« December 2021 | Main | February 2022 »

January 2022

2022.01.31

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバーセキュリティは空気のように社会全体に拡がる」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2022.01.31 第702号コラム:「サイバーセキュリティは空気のように社会全体に拡がる」

サイバー空間へのアクセスが全ての人にとっての常識となる世界になると、サイバーセキュリティというのは、全ての人にとって身近な問題となり、交通事故に気をつけるかのごとく、誰にとっても、その場面、そのタイミングで適切なセキュリティができるようにならないといけないように思います。

サイバー空間が人間の生活にとって空気のようになった時に、サイバーセキュリティも空気のように社会全体に広がるのかも知れませんね。。。

 


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

警察法改正案 情報通信局からサイバー警察局へ他

こんにちは、丸山満彦です。

2022.01.28の閣議で、警察法改正案が閣議決定され、これから国会で審議されますね。。。

改正理由は次のように書かれていますね。。。

最近におけるサイバーセキュリティに対する脅威の深刻化に鑑み、国家公安委員会及び警察庁の所掌事務に重大サイバー事案に対処するための警察の活動に関する事務等を追加するとともに、警察庁が当該活動を行う場合における広域組織犯罪等に対処するための措置に関する規定を整備するほか、警察庁の組織について、サイバー警察局を設置する等の改正を行う。これが、この法律案を提出する理由である。

 

情報通信局からサイバー警察局に名前が変わりますが、名前の変更が本質ではなく、役割の変更ですね。。。そして、その役割変更に至る背景の理解が重要なんでしょう。。。

海外との連携がスムーズにいくように思いますし、国内の連携もうまくいくようにも感じますが、権限が強大になりすぎないように、また、その権限の行使についての国民による監視が十分に機能するようにしないといけないようにも感じます。。。

 

警察庁 - 国会提出法案 - 第208回国会(常会)提出法案

・2022.01.28 警察法の一部を改正する法律案

・[PDF] 要綱

・[PDF] 案文・理由

・[PDF] 新旧対照表

・[PDF] 参照条文

・[PDF] 参考資料

20220131-51724

 


 

・[PDF] 要綱

警察法の一部を改正する法律案要綱

第一 重大サイバー事案に対処するための警察の活動に関する規定等の整備

一 国家公安委員会及び警察庁の所掌事務の追加(第五条第四項関係)

(一)国家公安委員会及び警察庁の所掌事務に、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)が害されることその他情報技術を用いた不正な行為により生ずる個人の生命、身体及び財産並びに公共の安全と秩序を害し、又は害するおそれのある事案(以下「サイバー事案」という。)のうち次のいずれかに該当するもの(以下「重大サイバー事案」という。)に対処するための警察の態勢に関する事務を追加することとする。

ア 次の事務又は事業の実施に重大な支障が生じ、又は生ずるおそれのある事案

(ア)国又は地方公共団体の重要な情報の管理又は重要な情報システムの運用に関する事務

(イ)国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業

イ 高度な技術的手法が用いられる事案その他のその対処に高度な技術を要する事案

ウ 国外に所在する者であってサイバー事案を生じさせる不正な活動を行うものが関与する事案

(二)国家公安委員会及び警察庁の所掌事務に、重大サイバー事案に係る犯罪の捜査その他の重大サイバー事案に対処するための警察の活動に関する事務を追加することとする。

二 関東管区警察局の所掌事務の特例に関する規定の整備(第三十条の二関係)

関東管区警察局は、全国を管轄区域として、警察庁の所掌事務のうち一の(二)の事務を分掌することとする。

三 広域組織犯罪等に対処するための措置に関する規定の整備(第六十一条の三関係)

(一)警察庁長官は、重大サイバー事案について警察庁と都道府県警察が共同して処理を行う必要があると認めるときは、当該重大サイバー事案の処理に関する方針を定め、警察庁又は関係都道府県警察の一の警察官に、警察庁及び関係都道府県警察の警察職員に対して必要な指揮を行わせることができることとする。

(二)警察庁長官による広域組織犯罪等に対処するための態勢の指示により重大サイバー事案の処理に関して警察庁に派遣された都道府県警察の警察官は、国家公安委員会の管理の下に、当該重大サイバー事案の処理に必要な限度で、全国において、職権を行うことができることとする。

四 その他の規定の整備(第六十四条及び第七十九条関係)

  • 一の(二)の事務に関して必要な職務を行う警察庁の警察官は、この法律に特別の定めがある場合を除くほか、当該職務に必要な限度で職権を行うものとする。
  • (一)の警察庁の警察官及び三の(二)の都道府県警察の警察官の当該職務執行について苦情がある者は、国家公安委員会に対し、国家公安委員会規則で定める手続に従い、文書により苦情の申出をすることができることとする。

第二 警察庁の組織の改正

警察庁の組織について、サイバー警察局を設置し、その所掌事務としてサイバー事案に関する警察に関する事務等を定めるとともに、情報通信局を廃止し、長官官房の所掌事務に警察通信に関する事務等を追加することとする。(第十九条、第二十一条及び第二十五条関係)

第三 施行期日等

一 この法律は、令和四年四月一日から施行することとする。

二 関係法律について所要の改正を行うこととする。

 

 

| | Comments (0)

1月28日は「データ保護の日」でした...

こんにちは、丸山満彦です。

データ保護の分野で初めて法的拘束力を持つ国際法である欧州評議会の「個人情報の保護に関する条約(条約第108号)」が1981年1月28日に制定されたことから1月28日を「データ保護の日」にしたようで、今年がその16回目の記念日だったようです。。。

320pxcouncil_of_europe_logo_2013_revised

Council of Europe (欧州評議会)

Data Protection Day - 28 January 2022: 16th Data Protection Day 

Data Protection Day データ保護の日
28 January 2022: 16th Data Protection Day  2022年1月28日:第16回データ保護の日 
Conference on Convention 108 + as the global privacy standard, building a free data transfer area while preserving human dignity 人間の尊厳を守りつつ、自由なデータ転送領域を構築し、グローバルなプライバシー基準としての条約第108号+に関する会議
In 2006, the Committee of Ministers of the Council of Europe decided to launch a Data Protection Day, to be celebrated each year on 28 January. Data Protection Day is now celebrated globally and is called the "Privacy Day" outside Europe. 2006年、欧州評議会の閣僚委員会は、毎年1月28日を「データ保護の日」とすることを決定しました。現在、データ保護の日は世界的に祝われており、欧州以外では「プライバシー・デー」と呼ばれています。
On 28 January 2022, the 16th edition of Data Protection Day will be celebrated globally. It aims at raising awareness on the right to data protection. The Council of Europe, initiator of this important celebration, continues to play a leading role by encouraging and showcasing initiatives held on this occasion. 2022年1月28日には、第16回データ保護の日が世界的に祝われます。この日は、データ保護の権利についての認識を高めることを目的としています。欧州評議会は、この重要な記念日の発起人であり、この日に開催されるイニシアチブを奨励し、紹介することで主導的な役割を果たし続けています。
Celebrated yearly at the same date, Data Protection Day marks the anniversary of the opening for signature of Convention 108, the global data protection Convention. Last year, we celebrated the 40th Anniversary of Convention 108. For over 40 years, Convention 108 has influenced and shaped the protection of privacy and of data protection in Europe and beyond. Its modernised version (known as Convention 108+) will continue to do so. 毎年同じ日に開催されるデータ保護の日は、世界的なデータ保護条約である条約第108号の署名が開始された記念日でもあります。昨年、私たちは条約第108号の40周年を迎えました。条約第108号は、40年以上にわたり、欧州をはじめとする世界各国のプライバシー保護およびデータ保護に影響を与え、形成してきました。その現代版(通称:条約第108号+)は、今後も影響を与え続けるでしょう。
The main goal of this day is to educate the public on data protection challenges, and inform the individuals about their rights and how to exercise them. In this perspective, the Stefano Rodotà Award, established by the Committee of Convention 108, will honour innovative and original academic research projects in the field of data protection. The winners will be announced on the occasion of this special date. この日の主な目的は、データ保護の課題について一般の人々を啓発し、個人の権利とその行使方法について知らせることです。このような観点から、条約第108号委員会によって設立されたStefano Rodotà Awardは、データ保護の分野における革新的かつ独創的な学術研究プロジェクトを表彰するものです。受賞者は、この特別な日に発表されます。

 

 

Convention 108 and Protocols

Convention 108 and Protocols 第108号条約と議定書
The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 108) 個人データの自動処理に関する個人の保護のための条約(条約第108号)
The Convention opened for signature on 28 January 1981 and was the first legally binding international instrument in the data protection field. Under this Convention, the parties are required to take the necessary steps in their domestic legislation to apply the principles it lays down in order to ensure respect in their territory for the fundamental human rights of all individuals with regard to processing of personal data. 1981年1月28日に署名が開始されたこの条約は、データ保護の分野で初めての法的拘束力のある国際文書です。この条約により、締約国は、個人データの処理に関してすべての個人の基本的人権の尊重を自国内で確保するために、条約が定める原則を適用するために、国内法において必要な措置を講じることが求められています。
> Treaty Office > 条約事務局
> Text of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data > 個人データの自動処理に関する個人の保護のための条約の本文
Amendments to Convention 108 allowing the European Communities to accede 欧州共同体の加盟を認める条約第108号の改正
Accession by the Communities reflects the European Union's wish to develop co-operation with the Council of Europe and help create a stronger international forum on data protection, particularly vis-à-vis third countries As it stands at present, only states may be Parties to the Convention. It was therefore necessary to draft amendments allowing the European Communities to accede. These amendments were adopted by the Committee of Ministers of the Council of Europe on 15 June 1999. 欧州共同体の加盟は、欧州評議会との協力関係を発展させ、特に第三国に対するデータ保護に関するより強力な国際フォーラムの構築に貢献したいという欧州連合の希望を反映したものである。 現在、条約の締約国になれるのは国家のみである。そのため、欧州共同体の加盟を認める改正案を作成する必要がありました。この修正案は、1999年6月15日に欧州評議会の閣僚委員会で採択されました。
> More information 詳細
Additional protocol to Convention 108 regarding supervisory authorities and transborder data flows (ETS No. 181) 監督機関および国境を越えたデータフローに関する条約第108号の追加議定書(条約第181号)
With the increase in exchanges of personal data across national borders, it is necessary to ensure the effective protection of human rights and fundamental freedoms, and in particular the right to privacy in relation to such exchanges of personal data. The Additional Protocol opened for signature on 8 November 2001 requires Parties to set up supervisory authorities, exercising their functions in complete independence, which are an element of the effective protection of individuals with regard to the processing of personal data. 国境を越えた個人データの交換の増加に伴い、そのような個人データの交換に関連して、人権および基本的自由、特にプライバシーの権利の効果的な保護を確保することが必要である。2001年11月8日に署名が開始された追加議定書では、個人データの処理に関して個人を効果的に保護するための要素である、完全に独立して機能を行使する監督機関を設置することを締約国に求めている。
> Treaty Office > 条約事務局
> Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows (ETS No. 181) > 監督機関および国境を越えたデータの流れに関する個人データの自動処理に関する個人の保護のための条約の追加議定書(条約第181号)

 

 

 

 


(参考)訳語の整理

英語 訳語 ロゴ等
European Council [wiki] 欧州理事会 [wiki] 340pxcouncil_of_the_eu_and_european_coun
Council of the European Union [wiki] 欧州連合理事会 [wiki] 340pxcouncil_of_the_eu_and_european_coun
Council of Europe [wiki] 欧州評議会 [wiki] 320pxcouncil_of_europe_logo_2013_revised
European Parliament [wiki] 欧州議会 [wiki] 340pxeuropean_parliament_logosvg
European Commission [wiki] 欧州委員会 [wiki] European_commissionsvg

 

 

| | Comments (0)

2022.01.30

中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

こんにちは、丸山満彦です。

国家サイバースペース管理局が、インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)について意見募集をしていますね。。。

国家安全保障を含む社会秩序を維持するためにAIを適切に使わせるためのセキュリティ面も含めた規則って感じですかね。。。

深層合成技術とは、

(1) テキストコンテンツを生成または編集するための技術

(2) 音声コンテンツを生成または編集する技術。

(3) 音声以外のコンテンツ(音楽等)を生成・編集する技術

(4) 映像コンテンツに顔などの生物的特徴を生成・編集する技術

(5) 画像や映像コンテンツに含まれる生体以外の特徴を編集するための画像補正、画像復元、その他の技術。

(6) 仮想シーンを生成・編集する技術

を想定しているようですね。。。

 

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.28 国家互联网信息办公室关于《互联网信息服务深度合成管理规定(征求意见稿)》公开征求意见的通知
国家サイバースペース管理局による「インターネット情報サービスの深層合成の管理規定(意見募集稿)」の公開協議についての通知

 

国家互联网信息办公室关于《互联网信息服务深度合成管理规定(征求意见稿)》公开征求意见的通知 国家サイバースペース管理局による「インターネット情報サービスの深層合成の管理規定(意見募集稿)」の公開協議についての通知
为了规范互联网信息服务深度合成活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,我办起草了《互联网信息服务深度合成管理规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见: インターネット情報サービスの深層合成を規制し、社会主義の核心価値を促進し、国家安全と社会公共の利益を保護し、市民、法人およびその他の組織の合法的な権利と利益を保護するために、「インターネット情報サービス深層合成管理規定(意見募集稿)」を作成し、現在パブリックコメントを募集している。 
附件1:互联网信息服务深度合成管理规定(征求意见稿) 附属書1:インターネット情報サービスの深層合成の管理規定(意見募集稿)
附件2:关于《互联网信息服务深度合成管理规定(征求意见稿)》的说明 附属書2:「インターネット情報サービスの深層合成の管理規定(意見募集稿)」に関する説明

 

互联网信息服务深度合成管理规定 インターネット情報サービスの深層合成の管理規定
(征求意见稿) (意見募集稿)
第一条 为了规范互联网信息服务深度合成活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第1条 本規則は、インターネット情報サービスの綿密な合成活動を規制し、社会主義の核心的価値を促進し、国家安全と社会公共の利益を保護し、市民、法人およびその他の組織の合法的な権利と利益を保護するために、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「インターネット情報サービス管理弁法」およびその他の法律、行政法規に基づいて制定されている。
第二条 在中华人民共和国境内应用深度合成技术提供互联网信息服务(以下简称深度合成服务),以及为深度合成服务提供技术支持的活动,适用本规定。法律、行政法规另有规定的,依照其规定。 第2条 中華人民共和国の領域内で、インターネット情報サービス(以下、深層合成サービス)を提供するための深層合成技術の適用、および深層合成サービスの技術サポートを提供する活動については、以下の規定が適用される。 法律や行政規則に別段の定めがある場合は、その規定に従う。
本规定所称深度合成技术,是指利用以深度学习、虚拟现实为代表的生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术,包括但不限于: 本規定でいう深層合成技術とは、深層学習、バーチャルリアリティを代表とする合成型アルゴリズムの生成を利用して、テキスト、画像、音声、映像、バーチャルシーンなどの情報技術を生成することを指しますが、これに限定されるものではありません。
(一)篇章生成、文本风格转换、问答对话等对文本内容进行生成或者编辑的技术; (1) 章立て、テキストスタイルの変換、質問と回答の対話など、テキストコンテンツを生成または編集するための技術。
(二)文本转语音、语音转换、语音属性编辑等对语音内容进行生成或者编辑的技术; (2) 音声合成、音声変換、音声属性編集など、音声コンテンツを生成または編集する技術。
(三)音乐生成、场景声编辑等对非语音内容进行生成或者编辑的技术; (3) 音声以外のコンテンツを生成・編集する技術(音楽生成、シーンサウンド編集など)。
(四)人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等对图像、视频内容中人脸等生物特征进行生成或者编辑的技术; (4) 顔生成、顔置換、文字属性編集、顔操作、ポーズ操作など、画像や映像コンテンツに顔などの生物的特徴を生成・編集する技術。
(五)图像增强、图像修复等对图像、视频内容中非生物特征进行编辑的技术; (5) 画像や映像コンテンツに含まれる生体以外の特徴を編集するための画像補正、画像復元、その他の技術。
(六)三维重建等对虚拟场景进行生成或者编辑的技术。 (6) 3D再構成など、仮想シーンを生成・編集する技術
深度合成服务提供者,是指提供深度合成服务以及为深度合成服务提供技术支持的组织。 深層合成サービスプロバイダーとは、深層合成サービスや深層合成サービスの技術サポートを提供する組織のことである。
深度合成服务使用者,是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。 深層合成サービス利用者とは、深層合成サービスを利用して情報を作成、複製、公開、発信する組織や個人を指す。
第三条 国家网信部门负责统筹协调全国深度合成服务治理和相关监督管理工作。地方网信部门负责统筹协调本行政区域内的深度合成服务治理和相关监督管理工作。 第3条 全国ネットの情報部門は、全国の深層合成サービスのガバナンスと関連する監督管理業務を調整する責任を負う。 地域のインターネット情報部門は、その行政区域内の綿密な合成サービスのガバナンスと関連する監督・管理を調整する責任がある。
第四条 深度合成服务提供者和深度合成服务使用者应当遵守法律法规,尊重社会公德和伦理,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善。 第4条 深層合成サービス提供者および深層合成サービス利用者は、法令を遵守し、社会的道徳と倫理を尊重し、正しい政治的方向性、世論誘導、価値観を堅持し、深層合成サービスをより良く普及させるものとする。
第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导深度合成服务提供者制定完善服务规范、加强信息内容安全管理、依法提供服务并接受社会监督。 第5条 関連業界団体に対し、業界の自己規律を強化し、業界標準、業界ガイドライン、自主規制管理システムを確立・改善し、深層合成サービスの提供者がサービス仕様を策定・改善し、情報コンテンツの安全管理を強化し、法律に基づいてサービスを提供し、社会的な監督を受け入れるよう監督・指導することを奨励する。
第六条 任何组织和个人不得利用深度合成服务从事危害国家安全、破坏社会稳定、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得制作、复制、发布、传播含有煽动颠覆国家政权、危害国家安全和社会稳定、淫秽色情、虚假信息,以及侵害他人名誉权、肖像权、隐私权、知识产权和其他合法权益等法律法规禁止内容的信息。 第6条 いかなる組織または個人も、深層合成サービスを利用して、国家の安全を脅かし、社会の安定を損ない、社会秩序を乱し、他人の合法的な権利や利益を侵害するなど、法令で禁止されている活動に従事してはならず、また、国家権力転覆の扇動、国家の安全と社会の安定を脅かす、わいせつ物やポルノ、虚偽の情報、他人の評判、肖像権、プライバシー権、知的財産権、その他の合法的な権利や利益を侵害する内容の情報を作成、複製、出版、または流布してはならない。 およびその他の合法的な権利・利益等を尊重する。
第七条 深度合成服务提供者应当落实信息安全主体责任,建立健全算法机制机理审核、用户注册、信息内容管理、数据安全和个人信息保护、未成年人保护、从业人员教育培训等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。 第7条 深層合成サービス提供者は、情報セキュリティの主な責任を果たし、アルゴリズム機構の監査、ユーザー登録、情報コンテンツの管理、データセキュリティと個人情報保護、未成年者の保護、実務者の教育・訓練等の管理システムを構築・改善し、新技術や新しいアプリケーションの開発に対応した安全で制御可能な技術的セキュリティ対策を行わなければならない。
第八条 深度合成服务提供者应当制定并公开管理规则和平台公约,完善服务协议,以显著方式提示深度合成服务使用者信息安全义务,并依法依约履行相应管理责任。 第8条 深層合成サービス提供者は、管理規定およびプラットフォーム規約を策定・公開し、サービス契約を改善し、深層合成サービス利用者の情報セキュリティ義務を顕著に促し、法律に基づいて対応する管理責任を果たすものとする。
第九条 深度合成服务提供者应当依法对深度合成服务使用者进行真实身份信息认证。深度合成服务使用者不进行真实身份信息认证的,深度合成服务提供者不得为其提供信息发布服务。 第9条 深層合成サービス提供者は、法令に基づき、深層合成サービス利用者の実在性情報認証を行うものとします。 深層合成サービス利用者が実在性情報の認証を行わない場合、深層合成サービス提供者はそのための情報公開サービスを提供してはならない。
第十条 深度合成服务提供者应当加强深度合成信息内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核;建立健全用于识别违法和不良深度合成信息内容的特征库,完善入库标准、规则和程序;对违法和不良信息依法采取相应处置措施,并对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。 第10条 深層合成サービス提供者は、深層合成情報コンテンツの管理を強化し、深層合成サービス利用者の入力データおよび合成結果の監査を技術的または手動的に行い、違法および望ましくない深層合成情報コンテンツを特定するための特性ライブラリを構築および改善し、ライブラリの基準、規則および手順を改善し、違法および望ましくない情報に対して法律に基づいて対応する廃棄措置を講じ、関連する深層合成サービスの ユーザーは、法令および契約に基づき、警告、機能制限、サービスの停止、アカウントの閉鎖、その他の処分を行う。
第十一条 深度合成服务提供者应当加强深度合成技术管理,定期审核、评估、验证算法机制机理;提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当自行开展安全评估,预防信息安全风险。 第11条 深層合成サービス提供者は、深層合成技術の管理を強化し、アルゴリズムの仕組みを定期的に監査、評価、検証しなければならない。顔や音声などの生体以外の情報や、国家安全保障や社会公共の利益に関わる可能性のある特殊な対象物やシーンを編集する機能を持つモデルやテンプレートなどのツールを提供し、情報セキュリティのリスクを防ぐために独自のセキュリティ評価を行わなければならない。
第十二条 深度合成服务提供者应当加强训练数据管理,确保数据处理合法、正当,采取必要措施保障数据安全。训练数据包含涉及个人信息数据的,还应当遵守个人信息保护有关规定,不得非法处理个人信息。 第12条 深層合成サービス提供者は、トレーニングデータの管理を強化し、データ処理が適法かつ適切であることを保証し、データのセキュリティを保護するために必要な措置を講じるものとする。 トレーニングデータに個人情報を含むデータが含まれる場合は、個人情報保護に関する関連規定も遵守し、個人情報を不正に取り扱ってはならない。
深度合成服务提供者提供人脸、人声等生物识别信息的显著编辑功能的,应当提示深度合成服务使用者依法告知并取得被编辑的个人信息主体的单独同意。法律、行政法规另有规定的除外。 深層合成サービスの提供者が、顔や音声などの生体情報に対して重要な編集機能を提供する場合、深層合成サービスの利用者に対して、法律に基づいて、編集される個人情報の対象者に通知し、別途同意を得るように促さなければならない。 法律や行政法規で定められている場合を除く。
第十三条 深度合成服务提供者对使用其服务所制作的深度合成信息内容,应当通过有效技术措施在信息内容中添加不影响用户使用的标识,依法保存日志信息,使发布、传播的深度合成信息内容可被自身识别、追溯。 第13条 深層合成サービスのプロバイダは、そのサービスの使用によって生成された合成情報のコンテンツの深さのために、情報の内容で効果的な技術的手段を介して追加しなければならないロゴのユーザーの使用に影響を与えない、ログ情報を保存するための法律によると、合成情報のコンテンツの深さは、公開されて普及するように識別し、自分で追跡することができる。
第十四条 深度合成服务提供者提供以下深度合成服务的,应当使用显著方式对深度合成信息内容进行标识,向社会公众有效提示信息内容的合成情况: 第14条 深層合成サービスプロバイダは、次の深層合成サービスを提供し、深層合成情報コンテンツを識別するために重要な方法を使用しなければならない、公共に効果的に情報コンテンツの合成を促す。
(一)提供智能对话、智能写作等模拟自然人进行文本生成或者编辑服务的,在文本信息内容的稿源说明处等位置进行显著标识; (1) テキスト生成または編集サービスのために、著名なロゴの位置にあるソース記述のテキスト情報コンテンツにおいて、インテリジェントな対話、インテリジェントな書き込み、その他の自然人のシミュレーションを提供する。
(二)提供合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务的,在音频信息内容的合理区域以语音说明等方式进行显著标识; (2) 合成人間の声やイミテーション・ボイスなど、個人のアイデンティティ特性を著しく変化させる音声生成・編集サービスが提供される場合、音声情報コンテンツの合理的な領域、例えば、音声の説明部分に目立つように表示される。
(三)提供人脸生成、人脸替换、人脸操控、姿态操控等虚拟人物图像、视频生成或者显著改变个人身份特征的编辑服务的,在图像、视频信息内容的明显位置进行显著标识; (3) 顔の生成、顔の置き換え、顔の操作、ジェスチャーの操作など、個人のアイデンティティ特性を大幅に変更するバーチャルキャラクターの画像や動画の生成・編集サービスを提供する場合は、画像や動画の情報コンテンツを見やすい場所に目立つように配置する。
(四)提供沉浸式拟真场景等生成或者编辑服务的,在虚拟场景信息内容的明显位置进行显著标识; (4) 没入型のイミテーション・シーンやその他の生成・編集サービスが提供される場合には、バーチャル・シーンの情報コンテンツが目立つ位置に表示されている。
(五)提供其他具有生成或者显著改变信息内容功能的服务的,在文本、图像、音频或者视频、虚拟场景等的合理位置或者区域进行显著标识。 (5) 情報コンテンツを生成または大幅に変更する機能を持つ他のサービスが提供される場合、テキスト、画像、音声または映像、仮想シーンなどが合理的な場所または領域で目立つように識別されていること。
深度合成服务提供者提供前款规定之外的深度合成服务的,应当向深度合成服务使用者提供对深度合成信息内容进行显著标识的功能,并提示深度合成服务使用者可以对深度合成信息内容进行显著标识。 深層合成サービス提供者は、前項に規定する以外の深層合成サービスを提供する場合、深層合成サービス利用者に深層合成情報の内容を大幅にマーキングする機能を提供し、深層合成サービス利用者に深層合成情報の内容を大幅にマーキングすることを促すものとする。
第十五条 深度合成服务提供者发现第十四条第一款规定的深度合成信息内容未进行显著标识的,应当立即停止传输该信息,按照规定作出显著标识后,方可继续传输。 第15条 深層合成サービス提供者は、第14条第1項に規定する深層合成情報の内容に有意な表示がなされていないことを発見したときは、直ちに送信を中止し、送信を継続する前に規定に従って有意な表示をしなければならない。
第十六条 互联网应用商店服务提供者应当对深度合成服务提供者提供的深度合成应用程序履行安全管理责任,依法依约核验深度合成应用程序的安全评估、备案等情况;对违反国家有关规定的,应当及时采取不予上架、暂停上架或者下架等处置措施。 第16条 インターネットアプリケーションショップサービスプロバイダは、深層合成サービスプロバイダが提供する深層合成アプリケーションのセキュリティ管理責任を果たし、法律に基づいて深層合成アプリケーションのセキュリティ評価と記録を検証しなければならない。関連する国家の規制に違反した場合、棚(アプリをダウンロードする場所)に並べない、棚の停止、棚から撤去するなどの処分措置を適時に取らなければならない。
第十七条 深度合成服务提供者应当建立健全辟谣机制,发现深度合成信息服务使用者利用深度合成技术制作、复制、发布、传播虚假信息的,应当及时采取相应的辟谣措施,并将相关信息报网信等部门备案。 第17条 深層合成サービスプロバイダは、深層合成情報サービスの利用者が深層合成技術を使用して、コピー、出版、虚偽の情報を広めるために、速やかに対応する偽情報対策を取らなければならない、とレコードのためのネットの手紙や他の部門に関連する情報を報告し、偽情報のメカニズムを確立し、改善しなければならない。
第十八条 深度合成服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,公布处理流程和反馈时限,及时受理、处理并反馈处理结果。 第18条 深層合成サービスの提供者は、便利で効果的なユーザーの苦情や公的な苦情、報告のためのポータルを設置し、処理プロセスやフィードバックの期限を公表し、タイムリーに結果を受け取り、処理し、フィードバックするものとする。
第十九条 深度合成服务提供者应当按照《互联网信息服务算法推荐管理规定》的有关规定,在提供服务之日起十个工作日内履行备案手续。 第19条 深層合成サービス提供者は、「インターネット情報サービスアルゴリズム勧告管理規定」の関連規定に基づき、サービス提供日から10営業日以内に申請手続きを行うものとする。
完成备案的深度合成服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。 申請を完了した深層合成サービス事業者は、その申請番号を表示し、一般向けのサービスを提供するウェブサイトやアプリケーションなどの目立つ位置に公開情報へのリンクを提供する。
第二十条 深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。 第20条 深層合成サービス事業者は、オンライン上で世論の属性や社会的動員力を持つ新製品、新アプリケーション、新機能を開発する場合、関連する国の規制に従ってセキュリティ評価を実施しなければならない。
第二十一条 各级网信部门对深度合成信息服务提供者履行深度合成信息内容管理主体责任情况开展监督检查,对存在问题的深度合成信息服务提供者及时提出整改意见并限期整改。 第21条 各レベルのネットレター部門は、深層合成情報のコンテンツ管理の主な責任を果たすために、深層合成情報サービス提供者の監督と検査を行い、問題のある深層合成情報サービス提供者に対しては、速やかに是正意見と是正期限を提示しなければならない。
深度合成服务提供者对网信部门依法实施的监督检查,应当予以配合,并提供必要的技术、数据等支持和协助。 深層合成情報サービス提供者は、法律に基づいてネット情報部門が行う監督・検査に協力し、必要な技術的・データ的支援・協力を行う。
第二十二条 违反本规定第七条、第八条、第十条、第十一条、第十三条、第十四条、第十五条、第十六条、第十七条、第十八条、第二十条、第二十一条第二款规定,法律、行政法规有规定的,依照其规定;法律、行政法规没有规定的,由国家和省、自治区、直辖市网信部门依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。 第22条 第7条、第8条、第10条、第11条、第13条、第14条、第15条、第16条、第17条、第18条、第20条、第21条第2項の規定に違反した場合、法律や行政法規の規定に従い、法律や行政法規が規定されていない場合は、国と省、自治区、中央インターネット部門直属の自治体は、警告を与えるために、その義務に従って、訂正期限を定め、訂正前の関連業務を停止する。訂正を拒否した場合や状況が深刻な場合は、情報更新の停止を命じ、1万元以上10万元以下の罰金を課す。
违反本规定第六条、第九条、第十二条、第十九条规定的,由国家和省、自治区、直辖市网信部门依据职责,按照有关法律、行政法规和部门规章的规定予以处理。 本規定の第6条、第9条、第12条および第19条の規定に違反した場合は、国および省、自治区、市のインターネット情報部門がその職務に従い、関連する法律、行政規則、部門規則の規定に基づいて対処する。
违反本规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 これらの規定に違反し、他人に損害を与えた場合は、法律に基づいて民事責任を負い、公安管理の違反に該当する場合は、法律に基づいて公安管理の処罰を受け、犯罪に該当する場合は、法律に基づいて刑事責任の調査を受けるものとする。
第二十三条 本规定中下列用语的含义: 第23条 本規定における次の用語の意味。
场景声,是指音频中非语音内容的背景声音。 「シーンサウンド」とは、オーディオの中で音声以外のコンテンツの背景音を意味する。
人脸操控,是指对图像、视频中人物的面部表情等进行操控。 「顔面操作」とは、画像や映像などに写っている人物の顔の表情を操作することである。
姿态操控,是指对图像、视频中人物的肢体动作等进行操控。 「ポーズ操作」とは、画像や映像に写っている人物の体の動きなどを操作することである。
三维重建,是指利用数据生成或者编辑场景三维立体影像的深度合成技术。 「3D再構築」とは、データを用いてシーンの3次元画像を綿密に合成し、生成・編集する技術である。
训练数据,是指被用于训练机器学习模型的标注或者基准数据集。 「トレーニングデータ」は、機械学習モデルの学習に使用される、注釈付きデータセットまたはベンチマークデータセットである。
沉浸式拟真场景,是指通过深度合成技术生成或者编辑的、可供参与者体验或者互动的、具有高度真实感的虚拟场景。 「没入型シーン」とは、深層合成技術によって生成または編集された仮想のシーンで、非常にリアルで、参加者が体験またはインタラクションすることができるものである。
第二十四条 本规定由国家互联网信息办公室负责解释。 第24条 本規定の解釈については、国家サイバースペース管理局が責任を負う。
第二十五条 本规定自 年 月 日起施行。 第25条 この規定は、年 月 日から施行する。

