 2019. Attacks targeting Europe show no sign of slowing down. The EU Agency for Cybersecurity (ENISA) reports that the most targeted sectors are digital services, government administration and the technology industry. サイバー脅威の多様性は、明白なサイバー紛争や戦争から、サイバーサボタージュやスパイ活動に至るまで、時を経るとともに増加しています。一匹狼からプロの犯罪者、そして国家や非国家の攻撃者まで、悪意のあるサイバー攻撃者は、サイバースペースの匿名性と手頃な価格を利用しています。経済的圧力、偽情報、武力戦争などと並行して行われるサイバー攻撃は、民主主義国家や制度の抗堪力を試すものであり、EUの平和と安全を直接の標的としています。世界経済フォーラムは、サイバー攻撃を数年連続でグローバルリスクのトップ10に位置づけています。彼らのデータによると、このような攻撃を受ける国の数は、2017年から2019年にかけて150 %増加しています。欧州を標的とした攻撃は、一向に衰える気配がありません。EUサイバーセキュリティ機関(ENISA)の報告によると、最も狙われているセクターは、デジタルサービス、政府行政、テクノロジー産業です。
European Union action 欧州連合の行動
In 2017, over eight in ten (87 %) Europeans saw cybercrime as an important challenge. Cybersecurity mainly refers to civilian activities relating to information and network security, while cyber defence tends to refer to the military sphere, including the protection of key assets. In 2017, the European Commission proposed a comprehensive cybersecurity package, including a permanent mandate for ENISA and overall improvements in rapid response and deterrence. An EU Cybersecurity Competence Centre was set up in Romania in 2020. The European Commission adopted an EU cybersecurity strategy in December 2020, describing how 'the EU can harness and strengthen all its tools and resources to be technologically sovereign' while cooperating with like-minded partners. Cooperation is supported by the EU's cyberdiplomacy toolbox, adopted in 2017. One such partner is NATO, with whom cooperation on cyber defence is a recognised mutual interest. Commission President Ursula von der Leyen announced in her 2021 State of the Union address the need for a European cyber-defence policy and for a cyber-resilience act. These are necessary, argues European Commissioner for the Internal Market, Thierry Breton, for Europe to become 'a leader in cybersecurity' that is able to 'protect, detect, defend and deter'. He estimates up to €4.5 billion of investments in the development and deployment of cybersecurity technologies between 2021 and 2027. 2017年、ヨーロッパ人の10人に8人以上(87%)が、サイバー犯罪を重要な課題と捉えています。サイバーセキュリティは、主に情報やネットワークのセキュリティに関連する民間の活動を指すのに対し、サイバー防衛は、重要な資産の保護などの軍事分野を指す傾向があります。2017年、欧州委員会は、ENISAの恒久的な任務や、迅速な対応と抑止力の全体的な改善を含む、包括的なサイバーセキュリティパッケージを提案しました。2020年にはルーマニアにEUサイバーセキュリティ・コンピテンス・センターが設置されました。欧州委員会は202012月にEUサイバーセキュリティ戦略を採択し、志を同じくするパートナーと協力しながら「EUが技術的に主権を握るためにあらゆるツールとリソースを活用し、強化する」方法を記述しています。協力は、2017年に採択されたEUのサイバー外交ツールボックスによって支えられています。そのようなパートナーの一つがNATOであり、NATOとはサイバー防衛に関する協力が相互利益として認識されています。欧州委員会のウルスラ・フォン・デア・ライエン委員長は、2021年の一般教書演説の中で、欧州のサイバー防衛政策とサイバーレジリエンス法の必要性を発表しました。ティエリー・ブルトン欧州委員会域内市場担当委員は、欧州が「保護、検知、防御、抑止」が可能な「サイバーセキュリティのリーダー」になるためには、これらが必要であると主張しています。ブルトン委員は、2021年から2027年にかけて、サイバーセキュリティ技術の開発・展開に最大45億ユーロの投資が行われると予測しています。
European Parliament position 欧州議会の見解
Parliament's AFET committee adopted its report on the state of EU's cyber-defence capabilities on 1 July 2021. The report stresses the need to strengthen cyber-defence capabilities and notes that this will require intensified cooperation among all relevant EU bodies and agencies and with NATO. It welcomes the work of the European Defence Agency in this field and notes the potential of EU defence capability development initiatives for improving preparedness, rapid response and cooperation in the cyber domain. The EU's Strategic Compass reflection process is seen as an opportunity to deepen the 'strategic culture in the cyber domain' and to reduce the fragmentation in the EU's cyber architecture. 欧州議会のAFET委員会は、202171日、EUのサイバー防衛能力の状況に関する報告書を採択しました。報告書は、サイバー防衛能力を強化する必要性を強調し、そのためには、EUのすべての関連機関・組織間およびNATOとの協力を強化する必要があると指摘しています。報告書は、この分野における欧州防衛庁の活動を歓迎するとともに、サイバー領域における準備、迅速な対応、協力を向上させるためのEUの防衛能力開発イニシアチブの可能性を指摘しています。EUの戦略的羅針盤の検討プロセスは、「サイバー領域における戦略的文化」を深め、EUのサイバー・アーキテクチャーの断片化を軽減する機会になると見ています。

 

10月1日の討論のメモ

EU Parliament

Tuesday, 5 October 2021 - Strasbourg - 12. State of EU cyber defence capabilities (debate)

 

 


 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

・2016.11.01 (Policy paper) National Cyber Security Strategy 2016 to 2021

The National Cyber Security Strategy 2016 to 2021 sets out the government's plan to make Britain secure and resilient in cyberspace.

・[PDF] National Cyber Security Strategy 2016 to 2021

20210513-131213

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリテ2021

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

| | Comments (0)

2021.10.09

米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

こんにちは、丸山満彦です。

米国は議員立法の国なので、議員が法案を議会に提出し、両院で審議され、両院で可決されれば、大統領に送られ、大統領がサインをすれば法律として成立します。法案は議員であれば、だれでも出せますので、法案が提出された段階では、成立するかどうかはなかなか見えないことも多いです。SolarwindsやColonial Pipelineの事案を受けて、重要インフラ等のサイバーインシデントについて政府機関に報告又は通知する義務を課す法律案が上院で提出されているので、備忘録ということで。。。

1200pxseal_of_the_united_states_congress

 

Cyber Incident Nortification Act of 2021案

提出者:Mark Warner (D-VA)上院議員[wikipedia]、Marco Rubio (R-FL)上院議員[wikipedia]、Susan Collins (R-ME) 上院議員[wikipedia]

Congress

S.2407 - Cyber Incident Notification Act of 2021

・2021.07.21 法案(XML/HTMLTXTPDF

連邦政府機関、その請負事業者、重要インフラ運営者は、ランサムウェア等のセキュリティインシデントを認識してから24時間以内にCISAに通知しないといけない。。。

 

Congress

Cyber Incident Reporting Act of 2021案

提出者:Gary Peters (D-MI) 上院議員[wikipedia]、Rob Portman (R-OH)上院議員[wikipedia]

S.2875 - Cyber Incident Reporting Act of 2021

2021.09.28 法案(XML / HTMLTXTPDF

こちらは、報告については72時間以内となっていますが、さらに支払った身代金額も報告する義務(24時間以内)があるとなっていますね。。。

 

 

| | Comments (0)

2021.10.08

厚生労働省 意見募集 医療機器のサイバーセキュリティ導入に関する手引書

こんにちは、丸山満彦です。

厚労省が、「医療機器のサイバーセキュリティ導入に関する手引書(案)」を公表し、意見募集をしていますね。。。

e-Gov

・2021.10.07 医療機器のサイバーセキュリティの確保に関するガイダンス案に関する御意見の募集について

・[PDF] 医療機器のサイバーセキュリティ導入に関する手引書(案) [downloaded]

20211007-235545


背景

我が国においては、「医療機器の製造販売を規制する医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律」(昭和 35 年法律第 145 号、以下「医薬品医療機器等法」という。)に紐づく「医薬品、医療機器等の品質、有効性及び安全性の確保等に関する法律第四十一条第三項の規定により厚生労働大臣が定める医療機器の基準」(平成 17 3 29 日厚生労働省告示第 122 号。以下「基本要件基準」という。)によって、サイバーセキュリティを含むリスクマネジメントが求められ、使用者に対する情報提供や注意喚起を含めて最新の技術に立脚して医療機器の安全性を確保しなくてはならないこととされている。

具体的には、「医療機器におけるサイバーセキュリティの確保について」(平成 27 年4月 28 日付け薬食機参発 0428 第1号・薬食安発 0428 第1号・厚生労働省大臣官房参事官(医療機器・再生医療等製品審査管理担当)・医薬食品局安全対策課長連名通知)によって、サイバーリスクが懸念される医療機器のうち、少なくとも、無線又は有線により、他の医療機器、医療機器の構成品、インターネットその他のネットワーク、又は USB メモリ等の携帯型メディア(以下「他の機器・ネットワーク等」という。)との接続が可能な医療機器について、製造販売業者は、不正なアクセス等が想定される医療機器については、サイバーリスクを含む危険性を評価・除去し、防護するリスクマネジメントを行い、使用者に対する必要な情報提供や注意喚起を含めて適切な対策を行うこととしている。また、必要なサイバーセキュリティが確保されていない医療機器については、使用者に対して必要な注意喚起を行うことや、サイバーセキュリティの確保が適切に実施されるよう、医療機関に対し、必要な情報提供を行うとともに、必要な連携を図ることが示されている。

さらに、医療機器のサイバーセキュリティに関する具体的なリスクマネジメント、サイバーセキュリティ対策及び処置の考え方については、「医療機器のサイバーセキュリティの確保に関するガイダンスについて」(平成 30 7 24 日付け薬生機審発 0724 第1号・薬生安発 0724 第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安全対策課長連名通知)として取りまとめられている。医療機器の使用環境の特定、意図する使用環境におけるサイバーリスクに対するリスクアセスメントの実施、必要な対策、その結果リスクが受容可能になることの説明、サイバーリスクに伴う医療機器の不具合等についても GVP 省令における安全性情報として取り扱い、販売業者・貸与業者や修理業者の協力のもと、医療機関と連携を取り、適切な市販後の安全確保が求められている。

医療機器製品は、複数国に流通する場合が多いこと、国境の枠組みを超えてサイバー攻撃が行われる可能性が高いと考えられていることから、サイバーセキュリティ対応の国際調和を図ることを目的として、国際医療機器規制当局フォーラム(International Medical Device Regulators Forum IMDRF)において、医療機器サイバーセキュリティガイダンス N60Principles and Practices for Medical Device Cybersecurity医療機器サイバーセキュリティの原則及び実践)」(以下「IMDRF ガイダンス」という。)が取りまとめられ、「国際医療機器規制当局フォーラム(IMDRF)による医療機器サイバーセキュリティの原則及び実践に関するガイダンスの公表について(周知依頼)(令和 2 5 13 日付け薬生機審発 0513第1号・薬生安発 0513 第1号・厚生労働省医薬・生活衛生局医療機器審査管理課長・医薬安全対策課長連名通知)によって、我が国においても、医療機器製造販売業者に対して IMDRF ガイダンスを導入することが示された。無線、インターネット及びネットワーク接続機器の使用の増加に加え、サイバー攻撃の高度化に伴い、製造販売業者は、市販前には、医療機器のサイバー攻撃に対する耐性が確保されるよう、設計及び開発を行い、市販後には、意図する使用環境における機器の運用、情報共有、脆弱性の修正、インシデントの対応などを適切に行う必要がある。また、医療現場において適正な管理がなされるよう、製造販売業者は、医療機関、使用者(以下ユーザーという。)、規制当局及び脆弱性発見者等のステークホルダーと必要な情報共有等を行い積極的に連携していくことが求められている。

なお、この文書は IMDRF における検討の動向に沿って、適宜改訂又は追補等が行われることに留意されたい。

医療機関等の医療情報システムに関しては、厚生労働省から「医療情報システムの安全管理に関するガイドライン」(第 1 版が平成 17 3 月に示され、情勢に応じた改定が随時行われ、令和 3 1 月第 5.1版に至っている。以下「安全管理ガイドライン」という。)が発出されている。情報セキュリティの対策は、この文書に示したものに限らず、安全管理ガイドライン及び情報セキュリティマネジメントシステム(ISMS)の実践等によって適切な対策を取るべきことに十分留意することが必要である。

この文書は、IMDRF ガイダンスの内容を基本としているが、AMED 医薬品等規制調和・評価研究事業「医療機関における医療機器のサイバーセキュリティに係る課題抽出等に関する研究」(研究開発代表者:公益財団法人医療機器センター専務理事 中野壮陛)」における検討内容を踏まえ、我が国の状況にあわせて必要な編纂をしている。なお、医療機関における医療機器のサイバーセキュリティに係る対応については、当該事業の検討結果を基に別途、取りまとめられる予定である。


 

章立て


背景

1. 目的

2. 適用範囲

3. 用語及び参考定義

4. 一般原則

5. 市販前の考慮事項
5.1. セキュリティ要求事項及びアーキテクチャ設計
5.2. TPLC に関するリスクマネジメント原則
5.3. セキュリティ試験
5.4. TPLC サイバーセキュリティマネジメント計画
5.5. 顧客向け文書
 5.5.1. 注意事項等情報及び取扱説明書
 5.5.2. 顧客向けセキュリティ文書
5.6. 規制当局への申請に関する文書

6. 市販後の考慮事項
6.1. 意図する使用環境における機器の運用
6.2. 情報共有
6.3. 協調的な脆弱性の開示(CVD)
6.4. 脆弱性の修正
6.5. インシデントへの対応
6.6. レガシー医療機器
 6.6.1. TPLC とレガシー状態
 6.6.2. TPLC における考慮事項
  6.6.2.1 設計・開発期間
  6.6.2.2 サポート期間
  6.6.2.3 限定的サポート期間
  6.6.2.4 サポート終了(EOS)


 

ベースとなるIMDRF文書

International Medical Device Regulators Forum: IMDRF

・MDRF/CYBER WG/N60FINAL:2020 Principles and Practices for Medical Device Cybersecurity [PDF]  [DOCX]

日本語版

20211008-00523


1.0 はじめに

2.0 適用範囲

3.0 定義

4.0 一般原則
 4.1 国際整合
 4.2 製品ライフサイクルの全体
 4.3 共同責任
 4.4 情報共有

5.0 医療機器サイバーセキュリティの市販前考慮事項
 5.1 セキュリティ要求事項及びアーキテクチャ設計
 5.2   TPLC に関するリスクマネジメント原則
 5.3 セキュリティ試験
 5.4   TPLC サイバーセキュリティマネジメント計画
 5.5 ラベリング及び顧客向けセキュリティ文書
  5.5.1 ラベリング
  5.5.2 顧客向けセキュリティ文書
 5.6 規制当局への申請に関する文書
  5.6.1 設計文書
  5.6.2 リスクマネジメント文書
  5.6.3 セキュリティ試験の文書
  5.6.4 TPLC サイバーセキュリティマネジメント計画に関する文書
  5.6.5 ラベリング及び顧客向けセキュリティ文書

6.0 医療機器サイバーセキュリティの市販後考慮事項
 6.1 意図する使用環境における機器の運用
  6.1.1 ヘルスケアプロバイダ及び患者
  6.1.2 医療機器製造業者
 6.2 情報共有
  6.2.1 重要原則
  6.2.2 重要な責任関係者
  6.2.3 情報の種類
  6.2.4 信頼できるコミュニケーション
 6.3 協調的な脆弱性の開示
  6.3.1 医療機器製造業者
  6.3.2 規制当局
  6.3.3 脆弱性の発見者(セキュリティ研究者及びその他の脆弱性発見者を含む)
 6.4 脆弱性の修正
  6.4.1 医療機器製造業者
  6.4.2 ヘルスケアプロバイダ及び患者
  6.4.3 規制当局
 6.5 インシデントへの対応
  6.5.1 医療機器製造業者
  6.5.2 ヘルスケアプロバイダ
  6.5.3 規制当局
 6.6 レガシー医療機器
  6.6.1 医療機器製造業者
  6.6.2 ヘルスケアプロバイダ

7.0 参考文献
 7.1   IMDRF 文書
 7.2 規格
 7.3 規制当局のガイダンス
 7.4 その他の資料及び参考文献

8.0 附属書
 8.1 附属書 A: インシデント対応の役割(ISO/IEC 27035 から引用)
 8.2 附属書 B: 協調的な脆弱性の開示に関する各地域のリソース


 

まるちゃんの情報セキュリティ気まぐれ日記 

「医療機器」に関連...

・2021.09.02 NIST 意見募集 White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減

・2021.07.03 米国 保健福祉省 内部監査:病院内ネットワークに接続された医療機器に対するサイバーセキュリティに関する一貫した監督が不十分 at 2021.06.21

・2021.04.04 日医総研 医療機器高度化に伴う医療情報のサイバーセキュリティマネジメントに関する研究

・2021.03.06 経団連 「プログラムの医療機器該当性に関するガイドライン」(案)に対する意見

・2021.02.16 欧州委員会 健康データとGDPRに関する加盟国の規則についての調査結果を公開

・2021.02.05 厚生労働省 意見募集 プログラムの医療機器該当性に関するガイドライン

・2021.01.22 ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.10.21 ドイツのITセキュリティの状況 2020 - Die Lage der IT-Sicherheit in Deutschland 2020 by BSI

10年以上遡ると...

・2010.07.19 厚生労働省 パブコメ  医薬品・医薬部外品製造販売業者等におけるコンピュータ化システム適正管理ガイドライン(案)

・2008.04.03 画像医療システムのセキュリティ


医療情報

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

10年以上遡ると...

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

 

| | Comments (0)

2021.10.07

Atlantic Council 海事サイバーセキュリティに関する協力

こんにちは、丸山満彦です。

Atlantic Councilが海事 (maritime) サイバーセキュリティに関する協力について公表していますね。。。

欧米では海事関係のセキュリティは重要インフラとして扱われています(MARITIME ISACMARITIME TRANSPORTATION SYSTEM ISACがあるし...)が、日本ではあまり聞かないような気がするんですよね。。。

 

Atlantic Council

・2021.10.04 Raising the colors: Signaling for cooperation on maritime cybersecurity

 1. Exective Summary

 2. Introduction

 3. A system of systems

 4. Recommendations

 5. Appendices

 

・[PDF]

20211006-231921

1. Executive Summary 1. エグゼクティブサマリー
2. Introduction 2. はじめに
2.1. Complexity Begets Insecurity 2.1. 複雑さが不安を生む
2.2. Threats 2.2. 脅威
2.3. Attackers as Diverse as the MTS: Pirates to Pwners 2.3. MTSのように多様な攻撃者:パイレーツからプナーまで
2.4. Framing the Challenge 2.4. 課題の設定
3. A “System of Systems”: Understanding the MTS 3. システム・オブ・システム:MTSの理解
3.1 Human Cyber Risk 3.1 人間のサイバーリスク
3.2 Systems Cyber Risk 3.2 システムのサイバーリスク
3.3 Maritime Life Cycles 3.3 海事のライフサイクル
4. A Collaborative Path Forward for Cybersecurity in the MTS 4. MTSにおけるサイバーセキュリティのための協力的な道筋
4.1 Recommendations 4.1 提言
5. Conclusion 5. 結論
Appendix 1: Players 附属書1:プレイヤー
Appendix 2: Acronyms 附属書2:頭字語
Acknowledgments & Author Bios 謝辞と著者略歴
Author Biographies 著者略歴

 

