« October 2021 | Main | December 2021 »

November 2021

2021.11.30

NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

こんにちは、丸山満彦です。

NISTが、

  • SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立
  • SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ

の確定版を公表しましたね。。。

SP 800-53、NISTIR 8259NISTIR 8259ANISTIR 8259BNISTIR 8259CNISTIR 8379とも関係してくるのですが、その関係を理解するためのに、NISTの過去のブログの記事が参考になります。。。(NISTIR 8259Dは今回のタイミングで廃止され、内容はSP800-213Aの附属書Aに移っています。。。)

●NIST- Cybersecurity Insight

・2020.12.15 Rounding Up Your IoT Security Requirements: Draft NIST Guidance for Federal Agencies

Blog_1_v7

を踏まえた上で、、、

 

● NIST - ITL

・2021.11.29 SP 800-213 IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements

SP 800-213 IoT Device Cybersecurity Guidance for the Federal Government: Establishing IoT Device Cybersecurity Requirements SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立
Abstract 概要
Organizations will increasingly use Internet of Things (IoT) devices for the mission benefits they can offer, but care must be taken in the acquisition and implementation of IoT devices. This publication contains background and recommendations to help organizations consider how an IoT device they plan to acquire can integrate into a system. IoT devices and their support for security controls are presented in the context of organizational and system risk management. This publication provides guidance on considering system security from the device perspective. This allows for the identification of device cybersecurity requirements—the abilities and actions an organization will expect from an IoT device and its manufacturer and/or third parties, respectively. IoTデバイスが提供するミッション上のメリットを考慮して、組織はますますIoTデバイスを使用するようになるでしょうが、IoTデバイスの取得と実装には注意が必要です。本書では、取得を予定しているIoTデバイスがシステムにどのように統合されるかを組織が検討する際に役立つ背景と推奨事項を記載しています。IoTデバイスとそのセキュリティ管理への対応を、組織およびシステムのリスク管理の観点から紹介しています。本書では、デバイスの観点からシステムセキュリティを検討する際の指針を示しています。これにより、デバイスのサイバーセキュリティ要件(組織がIoTデバイスとその製造者および/またはサードパーティにそれぞれ期待する能力と行動)を特定することができます。

・[PDF]

20211130-62150

 

 

・2021.11.29 SP 800-213A IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog

SP 800-213A IoT Device Cybersecurity Guidance for the Federal Government: IoT Device Cybersecurity Requirement Catalog SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ
Abstract 概要
This publication provides a catalog of internet of things (IoT) device cybersecurity capabilities (i.e., features and functions needed from a device to support security controls) and non-technical supporting capabilities (i.e., actions and support needed from device manufacturers and other supporting entities to support security controls) that can help organizations as they use Special Publication (SP) 800-213 to determine and establish device cybersecurity requirements. This catalog cross references the capabilities in the catalog to the cybersecurity controls in NIST SP 800-53. Organizations should refer to SP 800-213 as that publication provides necessary context to effectively use this catalog and related material. 本書は、IoTデバイスのサイバーセキュリティ能力(セキュリティ対策をサポートするためにデバイスに必要な機能や特徴)と非技術的なサポート能力(セキュリティ対策をサポートするためにデバイスの製造者やその他のサポート団体に必要な行動やサポート)のカタログを提供するもので、組織がSP 800-213を使用してデバイスのサイバーセキュリティ要件を決定し確立する際に役立つものです。このカタログは、カタログ内の機能をNIST SP 800-53のサイバーセキュリティ対策と相互参照しています。SP 800-213は、本カタログおよび関連資料を効果的に使用するために必要なコンテキストを提供しているため、組織はSP 800-213を参照する必要があります。

 

・[PDF]

20211130-62335

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2021.09.13 NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.12.10 米国 2020年IoTサイバーセキュリティ改善法に大統領が署名し成立した

・2020.11.19 米国 2020年IoTサイバーセキュリティ改善法が上院を通過

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

 

 

Continue reading "NIST SP 800-213 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイスのサイバーセキュリティ要件の確立、SP 800-213A 連邦政府のためのIoTデバイスサイバーセキュリティ・ガイダンス:IoTデバイス・サイバーセキュリティ要件カタログ"

| | Comments (0)

ENISA 市民のサイバーセキュリティ意識向上に関する報告書を公表

こんにちは、丸山満彦です。

ENISAが、市民のサイバーセキュリティ意識向上に関する報告書を公表していますね。。。

 

● ENISA

・2021.11.29 (news) National Cybersecurity Strategies: with a vision on raising citizens’ awareness

National Cybersecurity Strategies: with a vision on raising citizens’ awareness 国家サイバーセキュリティ戦略:市民の意識向上を目指して
The European Union Agency for Cybersecurity (ENISA) under the framework of its 9th National Cybersecurity Strategies (NCSS) workshop, issued a report on cybersecurity awareness, with the aim to assist EU Member States in fostering their cybersecurity capacities on citizens. 欧州連合サイバーセキュリティ機関(ENISA)は、第9回国家サイバーセキュリティ戦略(NCSS)ワークショップの枠内で、EU加盟国が市民に対するサイバーセキュリティ能力を育成することを支援する目的で、サイバーセキュリティ意識に関する報告書を発行しました。
An ever-rising number of cyberattacks each year is a de facto, which in combination with the lack of appropriate guidelines and trainings highlights the urgent need for cybersecurity awareness. At the same time, communication about cybersecurity issues and awareness raising is not a straightforward endeavour. EU Member States need to take concrete actions towards this objective, which is more likely to be successful when the corresponding vision is incorporated in their national cybersecurity strategy. 毎年増え続けるサイバー攻撃はデファクトであり、適切なガイドラインやトレーニングの欠如と相まって、サイバーセキュリティ意識の緊急性が強調されています。同時に、サイバーセキュリティの問題に関するコミュニケーションや意識向上は、一筋縄ではいかない取り組みです。EU加盟国は、この目的に向けて具体的な行動を起こす必要がありますが、これは、対応するビジョンが国のサイバーセキュリティ戦略に組み込まれている場合に成功する可能性が高くなります。
In this context, ENISA organised today the 9th National Cybersecurity Strategies (NCSS) Workshop, an annual event dedicated on developments and good practices followed by EU Member States towards raising cybersecurity awareness. この観点から、ENISAは本日、第9回国家サイバーセキュリティ戦略(NCSS)ワークショップを開催しました。このワークショップは、サイバーセキュリティ意識の向上に向けてEU加盟国が実施している開発や優れた実践について議論する年次イベントです。
The report “Raising awareness as a key element of National Cybersecurity Strategies” was the main deliverable, presented by ENISA experts during the workshop. 報告書「Raising awareness as a key element of National Cybersecurity Strategies(国家サイバーセキュリティ戦略の重要な要素としての意識向上)」は、ワークショップでENISAの専門家が発表した主な成果物です。
The National Capabilities Assessment Framework (NCAF) tool was also announced and the development of a European Information Hub framework was addressed.   また、国家能力評価フレームワーク(NCAF)ツールが発表され、欧州情報ハブフレームワークの開発が取り上げられました。  
Objective of the Raising Awareness of Cybersecurity report Raising Awareness of Cybersecurity」レポートの目的
The ultimate aim of the report is to assist EU Member States in their efforts to further build their cybersecurity capacities by analysing best practices towards raising citizens’ awareness on cybersecurity. An overview and an analysis of EU Member States’ national awareness activities and plans, is thoroughly presented. 本報告書の最終的な目的は、サイバーセキュリティに関する市民の意識向上に向けたベストプラクティスを分析することにより、EU加盟国がサイバーセキュリティの能力をさらに高めるための努力を支援することです。EU加盟国の国内意識向上活動と計画の概要と分析を徹底的に紹介しています。
In doing so the report deep-dives into the methodologies and approaches followed by Member States that includes inter alias planning, awareness raising activities, performance indicators and impact made. For that effort, twenty structured interviews were conducted with the relevant national authorities, during the reference period from May to July 2021. この報告書では、加盟国が行っている方法論とアプローチを深く掘り下げています。その中には、特に計画、意識向上活動、パフォーマンス指標、インパクトの与え方などが含まれています。この取り組みのために、2021年5月から7月までの基準期間中に、関連する国家機関に20回の構造化インタビューを行いました。
Through the identification of good practices, challenges and lessons learnt, the report also proposes recommendations on how to increase the effectiveness of national awareness raising activities. 本報告書では、優れた事例、課題、学んだ教訓を明らかにすることで、各国の意識向上活動の効果を高めるための提言を行っています。
Recommendations in a nutshell 提言を要約すると
To increase the effectiveness of national awareness raising activities, recommendations are concentrated in the following four axes: 国の啓発活動の効果を高めるために、提言は以下の4つの軸に集約されています。
・Building capacities for cybersecurity awareness through National Cybersecurity Strategies (NCSS) to facilitate stakeholders towards understanding the scope and the necessity of cybersecurity awareness raising, as well as to whom it applies and what its main objectives are. ・国家サイバーセキュリティ戦略(NCSS)を通じて、サイバーセキュリティ意識向上のための能力を構築し、関係者がサイバーセキュリティ意識向上の範囲と必要性、誰に適用するか、その主な目的は何かを理解できるようにする。
・Regular assessments of cybersecurity trends and challenges by conducting analyses and reports of the threat environment. As an important step towards higher degree of awareness, since the wider public is the end-recipient. ・脅威環境の分析と報告を行うことで、サイバーセキュリティの傾向と課題を定期的に評価する。広く一般の人々が最終的な受信者であるため、意識向上への重要なステップとなる。
・Measuring cybersecurity behaviour that provides for quantitative measurement of cybersecurity, by taking into account thinking and behavioural patterns of EU citizens on cybersecurity. ・サイバーセキュリティに関するEU市民の考え方や行動パターンを考慮することで、サイバーセキュリティの定量的な測定を可能にするサイバーセキュリティ行動を測定する。
・Planning for cybersecurity awareness campaigns by enabling appropriate messaging in a professional manner. ・専門的な見地にもとづき適切なサイバーセキュリティ意識向上キャンペーンを企画する。
Target audience 想定読者
・Experts from National Authorities responsible for the designing and the implementation of cybersecurity awareness raising campaigns, as well as responsible for National Cybersecurity Strategies. ・サイバーセキュリティ意識向上キャンペーンの企画・実施を担当する国家機関の専門家、および国家サイバーセキュリティ戦略の責任者。
・European Institutions interested in cybersecurity awareness and skills.. ・サイバーセキュリティの啓発やスキルアップに関心のある欧州機関の方
・Business and the industry sector. ・ビジネスおよび産業部門
・Researchers and the academic community. ・研究者および学界
Other ENISA activities on National Cybersecurity Strategies (NCSS) 国家サイバーセキュリティ戦略(NCSS)に関するその他のENISAの活動
ENISA engages in a number of actions to support EU national authorities to enhance their capabilities in relation to the implementation and assessment of their National Cybersecurity Strategies. ENISAは、EUの国家機関が国家サイバーセキュリティ戦略の実施と評価に関連してその能力を強化することを支援するため、多くの活動に取り組んでいます。
Actions include: アクションには以下が含まれる。
The introduction of the National Capabilities Assessment Framework (NCAF tool) 国家能力評価フレームワーク(NCAFツール)の導入
ENISA in December 2020 issued the National Capabilities Assessment Framework (NCAF) report that provides to Member States a methodology to conduct an evaluation of their cybersecurity capabilities and to measure their maturity at national level by assessing their National Cybersecurity Strategies (NCSS) objectives. In continuation to the NCAF report, ENISA in the coming days will release the National Capabilities Assessment Framework Tool (NCAF Tool). ENISAは2020年12月に国家能力評価フレームワーク(NCAF)レポートを発行し、加盟国にサイバーセキュリティ能力の評価を実施し、国家サイバーセキュリティ戦略(NCSS)の目的を評価することで、国家レベルでの成熟度を測定するための方法論を提供している。NCAFレポートに続いて、ENISAは近日中に国家能力評価フレームワークツール(NCAFツール)をリリースします。
Why the National Capabilities Assessment Framework (NCAF) tool is important? なぜ国家能力評価フレームワーク(NCAF)ツールが重要なのか?
The NCAF tool provides Member States with the necessary means needed to support the assessment of their cybersecurity capabilities, in relation to the goals and objectives of their National Cybersecurity Strategies. Using the ENISA’s NCAF tool, policymakers, experts and government officials responsible for or involved in the designing, implementation and evaluation of the National Cybersecurity Strategies (NCSS), can ease and speed up this process by saving time and resources. NCAFツールは、加盟国に対し、国家サイバーセキュリティ戦略の目標と目的に関連して、サイバーセキュリティ能力の評価を支援するために必要な手段を提供します。ENISAのNCAFツールを使用することで、国家サイバーセキュリティ戦略(NCSS)の設計、実施、評価の責任者または関係者である政策立案者、専門家、政府関係者は、時間と資源を節約してこのプロセスを容易にし、迅速化することができます。
By performing such an assessment, Member States can enhance their awareness on cybersecurity maturity, identify areas for improvement and further develop cybersecurity capabilities at a national level. このような評価を行うことで、加盟国はサイバーセキュリティの成熟度に関する意識を高め、改善すべき分野を特定し、国家レベルでサイバーセキュリティ能力をさらに発展させることができる。
The development of a European Information Hub framework 欧州情報ハブフレームワークの開発
The NCSS workshop provided a good opportunity to also present a conceptual framework for the development of a European Information Hub. The European Information Hub is envisioned to be developed and serve as a one-stop-shop for cybersecurity information, directly accessible by the public. Via such a dedicated portal, ENISA aims to further contribute to Europe’s cyber resilience through the provision of relevant information and knowledge to interested stakeholders across the European Union, in a timely and user-friendly manner. NCSSワークショップは、欧州情報ハブの開発のための概念的枠組みを提示する良い機会となりました。欧州情報ハブは、一般市民が直接アクセスできるサイバーセキュリティ情報のワンストップショップとして開発・提供されることが想定されています。ENISAは、このような専用ポータルを介して、欧州連合内の利害関係者に関連する情報や知識をタイムリーかつユーザーフレンドリーな方法で提供することにより、欧州のサイバーレジリエンスにさらに貢献することを目指しています。
The information hub can also serve as an awareness-raising tool by supporting European citizens, businesses and public sector officials in promoting and accessing relevant information on cybersecurity. また、この情報ハブは、欧州市民、企業、公共部門の関係者がサイバーセキュリティに関する関連情報を促進し、アクセスすることを支援することで、意識向上のツールとしても機能します。
Further Information 関連情報
ENISA's report on Raising Awareness of Cybersecurity ENISAのサイバーセキュリティの意識向上に関する報告書
ENISA’s National Capabilities Assessment Framework report ENISAの国家能力評価フレームワーク報告書
ENISA’s work on National Cybersecurity Strategies ENISAの国家サイバーセキュリティ戦略活動

 

・2021.11.29 Raising Awareness of Cybersecurity

Raising Awareness of Cybersecurity サイバーセキュリティの意識向上
This report seeks to assist EU Member States in further building their cybersecurity capacities by analysing best practices on raising citizens’ awareness of cybersecurity. We have collected information and evaluated the intensity, regularity and diversity of different cybersecurity awareness practices and processes in EU Member States. We present ways in which Member States have achieved better cybersecurity awareness in society and have incorporated cybersecurity awareness into their national cybersecurity strategies (NCSS). In addition, we provide recommendations in the following four areas: building capacities for cybersecurity awareness, regular assessments of trends and challenges, measuring cybersecurity behaviour and planning cybersecurity awareness campaigns. 本報告書は、市民のサイバーセキュリティに対する意識向上に関するベストプラクティスを分析することで、EU加盟国のサイバーセキュリティ能力のさらなる向上を支援することを目的としています。我々は情報を収集し、EU加盟国における様々なサイバーセキュリティ意識向上の実践やプロセスの強度、規則性、多様性を評価しました。加盟国が社会におけるサイバーセキュリティ意識の向上を達成し、サイバーセキュリティ意識を国家サイバーセキュリティ戦略(NCSS)に組み込んでいる方法を紹介します。さらに、次の4つの分野における提言を提供します。サイバーセキュリティ意識のための能力構築、傾向と課題の定期的な評価、サイバーセキュリティ行動の測定、サイバーセキュリティ意識向上キャンペーンの計画です。

・[PDF]

20211130-50812

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序論
1.1 AIM, SCOPE AND OBJECTIVES 1.1 目的、範囲、目標
1.2 APPROACH AND METHODOLOGY 1.2 アプローチと方法論
1.3 TARGET AUDIENCE 1.3 対象者
1.4 DEFINITIONS 1.4 定義
1.5 STRUCTURE 1.5 構成
2. BUILDING CAPACITIES TO RAISE CYBERSECURITY AWARENESS 2. サイバーセキュリティ意識向上のための能力開発
2.1 NCSS WITH A CLEAR VISION ABOUT AWARENESS 2.1 意識向上についての明確なビジョンを持つNCS
2.2 COORDINATION OF AWARENESS ACTIVITIES AND INTERAGENCY COOPERATION 2.2 啓発活動の調整と省庁間協力
2.3 RESOURCE ALLOCATION 2.3 資源配分
2.4 COOPERATION WITH MEDIA 2.4 メディアとの協力
3. REGULAR ASSESSMENTS OF CYBERSECURITY TRENDS AND CHALLENGES 3. サイバーセキュリティの動向と課題の定期的な評価
4. MEASURING CYBERSECURITY BEHAVIOUR 4. サイバーセキュリティに関する行動の測定
5. PLANNING FOR CYBERSECURITY AWARENESS CAMPAIGNS 5. サイバーセキュリティ意識向上キャンペーン計画
5.1 MAIN CHALLENGES AND LESSONS LEARNT ABOUT EFFECTIVE CAMPAIGNING 5.1 効果的なキャンペーンについての主な課題と学んだこと
6. RECOMMENDATIONS 6. 推奨事項
6.1 BUILDING CAPACITIES FOR CYBERSECURITY AWARENESS 6.1 サイバーセキュリティ意識向上のための能力構築
6.2 REGULAR ASSESSMENTS OF CYBERSECURITY TRENDS AND CHALLENGES 6.2 サイバーセキュリティの傾向と課題を定期的な評価
6.3 MEASURING CYBERSECURITY BEHAVIOUR 6.3 サイバーセキュリティに関する行動の測定
6.4 PLANNING FOR CYBERSECURITY AWARENESS CAMPAIGNS 6.4 サイバーセキュリティ意識向上キャンペーン計画
7. BIBLIOGRAPHY 7. 参考資料
ANNEX A: QUESTIONNAIRE 附属書A:質問書
ANNEX B: MEMBER STATES DATA ON AWARENESS CAMPAIGNS 附属書B:意識向上キャンペーンに関する加盟国のデータ

 

 

 

| | Comments (0)

2021.11.29

内閣官房 経済安全保障法制に関する有識者会

こんにちは、丸山満彦です。

内閣官房で経済安全保障法制に関する有識者会が開始されましたね。。。

事務局は、内閣官房経済安全保障法制準備室です。。。

 

内閣官房 - 経済安全保障法制に関する有識者会

・2021.11.26 第1回

 ・[PDF] 議事次第 

 ・[PDF] 資料1

 ・[PDF] 資料2

説明資料はこちら...

 ・[PDF] 資料3

課題のページとかは参考になるかもですね。。。

20211129-154241

で有識者の方に議論してもらいたいとした内容は、、、

  • 経済安全保障をめぐる動向について、どう分析・評価するか。
  • 経済安全保障の観点から我が国の制度にどのような課題があるか。
  • かかる課題等を踏まえ、必要な法制上の取組は何か

ということのようです。。。

半導体、クラウド、ソフトウェアについてのビジネス、それを有利にすすめるための技術とかも重要となるんでしょうね。。。


 

関係

内閣官房 - 経済安全保障推進会議

事務局は、内閣官房国家安全保障局

・2021.11.19 経済安全保障推進会議(第1回)

| | Comments (0)

ENISA 鉄道サイバーセキュリティ - サイバーリスク管理のグッドプラクティス

こんにちは、丸山満彦です。

ENISAが、鉄道に関するサイバーリスク管理のグッドプラクティスの報告書を公表していますね。。。

 

● ENISA

・2021.11.25 (news) Risk Management: Helping the EU Railways Catch the Cybersecurity Train

Risk Management: Helping the EU Railways Catch the Cybersecurity Train リスクマネジメント:EUの鉄道会社がサイバーセキュリティの列車に乗るために
Risk management for the EU railways drives the attention of a new report by the European Union Agency for Cybersecurity. The report will be announced by Juhan Lepassaar during today’s webinar co-organised with the European Union Agency for Railways. EU鉄道のリスクマネジメントは、欧州連合(EU)サイバーセキュリティ機関の新しいレポートで注目を集めています。この報告書は、欧州連合鉄道庁との共催による本日のウェビナーでJuhan Lepassaarが発表します。
ENISA, the EU Agency for Cybersecurity, and ERA, the EU Agency for Railways, have joined forces to organise a virtual webinar today on cybersecurity for the railway sector. EUのサイバーセキュリティ機関であるENISAと、EUの鉄道庁であるERAが共同で、鉄道分野のサイバーセキュリティに関するバーチャルウェビナーを本日開催します。
While ERA is to present the state of play on cybersecurity in the sector, ENISA is to announce  the release of its report - Railway Cybersecurity – Good Practices in Cyber Risk Management for railway organisations. ERAが鉄道分野におけるサイバーセキュリティの現状を紹介する一方で、ENISAは報告書「Railway Cybersecurity - Good Practices in Cyber Risk Management for Railway Organizations(鉄道のサイバーセキュリティ-鉄道組織のサイバーリスク管理における優良事例)」の発表を予定しています。
Juhan Lepassaar, Executive Director of ENISA, is to present the report in his welcome remark. Josef Doppelbauer, Executive Director of ERA is to address closing remarks to conclude the event. ENISAのエグゼクティブ・ディレクターであるJuhan Lepassaarは、歓迎の挨拶の中でこの報告書を紹介します。ERAのジョセフ・ドッペルバウアー事務局長が閉会の辞を述べ、イベントを締めくくります。
European railway undertakings (RUs) and infrastructure managers (IMs) need to address cyber risks in a systematic way as part of their risk management processes. This need has become even more urgent since the Network and Information Security (NIS) Directive came into force in 2016. 欧州の鉄道事業者やインフラ管理者は、リスク管理プロセスの一環として、サイバーリスクに体系的に取り組む必要がある。この必要性は、2016年に「ネットワークおよび情報セキュリティ(NIS)指令」が発効して以来、さらに緊急性を増しています。
Objectives of the Railway Cybersecurity report 「鉄道サイバーセキュリティ」報告書の目的
The purpose of the report is to provide European RUs and IMs with applicable methods and practical examples on how to assess and mitigate cyber risks. 本報告書の目的は、欧州のRUおよびIMに対して、サイバーリスクの評価および緩和方法に関する適用可能な方法と実践例を提供することです。
The good practices presented are based on feedback from railway stakeholders. They include tools, such as assets and services list, cyber threat scenarios and applicable cybersecurity measures, based on the standards and good practices used in the sector. These resources can be used as a basis for cyber risk management for railway companies. They are therefore intended to be a reference point and to promote collaboration between railway stakeholders across the EU while raising awareness on relevant threats. 紹介されているグッドプラクティスは、鉄道関係者からのフィードバックに基づいています。これらには、この分野で使用されている基準やグッドプラクティスに基づいた、資産やサービスのリスト、サイバー脅威のシナリオ、適用可能なサイバーセキュリティ対策などのツールが含まれています。これらのリソースは、鉄道会社のサイバーリスク管理の基礎として使用することができます。したがって、これらの資料は、関連する脅威についての認識を高めながら、参照点となり、EU全域の鉄道関係者の協力を促進することを目的としています。
The main takeaways 主な要点
Existing risk management approaches vary for railway IT and OT systems 既存のリスク管理アプローチは、鉄道のITおよびOTシステムによって異なる
For the risk management of railway Information Technology (IT) systems, the most cited approaches were the requirements of NIS Directive at a national level, the ISO 2700x family of standards, and the NIST cybersecurity framework. 鉄道の情報技術(IT)システムのリスク管理については、国レベルのNIS指令の要求事項、ISO 2700x規格ファミリー、NISTサイバーセキュリティ・フレームワークが最も引用されたアプローチです。
For Operational Technology (OT) systems, the frameworks cited were ISA/IEC 62443, CLC/TS 50701, and the recommendations of the Shift2Rail project X2Rail-3, or the ones from the CYRail Project. 運用技術(OT)システムでは、ISA/IEC 62443、CLC/TS 50701、Shift2RailプロジェクトのX2Rail-3の推奨事項、またはCYRailプロジェクトの推奨事項が挙げられます。
Those standards or approaches are often used in a complementary way to adequately address both IT and OT systems. While IT systems are normally evaluated with broader and more generic methods (such as ISO 2700x or NIS Directive), OT systems need specific methods and frameworks that have been designed for industrial train systems. これらの規格やアプローチは、ITシステムとOTシステムの両方に適切に対応するために、補完的に使用されることが多いです。ITシステムは通常、より広範で汎用的な手法(ISO 2700xやNIS指令など)で評価されますが、OTシステムには、産業用列車システム向けに設計された特定の手法やフレームワークが必要です。
There is no unified approach available to railway cyber risk management yet. Stakeholders who participated in this study indicated that they use a combination of the abovementioned international and European approaches to tackle risk management, which they then complement with national frameworks and methodologies. 鉄道のサイバーリスク管理に利用できる統一的なアプローチはまだありません。この調査に参加したステークホルダーは、リスク管理に取り組むために、上記の国際的なアプローチと欧州のアプローチを組み合わせて使用しており、それを国内のフレームワークや方法論で補完していると述べています。
Asset taxonomies 資産の分類法
For RUs and IMs to manage cyber risks, identifying what needs protection is essential. In this report, a comprehensive list is broken down to 5 areas; the services that stakeholders provide, the devices (technological systems) that support these services, the physical equipment used to provide these services, the people that maintain or use them, and the data used. RUとIMがサイバーリスクを管理するためには、保護が必要なものを特定することが不可欠です。本報告書では、包括的なリストを、ステークホルダーが提供するサービス、これらのサービスをサポートするデバイス(技術システム)、これらのサービスを提供するために使用される物理的な機器、それらを維持または使用する人、そして使用されるデータの5つの分野に分類しています。
Threats taxonomies and risk scenarios 脅威の分類とリスクシナリオ
RUs and IMs need to identify which cyber threats are applicable to their assets and services. The report reviews available threat taxonomies, and provides a list of threats that can be used as the basis. RUとIMは、自分たちの資産やサービスにどのようなサイバー脅威が当てはまるかを特定する必要があります。本レポートでは、利用可能な脅威の分類法を検討し、基礎となる脅威のリストを提供しています。
Examples of cyber risk scenarios are also analysed, which can assist railway stakeholders when performing a risk analysis. They show how asset and threat taxonomies can be used together and are based on the known incidents of the sector and the feedback received during the workshops. また、鉄道関係者がリスク分析を行う際に役立つ、サイバーリスクシナリオの例を分析しています。これらの例は、資産と脅威の分類法をどのように併用できるかを示しており、この分野の既知のインシデントやワークショップで得られたフィードバックに基づいています。
Applying cybersecurity measures サイバーセキュリティ対策の適用
Each scenario is associated with a list of relevant security measures. The report includes cybersecurity measures derived from the NIS Directive, current standards (ISO/IEC 27002, IEC 62443) and good practises (NIST’s cybersecurity framework). 各シナリオは、関連するセキュリティ対策のリストと関連付けられています。報告書には、NIS指令、現行規格(ISO/IEC 27002、IEC 62443)、グッドプラクティス(NISTのサイバーセキュリティフレームワーク)に由来するサイバーセキュリティ対策が含まれています。
Target audience 想定読者
Staff and experts responsible for cybersecurity (CISOs, CIOs, CTOs, etc.) within RUs and IMs; RUおよびIM内のサイバーセキュリティを担当するスタッフおよび専門家(CISO、CIO、CTOなど)。
Regulatory bodies and National Competent Authorities; 規制機関および国家管轄機関
Decision and policy makers. 意思決定者および政策立案者
Background 背景
The study released today builds on the ENISA Report - Railway Cybersecurity - Security measures produced in November 2020 on cybersecurity in the railway sector. This previous report assessed the level of implementation of cybersecurity measures in the sector. 本日発表された調査は、2020年11月に作成された鉄道分野のサイバーセキュリティに関するENISAレポート-Railway Cybersecurity - Security measuresに基づいています。この前回の報告書は、鉄道セクターにおけるサイバーセキュリティ対策の実施レベルを評価したものです。
ENISA and ERA organised a virtual Conference on Rail Cybersecurity on March 2021. The conference took place virtually over two days and brought together more than 600 experts from railway organisations, policy, industry, research, standardisation and certification. One of the top topics voted by participants was cyber risk management for railways, and this motivated this study. ENISAとERAは、2021年3月に鉄道のサイバーセキュリティに関するバーチャル会議を開催しました。この会議は2日間にわたって仮想的に行われ、鉄道組織、政策、産業、研究、標準化、認証から600人以上の専門家が集まりました。参加者が投票した上位のテーマの一つが、鉄道のサイバーリスク管理であり、これが本研究の動機となりました。
The European Union Agency for Cybersecurity supports the development of cybersecurity capabilities of the railway sector by: 欧州連合サイバーセキュリティ機関は、鉄道セクターのサイバーセキュリティ能力の開発を以下の方法で支援しています。
Issuing guidance and recommendation papers together with the community; コミュニティと協力してガイダンスや勧告文書を発行する。
Organising physical and virtual events; 物理的および仮想的なイベントを開催する。
Participating in discussions with the Railway community on regulatory matters; 規制問題に関する鉄道コミュニティとの議論に参加する。
Validating activities through dedicated expert group in transport security (TRANSSEC; 輸送セキュリティの専門家グループ(TRANSSEC)による活動の検証。
Contributing to standardisation activities. 標準化活動への貢献。
Further Information 関連情報
ENISA report - Railway Cybersecurity – Good Practices in Cyber Risk Management – November 2021 ENISAレポート - 鉄道のサイバーセキュリティ - サイバーリスク管理のグッドプラクティス - 2021年11月
ENISA Report - Railway Cybersecurity - Security measures – November 2020 ENISAレポート - 鉄道のサイバーセキュリティ - セキュリティ対策 - 2020年11月
ENISA topic – Critical Information Infrastructures and services - Railway ENISAトピック - 重要な情報インフラとサービス - 鉄道
Videos & presentations: Cybersecurity in Railways ビデオとプレゼンテーション 鉄道におけるサイバーセキュリティ
Cybersecurity in Railways Conference: Key Takeaways – March 2021 鉄道におけるサイバーセキュリティ会議。Key Takeaways - 2021年3月
TRANSSEC – Transport Security Experts Group TRANSSEC - 輸送セキュリティ専門家グループ
ERA – European Union Agency for Railways ERA - European Union Agency for Railways(欧州連合鉄道庁

 

・2121.11.25 Railway Cybersecurity - Good Practices in Cyber Risk Management

Railway Cybersecurity - Good Practices in Cyber Risk Management 鉄道のサイバーセキュリティ - サイバーリスク管理のグッドプラクティス
This report aims to be a reference point for current good practices for cyber risk management approaches that are applicable to the railway sector. It offers a guide for railway undertakings and infrastructure managers to select, combine or adjust cyber risk management methods to the needs of their organisation. It builds upon the 2020 ENISA report on cybersecurity in the railway sector (ENISA, 2020), which assessed the level of implementation of cybersecurity measures in the railway sector. This report provides actionable guidelines, lists common challenges associated with the performance of the relevant activities, and outlines good practices that can be readily adopted and tailored by individual organisations. Additionally, a list of useful reference material is available, together with practical examples and applicable standards. 本報告書は、鉄道セクターに適用可能なサイバーリスク管理手法の現在のグッドプラクティスを参照することを目的としています。鉄道事業者やインフラ管理者がサイバーリスク管理手法を選択したり、組み合わせたり、組織のニーズに合わせて調整したりするためのガイドとなっている。本報告書は、鉄道部門におけるサイバーセキュリティ対策の実施レベルを評価した「鉄道部門におけるサイバーセキュリティに関する2020年ENISA報告書」(ENISA, 2020)に基づいている。本報告書では、実行可能なガイドラインを提供し、関連する活動の実施に関連する共通の課題を挙げ、個々の組織が容易に採用し、調整することが可能なグッドプラクティスを概説しています。さらに、実用的な例や適用可能な基準とともに、有用な参考資料のリストも掲載しています。

・[PDF]

20211129-94833

1. INTRODUCTION 1. 序論
1.1 OBJECTIVES, SCOPE AND AUDIENCE 1.1 目的、範囲、対象者
1.2 METHODOLOGY 1.2 方法論
1.3 STRUCTURE OF THE REPORT 1.3 報告書の構成
2. CYBER RISK MANAGEMENT 2. サイバー・リスク・マネジメント
2.1 RISKS MANAGEMENT STEPS 2.1 リスク管理のステップ
2.2 RISK MANAGEMENT APPROACHES FOR THE RAILWAY SECTOR 2.2 鉄道分野におけるリスクマネジメントのアプローチ
3. RAILWAY ASSETS AND SERVICES 3. 鉄道資産およびサービス
3.1 TAXONOMY 3.1 分類
4. CYBER-RELATED THREATS 4. サイバー関連の脅威
4.1 TAXONOMY 4.1 分類
4.2 CYBER RISK SCENARIOS 4.2 サイバー・リスク・シナリオ
4.2.1 Scenario 1 – Compromising a signalling system or automatic train control system, leading to a train accident 4.2.1 シナリオ1 - 信号システムまたは自動列車制御システムの危殆化による、列車事故の発生
4.2.2 Scenario 2 – Sabotage of the traffic supervising systems, leading to train traffic stop 4.2.2 シナリオ2 - 交通監視システムの妨害行為による、列車の運行停止
4.2.3 Scenario 3 – Ransomware attack, leading to a disruption of activities 4.2.3 シナリオ3 - ランサムウェア攻撃、活動の中断につながるもの
4.2.4 Scenario 4 – Theft of clients’ personal data from the booking management system 4.2.4 シナリオ4 - 予約管理システムからの顧客の個人データの窃盗
4.2.5 Scenario 5 – Leak of sensitive data due to unsecure, exposed database 4.2.5 シナリオ5 - 安全でない、露出したデータベースによる機密データの漏洩
4.2.6 Scenario 6 – DDoS attack, blocking travellers from buying tickets 4.2.6 シナリオ 6 - DDoS 攻撃による、旅行者のチケット購入の妨害
4.2.7 Scenario 7 – Disastrous event destroying the datacentre, leading to disruption of IT services 4.2.7 シナリオ7 - データセンターが破壊され、ITサービスに支障をきたすような悲惨な出来事
5. CYBERSECURITY MEASURES 5. サイバーセキュリティ対策
5.1 APPLYING CYBERSECURITY MEASURES 5.1 サイバーセキュリティ対策の適用
5.2 CYBERSECURITY MEASURES 5.2 サイバーセキュリティ対策
6. CONCLUSIONS 6. 結論
7. BIBLIOGRAPHY 7. 参考資料
A ANNEX: ASSET DESCRIPTIONS 附属書A:資産の説明
B ANNEX: THREATS DESCRIPTION 附属書B:脅威の説明
C ANNEX: SECURITY MEASURES 附属書C:セキュリティ対策

 


まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.28 欧州委員会 サイバーセキュリティ戦略の公表とネットワークおよび情報システムのセキュリティに関する指令の改訂(NIS2指令)提案 at 2020.12.16

・2020.11.15 ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

| | Comments (0)

金融庁 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

こんにちは、丸山満彦です。

金融庁がみずほ銀行及びみずほフィナンシャルグループに対する行政処分を公表していますね。。。

金融庁

・2021.11.26 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について


  1. 当庁としては、これらのシステム上、ガバナンス上の問題の真因は、以下の通りであると考えている。

(1)システムに係るリスクと専門性の軽視

(2)IT現場の実態軽視

(3)顧客影響に対する感度の欠如、営業現場の実態軽視

(4)言うべきことを言わない、言われたことだけしかしない姿勢

これらの真因の多くは、当行において発生させた平成14年及び平成23年のシステム障害においても通底する問題である。そのことからすれば、当行及び当社においては、システム障害が発生する度に対策を講じたとしても、過去の教訓を踏まえた取組みの中には継続されていないものがあるという点、あるいは環境変化への適切な対応が図られていないものがあるという点において、自浄作用が十分に機能しているとは認められない。
 

  1. したがって、当行及び当社においては、


(1)システム障害に係る再発防止策(MINORI等の安定稼働に必要となるシステムリスク管理態勢の整備、システム障害が発生した場合であっても顧客影響を極小化するための対策を含み、さらに当社にあっては適切な資源配分に係る改善策を含む。)、

(2)システムの安定稼働等に必要となる経営管理(ガバナンス)態勢の整備に係る具体的な取組み、


(3)一連のシステム障害の真因として挙げたシステムに係るリスクと専門性の軽視、IT現場の実態軽視、顧客影響に対する感度の欠如や営業現場の実態軽視、言うべきことを言わない、言われたことだけしかしない姿勢といった企業風土を改め、各々の役職員が顧客影響に対する感度を高めていくなど、組織的行動力を強化し、行動様式を変革していくための具体的な取組み 

に係る業務改善計画を策定(当社にあっては当行が策定する業務改善計画についての検証及び必要な見直しを含む。)し、これを速やかに実行するとともに、当該業務改善計画について継続的に再検証及び見直しを実施していく必要がある。


 

 

結果的に、銀行側での処分が発表されていますね。。。

 

みずほファイナンスグループ

・2021.11.26 金融庁および財務省による行政処分について [downloaded]

 ・[PDF] 行政処分を踏まえた再発防止に向けた取り組みについて [downloaded]

 ・[PDF] 【参考】2月28日から9月30日における各事案の概要 [downloaded]

 ・[PDF] (別紙)役員の追加処分等について [downloaded]

・2021.11.26 代表執行役の異動に関するお知らせ [downloaded]

・2021.11.26 役員異動のお知らせ [downloaded]

 

みずほ銀行

・2021.11.26 [PDF] 金融庁および財務省による行政処分について [downloaded]

・2021.11.26 [PDF] 代表執行役の異動に関するお知らせ [downloaded]

・2021.11.26 [PDF] 役員異動のお知らせ [downloaded]

 


網羅的ではないですが...

 

過去の金融庁からの発表

・2013.12.26 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

・2013.09.13 株式会社みずほ銀行に対する行政処分について

・2011.05.31 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

・2007.10.26 みずほ証券株式会社に対する行政処分について

・2006.04.25 株式会社みずほ銀行に対する行政処分について

・2004.12.28 株式会社みずほ銀行に対する行政処分について

・2002.06.19 みずほフィナンシャル・グループに対する行政処分について

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.23 金融庁 みずほ銀行及びみずほフィナンシャルグループに対する行政処分について

・2021.06.16 みずほFG システム障害特別調査委員会の調査報告書

・2011.05.21 みずほ銀行 システム障害特別調査委員会の調査報告書

・2011.03.29 金融庁 みずほ銀の事故の根本原因を検査

・2011.03.17 みずほ銀行ATM停止

| | Comments (0)

2021.11.28

ENISA 欧州におけるサイバーセキュリティに関する高等教育の状況についての報告書を公表

こんにちは、丸山満彦です。

ENISAが、欧州におけるサイバーセキュリティに関する高等教育の状況についての報告書を公表していますね。。。精神論でなく、計画立てて実行していますよね。。。サイバーセキュリティの卒業生は今後2~3年で倍増するようです。

ただ、女子学生が少ないのは欧州でも同じようです。。。

 

● ENISA

・2021.11.24 (news) Higher Education in Europe: Understanding the Cybersecurity Skills Gap in the EU

 

Higher Education in Europe: Understanding the Cybersecurity Skills Gap in the EU 欧州の高等教育 EUにおけるサイバーセキュリティのスキルギャップの理解
Cybersecurity graduates are expected to double in number in the next 2-3 years as shown by the Higher Education Database managed by European Union Agency for Cybersecurity. 欧州連合サイバーセキュリティ機関が管理する高等教育データベースが示すように、サイバーセキュリティの卒業生は今後2~3年で倍増すると予想されています。
Although the field of cybersecurity has expanded exponentially over the past decade, the fact that the workforce in the field has not increased adequately has now become obvious. The number of skilled and qualified workers is not enough to meet the demand, and national labour markets are disrupted worldwide, Europe included, as a consequence. サイバーセキュリティの分野は過去10年間で飛躍的に拡大しましたが、この分野の労働力が十分に増えていないという事実が現在明らかになっています。熟練した資格を持つ労働者の数は需要を満たすのに十分ではなく、その結果、ヨーロッパを含めた世界各国の労働市場が混乱しています。
The report - ENISA Report - Addressing the EU Cybersecurity Skills Shortage and Gap Through Higher Education - takes a look into data gathered by the Cybersecurity Higher Education Database - CyberHEAD in order to make a prediction on the future trends. This database is the largest resource of its nature and is able to provide a reliable and up-to-date snapshot of cybersecurity academic programmes available across Europe. 本報告書「ENISA報告書 - 高等教育を通じたEUのサイバーセキュリティのスキル不足とギャップへの対応」は、今後の動向を予測するために、「サイバーセキュリティ高等教育データベース - CyberHEAD」によって収集されたデータを調査しています。このデータベースは、この種のものとしては最大のリソースであり、ヨーロッパ全土で利用可能なサイバーセキュリティの学術プログラムについて、信頼性の高い最新のスナップショットを提供することができます。
Key findings reveal that the number of programmes and students engaged in cybersecurity higher education are growing. As a consequence, the number of graduates in the next 2-3 years is expected to double. However, gender balance is still an issue with only 20% of female students enrolled. 主な調査結果によると、サイバーセキュリティの高等教育に従事するプログラムと学生の数は増加しています。その結果、今後2~3年で卒業生の数は2倍になると予想されています。しかし、ジェンダーバランスの問題は依然として残っており、登録している女子学生の割合はわずか20%です。
The report also deep-dives into the policies and approaches adopted by Member States, classifying them according to the EU Agency for Cybersecurity (ENISA) National Capabilities Assessment Framework (NCAF). The framework encompasses awareness, training, challenges and exercises. It includes the list of actions taken around Europe, not only to increase the cybersecurity workforce, but also to increase the quality of candidates and equip them with such skills needed and requested the highest in demand on the job market. 本報告書では、加盟国が採用している政策やアプローチについても深く掘り下げ、EUサイバーセキュリティ機関(ENISA)の「国家能力評価フレームワーク(NCAF)」に基づいて分類しています。このフレームワークには、意識、トレーニング、課題、演習が含まれています。このフレームワークには、サイバーセキュリティ人材を増やすだけでなく、候補者の質を高め、雇用市場で最も需要が高く、必要とされているスキルを身につけさせるために、欧州各地で取られた行動のリストが含まれています。
Recommendations in a nutshell 提言を一言で言うと
In order to mitigate the cybersecurity skills gap, recommendations are: サイバーセキュリティのスキルギャップを軽減するための提言は、以下の通りです。
・Increase enrolments and eventually graduates in cybersecurity programmes through the diversification of curriculum, education format and the provision of scholarships in Higher Education Institutions (HEIs). ・高等教育機関(HEI)におけるカリキュラム、教育形態の多様化、および奨学金の提供を通じて、サイバーセキュリティプログラムの登録者数および最終的な卒業生数を増加させる。
・Support a unified approach across government, industry and HEIs through the adoption of a common framework regarding cybersecurity roles, competencies, skills and knowledge, such as the European Cybersecurity Skills Framework and the promotion of cybersecurity skills, challenges and competitions. ・欧州サイバーセキュリティ・スキル・フレームワークのような、サイバーセキュリティの役割、コンピテンシー、スキル、知識に関する共通のフレームワークの採用や、サイバーセキュリティ・スキル、チャレンジ、コンペの推進を通じて、政府、産業界、高等教育機関の間で統一的なアプローチを支援する。
・Develop synergies among Member states cybersecurity initiatives with the support of European bodies and EU funded projects. ・欧州の団体やEUが資金提供しているプロジェクトの支援を受けて、加盟国のサイバーセキュリティの取り組みの間での相乗効果を高める。
・Promote analysis on the cybersecurity market needs and trends through the identification of metrics to assess the extent of the problem and devise the possible measures to tackle it. ・問題の程度を評価し、それに取り組むための可能な手段を考案するための指標を特定することを通じて、サイバーセキュリティ市場のニーズと傾向に関する分析を促進する。
・Support the use and promotion of CyberHEAD in order to facilitate the ongoing understanding of the status of cybersecurity higher education programmes in the EU, monitor trends, follow progress and effectiveness of cybersecurity initiatives. ・EUにおけるサイバーセキュリティ高等教育プログラムの状況の継続的な理解を促進し、傾向を監視し、サイバーセキュリティの取り組みの進捗と効果をフォローするために、CyberHEADの使用と推進を支援する。
 Target audience 想定読者
・Member States and European Institutions interested in cybersecurity skills and the role that Higher Education has to play ・サイバーセキュリティのスキルと高等教育が果たすべき役割に関心のある加盟国および欧州機関
・EU Higher Education Institutions (HEIs) ・EUの高等教育機関(HEI)
・Business and industry ・企業および産業界
・Researchers and the academic community. ・研究者および学術界
Other ENISA activities on education and cyberskills development 教育とサイバースキルの開発に関するENISAのその他の活動
ENISA engages in a number of actions to support and strengthen the enhancement of cybersecurity skills and competence across sectors and at all levels, from the non-experts to the highly technically skilled professionals. ENISAは、分野を問わず、また非専門家から高度な技術を持つ専門家まで、あらゆるレベルでのサイバーセキュリティのスキルと能力の向上を支援・強化するために、多くの活動に取り組んでいる。
The purpose of such actions is to align with the EU’s Digital Education Action Plan. To this end, ENISA promotes and analyses cybersecurity higher education in the EU in order to respond to the current shortfall in the cybersecurity workforce. このような活動の目的は、EUの「デジタル教育行動計画」に沿ったものである。この目的のために、ENISAは、サイバーセキュリティ人材の現在の不足に対応するために、EUにおけるサイバーセキュリティ高等教育の促進と分析を行っている。
Actions include: アクションは以下の通りです。
The structured approach of the ad-hoc working group on skills framework which soon will deliver a framework able to harmonize cybersecurity education, training, and workforce development and concepts スキルフレームワークに関するアドホックワーキンググループの構造化されたアプローチにより、サイバーセキュリティの教育、訓練、労働力開発とコンセプトを調和させることができるフレームワークを間もなく提供する。
Cybersecurity Higher Education Database - CyberHEAD サイバーセキュリティ高等教育データベース - CyberHEAD
European Cybersecurity Challenge (ECSC) European Cybersecurity Challenge (ECSC)
Awareness campaigns such as the European Cybersecurity Month (ECSM) 欧州サイバーセキュリティ月間(ECSM)のような啓発キャンペーン
The ad-hoc working group on Awareness Raising for stakeholders of the community to brainstorm and develop ideas and solutions to raise the common level of cybersecurity hygiene and awareness in the effort to change behaviours securing the EU digital market. EUデジタル市場を確保するために行動を変える努力の中で、サイバーセキュリティの衛生と意識の共通レベルを高めるためのアイデアと解決策をブレインストーミングで開発するために、コミュニティの関係者のための意識向上に関するアドホックワーキンググループです。

 

・2021.11.24 Addressing Skills Shortage and Gap Through Higher Education

Addressing Skills Shortage and Gap Through Higher Education 高等教育を通じたスキル不足とギャップへの対応
In this report, ENISA contributes to both practice and research on the cybersecurity skills shortage and gap in two distinctive areas. Firstly, it provides an overview of the current supply of cybersecurity skills in Europe through an analysis of data gathered and generated by the recently established Cybersecurity Higher Education Database (CyberHEAD). Secondly, it describes the policy approaches adopted by EU Member States in their quest to increase and sustain their national cybersecurity workforces. These approaches have been classified and analysed based on objectives defined by ENISA’s National Capabilities Assessment Framework (NCAF), namely cybersecurity awareness, training, challenges and exercises. Based on the data collected and analysed, this report makes five recommendations to address the EU cybersecurity skills shortage and gap. 本報告書では、ENISAがサイバーセキュリティのスキル不足とギャップに関する実務と研究の両方に貢献するため、2つの特徴的な分野を紹介しています。第一に、最近設立されたサイバーセキュリティ高等教育データベース(CyberHEAD)によって収集・作成されたデータの分析を通じて、欧州におけるサイバーセキュリティ・スキルの現在の供給の概要を示しています。第二に、EU加盟国が自国のサイバーセキュリティ人材を増やし、維持するために採用している政策的アプローチについて説明しています。これらのアプローチは、ENISAの国家能力評価フレームワーク(NCAF)で定義された目的、すなわち、サイバーセキュリティの認識、訓練、課題、演習に基づいて分類、分析されています。本報告書は、収集・分析したデータに基づき、EUのサイバーセキュリティのスキル不足とギャップに対処するための5つの提言を行っています。

・[PDF]

20211128-63815

EXECUTIVE SUMMARY  エグゼクティブ・サマリー 
1. INTRODUCTION  1. 序論 
1.1 SCOPE OF THE REPORT  1.1 報告書の範囲 
1.2 TARGET AUDIENCE  1.2 対象読者 
1.3 REPORT STRUCTURE  1.3 報告書の構成 
2. THE SUPPLY OF CYBERSECURITY QUALIFICATIONS AND SKILLS  2. サイバーセキュリティの資格とスキルの供給について 
2.1 INTRODUCTION  2.1 はじめに 
2.2 AN ANALYSIS OF THE CHARACTERISTICS OF CYBERSECURITY PROGRAMMES  2.2 サイバーセキュリティプログラムの特徴の分析 
2.3 AN ASSESSMENT OF ENROLMENTS AND GRADUATES AND THEIR ABILITY TO ADDRESS THE NEEDS FOR SKILLS  2.3 入学者数と卒業生数、およびスキルのニーズに対応する能力の評価 
3. INITIATIVES TO ADDRESS THE CYBERSECURITY SKILLS SHORTAGE AND GAP IN THE EU  3. 欧州におけるサイバーセキュリティのスキル不足とギャップに対処するための取り組み 
3.1 INTRODUCTION  3.1 導入 
3.2 RAISE USER AWARENESS AMONGST THE GENERAL PUBLIC AND IN PRIMARY AND SECONDARY EDUCATION  3.2 一般市民および初等・中等教育におけるユーザー意識の向上 
3.3 STRENGTHEN TRAINING AND PROMOTE CYBERSECURITY IN HIGHER EDUCATION  3.3 高等教育における訓練の強化とサイバーセキュリティの推進 
3.4 ORGANISE CYBERSECURITY EXERCISES AND CHALLENGES  3.4 サイバーセキュリティに関する演習や課題を実施する 
4. SUMMARY AND RECOMMENDATIONS  4. まとめと提言 
4.1 INCREASE ENROLMENT IN CYBERSECURITY PROGRAMMES  4.1 サイバーセキュリティプログラムへの登録者数を増やす。
4.2 SUPPORT A UNIFIED APPROACH ACROSS GOVERNMENT, INDUSTRY AND UNIVERSITIES  4.2 政府、産業界、大学が一体となったアプローチを支援する 
4.3 UNDERSTAND JOB MARKET NEEDS AND TRENDS  4.3 雇用市場のニーズと傾向を理解する 
4.4 COLLABORATIONS BETWEEN EUROPEAN MEMBER STATES  4.4 欧州の加盟国間の協力関係 
4.5 CYBERHEAD’S VALUE FOR STUDENTS, HIGHER EDUCATION INSTITUTIONS AND MEMBER STATES  4.5 学生、高等教育機関、加盟国にとってのサイバーヘッドの価値 
A ANNEX: CYBERHEAD QUESTIONS  附属書A:サイバーヘッドに関する質問 
A.1 ANNEX SUBSECTION  A.1 附属書サブセクション 
A.2 LIST OF QUESTIONS TO BE ANSWERED BY THE HEIS  A.2 HEIsが回答すべき質問のリスト 
B ANNEX: EXPANDING THE CYBERHEAD QUESTION SET  附属書B:サイバーヘッドの質問セットの拡大 
C ANNEX: MEMBER STATE REPLIES  附属書C:加盟国からの回答 
D ANNEX: APPROACHES ADOPTED BY NON-EU COUNTRIES  附属書D:EU以外の国が採用したアプローチ 
D.1 RAISE USER AWARENESS AMONGST THE GENERAL PUBLIC AND IN PRIMARY AND SECONDARY EDUCATION  D.1 一般市民および初等・中等教育におけるユーザー意識の向上 
D.2 STRENGTHEN TRAINING AND PROMOTE CYBERSECURITY IN HIGHER EDUCATION  D.2 高等教育における訓練の強化とサイバーセキュリティの推進 
D.3 ORGANISE CYBERSECURITY EXERCISES AND CHALLENGES  D.3 サイバーセキュリティに関する演習や課題を実施する 
E ANNEX: LIST OF CYBERHEAD PROGRAMMES  附属書E:サイバーヘッドプログラムのリスト 

 