 

 

关于《互联网信息服务深度合成管理规定(征求意见稿)》的说明 「インターネット情報サービスの深層合成の管理規定(意見募集稿)」に関する説明
为了规范互联网信息服务深度合成活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,国家互联网信息办公室起草了《互联网信息服务深度合成管理规定(征求意见稿)》(以下称《规定(征求意见稿)》)。有关情况说明如下: インターネット情報サービスの深層合成活動を規制し、社会主義の核心価値を促進し、国家安全と社会公共の利益を守り、国民、法人およびその他の組織の合法的な権利と利益を保護するために、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、インターネット情報サービス管理弁法およびその他の法律と行政法規に基づき、国家インターネット情報局は「インターネット情報サービスの深層合成管理に関する規則(意見募集稿)」(以下「規定(意見募集稿)」という。) 関連情報を以下に説明する。
一、制定的必要性 1. 策定の必要性
(一)贯彻党中央决策部署的重要举措。党的十九大报告提出“加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间”的任务要求。党中央印发的《法治社会建设实施纲要(2020-2025年)》提出制定完善对算法推荐、深度伪造等新技术应用的规范管理办法。落实党中央决策部署,需要统筹安全与发展,加快制定完善制度规范,促进深度合成技术依法合理有效利用。 (1) 党中央委員会の決定と配備を実行するための重要な手段。 第19回党大会の報告では、「インターネットコンテンツの建設を強化し、包括的なネットワークガバナンスシステムを構築し、明確なサイバースペースを構築する」という課題が掲げられています。 党中央委員会は「法治社会実施要綱(2020-2025年)」を発表し、アルゴリズム推薦や深層偽造などの新技術の適用に関する規制や管理方法の策定・改善を提案しています。 党中央委員会の決定と展開を実行するためには、安全保障と開発を調整し、制度的規範の策定と改善を加速し、法に則って深層合成技術の合理的かつ効果的な利用を促進する必要がある。
(二)维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园,互联网信息服务深度合成活动在服务用户需求、改进用户体验的同时,也被一些不法分子用于制作、复制、发布、传播违法信息,诋毁、贬损他人名誉、荣誉,仿冒他人身份实施诈骗等违法行为,不仅损害人民群众的切身利益,甚至危害国家安全和社会稳定,迫切需要划定“底线”、“红线”,规范发展互联网信息服务深度合成活动,维护网络空间良好生态。 (2)サイバースペースの良好な生態系を維持するための現実的な必要性。 サイバースペースは、何億人もの人々の共通の家であり、インターネットの情報サービスは、ユーザーのニーズのサービスで深い合成活動は、ユーザーの経験を向上させるだけでなく、いくつかの無法な要素によって生成するために使用される、コピー、公開、違法な情報を広める、誹謗中傷、他人の評判や名誉に軽蔑、詐欺やその他の違法行為を遂行するために他人のIDを偽装、だけでなく、人々の重要な利益を損傷し、さらには国家の安全と社会的安定を危険にさらす。 ボトムライン」と「レッドライン」を引いて、インターネット情報サービスの発展を深層合成活動で規制し、サイバースペースの良好な生態系を維持することが急務である。
(三)深化互联网信息服务依法管理的客观要求。在前期已出台《网络信息内容生态治理规定》、《互联网信息服务算法推荐管理规定》、《网络音视频信息服务管理规定》等相关部门规章和规范性文件,明确对生成合成类算法和利用深度学习、虚拟现实等新技术新应用制作音视频内容等的监管要求的基础上,需要进一步厘清、细化深度合成技术的应用场景,明确深度合成服务提供者和使用者的信息安全义务,出台具有系统性、针对性和可操作性的专门管理规定。 (3) 法律に基づくインターネット情報サービス管理の客観的要件を深める。 ネットワーク情報コンテンツのエコロジーガバナンスに関する規定」、「インターネット情報サービスのアルゴリズム推奨管理に関する規定」、「ネットワーク音声・映像情報サービスの管理に関する規定」などの関連部門の規定や規範文書、および合成型アルゴリズムの生成やディープラーニングやバーチャルリアリティなどの新技術・アプリケーションを利用した音声・映像コンテンツの生成に関するその他の規制要件に基づき、ディープシンセシスをさらに明確にし、洗練させる必要がある 深層合成技術の適用シナリオを基に、深層合成技術の適用シナリオを明確にして精緻化し、深層合成サービス提供者と利用者の情報セキュリティ義務を明示し、体系的、目標的、かつ運用可能な特別な管理規定を導入する必要がある。
二、起草过程 2. 起草プロセス
(一)开展立法调研。深入企业、科研院所、高校等单位调查研究国内深度合成技术发展、应用场景,充分研究国内外深度合成技术发展应用中存在的问题及监管情况,全面梳理互联网信息服务深度合成活动信息安全风险。 (1) 立法調査の実施 企業、科学研究機関、大学や他のユニットを調査し、国内の深さの合成技術、アプリケーションのシナリオの開発を研究し、完全に国内外で深さの合成技術の開発と応用の問題と規制状況を研究し、包括的にインターネット情報サービスの深さの合成活動の情報セキュリティのリスクを整理するために詳細な調査。
(二)组织研究论证。组织系列专家研讨会,邀请科研院所和高校技术、法律专家对互联网信息服务深度合成活动现状、问题及法律规制进行深入分析,并就《规定》体例框架、主要制度和具体内容开展论证研究。 (2) 研究・実証を行う。 一連の専門家セミナーを開催し、科学研究機関や大学から技術・法律の専門家を招いて、インターネット情報サービスの詳細な合成活動の現状、問題点、法的規制についての詳細な分析を行い、規則の本体の枠組み、主要なシステム、具体的な内容についてのデモンストレーションと研究を行う。
(三)起草《规定(征求意见稿)》。坚持问题导向和目标导向,落实、细化《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规要求,起草形成《规定(征求意见稿)》。 (3) 規定のドラフト化(意見募集稿)。 問題志向と目標志向を堅持し、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「インターネット情報サービス管理弁法」などの法律や行政法規を実施・精査し、「規則(パブリックコメント用ドラフト)」を起案・策定すること。
三、主要内容 3. 主な内容
《规定(征求意见稿)》共二十五条,主要规定了以下五个方面的内容。 本規定(パブリックコメント用ドラフト)は、全25条で構成されており、主に以下の5点について規定している。
(一)明确了制定目的依据、适用范围和总体要求。明确在中华人民共和国境内应用深度合成技术提供互联网信息服务,以及为深度合成服务提供技术支持的活动,适用本规定。明确深度合成技术、深度合成服务提供者和深度合成服务使用者等概念的含义。明确国家网信部门、地方网信部门的统筹协调和监督管理职责以及深度合成服务提供者、使用者的基本要求。鼓励相关行业组织加强行业自律。强调不得利用深度合成服务从事法律法规禁止的活动,不得制作、复制、发布、传播含有法律法规禁止内容的信息。(第一条至第六条) (1)  策定目的、適用範囲、一般的な要求事項の根拠を明確にする。 中華人民共和国の深さの合成技術のアプリケーションを明確にインターネットの情報サービスを提供するだけでなく、合成サービスの深さは、技術サポート活動を提供するために、規定が適用されます。 深層合成技術、深層合成サービスプロバイダー、深層合成サービスユーザーなどの概念の意味を明確にする。 国のインターネット情報部門と地方のインターネット情報部門の調整・監督責任、および深層合成サービスの提供者と利用者の基本的な要件を明確にする。 業界の自主規制を強化するために、関連する業界団体を奨励する。 深層合成サービスは、法令で禁止されている活動に従事するために使用してはならず、法令で禁止されている内容を含む情報を作成、コピー、出版、または配布してはならないことを強調している。 (第1条から第6条まで)
(二)明确了深度合成服务提供者主体责任。要求建立健全算法机制机理审核、信息内容管理、从业人员教育培训等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。应当制定并公开管理规则和平台公约,并对使用者依法进行真实身份信息认证。加强内容管理,采取技术或者人工方式对输入数据和合成结果进行审核,并建立健全相关特征库。加强技术管理,定期审核、评估、验证算法机制机理。提供涉及生物识别信息或者可能涉及国家安全、社会公共利益的模型、模板等工具的,应当自行开展安全评估,预防信息安全风险。加强训练数据管理,确保数据处理正当、合法,采取必要措施保障数据和个人信息安全。(第七条至第十二条) (2)  深層合成サービス提供者の主な責任を明確にする。 アルゴリズム・メカニズムの監査、情報コンテンツの管理、実務者の教育・訓練などの管理体制を確立・改善し、新技術・新用途の開発に対応した安全で制御可能な技術的保障措置を持つことが求められている。 管理ルールやプラットフォームの規約を策定して公開し、法律に基づいて実在するID情報でユーザーを認証することが必要です。 コンテンツ管理を強化し、入力データや合成結果を監査するための技術的または手動的な方法を採用し、関連する機能の健全なライブラリーを確立する。 技術的な管理を強化し、定期的にアルゴリズムのメカニズムの見直し、評価、検証を行う。 生体情報を含む、あるいは国家安全保障や社会公共の利益に関わる可能性のあるモデルやテンプレートなどのツールを提供する方は、情報セキュリティ上のリスクを防ぐために、独自のセキュリティ評価を行う必要があります。 トレーニングデータの管理を強化し、適切かつ合法的なデータ処理を行い、データおよび個人情報のセキュリティを保護するために必要な措置を講じること。 (第7条~第12条)
(三)明确了深度合成信息内容标识管理制度。要求深度合成服务提供者对使用其服务所制作的深度合成信息内容,通过有效技术措施添加不影响用户使用的标识,依法保存日志信息,使深度合成信息内容可被自身识别、追溯。对生成或者显著改变信息内容的深度合成信息内容,应当使用显著方式进行标识,向社会公众有效提示信息内容的合成情况;对其他深度合成信息内容,应当提供进行显著标识的功能,并提示使用者可以自行标识。发现应该进行显著标识而未显著标识的,应当立即停止传输该信息,按规定作出显著标识后,方可继续传输。(第十三条至第十五条) (3)  深く合成された情報の内容を特定するための管理体制を明確にする。 深層合成サービス事業者に対して、そのサービスを利用して作成された深層合成情報コンテンツに、有効な技術的手段を用いて利用者の利用に影響を与えない表示を付加すること、および深層合成情報コンテンツが自ら識別・追跡できるように法律に基づいてログ情報を保管することを求める。 情報の内容を生成または大幅に変更する深い合成情報コンテンツは、合成情報コンテンツであることを効果的に公衆に示すために、重要な方法でマーキングする必要があります。その他の深い合成情報コンテンツについては、重要なマーキングの機能を提供し、ユーザーは自分でマーキングするよう促されるべきである。 明示的に表示すべきであるにもかかわらず、明示的に表示されていないことが判明した場合には、当該情報の送信を直ちに停止し、規定に従って明示的に表示されるまで送信を継続してはならない。 (第13条~第15条)。
(四)明确了监督管理相关要求。互联网应用商店服务提供者应当对深度合成应用程序履行安全管理责任,依法依约核验安全评估、备案等情况,对违反国家有关规定的,及时采取不予上架、暂停上架或者下架等处置措施。深度合成服务提供者应当建立健全辟谣机制,设置便捷有效的用户申诉和公众投诉、举报入口;应当按照有关规定履行备案手续、标明备案编号;开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估;对网信部门依法实施的监督检查,应当予以配合,并提供必要的技术、数据等支持和协助。(第十六条至第二十一条) (4) 監督および管理に関する要件を明確にする。 インターネットアプリケーションショップサービスプロバイダは、深層合成アプリケーションのセキュリティ管理責任を果たし、法律に基づいてセキュリティ評価やファイリングなどの状況を確認し、関連する国内規制に違反した場合には、タイムリーに掲載しない、停止する、棚から削除するなどの処分を行うものとします。 深層合成サービスプロバイダは、確立し、偽情報のメカニズムを改善する必要があります、便利で効果的なユーザーの苦情や公共の苦情、報告ポータルを設定し、レコードの手順の関連規定に従って、レコード番号でマークする必要があります。 協力し、必要な技術、データ、その他のサポートや支援を提供する。 (第16条~第21条)
(五)明确了法律责任、解释部门和施行日期。违反《规定》相关规定的,由国家和省、自治区、直辖市网信部门依据职责,按照《规定》和有关法律法规规章的规定予以处理。《规定》由国家互联网信息办公室负责解释。(第二十二条至第二十五条) (5)法的責任、解釈部門、実施日を明確にする。 本規定の関連規定に違反した場合は、国および省、自治区、市レベルのインターネット情報部門が、その職務に基づき、本規定および関連する法律、規則、規定に基づいて対処するものとする。 本規定の解釈については、国家サイバースペース管理局が責任を負うものとします。 (第22条から第25条)。

 

 


1_20210612030101

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

| | Comments (0)

2022.01.29

ENISA データ保護エンジニアリング

こんにちは、丸山満彦です。

ENISAがデータ保護エンジニアリングに関する報告書を公表していますね。。。

ENISA

・2022.01.27 (press) Promoting Data Protection by Design: Exploring Techniques

Promoting Data Protection by Design: Exploring Techniques デザインによるデータ保護の推進:テクニックを探る
On the occasion of Data Protection Day, the European Union Agency for Cybersecurity (ENISA) explores how to engineer data protection principles. データ保護の日を機に、欧州連合サイバーセキュリティ機関(ENISA)は、データ保護の原則をエンジニアリングする方法を探ります。
The European Union Agency for Cybersecurity (ENISA) joins the celebrated Data Protection Day by publishing a new report on data protection engineering. January 28th marks the anniversary of the Council of Europe's Convention 108 on the protection of personal information, the first legally binding international law in the field of data protection. 欧州連合サイバーセキュリティ機関(ENISA)は、データ保護エンジニアリングに関する新しい報告書を発表し、記念すべき「データ保護の日」に参加します。1月28日は、データ保護の分野で初めて法的拘束力を持つ国際法である欧州評議会の「個人情報の保護に関する条約108」が制定された記念日です。
The evolution of technology has given rise to new techniques to share, process and store data. These new technologies have often been introduced without a prior assessment of the impact on privacy and data protection while new threats and attack vectors have introduced additional challenges.  テクノロジーの進化により、データを共有、処理、保存するための新しい技術が生まれました。これらの新技術は、プライバシーやデータ保護への影響を事前に評価することなく導入されることが多く、また、新たな脅威や攻撃手段によって、さらなる課題が生じています。 
The new publication takes a broader look into data protection engineering to support practitioners and organisations. It seeks to help them with the practical implementation of the technical aspects of data protection by design and by default. The report presents existing (security) technologies and techniques and discusses their strengths and applicability in order to meet the data protection principles stipulated by the General Data Protection Regulation (GDPR). この新刊は、実務家や組織を支援するために、データ保護工学をより広く捉えています。このレポートは、データ保護の技術的側面をデザインとデフォルトで実践する際の支援を目的としています。本報告書では、一般データ保護規則(GDPR)で規定されているデータ保護の原則を満たすために、既存の(セキュリティ)技術とテクニックを紹介し、その強みと適用可能性について議論しています。
Data protection by design has been a legal obligation since the GDPR came into effect in 2018. The concept is often associated with the use of specific Privacy Enhancing Technologies (PETs). However, it also extends to various technological and organisational components meant to implement data protection principles. Engineering those principles into practice not only means integrating them into the design of the processing operation. It also means selecting, deploying, configuring and maintaining the appropriate technological measures and techniques to that effect. 設計によるデータ保護は、2018年にGDPRが施行されて以来、法的義務となっています。この概念は、特定のプライバシー強化技術(PET)の使用と関連付けられることが多い。しかし、データ保護の原則を実装するためのさまざまな技術的・組織的コンポーネントにも適用されます。これらの原則を実践することは、処理作業の設計に組み込むことを意味するだけではありません。また、そのための適切な技術的手段と技術を選択し、導入し、構成し、維持することも意味します。
Today’s publication follows that goal by providing an analysis of possible strengths of techniques in several areas including anonymisation, data masking, privacy preserving computations, storage, transparency and user control tools. 本日の報告書では、この目標に沿って、匿名化、データマスキング、プライバシー保護のための計算、保管、透明性、ユーザーコントロールツールなど、いくつかの分野における技術の強みを分析しています。
Scope of the report 報告書の範囲
The report is designed to help assess the most relevant techniques depending on each processing operation and based on the need of the data controller by providing strengths and possible limitations.  本報告書は、データ管理者の必要性に基づき、各処理作業に応じて最も関連性の高い技術を評価するために、強みと考えられる制限を提供することを目的としています。 
Traditional security techniques such as access control and privacy preserving storage are being discussed in addition to novel concepts such as synthetic data which introduce new opportunities and challenges.  アクセス制御やプライバシー保護を目的としたストレージなどの従来のセキュリティ技術に加え、新たな機会や課題をもたらす合成データなどの新しいコンセプトについても取り上げています。 
The report underlines the importance of policy guidance and the ability to demonstrate compliance and provide assurance to end-users. 本報告書では、ポリシーガイダンスの重要性と、コンプライアンスを実証し、エンドユーザーに保証を提供する能力が強調されています。
ENISA is currently setting up an Ad Hoc Working Group in the area of Data Protection Engineering. The Ad-Hoc Working Group on Data Protection Engineering is open until 15 February 2022 12:00 noon EET (Athens time zone). The role of the group will be to support the analysis of available or emerging technologies and techniques in the area in order to identify and highlight good practices and innovative security techniques. ENISAは現在、データ保護エンジニアリングの分野でAd Hoc Working Groupを立ち上げています。データ保護エンジニアリングに関するAd-Hoc Working Groupは、2022年2月15日12:00 EET(アテネ時間帯)まで募集しています。このグループの役割は、この分野で利用可能な、あるいは新たに登場する技術や技法の分析をサポートし、優れた事例や革新的なセキュリティ技法を特定して強調することです。
Background 背景
The General Data Protection Regulation (GDPR) addresses the risks associated with the processing of personal data. The regulation intends to reinforce individuals’ rights in the digital era and enable them to better control their personal data online. At the same time, modernised and unified rules will allow businesses to make the most of the opportunities of the Digital Single Market (DSM) also benefiting from increased consumer trust. 一般データ保護規則(GDPR)は、個人データの処理に関連するリスクに対処するものです。この規則は、デジタル時代における個人の権利を強化し、オンラインで個人データをよりよく管理できるようにすることを目的としています。同時に、近代的で統一された規則により、企業はデジタル単一市場(DSM)の機会を最大限に活用し、消費者の信頼を高めることができます。
To this end, ENISA looks into the solutions offered by Privacy by design as a fundamental principle of embedding data protection safeguards at the heart of new electronic products and services. An example is Privacy Enhancing Technologies (PETs) that can support privacy integration in systems and services. ENISA also engages in different analyses of other security measures in relation to cryptographic protocols or online and mobile data protection among others. この目的のために、ENISAは、新しい電子製品やサービスの中心にデータ保護のセーフガードを組み込む基本原則として、プライバシー・バイ・デザインが提供するソリューションに注目しています。その一例が、システムやサービスにおけるプライバシーの統合をサポートするPrivacy Enhancing Technologies (PETs)です。また、ENISAは、暗号プロトコルやオンラインおよびモバイルのデータ保護に関連するその他のセキュリティ対策についてもさまざまな分析を行っています。
Further Information 関連情報
ENISA Report - Data Protection Engineering ENISAレポート - データ保護エンジニアリング
ENISA webpage on Data Protection  データ保護に関するENISAのウェブページ 
ENISA Annual Privacy Forum 2022 (APF 2022) ENISA Annual Privacy Forum 2022 (APF 2022)
ENISA Report - Data Pseudonymisation: Advanced Techniques and Use Cases ENISA Report - Data Pseudonymisation: 高度な技術と使用例

