« November 2021 | Main | January 2022 »

December 2021

2021.12.31

米国 サイバー司令部の2021年

こんにちは、丸山満彦です。

米国のサイバー司令部の一年の振り返りが公表されていますね。。。

  • 2021.01.12 COVID RESPONSE(COVID対応)
  • 2021.04.15 Cyber Operations(サイバー作戦)
  • 2021.07.30 TRAINING WITH PARTNERS(パートナーとの訓練)
  • 2021.11.04 INTEGRATED DETTERENCE(統合的抑止力)
  • 2021.12.03 LARGEST DOD MULTINATIONAL CYBER EXERCISE(国防総省最大の多国間サイバー演習)
  • 2021.11.23 EXCLUSIVE LOOK INTO THE JOINT INTEGRATED CYBER CENTER(共同統合サイバーセンターの取材)

 

U.S. Cyber Command

・2021.12.29 2021: A Year in Review

2021: A Year in Review 2021: 1年を振り返って
Here are some of U.S. Cyber Command’s (CYBERCOM) most impactful moments of 2021: 米国サイバー司令部(CYBERCOM)の2021年の最もインパクトのある瞬間を紹介します。
Over the last year, the cyber security community has encountered new challenges and worked to adapt and respond in innovative ways. Ransomware is no longer considered just criminal activity, but a threat to national defense and infrastructure; deterrence is conducted across multiple domains simultaneously; and the value of cyber defense partnerships across nations is reasserted again and again. 昨年、サイバーセキュリティコミュニティは新たな課題に遭遇し、革新的な方法で適応し対応することに努めました。ランサムウェアはもはや単なる犯罪行為ではなく、国防やインフラへの脅威とみなされ、抑止力は複数の領域で同時に行われ、国家間のサイバー防衛パートナーシップの価値が何度も再確認されています。
COVID RESPONSE COVID対応

This year started with the dissemination of vaccines to essential workers as well as vulnerable populations. Pictured here is U.S. Army Maj. Gen. William J. Hartman, commander of the Cyber National Mission Force, receiving his first dose of the COVID-19 vaccine Jan. 11, 2021. Despite a global pandemic, CYBERCOM still conducted cyber operations vital to the Nation’s defense. Read more about the Command’s early vaccination approach here.
今年は、必要な労働者や社会的弱者にワクチンを配布することから始まりました。 写真は、2021年1月11日、COVID-19ワクチンの初回接種を受けるサイバー国家任務部隊の司令官、ウィリアム・J・ハートマン米陸軍中将。世界的なパンデミックにもかかわらず、CYBERCOMは国家の防衛に不可欠なサイバー作戦を実施しました。同司令部の早期予防接種の取り組みについてはこちらをご覧ください。
CYBER OPERATIONS サイバー作戦
This year also saw a rise in cyber challenges that CYBERCOM rose to meet and overcome through various means, including full-spectrum cyber operations. 本年は、サイバーに関する課題が増加しましたが、サイバコムは、フルスペクトルのサイバー作戦を含む様々な手段を用いてこれを克服しました。
CYBERCOM Commander U.S. Army Gen. Paul M. Nakasone recently highlighted the work both CYBERCOM and the National Security Agency (NSA) have performed against foreign ransomware actors, including conducting successful offensive cyber operations that disrupted their malicious activity. CYBERCOM focuses on the away game, executing operations in foreign spaces against foreign actors. サイバコム司令官のポール・M・ナカソネは、外国のランサムウェアに対抗するためにサイバコムと国家安全保障局(NSA)が行った活動を紹介しました。サイバコムは、海外のアクターに対して海外の空間で作戦を実行するアウェイゲームに重点を置いています。
For example, when Russian intelligence actors compromised a supply chain of cybersecurity vendors to conduct espionage, CYBERCOM deployed an elite defensive cyber unit, called a hunt forward team, to hunt for additional Russian activity. They found and disclosed new malware that was being used to enable malicious cyber activity. That malware was shared with our partners to stop the actors and mitigate the ongoing compromise. These operations were conducted by the Cyber National Mission Force, the Command’s national offensive and defensive cyber unit. Read more about this mission and the benefit of hunt forward operations here. 例えば、ロシアの諜報機関がサイバーセキュリティベンダーのサプライチェーンを侵害してスパイ活動を行った際、サイバコムはハントフォワードチームと呼ばれる精鋭の防御型サイバー部隊を配備し、ロシアのさらなる活動を探しました。その結果、悪意のあるサイバー活動を可能にするために使用されている新しいマルウェアを発見し、公開しました。そのマルウェアをパートナーと共有することで、行為者を阻止し、進行中の侵害を緩和しました。これらの作戦は、司令部の国家的な攻撃・防御のサイバー部隊である「Cyber National Mission Force」によって実施されました。このミッションとハント・フォワード・オペレーションの利点についてはこちらをご覧ください。
TRAINING WITH PARTNERS パートナーとの訓練
As General Nakasone said this year, partnerships are the lifeblood that makes us so different than our adversaries.  The Command has benefited from a historic partnership with the Five Eyes, but there are other partnerships with likeminded nations that we will continue to work. 今年、中曽根元帥が述べたように、パートナーシップは、我々を敵とは大きく異なる存在にするための生命線です。  当司令部は、ファイブアイズとの歴史的なパートナーシップの恩恵を受けていますが、志を同じくする国々とのパートナーシップは他にもあり、今後も継続して取り組んでいきます。
Cyber is a team sport, and training and working along with our partners ensures we know how each of our cyber operations teams would respond in any situation. We accomplish this through CYBERCOM’s bilateral exercise programs. サイバーはチームスポーツであり、パートナーと協力してトレーニングを行うことで、どのような状況でもそれぞれのサイバー作戦チームがどのように対応するかを確実に把握することができます。これを実現するのが、CYBERCOMの二国間演習プログラムです。
Cyber Fort III – With our partners from France’s Cyber Defense Forces, cyber defenders from the two countries exercised with more than 70 participants, 400 simulated users, 450 simulated networks and subnets, and 1,000 different simulated systems. Cyber Fort III」:フランスのサイバー防衛軍をパートナーに迎え、70人以上の参加者、400人の模擬ユーザー、450の模擬ネットワークとサブネット、1,000の異なる模擬システムを使って、両国のサイバーディフェンダーが演習を行いました。
Cyber Dome VI – Brought our partners from the Israel Defense Forces’ Joint Cyber Defense Directorate (JCDD) for a hands-on-keyboard defensive cloud-based training exercise. The exercise brought together joint defensive cyber operators from the two countries and involved more than 75 participants. サイバードームVI - イスラエル国防軍の統合サイバー防衛局(JCDD)からパートナーを招き、クラウドを利用したハンズオンキーボードによる防御訓練を行いました。この演習には、両国の共同防衛サイバーオペレーターが参加し、75名以上の参加者が集まりました。
Both bilateral exercises simulate the relevant tactics, techniques, and procedures of advanced persistent threats that we confront both today and in the future. 両国間の演習では、現在と将来の両方で直面する高度な持続的脅威の関連する戦術、技術、手順をシミュレートしています。
Read more about Cyber Fort III here. Cyber Fort IIIの詳細はこちら。
INTEGRATED DETTERENCE 統合抑止力
Integrated Deterrence is a key aspect of our Nation’s success in the era of strategic competition. Strategic competition is alive and well in cyberspace, and the Command does its part every single day via persistent engagement efforts. How does CYBERCOM stay persistently engaged in multi-domain and multi-capable operations? One example is by sending a U.S. Air Force Cyber Protection Team to defend vital networks on a B-1 Lancer during a U.S. Strategic Command and U.S. European Command strategic deterrence mission. Cyber defense is one part of integrated strategic deterrence, achieved by denying any malicious cyber actor access to critical platforms like the B-1 Lancer.  Read more here. 統合抑止力は、戦略的競争の時代に我が国が成功するための重要な要素です。戦略的競争はサイバースペースにおいても健在であり、サイバ-コムは持続的な交戦活動を通じて、日々その役割を果たしています。サイバ-コムはどのようにしてマルチドメイン、マルチキャパシティの作戦に持続的に関与しているのでしょうか。その一例として、米戦略軍と米欧州軍の戦略的抑止ミッションにおいて、米空軍のサイバー・プロテクション・チームを派遣し、B-1ランサーの重要なネットワークを防御しています。サイバー防衛は統合的な戦略的抑止力の一部であり、悪意のあるサイバーアクターがB-1ランサーのような重要なプラットフォームにアクセスすることを拒否することで達成されます。  詳しくはこちらをご覧ください。
LARGEST DOD MULTINATIONAL CYBER EXERCISE 国防総省最大の多国間サイバー演習
Pictured here are two Estonian defensive cyber operators, wearing the insignia of the Estonian Defence Forces’ Cyber and Information Operations Centre, testing their skills and ability to detect enemy presence, expel it, and identify solutions to harden simulated networks during CYBERCOM’s CYBER FLAG 21-1 exercise. More than 200 cyber operators from 23 countries participated in the Department of Defense’s largest multinational cyber exercise, designed to help us bolster our collective defense against cyber-attacks targeting critical infrastructure and key resources. Defensive cyber teams from Canada, Denmark, Estonia, France, Germany, Lithuania, Norway, the Netherlands, Poland, Sweden, the United Kingdom and others participated in CYBER FLAG 21-1 using CYBERCOM’s real-time virtual training environment. Read more about this exercise here. 写真は、サイバコムの「CYBER FLAG 21-1」演習において、エストニア国防軍のサイバー・情報オペレーションセンターの記章をつけた2人のエストニア人防衛サイバーオペレーターが、敵の存在を検知し、それを排除し、模擬ネットワークを強化するためのソリューションを特定するスキルと能力をテストしているところです。23カ国から200人以上のサイバーオペレーターが参加した国防総省最大の多国籍サイバー演習は、重要インフラや主要資源を標的としたサイバー攻撃に対する集団的防御を強化することを目的としています。カナダ、デンマーク、エストニア、フランス、ドイツ、リトアニア、ノルウェー、オランダ、ポーランド、スウェーデン、英国などから参加した防衛サイバーチームは、サイバコムのリアルタイム仮想訓練環境を利用して「CYBER FLAG 21-1」に参加しました。この演習の詳細はこちらをご覧ください。
EXCLUSIVE LOOK INTO THE JOINT INTEGRATED CYBER CENTER 共同統合サイバーセンターを独占取材
We wrapped up the year with our Commander, Gen. Nakasone, who provided ABC News and the public with an exclusive look into our Joint Integrated Cyber Center and insight into how we defend the nation in cyberspace. It was a great opportunity to showcase how CYBERCOM and NSA work with our interagency, industry and international partners. You can view ABC’s special report here. 今年の締めくくりとして、司令官の中曽根元総理は、ABCニュースをはじめとする一般の方々に、当社の統合サイバーセンターを独占的に紹介し、サイバー空間でどのように国家を防衛しているかについて洞察を与えました。サイバーコムとNSAが、省庁間、産業界、国際的なパートナーとどのように協力しているかを紹介する素晴らしい機会となりました。 ABCの特集記事はこちらからご覧いただけます。

 

ABCの取材対応はなかなか新鮮ですね。。。国民のために、国民の税金を使って行っている活動ですから、できる限り国民に公開するという姿勢は重要ですね。。。

 

1200pxseal_of_the_united_states_cyber_co 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.12.07 米国 国防省 23カ国が参加したサイバー防御演習 CYBER FLAG 21-1

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.08.15 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.03.27 米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

ここからは2020年以前...

・2020.12.08 米国サイバーコマンドとオーストラリア国防軍情報戦部門がサイバー訓練プラットフォームの共同開発契約を締結

・2020.12.04 米軍とエストニアが共同作戦を通じてサイバー領域でのパートナーシップを強化

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.09.10 米国サイバー軍司令官&国家安全保障局長官を務める中曽根氏による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事

・2020.08.28 北朝鮮によるサイバー銀行強盗についての警告(BeagleBoyz Robbing Banks)

・2020.06.17 今年の米軍のCyber Flag exerciseは、新しいトレーニング環境で行われる。。。

・2020.05.25 10歳になったUSのCyber Command

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

10年以上前

・2010.05.25 米国防総省 サイバー司令部を設立

・2006.11.06 米空軍 サイバー空間防衛司令部

| | Comments (0)

G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

こんにちは、丸山満彦です。

G7の内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラムが12月15日、16日に開催されたと12月22日に発表されていましたね。。。

  1. 現実的な政策的解決策を見出す

  2. 技術支援に関する提案を行う

  3. 政策協力の推進 

  4. 国民の意識向上

が話し合われたようですね。。。

ランサムウェア攻撃の多く(全部ではない)は金銭的目的であるので、ランサムウェアのエコシステムを破壊することがポイントということですかね。。。

しかもそのエコシステムは国境を超えて広がっているので、各国政府間の連携が重要ということになりますね。。。

そのためには、

  1. 各国におけるランサムウェア攻撃の報告とその報告内容の共有

  2. 身代金が支払われる可能性の低減

が重要なのでしょうね。。。

また、エコシステムを無意味にするという意味で、

  • 暗号通貨から現実の通貨や商品に変換することを防止

することも重要ですね。。。

一方、各組織における対策としては、

  1. 基本的な対策の実施

  2. ベストプラクティスの共有

となるのですが、そのためにはコミュニケーションが重要ですね。。。

 

 

G7 U.K. 2021

・2021.12.22 G7 Interior and Security Ministers – Extraordinary Senior Officials’ Forum on Ransomware

 

G7 Interior and Security Ministers – Extraordinary Senior Officials’ Forum on Ransomware G7内務・安全保障担当大臣 - ランサムウェアに関する臨時上級実務者フォーラムを開催
Chair’s Summary 議長のまとめ
On 15-16 December, in line with the commitment made at the Interior and Security Ministers’ meeting in September 2021, G7 Senior Officials gathered virtually for an Extraordinary Senior Officials’ forum on ransomware, along with representatives from the Council of Europe; European Commission; European Union Agency for Cybersecurity, Europol; Financial Action Task Force; G7 Cyber Expert Group; Global Forum on Cyber Expertise; Interpol and the United Nations Office on Drugs and Crime. This forum builds on the commitment of our leaders to work together to urgently address the escalating shared threat from criminal ransomware networks.  12月15日から16日にかけて、2021年9月の内務・安全保障担当大臣会合での公約に基づき、G7高官は、欧州評議会、欧州委員会、欧州連合サイバーセキュリティ庁、ユーロポール、金融活動作業部会、G7サイバー専門家グループ、サイバー専門家に関するグローバルフォーラム、インターポール、国連薬物犯罪事務所の代表者とともに、ランサムウェアに関する臨時高官フォーラムのために事実上集まりました。今回のフォーラムは、犯罪者のランサムウェアネットワークから増大する共通の脅威に早急に対処するために協力するという、各国首脳のコミットメントに基づいています。 
Ransomware attacks are increasingly common globally and represent one of the most significant, and growing, international cyber threats. Earlier in the year, G7 leaders called on states to identify and disrupt ransomware criminal networks operating from within their borders at pace and hold those networks accountable for their actions.  ランサムウェアによる攻撃は、世界的にますます一般的になっており、国際的なサイバー脅威の中でも最も重大かつ拡大しているものの一つです。今年初め、G7首脳は、各国に対し、自国内で活動しているランサムウェアの犯罪ネットワークを迅速に特定して壊滅させ、それらのネットワークに責任を持たせるよう呼びかけました。 
This forum built on existing initiatives, such as the Counter Ransomware Initiative, and brought together expertise from across the G7 to: 今回のフォーラムでは、「ランサムウェア対策イニシアチブ」などの既存の取り組みをベースに、G7全体から専門家を集め、以下のことを行いました。
find practical policy solutions;  現実的な政策的解決策を見出す。 
develop proposals on technical assistance;  技術支援に関する提案を行う。 
advance policy cooperation; and  政策協力の推進 
raise public awareness. 国民の意識向上
Discussion included the following:  ディスカッションの内容は以下の通りです。 
Threat 脅威
Ransomware represents one of the most significant and growing international cyber threats with serious economic, security and public safety consequences. Ransomware is a complex crime type, with the key threat actors often operating from safe havens, payments made in largely unregulated cryptocurrency, and the acute vulnerability caused by low cyber security standards. Many of the organised crime groups launching ransomware attacks against western targets are based in Russia and nearby states. Most ransomware groups operate a Ransomware as a Service (RaaS) model. This is where the developer of the ransomware ‘rents out’ their ransomware infrastructure to other cyber criminals, known as affiliates, to use in their own attacks. This, in conjunction with the supporting cybercrime marketplace, has enabled less technically skilled cyber criminals to deploy ransomware. RaaS also makes attribution difficult because an attack could have been carried out by the core ransomware group, or by an affiliate who could be based anywhere. Combined, these factors have created an effective and resilient ‘business model’, resulting in an increased number of attackers and greater threat. ランサムウェアは、経済、安全保障、公共の安全に深刻な影響を及ぼす、最も重要かつ成長している国際的なサイバー脅威の一つです。ランサムウェアは複雑な犯罪であり、主要な脅威の主体はしばしば安全な場所で活動し、支払いはほとんど規制されていない暗号通貨で行われ、サイバーセキュリティの水準が低いことによる深刻な脆弱性を抱えています。欧米の標的にランサムウェア攻撃を仕掛ける組織的犯罪グループの多くは、ロシアやその周辺国を拠点としています。ほとんどのランサムウェアグループは、RaaS(Ransomware as a Service)モデルを採用しています。これは、ランサムウェアの開発者が、ランサムウェアのインフラを他のサイバー犯罪者(アフィリエート)に「貸し出し」、自分たちの攻撃に利用させるというものです。これは、サイバー犯罪市場のサポートと相まって、技術的なスキルの低いサイバー犯罪者でもランサムウェアを展開できるようになっています。また、RaaSでは、ランサムウェアの中核となるグループが攻撃を行うこともあれば、どこにでもいるようなアフィリエイトが攻撃を行うこともあるため、帰属が難しくなります。これらの要因が相まって、効果的で弾力性のある「ビジネスモデル」が生み出され、結果として攻撃者の数が増え、脅威が増大しているのです。
Policy Approaches 政策的アプローチ
As a transnational problem, any solution will need to be calibrated in close step between G7 members and international partners. We collectively recognise the need to advance solutions at pace and to take a multi-pronged and multi-sector approach. In addition, we have looked at how we define ‘reporting’ and ‘cyber incidents’ and recognise the need for join-up on sharing information received. Indeed current low reporting rates affect our ability to assist victims, understand the scale of the problem or reduce the likelihood of ransoms being paid. Increasing reporting rates will help inform our knowledge of the threat and assess ways to further disrupt the ransomware criminal business model. This could be by providing better victim support, clear and consistent reporting routes, linking reporting to insurance pay-outs or mandating timely reporting of attacks. Ransomware ransoms are a key part of this business model, so limiting their payment is key to disrupting this. However, we must ensure that we are careful not to inadvertently re-victimise the victim. We have looked at how we can further incentivise reporting and the need for a range of policy interventions to achieve the two outcomes of increasing reporting and reducing payments and will continue to develop our responses.  国境を越えた問題であるため、どのような解決策であっても、G7メンバーと国際的なパートナーが緊密に連携して調整する必要があります。私たちは、解決策を迅速に進め、多方面からのアプローチをとる必要性を認識しています。さらに、我々は「報告」と「サイバーインシデント」をどのように定義するかを検討し、受け取った情報を共有するための連携の必要性を認識しています。実際、現在の低い報告率は、被害者を支援したり、問題の規模を理解したり、身代金が支払われる可能性を減らしたりする能力に影響を与えています。報告率の向上は、脅威に関する知識を深め、ランサムウェアの犯罪的ビジネスモデルをさらに破壊する方法を評価するのに役立ちます。そのためには、被害者へのサポートの充実、明確で一貫性のある報告ルートの提供、報告と保険金の支払いとの連動、攻撃のタイムリーな報告の義務化などが考えられます。ランサムウェアの身代金は、このビジネスモデルの重要な部分を占めており、その支払いを制限することは、このビジネスモデルを崩壊させる鍵となります。しかし、不用意に被害者を再犠牲にすることのないように注意しなければなりません。私たちは、報告の増加と支払いの減少という2つの成果を達成するために、報告のインセンティブをさらに高める方法や、さまざまな政策的介入の必要性を検討し、今後も対応策を検討していきます。 
Cryptocurrency 暗号通貨
The primary motive for ransomware is the prospect of financial gain. Ransomware attackers, if successful, often receive payment in cryptocurrency, which they then seek to launder and “cash out” of the cryptoasset ecosystem. Attackers may also use cryptocurrency to procure goods and services to support their activities. The more the G7 can do, working with the private sector, to minimise the likely financial reward of a ransomware attack, the lesser the incentive for criminals to carry out a ransomware attack.  ランサムウェアの主な動機は、金銭的な利益を得ることです。ランサムウェアの攻撃者は、成功した場合、多くの場合、暗号通貨で支払いを受け、それをロンダリングして、暗号資産のエコシステムから「キャッシュアウト」しようとします。また、攻撃者は自分の活動を支援するための商品やサービスの調達に暗号通貨を使用することもあります。G7が民間部門と協力して、ランサムウェア攻撃の金銭的報酬を最小限に抑えることができれば、犯罪者がランサムウェア攻撃を実行するインセンティブは低下します。 
Resilience and Communications レジリエンスとコミュニケーション
Most cyber incidents, both ransomware and more broadly, can be prevented by following simple and actionable steps. Organisations that do so will improve their cyber resilience. It is a priority for us, as we address the threat from ransomware, to work to ensure sectors and organisations are more secure and resilient to cyber threats. Raising resilience will be a long-term endeavour, requiring public and private sector investment. Going forward our collective challenge will involve ensuring that best practises are implemented more often and by more organisations. Communicating effectively will be a key tool in achieving this. To make a real step-change in raising our resilience we will need to deepen international collaboration on these issues. ランサムウェアに限らず、ほとんどのサイバーインシデントは、簡単で実行可能な手順を踏むことで防ぐことができます。そうすることで、組織はサイバーレジリエンスを向上させることができます。 ランサムウェアの脅威に対処すると同時に、各セクターや組織がサイバー脅威に対してより安全で耐性のある状態になるように努めることが、私たちにとっての優先事項です。レジリエンスの向上には、官民一体となった長期的な取り組みが必要です。 今後、私たちが一丸となって取り組むべき課題は、ベスト・プラクティスをより多くの組織がより頻繁に実施することです。そのためには、効果的なコミュニケーションが重要なツールとなります。私たちのレジリエンスを高める上で真の一歩を踏み出すためには、これらの問題に関する国際的な協力関係を深める必要があります。
Next Steps 次のステップ
The G7 and participating international organisations recognise the need to continue to prioritise collective efforts to reduce the risk of ransomware. Together we identified priority areas for further work which complement the ongoing work of existing initiatives, such as the Counter Ransomware Initiative, to collectively address the threat and deepen our collaboration. G7と参加国際機関は、ランサムウェアのリスクを低減するための共同作業を引き続き優先する必要性を認識しています。我々はランサムウェア対策イニシアチブなどの既存のイニシアティブの継続的な活動を補完するために、今後の活動のための優先分野を特定し、脅威に共同で取り組み、連携を深めました。

 

1_20210917020101

英国政府のウェブページにも掲載されていますね。。。

● U.K. Gov.

・2021.12.24 G7 Interior and Security Senior Officials' meeting on ransomware

・2021.12.24 Chair's summary from the G7 Interior and Security Senior Officials' Extraordinary Forum on Ransomware on 15 and 16 December 2021

 


 

Counter Ransomware Initiative(ランサムウェア対策イニシアチブ)については、、、

● まるちゃんの情報セキュリティきまぐれ日記

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

 

 

| | Comments (0)

中国 ロボット産業発展のための第14次5ヵ年計画

こんにちは、丸山満彦です。

中国 工業情報化部が「ロボット産業発展のための第14次5ヵ年計画 」を発表していますね。。。

工业和信息化部(工業情報化部)

2021.12.28 十五部门关于印发《“十四五”机器人产业发展规划》的通知 工信部联规〔2021〕206号 ロボット産業発展のための「第14次5ヵ年計画」発行に関する15省庁の通知
工業情報化部共同規則[2021]第206号
2021.12.28 《“十四五”机器人产业发展规划》解读
ロボット産業発展のための「第14次5ヵ年計画」の解釈について

 

《“十四五”机器人产业发展规划》解读 ロボット産業発展のための「第14次5ヵ年計画」の解釈について
近日,工业和信息化部、国家发展和改革委员会、科学技术部、公安部、民政部、住房和城乡建设部、农业农村部、国家卫生健康委员会、应急管理部、中国人民银行、国家市场监督管理总局、中国银行保险监督管理委员会、中国证券监督管理委员会、国家国防科技工业局、国家矿山安全监察局等十五部门正式印发《“十四五”机器人产业发展规划》。(下称《规划》),为便于理解《规划》内容,做好贯彻实施工作,现就相关问题解读如下。 最近では、工業情報化省、国家発展改革委員会、科学技術省、公安部、民政部、住宅都市農村開発省、農業農村部、国家医療委員会、危機管理部、中国人民銀行、国家市場監督管理総局、中国銀行保険監督管理委員会、中国証券監督管理委員会、国家国防科学技術産業局、国家鉱山安全監督管理局の15の省庁がロボット産業発展のための「第14次5ヵ年計画」(以下、「本計画」という)を正式に発表しました。本計画の内容の理解を容易にし、業務の遂行に支障をきたさないために、現在、関連する事項について以下のように説明します。

一、《规划》编制背景 1. 計画の背景
机器人被誉为“制造业皇冠顶端的明珠”,其研发、制造、应用是衡量一个国家科技创新和高端制造业水平的重要标志。党中央、国务院高度重视机器人产业发展,将机器人纳入国家科技创新重点领域,大力推动机器人研发创新和产业化应用。“十三五”期间,在多方的共同努力下,我国机器人产业蓬勃发展,产业规模快速增长,技术水平持续提升,集成应用大幅拓展,骨干企业加速壮大,重点产业集群优势逐步显现。但与国外先进水平相比,依然存在技术积累不足、产业基础薄弱、高端供给缺乏等问题。 ロボティクスは「製造業の至宝」と呼ばれ、その研究開発、製造、応用は、その国の技術革新とハイエンド製造レベルの重要なシンボルとなっています。 党中央委員会と国務院は、ロボット産業の発展を非常に重視しており、ロボットを国家科学技術革新の重点分野に組み入れ、ロボットの研究開発イノベーションと産業化応用を強力に推進しています。 「第13次5カ年計画」期間中、多くの関係者の共同努力により、中国のロボット産業は、産業規模の急速な拡大、技術レベルの継続的な向上、統合アプリケーションの大幅な拡大、基幹企業の加速的な成長、重要な産業クラスターの優位性の漸進的な出現など、繁栄を遂げてきました。 しかし、海外の先進レベルと比較すると、技術蓄積の不足、産業基盤の弱さ、ハイエンドの供給不足などの問題が残っています。
当前新一轮科技革命和产业变革加速演进,新一代信息技术、生物技术、新能源、新材料等与机器人技术深度融合,机器人产业迎来升级换代、跨越发展的窗口期。世界主要工业发达国家均将机器人作为抢占科技产业竞争的前沿和焦点,加紧谋划布局。我国已转向高质量发展阶段,建设现代化经济体系,构筑美好生活新图景,迫切需要新兴产业和技术的强力支撑。机器人作为新兴技术的重要载体和现代产业的关键装备,引领产业数字化发展、智能化升级,不断孕育新产业新模式新业态。机器人作为人类生产生活的重要工具和应对人口老龄化的得力助手,持续推动生产水平提高、生活品质提升,有力促进经济社会可持续发展。面对新形势新要求,为推动我国机器人产业迈向中高端,加快实现高质量发展,工业和信息化部会同国家发展和改革委员会、科学技术部等共十五个部门,联合编制了《规划》。 科学技術革命と産業変化の新ラウンドが加速しており、新世代の情報技術、バイオテクノロジー、新エネルギー、新素材などがロボットと深く融合し、ロボット産業はアップグレードと飛躍的発展の窓を開けています。 世界の主要先進国では、ロボットを科学技術産業のフロンティアであり、競争の焦点であると捉え、計画やレイアウトを強化しています。 中国は高品質な発展の段階に移行し、近代的な経済システムを構築し、より良い生活のための新しい絵を構築していますが、そのためには新しい産業や技術の強力なサポートが緊急に必要です。 新技術の重要な担い手であり、現代産業のキーとなる機器であるロボットは、産業のデジタル開発とインテリジェントなアップグレードをリードし、常に新しい産業と新しいモデル、新しいビジネスモデルを生み出しています。 人間の生産や生活のための重要なツールとして、また高齢化社会に対応するための強力なアシスタントとして、ロボットは生産レベルや生活の質の向上を促進し、持続可能な経済・社会の発展に貢献し続けています。 新たな状況、新たな要求に直面し、中国のロボット産業のミドルエンド、ハイエンド化を促進し、高品質な発展の実現を加速するため、工業・情報化省は、国家発展改革委員会、科学技術省、その他計15の部門と共同で本計画をまとめました。
二、《规划》总体思路和目标 2. 本計画の一般的な考え方と目的
当前,机器人产业蓬勃发展,正极大改变着人类生产和生活方式,为经济社会发展注入强劲动能。“十四五”时期是我国开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军的第一个五年。《规划》以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,立足新发展阶段,完整、准确、全面贯彻新发展理念,构建新发展格局,统筹发展和安全,以高端化智能化发展为导向,面向产业转型和消费升级需求,坚持“创新驱动、应用牵引、基础提升、融合发展”,着力突破核心技术,着力夯实产业基础,着力增强有效供给,着力拓展市场应用,提升产业链供应链稳定性和竞争力,持续完善产业发展生态,推动机器人产业高质量发展,为建设制造强国、健康中国,创造美好生活提供有力支撑。 現在、ロボット産業は活況を呈しており、人間の生産や生活のあり方を大きく変え、経済や社会の発展に強い勢いを与えています。 「第14次5カ年計画」期間は、中国が近代的な社会主義国を建設するという新たな旅を始め、第2の100年目標に向かって邁進する最初の5年間です。 計画は、新時代の中国の特色ある社会主義という習近平の思想に導かれ、第19回党大会と第19回全体会議の精神を全面的に実施し、新発展段階に基づき、新発展概念を完全に、正確に、全面的に実施し、新発展パターンを構築し、発展と安全を協調させ、ハイエンドのインテリジェントな発展を志向し、産業の転換と消費者のアップグレードのニーズに直面し、「革新」の原則を堅持します。 新しい開発段階のコンセプトは、完全に、正確に、そして総合的に実施することを基本としています。 この計画は、中国のさまざまな分野の高い品質に基づいています。
《规划》立足我国各领域高质量发展需求和人民向往美好生活的需要,把握机器人产业发展趋势,提出“到2025年,我国成为全球机器人技术创新策源地、高端制造集聚地和集成应用新高地”。并提出了2025年的具体目标:一批机器人核心技术和高端产品取得突破,整机综合指标达到国际先进水平,关键零部件性能和可靠性达到国际同类产品水平;机器人产业营业收入年均增速超过20%;形成一批具有国际竞争力的领军企业及一大批创新能力强、成长性好的专精特新“小巨人”企业,建成3-5个有国际影响力的产业集群;制造业机器人密度实现翻番。 同計画は、中国の各分野における高品質な発展と、より良い生活を求める国民のニーズに基づき、ロボット産業の発展傾向を把握し、「2025年までに、中国は世界のロボット技術革新の源、ハイエンド製造クラスター、統合アプリケーションの新高地となる」と提案しています。 2025年の具体的な目標は、多くのロボットのコア技術とハイエンド製品が躍進し、機械全体の総合指数が国際的な先進レベルに達し、主要部品の性能と信頼性が国際的な同類製品のレベルに達すること、ロボット産業の事業収入の年平均成長率が20%を超えること、国際的な競争力を持つ多くの一流企業と、強い革新能力と良好な成長を持つ多くの特別新興企業が形成されること、などである。 "計画 "では、2035年までに、ロボット産業が以下の目標を達成できるようにすることを提案しています。
《规划》提出到2035年,我国机器人产业综合实力达到国际领先水平,机器人成为经济发展、人民生活、社会治理的重要组成。 この計画では、2035年までに中国のロボット産業の総合力が国際的にもトップレベルに達し、ロボットが経済発展や人々の生活、社会統治の重要な構成要素になることを提案しています。
三、《规划》部署的主要任务 3. 本計画で展開する主なタスク
为推动“十四五”发展目标落实落地,《规划》部署了提高产业创新能力、夯实产业发展基础、增加高端产品供给、拓展应用深度广度、优化产业组织结构等五项主要任务。 第14次5カ年計画」の発展目標の実施を促進するために、産業革新能力の向上、産業発展の基礎固め、ハイエンド製品の供給拡大、アプリケーションの深さと幅の拡大、産業組織の構造の最適化など、5つの主要課題を展開しています。
一是提高产业创新能力。加强核心技术攻关,突破机器人系统开发、操作系统等共性技术,研发仿生感知与认知、生机电融合等前沿技术,推进人工智能、5G、大数据、云计算等新技术与机器人技术的融合应用。建立健全创新体系,推动重点研发机构加强技术研究和成果转化,鼓励骨干企业协同推动软硬件系统标准化和模块化,支持企业加强技术中心建设。 第一は、産業イノベーション能力の向上です。 コア技術の研究開発を強化し、ロボットのシステム開発やOSなどの共通技術を突破し、バイオニック知覚・認知、生体・機械・電気の融合などの先端技術を開発し、人工知能、5G、ビッグデータ、クラウドコンピューティングなどの新技術とロボットの融合・応用を推進します。 健全なイノベーションシステムを確立し、主要な研究開発機関が技術研究と成果の変換を強化することを促進し、基幹企業が協力してソフトウェアとハードウェアシステムの標準化とモジュール化を推進することを奨励し、企業がテクノロジーセンターの建設を強化することを支援します。
二是夯实产业发展基础。补齐专用材料、核心元器件、加工工艺等短板,开发机器人控制软件、核心算法等。建立全国机器人标准化组织,健全机器人标准体系,加快急需标准研究制定及应用,积极参与国际标准化工作。鼓励企业加强试验验证能力建设,增强机器人检测与评定中心检测能力,推进中国机器人认证体系建设。 第二は、産業発展の基盤を固めることです。 特殊素材、コアコンポーネント、加工プロセスの欠点を補い、ロボット制御ソフトやコアアルゴリズムを開発する。 国家ロボット標準化組織を設立し、ロボット標準システムを改善し、必要性の高い標準とその応用の研究開発を加速し、国際標準化作業に積極的に参加します。 企業に対し、試験・検証能力の構築を強化し、ロボット試験・評価センターの試験能力を強化し、中国のロボット認証システムの構築を促進することを奨励します。
三是增加高端产品供给。面向制造业、采矿业、建筑业、农业等行业,以及家庭服务、公共服务、医疗健康、养老助残、特殊环境作业等领域需求,集聚优势资源,重点推进工业机器人、服务机器人、特种机器人重点产品的研制及应用,拓展机器人产品系列,提升性能、质量和安全性,推动产品高端化智能化发展。 第三は、ハイエンド製品の供給拡大です。 製造業、鉱業、建設業、農業などの産業や、家庭サービス、公共サービス、医療・健康、高齢者介護・障害者支援、特殊環境作業などの分野のニーズに応えるために、有利な資源を集め、産業用ロボット、サービス用ロボット、特殊ロボットの開発と応用の促進に注力し、ロボット製品シリーズの拡大、性能・品質・安全性の向上、ハイエンドのインテリジェント製品の開発を推進していきます。
四是拓展应用深度广度。鼓励用户单位和机器人企业、整机企业和零部件企业联合开展技术试验验证。推动机器人系统集成商开发细分领域解决方案。支持搭建应用推广平台,组织产需对接。推进机器人应用场景开发和产品示范推广。加快医疗、养老、电力、矿山、建筑等领域机器人准入标准制订、产品认证或注册,鼓励企业建立产品体验中心。探索建立新型租赁服务平台,发展智能云服务等新型商业模式。 第四は、アプリケーションの深さと幅の拡大です。 ユーザーユニットとロボット企業、完成機企業と部品企業が共同で技術テストと検証を行うことを奨励する。 ニッチな分野でのソリューションを開発するロボットシステムインテグレーターを推進する。 アプリケーション・プロモーション・プラットフォームの構築を支援し、生産と需要のドッキングを整理する。 ロボットの活用シーンの開発や製品のデモンストレーション・プロモーションを推進する。 ヘルスケア、高齢者介護、電力、鉱業、建設などの分野におけるロボットの参入基準や製品認証・登録の開発を加速し、企業が製品体験センターを設立することを奨励する。 新たなレンタルサービスプラットフォームの構築や、インテリジェントクラウドサービスなどの新たなビジネスモデルの開発を模索する。
五是优化产业组织结构。培育壮大优质企业,推动企业成长为具有生态主导力和核心竞争力的领航企业,打造一批专精特新“小巨人”企业和单项冠军企业。推进强链固链稳链,支持产业链上中下游协同创新,加快短板产品的研发、验证和迭代,推动机器人产业链供应链多元化。打造优势特色集群,推动合理区域布局,培育创新能力强、产业环境好的优势集群,支持集群聚焦细分领域塑造特色集群品牌。 第五は、産業組織の最適化です。 質の高い企業を育成・強化し、企業が生態的優位性とコア競争力を備えた一流企業に成長することを促進し、多くの専門的・特殊な「小巨人」企業と単一のチャンピオン企業を創出する。 チェーンの強化と安定化を促進し、産業チェーンの上・中・下層部の共同イノベーションを支援し、ショートカット製品の研究開発・検証・反復を加速し、ロボット産業チェーンのサプライチェーンの多様化を促進する。 特別な特徴を持つ有利なクラスターを作り、合理的な地域レイアウトを推進し、強いイノベーション能力と良好な産業環境を持つ有利なクラスターを育成し、クラスターがニッチな分野に集中して特別なクラスターブランドを形成することを支援します。
四、推动《规划》贯彻实施的保障措施 4. 計画の実施を促進するためのセーフガード対策
为强化贯彻实施,《规划》提出了五项保障措施。 計画の実施を強化するために、計画では5つのセーフガード対策を打ち出しています。
一是强化统筹协调推进。统筹各部门资源和力量,支持产业创新发展。鼓励各地制定针对性政策措施,指导产业健康发展。发挥行业协会、中介组织作用,加强产业动态监测并及时反馈问题建议。 第一は、調整と促進の強化です。 産業の革新的な発展をサポートするために、様々な部門の資源と力を調整する。 産業の健全な発展を導くために、各地域が目標とする政策や措置を策定することを奨励します。 業界団体や中間組織の役割を果たし、業界のダイナミクスのモニタリングを強化し、問題や提案をタイムリーにフィードバックします。
二是加大财税金融支持。加强国家重大科技项目、国家重点研发计划等对机器人研发应用的支持。优化首台(套)重大技术装备保险补偿机制试点工作,发挥政府采购作用,促进机器人创新产品应用。落实好研发费用加计扣除等税收政策。推动各类产业基金投入,支持符合条件的企业上市。鼓励产融合作试点城市加大对机器人企业的投入,引导金融机构创新服务模式。 第二は、財政・金融支援の強化です。 国家の主要な科学技術プロジェクトや国家の重要な研究開発プログラムによるロボットの研究開発と応用への支援を強化します。 最初の(一連の)主要技術設備に対する保険補償メカニズムのパイロット作業を最適化し、革新的なロボット製品の適用を促進するために政府調達の役割を果たします。 研究開発費の控除などの税制上の施策を実施する。 各種産業ファンドの投資を促進し、対象となる企業の上場を支援します。 ロボット企業への投資を増やすために、産業統合のパイロット都市を奨励し、金融機関がサービスモデルを革新するよう指導します。
三是营造良好市场环境。完善行业规范条件,加大实施和采信力度。支持第三方检测认证机构能力建设。加强知识产权保护,加大知识产权侵权行为惩治力度。规范市场招标采购,禁止设立歧视性条款。开展机器人伦理道德和法律法规研究。 第三は、良好な市場環境の構築です。 業界の仕様条件を改善し、導入・採用の取り組みを強化します。 第三者検証・認証機関の能力向上を支援します。 知的財産権の保護を強化し、知的財産権侵害に対する罰則を強化します。 市場での入札・調達を規制し、差別的な条件の設定を禁止します。 ロボットの倫理や法規制に関する調査を行います。
四是健全人才保障体系。支持高校和科研院所培养专业技术和复合型高端人才。推进新工科建设,鼓励校企联合开展产学合作协同育人项目,共建现代产业学院,推行订单培养、现代学徒制等模式,培养产业发展急需人才。实施职业技能提升行动,支持开展企业职工技能提升和转岗转业培训。支持举办各类机器人大赛,加大青少年科普工作力度。 第四は、健全な人材育成システムの改善です。 大学や研究機関が専門的・技術的・複合的なハイエンド人材を育成することを支援します。 新しい工学分野の構築を促進し、学校と企業が共同で産学連携・共同教育プロジェクトを実施することを奨励し、近代工業大学を共同で建設し、オーダートレーニングや近代的な徒弟制度などのモデルを実施し、産業の発展に緊急に必要な人材を育成します。 職業技能向上アクションを実施し、企業の労働者のための技能向上および職業転換トレーニングの開発を支援します。 様々なロボット競技会の開催を支援し、若者に科学を普及させる取り組みを強化します。
五是深化国际交流合作。在技术、标准、检测认证、知识产权、人才培养等领域开展国际交流合作。鼓励国外企业与机构在华设立研发机构、教育培训中心等,支持国内企业在发达国家设立研发机构。充分利用多双边合作机制,推进机器人产品和解决方案“走出去”。 第五は、国際交流・協力の進化です。 技術、規格、試験・認証、知的財産権、人材育成などの分野で、国際的な交流・協力が行われます。 海外の企業や機関が中国に研究開発機関や教育訓練センターなどを設立することを奨励し、国内の企業が先進国に研究開発機関を設立することを支援します。 多国間協力の仕組みを活用し、ロボット製品やソリューションの「外への発信」を促進します。

 

計画本文...

・[PDF] “十四五”机器人产业发展规划 [downloaded]

20211230-72046

目次です。。。

一、现状与形势 1. 現状と状況
二、总体要求 2. 一般要求事項
(一)指导思想 (1) 指導原則
(二)发展目标 (2) 開発目標
三、主要任务 3. 主なタスク
(一)提高产业创新能力 (1) 産業イノベーション能力の向上
(二)夯实产业发展基础 (2) 産業発展の基盤を固める
(三)增加高端产品供给 (3) ハイエンド製品の供給拡大
(四)拓展应用深度广度 (4) アプリケーションの深さと幅の拡大
(五)优化产业组织结构 (5) 産業組織の最適化
四、保障措施 4. セーフガード対策
(一)强化统筹协调推进 (1) 調整と促進の強化
(二)加大财税金融支持 (2) 財政・金融支援の強化
(三)营造良好市场环境 (3) 良好な市場環境の構築
(四)健全人才保障体系 (4) 健全な人材育成システム
(五)深化国际交流合作 (5) 国際交流・協力の深化

 

 ・[DOCX] 仮訳

 

人民日報

2022.12.29 工信部:2035年,机器人成为人民生活重要组成部分 ネットワークセキュリティ・情報化中央委員会が「第14次5ヵ年国家情報化計画」を発表

 

工信部:2035年,机器人成为人民生活重要组成部分 工業情報化部: 2035年までに、ロボットは人々の生活の重要な一部になるだろう
28日,《“十四五”机器人产业发展规划》(以下简称《规划》)发布,工信部举行新闻发布会对其进行了介绍。工信部装备工业一司司长王卫明称,我国已经成为支撑世界机器人产业发展的一支重要力量。 産業・情報技術省は、28日に発表した「ロボット産業発展のための第14次5ヵ年計画」(以下、本計画)を紹介する記者会見を行いました。 工業情報化部機器産業部の王偉明部長は、「中国は世界のロボット産業の発展を支える重要な力になっている」と語りました。
据介绍,我国机器人产业总体规模快速增长,2020年营业收入首次突破1000亿元;技术水平稳步提升,核心部件加速突破,整机性能持续增强;行业应用深入拓展,工业机器人已在国民经济52个行业大类、143个行业中类广泛应用,服务机器人在教育、医疗、农业等领域大显身手,特别是在疫情防控和复工复产过程当中,机器人发挥了重要作用。 それによると、中国のロボット産業の全体的な規模は急速に拡大しており、2020年には事業収益が初めて1,000億元を超え、技術レベルは着実に向上しており、中核部品の躍進が加速し、完成した機械の性能が継続的に向上しています。産業用途は深く拡大しており、産業用ロボットは国民経済の52の産業カテゴリー、143の産業で広く使用されており、サービスロボットは教育、医療、農業などの分野で登場しています。 特に、疫病の予防や制御、仕事や生産の再開の過程では、ロボットが重要な役割を果たしています。
《规划》立足机器人产业高质量发展,从技术、规模、应用、生态等角度提出了未来5年至15年的发展目标,也就是到2025年,我国成为全球机器人技术创新策源地、高端制造集聚地和集成应用新高地。到2035年,我国机器人产业综合实力达到国际领先水平,机器人成为经济发展、人民生活、社会治理的重要组成。 この計画は、ロボット産業の質の高い発展を前提とし、技術、規模、応用、生態の観点から、今後5~15年の発展目標を定めています。すなわち、2025年までに、中国がロボット技術革新の世界的な発信地、ハイエンド製造拠点の集積地、統合的な応用のための新たな高地となることを目指しています。 2035年には、中国のロボット産業の総合力は国際的にも有数のレベルに達し、ロボットは経済発展、人々の生活、社会統治の重要な構成要素となるでしょう。
“到2025年,一批机器人核心技术和高端产品取得突破,整机综合指标达到国际先进水平,关键零部件性能和可靠性达到国际同类产品水平。机器人产业营业收入年均增速超过20%。形成一批具有国际竞争力的领军企业及一大批创新能力强、成长性好的专精特新‘小巨人’企业,建成3个至5个有国际影响力的产业集群。制造业机器人密度实现翻番。”王卫明介绍。 王偉明部長は、「2025年までに、多くのコア・ロボット技術とハイエンド製品が躍進し、機械全体の総合指数が国際的な先進レベルに達し、主要部品の性能と信頼性が類似製品の国際的なレベルに達するでしょう。 ロボット産業の営業利益の年平均成長率は20%を超える。 国際的な競争力を持つ多数の有力企業と、強いイノベーション能力を持ち、良好な成長を遂げている多数の特化した新しい「小さな巨人」企業が形成され、国際的な影響力を持つ3~5の産業クラスターが構築されることになる。 製造業におけるロボットの密度は2倍になる」と述べました。
中国机器人产业联盟执行理事长兼秘书长宋晓刚称,未来机器人应用广泛。例如在特种机器人方面,重点研制水下探测、作业、深海矿产资源开发等水下机器人,安保巡逻、反恐防暴、交通管理、边防管理等安防机器人,消防、应急救援、安全巡检、核工业操作等危险环境作业机器人,检验采样、消毒清洁、辅助巡诊查房、重症护理辅助操作等卫生防疫机器人。 中国ロボット産業アライアンスのエグゼクティブ・ディレクター兼事務局長であるSong Xiaogang氏は、今後のロボットの応用範囲は多岐にわたると述べています。 例えば、特殊ロボットでは、水中探査・作業、深海鉱物資源開発、警備パトロール、反テロ・暴動取締り、交通管理、国境管理などのセキュリティロボット、消防・救急救命、安全検査、原子力産業作業などの危険環境作業ロボット、検査・サンプリング、消毒・洗浄、補助巡回・室内点検、集中治療補助作業などの健康予防ロボットの開発に重点が置かれています。
不过王卫明也指出,与国外先进水平相比,我国机器人产业仍存在着技术积累不足、产业基础薄弱、高端供给缺乏等问题。“比如原创性研究、理论研究、正向设计能力欠缺;关键零部件质量稳定性、可靠性等还不能满足高性能整机的需求;高速、高精、重载等高性能整机产品供给缺乏等。” しかし、王偉明部長は、海外の先進レベルと比較して、中国のロボット産業はまだ技術の蓄積が不十分で、産業基盤が弱く、ハイエンドの供給が不足しているとも指摘しています。 「例えば、独創的な研究、理論的な研究、積極的な設計能力が不足していること、主要部品の品質安定性、信頼性などが高性能完成機のニーズを満たすことができていないこと、高速、高精度、ヘビーデューティーなどの高性能完成機の製品供給が不足していることなどが挙げられる。」
针对我国机器人产业的不足,王卫明称,“十四五”时期为加快提升机器人产业基础能力,《规划》从三个方面作出相关部署。一是补齐产业发展短板。重点补齐专用材料、核心元器件、加工工艺等短板,提升机器人关键零部件的功能、性能和可靠性;开发机器人控制软件、核心算法等,提高机器人控制系统的功能和智能化水平。 中国のロボット産業の欠点を受けて、王維明部長は、「第14次5カ年計画」期間中にロボット産業の基礎能力の向上を加速するために、3つの側面から「計画」を関連して展開すると述べました。 第一に、産業発展の欠点の補完です。 具体的には、特殊素材やコア部品、加工技術の欠点を補い、ロボットの主要部品の機能・性能・信頼性を向上させることや、ロボット制御ソフトウェアやコアアルゴリズムを開発し、ロボット制御システムの機能・知能を向上させることなどが挙げられます。
二是加强标准体系建设。建立全国机器人标准化组织,发挥国家技术标准创新基地(机器人)的技术标准创新作用,持续推进机器人标准化工作;健全机器人标准体系,加快急需标准研究制定,加强标准应用推广;积极参与国际标准化工作。 第二に、標準システムの構築強化です。 国家ロボット標準化組織を設立し、国家技術標準革新基地(ロボット)の技術標準革新の役割を果たし、ロボット標準化を継続的に推進する;ロボット標準システムを改善し、必要性の高い標準の研究開発を加速し、標準の適用と普及を強化する;国際標準化作業に積極的に参加します。
三是提升检测认证能力。鼓励企业加强试验验证能力建设,强化产品检测,提高质量与可靠性;增强机器人检测与评定中心检测能力,满足企业检测认证服务需求;推进中国机器人认证体系建设。 第三に、検査・認証機能の強化です。 企業に対し、試験・検証能力の構築、製品試験の強化、品質・信頼性の向上を促し、ロボット試験・評価センターの試験能力を強化して企業の試験・認証サービスのニーズに応え、中国のロボット認証システムの構築を促進します。 

 

| | Comments (0)

2021.12.30

総務省 デジタル時代における住民基本台帳制度のあり方に関する検討会報告書

こんにちは、丸山満彦です。

総務省が、「デジタル時代における住民基本台帳制度のあり方に関する検討会報告書」を公表していますね。。。

  1. 住民記録システムの標準化と業務改革のあり方
  2. 住民基本台帳ネットワークシステムのあり方
  3. デジタル技術を活用した届出のあり方

の3つのテーマについて、検討をしてきていますね。。。

住民の利便性の向上の観点、行政(国、自治体等)の業務効率の向上の観点、他のステークホルダーの利便性の向上といくつか観点があると思いますが、どのような仕方が最適なのかというのは、定量的に求めることはできないので、議論をして納得していくしかないのではないかと思います。。。

 

● 総務省

デジタル時代における住民基本台帳制度のあり方に関する検討会

・2021.12.28 [PDF] 報告書

20211229-192752

目次

はじめに

1.住民記録システムの標準化と業務改革のあり方
(1)地方公共団体の情報システムの標準化と業務改革
(2)地方公共団体によるガバメントクラウドの利用
(3)ガバメントクラウド上の地方公共団体のデータの国及び他の地方公共団体による参照

2.住民基本台帳ネットワークシステムのあり方
(1)住基ネットの意義・仕組み・各主体の役割
 ① 住基ネットの意義
 ② 住基ネットの仕組み
 ③ 都道府県の役割
 ④ 市町村の役割

(2)今後の住基ネットのあり方
 ① ネットワーク構成
 (ⅰ)全国サーバのあり方
 (ⅱ)都道府県サーバのあり方
 (ⅲ)CS のあり方
 ② 情報提供機能の強化
 ③ 住基ネットで提供・連携する情報
 (ⅰ)世帯情報の取扱い
 (ⅱ)DV 等被害者支援措置に係る情報の取扱い
 ④ 本人確認情報の提供記録等のオンライン確認の仕組み

3.デジタル技術を活用した届出のあり方
(1)住民基本台帳制度の意義
(2)転入届・転居届のオンライン化
(3)転入届・転居届のオンライン化と他制度との関係
(4)転出届の取扱い

おわりに

参考資料1(構成員名簿)
参考資料2(検討スケジュール)
参考資料3(住民基本台帳制度の概要)
参考資料4(住民基本台帳と市町村の他の行政分野との連携)
参考資料5(住基ネットの概要)
参考資料6(住基ネットの役割)
参考資料7(住基ネットの法制度上の整理)
参考資料8(住基ネット最高裁判決(H20.3.6)を踏まえたマイナンバー制度の設計)
参考資料9(住基法別表ごとの住基ネット利用事務・提供件数(R2 年度))
参考資料 10(マイナンバー制度を支える住基ネット)
参考資料 11(住基ネットの回線構成図)
参考資料 12(住基ネットの各サーバの主な役割・機能)
参考資料 13(住基ネットにおける都道府県の役割)
参考資料 14(住基ネットにおける市町村の役割)
参考資料 15(住基ネットのネットワーク構成の検討の方向性)
参考資料 16(住基ネットにおけるプッシュ型の情報提供(案))
参考資料 17(住基ネット・住民基本台帳・住民記録システムで管理されている情報)
参考資料 18(マイナンバー法別表第2に掲げる事務のうち世帯情報を利用している主な事務)
参考資料 19(世帯情報の確認方法(日本年金機構の例))
参考資料 20(住民基本台帳事務における DV 等被害者支援措置の概要)
参考資料 21(虚偽の住民異動届出の事例等)
参考資料 22(住民基本台帳の情報を基に行われている主な行政事務)
参考資料 23(転入届等を仮にオンライン化する場合の居住実態の確認方法)
参考資料 24(転入届・転居届の際に併せて住民が行っている手続の例)
参考資料 25(転出届の沿革)
参考資料 26(転出・転入手続のワンストップ化)
参考資料 27(住民の転出を契機として行われている手続・事務)
参考資料 28(住民基本台帳法の制定・改正経緯)



 

 

 

| | Comments (0)

防衛省と三菱電機が2019年に発生した不正アクセス事件についての発表をしていますね。。。

こんにちは、丸山満彦です。

三菱電機が「不正アクセスによる個人情報と企業機密の流出可能性について(第4報)」を、防衛省が「三菱電機株式会社に対する不正アクセスによる安全保障上の影響に関する調査結果について」について発表していますね。。。

 

● 防衛省

・2021.12.24 [PDF] 三菱電機株式会社に対する不正アクセスによる安全保障上の影響に関する調査結果について  [downloaded]

20211229-172010

 

● 三菱電機

20211229-174202

・2021.12.24 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第4報) [downloaded]

・2020.02.12 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第3報) [downloaded]

・2020.02.10 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について(第2報) [downloaded]

・2020.01.20 [PDF] 不正アクセスによる個人情報と企業機密の流出可能性について  [downloaded]



 

| | Comments (0)

2021.12.29

米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

こんにちは、丸山満彦です。

バイデン大統領が2022年国権授権法にサインをしましたね。。。この法律毎年あるのですが、400万単語を超える長い〜い法律です。。。

サイバーに関連するセクションだけでもかなりの分量です。。。

White House

・2021.12.27 Statement by the President on S. 1605, the National Defense Authorization Act for Fiscal Year 2022

 

Fig1_20210802074601

 

Congress.GOV

S.1605 - National Defense Authorization Act for Fiscal Year 2022

 

サイバー関連のタイトルXV。。。

TITLE XV--CYBERSPACE-RELATED MATTERS タイトルXV:サイバースペース関連事項
Subtitle A--Matters Related to Cyber Operations and Cyber Forces サブタイトルA:サイバー作戦とサイバー部隊に関連する事項
Sec. 1501. Development of taxonomy of cyber capabilities. Sec. 1501. サイバー能力の分類法の開発
Sec. 1502. Extension of sunset for pilot program on regional cybersecurity training center for the Army National Guard. Sec. 1502. 陸軍州兵のための地域サイバーセキュリティトレーニングセンターのパイロットプログラムの終了を延長する
Sec. 1503. Modification of the Principal Cyber Advisor. Sec. 1503. 主任サイバーアドバイザーの変更
Sec. 1504.Evaluation of Department of Defense cyber governance. Sec. 1504. 国防総省のサイバーガバナンスの評価
Sec. 1505. Operational technology and mission-relevant terrain in cyberspace. Sec. 1505. サイバースペースにおける運用技術と任務に関連する地形
Sec. 1506. Matters concerning cyber personnel requirements. Sec. 1506. サイバー人材の要件に関する事項
Sec. 1507. Assignment of certain budget control responsibilities to commander of United States Cyber Command. Sec. 1507. 米国サイバー司令部の司令官への予算管理責任の割り当て
Sec. 1508. Coordination between United States Cyber Command and private sector. Sec. 1508. 米国サイバー司令部と民間企業との間の調整
Sec. 1509. Assessment of cyber posture and operational assumptions and development of targeting strategies and supporting capabilities. Sec. 1509. サイバー攻撃態勢と作戦前提の評価、標的戦略と支援能力の開発
Sec. 1510. Assessing capabilities to counter adversary use of ransomware, capabilities, and infrastructure. Sec. 1510. 敵のランサムウェア使用、能力、インフラに対抗する能力の評価
Sec. 1511. Comparative analysis of cybersecurity capabilities. Sec. 1511. サイバーセキュリティ能力の比較分析
Sec. 1512. Eligibility of owners and operators of critical infrastructure to receive certain Department of Defense support and services. Sec. 1512. 重要インフラの所有者と運営者が国防総省の支援とサービスを受ける資格
Sec. 1513. Report on potential Department of Defense support and assistance for increasing the awareness of the Cybersecurity and Infrastructure Security Agency of cyber threats and vulnerabilities affecting critical infrastructure. Sec. 1513. 重要インフラに影響を与えるサイバー脅威と脆弱性について、サイバーセキュリティ・インフラセキュリティ庁の認識を高めるための国防総省の支援の可能性についての報告
Subtitle B--Matters Related to Department of Defense Cybersecurity and  Information Technology サブタイトルB:国防総省のサイバーセキュリティと情報技術に関連する事項
Sec. 1521. Enterprise-wide procurement of cyber data products and services. Sec. 1521. サイバーデータ製品・サービスの全社的調達
Sec. 1522. Legacy information technologies and systems accountability. Sec. 1522. レガシー情報技術とシステムの説明責任
Sec. 1523. Update relating to responsibilities of Chief Information Officer. Sec. 1523. 最高情報責任者(CIO)の責任についての更新
Sec. 1524. Protective Domain Name System within the Department of Defense. Sec. 1524. 国防総省内の保護ドメイン名システム
Sec. 1525. Cybersecurity of weapon systems. Sec. 1525. 兵器システムのサイバーセキュリティ
Sec. 1526. Assessment of controlled unclassified information program. Sec. 1526. 管理された未分類情報プログラムの評価
Sec. 1527. Cyber data management. Sec. 1527. サイバーデータ管理
Sec. 1528. Zero trust strategy, principles, model architecture, and implementation plans. Sec. 1528. ゼロトラスト戦略、原則、モデルアーキテクチャ、および実施計画
Sec. 1529. Demonstration program for automated security validation tools. Sec. 1529. 自動セキュリティ検証ツールの実証プログラム
Sec. 1530. Improvements to consortium of universities to advise Secretary of Defense on cybersecurity matters. Sec. 1530. 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムの改善
Sec. 1531. Digital development infrastructure plan and working group. Sec. 1531. デジタル開発インフラ計画および作業部会
Sec. 1532. Study regarding establishment within the Department of Defense of a designated central program office to oversee academic engagement programs relating to establishing cyber talent across the Department. Sec. 1532. 国防総省内にサイバー人材の育成に関する学術的なプログラムを統括する中央プログラムオフィスを設置することに関する研究
Sec. 1533. Report on the Cybersecurity Maturity Model Certification program. Sec. 1533. サイバーセキュリティーマチュリティモデル認証プログラムに関する報告書
Sec. 1534. Deadline for reports on assessment of cyber resiliency of nuclear command and control system. Sec. 1534. 核指揮統制システムのサイバー復元力の評価に関する報告書の期限
Subtitle C--Matters Related to Federal Cybersecurity サブタイトルC:連邦政府のサイバーセキュリティに関する事項
Sec. 1541. Capabilities of the Cybersecurity and Infrastructure Security Agency to identify threats to industrial control systems. Sec. 1541. 産業用制御システムへの脅威を特定するためのサイバーセキュリティ・インフラセキュリティ庁の能力
Sec. 1542. Cybersecurity vulnerabilities. Sec. 1542. サイバーセキュリティの脆弱性
Sec. 1543. Report on cybersecurity vulnerabilities. Sec. 1543. サイバーセキュリティの脆弱性に関する報告
Sec. 1544. Competition relating to cybersecurity vulnerabilities. Sec. 1544. サイバーセキュリティの脆弱性に関する競争
Sec. 1545. Strategy. Sec. 1545. 戦略
Sec. 1546. Cyber incident response plan. Sec. 1546. サイバーインシデント対応計画
Sec. 1547. National cyber exercise program. Sec. 1547. 国家サイバー演習プログラム
Sec. 1548. CyberSentry program of the Cybersecurity and Infrastructure Security Agency. Sec. 1548. サイバーセキュリティ・インフラセキュリティ庁のCyberSentryプログラム
Sec. 1549. Strategic assessment relating to innovation of information systems and cybersecurity threats. Sec. 1549. 情報システムの革新とサイバーセキュリティの脅威に関する戦略的評価
Sec. 1550. Pilot program on public-private partnerships with internet ecosystem companies to detect and disrupt adversary cyber operations. Sec. 1550. 敵国のサイバー活動を検知・妨害するためのインターネットエコシステム企業との官民パートナーシップに関するパイロットプログラム
Sec. 1551. United States-Israel cybersecurity cooperation. Sec. 1551. 米国とイスラエルのサイバーセキュリティ協力
Sec. 1552. Authority for National Cyber Director to accept details on nonreimbursable basis. Sec. 1552. 国家サイバー長官が、払い戻しのない詳細な情報を受け取る権限

 


国防授権法に関連している書き込み。。。

● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.03 米国 米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書

・2021.09.22 NIST SP 800-50 Rev.1 (ドラフト)  ドラフト作成前のコメント募集:サイバーセキュリティとプライバシーに関する意識向上とトレーニングプログラムの構築

・2021.09.21 国務省OIG 国務省のセキュリティ・クリアランス・データを国家情報長官室に報告するプロセスには改善が必要

・2021.08.16 サイバースペース・ソラリウム委員会が2021年実施報告書を公表していますね。。。

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

・2021.05.16 U.S. FBI & CISA 国内テロリズムに関する戦略的情報評価とデータ

・2021.05.10 米国連邦政府 人工知能イニシアティブ

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.01.14 重要な情報の棚卸しは必要だが、そのリストをどのように伝達する?

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.07.25 米国連邦議会 2021年度の国防授権法が下院で可決しましたね。。。

 


条文も含めると、、、(ほぼ機械翻訳のままです。。。)

TITLE XV--CYBERSPACE-RELATED MATTERS タイトルXV:サイバースペース関連事項
Subtitle A--Matters Related to Cyber Operations and Cyber Forces サブタイトルA:サイバー作戦とサイバー部隊に関連する事項
Sec. 1501. Development of taxonomy of cyber capabilities. Sec. 1501. サイバー能力の分類法の開発
Sec. 1502. Extension of sunset for pilot program on regional cybersecurity training center for the Army National Guard. Sec. 1502. 陸軍州兵のための地域サイバーセキュリティトレーニングセンターのパイロットプログラムの終了を延長する
Sec. 1503. Modification of the Principal Cyber Advisor. Sec. 1503. 主任サイバーアドバイザーの変更
Sec. 1504.Evaluation of Department of Defense cyber governance. Sec. 1504. 国防総省のサイバーガバナンスの評価
Sec. 1505. Operational technology and mission-relevant terrain in cyberspace. Sec. 1505. サイバースペースにおける運用技術と任務に関連する地形
Sec. 1506. Matters concerning cyber personnel requirements. Sec. 1506. サイバー人材の要件に関する事項
Sec. 1507. Assignment of certain budget control responsibilities to commander of United States Cyber Command. Sec. 1507. 米国サイバー司令部の司令官への予算管理責任の割り当て
Sec. 1508. Coordination between United States Cyber Command and private sector. Sec. 1508. 米国サイバー司令部と民間企業との間の調整
Sec. 1509. Assessment of cyber posture and operational assumptions and development of targeting strategies and supporting capabilities. Sec. 1509. サイバー攻撃態勢と作戦前提の評価、標的戦略と支援能力の開発
Sec. 1510. Assessing capabilities to counter adversary use of ransomware, capabilities, and infrastructure. Sec. 1510. 敵のランサムウェア使用、能力、インフラに対抗する能力の評価
Sec. 1511. Comparative analysis of cybersecurity capabilities. Sec. 1511. サイバーセキュリティ能力の比較分析
Sec. 1512. Eligibility of owners and operators of critical infrastructure to receive certain Department of Defense support and services. Sec. 1512. 重要インフラの所有者と運営者が国防総省の支援とサービスを受ける資格
Sec. 1513. Report on potential Department of Defense support and assistance for increasing the awareness of the Cybersecurity and Infrastructure Security Agency of cyber threats and vulnerabilities affecting critical infrastructure. Sec. 1513. 重要インフラに影響を与えるサイバー脅威と脆弱性について、サイバーセキュリティ・インフラセキュリティ庁の認識を高めるための国防総省の支援の可能性についての報告
Subtitle B--Matters Related to Department of Defense Cybersecurity and  Information Technology サブタイトルB:国防総省のサイバーセキュリティと情報技術に関連する事項
Sec. 1521. Enterprise-wide procurement of cyber data products and services. Sec. 1521. サイバーデータ製品・サービスの全社的調達
Sec. 1522. Legacy information technologies and systems accountability. Sec. 1522. レガシー情報技術とシステムの説明責任
Sec. 1523. Update relating to responsibilities of Chief Information Officer. Sec. 1523. 最高情報責任者(CIO)の責任についての更新
Sec. 1524. Protective Domain Name System within the Department of Defense. Sec. 1524. 国防総省内の保護ドメイン名システム
Sec. 1525. Cybersecurity of weapon systems. Sec. 1525. 兵器システムのサイバーセキュリティ
Sec. 1526. Assessment of controlled unclassified information program. Sec. 1526. 管理された未分類情報プログラムの評価
Sec. 1527. Cyber data management. Sec. 1527. サイバーデータ管理
Sec. 1528. Zero trust strategy, principles, model architecture, and implementation plans. Sec. 1528. ゼロトラスト戦略、原則、モデルアーキテクチャ、および実施計画
Sec. 1529. Demonstration program for automated security validation tools. Sec. 1529. 自動セキュリティ検証ツールの実証プログラム
Sec. 1530. Improvements to consortium of universities to advise Secretary of Defense on cybersecurity matters. Sec. 1530. 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムの改善
Sec. 1531. Digital development infrastructure plan and working group. Sec. 1531. デジタル開発インフラ計画および作業部会
Sec. 1532. Study regarding establishment within the Department of Defense of a designated central program office to oversee academic engagement programs relating to establishing cyber talent across the Department. Sec. 1532. 国防総省内にサイバー人材の育成に関する学術的なプログラムを統括する中央プログラムオフィスを設置することに関する研究
Sec. 1533. Report on the Cybersecurity Maturity Model Certification program. Sec. 1533. サイバーセキュリティーマチュリティモデル認証プログラムに関する報告書
Sec. 1534. Deadline for reports on assessment of cyber resiliency of nuclear command and control system. Sec. 1534. 核指揮統制システムのサイバー復元力の評価に関する報告書の期限
Subtitle C--Matters Related to Federal Cybersecurity サブタイトルC:連邦政府のサイバーセキュリティに関する事項
Sec. 1541. Capabilities of the Cybersecurity and Infrastructure Security Agency to identify threats to industrial control systems. Sec. 1541. 産業用制御システムへの脅威を特定するためのサイバーセキュリティ・インフラセキュリティ庁の能力
Sec. 1542. Cybersecurity vulnerabilities. Sec. 1542. サイバーセキュリティの脆弱性
Sec. 1543. Report on cybersecurity vulnerabilities. Sec. 1543. サイバーセキュリティの脆弱性に関する報告
Sec. 1544. Competition relating to cybersecurity vulnerabilities. Sec. 1544. サイバーセキュリティの脆弱性に関する競争
Sec. 1545. Strategy. Sec. 1545. 戦略
Sec. 1546. Cyber incident response plan. Sec. 1546. サイバーインシデント対応計画
Sec. 1547. National cyber exercise program. Sec. 1547. 国家サイバー演習プログラム
Sec. 1548. CyberSentry program of the Cybersecurity and Infrastructure Security Agency. Sec. 1548. サイバーセキュリティ・インフラセキュリティ庁のCyberSentryプログラム
Sec. 1549. Strategic assessment relating to innovation of information systems and cybersecurity threats. Sec. 1549. 情報システムの革新とサイバーセキュリティの脅威に関する戦略的評価
Sec. 1550. Pilot program on public-private partnerships with internet ecosystem companies to detect and disrupt adversary cyber operations. Sec. 1550. 敵国のサイバー活動を検知・妨害するためのインターネットエコシステム企業との官民パートナーシップに関するパイロットプログラム
Sec. 1551. United States-Israel cybersecurity cooperation. Sec. 1551. 米国とイスラエルのサイバーセキュリティ協力
Sec. 1552. Authority for National Cyber Director to accept details on nonreimbursable basis. Sec. 1552. 国家サイバー長官が、払い戻しのない詳細な情報を受け取る権限
   