EXECUTIVE SUMMARY 要旨
The cybersecurity skills shortage and gap are well-documented issues that are currently having an impact on national labour markets worldwide. While various initiatives related to cybersecurity skills have been proposed and multiple actions have been launched to address the problems, the shortage and gap persist. ENISA has a long tradition of studies and programmes that have attempted to mitigate similar cybersecurity issues. In an effort to increase the EU’s future cybersecurity workforce and ensure the availability of appropriately trained professionals, ENISA has investigated the problem further. サイバーセキュリティのスキル不足とギャップは、現在、世界各国の労働市場に影響を与えている問題としてよく知られています。サイバーセキュリティのスキルに関連する様々なイニシアチブが提案され、問題に対処するための複数のアクションが開始されているが、不足とギャップは依然として続いている。ENISAには、同様のサイバーセキュリティの問題を緩和しようとする研究やプログラムの長い伝統があります。EUの将来のサイバーセキュリティ人材を増やし、適切な訓練を受けた専門家を確保するために、ENISAはこの問題をさらに調査しました。
In this report, ENISA contributes to both practice and research on the cybersecurity skills shortage and gap in two distinctive areas. Firstly, it provides an overview of the current supply of cybersecurity skills in Europe through an analysis of data gathered and generated by the recently established Cybersecurity Higher Education Database (CyberHEAD). Secondly, it describes the policy approaches adopted by EU Member States in their quest to increase and sustain their national cybersecurity workforces. These approaches have been classified and analysed based on objectives defined by ENISA’s National Capabilities Assessment Framework (NCAF), namely cybersecurity awareness, training, challenges and exercises. Here we note that this report focuses on the role of the higher education sector in addressing the EU cybersecurity skills shortage and gap, and therefore vocational or lower forms of education in cybersecurity related topics are not considered as core parts of this study. 本報告書でENISAは、2つの特徴的な分野において、サイバーセキュリティのスキル不足とギャップに関する実践と研究の両方に貢献している。第一に、最近設立されたサイバーセキュリティ高等教育データベース(CyberHEAD)によって収集・作成されたデータの分析を通じて、欧州におけるサイバーセキュリティ・スキルの現在の供給の概要を示しています。第二に、EU加盟国が自国のサイバーセキュリティ人材を増やし、維持するために採用している政策的アプローチについて説明しています。これらのアプローチは、ENISAの国家能力評価フレームワーク(NCAF)で定義された目的、すなわち、サイバーセキュリティの認識、訓練、課題、演習に基づいて分類、分析されています。ここで、本報告書は、EUのサイバーセキュリティのスキル不足とギャップに対処する上での高等教育部門の役割に焦点を当てていることに留意し、したがって、サイバーセキュリティ関連のトピックにおける職業教育や低学歴教育は、本研究の中核部分としては考慮されていない。
Based on the data collected and analysed under the two areas mentioned above, this report makes five recommendations to address the EU cybersecurity skills shortage and gap: 上記の2つの分野で収集・分析したデータに基づき、本報告書では、EUのサイバーセキュリティのスキル不足とギャップに対処するための5つの提言を行っています。
· Increase enrolments and eventually graduates in cybersecurity programmes through: ・以下の方法で、サイバーセキュリティプログラムへの登録者数と最終的な卒業生数を増やす。
o the diversification of the Higher Educational Institutes’ (HEIs) curricula in terms of content, levels and language. o 高等教育機関(HEI)のカリキュラムを内容、レベル、言語の面で多様化する。
o the provision of scholarships, especially for underrepresented groups, and more active efforts to promote cybersecurity as a diverse field. o 特に社会的弱者を対象とした奨学金の提供、および多様な分野としてのサイバーセキュリティを促進するためのより積極的な取り組み。
· Support a unified approach across government, industry and HEIs through: ・政府、産業界、高等教育機関が一体となったアプローチを支援する。
o the adoption of a common framework regarding cybersecurity roles, competencies, skills and knowledge, for example, the one provided by the European Cybersecurity Skills Framework. o サイバーセキュリティの役割、コンピテンシー、スキル、知識に関する共通のフレームワーク(例:European Cybersecurity Skills Framework)の採用
o the promotion of challenges and competitions in cybersecurity skills. o サイバーセキュリティ・スキルに関する課題やコンテストの推進。
· Increase collaborations between Member States in: ・加盟国間の協力関係の強化
o launching European cybersecurity initiatives with shared objectives. o 共通の目的を持った欧州のサイバーセキュリティ・イニシアチブの立ち上げ
o sharing of the outputs of programmes (including results and lessons learnt). o プログラムの成果(結果や学んだ教訓を含む)の共有。
· Promote analysis of the cybersecurity market needs and trends through: ・以下を通じて、サイバーセキュリティ市場のニーズと傾向の分析を促進する。
o the identification of metrics showing the extent of the problem and possible measures to cope with it. o 問題の程度とそれに対処するための可能な手段を示す指標の特定。
· Support the promotion of CyberHEAD (and its further evolution) in order to: ・以下の目的のために、CyberHEAD(およびそのさらなる進化)の推進を支援する。
o facilitate an ongoing understanding of the status of cybersecurity higher education programmes in the EU. o EUにおけるサイバーセキュリティの高等教育プログラムの状況についての継続的な理解を促進する。
o monitor trends regarding the number of cybersecurity graduates who could potentially fill current vacancies in the sector. o この分野の現在の空席を埋める可能性のあるサイバーセキュリティの卒業生の数に関する傾向を監視する。
o support the analysis of demographics (including the diversity) of new students and graduates in cybersecurity. o サイバーセキュリティ分野の新入生や卒業生の人口統計(多様性を含む)の分析を支援する。
o assist in monitoring the effectiveness of cybersecurity initiatives targeting the supply side (e.g. changes in enrolments in HEI programmes after the release of new cybersecurity initiatives). o 供給側を対象としたサイバーセキュリティイニシアチブの有効性のモニタリングを支援する(例えば、新しいサイバーセキュリティイニシアチブの発表後の高等教育プログラムへの入学者数の変化など)。
o demonstrate the value of CyberHEAD for HEIs as well as incentivise HEIs to submit their programmes to CyberHEAD. o 高等教育機関にとってのCyberHEADの価値を示すとともに、高等教育機関がCyberHEADにプログラムを提出する動機付けとなる。

 

 

| | Comments (0)

中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

こんにちは、丸山満彦です。

中国ですね。。。日本もこういうことをやり出すのでしょうかね。。。政治家の中にもやりたい人はいるような気もします。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

2021.11.23 中央网信办发布《关于进一步加强娱乐明星网上信息规范相关工作的通知》 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を発表

 

中央网信办发布《关于进一步加强娱乐明星网上信息规范相关工作的通知》 国家サイバースペース管理が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を発表
近日,中央网信办印发《关于进一步加强娱乐明星网上信息规范相关工作的通知》(以下简称《通知》),旨在进一步加强娱乐明星网上信息规范,维护良好网络舆论秩序,营造更加清朗的网络空间。 先日、国家サイバースペース管理局は、芸能スターのオンライン情報規制に関する業務をさらに強化することを目的とした「芸能スターのオンライン情報規制に関する業務をさらに強化することに関する通知」(以下、「通知」という)を発行し、良好なネットワーク世論の秩序を維持し、より明快なサイバースペースを実現することとしました。
近年来,网上泛娱乐化倾向、低俗炒作现象屡禁不止,流量至上、畸形审美、“饭圈”乱象等不良文化冲击主流价值观,一些网上有关明星的宣传信息内容失范,绯闻八卦、隐私爆料占据网站平台头条版面、热搜榜单,占用大量公共平台资源,人民群众反映强烈。为了进一步规范娱乐明星网上信息,营造积极健康向上的网络环境,中央网信办制定并印发《通知》。 近年では、オンラインの汎娯楽の傾向、低俗な投機現象が繰り返され、拡散至上主義、奇抜な美学、「ファンサークル」の混乱などの好ましくない文化的影響が主流の価値観に影響を与えており、有名人の広告内容に関するいくつかのオンライン情報は一線を超えており、ゴシップ、プライバシー情報がウェブサイトのプラットフォームの見出しページ、ホット検索リストを占めており、多くの公共のプラットフォームのリソースを占有しており、人々に多くの影響を与えている。芸能人のオンライン情報をさらに規制し、前向きで健全なネットワーク環境を構築するために、中央インターネット情報局は本通知を策定し、発行しました。
《通知》从内容导向、信息呈现、账号管理、舆情机制等4个方面提出15项具体工作措施,力求有效规范娱乐明星网上信息。《通知》要求,严把娱乐明星网上信息内容导向,加强正面引导,建立负面清单,禁止娱乐明星网上信息含有宣扬畸形审美、低俗绯闻炒作、恶意刷量控评、虚假不实爆料、诱导非理性追星等内容。《通知》按照信息内容属性、影响作用等因素,将娱乐明星网上信息划分为演艺作品、个人动态、商业活动、公告、公益、权威发布等6种类型,针对网站平台首页首屏、热门推荐、热搜榜单等重点环节提出明确要求,以进一步规范娱乐明星网上信息呈现。《通知》要求加强对明星、经纪公司(工作室)、粉丝团(后援会)、娱乐类公众账号、MCN机构等账号和主体的管理,从源头上规范娱乐明星网上信息,同时要求网站平台建立健全涉娱乐明星网上舆情监测、处置和引导机制。 今回の通知では、芸能スターに関するオンライン情報を効果的に規制するため、コンテンツの方向性、情報の提示、アカウント管理、世論形成の仕組みなど、4つの分野で15の具体的な作業手段を提示しています。 今回の通知では、芸能スターに関するオンライン情報のコンテンツの方向性を厳格に管理し、積極的な指導を強化し、ネガティブリストを設定し、芸能スターに関するオンライン情報に、異常な美学、低俗なゴシップや憶測、悪意のある筆量やコントロールコメント、虚偽・不実の情報、スターへの不合理な追求を助長するようなコンテンツを含むことを禁止するよう求めている。 同通知では、芸能人のオンライン情報を、情報内容の属性や影響力などの要因に応じて、演技作品、個人的な活動、商業活動、発表、公共の福祉、権威あるリリースなどの6種類に分類し、ウェブサイトのプラットフォームの最初の画面、人気のある推薦文、ホットリストなどの重要なリンクについて明確な要件を提示し、芸能人のオンライン情報の表示をさらに規制しています。 今回の通知では、芸能人、事務所(スタジオ)、ファングループ(後援会)、芸能人のパブリックアカウント、MCN機関などのアカウントや対象者の管理を強化して、芸能人に関するオンライン情報をソースから規制することを求めているほか、ウェブサイトのプラットフォームに対しても、芸能人に関わるオンライン世論を監視、処理、指導するための健全なメカニズムを構築することを求めています。
《通知》强调,各地网信部门要高度重视加强娱乐明星网上信息规范工作,结合“饭圈”乱象整治,制定细化实施方案,指导督促网站平台抓好各项措施落实,务求取得工作实效。 今回の通知では、地方のオンライン情報部門は、芸能スターのオンライン情報の規制を強化することを重要視し、「ファンサークル」の混乱を是正することと組み合わせて、詳細な実施計画を策定し、ウェブサイトのプラットフォームを指導・監督して、仕事の有効性を確保するための措置の実施を把握することを強調している。
关于进一步加强娱乐明星网上信息规范相关工作的通知 芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知

 

具体的な内容はこちら。。。

2021.11.23 关于进一步加强娱乐明星网上信息规范相关工作的通知 芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知

 

1_20210612030101

| | Comments (0)

2021.11.27

NPO デジタルフォレンジック研究会 「医療機関向けランサムウェア対応検討ガイダンス」の公開

こんにちは、丸山満彦です。

NPO デジタルフォレンジック研究会の「医療」分科会が一般社団法人医療ISACと連携して、「医療機関向けランサムウェア対応検討ガイダンス」を公開していますね。。。

想定読者は、セキュリティ面の経済的・人的リソースが十分でない状況下でランサムウェア対策を検討しようとする医療機関ということのようですね。。。

・[PDF] 医療機関向けランサムウェア対応検討ガイダンス

20211127-51837

 

・[PDF] (別紙)別紙_ランサム対応検討フローチャート

 

時系列にすべきことが並んでいて、予習的な利用にはよいと思います。

警察との接点が被害届という感じになっていますが、IPA等に相談する段階で、警察へ相談もしてもよいかもですね。。。

● 警察庁 - ランサムウェア特設サイト

各都道府県警のサイバー犯罪相談窓口の一覧があります。

 

技術的対応に関する情報収集という意味では、JC3JPCERT/CCへの相談もよいですね。。。

 

 

| | Comments (0)

英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

こんにちは、丸山満彦です。

英国のデータ保護局 (Information Commissioner's Office: ICO) が、アドテクノロジー業界がもたらしている既にあるプライバシーリスクを排除するよう、Google等に要請していますね。。。

U.K. Information Commissioner's Office

・2021.11.25 (news) ICO calls on Google and other companies to eliminate existing privacy risks posed by adtech industry

 

ICO calls on Google and other companies to eliminate existing privacy risks posed by adtech industry ICO、グーグルなどの企業に対し、アドテック業界がもたらす既存のプライバシーリスクを排除するよう要請
The Information Commissioner’s Office (ICO) has today set out clear data protection standards that companies must meet to safeguard people’s privacy online when developing new advertising technologies (adtech). 情報委員会(Information Commissioner's Office: ICO)は本日、新しい広告技術(アドテック)を開発する際に、オンライン上の人々のプライバシーを保護するために企業が満たさなければならない明確なデータ保護基準を定めました。
The privacy standards published in a Commissioner’s Opinion come as a warning to companies that are designing new methods of online advertising, that they must comply with data protection law and stop the excessive collection and use of people’s data. このプライバシー基準は、オンライン広告の新しい手法を設計している企業に対して、データ保護法を遵守し、人々のデータの過剰な収集と利用を止めなければならないという警告として、コミッショナーの意見として発表されたものです。
Currently, one of the most significant proposals in the online advertising space is the Google Privacy Sandbox, which aims to replace the use of third party cookies with alternative technologies that still enable targeted digital advertising. 現在、オンライン広告の分野で最も重要な提案の一つは、「Google Privacy Sandbox」です。これは、第三者のCookieの使用を、ターゲットを絞ったデジタル広告を可能にする代替技術に置き換えることを目的としています。
The ICO has been working with the Competition and Markets Authority (CMA) to review how Google’s plans will safeguard people’s personal data while, at the same time, supporting the CMA’s mission of ensuring competition in digital markets. ICOは、競争市場局(CMA)と協力して、Googleの計画が人々の個人データをどのように保護するかを検討すると同時に、デジタル市場での競争を確保するというCMAの使命をサポートしています。
Other industry players have also been developing different initiatives so people’s preferences are taken into account. We welcome proposals that respect people’s privacy rights and can demonstrate how they comply with the law. The Commissioner’s Opinion provides clear data protection expectations for any developers in this area. 他の業界各社も、人々の嗜好を考慮したさまざまな取り組みを行っています。我々は、人々のプライバシー権を尊重し、法律をどのように遵守しているかを示すことができる提案を歓迎します。この委員会の意見は、この分野の開発者に期待される明確なデータ保護を示しています。
Information Commissioner Elizabeth Denham said: 情報コミッショナーのエリザベス・デンハムは次のように述べています。
“Digital advertising is a complex ecosystem that grew quickly with the e-commerce boom and without people’s privacy in mind. 「デジタル広告は複雑なエコシステムであり、電子商取引のブームとともに急速に成長したが、人々のプライバシーを考慮することなく成長しました。
“What we found during our ongoing adtech work is that companies are collecting and sharing a person’s information with hundreds, if not thousands of companies, about what that person is doing and looking at online in order to show targeted ads or content. Most of the time, individuals are not aware that this is happening or have not given their explicit consent. This must change. 現在進行中のアドテックの仕事の中で分かったことは、企業がターゲットとなる広告やコンテンツを表示するために、その人がオンラインで何をしているか、何を見ているかという情報を収集し、何百、何千もの企業と共有しているということです。ほとんどの場合、個人はこのようなことが行われていることに気づいておらず、明確な同意もしていません。これを変えなければなりません。
“That is why we want to influence current and future commercial proposals on methods for online advertising early on, so that the changes made are not just window dressing, but actually give people meaningful control over their personal data.” だからこそ、私たちは、オンライン広告の手法に関する現在および将来の商業的提案に早い段階で影響を与えたいと考えています。そうすれば、変更された内容が単なる粉飾ではなく、実際に人々が自分の個人データを有意義にコントロールできるようになります。」
The Opinion makes it clear that companies designing new digital advertising technologies should offer people the ability to receive ads without tracking, profiling or targeting based on excessive collection of personal information. Where people choose to share their data, all companies within the adtech supply chain must ensure there is meaningful accountability, and give people control over their data and the ability to exercise their information rights. 本意見書では、新しいデジタル広告技術を設計する企業は、過剰な個人情報の収集に基づくトラッキング、プロファイリング、ターゲティングを行わずに広告を受信する機能を人々に提供すべきであることを明確にしています。人々が自分のデータを共有することを選択した場合、アドテクノロジーのサプライチェーンに属するすべての企業は、意味のある説明責任を果たし、人々が自分のデータをコントロールし、情報権利を行使できるようにしなければなりません。
Additionally, companies should be able to justify that the use of personal data for online advertising is fair, necessary and proportionate, as well as be clear with people about how and why their information is being used. さらに、企業は、オンライン広告のための個人データの使用が公正で必要かつ適切であることを正当化できるようにするとともに、自分の情報がどのように、そしてなぜ使用されるのかを人々に明確に伝えなければなりません。
Ms Denham said: デンハム氏は次のように述べています。
“I am looking for solutions that eliminate intrusive online tracking and profiling practices, and give people meaningful choice over the use of their personal data. My office will not accept proposals based on underlying adtech concepts that replicate or seek to maintain the status quo.” 「私は、押しつけがましいオンライントラッキングやプロファイリングの手法を排除し、個人データの使用について人々に意味のある選択を与えるような解決策を求めています。私のオフィスは、現状を再現したり維持しようとするアドテクノロジーの概念に基づく提案は受け入れません。」
The ICO began intervening in the adtech industry in 2019, when we identified key privacy issues on real time bidding and on the use of cookies and similar technologies. We asked the industry to assess how they used personal data and to start changing their practices. Since then, companies have been developing solutions to address our concerns and are moving towards less intrusive tracking practices. The Opinion published today will help companies shape their proposals. ICOは、2019年にアドテック業界への介入を開始し、リアルタイム入札や、クッキーや類似技術の使用に関する重要なプライバシー問題を特定しました。私たちは業界に対し、個人データの使用方法を評価し、慣行の変更を開始するよう求めました。それ以来、企業は我々の懸念に対処するためのソリューションを開発し、より押し付けがましくないトラッキング手法へと移行しています。本日発表された意見は、企業が提案を行う際の参考になります。
The ICO will continue to work with organisations, industry bodies and other regulators to ensure that the use of personal data for online advertising is lawful. ICOは、オンライン広告における個人データの使用が合法的であることを保証するために、組織、業界団体、その他の規制当局と協力していきます。
Notes to editors 編集者への注意事項
1. The Information Commissioner’s Office (ICO) upholds information rights in the public interest, promoting openness by public bodies and data privacy for individuals. 1. ICO(Information Commissioner's Office)は、公共の利益のために情報の権利を擁護し、公的機関のオープン性と個人のデータプライバシーを促進しています。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018, the UK General Data Protection Regulation (GDPR), the Freedom of Information Act 2000, Environmental Information Regulations 2004 and Privacy and Electronic Communications Regulations 2003. 2. ICOは、2018年データ保護法、英国一般データ保護規則(GDPR)、2000年情報自由法、2004年環境情報規則、2003年プライバシーおよび電子通信規則に定められた特定の責任を負っています。
3. Since 25 May 2018, the ICO has the power to impose a civil monetary penalty (CMP) on a data controller of up to £17million (20m Euro) or 4% of global turnover. 3. 2018年5月25日以降、ICOはデータ管理者に対して、最大1,700万ポンド(2,000万ユーロ)または世界売上高の4%の民事金銭的ペナルティ(CMP)を課す権限を有しています。
4. The DPA2018 and UK GDPR gave the ICO new strengthened powers. 4. DPA2018と英国GDPRにより、ICOは新たに強化された権限を得ました。
5. The data protection principles in the UK GDPR evolved from the original DPA, and set out the main responsibilities for organisations. 5. 英国GDPRのデータ保護原則は、オリジナルのDPAから発展したもので、組織の主な責任を定めています。
6. To report a concern to the ICO, go to ico.org.uk/concerns. 6. ICOに懸念事項を報告するには、ico.org.uk/concernsにアクセスしてください。

 

・2021.11.25 [PDF] Information Commissioner’s Opinion: Data protection and privacy expectations for online advertising proposals

20211126-180819

・[DOCX] 仮訳

 

 

| | Comments (0)

2021.11.26

総務省 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」及び意見募集の結果の公表

こんにちは、丸山満彦です。

総務省が、電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)についての意見募集の結果を公表していますね。。。

総務省

・2021.11.24 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」及び意見募集の結果の公表

・[PDF] 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」(別紙1)

20211126-165807

 

序章
第1章 最近のサイバー攻撃に係る課題と対策例
(1) 最近のサイバー攻撃に係る課題
(2) 平時におけるフロー情報の収集・蓄積・分析によるC&Cサーバである可能性が高い機器の検知
(3) フロー情報を収集・蓄積・分析して検知したC&Cサーバに関する情報についての共有
第2章 具体的検討
第1節 通信の秘密の利用等に関する違法性阻却事由等について
(1)正当業務行為
(2)正当防衛、緊急避難
第2節 平時におけるフロー情報の収集・蓄積・分析による C&C サーバである可能性が高い機器の検知
(1)対策の概要及び問題の所在
(2)違法性阻却事由について
 ① 目的の正当性
 ② 行為の必要性
 ③ 手段の相当性
 ④ まとめ
第3節 フロー情報を収集・蓄積・分析して検知した C&C サーバに関する情報についての共有
(1)対策の概要及び問題の所在
(2)検討
第3章 おわりに

 

・[PDF]  「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ」の概要(別紙2)

・[PDF] 「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)」に対する意見募集の結果について(別紙3)

 

<参考>


○「電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会」配布資料等
 https://www.soumu.go.jp/main_sosiki/kenkyu/denki_cyber/index.html
○電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)についての意見募集(令和3年10月5日)
 https://www.soumu.go.jp/menu_news/s-news/01kiban18_01000130.html

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.10 総務省 意見募集 電気通信事業におけるサイバー攻撃への適正な対処の在り方に関する研究会 第四次とりまとめ(案)

| | Comments (0)

ENISA 新たなサイバーセキュリティの課題を見通すためのステップ

こんにちは、丸山満彦です。

ENISAが、新たなサイバーセキュリティの課題を先取りするためのステップと題する報告書を公表していますね。。。

● ENISA

・2021.11.22 (news) Step Towards Foresight on Emerging Cybersecurity Challenges

Step Towards Foresight on Emerging Cybersecurity Challenges 新たなサイバーセキュリティの課題を見通すためのステップ
The European Union Agency for Cybersecurity releases its first report on foresight in order to improve cybersecurity resilience and support the planning of its work. 欧州連合(EU)のサイバーセキュリティ機関が、サイバーセキュリティの回復力を向上させ、業務の計画を支援するために、先見性に関する初の報告書を発表します。
ENISA kicks off a new area of work in line with  its Strategy objective “Foresight on Emerging and Future Cybersecurity Challenges”. ENISAは、戦略目標である「新興および将来のサイバーセキュリティの課題に関する見通し」に沿って、新たな業務分野を開始します。
As a key element of ENISA’s strategy, foresight increases knowledge and understanding of emerging and future challenges, thus providing a path to find solutions that address those challenges and bolster EU resilience to cybersecurity threats. ENISAの戦略の重要な要素である「見通すこと」は、新興および将来の課題に関する知識と理解を深めることで、これらの課題に対処するソリューションを見つけ、サイバーセキュリティの脅威に対するEUの回復力を強化するための道筋を提供します。
What is foresight? 見通すとは?
Foresight is an ongoing, complex and multi-stage process allowing for a reflection on possible future grounded in the present and inviting informed decision-making, hence leading to actions appropriately tailored to the evolutions anticipated. Being both participatory and multidisciplinary, foresight makes it possible for different groups enjoying different expertise to work together and make a mental projection of the most realistic outcomes and possible futures. 「見通す」とは、継続的かつ複雑で多段階のプロセスであり、現在の状況に基づいて起こりうる未来を熟考し、情報に基づいた意思決定を促し、予想される変化に適切に対応した行動につなげることです。参加型で学際的であるため、異なる専門性を持つグループが協力して、最も現実的な結果と可能な未来を心の中で予測することができます。
In order to better identify and address emerging and future cybersecurity challenges, ENISA delivers its first study on the structured foresight framework. Although not commonly resorted to in the cybersecurity field, such approach is consistent with the work of ENISA as it will help generate trends, scenarios and perspectives on the future. 新興および将来のサイバーセキュリティの課題をよりよく特定し、対処するために、ENISAは構造化された見通すためのフレームワークに関する最初の研究を行っています。サイバーセキュリティの分野では一般的ではありませんが、このようなアプローチは、トレンド、シナリオ、未来への展望を生み出すのに役立つため、ENISAの活動と一致しています。
These findings were complemented by interviews with experts in the fields of foresight and cybersecurity, members of the ENISA’s Ad-Hoc Working Group on Foresight on Emerging and Future Cybersecurity Challenges. これらの調査結果は、ENISAのAd-Hoc Working Group on Foresight on Emerging and Future Cybersecurity Challengesのメンバーである、先見性とサイバーセキュリティの分野の専門家へのインタビューによって補完されています。
Foresight can be an asset to the cybersecurity community. Cybersecurity often looks towards future short-term threats, yet there is a need for cybersecurity professionals and policymakers to maintain pace with attackers. Foresight is a good tool for supporting longer-term strategic thinking on how to improve the state of cybersecurity and overall resilience. ENISA is taking an important strategic step to better integrate foresight into cybersecurity practices.  見通すことは、サイバーセキュリティ・コミュニティの資産となり得ます。サイバーセキュリティでは、将来の短期的な脅威に目を向けることが多いのですが、サイバーセキュリティの専門家や政策立案者は、攻撃者と歩調を合わせていく必要があります。フォアサイトは、サイバーセキュリティの状態と全体的な回復力を向上させるための長期的な戦略的思考を支援するための優れたツールです。ENISAは、フォアサイトをサイバーセキュリティの実践にうまく統合するための重要な戦略的ステップを踏み出しています。
The methods and tools applied in foresight and can be used from the definition of ENISA Single Programming Document to the specific output needs, starting from the strategic level and going down to the various strategic objectives crowdsourcing on the expertise of ENISA various stakeholders’ communities  and issuing recommendations in terms of cybersecurity strategy, policy support, capacity building, operational cooperation and certification activities. 見通すことに適用される手法やツールは、ENISAシングル・プログラミング・ドキュメントの定義から具体的なアウトプットのニーズまで使用することができ、戦略レベルから始まり、様々な戦略的目標に至るまで、ENISAの様々なステークホルダー・コミュニティの専門知識を活用してクラウドソーシングを行い、サイバーセキュリティ戦略、政策支援、キャパシティ・ビルディング、運用協力、認証活動の観点から提言を発表することができる。
Target audience 想定読者
This report is specifically relevant to the EU cybersecurity community at large and to ENISA’s stakeholders. It will also be of interest for: 本報告書は、EUのサイバーセキュリティ・コミュニティ全体およびENISAの利害関係者に特に関連している。また、以下の方々にも興味を持っていただけると思います。
Policymakers and national authorities with cybersecurity responsibilities; サイバーセキュリティに責任を持つ政策立案者および国家機関
Cybersecurity researchers, practitioners, and educators; サイバーセキュリティの研究者、実務者、教育者
Relevant experts within European Institutions, Bodies and Agencies; etc. 欧州の機関、団体、組織内の関連専門家、など。
Further information 参考
ENISA report - Foresight Challenges ENISAレポート - 見通しについての挑戦
ENISA Cybersecurity Strategy ENISAサイバーセキュリティ戦略

 

・2021.11.22 Foresight Challenges

This report aims to highlight the most relevant foresight methods based on ubiquity or suitability to ENISA’s core needs to adequately address future cybersecurity threats and shape a more secure society. In fact, foresight enables reflection on various possible futures and strategic preparation for plausible scenarios. As a discipline has grown to become a major strategic planning tool for private corporations as well as the public sector. ENISA worked on this study with the futures and foresight community to develop a process to apply foresight to cybersecurity. 本報告書は、将来のサイバーセキュリティの脅威に適切に対処し、より安全な社会を形成するために、ENISAの中核的なニーズに対する偏在性や適合性に基づいて、最も関連性の高い見通しのある手法を強調することを目的としている。実際、見通しは、様々な可能性のある未来を考察し、もっともらしいシナリオに対する戦略的な準備を可能にします。この分野は、公共部門だけでなく、民間企業にとっても重要な戦略立案ツールとして成長してきました。ENISAは、サイバーセキュリティに見通しを適用するためのプロセスを開発するために、将来・見通しに関するコミュニティと共同でこの研究に取り組みました。

・[PDF]

20211126-55734

1. INTRODUCTION 1. 序論
1.1 OBJECTIVES AND SCOPE 1.1 目的と範囲
1.2 TARGET AUDIENCE 1.2 想定読者
1.3 STRUCTURE OF THE REPORT 1.3 報告書の構成
2. STOCKTAKING 2. 現状調査
2.1 OVERVIEW 2.1 概観
2.2 STAKEHOLDER ANALYSIS 2.2 利害関係者の分析
3. METHODS AND FRAMEWORKS APPLICABLE TO FORESIGHT FOR CYBERSECURITY 3. サイバーセキュリティの見通しに適用可能な手法とフレームワーク
3.1 INTRODUCTION 3.1 はじめに
3.2 OVERVIEW OF SELECTED METHODS AND FRAMEWORKS 3.2 選択された手法とフレームワークの概要
3.2.1 Method Categorisation 3.2.1 手法の分類
3.2.2 Environmental Scanning / Analysis Frameworks 3.2.2 環境スキャン/分析フレームワーク
3.2.3 Trend Analysis 3.2.3 トレンド分析
3.2.4 Expert Group Foresight 3.2.4 専門家グループによる見通し
3.2.5 Scenario Methods 3.2.5 シナリオ手法
3.2.6 Morphological Analysis and Backcasting 3.2.6 形態素解析とバックキャスティング
3.2.7 Cybersecurity Analysis Methods 3.2.7 サイバーセキュリティの分析手法
4. SELECTION CRITERIA 4. 選択基準
4.1 FORESIGHT METHOD COMPARISON 4.1 見通し手法の比較
4.2 TOOLS 4.2 ツール
5. BEST PRACTICES 5. ベスト プラクティス
5.1 SUMMARY OF BEST PRACTICES 5.1 ベストプラクティスのまとめ
5.2 SUMMARY OF CHALLENGES AND PITFALLS 5.2 課題と落とし穴のまとめ
6. APPLICATION USE CASES 6. アプリケーションの使用例
6.1 OPERATIONAL CONTEXT 6.1 運用状況
6.2 OVERARCHING COMPONENTS AND CONSIDERATIONS 6.2 包括的な構成要素と考慮事項
6.3 IDENTIFICATION OF FUTURE AND EMERGING CHALLENGES (1) 6.3 将来および新たな課題の特定(1)
6.4 STRATEGIC DECISION-MAKING DEVELOPMENT (2) 6.4 戦略的意思決定の策定(2)
6.5 EVOLUTION OF THREAT LANDSCAPE (3) 6.5 脅威のランドスケープの進化(3)
6.6 NEEDS AND PRIORITIES FOR CYBERSECURITY R&D (4) 6.6 サイバーセキュリティ研究開発のニーズと優先事項(4)
6.7 EVOLUTION OF OPERATIONAL COOPERATION (5) 6.7 運用協力の進化(5)
6.8 IDENTIFICATION OF FUTURE POLICY PRIORITIES (6) 6.8 将来の政策優先事項の特定(6)
6.9 DISRUPTIVE EVENTS (7) 6.9 破壊的な出来事(7)
7. CONCLUSIONS & NEXT STEPS 7. 結論と次のステップ
7.1 CONCLUSIONS 7.1 結論
7.2 NEXT STEPS FOR ENISA 7.2 ENISAの次のステップ
A ANNEX: GLOSSARY A 附属書:用語集
B ANNEX: INTERVIEW GUIDELINE B 附属書:インタビューのガイドライン

 

 

| | Comments (0)

ENISA NIS投資動向報告書2021 at 2021.11.17

こんにちは、丸山満彦です。

ENISAが昨年に引き続きNIS投資動向報告書2021を公表していますね。重要インフラ関連企業等のセキュリティ投資についての分析です。。。参考になるところもあるでしょうね。。。

● ENISA

・2021.11.17 (press) Cybersecurity Spending: An analysis of Investment Dynamics within the EU

 

Cybersecurity Spending: An analysis of Investment Dynamics within the EU サイバーセキュリティへの投資:EU域内の投資動向の分析
The European Union Agency for Cybersecurity issues a new report on how cybersecurity investments have developed under the provisions of the NIS directive. 欧州連合サイバーセキュリティ機関は、NIS指令の規定の下でサイバーセキュリティ投資がどのように発展してきたかについての新しいレポートを発行しました。
The NIS Directive has been implemented by 82% of the 947 organisations identified as Operators of Essential Services (OES) or Digital Service Providers (DSP) surveyed across the 27 Member States, with 67% requiring an additional budget for its implementation. NIS指令は、27加盟国で調査したOES(Operators of Essential Services)またはDSP(Digital Service Providers)と認定された947の組織の82%が実施しており、67%がその実施のために追加予算を必要としています。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar stated that “Measuring the effectiveness of cybersecurity is a challenging task. Looking at information security investments for essential operators and where their resources are focused provides us with an understanding of the state of cybersecurity across the Union.” EUサイバーセキュリティ機関のエグゼクティブ・ディレクターであるJuhan Lepassaar氏は、「サイバーセキュリティの効果を測定することは困難な作業です。主要事業者の情報セキュリティ投資と、そのリソースがどこに集中しているかを見ることで、EU全体のサイバーセキュリティの状況を理解することができます」と述べています。
The EU Agency for Cybersecurity (ENISA) published last year the first edition of the report - NIS Investments Report 2020 - with an initial insight of the cybersecurity investment approaches of services providers covered by the directive on security of network and information systems (NIS Directive), namely of OES and DSP. EUサイバーセキュリティ機関(ENISA)は昨年、ネットワークと情報システムのセキュリティに関する指令(NIS指令)の対象となるサービス事業者、すなわちOESとDSPのサイバーセキュリティ投資アプローチを最初に把握した報告書「NIS投資報告書 2020」の初版を発表しました。
The new report - NIS Investments Report 2021 - aggregates data from all 27 EU Member States and looks into the allocation of cybersecurity budget of OES and DSP and how this allocation has possibly changed as result of the need to implement the provisions of the directive. It also analyses the economic impact of cybersecurity incidents and assesses how these organisations monitor their budget and invest in order to meet their cybersecurity requirements. 新しい報告書「NIS投資報告書 2021」では、EUの全27加盟国のデータを集計し、OESとDSPのサイバーセキュリティ予算の配分と、指令の規定を実施する必要性からこの配分がどのように変化したかを考察しています。また、サイバーセキュリティインシデントの経済的影響を分析し、これらの組織がどのように予算を監視し、サイバーセキュリティの要件を満たすために投資しているかを評価しています。
What is the role and impact of the NIS Directive on NIS investment? NIS指令のNIS投資に対する役割と影響は?
As the first EU-wide legislation on cybersecurity, the objective of the Directive on Security of Network and Information Systems (NIS Directive) is to achieve a high common level of cybersecurity across all Member States. One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for OES and DSP. サイバーセキュリティに関する最初のEU全体の法律として、ネットワークと情報システムのセキュリティに関する指令(NIS指令)の目的は、すべての加盟国で高い共通レベルのサイバーセキュリティを実現することです。NIS指令の3つの柱の1つは、OESとDSPに対するリスク管理と報告義務の実施です。
The report investigates how operators invest in cybersecurity and comply with the objectives of the NIS Directive. It also gives an overview of the situation in relation to such aspects as IT security staffing, cyber insurance and organisation of information security in OES and DSP. 本報告書では、事業者がどのようにサイバーセキュリティに投資し、NIS指令の目的を遵守しているかを調査しています。また、OESとDSPにおけるITセキュリティスタッフの配置、サイバー保険、情報セキュリティの組織化といった側面に関連した状況の概要を示しています。
In this context, the findings of the report can be used to further feed into the proposal for the directive on measures for a high common level of cybersecurity across the EU currently under discussion in the European Parliament and the Council of the European Union, which is known as the ‘NIS 2’. The report in this sense could also contribute to further policy reflections as it builds on the work already engaged last year. この意味で、本報告書の調査結果は、現在、欧州議会と欧州連合理事会で議論されている、「NIS 2」と呼ばれる、EU全体で高い共通レベルのサイバーセキュリティを実現するための措置に関する指令の提案にさらに反映させるために利用することができます。また本報告書は、昨年すでに取り組んだ作業の上に構築されているため、さらなる政策的考察にも貢献できるでしょう。
What are the key findings? 主な調査結果は?
Implementing the NIS directive NIS指令の実施
Almost 50% of surveyed organisations acknowledge either a significant or a very significant impact of the NIS Directive on the management of their information security. Nearly 50% of established OES and DSP consider that their detection capabilities are now strengthened as a result of the implementation of the provisions of the directive. 26% believe that it has improved their ability to recover from incidents. In 2020, only 8.8% of surveyed OES and DSP experienced a major security incident. 調査対象となった組織のほぼ50%が、情報セキュリティの管理においてNIS指令が大きな影響を与える、あるいは非常に大きな影響を与えると認識しています。設立されたOESとDSPの50%近くが、指令の規定を実施した結果、検出能力が強化されたと考えています。26%は、インシデントからの回復能力が向上したと考えています。2020年には、調査対象となったOESとDSPのうち、大規模なセキュリティインシデントを経験したのは8.8%のみでした。
Even if 67% of those service providers need to allocate additional budget to ensure compliance, 18% still have not implemented any of the provisions at all. これらのサービスプロバイダーの67%がコンプライアンスを確保するために追加予算を割り当てる必要があるとしていますが、18%はまだ全く条項を実施していません。
A typical OES/DSP spends around 2 million euros on information security. The respective budget for implementing the NIS directive amounts from 5% up to 10% of the overall information security budget. 典型的なOES/DSPは、情報セキュリティに約200万ユーロを費やしています。NIS指令を実施するための各予算は、情報セキュリティ予算全体の5%から10%までとなっています。
The study reveals that organisations worldwide mainly dedicate their security budget on the following functional security domains, with the remaining budget covering identity access management, data, end point and application security: この調査では、世界中の組織が主に以下の機能的なセキュリティ領域にセキュリティ予算を割り当てており、残りの予算はアイデンティティ・アクセス・マネジメント、データ、エンドポイント、およびアプリケーション・セキュリティをカバーしていることが明らかになりました。
- vulnerability management and security analytics for 20%; ・脆弱性管理とセキュリティ分析に20%
- governance, risk and compliance for 18%; ・ガバナンス、リスク、コンプライアンスに18%
- network security for 16%. ・ネットワークセキュリティに16%
Sectors 分野
The survey results indicate that a typical OES or DSP from the energy sector allocates the highest budget to achieve implementation, closely followed by organisations in the banking sector. Drinking water supply and distribution, financial market infrastructures and digital infrastructure allocate the lowest budgets to achieve compliance. 調査結果によると、エネルギー分野の典型的なOESまたはDSPは、実装を実現するために最も高い予算を割り当てており、これに銀行分野の組織が僅差で続いています。飲料水の供給と配給、金融市場のインフラ、デジタルインフラでは、コンプライアンス達成のための予算が最も低くなっています。
The top 3 domains of implementation of the NIS Directive identified are: NIS 指令の実施に関する上位 3 領域は以下のとおりです。
- governance risk and compliance (GRC); ・ガバナンス・リスク・コンプライアンス(GRC)
- network security; ・ネットワークセキュリティ
- vulnerability management. ・脆弱性管理
Cost of incidents インシデントのコスト
The banking and healthcare sectors are the sectors suffering the highest direct costs of major security incidents when they happen, usually ranging from 213 000 to 300 000 EUR when the usual direct cost is about 100 000 EUR. 大規模なセキュリティ・インシデントが発生した場合の直接コストが最も高いのは、銀行と医療の分野であり、通常の直接コストが約10万ユーロであるのに対し、通常は21~30万ユーロとなっています。
Human resources 人的資源
Nearly 50% of the established OES and DSP in the EU hire the services of contractors to support their information security workforce. EUで設立されたOESとDSPの約50%は、情報セキュリティの労働力をサポートするためにコントラクターのサービスを採用しています。
A typical OES and DSP employs on median 60 IT staff, 7 of which are dedicated to information security. On average, 2 staff members are specifically allocated to incident response. The information security workforce in OES and DSP increased due to the implementation of the NIS Directive as 18,7% of surveyed organisations hired additional internal staff and 32% resort to external contractors. 典型的なOESおよびDSPは、中央値で60名のITスタッフを雇用しており、そのうち7名が情報セキュリティに特化しています。また、平均して2名のスタッフがインシデント対応を専門に担当しています。調査対象となった組織の18.7%が内部スタッフを追加雇用し、32%が外部契約者に頼ったため、OESおよびDSPの情報セキュリティ要員は、NIS指令の実施により増加しました。
Cyber insurance サイバー保険
Over 57% of organisations have not subscribed to a cyber insurance. Yet, more than half of OES and DSP certify their systems and processes. 57%以上の組織がサイバー保険に加入していません。一方、OESとDSPの半数以上は、自社のシステムとプロセスの認証を取得しています。
The majority of these services providers assess their information security controls meet or exceed industry standards with only 5% admit they don’t. これらのサービスプロバイダーの大半は、自社の情報セキュリティ管理が業界標準を満たしているか、それ以上であると評価しており、満たしていないと認めたのはわずか5%でした。
A total of 23% of organisations reported that they do not subscribe to any cyber insurance solution, although they declare the intention to implement one. また、23%の企業が、サイバー保険を導入する意向を示しながらも、保険に加入していないと回答しています。
Background 背景
The NIS Directive represents the first EU-wide legislation on cybersecurity, with the objective to achieve a high common level of cybersecurity across all EU Member States. One of the three pillars of the NIS Directive is the implementation of risk management and reporting obligations for Operators of Essential Services (OES) and Digital Service Providers (DSP). OES provide essential services in strategic sectors of energy (electricity, oil and gas), transport (air, rail, water and road), banking, financial market infrastructures, health, drinking water supply and distribution, and digital infrastructure (Internet exchange points, domain name system service providers, top-level domain name registries). DSP operate in an online environment, namely online marketplaces, online search engines and cloud computing services. NIS指令は、EU加盟国全体で高い共通レベルのサイバーセキュリティを実現することを目的とした、サイバーセキュリティに関するEU初の法律です。NIS指令の3つの柱の1つは、基幹サービス事業者(OES)とデジタルサービスプロバイダ(DSP)に対するリスク管理と報告義務の実施です。OES は、エネルギー(電気、石油、ガス)、輸送(航空、鉄道、水、道路)、銀行、金融市場インフ ラ、健康、飲料水の供給と配給、デジタルインフラ(インターネット交換ポイント、ドメインネームシステムサー ビスプロバイダー、トップレベルドメインネームレジストリー)などの戦略的分野で必須サービスを提供している。DSPは、オンライン環境、すなわち、オンラインマーケットプレイス、オンライン検索エンジン、クラウドコンピューティングサービスで動作します。
Further information 参考情報
NIS Investments Report 2021 NIS投資報告書2021
NIS Investments Report 2020 NIS投資報告書2020
Press Release: NIS Directive has Positive Effect, though Study Finds Gaps in Cybersecurity Investment Exist プレスリリース:NIS指令はポジティブな効果があるが、サイバーセキュリティ投資にはギャップがあることが調査で判明
ENISA Topic - NIS Directive ENISAトピック - NIS指令

 

・2021.11.17 NIS Investments Report 2021

Following the 2020 NIS Investment publication, this report covers all 27 EU Member States and offering additional insights into the allocation of NIS budgets of OES/DSP, the economic impact of cybersecurity incidents and the organisation of cybersecurity in these operators. In addition, global cybersecurity market trends are presented through Gartner security data and insights observed globally and in the EU, in order to provide a better understanding of the relevant dynamics. In this second edition, additional and complementary questions were asked to the surveyed organisations. Overall, 48.9 % of surveyed organisations acknowledge a very significant or significant impact of the NIS Directive on their information security (IS). 本報告書は、「NIS投資2020」に続くもので、EU加盟国27カ国すべてを対象としており、OES/DSPのNIS予算の配分、サイバーセキュリティ事故の経済的影響、これらの事業者におけるサイバーセキュリティの組織化について、さらなる洞察を提供します。さらに、世界のサイバーセキュリティ市場の動向を、ガートナー社のセキュリティ・データと、世界およびEUで観測された洞察に基づいて紹介し、関連するダイナミクスをより深く理解できるようにしています。この第2版では、調査対象となる組織に対して、追加的かつ補足的な質問を行いました。全体として、調査対象となった組織の48.9%が、NIS指令が自社の情報セキュリティ(IS)に与える影響が非常に大きい、または大きいと認識しています。

・[PDF]

20211126-45536

目次...

1. INTRODUCTION 1. 序文
2. INFORMATION SECURITY DYNAMICS AND OUTLOOK 2. 情報セキュリティのダイナミクスと展望
2.1 INFORMATION SECURITY BUDGETS 2.1 情報セキュリティの予算
2.2 INFORMATION SECURITY SPENDING DISTRIBUTION 2.2 情報セキュリティ支出の分布
2.3 INFORMATION SECURITY STAFFING 2.3 情報セキュリティスタッフの配置
2.4 INFORMATION SECURITY MARKET OUTLOOK 2.4 情報セキュリティ市場の展望
2.5 SECURITY PERFORMANCE 2.5 セキュリティパフォーマンス
2.6 FUTURE OF INFORMATION SECURITY 2.6 情報セキュリティの将来性
2.7 CISO EFFECTIVENESS 2.7 CISOの有効性
3. INFORMATION SECURITY INVESTMENTS FOR THE NIS DIRECTIVE IMPLEMENTATION 3. NIS指令実施のための情報セキュリティ投資

3.1 METHODOLOGY 3.1 方法論
3.2 INFORMATION SECURITY AND NIS SPENDING 3.2 情報セキュリティとNISへの支出
3.2.1 IT spending 3.2.1 IT関連支出
3.2.2 Information security spending 3.2.2 情報セキュリティ支出
3.2.3 Information security spending as a share of IT spending 3.2.3 IT支出に占める情報セキュリティ支出の割合
3.2.4 NIS Directive spending 3.2.4 NIS指令の支出
3.2.5 NIS spending as a share of information security spending 3.2.5 情報セキュリティ支出に占めるNIS支出の割合
3.2.6 Top three security domains for implementing the NIS Directive 3.2.6 NIS指令を実施するための上位3つのセキュリティ・ドメイン
3.2.7 Technologies and services procured for the NIS Directive 3.2.7 NIS指令のために調達した技術とサービス
3.3 INFORMATION SECURITY AND NIS STAFFING 3.3 情報セキュリティと NIS の人員配置
3.3.1 IT FTEs 3.3.1 IT の FTEs
3.3.2 Information security FTEs 3.3.2 情報セキュリティのFTE(臨時雇い)数
3.3.3 Share of contractors in information security FTEs 3.3.3 情報セキュリティFTEに占めるコントラクターの割合
3.3.4 Information security FTEs as a share of IT FTEs 3.3.4 IT部門のFTEに占める情報セキュリティのFTEの割合
3.3.5 Specific hires for NIS implementation 3.3.5 NIS導入のための特定の人材の採用
3.3.6 FTEs dedicated to security incident response 3.3.6 セキュリティ・インシデント対応に特化したFTE
3.4 INFORMATION SECURITY INCIDENTS 3.4 情報セキュリティインシデント
3.4.1 Cost of information security incidents 3.4.1 情報セキュリティインシデントのコスト
3.4.2 Top components of incident costs 3.4.2 インシデントコストの上位構成要素
3.4.3 Trend in security incidents 3.4.3 セキュリティインシデントの傾向
3.4.4 Spread of security incidents 3.4.4 セキュリティインシデントの広がり
3.4.5 Security incident response sourcing 3.4.5 セキュリティ・インシデント対応のソーシング
3.4.6 NIS impact on incident response 3.4.6 インシデント対応におけるNISの影響
3.5 SECURITY ORGANISATION AND PERFORMANCE 3.5 セキュリティ組織及びパフォーマンス
3.5.1 Reporting line of information security 3.5.1 情報セキュリティの報告ライン
3.5.2 Cyber insurance 3.5.2 サイバー保険
3.5.3 Certification 3.5.3 認証
3.5.4 Performance of controls 3.5.4 コントロールのパフォーマンス
3.6 PERCEPTION OF THE IMPACT OF THE NIS DIRECTIVE 3.6 nis指令の影響に関する認識
4. INFORMATION SECURITY DATA FOR SMES AND LARGE ENTERPRISES 4. 中小企業、大企業の情報セキュリティデータ 
4.1 DEMOGRAPHICS OF SMES AND LARGE ENTERPRISES 4.1 中小企業と大企業の人口統計
4.1.1 Distribution of SMEs and large enterprises 4.1.1 中小企業と大企業の分布
4.1.2 SMEs vs large enterprises by sector 4.1.2 部門別の中小企業と大企業の比較
4.1.3 SMEs vs large enterprises by Member State 4.1.3 加盟国別の中小企業と大企業の比較
4.2 INFORMATION SECURITY SPENDING FOR SMES AND LARGE ENTERPRISES 4.2 中小企業および大企業の情報セキュリティ支出
4.2.1 IT spending 4.2.1 IT関連支出
4.2.2 Information security spending 4.2.2 情報セキュリティ支出
4.2.3 Information security spending as a share of IT spending 4.2.3 IT支出に占める情報セキュリティ支出の割合
4.2.4 NIS budget 4.2.4 NIS予算
4.3 INFORMATION SECURITY STAFFING FOR SMES AND LARGE ENTERPRISES 4.3 中小企業および大企業の情報セキュリティスタッフ数
4.3.1 IT FTEs for SMEs vs large enterprises 4.3.1 中小企業と大企業のIT FTE数の比較
4.3.2 Information security FTEs for SMEs vs large enterprises 4.3.2 中小企業と大企業の情報セキュリティのFTE(臨時雇い)数
4.3.3 Information security FTEs as a share of IT FTEs for SMEs vs large enterprises 4.3.3 中小企業と大企業のIT部門の常時雇用者数に占める情報セキュリティの常時雇用者数の割合
4.3.4 Incident response FTEs for SMEs vs large enterprises 4.3.4 中小企業と大企業のインシデント対応の常時雇用者数の比較
4.4 SECURITY PERFORMANCE FOR SMES VS LARGE ENTERPRISES 4.4 中小企業と大企業のセキュリティパフォーマンスの比較
4.5 CYBER INSURANCE FOR SMEs VS LARGE ENTERPRISES 4.5 中小企業と大企業の間のサイバー保険の違い
5. ADDITIONAL INSIGHTS FROM SELF-ASSESSMENT 5. 自己評価から得られた新たな知見
5.1 INDICATORS ASSOCIATED WITH HIGH SELF-ASSESSED SECURITY MATURITY 5.1 自己評価したセキュリティ成熟度が高い場合の指標
5.2 INDICATORS ASSOCIATED WITH LOW SELF-ASSESSED SECURITY MATURITY 5.2 自己評価したセキュリティ成熟度が低いことに関連する指標
5.3 INFORMATION SECURITY SPENDING 5.3 情報セキュリティ支出
6. CONCLUSIONS 6. 結論
A ANNEX: SURVEY DEMOGRAPHICS A 附属書:調査対象者の属性
A.1 MEMBER STATE AND SECTOR OF SURVEYED ORGANISATIONS A.1 調査対象組織の加盟国および業種
A.2 REVENUE BY SECTOR OF SURVEYED ORGANISATIONS A.2 調査対象組織の部門別売上高
A.3 EMPLOYEE COUNT OF SURVEYED ORGANISATIONS A.3 調査対象組織の従業員数
A.4 TYPE OF ORGANISATION (OES VS DSP) A.4 組織のタイプ(OESとDSP)
A.5 ADDITIONAL DATA A.5 追加データ
B ANNEX: DEFINITIONS B 附属書:定義
B.1 MEDIAN AND AVERAGE DEFINITIONS B.1 中央値と平均値の定義
B.2 CAGR DEFINITION B.2 CAGRの定義
B.3 SME DEFINITION B.3 SMEの定義
B.4 FINANCIALS B.4 財務の定義
B.5 INDUSTRIES B.5 インダストリー
B.6 IT SECURITY ANALYSIS FRAMEWORK B.6 ITセキュリティ分析フレームワーク
B.7 SECURITY ASSET TYPES B.7 セキュリティ資産の種類

 

OESとDSP

Operators of Essential Services (OES)  基幹サービス事業者 (OES)
•        Energy (electricity, oil and gas)  ・エネルギー(電気,石油,ガス)
•        Transport (air, rail, water and road)  ・輸送(航空, 鉄道, 海上, 道路)
•        Banking  ・銀行
•        Financial market infrastructures  ・金融市場インフラストラクチャー
•        Health  ・医療機関
•        Drinking water supply and distribution  ・飲料水の供給と配給
•        Digital infrastructure  ・デジタルインフラ
Digital Service Providers (DSP) デジタルサービスプロバイダ (DSP)
•        Online marketplace  ・オンライン・マーケットプレイス
•        Online search engine  ・オンライン検索エンジン
•        Cloud computing service  ・クラウドコンピューティングサービス

 

| | Comments (0)

2021.11.25

NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(暫定ドラフト)

こんにちは、丸山満彦です。

サイバーサプライチェーン (C-SCRM) ですね。。。

経済安全保障なのか、半導体分野での競争力強化なのか、コンピュータ分野における安全保障なのかよくわかりませんが、中国製品を使うな的なことを聞くことが増えてきました。しかし、中国生産の部品が使われているコンピュータの利用が安全保障的に不安というのであれば、使うなというよりも、安全に使えるようにするための基準やガイドの作成をするほうが重要な気がします。今の日本ではつくること難しいとは思いますが、米国が作成中なので、参考にしたらよいのでしょうね。。。日本製品版を作らないと日本製品はないので、米国製品使う前提となりますが、、、

すでに、1800-34A, 1800-34Bは3月、9月に初期ドラフトが公表されていますので、これで全体の初期ドラフトが揃ったことになります。。。

ちなみに、暫定ドラフト[PDF]は以下のとおりです。。。

NIST SP 1800-34A Executive Summary  エグゼクティブサマリー 
NIST SP 1800-34B Approach, Architecture, and Security Characteristics – what we built and why アプローチ、アーキテクチャ、セキュリティの特徴 - 何を作ったのか、なぜ作ったのか
NIST SP 1800-34C How-To Guides – instructions for building the example solution 利用ガイド - サンプルソリューションを構築するための手順

 

NIST - ITL

・2021.11.22 SP 1800-34 (Draft) Validating the Integrity of Computing Devices (Preliminary Draft)

Ensuring the Integrity of the Cyber Supply Chain サイバーサプライチェーンの完全性の確保
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This practice guide can benefit organizations who want to verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing and distribution process. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互に接続されたサプライチェーンのエコシステムに依存しています。組織は、意図的か否かにかかわらず、サイバー・サプライ・チェーンの危殆化のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。この実践ガイドは、コンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを確認したい企業にとって有益です。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire are genuine and have not been unexpectedly altered during manufacturing or distribution processes. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにますますさらされています。サイバーサプライチェーンのリスクには、偽造、不正生産、改ざん、窃盗、予期せぬソフトウェアやハードウェアの挿入などがあります。これらのリスクを管理するには、サイバーサプライチェーンとその製品・サービスの完全性を確保する必要があります。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが本物であり、製造や流通の過程で予期せず変更されていないことを検証する方法を示します。

 

・[PDF] SP 1800-34C (Prelim. Draft)

20211125-52654

 

1 Introduction 1 はじめに
1.1 How to Use This Guide 1.1 本ガイドの使用方法
1.1.1 Supplemental Material 1.1.1 補足資料
1.2 Build Overview 1.2 ビルドの概要
1.3 Typographic Conventions 1.3 表記規則
1.4 Logical Architecture Summary 1.4 論理的なアーキテクチャの概要
2 Product Installation Guides 2 製品インストールガイド
2.1 Supporting Systems and Infrastructure 2.1 サポートシステムとインフラ
2.1.1 Network Boot Services 2.1.1 ネットワークブートサービス
2.1.2 Platform Manifest Correlation System (PMCS) 2.1.2 プラットフォーム・マニフェスト相関図作成システム (PMCS)
2.2 Dell 2.2 デル
2.3 Eclypsium 2.3 Eclypsium
2.3.1 Download Eclypsium Agent 2.3.1 Eclypsiumエージェントのダウンロード
2.3.2 Install Eclypsium Agent for Windows 2.3.2 Windows版Eclypsiumエージェントのインストール
2.4 Host Integrity at Runtime and Start-Up (HIRS) Attestation Certificate Authority (ACA) 2.4 ランタイムおよびスタートアップ時のホスト・インテグリティ(HIRS)認証認証局(ACA)について
2.4.1 Installing the HIRS-ACA 2.4.1 HIRS-ACA のインストール
2.5 HP Inc. 2.5 株式会社HP
2.6 Hewlett Packard Enterprise (HPE) 2.6 ヒューレット・パッカード・エンタープライズ (HPE)
2.7 Intel 2.7 インテル
2.8 RSA Archer 2.8 RSAアーチャー
2.8.1 Prerequisites 2.8.1 前提条件
2.8.2 RSA Archer Installation 2.8.2 RSA Archerのインストール
2.9 Seagate 2.9 シーゲイト
2.10  Integrations 2.10 インテグレーション
2.10.1  Microsoft Endpoint Configuration Manager and Intel TSC Tooling 2.10.1 Microsoft Endpoint Configuration ManagerとIntel TSC Tooling
2.10.2  RSA Archer DataFeed Integrations 2.10.2 RSA Archer DataFeedインテグレーション
3 Operational Considerations 3 運用上の検討事項
3.1 Scenario 2: Verification of Components During Acceptance Testing 3.1 シナリオ2: 受入テストにおけるコンポーネントの検証
3.1.1 Technology Configurations 3.1.1 テクノロジーのコンフィグレーション
3.1.2 Asset Inventory and Discovery 3.1.2 資産台帳と発見
3.2 Scenario 3: Verification of Components During Use 3.2 シナリオ3:使用時のコンポーネントの検証
3.2.1 Technology Configurations 3.2.1 テクノロジーのコンフィグレーション
3.2.2 Dashboards 3.2.2 ダッシュボード
Appendix A: List of Acronyms 附属書A:頭字語リスト

 

参考

Supplemental Material:

Project homepage

・[PDF] SP 1800-34B (Prelim. Draft)

・[PDF] SP 1800-34A (Prelim. Draft)

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

 

| | Comments (0)

2021.11.24

インド 個人データ保護法が成立しますかね。。。

こんにちは、丸山満彦です。

インドの合同議会委員会(「JPC」)の議長であるShri PP Chaudhary氏が、2021年11月22日に、Twitter上でJPCが2019年の個人データ保護法案に関する報告書を採択したと発表していますね。。。

個人データ保護法案は99条あるようです。。。

近いうちに具体的な条文が公開されそうですね。。。

Twitter - PP Chaudhary

・2021.11.23 The Joint Committee on Personal Data Protection Bill has adopted its report on the Personal Data Protection Bill, 2019 with 93 recommendations. The bill has 99 clauses that shall ensure the process of safeguarding important personal data and privacy of the citizens.