 

・2022.01.27 Data Protection Engineering

Data Protection Engineering データ保護エンジニアリング
Data Protection Engineering can be perceived as part of data protection by Design and by Default. It aims to support the selection, deployment and configuration of appropriate technical and organizational measures in order to satisfy specific data protection principles. The current report took a broader look into data protection engineering with a view to support practitioners and organizations with practical implementation of technical aspects of data protection by design and by default. Towards this direction this report presents existing (security) technologies and techniques and discusses possible strengths and applicability in relation to meeting data protection principles as set out in Article 5 GDPR. Based on this analysis, the report provides conclusions and recommendations for relevant stakeholders. データ保護エンジニアリングは、「設計によるデータ保護」および「デフォルトによるデータ保護」の一部であると考えることができます。データ保護工学は、特定のデータ保護原則を満たすために、適切な技術的および組織的手段の選択、展開、設定をサポートすることを目的としています。本報告書では、データ保護の技術的側面をデザインおよびデフォルトで実装する際に、実務者および組織を支援することを目的として、データ保護工学をより広く検討しました。この方向性に向けて、本報告書では、既存の(セキュリティ)技術とテクニックを紹介し、GDPR第5条に規定されているデータ保護原則を満たす上での強みと適用可能性について議論しています。この分析に基づいて、本報告書では結論と関連するステークホルダーへの提言を行っています。

 

・[PDF] Data Protecion Engineering

20220128-233542

 

目次

1. INTRODUCTION 1. 序論
1.1 DATA PROTECTION BY DESIGN 1.1 デザインによるデータ保護
1.2 SCOPE AND OBJECTIVES 1.2 範囲および目的
1.3 STRUCTURE OF THE DOCUMENT 1.3 本文書の構成
2. ENGINEERING DATA PROTECTION 2. エンジニアリングによるデータ保護
2.1 FROM DATA PROTECTION BY DESIGN TO DATA PROTECTION ENGINEERING 2.1 設計によるデータ保護からデータ保護エンジニアリングへ
2.2 CONNECTION WITH DPIA 2.2 dpiaとの関連
2.3 PRIVACY ENHANCING TECHNOLOGIES 2.3 プライバシー強化技術
3. ANONYMISATION AND PSEUDONYMISATION 3. 匿名化と仮名化
3.1 ANONYMISATION 3.1 匿名化
3.2 k-ANONYMITY 3.2 k-匿名化
3.3 DIFFERENTIAL PRIVACY 3.3 ディファレンシャル・プライバシー
3.4 SELECTING THE ANONYMISATION SCHEME 3.4 匿名化スキームの選択
4. DATA MASKING AND PRIVACY-PRESERVING COMPUTATIONS 4. データマスキングとプライバシー保護のための計算
4.1 HOMOMORPHIC ENCRYPTION 4.1 ホモモルフィックな暗号化
4.2 SECURE MULTIPARTY COMPUTATION 4.2 安全なマルチパーティ計算
4.3 TRUSTED EXECUTION ENVIRONMENTS 4.3 信頼できる実行環境
4.4 PRIVATE INFORMATION RETRIEVAL 4.4 秘密情報の検索
4.5 SYNTHETIC DATA 4.5 合成データ
5. ACCESS. COMMUNICATION AND STORAGE 5. アクセス 通信とストレージ
5.1 COMMUNICATION CHANNELS 5.1 通信チャネル
5.1.1 End to End Encryption 5.1.1 端末間暗号化
5.1.2 Proxy & Onion Routing 5.1.2 プロキシとオニオン・ルーティング
5.2 PRIVACY PRESERVING STORAGE 5.2 プライバシーを保護するストレージ
5.3 PRIVACY-ENHANCING ACCESS CONTROL, AUTHORIZATION AND AUTHENTICATION 5.3 プライバシーを保護するアクセスコントロール、認可、認証
5.3.1 Privacy-enhancing attribute-based credentials 5.3.1 プライバシーに配慮した属性ベースのクレデンシャル
5.3.2 Zero Knowledge Proof 5.3.2 ゼロ知識証明
6. TRANSPARENCY, INTERVENABILITY AND USER CONTROL TOOLS 6. 透明性、介入可能性、ユーザーコントロールツール
6.1 PRIVACY POLICIES 6.1 プライバシーポリシー
6.2 PRIVACY ICONS 6.2 プライバシーアイコン
6.3 STICKY POLICIES 6.3 スティッキーポリシー
6.4 PRIVACY PREFERENCE SIGNALS 6.4 プライバシー設定シグナル
6.5 PRIVACY DASHBOARDS 6.5 プライバシーダッシュボード
6.5.1 Services-side privacy dashboards 6.5.1 サービス側のプライバシーダッシュボード
6.5.2 User-side privacy dashboards 6.5.2 ユーザー側のプライバシーダッシュボード
6.6 CONSENT MANAGEMENT 6.6 同意管理
6.7 CONSENT GATHERING 6.7 同意の収集
6.8 CONSENT MANAGEMENT SYSTEMS 6.8 同意管理システム
6.9 EXERCISING RIGHT OF ACCESS 6.9 アクセス権の行使
6.9.1 Delegation of Access Rights Requests 6.9.1 アクセス権要求の委譲
6.10EXERCISING RIGHT TO ERASURE, RIGHT TO RECTIFICATION 6.10 削除権、修正権の行使
7. CONCLUSIONS 7. 結論
7.1 DEFINING THE MOST APPLICABLE TECHNIQUE 7.1 最も適用可能な技術の定義
7.2 ESTABLISHING THE STATE-OF-THE-ART 7.2 最新技術の確立
7.3 DEMONSTRATE COMPLIANCE AND PROVIDE ASSURANCE 7.3 コンプライアンスの実証と保証の提供
8. REFERENCES 8. 参考文献

 

EXECUTIVE SUMMARY  エグゼクティブ・サマリー 
The evolution of technology has brought forward new techniques to share, process and store data. This has generated new models of data (including personal data) processing, but also introduced new threats and challenges. Some of the evolving privacy and data protection challenges associated with emerging technologies and applications include: lack of control and transparency, possible reusability of data, data inference and re-identification, profiling and automated decision making.   テクノロジーの進化により、データを共有、処理、保存するための新しい技術が登場しました。これにより、データ(個人データを含む)処理の新しいモデルが生まれただけでなく、新たな脅威や課題も発生しています。新興技術やアプリケーションに関連して進化するプライバシーおよびデータ保護の課題には、管理と透明性の欠如、データの再利用の可能性、データの推論と再識別、プロファイリング、自動化された意思決定などがあります。 
The implementation of the GDPR data protection principles in such contexts is challenging as they cannot be implemented in the traditional, “intuitive” way. Processing operations must be rethought, sometimes radically (similar to how radical the threats are), possibly with the definition of new actors and responsibilities, and with a prominent role for technology as an element of guarantee. Safeguards must be integrated into the processing with technical and organisational measures. From the technical side, the challenge is to translate these principles into tangible requirements and specifications by requirements by selecting, implementing and configuring appropriate technical and organizational measures and techniques このような状況下でGDPRのデータ保護原則を実施することは、従来の「直感的」な方法では実施できないため、困難を伴います。処理作業は、時には根本的に(脅威がどれほど根本的であるかと同様に)再考しなければなりません。場合によっては、新たな関係者と責任を定義し、保証の要素として技術が重要な役割を果たすことも必要です。セーフガードは、技術的および組織的な手段によって処理に組み込まれなければならない。技術面での課題は、適切な技術的・組織的措置および技術を選択、実装、構成することにより、これらの原則を要件ごとに具体的な要件および仕様に変換することです。
Data Protection Engineering can be perceived as part of data protection by Design and by Default. It aims to support the selection, deployment and configuration of appropriate technical and organizational measures in order to satisfy specific data protection principles. Undeniably it depends on the measure, the context and the application and eventually it contributes to the protection of data subjects’ rights and freedoms.   データ保護エンジニアリングは、「設計によるデータ保護」および「デフォルトによるデータ保護」の一部として認識することができます。データ保護エンジニアリングは、特定のデータ保護原則を満たすために、適切な技術的および組織的な手段の選択、展開、および構成をサポートすることを目的としています。データ保護エンジニアリングは、データ対象者の権利と自由の保護に貢献するための手段、状況、およびアプリケーションに依存することは間違いありません。 
The current report took a broader look into data protection engineering with a view to support practitioners and organizations with practical implementation of technical aspects of data protection by design and by default. Towards this direction this report presents existing (security) technologies and techniques and discusses possible strengths and applicability in relation to meeting data protection principles as set out in Article 5 GDPR.    今回の報告書では、データ保護の技術的側面をデザインおよびデフォルトで実践することで、実務者や組織を支援することを目的として、データ保護工学をより広く検討しました。この方向性に向けて、本報告書では、既存の(セキュリティ)技術と技法を紹介し、GDPR第5条に規定されているデータ保護の原則を満たす上での強みや適用可能性について議論しています。  
Based on the analysis provided in the report, the following conclusions and recommendations for relevant stakeholders are provided below: 本報告書の分析結果に基づき、関連するステークホルダーに対する結論と提言を以下に示します。
・Regulators (e.g. Data Protection Authorities and the European Data Protection Board) should discuss and promote good practices across the EU in relation to state-of-the-art solutions of relevant technologies and techniques. EU Institutions could promote such good practices by relevant publicly available documents.  ・規制当局(データ保護当局や欧州データ保護委員会など)は、関連する技術や手法の最先端のソリューションに関連して、EU全体でグッドプラクティスを議論し、促進すべきである。EU機関は、そのようなグッドプラクティスを、関連する公開文書によって促進することができる。
・The research community should continue exploring the deployment of (security) techniques and technologies that can support the practical implementation of data protection principles, with the support of the EU institutions in terms of policy guidance and research funding.  ・研究コミュニティは、政策指導や研究資金の面でのEU機関の支援を受けて、データ保護原則の実際の実施を支援できる(セキュリティ)技術・技法の展開を継続的に探求すべきである。
・Regulators (e.g. Data Protection Authorities and the European Data Protection Board) and the European Commission should promote the establishment of relevant certification schemes, under Article 42 GDPR, to ensure proper engineering of data protection.  ・規制当局(データ保護当局および欧州データ保護委員会など)および欧州委員会は、GDPR第42条に基づき、データ保護の適切なエンジニアリングを確保するために、関連する認証制度の設立を促進すべきである。

| | Comments (0)

NISC 意見募集 「重要インフラのサイバーセキュリティに係る行動計画(案)」

こんにちは、丸山満彦です。

NISCが「重要インフラのサイバーセキュリティに係る行動計画(案)」について意見募集をしていますね。。。

● NISC

・2022.01.28 「重要インフラのサイバーセキュリティに係る行動計画(案)」に関する意見の募集について

意見募集対象

・[PDF] 重要インフラのサイバーセキュリティに係る行動計画(案)

20220129-02656

 

概要です(意見募集対象ではないです。。。)

・[PDF] 重要インフラの情報セキュリティ対策に係る第4次行動計画の改定案の概要

変更点のポイントはP2にありますね。。。。。。

20220129-03100

 

ちなみに、報告書案の目次。。。

I. 総論
1.
重要インフラ防護の目的
2.
理想とする将来像
3.
サイバーセキュリティ基本法との整合性について
 3.1
サイバーセキュリティ基本法における行動計画の位置付け
 3.2 サイバーセキュリティ基本法におけるサイバーセキュリティの定義
 3.3 サイバーセキュリティ基本法における関係主体の責務

4.
本行動計画における施策群と補強・改善の方向性等

II. 本行動計画の要点(エグゼクティブサマリー)

III. 重要インフラを取り巻く環境変化と行動計画に関する基本的な考え方
1.
重要インフラを取り巻くサイバーセキュリティの環境変化
2.
重要インフラ防護の範囲
3.
組織統治の一部としてのサイバーセキュリティ
4.
自組織に適した防護対策の実現

IV. 計画期間内の取組
1.
障害対応体制の強化
 1.1
組織統治の一部としての障害対応体制
 1.2 障害対応体制の強化に向けた取組
 1.3 官民一体となった障害対応体制の強化
 1.4 重要インフラに係る防護範囲の見直し

2.
安全基準等の整備及び浸透
 2.1
安全基準等策定指針の継続的改善
 2.2 安全基準等の継続的改善
 2.3 安全基準等の浸透
 2.4 安全基準等の文書の明確化

3.
情報共有体制の強化
 3.1
本行動計画期間における情報共有体制
 3.2 情報共有の更なる促進
 3.3 重要インフラ事業者等の活動の更なる活性化
 3.4 セプター訓練

4.
リスクマネジメントの活用
 4.1
リスクマネジメントの推進
 4.2 環境変化におけるリスク把握

5.
防護基盤の強化
 5.1
障害対応体制の有効性検証
 5.2 人材育成等の推進
 5.3 「セキュリティ・バイ・デザイン」の推進
 5.4 国際連携の推進
 5.5 サイバー犯罪対策等の強化
 5.6 デジタル庁と連携したセキュリティ確保
 5.7 広報広聴活動の推進

V. 関係主体において取り組むべき事項
1.
内閣官房
2.
重要インフラ所管省庁
3.
サイバーセキュリティ関係省庁
4.
事案対処省庁及び防災関係府省庁
5.
重要インフラ事業者等
6.
セプター及びセプター事務局
7.
セプターカウンシル
8.
サイバーセキュリティ関係機関
9.
サイバー空間関連事業者

VI. 評価・検証
1.
本行動計画の評価
 1.1
評価運営
 1.2 補完調査

2.
本行動計画の検証
 2.1
検証運営
 2.2 「重要インフラ事業者等による対策」の検証
 2.3 「政府機関等による施策」の検証

VII. 本行動計画の見直し

別添:情報連絡・情報提供について
1.
システムの不具合等に関する情報
2.
重要インフラ事業者等からの情報連絡
 2.1
情報連絡を行う場合
 2.2 情報連絡の仕組み
 2.3 情報連絡された情報の取扱い

3. 重要インフラ事業者等への情報提供
 3.1
情報提供を行う場合
 3.2 情報提供の仕組み
 3.3 情報提供のための連携体制

別紙1 対象となる重要インフラ事業者等と重要システム例
別紙2 重要インフラサービスとサービス維持レベル
別紙3 情報連絡における事象と原因の類型
別紙4-1 情報共有体制(通常時)
別紙4-2 情報共有体制(大規模重要インフラサービス障害対応時)
別紙4-3 情報共有体制における各関係主体の役割
別紙5 定義・用語集

| | Comments (0)

経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

こんにちは、丸山満彦です。

経済産業省のAI原則の実践の在り方に関する検討会から、[PDF] AI原則実践のためのガバナンス・ガイドライン Ver1.0が公表され、意見募集がされましたが、その結果を踏まえた、Ver1.1が公開されていますね。。。

● 経済産業省 - AI原則の実践の在り方に関する検討会

・2022.01.28 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

 ・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.1

20220420-50504

目次

A. はじめに
. AI ガバナンス・ガイドラインの狙い
. 本ガイドラインの法的性格
. 他のガイドライン等との関係
. AI ガバナンス・ガイドラインの使い方
.  Living Document

B. 定義

C.  AI ガバナンス・ガイドライン
. 環境・リスク分析
 (1)  AI
システムがもたらしうる正負のインパクトを理解する
 (2)  AI システムの開発や運用に関する社会的受容を理解する
 (3) 自社の AI 習熟度を理解する

. ゴール設定
 (1) AI
ガバナンス・ゴールの設定を検討する
. システムデザイン(AI マネジメントシステムの構築)
 (1) AI
ガバナンス・ゴールからの乖離の評価と乖離への対応を必須プロセスとする
  ① 業界の標準的な乖離評価プロセスとの整合性を確保する
  ② 利用者に対して乖離の可能性や対応策に関する十分な情報を提供する
  ③ データ事業者は乖離評価に十分な情報を AI システム開発者に提供する
 (2) AI マネジメントシステムを担う人材のリテラシーを向上させる
 (3) 適切な情報共有等の事業者間・部門間の協力により AI マネジメントを強化する
  ① 複数事業者間の情報共有の現状を理解する
  ② 環境・リスク分析のために日常的な情報収集や意見交換を奨励する
 (4) インシデントの予防と早期対応により利用者のインシデント関連の負担を軽減する
  ① 複数事業者間の不確実性への対応負担を適切に分配する
  ② インシデント/紛争発生時の対応をあらかじめ検討しておく

. 運用
 (1) AI
マネジメントシステムの運用状況について説明可能な状態を確保する
 (2) 個々の AI システムの運用状況について説明可能な状態を確保する
 (3) AI ガバナンスの実践状況を非財務情報に位置づけて積極的な開示を検討する

. 評価
 (1) AI
マネジメントシステムが適切に機能しているかを検証する
 (2) 社外ステークホルダーから意見を求めることを検討する

. 環境・リスクの再分析
 (1)
行動目標1-1から1-3を適時に再実施する

D.  AI ガバナンス・ガイドラインに関わった有識者等
.  AI 原則の実践の在り方に関する検討会(AI 社会実装アーキテクチャー検討会)
.  AI ガバナンス・ガイドライン ワーキンググループ
. 協力者
 (1)
上記検討会における講演(講演順)
 (2) 上記ワーキンググループを拡大した事前コンサルテーションへの参加
 (3) 事務局による個別ヒアリング

. 事務局

E. 参考文献

F. 別添1(行動目標一覧)

G. 別添2(AI ガバナンス・ゴールとの乖離を評価するための実務的な対応例)

H. 別添3(補論:アジャイル・ガバナンスの実践)

・[PDF] Governance Guidelines for Implementation of AI Principles ver. 1.1

参考

・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.0

・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.0(概要)

・[PDF] Governance Guidelines for Implementation of AI Principles ver. 1.0

・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.0への意見募集に対する回答

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.02.15 経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

・2020.05.22 「倫理的な人工知能にとって、セキュリティは非常に重要」と言う意見

・2020.05.04 米国国防省と人工知能(戦略と倫理)

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

| | Comments (0)

防衛省 防衛研究所 イスラエルにおける重要インフラのサイバー防衛組織と課題

こんにちは、丸山満彦です。

防衛省防衛研究所がブリーフィング・メモ「イスラエルにおける重要インフラのサイバー防衛組織と課題」を公表していますね。。。

サイバー防衛法の制定を探っているという話ですかね。。。

 

防衛省防衛研究所

・2022.01.27 イスラエルにおける重要インフラのサイバー防衛組織と課題

20220128-220544

はじめに

1 イスラエルのサイバー防衛の対象としての重要インフラとは

2 イスラエルのサイバー防衛組織
(1)INCD
(2)シャバック

3 サイバー防衛機関の変遷にかかわる議論
(1)強権的な国家情報セキュリティ局の活動と中小規模事業等へのサイバー脅威増大
(2)初のシビリアンのサイバー防衛機関INCBの設立とシャバックとの対立
(3)Re’emからのCIP任務の移管とシビリアンのサイバー防衛機関INCDの創設
(4)国家サイバー・セキュリティ戦略の策定とシビリアンのサイバー防衛態勢の確立

4 イスラエルのサイバー安全保障政策上の課題
(1)INCDみずからの活動の根拠となる法律の未整備
(2)INCDの権限強化のためのサイバー防衛法(仮)立法化への動きとそれへの懸念

おわりに


 

イスラエルのサイバー防衛組織等の概要

20220128-222103

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

このメモの冒頭で説明されている「英国際戦略研究所(IISS)が 2021 年6月に発表した各国のサイバー能力に関する報告書(Cyber
Capabilities and National Power : A Net Assessment)」についての紹介は、、、

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

 

 

| | Comments (0)

2022.01.28

米国 商務省 監察官監査 システム・セキュリティ評価と継続的な監視プログラムを改善する必要がある

こんにちは、丸山満彦です。

商務省の監察官監査は、セキュリティ・コントロールが一貫して実施され、効果的であることを保証するために、システム・セキュリティ評価および継続的モニタリング・プログラムを改善する必要があると報告していますね。。。

実際のところはわからないですが、期待されているレベルが高いように感じます。。。

 

Oversight.GOV

・2022.01.25 The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective

The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective 米国商務省は、セキュリティ管理が一貫して実施され、効果的であることを保証するために、システムセキュリティ評価および継続的監視プログラムを改善する必要があります
For our final report on our audit of the U.S. Department of Commerce's (the Department's) system security assessment process, our objective was to assess the effectiveness of the Department's system security assessment and continuous monitoring program to ensure security deficiencies were identified, monitored, and adequately resolved. We found the Department did not effectively execute its continuous monitoring and system assessment process. Specifically, we found the following:  米国商務省のシステムセキュリティ評価プロセスの監査に関する最終報告書において、我々の目的は、セキュリティ上の欠陥が識別され、監視され、適切に解決されることを保証するために、商務省のシステムセキュリティ評価および継続的監視プログラムの有効性を評価することでした。我々は、同省が継続的な監視とシステム評価のプロセスを効果的に実行していないことを発見しました。具体的には、以下のことがわかりました。
I. the Department did not effectively plan for system assessments;  I. 省庁は、システム評価を効果的に計画していなかった、
II. the Department did not consistently conduct reliable system assessments;  II. 省庁は、信頼できるシステム評価を一貫して実施していなかった、
III. the Department did not resolve security control deficiencies within defined completion dates; and  III. 省庁は、定義された完了日内にセキュリティ管理の欠陥を解決していなかった、
IV. the Department’s security system of record—i.e., the cyber security asset and management tool—did not provide accurate and complete assessment and plan of action & milestone data. IV. 省庁のセキュリティ記録システム(サイバーセキュリティ資産および管理ツール)は、正確で完全な評価および行動計画とマイルストーンのデータを提供していなかった。

 