Subtitle A--Matters Related to Cyber Operations and Cyber Forces サブタイトルA:サイバー作戦とサイバー部隊に関連する事項
SEC. 1501. DEVELOPMENT OF TAXONOMY OF CYBER CAPABILITIES. Sec. 1501. サイバー能力の分類法の開発
(a) In General.--Not later than 180 days after the date of the enactment of this Act, the Secretary of Defense shall develop a taxonomy of cyber capabilities, including software, hardware, middleware, code, other information technology, and accesses, designed for use in cyber effects operations. (a) 一般的に...--この法律が制定された日から180日以内に、国防長官はソフトウェア、ハードウェア、ミドルウェア、コード、その他の情報技術、アクセスを含むサイバー能力の分類法を開発しなければならない。
(b) Report.-- (b) 報告。
(1) In general.--Not later than 30 days after the development of the taxonomy of cyber capabilities required under subsection (a), the Secretary of Defense shall submit to the congressional defense committees a report regarding such taxonomy. (1) 国防長官は、(a)項で要求されるサイバー能力の分類法の開発後30日以内に、議会の防衛委員会に当該分類法に関する報告書を提出しなければならない。
(2) Elements.--The report required under paragraph (1) shall include the following: (2) 第1項の報告書には、以下の項目が含まれる。
(A) The definitions associated with each category contained within the taxonomy of cyber capabilities developed pursuant to subsection (a). (A) (a)項に従って作成されたサイバー能力の分類法に含まれる各カテゴリーに関連する定義。
(B) Recommendations for improved reporting mechanisms to Congress regarding such taxonomy of cyber capabilities, using amounts from the Cyberspace Activities Budget of the Department of Defense. (B)国防総省のサイバースペース活動予算を利用して、当該サイバー能力分類法に関する議会への報告メカニズムを改善するための提言。
(C) Recommendations for modifications to the notification requirement under section 396 of title 10, United States Code, in order that such notifications would include information relating to such taxonomy of cyber capabilities, including with respect to both physical and nonphysical cyber effects. (C)物理的および非物理的なサイバー効果に関する情報を含む、サイバー能力の分類に関連する情報を通知するための、米国コード第10編第396条に基づく通知要件の修正に関する提言。
(D) Any other elements the Secretary determines appropriate. (D) 長官が適切と判断するその他の要素。
SEC. 1502. EXTENSION OF SUNSET FOR PILOT PROGRAM ON REGIONAL CYBERSECURITY TRAINING CENTER FOR THE ARMY NATIONAL GUARD. Sec. 1502. 陸軍州兵のための地域サイバーセキュリティトレーニングセンターのパイロットプログラムの終了を延長する
 Section 1651(e) of the John S. McCain National Defense Authorization Act for Fiscal Year 2019 (Public Law 115-232; 32 U.S.C. 501 note) is amended by striking ``2022'' and inserting ``2024''.  2019年度ジョン・S・マケイン国防権限法(Public Law 115-232; 32 U.S.C. 501 note)の第1651(e)項は、「2022年」を削除し、「2024年」を挿入することで修正される。
SEC. 1503. MODIFICATION OF THE PRINCIPAL CYBER ADVISOR. Sec. 1503. 主任サイバーアドバイザーの変更
(a) In General.--Paragraph (1) of section 932(c) of the National Defense Authorization Act for Fiscal Year 2014 (Public Law 113-66; 10 U.S.C. 2224 note) is amended to read as follows: (a) 2014年会計年度国防権限法(Public Law 113-66; 10 U.S.C. 2224 note)の第932条(c)のパラグラフ(1)を以下のように修正する。
``(1) Designation.--(A) The Secretary shall designate, from among the personnel of the Office of the Under Secretary of Defense for Policy, a Principal Cyber Advisor to act as the principal advisor to the Secretary on military cyber forces and activities. ''(1) 名称:(A) 長官は、政策担当国防次官室の職員の中から、軍のサイバー戦力と活動に関する長官の主要アドバイザーとして、主席サイバーアドバイザーを指名する。
``(B) The Secretary may only designate an official under this paragraph if such official was appointed to the position in which such official serves by and with the advice and consent of the Senate.''. ''(B) 長官は、当該職員が上院の助言と同意を得て任命された場合にのみ、このパラグラフの下で当該職員を指名することができる」と述べた。
(b) Designation of Deputy Principal Cyber Advisor.--Section 905(a)(1) of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 391 note) is amended by striking ``Office of the Secretary of Defense'' and inserting ``Office of the Under Secretary of Defense for Policy''. (b) 2020年会計年度国防権限法(Public Law 116-92; 10 U.S.C. 391 note)の第905条(a)(1)は、「国防長官室」を削除し、「政策担当国防次官室」を挿入することで修正される。
(c) Briefing.--Not later than 90 days after the date of the enactment of this Act, the Deputy Secretary of Defense shall brief the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on such recommendations as the Deputy Secretary may have for alternate reporting structures for the Principal Cyber Advisor and the Deputy Principal Cyber Advisor within the Office of the Under Secretary for Policy. (c) 国防副長官は、上院軍事委員会と下院軍事委員会に対し、政策担当事務次官室の主席サイバー顧問と副主席サイバー顧問の別の報告体制について、副長官が提案する事項を説明する。
SEC. 1504. EVALUATION OF DEPARTMENT OF DEFENSE CYBER GOVERNANCE. Sec. 1504. 国防総省のサイバーガバナンスの評価
(a) In General.--Not later than 180 days after the date of the enactment of this Act, the Secretary of Defense shall complete an evaluation and review of the Department of Defense's current cyber governance construct. (a) 本法制定後180日以内に、国防長官は国防省の現在のサイバーガバナンス構造の評価と見直しを完了しなければならない。
(b) Scope.--The evaluation and review conducted pursuant to subsection (a) shall-- (b) 範囲 -- サブセクション(a)に従って実施される評価とレビューは、以下の通りである。
(1) assess the performance of the Department of Defense in carrying out the pillars of the cyber strategy and lines of efforts established in the most recent cyber posture review, including-- (1) 最新のサイバー態勢レビューで確立されたサイバー戦略の柱と努力のラインを実行する上での国防総省のパフォーマンスを評価すること、これには以下が含まれる。
(A) conducting military cyberspace operations of offensive, defensive, and protective natures; (A)攻撃的、防御的、保護的な性質の軍事サイバースペース作戦を実施すること。
(B) securely operating technologies associated with information networks, industrial control systems, operational technologies, weapon systems, and weapon platforms; and (B) 情報ネットワーク、産業制御システム、運用技術、兵器システム、兵器プラットフォームに関連する技術を安全に運用する。
(C) enabling, encouraging, and supporting the security of international, industrial, and academic partners; (C)国際的、産業的、学術的パートナーのセキュリティを可能にし、奨励し、支援する。
(2) analyze and assess the current institutional constructs across the Office of the Secretary of Defense, Joint Staff, military services, and combatant commands involved with and responsible for the execution of and civilian oversight for the responsibilities specified in paragraph (1); (2) 国防長官室、統合幕僚監部、軍部、戦闘司令部における、(1)で指定された責任の遂行と文民の監督に関わる現在の制度的構造を分析・評価する。
(3) analyze and assess the delineation of responsibilities within the current institutional construct within the Office of the Secretary of Defense for addressing the objectives of the 2018 Department of Defense Cyber Strategy and any superseding strategies, as well as identifying potential seams in responsibility; (3) 2018年国防総省サイバー戦略およびそれに代わる戦略の目的に取り組むための、国防総省長官室内の現在の組織構造における責任の明確化を分析・評価するとともに、責任の継ぎ目となる可能性を特定すること。
(4) examine the Department's policy, legislative, and regulatory regimes related to cyberspace and cybersecurity matters, including the 2018 Department of Defense Cyber Strategy and any superseding strategies, for sufficiency in carrying out the responsibilities specified in paragraph (1); (4) 2018年国防総省サイバー戦略およびそれに続く戦略を含む、サイバースペースおよびサイバーセキュリティ関連の国防総省の政策、立法、規制体制について、第1項で指定された責任を遂行する上で十分かどうかを検討すること。
(5) examine the Office of the Secretary of Defense's current alignment for the integration and coordination of cyberspace activities with other aspects of information operations, including information warfare and electromagnetic spectrum operations; (5) サイバースペース活動を、情報戦や電磁スペクトル作戦を含む情報作戦の他の側面と統合・調整するための、国防長官室の現在の体制を検証する。
(6) examine the current roles and responsibilities of each Principal Staff Assistant to the Secretary of Defense as such relate to the responsibilities specified in paragraph (1), and identify redundancy, duplication, or matters requiring deconfliction or clarification; (6) 第1項の責任に関連した、各国防長官主席補佐官の現在の役割と責任を調査し、重複している部分や、矛盾の解消や明確化が必要な事項を特定する。
(7) evaluate and, as appropriate, implement relevant managerial innovation from the private sector in the management of complex missions, including enhanced cross-functional teaming; (7) 機能横断的なチーム編成の強化を含め、複雑なミッションの管理に関連する民間企業の経営革新を評価し、必要に応じて実施すること。
(8) evaluate the state of collaboration among each Principal Staff Assistant in matters related to acquisition of cyber capabilities and other enabling technologies supporting the responsibilities specified in paragraph (1); (8) 第1項の責任を支えるサイバー能力やその他の実現技術の獲得に関連する事項について、各主席補佐官間の連携状況を評価する。
(9) analyze and assess the Department's performance in and posture for building and retaining the requisite workforce necessary to perform the responsibilities specified in paragraph (1); (9)第1項の責任を果たすために必要な人材の育成・確保に関する省庁の実績と態勢を分析・評価すること。
(10) determine optimal governance structures related to the management and advancement of the Department's cyber workforce, including those structures defined under and evaluated pursuant to section 1649 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92) and section 1726 of the National Defense Authorization Act for Fiscal Year 2021 (Public Law 116-283); (10) 2020年会計年度国防権限法第1649条(公法116-92)および2021年会計年度国防権限法第1726条(公法116-283)の下で定義され、これらに基づいて評価された構造を含め、省のサイバー人材の管理および向上に関連する最適なガバナンス構造を決定する。)
(11) develop policy and legislative recommendations, as appropriate, to delineate and deconflict the roles and responsibilities of United States Cyber Command in defending and protecting the Department of Defense Information Network (DoDIN), with the responsibility of the Chief Information Officer, the Defense Information Systems Agency, and the military services to securely operate technologies described in paragraph (1)(B); (11) 国防総省情報ネットワーク(DoDIN)を防御・保護する米国サイバー司令部の役割・責任と、(1)(B)項に記載された技術を安全に運用する最高情報責任者、国防情報システム庁、軍部の責任とを明確にし、対立させないための政策・立法上の提言を適切に行う。
(12) develop policy and legislative recommendations to enhance the authority of the Chief Information Officers within the military services, specifically as such relates to executive and budgetary control over matters related to such services' information technology security, acquisition, and value; (12) 軍務内の最高情報責任者の権限を強化するための政策および立法上の提言を行う。
(13) develop policy and legislative recommendations, as appropriate, for optimizing the institutional constructs across the Office of the Secretary of Defense, Joint Staff, military services, and combatant commands involved with and responsible for the responsibilities specified in paragraph (1); and (13) 必要に応じて、国防長官室、統合幕僚監部、軍部、および第1項で指定された責任に関与し、責任を負う戦闘司令部全体の制度的構成を最適化するための政策および立法上の提言を行う。
(14) make recommendations for any legislation determined appropriate. (14) 適切と判断されるいかなる法律に対しても勧告を行うこと。
(c) Interim Briefings.--Not later than 90 days after the commencement of the evaluation and review conducted pursuant to subsection (a) and every 30 days thereafter, the Secretary of Defense shall brief the congressional defense committees on interim findings of such evaluation and review. (c) 国防長官は、(a)項に従って実施された評価・見直しの開始後90日以内に、またその後30日ごとに、議会の防衛委員会に対し、当該評価・見直しの中間的な結果について説明する。
(d) Report.--Not later than 30 days after the completion of the evaluation and review conducted pursuant to subsection (a), the Secretary of Defense shall submit to the congressional defense committees a report on such evaluation and review. (d) 国防長官は、(a)項に基づいて行われた評価・審査の終了後30日以内に、議会の防衛委員会に当該評価・審査に関する報告書を提出する。
SEC. 1505. OPERATIONAL TECHNOLOGY AND MISSION-RELEVANT TERRAIN IN CYBERSPACE. Sec. 1505. サイバースペースにおける作戦技術と任務関連領域
(a) Mission-relevant Terrain.--Not later than January 1, 2025, the Secretary of Defense shall complete mapping of mission-relevant terrain in cyberspace for Defense Critical Assets and Task Critical Assets at sufficient granularity to enable mission thread analysis and situational awareness, including required-- (a) ミッション関連地形--2025年1月1日までに、国防長官は、防衛重要資産および任務重要資産のサイバー空間におけるミッション関連地形のマッピングを、ミッション・スレッド分析および状況認識を可能にするのに十分な粒度で完了しなければならず、これには以下が含まれる。
(1) decomposition of missions reliant on such Assets; (1) 当該資産に依存するミッションの分解。
(2) identification of access vectors; (2) アクセス・ベクターの特定。
(3) internal and external dependencies; (3) 内部および外部への依存関係
(4) topology of networks and network segments; (4) ネットワークおよびネットワークセグメントのトポロジー。
(5) cybersecurity defenses across information and operational technology on such Assets; and (5) 当該資産上の情報及び運用技術に関するサイバーセキュリティの防御策。
(6) identification of associated or reliant weapon systems. (6) 関連または依存する兵器システムの特定。
(b) Combatant Command Responsibilities.--Not later than January 1, 2024, the Commanders of United States European Command, United States Indo-Pacific Command, United States Northern Command, United States Strategic Command, United States Space Command, United States Transportation Command, and other relevant Commands, in coordination with the Commander of United States Cyber Command, in order to enable effective mission thread analysis, cyber situational awareness, and effective cyber defense of Defense Critical Assets and Task Critical Assets under their control or in their areas of responsibility, shall develop, institute, and make necessary modifications to-- (b) 遅くとも2024年1月1日までに、米国欧州司令部、米国インド太平洋司令部、米国北部司令部、米国戦略司令部、米国宇宙司令部、米国輸送司令部、およびその他の関連司令部の司令官は、米国サイバー司令部の司令官と連携して、自己の管理下にある、または自己の責任範囲内にある国防重要資産および業務重要資産の効果的なミッション・スレッド分析、サイバー状況認識、および効果的なサイバー防御を可能にするために、以下のことを開発、導入、および必要な変更を行わなければならない。
(1) internal combatant command processes, responsibilities, and functions; (1) 戦闘部隊の内部プロセス、責任、機能。
(2) coordination with service components under their operational control, United States Cyber Command, Joint Forces Headquarters-Department of Defense Information Network, and the service cyber components; (2)作戦統制下にあるサービス・コンポーネント、米国サイバー・コマンド、統合部隊本部-国防省情報ネットワーク、およびサービス・サイバー・コンポーネントとの調整。
(3) combatant command headquarters' situational awareness posture to ensure an appropriate level of cyber situational awareness of the forces, facilities, installations, bases, critical infrastructure, and weapon systems under their control or in their areas of responsibility, including, in particular, Defense Critical Assets and Task Critical Assets; and (3) 特に防衛重要資産および任務重要資産を含む、その管理下にある、またはその責任領域にある部隊、施設、設備、基地、重要インフラ、および兵器システムの適切なレベルのサイバー状況認識を確保するための、戦闘指揮本部の状況認識態勢。
(4) documentation of their mission-relevant terrain in cyberspace. (4) サイバースペースにおける任務に関連する地形の文書化。
(c) Department of Defense Chief Information Officer Responsibilities.-- (c) 国防総省の最高情報責任者の責任--。
(1) In general.--Not later than November 1, 2023, the Chief Information Officer of the Department of Defense shall establish or make necessary changes to policy, control systems standards, risk management framework and authority to operate policies, and cybersecurity reference architectures to provide baseline cybersecurity requirements for operational technology in forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network. (1) 一般的に -- 遅くとも2023年11月1日までに、国防総省の最高情報責任者は、国防総省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、兵器システムの運用技術に対する基本的なサイバーセキュリティ要件を提供するために、政策、制御システム標準、リスク管理フレームワーク、運用権限政策、サイバーセキュリティ参照アーキテクチャを確立し、または必要な変更を行う。
(2) Implementation of policies.--The Chief Information Officer of the Department of Defense shall leverage acquisition guidance, concerted assessment of the Department's operational technology enterprise, and coordination with the military department principal cyber advisors and chief information officers to drive necessary change and implementation of relevant policy across the Department's forces, facilities, installations, bases, critical infrastructure, and weapon systems. (2) 政策の実施 -- 国防総省の最高情報責任者は、取得ガイダンス、国防総省の運用技術企業の協調的評価、軍部の主要サイバーアドバイザーおよび最高情報責任者との調整を活用して、国防総省の部隊、施設、設置、基地、重要インフラ、兵器システム全体で必要な変更と関連政策の実施を推進する。
(3) Additional responsibilities.--The Chief Information Officer of the Department of Defense shall ensure that policies, control systems standards, and cybersecurity reference architectures-- (3) 国防総省の最高情報責任者(CIO)は、政策、制御システム標準、およびサイバーセキュリティ参照アーキテクチャが以下のようになるようにしなければならない。
(A) are implementable by components of the Department; (A) 国防総省の各部局が実施可能であること。
(B) limit adversaries' ability to reach or manipulate control systems through cyberspace; (B)サイバースペースを通じて制御システムに到達したり操作したりする敵対者の能力を制限する。
(C) appropriately balance non-connectivity and monitoring requirements; (C)非接続性と監視要件のバランスを適切にとる。
(D) include data collection and flow requirements; (D) データ収集とフローの要件を含む。
(E) interoperate with and are informed by the operational community's workflows for defense of information and operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department; (E) 省内の部隊、施設、設備、基地、重要インフラ、兵器システムにおける情報および運用技術の防御のための運用コミュニティのワークフローと相互運用し、その情報を得る。
(F) integrate and interoperate with Department mission assurance construct; and (F) 省庁のミッション保証体制と統合し、相互運用する。
(G) are implemented with respect to Defense Critical Assets and Task Critical Assets. (G) 防衛重要資産およびタスク重要資産に関して実施される。
(d) United States Cyber Command Operational Responsibilities.--Not later than January 1, 2025, the Commander of United States Cyber Command shall make necessary modifications to the mission, scope, and posture of Joint Forces Headquarters-Department of Defense Information Network to ensure that Joint Forces Headquarters-- (d) 遅くとも2025年1月1日までに、米国サイバーコマンドの司令官は、国防省情報ネットワーク統合本部の任務、範囲、態勢に必要な変更を加え、統合本部が以下のことを確実にしなければならない。
(1) has appropriate visibility of operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network, including, in particular, Defense Critical Assets and Task Critical Assets; (1) 国防省情報ネットワーク上の部隊、施設、設備、基地、重要インフラ、兵器システム(特に国防重要資産とタスク重要資産を含む)における運用技術の適切な可視性を有すること。
(2) can effectively command and control forces to defend such operational technology; and (2) そのような運用技術を守るために、部隊を効果的に指揮・統制できること。
(3) has established processes for-- (3) 以下のプロセスを確立していること。
(A) incident and compliance reporting; (A) インシデントおよびコンプライアンスの報告。
(B) ensuring compliance with Department of Defense cybersecurity policy; and (B)国防総省のサイバーセキュリティ政策の遵守を確保する。
(C) ensuring that cyber vulnerabilities, attack vectors, and security violations, including, in particular, those specific to Defense Critical Assets and Task Critical Assets, are appropriately managed. (C)サイバー脆弱性、攻撃ベクトル、セキュリティ違反(特に、国防重要資産とタスク重要資産に特有のものを含む)が適切に管理されていることを確認する。
(e) United States Cyber Command Functional Responsibilities.--Not later than January 1, 2025, the Commander of United States Cyber Command shall-- (e) 遅くとも2025年1月1日までには、米国サイバー司令部の司令官は以下を行う。
(1) ensure in its role of Joint Forces Trainer for the Cyberspace Operations Forces that operational technology cyber defense is appropriately incorporated into training for the Cyberspace Operations Forces; (1) サイバースペース作戦部隊の統合訓練官としての役割において、作戦技術によるサイバー防衛がサイバースペース作戦部隊の訓練に適切に組み込まれていることを確認する。
(2) delineate the specific force composition requirements within the Cyberspace Operations Forces for specialized cyber defense of operational technology, including the number, size, scale, and responsibilities of defined Cyber Operations Forces elements; (2) 運用技術のサイバー防衛に特化したサイバー作戦部隊内の具体的な部隊構成要件を、定義されたサイバー作戦部隊の要素の数、規模、規模、責任などを含めて明確にすること。
(3) develop and maintain, or support the development and maintenance of, a joint training curriculum for operational technology-focused Cyberspace Operations Forces; (3) 運用技術に特化したサイバー空間作戦部隊のための共同訓練カリキュラムを開発・維持、またはその開発・維持を支援すること。
(4) support the Chief Information Officer of the Department of Defense as the Department's senior official for the cybersecurity of operational technology under this section; (4) 本項に基づき、運用技術のサイバーセキュリティに関する国防総省の上級官僚として、国防総省の最高情報責任者を支援すること。
(5) develop and institutionalize, or support the development and institutionalization of, tradecraft for defense of operational technology across local defenders, cybersecurity service providers, cyber protection teams, and service-controlled forces; (5) 地域の防衛者、サイバーセキュリティサービスプロバイダー、サイバー防護チーム、および軍務管理下の部隊を横断して、運用技術の防衛のための技術を開発し、制度化すること、またはその開発と制度化を支援すること。
(6) develop and institutionalize integrated concepts of operation, operational workflows, and cybersecurity architectures for defense of information and operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network, including, in particular, Defense Critical Assets and Task Critical Assets, including-- (6) 特に防衛重要資産およびタスク重要資産を含む、国防総省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、兵器システムにおける情報および運用技術の防衛のための、統合された運用コンセプト、運用ワークフロー、およびサイバーセキュリティ・アーキテクチャを開発し、制度化する。
(A) deliberate and strategic sensoring of such Network and Assets; (A) 当該ネットワークおよび資産の意図的かつ戦略的なセンサーリング。
(B) instituting policies governing connections across and between such Network and Assets; (B) このようなネットワークと資産の間の接続を管理するポリシーを制定すること。
(C) modelling of normal behavior across and between such Network and Assets; (C) 当該ネットワークおよび資産間の正常な動作のモデル化。
(D) engineering data flows across and between such Network and Assets; (D) 当該ネットワーク及び資産間のデータフローのエンジニアリング。
(E) developing local defenders, cybersecurity service providers, cyber protection teams, and service-controlled forces' operational workflows and tactics, techniques, and procedures optimized for the designs, data flows, and policies of such Network and Assets; (E) 当該ネットワーク及び資産の設計、データフロー及びポリシーに最適化された、現地の防衛者、サイバーセキュリティサービスプロバイダー、サイバー保護チーム及びサービス管理軍の運用ワークフロー及び戦術、技術及び手順の開発。
(F) instituting of model defensive cyber operations and Department of Defense Information Network operations tradecraft; and (F) 防御的なサイバー作戦と国防省の情報ネットワーク作戦のモデルを確立すること。
(G) integrating of such operations to ensure interoperability across echelons; and (G)階層を超えた相互運用性を確保するために、これらの作戦を統合すること。
(7) advance the integration of the Department of Defense's mission assurance, cybersecurity compliance, cybersecurity operations, risk management framework, and authority to operate programs and policies. (7) 国防総省のミッション保証、サイバーセキュリティ・コンプライアンス、サイバーセキュリティ運用、リスク管理フレームワーク、運用権限のプログラムとポリシーの統合を進める。
(f) Service Responsibilities.--Not later than January 1, 2025, the Secretaries of the military departments, through the service principal cyber advisors, chief information officers, the service cyber components, and relevant service commands, shall make necessary investments in operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network and the service-controlled forces responsible for defense of such operational technology to-- (f) 遅くとも2025年1月1日までには、軍部長官は、軍の主要サイバーアドバイザー、最高情報責任者、軍のサイバー部門、関連する軍司令部を通じて、国防総省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、武器システムの運用技術に必要な投資を行い、当該運用技術の防御に責任を持つ軍が以下のことを行わなければならない。
(1) ensure that relevant local network and cybersecurity forces are responsible for defending operational technology across the forces, facilities, installations, bases, critical infrastructure, and weapon systems, including, in particular, Defense Critical Assets and Task Critical Assets; (1) 関連するローカルネットワークおよびサイバーセキュリティ部隊が、特に防衛重要資産およびタスク重要資産を含む、部隊、施設、設置、基地、重要インフラ、および兵器システム全体の運用技術の防御に責任を持つようにすること。
(2) ensure that relevant local operational technology-focused system operators, network and cybersecurity forces, mission defense teams and other service-retained forces, and cyber protection teams are appropriately trained, including through common training and use of cyber ranges, as appropriate, to execute the specific requirements of cybersecurity operations in operational technology; (2) 運用技術に特化した関連地域のシステム運用者、ネットワーク及びサイバーセキュリティ部隊、ミッション防衛チーム及びその他の軍維持部隊、並びにサイバー防護チームが、運用技術におけるサイバーセキュリティ運用の具体的な要件を実行するために、共通訓練や適宜サイバーレンジの使用を含め、適切な訓練を受けていることを確認する。
(3) ensure that all Defense Critical Assets and Task Critical Assets are monitored and defended by Cybersecurity Service Providers; (3) すべての国防重要資産およびタスク重要資産が、サイバーセキュリティ・サービス・プロバイダによって監視および防御されていることを確認すること。
(4) ensure that operational technology is appropriately sensored and appropriate cybersecurity defenses, including technologies associated with the More Situational Awareness for Industrial Control Systems Joint Capability Technology Demonstration, are employed to enable defense of Defense Critical Assets and Task Critical Assets; (4) 運用技術が適切に感知され、産業用制御システムのためのMore Situational Awareness Joint Capability Technology Demonstrationに関連する技術を含む適切なサイバーセキュリティ防御が、国防上の重要資産およびタスククリティカルな資産の防御を可能にするために採用されていることを確認する。
(5) implement Department of Defense Chief Information Officer policy germane to operational technology, including, in particular, with respect to Defense Critical Assets and Task Critical Assets; (5) 特に国防上重要な資産およびタスククリティカルな資産に関するものを含め、運用技術に関連する国防総省の最高情報責任者の方針を実施すること。
(6) plan for, designate, and train dedicated forces to be utilized in operational technology-centric roles across the military services and United States Cyber Command; and (6) 軍部および米国サイバー司令部において、運用技術を中心とした役割に活用される専用部隊を計画し、指定し、訓練すること。
(7) ensure that operational technology, as appropriate, is not easily accessible via the internet and that cybersecurity investments accord with mission risk to and relevant access vectors for Defense Critical Assets and Task Critical Assets. (7) 必要に応じて、運用技術がインターネット経由で容易にアクセスできないようにし、サイバーセキュリティへの投資が、国防上の重要な資産および作業上の重要な資産に対するミッションのリスクおよび関連するアクセスのベクトルに合致するようにする。
(g) Office of the Secretary of Defense Responsibilities.--Not later than January 1, 2023, the Secretary of Defense shall-- (g) 国防長官室の責任 --2023年1月1日までに、国防長官は以下を行う。
(1) assess and finalize Office of the Secretary of Defense components' roles and responsibilities for the cybersecurity of operational technology in the forces, facilities, installations, bases, critical infrastructure, and weapon systems across the Department of Defense Information Network; (1) 国防省情報ネットワーク全体の部隊、施設、設備、基地、重要インフラ、兵器システムにおける運用技術のサイバーセキュリティに関する国防長官室のコンポーネントの役割と責任を評価し、最終的に決定する。
(2) assess the need to establish centralized or dedicated funding for remediation of cybersecurity gaps in operational technology across the Department of Defense Information Network; (2) 国防総省情報ネットワーク全体の運用技術におけるサイバーセキュリティのギャップを是正するために、集中的または専用の資金を確立する必要性を評価すること。
(3) make relevant modifications to the Department of Defense's mission assurance construct, Mission Assurance Coordination Board, and other relevant bodies to drive-- (3) 国防総省のミッション・アシュアランス・コンストラクト、ミッション・アシュアランス・コーディネーション・ボード、およびその他の関連組織に関連する変更を加え、以下を推進する。
(A) prioritization of kinetic and non-kinetic threats to the Department's missions and minimization of mission risk in the Department's war plans; (A) 国防総省のミッションに対する運動的・非運動的脅威の優先順位付けと、国防総省の戦争計画におけるミッション・リスクの最小化。
(B) prioritization of relevant mitigations and investments to harden and assure the Department's missions and minimize mission risk in the Department's war plans; and (B) 部局の任務を強化・保証し、部局の戦争計画におけるミッション・リスクを最小化するための関連緩和策と投資の優先順位付け。
(C) completion of mission relevant terrain mapping of Defense Critical Assets and Task Critical Assets and population of associated assessment and mitigation data in authorized repositories; (C) 国防上重要な資産および作業上重要な資産のミッションに関連する地形マッピングを完了し、関連する評価と緩和のデータを認可されたリポジトリに登録する。
(4) make relevant modifications to the Strategic Cybersecurity Program; and (4) 戦略的サイバーセキュリティプログラムに関連する変更を加える。
(5) drive and provide oversight of the implementation of this section. (5) 本節の実施を推進し、監督する。
(h) Budget Rollout Briefings.-- (h) 予算説明会...
(1) In general.--Beginning not later than 30 days after the date of the enactment of this Act, each of the Secretaries of the military departments, the Commander of United States Cyber Command, and the Chief Information Officer of the Department of Defense shall provide annual updates to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on activities undertaken and progress made to carry out this section. (1) 各軍部長官、米国サイバーコマンド司令官、国防総省最高情報責任者は、上院軍事委員会および下院軍事委員会に対し、本項を遂行するために行われた活動とその進捗状況について、年次報告を行わなければならない。
(2) Annual briefings.--Not later than one year after the date of the enactment of this Act and not less frequently than annually thereafter until January 1, 2024, the Under Secretary of Defense for Policy, the Under Secretary of Defense for Acquisition and Sustainment, the Chief Information Officer, and the Joint Staff J6, representing the combatant commands, shall individually or together provide briefings to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on activities undertaken and progress made to carry out this section. (2) 本法制定日から1年以内に、またその後2024年1月1日までは年1回以上の頻度で、政策担当国防次官、調達・維持担当国防次官、最高情報責任者、および戦闘司令部を代表する統合幕僚監部J6は、個別に、または共同で、上院軍事委員会および下院軍事委員会に対し、本項を遂行するために行われた活動とその進捗状況について説明を行う。
(i) Implementation.-- (i)実施
(1) In general.--In implementing this section, the Secretary of Defense shall prioritize the cybersecurity and cyber defense of Defense Critical Assets and Task Critical Assets and shape cyber investments, policy, operations, and deployments to ensure cybersecurity and cyber defense. (1) 国防長官は、本項を実施するにあたり、国防上重要な資産および任務上重要な資産のサイバーセキュリティおよびサイバー防衛を優先し、サイバーセキュリティおよびサイバー防衛を確保するためのサイバー投資、政策、作戦および配備を策定する。
(2) Application.--This section shall apply to assets owned and operated by the Department of Defense, as well as to applicable non-Department assets essential to the projection, support, and sustainment of military forces and operations worldwide. (2) 本項は、国防総省が所有・運用する資産、および世界中の軍事力や作戦の投射・支援・維持に不可欠な国防総省以外の資産にも適用される。
(j) Definition.--In this section: (j)定義--本節では、以下のように定義する。
(1) Mission-relevant terrain in cyberspace.--``mission-relevant terrain in cyberspace'' has the meaning given such term as specified in Joint Publication 6-0. (1) サイバースペースにおけるミッション関連の地形--「サイバースペースにおけるミッション関連の地形」は、Joint Publication 6-0に明記されている意味を持つ。
(2) Operational technology.--The term ``operational technology'' means control systems or controllers, communication architectures, and user interfaces that monitor or control infrastructure and equipment operating in various environments, such as weapon systems, utility or energy production and distribution, or medical, logistics, nuclear, biological, chemical, or manufacturing facilities. (2) 運用技術 --運用技術とは、兵器システム、ユーティリティやエネルギーの生産・流通、医療・物流・核・生物・化学・製造施設など、様々な環境で稼働するインフラや機器を監視・制御する制御システムやコントローラ、通信アーキテクチャ、ユーザーインターフェースを意味する。
SEC. 1506. MATTERS CONCERNING CYBER PERSONNEL REQUIREMENTS. Sec. 1506. サイバー人材の要件に関する事項
(a) In General.--The Secretary of Defense, acting through the Under Secretary of Defense for Personnel and Readiness and the Chief Information Officer of the Department of Defense, in consultation with Secretaries of the military departments and the head of any other organization or element of the Department the Secretary determines appropriate, shall-- (a) 国防長官は、人事準備担当国防次官および国防総省の最高情報責任者を介して、各軍部の長官および長官が適切と判断する国防総省の他の組織または要素の長と協議しながら、以下を行うものとする。
(1) determine the overall workforce requirement of the Department for cyberspace and information warfare military personnel across the active and reserve components of the Armed Forces (other than the Coast Guard) and for civilian personnel, and in doing so shall-- (1) 軍(沿岸警備隊を除く)の現役・予備役部門全体のサイバー空間・情報戦の軍人と、文官のための、国防総省の全体的な労働力要件を決定し、その際、以下を行う。
(A) consider personnel in positions securing the Department of Defense Information Network and associated enterprise information technology, defense agencies and field activities, and combatant commands, including current billets primarily associated with the Department of Defense Cyber Workforce Framework; (A)主に国防省のサイバー人材フレームワークに関連する現在の職位を含め、国防省情報ネットワークおよび関連する企業情報技術、国防省の機関および現場活動、戦闘司令部を確保する職位の人員を考慮する。
(B) consider the mix between military and civilian personnel, active and reserve components, and the use of the National Guard; (B) 軍人と文官、現役と予備役の組み合わせ、州兵の活用などを検討する。
(C) develop a talent management strategy that covers accessions, training, and education; and (C) 入隊、訓練、教育をカバーする人材管理戦略を策定する。
(D) consider such other elements as the Secretary determines appropriate; (D) 長官が適切と判断するその他の要素を検討する。
(2) assess current and future cyber education curriculum and requirements for military and civilian personnel, including-- (2) 軍人および文官に対する現在および将来のサイバー教育カリキュラムと要求事項を評価する。
(A) acquisition personnel; (A) 購買要員。
(B) accessions and recruits to the military services; (B) 軍隊への加入者および新兵。
(C) cadets and midshipmen at the military service academies and enrolled in the Senior Reserve Officers' Training Corps; (C) 兵役アカデミーの士官候補生とミッドシップマン、および上級予備役訓練隊に登録されている者。
(D) information environment and cyberspace military and civilian personnel; and (D) 情報環境およびサイバースペースの軍人および文官
(E) non-information environment cyberspace military and civilian personnel; (E)非情報環境サイバースペースの軍人および文官。
(3) identify appropriate locations for information warfare and cyber education for military and civilian personnel, including-- (3) 軍人・文官向けの情報戦・サイバー教育の適切な場所を特定する。
(A) the military service academies; (A) 軍の士官学校。
(B) the senior level service schools and intermediate level service schools specified in section 2151(b) of title 10, United States Code; (B) アメリカ合衆国コード10のセクション2151(b)で指定されている上級士官学校と中級士官学校。
(C) the Air Force Institute of Technology; (C) 空軍技術研究所。
(D) the National Defense University; (D) 国防大学。
(E) the Joint Special Operations University; (E) 統合特殊作戦大学
(F) the Command and General Staff Colleges; (F) コマンド・アンド・ジェネラル・スタッフ・カレッジ
(G) the War Colleges; (G) 戦争大学
(H) any military education institution attached to or operating under any institution specified in this paragraph; (H) 本項で指定された機関に付属またはその下で運営されている軍事教育機関。
(I) any other military educational institution of the Department identified by the Secretary for purposes of this section; (I) 本項の目的のために長官が特定した、米軍のその他の軍事教育機関。
(J) the Cyber Centers of Academic Excellence; and (J) 学術的に優れたサイバーセンター。
(K) potential future educational institutions of the Federal Government in accordance with the assessment required under subsection (b); and (K) (b)項に基づき必要とされる評価に従って、将来的に連邦政府の教育機関となる可能性のある機関。
(4) determine-- (4) 以下を決定する。
(A) whether the cyberspace domain mission requires a graduate level professional military education college on par with and distinct from the war colleges for the Army, Navy, and Air Force as in existence on the day before the date of the enactment of this Act; (A) サイバースペース・ドメイン・ミッションが、この法律の制定日の前日に存在していた陸軍、海軍、空軍のウォー・カレッジと同等であり、それとは異なる大学院レベルの専門的軍事教育カレッジを必要とするかどうか。
(B) whether such a college should be joint; and (B) そのような大学を設立すべきかどうか。
(C) where such a college should be located. (C)そのようなカレッジをどこに設置すべきか。
(b) Assessment.--In identifying appropriate locations for information warfare and cyber education for military and civilian personnel at potential future educational institutions of the Federal Government pursuant to subsection (a)(3)(K), the Secretary of Defense, acting through the Under Secretary of Defense for Personnel and Readiness and the Chief Information Officer of the Department of Defense, in consultation with Secretaries of the military departments, the head of any other organization or element of the Department the Secretary determines appropriate, the Secretary of Homeland Security, and the National Cyber Director, shall assess the feasibility and advisability of establishing a National Cyber Academy or similar institute for the purpose of educating and training civilian and military personnel for service in cyber, information, and related fields throughout the Federal Government. (b) 評価... サブセクション(a)(3)(K)に従って、将来の連邦政府の教育機関の候補地で、軍人および文官のための情報戦およびサイバー教育の適切な場所を特定する際に、国防長官は、人事・準備担当国防次官および国防総省の最高情報責任者を通じて行動し、各軍部の長官と協議して、次のことを行う。国防長官は、人事準備担当国防次官および国防総省の最高情報責任者を通じて、各軍部の長官、長官が適切と判断した国防総省の他の組織または部門の長、国土安全保障長官、国家サイバー長官と協議し、連邦政府全体でサイバー、情報、および関連分野で働く文民および軍人を教育・訓練する目的で、国家サイバー・アカデミーまたは同様の機関を設立することの実現可能性と有益性を評価する。
(c) Reports Required.-- (c) 必要とされる報告--。
(1) Education.--Not later than November 1, 2022, the Secretary of Defense shall provide the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a briefing and, not later than January 1, 2023, the Secretary shall submit to such committees a report, on-- (1) 遅くとも2022年11月1日までに、国防長官は上院軍事委員会および下院軍事委員会に対し、以下の内容のブリーフィングを行い、遅くとも2023年1月1日までに、これらの委員会に報告書を提出しなければならない。
(A) talent strategy to satisfy future cyber education requirements at appropriate locations referred to in subsection (a)(3); and (A) (a)(3)で言及されている適切な場所で、将来のサイバー教育の必要性を満たすための人材戦略。
(B) the findings of the Secretary in assessing cyber education curricula and identifying such locations. (B) サイバー教育のカリキュラムを評価し、そのような場所を特定する際に、長官が得た知見。
(2) Workforce.--Not later than November 1, 2024, the Secretary of Defense shall provide the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a briefing and, not later than January 1, 2025, the Secretary shall submit to such committees a report, on-- (2) 遅くとも2024年11月1日までに、国防長官は上院軍事委員会および下院軍事委員会にブリーフィングを行い、遅くとも2025年1月1日までに、これらの委員会に報告書を提出する。
(A) the findings of the Secretary in determining pursuant to subsection (a)(1) the overall workforce requirement of the Department of Defense for cyberspace and information warfare military personnel across the active and reserve components of the Armed Forces (other than the Coast Guard) and for civilian personnel; (A)国防総省の現役・予備役部隊(沿岸警備隊を除く)のサイバー空間・情報戦要員および文民要員の全体的な労働力要件を(a)(1)に従って決定する際の長官の所見。
(B) such recommendations as the Secretary may have relating to such requirement; and (B) そのような要求に関連して、長官が持っている可能性のある提言。
(C) such legislative or administrative action as the Secretary identifies as necessary to effectively satisfy such requirement. (C)そのような要求を効果的に満たすために必要であると長官が認める立法上または行政上の措置。
(d) Education Described.--In this section, the term ``education'' includes formal education requirements, such as degrees and certification in targeted subject areas, as well as general training, including-- (d) 本項において「教育」とは、対象となる分野の学位や資格などの正式な教育要件に加え、以下のような一般的な訓練を含む。
(1) upskilling; (1) スキルアップ。
(2) knowledge, skills, and abilities; and (2) 知識、技能、能力
(3) nonacademic professional development. (3)学業以外の専門的能力の開発。
SEC. 1507. ASSIGNMENT OF CERTAIN BUDGET CONTROL RESPONSIBILITIES TO COMMANDER OF UNITED STATES CYBER COMMAND. SEC. 1507. 連邦サイバー司令部の司令官への予算管理責任の割り当て
(a) Assignment of Responsibilities.-- (a)責任の割り当て。
(1) In general.--The Commander of United States Cyber Command shall, subject to the authority, direction, and control of the Principal Cyber Advisor of the Department of Defense, be responsible for directly controlling and managing the planning, programming, budgeting, and execution of resources to train, equip, operate, and sustain the Cyber Mission Forces. (1) 米国サイバー司令部の司令官は、国防総省の主席サイバー顧問の権限、指示、管理のもと、サイバー作戦部隊の訓練、装備、運用、維持のための資源の計画、プログラミング、予算、実行を直接管理する責任を負う。
(2) Effective date and applicability.--Paragraph (1) shall take effect on the date of the enactment of this Act and apply-- (2) パラグラフ(1)は、本法令の制定日に発効し、以下の通り適用される。
(A) on January 1, 2022, for controlling and managing budget execution; and (A) 2022年1月1日から、予算執行を管理するために適用される。
(B) beginning with fiscal year 2024 and each fiscal year thereafter for directly controlling and managing the planning, programming, budgeting, and execution of resources. (B) 資源の計画、プログラミング、予算編成、実行を直接管理するために、2024年会計年度からそれ以降の各会計年度に適用される。
(b) Elements.-- (b) 要素。
(1) In general.--The responsibilities assigned to the Commander of United States Cyber Command pursuant to subsection (a)(1) shall include the following: (1) 第(a)項(1)に従って合衆国サイバー司令部の司令官に割り当てられた責任には、以下のものが含まれる。
(A) Preparation of a program objective memorandum and budget estimate submission for the resources required to train, equip, operate, and sustain the Cyber Mission Forces. (A) サイバー・ミッション・フォースを訓練、装備、運用、維持するために必要な資源について、プログラム目的覚書と予算見積もりの提出を準備する。
(B) Preparation of budget materials pertaining to United States Cyber Command for inclusion in the budget justification materials that are submitted to Congress in support of the Department of Defense budget for a fiscal year (as submitted with the budget of the President for a fiscal year under section 1105(a) of title 31, United States Code) that is separate from any other military service or component of the Department. (B) 他の軍部や国防総省の構成部とは別の会計年度の国防総省予算(アメリカ合衆国コード31条1105(a)項に基づく会計年度の大統領予算と一緒に提出されるもの)を支援するために議会に提出される予算正当化資料に含めるための、米国サイバー司令部に関連する予算資料の作成。
(2) Responsibilities not delegated.--The responsibilities assigned to the Commander of United States Cyber Command pursuant to subsection (a)(1) shall not include the following: (2) 委任されていない責任 --第(a)項(1)号に従って合衆国サイバー司令部の司令官に割り当てられた責任には、以下のものは含まれない。
(A) Military pay and allowances. (A) 軍人の給与と手当。
(B) Funding for facility support that is provided by the military services. (B) 軍部が提供する施設支援のための資金。
(c) Implementation Plan.-- (c) 実施計画。
(1) In general.--Not later than the date that is 30 days after the date of the enactment of this Act, the Comptroller General of the Department of Defense and the Commander of United States Cyber Command, in coordination with Chief Information Officer of the Department, the Principal Cyber Advisor, the Under Secretary of Defense for Acquisition and Sustainment, Cost Assessment and Program Evaluation, and the Secretaries of the military departments, shall jointly develop an implementation plan for the transition of responsibilities assigned to the Commander of United States Cyber Command pursuant to subsection (a)(1). (1) 国防総省の会計監査人と米国サイバー軍司令官は、国防総省の最高情報責任者、主席サイバー顧問、調達・維持・コスト評価・プログラム評価担当国防次官、各軍部長官と協力して、第(a)項(1)号に従って米国サイバー軍司令官に割り当てられた責任を移行するための実施計画を共同で作成しなければならない。)
(2) Elements.--The implementation plan developed under paragraph (1) shall include the following: (2) 要素・・・(1)項に基づいて作成された実施計画には、以下のものが含まれる。
(A) A budgetary review to identify appropriate resources for transfer to the Commander of United States Cyber Command for carrying out responsibilities assigned pursuant to subsection (a)(1). (A) サブセクション(a)(1)に従って割り当てられた責任を遂行するために、米国サイバー司令官に譲渡するための適切なリソースを特定するための予算の見直し。
(B) Definitions of appropriate roles and responsibilities. (B) 適切な役割と責任の定義。
(C) Specification of all program elements and sub-elements, and the training, equipment, Joint Cyber Warfighting Architecture capabilities, other enabling capabilities and infrastructure, intelligence support, operations, and sustainment investments in each such program element and sub-element for which the Commander of United States Cyber Command is responsible. (C) 米国サイバーコマンド司令官が責任を負うすべてのプログラム要素とサブ要素、およびそのようなプログラム要素とサブ要素ごとの訓練、装備、統合サイバー戦闘アーキテクチャ能力、その他の実現可能な能力とインフラ、情報支援、運用、および持続的投資の仕様。
(D) Specification of all program elements and sub-elements, and the training, equipment, Joint Cyber Warfighting Architecture capabilities, other enabling capabilities and infrastructure, intelligence support, operations, and sustainment investments in each such program element and sub-element relevant to or that support the Cyber Mission Force for which the Secretaries of the military departments are responsible. (D) 各軍部長官が責任を負うサイバー・ミッション・フォースに関連する、あるいはそれを支援する、すべてのプログラム要素とサブ要素、およびそのようなプログラム要素とサブ要素ごとの訓練、装備、統合サイバー戦構築能力、その他可能な能力とインフラ、情報支援、運用、および持続的投資の仕様。
(E) Required levels of civilian and military staffing within United States Cyber Command to carry out subsection (a)(1), and an estimate of when such levels of staffing will be achieved. (E) (a)(1)項を遂行するために必要な米国サイバー司令部内の文民および軍人の人員配置のレベル、およびそのような人員配置のレベルが達成される時期の見積もり。
(d) Briefing.-- (d) ブリーフィング
(1) In general.--Not later than the earlier of the date on which the implementation plan under subsection (c) is developed or the date that is 90 days after the date of the enactment of this Act, the Secretary of Defense shall provide the congressional defense committees a briefing on the implementation plan. (1) 国防長官は、議会防衛委員会に対し、(c)項の実施計画が策定された日と、本法の制定日から90日後の日のいずれか早い日までに、実施計画に関するブリーフィングを行わなければならない。
(2) Elements.--The briefing required by paragraph (1) shall address any recommendations for when and how the Secretary of Defense should delegate to the Commander of United States Cyber Command budget authority for the Cyber Operations Forces (as such term is defined in the memorandum issued by the Secretary of Defense on December 12, 2019, relating to the definition of ``Department of Defense Cyberspace Operations Forces (DoD COF)''), after successful implementation of the responsibilities described in subsection (a) relating to the Cyber Mission Forces. (2) 要素・・・(1)項で要求されるブリーフィングでは、サイバー任務部隊に関連する(a)項に記載された責任を成功裏に実施した後、国防長官がいつ、どのようにしてサイバー任務部隊(この用語は、2019年12月12日に国防長官が発行した「国防省サイバー空間作戦部隊(DoD COF)」の定義に関する覚書で定義されている)の予算権限を米国サイバーコマンド司令官に委譲すべきかについての提言を取り上げるものとする。
SEC. 1508. COORDINATION BETWEEN UNITED STATES CYBER COMMAND AND PRIVATE SECTOR. Sec. 1508. 米国サイバー司令部と民間企業との間の調整
(a) Voluntary Process.--Not later than January 1, 2023, the Commander of United States Cyber Command shall establish a voluntary process to engage with private sector information technology and cybersecurity entities to explore and develop methods and plans through which the capabilities, knowledge, and actions of-- (a) 遅くとも2023年1月1日までには、米国サイバー司令部の司令官は、民間の情報技術およびサイバーセキュリティ事業体と関与するための自主的なプロセスを確立し、以下のような能力、知識、行動を通じた方法および計画を検討、開発する。
(1) private sector entities operating inside the United States to defend against foreign malicious cyber actors could assist, or be coordinated with, the actions of United States Cyber Command operating outside the United States against such foreign malicious cyber actors; and (1) 米国内で外国の悪意のあるサイバーアクターを防御するために活動している民間団体が、米国外で外国の悪意のあるサイバーアクターに対抗するために活動している米国サイバー司令部の活動を支援したり、調整したりすることができる方法や計画を模索し、開発する。
(2) United States Cyber Command operating outside the United States against foreign malicious cyber actors could assist, or be coordinated with, the actions of private sector entities operating inside the United States against such foreign malicious cyber actors. (2) 外国の悪意のあるサイバーアクターに対して米国外で活動する米国サイバー司令部は、そのような外国の悪意のあるサイバーアクターに対して米国内で活動する民間団体の行動を支援したり、協調したりすることができる。
(b) Annual Briefing.-- (b) 年次ブリーフィング--。
(1) In general.--During the period beginning on March 1, 2022, and ending on March 1, 2026, the Commander of United States Cyber Command shall, not less frequently than once each year, provide to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a briefing on the status of any activities conducted pursuant to subsection (a). (1) 米国サイバー司令官は、2022年3月1日から2026年3月1日までの間、毎年1回以上の頻度で、上院軍事委員会および下院軍事委員会に対し、(a)項に基づいて実施された活動の状況に関するブリーフィングを行わなければならない。)
(2) Elements.--Each briefing provided under paragraph (1) shall include the following: (2) 第1項に基づいて行われるブリーフィングには、以下の内容が含まれる。
(A) Such recommendations for legislative or administrative action as the Commander of United States Cyber Command considers appropriate to improve and facilitate the exploration and development of methods and plans under subsection (a). (A) 米国サイバー司令部の司令官が、(a)項に基づく方法や計画の検討・開発を改善・促進するために適切と考える、立法上または行政上の措置に関する提言。
(B) Such recommendations as the Commander may have for increasing private sector participation in such exploration and development. (B)そのような調査や開発への民間企業の参加を増やすために司令官が持つ提言。
(C) A description of the challenges encountered in carrying out subsection (a), including any concerns expressed to the Commander by private sector partners regarding participation in such exploration and development. (C) サブセクション(a)を実行する際に遭遇した課題の説明。これには、当該探査および開発への参加に関して民間セクターのパートナーが司令官に表明した懸念事項が含まれる。
(D) Information relating to how such exploration and development with the private sector could assist military planning by United States Cyber Command. (D) 民間企業とのこのような探査と開発が、米国サイバー司令部による軍事計画をどのように支援できるかに関する情報。
(E) Such other matters as the Commander considers appropriate. (E) 司令官が適切と考えるその他の事項。
(c) Consultation.--In developing the process described in subsection (a), the Commander of United States Cyber Command shall consult with the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security and the heads of any other Federal agencies the Commander considers appropriate. (c)  協議--(a)項に記載されたプロセスを開発するにあたり、米国サイバー司令部の司令官は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁の長官および司令官が適切と考えるその他の連邦機関の長と協議するものとする。
(d) Integration With Other Efforts.--The Commander of United States Cyber Command shall ensure that the process described in subsection (a) makes use of, builds upon, and, as appropriate, integrates with and does not duplicate, other efforts of the Department of Homeland Security and the Department of Defense relating to cybersecurity, including the following: (d) 他の取り組みとの統合 -- 米国サイバー軍司令官は、第(a)項に記載されたプロセスが、以下を含むサイバーセキュリティに関連する国土安全保障省および国防総省の他の取り組みを利用し、それに基づいて構築され、必要に応じてそれらと統合し、重複しないようにしなければならない。
(1) The Joint Cyber Defense Collaborative of the Cybersecurity and Infrastructure Security Agency. (1) サイバーセキュリティ・インフラセキュリティ庁のJoint Cyber Defense Collaborative。
(2) The Cybersecurity Collaboration Center and Enduring Security Framework of the National Security Agency. (2) 国家安全保障局のCybersecurity Collaboration CenterとEnduring Security Framework。
(3) The office for joint cyber planning of the Department of Homeland Security. (3) 米国国土安全保障省の共同サイバー計画室。
(e) Protection of Trade Secrets and Proprietary Information.--The Commander of United States Cyber Command shall ensure that any trade secret or proprietary information of a private sector entity engaged with the Department of Defense through the process established under subsection (a) that is made known to the Department pursuant to such process remains private and protected unless otherwise explicitly authorized by such entity. (e) 企業秘密および専有情報の保護 -- 米国サイバーコマンド司令官は、第(a)項に基づいて設立されたプロセスを通じて国防総省と関わる民間企業の企業秘密または専有情報が、当該プロセスに従って国防総省に知らされた場合には、当該企業が明示的に許可しない限り、非公開で保護されることを保証しなければならない。
(f) Rule of Construction.--Nothing in this section may be construed to authorize United States Cyber Command to conduct operations inside the United States or for private sector entities to conduct offensive cyber activities outside the United States, except to the extent such operations or activities are permitted by a provision of law in effect on the day before the date of the enactment of this Act. (f) 本節のいかなる規定も、米国サイバーコマンドが米国内で作戦を行うことや、民間企業が米国外で攻撃的なサイバー活動を行うことを許可すると解釈してはならない。
SEC. 1509. ASSESSMENT OF CYBER POSTURE AND OPERATIONAL ASSUMPTIONS AND DEVELOPMENT OF TARGETING STRATEGIES AND SUPPORTING CAPABILITIES. Sec. 1509. サイバー攻撃態勢と作戦前提の評価、標的戦略と支援能力の開発
(a) Assessment of Cyber Posture of Adversaries and Operational Assumptions of United States Government.-- (a) 敵対者のサイバー態勢と米国政府の作戦想定の評価。
(1) In general.--Not later than one year after the date of the enactment of this Act, the Commander of United States Cyber Command, the Under Secretary of Defense for Policy, and the Under Secretary of Defense for Intelligence and Security, shall jointly sponsor or conduct an assessment, including, if appropriate, a war-game or tabletop exercise, of the current and emerging offensive and defensive cyber posture of adversaries of the United States and the current operational assumptions and plans of the Armed Forces for offensive cyber operations during potential crises or conflict. (1) 本法制定日から1年以内に、米国サイバー司令部司令官、政策担当国防次官、情報・安全保障担当国防次官が共同で、米国の敵対者の現在および今後の攻撃的・防御的サイバー態勢と、潜在的な危機や紛争時の攻撃的サイバー作戦のための軍の現在の作戦想定・計画について、必要に応じてウォーゲームや卓上演習を含む評価を主催・実施する。
(2) Elements.--The assessment required under paragraph (1) shall include consideration of the following: (2) 要素...第1項で要求される評価には、以下の検討が含まれなければならない。
(A) Changes to strategies, operational concepts, operational preparation of the environment, and rules of engagement. (A)  戦略、作戦コンセプト、環境に対する作戦準備、交戦規則の変更。
(B) Opportunities provided by armed forces in theaters of operations and other innovative alternatives. (B) 作戦地域の軍隊が提供する機会、およびその他の革新的な代替手段。
(C) Changes in intelligence community (as such term is defined in section 3 of the National Security Act of 1947 (50 U.S.C. 3003)) targeting and operations in support of the Department of Defense. (C) 国防省を支援するための情報コミュニティ(この用語は1947年国家安全保障法(50 U.S.C. 3003)の第3節で定義されている)の目標と作戦の変更。
(D) Adversary capabilities to deny or degrade United States activities in cyberspace. (D) サイバースペースにおける米国の活動を妨害または低下させる敵対者の能力。
(E) Adversaries' targeting of United States critical infrastructure and implications for United States policy. (E) 敵対者による米国の重要インフラの標的化と米国の政策への影響
(F) Potential effect of emerging technologies, such as fifth generation mobile networks, expanded use of cloud information technology services, and artificial intelligence. (F) 第5世代モバイルネットワーク、クラウド情報技術サービスの利用拡大、人工知能などの新興技術の潜在的な影響。
(G) Changes in Department of Defense organizational design. (G) 国防省の組織設計の変化。
(H) The effect of private sector cybersecurity research. (H) 民間企業のサイバーセキュリティ研究の効果。
(F) Adequacy of intelligence support to cyberspace operations by Combat Support Agencies and Service Intelligence Centers. (F) 戦闘支援機関およびサービス・インテリジェンス・センターによるサイバースペース作戦への情報支援の適切さ。
(b) Development of Targeting Strategies, Supporting Capabilities, and Operational Concepts.-- (b) ターゲット戦略、支援能力、作戦コンセプトの開発。
(1) In general.--Not later than one year after the date of the enactment of this Act, the Commander of United States Cyber Command shall-- (1) この法律の制定日から1年以内に、米国サイバー司令部の司令官は以下を行わなければならない。
(A) assess and establish the capabilities, capacities, tools, and tactics required to support targeting strategies for-- (A) 次のようなターゲット戦略を支援するために必要な能力、キャパシティ、ツール、戦術を評価し、確立する。
(i) day-to-day persistent engagement of adversaries, including support to information operations; (i) 情報作戦への支援を含む、敵対者への日々の持続的な関与。
(ii) support to geographic combatant commanders at the onset of hostilities and during sustained conflict; and (ii) 敵対行為の開始時および持続的な紛争中の地理的戦闘指揮官への支援。
(iii) deterrence of attacks on United States critical infrastructure, including the threat of counter value responses; (iii) カウンターバリューレスポンスの脅威を含む、米国の重要インフラへの攻撃の抑止。
(B) develop future cyber targeting strategies and capabilities across the categories of cyber missions and targets with respect to which-- (B) 将来のサイバー・ターゲティング戦略と能力を、以下のようなサイバー・ミッションとターゲットのカテゴリーにわたって開発する。
(i) time-consuming and human effort-intensive stealthy operations are required to acquire and maintain access to targets, and the mission is so important it is worthwhile to expend such efforts to hold such targets at risk; (i) ターゲットへのアクセスを獲得・維持するために、時間と人的労力を要するステルス作戦が必要であり、ミッションが非常に重要であるため、そのようなターゲットを危険にさらすためにそのような努力を費やす価値がある場合。
(ii) target prosecution requires unique access and exploitation tools and technologies, and the target importance justifies the efforts, time, and expense relating thereto; (ii) ターゲットの訴追には、独自のアクセスおよび利用ツールと技術が必要であり、ターゲットの重要性から、それに関連する努力、時間、費用が正当化される場合。
(iii) operational circumstances do not allow for and do not require spending the time and human effort required for stealthy, nonattributable, and continuous access to targets; (iii) 作戦上の事情により、ターゲットへのステルス性、非攻撃性、継続的なアクセスに必要な時間と人的努力を費やすことができず、またその必要もない。
(iv) capabilities are needed to rapidly prosecute targets that have not been previously planned and that can be accessed and exploited using known, available tools and techniques; and (iv) 事前に計画されておらず、既知の利用可能なツールや技術を用いてアクセスし、利用できるターゲットを迅速に起訴するための能力が必要であること。
(v) targets may be prosecuted with the aid of automated techniques to achieve speed, mass, and scale; (v) ターゲットは、スピード、マス、スケールを達成するために、自動化された技術の助けを借りて起訴される可能性がある。
(C) develop strategies for appropriate utilization of Cyber Mission Teams in support of combatant command objectives as-- (C) 戦闘部隊の目的を支援するために、サイバー・ミッション・チームを以下のように適切に活用するための戦略を策定する。
(i) adjuncts to or substitutes for kinetic operations; or (i) 動力作戦の補助または代替として。
(ii) independent means to achieve novel tactical, operational, and strategic objectives; and (ii) 新たな戦術的、作戦的、戦略的目標を達成するための独立した手段。
(D) develop collection and analytic support strategies for the service intelligence centers to assist operations by United States Cyber Command and the Service Cyber Components. (D) 米国サイバー司令部とサービス・サイバー・コンポーネントによる作戦を支援するために、サービス・インテリジェンス・センターのための収集および分析支援戦略を策定する。
(2) Briefing required.-- (2) ブリーフィングの必要性--。
(A) In general.--Not later than 30 days after the date on which all activities required under paragraph (1) have been completed, the Commander of United States Cyber Command shall provide the congressional defense committees a briefing on such activities. (A) 米国サイバー司令部の司令官は、第1項で要求されたすべての活動が完了した日から30日以内に、米国議会の防衛委員会に当該活動に関するブリーフィングを行わなければならない。
(B) Elements.--The briefing provided pursuant to subparagraph (A) shall include the following: (B) 構成要素--(A)号に従って提供されるブリーフィングには、以下の内容が含まれる。
(i) Recommendations for such legislative or administrative action as the Commander of United States Cyber Command considers necessary to address capability shortcomings. (i) 能力不足に対処するために米国サイバー軍司令官が必要と考える立法上または行政上の措置に関する提言。
(ii) Plans to address such capability shortcomings. (ii) そのような能力の不足に対処するための計画。
(c) Country-specific Access Strategies.-- (c) 国別アクセス戦略。
(1) In general.--Not later than one year after the date on which all activities required under subsection (b)(1) have been completed, the Commander of United States Cyber Command shall complete development of country-specific access strategies for the Russian Federation, the People's Republic of China, the Democratic People's Republic of Korea, and the Islamic Republic of Iran. (1) 米国サイバー軍司令官は、ロシア連邦、中華人民共和国、朝鮮民主主義人民共和国、イラン・イスラム共和国の国別アクセス戦略の策定を完了させなければならない(第(b)項(1)に基づくすべての活動が完了した日から1年以内)。
(2) Elements.--Each country-specific access strategy developed under paragraph (1) shall include the following: (2) 要素--第1項に基づいて策定された各国別アクセス戦略は、以下を含むものとする。
(A) Specification of desired and required-- (A) 望ましい結果と必要な結果の特定
(i) outcomes; (i) 成果。
(ii) cyber warfighting architecture, including-- (ii) サイバー戦のアーキテクチャ。
(I) tools and redirectors; (I) ツールおよびリダイレクタ。
(II) access platforms; and (II) アクセスプラットフォーム、および
(III) data analytics, modeling, and simulation capacity; (III) データ分析、モデリング、シミュレーション能力。
(iii) specific means to achieve and maintain persistent access and conduct command and control and exfiltration against hard targets and in operationally challenging environments across the continuum of conflict; (iii) 持続的なアクセスを達成・維持し、ハードターゲットや紛争の連続する作戦上困難な環境において、指揮・統制・脱出を行うための具体的な手段。
(iv) intelligence, surveillance, and reconnaissance support; (iv) 情報、監視、偵察の支援。
(v) operational partnerships with allies; (v) 同盟国との作戦上のパートナーシップ。
(vi) rules of engagement; (vi) 交戦規則
(vii) personnel, training, and equipment; and (vii)人員、訓練、及び装備
(viii) targeting strategies, including strategies that do not demand deliberate targeting and precise access to achieve effects; and (viii)ターゲティング戦略(効果を得るために意図的なターゲティングや正確なアクセスを必要としない戦略を含む)、および
(B) recommendations for such policy or resourcing changes as the Commander of United States Cyber Command considers appropriate to address access shortfalls. (B) アクセス不足に対処するために、米国サイバーコマンド司令官が適切と考える政策または資源の変更に関する提言。
(3) Consultation required.--The Commander of United States Cyber Command shall develop the country-specific access strategies under paragraph (1) independently but in consultation with the following: (3) 米国サイバー司令部の司令官は、第1項の国別アクセス戦略を独立して策定するものとするが、以下の者との協議が必要である。
(A) The Director of the National Security Agency. (A) 国家安全保障局の局長。
(B) The Director of the Central Intelligence Agency. (B) 中央情報局(CIA)長官。
(C) The Director of the Defense Advanced Research Projects Agency. (C) 国防高等研究計画局の局長。
(D) The Director of the Strategic Capabilities Office. (D) 戦略的能力開発局の局長
(E) The Under Secretary of Defense for Policy. (E) 国防省政策担当次官
(F) The Principal Cyber Advisor to the Secretary of Defense. (F) 国防長官の主席サイバー顧問
(G) The Commanders of all other combatant commands. (G) 他のすべての戦闘司令部の司令官
(4) Briefing.--Upon completion of the country-specific access strategies under paragraph (1), the Commander of United States Cyber Command shall provide the Deputy Secretary of Defense, the Vice Chairman of the Joint Chiefs of Staff, the Committee on Armed Services of the Senate, and the Committee on Armed Services of the House of Representatives a briefing on such strategies. (4) ブリーフィング --第1項の国別アクセス戦略が完成した時点で、米国サイバー司令部の司令官は、国防副長官、統合参謀本部副議長、上院軍事委員会、下院軍事委員会に対して、当該戦略に関するブリーフィングを行わなければならない。
(d) Definition.--In this section, the term ``critical infrastructure'' has the meaning given such term in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e)). (d) 定義--本項では、「重要インフラ」という用語は、公法107-56第1016(e)項(42 U.S.C. 5195c(e))で与えられた意味を持つ。
SEC. 1510. ASSESSING CAPABILITIES TO COUNTER ADVERSARY USE OF RANSOMWARE, CAPABILITIES, AND INFRASTRUCTURE. Sec. 1510. 敵のランサムウェア使用、能力、インフラに対抗する能力の評価
(a) Comprehensive Assessment and Recommendations Required.--Not later than 180 days after the date of enactment of this section, the Secretary of Defense shall-- (a) 包括的な評価と提言の必要性--本項の制定日から180日以内に、国防長官は以下を行う。
(1) conduct a comprehensive assessment of the policy, capacity, and capabilities of the Department of Defense to diminish and defend the United States from the threat of ransomware attacks, including-- (1) ランサムウェア攻撃の脅威から米国を守るための国防総省の政策、能力、能力の包括的な評価を行う。
(A) an assessment of the current and potential threats and risks to national and economic security posed by-- (A) 国家および経済の安全保障に対する現在および潜在的な脅威とリスクの評価。
(i) large-scale and sophisticated criminal cyber enterprises that provide large-scale and sophisticated cyber attack capabilities and infrastructure used to conduct ransomware attacks; and (i) ランサムウェア攻撃を行うための大規模かつ洗練されたサイバー攻撃能力とインフラを提供する大規模かつ洗練された犯罪サイバー企業。
(ii) organizations that conduct or could conduct ransomware attacks or other attacks that use the capabilities and infrastructure described in clause (i) on a large scale against important assets and systems in the United States, including critical infrastructure; (ii) 重要インフラを含む米国内の重要な資産やシステムに対して、(i)項に記載された能力やインフラを利用したランサムウェア攻撃やその他の攻撃を大規模に行う、あるいは行う可能性のある組織。
(B) an assessment of-- (B) 以下の評価を行う。
(i) the threat posed to the Department of Defense Information Network and the United States by the large-scale and sophisticated criminal cyber enterprises, capabilities, and infrastructure described in subparagraph (A); and (i) (A)項に記載された大規模かつ洗練された犯罪的サイバー企業、能力、インフラによって、国防省情報ネットワークおよび米国にもたらされる脅威。
(ii) the current and potential role of United States Cyber Command in addressing the threat referred to in clause (i) including-- (ii)(i)項で言及された脅威に対処する上での米国サイバー司令部の現在および潜在的な役割である。
(I) the threshold at which United States Cyber Command should respond to such a threat; and (I) 米国のサイバー司令部がそのような脅威に対応すべき閾値。
(II) the capacity for United States Cyber Command to respond to such a threat without harmful effects on other United States Cyber Command missions; (II) 米国サイバー司令部が他の米国サイバー司令部の任務に悪影響を与えることなく、そのような脅威に対応する能力。
(C) an identification of the current and potential Department efforts, processes, and capabilities to deter and counter the threat referred to in subparagraph (B)(i), including through offensive cyber effects operations; (C) 攻撃的なサイバー効果作戦を含む、第(B)項(i)号で言及された脅威を抑止し対抗するための、現在および潜在的な省庁の努力、プロセス、能力の特定。
(D) an assessment of the application of the defend forward and persistent engagement operational concepts and capabilities of the Department to deter and counter the threat of ransomware attacks against the United States; (D) 米国に対するランサムウェア攻撃の脅威を抑止し、対抗するための、省の前方防衛と持続的関与の作戦コンセプトと能力の適用に関する評価。
(E) a description of the efforts of the Department in interagency processes, and joint collaboration with allies and partners of the United States, to address the growing threat from large-scale and sophisticated criminal cyber enterprises that conduct ransomware attacks and could conduct attacks with other objectives; (E) ランサムウェア攻撃を行い、他の目的でも攻撃を行う可能性のある大規模で洗練された犯罪的サイバー企業からの脅威の増大に対処するための省庁間プロセス、米国の同盟国やパートナーとの共同協力における省庁の取り組みの説明。
(F) a determination of the extent to which the governments of countries in which large-scale and sophisticated criminal cyber enterprises are principally located are tolerating the activities of such enterprises, have interactions with such enterprises, could direct their operations, and could suppress such enterprises; (F) 大規模で洗練された犯罪的サイバー企業が主に存在する国の政府が、当該企業の活動をどの程度容認しているか、当該企業と交流しているか、当該企業の活動を指示できるか、当該企業を抑制できるかの判断。
(G) an assessment as to whether the large-scale and sophisticated criminal cyber enterprises described in subparagraph (F) are perfecting and practicing attack techniques and capabilities at scale that can be co-opted and placed in the service of the country in which such enterprises are principally located; and (G) (F)号に記載された大規模かつ洗練されたサイバー犯罪企業が、当該企業が主に所在する国に協力してサービスを提供できる規模の攻撃技術と能力を完成させ、実践しているかどうかについての評価。
(H) identification of such legislative or administrative action as may be necessary to more effectively counter the threat of ransomware attacks; and (H) ランサムウェア攻撃の脅威に、より効果的に対抗するために必要な立法上または行政上の措置を特定する。
(2) develop recommendations for the Department to build capabilities to develop and execute innovative methods to deter and counter the threat of ransomware attacks prior to and in response to the launching of such attacks. (2) ランサムウェア攻撃の脅威を抑止し、その脅威に対抗するための革新的な方法を、攻撃の開始前および攻撃に対応して開発・実行する能力を構築するために、省庁に対する提言を行う。
(b) Briefing.--Not later than 210 days after the date of the enactment of this Act, the Secretary of Defense shall brief the congressional defense committees on the comprehensive assessment completed under paragraph (1) of subsection (a) and the recommendations developed under paragraph (2) of such subsection. (b) ブリーフィング --本法の制定日から210日以内に、国防長官は議会の防衛委員会に対し、(a)項の(1)に基づいて完了した包括的評価と、同項の(2)に基づいて策定された勧告についてブリーフィングを行う。
(c) Definition.--In this section, the term ``critical infrastructure'' has the meaning given such term in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e)). (c) 定義--本項では、「重要インフラ」という用語は、公法107-56の第1016(e)項(42 U.S.C. 5195c(e))で与えられた意味を持つ。
SEC. 1511. COMPARATIVE ANALYSIS OF CYBERSECURITY CAPABILITIES. Sec. 1511. サイバーセキュリティ能力の比較分析
(a) Comparative Analysis Required.--Not later than 180 days after the date of the enactment of this Act, the Chief Information Officer and the Director of Cost Assessment and Program Evaluation (CAPE) of the Department of Defense, in consultation with the Principal Cyber Advisor to the Secretary of Defense and the Chief Information Officers of each of the military departments, shall jointly sponsor a comparative analysis, to be conducted by the Director of the National Security Agency and the Director of the Defense Information Systems Agency, of the following: (a) 比較分析の必要性--本法の制定日から180日以内に、国防総省の最高情報責任者およびコスト評価・プログラム評価(CAPE)部長は、国防長官の主席サイバー顧問および各軍部の最高情報責任者と協議の上、国家安全保障局長官および国防情報システム局長官が実施する以下の比較分析を共同で主催しなければならない。
(1) The cybersecurity tools, applications, and capabilities offered as options on enterprise software agreements for cloud-based productivity and collaboration suites, such as is offered under the Defense Enterprise Office Solution and Enterprise Software Agreement contracts with Department of Defense components, relative to the cybersecurity tools, applications, and capabilities that are currently deployed in, or required by, the Department to conduct-- (1) クラウドベースの生産性およびコラボレーション・スイートのエンタープライズ・ソフトウェア契約のオプションとして提供されるサイバーセキュリティ・ツール、アプリケーション、能力(国防総省のコンポーネントとのDefense Enterprise Office SolutionおよびEnterprise Software Agreement契約の下で提供されているようなもの)。
(A) asset discovery; (A) 資産の発見。
(B) vulnerability scanning; (B) 脆弱性スキャン
(C) conditional access (also known as ``comply-to-connect''); (C) 条件付きアクセス(「comply-to-connect」としても知られる)。
(D) event correlation; (D) イベントの相関関係
(E) patch management and remediation; (E) パッチ管理と修復。
(F) endpoint query and control; (F) エンドポイントの照会と制御
(G) endpoint detection and response; (G) エンドポイントの検出と応答
(H) data rights management; (H) データ著作権管理
(I) data loss prevention; (I) データ損失防止
(J) data tagging; (J) データタギング
(K) data encryption; (K) データの暗号化
(L) security information and event management; and (L) セキュリティ情報およびイベント管理
(M) security orchestration, automation, and response. (M) セキュリティのオーケストレーション、自動化、および応答。
(2) The identity, credential, and access management (ICAM) system, and associated capabilities to enforce the principle of least privilege access, offered as an existing option on an enterprise software agreement described in paragraph (1), relative to-- (2) パラグラフ(1)に記載されたエンタープライズソフトウェア契約の既存オプションとして提供される、ID、クレデンシャル、およびアクセス管理(ICAM)システム、および最小特権アクセスの原則を実施するための関連機能は、以下と関連している。
(A) the requirements of such system described in the Zero Trust Reference Architecture of the Department; and (A) 省庁のゼロトラスト・リファレンス・アーキテクチャに記載されている当該システムの要求事項。
(B) the requirements of such system under development by the Defense Information Systems Agency. (B) 国防情報システム局が開発中の当該システムの要求事項。
(3) The artificial intelligence and machine-learning capabilities associated with the tools, applications, and capabilities described in paragraphs (1) and (2), and the ability to host Government or third-party artificial intelligence and machine-learning algorithms pursuant to contracts referred to in paragraph (1) for such tools, applications, and capabilities. (3) 第1項および第2項に記載されたツール、アプリケーション、能力に関連する人工知能および機械学習能力、ならびに第1項に記載されたツール、アプリケーション、能力に関する契約に従って政府または第三者の人工知能および機械学習アルゴリズムをホストする能力。
(4) The network consolidation and segmentation capabilities offered on the enterprise software agreements described in paragraph (1) relative to capabilities projected in the Zero Trust Reference Architecture. (4) ゼロトラストリファレンスアーキテクチャで予測される機能と比較して、第1項に記載されたエンタープライズソフトウェア契約で提供されるネットワーク統合およびセグメント化の機能。
(5) The automated orchestration and interoperability among the tools, applications, and capabilities described in paragraphs (1) through (4). (5) (1)~(4)項に記載されたツール、アプリケーション、および能力の間の自動化されたオーケストレーションおよび相互運用性。
(b) Elements of Comparative Analysis.--The comparative analysis conducted under subsection (a) shall include an assessment of the following: (b) 比較分析の要素 -- 第(a)項に基づいて実施される比較分析には、以下の評価が含まれるものとする。
(1) Costs. (1)コスト
(2) Performance. (2) 性能
(3) Sustainment. (3)持続性
(4) Scalability. (4) スケーラビリティ
(5) Training requirements. (5)トレーニング要件
(6) Maturity. (6)成熟度
(7) Human effort requirements. (7) 人的努力の必要性
(8) Speed of integrated operations. (8) 統合運用のスピード
(9) Ability to operate on multiple operating systems and in multiple cloud environments. (9) 複数のオペレーティングシステムや複数のクラウド環境で動作する能力。
(10) Such other matters as the Chief Information Officer and the Director of Cost Assessment and Program Evaluation consider appropriate. (10) 最高情報責任者およびコスト評価・プログラム評価担当ディレクターが適切と考えるその他の事項。
(c) Briefing Required.--Not later than 30 days after the date on which the comparative analysis required under subsection (a) is completed, the Chief Information Officer and the Director of Cost Assessment and Program Evaluation (CAPE) of the Department of Defense shall jointly provide the congressional defense committees with a briefing on the findings of the Chief Information Officer and the Director with respect to such analysis, together with such recommendations for legislative or administrative action as the Chief Information Officer and the Director may have with respect to the matters covered by such analysis. (c) ブリーフィングの必要性--(a)項に基づき要求される比較分析が完了した日から30日以内に、最高情報責任者と国防総省のコスト評価・プログラム評価ディレクター(CAPE)は、当該分析に関して最高情報責任者とディレクターが得た知見についてのブリーフィングを、当該分析が対象とする事項に関して最高情報責任者とディレクターが持つ可能性のある立法上または行政上の措置に関する提言とともに、議会の防衛委員会に共同で提供しなければならない。
SEC. 1512. ELIGIBILITY OF OWNERS AND OPERATORS OF CRITICAL INFRASTRUCTURE TO RECEIVE CERTAIN DEPARTMENT OF DEFENSE SUPPORT AND SERVICES. Sec. 1512. 重要インフラの所有者と運営者が国防総省の支援とサービスを受ける資格
Section 2012 of title 10, United States Code is amended-- 合衆国コード10のセクション2012を改正する。
(1) in subsection (e)-- (1)サブセクション(e)において--。
(A) by redesignating paragraph (3) as paragraph (4); and (A) パラグラフ(3)をパラグラフ(4)として再指定する。
(B) by inserting after paragraph (2) the following new paragraph: (B) パラグラフ(2)の後に以下の新しいパラグラフを挿入する。
``(3) Owners and operators of critical infrastructure (as such term is defined in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e))).''; and (3) 重要インフラの所有者および運営者(公法107-56の1016(e)項(42 U.S.C. 5195c(e))で定義されているもの)。
(2) in subsection (f), by adding at the end the following new paragraph: (2) サブセクション(f)の最後に以下の新しいパラグラフを追加する。
``(5) Procedures to ensure that assistance provided to an entity specified in subsection (e)(3) is provided in a manner that is consistent with similar assistance provided under authorities applicable to other Federal departments and agencies, including the authorities of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security pursuant to title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.).''. (5) (e)(3)で指定された団体に提供される支援が、2002年国土安全保障法(6 U.S.C. 651 et seq.)のタイトルXXIIに基づく国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁の権限を含む、他の連邦省庁に適用される権限に基づいて提供される同様の支援と整合性のある方法で提供されることを保証するための手順。
SEC. 1513. REPORT ON POTENTIAL DEPARTMENT OF DEFENSE SUPPORT AND ASSISTANCE FOR INCREASING THE AWARENESS OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY OF CYBER THREATS AND VULNERABILITIES AFFECTING CRITICAL INFRASTRUCTURE. Sec. 1513. 重要インフラに影響を与えるサイバー脅威と脆弱性について、サイバーセキュリティ・インフラセキュリティ庁の認識を高めるための国防総省の支援の可能性についての報告
(a) Report Required.--Not later than 270 days after the date of the enactment of this Act, the Secretary of Defense, in consultation with the Secretary of Homeland Security and the National Cyber Director, shall submit to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a report that provides recommendations on how the Department of Defense can improve support and assistance to the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security to increase awareness of cyber threats and vulnerabilities affecting information technology and networks supporting critical infrastructure within the United States, including critical infrastructure of the Department and critical infrastructure relating to the defense of the United States. (a) 必要な報告。 本法の制定日から270日以内に、国防長官は、国土安全保障長官および国家サイバー長官と協議した上で。国防総省は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁に対する支援・援助をどのように改善し、国防総省の重要インフラおよび米国の防衛に関連する重要インフラを含む、米国内の重要インフラを支える情報技術およびネットワークに影響を与えるサイバー脅威および脆弱性に対する認識を高めることができるかについての提言を行う報告書を、上院の軍事委員会および下院の軍事委員会に提出しなければならない。
(b) Elements of Report.--The report required by subsection (a) shall-- (b) 報告書の構成要素 -- 第(a)項で求められる報告書は、以下の通りである。
(1) assess and identify areas in which the Department of Defense could provide support or assistance, including through information sharing and voluntary network monitoring programs, to the Cybersecurity and Infrastructure Security Agency to expand or increase technical understanding and awareness of cyber threats and vulnerabilities affecting critical infrastructure; (1) 重要インフラに影響を与えるサイバー脅威と脆弱性に関する技術的理解と認識を拡大・向上させるために、国防総省がサイバーセキュリティ・インフラセキュリティ庁に対して、情報共有や自主的なネットワーク監視プログラムを含めた支援・援助を提供できる分野を評価・特定すること。
(2) identify and assess any legal, policy, organizational, or technical barriers to carrying out paragraph (1); (2) パラグラフ(1)を実行するための法的、政策的、組織的、技術的な障害を特定し、評価する。
(3) assess and describe any legal or policy changes necessary to enable the Department to carry out paragraph (1) while preserving privacy and civil liberties; (3) プライバシーと市民的自由を守りつつ、第1項を実行するために必要な法律や政策の変更を評価し、説明すること。
(4) assess and describe the budgetary and other resource effects on the Department of carrying out paragraph (1); and (4) 第1項を実行することによる予算およびその他の資源の影響を評価し、説明する。
(5) provide a notional time-phased plan, including milestones, to enable the Department to carry out paragraph (1). (5) 部局が第1項を実行できるように、マイルストーンを含む想定される時間軸の計画を提供する。
(c) Critical Infrastructure Defined.--In this section, the term ``critical infrastructure'' has the meaning given such term in section 1016(e) of Public Law 107-56 (42 U.S.C. 5195c(e)). (c) 重要インフラの定義--このセクションでは、「重要インフラ」という用語はPublic Law 107-56の1016(e)項(42 U.S.C. 5195c(e))で与えられた意味を持つ。
Subtitle B--Matters Related to Department of Defense Cybersecurity and  Information Technology サブタイトルB:国防総省のサイバーセキュリティと情報技術に関連する事項
SEC. 1521. ENTERPRISE-WIDE PROCUREMENT OF CYBER DATA PRODUCTS AND SERVICES. Sec. 1521. サイバーデータ製品・サービスの全社的調達
(a) Program.--Not later than one year after the date of the enactment of this Act, the Secretary of Defense shall designate an executive agent for Department of Defense-wide procurement of cyber data products and services. The executive agent shall establish a program management office responsible for such procurement, and the program manager of such program office shall be responsible for the following: (a) プログラム...この法律が制定された日から1年以内に、国防長官は国防総省全体のサイバーデータ製品とサービスの調達のための執行機関を指定しなければならない。執行代理人は、当該調達を担当するプログラム管理事務所を設立し、当該プログラム事務所のプログラムマネージャーは、以下の事項に責任を負う。
(1) Surveying components of the Department for the cyber data products and services needs of such components. (1) 国防総省の各部局のサイバーデータ製品・サービスのニーズを調査すること。
(2) Conducting market research of cyber data products and services. (2) サイバーデータ製品・サービスの市場調査を行うこと。
(3) Developing or facilitating development of requirements, both independently and through consultation with components, for the acquisition of cyber data products and services. (3) サイバーデータ製品およびサービスの取得のために、独自に、または各構成部との協議を通じて、要求事項を策定し、または策定を促進すること。
(4) Developing and instituting model contract language for the acquisition of cyber data products and services, including contract language that facilitates components' requirements for ingesting, sharing, using and reusing, structuring, and analyzing data derived from such products and services. (4) サイバーデータ製品・サービスの取得のためのモデル契約言語を開発し、制定すること。これには、当該製品・サービスから得られるデータの取り込み、共有、使用、再利用、構造化、分析に関するコンポーネントの要件を促進する契約言語が含まれる。
(5) Conducting procurement of cyber data products and services on behalf of the Department of Defense, including negotiating contracts with a fixed number of licenses based on aggregate component demand and negotiation of extensible contracts. (5) 国防総省を代表して、サイバーデータ製品・サービスの調達を行うこと。これには、コンポーネントの総需要に基づいた固定数のライセンスを持つ契約の交渉や、拡張可能な契約の交渉が含まれる。
(6) Carrying out the responsibilities specified in paragraphs (1) through (5) with respect to the cyber data products and services needs of the Cyberspace Operations Forces, such as cyber data products and services germane to cyberspace topology and identification of adversary threat activity and infrastructure, including-- (6) サイバースペースのトポロジー、敵の脅威活動やインフラの特定に関連するサイバーデータ製品・サービスなど、サイバースペース作戦部隊のサイバーデータ製品・サービスのニーズに関して、(1)~(5)項で指定された責任を遂行すること(以下を含む)。
(A) facilitating the development of cyber data products and services requirements for the Cyberspace Operations Forces, conducting market research regarding the future cyber data products and services needs of the Cyberspace Operations Forces, and conducting acquisitions pursuant to such requirements and market research; (A) サイバー空間作戦部隊のためのサイバーデータ製品およびサービスの要件の開発を促進し、サイバー空間作戦部隊の将来のサイバーデータ製品およびサービスのニーズに関する市場調査を実施し、かかる要件および市場調査に従って買収を実施すること。
(B) coordinating cyber data products and services acquisition and management activities with Joint Cyber Warfighting Architecture acquisition and management activities, including activities germane to data storage, data management, and development of analytics; (B) データストレージ、データ管理、分析の開発に関連する活動を含め、サイバーデータ製品・サービスの取得・管理活動を統合サイバー戦闘アーキテクチャの取得・管理活動と調整すること。
(C) implementing relevant Department of Defense and United States Cyber Command policy germane to acquisition of cyber data products and services; (C) サイバーデータ製品・サービスの取得に関連する国防総省および米国サイバー司令部の政策を実施すること。
(D) leading or informing the integration of relevant datasets and services, including Government-produced threat data, commercial cyber threat information, collateral telemetry data, topology-relevant data, sensor data, and partner-provided data; and (D) 政府が作成した脅威データ、商業的なサイバー脅威情報、付随する遠隔測定データ、トポロジーに関連するデータ、センサーデータ、パートナーが提供するデータなど、関連するデータセットやサービスの統合を主導したり、情報を提供したりすること。
(E) facilitating the development of tradecraft and operational workflows based on relevant cyber data products and services. (E) 関連するサイバーデータ製品およびサービスに基づく、技術および運用ワークフローの開発を促進する。
(b) Coordination.--In implementing this section, each component of the Department of Defense shall coordinate its cyber data products and services requirements and potential procurement plans relating to such products and services with the program management office established pursuant to subsection (a) so as to enable such office to determine if satisfying such requirements or procurement of such products and services on an enterprise-wide basis would serve the best interests of the Department. (b) 本項を実施するにあたり、国防総省の各部局は、サイバーデータ製品・サービスの要求事項および当該製品・サービスに関連する潜在的な調達計画を、第(a)項に従って設立されたプログラム管理局と調整し、当該要求事項の充足または全社的な当該製品・サービスの調達が国防総省の最善の利益につながるかどうかを、当該局が判断できるようにする。
(c) Prohibition.--Beginning not later than 540 days after the date of the enactment of this Act, no component of the Department of Defense may independently procure a cyber data product or service that has been procured by the program management office established pursuant to subsection (a), unless-- (c) 本法制定日から540日以内に、国防総省のいかなる部門も、(a)項に従って設立されたプログラム管理事務所によって調達されたサイバーデータ製品またはサービスを独自に調達することはできないが、以下の場合はその限りではない。
(1) such component is able to procure such product or service at a lower per-unit price than that available through such office; or (1) 当該コンポーネントが、当該オフィスを通じて入手可能な価格よりも低い単価で当該製品またはサービスを調達することができる場合。
(2) such office has approved such independent purchase. (2) 当該事務所が、当該独立した購入を承認している場合。
(d) Exception.--United States Cyber Command and the National Security Agency may conduct joint procurements of products and services, including cyber data products and services, except that the requirements of subsections (b) and (c) shall not apply to the National Security Agency. (d) 例外-米国サイバーコマンドと国家安全保障局は、サイバーデータ製品およびサービスを含む製品およびサービスの共同調達を行うことができる。ただし、国家安全保障局には、サブセクション(b)および(c)の要件は適用されないものとする。
(e) Definition.--In this section, the term ``cyber data products and services'' means commercially-available datasets and analytic services germane to offensive cyber, defensive cyber, and DODIN operations, including products and services that provide technical data, indicators, and analytic services relating to the targets, infrastructure, tools, and tactics, techniques, and procedures of cyber threats. (e) 本項において、「サイバーデータ製品・サービス」とは、攻撃的サイバー、防御的サイバー、DODIN作戦に関連する商業的に入手可能なデータセットおよび分析サービスを意味し、サイバー脅威の標的、インフラ、ツール、戦術・技術・手順に関する技術データ、指標、分析サービスを提供する製品・サービスを含む。
SEC. 1522. LEGACY INFORMATION TECHNOLOGIES AND SYSTEMS ACCOUNTABILITY. Sec. 1522. レガシー情報技術とシステムの説明責任
(a) In General.--Not later than 270 days after the date of the enactment of this Act, the Secretaries of the Army, Navy, and Air Force shall each initiate efforts to identify legacy applications, software, and information technology within their respective Departments and eliminate any such application, software, or information technology that is no longer required. (a) 陸軍、海軍、空軍の各長官は、本法令の制定日から270日以内に、それぞれの省内のレガシーアプリケーション、ソフトウェア、情報技術を特定し、不要となったアプリケーション、ソフトウェア、情報技術を排除するための取り組みを開始する。
(b) Specifications.--To carry out subsection (a), that Secretaries of the Army, Navy, and Air Force shall each document the following: (b) 仕様--(a)項を実行するために、陸軍、海軍、空軍の各長官は、以下の内容を文書化するものとする。
(1) An identification of the applications, software, and information technologies that are considered active or operational, but which are judged to no longer be required by the respective Department. (1)各省庁が必要としなくなったと判断された、稼働中または運用中のアプリケーション、ソフトウェア、情報技術の識別情報。
(2) Information relating to the sources of funding for the applications, software, and information technologies identified pursuant to paragraph (1). (2) (1)により特定されたアプリケーション、ソフトウェア、情報技術の資金源に関する情報。
(3) An identification of the senior official responsible for each such application, software, or information technology. (3) 各アプリケーション、ソフトウェア、情報技術の責任者である上級職員の身分証明書。
(4) A plan to discontinue use and funding for each such application, software, or information technology. (4) そのようなアプリケーション、ソフトウェア、情報技術の使用と資金提供を中止する計画。
(c) Exemption.--Any effort substantially similar to that described in subsections (a) and (b) that is being carried out by the Secretary of the Army, Navy, or Air Force as of the date of the enactment of this Act and completed not later 180 days after such date shall be treated as satisfying the requirements under such subsections. (c) 免除--本法の制定日時点で陸軍、海軍、空軍の長官によって実施されている、(a)および(b)項に記載されたものと実質的に類似した取り組みで、その日から180日以内に完了するものは、これらの項の要件を満たしているものとして扱われる。
(d) Report.--Not later than 270 days after the date of the enactment of this Act, the Secretaries of the Army, Navy, and Air Force shall each submit to the congressional defense committees the documentation required under subsection (b). (d) 報告--本法の制定日から270日以内に、陸軍、海軍、空軍の各長官は、それぞれ議会の防衛委員会に、(b)項に基づいて要求される文書を提出しなければならない。
SEC. 1523. UPDATE RELATING TO RESPONSIBILITIES OF CHIEF INFORMATION OFFICER. Sec. 1523. 最高情報責任者(CIO)の責任についての更新
 Paragraph (1) of section 142(b) of title 10, United States Code, is amended--  アメリカ合衆国コード10のタイトル142(b)セクションのパラグラフ(1)は、以下のように修正される。
(1) in subparagraphs (A), (B), and (C), by striking ``(other than with respect to business management)'' each place it appears; and (1)サブパラグラフ(A)、(B)および(C)において、「(経営管理に関するもの以外)」を各所で削除する。
(2) by amending subparagraph (D) to read as follows: (2) (D)項を次のように修正する。
``(D) exercises authority, direction, and control over the Activities of the Cybersecurity Directorate, or any successor organization, of the National Security Agency, funded through the Information Systems Security Program;''. ''(D)情報システム・セキュリティ・プログラムを通じて資金提供を受けている国家安全保障局のサイバーセキュリティ部門、またはその後継組織の活動に対する権限、指揮、管理を行う。
SEC. 1524. PROTECTIVE DOMAIN NAME SYSTEM WITHIN THE DEPARTMENT OF DEFENSE. Sec. 1524. 国防総省内の保護ドメイン名システム
(a) In General.--Not later than 120 days after the date of the enactment of this Act, the Secretary of Defense shall ensure each component of the Department of Defense uses a Protective Domain Name System (PDNS) instantiation offered by the Department. (a) 国防長官は、国防省の各部局が、国防省が提供する保護ドメイン名システム(PDNS)のインスタンスを使用することを保証しなければならない。
(b) Exemptions.--The Secretary of Defense may exempt a component of the Department from using a PDNS instantiation for any reason except with respect to cost or technical application. (b) 免除--国防長官は、コストや技術的応用に関する場合を除き、いかなる理由であれ、国防総省のコンポーネントがPDNSインスタンスを使用することを免除することができる。
(c) Report to Congress.--Not later than 150 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a report that includes information relating to-- (c) 議会への報告 --本法の制定日から150日以内に、国防長官は以下に関する情報を含む報告書を議会の防衛委員会に提出しなければならない。
(1) each component of the Department of Defense that uses a PDNS instantiation offered by the Department; (1) 国防総省が提供するPDNSインスタンスを使用する国防総省の各コンポーネント。
(2) each component exempt from using a PDNS instantiation pursuant to subsection (b); and (2) (b)項に従ってPDNSインスタンスの使用を免除されている各コンポーネント。
(3) efforts to ensure that each PDNS instantiation offered by the Department connects and shares relevant and timely data. (3) 国防総省が提供する各PDNSインスタンスが、関連性のあるタイムリーなデータを接続し、共有することを保証するための努力。
SEC. 1525. CYBERSECURITY OF WEAPON SYSTEMS. Sec. 1525. 兵器システムのサイバーセキュリティ
 Section 1640 of the National Defense Authorization Act for Fiscal Year 2018 (Public Law 115-91; 10 U.S.C. 2224 note), is amended by adding at the end the following new subsection:  2018年度国防権限法(Public Law 115-91; 10 U.S.C. 2224 note)のセクション1640は、最後に以下の新しいサブセクションを追加することで修正される。
``(f) Annual Reports.--Not later than August 30, 2022, and annually thereafter through 2024, the Secretary of Defense shall provide to the congressional defense committees a report on the work of the Program, including information relating to staffing and accomplishments.''. ''(f) 遅くとも2022年8月30日までに、その後2024年まで毎年、国防長官は議会の防衛委員会に対し、人員配置や成果に関する情報を含むプログラムの業務に関する報告書を提出しなければならない」。
SEC. 1526. ASSESSMENT OF CONTROLLED UNCLASSIFIED INFORMATION PROGRAM. SEC. 1526. 管理された未分類情報プログラムの評価。
 Section 1648 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 2224 note), is amended--  2020年度国防権限法(Public Law 116-92; 10 U.S.C. 2224 note)の第1648条を改正する。
(1) in subsection (a), by striking ``February 1, 2020'' and inserting ``180 days after the date of the enactment of the National Defense Authorization Act for Fiscal Year 2022''; and (1) サブセクション(a)において、「2020年2月1日」を削除し、「2022年度の国防権限法の制定日から180日後」を挿入する。
(2) in subsection (b), by amending paragraph (4) to read as follows: (2) サブセクション(b)において、パラグラフ(4)を以下のように修正する。
``(4) Definitions for `Controlled Unclassified Information' (CUI) and `For Official Use Only' (FOUO), policies regarding protecting information designated as either of such, and an explanation of the `DoD CUI Program' and Department of Defense compliance with the responsibilities specified in Department of Defense Instruction (DoDI) 5200.48, `Controlled Unclassified Information (CUI),' including the following: ''(4) 「CUI(Controlled Unclassified Information)」および「FOUO(For Official Use Only)」の定義、いずれかに指定された情報の保護に関する方針、「国防総省CUIプログラム」および国防総省命令(DoDI)5200.48「CUI(Controlled Unclassified Information)」に規定されている責任に対する国防総省のコンプライアンスについての説明(以下を含む)。
``(A) The extent to which the Department of Defense is identifying whether information is CUI via a contracting vehicle and marking documents, material, and media containing such information in a clear and consistent manner. ''(A)国防総省が契約車両を通じて情報がCUIであるかどうかを識別し、そのような情報を含む文書、資料、メディアを明確かつ一貫した方法でマーキングしている程度。
``(B) Recommended regulatory or policy changes to ensure consistency and clarity in CUI identification and marking requirements. ''(B)CUI識別およびマーキング要件の一貫性と明確性を確保するために推奨される規制または政策の変更。
``(C) Circumstances under which commercial information is considered CUI, and any impacts to the commercial supply chain associated with security and marking requirements pursuant to this paragraph. ''(C)商業情報がCUIとみなされる状況、および本項に基づくセキュリティおよびマーキング要件に関連する商業サプライチェーンへの影響。
``(D) Benefits and drawbacks of requiring all CUI to be marked with a unique CUI legend, versus requiring that all data marked with an appropriate restricted legend be handled as CUI. ''(D)すべてのCUIに固有のCUI表示を要求することと、適切な制限表示を施したすべてのデータをCUIとして取り扱うことを要求することの利点と欠点。
``(E) The extent to which the Department of Defense clearly delineates Federal Contract Information (FCI) from CUI. ''(E)国防総省が連邦契約情報(FCI)とCUIをどの程度明確に区別しているか。
``(F) Examples or scenarios to illustrate information that is and is not CUI.''. ''(F)CUIである情報とそうでない情報を説明するための例やシナリオ。
SEC. 1527. CYBER DATA MANAGEMENT. Sec. 1527. サイバーデータ管理
(a) In General.--The Commander of United States Cyber Command and the Secretaries of the military departments, in coordination with the Principal Cyber Advisor to the Secretary, the Chief Information Officer and the Chief Data Officer of the Department of Defense, and the Chairman of the Joint Chiefs of Staff, shall-- (a) 米国サイバー司令部の司令官および各軍部の長官は、長官の主席サイバー顧問、国防総省の最高情報責任者および最高データ責任者、および統合参謀本部議長と連携して、以下を行う。
(1) access, acquire, and use mission-relevant data to support offensive cyber, defensive cyber, and DODIN operations from the intelligence community, other elements of the Department of Defense, and the private sector; (1) 攻撃的サイバー、防御的サイバー、DODIN作戦を支援するためのミッション関連データを、情報コミュニティ、国防総省の他の部門、および民間部門から入手し、取得し、使用すること。
(2) develop policy, processes, and operating procedures governing the access, ingest, structure, storage, analysis, and combination of mission-relevant data, including-- (2) ミッション関連データ(以下を含む)へのアクセス、取り込み、構造、保存、分析、組み合わせを管理する方針、プロセス、作業手順を策定する。
(A) intelligence data; (A) 情報データ。
(B) internet traffic, topology, and activity data; (B) インターネットのトラフィック、トポロジー、およびアクティビティ・データ。
(C) cyber threat information; (C) サイバー脅威情報。
(D) Department of Defense Information Network sensor, tool, routing infrastructure, and endpoint data; and (D) 国防省情報ネットワークのセンサー、ツール、ルーティング・インフラ、およびエンドポイント・データ、および
(E) other data management and analytic platforms pertinent to United States Cyber Command missions that align with the principles of Joint All Domain Command and Control; (E) 米国サイバー司令部の任務に関連するその他のデータ管理・分析プラットフォームで、Joint All Domain Command and Controlの原則に沿ったもの。
(3) pilot efforts to develop operational workflows and tactics, techniques, and procedures for the operational use of mission-relevant data by the Cyberspace Operations Forces; and (3) サイバースペース作戦部隊がミッションに関連するデータを運用で使用するための運用ワークフロー、戦術、技術、手順を開発するための試験的な取り組み。
(4) evaluate data management platforms used to carry out paragraphs (1), (2), and (3) to ensure such platforms operate consistently with the Deputy Secretary of Defense's Data Decrees signed on May 5, 2021. (4) パラグラフ(1)、(2)、(3)を遂行するために使用されるデータ管理プラットフォームを評価し、当該プラットフォームが2021年5月5日に署名された国防副長官のデータ同意書と一貫して動作することを確認する。
(b) Roles and Responsibilities.-- (b) 役割と責任--。
(1) In general.--Not later than 270 days after the date of the enactment of this Act, the Commander of United States Cyber Command and the Secretaries of the military departments, in coordination with the Principal Cyber Advisor to the Secretary, the Chief Information Officer and Chief Data Officer of the Department of Defense, and the Chairman of the Joint Chiefs of Staff, shall establish the specific roles and responsibilities of the following in implementing each of the tasks required under subsection (a): (1) 一般的に--本法の制定日から270日以内に、米国サイバー司令部の司令官および各軍部の長官は、長官の主席サイバー顧問、国防総省の最高情報責任者および最高データ責任者、統合参謀本部議長と連携して、(a)項で要求される各タスクの実施における以下の者の具体的な役割と責任を確立しなければならない。
(A) United States Cyber Command. (A) 米国のサイバー司令部。
(B) Program offices responsible for the components of the Joint Cyber Warfighting Architecture. (B) 統合サイバー戦力アーキテクチャの構成要素を担当するプログラムオフィス。
(C) The military services. (C) 各軍部。
(D) Entities in the Office of the Secretary of Defense. (D) 国防省長官室の組織。
(E) Any other program office, headquarters element, or operational component newly instantiated or determined relevant by the Secretary. (E) 長官が新たに設置した、あるいは関連性があると判断したその他のプログラムオフィス、本部要素、作戦構成要素。
(2) Briefing.--Not later than 300 days after the date of the enactment of this Act, the Secretary of Defense shall provide to the congressional defense committees a briefing on the roles and responsibilities established under paragraph (1). (2) 本法制定後300日以内に、国防長官は議会の防衛委員会に対し、第1項で設定された役割と責任に関するブリーフィングを行わなければならない。
SEC. 1528. ZERO TRUST STRATEGY, PRINCIPLES, MODEL ARCHITECTURE, AND IMPLEMENTATION PLANS. Sec. 1528. ゼロトラスト戦略、原則、モデルアーキテクチャ、および実施計画
(a) In General.--Not later than 270 days after the date of the enactment of this Act, the Chief Information Officer of the Department of Defense and the Commander of United States Cyber Command shall jointly develop a zero trust strategy, principles, and a model architecture to be implemented across the Department of Defense Information Network, including classified networks, operational technology, and weapon systems. (a) 一般的に--本法の制定日から270日以内に、国防総省の最高情報責任者と米国サイバー司令部の司令官は、機密ネットワーク、運用技術、兵器システムを含む国防総省の情報ネットワーク全体に導入するゼロトラスト戦略、原則、モデル・アーキテクチャを共同で開発する。
(b) Strategy, Principles, and Model Architecture Elements.--The zero trust strategy, principles, and model architecture required under subsection (a) shall include, at a minimum, the following elements: (b) 戦略、原則、モデル・アーキテクチャの要素--(a)項で要求されるゼロトラスト戦略、原則、モデル・アーキテクチャは、少なくとも以下の要素を含むものとする。
(1) Prioritized policies and procedures for establishing implementations of mature zero trust enabling capabilities within on-premises, hybrid, and pure cloud environments, including access control policies that determine which persona or device shall have access to which resources and the following: (1) オンプレミス、ハイブリッド、およびピュアクラウド環境内で成熟したゼロトラスト実現機能の実装を確立するための優先順位付けされたポリシーと手順。
(A) Identity, credential, and access management. (A) アイデンティティ、クレデンシャル、およびアクセス管理。
(B) Macro and micro network segmentation, whether in virtual, logical, or physical environments. (B) 仮想、論理、物理のいずれの環境であっても、マクロおよびミクロのネットワークのセグメンテーション。
(C) Traffic inspection. (C) トラフィック検査。
(D) Application security and containment. (D) アプリケーションのセキュリティと封じ込め
(E) Transmission, ingest, storage, and real-time analysis of cybersecurity metadata endpoints, networks, and storage devices. (E) サイバーセキュリティメタデータのエンドポイント、ネットワーク、ストレージデバイスの送信、取り込み、保存、リアルタイム分析
(F) Data management, data rights management, and access controls. (F) データ管理、データ権限管理、及びアクセス制御
(G) End-to-end encryption. (G) エンドツーエンドの暗号化
(H) User access and behavioral monitoring, logging, and analysis. (H) ユーザのアクセス及び行動の監視、記録、分析
(I) Data loss detection and prevention methodologies. (I) データ損失の検出と防止の方法論。
(J) Least privilege, including system or network administrator privileges. (J) システムまたはネットワーク管理者の特権を含む最小の特権
(K) Endpoint cybersecurity, including secure host, endpoint detection and response, and comply-to-connect requirements. (K) セキュアホスト、エンドポイント検出と応答、およびコンプライアント・トゥ・コネクトの要件を含むエンドポイントのサイバーセキュリティ。
(L) Automation and orchestration. (L) 自動化とオーケストレーション
(M) Configuration management of virtual machines, devices, servers, routers, and similar to be maintained on a single virtual device approved list (VDL). (M) 単一の仮想デバイス承認リスト(VDL)で維持される仮想マシン、デバイス、サーバ、ルータなどの構成管理。
(2) Policies specific to operational technology, critical data, infrastructures, weapon systems, and classified networks. (2) 運用技術、重要データ、インフラ、兵器システム、および機密ネットワークに特化したポリシー。
(3) Specification of enterprise-wide acquisitions of capabilities conducted or to be conducted pursuant to the policies referred to in paragraph (2). (3) (2)で言及されたポリシーに基づいて実施された、または実施される予定の能力の企業全体の取得の仕様。
(4) Specification of standard zero trust principles supporting reference architectures and metrics-based assessment plan. (4) 参照アーキテクチャを支える標準的なゼロトラスト原則の仕様と、評価指標に基づく評価計画。
(5) Roles, responsibilities, functions, and operational workflows of zero trust cybersecurity architecture and information technology personnel-- (5) ゼロトラスト・サイバーセキュリティ・アーキテクチャと情報技術者の役割、責任、機能、運用ワークフロー
(A) at combatant commands, military services, and defense agencies; and (A) 戦闘機司令部、軍事サービス、および防衛機関。
(B) Joint Forces Headquarters-Department of Defense Information Network. (B) 統合軍本部-国防省情報ネットワーク。
(c) Architecture Development and Implementation.--In developing and implementing the zero trust strategy, principles, and model architecture required under subsection (a), the Chief Information Officer of the Department of Defense and the Commander of United States Cyber Command shall-- (c) アーキテクチャの開発と実施--第(a)項で要求されたゼロトラスト戦略、原則、モデル・アーキテクチャを開発し実施するにあたり、国防総省の最高情報責任者と米国サイバー司令部の司令官は--。
(1) coordinate with-- (1)以下と調整する。
(A) the Principal Cyber Advisor to the Secretary of Defense; (A) 国防長官の主席サイバー顧問。
(B) the Director of the National Security Agency Cybersecurity Directorate; (B) 国家安全保障局のサイバーセキュリティ局長。
(C) the Director of the Defense Advanced Research Projects Agency; (C) 国防高等研究計画局の局長。
(D) the Chief Information Officer of each military service; (D) 各軍の最高情報責任者。
(E) the Commanders of the cyber components of the military services; (E) 各軍のサイバー部門の司令官
(F) the Principal Cyber Advisor of each military service; (F) 各軍部の主席サイバー顧問
(G) the Chairman of the Joints Chiefs of Staff; and (G) 合同参謀本部議長、および
(H) any other component of the Department of Defense as determined by the Chief Information Officer and the Commander; (H) 最高情報責任者と司令官が決定した国防省のその他の構成要素。
(2) assess the utility of the Joint Regional Security Stacks, automated continuous endpoint monitoring program, assured compliance assessment solution, and each of the defenses at the Internet Access Points for their relevance and applicability to the zero trust architecture and opportunities for integration or divestment; (2) 合同地域セキュリティスタック、自動化された継続的エンドポイント監視プログラム、確実なコンプライアンス評価ソリューション、インターネットアクセスポイントにおける各防御策の有用性を評価し、ゼロトラストアーキテクチャとの関連性と適用性、統合または切り離しの機会を検討する。
(3) employ all available resources, including online training, leveraging commercially available zero trust training material, and other Federal agency training, where feasible, to implement cybersecurity training on zero trust at the-- (3) オンライン・トレーニング、商業的に入手可能なゼロ・トラスト・トレーニング教材の活用、および実行可能な場合には他の連邦機関のトレーニングを含む、利用可能なすべてのリソースを用いて、ゼロ・トラストに関するサイバーセキュリティ・トレーニングを以下のレベルで実施する。
(A) executive level; (A) 上級管理職レベル。
(B) cybersecurity professional or implementer level; and (B) サイバーセキュリティの専門家または実施者レベル。
(C) general knowledge levels for Department of Defense users; (C) 国防総省のユーザのための一般的な知識レベル。
(4) facilitate cyber protection team and cybersecurity service provider threat hunting and discovery of novel adversary activity; (4) サイバー・プロテクション・チームとサイバー・セキュリティ・サービス・プロバイダーによる脅威の探索と新規敵対者の活動の発見を促進すること。
(5) assess and implement means to effect Joint Force Headquarters-Department of Defense Information Network's automated command and control of the entire Department of Defense Information Network; (5) 国防省情報ネットワーク全体に対する統合軍本部-国防省情報ネットワークの自動化された指揮統制を実現するための手段を評価し、実施すること。
(6) assess the potential of and, as appropriate, encourage, use of third-party cybersecurity-as-a-service models; (6) 第三者によるサイバーセキュリティ・アズ・ア・サービスモデルの可能性を評価し、必要に応じてその利用を奨励する。
(7) engage with and conduct outreach to industry, academia, international partners, and other departments and agencies of the Federal Government on issues relating to deployment of zero trust architectures; (7) ゼロトラスト・アーキテクチャーの展開に関連する問題について、産業界、学界、国際的なパートナー、および連邦政府の他の省庁と連携し、アウトリーチを行う。
(8) assess the current Comply-to-Connect Plan; and (8) 現在のComply-to-Connect計画を評価する。
(9) review past and conduct additional pilots to guide development, including-- (9) 以下を含め、開発の指針となる過去のパイロットを検討し、追加で実施する。
(A) utilization of networks designated for testing and accreditation under section 1658 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 2224 note); (A)2020年度国防権限法(Public Law 116-92; 10 U.S.C. 2224 note)の第1658条に基づく試験および認定に指定されたネットワークの活用。
(B) use of automated red team products for assessment of pilot architectures; and (B)試験的なアーキテクチャを評価するための自動レッドチーム製品の使用。
(C) accreditation of piloted cybersecurity products for enterprise use in accordance with the findings on enterprise accreditation standards conducted pursuant to section 1654 of such Act (Public Law 116-92). (C)同法第1654条(公法第116-92条)に従って実施された企業認定基準に関する調査結果に基づき、試験的に開発されたサイバーセキュリティ製品を企業向けに認定すること。
(d) Implementation Plans.-- (d) 実施計画--。
(1) In general.--Not later than one year after the finalization of the zero trust strategy, principles, and model architecture required under subsection (a), the head of each military department and the head of each component of the Department of Defense shall transmit to the Chief Information Officer of the Department and the Commander of Joint Forces Headquarters-Department of Defense Information Network a draft plan to implement such zero trust strategy, principles, and model architecture across the networks of their respective components and military departments. (1)一般的に--(a)項で要求されたゼロトラスト戦略、原則、モデル・アーキテクチャーの最終化から1年以内に、各軍部の長と国防総省の各構成部の長は、国防総省の最高情報責任者と国防総省情報ネットワーク統合本部の司令官に、それぞれの構成部と軍部のネットワーク全体で当該ゼロトラスト戦略、原則、モデル・アーキテクチャーを実施するための計画案を提出しなければならない。
(2) Elements.--Each implementation plan transmitted pursuant to paragraph (1) shall include, at a minimum, the following: (2) 第1項に従って提出された各実施計画には、少なくとも以下の内容が含まれていなければならない。
(A) Specific acquisitions, implementations, instrumentations, and operational workflows to be implemented across unclassified and classified networks, operational technology, and weapon systems. (A) 非分類および分類されたネットワーク、運用技術、兵器システムに渡って実装される具体的な取得、実装、装置、および運用ワークフロー。
(B) A detailed schedule with target milestones and required expenditures. (B) 目標マイルストーンと必要な支出を含む詳細なスケジュール。
(C) Interim and final metrics, including a phase migration plan. (C) フェーズ移行計画を含む、中間および最終評価指標。
(D) Identification of additional funding, authorities, and policies, as may be required. (D) 必要となる可能性のある、追加資金、権限、ポリシーの特定。
(E) Requested waivers, exceptions to Department of Defense policy, and expected delays. (E) 要求された免除、国防総省の方針に対する例外、及び予想される遅延。
(e) Implementation Oversight.-- (e) 実施監督
(1) In general.--The Chief Information Officer of the Department of Defense shall-- (1) 国防総省の最高情報責任者(CIO)は、以下を行う。
(A) assess the implementation plans transmitted pursuant to subsection (d)(1) for-- (A) サブセクション(d)(1)に従って送信された実施計画を以下のように評価する。
(i) adequacy and responsiveness to the zero trust strategy, principles, and model architecture required under subsection (a); and (i) サブセクション(a)で要求されたゼロ・トラスト戦略、原則、およびモデル・アーキテクチャーに対する適切性と対応性。
(ii) appropriate use of enterprise-wide acquisitions; (ii) 企業規模の買収の適切な使用。
(B) ensure, at a high level, the interoperability and compatibility of individual components' Solutions Architectures, including the leveraging of enterprise capabilities where appropriate through standards derivation, policy, and reviews; (B) 標準化、ポリシー、レビューを通じて、必要に応じて企業の能力を活用することを含め、各コンポーネントのソリューション・アーキテクチャーの相互運用性と互換性を高いレベルで確保する。
(C) use the annual investment guidance of the Chief to ensure appropriate implementation of such plans, including appropriate use of enterprise-wide acquisitions; (C) チーフの年次投資ガイダンスを利用して、全社的な買収の適切な利用を含む、当該計画の適切な実施を確保する。
(D) track use of waivers and exceptions to policy; (D) ポリシーに対する放棄と例外の使用を追跡する。
(E) use the Cybersecurity Scorecard to track and drive implementation of Department components; and (E) サイバーセキュリティ・スコアカードを使用して、省庁のコンポーネントの実施状況を追跡し、推進する。
(F) leverage the authorities of the Commander of Joint Forces Headquarters-Department of Defense Information Network and the Director of the Defense Information Systems Agency to begin implementation of such zero trust strategy, principles, and model architecture. (F) ゼロトラスト戦略、原則、モデルアーキテクチャの実施を開始するために、統合軍本部-国防省情報ネットワーク司令官と国防情報システム庁長官の権限を活用する。
(2) Assessments of funding.--Not later than March 31, 2024, and annually thereafter, each Principal Cyber Advisor of a military service shall include in the annual budget certification of such military service, as required by section 1657(d) of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 391 note), an assessment of the adequacy of funding requested for each proposed budget for the purposes of carrying out the implementation plan for such military service under subsection (d)(1). (2) 資金の評価 --2024年3月31日までに、その後は毎年、軍部の各主席サイバー顧問は、2020年度国防権限法(Public Law 116-92; 10 U.S.C. 391 note)の1657(d)項で要求されるように、当該軍部の年次予算証明書に、(d)(1)項に基づく当該軍部の実施計画を遂行する目的で、各予算案に要求された資金の妥当性についての評価を含めなければならない。
(f) Initial Briefings.-- (f) 最初の説明会
(1) On model architecture.--Not later than 90 days after finalizing the zero trust strategy, principles, and model architecture required under subsection (a), the Chief Information Officer of the Department of Defense and the Commander of Joint Forces Headquarters-Department of Defense Information Network shall provide to the congressional defense committees a briefing on such zero trust strategy, principles, and model architecture. (1) 国防総省の最高情報責任者と国防総省情報ネットワーク統合本部長は、(a)項で要求されたゼロトラスト戦略、原則、モデル・アーキテクチャーを確定してから90日以内に、議会の防衛委員会に対し、当該ゼロトラスト戦略、原則、モデル・アーキテクチャーに関するブリーフィングを行わなければならない。
(2) On implementation plans.--Not later than 90 days after the receipt by the Chief Information Officer of the Department of Defense of an implementation plan transmitted pursuant to subsection (d)(1), the secretary of a military department, in the case of an implementation plan pertaining to a military department or a military service, or the Chief Information Officer of the Department, in the case of an implementation plan pertaining to a remaining component of the Department, as the case may be, shall provide to the congressional defense committees a briefing on such implementation plan. (2) 実施計画について--国防総省の最高情報責任者が、第(d)項(1)に従って送信された実施計画を受領してから90日以内に、軍部または軍務に関連する実施計画の場合は軍部の長官が、国防総省の残りの構成要素に関連する実施計画の場合は国防総省の最高情報責任者が、場合によっては議会の防衛委員会に当該実施計画に関するブリーフィングを提供しなければならない。
(g) Annual Briefings.--Effective February 1, 2022, at each of the annual cybersecurity budget review briefings of the Chief Information Officer of the Department of Defense and the military services for congressional staff, until January 1, 2030, the Chief Information Officer and the head of each of the military services shall provide updates on the implementation in their respective networks of the zero trust strategy, principles, and model architecture. (g) 年次ブリーフィング--2022年2月1日より、2030年1月1日までの間、国防総省と軍部の最高情報責任者が議会スタッフに対して行う年次サイバーセキュリティ予算検討ブリーフィングの各回において、最高情報責任者と各軍部の長は、ゼロトラスト戦略、原則、モデル・アーキテクチャのそれぞれのネットワークにおける実施状況について最新情報を提供する。
SEC. 1529. DEMONSTRATION PROGRAM FOR AUTOMATED SECURITY VALIDATION TOOLS. Sec. 1529. 自動セキュリティ検証ツールの実証プログラム
(a) Demonstration Program Required.--Not later than October 1, 2024, the Chief Information Officer of the Department of Defense, acting through the Director of the Defense Information Systems Agency of the Department, shall complete a demonstration program to demonstrate and assess an automated security validation capability to assist the Department by-- (a) 遅くとも2024年10月1日までに、国防総省の最高情報責任者は、国防総省の国防情報システム庁長官を介して、以下の点で国防総省を支援する自動化されたセキュリティ検証能力を実証・評価するための実証プログラムを完成させなければならない。
(1) mitigating cyber hygiene challenges; (1) サイバー・ハイジーンの課題を軽減する。
(2) supporting ongoing efforts of the Department to assess weapon systems resiliency; (2) 兵器システムの回復力を評価するための省庁の継続的な取り組みを支援する。
(3) quantifying enterprise security effectiveness of enterprise security controls, to inform future acquisition decisions of the Department; (3) 企業のセキュリティ管理の有効性を定量化し、省庁の将来の取得決定に役立てる。
(4) assisting portfolio managers with balancing capability costs and capability coverage of the threat landscape; and (4) ポートフォリオマネージャーが、能力コストと脅威の範囲のバランスをとるのを支援する。
(5) supporting the Department's Cybersecurity Analysis and Review threat framework. (5) 省庁のサイバーセキュリティ分析とレビューの脅威フレームワークを支援する。
(b) Considerations.--In developing capabilities for the demonstration program required under subsection (a), the Chief Information Officer shall consider-- (b) 検討事項--(a)項で要求される実証プログラムのための能力を開発するにあたり、最高情報責任者は以下を検討しなければならない。
(1) integration into automated security validation tools of advanced commercially available threat intelligence; (1) 自動化されたセキュリティ検証ツールに、商業的に入手可能な高度な脅威インテリジェンスを統合すること。
(2) metrics and scoring of security controls; (2) セキュリティコントロールの評価基準とスコアリング。
(3) cyber analysis, cyber campaign tracking, and cybersecurity information sharing; (3) サイバー分析、サイバーキャンペーンの追跡、サイバーセキュリティ情報の共有。
(4) integration into cybersecurity enclaves and existing cybersecurity controls of security instrumentation and testing capability; (4) サイバーセキュリティ・エンクレーブや既存のサイバーセキュリティ・コントロールに統合された、セキュリティ機器やテスト機能。
(5) endpoint sandboxing; and (5) エンドポイントのサンドボックス化
(6) use of actual adversary attack methodologies. (6) 実際の敵対者の攻撃方法の使用。
(c) Coordination With Military Services.--In carrying out the demonstration program required under subsection (a), the Chief Information Officer, acting through the Director of the Defense Information Systems Agency, shall coordinate demonstration program activities with complementary efforts on-going within the military services, defense agencies, and field agencies. (c) 軍需産業との調整...第(a)項で要求された実証プログラムを実施するにあたり、最高情報責任者は、国防情報システム庁長官を通じて、実証プログラムの活動を、軍需産業、国防機関、現場機関の中で行われている補完的な取り組みと調整するものとする。
(d) Independent Capability Assessment.--In carrying out the demonstration program required under subsection (a), the Chief Information Officer, acting through the Director of the Defense Information Systems Agency and in coordination with the Director, Operational Test and Evaluation, shall perform operational testing to evaluate the operational effectiveness, suitability, and cybersecurity of the capabilities developed under the demonstration program. (d) 独立した能力評価 --(a)項で要求された実証プログラムを実施するにあたり、最高情報責任者は、国防情報システム庁長官を通じて行動し、運用試験評価担当長官と連携して、実証プログラムの下で開発された能力の運用効果、適合性、サイバーセキュリティを評価するための運用試験を実施する。
(e) Briefing.-- (e) ブリーフィング...
(1) Initial briefing.--Not later than April 1, 2022, the Chief Information Officer shall brief the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on the plans and status of the Chief Information Officer with respect to the demonstration program required under subsection (a). (1) 最高情報責任者は、2022年4月1日までに、上院軍事委員会および下院軍事委員会に対し、(a)項で要求される実証プログラムに関する最高情報責任者の計画と状況を説明する。)
(2) Final briefing.--Not later than October 31, 2024, the Chief Information Officer shall brief the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives on the results and findings of the Chief Information Officer with respect to the demonstration program required under subsection (a). (2) 最終報告会--2024年10月31日までに、最高情報責任者は、上院軍事委員会および下院軍事委員会に対し、(a)項に基づいて要求される実証プログラムに関する最高情報責任者の結果および調査結果を報告する。
SEC. 1530. IMPROVEMENTS TO CONSORTIUM OF UNIVERSITIES TO ADVISE SECRETARY OF DEFENSE ON CYBERSECURITY MATTERS. Sec. 1530. 国防長官にサイバーセキュリティに関する助言を行う大学コンソーシアムの改善
Section 1659 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92; 10 U.S.C. 391 note) is amended-- 2020年度国防権限法(Public Law 116-92; 10 U.S.C. 391 note)の第1659条を改正する。
(1) in subsection (a)-- (1) サブセクション(a)において--。
(A) in the matter preceding paragraph (1), by striking ``one or more consortia'' and inserting ``a consortium''; and (A) パラグラフ(1)の前の部分で、「1つ以上のコンソーシアム」を削除し、「1つのコンソーシアム」を挿入する。
(B) in paragraph (1), by striking ``or consortia''; (B) (1)の項では、「またはコンソーシアム」を削除する。
(2) in subsection (b), by striking ``or consortia''; (2) 第(b)項では、「またはコンソーシアム」を削除する。
(3) in subsection (c)-- (3) サブセクション(c)においては
(A) by amending paragraph (1) to read as follows: (A) パラグラフ(1)を以下のように修正します。
``(1) Designation of administrative chair.--The Secretary of Defense shall designate the National Defense University College of Information and Cyberspace to function as the administrative chair of the consortium established pursuant to subsection (a).''; ''(1) 国防長官は、国防大学情報サイバースペース学部を、(a)項に基づいて設立されたコンソーシアムの運営委員長として指定する。
(B) by striking paragraph (2); (B)段落(2)を削除する。
(C) by redesignating paragraphs (3) and (4) as paragraphs (2) and (3), respectively; (C)パラグラフ(3)および(4)をそれぞれパラグラフ(2)および(3)と再指定すること。
(D) in paragraph (2), as so redesignated-- (D) 再指定された第2パラグラフのうち
(i) in the matter preceding subparagraph (A)-- (i) (A)項の前の部分では
(I) by striking ``Each administrative'' and inserting ``The administrative''; and (I) 「各行政機関」を削除し、「その行政機関」を挿入すること。
(II) by striking ``a consortium'' and inserting ``the consortium''; and (II) 「あるコンソーシアム」を削除し、「そのコンソーシアム」を挿入する。
(ii) in subparagraph (A), by striking ``for the term specified by the Secretary under paragraph (1)''; and (ii) (A)項では、「(1)項に基づいて長官が指定した期間」を削除し、(iii)項では、「(1)項に基づいて長官が指定した期間」を削除する。
(E) by amending paragraph (3), as so redesignated, to read as follows: (E) 改訂されたパラグラフ(3)を以下のように修正する。
``(3) Executive committee.--The Secretary, in consultation with the administrative chair, may form an executive committee for the consortium that is comprised of representatives of the Federal Government to assist the chair with the management and functions of the consortium.''; and ''(3) 長官は、議長と協議の上、連邦政府の代表者で構成される執行委員会を設置し、議長のコンソーシアムの運営と機能を支援することができる。
(4) by amending subsection (d) to read as follows: (4) 第(d)項を次のように修正する。
``(d) Consultation.--The Secretary shall meet with such members of the consortium as the Secretary considers appropriate, not less frequently than twice each year or at such periodicity as is agreed to by the Secretary and the consortium.''. ''(d) 長官は、毎年2回以上の頻度で、または長官とコンソーシアムが合意した頻度で、長官が適切と考えるコンソーシアムのメンバーと会合を持つものとする。
SEC. 1531. DIGITAL DEVELOPMENT INFRASTRUCTURE PLAN AND WORKING GROUP. Sec. 1531. デジタル開発インフラ計画および作業部会
(a) Plan Required.--Not later than one year after the date of the enactment of this Act, the Secretary of Defense, acting through the working group established under subsection (d)(1), shall develop a plan for the establishment of a modern information technology infrastructure that supports state of the art tools and modern processes to enable effective and efficient development, testing, fielding, and continuous updating of artificial intelligence-capabilities. (a) 本法制定後1年以内に、国防長官は、(d)(1)に基づいて設立されたワーキンググループを通じて、人工知能能力の効果的かつ効率的な開発、試験、実戦、および継続的な更新を可能にする最先端のツールと近代的なプロセスをサポートする近代的な情報技術基盤の確立のための計画を策定しなければならない。
(b) Contents of Plan.--The plan developed pursuant to subsection (a) shall include at a minimum the following: (b) 計画の内容 -- 第(a)項に従って作成された計画には、少なくとも以下のものが含まれなければならない。
(1) A technical plan and guidance for necessary technical investments in the infrastructure described in subsection (a) that address critical technical issues, including issues relating to common interfaces, authentication, applications, platforms, software, hardware, and data infrastructure. (1) 共通のインターフェイス、認証、アプリケーション、プラットフォーム、ソフトウェア、ハードウェア、データインフラに関する問題を含む、重要な技術的問題に対処する、(a)項に記載されたインフラへの必要な技術的投資のための技術計画およびガイダンス。
(2) A governance structure, together with associated policies and guidance, to support the implementation throughout the Department of such plan. (2) このような計画の省全体での実施を支援するための、関連するポリシーやガイダンスを含むガバナンス構造。
(3) Identification and minimum viable instantiations of prototypical development and platform environments with such infrastructure, including enterprise data sets assembled under subsection (e). (3) (e)項に基づいて収集された企業データセットを含む、このようなインフラを備えたプロトタイプの開発環境およびプラットフォーム環境の特定および最小実行可能なインスタンス。
(c) Harmonization With Departmental Efforts.--The plan developed pursuant to subsection (a) shall include a description of the aggregated and consolidated financial and personnel requirements necessary to implement each of the following Department of Defense documents: (c) 省庁の取り組みとの調和 -- 第(a)項に従って作成された計画には、以下の国防省の各文書を実施するために必要な集計および統合された財務および人員の要件の説明が含まれなければならない。
(1) The Department of Defense Digital Modernization Strategy. (1)国防総省のデジタル近代化戦略。
(2) The Department of Defense Data Strategy. (2) 国防総省のデータ戦略
(3) The Department of Defense Cloud Strategy. (3) 国防省クラウド戦略
(4) The Department of Defense Software Modernization Strategy. (4) 国防総省ソフトウェア近代化戦略
(5) The Department-wide software science and technology strategy required under section 255 of the National Defense Authorization Act for Fiscal Year 2020 (10 U.S.C. 2223a note). (5) 2020年度国防権限法第255条(10 U.S.C. 2223a注)に基づいて要求される、省全体のソフトウェア科学技術戦略。
(6) The Department of Defense Artificial Intelligence Data Initiative. (6) 国防総省の人工知能データ・イニシアティブ。
(7) The Joint All-Domain Command and Control Strategy. (7) Joint All-Domain Command and Control Strategy(統合全領域指揮統制戦略)。
(8) Such other documents as the Secretary determines appropriate. (8) 長官が適切と判断するその他の文書。
(d) Working Group.-- (d) ワーキンググループ...
(1) Establishment.--Not later than 60 days after the date of the enactment of this Act, the Secretary of Defense shall establish a working group on digital development infrastructure implementation to develop the plan required under subsection (a). (1) 国防長官は、本法の制定日から60日以内に、デジタル開発基盤の導入に関する作業部会を設置し、(a)項で求められる計画を策定する。)
(2) Membership.--The working group established under paragraph (1) shall be composed of individuals selected by the Secretary of Defense to represent each of the following: (2) 第1項で設立された作業部会は、以下の各代表者から国防長官が選出した人物で構成される。
(A) The Office of Chief Data Officer (CDO). (A) 最高データ責任者(CDO)のオフィス。
(B) The Component Offices of Chief Information Officer and Chief Digital Officer. (B) コンポーネントの最高情報責任者および最高デジタル責任者のオフィス。
(C) The Joint Artificial Intelligence Center (JAIC). (C) 統合人工知能センター(JAIC)。
(D) The Office of the Under Secretary of Defense for Research & Engineering (OUSD (R&E)). (D) 研究・エンジニアリング担当国防次官室(OUSD (R&E))。
(E) The Office of the Under Secretary of Defense for Acquisition & Sustainment (OUSD (A&S)). (E) 取得・維持担当国防次官室(OUSD (A&S))。
(F) The Office of the Under Secretary of Defense for Intelligence & Security (OUSD (I&S)). (F) 情報・安全保障担当国防次官室(OUSD (I&S))。
(G) Service Acquisition Executives. (G) サービス調達担当幹部
(H) The Office of the Director of Operational Test and Evaluation (DOT&E). (H) 運用試験評価部長室(DOT&E)。
(I) The office of the Director of the Defense Advanced Research Projects Agency (DARPA). (I) 国防総省高等研究計画局(DARPA)局長室。
(J) Digital development infrastructure programs, including the appropriate activities of the military services and defense agencies. (J) 軍部および防衛機関の適切な活動を含む、デジタル開発基盤プログラム。
(K) Such other officials of the Department of Defense as the Secretary determines appropriate. (K) 長官が適切と判断した国防総省のその他の職員。
(3) Chairperson.--The chairperson of the working group established under paragraph (1) shall be the Chief Information Officer of the Department of Defense, or such other official as the Secretary of Defense considers appropriate. (3) 第1項に基づいて設置された作業部会の議長は、国防総省の最高情報責任者、または国防長官が適切と考えるその他の職員とする。
(4) Consultation.--The working group shall consult with such experts outside of the Department of Defense as the working group considers necessary to develop the plan required under subsection (a). (4) ワーキンググループは、(a)項で要求される計画を策定するために、ワーキンググループが必要と考える国防総省外の専門家と協議する。)
(e) Strategic Data Node.--To enable efficient access to enterprise data sets referred to in subsection (b)(3) for users with authorized access, the Secretary of Defense shall assemble such enterprise data sets in the following areas: (e) Strategic Data Node.--アクセスを許可されたユーザーが(b)(3)で言及された企業データセットに効率的にアクセスできるようにするために、国防長官は以下の分野でそのような企業データセットを組み立てるものとする。
(1) Human resources. (1)人的資源。
(2) Budget and finance. (2)予算と財務
(3) Acquisition. (3) 取得
(4) Logistics. (4) 兵站
(5) Real estate. (5)不動産
(6) Health care. (6) 健康管理
(7) Such other areas as the Secretary considers appropriate. (7) 長官が適切と考えるその他の分野。
(f) Report.--Not later than 180 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a report on the status of the development of the plan required under subsection (a). (f) 国防長官は、本法の制定日から180日以内に、連邦議会の国防委員会に対し、(a)項で求められる計画の策定状況に関する報告書を提出しなければならない。)
SEC. 1532. STUDY REGARDING ESTABLISHMENT WITHIN THE DEPARTMENT OF DEFENSE OF A DESIGNATED CENTRAL PROGRAM OFFICE TO OVERSEE ACADEMIC ENGAGEMENT PROGRAMS RELATING TO ESTABLISHING CYBER TALENT ACROSS THE DEPARTMENT. Sec. 1532. 国防総省内にサイバー人材の育成に関する学術的なプログラムを統括する中央プログラムオフィスを設置することに関する研究
(a) In General.--Not later than 270 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a study regarding the need, feasibility, and advisability of establishing within the Department of Defense a designated central program office responsible for overseeing covered academic engagement programs across the Department. Such study shall examine the following: (a) 国防長官は、本法令の制定日から270日以内に、国防省内に、省内の対象となる学術的関与プログラムを監督する指定中央プログラム局を設置する必要性、実現可能性、および助言に関する調査を、議会の防衛委員会に提出しなければならない。この調査では以下のことを検討する。
(1) Whether the Department's cyber-focused academic engagement needs more coherence, additional coordination, or improved management, and whether a designated central program office would provide such benefits. (1) 国防総省のサイバー関連の学術活動は、より一貫性があり、調整が必要であり、管理が改善される必要があるかどうか、また、指定された中央プログラム事務所がそのような利点をもたらすかどうか。
(2) How such a designated central program office would coordinate and harmonize Department programs relating to covered academic engagement programs. (2) そのような指定された中央プログラム事務所が、対象となる学術的関与プログラムに関連する省のプログラムをどのように調整し、調和させるか。
(3) Metrics such office would use to measure the effectiveness of covered academic engagement programs. (3) 当該事務局が対象となる学術的関与プログラムの効果を測定するために使用する評価基準
(4) Whether such an office is necessary to serve as an identifiable entry point to the Department by the academic community. (4) このような事務局は、学術界が省に対して識別可能な入口として機能するために必要であるかどうか。
(5) Whether the cyber discipline with respect to academic engagement should be treated separately from other STEM fields. (5) 学術的関与に関するサイバー分野は、他のSTEM分野とは別に扱うべきかどうか。
(6) How such an office would interact with the consortium universities (established pursuant to section 1659 of the National Defense Authorization Act for Fiscal Year 2020 (10 U.S.C. 391 note)) to assist the Secretary on cybersecurity matters. (6) このような事務局は、サイバーセキュリティに関する事項で長官を支援するためのコンソーシアム大学(2020年度国防権限法第1659条(10 U.S.C. 391注)に基づいて設立される)とどのように相互作用するか。
(7) Whether the establishment of such an office would have an estimated net savings for the Department. (7) そのような事務所の設立が、省庁にとって推定正味の節約になるかどうか。
(b) Consultation.--In conducting the study required under subsection (a), the Secretary of Defense shall consult with and solicit recommendations from academic institutions and stakeholders, including primary, secondary, and post-secondary educational institutions. (b) 協議...国防長官は、(a)項で要求される調査を実施するにあたり、初等・中等・高等教育機関を含む学術機関や利害関係者と協議し、提言を求めなければならない。
(c) Determination.-- (c) 決定。
(1) In general.--Upon completion of the study required under subsection (a), the Secretary of Defense shall make a determination regarding the establishment within the Department of Defense of a designated central program office responsible for overseeing covered academic engagement programs across the Department. (1) 国防長官は、(a)項に基づく調査が完了した時点で、国防総省内に対象となる学術活動プログラムを監督する責任を負う指定された中央プログラム事務所を設置するかどうかについて決定を下す。
(2) Implementation.--If the Secretary of Defense makes an affirmative determination in accordance with paragraph (1), the Secretary shall establish within the Department of Defense a designated central program office responsible for overseeing covered academic programs across the Department. Not later than 180 days after such a determination, the Secretary shall promulgate such rules and regulations as are necessary to so establish such an office. (2) 国防長官が(1)項に従って肯定的な判断を下した場合、国防長官は国防省内に対象となる学術プログラムを監督する責任を負う指定中央プログラム局を設置する。そのような決定から180日以内に、長官はそのような事務所を設立するために必要な規則を公布しなければならない。
(3) Negative determination.--If the Secretary of Defense makes a negative determination in accordance with paragraph (1), the Secretary shall submit to the congressional defense committees notice of such determination, together with a justification for such determination. Such justification shall include-- (3) 国防長官が(1)項に従って否定的な決定を下した場合、長官はその決定を正当化する理由とともに、議会の防衛委員会に通知を提出する。正当化には以下が含まれる。
(A) how the Secretary intends to coordinate and harmonize covered academic engagement programs; and (A) 対象となる学術的関与プログラムをどのように調整し、調和させようとしているのか。
(B) measures to determine effectiveness of covered academic engagement programs absent a designated central program office responsible for overseeing covered academic programs across the Department. (B) 対象となる学術的関与プログラムの有効性を判断するための手段で、省庁全体の対象となる学術的プログラムを監督する責任を負う指定された中央プログラム事務所が存在しないこと。
(d) Report.--Not later than 270 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the congressional defense committees a report that updates the matters required for inclusion in the reports required pursuant to section 1649 of the National Defense Authorization Act for Fiscal Year 2020 (Public Law 116-92) and section 1726(c) of the William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Public Law 116-283). (d) 報告書 --本法制定日から270日以内に、国防長官は、2020会計年度国防権限法第1649条(公法116-92)および2021会計年度ウィリアム・M・(マック)ソーンベリー国防権限法第1726条(c)に従って求められる報告書に記載すべき事項を更新した報告書を、議会の国防委員会に提出しなければならない。
(e) Definition.--In this section, the term ``covered academic engagement program'' means each of the following: (e) 定義--本項において、「対象となる学術的関与プログラム」とは、以下の各項目を意味する。
(1) Primary, secondary, or post-secondary education programs with a cyber focus. (1) サイバーに焦点を当てた初等教育、中等教育、または中等後教育プログラム。
(2) Recruitment or retention programs for Department of Defense cyberspace personnel, including scholarship programs. (2) 奨学金制度を含む、国防省のサイバースペース要員の採用または保持のためのプログラム。
(3) Academic partnerships focused on establishing cyber talent. (3) サイバー人材の確保に焦点を当てた学術的パートナーシップ。
(4) Cyber enrichment programs. (4) サイバーに関する充実したプログラム
SEC. 1533. REPORT ON THE CYBERSECURITY MATURITY MODEL CERTIFICATION PROGRAM. Sec. 1533. サイバーセキュリティーマチュリティモデル認証プログラムに関する報告書
(a) Report Required.--Not later than 90 days after the date of the enactment of this Act, the Secretary of Defense shall submit to the Committee on Armed Services of the Senate and the Committee on Armed Services of the House of Representatives a report on the plans and recommendations of the Secretary for the Cyber Maturity Model Certification program. (a) 国防長官は、上院の軍事委員会と下院の軍事委員会に、サイバーセキュリティ成熟度モデル認証プログラムに関する長官の計画と提案についての報告書を提出しなければならない。
(b) Contents.--The report submitted under subsection (a) shall include the following: (b) 内容 --(a)項に基づいて提出される報告書には、以下の内容が含まれなければならない。
(1) The programmatic changes required in the Cyber Maturity Model Certification program to address the plans and recommendations of the Secretary of Defense referred to in such subsection. (1) 当該サブセクションで言及された国防長官の計画と提言に対応するために、サイバー成熟度モデル認証プログラムに必要なプログラム上の変更。
(2) The strategy of the Secretary for rulemaking for such program and the process for the Cybersecurity Maturity Model Certification rule. (2) 当該プログラムの規則制定に関する長官の戦略と、サイバーセキュリティ成熟度モデル認証規則のプロセス。
(3) The budget and resources required to support such program. (3) 当該プログラムを支援するために必要な予算とリソース。
(4) A plan for communication and coordination with the defense industrial base regarding such program. (4) 当該プログラムに関する防衛産業基盤とのコミュニケーションと調整のための計画。
(5) The coordination needed within the Department of Defense and between Federal agencies for such program. (5) 当該プログラムのために必要な国防省内及び連邦政府機関間の調整。
(6) The applicability of such program requirements to universities and academic partners of the Department. (6)国防省の大学や学術パートナーに対する当該プログラム要件の適用性
(7) A plan for communication and coordination with such universities and academic partners regarding such program. (7) 当該プログラムに関する当該大学や学術パートナーとの連絡・調整の計画。
(8) Plans and explicit public announcement of processes for reimbursement of cybersecurity compliance expenses for small and non-traditional businesses in the defense industrial base. (8) 防衛産業基盤における小規模・非伝統的企業のサイバーセキュリティ対応費用の償還に関する計画とそのプロセスの明示的な公表。
(9) Plans for ensuring that persons seeking a Department contract for the first time are not required to expend funds to acquire cybersecurity capabilities and a certification required to perform under a contract as a precondition for bidding on such a contract without reimbursement in the event that such persons do not receive a contract award. (9) 防衛省の契約を初めて締結しようとする者が、当該契約への入札の前提として、契約に基づいて履行するために必要なサイバーセキュリティ能力および認証を取得するために資金を支出する必要がないことを保証するための計画で、当該者が契約の受注を得られなかった場合には、償還されない。
(10) Clarification of roles and responsibilities of prime contractors for assisting and managing cybersecurity performance of subcontractors. (10) 下請業者のサイバーセキュリティ性能を支援・管理するための元請業者の役割・責任の明確化。
(11) Such additional matters as the Secretary considers appropriate. (11) 長官が適切と考える追加事項。
SEC. 1534. DEADLINE FOR REPORTS ON ASSESSMENT OF CYBER RESILIENCY OF NUCLEAR COMMAND AND CONTROL SYSTEM. Sec. 1534. 核指揮統制システムのサイバー復元力の評価に関する報告書の期限
 Subsection (c) of section 499 of title 10, United States Code, is amended--  アメリカ合衆国コード10のセクション499のサブセクション(c)は、以下のように修正される。
(1) in the heading, by striking ``Report'' and inserting ``Reports''; (1) 見出しにおいて、「報告書」を削除し、「報告書」を挿入する。
(2) in paragraph (1), in the matter preceding subparagraph (A)-- (2) パラグラフ(1)の(A)号の前の部分。
(A) by striking ``The Commanders'' and inserting ``For each assessment conducted under subsection (a), the Commanders''; and (A) 「司令官」を削除し、「サブセクション(a)に基づいて実施された各評価について、司令官」と挿入すること。
(B) by striking ``the assessment required by subsection (a)'' and inserting ``the assessment''; (B) 「(a)項で要求される評価」を削除し、「評価」を挿入する。
(3) in paragraph (2), by striking ``the report'' and inserting ``each report''; and (3) パラグラフ(2)では、「報告書」を削除し、「各報告書」を挿入した。
(4) in paragraph (3)-- (4) パラグラフ(3)では
(A) by striking ``The Secretary'' and inserting ``Not later than 90 days after the date of the submission of a report under paragraph (1), the Secretary''; and (A) 「長官」を削除し、「(1)項の報告書が提出された日から90日以内に、長官」と挿入すること。
(B) by striking ``required by paragraph (1)''. (B) 「パラグラフ(1)で求められている」を削除する。
Subtitle C--Matters Related to Federal Cybersecurity サブタイトルC:連邦政府のサイバーセキュリティに関する事項
SEC. 1541. CAPABILITIES OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY TO IDENTIFY THREATS TO INDUSTRIAL CONTROL SYSTEMS. Sec. 1541. 産業用制御システムへの脅威を特定するためのサイバーセキュリティ・インフラセキュリティ庁の能力
(a) In General.--Section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659) is amended-- (a) 2002年国土安全保障法2209条(6 U.S.C. 659)は以下のように修正される。
(1) in subsection (e)(1)-- (1)サブセクション(e)(1)において
(A) in subparagraph (G), by striking ``and;'' after the semicolon; (A)サブパラグラフ(G)のセミコロンの後に「および」を削除する。
(B) in subparagraph (H), by inserting ``and'' after the semicolon; and (B) (H)号のセミコロンの後に「および」を挿入する。
(C) by adding at the end the following new subparagraph: (C) 最後に次の新しいサブパラグラフを追加する。
``(I) activities of the Center address the security of both information technology and operational technology, including industrial control systems;''; and (C) 最後に、次の新しいサブパラグラフを追加する。「(I) センターの活動は、情報技術と、産業制御システムを含む運用技術の両方のセキュリティに取り組むものである。
(2) by adding at the end the following new subsection: (2) 末尾に以下のサブセクションを追加する。
``(q) Industrial Control Systems.--The Director shall maintain capabilities to identify and address threats and vulnerabilities to products and technologies intended for use in the automated control of critical infrastructure processes. In carrying out this subsection, the Director shall-- ''(q)  局長は、重要インフラのプロセスを自動制御するための製品や技術に対する脅威や脆弱性を特定し、対処する能力を維持しなければならない。このサブセクションを実行するために、長官は以下を行う。
``(1) lead Federal Government efforts, in consultation with Sector Risk Management Agencies, as appropriate, to identify and mitigate cybersecurity threats to industrial control systems, including supervisory control and data acquisition systems; '(1) 必要に応じてセクター・リスク管理機関と協議しながら、産業用制御システム(監視制御およびデータ取得システムを含む)に対するサイバーセキュリティの脅威を特定し、緩和するための連邦政府の取り組みを主導する。
``(2) maintain threat hunting and incident response capabilities to respond to industrial control system cybersecurity risks and incidents; ''(2) 産業用制御システムのサイバーセキュリティ上のリスクやインシデントに対応するため、脅威の探索やインシデント対応能力を維持すること。
``(3) provide cybersecurity technical assistance to industry end-users, product manufacturers, Sector Risk Management Agencies, other Federal agencies, and other industrial control system stakeholders to identify, evaluate, assess, and mitigate vulnerabilities; ''(3) 産業界のエンドユーザー、製品メーカー、セクターリスク管理機関、他の連邦機関、その他の産業用制御システムの利害関係者に対し、脆弱性を特定、評価、査定、緩和するためのサイバーセキュリティ技術支援を提供すること。
``(4) collect, coordinate, and provide vulnerability information to the industrial control systems community by, as appropriate, working closely with security researchers, industry end-users, product manufacturers, Sector Risk Management Agencies, other Federal agencies, and other industrial control systems stakeholders; and ''(4)必要に応じて、セキュリティ研究者、産業界のエンドユーザー、製品メーカー、セクター・リスク管理機関、他の連邦機関、およびその他の産業用制御システムの利害関係者と緊密に協力して、脆弱性情報を収集、調整、および産業用制御システムのコミュニティに提供すること。
``(5) conduct such other efforts and assistance as the Secretary determines appropriate.''. ''(5) 長官が適切と判断するその他の努力と支援を行うこと。
(b) Report to Congress.--Not later than 180 days after the date of the enactment of this Act and every six months thereafter during the subsequent 4-year period, the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security shall provide to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a briefing on the industrial control systems capabilities of the Agency under section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659), as amended by subsection (a). (b) 議会への報告--本法制定日から180日以内に、またその後の4年間は6ヶ月ごとに、国土安全保障省サイバーセキュリティ・インフラセキュリティ庁長官は、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に対し、(a)項で改正された2002年国土安全保障法第2209項(6 U.S.C. 659)に基づく同庁の産業制御システム能力に関するブリーフィングを行う。
(c) GAO Review.--Not later than two years after the date of the enactment of this Act, the Comptroller General of the United States shall review implementation of the requirements of subsections (e)(1)(I) and (p) of section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659), as amended by subsection (a), and submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report that includes findings and recommendations relating to such implementation. Such report shall include information on the following: (c) GAOレビュー。 本法制定日から2年以内に、米国会計検査院は、2002年国土安全保障法第2209条(6 U.S.C. 659)の第(e)(1)(I)項および第(p)項の要件の実施状況をレビューし、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に、当該実施状況に関する所見および勧告を含む報告書を提出する。当該報告書には、以下の事項に関する情報が含まれるものとする。
(1) Any interagency coordination challenges to the ability of the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security to lead Federal efforts to identify and mitigate cybersecurity threats to industrial control systems pursuant to subsection (p)(1) of such section. (1) 当該セクションのサブセクション(p)(1)に従い、産業用制御システムに対するサイバーセキュリティの脅威を特定し、軽減するための連邦の取り組みを国土安全保障省のサイバーセキュリティ・インフラストラクチャセキュリティ庁長官が主導する能力に対する省庁間の調整上の課題。
(2) The degree to which the Agency has adequate capacity, expertise, and resources to carry out threat hunting and incident response capabilities to mitigate cybersecurity threats to industrial control systems pursuant to subsection (p)(2) of such section, as well as additional resources that would be needed to close any operational gaps in such capabilities. (2)同セクションのサブセクション(p)(2)に従い、産業用制御システムに対するサイバーセキュリティの脅威を軽減するための脅威探索およびインシデント対応能力を実行するために、同庁が十分な能力、専門知識、資源を有している度合い、およびそのような能力における運用上のギャップを解消するために必要となる追加資源について。
(3) The extent to which industrial control system stakeholders sought cybersecurity technical assistance from the Agency pursuant to subsection (p)(3) of such section, and the utility and effectiveness of such technical assistance. (3) 産業用制御システムの利害関係者が、同項(p)(3)に従い、サイバーセキュリティの技術支援を庁に求めた程度と、当該技術支援の有用性・有効性について。
(4) The degree to which the Agency works with security researchers and other industrial control systems stakeholders, pursuant to subsection (p)(4) of such section, to provide vulnerability information to the industrial control systems community. (4) 産業用制御システムコミュニティに脆弱性情報を提供するために、同項(p)(4)に基づき、セキュリティ研究者や他の産業用制御システムの利害関係者とAgencyがどの程度協力しているか。
SEC. 1542. CYBERSECURITY VULNERABILITIES. Sec. 1542. サイバーセキュリティの脆弱性
Section 2209 of the Homeland Security Act of 2002 (6 U.S.C. 659) is amended-- 2002年国土安全保障法(6 U.S.C. 659)の第2209条を改正します。
(1) in subsection (a)-- (1)サブセクション(a)において--。
(A) by redesignating paragraphs (4) through (8) as paragraphs (5) through (9), respectively; and (A) パラグラフ(4)から(8)をそれぞれパラグラフ(5)から(9)と改称する。
(B) by inserting after paragraph (3) the following new paragraph: (B) パラグラフ(3)の後に次の新しいパラグラフを挿入すること。
``(4) the term `cybersecurity vulnerability' has the meaning given the term `security vulnerability' in section 102 of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501);''. (4) 「サイバーセキュリティの脆弱性」という用語は、2015年サイバーセキュリティ情報共有法(6 U.S.C. 1501)の第102条にある「セキュリティの脆弱性」という用語に与えられた意味を持つ。
(2) in subsection (c)-- (2)サブセクション(c)において--。
(A) in paragraph (5)-- (A) パラグラフ(5)において--。
(i) in subparagraph (A), by striking ``and'' after the semicolon at the end; (i) サブパラグラフ(A)において、最後のセミコロンの後に「および」を削除すること。
(ii) by redesignating subparagraph (B) as subparagraph (C); (ii) (B)号を(C)号に改称する。
(iii) by inserting after subparagraph (A) the following new subparagraph: (iii) サブパラグラフ(A)の後に、以下の新しいサブパラグラフを挿入する。
``(B) sharing mitigation protocols to counter cybersecurity vulnerabilities pursuant to subsection (n), as appropriate; and''; and (iii) サブパラグラフ(A)の後に、次の新しいサブパラグラフを挿入する。「(B) 必要に応じて、サブセクション(n)に従って、サイバーセキュリティの脆弱性に対抗するための緩和プロトコルを共有すること。
(iv) in subparagraph (C), as so redesignated, by inserting ``and mitigation protocols to counter cybersecurity vulnerabilities in accordance with subparagraph (B), as appropriate,'' before ``with Federal''; (iv) 再指定された(C)項では、「連邦政府と」の前に、「適切な場合には、(B)項に従ってサイバーセキュリティの脆弱性に対抗するための緩和プロトコルも」を挿入する。
(B) in paragraph (7)(C), by striking ``sharing'' and inserting ``share''; and (B) パラグラフ(7)(C)では、「共有」を削除し、「シェア」を挿入する。
(C) in paragraph (9), by inserting ``mitigation protocols to counter cybersecurity vulnerabilities, as appropriate,'' after ``measures,''; (C)(9)項では、「対策」の後に「サイバーセキュリティの脆弱性に対抗するための緩和策」を適宜挿入する。
(3) by redesignating subsection (o) as subsection (p); and (3) サブセクション(o)をサブセクション(p)と再指定する。
(4) by inserting after subsection (n) following new subsection: (4) サブセクション(n)の後に以下の新しいサブセクションを挿入する。
``(o) Protocols to Counter Certain Cybersecurity Vulnerabilities.-- (o) 特定のサイバーセキュリティの脆弱性に対抗するためのプロトコル」。
The Director may, as appropriate, identify, develop, and disseminate actionable protocols to mitigate cybersecurity vulnerabilities to information systems and industrial control systems, including in circumstances in which such vulnerabilities exist because software or hardware is no longer supported by a vendor.''. 局長は、必要に応じて、情報システムや産業用制御システムのサイバーセキュリティ上の脆弱性を軽減するための実行可能なプロトコルを特定、開発、普及させることができる(ソフトウェアやハードウェアがベンダーによってサポートされなくなったためにそのような脆弱性が存在する場合を含む)。
SEC. 1543. REPORT ON CYBERSECURITY VULNERABILITIES. Sec. 1543. サイバーセキュリティの脆弱性に関する報告
(a) Report.--Not later than one year after the date of the enactment of this Act, the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report on how the Agency carries out subsection (n) of section 2209 of the Homeland Security Act of 2002 to coordinate vulnerability disclosures, including disclosures of cybersecurity vulnerabilities (as such term is defined in such section), and subsection (o) of such section to disseminate actionable protocols to mitigate cybersecurity vulnerabilities to information systems and industrial control systems, that include the following: (a) 報告書... 本法の制定日から1年以内に、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁長官は、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に、脆弱性の開示を調整するために2002年国土安全保障法第2209条の(n)項を同庁がどのように実行しているかについての報告書を提出しなければならない。サイバーセキュリティの脆弱性(この用語は同項で定義されている)の開示を含む脆弱性の開示を調整するための2002年国土安全保障法第2209条の第(n)項と、情報システムおよび産業用制御システムに対するサイバーセキュリティの脆弱性を緩和するための実行可能なプロトコルを普及させるための同項の第(o)項を、Agencyがどのように実行するかについての報告書で、以下を含みます。
(1) A description of the policies and procedures relating to the coordination of vulnerability disclosures. (1) 脆弱性の開示の調整に関する方針と手順の説明。
(2) A description of the levels of activity in furtherance of such subsections (n) and (o) of such section 2209. (2) 当該第2209条の(n)項および(o)項を推進するための活動レベルの説明。
(3) Any plans to make further improvements to how information provided pursuant to such subsections can be shared (as such term is defined in such section 2209) between the Department and industry and other stakeholders. (3) 第2209条の(n)および(o)に従って提供された情報を、省庁と産業界およびその他の関係者との間で共有する方法をさらに改善するための計画。
(4) Any available information on the degree to which such information was acted upon by industry and other stakeholders. (4) 当該情報が業界およびその他の関係者によってどの程度行動されたかに関する利用可能な情報。
(5) A description of how privacy and civil liberties are preserved in the collection, retention, use, and sharing of vulnerability disclosures. (5) 脆弱性情報の収集、保持、使用、共有において、プライバシーと市民的自由がどのように守られているかの説明。
(b) Form.--The report required under subsection (b) shall be submitted in unclassified form but may contain a classified annex. (b) 形式 -- 第(b)項に基づいて要求される報告書は、非分類の形式で提出されなければならないが、分類された付属書を含むことができる。
SEC. 1544. COMPETITION RELATING TO CYBERSECURITY VULNERABILITIES. Sec. 1544. サイバーセキュリティの脆弱性に関する競争
The Under Secretary for Science and Technology of the Department of Homeland Security, in consultation with the Director of the Cybersecurity and Infrastructure Security Agency of the Department, may establish an incentive-based program that allows industry, individuals, academia, and others to compete in identifying remediation solutions for cybersecurity vulnerabilities (as such term is defined in section 2209 of the Homeland Security Act of 2002) to information systems (as such term is defined in such section 2209) and industrial control systems, including supervisory control and data acquisition systems. 国土安全保障省科学技術次官は、同省サイバーセキュリティ・インフラセキュリティ庁長官と協議の上、産業界、個人、学界などが、情報システム(2002年国土安全保障法第2209条に定義される)および産業制御システム(監視制御・データ取得システムを含む)に対するサイバーセキュリティの脆弱性(同条に定義される)の改善策の特定を競うことができる、インセンティブベースのプログラムを設立することができる。
SEC. 1545. STRATEGY. Sec. 1545. 戦略
Section 2210 of the Homeland Security Act of 2002 (6 U.S.C. 660) is amended by adding at the end the following new subsection: 2002年国土安全保障法(6 U.S.C. 660)のセクション2210は、最後に以下のサブセクションを追加することで改正される。
``(e) Homeland Security Strategy to Improve the Cybersecurity of State, Local, Tribal, and Territorial Governments.-- ''(e) 州政府、地方政府、部族政府、準州政府のサイバーセキュリティを向上させるための国土安全保障戦略。
``(1) In general.-- ''(1) 一般的に...
``(A) Requirement.--Not later than one year after the date of the enactment of this subsection, the Secretary, acting through the Director, shall, in coordination with the heads of appropriate Federal agencies, State, local, Tribal, and territorial governments, and other stakeholders, as appropriate, develop and make publicly available a Homeland Security Strategy to Improve the Cybersecurity of State, Local, Tribal, and Territorial Governments. ''(A)要求事項 -- 本款が制定された日から1年以内に、長官は必要に応じて、適切な連邦機関の長、州、地方、部族、領土政府、およびその他の利害関係者と協力して、州、地方、部族、領土政府のサイバーセキュリティを向上させるための国土安全保障戦略を策定し、公開しなければならない。
``(B) Recommendations and requirements.--The strategy required under subparagraph (A) shall provide recommendations relating to the ways in which the Federal Government should support and promote the ability of State, local, Tribal, and territorial governments to identify, mitigate against, protect against, detect, respond to, and recover from cybersecurity risks (as such term is defined in section 2209), cybersecurity threats, and incidents (as such term is defined in section 2209). ''(B) 推奨事項と要求事項 --(A)項で求められる戦略は、州・地方・部族・準州政府がサイバーセキュリティ・リスク(2209項で定義)、サイバーセキュリティ脅威、インシデント(2209項で定義)を特定し、緩和し、防御し、検知し、対応し、回復する能力を、連邦政府がどのように支援し、促進すべきかについての提言を提供する。
``(2) Contents.--The strategy required under paragraph (1) shall-- ''(2) 内容:第1項で求められる戦略は以下の通りである。
``(A) identify capability gaps in the ability of State, local, Tribal, and territorial governments to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; ''(A)サイバーセキュリティリスク、サイバーセキュリティ脅威、インシデント、ランサムウェアのインシデントを特定し、防御し、検出し、対応し、回復するための州政府、地方政府、部族政府、領土政府の能力のギャップを特定する。
``(B) identify Federal resources and capabilities that are available or could be made available to State, local, Tribal, and territorial governments to help those governments identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; ''(B)州政府、地方政府、部族政府、準州政府がサイバーセキュリティリスク、サイバーセキュリティ脅威、インシデント、ランサムウェアインシデントを特定し、防御し、検知し、対応し、回復するのを助けるために、州政府、地方政府、部族政府、準州政府が利用できる、または利用できる可能性のある連邦のリソースと能力を特定する。
``(C) identify and assess the limitations of Federal resources and capabilities available to State, local, Tribal, and territorial governments to help those governments identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents and make recommendations to address such limitations; ''(C)州政府、地方政府、部族政府、準州政府がサイバーセキュリティリスク、サイバーセキュリティ脅威、インシデント、ランサムウェアインシデントを特定し、それらから保護し、検知し、対応し、回復するために利用できる連邦政府のリソースと能力の限界を特定し、評価し、その限界に対処するための提言を行う。
``(D) identify opportunities to improve the coordination of the Agency with Federal and non-Federal entities, such as the Multi-State Information Sharing and Analysis Center, to improve-- ''(D)マルチステート情報共有分析センターなどの連邦および非連邦組織との連携を改善する機会を特定し、以下を改善する。
``(i) incident exercises, information sharing and incident notification procedures; ''(i) インシデント演習、情報共有、インシデント通知の手順。
``(ii) the ability for State, local, Tribal, and territorial governments to voluntarily adapt and implement guidance in Federal binding operational directives; and ''(ii) 州、地方、部族、地域の政府が、連邦政府の作戦指令書に記載されているガイダンスを自主的に適応させ、実施する能力。
``(iii) opportunities to leverage Federal schedules for cybersecurity investments under section 502 of title 40, United States Code; ''(iii) 合衆国法典第40条第502項に基づくサイバーセキュリティ投資のための連邦政府のスケジュールを活用する機会。
``(E) recommend new initiatives the Federal Government should undertake to improve the ability of State, local, Tribal, and territorial governments to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; ''(E) 州、地方、部族、地域政府がサイバーセキュリティのリスク、サイバーセキュリティの脅威、インシデント、ランサムウェアのインシデントを特定し、防御し、検出し、対応し、回復する能力を向上させるために、連邦政府が実施すべき新たな取り組みを提言する。
``(F) set short-term and long-term goals that will improve the ability of State, local, Tribal, and territorial governments to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents; and ''(F) サイバーセキュリティリスク、サイバーセキュリティの脅威、インシデント、ランサムウェアのインシデントを特定、防御、検知、対応、回復する州政府、地方政府、部族政府の能力を向上させるための短期および長期の目標を設定する。
``(G) set dates, including interim benchmarks, as appropriate for State, local, Tribal, and territorial governments to establish baseline capabilities to identify, protect against, detect, respond to, and recover from cybersecurity risks, cybersecurity threats, incidents, and ransomware incidents. ''(G) 州政府、地方政府、部族政府、準州政府が、サイバーセキュリティリスク、サイバーセキュリティの脅威、インシデント、ランサムウェアのインシデントを特定し、防御し、検知し、対応し、回復するための基本的な能力を確立するために、適宜、暫定的なベンチマークを含む期日を設定すること。
``(3) Considerations.--In developing the strategy required under paragraph (1), the Director, in coordination with the heads of appropriate Federal agencies, State, local, Tribal, and territorial governments, and other stakeholders, as appropriate, shall consider-- ''(3) パラグラフ(1)で要求される戦略を策定するにあたり、長官は、適切な連邦機関の長、州、地方、部族、領土の政府、およびその他の利害関係者と連携し、必要に応じて以下を考慮しなければならない。
``(A) lessons learned from incidents that have affected State, local, Tribal, and territorial governments, and exercises with Federal and non-Federal entities; ''(A) 州、地方、部族、領土政府に影響を与えた事件から得られた教訓、および連邦政府および非連邦政府の組織との演習。
``(B) the impact of incidents that have affected State, local, Tribal, and territorial governments, including the resulting costs to such governments; '(B) 州政府、地方政府、部族政府、領土政府に影響を与えた事件の影響(これらの政府にかかるコストを含む)。
``(C) the information related to the interest and ability of state and non-state threat actors to compromise information systems (as such term is defined in section 102 of the Cybersecurity Act of 2015 (6 U.S.C. 1501)) owned or operated by State, local, Tribal, and territorial governments; and ''(C) 州政府、地方政府、部族政府、領土政府が所有または運営する情報システム(2015年サイバーセキュリティ法(6 U.S.C. 1501)の第102条で定義されている)を危険にさらす国家および非国家の脅威行為者の関心と能力に関する情報
``(D) emerging cybersecurity risks and cybersecurity threats to State, local, Tribal, and territorial governments resulting from the deployment of new technologies. ''(D) 新技術の導入によって生じる、新たなサイバーセキュリティリスクと、州・地方・部族・準州政府に対するサイバーセキュリティ上の脅威。
``(4) Exemption.--Chapter 35 of title 44, United States Code (commonly known as the `Paperwork Reduction Act'), shall not apply to any action to implement this subsection.''. ''(4) このサブセクションを実施するためのいかなる行為にも、米国コード44の35章(通称:Paperwork Reduction Act)は適用されないものとする。
SEC. 1546. CYBER INCIDENT RESPONSE PLAN. Sec. 1546. サイバーインシデント対応計画
Subsection (c) of section 2210 of the Homeland Security Act of 2002 (6 U.S.C. 660) is amended-- 2002年国土安全保障法第2210条(6 U.S.C. 660)の(c)項は以下のように修正される。
(1) by striking ``regularly update'' and inserting ``update not less often than biennially''; and (1) 「定期的に更新する」を削除し、「隔年以上の頻度で更新する」を挿入する。
(2) by adding at the end the following new sentence: ``The Director, in consultation with relevant Sector Risk Management Agencies and the National Cyber Director, shall develop mechanisms to engage with stakeholders to educate such stakeholders regarding Federal Government cybersecurity roles and responsibilities for cyber incident response.''. (2) 最後に以下の新しい文を追加する。局長は、関連するセクター・リスク管理機関およびナショナル・サイバー・ディレクターと協議の上、連邦政府のサイバーセキュリティの役割とサイバー・インシデント対応の責任について、利害関係者を教育するための仕組みを構築するものとする。
SEC. 1547. NATIONAL CYBER EXERCISE PROGRAM. Sec. 1547. 国家サイバー演習プログラム
(a) In General.--Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended by adding at the end the following new section: (a) 2002年国土安全保障法タイトルXXIIのサブタイトルA(6 U.S.C. 651 et seq.)は、最後に以下のセクションを追加することで改正される。
``SEC. 2220B. NATIONAL CYBER EXERCISE PROGRAM. ''SEC. 2220B. ナショナル・サイバー・エクササイズ・プログラム
``(a) Establishment of Program.-- ''(a) プログラムの設立
``(1) In general.--There is established in the Agency the National Cyber Exercise Program (referred to in this section as the `Exercise Program') to evaluate the National Cyber Incident Response Plan, and other related plans and strategies. ''(1) 国家サイバーインシデント対応計画およびその他の関連する計画や戦略を評価するために、国家サイバー演習プログラム(このセクションでは「演習プログラム」と呼ぶ)を庁内に設置する。
``(2) Requirements.-- ''(2)要件
``(A) In general.--The Exercise Program shall be-- ''(A) 演習プログラムは以下の通りとする。
``(i) based on current risk assessments, including credible threats, vulnerabilities, and consequences; ''(i) 信頼できる脅威、脆弱性、結果を含む最新のリスク評価に基づいていること。
``(ii) designed, to the extent practicable, to simulate the partial or complete incapacitation of a government or critical infrastructure network resulting from a cyber incident; ''(ii) 実用可能な範囲で、サイバー事件によって政府や重要インフラのネットワークが部分的または完全に機能しなくなった状態をシミュレートするように設計されていること。
``(iii) designed to provide for the systematic evaluation of cyber readiness and enhance operational understanding of the cyber incident response system and relevant information sharing agreements; and ''(iii) サイバーインシデントに対する準備状況を体系的に評価し、サイバーインシデント対応システムおよび関連する情報共有協定に関する運用上の理解を深めることができるよう設計されていること。
``(iv) designed to promptly develop after-action reports and plans that can quickly incorporate lessons learned into future operations. ''(iv) サイバーインシデントに対する準備状況を体系的に評価し、サイバーインシデント対応システムおよび関連する情報共有協定に関する運用上の理解を深めることができるように設計されていること。
``(B) Model exercise selection.--The Exercise Program shall-- ''(B) モデル演習の選択 -- 演習プログラムは以下の通りである。
``(i) include a selection of model exercises that government and private entities can readily adapt for use; and ''(i) 演習プログラムは、政府や民間団体が容易に利用できるモデル演習を選択する。
``(ii) aid such governments and private entities with the design, implementation, and evaluation of exercises that-- ''(ii) また、政府や民間団体が以下のような演習を設計、実施、評価することを支援する。
``(I) conform to the requirements described in subparagraph (A); ''(I) (A)項に記載された要件に適合していること。
``(II) are consistent with any applicable national, State, local, or Tribal strategy or plan; and ''(II) 国家、州、地域、部族の戦略や計画に合致していること。
``(III) provide for systematic evaluation of readiness. ''(III) 準備状況を体系的に評価することができる。
``(3) Consultation.--In carrying out the Exercise Program, the Director may consult with appropriate representatives from Sector Risk Management Agencies, the Office of the National Cyber Director, cybersecurity research stakeholders, and Sector Coordinating Councils. ''(3) 演習プログラムを実施するにあたり、長官は、セクターリスク管理機関、国家サイバー長官室、サイバーセキュリティ研究関係者、セクター調整協議会の適切な代表者と協議することができる。
``(b) Definitions.--In this section: ''(b) このセクションでは次のように定義している。
``(1) State.--The term `State' means any State of the United States, the District of Columbia, the Commonwealth of Puerto Rico, the Northern Mariana Islands, the United States Virgin Islands, Guam, American Samoa, and any other territory or possession of the United States. ''(1) 「州」とは、アメリカ合衆国の州、コロンビア特別区、プエルトリコ連邦、北マリアナ諸島、米領バージン諸島、グアム、米領サモア、およびその他のアメリカ合衆国の領土・領有権を指す。
``(2) Private entity.--The term `private entity' has the meaning given such term in section 102 of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501). ’’(2)「民間企業」とは、Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501)の第102条に規定された意味を持つものとします。
``(c) Rule of Construction.--Nothing in this section shall be construed to affect the authorities or responsibilities of the Administrator of the Federal Emergency Management Agency pursuant to section 648 of the Post-Katrina Emergency Management Reform Act of 2006 (6 U.S.C. 748).''. ''(c) Rule of Construction.--本項のいかなる規定も、2006年ポストカトリーナ緊急事態管理改革法(6 U.S.C. 748)第648項に基づく連邦緊急事態管理庁長官の権限や責任に影響を与えると解釈してはならない。
(b) Title XXII Technical and Clerical Amendments.-- (b) タイトルXXIIの技術的および事務的な修正。
(1) Technical amendments.-- (1) 技術的な修正。
(A) Homeland security act of 2002.--Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended-- (A) 2002年国土安全保障法(6 U.S.C. 651 et seq.)のタイトルXXIIのサブタイトルAは以下のように修正される。
(i) in section 2202(c) (6 U.S.C. 652(c))-- (i) 2202(c)項(6 U.S.C. 652(c))において--。
(I) in paragraph (11), by striking ``and'' after the semicolon; (I) パラグラフ(11)において、セミコロンの後の「および」を削除します。
(II) in the first paragraph (12) (relating to appointment of a Cybersecurity State Coordinator) by striking ``as described in section 2215; and'' and inserting ``as described in section 2217;''; (II)最初の段落(12)(サイバーセキュリティ国家コーディネーターの任命)において、「セクション2215に記載されているように」を削除し、「セクション2217に記載されているように」を挿入する。
(III) by redesignating the second paragraph (12) (relating to the .gov internet domain) as paragraph (13); and (III)第2段落(12)(.govインターネットドメインに関する)を第13段落として再指定すること。
(IV) by redesignating the third paragraph (12) (relating to carrying out such other duties and responsibilities) as paragraph (14); (IV) 第3段落(12)(その他の任務と責任の遂行に関する)を第14段落とする。
(ii) in the first section 2215 (6 U.S.C. 665; relating to the duties and authorities relating to .gov internet domain), by amending the section enumerator and heading to read as follows: (ii) 最初のセクション2215(6 U.S.C. 665;.govインターネットドメインに関連する義務と権限に関する)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2215. DUTIES AND AUTHORITIES RELATING TO .GOV INTERNET DOMAIN.''; ''SEC. 2215. SEC.2215. .govインターネットドメインに関連する義務と権限」と修正する。
(iii) in the second section 2215 (6 U.S.C. 665b; relating to the joint cyber planning office), by amending the section enumerator and heading to read as follows: (iii) 第2節2215(6 U.S.C.665b;合同サイバー計画事務所に関する)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2216. JOINT CYBER PLANNING OFFICE.''; ''SEC. 2216. 共同サイバー計画事務所」とする。
(iv) in the third section 2215 (6 U.S.C. 665c; relating to the Cybersecurity State Coordinator), by amending the section enumerator and heading to read as follows: (iv) 第3節2215(6 U.S.C. 665c;サイバーセキュリティ・ステート・コーディネーターに関する)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2217. CYBERSECURITY STATE COORDINATOR.''; ''SEC. 2217. サイバーセキュリティ・ステート・コーディネーター」。
(v) in the fourth section 2215 (6 U.S.C. 665d; relating to Sector Risk Management Agencies), by amending the section enumerator and heading to read as follows: (v) 第4セクション2215(6 U.S.C. 665d;セクター・リスク・マネジメント・エージェンシーに関する)のセクションの列挙と見出しを以下のように修正することによって。
``SEC. 2218. SECTOR RISK MANAGEMENT AGENCIES.''; ''SEC. 2218. セクター・リスク・マネージメント・エージェンシー」。
(vi) in section 2216 (6 U.S.C. 665e; relating to the Cybersecurity Advisory Committee), by amending the section enumerator and heading to read as follows: (vi) セクション2216(6 U.S.C. 665e; Cybersecurity Advisory Committee関連)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2219. CYBERSECURITY ADVISORY COMMITTEE.''; ''SEC. 2219. サイバーセキュリティ諮問委員会」。
(vii) in section 2217 (6 U.S.C. 665f; relating to Cybersecurity Education and Training Programs), by amending the section enumerator and heading to read as follows: (vii) セクション2217(6 U.S.C. 665f; Cybersecurity Education and Training Programs関連)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2220. CYBERSECURITY EDUCATION AND TRAINING PROGRAMS.''; and ''SEC. 2220. SEC.2220.サイバーセキュリティ教育・訓練プログラム」と改める。
(viii) in section 2218 (6 U.S.C. 665g; relating to the State and Local Cybersecurity Grant Program), by amending the section enumerator and heading to read as follows: (viii) セクション2218(6 U.S.C. 665g; State and Local Cybersecurity Grant Program関連)において、セクションの列挙と見出しを以下のように修正する。
``SEC. 2220A. STATE AND LOCAL CYBERSECURITY GRANT PROGRAM.''. ''SEC. 2220A. 州と地方のサイバーセキュリティ補助金プログラム」。
(B) Consolidated appropriations act, 2021.--Paragraph (1) of section 904(b) of division U of the Consolidated Appropriations Act, 2021 (Public Law 116-260) is amended, in the matter preceding subparagraph (A), by inserting ``of 2002'' after ``Homeland Security Act''. (B) Consolidated appropriations act, 2021.--Consolidated Appropriations Act, 2021 (Public Law 116-260)のDivision Uのセクション904(b)のパラグラフ(1)は、サブパラグラフ(A)の前の問題で、 ``Homeland Security Act''の後に ``of 2002''を挿入することで修正される。
(2) Clerical amendment.--The table of contents in section 1(b) of the Homeland Security Act of 2002 is further amended by striking the items relating to sections 2214 through 2218 and inserting the following new items: (2) 2002年国土安全保障法第1条(b)の目次は、第2214条から第2218条までの項目を削除し、次の新しい項目を挿入することにより、さらに修正される。
``Sec. 2214. National Asset Database. ''第2214条。ナショナル・アセット・データベース
``Sec. 2215. Duties and authorities relating to .gov internet domain. ''第2215条. .govインターネットドメインに関する義務と権限。
``Sec. 2216. Joint cyber planning office. ''第2216条. 合同サイバー計画事務所(Joint cyber planning office)。
``Sec. 2217. Cybersecurity State Coordinator. ''第2217条。サイバーセキュリティ・ステート・コーディネーター
``Sec. 2218. Sector Risk Management Agencies. ''第2218条 セクターリスク管理機関
``Sec. 2219. Cybersecurity Advisory Committee. ''第2219条 サイバーセキュリティ諮問委員会(Sec.
``Sec. 2220. Cybersecurity Education and Training Programs. ''第2220条 サイバーセキュリティ教育・訓練プログラム
``Sec. 2220A. State and Local Cybersecurity Grant Program. ''第2220条A. 州および地方のサイバーセキュリティ助成プログラム
``Sec. 2220B. National cyber exercise program.''. ''第2220条B. 国家サイバー演習プログラム」。
SEC. 1548. CYBERSENTRY PROGRAM OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY. Sec. 1548. サイバーセキュリティ・インフラセキュリティ庁のCyberSentryプログラム
(a) In General.--Title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is further amended by adding at the end the following new section: (a) 2002年国土安全保障法タイトルXXII(6 U.S.C. 651 et seq.)は、最後に以下の新しいセクションを追加することで改正される。
``SEC. 2220C. CYBERSENTRY PROGRAM. ''SEC. 2220C. CyberSentryプログラム
``(a) Establishment.--There is established in the Agency a program, to be known as `CyberSentry', to provide continuous monitoring and detection of cybersecurity risks to critical infrastructure entities that own or operate industrial control systems that support national critical functions, upon request and subject to the consent of such owner or operator. ''(a) このプログラムは、国家の重要な機能を支える産業用制御システムを所有または運営している重要インフラ事業体に対して、その所有者または運営者の要求および同意に基づき、サイバーセキュリティのリスクを継続的に監視および検出するためのものである。
``(b) Activities.--The Director, through CyberSentry, shall-- ''(b) 局長は、CyberSentryを通じて、以下の活動を行う。
``(1) enter into strategic partnerships with critical infrastructure owners and operators that, in the determination of the Director and subject to the availability of resources, own or operate regionally or nationally significant industrial control systems that support national critical functions, in order to provide technical assistance in the form of continuous monitoring of industrial control systems and the information systems that support such systems and detection of cybersecurity risks to such industrial control systems and other cybersecurity services, as appropriate, based on and subject to the agreement and consent of such owner or operator; ''(1) 産業用制御システムおよびそのシステムをサポートする情報システムの継続的な監視、産業用制御システムに対するサイバーセキュリティリスクの検出、およびその他のサイバーセキュリティサービスという形での技術支援を提供するために、局長が判断し、資源の利用可能性を条件として、国家的に重要な機能をサポートする地域的または国家的に重要な産業用制御システムを所有または運営している重要なインフラの所有者および運営者と戦略的パートナーシップを締結する。
``(2) leverage sensitive or classified intelligence about cybersecurity risks regarding particular sectors, particular adversaries, and trends in tactics, techniques, and procedures to advise critical infrastructure owners and operators regarding mitigation measures and share information as appropriate; ''(2) 特定のセクター、特定の敵対者に関するサイバーセキュリティリスク、および戦術、技術、手順の傾向に関する機密情報を活用し、重要インフラの所有者および運営者に緩和策を助言し、必要に応じて情報を共有すること。
``(3) identify cybersecurity risks in the information technology and information systems that support industrial control systems which could be exploited by adversaries attempting to gain access to such industrial control systems, and work with owners and operators to remediate such vulnerabilities; 産業用制御システムにアクセスしようとする敵対者が利用できる、産業用制御システムを支える情報技術および情報システムにおけるサイバーセキュリティリスクを特定し、そのような脆弱性を修正するために所有者および運営者と協力すること。
``(4) produce aggregated, anonymized analytic products, based on threat hunting and continuous monitoring and detection activities and partnerships, with findings and recommendations that can be disseminated to critical infrastructure owners and operators; and ''(4) スレットハンティング、継続的な監視・検知活動、パートナーシップに基づいて、匿名で集計した分析結果を作成し、重要インフラの所有者や運営者に知見や提言を提供すること。
``(5) support activities authorized in accordance with section 1501 of the National Defense Authorization Act for Fiscal Year 2022. ''(5) 2022年会計年度の国防権限法第1501条に基づいて認可された活動を支援する。
``(c) Privacy Review.--Not later than 180 days after the date of enactment of this section, the Privacy Officer of the Agency under section 2202(h) shall-- ''(c) このセクションが制定された日から180日以内に、第2202(h)項に基づく機関のプライバシーオフィサーは以下を行う。
``(1) review the policies, guidelines, and activities of CyberSentry for compliance with all applicable privacy laws, including such laws governing the acquisition, interception, retention, use, and disclosure of communities; and ''(1) CyberSentryのポリシー、ガイドライン、活動が、コミュニティの取得、傍受、保持、使用、開示を規定する法律を含む、すべての適用可能なプライバシー法に準拠しているかどうかを審査する。
``(2) submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report certifying compliance with all applicable privacy laws as referred to in paragraph (1), or identifying any instances of noncompliance with such privacy laws. ''(2) 下院の国土安全保障委員会および上院の国土安全保障政府問題委員会に、(1)で言及された適用されるすべての個人情報保護法を遵守していることを証明する報告書、またはそのような個人情報保護法を遵守していない事例を示す報告書を提出すること。
``(d) Report to Congress.--Not later than one year after the date of the enactment of this section, the Director shall provide to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a briefing and written report on implementation of this section. ''(d) 下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に対し、このセクションの実施状況を説明し、書面による報告を行う。
``(e) Savings.--Nothing in this section may be construed to permit the Federal Government to gain access to information of a remote computing service provider to the public or an electronic service provider to the public, the disclosure of which is not permitted under section 2702 of title 18, United States Code. ''(e) このセクションは、連邦政府がリモート・コンピューティング・サービス・プロバイダーや電子サービス・プロバイダーの情報にアクセスすることを許可すると解釈されてはならない。
``(f) Definitions.--In this section: ''(f) このセクションでは、以下の定義を用いる。
``(1) Cybersecurity risk.--The term `cybersecurity risk' has the meaning given such term in section 2209(a). ''(1) 「サイバーセキュリティ・リスク」という用語は、第2209条(a)で与えられた意味を持つ。
``(2) Industrial control system.--The term `industrial control system' means an information system used to monitor and/or control industrial processes such as manufacturing, product handling, production, and distribution, including supervisory control and data acquisition (SCADA) systems used to monitor and/or control geographically dispersed assets, distributed control systems (DCSs), Human-Machine Interfaces (HMIs), and programmable logic controllers that control localized processes. ''(2) 「産業用制御システム」とは、製造、製品の取り扱い、生産、流通などの産業プロセスを監視・制御するための情報システムであり、地理的に分散した資産を監視・制御するためのSCADA(Supervisory Control and Data Acquisition)システム、分散型制御システム(DCS)、HMI(Human-Machine Interfaces)、局所的なプロセスを制御するプログラマブル・ロジック・コントローラなどを含む。
``(3) Information system.--The term `information system' has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114-113; 6 U.S.C. 1501(9)). ''(3) 「情報システム」とは、2015年サイバーセキュリティ法(Public Law 114-113; 6 U.S.C. 1501(9))の第102条に規定されている意味を持つ。
``(g) Termination.--The authority to carry out a program under this section shall terminate on the date that is seven years after the date of the enactment of this section.''. ''(g) Termination.--本項のプログラムを実施する権限は、本項の制定日から7年後の日に終了する。
(b) Clerical Amendment.--The table of contents in section 1(b) of the Homeland Security Act of 2002 is further amended by adding after the item relating to section 2220B the following new item: (b) Clerical Amendment...2002年国土安全保障法第1条(b)の目次は、第2220B条に関する項目の後に、以下の項目を追加することで修正される。
``Sec. 2220C. CyberSentry program.''. ''Sec. 2220C. 「CyberSentryプログラム」。
(c) Continuous Monitoring and Detection.--Section 2209(c)(6) of the Homeland Security Act of 2002 (6 U.S.C. 659) is amended by inserting ``, which may take the form of continuous monitoring and detection of cybersecurity risks to critical infrastructure entities that own or operate industrial control systems that support national critical functions'' after ``mitigation, and remediation''. (c) 2002年国土安全保障法(6 U.S.C. 659)のセクション2209(c)(6)は、「mitigation, and remediation」の後に、「国家の重要な機能をサポートする産業用制御システムを所有または運営する重要インフラ事業体に対するサイバーセキュリティリスクを継続的に監視・検知するという形をとることができる」と挿入することで修正される。
SEC. 1549. STRATEGIC ASSESSMENT RELATING TO INNOVATION OF INFORMATION SYSTEMS AND CYBERSECURITY THREATS. Sec. 1549. 情報システムの革新とサイバーセキュリティの脅威に関する戦略的評価
(a) Responsibilities of Director.--Section 2202(c)(3) of the Homeland Security Act of 2002 (6 U.S.C. 652) is amended by striking the semicolon at the end and adding the following: ``, including by carrying out a periodic strategic assessment of the related programs and activities of the Agency to ensure such programs and activities contemplate the innovation of information systems and changes in cybersecurity risks and cybersecurity threats;'' (a) 2002年国土安全保障法(6 U.S.C. 652)の2202(c)(3)項は、末尾のセミコロンを削除し、次のように加えることで修正される。これには、情報システムの革新、サイバーセキュリティリスクおよびサイバーセキュリティ脅威の変化を考慮したプログラムや活動を確実にするために、Agencyの関連プログラムおよび活動の定期的な戦略的評価を実施することが含まれる。
(b) Report.-- (b) 報告書--。
(1) In general.--Not later than 240 days after the date of the enactment of this Act and not fewer than once every three years thereafter, the Director of the Cybersecurity and Infrastructure Security Agency shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a strategic assessment for the purposes described in paragraph (2). (1) サイバーセキュリティ・インフラセキュリティ庁長官は、下院の国土安全保障委員会および上院の国土安全保障・政府問題委員会に、(2)に記載された目的のための戦略的評価を提出しなければならない。)
(2) Purposes.--The purposes described in this paragraph are the following: (2) 目的--本項に記載された目的は以下の通りである。
(A) A description of the existing programs and activities administered in furtherance of section 2202(c)(3) of the Homeland Security Act of 2002 (6 U.S.C. 652). (A) 2002年国土安全保障法(6 U.S.C. 652)の2202(c)(3)項を推進するために管理されている既存のプログラムおよび活動の説明。
(B) An assessment of the capability of existing programs and activities administered by the Agency in furtherance of such section to monitor for, manage, mitigate, and defend against cybersecurity risks and cybersecurity threats. (B) サイバーセキュリティリスクとサイバーセキュリティ脅威を監視、管理、緩和、防御するために、同セクションを推進するために政府機関が管理する既存のプログラムと活動の能力の評価。
(C) An assessment of past or anticipated technological trends or innovation of information systems or information technology that have the potential to affect the efficacy of the programs and activities administered by the Agency in furtherance of such section. (C) 当該セクションを推進するためにAgencyが管理するプログラムおよび活動の有効性に影響を与える可能性のある、情報システムまたは情報技術の過去または予想される技術動向または革新の評価。
(D) A description of any changes in the practices of the Federal workforce, such as increased telework, affect the efficacy of the programs and activities administered by the Agency in furtherance of section 2202(c)(3). (D) テレワークの増加など、連邦労働力の慣行の変化が、第2202条(c)(3)を推進するためにAgencyが管理するプログラムおよび活動の効果に影響を与える場合の記述。
(E) A plan to integrate innovative security tools, technologies, protocols, activities, or programs to improve the programs and activities administered by the Agency in furtherance of such section. (E) 革新的なセキュリティツール、技術、プロトコル、活動、プログラムを統合して、当該セクションを推進するためにAgencyが管理するプログラムと活動を改善する計画。
(F) A description of any research and development activities necessary to enhance the programs and activities administered by the Agency in furtherance of such section. (F) 同項を推進するためにAgencyが管理するプログラムおよび活動を強化するために必要な研究開発活動の記述。
(G) A description of proposed changes to existing programs and activities administered by the Agency in furtherance of such section, including corresponding milestones for implementation. (G) 本項の目的のためにAgencyが管理する既存のプログラムおよび活動に対する変更案の説明(実施のためのマイルストーンを含む)。
(H) Information relating to any new resources or authorities necessary to improve the programs and activities administered by the Agency in furtherance of such section. (H) 本項を推進するためにAgencyが管理するプログラムおよび活動を改善するために必要な、新たな資源または権限に関する情報。
(c) Definitions.--In this section: (c) 本項では以下のように定義する。
(1) The term ``Agency'' means the Cybersecurity and Infrastructure Security Agency. (1) 「Agency」とは、Cybersecurity and Infrastructure Security Agencyをいう。
(2) The term ``cybersecurity purpose'' has the meaning given such term in section 102(4) of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501(4)). (2)「サイバーセキュリティ目的」という用語は、2015年サイバーセキュリティ情報共有法(6 U.S.C. 1501(4))の第102(4)項で与えられた意味を持つ。
(3) The term ``cybersecurity risk'' has the meaning given such term in section 2209(a)(2) of the Homeland Security Act of 2002 (U.S.C. 659(a)(2)). (3) 「サイバーセキュリティリスク」という用語は、2002年国土安全保障法第2209条(a)(2)で与えられた意味を持つ。
(4) The term ``information system'' has the meaning given such term in section 3502(8) of title 44, United States Code. (4) 「情報システム」という用語は、合衆国法典第44編第3502(8)項に記載されている意味を持つ。
(5) The term ``information technology'' has the meaning given such term in 3502(9) of title 44, United States Code. (5) 「情報技術」という用語は、合衆国法典第44編第3502(9)項に記載されている意味を持つ。
(6) The term ``telework'' has the meaning given the term in section 6501(3) of title 5, United States Code. (6) 「テレワーク」という用語は、合衆国コードのタイトル5のセクション6501(3)にある意味を持つ。
SEC. 1550. PILOT PROGRAM ON PUBLIC-PRIVATE PARTNERSHIPS WITH INTERNET ECOSYSTEM COMPANIES TO DETECT AND DISRUPT ADVERSARY CYBER OPERATIONS. Sec. 1550. 敵国のサイバー活動を検知・妨害するためのインターネットエコシステム企業との官民パートナーシップに関するパイロットプログラム
(a) Pilot Required.--Not later than one year after the date of the enactment of this Act, the Secretary, acting through the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security and in coordination with the Secretary of Defense and the National Cyber Director, shall commence a pilot program to assess the feasibility and advisability of entering into public-private partnerships with internet ecosystem companies to facilitate, within the bounds of applicable provisions of law and such companies' terms of service, policies, procedures, contracts, and other agreements, actions by such companies to discover and disrupt use by malicious cyber actors of the platforms, systems, services, and infrastructure of such companies. (a) 必要とされるパイロット。 長官は、国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁長官を通じ、国防長官および国家サイバー長官と連携して、以下を目的としたインターネットエコシステム企業との官民パートナーシップ締結の可能性と助言を評価するためのパイロットプログラムを開始しなければならない。インターネットエコシステム企業と官民パートナーシップを結び、適用される法律の規定および当該企業の利用規約、ポリシー、手続き、契約、その他の合意の範囲内で、当該企業のプラットフォーム、システム、サービス、インフラを悪意のあるサイバーアクターが利用していることを発見し、混乱させるための行動を促進するためのパイロットプログラムを開始する。
(b) Public-private Partnerships.-- (b) 官民パートナーシップ
(1) In general.--In carrying out the pilot program under subsection (a), the Secretary shall seek to enter into one or more public-private partnerships with internet ecosystem companies. (1) 長官は、(a)項のパイロットプログラムを実施するにあたり、インターネットエコシステム企業と1つまたは複数の官民パートナーシップを結ぶことを模索する。
(2) Voluntary participation.-- (2) 自発的な参加--。
(A) In general.--Participation by an internet ecosystem company in a public-private partnership under the pilot program, including in any activity described in subsection (c), shall be voluntary. (A) 一般的に、インターネット・エコシステム企業によるパイロット・プログラムの官民パートナーシップへの参加は、(c)項に記載されている活動も含め、任意であること。
(B) Prohibition.--No funds appropriated by any Act may be used to direct, pressure, coerce, or otherwise require that any internet ecosystem company take any action on their platforms, systems, services, or infrastructure as part of the pilot program. (B) 禁止事項 --インターネット・エコシステム企業が、パイロット・プログラムの一環として、自社のプラットフォーム、システム、サービス、インフラに対して何らかの行動をとるよう、指示、圧力、強要、その他の方法で要求するために、いかなる法律で充当された資金も使用することはできない。
(c) Authorized Activities.--In carrying out the pilot program under subsection (a), the Secretary may-- (c) 承認された活動--第(a)項のパイロットプログラムを実施するにあたり、長官は以下を行うことができる。
(1) provide assistance to a participating internet ecosystem company to develop effective know-your-customer processes and requirements; (1) 参加するインターネット・エコシステム企業に対し、効果的な顧客の顔が見えるプロセスおよび要件を策定するための支援を提供する。
(2) provide information, analytics, and technical assistance to improve the ability of participating companies to detect and prevent illicit or suspicious procurement, payment, and account creation on their own platforms, systems, services, or infrastructure; (2) 参加企業が自社のプラットフォーム、システム、サービス、またはインフラ上で不正または疑わしい調達、支払い、アカウント作成を検出し、防止する能力を向上させるために、情報、分析、技術支援を提供する。
(3) develop and socialize best practices for the collection, retention, and sharing of data by participating internet ecosystem companies to support discovery of malicious cyber activity, investigations, and attribution on the platforms, systems, services, or infrastructure of such companies; (3) 参加インターネット・エコシステム企業のプラットフォーム、システム、サービス、またはインフラにおける悪意のあるサイバー活動の発見、調査、帰属を支援するために、参加インターネット・エコシステム企業によるデータの収集、保持、共有のためのベストプラクティスを開発し、社会化する。
(4) provide to participating internet ecosystem companies actionable, timely, and relevant information, such as information about ongoing operations and infrastructure, threats, tactics, and procedures, and indicators of compromise, to enable such companies to detect and disrupt the use by malicious cyber actors of the platforms, systems, services, or infrastructure of such companies; (4) 参加しているインターネット・エコシステム企業に、現在進行中の業務やインフラ、脅威、戦術、手順、侵害の指標など、実行可能でタイムリーな関連情報を提供し、悪意のあるサイバー行為者による当該企業のプラットフォーム、システム、サービス、インフラの利用を検知し、阻止できるようにする。
(5) provide recommendations for (but not design, develop, install, operate, or maintain) operational workflows, assessment and compliance practices, and training that participating internet ecosystem companies can implement to reliably detect and disrupt the use by malicious cyber actors of the platforms, systems, services, or infrastructure of such companies; (5) 参加するインターネットエコシステム企業が、悪意のあるサイバーアクターによる当該企業のプラットフォーム、システム、サービス、インフラの利用を確実に検知・遮断するために実施可能な、運用ワークフロー、評価・コンプライアンス慣行、トレーニングに関する推奨事項を提供する(ただし、設計、開発、設置、運用、保守は行わない)。
(6) provide recommendations for accelerating, to the greatest extent practicable, the automation of existing or implemented operational workflows to operate at line-rate in order to enable real-time mitigation without the need for manual review or action; (6) 手動でのレビューやアクションを必要とせず、リアルタイムでのミティゲーションを可能にするために、既存または実装されている運用ワークフローをラインレートで運用するための自動化を、実践可能な範囲で加速させるための提言を行うこと。
(7) provide recommendations for (but not design, develop, install, operate, or maintain) technical capabilities to enable participating internet ecosystem companies to collect and analyze data on malicious activities occurring on the platforms, systems, services, or infrastructure of such companies to detect and disrupt operations of malicious cyber actors; and (7) 参加しているインターネットエコシステム企業が、悪意のあるサイバーアクターの活動を検知・妨害するために、当該企業のプラットフォーム、システム、サービス、インフラ上で発生した悪意のある活動に関するデータを収集・分析できるようにするための技術的機能に関する提言を行う(ただし、設計、開発、設置、運用、保守は行わない)。
(8) provide recommendations regarding relevant mitigations for suspected or discovered malicious cyber activity and thresholds for action. (8) 悪意のあるサイバー活動が疑われたり、発見されたりした場合に、関連する緩和策や行動の閾値に関する提言を行う。
(d) Competition Concerns.--Consistent with section 1905 of title 18, United States Code, the Secretary shall ensure that any trade secret or proprietary information of a participating internet ecosystem company made known to the Federal Government pursuant to a public-private partnership under the pilot program remains private and protected unless explicitly authorized by such company. (d) 競争への懸念:競争への懸念--米国法典第18編第1905条に基づき、長官は、パイロットプログラムに基づく官民パートナーシップに基づいて連邦政府に知らされた参加インターネットエコシステム企業の企業秘密または専有情報が、当該企業によって明示的に許可されない限り、非公開で保護されることを保証するものとします。
(e) Impartiality.--In carrying out the pilot program under subsection (a), the Secretary may not take any action that is intended primarily to advance the particular business interests of an internet ecosystem company but is authorized to take actions that advance the interests of the United States, notwithstanding differential impact or benefit to a given company's or given companies' business interests. (e) 公平性--(a)項に基づくパイロット・プログラムを実施するにあたり、長官は、インターネット・エコシステム企業の特定の事業利益を促進することを主な目的としたいかなる行動もとることはできないが、特定の企業または特定の企業の事業利益への影響や利益の差にかかわらず、米国の利益を促進する行動をとる権限を有するものとする。
(f) Responsibilities.-- (f) 責任
(1) Secretary of homeland security.--The Secretary shall exercise primary responsibility for the pilot program under subsection (a), including organizing and directing authorized activities with participating Federal Government organizations and internet ecosystem companies to achieve the objectives of the pilot program. (1) 長官は、パイロット・プログラムの目的を達成するために、参加する連邦政府組織およびインターネット・エコシステム企業との間で許可された活動を組織し、指揮することを含め、第(a)項に基づくパイロット・プログラムに対して主要な責任を負う。
(2) National cyber director.--The National Cyber Director shall support prioritization and cross-agency coordination for the pilot program, including ensuring appropriate participation by participating agencies and the identification and prioritization of key private sector entities and initiatives for the pilot program. (2) 国家サイバー長官 -- 国家サイバー長官は、パイロットプログラムの優先順位付けと省庁間の調整を支援する。これには、参加省庁の適切な参加を確保すること、パイロットプログラムの主要な民間団体とイニシアチブを特定して優先順位付けすることが含まれる。
(3) Secretary of defense.--The Secretary of Defense shall provide support and resources to the pilot program, including the provision of technical and operational expertise drawn from appropriate and relevant officials and components of the Department of Defense, including the National Security Agency, United States Cyber Command, the Chief Information Officer, the Office of the Secretary of Defense, military department Principal Cyber Advisors, and the Defense Advanced Research Projects Agency. (3) 国防長官 -- 国防長官は、国家安全保障局、米国サイバー司令部、最高情報責任者、国防長官室、軍部の主席サイバー顧問、国防高等研究計画局など、国防省の適切かつ関連性の高い官僚や部門から集められた技術的・運用的専門知識の提供を含め、パイロットプログラムへの支援と資源の提供を行う。
(g) Participation of Other Federal Government Components.--The Secretary may invite to participate in the pilot program required under subsection (a) the heads of such departments or agencies as the Secretary considers appropriate. (g) 他の連邦政府機関の参加 -- 長官は、(a)項に基づいて要求されるパイロットプログラムへの参加を、長官が適切と考える省庁の長に呼びかけることができる。
(h) Integration With Other Efforts.--The Secretary shall ensure that the pilot program required under subsection (a) makes use of, builds upon, and, as appropriate, integrates with and does not duplicate other efforts of the Department of Homeland Security and the Department of Defense relating to cybersecurity, including the following: (h) 他の取り組みとの統合 -- 長官は、(a)項に基づいて要求されるパイロットプログラムが、以下を含むサイバーセキュリティに関連する国土安全保障省および国防総省の他の取り組みを利用し、それに基づいて構築され、必要に応じてそれらと統合され、重複しないことを保証しなければならない。
(1) The Joint Cyber Defense Collaborative of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security. (1) 国土安全保障省のサイバーセキュリティ・インフラセキュリティ庁の共同サイバー防衛共同体。
(2) The Cybersecurity Collaboration Center and Enduring Security Framework of the National Security Agency. (2) 国家安全保障局のCybersecurity Collaboration CenterとEnduring Security Framework。
(i) Rules of Construction.-- (i) 構築のルール。
(1) Limitation on government access to data.--Nothing in this section authorizes sharing of information, including information relating to customers of internet ecosystem companies or private individuals, from an internet ecosystem company to an agency, officer, or employee of the Federal Government unless otherwise authorized by another provision of law. (1) 政府によるデータへのアクセスの制限--本項は、他の法律で認められていない限り、インターネット・エコシステム企業の顧客や個人に関連する情報を含む情報を、インターネット・エコシステム企業から連邦政府の機関、役員、従業員に共有することを認めるものではない。
(2) Stored communications act.--Nothing in this section may be construed to permit or require disclosure by a provider of a remote computing service or a provider of an electronic communication service to the public of information not otherwise permitted or required to be disclosed under chapter 121 of title 18, United States Code (commonly known as the ``Stored Communications Act''). (2) 本項のいかなる規定も、リモートコンピューティングサービスの提供者または電子通信サービスの提供者が、合衆国法典第18編第121章(一般に「Stored Communications Act」と呼ばれる)に基づいて開示することが許可または要求されていない情報を一般に開示することを許可または要求するものとは解釈されません。
(3) Third party customers.--Nothing in this section may be construed to require a third party, such as a customer or managed service provider of an internet ecosystem company, to participate in the pilot program under subsection (a). (3) 第三者の顧客 -- 本項のいかなる規定も、インターネット・エコシステム会社の顧客やマネージド・サービス・プロバイダなどの第三者に、(a)項に基づくパイロット・プログラムへの参加を求めるものではない。
(j) Briefings.-- (j) ブリーフィング--。
(1) Initial.-- (1) 初回。
(A) In general.--Not later than one year after the date of the enactment of this Act, the Secretary, in coordination with the Secretary of Defense and the National Cyber Director, shall brief the appropriate committees of Congress on the pilot program required under subsection (a). (A) 長官は、国防長官および国家サイバー長官と協力して、(a)項に基づくパイロットプログラムについて、連邦議会の該当委員会に説明する。)
(B) Elements.--The briefing required under subparagraph (A) shall include the following: (B) 構成要素 --(A)号で求められる説明会には、以下の内容が含まれる。
(i) The plans of the Secretary for the implementation of the pilot program. (i) パイロット・プログラムの実施に関する長官の計画。
(ii) Identification of key priorities for the pilot program. (ii) パイロット・プログラムの主要な優先事項の確認。
(iii) Identification of any potential challenges in standing up the pilot program or impediments, such as a lack of liability protection, to private sector participation in the pilot program. (iii) パイロット・プログラムを立ち上げる上での潜在的な課題、又はパイロット・プログラムへの民間企業の参加に対する責任保護の欠如等の障害の特定。
(iv) A description of the roles and responsibilities in the pilot program of each participating Federal entity. (iv) パイロット・プログラムに参加する各連邦機関の役割と責任の説明。
(2) Annual.-- (2) 年次。
(A) In general.--Not later than two years after the date of the enactment of this Act and annually thereafter for three years, the Secretary, in coordination with the Secretary of Defense and the National Cyber Director, shall brief the appropriate committees of Congress on the progress of the pilot program required under subsection (a). (A) 長官は、国防長官および国家サイバー長官と協力して、本法令の制定日から2年以内に、その後3年間は毎年、(a)項に基づいて要求されるパイロット・プログラムの進捗状況を議会の適切な委員会に報告しなければならない。)
(B) Elements.--Each briefing required under subparagraph (A) shall include the following: (B) 構成要素 --(A)号で要求される各説明会には、以下の内容が含まれなければならない。
(i) Recommendations for addressing relevant policy, budgetary, and legislative gaps to increase the effectiveness of the pilot program. (i) パイロット・プログラムの有効性を高めるために、関連する政策、予算、立法上のギャップに対処するための提言。
(ii) Recommendations, such as providing liability protection, for increasing private sector participation in the pilot program. (ii) パイロット・プログラムへの民間企業の参加を促進するための、責任保護などの提言。
(iii) A description of the challenges encountered in carrying out the pilot program, including any concerns expressed by internet ecosystem companies regarding participation in the pilot program. (iii) パイロット・プログラムへの参加に関してインターネット・エコシステム企業が表明した懸念を含む、パイロット・プログラムを実施する上で遭遇した課題の記述。
(iv) The findings of the Secretary with respect to the feasibility and advisability of extending or expanding the pilot program. (iv) パイロット・プログラムを延長または拡大することの実現可能性とお勧め度に関する長官の所見。
(v) Such other matters as the Secretary considers appropriate. (v) 長官が適切と考えるその他の事項。
(k) Termination.--The pilot program required under subsection (a) shall terminate on the date that is five years after the date of the enactment of this Act. (k) 終了 --(a)項に基づいて求められるパイロットプログラムは、本法の制定日から5年後の日に終了する。
(l) Definitions.--In this section: (l) 定義 --本項では、以下のように定義する。
(1) Appropriate committees of congress.--The term ``appropriate committees of Congress'' means-- (1) 議会の適切な委員会」とは、以下を意味する。
(A) the Committee on Homeland Security and Governmental Affairs and the Committee on Armed Services of the Senate; and (A) 上院の国土安全保障・政府問題委員会および軍事委員会。
(B) the Committee on Homeland Security and the Committee on Armed Services of the House of Representatives. (B) 下院の国土安全保障委員会および軍事委員会(Committee on Homeland Security and Governmental Affairs)
(2) Internet ecosystem company.--The term ``internet ecosystem company'' means a business incorporated in the United States that provides cybersecurity services, internet service, content delivery services, Domain Name Service, cloud services, mobile telecommunications services, email and messaging services, internet browser services, or such other services as the Secretary determines appropriate for the purposes of the pilot program under subsection (a). (2) インターネット・エコシステム企業 --「インターネット・エコシステム企業」とは、サイバーセキュリティ・サービス、インターネット・サービス、コンテンツ配信サービス、ドメイン・ネーム・サービス、クラウド・サービス、モバイル通信サービス、電子メール・メッセージング・サービス、インターネット・ブラウザ・サービス、または(a)項に基づくパイロット・プログラムの目的のために長官が適切と判断するその他のサービスを提供する、米国で法人化された企業をいう。
(3) Secretary.--The term ``Secretary'' means the Secretary of Homeland Security. (3) 「長官」とは、国土安全保障省長官をいう。
SEC. 1551. UNITED STATES-ISRAEL CYBERSECURITY COOPERATION. Sec. 1551. 米国とイスラエルのサイバーセキュリティ協力
(a) Grant Program.-- (a) 補助金プログラム...
(1) Establishment.--The Secretary, in accordance with the agreement entitled the ``Agreement between the Government of the United States of America and the Government of the State of Israel on Cooperation in Science and Technology for Homeland Security Matters'', dated May 29, 2008 (or successor agreement), and the requirements specified in paragraph (2), shall establish a grant program at the Department to support-- (1) 長官は、2008年5月29日付の「国土安全保障に関する科学技術協力に関する米国政府とイスラエル政府との間の合意」と題された協定(またはその後継協定)および第2項に規定された要件に基づき、省内に助成プログラムを設置し、以下の支援を行う。
(A) cybersecurity research and development; and (A) サイバーセキュリティの研究開発、および
(B) demonstration and commercialization of cybersecurity technology. (B) サイバーセキュリティ技術の実証と商業化。
(2) Requirements.-- (2) 要件
(A) Applicability.--Notwithstanding section 317 of the Homeland Security Act of 2002 (6 U.S.C. 195c), in carrying out a research, development, demonstration, or commercial application program or activity that is authorized under this section, the Secretary shall require cost sharing in accordance with this paragraph. (A) 2002年国土安全保障法第317条(6 U.S.C. 195c)にかかわらず、本項で認可された研究、開発、実証、商業利用のプログラムや活動を実施する際、長官は本項に従って費用負担を求める。
(B) Research and development.-- (B) 研究および開発
(i) In general.--Except as provided in clause (ii), the Secretary shall require not less than 50 percent of the cost of a research, development, demonstration, or commercial application program or activity described in subparagraph (A) to be provided by a non-Federal source. (i) 一般的に--(ii)項で規定されている場合を除き、長官は、(A)項に記載された研究、開発、実証、または商業的応用のプログラムまたは活動の費用の50%以上を、連邦以外の資金源から提供するよう要求する。
(ii) Reduction.--The Secretary may reduce or eliminate, on a case-by-case basis, the percentage requirement specified in clause (i) if the Secretary determines that such reduction or elimination is necessary and appropriate. (ii) 長官が必要かつ適切であると判断した場合には、(i)項で指定された割合の要件をケースバイケースで削減または排除することができる。
(C) Merit review.--In carrying out a research, development, demonstration, or commercial application program or activity that is authorized under this section, awards shall be made only after an impartial review of the scientific and technical merit of the proposals for such awards has been carried out by or for the Department. (C)メリット・レビュー--本項に基づいて認可された研究、開発、実証、商業利用のプログラムや活動を実施する際には、賞の提案の科学的・技術的メリットを公平にレビューした後にのみ、賞を授与するものとする。
(D) Review processes.--In carrying out a review under subparagraph (C), the Secretary may use merit review processes developed under section 302(14) of the Homeland Security Act of 2002 (6 U.S.C. 182(14)). (D) 審査プロセス --(C)号の審査を行うにあたり、長官は2002年国土安全保障法(6 U.S.C. 182(14))の第302(14)項に基づいて開発されたメリット審査プロセスを使用することができる。
(3) Eligible applicants.--An applicant is eligible to receive a grant under this subsection if-- (3) 申請者は、以下の場合に本項の助成金を受け取る資格がある。
(A) the project of such applicant-- (A) 当該申請者のプロジェクトが
(i) addresses a requirement in the area of cybersecurity research or cybersecurity technology, as determined by the Secretary; and (i) 長官が決定した、サイバーセキュリティ研究またはサイバーセキュリティ技術の分野における要求に対応している。
(ii) is a joint venture between-- (ii) 次の2つの間の共同事業である。
(I)(aa) a for-profit business entity, academic institution, National Laboratory, or nonprofit entity in the United States; and (I)(aa)米国内の営利事業体、学術機関、国立研究所、または非営利団体。
(bb) a for-profit business entity, academic institution, or nonprofit entity in Israel; or (bb) イスラエルの営利事業体、学術機関、または非営利事業体。
(II)(aa) the Federal Government; and (II)(aa)連邦政府、および
(bb) the Government of Israel; and (bb) イスラエル政府、および
(B) neither such applicant nor the project of such applicant pose a counterintelligence threat, as determined by the Director of National Intelligence. (B) 当該申請者および当該申請者のプロジェクトが、国家情報長官の判断により、防諜上の脅威となっていないこと。
(4) Applications.--To be eligible to receive a grant under this subsection, an applicant shall submit to the Secretary an application for such grant in accordance with procedures established by the Secretary, in consultation with the advisory board established under paragraph (5). (4) 申請者は、このサブセクションの下で助成金を受け取る資格を得るために、第5項に基づいて設立された諮問委員会と協議の上、長官が定めた手順に従って、助成金の申請書を長官に提出しなければならない。
(5) Advisory board.-- (5) 諮問委員会...
(A) Establishment.--The Secretary shall establish an advisory board to-- (A) 長官は、以下の目的で諮問委員会を設立する。
(i) monitor the method by which grants are awarded under this subsection; and (i) 本サブセクションの下で補助金が授与される方法を監視する。
(ii) provide to the Secretary periodic performance reviews of actions taken to carry out this subsection. (ii) 本項を遂行するために取られた行動について、定期的にパフォーマンス・レビューを長官に提供する。
(B) Composition.--The advisory board established under subparagraph (A) shall be composed of three members, to be appointed by the Secretary, of whom-- (B) 構成 (A)号に基づいて設立された諮問委員会は、長官によって任命された3人のメンバーで構成される。
(i) one shall be a representative of the Federal Government; (i) 1名は連邦政府の代表者とする。
(ii) one shall be selected from a list of nominees provided by the United States-Israel Binational Science Foundation; and (ii) 米国・イスラエル二国間科学財団から提供された候補者のリストから1名を選出する。
(iii) one shall be selected from a list of nominees provided by the United States-Israel Binational Industrial Research and Development Foundation. (iii) 米国・イスラエル二国間産業研究開発財団が提供する推薦人のリストから1名を選出する。
(6) Contributed funds.--Notwithstanding section 3302 of title 31, United States Code, the Secretary may, only to the extent provided in advance in appropriations Acts, accept or retain funds contributed by any person, government entity, or organization for purposes of carrying out this subsection. Such funds shall be available, subject to appropriation, without fiscal year limitation. (6) アメリカ合衆国法典第31編第3302項にかかわらず、長官は、予算制定法で事前に定められた範囲内でのみ、本款を実行する目的で、個人、政府機関、または組織から拠出された資金を受け入れ、または保持することができる。このような資金は、充当されることを条件に、会計年度の制限なく利用できるものとする。
(7) Reports.-- (7) 報告。
(A) Grant recipients.--Not later than 180 days after the date of completion of a project for which a grant is provided under this subsection, the grant recipient shall submit to the Secretary a report that contains-- (A) 助成金受領者:本款の下で助成金が提供されたプロジェクトの完了日から180日以内に、助成金受領者は次の内容を含む報告書を長官に提出しなければならない。
(i) a description of how the grant funds were used by the recipient; and (i) 補助金受領者が補助金をどのように使用したかの説明。
(ii) an evaluation of the level of success of each project funded by the grant. (ii) 補助金を受けた各プロジェクトの成功度の評価。
(B) Secretary.--Not later than one year after the date of the enactment of this Act and annually thereafter until the grant program established under this subsection terminates, the Secretary shall submit to the Committees on Homeland Security and Governmental Affairs and Foreign Relations of the Senate and the Committees on Homeland Security and Foreign Affairs of the House of Representatives a report on grants awarded and projects completed under such program. (B) 長官...本法の制定日から1年以内に、その後本項に基づいて設立された助成プログラムが終了するまで毎年、長官は上院の国土安全保障・政府問題・外交委員会と下院の国土安全保障・外交委員会に、当該プログラムの下で授与された助成金と完了したプロジェクトに関する報告書を提出しなければならない。
(8) Classification.--Grants shall be awarded under this subsection only for projects that are considered to be unclassified by both the United States and Israel. (8) 分類:本款では、米国とイスラエルの双方で分類されていないと考えられるプロジェクトに対してのみ、助成金を授与するものとする。
(b) Authorization of Appropriations.--There is authorized to be appropriated to carry out this section not less than $6,000,000 for each of fiscal years 2022 through 2026. (b) 2022年から2026年までの各会計年度において、本項を実施するために600万ドル以上の予算を計上することが認められている。
(c) Definitions.--In this section-- (c) 定義: 本項では
(1) the term ``cybersecurity research'' means research, including social science research, into ways to identify, protect against, detect, respond to, and recover from cybersecurity threats; (1) 「サイバーセキュリティ研究」とは、サイバーセキュリティの脅威を特定し、それを防御し、検出し、対応し、回復する方法についての社会科学的研究を含む研究をいう。
(2) the term ``cybersecurity technology'' means technology intended to identify, protect against, detect, respond to, and recover from cybersecurity threats; (2) 「サイバーセキュリティ技術」とは、サイバーセキュリティの脅威を特定し、防御し、検知し、対応し、回復することを目的とした技術をいう。
(3) the term ``cybersecurity threat'' has the meaning given such term in section 102 of the Cybersecurity Information Sharing Act of 2015 (6 U.S.C. 1501; enacted as title I of the Cybersecurity Act of 2015 (division N of the Consolidated Appropriations Act, 2016 (Public Law 114-113))); (3) 「サイバーセキュリティの脅威」という用語は、2015年サイバーセキュリティ情報共有法(6 U.S.C. 1501;2015年サイバーセキュリティ法のタイトルIとして制定(2016年連結歳出法(Public Law 114-113)のN部門)の第102節で与えられた意味を持つ。)
(4) the term ``Department'' means the Department of Homeland Security; (4) 「Department」とは、国土安全保障省をいう。
(5) the term ``National Laboratory'' has the meaning given such term in section 2 of the Energy Policy Act of 2005 (42 U.S.C. 15801); and (5) 「国立研究所」とは、2005年エネルギー政策法第2条(42 U.S.C. 15801)で与えられた意味を持つ。
(6) the term ``Secretary'' means the Secretary of Homeland Security. (6) 「長官」とは、国土安全保障省の長官をいう。
SEC. 1552. AUTHORITY FOR NATIONAL CYBER DIRECTOR TO ACCEPT DETAILS ON NONREIMBURSABLE BASIS. Sec. 1552. 国家サイバー長官が、払い戻しのない詳細な情報を受け取る権限
Section 1752(e) of the William M. (Mac) Thornberry National Defense Authorization Act for Fiscal Year 2021 (Public Law 116-283) is amended-- 2021年度ウィリアム・M・ソーンベリー国防権限法(公法116-283)の第1752(e)項を改正する。
(1) by redesignating paragraphs (1) through (8) as subparagraphs (A) through (H), respectively, and indenting such subparagraphs two ems to the right; (1)段落(1)から(8)をそれぞれ(A)から(H)までの段落とし、当該段落を2エーム右にインデントする。
(2) in the matter preceding subparagraph (A), as redesignated by paragraph (1), by striking ``The Director may'' and inserting the following: (2) パラグラフ(1)で再指定されたパラグラフ(A)の前の部分では、「The Director may」の部分を削除し、以下のように挿入する。
``(1) In general.--The Director may''; ''(2) パラグラフ(1)の前の部分は、パラグラフ(1)で指定されたとおり、「The Director may」を削除し、次のように挿入する。
(3) in paragraph (1)-- (3) パラグラフ(1)において
(A) as redesignated by paragraph (2), by redesignating subparagraphs (C) through (H) as subparagraphs (D) through (I), respectively; and (A) パラグラフ(2)で指定を変更した場合、(C)から(H)までをそれぞれ(D)から(I)までとする。
(B) by inserting after subparagraph (B) the following new subparagraph: (B) サブパラグラフ(B)の後に以下の新しいサブパラグラフを挿入する。
``(C) accept officers or employees of the United States or members of the Armed Forces on a detail from an element of the intelligence community (as such term is defined in section 3(4) of the National Security Act of 1947 (50 U.S.C. 3003(4))) or from another element of the Federal Government on a nonreimbursable basis, as jointly agreed to by the heads of the receiving and detailing elements, for a period not to exceed three years;''; and ''(C) 情報機関の構成員(1947年国家安全保障法(50 U.S.C. 3003(4))のセクション3(4)で定義されている)または連邦政府の他の構成員から、受領側と詳細側の責任者が共同で合意したとおり、償還不要で3年を超えない期間、米国の役員または従業員、軍隊の構成員を詳細に受け入れること。
(4) by adding at the end the following new paragraph: (4) 最後に次の新しいパラグラフを追加する。
``(2) Rules of construction regarding details.--Nothing in paragraph (1)(C) may be construed as imposing any limitation on any other authority for reimbursable or nonreimbursable details. A nonreimbursable detail made pursuant to such paragraph shall not be considered an augmentation of the appropriations of the receiving element of the Office of the National Cyber Director.''. ''(2) 第1項(C)の規定は、償還可能または償還不可能な細部に関する他の権限に制限を加えるものと解釈してはならない。本項に基づいて行われた払い戻しのない詳細情報は、国家サイバー長官室の受け入れ部門の予算を増大させるものとはみなされない。