The Joint Committee on Personal Data Protection Bill has adopted its report on the Personal Data Protection Bill, 2019 with 93 recommendations. The bill has 99 clauses that shall ensure the process of safeguarding important personal data and privacy of the citizens. 個人データ保護法案に関する合同委員会は、93の提言を含む2019年の個人データ保護法案に関する報告書を採択した。この法案には、市民の重要な個人データとプライバシーを保護するプロセスを確保する99の条項があります。
Personal Data Protection Bill, 2019 is going to help boost the digital economy, generate employment and enhance the ease of doing business. The bill is set to create a fine balance in maintaining privacy and helping government provide the services and benefits to the citizens. 2019年個人データ保護法案は、デジタル経済の活性化、雇用の創出、ビジネスのしやすさの向上に貢献することになる。この法案は、プライバシーの維持と、政府が市民にサービスや利益を提供することの支援において、絶妙なバランスを生み出すように設定されています。
In the interest of integrity, sovereignty and security of India, the authorities under the Personal Data Protection Bill, 2019 have been assigned to process and regulate the laws fairly and justly for the larger benefit of the community. インドの整合性、主権、安全性のために、2019年個人データ保護法案に基づく当局は、コミュニティのより大きな利益のために、公正かつ正当に法律を処理し、規制するように割り当てられています。
The Personal Data Protection Bill, 2019 lays down the mechanism for protection of personal data of the citizens. With the idea of Nation is first, the bill seeks to achieve data sovereignty and tends to focus and prioritize on the individual rights of the citizens. 2019年個人データ保護法案は、市民の個人データを保護するためのメカニズムを規定しています。国民第一主義の考えに基づき、この法案はデータ主権の達成を目指し、国民の個人的権利に焦点を当て、優先するようになっています。

 

Emblem_of_india

 


 

法案

2019年法案

この段階では98条ですね。。。

 

非営利団体による情報

PRS Legislative Research

Joint Committee on the Personal Data Protection Bill, 2019

法案の概要

・2019.12.11 The Personal Data Protection Bill, 2019

・[Wikipedia EN]

 

報道

adp live

・2021.11.22 JPC Adopts Draft Of Personal Data Protection Bill, To Be Tabled In Winter Parliament Session

The Joint Committee was constituted with the purpose to examine the Personal Data Protection Bill 2019. The Bill was introduced in the lower house of Parliament on December 11, 2019. 

 

| | Comments (0)

ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表

こんにちは、丸山満彦です。

ロシアでは、2021.07.01に施行された連邦法第236-FZ号「情報通信ネットワークにおける外国人の活動」によいロシア領土内のインターネット上での外国人の活動の実施に関連する関係を規制していて、第8条により、1日50万ユーザを超える利用者があるサイトを運営している企業は、ロシア国内に事務所を開設しなければならないことになっていますね。。。

ロシアのロシア 通信・IT・マスメディア監督連邦サービス (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) (Roskomnadzor))  [wikipedia EN]がロシア国内に事務所を開設しなければならないインターネット企業13社を公表していますね。。。

もちろん、Google, Apple, Meta (Facebook), Twitter, TickTok, Zoom, Viberなどがはいっていますが、Listには、Amazon, Microsoftの名前は見えません。。。

日本企業はないです。。。

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2021.11.22 Перечень иностранных лиц, осуществляющих деятельность в сети "Интернет" на территории Российской Федерации

  外国法人 リソース情報
1 Google LLC google.ru; www.google.ru; google.com; www.google.com; play.google.com; youtube.com; www.youtube.com; music.youtube.com; chat.google.com; mail.google.com; accounts.google.com; gmail.com; mail.google.com; accounts.google.com
2 Apple Distribution International Ltd. icloud.com; www.icloud.com; apps.apple.com; www.apple.com; music.apple.com
3 Meta Platforms, Inc. ru-ru.facebook.com; facebook.com; www.facebook.com; instagram.com; www.instagram.com; whatsapp.com; www.whatsapp.com; web.whatsapp.com
4 Twitter, Inc. twitter.com; www.twitter.com
5 TikTok Pte. Ltd. tiktok.com; www.tiktok.com
6 Telegram Messenger, Inc. telegram.org; www.telegram.org; t.me
7 Zoom Video Communications, Inc. zoom.us; www.zoom.us; explore.zoom.us
8 Likeme Pte.ltd. likee.video; www.likee.video; mobile.likee.video; l.likee.video; s.likee.video; mobile.like.video; likee.com
9 Viber Media S.à r.l. www.viber.com; viber.com
10 Discord, Inc. discord.com; www.discord.com
11 Pinterest, Inc. www.pinterest.ru; pinterest.ru; pinterest.com; about.pinterest.com; business.pinterest.com; policy.pinterest.com
12 Spotify AB open.spotify.com; www.spotify.com; wl.spotify.com; explore.spotify.com; play.spotify.com; accounts.spotify.com
13 Twitch Interactive, Inc. www.twitch.tv; twitch.tv; blog.twitch.tv

連邦法第236-FZ号「情報通信ネットワークにおける外国人の活動」の概要

N 236-ФЗ N 236-FZ
Обзор документа 概要
Президент подписал закон, устанавливающий порядок и условия осуществления иностранными лицами деятельности в сети Интернет с использованием информресурсов, суточная аудитория которых составляет более 500 тыс. российских пользователей. 大統領は、毎日50万人以上のロシア人ユーザーが利用する情報資源を利用したインターネットにおける外国人の活動の手順と条件を定めた法律に署名した。
Владельцы таких информресурсов для работы в России должны создать филиалы, или открыть представительства, или учредить российские юрлица, которые должны в полном объеме представлять интересы головных компаний и являться основным каналом взаимодействия российских регуляторов с ними на территории нашей страны. Эти обязанности также распространяют на провайдеров хостинга, операторов рекламных систем и организаторов распространения информации в сети Интернет. ロシアで事業を行うためには、そのような情報資源の所有者は、支店や駐在員事務所を設立したり、ロシアの法人を設立したりしなければならない。これらの法人は、親会社の利益を完全に代表し、ロシアの規制当局がわが国の領土で彼らと対話するための主要なチャネルとならなければならない。これらの義務は、ホスティングプロバイダー、広告システムオペレーター、インターネット上での情報発信の主催者にも適用される。
Предусмотрены следующие меры понуждения зарубежных интернет-компаний к исполнению требований российского законодательства: 外国のインターネット企業にロシアの法律を遵守させるために、以下のような措置が想定されている。
- информирование пользователей информресурса о нарушении законодательства РФ; ・情報リソースのユーザーに,ロシアの法律に違反していることを知らせる。
- запрет на распространение рекламы об информресурсе и на нем; ・情報資源に関する広告の配信を禁止すること。
- ограничение осуществления переводов в адрес интернет-ресурса; ・インターネット上のリソースへの転送を制限します。
- запрет на поисковую выдачу; ・検索エンジンの禁止。
- запрет на сбор и трансграничную передачу персональных данных; ・個人データの収集および国境を越えた移転の禁止。
- частичное или полное ограничение доступа к информационному ресурсу. ・情報資源へのアクセスを部分的または完全に制限すること。
Соответствующее решение будет принимать Роскомнадзор. 関連する決定は通信・IT・マスメディア監督連邦サービスが行う。
Закон вступает в силу со дня опубликования, за исключением отдельных положений, для которых установлены иные сроки введения в действие. この法律は、他の発効日が設定されている一部の条項を除き、その公表日に発効する。

 

 

1920pxemblem_of_roskomnadzorsvg

Continue reading "ロシア ロシア国内に事務所を開設しなければならないインターネット企業13社を公表"

| | Comments (0)

2021.11.23

米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

こんにちは、丸山満彦です。

米国の財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社が共同でコンピューターセキュリティインシデント通知についての最終規則の承認していますね。。。

銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行するとしています。

また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または劣化を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントであると判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてていますね。。。

他社が同様の被害を受けないようにするためにするための情報共有は重要だと思います。

規則は、2022.04.01に施行され、2022.05.01に遵守が求められますね。。。

 

財務省通貨監督庁

DEPARTMENT OF THE TREASURY Office of the Comptroller of the Currency: OCC

・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification

・[PDF

 

連邦準備制度

FEDERAL RESERVE SYSTEM

・2021.11.18 Agencies approve final rule requiring computer-security incident notification

・[PDF]

 

連邦預金保険公社

FEDERAL DEPOSIT INSURANCE CORPORATION: FDIC

・2021.11.18 Agencies Approve Final Rule Requiring Computer-Security Incident Notification

・[PDF]

20211122-182553

 

SUMMARY: The OCC, Board, and FDIC are issuing a final rule that requires a banking organization to notify its primary federal regulator of any “computer-security incident” that rises to the level of a “notification incident,” as soon as possible and no later than 36 hours after the banking organization determines that a notification incident has occurred. The final rule also requires a bank service provider to notify each affected banking organization customer as soon as possible when the bank service provider determines that it has experienced a computer-security incident that has caused, or is reasonably likely to cause, a material service disruption or degradation for four or more hours. サマリー:財務省通貨監督庁、連邦準備制度理事会、連邦預金保険公社は、銀行組織が「通知インシデント」のレベルに達した「コンピュータ・セキュリティインシデント」について、銀行組織が通知インシデントが発生したと判断した後、可能な限り早急に、遅くとも36時間以内に、主要な連邦規制当局に通知することを義務付ける最終規則を発行する。また、最終規則では、銀行サービス提供者が、4時間以上にわたって重大なサービスの中断または稼働低下を引き起こした、または引き起こす可能性が合理的に高いコンピュータ・セキュリティ・インシデントを経験したと判断した場合、影響を受ける銀行組織の各顧客に可能な限り早く通知することを求めてている。

 


その他、インシデント報告を法制化する話も出ていますね。。。

 

まるちゃんの情報セキュリティきまぐれ日記

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

| | Comments (0)

2021.11.22

英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15

こんにちは、丸山満彦です。

4000個目の記事になりますね。。。

さて、英国政府のデジタル・文化・メディア・スポーツ省が2021.05.17に意見募集をした、サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答が2021.11.15に発表されていますね。。。

 

● U.K. Govenment

プレス

- Cyber Security

・2021.11.15 (Press release) New plans to boost cyber security of UK's digital supply chains

New measures to enhance security of businesses’ IT services published

回答

・2021.11.15 (Policy paper) Government response on supply chain cyber security

The government's response to a call for views on improving cyber security in supply chains and managed service providers.


本文

・2021.11.15 Government response to the call for views on supply chain cyber security

 

1605137912888

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.19 英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての意見募集


 

 

Continue reading "英国 サプライチェーンとマネージドサービスプロバイダーのサイバーセキュリティについての質問に対する回答 at 2021.11.15"

| | Comments (0)

2021.11.21

中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

こんにちは、丸山満彦です。

中国通信院がモバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパーを公表していますね。。。

中国通信院 (China Academy of Information and Communications Technology: CAICT

2021.11.14 移动互联网应用程序(APP)个人信息保护治理白皮书 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

 

APPの個人情報保護は、

  • 中国共産党中央委員会国務院の大きな関心事であり、
  • 国民の広範な関心事であり、
  • 経済発展のための緊急の必要性であり、
  • 国際社会による普遍的な推進事項

となっているとのことです。

移动互联网应用程序(APP)个人信息保护治理白皮书 モバイル・インターネット・アプリケーション(APP)の個人情報保護ガバナンスに関する白書
【摘    要】 [概要] 
进入数字经济时代,技术发展日新月异,不仅极大地扩展了个人信息收集使用的规模,也加剧了个人信息泄露、滥用的风险,APP侵犯用户个人信息问题尤为突出。开展APP个人信息保护治理成为党中央国务院高度关注、人民群众广泛关切、经济发展迫切需要、国际社会普遍推进的重要议题。 デジタル経済の時代、テクノロジーの急速な発展により、個人情報の収集・利用の規模が大幅に拡大しただけでなく、個人情報の漏洩や悪用のリスクも強まっており、特にAPP社がユーザーの個人情報を侵害している問題が顕著になっています。 特にAPPがユーザーの個人情報を侵害している問題は顕著であり、APPの個人情報保護は、中国共産党中央委員会国務院の大きな関心事であり、国民の広範な関心事であり、経済発展のための緊急の必要性であり、国際社会による普遍的な推進事項となっています。
【目    录】 [目次]
一、 APP个人信息保护治理的重要性紧迫性日益凸显  1. APP個人情報保護ガバナンスの重要性と緊急性は、ますます顕著になっています。
(一) 落实中央决策部署的重要举措  (1) 中央政府の決定と配備を実行するための重要な措置 
(二) 维护用户合法权益的现实需要  (2) ユーザーの正当な権利と利益を守るための実際的な必要性 
(三) 营造公平竞争环境的关键手段  (3) 公平な競争環境を作るための重要な手段 
(四) 顺应国际发展趋势的普遍做法  (4)国際的な開発の流れに沿った共通の慣習 
二、 APP个人信息保护治理工作取得显著成效 2. APP個人情報保護ガバナンスは顕著な成果を上げている
(一)依法治理,政策法规制度持续完善   (1) 法律、政策、規制によるガバナンスの継続的な改善  
(二) 规范指引,标准体系建设基本形成  (2) 標準化と指導、標準システムの基本形成 
(三) 技管结合,检测平台建设稳步推进  (3)技術と管理の組み合わせ、テストプラットフォームの構築の着実な進展 
(四) 专项整治,用户权益保护明显改善  (4) 特別な修正、ユーザーの権利と利益の保護のための明らかな改善 
三、 纵深推进APP个人信息保护治理工作 3. APP個人情報保護のガバナンスの深化
(一)补齐短板,持续完善监管制度依据   (1) 欠点を補い、規制システムの基盤を継続的に改善すること  
(二)加强协同,建立健全联动治理机制   (2) 調整の強化と健全な共同統治メカニズムの確立  
(三)发挥优势,提升技术手段治理效能   (3) ガバナンスの技術的手段の利点を最大限に活かし、その効果を高めること  
(四)多元共治,推动行业发展行稳致远 (4)多面的なガバナンス、着実に前進するために業界の発展を促進するために

 

・[PDF]

20211121-70032

 

 

| | Comments (0)

欧州データ保護委員会 (EDPB) 意見募集 第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB)が、第三国または他の国への個人データの移転と認定する基準についてのガイド「GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021」についての意見募集をしていますね。。。

例示があって参考になりますね。。。

European Data Protection Board: EDPB

・2021.11.19 Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR

・[PDF

20211121-62044

Guidelines 05/2021 on the Interplay between the application of Article 3 and the provisions on international transfers as per Chapter V of the GDPR GDPR第5章における第3条の適用と国際移転に関する規定との相互関係に関するガイドライン 05/2021
Adopted on 18 November 2021 2021年11月18日採択
Table of contents 目次
1 Introduction 1 はじめに
2 Criteria to qualify a processing as a transfer of personal data to a third country or to an international organisation international organisation 2 処理を第三国または国際機関への個人データの移転と認定する基準
2.1 A controller or a processor is subject to the GDPR for the given processing 2.1 管理者または処理者が、所定の処理についてGDPRの対象となること
2.2 This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) 2.2 管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること
2.3 The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3 2.3 越境受信者が第三国に所在するか、または国際的な組織であること(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない)
3 Consequences 3 結果
The European Data Protection Board 欧州データ保護委員会
Having regard to Article 70 (1)(e) of the Regulation 2016/679/EU of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC, (hereinafter the “GDPR” or “Regulation”), 個人データの処理に関する自然人の保護および当該データの自由な移動に関する2016年4月27日の欧州議会および理事会の規則2016/679/EUの第70条(1)(e)を考慮し、指令95/46/ECを廃止する(以下、「GDPR」または「規則」という。)
Having regard to the EEA Agreement and in particular to Annex XI and Protocol 37 thereof, as amended by the Decision of the EEA joint Committee No 154/2018 of 6 July 2018,[1] EEA協定、特に2018年7月6日のEEA合同委員会の決定No.154/2018によって改正された附属書XI及びその議定書37を考慮する。 [1]
Having regard to Article 12 and Article 22 of its Rules of Procedure, 手続規則の第12条および第22条を考慮する。
HAS ADOPTED THE FOLLOWING GUIDELINES: 以下のガイドラインを採用します。
1       INTRODUCTION 1       イントロダクション 
1.          According to Article 44of the GDPR,[2] the conditions laid down in its Chapter V shall apply to any “transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation”.[3] The overarching purpose of Chapter V is to ensure that the level of protection guaranteed by the GDPR is not undermined when personal data are transferred “to third countries or to international organisations”.[4] 1.          GDPR第44条によれば[2] その第V章に定められた条件は、「第三国または国際機関への移転後に処理中または処理が意図されている個人データの移転」に適用されます。[3] 第V章の主な目的は、個人データが「第三国または国際機関」に移転される際に、GDPRが保証する保護レベルが損なわれないようにすることです。 [4]
2.          The provisions of Chapter V aim at ensuring the continued protection of personal data after they have been transferred to a third country or to an international organisation. When personal data is processed on EU territory it is protected not only by the rules in the GDPR but also by other rules, both on EU and Member State level, that must be in line with the GDPR (including possible derogations therein) and ultimately with the EU Charter on fundamental rights and freedoms. When personal data is transferred and made accessible to entities outside the EU territory, the overarching legal framework provided within the Union no longer applies. 2.          第5章の規定は、個人データが第三国または国際機関に移転された後も継続して保護されることを目的としています。個人データがEU域内で処理される場合は、GDPRの規則だけでなく、EUおよび加盟国レベルの他の規則によっても保護されます。これらの規則は、GDPR(その中で可能な例外規定を含む)、最終的には基本的権利と自由に関するEU憲章に沿ったものでなければなりません。個人データがEU域外の事業体に移転され、アクセスできるようになると、EU内で提供されている包括的な法的枠組みはもはや適用されません。
3.          Therefore, it must be ensured that the transferred personal data is protected in other ways, such as by being transferred in the context of an adequacy decision from the European Commission or by provision of appropriate safeguards in accordance with Chapter V of the GDPR. When relying on one of the transfer tools listed in Article 46 GDPR, it must be assessed whether supplementary measures need to be implemented in order to bring the level of protection of the transferred data up to the EU standard of essential equivalence.[5] This applies also in situations where the processing falls under Article 3(2) of the GDPR, in order to avoid that the protection provided by the GDPR is undermined by other legislation that the importer falls under. This may for example be the case where the third country has rules on government access to personal data that go beyond what is necessary and proportionate in a democratic society (to safeguard one of the important objectives as also recognised in Union or Member States’ law, such as those listed in Article 23(1) GDPR). The provisions in Chapter V are there to compensate for this risk and to complement the territorial scope of the GDPR as defined by Article 3 when personal data is transferred to countries outside the EU. 3.          したがって、欧州委員会の妥当性決定に基づいて移転されたり、GDPRの第5章に従った適切な保護措置が提供されるなど、移転された個人データが他の方法で保護されていることが保証されなければなりません。GDPR第46条に記載されている移転手段のいずれかに依拠する場合、移転されたデータの保護レベルを本質的同等性のEU基準にまで引き上げるために、補足的な措置を実施する必要があるかどうかを評価しなければなりません。[5] これは、処理がGDPR第3条第2項に該当する場合にも適用され、越境受信者が該当する他の法律によってGDPRによる保護が損なわれることを回避するためです。これは例えば、第三国が個人データへの政府のアクセスについて、民主主義社会において必要かつ妥当な範囲を超えた規則を持っている場合(GDPR第23条1項に記載されているような、EUまたは加盟国の法律でも認識されている重要な目的の1つを保護するため)などに当てはまります。第5章の規定は、このようなリスクを補い、個人データがEU域外の国に移転される場合に、第3条で定義されたGDPRの地域的範囲を補完するためのものです。
4.          The following sections aim at clarifying this interplay between Article 3 and the provisions of the GDPR on international transfers in Chapter V in order to assist controllers and processors in the EU in identifying whether a processing constitutes a transfer to a third country or to an international organisation and, as a result, whether they have to comply with the provisions of Chapter V of the GDPR. 4.          以下のセクションでは、第3条とGDPR第5章の国際移転に関する規定との間の相互関係を明確にし、EUの管理者および処理者が、処理が第三国または国際組織への移転に該当するかどうか、その結果、GDPR第5章の規定を遵守しなければならないかどうかを確認するのに役立てることを目的としています。
5.          It is however important to keep in mind that although a certain data flow may not constitute a transfer under Chapter V, such processing can still be associated with risks for which safeguards must be envisaged. Regardless of whether the processing takes place in the EU or not, controllers and processors always have to comply with all relevant provisions of the GDPR, such as the Article 32 obligation to implement technical and organizational measures taking into account, inter alia, the risks with respect to the processing. 5.          ただし、あるデータの流れが第5章の移転に該当しない場合でも、そのような処理には保護措置を想定しなければならないリスクが伴う可能性があることに留意する必要があります。処理がEU域内で行われるか否かにかかわらず、管理者および処理者は、特に処理に関するリスクを考慮した技術的および組織的措置を実施する第32条の義務など、GDPRのすべての関連規定を常に遵守しなければなりません。
2       CRITERIA TO QUALIFY A PROCESSING AS A TRANSFER OF PERSONAL DATA TO A THIRD COUNTRY OR TO AN INTERNATIONAL ORGANISATION 2       処理を第三国または国際機関への個人データの移転と認定するための基準。 
6.          Since the GDPR does not provide for a legal definition of the notion “transfer of personal data to a third country or to an international organisation”,[6] it is essential to clarify this notion. 6.          GDPRでは、「個人データの第三国または国際機関への移転」という概念の法的定義が規定されていないため[6] この概念を明確にすることが不可欠です。
7.          The EDPB has identified[7] the three following cumulative criteria that qualify a processing as a transfer:  7.          EDPBは、処理を移転と認定するために、以下の3つの累積基準を特定しました。[7] 
1)      A controller or a processor is subject to the GDPR for the given processing. 1)     管理者または処理者が、所定の処理についてGDPRの対象となること
2)     This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”). 2)     管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること
3)     The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3. 3)     越境受信者が第三国に所在するか、または国際的な組織であること(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない)
8.          It is useful to recall here that pursuant to Article 3, the application of the GDPR must always be assessed in relation to a certain processing rather than with regard to a specific entity (e.g. a company).[8] 8.          ここで思い出していただきたいのは、第3条に基づき、GDPRの適用は常に特定の企業(会社など)ではなく、特定の処理に関連して評価されなければならないということです。 [8]
2.1      A controller or a processor is subject to the GDPR for the given processing 2.1     管理者または処理者が、所定の処理についてGDPRの対象となること
9.          The first criterion requires that the processing at stake meets the requirements of Article 3 GDPR, i.e. that a controller or processor is subject to the GDPR for the given processing. This has been further elaborated on in the EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3). 9.          第1の基準は、問題となっている処理がGDPR第3条の要件を満たしていること、すなわち管理者または処理者が、所定の処理についてGDPRの対象となること。このことは、GDPRの領域的範囲(第3条)に関するEDPBガイドライン3/2018でさらに詳しく説明されています。
10.       It is worth underlining that controllers and processors, which are not established in the EU, may be subject to the GDPR pursuant to Article 3(2) for a given processing and, thus, will have to comply with Chapter V when transferring personal data to a third country or to an international organisation. 10.       EU域内で設立されていない管理者および処理者は、特定の処理について第3条(2)に基づきGDPRの適用を受ける可能性があり、したがって、個人データを第三国または国際機関に移転する際には、第5章を遵守しなければならないことを強調しておきます。
2.2       This controller or processor (“exporter”) discloses by transmission or otherwise makes personal data, subject to this processing, available to another controller, joint controller or processor (“importer”) 2.2      管理者または処理者(「越境送信者」)が、この処理の対象となる個人データを、別の管理者、共同管理者または処理者(「越境受信者」)に送信またはその他の方法で開示すること 
11.       The second criterion requires that there is a controller or processor disclosing by transmission or otherwise making data available to another controller or processor. These concepts have been further elaborated on in the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR. It should, inter alia, be kept in mind that the concepts of controller, joint controller and processor are functional concepts in that they aim to allocate responsibilities according to the actual roles of the parties and autonomous concepts in the sense that they should be interpreted mainly according to EU data protection law. A case-by-case analysis of the processing at stake and the roles of the actors involved is necessary.[9] 11.       2つ目の基準は、データを他の管理者または処理者に送信またはその他の方法で開示する管理者または処理者が存在することを必要とします。これらの概念は、GDPRにおける管理者と処理者の概念に関するEDPBガイドライン07/2020でさらに詳しく説明されています。特に、管理者、共同管理者、処理者の概念は、当事者の実際の役割に応じて責任を割り当てることを目的とした機能的な概念であり、主にEUデータ保護法に従って解釈されるべきであるという意味で、自律的な概念であることを念頭に置く必要があります。問題となっている処理と関係者の役割をケースバイケースで分析することが必要です。 [9]
12.       This second criterion cannot be considered as fulfilled where the data are disclosed directly and on his/her own initiative by the data subject[10] to the recipient. In such case, there is no controller or processor sending or making the data available (“exporter”).[11] 12.       この第2の基準は、データ対象者が自らの意思で直接[10] 受信者にデータを開示する場合には、満たされているとは見なされない。この場合、データを送信または利用可能にする管理者または処理者は存在しません(「越境送信者」)。 [11]
Example 1: Controller in a third country collects data directly from a data subject in the EU 例1:第三国の管理者がEU内のデータ対象者から直接データを収集する場合
Maria, living in Italy, inserts her personal data by filling a form on an online clothing website in order to complete her order and receive the dress she bought online at her residence in Rome. The online clothing website is operated by a company established in Singapore with no presence in the EU. In this case, the data subject (Maria) passes her personal data to the Singaporean company, but this does not constitute a transfer of personal data since the data are not passed by an exporter (controller or processor), since they are passed directly and on her own initiative by the data subject herself. Thus, Chapter V does not apply to this case. Nevertheless, the Singaporean company will need to check whether its processing operations are subject to the GDPR pursuant to Article 3(2).[12] イタリア在住のマリアさんは、オンラインで購入したドレスをローマの自宅で受け取るために、オンラインのアパレルサイトのフォームに個人情報を入力して注文を完了させました。この衣料品オンラインサイトは、シンガポールで設立された会社が運営しており、EU域内には存在しません。この場合、データ主体(マリア)は自分の個人データをシンガポールの会社に渡していますが、データ主体自身が直接かつ自発的に渡しているため、データは越境送信者(管理者または処理者)から渡されたものではなく、個人データの移転にはなりません。したがって、このケースにはChapter Vは適用されません。とはいえ、シンガポールの会社は、第3条(2)に従い、その処理業務がGDPRの対象となるかどうかを確認する必要があります。 [12]
Example 2: Controller in the EU sends data to a processor in a third country 例2:EUのコントローラが第三国のプロセッサにデータを送信する場合
Company X established in Austria, acting as controller, provides personal data of its employees or customers to a company Z established in Chile, which processes these data as processor on behalf of X. In this case, data are provided from a controller which, as regards the processing in question, is subject to the GDPR, to a processor in a third country. Hence, the provision of data will be considered as a transfer of personal data to a third country and therefore Chapter V of the GDPR applies. オーストリアに設立されたX社は、管理者としてその従業員または顧客の個人データをチリに設立されたZ社に提供し、Z社はX社に代わって処理者としてこれらのデータを処理します。この場合、データは、当該処理に関してGDPRの対象となる管理者から第三国の処理者に提供されます。したがって、データの提供は、個人データの第三国への移転とみなされ、GDPRの第5章が適用されます。
13. It is also important to note that Article 44 of the GDPR clearly envisages that a transfer may not only be carried out by a controller but also by a processor. Therefore, there may be a transfer situation where a processor sends data to another processor or even to a controller as instructed by its controller. 13.また、GDPR第44条では、移転は管理者だけでなく、処理者によっても行われる可能性があることが明確に想定されていることに留意する必要があります。したがって、処理者が他の処理者にデータを送信したり、あるいは制御者の指示に従って制御者にデータを送信したりする転送の状況があり得ます。
Example 3: Processor in the EU sends data back to its controller in a third country 例3:EU内の処理者が第三国の管理者にデータを送り返す場合
XYZ Inc., a controller without an EU establishment, sends personal data of its employees/customers, all of them non-EU residents, to the processor ABC Ltd. for processing in the EU, on behalf of XYZ. ABC re-transmits the data to XYZ. The processing performed by ABC, the processor, is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since ABC is established in the EU. Since XYZ is a controller in a third country, the disclosure of data from ABC to XYZ is regarded as a transfer of personal data and therefore Chapter V applies. EU域内に拠点を持たない管理者であるXYZ Inc.は、XYZに代わってEU域内で処理するために、その従業員/顧客(全員が非EU居住者)の個人データを処理者であるABC Ltd.に送信します。ABCはデータをXYZに再送信する。処理者であるABC社が行う処理は、ABC社がEUで設立されているため、GDPRの第3条(1)に基づく処理者固有の義務の対象となる。XYZは第三国の管理者であるため、ABCからXYZへのデータの開示は、個人データの移転とみなされ、第5章が適用される。
Example 4: Processor in the EU sends data to a sub-processor in a third country 例4:EU内の処理者が第三国の再委託処理者にデータを送信する場合
Company A established in Germany, acting as controller, has engaged B, a French company, as a processor on its behalf. B wishes to further delegate a part of the processing activities that it is carrying out on behalf of A to sub-processor C, a company established in India, and hence to send the data for this purpose to C. The processing performed by both A and its processor B is carried out in the context of their establishments in the EU and is therefore subject to the GDPR pursuant to its Article 3(1), while the processing by C is carried out in a third country. Hence, the passing of data from processor B to sub-processor C is a transfer to a third country, and Chapter V of the GDPR applies. 管理者であるドイツの会社Aは、その代理としてフランスの会社Bに処理者として従事しています。Bは、Aに代わって行っている処理活動の一部を、インドで設立された会社である再委託処理者Cにさらに委任することを希望しており、そのためにデータをCに送信します。Aとその処理者Bの両方が行っている処理は、EU内の事業所に関連して行われているため、GDPRの第3条1項に基づいてGDPRの対象となりますが、Cによる処理は第三国で行われています。したがって、処理者Bから再委託処理者Cへのデータの受け渡しは第三国への移転であり、GDPRの第V章が適用されます。
14.       The second criterion implies that the concept of “transfer of personal data to a third country or to an international organisation” only applies to disclosures of personal data where two different (separate) parties (each of them a controller, joint controller or processor) are involved. In order to qualify as a transfer, there must be a controller or processor disclosing the data (the exporter) and a different controller or processor receiving or being given access to the data (the importer). 14.       第2の基準は、「個人データの第三国または国際機関への移転」という概念が、2つの異なる(別の)当事者(それぞれが管理者、共同管理者または処理者)が関与する個人データの開示にのみ適用されることを意味する。移転と認められるためには、データを開示する管理者または処理者(越境送信者)と、データを受け取るまたはデータへのアクセスを与えられる別の管理者または処理者(越境受信者)がいなければなりません。
Example 5: Employee of a controller in the EU travels to a third country on a business trip 例5:EUの管理者の従業員が出張で第三国に行く場合
George, employee of A, a company based in Poland, travels to India for a meeting. During his stay in India, George turns on his computer and accesses remotely personal data on his company’s databases to finish a memo. This remote access of personal data from a third country, does not qualify as a transfer of personal data, since George is not another controller, but an employee, and thus an integral part of the controller (company A). Therefore, the disclosure is carried out within the same controller (A). The processing, including the remote access and the processing activities carried out by George after the access, are performed by the Polish company, i.e. a controller established in the Union subject to Article 3(1) of the GDPR. ポーランドに本社を置くA社の社員であるジョージは、会議のためにインドに出張した。インド滞在中、ジョージはコンピュータを起動し、メモを仕上げるために会社のデータベース上の個人データに遠隔地からアクセスしました。ジョージは他の管理者ではなく従業員であり、管理者(A社)と一体化しているため、このような第三国からの個人データの遠隔アクセスは、個人データの移転とは認められません。したがって、開示は同じ管理者(A社)内で行われます。リモートアクセスおよびアクセス後にジョージが行った処理活動を含む処理は、ポーランドの会社、すなわちGDPR第3条第1項の適用を受ける欧州連合内に設立された管理者によって行われます。
15.       Hence, if the sender and the recipient are not different controllers/processors, the disclosure of personal data should not be regarded as a transfer under Chapter V of the GDPR – since data is processed within the same controller/processor. In this context, it should be kept in mind that controllers and processors are nevertheless obliged to implement technical and organisational measures, considering the risks with respect to their processing activities, in accordance with Article 32 of the GDPR. 15.       したがって、送信者と受信者が異なる管理者/処理者ではない場合、データは同一の管理者/処理者内で処理されるため、個人データの開示はGDPRの第V章に基づく移転とみなされるべきではありません。なお、管理者および処理者は、GDPR第32条に基づき、その処理活動に関するリスクを考慮した技術的および組織的措置を実施する義務があることに留意する必要があります。
16.       It should also be recalled that entities which form part of the same corporate group may qualify as separate controllers or processors. Consequently, data disclosures between entities belonging to the same corporate group (intra-group data disclosures) may constitute transfers of personal data. 16.       また、同一企業グループに属する企業が、別個の管理者または処理者としての資格を有する場合があることにも留意する必要があります。したがって、同じ企業グループに属する企業間でのデータ開示(グループ内データ開示)は、個人データの移転を構成する可能性があります。
Example 6: A subsidiary (controller) in the EU shares data with its parent company (processor) in a third country 例6:EU域内の子会社(管理者)が第三国の親会社(処理者)とデータを共有する場合
The Irish Company A, which is a subsidiary of the U.S. parent Company B, discloses personal data of its employees to Company B to be stored in a centralized HR database by the parent company in the U.S. In this case the Irish Company A processes (and discloses) the data in its capacity of employer and hence as a controller, while the parent company is a processor. Company A is subject to the GDPR pursuant to Article 3(1) for this processing and Company B is situated in a third country. The disclosure therefore qualifies as a transfer to a third country within the meaning of Chapter V of the GDPR. 米国の親会社B社の子会社であるアイルランドのA社は、その従業員の個人データをB社に開示し、米国の親会社が一元化した人事データベースに保存しています。この場合、アイルランドのA社は雇用者として、つまり管理者としてデータを処理(および開示)し、親会社は処理者となります。A社はこの処理についてGDPR第3条第1項に準拠しており、B社は第三国に所在しています。したがって、この開示は、GDPRの第5章にいう第三国への移転に該当します。
17. Although a certain data flow may not qualify as a “transfer” to a third country in accordance with Chapter V of the GDPR, including example 5, such processing can still be associated with risks, for example due to conflicting national laws or government access in a third country as well as difficulties to enforce and obtain redress against entities outside the EU. The controller is accountable for its processing activities, regardless of where they take place, and must comply with the GDPR, including Article 24 (“Responsibility of the controller”), 32 (“Security of processing”), 33 (“Notification of a personal data breach”), 35 (“Data Protection Impact Assessment”), 48 (“Transfers or disclosures not authorised by Union law”), etc. Following from its obligation to implement technical and organisational measures taking into account, inter alia, the risks with respect to the processing under Article 32 of the GDPR, a controller may very well conclude that extensive security measures are needed – or even that it would not be lawful – to conduct or proceed with a specific processing operation in a third country although there is no “transfer” situation. For example, a controller may conclude that employees cannot bring their laptops, etc. to certain third countries. 17.例5を含むGDPRの第5章に基づき、あるデータフローが第三国への「移転」として適格ではない場合がありますが、そのような処理は、例えば、第三国の国内法や政府のアクセスが競合することや、EU域外の事業体に対して権利を行使して救済を得ることが困難であることなどのリスクを伴う可能性があります。管理者は、その処理活動がどこで行われているかに関わらず責任を負い、第24条(「管理者の責任」)、第32条(「処理のセキュリティ」)、第33条(「個人データ侵害の通知」)、第35条(「データ保護影響評価」)、第48条(「EU法で認められていない移転または開示」)など、GDPRを遵守しなければなりません。GDPR第32条に基づく処理に関するリスクを特に考慮した技術的および組織的な対策を実施する義務に続いて、管理者は、「移転」の状況ではないにもかかわらず、第三国で特定の処理作業を実施または続行するためには、大規模なセキュリティ対策が必要である、あるいは合法的ではないと結論づけることができます。例えば、管理者は、従業員がノートパソコンなどを特定の第三国に持ち込むことはできないと結論づけることができます。
2.3       The importer is in a third country or is an international organisation, irrespective of whether or not this importer is subject to the GDPR in respect of the given processing in accordance with Article 3 2.3      越境受信者が第三国に所在するか、または国際的な組織の場合(当該越境受信者が第3条に基づく所定の処理に関してGDPRの適用を受けるか否かを問わない) 
18 The third criterion requires that the importer is geographically in a third country or is an international organisation, but regardless of whether the processing at hand falls under the scope of the GDPR. 18 3つ目の基準は、越境受信者が地理的に第三国にいるか、国際的な組織であることを要求していますが、目の前の処理がGDPRの範囲に該当するかどうかは関係ありません。
Example 7: Processor in the EU sends data back to its controller in a third country 例7:EU内の処理者が第三国の管理者にデータを送り返す場合
Company A, a controller without an EU establishment, offers goods and services to the EU market. The French company B, is processing personal data on behalf of company A. B re-transmits the data to A. The processing performed by the processor B is covered by the GDPR for processor specific obligations pursuant to Article 3(1), since it takes place in the context of the activities of its establishment in the EU. The processing performed by A is also covered by the GDPR, since Article 3(2) applies to A. However, since A is in a third country, the disclosure of data from B to A is regarded as a transfer to a third country and therefore Chapter V applies. EUに事業所を持たない管理者であるA社は、EU市場に商品やサービスを提供しています。フランスの企業Bは、A社に代わって個人データを処理しており、BはA社にデータを再送信しています。処理者Bが行う処理は、EU内に設立された企業の活動に関連して行われているため、GDPRの第3条第1項に基づく処理者固有の義務の対象となります。しかし、Aは第三国にいるため、BからAへのデータの開示は第三国への移転とみなされ、第V章が適用されます。
3       CONSEQUENCES 3       結果 
19.       If all of the criteria as identified by the EDPB are met, there is a “transfer to a third country or to an international organisation”. Thus, a transfer implies that personal data are sent or made available by a controller or processor (exporter) which, regarding the given processing, is subject to the GDPR pursuant to Article 3, to a different controller or processor (importer) in a third country, regardless of whether or not this importer is subject to the GDPR in respect of the given processing. 19.       EDPBによって特定された基準がすべて満たされた場合、「第三国または国際組織への移転」が行われます。したがって、移転とは、所定の処理に関してGDPRの適用を受ける管理者または処理者(越境送信者)が、当該処理に関して越境受信者がGDPRの適用を受けるか否かにかかわらず、個人データを第三国の異なる管理者または処理者(越境受信者)に送信または利用可能にすることを意味します。
20.       As a consequence, the controller or processor in a “transfer” situation (according to the criteria described above) needs to comply with the conditions of Chapter V and frame the transfer by using the instruments which aim at protecting personal data after they have been transferred to a third country or an international organisation. 20.       その結果、(上述の基準による)「移転」状況にある管理者または処理者は、第V章の条件を遵守し、第三国または国際機関に移転された後の個人データの保護を目的とした手段を用いて移転を行う必要があります。
21.       These instruments include the recognition of the existence of an adequate level of protection in the third country or international organisation to which the data is transferred (Article 45) or, in the absence of such adequate level of protection, the implementation by the exporter (controller or processor) of appropriate safeguards as provided for in Article 46.[13] According to Article 49, personal data can be transferred to a third country or an international organisation without the existence of an adequate level of protection or the implementation of appropriate safeguards only in specific situations and under certain conditions. 21.       これらの手段には、データが転送される第三国または国際機関における適切なレベルの保護の存在を認識すること(第45条)、またはそのような適切なレベルの保護がない場合には、第46条に規定されているように、越境送信者(管理者または処理者)が適切な保護措置を実施することが含まれる。[13] 第49条によれば、個人データは、特定の状況および一定の条件の下でのみ、十分な保護水準の存在または適切な保護措置の実施なしに、第三国または国際機関に移転することができる。
22.       The main types of transfer tools listed in Article 46 are: 22.       第46条に記載されている主な転送ツールの種類は以下の通りです。
•       Standard Contractual Clauses (SCCs). •       SCC(Standard Contractual Clauses)。
•       Binding Corporate Rules (BCRs). •       Binding Corporate Rules(BCR)の略。
•       Codes of conduct. •       行動規範。
•       Certification mechanisms. •       認証メカニズム。
•       Ad hoc contractual clauses. •       アドホックな契約条項
•       International agreements/Administrative arrangements. •       国際協定/管理上の取り決め
23.       The content of the safeguards needs to be customized depending on the situation. As an illustration, the guarantees to be provided for a transfer of personal data by a processor are not the same as the ones to be provided for a transfer by a controller.[14] Similarly, for a transfer of personal data to a controller in a third country less protection/safeguards are needed if such controller is already subject to the GDPR for the given processing. Therefore, when developing relevant transfer tools (which currently are only available in theory), i.e. standard contractual clauses or ad hoc contractual clauses, the Article 3(2) situation should be taken into account in order not to duplicate the GDPR obligations but rather to address the elements and principles that are “missing” and, thus, needed to fill the gaps relating to conflicting national laws and government access in the third country as well as the difficulty to enforce and obtain redress against an entity outside the EU. To clarify, such tools should, for example, address the measures to be taken in case of conflict of laws between third country legislation and the GDPR and in the event of third country legally binding requests for disclosure of data. The EDPB encourages and stands ready to cooperate in the development of a transfer tool, such as a new set of standard contractual clauses, in cases where the importer is subject to the GDPR for the given processing in accordance with Article 3(2). 23.      保障措置の内容は、状況に応じてカスタマイズする必要があります。同様に、第三国の管理者への個人データの移転については、当該管理者が所定の処理について既にGDPRの適用を受けている場合には、より少ない保護/セーフガードが必要となります[14]。したがって、(現在は理論的にしか利用できない)関連する移転ツール、すなわち標準的な契約条項やアドホックな契約条項を開発する際には、GDPRの義務を重複させるのではなく、むしろ「欠けている」要素や原則に対処するために、矛盾する国内法や第三国の政府のアクセス、EU域外の事業体に対する強制執行や救済を受けることの難しさに関連するギャップを埋めるために必要な、第3条2項の状況を考慮する必要があります。明確にするために、このようなツールは、例えば、第三国の法律とGDPRが抵触する場合や、第三国の法的拘束力のあるデータ開示要求があった場合に取るべき措置を扱うべきです。EDPBは、輸入業者が第3条(2)に従って所定の処理についてGDPRの適用を受ける場合には、新しい標準契約条項などの移転ツールの開発を奨励し、協力する用意があります。

24.       To summarize, if the criteria as identified by the EDPB are not met, there is no “transfer” and Chapter V of the GDPR does not apply. As already mentioned, a controller is nonetheless accountable for all processing that it controls, regardless of where it takes place, and data processing in third countries may involve risks which need to be identified and handled (mitigated or eliminated, depending on the circumstances) in order for such processing to be lawful under the GDPR. 24.       要約すると、EDPBによって特定された基準が満たされていない場合、「移転」はなく、GDPRの第V章は適用されません。すでに述べたように、管理者は、それがどこで行われるかに関わらず、管理するすべての処理に対して責任を負います。また、第三国でのデータ処理にはリスクが伴う場合があり、GDPRの下で当該処理を合法的なものとするためには、リスクを特定し、処理(状況に応じて軽減または排除)する必要があります。
25.       It is worth underlining that controllers and processors whose processing is subject to the GDPR pursuant to Article 3 always have to comply with Chapter V of the GDPR when they disclose personal data to a controller or processor in a third country or to an international organisation. This also applies to disclosures of personal data carried out by controllers/processors which are not established in the EU but are subject to the GDPR pursuant to Article 3(2) to a controller or processor in the same or another third country. 25.       第3条に従ってGDPRの対象となる処理を行う管理者および処理者は、個人データを第三国の管理者または処理者、あるいは国際機関に開示する際には、常にGDPRの第5章を遵守しなければならないことを強調しておきます。これは、EU域内で設立されていないが、第3条(2)に基づきGDPRの対象となる管理者・処理者が、同じ国または他の第三国の管理者・処理者に対して行う個人データの開示にも適用されます。
[1] References to “EU” and “Member States” made throughout this document should be understood as references to “EEA” and “EEA Member States” respectively. [1]本書では、「EU」および「加盟国」という表現は、それぞれ「EEA」および「EEA加盟国」を指すものと理解してください。
[2] “Any transfer of personal data which are undergoing processing or are intended for processing after transfer to a third country or to an international organisation shall take place only if, subject to the other provisions of this Regulation, the conditions laid down in this Chapter are complied with by the controller and processor, including for onward transfers of personal data from the third country or an international organisation to another third country or to another international organisation.” [2] "第三国または国際機関への移転後に処理中または処理が意図されている個人データの移転は、第三国または国際機関から他の第三国または国際機関への個人データの転送の場合も含め、本規則の他の規定に従い、本章に定める条件が管理者および処理者によって遵守されている場合にのみ行われるものとする。"
[3] “International organisation” means an organisation and its subordinate bodies governed by public international law, or any other body which is set up by, or on the basis of, an agreement between two or more countries.  [3] 「国際組織」とは、国際公法が適用される組織およびその下部組織、または2国以上の国の間の合意に基づいて設立されたその他の組織をいう。 
[4] Besides Recital 101, this is particularly emphasized by Article 44, sentence 2 which reads: “All provisions in this Chapter shall be applied in order to ensure that the level of protection of natural persons guaranteed by this Regulation is not undermined.” [4]このことは、Recital 101の他に、第44条の第2文で特に強調されている。「この章のすべての規定は、この規則が保証する自然人の保護レベルが損なわれないように適用されなければならない」。
[5] See EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data and EDPB Recommendations 02/2020 on the European Essential Guarantees for surveillance measures. [5] EUレベルの個人情報保護への準拠を確保するための移転ツールを補完する措置に関するEDPB勧告01/2020と、監視措置のための欧州必須保証に関するEDPB勧告02/2020を参照。
[6] Article 44, sentence 1. [6] Article 44, sentence 1.
[7] Having regard to relevant findings in the CJEU Judgment of 6 November 2003, Bodil Lindqvist, C-101/01, EU:C:2003:596. [7] 2003年11月6日のCJEU判決、Bodil Lindqvist, C-101/01, EU:C:2003:596の関連する所見を考慮しています。
[8] See Sections 1–3 of the EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3). [8]GDPRの領土的範囲(第3条)に関するEDPBガイドライン3/2018のセクション1~3 を参照してください。
[9] See page 9 of the EDPB Guidelines 07/2020 on the concepts of controller and processor in the GDPR. [9]GDPRにおけるコントローラとプロセッサの概念については、EDPBガイドライン07/2020の9ページを参照してください。
[10] The data subject cannot be considered a controller or processor. This follows from Article 4(10) GDPR which differentiates between controller/processor and data subject. Hence, a data subject disclosing his/her own personal data cannot be considered an “exporter”. This is without prejudice to the fact that a natural person/an individual can be a controller/processor in accordance with Article 4(7) and 4(8) GDPR (e.g. as a self-employed person). However, this does not limit the protection that natural persons acting as a controller/processor enjoy where their own personal data are concerned. [10] データ主体は、管理者または処理者とみなすことはできません。これは、管理者/処理者とデータ主体を区別しているGDPR第4条(10)から導かれるものです。したがって、データ主体が自身の個人データを開示しても「越境送信者」とはみなされません。これは、自然人/個人がGDPR第4条(7)および第4条(8)に従って管理者/処理者になることができるという事実を損なうものではありません(例えば、自営業者として)。しかし、このことは、管理者/処理者として行動する自然人が、自身の個人データが関係する場合に享受する保護を制限するものではありません。
[11] In addition, it is important to recall that where the processing of personal data is carried out “by a natural person in the course of a purely personal or household activity”, such processing will, in accordance with Article 2(2)(c), fall outside the material scope of the GDPR. [11]さらに、個人データ の処理が「純粋に個人的または家庭的な活動の過程で自然人によって」行われる場合、そのような処理は、第2条2項(c)に従い、GDPRの重要な範囲外となることを覚えておくことが重要です。
[12] In this regard, see Recital 23, which includes elements to be assessed when determining whether the targeting criterion in Article 3(2)(a) GDPR is met. [12]この点については、GDPR第3条(2)(a)のターゲティング基準が満たされているかどうかを判断する際に評価すべき要素が含まれている Recital 23を参照してください。
[13] In this context, see also the EDPB Recommendations 01/2020 on measures that supplement transfer tools to ensure compliance with the EU level of protection of personal data. [13]これに関連して、個人データの保護に関するEUレベルへの準拠を確保するために転送ツールを補完する措置に関するEDPB勧告01/2020も参照してください。
[14] Cf. Commission Implementing Decision (EU) 2021/914 of 4 June 2021 on standard contractual clauses for the transfer of personal data to third countries pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council. [14] Cf.欧州議会および理事会の規則(EU)2016/679に基づく個人データの第三国への移転のための標準契約条項に関する2021年6月4日の欧州委員会実施決定(EU)2021/914。

 

 

| | Comments (0)

2021.11.20

中国 インターネットの法の支配についての普及・教育計画

こんにちは、丸山満彦です。

中国がインターネットに関連した法律の体系を整え、その理解を国民に浸透させていくための計画を発表していますね。。。こういう実行力がすごいですね。。。

重要な法律として

国家安全法 国家安全保障法
反恐怖主义法 テロ対策法
网络安全法 ネットワークセキュリティ法
英雄烈士保护法 英雄烈士保護法
电子商务法 電子商取引法
未成年人保护法 未成年者保護法
数据安全法 データセキュリティ法
个人信息保护法 個人情報保護法

あたりですかね。。。

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

2021.11.17 网信系统法治宣传教育第八个五年规划(2021-2025年)
ネットワークシステムの法に支配に関する普及・教育に関する第8次5ヵ年計画(2021-2025年)」について

 

《网信系统法治宣传教育第八个五年规划(2021-2025年)》 ネットワークシステムの法の支配に関する普及・教育の第8次5ヵ年計画(2021-2025年)」について
近日,中央网络安全和信息化委员会办公室印发《网信系统法治宣传教育第八个五年规划(2021-2025年)》(以下简称《规划》),对网信系统“八五”普法工作作出安排部署。 先日、サイバー空間情報化中央委員会事務局は、「ネットワークシステムにおける法の支配の普及と教育のための第8次5ヵ年計画(2021-2025)」(以下、「本計画」)を発表し、ネットワーク情報システムにおける法の普及のための「第8次5ヵ年計画」の準備と調整を行った。
《规划》强调,网络法治宣传教育是依法治网的长期基础性工作,是推进网信事业健康发展的必然要求。网络普法要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届二中、三中、四中、五中、六中全会精神,深入贯彻习近平法治思想、习近平总书记关于网络强国的重要思想,增强“四个意识”、坚定“四个自信”、做到“两个维护”,立足新发展阶段、贯彻新发展理念、构建新发展格局,围绕网络强国建设发展目标,系统谋划网络普法的重要任务、重点工作和重大工程,为网络强国建设营造良好的法治环境。 本計画では、法の支配に関するネットワーク普及・教育は、法の支配の長期的な基礎事業であり、ネットワークの健全な発展を促進するための必然的な要件であることを強調しています。 法のネットワークの普及は、ガイドとして新時代の中国の特徴を持つ社会主義の習近平思想に付着する必要があり、完全に第19回中国共産党全国代表大会と第19回中国共産党中央委員会の第二、第三、第四、第五、第六回全体会議を実装するには、法の支配に関する習近平思想の詳細な実装は、ネットワークの力に習近平総書記の重要なアイデアは、「4つの意識」を高める、しっかりとした 「4つの自信」 は、「2つの保護」を達成するために、新しい開発段階に基づいて、新しい開発コンセプトを実装し、新しい開発パターンを構築し、強力なネットワークの国の開発目標の建設を中心に、体系的に重要なタスク、重要な事業や法律のネットワークの普及の主要なプロジェクトを計画し、強力なネットワークの国の建設のために。 本計画では、ネットワーク上での法律の普及を組織的に行うことを提案しています。
《规划》提出,网络普法工作要坚持党的全面领导,坚持以人民为中心,坚持整体谋划、系统推进,坚持改革创新、精准高效。到2025年,网络普法工作协调机制更加健全,网络普法工作大格局全面形成;网络普法针对性、实效性明显提高,网民法治素养和法治意识显著增强,青少年网民网络法治素养不断提升;网络平台主体责任和行业自律有效落实,网络治理效能和治理水平实现新提升;网络综合治理体系更加完善,网络空间厉行法治的自觉性、积极性、主动性显著提升;全网尊法学法守法用法氛围更加浓厚,网络法治成为社会共识和基本准则,广大网民在互联网发展中享有更多的获得感、幸福感、安全感。 本計画では、ネットワークでの法律普及事業は、党の全体的な指導を堅持し、人民を中心に据え、全体的な計画と体系的な推進を堅持し、改革と革新、正確さと効率を堅持することを提案しています。 2025年までに、ネットワークにおける法の普及のための調整メカニズムがより健全になり、ネットワークにおける法の普及の一般的なパターンが完全に形成され、ネットワークにおける法の普及の関連性と有効性が大幅に改善され、ネットワークユーザーの法の支配に関するリテラシーと意識が大幅に向上し、若いネットワークユーザーのネットワークリテラシーが継続的に向上し、ネットワークプラットフォームの主な責任と業界の自主規制が効果的に実施され、ネットワークのガバナンスの有効性とレベルが新たに強化され、ネットワークの総合的なガバナンスシステムがより強化される。 包括的なネットワークガバナンスシステムが改善され、サイバースペースで法の支配を適用する意識、熱意、イニシアチブが大幅に強化された。法を尊重し、学び、遵守し、法を利用するという雰囲気がネットワーク全体で強くなり、ネットワーク上の法の支配が社会的コンセンサスとなり、基本的なガイドラインとなったことで、大多数のネットワークユーザーがネットワークの発展において、より大きな達成感、幸福感、安心感を享受することができるようになりました。
《规划》围绕五个方面部署了主要任务,一是明确网络普法的重点内容,二是系统提升全民网络法治素养,三是推进网络普法与依法治网有机融合,四是着力提升网络普法针对性实效性,五是构建网络普法大格局。此外,《规划》提出五项工程,包括:网信系统领导干部依法管网治网能力提升工程,青少年网络法治素养培育提升工程,互联网企业合规建设工程,网络普法师资培养工程,网络普法志愿者队伍建设工程。 本計画では、第一に、ネットワークにおける法の普及の重要な内容を明らかにすること、第二に、ネットワークにおける法の支配に対する国民全体のリテラシーを体系的に高めること、第三に、ネットワークにおける法の普及とネットワークにおける法の支配との有機的な統合を促進すること、第四に、ネットワークにおける法の普及の目標の有効性を高める努力をすること、第五に、ネットワークにおける法の普及の一般的なパターンを構築すること、という5つの側面を中心に主な課題を展開しています。 また、ネットワークシステムの主要幹部が法律に基づいてネットワークを管理・運営する能力を向上させるプロジェクト、若者のネットワーク上でのリーガルリテラシーを育成・向上させるプロジェクト、ネットワーク企業のコンプライアンスを構築するプロジェクト、ネットワーク普及のための教師を育成するプロジェクト、ネットワーク普及のためのボランティアチームを構築するプロジェクトなど、5つのプロジェクトを提案しています。
《规划》提出,要扎实做好网络普法工作组织实施,提高政治站位、加强组织领导,加强统筹协调、形成工作合力,强化保障机制、推动网络普法高质量发展,注重示范引领、做好指导检查,确保目标任务如期实现。 本計画では、ネットワーク上の法律を普及させる事業の組織化と実施をしっかりと行い、政治レベルを高め、組織のリーダーシップを強化し、調整を強化し、事業部隊を編成し、保証メカニズムを強化し、ネットワーク上の法律を普及させる事業の質の高い発展を促進し、デモンストレーションとリーダーシップに重点を置き、目的と課題が予定通りに達成されるように指導と検査をしっかりと行うことを提案しています。