Executive Summary エグゼクティブサマリー
Few industries are as critical to the global economy as the maritime transportation system (MTS), which is responsible for facilitatating the safe transport of seafaring passengers and, critically, the vast majority of international trade. The efficient operation of the MTS is at risk, though, as the industry is increasingly vulnerable to cyber threats. In 2020, cyberattacks targeting the MTS increased by 400 percent over the span of a few months.[1] Perhaps no incident better illustrated the sector’s cyber vulnerability than when the MTS’s principal international governance body, the International Maritime Organization (IMO), suffered a “sophisticated cyberattack” that took down its web-based services on September 30, 2020.[2] 世界経済にとって、海上輸送システム(MTS)ほど重要な産業はありません。MTSは、船客の安全な輸送を促進し、重要なことに、国際貿易の大部分を担っています。しかし、MTSの効率的な運用は、業界がサイバー脅威に対してますます脆弱になっていることから、危険にさらされています。2020年には、MTSを標的としたサイバー攻撃が数ヶ月の間に400%増加しました[1]。MTSの主要な国際統治機関である国際海事機関(IMO)が2020年9月30日に「巧妙なサイバー攻撃」を受け、ウェブベースのサービスが停止したことほど、このセクターのサイバー脆弱性を物語る事件はないでしょう[2]。
The US government began to address the shortfalls in the sector’s cybersecurity by releasing the National Maritime Cybersecurity Plan (NMCP) in December 2020. Like many first steps, the plan was more like a road map than an implementation plan, despite initiating several useful lines of effort.[3] This report builds and expands on these efforts across the complex MTS to present three overarching recommendations for industry stakeholders, as well as policy makers in the United States and allied states, to improve their collective cybersecurity posture within the MTS. 米国政府は、2020年12月に「National Maritime Cybersecurity Plan(NMCP)」を発表して、このセクターのサイバーセキュリティの不足分に対処し始めました。多くの第一歩がそうであるように、この計画も、いくつかの有益な取り組みを開始したものの、実施計画というよりはロードマップに近いものでした[3]。本報告書は、複雑なMTS全体におけるこれらの取り組みを基にして拡張し、MTS内の集団的なサイバーセキュリティ態勢を改善するために、業界の利害関係者、および米国と同盟国の政策立案者に向けた3つの包括的な提言を提示します。
No global supply chain is independent of the maritime transportation sector, and most, in fact, are existentially dependent. The MTS feeds a quarter of US gross domestic product (GDP). Prior to the COVID-19 pandemic, commercial shipping moved close to 80 percent of global trade by volume and over 70 percent of global trade by value[4]—and postpandemic analyses suggestthe sector will recover strongly, even growing by 4.1 percent.[5] Beyond this substantial economic value, ports and shipping play a considerable role in projecting US and allied power across the globe. 海上輸送部門から独立しているグローバルなサプライチェーンはなく、ほとんどのサプライチェーンは存在的に依存しています。MTSは、米国の国内総生産(GDP)の4分の1を供給しています。COVID-19のパンデミック前、商業海運は世界貿易の80%近くを量的に、70%以上を金額的に動かしていました[4]。パンデミック後の分析によると、この部門は4.1%の成長を遂げ、力強く回復するとされています[5]。
More than containers and bulk cargo, the MTS is responsible for ships and offshore sites, and land-based terminals that are integral to the security of global energy systems. In 2016, more than 61 percent of the world’s total petroleum and other liquid energy supply moved through sea-based trade.[6] No other form of transportation can move the sheer volume of goods at the competitive price point available in the MTS.[7] With ambitious renewable-energy targets being set by states like the United States,[8] the actors in the MTS will play a key role in maintaining and expanding renewable facilities. The MTS literally fuels the global economy. MTSは、コンテナやバルク貨物だけでなく、世界のエネルギーシステムの安全性に欠かせない船舶やオフショア施設、陸上のターミナルを担当しています。2016年には、世界の石油などの液体エネルギー供給総量の61%以上が海上貿易によって移動しました[6]。MTSで利用できる競争力のある価格帯で膨大な量の商品を移動できる輸送手段は他にありません[7]。米国のように野心的な再生可能エネルギー目標が設定されている中[8]、MTSの関係者は再生可能施設の維持・拡大において重要な役割を果たします。MTSは文字通り世界経済の原動力となっています。
Yet, maritime cybersecurity risks remain underappreciated. The uptick in cyberattacks targeting the MTS includes varieties of attacks familiar to other industries, including ransomware, phishing, and malware such as data wipers, to name a few. In combination with traditional cyber threats targeting information technology (IT) systems, reports of attacks on operational technology (OT), on ships and in ports, increased a whopping 900 percent in a three-year period ending in 2020.[9] しかし、海上のサイバーセキュリティのリスクは、まだ十分に評価されていません。MTSを標的としたサイバー攻撃の増加には、ランサムウェア、フィッシング、データワイパーなどのマルウェアを含む、他の産業でよく見られる様々な攻撃が含まれています。情報技術(IT)システムを標的とした従来のサイバー脅威に加えて、船舶や港湾における運用技術(OT)への攻撃の報告は、2020年までの3年間でなんと900%も増加しています[9]。
Part of the challenge of MTS cybersecurity is the complex structure of the sector. A “system of systems,” the MTS is composed of individual ships, ports and terminals, shipping lines, shipbuilders, intermodal transport operators, cargo and passenger handlers, vessel traffic control, maritime administrators, and more. Each system has its own organizational peculiarities and dependencies.  MTSのサイバーセキュリティの課題の一つは、このセクターの複雑な構造にあります。MTS のサイバーセキュリティの課題のひとつは、このセクターの複雑な構造にあります。「システムのシステム」である MTS は、個々の船舶、港湾・ターミナル、船会社、造船会社、複合輸送事業者、貨物・旅客取扱業者、船舶交通管制、海事管理者などで構成されています。それぞれのシステムには、組織上の特殊性や依存関係があります。
Moreover, regulation of the MTS is often indirect because of the interwoven nature of ship management, where many different states and entities might own, lease, sail, register, and crew one ship. さらに、船舶管理には様々な国や団体が1隻の船舶を所有、リース、航海、登録、乗組員として従事するという性質があるため、MTSの規制は間接的なものになりがちです。
To address this complexity and help stakeholders address the cyber risks impacting the MTS, this report examines three key life cycles—the life of a ship, of a piece of cargo, and of the daily operations of a port—to reveal patterns of threats and vulnerabilities. These life cycles help shed light on a globe-spanning cast of characters. Each life cycle highlights areas of concentrated risk and points of leverage against which policy makers and practitioners can collaborate to take action. この複雑さに対処し、利害関係者がMTSに影響を与えるサイバーリスクに対処できるようにするため、本報告書では、脅威と脆弱性のパターンを明らかにするため、船舶の寿命、貨物の寿命、港の日常業務の3つの主要なライフサイクルを調査しています。これらのライフサイクルは、世界各地に散らばるキャラクターに光を当てるのに役立ちます。各ライフサイクルでは、リスクが集中している地域や、政策立案者と実務者が協力して行動を起こすためのポイントが明らかになります。
Building on this analysis, the report offers twelve recommendations sequenced as first, next, and later. The first set of recommendations includes six matters to be addressed promptly to secure the MTS. These recommendations need to be prioritized for action because they build directly upon mature preexisting relationships, partnerships, and functions to address key drivers of systemic cyber risk in the MTS. Cybersecurity guidelines and standards fall into this category. Work by the National Institute of Standards and Technology (NIST) to develop a framework profile for liquefied natural gas (LNG) operators in the maritime domain demonstrates this maturity and presents a jumping-off point to address the problem of lacking cybersecurity guidelines and standards for the MTS more holistically. The need and willingness across the MTS to improve existing cybersecurity postures are evident, with many differentiated bodies releasing their own guidelines over the last decade and the NMCP outlining it as a key priority going forward.  これらの分析に基づき、本報告書では12の提言を、最初、次、後の順に提示しています。最初の提言には、MTSを確保するために早急に取り組むべき6つの事項が含まれています。これらの提言は、成熟した既存の関係、パートナーシップ、機能に直接基づいて、MTSにおけるシステミック・サイバー・リスクの主要な要因に対処するため、優先的に行動する必要があります。サイバーセキュリティのガイドラインと標準がこのカテゴリーに入ります。米国標準技術研究所(NIST)による、海事分野における液化天然ガス(LNG)事業者のためのフレームワーク・プロファイルの開発は、このような成熟度を示しており、MTSのサイバーセキュリティ・ガイドラインや標準の欠如という問題に、より総合的に取り組むための出発点となります。過去10年間に多くの組織が独自のガイドラインを発表し、NMCPが今後の重要な優先事項として取り上げていることからも、既存のサイバーセキュリティの姿勢を改善する必要性と意欲は、MTS全体で明らかです。
The next category of recommendations looks to address several areas of concentrated risk in the MTS. However, these actions are built upon points of leverage that are of varying or inconstant levels of maturity. One of the key recommendations in this section seeks to address the issue of insecure system design: how can vendors design systems to be robust in the face of attacks and fail more gracefully? In recent years, and even more so after the Sunburst campaign, there has been a marked increase in initiatives pushing for secure-by-design policies across many sectors, and acquisition bodies are often responsible for enforcing these initiatives. However, the prospect of applying comparable programs to the MTS is wickedly challenging—and although the end result would be extremely beneficial to the ecosystem, it may ruffle some feathers. Many maritime vendors have been producing the same types of systems for decades and may oppose new, mandatory security controls and design requirements. The commercial MTS vendor community, like the MTS itself, is inherently international, requiring standards or design requirements that are aggressively globalized.  次のカテゴリーの提言は、MTSのリスクが集中しているいくつかの分野に対処するものです。しかし、これらの行動は、成熟度にばらつきのある、あるいは一定しないレバレッジのポイントに基づいています。このセクションの重要な提言の1つは、安全でないシステム設計の問題に対処することです。近年、サンバーストキャンペーン以降、多くの分野でセキュア・バイ・デザイン・ポリシーを推進する取り組みが顕著に増加しており、買収機関はしばしばこれらの取り組みを実施する責任を負っています。しかし、同等のプログラムをMTSに適用することは非常に困難であり、最終的にはエコシステムにとって非常に有益なものとなりますが、羽目を外すことになるかもしれません。多くの海事ベンダーは何十年にもわたって同種のシステムを製造してきたため、新たに義務化されるセキュリティ制御や設計要件に反対する可能性があります。商用のMTSベンダーのコミュニティは、MTS自体と同様、本質的に国際的であり、積極的にグローバル化された標準や設計要件を必要とします。
Finally, the report makes two later recommendations regarding vulnerability disclosure programs and cyber insurance. Both present differentiated but equally problematic paths toward influencing better cybersecurity in the MTS— chiefly because of misaligned incentives. Vulnerability disclosure programs and mandatory disclosure windows are currently utilized to help better secure ecosystems and specific systems in other industries. A ninety-day mandatory disclosure policy is commonplace in the technology space. However, the quick timelines that often come with these programs can be challenging for maritime actors. Often, a single operator can have hundreds of ships around the globe, and some or many of them may need to address an identified vulnerability: yet no two of the operator’s ships may contain the exact same systems, and consistent access to high-speed Internet zones may be hard to come by. Compared with some other critical infrastructure sectors that can push for a so-called rapid-patch approach, these windows can be unrealistic in the MTS. Implementing an industry-wide mandatory disclosure policy would be a way to draw attention to the problem; however, there would be significant pushback and legitimate questions about whether this policy is realistic.   最後に、本報告書は、脆弱性開示プログラムとサイバー保険に関する2つの提言を行っています。両者ともに、MTSのサイバーセキュリティの向上に影響を与えるために、それぞれ異なる方法を提示していますが、同じような問題を抱えているのは、主にインセンティブのズレが原因です。脆弱性開示プログラムと義務的な開示窓口は、現在、他の産業の生態系や特定のシステムの安全性を高めるために利用されています。技術分野では、90日間の強制開示ポリシーが一般的です。しかし、海事関係者にとっては、このようなプログラムに伴う迅速なタイムラインは困難です。一人のオペレーターが世界中に何百隻もの船を持ち、そのうちの何隻か、あるいは何隻かが特定された脆弱性に対処する必要がある場合があります。いわゆるrapid-patchアプローチを推進できる他の重要インフラ分野と比較すると、MTSではこのようなウィンドウは現実的ではありません。業界全体で情報開示を義務付ける政策を実施することは、この問題に注目を集めるための方法ですが、この政策が現実的かどうかについては、大きな反発と正当な疑問があるでしょう。 
All twelve of the recommendations put forward by this report are important steps to improve the overall cybersecurity posture of the MTS. By prioritizing actions that are built upon more mature players, protocols, and relationships, this report aims to tackle low-hanging fruit before transitioning to challenging but no less important problems. By following this road map, hopefully, the MTS can work to raise the baseline for cybersecurity and better protect its actors from systemic cyber threats.  本報告書で提示された12の推奨事項はすべて、MTSの全体的なサイバーセキュリティの態勢を改善するための重要なステップです。本報告書は、より成熟したプレイヤー、プロトコル、関係に基づいて構築されたアクションを優先することで、困難ではあるがそれに劣らず重要な問題に移行する前に、手の届きにくい果実に取り組むことを目的としています。このロードマップに従うことで、うまくいけば、MTSはサイバーセキュリティのベースラインを引き上げ、システミックなサイバー脅威からそのアクターをよりよく保護することができます。

 

[1]. “Maritime Industry Sees 400% Increase in Attempted Cyberattacks Since February 2020,” Security magazine, October 20, 2020, https://www.securitymagazine.com/articles/92541-maritime-industry-sees-400-increase-in-attempted-cyberattacks-since-february-2020.
[2]. Catalin Cimpanu, “UN Maritime Agency Says It Was Hacked,” ZDNet, October 06, 2020, https://www.zdnet.com/article/un-maritime-agency-says-it-washacked/.
[3]. Nina A. Kollars, Sam J. Tangredi, and Chris C. Demchak, “The Cyber Maritime Environment: A Shared Critical Infrastructure and Trump’s Maritime Cybersecurity Plan,” War on the Rocks, February 04, 2021, https://warontherocks.com/2021/02/the-cyber-maritime-environment-a-shared-criticalinfrastructure-and-trumps-maritime-cyber-security-plan/.
[4]. “Review of Maritime Transport 2018,” United Nations Conference on Trade and Development (UNCTAD) website, https://unctad.org/webflyer/reviewmaritime-transport-2018.
[5]. UNCTAD, UNCTAD Review of Maritime Transport 2020 (New York: United Nations Publications, 2020), https://unctad.org/system/files/official-document/ rmt2020_en.pdf.
[6]. “World Oil Transit Chokepoints,” US Energy Information Administration (EIA) website, July 25, 2017, https://www.eia.gov/international/analysis/specialtopics/World_Oil_Transit_Chokepoints.
[7.] Business Wire press release, “Global Marine Fuel Market (2020 to 2025)–Featuring Shell, Neste, and BP among Others–ResearchandMarkets.com,” Associated Press, November 30, 2020, https://apnews.com/press-release/business-wire/business-government-business-and-finance-coronaviruspandemic-oil-and-gas-transportation-energy-industry-0810aa8611ca415a92fe3df728bdff72.
[8]. Brady Dennis and Juliet Eilperin, “Biden Plans to Cut Emissions at Least in Half by 2030,” Washington Post, April 20, 2021, https://www.washingtonpost. com/climate-environment/2021/04/20/biden-climate-change/.
[9]. “Maritime Cyber Attacks Increase by 900% in Three Years,” Hellenic Shipping News, July 21, 2020, https://www.hellenicshippingnews.com/maritimecyber-attacks-increase-by-900-in-three-years/.

提言

    First Next Later
Raise the baseline ベースラインの引き上げ      
1. Drive a sector-specific cybersecurity framework with low barriers to implementation 1. 実施への障壁が低い、セクター固有のサイバーセキュリティフレームワークの推進 X    
2. Define a threat matrix of maritime cyber incidents 2. 海上のサイバーインシデントの脅威マトリックスの定義 X    
3. Create a global clearinghouse for MTS intelligence 3. MTSインテリジェンスのグローバルなクリアリングハウスの構築 X    
4. Push an industry-wide, transparent vulnerability disclosure policy 4. 業界全体の透明性のある脆弱性開示ポリシーの推進     X
Deepen stakeholder awareness 利害関係者の認識の深化      
5. Expand cross-sector collaboration through academia, industry, and government 5. 産学官によるクロスセクターコラボレーションの拡大   X  
6. Supply maritime cyber education and certifications 6. 海事関連のサイバー教育と認証の提供 X    
7. Keep the MTS stocked: Addressing the resource question 7. MTSの在庫を維持する。資源問題への対応 X    
Collaborate on cyber risk サイバー・リスクに関する協力      
8. Prioritize better OT security for global maritime energy networks 8. グローバルな海洋エネルギーネットワークのOTセキュリティ向上の優先   X  
9. Move past “guns, gates, and guards” toward cyber risk assessment and management 9. サイバーリスクの評価と管理に向けた「銃、ゲート、警備員」からの脱却   X  
10. Make cybersecurity a core component of conventional maritime insurance 10. サイバーセキュリティを従来の海事保険の中核的要素化     X
11. Plan and simulate for future cyber challenges 11. 将来のサイバー・チャレンジのための計画とシミュレーション X    
12. Push the MTS toward secure development 12. MTSの安全な開発の推進   X  

 

 


海事関係がでてくる投稿

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

・2021.06.20 NATO ブリュッセル・サミット・コミュニケ

・2021.01.08 米国 海事サイバーセキュリティ計画の公表

・2020.10.08 米国のISACとISAO (根拠指令、取りまとめ団体、ISAO標準文書など)

・2020.09.09 ドイツBSIが、船舶に関連するサイバーセキュリティの強制力のあるガイドを出していますね。。。

 

 

| | Comments (0)

2021.10.06

米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス

こんにちは、丸山満彦です。

国土安全保障省 (Department of Homeland Security: DHS)  とサイバーセキュリティ・重要インフラセキュリティ庁 (Cybersecurity and Infrastracture Security Agency: CISA) が量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス)を公表していますね。。。

Department of Homeland Security: DHS

・2021.10.04 (press) DHS Releases Guidance to Mitigate Security Risks with the Advancement of Quantum Computing

DHS Releases Guidance to Mitigate Security Risks with the Advancement of Quantum Computing DHS、量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンスを発表
WASHINGTON - Today, the Department of Homeland Security (DHS), in partnership with the Department of Commerce’s National Institute of Standards and Technology (NIST), released a roadmap to help organizations protect their data and systems and to reduce risks  related to the advancement of quantum computing technology.   ワシントン発 - 本日、国土安全保障省(DHS)は、商務省の国立標準技術研究所(NIST)と共同で、組織がデータやシステムを保護し、量子コンピューティング技術の進歩に関連するリスクを軽減するためのロードマップを発表しました。 
While quantum computing promises unprecedented speed and power in computing, it also poses new risks.  As this technology advances over the next decade, it is expected to break some encryption methods that are widely used to protect customer data, complete business transactions, and secure communications.  DHS’s new guidance will help organizations prepare for the transition to post-quantum cryptography by identifying, prioritizing, and protecting potentially vulnerable data, algorithms, protocols, and systems.  量子コンピューターは、コンピューターにおける前例のないスピードとパワーを約束する一方で、新たなリスクをもたらします。  今後10年の間にこの技術が進歩すると、顧客データの保護、商取引の完了、通信の安全性確保のために広く使用されている暗号化方式の一部が破られることが予想されます。  DHSの新しいガイダンスは、企業がポスト量子暗号への移行に備えるために、潜在的に脆弱なデータ、アルゴリズム、プロトコル、システムを特定し、優先順位をつけて保護するのに役立ちます。
“Quantum computing will be a scientific breakthrough.  It is also expected to pose new data privacy and cybersecurity risks,” said Secretary Alejandro N. Mayorkas.  “Now is the time for organizations to assess and mitigate their related risk exposure.  As we continue responding to urgent cyber challenges, we must also stay ahead of the curve by focusing on strategic, long-term goals.  This new roadmap will help protect our critical infrastructure and increase cybersecurity resilience across the country.”    アレハンドロ・N・マヨルカス長官は次のように述べています。 
「量子コンピューターは、科学的な飛躍的進歩をもたらすでしょう。  また、データのプライバシーやサイバーセキュリティに関する新たなリスクが発生することも予想されます。今こそ、企業は関連するリスクを評価し、軽減する必要があります。  我々は、緊急のサイバー課題への対応を続ける一方で、戦略的かつ長期的な目標に焦点を当てて先手を打っていかなければなりません。この新しいロードマップは、重要なインフラを保護し、国全体のサイバーセキュリティの回復力を高めるのに役立ちます」
In March, Secretary Mayorkas outlined his vision for cybersecurity resilience and identified the transition to post-quantum encryption as a priority.  DHS also issued internal policy guidance to drive the Department’s own preparedness efforts and is conducting a macro-level analysis to inform the government’s action and ensure a smooth and equitable transition.   3月、マヨルカース長官は、サイバーセキュリティの回復力に関するビジョンを説明し、ポスト量子暗号への移行を優先事項として挙げました。  また、DHSは、同省独自の準備活動を推進するための内部政策ガイダンスを発表し、政府の行動に反映させ、円滑で公平な移行を実現するためのマクロレベルの分析を行っています。 
For more information and resources, visit DHS.gov/quantum.  詳細な情報やリソースについては、ウェブをご覧ください。

20211006-164541

Memorandum on Preparing for Post-Quantum Cryptography ポスト量子暗号への準備に関するメモランダム
DHS has significant national security concerns across mission spaces including critical infrastructure, law enforcement, privacy, and counterintelligence that could be harmed by insufficient preparation for a transition to post-quantum cryptography. This memorandum provides guidance to Component Heads to begin preparing for a transition from current cryptography standards to post-quantum encryption now to mitigate risks to data and mission functions. DHSは、重要インフラ、法執行、プライバシー、防諜などのミッション分野において、国家安全保障上の重大な問題を抱えており、ポスト量子暗号への移行準備が不十分であれば、損害を被る可能性があります。このメモランダムは、データとミッション機能へのリスクを軽減するために、現在の暗号規格からポスト量子暗号への移行の準備を今すぐ始めるよう、各部門の責任者にガイダンスを提供するものです。
[PDF]  
   
Preparing for Post-Quantum Cryptography: Infographic ポスト量子暗号に備えて。インフォグラフィック
Through our partnership with NIST, DHS created a roadmap for those organizations who should be taking action now to prepare for a transition to post-quantum cryptography. This guide will help organizations create effective plans to ensure the continued security of their essential data against the post-quantum threat and prepare for the transition to the new post-quantum cryptography standard when published by NIST. DHSは、NISTとのパートナーシップを通じて、ポスト量子暗号への移行に備えて今すぐ行動を起こすべき組織のためのロードマップを作成しました。このガイドは、ポスト量子暗号の脅威に対する重要データの継続的なセキュリティを確保し、NISTが発表する新しいポスト量子暗号規格への移行に備えるために、組織が効果的な計画を立てるのに役立ちます。
[PDF]  
   
Post-Quantum Cryptography Frequently Asked Questions ポスト量子暗号のよくある質問
The Department of Homeland Security (DHS), in partnership with the Department of Commerce’s National Institute of Standards and Technology (NIST), has released a roadmap to help organizations protect their data and systems and to reduce risks  related to the advancement of quantum computing technology. 国土安全保障省(DHS)は、商務省国立標準技術研究所(NIST)と共同で、組織がデータやシステムを保護し、量子コンピューティング技術の進歩に関連するリスクを軽減するためのロードマップを発表しました。
[PDF]  