・[PDF] OIG-22-017.pdf

20220128-170336

目次

Objective, Findings, and Recommendations 目的、所見、および推奨事項
I. The Department Did Not Effectively Plan for System Assessments I. システムアセスメントの計画を効果的に行っていない
A. Assessment planning was inconsistent and did not provide a reliable foundation to conduct assessments A. 評価計画は一貫性がなく、評価を実施するための信頼できる基盤を提供していなかった。
B. System security plans (SSPs) do not accurately relay critical security information B. システム・セキュリティ・プラン(SSP)は、重要なセキュリティ情報を正確に伝えていない。
Recommendation 推奨事項
II. The Department Did Not Consistently Conduct Reliable System Assessments II. 当局は信頼できるシステムアセスメントを一貫して実施していない
A. The Department did not consistently assess core minimum security controls for its high- and moderate-category systems A. 同省は、高カテゴリーおよび中カテゴリーのシステムについて、コア・ミニマム・セキュリティ・コントロールを一貫して評価していなかった。
B. Documentation supporting system assessment results was not always available for review, limiting the Department’s potential for oversight and quality control B. システム評価の結果を裏付ける文書が常に確認できるわけではなく、省庁の監視と品質管理の可能性を制限していた。
Recommendations 推奨事項
III. The Department Did Not Resolve Security Control Deficiencies Within Defined Completion Dates III. セキュリティ管理の不備を定義された完了日内に解決しなかった
Recommendations 推奨事項
IV. The Department’s Security System of Record—i.e., the CSAM Tool—Did Not Provide Accurate and Complete Assessment and POA&M Data IV. 部局のセキュリティ記録システム(CSAM ツール)は、正確で完全な評価および POA&M データを提供していない。
Recommendations 推奨事項
Summary of Agency Response and OIG Comments 省庁の対応とOIGのコメントのまとめ
Appendix A: Objective, Scope, and Methodology 附属書A:目的、範囲、および方法論
Appendix B: The Risk Management Framework 附属書B:リスクマネジメントの枠組み
Appendix C: Facts and Figures 附属書C:事実と数字
Appendix D: Agency Response 附属書D:省庁の対応

 

同様な情報となりますが、商務省の監察官室のウェブページ

Office of Inspector General

・2022.01.25 The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective

​[PDF] Report​

・[PDF] Abstract

20220128-170509

・[PDF] Announcement

 

 

 

| | Comments (0)

米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大

こんにちは、丸山満彦です。

バイデン政権は、官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大すると公表していますね。。。電力と天然ガスに続いて、、、ということですね。。。

The White House

・2022.01.27 Fact Sheet: Biden-Harris Administration Expands Public-Private Cybersecurity Partnership to Water Sector

Fact Sheet: Biden-⁠Harris Administration Expands Public-Private Cybersecurity Partnership to Water Sector ファクトシートバイデン・ハリス政権、官民のサイバーセキュリティ・パートナーシップを水分野に拡大
Today, the Biden-Harris Administration announced it will extend the Industrial Control Systems (ICS) Cybersecurity Initiative to the water sector. The Water Sector Action plan outlines surge actions that will take place over the next 100 days to improve the cybersecurity of the sector. The action plan was developed in close partnership with the Environmental Protection Agency (EPA), the Cybersecurity and Infrastructure Security Agency (CISA), and the Water Sector Coordinating Council (WSCC). 本日、バイデン・ハリス両政権は、産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大することを発表しました。水分野の行動計画では、水分野のサイバーセキュリティを向上させるために、今後100日間で実施されるサージ・アクションの概要が示されています。この行動計画は、環境保護庁(EPA)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、水分野調整協議会(WSCC)との緊密な連携により策定されました。
The incidents at Colonial Pipeline, JBS Foods, and other high-profile critical infrastructure providers are an important reminder that the federal government has limited authorities to set cybersecurity baselines for critical infrastructure and managing this risk requires partnership with the private sector and municipal owners and operators of that infrastructure. The Administration has already established ICS initiatives for the electric and natural gas pipeline subsectors, and today over 150 electricity utilities serving over 90 million residential customers and multiple critical natural gas pipelines have deployed or are in the process of deploying additional cybersecurity technologies. コロニアルパイプラインやJBSフーズなど、注目を集めている重要インフラ事業者の事故は、連邦政府が重要インフラのサイバーセキュリティの基準を設定する権限が限られていること、そしてこのリスクを管理するには、民間企業や自治体のインフラ所有者および運営者とのパートナーシップが必要であることを示す重要な教訓となっています。連邦政府は、電気事業と天然ガスパイプライン事業を対象としたICSイニシアチブをすでに確立しており、現在、9,000万人以上の家庭にサービスを提供している150社以上の電力会社と、複数の重要な天然ガスパイプラインが、追加のサイバーセキュリティ技術を導入しているか、導入中です。
The Water Sector Action Plan is a collaborative effort between the federal government and the critical infrastructure community to facilitate the deployment of technologies and systems that provide cyber-related threat visibility, indicators, detections, and warnings: 水分野のアクションプランは、連邦政府と重要インフラのコミュニティが協力して、サイバー関連の脅威の可視化、指標、検知、警告を提供する技術やシステムの展開を促進するためのものです。
・Similar to electric and pipeline action plans, this plan will assist owners and operators with deploying technology that will monitor their systems and provide near real-time situational awareness and warnings. The plan will also allow for rapidly sharing relevant cybersecurity information with the government and other stakeholders, which will improve the sector’s ability to detect malicious activity. ・この計画は、電気やパイプラインのアクションプランと同様に、所有者や運営者がシステムを監視し、ほぼリアルタイムで状況認識や警告を提供する技術の導入を支援するものです。また本計画は、関連するサイバーセキュリティ情報を政府や他の関係者と迅速に共有することを可能にし、これにより当該部門の悪意ある活動を検知する能力を向上させます。
・EPA and CISA will work with water utilities and invite them to participate in a pilot program for ICS monitoring and information sharing. This pilot will demonstrate the value of such technology to the sector. The WSCC, CISA, and EPA will also collaborate to promote cybersecurity monitoring to the entire sector. ・EPAおよびCISAは、水道事業者と協力し、ICS監視および情報共有のための試験的プログラムへの参加を呼びかけます。この試験的プログラムは、このような技術の価値を水道事業者に示すものです。また、WSCC、CISA、およびEPAは、サイバーセキュリティ監視を部門全体に広めるために協力します。
・The plan will meet the particular requirements of this sector. This sector is made up of thousands of systems that range in size from the very small to ones that service major metropolitan cities that have little or no cybersecurity expertise and are unsure what steps they should take to address cyber risks. EPA and CISA will work with appropriate private sector partners to develop protocols for sharing information. The government will not select, endorse, or recommend any specific technology or provider. ・この計画は、この部門の特殊な要件を満たすものです。この部門は、非常に小規模なものから大都市にサービスを提供しているものまで、様々な規模の数千のシステムで構成されており、サイバーセキュリティに関する専門知識をほとんどあるいは全く持たず、サイバーリスクに対処するためにどのような手段を講じるべきかわかりません。EPAおよびCISAは、適切な民間企業パートナーと協力して、情報共有のためのプロトコルを策定します。政府は、特定の技術または事業者を選択、支持、または推奨することはありません。
・The plan will initially focus on the utilities that serve the largest populations and have the highest consequence systems; however, it will lay the foundation for supporting enhanced ICS cybersecurity across water systems of all sizes. ・本計画は、当初、最大の人口を抱え、最も高い影響力を有するシステムを有する公益事業に焦点を当てる予定であるが、あらゆる規模の水システム全体におけるICSサイバーセキュリティの強化を支援するための基盤を構築します。
Efforts like this highlight cybersecurity as a top economic and national security priority for the Biden-Harris Administration: このような取り組みは、サイバーセキュリティがバイデン・ハリス政権の経済と国家安全保障における最優先事項であることを示しています。
・The Administration has rapidly moved out on a whole-of-government effort to counter ransomware including disrupting ransomware infrastructure and actors, bolstering public and private resilience to withstand ransomware attacks, and leverage international cooperation to address safe harbors for ransomware criminals and disrupt the ransomware ecosystem. ・政権は、ランサムウェアのインフラや関係者の混乱、ランサムウェアの攻撃に耐えうる官民の回復力の強化、ランサムウェア犯罪者のセーフハーバーへの対応とランサムウェアのエコシステムの破壊に向けた国際協力など、ランサムウェア対策に向けた政府全体の取り組みを急速に進めています。
・President Biden signed an Executive Order to modernize cybersecurity defenses by protecting federal networks, improving information-sharing between the U.S. government and the private sector on cyber issues, and strengthening the United States’ ability to respond to incidents when they occur. The Executive Order uses the federal government’s buying power to drive security in the software we all use.   ・バイデン大統領は、連邦政府のネットワークを保護し、サイバー問題に関する米国政府と民間企業の情報共有を改善し、インシデント発生時の米国の対応能力を強化することで、サイバーセキュリティの防御を近代化するための大統領令に署名しました。この大統領令は、連邦政府の購買力を利用して、私たちが使用しているソフトウェアのセキュリティを推進するものです。
・President Biden met with private sector and education leaders in August to discuss the whole-of-nation effort needed to address cybersecurity threats – and leaders announced ambitious initiatives to bolster the Nation’s cybersecurity. The White House convened government and private sector stakeholders to improve the security of open source software and ways new collaboration could rapidly drive improvements. And officials continue calling on the private sector publicly and privately to implement best practices to defend against malicious cyber activity, including backing up data, implementing multi-factor authentication, and testing incident response plans. ・バイデン大統領は、8月に民間企業および教育機関のリーダーと会合を持ち、サイバーセキュリティの脅威に対処するために必要な国全体の取り組みについて話し合いました。そして、リーダーたちは、米国のサイバーセキュリティを強化するための野心的な取り組みを発表しました。ホワイトハウスは、政府と民間企業の関係者を招集し、オープンソースソフトウェアのセキュリティを向上させ、新たな協力体制によって迅速に改善を図る方法を検討しました。また、民間企業に対しても、データのバックアップ、多要素認証の導入、インシデント対応計画のテストなど、悪意のあるサイバー活動から身を守るためのベストプラクティスを実施するよう、公私に渡って呼びかけを続けています。
・The Administration has rallied G7 countries to hold accountable nations who harbor ransomware criminals, updated NATO cyber policy for the first time in seven years, and brought together more than 30 allies and partners to accelerate our cooperation in combatting cybercrime, improve law enforcement collaboration, and stem the illicit use of cryptocurrency. The Administration has imposed costs on Russia for SolarWinds, attributed malicious cyber activity to the PRC with a strong coalition, including NATO for the first time, and have made clear to nation-states and malicious actors that we will continue to use every tool available to us to protect the American people and American interests against cyber threats. ・政権は、G7諸国にランサムウェアの犯罪者を匿っている国に責任を負わせるよう働きかけ、NATOのサイバー政策を7年ぶりに更新し、30以上の同盟国とパートナーを集めて、サイバー犯罪との戦いにおける協力関係を加速させ、法執行機関の連携を強化し、暗号通貨の不正使用を阻止しました。政府は、SolarWindsの件でロシアにコストを課し、悪意のあるサイバー活動の原因を初めてNATOを含む強力な連合体である中国に帰し、サイバー脅威から米国民と米国の利益を守るために利用可能なあらゆる手段を使い続けることを、国家や悪意のある行為者に明らかにしました。

Fig1_20210802074601


● まるちゃんの情報セキュリティ気まぐれ日記

Water sector関係

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

Counter Ransomware関係

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

それに関連して...

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.11.16 米国 財務省 イスラエル財務省とランサムウェアと戦うためのパートナーシップを締結

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)


 

 

 

| | Comments (0)

英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ長期調査:第1回

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)がサイバーセキュリティ長期(3年予定)調査の第1回の結果を公表していますね。。。

 

● U.K. Government - Department for Digital, Culture, Media & Sport

・2022.01.27 (Research and analysis) Cyber security longitudinal survey - wave one

・[HTML] Cyber security longitudinal survey: wave 1

・[PDF] Cyber security longitudinal survey: wave one

20220128-110938

 

・[PDF] Medium businesses infographic - cyber security longitudinal survey

20220128-111241


目次...

Executive summary エグゼクティブサマリー
Chapter 1: Introduction 第1章:はじめに
1.1 Background to the research 1.1 調査の背景
1.2 Difference from the Cyber Security Breaches Survey 1.2 「サイバーセキュリティ侵害に関する調査」との違い
1.3 Methodology 1.3 調査方法
1.4 Interpretation of findings 1.4 調査結果の解釈
1.5 Acknowledgements 1.5 謝辞
Chapter 2: Cyber profile of organisations 第2章:組織のサイバープロファイル
2.1 Cloud computing 2.1 クラウドコンピューティング
2.2 Use of personal devices 2.2 パーソナルデバイスの利用
2.3 Use of artificial intelligence (AI) and machine learning 2.3 人工知能(AI)と機械学習の利用
2.4 Use of external IT providers 2.4 外部ITプロバイダーの利用
Chapter 3: Board involvement 第3章:取締役会の関与
3.1 Roles and responsibilities 3.1 役割と責任
3.2 Awareness and training 3.2 意識向上とトレーニング
3.3 Attitudes to cyber risk 3.3 サイバーリスクに対する考え方
Chapter 4: Sources of information 第4章:情報源
4.1 Use of NCSC guidance 4.1 NCSCガイダンスの利用
4.2 Other information sources/influencers 4.2 その他の情報源/影響者
Chapter 5: Cyber security Policies 第5章:サイバーセキュリティに関する方針
5.1 Governance and planning 5.1 ガバナンスと計画
5.2 Cyber insurance policies 5.2 サイバー保険の方針
5.3 Staff training 5.3 要員のトレーニング
Chapter 6: Cyber security processes 第6章:サイバーセキュリティのプロセス
6.1 Standards and certifications 6.1 標準および認証
6.2 Processes currently in place 6.2 現在実施しているプロセス
6.3 Monitoring and evaluation 6.3 モニタリングと評価
6.4 Improvements made over the last twelve months 6.4 過去12ヶ月間に実施した改善事項
6.5 Supplier risks 6.5 サプライヤーのリスク
Chapter 7: Cyber incident management 第7章:サイバーインシデントマネジメント
7.1 Processes 7.1 プロセス
Chapter 8: Prevalence and impact of cyber incidents 第8章:サイバーインシデントの発生状況と影響
8.1 Experience of incidents 8.1 インシデントの経験
8.2 How are businesses affected? 8.2 企業はどのような影響を受けるのか
8.3 Ransomware attack response policy 8.3 ランサムウェア攻撃への対応方針
8.4 Time taken to resolve business operations after cyber incident 8.4 サイバーインシデント後の業務復旧に要する時間
8.5 Financial cost of incidents 8.5 インシデントの財務コスト
Conclusions 結論
Annex A: Summary of key findings 附属書A:主な調査結果のまとめ
Annex B: Further information 附属書B:その他の情報
Annex C: Guide to statistical reliability 附属書C:統計的信頼性に関するガイド

 