 

1_20210612030101

その内容については、

↓↓↓

Continue reading "中国 インターネットの法の支配についての普及・教育計画"

| | Comments (0)

米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

こんにちは、丸山満彦です。

米下院監視改革委員会でのブライアン・A・ヴォルンドラン連邦捜査局(FBI)サイバー部門アシスタントディレクターの証言が公開されています。

ランサムウェアおよびその他のサイバーインシデントの報告義務化についても触れられています。FBIとしては歓迎の方向ですよね。。。

FBI

・2021.11.16 Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats

 

Cracking Down on Ransomware: Strategies for Disrupting Criminal Hackers and Building Resilience Against Cyber Threats Cracking Down on Ransomware: 犯罪者ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略
Statement for the Record 記録のための声明
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the invitation to provide remarks on the FBI’s role in our nation’s fight against ransomware. マロニー委員長、コマー上級委員、そして委員会のメンバーの皆様、ランサムウェアとの戦いにおけるFBIの役割について発言する機会をいただき、ありがとうございます。
Ransomware is a growing threat to the health and safety of the American people and our national and economic security, with no shortage of recent examples of ransomware’s wide-ranging effects. I am honored to lead the men and women of the FBI’s cyber program, where we are using our unique authorities to impose risk and consequences on the malicious cyber actors who are committing these crimes. But we cannot go at it alone, and as you will hear today, our strategy involves not only our partners in the federal government, but also those in the private sector and abroad. ランサムウェアは、米国民の健康と安全、そして国家と経済の安全保障に対する脅威として拡大しており、最近ではランサムウェアの広範な影響を示す例が後を絶ちません。私は、FBIのサイバープログラムを率いていることを光栄に思っています。FBIは独自の権限を駆使して、こうした犯罪を行う悪質なサイバー犯罪者にリスクと結果を与えています。しかし、FBIは単独で活動することはできません。本日ご紹介するように、FBIの戦略には、連邦政府のパートナーだけでなく、民間企業や海外のパートナーも参加しています。
The individuals who conduct cyber intrusions and ransomware campaigns, and the officials who direct or harbor them, believe they can compromise U.S. networks, steal our financial and intellectual property, and hold our critical infrastructure hostage for ransom, all without incurring risk themselves. サイバー攻撃やランサムウェアのキャンペーンを行う人物や、彼らを指示したり匿ったりする政府関係者は、米国のネットワークを危険にさらし、金融資産や知的財産を盗み、重要なインフラを人質にして身代金を要求することが、自分自身がリスクを負うことなくできると考えています。
The FBI sits at the convergence of U.S. government efforts to change this risk calculus. FBIは、このリスク計算を変えるための米国政府の取り組みの中心に位置しています。
As a member of both the law enforcement and intelligence communities, with domestic and international reach, the FBI is focusing our unique authorities, and our ability to engage with international law enforcement, domestic victims, and key technology service providers, to identify and disrupt adversaries before they compromise U.S. networks, and hold them accountable when they do. 法執行機関と情報機関の両方のコミュニティに属し、国内外で活動するFBIは、独自の権限と、国際的な法執行機関、国内の被害者、主要な技術サービスプロバイダと連携する能力を駆使して、敵対者が米国のネットワークを侵害する前に特定して混乱させ、侵害した場合にはその責任を追及しています。
Key to the FBI’s strategy is using the information and insight we develop through our investigations to support our full range of public and private sector partners. There are many countries, companies, and agencies who play roles in defending networks, sanctioning destabilizing behavior, collecting cyber threat intelligence, and conducting cyber effects operations. We seek to work with all of them, in the belief that our collective actions to combat cyber threats are most impactful when they are planned jointly and sequenced for maximum impact. FBIの戦略の鍵となるのは、捜査で得た情報や見識を活用して、官民を問わずあらゆるパートナーを支援することです。ネットワークの防御、不安定な行動への制裁、サイバー脅威情報の収集、サイバー作戦の実施などの役割を担う国、企業、機関は数多くあります。FBIは、サイバー脅威に対抗するための集団行動は、共同で計画し、最大の効果が得られるように順序立てて行うことが最も効果的であるという信念のもと、すべてのパートナーとの協力を求めています。
In coordination with our partners, the FBI has successfully disrupted numerous cybercriminal enterprises, including those deploying ransomware, but lasting impact will require joint, sequenced operations with our U.S. counterparts and foreign allies as well as a removal of the sense of impunity many of these actors currently feel. FBIは、パートナーとの連携により、ランサムウェアを配布している企業を含む数多くのサイバー犯罪企業を壊滅させることに成功していますが、その効果を持続させるためには、米国のカウンターパートや海外の同盟国との共同で順序立てた活動が必要であり、また、これらの犯罪者の多くが現在感じている免罪符の意識を取り除くことが必要です。
Just last week, we held a joint press conference with the departments of Justice, State, and Treasury to highlight our whole-of-government approach to tackling ransomware—in this case, the Sodinokibi/REvil variant responsible for thousands of ransomware attacks worldwide, including the July 2021 attack on IT management company Kaseya. Together, we announced: 先週、私たちは、司法省、国務省、財務省と共同で記者会見を開き、ランサムウェア(今回は、2021年7月にITマネジメント企業のKaseyaを狙った攻撃を含め、世界中で何千ものランサムウェア攻撃の原因となっているSodinokibi/REvil亜種)に対処するための政府全体のアプローチを強調しました。合わせて、次のことを発表しました。
1. The arrest and unsealing of charges on Ukrainian national Yaroslav Vasinskyi for deploying Sodinokibi ransomware on victims, including Kaseya’s computer systems; 1. ウクライナ国籍のヤロスラフ・ヴァシンスキーが、Kaseyaのコンピュータシステムを含む被害者にSodinokibiランサムウェアを展開した罪で逮捕され、告訴が解除されたこと。
2. The seizure of $6.1 million in funds traceable to and unsealing of charges on Yevgeniy Polyanin, a Russian national charged with conducting Sodinokibi/REvil ransomware attacks against thousands of victims; 2. 数千人の被害者に対してSodinokibi/REvilランサムウェア攻撃を行った罪で起訴されたロシア国籍のエフゲニー・ポリアニンの追跡可能な資金610万ドルを押収し、告訴状の開示を行いました。
3. OFAC sanctions against Vasinskyi and Polyanin, as well the Chatex virtual currency exchange for its part in facilitating financial transactions for ransomware actors; and 3. ランサムウェア実行者の金融取引を促進したとして、Vasinskyi、Polyanin、およびChatex仮想通貨取引所に対するOFAC制裁。
4. Two awards, totaling up to $15 million, for information leading to the identification, arrest, and/or conviction of Sodinokibi/REvil ransomware leadership or conspirators. 4. Sodinokibi/REvilランサムウェアのリーダーまたはその共謀者の特定、逮捕、有罪判決につながる情報に対して、2つの賞、合計1,500万ドルを授与。
And it is no coincidence that we announced these actions on the same day our foreign partners in Europol announced the arrest of two additional affiliates of the same group in Romania, and Eurojust made its own announcement regarding related efforts. These coordinated and sequenced operations are the culmination of close and painstaking international and federal law enforcement collaboration, across governments and with private sector companies. Yes, the cyber threat is daunting, but when we combine the right people, the right tools, and the right authorities, our adversaries are no match for what we can accomplish together. また、海外のパートナーであるユーロポールが、ルーマニアで同じグループの2つの関連会社を逮捕したことを発表したのと同じ日に、当社がこれらのアクションを発表し、ユーロジャストが関連する取り組みについて発表したのは偶然ではありません。これらの協調した一連の活動は、政府や民間企業の枠を超えた、国際的かつ連邦的な法執行機関の緊密かつ骨の折れる協力関係の集大成です。しかし、適切な人材、適切なツール、適切な権限を組み合わせれば、敵は私たちが協力して達成できることにはかないません。
What is Ransomware? ランサムウェアとは何か?
At its most basic, ransomware is a computer program created by malicious actors to 1) infect a computer or server, 2) encrypt its contents so they cannot be accessed or used, and 3) allow the malicious actors to demand that a ransom be paid in exchange for the decryption key. Victim organizations without effective backups are not able to operate until their data is restored. Ransomware can paralyze organizations, and the cost to rebuild an encrypted network can be catastrophic for small- and medium-sized businesses and municipalities. ランサムウェアとは、悪意ある者によって作成されたコンピュータプログラムで、1)コンピュータやサーバに感染し、2)コンテンツを暗号化してアクセスや使用ができないようにし、3)復号化キーと引き換えに身代金の支払いを要求できるようにするものです。有効なバックアップを持たない被害者の組織は、データが復旧するまで業務を行うことができません。ランサムウェアは組織を麻痺させ、暗号化されたネットワークを再構築するためのコストは、中小企業や自治体にとって壊滅的なものになる可能性があります。
The ransomware threat is not new, and it has been one of the FBI’s top priorities for cybercriminal investigations for some time. In 2018, for example, we eliminated the threat from a highly impactful ransomware variant called SamSam that infected victims in nearly every U.S. state, including the city of Atlanta, the Port of San Diego, and multiple major healthcare companies. Our investigation led to a November 2018 indictment of the responsible Iranian cybercriminals and sanctions against two digital currency exchanges that enabled their operations; this ransomware variant has not been seen since. ランサムウェアの脅威は目新しいものではなく、以前からFBIのサイバー犯罪捜査の最優先課題の一つとなっています。例えば2018年には、アトランタ市、サンディエゴ港、複数の大手ヘルスケア企業など、米国のほぼすべての州で被害者に感染した「SamSam」という影響力の強いランサムウェアの亜種の脅威を排除しました。私たちの調査により、2018年11月に責任者であるイランのサイバー犯罪者が起訴され、彼らの活動を可能にした2つのデジタル通貨取引所に対する制裁措置が取られ、それ以来このランサムウェアの亜種は見られなくなりました。
In a trend not unique to cybercrime, as we expand our capability to disrupt ransomware actors, criminals have adapted to increase the scale, impact, and prevalence of ransomware attacks. The increasingly sophisticated and targeted nature of ransomware campaigns has significantly increased their impacts on U.S. businesses, and ransom demands are growing larger. Simultaneously, “ransomware-as-a-service” (RaaS), in which a developer sells or leases the ransomware tools to their criminal customers, has decreased the barrier to entry and technological savvy needed to carry out and benefit from these compromises and increased the number of criminals conducting ransomware campaigns. As this has happened, the number of ransomware variants has grown; today, we have investigations into more than 100 variants, many of which have been used in multiple ransomware campaigns. Recently, we have seen “double extortion” ransomware—where actors encrypt, steal, and threaten to leak or sell victims’ data—emerge as a leading tactic for cybercriminals, raising the stakes for victims, which in turn has increased the likelihood of ransom payments being made. サイバー犯罪に特有の傾向ではありませんが、私たちがランサムウェアの行為者を破壊する能力を拡大する一方で、犯罪者はランサムウェア攻撃の規模、影響、普及率を高めるために適応しています。ランサムウェアのキャンペーンがますます洗練され、標的を絞って行われるようになったことで、米国企業への影響が大幅に増加し、身代金の要求額も大きくなっています。同時に、開発者が犯罪者の顧客にランサムウェアのツールを販売またはリースする「ランサムウェア・アズ・ア・サービス」(RaaS)により、これらの侵害を実行して利益を得るために必要な参入障壁や技術的な知識が減少し、ランサムウェアキャンペーンを行う犯罪者の数が増加しました。これに伴い、ランサムウェアの亜種の数も増加し、現在では100種類以上の亜種を調査しており、その多くが複数のランサムウェアキャンペーンで使用されています。最近では、被害者のデータを暗号化して盗み出し、それを漏洩したり販売したりすると脅す「二重恐喝」ランサムウェアがサイバー犯罪者の主要な手口として登場し、被害者の危機感を高め、その結果、身代金の支払いが行われる可能性が高くなっています。
While cybercriminals remain opportunistic, they have also become more targeted in their campaigns, purposely aiming their malware at those institutions that can least afford downtime, specifically infrastructure critical to public safety, including hospitals and emergency services. また、サイバー犯罪者は日和見的ですが、その一方で、ダウンタイムを最も回避できる機関、特に病院や救急隊などの公共の安全に関わるインフラを狙って、意図的にマルウェアを使用するようになっています。
These ransom payments are typically requested in the form of a virtual currency, like Bitcoin. Virtual currency is not governed by a central authority, and regulation of the industry is still evolving globally, which can make it difficult to find out who is behind a transaction. 身代金の支払いは、通常、ビットコインなどの仮想通貨を用いて要求されます。仮想通貨は、中央機関が管理しておらず、世界的に規制が進んでいるため、取引の背後にいる人物を突き止めることが困難な場合があります。
Cryptocurrency can be moved anywhere in the world, often more quickly than traditional currency, and these transactions frequently take place on the dark web, which presents its own set of problems. While these ransom demands often used to be just a few hundred dollars, we now see American businesses targeted with ransom demands in the millions, and in some cases tens of millions, of dollars. The statistics paint a stark picture: In 2020, the FBI’s Internet Crime Complaint Center (IC3) statistics showed a 20 percent increase in reported ransomware incidents and a 225 percent increase in reported ransom amounts. 暗号通貨は世界のどこにでも移動でき、従来の通貨よりも迅速に移動できることが多く、これらの取引はダークウェブ上で行われることが多いため、独自の問題を抱えています。このような身代金要求は、かつては数百ドル程度のものが多かったのですが、現在ではアメリカの企業が数百万ドル、場合によっては数千万ドルの身代金要求の対象となっています。統計では、このような状況が明らかになっています。2020年、FBIのInternet Crime Complaint Center(IC3)の統計によると、ランサムウェアの報告件数は20%、身代金の報告額は225%増加しています。
Unfortunately, what is reported is only a fraction of the incidents out there.1 残念ながら、報告されているのは、世の中に存在するインシデントのほんの一部に過ぎません1。
We have also seen both nation-state adversaries and cybercriminals targeting managed service providers (MSPs), whereby infecting one system, they can access the networks of hundreds of potential victims, as we saw in the Kaseya incident. But we are working to bring awareness to this method of compromise. In June, our partners at the U.S. Secret Service put together a cyber incident response simulation for companies that use MSPs, and it was my pleasure to join the Secret Service and give a unified federal message on the importance of hardening their systems and engaging with law enforcement before they are victims of an attack. また、国家レベルの敵対者とサイバー犯罪者の両方がマネージドサービスプロバイダ(MSP)を標的にしており、Kaseyaの事件で見られたように、1つのシステムに感染させることで、何百人もの潜在的な被害者のネットワークにアクセスすることができます。しかし、私たちは、このような不正アクセスの手口に対する認識を高めるために努力しています。6月には、米国シークレットサービスのパートナーが、MSPを利用している企業を対象としたサイバーインシデント対応シミュレーションを実施しました。私はシークレットサービスに参加して、攻撃の被害に遭う前にシステムを強化し、法執行機関と連携することの重要性について、連邦政府として統一的なメッセージを発信することができました。
Ransomware has become one of the most costly and destructive threats to businesses and governments. On top of this, throughout the COVID-19 pandemic, we saw callous opportunism by criminal groups who put public safety at risk by attacking health care providers during a global pandemic. These groups demonstrate no morality; they will target entities big and small, public and private, and show little care for how their actions affect vulnerable populations. ランサムウェアは、企業や政府にとって最もコストがかかり、破壊的な脅威の一つとなっています。さらに、COVID-19のパンデミックでは、世界的な大流行の際に医療機関を攻撃して公共の安全を危険にさらす犯罪グループの冷酷な日和見主義が見られました。このようなグループは、道徳心を持たず、大小、公私を問わず、自分たちの行動が弱い立場にある人々にどのような影響を与えるかをほとんど気にしません。
How the FBI’s Cyber Strategy Counters the Ransomware Threat ランサムウェアの脅威に対抗するFBIのサイバー戦略
Because this criminal activity has become more lucrative and enticing, it is our job to make it harder and more painful for hackers to do what they are doing. That is why we announced a new FBI cyber strategy last year, using our role as the lead federal agency with law enforcement and intelligence responsibilities to not only pursue our own actions, but to work seamlessly with our domestic and international partners to defend their networks, attribute malicious activity, sanction bad behavior, and take the fight to our adversaries overseas. We must impose risk and consequences on cyber adversaries and use our unique law enforcement and intelligence capabilities and authorities to do so through joint operations sequenced appropriately for maximum impact. We have to target the entire criminal ecosystem—including malware developers, money launderers, and shady infrastructure providers—and work with all relevant federal agencies like the Cybersecurity and Infrastructure Security Agency (CISA) and the Office of the National Cyber Director (ONCD), as well as victims and cybersecurity firms. All the while, we must continue to team with the Department of State to ensure our foreign partners are able and willing to cooperate in our efforts to bring the perpetrators of cybercrime to justice. このような犯罪行為は、より収益性の高い魅力的なものになっているため、ハッカーが彼らのような行為を行うことをより困難にし、より苦しめることが私たちの仕事です。昨年、FBIは新たなサイバー戦略を発表しました。法執行と諜報活動を担う連邦政府機関としての役割を活かし、自らの行動を追求するだけでなく、国内外のパートナーとシームレスに連携して、ネットワークを守り、悪意のある行為を特定し、悪質な行為に制裁を加え、海外の敵に戦いを挑んでいます。私たちは、サイバー敵対者にリスクと結果を与えなければならず、そのためには、法執行機関や情報機関の独自の能力と権限を活用し、最大の効果が得られるように適切な順序で共同作戦を行う必要があります。私たちは、マルウェア開発者、マネーロンダリングを行う者、怪しいインフラを提供する者など、犯罪のエコシステム全体を対象とし、サイバーセキュリティ・重要インフラセキュリティ庁 (CISA) 国家サイバーディレクター局 (ONCD) などの関連するすべての連邦機関や、被害者やサイバーセキュリティ企業と連携しなければなりません。その一方で、国務省と連携し、サイバー犯罪の犯人を裁くための取り組みに海外のパートナーが協力してくれるようにしなければなりません。
More specifically, and in conjunction with the Department of Justice’s recently-formed Ransomware and Digital Extortion Task Force, our strategy for countering ransomware and other complex cybercriminal schemes is focused on pursuing and disrupting 1) the actors, 2) their infrastructure, and 3) their money—all while providing help to victims and actionable intelligence to warn potential future victims. If there’s one thing the Bureau understands, it’s taking down criminal organizations, and when it comes to ransomware, we’re working with an unprecedented number of government and private sector organizations to do just that. When pursuing these actors, we work with like-minded countries to identify those responsible for damaging ransomware schemes, arrest them, and extradite them to the United States to face justice whenever possible. At the same time, taking down cybercriminals’ technical infrastructure adds to the impact, as it raises their costs, disrupts their operations, prevents new victims, and often gives us new intelligence on their operations. Lastly, since virtual currencies are so central to ransomware, we have developed our ability to trace these transactions and have been able to seize funds and shut down illicit currency exchanges in some instances. In addition to the seizure of $6.1 million from the Sodinokibi/REvil group that we announced just last week, we were also recently able to accomplish this objective in the Colonial Pipeline case, when the victim and our federal partners worked quickly and closely with us to recover a substantial portion of the cryptocurrency paid as ransom. Each of these is important, but we have the most durable impact when we do disrupt all three together. 具体的には、最近設立された司法省のランサムウェア・デジタル恐喝タスクフォースと連携して、ランサムウェアやその他の複雑なサイバー犯罪に対抗するための戦略は、1)行為者、2)インフラ、3)資金、を追求し、混乱させることに重点を置いています。ランサムウェアに関しては、これまでにない数の政府機関や民間企業と協力して、犯罪組織を壊滅させています。ランサムウェアに関しては、これまでにないほど多くの政府機関や民間企業と協力しています。また、同じ志を持つ国々と協力して、ランサムウェアの被害をもたらした犯人を特定し、逮捕し、可能な限り米国に送還して裁判にかけています。同時に、サイバー犯罪者の技術的なインフラを破壊することで、彼らのコストを上げ、業務を混乱させ、新たな被害者を出さないようにするとともに、彼らの活動に関する新たな情報を得ることができるため、影響力を高めることができます。最後に、ランサムウェアでは仮想通貨が非常に重要な役割を果たしているため、私たちはこれらの取引を追跡する能力を向上させ、場合によっては資金を差し押さえたり、不正な通貨取引所を閉鎖したりすることができました。先週発表したSodinokibi/REvilグループからの610万ドルの押収に加え、最近ではColonial Pipeline事件でも、被害者と連邦政府のパートナーが迅速かつ緊密に協力して、身代金として支払われた暗号通貨のかなりの部分を回収し、この目的を達成することができました。このように、それぞれが重要ですが、この3つを一緒に破壊することで、最も持続的なインパクトを与えることができます。
We do all this with victims at the center of our efforts. At the FBI, we aim to inform, support, and assist victims in navigating the aftermath of crime and the criminal justice process with dignity and resilience. We want to empower all victims of cyber intrusions, just as we do for victims of other crimes. In some instances, we have done this by developing or acquiring a ransomware’s decryption key to help victims recover without paying the ransom. We have also, on occasion, been able to give advance warning to vulnerable or targeted entities. While the FBI is not a remediation service, the work we do to investigate and respond to cybercrime enables us to collect information, which we share to prevent future attacks and use to assist victims if they have already been hit. 私たちは、被害者を中心に据えてこれらの活動を行っています。FBIでは、被害者が犯罪の後遺症や刑事司法プロセスを尊厳と回復力を持って乗り越えられるように、情報を提供し、支援し、サポートすることを目指しています。私たちは、他の犯罪の被害者と同じように、サイバー侵入のすべての被害者に力を与えたいと考えています。場合によっては、ランサムウェアの解読キーを開発または入手して、被害者が身代金を支払わずに回復できるようにしています。また、被害を受けやすい企業や標的となる企業に事前に警告を与えることもあります。FBIは修復サービスを提供しているわけではありませんが、サイバー犯罪の捜査と対応を行うことで情報を収集し、今後の攻撃を防ぐために共有したり、すでに被害に遭っている場合には被害者を支援するために利用しています。
As I mentioned, we have certain distinctive investigative authorities. And we have the good fortune of another domestic agency, CISA, with very different authorities and insights. Our roles complement each other, and when we work together, we strengthen our defense of cyberspace in ways we could not do if we were in competition or isolation. 先に述べたように、当社には特徴的な調査権限があります。また、幸運なことに、国内にはCISAという、まったく異なる権限と見識を持つ機関があります。それぞれの役割はお互いに補完し合い、協力し合うことで、競争したり孤立したりしていたのではできない方法で、サイバー空間の防衛を強化することができます。
To be more precise, the FBI contributes information we uniquely collect through a combination of criminal and national security authorities that are the envy of many partners overseas, and our physical presence across the U.S. enables our close engagement with victims. That engagement can yield details that unlock the secrets of who is compromising our networks, how our adversaries are succeeding, and where they may strike next because of the technical clues they leave behind. Once revealed, that information gives CISA the opportunity to identify other networks vulnerable to the same technique; it may give us, U.S. Cyber Command, or the National Security Agency a piece of the actor’s infrastructure to disrupt or exploit; and it helps the National Security Council know where to focus all the instruments of power the government might bring to bear against those responsible. These coordinated actions lead to the U.S. government’s most impactful cyber disruptions. We have also worked especially closely with CISA to share information with critical infrastructure owners and operators via FBI reports and joint advisories. より正確に言うと、FBIは、海外の多くのパートナーが羨むような犯罪と国家安全保障に関する権限を組み合わせて独自に収集した情報を提供しています。また、全米に広がるFBIの物理的な存在感は、被害者との密接な関わりを可能にします。その結果、誰がネットワークを侵害しているのか、敵はどのようにして成功しているのか、また、敵が残した技術的な手がかりから、次にどこを攻撃するのかといった秘密を解き明かすことができます。その情報が明らかになれば、CISAは同じ手法に脆弱な他のネットワークを特定することができ、我々や米国サイバー司令部、国家安全保障局は、行為者のインフラの一部を破壊したり利用したりすることができます。このような連携した行動が、米国政府の最もインパクトのあるサイバー破壊につながっているのです。また、CISAとは特に緊密に連携し、FBIの報告書や共同勧告を通じて重要インフラの所有者や運営者と情報を共有しています。
Our strategy has enabled us to land some major blows against the threat actors behind ransomware and its delivery mechanisms. But the ransomware threat is not going away, so we must carry this strategy and its momentum forward into 2022. この戦略により、ランサムウェアの背後にいる脅威の担い手とその配信メカニズムに対して大きな打撃を与えることができました。しかし、ランサムウェアの脅威がなくなることはないので、この戦略とその勢いを2022年に向けて進めていかなければなりません。
Addressing Ransomware’s Global Footprint ランサムウェアの世界的な広がりへの対応
As I mentioned earlier, without strong foreign partnerships, our cyber strategy cannot be fully implemented, and we cannot successfully counter the ransomware threat. 先に述べたように、海外との強力なパートナーシップがなければ、当社のサイバー戦略を完全に実施することはできず、ランサムウェアの脅威にうまく対抗することもできません。
We know our most significant threats come from foreign actors using global infrastructure to compromise U.S. networks. By working with friendly foreign law enforcement agencies and intelligence partners, we make it harder for these actors to conceal their activities and their whereabouts. 最も大きな脅威は、グローバルなインフラを利用して米国のネットワークを危険にさらす外国人であることがわかっています。友好的な外国の法執行機関や情報機関と協力することで、これらの行為者が自分たちの活動や居場所を隠すことを難しくしています。
Not every foreign nation helps us in this fight. While we seek to disrupt entire cybercriminal enterprises, the most impactful consequence we can impose on a malicious cyber actor is an arrest as part of comprehensive disruption. If an actor is in a country like Russia or China, an arrest is currently not a viable option. Even when an indicted cybercriminal is in another country, Russia in particular takes actions to interfere with our extraditions. To make things more difficult, the lines between nation-states and cybercriminal actors are blurred, and even though a foreign nation may not be directing a ransomware campaign, it may still be complicit by providing a safe haven to those malicious actors who are doing harm to the United States, our citizens, and our businesses. しかし、すべての国がこの戦いに協力してくれるわけではありません。私たちはサイバー犯罪者の企業全体を壊滅させることを目指していますが、悪質なサイバー犯罪者に課すことのできる最もインパクトのある結果は、包括的な壊滅の一環としての逮捕です。行為者がロシアや中国のような国にいる場合、現在のところ逮捕は実行可能な選択肢ではありません。起訴されたサイバー犯罪者が他国にいる場合でも、特にロシアは我々の身柄引き渡しを妨害する行動をとります。さらに言えば、国家とサイバー犯罪者の境界線は曖昧であり、外国がランサムウェアのキャンペーンを指揮していなくても、米国、米国市民、米国企業に害を及ぼす悪質な行為者に安全な避難場所を提供することで、加担している可能性があります。
But our allies outnumber our foes, and in just the past few months, our work with foreign partners—supported by our legal attaches overseas—has led to impactful consequences against cybercriminals and sent a strong message that the reach of the U.S. government extends beyond its borders. しかし、米国の同盟国は敵よりも数が多く、この数ヶ月間、海外のパートナーとの協力関係は、海外の法務担当者の支援を受けて、サイバー犯罪者に影響を与える結果となり、米国政府の権限は国境を越えて及ぶという強いメッセージを発信しています。
In January 2021, the FBI and others at the Department of Justice (DOJ) partnered with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, France, Lithuania, Canada, and Ukraine, with international activity coordinated by Europol and Eurojust, to disrupt the infrastructure of a highly destructive malware known as Emotet. Among other things, Emotet could also be used as a way to spread ransomware. This was one of the longest-standing professional cybercrime tools and had enabled criminals to cause hundreds of millions of dollars in damage to government, educational, and corporate networks. In this case, we used sophisticated techniques and our unique legal authorities, but it could never have happened without our international partners. 2021年1月、FBIをはじめとする司法省は、オランダ、ドイツ、英国、フランス、リトアニア、カナダ、ウクライナの法執行機関および司法当局と連携し、EuropolとEurojustが調整する国際的な活動により、「Emotet」という極めて破壊的なマルウェアのインフラを破壊しました。とりわけ、Emotetはランサムウェアを拡散する手段としても使われていました。これは古くからあるプロのサイバー犯罪ツールの一つで、犯罪者は政府、教育機関、企業のネットワークに何億ドルもの損害を与えることができました。このケースでは、高度な技術と独自の法的権限を駆使しましたが、海外のパートナーがいなければ決して実現しなかったことです。
Also this January, we worked with international partners in Canada and Bulgaria to disrupt NetWalker, a ransomware variant that affected numerous victims, including companies, municipalities, hospitals, law enforcement, emergency services, school districts, colleges, and universities. In this case, we obtained federal charges, and a subject was arrested in Canada pending extradition proceedings. In addition, we seized more than $450,000 in cryptocurrency. また、今年の1月には、カナダとブルガリアの国際的なパートナーと協力して、企業、自治体、病院、法執行機関、救急隊、学区、大学など、多くの被害者に影響を与えたランサムウェア「NetWalker」を阻止しました。この事件では、連邦政府による起訴を獲得し、対象者はカナダで逮捕され、身柄引き渡しの手続き中です。また、45万ドル以上の暗号通貨を押収しました。
In June, through coordination with law enforcement and judicial authorities in the Netherlands, Germany, the United Kingdom, Canada, Sweden, Italy, Bulgaria, and Switzerland, as well as Europol and Eurojust, we seized the web domains and server infrastructure of DoubleVPN, a virtual private network that allowed ransomware actors to attack their victims and hide their tracks. Thanks to this international operation, this service, which was heavily advertised on both Russian and English-speaking cybercrime forums, is no longer available to cybercriminals. 6月には、オランダ、ドイツ、英国、カナダ、スウェーデン、イタリア、ブルガリア、スイスの法執行機関および司法当局、EuropolおよびEurojustとの連携により、ランサムウェアの実行者が被害者を攻撃し、その痕跡を隠すことを可能にしていた仮想プライベートネットワーク「DoubleVPN」のウェブドメインとサーバーインフラを押収しました。この国際的な活動のおかげで、ロシア語圏と英語圏のサイバー犯罪フォーラムで大々的に宣伝されていたこのサービスは、サイバー犯罪者が利用できなくなりました。
How Victims and Potential Victims Can Help Themselves and Others 被害者および被害に遭う可能性のある人が自分自身や他人を助ける方法
We have the strategy to take action against our cyber adversaries. But the strategy will fail if we do not know about suspicious activity or that a compromise has occurred. And because of the nature of U.S. laws and network infrastructure, we will never know about most malicious activity if it is not reported to us by the private sector. 私たちは、サイバー敵対者に対して行動を起こすという戦略を持っています。しかし、不審な行動や侵害の発生を知らなければ、この戦略は失敗に終わります。米国の法律やネットワークインフラの性質上、民間企業からの報告がなければ、ほとんどの悪質な活動を知ることはできません。
We know ransomware victims, particularly large enterprises, risk negative publicity if they disclose being impacted by ransomware. As a result, ransomware incidents are often addressed by the victim directly and are never reported to the public or law enforcement. ランサムウェアの被害者、特に大企業は、ランサムウェアの影響を受けたことを公表すると、ネガティブなイメージを持たれるリスクがあることを知っています。そのため、ランサムウェアのインシデントは、被害者が直接対処することが多く、一般市民や法執行機関に報告されることはありません。
Ransomware incidents targeting public entities, such as state or local municipalities, often receive high levels of publicity. In addition to the losses reported to the IC3 that I mentioned earlier, these groups face costs associated with business disruption and remediation, which can eclipse the ransom demand itself. For example, these costs were $17 million and $18.2 million, respectively, in ransomware campaigns against Atlanta and Baltimore. 国や地方自治体などの公的機関を対象としたランサムウェアの被害は、しばしば高い評価を受けます。これらの団体は、先に述べたIC3に報告された損失に加えて、事業の中断と修復に関連するコストに直面し、身代金の要求そのものを凌駕することもあります。例えば、アトランタとボルチモアに対するランサムウェアのキャンペーンでは、これらのコストはそれぞれ1,700万ドルと1,820万ドルでした。
I would like to spend a moment on the decision of whether or not to make a ransom payment. The FBI discourages ransomware victims from paying ransom for a variety of reasons. Even if a ransom is paid, there is no guarantee the business or individual will regain access to their data. On top of this, paying a ransom does not always keep data from ultimately being leaked. Additionally, paying a ransom incentivizes future ransomware attacks and emboldens criminal actors to continue their illicit work. However, regardless of whether or not a victim chooses to pay, the FBI strongly encourages victims to report ransomware incidents to the FBI. Our goal is to identify, pursue, and impose consequences on criminal actors, not their victims. 身代金の支払いを行うかどうかの判断について、少し触れておきたいと思います。FBIは、様々な理由から、ランサムウェアの被害者に身代金の支払いを勧めています。身代金を支払ったとしても、企業や個人がデータへのアクセスを回復できる保証はありません。また、身代金を支払っても、最終的にデータが流出しないとは限りません。また、身代金を支払うことで、今後のランサムウェアの攻撃を助長し、犯罪者が不正な活動を続けることになります。しかし、被害者が身代金を支払うかどうかにかかわらず、FBIは被害者に対して、ランサムウェアの被害をFBIに報告することを強く推奨しています。私たちの目的は、被害者ではなく、犯罪者を特定し、追及し、その結果をもたらすことです。
We are pushing important threat information to network defenders, and we are making it as easy as possible for the private sector to share information with us. For example, we are emphasizing to the private sector how we keep our presence unobtrusive in the wake of a breach, how we protect information that companies and universities share with us and commit to providing useful feedback, and how we coordinate with our government partners so we speak with one voice. A call to one federal agency is a call to all federal agencies, and I hope we are sending that message by sitting as a unified front here today. 私たちは、重要な脅威の情報をネットワーク防御者に伝え、民間企業が私たちと情報を共有することができるようにしています。例えば、セキュリティ侵害が発生した際に、どのようにして私たちの存在を目立たせないようにするか、企業や大学が私たちと共有する情報をどのように保護し、有益なフィードバックを提供することをどのように約束するか、そして、どのようにして政府のパートナーと連携し、私たちが一つの声で話すことができるようにするかを、民間企業に強調しています。ある連邦政府機関への呼びかけは、すべての連邦政府機関への呼びかけであり、今日ここで一丸となって座っていることで、そのメッセージを伝えられればと思っています。
At the same time, we need the private sector to do its part. We need to be warned—quickly—when they see malicious cyber activity. We also need companies to work with us when we warn them they are being targeted. The recent examples of significant cyber incidents—SolarWinds, Microsoft Exchange, Colonial Pipeline, JBS, and Kaseya—only emphasize what Director Wray has been saying for a long time: The government cannot protect against cyber threats on its own. We need a whole-of-society approach that matches the scope of the danger. 同時に、民間企業にもその役割を果たしてもらう必要があります。悪質なサイバー活動を発見した場合には、迅速に警告を発してもらう必要があります。また、企業が標的にされていることを警告した場合、企業に協力してもらう必要があります。最近発生した重大なサイバー事件(SolarWinds、Microsoft Exchange、Colonial Pipeline、JBS、Kaseya)は、レイ長官が以前から言っていることを強調しています。政府だけでは、サイバー犯罪の脅威から守ることはできません。政府だけでは、サイバー脅威から守ることはできません。危険の範囲に合わせて、社会全体で取り組む必要があります。
There is really no other option for defending a country where nearly all of our critical infrastructure, personal data, intellectual property, and network infrastructure sit in private hands. So what specific steps can companies take to follow our guidance, protect themselves and our nation, and help themselves if ransomware strikes? 重要インフラ、個人情報、知的財産、ネットワークインフラのほぼすべてが民間の手に委ねられているこの国を守るためには、これ以外の選択肢はありません。では、ランサムウェアの被害に遭った場合、企業はどのような具体策を講じて、自社と国家を守り、自助努力をすればよいのでしょうか。
First, the public, cybersecurity professionals and system administrators, and business leaders can use threat information shared by the FBI and the rest of the federal government to strengthen their network defenses and guard against ransomware and other malicious cyber activity. まず、一般市民、サイバーセキュリティの専門家やシステム管理者、ビジネスリーダーは、FBIをはじめとする連邦政府が共有する脅威情報を利用して、ネットワークの防御を強化し、ランサムウェアやその他の悪意のあるサイバー活動から身を守ることができます。
Our reports, which are coordinated with our federal partners, are shared directly with critical infrastructure owners and operators, and when possible, are posted to our IC3 website to warn the public about the trends we are seeing and the specific threats out there. In addition to these threat advisories, CISA’s website and the new interagency site www.StopRansomware.gov have resources on how people and businesses can protect themselves. Some of the general cybersecurity practices we encourage include creating and securing offline backups of critical data, installing patches as soon as they become available, updating anti-virus software, connecting only to secure networks, employing multi-factor authentication, and ensuring the validity of all e-mails and the links they contain before clicking them. 連邦政府のパートナーと連携して作成された報告書は、重要インフラの所有者や運営者と直接共有されるほか、可能な場合はIC3のウェブサイトにも掲載され、我々が見ている傾向や具体的な脅威について一般の人々に警告を発します。これらの脅威に関する勧告に加えて、CISAのウェブサイトや新しい省庁間のサイト(www.StopRansomware.gov)には、人々や企業が自分自身を守るための情報が掲載されています。一般的なサイバーセキュリティ対策としては、重要なデータのオフラインバックアップの作成と保護、パッチが公開されたらすぐにインストール、アンチウイルスソフトウェアの更新、安全なネットワークのみへの接続、多要素認証の採用、電子メールをクリックする前にそのリンクの有効性を確認することなどが挙げられます。
Second, if you are an organization, create an incident response plan. If you are compromised, you need to know what to do. All of your leaders and security professionals need to be on the same page, and you must be able to make decisions quickly. Having worked with victims who had incident response plans versus those who did not, the difference is stark. 第二に、組織であれば、インシデントレスポンスプランを作成します。侵入された場合、何をすべきかを知っておく必要があります。組織のリーダーやセキュリティの専門家全員が同じ見解を持ち、迅速に意思決定を行うことが必要です。インシデントレスポンスプランを持っている被害者と持っていない被害者とを比較した結果、その差は歴然としています。
Victims with incident response plans are often able to respond faster and more efficiently and can significantly limit the damage caused by a ransomware incident. インシデント対応計画を持っている被害者は、多くの場合、より迅速かつ効率的に対応することができ、ランサムウェアのインシデントによる被害を大幅に抑えることができます。
Third, organizations should build relationships with their local FBI field offices. Whether you are a small organization or a large corporation, our local offices welcome making connections before anything has gone wrong. If you see us speaking at an event in your area, show up, and talk to us after—we would be thrilled to meet your CEO, chief information security officer (CISO), general counsel, or anyone who has a role in keeping your networks secure and incident response. But it cannot stop there. Continue to share information with us after that meeting, and you have my word we will do the same back to you. 第三に、企業は地元のFBI支局との関係を築くべきである。小規模な組織でも大企業でも、FBIの現地事務所は、何か問題が起きる前に関係を築くことを歓迎しています。CEO、最高情報セキュリティ責任者(CISO)、法務担当者など、ネットワークの安全性確保やインシデント対応に関わるすべての方にお会いしたいと思っています。しかし、それだけでは終わりません。お会いした後も、私たちと情報を共有してください。
Fourth, if you are compromised, or if you think you may have been, report it to us as quickly as you can. You can report these incidents via the Internet Crime Complaint Center at www.IC3.gov or by contacting your local FBI field office, hopefully to the FBI agent you already know. We will take it from there and make sure the wheels of the entire federal government incident response team are set into motion so you can focus on remediation. 第四に、もしも情報漏洩してしまった場合、あるいはその可能性がある場合には、できるだけ早く私たちに報告してください。インターネット犯罪苦情処理センター(www.IC3.gov)、または近くのFBI支局(できればお知り合いのFBI捜査官に)に連絡ください。そこから先は、連邦政府のインシデント対応チーム全体の歯車が動き出すようにして、皆さんが修復に専念できるようにします。
If an incident occurs, it may not be too late, but time is of the essence. The difference between seeking help on day one and day five is real–it can be the difference between a company reconstituting its network or declaring bankruptcy. We will always use our full range of national security authorities and criminal legal processes to investigate ransomware incidents, but many of those techniques require probable cause and prior court authorization, so there is no substitute for quick, voluntary action by private owners of U.S. networks and infrastructure in helping us act rapidly against a threat. Swift action from the private sector is an enormous public service, and we truly appreciate private sector cooperation whenever we can get it. In the Colonial Pipeline and Kaseya incidents, for example, swift reporting and response contained the impact of what could have been significantly worse events. インシデントが発生した場合、遅すぎるということはありませんが、時間は重要です。初日に助けを求めるのと、5日目に助けを求めるのとでは、企業がネットワークを再構築するか、破産を宣言するかの違いになりかねません。私たちは、ランサムウェアの事件を捜査するために、国家安全保障上のあらゆる権限と刑事法的手続きを常に駆使していますが、これらの手法の多くは、正当な理由と裁判所の事前承認を必要とするため、脅威に対する迅速な行動を支援するためには、米国のネットワークやインフラの民間所有者による迅速かつ自発的な行動に代わるものはありません。民間企業の迅速な行動は非常に大きな公共サービスであり、民間企業の協力にはいつでも心から感謝しています。例えば、Colonial PipelineとKaseyaの事件では、迅速な報告と対応により、もっとひどい事件になっていたかもしれない影響を抑えることができました。
Mandatory Reporting of Ransomware and Other Cyber Incidents ランサムウェアおよびその他のサイバーインシデントの報告義務化
The administration is supportive of legislative proposals that would require the reporting of a wider range of cyber incidents, to include ransomware and incidents that impact critical infrastructure and federal entities and their supply chain. These proposals would grant courts the authority to enjoin a greater range of botnets and other cybercrime involving damage to 100 or more computers, explicitly criminalize the sale or renting of a botnet, bring the forfeiture provisions of the Computer Fraud and Abuse Act (CFAA) in line with other federal statutes, and update the CFAA to add penalties for the crime of conspiracy. 米国政府は、ランサムウェア、重要インフラや連邦政府機関とそのサプライチェーンに影響を与えるインシデントを含む、より広範なサイバーインシデントの報告を義務付ける法案を支持しています。これらの提案は、100台以上のコンピュータに損害を与えるボットネットやその他のサイバー犯罪をより広範囲に差し止める権限を裁判所に与え、ボットネットの販売やレンタルを明確に犯罪化し、コンピュータ詐欺・乱用法(CFAA)の没収条項を他の連邦法と一致させ、CFAAを更新して共謀罪の罰則を追加するものです。
All of these legislative proposals would enhance the FBI’s ability to combat ransomware, but I would like to focus on mandatory cyber incident reporting legislation that is being considered in Congress. We welcome and applaud congressional efforts that would require the reporting of certain cyber incidents, including ransomware attacks. However, we are troubled that all legislation being considered on mandatory cyber incident reporting does not explicitly account for the essential role that federal law enforcement, and notably the Department of Justice and the FBI, plays in receiving cyber incident reporting and actioning the information to assist victims and impose risk and consequences on cybercriminals. これらの立法案はいずれもFBIのランサムウェア対策を強化するものですが、私が注目したいのは、議会で検討されているサイバーインシデント報告義務化法案です。私たちは、ランサムウェア攻撃を含む特定のサイバーインシデントの報告を義務付ける議会の取り組みを歓迎し、賞賛します。しかし、現在検討されているサイバー事件の報告義務化に関するすべての法案が、サイバー事件の報告を受け、被害者を支援し、サイバー犯罪者にリスクと結果を負わせるために情報を行動に移すという、連邦法執行機関、特に司法省とFBIが果たす本質的な役割を明示的に考慮していないことに、私たちは困っています。
The administration’s position is that the Department of Homeland Security (DHS) and DOJ – the two lead agencies respectively responsible for federal cyber incident response mitigation and investigation efforts for significant cyber incidents—should immediately receive all information mandated to be reported with appropriate protections. Cyber incidents that would have to be reported are not only digital breaches that require remediation, but also federal crimes that need to be investigated. Cyber incident reporting is crime reporting. To streamline and simplify reporting obligations, there should be one designated reporting intake mechanism for entities that are required to report, with the reports going to both DOJ and DHS. 政権の立場としては、重大なサイバーインシデントに対する連邦政府のサイバーインシデント対応の緩和と調査を担当する国土安全保障省(DHS)と司法省が、報告が義務付けられているすべての情報を適切な保護のもとで直ちに受け取るべきだと考えています。報告が必要となるサイバーインシデントは、修復が必要なデジタル侵害だけでなく、捜査が必要な連邦犯罪でもあります。サイバーインシデントの報告は、犯罪の報告です。報告義務を合理化・簡略化するために、報告義務のある事業者には指定された報告受付機構を1つ設け、その報告を司法省とDHSの両方に行うべきです。
Our need to receive all cyber incident reports is two-fold: one, to provide victims with rapid federal incident response support, and two, to disrupt ongoing harm through our unique authorities and forward-deployed capabilities. 1つは、被害者に連邦政府の迅速な事故対応支援を提供するため、もう1つは、独自の権限と前方展開された能力により、進行中の被害を阻止するためです。
Cyber threats are global, but victims need and deserve a local response. Many victims choose to report cyber incidents to the FBI because they know their local field office has a cyber squad with technically trained special agents, computer scientists, and other digital evidence and cyber threat experts who are ready to arrive on a victim’s doorstep in hours or less nationwide. But we can only move as fast as we learn about the incident. We owe it to the American people to not create any unnecessary delays to providing them with this assistance. サイバー脅威はグローバルなものですが、被害者はローカルな対応を必要としており、それに値するものです。多くの被害者は、FBIにサイバー事件を報告することを選択しています。それは、地元の支局には、技術的な訓練を受けた特別捜査官、コンピュータ科学者、その他のデジタル証拠やサイバー脅威の専門家を擁するサイバー部隊があり、全国で数時間以内に被害者のもとに到着する準備ができていることを知っているからです。しかし、私たちが動けるのは、事件の情報を知るまでの間だけです。私たちには、米国民への支援を不必要に遅らせることのないようにする義務があります。
When the FBI responds to a cyber incident report, the Bureau is not just there to collect evidence of a crime. The FBI arrives to assist victims. Our cyber threat experts rapidly analyze information that victims provide to determine if the incident resembles others that we are investigating so we can provide victims with the technical information and hands-on support they need to limit ongoing harm and prevent additional malicious activity on their networks. With the insights that we have as a member of the USIC, we are able to meld the information victims provide with the community’s holdings to fill in visibility gaps and inform victims how they can defend against active and potential threats. FBIがサイバー事件の報告に対応するとき、FBIは犯罪の証拠を集めるためだけに存在するのではありません。FBIは被害者を支援するために到着します。FBIのサイバー脅威の専門家は、被害者から提供された情報を迅速に分析し、FBIが調査している他の事件と類似しているかどうかを判断し、被害の拡大を抑え、ネットワーク上で悪意のある行為が行われないように、被害者に必要な技術情報や実地のサポートを提供します。また、USICの一員としての見識を活かし、被害者から提供された情報とコミュニティが保有する情報を融合させることで、情報の欠落を補い、現在進行中の脅威や潜在的な脅威からの防御方法を被害者に伝えることができます。
Rapid FBI responses to cyber victims has helped thwart major ongoing cyber incidents nationwide. Examples include stopping active intrusions into critical infrastructure entities, including a major healthcare facility; helping defense contractors block sensitive information from being exfiltrated from its networks; and helping a large financial institution secure terabytes of customer records, including personally identifiable information, that had been stolen from its systems. サイバー被害者に対するFBIの迅速な対応は、全国で進行中の大規模なサイバー事件を阻止するのに役立っています。例えば、大手医療施設などの重要インフラへの積極的な侵入を阻止したり、防衛関連企業がネットワークから機密情報が流出するのを防いだり、大手金融機関がシステムから盗まれた個人識別情報を含むテラバイト単位の顧客記録を保護するのに役立ったりしています。
But our rapid incident response services do not only help individual victims; they also help others who are vulnerable to similar cyber attacks. When recently assisting a major critical infrastructure victim during an ongoing incident, we identified a zero-day exploit the attackers were using, used our investigative tools to search for other victims affected by this vulnerability, and worked with CISA to provide cybersecurity assistance to these entities while a patch for the vulnerability was being developed. しかし、私たちの迅速なインシデントレスポンスサービスは、個々の被害者を助けるだけでなく、同様のサイバー攻撃にさらされている他の人々を助けることにもなります。最近では、ある重要インフラの被害者を支援した際に、攻撃者が使用していたゼロデイ・エクスプロイトを特定し、当社の調査ツールを使用してこの脆弱性の影響を受ける他の被害者を探し出し、CISAと協力して、脆弱性のパッチが開発されるまでの間、これらの企業にサイバーセキュリティの支援を行いました。
In another incident reported to the FBI, a victim reported the malicious sever that connected to its network. We used our law enforcement and intelligence authorities to quickly monitor the malicious actor’s virtual infrastructure, dispatched agents across the country to warn targeted entities that the actor planned to compromise next, provided these entities with security advice, and intercepted and corrupted some stolen information before it could be exfiltrated. また、FBIに報告された別の事件では、被害者からネットワークに接続した悪意のあるウィルスについての報告がありました。FBIは、法執行機関としての権限と情報機関としての権限を駆使して、悪意ある行為者の仮想インフラを迅速に監視し、全国に捜査官を派遣して、悪意ある行為者が次に侵害を計画していることを対象となる企業に警告し、これらの企業にセキュリティに関するアドバイスを提供し、盗まれた情報の一部が流出する前に傍受して破壊しました。
Each response feeds into our collective efforts to link intrusions to common perpetrators and virtual infrastructure, attribute incidents, and impose risk and consequences on cybercriminals. それぞれの対応は、侵入行為を共通の犯人や仮想インフラに結びつけ、インシデントを特定し、サイバー犯罪者にリスクと結果を負わせるための総合的な取り組みにつながります。
We need to track and disrupt malicious hackers’ activity, infrastructure, and illicit proceeds in as close to real-time as possible. The FBI needs to be able to receive cyber incident reporting information as soon as it is reported to facilitate the fastest federal response possible. There is simply no time to waste, especially in cyberspace. 私たちは、悪質なハッカーの活動、インフラ、不正な収益を可能な限りリアルタイムに追跡し、破壊する必要があります。FBIは、サイバー犯罪の報告を受けたらすぐにその情報を受け取り、連邦政府としての対応を迅速に行う必要があります。特にサイバー空間では、時間を無駄にすることはできません。
The administration also holds that both DHS and DOJ should be co-equal partners in developing the rules that will be used to set incident reporting requirements. However, current incident reporting legislation being considered fails to recognize the critical expertise and role that DOJ, including the FBI, play when it comes to cyber incident reporting. また、DHSとDOJは、インシデント報告の要件を定めるための規則を策定する上で、同等のパートナーであるべきだとしています。しかし、現在検討されているインシデント報告法案は、サイバーインシデント報告に関して、FBIを含むDOJが果たす重要な専門性と役割を認識していません。
Congress has previously recognized how valuable it is to have both DHS and DOJ setting standards to address cyber threats. In the Cybersecurity Information Sharing Act of 2015, Congress established joint roles for both departments to establish policies, procedures, and guidelines related to the receipt of cyber threat indicators and defensive measures. The administration believes co-equal roles for DHS and DOJ is also the right approach for cyber incident reporting rulemaking. 議会は以前から、サイバー脅威に対処するための基準をDHSとDOJの両方が設定することの価値を認めています。2015年のサイバーセキュリティ情報共有法において、議会は、サイバー脅威の指標と防御策の受領に関連する方針、手順、ガイドラインを確立するために、両省庁の共同の役割を確立しました。政権は、DHSとDOJが共同で同等の役割を果たすことが、サイバーインシデント報告の規則制定においても正しいアプローチであると考えています。
DOJ, including the FBI, bring investigative and intelligence expertise about what information law enforcement and national security agencies need to disrupt malicious cyber actors, degrade their capabilities, and ultimately hold them accountable. DOJ also has extensive experience in navigating complex privacy and civil liberties issues that will inevitably arise from new requirements and would prove to be invaluable in helping to set standards that strike the right balance to ensure that incident report information is collected, stored, and shared appropriately. FBIを含むDOJは、法執行機関や国家安全保障機関が悪意のあるサイバー犯罪者を阻止し、その能力を低下させ、最終的に責任を負わせるために必要な情報について、捜査や情報に関する専門知識を有しています。また、DOJは、新たな要件から必然的に生じる複雑なプライバシーや市民的自由の問題を解決するための豊富な経験を有しており、インシデントレポートの情報を適切に収集、保存、共有するための適切なバランスのとれた基準を設定する上で、非常に重要な役割を果たすことになるでしょう。
The FBI also brings substantial knowledge about how to manage centralized federal cyber incident reporting mechanisms based on its experience running the IC3. Each year, IC3 receives hundreds of thousands of complaints from the public, which the FBI uses to prompt response efforts and inform other agencies about intrusions. Joint DHS and DOJ rulemaking will provide for the best outcomes for the entire federal government as well as the public. また、FBIは、IC3の運営経験に基づき、連邦政府のサイバーインシデント報告機構を一元管理する方法についても豊富な知識を持っています。IC3には、毎年、何十万件もの苦情が寄せられており、FBIはこれらの苦情をもとに、対応策を講じたり、侵入について他の機関に知らせたりしています。DHSとDOJが共同でルールメイキングを行うことで、連邦政府全体と一般市民にとって最良の結果を得ることができます。
We are delighted so many in Congress are invested in passing cyber incident reporting legislation, but we have to make sure legislation explicitly empowers the agencies at the front lines of incident response. As you will hear all the witnesses at today’s hearing emphasize, cyber is the team sport, and the Department of Justice and the FBI are key players. It is time for legislation to reflect this reality. 議会の多くの議員がサイバー事件報告法の成立に尽力していることは喜ばしいことですが、事件対応の最前線にいる機関に明確な権限を与えるような法案にしなければなりません。本日の公聴会で証人の方々が強調されているように、サイバーはチームスポーツであり、司法省とFBIは重要な役割を担っています。司法省とFBIは重要な役割を担っています。今こそ、この現実を反映した法律を制定すべきです。
The Resource Demands of Malicious Cyber Activity 悪意のあるサイバー活動に必要な資源
When we do learn of a ransomware incident, our agents are in direct contact with victims and with private industry partners to share threat indicators—such as malicious IP addresses—and gather evidence that helps us identify who is compromised and who else is vulnerable. Our technically trained incident response assets throughout the country, collectively known as our Cyber Action Team (CAT), assist affected entities. Our field offices with experience in complex national security and cyber investigations are our hubs for triaging the data we acquire through legal process, from partners, and through other lawful means. And our digital forensics and intelligence personnel exploit that information for indicators and intelligence that will help us to attribute the malicious activity to those responsible. ランサムウェアの感染が判明した場合、FBI の捜査官は、被害者や民間企業のパートナーと直接連絡を取り、悪意のある IP アドレスなどの脅威の指標を共有し、誰が感染し、誰が脆弱なのかを特定するための証拠を収集します。また、技術的な訓練を受けたインシデント対応要員が全国に配置されており、「サイバー・アクション・チーム(CAT)」と総称され、被害を受けた企業を支援しています。また、複雑な国家安全保障やサイバー捜査の経験を持つフィールドオフィスは、法的手続きやパートナーからの情報提供など、合法的な手段で入手したデータのトリアージを行う拠点となっています。また、デジタルフォレンジックとインテリジェンスの担当者は、これらの情報を利用して、悪意のある活動の責任者を特定するのに役立つ指標や情報を探します。
With the growing frequency and scale of recent significant cyber incidents—in some cases involving tens of thousands of victims—we are increasingly faced with hard choices that carry risk, include moving personnel away from long-term investigations or other significant incidents so we can surge toward the immediate need. In our SolarWinds investigation alone, a single FBI field office collected more than 170 terabytes of data, about 17 times the content of the entire Library of Congress. The FBI continues to exploit and analyze intelligence and technical data to uncover adversary tactics, share our findings, and pursue actions that will prevent those responsible from striking again. 最近の重大なサイバー事件(数万人の犠牲者を出したケースもある)の頻度と規模が大きくなるにつれ、私たちはリスクを伴う難しい選択を迫られるようになっています。例えば、長期的な調査やその他の重大な事件から人員を移動させて、緊急の必要性に急行することもあります。ソーラーウインズの調査だけでも、FBIの1つの支局が収集したデータは170テラバイトを超え、これは米国議会図書館全体の約17倍に相当します。FBIは、敵の戦術を明らかにするために、情報や技術データを利用・分析し、調査結果を共有して、犯人の再犯を防ぐための行動を継続しています。
Recent ransomware campaigns have shown us the investments in time, money, and talent cybercriminals are willing to make to compromise our networks. Accordingly, it requires a teams-based approach among various departments and agencies to understand, defend against, and counter these malicious cyber actors. Congress can help us by providing the resources requested in the President’s 2022 budget request to ensure the FBI and our partners are resourced to play our respective parts as we defend the nation together. 最近のランサムウェアのキャンペーンは、サイバー犯罪者が私たちのネットワークを侵害するために、時間、資金、人材を惜しまないことを示しています。したがって、このような悪質なサイバー犯罪者を理解し、防御し、対抗するためには、さまざまな部門や機関がチームを組んで取り組むことが必要です。議会は、2022年の大統領予算要求で要求されている資源を提供することで、FBIとパートナー企業がそれぞれの役割を果たすための資源を確保し、共に国を守ることができるようにします。
Conclusion まとめ
Even more than the other criminal violations we investigate, the FBI depends on our partners—public and private, foreign and domestic—to help us keep Americans safe from the many threats posed by ransomware. As part of our strategy, we have been putting a lot of energy and resources into cultivating these partnerships. As Director Wray has put it, cyber is the ultimate team sport, and I truly believe our partners are seeing the benefits of having FBI Cyber on their team. ランサムウェアがもたらす多くの脅威からアメリカ国民の安全を守るためには、FBIが捜査する他の犯罪行為と同様に、官民、国内外のパートナーの協力が不可欠です。FBIの戦略の一環として、私たちはこのようなパートナーシップの構築に多くのエネルギーと資源を投入しています。レイ長官が言うように、サイバーは究極のチームスポーツであり、FBIサイバー部門をチームに加えることで、パートナー企業はそのメリットを実感していると思います。
Chairwoman Maloney, Ranking Member Comer, and members of the committee, thank you for the opportunity to testify today. I am happy to answer any questions you might have and to work together with you in the nation’s fight against ransomware so the FBI can help achieve our collective cyber mission—to give the American people safety, security, and confidence in our digitally connected world. マロニー委員長、コマー委員長、そして委員会のメンバーの皆様、本日は証言の機会をいただきありがとうございます。ご質問があれば喜んでお答えします。また、ランサムウェアとの戦いにおいて皆様と協力し、FBIのサイバーミッションの達成に貢献したいと考えています。
*** ***
1 In 2019, the IC3 received 2,047 ransomware complaints with adjusted losses of more than $8.9 million. This likely represents a small fraction of the true scope of the threat because it captures only those who individually reported to the IC3. These numbers represent a nearly 40 percent increase in ransomware complaints to the IC3 and more than double the adjusted losses reported in 2018. In 2020, the IC3 received 2,474 complaints identified as ransomware with adjusted losses of over $29.1 million. 1 2019年にIC3が受け取ったランサムウェアに関する苦情は2,047件で、調整後の損失額は890万ドルを超えています。この数字は、IC3に個別に報告した人のみを対象としているため、脅威の真の範囲のごく一部を示していると思われます。これらの数字は、IC3に寄せられたランサムウェアの苦情が約40%増加したことを示しており、2018年に報告された調整後の損失額の2倍以上となっています。2020年、IC3はランサムウェアと特定される2,474件の苦情を受け、調整後の損失額は2,910万ドルを超えました。
Resources リソース
Arrest in Ransomware Attack on Kaseya Kaseyaへのランサムウェア攻撃で逮捕

 

Doj_20210608075901

 


まるちゃんの情報セキュリティ気まぐれ日記

サイバーインシデント報告に関連する法律案(Cyber Incident Nortification Act of 2021案 と Cyber Incident Reporting Act of 2021案
)については、

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

捜査機関によるランサムウェア犯罪者に対する対応例

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.29 ENISA Threat Landscape 2021:ランサムウェア、クリプトジャッキングを利用した金銭目的のサイバー犯罪が急増

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.06.09 自分たちを守ってくれる高価で安全に暗号化された電話と思ってたら全て情報機関に筒抜けだった...