 

インフォグラフィックに書かれている内容。

1. Engagement with Standards Organizations 1. 標準化団体への関与
Organizations should direct their Chief Information Officers to increase their engagement with standards developing organizations for latest developments relating to necessary algorithm and dependent protocol changes. 組織は最高情報責任者に対し、必要なアルゴリズムや依存するプロトコルの変更に関連する最新の開発について、標準化団体との連携を強化するよう指示する必要があります。
2. Inventory of Critical Data 2. 重要データのインベントリ
This information will inform future analysis by identifying what data may be at risk now and decrypted once a cryptographically relevant quantum computer is available.  重要データのインベントリ情報は、現在どのようなデータが危険にさらされているかを特定し、暗号学的に適切な量子コンピュータが利用可能になった時点で、どのようなデータが復号化されるかを特定することで、将来の分析に役立ちます。
3. Inventory of Cryptographic Technologies 3. 暗号技術のインベントリ
Organizations should conduct an inventory of all the systems using cryptographic technologies for any function to facilitate a smooth transition in the future. 組織は、将来のスムーズな移行のために、あらゆる機能に暗号技術を使用しているすべてのシステムのインベントリーを作成する必要があります。
4. Identification of Internal Standards 4. 内部標準の特定
Cybersecurity officials within organizations should identify acquisition, cybersecurity, and data security standards that will require updating to reflect post-quantum requirements. 組織内のサイバーセキュリティ担当者は、量子化後の要件を反映するために更新が必要となる取得、サイバーセキュリティ、データセキュリティの基準を特定する必要があります。
5. Identification of Public Key Cryptography 5. 公開鍵暗号方式の特定
From the inventory, organizations should identify where and for what purpose public key cryptography is being used and mark those systems as quantum vulnerable.  インベントリから、組織は公開鍵暗号がどこでどのような目的で使用されているかを特定し、それらのシステムを量子脆弱性としてマークする必要があります。
6. Prioritization of Systems for Replacement 6. 交換するシステムの優先順位付け
Prioritizing one system over another for cryptographic transition is highly dependent on organization functions, goals, and needs. To supplement prioritization efforts, organizations should consider the following factors when 暗号の移行において、あるシステムを他のシステムよりも優先させるかどうかは、組織の機能、目標、ニーズに大きく依存します。優先順位付けを補完するために、組織は以下の要因を考慮する必要があります。
evaluating a quantum vulnerable system: 量子脆弱性のあるシステムを評価する際には、以下の要素を考慮すべきです。
a. Is the system a high value asset bsed on organizational requirements? a. そのシステムは、組織の要求に基づいた高価値の資産ですか?
b. What is the system protecting (e.g. key stores, passwords, root keys, singing keys, personally identifiable information, sensitive personally identifiable information)? b. システムが保護しているものは何ですか (例: 鍵保管、パスワード、ルート鍵、署名鍵、個人を特定できる情報、個人を特定できる機密情報)?
c. What other systems does the system communicate with? c. そのシステムは他にどのようなシステムと連携していますか。
d. To what extent does the system share information with federal entities? d. そのシステムはどの程度まで連邦機関と情報を共有していますか?
e. To what extent does the system share information with other entities outside of your organization? e. そのシステムは、組織外の他のエンティティとどの程度まで情報を共有していますか。
f. Does the system support a critical infrastructure sector? f. そのシステムは重要なインフラ部門をサポートしていますか?
g. How long does the data need to be protected?  g. データはどのくらいの期間保護される必要がありますか?
7. Plan for Transition 7. 移行計画
Using the inventory and prioritization information, organizations should develop a plan for systems transitions upon publication of the new post-quantum cryptographic standard. Transition plans should consider creating cryptographic agility to facilitate future adjustments and enable flexibility in case of unexpected changes. Cybersecurity officials should provide guidance for creating transition plans. インベントリと優先順位付けの情報を使用して、組織は、新しいポスト量子暗号規格の発表時にシステムの移行計画を策定する必要があります。移行計画では、将来の調整を容易にし、予期せぬ変更があった場合に柔軟に対応できるよう、暗号学的なアジリティの構築を考慮する必要があります。サイバーセキュリティ担当者は、移行計画を作成するためのガイダンスを提供すべきです。

| | Comments (0)

愛知県警 大学生による小学生むけサイバー防犯教室

こんにちは、丸山満彦です。

愛知県警のサイバー犯罪対策課が、金城学院大学と名古屋学院大学の学生のよる、小学生向けのインターネット上の犯罪に巻き込まれるのを防ぐためのオンライン防犯教室を開催したようですね。。。

日刊警察

・2021.10.06 愛知県警で大学生サイバーボランティアによる防犯教室を開催

 

なお、私のおすすめは、

愛知県警サイバーポリスゲームのウェブページです。

サイバーポリスゲームは、小学校5・6年生を対象としたインターネット犯罪への対処方法を学ぶためのゲーム形式の教材です。

社会生活にインターネットが不可欠になりつつあり、子供がインターネットに接すること当たり前となっています。

インターネットに関わる危険は

  1. 親が子供のころに学んだ経験がないことから、知識が不十分で、親が適切な教育ができない

  2. 物理的に直接的に危険が及ぶのではなく、間接的に(時間が経過したのち)物理的な被害がでたり、精神的な被害であったりするので、親も本人も過去事例に照らした適切な対処ができない。

といった課題があるのだろうと思っています。

そういう穴をうめるために、

  1. 専門家が関与して、

  2. ゲーム形式を通じた身近な問題として捉えることのできる

愛知県警の取り組みについては、大変意義があることなのだろうと思います。

日本の多くの方に是非活用していただきたいと感じました。また、英語や中国語などの言語に翻訳をして、世界に発信していければさらによいのだろうと感じました。

 

● 愛知県警

・2019.02.08 サイバーポリスゲーム

20211006-151105

作成:愛知県警察本部サイバー犯罪対策課

協力:岡崎女子大学花田講師、愛知県教育委員会

とのことです。。。

 

 

| | Comments (0)

信頼できるクラウド原則 (Amazon, Google, Microsoft, Atlassian, Cisco, IBM, Salesforce, Slack, SAP)

こんにちは、丸山満彦です。

Amazon, Google, Microsoftが中心となって、Trusted Cloud Principles(信頼できるクラウド原則)という取り組みを始めたようですね。。。このイニシアティブには、Atlassian, Cisco, IBM, Salesforce, Slack, SAPも賛同しているようですが、Appleの名前は見えませんね。。。

各国政府が、クラウド事業者を社会インフラと見ながら、かつ市場での独占、または寡占的な状況になっていることを踏まえて、クラウド事業者に対する規制等を強化していく動きがあることにも影響されている部分もあるのでしょうね。。。

民主主義、自由競争主義的な価値観の中で、クラウド事業者がどう社会にあるべきかということの一面を表現しているのかもしれません。。。

日本政府も全く関係ないという話でもなさそうですね。。。

Cnetの記事よると2021.010.01に開始したようです。。。

Trusted Cloud Principles

Principles

 

このイニシアティブに賛同したクラウド事業者は、まず次のことを宣言した後、原則を説明していますね。。。

As cloud service providers we: クラウドサービスプロバイダーとして、私たちは
・Recognize the interest of governments around the world in protecting the safety, security, privacy, and economic vitality of individuals and organizations that use global cloud services; ・グローバルクラウドサービスを利用する個人および組織の安全、セキュリティ、プライバシー、および経済的活力を保護することに対する世界中の政府の関心を認識します。
・Recognize that international human rights law enshrines a right to privacy; ・国際人権法がプライバシーの権利を規定していることを認識します。
・Recognize the importance of customer trust and customers’ control and security of their data, which entails both safeguarding the data customers own in the cloud, and creating products and policies that establish, maintain, and enhance that trust; ・顧客の信頼、および顧客によるデータの管理とセキュリティの重要性を認識します。これには、クラウド上で顧客が所有するデータを保護することと、信頼を確立、維持、強化する製品およびポリシーを作成することの両方が含まれます。
・Support laws that allow governments to request data through a transparent process that abides by internationally-recognized rule of law and human rights standards. ・国際的に認知されている法の支配と人権基準を遵守する透明なプロセスを通じて、政府がデータを要求できるようにする法律を支持します。
・Support international legal frameworks to resolve conflicting laws related to data access, privacy, and sovereignty; ・データアクセス、プライバシー、主権に関連する矛盾した法律を解決するための国際的な法的フレームワークを支持します。
・Support improved rules and regulations at the national and international levels that protect the safety, privacy, and security of cloud customers and their ownership of data; ・クラウドカスタマーの安全、プライバシー、セキュリティ、およびデータのオーナーシップを保護するための、国内および国際レベルでの規則や規制の改善を支持します。
・Recognize the importance of publishing, on a regular basis, transparency reports detailing aggregate statistics regarding government data requests. ・政府からのデータ要求に関する統計情報をまとめた透明性レポートを定期的に発表することの重要性を認識します。

 

原則

Governments Should Engage Customers First, with Only Narrow Exceptions.
Governments should seek data directly from enterprise customers rather than cloud service providers, other than in exceptional circumstances. 
各国政府は、限られた例外を除いて、まず顧客と関わるべきである。
各国政府は、例外的な状況を除き、クラウドサービスプロバイダではなく、企業の顧客から直接データを求めるべきです。 
Customers Should Have a Right to Notice. 
Where governments seek to access customer data directly from cloud service providers, customers of those cloud service providers should have a right to advance notice of government access to their data, which only can be delayed in exceptional circumstances;
顧客は通知を受ける権利を持つべきである。 
各国政府がクラウドサービスプロバイダから直接顧客データにアクセスしようとする場合、それらのクラウドサービスプロバイダの顧客は、政府によるデータへのアクセスを事前に通知する権利を持つべきであり、これは例外的な状況においてのみ遅延させることができます。
Cloud Providers Should Have a Right to Protect Customers’ Interests. 
There should be a clear process for cloud service providers to challenge government access requests for customers’ data, including notifying relevant data protection authorities; 
クラウドプロバイダーは、顧客の利益を保護する権利を持つべきである。 
クラウドサービスプロバイダーは顧客の利益を保護する権利を持つべきです。クラウドサービスプロバイダーが政府の顧客データへのアクセス要求に異議を唱えるために、関連するデータ保護当局への通知を含む明確なプロセスが存在すべきです。 
Governments Should Address Conflicts of Law. 
Governments should create mechanisms to raise and resolve conflicts with each other such that cloud service providers’ legal compliance in one country does not amount to a violation of law in another; and
各国政府は、法の衝突に対処すべきである。 
各国政府は、クラウドサービス事業者がある国での法令遵守が他国での法令違反とならないように、相互に紛争を提起し解決するメカニズムを構築すべきです。
Governments Should Support Cross-Border Data Flows. 
Governments should support the cross-border flow of data as an engine of innovation, efficiency, and security, and avoid data residency requirements.
各国政府は、国境を越えたデータフローを支援する。 
各国政府は、イノベーション、効率性、セキュリティの原動力として、国境を越えたデータの流れを支援し、データの居住義務を回避すべきです。

 

Fig1_20211006064501

 


■ 報道

● Cnet

・2021.10.01 Amazon, Google and Microsoft team up on cloud computing principles

A new industry initiative aims to protect customer data and set guidelines for working with governments.

● ZDnet Japan

・2021.010.01 MS、アマゾン、グーグルらがクラウドデータの保護など目指す「Trusted Cloud Principles」発表

 

| | Comments (0)

2021.10.05

米国 White House 中国に対する政府の貿易アプローチに関する政府高官のバックグラウンド・プレスコール

こんにちは、丸山満彦です。

日曜日の夕方に、中国に対する政府の貿易アプローチに関する政府高官のバックグラウンド・プレスコールが行われたようですが、サイバーセキュリティを考えている人も、その内容については理解していたほうがよいかと思ったりもします。

また、日本の中には、中国に対して感情的に対抗する人もいるように感じておりますが、米国は中国に対してというよりも、国家主導の権威主義的な思想に基づく行動に対してが、民主主義的な考え方の同盟国にとってマイナスの影響があるとして、自分たちの考え方を守る(それが、アメリカ国民、ひいてはアメリカの利益を守る)ためにいろいろと対策を講じているのかもしれませんね。。。

● The White House

・2021.10.04 Background Press Call by Senior Administration Officials on the Administration’s Trade Approach to China

 