エグゼクティブサマリー。。。

Executive summary エグゼクティブサマリー
The Cyber Security Longitudinal Survey (CSLS) aims to better understand cyber security policies and processes within medium and large businesses and high-income charities, and to explore the links over time between these policies and processes and the likelihood and impact of a cyber incident. This is the first research year of a three-year study, and therefore the main objective of this report is to establish a baseline of findings as a precursor to further reports in subsequent research waves. This report also summarises additional insight from 30 follow-up qualitative interviews with survey respondents, that covered topics such as cyber security resilience, ransomware, record keeping, internal and external reporting, responsibility for cyber security and monitoring of supply chains. These are intertwined with reporting on quantitative findings. サイバーセキュリティ長期調査(Cyber Security Longitudinal Survey: CSLS)は、中堅・大企業や財政規模の大きい非営利団体におけるサイバーセキュリティの方針やプロセスをより深く理解し、これらの方針やプロセスとサイバーインシデントの可能性や影響との間の経時的な関連性を探ることを目的としています。本報告書は、3年間の調査の第1年目にあたるため、その後の調査の前段階として、調査結果のベースラインを確立することを主な目的としています。また、本報告書では、サイバーセキュリティの回復力、ランサムウェア、記録の保存、内部および外部への報告、サイバーセキュリティの責任、サプライチェーンの監視などをテーマとした、調査回答者への30件のフォローアップ定性インタビューから得られた追加の知見もまとめています。これらは、定量的な調査結果の報告と関連しています。
Overall, this baseline study found that the cyber resilience profile of organisations varies between businesses and charities as well as by business size and sector. Businesses are more likely than charities to have formal, written cyber security policies and processes in place. Large businesses (250+ staff), and particularly very large businesses (500+ staff), demonstrate greater cyber maturity compared to medium businesses and charities. Additionally, businesses in the finance and insurance and information and communication sectors tend to be in the lead in terms of cyber maturity. However, overall, organisations’ approach to cyber is likely to be more reactive than proactive, with many struggling to get senior level buy-in to improve their cyber defences. Below is a more detailed summary of key findings from each chapter of this report. 全体として、このベースライン調査では、組織のサイバーレジリエンスのプロファイルは、企業と非営利団体の間で異なるだけでなく、企業規模やセクターによっても異なることがわかりました。企業は非営利団体よりも、正式な書面によるサイバーセキュリティポリシーとプロセスを持っている可能性が高い。大企業(従業員数250人以上)、特に超大企業(従業員数500人以上)は、中規模企業や非営利団体に比べて、より高いサイバー成熟度を示しています。また、金融・保険業や情報通信業の企業は、サイバーセキュリティの成熟度でリードしている傾向にあります。しかし、全体的に見て、組織のサイバーに対するアプローチは、プロアクティブというよりもリアクティブである可能性が高く、多くの企業がサイバー防御を改善するためにシニアレベルの賛同を得るのに苦労しています。以下では、本レポートの各章で得られた主な調査結果をより詳しくまとめています。
The survey results are subject to margins of error, which vary with the size of the sample and the percentage figure concerned. For all percentage results, subgroup differences by size, sector and survey answers have been highlighted only where statistically significant [footnote 1] (at the 95% level of confidence). 調査結果には誤差が含まれており、その誤差はサンプルの大きさや対象となる数値によって異なります。すべてのパーセンテージの結果について、規模、部門、調査回答によるサブグループの違いは、統計的に有意な場合(脚注1)にのみハイライトされています(95%の信頼性レベル)。
Board involvement 取締役会の関与
This chapter investigates the level of awareness and engagement with cyber security among board members. In most organisations, members of the board are unlikely to be involved in decisions or discussions around cyber security. Half of businesses (50%) and four in ten charities (40%) say they have one or more board members whose roles include oversight of cyber security risks. Additionally, only around one-third of businesses (37%) and charities (32%) have board-level discussions or updates on cyber security at least quarterly. On a related note, a relatively low proportion of businesses (35%) and charities (28%) say their board members have received any cyber security training. 本章では、取締役会メンバーのサイバーセキュリティに対する認識と関与のレベルを調査しました。ほとんどの組織では、取締役会のメンバーがサイバーセキュリティに関する意思決定や議論に関与することはほとんどありません。企業の半数(50%)と非営利団体の10社に4人(40%)は、サイバーセキュリティリスクを監督する役割を担う役員が1人以上いると回答しています。また、少なくとも四半期に一度、サイバーセキュリティに関する取締役会レベルの議論やアップデートを行っているのは、企業(37%)と非営利団体(32%)の3分の1程度にとどまっています。関連して、役員がサイバーセキュリティのトレーニングを受けたことがあると答えたのは、企業(35%)と非営利団体(28%)の比較的低い割合でした。
However, among organisations where some form of board-level discussions about cyber security do happen, more than half of businesses (55%) and charities (60%) agree that their board integrates cyber risk considerations into wider business areas. This, together with findings from the qualitative interviews, suggests that the main problem is not in management taking ineffective action, but a lack of engagement from senior management in the first place. しかし、サイバーセキュリティについて何らかの形で取締役会で議論している組織では、企業(55%)と非営利団体(60%)の半数以上が、取締役会がサイバーリスクへの配慮をより広い事業分野に統合していることに同意しています。このことは、定性インタビューの結果と合わせて、主な問題は経営陣が効果のない行動をとることではなく、そもそも経営陣が関与していないことにあることを示唆しています。
Sources of information 情報源
This chapter identifies key information sources used to inform organisations’ approach to cyber security in the last year. この章では、過去1年間に組織がサイバーセキュリティに取り組む際に使用した主な情報源を明らかにします。
Around one-third (32%) of charities and one-quarter (23%) of businesses say they have used information or guidance from the National Cyber Security Centre (NCSC) to inform their approach to cyber security in the last year. Very large businesses with 500+ employees (37%), and businesses in the finance and insurance (51%) and information or communication (41%) sectors are the most likely to use NCSC guidance. In the qualitative research, participants mentioned that they had found the NCSC a useful source of information. 非営利団体の約3分の1(32%)、企業の約4分の1(23%)が、過去1年間にサイバーセキュリティへの取り組みについて、国家サイバーセキュリティセンター(NCSC)からの情報やガイダンスを利用したと回答しています。従業員数500人以上の超大企業(37%)、金融・保険業(51%)、情報・通信業(41%)では、NCSCのガイダンスを利用する可能性が最も高くなっています。質的調査では、参加者は、NCSCが有用な情報源であると述べています。
Regarding other sources of information or influences on cyber security policies and processes, feedback from external IT or cyber security consultants has influenced 47% of businesses and 55% of charities in the last twelve months. サイバーセキュリティポリシーやプロセスに影響を与えるその他の情報源については、過去12ヶ月間に外部のITコンサルタントやサイバーセキュリティコンサルタントからのフィードバックが影響を与えたと回答した企業は47%、非営利団体は55%でした。
Cyber security policies サイバーセキュリティポリシー
This chapter sets the baseline of cyber security policies within our longitudinal sample. Monitoring any changes to these policies over time will help us better understand how organisations are evolving their cyber defences. It will also help explore the impact this may have on organisations’ resilience to incidents. この章では、長期的なサンプルにおけるサイバーセキュリティポリシーのベースラインを設定する。これらのポリシーの変化を長期的にモニタリングすることで、組織がどのようにサイバー防御を進化させているかをより深く理解することができます。また、これがインシデントに対する組織の回復力に与える影響を探るのにも役立ちます。
When asked about various documentation in place to help manage cyber security risks, businesses and charities are both most likely to say that they have a Business Continuity Plan covering cyber security (69% and 73% respectively), while they are least likely to have documentation outlining how much cyber risk their organisation is willing to accept (26% and 31% respectively). Fewer than one in five organisations (17% of both businesses and charities) report having all five of the types of documentation[footnote 2] asked about in place – although the proportion of large businesses who have all five is higher (21%). During the qualitative interviews, respondents frequently suggested that they follow informal, ‘common sense’ processes when it comes to dealing with incidents rather than using formal, written policies or processes. サイバーセキュリティリスクを管理するために実施しているさまざまな文書について質問したところ、企業と非営利団体はともに、サイバーセキュリティをカバーする事業継続計画があると答えた割合が最も高く(それぞれ69%と73%)、一方で、組織がどの程度のサイバーリスクを受け入れられるかを説明した文書を持っている割合は最も低くなっています(それぞれ26%と31%)。質問した5種類の文書[脚注2]をすべて備えていると回答した組織は、5社に1社以下であった(企業と非営利団体の両方で17%)が、5種類すべてを備えている大企業の割合は21%と高い。定性インタビューでは、回答者は、インシデントに対処する際、正式な文書化されたポリシーやプロセスではなく、非公式の「常識的な」プロセスに従っているという意見が多く聞かれました。
Having some form of cyber insurance cover is relatively common among both businesses and charities. Overall, charities are more likely than businesses to say they have some form of cyber insurance (66% vs. 53% respectively), and there is little difference by size of business (57% of large and 52% of medium businesses). Having cyber security cover as part of a broader insurance policy is more common than having a specific cyber insurance policy across both businesses and charities. ある種のサイバー保険に加入していることは、企業と非営利団体の両方で比較的よく見られます。全体的に、何らかのサイバー保険に加入していると答えたのは、企業よりも非営利団体の方が多く(それぞれ66%対53%)、企業の規模による違いはほとんどありません(大企業の57%、中企業の52%)。企業、非営利団体ともに、特定のサイバー保険に加入しているよりも、より広範な保険契約の一部としてサイバーセキュリティ保険に加入している方が一般的です。
Around half of charities and businesses say they have carried out cyber security training or awareness raising sessions in the last twelve months for any staff (or volunteers) who are not directly involved in cyber security (55% and 48% respectively). This suggests that carrying out cyber security training is unlikely to be a universal practice, although staff training is more common among large businesses (250+ staff) (60%). During the qualitative interviews it was typical for organisations to say they had never assessed the cyber skills of their workforce and had limited understanding of what this would cover or its value for the organisation. 非営利団体と企業の約半数は、過去12ヶ月間に、サイバーセキュリティに直接関与していないスタッフ(またはボランティア)に対して、サイバーセキュリティのトレーニングや意識向上のためのセッションを実施したと回答しています(それぞれ55%、48%)。これは、大企業(250人以上)ではスタッフトレーニングが一般的である(60%)ものの、サイバーセキュリティトレーニングを実施することが一般的ではないことを示唆しています。質的インタビューでは、従業員のサイバースキルを評価したことがなく、トレーニングの内容や組織にとっての価値をあまり理解していないと答えた企業が多かった。
Cyber security processes サイバーセキュリティプロセス
This chapter provides insight on the uptake of cyber security certifications by organisations. It also sets the baseline for the cyber security processes that organisations have in place, the technical controls required to attain Cyber Essentials certification, and actions taken over the last twelve months to improve or expand various aspects of organisations’ cyber security. 本章では、組織によるサイバーセキュリティ認証の取得状況についての洞察を示す。また、組織が実施しているサイバーセキュリティプロセス、Cyber Essentials認証を取得するために必要な技術的コントロール、および組織のサイバーセキュリティの様々な側面を改善または拡大するために過去12カ月間に実施したアクションについてのベースラインを設定します。
Most organisations do not have cyber security certifications. For example, just one in five (19% among both businesses and charities) say they are certified under the Cyber Essentials standard, which is the most frequently obtained certification. ほとんどの組織は、サイバーセキュリティ認証を取得していません。例えば、最も頻繁に取得されているCyber Essentials規格の認証を受けていると答えたのは、わずか5人に1人(企業と非営利団体の両方で19%)でした。
Large businesses (250+ staff) are more likely to adhere to some form of cyber security certification (e.g., 19% of large businesses comply with ISO 27001 compared to 14% of medium businesses), and there are also clear sectoral differences in terms of the types of certifications businesses pursue. For example, businesses in the information or communications sector are more likely to have all three of the certifications asked about. Almost half (47%) of these have ISO 27001, 42% are Cyber Essentials certified, and 27% have Cyber Essentials Plus. Reasons for obtaining certifications varied during the qualitative interviews, with drivers including contractual requirements, change in senior personnel and having a new IT supplier. 大企業(従業員数250名以上)では、何らかのサイバーセキュリティ認証を取得している可能性が高く(例:大企業の19%がISO 27001に準拠しているのに対し、中企業では14%)、企業が取得している認証の種類についても、セクターごとに明確な違いが見られます。例えば、情報・通信部門の企業は、質問した3つの認証のすべてを取得している可能性が高い。これらの企業のほぼ半数(47%)がISO 27001を、42%がCyber Essentialsを、27%がCyber Essentials Plusを取得しています。認証を取得する理由は、定性インタビューの中でも様々で、契約上の要求、上級者の交代、新しいITサプライヤーの導入などが挙げられました。
Organisations are taking action to improve their cyber defences and risk management, but this is still limited depending on the nature of the organisation and resources available. Businesses and charities are equally likely to have technical controls in all five of the areas required to attain Cyber Essentials certification[footnote 3] (57% for both), though this increases to 64% of large businesses. Despite having these processes in place, few organisations report including anything about cyber security in their most recent annual report, with 14% of businesses and 18% of charities saying this, and around three times as many businesses and charities (45% and 57% respectively) saying they did not. 組織は、サイバー防御とリスク管理を改善するために行動を起こしていますが、組織の性質や利用可能なリソースに応じて、まだ限定的です。Cyber Essentials認証[脚注3]の取得に必要な5つの分野すべてにおいて技術的な管理を行っているのは、企業と非営利団体が同じくらいの割合ですが(両者とも57%)、大企業では64%に増加しています。これらのプロセスを実施しているにもかかわらず、直近の年次報告書にサイバーセキュリティに関する記述があると回答した組織は少なく、企業の14%、非営利団体の18%がそう回答し、企業と非営利団体の約3倍(それぞれ45%と57%)が「していない」と回答しています。
Around four in five businesses (79%) and charities (84%) say they have taken at least one form of action to expand some aspect of their cyber security over the last twelve months. Regarding specific measures, more than half of organisations say they have expanded or improved their network security (62% of businesses and 66% of charities), processes for user authentication and access control (59% of businesses and 62% of charities), and their malware defences (55% each). Large businesses are more likely to report having made improvements in these areas over the last year than medium businesses. Hence, while organisations are taking action to be better prepared for and protected against incidents, most have gaps in their cyber hygiene and risk management processes. 企業(79%)と非営利団体(84%)の約5人に4人は、過去12ヶ月間にサイバーセキュリティの何らかの側面を拡大するために、少なくとも1つの行動をとったと答えています。具体的な対策としては、半数以上の企業が、ネットワークセキュリティ(企業の62%、非営利団体の66%)、ユーザ認証とアクセス制御のプロセス(企業の59%、非営利団体の62%)、マルウェア対策(それぞれ55%)を拡大または改善したと回答しています。大企業は、中企業に比べて、過去1年間にこれらの分野で改善を行ったと回答する割合が高い。したがって、企業はインシデントへの備えと保護を強化するために行動を起こしていますが、ほとんどの企業はサイバー衛生とリスク管理のプロセスにギャップがあります。
Regarding cyber security processes in the supply chain, three in five organisations (60% of businesses and 64% of charities) say they did not carry out work in the last twelve months to formally assess or manage the potential cyber security risks presented by their suppliers. サプライチェーンにおけるサイバーセキュリティプロセスについては、5社中3社(企業の60%、非営利団体の64%)が、過去12ヶ月間にサプライヤーが提示する潜在的なサイバーセキュリティリスクを正式に評価・管理する作業を実施しなかったと回答しています。
There is a positive relationship between greater board involvement (i.e., more frequent board-level discussions or updates about cyber security) and having in place all five of the technical controls required to attain Cyber Essentials certification. There is also a positive relationship between board involvement and having processes in place to assess or manage cyber security risks presented by suppliers. For example, 68% of businesses with at least monthly board-level discussions and updates about cyber security have technical controls in place in all five of the areas required to attain Cyber Essentials, compared to 36% of businesses that never have board-level discussions and updates. This is similar for charities. In line with other findings, this suggests that buy-in from senior management is likely to have a positive impact on the kind of cyber defences in place. Additionally, businesses that experienced a cyber incident in the last twelve months are also more likely to have technical controls in place in all five of the areas required to attain Cyber Essentials (62% vs. 50% of businesses not reporting an incident). 取締役会の関与の強化(サイバーセキュリティに関する取締役会レベルでの議論や更新の頻度の増加)と、Cyber Essentials認証取得に必要な5つの技術的統制のすべてを実施していることとの間には、正の関係があります。また、取締役会の関与と、サプライヤーのサイバーセキュリティリスクを評価・管理するためのプロセスを導入していることとの間にも正の関係があります。例えば、サイバーセキュリティに関して少なくとも月1回の取締役会での議論やアップデートを行っている企業の68%は、Cyber Essentialsの取得に必要な5つの分野すべてにおいて技術的コントロールを導入しているのに対し、取締役会での議論やアップデートを全く行わない企業の36%は、技術的コントロールを導入していませんでした。これは非営利団体でも同様です。この結果は、他の調査結果と同様に、上級管理職の賛同が、実施されているサイバー防御策にプラスの影響を与える可能性が高いことを示唆しています。また、過去1年間にサイバーインシデントを経験した企業は、Cyber Essentialsの取得に必要な5つの分野すべてにおいて、技術的な管理を行っている可能性が高くなっています(インシデントを報告していない企業の50%に対し、62%)。
Cyber incident management サイバーインシデント管理
This chapter captures the proportion of organisations that have written processes for cyber security incident management and what these may cover. この章では、サイバーセキュリティインシデント管理のためのプロセスを文書化している組織の割合と、そのプロセスがカバーする内容について説明します。
Businesses and charities are equally likely to have written processes for how to manage a cyber security incident (51% for each), although the likelihood of having these processes in place is higher among large businesses (250+ staff) (60%). 企業と非営利団体の間では、サイバーセキュリティインシデントの管理方法に関する文書化されたプロセスを持っている割合は同じくらいですが(それぞれ51%)、これらのプロセスを持っている可能性は、大企業(250人以上のスタッフ)で高くなっています(60%)。
Additionally, having experience of a cyber security incident over the last twelve months is linked with a higher likelihood of having written processes in place. Just over half (54% of businesses and 55% of charities) of those experiencing an incident in the last twelve months say they have written processes for how to manage a cyber security incident, compared to 44% of both businesses and charities that have not experienced an incident in the last year. This link was implied during the qualitative interviews as well, with respondents often suggesting that experiencing an incident is among the main triggers for introducing formalised cyber security measures. Among organisations with written processes in place, these are most likely to cover guidance for reporting incidents externally, for instance to regulators or insurers (77% of businesses and 86% of charities). さらに、過去12ヶ月間にサイバーセキュリティインシデントの経験があることは、書面によるプロセスを導入する可能性が高いことと関連しています。過去1年間にインシデントを経験した企業の半数強(企業の54%、非営利団体の55%)が、サイバーセキュリティインシデントの管理方法を文書化していると回答しているのに対し、過去1年間にインシデントを経験していない企業と非営利団体はともに44%でした。この関連性は、定性インタビューでも示唆されており、回答者は、インシデントを経験したことが、正式なサイバーセキュリティ対策を導入する主なきっかけの一つであることをしばしば示唆している。文書化されたプロセスを導入している組織では、規制当局や保険会社など、外部にインシデントを報告するためのガイダンスをカバーしている可能性が高い(企業の77%、非営利団体の86%)。
During the qualitative interviews, participants tended to refer to having informal processes in place, with an incident response plan among those, and the level of detail within these procedures and documents was varied. 定性的インタビューでは、参加者は非公式のプロセスを導入していることに言及する傾向があり、その中にはインシデント対応計画も含まれていました。また、これらの手順や文書の詳細レベルは様々でした。
Prevalence and impact of cyber incidents サイバーインシデントの発生状況と影響
This chapter looks at the different kinds of cyber incidents experienced by organisations and their impact and outcome. 本章では、組織が経験したさまざまな種類のサイバーインシデントと、その影響や結果について見ていきます。
Around half (50% of businesses and 47% of charities) say they experienced at least one cyber security incident – excluding phishing – in the last twelve months. This rises to 72% among businesses and 74% of charities when phishing is included. 約半数(企業の50%、非営利団体の47%)が、過去12カ月間に少なくとも1件のサイバーセキュリティインシデント(フィッシングを除く)を経験したと回答している。フィッシングを含むと、企業の72%、非営利団体の74%に上ります。
Among organisations that reported cyber security incidents over the last twelve months, around four in five businesses and charities say that more than one incident happened during this time period (83% and 81% respectively), and this proportion is similar even when phishing incidents are excluded (79% of businesses and 83% of charities). 過去12ヶ月間にサイバーセキュリティインシデントを報告した組織のうち、企業と非営利団体の約5人に4人は、この期間に複数のインシデントが発生したと回答しています(それぞれ83%と81%)。この割合は、フィッシングインシデントを除いた場合でも同様です(企業の79%、非営利団体の83%)。
Around three in ten businesses (29%) and two in ten charities (19%) that experienced non-phishing incidents in the last year say they experienced an incident at least once a week. 過去1年間にフィッシング以外のインシデントを経験した企業の約10分の3(29%)、非営利団体の約10分の2(19%)は、少なくとも週に1回はインシデントを経験していると答えています。
Although most incidents have a short-term impact on operations, of those surveyed, around one in ten organisations (8% of businesses and 10% of charities) that experienced an incident in the last twelve months report that it took a day or longer to restore business operations back to normal. Conversely, nine in ten organisations (90% of businesses and 89% of charities) that experienced any incidents report that it took them less than a day to restore business operations back to normal. ほとんどの場合、業務への影響は短期的なものですが、過去1年間にインシデントを経験した組織のうち、約10社に1社(企業の8%、非営利団体の10%)が、業務を正常な状態に戻すのに1日以上かかったと報告しています。逆に、いずれかのインシデントを経験した10社のうち9社(企業の90%、非営利団体の89%)は、業務を正常に戻すのに1日もかからなかったと報告しています。
Summary of findings 調査結果のまとめ
The summary table of key measures in Annex A shows some of the key baseline metrics, split by business size (50-249, 250-499 and 500+ employees). Further details on statistical reliability and margins of error can be found in Annex C.   附属書Aの主要指標の要約表は、ベースラインの主要指標の一部を企業規模別(従業員数50~249名、250~499名、500名以上)に分けて示しています。統計的信頼性と誤差の詳細については、附属書Cを参照してください。 

| | Comments (0)

総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集

こんにちは、丸山満彦です。

総務省が「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集をしていますね。。。

法改正が対応ですね。。。

 

● 総務省

・2022.01.26 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集

・2022.01.26 改正個人情報保護法を受けた郵便事業分野における個人情報保護に関するガイドライン及び解説並びに信書便事業分野における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集

 

  改正案 解説 概要
電気通信事業 別紙1 別紙2 別紙3
郵便事業分野 別紙1 別紙2  
信書便事業分野 別紙3 別紙4  

 

Fig1_20220128005301

| | Comments (0)

米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

こんにちは、丸山満彦です。

米国行政管理予算局が、「米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書」を公表していますね。。。

具体的に進みますよね。。。

 

White House - OMB - Memorandum

・2022.01.26 [PDF] M-22-09 Moving the U.S. Government Toward Zero Trust Cybersecurity Principles

20220128-00955

目次的なもの。。。

I. OVERVIEW I. 概要
II.  EXECUTIVE SUMMARY II.  エグゼクティブサマリー
III.  ACTIONS III.  取り組み
A. Identity A. アイデンティティ
1. Enterprise-wide identity systems 1. エンタープライズ全体の ID システム
2. Multi-factor authentication 2. 多要素認証
3. User Authorization 3. ユーザ認証
B. Devices B. デバイス
1. Inventorying assets 1. 資産の棚卸し
2. Government-wide endpoint detection and response 2. 政府全体のエンドポイント検出と対応
C. Networks C. ネットワーク
1. Network visibility and attack surface 1. ネットワークの可視性と攻撃対象領域
2. Encrypting DNS traffic 2. DNSトラフィックの暗号化
3. Encrypting HTTP traffic 3. HTTPトラフィックの暗号化
4. Encrypting email traffic 4. 電子メールトラフィックの暗号化
5. Enterprise-wide architecture and isolation strategy 5. エンタープライズ全体のアーキテクチャと分離戦略
D. Applications and Workloads D. アプリケーションとワークロード
1. Application security testing 1. アプリケーションのセキュリティテスト
2. Easily available third-party testing 2. 容易に入手できる第三者によるテスト
3. Welcoming application vulnerability reports 3. アプリケーションの脆弱性報告を歓迎する
4. Safely making applications internet-accessible 4. アプリケーションを安全にインターネットにアクセス可能にする
5. Discovering internet-accessible applications 5. インターネットにアクセス可能なアプリケーションの発見
6. Immutable workloads 6. 不変的なワークロード
E. Data E. データ
1. Federal data security strategy 1. 連邦データセキュリティ戦略
2. Automating security responses 2. セキュリティ対応の自動化
3. Auditing access to sensitive data in the cloud 3. クラウド上の機密データへのアクセスを監査する
4. Timely access to logs 4. ログへのタイムリーなアクセス
F. OMB Policy Alignment F. OMBポリシーの調整
1. OMB M-21-07 - IPv6 and Zero Trust 1. OMB M-21-07 - IPv6とゼロトラスト
2. OMB M-19-17 - PIV and non-PIV authenticators 2. OMB M-19-17 - PIV および非 PIV 認証子
3. OMB M-19-26 and OMB M-21-31 – Alternatives to network inspection 3. OMB M-19-26 および OMB M-21-31 - ネットワーク検査の代替手段
4. OMB M-15-13 – HTTPS for internal connections 4. OMB M-15-13 - 内部接続のための HTTPS

 

概要レベル・・・

SUBJECT:  Moving the U.S. Government Toward Zero Trust Cybersecurity Principles  SUBJECT:  米国政府のゼロトラスト・サイバーセキュリティ原則への移行について
This memorandum sets forth a Federal zero trust architecture (ZTA) strategy, requiring agencies to meet specific cybersecurity standards and objectives by the end of Fiscal Year (FY)  この覚書は、連邦政府のゼロ・トラスト・アーキテクチャ(ZTA)戦略を定めたものであり、各省庁に対し、2024年度末までに特定のサイバーセキュリティ基準と目標を達成することを求めています。
2024 in order to reinforce the Government’s defenses against increasingly sophisticated and persistent threat campaigns. Those campaigns target Federal technology infrastructure, threatening public safety and privacy, damaging the American economy, and weakening trust in Government.  2024年度末までに特定のサイバーセキュリティ基準と目標を達成することを各機関に求めています。このようなキャンペーンは、連邦政府の技術インフラを標的とし、国民の安全とプライバシーを脅かし、米国経済にダメージを与え、政府に対する信頼を低下させます。
I. OVERVIEW I. 概要
Every day, the Federal Government executes unique and deeply challenging missions: 連邦政府は、日々、ユニークで困難なミッションを遂行しています。
agencies   safeguard our nation’s critical infrastructure, conduct scientific research, engage in diplomacy, and provide benefits and services for the American people, among many other public functions. To deliver on these missions effectively, our nation must make intelligent and vigorous use of modern technology and security practices, while avoiding disruption by malicious cyber campaigns.  政府機関は、国の重要なインフラを保護し、科学研究を行い、外交を行い、米国民に利益とサービスを提供するなど、多くの公共機能を担っています。これらのミッションを効果的に遂行するためには、悪質なサイバーキャンペーンによる混乱を回避しつつ、最新のテクノロジーとセキュリティ対策をインテリジェントかつ積極的に活用しなければなりません。
Successfully modernizing the Federal Government’s approach to security requires a  連邦政府のセキュリティに対するアプローチをうまく近代化するには、政府全体で取り組む必要があります。
Government-wide endeavor. In May of 2021, the President issued Executive Order (EO) 14028, Improving the Nation’s Cybersecurity,  initiating a sweeping Government-wide effort to ensure that baseline security practices are in place, to migrate the Federal Government to a zero trust architecture, and to realize the security benefits of cloud-based infrastructure while mitigating associated risks.  政府全体で取り組む必要があります。2021年5月、大統領は大統領令(EO)14028「国家のサイバーセキュリティの向上」を発令し、基本的なセキュリティ対策を確実に実施し、連邦政府をゼロトラストアーキテクチャに移行し、関連するリスクを軽減しながらクラウドベースのインフラストラクチャのセキュリティ上の利点を実現するために、政府全体で大規模な取り組みを開始しました。
II.  EXECUTIVE SUMMARY  II.  エグゼクティブサマリー 
In the current threat environment, the Federal Government can no longer depend on conventional perimeter-based defenses to protect critical systems and data. As President Biden stated in EO 14028, “Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life.”   現在の脅威環境では、連邦政府は重要なシステムやデータの保護を従来の境界線ベースの防御に頼ることはできなくなっています。バイデン大統領が EO 14028 で述べたように、「漸進的な改善では必要なセキュリティは得られない。米国の生活様式を支える重要な機関を守るために、連邦政府は大胆な変革と多額の投資を行う必要がある」のです。 
A transition to a “zero trust” approach to security provides a defensible architecture for this new environment. As described in the Department of Defense Zero Trust Reference Architecture,  “The foundational tenet of the Zero Trust Model is that no actor, system, network, or service operating outside or within the security perimeter is trusted. Instead, we must verify anything and everything attempting to establish access. It is a dramatic paradigm shift in philosophy of how we secure our infrastructure, networks, and data, from verify once at the perimeter to continual verification of each user, device, application, and transaction.” This strategy envisions a Federal Government where:   セキュリティに対する「ゼロ・トラスト」アプローチへの移行は、この新しい環境に対応する防御可能なアーキテクチャを提供します。国防総省のゼロトラスト・リファレンス・アーキテクチャに記載されているように、「ゼロトラストモデルの基本的な考え方は、セキュリティ境界線の外側または内側で活動するいかなる行為者、システム、ネットワーク、サービスも信頼しないということです。代わりに、アクセスを確立しようとするあらゆるものを検証しなければなりません。これは、インフラ、ネットワーク、データのセキュリティを確保する方法の哲学における劇的なパラダイムシフトであり、境界で一度だけ検証することから、各ユーザー、デバイス、アプリケーション、トランザクションを継続的に検証することになります。この戦略では、以下のような連邦政府を想定しています。 
• Federal staff have enterprise-managed accounts, allowing them to access everything they need to do their job while remaining reliably protected from even targeted, sophisticated phishing attacks.  ・連邦政府の職員は,エンタープライズ管理されたアカウントを持ち,業務に必要なあらゆるものにアクセスできる一方で,標的を絞った巧妙なフィッシング攻撃からも確実に保護されている。
• The devices that Federal staff use to do their jobs are consistently tracked and monitored, and the security posture of those devices is taken into account when granting access to internal resources.  ・連邦政府職員が業務に使用するデバイスは,一貫して追跡・監視され,内部リソースへのアクセスを許可する際には,それらのデバイスのセキュリティ状態が考慮される。
• Agency systems are isolated from each other, and the network traffic flowing between and within them is reliably encrypted.   ・連邦政府のシステムは相互に隔離されており,システム間やシステム内を流れるネットワークトラフィックは確実に暗号化されています。
• Enterprise applications are tested internally and externally, and can be made available to staff securely over the internet.  ・エンタープライズアプリケーションは,社内外でテストされ,インターネット経由で安全に職員に提供される。
• Federal security teams and data teams work together to develop data categories and security rules to automatically detect and ultimately block unauthorized access to sensitive information.  ・連邦政府のセキュリティチームとデータチームが協力して,データカテゴリーとセキュリティルールを開発し,機密情報への不正アクセスを自動的に検出し,最終的にブロックする。
This strategy places significant emphasis on stronger enterprise identity and access controls, including multi-factor authentication (MFA). Without secure, enterprise-managed identity systems, adversaries can take over user accounts and gain a foothold in an agency to steal data or launch attacks. This strategy sets a new baseline for access controls across the Government that prioritizes defense against sophisticated phishing, and directs agencies to consolidate identity systems so that protections and monitoring can be consistently applied. Tightening access controls will require agencies to leverage data from different sources to make intelligent decisions, such as analyzing device and user information to assess the security posture of all activity on agency systems.   この戦略では、多要素認証(MFA)を含む、エンタープライズのアイデンティティとアクセス制御の強化を重視しています。エンタープライズが管理する安全なアイデンティティシステムがなければ、敵対者はユーザーアカウントを乗っ取り、データを盗んだり攻撃を仕掛けたりするための足がかりを得ることができます。この戦略では、政府全体のアクセス制御の新たな基準を設定し、高度なフィッシングに対する防御を優先し、保護と監視を一貫して適用できるようにIDシステムを統合するよう各機関に指示しています。アクセス制御を強化するためには、デバイスやユーザの情報を分析して、政府機関のシステムにおけるすべての活動のセキュリティ状況を評価するなど、さまざまなソースからのデータを活用してインテリジェントな判断を下す必要があります。 
A key tenet of a zero trust architecture is that no network is implicitly considered trusted—a principle that may be at odds with some agencies’ current approach to securing networks and associated systems. All traffic must be encrypted and authenticated as soon as practicable. This includes internal traffic, as made clear in EO 14028, which directs that all data must be encrypted while in transit. This strategy focuses agencies on two critical and widely used protocols in the near-term, DNS and HTTP traffic;  in addition, the Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Risk and Authorization Management Program (FedRAMP) will evaluate options for encrypting email in transit.   ゼロ・トラスト・アーキテクチャの主な考え方は、どのネットワークも暗黙のうちに信頼されているとみなされないということです。すべてのトラフィックは、可能な限り速やかに暗号化され、認証されなければなりません。これには内部トラフィックも含まれます。EO 14028では、転送中のすべてのデータを暗号化するよう指示しています。この戦略では、近日中に、重要かつ広く使用されている2つのプロトコル、DNSおよびHTTPトラフィックに焦点を当てています。さらに、Cybersecurity and Infrastructure Security Agency(CISA)およびFederal Risk and Authorization Management Program(FedRAMP)は、転送中の電子メールを暗号化するためのオプションを評価します。 
Further, Federal applications cannot rely on network perimeter protections to guard against unauthorized access. Users should log into applications, rather than networks, and enterprise applications should eventually be able to be used over the public internet. In the nearterm, every application should be treated as internet-accessible from a security perspective. As this approach is implemented, agencies will be expected to stop requiring application access be routed through specific networks, consistent with CISA’s zero trust maturity model.   さらに、連邦政府のアプリケーションは、不正なアクセスから保護するために、ネットワークの境界線の保護に頼ることはできません。ユーザーは、ネットワークではなくアプリケーションにログインする必要があり、エンタープライズ・アプリケーションは、最終的には公共のインターネット上で使用できるようにする必要があります。近い将来、すべてのアプリケーションは、セキュリティの観点からインターネットにアクセスできるものとして扱われるべきです。このアプローチが導入されると、各機関は、CISAのゼロトラスト成熟度モデルに沿って、アプリケーション・アクセスが特定のネットワークを経由することを要求しなくなることが期待されます。 
In addition to robust internal testing programs, agencies should scrutinize their applications as our nation’s adversaries do. This requires welcoming external partners and independent perspectives to evaluate the real-world security of agency applications, and a process for coordinated disclosure of vulnerabilities by the general public.   政府機関は、強固な内部テストプログラムに加えて、国家の敵対者と同じようにアプリケーションを精査する必要があります。そのためには、外部のパートナーや独立した視点から、政府機関のアプリケーションの実世界でのセキュリティを評価することや、一般市民が脆弱性を協調して開示するためのプロセスが必要となります。 
This strategy also calls on Federal data and cybersecurity teams within and across agencies to jointly develop pilot initiatives and Government-wide guidance on categorizing data based on protection needs, ultimately building a foundation to automate security access rules. This collaborative effort will better allow agencies to regulate access based not only on who or what is accessing data, but also on the sensitivity of the data being requested.  また、本戦略では、各省庁のデータおよびサイバーセキュリティチームが、保護の必要性に基づいてデータを分類するための試験的な取り組みや政府全体の指針を共同で策定し、最終的にセキュリティアクセスルールを自動化するための基盤を構築することを求めています。この共同作業により、政府機関は、誰が何のためにデータにアクセスしているかだけでなく、要求されたデータの機密性に基づいてアクセスを規制することができるようになります。
Transitioning to a zero trust architecture will not be a quick or easy task for an enterprise as complex and technologically diverse as the Federal Government. The strategy set forth in this memorandum is designed to reduce uncertainty and outline a common path toward implementing EO 14028, by updating and strengthening information security norms throughout the Federal enterprise.   ゼロトラスト・アーキテクチャへの移行は、連邦政府のように複雑で技術的に多様なエンタープライズにとって、迅速かつ容易な作業ではありません。この覚書に記載されている戦略は、連邦政府全体の情報セキュリティ規範を更新および強化することで、不確実性を低減し、EO 14028 の実施に向けた共通の道筋を示すことを目的としています。 