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2021.01.13 Europol 世界最大の違法ダークウェブマーケットプレイスを削除

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

・2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

・2020.06.28 Satoriの開発者に13ヶ月の刑?

・2020.03.26 FBI - FBI Takes Down a Russian-Based Hacker Platform; Arrests Suspected Russian Site Administrator

ちょっと毛色がちがいますが...

・2006.01.26 日本初 スパイウエア作成者逮捕

・2005.06.14 フィッシングで逮捕@日本

・2005.04.25 ドコモの個人情報漏えい事件で元従業員が逮捕された件と情報窃盗罪

 

国際連携

2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

大統領令 E014028 

2021.05.13 国家のサイバーセキュリティ大統領令

 

 

 

| | Comments (0)

日本公認会計士協会 意見募集 監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」 (公開草案)

こんにちは、丸山満彦です。

日本公認会計士協会(監査・保証実務委員会)では、

  1. 令和3年度税制改正による電子帳簿等保存制度の見直しに伴い、特にスキャナ保存制度について要件緩和がなされたこと、

  2. 昨今の企業におけるデジタルトランスフォーメーションやリモートワークの推進により、企業の取引情報の電子化が一層加速することが見込まれること等

に対応して、監査人が監査証拠を電子データの一種であるイメージ文書で入手する場合の実務上の指針を提供することを目的として、監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」を起草することになり、公開草案ができたので、意見募集しているということのようです。

いろいろと参考になることがあるかもしれませんね。。。

日本公認会計士協会

・2021.11.19 監査・保証実務委員会実務指針「イメージ文書により入手する監査証拠に関する実務指針」 (公開草案)の公表について

・[PDF]イメージ文書により入手する監査証拠に関する実務指針(公開草案)

20211120-13557

目次

Ⅰ 本実務指針の適用範囲
1.適用範囲
2.背景
3.定義

Ⅱ 監査の前提条件

Ⅲ イメージ文書に係るリスクの識別と評価
1.リスクの識別と評価
2.イメージ文書の特徴とリスク
 (1)
イメージ文書の特徴と作成プロセス等の理解
 (2) イメージ文書の特徴を踏まえたリスクへの対応の必要性
 (3) イメージ文書に係るリスクの分類
 (4) 令和3年度(2021 年度)税制改正による監査への影響

3.内部統制の理解
 (1)
関連する監基報の要求事項
 (2) 監査人が理解する内部統制

Ⅳ イメージ文書に係るリスクに対応する手続
1.評価したリスクへの対応
2.運用評価手続
 (1)
運用評価手続についての留意事項
 (2) 内部統制の無効化リスクを含む不正リスクの検討

3.監査証拠として利用する情報の信頼性を検討する手続(イメージ文書の信頼性を確かめるための直接的なテスト)
 (1)
被監査会社が作成したイメージ文書の真正性を確かめるための手続
 (2) 被監査会社が外部から入手したイメージ文書の真正性を確かめるための手続

Ⅴ 適用

付録1 電子帳簿保存法と本実務指針の適用範囲の関係
付録2 スキャナ保存制度を含む電子帳簿保存法の概要
付録3 イメージ文書と原本
付録4 イメージ文書の特徴とリスク
付録5 イメージ文書の特性から生じるリスクに対応するための内部統制の例示

本文書の範囲...

20211120-14502

 

| | Comments (0)

2021.11.19

SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

こんにちは、丸山満彦です。

NISTがパッチ管理についての2つのドラフトを公開し、意見募集をしています。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。

NIST - ITL

・2021.11.17 SP 800-40 Rev. 4 (Draft) Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology

SP 800-40 Rev. 4 (Draft) Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released two draft publications on enterprise patch management for public comment. Patching is a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. However, keeping software up-to-date with patches remains a problem for most organizations. National Cybersecurity Center of Excellence(NCCoE)は、組織全体のパッチ管理に関する2つのドラフト本文書を意見募集用に公開しました。パッチ適用は、コンピュータ技術の予防的保守の重要な要素であり、ビジネスを行う上でのコストであり、組織がそのミッションを達成するために必要なことです。しかし、多くの組織全体では、ソフトウェアを最新のパッチで維持することが課題となっています。
Draft NIST Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology, discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Draft SP 800-40 Revision 4 will replace SP 800-40 Revision 3, Guide to Enterprise Patch Management Technologies. ドラフト版NIST Special Publication (SP) 800-40 第4版 「組織全体のパッチ管理計画のためのガイド:技術についての予防的保守」では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を向上させるための組織全体戦略の策定を推奨しています。SP 800-40 第4版草案は、SP 800-40 第3版 「組織全体のパッチ管理技術ガイド」に代わるものです。
Draft NIST Special Publication (SP) 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways, builds upon the work in SP 800-40 Revisions 3 and 4. SP 1800-31 describes an example solution that demonstrates how tools can be used to implement the inventory and patching capabilities organizations need for routine and emergency patching situations, as well as implementing workarounds and other alternatives to patching.  NIST Special Publication (SP) 1800-31「既存ツール活用とより良い方法によるプロセスの実行」 は、SP 800-40 第3版および第4版 の作業を基に作成されています。SP 1800-31では、インベントリとパッチ機能を実装するためにツールをどのように使用できるかを示すソリューション例を紹介しています。
Abstract 概要
Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying installation of patches, updates, and upgrades throughout an organization. Patching is more important than ever because of the increasing reliance on technology, but there is often a divide between business/mission owners and security/technology management about the value of patching. This publication frames patching as a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. This publication discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Preventive maintenance through enterprise patch management helps prevent compromises, data breaches, operational disruptions, and other adverse events. 組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、およびインストールの検証を行うプロセスです。技術への依存度が高まっていることから、パッチ適用の重要性はかつてないほど高まっていますが、パッチ適用の価値については、ビジネス/ミッションオーナーとセキュリティ/技術管理者の間で意見が分かれることがよくあります。本文書では、パッチ適用を、コンピュータ技術の予防的保守の重要な要素、すなわちビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことの一部であると位置づけています。本文書では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を図るための組織全体戦略の策定を推奨しています。組織全体のパッチ管理による予防的な保守は、情報漏洩、データの流出、業務の中断、その他の有害な出来事を防ぐのに役立ちます。

・[PDF] SP 800-40 Rev. 4 (Draft) (DOI)

20211119-53112

 

Executive Summary  エグゼクティブサマリー 
Software used for computing technologies must be maintained because there are many in the world who continuously search for and exploit flaws in software. Software maintenance includes patching, which is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization.   世の中には、ソフトウェアの欠陥を探し出して悪用する輩が数多く存在するため、コンピュータ技術に使用されているソフトウェアには保守が必要です。ソフトウェアの保守には、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされているソフトウェアに対して、セキュリティや機能の問題を修正したり、新しい機能を追加したりするための変更を加える行為である「パッチ」が含まれます。組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、検証のプロセスです。 
In past perimeter-based security architectures, most software was operated on internal networks protected by several layers of network security controls. While patching was generally considered important for reducing the likelihood of compromise and was a common compliance requirement, patching was not always considered a priority. In today’s environments, patching has become more important, often rising to the level of mission criticality. As part of a zero trust approach to security, it is now recognized that the perimeter largely does not exist anymore, and most technologies are directly exposed to the internet, putting systems at significantly greater risk of compromise. This dynamic applies across all computing technologies, whether they are information technology (IT), operational technology (OT), Internet of Things (IoT), mobile, cloud, virtual machine, container, or other types of assets. Zero trust architectures emphasize business asset-specific security over just protecting a network with assets on it, so patching is vital for reducing risk to those individual assets and determining the assets’ trust status.  これまでの境界ベースのセキュリティアーキテクチャでは、ほとんどのソフトウェアは、何層ものネットワークセキュリティコントロールで保護された内部ネットワーク上で運用されていました。侵害の可能性を低減するためにはパッチの適用が重要であると一般的に考えられており、一般的なコンプライアンス要件でもありましたが、パッチの適用は必ずしも優先事項とはみなされていませんでした。今日の環境では、パッチ適用の重要性が増し、しばしばミッションクリティカルなレベルにまで達しています。セキュリティに対するゼロトラストアプローチの一環として、境界線はもはやほとんど存在せず、ほとんどの技術がインターネットに直接さらされているため、システムが危険にさらされるリスクが大幅に高まっていることが認識されています。このような状況は、IT、OT、IoT、モバイル、クラウド、仮想マシン、コンテナ、その他のタイプの資産など、あらゆるコンピューティング技術に当てはまります。ゼロトラストアーキテクチャーでは、資産が置かれたネットワークを保護するだけではなく、ビジネス資産に特化したセキュリティを重視しているため、それらの個別資産のリスクを低減し、資産の信頼状態を判断するためには、パッチの適用が不可欠です。
There is often a divide between business/mission owners and security/technology management. Business/mission owners may believe that patching negatively affects productivity, since it requires scheduled downtime for maintenance and introduces the risk of additional downtime if something goes wrong and disrupts operations. Leadership and business/mission owners should reconsider the priority of enterprise patch management in light of today’s risks. Patching should be considered a standard cost of doing business and should be rigorously followed and tracked. Just as preventive maintenance on corporate fleet vehicles can help avoid costly breakdowns, patching should be viewed as a normal and necessary part of reliably achieving the organization’s missions. If an organization needs a particular technology to support its mission, it also needs to maintain that technology throughout its life cycle – and that includes patching.  ビジネス/ミッションオーナーとセキュリティ/技術管理者の間には、しばしば溝があります。ビジネス/ミッションのオーナーは、パッチ適用は、保守のために予定されたダウンタイムを必要とし、何か問題が発生して業務に支障をきたした場合、さらにダウンタイムが発生するリスクがあるため、生産性に悪影響を与えると考えるかもしれません。リーダーシップとビジネス/ミッションのオーナーは、今日のリスクに照らし合わせて、組織全体のパッチ管理の優先順位を再考する必要があります。パッチの適用は、ビジネスを行う上での標準的なコストと考えるべきであり、厳密にフォローし、追跡する必要があります。組織全体の車両の予防的な保守がコストのかかる故障を回避するのに役立つように、パッチ適用は、組織のミッションを確実に達成するために通常必要とされるものと考えるべきです。組織がそのミッションをサポートするために特定の技術を必要とする場合、その技術のライフサイクルを通じて保守を行う必要があり、それにはパッチ適用も含まれます。
Leadership, business/mission owners, and security/technology management teams should jointly create an enterprise patch management strategy that simplifies and operationalizes patching while also improving its reduction of risk. This will strengthen organizational resiliency to active threats and minimize business and mission impacts. This publication provides recommendations for enterprise patch management planning.  リーダーシップ、ビジネス/ミッションオーナー、およびセキュリティ/技術管理チームは、パッチ適用を単純化して運用するとともに、リスクの低減を向上させる組織全体のパッチ管理戦略を共同で策定する必要があります。これにより、活発な脅威に対する組織の回復力が強化され、ビジネスやミッションへの影響が最小限に抑えられます。本文書は、組織全体のパッチ管理計画に関する推奨事項を示したものです。

 

目次

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Changes from Previous Versions 1.2 旧版からの変更点
1.3 Publication Structure 1.3 本文書の構成
2 Risk Response Approaches for Software Vulnerabilities 2 ソフトウェアの脆弱性に対するリスク対応手法
2.1 Risk Responses 2.1 リスク対応策
2.2 Software Vulnerability Management Lifecycle 2.2 ソフトウェア脆弱性管理のライフサイクル
2.3 Risk Response Execution 2.3 リスク対応の実行
2.3.1 Prepare to Deploy the Patch 2.3.1 パッチを展開するための準備
2.3.2 Deploy the Patch 2.3.2 パッチの展開
2.3.3 Verify Deployment 2.3.3 パッチの展開を確認する
2.3.4 Monitor the Deployed Patches 2.3.4 展開されたパッチの監視
3 Recommendations for Enterprise Patch Management Planning 3 組織全体のパッチ管理計画に関する推奨事項
3.1 Reduce Patching-Related Disruptions 3.1 パッチに関連した混乱の軽減
3.2 Inventory Your Software and Assets 3.2 ソフトウェアと資産の棚卸し
3.3 Define Risk Response Scenarios 3.3 リスク対応シナリオの策定
3.4 Assign Each Asset to a Maintenance Group 3.4 各資産を保守グループに割り当てる
3.5 Define Maintenance Plans for Each Maintenance Group 3.5 各保守グループの保守計画の策定
3.5.1 Maintenance Plans for Scenario 1, Routine Patching 3.5.1 シナリオ1、定期的なパッチ適用のための保守計画
3.5.2 Maintenance Plans for Scenario 2, Emergency Patching 3.5.2 シナリオ2、緊急時のパッチ適用のための保守計画
3.5.3 Maintenance Plans for Scenario 3, Emergency Workarounds 3.5.3 シナリオ3、緊急回避のための保守プラン
3.5.4 Maintenance Plans for Scenario 4, Unpatchable Assets 3.5.4 シナリオ4の保守計画(パッチ不可能な資産の場合
3.6 Choose Actionable Enterprise-Level Patching Metrics 3.6 実用的な組織全体レベルのパッチ適用指標の選択
3.7 Consider Software Maintenance in Procurement 3.7 ソフトウェア保守の調達を考慮する
References 参考文献
  Mappings to NIST Guidance and Frameworks   NISTガイダンス及びフレームワークへのマッピング
  Acronyms   頭字語

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

| | Comments (0)

NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

こんにちは、丸山満彦です。

NISTがパッチ管理についての2つのドラフトを公開し、意見募集をしています。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。

NIST - ITL

・2021.11.17 SP 1800-31 (Draft) Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways

SP 1800-31 (Draft) Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has released two draft publications on enterprise patch management for public comment. Patching is a critical component of preventive maintenance for computing technologies—a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. However, keeping software up-to-date with patches remains a problem for most organizations. National Cybersecurity Center of Excellence(NCCoE)は、組織全体のパッチ管理に関する2つの文書のドラフトを公開し、パブリックコメントを求めています。パッチ適用は、コンピュータ技術の予防的保守の重要な要素であり、ビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことです。しかし、多くの組織全体では、ソフトウェアを最新のパッチで維持することが課題となっています。
Draft NIST Special Publication (SP) 800-40 Revision 4, Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology, discusses common factors affecting enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Draft SP 800-40 Revision 4 will replace SP 800-40 Revision 3, Guide to Enterprise Patch Management Technologies. ドラフト版NIST Special Publication (SP) 800-40 第4版 「組織全体のパッチ管理計画のためのガイド:技術についての予防的保守」では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を向上させるための組織全体戦略の策定を推奨しています。SP 800-40 第4版草案は、SP 800-40 第3版 「組織全体のパッチ管理技術ガイド」に代わるものです。
Draft NIST Special Publication (SP) 1800-31, Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways, builds upon the work in SP 800-40 Revisions 3 and 4. SP 1800-31 describes an example solution that demonstrates how tools can be used to implement the inventory and patching capabilities organizations need for routine and emergency patching situations, as well as implementing workarounds and other alternatives to patching.  NIST Special Publication (SP) 1800-31「既存ツール活用とより良い方法によるプロセスの実行」 は、SP 800-40 第3版および第4版 の作業を基に作成されています。SP 1800-31では、インベントリとパッチ機能を実装するためにツールをどのように使用できるかを示すソリューション例を紹介しています。
Abstract 概要
Despite widespread recognition that patching is effective and attackers regularly exploit unpatched software, many organizations do not adequately patch. There are myriad reasons why, not the least of which are that it’s resource-intensive and that the act of patching can reduce system and service availability. Also, many organizations struggle to prioritize patches, test patches before deployment, and adhere to policies for how quickly patches are applied in different situations. To address these challenges, the NCCoE is collaborating with cybersecurity technology providers to develop an example solution that addresses these challenges. This NIST Cybersecurity Practice Guide explains how tools can be used to implement the patching and inventory capabilities organizations need to handle both routine and emergency patching situations, as well as implement workarounds, isolation methods, or other alternatives to patching. It also explains recommended security practices for patch management systems themselves. パッチを当てることは効果的であり、攻撃者は定期的にパッチを当てていないソフトウェアを悪用するという認識が広く浸透しているにもかかわらず、多くの組織は適切なパッチを当てていません。その理由はいろいろありますが、その中でも特に重要なのは、パッチ適用にはリソースが必要であることと、パッチ適用によってシステムやサービスの可用性が低下する可能性があることです。また、多くの組織では、パッチの優先順位付け、展開前のパッチのテスト、状況に応じたパッチの適用速度に関するポリシーの遵守などに苦労しています。このような課題に対処するため、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、これらの課題を解決するソリューション例を開発しています。このNIST サイバーセキュリティ実践ガイドでは、日常的なパッチ適用と緊急時のパッチ適用の両方に対応するために組織が必要とするパッチ適用およびインベントリ機能を実装するために、ツールをどのように使用できるか、またパッチ適用に代わる回避策、隔離方法、その他の代替手段をどのように実施できるかについて説明しています。また、パッチ管理システム自体の推奨セキュリティ対策についても説明しています。

・[PDF] Draft SP 1800-31

20211119-53100

エグゼクティブサマリーの一部です。。。

Executive Summary  エグゼクティブサマリー 
For decades, cybersecurity attacks have highlighted the dangers of having computers with unpatched software. Even with widespread awareness of these dangers, however, keeping software up-to-date with patches remains a problem. Deciding how, when, and what to patch can be difficult for any organization. Each organization must balance security with mission impact and business objectives by using a risk-based methodology. To address these challenges, the NCCoE is collaborating with cybersecurity technology providers to explore approaches for improving enterprise patching practices for general information technology (IT) systems. These practices are intended to help your organization improve its security and reduce the likelihood of data breaches with sensitive personal information and other successful compromises. The practices can also play an important role as your organization embarks on a journey to zero trust.  何十年もの間、サイバーセキュリティ攻撃によって、パッチが適用されていないソフトウェアを使用しているコンピュータの危険性が指摘されてきました。しかし、このような危険性が広く認識されているにもかかわらず、ソフトウェアにパッチを適用して最新の状態に保つことは、依然として問題となっています。どのように、いつ、何にパッチを当てるかを決めるのは、どの組織にとっても難しいことです。各組織は、リスクベースの手法を用いて、セキュリティとミッションへの影響やビジネス目標とのバランスを取る必要があります。このような課題に対処するため、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、一般的なITシステムに対する組織全体のパッチ適用方法を改善するためのアプローチを検討しています。これらのプラクティスは、組織のセキュリティを向上させ、機密性の高い個人情報を含むデータの漏洩やその他の成功した侵害の可能性を低減することを目的としています。また、これらの対策は、組織がゼロトラストへの道を歩み始める際に重要な役割を果たします。
CHALLENGE  課題 
There are a few root causes for many data breaches, malware infections, ransomware attacks, and other security incidents, and known—but unpatched—vulnerabilities in software is one of them.  多くのデータ漏洩、マルウェア感染、ランサムウェア攻撃、その他のセキュリティインシデントにはいくつかの根本的な原因があり、既知でありながらパッチが適用されていないソフトウェアの脆弱性もその一つです。
Implementing a few security hygiene practices, such as patching operating systems, applications, and firmware, can prevent many incidents from occurring, lowers the potential impact of incidents that do occur, and increases the cost to the attacker. Unfortunately, security hygiene is easier said than done. Despite widespread recognition that patching is effective and attackers regularly exploit unpatched software, many organizations do not adequately patch. There are myriad reasons why, not the least of which are that it’s resource-intensive and that the act of patching can reduce system and service availability. Many organizations struggle to prioritize patches, test patches before deployment, and adhere to policies for how quickly patches are applied in different situations. Delaying patch deployment gives attackers a larger window of opportunity.   オペレーティングシステム、アプリケーション、ファームウェアへのパッチ適用など、いくつかのセキュリティ衛生対策を実施することで、多くのインシデントの発生を防ぎ、発生したインシデントの潜在的な影響を低減し、攻撃者のコストを増加させることができます。しかし残念ながら、セキュリティ対策は「言うは易し、行うは難し」です。パッチを当てることは効果的であり、攻撃者はパッチの当たっていないソフトウェアを定期的に悪用するという認識が広く浸透しているにもかかわらず、多くの組織は適切なパッチを当てていません。その理由は無数にありますが、その中でも特に重要なのは、リソースを必要とすることと、パッチを当てることでシステムやサービスの可用性が低下することです。多くの組織全体は、パッチの優先順位付け、展開前のパッチのテスト、状況に応じたパッチの適用速度のポリシー遵守などに苦労しています。パッチの適用が遅れると、攻撃者はより大きな機会を得ることになります。 
This practice guide can help your organization:  この実践ガイドは、以下の点でお客様をサポートします。
・overcome common obstacles involving enterprise patching for general IT systems  ・一般的な IT システムへのエンタープライズパッチ適用に関する一般的な障害を克服する。
・achieve a comprehensive security hygiene program based on existing standards, guidance, and publications  ・既存の標準、ガイダンス、および本文書に基づいた、包括的なセキュリティ衛生プログラムの実現 
・enhance its recovery from incidents that occur, and minimize the impact of incidents on the organization and its constituents  ・発生したインシデントからの復旧を強化し、インシデントが組織とその構成員に与える影響を最小化する 
SOLUTION  ソリューション 
To address these challenges, the NCCoE is collaborating with cybersecurity technology providers to develop an example solution. It will demonstrate how tools can be used to 1) implement the inventory and patching capabilities organizations need to handle both routine and emergency patching situations, as well as 2) implement workarounds, isolation methods, or other alternatives to patching. The solution will also demonstrate recommended security practices for patch management systems themselves.  これらの課題に対処するために、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、ソリューション例を開発しています。このソリューションでは、1)日常的なパッチ適用と緊急時のパッチ適用の両方に対応するために組織が必要とするインベントリとパッチ適用の機能を実装するために、ツールをどのように使用できるか、また2)回避策、隔離方法、またはパッチ適用の他の代替手段をどのように実装できるかを示します。また、このソリューションは、パッチ管理システム自体に推奨されるセキュリティ手法を示すものでもあります。
The NCCoE is assembling existing commercial and open source tools to aid with the most challenging aspects of patching. The NCCoE is building upon previous NIST work documented in NIST Special Publication (SP) 800-40 Revision 3, Guide to Enterprise Patch Management Technologies and NIST SP 800-184, Guide for Cybersecurity Event Recovery.   NCCoEは、パッチ適用の最も困難な局面を支援するために、既存の商用およびオープンソースのツールを集めています。NCCoEは、SP 800-40 第3版 「組織全体のパッチ管理技術ガイド」およびNIST SP 800-184「サイバーセキュリティイベントの回復のガイド」に記載されているNISTの過去の取り組みを基にしています。 

目次。。。

1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 ソリューション
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 凡例
3 Approach 3 アプローチ
3.1 Audience 3.1 想定読者
3.2 Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Scenarios 3.4 シナリオ
3.4.1 Scenario 0: Asset identification and assessment 3.4.1 シナリオ0:資産の識別と評価
3.4.2 Scenario 1: Routine patching 3.4.2 シナリオ1:定期的なパッチ適用
3.4.3 Scenario 2: Routine patching with cloud delivery model 3.4.3 シナリオ2: クラウド配信モデルによる定期的なパッチ適用
3.4.4 Scenario 3: Emergency patching 3.4.4 シナリオ3:緊急時のパッチ適用
3.4.5 Scenario 4: Emergency workaround (and backout if needed) 3.4.5 シナリオ4:緊急時の回避策(必要に応じてバックアウトも行う)
3.4.6 Scenario 5: Isolation of unpatchable assets 3.4.6 シナリオ5:パッチ適用不可能な資産の隔離
3.4.7 Scenario 6: Patch management system security (or other system with administrative privileged access) 3.4.7 シナリオ 6: パッチ管理システムのセキュリティ (または管理者権限でアクセスできる他のシステム)
3.5 Risk Assessment 3.5 リスク評価
3.5.1 Threats, Vulnerabilities, and Risks 3.5.1 脅威、脆弱性、およびリスク
3.5.2 Security Control Map 3.5.2 セキュリティコントロールマップ
4 Components of the Example Solution 4 ソリューション例の内容
4.1 Collaborators 4.1 協力者
4.1.1 Cisco 4.1.1 シスコ
4.1.2 Eclypsium 4.1.2 Eclypsium
4.1.3 Forescout 4.1.3 Forescout
4.1.4 IBM 4.1.4 IBM
4.1.5 Lookout 4.1.5 Lookout
4.1.6 Microsoft 4.1.6 マイクロソフト
4.1.7 Tenable 4.1.7 テナブル
4.1.8 VMware 4.1.8 ヴイエムウェア
4.2 Technologies 4.2 技術
4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC) 4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC)
4.2.2 Cisco Identity Services Engine (ISE) 4.2.2 Cisco Identity Services Engine (ISE)
4.2.3 Eclypsium Administration and Analytics Service 4.2.3 Eclypsium 管理・分析サービス
4.2.4 Forescout Platform 4.2.4 Forescout プラットフォーム
4.2.5 IBM Code Risk Analyzer 4.2.5 IBM Code Risk Analyzer
4.2.6 IBM MaaS360 with Watson 4.2.6 IBM MaaS360 with Watson
4.2.7 Lookout 4.2.7 Lookout
4.2.8 Microsoft Endpoint Configuration Manager 4.2.8 Microsoft Endpoint Configuration Manager
4.2.9 Tenable.io 4.2.9 Tenable.io
4.2.10 Tenable.sc and Nessus 4.2.10 Tenable.scとNessus
4.2.11 VMware vRealize Automation SaltStack Config 4.2.11 VMware vRealize Automation SaltStack Config
Appendix A Patch Management System Security Practices 附属書A パッチ管理システムのセキュリティ対策
A.1 Security Measures A.1 セキュリティ対策
A.2 Component Support of Security Measures A.2 コンポーネントによるセキュリティ対策支援
A.2.1 Cisco FTD Support of Security Measures A.2.1 Cisco FTD によるセキュリティ対策支援
A.2.2 Cisco ISE Support of Security Measures A.2.2 Cisco ISE によるセキュリティ対策支援
A.2.3 Eclypsium Administration and Analytics Service Support of Security Measures A.2.3 Eclypsium Administration and Analytics Service によるセキュリティ対策支援
A.2.4 Forescout Platform Support of Security Measures A.2.4 Forescout Platformによるセキュリティ対策支援
A.2.5 IBM Code Risk Analyzer Support of Security Measures A.2.5 IBM Code Risk Analyzer セキュリティ対策支援
A.2.6 IBM MaaS360 with Watson Support of Security Measures A.2.6 IBM MaaS360 with Watson セキュリティ対策支援
A.2.7 Lookout MES Support of Security Measures A.2.7 Lookout MESによるセキュリティ対策支援
A.2.8 Microsoft Endpoint Configuration Manager (ECM) Support of Security Measures A.2.8 Microsoft Endpoint Configuration Manager(ECM)によるセキュリティ対策支援
A.2.9 Tenable.sc Support of Security Measures A.2.9 Tenable.scによるセキュリティ対策支援
A.2.10 VMware vRealize Automation SaltStack Config Support of Security Measures A.2.10 VMware vRealize Automation SaltStack Config によるセキュリティ対策支援
Appendix B List of Acronyms 附属書B 頭字語の一覧
List of Tables 表の一覧
Table 3-1: Mapping Security Characteristics of the Example Solution for Scenarios 0-5 表 3-1: シナリオ 0~5 に対応するソリューション例のセキュリティ特性のマッピング
Table 3-2: Mapping Security Characteristics of the Example Solution for Scenario 6 表 3-2: シナリオ 6 に対するソリューション例のセキュリティ特性のマッピング
Table 4-1: Technologies Used in the Build 表 4-1: 構築に使用した技術

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

 

| | Comments (0)

英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンター (National Cyber Security Centre: NCSC) の2020年報告書が公表されていますね。2019.09.01 - 2020.08.31が対象となります。

● NCSC

・2021.11.17 (news) The NCSC Annual Review 2021 - a summary

・2021.11.17 (guidance) NCSC Annual Review 2021

Making the UK the safest place to live and work online

・[PDF]

20220115-10641

Overview and Forewords 概要と序文
Ministerial Foreword 大臣の序文
CEO Foreword CEOの序文
NCSC Overview and Year 5 highlights NCSCの概要と5年目のハイライト
Sir Jeremy Fleming Foreword ジェレミー・フレミング卿の序文
NCSC Timeline 2020-2021 NCSC Timeline 2020-2021
The Threat 脅威
Real-World Impact 現実世界での影響
SolarWinds SolarWinds
Microsoft Exchange Microsoft Exchange
Incident Management インシデント管理
Ransomware: Ever evolving threat ランサムウェア:進化し続ける脅威
Ransomware: Threat methodology ランサムウェア:脅威の手法
Resilience 回復力
Key Advisories and Interventions 主な助言と介入
Active Cyber Defence 積極的サイバー防衛
MyNCSC MyNCSC
Suspicious Email and Website Reporting Services 疑わしいメールやウェブサイトの報告サービス
10 Steps to Cyber Resilience サイバー・レジリエンスへの10のステップ
Early Warning 早期警戒
NCSC's response to Covid-19 Covid-19に対するNCSCの対応
Engaging and Supporting Sectors 各部門への働きかけと支援
Devolved Administrations 権限移譲された管理
Supporting the Citizen 市民の支援
Technology テクノロジー
'Quantum-safe' Cryptography 量子安全暗号技術
Digital contact tracing in the NHS COVID-19 app NHS COVID-19アプリにおけるデジタルコンタクトトレーシング
Using artificial intelligence to detect malicious activity 人工知能を用いた悪意ある行為の検知
Safeguarding the UK's critical systems 英国の重要なシステムを守る
Connected Places: new security principles for 'Smart Cities' つながる場所:「スマートシティ」のための新しいセキュリティ原則
Verified high assurance software 検証済みの高保証ソフトウェア
A new National Crypt-Key Centre 新しい国立暗号キーセンター
Informing policy through technical advice and analysis 技術的な助言や分析を通じて政策に反映させる
Huawei Cyber Security Evaluation Centre ファーウェイのサイバーセキュリティ評価センター
CYBERUK CYBERUK
Ecosystem エコシステム
Introducing young people to cyber 若者にサイバーの世界を紹介
Growing the talent 人材の育成
Setting standards, certifying professional practice and assuring services and products 基準の設定、専門的実践の認証、サービスと製品の保証

Global Leadership

グローバル・リーダーシップ
International Engagement for Real-World Impact 実社会にインパクトを与える国際的な活動
Influence 影響力
Afterword - From Lindy Cameron, CEO あとがき - リンディ・キャメロン(CEO)より




過去分

2020年
・2020.11.03 (news) The NCSC Annual Review 2020

・・ (speach) Lindy Cameron on the NCSC's fourth Annual Review - The NCSC's new CEO introduces the Annual Review 2020.

・・[PDF] Annual Review 2020 

20220115-12958

・・[web] The Digital Annual Review 2020. <- お勧め

・2020.11.03 (news) NCSC defends UK from more than 700 cyber attacks while supporting national pandemic response

The NCSC's fourth Annual Review reveals its ongoing work against cyber attacks, support for the UK during the coronavirus pandemic.


2019年
・2019.10.23 (news) The NCSC Annual Review 2019
Developments and highlights from the last twelve months at the NCSC.
20220115-13038

2018年
・2018.10.15 Annual Review 2018
The Annual Review 2018 - the story of the second year of operations at the National Cyber Security Centre.
・・[PDF] Annual Review 2018
20220115-13111

2017年
The 2017 Annual Review sets out the progress made within the first year of operations at the National Cyber Security Centre.
・・[PDF] 2017 Annual Review
20220115-13141

| | Comments (0)

米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

こんにちは、丸山満彦です。

米国のCISAがサイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表していますね。。。

Cybesecurity & Infrastracture Security Agent: CISA

・2021.11.17 New Federal Government Cybersecurity Incident and Vulnerability Response Playbooks

New Federal Government Cybersecurity Incident and Vulnerability Response Playbooks 新しい連邦政府のサイバーセキュリティ・インシデントおよび脆弱性対応プレイブック
The White House, via Executive Order (EO) 14028: Improving the Nation’s Cybersecurity, tasked CISA, as the operational lead for federal cybersecurity, to “develop a standard set of operational procedures (i.e., playbook) to be used in planning and conducting cybersecurity vulnerability and incident response activity” for federal civilian agency information systems. In response, today, CISA published the Federal Government Cybersecurity Incident and Vulnerability Response Playbooks. The playbooks provide federal civilian executive branch (FCEB) agencies with operational procedures for planning and conducting cybersecurity incident and vulnerability response activities. The playbooks provide illustrated decision trees and detail each step for both incident and vulnerability response.   ホワイトハウスは、大統領令14028「国家のサイバーセキュリティの向上」により、連邦政府のサイバーセキュリティの運用責任者であるCISAに、連邦民間機関の情報システムに対する「サイバーセキュリティの脆弱性およびインシデント対応活動を計画・実施する際に使用する標準的な運用手順(=プレイブック)を開発する」という課題が与えられました。これを受けて、本日、CISAは「連邦政府のサイバーセキュリティインシデント対応と脆弱性対応プレイブック」を公開しました。このプレイブックは、連邦民間行政府(FCEB)機関が、サイバーセキュリティ・インシデントおよび脆弱性対応活動を計画・実施するための運用手順を提供するものです。このプレイブックでは、インシデント対応と脆弱性対応の各ステップについて、ディシジョンツリーを用いて詳しく説明しています。 
FCEB agencies should use the playbooks to shape their overall defensive cyber operations. The playbooks apply to information systems used or operated by an FCEB agency, a contractor of the agency, or another organization on behalf of the agency. CISA encourages agencies to review the playbooks and CISA’s webpage on EO 14028 for more information.   FCEB機関は、このプレイブックを利用して、全体的な防御のためのサイバーオペレーションを構築する必要があります。このプレイブックは、FCEB機関、FCEB機関の請負業者、またはFCEB機関に代わって他の組織が使用または運営する情報システムに適用される。CISAは、各機関に対し、プレイブックおよび大統領令14028に関するCISAのウェブページで詳細を確認することを推奨します。 
Although CISA created the playbooks for FCEB agencies, we encourage critical infrastructure entities; state, local, territorial, and tribal government organizations; and private sector organizations to review them to benchmark their own vulnerability and incident response practices. CISAはFCEB機関のためにプレイブックを作成したが、重要インフラストラクチャ・エンティティ、州、地方、領土、部族の政府組織、および民間の組織にも、自社の脆弱性やインシデント対応の実践を評価するためにプレイブックを確認することを推奨します。

 

EXECUTIVE ORDER ON IMPROVING THE NATION’S CYBERSECURITY

・[PDF] Federal Government Cybersecurity Incident and Vulnerability Response Playbooks

20211118-182648

 

CONTENTS 目次
Introduction はじめに
Overview 概要
Scope 対象範囲
Audience 想定読者
Incident Response Playbook インシデント対応プレイブック
Incident Response Process インシデント対応プロセス
Preparation Phase 準備段階
Detection & Analysis 検知と分析
Containment 封じ込め
Eradication & Recovery 撲滅と回復
Post-Incident Activities ポストインシデント活動
Coordination コーディネーション
Vulnerability Response Playbook 脆弱性対応プレイブック
Preparation 準備
Vulnerability Response Process 脆弱性対応プロセス
Identification 識別
Evaluation 評価
Remediation リメディエーション
Reporting and Notification 報告および通知
Appendix A: Key Terms 附属書A:主要な用語
Appendix B: Incident Response Checklist 附属書B:インシデント対応チェックリスト
Appendix C: Incident Response Preparation Checklist 附属書C:インシデント対応準備チェックリスト
Appendix E: Vulnerability and Incident Categories 附属書E:脆弱性とインシデントのカテゴリー
Appendix F: Source Text 附属書F:ソーステキスト
Appendix G: Whole-of-Government Roles and Responsibilities 附属書G:政府全体の役割と責任

 


参考 脆弱性管理に関するもの。。。

● NIST

・2021.11.17 SP 800-40 Rev. 4 (Draft) Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology

・2021.11.17 SP 1800-31 (Draft) Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways

 

● まるちゃんの情報セキュリティ気まぐれ日記

2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

 

 

 

 

| | Comments (0)

2021.11.18

金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

こんにちは、丸山満彦です。

今日は、00:00-12:00でココログ保守だったので、更新が遅れました。。。

金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表しています。。。

整理されていると思いました。。。注釈が参考になります!!!

金融庁

・2021.11.17 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理の公表について

・[PDF] デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理

20211118-174839

はじめに

1.デジタル分散型金融の動向と研究会における検討の概要
⑴ 分散型の金融システム
(参考)現行システム(交通系 IC カードにおけるシステムの例)
⑵ 分散台帳の分類とその特徴
⑶ ステーブルコインとそれを巡る国際的な議論

2.パーミッションレス型の分散台帳等を利用した金融サービスに関する基本的な課題
⑴ 総論
⑵ 送金分野において求められる諸要件

3.ステーブルコインに関する規律のあり方
⑴ ステーブルコインの種別分けと既存のデジタルマネーの関係
⑵ 「デジタルマネー類似型」と既存のデジタルマネーの関係
⑶ 「発行者」と「移転管理を行う者」が分離する場合の規律を巡る課題
⑷ 「発行者」及び「仲介者」に求められる規律
 ①
「発行者」
 ②
「仲介者」
 ③
「発行者」と「仲介者」の関係等に関する規律
⑸ グローバルステーブルコインに関する規律
(参考)「暗号資産型」のステーブルコインを巡る課題

4.中央銀行デジタル通貨(CBDC)

おわりに

 

 

| | Comments (0)

2021.11.17

米国 中国 バイデン大統領と習近平国家主席の対談

こんにちは、丸山満彦です。

バイデン大統領と習近平国家主席との対談では人権問題、気候変動、台湾問題にも触れられたようですね。。。ただ、個別問題についての解決というよりも、これからの進め方についての合意といったところでしょうかね。。。

それぞれ、よく考えて公表していますよね。。。当然ですが。。。

 

● White House

・2021.11.16 Readout of President Biden’s Virtual Meeting with President Xi Jinping of the People’s Republic of China

Readout of President Biden’s Virtual Meeting with President Xi Jinping of the People’s Republic of China バイデン大統領、習近平国家主席とのオンライン会談の概要
STATEMENTS AND RELEASES 声明およびリリース
President Joseph R. Biden, Jr. met virtually on November 15 with President Xi Jinping of the People’s Republic of China (PRC). The two leaders discussed the complex nature of relations between our two countries and the importance of managing competition responsibly. As in previous discussions, the two leaders covered areas where our interests align, and areas where our interests, values, and perspectives diverge. President Biden welcomed the opportunity to speak candidly and straightforwardly to President Xi about our intentions and priorities across a range of issues. ジョセフ・R・バイデン・ジュニア大統領は、11月15日、中華人民共和国の習近平国家主席とオンライン会談を行いました。両首脳は、両国関係の複雑な性質と、責任を持って競争を管理することの重要性について議論しました。これまでの議論と同様、両首脳は、我々の関心が一致する分野と、我々の関心、価値観、視点が異なる分野について議論しました。バイデン大統領は、習近平国家主席に対し、さまざまな問題について我々の意図と優先事項について率直に話す機会を得たことを歓迎しました。
President Biden underscored that the United States will continue to stand up for its interests and values and, together with our allies and partners, ensure the rules of the road for the 21st century advance an international system that is free, open, and fair. He emphasized the priority he places on far-reaching investments at home while we align with allies and partners abroad to take on the challenges of our time. バイデン大統領は、米国が引き続き自国の利益と価値観のために立ち上がり、同盟国やパートナーとともに、21世紀の道のルールを確保し、自由で開かれた公正な国際システムを推進していくことを強調しました。そして、国内では大規模な投資を行い、海外では同盟国やパートナーと協力して時代の課題に取り組むことを優先していることを強調しました。
President Biden raised concerns about the PRC’s practices in Xinjiang, Tibet, and Hong Kong, as well as human rights more broadly. He was clear about the need to protect American workers and industries from the PRC’s unfair trade and economic practices. He also discussed the importance of a free and open Indo-Pacific, and communicated the continued determination of the United States to uphold our commitments in the region. President Biden reiterated the importance of freedom of navigation and safe overflight to the region’s prosperity. On Taiwan, President Biden underscored that the United States remains committed to the “one China” policy, guided by the Taiwan Relations Act, the three Joint Communiques, and the Six Assurances, and that the United States strongly opposes unilateral efforts to change the status quo or undermine peace and stability across the Taiwan Strait. バイデン大統領は、新疆ウイグル自治区、チベット、香港における中国の活動や、より広範な人権について懸念を示しました。バイデン大統領は、中国の不公平な貿易・経済活動から米国の労働者や産業を守る必要性を明確に述べました。また、自由で開かれたインド太平洋の重要性についても言及し、この地域でのコミットメントを守るという米国の継続的な決意を伝えました。バイデン大統領は、この地域の繁栄には航行の自由と安全な上空飛行が重要であることを繰り返し述べました。台湾については、バイデン大統領は、米国が台湾関係法、3つの共同コミュニケ、6つの保証に基づき、「一つの中国」政策に引き続きコミットしていること、また、現状を変更したり、台湾海峡の平和と安定を損なったりする一方的な努力に強く反対することを強調しました。
President Biden also underscored the importance of managing strategic risks. He noted the need for common-sense guardrails to ensure that competition does not veer into conflict and to keep lines of communication open. He raised specific transnational challenges where our interests intersect, such as health security. In particular, the two leaders discussed the existential nature of the climate crisis to the world and the important role that the United States and the PRC play. They also discussed the importance of taking measures to address global energy supplies. The two leaders also exchanged views on key regional challenges, including DPRK, Afghanistan, and Iran. Finally, they discussed ways for the two sides to continue discussions on a number of areas, with President Biden underscoring the importance of substantive and concrete conversations. また、バイデン大統領は、戦略的リスクを管理することの重要性を強調しました。バイデン大統領はまた、戦略的リスクを管理することの重要性を強調し、競争が紛争に発展しないようにするための常識的なガードレールと、コミュニケーションラインをオープンにしておくことの必要性を述べました。また、両国の利害が交錯する国境を越えた具体的な課題として、医療安全保障 (health security) などを挙げました。特に、両首脳は、気候変動の危機が世界にとって存亡の危機であることと、米国と中国が果たす重要な役割について議論しました。また、世界のエネルギー供給に対処することの重要性についても議論しました。両首脳はまた、北朝鮮、アフガニスタン、イランなど、地域の重要な課題についても意見を交換しました。最後に、バイデン大統領は、実質的かつ具体的な会話の重要性を強調し、双方が多くの分野で議論を継続する方法について話し合いました。

 

 