Continue reading "米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。"

| | Comments (0)

中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

こんにちは、丸山満彦です。

中国共産党のネットワークセキュリティ・情報技術中央委員会が「第145ヵ年計画における国家情報化計画」を発表していますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

2021.12.27 中央网络安全和信息化委员会印发《“十四五”国家信息化规划》 ネットワークセキュリティ・情報化中央委員会が「第14次5ヵ年国家情報化計画」を発表

 

人民日報

2021.12.27 中央网络安全和信息化委员会印发《“十四五”国家信息化规划》 ネットワークセキュリティ・情報化中央委員会が「第14次5ヵ年国家情報化計画」を発表

中国のデジタル化の今後の計画の方針的なものなのでしょうね。。。

デジタル処理は処理の伝播の過程におけるミスが人と比べて圧倒的に少ないので、中央集権的な思想の国にとってはデジタル化による環境整備をすることで、中央集権的な統率を効かせやすくなるように思います。ということで、中央集権的な思想を持つ指導者にとってデジタル化は末端までその考えを浸透させるための有力な手段となり得るので、ますますデジタル化が進むように思います。。。

 

中央网络安全和信息化委员会印发《“十四五”国家信息化规划》 ネットワークセキュリティ・情報化中央委員会が「第145ヵ年計画における国家情報化計画」を発表
近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。《规划》是“十四五”国家规划体系的重要组成部分,是指导各地区、各部门信息化工作的行动指南。 先日、ネットワークセキュリティ・情報化中央委員会は、「第145ヵ年計画における国家情報化計画(以下、「計画」)を発表し、第14次5ヵ年における中国の情報化の発展について取り決めました。 この計画は、第14次5カ年計画のための国家計画システムの重要な一部であり、すべての地域と部門における情報化の作業を指導するためのアクションガイドです。
《规划》指出,“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。加快数字化发展、建设数字中国,是顺应新发展阶段形势变化、抢抓信息革命机遇、构筑国家竞争新优势、加快建成社会主义现代化强国的内在要求,是贯彻新发展理念、推动高质量发展的战略举措,是推动构建新发展格局、建设现代化经济体系的必由之路,是培育新发展动能,激发新发展活力,弥合数字鸿沟,加快推进国家治理体系和治理能力现代化,促进人的全面发展和社会全面进步的必然选择。 同計画では、第14次5カ年計画期間中に、情報化はデジタル開発を加速し、デジタル中国を構築するという新たな段階に入ると指摘しています。 デジタル開発を加速し、デジタル中国を構築することは、新たな発展段階における状況の変化に対応し、情報革命のチャンスをつかみ、新たな国家競争力を構築し、強力な社会主義現代国家の構築を加速するための固有の要件である。 また、デジタルデバイドを解消し、国家統治システムと統治能力の近代化を加速させ、人々の全面的な発展と社会の進歩を促進するためには、避けて通れない選択です。
《规划》强调,要深入贯彻党的十九大和十九届二中、三中、四中、五中、六中全会精神,坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导,紧紧围绕统筹推进“五位一体”总体布局和协调推进“四个全面”战略布局,坚定不移贯彻新发展理念,坚持稳中求进工作总基调,以推动高质量发展为主题,以建设数字中国为总目标,以加快数字化发展为总抓手,发挥信息化对经济社会发展的驱动引领作用,推动新型工业化、信息化、城镇化、农业现代化同步发展,加快建设现代化经济体系;以深化供给侧结构性改革为主线,进一步解放和发展数字生产力,加快构建以国内大循环为主体、国内国际双循环相互促进的新发展格局;以改革创新为根本动力,完善创新体系和发展环境,激发创新活力,增强发展动能;以满足人民日益增长的美好生活需要为根本目的,统筹发展和安全,推进国家治理体系和治理能力现代化,加强数字社会、数字政府、数字民生建设,让人民群众在信息化发展中有更多获得感幸福感安全感,为开启全面建设社会主义现代化国家新征程、向第二个百年奋斗目标进军提供强大动力。 計画では、第19回中国共産党全国代表大会と第19回中国共産党中央委員会第2、3、4、5、6回全体会議の精神を徹底的に実行し、新時代の中国の特色ある社会主義に関する習近平思想、特にネットワークパワーに関する習近平総書記の重要な思想の指導を堅持し、「五人組」の全体的な配置と調整を緊密に行う必要性を強調しています。 「また、安定した方法で進歩を求め、質の高い発展の促進をテーマとし、デジタル中国の構築を全体的な目標とし、デジタル発展の加速を全体的な把握とし、経済社会の発展における情報技術の推進と先導の役割を十分に発揮し、新産業化、情報技術、都市化、農業近代化の同時発展を促進するという一般的な基調を堅持します。 改革とイノベーションを基本的な原動力として、イノベーションシステムと開発環境を改善し、イノベーションの活力を刺激し、発展の勢いを高めます。供給側の構造改革の深化を主軸に、デジタル生産性をさらに解放・発展させ、国内循環を主軸とし、国内外の循環が相互に促進する新たな発展パターンの構築を加速させていきます。 より良い生活を求める国民の高まるニーズに応え、発展と安全を調整し、国家統治システムと統治能力の近代化を促進し、デジタル社会、デジタル政府、デジタル国民生活の構築を強化し、情報技術の発展の中で国民に大きな幸福感と安心感を与え、近代的な社会主義国の建設という新たな旅を始め、2世紀の目標に向かって邁進するための強力な推進力となることを基本的な目的としています。
《规划》提出,要坚持党的全面领导,坚持以人民为中心,坚持新发展理念,坚持深化改革开放,坚持系统推进,坚持安全和发展并重。到2025年,数字中国建设取得决定性进展,信息化发展水平大幅跃升。数字基础设施体系更加完备,数字技术创新体系基本形成,数字经济发展质量效益达到世界领先水平,数字社会建设稳步推进,数字政府建设水平全面提升,数字民生保障能力显著增强,数字化发展环境日臻完善。 計画では、党の全面的な指導を堅持し、人民を中心に据え、新発展理念を堅持し、改革開放の深化を堅持し、組織的な推進を堅持し、安全と発展の平等な重要性を堅持することを提案しています。 2025年には、「デジタル・チャイナ」の構築が決定的に進展し、情報開発のレベルも大幅に向上していることでしょう。 デジタルインフラシステムがより完全なものとなり、デジタル技術革新システムが基本的に形成され、デジタル経済発展の質と効率が世界をリードするレベルに達し、デジタル社会の構築が着実に推進され、デジタル政府建設のレベルが総合的に向上し、デジタル生活保護能力が大幅に強化され、デジタル発展環境が完璧になります。
《规划》围绕确定的发展目标,部署了10项重大任务,一是建设泛在智联的数字基础设施体系,二是建立高效利用的数据要素资源体系,三是构建释放数字生产力的创新发展体系,四是培育先进安全的数字产业体系,五是构建产业数字化转型发展体系,六是构筑共建共治共享的数字社会治理体系,七是打造协同高效的数字政府服务体系,八是构建普惠便捷的数字民生保障体系,九是拓展互利共赢的数字领域国际合作体系,十是建立健全规范有序的数字化发展治理体系,并明确了5G创新应用工程等17项重点工程作为落实任务的重要抓手。 本計画では、1 ユビキタスでスマートなデジタルインフラシステムの構築、2 効率的な利用のためのデータ要素リソースのシステムの確立、3 デジタル生産性を発揮する革新的な開発システムの構築、4 高度で安全なデジタル産業システムの育成、5 産業界のデジタルトランスフォーメーションの発展のためのシステムの構築、6 共同で構築し、統治し、共有するデジタル・ソーシャル・ガバナンス・システムの構築、7 協調的で効率的なデジタル政府サービスシステムの構築、8 包括的で便利なデジタル生活保護システムの構築、9 デジタル分野における互恵・ウィンウィンの国際協力システムの拡充、10 デジタル開発のための健全で標準化されたガバナンスシステムの確立、5G革新・応用プロジェクトなど17の重要プロジェクトを明確にして、課題を実施することです。
《规划》根据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》中主要目标和重点内容,把基础能力、战略前沿、民生保障等摆在了优先位置,确定了全民数字素养与技能提升、企业数字能力提升、前沿数字技术突破、数字贸易开放合作、基层智慧治理能力提升、绿色智慧生态文明建设、数字乡村发展、数字普惠金融服务、公共卫生应急数字化建设、智慧养老服务拓展等10项优先行动。 本計画では、「中華人民共和国国家経済社会発展第14次5ヵ年計画」および「2035年ビジョン」の主な目的と主要な内容に沿って、基礎能力、戦略的フロンティア、生活保護を優先し、全国民のデジタルリテラシーとスキルの向上、企業のデジタル能力の向上、フロンティアデジタル技術の躍進、デジタル貿易の開放と協力、草の根の知恵の統治能力を明らかにしています。 この計画では、全国民のデジタルリテラシーとスキルの向上、企業のデジタル能力の向上、最先端デジタル技術の躍進、デジタル貿易の開放と協力、草の根スマートガバナンス能力の向上、グリーンでスマートなエコロジー文明の構築、デジタルビレッジの開発、デジタルインクルーシブ金融サービス、公衆衛生緊急事態のデジタル構築、スマート高齢者サービスの拡大など、10の優先行動が示されています。
《规划》从加强组织领导、健全政策体系、强化队伍建设、规范试点示范、强化战略研究和加强舆论宣传等6个方面保障实施,确保目标任务落到实处。 本計画では、目的と課題を確実に実践するために、組織のリーダーシップ強化、政策システムの改善、チームビルディングの強化、試験的な実証実験の標準化、戦略的調査の強化、世論宣伝の強化など、6つの分野での実施を保証しています。

 

・[PDF] “十四五”国家信息化规划

20211228-165954

一、现状与形势 1. 現状と状況
(一)发展现状 (1) 開発の現状
(二)发展形势 (2) 開発状況
二、总体部署 2.全体的な展開
(一)指导思想 (1) 指導原則
(二)基本原则 (2) 基本原則
(三)发展目标 (3) 開発目標
三、主攻方向 3. 主な焦点
四、重大任务和重点工程 4. 主要タスクと主要プロジェクト
(一)建设泛在智联的数字基础设施体系 (1) ユビキタスでスマートなデジタルインフラシステムの構築
(二)建立高效利用的数据要素资源体系 (2) 効率的な利用のためのデータ要素リソースのシステムの確立
(三)构建释放数字生产力的创新发展体系 (3) デジタル生産性を発揮する革新的な開発システムの構築
(四)培育先进安全的数字产业体系 (4) 高度で安全なデジタル産業システムの育成
(五)构建产业数字化转型发展体系 (5) 産業界のデジタルトランスフォーメーションの発展のためのシステムの構築
(六)构筑共建共治共享的数字社会治理体系 (6) 共同で構築し、統治し、共有するデジタル・ソーシャル・ガバナンス・システムの構築
(七)打造协同高效的数字政府服务体系 (7) 協調的で効率的なデジタル政府サービスシステムの構築
(八)构建普惠便捷的数字民生保障体系 (8) 包括的で便利なデジタル生活保護システムの構築
(九)拓展互利共赢的数字领域国际合作体系 (9) デジタル分野における互恵・ウィンウィンの国際協力システムの拡充
(十)建立健全规范有序的数字化发展治理体系 (10) デジタル開発のための健全で標準化されたガバナンスシステムの確立
五、优先行动 5. 優先順位の高い構想
(一)全民数字素养与技能提升行动 (1) すべての人のためのデジタルリテラシーとスキル向上構想
(二)企业数字能力提升行动 (2) 企業デジタル能力向上構想
(三)前沿数字技术突破行动 (3) 最先端デジタル技術ブレークスルー構想
(四)数字贸易开放合作行动 (4) デジタル貿易オープンネス及び協力構想
(五)基层智慧治理能力提升行动 (5) 草の根の知的ガバナンスの能力を高めるための構想
(六)绿色智慧生态文明建设行动 (6) グリーン&スマートエコロジー文明構築構想
(七)数字乡村发展行动 (7) デジタル村開発構想
(八)数字普惠金融服务行动 (8) デジタル包摂金融サービス構想
(九)公共卫生应急数字化建设行动 (9) 公衆衛生の緊急デジタル化構想
(十)智慧养老服务拓展行动 (10) スマート高齢者ケアサービス拡充構想
六、组织实施 6. 組織と実施
(一)加强组织领导 (1) 組織的リーダーシップの強化
(二)健全政策体系 (2) 健全な政策体制
(三)强化队伍建设 (3) チームビルディングの強化
(四)规范试点示范 (4) 標準化された試験的デモンストレーション
(五)强化战略研究 (5) 戦略的研究の強化
(六)加强舆论宣传 (6) 世論と広報の強化

 

・[DOCX] 仮訳

 

中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要

这里有一份“十四五”规划和2035年远景目标纲要全文

 


● まるちゃんの情報セキュリティきまぐれ日記

・2021.09.06 中国 デジタル村建設ガイド1.0

| | Comments (0)

2021.12.28

中国 全国人民大会 法の支配に向かうデータセキュリティ

こんにちは、丸山満彦です。

全国人民大会のウェブページに「法の支配に向かうデータセキュリティ」と題した人民日報?の記事が出ていました。。。

全国人民大会

2022.12.27 数据安全步入法治化轨道 法の支配に向かうデータセキュリティ

 

安全保障と個人の権利利益の保護とのバランスをどのように取るのかというのが国の在り方を決める際のポイントの一つとなるのかもしれませんね。。。

 

数据安全步入法治化轨道 法の支配に向かうデータセキュリティ
非法购买公民信息、开发人脸认证规避技术……今年年初,广东省公安厅网安部门侦破全国首例破解“青少年防沉迷系统”的新型网络犯罪案件,抓获犯罪嫌疑人13名,查处非法网站500余个。 市民情報の不正購入、顔認証回避技術の開発 ...... 今年に入ってから、広東省公安局ネットセキュリティ部門は、新しいタイプのサイバー犯罪の最初のケースとして、「若者の反中毒システム」をクラックし、13人の容疑者を逮捕し、違法サイトを調査しました。 500以上の違法なウェブサイトが発見されました。
公安部部署“净网2021”专项行动以来,全国公安机关网安部门全链条打击非法采集、提供、倒卖个人信息违法犯罪,侦办案件5400余起,抓获犯罪嫌疑人6400余名;严打破坏计算机信息系统数据、非法获取计算机信息系统数据类犯罪,侦办相关案件230余起,抓获犯罪嫌疑人420余人。 公安部が「クリーンネット2021」特別作戦を展開して以来、国家公安当局のサイバーセキュリティ部門は、個人情報の違法な収集・提供・販売を取り締まり、5,400件以上の事件を捜査し、6,400人以上の容疑者を逮捕しました。また、コンピュータ情報システムのデータを破損したり、コンピュータ情報システムのデータを不正に入手したりする犯罪も取り締まりました。 また、コンピュータ情報システムデータの破壊や、コンピュータ情報システムデータへの不正アクセスなどの犯罪を取り締まり、230件以上の事件を捜査し、420人以上の容疑者を逮捕しました。
数据安全事关公民个人权益、产业健康发展甚至国家安全。9月1日,《中华人民共和国数据安全法》正式施行,数据安全步入法治化轨道。“从将个人、企业和公共机构的数据安全纳入保障体系,到规范行业组织和科研机构等主体的数据安全保护义务,数据安全法确立了对数据领域的全方位监管、治理和保护。”中国人民大学法学院副教授丁晓东说。 9月1日、「中華人民共和国データセキュリティ法」が施行され、データセキュリティは法治国家の道を歩むことになりました。中国人民大学法学部の丁暁東(ディン・シャオドン)准教授は、次のように述べています。 「個人、企業、公共機関のデータセキュリティを保護システムに組み込むことから、業界団体や科学研究機関などの対象者のデータセキュリティ保護義務を規制することまで、データセキュリティ法はデータ分野における全方位的な規制、ガバナンス、保護を確立しています。」
个人信息—— 個人情報
全链条、全流程监管 全工程、全工程管理
办过一次健身卡,就会反复收到办卡促销、免费试课电话;在某购物平台买过一次产品,每到节日都会收到一波打折推送……大数据、云计算、物联网等技术高速发展,网络在为人们生活带来便利的同时,也带来个人信息被非法收集、用户数据被泄露等现实问题。 フィットネスカードを持っていれば、カードのキャンペーンや無料体験の電話が繰り返しかかってきます。ショッピングプラットフォームで商品を購入したことがあれば、休日ごとに割引プッシュの波が押し寄せてきます。...... ビッグデータ、クラウドコンピューティング、モノのインターネットなどの技術が急速に発展し、ネットワークが人々の生活に便利さをもたらす一方で、個人情報が不正に収集されたり、ユーザ データが流出するなど、実際に問題が発生しました。
今年4月,有网民向宁夏中卫市警方举报:沙坡头区有人在网上售卖公民个人信息。警方在浙江慈溪、四川自贡、甘肃兰州及宁夏中卫沙坡头区先后抓获6名犯罪嫌疑人。犯罪嫌疑人王某某供认称,自2020年6月以来,他与同伙任某某通过黑客技术,非法侵入多家网贷平台,窃取系统内公民个人信息,随后将非法窃取数据批量出售。截至案发,该犯罪团伙共计出售公民个人信息100余万条。 今年4月、寧夏省中偉市の警察に、ネットユーザーから「シャポトウ区の誰かが市民の個人情報をネットで売っている」という通報がありました。 警察は、浙江省慈渓市、四川省紫公市、甘粛省蘭州市、寧夏省中維市沙坪頭区で6人の容疑者を逮捕しました。 ワン・ムームー容疑者は、2020年6月以降、共犯者のレン・ムームーと一緒に、ハッキング技術で多数のオンライン融資プラットフォームに違法に侵入し、システム内の市民の個人情報を盗み、違法に盗んだデータを大量に販売したことを告白しました。 犯行までに犯人グループは、合計100万件以上の市民の個人情報を売っていました。
数据安全法明确规定,任何组织、个人收集数据,应当采取合法、正当的方式,不得窃取或者以其他非法方式获取数据。 データセキュリティ法では、データを収集する組織や個人は、合法的で適切な方法を採用するべきであり、その他の違法な方法でデータを盗んだり入手したりしてはならないと明確に規定されています。
“数据安全法对个人信息数据的收集、存储、使用、提供等进行全链条、全流程监管。”公安部第三研究所网络安全法律研究中心主任黄道丽说,数据安全法为公安机关全链条打击、惩治侵犯公民个人信息、倒卖个人数据等违法犯罪行为提供了重要法律保障,将更加有利于落实网络安全等级保护制度,全方位保护个人信息安全。 データセキュリティ法は、個人情報データの収集、保存、使用、提供の一連の流れとプロセス全体を規制するものである。 公安部第三研究院ネットワークセキュリティ法研究センター長の黄大利氏は、データセキュリティ法は、公安当局が市民の個人情報を侵害したり、個人情報を連鎖的に販売するなどの違法・犯罪行為を取り締まり、処罰するための重要な法的保障を提供するものであり、ネットワークセキュリティレベルの保護システムの実施や個人情報セキュリティの全面的な保護に、より資するものであると述べています。
企业数据—— 企業データ
安全防护常态化 セキュリティ保護の正常化
“大量数据在企业经营过程中汇聚流通,尤其是一些头部互联网企业掌握了所属行业的深度数据,在释放数据价值的同时也带来数据安全风险。”丁晓东介绍。 「企業運営の過程では、大量のデータが収束して流通します。特に、インターネット企業のトップは、所属する業界の詳細なデータを保有しており、データの価値を解放する一方で、データのセキュリティリスクをもたらします」。 ディン・シャオドンが紹介しました。
下载新的APP时,需要勾选“同意”的隐私政策,这既是在保护用户的个人信息,也是对APP开发者采集个人信息的约束与监督。 新しいアプリをダウンロードする際には、「同意する」というプライバシーポリシーを確認する必要があります。これは、ユーザーの個人情報を保護するためだけでなく、アプリ開発者による個人情報の収集を制約・監督するためでもあります。
去年10月,贵州贵阳市公安局网安支队接上级通报,贵州某教育科技有限公司注册及使用的三款APP存在不同程度非法收集公民信息数据行为。经查,该公司APP无隐私政策及收集使用个人信息规则,在用户首次登录时以默认选择隐私政策等非明示方式征求用户同意;没有提供有效的更正、删除个人信息及注销用户账号功能。 昨年10月、貴州省貴陽市公安局インターネットセキュリティ分遣隊は、貴州省の教育技術企業が登録・使用している3つのAPPに、市民の情報データを違法に収集する度合いが異なるという通知を上位機関から受けました。 同社のAPPには、プライバシーポリシーや個人情報の収集・利用に関するルールがなく、初回ログイン時にデフォルトでプライバシーポリシーを選択するなど、非明示的な方法でユーザーの同意を求めていたこと、個人情報の修正・削除やユーザーアカウントのログアウトに関する有効な機能が提供されていなかったことが判明しました。
今年9月,贵州开阳县公安局网安大队在对属地网站开展巡查中发现,某旅游公司于2016年委托网络公司为其建设网络站点,时任企业负责人为便于管理,直接将网站后台管理入口放置在web页面,且存在弱口令漏洞。公安机关责令企业负责人直接将网站关闭,并对现有超期域名进行注销。 今年9月、貴州省開陽県公安局ネットセキュリティ旅団は、ある観光企業が2016年にネットワーク企業にネットワークサイトの構築を依頼し、当時の企業責任者が管理しやすいようにWebサイトのバックエンド管理ポータルを直接Webページ上に配置しており、パスワードの脆弱性があったことを発見しました。 公安当局は、企業の責任者に対し、直接ウェブサイトを閉鎖し、既存の延滞中のドメイン名を取り消すよう命じました。
在两起案件中,两家企业由于未履行对数据安全的监管和保护,不同程度上造成数据信息安全漏洞。 この2つのケースでは、2つの企業がデータセキュリティの監督・保護を果たしていなかったため、程度の差こそあれ、データセキュリティの抜け穴が生じていました。
黄道丽表示,各类网站、APP无论规模大小,相关负责人和运营商都应当按照法律法规要求及时开展网络安全检查,履行网络安全保护义务。 黄大利は、あらゆる種類のWebサイトやAPPは、その規模にかかわらず、関係者や運営者が適時にネットワークセキュリティチェックを行い、法律や規制の要求に応じてネットワークセキュリティ保護の義務を果たすべきだと述べています。
“数据安全法明确企业在保护数据安全方面的责任,对企业的数据安全提出了严格要求。未来,企业的数据安全防护将逐步常态化。”丁晓东说。 「データセキュリティ法は、データセキュリティを保護する企業の責任を明確にし、企業のデータセキュリティに対する厳格な要求を提示しています。 将来的には、企業のデータセキュリティ保護は徐々に正常化していくでしょう。" ディン・シャオドンは言った。
公共机构数据—— 公共機関のデータ
充分发挥和保障其基础资源作用 基本的な資源としての役割を十分に発揮し、保護する。
今年1月,江苏南京市公安局网安部门侦办了一起医院内部信息系统被非法获取数据案件。经查,犯罪嫌疑人通过买通医院硬件设备维护人员,将黑客工具安装在医院内部系统中,非法窃取系统账号密码,获取多家医院患者就诊数据,并售卖给相关医疗从业人员。据查,犯罪嫌疑人累计非法获取患者就诊信息数据数百万条。 今年1月、江蘇省南京市公安局のサイバーセキュリティ部門は、ある病院の内部情報システムにデータが不正にアクセスされた事件を調査しました。 調査の結果、容疑者は病院のハードウェア機器の保守担当者を買収して院内システムにハッキングツールをインストールし、システムのアカウントとパスワードを不正に盗み出し、複数の病院から患者の診察データを入手し、関連する開業医に販売していたことが判明しました。 容疑者が数百万件の患者の診察情報データを不正に入手していたことが判明しました。
“医药代表对医疗统方数据有强烈需求,催生了医疗统方数据买卖的犯罪行为,同时暴露出医院在医疗数据监管保护方面存在的漏洞。”江苏省公安厅网安总队副总队长浦天高说,隐私数据经由公共机构泄露的现象近年来时有发生,由于监管力度和追责制度的不完善,公共机构在信息数据管理过程中存在一些漏洞,给不法之徒可乘之机。 医療関係者は医療統計データを強く求めており、医療統計データの売買という犯罪行為を生んでいる一方で、医療データの規制や保護に関して病院に存在する抜け穴を露呈している。 江蘇省公安局サイバーセキュリティチームのプー・ティエンガオ副主任は、「近年、公的機関を通じて個人情報が流出する現象が発生しており、監督や救済制度が不完全なため、公的機関の情報やデータの管理には抜け道があり、法を犯す者がそれを利用する機会を与えている」と指摘しました。
清华大学公共管理学院与中国电子信息行业联合会联合发布的《中国政务数据治理发展报告(2021年)》统计,截至2020年上半年,我国已有130个省级、副省级和地市级政府上线了数据开放平台。数据开放平台逐渐成为地方数字政府建设和公共数据治理的标配。近年来,我国不断推进网络强国、数字中国、智慧社会建设,数据安全法的施行在规范数据活动的同时,将充分发挥和保障数据在公共机构中的基础资源作用,促进公共服务水平提升。 清華大学行政学院と中国電子情報産業連盟が共同で発表した「中国政府データガバナンス発展報告書」(2021年)の統計によると、2020年前半の時点で、中国の130の省・副省・県政府がオープンデータプラットフォームをオンライン化しています。 オープンデータプラットフォームは、地方のデジタル政府構築や公共データガバナンスの標準となりつつあります。 近年、中国は強力なネットワーク、デジタル中国、スマート社会の構築を推進し続けています。 データセキュリティ法の施行は、データ活動を規制すると同時に、公共機関における基本的な資源としてのデータの役割を十分に発揮し、保護し、公共サービスの向上を促進します。
“数据安全法既约束了数据的非法采集和滥用,又保护了数据提供方和民众的信息使用,推动以数据开放、数据保护、数据流动等为基础的数据规则进一步完善,让数据真正成为数字经济、社会发展的血液。”丁晓东说。 データセキュリティ法は、データの違法な収集や乱用を抑制するとともに、データ提供者や国民による情報の利用を保護し、データのオープン化、データ保護、データフローに基づくデータルールのさらなる改善を促進し、データが真にデジタル経済と社会発展の血液となることを目指しています。 とディン・シャオドンは言いました。
“下一步,公安机关将推进关键信息基础设施安全保护和网络安全等级保护工作,加强数据安全保护监管,严厉打击危害数据安全的违法犯罪活动。”公安部网络安全保卫局局长王瑛玮表示。(张天培)  公安部のサイバーセキュリティ保護局の王英偉局長は、次のように述べています、「次のステップとして、公安当局は重要情報インフラのセキュリティ保護とネットワークセキュリティレベルの保護を推進し、データセキュリティ保護の監督を強化し、データセキュリティを危険にさらす違法・犯罪行為を取り締まります。 」(Zhang Tianpei)

 

1_20210612030101


 

● 情報セキュリティきまぐれ日記

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.07.06 中国のデータセキュリティ法案

 

| | Comments (0)

防衛研究所 量子技術の軍事への応用

こんにちは、丸山満彦です。

防衛研究所が「量子技術の軍事への応用」というブリーフィング・メモを公表していますね。。。

簡単なメモです。。。

防衛研究所

・2021.12.21 [PDF] 量子技術の軍事への応用 

20211228-03152

目次的なもの

  • はじめに
  • 量子力学の概念と量子技術
  • 量子センサー
  • 量子コンピュータ
  • 量子通信
  • おわりに

防衛研究所は興味深い報告書を出しています。。。

● まるちゃんの情報セキュリティきまぐれ日記

・2021.09.08 防衛研究所 :米国防計画における「Pacing Threat」としての中国

・2021.07.15 防衛研究所 国家のサイバー攻撃とパブリック・アトリビューション:ファイブ・アイズ諸国のアトリビューション連合と SolarWinds 事案対応

・2021.07.01 防衛研究所 中国が目指す認知領域における戦いの姿

・2021.07.01 防衛研究所 バイデン政権と中国

・2021.04.27 防衛研究所 台湾関係 日米首脳共同声明等

・2021.03.10 防衛省 NIDS 防衛研究所 米大統領選後の安全保障の展望

・2020.12.04 防衛省 防衛研究所 「一帯一路構想と国際秩序の行方」(安全保障国際シンポジウム報告書)

・2020.12.01 防衛省 防衛研究所 米大統領選後の安全保障の展望 ASEAN, 中国, 南アジア

・2020.11.14 防衛省 防衛研究所 「中国安全保障レポート2021 ― 新時代における中国の軍事戦略 ―」は中国のサイバー戦略についての章がありますね

 

 

 

 

| | Comments (0)

2021.12.27

中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

こんにちは、丸山満彦です。

中国の信息通信研究院がテレマティックス白書と量子情報技術の開発と応用に関する調査報告書

1 2021.12.24 车联网白皮书 テレマティックス白書
2021.12.24 量子信息技术发展与应用研究报告 量子情報技術の開発と応用に関する調査報告書

を公表していますね。。。内容までは読めていないのですが...(^^;;

なお、

グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティーズ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書、クラウドコンピューティング白書、プライバシーコンピューティング白書、信頼できる人工知能についての白書は過去に公表されています。。。

2 2021.12.23 全球数字治理白皮书 グローバルデジタルガバナンス白書
3 2021.12.22 区块链白皮书 ブロックチェーン白書
4 2021.12.21 数字孪生城市白皮书 デジタルツインシティーズ白書
5 2021.12.20 数字碳中和白皮书 デジタルカーボンニュートラル白書
6 2021.12.20 大数据白皮书 ビッグデータ白書
7 2021.12.17 互联网法律白皮书 インターネット法白書
8 2021.07.27 云计算白皮书 クラウドコンピューティング白書
9 2021.07.22 隐私计算白皮书 プライバシーコンピューティング白書
10 2021.07.09 可信人工智能白皮书 信頼できる人工知能についての白書

 


自動車産業は裾野が広く、市場も大きいので、中国も力を入れていますよね。。。

 

车联网白皮书 テレマティックス白書
【摘    要】 要約
车联网应用不仅服务于辅助驾驶、高等级自动驾驶等智能网联汽车应用,还能够有效解决交通效率、城市治理等系统性工程问题。 テレマティクス・アプリケーションは、運転支援や高度な自律走行などのインテリジェント・ネットワーク・ビークル・アプリケーションに役立つだけでなく、交通効率や都市統治などのシステム工学的な問題を効果的に解決することができます。
【目    录】 目次
一、 车联网发展总体态势 1. テレマティクス開発の全体状況
(一) 全球车联网产业生态不断丰富完善 (1) 世界のテレマティクス業界のエコシステムが充実し、改善され続けていること
(二) 车联网成为全球新型基础设施建设焦点 (2) 世界の新インフラ構築の中心となったテレマティクス
(三) 车联网安全工作力度显著加大 (3) テレマティクスの安全への取り組みの大幅な増加
二、 车联网技术与产业发展趋势 2. テレマティクス技術と業界の発展動向
(一) 汽车网联化与智能化协同发展 (1) 車両ネットワークとインテリジェンスの相乗的開発
(二) 路侧感知与计算融合推进 (2) 路面のセンシングとコンピューティングの統合
(三) 边缘-区域-中心多级平台协同部署 (3) エッジ・リージョン・センター・マルチレベル・プラットフォームの共同展開
(四) 无线与有线组网技术融合共存 (4) 無線と有線のネットワーク技術の共存
(五) 高精度地图与定位基础作用凸显 (5) 高精度な地図と測位基盤が重要な役割を果たす
(六) 网络安全与数据安全关注度提升 (6) ネットワークセキュリティやデータセキュリティへの関心の高まり
三、 车联网应用场景与模式 3. テレマティクス・アプリケーションのシナリオとモデル
(一) 跨行业融合带动应用部署模式向纵深发展 (1) 業界の垣根を越えた融合により、アプリケーション展開モデルがより深く発展する
(二) 城市道路环境下车联网应用创新活跃 (2) 都市の道路環境におけるテレマティクス・アプリケーションの積極的な革新
(三) 高速公路环境下车联网应用推广路径逐步清晰 (3) 高速道路におけるテレマティクス活用の道筋が徐々に見えてきた。
(四) 特定区域工况环境下规模商用加快 (4) 特定の地域の労働条件における商業規模の加速化
四、 车联网发展展望 4. テレマティクス開発の展望
(一) 持续推进核心技术攻关,加强标准和实施路径协同 (1) コア技術の研究を継続的に推進し、規格と実装経路の相乗効果を強化する。
(二) 加快标准化基础设施建设,加强跨行业跨区域协同 (2) 標準化されたインフラの構築を加速し、業界・地域を超えた連携を強化する
(三) 加快典型应用规模化推广,注重价值空间挖掘 (3) 代表的なアプリケーションの規模を加速し、バリュー・スペース・マイニングに注力する。
(四) 完善网络与数据安全发展体系构建,注重功能安全 (4) ネットワークおよびデータのセキュリティ開発システムの構築を改善し、機能的なセキュリティを重視する。

・[PDF

20211227-101538

 

こちらは量子技術の話。。。

量子信息技术发展与应用研究报告 量子情報技術の開発と応用に関する調査報告書
【摘    要】 要約
我国量子信息技术领域具备良好的研究与应用实践基础,三大领域总体发展态势良好,未来有望进一步取得更多技术研究、应用探索与产业培育新成果。 中国は、量子情報技術分野の研究と応用の基盤が整っており、三大分野の全体的な発展は良好で、今後、技術研究、応用探索、産業育成において、より多くの新しい成果が期待されています。
【目    录】 目次
一、量子信息技术总体发展态势 1. 量子情報技術の開発全般について
(一)量子科技突破经典极限,打开未来科学新疆域 (1) 量子技術が古典的限界を突破し、未来の科学に新たなフロンティアを開く
(二)量子信息技术成为全球各国科技政策布局热点 (2) 量子情報技術は、世界の科学技術政策の中で注目されている。
(三)量子信息各领域科研加速发展,技术创新活跃 (3) 量子情報の各分野における科学研究の加速的発展と積極的な技術革新の実現
(四)量子信息技术国际国内标准化取得阶段性成果 (4) 量子情報技術の国際・国内標準化は画期的な成果を上げた
(五)量子信息产业培育起步,政产学研协同成趋势 (5) 量子情報産業が育成され始め、産学官連携・研究がトレンドになっていること
二、量子计算领域研究与应用进展 2. 量子コンピューティング分野の研究と応用の進展
(一)多种硬件技术路线并存,工程研发仍面临挑战 (1) 様々なハードウェア技術のルートが混在しており、工学的な研究開発には課題がある
(二)量子软件与算法研发活跃,开源开放多样发展 (2) 量子ソフトウェアやアルゴリズムの積極的な研究開発、オープンソース化、多角的な展開
(三)实用案例成为关注重点,多领域探索蓄势待发 (3) 実践的な事例が注目され、複数の分野が準備されている
(四)量子计算云平台深化发展,各方探索竞争合作 (4) 量子コンピューティングクラウドプラットフォームは、開発を深め、すべての当事者は、競争と協力を探る
(五)科技巨头与初创公司并进,产业生态逐步培育 (5) テクノロジーの巨人と新興企業が肩を並べて前進し、産業エコロジーが徐々に培われていく
三、量子通信领域研究与应用进展 3. 量子通信分野の研究と応用の進展
(一)量子通信科研多方向不断深化,进展成果丰富 (1) 量子通信の研究は多方面で深化を続け、豊富な成果を上げている
(二)以星地量子通信为契机促进空间量子科学发展 (2) 星-地上間の量子通信を契機とした、宇宙における量子科学の発展の促進
(三)QKD应用场景持续探索,产业化水平仍待提升 (3) QKDの応用シナリオは引き続き検討されているが、工業化レベルはまだ向上していない
(四)PQC升级成大势所趋,QKD发展需明确定位 (4) PQCのアップグレードが大きなトレンドに、QKDの開発には明確な位置づけが必要
(五)基于QRNG的加密应用成为关注与探索新方向 (5) QRNGを利用した暗号化アプリケーションが新たな関心事となり、探求の方向へ
四、量子测量领域研究与应用进展 4. 量子計測分野の研究と応用の進展
(一)量子测量技术发展面向超高精度和超经典能力 (1) 量子計測技術の開発は、超高精度、超古典的な能力に向けられている。
(二)样机性能指标不断提升,新方向探索取得进展 (2) 試作品の性能指標が継続的に改善され、新たな方向性の模索が進んでいること
(三)技术应用场景和领域广泛,多方开拓发展活跃 (3) 技術的な応用シーンや分野が広く、積極的なマルチ展開が可能であること
(四)量子测量产业化尚处起步阶段,产业链待完善 (4) 量子計測の産業化はまだ初期段階であり、産業チェーンの整備が必要であること
五、量子信息技术演进与应用前景展望 5. 量子情報技術の進化と応用への展望
(一)各领域研究持续推进,应用产业探索广泛开展 (1) 各分野の研究が進み、応用産業の開拓が広く行われていること
(二)国内外发展态势与促进研究应用发展的关注点 (2) 研究開発やアプリケーション開発を推進する上での国内外の開発動向と懸念事項

・[PDF]

20211227-102454

 

| | Comments (0)

ロシアの裁判所が、禁止情報の削除を怠ったGoogleとFacebookに初めて罰金の支払いを命令

こんにちは、丸山満彦です。

ロシア 通信・IT・マスメディア監督連邦サービス (Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) )  [wikipedia EN]が「ロシアの裁判所が、禁止情報の削除を怠ったGoogleとFacebookに初めて罰金の支払いを命令」と発表していますね。。。

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2021.12.24 Российский суд впервые назначил Google и Facebook оборотные штрафы за неудаление запрещенной информации

 

Российский суд впервые назначил Google и Facebook оборотные штрафы за неудаление запрещенной информации ロシアの裁判所が、禁止情報の削除を怠ったGoogleとFacebookに初めて罰金の返還を命令
24 декабря мировой суд Таганского района г. Москвы рассмотрел два дела в отношении иностранных IT-компаний Google LLC и Facebook Inc (ныне Meta Platforms) и признал их виновными за повторное нарушение порядка ограничения доступа к противоправному контенту. Впервые российским судом назначены штрафы, составляющие долю от выручки указанных компаний за год в России, а именно: 7,22 млрд рублей для Google LLC и 1,99 млрд рублей для Facebook Inc. 12月24日、モスクワのタガンスキー地方裁判所は、外国のIT企業であるグーグル社とフェイスブック社 (現在はメタ・プラットフォーム社)に対する2つの訴訟を審査し、違法コンテンツへのアセスを制限するための手続きに繰り返し違反したとして有罪としました。今回初めて、ロシアの裁判所が課した罰金額は、各社のロシアでの年間売上高の数分の一に過ぎませんでした。グーグル社には72億2,000万ルーブル、フェイスブック社.には19億9,000万ルーブルが割り当てられました。
В отношении Facebook Inc и Google LLC 4 и 27 октября соответственно Роскомнадзор составил административные протоколы по ч. 5 ст. 13.41 КоАП РФ за неудаление материалов, признанных судом и уполномоченными органами государственной власти запрещенными к распространению на территории РФ. 10月4日および10月27日、ロスコムナゾルは、フェイスブック社およびグーグル社に関し、裁判所および公認の政府機関がロシア国内での流布を禁止していると認めた資料を削除しなかったとして、ロシア連邦行政犯罪法典第13.41条第5項に基づく行政報告書を作成しました。
В частности, компании игнорировали многочисленные требования Роскомнадзора в отношении следующих категорий материалов: 特に、企業は以下のカテゴリーの資料に関するロスコムナゾルからの多くの要求を無視しました。
— разжигающих религиозную рознь, оскорбляющих чувства верующих и (или) направленных на раскол многонационального и многоконфессионального государства; ・宗教的不和を煽り、信者の感情を侮辱し、(あるいは)多民族・多宗派国家の分断を目的としたもの。
— с недостоверной общественно значимой информацией; ・公共性の高い不正確な情報を含む資料
— пропагандирующих индифферентное отношение к жизни и здоровью несовершеннолетних («зацепинг», «руфинг», совершение умышленной асфиксии); ・未成年者の生命と健康に無関心な態度を広める行為(「フック」,「ルーフ」,故意の窒息死させる行為)
— пропагандирующих взгляды и идеологию экстремистских и террористических организаций, а также содержащих признаки героизации террористов; ・過激派組織やテロリスト組織の見解やイデオロギーを広め,テロリストを称賛する属性を含むもの
— с инструкциями по изготовлению взрывчатых веществ. ・爆発物の製造に関する指示。
Материалы, которые приведены в протоколах — малая часть массива контента, который нарушает российское законодательство. На текущий момент неудаленными остается более 2 тыс. материалов в Facebook и Instagram. Всего в 2021 году Роскомнадзором составлено 23 протокола, назначенная судом сумма штрафов – 83 млн рублей. У Google неудаленными остается более 2,6 тыс. материалов, в 2021 году составлено 21 протокол, сумма штрафов – 51,5 млн рублей. このプロトコルで引用されている資料は、ロシアの法律に違反するコンテンツのほんの一部です。フェイスブックやインスタグラムに掲載された2,000件以上のコンテンツが、現時点では根拠のないものとして残っています。2021年にロスコムナゾルが作成したプロトコルは計23件で、裁判所が命じた罰金額は8300万ルーブルです。Googleは260万個以上の素材をアンインストールしており、2021年には21のプロトコルが作成され、罰金額は5150万ルーブルです。
Наличие упомянутых неудаленных противоправных материалов с запрещённой информацией, по которой ранее уже вступили в силу решения российского суда, предусматривает повторное привлечение указанных компаний по ч. 5 ст. 13.41 КоАП РФ с наложением оборотных штрафов. ロシア裁判所の判決がすでに発効している、禁止された情報を含む違法な資料の存在は、ロシア連邦の行政犯罪法第5部第13.41条に基づいて、言及された企業に繰り返し罰金を課すことを規定しています。

 

1920pxemblem_of_roskomnadzorsvg

 

関連する条文をうまく拾えていないですが、これですかね。。。

・ 法律情報の公式ポータル http://pravo.gov.ru

РОССИЙСКАЯ ФЕДЕРАЦИЯ - Кодекс Российской Федерации об административных правонарушениях

Статья 13.41. Нарушение порядка ограничения доступа к информации, информационным ресурсам, доступ к которым подлежит ограничению в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, и (или) порядка удаления указанной информации 第13.41条 情報、情報技術、情報保護に関するロシア連邦の法律に基づき、アクセスが制限されている情報、情報資源へのアクセスを制限するための手順、および(または)当該情報を削除するための手順に違反した場合
1. Непринятие провайдером хостинга или иным лицом, обеспечивающим размещение в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", информационного ресурса, мер по ограничению доступа к информации, информационному ресурсу или сайту в сети "Интернет" в случае, если обязанность по принятию таких мер предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, за исключением случаев, предусмотренных частью 3 настоящей статьи, - 1. ホスティング・プロバイダーまたはインターネットを含む情報通信ネットワーク上に情報資源を配置することを保証するその他の者が、インターネット上の情報、情報資源またはウェブサイトへのアクセスを制限する措置を取らなかった場合、本条第3部に規定された場合を除き、情報、情報技術および情報保護に関するロシア連邦の法律によってそのような措置を取る義務が規定されている場合には、以下のことが課せられる。
влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц - от восьмисот тысяч до четырех миллионов рублей. 市民の場合は5万~10万ルーブル、公務員の場合は20万~40万ルーブル、法人の場合は80万~400万ルーブルの行政処分が科せられる。
2. Неудаление владельцем сайта или владельцем информационного ресурса в информационно-телекоммуникационной сети "Интернет" информации или интернет-страницы в случае, если обязанность по удалению такой информации, интернет-страницы предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, за исключением случаев, предусмотренных частью 4 настоящей статьи, - 2. ウェブサイトの所有者または情報通信ネットワーク「インターネット」の情報リソースの所有者が、情報、インターネット・ページを削除する義務が情報、情報技術、情報保護に関するロシア連邦の法律で規定されている場合に、情報またはインターネット・ページを削除しなかった場合(本条第4項で規定されている場合を除く)には、以下が課せられる。
влечет наложение административного штрафа на граждан в размере от пятидесяти тысяч до ста тысяч рублей; на должностных лиц - от двухсот тысяч до четырехсот тысяч рублей; на юридических лиц - от восьмисот тысяч до четырех миллионов рублей. 市民には5万~10万ルーブル、職員には20万~40万ルーブル、法人には80万~400万ルーブルの行政処分が科せられる。
3. Непринятие провайдером хостинга или иным лицом, обеспечивающим размещение в информационно-телекоммуникационных сетях, в том числе в сети "Интернет", информационного ресурса, мер по ограничению доступа к информационному ресурсу или сайту в сети "Интернет", на которых размещены информация, содержащая призывы к осуществлению экстремистской деятельности, материалы с порнографическими изображениями несовершеннолетних и (или) объявления о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятиях порнографического характера, информация о способах, методах разработки, изготовления и использования наркотических средств, психотропных веществ и их прекурсоров, новых потенциально опасных психоактивных веществ, местах их приобретения, способах и местах культивирования наркосодержащих растений, в случае, если обязанность по принятию указанных мер предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, - 3.ホスティング・プロバイダーまたはインターネットを含む情報通信ネットワーク上に情報資源を配置することを保証するその他の者が、過激な活動への呼びかけを含む情報、未成年者のポルノ画像を含む資料、および/または未成年者をポルノ的な娯楽イベントへの参加のための出演者として従事させるための広告、麻薬・向精神薬およびそれらの前駆物質の開発、製造および使用の方法、方法に関する情報、新しい潜在的に危険な向精神薬、それらの取得場所、麻薬植物の栽培方法および栽培場所、これらの措置を講じる義務が情報、情報技術および情報保護に関するロシア連邦の法律によって規定されていることについて情報資源またはインターネットサイトへのアクセスを制限する措置を講じなかった場合には、以下が課せられる。
влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от трех миллионов до восьми миллионов рублей. 市民は10万ルーブルから20万ルーブル、公務員は40万ルーブルから80万ルーブル、法人は300万ルーブルから800万ルーブルの行政処分が科せられる。
4. Неудаление владельцем сайта или владельцем информационного ресурса в информационно-телекоммуникационной сети "Интернет" информации или интернет-страницы, содержащих призывы к осуществлению экстремистской деятельности, материалы с порнографическими изображениями несовершеннолетних и (или) объявления о привлечении несовершеннолетних в качестве исполнителей для участия в зрелищных мероприятиях порнографического характера, информацию о способах, методах разработки, изготовления и использования наркотических средств, психотропных веществ и их прекурсоров, новых потенциально опасных психоактивных веществ, местах их приобретения, способах и местах культивирования наркосодержащих растений, в случае, если обязанность по удалению такой информации, интернет-страницы предусмотрена законодательством Российской Федерации об информации, информационных технологиях и о защите информации, -влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от четырехсот тысяч до восьмисот тысяч рублей; на юридических лиц - от трех миллионов до восьми миллионов рублей.