 

仮対訳。。。

・[DOCX] 仮対訳

 

 

| | Comments (0)

IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2022」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。


IPA

・2022.01.27 情報セキュリティ10大脅威 2022

・[PDF] プレスリリース全文

20220127-215758

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

こんにちは、丸山満彦です。

NISTがNISTIR 8286C (ドラフト)ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためにサイバーセキュリティ・リスクをステージングするを公表し、意見募集をしていますね。。。

8286Bが、システムレベル、組織レベルのモニタリングをカバーするのに対し、8286Cはエンタープライズレベルのモニタリングをカバーするという分担ですね。。。

1_20210707191501

 

● NIST - ITL

・2022.01 26 NISTIR 8286C (Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight

 

NISTIR 8286C (Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight NISTIR 8286C(ドラフト)エンタープライズ・リスク・マネジメントとガバナンスの監督のためのサイバーセキュリティリスクのステージング
Announcement 発表内容
This report completes the cybersecurity risk management (CSRM) and enterprise risk management (ERM) integration cycle described throughout the NISTIR 8286 series. 本報告書は、NISTIR 8286シリーズで説明してきたサイバーセキュリティ・リスク・マネジメント(CSRM)とエンタープライズ・リスク管理(ERM)の統合サイクルを完成させるものです。
Draft NISTIR 8286C describes methods for combining risk information from across the enterprise, including notional examples for aggregating and normalizing the results from cybersecurity risk registers (CSRRs) while considering risk parameters, criteria, and business impacts. The resulting integration and normalization of risk information informs enterprise-level risk decision-making and monitoring, which helps create a comprehensive picture of the overarching cyber risk. The report describes the creation of an enterprise risk profile (ERP) that supports the comparison and management of cyber risks along with other risk types. ドラフトNISTIR 8286Cでは、企業全体のリスク情報を統合する方法について、リスクのパラメータや基準、ビジネスへの影響を考慮しながら、サイバーセキュリティ・リスク・レジスター(CSRR)の結果を集約して正規化するための想定例などを紹介しています。このようにして得られたリスク情報の統合と正規化により、企業レベルのリスクに関する意思決定とモニタリングが行われ、包括的なサイバーリスクの全体像を把握することができます。本報告書では、他のリスクタイプとともにサイバーリスクの比較と管理をサポートするエンタープライズ・リスク・プロファイル(ERP)の作成について説明しています。
Draft NISTIR 8286C builds on several previous reports: ドラフトNISTIR 8286Cは、いくつかの過去のレポートをベースにしています。
NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) –foundational document that describes high-level processes NISTIR 8286 サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 - ハイレベルなプロセスを説明した基本文書
NISTIR 8286A, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management – describes risk identification and analysis NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定 - リスクの特定と分析について記載しています。
NISTIR 8286B, Prioritizing Cybersecurity Risk for Enterprise Risk Management – describes methods for applying enterprise objectives to prioritize the identified risks and, subsequently, to select and apply the appropriate responses NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け - 企業目標を適用して、特定されたリスクに優先順位を付け、その後、適切な対応策を選択して適用する方法について記載しています。
The NISTIR 8286 series enables risk practitioners to integrate CSRM activities more fully into the broader enterprise risk processes. Because information and technology comprise some of the enterprise’s most valuable resources, it is vital that directors and senior leaders have a clear understanding of cybersecurity risk posture at all times. It is similarly vital that those identifying, assessing, and treating cybersecurity risk understand enterprise strategic objectives when making risk decisions. NISTIR 8286シリーズにより、リスク管理担当者は、CSRM活動をより広範な企業リスクプロセスに統合することができます。情報と技術は企業にとって最も価値のある資源の一部であるため、取締役やシニアリーダーがサイバーセキュリティのリスク態勢を常に明確に理解していることが重要です。同様に、サイバーセキュリティリスクを特定、評価、処理する者が、リスクの決定を行う際に企業の戦略目標を理解することも重要です。
The authors of the NISTIR 8286 series hope that these publications will spark further industry discussion. As NIST continues to develop frameworks and guidance to support the application and integration of information and technology, many of the series’ concepts will be considered for inclusion. NISTIR 8286シリーズの著者は、これらの出版物が業界のさらなる議論のきっかけとなることを願っています。NISTは、情報と技術の応用と統合を支援するためのフレームワークやガイダンスの開発を続けており、本シリーズのコンセプトの多くが採用されることが検討されています。
Abstract 概要
This document is the third in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This document provides additional detail regarding the enterprise application of cybersecurity risk information. The previous documents, NISTIRs 8286A and 8286B, provided detail regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. NISTIR 8286C describes how information, as recorded in cybersecurity risk registers (CSRRs), may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register (ERR) and enterprise risk profile (ERP) that, in turn, support the achievement of enterprise objectives. 本資料は、NIST Interagency/Internal Report (NISTIR) 8286「サイバーセキュリティとエンタープライズリスクマネジメント (ERM) の統合」を補足するシリーズの第3弾です。本文書では、サイバーセキュリティのリスク情報の企業への適用について、さらに詳しく説明しています。前作のNISTIR 8286Aおよび8286Bでは、ステークホルダーのリスクの方向性や、企業の目的に照らしたサイバーセキュリティリスクの評価・管理方法について詳しく説明しました。NISTIR 8286Cでは、サイバーセキュリティ・リスク・レジスタ(CSRR)に記録されている情報を、企業のリスク・ポートフォリオにおいて情報や技術に対するリスクを適切に考慮するための全体的なアプローチの一部として統合する方法を説明しています。このような統合的な理解は、企業リスク登録(ERR)と企業リスクプロファイル(ERP)をサポートし、ひいては企業目標の達成をサポートすることになります。

 

・[PDF] NISTIR 8286C (Draft)

20220127-174234

 

 

Executive Summary エグゼクティブサマリー
This NIST Interagency/Internal Report (NISTIR) explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite Enterprise Risk Profile (ERP) to inform company executives’ and agency officials’ enterprise risk management (ERM) deliberations, decisions and actions. It describes the inclusion of cybersecurity risks as part of financial, valuation, mission, and reputation exposure. Figure 1 expands the enterprise risk cycle from previous reports to remind the reader that the input and sentiments of external stakeholders are a critical element of risk decisions.[1]   このNIST Interagency/Internal Report(NISTIR)は、エンタープライズからの異種のサイバーセキュリティ・リスク管理(CSRM)情報を統合して複合的なエンタープライズ・リスク・プロファイル(ERP)を作成し、エンタープライズの経営者や機関の役員のエンタープライズ・リスク管理(ERM)の審議、決定、行動に情報を提供するための方法を検討している。また、財務、評価、使命、評判などのエクスポージャーの一部として、サイバーセキュリティ・リスクを含めることを説明している。図1は、以前のレポートにあったエンタープライズリスクサイクルを拡大したもので、外部のステークホルダーの意見や感情がリスク決定の重要な要素であることを読者に思い出させるものである[1]。 
The importance of information and technology risks to the enterprise risk posture makes it critical to ensure broad visibility into related activities. A comprehensive enterprise risk register (ERR) and enterprise risk profile (ERP) support communication and disclosure requirements. Integration of CSRM activities supports understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, and cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities.   エンタープライズのリスク対策における情報・技術リスクの重要性から、関連する活動を広く可視化することが重要である。包括的なエンタープライズリスク登録(ERR)とエンタープライズリスクプロファイル(ERP)は、コミュニケーションと情報開示の要件をサポートします。CSRM活動の統合は、エンタープライズ報告(損益計算書、貸借対照表、キャッシュフローなど)に関連するエクスポージャーの理解をサポートし、公共機関の同様の要件(予算編成や監督当局への報告など)をサポートします。 
This NISTIR explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite understanding of the various cyber risks that may have an impact on the enterprise’s objectives.  The report continues the discussion where NISTIR 8286B concluded by focusing on the integration of data points to create a comprehensive view of opportunities and threats to the enterprise’s information and technology. Notably, because cybersecurity risk is only one of the dozens of risk types in the enterprise risk universe, that risk understanding will itself be integrated with similar aggregate observations of other collective risk points.  このNISTIRは、エンタープライズの目的に影響を与える可能性のある様々なサイバーリスクの複合的な理解を得るために、エンタープライズ全体からの異種のサイバーセキュリティリスク管理(CSRM)情報を統合する方法を検討しています。 本報告書は、NISTIR 8286Bの議論を継承し、データポイントを統合してエンタープライズの情報や技術に対する機会や脅威を包括的に把握することに重点を置いています。特に、サイバーセキュリティリスクは、エンタープライズのリスクユニバースに含まれる数十種類のリスクタイプのうちの1つに過ぎないため、そのリスクの理解自体が、他の集合的なリスクポイントの同様の集約された観測結果と統合されることになります。
NISTIR 8286C discusses how risk governance elements such as enterprise risk strategy, appetite, tolerance, and capacity direct risk performance. By monitoring the results of CSRM activities at each hierarchical level, senior leaders can adjust various governance components (e.g., policy, procedures, skills) to achieve risk objectives. The report describes how the CSRM Monitor, Evaluate, and Adjust (MEA) process supports enterprise risk management. This process also supports a repeatable and consistent use of terms, including an understanding of how the context of the terms can vary depending on the enterprise’s perspective. That understanding helps to ensure effective CSRM communication and coordination.   NISTIR 8286Cでは、エンタープライズのリスク戦略、アペタイト、トレランス、キャパシティなどのリスクガバナンスの要素が、どのようにリスクパフォーマンスを左右するかについて述べています。各階層におけるCSRM活動の結果をモニタリングすることで、シニアリーダーは、リスク目標を達成するために様々なガバナンス要素(方針、手順、スキルなど)を調整することができます。本報告書では、CSRMのMEA(Monitor, Evaluate, and Adjust)プロセスがどのようにエンタープライズのリスク管理を支えているかを説明しています。また、このプロセスは、エンタープライズの視点によって用語の文脈がどのように変化するかを理解することを含め、反復可能で一貫性のある用語の使用をサポートします。このような理解は、CSRMの効果的なコミュニケーションと調整を可能にします。 
While ERM is a well-established field, there is an opportunity to expand and improve the body of knowledge regarding coordination among cybersecurity risk managers and those managing risk at the most senior levels. This series is intended to introduce this integration while recognizing the need for additional research and collaboration. Future points of focus may include information regarding business impact assessments (BIA), which are foundational to understanding exposure and opportunity. Additional reports may explore specific guidance regarding risk limits (i.e., risk appetite, tolerance, and capacity) and further explanation of risk analysis techniques. NIST also continues to perform extensive research and publication development regarding metrics – a topic that will certainly support ERM/CSRM performance measurement, monitoring, and communication.
ERMは確立された分野ではありますが、サイバーセキュリティ・リスク管理者と最上級レベルのリスク管理者との間の連携に関する知識体系を拡大・改善する機会があります。このシリーズは、さらなる研究と協力の必要性を認識しつつ、この統合を紹介することを目的としています。将来的には、エクスポージャーとオポチュニティを理解するための基礎となるビジネスインパクトアセスメント(BIA)に関する情報に焦点を当てる予定です。また、リスク限度(リスクアペタイト、トレランス、キャパシティなど)に関する具体的なガイダンスや、リスク分析手法のさらなる説明なども追加される予定です。NISTはまた、ERM/CSRMのパフォーマンス測定、モニタリング、コミュニケーションを確実にサポートするトピックである、メトリクスに関する広範な研究と出版物の開発を続けています。
NISTIR 8286C continues the discussion regarding the inclusion of CSRM priorities and results in support of improved understanding about the agency and enterprise impacts of cybersecurity risks on financial, reputation, and mission considerations.
NISTIR 8286Cでは、サイバーセキュリティリスクが財務、評判、ミッションに与える機関やエンタープライズの影響についての理解を深めるために、CSRMの優先事項や結果を含めることに関する議論を続けています。
[1] Key external stakeholders include shareholders, strategic partners, regulators, constituents, allies, and legislators. [1] 外部の主要なステークホルダーには、株主、戦略的パートナー、規制当局、有権者、同盟国、議員などが含まれます。

 

 

目次

Executive Summary エグゼクティブ・サマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Document Structure 1.2 文書構造
2 Aggregation and Normalization of Cybersecurity Risk Registers 2 サイバーセキュリティリスクレジスターの集約と正規化
2.1 Aggregation of Cybersecurity Risk Information 2.1 サイバーセキュリティリスク情報の集約
2.2 Normalization of CSRR Information 2.2 CSRR情報の正規化
2.3 Integrating CSRR Details 2.3 CSRRの詳細の統合
3 Integration of Cybersecurity Risk into the ERR/ERP 3 サイバーセキュリティリスクのERR/ERPへの統合
3.1 Enterprise Impact of Cybersecurity 3.1 サイバーセキュリティの企業への影響
3.2 Dependencies Among Enterprise Functions and Technology Systems 3.2 企業機能と技術システム間の依存関係
3.3 Enterprise Value of the ERP 3.3 ERPの企業価値
3.4 Typical Enterprise Objectives, Functions, and Prioritization 3.4 典型的な企業の目的、機能、および優先順位付け
4 Risk Governance as the Basis for Cybersecurity Risk Management 4 サイバーセキュリティリスクマネジメントの基礎となるリスクガバナンス
4.1 Frameworks in Support of Risk Governance and Risk Management 4.1 リスクガバナンスとリスクマネジメントを支えるフレームワーク
4.2 Adjustments to Risk Direction 4.2 リスクの方向性の調整
4.2.1 Adjustments to Cybersecurity Program Budget Allocation 4.2.1 サイバーセキュリティプログラム予算配分の調整
4.2.2 Adjustments to Risk Appetite and Risk Tolerance  4.2.2 リスクアペタイト及びリスクトレランスの調整 
4.2.3 Reviewing Whether Constraints are Overly Stringent 4.2.3 制約が過度に厳しいかどうかの見直し
4.2.4 Adjustments to Priority 4.2.4 優先順位の調整
5 Cybersecurity Risk Monitoring, Evaluation, and Adjustment 5 サイバーセキュリティリスクの監視・評価・調整
5.1 Key CSRM Mechanisms 5.1 主要なCSRMのメカニズム
5.2 Monitoring Risks 5.2 リスクのモニタリング
5.3 Evaluating Risks 5.3 リスクの評価
5.4 Adjusting Risk Responses 5.4 リスク対応の調整
6 Conclusion 6 まとめ
References 参考文献
List of Appendices 附属書のリスト
Appendix A— Acronyms and Abbreviations 附属書A - 頭字語と略語

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

IR8286

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

 

IR8286関連

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み


| | Comments (0)

2022.01.27

英国 会計検査院 モデルをレビューするためのフレームワーク

こんにちは、丸山満彦です。

個人的には、米国、英国、カナダは監査に対する理解が深い国だなぁと思っているんですよね。。。

英国の会計検査院(国家監査室というのが直訳ですかねぇ・・・)の今回の文書も、監査に対する理解がないと生まれないようなものだと思いました。。。

 

National Audit Office: NAO

・2022.01.26 Framework to review models

Framework to review models モデルをレビューするためのフレームワーク
This framework provides a structured, flexible approach to reviewing models. It is intended to aid those commissioning or undertaking analysis of a model with the aim of determining whether the model is robust and reasonable. このフレームワークは、モデルをレビューするための構造的かつ柔軟なアプローチを提供するものです。このフレームワークは、モデルが堅牢で合理的であるかどうかを判断するために、モデルの分析を依頼したり実施したりする人を支援することを目的としています。
Government departments and agencies rely on models for their day-to-day activities including estimating costs; distributing funding within organisations; and testing policy options. They routinely develop and use models to generate insight into a question or to better understand a problem related to their business. These models can vary in complexity from relatively simple spreadsheets to detailed forecasts using specialist software. Outputs from models underpin decisions made by departments and arm’s-length bodies that often have very real impacts on people’s lives and can involve large amounts of money and resources. 政府の各省庁は、コストの見積もり、組織内での資金配分、政策オプションの検証など、日々の活動においてモデルに依存しています。また、業務に関連する問題をより深く理解するために、モデルを開発して使用することもあります。これらのモデルは、比較的単純なスプレッドシートから、専門的なソフトウェアを使用した詳細な予測まで、その複雑さは様々です。モデルからの出力は、各省庁や独立行政法人による意思決定の基礎となりますが、これらの意思決定はしばしば人々の生活に非常に大きな影響を与え、多額の資金や資源を必要とすることがあります。
In our audit work across government, we continue to find weaknesses in models such as: 政府全体の監査では、以下のようなモデルの弱点が引き続き指摘されています。
・limited or poor-quality data; ・限定的、あるいは質の低いデータ
・unrealistic assumptions and optimism bias; and ・非現実的な仮定と楽観主義バイアス
・inadequate sensitivity and scenario analysis. ・感度分析やシナリオ分析が不十分であること
The framework provides a structured approach to review models, which organisations can use to determine whether the modelling outputs they produce are reasonable, robust and have a minimal likelihood of errors being made. このフレームワークは、モデルをレビューするための構造的なアプローチを提供しており、組織はこれを利用して、作成したモデル出力が合理的で、堅牢であり、エラーが発生する可能性が最小限であるかどうかを判断することができます。

 

・[PDF]

20220127-145413

目次

Introduction 序文
The framework フレームワーク
Risk assessment リスク評価
Controls コントロール
Selection of methods 手法の選択
Application of methods 手法の適用
Data データ
Assumptions 前提条件
Estimation uncertainty 推定の不確実性
Using the model outputs モデル出力の使用

 

序文

Introduction 序文
Government departments and agencies rely on models for their day-to-day activities including estimating costs; distributing funding within organisations; and testing policy options. They routinely develop and use models to generate insight into a question or to better understand a problem related to their business. These models can vary in complexity from relatively simple spreadsheets to detailed forecasts using specialist software. Outputs from models underpin decisions made by departments and arm’s-length bodies that often have very real impacts on people’s lives and can involve large amounts of money and resources. 政府の各省庁は、コストの見積もり、組織内での資金配分、政策オプションの検証など、日々の活動にモデルを活用しています。また、業務に関連する問題をより深く理解するために、モデルを開発し使用することもあります。これらのモデルは、比較的単純なスプレッドシートから、専門的なソフトウェアを使用した詳細な予測まで、その複雑さは様々です。モデルからの出力は、各省庁や独立行政法人による意思決定の基礎となりますが、これらの意思決定はしばしば人々の生活に非常に大きな影響を与え、多額の資金や資源を必要とすることがあります。
In our audit work across government, we continue to find weaknesses in models such as: • limited or poor-quality data; • unrealistic assumptions and optimism bias; and 政府全体の監査では、以下のようなモデルの弱点が引き続き指摘されています。- 非現実的な仮定と楽観主義バイアス
• inadequate sensitivity and scenario analysis. ・不適切な感度とシナリオ分析
The framework provides a structured approach to review models, which organisations can use to determine whether the modelling outputs they produce are reasonable, robust and have a minimal likelihood of errors being made. このフレームワークは、モデルをレビューするための構造的なアプローチを提供しています。このフレームワークを利用することで、組織は、作成したモデル出力が合理的で、堅牢であり、エラーが発生する可能性が最小限であるかどうかを判断することができます。
Evidence base エビデンスベース
The framework to review models builds on the findings, conclusions and recommendations from our 2022 report on Financial modelling in government. It is also based on the evidence and guidance available from: モデルをレビューするためのフレームワークは、2022年に発行されたレポート「Financial modelling in government」で得られた知見、結論、提言に基づいています。また、以下の証拠やガイダンスにも基づいています。
• HM Treasury’s review of quality assurance of government analytical models (2013) ・HM Treasury's review of quality assurance of government analytical models (2013) 
• HM Treasury’s Aqua Book (2015) ・ HM Treasury's Aqua Book (2015)
• The Department for Business, Energy & Industrial Strategy (BEIS) Modelling Quality Assurance tools and guidance ・ビジネス・エネルギー・産業戦略省(BEIS)のモデリング品質保証ツール及びガイダンス
• International Standard on Auditing, ISA, (UK) 540  (Revised) Auditing Accounting Estimates and Related Disclosures (2018) ・国際監査基準(ISA)(英国)540号 (改訂版)会計上の見積りと関連する開示の監査(2018年)
• Office for Statistics Regulation Quality Assurance of Administrative Data ・Office for Statistics Regulation Quality Assurance of Administrative Data(統計局規則 行政データの品質保証
• The government’s Uncertainty Toolkit for Analysts in Government ・政府のアナリスト向け不確実性ツールキット
How to use the framework フレームワークの使用方法
This framework is aimed at people who commission analysis, provide analytical assurance and deliver the analysis itself. このフレームワークは、分析を依頼する人、分析の保証を行う人、分析そのものを提供する人を対象としています。
It is not intended to be a checklist; instead it is a flexible framework which can be tailored, taking into account: • the amount of time and resource available; チェックリストとしてではなく、以下の点を考慮してカスタマイズできる柔軟なフレームワークです。- 利用可能な時間とリソースの量
• the complexity and risk associated with the model; and  ・モデルに関連する複雑さとリスク,および
• the level of assurance needed to reach an overall judgement.  ・総合的な判断を下すために必要な保証のレベル
This proportional approach is in line with HM Treasury’s review of quality assurance of government analytical models (see diagram overleaf). Additionally, please note the framework does not represent a comprehensive methodology for audits of models carried out to test compliance with the International Standard on Auditing (UK), where further requirements will apply.  このような比例的なアプローチは、政府の分析モデルの品質保証に関する財務省のレビューに沿ったものです(左図参照)。さらに、このフレームワークは、国際監査基準(英国)への準拠をテストするために実施されるモデルの監査のための包括的な方法論を示すものではなく、さらなる要件が適用されることに留意してください。
Deciding on whether a model and its outputs are robust, reasonable and used appropriately requires a proportionate, evidence-based judgement. It will often be the case that a review will identify issues and weaknesses in some aspect of how the model was designed, built and used. Crucially, the objective of a model review is to identify, in your opinion, whether those issues had an impact on the quality of the model, and whether there is a risk of material impact on the outputs and how they are interpreted and used for decision making, planning and/or disclosures.  モデルとその出力が堅牢であり、妥当であり、適切に使用されているかどうかを判断するには、証拠に基づいた適切な判断が必要です。多くの場合、レビューでは、モデルの設計、構築、使用方法のいくつかの側面における問題や弱点が特定されることになります。重要なことは、モデルレビューの目的は、それらの問題がモデルの品質に影響を与えたかどうか、また、アウトプットに重大な影響を与えるリスクがあるかどうか、そして、それらがどのように解釈され、意思決定、計画、および/または開示のために使用されるかを、あなたの意見で特定することです。
How the NAO can help NAOの支援方法
If you have any queries about this framework or suggestions for how it can be improved, please use the contact form on our website. このフレームワークについてのご質問や、改善のためのご提案などがございましたら、当ウェブサイトのお問い合わせフォームをご利用ください。