Background Press Call by Senior Administration Officials on the Administration’s Trade Approach to China 中国に対する政府の貿易アプローチに関する政府高官のバックグラウンド・プレスコール
4-Oct-21 2021年10月4日
PRESS BRIEFINGS プレスブリーフィング
Via Teleconference 電話会議
4:06 P.M. EDT 午後4時6分(東海岸時間)
MODERATOR:  Thanks, everyone, for joining us today to talk about how the Biden administration will approach the bilateral trade relationship with China.  This call is on background, attributable to “senior administration officials.”  And the contents will be embargoed until tomorrow, Monday, October 4th, 5:00 a.m. Eastern. 司会:皆さん、本日はバイデン政権が中国との二国間貿易関係にどのようにアプローチしていくのかについて、お集まりいただきありがとうございます。 今回の通話はバックグランドで、【政府高官】に帰属します。 内容は明日10月4日(月)午前5時(東部時間)まで非公開となります。
For your awareness, but not for reporting, joining us today are [senior administration officials].  We’re going to have some brief remarks at the top, and then we’re going to take a few questions.  今日は、報道のためではなく、皆さんに知っていただくために、【政府高官】が参加しています。 最初に簡単なご挨拶をさせていただき、その後、いくつかのご質問をお受けする予定です。
With that, I will turn it over to [senior administration official] to get us started. それでは、【政府高官】の方から始めていただきましょう。
SENIOR ADMINISTRATION OFFICIAL:  Well, thanks, everybody, for joining us on this Sunday afternoon.  Hopefully we’re not pulling folks away from too many of their important football games.  So, depending on when we wrap here, I may or may not make it for kickoff for my Steeler game.  But putting that to the side, I just — I want to start off by talking broadly about our — you know, the administration’s approach to China.  政府高官:さて、皆さん、日曜日の午後にお集まりいただきありがとうございます。 私たちのおかげで、皆さんが大切なフットボールの試合から離れてしまわないことを願っています。 この番組がいつ終わるかによって、私はスティーラーの試合のキックオフに間に合うかもしれませんし、間に合わないかもしれません。 それはさておき、まずは中国に対する政権のアプローチについて、大まかにお話ししたいと思います。
You know, President Biden has been clear that while we welcome competition, including in the economic domain, his focus is on protecting American workers, growing our economy, and creating opportunities for our people at home.  This competition should have some clear guardrails, in our view, and it needs to be fair. バイデン大統領は、経済分野を含めた競争を歓迎する一方で、米国の労働者を保護し、経済を成長させ、国内の人々に機会を提供することを重視していると明言しています。 この競争には明確な境界線が必要であり、公平でなければならないと私たちは考えています。
You know, since the beginning of the administration, we’ve made clear our strategy of competing with China from a position of strength.  That’s why we’ve been investing in our domestic renewal, getting the pandemic under control, investing in our supply chain resiliency and our technological edge so we can continue to lead the world in industries of the future.  And it’s why we’ve been working with our allies and partners to align our approaches to China’s unfair, non-market practices. ご存知のように、私たちは政権発足当初から、中国に対して強さの立場から対抗するという戦略を明確にしてきました。 だからこそ、国内の再生に投資し、パンデミックを抑制し、サプライチェーンの回復力と技術的優位性に投資して、未来の産業で世界をリードし続けられるようにしてきたのです。 また、同盟国やパートナーと協力して、中国の不公正で非市場的な慣行に対するアプローチを調整してきたのもそのためです。
And as my colleague, [senior administration official], will talk about in a minute, we’ve used those intensive consultations to shape our approach to China to ensure that the terms of the competition are fair, and set the rules of the road for trade and technology in the 21st century. 私の同僚である政府高官がすぐに説明してくれるように、私たちはこうした集中的な協議を通じて、中国に対するアプローチを形成し、競争条件が公正なものとなるようにし、21世紀の貿易と技術のための道のルールを設定してきました。
President Biden has also stressed the importance of the U.S. and China communicating with each other to ensure healthy competition that will advance American interests and priorities.  This applies to our bilateral trade relationship with China, as well as other aspects of our relationship with China.  We’re two large economies that impact not just the wellbeing of our people, but people all over the world. また、バイデン大統領は、米国の利益と優先事項を前進させる健全な競争を確保するために、米国と中国が互いにコミュニケーションをとることの重要性を強調しています。 これは、中国との二国間貿易関係だけでなく、その他の面でも当てはまります。 私たちは、アメリカ国民だけでなく、世界中の人々の生活に影響を与える2つの大きな経済体です。
As President Biden has said, you know, we believe that there is no better alternative than the long, hard work of direct diplomacy.  At the same time, we recognize that Beijing is increasingly explicit that it is doubling down on its authoritarian, state-centric approach and is resistant to addressing our structural concerns.  バイデン大統領が言ったように、私たちは、長くて大変な直接外交に勝る選択肢はないと信じています。 その一方で、北京は権威主義的な国家中心のアプローチを倍加させることをますます明確にしており、我々の構造的な懸念に対処することに抵抗を示していることを認識しています。
Therefore, our primary focus will be on building resilience and competitiveness — including with our allies and partners — on diversifying markets, and limiting the impact of Beijing’s harmful practices.  したがって、私たちが最も重視するのは、同盟国やパートナーを含めて、回復力と競争力を高め、市場を多様化し、北京の有害な慣行の影響を抑制することです。
So, you know, I think consistent with how we’re approaching other aspects of the relationship, we’ll approach the trade relationship frankly, directly, and with the full clarity to express the concerns on the minds of the American people and our allies and partners all over the world. このように、貿易関係については、他の面でのアプローチと同様に、率直かつ直接的に、そして世界中の米国民や同盟国、パートナーの心にある懸念を明確に表現しながらアプローチしていきたいと思います。
I would just sort of wrap my piece here by noting that President Biden’s North Star is really a simple question: What is best for American workers and interests?  最後に、バイデン大統領の「北極星」は、実にシンプルな質問であることを指摘しておきます。アメリカの労働者と利益にとって何がベストなのか?
We will move forward on his vision by keeping what is working for American families about our trade and economic relationship with China and changing what is not.  私たちは、中国との貿易・経済関係において、アメリカの家族にとって有効なものを維持し、そうでないものを変えることで、バイデン大統領のビジョンに沿って前進していきます。
Our objection to the previous administration’s approach was that it really did not build on our strengths, whether that was at home or with our partners and allies.  You know, our objections were that they were doing — you know, that their approach was done in a way that was at times chaotic, including hurting select sectors of the American economy, and it really wasn’t targeted to address strategic problems that we have. 私たちが前政権のアプローチに異議を唱えたのは、国内であれ、パートナーや同盟国との関係であれ、米国の強みを生かしていなかったからです。 彼らのアプローチは、アメリカ経済の一部のセクターに打撃を与えるなど、時に混沌とした方法で行われており、我々が抱える戦略的な問題に対処することを目的としていないというのが、我々の反対意見でした。
And so, as we have conducted an interagency review over the last few months of our approach to trade with China, our overriding priority has been developing an approach focused on standing up for our principles, for our people, and for our friends. そのため、ここ数カ月間、対中貿易に対するアプローチを省庁間で検討してきましたが、私たちの最優先事項は、私たちの原則、国民、そして友人のために立ち上がることを重視したアプローチを開発することでした。
So, with that, let me hand it over to [senior administration official]. それでは、【政府高官】に引き継がせていただきます。
SENIOR ADMINISTRATION OFFICIAL:  Thanks, [senior administration official].  And thanks to everyone joining us both from the administration today and to all of you dialing in to hear from us on a Sunday afternoon. 政府高官:ありがとうございます、【政府高官】。 そして、今日、政権側から参加してくださった皆さん、日曜日の午後にお電話でお聞きくださった皆さん、ありがとうございました。
When President Biden got into office, he made clear that the phase one agreement did not resolve our core concerns with China, which are structural and characterized by a state-directed approach to the economy and trade that distorts competition by propping up state-owned enterprises, limiting market access, and other coercive and predatory practices in trade and technology.  The harms for American workers and American firms from these practices has been well documented.  中国は構造的な問題を抱えており、国有企業の支援、市場アクセスの制限、貿易や技術におけるその他の強制的かつ略奪的な慣行によって競争を歪めている経済や貿易に対する国家主導のアプローチを特徴としています。 このような行為が米国の労働者や企業に与える影響は、これまでにも明らかになっています。
President Biden believes that while phase one did not meaningfully address our fundamental concerns with China’s trade practices, it’s important that China live up to the commitments and promises it’s made.  These include promises that China made in the phase one deal that benefit workers, farmers, and manufacturers across America.  バイデン大統領は、フェーズ1では中国の貿易慣行に関する基本的な懸念に意味のある対処はできなかったが、中国がこれまでの公約や約束を守ることが重要だと考えている。 この中には、中国がフェーズ1の取引で行った、アメリカ国内の労働者、農家、製造業者に利益をもたらす約束も含まれています。
For example, there is real-world evidence that some businesses covered by the phase one trade deal have done better. So, for American industries like agriculture that have benefited from phase one, President Biden is going to continue doing things that work, which in turn creates more predictability for American industry and allows them to plan and grow.  例えば、フェーズ1の貿易取引の対象となった一部の企業の業績が向上したという現実的な証拠があります。つまり、フェーズ1の恩恵を受けた農業などのアメリカの産業にとって、バイデン大統領は効果のあることを続けていくつもりです。その結果、アメリカの産業に予測可能性が生まれ、計画を立てて成長していくことができます。
But unlike his predecessor, President Biden is going to hold China to account where China is falling short of its commitments.  Biden also believes that we have to use all our tools to make sure China’s economic and trade policies do not hurt American workers and businesses. しかし、前任者とは異なり、バイデン大統領は、中国が約束を果たしていない場合には、中国に責任を負わせるつもりです。 また、中国の経済・貿易政策がアメリカの労働者や企業に打撃を与えないようにするために、あらゆる手段を用いなければならないと考えています。
When the President got into office, he said he was not going to make any immediate moves and prejudice his options before we completed a full review of the existing phase one agreement.  He was going to fight to invest at home and consult closely with our allies and partners in Asia and Europe to develop a coherent strategy.  大統領は就任時、既存の第一段階協定の全面的な見直しが完了するまでは、すぐに手を打たず、選択肢を偏らせるつもりはないと言っていました。 彼は、国内での投資のために戦い、アジアやヨーロッパの同盟国やパートナーと緊密に協議して、首尾一貫した戦略を立てるつもりでした。
He also recognized that there is much more to the U.S.-China economic relationship than tariffs and trade, and that we needed to consider all aspects of the economic relationship as we implement an effective strategy.  And that’s exactly what we’ve been doing for the past several months.  また、米中の経済関係には関税や貿易以外にも多くの要素があり、効果的な戦略を実行するためには経済関係のあらゆる側面を考慮する必要があることを認識していました。 私たちはこの数ヶ月間、まさにそれを実践してきました。
With Congress’s support, we’ve begun to make smart investments in research, science, technology, infrastructure, and to create the proper incentives to shore up our technological leadership, to secure our supply chains, and increase the overall competitiveness of American companies and American workers.  議会の支援を得て、私たちは研究、科学、技術、インフラに賢明な投資を行い、技術面でのリーダーシップを強化し、サプライチェーンを確保して、米国企業と米国の労働者の総合的な競争力を高めるための適切なインセンティブの創出に着手しました。
We’ve already accomplished some of that work of the American Rescue Plan.  The administration has been driving a comprehensive effort to secure America’s supply chains, and we’ve been making investments to secure our technological leadership.  And we’re now working closely with Congress to build on these actions: Bipartisan Infrastructure Bill; the Build Back Better agenda, which will also harness the talent of our people by investing in education and worker training; and our support for the U.S. Innovation and Competitiveness [Competition] Act, as well as other important legislation. 私たちはすでに、「アメリカン・レスキュー・プラン」の作業の一部を達成しました。 米国政府は、米国のサプライチェーンを確保するための包括的な取り組みを推進しており、技術的なリーダーシップを確保するための投資を行っています。 そして現在、これらの行動をさらに発展させるため、議会と緊密に協力しています。超党派インフラストラクチャー法案、教育と労働者訓練に投資することで人材を活用する「Build Back Better」アジェンダ、「米国イノベーション・競争力法」やその他の重要な法案への当社の支援などがあります。
When it comes to actions we’ve taken beyond trade, in May, President Biden signed EO 14032, putting a secure and enduring basis for restrictions on U.S. investment in certain companies that are linked to the Chinese military or to China’s surveillance technology sector. 貿易以外の活動としては、5月にバイデン大統領がEO14032に署名し、中国軍や中国の監視技術部門に関連する特定の企業に対する米国の投資を制限するための確実かつ永続的な根拠を示しました。
We’ve taken action to impose restrictions on individuals and companies involved in human rights abuses in China’s Xinjiang region.  The Securities and Exchange Commission, which is obviously an independent agency, has recently announced a set of steps that it is taking to limit the risks U.S. investors face due to China’s refusal to allow companies listed in the U.S. to share audit data with U.S. regulators.  And in light of the often-opaque structures that Chinese companies use to list their securities in the U.S., we’ve been robustly screening Chinese direct investments in the U.S. via the CFIUS process.  私たちは、中国の新疆ウイグル自治区での人権侵害に関与している個人や企業に制限を課す行動をとりました。 証券取引委員会は独立した機関ですが、中国が米国に上場している企業の監査データを米国の規制当局と共有することを拒否しているため、米国の投資家が直面しているリスクを制限するための一連の措置を最近発表しました。 また、中国企業が米国で証券を上場する際に利用する不透明な構造を考慮し、CFIUSプロセスを通じて中国の対米直接投資をしっかりと審査しています。
But trade is an important part of the overall economic relationship.  And as my colleague, [senior administration official], noted earlier, the U.S. is not the only country being harmed by China’s unfair trade practices. しかし、貿易は経済関係全体の中で重要な部分を占めています。 私の同僚である政府高官が先に述べたように、中国の不公平な貿易慣行によって被害を受けているのは米国だけではありません。
President Biden is putting an end to the previous administration’s approach that alienated allies and weakened the global market for American workers.  Instead, under President Biden, the U.S., working closely with major democracies, will set rules of the road for trade and tech.  バイデン大統領は、同盟国を遠ざけ、米国人労働者のためのグローバル市場を弱体化させた前政権のアプローチに終止符を打ちます。 その代わりに、バイデン大統領の下で、米国は主要な民主主義国と緊密に協力しながら、貿易と技術に関するルールを定めていきます。
We’ve been coordinating with allies and partners, and this work with our allies and partners is already bearing fruit, as I evidence — as evidenced by efforts at the G7; the U.S.-EU summit back in June; the Quad — both virtually earlier this year and in person a week or so ago; and the tra- — the U.S.-EU Trade and Technology Council, which I want to talk about for just a minute since it took place just last week as — and is an example of what we can do with partners and allies. 私たちは同盟国やパートナーとの調整を行ってきましたが、この同盟国やパートナーとの取り組みはすでに実を結んでいます。その証拠に、G7での取り組み、6月の米欧首脳会談、今年初めに仮想的に、そして1週間ほど前には直接会って行われた四者会合、そして先週行われたばかりの米欧貿易・技術協議会での取り組みがあります。
The U.S. and the EU developed and announced a common set of strategies to mitigate the impact of non-market practices at home and in third countries, and to use our tools to protect workers and labor rights, combat forced and child labor, and consult on relevant trade, climate, and environmental issues. 米国とEUは、国内および第三国における非市場的慣行の影響を緩和するための共通の戦略を策定し、発表しました。また、労働者と労働者の権利を保護し、強制労働や児童労働と闘い、関連する貿易、気候、環境問題について協議するために、我々のツールを使用します。
We also agreed to take collective action to secure our supply chains with respect to semiconductors — a key technology where we both face competition from China.  And we announced joint principles for investment screening and for export controls. また、我々は、中国との競争にさらされている主要技術である半導体に関して、サプライチェーンの安全性を確保するために共同で行動することに合意しました。 さらに、投資審査と輸出管理に関する共同原則を発表しました。
     With that, let me turn it over to USTR’s [senior administration official] to talk about the initial steps we’re taking to align the U.S.-China trade relationship with our interests.       それでは、米中貿易関係を我々の利益に合致させるために我々がとっている最初のステップについて、USTRの[上級行政官]に話してもらいましょう。
 [Senior administration official], over to you.  【政府高官】、こちらへどうぞ。
 SENIOR ADMINISTRATION OFFICIAL:  Thanks, [senior administration official], and thanks to everyone for joining the call.  政府高官、そして電話に参加してくださったみなさん、ありがとうございます。
As [senior administration official] and [senior administration official] have said, the Biden-Harris administration has been conducting a comprehensive review of the U.S.-China trade relationship.   【政府高官】と【政府高官】が述べたように、バイデン・ハリス政権は米中貿易関係の包括的な見直しを行ってきました。 
As part of that, USTR has met with a range of stakeholders — including workers, farmers, labor representatives, members of Congress, the business community, and many others — to ensure we have heard from a broad spectrum of perspectives and views. その一環として、米通商代表部 (USTR) は、労働者、農民、労働者代表、議員、経済界などの様々な関係者と会合を持ち、幅広い視点や意見を聞いてきました。
I want to make a couple of points very clear as we turn to our next steps in our trade relationship with China. 中国との貿易関係における次のステップに向けて、いくつかのポイントを明確にしておきたいと思います。
First, our objective is not to escalate trade tensions with China or double down on the previous administration’s flawed strategy. 第一に、私たちの目的は、中国との貿易摩擦を激化させたり、前政権の欠陥のある戦略を二の次にしたりすることではありません。
Second, at the same time, where China continues to pursue its unfair and coercive practices, we will use the full range of our tools to help ensure that the U.S.-China trade relationship works for American workers, our industries, and our supply chain. 第二に、中国が不公正で強圧的な行為を続けている場合、我々はあらゆる手段を用いて、米中貿易関係が米国の労働者、産業、サプライチェーンにとって有効なものとなるように支援します。
And third, while we would welcome China changing the practices that do harm to American firms and workers, we recognize that China simply may not change and that we have to have a strategy that deals with China as it is, rather than as we might wish it to be. 第三に、中国が米国企業や労働者に害を及ぼす慣行を改めることを歓迎する一方で、中国が変わらない可能性もあることを認識しており、こうあってほしいと願う中国ではなく、現状の中国に対処する戦略を持たなければならないということです。
From the outset, we wanted to stabilize this relationship by taking the time to thoroughly conduct this review.  As Ambassador Tai has said, this is the most consequential bilateral trade relationship in the world, and it involves the two largest economies.  The decision to be more deliberative and to bring long-term thinking into our approach was critical and a sharp departure from the last administration. 私たちは当初から、時間をかけて徹底的にこのレビューを行うことで、この関係を安定させたいと考えていました。 Tai大使が述べたように、これは世界で最も重要な二国間貿易関係であり、二大経済大国が関わっています。 より熟考し、長期的な思考を持ってアプローチするという決断は重要であり、前政権とは大きく異なるものでした。
Here’s what’s clear: The current state of this trade relationship does not meet the needs of American workers, businesses, farmers, and producers.  現在の貿易関係は、米国の労働者、企業、農家、生産者のニーズを満たしていないことが明らかになっています。
In her speech tomorrow, Ambassador Tai will highlight some examples of how China’s unfair trade practices have hurt our workers and our industries and have given Beijing an unfair advantage in the global trading system.  明日のスピーチでTai大使は、中国の不公正な貿易慣行がいかに米国の労働者や産業に打撃を与え、グローバルな貿易システムにおいて北京に不当な優位性を与えているかについて、いくつかの例を挙げて説明します。
She will also talk about the history of U.S.-China trade relations throughout the 21st century, from China’s ascension to the WTO in 2001 to the phase one agreement.  This is important context to understand how we’ve reached this point. また、2001年に中国がWTOに加盟してからフェーズ1合意に至るまでの、21世紀における米中貿易関係の歴史についてもお話します。 これは、現在の状況を理解するための重要な背景です。
She will point to China’s failure to reform its non-market policies or follow through on the commitments it made during high-level dialogues with U.S. officials over the last 15 years. 彼女は、中国が過去15年間、非市場政策の改革を行わず、米国政府高官とのハイレベルな対話で行った約束を守らなかったことを指摘するでしょう。
She will acknowledge that we need a new strategy — one that aligns with the priorities of our workers and businesses.  It begins with making the domestic investments [senior administration official] highlighted to increase America’s competitiveness and that those investments must continue.  This is what China and most other countries are doing now, and we cannot fall behind. 彼女は、労働者や企業の優先事項に沿った新しい戦略が必要であることを認めるでしょう。 そのためには、米国の競争力を高めるために(政府高官が)強調した国内投資を行うことから始まり、その投資を継続しなければなりません。 これは、中国や他のほとんどの国が現在行っていることであり、私たちが後れを取ることは許されません。
At USTR, we are taking some specific actions to begin to realign our trade policies towards China: USTRでは、中国に対する貿易政策の再編成を開始するため、いくつかの具体的な行動をとっています。
First, we will revisit the phase one agreement and emphasize that China must follow through on the commitments it has made. 第一に、フェーズ1合意を再検討し、中国はこれまでの約束を守らなければならないことを強調します。
Second, we will start a targeted tariff-exclusion process.  We will also keep open the potential for additional exclusion processes in the future. 第二に、対象となる関税撤廃プロセスを開始します。 第2に、対象となる関税撤廃プロセスを開始する。また、将来的に追加の撤廃プロセスを行う可能性も残しておく。
Third, in the coming days, Ambassador Tai will resume direct engagement with her counterpart in China.  This will include discussions with China regarding its commitments under phase one, but it will also be a chance for Ambassador Tai to reiterate that the United States will defend itself, using all available tools, from state-directed industrial policies that harm our workers, producers, and overall economic interests. 第三に、近日中にTai大使が中国のカウンターパートとの直接対話を再開することです。 これには、フェーズ1における中国のコミットメントに関する中国との協議が含まれますが、Tai大使は、米国の労働者、生産者、そして経済全体の利益に害を及ぼす国家主導の産業政策から、利用可能なあらゆる手段を用いて米国が自らを守ることを改めて表明する機会にもなります。
And finally, we will work with our allies and like-minded partners towards building an international trading system that is fair and allows for healthy competition.  Some of that work is underway already.  The Boeing-Airbus deal, struck in June of this year, is just one example of how this commitment to work with our allies creates more opportunities for American producers.  Ambassador Tai will share how we are building global coalitions to accomplish our shared priorities. そして最後に、私たちは同盟国や志を同じくするパートナーと協力して、公正で健全な競争を可能にする国際貿易システムの構築を目指します。 こうした取り組みの一部はすでに始まっています。 今年6月に締結されたボーイング・エアバス社との契約は、同盟国との協力体制が米国の生産者に多くの機会をもたらしていることを示す一例です。Tai大使は、我々が共通の優先事項を達成するために、どのように世界的な連合体を構築しているかを紹介します。
The last point I want to make is that we have always viewed our approach towards our trade relationship with China as needing to be flexible and agile.  As Ambassador Tai often says, when it comes to trade, it takes two to tango.  最後に申し上げたいのは、私たちは常に、中国との貿易関係に対するアプローチは、柔軟かつ機敏である必要があると考えているということです。 Tai大使がよくおっしゃるように、貿易に関しては「タンゴは一人では踊れない」です。
We will see how China responds to what Ambassador Tai will detail tomorrow, and we will adjust accordingly.  But we do not want to take any options off the table or preemptively box ourselves into a set course of action.  明日、Tai大使が述べる内容に中国がどのように反応するかを見て、それに応じて調整していきたいと思います。 しかし、私たちはどのような選択肢も取ったり、先手を打って決まった行動を取るようなことはしたくありません。
We’re prepared to act to protect American workers, farmers, producers, and businesses from unfair trade policies. 私たちは、米国の労働者、農家、生産者、企業を不公平な貿易政策から守るために行動する準備ができています。
With that, I’ll turn it back over to [senior administration official].  以上をもって、【政府高官】に質問を戻します。
MODERATOR:  Thanks, [senior administration official].  Operator, could you queue up the directions for questions, please? モデレーター:ありがとうございます、【政府高官】さん。 運営者の方、質問の指示を出していただけますか?
Q    Hi, thank you so much for doing this.  I have two questions, one in regard to the phase one agreement.  You all said that you want to make it clear that China must follow through.  So, to be clear, you all are intending to allow phase one to continue, or will you revive phase one?  And what would be any consequences that you envision if China does not fulfill its end of the deal?  As you all know, it’s currently falling short in some sectors.  Q こんにちは、ありがとうございます。 2つ質問があります。1つはフェーズ1合意に関するものです。 皆さんは、中国がそれに従わなければならないことを明確にしたいとおっしゃいました。 つまり、はっきりさせておきたいのは、皆さんはフェーズ1を継続させるつもりなのか、それともフェーズ1を復活させるつもりなのかということです。 また、中国が約束を果たさなかった場合、どのような影響があるとお考えですか? ご存知のように、中国は現在、いくつかの分野で目標を達成できていません。
And then, relatedly, you mentioned beginning the tariff exclusion process.  Does that mean that the tariffs, as they stand, are remaining in effect? また、関連して、関税撤廃のプロセスを開始するとおっしゃいました。 それは、現状の関税が有効なままであることを意味するのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  I’ll jump in here.  I think the first step on phase one is to engage China on its commitments under phase one and to discuss with them areas where we believe they may have fallen short.  政府高官:ここからは私が説明します。 フェーズ1の最初のステップは、中国がフェーズ1で約束したことについて関与し、中国が不足していると思われる分野について中国と話し合うことだと思います。
It’s hard to predetermine what that exchange will look like.  I’ll just say, as a way of answering the second part of that question, that all tools will be on the table to us as we look to enforce that agreement and maximize the benefits that were — that China committed to for our workers, businesses, farmers.  その話し合いがどのようなものになるのか、事前に予測するのは難しいですね。 後半の質問に答える形で申し上げれば、この協定を実施し、中国がわが国の労働者、企業、農家に約束した利益を最大化するために、あらゆる手段が用意されているということです。
On the second point on the exclusions process, we will be restarting an exclusions process.  And, yes — I mean, by extension of that, the tariffs will — we would expect the tariffs that we are announcing an exclusion process for will remain in place during that process.  2つ目の質問である排除プロセスについては、排除プロセスを再開する予定です。 そして、その延長線上にある関税は、除外プロセスを発表している関税は、そのプロセスの間も継続して適用されるものと考えています。
But, really, the broader point here is that we’re going to be reengaging China under the phase one agreement, and we’re going to be realigning our trade enforcement actions in place for those that — with those — with the priorities of the Biden-Harris administration. しかし、ここでの重要なポイントは、フェーズ1の合意に基づいて中国との関係を再構築し、バイデン・ハリス政権の優先事項に合わせて、貿易執行措置を再編成するということです。
I don’t know if [senior administration official] or [senior administration official] have anything else to add. 他に何か付け加えることがあるかどうかはわかりません。
SENIOR ADMINISTRATION OFFICIAL:  No, nothing here. 政府高官:いいえ、何もありません。
MODERATOR:  Yeah.  All good.  Go ahead. モデレーター:ええ。 いいでしょう。 続けてください。
Q    Hi.  Yeah, thank you for doing this call.  I just want to be clear: So Ambassador Tai intends to declare that China has — is not in compliance with the phase one trade agreement and you will be using the enforcement mechanisms associated with that deal to request consultations with the Chinese officials to rectify the situation? Q こんにちは。 このような場を設けていただき、ありがとうございます。 つまり太大使は、中国が第一段階の貿易協定を遵守していないと宣言し、その協定に関連する執行メカニズムを使って、中国の政府関係者に状況を改善するための協議を要請するつもりなのですね?
And also, you said that you don’t want to double down on the failed policies of the previous administration.  Obviously, they imposed the tariffs in the first place.  Does that mean you’re not seeking to apply new tariffs?  Is that off the table?  Or is that — additional tariffs, you know, to — you know, persuade them to comply with this agreement — are those on the table?  Thank you. また、前政権の失敗した政策の二の舞にはなりたくないとおっしゃっていましたね。 そもそも関税をかけたのは前政権ですからね。 つまり、新たな関税をかけることは求めていないということですか? それはテーブルの上にないことですか? それとも、この合意を遵守するように彼らを説得するための追加関税は、テーブルの上にあるのでしょうか? ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  So, for the first question, I think the best way to characterize what Ambassador Tai will say tomorrow is that she intends to have frank conversations with her counterpart in China about China’s performance under the phase one agreement.  政府高官:最初の質問については、Tai大使が明日発表する内容は、フェーズ1合意の下での中国のパフォーマンスについて、中国のカウンターパートと率直に話し合うつもりである、というのが最も適切な表現だと思います。
We are not going to predetermine what the outcomes of those conversations are, but based on what we’ve — the data that we’ve seen, there are some commitments that have not been met, and we think the results overall of the agreement are mixed.  We will be having conversations with — the Ambassador will be having conversations with her Chinese counterpart to discuss those things. この会話の結果をあらかじめ決めるつもりはありませんが、私たちが見てきたデータによると、いくつかの約束が守られておらず、協定全体の結果はまちまちだと思います。 私たちは、大使が中国のカウンターパートと会話をして、これらのことについて話し合う予定です。
And then, I guess to your second question, we are not taking any tools off the table.  We are going to make sure that the trade enforcement actions that we take align with the Biden-Harris priorities and that any trade — the exclusions process, like I mentioned, we also want to make sure we use that to align existing tariffs to those same priorities.  それから、2つ目の質問ですが、私たちはどのような手段も取っていません。 私たちは、バイデン・ハリスの優先事項に沿った貿易執行措置を取るようにします。また、先ほど述べたように、除外措置を取ることで、既存の関税を同じ優先事項に合わせるようにしたいと考えています。
But again, we don’t want to take any options off the table, but the first step for us will be engaging with China on these issues. 繰り返しになりますが、私たちはどのような選択肢も排除したくはありませんが、まずはこれらの問題について中国と協力していくことが重要です。
Q    Thank you.  I’m just curious — I mean, in previous calls, when you’ve discussed engagements and meetings between senior officials in the administration with their Chinese counterparts, you’ve been clear that it hasn’t really worked, which is why you wanted President Biden to speak to Xi Jinping.  Why do you think it will be any different when it comes to negotiations with the trade officials in China? Q ありがとうございます。 以前の電話会談では、政権の高官と中国の高官との間で行われてきた交流や会議について、あまりうまくいっていないと明言していましたよね。 中国の貿易担当者との交渉でも、同じことが起こるとお考えですか?
SENIOR ADMINISTRATION OFFICIAL:  I will start here, but then [senior administration official] and [senior administration official] can chime in.  政府高官:まず私が説明しますが、その後で【政府高官】や【政府高官】が補足してくれるでしょう。
I mean, we know that China views the phase one agreement favorably, and so we want to engage with them under that agreement.  There is an enforcement mechanism under the agreement as well, and that was a structure that they agreed to.  つまり、中国がフェーズ1合意を好意的にとらえていることはわかっているので、その合意に基づいて中国と関わりたいと考えています。 協定にはエンフォースメント・メカニズムもあり、それは彼らが合意した構造でもあります。
And — but, you know, we are willing — and again, I’ll turn it back to [senior administration official] and [senior administration official] — but we are willing to take steps, should that engagement not get the results that we want, to ensure that we’re doing what we need to do that’s in our economic interest.  しかし、我々は喜んで-再度、【政府高官】と【政府高官】に話を戻しますが-、その関与が我々の望む結果を得られない場合には、我々の経済的利益のために必要なことを確実に行っていることを確認するために、ステップを踏むことを望んでいます。
[Senior administration official] and [senior administration official]. [政府高官】と【政府高官】。
SENIOR ADMINISTRATION OFFICIAL:  Yeah, I’ll jump in here.  Hey, Demetri.  政府高官:ああ、私も参加するよ。 やあ、デミトリ。
So I would just say a couple of things.  I mean, number one is: As [senior administration official] noted rightly, I mean, we have this agreement, and we think it is really important for us to hold China to those commitments and to enforce the deal that is in place.  And so, you know, this is the mechanism that is laid out under that agreement to do so, and that is the mechanism that we will be pursuing.  いくつか申し上げたいことがあります。 1つ目のポイントは【政府高官】が正しく指摘したように、我々はこの協定を結んでおり、中国にその約束を守らせ、所定の協定を履行させることが本当に重要だと考えています。 そのためには、この合意に基づいたメカニズムが必要であり、私たちはこのメカニズムを追求していきます。
And so, I think that that is, you know, of course, just a very — a very specific and unique piece on the trade front where, again, we’ve inherited this specific deal.  And, of course, you know, we do know that deal has produced results for some sectors of the American economy.  We also know it’s been less helpful for other sectors of the American economy.  これはもちろん、貿易面では非常に特殊でユニークな要素であり、私たちはこの特定の協定を受け継いでいるのです。 もちろん、この取引がアメリカ経済の一部のセクターに成果をもたらしたことは承知しています。 また、アメリカ経済の他のセクターにとってはあまり役に立たなかったこともわかっています。
And so, again, we do think it is important, as [senior administration official] said, even as we will hold in reserve other options if this does not produce the results that we need.  This is the first step for us.  繰り返しになりますが、【政府高官】が言ったように、これが必要な結果をもたらさない場合には他の選択肢を保留するとしても、これは重要だと考えています。 これが私たちにとっての第一歩です。
But then, zooming out a little bit more broadly, you know, I think that our view has been that we’ve had many engagements on sort of other pieces of the relationship.  The trade and — the trade relationship piece is one where, while we were conducting this review, we haven’t had as much engagement, and I think we will see what this produces.  しかし、もう少し拡大して考えてみると、私たちはこれまで、米中関係の他の部分について多くの協議を行ってきたと考えています。 貿易と...貿易関係の部分は、今回の見直しを行っている間、それほど多くの関わりを持っていなかった部分であり、今回の見直しが何を生み出すかを見極める必要があると思います。
I think, as [senior administration official] alluded to, there have been — you know, in the past, we have seen the ability to have a different kind of — more fruitful or at least meaningful engagements through those channels, but we will see if that remains to be the case.  過去には、【政府高官】が言及したように、このようなチャンネルを通じて、これまでとは異なる種類の、より実りある、あるいは少なくとも意味のある関係を築くことができたと思いますが、それが今後も続くかどうかを見守りたいと思います。
But the last thing that I would just say, Demetri, is: You know, the presidents did have a conversation on September 9th, about the need to have more meaningful, substantive conversations than we have had previously, including both at the leader level, as well as through officials that they empower.  最後に、デミトリ、私が言いたいのは 大統領たちは9月9日に、リーダーレベルだけでなく、大統領が権限を与えている役人も含めて、これまでよりも有意義で実質的な会話をする必要があるという話をしました。
And I think you should view Ambassador Tai’s engagement with her counterpart, Liu He, in the context of officials that President Biden believes are carrying out important, sort of, practical, focused conversations in a way that has, again, hopefully empowered the leaders. 今回のTai大使と劉鶴氏との会談は、バイデン大統領が、指導者たちに力を与えるような形で、重要で、実用的で、集中的な会話を行っていると考えていることと関連していると思います。
Q    Yeah, thanks.  So, on the reengagement strategy, I assume you don’t have a date set yet for Ambassador Tai’s meeting with her counterpart.  Is that something you’re going to be seeking to arrange this month or in the next 60 days?  What sort of timeframe do you have in mind?  Q ええ、ありがとうございます。 再チャレンジ戦略についてですが、Tai大使と彼女のパートナーとの会談の日程はまだ決まっていないようですね。 それは、今月中、あるいは60日以内に調整するつもりなのでしょうか? どのくらいの期間を想定しているのでしょうか。
And second, is it still your belief that it makes sense for there to be a phase two negotiation that would address all the structural issues that you’re complaining about that have not yet been tackled?  Thanks. 次に、あなたが訴えている、まだ取り組まれていないすべての構造的な問題を解決するために、フェーズ2の交渉を行うことが理にかなっているというお考えは変わりませんか? ありがとうございます。
SENIOR ADMINISTRATION OFFICIAL:  I’ll chime in here.  政府高官:私もここで発言します。
We expect Ambassador Tai’s call with her counterpart to occur soon, but that’s all I’ll say on the timing of that. Tai大使と彼女の担当者との電話会談は間もなく行われると思いますが、その時期についてはそれだけです。
Secondly, I think our engagement with China will focus on the phase one agreement.  As we’ve outlined, we will use that engagement to raise concerns about the industrial policies and the harm they’ve caused American workers and businesses.  第二に、中国との関わりはフェーズ1合意に集中すると思います。 これまで説明してきたように、産業政策や、それがアメリカの労働者や企業にもたらした損害について懸念を表明するために、その関与を利用するつもりです。
I don’t — I think it’s too early to say that — you know, how extensive the engagement on industrial policy will be.  We know that China is unlikely to make meaningful reforms right now.  And I think — as we’ve said, you know, we — if China were to change, we would welcome that, but we do not expect them to.  産業政策に関するエンゲージメントがどの程度の規模になるかについては、まだ結論を出すには早すぎると思います。 現在、中国が意味のある改革を行う可能性が低いことはわかっています。 これまで述べてきたように、中国が変化するのであれば、私たちはそれを歓迎しますが、期待はしていません。
And so, I think for us, we’ll focus on phase one engagement, we will raise concerns on industrial policies, but we are not look- — seeking a phase two negotiation, and — or — and we will be taking steps to address harms of industrial policies as we see fit, depending on how that engagement goes. ですから、私たちは、フェーズ1の交渉に焦点を当て、産業政策に関する懸念を表明しますが、フェーズ2の交渉を求めてはいません。また、産業政策の弊害に対処するために、交渉の結果に応じて適切な措置を取るつもりです。
Q    Thanks, guys.  I have two questions for you, [senior administration official].  Parts of the agreement, namely the purchases that you say they aren’t living up to, expire at the end of the year.  Do you want to see movement by China by a certain date?  Or what is your timeline here to get results, given the potential that China might just drag this out once you start engaging and given how far along we are in the year? Q ありがとうございます。 【政府高官】のあなたに2つの質問があります。 協定の一部、つまり、あなたが「履行されていない」と言っている購入については、今年末に期限が切れます。 あなたは、ある期日までに中国の動きを見たいのですか? それとも、中国がいったん関与し始めると長引く可能性があることや、今年がどれだけ進んでいるかを考慮して、結果を出すためのスケジュールはどのようになっていますか?
And then, on the exclusion process, you mentioned that you want to finetune the tariffs and the exclusions to benefit American workers.  Can you give any more detail on the requirements, the parameters for companies that are applying for product exclusions and, you know, how you measure that it is actually in line with your values here in benefiting American workers?  And when do we see this exclusion process be reinstated?  Thanks. また、除外のプロセスについては、アメリカの労働者のために関税と除外を微調整したいとおっしゃっていました。 製品の除外を申請する企業の要件や条件、そしてアメリカの労働者に利益をもたらすというあなたの価値観に実際に沿っているかどうかをどのように測定するのか、もう少し詳しく教えてください。 また、この除外プロセスはいつ再開されるのでしょうか? ありがとうございます。
SENIOR ADMINISTRATION OFFICIAL:  So, on your first one, I mean, we’re not going to put a specific timeline on it.  It’ll be up to China to take the steps that they need to take to get into compliance.  I’m just not — you know, because — as Ambassador Tai says frequently, as I’ve already mentioned, it takes two to tango.  It’s — I don’t know that I can put a timeframe on getting results on that.  That’s why it’s really important for us to also convey the message that all tools are on the table for us, all options are available for us to consider what we need to do to defend our interests. 最初の質問については、具体的なスケジュールを決めるつもりはありません。 遵守するために必要なステップを踏むかどうかは、中国次第です。 なぜなら、Tai大使がよく言うように、私がすでに述べたように、「タンゴには2つの要素が必要」だからです。 結果を出すのに時間をかけることはできません。 だからこそ、すべてのツールがテーブルの上にあり、すべての選択肢があり、我々の利益を守るために何をすべきかを考えることができるというメッセージを伝えることが重要なのです。
The second point on exclusions process: I think what I was saying was, you know, the overall trade enforcement actions that are in place should be realigned to the Biden-Harris administration’s priorities.  We will use the exclusion process in part to achieve some of those goals.  2点目は、排除プロセスについてです。私が言いたかったのは、現在実施されている全体的な貿易執行措置を、バイデン・ハリス政権の優先事項に合わせて再編成すべきだということです。 私たちは、そのような目標を達成するために、排除プロセスを一部利用するつもりです。
I don’t have — [senior administration official] talked a lot about the domestic priorities for the Biden-Harris administration.  So we will be looking to make sure that our trade policies are reinforcing our domestic policies.  But specifics as to what companies should be looking out for and whatnot, I don’t — I don’t have for you at this time. バイデン-ハリス政権の国内優先事項については、(政府高官が)多くを語っていません。 ですから、私たちは、貿易政策が国内政策を強化しているかどうかを確認するつもりです。 しかし、企業がどのような点に注意すべきかなどの具体的な内容については、現時点ではわかりません。
SENIOR ADMINISTRATION OFFICIAL:  I just want to pick up with a, kind of, comment building on what [senior administration official] was saying about this being part of our broader agenda.  政府高官:先ほど【政府高官】がおっしゃっていた、これは我々の幅広いアジェンダの一部であるということに基づいて、ちょっとしたコメントをしたいと思います。
You know, I mean, I think that we’re going to be moving out in the coming days and weeks — Katherine Tai is going to be moving out in the coming days and weeks on the phase one.  But obviously, you know, this is only a piece of what we’re doing.  つまり、私たちは今後数日から数週間のうちに、フェーズ1についてはキャサリン・タイ大使が動き出すことになると思います。 しかし明らかに、これは我々がやっていることのほんの一部に過ぎません。
I had talked some — you know, some of the actions we’ve taken on the investment front earlier, some of the actions we’ve taken on issues around Xinjiang earlier.  We obviously also had an action — thinking of Xinjiang — where we had a Withhold Release Order to make sure we weren’t importing the products of forced labor, particularly in the solar sector.  先ほど、投資面での行動、新疆ウイグル自治区の問題での行動についてお話ししました。 また、新疆ウイグル自治区のことを考えて、特に太陽電池分野における強制労働の製品を輸入しないようにするために、差し止め命令を出したこともあります。
And I think you’re going to continue to see the administration move out on all parts of our, sort of, economic agenda towards China; the focus, obviously, in the near term is going to be on the trade front.  今後も政権は、中国に対する経済的なアジェンダのすべての部分で、行動を起こしていくことになるでしょう。
But, you know, it really is just a piece of a broader economic agenda, which also very much includes, as [senior administration official] said, the domestic — the domestic agenda — making sure we are competitive here at home; we’ve taken steps to rebuild critical supply chains here at home and with our allies.  And so, you know, just want to make sure we keep it in that context as we close. しかし、これはより広範な経済的課題の一部に過ぎず、【政府高官】が述べたように、国内での競争力を高め、国内および同盟国の重要なサプライチェーンを再構築するための措置を講じてきた国内的な課題も大いに含まれています。 国内と同盟国の重要なサプライチェーンを再建するための措置を講じました。
MODERATOR:  Thanks.  Thanks, everyone, for joining.  If we did not get to your question, please reach out to myself and my colleague from USTR.  We want to make sure that we’re responsive to you before the embargo lifts tomorrow.  司会者:ありがとうございます。 皆さん、ご参加いただきありがとうございました。 もしご質問にお答えできなかった場合は、私とUSTRの同僚までご連絡ください。 禁輸措置が解除される明日までに、皆様のご質問にお応えできるようにしたいと思います。
As a reminder, this call was on background, attributable to “senior administration officials.”  And the contents will be embargoed until tomorrow, Monday, October 4th, 5:00 a.m. Eastern.  念のために申し上げますが、この通話はバックグラウンドで行われ、【政府高官】に帰属します。 この内容は、明日10月4日(月)午前5時(東部時間)まで禁輸措置がとられます。
Thanks for joining, and have a good rest of your Sunday. ご参加ありがとうございました。良い日曜日をお過ごしください。
4:34 P.M. EDT 4:34 P.M. EDT
### ###