4. 情報通信ネットワーク「インターネット」上のウェブサイトの所有者または情報資源の所有者が以下の情報またはウェブサイトを削除しなかった場合、そのような情報を削除する義務がある場合には インターネットページの削除は、情報、情報技術、情報保護に関するロシア連邦の法律で定められています。
違反した場合は、市民には10万~20万ルーブル
役人の場合は40万~80万ルーブル、法人の場合は300万~800万ルーブルの行政上の罰金を課す。

過激な活動を行うよう呼びかける内容
未成年者のポルノ画像を含む資料
未成年者をポルノ的性質の娯楽の出演者として勧誘するための広告
これらの手段についての情報の提供
麻薬や向精神薬
向精神性物質とその前駆体
新しい潜在的に危険な精神作用物質 麻薬、向精神薬、その前駆体の製造方法や使用方法
新たな潜在的危険性のある精神作用物質についての情報
麻薬植物の栽培の方法と場所。

5. Повторное совершение административного правонарушения, предусмотренного частью 1 или 2 настоящей статьи, - 5. 本条第1項または第2項に規定された行政犯罪を繰り返し犯した場合には
влечет наложение административного штрафа на граждан в размере от ста тысяч до двухсот тысяч рублей; на должностных лиц - от пятисот тысяч до восьмисот тысяч рублей; на юридических лиц - от одной двадцатой до одной десятой совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее четырех миллионов рублей. 市民の場合は10万ルーブルから20万ルーブル、公務員の場合は50万ルーブルから80万ルーブル、法人の場合は行政違反が確認された年の前の暦年、または行政違反が確認された日の前の暦年の一部において、すべての商品(作品、サービス)の販売から得た収入の総額の20分の1から10分の1を行政処分とする。
6. Повторное совершение административного правонарушения, предусмотренного частью 3 или 4 настоящей статьи, - 6. 本条第3項または第4項に基づく行政上の違法行為を繰り返し行った場合には、次のことが求められる。
влечет наложение административного штрафа на граждан в размере от двухсот тысяч до пятисот тысяч рублей; на должностных лиц - от восьмисот тысяч до одного миллиона рублей; на юридических лиц - от одной десятой до одной пятой совокупного размера суммы выручки, полученной от реализации всех товаров (работ, услуг), за календарный год, предшествующий году, в котором было выявлено административное правонарушение, либо за предшествующую дате выявленного административного правонарушения часть календарного года, в котором было выявлено административное правонарушение, если правонарушитель не осуществлял деятельность по реализации товаров (работ, услуг) в предшествующем календарном году, но не менее восьми миллионов рублей. 市民の場合は20万~50万ルーブル、役人の場合は80万~100万ルーブル、法人の場合は行政違反が発覚した年の前の暦年、または行政違反が発覚した日の前の暦年の一部において、すべての商品(作品、サービス)の販売から得た総収入の10分の1から5分の1までの行政上の罰金を科す。
П р и м е ч а н и е. Действие настоящей статьи не распространяется на случаи ограничения доступа к информации, распространяемой с нарушением авторских и (или) смежных прав в информационно-телекоммуникационной сети "Интернет", и удаления указанной информации. N o t e 。本条は、情報通信ネットワーク「インターネット」において、著作権および(または)関連する権利を侵害して配信された情報へのアクセスを制限し、当該情報を削除する場合には適用されないものとする。
(Статья введена - Федеральный закон от 30.12.2020 № 511-ФЗ) (記事は2020年12月30日の連邦法第511-FZ号により導入されています)。)

 

● PPT

Статья 13.41 КОАП РФ. Нарушение порядка ограничения доступа к информации, информационным ресурсам, доступ к которым подлежит ограничению в соответствии с законодательством Российской Федерации об информации, информационных технологиях и о защите информации, и (или) порядка удаления указанной информации

 


ロシア 通信・IT・マスメディア監督連邦サービス関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.31 ロシア 通信・IT・マスメディア監督連邦サービス(Roskomnadzor) が「Googleが禁止された映像等の削除を繰り返し怠った」として行政上の責任を問うたと公表していますね。。。

・2021.07.25 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が個人データ保護委員会を設立する計画を発表していますね。。。

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表

| | Comments (0)

2021.12.26

2021年のEuropolのハイライト

こんにちは、丸山満彦です。

サイバー犯罪やサイバーを利用した解決などが選ばれている感じがします。。。フィジカル空間とサイバー空間の融合は犯罪やその解決の領域でも進んでいくんでしょうね。。。

6つの

1 Economic and financial crime: Operation Jumita 経済・金融犯罪 オペレーション・ジュミタ
2 Counter-terrorism: right-wing extremist takedown in Finland テロ対策:フィンランドでの右翼過激派の摘発
3 Cybercrime: EMOTET takedown  サイバー犯罪 EMOTETのテイクダウン 
4 Organised crime: Operation Trojan Shield/Greenlight 組織的な犯罪 トロイの木馬シールド作戦/グリーンライト作戦
5 Criminal networks: illegal use of Sky ECC communications blocked 犯罪ネットワーク:Sky ECC通信の違法利用を阻止
6 Flagship Europol report: Serious and Organised Crime Threat Assessment 2021 フラッグシップ・ユーロポール・レポート 深刻・組織的犯罪脅威評価2021

 

● Europol

・2021.12.21  Europol’s highlights of 2021: a year in review

 

Europol’s highlights of 2021: a year in review ユーロポールの2021年のハイライト:1年を振り返って
2021 was a challenging year, but the pandemic did not stop Europol from fighting crime. Europol successfully supported hundreds of significant operations and made a remarkable difference in making Europe safer for EU citizens. 2021年は困難な年でしたが、パンデミックが発生してもユーロポールは犯罪との戦いを止めませんでした。ユーロポールは何百もの重要な活動を成功裏に支援し、欧州をEU市民にとってより安全な場所にするために顕著な変化をもたらしました。
Here are Europol’s six key highlights from 2021:  ここでは、ユーロポールの2021年の6つの重要なハイライトを紹介します。 
Economic and financial crime: Operation Jumita 経済・金融犯罪 オペレーション・ジュミタ
Europol’s European Economic and Financial Crime Centre supported the Spanish Guardia Civil this year in dismantling a criminal network that was trafficking cocaine from South America to the Port of Algeciras in Spain. Operation Jumita resulted in the arrest of 29 people, the seizure of 1.6 tonnes of cocaine and the confiscation of €16.5 million, the largest cash seizure from a criminal organisation in Spain.  ユーロポールの欧州経済・金融犯罪センターは、今年、スペインのGuardia Civilを支援し、南米からスペインのアルヘシラス港にコカインを密売していた犯罪ネットワークを解体しました。 Jumita作戦では、29人の逮捕、1.6トンのコカインの押収、スペインの犯罪組織からの最大の現金押収額である1,650万ユーロの没収が行われました。 
The European Economic and Financial Crime Centre was established to enhance Europol’s operational support to EU Member States and EU bodies in financial and economic crime. It supports operations that deal with highly sophisticated cases of money laundering, scams and fraud.  欧州経済・金融犯罪センターは、金融・経済犯罪における欧州連合(EU)加盟国およびEU加盟機関に対するユーロポールの業務支援を強化するために設立されました。同センターは、マネーロンダリング、詐欺、不正行為などの高度に洗練された事例を扱う業務を支援しています。 
Counter-terrorism: right-wing extremist takedown in Finland テロ対策:フィンランドでの右翼過激派の摘発
Europol’s European Counter Terrorism Centre supported the Finnish Police in dismantling a right wing extremist cell in Finland, leading to five arrests. During the investigation, Europol facilitated the information exchange and supported the case with operational analysis. On the action day, Europol deployed four experts to Finland to support the field activities. These experts provided technical expertise on the identification of extremist material and specialised analysis of the evidence discovered during police raids. ユーロポールの欧州テロ対策センターは、フィンランド警察によるフィンランドの右翼過激派組織の解体を支援し、5名の逮捕者を出しました。捜査期間中、ユーロポールは情報交換を促進し、作戦分析により事件をサポートしました。活動日には、ユーロポールは4人の専門家をフィンランドに派遣し、現場活動を支援しました。これらの専門家は、過激派の資料を特定するための技術的な専門知識と、警察の捜査で発見された証拠の専門的な分析を提供した。
The European Counter Terrorism Centre was set up to function as an operations centre and hub of expertise that reflects the growing need for the EU to strengthen its response to terror. Its principal task is to provide operational support to Member States in investigations related to terrorist attacks. 欧州テロ対策センターは、EUがテロへの対応を強化する必要性が高まっていることを反映し、オペレーションセンターおよび専門家のハブとして機能するために設立されました。主な任務は、テロ攻撃に関連した捜査において加盟国への運営支援を行うことです。
Cybercrime: EMOTET takedown  サイバー犯罪 EMOTETのテイクダウン 
Europol’s European Cybercrime Centre supported law enforcement and judicial authorities worldwide in the takedown of one of most significant botnets of the past decade, EMOTET. EMOTET is delivered to victims’ computers through emails which contain a malicious link or an infected document. If victims open the attachment or link, the malware is installed and criminals are able to install other types of malware onto a victim’s computer.  欧州刑事警察機構(ユーロポール)の欧州サイバー犯罪センターは、過去10年間で最も重要なボットネットの一つであるEMOTETのテイクダウンにおいて、世界中の法執行機関や司法当局を支援しました。EMOTETは、悪意のあるリンクや感染した文書を含む電子メールを通じて被害者のコンピュータに配信されます。被害者が添付ファイルやリンクを開くと、マルウェアがインストールされ、犯罪者は被害者のコンピュータに他の種類のマルウェアをインストールすることができます。 
To disrupt EMOTET, law enforcement authorities gained control of the infrastructure and took it down from the inside. This is a new and unique approach to effectively disrupt this type of cybercrime. EMOTETを破壊するために、法執行機関はインフラをコントロールし、内部から破壊しました。これは、この種のサイバー犯罪を効果的に阻止するための、新しくユニークな手法です。
The European Cybercrime Centre has made a significant contribution to the fight against cybercrime since it was founded at Europol in 2013. It aims to strengthen the law enforcement response to cybercrime in the EU and to help protect European citizens, businesses and governments from online crime. 欧州サイバー犯罪センターは、2013年にユーロポールに設立されて以来、サイバー犯罪との戦いに大きく貢献してきました。同センターは、EU域内のサイバー犯罪に対する法執行機関の対応を強化し、欧州市民、企業、政府をオンライン犯罪から守ることを目的としています。
Organised crime: Operation Trojan Shield/Greenlight 組織的な犯罪 トロイの木馬シールド作戦/グリーンライト作戦
Europol’s European Serious & Organised Crime Centre supported major operations in 2021 to block the criminal use of encrypted communications, but among the most significant was Operation Trojan Shield/Greenlight.  ユーロポールの欧州重大・組織犯罪センターは、2021年に暗号化通信の犯罪利用を阻止するための大規模な作戦を支援しましたが、中でも最も重要だったのが「トロイの木馬シールド/グリーンライト作戦」です。 
The operation involved the strategic development and covert operation by law enforcement of an encrypted device company called ANOM. ANOM grew to service more than 12 000 encrypted devices and over 300 criminal syndicates operating in more than 100 countries.  この作戦では、法執行機関がANOMという暗号化デバイス企業を戦略的に開発し、秘密裏に運用しました。ANOM社は、12,000台以上の暗号化機器と、100カ国以上で活動する300以上の犯罪シンジケートにサービスを提供するまでに成長しました。 
As a result of the operation, the US Federal Bureau of Investigation and 16 participating countries, supported by Europol and the US Drug Enforcement Agency, were able to exploit the intelligence from the 27 million messages obtained. This resulted in 800 arrests and the seizure of  illegal drugs, firearms and over $48 million in various worldwide currencies and cryptocurrencies. This was an unprecedented display of international collaboration in the fight against encrypted criminal activities.  この作戦の結果、米国連邦捜査局と16の参加国は、欧州警察と米国麻薬取締局の支援を受けて、入手した2,700万通のメッセージから得られた情報を活用することができました。その結果、800人の逮捕者が出て、違法薬物、銃器、世界のさまざまな通貨や暗号通貨である4,800万ドル以上が押収されました。これは、暗号化された犯罪行為に対抗するための国際協力の前例のないものでした。 
Criminal networks: illegal use of Sky ECC communications blocked 犯罪ネットワーク:Sky ECC通信の違法利用を阻止
The European Serious & Organised Crime Centre also supported investigators in Belgium, France and the Netherlands in blocking the illegal use of Sky ECC encrypted communication by large-scale organised crime groups. By successfully unlocking the encryption of Sky ECC, the information acquired has provided insights into criminal activities in various EU Member States and beyond. This information has assisted in expanding investigations and solving serious and cross-border organised crime.  欧州重大・組織犯罪センターは、ベルギー、フランス、オランダの捜査官を支援し、大規模な組織犯罪グループによるSky ECC暗号通信の違法使用を阻止した。 Sky ECCの暗号化を解除することに成功したことで、得られた情報は、様々なEU加盟国およびそれ以外の国での犯罪活動についての洞察をもたらした。これらの情報は、捜査の拡大や、重大かつ国境を越えた組織犯罪の解決に役立っている。 
The European Serious and Organised Crime Centre supports EU countries in their fight against international criminal networks involved in drugs, weapons and explosives, property and environmental crime. The centre also hosts the European Migrant Smuggling Centre, which targets and dismantles the complex and sophisticated networks involved in migrant smuggling. 欧州重大・組織犯罪センターは、麻薬、武器、爆発物、財産、環境犯罪などに関わる国際的な犯罪ネットワークと闘うEU諸国を支援している。また、欧州移民密輸センターも設置されており、移民密輸に関わる複雑で巧妙なネットワークを対象に、その解体を行っています。
Flagship Europol report: Serious and Organised Crime Threat Assessment 2021 フラッグシップ・ユーロポール・レポート 深刻・組織的犯罪脅威評価2021
The Serious and Organised Crime Threat Assessment (SOCTA) 2021 is a detailed analysis of the threat of serious and organised crime facing the EU. It provides information for practitioners, decision-makers and the wider public. As a threat assessment, SOCTA is a forward-looking document that assesses shifts in the serious and organised crime landscape. The 2021 report found that close to 40 % of the criminal networks active in the EU are involved in the trade of illegal drugs and around 60 % use violence as part of their criminal businesses. 深刻・組織犯罪脅威評価(SOCTA)2021」は、EUが直面している深刻・組織犯罪の脅威を詳細に分析したものです。実務者、意思決定者、一般市民に情報を提供するものである。SOCTAは脅威評価として、重大犯罪・組織犯罪の状況の変化を評価する未来志向の文書です。2021年の報告書では、EUで活動する犯罪ネットワークの約40%が違法薬物の取引に関与しており、約60%が犯罪ビジネスの一環として暴力を使用していることがわかりました。
SOCTA is produced by Europol’s Operational and Analysis Centre. This is Europol’s information hub in which specialists sort, handle and analyse all incoming information. The centre monitors operations and developments on a 24/7 basis and provides analysis to Europol’s other centres. SOCTAは、ユーロポールのOperational and Analysis Centreによって作成されています。このセンターはユーロポールの情報ハブであり、専門家がすべての入力情報を分類し、処理し、分析します。このセンターでは、24時間365日体制でオペレーションと開発を監視し、ユーロポールの他のセンターに分析結果を提供しています。

 


まるちゃんの情報セキュリティきまぐれ日記

・2021.11.12 Interpol 最近のサイバー関係の発表(7つ)

・2021.11.09 米国 司法省 Kaseya社等をランサムウェア攻撃したウクライナ人を逮捕・起訴した

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.10.25 欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認

・2021.07.26 Europol、オランダ警察、 Kaspersky、McAfee - NO MORE RANSOM (NMR) 復号ツール取り揃えています...

・2021.01.30 United States, Canada, France, Germany, the Netherlands, and the United Kingdomの捜査機関等が協力してEmotet Botnetを潰したようですね。。。

・2021.01.13 Europol 世界最大の違法ダークウェブマーケットプレイスを削除

・2020.12.21 Europolと欧州委員会が法執行機関のための復号プラットフォームを立ち上げたようですね。。。

・2020.12.13 Interpolによって調整されたFirst Light作戦2020により電話・インターネット詐欺犯を2万人以上を逮捕し、約160億円を押収したようですね。

・2020.11.23 Europol, UNICRI, Trendmicro 犯罪者もAIを活用!(ディープフェイクだけではない)

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

2020.10.16 数千万ユーロをマネーロンダリングしたと言われるQQAAZZネットワークに属していると思われる逮捕者が20名になりました

・2020.10.06 Europolが2020年版のインターネット組織犯罪脅威評価を公表していますね

・2020.07.04 Encrochat騒動...

・2020.05.02 EUROPOLはそろそろコロナの先を見据えているようですね。。。

・2020.04.04 Europol COVID-19パンデミックに乗じて行われるサイバー犯罪と偽情報等に関する報告書

・2020.03.28 Europol 犯罪者がCOVID-19パンデミックを使ってどうやって稼ぐか?

・2020.03.25 ENISA Tips for cybersecurity when working from home

 

 

 

 

| | Comments (0)

中国 インターネット上の宗教情報サービスの管理に関する弁法

こんにちは、丸山満彦です。

中国はインターネット上の宗教活動をするためには、許可証がいるようになるようですね。。。外国人には認められないようです。。。

 

2022.12.20 国家宗教事务局、国家网信办等五部门联合发布《互联网宗教信息服务管理办法》 国家宗教事務局、国家インターネット情報局など5つの部門が共同で「インターネット上の宗教情報サービス管理弁法」を発表

 

国家宗教事务局、国家网信办等五部门联合发布《互联网宗教信息服务管理办法》 国家宗教局、国家インターネット情報局など5つの部門が共同で「インターネット上の宗教情報サービス管理弁法」を発表
12月3日,国家宗教事务局令第17号公布了《互联网宗教信息服务管理办法》(以下简称《办法》),《办法》由国家宗教事务局、国家互联网信息办公室、工业和信息化部、公安部和国家安全部五部门联合制定,自2022年3月1日起施行。 12月3日、国家宗教事務局令第17号は、国家宗教局、国家インターネット情報局、工業情報化部、公安部、国家安全部が共同で策定した「インターネット上の宗教情報サービス管理弁法」(以下、本弁法)を発表し、2022年3月1日に施行します。
《办法》根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《宗教事务条例》等法律法规制定。《办法》坚持保障公民宗教信仰自由与维护国家意识形态安全相统一,坚持维护信教公民合法权益与践行社会主义核心价值观相统一,坚持规范互联网宗教信息服务与促进宗教健康传承相统一,坚持权利与义务相统一,体现保护合法、制止非法、遏制极端、抵御渗透、打击犯罪的原则。 本施策は、「中華人民共和国ネットワークセキュリティ法」、「インターネット情報サービス管理弁法」、「宗教事務条例」およびその他の法令に基づいて策定されています。 本措置は、市民の宗教信仰の自由を守ることと国家の思想的安全を維持することの一致、宗教市民の合法的な権利と利益を守ることと社会主義の中核的価値観を実践することの一致、インターネット上の宗教情報サービスを規制し、宗教の健全な伝達を促進することの一致、権利と義務の一致、合法的なものを保護し、非合法なものを阻止し、過激主義を抑制し、侵入に抵抗し、犯罪に対抗するという原則を遵守しています。
《办法》共五章三十六条,明确从事互联网宗教信息服务,应当向所在地省级人民政府宗教事务部门提出申请,并对许可条件、申请材料、使用名称、受理时限等作了规定。明确网上讲经讲道应当由取得《互联网宗教信息服务许可证》的宗教团体、宗教院校和寺观教堂组织开展。明确除《办法》第十五条、第十六条规定的情形外,任何组织或者个人不得在互联网上传教,不得开展宗教教育培训、发布讲经讲道内容或者转发、链接相关内容,不得在互联网上组织开展宗教活动,不得直播或者录播宗教仪式。明确任何组织或者个人不得在互联网上以宗教名义开展募捐。 同弁法は5章36条からなり、インターネット上で宗教情報サービスを行うには、所在地の省人民政府の宗教事務部門に申請することを明らかにし、許可条件、申請資料、名称の使用、受理期限などを規定しています。 オンラインでの説教や講義は、インターネット宗教情報サービスのライセンスを取得した宗教団体、宗教機関、修道院や教会が主催すべきであることを明確にしています。 また、本弁法第15条および第16条に規定されている場合を除き、いかなる組織または個人も、インターネット上での説教、宗教教育・訓練の実施、説教コンテンツの公開、関連コンテンツの転送・リンク、インターネット上での宗教活動の組織・実施、宗教儀式のライブストリーミング・録画を行うことはできないことが明確にされています。 いかなる組織や個人も、インターネット上で宗教の名のもとに募金活動を行ってはならないことを明確にしています。
《互联网宗教信息服务管理办法》全文如下。 「インターネット上の宗教情報サービス管理弁法」の全文は以下の通りです。
互联网宗教信息服务管理办法 インターネット上の宗教情報サービス管理弁法
第一章 总则 第1章 総則
第一条 为了规范互联网宗教信息服务,保障公民宗教信仰自由,根据《中华人民共和国网络安全法》《互联网信息服务管理办法》《宗教事务条例》等法律法规,制定本办法。 第1条 本弁法は、インターネット上の宗教情報サービスを規制し、国民の信教の自由を保護するため、「中華人民共和国ネットワークセキュリティ法」、「インターネット上の情報サービス管理弁法」、「宗教事務条例」およびその他の法令に基づいて制定される。
第二条 在中华人民共和国境内从事互联网宗教信息服务,适用本办法。 第2条 本弁法は、中華人民共和国の領域内におけるインターネット上の宗教情報サービスに適用される。
本办法所称互联网宗教信息服务,包括互联网宗教信息发布服务、转载服务、传播平台服务以及其他与互联网宗教信息相关的服务。 本弁法でいうインターネット宗教情報サービスとは、インターネット宗教情報の出版サービス、転載サービス、普及プラットフォームサービス、その他のインターネット上の宗教情報に関するサービスを含むものである。
第三条 从事互联网宗教信息服务,应当遵守宪法、法律、法规和规章,践行社会主义核心价值观,坚持我国宗教独立自主自办原则,坚持我国宗教中国化方向,积极引导宗教与社会主义社会相适应,维护宗教和顺、社会和谐、民族和睦。 第3条 インターネット上の宗教情報サービスは、憲法、法律、規則を遵守し、社会主義の中核的価値観を実践し、宗教の独立と自己管理の原則を堅持し、宗教の中国化の方向を堅持し、宗教の社会主義社会への適応を積極的に指導し、宗教的調和、社会的調和、民族的調和を維持しなければならない。
第四条 互联网宗教信息服务管理坚持保护合法、制止非法、遏制极端、抵御渗透、打击犯罪的原则。 第4条 インターネット上の宗教情報サービスの管理は、合法的なものを保護し、非合法的なものを阻止し、過激主義を抑制し、浸透に抵抗し、犯罪に対抗するという原則を遵守する。
第五条 宗教事务部门依法对互联网宗教信息服务进行监督管理,网信部门、电信主管部门、公安机关、国家安全机关等在各自职责范围内依法负责有关行政管理工作。 第5条 宗教事務部門は法律に基づきインターネット上の宗教情報サービスを監督・管理し、インターネット情報局、電気通信局、公安機関、国家安全保障機関はそれぞれの責任範囲内で関連する管理業務を行う。
省级以上人民政府宗教事务部门应当会同网信部门、电信主管部门、公安机关、国家安全机关等建立互联网宗教信息服务管理协调机制。 省レベル以上の人民政府の宗教事務部門は、インターネット情報部門、管轄の電気通信部門、公安機関、国家保安機関と連携して、インターネット上の宗教情報サービスの管理に関する調整メカニズムを構築しなければならない。
第二章 互联网宗教信息服务许可 第2章 インターネット宗教情報サービス許可証
第六条 通过互联网站、应用程序、论坛、博客、微博客、公众账号、即时通信工具、网络直播等形式,以文字、图片、音视频等方式向社会公众提供宗教教义教规、宗教知识、宗教文化、宗教活动等信息的服务,应当取得互联网宗教信息服务许可,并具备下列条件: 第6条 インターネット上のウェブサイト、アプリケーション、フォーラム、ブログ、マイクロブログ、パブリックアカウント、インスタントメッセンジャー、ウェブキャスト等を通じて、宗教の教義・規則、宗教知識、宗教文化、宗教活動等に関する情報をテキスト、画像、音声、映像の形で公衆に提供するサービスは、インターネット宗教情報提供サービスのライセンスを取得しなければならず、その条件は以下の通りである。
(一)申请人是在中华人民共和国境内依法设立的法人组织或者非法人组织,其法定代表人或者主要负责人是具有中国国籍的内地居民; (1) 申請者は、中華人民共和国の法律に基づいて設立された法人組織または非法人組織であり、その法定代表者または主要担当者が中国国籍を有する本土居住者であること。
(二)有熟悉国家宗教政策法规和相关宗教知识的信息审核人员; (2) 国の宗教政策や規制、関連する宗教知識に精通した情報審査官がいること。
(三)有健全的互联网宗教信息服务管理制度; (3) インターネット上の宗教情報サービスについて、健全な管理体制が整っていること。
(四)有健全的信息安全管理制度和安全可控的技术保障措施; (4) 健全な情報セキュリティマネジメントシステムと、安全で制御可能な技術的保護手段を有すること。
(五)有与服务相匹配的场所、设施和资金; (5) サービスに見合うだけの施設、設備、資金を持っていること。
(六)申请人及其法定代表人或者主要负责人近3年内无犯罪记录、无违反国家宗教事务管理有关规定的行为。 (6) 申請者とその法定代理人または主要担当者には、過去3年間に犯罪歴や国家宗教事務管理局の関連規定への違反歴がないこと。
境外组织或者个人及其在境内成立的组织不得在境内从事互联网宗教信息服务。 領域内に設立された外国の組織または個人とその組織は、領域内のインターネット上で宗教情報サービスを行ってはならない。
第七条 从事互联网宗教信息服务,应当向所在地省、自治区、直辖市人民政府宗教事务部门提出申请,填报互联网宗教信息服务申请表,并提交下列材料: 第7条 インターネット上で宗教情報サービスを行うには、所在地の中央政府直轄省・自治区・市の人民政府の宗教事務部門に申請し、インターネット上での宗教情報提供サービスの申請書に記入し、以下の資料を提出しなければならない。
(一)申请人依法设立或者登记备案的材料以及法定代表人或者主要负责人身份证件; (1) 法令に基づく申請者の設立または登録の資料および法定代理人または主たる担当者の身分証明書。
(二)宗教信息审核人员参加宗教政策法规和相关宗教知识的教育培训,以及具备审核能力的情况说明; (2) 宗教情報監査人の、宗教政策・規制や関連する宗教知識に関する教育・訓練への参加状況や、監査を実施する能力についての記述。
(三)互联网宗教信息服务管理制度、信息安全管理制度和技术保障措施材料; (3) インターネット上の宗教情報サービスの管理体制、情報セキュリティ管理体制及び技術的保護措置に関する資料。
(四)用于从事互联网宗教信息服务的场所、设施和资金情况说明; (4) インターネット上で宗教情報提供サービスを行うための施設、設備、資金の内容。
(五)申请人及其法定代表人或者主要负责人近3年内无犯罪记录和无违反国家宗教事务管理有关规定情况承诺书; (5) 申請者およびその法定代理人または主担当者に犯罪歴がなく、過去3年以内に国の宗教事務の管理に関する関連規則に違反していないことの保証。
(六)拟从事互联网宗教信息服务的栏目、功能设置和域名注册相关材料。 (6) インターネット上の宗教情報サービスの欄、機能設定、ドメイン名登録に関する資料。
申请提供互联网宗教信息传播平台服务的,还应当提交平台注册用户管理规章制度、用户协议范本、投诉举报处理机制等。用户协议范本涉及互联网宗教信息服务的内容应当符合本办法有关规定。 インターネット宗教情報発信プラットフォームサービスの提供を申請する場合には、プラットフォームの登録ユーザーの管理に関する規則、モデルユーザー契約書、苦情・通報処理メカニズムも提出する必要があります。 インターネット宗教情報サービスに関わるモデル利用契約書の内容は、本施策の関連規定に準拠するものとする。
互联网宗教信息服务申请表式样由国家宗教事务局制定。 インターネット上の宗教情報サービスの申請書は、国家宗教事務局が策定する。
全国性宗教团体及其举办的宗教院校从事互联网宗教信息服务,应当向国家宗教事务局提出申请。 全国の宗教団体およびその組織する宗教機関は、インターネット上での宗教情報提供サービスに従事するために、国家宗教事務局に申請しなければならない。
第八条 从事互联网宗教信息服务所使用的名称,除与申请人名称相同以外,不得使用宗教团体、宗教院校和宗教活动场所等名称,不得含有法律、行政法规禁止的内容。 第8条 インターネット上で宗教情報提供サービスに従事するために使用する名称は、申請者の氏名を除き、宗教団体、宗教施設、宗教活動の場の名称を使用してはならず、また、法律や行政規則で禁止されている内容を含んではならない。
第九条 省级以上人民政府宗教事务部门自受理申请之日起20日内作出批准或者不予批准的决定。作出批准决定的,核发《互联网宗教信息服务许可证》;作出不予批准决定的,应当书面通知申请人并说明理由。 第9条 省レベル以上の人民政府の宗教事務部門は、申請を受理した日から20日以内に承認または不承認の決定をしなければならない。 承認の決定がなされた場合には、「インターネット宗教情報サービス許可証」が発行され、不承認の決定がなされた場合には、申請者に書面で通知し、その理由を説明しなければならない。
《互联网宗教信息服务许可证》由国家宗教事务局印制。 「インターネット宗教情報サービス許可証」は、国家宗教事務局が印刷する。
申请人取得《互联网宗教信息服务许可证》后,还应当按照国家互联网信息服务管理有关规定办理相关手续。 申請者は「インターネット宗教情報サービス許可証」を取得した後、国家インターネット情報サービス管理局の関連規定に基づき、関連手続きも行わなければならない。
第十条 从事互联网宗教信息服务,应当在显著位置明示《互联网宗教信息服务许可证》编号。 第10条 インターネット宗教情報提供サービスを行う申請者は、「インターネット宗教情報サービス許可証」の番号を目立つように表示しなければならない。
第十一条 申请人取得《互联网宗教信息服务许可证》后,发生影响许可条件重大事项的,应当报原发证机关审核批准;其他事项变更,应当向原发证机关备案。 第11条 申請者が「インターネット宗教情報サービス許可証」を取得した後、許可条件に影響する重要な事項は、許可発行機関に報告し、審査・承認を受けなければならない。その他の事項の変更については、許可発行機関に提出しなければない。
第十二条 终止互联网宗教信息服务的,应当自终止之日起30日内,到原发证机关办理注销手续。 第12条 インターネット宗教情報提供サービスが終了した場合、終了した日から30日以内に、元の許可発行機関で解約手続きを行わなければならない。
第十三条 《互联网宗教信息服务许可证》有效期3年。有效期届满后拟继续从事互联网宗教信息服务的,应当在有效期届满30日前,向原发证机关重新提出申请。 第13条 「インターネット宗教情報サービス許可証」の有効期間は3年とする。 有効期間満了後もインターネット上で宗教情報提供サービスを続けようとする場合は、有効期間満了の30日前に許可発行機関に再申請しなければなりません。
第三章 互联网宗教信息服务管理 第3章 インターネット上の宗教情報サービスの管理
第十四条 互联网宗教信息不得含有下列内容: 第14条 インターネット上の宗教情報は、以下の内容を含んではならない。
(一)利用宗教煽动颠覆国家政权、反对中国共产党的领导,破坏社会主义制度、国家统一、民族团结和社会稳定,宣扬极端主义、恐怖主义、民族分裂主义和宗教狂热的; (1) 宗教を利用して、国家権力の転覆を煽り、中国共産党の指導に反対し、社会主義体制、国民の団結、社会の安定を損ない、過激主義、テロリズム、民族分離主義、宗教狂信を助長すること。
(二)利用宗教妨碍国家司法、教育、婚姻、社会管理等制度实施的; (2) 宗教を利用して、司法、教育、婚姻、社会管理などの国家制度の実施を妨害する者。
(三)利用宗教宣扬邪教和封建迷信,或者利用宗教损害公民身体健康,欺骗、胁迫取得财物的; (3)宗教を利用して邪悪なカルトや封建的な迷信を広めたり、宗教を利用して市民の身体的な健康を害したり、騙したり強制したりして財産を得ること。
(四)违背我国宗教独立自主自办原则的; (4) 我々の宗教の独立性と自律性の原則に反すること。
(五)破坏不同宗教之间、同一宗教内部以及信教公民与不信教公民之间和睦相处的; (5)異なる宗教間、同じ宗教内、宗教を信じる市民とそうでない市民との調和を損なうこと。
(六)歧视、侮辱信教公民或者不信教公民,损害信教公民或者不信教公民合法权益的; (6)信者や非信者の市民を差別したり侮辱したり、信者や非信者の市民の合法的な権利や利益を害すること。
(七)从事违法宗教活动或者为违法宗教活动提供便利的; (7)違法な宗教活動を行い、または違法な宗教活動を助長する行為。
(八)诱导未成年人信教,或者组织、强迫未成年人参加宗教活动的; (8) 未成年者に宗教的な勧誘をしたり、未成年者に宗教的な活動を組織したり、強制的に参加させること。
(九)以宗教名义进行商业宣传,经销、发送宗教用品、宗教内部资料性出版物和非法出版物的; (9) 宗教の名の下に商業的な宣伝を行うこと、宗教的な記事、内部の宗教情報のための出版物、違法な出版物を配布または送付すること。
(十)假冒宗教教职人员开展活动的; (10) 宗教関係者になりすまして活動を行うこと。
(十一)有关法律、行政法规和国家规定禁止的其他内容的。 (11) その他、関連する法律、行政法規、国家規定で禁止されている内容。
第十五条 取得《互联网宗教信息服务许可证》的宗教团体、宗教院校和寺观教堂,可以且仅限于通过其依法自建的互联网站、应用程序、论坛等由宗教教职人员、宗教院校教师讲经讲道,阐释教义教规中有利于社会和谐、时代进步、健康文明的内容,引导信教公民爱国守法。参与讲经讲道的人员实行实名管理。 第15条 インターネット宗教情報サービスライセンスを取得した宗教団体、宗教系大学および修道院・教会は、社会の調和、時代の進歩、健康と文明に資する教義・規則の内容を説明し、信者である市民が愛国心と遵法精神を持つように導くために、法律に基づいて、宗教聖職者および宗教系大学の教師が自らのインターネットウェブサイト、アプリケーション、フォーラムを通じて説教を行うことができ、またそのように制限されています。 説教の参加者は実名で管理する。
第十六条 取得《互联网宗教信息服务许可证》的宗教院校,可以且仅限于通过其依法自建的专用互联网站、应用程序、论坛等开展面向宗教院校学生、宗教教职人员的宗教教育培训。专用互联网站、应用程序、论坛等对外须使用虚拟专用网络连接,并对参加教育培训的人员进行身份验证。 第16条 「インターネット宗教情報サービス許可証」を取得した宗教機関は、法律に基づき、自らの専用インターネットウェブサイト、アプリケーション、フォーラム等を通じて、宗教機関の学生や宗教聖職者に対する宗教教育・研修を行うことができ、またそれに制限される。 インターネットの専用サイト、アプリケーション、フォーラムなどは、外部との仮想プライベートネットワーク接続を使用し、教育訓練に参加する人の身元を確認する。
第十七条 除本办法第十五条、第十六条规定的情形外,任何组织或者个人不得在互联网上传教,不得开展宗教教育培训、发布讲经讲道内容或者转发、链接相关内容,不得在互联网上组织开展宗教活动,不得以文字、图片、音视频等方式直播或者录播拜佛、烧香、受戒、诵经、礼拜、弥撒、受洗等宗教仪式。 第17条 本弁法第15条および第16条に定める場合を除き、いかなる団体または個人も、インターネット上での説教、宗教教育・訓練の実施、説教・講義の内容の公開または関連コンテンツの転送・リンク、インターネット上での宗教活動の組織・実施、仏像の礼拝、焼香、叙任、詠唱、礼拝、ミサ、洗礼などの宗教儀式を文字、絵、音声、映像によって生中継または録画してはならない。 
第十八条 任何组织或者个人不得在互联网上成立宗教组织、设立宗教院校和宗教活动场所、发展教徒。 第18条 いかなる団体または個人も、インターネット上で宗教団体、宗教施設、宗教活動の場を設立したり、信徒を育成したりすることはできない。
第十九条 任何组织或者个人不得在互联网上以宗教名义开展募捐。 第19条 組織または個人は、インターネット上で宗教の名の下に募金活動を行うことはできない。
宗教团体、宗教院校和宗教活动场所发起设立的慈善组织在互联网上开展慈善募捐,应当符合《中华人民共和国慈善法》相关规定。 宗教団体、宗教機関、宗教活動の場が発起人となって設立した慈善団体は、中華人民共和国の慈善法の関連規定に従って、インターネット上で慈善募金活動を行うものとする。
第二十条 提供互联网宗教信息传播平台服务的,应当与平台注册用户签订协议,核验注册用户真实身份信息。 第20条 インターネット宗教情報発信プラットフォームサービスを提供する者は、プラットフォームの登録ユーザーと契約を締結し、登録ユーザーの実在性情報を確認しなければならない。
第二十一条 未取得《互联网宗教信息服务许可证》的互联网信息传播平台,应当加强平台注册用户管理,不得为用户提供互联网宗教信息发布服务。 第21条 「インターネット宗教情報許可証」を取得していないインターネット情報発信プラットフォームは、プラットフォームの登録ユーザーの管理を強化し、ユーザーにインターネット宗教情報公開サービスを提供してはならない。
第二十二条 从事互联网宗教信息服务,发现违反本办法规定的信息的,应当立即停止传输该信息,采取消除等处置措施,防止信息扩散,保存有关记录,并向有关主管部门报告。 第22条 インターネット宗教情報サービスに従事する者は、本弁法の規定に違反する情報を発見した場合、直ちに当該情報の送信を停止し、消去等の処分を行い、当該情報の拡散を防止し、関連する記録を残し、関係する所轄官庁に報告しなければならない。
第二十三条 宗教事务部门应当加强对互联网宗教信息服务的日常指导、监督、检查,建立互联网宗教信息服务违规档案、失信联合惩戒对象名单和约谈制度,加强对互联网宗教信息服务相关从业人员的专业培训,接受对违法从事互联网宗教信息服务的举报,研判互联网宗教信息,会同网信部门、电信主管部门、公安机关、国家安全机关依法处置违法行为。 第23条 宗教部門は、インターネット宗教情報サービスの日常的な指導・監督・検査を強化し、インターネット宗教情報サービスの違反ファイル、背任行為に対する共同懲戒処分の対象者リスト、面談システムを確立し、インターネット宗教情報サービスに関連する実務者の専門的なトレーニングを強化し、インターネット宗教情報サービスの違法な関与に関する報告を受け、インターネット宗教情報を調査・判断し、インターネット情報部門、電気通信管轄部門と協力して 主務官庁、公安機関、国家安全保障機関は、法律に基づいて違法行為を処理する。
第二十四条 网信部门应当加强互联网信息内容管理,依法处置违法互联网宗教信息。 第24条 インターネット情報部門は、インターネット情報コンテンツの管理を強化し、法律に基づいて違法なインターネット宗教情報を処分しなければならない。
第二十五条 电信主管部门应当加强互联网行业监管,依法配合处置违法从事互联网宗教信息服务的行为。 第25条 電気通信管轄部門は、インターネット産業の監督を強化し、法律に基づいて違法なインターネット宗教情報サービスの処分に協力しなければならない。
第二十六条 公安机关应当依法加强互联网信息服务安全监督管理,防范和处置互联网宗教信息服务中的违法犯罪活动。 第26条 公安機関は、法律に基づき、インターネット情報サービスの安全性に関する監督・管理を強化し、インターネット宗教情報サービスにおける違法・犯罪行為を防止・処分しなければならない。
第二十七条 国家安全机关应当依法防范和处置境外机构、组织、个人,以及境内机构、组织、个人与境外机构、组织、个人相勾结在互联网上利用宗教进行的危害国家安全活动。 第27条 国家安全保障機関は、法律に基づき、海外の機関・組織・個人、および海外の機関・組織・個人と共謀した国内の機関・組織・個人による、宗教を利用したインターネット上での国家安全保障を危うくする活動を防止し、処分しなければならない。
第四章 法律责任 第4章 法的責任
第二十八条 申请人隐瞒有关情况或者提供虚假材料申请互联网宗教信息服务许可的,宗教事务部门不予受理或者不予许可,已经许可的应当依法撤销许可,并给予警告。 第28条 申請者が関連情報を隠蔽し、または虚偽の資料を提供してインターネット上での宗教情報提供サービスの許可を申請した場合、宗教局は許可を受けず、または拒否し、許可を受けた場合は、法律に基づいて許可を取り消し、警告を行う。
擅自从事互联网宗教信息服务的,由宗教事务部门会同电信主管部门依据职责责令停止相关服务活动。 申請者が許可を得ずにインターネット上で宗教情報サービスを行った場合、宗教局は管轄の電気通信局と共同で、職務に応じて関連サービス活動の停止を命じなければならない。
第二十九条 违反本办法第十条、第十一条、第十四条、第十五条、第十六条、第十七条、第十八条、第十九条规定的,由宗教事务部门责令限期改正;拒不改正的,会同网信部门、电信主管部门、公安机关、国家安全机关等依照有关法律、行政法规的规定给予处罚。 第29条 本弁法第10条、第11条、第14条、第15条、第16条、第17条、第18条および第19条の規定に違反した者は、宗教事務部門から一定期間内に是正するよう命じられ、それを拒否した場合は、インターネット情報部門、管轄の電気通信部門、公安当局および国家保安機関と連携して、関連する法律および行政法規の規定に基づいて処罰される。
第三十条 互联网宗教信息传播平台注册用户违反本办法规定的,由宗教事务部门会同网信部门、公安机关责令互联网宗教信息传播平台提供者依法依约采取警示整改、限制功能直至关闭账号等处置措施。 第30条インターネット宗教情報発信プラットフォームの登録ユーザーは、これらの措置の規定に違反して、インターネット情報部門と連携して宗教部門によって、公安機関は、警告是正を取るために法律に基づいてインターネット宗教情報発信プラットフォームのプロバイダを命じ、アカウントや他の処分の閉鎖までの機能を制限する。
第三十一条 违反本办法规定,同时还违反《互联网信息服务管理办法》及国家对互联网新闻信息服务、互联网视听节目服务、网络出版服务等相关管理规定的,由宗教事务部门、网信部门、电信主管部门、公安机关、广播电视主管部门、电影主管部门、出版主管部门等依法处置。 第31条 本弁法の規定に違反し、さらに「インターネット上の情報サービス管理弁法」およびインターネットニュース・情報サービス、インターネット視聴覚番組サービス、インターネット出版サービスなどの管理に関する国家規定に違反した者は、法律に基づき、宗教局、インターネット情報局、所轄の電気通信局、公安当局、所轄のラジオ・テレビ局、所轄の映画局、所轄の出版所管部門によって処理される。
第三十二条 国家工作人员在互联网宗教信息服务管理工作中滥用职权、玩忽职守、徇私舞弊,依法给予处分。 第三十二条 インターネット上の宗教情報サービスの管理において、権限を濫用し、職務を怠り、又は汚職に従事した国家公務員は、法律に基づいて処罰される。
第三十三条 违反本办法规定,构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第33条 本弁法の規定に違反し、公安管理上の違反を犯した者は、法律に基づき公安管理上の処罰を受け、犯罪を犯した場合は、法律に基づき刑事責任を追及する。
第五章 附则 第5章 附則
第三十四条 本办法施行前已经从事互联网宗教信息服务的,应当自本办法施行之日起6个月内依照本办法有关规定办理相关手续。 第34条 この措置の実施前にすでにインターネット上で宗教情報サービスを行っていた者は、この措置の実施日から6ヶ月以内に、この措置の関連規定に基づいて関連手続きを行わなければならない。
第三十五条 本办法由国家宗教事务局、国家互联网信息办公室、工业和信息化部、公安部和国家安全部负责解释。 第35条 本弁法は、国家宗教局、国家インターネット情報局、工業情報化部、公安部、国家安全部により解釈される。
第三十六条 本办法自2022年3月1日起施行。 第36条 この措置は、2022年3月1日に発効する。

 

1_20210612030101


 

 

 

 

 

 

Continue reading "中国 インターネット上の宗教情報サービスの管理に関する弁法"

| | Comments (0)

2021.12.25

内閣官房 NISC 意見募集 「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策

こんにちは、丸山満彦です。

NISCが「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策に関する意見募集をしていますね。。。

 

● NISC

・2021.12.24 「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策に関する意見の募集について

意見募集対象

「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策(サイバーセキュリティ2022)

参考資料(意見募集対象外)

・[PDF] サイバーセキュリティ戦略(令和3年9月28日閣議決定)

・[PDF] サイバーセキュリティ2021

・[PDF] 次期年次報告・年次計画の策定に向けた進め方等について(サイバーセキュリティ戦略本部第32回会合(令和3年12月14日)資料3) 

↑ 意見募集対象のリンクがない???

で、e-Govではどうなっているかというと...

e-Gov

・2021.12.24 「サイバーセキュリティ戦略」に基づき、2022年度に実施すべき施策に関する意見の募集について

命令などの案  

・[PDF] 次期年次報告・年次計画の策定に向けた進め方等について

関連資料、その他

・[PDF] サイバーセキュリティ戦略(令和3年9月28日閣議決定)

・[PDF] サイバーセキュリティ2021

意見募集対象でないと言っているものが、対象???

 

Nisc_20211018004601


■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリテ2021

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


 

まるちゃんの情報セキュリティ気まぐれ日記

日本のサイバーセキュリティ戦略関係

・2021.09.30 日本のサイバーセキュリティ戦略についての質問に対する中国政府スポークスマンの回答

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

 

世界のサイバーセキュリティ戦略関係

・2021.12.17 英国 国家サイバー戦略

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

| | Comments (0)

個人情報保護委員会 意見募集 各分野別個人情報保護ガイドラインの改正案

こんにちは、丸山満彦です。

個人情報保護委員会が各分野別個人情報保護ガイドラインの改正案について意見募集をしていますね。。。

1. 医療・介護関係事業者

2. 健康保険組合等

3-1. 国民健康保険組合

3-2. 国民健康保険団体連合会等

4. 債権管理回収業分野

5. 金融分野+(安全管理措置)

6. 信用分野

 

個人情報保護委員会

・2021.12.23

# ガイドライン e-Gov ガイドライン案 新旧対比
1 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集について 概要
2 「健康保険組合等における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集について  
3 「国民健康保険組合における個人情報の適切な取扱いのためのガイダンスの一部改正案」及び「国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集について  
4 債権管理回収業分野における個人情報保護に関するガイドライン(案)に関する意見募集について
5 「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の一部改正(案)に対する意見募集について  
6 信用分野における個人情報保護に関するガイドラインの一部改正案に対する意見募集について

 

・2021.12.22 第195回 個人情報保護委員会

 

Ppc_logo_20210325120001_20210520035201

 


● まるちゃんの情報セキュリティきまぐれ日記

・2021.11.02 個人情報保護委員会 令和3年改正個人情報保護法について、政令・規則・民間部門ガイドライン案の意見募集の結果を公示+公的部門ガイドライン案の意見募集を開始

・2021.08.06 個人情報保護委員会 意見募集 令和3年改正個人情報保護法 政令・規則・民間部門ガイドライン案について他

・2021.08.04 個人情報保護委員会 「個人情報の保護に関する法律についてのガイドライン」の更新他

・2021.05.20 個人情報保護委員会の今後の取り組みと個人情報保護法ガイドラインの改正(パブコメ)

| | Comments (0)

個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

こんにちは、丸山満彦です。

個人情報保護委員会に「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が設置されるようですね。。。

 

● 個人情報保護委員会

・2021.12.22 第195回 個人情報保護委員会

・[PDF] 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置について

 


1.目的
顔識別機能付きカメラの高性能化及び低価格化に伴い、事業者が容易に、犯罪予防や安全確保のために、顔識別機能付きカメラを利用することが可能となっている。
顔識別システムは、カメラ画角内に特定の人物が存在しているか瞬時に自動で把握できることから、犯罪予防の観点からは有効なシステムである。他方、遠隔で個人を識別することが可能であるという技術的特性上、その運用次第では、受忍限度を超える個人のプライバシー侵害等を生じさせるリスクをはらむ。
このような犯罪予防や安全確保のためのカメラ画像の利用については、我が国においては未だ社会的なコンセンサスが形成されておらず、また海外においても、適切な利用の在り方が模索されている状況にある。
当委員会としては、これまでも、顔識別機能付きカメラ利用に係る一定の考え方を示しているところではあるが、上記のような内外の動向も踏まえ、公共空間における犯罪予防や安全確保のためのカメラ画像の適正な利用の在り方について、有識者に個人情報保護法上の観点含め多面的にご議論いただき、包括的に整理を行うこととする。

2.検討内容
・顔識別システムの利用が有効かつ必要であると考えられる場面
・個人情報保護法に基づいて求められる対応
・事業者の自主的取組として推奨される対応
・その他推奨される取組(認定個人情報保護団体制度の活用等)

【構成員(五十音順)】
・生貝 直人 一橋大学大学院法学研究科准教授
・石井 夏生利 中央大学国際情報学部教授
・遠藤 史啓 神奈川大学法学部准教授
・菊池 浩明 明治大学総合数理学部専任教授
・宍戸 常寿 東京大学大学院法学政治学研究科教授
・新保 史生 慶應義塾大学総合政策学部教授
・巽 智彦 東京大学大学院法学政治学研究科准教授
・星 周一郎 東京都立大学法学部教授
・森 亮二 英知法律事務所弁護士
・山本 龍彦 慶應義塾大学大学院法務研究科教授


Fig1_20211225161201


● まるちゃんの情報セキュリティ気まぐれ日記

顔認識関係

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2005年

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

書籍紹介 シン・経済安保

こんにちは、丸山満彦です。

弁護士3名(高橋郁夫先生、近藤剛先生、丸山修平先生)による経済安全保障の入門書です。経済安全保障の説明も、安全保障の話から進めていて(と言っても詳細すぎない)、入門書としてわかりやすいです。

● 日経BP

シン・経済安保

米国、欧州、英国、中国、日本等を法律を踏まえて比較している部分もあり、参考になります。弁護士が法律を踏まえて説明をしているので、浮いた話ではなく地に着いた話となっていて、安心して読める内容となっていますね。。。

目次は、


第1部 LINE事件と経済安全保障
 第1章 LINE事件は何が問題だったのか?
 第2章 経済安全保障とは何か?

第2部 新しい経済安全保障の実態
 第3章 重要技術

第3部 新しい経済安全保障のリスクとその対応
 第4章 リスク管理体制と評価方法 
 第5章 リスク1「重要技術の輸出」
 第6章 リスク2「サイバーセキュリティー」
 第7章 リスク3「営業秘密不正取得」
 第8章 リスク4「データの保存場所」
 第9章 リスク5「重要インフラ産業の業務阻害」
 第10章 リスク6「サプライチェーン」

Appendix 対内投資リスク
 第11章 リスク7「対内直接投資による企業支配」
 第12章 リスク8「土地・建物への対内直接投資による安全保障」


 

Kindleでは2022.01.01から読めるようになっているようですので、正月休みにでも読まれたらどうかと思います。

Amazon

シン・経済安保 (kindle)

 

Fig1_20211225145201

 

| | Comments (0)

Five eyes国で連携してLog4jの脆弱性についてのアラート、ガイダンスページを開設

こんにちは、丸山満彦です。

世界的にLog4jの脆弱性については大きく取り上げられていますが、米国(CISAFBINSAオーストラリア(ACSC)、カナダ(CCCS)、ニュージーランド(CERT NZNZ NCSC)、英国(NCSC-UK)のセキュリティ当局が連携してアドバイザリーを発表していますね。。。

CISA

プレス

・2021.12.22 CISA, FBI, NSA AND INTERNATIONAL PARTNERS ISSUE ADVISORY TO MITIGATE APACHE LOG4J VULNERABILITIES

ガイダンスページ

Apache Log4j Vulnerability Guidance

アラート

・2021.12.22 Alert (AA21-356A) Mitigating Log4Shell and Other Log4j-Related Vulnerabilities

 

NSA

・2021.12.22 CISA, FBI, NSA, and International Partners Issue Advisory to Mitigate Apache Log4J Vulnerabilities

211222dim7421235

 


オーストラリア

ACSC

・2021.12.23 (news) ACSC and international partners encourage action to mitigate risks for Log4j vulnerability

・2021.12.23 Use of Log4j vulnerabilities in ransomware activity

・2021.12.23 Mitigating Log4Shell and Other Log4j-Related Vulnerabilities

・2021.12.22 2021-007: Log4j vulnerability – advice and mitigations

・2021.12.21 Cybercriminals scanning Australian entities for serious cyber vulnerability

・2021.12.16 JCSC virtual presentations on Log4j2 vulnerability – Friday 17 December

・2021.12.15 Australians urged to act on cyber alert

カナダ

CCCS

・2021.12.22 Joint cybersecurity advisory on mitigating Log4Shell and other Log4j-related vulnerabilities

ニュージーランド

CERT NZ

・2021.12.23 International agencies issue Log4j warning

NZ NCSC

英国

NCSC-UK  

・information Log4j vulnerability - what everyone needs to know

・news Alert: Apache Log4j vulnerabilities

 


 

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.20 米国 CISA 緊急指令22-02 Apache Log4jの脆弱性に対応せよ

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

 

| | Comments (0)

中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

こんにちは、丸山満彦です。

中国のデータセキュリティ法に基づくデータセキュリティリスク情報の報告・共有に関するガイドライン案が公開され、意見募集されていますね。。。

工业和信息化部(工業情報化部)

2022.12.22 公开征求对《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》的意见 「産業情報通信分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)」の公開協議について(意見募集稿)

 

公开征求对《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》的意见 「産業情報通信分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)」の公開協議について(意見募集稿)
为贯彻落实《中华人民共和国数据安全法》等法律法规,加强工业和信息化领域数据安全风险信息获取、分析、研判和预警工作,及时掌握工业和信息化领域数据安全整体态势,提高数据安全风险处置能力,工业和信息化部研究起草了《工业和信息化领域数据安全风险信息报送与共享工作指引(试行)(征求意见稿)》(见附件),拟以规范性文件形式印发,现面向社会公开征求意见。如有意见或建议,请于2022年1月22日前反馈。 中華人民共和国データセキュリティ法およびその他の法令を実施し、産業情報技術分野におけるデータセキュリティリスク情報の取得、分析、判断および早期警告を強化し、産業・情報技術分野におけるデータセキュリティの全体的な状況をタイムリーに把握し、データセキュリティリスクへの対応能力を向上させるため、産業情報技術省は、「産業情報技術分野におけるデータセキュリティリスク情報の報告および共有に関するガイドライン」(以下、「ガイドライン」)を研究・作成しました。 産業・情報通信省は、規範文書として発行する「産業・情報通信分野におけるデータセキュリティリスクの報告・共有に関するガイドライン(試行実施用)(別紙)」を作成し、現在、コメントを募集しています。 ご意見・ご要望がございましたら、2022年1月22日までにご記入ください。

 

・[PDF]

20211224-152644

・[DOCX] 仮訳

 


情報セキュリティきまぐれ日記

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

 

| | Comments (0)

2021.12.24

JNSA 2021セキュリティ十大ニュース

こんにちは、丸山満彦です。

日本ネットワークセキュリティ協会が2021年 セキュリティ十大ニュースを発表していますね。

● 日本ネットワークセキュリティ協会 (JNSA)

・2021.12.24 JNSA 2021セキュリティ十大ニュース ~サイバーセキュリティが世界の行く末を左右する時代が始まった~

 

# Date タイトル サブタイトル
1 2021.05.07 ランサムウェアの被害広範囲に、影響は一般市民にも ランサムウェア攻撃の脅威を思い知らされた1年
2 2021.03.17 LINEデータ管理の不備が指摘される にわかに盛り上がる経済安全保障の論議
3 2021.01.27 EMOTETテイクダウンの朗報、しかし再燃の動きも 国際間協力により完全破壊するも11月には復活
4 2021.05.26 ProjectWEBへの不正アクセスで官公庁等の情報が流出 今後のITサプライチェーンの課題は?
5 2021.11.26 みずほ銀行のシステム障害多発に金融庁が業務改善命令 日本企業の経営層に求められるITに対する理解
6 2021.01.29 Salesforce設定ミスによる情報流出にNISCが注意喚起 クラウド・バイ・デフォルト時代における新たな責任の自覚
7 2021.10.21 NTTと東京オリパラ大会組織委員会、サイバーセキュリティ対策を報告 懸念されたサイバー攻撃を防御し、東京オリパラは無事終了
8 2021.01.12 ソフトバンク元社員を不正競争防止法違反で逮捕 社員による会社情報持ち出しの抑止力となるか?
9 2021.07.28 「戦争の原因になり得る」とサイバー攻撃に強い危機感 対岸は存在しないサイバー空間の攻防
10 2021.09.28 VPN狙い撃ちの被害続く中、米政府堅牢化のガイダンスを公開 攻撃は境界型防衛への最後通告か

 

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2020.12.26 JNSAの2020年セキュリティ十大ニュース

・2009.12.29 JNSA 2009セキュリティ十大ニュース発表

| | Comments (0)

中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

こんにちは、丸山満彦です。

中国の信息通信研究院

1 2021.12.23 全球数字治理白皮书 グローバルデジタルガバナンス白書
2 2021.12.22 区块链白皮书 ブロックチェーン白書
3 2021.12.21 数字孪生城市白皮书 デジタルツインシティーズ白書
4 2021.12.20 数字碳中和白皮书 デジタルカーボンニュートラル白書
5 2021.12.20 大数据白皮书 ビッグデータ白書
6 2021.12.17 互联网法律白皮书 インターネット法白書

を公表していますね。。。内容までは読めていないのですが...(^^;;

日本はベンチマーク対象となっていない感じですね。。。

なお、

クラウドコンピューティング白書、プライバシーコンピューティング白書、信頼できる人工知能についての白書は過去に公表されています。。。

7 2021.07.27 云计算白皮书 クラウドコンピューティング白書
8 2021.07.22 隐私计算白皮书 プライバシーコンピューティング白書
9 2021.07.09 可信人工智能白皮书 信頼できる人工知能についての白書

 

中国信息通信研究院 - 白皮书

・2021.12.23 全球数字治理白皮

・[PDF]

20211224-61317

全球数字治理白皮书 グローバルデジタルガバナンス白書
【摘    要】 要約
白皮书分析了近期全球数字治理重要机制和核心议题的主要进展,研究了各国数字治理模式和主要经验,探索了数字时代的全球数字治理之道。 この白書では、グローバル・デジタル・ガバナンスの主要なメカニズムと中核的な問題の最近の動向を分析し、各国のデジタル・ガバナンス・モデルと主要な経験を検証し、デジタル時代のグローバル・デジタル・ガバナンスのあり方を探っています。
【目    录】 目次
一、全球数字治理格局正在演变重塑 1. グローバルなデジタルガバナンスの状況は、進化し、再形成されている
(一)疫情大幅加快全球经贸的数字化 (1) 流行病は世界の貿易と経済のデジタル化を劇的に加速させた
(二)主要经济体积极布局全球数字治理 (2) 主要国は積極的にグローバルなデジタルガバナンスを構築している
(三)多边机制在全球数字治理中作用再次凸显 (3) グローバル・デジタル・ガバナンスにおける多国間メカニズムの役割が再び注目される
(四)多方力推数字议题取得积极进展 (4)デジタル関連のポジティブな動きは各方面で推進されている
二、全球性机制与多元平台推动数字治理建章立制 2. グローバルなメカニズムと複数のプラットフォームにより、デジタルガバナンスのためのルールや規則の確立が促進される
(一)G20/OECD/G7:数字治理的国际舞台 (1) G20/OECD/G7:デジタルガバナンスのための国際的アリーナ
(二)WTO/区域贸易协定:数字贸易规则制定的多元化路径 (2) WTO/地域貿易協定:デジタル・トレード・ルールメイキングの多様な道筋
(三)数字基础设施建设:积极探索全球治理新模式 (3) デジタルインフラの整備:新しいグローバルガバナンスのモデルを積極的に模索する
三、重点数字议题规则持续构建 3. デジタル関連の重要事項に関するルールの継続的な構築
(一)人工智能治理向专业组织、具体场景和细化规则下沉 (1) 人工知能のガバナンスは、専門組織、具体的なシナリオ、詳細なルールに宿る
(二)跨境数据流动政策持续演进 (2) 国境を越えたデータフロー政策は進化し続けている
(三)数字平台责任规则加快向国际贸易规则渗透 (3)デジタルプラットフォームの責任に関するルールが国際貿易ルールへの浸透を加速させる
(四)全球数字税规则取得历史性突破 (4) グローバルなデジタル税務ルールの歴史的なブレークスルー
(五)数字货币国际监管框架和基本规则已具雏形 (5)デジタル通貨の国際的な規制の枠組みや基本ルールが具体化している
四、全球数字治理未来展望 4. グローバル・デジタル・ガバナンスの今後の展望
(一)多/诸边机制将扮演更积极活跃的角色 (1) 多国・複数国間メカニズムがより積極的な役割を果たすようになる
(二)印太地区数字贸易规则构建成为各方关注焦点 (2) インド太平洋地域におけるデジタル貿易ルールの構築が各方面から注目されている
(三)全球数字治理新问题新议题不断涌现 (3) グローバル・デジタル・ガバナンスの新たな課題や問題は、今後も発生し続けるだろう。
(四)数字规则持续演进需高度关注 (4)デジタルルールは今後も進化し続けるので注意が必要

 

・2021.12.22 块链白皮

・[PDF]

20211224-61340

 

区块链白皮书 ブロックチェーン・ホワイトペーパー
【摘    要】 概要
白皮书在之前版本基础上,梳理国内外区块链发展最新动态,分析技术、应用、产业的发展态势,展望“十四五”区块链技术应用和产业发展机遇。 今回の白書では、前回の内容を踏まえ、国内外のブロックチェーンの最新の発展状況を振り返り、技術、応用、産業の発展動向を分析し、第14次5カ年計画におけるブロックチェーン技術の応用と産業発展の機会を展望しています。
【目    录】 目次
一、区块链发展综述 1. ブロックチェーン開発の概要
(一)区块链技术持续融合优化,精准匹配复杂业务场景 (1) ブロックチェーン技術は統合と最適化を続け、複雑なビジネスシナリオを正確にマッチングする
(二)区块链应用脱虚向实趋势显现,新应用领域不断拓展 (2)ブロックチェーン応用のトレンドが生まれ、新たな応用分野がますます広がっている
(三)区块链产业生态纵深发展,开源生态建设提速 (3) ブロックチェーン業界のエコロジーが深化し、オープンソースのエコロジー構築が加速する
二、区块链技术演进趋势 2. ブロックチェーン技術の進化の傾向
(一)核心技术:多点突破带动整体提升,产品形态逐步分化 (1)コア技術:多面的なブレークスルーにより全体的に改善され、製品形態が徐々に差別化されていく
(二)扩展技术:深度融合拓展,突破单链诸多瓶颈 (2)拡張技術:シングルチェーンの多くのボトルネックを打破する深い統合と拡張
(三)跨链技术:助力多链融合互通,实现多领域数据可信流转 (3)クロスチェーン技術:複数のチェーンの統合と相互運用を容易にし、複数の分野のデータの信頼性の高い流れを実現する
三、区块链应用发展态势 3. ブロックチェーンアプリケーションの開発動向
(一)区块链应用发展以水平化渗透为主 (1) ブロックチェーンアプリケーションの開発は、主に水平方向への浸透が基本となる
(二)区块链应用场景需深入分析理性选择 (2) ブロックチェーンの適用シナリオは、綿密な分析と合理的な選択が必要
(三)区块链应用模式及刚需行业场景逐步明显 (3)ブロックチェーンのアプリケーションモードと業界のシーンは、ちょうど需要が徐々に明らかになっている
(四)区块链应用发展仍面临诸多挑战 (4) ブロックチェーンアプリケーション開発にはまだ多くの課題がある
四、区块链助力经济社会高质量发展 4. ブロックチェーンは質の高い経済・社会の発展に役立つ
(一)区块链助推智慧农业,打造数字兴农新模式 (1) ブロックチェーンはスマートアグリを促進し、デジタル農業開発の新しいモデルを作るのに役立つ
(二)司法证据上链进度加快,可信存证助力法治中国建设 (2) 司法証拠の連鎖的な進展を加速させ、信頼できる証拠の保管により中国の法治国家の建設を支援する
(三)区块链助力联防联控,开创科技防疫应用新局面 (3) ブロックチェーンは共同予防と制御に役立ち、科学技術的な疫病予防の適用に新しい状況を作り出す
(四)链上政务简化办事流程,助力政务服务数字化 (4) チェーン・ガバメントは、ビジネスのプロセスを簡素化し、政府サービスのデジタル化を支援する
(五)区块链赋能“双碳”战略,推动绿色可持续发展 (5) ブロックチェーンは「ダブルカーボン」戦略を強化し、グリーンで持続可能な開発を促進する
五、区块链产业生态构建 5. ブロックチェーン業界のエコロジー構築
(一)产业环境:央地多措并举齐发力,为产业发展添能蓄势 (1)産業環境:中央と地方の当局が協調して、産業発展の機運を高めている
(二)产业主体:纵向一体化发展态势明显,跨界布局加速 (2)産業本体:垂直統合の発展傾向は明らかで、国境を越えたレイアウトが加速されている
(三)产业模式:区域级、行业级联盟生态逐步兴起 (3)産業モデル:地域や産業レベルでのアライアンスのエコロジーが徐々に生まれてくる
(四)开源生态:开源社区蓬勃发展,生态体系建设提速 (4) オープンソース・エコロジー:オープンソース・コミュニティが盛んになり、エコシステムの構築が加速している
五、总结与展望 6. まとめと展望

 

・2021.12.21 数字生城市白皮

・[PDF]

20211224-61401

 

数字孪生城市白皮书 デジタル・ツインシティ白書
【摘    要】 概要
报告从政产学研用、五大技术领域等多视角系统分析今年以来数字孪生城市发展十大态势,梳理数字孪生城市发展中的标准体系和应用场景,并提出了具体创新举措。 本報告では、デジタル・ツイン・シティの開発におけるトップ10のトレンドを、政府、産業、学術、研究・応用、5つの主要技術分野などの多面的な視点から体系的に分析し、デジタル・ツイン・シティの開発における標準的なシステムとアプリケーションのシナリオを比較し、具体的な革新的な取り組みを提案しています。
【目    录】 目次
一、发展态势:数字孪生加速推进智慧城市建设升级 1. 開発動向:デジタルツインがスマートシティ建設のアップグレードを加速する
(一)国家政策高位推动,多省市加快启动建设试点 (1) 国家政策が高いレベルで推進され、多くの省や市が建設パイロットの立ち上げを加速している
(二)标准制定全面提速,标准化组织亟待加强协作 (2) 標準化の進展が加速しており、標準化団体は連携を強化する必要がある
(三)产业积极组团合作,核心企业积极开放底层能力 (3)産業界が積極的にグループに協力し、中核企業が積極的に基礎能力を開放する
(四)学术成果快速增长,国际交流合作正式起步 (4) 学術的成果が急速に高まり、国際交流・協力が正式に開始された
(五)应用场景逐步明朗,数字孪生特色价值逐渐显现 (5)応用シーンが徐々に明らかになり、デジタルツインの価値が徐々に見えてくる
(六)信息模型市场活跃,地方实践行业标准双管齐下 (6) 活発な情報モデル市場、地域の慣行、業界標準
(七)空间测绘技术创新,全息测绘与时空图谱有突破 (7) 空間マッピング技術の革新、ホログラフィックマッピングと時空間マッピングが突破口に
(八)物模型正加速兴起,为设备孪生奠定坚实基础 (8) オブジェクトモデルの台頭が加速しており、機器ツインのための強固な基盤を築いている。
(九)城市仿真取得突破,跨学科与云化仿真成主流 (9)都市シミュレーションのブレークスルー、学際的なシミュレーションやクラウドベースのシミュレーションが主流になる
(十)孪生交互加快推进,低代码构建成企业共同选择  (10) ツインインタラクションが加速し、ローコード構築が企業の一般的な選択肢になっている
二、标准引领:以标准为抓手规范数字孪生城市建设 2.  標準による牽引:デジタルツインシティの建設を規制するためのグリップとしての規格
(一)以技术能力为核心,构建数字孪生城市实施框架 (1) 技術力を核としたデジタルツインシティ実現のためのフレームワーク構築
(二)以实施框架为指引,系统描绘标准体系蓝图 (2) 実装フレームワークを参考に、標準システムの青写真を体系的に描き出す
(三)以标准体系为基准,有节奏制定标准推进路线图 (3) 標準システムをベンチマークとして、リズミカルに標準を進めていくためのロードマップを作成する
三、场景驱动:面向城市新要求强化可持续与成效导向 3. シナリオ・ドリブン:新しい都市の要件に合わせて、持続可能性と有効性の方向性を強化する
(一)契合双碳、现代化等时代要求,筛选高价值场景 (1) デュアルカーボンや近代化などの時代の要請に応え、価値の高いシナリオを選択する
(二)促进应用可持续,探索ToG向ToB或ToC转变 (2) 持続可能なアプリケーションを推進し、ToGからToBまたはToCへの変換を探る
(三)加强需求约束成效评估,践行“以评促建”理念 (3) 需要制約の有効性評価を強化し、「建設のための評価」の概念を導入する
四、实践创新:直面挑战创新数字孪生城市建设模式 4. 実践での革新:課題に直面し、デジタルツインシティ建設モデルを革新する
(一)全过程咨询谋划,整体性系统性推进数字孪生城市 (1) デジタルツインシティを全体的かつ体系的に推進するための全プロセスの協議と計画
(二)全链条产业协作,打造数字孪生城市整体解决方案 (2) デジタルツインシティのトータルソリューションを実現するホールチェーン産業連携
(三)全过程服务交付,确保数字孪生城市不走样不变形 (3) デジタルツインシティを変形させないためのフルプロセスサービス提供
(四)高质量标准认证,推动数字孪生城市健康有序发展 (4) デジタルツインシティの健全で秩序ある発展を促す高品質な規格認証
(五)全生态环境营造,助力数字孪生城市高质量新格局 (5)高品質なデジタルツインシティの新しいパターンを促進する包括的な生態環境の構築

・2021.12.20 数字碳中和白皮

・[PDF]

20211224-61426

 

数字碳中和白皮书 デジタルカーボンニュートラル白書
【摘    要】 概要
当前全球气候变化形势越来越严峻,走向碳中和已成为全球应对气候变化的共识。我国提出碳达峰、碳中和目标具有重要意义,但也面临十分严峻的挑战,时间紧任务重,需要统筹有序扎实推进碳达峰碳中和重点工作。 現在、世界の気候変動の状況はますます深刻化しており、カーボンニュートラルへの移行は、気候変動に対処するための世界的なコンセンサスとなっています。 中国の目標であるピークカーボンとカーボンニュートラルの達成は大きな意義がありますが、同時に非常に深刻な課題にも直面しており、時間は短く、課題は重いものです。
【目    录】 目次
一、 气候变化与中国碳达峰碳中和目标任务 1. 気候変動と中国のカーボンニュートラル目標
(一) 碳中和已成为应对气候变化共识 (1) カーボンニュートラルは気候変動対策のコンセンサスになっている
(二) 我国碳达峰碳中和目标意义重大 (2)中国のカーボンニュートラル目標の意義
(三) 我国碳达峰碳中和工作面临挑战 (3) 中国のカーボンニュートラルへの取り組みの課題
(四) 扎实推进碳达峰碳中和重点工作 (iv) カーボンニュートラルの推進は重要な課題である
二、 数字技术赋能碳减排的探索和途径潜力 2. 炭素排出削減を可能にするデジタル技術の探求と可能性
(一) 国际借力数字技术应对气候变化探索 (1) 気候変動に対処するためのデジタル技術の国際的探求
(二) 数字技术赋能碳减排机制途径和潜力 (2) 炭素排出削減メカニズムを実現するデジタル技術の方法と可能性
三、 数字技术助力重点行业碳达峰碳中和 3. デジタル技術で基幹産業のカーボンピークとカーボンニュートラルを実現する
(一) 数字技术助力构建以新能源为主体新型电力系统 (1)新エネルギーを主軸とした新しい電力システムの構築に役立つデジタル技術
(二) 数字技术助力工业数字化智能化绿色化融合发展 (2)デジタル技術は、産業のデジタル化、インテリジェント化、グリーン化の統合に役立つ
(三) 数字技术助力建设绿色智慧交通体系 (3) デジタル技術によるグリーンでインテリジェントな交通システムの構築
(四) 数字技术助力建筑全生命周期碳减排 (4) デジタル技術は、建物のライフサイクルを通して、二酸化炭素の排出量を削減するのに役立つ
(五) 数字技术助力碳管理数字化高效化 (5)デジタル技術は、デジタル化を助け、カーボンマネジメントをより効率的にする
四、 信息通信业自身能耗与绿色低碳发展 4. 情報通信産業におけるエネルギー消費とグリーン・ローカーボン開発
(一) 碳排放总量小增速快存在结构性差异 (1) 構造的差異を伴う小さな総炭素排出量と速い成長率
(二) 数字基建重点用能领域节能降碳提速 (2) デジタルインフラの主要エネルギー使用領域における省エネ・省炭素化の加速
(三) 多方发力推动信息通信产业绿色发展 (3) 情報通信産業のグリーンな発展を促進するための多方面からの取り組み
五、 数字技术助力碳减排推进策略和建议 5. デジタル技術を活用した二酸化炭素排出削減推進のための戦略と提案
(一) 构建关键要素支撑体系 (1) 重要な要素に対するサポート体制の構築
(二) 强化数字赋能技术供给 (2) デジタル対応技術の供給強化
(三) 建设绿色信息基础设施 (3) グリーン情報インフラの構築
(四) 开展数字管碳降碳示范 (4) デジタルカーボンマネジメントやカーボンリダクションの実証実験の実施
(五) 加大财税金融扶持力度 (5) 金融・財政支援の強化
(六) 深化数字赋能国际合作 (6) デジタル・エンパワーメントに関する国際協力の深化

 

 

・2021.12.20 大数据白皮书

・[PDF]

20211223-164737

大数据白皮书 ビッグデータ白書
【摘    要】 概要
白皮书以数据要素的价值释放作为核心逻辑,重点探讨大数据政策、法律、技术、管理、流通、安全等方面的内容,并对“十四五”期间我国大数据的发展进行展望。 白書は、データ要素の価値解放を核心論理とし、ビッグデータの政策、法律、技術、管理、流通、セキュリティに焦点を当て、第14次5カ年計画期間中の中国におけるビッグデータの発展の見通しを示しています。
【目    录】 目次
一、全球大数据战略布局持续深化 1. 深化を続けるグローバル・ビッグデータ戦略
(一)国外大数据战略稳步推进 (1) 海外のビッグデータ戦略は着実に進んでいる
(二)我国大数据战略深入落实 (2) 中国のビッグデータ戦略が深化して実施される
二、大数据法律体系建设不断完善 2. ビッグデータ法制度の構築は引き続き改善される
(一)基础法律:搭建数据合规基本框架 (1) 基本法:データコンプライアンスの基本的な枠組みの構築
(二)部委发力:细化落实基础合规要求 (2) 省庁・委員会:基本的な遵守事項の精査と実施
(三)地方立法:着力创新攻坚合规难题 (3)ローカルな法律:コンプライアンス問題に取り組むためのイノベーションの重視
三、大数据技术体系发展创新变革 3. ビッグデータ技術システムの開発における革新的な変化
(一)效率提升:利用云原生思想进行能力升级 (1) 効率化:クラウド・ネイティブな発想で能力を高める
(二)赋能业务:利用开发平台释放业务潜能 (2) Empowering Business:ビジネスの可能性を引き出す開発プラットフォームの活用
(三)加强安全:利用“零信任”补足内生安全 (3) セキュリティの強化:「ゼロ・トラスト」による内発的セキュリティの補完
(四)促进流通:利用隐私计算保障数据流通 (4) 循環の促進:プライバシーコンピューティングを用いたデータ循環の保護
四、 数据资产管理实践加速落地 4. データ資産管理手法の導入促進
(一)政策驱动数据资产管理持续发展 (1) ポリシーに基づいたデータ資産管理の継続的な発展
(二)企业数据管理能力建设逐步推进 (2) 企業のデータ管理能力向上を段階的に進める
(三)DataOps加速数据资产管理升级 (3) DataOpsが加速するデータ資産管理の高度化
(四)价值运营引领数据资产管理新模式 (4) データ資産管理の新しいモードをリードするバリューベースオペレーション
五、 数据流通面向多角度稳步探索 5. 多角的な視点で着実にデータの循環を探る
(一)各方积极探索数据流通模式变革与创新 (1) データ流通モデルの変更や革新を積極的に検討する
(二)新兴技术方案变革数据流通的传统形态 (2) 新技術のソリューションが、従来のデータ流通の形態を変える
(三)数据流通权责划分方式与规则持续探索 (3)データ流通の権利と責任の分割方法とルールの継続的な検討
六、 数据安全体系化建设逐步提升  6. データセキュリティシステム構築の段階的改善 
(一)国内数据安全监管落地加快 (1) 国内のデータセキュリティ規制が早まる
(二)企业数据安全治理初见成效 (2) 企業のデータセキュリティガバナンスが実を結び始めた
(三)数据安全闭环体系加速建设 (3) クローズドループ型データセキュリティシステムの構築の加速
七、 大数据发展展望 7. ビッグデータ開発の展望

 

・2021.12.17 互联网法律白皮书

・[PDF]

20211223-164744

互联网法律白皮书 インターネット法白書
【摘    要】 概要
白皮书回顾了我国“十三五”期间网络法治领域取得的重要成效,总结了过去一年我国互联网立法以及部分执法的最新进展和国际网络法治领域的最新立法趋势,对未来网络法治领域的发展进行了展望。 白書では、中国の第13次5カ年計画期間中にインターネット法制の分野で達成された重要な成果を振り返り、中国のインターネット法制と一部の法執行に関する昨年の最新の進捗状況、および国際的なインターネット法制の分野における最新の立法動向をまとめ、インターネット法制の今後の発展についての見通しを示しています。
【目    录】 目次
一、“十三五”时期国内互联网法律体系发展综述 1. 第13次5カ年計画期間における国内インターネット法制度の発展の概要
(一)党中央对全面依法治国和依法治网作出重要部署 (1) 党中央委員会は、法の包括的な支配のために重要な取り決めを行い、法に則ったインターネットの支配
(二)网络空间法治建设成为全面依法治国的关键领域 (2) サイバースペースにおける法の支配の構築は、包括的な法の支配のための重要な領域となっている。
(三)依法治网的内涵和外延不断丰富和拓展 (3) インターネット上の法の支配の意味合いと拡張性は、常に豊かで拡張されている。
二、2021年我国互联网立法情况 2. 2021年の中国のインターネット関連法案について
(一)网络安全法规体系构建基本完成,重点领域立法加速 (1) ネットワーク・セキュリティ規制システムの構築が基本的に完了し、主要分野の立法が加速していること
(二)数据治理法规体系全面展开,全方位推动立法改革 (2) 包括的なデータガバナンス規制システムを立ち上げ、あらゆる面での法制改革を推進する。
(三)网络空间生态治理立法强基固本,聚焦新业态新技术 (3) サイバー空間のエコロジーガバナンスに関する法制化により、基盤が強化され、新しいビジネスモデルや技術に焦点が当てられる。
(四)网络社会治理立法服务高质量发展,紧贴民生福祉 (4) ネットワークの社会的ガバナンスに関する立法は、高品質の開発に役立ち、人々の福祉に密着している。
(五)新技术新业务加速立法探索,强化风险预防 (5) 新技術・新事業による立法探求の加速とリスク予防の強化
(六)涉外立法领域充实制度工具,扩大国际影响力 (6) 外国関連の法律分野における制度ツールの充実と国際的影響力の拡大
(七)小结 (7) まとめ

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

 

| | Comments (0)

2021.12.23

中国 通信院 産業経済状況の見通し、上位100の工業都市と地区に関する開発報告

こんにちは、丸山満彦です。

中国の信息通信研究院が産業経済状況の見通し、上位100の工業都市と地区に関する開発報告を公表しているので参考まで、、、

どういう分野に力を入れていこうとしているかを理解することは重要ですよね。。。

サプライチェーンのセキュリティリスクは中国でも同様にあるようですね。。。

 

中国信息通信研究院

・2021.12.16 中国工业经济形势展望  

・[PDF]

20211223-154819

中国工业经济形势展望 中国の産業経済状況の見通し
【摘    要】 要約
2021年以来,我国工业生产总体保持恢复性增长的发展态势,投资增长势头稳定,投资结构持续调整优化;创新活力持续增强,增长引擎加速转化;产业结构调整加快,产业集群化发展深入推进;工业对外出口形势较好,外需替代效应持续明显,工业绿色转型成效显著。 2021年以降、中国の工業生産はおおむね回復成長の発展傾向を維持しており、投資成長の勢いは安定しており、投資構造の調整と最適化が続いています。イノベーションの活力は引き続き強化され、成長エンジンの転換が加速されています。産業構造の調整が加速され、産業クラスターの発展がさらに促進されています。産業の対外輸出はより良い状況にあり、外需の代替効果は引き続き明らかであり、産業のグリーン転換が効果的に行われています。
【目    录】 目次
一、2021年中国工业经济发展全景 1. 2021年の中国の産業経済発展のパノラマ
(一)面对外部多重复杂因素,工业实现稳定恢复 (1) 複数の複雑な外的要因の中での産業の安定的な回復
(二)受大宗商品价格攀高影响,利润水平有所分化 (2) 商品価格高騰の影響で利益水準が乖離していること
(三)工业创新活力持续增强,增长引擎加速转化 (3) 産業革新の活力が継続し、成長エンジンが加速する
(四)高技术制造业引领发展,产业结构调整加快 (4) ハイテク製造業が発展をリードし、産業構造改革を加速させたこと
(五)区域产业协同发展加快,新兴产业因地布局 (5) 地域の産業シナジー開発が加速し、地域の状況に応じて新産業が創出された。
(六)外需替代效应持续明显,对外出口形势较好 (6) 外需の代替効果は引き続き明らかであり、海外輸出の状況はより良いものとなっている。
(七)重点行业加速升级,绿色转型成效显著 (7) 基幹産業のアップグレードの加速とグリーントランスフォーメーションの顕著な成果
二、工业发展面临的主要问题与挑战 2. 産業発展に直面する主な問題と課題
(一)成本压力叠加,小微企业经营困难加重 (1) コスト面での圧迫感が増し、中小企業の困難さが増す
(二)安全风险犹存,产业链供应链韧性韧性需稳固 (2) セキュリティリスクは依然として存在しており、産業界のサプライチェーンの回復力を強固なものにする必要がある
(三)创新支撑不足,工业可持续性发展力待加强 (3) イノベーション支援が不十分で、産業発展の持続性を強化する必要がある
(四)区域联动欠佳,产业协作发展水平需提高 (4) 地域的なつながりが希薄で、産業の共同開発のレベルを向上させる必要があること
三、2022年中国工业经济发展趋势 3. 2022年の中国産業経済の発展動向
(一)工业发展面临的新形势 (1) 産業発展の新しい状況
(二)2022年工业发展趋势预判 (2) 2022年の産業発展動向の予測
四、对策建议 4. 対策への提言
(一)畅循环,推进全国统一大市场建立 (1) サイクルをスムーズにし、統一された国内市場の確立を促進する。
(二)优布局,保障产业链供应链安全稳定 (2) レイアウトの最適化と産業用サプライチェーンの安全性・安定性の確保
(三)强创新,稳步构建工业竞争新优势 (3) イノベーションを強化し、業界における新たな競争力を着実に構築する
(四)稳主体,保障中小企业稳定发展 (4) 本体の安定化、中小企業の安定した発展の確保
(五)促转型,加快新技术赋能工业步伐 (5) 新技術を活用した産業の変革を促進し、そのペースを速める

 

 

・2021.12.16 中国工业百强县(市)、百强区发展报告

・[PDF]

20211223-153536

中国工业百强县(市)、百强区发展报告 中国のトップ100工業郡(市)および地区の発展に関する報告書
【摘    要】 要約
2021年工业百强县(市)以全国3.5%的县级行政区划数、6.2%的人口以及超过12%的从业人员,贡献了全国近10%的GDP、14%的工业增加值和15%以上的规上工业企业利润总额;且在消费和出口两架马车的分量进一步提升,成为拉动工业增长的重要力量。 2021年には、県レベルの行政区分数の3.5%、人口の6.2%、従業員の12%以上を擁する産業上位100県(市)は、国のGDPの10%近く、産業付加価値の14%、上記規制対象の工業企業の総利益の15%以上に貢献し、消費と輸出という2台の馬車の重量をさらに増やし、産業成長を牽引する重要な力となっている。
【目    录】 目次
第一篇 2021年中国工业百强县(市)发展报告 第1編 2021年の中国トップ100産業県(市)の発展に関する初の報告書
一、“十四五”县(市)工业发展新契机   1. 第14次5ヵ年計画における県(市)の産業発展の新たな機会  
(一)支撑乡村全面振兴,担当新时代更大使命  (1)地方の総合的な活性化を支援し、新しい時代に大きな使命を担うこと 
(二)融入城市群新格局,培塑协同发展强动能  (2) 都市クラスターの新しいパターンへの統合と共同開発の強いモメンタムの醸成 
(三)锚定创新驱动战略,构筑产业生态新高地  (3) イノベーション主導の戦略を定着させ、産業エコロジーの新たな高地を築く 
(四)抢抓数字转型红利,破局高质量发展瓶颈  (4) デジタルトランスフォーメーションの配当をつかみ、高品質な開発のボトルネックを解消する 
(五)坚定绿色低碳发展,“双碳”压力中育新机   (5) グリーン化と低炭素化を断行し、「ダブルカーボン」の圧力の中で新たな機会を開拓する。  
二、我国县(市)工业竞争力评价 2. 中国における県(市)の産業競争力の評価
三、2021年中国工业百强县(市)图景 3. 2021年の中国の工業県(市)トップ100
(一)县域增长极筑牢,工业强支撑作用凸显 (1)県の成長の柱がしっかりと確立されており、強力な産業支援の役割が顕著であること
(二)东部保持双领先,城市群引领带动加速 (2) 東部は、都市部のクラスターがリードし、加速するというダブルリーダーシップを維持する。
(三)苏浙占据近半数,南方省份数量快增长 (3) 蘇州、浙江省が半数近くを占め、南方の省がどんどん増えていく
(四)创新蓄积厚动能,培植转型升级新标杆 (4) イノベーションは強力なモメンタムを構築し、変革とアップグレードのための新たなベンチマークを開拓する
(五)投资结构更优化,内外开放迈向高水平 (5) 投資構造の最適化、高水準の内部および外部開放
(六)共同富裕居前列,释放扩内需巨大空间 (6) 共通の財産を前面に押し出し、内需拡大のための大きなスペースを確保する。
四、我国县(市)工业高质量发展存在的问题  4. 中国の県(市)の産業品質開発問題 
(一)区域分化态势未有显著性扭转   (1) 地域的な差別化が大きく後退していない  
(二)创新生态的培育基础较为薄弱   (2) イノベーション・エコロジーを育む基盤が相対的に弱い  
(三)产业转型升级的压力有所放大   (3) 産業の変革とアップグレードの圧力が増幅されていること  
(四)产业综合治理的水平有待提升   (4) 包括的な産業ガバナンスのレベルを向上させる必要がある。  
五、促进县(市)工业高质量发展的对策建议  5. 県(市)産業の高品質な発展を促進するための対策と提案 
(一)加快新旧动能转换步伐   (1) 新旧のダイナミクスの変革を加速する  
(二)促进县(市)产业“铸链成群” (2)県(市)産業の「連鎖のクラスター化」を推進する。
(三)推动数字深度赋能产业   (3) デジタルデプスの推進による産業の活性化  
(四)加速全面绿色低碳转型   (4) グリーン&ローカーボンへの全体的な変革の加速  
(五)探索全域产业治理模式   (5) 地域の産業ガバナンスモデルの模索  
第二篇 2021年中国工业百强区发展报告 第2編 2021年の中国の工業地区トップ100
一、市辖区工业经济发展新征程  1. 市街地における産業経済発展の新しい道筋 
(一)实施创新驱动发展战略的先行军 (1) イノベーション主導の開発戦略を実践する先駆者
(二)构建筑牢新发展格局的核心支点 (2) 確固たる新開発パターンを構築するための中核となる支点
(三)协同发展促进共同富裕的主引擎 (3) 共同繁栄のための共同開発のメインエンジン
二、市辖区工业竞争力分析 2. 地方自治体の産業競争力の分析
(一)2021年中国市辖区工业竞争力评价 (1) 2021年における中国の自治体の産業競争力の評価
(二)2021年中国工业百强区分布情况 (2) 2021年における中国のトップ100工業地区の分布
三、工业百强区高质量发展新亮点   3. トップ100の産業地区における高品質な開発の新たなハイライト  
(一)工业经济发展的“先锋军”  (1) 産業経済発展の「尖兵」となる 
(二)工业质效提升的“加速器”  (2) 産業の品質と効率向上のための "アクセル" 
(三)激活创新驱动的“策源地”  (3) イノベーションを起こすための "源 "となるもの 
(四)城乡融合发展的“强动力”  (4) 都市と農村の一体的な発展のための「強力な推進力」について 
四、促进市辖区工业高质量发展的发展建议 4.自治体地区における質の高い産業開発を促進するための提案
(一)融入全球价值分工体系   (1) グローバルな価値分業システムへの統合  
(二)持续增强内生发展动力   (2) 内発的発展の勢いを継続的に高める  
(三)加快转变产业发展方式   (3) 産業発展の転換を加速する  
(四)扎实推进区域协同发展   (4) 地域の相乗効果のある開発をしっかりと進める  
专题篇 创新力量年度洞察 テーマ別 イノベーション・パワーに関する年次洞察
一、创新竞争力综合评价  1. イノベーション競争力の総合評価 
二、创新主体发展态势 2.イノベーション・ボディの開発動向
(一)创新主体全国地位增强,东部中部大幅领先   (1) イノベーションの主体となる国家の地位を強化し、中東部地域が主導権を握る  
(二)密集分布于制造业领域,新兴产业培育提速   (2) 製造業の集中流通と新産業育成の加速  
(三)培育模式呈现百花齐放,创新生态迸发活力   (3) 多様な栽培方法と活発なイノベーション・エコロジーの実現  
三、促进创新动能培育的对策建议  3. イノベーション・モメンタムの醸成を促進するための対策と提言 
(一)着力创新主体培育,夯实创新驱动基础 (1) イノベーションの主体の育成に注力し、イノベーション推進の基盤を固める
(二)深度融入区域发展,构建协同创新体系 (2) 地域開発への深化と協働イノベーションシステムの構築
(三)激活资本市场赋能,促进产融深化合作 (3) 資本市場の活性化と産業界と金融界の協力関係の深化
(四)优化创新建设环境,提升综合治理能力 (4) イノベーション構築環境の最適化と包括的なガバナンス能力の強化

 

 

| | Comments (0)

米国 購買担当職員に対するAIトレーニング法が上院を通過

こんにちは、丸山満彦です。

連邦政府がAIをその特性を踏まえて有効(意味のあるものを購買し、意味のないものを買わないも含む)に、リスクを低減して購買できるようにするための、購買担当職員に対するAIトレーニング法が上院を通過したようですね。超党派の法案なので、下院でも可決そうな感じですね。。。

安全保障の観点からも議論されている点が興味深いですね。。。

U.S. Senate Committee on Homeland Security & Governmental Affairs

・2021.12.20 Senate Passes Portman, Peters Bipartisan Legislation to Help Improve Federal Workforce’s Understanding of Artificial Intelligence

 

Senate Passes Portman, Peters Bipartisan Legislation to Help Improve Federal Workforce’s Understanding of Artificial Intelligence 上院、ポートマン氏とピーターズ氏の超党派議員立法を可決し、連邦労働者の人工知能に対する理解を深めることに貢献
WASHINGTON, DC – U.S. Senators Rob Portman (R-OH) and Gary Peters (D-MI), Ranking Member and Chairman of the Homeland Security and Governmental Affairs Committee, announced that their bipartisan Artificial Intelligence Training for the Acquisition Workforce Act which will help bolster the federal workforce’s understanding of artificial intelligence (AI) has passed the Senate. The bill will create a training program to help federal employees responsible for purchasing and managing AI technologies better understand the capabilities and risks they pose to the American people. It will also help ensure the United States maintains a global leadership role in rapidly developing technologies as foreign competitors like the Chinese government continue to prioritize investments in AI technologies. The bill now moves to the U.S. House of Representatives for consideration.  ワシントン D.C. - 米国国土安全保障・政府問題委員会のランキングメンバーであるロブ・ポートマン上院議員(R-OH)と議長であるゲイリー・ピータース上院議員(D-MI)は、連邦政府職員の人工知能(AI)に対する理解を深めることを目的とした超党派の購買担当職員に対する人工知能トレーニング法 (Artificial Intelligence Training for the Acquisition Workforce Act) が上院を通過したことを発表しました。この法案は、人工知能技術の購入・管理を担当する連邦政府職員が、人工知能の能力や米国民に与えるリスクについて理解を深めるためのトレーニングプログラムを作成するものです。また、この法案は、中国政府のような外国の競争相手がAI技術への投資を優先する中、米国が急速に発展する技術において世界的なリーダーシップを維持できるようにするものです。 この法案は今後、米国下院での審議に入ります。 
“When the government purchases AI to improve government functions, we need to know that the AI we buy actually works and meets standards for ethics and safety,” said Senator Portman. “That’s why I’m pleased the Senate passed the AI Training Act. This bipartisan legislation will train our procurement professionals about the ins and outs of AI so they can discern which AI systems are useful to the government and which are not.” ポートマン上院議員は、以下のように述べています。「政府が政府機能を向上させるためにAIを購入する際には、購入するAIが実際に機能し、倫理や安全性に関する基準を満たしているかどうかを知る必要があります。そのため、上院がAIトレーニング法を可決したことを嬉しく思います。この超党派の法案は、AIの裏表について調達担当者を訓練し、政府にとって有用なAIシステムとそうでないものを見分けることができるようにします」。
“In order to use artificial intelligence properly and in a way that ensures our nation can compete with our foreign adversaries – federal workers need to understand the technical and ethical implications of these technologies for the safety, security, and freedoms of Americans,” said Senator Peters. “This important bill will help our government better understand artificial intelligence and ensure we are using it in a manner that is consistent with American values and our democracy.”    ピーターズ上院議員は、以下のように述べています。「人工知能を適切に使用し、わが国が外国の敵に対抗できるようにするためには、連邦政府の職員が、アメリカ人の安全、セキュリティ、自由に対するこれらの技術の技術的、倫理的な意味合いを理解する必要があります。この重要な法案は、政府が人工知能をよりよく理解し、アメリカの価値観と民主主義に合致した方法で人工知能を使用していることを保証するものです」。"
The National Security Commission on Artificial Intelligence has raised the need to train the federal workforce on AI, especially those who procure and manage these technologies. While there are clear benefits to using AI, experts remain concerned that if used improperly, this technology could harm U.S. citizens and compromise national security. The Artificial Intelligence Training for the Acquisition Workforce Act would help train federal employees who purchase and manage AI technology for government agencies to ensure it is being used for the betterment of all communities.  人工知能に関する国家安全保障委員会は、連邦政府の労働力、特にこれらの技術を調達・管理する人たちにAIに関するトレーニングを行う必要性を提起しています。AIの利用には明らかなメリットがある一方で、専門家は、この技術が不適切に使用された場合、米国市民に危害を加え、国家安全保障を損なう可能性があると懸念しています。AIトレーニング法は、政府機関のためにAI技術を購入・管理する連邦職員のトレーニングを支援し、すべてのコミュニティの向上のためにAIが使用されていることを保証するものです。 
The bipartisan bill will require the Director of the Office of Management and Budget (OMB) to provide and regularly update an AI training program for federal employees who manage and purchase this technology for the federal government. The training aims to help federal employees better understand the benefits of AI, as well as the ethical and national security risks posed by these technologies. The legislation also encourages the OMB director to work with scholars and experts from the public and private sectors to create the training. It would also ensure that OMB is tracking the participation and feedback of participants to identify possible ways to improve the training.   この超党派の法案は、行政管理予算局(OMB)の長官に対し、連邦政府のためにこの技術を管理・購入する連邦職員向けに、AIトレーニングプログラムを提供し、定期的に更新することを義務付けるものです。このトレーニングは、連邦政府職員がAIの利点だけでなく、これらの技術がもたらす倫理的リスクや国家安全保障上のリスクをよりよく理解することを目的としています。また、この法案は、OMB長官が官民の学者や専門家と協力してトレーニングを作成することを奨励している。また、トレーニングを改善するための可能な方法を特定するために、OMBが参加者の参加状況やフィードバックを追跡することを保証するものである。  

 

U.S. Senate Committee on Homeland Security & Governmental AffairsはTwitterもしていますね。。。

F4rroehn_400x400

条文案についてはこちらから。。。

Congress.Gov

S.2551 - Artificial Intelligence Training for the Acquisition Workforce Act

 

Continue reading "米国 購買担当職員に対するAIトレーニング法が上院を通過"

| | Comments (0)

EU Commission JRC エネルギー分野でのブロックチェーンの展開に関するポリシーと規制の課題

こんにちは、丸山満彦です。

EU委員会のJoint Reserch Centre: JRCがエネルギー分野でのブロックチェーンの展開に関するポリシーと規制の課題についての報告書を公表していますね。。。

EU Commission - JRC

・2021.12 Policy and regulatory challenges for the deployment of blockchains in the energy field

・[PDF

20211223-61329

Foreword 前書き
1 Introduction 1 序文
1.1 EC blockchain strategy 1.1 ECのブロックチェーン戦略
1.2 Digital energy and blockchains 1.2 デジタルエネルギーとブロックチェーン
2 Project Rationale and Technology Trends 2 プロジェクトの背景と技術動向
2.1 Energy Industry DLTs piloting landscape 2.1 エネルギー産業のDLTの試験運用状況
2.2 Research activities in DLT for energy 2.2 エネルギー向けDLTの研究活動
2.3 What the experimental tests demonstrated 2.3 実験的テストで実証されたこと
2.3.1 The pros 2.3.1 賛否両論
2.3.2 Cons (i.e. implementation problems) 2.3.2 短所(実装上の問題など)
3 Blockchain in the Energy Sector, opportunities, barriers and policy needs 3 エネルギー分野におけるブロックチェーン、機会、障壁、政策ニーズ
3.1 Energy digitalisation initiatives and blockchains 3.1 エネルギーデジタル化の取り組みとブロックチェーン
3.1.1 Policy context 3.1.1 政策的背景
3.1.2 Opportunities 3.1.2 機会
3.1.3 Challenges and barriers 3.1.3 課題と障壁
3.1.4 Policy and Regulatory Needs 3.1.4 政策・規制の必要性
3.2 Energy, Blockchain, Cybersecurity and Privacy 3.2 エネルギー、ブロックチェーン、サイバーセキュリティ、プライバシー
3.2.1 Policy context 3.2.1 政策的背景
3.2.2 Opportunities 3.2.2 機会
3.2.3 Challenges and barriers 3.2.3 課題と障壁
3.2.4 Energy Blockchain Cybersecurity Policy Needs 3.2.4 エネルギー・ブロックチェーン・サイバーセキュリティの政策ニーズ
3.3 The role of standards in relation to DLT/Blockchain 3.3 DLT/ブロックチェーンに関連した規格の役割
3.3.1 ISO/TC 307 Blockchain and distributed ledger technologies 3.3.1 ISO/TC 307 ブロックチェーンと分散型台帳技術
3.3.2 ITU Focus Group on Application of Distributed Ledger Technology 3.3.2 分散型台帳技術の応用に関するITUフォーカスグループ
3.3.3 CEN and CENELEC Joint TC on Blockchain and Distributed Ledger Technologies 3.3.3 ブロックチェーンと分散型台帳技術に関するCENとCENELECの共同TC
3.3.4 IEEE Blockchain Initiative 3.3.4 IEEEブロックチェーン・イニシアティブ
4 Final Considerations 4 最終的な検討事項
References 参考文献
List of abbreviations and definitions 略語と定義のリスト
List of figures 図の一覧

 

Foreword  前書き 
This report represents the final deliverable of the energy blockchain project, financed by the European Commission DG ENER through ad-hoc funding coming from the European Parliament.  本報告書は、欧州議会からのアドホックな資金提供を受け、欧州委員会のENER総局が資金提供したエネルギーブロックチェーンプロジェクトの最終成果物です。
This report, after summarising the evidences, results and considerations emerged along all the phases of the energy blockchain project, illustrates opportunities, barriers and consequent policy needs concerning the use of blockchain in the energy sector. 本報告書は、エネルギー・ブロックチェーン・プロジェクトのすべてのフェーズで得られた証拠、結果、考察をまとめたもので、エネルギー分野におけるブロックチェーンの利用に関する機会、障壁、その結果としての政策ニーズを示しています。
1 Introduction  1 序文
Among the various digital technologies and solutions, blockchain recently attracted much interest due its perspective manifold applications in the energy, climate and sustainability sectors. Blockchain indeed promises to support several European Union’s climate-neutrality and sustainability policies, thanks to its potential to drastically change the market rules and streamline the decision-making processes and the system management mechanisms.  様々なデジタル技術やソリューションの中でも、ブロックチェーンは、エネルギー、気候、持続可能性の分野で多様な応用が可能であるという観点から、最近大きな関心を集めています。ブロックチェーンは、市場のルールを劇的に変え、意思決定プロセスやシステム管理の仕組みを合理化する可能性があるため、EUの気候中立性や持続可能性に関する政策をサポートすることが期待されています。
The policy and legislative initiatives on blockchains are moving their first but quick steps, worldwide and in the EU, with the financial sector being the most targeted due to the high interest concentrated on crypto currencies and their potentially disruptive effects on the banking and transactive economic sectors.  ブロックチェーンに関する政策・法律上の取り組みは、世界的にもEU内でも、最初の、しかし迅速なステップを踏み出しています。暗号通貨に高い関心が集まり、銀行や取引経済部門に破壊的な影響を与える可能性があるため、金融部門が最もターゲットとなっています。
The regulations and policy actions on digital finance/blockchain represent an important reference for the energy system digitalisation as well, since financial transactions are at the core of the energy market operations and certain mechanisms aimed at promoting legal certainty and support innovation in the financial sector can well be borrowed and applied to the energy sector. 金融取引はエネルギー市場の運営の中核であり、金融セクターにおける法的確実性の促進とイノベーションの支援を目的とした特定のメカニズムは、エネルギーセクターにも十分に適用可能であるため、デジタル金融/ブロックチェーンに関する規制や政策措置は、エネルギーシステムのデジタル化にとっても重要な参考となります。

 

・2021.12 Blockchain in the Energy Sector

・[PDF]

20211223-63205

Abstruct: 概要
This report describes the technical implementations of the Administrative Agreement between DG ENER and DG JRC, called Enerchain. In particular it presents the results of the experimental tests and of the results carried out to implement workpackage 4 and and workpackage 5 as defined in the technical annex of this administrative arrangement. 本報告書は、ENER総局とJRC総局の間で締結されたEnerchainと呼ばれる行政協定の技術的実施内容を記載したものである。特に、この行政協定の技術的な附属書に定義されているワークパッケージ4とワークパッケージ5を実施するために行われた実験的なテストとその結果を示している。

 

・2021.12 Blockchain in the Energy Sector

・[PDF]

20211223-63341

Abstruct: 概要
In this report, we analyse from a technical and legislative point of view the most promising applications of Distributed Ledger Technology to the electrical energy sector, as they were selected from the previous work performed in the AA between DG ENER and DG JRC, called Enerchain. Namely these use cases are smart metering, energy communities, flexibility services, certification of origin, and electro mobility. The outcome of the analysis is a short-list of conceptual applications of DLT to various trending topics and research areas in the energy sector. In this report we also describe the related energy regulatory packages, and ICT regulatory framework and discuss our blockchain considerations. 本報告書では、ENER総局とJRC総局の間で行われたAAであるEnerchainと呼ばれる以前の作業から選ばれた、電気エネルギー分野への分散型台帳技術の最も有望なアプリケーションを、技術的および法的観点から分析している。すなわち、これらのユースケースは、スマートメータリング、エネルギーコミュニティ、フレキシビリティサービス、原産地証明、エレクトロモビリティです。分析の結果、エネルギー分野の様々なトレンドトピックや研究分野へのDLTの概念的なアプリケーションのショートリストを作成しました。本レポートでは、関連するエネルギー規制パッケージ、ICT規制フレームワークについても説明し、当社のブロックチェーンに関する考察を述べています。

 

 

| | Comments (0)

CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク

こんにちは、丸山満彦です。

米国のGeorgetown Universityにある、Center for Security and Emerging Technology: CSETが、「AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク」を公開していますね。。。

RICHEDATAフレームワークは、

Reconnaissance
Infrastructure
Content Creation & Hijacking
Deployment
Amplification
Troll Patrol
Actualization

の文字をとっているんですね。。。

パート2もこれから出てくるようです。。。

 

Center for Security and Emerging Technology: CSET

・2021.12.15 AI and the Future of Disinformation Campaigns Part 1: The RICHDATA Framework

・[PDF] AI and the Future of Disinformation Campaigns Part 1: The RICHDATA Framework

20211223-52507

Executive Summary エグゼクティブサマリー
The age of information has brought with it the age of disinformation. Powered by the speed and data volume of the internet, disinformation has emerged as an insidious instrument of geopolitical power competition and domestic political warfare. It is used by both state and non-state actors to shape global public opinion, sow chaos, and chip away at trust. Artificial intelligence (AI), specifically machine learning (ML), is poised to amplify disinformation campaigns—influence operations that involve covert efforts to intentionally spread false or misleading information. 情報化の時代は、偽情報の時代をもたらした。インターネットのスピードとデータ量を背景に、偽情報は地政学的な勢力争いや国内政治戦争の陰湿な手段として登場した。偽情報は、国家と非国家の両方のアクターによって、世界の世論を形成し、混乱を引き起こし、信頼を損ねるために使用されています。人工知能(AI)、特に機械学習(ML)は、偽の情報や誤解を招くような情報を意図的に広めようとする秘密の努力を伴う影響力のある活動である偽情報キャンペーンを増幅させる可能性を秘めています。
In this series, we examine how these technologies could be used to spread disinformation. Part 1 considers disinformation campaigns and the set of stages or building blocks used by human operators. In many ways they resemble a digital marketing campaign, one with malicious intent to disrupt and deceive. We offer a framework, RICHDATA, to describe the stages of disinformation campaigns and commonly used techniques. Part 2 of the series examines how AI/ML technologies may shape future disinformation campaigns. 本連載では、これらの技術が偽情報の拡散にどのように利用されるかを検証します。パート1では、偽情報キャンペーンと、人間の操作者が使用する一連のステージやビルディングブロックについて考えます。偽情報キャンペーンは、多くの点でデジタルマーケティングキャンペーンに似ており、混乱と欺瞞を目的とした悪意のあるものです。本連載では、偽情報キャンペーンの段階とよく使われるテクニックを説明するフレームワーク「RICHDATA」を提供します。本シリーズの第2部では、AI/ML技術が将来の偽情報キャンペーンをどのように形成するかを検討します。
We break disinformation campaigns into multiple stages. Through reconnaissance, operators surveil the environment and understand the audience that they are trying to manipulate. They require infrastructure—messengers, believable personas, social media accounts, and groups—to carry their narratives. A ceaseless flow of content, from posts and long-reads to photos, memes, and videos, is a must to ensure their messages seed, root, and grow. Once deployed into the stream of the internet, these units of disinformation are amplified by bots, platform algorithms, and social-engineering techniques to spread the campaign’s narratives. But blasting disinformation is not always enough: broad impact comes from sustained engagement with unwitting users through trolling—the disinformation equivalent of hand-to-hand combat. In its final stage, a disinformation operation is actualized by changing the minds of unwitting targets or even mobilizing them to action to sow chaos. Regardless of origin, disinformation campaigns that grow an organic following can become endemic to a society and indistinguishable from its authentic discourse. They can undermine a society’s ability to discern fact from fiction creating a lasting trust deficit. 本連載では、偽情報キャンペーンを複数の段階に分けて説明する。偵察により、オペレーターは環境を監視し、操作しようとしているオーディエンスを理解する。そして、そのストーリーを伝えるために、メッセンジャー、信じられる人物像、ソーシャルメディアのアカウント、グループなどのインフラを必要とする。メッセージの種を蒔き、根付かせ、成長させるためには、投稿や長文記事、写真、ミーム、動画など、絶え間ないコンテンツの流れが必要です。インターネットの流れの中に展開された偽情報は、ボットやプラットフォームのアルゴリズム、ソーシャルエンジニアリング技術によって増幅され、キャンペーンのストーリーを広めていきます。しかし、偽情報を流すだけでは十分ではなく、トローリング(偽情報を使った格闘技のようなもの)によって、無意識のうちにユーザーと継続的に関わることで、より大きなインパクトを与えることができます。そして最終的には、無意識のうちにターゲットの心を変え、さらには混乱を引き起こす行動に駆り立てることで、偽情報作戦は現実のものとなります。起源を問わず、有機的な支持者を増やした偽情報キャンペーンは、その社会の常在化し、本物の言説と区別がつかなくなることがある。偽情報キャンペーンは、事実とフィクションを見分ける社会の能力を損ない、永続的な信頼の失墜を招く恐れがある。
This report provides case studies that illustrate these techniques and touches upon the systemic challenges that exacerbate several trends: the blurring lines between foreign and domestic disinformation operations; the outsourcing of these operations to private companies that provide influence as a service; the dual-use nature of platform features and applications built on them; and conflict over where to draw the line between harmful disinformation and protected speech. In our second report in the series, we address these trends, discuss how AI/ML technologies may exacerbate them, and offer recommendations for how to mitigate them. 本レポートでは、これらのテクニックを示すケーススタディを紹介するとともに、いくつかの傾向を悪化させるシステム上の課題についても触れています。すなわち、国内外の情報操作の境界線の曖昧さ、影響力をサービスとして提供する民間企業へのこれらの操作のアウトソーシング、プラットフォーム機能とその上に構築されたアプリケーションの二重使用の性質、有害な情報と保護されるべき言論との間の境界線をどこに引くかをめぐる対立などです。シリーズ2回目のレポートでは、これらの傾向を取り上げ、AI/ML技術がどのようにこれらの傾向を悪化させるかを議論し、これらの傾向を緩和するための提言を行っています。

 

 

 

 

 

Continue reading "CSET AIと偽情報キャンペーンの未来 パート1:RICHDATAフレームワーク"

| | Comments (0)

米国 ヘルスケアサプライチェーン協会 (HSCA) がサイバーセキュリティの考慮事項を公表していますね。。。

こんにちは、丸山満彦です。

米国のヘルスケアサプライチェーン協会 (HSCA) が患者の健康、安全、およびプライバシーの保護に役立つ、医療機器メーカー、医療提供組織、およびサービスプロバイダーのためのサイバーセキュリティの考慮事項を公表していますね。。。

Healthcare Supply Chain Association (HSCA)

・2021.12.21 HSCA RELEASES HEALTHCARE CYBERSECURITY KEY CONSIDERATIONS TO HELP PROTECT PATIENT HEALTH, SAFETY, AND PRIVACY

HSCA RELEASES HEALTHCARE CYBERSECURITY KEY CONSIDERATIONS TO HELP PROTECT PATIENT HEALTH, SAFETY, AND PRIVACY HSCA、患者の健康、安全、プライバシーの保護に役立つヘルスケア・サイバーセキュリティの重要な考慮事項を発表
Washington, DC (December 21, 2021) – The Healthcare Supply Chain Association (HSCA), which represents the nation’s leading healthcare group purchasing organizations (GPOs), today released key cybersecurity considerations for medical device manufacturers, healthcare delivery organizations, and service providers to help safeguard patient health, safety, and privacy. In conjunction with the release of the key considerations, HSCA also published “Recommendations for Medical Device Cybersecurity Terms and Conditions,” which details potential purchasing contract terms and conditions that could help ensure rapid adoption of rigorous cybersecurity measures. ワシントンDC(2021年12月21日) - 米国の主要なヘルスケアグループ購買組織(GPO)を代表するヘルスケアサプライチェーン協会(HSCA)は、本日、患者の健康、安全、およびプライバシーの保護に役立つ、医療機器メーカー、医療提供組織、およびサービスプロバイダーのための主要なサイバーセキュリティの考慮事項を発表しました。これは、厳格なサイバーセキュリティ対策の迅速な導入に役立つ可能性のある購入契約条件の詳細を示したものです。
“The widespread adoption of telemedicine and rapid shift to virtual operations during the COVID-19 pandemic has underscored the important role that information technology, software, and medical devices can play in improving patient care. However, as evidenced by recent cyberattacks, medical devices and services are vulnerable to cybersecurity threats that could jeopardize patient health, safety, and privacy,” said HSCA President and CEO Todd Ebert, R. Ph. “GPOs leverage their unique line of sight over the supply chain to help providers harness the benefits of technology to care for their patients while guarding against cyber threats.” HSCA社長兼CEOのトッド・エバート博士は「COVID-19 パンデミックの際に遠隔医療が広く採用され、バーチャルオペレーションへの移行が急速に進んだことで、情報技術、ソフトウェア、医療機器が患者の治療を向上させる上で重要な役割を果たすことが強調されました。しかし、最近のサイバー攻撃で明らかになったように、医療機器やサービスは、患者の健康、安全、プライバシーを危険にさらすサイバーセキュリティの脅威にさらされています」と述べています。

 