つづいて中国側

中华人民共和国人民政府

・2021.11.16 习近平同美国总统拜登举行视频会晤

习近平同美国总统拜登举行视频会晤 習近平、バイデン米大統領とビデオ会議を開催
新华社北京11月16日电(记者 杨依军)国家主席习近平11月16日上午同美国总统拜登举行视频会晤。双方就事关中美关系发展的战略性、全局性、根本性问题以及共同关心的重要问题进行了充分、深入的沟通和交流。 北京 11月16日(新華社) -- 習近平国家主席は16日午前、ジョー・バイデン米大統領とビデオ会議を行いました。 双方は、中米関係の発展に関する戦略的、全体的、基本的な問題や、共通の関心事に関する重要な問題について、十分かつ綿密なコミュニケーションと交流を行いました。
习近平指出,当前,中美发展都处在关键阶段,人类的“地球村”也面临诸多挑战。中美作为世界前两大经济体和联合国安理会常任理事国,应该加强沟通和合作,既办好我们各自国内的事情,又承担起应尽的国际责任,共同推进人类和平与发展的崇高事业。这是中美两国和世界各国人民的共同愿望,也是中美两国领导人的共同使命。 習近平氏は、現在、中国と米国はともに発展の重要な段階にあり、人類の「地球村」は多くの課題に直面していると指摘しました。 世界トップ2の経済大国であり、国連安全保障理事会の常任理事国である中国と米国は、コミュニケーションと協力を強化し、それぞれの国内問題を解決するだけでなく、国際的な責任を担い、人類の平和と発展という崇高な目的を共同で推進していかなければなりません。 これは、中国と米国、そして世界の人々の共通の願いであり、中国と米国の指導者たちの共通の使命でもあります。
习近平强调,推动中美各自发展,维护和平稳定的国际环境,包括有效应对气候变化、新冠肺炎疫情在内的全球性挑战,都需要一个健康稳定的中美关系。中美应该相互尊重、和平共处、合作共赢。我愿同总统先生一道,形成共识,积极行动,引领中美关系积极向前发展。这是造福两国人民的需要,也是国际社会的期待。 習近平氏は、中国と米国のそれぞれの発展を促進し、気候変動や新型コロナ肺炎の流行などの地球規模の課題への効果的な対応を含む平和で安定した国際環境を維持するには、すべて健全で安定した中米関係が必要であると強調しました。 中国と米国は、お互いに尊重し合い、平和的に共存し、Win-Winの状況を目指して協力していくべきです。 私は、中米関係を前向きに進めるために、大統領と協力してコンセンサスを形成し、積極的な行動をとる用意があります。 これは両国民の利益のために必要であり、国際社会からも期待されています。
习近平指出,过去50年,国际关系中一个最重要的事件就是中美关系恢复和发展,造福了两国和世界。未来50年,国际关系中最重要的事情是中美必须找到正确的相处之道。历史是公正的,一个政治家的所作所为,无论是非功过,历史都要记上一笔。希望总统先生发挥政治领导力,推动美国对华政策回归理性务实的轨道。 習近平氏は、過去50年間の国際関係において最も重要な出来事の一つは、中米関係の回復と発展であり、それは両国と世界に利益をもたらしたと指摘しました。 これからの50年、国際関係において最も重要な出来事は、中国と米国がお互いにうまく付き合っていく方法を見つけなければならないということです。 歴史は公平であり、政治家が行ったことは、功罪を問わず、歴史に記録されなければならない。 大統領が政治的リーダーシップを発揮し、米国の対中政策を合理的かつ現実的な軌道に戻してくれることを期待しています。
习近平强调,总结中美关系发展经验和教训,新时期中美相处应该坚持三点原则:一是相互尊重。尊重彼此社会制度和发展道路,尊重对方核心利益和重大关切,尊重各自发展权利,平等相待,管控分歧,求同存异。二是和平共处。不冲突不对抗是双方必须坚守的底线,美方提出中美可“共存”,还可加上两个字,即和平共处。三是合作共赢。中美利益深度交融,合则两利、斗则俱伤。地球足够大,容得下中美各自和共同发展。要坚持互利互惠,不玩零和博弈,不搞你输我赢。 習近平氏は、中米関係の発展から得られた経験と教訓を総括し、中米関係の新時代には3つの原則を堅持すべきだと強調しました。それは、第一に、相互尊重です。 互いの社会システムと発展の道筋を尊重し、互いの核心的利益と主要な関心事を尊重し、互いの発展の権利を尊重し、互いを対等に扱い、違いを管理し、違いを留保しながら共通の基盤を求める。 第二に、平和的な共存です。 非衝突、非対決は双方が守るべき基本原則であり、米国は中国と米国の「共存」を提案していますが、平和的共存という2つの言葉を加えることができます。 第三に、協力とWin-Winの関係です。 中国と米国の利益は深く絡み合っており、協力は相互に有益であり、争いは相互に有害です。 地球は、中国と米国の個別および共同開発を受け入れるのに十分な大きさです。 私たちは、相互利益と互恵主義を堅持し、ゼロサムゲーム、つまりあなたが負けて私が勝つようなことをしてはいけません。
习近平强调,中美应该着力推动四个方面的优先事项:一是展现大国的担当,引领国际社会合作应对突出挑战。在这方面,中美合作也许不是万能的,但没有中美合作是万万不能的。中方所提的全球性倡议对美国都开放,希望美方也能如此。二是本着平等互利精神,推进各层级各领域交往,为中美关系注入更多正能量。我愿通过多种方式同总统先生保持联系,为中美关系指明方向、注入动力。中美在经济、能源、两军、执法、教育、科技、网络、环保、地方等诸多领域存在广泛共同利益,应该互通有无、取长补短,做大中美合作的“蛋糕”。中美可以利用两国外交安全、经贸财金、气候变化团队等对话渠道和机制平台,推动务实合作,解决具体问题。三是以建设性方式管控分歧和敏感问题,防止中美关系脱轨失控。中美存在分歧很自然,关键是要建设性管控,避免扩大化、激烈化。中方当然要维护自身主权、安全、发展利益,希望美方务必谨慎处理好与此有关的问题。四是加强在重大国际和地区热点问题上的协调和合作,为世界提供更多公共产品。天下并不太平,中美应该同国际社会一道,共同捍卫世界和平,促进全球发展,维护公正合理的国际秩序。 習近平氏は、中国と米国は4つの優先事項の推進に注力すべきだと強調しました。第一に、大国の役割を発揮し、国際社会をリードして未解決の課題に協力して対処すること。 この点、中米協力は万能ではないかもしれませんが、それがなければ万能ではありません。 中国が提案するすべてのグローバルイニシアチブは米国にも開かれており、米国にも同様にしてほしいと考えています。 第二に、平等と互恵の精神に基づき、あらゆるレベル、あらゆる分野での交流を促進し、中米関係にポジティブなエネルギーを注入することです。 私は、中米関係に方向性と推進力を与えるために、さまざまな方法で大統領と連絡を取り合う用意があります。 中国と米国は、経済、エネルギー、軍事、法執行、教育、科学技術、インターネット、環境保護、地域社会など多くの分野で共通の関心事を持っており、お互いの強みを共有し、弱みを補い合って、中米協力の「ケーキ」を大きくしていくべきだと考えています。 中国と米国は、両国の外交・安全保障チーム、経済・貿易・金融チーム、気候変動チームなどの対話チャネルや制度的プラットフォームを活用して、実務的な協力を進め、具体的な問題を解決することができます。 第三に、中米関係がコントロール不能に陥らないように、相違点や微妙な問題を建設的に管理することが重要です。 中国と米国の間に違いがあるのは当然ですが、重要なのはそれを建設的に管理し、拡大・激化させないことです。 中国は確かに自国の主権、安全保障、発展の利益を守りたいと考えており、米国がこの問題を慎重に扱うことを望んでいます。 第四に、国際的・地域的なホットスポットの主要課題に対する協調・協力を強化し、より多くの公共財を世界に提供することです。 世界は平和ではありません。中国と米国は国際社会と協力して、世界の平和を守り、世界の発展を促進し、公正で合理的な国際秩序を維持すべきです。
习近平强调,中美两国是两艘在大海中航行的巨轮,我们要把稳舵,使中美两艘巨轮迎着风浪共同前行,不偏航、不失速,更不能相撞。 習近平氏は、「中国と米国は大海原を航行する2つの巨大な船であり、この2つの巨大な船が風や波に逆らっても、衝突はおろか、ヨーイングやスピードを失うことなく、共に前進できるように舵を取らなければならない」と強調しました。
11月16日上午,国家主席习近平在北京同美国总统拜登举行视频会晤。新华社记者 黄敬文 摄 11月16日午前、北京でジョー・バイデン米国大統領とビデオ会議を行う習近平国家主席。 写真:黄景文、新華社通信社
习近平介绍了中国发展道路和战略意图。习近平指出,我们刚刚召开了中共第十九届六中全会,总结了中国共产党百年奋斗重大成就和历史经验。一百年来,中国共产党的初心和使命就是为中国人民谋幸福、为中华民族谋复兴。我们在这方面取得了很大成就,但还远远不够,还要继续努力。我上任时就公开说过,人民对美好生活的向往,就是我们的奋斗目标。中国人民对美好生活的向往,是中国发展最大内生动力,是一个必然的历史趋势,谁想阻挡这个历史趋势,中国人民不会答应,也根本阻挡不了。作为中国领导人,我能够为14亿中国人民服务,同他们一起创造美好生活,是一个重大的挑战,也是一个重大的责任。我的态度是“我将无我,不负人民”。 習近平氏は、中国の発展の道筋と戦略的意図を紹介しました。 習近平氏は、中国共産党の100年にわたる闘争の主要な成果と歴史的経験を総括した中国共産党第6回中央委員会第19回全体会議を開催したばかりであることを指摘しました。 過去1世紀にわたり、中国共産党の本来の意図と使命は、中国人民の幸福と中国国家の再興のために働くことであった。 この点では大きな成果を上げていますが、まだまだ十分とは言えず、今後も努力を続けていかなければなりません。 私は就任時に、国民のより良い生活への願望が我々の闘争目標であると公言しました。 より良い生活を求める中国国民の願望は、中国発展の最大の内発的原動力であり、必然的な歴史的流れです。 この歴史的流れを誰が阻止しようとしても、中国国民は同意せず、阻止することはできない。 中国のリーダーとして、14億人の中国の人々に奉仕し、彼らと共により良い生活を創造することは、私にとって大きな挑戦であり、大きな責任でもあります。 私の姿勢は、「自分のいない人の期待を裏切らない」こと。
习近平指出,中国人民历来爱好和平,主张和为贵。中华民族血液中没有侵略他人、称王称霸的基因。新中国成立以来,我们没有主动发起过一场战争或冲突,没有侵占过别国一寸土地。中国无意满世界推销自己的道路,相反我们一直鼓励各国找到适合本国国情的发展之路。 習近平氏は、中国の人々は常に平和を愛し、平和を最も重要なものとして提唱していると指摘しました。 他国を侵略したり、覇権を主張したりするのは、中国人の血筋ではない。 新中国の建国以来、私たちは一度も戦争や紛争を起こしておらず、他国の土地を一寸たりとも占領していません。 中国は、自分の道を世界に売り込むつもりはなく、各国がそれぞれの国情に合った発展の道を模索することを奨励してきました。
习近平强调,对外开放是中国的基本国策和鲜明标识。中国扩大高水平开放的决心不会变,同世界分享发展机遇的决心不会变,推动经济全球化朝着更加开放、包容、普惠、平衡、共赢方向发展的决心也不会变。我们提出构建新发展格局,是要扩充国内市场,在更大范围、更大规模上形成国内国际双循环,打造更加市场化、法治化、国际化的营商环境。这必将给各国提供更大市场、创造更多机遇。 習近平氏は、外の世界への開放は中国の基本的な国策であり、独特のアイデンティティであると強調した。 高いレベルの開放性を拡大するという中国の決意は変わらず、発展の機会を世界と共有するという決意も変わらず、経済のグローバル化をよりオープンで、包括的で、バランスのとれた、ウィンウィンの方向に推進するという決意も変わらないでしょう。 新しい発展パターンを構築するための私たちの提案は、国内市場を拡大し、より広く大きな規模で国内と国際の二重サイクルを形成し、より市場志向で法治的かつ国際的なビジネス環境を構築することです。 これにより、より大きな市場が生まれ、すべての国に多くの機会がもたらされることになるでしょう。
习近平强调,中国倡导和平、发展、公平、正义、民主、自由的全人类共同价值。搞意识形态划线、阵营分割、集团对抗,结局必然是世界遭殃。冷战的恶果殷鉴不远。希望美方把不打“新冷战”表态落到实处。 習近平氏は、中国が全人類のために平和、発展、公正、正義、民主、自由という共通の価値観を提唱していることを強調しました。 イデオロギー的な線引き、陣営の分断、グループ間の対立は、必然的に世界を苦しめることになる。 冷戦の弊害も遠く及ばない。 米国は、「新冷戦」をしないという声明を実践してほしい。
习近平阐述了中方在台湾问题上的原则立场。习近平强调,台海局势面临新一轮紧张,原因是台湾当局一再企图“倚美谋独”,而美方一些人有意搞“以台制华”。这一趋势十分危险,是在玩火,而玩火者必自焚。一个中国原则和中美三个联合公报是中美关系的政治基础。历届美国政府对此都有明确承诺。台湾问题的真正现状和一个中国的核心内容是:世界上只有一个中国,台湾是中国的一部分,中华人民共和国政府是代表中国的唯一合法政府。中国实现完全统一,是全体中华儿女的共同愿望。我们是有耐心的,愿以最大诚意、尽最大努力争取和平统一的前景,但如果“台独”分裂势力挑衅逼迫,甚至突破红线,我们将不得不采取断然措施。 習近平氏は、台湾問題に関する中国の原則的な立場を詳しく説明しました。 習氏は、台湾海峡情勢が新たな緊張に直面しているのは、台湾当局が「米国に頼って独立しよう」とする試みを繰り返している一方で、米国には「台湾を利用して中国をコントロールしよう」とする意図を持つ人々がいるからだと強調しました。 この傾向は非常に危険で、火遊びをしているようなもので、火遊びをしている人は火傷をしてしまいます。 一つの中国の原則と三つの中米共同声明は、中米関係の政治的基盤です。 歴代の米政権は、このことを明確に約束しています。 台湾問題の真の現状と「一つの中国」の核心的内容は、世界に一つだけの中国があり、台湾は中国の一部であり、中華人民共和国政府が中国を代表する唯一の正当な政府であるということです。 中国の完全な統一を実現することは、すべての中国人の共通の願望です。 私たちは忍耐強く、最大限の誠意をもって平和的統一の見通しを立てる努力をしたいと考えていますが、「台湾独立」の分離主義勢力が挑発して強行突破する、あるいはレッドラインを突破するようなことがあれば、断固とした措置を取らざるを得ません。
习近平强调,文明是丰富多彩的,民主也是丰富多彩的。民主不是一种定制的产品,全世界都一个模式、一个规格。一个国家民主不民主,要由这个国家的人民自己来评判。如果因为实现民主的形式不同就加以排斥,这本身就是不民主的行为。我们愿在相互尊重基础上就人权问题开展对话,但我们不赞成借人权问题干涉别国内政。 習近平氏は、文明は豊かで多様であり、民主主義も同様であると強調しました。 民主主義は、全世界にひとつのモデル、ひとつの仕様のオーダーメイド製品ではありません。 ある国が民主的であるかどうかは、その国の人々自身が判断することです。 民主主義の形態が異なるからといって、それを排除すること自体が非民主的ではないでしょうか。 私たちは、人権問題について相互尊重のもとに対話を行うことを望んでいますが、人権問題を利用して他国の内政に干渉することには賛成できません。
习近平指出,中美应该维护以联合国为核心的国际体系,以国际法为基础的国际秩序,以联合国宪章宗旨和原则为基础的国际关系基本准则。如果没有中美合作,多边主义是不完整的。 中国と米国は、国連を中核とする国際システム、国際法に基づく国際秩序、国連憲章の目的と原則に基づく国際関係の基本規範を堅持すべきだと指摘した。 マルチラテラリズムは、中米の協力なしには不完全です。
关于中美经贸关系,习近平指出,中美经贸关系本质是互利双赢,在商言商,不要把中美经贸问题政治化。双方要做大合作“蛋糕”。中方重视美国工商界人士希望中方提供来华便利的诉求,已同意实施升级版的“快捷通道”,相信这将进一步促进中美经贸往来、助力两国经济复苏。美方应该停止滥用和泛化国家安全概念打压中国企业。中美有必要保持宏观经济政策沟通,支持世界经济复苏和防范经济金融风险。美方应该重视国内宏观政策外溢效应,采取负责任的宏观经济政策。 中米経済貿易関係について、習近平氏は、中米経済貿易関係の本質は相互利益とウィンウィンの状況であり、ビジネスにおいては、中米経済貿易問題を政治的に扱ってはならないと指摘しました。 双方は、より大きな協力の「ケーキ」を作るべきだ。 中国は、米国の経済界が中国に対して、彼らの中国訪問を促進するよう要請していることを重要視しており、「ファストトラック」のアップグレード版を実施することに合意しています。これにより、中国と米国の経済・貿易交流がさらに促進され、両国の経済回復に役立つと確信しています。 米国は、国家安全保障の概念を悪用し、一般化して中国企業を抑圧することをやめるべきです。 中国と米国がマクロ経済政策のコミュニケーションを維持し、世界経済の回復を支援し、経済・金融リスクを防止することが必要です。 米国は、国内のマクロ政策の波及効果に注意を払い、責任あるマクロ経済政策を採用すべきです。
关于能源安全问题,习近平指出,中美应该倡导国际社会共同维护全球能源安全,加强天然气和新能源领域合作,同国际社会一道,维护全球产业链供应链安全稳定。 エネルギー安全保障について、習近平氏は、中国と米国が国際社会に提唱して共同で世界のエネルギー安全保障を維持し、天然ガスや新エネルギーの分野での協力を強化し、国際社会と協力して世界の産業チェーンのサプライチェーンの安全性と安定性を維持すべきだと指摘しました。
关于气候变化问题,习近平指出,中美曾携手促成应对气候变化《巴黎协定》,现在两国都在向绿色低碳经济转型,气候变化完全可以成为中美新的合作亮点。我提出绿水青山就是金山银山,要像保护眼睛一样保护生态环境,像对待生命一样对待生态环境。现在,生态文明的理念在中国已家喻户晓,成为社会共识。中国将用历史上最短的时间完成全球最高的碳排放强度降幅,需要付出十分艰苦的努力。中国讲究言必信、行必果,说了就要做到,做不到就不要说。中国仍然是世界上最大的发展中国家,发展不平衡不充分的问题十分突出。各国要坚持共同但有区别的责任原则,兼顾应对气候变化和保障民生。少一些推诿指责,多一些团结合作。比口号,更要比行动。发达国家应该认真履行历史责任和应尽义务,而且要保持政策的稳定性。 気候変動について、習近平氏は、中国と米国が協力して気候変動に対処するためのパリ協定を実現したこと、そして両国がグリーンで低炭素な経済に移行している今、気候変動が中国と米国の協力の新たなハイライトになる可能性があることを指摘しました。 緑の水と緑の山は黄金の山であり、生態環境を目のように守り、命のように扱うべきだと提案しました。 生態文明の概念は、今や中国では一般的な言葉となり、社会的なコンセンサスとなっています。 中国は、歴史上最も短い期間で、世界最高水準の炭素排出強度の削減を達成することになり、非常に厳しい努力が必要です。 中国は、言葉は守らなければならない、行いはしなければならない、言ったことはしなければならない、しないことは言ってはならないと説いています。 中国は依然として世界最大の発展途上国であり、アンバランスで不十分な発展の問題が非常に顕著です。 各国は、共通だが差異ある責任の原則を遵守し、気候変動への対応と人々の生活の保護のバランスをとるべきです。 責任転嫁ではなく、もっと連帯感と協力関係を築くべきです。 スローガンよりも、アクションよりも。 先進国は、歴史的な責任と義務を真摯に果たし、政策の安定性を保つべきです。
关于公共卫生安全问题,习近平指出,新冠肺炎疫情再次证明,人类社会是命运共同体。没有比人的生命更优先的考量。团结合作是国际社会战胜疫情最有力武器。对待重大疫情,需要的是科学态度,把疾病问题政治化有百害而无一利。全球抗疫的当务之急是破解疫苗赤字,消除“疫苗鸿沟”。我在去年疫情暴发初期就提出新冠疫苗应该作为全球公共产品,并在不久前提出全球疫苗合作行动倡议。中国率先向有需要的发展中国家提供疫苗,累计超过17亿剂疫苗和原液。我们还会考虑发展中国家的需求,增加新的捐赠。新冠肺炎疫情不会是人类面临的最后一次公共卫生危机。中美应该倡导建立全球公共卫生及传染病防控合作机制,推动开展国际交流合作。 公衆衛生の安全性の問題について、習近平氏は、ニューカッスルの肺炎の流行は、人間社会が運命共同体であることを改めて証明したと指摘しました。 人の命に勝る優先順位はありません。 連帯感と協力は、国際社会が疫病を克服するための最も強力な武器です。 大規模な伝染病に対処するためには、科学的なアプローチが必要であり、病気の問題を政治的に扱うことは良い結果をもたらさないでしょう。 世界的な流行との戦いにおける最も緊急な課題は、ワクチン不足を克服し、「ワクチン・デバイド」を解消することです。 昨年の大流行の初期に、私は新しいワクチンは世界の公共財であるべきだと提案し、少し前に「グローバル・ワクチン・イニシアチブ」を立ち上げました。 中国は、ワクチンを必要とする開発途上国へのワクチン提供を率先して行っており、17億本以上のワクチンと備蓄を蓄積しています。 また、発展途上国のニーズにも配慮し、新たな寄付を追加します。 ニューカッスルで発生した肺炎は、人類が直面する最後の公衆衛生上の危機ではないでしょう。 中国と米国は、世界的な公衆衛生と感染症の予防と制御の協力メカニズムの構築を提唱し、国際的な交流と協力を促進すべきです。
拜登表示,美中关系是世界上最重要的双边关系。美中作为两个世界大国,对美中两国和世界人民都负有责任。双方应通过开诚布公和坦率对话,增进对彼此意图的了解,确保两国竞争是公平、健康的,而不会演变成为冲突。我赞同习近平主席所讲,历史是公正的,美中关系只能搞好,不能搞砸。中国在5000多年前就已经是一个大国。我愿明确重申,美方不寻求改变中国的体制,不寻求通过强化同盟关系反对中国,无意同中国发生冲突。美国政府致力于奉行长期一贯的一个中国政策,不支持“台独”,希望台海地区保持和平稳定。美方愿同中方相互尊重、和平共处,加强沟通,减少误解,以建设性方式妥处分歧,在美中两国利益一致的领域加强合作,共同应对新冠肺炎、气候变化等全球性挑战,让两国人民都能过上更美好的生活。应该鼓励我们的年轻一代更多接触,了解彼此文化,从而使这个世界变得更加美好。 バイデン大統領は、中米関係は世界で最も重要な二国間関係であると述べました。 世界の2大国として、米国と中国は、米国、中国、そして世界の人々に対して責任を負っています。 双方は、両国間の競争が公正で健全なものであり、紛争に発展しないよう、オープンで率直な対話を通じて、互いの意図に対する理解を深めるべきです。 歴史は公平であり、中米関係は悪くなるのではなく、良くなるしかないという習近平国家主席の考えに賛同します。 中国は5,000年以上も前から大国であった。 米国は中国の制度を変えようとはせず、同盟関係を強化して中国に対抗しようとはせず、中国と紛争を起こすつもりはないということを、はっきりと繰り返しておきたいと思います。 米国政府は、長年にわたり一貫した一つの中国政策にコミットしており、「台湾独立」を支持せず、台湾海峡地域が平和で安定した状態を維持することを望んでいます。 米国は、中国との相互尊重と平和的共存を目指し、コミュニケーションを強化し、誤解を減らし、建設的な方法で相違点を解決し、中米の利益が一致する分野での協力を強化し、両国民がより良い生活を送れるよう、新型肺炎や気候変動などの地球規模の課題に協力して取り組んでいきたいと考えています。 若い世代は、この世界をより良いものにするために、もっと外に出てお互いの文化を学ぶことを奨励すべきです。
双方还就阿富汗、伊朗核和朝鲜半岛局势等其他共同关心的国际和地区问题交换了意见。 また、アフガニスタン、イランの核、朝鮮半島情勢など、共通の関心事であるその他の国際・地域問題についても意見交換を行いました。
两国元首都认为,此次会晤是坦率、建设性、实质性和富有成效的,有利于增进双方相互了解,增加国际社会对中美关系的正面预期,向中美两国和世界发出了强有力信号。双方同意继续通过各种方式保持密切联系,推动中美关系重回健康稳定发展的正确轨道,造福中美两国人民和世界各国人民。 両首脳は、今回の会談が率直で建設的、実質的で生産的なものであり、双方の相互理解を深め、中米関係に対する国際社会の前向きな期待を高め、中国、米国、世界に向けて強いシグナルを発信することに資するものであったと合意した。 双方は、中米関係が中国と米国、そして世界の人々の利益のために、健全で安定した発展の正しい軌道に戻ることを促進するために、様々な手段を用いて緊密な連絡を取り続けることに合意しました。
丁薛祥、刘鹤、杨洁篪、王毅等参加会晤。 丁薛祥、刘鹤、杨洁篪、王毅の各氏が出席しました。

 

・2021.11.16 习近平:中美应该相互尊重、和平共处、合作共赢,既办好各自国内的事情,又承担起应尽的国际责任

习近平:中美应该相互尊重、和平共处、合作共赢,既办好各自国内的事情,又承担起应尽的国际责任 習近平:中国と米国は互いに尊重し合い、平和的に共存し、協力し合い、Win-Winを実現し、それぞれの国内問題を解決しながら、相応の国際的責任を果たすべきである。
国家主席习近平16日上午在北京同美国总统拜登举行视频会晤。 習近平国家主席は11月16日午前、北京でジョー・バイデン米国大統領とビデオ会議を行いました。
习近平指出,当前,中美发展都处在关键阶段,人类的“地球村”也面临诸多挑战。中美作为世界前两大经济体和联合国安理会常任理事国,应该加强沟通和合作,既办好我们各自国内的事情,又承担起应尽的国际责任,共同推进人类和平与发展的崇高事业。这是中美两国和世界各国人民的共同愿景,也是中美两国领导人的共同使命。 習近平氏は、現在、中国と米国はともに発展の重要な段階にあり、人類の「地球村」も多くの課題に直面していると指摘しました。 世界のトップ2の経済大国であり、国連安全保障理事会の常任理事国である中国と米国は、コミュニケーションと協力を強化し、国際的な責任を負いながらそれぞれの国内問題に対処し、人類の平和と発展という崇高な目的を共同で推進していくべきである。 これは、中国と米国、そして世界の人々が共有するビジョンであり、中国と米国の指導者たちの共通の使命でもあります。
习近平强调,推动中美各自发展,维护和平稳定的国际环境,包括有效应对气变、新冠肺炎疫情在内的全球性挑战,都需要一个健康稳定的中美关系。中美应该相互尊重、和平共处、合作共赢。我愿同总统先生一道,形成共识,积极行动,引领中美关系积极向前发展。这是造福两国人民的需要,也是国际社会的期待。 習近平氏は、中国と米国のそれぞれの発展を促進し、気候変動や新型クラウン肺炎の流行などの地球規模の課題への効果的な対応を含む平和で安定した国際環境を維持するためには、すべて健全で安定した中米関係が必要であると強調しました。 中国と米国は、お互いに尊重し合い、平和的に共存し、Win-Winの状況を目指して協力していくべきです。 私は、中米関係を前向きに進めるために、大統領と協力してコンセンサスを形成し、積極的な行動をとる用意があります。 これは両国民の利益のために必要であり、国際社会からも期待されています。

 


Fig1_20211117141901


 

報道官の質疑については、

 

Continue reading "米国 中国 バイデン大統領と習近平国家主席の対談"

| | Comments (0)

中国 党創立100周年闘争の主要な成果と歴史的経験に関する中共中央委員会の決議(全文)

こんにちは、丸山満彦です。

15日はバイデン米大統領と習近平中国国家主席がオンラインサミットをしたのですが、こちらのほうが重要だろうということで、こちらを読んでいました。。。

歴史決議は、毛沢東、鄧小平の時代に続いて3度目ということで、共産党創立100年の節目とあわせて発表されているのでしょうが、やはり腐敗政治を正して、党のガバナンスを構築し、ガバナンスの効いた党により国を正しい方向にすすめているということがポイントなんでしょうかね。。。

習近平の父親が鄧小平時代に苦労したようですね。。。

 

中华人民共和国人民政府

・2021.11.16 中共中央关于党的百年奋斗重大成就和历史经验的决议(全文)

その説明

・2021.11.16 习近平:关于《中共中央关于党的百年奋斗重大成就和历史经验的决议》的说明

 

1_20210612030101

 


遠藤誉さんの分析が鋭い(とよく知っている中国人の方もいっていました)ので参考まで。。。

参考

● Yahoo! Japna ニュース - 中国問題研究家 遠藤誉が斬る

・2021.11.15 三期目狙う習近平 紅いDNAを引く最後の男

・2021.11.14 習近平「歴史決議」――鄧小平を否定矮小化した「からくり」

・2021.11.13 習近平「歴史決議」の神髄「これまで解決できなかった難題」とは?

Continue reading "中国 党創立100周年闘争の主要な成果と歴史的経験に関する中共中央委員会の決議(全文)"

| | Comments (0)

2021.11.16

中国 意見募集 ネットワークデータセキュリティ管理条例

こんにちは、丸山満彦です。

中国のサイバースペース管理局が、「ネットワークデータセキュリティ管理条例(意見募集稿)」についての意見募集をしていますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

2021.11.14 国家互联网信息办公室关于《网络数据安全管理条例(征求意见稿)》公开征求意见的通知
国家サイバースペース情報管理局「ネットワークデータセキュリティ管理条例
(意見募集稿)」についての意見募集の通知

 

为落实《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律关于数据安全管理的规定,规范网络数据处理活动,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,根据国务院2021年立法计划,我办会同相关部门研究起草《网络数据安全管理条例(征求意见稿)》,现向社会公开征求意见。 中国人民共和国ネットワークセキュリティ法、中国人民共和国データセキュリティ法、中国人民共和国個人情報保護法及びその他のデータセキュリティ管理に関する法律の規定を実施し、ネットワークデータ処理活動を規制し、サイバー空間における個人及び組織の正当な権利と利益を保護し、国家の安全と公共の利益を守るために、2021年の国務院の立法計画に基づき、私のオフィスは関連部門と一緒に以下の内容を検討し、起草します。 ネットワークデータセキュリティ管理弁法」(意見募集用草案)の意見を募集しています。

 

訳は参考程度ということで、、、

 