 

Fig1_20210802074601

| | Comments (0)

米国・EU 10月はサイバーセキュリティ(意識向上)月間

こんにちは、丸山満彦です。

10月は、米国ではサイバーセキュリティ意識向上月間、EUではEUサイバーセキュリティ月間になっていますね。。。

米国は大統領が宣言 (proclamation) していますね。。。

米国のテーマは、"Do Your Part.  Be Cyber Smart "

Fig1_20211005061801

米国

Fig1_20210802074601

The White House

・2021.09.30 A Proclamation on Cybersecurity Awareness Month, 2021

A Proclamation on Cybersecurity Awareness Month, 2021 2021年「サイバーセキュリティ意識向上月間」に関する宣言
Our Nation is under a constant and ever-increasing threat from malicious cyber actors.  Ransomware attacks have disrupted hospitals, schools, police departments, fuel pipelines, food suppliers, and small businesses — delaying essential services and putting the lives and livelihoods of Americans at risk.  Any disruption, corruption, or dysfunction of our vital infrastructure can have a debilitating effect on national and economic security, public health, and our everyday safety.  わが国は、悪意のあるサイバー攻撃者からの絶え間ない、そして増え続ける脅威にさらされています。  ランサムウェアの攻撃により、病院、学校、警察、燃料パイプライン、食料供給業者、中小企業などが混乱し、必要なサービスが滞り、アメリカ人の命と生活が危険にさらされています。  重要なインフラが破壊されたり、破損したり、機能不全に陥ったりすると、国家や経済の安全保障、公衆衛生、そして私たちの日常の安全に衰弱をもたらします。 
Since its inception, Cybersecurity Awareness Month has elevated the central role that cybersecurity plays in our national security and economy.  This Cybersecurity Awareness Month, we recommit to doing our part to secure and protect our internet-connected devices, technology, and networks from cyber threats at work, home, school, and anywhere else we connect online.  I encourage all Americans to responsibly protect their sensitive data and improve their cybersecurity awareness by embracing this year’s theme:  “Do Your Part.  Be Cyber Smart.” サイバーセキュリティ意識向上月間は、その開始以来、サイバーセキュリティが国家の安全保障と経済において果たす中心的な役割を高めてきました。  今年のサイバーセキュリティ意識向上月間では、職場、家庭、学校、その他オンラインに接続するあらゆる場所で、インターネットに接続された機器、テクノロジー、ネットワークをサイバー脅威から守り、保護するために、自らの役割を果たすことを決意します。  私は、すべての米国人に、今年のテーマに沿って、責任を持って機密データを保護し、サイバーセキュリティに対する意識を高めることをお勧めします。  今年のテーマである "Do Your Part.  Be Cyber Smart "です。
My Administration has worked to bolster the defense of our systems and protect the Federal Government’s information and communications infrastructure.  Earlier this year, I signed an Executive Order to modernize and improve the security of our technology, including areas like software security, information sharing, and Federal network modernization.  The Executive Order also directs the Federal Government to only acquire products that meet strong cybersecurity standards — which, by spurring technology companies to raise the bar, will ultimately improve the security of those products for all Americans.   私の政権は、システムの防衛力を強化し、連邦政府の情報通信インフラを保護するために取り組んできました。  今年初め、私は、ソフトウェアセキュリティ、情報共有、連邦ネットワークの近代化などの分野を含む、テクノロジーのセキュリティを近代化し、改善するための大統領令に署名しました。  この大統領令は、連邦政府に対し、強力なサイバーセキュリティ基準を満たした製品のみを購入するよう指示しています。これにより、テクノロジー企業のレベルアップに拍車がかかり、最終的にはすべてのアメリカ人のために製品のセキュリティを向上させることができるのです。 
The reality is that most of our Nation’s critical infrastructure — from transportation lines to energy suppliers to other vital fields — is owned and operated by the private sector.  Therefore, the security of our critical infrastructure depends on Federal, State, local, Tribal, and territorial coordination with infrastructure owners and operators to achieve greater strength and security.  My Administration is working in close coordination with the private sector.  Earlier this year, we began to establish strong cybersecurity goals that outline our expectations for owners and operators of America’s critical infrastructure.  We also launched a 100‑day initiative to improve cybersecurity across the electric sector.  That initiative has already resulted in more than 150 utilities that serve 90 million Americans deploying or committing to deploy cybersecurity technology — and we are now in the process of extending that initiative to gas pipelines.  My Administration is also working with the international community to elevate the profile of cybersecurity as a matter of global security interest.  現実には、交通機関からエネルギー供給会社、その他の重要な分野に至るまで、わが国の重要インフラのほとんどは民間企業が所有・運営しています。  したがって、重要インフラの安全性は、インフラの所有者や運営者と連邦、州、地方、部族、地域が連携して、より高い強度と安全性を実現することにかかっています。  私の政権は、民間企業との緊密な連携を図っています。  今年初めには、米国の重要インフラの所有者や運営者に期待することをまとめた強力なサイバーセキュリティ目標の策定に着手しました。  また、電気事業者全体のサイバーセキュリティを向上させるために、100日間の取り組みを開始しました。  この取り組みにより、9,000万人の国民にサービスを提供している150社以上の電力会社がサイバーセキュリティ技術を導入、または導入を約束しており、現在、この取り組みをガスパイプラインにも拡大しているところです。  私の政権は、国際社会と協力して、サイバーセキュリティを世界的な安全保障上の関心事として注目しています。 
We recently convened a meeting with corporate, nonprofit, and educational leaders on how to protect their industries and our infrastructure.  We are working closely with the private sector to share information, strengthen cybersecurity practices, and deploy technologies that increase resilience against cyberattacks.  My Administration has also launched StopRansomware.gov to provide a one-stop resource for Americans to learn how to avoid ransomware and the steps to take if their computer becomes compromised.  先日、企業、非営利団体、教育機関のリーダーを集めて、それぞれの業界とインフラを守る方法についての会議を開催しました。  私たちは民間企業と緊密に連携し、情報を共有し、サイバーセキュリティ対策を強化し、サイバー攻撃への耐性を高める技術を導入しています。  また、私の政権は、ランサムウェアの回避方法やコンピュータが危険にさらされた場合の対処法などをワンストップで提供するウェブを立ち上げました。 
During Cybersecurity Awareness Month, I ask everyone to “Do Your Part.  Be Cyber Smart.”  All Americans can help increase awareness on cybersecurity best practices to reduce cyber risks.  Whether you are at home, school, or the office — a few simple steps can help keep you and your online data safe and secure.  By limiting the amount of personal information shared online, regularly updating devices and software, and using complex passwords and multifactor authentication methods, our entire Nation will be more resilient against the constant threat of malicious cyber actors.  サイバーセキュリティ意識向上月間において、私は皆様に「Do Your Part, Be Cyber Smart」をお願いします。 すべてのアメリカ人は、サイバーリスクを軽減するために、サイバーセキュリティのベストプラクティスに対する認識を高めることができます。家でも学校でもオフィスでも、いくつかの簡単なステップを踏むだけで、あなたとあなたのオンラインデータを安全かつセキュアに保つことができます。オンラインで共有する個人情報の量を制限し、機器やソフトウェアを定期的にアップデートし、複雑なパスワードや多要素認証方法を使用することで、悪意あるサイバーアクターの絶え間ない脅威から国民全体がより強く守られるようになります。 
NOW, THEREFORE, I, JOSEPH R. BIDEN JR., President of the United States of America, by virtue of the authority vested in me by the Constitution and the laws of the United States, do hereby proclaim October 2021 as Cybersecurity Awareness Month.  Through events, training, and education, I call upon the people, businesses, and institutions of the United States to recognize the importance of cybersecurity, to take action to better protect yourselves against cyber threats, and to observe Cybersecurity Awareness Month in support of our national security and resilience. さて、アメリカ合衆国大統領である私、ジョセフ・R・バイデン・JRは、憲法およびアメリカ合衆国の法律によって私に与えられた権限により、ここに2021年10月を「サイバーセキュリティ意識向上月間」と宣言します。  私は、イベント、トレーニング、教育を通じて、米国の国民、企業、機関に対し、サイバーセキュリティの重要性を認識し、サイバー脅威から自らをよりよく守るために行動し、国家の安全と回復力を支えるためにサイバーセキュリティ意識向上月間を遵守することを呼びかける。
IN WITNESS WHEREOF, I have hereunto set my hand this thirtieth day of September, in the year of our Lord two thousand twenty-one, and of the Independence of the United States of America the two hundred and forty-sixth. その証拠に、私は、我々の主の年2021年、アメリカ合衆国の独立の年から246年目の9月30日にここに手を置いた。
JOSEPH R. BIDEN JR. ジョセフ・R・バイデン・Jr.