プレス全文

・[PDF] HSCA RELEASES HEALTHCARE CYBERSECURITY KEY CONSIDERATIONS TO HELP PROTECT PATIENT
HEALTH, SAFETY, AND PRIVACY

HSCA RELEASES HEALTHCARE CYBERSECURITY KEY CONSIDERATIONS TO HELP PROTECT PATIENT  HSCA、患者を守るためのヘルスケア・サイバーセキュリティに関する重要な考慮事項を発表 
HEALTH, SAFETY, AND PRIVACY  患者さんの健康、安全、プライバシーを守るために 
Key Considerations Will Help Healthcare Stakeholders Address Cyber Vulnerabilities While Promoting the Use of Innovative Technologies  医療関係者が革新的な技術の使用を促進しながらサイバー脆弱性に対処するための重要な検討事項を発表 
Washington, DC (December 21, 2021) – The Healthcare Supply Chain Association (HSCA), which represents the nation’s leading healthcare group purchasing organizations (GPOs), today released key cybersecurity considerations for medical device manufacturers, healthcare delivery organizations, and service providers to help safeguard patient health, safety, and privacy. In conjunction with the release of the key considerations, HSCA also published “Recommendations for Medical Device Cybersecurity Terms and Conditions,” which details potential purchasing contract terms and conditions that could help ensure rapid adoption of rigorous cybersecurity measures.  ワシントンDC(2021年12月21日) - 米国の主要なヘルスケアグループ購買機関(GPO)を代表するヘルスケア・サプライ・チェーン協会(HSCA)は、本日、医療機器メーカー、医療提供機関、およびサービスプロバイダー向けに、患者の健康、安全、およびプライバシーの保護に役立つサイバーセキュリティに関する主要な検討事項を発表しました。これは、厳格なサイバーセキュリティ対策の迅速な導入を可能にする潜在的な購入契約条件を詳述したものです。 
“The widespread adoption of telemedicine and rapid shift to virtual operations during the COVID-19 pandemic has underscored the important role that information technology, software, and medical devices can play in improving patient care. However, as evidenced by recent cyberattacks, medical devices and services are vulnerable to cybersecurity threats that could jeopardize patient health, safety, and privacy,” said HSCA President and CEO Todd Ebert, R. Ph. “GPOs leverage their unique line of sight over the supply chain to help providers harness the benefits of technology to care for their patients while guarding against cyber threats.”   HSCAの社長兼CEOであるトッド・イベート博士は 「COVID-19 パンデミックの際に遠隔医療が広く採用され、バーチャルオペレーションへの移行が急速に進んだことで、情報技術、ソフトウェア、医療機器が患者の治療を向上させる上で重要な役割を果たすことが強調されました。しかし、最近のサイバー攻撃で明らかになったように、医療機器やサービスは、患者の健康、安全、プライバシーを危険にさらすサイバーセキュリティの脅威にさらされています」と述べています。 
HSCA’s cybersecurity measures include the following categories of considerations:   HSCAのサイバーセキュリティ対策には、以下のカテゴリーの検討事項が含まれています。 
•       Cybersecurity Training and Software: Includes designating an information technology security officer, maintaining updated anti-virus software, and implementing role-appropriate cyber training and assessments;  サイバーセキュリティのトレーニングとソフトウェア:情報技術セキュリティ担当者の指定,最新のアンチウイルスソフトウェアの維持,役割に応じたサイバートレーニングと評価の実施などが含まれます。
•       Equipment Acquisition Standards and Risk Coverage: Includes ensuring compliance with regulatory standards for purchasing medical devices and updating legacy devices, providing insurance policies to cover cybersecurity risks, and validating devices by testing manufacturer claims;  機器の購入基準とリスクカバー:医療機器の購入および従来の機器の更新に関する規制基準の遵守,サイバーセキュリティリスクをカバーする保険の提供,およびメーカーの主張をテストすることによる機器の検証が含まれます。
•       Data Encryption: Includes encrypting personal authentication data as well as any confidential or sensitive information when practical;  データの暗号化:個人認証データ,および機密情報を実用的に暗号化することを含む。
•       Information Sharing & Standards Organizations: Includes participating in Information Sharing and Analysis Organizations (ISAOs), certifying that suppliers of network-accessible medical devices, software and services are compliant with current FDA guidance documents, and ensuring that manufacturers provide a Manufacturer Disclosure Statement for Medical Device Security;  情報共有・標準化団体:情報共有・標準化機関:情報共有・分析機関(ISAO)への参加、ネットワークに接続可能な医療機器、ソフトウェア、サービスのサプライヤーが現行のFDAガイダンス文書に準拠していることの認証、医療機器セキュリティに関するメーカー開示書類の提供の確認などが含まれます。
“The increased use of connected medical devices and software as a service (SaaS), the adoption of wireless technology, and overall increased medical device and service connectivity to the internet significantly increase the risks of cybersecurity incidents,” said HSCA Committee for Healthcare eStandards (ChES) Executive Director Curt Miller. “HSCA and its Committee for Healthcare eStandards are committed to accelerating the adoption, implementation, and active usage of industry-wide data standards for improving efficiencies and safety throughout the healthcare supply chain, and HSCA’s key considerations are part of that continued commitment.”  「HSCAのCommittee for Healthcare eStandards(ChES)のエグゼクティブ・ディレクターであるCurt Miller氏は、「接続された医療機器やSaaS(Software as a Service)の使用の増加、無線技術の採用、医療機器やサービスのインターネットへの接続性の全体的な増加は、サイバーセキュリティ事故のリスクを著しく増大させます。「HSCAとCommittee for Healthcare eStandardsは、ヘルスケアのサプライチェーン全体の効率と安全性を向上させるために、業界全体のデータ標準の採用、導入、積極的な使用を促進することに取り組んでおり、HSCAの重要な検討事項は、その継続的な取り組みの一環です。" と述べています。

 

・[PDF] Medical Device and Service Cybersecurity:Key Considerations for Manufacturers & Healthcare  

20220205-103823

 

Medical Device and Service Cybersecurity:Key Considerations for Manufacturers & Healthcare   医療機器とサービスのサイバーセキュリティ:メーカーとヘルスケアのための重要な検討事項  
EXECUTIVE SUMMARY: エグゼクティブサマリー:
Advances in information technology and medical devices and the increasing interoperability of information systems, devices, and services are improving patient care and creating efficiencies in the healthcare system. Medical devices are often life-sustaining or provide vital clinical functions that cannot be compromised without diminishing direct patient care. Accordingly, the availability, reliability, and safety of these devices is essential. However, medical devices and services are vulnerable to cybersecurity threats that could jeopardize patient health, safety, and privacy. The increased use of connected medical devices and software as a service (SaaS), the adoption of wireless technology, and overall increased medical device and service connectivity to the internet significantly increase the risks of cybersecurity threats.   情報技術や医療機器の進歩、情報システム・機器・サービスの相互運用性の向上は、患者の治療を向上させ、医療システムの効率化を実現しています。医療機器は多くの場合、生命を維持したり、重要な臨床機能を提供するものであり、患者の直接的なケアを低下させることなく妥協することはできません。したがって、これらの医療機器の可用性、信頼性、安全性は不可欠です。しかし、医療機器やサービスは、患者の健康、安全、プライバシーを危険にさらす可能性のあるサイバーセキュリティ上の脅威にさらされています。接続された医療機器やSaaS(Software as a Service)の利用の増加、無線技術の採用、医療機器やサービスのインターネットへの接続性の全体的な増加は、サイバーセキュリティの脅威のリスクを著しく高めています。 
Maintaining device and information security is a shared responsibility of the manufacturers and suppliers of connected devices and services as well as the healthcare delivery organizations (HDOs) that use them.  機器や情報のセキュリティを維持することは、接続された機器やサービスのメーカーやサプライヤー、およびそれらを使用する医療提供機関(HDO)の共通の責任です。
Providing this security is a continual effort that requires vigilance, adaptation, and ongoing communication and collaboration between the parties.    このようなセキュリティを提供することは、継続的な取り組みであり、当事者間の警戒、適応、および継続的なコミュニケーションと協力を必要とします。  
The Healthcare Supply Chain Association (HSCA) and its group purchasing organization (GPO) members are the sourcing and purchasing partners to America’s hospitals, long-term care facilities, surgery centers, clinics, and other HDOs. Given our unique line of sight over the entire healthcare supply chain HSCA suggests the following key cybersecurity considerations for medical device manufacturers, HDOs, and service providers:  ヘルスケア・サプライ・チェーン協会(HSCA)とそのグループ購買組織(GPO)のメンバーは、アメリカの病院、長期療養施設、手術センター、診療所、その他のHDOの調達・購買パートナーです。HSCAは、医療サプライチェーン全体を見渡せる独自の視点から、医療機器メーカー、HDO、サービスプロバイダーに対して、以下のようなサイバーセキュリティ上の重要事項を提案しています。
GLOSSARY OF KEY TERMS  主要用語の解説 
This discussion references several terms for which the reader should have a clear understanding of the meaning.  Readers are encouraged to reference the National Institute of Standards and Technology (NIST) Computer Security Resource Center (CSRC) Glossary at https://csrc.nist.gov/glossary for additional information and definitions.  本論では、読者がその意味を明確に理解する必要があるいくつかの用語を参照しています。 追加情報や定義については、米国国立標準技術研究所(NIST)コンピュータ・セキュリティ・リソース・センター(CSRC)の用語集(https://csrc.nist.gov/glossary)を参照することが推奨される。
Vulnerability – Weakness or deficiency in an information system, system security procedures, internal controls, or an implementation that could be exploited by a threat source or accidentally triggered.  脆弱性ー情報システム、システムセキュリティ手順、内部統制、または実装における弱点または欠陥で、脅威源に悪用されたり、偶発的に引き起こされたりする可能性があるもの。
Threat – A deliberate or unintentional activity that has the potential to harm organizational operations or an information system through unauthorized access, destruction, disclosure, modification of data, and/or denial of service. Threats arise from human actions and/or natural events.  脅威ー不正なアクセス、破壊、開示、データの改変、及び/又はサービスの妨害により、組織運営又は情報システムに損害を与える可能性のある意図的又は非意図的な活動をいう。脅威は人間の行動や自然現象から生じる。
Exploit – A threat actor taking advantage of a vulnerability to gain unauthorized access to a system or network  エクスプロイトー脆弱性を利用してシステムやネットワークへの不正アクセスを行う脅威行為者。
Cybersecurity Event – A cybersecurity or IT environment change that could have an impact on organizational operations, including mission, capabilities, or reputation. Note that most organizations experience many cybersecurity events on a daily basis. Few rise to the level of Incident or Breach.  サイバーセキュリティ・イベントーミッション、能力、または評判など、組織の運営に影響を与える可能性のあるサイバーセキュリティまたはIT環境の変化。ほとんどの組織は、日常的に多くのサイバーセキュリティイベントを経験していることに留意してください。インシデントやブリーチのレベルに達するものは少ない。
Cybersecurity Incident – A cybersecurity event that compromises the integrity, confidentiality or availability of an information asset  サイバーセキュリティ・インシデントー情報資産の完全性、機密性、または可用性を侵害するサイバーセキュリティのイベント 
Breach – A cybersecurity incident that results in the confirmed disclosure of data to an unauthorized party.   ブリーチー未承認者へのデータの開示が確認されたサイバーセキュリティ上の事象。 
HDOs and suppliers should, at minimum, participate in one or more Information Sharing and Analysis Organizations (ISAOs) such as the Health Information Sharing and Analysis Center (H-ISAC), utilize an IT security risk assessment methodology and ensure their policies and practices reflect widely-accepted standards, such as those provided by the National Institute of Standards and Technology (NIST), the International Organization for Standardization (ISO), The Health Sector Coordinating Council (HSCC) and/or the Federal Information Security Management Act (FISMA) recommendations and requirements for cybersecurity. Suppliers and HDOs should be familiar with the May 12, 2021 Executive Order on Improving the Nation’s Cybersecurity and ensure they are aligned with that order as required.    HDO及びサプライヤーは、少なくとも、H-ISAC(Health Information Sharing and Analysis Center)等の1つ以上のISAO(Information Sharing and Analysis Organizations)に参加し、ITセキュリティのリスクアセスメント手法を活用し、米国標準技術研究所(NIST)、国際標準化機構(ISO)、医療セクター調整協議会(HSCC)及び/又は連邦情報セキュリティ管理法(FISMA)のサイバーセキュリティに関する推奨事項及び要件等の広く受け入れられている基準を、自らのポリシー及び実務に反映させるべきである。サプライヤーとHDOは、2021年5月12日の「国家のサイバーセキュリティの向上に関する大統領令」に精通し、必要に応じて同令との整合性を確保する必要がある。  
Key cybersecurity measures that organizations should implement are noted below; some apply to all organizations, while others are HDO-specific or supplier-specific.    組織が実施すべき主要なサイバーセキュリティ対策を以下に記します。すべての組織に適用されるものもあれば、HDO固有またはサプライヤー固有のものもあります。  
CONSIDERATIONS FOR HEALTHCARE DELIVERY ORGANIZATIONS, MEDICAL DEVICE MANUFACTURES & SERVICE SUPPLIERS  医療機関、医療機器メーカー、サービスプロバイダーのための考慮事項 
•       Organizations should designate an information technology and/or network security officer to be responsible for security of the organization, services, and products, and for maintaining communications and relationships with peers and counterparts across the industry.  ・組織は,組織,サービス,製品のセキュリティに責任を持ち,業界内の同業者や取引先とのコミュニケーションや関係を維持するために,情報技術者やネットワークセキュリティ担当者を指名するべきである。
•       All employees with network access should receive role-appropriate periodic training and assessments, at least annually, on cybersecurity. Training should include periodic phishing tests with additional training provided for employees who fail tests or assessments.  ・ネットワークにアクセスできるすべての従業員は,少なくとも年に一度,役割に応じた定期的なトレーニングとサイバーセキュリティに関する評価を受けるべきである。研修には定期的なフィッシングテストを含み,テストや評価に不合格となった従業員には追加の研修を行うべきである。
•       Organizations should have processes for implementing and maintaining anti-virus/anti-malware software.   ・組織は,アンチウイルス/アンチマルウェアソフトウェアの導入と維持のためのプロセスを持つべきである。
•       Organizations should have patching processes capable of aiding in prevention of a ransomware attack.  ・組織は,ランサムウェア攻撃の防止を支援することができるパッチ適用プロセスを有するべきである。
ensuring all software, firmware, and third-party applications are updated and patched promptly. Unsupported software should be retired on a timely basis.  すべてのソフトウェア、ファームウェア、およびサードパーティ製アプリケーションが迅速に更新され、パッチが適用されるようにすること。サポートされていないソフトウェアは適時破棄すること。
•       Organizations should install firewalls and use network segmentation to provide least-privilege access to system resources and data where appropriate to further minimize risks.  ・組織は,ファイアウォールを設置し,ネットワークセグメンテーションを利用して,必要に応じてシステムリソースやデータへの最小権限でのアクセスを提供し,リスクをさらに最小化する必要があります。
•       Organizations should make appropriate use of firewalls or network access control (NAC) to restrict user access to systems and data based on need. Consideration should be given to implementing IP address and/or application whitelisting in high-risk environments, limiting applications and services to those pre-approved.   ・組織は、ファイアウォールやネットワークアクセスコントロール(NAC)を適切に利用し、必要に応じてシステムやデータへのユーザのアクセスを制限すべきである。リスクの高い環境では、IP アドレスやアプリケーションのホワイトリスト化を実施し、アプリケーションやサービスを事前に承認されたものに限定することを検討する必要があります。 
•       When practical, data should be encrypted in transit. Authentication Information (usernames, passwords, keys etc.), Personally Identifiable Information (PII), Protected Health Information (PHI), as well as any confidential or sensitive information should always be encrypted in transit and at rest.   ・実用的な場合,データは転送中に暗号化されるべきである。認証情報(ユーザ名,パスワード,鍵など),個人識別情報(PII),保護された医療情報(PHI),および機密情報や敏感な情報は,転送中および保存中に常に暗号化されるべきです。
•       Backup and restoration procedures, capable of aiding in recovery from a ransomware attack, should be created, documented, and periodically tested.  ・ランサムウェア攻撃からの復旧を支援するために,バックアップと復元の手順を作成し,文書化し,定期的にテストすること。
•       A password policy that complies with latest NIST and/or ISO guidelines should be enforced. Default passwords for operating systems, databases, and applications should be changed upon implementation and immediately whenever an employee with knowledge of them leaves the organization. Where possible, organizations should also consider changing default usernames. Shared passwords are to be avoided.  ・最新のNISTやISOのガイドラインに準拠したパスワードポリシーを実施すること。オペレーティングシステム,データベース,およびアプリケーションのデフォルトパスワードは,導入時に変更し,それらのパスワードを知っている従業員が退職した場合には直ちに変更する必要があります。可能であれば,組織はデフォルトのユーザ名の変更も検討すべきである。パスワードの共有は避けるべきである。
•       The expected useful life of the device or service should be specified within the purchase agreement and security updates to the software and all supporting software components (Software Bill of Material – SBoM) should be made available for the stated useful life at no additional cost to the HDO, this and other recommended contract terms and conditions may be found in HSCA’s Recommendations for Medical Device Cybersecurity Terms and Conditions.  ・機器又はサービスの予想耐用年数を購入契約書に明記し、ソフトウェア及びそれをサポートする全てのソフトウェアコンポーネント(Software Bill of Material - SBoM)のセキュリティアップデートを規定の耐用年数の間、HDOに追加費用なしで提供すべきである。この推奨契約条件及びその他の推奨契約条件は、HSCAのRecommendations for Medical Device Cybersecurity Terms and Conditionsに記載されている。
•       In cases where manufacturers are selling devices that rely on software no longer supported by a third party, the HDO should be sure to consider any additional expenses that will be incurred to securely implement and maintain the devices.  ・メーカーが第三者によってサポートされなくなったソフトウェアに依存する機器を販売する場合,HDOは,機器を安全に導入・維持するために発生する追加費用を必ず考慮する必要があります。
•       Medical device application software (e.g., image acquisition, manipulation, reconstruction, analysis, display, etc.), and any commercial Operating System (OS) necessary for operation and maintenance of the system should be provided by the Supplier with a perpetual license. The most current version of a medical device should have an OS with latest the latest major release currently available for purchase in the commercial marketplace. Application software updates compatible with the system's hardware shall be kept current at no cost to the HDO for at least the expected useful life of the device.  ・医療機器のアプリケーションソフトウェア(画像取得、操作、再構成、分析、表示等)、及びシステムの運用・保守に必要な市販のオペレーティングシステム(OS)は、サプライヤーから永久ライセンスで提供されるべきである。医療機器の最新版には、現在市販されている最新のメジャーリリースのOSが搭載されていること。システムのハードウェアと互換性のあるアプリケーションソフトウェアの更新は、少なくとも機器の予想耐用年数の間、HDOに無償で最新の状態に保たれなければならない。
CONSIDERATIONS FOR HEALTHCARE DELIVERY ORGANIZATIONS  医療機関のための考慮事項 
•       HDOs should avoid acquiring any device or service from a manufacturer that does not warrant that they actively participate in an ISAO. HDOs are encouraged to participate in ISAOs as well. Information sharing among the user community is a significant factor in battling cybercriminals and participation in ISAOs is a platform for such sharing and a factor in improving the cybersecurity of all participants. Terms of sale, including non-disclosure agreements, should not prohibit HDOs from participating in ISAOs or other cybersecurity information sharing initiatives.  ・HDOは,ISAOに積極的に参加することを保証していないメーカーから機器やサービスを取得することは避けるべきである。HDO は ISAO にも参加することが推奨される。ユーザーコミュニティ間の情報共有は,サイバー犯罪者に対抗するための重要な要素であり,ISAOへの参加は,そのような共有のためのプラットフォームであり,すべての参加者のサイバーセキュリティを向上させる要因となります。秘密保持契約を含む販売条件は,HDO が ISAO 又は他のサイバーセキュリティ情報共有イニシ アチブに参加することを禁止すべきではありません。
•       HDOs should avoid acquiring devices for which a supplier is unable or unwilling to provide a Manufacturer Disclosure Statement for Medical Device Security (MDS2) utilizing the most recent template. Where suppliers provide MDS2s, those MDS2s should be reviewed by HDO network security teams, or their designated third party, prior to the purchase, use, or implementation of any medical device. All medical devices and services should be installed and operated in a manner consistent with the organization’s security policies and practices.  ・HDO は、サプライヤーが最新のテンプレートを利用した医療機器セキュリティのための製造者 開示説明書(MDS2)を提供できない又は提供する意思がない機器の取得を避けるべきである。サプライヤーが MDS2 を提供する場合には、医療機器の購入、使用又は導入に先立ち、 HDO のネットワークセキュリティチーム又はその指定する第三者が MDS2 を確認する必要がある。すべての医療機器及びサービスは、組織のセキュリティポリシー及び実務と整合性のある方法で設置及び運用されなければならない。
•       Purchase agreements for medical devices and services should contain appropriate liability and warranty provisions.  ・医療機器及びサービスの購入契約には,適切な責任及び保証規定を含めるべきである。
•       HDOs’ insurance policies should cover cybersecurity risks with appropriate minimum coverage. HDOs should not acquire devices or services from any supplier who will not provide evidence of appropriate coverage unless no practical alternatives exist.  ・HDO の保険は,サイバーセキュリティリスクを適切な最低補償額でカバーすべきである。HDO は,現実的な代替手段が存在しない場合を除き,適切な補償の証拠を提供しな いサプライヤーから機器又はサービスを取得してはならない。
•       HDOs should not acquire or utilize devices, software or services not compliant with current U.S. Food and Drug Administration (FDA) cybersecurity guidance or industry standards unless no practical alternatives exist. In these cases, HDOs should ensure devices, software and/or services are deployed in a manner that reduces the risk of a cybersecurity or information security incident or breach.  ・HDO は、現実的な代替手段が存在しない場合を除き、米国食品医薬品局(FDA)のサイ バーセキュリティガイダンス又は業界標準に準拠していない機器、ソフトウェア又はサービスを 取得又は利用すべきではない。このような場合、HDO は、機器、ソフトウェア及び/又はサービスが、サイバーセキュリ ティ又は情報セキュリティの事故や侵害のリスクを低減する方法で導入されていることを確認す べきである。
•       HDOs should conduct risk assessments, including testing when practical, for all devices and services to verify manufacturer claims prior to acquiring any device or service and connecting the device or service to their network.   Alternately, a third-party testing and certification service may be used to validate manufacturer’s claims. Policies regarding who can approve and add devices to the network should be implemented and followed.  ・HDO は,機器又はサービスを入手し,ネットワークに接続する前に,製造者の主張を 検証するために,すべての機器及びサービスについて,実用的な場合にはテストを含む リスクアセスメントを行うべきである。  また,製造者の主張を検証するために,第三者による試験・認証サービスを利用することもできる。誰が承認してネットワークに機器を追加することができるかについての方針が実施され,遵守されなければならない。
•       HDOs should require suppliers to identify if a device can be remotely accessed or controlled, whether it is connected to a network, and if the device can be remotely accessed or controlled, the supplier should provide a detailed description of the measures incorporated to safeguard the security of that device  ・HDO は,機器がリモートアクセス又はコントロールできるかどうか,ネットワークに 接続されているかどうかを特定すること,及び機器がリモートアクセス又はコントロールで きる場合には,当該機器のセキュリティを保護するために組み込まれた手段の詳細な説明 を提供することをサプライヤーに求めるべきである。
•       HDOs should implement physical security controls to prevent unauthorized and/or unwitnessed access to any devices and servers.   ・HDO は,機器及びサーバーへの未承認及び/又は目撃されていないアクセスを防止するために,物理的なセキュリティ管理を実施すべきである。
CONSIDERATIONS FOR MEDICAL DEVICE MANUFACTURERS & SERVICE SUPPLIERS   医療機器製造者及びサービス提供者への配慮  
Suppliers of network-accessible medical devices, software and services should warrant that they are compliant with current U.S. Food and Drug Administration (FDA) cybersecurity guidance documents, industry standards and do not contain known malicious code or other known vulnerabilities.  ネットワークにアクセス可能な医療機器、ソフトウェア及びサービスの供給者は、それらが最新の米国食品医薬品局(FDA)のサイバーセキュリティガイダンス文書及び業界標準に準拠しており、既知の悪意のあるコードやその他の既知の脆弱性を含んでいないことを保証しなければならない。
Medical device manufacturers should provide an MDS2 (current version and SBoM) for any medical device that can be connected to a network (i.e., any device that has a MAC address).  医療機器メーカーは、ネットワークに接続可能なすべての医療機器(MACアドレスを持つすべての機器)について、MDS2(最新版およびSBoM)を提供すること。
Supplier insurance policies should cover cybersecurity risks with appropriate minimum coverage.  サプライヤーの保険契約は、適切な最低補償額でサイバーセキュリティリスクをカバーすべきである。
Although compliance with current guidelines can significantly reduce the cybersecurity risks associated with medical devices and services, legacy devices and possible future noncompliance pose ongoing risks. HDOs have a considerable investment in connected legacy devices, software and services that may not be compliant with current guidelines and standards but that are critical to maintaining patient care. Recognizing that it is not practical or feasible in the short term to retire or replace those assets, manufacturers should acknowledge responsibility for the security of legacy devices and work expeditiously to upgrade those to current security standards or provide device upgrade paths to HDOs at the lowest possible cost.   現行のガイドラインに準拠することで、医療機器やサービスに関連するサイバーセキュリティリスクを大幅に低減することができますが、レガシーデバイスや将来起こりうるコンプライアンス違反は継続的なリスクとなります。HDOは、現行のガイドラインや基準に準拠していない可能性があるものの、患者の治療を維持するために不可欠な、接続されたレガシー機器、ソフトウェア、サービスに多大な投資を行っています。メーカーは、レガシー機器のセキュリティに対する責任を認識し、レガシー機器を現行のセキュリティ基準に速やかにアップグレードするか、可能な限り低コストでHDOに機器のアップグレードパスを提供すべきであると考えます。 
In addition to complying with regulatory reporting requirements, suppliers of network-accessible medical devices, software and services should, at their own expense, provide corrective actions, etc., which includes the following:    ネットワークにアクセス可能な医療機器、ソフトウェア及びサービスの供給者は、 規制当局の報告義務を遵守することに加えて、自らの費用で以下のような是正措置等を 行うべきである。  
o   Reliable and timely information (e.g., via Cybersecurity Portals, direct communications, etc.) regarding any issues or risks identified with one of their devices or services, the firmware, software and/or any other security issues;  o 信頼性のあるタイムリーな情報(例:サイバーセキュリティポータル、直接のコミュニケーションなど)を、自社の機器またはサービスの1つ、ファームウェア、ソフトウェア、および/またはその他のセキュリティ問題で特定された問題またはリスクに関して提供すること。
o   Guidance on what should be done to address any vulnerability, including a corrective action plan/flaw remediation process that identifies appropriate software update(s) and/or workaround(s) to mitigate all issues or risks associated with the vulnerability;  o 脆弱性に関連するすべての問題またはリスクを軽減するための適切なソフトウェアの更新および/または回避策を特定する是正措置計画/欠陥是正プロセスを含む、脆弱性に対処するために何をすべきかに関するガイダンス。
o   Change management-based release notes and/or HDO communications explaining the impact of changes to operating systems, databases, applications, and more.  o オペレーティングシステム、データベース、アプリケーション等への変更の影響 を説明する変更管理ベースのリリースノート及び/又はHDOコミュニケーション。
Suppliers should make every effort to assist HDOs in resolving cybersecurity threats and vulnerabilities in a timely manner.   サプライヤーは、サイバーセキュリティ上の脅威や脆弱性をタイムリーに解決するために、HDOを支援するためにあらゆる努力を払わなければならない。 
Suppliers should ensure the security of all procured or developed systems and technologies, including all subcomponents (hereinafter referred to as "Systems"), throughout the useful life including any extension, warranty, or maintenance periods. This includes, but is not limited to, workarounds, patches, hotfixes, upgrades, and any physical components (hereafter referred to as “Security Fixes”) which may be necessary to fix all security vulnerabilities published or known to the Supplier anywhere in the Systems, including Operating Systems and firmware. The Supplier should ensure that Security Fixes do not negatively impact the Systems.  サプライヤーは、すべてのサブコンポーネントを含む、調達または開発されたすべてのシステムおよび技術(以下、「システム」という)のセキュリティを、延長、保証、またはメンテナンス期間を含む耐用年数を通じて確保しなければならない。これには、OSやファームウェアを含む「システム」に存在する、公開されている、あるいはサプライヤーが知っているすべてのセキュリティ脆弱性を修正するために必要な、回避策、パッチ、ホットフィックス、アップグレード、およびあらゆる物理的コンポーネント(以下、「セキュリティフィックス」)が含まれますが、これらに限定されません。サプライヤーは、セキュリティ修正プログラムがシステムに悪影響を及ぼさないようにしなければなりません。
Analysis Organization (ISAOs) such as the  Health Information Sharing and Analysis Center (H-ISAC or the Health Information Trust Alliance (HITRUST);  FDAのガイダンスは、医療情報共有分析センター(H-ISAC)や医療情報信頼同盟(HITRUST)のようなISAO(分析機関)が作成したものです。
Although the FDA’s guidance is prefaced as non-binding, the FDA has stated that medical device manufacturers must comply with all federal regulations including quality system regulations  (QSRs). QSRs require medical device manufacturers to address all risks, including cybersecurity risks. The FDA guidance provides recommendations on how manufacturers might address those risks.  Medical device manufacturers should recognize that HDOs prefer to purchase devices that adhere to the FDA guidelines and meet the QSRs. We encourage manufacturers to view the rapid adoption of rigorous cybersecurity measures and compliance with published guidelines as a necessary precondition to marketing medical devices.  FDAのガイダンスは拘束力がないと前置きされていますが、FDAは医療機器メーカーが品質システム規制(QSR)を含むすべての連邦規制を遵守しなければならないとしています。QSRは、医療機器メーカーがサイバーセキュリティリスクを含むすべてのリスクに対処することを求めています。FDAのガイダンスでは、メーカーがこれらのリスクにどのように対処すべきかについての推奨事項が示されています。 医療機器メーカーは、HDOがFDAのガイドラインを遵守し、QSRを満たした機器を購入することを好むことを認識すべきです。医療機器メーカーは、厳格なサイバーセキュリティ対策を迅速に導入し、公表されたガイドラインを遵守することが、医療機器を販売するための必要な前提条件であると考えることをお勧めします。

 

・[PDF] Recommendations for Medical Device Cybersecurity Terms and Conditions

20220205-103939

Recommendations for Medical Device  Cybersecurity Terms and Conditions 医療機器のサイバーセキュリティに関する規約の推奨事項
The Healthcare Supply Chain Association has circulated  “Medical Device and Service Cybersecurity: Key Considerations for Manufacturers & Healthcare Delivery Organizations (HDOs)” which outlines the shared responsibilities of the parties in assuring medical device and information security and  some of the steps they might take in promoting that security. We believe that suppliers should view the rapid adoption of rigorous cybersecurity measures and compliance with published guidelines as a necessary precondition to marketing medical devices ヘルスケア・サプライ・チェーン協会は、「医療機器とサービスのサイバーセキュリティ」を発表しました。このレポートでは、医療機器と情報のセキュリティを保証する上で当事者が共有する責任と、そのセキュリティを促進するために当事者が取るべきいくつかのステップについて概説しています。サプライヤーは、厳格なサイバーセキュリティ対策を迅速に導入し、公表されたガイドラインを遵守することが、医療機器を販売するための必要な前提条件であると考えるべきであると考えます。
In support of these key considerations, we recommend that purchasing contracts include clauses reflective of the following principles for the acquisition of connected medical devices and services:  これらの重要な検討事項を裏付けるために、我々は、接続された医療機器およびサービスの取得について、以下の原則を反映した条項を購買契約に含めることを推奨します。
1)     Suppliers should warrant their compliance with FDA premarket and post-market guidance relative to cybersecurity risks throughout their product’s lifecycle.   1) サプライヤーは、製品のライフサイクルを通じて、サイバーセキュリティリスクに関するFDAの市販前および市販後のガイダンスに準拠していることを保証すべきである。 
2)     Products should be assessed and warranted to be free of known malware or other vulnerabilities at the time of delivery, and/or implementation, and throughout the life of the product.     2) 製品は、納入時および/または導入時、そして製品のライフサイクルを通して、既知のマルウェアやその他の脆弱性がないことを評価し、保証すること。   
3)     Suppliers should comply with all reasonable security practices required by the HDO that are consistent with current network and device security guidelines and best practices including those developed and implemented by the HDO, the Federal Information Security Management Act  (FISMA) or as published by standards bodies such as the International Organization for Standardization (ISO), the International Electrotechnical Commission (IEC), the Association for the Advancement of Medical Instrumentation  (AAMI), the  Open Web Application Security Project (OWASP), the SANS Institute, the Center for Internet Security, the National Institute of Standards and Technology (NIST).    3) サプライヤーは、HDO、連邦情報セキュリティ管理法(FISMA)、または国際標準化機構(ISO)、国際電気標準会議(IEC)、医療機器推進協会(AAMI)、オープン・ウェブ・アプリケーション・セキュリティ・プロジェクト(OWASP)、SANS Institute、Center for Internet Security、米国標準技術局(NIST)などの標準化団体が発表したものを含む、現行のネットワークおよびデバイスのセキュリティガイドラインおよびベストプラクティスと一致する、HDOが要求するすべての合理的なセキュリティプラクティスを遵守するものとする。  
4)     The expected useful life of the device or service should be specified within the purchase agreement and security updates to the software, operating system and all supporting software components should be made available for the stated useful life at no additional cost to the HDO. This is to include, but not be limited to, monitoring, upgrading, updating, and patching in a manner consistent with the HDO’s protocols.   4) 機器またはサービスの予想耐用年数を購入契約書に明記し、ソフトウェア、オペレーテ ィングシステム、およびサポートするすべてのソフトウェアコンポーネントに対するセキュ リティアップデートを、明記された耐用年数の間、HDOに追加費用なしで提供すること。これには、HDOのプロトコルに沿った方法での監視、アップグレード、更新、パッチ適用が含まれるが、これに限定されるものではない。 
5)     Suppliers should make every effort to assist HDOs in resolving cybersecurity threats and vulnerabilities in a timely manner. This includes, but is not limited to, providing timely updates and patches, a portal for sharing vulnerability information, and a security contact. HDOs should not be penalized by supplier for defects caused by modifications made to products in HDOs’ remediation efforts if the supplier fails to provide timely updates and/or timely assistance in addressing cybersecurity threats and vulnerabilities involving supplier’s products.  5) サプライヤーは、HDOがサイバーセキュリティ上の脅威や脆弱性を適時に解決することを支 援するためにあらゆる努力を払わなければならない。これには、タイムリーなアップデートやパッチの提供、脆弱性情報を共有するためのポータ ル、セキュリティ担当者の提供などが含まれるが、これらに限定されるものではない。サプライヤーが、サプライヤーの製品に関わるサイバーセキュリティ上の脅威及び脆弱性に対処するための適時のアップデート及び/又は適時の支援を提供しなかった場合、HDOは、HDOの修復努力の中で製品に加えられた変更に起因する欠陥について、サプライヤーからペナルティを受けるべきではない。
6)     Purchase agreements and/or information security agreements for medical devices and services should contain appropriate liability and warranty provisions in regards to compliance with cybersecurity terms.   6) 医療機器及びサービスの購入契約及び/又は情報セキュリティ契約には、サイバーセキュリ ティに関する条項の遵守に関して、適切な責任及び保証規定が含まれるべきである。 
7)     HDOs’ participation in Information Sharing and Analysis Organizations (ISAOs) and other cyber security sharing initiatives should be explicitly allowed and exempted from any non-disclosure provisions.   7) ISAO(Information Sharing and Analysis Organizations)及びその他のサイバーセキュ リティ共有イニシアチブへの HDO の参加は、明示的に許可されるべきであり、守秘義務規定の 対象外とされるべきである。 
8)     The most current version of the Manufacturers Disclosure Statement for Medical Device Security (MDS2) must be provided for any device that maintains or transmits protected health information (PHI) and/or personally identifiable information (PII).  8) 保護されるべき健康情報(PHI)及び/又は個人を特定できる情報(PII)を維持又 は伝送する機器については、医療機器セキュリティのための製造業者開示説明書 (MDS2)の最新版を提供しなければならない。
9)     Suppliers should warrant that they internally follow cybersecurity best practices such as ISO 27001, SOC II or their equivalents approved by the HDO, provide documentation describing in detail their cybersecurity/penetration testing and risk assessment processes as well as program details for patching, incident response and secure set up and configuration  9) サプライヤーは、ISO 27001、SOC II、またはHDOによって承認された同等のものなど、サイバーセキュリティのベスト プラクティスに社内で従っていることを保証するものとし、サイバーセキュリティ/侵入テスト、リスクアセスメントのプロセス、パッチ適用、インシデント対応、安全な設定と構成のためのプログラムの詳細を記述した文書を提供するものとする。
10)  Suppliers should utilize an industry recognized vulnerability scoring methodology such as the Common Vulnerability Scoring System (CVSS) and must disclose that methodology along with processes, procedures, resources and timelines for communicating and addressing identified vulnerabilities and threats.  10) サプライヤーは、CVSS(Common Vulnerability Scoring System)のような業界で認知された脆弱性スコアリング手法を利用し、特定された脆弱性や脅威を伝達し対処するためのプロセス、手順、リソース、スケジュールとともに、その手法を開示しなければならない。
11)  Suppliers must provide documentation of processes and technology for external access and remote support, including security (authentication & authorization) and monitoring.  11) サプライヤーは、セキュリティ(認証と認可)と監視を含む、外部からのアクセスとリモートサポートのためのプロセスと技術に関する文書を提供しなければならない。
12)  Suppliers/manufacturers should warrant ongoing and active participation in one or more Information Sharing and Analysis Organizations (ISAO) and provide their vulnerability disclosure protocols.  12) サプライヤー/メーカーは、1つ以上の情報共有・分析組織(ISAO)への継続的かつ積極的な参加を保証し、その脆弱性開示 プロトコルを提供すること。
13)  A bill of materials describing the component parts of products including a Software Bill of Materials (SBoM) should be provided to the HDO prior to implementation which includes software versions, patch levels, and patching plans. The product lifecycle/expectancy should be explicitly stated.  13)  ソフトウェア部品表(SBoM)を含む製品の構成部品を記載した部品表を、ソフトウェアのバージョン、パッチレベル、パッチ計画を含めて、導入前にHDOに提供すること。製品のライフサイクル/期待値が明示されていること。
Supplier should provide a product roadmap depicting the lifecycle of the product including end of service, end of life, and end of support.  サプライヤーは、サービス終了、寿命終了、サポート終了を含む製品のライフサイク ルを描いた製品ロードマップを提供すること。

 

| | Comments (0)

2021.12.22

米国 司法省監察官室 2015年サイバーセキュリティ情報共有法の実施に関する共同報告

こんにちは、丸山満彦です。

米国司法省監察官室が「2015年サイバーセキュリティ情報共有法の実施に関する共同報告」を公表していますね。。。これは、情報コミュニティーが適切に2015年サイバーセキュリティ情報共有法に基づいて情報共有が行われているかについての内部監査を共同しているもので、法で要求されています。。。

共同報告書の宛先は情報コミュニティー (Intelligence Community) に含まれている省庁の長官ですね。。。

  1. 国家情報長官
  2. 商務省長官
  3. 国防総省長官
  4. エネルギー省長官
  5. 国土安全保障省長官
  6. 司法省検事総長
  7. 財務省長官

機械で処理できるサイバー脅威情報を共有する仕組みAIS (AUTOMATED INDICATOR SHARING) があるのですが、日本はどうなんでしょうね。。。

U.S. Department of Justice Office of the Inspector General

・2021.12.20 Joint Report on the Implementation of the Cybersecurity Information Sharing Act of 2015

・[PDF] AUD-2021-002-U.pdf

20211222-61103

・[DOCX] 仮訳

 

CISA

法律

・[PDF] The Cybersecurity Information Sharing Act of 2015

・[DOCX] 仮対訳

 

手順書とガイダンス

CYBERSECURITY INFORMATION SHARING ACT OF 2015 PROCEDURES AND GUIDANCE

 ・[PDF] Non-Federal Entity Sharing Guidance under the Cybersecurity Information Sharing Act of 2015

 ・[PDF] Privacy and Civil Liberties Final Guidelines: Cybersecurity Information Sharing Act of 2015

 ・[PDF] Federal Government Sharing Guidance under the Cybersecurity Information Sharing Act of 2015

 ・[PDF] Final Procedures Related to the Receipt of Cyber Threat Indicators and Defensive Measures by the Federal Government

 

AIS

AUTOMATED INDICATOR SHARING

 


 

Fig1_20211222063701

| | Comments (0)

2021.12.21

NIST 意見募集 NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーン

こんにちは、丸山満彦です。

NISTが NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーンを公表し、意見募集をしていますね。。。

NIST - ITL

・2021.12.20 NISTIR 8403 (Draft) Blockchain for Access Control Systems

NISTIR 8403 (Draft) Blockchain for Access Control Systems NISTIR 8403(ドラフト)アクセス制御システムのためのブロックチェーン
Announcement 発表内容
Protecting system resources against unauthorized access is the primary objective of an access control system. As information systems rapidly evolve, the need for advanced access control mechanisms that support decentralization, scalability, and trust–all major challenges for traditional mechanisms–has grown. 不正なアクセスからシステムリソースを保護することは、アクセス制御システムの主要な目的です。情報システムが急速に進化する中で、分散性、拡張性、信頼性をサポートする高度なアクセス制御メカニズムの必要性が高まっていますが、これは従来のメカニズムにとって大きな課題でした。
Blockchain technology offers high confidence and tamper resistance implemented in a distributed fashion without a central authority, which means that it can be a trustable alternative for enforcing access control policies. This document presents analyses of blockchain access control systems from the perspectives of properties, components, architectures, and model supports, as well as discussions on considerations for implementation. ブロックチェーン技術は、中央機関を介さずに分散して実装され、高い信頼性と耐タンパ性を備えているため、アクセス制御ポリシーを実施するための信頼できる代替手段となり得ます。本報告書では、ブロックチェーンのアクセス制御システムについて、特性、コンポーネント、アーキテクチャ、モデルサポートの観点から分析を行い、実装上の考慮点についても考察しています。
Abstract 概要
The rapid development and wide application of distributed network systems have made network security – especially access control and data privacy – ever more important. Blockchain technology offers features such as decentralization, high confidence, and tamper-resistance, which are advantages to solving auditability, resource consumption, scalability, central authority, and trust issues – all of which are challenges for network access control by traditional mechanisms. This document presents general information for blockchain access control systems from the views of blockchain system properties, components, functions, and supports for access control policy models. Considerations for implementing blockchain AC systems are also included. 分散型ネットワークシステムの急速な発展と幅広い応用により、ネットワークセキュリティ、特にアクセス制御とデータプライバシーの重要性が高まっています。ブロックチェーン技術は、分散性、高い信頼性、耐タンパ性などの特徴を持ち、従来のメカニズムによるネットワークアクセス制御の課題である、監査可能性、リソース消費、拡張性、中央機関、信頼性の問題を解決する上で有利な技術です。本資料では、ブロックチェーンシステムの特性、コンポーネント、機能、アクセス制御ポリシーモデルのサポートなどの観点から、ブロックチェーンアクセス制御システムの一般的な情報を紹介しています。また、ブロックチェーンアクセス制御システムを実装する際の考慮点も記載しています。
 
20211221-50402
Executive Summary エグゼクティブ・サマリー
1. Introduction 1. 序文
2. Blockchain System Components and Advantages for Access Control Systems 2. ブロックチェーンシステムの構成要素とアクセス制御システムの利点
3. Access Control Functions of Blockchain AC Systems 3. ブロックチェーンアクセス制御システムのアクセス制御機能
4. Access Control Model Support 4. アクセス制御モデルのサポート
5. Considerations 5. 考察
6. Conclusion 6. 結論
References 参考文献
List of Figures 図の一覧
Figure 1 – XACML Architecture 図1 - XACMLアーキテクチャ
Figure 2 – Examples of access control function points implemented in blockchain systems 図2 - ブロックチェーンシステムに実装されているアクセス制御ファンクションポイントの例
Figure 3 – Examples of Figure 2d with attribute source options 図3 - 図2dの属性ソースオプションの例
List of Tables 表の一覧
Table 1 Comparison of IoT AC system capabilities for general access control requirements by blockchain and traditional mechanisms enforcing RBAC, ABAC, and CBAC policy models 表1 RBAC、ABAC、CBACのポリシーモデルを実施するブロックチェーンと従来のメカニズムによる一般的なアクセス制御要件に対するIoT アクセス制御システムの機能の比較
Executive Summary  エグゼクティブ・サマリー
Access control is concerned with determining the allowed activities of legitimate users and mediating every attempt by a user to access a resource in the system. The objectives of an access control system are often described in terms of protecting system resources against inappropriate or undesired user access. From a business perspective, this objective could just as well be described in terms of the optimal sharing of information. As current information systems evolve to be more lightweight, pervasive, and interactive network architectures such as Cloud and Internet of Things (IoT), there is need for an access control mechanism to support the requirements of decentralization, scalability, and trust for accessing objects, which is challenging for traditional mechanisms.    アクセス制御とは,正当なユーザの許可された活動を決定し,ユーザがシステム内のリソースにアクセスしようとするすべての試みを仲介することである.アクセス制御システムの目的は、不適切または望ましくないユーザーのアクセスからシステムリソースを保護するという観点から説明されることが多い。ビジネスの観点からは、この目的は、情報の最適な共有という観点からも説明できます。現在の情報システムが、クラウドやIoT(Internet of Things)のように、より軽量で、広汎で、インタラクティブなネットワーク・アーキテクチャに進化するにつれ、従来のメカニズムでは困難な、オブジェクトへのアクセスに対する分散化、拡張性、および信頼性の要件をサポートするアクセス制御メカニズムが必要とされています。  
Blockchains are tamper evident and tamper resistant blocks (digital ledgers) implemented in a distributed fashion (i.e., without a central repository) and usually without a central authority (i.e., a bank, company, or government). It uses replicated, shared, and synchronized digital blocks between the users of a private or public distributed computer network located in different sites or organizations. Blockchain can be utilized for access control systems as a trustable alternative for a single entity/organization or a member of a large-scale system to enforce access control policies. The robust, distributed nature of blockchain technology can address issues in overcoming the limitations of traditional access control systems in a more decentralized and efficient way. It is supported by the following infrastructural properties that are not included in traditional access control mechanisms unless specifically implemented:  ブロックチェーンは、(中央のリポジトリを持たない)分散型で実装され、通常は中央機関(銀行、企業、政府など)を持たない、改ざん防止されたブロック(デジタル台帳)です。ブロックチェーンは、異なるサイトや組織にあるプライベートまたはパブリックの分散型コンピューターネットワークのユーザー間で、複製、共有、同期されたデジタルブロックを使用します。ブロックチェーンは、単一のエンティティ/組織または大規模システムのメンバーがアクセス制御ポリシーを実施するための信頼できる代替手段として、アクセス制御システムに活用することができます。ブロックチェーン技術の堅牢で分散された性質は、従来のアクセス制御システムの限界を克服する上での問題に、より分散された効率的な方法で対処することができます。これは、特別に実装されていない限り、従来のアクセス制御メカニズムには含まれていない以下のインフラ特性によって支えられています。
• Tamper evident and tamper resistant design prevents access control data (i.e., attributes, policy rules, environment conditions, and access request) and access control logs (i.e., request permissions, and previous access control data) from alternation and reduces the probability of frauds.  ・不正開封の跡が明らかになる(Tamper evident)および不正開封に対抗しえる(Tamper resistant)設計により、アクセス制御データ(属性、ポリシールール、環境条件、アクセス要求など)とアクセス制御ログ(要求許可、過去のアクセス制御データなど)の改竄を防ぎ、不正の可能性を低減することができる。
• Decentralized control of authorization processing and the storage of access control data/logs has no single point of failure, thus providing more system tolerance and availability.  ・認証処理とアクセス制御データ/ログの保存を分散制御することで単一障害点がないため、システムの耐性と可用性が向上する。
• The traceability of blocks allows access control data/logs and system states to be seen and tracked.   ・ブロックのトレーサビリティーによりアクセスコントロールデータ/ログやシステムの状態を見て追跡することができる。
• The execution of arbitrary programs in smart contracts allows for controls on distributed access control data and authorization processes.   ・スマートコントラクトで任意のプログラムを実行することにより、分散したアクセス制御データや認可プロセスの制御が可能になる。 
• Consensus mechanisms and protocols regulate the participating access control entities/organizations jointly in determining policy rules through blocks or smart contracts.   ・コンセンサス機構やコンセンサス・プロトコルはブロックやスマートコントラクトを通じてポリシー・ルールを決定する際に参加するアクセス・コントロール・エンティティ/組織を共同で規制する。

| | Comments (0)

2021.12.20

公安調査庁 内外情勢の回顧と展望(令和4年版)

こんにちは、丸山満彦です。

公安調査庁が、「内外情勢の回顧と展望(令和4年版)」を公表していますね。。。

特集1が経済安全保障、特集2がサイバー攻撃関係となっていますね。。。

 

公安調査庁

・2021.12.17 内外情勢の回顧と展望(令和4年版)の公表について

内外情勢の回顧と展望(令和4年版)

[PDF] 全文

20211220-153549

 


特集1 経済安全保障関連

1 引き続き相互にけん制する米中両国

バイデン政権は、同盟国・同志国との連携を強化しつつ、前政権の取組を維持

トランプ政権下の米国は、中国を「戦略的競争相手」と位置付けて、中国への強硬姿勢を鮮明化し、米中間の対立は、貿易、安全保障、価値観など様々な面に及んだ。1月に誕生したバイデン政権は、中国を「経済力、外交力、軍事力、技術力を組み合わせ、安定的で開かれた国際システムに持続的に挑戦することができる唯一の競争相手」と定義した(3月、「国家安全保障戦略指針(暫定版)」)。特に、「技術が米中間競争の中核」(1月、サキ大統領報道官)と認識するバイデン大統領は、米国のビジネス行為が結果的に中国の軍事力増強などにつながることを懸念し、中国のスーパーコンピューター関連企業・機関を輸出規制リストである「エンティティリスト」に加え(4月)、これら企業等と米国企業との取引を制限したのに続き、人民解放軍の兵器開発などに協力する企業や、人権弾圧を助長する監視技術を開発する企業等への投資を禁じる大統領令を発する(6月)などの措置を講じた。

また、米国は、製造業の分業体制が世界規模で形成され、製品の原材料の調達から、製造、配送、販売、消費までに至るサプライチェーンが複数国にまたがる中、ある国が重要製品の部品の提供を意図的に停止した場合、自国における製造過程に支障が生じる危険性があることなどを懸念しており、情報技術、半導体、高性能バッテリーなどの重要技術・製品におけるサプライチェーンの見直しに着手した。...

中国は、法整備を実施するなどして対中規制措置をけん制

中国は、米国が中国の大手通信企業に対する半導体供給等を規制する(令和2年〈2020年〉5月、8月)など相次いで対中規制措置を講じる中、外国の規制関連法規定が中国国内で適用されることを阻止するために「外国の法律及び措置の不当な域外適用を阻止する規則」を公布・施行した(1月、商務部)。さらに6月には、全国人民代表大会常務委員会で「反外国制裁法」が可決され、即日公布・施行された。同法は、外国による「差別的な制限措置」に対して、法律レベルで対抗措置を講じることを可能とするものであり、その適用対象に「内政干渉」が含まれる(第3条)ことから、同法が経済活動にとどまらず、政治的性質を有する活動にも適用される可能性がある。また、外国による「差別的な制限措置」への協力を禁じる条項(第12条)では、その対象に中国国内の企業・個人だけでなく、第三国の企業・個人も含まれると解釈する余地が残されるなど、外国による対中規制措置を強くけん制する内容となっている。同法第3条に関して、実際、中国は、米国が在香港米国企業などに向けて「事業リスクが高まっている」と勧告を行ったことなどを「深刻な内政干渉」と断定し、米国のロス前商務長官らに「同法に基づき制裁を科す」と発表した(7月)。...、中国の大手通信機器メーカー「華為技術」(ファーウェイ)がスマートフォン用独自OSを発表する(6月)など、重要技術・製品の国産化に向けた中国側の動きが表面化している。

2 国内外において狙われる戦略物資・技術・データ等

中国による海外の技術・製品の獲得動向は継続、我が国における関連動向に要注意

...「中国は必要な技術や能力を海外企業から得ようとすることが多い」、「依然として特定の外国の技術を求めている」(4月米国議会調査局レポート)などと、中国が、引き続き海外からの技術獲得を図る可能性があるとの見方が示されている。また、中国による「千人計画」等の海外人材の招致計画については、「中国は、最先端の技術や能力を獲得するために、複数の人材招致計画を推進している。これらのプログラムは、中国の産業計画に掲げられた目標を推進し、技術等のギャップを埋めることを目的にしている」(9月、米国議会調査局レポート)などと指摘された。...中国が自国内の製造能力や技術の向上のため、我が国企業・大学等が有する重要技術・製品の獲得のほか、我が国関連企業の買収や高度な技術を有する人材の招致に向けた働き掛けを行うことが懸念されるため、こうした動向に警戒する必要がある。

3 経済安全保障分野における公安調査庁の取組

...


 

サイバー攻撃の部分は、見出しだけですが、、、


特集2 我が国に対するサイバー攻撃

1 我が国への脅威が拡大するサイバー攻撃

我が国企業等を標的としたサイバー攻撃が相次いで発覚

国家的関与が指摘される事案が継続して発生

 中国
 ロシア
 北朝鮮

2 クラウドサービス等を提供する事業者(MSP)を標的としたサイバー攻撃

国家が関与・支援したとみられるMSPに対するサイバー攻撃

MSPに対する攻撃による情報流出事案が発生

3 新型コロナワクチンをめぐる情報窃取活動が活発化

欧米等で新型コロナワクチン関連組織に対するサイバー攻撃が発生

4 サイバーセキュリティ意識の向上が喫緊の課題


 

| | Comments (0)

米国 CISA 緊急指令22-02 Apache Log4jの脆弱性に対応せよ

こんにちは、丸山満彦です。

各国の政府もApache Log4jの脆弱性について点検と対応を呼びかけていますね。。。

米国の場合は、

(1) 現在、外部のネットワーク環境で脅威者がこれらの脆弱性を悪用している

(2) 脆弱性が悪用される可能性が高い

(3) 連邦政府の企業内で影響を受けるソフトウェアが広く使われている

(4) 政府機関の情報システムが侵害される可能性が高い

(5) 侵害が成功した場合の潜在的な影響

等を踏まえて、CISAが連邦政府機関に対して期限を切ってApache Log4jの脆弱性に対応するよう緊急指令を出していますね。。。

 

● CISA

・2021.12.17 CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO MITIGATE APACHE LOG4J VULNERABILITIES

CISA ISSUES EMERGENCY DIRECTIVE REQUIRING FEDERAL AGENCIES TO MITIGATE APACHE LOG4J VULNERABILITIES CISA、連邦政府機関にapache log4jの脆弱性を緩和するよう求める緊急指令を発行
Agency Strongly Urges All Organizations to Take Immediate Action to Protect their Networks 同庁はすべての組織に対し、自社のネットワークを保護するために直ちに行動を起こすことを強く要請
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) issued Emergency Directive (ED) 22-02 today requiring federal civilian departments and agencies to assess their internet-facing network assets for the Apache Log4j vulnerabilities and immediately patch these systems or implement other appropriate mitigation measures. This Directive will be updated to further drive additional mitigation actions.    ワシントン - Cybersecurity and Infrastructure Security Agency(CISA)は本日、緊急指令(ED)22-02を発行し、連邦の文民部門および機関に対し、インターネットに接続するネットワーク資産にApache Log4jの脆弱性がないかどうかを評価し、これらのシステムに直ちにパッチを適用するか、その他の適切な緩和策を実施するよう求めました。 この指令は、追加の緩和策をさらに推進するために更新される予定です。    
The directive is in response to the active exploitation by multiple threat actors of vulnerabilities found in the widely used Java-based logging package Log4j. Since the vulnerabilities were first discovered, CISA has been working with our partners in the public and private sectors to identity vulnerable products, raise awareness, and encourage all potentially affected organizations to take immediate action.   この指令は、広く使われているJavaベースのログ収集パッケージであるLog4jに見つかった脆弱性が、複数の脅威主体によって積極的に利用されていることを受けたものです。脆弱性が発見されて以来、CISAは官民のパートナーと協力して、脆弱性のある製品を特定し、認知度を高め、影響を受ける可能性のあるすべての組織に直ちに対策を講じるよう呼びかけてきました。  
“The log4j vulnerabilities pose an unacceptable risk to federal network security,” said CISA Director Jen Easterly. “CISA has issued this emergency directive to drive federal civilian agencies to take action now to protect their networks, focusing first on internet-facing devices that pose the greatest immediate risk. CISA also strongly urges every organization large and small to follow the federal government’s lead and take similar steps to assess their network security and adapt the mitigation measures outlined in our Emergency Directive. If you are using a vulnerable product on your network, you should consider your door wide open to any number of threats.”       CISAのディレクターであるジェン・イースタリー氏は、次のように述べています。「log4jの脆弱性は、連邦政府のネットワークセキュリティに受け入れがたいリスクをもたらします。 CISAは、連邦政府の民間機関がネットワークを保護するために今すぐ行動を起こすよう、この緊急指令を出しました。 また、CISAは、規模の大小を問わず、すべての組織が連邦政府に倣い、同様の手順でネットワークセキュリティを評価し、緊急指令に記載されている緩和策を適応することを強く求めています。 脆弱な製品をネットワーク上で使用している場合は、あらゆる脅威に対してドアが大きく開いていると考えるべきです」。     
This emergency action is based on: (1) the current exploitation of these vulnerabilities by threat actors in external network environments, (2) the likelihood of the vulnerabilities being exploited, (3) the prevalence of the affected software in the federal enterprise, (4) the high potential for a compromise of agency information systems, and (5) the potential impact of a successful compromise.       この緊急措置は、以下に基づいています。今回の緊急措置は、(1)現在、外部のネットワーク環境で脅威者がこれらの脆弱性を悪用していること、(2)脆弱性が悪用される可能性が高いこと、(3)連邦政府の企業内で影響を受けるソフトウェアが広く使われていること、(4)政府機関の情報システムが侵害される可能性が高いこと、(5)侵害が成功した場合の潜在的な影響などを考慮したものです。      
CISA has set up a dedicated webpage with Log4j mitigation guidance and resources for network defenders, as well as a community-sourced GitHub repository of affected devices and services. CISAは、Log4j緩和策のガイダンスとネットワーク防御者のためのリソースを掲載した専用ウェブページを開設し、影響を受ける機器やサービスを集めたコミュニティソースのGitHubリポジトリも用意しました。     
CISA encourages public and private sector organizations to utilize these resources and take immediate steps to mitigate against this vulnerability.  Read the full Emergency Directive (ED) 22-02 here.   CISAは、公共機関や民間企業がこれらのリソースを活用し、この脆弱性を緩和するための対策を早急に講じることを推奨しています。  緊急指令(ED)22-02の全文はこちらを参照してください。  

 

緊急指令 22-02

・2021.12.17 EMERGENCY DIRECTIVE 22-02 MITIGATE APACHE LOG4J VULNERABILITY

EMERGENCY DIRECTIVE 22-02 MITIGATE APACHE LOG4J VULNERABILITY 緊急指令22-02 Apache Log4jの脆弱性に対応せよ
Section 3553(h) of title 44, U.S. Code, authorizes the Secretary of Homeland Security, in response to a known or reasonably suspected information security threat, vulnerability, or incident that represents a substantial threat to the information security of an agency, to “issue an emergency directive to the head of an agency to take any lawful action with respect to the operation of the information system, including such systems used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information, for the purpose of protecting the information system from, or mitigating, an information security threat.” 44 U.S.C. § 3553(h)(1)–(2). Section 2205(3) of the Homeland Security Act of 2002, as amended, delegates this authority to the Director of the Cybersecurity and Infrastructure Security Agency. 6 U.S.C. § 655(3). Federal agencies are required to comply with these directives. 44 U.S.C. § 3554 (a)(1)(B)(v). These directives do not apply to statutorily defined “national security systems” nor to systems operated by the Department of Defense or the Intelligence Community. 44 U.S.C. § 3553(d), (e)(2), (e)(3), (h)(1)(B). U.S.コード 第44章 第3553(h)項は、Homepage長官に権限を与えています。コードのタイトル44の3553(h)項は、国土安全保障長官が、機関の情報セキュリティに対する実質的な脅威を示す既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、または事件に対応して、「情報セキュリティ上の脅威から情報システムを保護する、または情報セキュリティ上の脅威を軽減する目的で、機関の情報を収集、処理、保存、送信、普及、またはその他の方法で維持する、機関を代表して他の事業体が使用または運営するシステムを含む情報システムの運用に関して、合法的な行動をとるために、機関の長に緊急指令を発行する」ことを許可しています(U.S.コード 第44章 第3553条(h)項(1)-(2))。改正2002年国土安全保障法第2205条(3)は、この権限をサイバーセキュリティ・インフラセキュリティ庁長官に委任しています。( U.S.コード 第6章 第655条(3))。連邦機関はこれらの指令を遵守することが求められます。(U.S.コード 第44章 第3554条 (a)(1)(B)(v))。これらの指令は、法律で定義された「国家安全保障システム」には適用されず、国防総省や情報コミュニティが運営するシステムにも適用されません(U.S.コード 第44章 第3554条 (d), (e)(2), (e)(3), (h)(1)(B))。
Background 背景
series of vulnerabilities in the popular Java-based logging library Log4j are under active exploitation by multiple threat actors. 人気の高いJavaベースのログ収集ライブラリLog4jには一連の脆弱性があり、複数の脅威関係者によって活発に利用されています。
Exploitation of one of these vulnerabilities allows an unauthenticated attacker to remotely execute code on a server. Successful exploitation can occur even if the software accepting data input is not written in Java; such software is able to pass malicious strings to other (back end) systems that are written in Java. これらの脆弱性を悪用すると、認証されていない攻撃者がリモートでサーバ上のコードを実行することができます。このようなソフトウェアは、悪意のある文字列をJavaで記述された他の(バックエンド)システムに渡すことができます。
CISA has determined that this vulnerability poses an unacceptable risk to Federal Civilian Executive Branch agencies and requires emergency action. This determination is based on the current exploitation of this vulnerability by threat actors in the wild, the likelihood of further exploitation of the vulnerability, the prevalence of the affected software in the federal enterprise, and the high potential for a compromise of agency information systems. CISAは、この脆弱性が連邦文民執行機関に許容できないリスクをもたらすものであり、緊急措置が必要であると判断しました。この判断は、現在、脅威者がこの脆弱性を悪用していること、脆弱性がさらに悪用される可能性があること、影響を受けるソフトウェアが連邦企業内で普及していること、そして機関の情報システムが危険にさらされる可能性が高いことに基づいています。
This Emergency Directive does not affect or supersede related requirements imposed by Binding Operational Directives 22-01 or 19-02 except as noted in Action 3 below. As defined by BOD 22-01, CVE-2021-44228 has been added to CISA’s catalog of known exploited vulnerabilities (KEVs). CISA will continue to add KEVs related to this vulnerability as needed. Off-the-shelf applications must be updated in accordance with BOD 22-01 requirements as updates become available for various software products. この緊急指令は、以下のアクション3に記載されている場合を除き、統合運用指令 (BOD)  22-01または19-02によって課される関連要件に影響を与えたり、これに取って代わるものではありません。BOD 22-01で定義されているように、CVE-2021-44228はCISAの既知の悪用される脆弱性(KEV)のカタログに追加されました。CISAは、必要に応じてこの脆弱性に関連するKEVを追加していきます。既製のアプリケーションは、様々なソフトウェア製品のアップデートが利用可能になった時点で、BOD 22-01の要件に従ってアップデートする必要があります。
While the current version of this emergency directive prioritizes solution stacks accepting data input from the internet, CISA strongly recommends the same actions against the entirety of agencies’ infrastructure. For the purposes of this directive, a solution stack is defined as a collection of connected IT technologies (hardware, firmware, and software) that require no other IT technologies to provide a service. As this is an evolving situation, CISA will issue supplemental direction applicable to broader agency-owned information technologies (IT) and operational technologies (OT). この緊急指令の現在のバージョンでは、インターネットからのデータ入力を受け付けるソリューションスタックを優先していますが、CISAは、機関のインフラ全体に対しても同様の対応を行うことを強く推奨します。この指令では、ソリューション・スタックとは、サービスを提供するために他のIT技術を必要としない、接続されたIT技術(ハードウェア、ファームウェア、ソフトウェア)の集合体と定義されています。これは発展途上の状況であるため、CISAは、より広範な省庁所有の情報技術(IT)および運用技術(OT)に適用される補足的な指示を発行する予定です。
Required Actions 必要なアクション
By 5 pm EST on December 23, 2021: 2021年12月23日午後5時(米国東部標準時)までに
1. Enumerate all solution stacks accepting data input from the internet. インターネットからのデータ入力を受け付けるすべてのソリューションスタックを列挙する。
2. Evaluate all software assets in identified solution stacks against the CISA-managed GitHub repository to determine whether Log4j is present in those assets and if so, whether those assets are affected by the vulnerability. 特定されたソリューションスタック内のすべてのソフトウェア資産を、CISAが管理するGitHubリポジトリと照合して評価し、それらの資産にLog4jが存在するかどうか、存在する場合はその資産が脆弱性の影響を受けるかどうかを判断する。
a. If the software product is not listed in the repository, request addition by submitting a “pull” request using the link on the GitHub page[1]. ソフトウェア製品がリポジトリに掲載されていない場合は、GitHubページ[1]のリンクから「pull」リクエストを送信して追加を依頼する。
3. For all software assets that agencies identify as affected by CVE-2021-44228: 機関がCVE-2021-44228の影響を受けると特定したすべてのソフトウェア資産について、
a. Update assets for which patches have been provided. Remediation timelines prescribed in BOD 22-01 “may be adjusted in the case of grave risk to the Federal Enterprise.” Given the criticality of CVE-2021-44228, agencies must immediately patch any vulnerable internet-facing devices for which patches are available, under an emergency change window. パッチが提供されている資産を更新する。BOD 22-01に規定されている修復スケジュールは、「連邦政府機関に重大なリスクがある場合には調整されることがある」とされている。CVE-2021-44228の重大性に鑑み、政府機関は、パッチが提供されている脆弱なインターネット接続機器に対して、緊急変更枠で直ちにパッチを適用しなければならない。
OR または
b. Mitigate the risk of vulnerability exploitation using one of mitigating measures provided at: link. リンク先の緩和策のいずれかを用いて、脆弱性の悪用のリスクを軽減する。
OR または
c. Remove affected software assets from agency networks. 影響を受けるソフトウェア資産をネットワークから削除する。
4. For all solution stacks containing software that agencies identified as affected: assume compromise, identify common post-exploit sources and activity, and persistently investigate and monitor for signs of malicious activity and anomalous traffic patterns (e.g., JDNI LDAP/RMI outbound traffic, DMZ systems initiating outbound connections). 機関が影響を受けると特定したソフトウェアを含むすべてのソリューションスタックについて、侵害を想定し、侵害後の一般的なソースと活動を特定し、悪意のある活動の兆候と異常なトラフィックパターン(JDNI LDAP/RMI送信トラフィック、送信接続を開始するDMZシステムなど)を継続的に調査・監視する。
By 5 pm EST on December 28, 2021: 2021年12月28日午後5時(米国東部標準時)までに
5. Report all affected software applications identified in (3) above using the provided template, including: 上記(3)で特定された影響を受けるすべてのソフトウェアアプリケーションを、提供されたテンプレートを使用して、以下を報告する。
 1. Vendor name ベンダー名
 2. Application name and version アプリケーション名とバージョン
 3. Action taken (e.g. updated, mitigated, removed from agency network) 実施した措置(例:更新、緩和、機関のネットワークからの削除)
6. Confirm with vulnerability@cisa.dhs.gov that your agency’s Internet-accessible IP addresses on file with CISA are up to date, as required by CISA Binding Operational Directive 19-02. CISA BOD 19-02で要求されているように、CISAに登録されている自機関のインターネット・アクセス可能なIPアドレスが最新であることをvulnerability@cisa.dhs.govで確認する。
These required actions apply to agency applications in any information system, including an information system used or operated by another entity on behalf of an agency, that collects, processes, stores, transmits, disseminates, or otherwise maintains agency information (i.e. all applications in agency ATO boundaries). これらの必要な措置は、機関の情報を収集、処理、保存、送信、配布、またはその他の方法で維持する、機関に代わって他の事業体が使用または運営する情報システムを含む、あらゆる情報システム内の機関アプリケーションに適用される(すなわち、機関のATO境界内のすべてのアプリケーション)。
For federal information systems hosted in third-party environments (such as cloud) each agency is responsible for maintaining an inventory of its information systems hosted in those environments (FedRAMP Authorized or otherwise), conducting all necessary reporting to CISA accounting for such systems, and working with service providers directly for status updates pertaining to, and to ensure compliance with, this Directive. サードパーティ環境(クラウドなど)でホストされている連邦政府の情報システムについては、各機関は、これらの環境(FedRAMP 認可またはその他)でホストされている情報システムのインベントリを維持し、当該システムの CISA 会計に必要なすべての報告を行い、本指令に関連するステータスの更新や本指令への準拠を確保するためにサービス・プロバイダーと直接連携する責任を負う。
[1] Creating a pull request - GitHub Docs, (web)  [1] Creating a pull request - GitHub Docs, (web) 
CISA Actions CISAの対応
CISA will continue to work with our partners to monitor for active exploitation associated with these vulnerabilities and will notify agencies and provide additional guidance, as appropriate. CISAは、パートナーと協力して、これらの脆弱性に関連した活発な悪用を監視し続け、必要に応じて政府機関に通知し、追加のガイダンスを提供する。
CISA will provide technical assistance to agencies who are without internal capabilities sufficient to comply with this Directive. CISAは、本指令に準拠するのに十分な内部能力を持たない機関に技術支援を提供する。
By February 15, 2022, CISA will provide a report to the Secretary of Homeland Security and the Director of the Office of Management and Budget (OMB) identifying cross-agency status and outstanding issues. 2022年2月15日までに、CISAは国土安全保障長官と行政管理予算局(OMB)長官に、省庁横断的な状況と未解決の問題を示す報告書を提出する。
Duration 期間
This Emergency Directive remains in effect until CISA determines that all agencies operating affected software have performed all required actions from this Directive or the Directive is terminated through other appropriate action. この緊急指令は、影響を受けるソフトウェアを運用するすべての機関がこの指令から必要なすべての行動を実行したとCISAが判断するか、他の適切な行動によって指令が終了するまで有効である。

 

Fig1_20210731004501


● まるちゃんの情報セキュリティきまぐれ日記

・2021.12.13 Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

| | Comments (0)

ドイツ BSI 量子セキュア暗号の現状に関するガイドライン

こんにちは、丸山満彦です。

連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) が、新しいガイド「暗号技術を量子的に安全なものにするために-基礎、開発、提言」を公開していますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.12.16 BSI veröffentlicht Leitfaden zum aktuellen Stand der quantensicheren Kryptografie

 

BSI veröffentlicht Leitfaden zum aktuellen Stand der quantensicheren Kryptografie BSI、量子安全暗号の現状に関するガイドを発行
Quantencomputer, Quantenkryptografie und Quantentechnologien – die Entwicklungen in diesem Bereich scheinen zunehmend unübersichtlich. Der neue Leitfaden des Bundesamts für Sicherheit in der Informationstechnik (BSI) „Kryptografie quantensicher gestalten – Grundlagen, Entwicklungen, Empfehlungen“ fasst den aktuellen Forschungsstand zusammen. Der Leitfaden bietet einen umfassenden Überblick über die Grundlagen, beleuchtet Zusammenhänge der neuesten Entwicklungen, diskutiert aktuelle Maßnahmen und benennt offene Forschungsfragen. Außerdem beschreibt er Chancen und Risiken der Quantum Key Distribution (QKD), die als Lösung für quantensichere Kryptografie zwar noch einige Fragen offen lässt, aber auf großes Interesse stößt und stark gefördert wird. 量子コンピューター、量子暗号、量子技術......この分野の発展は、ますます混迷を極めているように思えます。ドイツ連邦情報セキュリティ局(BSI)の新しいガイド「暗号技術を量子的に安全なものにするために-基礎、開発、提言」は、研究の現状をまとめたものです。このガイドでは、基礎知識を包括的に説明し、最新の開発の相互関係を強調し、現在の対策を議論し、未解決の研究課題を明らかにしています。また、量子安全暗号のソリューションとしてはまだ疑問が残るものの、大きな関心を集めており、強力に推進されている量子鍵配送(QKD)の可能性とリスクについても解説しています。
Die Publikation wendet sich insbesondere an Hersteller und Betreiber von Informations- und Kommunikationstechnik, um die Migration zu quantensicherer Kryptografie rechtzeitig einzuleiten und sicher zu gestalten. Informationssicherheit ist die Voraussetzung für eine gelingende Digitalisierung in Deutschland. Mit dem Leitfaden möchte das BSI insbesondere auf die Wichtigkeit des Themas aufmerksam machen, da für eine Migration vor allem anderen zunächst das Problembewusstsein wichtig ist. この出版物は、特に情報通信技術のメーカーやオペレーターを対象としており、量子安全暗号への移行を余裕を持って開始し、安全性を確保することを目的としています。ドイツでデジタル化を成功させるには、情報セキュリティが必須条件です。このガイドラインで、BSIはこのテーマの重要性に特に注意を喚起したいと思います。なぜなら、何よりもまず、問題に対する認識が移住には重要だからです。
Denn Quantentechnologien werden in Zukunft große Auswirkungen auf die Informationssicherheit haben, da die Entwicklung leistungsfähiger Quantencomputer die Sicherheit der heute eingesetzten Public-Key-Kryptografie gefährdet. Die derzeit verfügbaren Quantencomputer sind hierzu noch nicht in der Lage, aber die Entwicklung schreitet schnell voran. Den notwendigen kryptografischen Umbruch gestaltet das BSI als die Cyber-Sicherheitsbehörde des Bundes aktiv mit. というのも、強力な量子コンピューターの開発により、現在使われている公開鍵暗号の安全性が脅かされるなど、量子技術が今後の情報セキュリティに大きな影響を与えるからです。現在利用可能な量子コンピューターは、まだこれに対応していませんが、開発は急速に進んでいます。連邦政府のサイバーセキュリティ当局であるBSIは、必要な暗号の激変の形成に積極的に協力しています。
Mit dem Leitfaden schafft das BSI eine Grundlage für Diskussionen mit der IT-Sicherheits-Community zu quantensicherer Kryptografie. So soll die weitere Forschung vorangetrieben, Entwicklungen beobachtet, offene Fragen angegangen und die Erkenntnisse unter einem Dach zusammengeführt werden. このガイドラインにより、BSIは、量子安全暗号についてITセキュリティコミュニティと議論するための基盤を構築します。このようにして、さらなる研究を進め、発展を観察し、未解決の問題に対処し、その結果を一つの屋根の下にまとめることができるのです。

 

・[PDF] Kryptografie quantensicher gestalten – Grundlagen, Entwicklungen, Empfehlungen

20211219-205835

Grußwort 挨拶
Vorwort Arne Schönbohm, Präsident des Bundesamts für Sicherheit in der Informationstechnik 序文 アルネ・シェーンボーム(連邦情報セキュリティ局長官
Zusammenfassung 概要
Ziel des Dokuments und Abgrenzung  ドキュメントの目的と区分け 
1 Quantencomputer und ihre Anwendung in der Kryptografie 1 量子コンピュータとその暗号技術への応用
1.1 Quantencomputer  1.1 量子コンピュータ 
1.2 Quantenalgorithmen 1.2 量子アルゴリズム
1.2.1 Shor-Algorithmen 1.2.1 Shorのアルゴリズム
1.2.2 Grover-Algorithmus 1.2.2 グローバー・アルゴリズム
1.2.3 HHL-Algorithmus 1.2.3 HHLアルゴリズム
1.2.4 Kombination klassischer Algorithmen mit Quantenalgorithmen 1.2.4 古典的アルゴリズムと量子アルゴリズムの組み合わせ
1.3 BSI-Studie: Entwicklungsstand Quantencomputer 1.3 BSI調査:量子コンピュータの開発状況
1.4 Kernbotschaften 1.4 キーメッセージ
2 Post-Quanten-Kryptografie 2 ポスト量子暗号
2.1 State-of-the-Art-Kryptografie und die Bedrohung durch Quantencomputer 2.1 最先端の暗号技術と量子コンピュータの脅威
2.2 Verfahren der Post-Quanten-Kryptografie 2.2 ポスト・クォンタム暗号の手法
2.2.1 Codebasierte Verfahren 2.2.1 コードベースの手法
2.2.2Gitterbasierte Verfahren 2.2.2 格子ベースの手法
2.2.3Hashbasierte Verfahren 2.2.3ハッシュベースの手法
2.3 Standardisierung von Post-Quanten-Kryptografie 2.3 ポストクアンタム暗号の標準化
2.3.1 Schlüsseltransport 2.3.1 主要な輸送手段
2.3.2 Signaturverfahren 2.3.2 署名の手順
2.4 Kernbotschaften 2.4 キーメッセージ
3 Weiterentwicklung von kryptografischen Protokollen 3 暗号プロトコルのさらなる発展
3.1 Hybride Ansätze für Schlüsseleinigung und digitale Signaturen 3.1 鍵合意とデジタル署名のハイブリッドアプローチ
3.1.1 Schlüsseleinigung 3.1.1 主要な合意事項
3.1.2 Hybride Signaturen und Anpassung von Public-Key-Infrastrukturen 3.1.2 ハイブリッド・シグネチャと公開鍵基盤の適応
3.2 Internet Key Exchange Protocol Version 2 (IKEv2) 3.2 インターネット鍵交換プロトコルバージョン2(IKEv2)
3.3 Transport Layer Security (TLS) 3.3 トランスポート・レイヤー・セキュリティ(TLS)
3.4 X.509-Zertifikate 3.4 X.509証明書
3.5 Kernbotschaften 3.5 コアメッセージ
4 Quantum Key Distribution 4 量子鍵の配布
4.1 QKD-Protokolle 4.1 QKDプロトコル
4.2 Sicherheit von QKD-Protokollen 4.2 QKDプロトコルのセキュリティ
4.2.1 Sicherheitskriterien und -beweise 4.2.1 セキュリティ基準とその証明
4.2.2 Informationstheoretische Sicherheit 4.2.2 情報理論的セキュリティ
4.2.3 Seitenkanalangriffe 4.2.3 サイドチャネル攻撃
4.2.4 Authentisierung 4.2.4 認証
4.2.5 Zufallszahlengeneratoren 4.2.5 乱数発生器
4.3Einschränkungen und Chancen der Quantenkryptografie 4.3量子暗号の限界と可能性
4.3.1Vorverteilte Schlüssel 4.3.1再分配されたキー
4.3.2Beschränkte Reichweite 4.3.2限られた範囲
4.3.3 Kosten und Hersteller 4.3.3 コストとメーカー
4.3.4 Chancen von QKD 4.3.4 QKDの機会
4.4 Standardisierung und Zertifizierung 4.4 標準化と認証
4.5 Einschätzung und Empfehlungen 4.5 評価と提言
4.6 Kernbotschaften 4.6 キーメッセージ
5 Entwicklungen in Politik, Forschung und Industrie 5 政治・研究・産業界の動向
5.1 Rahmenprogramme der Bundesregierung 5.1 連邦政府の枠組みプログラム
5.2 Konjunktur- und Zukunftspaket der Bundesregierung 5.2 連邦政府の経済刺激策と将来のパッケージ
5.3 EU-Flaggschiffprogramm „Quantum Technologies“ 5.3 EUフラグシッププログラム「量子技術
5.4 EuroHPC JU 5.4 EuroHPC JU
5.5 QuNET 5.5 QuNET
5.6 Q.Link.X und QR.X 5.6 Q.Link.XとQR.X
5.7 EuroQCI 5.7 EuroQCI
5.8 Industrieverbände 5.8 業界団体
6 Handlungsempfehlungen 6 アクションのための推奨事項
6.1 Vorbereitung 6.1 準備
6.2 Kryptoagilität 6.2 Cryptoagility
6.3 Kurzfristige Schutzmaßnahmen 6.3 短期的な保護対策
6.4 Schlüssellängen für symmetrische Verschlüsselung 6.4 対称型暗号の鍵長
6.5 Hybride Lösungen 6.5 ハイブリッドソリューション
6.6 Post-Quanten-Verfahren zur Schlüsseleinigung 6.6 ポストクォンタム方式による鍵合意の方法
6.7 Hashbasierte Signaturverfahren für Firmware-Updates 6.7 ファームウェアアップデートのためのハッシュベースの署名方法
6.8 Allgemeine Signaturverfahren zur Authentisierung 6.8 認証のための一般的な署名手続き
6.9 Anpassung von kryptografischen Protokollen 6.9 暗号プロトコルの適合性
6.10 Migration zu quantensicheren Public-Key-Infrastrukturen 6.10 量子安全な公開鍵基盤への移行
6.11 Empfehlungen zu Quantum Key Distribution 6.11 Quantum Key Distributionに関する提言
6.12 Migration zu Post-Quanten-Kryptografie hat Priorität vor dem Einsatz von QKD 6.12 ポストクォンタム暗号への移行はQKDの使用よりも優先される
6.13 Notwendigkeit weiterer Forschung zu quantensicherer Kryptografie 6.13 量子安全暗号のさらなる研究の必要性
Abkürzungsverzeichnis   略語の一覧  
Literaturverzeichnis  参考文献 
Impressum  プリント 

 

Quantentechnologien und quantensichere Kryptografie

 

| | Comments (0)

2021.12.19

中国習近平国家主席とロシア連邦大統領のビデオ会談

こんにちは、丸山満彦です。

北京冬季オリンピックを前にした12月15日に、中国習近平国家主席とロシア連邦大統領のビデオ会談を開催しているので、備忘録...今年2回目ということです。。。

中国人民政府 - 外交部

2021.12.15 习近平同俄罗斯总统普京举行视频会晤 習近平国家主席がロシアのプーチン大統領とビデオ会議を開催

翌日の記者会見

2021.12.16 外交部就中俄元首举行视频会晤有关情况等答问 外交部 ロシアと中国の国家元首のビデオ会談に関する質問に回答

 

 

ロシア- 大統領府

英語のページがありました。。。

・2021.12.15 Talks with President of China Xi Jinping

 

Fig1_20211219223701

 

| | Comments (0)

米国 NSAとCISAが5Gクラウド基盤のセキュリティガイダンス:(第4部)クラウド基盤の完全性の確保を公表

こんにちは、丸山満彦です。

NSAとCISAが、5Gクラウド基盤のセキュリティガイダンス:(第4部)クラウド基盤の完全性の確保を公表していますね。。。

● CISA

ESF MEMBERS, NSA AND CISA PUBLISH THE FOURTH INSTALLMENT OF 5G CYBERSECURITY GUIDANCE

ESF MEMBERS, NSA AND CISA PUBLISH THE FOURTH INSTALLMENT OF 5G CYBERSECURITY GUIDANCE ESFメンバー、NSAとCISAが5Gサイバーセキュリティガイダンスのパート4を発表

WASHINGTON - The National Security Agency (NSA) and the Cybersecurity and Infrastructure Security Agency (CISA) published the fourth installment on securing integrity of 5G cloud infrastructures, Ensure Integrity of Cloud Infrastructure. As 5G networks and devices continue to increase in popularity, the importance of platform security to harden your systems against malicious cyber activity and persistence is apparent.
ワシントン発 - 米国家安全保障局(NSA)と米国サイバーセキュリティ・重要インフラセキュリティ局(CISA)は、5Gクラウド基盤のセキュリティガイダンス:(パート4)クラウド基盤の完全性の確保を公開しました。5Gネットワークやデバイスの普及が進む中、悪意のあるサイバー活動や持続性に対してシステムを硬化させるプラットフォームセキュリティの重要性が明らかになっています。
This guidance has been created by the Critical Infrastructure Partnership Advisory Council (CIPAC) Cross Sector Enduring Security Framework (ESF) Working Group - a public-private working group led by NSA and CISA, that provides cybersecurity guidance addressing high priority threats to the nation’s critical infrastructure. このガイダンスは、NSAとCISAが主導する官民ワーキンググループである重要基盤・パートナーシップ諮問委員会(CIPAC)クロスセクター永続的セキュリティフレームワーク(ESF)ワーキンググループによって作成されたもので、国の重要基盤に対する優先度の高い脅威に対処するサイバーセキュリティガイダンスを提供しています。
Ensure Integrity of Cloud Infrastructure provides guidance on platform integrity, build time security, launch time integrity, and micro services infrastructure integrity. An industry trend has been to deploy stand-alone 5G core using virtualized functions of micro services on an architecture that provides rapid enablement of services. It is imperative for device and system security that the underlying 5G cloud infrastructure platform on which micro services are deployed, or orchestrated, have been designed and built securely and continue operating as intended. 「クラウド基盤の完全性の確保」では、プラットフォームの整合性、構築時のセキュリティ、起動時の整合性、マイクロサービスインフラの整合性に関するガイダンスを提供しています。業界のトレンドは、サービスの迅速な導入を可能にするアーキテクチャ上で、マイクロサービスの仮想化機能を使用したスタンドアロン型の5Gコアを展開することです。デバイスやシステムのセキュリティを確保するためには、マイクロサービスの展開やオーケストレーションの基盤となる5Gクラウド基盤プラットフォームが安全に設計・構築され、意図されたとおりに動作し続けることが不可欠です。
“A secure 5G core requires cybersecurity mitigations that are implemented at the foundation level and carried forward," said Jorge Laurel, NSA Project Director for ESF.  “A secure underlying foundation ensures the services deployed on the network are done so on a secure infrastructure, which further strengthens the security of data across the network.” NSAのESFプロジェクト・ディレクターであるホルヘ・ローレルは以下のように述べています。「安全な5Gコアには、基礎レベルで実施され、かつ継続的に実施されるサイバーセキュリティの緩和策が必要です。安全な基盤は、ネットワーク上に展開されるサービスが安全なインフラ上で行われていることを保証し、ネットワーク上のデータのセキュリティをさらに強化します。」
“The document provides actionable advice for 5G operators, said Neal Ziring, NSA Cybersecurity Technical Director. “The fourth installment in the series covers an essential topic: integrity. Integrity is the most fundamental security property, and ensuring integrity from base hardware up through the software stack is critical for maintaining trustworthy 5G services.” NSAサイバーセキュリティテクニカルディレクターのNeal Ziring氏は以下のように述べています。「この文書は、5G事業者にとって実用的なアドバイスを提供しています。シリーズパート4では、不可欠なトピックである「完全性」を取り上げています。完全性は最も基本的なセキュリティ特性であり、ベースとなるハードウェアからソフトウェアスタックを介して完全性を確保することは、信頼できる5Gサービスを維持するために不可欠です」。
“The issues facing the cloud community, such as lateral movement to pod security and infrastructure integrity, are complex as are their solutions,” said Alaina Clark, Assistant Director of Stakeholder Engagement, CISA. “This series demonstrates the value of collaboration, spotlighting several cyber best practices that cloud providers, mobile network operators, and customers alike can implement for long-term security benefits. With our ESF government and industry associates, CISA will continue working with the Cloud and 5G communities to secure our Nation’s network infrastructure through partnership efforts like this.” CISAのステークホルダー・エンゲージメント担当アシスタントディレクターであるアレーナ・クラークは、以下のように述べています。「クラウドコミュニティが直面している問題は、ポッドセキュリティやインフラの完全性に対する横展開の動きなど、その解決策も含めて複雑です。このシリーズは、クラウド事業者、モバイルネットワーク事業者、そして顧客が、長期的なセキュリティ上のメリットを得るために実施できる、いくつかのサイバーベストプラクティスに焦点を当て、コラボレーションの価値を示すものです。CISAは、ESFの政府機関や業界関係者とともに、クラウドや5Gのコミュニティと協力して、このようなパートナーシップ活動を通じて、わが国のネットワークインフラの安全性を確保していきます」と述べています。
See below for the other documents in the 5G Cloud Infrastructure series or visit the CISA 5G webpage.  For more timely, unique and actionable cybersecurity guidance from CISA and our partners, visit our full library. 5Gクラウドインフラシリーズの他のドキュメントについては、以下をご覧いただくか、CISAの5Gウェブページをご覧ください。  CISAとパートナーが提供するタイムリーでユニーク、かつ実用的なサイバーセキュリティガイダンスについては、CISAの全ライブラリをご覧ください。
Related White Papers: 関連するホワイトペーパー
Potential Threat Vectors to 5G Infrastructure 5Gインフラへの潜在的な脅威のベクター
Security Guidance for 5G Cloud Infrastructures: Prevent and Detect Lateral Movement (Part I) 5Gクラウド基盤のセキュリティガイダンス:(パート1)横展開の防止と検知
Security Guidance for 5G Cloud Infrastructures: Securely Isolate Network Resources (Part II) 5Gクラウド基盤のセキュリティガイダンス:(パート2)ネットワークリソースを安全に分離する
Security Guidance for 5G Cloud Infrastructures: Data Protection (Part III) 5Gクラウド基盤のセキュリティガイダンス:(パート3)データ保護

・[PDF] Security Guidance for 5G Cloud Infrastructures: Part IV:Ensure Integrity of Cloud Infrastructure

20211219-150511

Background 背景
Scope 範囲
5G Cloud Security Challenge Overview 5Gクラウドセキュリティチャレンジの概要
5G Threat 5Gの脅威
5G Cloud Security Guidance 5Gクラウドセキュリティガイダンス
Ensure Integrity of Cloud Infrastructure クラウド基盤の完全性の確保
Platform Node Integrity プラットフォームノードの完全性
Container Platform Integrity コンテナプラットフォームの完全性
Launch Time Integrity 起動時間の完全性
Container Encryption/ Decryption Of Images On Trusted Platforms 信頼できるプラットフォーム上でのイメージのコンテナ暗号化/復号
Container Image Hygiene コンテナイメージの衛生
Conclusion 結論

 


 

パート1だけブログに取り上げていました。。。

 

まるちゃんの情報セキュリティきまぐれ日記

・2021.10.31 米国 NSA CISA 「5Gクラウド基盤のセキュリティガイダンス:(パート1)横展開の防止と検知」を公表

 

| | Comments (0)

警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

こんにちは、丸山満彦です。

サイバーセキュリティ政策会議の令和3年度の報告書、サイバー局等新組織において取り組む政策パッケージが公開されていますね。。。サイバー犯罪は国境のない犯罪と当初から言われていますので、国際連携が重要なのでしょうね。。。

国内でも県境を超えた捜査ができるのと同様に、国際的にも国境を超えた捜査ができることが重要なのでしょう。犯罪者に対してはイデオロギーが関係ないケースも多いでしょうから、そういう場合は、イデオロギーの違いを超えて連携していくことが重要だと思います。

 

● 警察庁 - サイバーセキュリティ政策会議

・2021.12.17 令和3年度サイバーセキュリティ政策会議について


【令和3年度】サイバー局等新組織において取り組む政策パッケージ

 デジタル化の進展等によりサイバー空間は全国民の参画する公共空間へと進化しつつある一方、ランサムウェアやサイバー攻撃による被害が多発するなど脅威は極めて深刻です。このような情勢に対処するため、警察庁では、令和4年度にサイバー局及びサイバー隊(いずれも仮称)を設置する検討を進めています。
 令和3年度の政策会議では、これら新組織を真に実効性のある組織として確立するため、実空間とサイバー空間とが融合したデジタル社会において顕在化しつつあるリスク、サイバー局及びサイバー隊に求められる役割、その役割を全うする上での政策課題及びその解決のための具体的な施策について報告書として取りまとめていただきました。


・報告書

 ・[PDF] 本編

20211219-140814

はじめに

1 情勢認識

1.1 公共空間化するサイバー空間
 (1) 公共空間化するサイバー空間
 (2) 公共空間としての安全と安心
 (3) 令和2年度サイバーセキュリティ政策会議における議論

1.2 実空間とサイバー空間との融合
 (1) 加速するデジタル化
 (2) 技術やインフラの進展による実空間とサイバー空間との融合現象

1.3 顕在化しつつあるリスク
1.3.1 デジタル化に伴うリスク
 (1) サイバー空間におけるデータの価値の増大と潜在的被害の拡大
 (2) 人間の認知判断能力の限界の悪用
 (3) 拡大するサイバー事案の影響範囲
1.3.2 国際情勢から見たリスク
1.3.3 サイバー犯罪者集団等によるリスク

2 基本理念及び政策課題

2.1 基本理念 ~新組織が果たすべき役割~

2.2 政策課題
2.2.1 対処体制の強化
2.2.2 国際連携・対応の強化
2.2.3 実態把握と社会変化への適応力の強化
2.2.4 社会全体でつくる安全・安心

3 具体的な施策

3.1 対処体制の強化

3.2 国際連携・対応の強化

3.3 実態把握と社会変化への適応力の強化

3.4 社会全体でつくる安全・安心

おわりに


 ・[PDF] 概要編

20211219-140945

・ [PDF] 委員名簿

 

・発言要旨

 ・[PDF] (第1回)

 ・[PDF] (第2回)

 

 

 

| | Comments (0)

NATO CCDCOE 2022年版サイバーセキュリティトレーニングカタログ

こんにちは、丸山満彦です。

NATOの協同サイバー防衛センター・オブ・エクセレンス (CCDCOE) が2022年のトレーニングカタログを公開していますね。。。

コースは次のようなもののようです。。。

  • 技術、法律、運用などインハウス/オンラインコース (20)
  • モバイルコース (9)
  • e-Learningコース(複数)
  • 技術的なサイバー演習 (2)
  • 実践的なワークショップ(複数)
  • 年次会議
The Training Catalogue for 2022 is out! 2022年のトレーニングカタログが公開されました
The NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) is committed to improving the training offerings to address a wide range of aspects of the ever-developing cyber domain in order to enhance competence collectively. NATO協同サイバー防衛センター・オブ・エクセレンス (CCDCOE) は、発展を続けるサイバー領域の様々な側面に対応し、総合的に能力を向上させるために、トレーニング内容の充実を図っています。
Since 2010, the CCDCOE has trained 3750 students in order to enhance competence within the technical, legal, strategic, and operational cyber security domain and meet the training needs of the Centre’s Sponsoring Nations and Contributing Participants, as well as the whole North Atlantic Treaty Organisation. CCDCOEは、2010年以来、3750人の学生を対象に、技術、法律、戦略、運用の各分野におけるサイバー・セキュリティの能力を高めるための研修を行っており、センターの主催国や貢献参加国、さらには北大西洋条約機構全体の研修ニーズに応えています。
“Our training activities have been developed by subject-matter experts in cooperation with international organisation and industry to provide knowledge, methods, techniques, and best practices that empower the training audience to effectively cope with the current and emerging real-life cyber challenges,” said the Director of the CCDCOE Colonel Jaak Tarien. CCDCOEのディレクターであるJaak Tarien大佐は、以下のように述べています。「私たちのトレーニング活動は、国際機関や産業界と協力して、対象分野の専門家によって開発されており、トレーニングを受ける人たちが、現在および今後の現実のサイバー課題に効果的に対処できるような知識、方法、技術、およびベストプラクティスを提供しています。」
Col Tarien added that with these training offerings, the NATO Cooperative Cyber Defence Centre of Excellence continues its tradition of quality and advances its mission to enhance capability, cooperation and information sharing between NATO, its member nations, and its partners in cyber defence. Jaak Tarien大佐は、「これらのトレーニングを提供することで、NATO協同サイバー防衛センター・オブ・エクセレンスは、その伝統的な品質を維持し、NATOとその加盟国、そしてサイバー防衛におけるパートナー間の能力、協力、情報共有を強化するという使命を推進しています。」と付け加えました。
The programme for 2022 consists of 20 in-house/online courses – technical, legal and operational, 9 mobile courses, several e-Learning courses, two technical cyber exercises, a number of hands-on workshops and an annual conference. 2022年のプログラムは、技術、法律、運用など20のインハウス/オンラインコース、9つのモバイルコース、いくつかのe-Learningコース、2つの技術的なサイバー演習、いくつかの実践的なワークショップ、そして年次会議で構成されています。
For example, this year’s courses include: 例えば、今年のコースは以下の通りです。
● Integration Cyber Considerations into Operational Planning Course („NATO Approved“) course: the main target audience is operational planners – non-experts in cyber. ● 運用計画へのサイバーに関する考慮事項の統合コース(「NATO承認」コース):主な対象者は作戦立案者で、サイバーの専門家ではありません。
● International Law of Cyber Operations Course (“NATO Approved”) course. ● サイバー作戦の国際法コース("NATO Approved")コース。
The main target audiences are: 主な対象者は
○ Military and civilian legal advisors to the armed forces. ○ 軍の法律顧問および文民の法律顧問
○ Intelligence community lawyers. ○ 情報機関の弁護士
○ Other civilian attorneys in governmental security posts. ○ 政府のセキュリティポストに就いているその他の文民法律家
○ Policy specialists who advise on cyber issues and wish to acquire a basic understanding of the applicable legal regimes. ○ サイバー問題について助言を行い、適用される法制度について基本的な理解を得たいと考えている政策専門家
○ Legal scholars and graduate students. ○ 法学者や大学院生
● Cyber Defence Awareness e-Learning course is mandatory already at several NATO organisations, before the staff member starts the work at the NATO position and one of the most popular e-Learing course at the NATO e-Learning Portal. The training audience includes all users of NATO networks. ● サイバー防衛意識向上e-Learningコースは、NATOのいくつかの組織では、スタッフがNATOの役職に就く前に必須となっており、NATOのe-Learning Portalで最も人気のあるe-Learingコースの一つです。トレーニングの対象者は、NATOネットワークのすべてのユーザーです。
In addition to taking part in the training, the participants can test their individual and collective cyber capabilities, share information and knowledge, and network with the international cyber defence community. 研修に参加するだけでなく、参加者は個人および集団のサイバー能力を試したり、情報や知識を共有したり、国際的なサイバー防衛コミュニティとネットワークを構築したりすることができます。
The training catalogue provides the information needed to join our courses and it provides an overview of all scheduled activities for 2022 as well as the intended target audience, objectives and prerequisites. トレーニングカタログには、コースに参加するために必要な情報が掲載されており、2022年に予定されているすべての活動の概要や、想定される対象者、目的、前提条件などが記載されています。
Additional information: https://ccdcoe.org/training 追加情報: https://ccdcoe.org/training

 

・[PDF] NATO CCDCOE TRAINING CATALOGUE, 2022

20211219-65419

コースに内容(目次から...)

In-house training インハウス・トレーニング
Malware and Exploit Essentials Course (MExEC) マルウェアとエクスプロイトの基本コース(MExEC)
Exploit Advanced Course (ExAC) エクスプロイト・上級コース(ExAC)
Cyber Defence Monitoring Course Suite サイバー防衛モニタリング・コース(セット)
Cyber Defence Monitoring Course: Rule-based Threat Detection サイバー防衛モニタリング・コース:ルールベースの脅威検知
Cyber Defence Monitoring Course: Large Scale Packet Capture Analysis サイバー防衛モニタリング・コース :大規模パケットキャプチャ解析
IT Systems Attack and Defence Course (ITSADC) ITシステム攻撃・防御コース(ITSADC)
Reverse Engineering Malware Course (REMC) マルウェアリバースエンジニアリングコース(REMC)
Introductory Digital Forensics Course (IDFC) デジタルフォレンジック入門コース(IDFC)
Industrial Control Systems Security Introductory Course (ICSSIC) 産業用制御システムセキュリティ入門コース(ICSSIC)
Integration Cyber Considerations into Operational Planning Course (ICCOP) 運用計画へのサイバー的考察の組み込みコース(ICCOP)
Critical Information Infrastructure Protection Course (CIIPC) 重要情報インフラ保護コース(CIIPC)
International Law of Cyber Operations Course (ILoCOC) サイバー作戦の国際法コース(ILoCOC)
Operational Cyber Threat Intelligence Course (OCTIC) オペレーショナル・サイバー脅威インテリジェンス・コース(OCTIC)
Executive Cyber Seminar (ECS) エグゼクティブ・サイバー・セミナー(ECS)
Mobile training モバイルトレーニング
e-Learning courses e-ラーニングコース
Cyber Defence Awareness e-Course (ADL 076) サイバー防衛意識向上のためのe-コース(ADL 076)
Cyber Awareness Course, Tallinn Manual Module (ADL 365) サイバー入門コース、タリン・マニュアル・モジュール (ADL 365)
Cyber Awareness Course for System Administrators (ADL 335) システム管理者のためのサイバー啓発コース (ADL 335)
“Digital Forensics and Digital Evidence” Course (ADL 344) 「デジタル・フォレンジックとデジタル証拠」コース (ADL 344)
“Network and Log Monitoring” Course (ADL 345) 「ネットワークとログモニタリングコース(ADL 345)
“Web Application Security” Course (ADL 346) 「Webアプリケーションセキュリティ」コース(ADL 346)
“Critical Infrastructure and Industrial Control Systems” Course (ADL 347) 「重要インフラと産業用制御システム」コース (ADL 347)
“Fighting a Botnet Attack: a Case Study” Course (ADL 348) 「ボットネット攻撃との戦い:ケーススタディ」コース (ADL 348)
“Systematic Approaches to the Mitigation of Cyber Threats” Course (ADL 349) 「サイバー脅威の軽減に向けた体系的アプローチ」コース(ADL 349)
Information Security Management System Course (ADL 343) 情報セキュリティ管理システムコース(ADL 343)
Integrating Cyber Considerations into Operational Planning (ADL 375) 運用計画へのサイバーに関する考慮事項の統合(ADL 375)
Malware and Exploit Essentials (ADL 383) マルウェアおよびエクスプロイト・エッセンシャルズ(ADL 383)
IT Systems Attacks and Defence (ADL 394) ITシステムの攻撃と防御(ADL 394)
Operational Cyber Threat Intelligence (ADL 230) オペレーショナル・サイバースレット・インテリジェンス(ADL 230)

 

| | Comments (0)

英国 AIバロメータ21 公表

こんにちは、丸山満彦です。

英国政府(データ倫理とイノベーションセンター)がAIバロメータの第2版を公表していますね。。。今回は、パンデミックの影響を大きく受けた英国の3つの主要セクター(採用と労働力管理、輸送とロジスティック、教育)を取り上げていますね。。。

 

最も有望な機会

採用と労働力管理

  • 仕事の機会へのより簡単なアクセス
  • 個別の専門能力開発サポート
  • 長期的には差別を減らす

輸送とロジスティクス

教育:

  • 教師の管理上の負担の軽減
  • 教育とマーキングの一貫性の向上
  • 長期的には拡張性のある個別学習を可能にする

最も重大なリスク

  • AIまたはデータの問題のある、または物議を醸す使用が、AI自体に対する一般市民および組織の信頼を損なう可能性
  • アルゴリズムのバイアス
  • 規制当局のリソース

イノベーションへの障壁

  • 信頼:AIとデータの使用に対する信頼が低いと、イノベーションが阻害される
  • 不明確なガバナンス
  • 不整合な市場インセンティブと不十分な市場情報
  • 新形式データ洞察の不明確な科学的妥当性
  • デジタルおよびデータの成熟度の低さ

● U.K. Government - Centre for Data Ethics and Innovation

・2021.12.17 AI Barometer 2021

 ・Part 1 - Summary of findings

 ・Part 2 - Business Innovation Survey 2021 summary

 ・Part 3 - Recruitment and workforce management

 ・Part 4 - Transport and logistics

 ・Part 5 - Education

 ・[PDF] Business Innovation Survey 2021

 

Details 詳細
The CDEI’s AI Barometer is a major analysis of the most pressing opportunities, risks and governance challenges associated with AI and data use in the UK. This edition builds on the first AI Barometer and looks at three further sectors - including recruitment and workforce management, education, and transport and logistics - that have been severely impacted by the COVID-19 pandemic. Alongside the AI Barometer, the CDEI has published the findings from a major survey of UK businesses across eight sectors, which it commissioned Ipsos MORI to conduct to find out about businesses’ readiness to adapt to an increasingly data-driven world. The survey was undertaken between March and May 2021. CDEIのAIバロメーターは、英国におけるAIとデータ利用に関連する最も差し迫った機会、リスク、ガバナンスの課題を大規模に分析したものです。今回は、第1回目の「AIバロメーター」をベースに、COVID-19パンデミックで深刻な影響を受けた、採用・人材管理、教育、輸送・物流などの3つのセクターに注目しています。CDEIは、AIバロメーターと同時に、データ化が進む世界に適応するための企業の準備状況を調べるため、Ipsos MORI社に依頼して実施した、8つのセクターの英国企業を対象とした大規模な調査結果を発表しました。この調査は、2021年3月から5月にかけて実施されました。
To produce the AI Barometer, the CDEI conducted an extensive review of policy and academic literature, and convened over 80 expert panellists from industry, civil society, academia and government. It used a novel comparative survey to enable panellists to meaningfully assess a large number of technological impacts; the results of which informed a series of workshops. CDEIは、AIバロメーターを作成するために、政策や学術文献を幅広く調査し、産業界、市民社会、学界、政府から80名以上の専門家を招集しました。また、パネリストが多数の技術的な影響を有意に評価できるよう、斬新な比較調査を実施し、その結果を一連のワークショップに反映させました。
Key findings 主な調査結果
・The CDEI’s analysis highlights the ‘prize to be won’ in each sector if data and AI are leveraged effectively. It points to the potential for data and AI to be harnessed to increase energy efficiency and drive down carbon emissions; improve fairness in recruitment and management contexts; and enable scalable high quality, personalised education, in turn improving social mobility. ・CDEIの分析では、データとAIが効果的に活用された場合に、各分野で獲得できる「賞」を強調しています。データやAIを活用することで、エネルギー効率の向上や二酸化炭素排出量の削減、採用や管理における公平性の向上、拡張性がある質の高い個人に合わせた教育の実現、ひいては社会的流動性の向上などの可能性を指摘しています。
・In order to realise these opportunities, however, it points to major, cross-sectoral barriers to trustworthy innovation that need to be addressed, ranging from a lack of clarity about governance in specific sectors, to public unease about data and AI are used. ・しかし、これらの機会を実現するためには、特定のセクターにおけるガバナンスの不明確さや、データやAIの利用に対する一般市民の不安など、信頼に足るイノベーションを実現するためのセクター横断的な障壁に対処する必要があると指摘しています。
・The report also ranks a range of risks associated with AI and data use. Top risks common to all sectors examined include: bias in algorithmic decision-making; low accuracy of data-driven tools; the failure of consent mechanisms to give people meaningful control over their data; as well as a lack of transparency around how AI and data is used. ・また、本報告書では、AIやデータの利用に関連するさまざまなリスクをランク付けしています。調査対象となったすべてのセクターに共通する上位のリスクとしては、アルゴリズムによる意思決定の偏り、データ駆動型ツールの低い精度、同意メカニズムが人々に自分のデータに対する意味のあるコントロールを与えられないこと、AIやデータの使用方法に関する透明性の欠如などが挙げられています。
・The major survey of UK businesses generated a range of insights. For example, it revealed that businesses that have extensively deployed data-driven technologies in their processes would like further legal guidance on data collection, use and sharing (78%), as well as subsidised or free legal support on how to interpret regulation (87%). ・英国の企業を対象とした大規模な調査では、さまざまな知見が得られました。例えば、データ駆動型テクノロジーを自社のプロセスに幅広く導入している企業は、データの収集、使用、共有に関するさらなる法的ガイダンス(78%)や、規制の解釈方法に関する補助金または無料の法的サポート(87%)を求めていることが明らかになりました。
Next steps 次のステップ
The CDEI’s work programme is helping to tackle barriers to innovation. It worked with the Recruitment and Employment Confederation to develop industry-led guidance to enable the responsible use of AI in recruitment. It has also set out the steps required to build a world-leading ecosystem of products and services that will drive AI adoption by verifying that data-driven systems are trustworthy, effective and compliant with regulation. Separately, it is working with the Cabinet Office’s Central Digital and Data Office to pilot one of the world’s first national algorithmic transparency standards, as well as with the Office for Artificial Intelligence as it develops the forthcoming White Paper on the governance and regulation of AI. CDEIのワークプログラムは、イノベーションの障壁に取り組むのに役立っています。CDEIは、Recruit and Employment Confederationと協力して、人材紹介におけるAIの責任ある利用を可能にする業界主導のガイダンスを作成しました。また、データ駆動型のシステムが信頼でき、効果的であり、規制に準拠していることを検証することで、AIの導入を促進する製品やサービスの世界最先端のエコシステムを構築するために必要なステップを示しました。これとは別に、内閣府の中央デジタル・データ局と協力して、世界初となる国家的なアルゴリズムの透明性基準の一つを試験的に導入しているほか、人工知能局と協力して、まもなく発行予定のAIのガバナンスと規制に関する白書の作成に取り組んでいます。

 

 

Fig1_20211219053501

 

 

| | Comments (0)

2021.12.18

ロシア 連邦中央銀行 意見募集 2022-2024年の金融市場のデジタル化に関するガイドライン草案 at 2021.12.10

こんにちは、丸山満彦です。

ロシア中央銀行が2022-2024年の金融市場のデジタル化に関するガイドライン草案を公開していますね。。。

Банк России(ロシア連邦中央銀行)

・2021.12.10 Опубликован проект Основных направлений цифровизации финансового рынка на период 2022–2024 годов

 

В целях дальнейшей цифровизации финансового рынка и повышения доступности продуктов и сервисов для граждан и бизнеса Банк России определил стратегические направления развития финансовых технологий на ближайшие три года. 金融市場のデジタル化を進め、市民や企業が商品やサービスをより利用しやすくするために、ロシア銀行は今後3年間の金融技術開発の戦略的方向性を定めました。
Ключевыми задачами до 2024 года станут регулирование оборота данных, экосистем и небанковских поставщиков платежных услуг, а также совершенствование электронного взаимодействия между участниками рынка, государством, гражданами и бизнесом. Продолжится развитие таких инфраструктурных проектов, как Единая биометрическая система, Цифровой профиль, «Маркетплейс» и Система быстрых платежей. Кроме того, планируется внедрение открытых API и создание платформы коммерческих согласий. Особое внимание будет уделено разработке платформ цифрового рубля и «Знай своего клиента». 2024年までの主な目標は、データの回転、エコシステム、ノンバンクの決済サービスプロバイダーを規制すること、そして市場参加者、国家、市民、企業間の電子的なやり取りを改善することです。統一生体認証システム、デジタルプロファイル、マーケットプレイス、高速決済システムなどのインフラプロジェクトは引き続き開発されます。さらに、オープンなAPIを導入し、商業的な同意を得るためのプラットフォームを構築する計画があります。特に、「Digital Rouble」と「Know Your Customer」のプラットフォームの開発に注目しています。
Развитие технологий информационной безопасности и обеспечение киберустойчивости также является одним из приоритетов Банка России. また、情報セキュリティ技術とサイバーレジリエンスの開発は、ロシア銀行の優先課題の一つです。
Разработанный комплекс мероприятий по реализации основных направлений позволит обеспечить граждан и бизнес более дешевыми и удобными цифровыми финансовыми услугами, снизить издержки участников финансового рынка и будет способствовать повышению уровня конкуренции. 主要な方向性を実現するために策定された一連の施策は、市民や企業に、より安価で便利なデジタル金融サービスを提供し、金融市場参加者のコストを削減し、競争の激化に貢献します。
Предложения к проекту Банк России предлагает направлять до 24 декабря 2021 года включительно по адресу fintech@cbr.ru. ロシア銀行は、草案に対する提案を2021年12月24日までに、fintech@cbr.ruに送って下さい。

 

・[PDF]

20211218-64420

目次

Введение はじめに
Итоги реализации Основных направлений развитияфинансовых технологий на период 2018 – 2020 годов 金融技術ロードマップ2018-2020の成果
Международные тренды 国際的な動向
Трансформация потребностей и поведения клиентов 顧客ニーズと行動の変革
Формирование экосистем финансовых и нефинансовых сервисов 金融・非金融サービスのエコシステムの構築
Применение открытых API в финансовых и нефинансовых секторах экономики 金融・非金融分野でのオープンAPIの活用
Повсеместное применение технологий 技術のユビキタス化
Ужесточение регулирования криптовалют и развитие цифровых валют центральных банков 暗号通貨の規制強化と中央銀行デジタル通貨の開発
Усиление операционных рисков и рисков в области информационной безопасности 業務上および情報セキュリティ上のリスクの増大
Уровень цифровизации финансового рынка в России ロシアにおける金融市場のデジタル化のレベル
Приоритеты развития рынка финансовых технологийдля участников рынка 金融技術市場の発展のための優先事項
Цели и основные направления цифровизации финансового рынкана 2022 – 2024 годы  2022年~2024年に向けた金融市場のデジタル化の目標と主な方向性 
1. Развитие регулирования  1. レギュラー開発 
1.1. Развитие правового обеспечения Цифрового профиля 1.1. デジタル・プロファイルの法的枠組みの構築
1.2. Развитие правового обеспечения национальной платежной системы 1.2. 国内決済システムの法的枠組みの構築
1.3. Развитие регулирования системы «Маркетплейс» 1.3. マーケットプレイス・システムの規制整備
1.4. Регулирование открытых API 1.4. オープンAPIの規制
1.5. Развитие регулирования в области оборота данных 1.5. データ交換規則の策定
1.6. Правовое обеспечение создания Единой информационной системы проверкисведений об абоненте 1.6. 統一された加入者情報検証システムの構築を法的に保証すること
1.7. Развитие правового обеспечения экспериментальных правовых режимов 1.7. 実験的法体系への法的支援の展開
1.8. Создание правовых условий для электронного хранения документов 1.8. 文書の電子保存のための法的条件の整備
1.9. Регулирование экосистем 1.9. エコシステムの規制
1.10. Развитие регулирования цифровых финансовых активов и краудфандинга 1.10. デジタル金融資産とクラウドファンディングの規制の整備
1.11. Правовое обеспечение цифрового руб ля 1.11. デジタルルーブルの法的提供
1.12. Правовое обеспечение создания сервиса «Знай своего клиента» 1.12. "Know Your Client" サービスの作成に関する法的規制
1.13. Совершенствование законодательства в целях цифровизации исполнительногопроизводства 1.13. 執行プロセスのデジタル化に向けた法整備
1.14. Совершенствование законодательства в целях цифровизации страховой медицины 1.14. 保険医療のデジタル化のための法整備
2. Реализация инфраструктурных проектов 2. インフラプロジェクトの実施
2.1. Развитие Единой биометрической системы 2.1. 統一された生体認証システムの開発
2.2. Развитие инфраструктуры Цифрового профиля 2.2. デジタル・プロファイル・インフラストラクチャの開発
2.3. Развитие Системы быстрых платежей 2.3. 高速決済システムの開発
2.4. Развитие Национальной системы платежных карт 2.4. National Payment Card Systemの開発
2.5. Развитие системы «Маркетплейс» 2.5. マーケットプレイスシステムの開発
2.6. Развитие открытых API 2.6. オープンAPIの開発
2.7. Создание платформы коммерческих согласий 2.7. 商業的合意に基づくプラットフォーム開発 2.8.
2.8. Цифровизация ипотеки 2.8. 住宅ローン融資のデジタル化 2.9.
2.9. Разработка и пилотирование платформы цифрового руб ля 2.9. デジタル・ルーブル・プラットフォームの開発と試験運用
2.10. Создание сервиса «Знай своего клиента» 2.10. "Know Your Customer" サービスの構築
2.11. Цифровизация платежей и начислений ЖКХ 2.11. 決済や公共料金のデジタル化
2.12. Цифровизация исполнительного производства 2.12. 執行手続きのデジタル化
2.13. Цифровизация страховой медицины 2.13. 保険医療のデジタル化
3. RegTech, SupTech 3. RegTech、SupTech
4. Экспериментальные правовые режимы  4. 実験的な法体系 
5. Информационная безопасность 5. 情報セキュリティ
5.1. Обеспечение возможности использования сервиса облачной УКЭП участникамифинансового рынка 5.1. クラウドベースの UKEP サービスを金融市場参加者が利用できるようにする。
5.2. Обеспечение всех поднадзорных организаций УКЭП 5.2. 監督下の全組織に対する UKEP の提供
5.3. Формирование среды доверия при удаленном предоставлении финансовых услуги сервисов 5.3. 金融サービスの遠隔提供の信頼性を高めるための環境整備
5.4. Снижение уровня потерь по операциям, совершаемым с использованиемдистанционных каналов обслуживания, включая социальную инженерию 5.4. ソーシャルエンジニアリングを含む、リモートサービスチャネルを利用したオペレーションの損失の低減
5.5. Внедрение института киберучений как основного механизма стресс-тестирования при осуществлении надзора в части оценки киберрисков 5.5. サイバーリスク管理監督の過程におけるストレステストの主要なメカニズムとしてのサイバー演習の実施
5.6. Развитие информационного обмена ФинЦЕРТ с участниками кредитно-финансовойсферы в части противодействия компьютерным атакам 5.6. サイバー攻撃に対抗するための、FinCERTと信用・金融分野の参加者との間の情報交換の進展

 

・[PDF]

20211218-64625

 

 

 

 

| | Comments (0)

ロシア 連邦中央銀行 意見募集 金融セクターにおけるビッグデータのシステミックリスク at 2021.12.10

こんにちは、丸山満彦です。

ロシア中央銀行が金融セクターにおけるビッグデータのシステミックリスクに関する報告書を出していて、公開競技として意見募集をしています。。。(個人情報保護に関する議論は含んでいません。。。)

Банк России(ロシア連邦中央銀行)

・2021.12.10 Системные риски использования больших данных в финансовом секторе: доклад для общественных консультаций

Банк России предлагает обсудить системные риски использования больших данных в финансовом секторе и возможные шаги по их регулированию для повышения финансовой стабильности. ロシア銀行は、金融部門におけるビッグデータの利用によるシステミックリスクと、金融安定性を向上させるための規制の可能なステップについて議論することを提案しています。
В докладе для общественных консультаций регулятора проанализированы актуальные тренды, преимущества и риски использования больших данных на финансовом рынке в мире и России. Авторы документа представили возможные подходы к регулированию таких рисков для российских финансовых организаций, в том числе на основе зарубежной практики. 規制当局の公開協議のための報告書では、世界およびロシアの金融市場におけるビッグデータ利用の現在の傾向、メリット、リスクを分析しています。この文書の著者は、外国の慣行に基づくものも含めて、ロシアの金融機関がこのようなリスクを規制するための可能なアプローチを提示しました。
Кроме того, в докладе опубликованы результаты проведенного Банком России опроса крупных банков и иных финансовых организаций об использовании ими больших данных в своей деятельности. また、ロシア銀行が大手銀行などの金融機関を対象に実施した、業務におけるビッグデータの活用に関する調査結果も掲載されています。
Замечания и предложения по докладу, а также ответы на вопросы для консультаций Банк России предлагает направлять до 15 февраля 2022 года включительно. ロシア銀行は、報告書に対するコメントや提案、協議のための質問への回答を、2022年2月15日までに提出するよう求めています。

 

・[PDF]

20211218-54839

 

Введение はじめに
1. Термины и определения 1.用語と定義
2. Тренды в использовании больших данных финансовыми организациями ведущих стран 2 主要国における金融機関のビッグデータ活用の動向
2.1. Основные тренды в использовании больших данных 2.1 ビッグデータ活用の大きな流れ
2.2. Области использования больших данных 2.2 ビッグデータの利用領域について
3. Преимущества и риски использования больших данных 3. ビッグデータ活用のメリットとリスク
3.1. Преимущества использования больших данных 3.1 ビッグデータ活用のメリット
3.2. Риски использования больших данных 3.2 ビッグデータ活用のリスク
4. Использование больших данных в российских финансовых институтах 4. ロシアの金融機関におけるビッグデータの活用
4.1. Направления использования больших данных в российских финансовых институтах 4.1 ロシアの金融機関におけるビッグデータ活用の動向
4.2. Организация процесса обработки и использования больших данных в российских финансовых организациях 4.2 ロシアの金融機関におけるビッグデータ処理・活用の組織化
4.3. Положительные эффекты от использования больших данных (по данным опроса) 4.3 ビッグデータ活用によるプラス効果(調査データに基づく)
4.4. Риски использования больших данных российскими финансовыми институтами (по данным опроса) 4.4 ロシアの金融機関によるビッグデータ活用のリスク(調査データに基づく)
5. Подходы к регулированию рисков использования технологий больших данных за рубежом и возможные меры в России 5. 海外でのビッグデータリスク規制の考え方とロシアでの可能な対応について
5.1. Подходы к регулированию, применяемые за рубежом 5.1 海外での規制への取り組み
5.2. Возможные шаги в области регулирования использования технологий больших данных в России в целях снижения рисков финансовой стабильности 5.2 金融安定化リスクを軽減するために、ロシアにおけるビッグデータ技術の使用を規制するための可能なステップ
Вопросы для консультаций 公開協議事項

 

2. 先進国の金融機関のビッグデータ活用の動向

2.1 ビッグデータ活用の大きな流れ

  1. 金融分野では、ビッグデータや人工知能技術を使った処理が進んでいます。
  2. COVID-19のパンデミックにより、ビッグデータ技術や、それを処理する機械学習や人工知能の導入が加速したと思われます。
  3. 一般的に、ビッグデータを扱う場合、中小規模の金融機関はサードパーティの開発製品を利用する傾向にありますが、大規模な金融機関は自社でソリューションを開発する十分なリソースを持っています。
  4. 金融機関は、従来の情報源に加えて、ソーシャルメディアや衛星データなどの代替情報源を活用しています。

2.2 ビッグデータの活用分野

  1. 顧客の信用度の評価
  2. マーケティングとカスタマーリレーション
  3. アセットマネジメント
  4. 保険
  5. サイバーリスクやAML/CFTリスクを含むオペレーショナルリスクの防止
  6. 報告書作成などのプロセスの合理化

 

3. 使用の利点とリスク

3.1 ビッグデータを活用することのメリット

  1. 大量の情報を高速に処理できる
  2. リスク管理の強化
  3. 金融包摂の改善(より多くの人が金融を利用できるようになる)
  4. より多くの顧客に個別のサービスを提供する可能性がある

3.2 ビッグデータ活用のリスク

  1. データの質に関するリスクを含む方法論的リスク(データをどのように選択し、処理し、集計するのがベストなのかはまだ不明。ビッグデータの分析結果を従来のソースから得た情報と統合するために必要な分析ツールについても疑問がある)
  2. モデルリスク(誤った入力データや仮定の使用、モデルの開発時に意図した目的以外での使用、モデル自体の開発におけるエラー)
  3. 個人情報保護に関するリスク
  4. 価格差別
  5. 人種、国民、宗教、性別などの理由による(価格以外の)差別の可能性
  6. ビッグデータを持ちにくい中小金融機関に不利
  7. 第三者のビッグデータ提供者や処理サービスがもたらすリスクと、それに伴う新たなシステミックリスクが新たな金融リスク
  8. グレーゾーンの規制に伴うリスク
  9. ビッグデータ技術の導入が遅れている金融機関のリスク(例えばサイバーリスク、AMLリスク等)が増加

ロシアについては、

ほとんど全ての金融機関が

  • ビッグデータの活用を事業戦略に組み込んでいる
  • ビッグデータを既にかなり広範囲にわたって業務に活用しており、さらにその利用を拡大する予定である

主な用途としては、

  • 信用格付
  • 不正行為の発見
  • 顧客からの問い合わせ対応の自動化
  • CRMやクロスセリングモデルの開発
  • 資産ポートフォリオの最適化

 

公開協議事項

ВОПРОСЫ ДЛЯ КОНСУЛЬТАЦИЙ 相談事項
1.   Видите ли вы необходимость в разработке стратегии работы с большими данными на уровне организации? Какие вопросы такая стратегия должна включать? 1.   ビッグデータに対応するための組織全体の戦略の必要性を感じますか?そのためには、どのような課題があるのでしょうか。
2.   Какие подходы используются (планируются к использованию) в вашей организации с целью управления модельными рисками и рисками качества данных в отношении больших данных? 2.   ビッグデータに関するモデルやデータ品質のリスクを管理するために、あなたの組織ではどのようなアプローチが使われていますか(使われる予定ですか)?
3.   Какие подходы используются (планируются к использованию) в вашей организации с целью управления рисками дискриминации (в том числе неценовой) при принятии решений с использованием больших данных? 3.   あなたの組織では、ビッグデータを用いて意思決定を行う際に、差別(非価格差別を含む)のリスクを管理するために、どのようなアプローチが用いられていますか(用いられる予定ですか)?
4.   Каким образом в вашей организации осуществляется управление риском зависимости от сторонних поставщиков услуг в части больших данных и моделей, разрабатываемых на их основе? Видит ли ваша организация повышенный уровень концентрации на каких‑либо поставщиках? Какова максимальная доля отдельного поставщика больших данных и услуг на их основе в ключевых направлениях деятельности вашей организации? 4.   ビッグデータとそこから開発されたモデルを第三者のサービスプロバイダーに依存するリスクをどのように管理していますか?あなたの組織では、どのベンダーへの集中度が高まっていますか?あなたの組織のコアビジネスラインにおいて、個々のビッグデータおよびビッグデータを利用したサービスプロバイダーの最大シェアはどのくらいですか?
5.   Поддерживаете ли вы создание упомянутого свода принципов надлежащего использования больших данных финансовыми организациями? Какие ключевые пункты и принципы ваша организация считает целесообразным включить в указанный свод? 5.   金融機関がビッグデータを適切に利用するための一連の原則を制定することに賛成ですか?あなたの組織は、どのようなキーポイントや原則をこの一連の原則に含めることが適切だと考えますか?
6.   Какие иные меры регулирования в области использования больших данных ваша организация считает наиболее актуальными и целесообразными для разработки и имплементации? 6.   ビッグデータの利用に関するその他の規制措置として、貴組織はどのようなものを開発し、実施することが最も適切であると考えますか?
7.   Какую информацию ваша организация хотела бы получать в обезличенной форме для совершенствования использования больших данных? 7.   あなたの組織は、ビッグデータの活用を改善するために、どのような情報を匿名化して受け取りたいですか?
8.   Возможно ли, по мнению вашей организации, закрепление принципов работы с большими данными, в том числе этических принципов, на уровне стандартов СРО и профессиональных ассоциаций участников финансового рынка? 8.   あなたの組織の意見では、倫理原則を含むビッグデータを扱うための原則を、SROや金融市場参加者の専門家団体の基準に盛り込むことは可能ですか?