 

| | Comments (0)

NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

こんにちは、丸山満彦です。

NISTがNIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価を公開していますね。。。

ドラフト段階ではほぼ800ページあったのが733ページに減っています(^^)

実は、ここで評価されているコントロールの評価手法は監査学者も是非読んでほしいですね。。。(日本の監査研究者は、財務諸表監査の研究者ばかりですよね。。。)

 

NIST - ITL

・2022.01.25 SP 800-53A Rev. 5 Assessing Security and Privacy Controls in Information Systems and Organizations

・[PDF] SP 800-53A Rev. 5

20220127-134405

Executive Summary エグゼクティブサマリー
Security and privacy control assessments are not about checklists, simple pass/fail results, or generating paperwork to pass inspections or audits. Rather, control assessments are the principal vehicle used to verify that selected security and privacy controls are implemented and meeting stated goals and objectives. Special Publication (SP) 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations, facilitates security control assessments and privacy control assessments conducted within an effective risk management framework. A major design objective for SP 800-53A is to provide an assessment framework and initial starting point for assessment procedures that are flexible enough to meet the needs of different organizations while providing consistency in conducting control assessments. Control assessment results provide organizational officials with: セキュリティとプライバシーのコントロール評価は、チェックリストや単純な合格/不合格の結果、あるいは検査や監査に合格するための書類作成ではありません。コントロー評価は、むしろ選択されたセキュリティとプライバシーのコントロールが実施され、定められた目標と目的を達成していることを検証するための主要な手段です。Special Publication (SP) 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations(情報システムと組織におけるセキュリティとプライバシーのコントロールの評価)は、効果的なリスク管理の枠組みの中で行われるセキュリティコントロールの評価とプライバシーコントロールの評価を促進します。SP 800-53A の主な設計目的は、コントロール評価の実施に一貫性を持たせながら、異なる組織のニーズを満たすのに十分な柔軟性を持った評価フレームワークと評価手順の最初の出発点を提供することです。コントロール評価の結果は、組織の担当者に次のものを提供します。
• Evidence of the effectiveness of implemented controls,  ・実装されたコントロールの有効性の証拠
• An indication of the quality of the risk management processes, and  ・リスクマネジメントプロセスの質の指標、および
• Information about the security and privacy strengths and weaknesses of systems that are supporting organizational missions and business functions. ・組織のミッションとビジネス機能をサポートするシステムのセキュリティとプライバシーに関する強みと弱みに関する情報。
The findings identified by assessors are used to determine the overall effectiveness of security and privacy controls associated with systems and their environments of operation and to provide credible and meaningful inputs to the organization’s risk management process. A wellexecuted assessment helps determine the validity of the controls contained in the organization’s security and privacy plans and subsequently employed in organizational systems and environments of operation. Control assessments facilitate a cost-effective approach to managing risk by identifying weaknesses or deficiencies in systems, thus enabling the organization to determine appropriate risk responses in a disciplined manner that is consistent with organizational mission and business needs. 評価者が発見した事項は、システムおよびその運用環境に関連するセキュリティおよびプライバシーのコントロールの全体的な有効性を判断し、組織のリスク管理プロセスに信頼性のある有意義な情報を提供するために使用されます。適切に実施された評価は、組織のセキュリティ及びプライバシーに関する計画に含まれ、その後、組織のシステム及び運用環境に採用されたコントロールの有効性を判断するのに役立ちます。コントロール評価は、システムの弱点や欠陥を特定することで、リスクを管理するための費用対効果の高いアプローチを促進し、組織が組織のミッションとビジネスニーズに合致した適切なリスク対応を決定することを可能にします。
SP 800-53A is a companion guideline to [SP 800-53] Security and Privacy Controls for Systems and Organizations. Each publication provides guidance for implementing specific steps in the Risk Management Framework (RMF).1 SP 800-53 and [SP 800-53B] address the Select step of the RMF and provide guidance on security and privacy control selection (i.e., determining the controls needed to manage risks to organizational operations and assets, individuals, other organizations, and the Nation). SP 800-53A addresses the Assess and Monitor steps of the RMF and provides guidance on the security and privacy control assessment processes. SP 800-53A also includes guidance on how to build effective assessment plans and how to analyze and manage assessment results. SP 800-53A は、[SP 800-53] Security and Privacy Controls for Systems and Organizations に付随するガイドラインです。SP 800-53 と [SP 800-53B] は RMF の選択ステップを扱い、セキュリティとプライバシ ーのコントロールの選択(組織の運営と資産、個人、他の組織、国家に対するリスクを管理するために 必要なコントロールを決定すること)に関するガイダンスを提供しています。SP 800-53A は、RMF の評価と監視のステップを扱い、セキュリティとプライバシー管理の評価プロセスに関するガイダンスを提供しています。SP 800-53A には、効果的な評価計画を構築する方法と、評価結果を分析し管理する方法についてのガイダンスも含まれています。
SP 800-53A provides a process that allows organizations to tailor the assessment procedures outlined in the guidance. Tailoring involves customizing the assessment procedures to match the characteristics of the system and its environment of operation more closely. The tailoring process described in this guidance gives organizations the flexibility needed to avoid assessment approaches that are unnecessarily complex or costly while simultaneously meeting the assessment requirements and risk management principles established in the RMF. Tailoring decisions are left to the discretion of the organization to maximize flexibility in developing assessment plans – applying the results of risk assessments to determine the extent, rigor, and level of intensity of the assessments needed to provide sufficient assurance about the security and privacy posture of the system. SP 800-53A は、ガイダンスに記載されている評価手順を組織がカスタマイズするためのプロセスを提供しています。調整とは、システムの特性とその運用環境に合わせて評価手順をカスタマイズすることです。本ガイダンスに記載されている調整プロセスは、不必要に複雑でコストのかかる評価手法を避け、同時にRMFで確立された評価要件とリスク管理原則を満たすために必要な柔軟性を組織に与えるものである。調整の決定は組織の裁量に委ねられており、評価計画の策定における柔軟性を最大限に引き出すことができます。また、リスクアセスメントの結果を適用して、システムのセキュリティ及びプライバシーの態勢について十分な保証を提供するために必要なアセスメントの範囲、厳格さ、強度のレベルを決定します。
1 [SP 800-37], Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, provides guidance on applying the RMF to systems and organizations. 1 [SP 800-37]、情報システムと組織のためのリスク管理フレームワーク。では、システムや組織にRMFを適用する際のガイダンスが示されています。

 

目次...

CHAPTER ONE INTRODUCTION 第1章 はじめに
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用性
1.2 TARGET AUDIENCE 1.2 想定読者
1.3 RELATED PUBLICATIONS AND ASSESSMENT PROCESSES 1.3 関連出版物および評価プロセス
1.4 ORGANIZATION OF THIS PUBLICATION 1.4 この出版物の構成
CHAPTER TWO THE FUNDAMENTALS 第2章 基本事項
2.1 ASSESSMENTS WITHIN THE SYSTEM DEVELOPMENT LIFE CYCLE 2.1 システム開発ライフサイクルにおけるアセスメント
2.2 CONTROL STRUCTURE AND ORGANIZATION 2.2 コントロールの構造と組織
2.3 BUILDING AN EFFECTIVE ASSURANCE CASE 2.3 効果的な保証事例の構築
2.4 ASSESSMENT PROCEDURES: ASSESSMENT OBJECTS, METHODS AND OBJECTIVES 2.4 評価手順。評価の対象、方法及び目的
CHAPTER THREE THE PROCESS 第3章 プロセス
3.1 PREPARE FOR SECURITY AND PRIVACY CONTROL ASSESSMENTS 3.1 セキュリティ及びプライバシーに関する統制評価の準備
3.2 DEVELOP SECURITY AND PRIVACY ASSESSMENT PLANS 3.2 セキュリティ及びプライバシーに関する評価計画の策定
3.3 CONDUCT SECURITY AND PRIVACY CONTROL ASSESSMENTS 3.3 セキュリティ及びプライバシーに関する統制評価の実施
3.4 ANALYZE ASSESSMENT REPORT RESULTS 3.4 評価報告書の結果の分析
3.5 ASSESS SECURITY AND PRIVACY CAPABILITIES 3.5 セキュリティ及びプライバシーに関する能力の評価
CHAPTER FOUR SECURITY AND PRIVACY ASSESSMENT PROCEDURES 第4章 セキュリティ及びプライバシーの評価手順
4.1 ACCESS CONTROL 4.1 アクセス制御
4.2 AWARENESS AND TRAINING 4.2 認識とトレーニング
4.3 AUDIT AND ACCOUNTABILITY 4.3 監査及び説明責任
4.4 ASSESSMENT, AUTHORIZATION, AND MONITORING 4.4 評価、承認、及び監視
4.5 CONFIGURATION MANAGEMENT 4.5 構成管理
4.6 CONTINGENCY PLANNING 4.6 緊急時の計画
4.7 IDENTIFICATION AND AUTHENTICATION 4.7 識別および認証
4.8 INCIDENT RESPONSE 4.8 インシデント対応
4.9 MAINTENANCE 4.9 メンテナンス
4.10 MEDIA PROTECTION 4.10 メディアの保護
4.11 PHYSICAL AND ENVIRONMENTAL PROTECTION 4.11 物理的および環境的な保護
4.12 PLANNING 4.12 プランニング
4.13 PROGRAM MANAGEMENT 4.13 プログラム管理
4.14 PERSONNEL SECURITY 4.14 職員のセキュリティ
4.15 PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY 4.15 個人を特定できる情報の処理と透明性
4.16 RISK ASSESSMENT 4.16 リスク評価
4.17 SYSTEM AND SERVICES ACQUISITION 4.17 システムおよびサービスの取得
4.18 SYSTEM AND COMMUNICATIONS PROTECTION 4.18 システムおよび通信の保護
4.19 SYSTEM AND INFORMATION INTEGRITY 4.19 システムおよび情報の完全性
4.20 SUPPLY CHAIN RISK MANAGEMENT 4.20 サプライチェーン・リスクマネジメント
REFERENCES 参考文献
APPENDIX A GLOSSARY 附属書A 用語集
APPENDIX B ACRONYMS 附属書B 頭字語
APPENDIX C ASSESSMENT METHOD DESCRIPTIONS 附属書C 評価方法の説明
APPENDIX D PENETRATION TESTING 附属書D ペネトレーションテスト
APPENDIX E ASSESSMENT REPORTS 附属書E 評価レポート
APPENDIX F ONGOING ASSESSMENT AND AUTOMATION 附属書F 継続的な評価と自動化

 


● まるちゃんの情報セキュリティ気まぐれ日記

ドラフト時

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

 

SP800-53A, 171A, 172A関連

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

10年以上前

・2010.05.10 NIST SP800-53関係の情報

・2009.12.25 OMB Requesting Comments on Metrics for Annual FISMA Reporting by Federal Agencies

・2006.08.02 NIST SP800-53Aの評価手順書作成の考え方

・2005.07.20 NIST SP800-53A & FIPS 200 Draft

・2005.06.18 NIST SP-800



 

| | Comments (0)

英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省は、スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表していますね。。。


● U.K. Government

・2022.01.26 (press) New smart devices cyber security laws one step closer

 

New smart devices cyber security laws one step closer スマートデバイスのサイバーセキュリティ新法に一歩近づく
Digital Secretary Nadine Dorries to open the debate on new law to strengthen cyber protections for people’s smartphones, TVs, speakers, routers and digital devices スマートフォン、テレビ、スピーカー、ルーターなどのデジタル機器のサイバー保護を強化する新法について、デジタル・セクレタリーのナディーン・ドリースが討論会を開催
From: Department for Digital, Culture, Media & Sport and The Rt Hon Nadine Dorries MP デジタル・文化・メディア・スポーツ省、The Rt Hon Nadine Dorries MPから
・Second reading of landmark Product Security and Telecoms Infrastructure Bill will prohibit UK sales of connectable digital products with poor cyber security ・「製品セキュリティおよび電気通信インフラ法案」の第二読会で、サイバーセキュリティが不十分な接続可能なデジタル製品の英国での販売が禁止されることが明確になった。
・Bill will speed up roll out of better mobile and broadband coverage by encouraging fairer and faster deals between landowners and mobile operators ・この法案は、土地所有者と携帯電話事業者との間のより公平で迅速な取引を促進することにより、モバイルやブロードバンドの普及を促進するものである。
MPs are set to debate a new world-leading law to keep consumers’ phones, tablets, smart TVs, fitness trackers and other devices secure from cybercriminals. 国会議員は、消費者の携帯電話、タブレット、スマートテレビ、フィットネストラッカー、その他の機器をサイバー犯罪者から守るための、世界をリードする新しい法律について議論する予定です。
It will place new cyber security requirements on the manufacturers and sellers of consumer tech which can connect to the internet or other devices. この法案は、インターネットや他の機器に接続可能な消費者向け機器の製造者および販売者に、新たなサイバーセキュリティ要件を課すものです。
Under the bill, easy-to-guess default passwords which come programmed into digital devices and present an easy target for cybercriminals will be banned. この法案では、デジタル機器にプログラムされ、サイバー犯罪者にとって格好の標的となっている、推測しやすいデフォルトのパスワードを禁止します。
Manufacturers will have to be more transparent to customers about the length of time products will receive security updates for connectable products and create a better public reporting system for vulnerabilities found in those products. また、製造業者は、接続可能な製品のセキュリティアップデートが提供される期間を顧客に対してより透明性の高いものとし、これらの製品に発見された脆弱性の報告システムをより適切に構築する必要があります。
Failure to uphold the measures could result in fines ​​of up to £10 million or four per cent global turnover, plus up to £20,000 per day in the case of an ongoing breach. これらの措置を怠った場合には、最高1,000万ポンドまたは全世界の売上高の4%、さらに継続的に違反があった場合には1日あたり最高2万ポンドの罰金が科せられることになります。
Ahead of introducing the bill in the House of Commons, Digital Secretary Nadine Dorries said: 下院での法案提出に先立ち、デジタル・セクレタリーのナディーン・ドリースは次のように述べています。
Whether it’s your phone, smart speaker or fitness tracker, it’s vital that these devices are kept secure from cybercriminals. 携帯電話、スマートスピーカー、フィットネストラッカーなど、これらのデバイスがサイバー犯罪者から安全に守られることは極めて重要です。
Every product on our shelves has to meet all sorts of minimum requirements, like being fire resistant or a choking hazard and this is no different for the digital age where products can now carry a cyber security risk. 棚に並んでいるすべての製品は、耐火性や窒息の危険性など、あらゆる種類の最低条件を満たしていなければなりません。これは、製品がサイバーセキュリティのリスクを抱えるようになったデジタル時代でも変わりません。
We are legislating to protect people across the UK and keep pace with technology as it transforms our everyday lives. 私たちは、英国の人々を保護し、日常生活を変化させるテクノロジーに対応するために法律を制定しています。
The bill will give ministers powers to put new requirements on the manufacturers, importers and distributors of consumer tech devices. They include: この法案は、消費者向けハイテク機器の製造業者、輸入業者、販売業者に新たな要件を課す権限を閣僚に与えます。その内容は以下の通りです。
Banning universal default passwords which are pre-set on devices - such as ‘password’ or ‘admin’ - and are an easy target for cyber criminals. Any preloaded product passwords will need to be unique and not resettable to universal factory settings. サイバー犯罪者の格好の標的となる、「password」や「admin」など、機器にあらかじめ設定されているユニバーサルなデフォルトパスワードを禁止する。プリロードされた製品のパスワードは、ユニークなものでなければならず、普遍的な工場出荷時の設定にリセットすることはできません。
Requiring device manufacturers to be transparent with consumers about how long they’ll provide security updates for products so people are clearer when they buy. If a product will not receive any security updates the customer must be informed. 機器メーカーは、製品のセキュリティアップデートを提供する期間について、消費者に対して透明性を確保することを要求し、消費者が製品を購入する際に明確になるようにする。製品にセキュリティアップデートが提供されない場合は、お客様にその旨を伝えなければなりません。
Ensuring manufacturers have a readily available public point of contact to make it easier for software flaws and bugs to be reported. ソフトウェアの欠陥やバグの報告を容易にするために、メーカーは一般に公開された連絡先を確保する。
​​The bill will also speed up the roll out of faster and more reliable broadband and mobile networks by making it easier for operators to upgrade and share infrastructure. The reforms will encourage quicker and more collaborative negotiations with landowners hosting the equipment with the aim of reducing instances of lengthy court action holding up the construction of infrastructure. また、この法案は、事業者がインフラのアップグレードや共有を容易にすることで、より高速で信頼性の高いブロードバンドおよびモバイルネットワークの展開を加速します。この改革により、設備を保有する土地所有者との交渉が迅速かつ協力的に行われるようになり、インフラの建設を妨げる長期の裁判を減らすことを目指します。
A regulator, to be announced at a later date, will oversee the new cyber security regime and ensure in-scope businesses comply with the measures in place. It will have the power to issue notices to companies requiring they comply with the security requirements, recall insecure products or stop selling or supplying them altogether. 後日発表される予定の規制当局は、新しいサイバーセキュリティ制度を監督し、対象となる企業が導入された措置を遵守することを保証します。規制当局は、企業に対し、セキュリティ要件の遵守、安全でない製品の回収、製品の販売・供給の全面的な停止を求める通知を発行する権限を有します。
The bill applies to ‘connectable’ products. This includes all devices which can access the internet such as smartphones, smart TVs, games consoles, security cameras and alarm systems, smart toys and baby monitors, smart home hubs and voice-activated assistants, and smart home appliances such as washing machines and fridges. この法案は、「接続可能な」製品に適用されます。スマートフォン、スマートテレビ、ゲーム機、防犯カメラやアラームシステム、スマートトイやベビーモニター、スマートホームハブや音声認識アシスタント、洗濯機や冷蔵庫などのスマート家電など、インターネットに接続できるすべての機器が対象となります。
It also applies to products which can connect to multiple other devices but not directly to the internet. Examples include smart light bulbs, smart thermostats and wearable fitness trackers. また、インターネットには直接接続できないが、他の複数の機器に接続できる製品にも適用されます。例えば、スマート電球、スマートサーモスタット、ウェアラブル・フィットネストラッカーなどです。
Matthew Evans, Director of Markets, techUK said: techUKのマーケッツ担当ディレクター、マシュー・エヴァンスは次のように述べています。
Industry has long supported the shared ambition to improve the cyber resilience of devices and has worked with DCMS across the Secure-By-Design agenda over the last five years. 「業界は、機器のサイバー耐性を向上させるという共通の目標を長年支持しており、過去5年間にわたりDCMSと協力して「Secure-By-Design」の課題に取り組んできました。
Most suppliers already adhere to the principles of the legislation and if implemented practically this will both protect consumers and ensure they have access to a wide range of connected devices. ほとんどのサプライヤーは、すでにこの法律の原則を遵守しており、これが実際に実施されれば、消費者を保護すると同時に、幅広いコネクテッドデバイスへのアクセスを確保することができます。
techUK also welcomes the Government’s efforts to reforming the Electronic Communications Code, which is essential to speeding up the rollout of gigabit and 5G infrastructure. Industry looks forward to further clarity on the amendments to the Code to ensure we can deliver the connectivity consumers and businesses need. techUKは、ギガビットおよび5Gインフラの展開を加速させるために不可欠な電子通信規約の改革に向けた政府の取り組みも歓迎します。業界としては、消費者や企業が必要とする接続性を確実に提供するために、コードの改正内容がさらに明確になることを期待しています」。
Hamish MacLeod, Chief Executive at Mobile UK, said: Mobile UKのチーフ・エグゼクティブであるHamish MacLeodは、次のように述べています。
Mobile operators need a robust legal framework to meet the UK’s connectivity ambitions. The Electronic Communications Code as it stands is not working. 「携帯電話事業者は、英国の接続性に関する目標を達成するために、強固な法的枠組みを必要としています。現状の電子通信規約は機能していません。
Mobile operators welcome the measures within this Bill that will tackle this and will engage closely with Parliament to ensure that it delivers on this objective. 携帯電話事業者は、この法案の中でこの問題に取り組むための措置を歓迎し、議会と緊密に連携してこの目的を達成することを目指します」。
ENDS ENDS
Notes to Editors: 編集者への注釈
Following its second reading the bill will advance to the committee stage where an assigned committee will scrutinise the bill in detail. Further information on the bill’s journey through Parliament can be found on the website 法案は、第2読会の後、委員会段階に進み、指定された委員会が法案を詳細に精査します。法案が議会を通過する過程の詳細については、ウェブサイトをご覧ください。
The security requirements that relate to the powers set out in Part 1 of the bill are to be introduced in regulations and are based on the 2018 Code of Practice for Consumer Internet of Things Security and the European Standard on Internet of Things Security, ETSI EN 303 645, which include thirteen outcome-focused guidelines that are widely considered good practice in IoT security. 法案の第1部で定められた権限に関連するセキュリティ要件は、規制で導入される予定であり、IoTセキュリティのグッドプラクティスとして広く考えられている13のアウトカムに焦点を当てたガイドラインを含む「2018 Code of Practice for Consumer Internet of Things Security」および「European Standard on Internet of Things Security, ETSI EN 303 645」に基づいています。

 

Fig1_20211219053501

 


 

法案の進捗状況等(議会)

● U.K. Parliament - Parliamentary Bills

Product Security and Telecommunications Infrastructure Bill

・[PDF] Bill 199 2021-22 (as introduced)

20220127-115023

関連文書

● U.K. Government

・2018.10.14 Code of Practice for Consumer IoT Security

・[HTML]

・[PDF

20220127-110420

 

● European Telecommunications Standards Institute: ETSI

・2020.06 [PDF] ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements

20220127-111537


上記の標準の技術仕様書

・2021.08 [PDF] ETSI TS 103 701 V1.1.1 CYBER; Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements

20220127-111703



 

| | Comments (0)

公認会計士協会 IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正

こんにちは、丸山満彦です。

公認会計士協会が、IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正を公開していますね。。。(昨年11月から12月にかけて改正案の意見募集があったものです。。。意見は無かったようですが。。。)

リモートワークの定着化により想定される課題への対応等として、従来のQ&Aの見直しを行ったものということです。。。用語というか範囲というかの見直しも行われていますね。。。

 

日本公認会計士協会

・2022.01.26 「IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正」の公表について

 

・[PDF] 前文

・[PDF] 新旧対照表

・[PDF] 本文

20220127-62958

・[PDF] 概要資料

20220127-63021

変更点の概要

1 リモートワーク関連技術・対策のQA追加、記載強化

  • Q22:「電子データ授受に関する方針を定める上で留意する点を教えてください。」というQAを追加
  • Q35:リモート会議の実施に対する主なリスクの主な例示を追加
  • Q36:リモートワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した総務省「テレワークセキュリティガイドライン」の追加

2 リスクアセスメントの例示の更新

  • 付録2:業務の局面におけるリスクとリスク対応例を更新

3 予防のみならず被害を受ける前提の早期検知・対策に言及

  • Q7:早期の検知を行えるような組織やシステム運用上の仕組みを導入する事や、影響の特定早期化や対応の早期化など被害の最小化につながる取組の重要性を記載
  • 27:サイバー攻撃等のインシデントが発生した事を想定した対応の例示を記載

4 クラウドサービス等外部委託先を利用することを前提とした記載を強化

  • Q9:外部に委託する作業や業務に応じて扱う情報が異なることを前提にリスクに応じた対策を行うことの重要性を記載
  • 11:「外部の委託業者との間では守秘義務契約などを締結していますが、リスク要因としてどのような点について注意すればよいでしょうか。」というQAを追加
  • Q12:新たな情報機器の活用が進む中で、利便性のみならずセキュリティリスク及び適切な設定を行うことの重要性について、改めて注意喚起

5 PC等からの情報漏洩を避ける日常的な防止策の例示の追加

  • 25:機器の廃棄及びモバイルデバイス管理に係る論点を追記

 

 

| | Comments (0)

欧州委員会 「デジタルの権利と原則に関する欧州宣言」草案

こんにちは、丸山満彦です。

欧州委員会が、「デジタルの権利と原則に関する欧州宣言」草案を発表し、欧州議会、欧州理事会に提案していますね。。。2021年9月に採択された「デジタルの10年への道」を補完するものとしての位置付けのようですね。。。

EU Commission

・2022.01.26 [PDF] DIGITAL RIGHTS AND PRINCIPLES

20220127-50921

 