 

・2021.10.01 Statement by President Joe Biden on Cybersecurity Awareness Month

Statement by President Joe Biden on Cybersecurity Awareness Month サイバーセキュリティ意識向上月間におけるジョー・バイデン大統領の声明
1-Oct-21 1-Oct-21
STATEMENTS AND RELEASES 声明および発表
Cyber threats can affect every American, every business regardless of size, and every community. That’s why my administration is marshalling a whole-of-nation effort to confront cyber threats. サイバー脅威は、すべてのアメリカ人、規模にかかわらずすべての企業、そしてすべてのコミュニティに影響を与える可能性があります。そのため、私の政権は、サイバー脅威に立ち向かうために、国を挙げての取り組みを行っています。
I am committed to strengthening our cybersecurity by hardening our critical infrastructure against cyberattacks, disrupting ransomware networks, working to establish and promote clear rules of the road for all nations in cyberspace, and making clear we will hold accountable those that threaten our security. In May, I issued an executive order to modernize our defenses and position the Federal government to lead, rather than lag, in its own cybersecurity. By using the power of Federal technology spending, we are improving the software available for use to all Americans. Our 100-day action plan to improve cybersecurity across the electricity sector has already resulted in more than 150 utilities serving 90 million Americans committing to deploy cybersecurity technologies, and we are working to deploy action plans for additional critical infrastructure sectors. Both the public and private sectors have a role to play in strengthening cybersecurity, which is why we also issued a National Security Memorandum outlining the cybersecurity practices that responsible owners and operators of critical infrastructure should put in place and brought together leading American executives to expand public-private cooperation on cybersecurity. 私は、重要インフラをサイバー攻撃から守り、ランサムウェアのネットワークを破壊し、サイバー空間におけるすべての国のために明確なルールを確立して推進し、私たちの安全保障を脅かす者に責任を取らせることを明確にすることで、サイバーセキュリティの強化に取り組んでいます。5月、私は、連邦政府が自らのサイバーセキュリティにおいて遅れをとるのではなく、主導権を握れるよう、防衛力を近代化するための大統領令を出しました。私たちは、連邦政府の技術支出を活用して、すべてのアメリカ人が利用できるソフトウェアを改善しています。電力セクター全体のサイバーセキュリティを向上させるための100日行動計画では、すでに9,000万人のアメリカ人にサービスを提供している150以上の電力会社がサイバーセキュリティ技術の導入を約束しており、さらに重要なインフラ部門への行動計画の展開を進めています。サイバーセキュリティの強化には、官民ともに役割があります。そのため、重要インフラの責任ある所有者や運営者が実施すべきサイバーセキュリティ対策をまとめた「国家安全保障メモランダム」を発行し、サイバーセキュリティに関する官民協力を拡大するために、米国の主要な経営者を集めました。
We are also partnering closely with nations around the world on these shared threats, including our NATO allies and G7 partners. This month, the United States will bring together 30 countries to accelerate our cooperation in combatting cybercrime, improving law enforcement collaboration, stemming the illicit use of cryptocurrency, and engaging on these issues diplomatically. We are building a coalition of nations to advocate for and invest in trusted 5G technology and to better secure our supply chains. And, we are bringing the full strength of our capabilities to disrupt malicious cyber activity, including managing both the risks and opportunities of emerging technologies like quantum computing and artificial intelligence. The Federal government needs the partnership of every American and every American company in these efforts. We must lock our digital doors — by encrypting our data and using multifactor authentication, for example—and we must build technology securely by design, enabling consumers to understand the risks in the technologies they buy. Because people – from those who build technology to those to deploy technology – are at the heart of our success. また、NATOの同盟国やG7のパートナーなど、世界各国と緊密に連携して、これらの共通の脅威に対処しています。今月、米国は30カ国を集め、サイバー犯罪との戦い、法執行機関の協力体制の改善、暗号通貨の不正使用の阻止、そしてこれらの問題への外交的関与における協力を加速させます。私たちは、信頼できる5G技術を提唱し、投資を行い、サプライチェーンの安全性を高めるために、各国の連合体を構築しています。また、悪意のあるサイバー活動を阻止するために、量子コンピューティングや人工知能などの新技術のリスクとチャンスの両方を管理するなど、我々の能力を最大限に発揮しています。連邦政府は、これらの取り組みにおいて、すべてのアメリカ人とすべてのアメリカ企業の協力を必要としています。私たちは、データを暗号化し、多要素認証を使用するなどして、デジタルドアに鍵をかけなければなりません。また、消費者が購入する技術のリスクを理解できるように、設計によって技術を安全に構築しなければなりません。そして、テクノロジーを安全に構築し、消費者がテクノロジーのリスクを理解できるようにしなければなりません。
This October, even as we recognize how much work remains to be done and that maintaining strong cybersecurity practices is ongoing work, I am confident that the advancements we have put in place during the first months of my Administration will enable us to build back better – modernizing our defenses and securing the technology on which our enduring prosperity and our security rely. 今年の10月、やるべきことがたくさんあり、強固なサイバーセキュリティを維持することは継続的な作業であることを認識しながらも、私は、政権発足後の数ヶ月間に実施した進歩により、私たちはより良いものを作り直すことができ、私たちの永続的な繁栄と安全保障が依存する防御の近代化と技術の確保ができると確信しています。

 

Cybersecurity and Infrastructure Security Agency

CYBERSECURITY AWARENESS MONTH

・2021.10.01 (press) CISA KICKS OFF CYBERSECURITY AWARENESS MONTH

National Cyber Security Alliance

Cybersecurity Awareness Month

・2021.10.01 (press) National Cyber Security Alliance Kicks Off 18th Annual Cybersecurity Awareness Month

・2021.09.22 CYBERSECURITY AWARENESS MONTH 2021: AN EXPERT’S ADVOCACY GUIDE

・Twitter #BeCyberSmart

 

欧州

● European Cybersecurity Month

 

ENISA

・2021.09.30 Uniting to raise awareness on Cyber Threats: European Cybersecurity Month 2021

 

Twitter のハッシュタグ

#CyberSecMonth



| | Comments (0)

2021.10.04

中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

こんにちは、丸山満彦です。

中国のネットワークセキュリティ法で、等級保護が重要なわけですが、その等級についてのガイドライン案が中国の情報セキュリティ標準化技術委員会(全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) )、いわゆるTC260から公開され、意見募集されていますね。。。

 

全国信息安全标准化技术委员会 

2021.09.30 关于对《网络安全标准实践指南——数据分类分级指引(征求意见稿)》公开征求意见的通知
「サイバーセキュリティ標準実践ガイド-データ分類および等級付けガイドライン(意見募集用草案)」に関するパブリックコメント通知
  [PDF]网络安全标准实践指南 — 数据分类分级指引
サイバーセキュリティ標準実践ガイド - データの分類と等級付けガイドライン

 

20211004-24945

1 范围 1 適用範囲
2 术语定义 2 用語の定義
3 数据分类分级原则 3 データの分類と等級の原則
4 数据分类分级框架 4 データの分類と等級の枠組み
5 数据分类规则 5 データ分類ルール
5.1 个人信息识别与分类 5.1 個人情報の識別と分類
5.2 公共数据识别与分类 5.2 公開データの識別と分類
5.3 法人数据识别与分类 5.3 法人データの識別および分類
6 数据分级规则 6 データ等級ルール
6.1 定级要素 6.1 等級要素
6.2 定级方法 6.2 等級付け方法
6.3 特定数据最低安全级别 6.3 特定のデータに対する最低限のセキュリティ等級
6.4 重新定级的情形 6.4 再等級付けが必要となる状況
附录 A 个人信息分类示例  附属書A 個人情報の分類の例
附录 B 数据分类分级流程  附属書B データの分類と等級プロセス
参考文献 参考文献

・仮訳 [DOCX]

 

| | Comments (0)

2021.10.03

欧州データ保護委員会 (EDPB) 韓国の十分性決定案に関する意見を採択

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) は、欧州委員会 (European Commission) の韓国に対する十分性決定案に関する意見を採択しましたね。。。

 

European Data Protection Board: EDPB

・2021.09.27 EDPB adopts opinion on draft South Korea Adequacy Decision

 

EDPB adopts opinion on draft South Korea Adequacy Decision EDPB 韓国の十分性決定案に関する意見を採択
The EDPB adopted its opinion on the European Commission’s draft adequacy decision for the Republic of Korea. The EDPB focused on general GDPR aspects and access by public authorities to personal data transferred from the European Economic Area (EEA) to the Republic of Korea for the purposes of law enforcement and national security, including the legal remedies available to individuals in the EEA. The EDPB also assessed whether the safeguards provided under the Korean legal framework are effective. EDPBは、欧州委員会の韓国に対する十分性決定案に関する意見を採択した。EDPBは、GDPRの一般的な側面と、法執行や国家安全保障を目的として欧州経済地域(EEA)から韓国に移転された個人データへの公的機関によるアクセス(EEAの個人が利用できる法的救済措置を含む)に焦点を当てた。また、EDPBは、韓国の法的枠組みの下で提供されるセーフガードが有効であるかどうかも評価した。
EDPB Chair, Andrea Jelinek, said: “This adequacy decision is of paramount importance, as it will cover transfers in both the public and the private sector. A high level of data protection is essential to support our long-standing ties with South Korea and to safeguard the rights and freedoms of individuals. While we underline that core aspects of the Korean data protection framework are essentially equivalent to those of the European Union, we call on the Commission to further clarify certain aspects and to closely monitor the situation.” EDPBのAndrea Jelinek議長は次のように述べた。「今回の十分性に関する決定は、公共部門と民間部門の両方における移転を対象とするため、最も重要なものです。韓国との長年の関係を支え、個人の権利と自由を守るためには、高水準のデータ保護が不可欠です。韓国のデータ保護の枠組みの中核的な側面は、基本的に欧州連合(EU)のものと同等であることを強調する一方で、欧州委員会に対し、特定の側面をさらに明確にし、状況を注意深く監視するよう求めている」。
On the general data protection framework, the EDPB notes that there are key areas of alignment between the EU and South Korean data protection frameworks with regard to certain core provisions, such as: 一般的なデータ保護の枠組みについて、EDPBは、以下のような特定の中核的な条項に関して、EUと韓国のデータ保護の枠組みの間に一致する重要な分野があると指摘している。
・data protection concepts (e.g. personal information; processing; data subject); ・データ保護の概念(例:個人情報、処理、データ主体)
・grounds for lawful processing for legitimate purposes; ・データ保護の概念(個人情報、処理、データ主体など) ・正当な目的のための合法的な処理の根拠 ・目的の制限
・purpose limitation; ・目的の制限
・data retention, security and confidentiality; and ・データの保持、セキュリティおよび機密性
・transparency. ・透明性
The EDPB welcomes the efforts made by the European Commission and the Korean Authorities to ensure that the Republic of Korea provides a level of data protection essentially equivalent to that of the GDPR. Such as, for example, the adoption of notifications by the South Korea data protection authority (PIPC), which aim to fill the gaps between the GDPR and the Korean data protection framework, like the additional protections provided by Notification No 2021-1. EDPBは、韓国がGDPRと本質的に同等のデータ保護レベルを提供することを保証するために、欧州委員会と韓国当局が行ってきた努力を歓迎する。例えば、韓国のデータ保護当局(PIPC)による通知の採択などで、通知番号2021-1で提供される追加保護のように、GDPRと韓国のデータ保護の枠組みの間のギャップを埋めることを目的としている。
The EDPB invites the European Commission to provide further information on the binding nature, the enforceability and validity of Notification No 2021-1, and would recommend an attentive monitoring of this in practice. EDPBは、欧州委員会に対し、Notification No 2021-1の拘束力、執行可能性、有効性についてさらなる情報を提供するよう求めるとともに、これを実際に注意深く監視することを推奨する。
On the access by public authorities to data transferred to the Republic of Korea, the EDPB notes that PIPA's provisions apply without limitation in the area of law enforcement. The EDPB further notes that data processing in the area of national security is subject to a more limited set of provisions enshrined in PIPA, although PIPA’s core principles, as well as the fundamental guarantees for data subject rights and the provisions on supervision, enforcement and remedies, do apply to the access and use of personal data by national security authorities. The South Korean constitution also enshrines essential data protection principles, which are applicable to the access to personal data by public authorities in the areas of law enforcement and national security. In addition, the EDPB agrees with the Commission’s conclusion that South Korea can be considered to have an independent and effective supervisory system. 韓国に転送されたデータに対する公的機関のアクセスについて、EDPBは、PIPAの規定が法執行の分野において制限なく適用されることに留意する。さらにEDPBは、国家安全保障の分野におけるデータ処理は、PIPAに規定されたより限定された一連の条項の対象となるが、PIPAの基本原則、データ対象者の権利の基本的保証、監督・執行・救済に関する条項は、国家安全保障当局による個人データのアクセスと使用に適用される。韓国の憲法にもデータ保護の基本原則が規定されており、法執行や国家安全保障の分野で公的機関が個人データにアクセスする際に適用される。さらに、EDPBは、韓国が独立した効果的な監督システムを備えていると考えられるという欧州委員会の結論に同意する。
Finally, regarding effective remedies and rights of redress, the EDPB asks the Commission to clarify the substantive and/or procedural requirements, such as a burden of proof, to which a complaint with the PIPC or any action before a court is subject, and whether EU individuals would be able to meet such a precondition. 最後に、効果的な救済措置と救済の権利について、EDPBは欧州委員会に対し、PIPCへの苦情や裁判所への訴訟が対象とする、立証責任などの実質的・手続き的要件を明確にし、EUの個人がそのような前提条件を満たすことができるかどうかを明らかにするよう求めている。
For its assessment, the EDPB used the GDPR Adequacy Referential and the EDPB Recommendations 2/2020 on the European Essential Guarantees for surveillance measures, as well as existing CJEU and ECtHR case law concerning access by public authorities. EDPBは評価のために、GDPR Adequacy Referential、監視措置の欧州必須保証に関するEDPB勧告2/2020、および公的機関によるアクセスに関するCJEUとECtHRの既存の判例法を使用した。

 

意見はこちら...

Opinion 32/2021 regarding the European Commission Draft Implementing Decision pursuant to Regulation (EU) 2016/679 on the adequate protection of personal data in the Republic of Korea

・[PDF] 

20211003-64303

 


 

韓国の個人情報保護委員会は、個人情報保護法の改正案を国会に提出しましたね。。。

개인정보보호위원회

・2021.09.28 디지털 시대 「개인정보 보호법」 개정안 국회제출

[JPG]  인포그래픽 [JPG]  インフォグラフィック
[PDF]  210928 (석간) 디지털 시대 「개인정보 보호법」 개정안 국회제출(개인정보보호정책과) [PDF]  210928 デジタル時代「個人情報保護法」改正案国会提出(個人情報保護方針)
[PDF]  2112723_개인정보보호법 개정안(정부안. 2021.9.28.) [PDF] 2112723_個人情報保護法改正案(政府案 2021.9.28)

| | Comments (0)

欧州データ保護委員会 (EDPB) Cookieバナーについてのタスクフォースを設置

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) がCookieバナーについてのタスクフォースを設置していますね。。。

European Data Protection Board: EDPB

・2021.09.27 EDPB establishes cookie banner taskforce

 

EDPB establishes cookie banner taskforce EDPB Cookieバナーについてのタスクフォースを設置
During its latest plenary, the EDPB decided to set up a taskforce to coordinate the response to complaints concerning cookie banners filed with several EEA SAs by NOYB. EDPBは、最新の総会において、NOYBがいくつかの欧州経済領域 (EEA) SAに提出したCookieバナーに関する苦情への対応を調整するためのタスクフォースを設置することを決定しました。
This taskforce was established in accordance with Art. 70 (1) (u) GDPR and aims to promote cooperation, information sharing and best practices between the SAs. In particular, the taskforce will: このタスクフォースは、GD.70 (1 (u))に従って設立されました。このタスクフォースは、GDPR第70条(1)(u)に従って設立され、SA間の協力、情報共有、ベストプラクティスの促進を目的としています。特に、タスクフォースは以下を行います。
・exchange views on legal analysis and possible infringements; ・法的分析および侵害の可能性についての意見交換
・provide support to activities on the national level; ・国レベルでの活動を支援する。
・streamline communication. ・コミュニケーションの効率化

 

Plenary

| | Comments (0)

2021.10.02

米国 NSAとCISAが共同でリモートアクセスVPNの選択と強化に関するガイダンスを発表していますね。。。

こんにちは、丸山満彦です。

米国の国家安全保障局 (NSA) とサイバーセキュリティ・重要インフラセキュリティ局 (CISA) が共同でリモートアクセスVPNの選択と強化に関するガイダンスを発表していますね。。。

興味深い内容ですね。。。

 

● National Security Agency (NSA)

・2021.09.28 NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs

・[PDF] Selecting and Hardening Remote Access VPN Solutions

20211002-62655

・[DOCX] 仮訳

 

NSA, CISA Release Guidance on Selecting and Hardening Remote Access VPNs NSAとCISA、リモートアクセスVPNの選択と強化に関するガイダンスを発表
FORT MEADE, Md.   –   The National Security Agency and the Cybersecurity and Infrastructure Security Agency (CISA) released a joint Cybersecurity Information Sheet today detailing factors to consider when choosing a virtual private network (VPN) and top configurations for deploying it securely.  “Selecting and Hardening Remote Access VPN Solutions” also will help leaders in the Department of Defense, National Security Systems and the Defense Industrial Base better understand the risks associated with VPNs. 米国国家安全保障局とサイバーセキュリティ・重要インフラセキュリティ局 (CISA) は、本日、共同でサイバーセキュリティ情報シートを発表し、仮想プライベートネットワーク(VPN)を選択する際に考慮すべき要素と、安全に導入するための主要な構成について詳述しました。 また、「リモートアクセスVPNソリューションの選択と強化」は、国防総省、国家安全保障システム、国防産業基盤のリーダーが、VPNに関連するリスクをよりよく理解するのに役立ちます。
VPN servers are entry points into protected networks, making them attractive targets. Multiple nation-state advanced persistent threat (APT) actors have weaponized common vulnerabilities and exposures (CVEs) to gain access to vulnerable VPN devices. Exploitation of these CVEs can enable a malicious actor to steal credentials, remotely execute code, weaken encrypted traffic’s cryptography, hijack encrypted traffic sessions, and read sensitive data from the device. If successful, these effects usually lead to further malicious access and could result in a large-scale compromise to the corporate network. VPNサーバは、保護されたネットワークへの入り口であり、魅力的なターゲットとなります。複数の国家のAPT(Advanced Persistent Threat)アクターが、共通の脆弱性と暴露(CVE)を武器に、脆弱なVPN機器にアクセスしています。これらのCVEを悪用することで、悪意のある行為者は、認証情報の窃取、リモートでのコード実行、暗号化されたトラフィックの暗号化の弱体化、暗号化されたトラフィックセッションのハイジャック、デバイスからの機密データの読み取りなどが可能になります。これらが成功すると、通常、さらなる悪意のあるアクセスにつながり、企業ネットワークの大規模な侵害につながる可能性があります。
The Information Sheet details considerations for selecting a remote access VPN, as well as actions to harden the VPN from compromise. Top hardening recommendations include using tested and validated VPN products on the National Information Assurance Partnership (NIAP) Product Compliant List, employing strong authentication methods like multi-factor authentication, promptly applying patches and updates, and reducing the VPN’s attack surface by disabling non-VPN-related features. この情報シートでは、リモートアクセスVPNを選択する際の注意点や、VPNのセキュリティを強化するための対策について詳しく説明しています。堅牢化のための推奨事項としては、国家情報保証パートナーシップ (NIAP) 製品準拠リストに掲載されているテスト済み・検証済みのVPN製品を使用すること、多要素認証などの強力な認証方法を採用すること、パッチやアップデートを迅速に適用すること、VPNに関連しない機能を無効にしてVPNの攻撃対象を減らすことなどが挙げられます。
NSA is releasing this guidance as part of our mission to help secure the Department of Defense, National Security Systems and the Defense Industrial Base. NSAは、国防総省、国家安全保障システム、国防産業基盤の安全確保を支援するという使命の一環として、このガイダンスを公開しています。
For more details on how to select a secure VPN and further harden your network, read the full Information Sheet here. 安全なVPNを選択し、ネットワークをさらに強化する方法の詳細については、こちらの情報シートをご覧ください。
For more cybersecurity guidance, visit NSA.gov/cybersecurity. その他のサイバーセキュリティガイダンスについては、NSA.gov/cybersecurityをご覧ください。

| | Comments (0)

NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

こんにちは、丸山満彦です。

NISTが、SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項を公表し、意見募集をしていますね。。。

NIST - ITL

・2021.09.30 SP 800-218 (Draft) Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities

SP 800-218 (Draft) Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項
Announcement 発表事項
This document will replace the NIST Cybersecurity White Paper released in April 2020 which defined the original Secure Software Development Framework (SSDF), and it includes a change log summarizing the major changes from the April 2020 version. NIST used inputs from the public and its June 2021 workshop to shape SSDF version 1.1 in support of NIST's responsibilities under Executive Order (EO) 14028. The new SSDF draft also includes mappings from EO 14028 clauses to the SSDF practices and tasks that help address each clause. この文書は、オリジナルのセキュアソフトウェア開発フレームワーク(SSDF)を定義した2020年4月に発表されたNIST Cybersecurity White Paperを置き換えるもので、2020年4月版からの主な変更点をまとめた変更ログも含まれています。NISTは、大統領令(EO)14028に基づくNISTの責任をサポートするために、一般市民からのインプットと2021年6月のワークショップを利用してSSDFバージョン1.1を策定しました。新しい SSDF のドラフトには、EO 14028 の条項と、各条項に対応するための SSDF の実践とタスクとの対応付けも含まれています。
Few software development life cycle (SDLC) models explicitly address software security in detail, so secure software development practices usually need to be added to each SDLC model to ensure the software being developed is well secured. Draft SP 800-218 recommends a core set of high-level secure software development practices called the SSDF that can be integrated within each SDLC implementation. Following these practices should help software producers reduce the number of vulnerabilities in released software, mitigate the potential impact of the exploitation of undetected or unaddressed vulnerabilities, and address the root causes of vulnerabilities to prevent future recurrences. Also, because the framework provides a common vocabulary for secure software development, software purchasers and consumers can use it to foster communications with suppliers in acquisition processes and other management activities. ソフトウェア開発ライフサイクル(SDLC)モデルの中で、ソフトウェアセキュリティを詳細に明示的に扱っているものはほとんどありません。そのため、開発中のソフトウェアが十分にセキュリティ保護されていることを確認するためには、通常、各SDLCモデルにセキュアなソフトウェア開発プラクティスを追加する必要があります。ドラフトSP 800-218では、SSDFと呼ばれるハイレベルなセキュアソフトウェア開発プラクティスのコアセットを推奨しており、各SDLCの実装に統合することができます。これらのプラクティスに従うことで、ソフトウェア製作者は、リリースされたソフトウェアの脆弱性の数を減らし、未検出または未対処の脆弱性が悪用された場合の潜在的な影響を緩和し、将来の再発を防ぐために脆弱性の根本原因に対処することができます。また、このフレームワークは、安全なソフトウェア開発のための共通の語彙を提供しているため、ソフトウェアの購入者および消費者は、買収プロセスやその他の管理活動においてサプライヤーとのコミュニケーションを促進するために使用することができます。
Abstract 概要
Few software development life cycle (SDLC) models explicitly address software security in detail, so secure software development practices usually need to be added to each SDLC model to ensure that the software being developed is well-secured. This document recommends the Secure Software Development Framework (SSDF) – a core set of high-level secure software development practices that can be integrated into each SDLC implementation. Following these practices should help software producers reduce the number of vulnerabilities in released software, mitigate the potential impact of the exploitation of undetected or unaddressed vulnerabilities, and address the root causes of vulnerabilities to prevent future recurrences. Because the framework provides a common vocabulary for secure software development, software purchasers and consumers can also use it to foster communications with suppliers in acquisition processes and other management activities. ソフトウェア開発ライフサイクル(SDLC)モデルの中で、ソフトウェアのセキュリティを明示的に詳細に扱っているものはほとんどありません。そのため、開発するソフトウェアのセキュリティを確保するためには、通常、各SDLCモデルにセキュアなソフトウェア開発手法を追加する必要があります。このドキュメントでは、セキュアソフトウェア開発フレームワーク(SSDF)を推奨しています。SSDFは、各SDLCの実装に統合可能な、高レベルのセキュアソフトウェア開発プラクティスのコアセットです。これらのプラクティスに従うことで、ソフトウェア製造者は、リリースされたソフトウェアの脆弱性の数を減らし、未検出または未対処の脆弱性が悪用された場合の潜在的な影響を軽減し、将来の再発を防ぐために脆弱性の根本原因に対処することができます。このフレームワークは、安全なソフトウェア開発のための共通の語彙を提供するものであるため、ソフトウェアの購入者および利用者は、取得プロセスやその他の管理活動においてサプライヤーとのコミュニケーションを促進するためにも使用することができます。

 

・[PDF] SP 800-218 (Draft)

20220205-150408

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
2 The Secure Software Development Framework 2 安全なソフトウェア開発フレームワーク
References 参考文献
Appendix A The SSDF and Executive Order 14028 附属書A SSDFとExecutive Order 14028
Appendix B Acronyms 附属書B 頭字語
Appendix C Change Log 附属書C 変更履歴

 

| | Comments (0)

2021.10.01

NIST 白書 NISTサイバーセキュリティフレームワークと北米電力信頼度協議会 (NERC) 重要インフラ保護基準の最新マッピングの利点

こんにちは、丸山満彦です。

NISTがNISTサイバーセキュリティフレームワークと北米電力信頼度協議会 (NERC) の最新マッピングの利点についての白書を公表していますね。。。

マッピングなので、ページ数は8ページです。。。

NIST - ITL

・2021.09.29 White Paper Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards

 

White Paper Benefits of an Updated Mapping between the NIST Cybersecurity Framework and the NERC Critical Infrastructure Protection Standards 白書 NISTサイバーセキュリティフレームワークとNERC重要インフラ保護基準の最新マッピングの利点
Abstract 概要
This white paper highlights a recent mapping effort between the North American Electric Reliability Corporation (NERC) Critical Infrastructure Protection (CIP) standards and the NIST Cybersecurity Framework. Mappings of these two frameworks have been performed in the past; this effort updated the mapping to reflect the currently enforceable NERC CIP Standards and the NIST Cybersecurity Framework v1.1. This white paper helps organizations understand how they can use the mapping to achieve a more mature CIP requirement compliance program while improving their security posture and potentially reducing the organization's security and business risk. 本白書では、北米電力信頼度協議会(NERC)の重要インフラ保護(CIP)規格と、NISTのサイバーセキュリティフレームワークとの間の最近のマッピング作業を紹介しています。この2つのフレームワークのマッピングはこれまでにも行われてきましたが、今回の作業では、現在施行されているNERC CIP規格とNIST Cybersecurity Framework v1.1を反映させるためにマッピングを更新しました。このホワイトペーパーでは、マッピングを利用して、より成熟したCIP要求事項のコンプライアンスプログラムを実現する方法を理解していただくとともに、セキュリティ態勢を改善し、組織のセキュリティリスクとビジネスリスクを低減できる可能性があります。

 

White Paper

20211001-180406

 

 

Continue reading "NIST 白書 NISTサイバーセキュリティフレームワークと北米電力信頼度協議会 (NERC) 重要インフラ保護基準の最新マッピングの利点"

| | Comments (0)

NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

こんにちは、丸山満彦です。

NISTがSP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施を公開し、意見募集をしていますね。。。

NIST - ITL

・2021.09.29 SP 800-204C (Draft) Implementation of DevSecOps for a Microservices-based Application with Service Mesh

 

SP 800-204C (Draft) Implementation of DevSecOps for a Microservices-based Application with Service Mesh SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施
Announcement 発表内容
The newest generation of software applications—"cloud-native applications"—is a class with various functional layers, such as transaction logic, application services, infrastructure resources, policy enforcement, and monitoring of states. The unique architecture of this application class requires a more agile software life cycle paradigm, and DevSecOps (development, security, and operations) offers faster deployment and updates, while integrating security throughout the life cycle. 最新世代のソフトウェア・アプリケーションである「クラウド・ネイティブ・アプリケーション」は、トランザクション・ロジック、アプリケーション・サービス、インフラストラクチャ・リソース、ポリシーの施行、状態の監視など、さまざまな機能層を持つクラスです。このアプリケーションクラスのユニークなアーキテクチャは、よりアジャイルなソフトウェアライフサイクルのパラダイムを必要とし、DevSecOps(開発、セキュリティ、運用)は、ライフサイクル全体でセキュリティを統合しながら、より迅速な展開と更新を実現します。
Draft NIST SP 800-204C provides guidance for the implementation of DevSecOps primitives for a reference platform hosting a cloud-native application with the functional layers described above. The guidance also discusses the benefits of this approach for high security assurance and enabling continuous authority to operate (C-ATO). ドラフトNIST SP 800-204Cでは、上記のような機能レイヤーを持つクラウドネイティブ・アプリケーションをホストするリファレンス・プラットフォームに対する、DevSecOpsプリミティブの実装に関するガイダンスを提供しています。また、このガイダンスでは、高いセキュリティ保証と継続的な運用権限(C-ATO)の実現に向けたこのアプローチの利点についても説明しています。
Abstract 概要
Cloud-native applications have evolved into a standardized architecture consisting of multiple loosely coupled components called microservices (implemented as containers), supported by code for providing application services called service mesh. Both of these components are hosted on a container orchestration and resource management platform, which is called a reference platform in this document. Due to security, business competitiveness, and its inherent structure (loosely coupled application components), this class of applications needs a different application development, deployment, and runtime paradigm. DevSecOps (consisting of three acronyms for Development, Security, and Operations, respectively) has been found to be a facilitating paradigm for these applications with primitives such as Continuous Integration, Continuous Delivery, and Continuous Deployment (CI/CD) pipelines. These pipelines are workflows for taking the developer’s source code through various stages, such as building, testing, packaging, deployment, and operations supported by automated tools with feedback mechanisms. In addition to the application code, and the code for application services (service mesh), the architecture has functional elements for infrastructure (computing, networking, and storage resources), runtime policies (authentication, authorization etc.) and continuous monitoring of the health of the application (Observability), which can be deployed through declarative codes. Thus, separate CI/CD pipelines can be created for all of the five code types. クラウドネイティブアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネント(コンテナとして実装)と、サービスメッシュと呼ばれるアプリケーションサービスを提供するためのコードでサポートされた標準的なアーキテクチャに進化しています。これらのコンポーネントはいずれも、コンテナのオーケストレーションとリソース管理を行うプラットフォーム上でホストされています。このプラットフォームを本書ではリファレンスプラットフォームと呼びます。このクラスのアプリケーションは、セキュリティ、ビジネス上の競争力、およびその固有の構造(アプリケーション・コンポーネントの疎結合)のために、異なるアプリケーション開発、デプロイメント、およびランタイム・パラダイムが必要です。DevSecOps(Development(開発)、Security(セキュリティ)、Operation(運用)の3つの頭文字をとったもの)は、継続的インテグレーション、継続的デリバリ、継続的デプロイメント(CI/CD)パイプラインなどのプリミティブにより、これらのアプリケーションを促進するパラダイムであることがわかっています。これらのパイプラインは、開発者のソースコードを、構築、テスト、パッケージ化、デプロイメント、運用などのさまざまな段階を経て、フィードバックメカニズムを備えた自動化ツールでサポートするワークフローです。アーキテクチャには、アプリケーションコード、アプリケーションサービスのコード(サービスメッシュ)に加えて、インフラ(コンピューティング、ネットワーキング、ストレージリソース)、ランタイムポリシー(認証、認可など)、アプリケーションの健全性の継続的な監視(Observability)などの機能要素があり、これらは宣言型コードによって展開することができます。したがって、5つのコードタイプのすべてに対して、個別のCI/CDパイプラインを作成することができます。
The objective of this document is to provide guidance for the implementation of DevSecOps primitives for a reference platform hosting a cloud-native application with the functional elements described above. The benefits of this approach for high security assurance and for enabling continuous authority to operate (C-ATO) are also discussed. このドキュメントの目的は、上述の機能要素を持つクラウドネイティブアプリケーションをホストするリファレンスプラットフォームに、DevSecOpsプリミティブを実装するためのガイダンスを提供することです。また、高いセキュリティ保証と継続的な運用権限(C-ATO)を実現するためのこのアプローチの利点についても説明します。

 

・[PDF]  SP 800-204C (Draft)

20211001-171841

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Scope 1.1 範囲
1.2 Related DevSecOps Initiatives 1.2 関連するDevSecOpsの取り組み
1.3 Target Audience 1.3 対象となる読者
1.4 Relationship to Other NIST Guidance Documents 1.4 他のNISTガイダンス文書との関係
1.5 Organization of this document 1.5 本文書の構成
2 Reference Platform for the Implementation of DevSecOps Primitives 2 DevSecOpsのプリミティブを実装するためのリファレンス・プラットフォーム
2.1 Container Orchestration and Resource Management Platform 2.1 コンテナオーケストレーションおよびリソース管理プラットフォーム
2.1.1 Security Limitations of Orchestration Platform 2.1.1 オーケストレーション・プラットフォームのセキュリティ上の制限事項
2.2 Service Mesh Software Architecture 2.2 サービスメッシュソフトウェアアーキテクチャ
2.2.1 Data Plane  2.2.1 データプレーン 
2.2.2 Control Plane 2.2.2 コントロール・プレーン
3 DevSecOps – Organizational Preparedness, Key Primitives, and Implementation 3 DevSecOps - 組織的準備、主要なプリミティブ、および実装
3.1 Organizational Preparedness for DevSecOps 3.1 DevSecOpsを実現するための組織的準備
3.2 Seamless Evolution from DevOps to DevSecOps 3.2 「DevOps」から「DevSecOps」へのシームレスな進化
3.3 DevSecOps – Key Primitives and Implementation Tasks 3.3 DevSecOps - キー・プリミティブと実装タスク
3.3.1 Concept of Pipelines and the CI/CD pipeline 3.3.1 パイプラインの概念とCI/CDパイプライン
3.3.2 Building Blocks for CI/CD pipelines 3.3.2 CI/CDパイプラインのビルディングブロック
3.3.3 Designing and Executing the CI/CD pipeline 3.3.3 CI/CDパイプラインの設計と実行
3.3.4 Strategies for Automation . 3.3.4 自動化のための戦略 .
3.3.5 Requirements for Automation Tools in CI/CD Pipelines 3.3.5 CI/CDパイプラインにおける自動化ツールの要件
4 Implementing DevSecOps Primitives for the Reference Platform 4 リファレンス・プラットフォームへのDevSecOpsプリミティブの実装
4.1 Code Types in Reference Platform and Associated CI/CD Pipelines 4.1 リファレンス・プラットフォームのコード・タイプと関連するCI/CDパイプラ イン
4.2 CI/CD Pipeline for Application Code and Application Services Code 4.2 アプリケーション・コードとアプリケーション・サービス・コードのCI/CDパイプライン
4.3 CI/CD Pipeline for Infrastructure as Code 4.3 Infrastructure as CodeのCI/CDパイプライン
4.3.1 Comparison of Configuration and Infrastructure 4.3.1 構成とインフラの比較
4.4 CI/CD Pipeline for Policy as Code 4.4 Policy as CodeのためのCI/CDパイプライン
4.5 CI/CD Pipeline for Observability as Code 4.5 コードとしての観測性のためのCI/CDパイプライン
4.6 Securing the CI/CD Pipeline 4.6 CI/CDパイプラインの安全性確保
4.7 Workflow Models in CI/CD Pipelines 4.7 CI/CDパイプラインにおけるワークフローモデル
4.7.1 GitsOps Workflow Model for CI/CD – A Pull-based Model 4.7.1 CI/CDのためのGitsOpsワークフローモデル - プルベースのモデル
4.8 Security Testing – Common Requirement for CI/CD Pipelines for All Code Types 4.8 セキュリティテスト - 全てのコードタイプのCI/CDパイプラインの共通要件
4.8.1 Functional and Coverage Requirements for AST tools 4.8.1 ASTツールの機能要件とカバレッジ要件
4.9 Benefits of DevSecOps Primitives to Application Security in the Service Mesh 4.9 サービス・メッシュにおけるアプリケーション・セキュリティに対するDevSecOpsプリミティブの利点
4.10 Leveraging DevSecOps for Continuous Authorization to Operate (c-ATO)  4.10 DevSecOpsを活用したc-ATO(Continuous Authorization to Operate)の実現 
5 Summary and Conclusion 5 まとめと結論
References 参考文献

 

Executive Summary  エグゼクティブサマリー 
Cloud-native applications have evolved into a standardized architecture consisting of the following components:  クラウドネイティブなアプリケーションは、以下のコンポーネントで構成される標準的なアーキテクチャに進化しています。
• Multiple loosely coupled components called microservices (implemented as containers)   ・マイクロサービスと呼ばれる疎結合の複数のコンポーネント(コンテナとして実装される  )
• An application services infrastructure called Service Mesh (providing services such as secure communication, authentication, and authorization for users, services, and devices)  ・サービスメッシュと呼ばれるアプリケーションサービス基盤(ユーザー、サービス、デバイスのセキュアな通信、認証、承認などのサービスを提供する)。
Due to security, business competitiveness, and its inherent structure (loosely coupled application components), this class of applications needs a different application, deployment, and runtime monitoring paradigm – collectively called the software life cycle paradigm. DevSecOps (consisting of three acronyms for Development, Security, and Operations, respectively) is one of the facilitating paradigms for the development, deployment, and operation of these applications with primitives such as Continuous Integration, Continuous Delivery, and Continuous Deployment (CI/CD) pipelines.   このクラスのアプリケーションは、セキュリティやビジネス上の競争力、そしてアプリケーションコンポーネントの疎結合という固有の構造により、アプリケーション、デプロイメント、ランタイムモニタリングのパラダイムが異なります。DevSecOps(Development(開発)、Security(セキュリティ)、Operation(運用)の3つの頭文字)は、継続的インテグレーション、継続的デリバリ、継続的デプロイメント(CI/CD)パイプラインなどのプリミティブを用いて、これらのアプリケーションの開発、デプロイ、運用を促進するパラダイムの1つです。 
CI/CD pipelines are workflows for taking the developer’s source code through various stages, such as building, functional testing, security scanning for vulnerabilities, packaging, and deployment supported by automated tools with feedback mechanisms. In addition to the application code and the code for providing application services, this architecture may be made up of functional elements for infrastructure, runtime policies (such as zero trust policy), and continuous monitoring of the health of the application, the last three of which can be deployed through declarative codes. Thus, separate CI/CD pipelines can be created for all five code types. The runtime behavior of each of these code types is also described to highlight the roles that they play in the overall execution of the application.   CI/CDパイプラインとは、開発者が作成したソースコードを、ビルド、機能テスト、脆弱性のセキュリティスキャン、パッケージング、デプロイなどの様々な段階を経て、フィードバックメカニズムを備えた自動ツールでサポートするワークフローのことです。このアーキテクチャは、アプリケーションコードとアプリケーションサービスを提供するコードに加えて、インフラ、ランタイムポリシー(ゼロトラストポリシーなど)、アプリケーションの健全性の継続的な監視などの機能要素で構成されている場合があり、最後の3つは宣言型コードでデプロイすることができます。したがって、5つのコードタイプすべてに対して、個別のCI/CDパイプラインを作成することができます。また、これらのコードタイプの実行時の動作についても説明し、アプリケーションの全体的な実行においてコードタイプが果たす役割を明らかにします。 
Though cloud-native applications have a common architectural stack, the platform on which the components of the stack run may vary. The platform is an abstraction layer over a physical (bare metal) or virtualized (e.g., virtual machines, containers) infrastructure. In this document, the chosen platform is a container orchestration and resource management platform (e.g., Kubernetes). To unambiguously refer to this platform or application environment throughout this document, it is called the Reference Platform for DevSecOps Primitives, or simply the reference platform. 