 

| | Comments (0)

2021.12.17

英国 国家サイバー戦略

こんにちは、丸山満彦です。

英国が国家サイバー戦略を公表しましたね。。。2021年中に公表することになっていましたので、間に合いました。

サイバーセキュリティ戦略ではなく、サイバー戦略。

国家安全保障と国際政策からの流れでのサイバー戦略。

 

National Cyber Security Centre

・2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

Government publishes blueprint to protect UK from cyber threats 政府、サイバー脅威から英国を守るための青写真を発表
National Cyber Strategy sets out how government will protect and promote UK interests in rapidly evolving online world 国家サイバー戦略は、急速に進化するオンライン世界において、政府が英国の利益をどのように守り、増進するかを定めています。
The UK Government has today (Wednesday 15th December) published its new National Cyber Strategy, which sets out how the UK will solidify its position as a global cyber power. This is the first major milestone following the publication of the Government’s Integrated Review earlier this year. 英国政府は本日12月15日(水)、新たな「国家サイバー戦略」を発表しました。この戦略では、英国がグローバルなサイバーパワーとしての地位をどのように確立していくかが示されています。これは、今年初めに政府が発表した統合レビューに続く、最初の大きなマイルストーンです。
The strategy builds on the significant progress made on cyber over the last five years which has seen the UK cyber security sector grow rapidly, with over 1,400 businesses generating revenues of £8.9 billion last year, supporting 46,700 skilled jobs, and attracting significant overseas investment. この戦略は、過去5年間に行われたサイバー分野での大きな進展の上に成り立っており、英国のサイバーセキュリティ部門は急速に成長し、昨年は1,400以上の企業が89億ポンドの収益を上げ、46,700人の熟練した雇用を支え、海外からの大きな投資を呼び込んでいます。
Through the strategy, the government is calling on all parts of society to play their part in reinforcing the UK’s economic and strategic strengths in cyberspace - this means more diversity in the workforce, levelling up the cyber sector across all UK regions, expanding offensive and defensive cyber capabilities and prioritising cyber security in the workplace, boardrooms and digital supply chains. 政府は、この戦略を通じて、サイバー空間における英国の経済的・戦略的な強みを強化するために、社会のあらゆる部分に役割を果たすことを呼びかけています。これは、労働力の多様性を高めること、英国のすべての地域でサイバーセクターを平準化すること、攻撃的・防御的なサイバー能力を拡大すること、職場や役員室、デジタルサプライチェーンにおけるサイバーセキュリティを優先することを意味します。

 

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

目次

Foreword 初めに
Introduction 序文
The opportunities and challenges of the digital age デジタル時代の機会と課題
Our vision: cyber power in support of national goals 私たちのビジョン:国家目的を支えるサイバーパワー
The five pillars of our strategy 私たちの戦略の5つの柱
Part 1: Strategy 第1部:戦略
Strategic Context 戦略の背景
Global Britain in a Competitive Age 競争時代のグローバルブリテン
The cyber landscape サイバーランドスケープ
Cyber power サイバーパワー
The UK as a cyber power today サイバーパワーとしての英国の現状
Drivers of change 変化の要因
Our National Response 英国の国家的対応
Our vision, goals and principles 私たちのビジョン、目的、原則
Key shifts in our approach 我々のアプローチにおける主要な変化
Roles and responsibilities across the UK 英国内での役割と責任
Part 2: Implementation パート2:実行
Pillar 1: UK Cyber Ecosystem 第1の柱:英国のサイバー・エコシステム
Strengthening the UK’s cyber ecosystem 英国のサイバー・エコシステムの強化
Objective 1: Support a whole-of-society approach 目的1:社会全体のアプローチを支援する
Objective 2: Enhance skills and diversity 目的2: スキルと多様性の強化
Objective 3: Foster growth and innovation 目的3:成長とイノベーションの促進
Pillar 2: Cyber Resilience 第2の柱:サイバー・レジリエンス
Building a resilient and prosperous digital UK レジリエントで豊かなデジタル英国の構築
Objective 1: Understand cyber risk 目的1: サイバー・リスクの理解
Objective 2: Prevent and resist cyber attacks 目的2: サイバー攻撃の防止と抵抗
Objective 3: Prepare, respond and recover 目的3:準備、対応、回復
Pillar 3: Technology Advantage 第3の柱:技術的優位性
Taking the lead in the technologies vital to cyber power サイバーパワーに不可欠な技術で主導権を握る
Objective 1: Anticipate, assess and act on technology developments 目的1: 技術開発を予測し、評価し、行動する
Objective 2: Foster and sustain advantage in technology 目的2:技術面での優位性を育み、維持する
Objective 2a: Preserving the national Crypt-Key enterprise 目的2a: 国家の暗号鍵事業を維持する
Objective 3: Secure connected technologies 目的3:接続された技術の保護
Objective 4: Shape global technology standards 目的4:グローバルな技術標準の形成
Pillar 4: Global Leadership 第4の柱:グローバル・リーダーシップ
Advancing UK global leadership and influence for a secure and prosperous international order 安全で豊かな国際秩序のための英国のグローバルなリーダーシップと影響力の強化
Objective 1: Strengthen collective action and mutual cyber resilience 目的1:集団行動と相互のサイバー・レジリエンスの強化
Objective 2: Shape global governance of cyberspace 目的2: サイバースペースのグローバルガバナンスの構築
Objective 3: Leverage and export UK capabilities in cyber 目的3: サイバー分野における英国の能力の活用と輸出
Pillar 5: Countering Threats 第5の柱:脅威への対応
Detecting, disrupting and deterring our adversaries to enhance UK security in and through cyberspace
サイバースペースにおける英国の安全保障を強化するために、敵対者を検知し、混乱させ、抑止する
Objective 1: Detect, investigate and share information on threats 目的1:脅威に関する情報の検知、調査、共有
Objective 2: Deter and disrupt threats 目的2:脅威を抑止し、混乱させる
Objective 3: Take action in and through cyberspace to counter threats 目的3:サイバースペース内およびサイバースペースを通じて脅威に対抗する行動をとる
Delivering Our Ambition 我々の渇望の実現
Roles and responsibilities across government 政府全体の役割と責任
Investing in our cyber power サイバーパワーへの投資
Measuring success 成功の測定
Next steps 次のステップ
Annex A: Cyber as part of the government’s wider agenda 附属書A: 政府の幅広い課題の一部としてのサイバー
Annex B: NIS Regulations – National Strategy 附属書B: NIS規制 - 国家戦略
Key roles and responsibilities 主要な役割と責任
List of key authorities for NIS implementation NIS実施のための主要機関のリスト
Annex C: Glossary 附属書C:用語集

 

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

アクティブサイバーディフェンスの定義について...

附属書Cに定義があります。。。

Active Cyber Defence (ACD) – helps organisations to find and fix vulnerabilities, manage incidents or automate disruption of cyber-attacks. Some services are designed primarily for the public sector, whereas others are made available more broadly to private sector or citizens, depending on their applicability and viability. アクティブサイバーディフェンス(ACD)― 組織が脆弱性を発見・是正し、インシデントを管理し、サイバー攻撃阻止の自動化を進めることを支援する。一部の サービスは主に公共部門向けに設計されているが、その他のサービスは民間企業や市民も、適用可能性や実行可 能性に応じて幅広く利用できる。

 

 

 

 


参考

● U.K. Parliament

・2021.03.24 Integrated Review 2021

 ・2021.03.17 Summary

 ・2021.03.19 Increasing the cap on the UK’s nuclear stockpile

 ・2021.03.25 emerging defence technologies

 ・2021 04 28 International Development


Defence Command Paper 2021

  ・2021.03.24 Summary

 

U.K. Government

・2021.03.24 Collection The Integrated Review 2021

 


・2016.11.01 (Policy paper) National Cyber Security Strategy 2016 to 2021

The National Cyber Security Strategy 2016 to 2021 sets out the government's plan to make Britain secure and resilient in cyberspace.

・[PDF] National Cyber Security Strategy 2016 to 2021

20210513-131213

 


 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ 2021

 

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.11 シンガポール サイバーセキュリティ戦略2021

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.09.26 独国 サイバーセキュリティ戦略2021 at 2021.09.08

・2021.07.15 経団連 提言「全員参加によるサイバーセキュリティの実現に向けて」

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2021.07.12 NATO関連機関が分析したサイバー空間におけるロシアの戦略 at 2021.06.11

・2021.07.07 NISC 「サイバーセキュリティ戦略本部第30回会合」と「サイバーセキュリティ対策推進会議(CISO等連絡会議)第18回会合」

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

・2021.06.03 サイバー領域の制度、法律、政策などについての米英の比較

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

・2020.08.11 オーストラリア政府 内務省がサイバーセキュリティ戦略2020を公表していましたね。。。

 

| | Comments (0)

2021.12.16

NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)

こんにちは、丸山満彦です。

NISTが、NISTIR 8355 NICE Framework Competencies: Assessing Learners for Cybersecurity Workについて第二ドラフトを公開し、コメントを募集していますね。。。

● NIST - ITL

・2021.12.15 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work (2nd Draft)

Announcement 発表
The National Initiative for Cybersecurity Education (NICE) has released a second draft of NISTIR 8355, NICE Framework Competencies: Assessing Learners for Cybersecurity Work. This supplemental content to the Workforce Framework for Cybersecurity (NICE Framework) elaborates on Competencies, which were re-introduced to the NICE Framework in 2020. National Initiative for Cybersecurity Education (NICE)は、NISTIR 8355「NICEフレームワークコンピテンシー:サイバーセキュリティ業務のための学習者の評価」の第2ドラフトを発表しました。サイバーセキュリティのためのコンピテンシーフレームワーク(NICEフレームワーク)のこの補足コンテンツは、2020年にNICEフレームワークに再導入されたコンピテンシーを詳しく説明しています。
The first draft was released in March 2021 along with an initial list of proposed Competency Areas. Feedback received on that first draft, conversations with NICE community members, and insights from workshops that brought together subject matter experts have matured our understanding of NICE Framework Competencies. The adjustments to this document are the result. In addition, we will be working with community stakeholders to further refine the proposed list of Competency Areas for release in 2022. Any subsequent draft(s) may be further adjusted, including the Competency Areas, their descriptions, and associated Task, Knowledge, and Skill (TKS) statements. 最初のドラフトは、提案されたコンピテンシー領域の初期リストとともに、2021年3月に発表されました。その最初のドラフトに寄せられたフィードバック、NICEコミュニティのメンバーとの会話、および特定分野の専門家を集めたワークショップからの洞察により、NICEフレームワークコンピテンシーに対する理解は成熟しました。この文書への調整はその結果です。さらに、2022年の公開に向けて、コミュニティ関係者と協力してコンピテンシー分野の提案リストをさらに洗練させる予定です。その後のドラフトでは、コンピテンシー領域、その説明、関連するタスク、知識、スキル(TKS)ステートメントを含め、さらに調整される可能性があります。
The public comment period for the second draft of NISTIR 8355 is open through January 31, 2022. Feedback will be used to inform the next stage of work on the NICE Competencies. We value and welcome your input and look forward to your comments.  NISTIR 8355の第2ドラフトに対するパブリックコメント期間は、2022年1月31日までです。ご意見は、NICEコンピテンシーに関する次の作業段階に反映されます。皆様からのご意見を大切にし、お待ちしております。 
Abstract 概要
This publication from the National Initiative for Cybersecurity Education (NICE) describes Competencies as included in the Workforce Framework for Cybersecurity (NICE Framework), NIST Special Publication 800-181, Revision 1, a fundamental reference for describing and sharing information about cybersecurity work. The NICE Framework defines Task, Knowledge, and Skill (TKS) statement building blocks that provide a foundation for learners, including students, job seekers, and employees. Competencies are provided as a means of applying those core building blocks by grouping related TKS statements to form a higher-level statement of competency. This document shares more detail about what Competencies are, including their evolution and development. Additionally, the publication provides example uses from various stakeholder perspectives. Finally, the publication identifies where the NICE Framework list of Competency Areas is published separate from this publication and provides the rationale for why they will be maintained as a more flexible and contemporary reference resource. サイバーセキュリティ教育のための国家イニシアティブ(NICE)が発行した本書は、サイバーセキュリティ業務に関する情報を記述・共有するための基本的な参考資料である「サイバーセキュリティのためのコンピテンシーフレームワーク(NICEフレームワーク)」(NIST Special Publication 800-181, Revision 1)に含まれるコンピテンシーについて解説しています。NICEフレームワークでは、学生、求職者、従業員などの学習者に基礎を提供するTKS(Task, Knowledge, Skill)ステートメントのビルディングブロックを定義しています。コンピテンシーは、関連するTKSステートメントをグループ化し、より高いレベルのコンピテンシーのステートメントを形成することで、これらのコアビルディングブロックを適用するための手段として提供されています。本書では、コンピテンシーの進化と発展を含め、コンピテンシーとは何かについて詳しく説明しています。また、様々なステークホルダーの視点から、コンピテンシーの使用例を紹介しています。最後に、NICEフレームワークのコンピテンシーリストが本書とは別に発行されていることを示し、より柔軟で現代的な参照リソースとして維持される理由を説明しています。

 

・[PDF]  NISTIR 8355 (Draft)

20211216-62818

 

Supplemental Material:

・[xls]  List of Competencies (draft)

・[web]  NICE Framework site

Related NIST Publications:

SP 800-181 Rev. 1

 


 

■ 参考

● まるちゃんの情報セキュリティ気まぐれ日記

内容については、こちらの方に少し詳しく載せています。。。

・2021.03.19 NISTIR 8355 (Draft) NICE Framework Competencies: Assessing Learners for Cybersecurity Work

2020.11.17 NIST SP 800-181 Rev. 1 Workforce Framework for Cybersecurity (NICE Framework)

2020.07.17 NIST SP 800-181 Rev. 1 (Draft) Workforce Framework for Cybersecurity (NICE Framework)

 

 

| | Comments (0)

CISA 新しいサイバーセキュリティ諮問委員会の設立会合を開催(委員長等の選任と5つの小委員会の設立)

こんにちは、丸山満彦です。

CISAが新しいサイバーセキュリティ諮問委員会の設立会合を開催し、委員長、副委員長を選任し、5つの小委員会を設立したと発表していますね。。。

委員長は、アトランタのエネルギー企業のCEOのトーマス・ファニング氏、副委員長は、マスターカードのCSOのロナルド・グリーン氏となったようですね。。。

小委員会は、次の5つですね。。。

Transforming the Cyber Workforce Subcommittee サイバーワークフォース変革小委員会
Turning the Corner on Cyber Hygiene Subcommittee サイバーハイジーン実現小委員会
Igniting the Hacker Community Subcommittee ハッカーコミュニティ活性化小委員会
Protecting Critical Infrastructure from Mis- Dis- and Mal-information Subcommittee 重要インフラを誤情報、偽情報、悪意情報から守る小委員会
Building Resilience and Reducing Systemic Risk to Critical Infrastructure Subcommittee 重要インフラの回復力の構築とシステムリスクの低減に関する小委員会

 

CISA

・2021.12.10 CISA HOLDS INAUGURAL MEETING OF NEW CYBERSECURITY ADVISORY COMMITTEE

 

CISA HOLDS INAUGURAL MEETING OF NEW CYBERSECURITY ADVISORY COMMITTEE CISA、新しいサイバーセキュリティ諮問委員会の設立総会を開催
WASHINGTON - Today, the Cybersecurity and Infrastructure Security Agency (CISA) held its first meeting for newly appointed members of the Agency’s Cybersecurity Advisory Committee. Members discussed Committee objectives and initiatives, received a classified threat briefing, elected Committee leadership, and established subcommittees to focus on key objectives. ワシントン - 本日、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、新たに任命された同庁のサイバーセキュリティ諮問委員会のメンバーを対象とした初会合を開催しました。メンバーは、委員会の目的と取り組みについて議論し、機密扱いの脅威の説明を受け、委員会のリーダーシップを選出し、重要な目的に焦点を当てるための小委員会を設立しました。
CISA Director Jen Easterly chaired the meeting and was pleased to be joined by Deputy Secretary of Homeland Security John Tien and National Cyber Director Chris Inglis who helped kick off a discussion of the group’s core objectives and priorities. CISAのディレクターであるジェン・イースタリー氏が会議の議長を務め、国土安全保障省のジョン・ティエン副長官と国家サイバー局長のクリス・イングリス氏が参加して、委員会の主要な目的と優先事項についての議論を始めました。
Last week, CISA announced the Committee’s first 23 members. This group includes a diverse slate of distinguished leaders from across industry, academia, and government. Through their unique insight, the Committee members will provide recommendations on the development and refinement of CISA’s cybersecurity programs and policies. 先週、CISAは委員会の最初のメンバー23名を発表しました。この委員会には、産業界、学術界、政府関係者など、さまざまな分野のリーダーが名を連ねています。委員会のメンバーは、独自の見識をもって、CISAのサイバーセキュリティプログラムおよびポリシーの開発と改良に関する提言を行います。
Today, the Committee chose Thomas Fanning as Chair and Ron Green as Vice Chair. 本日、委員会はトーマス・ファニング氏を委員長に、ロン・グリーン氏を副委員長に選出しました。
“I was thrilled to have members of CISA’s Cybersecurity Advisory Committee come together today to discuss how to evolve CISA into the world’s premier cyber defense agency,” said CISA Director Jen Easterly. “Under the leadership of Tom and Ron, I am confident that this Committee will meet the moment to help CISA fulfil its mission of ensuring the security and resilience of our digital infrastructure. Each and every distinguished member of the Committee brings a unique perspective to the table, and I look forward to their progress in addressing the key objectives outlined in today’s meeting.” CISAのディレクターであるジェン・イースタリー氏は以下のように述べています。「本日、CISAのサイバーセキュリティ諮問委員会のメンバーが一堂に会し、CISAを世界最高のサイバー防衛機関に進化させる方法について議論できたことに感激しています。 トムとロンのリーダーシップのもと、この委員会が、デジタルインフラの安全性と回復力を確保するというCISAの使命を果たすために必要なものを提供してくれるものと確信しています。委員会の優秀なメンバーは、それぞれ独自の視点を持っており、本日の会議で示された重要な目標に向けて、彼らが前進することを楽しみにしています」。
Director Easterly established five subcommittees that will focus on key objectives and provide tangible deliverables ahead of the next committee meeting. イースタリー長官は、次回の委員会の開催に向けて、重要な目標に焦点を当て、具体的な成果物を提供する5つの小委員会を設立しました。
The Cybersecurity Advisory Committee subcommittees include: サイバーセキュリティ諮問委員会の小委員会は以下の通りです。
Transforming the Cyber Workforce Subcommittee サイバーワークフォース変革小委員会
This subcommittee will focus on building a comprehensive strategy to identify – and develop – the best pipelines for talent, expand all forms of diversity, and develop retention efforts to keep our best people. We will also aim to find creative ways to educate communities “K through Gray” to develop a better-informed digital workforce and to inspire the next generation of cyber talent. この委員会は、優秀な人材を発掘・育成し、あらゆる形態の多様性を拡大し、優秀な人材を確保するための包括的な戦略を構築することに重点を置きます。また、「K」から「G」までのコミュニティを教育するための創造的な方法を模索し、より良い情報を持ったデジタル人材を育成し、次世代のサイバー人材に刺激を与えることを目指しています。
Turning the Corner on Cyber Hygiene Subcommittee サイバーハイジーン実現小委員会
A core objective of CISA’s cybersecurity strategy is to raise the baseline of security throughout the cyber ecosystem to advance an environment that favors the defender. This subcommittee will help us think through a holistic, scaled approach to ensure that technology is maximally secure out-of-the-box and that all organizations – public or private, large or small – have the information and resources needed to implement necessary security controls. CISAのサイバーセキュリティ戦略の主な目的は、サイバーエコシステム全体のセキュリティの水準を高め、防御側に有利な環境を整備することです。この小委員会では、テクノロジーがすぐに最大限の安全性を確保し、公的機関や民間企業、規模の大小を問わず、すべての組織が必要なセキュリティ対策を実施するために必要な情報やリソースを確保するための、全体的でスケールの大きいアプローチを考えることができます。
Igniting the Hacker Community Subcommittee ハッカーコミュニティ活性化小委員会
The security of our nation depends in part of our ability to leverage the imagination and talents of the global white-hat hacker and research community. This subcommittee will spearhead the development of a Technical Advisory Council, comprised of hackers, vulnerability researchers, and threat intelligence experts to get direct feedback from front-line practitioners whose work is vital to the security of our nation. わが国のセキュリティは、世界のホワイトハットハッカーや研究者コミュニティの想像力と才能を活用できるかどうかにかかっています。この小委員会は、ハッカー、脆弱性研究者、脅威情報の専門家で構成される技術諮問委員会の設立を主導し、国家の安全保障に不可欠な仕事をしている第一線の実務家から直接フィードバックを得ることを目的としています。
Protecting Critical Infrastructure from Mis- Dis- and Mal-information Subcommittee 重要インフラを誤情報、偽情報、悪意情報から守る小委員会
The core of CISA’s mission is to safeguard American’s critical infrastructure. Unfortunately, the nation has seen the corrosive effects of mis-, dis-, and mal-information (MDM) across a host of critical infrastructure in recent years impacting our election systems, telecommunications infrastructure, and our public health infrastructure. This subcommittee will evaluate and provide recommendations on CISA’s role in this space and ensure that the agency is providing value that fits within its unique capabilities and mission. CISAの使命の中核は、米国の重要インフラを保護することです。残念なことに、近年、多くの重要インフラにおいて、誤情報、偽情報、悪意情報(MDM)が、選挙システム、通信インフラ、公衆衛生インフラに影響を与えています。この小委員会は、この分野におけるCISAの役割を評価して提言を行い、CISAがその独自の能力と使命に見合った価値を提供していることを確認します。
Building Resilience and Reducing Systemic Risk to Critical Infrastructure Subcommittee 重要インフラの回復力の構築とシステムリスクの低減に関する小委員会
At our core, CISA aims to reduce systemic risk to our nation’s cyber and physical infrastructure. When the government is faced with requests for support from many entities, understanding which ones are the most important to our national security, economic prosperity, and public health and safety will allow CISA to optimize risk reduction in two ways: collaborative operational support to major players on the frontline of cyber warfare, and responsive technical support to those small organizations that the Nation needs, but are not ready for battle. This subcommittee will help us determine how to best drive national risk management and determine the criteria for a scalable, analytic model to guide risk prioritization. CISAは、国家のサイバーおよび物理的インフラに対するシステミックリスクを低減することを目的としています。政府が多くの組織からの支援要請に直面したとき、どの組織が国家安全保障、経済的繁栄、国民の健康と安全にとって最も重要であるかを理解することで、CISAは2つの方法でリスク軽減を最適化することができます。すなわち、サイバー戦争の最前線にいる主要なプレーヤーへの協力的な運用支援と、国家が必要としているが戦闘準備ができていない小規模な組織への対応的な技術支援です。この小委員会は、国家のリスク管理を最適に推進する方法を決定し、リスクの優先順位付けを導くためのスケーラブルな分析モデルの基準を決定するのに役立ちます。
Additionally, Director Easterly asked for the establishment of a CIO/CISO council to ensure CISA gains the insight of information security officers across public and private organizations to understand not only the threats they’re defending against, but also the ways in which they are promoting the investments needed in cybersecurity to their C-Suites and Boards of Directors.  さらに、イースタリー長官は、CISAが官民組織の情報セキュリティ担当者の見識を得て、防御している脅威だけでなく、サイバーセキュリティに必要な投資をC-Suiteや取締役会に推進する方法を理解するために、CIO/CISO協議会の設立を要請しました。 

 

23人のメンバーは、

・2021.12.01 CISA NAMES 23 MEMBERS TO NEW CYBERSECURITY ADVISORY COMMITTEE

Mr. Steve Adler Mayor City of Austin, Texas
Ms. Marene Allison Chief Information Security Officer Johnson & Johnson
Ms. Lori Beer Chief Information Officer JPMorgan Chase
Mr. Robert Chesney James A. Baker III Chair in the Rule of Law and World Affairs University of Texas School of Law
Mr. Thomas Fanning Chairman, President and CEO Southern Company
Ms. Vijaya Gadde Legal, Public Policy & Trust and Safety Lead Twitter
Dr. Patrick Gallagher Chancellor University of Pittsburg
Mr. Ronald Green Executive Vice President and Chief Security Officer Mastercard
Ms. Niloofar Razi Howe Board Member Tenable
Mr. Kevin Mandia Chief Executive Officer Mandiant
Mr. Jeff Moss President DEF CON Communications
Ms. Nuala O’Connor Senior Vice President & Chief Counsel, Digital Citizenship Walmart
Ms. Nicole Perlroth Cybersecurity Journalist  
Mr. Matthew Prince Chief Executive Officer Cloudflare
Mr. Ted Schlein General Partner Kleiner Perkins; and Caufield & Byers
Mr. Stephen Schmidt Chief Information Security Officer Amazon Web Services
Ms. Suzanne Spaulding Senior Advisor for Homeland Security CSIS
Mr. Alex Stamos Partner Krebs Stamos Group
Dr. Kate Starbird Associate Professor, Human Centered Design & Engineering University of Washington
Mr. George Stathakopoulos Vice President of Corporate Information Security Apple
Brigadier General Alicia Tate-Nadeau (ARNG-Ret.) Director Illinois Emergency Management Agency
Ms. Nicole Wong Principal NWong Strategies
Mr. Chris Young Executive Vice President of Business Development, Strategy, and Ventures,  Microsoft

 

なかなか本気な感じはします。。。

Fig1_20210731004501

| | Comments (0)

2021.12.15

ロシアとインドネシアが国際的な情報セキュリティの協力に関する政府間協定に署名

こんにちは、丸山満彦です。

ロシアがインドネシアと国際的な情報セキュリティの協力に関する政府間協定に署名したと発表していますね。。。インドネシアは人口では世界4位ですよね。。。今のところ。。。

Совет Безопасности Российской Федерации ロシア連邦安全保障理事会

・2021.12.14 Россия и Индонезия заключили межправительственное соглашение о сотрудничестве в области обеспечения международной информационной безопасности

 

Россия и Индонезия заключили межправительственное соглашение о сотрудничестве в области обеспечения международной информационной безопасности ロシアとインドネシア、国際的な情報セキュリティの協力に関する政府間協定に署名
От имени Правительства Российской Федерации соглашение подписал Секретарь Совета Безопасности Николай Патрушев, от имени  Правительства Республики Индонезия – Министр-координатор по вопросам политики, права и безопасности Мохаммад Махфуд. ロシア連邦政府を代表してニコライ・パトルシェフ安全保障理事会事務局長が、インドネシア共和国政府を代表してモハマッド・マフド政治・法律・安全保障問題担当調整官が署名しました。
Согласно подписанному соглашению Россия и Индонезия договорились  осуществлять сотрудничество в области обеспечения международной информационной безопасности в целях поддержания международного мира, безопасности и стабильности. 署名された協定では、インドネシアとロシアは、国際的な平和、安全、安定を維持するために、国際的な情報セキュリティの分野で協力することに合意しました。
Стороны определили направления взаимодействия, включая  определение, выработку, координацию и осуществление необходимых совместных мер в области обеспечения международной информационной безопасности.  Заявлено о важности  создания системы предотвращения, мониторинга и совместного реагирования на возникающие в этой сфере угрозы.  Страны договорились об обмене информацией о противоправном использовании информационных и коммуникационных технологий, компьютерных инцидентах, вредоносном программном обеспечении, компьютерных атаках и иных способах противоправного использования ИКТ. 両者は、国際的な情報セキュリティの分野で必要な共同施策の特定、開発、調整、実施などの協力分野を定めました。 この分野の脅威に対する予防、監視、共同対応のシステムを構築することが重要であると宣言しました。 各国は、情報通信技術の違法な使用、コンピュータ・インシデント、悪意のあるソフトウェア、コンピュータ攻撃などの手法に関する情報を交換することに合意しました。
В Соглашении отмечена необходимость взаимодействия сторон по совершенствованию действующей модели управления сетью "Интернет", в том числе обеспечению равных прав государств на участие в управлении сетью "Интернет" и повышения роли Международного союза электросвязи. この協定では、インターネットのガバナンスに参加する国家の権利を平等にすることや、国際電気通信連合の役割を高めることなど、既存のインターネットガバナンスモデルを改善するために、締約国が協力する必要性が強調されています。
Россия и Индонезия договорились о  разработке и осуществлении совместных мер доверия в области использования технологий, способствующих обеспечению международной информбезопасности, о согласованной политике по защите информации,  включая защиту персональных данных, при трансграничном информационном взаимодействии. ロシアとインドネシアは、国際的な情報セキュリティの確保に貢献する技術の使用に対する信頼性、国境を越えた情報交換における個人データ保護を含む情報保護の協調政策を共同で開発し、実施することに合意した。
Кроме того, предполагается  обмен информацией о национальном законодательстве в области обеспечения информационной безопасности. さらに、情報セキュリティの分野における各国の法律についての情報交換も期待されています。
Стороны будут совместно  расследовать, отслеживать, обнаруживать, предотвращать и  пресекать угрозы, связанные с противоправным использованием ИКТ. 締約国は、ICTの違法使用に関連する脅威を共同で調査し、追跡し、検知し、防止し、抑制します。
В целях эффективной реализации положений Соглашения и установления непосредственного взаимодействия двух стран назначены  соответствующие координирующие органы, а именно: от Российской Федерации - аппарат Совета Безопасности Российской Федерации; от Республики Индонезии - Национальное агентство по кибербезопасности и криптографии Республики Индонезии. 本協定の規定を効果的に実施し、両国間の直接的な協力関係を構築するために、関連する調整機関が任命されました。すなわち、ロシア連邦からはロシア連邦安全保障理事会装置、インドネシア共和国からはインドネシア共和国国家サイバーセキュリティ・暗号庁が任命されました。

 

Fig1_20211215155601

 

| | Comments (0)

ENISA 機械学習アルゴリズムの保護

こんにちは、丸山満彦です。

ENISAが機械学習アルゴリズムの保護についての報告書を公開していますね。。。いろいろと参考になると思います。。。

● ENISA

・2021.12.14 Artificial Intelligence: How to make Machine Learning Cyber Secure?

Artificial Intelligence: How to make Machine Learning Cyber Secure? 人工知能:機械学習をサイバーセキュアにするには?
How to prevent machine learning cyberattacks? How to deploy controls without hampering performance? The European Union Agency for Cybersecurity answers the cybersecurity questions of machine learning in a new report published today. 機械学習のサイバー攻撃を防ぐには?パフォーマンスを阻害せずにコントロールを展開するには?欧州連合サイバーセキュリティ機関は、本日発表した新しいレポートの中で、機械学習のサイバーセキュリティに関する疑問に答えています。
Machine learning (ML) is currently the most developed and the most promising subfield of artificial intelligence for industrial and government infrastructures. By providing new opportunities to solve decision-making problems intelligently and automatically, artificial intelligence (AI) is applied in almost all sectors of our economy. 機械学習(ML)は現在、産業・政府インフラ向けの人工知能のサブフィールドとして最も発展し、最も有望視されています。意思決定の問題を知的かつ自動的に解決する新たな機会を提供することで、人工知能(AI)は経済のほぼすべての分野で応用されています。
While the benefits of AI are significant and undeniable, the development of AI also induces new threats and challenges, identified in the ENISA AI Threat Landscape. AIの恩恵は大きく、否定できないものですが、AIの発展は、ENISA AI Threat Landscapeで特定された新たな脅威と課題を誘発します。
Machine learning algorithms are used to give machines the ability to learn from data in order to solve tasks without being explicitly programmed to do so. However, such algorithms need extremely large volumes of data to learn. And because they do, they can also be subjected to specific cyber threats. 機械学習アルゴリズムは、明示的にプログラムされていなくてもタスクを解決するために、機械にデータから学習する能力を与えるために使用されます。しかし、このようなアルゴリズムは、学習のために極めて大量のデータを必要とします。また、学習するからこそ、特定のサイバー脅威にさらされる可能性もあります。
The Securing Machine Learning Algorithms report presents a taxonomy of ML techniques and core functionalities. The report also includes a mapping of the threats targeting ML techniques and the vulnerabilities of ML algorithms. It provides a list of relevant security controls recommended to enhance cybersecurity in systems relying on ML techniques. One of the challenges highlighted is how to select the security controls to apply without jeopardising the expected level of performance. レポート「Securing Machine Learning Algorithms」では、ML技術の分類法とコア機能を紹介しています。また、ML技術を標的とした脅威と、MLアルゴリズムの脆弱性をマッピングしています。また、ML技術に依存するシステムのサイバーセキュリティを強化するために推奨される、関連するセキュリティコントロールのリストを提供しています。ここで強調されている課題の一つは、期待される性能レベルを損なうことなく適用するセキュリティ管理策をどのように選択するかということです。
The mitigation controls for ML specific attacks outlined in the report should in general be deployed during the entire lifecycle of systems and applications making use of ML. 本レポートで紹介されているML特有の攻撃に対する緩和策は、一般的に、MLを利用するシステムやアプリケーションのライフサイクル全体で展開されるべきものです。
Machine Learning Algorithms Taxonomy 機械学習アルゴリズムの分類法
Based on desk research and interviews with the experts of the ENISA AI ad-hoc working group, a total of 40 most commonly used ML algorithms were identified. The taxonomy developed is based on the analysis of such algorithms. 机上調査とENISA AIアドホックワーキンググループの専門家へのインタビューに基づき、最も一般的に使用されているMLアルゴリズムを合計40個特定しました。今回作成した分類法は、このようなアルゴリズムの分析に基づいています。
The non-exhaustive taxonomy devised is to support the process of identifying which specific threats target ML algorithms, what are the associated vulnerabilities and the security controls needed to address those vulnerabilities. この非網羅的な分類法は、どのような脅威がMLアルゴリズムを標的としているか、関連する脆弱性は何か、その脆弱性に対処するために必要なセキュリティ対策は何かを特定するプロセスを支援するために考案されたものです。
Target audience 想定読者
・Public/government: EU institutions & agencies, regulatory bodies of Member States, supervisory authorities in data protection, military and intelligence agencies, law enforcement community, international organisations and national cybersecurity authorities. ・公共/政府 EUの機関、加盟国の規制機関、データ保護の監督機関、軍事・諜報機関、法執行機関、国際機関、各国のサイバーセキュリティ当局
・Industry at large including small & medium enterprises (SMEs) resorting to AI solutions, operators of essential services ; ・産業界:AIソリューションを利用している中小企業、重要なサービスを提供している企業を含む産業界全般
・AI technical, academic and research community, AI cybersecurity experts and AI experts such as designers, developers, ML experts, data scientists, etc. ・AI技術・学術・研究コミュニティ、AIサイバーセキュリティ専門家、デザイナー・開発者・ML専門家・データサイエンティストなどのAI専門家
・Standardisation bodies. ・標準化団体
Background 背景
The EU Agency for Cybersecurity continues to play a bigger role in the assessment of Artificial Intelligence (AI) by providing key input for future policies. The Agency takes part in the open dialogue with the European Commission and EU institutions on AI cybersecurity and regulatory initiatives to this end. EUサイバーセキュリティ機関は、将来の政策に重要な情報を提供することで、人工知能(AI)の評価においてより大きな役割を果たし続けています。同庁は、AIのサイバーセキュリティとそのための規制イニシアチブに関して、欧州委員会およびEU機関とのオープンな対話に参加しています。
The Agency set up the ENISA Ad Hoc Working Group on Cybersecurity for Artificial Intelligence last year. The working group supports ENISA in the process of building knowledge on AI Cybersecurity. Members of the group come from the European Commission Directorate-General Communications Networks, Content and Technology (DG CONNECT), the European Commission Directorate-General Joint Research Committee (DG JRC), Europol, the European Defence Agency (EDA), the European Union Agency for the Operational Management of Large-Scale IT Systems in the Area of Freedom, Security and Justice (eu-LISA), the European Telecommunications Standards Institute (ETSI), as well as academics and industry experts.   同庁は昨年、ENISA Ad Hoc Working Group on Cybersecurity for Artificial Intelligenceを設立しました。このワーキンググループは、AIのサイバーセキュリティに関する知識を構築する過程でENISAをサポートしています。同グループのメンバーは、欧州委員会通信ネットワーク・コンテンツ・技術総局(DG CONNECT)、欧州委員会総局共同研究委員会(DG JRC)、ユーロポール、欧州防衛庁(EDA)、欧州連合自由・安全・正義分野における大規模ITシステム運用管理機関(eu-LISA)、欧州電気通信標準化機構(ETSI)のほか、学識経験者や業界専門家から構成されています。 
Further information 関連情報
ENISA Report - Securing Machine Learning Algorithms – December 2021 ENISA報告書 - 機械学習アルゴリズムの保護
ENISA Report - Artificial Intelligence Cybersecurity Challenges ENISA報告書 - 人工知能のサイバーセキュリティの課題
ENISA AI Threat Landscape Report Unveils Major Cybersecurity Challenges ENISA AI脅威状況報告書 主要なサイバーセキュリティの課題を明らかにする

 

・2021.12.14 Securing Machine Learning Algorithms

Securing Machine Learning Algorithms 機械学習アルゴリズムの保護
Based on a systematic review of relevant literature on machine learning, in this report we provide a taxonomy for machine learning algorithms, highlighting core functionalities and critical stages. The report also presents a detailed analysis of threats targeting machine learning systems. Identified threats include inter alia, data poisoning, adversarial attacks and data exfiltration. Finally, we propose concrete and actionable security controls described in relevant literature and security frameworks and standards. 本報告書では、機械学習に関する関連文献の体系的なレビューに基づき、機械学習アルゴリズムの分類法を提供し、中核的な機能性と重要な段階を強調しています。また、機械学習システムを標的とした脅威を詳細に分析しています。識別された脅威には、特に、データポイズニング、敵対的攻撃、データ流出などが含まれます。最後に、関連文献やセキュリティフレームワーク、標準規格に記載されている具体的で実行可能なセキュリティ対策を提案しています。

 

・[PDF

20211215-100710

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. 序論
1.1 OBJECTIVES 1.1 目的とするもの
1.2 METHODOLOGY 1.2 方法論
1.3 TARGET AUDIENCE 1.3 想定読者
1.4 STRUCTURE 1.4 構成
2. MACHINE LEARNING ALGORITHMS TAXONOMY 2. 機械学習アルゴリズム分類法
2.1 MAIN DOMAIN AND DATA TYPES 2.1 主要領域とデータタイプ
2.2 LEARNING PARADIGMS 2.2 学習パラダイム
2.3 NAVIGATING THE TAXONOMY 2.3 分類法のナビゲーション
2.4 EXPLAINABILITY AND ACCURACY 2.4 説明可能性と正確性
2.5 AN OVERVIEW OF AN END-TO-END MACHINE LEARNING LIFECYCLE 2.5 機械学習のエンド・ツー・エンドのライフサイクルの概要
3. ML THREATS AND VULNERABILITIES 3. MLの脅威と脆弱性
3.1 IDENTIFICATION OF THREATS 3.1 脅威の特定
3.2 VULNERABILITIES MAPPED TO THREATS 3.2 脅威にマッピングされた脆弱性
4. SECURITY CONTROLS 4. セキュリティ管理
4.1 SECURITY CONTROLS RESULTS 4.1 セキュリティ管理の結果
5. CONCLUSION 5. 結論
A ANNEX: TAXONOMY OF ALGORITHMS 附属書A:アルゴリズムの分類法
B ANNEX: MAPPING SECURITY CONTROLS TO THREATS 附属書B:セキュリティ対策と脅威の対応付け
C ANNEX: IMPLEMENTING SECURITY CONTROLS 附属書C:セキュリティ対策の実施
D ANNEX: REFERENCES 附属書D:参考文献

 

 


機械学習に対するセキュリティ関連

 

欧州

● ENISA

・2020.12.15 Artificial Intelligence Cybersecurity Challenges

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.18 ENISA AI サイバーセキュリティのチャレンジ - AI脅威状況報告を公表していますね。

 

米国

● NIST - ITL

・2019.10.30 NISTIR 8269 (Draft)  A Taxonomy and Terminology of Adversarial Machine Learning

・[PDF

20211215-101237

 

中国

全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee

2021.08.04 国家标准《信息安全技术 机器学习算法安全评估规范》 国家標準「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案 PDF

 

20210813-133615

粗訳

・[DOCX]

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.13 中国 意見募集 「機械学習アルゴリズムのセキュリティ評価に関する情報セキュリティ技術仕様書」案を発表し、意見募集していますね。。。 at 2021.08.04

 

日本

産業技術総合研究所

・2021.07.05 機械学習品質マネジメントガイドライン 第2版

・[PDF] 機械学習品質マネジメントガイドライン 第2版

20210907-55659

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.06 産総研 「機械学習品質マネジメントガイドライン 第2版」を公開

 


こちらも。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 コンピュータ犯罪に関する白浜シンポジウムの発表資料

・・[PDF] スマートサイバー AI活用時代のサイバーリスク管理(配布用)

Title

| | Comments (0)

フランス CNILがウェブおよびアプリ開発者向けのGDPRガイドを改訂

こんにちは、丸山満彦です。

フランスのCNILがウェブおよびアプリ開発者向けのGDPRガイドを改訂していますね。。。

クッキー等のオンライン追跡機能の使用に関する規則や、閲覧者の測定ソリューションの適用に関する内容、データ漏洩につながった脆弱性とその対策例の紹介が新たに加わったとのことです。。。

 

CNIL

・2021.12.13 La CNIL publie une nouvelle version de son guide RGPD pour les développeurs

 

Quelles sont les nouveautés de cette deuxième version ? 今回の第2版では何が変わったのでしょうか?
Cette révision majeure du guide intègre des fiches inédites ainsi que des extraits de code pour illustrer de manière pratique certaines exigences du RGPD. 今回の大幅な改訂では、GDPRの要件の一部を実践的に説明するファクトシートやコードの抜粋を新たに追加しました。
Ces contenus concernent notamment l’application de règles sur l’usage de cookies et autres traceurs en ligne et sur les solutions de mesure d’audience. Cette deuxième version dresse également une liste non exhaustive de vulnérabilités ayant conduit à des violations de données notifiées à la CNIL et présente des exemples de mesures qui auraient permis de les éviter. これらの内容は、特に、クッキーやその他のオンライン追跡機能の使用に関する規則や、閲覧者の測定ソリューションの適用に関するものです。また、この第2版では、CNILに通知されたデータ漏洩につながった脆弱性を網羅的にリストアップし、それを防ぐことができた対策の例を紹介しています。
Au total, le guide comprend désormais 18 fiches thématiques qui couvrent la plupart des besoins des développeurs pour les accompagner à chaque étape de leur projet : このガイドには、プロジェクトの各段階で開発者が必要とするものをほぼ網羅した18のテーマ別シートが含まれています。
0. Développer en conformité avec le RGPD 0. RGPDに準拠した開発
1. Identifier les données personnelles 1. 個人情報の特定
2. Préparer son développement 2. 開発の準備
3. Sécuriser son environnement de développement 3. 開発環境の確保
4. Gérer son code source 4. ソースコードの管理
5. Faire un choix éclairé de son architecture 5. アーキテクチャを選ぶ際のポイント
6. Sécuriser vos sites web, vos applications et vos serveurs 6. ウェブサイト、アプリケーション、サーバーのセキュリティ
7. Minimiser les données collectées 7. データ収集の最小化
8. Gérer les profils utilisateurs 8. ユーザープロファイルの管理
9. Maîtriser vos bibliothèques et vos SDK 9. ライブラリとSDKの制御
10. Veiller à la qualité de votre code et sa documentation 10. コードとそのドキュメントの品質を確保する
11. Tester vos applications 11. アプリケーションのテスト
12. Informer les personnes 12. 人々への情報提供
13. Préparer l'exercice des droits des personnes 13. 人々の権利を行使するための準備
14. Gérer la durée de conservation des données 14. データ保持期間の管理
15. Prendre en compte les bases légales dans l’implémentation technique 15. 技術実装における法的根拠の考慮
16. (Nouvelle fiche) Analyser les pratiques en matière de traceurs sur vos sites et vos applications 16. (新シート)サイトやアプリケーションにおけるトラッキング行為の分析
17. Mesurer la fréquentation des sites web et des applications 17. ウェブサイトやアプリケーションのトラフィックを測定
18. (Nouvelle fiche) Se prémunir contre les attaques informatiques 18. (新シート)コンピュータ攻撃から身を守るために
Ces fiches n’ont pas vocation à répondre à l’ensemble des exigences des règlementations ni à être à prescriptives. Cependant, elles apportent une réflexion sur les exigences du RGPD à garder en tête lors du développement de projets. これらのシートは、規制のすべての要件を満たすことを意図したものではなく、また規定を目的としたものでもありません。しかし、これらは、プロジェクトの開発時に留意すべきRGPDの要件を反映しています。

 

GDPR開発者ガイド

Guide RGPD du développeur

 

Banniere

 

| | Comments (0)

内閣府 意見募集「医療分野の研究開発に資するための匿名加工医療情報に関する法律についてのガイドライン」の改定(案)

こんにちは、丸山満彦です。

内閣府健康・医療戦略推進事務局が、「医療分野の研究開発に資するための匿名加工医療情報に関する法律についてのガイドライン」の改定(案)の意見募集をしていますね。。。

e-Gov

・2021.12.10 「医療分野の研究開発に資するための匿名加工医療情報に関する法律についてのガイドライン」の改定(案)に対する意見募集について

20211215-62252


2 改定の概要

(1)漏えい等の報告について
○ 法第 24 条の2に規定する漏えい等の報告について、主務大臣への報告の方法について明記。

(2)本人への通知について
○ 法第 30 条に規定する
医療情報取扱事業者による医療情報の提供について、改正法により新たに本人への通知事項として追加された、「認定匿名加工医療情報作成事業者に提供される医療情報の取得の方法」、「認定匿名加工医療情報作成事業者に提供される医療情報の更新の方法」等の記載の具体例等について明記。

(3)その他、所要の規定の整備を行う。


意見募集はこちらの改訂案(新旧比較です)


関連法案等

関係法令・ガイドライン・通知

現在のガイドラインはこちら

  表紙・目次(PDF形式:313KB)
  I.認定匿名加工医療情報作成事業者編(PDF形式:633KB)
  II.法令等を遵守した運営編(PDF形式:468KB)
  III.安全管理措置編(PDF形式:488KB)
  IV.匿名加工医療情報の提供編(PDF形式:841KB)
  V.医療情報の提供編(PDF形式:468KB)

 

※ 令和3年6月18日に次世代医療基盤法ガイドラインを改定

・[PDF] 改定の概要

・[web] 改定の経緯(e-Govパブリック・コメント)

 

| | Comments (0)

2021.12.14

アイルランド 公的病院を運営している保険サービスエグゼクティブ ランサムウェアに感染した経験を踏まえた報告書 by PwC を公開

こんにちは、丸山満彦です。

アイルランドの公的病院を運営している保険サービスエグゼクティブ (Health Service Executive: HSE [wikipedia]) がランサムウェアに感染した経験(2021.05.14)を踏まえた報告書を公開していますね。。。理事会が第三者 (PwC) に委託して作成した独立報告書です。
ページ数が多いのですが、これから読むはず(^^;;

攻撃に至る経緯やどのような攻撃だったのか、とか、どのように対応した、とか、今後の対策、とか、参考になるような気がします(特に病院関係者)。。。一部黒塗りになっていますが、詳細な情報がありそうです。。。

 

● Ireland Health Service Executive

・2021.12.10 HSE publishes independent report on Conti cyber attack

 

HSE publishes independent report on Conti cyber attack HSE、Contiサイバー攻撃に関する独立報告書を発表
The report was commissioned by the HSE Board, in conjunction with the CEO and the Executive Management Team. It was prepared by PwC. It makes a detailed series of findings in relation to the circumstances leading up to the attack and the attack itself, including the level of preparedness for and the quality of the response to the incident. The HSE has already made urgent changes to protect the organisation against a similar future attack.  It has embarked on implementing recommendations in the report and has begun engagements with the Department of Health with a view to agreeing a multi-year ICT and cybersecurity transformation programme. 本報告書は、HSE BoardがCEOおよびExecutive Management Teamと共同で作成したものです。作成はPwCが担当しました。報告書では、攻撃に至る経緯や攻撃自体について、事件に対する準備のレベルや対応の質など、一連の詳細な調査結果が示されています。HSEは、将来の同様の攻撃から組織を守るために、すでに緊急の変更を行っています。  HSEは、本報告書に記載された提言の実施に着手し、複数年にわたるICTおよびサイバーセキュリティの変革プログラムの合意に向けて、保健省との協議を開始しています。
The Chairman of the HSE Mr Ciarán Devane said: “We commissioned this urgent review following the criminal attack on our IT systems which caused enormous disruption to health and social services in Ireland, and whose impact is still being felt every day.  It is clear that our IT systems and cybersecurity preparedness need major transformation. This report highlights the speed with which the sophistication of cyber-criminals has grown, and there are important lessons in this report for public and private sector organisations in Ireland and beyond.” HSEのシアラン・デヴェーン会長は次のように述べています。「我々は、アイルランドの医療および社会サービスに甚大な混乱をもたらし、その影響が今もなお毎日続いている、HSEのITシステムに対する犯罪的攻撃を受けて、この緊急レビューを依頼しました。  我々のITシステムとサイバーセキュリティ対策に大きな変革が必要であることは明らかです。本報告書は、サイバー犯罪者の高度化のスピードを浮き彫りにしており、アイルランドのみならず世界の公共・民間企業にとって重要な教訓となっています」。
The review found that there was a lack of structures and processes in place to deal with the incident. However, the HSE was in a position to draw from prior learnings and processes used in dealing with crisis situations, such as during the Covid pandemic, to help manage the situation. レビューでは、事件に対処するための構造やプロセスが不足していたことが判明しました。しかし、HSEは、Covidパンデミックの際など、危機的状況に対処する際に用いられた過去の学習やプロセスを、状況の管理に役立てることができました。
According to Mr Devane: “The HSE has accepted the report’s findings and recommendations, and it contains many learnings for us and potentially other organisations.  We are in the process of putting in place appropriate and sustainable structures and enhanced security measures.”  デヴェーン会長によると「HSEは報告書の調査結果と提言を受け入れました。この報告書には、当社や他の組織が学ぶべき点が多く含まれています。  私たちは、適切で持続可能な構造と強化されたセキュリティ対策を導入しているところです」ということです。
The CEO of the HSE Mr Paul Reid said: “We were anxious to commission this report so that we had an independent, thorough and transparent assessment of how this cyber-attack happened and to set out the strategic and tactical actions needed. The report sets this out in quite a lot of detail. We have initiated a range of immediate actions and we will now develop an implementation plan and business case for the investment to strengthen our resilience and responsiveness in this area.” HSEのCEOであるポール・リード氏は次のように述べています。「私たちは、今回のサイバー攻撃がどのようにして起こったのかを独立した立場から徹底的に、かつ透明性を持って評価し、必要な戦略的・戦術的行動を示すために、この報告書を依頼したいと強く願っていました。この報告書では、この点についてかなり詳細に述べられています。今後は、この分野における当組織の回復力と対応力を強化するために、実施計画と投資のためのビジネスケースを作成する予定です」。
 The HSE has implemented a number of high-level security solutions to address issues raised in the report. These include a range of new cyber-security controls, monitoring and threat intelligence measures based on best international expert advice.  HSEは、報告書で指摘された問題に対処するため、多くのハイレベルなセキュリティソリューションを導入しました。その中には、国際的な専門家のアドバイスに基づいた、一連の新しいサイバーセキュリティ管理、監視、脅威情報対策が含まれています。
Notes to editors: 編集後記
Background 背景
On 14th May 2021, the HSE was subjected to a serious criminal cyberattack, through the infiltration of IT systems using Conti Ransomware.  With over 80% of IT infrastructure impacted and the loss of key patient information and diagnostics, this resulted in severe impacts on the health service and the provision of care. The HSE employed the assistance of An Garda Síochána, the National Cyber Security Centre, Interpol and the Irish Defence Forces. 2021年5月14日、HSEは、Conti Ransomwareを使用したITシステムへの侵入により、深刻な犯罪的サイバー攻撃を受けました。  ITインフラの80%以上が影響を受け、重要な患者情報や診断結果が失われたことで、医療サービスやケアの提供に深刻な影響が出ました。HSEは、An Garda Síochána、National Cyber Security Centre、インターポール、アイルランド国防軍の協力を得ました。
 Key recommendations  主な提言
ICT / Cyber governance ICT/サイバーガバナンス
Board and Executive level working groups to drive continuous assessment of cybersecurity サイバーセキュリティの継続的な評価を推進するための役員会および執行役レベルの作業部会
Technology and Transformation 技術と変革
Appoint a Chief Technology and Transformation Officer 最高技術・変革責任者の任命
Enhance our ICT Strategy and multi-year technology plan in line with Cyber recommendations サイバー関連の推奨事項に沿ったICT戦略と複数年の技術計画の強化
Develop a significant investment plan 大規模な投資計画の策定
Transformation of a legacy IT estate レガシーIT資産の変革
Build cybersecurity and resilience into IT architecture ITアーキテクチャにサイバーセキュリティとレジリエンスを組み込む
Cyber-security サイバーセキュリティ
Appoint a Chief Information Security Officer and resource a skilled cyber function 最高情報セキュリティ責任者を任命と熟練したサイバー部門のリソースの確保
Develop and implement a cyber-security transformation programme  サイバーセキュリティの変革プログラムの策定と実施 
Clinical and services continuity 臨床とサービスの継続性
Establish clinical and services transformation programme 臨床およびサービスの変革プログラムの確立
Build on HSE risk, incident, crisis and business continuity processes HSEリスク、インシデント、クライシス、事業継続のプロセスの構築
Establish Operational Policy + Resilience Steering Committee オペレーショナル・ポリシー+レジリエンス・ステアリング・コミッティの設置
Enhance crisis management capabilities 危機管理能力の強化

 

独立インシデント後のレビュー報告書(全体)

・[PDF] Conti cyber-attack on the HSE Independent Post Incident Review

20211214-62353

 

独立インシデント後のレビュー報告書(エグゼクティブサマリー)

・[PDF] Conti cyber-attack on the HSE Independent Post Incident Review Executive Summary

20211214-62440

 

| | Comments (0)

2021.12.13

Apache Log4j 2 の脆弱性 (CVE-2021-44228)+ ソフトウェアの管理 + 脆弱性情報の管理

こんにちは、丸山満彦です。

2021年11月24日にAlibabaのクラウドセキュリティチームによってApacheに開示され、2021年12月9日に公開されたApache Log4j 2 の脆弱性の問題は、影響が大きいですよね。。。多くのソフトウェアで使われている可能性があるので、棚卸から始めなければならないでしょうね。。。で、見つかったら修正していく。。。できる範囲で。。。

利用されているソフトウェアの内容の理解というのは重要になってくるだろうなと改めて感じました。SBOMが重要なのかもしれません。。。

また、このような脆弱性情報が特定の人、組織のみに握られている状況というのも非常に良くないでしょうね。。。もちろん、攻撃の機会を与えるという意見もあるでしょうが、これから本当におそれることは、強い実行力をもった攻撃組織がその脆弱性情報を独占している状況なのかもしれません。。。

 

情報について

Logging Apache

Apache Log4j Security Vulnerabilities Fixed in Log4j 2.15.0

Logo_20211213065101

 


米国

CISA

・2021.12.11 STATEMENT FROM CISA DIRECTOR EASTERLY ON “LOG4J” VULNERABILITY

NIST - ITL - NATIONAL VULNERABILITY DATABASE

・2021.12.10 CVE-2021-44228 Detail

● MITRE - CVE

CVE-2021-44228

 

中国

国家计算机网络应急技术处理协调中心 CNCERT/CC

・2021.12.10 关于Apache Log4j2存在远程代码执行漏洞的安全公告

日本

JPCERT/CC

・2021.12.11 Apache Log4jの任意のコード実行の脆弱性(CVE-2021-44228)に関する注意喚起

Software-ISAC

・2021.12.12 Apache Log4jの任意のコード実行の脆弱性に関する緊急注意喚起 CVE-2021-44228 CVSS深刻度評価 10(最高)

(2021.12.15追記↓)

IPA

・2021.12.14 更新:Apache Log4j の脆弱性対策について(CVE-2021-44228)


 

docker Blog

・2021.12.11 Apache Log4j 2 CVE-2021-44228 by

 

piyolog

・2021.12.13 Log4jの深刻な脆弱性CVE-2021-44228についてまとめてみた



 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

| | Comments (0)

中国 第14次5カ年計画 デジタル経済開発計画

こんにちは、丸山満彦です。

中国が、第14次5カ年計画 デジタル経済開発計画を発表していますね。。。

国務院

2021.12.12 “十四五”数字经济发展规划的通知 デジタル経済発展のための第14次5カ年計画に関する通知

 

目次的な内容

一、发展现状和形势 1. 開発状況・状況
(一)发展现状。 (1) 開発の現状
(二)面临形势。 (2) 状況
二、总体要求 2. 一般要求事項
(一)指导思想。 (1) 指針となるイデオロギー
(二)基本原则。 (2) 基本原則
(三)发展目标。 (3) 開発目標
三、优化升级数字基础设施 3. デジタルインフラの最適化とアップグレード
(一)加快建设信息网络基础设施。 (1) 情報ネットワークインフラの構築を加速する。
(二)推进云网协同和算网融合发展。 (2) クラウド・ネットワークの相乗効果とコンピューティング・ネットワークの統合を促進すること。 
(三)有序推进基础设施智能升级。 (3) インフラのインテリジェント化を秩序立てて推進する。 
四、充分发挥数据要素作用 4. データエレメントの役割を十分に発揮させる
(一)强化高质量数据要素供给。 (1) 高品質なデータ要素の供給を強化する。
(二)加快数据要素市场化流通。 (2) 市場性のあるデータ要素の循環を加速する。 
(三)创新数据要素开发利用机制。 (3) データエレメントの開発と利用のためのメカニズムを革新する。 
五、大力推进产业数字化转型 5.  産業界のデジタルトランスフォーメーションを強力に推進する
(一)加快企业数字化转型升级。 (1) 企業のデジタルトランスフォーメーションとアップグレードの加速
(二)全面深化重点产业数字化转型。 (2) 基幹産業のデジタルトランスフォーメーションを全面的に深化させる。 
(三)推动产业园区和产业集群数字化转型。 (3) 工業団地・産業クラスターのデジタルトランスフォーメーションの推進。 
(四)培育转型支撑服务生态。 (4) 変革支援サービスのエコロジーを醸成する。
六、加快推动数字产业化 6. デジタル産業化の推進の加速
(一)增强关键技术创新能力。 (1) キーテクノロジーのイノベーション能力の向上
(二)提升核心产业竞争力。 (2) 基幹産業の競争力強化。 
(三)加快培育新业态新模式。 (3) 新産業、新モデルの育成を加速する。
(四)营造繁荣有序的产业创新生态。 (4) 豊かで秩序ある産業革新のエコロジーを創造する。 
七、持续提升公共服务数字化水平 7. 公共サービスのデジタルレベルの継続的な向上
(一)提高“互联网+政务服务”效能。 (1) 「インターネット+行政サービス」の効果を高める。
(二)提升社会服务数字化普惠水平。 (2) 社会サービスのデジタルインクルージョンのレベルを高める。 
(三)推动数字城乡融合发展。 (3) デジタルシティと地方の統合的な開発の推進。
(四)打造智慧共享的新型数字生活。 (4) 知恵と共有の新しいデジタルライフを創造する。
八、健全完善数字经济治理体系 8. デジタル経済のガバナンスシステムの改善と完成度の向上
(一)强化协同治理和监管机制。 (1) 協調的なガバナンスと規制メカニズムの強化
(二)增强政府数字化治理能力。 (2) 政府のデジタルガバナンス能力の強化 
(三)完善多元共治新格局。 (3) 多面的なガバナンスの新しいパターンを改善する。
九、着力强化数字经济安全体系 9. デジタル経済のセキュリティシステム強化への取り組み
(一)增强网络安全防护能力。 (1) ネットワークセキュリティ保護機能の強化
(二)提升数据安全保障水平。 (2) データセキュリティの保護レベルの向上。
(三)切实有效防范各类风险。 (3) 様々な種類のリスクを効果的かつ効率的に防止することができる。 
十、有效拓展数字经济国际合作 10. デジタル経済における国際協力の効果的な拡大
(一)加快贸易数字化发展。 (1) 貿易のデジタル化を加速する。
(二)推动“数字丝绸之路”深入发展。 (2) 「デジタルシルクロード」の綿密な開発を促進する。 
(三)积极构建良好国际合作环境。 (3) 国際協力のための良好な環境を積極的に構築する。
十一、保障措施 11. 保証措置
(一)加强统筹协调和组织实施。 (1) 調整と組織の強化
(二)加大资金支持力度。 (2) 資金面でのサポートの強化 
(三)提升全民数字素养和技能。 (3) すべての人のデジタルリテラシーとスキルの向上
(四)实施试点示范。 (4) 試験的な実証実験の実施 
(五)强化监测评估。 (5) モニタリングと評価の強化 

 

内容...

 

国务院关于印发 国務院発行
“十四五”数字经济发展规划的通知 デジタル経済発展のための第14次5カ年計画に関する通知
国发〔2021〕29号 国家開発[2021]No.29
各省、自治区、直辖市人民政府,国务院各部委、各直属机构: 中央政府直属のすべての省・自治区・市の人民政府、国務院のすべての省・委員会、国務院直属のすべての機関
现将《“十四五”数字经济发展规划》印发给你们,请认真贯彻执行。 デジタル経済発展のための「第14次5カ年計画」をここに発表しますので、これをしっかりと実行してください。
国务院 国務院
2021年12月12日 2021年12月12日
(此件公开发布) (このドキュメントは公開されています。)
“十四五”数字经济发展规划 デジタル経済発展のための第14次5カ年計画 について
数字经济是继农业经济、工业经济之后的主要经济形态,是以数据资源为关键要素,以现代信息网络为主要载体,以信息通信技术融合应用、全要素数字化转型为重要推动力,促进公平与效率更加统一的新经济形态。数字经济发展速度之快、辐射范围之广、影响程度之深前所未有,正推动生产方式、生活方式和治理方式深刻变革,成为重组全球要素资源、重塑全球经济结构、改变全球竞争格局的关键力量。“十四五”时期,我国数字经济转向深化应用、规范发展、普惠共享的新阶段。为应对新形势新挑战,把握数字化发展新机遇,拓展经济发展新空间,推动我国数字经济健康发展,依据《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》,制定本规划。 デジタル経済とは、農業経済、工業経済に次ぐ主要な経済形態であり、データ資源を重要な要素とし、現代の情報ネットワークを主要なキャリアとし、情報通信技術の統合と応用、あらゆる要素のデジタル化を重要な原動力として、公平性と効率性を促進する新しい経済形態である。 デジタル経済は、かつてないほどのスピードで発展し、かつてないほどの幅広い放射と深い影響を与えており、生産、生活、統治の様式に大きな変化をもたらし、世界の要素資源を再編し、世界経済の構造を再構築し、世界の競争状況を変える重要な力となっています。 「第14次5カ年計画期間において、中国のデジタル経済は、アプリケーションの深化、開発の標準化、すべての人の利益のための共有という新たな段階に移行しました。 本計画は、デジタル発展の新たな課題に対応し、新たな機会を把握し、経済発展の新たな空間を拡大し、中国のデジタル経済の健全な発展を促進するために、「中華人民共和国第14次国家経済社会発展5ヵ年計画」および「2035年ビジョンの概要」に基づいて策定されています。
一、发展现状和形势 1. 開発状況・状況
(一)发展现状。 (1) 開発の現状
“十三五”时期,我国深入实施数字经济发展战略,不断完善数字基础设施,加快培育新业态新模式,推进数字产业化和产业数字化取得积极成效。2020年,我国数字经济核心产业增加值占国内生产总值(GDP)比重达到7.8%,数字经济为经济社会持续健康发展提供了强大动力。 第13次5カ年計画」期間中、中国はデジタル経済発展戦略を実施し、デジタルインフラを継続的に改善し、新産業と新モデルの育成を加速し、デジタル産業化と産業のデジタル化を推進して成果を上げていきます。 2020年には、中国のデジタル経済中核産業の付加価値が国内総生産(GDP)の7.8%を占めるようになります。 デジタル経済は、経済・社会の持続的かつ健全な発展のための強力な推進力となっています。
信息基础设施全球领先。建成全球规模最大的光纤和第四代移动通信(4G)网络,第五代移动通信(5G)网络建设和应用加速推进。宽带用户普及率明显提高,光纤用户占比超过94%,移动宽带用户普及率达到108%,互联网协议第六版(IPv6)活跃用户数达到4.6亿。 情報インフラにおけるグローバルリーダーシップ。 世界最大規模の光ファイバーネットワークや第4世代移動体通信(4G)ネットワークが構築され、第5世代移動体通信(5G)ネットワークの構築・適用が加速しています。 ブロードバンドユーザーの普及率は大幅に上昇し、光ファイバーユーザーの割合は94%を超え、モバイルブロードバンドユーザーの普及率は108%に達し、アクティブなIPv6(インターネットプロトコルバージョン6)ユーザー数は4億6,000万人に達しています。
产业数字化转型稳步推进。农业数字化全面推进。服务业数字化水平显著提高。工业数字化转型加速,工业企业生产设备数字化水平持续提升,更多企业迈上“云端”。 産業界のデジタルトランスフォーメーションが着実に進められた。 農業のデジタル化を総合的に推進した。 サービス業のデジタル化が大幅に進みました。 産業界のデジタルトランスフォーメーションが加速し、工業企業の生産設備のデジタル化が進み、より多くの企業が「クラウド」に移行しました。
新业态新模式竞相发展。数字技术与各行业加速融合,电子商务蓬勃发展,移动支付广泛普及,在线学习、远程会议、网络购物、视频直播等生产生活新方式加速推广,互联网平台日益壮大。 新しい産業や新しいモデルが競争的に発展しています。 デジタル技術と様々な産業の融合が加速し、電子商取引が盛んになり、モバイル決済が広く普及し、オンライン学習、テレビ会議、オンラインショッピング、ライブビデオなど、生産や生活の新しいあり方が加速し、インターネットプラットフォームが成長していきました。
数字政府建设成效显著。一体化政务服务和监管效能大幅度提升,“一网通办”、“最多跑一次”、“一网统管”、“一网协同”等服务管理新模式广泛普及,数字营商环境持续优化,在线政务服务水平跃居全球领先行列。 デジタルガバメントの構築は効果的である。統合された政府のサービスと監督の有効性は大きく向上しました。「ワンストップサービス」、「一回きりの実行」、「1つのネットワーク管理」「1つのネットワーク協同」のようなサービス管理の新しいモードが広く普及しています。デジタルビジネス環境は引き続き最適化され、オンライン政府サービスのレベルは世界のトップレベルに躍進しました。
数字经济国际合作不断深化。《二十国集团数字经济发展与合作倡议》等在全球赢得广泛共识,信息基础设施互联互通取得明显成效,“丝路电商”合作成果丰硕,我国数字经济领域平台企业加速出海,影响力和竞争力不断提升。 デジタル経済における国際協力が深まった。 デジタル経済の発展と協力に関するG20イニシアティブ」などは広く世界的なコンセンサスを獲得し、情報インフラの相互接続と相互運用性は明らかな成果を上げ、「シルクロード電子商取引」の協力は実りあるものとなり、中国のデジタル経済プラットフォーム企業は海への進出を加速し、その影響力と競争力は継続的に強化されている。
与此同时,我国数字经济发展也面临一些问题和挑战:关键领域创新能力不足,产业链供应链受制于人的局面尚未根本改变;不同行业、不同区域、不同群体间数字鸿沟未有效弥合,甚至有进一步扩大趋势;数据资源规模庞大,但价值潜力还没有充分释放;数字经济治理体系需进一步完善。 その一方で、中国のデジタル経済の発展は、いくつかの問題や課題にも直面しています。主要分野のイノベーション能力が不十分で、産業チェーンのサプライチェーンが他の人の制約を受けていること、異なる産業、地域、グループ間のデジタルデバイドが効果的に解消されておらず、さらに拡大する傾向さえあること、データ資源の規模は巨大だが、潜在的な価値が十分に解放されていないこと、デジタル経済のガバナンスシステムをさらに改善する必要があることなどが挙げられます。
(二)面临形势。 (2) 状況
当前,新一轮科技革命和产业变革深入发展,数字化转型已经成为大势所趋,受内外部多重因素影响,我国数字经济发展面临的形势正在发生深刻变化。 現在、科学技術革命と産業変化の新ラウンドが深く発展し、デジタルトランスフォーメーションが大きなトレンドとなっており、複数の内外の要因の影響を受け、中国のデジタル経済の発展が直面する状況は大きく変化しています。
发展数字经济是把握新一轮科技革命和产业变革新机遇的战略选择。数字经济是数字时代国家综合实力的重要体现,是构建现代化经济体系的重要引擎。世界主要国家均高度重视发展数字经济,纷纷出台战略规划,采取各种举措打造竞争新优势,重塑数字时代的国际新格局。 デジタル経済の発展は、科学技術革命と産業変化の新たなラウンドを把握するための戦略的選択である。 デジタル経済は、デジタル時代における一国の総合力を示すものであり、近代的な経済システムを構築するための重要なエンジンです。 世界の主要国では、デジタル経済の発展を重要視しており、新たな競争力を生み出し、デジタル時代の新しい国際情勢を再構築するために、戦略的計画を導入し、さまざまな取り組みを行っています。
数据要素是数字经济深化发展的核心引擎。数据对提高生产效率的乘数作用不断凸显,成为最具时代特征的生产要素。数据的爆发增长、海量集聚蕴藏了巨大的价值,为智能化发展带来了新的机遇。协同推进技术、模式、业态和制度创新,切实用好数据要素,将为经济社会数字化发展带来强劲动力。 データエレメントは、デジタル経済の深化発展のためのコアエンジンです。 データによる生産効率向上の乗数効果は、時代の最も特徴的な生産要素として注目され続けています。 データの爆発的な増加とその大量の集積は、大きな価値を持ち、知的発展のための新たな機会をもたらします。 技術、モデル、産業、組織のイノベーションを共同で推進し、データ要素を有効に活用することで、経済・社会のデジタル化を強力に推進していきます。
数字化服务是满足人民美好生活需要的重要途径。数字化方式正有效打破时空阻隔,提高有限资源的普惠化水平,极大地方便群众生活,满足多样化个性化需要。数字经济发展正在让广大群众享受到看得见、摸得着的实惠。 デジタルサービスは、より良い生活を求める人々のニーズに応えるための重要な手段です。 デジタル手段は、時間と空間の障壁を効果的に打破し、限られた資源の普遍性のレベルを高め、大衆の生活を大きく促進し、多様で個別のニーズを満たしています。 デジタル経済の発展により、一般の人々が目に見える具体的な利益を享受できるようになってきました。
规范健康可持续是数字经济高质量发展的迫切要求。我国数字经济规模快速扩张,但发展不平衡、不充分、不规范的问题较为突出,迫切需要转变传统发展方式,加快补齐短板弱项,提高我国数字经济治理水平,走出一条高质量发展道路。 規制された健全で持続可能なデジタル経済は、デジタル経済の高品質な発展のための喫緊の要件です。 中国のデジタル経済の規模は急速に拡大していますが、不均衡、不十分、非標準的な発展の問題がより顕著になっています。 従来の発展モードを変え、欠点や弱点を補うために加速し、中国のデジタル経済のガバナンスレベルを向上させ、質の高い発展路線から抜け出すことが急務となっています。
二、总体要求 2. 一般要求事項
(一)指导思想。 (1) 指針となるイデオロギー
以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,立足新发展阶段,完整、准确、全面贯彻新发展理念,构建新发展格局,推动高质量发展,统筹发展和安全、统筹国内和国际,以数据为关键要素,以数字技术与实体经济深度融合为主线,加强数字基础设施建设,完善数字经济治理体系,协同推进数字产业化和产业数字化,赋能传统产业转型升级,培育新产业新业态新模式,不断做强做优做大我国数字经济,为构建数字中国提供有力支撑。 新時代の中国の特色ある社会主義という習近平氏の思想に導かれ、第19回党大会と第19回全体会議の精神を全面的に実施し、新発展段階に基づき、新発展理念を完全に、正確に、全面的に実施し、新発展パターンを構築し、高品質な発展を促進し、発展と安全を調整し、国内外を調整し、データを重要な要素とし、デジタル技術と実体経済の深い融合に力を入れ、デジタルを強化している。 デジタルインフラの構築を強化し、デジタル経済のガバナンスシステムを改善し、デジタル産業化と産業のデジタル化を促進し、伝統産業の変革とアップグレードを後押しし、新産業と新ビジネスモデルを育成し、中国のデジタル経済を継続的に強化・拡大し、デジタル中国の構築を強力に支援します。
(二)基本原则。 (2) 基本原則
坚持创新引领、融合发展。坚持把创新作为引领发展的第一动力,突出科技自立自强的战略支撑作用,促进数字技术向经济社会和产业发展各领域广泛深入渗透,推进数字技术、应用场景和商业模式融合创新,形成以技术发展促进全要素生产率提升、以领域应用带动技术进步的发展格局。 イノベーション主導の統合的な開発を主張する。 イノベーションを発展をリードする第一の原動力とし、自立と向上のための科学技術の戦略的支援の役割を強調し、経済、社会、産業の発展の各分野へのデジタル技術の広範かつ深遠な浸透を促進し、デジタル技術、応用シナリオ、ビジネスモデルの統合とイノベーションを促進し、技術開発による全要素生産性の促進と、現場応用による技術進歩の促進という発展パターンを形成すること。
坚持应用牵引、数据赋能。坚持以数字化发展为导向,充分发挥我国海量数据、广阔市场空间和丰富应用场景优势,充分释放数据要素价值,激活数据要素潜能,以数据流促进生产、分配、流通、消费各个环节高效贯通,推动数据技术产品、应用范式、商业模式和体制机制协同创新。 アプリケーションの牽引とデータのエンパワーメントにこだわる。 デジタル開発を指針とし、中国の膨大なデータ、広大な市場空間、豊富なアプリケーションシナリオの利点を最大限に生かし、データ要素の価値を完全に解放し、データ要素の可能性を活性化し、生産、流通、循環、消費のすべての面でデータフローの効率的な浸透を促進し、データ技術製品、アプリケーションパラダイム、ビジネスモデル、制度的メカニズムの共同革新を促進することです。
坚持公平竞争、安全有序。突出竞争政策基础地位,坚持促进发展和监管规范并重,健全完善协同监管规则制度,强化反垄断和防止资本无序扩张,推动平台经济规范健康持续发展,建立健全适应数字经济发展的市场监管、宏观调控、政策法规体系,牢牢守住安全底线。 公正な競争、安全と秩序を主張する。 競争政策の基本的な立場を強調し、発展促進と規制の均等な重要性を堅持し、協調規制のルールとシステムを改善し、独占禁止を強化して資本の無秩序な拡大を防ぎ、プラットフォーム経済の標準化された健全で持続可能な発展を促進し、市場規制、マクロ規制、デジタル経済の発展に適応した政策と規制の健全なシステムを確立し、安全ボトムラインをしっかりと守ります。
坚持系统推进、协同高效。充分发挥市场在资源配置中的决定性作用,构建经济社会各主体多元参与、协同联动的数字经济发展新机制。结合我国产业结构和资源禀赋,发挥比较优势,系统谋划、务实推进,更好发挥政府在数字经济发展中的作用。 組織的な推進、相乗効果、効率化を主張する。 資源配分における市場の決定的な役割を十分に発揮し、すべての経済的・社会的アクターの多様な参加と相乗効果によって、デジタル経済の発展のための新しいメカニズムを構築すること。 中国の産業構造と資源を組み合わせ、比較優位を生かし、体系的に計画し、現実的に推進し、デジタル経済の発展における政府の役割をよりよく果たしていく。
(三)发展目标。 (3) 開発目標
到2025年,数字经济迈向全面扩展期,数字经济核心产业增加值占GDP比重达到10%,数字化创新引领发展能力大幅提升,智能化水平明显增强,数字技术与实体经济融合取得显著成效,数字经济治理体系更加完善,我国数字经济竞争力和影响力稳步提升。 2025年までに、デジタル経済は全面的な拡大期に向かい、デジタル経済の中核産業の付加価値はGDPの10%に達し、デジタルイノベーションが発展をリードする能力は大幅に向上し、インテリジェンスのレベルは大幅に強化され、デジタル技術と実体経済の統合は目覚ましい成果を上げ、デジタル経済のガバナンスシステムはより完全なものとなり、中国のデジタル経済の競争力と影響力は着実に強化されていくでしょう。
——数据要素市场体系初步建立。数据资源体系基本建成,利用数据资源推动研发、生产、流通、服务、消费全价值链协同。数据要素市场化建设成效显现,数据确权、定价、交易有序开展,探索建立与数据要素价值和贡献相适应的收入分配机制,激发市场主体创新活力。 ・データ要素の市場システムを最初に確立すること。 データ・リソース・システムを基本的に構築し,データ・リソースを活用して,研究開発,生産,流通,サービス,消費というバリューチェーン全体のシナジーを促進した。 データ要素の市場志向の構築は効果的で,データの識別,価格設定,取引が整然と行われ,データ要素の価値や貢献度に応じた所得分配の仕組みが模索され,市場参加者の革新的な活力を刺激している。
——产业数字化转型迈上新台阶。农业数字化转型快速推进,制造业数字化、网络化、智能化更加深入,生产性服务业融合发展加速普及,生活性服务业多元化拓展显著加快,产业数字化转型的支撑服务体系基本完备,在数字化转型过程中推进绿色发展。 ・産業界のデジタルトランスフォーメーションは新たなレベルに達しています。 農業のデジタルトランスフォーメーションが急速に進み、製造業のデジタル化、ネットワーク化、知能化がより深化し、生産サービス業の統合と発展が加速して普及し、生活サービス業の多様な拡大が大幅に加速し、産業のデジタルトランスフォーメーションのための支援サービスシステムが基本的に完成し、デジタルトランスフォーメーションの過程でグリーンな発展が促進されているのです。
——数字产业化水平显著提升。数字技术自主创新能力显著提升,数字化产品和服务供给质量大幅提高,产业核心竞争力明显增强,在部分领域形成全球领先优势。新产业新业态新模式持续涌现、广泛普及,对实体经济提质增效的带动作用显著增强。 ・デジタル産業化のレベルが著しく向上している。 デジタル技術の自主的な革新能力が大幅に強化され,デジタル製品・サービスの供給品質が大幅に向上し,業界のコア競争力が大幅に強化され,一部の分野では世界的なリーディング・アドバンテージが形成されています。 新しい産業,新しいビジネスモデル,新しいモードが続々と生まれ,普及し,実体経済の質と効率に与える影響が著しく高まっています。
——数字化公共服务更加普惠均等。数字基础设施广泛融入生产生活,对政务服务、公共服务、民生保障、社会治理的支撑作用进一步凸显。数字营商环境更加优化,电子政务服务水平进一步提升,网络化、数字化、智慧化的利企便民服务体系不断完善,数字鸿沟加速弥合。 ・デジタル公共サービスは,より包括的で平等なものになりました。 デジタルインフラは生産や生活に広く浸透しており,行政サービス,公共サービス,生活保護,社会的ガバナンスなどでのサポート役がさらに強調されています。 デジタルビジネス環境が最適化され,電子政府サービスのレベルがさらに向上し,企業や公共のためのネットワーク化されたデジタルでインテリジェントなサービスシステムが改善され,デジタルデバイドが加速度的に解消されています。
——数字经济治理体系更加完善。协调统一的数字经济治理框架和规则体系基本建立,跨部门、跨地区的协同监管机制基本健全。政府数字化监管能力显著增强,行业和市场监管水平大幅提升。政府主导、多元参与、法治保障的数字经济治理格局基本形成,治理水平明显提升。与数字经济发展相适应的法律法规制度体系更加完善,数字经济安全体系进一步增强。 ・デジタル経済のためのより良いガバナンスシステム。 協調的で統一されたデジタル経済のガバナンスの枠組みとルールシステムが基本的に確立され,分野横断的,地域横断的な調整と監督のメカニズムが基本的に改善されています。 政府のデジタル規制能力が大幅に強化され,産業・市場規制のレベルが大幅に向上した。 政府主導で,多元的で,法の支配が保証されたデジタル経済のガバナンスパターンが基本的に形成され,ガバナンスのレベルが大幅に向上する。 デジタル経済の発展に適合した法規制のシステムが改善され,デジタル経済のセキュリティシステムがさらに強化される。
展望2035年,数字经济将迈向繁荣成熟期,力争形成统一公平、竞争有序、成熟完备的数字经济现代市场体系,数字经济发展基础、产业体系发展水平位居世界前列。 2035年を展望すると、デジタル経済は豊かで成熟した段階に向かっており、デジタル経済のための統一的で公正、競争的で秩序ある、成熟した完全な現代市場システムの形成に努め、デジタル経済の発展基盤と産業システムの発展レベルで世界のリーダーにランクされています。
三、优化升级数字基础设施 3. デジタルインフラの最適化とアップグレード
(一)加快建设信息网络基础设施。
(1) 情報ネットワークインフラの構築を加速する。
建设高速泛在、天地一体、云网融合、智能敏捷、绿色低碳、安全可控的智能化综合性数字信息基础设施。有序推进骨干网扩容,协同推进千兆光纤网络和5G网络基础设施建设,推动5G商用部署和规模应用,前瞻布局第六代移动通信(6G)网络技术储备,加大6G技术研发支持力度,积极参与推动6G国际标准化工作。积极稳妥推进空间信息基础设施演进升级,加快布局卫星通信网络等,推动卫星互联网建设。提高物联网在工业制造、农业生产、公共服务、应急管理等领域的覆盖水平,增强固移融合、宽窄结合的物联接入能力。  高速でユビキタス、天と地、クラウドとネットワークの融合、インテリジェントでアジャイル、グリーンで低炭素、セキュアでコントロール可能な、インテリジェントで包括的なデジタル情報インフラを構築する。 また、バックボーンネットワークの拡張を整然と進め、ギガビット光ファイバーネットワークと5Gネットワークインフラの構築を調整し、5Gの商業展開と大規模なアプリケーションを促進し、第6世代移動通信(6G)ネットワーク技術の準備を前向きに検討し、6G技術の研究開発への支援を強化し、6Gの国際標準化作業の推進に積極的に参加します。 宇宙情報インフラの進化・高度化を積極的かつ着実に推進し、衛星通信網などの整備を加速させ、衛星インターネットの構築を推進すること。 工業生産、農業生産、公共サービス、緊急管理などの分野におけるモノのインターネットのカバーレベルを向上させ、固定-移動の融合、モノのインターネットへのアクセスの広い範囲と狭い範囲の組み合わせの能力を強化する。
(二)推进云网协同和算网融合发展。 (2) クラウド・ネットワークの相乗効果とコンピューティング・ネットワークの統合を促進すること。 
加快构建算力、算法、数据、应用资源协同的全国一体化大数据中心体系。在京津冀、长三角、粤港澳大湾区、成渝地区双城经济圈、贵州、内蒙古、甘肃、宁夏等地区布局全国一体化算力网络国家枢纽节点,建设数据中心集群,结合应用、产业等发展需求优化数据中心建设布局。加快实施“东数西算”工程,推进云网协同发展,提升数据中心跨网络、跨地域数据交互能力,加强面向特定场景的边缘计算能力,强化算力统筹和智能调度。按照绿色、低碳、集约、高效的原则,持续推进绿色数字中心建设,加快推进数据中心节能改造,持续提升数据中心可再生能源利用水平。推动智能计算中心有序发展,打造智能算力、通用算法和开发平台一体化的新型智能基础设施,面向政务服务、智慧城市、智能制造、自动驾驶、语言智能等重点新兴领域,提供体系化的人工智能服务。 演算、アルゴリズム、データ、アプリケーションのリソースが相乗効果を発揮する国家統合ビッグデータセンターシステムの構築を加速する。 北京、天津、河北、長江デルタ、広東・香港・マカオのグレーターベイエリア、成都・重慶の双子都市経済圏、貴州、内モンゴル、甘粛、寧夏に国家統合コンピューティングネットワークの国家ハブノードを配置し、データセンタークラスターを構築し、アプリケーションや産業の開発ニーズを組み合わせてデータセンター建設のレイアウトを最適化する。 東のデータ、西のコンピューティング」プロジェクトの実施を加速し、クラウドネットワークの共同開発を促進し、データセンターのクロスネットワークおよびクロスリージョナルデータインタラクション機能を強化し、特定のシナリオに対応したエッジコンピューティング機能を強化し、コンピューティングパワーの調整とインテリジェントスケジューリングを強化すること。 グリーン、低炭素、集約的、効率的という原則に基づき、グリーンデジタルセンターの建設を引き続き推進し、データセンターの省エネ化を加速させ、データセンターにおける再生可能エネルギーの利用レベルを継続的に向上させていきます。 インテリジェントコンピューティングセンターの秩序ある発展を促進し、インテリジェントコンピューティングパワー、共通アルゴリズム、開発プラットフォームを統合した新しいインテリジェントインフラを構築し、政府サービス、スマートシティ、インテリジェント製造、自律走行、言語知能などの主要な新興分野に体系的な人工知能サービスを提供します。
(三)有序推进基础设施智能升级。 (3) インフラのインテリジェント化を秩序立てて推進する。
稳步构建智能高效的融合基础设施,提升基础设施网络化、智能化、服务化、协同化水平。高效布局人工智能基础设施,提升支撑“智能+”发展的行业赋能能力。推动农林牧渔业基础设施和生产装备智能化改造,推进机器视觉、机器学习等技术应用。建设可靠、灵活、安全的工业互联网基础设施,支撑制造资源的泛在连接、弹性供给和高效配置。加快推进能源、交通运输、水利、物流、环保等领域基础设施数字化改造。推动新型城市基础设施建设,提升市政公用设施和建筑智能化水平。构建先进普惠、智能协作的生活服务数字化融合设施。在基础设施智能升级过程中,充分满足老年人等群体的特殊需求,打造智慧共享、和睦共治的新型数字生活。 インテリジェントで効率的なコンバージェンス・インフラを着実に構築し、ネットワーク化、インテリジェント化、サービス化、コラボレーション化されたインフラのレベルを向上させる。 人工知能のインフラを効率的に整備し、業界のエンパワーメント能力を高め、「知能+」の発展を支援する。 農業、林業、畜産業、水産業におけるインフラや生産設備のインテリジェント化を推進し、マシンビジョンや機械学習などの技術の応用を促進する。 ユビキタス接続、柔軟な供給、製造資源の効率的な配分を支える、信頼性、柔軟性、安全性の高い産業用インターネットインフラを構築する。 エネルギー、交通、水利、物流、環境保護などの分野におけるインフラのデジタルトランスフォーメーションを加速する。 新たな都市インフラの構築を促進し、自治体の公共施設や建物のインテリジェンスレベルを向上させる。 高度で包括的、知的で協調的な生活サービスのためのデジタル統合施設を構築する。 インフラをインテリジェントにアップグレードする過程で、高齢者やその他のグループの特別なニーズを十分に満たし、知恵の共有と調和、ガバナンスを備えた新しいタイプのデジタルライフを創造します。
四、充分发挥数据要素作用 4. データエレメントの役割を十分に発揮させる
(一)强化高质量数据要素供给。
(1) 高品質なデータ要素の供給を強化する。
支持市场主体依法合规开展数据采集,聚焦数据的标注、清洗、脱敏、脱密、聚合、分析等环节,提升数据资源处理能力,培育壮大数据服务产业。推动数据资源标准体系建设,提升数据管理水平和数据质量,探索面向业务应用的共享、交换、协作和开放。加快推动各领域通信协议兼容统一,打破技术和协议壁垒,努力实现互通互操作,形成完整贯通的数据链。推动数据分类分级管理,强化数据安全风险评估、监测预警和应急处置。深化政务数据跨层级、跨地域、跨部门有序共享。建立健全国家公共数据资源体系,统筹公共数据资源开发利用,推动基础公共数据安全有序开放,构建统一的国家公共数据开放平台和开发利用端口,提升公共数据开放水平,释放数据红利。 市場関係者が法律に則ってデータ収集を行い、データのラベリング、クリーニング、減感、復号化、集計、分析などに注力し、データリソースの処理能力を向上させ、データサービス産業を育成・成長させることを支援する。 データリソース標準システムの構築を促進し、データ管理とデータ品質を向上させ、ビジネスアプリケーションの共有、交換、コラボレーション、オープン性を探求する。 様々な分野で互換性のある統一された通信プロトコルの普及を加速させ、技術的・プロトコル的な障壁を取り払い、相互運用性・互換性の実現に努め、完全で一貫したデータチェーンを形成する。 データの分類とグレーディング管理を推進し、データセキュリティのリスク評価、監視、早期警告・緊急対応を強化する。 レベル、地域、部門を超えた政府データの秩序ある共有を深める。 全国公共データ資源システムを構築・改善し、公共データ資源の開発・利用を調整し、基本的な公共データの安全かつ秩序ある公開を促進し、統一された全国公共データ公開プラットフォームと開発・利用ポートを構築し、公共データ公開のレベルを高め、データの配当を公開する。
(二)加快数据要素市场化流通。 (2) 市場性のあるデータ要素の循環を加速する。
加快构建数据要素市场规则,培育市场主体、完善治理体系,促进数据要素市场流通。鼓励市场主体探索数据资产定价机制,推动形成数据资产目录,逐步完善数据定价体系。规范数据交易管理,培育规范的数据交易平台和市场主体,建立健全数据资产评估、登记结算、交易撮合、争议仲裁等市场运营体系,提升数据交易效率。严厉打击数据黑市交易,营造安全有序的市场环境。 データ要素の市場ルールの構築を加速し、市場関係者を育成し、ガバナンス体制を整備し、市場におけるデータ要素の流通を促進すること。 市場関係者がデータ資産の価格設定メカニズムを探求し、データ資産カタログの形成を促進し、データ価格設定システムを徐々に改善することを奨励する。 データ取引の管理を規制し、標準化されたデータ取引プラットフォームと市場参加者を育成し、データ資産の評価、登録、決済、取引集約、紛争仲裁などの市場運営システムを構築・改善し、データ取引の効率化を図る。 データの闇取引を取り締まり、安全で秩序ある市場環境を作る。
(三)创新数据要素开发利用机制。 (3) データエレメントの開発と利用のためのメカニズムを革新する。
适应不同类型数据特点,以实际应用需求为导向,探索建立多样化的数据开发利用机制。鼓励市场力量挖掘商业数据价值,推动数据价值产品化、服务化,大力发展专业化、个性化数据服务,促进数据、技术、场景深度融合,满足各领域数据需求。鼓励重点行业创新数据开发利用模式,在确保数据安全、保障用户隐私的前提下,调动行业协会、科研院所、企业等多方参与数据价值开发。对具有经济和社会价值、允许加工利用的政务数据和公共数据,通过数据开放、特许开发、授权应用等方式,鼓励更多社会力量进行增值开发利用。结合新型智慧城市建设,加快城市数据融合及产业生态培育,提升城市数据运营和开发利用水平。 さまざまなデータの特性に対応し、実用的なニーズに応じて、データの開発・活用のための多様な仕組みの構築を検討する。 市場の力を借りて商用データの価値を探り、データの価値の製品化とサービス化を促進し、専門的で個別化されたデータサービスを精力的に開発し、データ、技術、シナリオの深い統合を促進し、様々な分野のデータのニーズに応えていく。 主要産業にデータ開発・利用モデルの革新を促し、業界団体、研究機関、企業などの多方面からデータ価値開発に参加してもらい、データの安全性とユーザーのプライバシーを確保することを前提とする。 経済的・社会的価値があり、処理・利用が認められている政府データや公共データについては、より多くの社会勢力がデータのオープン化、ライセンス開発、許可されたアプリケーションを通じて、付加価値のある開発・利用を行うことを奨励する。 新型スマートシティの建設と相まって、都市データの統合と産業エコロジーの育成が加速され、都市データの運用・開発・活用のレベルが向上すると考えられる。
五、大力推进产业数字化转型 5.  産業界のデジタルトランスフォーメーションを強力に推進する
(一)加快企业数字化转型升级。
(1) 企業のデジタルトランスフォーメーションとアップグレードの加速
引导企业强化数字化思维,提升员工数字技能和数据管理能力,全面系统推动企业研发设计、生产加工、经营管理、销售服务等业务数字化转型。支持有条件的大型企业打造一体化数字平台,全面整合企业内部信息系统,强化全流程数据贯通,加快全价值链业务协同,形成数据驱动的智能决策能力,提升企业整体运行效率和产业链上下游协同效率。实施中小企业数字化赋能专项行动,支持中小企业从数字化转型需求迫切的环节入手,加快推进线上营销、远程协作、数字化办公、智能生产线等应用,由点及面向全业务全流程数字化转型延伸拓展。鼓励和支持互联网平台、行业龙头企业等立足自身优势,开放数字化资源和能力,帮助传统企业和中小企业实现数字化转型。推行普惠性“上云用数赋智”服务,推动企业上云、上平台,降低技术和资金壁垒,加快企业数字化转型。 企業がデジタル思考を強化し、スタッフのデジタルスキルとデータ管理能力を向上させ、企業の研究開発・設計、生産・加工、運用・管理、販売・サービスなどの事業のデジタル化を包括的かつ体系的に推進するよう指導する。 大企業が統合デジタルプラットフォームを構築し、社内の情報システムを完全に統合し、プロセス全体のデータ浸透を強化し、バリューチェーン全体のビジネスコラボレーションを加速し、データに基づくインテリジェントな意思決定能力を形成し、企業の全体的な業務効率と産業チェーンに沿った川上と川下のコラボレーションの効率を向上させるための条件を整えて支援する。 中小企業のデジタル・エンパワーメントのための特別なアクションを実施し、中小企業がデジタル・トランスフォーメーションの緊急な要求から始めることを支援し、オンライン・マーケティング、リモート・コラボレーション、デジタル・オフィス、インテリジェントな生産ラインなどのアプリケーションを加速させ、ビジネス全体と点から面へのプロセス全体のデジタル・トランスフォーメーションを拡張すること。 インターネット・プラットフォームや先進的な産業企業などがデジタル資源や能力を開放し、伝統的な企業や中小企業がデジタル・トランスフォーメーションを達成できるようにすることを奨励・支援する。 包括的な「デジタルインテリジェンスによるクラウドへのアクセス」サービスを実施し、企業のクラウドやプラットフォームへのアクセスを促進し、技術的・財政的な障壁を下げ、デジタルトランスフォーメーションを加速させる。
(二)全面深化重点产业数字化转型。 (2) 基幹産業のデジタルトランスフォーメーションを全面的に深化させる。
立足不同产业特点和差异化需求,推动传统产业全方位、全链条数字化转型,提高全要素生产率。大力提升农业数字化水平,推进“三农”综合信息服务,创新发展智慧农业,提升农业生产、加工、销售、物流等各环节数字化水平。纵深推进工业数字化转型,加快推动研发设计、生产制造、经营管理、市场服务等全生命周期数字化转型,加快培育一批“专精特新”中小企业和制造业单项冠军企业。深入实施智能制造工程,大力推动装备数字化,开展智能制造试点示范专项行动,完善国家智能制造标准体系。培育推广个性化定制、网络化协同等新模式。大力发展数字商务,全面加快商贸、物流、金融等服务业数字化转型,优化管理体系和服务模式,提高服务业的品质与效益。促进数字技术在全过程工程咨询领域的深度应用,引领咨询服务和工程建设模式转型升级。加快推动智慧能源建设应用,促进能源生产、运输、消费等各环节智能化升级,推动能源行业低碳转型。加快推进国土空间基础信息平台建设应用。推动产业互联网融通应用,培育供应链金融、服务型制造等融通发展模式,以数字技术促进产业融合发展。 各産業の特性と差別化されたニーズに基づき、あらゆる側面とチェーンにおいて伝統産業のデジタルトランスフォーメーションを推進し、全要素生産性を向上させる。 農業のデジタルレベルを精力的に向上させ、「三農」総合情報サービスを推進し、スマート農業を革新・発展させ、農業生産、加工、販売、物流などのデジタルレベルを向上させる。 また、産業界のデジタルトランスフォーメーションを推進し、研究開発、設計、製造、管理、マーケティングサービスなどのライフサイクル全体のデジタルトランスフォーメーションを加速させ、「特化、専門化、新化」の中小企業を数多く育成し、製造業のシングルチャンピオン企業を育成します。 知的生産プロジェクトを徹底的に実施し、設備のデジタル化を積極的に推進し、知的生産特別行動のパイロットデモンストレーションを実施し、国家知的生産標準システムを改善する。 パーソナライズド・カスタマイゼーションやネットワーク・コラボレーションなどの新しいモデルが推進されます。 デジタルコマースを積極的に展開し、貿易、物流、金融などのサービス産業のデジタル化を全面的に加速し、管理システムやサービスモデルを最適化し、サービス産業の品質と効率を向上させる。 ホールプロセス・エンジニアリング・コンサルティングの分野で、デジタル技術の深い応用を促進し、コンサルティング・サービスとエンジニアリング・コンストラクション・モードの変革とアップグレードをリードすること。 スマートエネルギー構築の適用を加速し、エネルギー生産、輸送、消費のインテリジェント化を促進し、エネルギー産業の低炭素化を推進する。 土地・空間の基本情報プラットフォームの構築と活用を加速する。 産業インターネット統合の適用を促進し、サプライチェーンファイナンス、サービスベースの製造などの統合開発モデルを育成し、デジタル技術による産業統合開発を促進する。
(三)推动产业园区和产业集群数字化转型。 (3) 工業団地・産業クラスターのデジタルトランスフォーメーションの推進。
引导产业园区加快数字基础设施建设,利用数字技术提升园区管理和服务能力。积极探索平台企业与产业园区联合运营模式,丰富技术、数据、平台、供应链等服务供给,提升线上线下相结合的资源共享水平,引导各类要素加快向园区集聚。围绕共性转型需求,推动共享制造平台在产业集群落地和规模化发展。探索发展跨越物理边界的“虚拟”产业园区和产业集群,加快产业资源虚拟化集聚、平台化运营和网络化协同,构建虚实结合的产业数字化新生态。依托京津冀、长三角、粤港澳大湾区、成渝地区双城经济圈等重点区域,统筹推进数字基础设施建设,探索建立各类产业集群跨区域、跨平台协同新机制,促进创新要素整合共享,构建创新协同、错位互补、供需联动的区域数字化发展生态,提升产业链供应链协同配套能力。 工業団地がデジタルインフラの構築を加速し、デジタル技術を利用して工業団地の管理とサービス能力を高めるように指導する。 プラットフォーム企業と工業団地の共同運営モードを積極的に模索し、技術、データ、プラットフォーム、サプライチェーンなどのサービスの供給を充実させ、オンラインとオフラインを組み合わせてリソースの共有レベルを高め、様々な要素が工業団地に集中するのを加速させるように誘導する。 共通の変革ニーズに焦点を当て、産業クラスターにおける共有製造プラットフォームの上陸と規模拡大を促進する。 物理的な境界を越えた「バーチャル」な工業団地や産業クラスターの開発を模索し、仮想化された産業資源、プラットフォームベースのオペレーション、ネットワーク化されたシナジーの集結を加速させ、リアルとバーチャルを融合した産業のデジタル化による新たなエコロジーを構築する。 北京・天津・河北、長江デルタ、広東・香港・マカオのグレーターベイエリア、成都・重慶のツインシティ経済圏などの重点地域を頼りに、デジタルインフラの構築を調整し、さまざまな産業クラスターの地域横断的・プラットフォーム横断的な連携のための新たなメカニズムの構築を模索し、革新的要素の統合・共有を促進し、イノベーション、ミスマッチと補完、需要と供給の連携などの面で相乗効果を発揮する地域のデジタル開発エコロジーを構築し、産業サプライチェーンの連携・支援能力を強化していきます。
(四)培育转型支撑服务生态。 (4) 変革支援サービスのエコロジーを醸成する。
建立市场化服务与公共服务双轮驱动,技术、资本、人才、数据等多要素支撑的数字化转型服务生态,解决企业“不会转”、“不能转”、“不敢转”的难题。面向重点行业和企业转型需求,培育推广一批数字化解决方案。聚焦转型咨询、标准制定、测试评估等方向,培育一批第三方专业化服务机构,提升数字化转型服务市场规模和活力。支持高校、龙头企业、行业协会等加强协同,建设综合测试验证环境,加强产业共性解决方案供给。建设数字化转型促进中心,衔接集聚各类资源条件,提供数字化转型公共服务,打造区域产业数字化创新综合体,带动传统产业数字化转型。 市場志向のサービスと公共のサービスの両方を原動力とし、技術、資本、人材、データなどの複数の要素に支えられたデジタルトランスフォーメーションサービスエコロジーを確立し、企業の「曲がり方がわからない」、「曲がれない」、「曲がる勇気がない」という問題を解決します。 回らない」「回せない」「あえて回さない」という問題を解決します。 基幹産業や企業の変革ニーズに対応し、多くのデジタルソリューションを開発・推進する。 トランスフォーメーション・コンサルティング、規格開発、テスト・評価などの方向性に焦点を当て、多くのサードパーティの専門的なサービス組織を育成し、デジタル・トランスフォーメーション・サービス市場の規模と活力を強化します。 大学、大手企業、業界団体が連携を強化し、包括的なテスト・検証環境を構築し、産業界への共通ソリューションの供給を強化することを支援する。 デジタルトランスフォーメーション推進センターを構築し、様々なリソースや条件を結びつけて集め、デジタルトランスフォーメーションのための公共サービスを提供し、地域産業のデジタルイノベーションコンプレックスを構築し、伝統産業のデジタルトランスフォーメーションを推進する。
六、加快推动数字产业化 6. デジタル産業化の推進の加速
(一)增强关键技术创新能力。
(1) キーテクノロジーのイノベーション能力の向上
瞄准传感器、量子信息、网络通信、集成电路、关键软件、大数据、人工智能、区块链、新材料等战略性前瞻性领域,发挥我国社会主义制度优势、新型举国体制优势、超大规模市场优势,提高数字技术基础研发能力。以数字技术与各领域融合应用为导向,推动行业企业、平台企业和数字技术服务企业跨界创新,优化创新成果快速转化机制,加快创新技术的工程化、产业化。鼓励发展新型研发机构、企业创新联合体等新型创新主体,打造多元化参与、网络化协同、市场化运作的创新生态体系。支持具有自主核心技术的开源社区、开源平台、开源项目发展,推动创新资源共建共享,促进创新模式开放化演进。 センサー、量子情報、ネットワーク通信、集積回路、キーソフトウェア、ビッグデータ、人工知能、ブロックチェーン、新素材などの戦略的で将来性のある分野を目指し、中国の社会主義体制、新型国家体制、超大規模市場を活用して、デジタル技術の基礎的な研究開発能力を向上させていきます。 デジタル技術を様々な分野に統合して応用することを目的とし、産業企業、プラットフォーム企業、デジタル技術サービス企業による国境を越えたイノベーションを促進し、イノベーションの成果の迅速な変換メカニズムを最適化し、革新的な技術のエンジニアリングと産業化を加速しています。 新しい研究開発機関や企業イノベーションコンソーシアムなどの新しいイノベーション組織の発展を奨励し、多様な参加者、ネットワーク化されたコラボレーション、市場志向の運営によるイノベーションエコシステムを構築する。 独立したコア技術を持つオープンソースコミュニティ、オープンソースプラットフォーム、オープンソースプロジェクトの発展を支援し、イノベーションリソースの共同構築と共有を促進し、オープンイノベーションモデルの進化を促進すること。
(二)提升核心产业竞争力。 (2) 基幹産業の競争力強化。
着力提升基础软硬件、核心电子元器件、关键基础材料和生产装备的供给水平,强化关键产品自给保障能力。实施产业链强链补链行动,加强面向多元化应用场景的技术融合和产品创新,提升产业链关键环节竞争力,完善5G、集成电路、新能源汽车、人工智能、工业互联网等重点产业供应链体系。深化新一代信息技术集成创新和融合应用,加快平台化、定制化、轻量化服务模式创新,打造新兴数字产业新优势。协同推进信息技术软硬件产品产业化、规模化应用,加快集成适配和迭代优化,推动软件产业做大做强,提升关键软硬件技术创新和供给能力。 基本的なソフトウェアとハードウェア、コア電子部品、主要な基本材料と生産設備の供給レベルの向上に投資し、主要製品の自給率を強化すること。 インダストリアル・チェーンを強化・補完するアクションを実施し、多様なアプリケーション・シナリオに対応した技術統合と製品イノベーションを強化し、インダストリアル・チェーンの主要リンクの競争力を高め、5G、集積回路、新エネルギー自動車、人工知能、インダストリアル・インターネットなどの主要産業のサプライ・チェーン・システムを改善します。 新世代情報技術の統合的な革新と融合的な応用を深め、プラットフォームベース、カスタマイズ、軽量化されたサービスモデルの革新を加速させ、新興デジタル産業における新たな優位性を構築する。 情報技術ソフトウェアとハードウェア製品の産業化と大規模な応用を促進し、統合と適応、反復的な最適化を加速させ、ソフトウェア産業がより大きく、より強くなることを促進し、主要なソフトウェアとハードウェアの技術革新と供給能力を強化するために協力する。
(三)加快培育新业态新模式。 (3) 新産業、新モデルの育成を加速する。
推动平台经济健康发展,引导支持平台企业加强数据、产品、内容等资源整合共享,扩大协同办公、互联网医疗等在线服务覆盖面。深化共享经济在生活服务领域的应用,拓展创新、生产、供应链等资源共享新空间。发展基于数字技术的智能经济,加快优化智能化产品和服务运营,培育智慧销售、无人配送、智能制造、反向定制等新增长点。完善多元价值传递和贡献分配体系,有序引导多样化社交、短视频、知识分享等新型就业创业平台发展。  プラットフォーム経済の健全な発展を促進し、プラットフォーム企業がデータ、製品、コンテンツ、その他のリソースの統合と共有を強化し、コラボレーションオフィスやインターネットヘルスケアなどのオンラインサービスの適用範囲を拡大するよう指導・支援する。 ライフサービス分野におけるシェアリングエコノミーの適用を深め、イノベーション、生産、サプライチェーンにおけるリソース共有のための新たな空間を拡大する。 デジタル技術に基づくスマート経済を発展させ、インテリジェントな製品やサービスのオペレーションの最適化を加速させ、スマートセールス、流通の無人化、スマートマニュファクチャリング、リバースカスタマイゼーションなどの新たな成長ポイントを開拓します。 多様な価値の伝達と貢献の分配システムを改善し、多様なソーシャルネットワーキング、ショートビデオ、知識の共有など、新しい雇用と起業のプラットフォームの開発を秩序立てて誘導する。
(四)营造繁荣有序的产业创新生态。 (4) 豊かで秩序ある産業革新のエコロジーを創造する。
发挥数字经济领军企业的引领带动作用,加强资源共享和数据开放,推动线上线下相结合的创新协同、产能共享、供应链互通。鼓励开源社区、开发者平台等新型协作平台发展,培育大中小企业和社会开发者开放协作的数字产业创新生态,带动创新型企业快速壮大。以园区、行业、区域为整体推进产业创新服务平台建设,强化技术研发、标准制修订、测试评估、应用培训、创业孵化等优势资源汇聚,提升产业创新服务支撑水平。 デジタル経済における大手企業の主導的役割を十分に発揮し、資源の共有とデータのオープン化を強化し、オンラインとオフラインのイノベーションの相乗効果、生産能力の共有、サプライチェーンの相互運用性の組み合わせを促進する。 オープンソースコミュニティや開発者プラットフォームなどの新しいコラボレーションプラットフォームの開発を奨励し、大企業、中堅企業、中小企業、ソーシャルデベロッパーの間でオープンでコラボレーティブなデジタル産業のイノベーションエコロジーを育成し、革新的な企業の急成長を促進する。 園区、産業、地域全体で産業イノベーションサービスプラットフォームの構築を推進し、技術研究開発、基準作成・改訂、試験・評価、応用教育、ビジネスインキュベーションなどの有利な資源の集約を強化し、産業イノベーションサービスへの支援レベルを向上させること。
七、持续提升公共服务数字化水平 7. 公共サービスのデジタルレベルの継続的な向上
(一)提高“互联网+政务服务”效能。
(1) 「インターネット+行政サービス」の効果を高める。
全面提升全国一体化政务服务平台功能,加快推进政务服务标准化、规范化、便利化,持续提升政务服务数字化、智能化水平,实现利企便民高频服务事项“一网通办”。建立健全政务数据共享协调机制,加快数字身份统一认证和电子证照、电子签章、电子公文等互信互认,推进发票电子化改革,促进政务数据共享、流程优化和业务协同。推动政务服务线上线下整体联动、全流程在线、向基层深度拓展,提升服务便利化、共享化水平。开展政务数据与业务、服务深度融合创新,增强基于大数据的事项办理需求预测能力,打造主动式、多层次创新服务场景。聚焦公共卫生、社会安全、应急管理等领域,深化数字技术应用,实现重大突发公共事件的快速响应和联动处置。 全国統合政府サービスプラットフォームの機能を総合的に強化し、政府サービスの標準化・規格化・円滑化を加速させ、政府サービスのデジタル化とインテリジェンス化を継続的に改善し、企業と国民の利益のために高頻度サービスの「ワンストップショッピング」を実現します。 政府データを共有するための調整メカニズムを確立・改善し、デジタル・アイデンティティの統一認証や電子証明書・電子署名・電子文書の相互信頼・認識をスピードアップし、電子請求書の改革を促進し、政府サービスにおけるデータ共有、プロセスの最適化、ビジネスコラボレーションを促進する。 政府サービスのオンラインとオフラインの総合的な連携、プロセス全体のオンライン化、草の根への深い拡大を推進し、サービスの円滑化と共有のレベルを向上させる。 政府のデータとビジネスやサービスとの綿密な統合と革新を行い、ビッグデータに基づく事項の需要予測能力を強化し、プロアクティブでマルチレベルの革新的なサービスシナリオを作成する。 公衆衛生、社会保障、緊急事態管理を中心に、デジタル技術の応用を深め、大規模な公共性の高い緊急事態への迅速な対応と連動した処理を実現する。
(二)提升社会服务数字化普惠水平。 (2) 社会サービスのデジタルインクルージョンのレベルを高める。
加快推动文化教育、医疗健康、会展旅游、体育健身等领域公共服务资源数字化供给和网络化服务,促进优质资源共享复用。充分运用新型数字技术,强化就业、养老、儿童福利、托育、家政等民生领域供需对接,进一步优化资源配置。发展智慧广电网络,加快推进全国有线电视网络整合和升级改造。深入开展电信普遍服务试点,提升农村及偏远地区网络覆盖水平。加强面向革命老区、民族地区、边疆地区、脱贫地区的远程服务,拓展教育、医疗、社保、对口帮扶等服务内容,助力基本公共服务均等化。加强信息无障碍建设,提升面向特殊群体的数字化社会服务能力。促进社会服务和数字平台深度融合,探索多领域跨界合作,推动医养结合、文教结合、体医结合、文旅融合。 文化・教育」、「医療・健康」、「展示・観光」、「スポーツ・フィットネス」の各分野における公共サービス資源のデジタル供給とネットワーク化を加速し、質の高い資源の共有・再利用を促進します。 新しいデジタル技術を駆使して、雇用、高齢者介護、児童福祉、保育、家政学など、人々の生活に関わる分野での需要と供給のマッチングを強化し、資源配分をさらに最適化する。 スマートな放送ネットワークを開発し、全国のケーブルテレビネットワークの統合とアップグレードを加速する。 ユニバーサル・テレコミュニケーション・サービスに関する詳細なパイロット・プロジェクトを実施し、農村部および遠隔地におけるネットワーク・カバレッジを改善する。 旧革命地域、民族地域、辺境地域、貧困から脱却しつつある地域へのリモートサービスを強化し、教育、医療、社会保障、カウンターパートのサポートサービスを拡大し、基本的な公共サービスの平等化を図る。 情報へのアクセス性を強化し、特別なグループのためのデジタルソーシャルサービスの能力を高める。 社会サービスとデジタルプラットフォームの深い統合を推進し、複数の分野での国境を越えた協力を模索し、医療、文化・教育、スポーツ・医療、文化観光の統合を推進する。
(三)推动数字城乡融合发展。 (3) デジタルシティと地方の統合的な開発の推進。
统筹推动新型智慧城市和数字乡村建设,协同优化城乡公共服务。深化新型智慧城市建设,推动城市数据整合共享和业务协同,提升城市综合管理服务能力,完善城市信息模型平台和运行管理服务平台,因地制宜构建数字孪生城市。加快城市智能设施向乡村延伸覆盖,完善农村地区信息化服务供给,推进城乡要素双向自由流动,合理配置公共资源,形成以城带乡、共建共享的数字城乡融合发展格局。构建城乡常住人口动态统计发布机制,利用数字化手段助力提升城乡基本公共服务水平。  新しいスマートシティやデジタルビレッジの建設を調整・促進し、都市部と農村部の公共サービスを最適化するために協力する。 新型スマートシティの構築を深化させ、都市データの統合・共有と業務連携を促進し、都市の総合的な管理サービスの能力を高め、都市情報モデルプラットフォームと運営管理サービスプラットフォームを改善し、地域の状況に応じてデジタルツインシティを構築する。 都市のインテリジェント施設の田舎への拡張を加速し、農村での情報サービスの供給を改善し、都市と農村の要素が双方向に自由に行き来することを促進し、公共資源を合理的に配分し、田舎を都市と結びつけ、共に建設し共有するというデジタル都市農村統合の発展パターンを形成する。 都市部と農村部の居住者人口のダイナミックな統計公開メカニズムが構築され、都市部と農村部の基本的な公共サービスのレベル向上にデジタル手段が活用されます。
(四)打造智慧共享的新型数字生活。 (4) 知恵と共有の新しいデジタルライフを創造する。
加快既有住宅和社区设施数字化改造,鼓励新建小区同步规划建设智能系统,打造智能楼宇、智能停车场、智能充电桩、智能垃圾箱等公共设施。引导智能家居产品互联互通,促进家居产品与家居环境智能互动,丰富“一键控制”、“一声响应”的数字家庭生活应用。加强超高清电视普及应用,发展互动视频、沉浸式视频、云游戏等新业态。创新发展“云生活”服务,深化人工智能、虚拟现实、8K高清视频等技术的融合,拓展社交、购物、娱乐、展览等领域的应用,促进生活消费品质升级。鼓励建设智慧社区和智慧服务生活圈,推动公共服务资源整合,提升专业化、市场化服务水平。支持实体消费场所建设数字化消费新场景,推广智慧导览、智能导流、虚实交互体验、非接触式服务等应用,提升场景消费体验。培育一批新型消费示范城市和领先企业,打造数字产品服务展示交流和技能培训中心,培养全民数字消费意识和习惯。  既存の住宅やコミュニティ施設のデジタルトランスフォーメーションを加速させ、新しいコミュニティにおけるインテリジェントシステムの同時計画と建設を奨励し、スマートビル、スマート駐車場、スマート充電杭、スマートごみ箱などの公共施設を作ります。 スマートホーム製品の相互接続を導き、ホーム製品と家庭環境のインテリジェントな相互作用を促進し、「ワンキーコントロール」と「ワンサウンドレスポンス」でデジタルホームライフのアプリケーションを充実させます。 超高精細テレビの普及と応用を強化するとともに、インタラクティブ・ビデオ、イマーシブ・ビデオ、クラウドゲームなどの新しいフォーマットを開発する。 クラウドライフ」サービスの革新と開発、人工知能、バーチャルリアリティ、8K HDビデオなどの技術の統合を深め、SNS、ショッピング、エンターテインメント、展示会などの用途を拡大し、生活消費の質の向上を推進する。 スマートコミュニティとスマートサービス生活圏の構築を奨励し、公共サービス資源の統合を促進し、専門的で市場志向のサービスレベルを向上させる。 フィジカルな消費会場における新たなデジタル消費シナリオの構築を支援し、スマートナビゲーション、インテリジェントガイダンス、バーチャル・リアル・インタラクティブ体験、非接触サービスなどのアプリケーションを促進し、シナリオ消費体験を向上させる。 多数の新消費実証都市と先進企業を育成し、デジタル製品・サービスの展示・交換や技能訓練の拠点を構築し、すべての人々のデジタル消費の意識と習慣を育成する。
八、健全完善数字经济治理体系 8. デジタル経済のガバナンスシステムの改善と完成度の向上
(一)强化协同治理和监管机制。
(1) 協調的なガバナンスと規制メカニズムの強化
规范数字经济发展,坚持发展和监管两手抓。探索建立与数字经济持续健康发展相适应的治理方式,制定更加灵活有效的政策措施,创新协同治理模式。明晰主管部门、监管机构职责,强化跨部门、跨层级、跨区域协同监管,明确监管范围和统一规则,加强分工合作与协调配合。深化“放管服”改革,优化营商环境,分类清理规范不适应数字经济发展需要的行政许可、资质资格等事项,进一步释放市场主体创新活力和内生动力。鼓励和督促企业诚信经营,强化以信用为基础的数字经济市场监管,建立完善信用档案,推进政企联动、行业联动的信用共享共治。加强征信建设,提升征信服务供给能力。加快建立全方位、多层次、立体化监管体系,实现事前事中事后全链条全领域监管,完善协同会商机制,有效打击数字经济领域违法犯罪行为。加强跨部门、跨区域分工协作,推动监管数据采集和共享利用,提升监管的开放、透明、法治水平。探索开展跨场景跨业务跨部门联合监管试点,创新基于新技术手段的监管模式,建立健全触发式监管机制。加强税收监管和税务稽查。 デジタル経済の発展を規制し、発展と規制の両方を堅持すること。 デジタル経済の持続的かつ健全な発展に適合したガバナンス方法の確立を模索し、より柔軟で効果的な政策・施策を策定し、協働的なガバナンスモデルを革新する。 管轄部門と規制機関の責任を明確にし、部門横断的、レベル横断的、地域横断的な調整と監督を強化し、監督の範囲と統一ルールを明確にし、分業と調整・協力を強化する。 経営・管理」の改革を深化させ、ビジネス環境を最適化し、デジタル経済の発展に見合わない行政の許認可や資格などを整理・規制し、市場のプレーヤーの革新的な活力と内発的な力をさらに解放する。 企業が誠意を持って活動することを奨励し、デジタル経済市場の信用に基づく規制を強化し、信用ファイルを構築・改善し、政府と企業の連携や産業界の連携を通じて信用の共有とガバナンスを促進する。 クレジット構築を強化し、クレジットサービスの供給能力を高める。 全方位、マルチレベル、立体的な監督システムの構築を加速し、事前、事中、事後の全連鎖、全分野の監督を実現し、共同協議のメカニズムを改善し、デジタル経済における違法行為や犯罪行為に効果的に対処する。 分野横断的、地域横断的な分業を強化し、規制データの収集と共有を促進し、規制の公開性、透明性、法の支配のレベルを向上させる。 シナリオやビジネスの枠を超えた共同監督を試験的に行い、新しい技術的手段に基づいて規制モデルを革新し、健全なトリガーベースの規制メカニズムを確立することを検討する。 税務監督と税務調査の強化
(二)增强政府数字化治理能力。 (2) 政府のデジタルガバナンス能力の強化
加大政务信息化建设统筹力度,强化政府数字化治理和服务能力建设,有效发挥对规范市场、鼓励创新、保护消费者权益的支撑作用。建立完善基于大数据、人工智能、区块链等新技术的统计监测和决策分析体系,提升数字经济治理的精准性、协调性和有效性。推进完善风险应急响应处置流程和机制,强化重大问题研判和风险预警,提升系统性风险防范水平。探索建立适应平台经济特点的监管机制,推动线上线下监管有效衔接,强化对平台经营者及其行为的监管。 政府情報技術の構築の調整を強化し、政府のデジタルガバナンスとサービス能力の構築を強化し、市場の規制、イノベーションの促進、消費者の権益の保護において効果的に支援する役割を果たす。 ビッグデータ、人工知能、ブロックチェーンなどの新技術を活用した統計監視・意思決定分析システムを構築・改善し、デジタル経済ガバナンスの精度・連携・実効性を高める。 リスクの緊急対応と処理のプロセスとメカニズムの改善を促進し、重大な問題とリスク警告の調査・診断を強化し、システミック・リスクの防止レベルを向上させることができる。 プラットフォーム経済の特徴に適合した規制メカニズムの構築を検討し、オンライン規制とオフライン規制の効果的なインターフェースを促進し、プラットフォーム事業者とその行為に対する監督を強化する。
(三)完善多元共治新格局。 (3) 多面的なガバナンスの新しいパターンを改善する。
建立完善政府、平台、企业、行业组织和社会公众多元参与、有效协同的数字经济治理新格局,形成治理合力,鼓励良性竞争,维护公平有效市场。加快健全市场准入制度、公平竞争审查机制,完善数字经济公平竞争监管制度,预防和制止滥用行政权力排除限制竞争。进一步明确平台企业主体责任和义务,推进行业服务标准建设和行业自律,保护平台从业人员和消费者合法权益。开展社会监督、媒体监督、公众监督,培育多元治理、协调发展新生态。鼓励建立争议在线解决机制和渠道,制定并公示争议解决规则。引导社会各界积极参与推动数字经济治理,加强和改进反垄断执法,畅通多元主体诉求表达、权益保障渠道,及时化解矛盾纠纷,维护公众利益和社会稳定。  政府、プラットフォーム、企業、業界団体、一般市民の多様な参加と効果的な調整により、デジタル経済の新しいガバナンスのパターンを確立・改善し、ガバナンスの相乗効果を形成し、健全な競争を奨励し、公正で効果的な市場を維持すること。 市場アクセス制度と公正競争審査メカニズムの改善を加速させ、デジタル経済における公正競争のための規制制度を改善し、競争を排除・制限するための行政権の濫用を防止・停止すること。 プラットフォーム企業の主な責任と義務をさらに明確にし、業界のサービス基準と業界の自主規制の構築を促進し、プラットフォーム実務者と消費者の正当な権利と利益を保護する。 社会監督、メディア監督、公的監督を行い、多様なガバナンスと協調的な発展の新しい生態を育む。 オンラインでの紛争解決メカニズムやチャネルの確立を奨励するとともに、紛争解決ルールを策定し、公表する。 社会の各部門がデジタル経済ガバナンスの推進に積極的に参加し、独占禁止法の執行を強化・改善し、複数の主体の要求表明と権利利益保護のためのチャネルを開放し、紛争や対立を適時に解決し、公共の利益と社会の安定を守るよう指導する。
九、着力强化数字经济安全体系 9. デジタル経済のセキュリティシステム強化への取り組み
(一)增强网络安全防护能力。
(1) ネットワークセキュリティ保護機能の強化
强化落实网络安全技术措施同步规划、同步建设、同步使用的要求,确保重要系统和设施安全有序运行。加强网络安全基础设施建设,强化跨领域网络安全信息共享和工作协同,健全完善网络安全应急事件预警通报机制,提升网络安全态势感知、威胁发现、应急指挥、协同处置和攻击溯源能力。提升网络安全应急处置能力,加强电信、金融、能源、交通运输、水利等重要行业领域关键信息基础设施网络安全防护能力,支持开展常态化安全风险评估,加强网络安全等级保护和密码应用安全性评估。支持网络安全保护技术和产品研发应用,推广使用安全可靠的信息产品、服务和解决方案。强化针对新技术、新应用的安全研究管理,为新产业新业态新模式健康发展提供保障。加快发展网络安全产业体系,促进拟态防御、数据加密等网络安全技术应用。加强网络安全宣传教育和人才培养,支持发展社会化网络安全服务。 重要なシステムや設備の安全で秩序ある運用を確保するために、ネットワークセキュリティ技術施策の同期化された計画、同期化された建設、同期化された使用の実施を強化する。 ネットワーク・セキュリティ・インフラの構築を強化し、分野を超えたネットワーク・セキュリティ情報の共有と作業の連携を強化し、ネットワーク・セキュリティの緊急事態に対する早期警告・通知メカニズムを改善・完成させ、ネットワーク・セキュリティの状況認識、脅威の検知、緊急時の指揮、調整された処理、攻撃のトレーサビリティを強化する。 ネットワークセキュリティの緊急対応能力を強化し、通信、金融、エネルギー、交通、水利などの重要な産業分野における重要な情報インフラのネットワークセキュリティ保護能力を強化し、定期的なセキュリティリスク評価の策定を支援し、ネットワークセキュリティレベルの保護とパスワードアプリケーションのセキュリティ評価を強化することができる。 ネットワークセキュリティ保護技術・製品の研究開発・応用を支援し、安全で信頼性の高い情報製品・サービス・ソリューションの利用を促進すること。 新技術や新アプリケーションのためのセキュリティ研究の管理を強化し、新産業、新ビジネスモデル、新モードの健全な発展のための保護を提供すること。 ネットワークセキュリティ産業システムの開発を加速し、模倣防御やデータ暗号化などのネットワークセキュリティ技術の応用を促進する。 サイバーセキュリティの広報、教育、人材育成を強化し、社会化されたサイバーセキュリティサービスの発展を支援する。
(二)提升数据安全保障水平。 (2) データセキュリティの保護レベルの向上。
建立健全数据安全治理体系,研究完善行业数据安全管理政策。建立数据分类分级保护制度,研究推进数据安全标准体系建设,规范数据采集、传输、存储、处理、共享、销毁全生命周期管理,推动数据使用者落实数据安全保护责任。依法依规加强政务数据安全保护,做好政务数据开放和社会化利用的安全管理。依法依规做好网络安全审查、云计算服务安全评估等,有效防范国家安全风险。健全完善数据跨境流动安全管理相关制度规范。推动提升重要设施设备的安全可靠水平,增强重点行业数据安全保障能力。进一步强化个人信息保护,规范身份信息、隐私信息、生物特征信息的采集、传输和使用,加强对收集使用个人信息的安全监管能力。  健全なデータセキュリティガバナンスシステムを確立し、業界のデータセキュリティ管理方針を検討・改善する。 データの分類と等級別の保護システムを確立し、データセキュリティ標準システムの構築を検討・推進し、データの収集、送信、保管、処理、共有、破棄のライフサイクル全体の管理を規制し、データ利用者によるデータセキュリティ保護責任の履行を促進する。 法令に基づいて政府データのセキュリティ保護を強化し、政府データの公開と社会的利用のセキュリティ管理をしっかりと行う。 国家安全保障上のリスクを効果的に防止するために、法令に基づいてクラウドコンピューティングサービスのネットワークセキュリティレビューとセキュリティ評価をしっかりと行う。 国境を越えたデータフローのセキュリティ管理に関連するシステムと規範の改善と完成。 重要な施設・設備の安全性・信頼性の向上を推進するとともに、主要産業のデータセキュリティ保護能力を強化する。 個人情報の保護をさらに強化し、アイデンティティ情報、プライバシー情報、バイオメトリック情報の収集、送信、使用を規制し、個人情報の収集と使用を安全に監督する能力を強化すること。
(三)切实有效防范各类风险。 (3) 様々な種類のリスクを効果的かつ効率的に防止することができる。
强化数字经济安全风险综合研判,防范各类风险叠加可能引发的经济风险、技术风险和社会稳定问题。引导社会资本投向原创性、引领性创新领域,避免低水平重复、同质化竞争、盲目跟风炒作等,支持可持续发展的业态和模式创新。坚持金融活动全部纳入金融监管,加强动态监测,规范数字金融有序创新,严防衍生业务风险。推动关键产品多元化供给,着力提高产业链供应链韧性,增强产业体系抗冲击能力。引导企业在法律合规、数据管理、新技术应用等领域完善自律机制,防范数字技术应用风险。健全失业保险、社会救助制度,完善灵活就业的工伤保险制度。健全灵活就业人员参加社会保险制度和劳动者权益保障制度,推进灵活就业人员参加住房公积金制度试点。探索建立新业态企业劳动保障信用评价、守信激励和失信惩戒等制度。着力推动数字经济普惠共享发展,健全完善针对未成年人、老年人等各类特殊群体的网络保护机制。 デジタル経済におけるセキュリティリスクの総合的な調査・判断を強化し、各種リスクが重なり合って発生する経済的リスク、技術的リスク、社会的安定性の問題を未然に防止すること。 ソーシャル・キャピタルが独創的で先導的なイノベーション分野に投資するように導き、低レベルの重複、同質的な競争、盲目的な投機への追随などを避け、産業とモデル・イノベーションの持続的な発展を支援する。 すべての金融活動を金融監督の対象とすることを主張し、動的監視を強化し、デジタル金融の秩序ある革新を規制し、デリバティブビジネスのリスクを厳しく防止する。 主要製品の多様な供給を促進し、産業チェーン・サプライチェーンの回復力の向上に注力し、産業システムの耐衝撃性を高めること。 企業に対し、法令遵守、データ管理、新技術の応用などの分野における自己規制メカニズムの改善を指導し、デジタル技術の応用におけるリスクを防止する。 失業保険・社会扶助制度の改善、柔軟な雇用に対応した労働災害保険制度の改善。 フレックス雇用者の社会保険制度および労働者の権利・利益保護制度を改善し、フレックス雇用者の住宅積立金制度への参加を試験的に促進する。 新興産業の企業を対象に、労働保障の信用評価、信用に対するインセンティブ、信用違反に対する懲戒制度の確立を検討する。 デジタル経済の包括的で共有された発展を促進し、未成年者、高齢者、その他の特別なグループのためのネットワーク保護メカニズムを改善するための努力がなされます。
十、有效拓展数字经济国际合作 10. デジタル経済における国際協力の効果的な拡大
(一)加快贸易数字化发展。
(1) 貿易のデジタル化を加速する。
以数字化驱动贸易主体转型和贸易方式变革,营造贸易数字化良好环境。完善数字贸易促进政策,加强制度供给和法律保障。加大服务业开放力度,探索放宽数字经济新业态准入,引进全球服务业跨国公司在华设立运营总部、研发设计中心、采购物流中心、结算中心,积极引进优质外资企业和创业团队,加强国际创新资源“引进来”。依托自由贸易试验区、数字服务出口基地和海南自由贸易港,针对跨境寄递物流、跨境支付和供应链管理等典型场景,构建安全便利的国际互联网数据专用通道和国际化数据信息专用通道。大力发展跨境电商,扎实推进跨境电商综合试验区建设,积极鼓励各业务环节探索创新,培育壮大一批跨境电商龙头企业、海外仓领军企业和优秀产业园区,打造跨境电商产业链和生态圈。  デジタル化による貿易主体の変革と貿易パターンの変化を推進し、貿易のデジタル化に有利な環境を整えます。 デジタル貿易促進政策を改善し、制度的供給と法的保護を強化する。 サービス産業の開放を強化し、デジタルエコノミーの新産業へのアクセス緩和を模索し、グローバルサービスの多国籍企業が中国に運営本部、研究開発・設計センター、調達・物流センター、決済センターを設置することを導入し、質の高い外資系企業や起業家チームを積極的に導入し、国際的なイノベーション資源の「輸入」を強化していきます。 パイロット自由貿易区、デジタルサービス輸出基地、海南自由貿易港を利用して、安全で便利な国際インターネットデータチャンネル、国際データ・情報チャンネルを構築し、国境を越えた出荷・物流、国境を越えた決済、サプライチェーンマネジメントなどの典型的なシナリオに対応します。 越境電子商取引を強力に発展させ、越境電子商取引の総合的なパイロットゾーンの建設を堅実に推進し、様々なビジネスリンクの探索と革新を積極的に奨励し、多くの越境電子商取引のリーディング企業、海外倉庫のリーディング企業、優れた工業団地を育成・強化し、越境電子商取引の産業チェーンとエコシステムを構築します。
(二)推动“数字丝绸之路”深入发展。 (2) 「デジタルシルクロード」の綿密な開発を促進する。
加强统筹谋划,高质量推动中国—东盟智慧城市合作、中国—中东欧数字经济合作。围绕多双边经贸合作协定,构建贸易投资开放新格局,拓展与东盟、欧盟的数字经济合作伙伴关系,与非盟和非洲国家研究开展数字经济领域合作。统筹开展境外数字基础设施合作,结合当地需求和条件,与共建“一带一路”国家开展跨境光缆建设合作,保障网络基础设施互联互通。构建基于区块链的可信服务网络和应用支撑平台,为广泛开展数字经济合作提供基础保障。推动数据存储、智能计算等新兴服务能力全球化发展。加大金融、物流、电子商务等领域的合作模式创新,支持我国数字经济企业“走出去”,积极参与国际合作。 中国-ASEANスマートシティ協力、中国-中・東欧デジタル経済協力の全体的な計画と質の高い推進を強化する。 多国間経済貿易協力協定を中心とした貿易・投資開放の新しいパターンを構築し、ASEANやEUとのデジタル経済パートナーシップを拡大し、アフリカ連合やアフリカ諸国とのデジタル経済における協力を検討していきます。 中国国外のデジタルインフラに関する協力を調整し、現地のニーズや状況を考慮し、「一帯一路」を共有する国々と協力して国境を越えた光ファイバーケーブルを建設し、ネットワークインフラの相互接続を確保していきます。 ブロックチェーンに基づく信頼できるサービスネットワークとアプリケーションサポートプラットフォームを構築し、デジタル経済における広範な協力の基盤を提供する。 データストレージやインテリジェントコンピューティングなど、新たなサービス機能のグローバル化を推進する。 私たちは、金融、物流、電子商取引の分野における協力モデルの革新を強化し、中国のデジタル経済企業がグローバル化し、国際協力に積極的に参加することを支援していきます。
(三)积极构建良好国际合作环境。 (3) 国際協力のための良好な環境を積極的に構築する。
倡导构建和平、安全、开放、合作、有序的网络空间命运共同体,积极维护网络空间主权,加强网络空间国际合作。加快研究制定符合我国国情的数字经济相关标准和治理规则。依托双边和多边合作机制,开展数字经济标准国际协调和数字经济治理合作。积极借鉴国际规则和经验,围绕数据跨境流动、市场准入、反垄断、数字人民币、数据隐私保护等重大问题探索建立治理规则。深化政府间数字经济政策交流对话,建立多边数字经济合作伙伴关系,主动参与国际组织数字经济议题谈判,拓展前沿领域合作。构建商事协调、法律顾问、知识产权等专业化中介服务机制和公共服务平台,防范各类涉外经贸法律风险,为出海企业保驾护航。  我々は、平和、安全、開放、協力、秩序あるサイバースペースにおける運命共同体の構築を提唱し、サイバースペースの主権を積極的に保護し、サイバースペースにおける国際協力を強化する。 中国の国情に合わせて、デジタル経済に関する基準やガバナンスルールの検討・策定を加速する。 二国間・多国間の協力メカニズムを活用して、デジタル経済基準の国際的な調整やデジタル経済のガバナンスに関する協力を行う。 国際的なルールや経験を積極的に活用し、国境を越えたデータフロー、市場アクセス、独占禁止、デジタル人民元、データプライバシー保護などの主要な問題に関するガバナンスルールを検討・確立する。 デジタル経済政策に関する政府間対話の深化、多国間のデジタル経済パートナーシップの確立、国際機関におけるデジタル経済問題の交渉への積極的な参加、フロンティア領域での協力の拡大。 商務調整、法律顧問、知的財産権などの専門的な仲介サービス機構と公共サービスプラットフォームを構築し、対外貿易・経済に関するあらゆる法的リスクを防止し、海外に進出する企業を保護する。
十一、保障措施 11. 保証措置
(一)加强统筹协调和组织实施。
(1) 調整と組織の強化
建立数字经济发展部际协调机制,加强形势研判,协调解决重大问题,务实推进规划的贯彻实施。各地方要立足本地区实际,健全工作推进协调机制,增强发展数字经济本领,推动数字经济更好服务和融入新发展格局。进一步加强对数字经济发展政策的解读与宣传,深化数字经济理论和实践研究,完善统计测度和评价体系。各部门要充分整合现有资源,加强跨部门协调沟通,有效调动各方面的积极性。 デジタル経済の発展のための省庁間の調整メカニズムを確立し、状況を強化し、主要な問題を調整・解決し、計画の実施を現実的に推進する。 すべての地方自治体は、それぞれの地域の実情に基づいて、仕事を促進するための調整メカニズムを改善し、デジタル経済の発展を強化し、デジタル経済を促進して、新しい発展パターンによりよく貢献し、統合する必要があります。 デジタル経済の発展に関する政策の解釈と推進をさらに強化し、デジタル経済に関する理論的・実践的な研究を深め、統計的な測定・評価システムを改善する。 すべての部門は、既存のリソースを十分に統合し、部門横断的な調整とコミュニケーションを強化し、すべての関係者の熱意を効果的に動員する必要があります。
(二)加大资金支持力度。 (2) 資金面でのサポートの強化
加大对数字经济薄弱环节的投入,突破制约数字经济发展的短板与瓶颈,建立推动数字经济发展的长效机制。拓展多元投融资渠道,鼓励企业开展技术创新。鼓励引导社会资本设立市场化运作的数字经济细分领域基金,支持符合条件的数字经济企业进入多层次资本市场进行融资,鼓励银行业金融机构创新产品和服务,加大对数字经济核心产业的支持力度。加强对各类资金的统筹引导,提升投资质量和效益。 デジタル経済の弱点への投資を増やし、デジタル経済の発展を制約する欠点やボトルネックを打破し、デジタル経済の発展を促進する長期的なメカニズムを確立する。 多様な投資・融資ルートを拡大し、企業の技術革新を促す。 ソーシャル・キャピタルがデジタル・エコノミー・セグメントを対象とした市場志向のファンドを設立することを奨励し、適格なデジタル・エコノミー企業がマルチレベルの資本市場に参入して資金調達を行うことを支援し、銀行系金融機関が商品・サービスを革新し、デジタル・エコノミーの中核産業への支援を強化することを奨励することである。 投資の質と効果を高めるために、様々なタイプのファンドの調整と指導を強化する。
(三)提升全民数字素养和技能。 (3) すべての人のデジタルリテラシーとスキルの向上
实施全民数字素养与技能提升计划,扩大优质数字资源供给,鼓励公共数字资源更大范围向社会开放。推进中小学信息技术课程建设,加强职业院校(含技工院校)数字技术技能类人才培养,深化数字经济领域新工科、新文科建设,支持企业与院校共建一批现代产业学院、联合实验室、实习基地等,发展订单制、现代学徒制等多元化人才培养模式。制定实施数字技能提升专项培训计划,提高老年人、残障人士等运用数字技术的能力,切实解决老年人、残障人士面临的困难。提高公民网络文明素养,强化数字社会道德规范。鼓励将数字经济领域人才纳入各类人才计划支持范围,积极探索高效灵活的人才引进、培养、评价及激励政策。 すべての人々のデジタルリテラシーとスキルを向上させ、質の高いデジタルリソースの供給を拡大し、公共のデジタルリソースのコミュニティへの公開を促進する計画を実施する。 初等・中等学校での情報技術コースの建設を推進し、職業訓練校(高等専門学校を含む)でのデジタル技術スキルの訓練を強化し、デジタル経済における新しい工学分野と新しい芸術分野の建設を深め、企業と大学が共同で多くの現代産業カレッジ、共同研究室、インターンシップ基地などを建設することを支援し、注文制や現代的な徒弟制度などの多様な人材育成モデルを発展させること。 デジタルスキルアップのための特別なトレーニングプログラムを開発・実施し、高齢者や障がい者のデジタル技術の利用能力を向上させ、高齢者や障がい者が直面する困難に効果的に対処する。 オンライン文明における市民のリテラシーを高め、デジタル社会の倫理を強化する。 様々な人材プログラムへの支援の範囲に、デジタル経済に関わる人材を含めることを奨励し、人材の導入、育成、評価、インセンティブのための効率的で柔軟な政策を積極的に検討する。
(四)实施试点示范。 (4) 試験的な実証実験の実施
统筹推动数字经济试点示范,完善创新资源高效配置机制,构建引领性数字经济产业集聚高地。鼓励各地区、各部门积极探索适应数字经济发展趋势的改革举措,采取有效方式和管用措施,形成一批可复制推广的经验做法和制度性成果。支持各地区结合本地区实际情况,综合采取产业、财政、科研、人才等政策手段,不断完善与数字经济发展相适应的政策法规体系、公共服务体系、产业生态体系和技术创新体系。鼓励跨区域交流合作,适时总结推广各类示范区经验,加强标杆示范引领,形成以点带面的良好局面。 デジタル経済の試験的なデモンストレーションの推進を調整し、イノベーション資源の効率的な配分のメカニズムを改善し、デジタル経済をリードする産業集積プラトーを構築する。 すべての地域と部門に、デジタル経済の発展傾向に適応した改革の取り組みを積極的に検討し、効果的な方法と実践的な対策を採用し、多くの経験的な実践と制度的な成果を形成し、それを再現して推進することを奨励する。 地域が自らの地域の実情を考慮し、産業、金融、科学研究、人材などの政策措置を総合的に採用して、デジタル経済の発展に適合した政策規制システム、公共サービスシステム、産業生態システム、技術革新システムを継続的に改善することを支援する。 地域を越えた交流と協力を奨励し、適切な時期に様々な実証ゾーンの経験をまとめて宣伝し、ベンチマークの実証とリーダーシップを強化し、視点からリードする良い状況を形成する。
(五)强化监测评估。 (5) モニタリングと評価の強化
各地区、各部门要结合本地区、本行业实际,抓紧制定出台相关配套政策并推动落地。要加强对规划落实情况的跟踪监测和成效分析,抓好重大任务推进实施,及时总结工作进展。国家发展改革委、中央网信办、工业和信息化部要会同有关部门加强调查研究和督促指导,适时组织开展评估,推动各项任务落实到位,重大事项及时向国务院报告。 すべての地域と部門は、それぞれの地域と産業の実情を考慮し、関連する支援政策を策定・導入し、その実施を促進しなければならない。 計画の実施と分析の有効性の追跡・監視を強化するため、実施を促進するための主要なタスクを把握し、作業の進捗状況をタイムリーにまとめます。 国家発展改革委員会、中央インターネット事務局、工業情報化省は、関連部門と連携して、研究と監督指導を強化し、適切な組織が評価を実施し、所定の位置にあるタスクの実施を促進するために、主要な事項は、タイムリーに国務院に報告した。