网络数据安全管理条例 ネットワークデータセキュリティの管理に関する条例
(征求意见稿) (意見募集用草案)
第一章 总则 第1章 総則
第一条 为了规范网络数据处理活动,保障数据安全,保护个人、组织在网络空间的合法权益,维护国家安全、公共利益,根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。 第1条 ネットワークデータ処理活動を規制し、データセキュリティを保護し、サイバー空間における個人および組織の正当な権利および利益を保護し、国家の安全および公共の利益を守るために、ネットワークセキュリティに関する中華人民共和国法、データセキュリティに関する中華人民共和国法、個人情報の保護に関する中華人民共和国法およびその他の法律に基づき、本条例を制定する。
第二条 在中华人民共和国境内利用网络开展数据处理活动,以及网络数据安全的监督管理,适用本条例。 第2条 本条例は、中華人民共和国の領域内におけるデータ処理活動のためのネットワークの使用、およびネットワークデータセキュリティの監督・管理に適用される。
在中华人民共和国境外处理中华人民共和国境内个人和组织数据的活动,有下列情形之一的,适用本条例: 本条例は、以下のいずれかの状況下で中華人民共和国内の個人および組織のデータを処理する中華人民共和国外の活動に適用される。
(一)以向境内提供产品或者服务为目的; (1) 領域に製品またはサービスを提供する目的
(二)分析、评估境内个人、组织的行为; (2) 領域内の個人および組織の分析と評価
(三)涉及境内重要数据处理; (3) 領土内での重要なデータの処理に関わる場合
(四)法律、行政法规规定的其他情形。 (4)その他、法律や行政法規で定められている場合。
自然人因个人或者家庭事务开展数据处理活动,不适用本条例。 本条例は、自然人が個人的または家族的事項のために行うデータ処理活動には適用されない。
第三条 国家统筹发展和安全,坚持促进数据开发利用与保障数据安全并重,加强数据安全防护能力建设,保障数据依法有序自由流动,促进数据依法合理有效利用。 第3条 国は、開発と安全を調整し、データの開発・利用の促進とデータセキュリティの保護を同等に重視する原則を堅持し、データセキュリティ保護能力の構築を強化し、法に基づきデータの秩序ある自由な流れを保護し、法に基づきデータの合理的かつ効果的な利用を促進する。
第四条 国家支持数据开发利用与安全保护相关的技术、产品、服务创新和人才培养。 第4条 国は、データの活用とセキュリティ保護に関連する技術、製品、サービスの革新と人材の育成を支援する。
国家鼓励国家机关、行业组织、企业、教育和科研机构、有关专业机构等开展数据开发利用和安全保护合作,开展数据安全宣传教育和培训。 国は、国家機関、産業組織、企業、教育・科学研究機関、関連する専門機関がデータの活用とセキュリティ保護に協力し、データセキュリティの広報、教育・訓練を実施することを奨励する。
第五条 国家建立数据分类分级保护制度。按照数据对国家安全、公共利益或者个人、组织合法权益的影响和重要程度,将数据分为一般数据、重要数据、核心数据,不同级别的数据采取不同的保护措施。 第5条 国は、データの分類・等級付け保護システムを確立する。 国家安全保障、公共の利益、または個人や組織の正当な権利や利益に対するデータの影響や重要性に応じて、データを一般データ、重要データ、コアデータに分類し、異なるレベルのデータには異なる保護手段を採用しなければならない。
国家对个人信息和重要数据进行重点保护,对核心数据实行严格保护。 国は、個人情報や重要なデータを重点的に保護し、コア・データについては厳格な保護を実施する。
各地区、各部门应当按照国家数据分类分级要求,对本地区、本部门以及相关行业、领域的数据进行分类分级管理。 すべての地域および部門は、国のデータ分類・等級付けの要件に従い、自らの地域および部門、ならびに関連する産業および分野のデータを分類・等級付けをする。
第六条 数据处理者对所处理数据的安全负责,履行数据安全保护义务,接受政府和社会监督,承担社会责任。 第6条 データ処理者は、処理するデータのセキュリティに責任を負い、データセキュリティ保護の義務を果たし、政府や社会の監督を受け入れ、社会的責任を負う。
数据处理者应当按照有关法律、行政法规的规定和国家标准的强制性要求,建立完善数据安全管理制度和技术保护机制。 データ処理者は、関連する法律および行政法規の規定、ならびに国内規格の必須要件に従い、データセキュリティ管理システムおよび技術的保護メカニズムを構築し、改善しなければならない。
第七条 国家推动公共数据开放、共享,促进数据开发利用,并依法对公共数据实施监督管理。 第7条 国は、公共データの公開と共有を促進し、データの開発と利用を容易にし、法律に基づいて公共データの監督と管理を実施しなければならない。
国家建立健全数据交易管理制度,明确数据交易机构设立、运行标准,规范数据流通交易行为,确保数据依法有序流通。 国は、データ取引の管理システムを構築・改善し、データ取引機関の設立・運営基準を規定し、データの流通・取引の行為を規制し、法律に基づいてデータの秩序ある流通を確保する。
第二章 一般规定 第2章 総則
第八条 任何个人和组织开展数据处理活动应当遵守法律、行政法规,尊重社会公德和伦理,不得从事以下活动: 第8条 データ処理活動を行う個人および組織は、法律および行政法規を遵守し、社会的道徳および倫理を尊重し、以下の行為を行ってはならない。
(一)危害国家安全、荣誉和利益,泄露国家秘密和工作秘密; (1) 国家の安全、名誉、利益を危険にさらし、国家機密や業務上の秘密を漏らすこと
(二)侵害他人名誉权、隐私权、著作权和其他合法权益等; (2) 他人の名誉、プライバシー、著作権、その他の正当な権利・利益等を侵害すること
(三)通过窃取或者以其他非法方式获取数据; (3) 盗難その他の不正な手段によりデータを取得すること
(四)非法出售或者非法向他人提供数据; (4) データを違法に販売したり、違法に他人に提供すること
(五)制作、发布、复制、传播违法信息; (5) 違法な情報を作成、出版、複製、または流布すること
(六)法律、行政法规禁止的其他行为。 (6)その他、法律や行政法規で禁止されている行為
任何个人和组织知道或者应当知道他人从事前款活动的,不得为其提供技术支持、工具、程序和广告推广、支付结算等服务。 他人が前項の行為を行っていることを知り、または知るべきである個人または組織は、その人のために技術的支援、ツール、広告・宣伝などのプログラムやサービス、支払い・決済などを行ってはならない。
第九条 数据处理者应当采取备份、加密、访问控制等必要措施,保障数据免遭泄露、窃取、篡改、毁损、丢失、非法使用,应对数据安全事件,防范针对和利用数据的违法犯罪活动,维护数据的完整性、保密性、可用性。 第9条 データ処理者は、データの漏洩、盗難、改ざん、破壊、紛失、不正使用からの保護、データセキュリティインシデントへの対応、データを対象とした違法行為や犯罪行為の防止、データの完全性、機密性、可用性の維持のために、バックアップ、暗号化、アクセスコントロール等の必要な措置を講じなければならない。
数据处理者应当按照网络安全等级保护的要求,加强数据处理系统、数据传输网络、数据存储环境等安全防护,处理重要数据的系统原则上应当满足三级以上网络安全等级保护和关键信息基础设施安全保护要求,处理核心数据的系统依照有关规定从严保护。 データ処理者は、ネットワークセキュリティ等級保護の要求に基づき、データ処理システム、データ伝送ネットワーク、データ保管環境のセキュリティ保護を強化し、重要なデータを取り扱うシステムは、原則としてネットワークセキュリティ等級保護および重要情報インフラセキュリティ保護のレベル3以上の要求を満たし、コアデータを取り扱うシステムは、関連法規に基づき厳重に保護する。
数据处理者应当使用密码对重要数据和核心数据进行保护。 データ処理者は、重要データおよびコアデータの保護のためにパスワードを使用しなければならない。
第十条 数据处理者发现其使用或者提供的网络产品和服务存在安全缺陷、漏洞,或者威胁国家安全、危害公共利益等风险时,应当立即采取补救措施。 第10条 データ処理者は、自らが使用または提供するネットワーク製品やサービスにセキュリティ上の欠陥や抜け穴があり、国家の安全を脅かしたり、公共の利益を危険にさらしたりすることを発見した場合には、直ちに改善策を講じなければならない。
第十一条 数据处理者应当建立数据安全应急处置机制,发生数据安全事件时及时启动应急响应机制,采取措施防止危害扩大,消除安全隐患。安全事件对个人、组织造成危害的,数据处理者应当在三个工作日内将安全事件和风险情况、危害后果、已经采取的补救措施等以电话、短信、即时通信工具、电子邮件等方式通知利害关系人,无法通知的可采取公告方式告知,法律、行政法规规定可以不通知的从其规定。安全事件涉嫌犯罪的,数据处理者应当按规定向公安机关报案。 第11条 データ処理者は、データセキュリティの緊急対応メカニズムを確立し、データセキュリティ事故が発生した場合には、速やかに緊急対応メカニズムを発動させ、被害の拡大を防止し、セキュリティ上の危険性を排除するための措置を講じなければならない。 セキュリティインシデントにより個人または組織に被害が発生した場合、データ処理者は、3営業日以内に、セキュリティインシデントとリスク状況、被害の結果、および講じられた改善策を電話、SMS、インスタントメッセンジャー、電子メールなどの手段で関係者に通知しなければならない。それが不可能な場合は、関係者に通知するためのアナウンスという形をとることができ、通知ができないと規定している法律および行政法規はその規定に従わなければならない。 セキュリティインシデントが犯罪であると疑われる場合、データ処理者は必要に応じて公安当局に報告しなければならない。
发生重要数据或者十万人以上个人信息泄露、毁损、丢失等数据安全事件时,数据处理者还应当履行以下义务: データ処理者は、重要なデータまたは10万人以上の個人情報の漏洩、破壊、紛失などのデータセキュリティ事故が発生した場合、以下の義務も果たさなければならない。
(一)在发生安全事件的八小时内向设区的市级网信部门和有关主管部门报告事件基本信息,包括涉及的数据数量、类型、可能的影响、已经或拟采取的处置措施等; (1) セキュリティインシデントが発生してから8時間以内に、関係するデータの量と種類、考えられる影響、実施したまたは実施予定の処分方法など、インシデントに関する基本的な情報を、当該地区の自治体のネットワーク情報部門および関連する主務部門に報告する。
(二)在事件处置完毕后五个工作日内向设区的市级网信部门和有关主管部门报告包括事件原因、危害后果、责任处理、改进措施等情况的调查评估报告。 (2) 事故処理後5営業日以内に、地区の市レベルのネットワーク情報部門および関連する管轄部門に、事故の原因、被害の結果、処理責任および改善策などを含む調査・評価報告書を報告する。
第十二条 数据处理者向第三方提供个人信息,或者共享、交易、委托处理重要数据的,应当遵守以下规定: 第12条 データ処理者は、個人情報を第三者に提供する場合、または重要なデータを共有、取引、委託する場合には、以下の規定を遵守しなければならない。
(一)向个人告知提供个人信息的目的、类型、方式、范围、存储期限、存储地点,并取得个人单独同意,符合法律、行政法规规定的不需要取得个人同意的情形或者经过匿名化处理的除外; (1) 提供された個人情報の目的、種類、方法、範囲、保存期間、保存先を本人に通知し、法令や行政法規により本人の同意が不要な場合や匿名化した後の場合を除き、本人の個別の同意を得ること
(二)与数据接收方约定处理数据的目的、范围、处理方式,数据安全保护措施等,通过合同等形式明确双方的数据安全责任义务,并对数据接收方的数据处理活动进行监督; (2) データ処理の目的、範囲および方法、データ・セキュリティ保護対策などについてデータ受領者と合意し、契約書などを通じて双方のデータ・セキュリティ責任および義務を明確にし、データ受領者のデータ処理活動を監督すること
(三)留存个人同意记录及提供个人信息的日志记录,共享、交易、委托处理重要数据的审批记录、日志记录至少五年。 (3) 本人の同意の記録と個人情報の提供のログ記録、および重要なデータの共有、取引、処理の委託の承認の記録とログ記録を少なくとも5年間保存すること
数据接收方应当履行约定的义务,不得超出约定的目的、范围、处理方式处理个人信息和重要数据。 データ受領者は、合意された義務を果たし、合意された目的、範囲および処理方法を超えて個人情報および重要データを処理しなければならない。
第十三条 数据处理者开展以下活动,应当按照国家有关规定,申报网络安全审查: 第13条 データ処理者は、関連する国の規制に従って、以下の活動のためのネットワークセキュリティレビューを申告しなければならない。
(一)汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立,影响或者可能影响国家安全的; (1) 国家安全保障、経済発展、公共の利益に関わるデータ資源を大量に保有するインターネット・プラットフォーム事業者を集め、国家安全保障に影響を与える、または影響を与える可能性のある合併、再編、分割を実施する
(二)处理一百万人以上个人信息的数据处理者赴国外上市的; (2) 海外で公開される100万人以上の個人情報を取り扱う情報処理業者
(三)数据处理者赴香港上市,影响或者可能影响国家安全的; (3) データ処理者が香港で公開され、国家安全保障に影響を与える、または与える可能性がある場合
(四)其他影响或者可能影响国家安全的数据处理活动。 (4) 国家安全保障に影響する、または影響する可能性のあるその他のデータ処理活動
大型互联网平台运营者在境外设立总部或者运营中心、研发中心,应当向国家网信部门和主管部门报告。 大規模なインターネット・プラットフォーム事業者が中国国外に本社やオペレーションセンター、R&Dセンターを設立した場合、国のネットワーク情報部門と管轄当局に報告しなければならない。
第十四条 数据处理者发生合并、重组、分立等情况的,数据接收方应当继续履行数据安全保护义务,涉及重要数据和一百万人以上个人信息的,应当向设区的市级主管部门报告;数据处理者发生解散、被宣告破产等情况的,应当向设区的市级主管部门报告,按照相关要求移交或删除数据,主管部门不明确的,应当向设区的市级网信部门报告。 第14条 データ処理者が合併、再編または分離した場合、データ受領者は引き続きデータセキュリティ保護義務を果たし、重要なデータおよび100万人以上の個人情報が含まれる地区の市レベルの所轄部門に報告するものとし、データ処理者が解散または破産宣告を受けた場合、地区の市町村レベルの所轄部門に報告し、関連する要求に従ってデータを移転または削除するものとする。 管轄部門が不明な場合は、地区の市レベルのネットワーク情報部門に報告するものとする。
第十五条 数据处理者从其他途径获取的数据,应当按照本条例的规定履行数据安全保护义务。 第15条 データ処理者は、本条例の規定に従い、他の情報源から取得したデータに関して、データセキュリティ保護の義務を履行しなければならない。
第十六条 国家机关应当依照法律、行政法规的规定和国家标准的强制性要求,建立健全数据安全管理制度,落实数据安全保护责任,保障政务数据安全。 第16条 国家機関は、法律及び行政法規の規定並びに国家基準の必須要件に従い、健全なデータ・セキュリティ管理システムを構築し、データ・セキュリティ保護の責任を履行し、政府事務データのセキュリティを保護しなければならない。
第十七条 数据处理者在采用自动化工具访问、收集数据时,应当评估对网络服务的性能、功能带来的影响,不得干扰网络服务的正常功能。 第17条 データ処理者は、データへのアクセスおよび収集のために自動化されたツールを採用する場合、ネットワークサービスの性能および機能への影響を評価し、ネットワークサービスの正常な機能を妨げてはならない。
自动化工具访问、收集数据违反法律、行政法规或者行业自律公约、影响网络服务正常功能,或者侵犯他人知识产权等合法权益的,数据处理者应当停止访问、收集数据行为并采取相应补救措施。 自動化されたツールが、法律、行政規制または業界の自主規制公約に違反してデータにアクセスまたは収集したり、ネットワークサービスの正常な機能に影響を与えたり、知的財産権などの他者の正当な権利や利益を侵害したりした場合、データ処理者はデータへのアクセスまたは収集を中止し、対応する是正措置を講じなければならない。
第十八条 数据处理者应当建立便捷的数据安全投诉举报渠道,及时受理、处置数据安全投诉举报。 第18条 データ処理者は、データセキュリティに関する苦情および報告のための便利なルートを確立し、データセキュリティに関する苦情および報告をタイムリーに受け取り、対処しなければならない。
数据处理者应当公布接受投诉、举报的联系方式、责任人信息,每年公开披露受理和收到的个人信息安全投诉数量、投诉处理情况、平均处理时间情况,接受社会监督。 データ処理者は、苦情及び報告を受け付けるための連絡先及び責任者情報を公表するとともに、個人情報セキュリティに関する苦情の受付件数及び受理件数、苦情の処理状況、社会的監督を受け付けるまでの各年の平均処理時間を公表しなければならない。
第三章 个人信息保护 第3章 個人情報の保護
第十九条 数据处理者处理个人信息,应当具有明确、合理的目的,遵循合法、正当、必要的原则。基于个人同意处理个人信息的,应当满足以下要求: 第19条 データ処理者は、個人情報を取り扱うための明確かつ合理的な目的を持ち、合法性、正当性、必要性の原則に従わなければならない。 個人情報の処理が本人の同意に基づく場合は、以下の要件を満たさなければならない。
(一)处理的个人信息是提供服务所必需的,或者是履行法律、行政法规规定的义务所必需的; (1) 処理される個人情報は、サービスの提供または法律や行政法規に基づく義務の履行のために必要なものであること
(二)限于实现处理目的最短周期、最低频次,采取对个人权益影响最小的方式; (2) 処理の目的を達成するために最も短い期間と最も低い頻度に限定されており、個人の権利と利益への影響が最も少ない方法であること
(三)不得因个人拒绝提供服务必需的个人信息以外的信息,拒绝提供服务或者干扰个人正常使用服务。 (3) サービスに必要な個人情報以外の情報の提供を拒否したことを理由に、サービスの提供を拒否したり、個人によるサービスの正常な利用を妨げたりしないこと
第二十条 数据处理者处理个人信息,应当制定个人信息处理规则并严格遵守。个人信息处理规则应当集中公开展示、易于访问并置于醒目位置,内容明确具体、简明通俗,系统全面地向个人说明个人信息处理情况。 第20条 個人データ処理者は、個人情報取扱規則を策定し、これを厳守しなければならない。 個人情報処理規則は、集中的かつ公的に表示され、容易にアクセスでき、目立つように配置され、明確、具体的、簡潔かつ一般的な内容で、個人に対して個人情報処理の状況を体系的かつ包括的に説明しなければならない。
个人信息处理规则应当包括但不限于以下内容: 個人情報取扱規則には、以下の項目が含まれるが、これに限定されるものではない。
(一)依据产品或者服务的功能明确所需的个人信息,以清单形式列明每项功能处理个人信息的目的、用途、方式、种类、频次或者时机、保存地点等,以及拒绝处理个人信息对个人的影响; (1) 製品やサービスの機能に応じて必要な個人情報を明示し、機能ごとに個人情報を取り扱う目的、用途、方法、種類、頻度や時期、保管場所などを列挙し、個人情報の取り扱いを拒否した場合の本人への影響を記載したもの
(二)个人信息存储期限或者个人信息存储期限的确定方法、到期后的处理方式; (2) 個人情報の保存期間、または個人情報の保存期間を決定する方法、および保存期間満了時の個人情報の取り扱い方法
(三)个人查阅、复制、更正、删除、限制处理、转移个人信息,以及注销账号、撤回处理个人信息同意的途径和方法; (3) 個人が、個人情報へのアクセス、コピー、訂正、削除、取り扱いの制限、転送、アカウントの取り消し、個人情報の取り扱いへの同意の撤回をするための方法と手段
(四)以集中展示等便利用户访问的方式说明产品服务中嵌入的所有收集个人信息的第三方代码、插件的名称,以及每个第三方代码、插件收集个人信息的目的、方式、种类、频次或者时机及其个人信息处理规则; (4) 集中表示など、ユーザーがアクセスしやすい方法で製品サービスに組み込まれた個人情報を収集するすべての第三者コードおよびプラグインの名称と、各第三者コードまたはプラグインが個人情報を収集する目的、方法、種類、頻度またはタイミング、およびその個人情報取扱規則
(五)向第三方提供个人信息情形及其目的、方式、种类,数据接收方相关信息等; (5) 個人情報を第三者に提供する場合、その目的、方法、種類、提供先に関する情報等
(六)个人信息安全风险及保护措施; (6) 個人情報セキュリティのリスクと保護対策
(七)个人信息安全问题的投诉、举报渠道及解决途径,个人信息保护负责人联系方式。 (7) 個人情報保護に関する苦情・相談窓口とその解決方法、個人情報保護担当者の連絡先
第二十一条 处理个人信息应当取得个人同意的,数据处理者应当遵守以下规定: 第21条 個人情報の処理が本人の同意を得なければならない場合、データ処理者は以下の規定に従わなければならない。
(一)按照服务类型分别向个人申请处理个人信息的同意,不得使用概括性条款取得同意; (1) 個人情報の処理に対する同意を、サービスの種類に応じて個別に申請し、一般的な用語を用いて同意を得てはならない
(二)处理个人生物识别、宗教信仰、特定身份、医疗健康、金融账户、行踪轨迹等敏感个人信息应当取得个人单独同意; (2) 個人のバイオメトリクス、宗教的信条、特定のアイデンティティ、医療および健康管理、金融口座、所在および痕跡などのセンシティブな個人情報の処理については、個人から個別に同意を得なければならない
(三)处理不满十四周岁未成年人的个人信息,应当取得其监护人同意; (3) 14歳未満の未成年者の個人情報の処理については、その保護者から同意を得なければならない
(四)不得以改善服务质量、提升用户体验、研发新产品等为由,强迫个人同意处理其个人信息; (4) サービス品質の向上、ユーザーエクスペリエンスの向上、新製品の開発などを理由に、個人が自分の個人情報の処理に同意することを強制してはならない
(五)不得通过误导、欺诈、胁迫等方式获得个人的同意; (5) 個人の同意は、誤解を招くような方法、詐欺的な方法、強制的な方法で得てはならない
(六)不得通过捆绑不同类型服务、批量申请同意等方式诱导、强迫个人进行批量个人信息同意; (6) 異なる種類のサービスをバンドルしたり、一括して同意を申請するなどして、個人情報を一括して同意するように誘導したり強制してはならない
(七)不得超出个人授权同意的范围处理个人信息; (7) 本人の承認された同意の範囲を超えて個人情報を処理してはならない
(八)不得在个人明确表示不同意后,频繁征求同意、干扰正常使用服务。 (8) 本人が同意しないことを明示した後に、頻繁に同意を求めたり、サービスの正常な利用を妨害してはならない
个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,数据处理者应当重新取得个人同意,并同步修改个人信息处理规则。 個人情報の処理目的、処理方法、および処理される個人情報の種類に変更があった場合、データ処理者は再度本人の同意を得て、個人情報取扱規則を並行して修正しなければならない。
对个人同意行为有效性存在争议的,数据处理者负有举证责任。 個人的同意の行為の有効性について紛争が生じた場合、証明責任はデータ処理者にある。
第二十二条 有下列情况之一的,数据处理者应当在十五个工作日内删除个人信息或者进行匿名化处理: 第22条 データ処理者は、以下のいずれかの状況に該当する場合、15営業日以内に個人情報を削除または匿名化しなければならない。
(一)已实现个人信息处理目的或者实现处理目的不再必要; (1) 個人情報の処理目的が達成されたか、または処理目的を達成するための必要性がなくなった場合
(二)达到与用户约定或者个人信息处理规则明确的存储期限; (2) ユーザーと合意した、または個人情報取扱規則に定められた保存期間に達した場合
(三)终止服务或者个人注销账号; (3) サービスの終了、または個人のアカウントを解約した場合
(四)因使用自动化采集技术等,无法避免采集到的非必要个人信息或者未经个人同意的个人信息。 (4) 自動化された収集技術等の使用により、必要のない個人情報や本人の同意のない個人情報の収集を避けることができない場合
删除个人信息从技术上难以实现,或者因业务复杂等原因,在十五个工作日内删除个人信息确有困难的,数据处理者不得开展除存储和采取必要的安全保护措施之外的处理,并应当向个人作出合理解释。 個人情報の削除が技術的に困難な場合、または業務の複雑さなどの理由で15営業日以内に個人情報を削除することが困難な場合、データ処理者は、保存と必要な安全保護措置以外の処理を行ってはならず、本人に合理的な説明を行なければならない。
法律、行政法规另有规定的从其规定。 法律または行政法規に別段の定めがある場合は、その定めに従わなければならない。
第二十三条 个人提出查阅、复制、更正、补充、限制处理、删除其个人信息的合理请求的,数据处理者应当履行以下义务: 第23条 個人が自分の個人情報へのアクセス、コピー、訂正、補足、処理の制限、または削除を合理的に要求する場合、データ処理者は以下の義務を果たさなければならない。
(一)提供便捷的支持个人结构化查询本人被收集的个人信息类型、数量等的方法和途径,不得以时间、位置等因素对个人的合理请求进行限制; (1) 個人が、収集されている個人情報の種類と量について構造的に問い合わせることを支援するための便利な方法と手段を提供し、個人の合理的な要求を時間、場所、その他の要素に基づいて制限しないこと
(二)提供便捷的支持个人复制、更正、补充、限制处理、删除其个人信息、撤回授权同意以及注销账号的功能,且不得设置不合理条件; (2) 個人が自分の個人情報のコピー、訂正、補足、処理の制限、削除、承認された同意の撤回、アカウントの取り消しを行うための便利なサポートを提供し、不合理な条件を課差ないこと
(三)收到个人复制、更正、补充、限制处理、删除本人个人信息、撤回授权同意或者注销账号申请的,应当在十五个工作日内处理并反馈。 (3) 個人から、個人情報のコピー、訂正、補足、処理の制限、削除、承認された同意の撤回、アカウントの取り消しの要請を受けた場合、15営業日以内に処理し、フィードバックを提供すること
法律、行政法规另有规定的从其规定。 法律または行政法規に別段の定めがある場合は、その定めに従わなければならない。
第二十四条 符合下列条件的个人信息转移请求,数据处理者应当为个人指定的其他数据处理者访问、获取其个人信息提供转移服务: 第24条 データ処理者は、個人情報の移転要求が以下の条件を満たす場合、本人が指定する他のデータ処理者が自分の個人情報にアクセスして取得するための移転サービスを提供しなければならない。
(一)请求转移的个人信息是基于同意或者订立、履行合同所必需而收集的个人信息; (1) 譲渡を要求された個人情報が、同意に基づいて収集された個人情報、または契約の締結もしくは履行のために必要な個人情報である場合
(二)请求转移的个人信息是本人信息或者请求人合法获得且不违背他人意愿的他人信息; (2) 転送を要求された個人情報が、本人または他人に関する情報で、要求者が合法的に入手したものであり、他人の意思に反していない場合
(三)能够验证请求人的合法身份。 (3) 依頼者の合法的な身元が確認できる場合
数据处理者发现接收个人信息的其他数据处理者有非法处理个人信息风险的,应当对个人信息转移请求做合理的风险提示。 データ処理者は、個人情報を受け取る他のデータ処理者が個人情報を違法に処理しているリスクがあることを発見した場合、個人情報の移転要求に関連するリスクについて合理的な警告を提供しなければならない。
请求转移个人信息次数明显超出合理范围的,数据处理者可以收取合理费用。 個人情報の移転要求の数が明らかに合理的な範囲を超えている場合、情報処理業者は合理的な手数料を請求することができる。
第二十五条 数据处理者利用生物特征进行个人身份认证的,应当对必要性、安全性进行风险评估,不得将人脸、步态、指纹、虹膜、声纹等生物特征作为唯一的个人身份认证方式,以强制个人同意收集其个人生物特征信息。 第25条 データ処理者は、個人識別のためにバイオメトリクス機能を使用する場合、その必要性と安全性についてリスクアセスメントを行い、個人のバイオメトリクス情報の収集に同意することを個人に強制するために、顔、歩行、指紋、虹彩、声紋などのバイオメトリクス機能を個人識別の唯一の手段として使用してはならない。
法律、行政法规另有规定的从其规定。 法律または行政法規に別段の定めがある場合は、その定めに従わなければならない。
第二十六条 数据处理者处理一百万人以上个人信息的,还应当遵守本条例第四章对重要数据的处理者作出的规定。 第26条 データ処理者は、100万人以上の個人情報を処理する場合、重要なデータの処理者に関する本条例の第4章の規定も遵守しなければならない。
第四章 重要数据安全 第4章 重要データのセキュリティ
第二十七条 各地区、各部门按照国家有关要求和标准,组织本地区、本部门以及相关行业、领域的数据处理者识别重要数据和核心数据,组织制定本地区、本部门以及相关行业、领域重要数据和核心数据目录,并报国家网信部门。 第27条 すべての地域と部門は、国の関連する要求と基準に従って、自地域と部門および関連する産業と分野のデータ処理者を組織して重要データとコアデータを特定し、自地域と部門および関連する産業と分野の重要データとコアデータのカタログを作成し、国のネットワーク情報部門に報告しなければならない。
第二十八条 重要数据的处理者,应当明确数据安全负责人,成立数据安全管理机构。数据安全管理机构在数据安全负责人的领导下,履行以下职责: 第28条 重要データの処理者は、データセキュリティの責任者を特定し、データセキュリティ管理機関を設置しなければならない。 データセキュリティ担当者の指導の下、データセキュリティ管理機関は、以下の職務を行う。
(一)研究提出数据安全相关重大决策建议; (1) データセキュリティに関連する主要な決定事項の検討・提案
(二)制定实施数据安全保护计划和数据安全事件应急预案; (2) データ・セキュリティ保護計画およびデータ・セキュリティ・インシデントに対するコンティンジェンシー・プランの策定および実施
(三)开展数据安全风险监测,及时处置数据安全风险和事件; (3) データ・セキュリティ・リスクを監視し、データ・セキュリティ・リスクおよびインシデントを適時に処理すること
(四)定期组织开展数据安全宣传教育培训、风险评估、应急演练等活动; (4) データセキュリティに関する広報、教育訓練、リスクアセスメント、緊急時の訓練などの定期的な活動の実施
(五)受理、处置数据安全投诉、举报; (5) データセキュリティに関する苦情や報告の受付と対応
(六)按照要求及时向网信部门和主管、监管部门报告数据安全情况。 (6) 必要に応じて、データセキュリティをネットワーク情報部門および管轄・規制部門に対する適時な報告
数据安全负责人应当具备数据安全专业知识和相关管理工作经历,由数据处理者决策层成员承担,有权直接向网信部门和主管、监管部门反映数据安全情况。 データセキュリティの担当者は、データセキュリティの専門知識と関連する管理経験を持ち、データ処理者の意思決定階層のメンバーが就任し、データセキュリティをサイバーセキュリティ部門や管轄・規制当局に直接反映させる権限を持つことが望ましい。
第二十九条 重要数据的处理者,应当在识别其重要数据后的十五个工作日内向设区的市级网信部门备案,备案内容包括: 第29条 重要なデータの処理者は、その重要なデータを特定した後、15営業日以内に、地区の自治体レベルのネットワーク情報部門に、以下を含む記録を提出しなければならない。
(一)数据处理者基本信息,数据安全管理机构信息、数据安全负责人姓名和联系方式等; (1) データ処理者の基本情報、データセキュリティ管理機関の情報、データセキュリティ担当者の氏名および連絡先等
(二)处理数据的目的、规模、方式、范围、类型、存储期限、存储地点等,不包括数据内容本身; (2) データ自体の内容を除く、処理されるデータの目的、規模、方法、範囲、種類、保存期間、保存場所などの情報
(三)国家网信部门和主管、监管部门规定的其他备案内容。 (3) 国のネットワーク情報部門および管轄・規制部門が規定するその他の申告内容
处理数据的目的、范围、类型及数据安全防护措施等有重大变化的,应当重新备案。 データ処理の目的、範囲、種類、データセキュリティ保護手段に大きな変更があった場合は、再提出しなければならない。
依据部门职责分工,网信部门与有关部门共享备案信息。 部門の責任分担に従い、ネットワーク情報部門は記録情報を関連部門と共有する。
第三十条 重要数据的处理者,应当制定数据安全培训计划,每年组织开展全员数据安全教育培训,数据安全相关的技术和管理人员每年教育培训时间不得少于二十小时。 第30条 重要データ処理者は、データセキュリティ教育計画を策定し、すべてのスタッフに対する年次のデータセキュリティ教育・訓練を組織しなければならず、データセキュリティに関連する技術者および管理者の年次の教育・訓練時間は20時間を下回ってはならない。
第三十一条 重要数据的处理者,应当优先采购安全可信的网络产品和服务。 第31条 重要なデータの処理者は、安全で信頼性の高いネットワーク製品およびサービスの調達を優先しなければならない。
第三十二条 处理重要数据或者赴境外上市的数据处理者,应当自行或者委托数据安全服务机构每年开展一次数据安全评估,并在每年1月31日前将上一年度数据安全评估报告报设区的市级网信部门,年度数据安全评估报告的内容包括: 第32条 重要なデータを扱うデータ処理者または中国国外に記載されているデータ処理者は、年に一度、自らまたはデータセキュリティサービス機関に委託してデータセキュリティ評価を行い、毎年1月31日までに前年のデータセキュリティ評価報告書を区の市ネットワーク情報部門に報告しなければならない。
(一)处理重要数据的情况; (1) 重要なデータの取り扱いに関する情報
(二)发现的数据安全风险及处置措施; (2) データ・セキュリティ・リスクの特定とその処理方法
(三)数据安全管理制度,数据备份、加密、访问控制等安全防护措施,以及管理制度实施情况和防护措施的有效性; (3) データセキュリティ管理システム、データのバックアップ、暗号化、アクセス制御、その他のセキュリティ保護手段、ならびに管理システムの実施状況と保護手段の有効性
(四)落实国家数据安全法律、行政法规和标准情况; (4) 国内のデータセキュリティに関する法律、行政規制、基準の実施
(五)发生的数据安全事件及其处置情况; (5) データセキュリティインシデントの発生とその処理
(六)共享、交易、委托处理、向境外提供重要数据的安全评估情况; (6) 国外で共有、取引、処理の委託、提供される重要なデータのセキュリティ評価
(七)数据安全相关的投诉及处理情况; (7) データセキュリティに関する苦情とその対応
(八)国家网信部门和主管、监管部门明确的其他数据安全情况。 (8) 国のネットワーク情報部門および管轄・規制当局が指定するその他のデータセキュリティ状況
数据处理者应当保留风险评估报告至少三年。 データ処理者は、リスクアセスメントの報告書を少なくとも3年間保存しなければならない。
依据部门职责分工,网信部门与有关部门共享报告信息。 部門間の役割分担に基づき、ネットワーク情報部門は報告情報を関連部門と共有する。
数据处理者开展共享、交易、委托处理、向境外提供重要数据的安全评估,应当重点评估以下内容: 国外で重要なデータを共有、取引、委託、提供するためのセキュリティ評価を実施するデータ処理者は、以下の評価に重点を置くべきである。
(一)共享、交易、委托处理、向境外提供数据,以及数据接收方处理数据的目的、方式、范围等是否合法、正当、必要; (1) 国外でのデータの共有、取引、処理の委託および提供の目的、方法および範囲、ならびにデータ受領者によるデータ処理の目的、方法および範囲が、合法的、正当かつ必要なものであるかどうか
(二)共享、交易、委托处理、向境外提供数据被泄露、毁损、篡改、滥用的风险,以及对国家安全、经济发展、公共利益带来的风险; (2) 国外で共有、取引、処理の委託、提供されたデータの漏洩、破壊、改ざん、誤用のリスクと、国家安全保障、経済発展、公共の利益にもたらされるリスク
(三)数据接收方的诚信状况、守法情况、境外政府机构合作关系、是否被中国政府制裁等背景情况,承诺承担的责任以及履行责任的能力等是否能够有效保障数据安全; (3) データ受信者の背景情報(誠実さの状況、遵法精神の状況、海外の政府機関との協力関係、中国政府による制裁の有無、データセキュリティを効果的に保護できるかどうかの引き受けた責任とその責任を果たす能力など)
(四)与数据接收方订立的相关合同中关于数据安全的要求能否有效约束数据接收方履行数据安全保护义务; (4) データ受領者との間で締結された関連契約におけるデータ・セキュリティに関する要件が、データ受領者にデータ・セキュリティ保護に関する義務の履行を効果的に拘束できるかどうか
(五)在数据处理过程中的管理和技术措施等是否能够防范数据泄露、毁损等风险。 (5) データ処理の過程における管理および技術的措置等により、データの漏洩や破壊等のリスクを防止できるかどうか。
评估认为可能危害国家安全、经济发展和公共利益,数据处理者不得共享、交易、委托处理、向境外提供数据。 データ処理者は、国家安全保障、経済発展、または公共の利益を危うくする可能性があると評価された場合、国外でデータを共有、取引、委託、または提供してはならない。
第三十三条 数据处理者共享、交易、委托处理重要数据的,应当征得设区的市级及以上主管部门同意,主管部门不明确的,应当征得设区的市级及以上网信部门同意。 第33条 データ処理者は、重要なデータを共有、取引または委託する場合、地区の市町村レベル以上の管轄部門の同意を得なければならず、管轄部門が明確でない場合は、地区の市町村レベル以上のネットワーク情報部門の同意を得なければならない。
第三十四条 国家机关和关键信息基础设施运营者采购的云计算服务,应当通过国家网信部门会同国务院有关部门组织的安全评估。 第34条 国家機関および重要な情報インフラの運営者が調達するクラウド・コンピューティング・サービスは、国のネットワーク情報部門が国務院の関連部門と共同で組織するセキュリティ・アセスメントに合格しなければならない。
第五章 数据跨境安全管理 第5章 データ越境についてのセキュリティ管理
第三十五条 数据处理者因业务等需要,确需向中华人民共和国境外提供数据的,应当具备下列条件之一: 第35条 データ処理者が業務上その他の理由で中華人民共和国外にデータを提供する真の必要性がある場合は、以下のいずれかの条件を備えなければならない。
(一)通过国家网信部门组织的数据出境安全评估; (1) 国のネットワーク情報部門が実施するデータ越境のセキュリティ評価に合格すること
(二)数据处理者和数据接收方均通过国家网信部门认定的专业机构进行的个人信息保护认证; (2) データ処理者およびデータ受領者の双方が、国のネットワーク情報部門が認めた専門機関が実施する個人情報保護認定に合格していること
(三)按照国家网信部门制定的关于标准合同的规定与境外数据接收方订立合同,约定双方权利和义务; (3) 国のネットワーク情報部門が作成した標準契約書の規定に従って、海外のデータ受領者と契約を締結し、両当事者の権利と義務に同意すること
(四)法律、行政法规或者国家网信部门规定的其他条件。 (4) 法律、行政法規、または国のネットワーク情報部門が定めるその他の条件
数据处理者为订立、履行个人作为一方当事人的合同所必需向境外提供当事人个人信息的,或者为了保护个人生命健康和财产安全而必须向境外提供个人信息的除外。 ただし、データ処理者が、本人が当事者である契約の締結または履行のために当事者の個人情報を国外に提供する場合、または本人の生命、健康、財産を保護するために個人情報を国外に提供する必要がある場合を除く。
第三十六条 数据处理者向中华人民共和国境外提供个人信息的,应当向个人告知境外数据接收方的名称、联系方式、处理目的、处理方式、个人信息的种类以及个人向境外数据接收方行使个人信息权利的方式等事项,并取得个人的单独同意。 第36条 データ処理者は、中華人民共和国外で個人情報を提供する場合、国外のデータ受領者の名称、連絡先、処理の目的、処理の方法、個人情報の種類、および個人情報に関する権利を行使する方法を本人に通知し、本人の個別の同意を得なければならない。
收集个人信息时已单独就个人信息出境取得个人同意,且按照取得同意的事项出境的,无需再次取得个人单独同意。 個人情報の収集時に個人情報の輸出について別途同意を得ており、同意を得た事項に従って個人情報の輸出を行う場合には、改めて別途同意を得る必要はない。
第三十七条 数据处理者向境外提供在中华人民共和国境内收集和产生的数据,属于以下情形的,应当通过国家网信部门组织的数据出境安全评估: 第37条 データ処理者が中華人民共和国の領域内で収集・生成されたデータを国外に提供する場合、以下の状況に該当する場合は、国のネットワーク情報部門が実施するデータ越境セキュリティ評価に合格しなければならない。
(一)出境数据中包含重要数据; (1) 送信データには重要なデータが含まれている場合
(二)关键信息基础设施运营者和处理一百万人以上个人信息的数据处理者向境外提供个人信息; (2) 100万人以上の個人情報を取り扱う重要情報インフラ事業者および情報処理事業者が、個人情報を国外に提供する場合
(三)国家网信部门规定的其它情形。 (3) 国のネットワーク情報部門が規定するその他の状況に該当する場合
法律、行政法规和国家网信部门规定可以不进行安全评估的,从其规定。 法律、行政法規および国のネットワーク情報部門が、セキュリティ評価を実施してはならないと規定している場合は、その規定を適用する。
第三十八条 中华人民共和国缔结或者参加的国际条约、协定对向中华人民共和国境外提供个人信息的条件等有规定的,可以按照其规定执行。 第38条 中華人民共和国が締結し、又は加盟している国際条約又は協定において、中華人民共和国の領域外における個人情報の提供等に関する条件が定められている場合には、その規定に従って実施することができる。
第三十九条 数据处理者向境外提供数据应当履行以下义务: 第39条 国外でデータを提供するデータ処理者は、以下の義務を果たさなければならない。
(一)不得超出报送网信部门的个人信息保护影响评估报告中明确的目的、范围、方式和数据类型、规模等向境外提供个人信息; (1) ネットワーク情報部門に提出された個人情報保護影響評価報告書に明記された目的、範囲、方法およびデータの種類と規模を超えて、個人情報を国外に提供しないこと
(二)不得超出网信部门安全评估时明确的出境目的、范围、方式和数据类型、规模等向境外提供个人信息和重要数据; (2) ネットワーク情報部門のセキュリティ評価で指定された目的、範囲、方法、データの種類や規模などを超えて、個人情報や重要なデータを国外に提供しないこと
(三)采取合同等有效措施监督数据接收方按照双方约定的目的、范围、方式使用数据,履行数据安全保护义务,保证数据安全; (3) データ受領者が、両者の間で合意された目的、範囲および方法に従ってデータを使用し、データ・セキュリティ保護義務を果たし、データ・セキュリティを確保するよう監督するための契約などの効果的な措置を講じること
(四)接受和处理数据出境所涉及的用户投诉; (4) データの出口に関わるユーザーからの苦情の受付と対応
(五)数据出境对个人、组织合法权益或者公共利益造成损害的,数据处理者应当依法承担责任; (5) データ出口が個人または組織の合法的な権利および利益または公共の利益に損害を与える場合、データ処理者は法律に基づいて責任を負うこと
(六)存留相关日志记录和数据出境审批记录三年以上; (6) 関連するログ記録およびデータ出口の承認記録を3年以上保管すること
(七)国家网信部门会同国务院有关部门核验向境外提供个人信息和重要数据的类型、范围时,数据处理者应当以明文、可读方式予以展示; (7) 国のネットワーク情報部門が、国務院の関連部門と共同で、国外で提供された個人情報および重要データの種類と範囲を確認した場合、データ処理者はそれらを明確かつ読みやすい方法で表示すること
(八)国家网信部门认定不得出境的,数据处理者应当停止数据出境,并采取有效措施对已出境数据的安全予以补救; (8) 国のネットワーク情報部門がデータを輸出してはならないと判断した場合、データ処理者はデータの輸出を中止し、輸出されたデータのセキュリティを改善するための有効な手段を講じること
(九)个人信息出境后确需再转移的,应当事先与个人约定再转移的条件,并明确数据接收方履行的安全保护义务。 (9) 終了後に個人情報を再提供する必要がある場合は、事前に本人と再提供の条件を合意し、データ受領者が果たすべきセキュリティ保護の義務を明確にすること
非经中华人民共和国主管机关批准,境内的个人、组织不得向外国司法或者执法机构提供存储于中华人民共和国境内的数据。 領域内の個人および組織は、中華人民共和国の管轄当局の承認を得ることなく、中華人民共和国の領域内に保存されているデータを外国の司法機関または法執行機関に提供してはならない。
第四十条 向境外提供个人信息和重要数据的数据处理者,应当在每年1月31日前编制数据出境安全报告,向设区的市级网信部门报告上一年度以下数据出境情况: 第40条 個人情報や重要なデータを外国に提供するデータ処理者は、毎年1月31日までにデータ出口安全報告書を作成し、前年の以下のデータ越境情報を地区の市レベルのネットワーク情報部門に報告しなければならない。
(一)全部数据接收方名称、联系方式; (1) すべてのデータ受領者の名前と連絡先
(二)出境数据的类型、数量及目的; (2) 国外に出るデータの種類、量、目的
(三)数据在境外的存放地点、存储期限、使用范围和方式; (3) 国外におけるデータの所在、保管期間、利用範囲および利用方法
(四)涉及向境外提供数据的用户投诉及处理情况; (4) 国外へのデータ提供に関するユーザーからの苦情とその対応
(五)发生的数据安全事件及其处置情况; (5) 発生したデータセキュリティインシデントとその処理
(六)数据出境后再转移的情况; (6) データが国外に流出した後の再転送に関する情報
(七)国家网信部门明确向境外提供数据需要报告的其他事项。 (7) その他、国のネットワーク情報部門が国外でのデータ提供に関する報告が必要と指定した事項
第四十一条 国家建立数据跨境安全网关,对来源于中华人民共和国境外、法律和行政法规禁止发布或者传输的信息予以阻断传播。 第41条 国は、中華人民共和国外から発信された情報のうち、法律や行政法規で公表や送信が禁止されている情報の流布を阻止するために、データ越境セキュリティ・ゲートウェイを設置する。
任何个人和组织不得提供用于穿透、绕过数据跨境安全网关的程序、工具、线路等,不得为穿透、绕过数据跨境安全网关提供互联网接入、服务器托管、技术支持、传播推广、支付结算、应用下载等服务。 いかなる個人または組織も、データの越境セキュリティ・ゲートウェイを侵入または回避するためのプログラム、ツール、回線等を提供したり、データの越境セキュリティ・ゲートウェイを侵入または回避するためのインターネットアクセス、サーバーホスティング、技術サポート、普及促進、決済、アプリケーションダウンロード等のサービスを提供したりしてはならない。
境内用户访问境内网络的,其流量不得被路由至境外。 国内のユーザーが国内のネットワークにアクセスする場合、そのトラフィックが国外にルーティングしてはならない。
第四十二条 数据处理者从事跨境数据活动应当按照国家数据跨境安全监管要求,建立健全相关技术和管理措施。 第42条 国境を越えたデータ活動に従事するデータ処理者は、国のデータ越境セキュリティ監督要件に従い、関連する技術的および管理的手段を確立し、改善しなければならない。
第六章 互联网平台运营者义务 第6章 インターネット・プラットフォーム事業者の義務
第四十三条 互联网平台运营者应当建立与数据相关的平台规则、隐私政策和算法策略披露制度,及时披露制定程序、裁决程序,保障平台规则、隐私政策、算法公平公正。 第43条 インターネット・プラットフォーム事業者は、データに関するプラットフォーム・ルール、プライバシー・ポリシー、アルゴリズム戦略を開示するシステムを構築し、プラットフォーム・ルール、プライバシー・ポリシー、アルゴリズムが公正かつ公平であることを保証するために、策定手順および裁定手順を適時に開示しなければならない。
平台规则、隐私政策制定或者对用户权益有重大影响的修订,互联网平台运营者应当在其官方网站、个人信息保护相关行业协会互联网平台面向社会公开征求意见,征求意见时长不得少于三十个工作日,确保用户能够便捷充分表达意见。互联网平台运营者应当充分采纳公众意见,修改完善平台规则、隐私政策,并以易于用户访问的方式公布意见采纳情况,说明未采纳的理由,接受社会监督。 インターネット・プラットフォーム事業者は、利用者の権益に重大な影響を与えるプラットフォーム規則、プライバシーポリシーまたは改定を策定する場合、利用者が便利かつ適切に意見を述べることができるように、公式ウェブサイトおよび個人情報保護に関連する業界団体のインターネット・プラットフォーム上で一般から意見を募集し、その期間は30営業日以上とするものとする。 インターネット・プラットフォーム事業者は、パブリック・オピニオンを全面的に採用し、プラットフォームのルールやプライバシー・ポリシーを改訂・改善するとともに、意見の受け入れをユーザーが容易にアクセスできる方法で公表し、受け入れない理由を説明し、社会的な監督を受け入れなければならない。
日活用户超过一亿的大型互联网平台运营者平台规则、隐私政策制定或者对用户权益有重大影响的修订的,应当经国家网信部门认定的第三方机构评估,并报省级及以上网信部门和电信主管部门同意。 1日のアクティブユーザー数が1億人以上の大規模インターネット・プラットフォームの運営者のプラットフォーム規則やプライバシーポリシーの改正、またはユーザーの権益に重大な影響を与える改正は、国のネットワーク情報部門が特定した第三者機関によって評価され、同意を得るために省以上のネットワーク情報部門と電気通信局に報告されなければならない。
第四十四条 互联网平台运营者应当对接入其平台的第三方产品和服务承担数据安全管理责任,通过合同等形式明确第三方的数据安全责任义务,并督促第三方加强数据安全管理,采取必要的数据安全保护措施。 第44条 インターネット・プラットフォームの運営者は、そのプラットフォームにアクセスする第三者の製品・サービスのデータ・セキュリティ管理に責任を負い、契約等により第三者のデータ・セキュリティに関する責任・義務を明確にし、データ・セキュリティ管理を強化し、必要なデータ・セキュリティ保護措置を講じるよう第三者に働きかけなければならない。
第三方产品和服务对用户造成损害的,用户可以要求互联网平台运营者先行赔偿。 第三者の製品やサービスがユーザーに損害を与えた場合、ユーザーはまずインターネット・プラットフォーム運営者に補償を求めることができる。
移动通信终端预装第三方产品适用本条前两款规定。 前2項の規定は、移動体通信端末に他社製品をプリインストールする場合にも適用される。
第四十五条 国家鼓励提供即时通信服务的互联网平台运营者从功能设计上为用户提供个人通信和非个人通信选择。个人通信的信息按照个人信息保护要求严格保护,非个人通信的信息按照公共信息有关规定进行管理。 第45条 国は、インスタントメッセージングサービスを提供するインターネット・プラットフォーム事業者に対し、機能設計上、個人的な通信と非個人的な通信との選択をユーザーに提供することを奨励する。 個人的な通信に関する情報は、個人情報保護の要件に従って厳格に保護され、非個人的な通信に関する情報は、公共情報に関する関連規定に従って管理される。
第四十六条 互联网平台运营者不得利用数据以及平台规则等从事以下活动: 第46条 インターネット・プラットフォームの運営者は、データだけでなく、プラットフォーム・ルールなどを利用して、以下の行為を行ってはならない。
(一)利用平台收集掌握的用户数据,无正当理由对交易条件相同的用户实施产品和服务差异化定价等损害用户合法利益的行为; (1) 正当な理由なく、同一取引条件のユーザーに対して商品・サービスの価格差をつけるなど、ユーザーの正当な利益を害する行為を実施するために、プラットフォームが収集・把握したユーザーデータを利用する行為
(二)利用平台收集掌握的经营者数据,在产品推广中实行最低价销售等损害公平竞争的行为; (2) プラットフォームが収集した事業者のデータを利用して、商品プロモーションにおいて最安値販売を実施するなど、公正な競争を阻害する行為
(三)利用数据误导、欺诈、胁迫用户,损害用户对其数据被处理的决定权,违背用户意愿处理用户数据; (3) データを利用してユーザーを誤解させたり、欺いたり、強要したり、ユーザーのデータ処理に関する決定権を損なったり、ユーザーの意思に反してユーザーのデータを処理すること
(四)在平台规则、算法、技术、流量分配等方面设置不合理的限制和障碍,限制平台上的中小企业公平获取平台产生的行业、市场数据等,阻碍市场创新。 (4) プラットフォームのルール、アルゴリズム、技術、トラフィックの配分などに不合理な制限や障壁を設け、プラットフォームに参加する中小企業がプラットフォームで生成された産業・市場データなどに公平にアクセスすることを制限し、市場のイノベーションを妨げること
第四十七条 提供应用程序分发服务的互联网平台运营者,应当按照有关法律、行政法规和国家网信部门的规定,建立、披露应用程序审核规则,并对应用程序进行安全审核。对不符合法律、行政法规的规定和国家标准的强制性要求的应用程序,应当采取拒绝上架、督促整改、下架处置等措施。 第47条 アプリケーション配信サービスを提供するインターネット・プラットフォーム事業者は、関連する法律および行政法規、国のネットワーク情報部門の規定に基づき、アプリケーション監査規則を制定・公開し、アプリケーションのセキュリティ監査を実施しなければならない。法律・行政法規の規定および国家規格の必須要件を満たさないアプリケーションについては、棚入れ拒否、監督・是正、棚落ち処分などの措置をとる。
第四十八条 互联网平台运营者面向公众提供即时通信服务的,应当按照国务院电信主管部门的规定,为其他互联网平台运营者的即时通信服务提供数据接口,支持不同即时通信服务之间用户数据互通,无正当理由不得限制用户访问其他互联网平台以及向其他互联网平台传输文件。 第48条 インターネット・プラットフォーム事業者が公衆にインスタントメッセージングサービスを提供する場合、国務院の電気通信主管部門の規定に従い、他のインターネット・プラットフォーム事業者のインスタントメッセージングサービスのためのデータインターフェースを提供し、異なるインスタントメッセージングサービス間のユーザーデータの相互運用性をサポートしなければならず、正当な理由なくユーザーの他のインターネット・プラットフォームへのアクセスおよび他のインターネット・プラットフォームへのファイルの送信を制限してはならない。
第四十九条 互联网平台运营者利用个人信息和个性化推送算法向用户提供信息的,应当对推送信息的真实性、准确性以及来源合法性负责,并符合以下要求: 第49条 インターネット・プラットフォーム事業者は、個人情報やパーソナライズされたプッシュアルゴリズムを利用してユーザーに情報を提供する場合、プッシュされた情報の出所の信憑性、正確性、適法性について責任を負うとともに、以下の要件を満たさなければならない。
(一)收集个人信息用于个性化推荐时,应当取得个人单独同意; (1) 個人的な推薦のために個人情報を収集する場合は、本人の同意を得を得ること
(二)设置易于理解、便于访问和操作的一键关闭个性化推荐选项,允许用户拒绝接受定向推送信息,允许用户重置、修改、调整针对其个人特征的定向推送参数; (2) わかりやすく、アクセスしやすく、操作しやすいワンクリックのオプションを設定して、パーソナライズドレコメンデーションをオフにしたり、ユーザーがターゲットプッシュ情報を拒否できるようにしたり、ユーザーが個人の特性に合わせてターゲットプッシュのパラメータをリセット、修正、調整できるようにすること
(三)允许个人删除定向推送信息服务收集产生的个人信息,法律、行政法规另有规定或者与用户另有约定的除外。 (3) 法律や行政法規で定められている場合やユーザーとの合意がある場合を除き、ダイレクトプッシュ情報サービスで収集した個人情報を個人が削除できるようにすること
第五十条 国家建设网络身份认证公共服务基础设施,按照政府引导、网民自愿原则,提供个人身份认证公共服务。 第50条 国は、政府の指導とネットワーク利用者の自発的参加の原則に基づき、ネットワークID認証のための公共サービスインフラを構築し、個人ID認証のための公共サービスを提供する。
互联网平台运营者应当支持并优先使用国家网络身份认证公共服务基础设施提供的个人身份认证服务。 インターネット・プラットフォーム事業者は、ネットワーク・アイデンティティ認証のための国家公共サービス・インフラストラクチャが提供する個人のアイデンティティ認証サービスをサポートし、優先的に使用しなければならない。
第五十一条 互联网平台运营者在为国家机关提供服务,参与公共基础设施、公共服务系统建设运维管理,利用公共资源提供服务过程中收集、产生的数据不得用于其他用途。 第51条 国家機関へのサービス提供、公共インフラや公共サービスシステムの構築・運用・保守への参加、サービス提供のための公的資源の利用の過程で、インターネット・プラットフォーム事業者が収集・生成したデータは、他の目的に使用してはならない。
第五十二条 国务院有关部门履行法定职责需要调取或者访问互联网平台运营者掌握的公共数据、公共信息,应当明确调取或者访问的范围、类型、用途、依据,严格限定在履行法定职责范围内,不得将调取或者访问的公共数据、公共信息用于履行法定职责之外的目的。 第52条 国務院の関連部門が法定業務の遂行においてインターネット・プラットフォーム事業者が保有する公共データ及び公共情報を検索又はアクセスする必要がある場合には、検索又はアクセスの範囲、種類、用途及び根拠を特定し、法定業務の遂行に厳格に限定しなければならず、検索又はアクセスした公共データ又は公共情報を法定業務の遂行以外の目的に使用してはならない。
互联网平台运营者应当对有关部门调取或者访问公共数据、公共信息予以配合。 インターネット・プラットフォームの運営者は、公共のデータや公共の情報を検索したりアクセスしたりする際に、関連部門と協力しなければならない。
第五十三条 大型互联网平台运营者应当通过委托第三方审计方式,每年对平台数据安全情况、平台规则和自身承诺的执行情况、个人信息保护情况、数据开发利用情况等进行年度审计,并披露审计结果。 第53条 大規模なインターネット・プラットフォームの運営者は、第三者に監査を委託することにより、プラットフォームのデータ・セキュリティ、プラットフォームの規則や自身のコミットメントの実施、個人情報の保護、データの開発と利用について毎年監査を行い、その結果を開示しなければならない。
第五十四条 互联网平台运营者利用人工智能、虚拟现实、深度合成等新技术开展数据处理活动的,应当按照国家有关规定进行安全评估。 第54条 インターネット・プラットフォームの運営者が、人工知能、バーチャルリアリティ、深層合成などの新技術を使用してデータ処理活動を行う場合、関連する国の規制に従ってセキュリティ評価をしなければならない。
第七章 监督管理 第7章 監督および管理
第五十五条 国家网信部门负责统筹协调数据安全和相关监督管理工作。 第55条 国のネットワーク情報部門は、データセキュリティおよび関連する監督・管理業務の調整に責任を負う。
公安机关、国家安全机关等在各自职责范围内承担数据安全监管职责。 公安機関、国家安全保障機関などは、それぞれの責任範囲内でデータセキュリティの監督責任を負う。
工业、电信、交通、金融、自然资源、卫生健康、教育、科技等主管部门承担本行业、本领域数据安全监管职责。 工業、通信、交通、金融、天然資源、保健、教育、科学技術などの管轄部門は、それぞれの業界や分野におけるデータセキュリティの監督責任を負う。
主管部门应当明确本行业、本领域数据安全保护工作机构和人员,编制并组织实施本行业、本领域的数据安全规划和数据安全事件应急预案。 管轄部門は、自らの産業及び分野におけるデータ・セキュリティ保護に責任を負う機関及び人員を特定し、自らの産業及び分野におけるデータ・セキュリティ計画及びデータ・セキュリティ・インシデント・コンティンジェンシー・プランの実施を準備・組織する。
主管部门应当定期组织开展本行业、本领域的数据安全风险评估,对数据处理者履行数据安全保护义务情况进行监督检查,指导督促数据处理者及时对存在的风险隐患进行整改。 管轄部門は、定期的に自分の業界・分野のデータセキュリティリスクアセスメントを組織して実施し、データ処理者のデータセキュリティ保護義務の履行を監督・検査し、データ処理者に既存のリスクや隠れた危険を適時に是正するよう指導監督する。
第五十六条 国家建立健全数据安全应急处置机制,完善网络安全事件应急预案和网络安全信息共享平台,将数据安全事件纳入国家网络安全事件应急响应机制,加强数据安全信息共享、数据安全风险和威胁监测预警以及数据安全事件应急处置工作。 第56条 国は、データ・セキュリティ緊急処理メカニズムを確立・改善し、ネットワークセキュリティ・インシデントのための緊急計画およびネットワークセキュリティ情報共有プラットフォームを改善し、データセキュリティ・インシデントをネットワークセキュリティ・インシデントのための国家緊急対応メカニズムに組み込み、データ・セキュリティ情報共有、データ・セキュリティ・リスクおよび脅威の監視と早期警報、ならびにデータ・セキュリティ・インシデントの緊急処理を強化する。
第五十七条 有关主管、监管部门可以采取以下措施对数据安全进行监督检查: 第57条 関連する管轄・規制部門は、データセキュリティを監督・検査するために以下の措置を取ることができる。
(一)要求数据处理者相关人员就监督检查事项作出说明; (1) 監督及び検査に関する事項について、情報処理業者の関係者に説明を求めること
(二)查阅、调取与数据安全有关的文档、记录; (2) データセキュリティに関する文書・記録の閲覧・取得
(三)按照规定程序,利用检测工具或者委托专业机构对数据安全措施运行情况进行技术检测; (3) 所定の手順に従い、テストツールを用いて、または専門機関に委託して、データ・セキュリティ対策の運用に関する技術テストを実施すること
(四)核验数据出境类型、范围等; (4) データ越境の種類と範囲の確認など
(五)法律、行政法规、规章规定的其他必要方式。 (5) その他、法律、行政法規、規定に定められた必要な手段
有关主管、监管部门开展数据安全监督检查,应当客观公正,不得向被检查单位收取费用。在数据安全监督检查中获取的信息只能用于维护数据安全的需要,不得用于其他用途。 関係する管轄および規制当局は、客観的かつ公平な方法でデータセキュリティの監督および検査をし、検査を受けた部門に料金を請求してはならない。 データセキュリティの監督・検査で得られた情報は、データセキュリティを維持するための必要性のみに使用され、他の目的には使用してはならない。
数据处理者应当对有关主管、监管部门的数据安全监督检查予以配合,包括对组织运作、技术系统、算法原理、数据处理程序等进行解释说明,开放安全相关数据访问、提供必要技术支持等。 データ処理者は、組織運営、技術システム、アルゴリズムの原理、データ処理手順などについての説明、セキュリティ関連データへのアクセスの開放、必要な技術サポートの提供など、関連する管轄・監督官庁によるデータセキュリティの監督および検査に協力しなければならない。
第五十八条 国家建立数据安全审计制度。数据处理者应当委托数据安全审计专业机构定期对其处理个人信息遵守法律、行政法规的情况进行合规审计。 第58条 国は、データ・セキュリティ監査制度を確立する。 データ処理者は、データセキュリティ監査の専門機関に委託して、個人情報の取扱いに関する法令・行政法規の遵守状況を定期的に監査する。
主管、监管部门组织开展对重要数据处理活动的审计,重点审计数据处理者履行法律、行政法规规定的义务等情况。 主務官庁および監督官庁は、重要な情報処理活動の監査を組織し、データ処理者が法律および行政法規等に基づく義務を果たしているかどうかを重点的に監査する。
第五十九条 国家支持相关行业组织按照章程,制定数据安全行为规范,加强行业自律,指导会员加强数据安全保护,提高数据安全保护水平,促进行业健康发展。 第59条 国は、関連する業界団体がその憲章に基づいてデータ・セキュリティ行動規範を策定し、業界の自主規制を強化し、会員にデータ・セキュリティ保護の強化を指導し、データ・セキュリティ保護のレベルを向上させ、業界の健全な発展を促進することを支援する。
国家支持成立个人信息保护行业组织,开展以下活动: 国は、以下の活動を行う個人情報保護業界団体の設立を支援する。
(一)接受个人信息保护投诉举报并进行调查、调解; (1) 個人情報保護に関する苦情及び報告を受け、調査及び調停を行うこと
(二)向个人提供信息和咨询服务,支持个人依法对损害个人信息权益的行为提起诉讼; (2) 個人に対する情報提供および助言、ならびに個人情報の権利・利益を害する行為に対する訴訟を法律に基づいて支援すること
(三)曝光损害个人信息权益的行为,对个人信息保护开展社会监督; (3)個人情報の権利・利益を害する行為の摘発および個人情報保護の社会的監督の実施
(四)向有关部门反映个人信息保护情况、提供咨询、建议; (4)個人情報保護への反映、関連部署への助言・提案
(五)违法处理个人信息、侵害众多个人的权益的行为,依法向人民法院提起诉讼。 (5) 個人情報の違法な取り扱いおよび多数の個人の権利・利益の侵害について、法律に基づき人民裁判所に訴訟を提起すること
第八章 法律责任 第8章 法的責任
第六十条 数据处理者不履行第九条、第十条、第十一条、第十二条、第十三条、第十四条、第十五条、第十八条的规定,由有关主管部门责令改正,给予警告,可以并处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;拒不改正或者导致危害数据安全等严重后果的,处五十万元以上二百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 第60条 データ処理者が第9条、第10条、第11条、第12条、第13条、第14条、第15条および第18条の規定を履行しなかった場合、関係主管部門は修正を命じ、警告を発し、5万元以上50万元以下の罰金を科すことができ、直接の責任者およびその他の直接の責任者に1万元以上10万元以下の罰金を科すことができる。修正の拒否またはそのような拒否がデータセキュリティを危険にさらすなどの重大な結果をもたらした場合、50万元以上200万元以下の罰金を科し、責任者およびその他の直接の責任者には、関連事業の停止、是正のための事業の停止、関連事業許可の取り消し、または事業許可の取り消しを命じられる可能性があり、責任者およびその他の直接の責任者には、5万元以上20万元以下の罰金を科す。
第六十一条 数据处理者不履行第十九条、第二十条、第二十一条、第二十二条、第二十三条、第二十四条、第二十五条规定的数据安全保护义务的,由有关部门责令改正,给予警告,没收违法所得,对违法处理个人信息的应用程序,责令暂停或者终止提供服务;拒不改正的,并处一百万元以下罚款;对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 第61条 データ処理者が第19条、第20条、第21条、第22条、第23条、第24条および第25条に定めるデータセキュリティ保護に関する義務を履行しない場合、関係当局は是正を命じ、警告を発し、違法な収入を没収し、個人情報を違法に処理したアプリケーションのサービス提供の停止または終了を命じ、是正を拒否した場合は100万元以下の罰金を科し、アプリケーションの直接の責任者は100万元以下の罰金を科す。 責任者およびその他の直接の責任者は、1万元以上10万元以下の罰金に科す。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和个人信息保护负责人。 前項の規定に著しく違反した場合、関係当局は是正を命じ、違法所得を没収し、5,000万元以上または前年の売上高の5%以下の罰金を科すとともに、関連事業の停止または事業是正の停止を命じ、関連の営業許可の取り消しまたは営業許可の取り消しを関係主務官庁に通知することができる。担当者およびその他の直接責任を負う者は、10万元以上の罰金を科される。 直接責任を負う担当者およびその他の直接責任を負う者に100万元以下の罰金を課し、一定期間、関連企業の取締役、監督、上級管理者および個人情報保護担当者に就任することを禁止する決定を下すことができる。
第六十二条 数据处理者不履行第二十八条、第二十九条、第三十条、第三十一条、第三十二条、第三十三条规定的数据安全保护义务的,由有关部门责令改正,给予警告,对违法处理重要数据的系统及应用,责令暂停或者终止提供服务;拒不改正的,并处二百万元以下罚款,对直接负责的主管人员和其他直接责任人员处五万元以上二十万元以下罚款。 第62条 データ処理者が第28条、第29条、第30条、第31条、第32条および第33条に定めるデータセキュリティ保護に関する義務を履行していない場合、関連当局は是正を命じ、警告を発し、法律に違反して重要なデータを扱うシステムおよびアプリケーションのサービス提供の停止または終了を命じ、是正を拒否した場合は200万元以下の罰金を科し、直接の責任者に100万元以下の罰金を科すものとします。 責任者およびその他の直接の責任者は、5万元以上20万元以下の罰金を科す。
有前款规定的违法行为,情节严重的,由有关部门责令改正,没收违法所得,并处二百万元以上五百万元以下罚款,并可以责令暂停相关业务或者停业整顿、通报有关主管部门吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处二十万元以上一百万元以下罚款。 前項に規定する違法行為があり、その状況が重大である場合、関係当局は是正を命じ、違法所得を没収し、200万元以上500万元以下の罰金を科し、是正のために関連事業の停止または事業の中止を命じ、関連事業免許の取り消しを関係主務官庁に通知し、または事業免許を取り消すことができ、責任者およびその他の直接責任を負う者は20万元以上100万元以下の罰金を科す。
第六十三条 关键信息基础设施运营者违反第三十四条的规定,由有关部门责令改正,依照有关法律、行政法规的规定予以处罚。 第63条 重要な情報インフラの運営者が第34条の規定に違反した場合、関連部門は関連法および行政法規の規定に基づいて是正を命じ、処罰を科す。
第六十四条 数据处理者违反第三十五条、第三十六条、第三十七条、第三十九条第一款、第四十条、第四十二条的规定,由有关部门责令改正,给予警告,暂停数据出境,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;情节严重的,处一百万元以上一千万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款。 第64条 第35条、第36条、第37条、第39条第1項、第40条および第42条の規定に違反したデータ処理者は、関係当局から修正を命じられ、警告を受け、データ越境から停止され、10万元以上100万元以下の罰金を科せられ、責任者およびその他の直接の責任者は1万元以上10万元以下の罰金を科せられる可能性がある。重大な場合には、100万元以上1,000万元以下の罰金を課し、関連事業の停止、是正のための停止を命じたり、関連事業の許可を取り消したり、事業許可を取り消すことができ、責任者およびその他の直接の責任者は、10万元以上100万元以下の罰金を科す。
第六十五条 违反本条例第三十九条第二款的规定,未经主管机关批准向外国司法或者执法机构提供数据的,由有关主管部门给予警告,可以并处十万元以上一百万元以下罚款,对直接负责的主管人员和其他直接责任人员可以处一万元以上十万元以下罚款;造成严重后果的,处一百万元以上五百万元以下罚款,并可以责令暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处五万元以上五十万元以下罚款。 第65条 本条例第39条第2項の規定に違反して、主務官庁の承認を得ずに外国の司法機関または法執行機関にデータを提供した場合、当該主務官庁は警告を発し、10万元以上100万元以下の罰金を科し、責任者およびその他の直接の責任者は1万元以上10万元以下の罰金を科すことができる。 500万元以下の罰金を科すとともに、関連事業の停止、事業是正の停止、関連事業許可の取り消し、事業許可の取り消しを命じ、責任者およびその他の直接の責任者に5万元以上50万元以下の罰金を科す。
第六十六条 个人和组织违反第四十一条的规定,由有关主管部门责令改正,给予警告、没收违法所得;拒不改正的,处违法所得一倍以上十倍以下的罚款,没有违法所得的,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。 第66条 第41条の規定に違反した個人および組織は、関係当局から是正を命じられ、警告を受け、不法所得を没収され、是正を拒否した場合は、不法所得の2倍以上10倍以下の罰金を科され、不法所得がない場合、責任者およびその他の直接の責任者には、5万元以上50万元以下の罰金を科す。状況が深刻な場合、関係当局は、関連法および行政法規に基づき、関連事業の停止を命じ、事業を停止し、関連事業許可を取り消し、または事業許可を取り消すことができる。状況が深刻な場合、管轄当局は関連法および行政法規に基づき、関連事業の停止、事業是正の停止、関連事業許可の取り消し、または事業許可の取り消しを命じることができる。違反行為が犯罪を構成する場合、関連法および行政法規に基づき罰則を課す。
第六十七条 互联网平台运营者违反第四十三条、第四十四条、第四十五条、第四十七条、第五十三条的规定,由有关部门责令改正,予以警告;拒不改正,处五十万元以上五百万元以下罚款,对直接负责的主管人员和其他直接负责人员,处五万元以上五十万元以下罚款;情节严重的,可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 第67条 インターネット・プラットフォーム事業者が第43条、第44条、第45条、第47条および第53条の規定に違反した場合、関係当局は是正を命じ、警告を発し、是正を拒否した場合は50万元以上500万元以下の罰金を科し、責任者およびその他の直接の責任者は5万元以上50万元以下の罰金を科し、状況が深刻な場合は、当該事業の停止、是正のための事業の停止、ウェブサイトの閉鎖、当該事業の許可の取消し、事業許可の取消しを課すことができる。
第六十八条 互联网平台运营者违反第四十六条、第四十八条、第五十一条的规定,由有关主管部门责令改正,给予警告;拒不改正的,处上一年度销售额百分之一以上百分之五以下的罚款;情节严重的,由有关主管部门依照相关法律、行政法规的规定,责令其暂停相关业务、停业整顿、吊销相关业务许可证或者吊销营业执照;构成犯罪的,依照相关法律、行政法规的规定处罚。 第68条 インターネット・プラットフォーム事業者が第46条、第48条および第51条の規定に違反した場合、関係当局は是正を命じ、警告を発し、是正を拒否した場合は前年の売上高の1%以上5%以下の罰金を科し、状況が深刻な場合は、関係当局は関連法および行政法規の規定に基づき、関連事業の停止、是正のための事業の停止、関連事業許可の取り消し、事業許可の取り消しを命じることができる。 本件が犯罪に該当する場合は、関連する法律および行政法規の規定に基づいて処罰される。
第六十九条 互联网平台运营者违反第四十九条、第五十四条的规定,由有关主管部门责令改正,予以警告;拒不改正,处五万元以上五十万元以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款;情节严重的,可由有关主管部门责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照。 第69条第49条および第54条の規定に違反したインターネット・プラットフォーム事業者は、所轄官庁から是正命令および警告を受け、是正を拒否した場合は5万元以上50万元以下の罰金、責任者およびその他の直接の責任者は1万元以上10万元以下の罰金を科され、状況が深刻な場合は、所轄官庁から関連事業の停止、営業停止、是正、ウェブサイトの閉鎖、関連する営業許可の取り消し、または営業許可の取消しを命じられることがある。
第七十条 数据处理者违反本条例规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第70条 データ処理者が本条例の規定に違反して他人に損害を与えた場合は、法律に基づき民事責任を負い、公安管理の違反に該当する場合は、法律に基づき公安管理上の処罰を受け、犯罪に該当する場合は、法律に基づき刑事責任を追及するものとする。
第七十一条 国家机关不履行本法规定的数据安全保护义务的,由其上级机关或者履行数据安全管理职责的部门责令改正;对直接负责的主管人员和其他直接责任人员依法给予处分。 第71条 国家機関がこの法律に規定されているデータ・セキュリティ保護に関する義務を履行していない場合、その上位機関またはデータ・セキュリティ管理業務を行う部門は修正を命じなければならず、直接責任を負う担当者およびその他の直接責任を負う者は、法律に従って処罰される。
第七十二条 在中华人民共和国境外开展数据处理活动,损害中华人民共和国国家安全、公共利益或者公民、组织合法权益的,依法追究法律责任。 第72条 データ処理活動が中華人民共和国の領域外で行われ、中華人民共和国の国家安全保障もしくは公共の利益、または市民もしくは組織の合法的な権利および利益を害する場合、法的責任は法律に基づいて調査される。
第九章 附则 第9章 規約
第七十三条 本条例下列用语的含义: 第73条 本条例における以下の用語の意味。
(一)网络数据(简称数据)是指任何以电子方式对信息的记录。 (1) ネットワークデータ(データと呼ぶ)とは、電子形式の情報の記録を意味する
(二)数据处理活动是指数据收集、存储、使用、加工、传输、提供、公开、删除等活动。 (2) データ処理活動とは、データの収集、保管、使用、処理、送信、提供、開示、削除などの活動を指す
(三)重要数据是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用,可能危害国家安全、公共利益的数据。包括以下数据: (3) 重要なデータとは、改ざん、破損、漏洩、不正アクセス、不正使用された場合に、国の安全や公共の利益を脅かす可能性のあるデータを指します。 以下のデータが含まれる
1.未公开的政务数据、工作秘密、情报数据和执法司法数据; 1. 非公開の政府データ、仕事上の秘密、情報データ、法執行機関や司法機関のデータ
2.出口管制数据,出口管制物项涉及的核心技术、设计方案、生产工艺等相关的数据,密码、生物、电子信息、人工智能等领域对国家安全、经济竞争实力有直接影响的科学技术成果数据; 2. 輸出管理データ、輸出管理品目に関わるコア技術、設計スキーム、生産プロセスに関するデータ、暗号、生物、電子情報、人工知能など、国家安全保障や経済の競争力に直接影響を与える分野の科学技術成果に関するデータ
3.国家法律、行政法规、部门规章明确规定需要保护或者控制传播的国家经济运行数据、重要行业业务数据、统计数据等; 3. 国家の経済運営データ、重要産業のビジネスデータ、統計データなどで、国の法律、行政法規、部門規定で保護または普及制御が明確に求められているもの
4.工业、电信、能源、交通、水利、金融、国防科技工业、海关、税务等重点行业和领域安全生产、运行的数据,关键系统组件、设备供应链数据; 4. 産業、通信、エネルギー、交通、水利、金融、国防科学技術産業、税関、税務などの主要産業・分野の安全な生産・運営に関するデータ、主要なシステムコンポーネントや機器のサプライチェーンデータ
5.达到国家有关部门规定的规模或者精度的基因、地理、矿产、气象等人口与健康、自然资源与环境国家基础数据; 5. 遺伝子、地理、鉱物、気象データなど、人口や健康、天然資源、環境に関する国家基本データで、国家の関連部門が指定する規模や精度に達しているもの
6.国家基础设施、关键信息基础设施建设运行及其安全数据,国防设施、军事管理区、国防科研生产单位等重要敏感区域的地理位置、安保情况等数据; 6. 国家インフラ、重要情報インフラの構築・運用とそのセキュリティデータ、国防施設、軍管理区域、国防研究・生産ユニットなどの重要かつ機密性の高いエリアの地理的位置とセキュリティに関するデータ
7.其他可能影响国家政治、国土、军事、经济、文化、社会、科技、生态、资源、核设施、海外利益、生物、太空、极地、深海等安全的数据。 7. その他、国家の政治、領土、軍事、経済、文化、社会、科学技術、生態、資源、核施設、海外の利益、生物、宇宙、極地、深海などの安全に影響を与える可能性のあるデータ
(四)核心数据是指关系国家安全、国民经济命脉、重要民生和重大公共利益等的数据。 (4) コアデータとは、国家安全保障、国民経済の生命線、重要な国民の生活、主要な公共の利益などに関するデータを指す
(五)数据处理者是指在数据处理活动中自主决定处理目的和处理方式的个人和组织。 (5) データ処理者とは、データ処理活動において、処理の目的や方法を自ら決定する個人や組織を指す
(六)公共数据是指国家机关和法律、行政法规授权的具有管理公共事务职能的组织履行公共管理职责或者提供公共服务过程中收集、产生的各类数据,以及其他组织在提供公共服务中收集、产生的涉及公共利益的各类数据。 (6)公共データとは、国の機関や、法律や行政法規によって公務を管理する権限を与えられた組織が、公務管理義務の遂行や公共サービスの提供の過程で収集・生成するあらゆる種類のデータ、および他の組織が公共サービスの提供の過程で収集・生成する公共の利益に関わるあらゆる種類のデータを指す
(七)委托处理是指数据处理者委托第三方按照约定的目的和方式开展的数据处理活动。 (7) 委託処理 データ処理者が合意された目的および方法で第三者に委託するデータ処理活動を意味する
(八)单独同意是指数据处理者在开展具体数据处理活动时,对每项个人信息取得个人同意,不包括一次性针对多项个人信息、多种处理活动的同意。 (8)個別の同意とは、データ処理者が特定の情報処理活動を行う際に、個人情報の項目ごとに個別の同意を得ることを意味し、複数の個人情報の項目および複数の情報処理活動を一度に行う場合の同意は含まれない
(九)互联网平台运营者是指为用户提供信息发布、社交、交易、支付、视听等互联网平台服务的数据处理者。 (9) インターネット・プラットフォーム事業者は、情報公開、ソーシャル・ネットワーキング、トランザクション、決済、オーディオ・ビジュアル、その他のインターネット・プラットフォーム・サービスをユーザーに提供するデータ処理者のことをいう
(十)大型互联网平台运营者是指用户超过五千万、处理大量个人信息和重要数据、具有强大社会动员能力和市场支配地位的互联网平台运营者。 (10) 大規模インターネット・プラットフォーム事業者とは、ユーザー数が5,000万人以上で、大量の個人情報や重要なデータを扱い、強い社会的動員力と市場支配力を持つインターネット・プラットフォーム事業者を指す
(十一)数据跨境安全网关是指阻断访问境外反动网站和有害信息、防止来自境外的网络攻击、管控跨境网络数据传输、防范侦查打击跨境网络犯罪的重要安全基础设施。 (11) データ越境セキュリティゲートウェイ 外国の反体制的なウェブサイトや有害情報へのアクセスを遮断し、国外からのサイバー攻撃を防ぎ、越境ネットワークのデータ伝送を制御し、越境サイバー犯罪を防止・捜査する重要なセキュリティインフラを意味する
(十二)公共信息是指数据处理者在提供公共服务过程中收集、产生的具有公共传播特性的信息。包括公开发布信息、可转发信息、无明确接收人信息等。 (12) 公共情報とは、データ処理者が公共サービスを提供する過程で収集・生成する、公共的な通信特性を持つ情報を指します。 公開された情報、転送可能な情報、受信者が明確でない情報などが含まれる
第七十四条 涉及国家秘密信息、核心数据、密码使用的数据处理活动,按照国家有关规定执行。 第74条 国家機密情報、コア・データおよびパスワードの使用に関わるデータ処理活動は、関連する国の規制に従って実施されるものとする。
第七十五条 本条例自 年 月 日起施行。 第75条 この条例は、○年○月○日から施行する。

 

1_20210612030101

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト 

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

・2021.08.13 中国 意見募集 「情報セキュリティ技術ブロックチェーン技術セキュリティフレームワーク」案を発表し、意見募集していますね。。。 at 2021.08.02

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

 

| | Comments (0)

米国 財務省 イスラエル財務省とランサムウェアと戦うためのパートナーシップを締結

こんにちは、丸山満彦です。

イスラエルは日曜日は休日ではないので、日曜日に締結されたようですが、米国財務省がイスラエル財務省とランサムウェアと戦うためのパートナーシップを締結したようですね。。。

イスラエル政府のページでは見つけられませんでしたが、、、(ヘブライ語が読めない...)