クラウドネイティブアプリケーションには共通のアーキテクチャスタックがありますが、スタックのコンポーネントが実行されるプラットフォームはさまざまです。プラットフォームとは、物理的(ベアメタル)または仮想化(仮想マシン、コンテナなど)されたインフラストラクチャ上の抽象化レイヤーのことです。本書では、コンテナのオーケストレーションとリソース管理のためのプラットフォーム(Kubernetesなど)を選択しています。本書では、このプラットフォームやアプリケーション環境を明確に示すために、DevSecOps Primitivesのリファレンス・プラットフォーム、または単にリファレンス・プラットフォームと呼びます。 
The objective of this document is to provide guidance for the implementation of DevSecOps primitives for the reference platform. The benefits of this implementation for high security assurance and the use of the artifacts within the pipelines for providing continuous authority to operate (C-ATO) using risk management tools and dashboard metrics are also described.   この報告書の目的は、リファレンス・プラットフォームに対するDevSecOpsプリミティブの実装に関するガイダンスを提供することです。また、高いセキュリティ保証を実現するためのこの実装の利点と、リスク管理ツールとダッシュボード・メトリクスを使用して継続的な運営権限(C-ATO)を提供するためのパイプライン内の成果物の使用についても説明しています。 

 

| | Comments (0)

NIST SP 800-214 2020年度サイバーセキュリティ・プライバシー年次報告書

こんにちは、丸山満彦です。

NIST SP.800-214はサイバーセキュリティ・プライバシーについてのプ2020年度年次報告書ですね。

 

NIST - ITL

・2021.09.28 SP 800-214 2020 Cybersecurity and Privacy Annual Report

・[PDF] SP 800-214

20211001-161712

1 Cybersecurity Awareness and Education  サイバーセキュリティの啓発と教育 
2 Identity and Access Management アイデンティティとアクセス管理
3 Metrics and Measurement 測定基準と測定
4 Risk Management リスクマネジメント
5 Privacy Engineering  プライバシーエンジニアリング 
6 Emerging Technologies 新規技術
7 Cryptographic Standards and Validation 暗号の標準化と検証
8 Trustworthy Networks 信頼性の高いネットワーク
9 Trustworthy Platforms 信頼性の高いプラットフォーム

 

 

なお、過去分

・2020.08.24 SP 800-211 2019 NIST / ITL Cyber​​security Program Annual Report

・[PDF] SP 800-211

1 Advancing Cybersecurity and Privacy Standards サイバーセキュリティとプライバシーの標準化の進化
2 Enhancing Risk Management リスク管理の強化
3 Strengthening Cryptographic Standards and Validation 暗号標準と検証の強化
4 Advanced Cybersecurity Research & Applications Development 先端サイバーセキュリティ研究・応用開発
5 Improving Cybersecurity Awareness, Training, and Education and Workforce Development サイバーセキュリティについての意識向上、トレーニング、教育、人材育成
6 Enhancing Identity and Access Management アイデンティティとアクセス管理の強化
7 Bolstering Communications and Infrastructure Protection 通信・インフラ保護の強化
8 Securing Emerging Technologies 新技術の確保
9 Advancing Security Test and Measurement Tools セキュリティテストと測定ツールの進化

 

・2020.03.13 SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

・[PDF] SP 800-206 

Introduction はじめに
Imperative 1 – Advancing Cybersecurity and Privacy Standards 必須事項 1 - サイバーセキュリティとプライバシー基準の推進
Imperative 2 – Enhancing Risk Management 必須事項 2 - リスクマネジメントの強化
Imperative 3 – Strengthening Cryptographic Standards and Validation 必須事項 3 - 暗号の標準と検証の強化
Imperative 4 – Advancing Cybersecurity Research and Applications Development 必須事項 4 - サイバーセキュリティの研究・応用開発の推進
Imperative 5 – Improving Cybersecurity Awareness, Training, Education, and Workforce Development 必須事項 5 - サイバーセキュリティの意識向上、トレーニング、教育、人材開発
Imperative 6 – Enhancing Identity and Access Management 必須事項 6 - アイデンティティとアクセス管理の強化
Imperative 7 – Bolstering Infrastructure Protection  必須事項 7 - インフラストラクチャの保護強化 
Imperative 8 – Securing Emerging Technologies 必須事項 8 - 新規技術の保護
Imperative 9 – Advancing Security Test and Measurement Tools 必須事項 9 - セキュリティのテストと測定ツールの推進

 

・2018.07.02 SP 800-203 2017 NIST/ITL Cybersecurity Program Annual Report

・[PDF] SP 800-203

1 ITL INVOLVEMENT WITH INTERNATIONAL IT SECURITY STANDARDS 国際ITセキュリティ標準へのITLの関与
2 RISK MANAGEMENT リスク管理
3 BIOMETRIC STANDARDS AND ASSOCIATED CONFORMITY ASSESSMENT TESTING TOOLS バイオメトリクス標準と関連する適合性評価試験ツール
4 CYBERSECURITY APPLICATIONS サイバーセキュリティアプリケーション
5 SOFTWARE ASSURANCE & QUALITY ソフトウェアの保証と品質
6 FEDERAL CYBERSECURITY RESEARCH AND DEVELOPMENT (R&D) 連邦サイバーセキュリティ調査研究
7 COMPUTER FORENSICS コンピュータ・フォレンジック
8 CYBERSECURITY AWARENESS, TRAINING, EDUCATION, AND OUTREACH サイバーセキュリティに関する知識・訓練・教育・アウトリーチ
9 CRYPTOGRAPHIC STANDARDS PROGRAM 暗号標準化プログラム
10 VALIDATION PROGRAMS バリデーションプログラム
11 IDENTITY AND ACCESS MANAGEMENT ID ・アクセス管理
12 RESEARCH IN EMERGING TECHNOLOGIES 新規技術の研究
13 NATIONAL CYBERSECURITY CENTER OF EXCELLENCE (NCCoE) ナショナル・サイバーセキュリティ・センター・オブ・エクセレンス (NCCoE)
14 INTERNET INFRASTRUCTURE PROTECTION インターネットインフラ保護
15 ADVANCED SECURITY TESTING AND MEASUREMENTS 高度なセキュリティ試験と測定
16 TECHNICAL SECURITY METRICS 技術的な安全性の指標
17 USABILITY AND SECURITY 利便性とセキュリティ

 

 

 

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2020.08.26 NIST/ITLのサイバーセキュリティプログラム年次報告書2019

・2020.03.15 NIST SP 800-206 Annual Report 2018: NIST/ITL Cybersecurity Program

| | Comments (0)

NIST SP 1800-10 (ドラフト) 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ at 2021.09.23

こんにちは、丸山満彦です。

NISTがSP 1800-10 (ドラフト) 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ を公表し、意見募集をしていました。。。

 

SP 1800-10 (Draft) Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector SP 1800-10 (ドラフト) 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ
Announcement 発表内容
Draft NIST SP 1800-10 provides a practical example solution to help manufacturers protect their Industrial Control Systems (ICS) from data integrity attacks. Manufacturers are increasingly relying on ICS to monitor and control physical processes to produce goods for public consumption. ICS has also helped manufacturers boost productivity, but it has made them more vulnerable to cyber threats such as malware, malicious insider activity, even human error.  As technology and operations become more integrated, manufacturers can use this guide to improve their security, reduce the likelihood of data integrity breaches, and better protect their operating systems.   ドラフトNIST SP 1800-10は、製造業が産業用制御システム(ICS)をデータインテグリティ攻撃から保護するための実践的なソリューション例を提供します。製造業者は、一般消費者向けの商品を生産するための物理的なプロセスを監視および制御するために、ますますICSに依存するようになっています。ICSは製造業の生産性向上にも貢献していますが、マルウェアや悪意のある内部犯行、さらにはヒューマンエラーなどのサイバー脅威に対して脆弱になっています。 テクノロジーとオペレーションの統合が進む中、メーカーは本ガイドを活用することで、セキュリティを向上させ、データインテグリティ侵害の可能性を低減し、オペレーティングシステムをよりよく保護することができます。 
Abstract 概要
Today’s manufacturing organizations rely on industrial control systems (ICS) to conduct their operations. Increasingly, ICS are facing more frequent, sophisticated cyber attacks—making manufacturing the second-most-targeted industry. Cyber attacks against ICS threaten operations and worker safety, resulting in financial loss and harm to the organization’s reputation. 今日の製造業の組織は,業務を遂行するために産業用制御システム(ICS)に依存しています。ICSへのサイバー攻撃は、より頻繁に、より巧妙に行われており、製造業は2番目に標的とされている産業となっています。ICSに対するサイバー攻撃は、オペレーションや作業員の安全を脅かし、経済的損失や組織の評判の低下を招きます。
The architecture and solutions presented in this guide are built upon standards-based, commercially available products, and represent some of the possible solutions. The solutions implement standard cybersecurity capabilities such as behavioral anomaly detection (BAD), application allowlisting, file integrity-checking, change control management, and user authentication and authorization. The solution was tested in two distinct lab settings: a discrete manufacturing workcell, which represents an assembly line production, and a continuous process control system, which represents chemical manufacturing industries. 本ガイドに掲載されているアーキテクチャとソリューションは、標準規格に準拠した市販の製品をベースに構築されており、可能なソリューションの一部を示しています。このソリューションは、行動異常検知(BAD)、アプリケーションの許可リスト、ファイルの整合性チェック、変更管理、ユーザの認証・許可など、標準的なサイバーセキュリティ機能を実装しています。このソリューションは、2つの異なるラボ環境でテストされました。すなわち、組立ライン生産を表す個別の製造ワークセルと、化学製造業を表す連続プロセス制御システムです。
An organization that is interested in protecting the integrity of a manufacturing system and information from destructive malware, insider threats, and unauthorized software should first conduct a risk assessment and determine the appropriate security capabilities required to mitigate those risks. Once the security capabilities are identified, the sample architecture and solution presented in this document may be used. 破壊的なマルウェアやインサイダー脅威、不正なソフトウェアから製造システムや情報の完全性を守りたいと考えている組織は、まずリスク評価を行い、それらのリスクを軽減するために必要な適切なセキュリティ機能を決定する必要があります。セキュリティ機能が特定されたら、本書で紹介するサンプルアーキテクチャとソリューションを使用することができます。
The security capabilities of the example solution are mapped to the NIST Cybersecurity Framework, the National Initiative for Cybersecurity Education Framework, and NIST Special Publication 800-53. このサンプルソリューションのセキュリティ機能は、NIST Cybersecurity Framework、National Initiative for Cybersecurity Education Framework、およびNIST Special Publication 800-53にマッピングされています。

 

・[PDF] Draft SP 1800-10

20211001-95518

 

Contents 目次
1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 解決策
1.2.1 Relevant Standards and Guidance 1.2.1 関連する規格とガイダンス
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
3 Approach 3 アプローチ
3.1 Audience 3.1 対象者
3.2 Scope 3.2 適用範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスク評価
3.4.1 Threats 3.4.1 脅威
3.4.2 Vulnerabilities 3.4.2 脆弱性
3.4.3 Risk 3.4.3 リスク
3.4.4 Security Control Map 3.4.4 セキュリティコントロールマップ
3.5 Technologies 3.5 テクノロジー
4 Architecture 4 アーキテクチャ
4.1 Manufacturing Process and Control System Description 4.1 製造プロセスと制御システムの説明
4.2 Cybersecurity for Smart Manufacturing Systems Architecture 4.2 スマートな製造システムのためのサイバーセキュリティのアーキテクチャ
4.3 Process Control System 4.3 プロセス制御システム
4.4 Collaborative Robotics System (CRS) 4.4 協働ロボットシステム(CRS)
4.5 Logical Network and Security Architectures 4.5 論理的ネットワークとセキュリティのアーキテクチャー
5 Security Characteristic Analysis 5 セキュリティ特性の分析
5.1 Assumptions and Limitations 5.1 前提条件と制限事項
5.2 Example Solution Testing 5.2 ソリューションのテスト例
5.2.1 Scenario 1: Protect Host from Malware Infection via USB 5.2.1 シナリオ1:USBによるマルウェア感染からホストを守る
5.2.2 Scenario 2: Protect Host from Malware Infection via Network Vector 5.2.2 シナリオ2:ネットワークベクターによるマルウェア感染からのホストの保護
5.2.3 Scenario 3: Protect Host from Malware via Remote Access Connections 5.2.3 シナリオ3:リモートアクセス接続によるマルウェアからのホストの保護
5.2.4 Scenario 4: Protect Host from Unauthorized Application Installation 5.2.4 シナリオ4:権限のないアプリケーションのインストールからのホストの保護
5.2.5 Scenario 5: Protect from Unauthorized Addition of a Device 5.2.5 シナリオ5:許可されていないデバイスの追加からの保護
5.2.6 Scenario 6: Detect Unauthorized Device-to-Device Communications 5.2.6 シナリオ6:承認されていないデバイス間通信の検出
5.2.7 Scenario 7: Protect from Unauthorized Deletion of Files 5.2.7 シナリオ7:ファイルの不正削除からの保護
5.2.8 Scenario 8: Detect Unauthorized Modification of PLC Logic 5.2.8 シナリオ 8:PLCロジックの無許可の変更の検出
5.2.9 Scenario 9: Protect from Modification of Historian Data 5.2.9 シナリオ9:ヒストリアンデータの修正からの保護
5.2.10 Scenario 10: Detect Sensor Data Manipulation 5.2.10 シナリオ10:センサデータの不正操作の検出
5.2.11 Scenario 11: Detect Unauthorized Firmware Modification 5.2.11 シナリオ11:未承認のファームウェア変更の検出
5.3 Scenarios and Findings 5.3 シナリオと所見
5.3.1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes 5.3.1 PR.AC-1:認証されたデバイス、ユーザ、およびプロセスに対して、アイデンティティとクレデンシャルが発行、管理、 検証、失効、および監査される。
5.3.2 PR.AC-3: Remote access is managed 5.3.2 PR.AC-3:リモートアクセスが管理されている。
5.3.3 PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties  5.3.3 PR.AC-4:最小特権および職務分離の原則を取り入れた、アクセス許可および権限の管理 
5.3.4 PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multifactor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)  5.3.4 PR.AC-7:ユーザー、デバイス、およびその他の資産が、取引のリスク(個人のセキュリティおよびプライバシ ーのリスク、およびその他の組織のリスクなど)に応じて認証される(単一要素、多要素など)。
5.3.5 PR.DS-1: Data-at-rest is protected . 5.3.5 PR.DS-1:滞留データが保護されている。
5.3.6 PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity  5.3.6 PR.DS-6:ソフトウェア、ファームウェア、および情報の完全性を検証するために、完全性チェックメカニズ ムを使用する。
5.3.7 PR.IP-4: Backups of information are conducted, maintained, and tested . 5.3.7 PR.IP-4:情報のバックアップが実施、維持、およびテストされている。
5.3.8 PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools  5.3.8 PR.MA-1:承認・管理されたツールを使用して、組織の資産の保守および修理を行い、記録する。
5.3.9 PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access . 5.3.9 PR.MA-2:組織資産のリモートメンテナンスは、承認され、ログに記録され、不正アクセスを防止する方法で実施される。
5.3.10 DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed  5.3.10 DE.AE-1:ネットワーク運用のベースライン、およびユー ザとシステムの予想されるデータフローを確立し、管理する。
5.3.11 DE.AE-2: Detected events are analyzed to understand attack targets and methods  5.3.11 DE.AE-2:攻撃目標および方法を理解するために、検出されたイベントが分析される。
5.3.12 DE.AE-3: Event data are collected and correlated from multiple sources and sensors .   . 5.3.12 DE.AE-3:イベントデータが複数のソースおよびセンサから収集され、相関されている。
5.3.13 DE.CM-1: The network is monitored to detect potential cybersecurity events  5.3.13 DE.CM-1:潜在的なサイバーセキュリティイベントを検知するためにネットワークを監視する。
5.3.14 DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events 4 5.3.14 DE.CM-3:潜在的なサイバーセキュリティイベントを検知するために要員の活動を監視する 4
5.3.15 DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed  5.3.15 DE.CM-7:未承認の人員、接続、デバイス、およびソフトウェアの監視が実施されている。
6 Future Build Considerations 6 将来の構築に関する検討事項
Appendix A List of Acronyms 附属書A 頭字語のリスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Scenario Execution Results 附属書D シナリオ実行結果
D.1 Executing Scenario 1: Protect Host from Malware via USB D.1 シナリオ1の実行:USB経由のマルウェアからホストを保護する
D.2 Executing Scenario 2: Protect Host from Malware via Network Vector D.2 シナリオ2の実行:ネットワークベクトルを介したマルウェアからのホストの保護
D.3 Executing Scenario 3: Protect Host from Malware via Remote Access  Connections D.3 シナリオ3の実行:リモートアクセス接続によるマルウェアからのホストの保護
D.4 Executing Scenario 4: Protect Host from Unauthorized Application Installation . D.4 シナリオ4の実行:許可されていないアプリケーションのインストールからのホストの保護 .
D.5 Executing Scenario 5: Protect from Unauthorized Addition of a Device D.5 シナリオ5の実行:許可されていないデバイスの追加からの保護
D.6 Executing Scenario 6: Detect Unauthorized Device-to-Device Communications D.6 シナリオ6の実行:不正なデバイス間通信の検出
D.7 Executing Scenario 7: Protect from Unauthorized Deletion of Files D.7 シナリオ7の実行:ファイルの不正削除からの保護
D.8 Executing Scenario 8: Detect Unauthorized Modification of PLC Logic D.8 シナリオ8の実行:PLC ロジックの不正な変更の検出
D.9 Executing Scenario 9: Protect from Modification of Historian Data D.9 シナリオ9の実行:ヒストリアンデータの修正からの保護
D.10 Executing Scenario 10: Detect Sensor Data Manipulation D.10 シナリオ10の実行:センサーデータの操作の検出
D.11 Executing Scenario 11: Detect Unauthorized Firmware Modification D.11 シナリオ11の実行:許可されていないファームウェアの変更の検出
Appendix E Benefits of IoT Cybersecurity Capabilities . 附属書E IoTのサイバーセキュリティ機能のメリット .
E.1 Device Capabilities Mapping E.1 デバイス機能のマッピング
E.2 Device Capabilities Supporting Functional Test Scenarios E.2 機能テストシナリオをサポートするデバイスの能力

 

Supplemental Material:

Laws and Regulations

| | Comments (0)

JR東海 顔認証を用いた改札機通過の実証実験を実施します

こんにちは、丸山満彦です。

JR東海が顔認証を用いた改札機通過の実証実験を実施すると発表していますね。。。

将来は、ICカードに変えて顔による確認を目指しているのでしょうね。今回の実証実験は、公共空間で広く顔をサーベイするのではなく、改札機の所で確認する方法のようですね。。。ICカードと顔による確認とふたつ行うようで、誤認識率とかを確認するのでしょうかね。。。JR社員を対象としているようですので、一般の人は参加できないんですね。。。

年齢、性別、人種とかによる違いもなく、幅広い人が公正にかつ安全に使えるようになればよいですね。。。慎重を期すのであれば、プライバシーやセキュリティ技術に詳しい有識者を含めた第三者委員会的なものを作って実証実験の成果、実証実験の適正性を担保するのがよいかもですね。。。

実証実験がうまくいくとよいですね。

 

JR東海

・2021.09.30 [PDF] 顔認証を用いた改札機通過の実証実験を実施します 

20211001-61023


顔認証用カメラの設置箇所と顔認証範囲について
・実施箇所の実験対象改札機の入場口・出場口の両方向にカメラを設置し、同改札機を通過する動画を常時撮影します。
・下記に示す範囲内を通過された場合、撮影した動画から顔画像を抽出し顔認証を行います(顔の特徴量を算出し、事前に登録したJR東海社員の特徴量と照合します)。
※顔認証範囲外では顔認証は行いません。(顔認証を避ける場合は、お手数ですが、別の改札機等をご利用ください)

お客様のご利用について
・実験箇所の実験対象改札機は一般のお客様も通常通りご利用いただけます。
・実証実験は、JR東海社員を対象に実施しておりますが、顔認証範囲内を通過された場合、お客様の顔認証も行います。(撮影した動画から顔画像を抽出し、顔の特徴量を算出します)
・実験箇所付近にご案内を掲示しますので、顔認証を避ける場合は、別の改札口もしくは、顔認証範囲外の改札機をご利用いただきますよう、ご協力をお願いします。

取得したデータ(動画・画像・特徴量)の取り扱いについて
・取得した動画から顔画像を抽出し、特徴量を算出して顔認証を行います。顔画像や特徴量は顔認証後、即時削除します。
・取得した動画のうち、JR東海社員が実験対象改札機を通過する動画を保管し、それ以外のものは、取得後 24 時間以内に削除します。
・JR東海社員が実験対象改札機を通過する動画に映り込んだお客様の画像は、原則として3週間以内に、個人を特定できないように加工します。
・保管した動画は独立したサーバ内にて管理し、本実証実験以外の目的には使用しません。
・保管した動画は、厳正に管理を行い 2022 年3月 31 日までに削除します。
・保管した動画は、必要な検証を行う目的で実証実験の国内協力企業に加工・分析を委託する場合があります。(委託した動画についても 2022 年3月 31 日までに削除します。)
個人情報の取り扱いについては、当社と同様に厳正な管理を行うとともに、本実証実験の目的外の使用は行いません。


 

 

| | Comments (0)

総務省 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表

こんにちは、丸山満彦です。

総務省が、「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果と「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」を公表していますね。。。

改定のポイントは次のようなことのようです。。。(別紙3 概要


改定のポイント①
SaaS/PaaS/IaaSの特性や、クラウドサービス提供におけるクラウドサービス同士の相関性を踏まえた責任分界のあり方について追記

改定のポイント②
上述の責任分界に関する整理を踏まえ、
✓ SaaS/PaaS/IaaSを提供するクラウドサービス事業者で共通的に実施が求められる情報セキュリティ対策
✓ SaaSを提供するクラウドサービス事業者に実施が求められる情報セキュリティ対策
✓ PaaS/IaaSを提供するクラウドサービス事業者に実施が求められる情報セキュリティ対策
の3つのパターンに整理する形で当ガイドラインの章構成を見直し

改定のポイント③
国際規格(ISO/IEC27017:2016)やNIST SP800-53 rev.5において記載されているセキュリティ対策と整合性をとる形で、当ガイドラインに記載されているセキュリティ対策の内容を見直し


 

総務省

・2021.09.30 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表

一般社団法人情報処理安全確保支援士会、株式会社ラック、ヴイエムウェア株式会社、株式会社セールスフォース・ドットコム、情報処理学会 情報規格調査会 SC 38専門委員会が意見を出していますね。。。

・[PDF] 別紙1:「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対して提出された意見及びその意見に対する考え方 

・[PDF]別紙2:クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)

20211001-51920

 

・[PDF]別紙3:クラウドサービス提供における情報セキュリティ対策ガイドラインの改定の概要について

20211001-54810

 

 


過去のガイドも含めて総務省の発表

● 総務省

・2021.09.30 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表

・2021.07.16 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集

・2018.07.31 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」の公表

・2018.06.15 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第2版)」(案)に対する意見募集

・2014.04.02 クラウドサービス提供における情報セキュリティ対策ガイドラインの公表

・2014.02.21「クラウドサービス提供における情報セキュリティ対策ガイドライン」(案)に対する意見募集

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.17 総務省 意見募集 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)

 

 

Continue reading "総務省 「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」(案)に対する意見募集の結果及び「クラウドサービス提供における情報セキュリティ対策ガイドライン(第3版)」の公表"

| | Comments (0)

« September 2021 | Main | November 2021 »