 

1_20210612030101

| | Comments (0)

2021.12.12

中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

こんにちは、丸山満彦です。

中国サイバースペース管理局が、CNCERT(国家コンピュータネットワーク緊急技術対応コーディネーションセンター)と中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法不正な収集利用に関する監視分析レポートを発表したと公表していますね。。。


国家互联网信息办公室

・2021.12.09 国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布《App违法违规收集使用个人信息监测分析报告》

 

国家计算机网络应急技术处理协调中心、中国网络空间安全协会发布 国家コンピュータネットワーク緊急技術対応コーディネーションセンターと中国サイバー空間セキュリティ協会のリリース
《App违法违规收集使用个人信息监测分析报告》 アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポート
021年,国家计算机网络应急技术处理协调中心(CNCERT)与中国网络空间安全协会共同建立了App收集使用个人信息监测平台、App举报受理平台。近期,CNCERT会同网安协会对前期专项治理和平台监测发现的App违法违规收集使用个人信息问题进行了总结梳理,对问题特点和趋势进行了深入分析,形成了关于App收集使用个人信息情况的监测分析报告。报告主要分为两个部分: 2021年には、CNCERT(国家コンピュータネットワーク緊急技術対応コーディネーションセンター)と中国サイバースペースセキュリティ協会が共同で、アプリによる個人情報の収集・利用の監視プラットフォームと、アプリによる報告の受付プラットフォームを構築しました。 最近、CNCERTは、中国サイバースペースセキュリティ協会と共同で、予備的な特別扱いとプラットフォームのモニタリングで見つかったアプリによる個人情報の違法・不正な収集・利用の問題をまとめて整理し、問題の特徴と傾向について詳細な分析を行い、アプリによる個人情報の収集・利用に関するモニタリング・分析報告書を作成しました。 レポートは主に2つのパートに分かれています。
一是App收集使用个人信息总体状况。从9个方面进行态势分析和问题阐述,包括依法治理、强制收集、超范围收集、知情同意、隐私政策、明示告知、SDK收集、账号注销、社会监督等。 1つ目は、アプリによる個人情報の収集・利用の一般的な状況です。 法によるガバナンス、強制収集、オーバースコープ収集、インフォームドコンセント、プライバシーポリシー、明示的な通知、SDK収集、アカウントキャンセル、社会的監督の9つの側面から状況を分析し、問題点を精査します。
二是工作建议。从鼓励示范应用、持续专项治理、关键环节把关、强化标准规范、完善投诉举报、加大宣传教育、推进行业自律等方面提出思路建议。 2つ目は、提言です。 デモ申請の奨励から、特別なガバナンスの継続、ゲートキーピングへの重要なリンク、基準や規範の強化、苦情や報告の改善、広報・教育の強化、業界の自主規制の促進など、さまざまな側面からアイデアや提案を出してください。
此次向社会公开发布该报告,旨在及时反映当前App收集使用个人信息整体情况,为行业企业和全社会了解当前App个人信息安全形势提供参考。同时,对广大App运营者以及应用商店、智能终端等平台积极落实主体责任、提升个人信息保护水平起到参考监督作用,对社会公众提高个人信息安全意识起到宣传促进作用。 この報告書は社会に向けて公開され、現在のアプリで収集・利用されている個人情報の全体的な状況をタイムリーに反映し、業界企業や社会全体がアプリの個人情報セキュリティの現状を理解するための参考とすることを目的としています。 同時に、大多数のアプリ事業者やアプリショップ、スマート端末などのプラットフォームが積極的に主責を果たし、個人情報保護レベルを向上させるための参考監督的役割を果たし、国民が個人情報保護の意識を高めるための宣伝促進的役割を果たすことになります。

 

・[PDF

20211212-73527

・仮訳 [DOCX]

 

目次的なもの...

 

App 违法违规收集使用个人信息监测分析报告 アプリによる個人情報の違法・不正な収集・利用 に関する監視・分析レポート
一、App 收集使用个人信息总体状况 1. アプリが収集・利用する個人情報の一般的状況
(一)个人信息保护法律法规体系日趋完善,App 违法违规收集使用个人信息治理取得阶段性成果 (1) 個人情報保護のための法規制が充実してきており、アプリによる個人情報の違法・非合法な収集・利用の抑制が一定の成果を上げている
(二)强制收集非必要个人信息问题明显减少,启动弹窗索要无关权限问题多发 (2) 必要のない個人情報を強制的に収集する問題が大幅に減少し、関係のない許可を求めるポップアップウィンドウが頻繁に表示されるようになった
(三)超范围收集个人信息行为治理成效初显,但“七类”隐蔽问题仍需紧盯不放 (3) 範囲を超えた個人情報収集への対策の効果は現れ始めているが、「7つのタイプ」の隠れた問題点については、まだまだ注視する必要がある
(四)中小应用“知情同意”问题较多,集中表现为同意前收集、频繁索权等违规行为 (4) 中小規模のアプリケーションでは、「インフォームド・コンセント」に関する問題が多く、事前の収集や頻繁な権利の主張などの違反に注目している
(五)移动应用无隐私政策问题持续向好,存量问题应用仍需下架清理 (5) モバイル・アプリケーションのプライバシー・ポリシーがないという問題は改善され続けており、問題のあるアプリケーションのストックはまだ取り除かれ、クリーンアップされる必要がある
(六)明示收集使用个人信息行为日趋重视,未明示敏感数据收集与“一揽子”同意问题突出 (6) 個人情報の明示的な収集と利用の重要性の高まりと、センシティブなデータの明示されない収集や「包括的な」同意の顕著な問題点
(七)SDK 收集行为普遍存在,处理活动需规范和整治 (7) SDKの収集行為は広く行われており、取り扱い行為を規制し、是正する必要がある。
(八)账号注销功能基本具备,设置不合理条件等违规情形仍需重视 (8) アカウントキャンセル機能は基本的に利用可能だが、無理な条件設定などのイレギュラーな点には注意が必要である
(九)举报受理与宣传教育齐头并进,有效发挥社会监督作用 (9) 社会的監督の役割を効果的に果たすために、報告書の受理と広報・教育を連携させる。
二、工作建议 2. 提言
(一)鼓励符合个人信息保护法 App 加强示范应用 (1) 個人情報保護法に準拠したアプリの実証実験を強化する
(二)持续开展违法违规收集使用个人信息专项治理 (2) 違法・不正な個人情報の収集・利用に対する特別な処置の継続
(三)发挥 App 生态关键环节审核把关作用 (3) アプリの生態系の重要な側面のゲートキーパーの役割を果たす
(四)加强个人信息保护标准规范体系建设 (4) 個人情報保護のための標準仕様システムの構築の強化
(五)完善个人信息保护投诉举报渠道 (5) 個人情報保護に関する苦情・相談窓口の改善
(六)加大个人信息保护宣传教育力度 (6) 個人情報保護に関する広報・教育の強化
(七)推进个人信息保护行业自律 (7) 個人情報保護業界の自主規制の推進
附件: 附属書
(一)App 基本情况 (1) アプリの基本的な状況
(二)启动弹窗索要多个无关权限问题情况 (2) 関係のない複数の許可を求めるポップアップが表示される問題の状況
(三)超范围收集个人信息问题情况 (3) 個人情報の過剰収集の問題の状況
(四)强制收集个人信息问题情况 (4) 個人情報の強制収集の問題の状況
(五)违反“知情同意”要求问题情况 (5) 「インフォームド・コンセント」の要求事項への違反
1.频繁索权问题情况 1.頻発するクレーム問題の状況
2.同意隐私政策前收集个人信息问题分布情况 2.個人情報保護方針に同意する前の個人情報収集に関する問題の状況
3.无法关闭定推问题类型分布情况 3.固定プッシュでクローズできない問題の状況
(六)应用商店在架 App 隐私政策违规情况 (6) アプリストアにあるアプリのプライバシーポリシー違反の状況
(七)App 个人信息保护举报投诉受理情况 (7) アプリ個人情報保護報告書 苦情受付の状況

 

1_20210612030101

| | Comments (0)

2021.12.11

ドイツ BSI TR-03109-1に従った初のスマートメーターゲートウェイ認定

こんにちは、丸山満彦です。

ドイツのBSIがPower Plus Communications AG社のゲートウェイに初めてのTR-03109-1に従ったスマートメーターゲートウェイ認定をおこなっていますね。。。

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2021.12.10 (press) BSI zertifiziert Smart-Meter-Gateway der PPC AG nach TR-03109-1 - Digitalisierung der Energiewirtschaft schreitet voran

BSI zertifiziert Smart-Meter-Gateway der PPC AG nach TR-03109-1 BSIはTR-03109-1に基づいてPPC AGのスマートメーターゲートウェイを認証しました。
Digitalisierung der Energiewirtschaft schreitet voran エネルギー産業のデジタル化が進む
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat heute das erste TR-Zertifikat auf Basis der Technischen Richtlinie BSI TR-03109-1 für ein Smart-Meter-Gateway erteilt. Die BSI TR-03109-1 enthält u. a. Anforderungen an die Kommunikation mit den Akteuren im intelligenten Stromnetz (Zählern, Anschlussnutzer, Gateway-Administratoren, etc.) sowie die Tarifierung. Im Rahmen des TR-Zertifizierungsverfahrens musste das Gateway der Power Plus Communications AG („SMGW, Version 1.2“) nachweisen, dass es die funktionalen Anforderungen an die Interoperabilität intelligenter Messsysteme erfüllt. Dies wurde in einem Konformitätsbewertungsverfahren mit hoher Prüftiefe belegt. Die Erfüllung der Sicherheitsvorgaben wurden bereits auf Basis des Schutzprofils für das Smart-Meter-Gateway durch eine Common Criteria Zertifizierung belegt. ドイツ連邦情報セキュリティ局(BSI)は本日、スマートメーターゲートウェイの技術ガイドライン「BSI TR-03109-1」に基づく初のTR証明書を発行しました。BSI TR-03109-1には、特に、スマートグリッドのアクター(メーター、接続ユーザー、ゲートウェイ管理者など)との通信や、料金設定に関する要件が記載されています。TR認証手続きの一環として、Power Plus Communications AG社のゲートウェイ(「SMGW, Version 1.2」)は、スマートメータリングシステムの相互運用性のための機能要件を満たしていることを証明する必要がありました。このことは、高いレベルのテストを伴う適合性評価手順で証明されました。セキュリティ要件を満たすことは、スマートメーターゲートウェイの保護プロファイルに基づいて、コモンクライテリア認証によってすでに証明されています。
Anlässlich der Erteilung des TR-Zertifikats an das Unternehmen betonte BSI-Präsident Arne Schönbohm: „Das ist ein weiterer wichtiger Schritt auf dem Weg zur Digitalisierung der Energiewirtschaft. Durch die TR-Zertifizierung des BSI können wir gewährleisten, dass die gesetzlichen Mindestanforderungen aus dem Messstellenbetriebsgesetz eingehalten werden. Die Funktionalität muss dabei stets unter Einhaltung der Sicherheitsvorgaben gegeben sein. Nur so können Akzeptanz und Vertrauen in die Technologie bei Verbraucherinnen und Verbrauchern hergestellt und eine sichere Digitalisierung der Energiewirtschaft umgesetzt werden.“ BSIのアルネ・シェーンボーム理事長は、同社へのTR証明書の授与に際し、「これは、エネルギー産業のデジタル化に向けた重要な一歩です」と強調しました。BSIのTR認証により、計量法の最低限の要求事項を満たしていることが保証されています。機能性は、常にセキュリティ要件に準拠して提供されなければなりません。これは、消費者の間で技術に対する受容と信頼を生み出し、エネルギー産業の安全なデジタル化を実施するための唯一の方法です」と述べています。
Mit der Novellierung des Messstellenbetriebsgesetzes hat der Gesetzgeber den systemischen Ansatz des intelligenten Messsystems sowie die schrittweise Weiterentwicklung der technischen Standards entlang der BMWi/BSI-Roadmap gestärkt. Die Digitalisierung der Energiewende kann so weiter beschleunigt werden und orientiert sich dabei neben den gesetzlichen Vorgaben auch an den Bedürfnissen der Marktakteure. Metering Point Operation Actの改正により、立法者はスマートメータリングシステムのシステム的アプローチを強化するとともに、BMWi/BSIのロードマップに沿って技術基準を段階的に発展させることになりました。このようにして、エネルギー移行のデジタル化はさらに加速され、法的要件だけでなく、市場関係者のニーズにも対応することができます。
Informationen zur Digitalisierung der Energiewende エネルギー転換のデジタル化に関する情報
Für Verbraucherinnen und Verbraucher, die sich über die Digitalisierung der Energiewende und das Thema Smart-Meter-Gateway informieren möchten, stellt das BSI umfassende und leicht verständliche Informationen zur Verfügung. Dort steht ergänzend zu den FAQs zum Thema Smart-Meter-Gateway ein Erklärfilm zur Verfügung, der die darin gestellten Fragen und Antworten aufgreift und die Zusammenhänge ausführlich erklärt. BSIは、エネルギー移行のデジタル化やスマートメーターゲートウェイの話題について知りたい消費者のために、包括的で分かりやすい情報を提供しています。スマートメーターゲートウェイをテーマにしたFAQに加えて、そこで提起された質問と回答に対応し、相互関係を詳細に説明した解説フィルムが用意されています。
Detaillierte Fachinformationen zum Thema Smart-Metering sind außerdem unter (webabrufbar. また、スマートメータリングに関する詳しい専門情報は、 (web

 


追記 2022.02.10

第2弾の認証についてのプレスも行われていますね。。。

・2022.02.08 BSI zertifiziert weitere Smart-Meter-Gateways nach TR-03109-1 - Nunmehr drei Hersteller erbringen den Nachweis der Interoperabilität nach MsbG


 

規準はこちら。。。

Technische Richtlinie (BSI-TR-03109-1)

BSI-TR-03109-1 „Smart-Meter-Gateway“

20220215-60224

20220215-60334

Anlagen

 

 

Smart Metering Systems

Smart Metering Systems / Intelligente Messsysteme スマート・メータリング・システム
Hintergrund 背景
Mit intelligenten Informationsnetzen können Energieerzeugung und -verbrauch effizient verknüpft und ausbalanciert werden. Wichtige Elemente eines solchen Netzes sind intelligente Messsysteme, auch "Smart Metering Systems" genannt. Auf der einen Seite sorgen sie für Verbrauchstransparenz, auf der anderen Seite für die sichere Übermittlung von Messdaten. Mit der zusätzlichen Fähigkeit, eine Plattform für die Steuerung von elektronischen Verbrauchsgeräten und Erzeugungsanlagen zu bieten, verbessern sie zudem das Last- und Erzeugungsmanagement im Verteilnetz. Zentrale Komponente eines intelligenten Messsystems ist das Smart-Meter-Gateway (SMGW) als Kommunikationseinheit mit integriertem Sicherheitsmodul. インテリジェントな情報ネットワークにより、エネルギーの生産と消費を効率的に結びつけ、バランスをとることができます。このようなネットワークの重要な要素は、「スマートメータリングシステム」とも呼ばれるインテリジェントな計測システムです。一方では、消費の透明性を提供し、他方では、計測データの安全な送信を可能にします。また、家電製品や発電所を制御するプラットフォームとしての機能も備えており、配電網の負荷や発電量の管理を向上させることができます。スマートメータシステムの中心となるのは、セキュリティモジュールを内蔵した通信ユニットであるスマートメータゲートウェイ(SMGW)です。
Da es beim Aufbau und der Nutzung eines intelligenten Netzes nicht zuletzt auch um die Verarbeitung personenbezogener Daten geht, sind die Sicherheit und der Schutz eben jener eine zentrale Voraussetzung für die öffentliche Akzeptanz intelligenter Messsysteme. Die zukünftigen Energieversorgungssysteme, insbesondere die dafür verwendeten intelligenten Messsysteme, erfordern somit verbindliche und einheitliche sicherheitstechnische Vorgaben sowie funktionale Anforderungen zur Wahrung der Interoperabilität. スマートグリッドの構築と使用には個人データの処理も含まれるため、このデータのセキュリティと保護は、スマートメータリングシステムが一般に受け入れられるための中心的な前提条件となります。したがって、将来のエネルギー供給システム、特にこの目的のために使用されるスマートメータリングシステムには、相互運用性を確保するための機能要件だけでなく、拘束力のある統一されたセキュリティ仕様が必要となります。
Im Auftrag des Bundesministeriums für Wirtschaft und Klimaschutz (BMWK) entwickelt das BSI daher Anforderungen an vertrauenswürdige Produktkomponenten (Smart-Meter-Gateway mit integriertem Sicherheitsmodul), deren sicheren IT-Betrieb (Administration) und an die vertrauenswürdige Kommunikationsinfrastruktur (Smart Metering PKI). Die Einhaltung der Vorgaben werden im Rahmen eines Zertifizierungsverfahrens durch das BSI überprüft. Eingebunden in die Entwicklung wurden verschiedene Verbände aus den Bereichen Telekommunikation, Informationstechnik, Energie, Wohnungswirtschaft und Verbraucherschutz sowie die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, die Bundesnetzagentur sowie die Physikalisch-Technische Bundesanstalt. そこでBSIは、連邦経済・気候保護省(BMWK)に代わって、信頼できる製品コンポーネント(セキュリティモジュールを統合したスマートメーターゲートウェイ)、その安全なIT運用(管理)、信頼できる通信インフラ(スマートメーターPKI)の要件を策定しています。仕様に準拠しているかどうかは、認証手続きの一環としてBSIによって検証されます。開発には、電気通信、情報技術、エネルギー、住宅産業、消費者保護などの分野のさまざまな団体のほか、連邦データ保護・情報公開委員会、連邦ネットワーク庁、ドイツ物理工学協会などが参加しました。
Gegenstand des neuen Stammgesetzes über den Messstellenbetrieb und die Datenkommunikation in intelligenten Energienetzen (Messstellenbetriebsgesetz – MsbG) sind die Festlegung der technischen und organisatorischen Vorgaben des BSI zur Gewährleistung von Datenschutz und Datensicherheit (§§ 19 bis 28 in Artikel 1). スマートエネルギーネットワークにおける計測点の操作とデータ通信に関する新しい親法(Metering Point Operation Act - MsbG)の主題は、データ保護とデータセキュリティを確保するためのBSIの技術的・組織的要件の規定である(第1条第19条から第28条まで)。
Das Smart Meter Gateway - Cyber-Sicherheit für die Digitalisierung der Energiewirtschaft スマートメーターゲートウェイ - エネルギー産業のデジタル化のためのサイバーセキュリティ

20220215-61007

 

| | Comments (0)

米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

こんにちは、丸山満彦です。

GAOが国防省の委託事業者のサイバーセキュリティ認証の認証フレームワーク (CMMC) の改善についての監査報告をしていますね。。。

推奨事項としては、

  • サイバーセキュリティ成熟度モデル認証について、追加情報の提供時期を含め、産業界に十分かつタイムリーな情報提供を行うことを保証すべき
  • サイバーセキュリティ成熟度モデル認証のパイロットの効果を評価するための計画を策定することを保証すべき
  • 成果指向のパフォーマンス指標を開発することを、取得・維持担当国防次官に保証すべき

というかんじでしょうか。。。

● U.S. Government Accountability Office

・2021.12.08 Defense Contractor Cybersecurity:Stakeholder Communication and Performance Goals Could Improve Certification Framework

 

Defense Contractor Cybersecurity: Stakeholder Communication and Performance Goals Could Improve Certification Framework 防衛省の委託先のサイバーセキュリティ:関係者間のコミュニケーションとパフォーマンス目標により、認証フレームワークを改善できる可能性がある。
Fast Facts 概要
Defense contractors are targets for hackers who are trying to access sensitive data. The Department of Defense is working on a framework to certify that contractors have proper cybersecurity practices in place to protect data. 防衛省の請負業者は、機密データにアクセスしようとするハッカーの標的となっている。国防総省は、請負業者がデータを保護するために適切なサイバーセキュリティを実践していることを認証するフレームワークを作成している。
DOD worked with industry and experts on the framework. However, its plans to start certifying contractors are delayed, and DOD hasn't communicated key details for defense contractors, such as reciprocity between its certification and others. In addition, DOD won't know how effective the certification is until it sets performance goals. 国防総省は、業界や専門家と協力してフレームワークを作成しました。しかし、コントラクターの認証を開始する計画は遅れており、DODは、自社の認証と他社の認証との相互関係など、防衛コントラクターにとって重要な詳細を伝えていません。さらに、DODはパフォーマンス目標を設定するまで、認証の効果を知ることができない。
We recommended that DOD develop outcome-oriented performance measures, and more. 私たちは、DODが成果重視のパフォーマンス指標を策定するよう提言しました。
Highlights ハイライト
What GAO Found GAOの調査結果
For years, malicious cyber actors have targeted defense contractors to access sensitive unclassified data. In response, since 2019, the Department of Defense (DOD) has engaged with a range of stakeholders to develop and refine a set of cybersecurity practices and processes for contractors to use to help assure security of the data. For relevant contracts, this Cybersecurity Maturity Model Certification (CMMC) requires that defense contractors implement these practices and processes on their information systems and networks. 長年にわたり、悪意のあるサイバーアクターは、機密の未分類データにアクセスするために防衛請負業者を標的にしてきました。これを受けて、2019年以降、国防総省(DOD)はさまざまな関係者と協力して、契約者がデータのセキュリティを保証するために使用する一連のサイバーセキュリティの実践とプロセスを開発し、改良してきました。関連する契約について、このサイバーセキュリティ成熟度モデル認証(CMMC)は、防衛省の請負業者がこれらのプラクティスとプロセスを情報システムとネットワークに実装することを求めています。
Rid16_image2
Key Steps in CMMC Verification Process CMMC検証プロセスの主要ステップ
DOD began CMMC implementation with an interim rule that took effect in November 2020, but the rollout of the 5-year pilot phase is delayed. For example, DOD planned to pilot the CMMC requirement on up to 15 acquisitions in fiscal year 2021 but has not yet included the requirement in any acquisitions, in part due to delays in certifying assessors. Industry—in particular, small businesses—has expressed a range of concerns about CMMC implementation, such as costs and assessment consistency. DOD engaged with industry in refining early versions of CMMC, but it has not provided sufficient details and timely communication on implementation. Until DOD improves this communication, industry will be challenged to implement protections for DOD's sensitive data. DOD has identified plans to assess aspects of its CMMC pilot, including high-level objectives and data collection activities, but these plans do not fully reflect GAO's leading practices for effective pilot design. For example, DOD has not defined when and how it will analyze its data to measure performance. Further, GAO found that DOD has not developed outcome-oriented measures, such as reduced risk to sensitive information, to gauge the effectiveness of CMMC. Without such measures, the department will be hindered in evaluating the extent to which CMMC is increasing the cybersecurity of the defense industrial base. In November 2021, DOD announced CMMC 2.0, which includes a number of significant changes, including eliminating some certification levels, DOD-specific cybersecurity practices, and assessment requirements. DOD also announced that it intended to suspend the current CMMC pilot and initiate a new rulemaking period to implement the revised framework. DODは、2020年11月に発効した暫定規則でCMMCの実施を開始しましたが、5年間のパイロットフェーズの展開が遅れています。例えば、DODは2021会計年度に最大15件の買収案件でCMMC要件を試験的に導入することを計画したが、評価者の認証の遅れもあり、まだどの買収案件にも要件を盛り込んでいない。産業界(特に中小企業)からは、CMMCの導入について、コストや評価の一貫性など、さまざまな懸念が寄せられています。DODは、CMMCの初期バージョンを改良するために産業界と協力しましたが、CMMCの導入に関して十分な詳細とタイムリーな情報を提供していません。DODがこのコミュニケーションを改善するまでは、産業界はDODの機密データの保護を実施することが困難になるでしょう。DODは、ハイレベルな目標やデータ収集活動など、CMMCパイロットの側面を評価する計画を明らかにしていますが、これらの計画は、効果的なパイロット設計のためのGAOのリーディング・プラクティスを完全には反映していません。例えば、DODはパフォーマンスを測定するためにいつ、どのようにデータを分析するかを定義していません。さらにGAOは、DODがCMMCの効果を測るために、機密情報のリスク軽減などの成果重視の指標を開発していないことを明らかにした。このような測定法がなければ、DODはCMMCが防衛産業基盤のサイバーセキュリティをどの程度向上させているかを評価するのに支障をきたすだろう。2021年11月、DODはCMMC 2.0を発表しましたが、このCMMC 2.0には、一部の認証レベル、DOD固有のサイバーセキュリティプラクティス、評価要件の廃止など、多くの重要な変更点が含まれています。また、DODは、現行のCMMCパイロットを中断し、改訂されたフレームワークを導入するための新たなルールメイキング期間を開始する意向を発表しました。
Why GAO Did This Study GAOがこの調査を行った理由
DOD relies on thousands of defense contractors for goods and services ranging from weapon systems to analysis to maintenance. In doing business with DOD, these companies access and use sensitive unclassified data. Accordingly, the department has taken steps intended to improve the cybersecurity of this defense industrial base. DODは、兵器システムから分析、保守に至るまでの商品やサービスを、何千もの防衛請負業者に依存しています。DODとのビジネスにおいて、これらの企業は機密性の高い未分類データにアクセスし、使用しています。そのため、DODは、この防衛産業基盤のサイバーセキュリティを向上させることを目的とした措置を講じています。
A Senate report included a provision for GAO to review DOD's implementation of CMMC. This report addresses (1) what steps DOD took to develop CMMC, (2) the extent to which DOD made progress in implementing CMMC, including communication with industry, and (3) the extent to which DOD has developed plans to assess the effectiveness of CMMC. 上院の報告書には、GAOがDODのCMMCの実施状況をレビューするという条項が含まれていました。本報告書では、(1)DODがCMMCを開発するためにどのようなステップを踏んだか、(2)DODが産業界とのコミュニケーションを含めてCMMCの実施をどの程度まで進めたか、(3)DODがCMMCの有効性を評価するための計画をどの程度まで策定したか、を取り上げています。
GAO reviewed DOD documents related to the design and implementation of CMMC and interviewed DOD officials involved in designing and managing it. GAO also interviewed representatives from defense contractors, industry trade groups, and research centers. GAOは、CMMCの設計と実施に関連するDODの文書をレビューし、CMMCの設計と管理に携わるDODの職員にインタビューを行った。GAOはまた、防衛請負業者、業界団体、研究センターの代表者にもインタビューを行った。
Recommendations 推奨事項
GAO is making three recommendations to DOD to improve communication to industry, develop a plan to evaluate the pilot, and develop outcome-oriented performance measures. DOD concurred with the recommendations and outlined plans to address them in CMMC 2.0. GAOはDODに対し、産業界とのコミュニケーションの改善、パイロットの評価計画の策定、成果重視のパフォーマンス指標の策定という3つの提言を行っている。DODは提言に同意し、CMMC2.0でそれらに対処する計画を概説した。
Recommendations for Executive Action 長官が取るべき行動に関する推奨事項
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment provides sufficient and timely communication to industry on Cybersecurity Maturity Model Certification, including when additional information will be forthcoming. (Recommendation 1) 国防長官は、取得・維持担当国防次官が、サイバーセキュリティ成熟度モデル認証について、追加情報の提供時期を含め、産業界に十分かつタイムリーな情報提供を行うことを保証すべきである。(推奨事項1)
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment develops a plan to evaluate the effectiveness of Cybersecurity Maturity Model Certification's pilot, including establishing measurable objectives, collecting relevant data, and identifying lessons and plans to use that information to inform future decisions about the Cybersecurity Maturity Model Certification. (Recommendation 2) 国防長官は、取得・維持担当国防次官が、測定可能な目標の確立、関連データの収集、教訓の特定、およびサイバーセキュリティ成熟度モデル認証に関する将来の決定に情報を提供するためにその情報を使用する計画を含む、サイバーセキュリティ成熟度モデル認証のパイロットの効果を評価するための計画を策定することを保証すべきである。(推奨事項2)
The Secretary of Defense should ensure the Under Secretary of Defense for Acquisition and Sustainment develop outcome-oriented performance measures to evaluate the effectiveness of Cybersecurity Maturity Model Certification as a component of the department's efforts to enhance cybersecurity for the defense industrial base. (Recommendation 3) 国防長官は、国防産業基盤のサイバーセキュリティを強化するための国防省の取り組みの一環として、サイバーセキュリティ・モデル認証の有効性を評価するために、成果指向のパフォーマンス指標を開発することを、取得・維持担当国防次官に保証すべきである。(推奨事項3)

 

・[PDF] Highlights Page

20211211-82819

・[PDF] Full Report

20211211-82831

・[PDF] Accessible PDF

 


CMMC関連...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

 

| | Comments (0)

2021.12.10

Cloud Security Alliance クラウドコントロールマトリックス4.0 監査ガイド

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がクラウドコントロールマトリックス4.0 監査ガイドに関する文書を公表していますね。。。

このガイドは、Certificate of Cloud Auditing Knowledge ガイドの第 7 章 CCM 監査ガイドライン(特に7.5: CCM 監査ワークブック)を拡張したもので

  1. クラウドサービスプロバイダ(CSP)に対して CCM 監査を実施することを計画している監査人
  2. CCMフレームワークを利用してクラウドサービスのポートフォリオを評価するクラウドサービスカスタマ(CSC)
  3. CCMフレームワークを利用してクラウドのセキュリティ対策を設計、開発、実施しようとしているCSPまたはCSC

に向けて作成されたようですね。。。

Cloud Security Alliance (CSA)

・2021.12.08 (press) Cloud Security Alliance Releases New Cloud Controls Matrix Auditing Guidelines

・2021.12.08 CCMv4.0 Auditing Guidelines

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20211210-55749

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 CCM Compliance Audit Documentation 1.2 CCMコンプライアンス監査文書
1.3 Key Assumptions 1.3 主な前提条件
1.4 Target Audience 1.4 対象となる聴衆
1.5 Versioning 1.5 バージョニング
2. Auditing Guidelines 2. 監査ガイドライン
2.1 Audit and Assurance (A&A) 2.1 監査・保証(A&A)
2.2 Application and Interface Security (AIS) 2.2 アプリケーション及びインターフェースのセキュリティ(AIS)
2.3 Business Continuity Management and Operational Resilience (BCR) 2.3 事業継続管理と運用維持(BCR)
2.4 Change Control and Configuration Management (CCC) 2.4 変更管理と構成管理(CCC)
2.5 Cryptography, Encryption and Key Management (CEK) 2.5 暗号、暗号化、鍵管理(CEK)
2.6 Datacenter Security (DCS) 2.6 データセンターセキュリティ(DCS)
2.7 Data Security and Privacy Lifecycle Management (DSP) 2.7 データセキュリティとプライバシーライフサイクル管理(DSP)
2.8 Governance, Risk Management and Compliance (GRC) 2.8 ガバナンス、リスクマネジメントとコンプライアンス(GRC)
2.9 Human Resources (HRS) 2.9 人事(HRS)
2.10 Identity and Access Management (IAM) 2.10 アイデンティティとアクセスの管理(IAM)
2.11 Interoperability and Portability (IPY) 2.11 相互運用性・移植容易性(IPY)
2.12 Infrastructure and Virtualization Security (IVS) 2.12 インフラと仮想化のセキュリティ(IVS)
2.13 Logging and Monitoring (LOG) 2.13 記録と監視(LOG)
2.14 Security Incident Management, E-Discovery, and Cloud Forensics (SEF) 2.14 セキュリティインシデント管理、Eディスカバリ、クラウドフォレンジック(SEF)
2.15 Supply Chain Management, Transparency, and Accountability (STA) 2.15 サプライチェーンの管理、透明性と説明責任(STA)
2.16 Threat and Vulnerability Management (TVM) 2.16 脅威と脆弱性の管理(TVM)
2.17 Universal Endpoint Management (UEM) 2.17 統合エンドポイント管理(UEM)
Acronyms 頭字語
Glossary 用語集

 


 

まるちゃんの情報セッキュリティ気まぐれ日記

・2021.10.26 Cloud Security Alliance 継続的監査メトリクスカタログ at 2021.10.19

・2021.09.15 Cloud Security Alliance クラウド・コントロール・マトリクス v4.0 実装ガイダンス

・2021.05.30 Cloud Security Alliance CSA STAR Attestation v2 を提供する米国公認会計士へのガイドライン

・2021.01.23 Cloud Security Alliance - Cloud Controls Matrix v4を公表しましたね。。。

| | Comments (0)

Cloud Security Alliance 外部起源鍵によるクラウド鍵管理システム at 2021.12.02

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) が外部起源鍵 (External Key Origin) によるクラウド鍵管理システムに関する文書を公表していますね。。。

Cloud Security Alliance (CSA)

・2021.12.02 (press) Cloud Key Management System with External Origin Key

Cloud Key Management System with External Origin Key 外部起源鍵によるクラウド鍵管理システム
The purpose of this document is to provide general guidance for choosing, planning, and deploying cloud-native key management systems (KMS) where there is a desire or requirement to import key material from an external source. The guidance will provide recommendations that address technical, operational, legal, regulatory, and financial aspects of leveraging a Cloud-Native KMS using EKO. The goal is to optimize business outcomes, including security, agility, cost, and compliance.  本文書の目的は、外部ソースから鍵をインポートしたいという要望や要求がある場合に、クラウド・ネイティブな鍵管理システム(KMS)を選択、計画、導入するための一般的なガイダンスを提供することである。このガイダンスでは、外部起源鍵 (EKO) を利用してクラウドネイティブKMSを活用する際の技術面、運用面、法律面、規制面、財務面での推奨事項を説明します。その目的は、セキュリティ、アジリティ、コスト、コンプライアンスなど、ビジネスの成果を最適化することにあります。 

・[PDF] 簡単な質問に答えるとダウンロードできます

20211210-44221

1. Introduction 1. はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Target Audience 1.3 想定読者
2. Cloud-Native KMS using EKO Overview 2. EKOを用いたクラウドネイティブKMSの概要
3. Choosing a Cloud-Native KMS using EKO 3. EKOを利用したクラウドネイティブKMSの選択
3.1 Technical Considerations 3.1 技術的な検討事項
3.1.1 Hardware Security Module (HSM) Backed Keys 3.1.1 HSM(ハードウェア・セキュリティ・モジュール)を利用した鍵について
3.1.2 General Technical Considerations 3.1.2 一般的な技術的検討事項
3.2 Operational Considerations 3.2 運用面での検討事項
3.3 Regulatory Considerations 3.3 規制に関する検討事項
3.4 Legal Considerations 3.4 法律面での検討事項
3.5 Financial Considerations 3.5 財務上の検討事項
4. Planning a Cloud-Native KMS using EKO 4. EKOを利用したクラウド型KMSの計画
4.1 Technical Considerations 4.1 技術的な検討事項
4.1.1 Identity and Access Management 4.1.1 アイデンティティおよびアクセス管理
4.1.2 Shared Responsibilities 4.1.2 責任の共有
4.1.3 Separation of Duties (SOD) 4.1.3 義務の分離 (SOD)
4.1.4 General Technical Considerations 4.1.4 一般的な技術的検討事項
4.2 Operational Considerations 4.2 運用上の検討事項
4.3 Regulatory Considerations 4.3 規制に関する検討事項
4.4 Legal Considerations 4.4 法律上の検討事項
4.5 Financial Considerations 4.5 財務上の検討事項
5. Deploying a Cloud-Native KMS using EKO 5. EKOを利用したクラウド型KMSの導入について
5.1 Technical Considerations 5.1 技術的検討事項
5.2 Operational Considerations 5.2 運用面での検討事項
5.3 Regulatory Considerations 5.3 規制に関する検討事項
5.4 Legal Considerations 5.4 法律面での検討事項
5.5 Financial Considerations 5.5 財務上の検討事項
6. Conclusion 6. 結論
7. References 7. 参考文献
Appendix A: Acronyms 附属書A:頭字語
Appendix B: Glossary 附属書B:用語集

 

 

 

 

| | Comments (0)

米国 CMMC Ver.2.0

こんにちは、丸山満彦です。

CMMC Ver2.0が公開されていますね。。。

 

Acquisition & Sustainment - office of the UnderSecretary of Defense

SECURING THE DEFENSE INDUSTRIAL BASE - CMMC 2.0

ABOUT CMMC

・2021.12.02 [PDF] Cybersecurity Maturity Model Certification (CMMC) Model Overview Version 2.0

20220404-192944

 

Introduction 1. はじめに
1.1 Document Organization 1.1 ドキュメント構成
1.2 Supporting Documents 1.2 補助資料
CMMC Model 2. CMMCモデル
2.1 Overview 2.1 概要
2.2 CMMC Levels 2.2 CMMCレベル
2.3 CMMC Domains 2.3 CMMCドメイン
2.4 CMMC Practices 2.4 CMMCプラクティス
Summary 3. まとめ
Appendix 附属書
A. CMMC Model Matrix A CMMCモデルマトリックス
B. Source Mapping B ソースマッピング
C. Abbreviations and Acronyms C 略語と頭字語
D. References D 参考文献

 

・2021.12.03 [PDF] CMMC 2.0 Briefing - Briefing Overview

・2021.12.07 [PDF] Current DoD Cybersecurity Efforts

 

| | Comments (0)

2021.12.09

英国 AI保証に向けたロードマップを公表(AI認証制度?)

こんにちは、丸山満彦です。

英国はAIの認証制度を考えているのかもしれませんね。。。そうなら何匹目かのドジョウ?。。。

データ倫理・イノベーションセンターから発表されていますね。。。

Centre for Data Ethics and Innovation

・2021.12.08 (press) Centre for Data Ethics and Innovation publishes world first roadmap to catalyse development of AI assurance ecosystem

Centre for Data Ethics and Innovation publishe2s world first roadmap to catalyse development of AI assurance ecosystem データ倫理・イノベーションセンター、AI保証エコシステムの開発を促進する世界初のロードマップを発表
The CDEI has set out the steps required to build a world-leading AI assurance ecosystem in the UK. CDEIは、英国で世界をリードするAI保証エコシステムを構築するために必要なステップを設定しました。
・The UK government’s Centre for Data Ethics and Innovation (CDEI) has published a roadmap setting out the steps required to build a world-leading AI assurance ecosystem ・英国政府のデータ倫理・イノベーションセンター(CDEI)は、世界をリードするAI保証エコシステムを構築するために必要なステップを定めたロードマップを発表しました。
・By verifying that AI systems are effective, trustworthy and compliant, AI assurance services will drive a step change in adoption, enabling the UK to realise the full potential of AI and develop a competitive edge ・AI保証サービスは、AIシステムが効果的で、信頼性があり、コンプライアンスに準拠していることを検証することで、導入のステップチェンジを促し、英国がAIの可能性を最大限に実現し、競争力を高めることを可能にします。
・A mature AI assurance ecosystem has the potential to be a multi-billion pound industry in its own right, unlocking growth and thousands of new job opportunities ・成熟したAI保証エコシステムは、それ自体が数十億ポンド規模の産業になる可能性があり、成長と何千もの新たな雇用機会をもたらします。
・AI assurance will be critical to realising the UK government’s ambition to establish the most trusted and pro-innovation system for AI governance in the world, set out in the National AI Strategy ・AI保証は、英国政府が「国家AI戦略」で掲げている、世界で最も信頼され、イノベーションを促進するAIガバナンスシステムの確立という野望を実現するために不可欠なものです。
The Centre for Data Ethics and Innovation (CDEI), the government expert body enabling trustworthy innovation in data and AI, has set out the steps required to build a world-leading AI assurance ecosystem in the UK. データとAIにおける信頼できるイノベーションを可能にする政府の専門機関であるCentre for Data Ethics and Innovation(CDEI)は、英国で世界をリードするAI保証エコシステムを構築するために必要なステップを示しました。
The roadmap, which was a commitment in the UK’s National AI Strategy, follows calls from public bodies including the Committee on Standards in Public Life, and industry, to build an ecosystem of tools and services that can identify and mitigate the range of risks posed by AI and drive trustworthy adoption. It addresses one of the biggest issues in AI governance identified by international organisations including the Global Partnership on AI, OECD and World Economic Forum. このロードマップは、英国の「国家AI戦略」におけるコミットメントであり、公共生活基準委員会をはじめとする公的機関や産業界から、AIがもたらすさまざまなリスクを特定して軽減し、信頼できる導入を促進することができるツールやサービスのエコシステムを構築するよう求められていたことを受けたものです。これは、AIに関するグローバルパートナーシップ、OECD、世界経済フォーラムなどの国際機関が指摘している、AIガバナンスにおける最大の問題の一つに対応するものです。
Assurance services - like audit, certification and impact assessments - are common in other sectors, such as financial services and cybersecurity. These tools ensure that complex products are trustworthy and compliant with regulation, improving organisations’ confidence to invest and delivering better outcomes for consumers. But assurance services for AI are currently relatively undeveloped. 監査、認証、影響評価などの保証サービスは、金融サービスやサイバーセキュリティなどの他の分野でも一般的に行われています。これらのツールは、複雑な製品が信頼できるものであり、規制に準拠していることを保証し、組織の投資に対する自信を高め、消費者により良い結果をもたらすものです。しかし、AI向けの保証サービスは、現在のところ比較的未開発です。
The roadmap, which is the first of its kind, brings coherence to a fragmented and nascent ecosystem. It sets out the roles and responsibilities of different stakeholders, and identifies six priority areas for action: この種のものとしては初めてとなるロードマップは、断片的で発展途上のエコシステムに一貫性をもたらします。このロードマップでは、さまざまなステークホルダーの役割と責任を明確にし、6つの優先分野を定めています。
1. Generate demand for reliable and effective assurance across the AI supply chain, improving understanding of risks, as well as accountabilities for mitigating them 1. AIのサプライチェーン全体で、信頼性の高い効果的な保証に対する需要を喚起し、リスクとその軽減に向けた説明責任に対する理解を深める。
2. Build a dynamic, competitive AI assurance market, that provides a range of effective services and tools 2. さまざまな効果的なサービスやツールを提供する、ダイナミックで競争力のあるAI保証市場を構築する。
3. Develop standards that provide a common language for AI assurance 3. AI保証のための共通言語を提供する規格の開発
4. Build an accountable AI assurance profession to ensure that AI assurance services are also trustworthy and high quality 4. AI保証サービスが信頼できる高品質なものであることを保証するために、説明責任を果たすAI保証専門家を育成する。
5. Support organisations to meet regulatory obligations by setting requirements that can be assured against 5. 保証可能な要件を設定することで、組織が規制上の義務を果たすことを支援する。
6. Improve links between industry and independent researchers, so that researchers can help develop assurance techniques and identify AI risks 6. 産業界と独立した研究者との連携を強化し、研究者が保証技術の開発やAIリスクの特定に貢献できるようにする。
The CDEI’s research demonstrates that there is an opportunity for the UK to be a world leader in AI assurance, drawing on its strengths in legal and professional services, AI research and standards. It points to the leading role that the UK could play in developing and shaping global technical standards, which - alongside an effective ecosystem of assurance products and services - would facilitate cross-border trade by enabling interoperability between different regulatory regimes. Moreover, based on the growth of comparable industries, such as the £4 billion cyber assurance industry, a mature AI assurance ecosystem has the potential to be a multi-billion pound industry in its own right, unlocking growth and thousands of job opportunities. The CDEI envisages that the UK will have a thriving AI assurance ecosystem within the next 5 years, with professional services firms providing a range of services alongside innovative start-ups and scale-ups. CDEIの調査によると、英国は、法律・専門サービス、AI研究、基準などの強みを活かして、AI保証の分野で世界のリーダーとなる機会がありそうです。また、英国が世界的な技術標準の開発と形成において主導的な役割を果たすことで、保証商品やサービスの効果的なエコシステムとともに、異なる規制体制間の相互運用性を実現し、国境を越えた取引を促進することができると指摘しています。さらに、40億ポンド規模のサイバー保証産業などの類似産業の成長を見ると、成熟したAI保証のエコシステムは、それ自体が数十億ポンド規模の産業となり、成長と何千もの雇用機会をもたらす可能性があります。CDEIは、英国が今後5年以内に、革新的なスタートアップ企業やスケールアップ企業とともに、様々なサービスを提供するプロフェッショナルサービス企業が存在する、繁栄するAI保証エコシステムを構築することを想定しています。
The CDEI will take a number of steps over the next year to deliver on the roadmap, along with partners across industry, regulators and government. It will support DCMS and the Office for Artificial Intelligence as they work with stakeholders to pilot an AI Standards Hub, which will expand the UK’s contribution to global AI standards. It will also partner with professional bodies and regulators in the UK to set out assurable standards and requirements for AI systems; and convene stakeholders, including through an AI assurance accreditation forum, which will bring together professional and accreditation bodies who need to play a role in the professionalisation of AI assurance. CDEIは、産業界、規制当局、政府のパートナーとともに、ロードマップの実現に向けて、今後1年間でさまざまな取り組みを行っていきます。CDEIは、DCMSとOffice for Artificial Intelligenceが利害関係者と協力してAI Standards Hubを試験的に立ち上げるのを支援し、グローバルなAI標準に対する英国の貢献を拡大します。また、英国の専門機関や規制当局と連携し、AIシステムに対する保証可能な基準や要件を設定するほか、AI保証の専門化において役割を果たす必要のある専門機関や認定機関を集めたAI保証認定フォーラムなどを通じて、関係者を招集します。
The CDEI is actively looking to partner with organisations to deliver on the roadmap. The announcement follows the publication of new guidance on the use of AI in recruitment, developed by the CDEI in partnership with the Recruitment and Employment Confederation. The CDEI is also working with the government’s Centre for Connected and Autonomous Vehicles to embed ethical due diligence in the future regulatory framework for self-driving vehicles, a market set to be worth £42 billion by 2035. CDEIは、ロードマップの実現に向けて、組織との提携を積極的に検討しています。今回の発表は、CDEIがRecruitment and Employment Confederationと共同で作成した、採用におけるAIの利用に関する新しいガイダンスの発表を受けたものです。また、CDEIは、政府のCentre for Connected and Autonomous Vehiclesと協力して、2035年に420億ポンドの市場規模になると言われている自動運転車の将来的な規制の枠組みに、倫理的デューデリジェンスを組み込むことを目指しています。
Chris Philp MP, Minister for Technology and the Digital Economy at the Department for Digital, Culture, Media and Sport, said: デジタル・文化・メディア・スポーツ省の技術・デジタル経済担当大臣であるクリス・フィルプ議員は、次のように述べています。
”AI has the potential to transform our society and economy; and help us tackle some of the greatest challenges of our time. However, this will only be possible if we are able to manage the risks posed by AI and build public trust in its use. In the National AI Strategy, we committed to establishing the most trusted and pro-innovation system for AI governance in the world and building an effective AI assurance ecosystem in the UK will be critical to realising this mission. I’m delighted to see the CDEI’s roadmap published today, and look forward to working with stakeholders, from standards bodies to professional services firms, to make the vision the CDEI has set out a reality.” 「AIは、私たちの社会や経済を変革し、現代の最大の課題に取り組む手助けをしてくれる可能性を秘めています。しかし、これを実現するには、AIがもたらすリスクを管理し、その利用に対する国民の信頼を築くことが必要です。私たちは、AI国家戦略において、世界で最も信頼され、イノベーションを促進するAIガバナンスシステムを確立することを約束しました。本日、CDEIのロードマップが発表されたことを嬉しく思うとともに、標準化団体からプロフェッショナルサービス企業まで、関係者と協力してCDEIが掲げるビジョンを実現していきたい。」
George Freeman MP, Parliamentary Under Secretary of State in the Department for Business, Energy and Industrial Strategy, said: ビジネス・エネルギー・産業戦略省の政務次官であるジョージ・フリーマン議員は、次のように述べています。
"From medical diagnostics to machine learning to climate science, AI is fast becoming key to our economy and society. Next generation AI computing can deliver superfast decision support software, developing large benefits for industry and public services. The UK is one of the world’s most advanced AI economies but public trust and data governance regulation are key to ensure AI systems are effective and trustworthy. Today’s new AI roadmap – the first in the world – sets out how we can establish proper assurance and governance systems to unlock AI’s full potential and develop a truly competitive edge as we build back better." 「医療診断から機械学習、気候科学まで、AIは私たちの経済と社会にとって急速に重要なものとなっています。次世代のAIコンピューティングは、超高速の意思決定支援ソフトウェアを実現し、産業界や公共サービスに大きな利益を発展させることができます。英国は世界で最も先進的なAI経済圏の一つですが、AIシステムが効果的で信頼できるものであるためには、国民の信頼とデータガバナンス規制が鍵となります。本日発表された世界初の新しいAIロードマップは、AIの潜在能力を最大限に引き出し、より良いものを作り直す中で真に競争力のあるものを開発するために、適切な保証とガバナンスシステムを確立する方法を示しています。」
Rumman Chowdhury, Director of Machine Learning Ethics, Transparency and Accountability at Twitter and Member of the CDEI’s Advisory Board, said: Twitter社の機械学習倫理・透明性・説明責任担当ディレクターで、CDEIの諮問委員会メンバーでもあるRumman Chowdhury氏は、次のように述べています。
"AI presents a myriad of opportunities, but there are a range of harms that need to be addressed if we are to seize them. In order to achieve that goal, we need a thriving ecosystem of assurance products and services that can check AI systems are trustworthy and beneficial to all. The CDEI’s roadmap makes a significant, early contribution to shaping and bringing coherence to this much-needed ecosystem, by setting out the roles that different groups will need to play, as well as the next steps that need to be taken." 「AIは無数のチャンスをもたらしますが、それを掴むためには様々な弊害に対処する必要があります。この目標を達成するためには、AIシステムが信頼でき、すべての人にとって有益であることを確認できる保証製品やサービスの活発なエコシステムが必要です。CDEIのロードマップは、様々なグループが果たすべき役割と、取るべき次のステップを示すことで、この必要性の高いエコシステムの形成と一貫性の確保に、早い段階で大きく貢献しています。」
Antony Walker, Deputy CEO of techUK, said: techUKの副CEOであるアントニー・ウォーカーは次のように述べています。
"Today’s publication marks a key first step in operationalising the UK’s National AI Strategy and the UK leading the way in how a world-leading AI assurance ecosystem and market can become a reality. We welcome the roadmap’s ambition to give industry access to the tools and expertise needed to help build greater confidence along the AI supply chain, including amongst customers and citizens. But as this work moves forward, we must work hard together to ensure assurance checks are genuinely pro-innovation, proportionate and well aligned with existing standards and regulation. We look forward to working with the CDEI to deliver on the roadmap and continue to make the UK a world-leader in the development of trustworthy AI." 「本日の発表は、英国の国家AI戦略を運用するための重要な第一歩であり、世界をリードするAI保証エコシステムと市場を実現する方法を英国が先導するものです。私たちは、顧客や市民を含め、AIのサプライチェーンに沿って信頼性を高めるために必要なツールや専門知識を業界が利用できるようにするというロードマップの野心を歓迎します。しかし、この作業を前進させるためには、保証チェックが真にイノベーションを促進し、比例し、既存の基準や規制とうまく整合するように、共に努力しなければなりません。私たちは、CDEIと協力してロードマップを実現し、英国を信頼できるAIの開発における世界的なリーダーにしていきたいと思います。」
Matthew Fell, Chief Policy Director at the Confederation of British Industry, said: 英国産業連盟のチーフ・ポリシー・ディレクターであるマシュー・フェルは、次のように述べています。
"The UK is starting from a position of strength in the global race to become a world-leader in AI. These steps being taken by the government will help to embed trust in how AI is deployed, and support more businesses across the economy to capitalise on new opportunities. Ensuring we get the right AI governance in place will be essential to realising a pro-innovation UK." 「英国は、AIの世界的リーダーになるためのグローバルな競争において、強みを持った状態からスタートしています。政府が行っているこれらの措置は、AIの導入方法に信頼を定着させ、経済全体でより多くの企業が新たな機会を生かすことをサポートします。適切なAIガバナンスを確保することは、イノベーションを促進する英国を実現するために不可欠です。」
Notes to editors: 編集者への注釈
The CDEI is a government expert body enabling the trustworthy use of data and AI. Its multidisciplinary team of specialists, supported by an advisory board of world-leading experts, work in partnership with organisations to deliver, test and refine trustworthy approaches to data and AI governance. CDEIは、データとAIの信頼できる利用を可能にする政府の専門機関です。CDEIの学際的な専門家チームは、世界をリードする専門家で構成される諮問委員会の支援を受け、組織と連携して、データとAIのガバナンスに対する信頼できるアプローチを提供し、テストし、改善しています。
In addition to the report titled ‘A roadmap for the AI assurance ecosystem’, the CDEI has today published an extended version of the roadmap, which provides further detail about the role of AI assurance in driving trustworthy adoption of AI, the six areas for action, and the follow up work the CDEI will be undertaking. It has also published an assurance guide, which is focused on the delivery of AI assurance and aims to support practitioners and others using or providing AI assurance. CDEIは本日、「A roadmap for the AI assurance ecosystem(AI保証エコシステムのためのロードマップ)」と題した報告書に加えて、ロードマップの拡張版を発表しました。この報告書では、AIの信頼できる導入を促進する上でのAI保証の役割、6つの行動分野、CDEIが実施するフォローアップ作業について、さらに詳しく説明しています。また、CDEIは、AI保証の提供に焦点を当て、AI保証を使用または提供する実務者などを支援することを目的とした保証ガイドも発行しています。
The UK government recently published its National AI Strategy, in which it set out an ambition to establish the most trusted and pro-innovation system for AI governance in the world. In the Strategy, it committed to publishing a White Paper in 2022, which will set out a national position on governing and regulating AI. The CDEI is supporting the Office for Artificial Intelligence as it develops the White Paper. The White Paper will highlight the role of assurance both as a market-based means of managing AI risks, and as a complement to regulation, that will empower industry to ensure that AI systems meet their regulatory obligations. 英国政府は最近、「AI国家戦略」を発表し、世界で最も信頼され、イノベーションを促進するAIガバナンスシステムを確立するという目標を掲げています。この戦略では、2022年に白書を発行し、AIの統治と規制に関する国家的な立場を示すことを約束しています。CDEIは、白書を作成するOffice for Artificial Intelligenceを支援しています。白書では、AIのリスクを管理する市場ベースの手段として、また規制を補完するものとして、AIシステムが規制上の義務を満たすことを産業界が保証する保証の役割が強調されます。
In November 2020, the CDEI published its landmark review into bias in algorithmic decision-making, in which it pointed to the need for an ecosystem of industry standards and professional services to help organisations address algorithmic bias in the UK and beyond. CDEIは、2020年11月に、アルゴリズムによる意思決定におけるバイアスに関する画期的なレビューを発表し、その中で、英国およびそれ以外の国において、組織がアルゴリズムによるバイアスに対処するための業界標準と専門サービスのエコシステムの必要性を指摘しました。
To develop the roadmap, the CDEI engaged widely, conducted multidisciplinary research, and worked with partners in the public, private sector and academia to run pilot projects. This included working with a team of researchers at UCL to investigate the audit and assurance of AI systems in industry. ロードマップを作成するために,CDEIは広く協力を得て,学際的な研究を行い,官民や学界のパートナーと協力してパイロットプロジェクトを実施しました.その中には、UCLの研究者チームと協力して、産業界におけるAIシステムの監査と保証について調査したことも含まれています。

 

The roadmap to an effective AI assurance ecosystem

 ・[PDF] The roadmap to an effective AI assurance ecosystem

20211209-142941


このアシュアランスガイドは国際会計士協会の保証基準をベースにしていますね。。。保証業務の5つの要素 (The 5 elements of an assurance engagement) とかは同じです。。。

 

| | Comments (0)

英国 製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案 at 2021.11.24

こんにちは、丸山満彦です。

英国は、スマートフォン、スマート◯◯◯といった、インターネットに接続する製品(PCは対象外)について

1. 安易なデフォルトパスワードの禁止

2. 脆弱性開示ポリシーの義務付け

3. セキュリティアップデートを受ける期間に関する情報開示の義務付け

を要求する製品セキュリティおよび電気通信インフラストラクチャ(PSTI)法案を提出していますね。。。

メーカーだけでなく、輸入業者も対象のようです。。。

違反者には、最高1000万ポンドまたは世界売上の4%の罰金が課されるという感じですね。。。

 

法案はこちら。。。

● U.K. Parliament

Product Security and Telecommunications Infrastructure Bill

・2021.11.24 [PDF]

20211209-55728

 

英国政府のプレス発表等

U.K. Government - Department for Digital, Culture, Media & Sport

・2021.11.24 (Press) New cyber laws to protect people’s personal tech from hackers

New cyber laws to protect people’s personal tech from hackers ハッカーから個人所有の機器を守る新しいサイバー法の制定について
Consumers will be better protected from attacks by hackers on their phones, tablets, smart TVs, fitness trackers and other internet-connectable devices thanks to a new world-leading law introduced today by the government. 本日、政府が発表した世界最先端の新法により、消費者は、携帯電話、タブレット、スマートテレビ、フィットネストラッカー、その他のインターネット接続可能な機器に対するハッカーの攻撃から、よりよく保護されることになります。
・Bill to better protect people’s smartphones, TVs, speakers, toys and other digital devices from hackers ・スマートフォン、テレビ、スピーカー、玩具などのデジタル機器をハッカーから守るための法案です。
・Will prevent the sale of consumer connectable products in the UK that do not meet baseline security requirements ・基本的なセキュリティ要件を満たしていない消費者向けの接続可能な製品の英国内での販売を阻止する。
・Comes as research shows four in five manufacturers of connectable products do not implement appropriate security measures ・調査によると、接続可能な製品のメーカーの5社中4社が適切なセキュリティ対策を実施していません。
・Includes plans for fines up to £10 million or up to 4 per cent of global revenue for firms failing to comply ・コンプライアンスに違反した企業には、最高1,000万ポンドまたは全世界の売上高の4%までの罰金が科せられる予定です。
A new law will require manufacturers, importers and distributors of digital tech which connects to the internet or other products to make sure they meet tough new cyber security standards - with heavy fines for those who fail to comply. インターネットに接続するデジタル機器やその他の製品の製造業者、輸入業者、販売業者に対して、厳しいサイバーセキュリティ基準を満たすことを義務付ける法律が新たに制定され、これに従わない企業には重い罰金が科せられます。
The Product Security and Telecommunications Infrastructure Bill (PSTI), introduced to Parliament today, will allow the government to ban universal default passwords, force firms to be transparent to customers about what they are doing to fix security flaws in connectable products, and create a better public reporting system for vulnerabilities found in those products. 本日、国会に提出された「製品セキュリティおよび通信インフラ法案」(PSTI)により、政府は、ユニバーサルデフォルトパスワードの禁止、接続可能な製品のセキュリティ上の欠陥を修正するために企業が行っていることの顧客への透明性の確保、およびこれらの製品に発見された脆弱性のより良い公開報告システムの構築を行うことができます。
The Bill will also speed up the roll out of faster and more reliable broadband and mobile networks by making it easier for operators to upgrade and share infrastructure. The reforms will encourage quicker and more collaborative negotiations with landowners hosting the equipment, to reduce instances of lengthy court action which are holding up improvements in digital connectivity. また、事業者によるインフラのアップグレードや共有を容易にすることで、より高速で信頼性の高いブロードバンドおよびモバイルネットワークの展開を加速させます。この改革により、機器を設置している土地所有者との交渉が迅速かつ協力的に行われるようになり、デジタル接続の改善を妨げている長引く裁判の事例を減らすことができます。
Minister for Media, Data and Digital Infrastructure Julia Lopez said: ジュリア・ロペス メディア・データ・デジタルインフラ担当大臣は次のように述べています。
”Every day hackers attempt to break into people’s smart devices. Most of us assume if a product is for sale, it’s safe and secure. Yet many are not, putting too many of us at risk of fraud and theft.” 「ハッカーは毎日のように人々のスマートデバイスへの侵入を試みています。私たちの多くは、製品が販売されていれば、それは安全でセキュアなものだと思っています。しかし、多くの製品は安全ではなく、多くの人々が詐欺や窃盗の危険にさらされています。」
”Our Bill will put a firewall around everyday tech from phones and thermostats to dishwashers, baby monitors and doorbells, and see huge fines for those who fall foul of tough new security standards.” 「私たちの法案は、電話、サーモスタット、食器洗浄機、ベビーモニター、ドアベルなど、日常的に使われているハイテク製品にファイアウォールを設置し、厳しい新セキュリティ基準に違反した者には巨額の罰金を科すものです。」
The ownership and use of connected tech products has increased dramatically in recent years. On average there are nine in every UK household, with forecasts suggesting there could be up to 50 billion worldwide by 2030. People overwhelmingly assume these products are secure, but only one in five manufacturers have appropriate security measures in place for their connectable products. 近年、コネクテッドテクノロジー製品の所有と使用は劇的に増加しています。英国の各家庭には平均して9台が設置されており、2030年には世界で500億台に上ると予測されています。人々はこれらの製品が安全であると考えていますが、接続可能な製品に適切なセキュリティ対策を施しているメーカーは5社に1社しかありません。
Cyber criminals are increasingly targeting these products. A recent investigation by Which? found a home filled with smart devices could be exposed to more than 12,000 hacking or unknown scanning attacks from across the world in a single week. サイバー犯罪者がこれらの製品を狙うケースも増えています。Which? が最近行った調査によると、スマートデバイスで満たされた家庭は、1週間で世界中から12,000以上のハッキングや未知のスキャン攻撃にさらされる可能性があります。
And, in the first half of 2021, there were 1.5 billion attempted compromises of Internet of Things (IoT) devices, double the 2020 figure. The UK’s National Cyber Security Centre last week revealed it had dealt with an unprecedented number of cyber incidents over the past year. また、2021年上半期には、モノのインターネット(IoT)機器への危害の試みが15億件あり、2020年の2倍となっています。英国の国立サイバーセキュリティセンターは先週、過去1年間で前例のない数のサイバーインシデントに対処したことを明らかにしました。
Currently the makers of digital tech products must comply with rules to stop them causing people physical harm from issues such as overheating, sharp components or electric shock. But there is no regulation to protect consumers from harm caused by cyber breaches, which can include fraud and theft of personal data. 現在、デジタル技術製品のメーカーは、過熱、鋭利な部品、感電などの問題によって人々に物理的な損害を与えることを防止するための規則を遵守しなければなりません。しかし、詐欺や個人情報の窃盗など、サイバー犯罪による被害から消費者を守るための規制はありません。
The PSTI Bill will counter this threat by giving ministers new powers to bring in tougher security standards for device makers. This includes: PSTI法案は、このような脅威に対抗するため、機器メーカーに対してより厳しいセキュリティ基準を導入するための新たな権限を閣僚に与えるものです。これには以下が含まれます。
・A ban on easy-to-guess default passports that come preloaded on devices - such as ‘password’ or ‘admin’ - which are a target for hackers. All passwords that come with new devices will need to be unique and not resettable to any universal factory setting. ・ハッカーの標的となる「password」や「admin」など、デバイスにあらかじめ設定されている推測しやすいデフォルトのパスポートを禁止すること。新しい機器に搭載されるすべてのパスワードは一意でなければならず、工場出荷時の普遍的な設定にリセットすることはできません。
・A requirement for connectable product manufacturers to tell customers at the point of sale, and keep them updated, about the minimum amount of time a product will receive vital security updates and patches. If a product does not come with security updates that must be disclosed. This will increase people’s awareness about when the products they buy could become vulnerable so they can make better informed purchasing decisions. Nearly 80 per cent of these firms do not have any such system in place. ・接続可能な製品のメーカーは、製品が重要なセキュリティアップデートやパッチを受け取る最低期間を販売時に顧客に伝え、常に最新の情報を提供する必要があります。また、セキュリティアップデートが提供されない製品については、その旨を開示すること。これにより、購入した製品にいつ脆弱性が生じるかについて人々の意識が高まり、より多くの情報を得た上で購入の意思決定を行うことができるようになります。これらの企業の約80%は、そのようなシステムを導入していません。
・New rules that require manufacturers to provide a public point of contact to make it simpler for security researchers and others to report when they discover flaws and bugs in products ・セキュリティ研究者やその他の人々が製品の欠陥やバグを発見した際の報告を容易にするために、メーカーに公的な連絡先を提供することを義務付ける新規則
The Bill places duties on in-scope businesses to investigate compliance failures, produce statements of compliance, and maintain appropriate records of this. 法案では、対象となる企業に対して、コンプライアンス違反を調査し、コンプライアンスに関する声明を作成し、これに関する適切な記録を維持する義務を課しています。
This new cyber security regime will be overseen by a regulator, which will be designated once the Bill comes into force, and will have the power to fine companies for non-compliance up to £10 million or four per cent of their global turnover, as well as up to £20,000 a day in the case of an ongoing contravention. この新たなサイバーセキュリティ体制は、法案の施行後に指定される規制当局によって監督され、コンプライアンス違反を犯した企業に対して、最高1,000万ポンドまたは全世界の売上高の4%、継続的に違反している場合は1日あたり最高2万ポンドの罰金を科す権限を有します。
The regulator will also be able to issue notices to companies requiring that they comply with the security requirements, recall their products, or stop selling or supplying them altogether. As new threats emerge or standards develop, ministers will have the power to mandate further security requirements for companies to follow via secondary legislation. また、規制当局は、企業に対して、セキュリティ要件の遵守、製品の回収、または製品の販売・供給の全面的な停止を求める通知を発行することができるようになります。新たな脅威の発生や基準の策定に伴い、大臣は二次的な法律によって企業にさらなるセキュリティ要件を義務付ける権限を有します。
The new laws will apply not only to manufacturers, but also to other businesses including both physical shops and online retailers which enable the sale of millions of cheap tech imports into the UK. この新しい法律は、メーカーだけでなく、英国で何百万もの安価な輸入技術製品の販売を可能にしている実店舗やオンライン小売店など、その他の企業にも適用されます。
Retailers will be forbidden from selling products to UK customers unless they meet the security requirements and will be required to pass important information about security updates on to customers. 小売業者は、セキュリティ要件を満たしていない製品を英国の顧客に販売することを禁じられ、セキュリティアップデートに関する重要な情報を顧客に提供することが求められることになります。
The Bill applies to ‘connectable’ products, which includes all devices that can access the internet - such as smartphones, smart TVs, games consoles, security cameras and alarm systems, smart toys and baby monitors, smart home hubs and voice-activated assistants and smart home appliances such as washing machines and fridges. この法案は、スマートフォン、スマートテレビ、ゲーム機、防犯カメラやアラームシステム、スマートトイやベビーモニター、スマートホームハブや音声認識アシスタント、洗濯機や冷蔵庫などのスマート家電など、インターネットにアクセスできるすべての機器を含む「接続可能な」製品に適用されます。
It also applies to products that can connect to multiple other devices but not directly to the internet. Examples include smart light bulbs, smart thermostats and wearable fitness trackers. また、他の複数の機器に接続できるが、インターネットには直接接続できない製品にも適用されます。例えば、スマート電球、スマートサーモスタット、ウェアラブル・フィットネストラッカーなどです。
NCSC Technical Director Dr Ian Levy, said: NCSCテクニカルディレクターのイアン・レヴィ博士は次のように述べています。
"I am delighted by the introduction of this bill which will ensure the security of connected consumer devices and hold device manufacturers to account for upholding basic cyber security." 「この法案が導入されたことで、接続された消費者機器のセキュリティを確保し、機器メーカーに基本的なサイバーセキュリティを守る責任を負わせることができるようになり、大変嬉しく思います。」
"The requirements this bill introduces – which were developed jointly by DCMS and the NCSC with industry consultation – mark the start of the journey to ensure that connected devices on the market meet a security standard that’s recognised as good practice." 「本法案が導入する要件は、DCMSとNCSCが業界の協議を経て共同で策定したもので、市場に流通するコネクテッドデバイスがグッドプラクティスと認められるセキュリティ基準を満たすようにするための第一歩となります。」
Just one vulnerable device can put a user’s network at risk. In 2017, attackers infamously succeeded in stealing data from a North American casino via an internet-connected fish tank. In extreme cases hostile groups have taken advantage of poor security features to access people’s webcams. 脆弱なデバイスが1台あるだけで、ユーザーのネットワークは危険にさらされます。2017年には、インターネットに接続された水槽を経由して北米のカジノからデータを盗み出すことに成功した攻撃者が有名です。極端な例では、敵対的なグループがセキュリティ機能の低さを利用して人々のウェブカムにアクセスしたこともあります。
The government intends to exempt some products - for instance, where it would subject them to double regulation or not lead to material improvements in product or user security. This includes vehicles, smart meters, electric vehicle charging points and medical devices. 政府は、二重規制の対象となる場合や、製品やユーザーのセキュリティの実質的な向上につながらない場合など、一部の製品を除外する方針です。対象となるのは、自動車、スマートメーター、電気自動車用充電ポイント、医療機器などです。
Desktop and laptop computers are not in scope because they are served by a mature antivirus software market, unlike smart speakers and other emerging consumer tech. Operating systems on laptops and PCs already include security features which means they are not subject to the same threats and risks. デスクトップPCやラップトップPCは、スマートスピーカーなどの新興消費財とは異なり、成熟したウイルス対策ソフトウェア市場で提供されているため、対象外となります。ノートパソコンのOSにはすでにセキュリティ機能が搭載されているため、同じような脅威やリスクにさらされることはありません。
Second-hand connectable products will be exempt due to the impractical obligations that including them would put on consumers and businesses disproportionate to the likely benefits. However, the Bill gives ministers powers to extend the scope of the Bill as cyber threats and risks change in future. 中古の接続可能な製品については、それらを含めることで消費者や企業に課せられる義務が非現実的であり、想定される利益と釣り合わないため、除外されます。ただし、本法案は、サイバー脅威やリスクの変化に応じて、法案の範囲を拡大する権限を閣僚に与えています。
Owners of consumer connectable products are encouraged to take action to ensure that they are using their devices safely, including following Cyber Aware guidance on improving online security. NCSC has also published guidance on using smart devices safely in the home. 消費者向けの接続可能な製品の所有者は、オンラインセキュリティの向上に関するCyber Aware社のガイダンスに従うなど、機器を安全に使用するための行動をとることが推奨されます。NCSCは、家庭内でのスマートデバイスの安全な使用に関するガイダンスも発表しています。
Rocio Concha, Which? Director of Policy and Advocacy, said: 政策・支持担当ディレクターのロシオ・コンチャは次のように述べています。
"Which? has worked with successive governments on how to crack down on a flood of poorly-designed and insecure products that leave consumers vulnerable to cyber-criminals – so it is positive that this Bill is being introduced to parliament." 「Which? は歴代政府と協力して、サイバー犯罪者に対して消費者を無防備にするような、デザイン性に欠けた安全性の低い製品の氾濫を取り締まる方法を検討してきましたので、今回の法案が議会に提出されることは喜ばしいことです。」
"The government needs to ensure these new laws apply to online marketplaces, where Which? has frequently found security-risk products being sold at scale, to prevent people from buying smart devices that leave them exposed to scams and data breaches." 「政府は、この新しい法律をオンラインマーケットプレイスにも適用し、人々が詐欺やデータ侵害にさらされるスマートデバイスを購入しないようにする必要があります。」
Telecoms infrastructure reforms 電気通信インフラの改革
Today the government also published its response to a consultation on proposed changes to the Electronic Communications Code (ECC). 本日、政府は、Electronic Communications Code (ECC)の変更案に関するコンサルテーションへの回答も発表しました。
Telecoms operators and landowners are experiencing difficulties when negotiating requests for rights to install, use and upgrade telecoms infrastructure. These issues have slowed down the roll out of better mobile and broadband coverage for some homes and businesses, with negotiations taking longer than they should and some cases ending up tangled in lengthy and costly court proceedings. 通信事業者と土地所有者は、通信インフラの設置、使用、アップグレードのための権利要求について交渉する際に困難を感じています。これらの問題は、一部の家庭や企業における携帯電話やブロードバンドの普及を遅らせる原因となっており、交渉には必要以上の時間がかかり、中には時間と費用のかかる裁判にまで発展してしまうケースもあります。
Further problems include landowners failing to reply to requests to access land for network deployment, and strict limitations on operators’ ability to upgrade and share their equipment which are stopping existing networks being used as efficiently as possible. さらに、土地所有者がネットワーク展開のための土地への立ち入りを要求しても応じてくれないことや、事業者が機器をアップグレードしたり共有したりすることを厳しく制限していることなどが、既存のネットワークを可能な限り効率的に利用することを妨げています。
The PSTI Bill will tackle many of these issues through a range of measures designed to foster more collaborative and quicker negotiations, and better working relationships between mobile network operators and landowners. This includes: PSTI法案は、携帯電話事業者と土地所有者がより協力的で迅速な交渉を行い、より良い関係を築くことを目的とした様々な措置を講じることで、これらの問題の多くに対処します。これには以下が含まれます。
・A new requirement for telecoms operators to consider the use of Alternative Dispute Resolution (ADR) - a way of resolving disputes that does not involve going to court such as mediation or arbitration - in cases where there are difficulties in agreeing terms. Operators will also be required to explain the availability of ADR as an option in their notices to landowners. ・通信事業者は、条件の合意が困難な場合、ADR(Alternative Dispute Resolution:調停や仲裁などの裁判によらない紛争解決方法)の利用を検討することを新たに義務付ける。また、事業者は土地所有者への通知の中で、オプションとしてADRの利用が可能であることを説明することが求められます。
・New automatic rights for operators to upgrade and share underground infrastructure - such as fibre optic cables - which were installed prior to the 2017 Code reforms and are not currently covered. This is in cases where there will be no impact on private land or burden on the site provider. ・2017年のコード改革以前に設置され、現在はカバーされていない光ファイバーケーブルなどの地下インフラをアップグレードしたり共有したりする事業者の新たな自動権利。これは、私有地への影響やサイト提供者への負担がない場合のものです。
・New rules to allow operators to apply for time-limited access to certain types of land more quickly where a landowner does not respond to repeated requests for permission. ・土地所有者が何度も許可を求めても応じない場合に、事業者が特定の種類の土地への期間限定のアクセスをより迅速に申請できるようにする新規定。
・New provisions to speed-up negotiations for renewal agreements. Operators who already have infrastructure installed under an expired agreement will have the right to either renew it on similar terms to those for new agreements, or request a new one. ・更新契約の交渉を迅速に行うための新たな規定。期限切れの契約に基づいて既にインフラを設置している事業者は、新規契約と同様の条件で契約を更新するか、新たな契約を要求する権利を有します。
The measures are vital for the government-led £1 billion Shared Rural Network which will roll out fast and reliable 4G coverage to 95 per cent of UK landmass, as well as hitting the government’s target of 85 per cent gigabit-capable broadband coverage by 2025 and for the majority of the population to be in reach of a 5G network by 2027. 今回の措置は、政府が主導する10億ポンド規模の「Shared Rural Network」にとって不可欠なものです。このネットワークは、英国の国土の95%に高速で信頼性の高い4Gサービスを提供するほか、2025年までに85%のギガビット対応ブロードバンドサービスを提供し、2027年までに人口の大部分が5Gネットワークに接続できるようにするという政府の目標を達成するためにも必要です。
ENDS ENDS
Notes to Editors: 編集者への注釈
The government has also today published its response to a Call for Evidence on the Access to Infrastructure Regulations which includes measures to make existing regulations easier to use and amend in future. また、政府は本日、インフラアクセス規制に関する意見募集への回答を発表しました。この回答には、既存の規制をより使いやすくし、将来的に修正しやすくするための方策が含まれています。
The security requirements that relate to the powers set out in Part 1 of the Bill are to be introduced in regulations and are based on the 2018 Code of Practice for Consumer Internet of Things Security and the European Standard on Internet of Things Security, ETSI EN 303 645, which include thirteen outcome-focused guidelines that are widely considered good practice in IoT security. 法案の第1部で定められた権限に関連するセキュリティ要件は、規制で導入される予定であり、IoTセキュリティのグッドプラクティスとして広く考えられている13のアウトカムに焦点を当てたガイドラインを含む「2018 Code of Practice for Consumer Internet of Things Security」と「European Standard on Internet of Things Security, ETSI EN 303 645」に基づいています。