 

・2021.11.14 U.S. Department of the Treasury Announces Partnership with Israel to Combat Ransomware

U.S. Department of the Treasury Announces Partnership with Israel to Combat Ransomware 米国財務省、ランサムウェア対策としてイスラエルとのパートナーシップを発表
Partners Establish Bilateral Task Force to Support Fintech Innovation and Cybersecurity フィンテックの革新とサイバーセキュリティを支援する二国間タスクフォースを設立
Announcement Part of Biden Administration Efforts to Accelerate International Cooperation to Counter Ransomware ランサムウェア対策のための国際協力を加速するバイデン政権の取り組みの一環として発表
JERUSALEM – Building on the long-standing relationship between the Israeli Ministry of Finance and the U.S. Department of the Treasury, Deputy Secretary of the Treasury Wally Adeyemo met with Finance Minister Avigdor Lieberman and Director General of the National Cyber Directorate Yigal Unna in Israel today to establish a bilateral partnership to protect critical financial infrastructure and emerging technologies and expand international cooperation to counter the threat ransomware poses to countries and the global economy. This expanded cooperation supports Treasury’s sustained efforts in this domain and will occur under the auspices of a broader U.S.-Israeli Task Force, also launched today, on Fintech Innovation and Cybersecurity. The announcement follows the Counter-Ransomware Initiative meeting held virtually at the White House in October with the European Union and more than 30 countries, including Israel. At that meeting, Deputy Secretary Adeyemo underscored the importance of international cooperation to address the abuse of virtual currency and disrupt the ransomware business model. イスラエル財務省と米国財務省との長年の関係を踏まえ、ウォーリー・アデイモ財務副長官は本日、イスラエルでアビグドル・リーバーマン財務大臣およびイーガル・ウンナ国家サイバー局長と会談し、重要な金融インフラや新技術を保護するための二国間パートナーシップを確立するとともに、ランサムウェアが国や世界経済にもたらす脅威に対抗するための国際協力を拡大しました。この協力関係の拡大は、この分野における財務省の持続的な取り組みを支援するものであり、同じく本日発足した「フィンテックイノベーションとサイバーセキュリティに関する米・イスラエルタスクフォース」の下で実施されます。今回の発表は、10月にホワイトハウスで開催された欧州連合(EU)およびイスラエルを含む30カ国以上の国々との仮想会議「Counter-Ransomware Initiative」に続くものです。この会議でアデヨモ副長官は、仮想通貨の乱用に対処し、ランサムウェアのビジネスモデルを破壊するための国際協力の重要性を強調しました。
“Harnessing both the power of international cooperation and of technology innovation will position us to support economic competitiveness, prosperity, and to combat global threats including ransomware,” said Deputy Secretary of the Treasury Wally Adeyemo. “As the global economy recovers and ransomware and other illicit finance threats present a grave challenge to Israel and the United States, increased information exchanges, joint work, and collaboration on policy, regulation, and enforcement are critical to our economic and national security objectives.” ウォーリー・アデイモ財務次官は、「国際協力と技術革新の両方の力を活用することで、経済の競争力と繁栄を支え、ランサムウェアをはじめとする世界的な脅威に対抗することができます。「世界経済が回復し、ランサムウェアをはじめとする不正金融の脅威がイスラエルと米国にとって重大な課題となる中、情報交換、共同作業、政策・規制・執行に関する協力を強化することは、経済と国家安全保障の目標にとって不可欠です」と述べています。
At today’s launch in Israel, Deputy Secretary Adeyemo and Israeli counterparts affirmed a shared commitment to encouraging robust fintech innovation, while also reinforcing the necessity of working together to combat the cyber threats posed by nation-state and criminal actors to the global economy. To advance these twin goals, the Task Force will pursue a variety of efforts and specific activities.  本日、イスラエルで行われた発表会で、アデヨモ副長官とイスラエルの担当者は、強固なフィンテックのイノベーションを促進するという共通のコミットメントを確認するとともに、国民国家や犯罪者が世界経済にもたらすサイバー脅威に対抗するために協力することの必要性を強調しました。この2つの目標を達成するために、タスクフォースはさまざまな取り組みと具体的な活動を行っていきます。
The Task Force will immediately begin work on developing a Memorandum of Understanding  supporting (1) permissible information sharing related to the financial sector, including cybersecurity regulations and guidance, cybersecurity incidents, and cybersecurity threat intelligence; (2) staff training and study visits to promote cooperation in the area of cybersecurity and the financial system; and, (3) competency-building activities such as the conduct of cross-border cybersecurity exercises linked to global financial institutions financial and investment flows. タスクフォースは、(1)サイバーセキュリティの規制やガイダンス、サイバーセキュリティのインシデント、サイバーセキュリティの脅威情報など、金融部門に関する許容される情報共有、(2)サイバーセキュリティと金融システムの分野での協力を促進するためのスタッフトレーニングや研究訪問、(3)世界の金融機関の資金や投資の流れに関連したクロスボーダーのサイバーセキュリティ演習の実施など、能力向上のための活動を支援する覚書の作成に直ちに着手します。
In addition, The Task Force will launch a series of expert technical exchanges on policy, regulation, and outreach to support fintech innovation that features robust cybersecurity protections and that can advance compliance with international standards on anti-money laundering, counter-terrorist financing, and countering the financing of proliferation. Furthermore, these technical exchanges will examine how cyber analytics firms, as well as fintech and regtech innovators, are developing new ways to mitigate illicit finance risk and to enhance public sector analytical and enforcement activities.  In that spirit, Treasury will also participate in the CyberTech Global Tel Aviv conference in Israel in January 2022. さらにタスクフォースは、強固なサイバーセキュリティ保護を特徴とし、アンチマネーロンダリング、テロ資金対策、拡散資金対策に関する国際基準への準拠を促進するフィンテックイノベーションを支援するため、政策、規制、アウトリーチに関する一連の専門家による技術交流を開始します。さらに、今回の技術交流会では、サイバー分析企業、フィンテックやレグテックの革新企業が、不正資金リスクを軽減し、公的機関の分析・執行活動を強化するための新しい方法をどのように開発しているかを検証します。 この精神に基づき、財務省は2022年1月にイスラエルで開催されるサイバーテック Global Tel Aviv会議にも参加します。
Treasury’s actions are part of its continued collaborative approach to improving cybersecurity outcomes for the financial system, including public-private partnerships and close relationships with international partners. These actions are part of the Biden Administration’s whole-of-government, focused, integrated effort to counter the ransomware threat.  財務省の行動は、官民パートナーシップや国際的なパートナーとの緊密な関係を含め、金融システムのサイバーセキュリティの成果を向上させるための継続的な協力的アプローチの一環です。これらの行動は、ランサムウェアの脅威に対抗するための、バイデン政権による政府全体の集中的かつ統合的な取り組みの一環です。

 

Twitter では写真もありますね。。。

・2021.11.15 https://twitter.com/i/web/status/1460285151682908165

・2021.11.14 https://twitter.com/TreasuryDepSec/status/1459790644654739456

Fig1_20211113060901


参照

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

過去のランサムウェアに関するこのブログの記事をまとめています。。。↓

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

| | Comments (0)

2021.11.15

NIST IR8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

こんにちは、丸山満彦です。

NISTがR8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定を確定していますね。。。

NIST

・2021.11.12 NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management

Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management 企業リスク管理のためのサイバーセキュリティ・リスクの特定と推定
Abstract 概要
This document supplements NIST Interagency or Internal Report 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM), by providing additional detail regarding risk guidance, identification, and analysis. This report offers examples and information to illustrate risk tolerance, risk appetite, and methods for determining risks in that context. To support the development of an Enterprise Risk Register, this report describes documentation of various scenarios based on the potential impact of threats and vulnerabilities on enterprise assets. Documenting the likelihood and impact of various threat events through cybersecurity risk registers integrated into an enterprise risk profile helps to later prioritize and communicate enterprise cybersecurity risk response and monitoring. 本資料は、NIST Interagency or Internal Report 8286「Integrating Cybersecurity and Enterprise Risk Management (ERM)」を補足するものであり、リスクのガイダンス、識別、分析についての詳細を記載しています。本レポートでは、リスク許容度、リスクアペタイト、およびその文脈におけるリスクの決定方法を説明するための例や情報を提供している。企業リスク登録簿の作成を支援するために、本報告書では、脅威や脆弱性が企業資産に与える潜在的な影響に基づく様々なシナリオの文書化について説明しています。企業リスクプロファイルに統合されたサイバーセキュリティリスクレジスターを通じて、様々な脅威事象の可能性と影響を文書化することは、後に企業のサイバーセキュリティリスク対応とモニタリングの優先順位付けと伝達に役立ちます。

・[PDF]

20211114-72116

Executive Summary エグゼクティブ・サマリー
1 Introduction 1 はじめに
1.1 Supporting CSRM as an Integrated Component of ERM 1.1 ERM の統合コンポーネントとしての CSRM の支援
1.2 Purpose and Scope 1.2 目的と範囲
1.3 Document Structure 1.3 文書構造
2 Cybersecurity Risk Considerations Throughout the ERM Process 2 ERMプロセスを通じたサイバーセキュリティリスクへの配慮
2.1 Risk Scope, Context, and Criteria 2.1 リスクの範囲、文脈、および基準
2.1.1 Risk Appetite and Risk Tolerance 2.1.1 リスクアペタイトとリスク許容度
2.1.2 Enterprise Strategy for Cybersecurity Risk Coordination 2.1.2 サイバーセキュリティリスクを調整するための企業戦略
2.1.3 Detailed Risk Integration Strategy 2.1.3 詳細なリスク統合戦略
2.1.4 Enterprise Strategy for Cybersecurity Risk Reporting 2.1.4 サイバーセキュリティリスクの報告のための企業戦略
2.2 Risk Identification 2.2 リスクの特定
2.2.1 Inventory and Valuation of Assets 2.2.1 資産の棚卸しと評価
2.2.2 Determination of Potential Threats 2.2.2 潜在的脅威の決定
2.2.3 Vulnerability Identification 2.2.3 脆弱性の特定
2.2.4 Determining Potential Impact 2.2.4 潜在的な影響の判断
2.2.5 Recording Identified Risks 2.2.5 特定したリスクの記録
2.2.6 Risk Categorization 2.2.6 リスクのカテゴライズ
2.3 Detailed Risk Analysis 2.3 詳細なリスク分析
2.3.1 Selecting Risk Analysis Methodologies 2.3.1 リスク分析手法の選択
2.3.2 Techniques for Estimating Likelihood and Impact 2.3.2 可能性と影響を見積もるための手法
2.4 Determination and Documentation of Risk Exposure 2.4 リスクエクスポージャーの決定と文書化
3 Conclusion 3 まとめ
References 参考文献
List of Appendices 附属書のリスト
Appendix A— Acronyms 附属書A- 頭字語
Appendix B— Notional Example of a Risk Detail Record (RDR) 附属書B- リスク詳細記録(RDR)の概念的な例
List of Figures 図のリスト
Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration 図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されている .iv
Figure 2: NISTIR 8286A Activities as Part of CSRM/ERM Integration 図2:CSRM/ERM統合の一環としてのNISTIR 8286Aの活動。1
Figure 3: Integration of Various Risk Management Activities into the Enterprise Risk Register and Risk Profile 図3:様々なリスクマネジメント活動の企業リスク登録とリスクプロファイルへの統合
Figure 4: Notional Cybersecurity Risk Register Template 図4:想定されるサイバーセキュリティ・リスクレジスターのテンプレート
Figure 5: Illustration of Enterprise Risk and Coordination 図5:エンタープライズ・リスクとコーディネーションの図解
Figure 6: Continuous Interaction Between ERM and CSRM Using the Risk Register 図6:リスクレジスターを用いたERMとCSRMの継続的な相互作用
Figure 7: CSRR Highlighting Risk Description Column 図7:リスク記述欄を強調するCSRR
Figure 8: Inputs to Risk Scenario Identification 図8:リスクシナリオ特定のための入力事項
Figure 9: Threats as an Input to Risk Scenario Identification (Part B) 図9:リスクシナリオ識別へのインプットとしての脅威(パートB
Figure 10: Vulnerability Inputs to Risk Scenario Identification (Part C) 図10:リスクシナリオ同定への入力(パートC)としての脆弱性
Figure 11: Adverse Impact Inclusion in Risk Scenario Identification (Part D) 図11:リスクシナリオ同定への有害な影響の取り込み(パートD
Figure 12: Example Risk Register with Sample Risk Descriptions 図12:リスク記述のサンプルを含むリスク登録の例
Figure 13: CSRR Highlighting Risk Category and Current Assessment Columns 図13:リスクカテゴリーと現在の評価欄を強調するCSRR
Figure 14: Example Three-Point Estimate Graph (Triangle Distribution) 図14: 三点推定グラフの例(三角分布)
Figure 15: Example Three-Point Estimate Graph (Normal Distribution) 図15:三点推定グラフの例(正規分布)
Figure 16: Example Event Tree Analysis 図16:イベントツリー分析の例
Figure 17: Illustration of a Histogram from a Monte Carlo Estimation Simulation 図17:モンテカルロ推定シミュレーションによるヒストグラムの例
Figure 18: Example Quantitative Analysis Results 図18:定量的分析結果の例
Figure 19: Example Qualitative Analysis Results 図19:定性分析結果の例
Figure 20: Use of a Cybersecurity Risk Register Improves Risk Communications 図20:サイバーセキュリティ・リスク・レジスターの使用によるリスクコミュニケーションの改善
Figure 21: Notional Risk Detail Record 図21:想定されるリスク詳細記録
List of Tables 表の一覧
Table 1: Examples of Risk Appetite and Risk Tolerance 表1:リスクアペタイトとリスクトレランスの例
Table 2: Inputs and Outputs for ERM Governance and Integrated CSRM 表2:ERMガバナンスと統合CSRMのインプットとアウトプット
Table 3: Example Threat Modeling Analysis 表3:脅威のモデル化分析の例
Table 4: Example Bias Issues to Avoid in Risk Management 表4:リスクマネジメントで避けるべきバイアス問題の例
Table 5: Example SWOT Analysis 表5:SWOT分析の例
Table 6: Cybersecurity Framework Current State Profiles Help Consider Threats 表6:脅威の検討に役立つサイバーセキュリティフレームワークの現状のプロファイル
Table 7: Example Sources of Threat Information 表7:脅威の情報源の例
Table 8: Example Negative and Positive Impact Scenarios 表8:ネガティブおよびポジティブな影響のシナリオの例
Table 9: Example Risk Tolerance Results Assessment 表9:リスク許容範囲の結果評価の例

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

 

 

| | Comments (0)

2021.11.14

ENISA 医療分野におけるCSIRTの能力

こんにちは、丸山満彦です。

ENISAが医療分野におけるCSIRTの能力についての文書を公表していますね。。。

 

ENISA

・2021.11.11 (news) On the Watch for Incident Response Capabilities in the Health Sector

On the Watch for Incident Response Capabilities in the Health Sector 医療分野におけるインシデント対応能力の注目点
The European Union Agency for Cybersecurity issues an analysis of the current state of development of sectoral CSIRT capabilities in the health sector since the implementation of the NIS Directive. 欧州連合サイバーセキュリティ機関は、NIS指令の実施以降、医療分野における分野別CSIRT能力の開発の現状についての分析を発行しています。
The meetings of the CSIRT Network and the CyCLONe taking place these days in Ljubljana and online, have set the stage for the publication of the new report on CSIRT capabilities for increased efficiency of incident response tools and processes of specific sectors. ここ数日、リュブリャナとオンラインで開催されているCSIRTネットワークとCyCLONeの会合では、特定分野のインシデント対応ツールとプロセスの効率化のためのCSIRT能力に関する新しいレポートの発行に向けた準備が進められています。
ENISA Report: CSIRT Capabilities in Healthcare Sector ENISAレポート:医療分野におけるCSIRTの能力
Health organisations such as hospitals rely today on complex critical infrastructures in order to operate. For the year 2020, ENISA received a total of 742 reports about cybersecurity incidents with significant impact from the critical sectors under the Directive on security of network and information systems (NIS Directive). The health sector saw an increase of 47% of such incidents in 2020 compared to the previous year. 病院などの医療機関は、今日、運営のために複雑な重要インフラに依存しています。2020年に向けて、ENISAは、ネットワークと情報システムのセキュリティに関する指令(NIS指令)に基づき、重要部門から重大な影響を及ぼすサイバーセキュリティインシデントに関する報告を合計742件受け取りました。医療分野では、2020年にこのようなインシデントが前年に比べて47%増加しました。
Cybersecurity attacks on healthcare can be life threatening for patients and provoke effects on the physical world. These attacks may also affect the entire health supply chain with damaging consequences for all stakeholders concerned such as citizens, public authorities, regulators, professional associations, industries, small and medium enterprises. 医療機関に対するサイバーセキュリティ攻撃は、患者の生命を脅かし、物理的な世界への影響を誘発します。また、これらの攻撃は、市民、公的機関、規制当局、専門家団体、産業界、中小企業など、関係するすべてのステークホルダーにダメージを与える結果となり、医療のサプライチェーン全体に影響を与える可能性があります。
The number of cyber threats over the years is now rising proportionally to the growing popularity of emerging technologies such as the Internet of Things (IoT), Artificial Intelligence (AI), big data, cloud computing and the multiplicity of connected devices, among others. 長年にわたるサイバー脅威の数は、IoT(Internet of Things)、AI(Artificial Intelligence)、ビッグデータ、クラウドコンピューティング、接続されたデバイスの多さなど、新興技術の普及に比例して増加しているのが現状です。
It is the role of Computer Security Incident Response Teams (CSIRTs) to develop the capabilities needed to address such issues and implement the provisions of the Directive on security of network and information systems (NIS Directive). このような問題に対処するために必要な能力を開発し、ネットワークおよび情報システムのセキュリティに関する指令(NIS指令)の規定を実施することは、コンピュータセキュリティインシデント対応チーム(CSIRT)の役割です。
Objectives 目的
The report assesses the services developed and currently used by CSIRTs across the Member States, analyses the trends in relation to sector-specific CSIRTs and issues recommendations to strengthen the incident response capabilities (IRC) in the health sector. 本報告書は、加盟国のCSIRTが開発し、現在使用しているサービスを評価し、分野別のCSIRTに関連するトレンドを分析し、医療分野におけるインシデント対応能力(IRC)を強化するための提言をします。
Key findings 主な発見事項
National CSIRTs are the entities in charge of incident response in the health sector. Although dedicated health sector CSIRTs are still the exception in the Member States, sector specific CSIRT cooperation is developing. 国家CISRTは、医療分野のインシデント対応を担当する組織です。医療分野専用のCSIRTは加盟国ではまだ例外的であるが、分野別のCSIRT協力は発展しつつあります。
The lack of sector-specific knowledge or capacity of national CSIRTs, lessons learned from past incidents and the implementation of the NIS Directive appear to be the main drivers of the creation of sector-specific incident response capabilities in the health sector. 国内CSIRTの分野固有の知識や能力の欠如、過去のインシデントから得た教訓、NIS指令の実施などが、医療分野における分野固有のインシデント対応能力を生み出す主な要因となっているようです。
The study reveals the lack of security culture among Operators of Essential Services (OES). Because the pace of updates quickly outruns the pace of IT technology evolution when healthcare equipment usually has a lifetime of 15 years on average, vulnerabilities tend to accumulate with the obsolescence of the IT layer through the lifecycle of hardware and digital devices. Another challenge the healthcare sector is faced with is the complexity of systems due to the increased number of connected devices leading to an extension of the potential attack surface. 本調査では、基幹サービス事業者(OES)におけるセキュリティ文化の欠如が明らかになりました。医療機器の寿命が通常平均15年であるのに対し、IT技術の進化のペースを更新のペースが上回っているため、ハードウェアやデジタル機器のライフサイクルを通じたIT層の陳腐化に伴い、脆弱性が蓄積される傾向にあります。また、医療機関が直面しているもう一つの課題は、接続された機器の数の増加によるシステムの複雑化であり、潜在的な攻撃対象領域の拡大につながっています。
The key force driving the development of incident response capabilities of CSIRTs is the information related to security requirements and responsibilities of organisations for each sector. Shared frameworks for incident classification and threat modelling, education activities and a network allowing communication between incident response actors constitute the main resources and tools currently supporting the development of incident response capabilities. CSIRT のインシデント対応能力の開発を推進する主な力は、各分野の組織のセキュリティ要件と責任に関連する情報です。インシデントの分類と脅威のモデル化のための共有フレームワーク、教育活動、インシデント対応アクター間のコミュニケーションを可能にするネットワークが、現在インシデント対応能力の開発を支援する主なリソースとツールを構成しています。
National health sectoral CSIRTs tend to provide services better suited to the sector. 全国保健医療分野別 CSIRT は、その分野に適したサービスを提供する傾向にあります。
Recommendations 推奨事項
The sectoral health CSIRTs remain scarce in an environment where specialised support is needed to develop incident response activities. Based on the findings, the recommendations are to: インシデント対応活動を展開するために専門的な支援が必要とされる環境では、医療分野の分野別 CSIRT は依然として希少です。今回の調査結果に基づき、以下の提言をします。
Enhance and facilitate the creation of health sector CISRTs by allowing easy access to funding, promoting capacity building activities, etc. 資金へのアクセスを容易にし、キャパシティビルディング活動を促進するなどして、医療分野のCISRTの設立を強化・促進する。
Capitalise on the expertise of the health CSIRTs for helping Operators of Essential Services (OES) develop their incident response capabilities by establishing sector-specific regulations, cooperation agreements, communication channels with OES, public-private partnerships, etc. 医療分野固有の規制、協力協定、OES とのコミュニケーション・チャンネル、官民パートナーシップなどを確立することにより、医療分野の CSIRT の専門知識を活用し、OES のインシデント対応能力の向上を支援する。
Empower health CSIRTs to develop information sharing activities using threat intelligence, exchange of good practices and lessons learned, etc. 健康CSIRTに、脅威情報を利用した情報共有活動、優良事例や教訓の交換などを行う権限を与える。
15th CSIRTs Network meeting and 5th CyCLONe Officers meeting 第15回CSIRTネットワーク会合、第5回CyCLONe役員会合
The two EU cybersecurity networks share a session together for the first time to address cyber incidents and crises management at both technical and operational levels. While the CSIRT Network engages in information sharing and cooperation between Member States at technical level, the EU CyCLONe provides situational awareness among competent authorities acting therefore at the operational level. EUの2つのサイバーセキュリティネットワークが初めてセッションを共にし、技術レベルと運用レベルの両方でサイバーインシデントと危機管理に取り組みます。CSIRTネットワークが技術レベルで加盟国間の情報共有と協力を行う一方で、EU CyCLONeは運用レベルで行動する所轄官庁間の状況認識を提供しています。
ENISA coordinates both secretariats of these networks and provides dedicated tools and expertise as well as the technical infrastructures needed for exercises and training. The Agency, therefore, acts as a facilitator between those different cyber networks including decision-makers responsible for crisis management. More information on this week events are available on the related event pages 15th CSIRTs Network meeting and 5th CyCLONe Officers meeting. ENISAはこれらのネットワークの両事務局を調整し、専用のツールや専門知識、演習や訓練に必要な技術インフラを提供している。したがって、ENISAは、危機管理を担当する意思決定者を含む、異なるサイバーネットワーク間のファシリテーターの役割を果たします。今週のイベントに関する詳細は、関連イベントページの「第15回CSIRTネットワーク会合」と「第5回CyCLONe役員会合」を参照ください。
Background 背景
ENISA has been supporting the cooperation between CSIRTs and the development of the CSIRT network for more than 10 years. ENISA started evaluating CSIRT capabilities of individual NIS sectors in 2020, initially focusing on air transport and energy sectors. ENISAは10年以上にわたり、CSIRT間の協力とCSIRTネットワークの発展を支援してきました。ENISAは2020年に個々のNIS分野のCISRT能力の評価を開始し、当初は航空輸送とエネルギー分野に焦点を当てていました。
ENISA also supports the cooperation of CSIRTs with law enforcement, finance, SCADA systems and energy communities. また、ENISAは、法執行機関、金融、SCADAシステム、エネルギーの各コミュニティとCSIRTの協力を支援しています。

 

・2021.11.11 CSIRT Capabilities in Healthcare Sector

CSIRT Capabilities in Healthcare Sector 医療分野におけるCISRTの能力
An attack directed at a critical infrastructure, such as a hospital, can lead to physical damages and put the lives of patients at risk. Therefore, there is a need for solid Incident Response Capabilities (IRC) in the health sector, in particular health care settings (including hospitals and private clinics). This report focuses on sectoral CSIRT capabilities status and development within the health sector since the implementation of the NIS Directive. The aim of the report is to offer insights on current incident response (IR) trends in order to draw practical recommendations about the development of IR capabilities in the health sector. 病院のような重要なインフラを狙った攻撃は、物理的な損害につながり、患者の命を危険にさらすことになります。そのため、医療分野、特に医療現場(病院や民間診療所を含む)では、しっかりとしたインシデント・レスポンス能力(IRC)が必要とされています。本報告書は、NIS 指令の実施以来、医療分野における分野別 CSIRT 能力の現状と発展に焦点を当てている。本報告書の目的は、現在のインシデント・レスポンス(IR)の傾向についての洞察を提供し、医療分野におけるIR能力の開発について実践的な提言を行うことである。

・[PDF]

20211113-160059

 

EXECUTIVE SUMMARY  エグゼクティブ・サマリー 
LIST OF ABBREVIATIONS  略語リスト 
1. OVERVIEW AND SCOPE OF THE STUDY  1. 調査の概要と範囲 
1.1 CONTEXT OF THE STUDY  1.1 研究の背景 
1.2 OBJECTIVES OF THE STUDY  1.2 研究の目的 
2. METHODOLOGY AND DATA COLLECTION  2. 方法論とデータ収集 
2.1 OVERVIEW OF THE METHODOLOGY  2.1 方法論の概要 
3. KEY FINDINGS  3. 主な発見事項
3.1 IRC SET-UP AND LANDSCAPE  3.1 IRCのセットアップとランドスケープ 
3.2 CREATION OF SECTORAL CSIRTS  3.2 分野ごとのCSIRTの設立 
3.3 CSIRTS SERVICES  3.3 CSIRTのサービス 
3.4 IR TOOLS AND PROCEDURES  3.4 国際的なツールと手続き 
3.5 IR MATURITY DEVELOPMENT  3.5 IRの成熟度の向上 
3.6 CSIRTS CHALLENGES AND GAPS  3.6 CSIRTの課題とギャップ 
3.7 CSIRTS LESSONS LEARNED  3.7 CSIRTの教訓 
4. RECOMMENDATIONS  4. 推奨事項 
4.1 INTRODUCTION  4.1 序論 
4.2 RECOMMENDATION 1: ENHANCE AND FACILITATE THE CREATION OF HEALTH SECTORAL CSIRTS  4.2 提言1:保健分野別CSIRTの強化と創設の促進 
4.3 RECOMMENDATION 2: CAPITALISE ON THE EXPERTISE OF THE HEALTH CSIRTS FOR HELPING OESS DEVELOP THEIR IR CAPABILITIES 4.3 提言 2: OESSの情報交換能力の向上を支援するため、保健医療委員会の専門知識を活用する
4.4 RECOMMENDATION 3: EMPOWER HEALTH CSIRTS ROLE ON INFORMATION SHARING ACTIVITIES 4.4 提言3:情報共有活動における保健医療局の役割の強化
5. BIBLIOGRAPHY 5. 参考文献
A ANNEX: SURVEY – QUESTIONNAIRE A 附属書:調査-アンケート

 

 

| | Comments (0)

2021.11.13

米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

こんにちは、丸山満彦です。

米国財務省の金融犯罪捜査ネットワーク (FinCEN) が、ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告を公表していますね。。。


Financial Crimes Enforcement Network

・2021.11.08 FinCEN Releases Updated Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments

・[PDF] Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments

20211113-70900

内容としては、

  • ランサムウェアの支払いを促進するための金融仲介者の役割
  • 最近のランサムウェアの攻撃例
  • ランサムウェアの財務上のレッドフラッグ指標と関連する支払いについて

といった感じです。。。

・[DOCX] 仮訳

 


参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア運営会社と仮想通貨取引所に制裁を科す

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

過去のランサムウェアに関するこのブログの記事をまとめています。。。↓

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

| | Comments (0)

米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

こんにちは、丸山満彦です。

米国政府は、ランサムウェアを使った犯罪者に徹底的に対応しようとしている感じですね。。。

司法省のプレスと連動しています。。。

また、この件はインターポールでも取り上げられています。。。

 

・2021.11.08 Treasury Continues to Counter Ransomware as Part of Whole-of-Government Effort; Sanctions Ransomware Operators and Virtual Currency Exchange

 

Treasury Continues to Counter Ransomware as Part of Whole-of-Government Effort; Sanctions Ransomware Operators and Virtual Currency Exchange 米財務省、政府一体となったランサムウェア対策を継続、ランサムウェア実行者と仮想通貨取引所に制裁を科す
FinCEN Updates Ransomware Advisory FinCENがランサムウェアに関する勧告を更新
OFAC Sanctions Two Ransomware Operators and a Virtual Currency Exchange Network for the Kaseya Incident and Laundering Cyber Ransoms OFAC、Kaseya事件およびサイバーランサムの資金洗浄を理由に、ランサムウェア実行者2名および仮想通貨交換ネットワーク1社を制裁
WASHINGTON — Continuing the Administration’s whole-of-government effort to counter ransomware, the U.S. Department of the Treasury today announced a set of actions focused on disrupting criminal ransomware actors and virtual currency exchanges that launder the proceeds of ransomware. Treasury’s actions today advance the Biden Administration’s counter-ransomware efforts to disrupt ransomware infrastructure and actors and address abuse of the virtual currency ecosystem to launder ransom payments. ワシントン発 - 米国財務省は本日、ランサムウェア対策に向けた政府全体の取り組みを継続し、ランサムウェアの犯罪者やランサムウェアの収益を洗浄する仮想通貨取引所の機能を停止させることに重点を置いた一連の行動を発表しました。財務省の本日の行動は、ランサムウェアのインフラと行為者を混乱させ、身代金の支払いを洗浄するための仮想通貨のエコシステムの乱用に対処するというバイデン政権のランサムウェア対策の取り組みを前進させるものです。
“Ransomware groups and criminal organizations have targeted American businesses and public institutions of all sizes and across sectors, seeking to undermine the backbone of our economy,” said Deputy Secretary of the Treasury Wally Adeyemo. “We will continue to bring to bear all of the authorities at Treasury’s disposal to disrupt, deter, and prevent future threats to the economy of the United States. This is a top priority for the Biden Administration.” ウォーリー・アデーモ財務副長官は、「ランサムウェアのグループや犯罪組織は、あらゆる規模、あらゆる分野の米国企業や公的機関を標的にしており、米国経済の基盤を弱体化させようとしています。我々は、米国経済に対する将来の脅威を破壊し、抑止し、防止するために、財務省が有するあらゆる権限を活用していきます。これは、バイデン政権の最優先事項です」と述べています。
Ransomware incidents have disrupted critical services and businesses globally, as well as schools, government offices, hospitals and emergency services, transportation, energy, and food companies. Reported ransomware payments in the United States so far have reached $590 million in the first half of 2021, compared to a total of $416 million in 2020. The perpetrators behind these ransomware incidents seek to harm the United States and extort the American people and our allies. Those who provide financial services to, or facilitate money laundering for, ransomware actors enable this illegal activity. ランサムウェアの被害により、学校、官公庁、病院や緊急サービス、交通機関、エネルギー、食品会社など、重要なサービスやビジネスが世界的に混乱しています。これまでに米国で報告されたランサムウェアの支払い額は、2020年の総額4億1,600万ドルに対し、2021年の上半期には5億9,000万ドルに達しています。これらのランサムウェア事件の背後にいる加害者は、米国に危害を加え、米国民と同盟国を恐喝しようとしています。ランサムウェアの実行者に金融サービスを提供したり、マネーロンダリングを促進したりする者は、この違法行為を可能にしています。
While most virtual currency activity is licit, virtual currency remains the primary mechanism for ransomware payments, and certain unscrupulous virtual currency exchanges are an important piece of the ransomware ecosystem. The United States urges the international community to effectively implement international standards on anti-money laundering/countering the financing of terrorism (AML/CFT) in the virtual currency area, particularly regarding virtual currency exchanges. ほとんどの仮想通貨活動は合法的なものですが、仮想通貨はランサムウェアの支払いの主要なメカニズムであり、特定の悪質な仮想通貨取引所はランサムウェアのエコシステムの重要な要素となっています。米国は、国際社会に対し、仮想通貨分野、特に仮想通貨取引所に関して、マネーロンダリング防止/テロ資金供与防止(AML/CFT)に関する国際基準を効果的に実施するよう求めています。
Today’s coordinated action with several U.S. government and foreign partners demonstrates how Treasury’s international partnerships enhance the ability to detect and disrupt, across continents and technologies, the illicit financial activities of those who seek to harm people’s livelihoods, savings, and futures for private gain. 本日の米国政府および海外の複数のパートナーとの協調行動は、財務省の国際的なパートナーシップが、大陸や技術を超えて、私利私欲のために人々の生活、貯蓄、未来に害を及ぼそうとする人々の不正な金融活動を検知し、混乱させる能力をいかに高めているかを示すものです。
DESIGNATION OF A VIRTUAL CURRENCY EXCHANGE AND NETWORK FOR COMPLICIT FINANCIAL SERVICES 共謀して金融サービスを行う仮想通貨取引所およびネットワークの指定
Today’s actions include the designation of Chatex, a virtual currency exchange, and its associated support network, for facilitating financial transactions for ransomware actors. Chatex, which claims to have a presence in multiple countries, has facilitated transactions for multiple ransomware variants. Analysis of Chatex’s known transactions indicate that over half are directly traced to illicit or high-risk activities such as darknet markets, high-risk exchanges, and ransomware. Chatex has direct ties with SUEX OTC, S.R.O. (Suex), using Suex’s function as a nested exchange to conduct transactions. Suex was sanctioned on September 21, 2021, for facilitating financial transactions for ransomware actors. Chatex is being designated pursuant to Executive Order (E.O.) 13694, as amended, for providing material support to Suex and the threat posed by criminal ransomware actors. 本日の措置には、ランサムウェア行為者の金融取引を促進したとして、仮想通貨取引所であるChatexとその関連サポートネットワークが指定されました。Chatexは、複数の国に拠点があると主張しており、複数のランサムウェアの亜種の取引を促進しています。Chatexの既知の取引を分析すると、その半分以上が、ダークネット市場、高リスク取引所、ランサムウェアなどの不正または高リスクの活動に直接つながっています。Chatexは、SUEX OTC, S.R.O. (Suex)と直接的な関係があり、Suexの入れ子式取引所としての機能を利用して取引を行っています。Suexは2021年9月21日、ランサムウェアの行為者の金融取引を促進したとして制裁を受けています。Chatexは、Suexおよびランサムウェアの犯罪者がもたらす脅威に物的支援を行ったとして、改正された大統領令(E.O.)13694に基づき指定されます。
Additionally, OFAC is designating IZIBITS OU, Chatextech SIA, and Hightrade Finance Ltd for providing material support and assistance to Chatex, pursuant to E.O. 13694, as amended. These three companies set up infrastructure for Chatex, enabling Chatex operations. さらにOFACは、改正後の大統領令(E.O.13694)に基づき、IZIBITS OU、Chatextech SIA、およびHightrade Finance Ltdを、Chatexへの物質的支援および援助を行ったとして指定します。この3社は、Chatexのためにインフラを構築し、Chatexの運営を可能にしました。
Complementing this action, the Department of State announced a Transnational Organized Crime Reward offer of up to $10,000,000 for information leading to the identification or location of any individual(s) who hold a key leadership position in the Sodinokibi/REvil ransomware variant transnational organized crime group (22 U.S.C. §2708(b)(6)). The Department of State also announced a reward offer of up to $5,000,000 for information leading to the arrest and/or conviction in any country of any individual conspiring to participate in or attempting to participate in a Sodinokibi variant ransomware incident. この措置を補完するため、国務省は、Sodinokibi/REvilランサムウェアの亜種である多国籍組織犯罪グループ(22 U.S.C. §2708(b)(6))において重要な指導的立場にある個人の特定または所在確認につながる情報に対して、最高1,000万ドルの多国籍組織犯罪報奨金を提供することを発表しました。また、国務省は、Sodinokibi亜種ランサムウェア事件に関与することを共謀した、または関与しようとした個人の逮捕および/または有罪判決につながる情報に対して、いかなる国においても最高500万ドルの報奨金を提供することを発表しました。
Following an inspection by Latvia’s State Revenue Service, Latvian government authorities have suspended with immediate effect the operations of Chatextech; assessed a fine for breaches of company registration and business conduct laws and regulations; and will identify current and former Chatextech board members, all non-Latvian nationals, in Latvia’s registry of high-risk individuals. In addition, the Estonian Financial Intelligence Unit has revoked the license of Izibits OU after working with the United States to identify the activities of entities being designated today. ラトビア政府当局は、ラトビア国税庁の査察を受け、Chatextech社の業務を直ちに停止し、会社登録および企業行動に関する法令違反に対して罰金を課し、Chatextech社の現および元役員(全員が非ラトビア国籍)をラトビアの高リスク人物登録簿に登録する予定です。また、エストニアの金融情報ユニットは、米国と協力して本日指定される団体の活動を特定した後、Izibits OUのライセンスを取り消しました。
Unprincipled virtual currency exchanges like Chatex are critical to the profitability of ransomware activities, especially by laundering and cashing out the proceeds for criminals. Treasury will continue to use all available authorities to disrupt malicious cyber actors, block ill-gotten criminal proceeds, and deter additional actions against the American people. Treasury benefitted immensely from close coordination with our partners across Latvian and Estonian government agencies, including their information sharing and swift action. Chatexのような無原則な仮想通貨取引所は、ランサムウェア活動の収益性を高めるために不可欠であり、特に犯罪者のために収益をロンダリングして現金化しています。財務省は、悪質なサイバー犯罪者を排除し、不正に得た犯罪収益を阻止し、米国民に対する新たな行動を抑止するために、今後も利用可能なあらゆる権限を行使していきます」と述べています。財務省は、ラトビアとエストニアの政府機関のパートナーとの緊密な連携により、情報の共有や迅速な対応など、多大な恩恵を受けています。
DESIGNATION OF TWO RANSOMWARE OPERATORS 二人のランサムウェア運営者を指定
OFAC is designating Ukrainian Yaroslav Vasinskyi (Vasinskyi) and Russian Yevgeniy Polyanin (Polyanin) for their part in perpetuating Sodinokibi/REvil ransomware incidents against the United States. Vasinskyi deployed ransomware against at least nine U.S. companies. Vasinskyi is also responsible for the July 2021 ransomware activity against Kaseya, which caused significant disruptions to the computer networks of Kaseya’s customer base. Polyanin also deployed ransomware, targeting several U.S. government entities and private-sector companies. These two individuals are part of a cybercriminal group that has engaged in ransomware activities and received more than $200 million in ransom payments paid in Bitcoin and Monero. OFAC is also designating a company owned by Polyanin, pursuant to E.O. 13694 as amended. Malicious cyber activities against the U.S. government and private sector will be aggressively investigated and pursued. Companies are encouraged to report all ransomware incidents to law enforcement, as well as any payments with a potential sanctions nexus to OFAC, and strengthen their cyber defense posture. OFACは、ウクライナ人のヤロスラフ・ヴァシンスキー(Vasinskyi)とロシア人のイェフゲニー・ポリアニン(Polyanin)を、米国に対するランサムウェア「Sodinokibi/REvil」の蔓延に関与したとして指定します。ヴァシンスキーは、少なくとも9つの米国企業に対してランサムウェアを配布しました。ヴァシンスキーは、Kaseyaに対する2021年7月のランサムウェア活動の責任者でもあり、Kaseyaの顧客層のコンピュータネットワークに大きな混乱をもたらしました。ポリアニンもランサムウェアを展開し、いくつかの米国政府機関や民間企業を標的にしました。この2人は、ランサムウェアの活動を行い、ビットコインやモネロで支払われた2億ドル以上の身代金の支払いを受けたサイバー犯罪者グループの一員です。また、OFACは、改正されたE.O.13694に基づき、ポリアニンが所有する会社を指定しています。米国政府および民間企業に対する悪質なサイバー活動は、積極的に調査・追求されます。企業の皆様に対して、ランサムウェアの被害をすべて法執行機関に報告するとともに、制裁措置につながる可能性のある支払いをすべてOFACに報告し、サイバー防御体制を強化することを勧めます。
SANCTIONS IMPLICATIONS 制裁への影響
As a result of today’s designation, all property and interests in property of the designated targets that are subject to U.S. jurisdiction are blocked, and U.S. persons are generally prohibited from engaging in transactions with them. Additionally, any entities 50 percent or more owned by one or more designated persons are also blocked. In addition, financial institutions and other persons that engage in certain transactions or activities with the sanctioned entities and individuals may expose themselves to sanctions or be subject to an enforcement action. Today’s action does not implicate a sanctions nexus to any particular Ransomware-as-a-Service (RaaS) or variant. 本日の指定の結果、米国の司法権の対象となる指定対象者のすべての財産および財産上の利益は封鎖され、米国人はこれらの者との取引に関与することが一般的に禁止されます。また、1人以上の指定人物が50%以上所有する企業も封鎖されます。さらに、制裁対象となっている企業や個人と特定の取引や活動を行った金融機関やその他の者は、制裁の対象となったり、強制措置の対象となったりする可能性があります。なお、本日の措置は、特定のRansomware-as-a-Service(RaaS)やその亜種と制裁との関連性を示唆するものではありません。
FINCEN RELEASES UPDATED ADVISORY ON RANSOMWARE AND THE USE OF THE FINANCIAL SYSTEM TO FACILITATE RANSOM PAYMENTS FinCEN、ランサムウェアと身代金支払いのための金融システムの利用に関する最新の勧告を発表
In addition, the Financial Crimes Enforcement Network (FinCEN) is releasing an update today to its 2020 Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments. The updated Advisory reflects information released by FinCEN in its Financial Trend Analysis Report discussing ransomware trends, issued on October 15, 2021, and includes information on current trends and typologies of ransomware and associated payments as well as recent examples of ransomware incidents. The updated Advisory also sets out financial red flag indicators of ransomware-related illicit activity to assist financial institutions, including virtual currency service providers, in identifying and reporting suspicious transactions associated with ransomware payments, consistent with their obligations under the Bank Secrecy Act. また、金融犯罪取締ネットワーク(FinCEN)は、2020年版の「ランサムウェアと身代金支払いを容易にするための金融システムの利用に関する勧告」の更新版を本日発表しました。更新されたAdvisoryは、2021年10月15日に発行されたランサムウェアの動向を論じたFinCENのFinancial Trend Analysis Reportで発表された情報を反映しており、ランサムウェアとそれに関連する支払いの現在の傾向と類型、およびランサムウェアの最近のインシデントの例に関する情報が含まれています。また、本アドバイザリでは、仮想通貨サービスプロバイダーを含む金融機関が、銀行機密法に基づく義務と整合性を取りながら、ランサムウェアによる支払いに関連する疑わしい取引を特定し、報告する際に役立つ、ランサムウェアに関連する不正行為の財務上のレッドフラッグ指標を示しています。
Click here to view identifying information on the individuals and entities designated today. 本日指定された個人および団体の識別情報の参照先
Click here to view FinCEN’s Updated Advisory on Ransomware and the Use of the Financial System to Facilitate Ransom Payments. ランサムウェアと身代金支払いを促進するための金融システムの利用に関するFinCENの最新アドバイザリの参照先
FOR MORE INFORMATION ON RANSOMWARE ランサムウェアに関する詳しい情報は
Please visit StopRansomware.gov, a one-stop resource for individuals and organizations of all sizes to reduce their risk of ransomware incidents and improve their cybersecurity resilience. This webpage brings together tools and resources from multiple federal government agencies under one online platform. Learn more about how ransomware works, how to protect yourself, how to report an incident, and how to request technical assistance. StopRansomware.govは、あらゆる規模の個人や組織がランサムウェアのインシデントのリスクを低減し、サイバーセキュリティの回復力を向上させるためのワンストップリソースです。このWebページでは、複数の連邦政府機関が提供するツールやリソースを1つのオンラインプラットフォームにまとめています。ランサムウェアの仕組み、自分を守る方法、インシデントの報告方法、技術支援の依頼方法などについて詳しくご紹介しています。

 

Fig1_20211113060901


参照

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

過去のランサムウェアに関するこのブログの記事をまとめています。。。↓

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

 

| | Comments (0)

2021.11.12

Interpol 最近のサイバー関係の発表(7つ)

こんにちは、丸山満彦です。

インターポールはサイバー犯罪対策について力をいれていますが、ランサムウェア関係では成果もでてきていますね。。。この1ヶ月の発表を記載しておきます。。。

 

Interpol

・2021.11.11 Innovation to beat cybercrime acceleration the theme of 2021 Europol-INTERPOL Cybercrime Conference

・2021.11.08 Joint global ransomware operation sees arrests and criminal network dismantled

・2021.11.05 INTERPOL-led operation takes down prolific cybercrime ring

・2021.10.28 Increasing cybercrime threats focus of INTERPOL’s regional policing dialogue

・2021.10.21 INTERPOL report identifies top cyberthreats in Africa

・2021.10.04 Keeping cybercriminals out: #JustOneClick can make all the difference

・2021.10.04 Ransomware gang arrested in Ukraine

 

2552553474_transparenttruevaluelogopngin

 

サイバー犯罪のページもあります。。。

Cyber Crime

 

内容はこちら。。。

 

Continue reading "Interpol 最近のサイバー関係の発表(7つ)"

| | Comments (0)

米国 White House ハリス副大統領が宇宙とサイバーセキュリティに関する取り組みを発表(マカロン仏大統領との会談を受けて)

こんにちは、丸山満彦です。

米国のハリス副大統領がフランスのマカロン大統領と会談をし、それを受けて、宇宙とサイバーセキュリティに関する取り組みを発表していますね。

サイバーセキュリティに関しては、2018年11月に発表されたサイバースペースにおける信頼と安全のためのパリコール (Paris Call For trust and security in cyberspace) に米国も参加することを発表しています。

これは、米国の国益を守るためには同盟国と協調して進めるのがよいというバイデン大統領の方針に基づくものですね。。。なお、このパリコールには、国としてはロシアは入っていませんが、ロシア企業は3社入っています。ちなみに、日本は国として参加していますが、企業としては、DeNAが参加していますね。。。

White House

・2021.11.10 FACT SHEET: Vice President Harris Announces Initiatives on Space and Cybersecurity

FACT SHEET: Vice President Harris Announces Initiatives on Space and Cybersecurity FACT SHEET:ハリス副大統領、宇宙とサイバーセキュリティに関する取り組みを発表
STATEMENTS AND RELEASES 声明と発表
Following her meeting with President Emmanuel Macron of France, Vice President Kamala Harris is announcing a number of collaborative initiatives that the United States will undertake alongside France and other countries to address global issues and emerging threats. She is announcing expanded cooperation on space and support for efforts to advance international cooperation in cybersecurity.  These initiatives underscore the U.S. commitment to work with allies and partners to take on the challenges of the 21st century. カマラ・ハリス副大統領は、フランスのエマニュエル・マクロン大統領との会談を受けて、地球規模の問題や新たな脅威に対処するために、米国がフランスやその他の国々とともに行う数々の共同イニシアチブを発表します。また、宇宙分野での協力の拡大や、サイバーセキュリティ分野での国際協力の推進に向けた支援を発表しています。 これらの取り組みは、米国が同盟国やパートナーと協力して21世紀の課題に取り組んでいくことを明確に示しています。
Space 宇宙
For decades, the United States and France have benefited from robust cooperation in space across our respective civil, commercial, and national security sectors.  Recognizing the growing importance of space in providing benefits to humanity, from tackling climate challenges and enabling human exploration of space and scientific discovery to ensuring sustainable economic development and security, our countries acknowledge the pivotal role international cooperation plays in sustaining the outer space environment so we may maximize the benefits space offers. Based on this shared vision and over 60 years of joint space activities, the United States and France will seek greater cooperation through the following initiatives: 米国とフランスは、何十年にもわたって、民間、商業、国家安全保障の各分野における宇宙分野での強固な協力関係から恩恵を受けてきました。 気候変動問題への取り組み、人類の宇宙探査と科学的発見の実現、持続可能な経済発展と安全保障の確保など、人類に恩恵をもたらす宇宙の重要性が高まっていることを認識している両国は、宇宙がもたらす恩恵を最大限に享受できるよう、宇宙環境を維持するために国際協力が果たす重要な役割を認識している。このような共通のビジョンと60年以上にわたる共同の宇宙活動に基づき、米仏は以下のイニシアティブを通じた協力の拡大を目指します。
Comprehensive Dialogue on Space:  Experts from the National Space Council, the National Security Council, Department of State, Department of Defense, Department of Commerce, Department of Transportation, the Office of the Director of National Intelligence, the National Aeronautics and Space Administration (NASA), the Office of Science and Technology Policy, and other Departments and Agencies as appropriate, together with their French counterparts, will establish a regular bilateral dialogue to ensure a whole-of-government approach to space cooperation.  Together, we will leverage the growing importance of our civil, commercial, and national security space cooperation in order to meet our shared national and foreign policy objectives such as: addressing the climate crisis; expanding the frontiers of space; enhancing the quality of and access to science, technology, engineering and mathematics (STEM) education; consulting on norms, guidelines, principles, and rules for promoting the long-term sustainability of the outer space environment and the security of space activities; and enabling a sustainable space economy that ensures humanity accrues the benefits space has to offer. We committed to an initial emphasis on expanding cooperation to address the climate crisis, including discussions about enhancing the exchange of Earth observation satellite data and joint analysis of climate change risks. 宇宙に関する包括的な対話:国家宇宙会議、国家安全保障会議、国務省、国防総省、商務省、運輸省、国家情報長官室、米国航空宇宙局(NASA)、科学技術政策室、その他必要に応じてその他の省庁の専門家が、フランスのカウンターパートとともに、宇宙協力に対する政府全体のアプローチを確保するために、定期的な二国間対話を確立します。 気候危機への対応、宇宙のフロンティアの拡大、科学・技術・工学・数学(STEM)教育の質とアクセスの向上、宇宙環境の長期的な持続可能性と宇宙活動の安全性を促進するための規範、ガイドライン、原則、ルールに関する協議、人類が宇宙から得られる利益を確実に享受できる持続可能な宇宙経済の実現など、我々が共有する国家政策および外交政策の目的を達成するために、我々は共に、民間、商業、国家安全保障の各分野における宇宙協力の重要性を高めていくことになります。我々は、地球観測衛星データの交換や気候変動リスクの共同分析の強化について議論するなど、気候危機に対処するための協力を拡大することに当初重点を置くことを約束しました。
Space Climate Observatory: Vice President Harris is announcing that the United States is committed to joining the Space Climate Observatory (SCO) and looks forward to working with France’s National Centre for Space Studies (CNES) to finalize the SCO Charter. SCO is intended to sponsor projects that help make data from space accessible to local entities to inform decisions and measures to mitigate and respond to the climate crisis. As Chair of the National Space Council, the Vice President is leading efforts to address the climate crisis by leveraging the nation’s space activities to address the needs of communities, including through building climate resilience, increasing understanding, and preparing responses to climate change.  宇宙気候観測:ハリス副大統領は、米国が宇宙気候観測(SCO)に参加することを表明し、フランスの国立宇宙研究センター(CNES)と協力してSCO憲章を完成させることを期待しています。SCOは、宇宙からのデータを地域の団体が利用できるようにして、気候危機の緩和と対応のための意思決定と対策に役立てるプロジェクトを後援することを目的としています。副大統領は、国家宇宙評議会の議長として、気候変動への耐性を高め、理解を深め、気候変動への対応を準備するなど、国の宇宙活動を活用して地域社会のニーズに応え、気候変動の危機に対処するための取り組みを主導しています。
Cybersecurity サイバーセキュリティ
The United States is committed to working alongside our allies and partners to advance cybersecurity and uphold established global norms in cyberspace. As part of these efforts, France is a vital partner to ensuring security and stability for our people, holding actors that threaten our national and economic security accountable, and setting the rules of the road for the 21st century.    米国は、同盟国やパートナーと協力して、サイバーセキュリティを向上させ、サイバー空間における確立されたグローバルな規範を維持することに努めています。このような取り組みの一環として、フランスは、国民の安全と安定を確保し、国家と経済の安全を脅かす行為者に責任を負わせ、21世紀の道のルールを定めるための重要なパートナーです。  
Paris Call for Trust and Security in Cyberspace: Vice President Harris is announcing the U.S. decision to support the Paris Call for Trust and Security in Cyberspace –a voluntary commitment to work with the international community to advance cybersecurity and preserve the open, interoperable, secure, and reliable Internet. サイバースペースにおける信頼と安全のためのパリコール:ハリス副大統領は、米国が「サイバースペースにおける信頼と安全のためのパリコール」を支持することを決定したことを発表しました。これは、国際社会と協力してサイバーセキュリティを推進し、オープンで相互運用性のある安全で信頼性の高いインターネットを維持するための自発的なコミットメントです。
The United States looks forward to continued partnership with France and other governments, private sector, and civil society around the world to advance and promote norms of responsible behavior in cyberspace.  This includes working with likeminded countries to attribute and hold accountable States that engage in destructive, disruptive, and destabilizing cyber activity. 米国は、フランスをはじめとする世界各国の政府、民間企業、市民社会とのパートナーシップを継続し、サイバースペースにおける責任ある行動の規範を推進していきたいと考えています。 これには、破壊的、破壊的、不安定的なサイバー活動を行う国の責任を追及するために、志を同じくする国々と協力することも含まれます。
The United States’ decision to support the Paris Call reflects the Biden-Harris Administration’s priority to renew and strengthen America’s engagement with the international community on cyber issues. The United States interprets the Paris Call consistent with our existing domestic and international obligations and commitments, including the importance we place on respecting human rights, freedom of expression and privacy. 米国がパリコールを支持する決定をしたのは、サイバー問題に関する米国の国際社会との関わりを新たに強化するというバイデン・ハリス政権の優先事項を反映したものです。米国は、人権、表現の自由、プライバシーの尊重を重視するなど、既存の国内および国際的な義務や公約に沿ってパリコールを解釈しています。
This announcement builds on the United States’ continuing work to improve cybersecurity for our citizens and business, including rallying G7 countries to hold accountable nations that harbor cyber criminals, supporting the update of NATO cyber policy for the first time in seven years, and the recent counter-ransomware engagement with over 30 countries around the world to accelerate international cooperation to combat cybercrime. 今回の発表は、サイバー犯罪者を匿っている国に責任を負わせるためにG7諸国を結集したり、7年ぶりにNATOのサイバー政策を更新することを支持したり、サイバー犯罪に対抗するための国際協力を加速するために世界30カ国以上とランサムウェア対策の協議を行ったりするなど、国民や企業のためにサイバーセキュリティを向上させるための米国の継続的な活動に基づいています。

 

Fig1_20210802074601


関連

サイバースペースにおける信頼と安全のためのパリコール

9つの原則

1. Protect individuals and infrastructure 1. 個人とインフラの保護
2. Protect the Internet 2. インターネットの保護
3. Defend electoral processes 3. 選挙プロセスを守る
4. Defend intellectual property 4. 知的財産の保護
5. Non-proliferation 5. 拡散防止
6. Lifecycle security 6. ライフサイクル・セキュリティ
7. Cyber hygiene 7. サイバー衛生
8. No private hack back 8. プライベートハックバックの禁止
9. International norms 9. 国際規範

 

 

Continue reading "米国 White House ハリス副大統領が宇宙とサイバーセキュリティに関する取り組みを発表(マカロン仏大統領との会談を受けて)"

| | Comments (0)

2021.11.11

欧州評議会 プロファイリングに関する勧告を更新 at 2021.11.03

こんにちは、丸山満彦です。

欧州評議会が、2010年に採択されたプロファイリングに関する勧告を更新していますね。。。

Council of Europe

Council of Europe Data Protection website

Convention 108 and Protocols

・2021.11.03 (News) Data protection: Committee of Ministers updates recommendation on profiling

Data protection: Committee of Ministers updates recommendation on profiling データ保護:閣僚委員会はプロファイリングに関する勧告を更新した
The Committee of Ministers of the Council of Europe has adopted a Recommendation aiming to respond to the radical changes in profiling techniques in the last decade and to the consequent need for additional safeguards to protect personal data and private life of individuals. The text, which updates a previous recommendation on the same topic adopted in 2010, aims to align its provisions with the modernised data protection “Convention 108”, known as “Convention 108+”. The recommendation provides that respect for fundamental rights and freedoms, notably human dignity, privacy, freedom of expression, non-discrimination, social justice, cultural diversity and democracy should be guaranteed in both the public and private sectors during all profiling operations. 欧州評議会の閣僚委員会は、過去10年間におけるプロファイリング技術の急激な変化と、それに伴う個人データおよび個人の私生活を保護するための追加的な保護措置の必要性に対応することを目的とした勧告を採択しました。この勧告は、2010年に採択された同テーマの前回の勧告を更新するもので、その条項を「条約108+」として知られる近代的なデータ保護の「条約108」に合わせることを目的としています。勧告では、基本的な権利と自由、特に人間の尊厳、プライバシー、表現の自由、無差別、社会正義、文化的多様性、民主主義の尊重が、すべてのプロファイリング作業において官民ともに保証されるべきであると規定しています。
The recommendation refers to profiling as any form of automated processing of personal data, including use of machine learning systems, consisting in the use of data to evaluate certain personal aspects relating to an individual, in particular to analyse or predict aspects concerning that person’s performance at work, economic situation, health, personal preferences, interests, reliability, behaviour, location or movements. The Committee of Ministers issues the recommendation considering, among other issues, that profiling techniques can impact individuals by placing them in predetermined categories, very often without their knowledge. This lack of transparency can pose significant risks to human rights, particularly for vulnerable persons, including children. 勧告では、プロファイリングとは、機械学習システムの使用を含むあらゆる形態の個人データの自動処理であり、個人に関連する特定の個人的側面を評価するためにデータを使用すること、特に個人の仕事上のパフォーマンス、経済状況、健康、個人的な好み、利益、信頼性、行動、場所、移動に関する側面を分析または予測することで構成されています。閣僚委員会は、プロファイリング技術が、多くの場合、本人が知らないうちに所定のカテゴリーに分類することで個人に影響を与える可能性があることなどを考慮して、この勧告を発表しました。このような透明性の欠如は、人権、特に子どもを含む弱い立場の人々に重大なリスクをもたらす可能性があります。
The Committee therefore calls on states to promote and make legally binding the use of a “privacy by design” approach during the whole duration of the processing, notably through the use of privacy-enhancing technologies. It also suggests that they take appropriate measures against the development and use of technologies which are aimed, wholly or partly, at the illicit circumvention of technological measures protecting privacy. そこで当委員会は、特にプライバシーを向上させる技術の使用を通じて、処理の全期間において「プライバシー・バイ・デザイン」アプローチの使用を促進し、法的拘束力を持たせることを各国に求めています。また、全体的または部分的に、プライバシーを保護する技術的手段を不正に回避することを目的とした技術の開発および使用に対して、適切な措置を講じることを提案するものです。

 

勧告はこちら。。。



 

附属書の目次的なもの

Appendix to Recommendation CM/Rec(2021)8 勧告CM/Rec(2021)8 附属書
1. Definitions 1. 用語の定義
2. General principles 2. 一般原則
3. Conditions for the processing of personal data in the context of profiling 3. プロファイリングにおける個人データの処理の条件
A. Lawfulness A. 合法性
B. Quality of data and algorithms B. データおよびアルゴリズムの品質
C. Special categories of data C. 特別なカテゴリーのデータ