 

・2021.11.24 Collection The Product Security and Telecommunications Infrastructure (PSTI) Bill - factsheets

・2021.11.24 Guidance The Product Security and Telecommunications Infrastructure (PSTI) Bill – product security factsheet

・2021.11.24 Guidance The Product Security and Telecommunications Infrastructure (PSTI) Bill - telecoms infrastructure factsheet

 

| | Comments (0)

カナダ プライバシー保護委員会 「インターネットつながったおもちゃ」による遊びをより安全に

こんにちは、丸山です。

カナダのプライバシー保護委員会がクリスマスのシーズンにあわせて、「インターネットつながったおもちゃ」による遊びをより安全にするためのヒントを公開していますね。。。

 

1. あなた自身でプライバシーについての設定がどのようになっているのか調べる

2. おもちゃのセキュリティを保護する設定にする

3. パスワード等を共有しない

4. おもちゃを使わないときはWiFiやBlue Toothを切る

5. プライバシー保護の重要性について子供と話す

という感じですかね。。。まぁ、インターネットにつながったおもちゃは、IoTですからね。。。

 

Office of the Privacy Commissoner of Canada

・2021.12.02 Making playtime safer in the Internet of Toys

 

Making playtime safer in the Internet of Toys 「インターネットつながったおもちゃ」による遊びをより安全に
Santa’s elves are pretty tech-savvy these days. Many of the toys on children’s wish lists this year, from dolls and trucks to robots and building blocks require a connection to the internet to operate certain features. Connected toys are marketed as offering an interactive world of opportunity for growth, education, and, yes, play. 最近のサンタの妖精はかなりハイテクに精通しています。人形やトラック、ロボットや積み木など、今年の子どもたちの欲しいものリストに載っているおもちゃの多くは、特定の機能を動かすためにインターネットへの接続を必要としています。インターネットにつながったおもちゃは、成長、教育、そしてもちろん遊びの機会を提供するインタラクティブな世界を提供するものとして販売されています。
This means toy safety is now about more than whether they break too easily or are age-appropriate. Connected toys raise new risks including the possibility that hackers could collect sensitive information your child has shared with the toy – such as their name, their school or location. Unsecured cameras or microphones could allow bad actors to watch or listen to your child – or to gather information about your family’s location and movements. つまり、おもちゃの安全性は、簡単に壊れるかどうか、年齢に合っているかどうかだけではないということです。インターネットにつながったおもちゃには新たなリスクがあります。たとえば、子どもがおもちゃと共有した名前、学校、所在地などの機密情報がハッカーに収集される可能性があります。保護されていないカメラやマイクによって、悪意のある人が子どもを見たり聞いたり、家族の居場所や行動に関する情報を収集する可能性もあります。
The connected toy market had sales of $7.6 billion US in 2020. It is expected to grow over the next five years, according to a report from Mordor Intelligence. These tech toys are part of the Internet of Things – which describes the physical devices that collect and share data to the internet, from gadgets like fitness trackers to the increasing number of security cameras and home digital assistants. インターネットにつながったおもちゃ市場は、2020年に76億米ドルの売上を記録しました。Mordor Intelligence社のレポートによると、今後5年間で成長が見込まれています。これらのハイテク玩具は、Internet of Things(IoT)の一部です。IoTとは、データを収集してインターネットに共有する物理的なデバイスのことで、フィットネストラッカーのようなガジェットから、増加しているセキュリティカメラや家庭用デジタルアシスタントまでを指します。
As with the Internet of Things, there are relatively simple steps you can take to safeguard your child’s and your family’s privacy on the Internet of Toys. IoTと同様に、「インターネットにつながったおもちゃ」における子供や家族のプライバシーを守るために、比較的簡単な方法があります。
Here are some tips: 以下にそのヒントを示します。
1. Do your research – Read the manufacturer’s privacy policy to find out what information will be collected and how it will be used, as well as who will see it. Are there ways to limit the information that is collected – and will you be able to delete any of that information? Be wary of companies offering products and services with incomplete information, or none at all. If you aren’t comfortable with the information you find, contact the company for further information. If you are still not satisfied, don’t purchase or use the product or service. Also, look for reviews of the product – what are people saying about it? 1. あなた自身で調べる - メーカーのプライバシーポリシーを読み、どのような情報が収集され、どのように使用されるのか、また誰がそれを見るのかを確認する。収集される情報を制限する方法はあるのか、また、その情報を削除することはできるのか。情報が不完全なまま、あるいはまったくない状態で製品やサービスを提供する企業には注意が必要です。見つけた情報に納得がいかない場合は、その会社に連絡して詳細を確認してください。それでも満足できない場合は、その製品やサービスを購入したり使用したりしないようにしましょう。また、その製品についてのレビューを探してみてください - 人々はそれについてどのように言っているのでしょうか?
2. Secure the device – Check online for directions on how to create a guest network on your router for Internet of Things devices to reduce the impact if you are hacked. If the guest network has additional options for “isolate,” ensure that this option is checked (and conversely, if there is an option for sharing, such as “Permit Access,” ensure that it is unchecked). Change the default password on the device if there is one – these are often widely known and easily accessed by hackers. Add a password if the device doesn’t have one, and change the device’s default user name and PIN whenever possible. If you need to create an online account to use the toy, use a unique password, and only share the information that’s required. (See our Tips for creating and managing passwords.) Finally, ensure your router’s firmware is up-to-date. This can be accomplished in the configuration page of the router, and/or by visiting the manufacturer’s website. 2. デバイスのセキュリティを確保する - ハッキングされた場合の影響を軽減するために、IoTデバイス用のルーターにゲストネットワークを作成する方法をオンラインで確認してください。ゲストネットワークに「隔離」の追加オプションがある場合は、このオプションがチェックされていることを確認してください(逆に「アクセスを許可」などの共有のオプションがある場合は、チェックが外れていることを確認してください)。デバイスにデフォルトのパスワードがある場合は、それを変更しましょう。これらのパスワードは広く知られていることが多く、ハッカーが容易にアクセスできます。パスワードが設定されていない場合は、パスワードを追加し、デバイスのデフォルトのユーザー名とPINを可能な限り変更します。おもちゃを使うためにオンラインアカウントを作成する必要がある場合は、固有のパスワードを使用し、必要な情報のみを共有してください。(最後に、ルーターのファームウェアが最新のものであることを確認してください。)これは、ルーターの設定ページやメーカーのウェブサイトで確認することができます。
3. Don’t share identifying information: Use a pseudonym for your child and don’t provide his or her real birth date. Disable location trackers if possible. 3. 識別情報を共有しない。子供の名前は偽名にして、実際の生年月日は教えないようにしましょう。可能であれば、位置情報トラッカーを無効にしましょう。
4. Turn off WiFi and Bluetooth when you’re not using the toys. Turn off cameras and microphones when the toys are not in use. 4. おもちゃを使用しないときは、WiFiとBluetoothをオフにします。おもちゃを使用していないときは、カメラやマイクをオフにします。
5. Talk to your kids about privacy and the importance of not sharing too much information. 5. プライバシーと、情報を共有しすぎないことの重要性について、子供と話をしてください。
For more detailed information, read our tips for using smart devices, and check out our tips for talking with your child about online privacy. より詳しい情報は、スマートデバイスを使用する際のヒントをご覧ください。また、オンラインプライバシーについてお子さまと話す際のヒントもご覧ください。

 

1_20210814024401

| | Comments (0)

2021.12.08

ロシア ドミトリー・チェルニーシェンコ副首相による第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演

こんにちは、丸山満彦です。

ロシアのドミトリー・チェルニーシェンコ副首相による第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演(オンライン)が公表されていますね。。。

 

Правительство России(ロシア政府)

・2021.12.07 Дмитрий Чернышенко о гармонизации международного законодательства и сотрудничестве в ИТ-сфере на 16-м Форуме ООН по управлению интернетом

Дмитрий Чернышенко о гармонизации международного законодательства и сотрудничестве в ИТ-сфере на 16-м Форуме ООН по управлению интернетом ドミトリー・チェルニーシェンコ:第16回国連インターネット・ガバナンス・フォーラムでの国際的な法律の調和とIT分野での協力についての講演
Заместитель Председателя Правительства России Дмитрий Чернышенко в режиме видеоконференции выступил на пленарной сессии высокого уровня «Инвестиции в цифровой рост и возможности – транснациональная и трансконтинентальная синергия» 16-го Форума ООН по вопросам управления интернетом (IGF). Он проходит с 6 по 10 декабря в Польше. ロシアのドミトリー・チェルニーシェンコ副首相は、第16回国連インターネット・ガバナンス・フォーラム(IGF)のハイレベル・プレナリーセッション「Investing in Digital Growth and Opportunities - Transnational and Transcontinental Synergies(デジタルによる成長と機会への投資-国境を越えた大陸間の相乗効果)」にビデオ会議で出席しました。12月6日から10日までポーランドで開催されます。
Главная тема и девиз мероприятия – Internet United – открытый и свободный интернет, объединяющий всех пользователей в единое сообщество. このイベントのメインテーマとモットーは、「Internet United - すべてのユーザーをひとつのコミュニティに統合する、オープンで自由なインターネット」です。
На пленарной сессии также выступили Генеральный секретарь ООН Антониу Гутерреш, генеральный секретарь Международного союза электросвязи Чжао Хоулинь и Премьер-министр Польши Матеуш Моравецкий. 本会議では、アントニオ・グテーレス国連事務総長、趙后林国際電気通信連合事務局長、マテウス・モラヴィエツキ・ポーランド首相も挨拶しました。
«В России отрасль цифровых технологий активно развивается. Президентом Владимиром Путиным утверждена национальная цель – цифровая трансформация. У нас одни из самых сильных образовательных и научно-технических школ. ИТ-отрасль представлена десятками тысяч компаний и сотнями тысяч специалистов. Экспорт программного обеспечения из России только растёт, по сравнению с прошлым годом он увеличился почти на 20%. Также в стране построена мощная система стимулирования ИТ-сектора. Реализуются пакеты поэтапно принятых мер, направленные на развитие отрасли. Например, ежегодно в виде грантов на поддержку ИТ-проектов и компаний, внедряющих цифровые решения, выделяется около 4 млрд рублей», – рассказал Дмитрий Чернышенко. Он отметил, что пандемия стала двигателем цифровой трансформации во всём мире, изменила отношение к технологиям и повлияла на развитие цифровой экономики. Люди стали чаще использовать цифровые сервисы и прибегать к онлайн-услугам. Он также обратил внимание, что дальнейший рост и развитие ИТ-решений и цифровой экономики невозможны без сотрудничества в глобальном масштабе, без синергии решений и, главное, развития международной правовой базы. 「ロシアでは、デジタル技術産業が活発に発展しています。ウラジーミル・プーチン大統領は、デジタルトランスフォーメーションという国家目標を承認しました。最強の教育・科学・技術学校があります。IT業界には、数万の企業と数十万人のスペシャリストが存在します。ロシアからのソフトウェア輸出は増加の一途をたどっており、昨年と比較して約20%増加しています。また、IT部門には強力なインセンティブシステムが構築されています。産業の発展に向けて、段階的な対策を講じています。例えば、ITプロジェクトやデジタルソリューションを導入する企業を支援するために、年間約40億ルーブルの助成金が割り当てられています」とドミトリー・チェルニーシェンコは語ります。同氏は、パンデミックが世界中のデジタルトランスフォーメーションを推進し、テクノロジーに対する考え方を変え、デジタル経済の発展に影響を与えたと指摘しました。人々は、デジタルサービスを利用し、オンラインサービスに頼ることが多くなった。また、ITソリューションとデジタル経済のさらなる成長と発展は、世界規模での協力、ソリューションの相乗効果、そして何よりも国際的な法的枠組みの構築なくしては不可能であることを指摘しました。
Особое внимание вице-премьер уделил внедрению в экономику технологий искусственного интеллекта. По его мнению, нормативные барьеры, препятствующие проникновению ИИ, должны быть устранены. В России уже ведётся активная работа в данном направлении. 副首相は、人工知能技術の経済への導入に特に注目しました。彼の意見では、AIの普及を妨げている規制の壁を取り除かなければなりません。ロシアはすでにこの方向に積極的に取り組んでいます。
«Вопрос этического регулирования в сфере ИИ актуален во всём мире. Главный приоритет России – человек, а ИИ должен работать на благо общества. В нашей стране разработан и подписан ведущими компаниями, вузами и фондами Кодекс этики искусственного интеллекта. Он утвердил основные принципы внедрения ИИ – прозрачность, правдивость, ответственность, надёжность, инклюзивность, беспристрастность, безопасность и конфиденциальность. Также отмечу важность гармонизации международного законодательства в сфере регулирования глобальной сети Интернет и деятельности технологических компаний. Необходимо выработать единые подходы по вопросам защиты персональных данных в мировом масштабе для соблюдения баланса прав и ответственности всех сторон в цифровой среде. С интересом в этой связи отмечаем недавнюю инициативу Генерального секретаря ООН о разработке Глобального цифрового договора. Россия открыта к диалогу со всеми заинтересованными государствами, компаниями и экспертными сообществами», – сказал Дмитрий Чернышенко. AI の分野における倫理的規制の問題は、世界中で関連しています。ロシアの最優先事項は人間であり、AIは社会のために働くべきものです。わが国では、「人工知能の倫理規定」が策定され、大手企業や大学、財団などが署名しています。AI導入の大原則である「透明性」「真実性」「責任」「信頼性」「包括性」「公平性」「安全性」「機密性」を承認しています。また、グローバルなインターネットとテクノロジー企業の活動を規制する上で、国際的な法律を調和させることの重要性を指摘したいと思います。デジタル環境におけるすべての当事者の権利と責任のバランスをとるために、個人データ保護の問題に対する共通のアプローチをグローバルに展開する必要があります。これに関連して、私たちは、国連事務総長がグローバル・デジタル・コンパクトの策定に向けて最近行ったイニシアチブに興味を持って注目しています。ロシアは、関心を持つすべての国、企業、専門家集団との対話にオープンである」とドミトリー・チェルニーシェンコ氏は述べた。
Вице-премьер также добавил, что юбилейный, 20-й форум ООН по управлению интернетом пройдёт в 2025 году в России. Официальное подтверждение статуса принимающей страны уже получено от представителей ООН. また、副首相は、2025年に20周年記念国連インターネット・ガバナンス・フォーラムがロシアで開催されることを付け加えました。ホスト国としての正式な確認は、すでに国連の代表者から受けています。
«Выбор России в качестве площадки для проведения юбилейного форума – большая честь для нас и свидетельство признания уверенных позиций нашей страны в области развития информационного общества и цифровых технологий. Мы намерены обеспечить широкое участие в работе форума всех заинтересованных сторон. При этом нацелены на то, чтобы результатом форума стали практические решения по обеспечению открытости и безопасности интернета, учитывающие интересы всех участников онлайн-пространства», – подчеркнул Дмитрий Чернышенко. 「記念フォーラムの開催地としてロシアが選ばれたことは、私たちにとって大変光栄なことであり、情報社会とデジタル技術の発展におけるロシアの強い地位が認められた証でもあります。このフォーラムには、すべてのステークホルダーの方々に広く参加していただく予定です。さらに、このフォーラムでは、インターネットの参加者全員の利益を考慮しながら、インターネットの開放性と安全性を確保するための実践的な解決策が得られると確信しています」とチェルニーシェンコ氏は強調しました。
В завершение вице-премьер пожелал всем участникам форума конструктивного диалога и плодотворной работы. 最後に、副首相はフォーラムの参加者全員に建設的な対話と実りある仕事を期待しました。

 

20210704-152813

| | Comments (0)

自動車業界のセキュリティ PwC Japan J-Auto-ISAC サポートセンター長 中島氏に聞く「自動車業界全体のセキュリティ意識向上にむけて」

こんにちは、丸山満彦です。

このブログは、商業的と思われたくないので、営利団体の記事の紹介はあまりしてこなかったのですが、(気づいた範囲で)気になったものは紹介したいなと思いました。企業にこだわりなく。。。

ということで、、、

J-Auto-ISAC サポートセンター長 中島さんとの対談です。。。

● PwC Japan

・2021.12.07 J-Auto-ISAC サポートセンター長 中島氏に聞く「自動車業界全体のセキュリティ意識向上にむけて」

 ・日本版「Auto-ISAC」が不可欠だった理由

 ・車両サイバーセキュリティは自動車業界全体で取り組む課題

 ・MaaS事業者にもサイバーセキュリティ意識は不可欠

 ・「Bean to Bar」に学ぶトレーサビリディの重要性

 

参考になることがあればうれしいです(^^)

 

Fig1_20211208050401

 

ーーーーーー

特別対談シリーズ

・2021.08.02 慶應義塾大学土屋教授と語る「サイバー空間における国家安全保障」

・2021.05.13 経団連 梶浦氏と語る サプライチェーンセキュリティにどう取り組むか―今こそ求められるサイバーインテリジェンス

・2021.02.03 経済産業省 奥家氏が語る 「Society 5.0」時代のセキュリティリスクと対策の今【後編】

・2021.01.27 経済産業省 奥家氏が語る 「Society5.0」時代のセキュリティリスクと対策の今【前編】

・2021.01.19 電事連 大友氏に聞く、新時代の電力業界とサイバーセキュリティ【後編】

・2021.01.12 電事連 大友氏に聞く、新時代の電力業界とサイバーセキュリティ【前編】

 

カメラマンがよく、みなさんとても表情がよいですよね。。。

 

| | Comments (0)

2021.12.07

日本企業のセキュリティの状況の調査 PwC 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換

こんにちは、丸山満彦です。

PwCジャパンが日本企業のセキュリティの状況の調査をしています。。。

 

● PwC Japan

・2021.12.07 2021年 Cyber IQ 調査―機先を制するセキュリティへの転換


日本のセキュリティリーダーを対象に実施した2021年のCyber IQ調査では、セキュリティ戦略・計画、体制、投資、サプライチェーン、脅威インテリジェンス、プライバシーなどの分野に関して、現在と3年後について実態を探りました。


という話です。。。

NTTのCISOの横浜執行役員、MS&ADの松田部長、経済産業省サイバーセキュリティ課の奥田課長等のコメントも興味深いです。。。

 


「機先を制する」ためには、テクニカル、ノンテクニカルの両方の情報をベースにし、いずれ求められることを先読みし「ready」にしておくということが求められるのではないでしょうか。レベルを一段あげるわけですから、当然投資やリソースが必要になります。経営の意思がないとできません。リーダーがどれだけ引っ張っていけるかが鍵を握るでしょう。

横浜 信一 氏NTT執行役員 Chief Information Security Officer セキュリティ・アンド・トラスト室長
...

経営層は攻撃者の狙いを把握し、「自社にとっての脅威は何か」を見極め、予算の配分や対策の最終的な判断を実施しなければなりません。セキュリティ担当者は、経営層が攻撃ターゲットの違いや脅威トレンドの変化を理解し、「どこにどれだけの予算を配分するか、どのような対策を講じるか」を判断できる情報を提供する必要があると考えます。

松澤 寿典 氏MS&ADインシュアランスグループホールディングス データマネジメント部長/三井住友海上 データマネジメント部長
...

技術的な観点からサイバー脅威を解説し、どのような対策を講じるべきか注意喚起を促す情報は多く存在します。しかし、経営者が知りたいのは、サイバー攻撃の手法や技術的な詳細ではありません。経営者にとって重要なのは、サイバー脅威が自社のビジネス継続性や信用、知的財産に対してどの程度のダメージを与え、どう対応するかなのです。

奥田 修司 氏経済産業省 商務情報政策局 サイバーセキュリティ課長

 

参考になるところがあると思います。。。

・[PDF]  

20211207-173738

 

目次はこんな感じ...

はじめに

1. 日本企業のサイバーセキュリティを取り巻く変化の潮流
 デジタル化されたビジネスとITのサプライチェーンのつながり
 コロナをきっかけに加速したゼロトラスト
 「多重恐喝型のランサムウェア」の台頭
 成熟化するサイバー攻撃ビジネス
 レジリエンス志向が進むも道半ば

2. 機先を制するセキュリティへの転換
 機先を制するセキュリティの実現に向けた具体的なアクション
 先進企業インタビュー

3. 2021年 日本企業セキュリティ実態

おわりに

 


| | Comments (0)

2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

こんにちは、丸山満彦です。

バイデン大統領になって米国は仲間づくりに励んでいるように感じますが、どうなんでしょうかね。。。2021.12.09,10開催予定の民主主義サミット[wikipedia]とか...

 

U.S.  Department of State

The Summit for Democracy 

参加国・地域等リスト

Participant List

アジェンダ等

Schedule

 

Summitfordemocracylogo_blue2

 

● White House

ロシアとウクライナの関係がも含めて...

・2021.12.07 Readout of President Biden’s Video Call with President Vladimir Putin of Russia

民主主義サミットについての背景に関する記者との対談(仮対訳

・2021.12.07 Background Press Call by Senior Administration Officials on the Summit for Democracy

ウクライナ問題について、マクロン大統領(フランス)、メルケル首相(ドイツ)、ドラギ首相(イタリア)、ジョンソン首相(英国)とバイデン大統領(米国)との電話会談

・2021.12.07 Readout of President Joe Biden’s Call with European Allies

ウクライナ問題についてロシアとの会談前の説明

・2021.12.06 Background Press Call by Senior Administration Officials on President Biden’s Upcoming Call with President Putin of the Russian Federation

 

サキ報道官の発言

・2021.12.03 Press Briefing by Press Secretary Jen Psaki, December 3, 2021

 

報道等

● NHK

・2021.12.04 中国「質の高い民主主義を実践」主張 米バイデン政権に対抗か


白書では「中国の近代化では、西洋の民主主義モデルをそのまま模倣するのではなく中国式民主主義を創造した」としたうえで、中国は独自に質の高い民主主義を実践してきたと主張しています。
そのうえで「民主主義は多様なものであり、国によって形態が異なるのは必然だ」として「国が民主的かどうかは、その国の国民が判断することで、外部が口を挟むことではない」などと主張しています。

記者会見で、中国政府で対外宣伝を担う国務院新聞弁公室の徐麟主任は「民主主義は少数の国家の専売特許ではない」と強調し「アメリカは民主主義のリーダーだと自慢しているが、実際は民主主義を掲げて、社会制度や発展モデルが異なる国々を抑圧している」と非難しました。


 

・2021.12.03 米バイデン政権「民主主義サミット」を批判する中ロに反論


アメリカのバイデン政権がおよそ110の国や地域を招いて来週、開催する「民主主義サミット」を中国やロシアが批判していることについて、ホワイトハウスの報道官は「世界の民主主義を守るためのものであり、どう批判されようと謝罪するものではない」と反論しました。


アメリカのバイデン大統領は、12月9日から日本などおよそ110の国と地域の首脳などを招いて「民主主義サミット」をオンライン形式で初めて開き、同盟国や友好国との連携を強化することで「専制主義国家」と位置づける中国やロシアなどと対抗するねらいです。

これに対して参加しない中国やロシアはサミットが分断をあおるものだなどとして強く批判しています。


 

・2021.12.02 ロシア アメリカが開催する「民主主義サミット」を痛烈批判


これについてロシア外務省は1日、声明を発表し「主催者らは世界の民主主義と人権を促進するリーダーだと主張しているが、その実績は理想とは程遠い。アメリカやその同盟国は言論の自由や選挙制度などで慢性的な問題を抱えており、民主主義の道しるべにはなれないし、なるべきではない」などと痛烈に批判しました。

さらにアメリカのアフガニスタン政策などを例に挙げて「民主化を押しつける軍事的な冒険が血生臭い戦争を引き起こし、国家的な悲劇をもたらした」と皮肉を込め、サミットの動きを注視していくとしています。

バイデン政権は民主主義の価値観を共有する同盟国や友好国などとの連携を強化し、中国やロシアに対抗するねらいとみられていて、ロシアはこうした動きを強くけん制した形です。


 

中国の民主主義

● 中華人民共和国

・2021.12.04 中国的民主

 

 

ロシアから見た、民主主義サミット

ロシア外務省

● Министерство иностранных дел Российской Федерации

・2021.12.01 Заявление МИД России в связи с планами США провести «саммит за демократию»

 


 

追記:

● White House

民主主義サミットのオープニングセッション

・2021.12.09 Remarks By President Biden At The Summit For Democracy Opening Session

前日...

・2021.12.08 FACT SHEET: The Biden-Harris Administration is Taking Action to Restore and Strengthen American Democracy

 

EU Parliament - Think Tank

・2021.12.20 At a Glance - Summit for Democracy

・[DOCX] 仮対訳

 

● White House

・2021.12.23 Summit for Democracy Summary of Proceedings

 

Continue reading "2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ"

| | Comments (0)

NIST White Paper (draft) Combination Frequency Differencing

こんにちは、丸山満彦です。

NISTがCombination Frequency Differencing(組み合わせ頻度差分?)についてのWhite Paperのドラフトが公開していますね。。。

PUF。。。

● NIST - ITL

・2021.12.06 Combination Frequency Differencing: Draft NIST Cybersecurity White Paper

・2021.12.06 White Paper (Draft) Combination Frequency Differencing

White Paper (Draft) Combination Frequency Differencing ホワイトペーパー(案)組合せ頻度差分
Announcement 発表内容
Combinatorial coverage measures have been defined and applied to a wide range of problems, including fault location and evaluating the adequacy of test inputs and input space models. More recently, methods applying coverage measures have been used in applications of artificial intelligence and machine learning for explainability and analyzing aspects of transfer learning. These methods have been developed using measures that depend on the inclusion or absence of t-tuples of values in inputs and test cases. 組合せカバレッジ法は、故障箇所の特定、テスト入力や入力空間モデルの妥当性の評価など、様々な問題に定義・適用されてきた。最近では、人工知能や機械学習の応用として、説明可能性や伝達学習の側面を分析するために、カバレッジ尺度を適用する手法が用いられている。これらの手法は、入力やテストケースに値のtタプルが含まれているかいないかに依存する尺度を用いて開発されてきた。
This paper introduces a new method related to combinatorial testing and measurement, combination frequency differencing (CFD), and illustrates the use of CFD in machine learning applications. This method is particularly well-suited to artificial intelligence and machine learning applications, where training data sets used in learning systems are dependent on the prevalence of various attributes of elements of class and non-class sets. This paper illustrates the use of this method by applying it to analyzing physical unclonable functions (PUFs) for bit combinations that have a disproportionately strong influence on PUF response bit values. Additionally, it is shown that combination frequency differences provide a simple but effective algorithm for classification problems. 本論文では、組み合わせテストと測定に関連する新しい手法である組み合わせ周波数差分法(CFD)を紹介し、機械学習のアプリケーションにおけるCFDの使用方法を説明します。この手法は,学習システムで使用される学習データセットが,クラスセットと非クラスセットの要素の様々な属性の有 効性に依存している人工知能や機械学習のアプリケーションに特に適しています。本論文では、この手法を物理的アンクローナブル関数(PUF)の解析に適用し、PUFの応答ビット値に不釣り合いなほど強い影響を与えるビットの組み合わせを解析することで、この手法の使用方法を示している。さらに、組み合わせ頻度の違いが、分類問題のためのシンプルで効果的なアルゴリズムを提供することを示しています。
Abstract 概要
This paper introduces a new method related to combinatorial testing and measurement, combination frequency differencing (CFD), and illustrates the use of CFD in machine learning applications.  Combinatorial coverage measures have been defined and applied to a wide range of problems, including fault location and for evaluating the adequacy of test inputs and input space models. More recently, methods applying coverage measures have been used in applications of artificial intelligence and machine learning, for explainability and for analyzing aspects of transfer learning. These methods have been developed using measures that depend on the inclusion or absence of t-tuples of values in inputs, training data, and test cases. In this paper, we extend these combinatorial coverage measures to include the frequency of occurrence of combinations.  Combination frequency differencing is particularly suited to AI/ML applications, where training data sets used in learning systems are dependent on the prevalence of various attributes of elements of class and non-class sets. We illustrate the use of this method by applying it to analyzing physically unclonable functions (PUFs) for bit combinations that disproportionately influences PUF response values, and in turn provides indication of the PUF potentially being more vulnerable to model-building attacks. Additionally, it is shown that combination frequency differences provide a simple but effective algorithm for classification problems. 本稿では,組合せ試験・測定に関連した新しい手法である組合せ周波数差法(CFD)を紹介し,機械学習アプリケーションにおけるCFDの利用方法を説明する。 組合せカバレッジ法は,故障箇所の特定,テスト入力や入力空間モデルの妥当性の評価など,様々な問題に適用されてきた.最近では、人工知能や機械学習のアプリケーションにおいて、説明可能性や伝達学習の分析にカバレッジ測定法を適用する手法が用いられています。これらの手法は、入力、学習データ、テストケースに値のtタプルが含まれているか否かに依存する尺度を用いて開発されている。本論文では,これらの組み合わせカバレッジ尺度を拡張し,組み合わせの出現頻度を含める. 組み合わせ頻度差分法は、学習システムで使用される訓練データセットが、クラスセットと非クラスセットの要素の様々な属性の有病率に依存しているAI/MLアプリケーションに特に適している。この手法を物理的に複製できない機能(PUF)の解析に適用したところ、PUFの応答値に不均衡な影響を与えるビットの組み合わせが見つかり、PUFがモデル構築攻撃に対してより脆弱である可能性を示すことができました。さらに、組み合わせ頻度の違いが、分類問題に対してシンプルかつ効果的なアルゴリズムを提供することも示されています。

 

・[PDF]

20211207-152243

 

 

| | Comments (0)

米国 国防省 23カ国が参加したサイバー防御演習 CYBER FLAG 21-1

こんにちは、丸山満彦です。

こんにちは、丸山満彦です、米国をはじめとする23カ国から200名がオンラインと現地のハイブリッドで参加して2021.11.15−20でサイバー防御演習をしたことが、国防省のウェブページにのっていますね。。。

 

U.S. Cyber Command

・2021.12.03 Dept. of Defense’s largest multinational cyber exercise yet focuses on collective defense

Dept. of Defense’s largest multinational cyber exercise yet focuses on collective defense 米国防総省が実施した最大規模の多国籍サイバー演習では、集団的自衛権に焦点が当てられました。
U.S. Cyber Command’s CYBER FLAG 21-1 exercise, its largest multinational cyber exercise to date, bolstered the defensive skills of more than 200 cyber operators from 23 countries at Joint Base Suffolk, Virginia, from Nov. 15-20. 米国サイバー司令部の「CYBER FLAG 21-1」演習は、これまでで最大規模の多国間サイバー演習であり、11月15日から20日まで、バージニア州サフォーク統合基地において、23カ国から集まった200人以上のサイバーオペレーターの防御スキルを強化しました。
CYBER FLAG 21-1 directly supported national objectives of strengthening the international community of defensive cyber operation, and sought to improve the capabilities of the U.S. and its allies to identify, synchronize, and respond to malicious cyberspace activities. 「CYBER FLAG 21-1」は、防衛的なサイバー作戦の国際的なコミュニティを強化するという国家目標を直接的にサポートし、米国とその同盟国が悪意のあるサイバー空間の活動を特定し、同期し、対応する能力を向上させることを目指しました。
Defensive cyber teams from Canada, Denmark, Estonia, France, Germany, Lithuania, Norway, the Netherlands, Poland, Sweden, the United Kingdom and others participated in CYBER FLAG 21-1. Fourteen countries participated in person and multiple other nations used USCYBERCOM’s real-time virtual training environment. CYBER FLAG 21-1には、カナダ、デンマーク、エストニア、フランス、ドイツ、リトアニア、ノルウェー、オランダ、ポーランド、スウェーデン、英国などから防御型サイバーチームが参加しました。また、14カ国が直接参加したほか、複数の国がUSCYBERCOMのリアルタイム仮想訓練環境を利用しました。
“Threats in the cyber domain have no geographic boundaries, so the cyber threats that can confront any given country can easily spill into another country,” said Elizabeth Phu, Principal Director Cyber Policy for the Office of the Secretary of Defense. 国防長官室サイバー政策主幹のエリザベス・フー氏は、「サイバー領域の脅威には地理的な境界がないため、特定の国が直面するサイバー脅威は容易に他国に波及する可能性がある」と述べています。
She added that it is important for the U.S. to continuously train with our partners and allies. Understanding how they respond to threats helps the U.S. better leverage combined and joint responses.    また、米国にとっては、パートナーや同盟国と継続的に訓練を行うことが重要だと言います。パートナーや同盟国がどのように脅威に対応しているかを理解することで、米国は複合的・共同的な対応をより効果的に行うことができます。   
“We are not going to be able to confront any cyber threat alone,” said Phu. 「どんなサイバー脅威にも単独で立ち向かうことはできません」とフーは言います。
More resilient, more defended together より強靭に、より共に防御するために
CYBER FLAG 21-1 is one of U.S. responses to the exploitation of SolarWinds to strengthen collective defense in cyberspace and affirm the importance of an open, reliable, and secure internet. CYBER FLAG21-1は、SolarWindsの悪用に対する米国の対応の一つであり、サイバースペースにおける集団防衛を強化し、オープンで信頼できる安全なインターネットの重要性を確認するものです。
“This was really part of the response actions to what we saw in Russian activities with malicious cyber actor’s exploitation of SolarWinds,” said U.S. Navy Rear Admiral Heidi Berg, USCYBERCOM Director of Strategies, Plans, and Polices. “This exercise bringing together our European allies is a key element of how we will look to respond in the future. “ USCYBERCOMの戦略・計画・政策担当ディレクターのハイディ・バーグ米海軍少将は、「今回の演習は、ロシアの悪意あるサイバーアクターによるSolarWindsの悪用に対応するための行動の一環です。欧州の同盟国を集めた今回の演習は、今後の対応を考える上で重要な要素となります」と述べています。
Using a flexible virtual cyber training environment, the National Cyber Range, the exercise tested participants’ skills and ability to detect enemy presence, expel it, and identify solutions to harden their simulated networks. 今回の演習では、柔軟性の高い仮想サイバー訓練環境「National Cyber Range」を用いて、参加者のスキルや、敵の存在を検知して排除する能力、シミュレーションしたネットワークを強固にするための解決策を見出す能力が試されました。
“This is an important exercise because we bring our cyber operators here to have a scenario where they can train their defensive measures,” said German Vice Adm. Dr. Thomas Daum, Chief of the German Cyber Information Domain Service. ドイツのサイバー情報領域サービスの責任者であるトーマス・ダウム副提督は、「この演習は、サイバーオペレーターが防御策を訓練するためのシナリオを用意するという意味で、重要な演習です」と述べました。
His team of 10 German cyber operators physically participated at Suffolk while using the National Cyber Range, at the same time other countries trained on it from their home location. ドイツのサイバーオペレーター10名からなる彼のチームは、サフォークのナショナル・サイバー・レンジを使用しながら物理的に参加し、同時に他の国は自国からそのレンジで訓練を行いました。
“One of the most important things that will come from this exercise is bringing together and strengthening our unity of response,” said Berg. “That’s a powerful message to send to malicious cyber actors.” バーグ少将は「この演習から得られる最も重要なことの一つは、我々の対応の統一性を高め、強化することです。これは、悪意のあるサイバーアクターに送る強力なメッセージです」と述べました。
During the final day of the exercise, participants and observers participated in a strategic cyberspace wargame, which focused on synchronization of policy, plans, and force development across the spectrum of cyber conflict.  演習の最終日には、参加者とオブザーバーが戦略的サイバースペースウォーゲームに参加し、サイバー紛争の範囲内での政策、計画、戦力開発の同期化に焦点を当てました。 
The wargame highlighted the value of international collaboration during events like Cyber Flag to increase coordination between nations and facilitate a common defense against malicious cyber actors. このウォーゲームでは、サイバーフラッグのようなイベントにおいて、国家間の連携を強化し、悪意あるサイバーアクターに対する共通の防御を促進するための国際協力の価値が浮き彫りになりました。
Building partnerships in cyberspace サイバースペースにおけるパートナーシップの構築
Multinational training exercises like the Cyber Flag series enable cyber defense tacticians to share how they respond to a cyber incident and exchange tactics and techniques. Cyber Flag シリーズのような多国間訓練では、サイバーインシデントへの対応方法を共有し、戦術や技術を交換することができます。
“This kind of multinational training is important, especially in the cyber defense area, because we all have different tools, we all have different procedures, we all have different understanding about the operational vision of an attacker,” said Daum. “So it’s important to share these views, because everybody will leave this exercise with more experience than they came in, and by securing the national systems, they will have benefited the future.” ダウム副提督は、「特にサイバー防衛の分野では、このような多国間の訓練が重要です。というのも、私たちは皆、それぞれ異なるツールや手順を持っており、攻撃者の作戦構想についてもそれぞれ異なる理解を持っているからです。だからこそ、これらの意見を共有することが重要なのです。なぜならば、誰もがこの訓練を終えるときには、来たときよりも多くの経験を積んでいるはずですし、国のシステムを保護することで、将来に利益をもたらすことができるからです」と述べました。
The Department of Defense is taking steps to incorporate additional allies into USCYBERCOM’s training exercises. CYBER FLAG 21-1 is an example of this expansion as cyber planners and operators from many nations come together and unite in a shared focus: defending their nation’s networks against common threats. 国防総省は、USCYBERCOMの訓練に新たな同盟国を組み込むための措置を講じています。CYBER FLAG 21-1はその一例で、多くの国のサイバープランナーやオペレーターが一堂に会し、共通の脅威から自国のネットワークを守るという共通の目的のために団結しています。
“I think what this exercise says is, there are partner nations that will come together to try and prevent something like SolarWinds in the future,” U.S. Coast Guard Rear Adm. Christopher Bartz, USCYBERCOM’s Director of Exercises and Training. “It’s a real statement to your adversaries about the unity of effort with the U.S. and its allies.” USCYBERCOMの演習・訓練担当ディレクターであるクリストファー・バーツ米沿岸警備隊少将は、「この演習は、SolarWindsのような事態を未然に防ぐために協力してくれるパートナー国があることを示していると思います。これは敵対者に対して、米国とその同盟国の努力の結束を示すものです」と述べました。
This exercise series also provides a reoccurring opportunity for USCYBERCOM to train with domestic and international partners against foreign hostile cyber threats, and deepen key partnerships with U.S. allies and partners. また、この演習シリーズは、USCYBERCOMが国内外のパートナーと協力して外国の敵対的なサイバー脅威に対抗するための訓練を行い、米国の同盟国やパートナーとの重要なパートナーシップを深めるための機会を繰り返し提供しています。
“These exercises are essential to build out common approach for how we address adversaries in a dynamic, rapidly changing environment,” Berg said. “This is our opportunity to sit together and to walk through how we do response options.” バーグ少将は、「これらの演習は、ダイナミックで急速に変化する環境下で敵対者に対処する方法について、共通のアプローチを構築するために不可欠です。これは、一緒に座って、どのように対応策を講じるかを検討する機会です」と述べました。
Ultimately, CYBER FLAG 21-1 is focused on bolstering relationships in cyberspace to improve collective security, defense, and resiliency in a global digital world. 最終的には、CYBER FLAG21-1は、グローバルなデジタル世界での集団安全保障、防衛、回復力を向上させるために、サイバースペースでの関係を強化することに焦点を当てています。
Berg also notes that these sorts of exercises build trust together with key partners, which “proves to be utterly essential in responding and defending against malicious cyber actors operating outside of international norms in cyberspace.” バーグ氏は、この種の演習では主要なパートナーとの信頼関係を築くことができ、それが「サイバースペースで国際的な規範を逸脱して活動する悪意のあるサイバーアクターへの対応と防御に全く不可欠であることを証明する」とも述べました。
Tailored Training for Integrated Deterrence 統合的抑止力のためのテーラーメイドの訓練
CYBER FLAG 21-1 is one of three distinct cyber field training exercises that USCYBERCOM conducts annually, designed to provide realistic virtual defensive cyberspace training. The multinational exercise enabled collaboration through the National Cyber Range, using tailored and virtualized network terrain modeled to suit each of the participating military elements. CYBER FLAG 21-1」は、USCYBERCOMが毎年実施している3種類のサイバー実戦訓練のうちの1つで、仮想的にサイバー空間を防御するための現実的な訓練を目的としています。今回の多国籍演習では、ナショナル・サイバー・レンジ(NCR)を利用して、各参加軍に合わせてモデル化された仮想のネットワーク・テレインを用いてコラボレーションを行いました。
As a training environment, NCR enables DOD to conduct virtual, combined, and joint cyberspace training, exercises, mission rehearsals, experiments and certifications. The environment uniquely enables a high degree of collaboration, development, and assessment of U.S. and allied cyber tactics, techniques, and procedures for defensive cyber missions that transcend boundaries and networks. NCRは訓練環境として、DODが仮想、複合、共同のサイバースペース訓練、演習、ミッションリハーサル、実験、認証を行うことを可能にします。この環境は、国境やネットワークを越えた防御的なサイバーミッションのための米国および同盟国のサイバー戦術、技術、手順の高度なコラボレーション、開発、評価を可能にします。
“The great thing about the National Cyber Range is it’s accessible if there’s a node that you can get on. We have nodes all over the world, so you can actually do an exercise and distribute it over multiple time zones,” said Bartz, who leads the planning and execution of such training exercises for USCYBERCOM. “NCR can do a lot of things that normal cyber ranges can’t do. It can immediately deploy a network, and then you can reuse the content for multiple instances.” USCYBERCOMでこのような訓練の計画と実行を担当しているバーツ少将は、「ナショナル・サイバー・レンジの優れた点は、接続できるノードがあればアクセスできることです。NCRは世界中にノードがあるので、実際に訓練を行い、複数のタイムゾーンに配信することができます。NCRは、通常のサイバーレンジではできない多くのことができます。NCRは、通常のサイバーレンジではできないことをたくさん行うことができます」と述べました。
CYBER FLAG 21-1 was the first time some nations used NCR to train in an environment that provided the operators hands-on experience in dealing with real-world problems—with the space and time to assess their success after the training, without the pressure of a large incident response. CYBER FLAG 21-1は、いくつかの国がNCRを使用して初めての訓練を行いました。この環境では、オペレーターは実際の問題に対処するための実践的な経験を積むことができ、大規模なインシデント対応のプレッシャーを感じることなく、訓練後に成功を評価するためのスペースと時間を確保することができました。
“This is not a static failed system that they need to fix, but a dynamic exercise,” said Daum. “So the opposing force that tries to crash the system gives an opportunity to our defensive operators to prevent an opponent from getting into the system.” ダウム副提督は「これは、故障したシステムを修理しなければならないという静的なものではなく、動的な訓練なのです。そのため、システムを破壊しようとする敵対勢力は、我々の防御オペレーターに、相手がシステムに侵入するのを防ぐ機会を与えてくれます」と述べました。
While CYBER FLAG 21-1 is just one exercise, it is part of a larger DOD effort toward integrated deterrence across all domains, include cyberspace. Increased cyber security awareness and training brings increased resilience against cyber-attacks around the world. CYBER FLAG 21-1は単なる演習のひとつですが、サイバー空間を含むすべての領域にわたる統合的抑止力を目指す国防総省の大きな取り組みの一環です。サイバーセキュリティに対する意識と訓練を高めることで、世界中のサイバー攻撃に対する抵抗力を高めることができます。
“We’re raising all of our countries’ awareness of the cyber threats out there, so we are better prepared,” said Phu. “We are unlikely going to be able to prevent all cyber-attacks, what is important is how we detect the attacks and how we respond to the attacks. Exercises like Cyber Flag give us better tools to do so in the future.” フー氏は、「私たちは、各国のサイバー脅威に対する意識を高め、より良い準備をしています。すべてのサイバー攻撃を防ぐことはできませんが、重要なのは、攻撃をどのように検知し、どのように対応するかです。サイバーフラッグのような演習は、将来的にそうするためのより良いツールを提供してくれます」と述べました。

 

1200pxseal_of_the_united_states_cyber_co

| | Comments (0)

米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

こんにちは、丸山満彦です。

米国のGAOがサイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められているという報告書を公表していますね。。。

CISAの権限が高まっていくと同時に、GAOからの業務改善の指摘がでてくることで、バランスが取れるという側面もあるのでしょうね。。。

権威主義陣営ではなく、民主主義陣営に加わるというのであれば、議会ももちろんそうですが、米国のこういう仕組みは参考にすべきかもしれません。ちなみに、米国のGAOは100周年ですが、GAOより、日本の会計検査院のほうが歴史は長いです。。。

● GAO

・2021.12.02 Cybersecurity:Federal Actions Urgently Needed to Better Protect the Nation's Critical Infrastructure

Cybersecurity:Federal Actions Urgently Needed to Better Protect the Nation's Critical Infrastructure サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている
Fast Fact ポイント
Recent events—including the ransomware attack on a major U.S. fuel pipeline—illustrate the need to strengthen the cybersecurity of the nation's critical infrastructure. 米国の主要な燃料パイプラインに対するランサムウェアの攻撃を含む最近の出来事は、国家の重要インフラのサイバーセキュリティを強化する必要性を明示しています。
We testified on the need for the federal government to develop and execute a comprehensive national cyber strategy, and to strengthen the role that it plays in protecting the cybersecurity of critical infrastructure. Ensuring the cybersecurity of the nation is on our High Risk List, and we have urged federal agencies to act on it. 私たちは、連邦政府が包括的な国家サイバー戦略を策定・実行し、重要インフラのサイバーセキュリティを守るために果たす役割を強化する必要性について証言しました。国家のサイバーセキュリティを確保することは、我々のハイリスクリストに入っており、連邦政府機関に行動を起こすよう促しています。
If the federal government doesn't act with greater urgency, the security of our nation's critical infrastructure will be in jeopardy. 連邦政府がより緊急に行動しなければ、国の重要インフラのセキュリティは危険にさらされます。
High Lights 要約
What GAO Found GAOの調査結果
GAO has previously reported on major cybersecurity challenges facing the nation and the critical federal actions needed to address them (see figure). GAOはこれまでに、国家が直面している主要なサイバーセキュリティの課題と、それらに対処するために必要な連邦政府の重要な行動について報告しています(図参照)。
Four Major Cybersecurity Challenges and 10 Associated Critical Actions 4つの主要なサイバーセキュリティの課題とそれに関連する10の重要な行動
To address critical infrastructure cybersecurity, key actions the federal government needs to take include (1) developing and executing a comprehensive national cyber strategy and (2) strengthening the federal role in protecting the cybersecurity of critical infrastructure. 重要インフラのサイバーセキュリティに対処するために、連邦政府が取るべき重要な行動は、(1)包括的な国家サイバー戦略の策定と実行、(2)重要インフラのサイバーセキュリティを保護する連邦政府の役割の強化、です。
Develop and execute a comprehensive national cyber strategy. In September 2020, GAO reported that the White House's 2018 National Cyber Strategy and related implementation plan addressed some, but not all, of the desirable characteristics of national strategies, such as goals and resources. GAO also reported that it was unclear which official within the executive branch ultimately maintained responsibility for coordinating the execution of the National Cyber Strategy. Accordingly, GAO recommended that the National Security Council update the cybersecurity strategy and for Congress to consider legislation to designate a position in the White House to lead such an effort. 包括的な国家サイバー戦略の策定と実行 2020年9月、GAOは、ホワイトハウスの2018年国家サイバー戦略とそれに関連する実行計画は、目標やリソースなどの国家戦略の望ましい特徴の一部には対応しているが、すべてではないと報告しました。また、GAOは、国家サイバー戦略の実行を調整する責任を最終的に維持する行政府内の担当者が不明であると報告しました。そのため、GAOは、国家安全保障会議がサイバーセキュリティ戦略を更新すること、および議会がホワイトハウス内にそのような取り組みを主導する役職を指定するための法案を検討することを提言しました。
In January 2021, a federal statute established the Office of the National Cyber Director within the Executive Office of the President. In June 2021, the Senate confirmed a Director to lead this new office. In October 2021, the National Cyber Director issued a strategic intent statement, outlining a vision for the Director's planned high-level lines of efforts. The establishment of a National Cyber Director is an important step toward positioning the federal government to better direct activities to address the nation's cyber threats. Nevertheless, GAO's recommendation to develop and execute a comprehensive national cyber strategy is not yet fully implemented. As a result, a pressing need remains to provide a clear roadmap for addressing the cyber challenges facing the nation, including its critical infrastructure. 2021年1月、連邦法により、大統領執行部内に国家サイバー長官室が設置されました。2021年6月、上院は、この新しいオフィスを率いる長官を承認しました。2021年10月、国家サイバー長官は戦略的意図声明を発表し、長官が計画しているハイレベルな取り組みのビジョンを明らかにしました。国家サイバー長官の設置は、連邦政府が国家のサイバー脅威に対処するための活動をより適切に指揮するための重要なステップです。とはいえ、包括的な国家サイバー戦略を策定・実行するというGAOの提言は、まだ完全には実施されていません。そのため、重要インフラを含む国家が直面しているサイバー課題に対処するための明確なロードマップを提供することが急務となっている。
Strengthen the federal role in protecting the cybersecurity of critical infrastructure. Pursuant to legislation enacted in 2018, the Cybersecurity and Infrastructure Security Agency (CISA) within the Department of Homeland Security (DHS) was charged with responsibility for, among other things, enhancing the security of the nation's critical infrastructure in the face of both physical and cyber threats. In March 2021, GAO reported that DHS needed to complete key activities related to the transformation of CISA, including finalizing the agency's mission-essential functions and completing workforce planning activities. GAO also reported that DHS needed to address challenges identified by selected critical infrastructure stakeholders, including having consistent stakeholder involvement in the development of related guidance (see figure). Accordingly, GAO made 11 recommendations to DHS. As of November 2021, DHS had not yet implemented them, though it stated its intent to do so. 重要インフラのサイバーセキュリティを守るための連邦政府の役割を強化する。 2018年に制定された法律に従い、国土安全保障省(DHS)内のサイバーセキュリティ・インフラセキュリティ庁(CISA)は、物理的な脅威とサイバー的な脅威の両方に直面している国の重要インフラのセキュリティを強化することなどの責任を負っていました。2021年3月、GAOは、DHSがCISAの変革に関連する主要な活動を完了させる必要があると報告した。これには、CISAのミッション必須機能の最終決定や、労働力計画活動の完了が含まれる。また、GAOは、関連ガイダンスの策定にステークホルダーが一貫して関与することなど、特定の重要インフラのステークホルダーが指摘する課題にDHSが取り組む必要があると報告した(図参照)。したがって、GAOはDHSに対して11の提言を行った。2021年11月現在、DHSはそれらを実施する意向を表明しているものの、まだ実施していない。
Cybersecurity and Infrastructure Security Agency (CISA) Coordination Challenges Reported by Stakeholders Representing the 16 Critical Infrastructure Sectors 重要インフラ16部門を代表するステークホルダーが報告したサイバーセキュリティ・インフラセキュリティ庁(CISA)の調整の課題
Regarding specific critical infrastructure sectors, since 2010 GAO has made about 80 recommendations to enhance the cybersecurity of these sectors and subsectors, including within the aviation and pipeline industries. In October 2020, GAO reported that, although the Federal Aviation Administration had established a process for certification and oversight of U.S. commercial airplanes, it had not prioritized risk-based cybersecurity oversight or included periodic testing as part of its monitoring process, among other things. In July 2021, GAO testified that the Transportation Security Administration had not fully addressed pipeline cybersecurity-related weaknesses that GAO had previously identified, such as aged protocols for responding to pipeline security incidents. Until GAO's recommendations to address issues such as these are fully implemented, federal agencies will not be effectively positioned to ensure critical infrastructure sectors are adequately protected from potentially harmful cybersecurity threats. 特定の重要インフラ部門に関して、GAOは2010年以降、航空業界やパイプライン業界を含むこれらの部門やサブセクターのサイバーセキュリティを強化するために約80件の提言を行っています。2020年10月、GAOは、連邦航空局が米国の民間航空機の認証と監視のためのプロセスを確立していたものの、リスクベースのサイバーセキュリティの監視に優先順位をつけていなかったり、定期的なテストを監視プロセスの一部に含めていなかったりすることなどを報告しました。2021年7月、GAOは、パイプラインのセキュリティ事故に対応するプロトコルの老朽化など、GAOが以前に指摘したパイプラインのサイバーセキュリティ関連の弱点に、運輸保安局が十分に対処していないことを証言しました。これらのような問題に対処するためのGAOの提言が完全に実施されるまでは、連邦政府機関は、重要なインフラ部門が潜在的に有害なサイバーセキュリティの脅威から適切に保護されていることを保証するための効果的な立場にはないでしょう。
Why GAO Did This Study GAOがこの調査を行った理由
Federal agencies and the nation's critical infrastructure—such as transportation systems, energy, communications, and financial services—are dependent on information technology systems to carry out operations. The security of these systems and the data they use is vital to public confidence and national security, prosperity, and well-being. 連邦政府機関や、交通システム、エネルギー、通信、金融サービスなどの国の重要インフラは、業務を遂行するために情報技術システムに依存しています。これらのシステムとそれらが使用するデータのセキュリティは、国民の信頼と国家の安全、繁栄、幸福にとって不可欠です。
GAO first designated information security as a government-wide high-risk area in 1997. This was expanded to include protecting (1) cyber critical infrastructure in 2003 and (2) the privacy of personally identifiable information in 2015. GAOは、1997年に初めて情報セキュリティを政府全体の高リスク分野に指定しました。これを拡大して、2003年には(1)サイバー重要インフラストラクチャの保護、2015年には(2)個人を特定できる情報のプライバシーの保護が含まれるようになりました。
In 2018, GAO reported that the federal government needed to address four major cybersecurity challenges: (1) establishing a comprehensive cybersecurity strategy and performing effective oversight, (2) securing federal systems and information, (3) protecting cyber critical infrastructure, and (4) protecting privacy and sensitive data. Within these four challenges are 10 actions critical to successfully dealing with the serious cybersecurity threats facing the nation (see the figure identifying the four challenges and 10 actions). 2018年、GAOは、連邦政府がサイバーセキュリティの4つの主要な課題に取り組む必要があると報告しました。(1)包括的なサイバーセキュリティ戦略の確立と効果的な監視の実行、(2)連邦政府のシステムと情報の保護、(3)サイバー重要インフラの保護、(4)プライバシーと機密データの保護。これら4つの課題の中には、国家が直面している深刻なサイバーセキュリティの脅威にうまく対処するために重要な10の行動が含まれています(4つの課題と10の行動を示す図を参照)。
GAO was asked to testify on the federal government's efforts to address critical infrastructure cybersecurity. For this testimony, GAO relied on selected products it previously issued. GAOは、重要インフラのサイバーセキュリティに対する連邦政府の取り組みについて証言するよう求められました。この証言のために、GAOは以前に発行した報告書を参考にしました。
Recommendations 提言
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations were not yet implemented. 2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月の時点で、これらの勧告のうち約900件がまだ実施されていません。

 

重要インフラ16部門を代表するステークホルダーが報告したサイバーセキュリティ・インフラセキュリティ庁(CISA)の調整の課題


Fig1_20211207054201

・[PDF] Highlights Page

20211207-54710

 

・[PDF] Full Report

20211207-54903

・[PDF] Accessible PDF

 

| | Comments (0)

米国 国土安全保障省運輸保安庁 鉄道事業関連者を対象としたセキュリティ指令等(24時間以内の報告等)

こんにちは、丸山満彦です。

米国 国土安全保障省運輸保安局 (DHS - TSA) が鉄道事業関連者を対象とした2つのセキュリティ指令とガイダンスを公表していますね。。。

こんな要求がありますね。。。

 

・サイバーセキュリティコーディネーターを任命する。 

24時間以内にCISAにサイバーセキュリティインシデントを報告する。 

・業務中断のリスクを軽減するためのサイバーセキュリティ事故対応計画を策定し、実施する。  

・システムに潜在するギャップや脆弱性を特定するためのサイバーセキュリティ脆弱性評価を実施する。

 

● U.S. Department of Homeland Security

・2021.12.02 DHS Announces New Cybersecurity Requirements for Surface Transportation Owners and Operators

DHS Announces New Cybersecurity Requirements for Surface Transportation Owners and Operators DHS、陸上交通機関の所有者および運営者に対する新たなサイバーセキュリティ要件を発表
WASHINGTON – DHS’s Transportation Security Administration (TSA) today announced two new Security Directives and additional guidance for voluntary measures to strengthen cybersecurity across the transportation sector in response to the ongoing cybersecurity threat to surface transportation systems and associated infrastructure. These actions are among several steps DHS is taking to increase the cybersecurity of U.S. critical infrastructure. ワシントン発 - 米国土安全保障省 (DHS) 運輸保安庁(TSA)は本日、陸上交通システムおよび関連インフラに対するサイバーセキュリティの脅威が続いていることを受け、運輸部門全体のサイバーセキュリティを強化するため、2つの新しいセキュリティ指令と自主的な対策のための追加ガイダンスを発表しました。これらの措置は、米国の重要インフラのサイバーセキュリティを強化するためにDHSが講じているいくつかの措置の一つです。
“These new cybersecurity requirements and recommendations will help keep the traveling public safe and protect our critical infrastructure from evolving threats,” said Secretary of Homeland Security Alejandro N. Mayorkas.  “DHS will continue working with our partners across every level of government and in the private sector to increase the resilience of our critical infrastructure nationwide.” DHSのアレハンドロ・N・マヨルカス長官は、「これらの新しいサイバーセキュリティの要件と推奨事項は、旅行者の安全を守り、進化する脅威から重要なインフラを保護するのに役立ちます。DHSは、政府や民間企業のあらゆるレベルのパートナーと協力して、全国の重要インフラの回復力を高めていきます」と述べています。
TSA is increasing the cybersecurity of the transportation sector through Security Directives, appropriately tailored regulations, and voluntary engagement with key stakeholders.  In developing its approach, including these new Security Directives, TSA sought input from industry stakeholders and federal partners, including the Department’s Cybersecurity and Infrastructure Security Agency (CISA), which provided expert guidance on cybersecurity threats to the transportation network and countermeasures to defend against them. TSAは、セキュリティ指令、適切に調整された規制、主要な利害関係者との自主的な取り組みを通じて、輸送部門のサイバーセキュリティを向上させています。  これらの新しいセキュリティ指令を含むアプローチを開発するにあたり、TSAは業界関係者や連邦政府のパートナーに意見を求めました。その中には、輸送ネットワークに対するサイバーセキュリティの脅威とその対策に関する専門的なガイダンスを提供した、米国連邦政府のサイバーセキュリティ・重要インフラセキュリティ庁(CISA)も含まれています。
The TSA Security Directives announced today target higher-risk freight railroads, passenger rail, and rail transit, based on a determination that these requirements need to be issued immediately to protect transportation security.  These Directives require owners and operators to:  本日発表されたTSAセキュリティ指令は、輸送の安全を守るためにこれらの要件を直ちに発行する必要があるとの判断に基づき、リスクの高い貨物鉄道、旅客鉄道、鉄道輸送を対象としています。  これらの指示書は、所有者と運営者に以下を要求しています。 
・designate a cybersecurity coordinator;  ・サイバーセキュリティコーディネーターを任命する。 
・report cybersecurity incidents to CISA within 24 hours;  ・24時間以内にCISAにサイバーセキュリティインシデントを報告する。 
・develop and implement a cybersecurity incident response plan to reduce the risk of an operational disruption; and,   ・業務中断のリスクを軽減するためのサイバーセキュリティ事故対応計画を策定し、実施する。  
・・complete a cybersecurity vulnerability assessment to identify potential gaps or vulnerabilities in their systems. ・システムに潜在するギャップや脆弱性を特定するためのサイバーセキュリティ脆弱性評価を実施する。
TSA is also releasing guidance recommending that all other lower-risk surface transportation owners and operators voluntarily implement the same measures.  Further, TSA recently updated its aviation security programs to require that airport and airline operators implement the first two provisions above. TSA intends to expand the requirements for the aviation sector and issue guidance to smaller operators. TSA also expects to initiate a rule-making process for certain surface transportation entities to increase their cybersecurity resiliency. また、TSAは、リスクの低い他のすべての陸上交通機関の所有者および運営者が自発的に同じ対策を実施することを推奨するガイダンスを発表しています。  さらに、TSA最近、航空セキュリティプログラムを更新し、空港や航空会社の運営者が上記の最初の2つの条項を実施することを求めています。TSAは、航空部門の要件を拡大し、小規模な事業者に対してガイダンスを発行する予定です。またTSAは、特定の陸上交通機関に対して、サイバーセキュリティの回復力を高めるための規則制定プロセスを開始する予定です。
These efforts are part of a series of new steps to prioritize cybersecurity across DHS. Secretary Mayorkas first outlined his vision for the Department’s cybersecurity priorities in March, which included a series of focused 60-day sprints designed to elevate existing work, remove roadblocks to progress, and launch new initiatives and partnerships to achieve DHS’s cybersecurity mission and implement Biden-Harris Administration priorities.  To learn more about the sprints, please visit www.dhs.gov/cybersecurity.  これらの取り組みは、DHS全体でサイバーセキュリティを優先させるための一連の新しいステップの一環です。マヨルカース長官は、3月にDHSのサイバーセキュリティの優先順位に関するビジョンを初めて発表しました。このビジョンには、既存の作業を向上させ、進捗を妨げる障害を取り除き、DHSのサイバーセキュリティの使命を達成し、バイデン-ハリス政権の優先事項を実施するために、新たな取り組みやパートナーシップを立ち上げることを目的とした、60日間の集中的なスプリントが含まれています。  スプリントの詳細については、www.dhs.gov/cybersecurity をご覧ください。 
To view TSA’s Security Directives and guidance documents, please visit here TSAのセキュリティ指令およびガイダンス文書については、here をご覧ください。

 

セキュリティ指令

Surface Transportation Cybersecurity Toolkit

鉄道サイバーセキュリティの強化

・[PDF] Enhancing Rail Cybersecurity - SD 1580-21-01

20211206-92212

 

公共輸送機関と鉄道の乗客のサイバーせキュリティの強化

・[PDF] Enhancing Public Transportation and Passenger Railroad Cybersecurity - SD 1582-21-01

20211206-92545

 

陸上輸送機関のサイバーせキュリティの強化

・[PDF] Enhancing Surface Transportation Cybersecurity - IC 2021-01

20211206-92745

Continue reading "米国 国土安全保障省運輸保安庁 鉄道事業関連者を対象としたセキュリティ指令等(24時間以内の報告等)"

| | Comments (0)

2021.12.06

知的財産戦略本部 意見募集 「プラットフォームにおけるデータ取扱いルールの実装ガイダンス(案)」

こんにちは、丸山満彦です。

知的財産戦略本部が「プラットフォームにおけるデータ取扱いルールの実装ガイダンス(案)」についての意見募集をしています。

「検討項目が予想以上に多く、そこに時間を要したため。包括的データ戦略や知財推進計画2021において年末までにガイダンスを公表することを明示しており後ろ倒しできない」ため、意見募集は16日までと通常の半分程度の募集期間となっています。。。

 

● e-Gov

・2021.12.02「プラットフォームにおけるデータ取扱いルールの実装ガイダンス(案)」に係る意見募集

・[PDF] プラットフォームにおけるデータ取扱いルールの実装ガイダンス(案)  

20211206-50118

 

 

目次

1 はじめに
 1.1 ガイダンス策定の背景
 1.2 ガイダンスの狙いと位置づけ

2 データ取扱いルールの実装におけるアジャイル・ガバナンスの必要性
 2.1 PF におけるデータ取扱いルールの実装の特徴
 2.2 アジャイル・ガバナンスの必要性

3 リスク分析・ポリシー設定
 3.1 ステップ 1:データ利活用による価値創出プロセスの特定と PF の役割の確認 .1
 3.2 ステップ 2:リスクの特定
 3.3 ステップ 3:リスク対応方針の決定
 3.4 ステップ 4:PF におけるデータ取扱いポリシーの設定とステークホルダーへのアカウンタビリティの確保

4 ルールの設計・ルールの運用・評価(ステップ5:PF の利用規約の設計)
 4.1 ステップ 5-1:PF の利用規約に求められる役割・機能
 4.2 ステップ 5-2:ガバナンス設計の際の検討項目
 4.3 ステップ 5-3:データに対するコントローラビリティの確保
 4.4 ステップ 5-4:公正な取引の実施の担保
 4.5 ステップ 5-5:ガバナンス確保のためのインセンティブ設計

5 ステップ6:継続的な環境分析とルールの更新

6 おわりに

<プラットフォームにおけるデータ取扱いルールの実装に関するサブワーキンググループ委員名簿>
<用語集>
<図表一覧>

 


(2) プラットフォーム構築の必要性

広く多様なデータを活用して新たな価値を創出するためには、「データ連携」とそれを「利活用したサービスを提供」する基盤(プラットフォーム)の構築が鍵であり、プラットフォーム(以下 PF と記載)の構築は包括的データ戦略において重要政策として取り上げられている。より具体的には、重点的に取組むべき分野として、健康・医療・介護分野、教育分野、防災分野、農業分野、インフラ分野、スマートシティ分野を指定し、関係省庁はデジタル庁と協力して令和 7 年(2025 年)までに PF の実装を目指すこととしている。また、モビリティ、港湾、電子インボイス、契約・決済の分野においても、関係省庁はデジタル庁と協力することで PF の在り方を検討することとしている。また、戦略的イノベーション創造プログラム(SIP)事業において分野間データ連携基盤の構築を開始し、その運用を行う組織として一般社団法人データ社会推進協議会(DSA:Data Society Alliance)が令和 2 年(2020 年)12 月に設立され、データ連携を目指す PF として DATA-EX が提供されることとなった。


 

 

この委員会はもともとはここで始まり。。。

知的財産戦略本部プラットフォームにおけるデータ取扱いルールの実装に関する検討会

第1回会合 2021.08.31 議事次第・資料 [PDF] 概要
第2回会合 2021.09.17 議事次第・資料 [PDF] 概要
第3回会合 2021.09.30 議事次第・資料 [PDF] 概要
第4回会合 2021.10.21 議事次第・資料 概要

 

デジタル庁の誕生により、このワーキンググループの

デジタル庁 - 会議 - データ戦略推進ワーキンググループ 

・2021.10.25 データ戦略推進ワーキンググループ(第1回)

・2021.12.02 データ戦略推進ワーキンググループ(第2回)

資料

・[PDF] 議事次第(PDF/56KB)

・[PDF] 資料1:包括的データ戦略の検討の方向性(PDF/3,887KB)

・[PDF] 資料2:プラットフォーム(PF)におけるデータ取扱いルールの実装ガイダンスver1.0(案)のご報告(PDF/1,298KB)

・[PDF] 資料3:準公共・相互連携分野および分野間連携基盤の検討状況(PDF/3,645KB)

参考資料

・[PDF] 参考資料1:データ戦略推進ワーキンググループの開催について(PDF/133KB)

・[PDF] 参考資料2:遠藤構成員からのご意見(PDF/531KB)

・[PDF] 参考資料3:村井構成員からのご意見(PDF/550KB)

 

のサブワーキンググループとなりましたね。。。

 - プラットフォームにおけるデータ取扱いルールの実装に関するサブワーキンググループ

・2021.11.16 プラットフォームにおけるデータ取扱いルールの実装に関するサブワーキンググループ(第1回)(プラットフォームにおけるデータ取扱いルールの実装に関する検討会(第5回))(令和3年11月16日開催)

・[PDF] 資料1 議事次第(PDF/121KB)

・[PDF] 資料2 プラットフォームにおけるデータ取扱いルールの実装に関するサブワーキンググループの開催について(PDF/133KB)

・[PDF] 資料3 委員名簿(PDF/192KB)

・[PDF] 資料4 事務局説明資料(デジタル庁)(PDF/458KB)

 

| | Comments (0)

2021.12.05

欧州理事会 AI法改正案を欧州議会に提出

こんにちは、丸山満彦です。

欧州理事会が、AI法改正案を欧州議会に提出していますね。。。

 

欧州議会

European Parliament - Legislative Observatory

・2021.11.29 2021/0106(COD)   - Artificial Intelligence Act 

・2021.11.29 [PDF] Interinstitutional File: 2021/0106(COD)

 

20211205-92738

 

主な変更点

II. MAIN CHANGES   II. 主な変更点  
1. Subject matter and scope  1. 主題および範囲 
a) Article 1 has been clarified to reflect more accurately the content of the proposed AIA.  a) 提案されている AIA の内容をより正確に反映させるため、第 1 条が明確化された。
b) The scope of the proposal has been clarified in Article 2, with the main change  consisting of the  addition of an explicit reference to the exclusion of national  security from the scope of the proposed regulation in Article 2(3) . This is in  accordance with  Article 4(2) of TEU, which provides that national security  remains the sole  responsibility of each Member State. The related Recital 12 also  contains additional explanations concerning AI systems exclusively developed or  used for military  purposes.  b) 提案の範囲は第 2 条において明確化され、主な変更点は、第 2 条(3)において国家安全保障を 提案された規制の範囲から除外する旨の明確な言及を追加したことである。これは、国家安全保障が各加盟国の唯一の責任であることを規定したTEU第4条第2項に従ったものである。また、関連する説明文12には、軍事目的で排他的に開発または使用されるAIシステムに関する追加説明が含まれている。
c) Similarly, it has been clarified in Article 2(6) and Article 2(7) , as well as in the  related new Recital 12a that the AIA should not apply to AI systems and their  outputs used for the sole purpose of research and development.  c) 同様に、第2条(6)および第2条(7)ならびに関連する新しい説明12aにおいて、AIAは、研究開発のみを目的として使用されるAIシステムおよびその出力には適用されないことが明確にされている。
2. Definitions  2. 定義 
a) A number of definitions have been fine-tuned and new ones have been added.  Notably, the definition of an AI system in Article 3(1) , including the explanations  in the related Recital 6, has been modified to ensure more legal clarity and to  better reflect what should be understood by an AI system for the purposes of the  AIA, with an explicit reference indicating that any such system should be  capable of determining how to achieve a given set of human defined objectives by  learning, reasoning or modelling. This change is also intended to prevent the  inclusion in the scope of the proposed regulation of more traditional software  systems that are normally not considered as artificial intelligence.   a) 多くの定義が微調整され、新たな定義が追加された。 特に、第3条(1)のAIシステムの定義は、関連する説明資料6の説明を含めて、法的な明確性を確保し、AIAの目的上、AIシステムが何を理解すべきかをよりよく反映するために変更されており、AIシステムは、学習、推論、モデル化によって、人間が定義した一連の目的を達成する方法を決定することができるものでなければならないという明確な言及がなされている。この変更は、通常は人工知能とは見なされない、より伝統的なソフトウェアシステムが提案されている規制の範囲に含まれることを防ぐことも意図している。 
b) Some definitions of various regulated actors have been improved (e.g.  provider,  user,  authorised representative) or added (e.g. manufacturer) , in order to better  explain their roles and obligations within the AI value chain. Also, the  definitions  relating to  biometrics have been fine-tuned in line with the changes  introduced in the  corresponding provisions.   b) AIのバリューチェーンにおける役割と義務をより良く説明するために、様々な規制対象者の定義が改善され(例:提供者、ユーザー、公認代理人)、また追加された(例:製造者)。また、バイオメトリクスに関連する定義は、対応する条項で導入された変更に合わせて微調整された。 
c) Three new definitions, of 'critical infrastructure', 'personal data' and 'non-personal  data',  have also been added at the end of Article 3.  c) 第3条の最後に、「重要インフラ」、「個人データ」、「非個人データ」の3つの新しい定義が追加された。
4. Prohibited artificial intelligence practices  4. 人工知能に関する行為の禁止 
a) As regards prohibited AI practices, in Article 5((1) (c) the compromise text  contains the extension of the prohibition of using artificial intelligence for social  scoring also to private actors.   a) 禁止されている人工知能の行為について、調整案では、第5条(1)(c)において、社会的スコアリングのために人工知能を使用することの禁止を、民間業者にも拡大することが盛り込まれている。 
b) Concerning the use of ‘real-time’ remote biometric identification systems in  publicly accessible spaces by law enforcement authorities, it has been clarified  in Article 5(1) (d) that such systems could also be used by other actors,  acting on behalf of law enforcement authorities. Moreover, the list of  objectives  for which law enforcement should be allowed to use ‘real-time’  remote  biometric identification, included also in  Article 5(1) (d) ,   has been slightly  extended. The provisions concerning the related authorisation process  as  described in Article 5(3) have also been modified.  b) 法執行機関が公共のアクセス可能な空間で「リアルタイム」の遠隔生体識別システムを使用することについては、第5条1項(d)において、そのようなシステムは法執行機関のために行動する他のアクターも使用できることが明確にされた。さらに、第5条(1)(d)にも含まれている、法執行機関が「リアルタイム」の遠隔バイオメトリクス識別を使用することを認められるべき目的のリストが若干拡張された。また、第 5 条(3)に記載されている関連する認可プロセスに関する規定も修正された。
c) Furthermore, the provision in Article 5(1) (b) prohibiting the use of AI systems  that  exploit the vulnerabilities of specific group of persons has been modified  and it now  also covers persons who are vulnerable due to their social or economic situation.  c) さらに、第5条(1)(b)の、特定のグループの人の脆弱性を利用するAIシステムの使用を禁止する規定が修正され、社会的または経済的状況により脆弱な人も対象となっている。
5. Classification rules for high-risk AI systems  5. 高リスクのAIシステムの分類ルール 
a) The entire Article 6 has been rewritten to clarify the logic behind the  classification for  high-risk AI systems, and its interconnection with Annexes II and III.   a) 第6条全体を書き換え、ハイリスクAIシステムの分類の論理と、附属書IIおよびIIIとの相互関係を明確にした。 
b) The list of areas relevant for the identification of high-risk AI systems, listed in  Annex III, has been updated. Notably, AI systems intended to be used to control  or as safety components of digital infrastructure and AI systems intended to  be  used to control emissions and pollution have been added in point 2, AI  systems intended to be used for insurance purposes have been added in point 5,  and the reference to systems intended to  be used by law enforcement authorities  or on their behalf for crime analytics has been  deleted from point 6.  b) 附属書IIIに記載されている、高リスクAIシステムの識別に関連する分野のリストが更新された。特に、デジタルインフラの制御または安全部品として使用することを意図したAIシステムと、排出と汚染の制御に使用することを意図したAIシステムがポイント2に追加され、保険目的で使用することを意図したAIシステムがポイント5に追加され、法執行機関またはその代理で犯罪分析のために使用することを意図したシステムへの言及がポイント6から削除されている。
6. General purpose AI systems  6. 汎用AIシステム 
 a) A new Article 52a and the related new Recital 70a have been added to clarify   that  general purpose AI systems should not be considered as having an intended  purpose within the meaning of this Regulation. The new provisions also make  it clear that the placing on the market, putting into service or use of a general  purpose AI system should not trigger any of the requirements under the AIA.   a) 汎用AIシステムは、本規則の意味における意図された目的を有するものとみなされるべきではないことを明確にするため、新たに第52条aおよび関連する新たな説明文70aが追加された。また、この新規定は、汎用AIシステムの上市、使用開始または使用が、AIAに基づくいずれの要求も引き起こすべきではないことを明確にしている。
6. Delegation of powers to the Commission and reporting  6. 欧州委員会への権限委譲および報告 
 a) As regards the modalities for updates of Annexes I and III, the changes in  Article 84  introduce a new reporting obligation for the Commission whereby it  will be obliged to assess the need for amendment of the lists in these two  annexes every 24 months following the entry into force of the AIA.  a) 附属書IおよびIIIの更新方法に関しては、第84条の変更により、欧州委員会に新たな報告義務が導入され、欧州委員会はAIAの発効後24カ月ごとにこの2つの附属書のリストを修正する必要性を評価することになる。

| | Comments (0)

欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

こんにちは、丸山満彦です。

欧州委員会 (European Commission) は、欧州データガバナンス法について欧州議会とEU加盟国の間で政治的合意に達したと発表していますね。。。

引き続きて、欧州データ法についても合意が近いという感じのようです。。。

 

European Commission

・2021.11.30 Commission welcomes political agreement to boost data sharing and support European data spaces

 

Commission welcomes political agreement to boost data sharing and support European data spaces 欧州委員会、データ共有の促進と欧州データスペースの支援に関する政治的合意を歓迎
The Commission welcomes the political agreement reached today between the European Parliament and EU Member States on a European Data Governance Act. Trilogue negotiations have now concluded, paving the way for final approval of the legal text by the European Parliament and the Council. 欧州委員会は、本日、欧州議会とEU加盟国の間で欧州データガバナンス法に関する政治的合意が成立したことを歓迎する。これでトリローグ交渉が終了し、欧州議会と欧州理事会による法文の最終承認への道が開かれました。
Executive Vice-President for A Europe Fit for the Digital Age, Margrethe Vestager, said: “This Regulation is a first building block for establishing a solid and fair data-driven economy. It is about setting up the right conditions for trustful data sharing in line with our European values and fundamental rights. We are creating a safe environment in which data can be shared across sectors and Member States for the benefit of society and the economy.” マルグレーテ・ベスタガー欧州委員会副委員長(A Europe Fit for the Digital Age)は次のように述べています。「この規則は、堅実で公正なデータ駆動型経済を確立するための最初のビルディングブロックです。これは、欧州の価値観と基本的権利に沿って、信頼できるデータ共有のための適切な条件を整えることです。我々は、社会と経済の利益のために、セクターや加盟国を超えてデータを共有できる安全な環境を作っています」。
Commissioner for Internal Market, Thierry Breton, said: “With the Data Governance Act agreed today, we are defining a common approach to data sharing – the European way. We are facilitating the flow of growing industrial data across sectors and Member States to help Europe become the world's number one data continent. We are doing so by building trust, putting the individuals and companies who generate data in the driving seat so they remain in control of the data they create. In a nutshell: an open yet sovereign European Single Market for data.”    ティエリー・ブルトン域内市場担当委員は次のように述べています。「本日合意されたデータガバナンス法により、我々は欧州流のデータ共有に対する共通のアプローチを定義しています。我々は、欧州が世界第一のデータ大陸になるために、セクターや加盟国を超えて増大する産業データの流れを促進しています。そのためには、信頼関係を構築し、データを作成する個人や企業に主導権を与え、彼らが作成したデータを管理できるようにすることが必要です。一言で言えば、オープンで主権的なデータの欧州単一市場です」。  
The Data Governance Act proposed in November 2020 will create the basis for a new European way of data governance in accordance with EU rules, such as personal data protection (GDPR), consumer protection and competition rules. Thanks to this Regulation, more data will be available and exchanged in the EU, across sectors and Member States. It will boost data sharing and the development of common European data spaces, such as manufacturing, cultural heritage and health, as announced in the European strategy for data. 2020年11月に提案されたデータガバナンス法は、個人データ保護(GDPR)、消費者保護、競争ルールなどのEUルールに則った、欧州の新しいデータガバナンスのあり方の基礎を作るものです。この規則のおかげで、EUでは、セクターや加盟国を超えて、より多くのデータが利用可能になり、交換されるようになります。これにより、データの共有が促進され、製造業、文化遺産、健康など、欧州共通のデータスペースの開発が可能になります。
Next Steps 次のステップ
The political agreement reached by the European Parliament, Council and Commission is now subject to formal approval by the European Parliament and the Council. 欧州議会、理事会、欧州委員会が合意に達した政治的合意は、今後、欧州議会と理事会による正式な承認を受けることになります。
The Commission will soon also propose a second major legislative initiative, the Data Act, to maximise the value of data for the economy and society. The Data Act aims to foster data sharing among businesses, and between businesses and governments. An open public consultation ran from 3 June to 3 September 2021 and the results will be published in the following days. 欧州委員会は、経済と社会にとってのデータの価値を最大限に高めるために、2つ目の主要な立法措置である「データ法」もまもなく提案する予定です。データ法は、企業間および企業と政府の間でのデータ共有を促進することを目的としています。2021年6月3日から9月3日まで公開協議が行われ、その結果は数日後に発表される予定です。
In addition to these two complementary initiatives, the Commission will further develop and fund European data spaces to pool data in key strategic sectors and areas of public interest, such as health, agriculture and manufacturing. これら2つの補完的な取り組みに加えて、欧州委員会は、健康、農業、製造業など、重要な戦略分野や公益性の高い分野のデータをプールするための欧州データスペースの開発と資金提供をさらに進めていきます。
Background 背景
The proposal for a Data Governance Act, presented on 25 November 2020, is the first legislative initiative that has been adopted under the European strategy for data. 2020年11月25日に提示された「データガバナンス法」の提案は、データに関する欧州戦略の下で採択された最初の立法的取り組みです。
The Regulation includes: 同規則には
Measures to increase trust in data sharing as the lack of trust is currently a major obstacle and results in high costs; 現在、信頼性の欠如が大きな障害となっており、高いコストにつながっていることから、データ共有の信頼性を高めるための措置。
New EU rules on neutrality to allow novel data intermediaries to function as trustworthy organisers of data sharing; 新規のデータ仲介者が信頼できるデータ共有の主催者として機能することを可能にするための、中立性に関するEUの新しい規則。
Measures to facilitate the reuse of certain data held by the public sector. For example, the reuse of health data, under clear conditions, could advance research to find cures for rare or chronic diseases; 公共部門が保有する特定のデータの再利用を促進するための措置。例えば、明確な条件の下で健康データを再利用することにより、希少疾患や慢性疾患の治療法を見つけるための研究を促進することができます。
  Tools to give Europeans control over the use of the data they generate by making it easier and safer for companies and individuals to voluntarily make their data available for the wider common good under clear conditions.    企業や個人が明確な条件の下で、より広い公益のために自発的にデータを利用できるようにすることで、欧州の人々が自ら生成したデータの利用をコントロールできるようにするためのツール。
For More Information 参照情報
Data governance Act データガバナンス法
Questions and answers 質問と回答
Factsheet ファクトシート
Data Strategy of 19 February 2020 2020年2月19日のデータ戦略

 

・[PDF]

20211205-60755

 

欧州理事会

European Council, Council of European Union

・2021.11.30 Promoting data sharing: presidency reaches deal with Parliament on Data Governance Act

Promoting data sharing: presidency reaches deal with Parliament on Data Governance Act データ共有の促進:大統領府がデータガバナンス法で議会と合意
Today, negotiators from the Council and the European Parliament reached a provisional agreement on a new law to promote the availability of data and build a trustworthy environment to facilitate its use for research and the creation of innovative new services and products. 本日、欧州連合(EU)理事会と欧州議会の交渉担当者は、データの利用可能性を促進し、信頼できる環境を構築することで、研究や革新的な新サービス・製品の創出のためのデータ利用を促進する新法について、暫定的な合意に達した。
The Data Governance Act (DGA) will set up robust mechanisms to facilitate the reuse of certain categories of protected public-sector data, increase trust in data intermediation services and foster data altruism across the EU. データガバナンス法(DGA)は、保護されている特定のカテゴリーの公共部門のデータの再利用を促進し、データ仲介サービスに対する信頼性を高め、EU全体でデータ利他主義を育成するための強固なメカニズムを構築するものである。
It is an important component of the European strategy for data, which aims to bolster the data economy, increase wealth and wellbeing, and give Europe a competitive advantage to the benefit of its citizens and businesses. これは、データ経済を強化し、富と幸福を増大させ、市民と企業の利益のために欧州に競争上の優位性を与えることを目的とした、データに関する欧州戦略の重要な構成要素である。
Boštjan Koritnik, Slovenian Minister for Public Administration, President of the Council Boštjan Koritnik、スロベニア行政大臣、理事会議長
The Data Governance Act is a major milestone that will boost the data-driven economy in Europe in the years to come. By enabling control and creating trust, it will help unlock the potential of vast amounts of data generated by businesses and individuals. This is indispensable for the development of artificial intelligence applications and critical for the EU’s global competitiveness in this area. Data-powered innovations will help us address a range of societal challenges and drive economic growth, which is so important for the post-COVID recovery. データガバナンス法は、今後の欧州におけるデータ駆動型経済を後押しする大きな節目となります。管理を可能にし、信頼を生み出すことで、企業や個人が生み出す膨大な量のデータの可能性を引き出すことができます。これは、人工知能アプリケーションの開発に欠かせないものであり、この分野におけるEUの国際競争力にとって極めて重要です。データを活用したイノベーションは、社会のさまざまな課題に対処し、COVID後の復興に重要な経済成長を促進するのに役立ちます」。
Boštjan Koritnik, Slovenian Minister for Public Administration, President of the Council Boštjan Koritnik、スロベニア行政大臣、理事会議長
Wider reuse of protected public-sector data 保護された公共部門のデータのより広範な再利用
The Data Governance Act will create a mechanism to enable the safe reuse of certain categories of public-sector data that are subject to the rights of others. This includes, for example, trade secrets, personal data and data protected by intellectual property rights. Public-sector bodies allowing this type of reuse will need to be properly equipped, in technical terms, to ensure that privacy and confidentiality are fully preserved. データガバナンス法では、他者の権利の対象となる特定のカテゴリーの公共部門データを安全に再利用できるような仕組みを構築します。これには、例えば、企業秘密、個人データ、知的財産権で保護されたデータなどが含まれる。このような再利用を可能にする公共機関は、プライバシーと機密性が完全に保持されるよう、技術的に適切な設備を備える必要があります。
In this respect, the DGA will complement the Open Data Directive from 2019, which does not cover such types of data. この点において、DGAは、このような種類のデータを対象としない2019年以降のオープンデータ指令を補完することになる。
Exclusive arrangements for the reuse of public-sector data will be possible when justified and necessary for the provision of a service of general interest. The maximum duration for existing contracts will be 2.5 years and for new contracts 12 months. 公共部門のデータを再利用するための排他的な取り決めは、一般的な利益のあるサービスを提供するために正当かつ必要な場合に可能となります。既存の契約の最長期間は2.5年、新規契約は12カ月とする。
The Commission will set up a European single access point with a searchable electronic register of public-sector data. This register will be available via national single information points. 欧州委員会は、公共部門のデータの検索可能な電子登録を行う欧州単一アクセスポイントを設置する。この登録は、各国の単一情報ポイントを通じて利用できるようにする。
A new business model for data intermediation データ仲介のための新しいビジネスモデル
The DGA creates a framework to foster a new business model – data intermediation services – that will provide a secure environment in which companies or individuals can share data. DGAは、企業や個人がデータを共有できる安全な環境を提供する新しいビジネスモデル、すなわちデータ仲介サービスを促進する枠組みを構築する。
For companies, these services can take the form of digital platforms, which will support voluntary data-sharing between companies or facilitate the fulfilment of data-sharing obligations set by law. By using these services, companies will be able to share their data without fear of its being misused or of losing their competitive advantage. 企業の場合、これらのサービスは、企業間の自発的なデータ共有を支援したり、法律で定められたデータ共有義務の履行を促進したりするデジタルプラットフォームの形をとることができます。これらのサービスを利用することで、企業は、データが悪用されたり、競争力を失ったりすることを恐れずに、データを共有することができます。
For personal data, such services and their providers will help individuals exercise their rights under the general data protection regulation (GDPR).  This will help people have full control over their data and allow them to share it with a company they trust. This can be done, for example, by means of novel personal information management tools, such as personal data spaces or data wallets, which are apps that share such data with others, based on the data holder’s consent. 個人データについては、このようなサービスやそのプロバイダーは、一般データ保護規則(GDPR)に基づく個人の権利行使を支援します。 これにより、人々は自分のデータを完全にコントロールできるようになり、信頼できる企業とデータを共有することができるようになります。これは例えば、パーソナルデータスペースやデータウォレットなどの斬新な個人情報管理ツールによって行うことができます。これらは、データ保有者の同意に基づいて、そのようなデータを他者と共有するアプリです。
Data intermediation service providers will need to be listed in a register, so that their clients know that they can trust them. データ仲介サービスプロバイダーは、顧客が信頼できることを知るために、登録簿に記載する必要があります。
The service providers will not be allowed to use shared data for other purposes. They will not be able to benefit from the data – for example, by selling it on. They may, however, charge for the transactions they do carry out. サービス提供者は、共有されたデータを他の目的で使用することはできません。また、データを売却するなど、データから利益を得ることもできません。ただし、サービス提供者が行った取引に対しては料金を請求することができます。
Data altruism for the common good 共通の利益のためのデータ利他主義
The DGA also makes it easier for individuals and companies to make data voluntarily available for the common good, such as medical research projects. DGAでは、医療研究プロジェクトなどの公益のために、個人や企業が自発的にデータを利用できるようにすることも容易になっています。
Entities seeking to collect data for objectives of general interest may request to be listed in a national register of recognised data altruism organisations. Registered organisations will be recognised across the EU. This will create the necessary trust in data altruism, encouraging individuals and companies to donate data to such organisations so that it can used for wider societal good. 一般的な利益のためにデータを収集しようとする企業は、データ利他主義組織として認められている国の登録を申請することができます。登録された組織は、EU全体で認識される。これにより、データ利他主義に対する必要な信頼が生まれ、個人や企業がそのような組織にデータを提供し、より広い社会的利益のために利用することが可能になる。
If an organisation wants to be recognised as a data altruism organisation under the DGA, it will have to comply with a specific rulebook. 組織がDGAの下でデータ利他主義組織として認められたい場合は、特定のルールブックに準拠する必要があります。
Easy identification of service providers サービスプロバイダーの容易な特定
Voluntary certification in the form of a logo will make it easier to identify compliant providers of data intermediation services and data altruism organisations. ロゴという形での自主的な認証により、データ仲介サービスやデータ利他主義組織のコンプライアンスを遵守しているプロバイダーの識別が容易になります。
European Data Innovation Board 欧州データイノベーション委員会
A new structure, the European Data Innovation Board, will be created to advise and assist the Commission in enhancing the interoperability of data intermediation services and issuing guidelines on how to facilitate the development of data spaces, among other tasks. データ仲介サービスの相互運用性の強化や、データスペースの開発を促進するためのガイドラインの発行などについて、欧州委員会に助言・支援するための新しい組織「欧州データ・イノベーション・ボード」が設立される。
International access to and transfer of non-personal data 非個人データへの国際的なアクセスと移転
The DGA creates safeguards for public-sector data, data intermediation services and data altruism organisations against unlawful international transfer of or governmental access to non-personal data. For personal data, the EU already has similar safeguards under the GDPR. DGAは、公共部門のデータ、データ仲介サービス、データ利他主義組織に対して、非個人データの不法な国際移転や政府によるアクセスに対する保護措置を設ける。個人データについては、EUはすでにGDPRの下で同様のセーフガードを設けている。
In particular, the Commission – through secondary legislation – may adopt adequacy decisions declaring that specific non-EU countries provide appropriate safeguards for the use of non-personal data transferred from the EU. These decisions would be similar to adequacy decisions relating to personal data under the GDPR. Such safeguards should be considered to exist when the country in question has equivalent measures in place that ensure a level of protection similar to that provided by EU or member state law. 特に、欧州委員会は、二次法を通じて、特定の非EU諸国がEUから移転された非個人データの使用に対して適切な保護措置を講じていることを宣言する適切性決定を採択することができます。これらの決定は、GDPRの下での個人データに関する適切性決定と同様です。このような保護措置は、当該国がEUまたは加盟国の法律が提供するものと同等の保護レベルを確保する同等の措置を講じている場合に存在するとみなされるべきである。
The Commission may also adopt model contractual clauses to support public-sector bodies and re-users in the case of transfers of public-sector data to third countries. また、欧州委員会は、公共機関のデータが第三国に移転する場合に、公共機関の団体や再利用者を支援するためのモデル契約条項を採択することができる。
Application timeline 適用時期
The new rules will apply 15 months after the entry into force of the regulation. 新規則は、規則の発効から15カ月後に適用される。
Next steps 次のステップ
The provisional agreement reached today is subject to approval by the Council. It will now be submitted to the Council’s Permanent Representatives Committee (Coreper) for endorsement. 本日合意された暫定合意は、欧州理事会の承認が必要です。今後、理事会の常任代表者委員会(Coreper)に提出し、承認を得ることになります。
A digital future for Europe (background information) A digital future for Europe(背景情報)

 

| | Comments (0)

米国 国防省 米国と中国が「中華人民共和国の軍事・安全保障に関する動向 2021」についての実務レベル会議を開催

こんにちは、丸山満彦です。

米国国防省が、米国と中国が国防省が公表した「中華人民共和国の軍事・安全保障に関する動向 2021」について、実務レベル会議を開催したようですね。。。

U.S. DSepartment of Defence

・2021.12.02 U.S. and PRC Hold Working Level Meeting on DoD 2021 Annual Report

これは、2014年の「主要な軍事活動の通知に関する覚書」に基づいて、国防省と人民解放軍の間で理解を深め、オープンなコミュニケーションチャンネルを維持するための取り組みの一環ということのようですね。。。

実務者レベルのこういう普段からの会議というのは、本当に大切なんでしょうね。。。

報告書自体は11月3日に公表されています(紹介をわすれていたのでついでに。。。)。

・2021.11.03 DOD Releases 2021 Report on Military and Security Developments Involving the People’s Republic of China

・[PDF]

20211204-63244

PREFACE 序文
EXECUTIVE SUMMARY エグゼクティブ・サマリー
CHAPTER ONE: UNDERSTANDING CHINA’S STRATEGY 第1章:中国の戦略を理解する
CHAPTER TWO: MISSIONS AND TASKS OF CHINA’S ARMED FORCES IN THE “NEW ERA” 第2章:「新時代」における中国軍の任務と課題
CHAPTER THREE: FORCES, CAPABILITIES, AND ACTIVITIES ON CHINA’S PERIPHERY 第3章:中国の周辺部における勢力、能力、活動
CHAPTER FOUR: THE PLA’S GROWING GLOBAL PRESENCE 第4章:世界的に存在感を増している中国の軍隊
CHAPTER FIVE: RESOURCES & TECHNOLOGY FOR FORCE MODERNIZATION 第5章:軍の近代化のための資源と技術
CHAPTER SIX: U.S.-PRC DEFENSE CONTACTS AND EXCHANGES 第6章:米国と中国の防衛関係の連絡と交流
SPECIAL TOPIC: THE PRC’s EFFECTIVE CONTROL CONCEPT AND PLA ESCALATION MANAGEMENT VIEWS 特別論点:中国の効率的な管理概念とPLAエスカレーションマネジメントの見解
SPECIAL TOPIC: PRC’S EVALUATION OF THE 13TH FIVE YEAR PLAN 特別論点 第13次5ヵ年計画に対する中国の評価
SPECIAL TOPIC: PRC-INDIA BORDER STANDOFF 特別論点 中国とインドの国境でのにらみ合い
APPENDIX I: PRC AND TAIWAN FORCES DATA 附属書1:中国と台湾の戦力データ
APPENDIX II: DEFENSE CONTACTS AND EXCHANGES 附属書2:防衛関係者との交流
APPENDIX III: SELECTED PLA BILATERAL AND MULTILATERAL EXERCISES IN 2020 附属書3:2020年の二国間・多国間演習の例
APPENDIX IV: CHINA’S TOP CRUDE OIL SUPPLIERS IN 2020 附属書4:2020年の中国の上位原油供給国
APPENDIX V: ACRONYMS 附属書5:頭字語

 

序文とエグゼクティブサマリーの仮対訳...

 

Continue reading "米国 国防省 米国と中国が「中華人民共和国の軍事・安全保障に関する動向 2021」についての実務レベル会議を開催"

| | Comments (0)

2021.12.04

経済産業省、IPA 第20回コラボレーション・プラットフォームに出演して

こんにちは、丸山満彦です。

経済産業省とIPAが2018年から始めたコラボレーション・プラットフォームですが、今回で第20回目となりますね。。。その第20回コラボレーション・プラットフォームは、ESG投資とサイバーセキュリティの話でした。

私の説明の趣旨は、経営者(特に大企業)の中でもサイバーセキュリティは重要な経営上のリスクと認識されている(WEFの調査結果)のだから、利害関係者に対するリスク開示を積極的にすべきなのではないかという話をしました。(そのための政府側の取り組みは、過去から経済産業省、内閣官房、総務省等ですでにおこなわれていて、サイバーセキュリティ戦略でもテーマとしてあがっています。また、11月30日は、IT団体連盟がサイバーインデックス企業調査の発表をしています。。。)

次は、投資家がサイバーセキュリティリスクがどのようなものかより深い理解をし、経営者に対してサイバーセキュリティリスクに対する備えを確認していく順番だろうという話をしました。。。

後半のディスカッションは藤本先生のリスクに対する幅広い知見もあって、とても興味深い話となりました。また、投資家と多くの対話をしている三井さんの目線でのコメントは、新鮮な面も多かったです。富士フィルムの神林さんのリスク開示側のコメントも実務を踏まえた意義のある意見でした。JASAの永宮さん(ほぼ戦友的な関係ですが)の意見は、いつもながら物事の本質を捉えていて参考になりました。。。

大企業から始まるサイバーセキュリティというリスクについてのコミュニケーションは、サプライチェーン全体に広がるのではないだろうか、という話もでました。

社会を変えるという意味では金融の力というのは大きいですよね(資本主義社会では特に...)

 

● IPA

コラボレーション・プラットフォームについて

 

 


参考

■ ESG投資関係

責任投資原則 (Principal for Responsible Invenstment)

[Cyber]による検索

 

■ セキュリティ開示

● IT団体連盟

・2021.11.30 日本IT団体連盟によるサイバーインデックス企業調査2021に関する公開について

● 総務省

・2019.06.28「サイバーセキュリティ対策情報開示の手引き(案)」に対する意見募集の結果及び「サイバーセキュリティ対策情報開示の手引き」の公表

● 内閣官房

・[PDF] 平成 28 年度 企業のサイバーセキュリティ対策に関する調査報告書

● 経済産業省

情報セキュリティ報告書モデル

 

■ 経営者の意識

● World Economic Forum

・2021.01.19 グローバルリスク報告書2021年版:世界は長期的リスクへの対応に目覚めるべきである

 

 

 

 

 

| | Comments (0)

2021.12.03

米国 米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書

こんにちは、丸山満彦です。

米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書が公表されていたのですが、551ページもあるので、なえていましたが、そろそろ読まなければならないという気もしますが、でもなえてしまいます(^^;;

これも米国における一つの見方と考えたほうがよいのだろうと思います。どこの国でもそうですが、1つの考え方でまとまっているわけではない。。。

● U.S.-CHINA ECONOMIC AND SECURITY REVIEW COMMISSION

・2021.11.17 2021 Annual Report to Congress

 

[PDF] Executive Summary

20211203-34126

[PDF] Annual Report to Congress

20211203-34838

[PDF] Recommendations to Congress

20211203-35032
ーーーーーーーーーー

Chapter 1 U.S.-China Global Competition 第1章 米中のグローバル競争
Chapter 1 Section 1 - The Chinese Communist Party's Ambitions and Challenges at Its Centennial 第1章 第1節 創立100周年を迎えた中国共産党の野望と課題
Chapter 1 Section 2 - China's Influence in Latin America and the Caribbean 第1章 第2節 ラテンアメリカ・カリブ地域における中国の影響力
Chapter 2 U.S.-China Economic and Trade Relations 第2章 米中の経済・貿易関係
Chapter 2 Section 1 - Year in Review: Economics and Trade 第2章 第1節 年間レビュー:経済と貿易
Chapter 2 Section 2 - CCP's Economic & Technological Ambitions: Synthetic Bio, New Mobility, Cloud Computing, & Digital Currency 第2章 第2節 中国共産党の経済的・技術的な野望:合成生物学、新しいモビリティ、クラウドコンピューティング、デジタル通貨
Chapter 2 Section 3 - The Chinese Government's Evolving Control of the Nonstate Sector 第2章 第3節 進化する中国政府の非国家部門のコントロール
Chapter 2 Section 4 - U.S.-China Financial Connectivity and Risks to U.S. National Security 第2章 第4節 米中の金融連携と米国の国家安全保障へのリスク
Chapter 3 U.S.-China Security, Politics, and Foreign Affairs 第3章 米中の安全保障、政治、外交関係
Chapter 3 Section 1 - Year in Review: Security, Politics, and Foreign Affairs 第3章 第1節 年間レビュー:安全保障、政治、外交
Chapter 3 Section 2 - China’s Nuclear Forces: Moving beyond a Minimal Deterrent 第3章 第2節 中国の核戦力:最小限の抑止力を超えて
Chapter 4 - Dangerous Period for Cross-Strait Deterrence: Chinese Military Capabilities & Decision-Making for a War over Taiwan 第4章 両岸抑止力の危険期:台湾戦争を想定した中国の軍事力と意思決定
Chapter 5 - Hong Kong's Government Embraces Authoritarianism 第5章 権威主義に染まる香港政府

 


参考

JETRO

・2021.11.26 米議会の米中調査委員会、年次報告で米企業の対中投資の審査制度を提言

 

関連

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.17 中国 党創立100周年闘争の主要な成果と歴史的経験に関する中共中央委員会の決議(全文)


 

Continue reading "米国 米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書"

| | Comments (0)

2021.12.02

内閣官房 クラウドを利用したシステム運用に関するガイダンス

 こんにちは、丸山満彦です。

NISCが「クラウドを利用したシステム運用に関するガイダンス」を公表していますね。。。

内閣官房 サイバーセキュリティセンター

・2021.11.30 クラウドを利用したシステム運用に関するガイダンスの公表について  [PDF]

昨今増加傾向にあるクラウドサービスの利用に関するインシデントの発生を可能な限り抑制し、また、インシデントが発生した際に円滑に対応できるよう、望ましい取組や留意点等を記載しています。

ということのようです。

本資料は、重要インフラ事業者等に向けて策定したものを、広く一般にも活用していただけるよう公表するものです。

ということのようですので、参考にして利用すれば良いのだろうと思います。

・[PDF] クラウドを利用したシステム運用に関するガイダンス(要約版)

20211202-54945

・[PDF] クラウドを利用したシステム運用に関するガイダンス(詳細版)

20211202-55145


1. はじめに

2. クラウドサービスの基本理解
 2.1. クラウドサービスを利用する背景
 2.2. クラウドサービスのメリット・デメリット(リスク)

3. クラウド事業者や利用者などのステークホルダーの責任等の理解
 3.1. クラウドサービス活用におけるステークホルダーの理解
 3.2. クラウド事業者における「責任共有モデル」
 3.3. 責任共有モデルを踏まえた販売者、構築者、設置者、運用者の責任と役割
 3.4. ステークホルダーとの契約形態等の理解

4. クラウド利用(環境構築、運用など)の注意点
 4.1. 構築時の注意点
 4.2. 運用時の注意点

5. クラウド利用に当たってのコミュニケーションの在り方
 5.1. 普段からのコミュニケーションの方法や注意点
 5.2. インシデント発生を想定した準備

6. インシデント発生時のステークホルダー連携の在り方

7. おわりに

8. 用語集


 

北條先生、上原先生は個人名がでていますが、きっとGSXの萩原さんとか、、、お手伝いしたのでしょう。。。。



| | Comments (0)

2021.12.01

Cloud Security Alliance サードパーティセキュリティサービスの役割と責任

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がサードパーティセキュリティサービスの役割と責任に関する文書を公表していますね。。。

従業員数でいうと250名程度以下の中小企業(Small and Medium Enterprises)[wikipedia]が適切なセキュリティサービスを選択するために必要な知識を提供することを目的としているようですが、大企業であっても参考になることはあると思います。

あげているセキュリティ・サービスは、

・アイデンティティおよびアクセス管理
・クラウドワークロード保護プラットフォーム
・ネットワークセキュリティ
・データとストレージのセキュリティ
・アセスメント
・サービスとしてのセキュリティ分析
・アプリケーションセキュリティ
・セキュリティサポートサービス

ですね。。。

主要なサービスが網羅されているというのもよいですね。。。

 

Cloud Security Alliance (CSA)

・2021.11.30 (press) New Guidance From Cloud Security Alliance Aims to Help Cloud Service Customers Better Evaluate Service Level Agreements

 

・2021.11.30 Roles and Responsibilities of Third Party Security Services

Roles and Responsibilities of Third Party Security Services サードパーティセキュリティサービスの役割と責任
As we witness the broader adoption of cloud services, it is no surprise that third-party outsourced services are also on the rise. The security responsibilities are typically split between the CSPs and Cloud Service Customers (CSCs). However, in reality, third-party security services providers increasingly play essential roles, such as providing consultancy or managing security services for CSCs. They have a part in securing the cloud platform as well. For example, some SMEs (Small and Medium Enterprises) without security professionals may be unsure of how to secure their services and thus engage a Third-Party Security Service Provider (TPSSP) for consultancy.  クラウドサービスの普及に伴い、第三者によるアウトソーシングサービスが増加しているのは当然のことです。セキュリティに関する責任は、通常、CSPとCSC(Cloud Service Customers)の間で分担されています。しかし実際には、サードパーティのセキュリティ・サービス・プロバイダーは、CSCのセキュリティ・サービスのコンサルティングや管理を行うなど、重要な役割を果たすことが多くなっています。また、クラウド・プラットフォームのセキュリティにも一役買っています。例えば、セキュリティの専門家を持たないSME(Small and Medium Enterprises)の中には、自社のサービスをどのように保護すればよいかわからないため、サードパーティ・セキュリティ・サービス・プロバイダー(TPSSP)にコンサルティングを依頼するケースがあります。 
The role of TPSSP can be pivotal in the security of these SMEs. The guidelines in this document will help cloud customers when signing Service Level Agreement(SLAs) with TPSSPs. このような中小企業のセキュリティにおいて、TPSSPの役割は極めて重要なものとなります。本文書のガイドラインは、クラウド事業者がTPSSPとサービスレベル契約(SLA)を締結する際に役立ちます。
Understand the security roles and responsibilities of TPSSPs for: 以下についてのTPSSPのセキュリティ上の役割と責任を理解する。
・Identity and access management ・アイデンティティおよびアクセス管理
・Cloud Workload Protection Platform ・クラウドワークロード保護プラットフォーム
・Network Security ・ネットワークセキュリティ
・Data & Storage Security ・データとストレージのセキュリティ
・Assessment ・アセスメント
・Security Analytics as a Service ・サービスとしてのセキュリティ分析
・Application Security ・アプリケーションセキュリティ
・Security Support Services ・セキュリティサポートサービス

・[PDF] 簡単な質問に答えるとダウンロードできます

20211201-50945

1 Introduction 1 はじめに
1.1 Background 1.1 背景
1.2 Scope 1.2 範囲
1.3 Goal 1.3 目標
1.4 Audience 1.4 想定読者
2 Definitions and Characteristics 2 定義と特徴
2.1 Definitions 2.1 定義
2.2 TPSSP/ MSSP Characteristics 2.2 TPSSP/MSSPの特徴
3 Roles and Responsibilities of TPSSPs 3 TPSSPの役割と責任
3.1 Identity and Access Management (IAM) 3.1 アイデンティティ及びアクセス管理(IAM)
3.1.1 Privileged Access Management (PAM) 3.1.1 Privileged Access Management (PAM)
3.1.2 Access Management and Authentication (AMA) 3.1.2 アクセス管理および認証(AMA:Access Management and Authentication)
3.1.3 Identity Governance and Administration (IGA) 3.1.3 アイデンティティ・ガバナンスとアドミニストレーション(IGA)
3.1.4 Fraud Detection 3.1.4 不正行為の検知
3.1.5 Identity Threat Protection 3.1.5 アイデンティティ脅威の保護
3.2 Cloud Workload Protection Platform (CWPP) 3.2 クラウド・ワークロード・プロテクション・プラットフォーム(CWP)
3.2.1 Malware Analysis (Anti-Virus) 3.2.1 マルウェア解析(アンチウイルス)
3.2.2 Server Endpoint Detection and Response (Server EDR) 3.2.2 サーバーエンドポイント検出と応答(Server EDR)
3.2.3 Container Security 3.2.3 コンテナセキュリティ
3.2.4 Serverless Security 3.2.4 サーバーレス・セキュリティ
3.2.5 Memory and Process, Integrity/Protection (MPIP) 3.2.5 MPIP(Memory and Process, Integrity/Protection)
3.2.6 Micro-segmentation 3.2.6 マイクロセグメンテーション
3.2.7 Vulnerability, Hardening, and Configuration Compliance 3.2.7 脆弱性対策、ハードニング、設定コンプライアンス
3.3 Network Security 3.3 ネットワークセキュリティ
3.3.1 Virtual Private Network (VPN)-as-a-Service (VPNaaS) 3.3.1 仮想プライベート・ネットワーク(VPN)アズ・ア・サービス(VPNaaS)
3.3.2 Network Security Audit 3.3.2 ネットワークセキュリティ監査
3.3.3 Web Application Firewall (WAF)-as-a-Service (WAFaaS) 3.3.3 サービスとしてのウェブアプリケーションファイアウォール(WAF)(WAFaaS)
3.3.4 Distributed Denial-of-Service (DDoS) Mitigation Service 3.3.4 分散型サービス拒否(DDoS)緩和サービス
3.3.5 Network Intrusion Detection/Prevention (NIDPS) Service 3.3.5 ネットワーク侵入検知・防御(NIDPS)サービス
3.3.6 Secure Web Gateway (SWG) Service 3.3.6 セキュアウェブゲートウェイ(SWG)サービス
3.3.7 Network Traffic Analysis (NTA) Service 3.3.7 ネットワークトラフィック解析(NTA)サービス
3.4 Data and Storage Security 3.4 データおよびストレージセキュリティ
3.4.1 Digital Risk Protection 3.4.1 デジタルリスクの保護
3.4.2 Data Backup and Recovery 3.4.2 データのバックアップとリカバリー
3.4.3 Database Forensic 3.4.3 データベース・フォレンジック
3.4.4 Data Masking 3.4.4 データマスキング
3.4.5 Data Encryption 3.4.5 データの暗号化
3.5 Assessment 3.5 アセスメント
3.5.1 Vulnerability Scan Services 3.5.1 脆弱性スキャンサービス
3.5.2 Cloud Security Posture Management (CSPM) 3.5.2 クラウドセキュリティポスチャーマネジメント(CSPM)サービス
3.5.3 Penetration Testing Services 3.5.3 侵入テストサービス
3.6 Security Analytics-as-a-Service 3.6 セキュリティ・アナリティクス・アズ・ア・サービス
3.6.1 Security Information and Event Management (SIEM) 3.6.1 セキュリティ・インフォメーション・アンド・イベント・マネジメント(SIEM)
3.6.2 Security Orchestration, Automation, and Response (SOAR) 3.6.2 セキュリティオーケストレーション、オートメーション、レスポンス(SOAR)
3.6.3 Audit Log-as-a-Service 3.6.3 監査ログ・アズ・ア・サービス
3.6.4 Threat Intelligence Services 3.6.4 脅威インテリジェンスサービス
3.7 Application Security 3.7 アプリケーション・セキュリティ
3.7.1 Email Security Service 3.7.1 電子メールセキュリティサービス
3.7.2 Cloud Access Security Broker (CASB) 3.7.2 クラウド・アクセス・セキュリティ・ブローカー(CASB)
3.7.3 Key Management-as-a-Service (KMaaS) 3.7.3 キーマネージメント・アズ・ア・サービス(KMaaS)
3.8 Security Support Services 3.8 セキュリティサポートサービス
3.8.1 Security Configuration Management 3.8.1 セキュリティ設定管理
3.8.2 Security Incident Response 3.8.2 セキュリティインシデント対応
3.8.3 Security Policy Development 3.8.3 セキュリティポリシーの策定
3.8.4 Security Updates 3.8.4 セキュリティアップデート
3.8.5 Security Reporting 3.8.5 セキュリティレポート
3.8.6 Security Training and Education 3.8.6 セキュリティのトレーニングと教育
4 Conclusion 4 おわりに
References 参考文献

 

| | Comments (0)

« November 2021 | Main | January 2022 »