“We aim to promote a European way for the digital transition, putting people at the centre. It shall be based on European values and benefiting all individuals and businesses.” 「私たちは、人々を中心に据えたデジタル移行のためのヨーロッパの方法を推進することを目指しています。それは、欧州の価値観に基づき、すべての個人や企業に利益をもたらすものでなければなりません」。
All people in the EU should get the most out of the digital transformation. The digital rights and principles will guide the EU in promoting an inclusive, prosperous, and sustainable society. The declaration is the first of its kind in the world. It will be a reference point for everyone in the EU and a guide for policy makers and companies developing digital technologies. The digital rights and principles will be reflected in the EU’s actions, future work, and engagement with global partners.  EUのすべての人々が、デジタルトランスフォーメーションから最大限の恩恵を受けるべきです。デジタルの権利と原則は、EUが包括的で豊かで持続可能な社会を推進する際の指針となる。この宣言は、この種のものとしては世界で初めてのものです。この宣言は、EU域内のすべての人にとって参考となり、また、政策立案者やデジタル技術を開発する企業にとっても指針となるでしょう。デジタルの権利と原則は、EUの行動、将来の仕事、世界のパートナーとの関わりに反映されます。

 

PEOPLE AT THE CENTRE 人間中心
Digital technologies should protect people’s rights, support democracy, and ensure that all digital players act responsibly and safely. The EU promotes these values across the world.   デジタル技術は、人々の権利を守り、民主主義を支援し、すべてのデジタルプレーヤーが責任を持って安全に行動することを保証するものでなければなりません。EUは、こうした価値観を世界に広めています。 
SOLIDARITY AND INCLUSION 団結と包括
Technology should unite, not divide, people. Everyone should have access to the internet, to digital skills, to digital public services, and to fair working conditions.   テクノロジーは、人々を分断するものではなく、団結させるものでなければなりません。すべての人がインターネットにアクセスし、デジタルスキルを身につけ、デジタル公共サービスを受け、公正な労働条件を得るべきです。 
FREEDOM OF CHOICE 選択の自由
People should benefit from a fair online environment, be safe from illegal and harmful content, and be empowered when they interact with new and evolving technologies like artificial intelligence.   人々は、公正なオンライン環境の恩恵を受け、違法・有害なコンテンツから安全に守られ、人工知能のような新しく進化するテクノロジーと対話する際に力を与えられるべきです。 
PARTICIPATION 参加の自由
Citizens should be able to engage in the democratic process at all levels, and have control over their own data.   市民は、あらゆるレベルの民主的プロセスに参加し、自らのデータをコントロールできるべきです。 
SAFETY AND SECURITY 安全とセキュリティ
The digital environment should be safe and secure. All users, from childhood to old age, should be empowered and protected.   デジタル環境は、安全でセキュアであるべきです。子供からお年寄りまで、すべてのユーザーが権限を与えられ、保護されるべきです。 
SUSTAINABILITY 持続可能性
Digital devices should support sustainability and the green transition. People need to know about the environmental impact and energy consumption of their devices.  デジタル機器は、持続可能性とグリーン・トランジションをサポートすべきである。ユーザーは、自分の機器が環境に与える影響やエネルギー消費量について知る必要があります。

 

プレス発表

・2022.01.26 (press) Commission puts forward declaration on digital rights and principles for everyone in the EU

Commission puts forward declaration on digital rights and principles for everyone in the EU 欧州委員会は、EU域内のすべての人のためのデジタルの権利と原則に関する宣言を発表
Today, the Commission is proposing to the European Parliament and Council to sign up to a declaration of rights and principles that will guide the digital transformation in the EU. 本日、欧州委員会は、EUにおけるデジタル変革の指針となる権利と原則の宣言への署名を欧州議会と理事会に提案しました。
The draft declaration on digital rights and principles aims to give everyone a clear reference point about the kind of digital transformation Europe promotes and defends. It will also provide a guide for policy makers and companies when dealing with new technologies. The rights and freedoms enshrined in the EU's legal framework, and the European values expressed by the principles, should be respected online as they are offline. Once jointly endorsed, the Declaration will also define the approach to the digital transformation which the EU will promote throughout the world. 「デジタルの権利と原則に関する宣言」案は、欧州がどのようなデジタル変革を推進し、擁護するかについて、すべての人に明確な参照点を与えることを目的としています。また、政策立案者や企業が新しい技術に取り組む際の指針となります。EUの法的枠組みに謳われている権利と自由、そして原則で表現されている欧州の価値観は、オフラインと同様にオンラインでも尊重されるべきです。この宣言は、EUが世界に向けて推進するデジタルトランスフォーメーションへのアプローチを定義するものでもあります。
Executive Vice-President for a Europe Fit for the Digital Age, Margrethe Vestager, said: “We want safe technologies that work for people, and that respect our rights and values. Also when we are online. And we want everyone to be empowered to take an active part in our increasingly digitised societies. This declaration gives us a clear reference point to the rights and principles for the online world.” マルグレーテ・ベスタガー欧州委員会副委員長(デジタル時代に適した欧州担当)は次のように述べています。 「私たちは、人々のために機能し、私たちの権利や価値を尊重する安全なテクノロジーを求めています。私たちは、人々のために機能し、私たちの権利と価値を尊重する安全なテクノロジーを求めています。また、デジタル化が進む社会において、すべての人が積極的な役割を果たせるようにしたいと考えています。この宣言は、オンラインの世界における権利と原則について、明確な参照点を与えてくれます」。
Commissioner for the Internal Market, Thierry Breton, said: “We want Europeans to know: living, studying, working, doing business in Europe, you can count on top class connectivity, seamless access to public services, a safe and fair digital space. The declaration of digital rights and principles also establishes once and for all that what is illegal offline should also be illegal online. We also aim to promote these principles as a standard for the world.” 欧州委員会のティエリー・ブルトン域内市場担当委員は次のように述べています。「欧州で生活し、学び、働き、ビジネスを行う際には、トップクラスの接続性、公共サービスへのシームレスなアクセス、安全で公正なデジタル空間が確保されていることを、欧州の人々に知ってもらいたいと思います。また、デジタルの権利と原則の宣言は、オフラインで違法なものはオンラインでも違法であることを明確にしています。また、この原則を世界の基準として普及させることを目指しています。」
Rights and principles in the digital age デジタル時代の権利と原則
The draft declaration covers key rights and principles for the digital transformation, such as placing people and their rights at its centre, supporting solidarity and inclusion, ensuring the freedom of choice online, fostering participation in the digital public space, increasing safety, security and empowerment of individuals, and promoting the sustainability of the digital future. 宣言案は、人々とその権利を中心に据えること、連帯と包摂を支援すること、オンラインでの選択の自由を確保すること、デジタル公共空間への参加を促進すること、安全性、セキュリティ、個人のエンパワーメントを高めること、デジタルの未来の持続可能性を促進することなど、デジタル変革のための主要な権利と原則を網羅しています。
These rights and principles should accompany people in the EU in their everyday life: affordable and high-speed digital connectivity everywhere and for everybody, well-equipped classrooms and digitally skilled teachers, seamless access to public services, a safe digital environment for children, disconnecting after working hours, obtaining easy-to-understand information on the environmental impact of our digital products, controlling how their personal data are used and with whom they are shared. これらの権利と原則は、EUの人々の日常生活に寄り添うべきものです。例えば、どこでも誰でも利用できる安価で高速なデジタル接続、設備の整った教室とデジタル技術を持った教師、公共サービスへのシームレスなアクセス、子どもたちにとって安全なデジタル環境、就業時間後の接続解除、デジタル製品の環境への影響に関する分かりやすい情報の入手、個人データの使用方法と共有先のコントロールなどが挙げられます。
The declaration is rooted in EU law, from the Treaties to the Charter of Fundamental rights but also the case law of the Court of Justice. It builds on the experience of the European Pillar of Social Rights. Former European Parliament President David Sassoli promoted the idea of the access to the Internet as a new human right back in 2018. Promoting and implementing the principles set out in the declaration will be a shared political commitment and responsibility at both Union and Member State level within their respective competences. To make sure the declaration will have concrete effects on the ground, the Commission proposed in September to monitor progress, evaluate gaps and provide recommendations for actions through an annual report on the ‘State of the Digital Decade'. この宣言は、条約から基本権憲章、さらには司法裁判所の判例法に至るまで、EU法に根ざしています。また、欧州社会権の柱の経験に基づいています。デイビッド・サッソーリ前欧州議会議長は、2018年にインターネットへのアクセスを新たな人権とする考えを推進しました。宣言で定められた原則を推進し、実施することは、EUと加盟国の双方がそれぞれの権限の範囲内で、政治的なコミットメントと責任を共有することになります。宣言が現場で具体的な効果を発揮するよう、欧州委員会は9月、「デジタルの10年の現状」に関する年次報告書を通じて、進捗状況の監視、ギャップの評価、行動への提言を行うことを提案しました。
Next Steps 次のステップ
The European Parliament and the Council are invited to discuss the draft declaration, and to endorse it at the highest level by this summer. 欧州議会と欧州理事会は、この宣言の草案を議論し、今夏までに最高レベルで承認するよう求められています。
Background 背景
On 9 March 2021, the Commission laid out its vision for Europe's digital transformation by 2030 in its Communication on the Digital Compass: the European way for the Digital Decade. In September 2021, the Commission introduced a robust governance framework to reach the digital targets in the form of a Path to the Digital Decade. In a speech at the ‘Leading the Digital Decade' event in Sines, Portugal, on 1 June 2021, Commission President Ursula von der Leyen declared: “We embrace new technologies. But we stand by our values.” 欧州委員会は2021年3月9日、「デジタルコンパス:デジタルの10年に向けた欧州の道」と題したコミュニケーションの中で、2030年までの欧州のデジタル変革に関するビジョンを示しました。2021年9月、欧州委員会は、「デジタルの10年への道」という形で、デジタル目標達成のための強固なガバナンスの枠組みを導入しました。欧州委員会のウルスラ・フォン・デア・ライエン委員長は、2021年6月1日にポルトガルのシネスで開催されたイベント「デジタルの10年をリードする」でのスピーチで次のように宣言しました。 「私たちは新しい技術を受け入れます。しかし、私たちは自分たちの価値観を守る」と宣言しました。
The Commission also conducted an open public consultation which showed broad support for European Digital Principles – 8 EU citizens out of 10 consider it useful for the European Union to define and promote a common European vision on digital rights and principles – as well as a special Eurobarometer survey. Yearly Eurobarometer surveys will collect qualitative data, based on citizens' perception of how the digital principles enshrined in the declaration are implemented in the EU. 欧州委員会はまた、公開協議を実施し、欧州デジタル原則への幅広い支持を得た。10人中8人のEU市民が、デジタルの権利と原則に関する欧州共通のビジョンを定義し、推進することが欧州連合にとって有用であると考えています。また、特別なユーロバロメーター調査も実施しました。毎年実施されるユーロバロメーター調査では、宣言で謳われているデジタル原則がEUでどのように実施されているかについての市民の認識に基づいた質的データが収集されます。
The declaration also builds on previous initiatives from the Council including the Tallinn Declaration on eGovernment, the Berlin Declaration on Digital Society and Value-based Digital Government, and the Lisbon Declaration – Digital Democracy with a Purpose for a model of digital transformation that strengthens the human dimension of the digital ecosystem with the Digital Single Market as its core.  また、この宣言は、電子政府に関するタリン宣言、デジタル社会と価値に基づくデジタル政府に関するベルリン宣言、デジタル単一市場を中核としたデジタルエコシステムの人間的側面を強化するデジタル変革のモデルを目指すリスボン宣言-目的を持ったデジタル民主主義-など、これまでの理事会の取り組みを踏まえたものです。 
For More Information 関連情報
Communication from the Commission to the European Parliament and Council on establishing a European declaration on Digital Rights and Principles ・欧州委員会から欧州議会および欧州理事会への、デジタルの権利と原則に関する欧州宣言の設立に関するコミュニケーション
Factsheet on digital rights and principles for everyone in the EU ・EUのすべての人のためのデジタルの権利と原則に関するファクトシート
Digital Compass: the European way for the Digital Decade ・「デジタルコンパス」:「デジタルの10年」に向けた欧州の道筋
Communication on the Path to the Digital Decade ・「デジタルの10年」への道に関するコミュニケーション
Tallinn Declaration on eGovernment ・電子政府に関するタリン宣言
Berlin Declaration on Digital Society and Value-based Digital Government ・デジタル社会と価値に基づくデジタル政府に関するベルリン宣言
Lisbon Declaration – Digital Democracy with a Purpose ・リスボン宣言-目的を持ったデジタル・デモクラシー

 

スピーチ

・2022.01.26 Speech by Executive Vice-President Vestager on the Declaration on Digital Rights and Principles

Speech by Executive Vice-President Vestager on the Declaration on Digital Rights and Principles 「デジタルの権利と原則に関する宣言」についてのベスタガー副委員長のスピーチ
"Check against delivery" 注:実際のスピーチと内容が異なることがあります。
Background - The cornerstone of our human-centred digital policy 背景 - 人間中心のデジタル政策の基礎となるもの
What we did today was to adopt our proposal for a European Declaration on Digital Rights and Principles for the Digital Decade. 本日、私たちは、「デジタルの権利と原則に関する欧州宣言」の提案を採択しました。
We first announced the creation of these Principles in March last year, as one of the two pillars of our European Digital Decade – along with our 'Digital Compass'. 私たちは昨年3月に、「デジタルコンパス」とともに「欧州デジタルの10年」の2つの柱の1つとして、この原則の策定を発表しました。
Since we started talking about our European approach to digitisation, we have had a clear core what this is about. We believe in a human-centred digital transformation. A transformation where no one is left behind. We want safe technologies that work for people, and of course that our rights and values are as well respected online as they are offline.  And we want everyone to be empowered that we as citizens feel that it is our society, that we feel empowered to actively to take part. デジタル化に対する欧州のアプローチについて話し始めたときから、私たちはこれが何であるかについて明確な核心を持っていました。私たちは、人間を中心としたデジタル変革を信じています。誰もが取り残されることのない変革です。私たちは、人々のために機能する安全なテクノロジーを求めています。そしてもちろん、私たちの権利や価値が、オフラインと同様にオンラインでも尊重されることを望んでいます。 そして、すべての人が力を得て、市民として自分たちの社会だと感じ、積極的に参加する力を得られるようにしたいと考えています。
This declaration gives us a clear reference point to the official set of rights and principles in the online world. この宣言は、オンラインの世界における権利と原則の公式なセットについて、明確な参照点を与えてくれます。
We aim for a joint Declaration between the Commission, the European Parliament and the European Council. And this Declaration will act as a reference for all of us - users, businesses, public administrations and policymakers – for a secure, inclusive and open digital environment. 我々は、欧州委員会、欧州議会、欧州理事会による共同宣言を目指している。そして、この宣言は、ユーザー、企業、行政機関、政策立案者など、私たち全員にとって、安全で包括的かつオープンなデジタル環境を実現するための参考資料となります。
Whether we propose new policies, develop new digital tools and services or simply navigate online, no one should be left behind. 私たちが新しい政策を提案するにしても、新しいデジタルツールやサービスを開発するにしても、あるいは単にオンラインをナビゲートするにしても、誰も取り残されてはなりません。
The “what for?”: inform people, inspire stakeholders 「何のために?」:人々に情報を提供し、ステークホルダーを鼓舞する
So what will this declaration do? How will it change the status quo? It touches on two things: では、この宣言で何ができるのでしょうか?現状をどのように変えていくのでしょうか?それには2つの要素があります。
It will inform everyone of us about our rights; 1つは、私たち全員に自分たちの権利を知らせること。
And it will inspire the actions of all actors involved in the digital transformation. そして、デジタルトランスフォーメーションに関わるすべてのアクターの行動を鼓舞することです。
First, as said – it will informs us, by recalling some of our rights when interacting with digital technologies. It makes it crystal clear that the rights we have offline, we also have online. This is not as obvious as it sounds. Unfortunately any people actually do not know that they have rights online as well as offline. まず、前述したように、デジタル技術に接する際の私たちの権利のいくつかを想起させることで、私たちに情報を提供します。私たちがオフラインで持っている権利は、オンラインでも持っているということを明確にします。これは、言うほど明白なことではありません。残念ながら、オンラインでもオフラインでも権利があることを知らない人が実際には多いのです。
And that leads me to an important point: we are not creating new rights or new principles with this declaration. We already have fundamental rights that do apply online.  Rights to our privacy, to our freedom of thought and expression. And we will soon have new rights because of our ongoing work on digital platforms, electronic identities, artificial intelligence and so on. この宣言では、新しい権利や原則を作るわけではありません。私たちはすでに、オンラインで適用される基本的な権利を持っています。  プライバシーの権利、思想・表現の自由などです。また、デジタルプラットフォーム、電子ID、人工知能などの開発が進んでいるため、近い将来、新たな権利が生まれるでしょう。
So what we are doing with the declaration is to set these rights in stone, so that they are respected. For all of us to rely on these rights no matter where we live in Europe, who we are, and what we do in the online world. 私たちがこの宣言で行っているのは、これらの権利が尊重されるように、その権利を明確にすることです。ヨーロッパのどこに住んでいようと、誰であろうと、オンラインの世界で何をしようと、すべての人がこれらの権利に頼ることができるようにするためです。
Second - it should inspire all actors involved in the digital transformation, by creating a benchmark.  A benchmark guiding us as policymakers for every new initiative we propose. And a benchmark guiding businesses when developing and deploying new technologies. 第二に、デジタルトランスフォーメーションに関わるすべての関係者に、ベンチマークを作成することで刺激を与えることができます。  このベンチマークは、政策立案者として私たちが新しいイニシアチブを提案する際の指針となります。また、企業が新技術を開発・展開する際の指針となるベンチマークです。
The “how”? The six chapters of the declaration 「どのように?」:宣言の6つの章
To achieve these two objectives, our declaration states clear commitments in six different areas. この2つの目的を達成するために、私たちの宣言では6つの分野で明確なコミットメントを表明しています。
First things first - Putting people at the centre of the digital transformation. That includes commitments to make sure that our technologies respect democratic values, allow us to pursue our aspirations, in full security and in respect of fundamental rights. All these rights, they are all enshrined in our Treaties, the EU Charter of Fundamental Rights, this is where they have their roots. 第一に、デジタルトランスフォーメーションの中心に人々を据えること。 これには、私たちのテクノロジーが民主主義の価値観を尊重し、完全に安全で基本的な権利を尊重しながら、私たちの願望を追求することを可能にするというコミットメントが含まれています。これらの権利はすべて、条約やEU基本権憲章に明記されており、ここにその根源があります。
Second - Solidarity and inclusion. With commitments to make us all benefit from our digitisation. Whether young, old, digital-savvy or novices, whether you are townsfolks or countrysiders. In this chapter also we find our right to advance our basic digital skills. Without digital education, we risk falling behind in this transformation. That's why 21 billion euros are currently mobilised across Europe to deliver digital education. 第二は、「団結と包摂」です。 私たち全員がデジタル化の恩恵を受けられるようにすることを約束します。若い人も年配の人も、デジタルに詳しい人も初心者も、町の人も田舎の人も。この章では、私たちが基本的なデジタルスキルを向上させる権利についても触れています。デジタル教育がなければ、この変革に遅れをとる危険性があります。そのため、欧州全体で210億ユーロを投じてデジタル教育を実施しています。
Third - Freedom of choice. That covers our engagements to help people make their own informed choices online. And protect them against possible risks. This includes being transparent about the use of algorithms and artificial intelligence, a new obligation to be set under our Digital Services and Artificial Intelligence Acts. 第三は、「選択の自由」です。 これは、人々が十分な情報を得た上でオンライン上で選択できるようにするための取り組みです。そして、起こりうるリスクから人々を守ります。これには、アルゴリズムや人工知能の使用について透明性を確保することが含まれ、デジタルサービス法と人工知能法に基づいて設定される新しい義務です。
Fourth - Participation in the digital public space, where we commit to promoting an online open environment for a healthy, vivid democratic debate. Here again, it is already happening: our Digital Services Act also includes provisions to protect our freedom of speech, without fear of being censored or intimidated while being online. Our upcoming European Media Freedom Act will include measures to preserve our access to rich, varied and independent media. 第四は、デジタルパブリックスペースへの参加です。ここでは、健全で生き生きとした民主的な議論のために、オンラインのオープンな環境を促進することを約束します。 デジタルサービス法には、オンライン上で検閲や脅迫を受けることなく、言論の自由を保護するための条項が含まれていますが、これもすでに実現しています。今後予定されている欧州メディア自由法には、豊かで多様性のある独立したメディアへのアクセスを維持するための措置が含まれています。
Second to last - Safety, security and empowerment, which covers our right to safe digital technologies that by design protect our privacy. This is precisely what our General Data Protection Regulation is supposed to do and of course the work we do on cyber-security. 第五の、「安全、セキュリティ、エンパワーメント」は、私たちのプライバシーを保護する安全なデジタル技術を利用する権利を規定しています。これは、一般データ保護規則が想定していることであり、もちろん、サイバーセキュリティに関する取り組みでもあります。
And last, sustainability. Whether that's committing to limit the footprint of digital technologies with the Digital product passport, or to promote the use of digital technologies to deliver our Green Deal. According to several modellings, for every one Gigaton of CO2 that digital technologies will produce, they will help reduce up to ten Gigatons. But, of course, digital technologies, they must themselves become even greener! そして最後に、「持続可能性」です。 デジタルプロダクトパスポートでデジタル技術のフットプリントを制限することにコミットしたり、グリーンディールを実現するためにデジタル技術の使用を促進したりしています。いくつかのモデルによると、デジタル技術が生み出す1ギガトンのCO2に対して、最大で10ギガトンの削減に貢献することになります。しかし、もちろん、デジタル技術は、それ自体がさらに環境に優しいものでなければなりません。
So to sum-up: with these principles and commitments, the declaration covers what matters in our daily lives. We have done our best to make a clear declaration. A short document to help us make our human-centric approach to digitisation our by-default way of thinking. 以上のように、この宣言は、私たちの日常生活で重要なことを網羅した原則と約束です。私たちは、明確な宣言をするために最善を尽くしました。この短い文書は、デジタル化に対する人間中心のアプローチをデフォルトの考え方にするためのものです。
And to make sure it happens for real, we have planned robust, systematic monitoring. This will happen through the governance and monitoring system proposed in our Digital Decade Policy Programme, it is in the Parliament right now, we tabled it couple months ago. Member States will regularly report on progress or lack of progress made towards reaching our ambitious objectives. And, most importantly, we will ask Europeans once a year where they see progress – or lack of it. This will happen through extensive Eurobarometer surveys, and it should allow us to take action if developments stay behind our expectations. また、デジタル化を確実に実現するために、強固で体系的なモニタリングを計画しています。これは、「デジタルの10年」政策プログラムで提案されているガバナンスとモニタリングシステムによって実現されますが、このプログラムは数ヶ月前に議会に提出されました。加盟国は、私たちの野心的な目標達成に向けた進捗状況、あるいは進捗状況の欠如について、定期的に報告することになります。そして最も重要なことは、年に一度、ヨーロッパの人々に、どこに進歩があるのか、あるいは進歩がないのかを尋ねることです。これは、ユーロバロメーターによる大規模な調査を通じて行われます。これにより、進展が期待に反している場合には、行動を起こすことができるはずです。
In the December 2020 Berlin declaration, the Council adopted seven key principles for a value-based digital transformation of our societies. 2020年12月のベルリン宣言で、欧州理事会は、価値に基づく社会のデジタル変革のための7つの主要原則を採択しました。
Our proposal builds on this Berlin declaration, as well as on a number of reports and resolutions adopted by the European Parliament over the last years, because this is how we share our digital future - in collaboration with partners. The debates in the Parliament contributed to our work on this declaration. 私たちの提案は、このベルリン宣言と、過去数年間に欧州議会で採択された数多くの報告書や決議書に基づいています。欧州議会での議論は、この宣言に向けた私たちの作業に貢献しました。
The global momentum 世界的な盛り上がり
Before I conclude, there is one last element of importance here: Europe is not alone in this effort. We see similar discussions happening in Australia, in India in the US. The US are currently working on a Digital Bill of Rights, and through our discussions with the US administration in Washington, I see a lot of convergence in what we do.   最後になりましたが、ここで重要なことが1つあります。この取り組みは、欧州だけのものではありません。この取り組みは欧州だけではありません。オーストラリアやインド、米国でも同様の議論が行われています。米国では現在、Digital Bill of Rights(デジタル権利章典)の策定に取り組んでおり、ワシントンの米国政府との話し合いを通じて、私たちの活動には多くの収束点があると感じています。  
So with our declaration we aim to be at the forefront of this global momentum and create something that allows us to take real action on the ground and to take actions together, if we can inspire like-minded partners. ですから、私たちの宣言は、この世界的な機運の先頭に立ち、現場で実際に行動を起こせるようなものを作ることを目的としています。また、志を同じくするパートナーを鼓舞することができれば、一緒に行動を起こすことができます。
Conclusion 結論
To prepare this declaration, we interviewed more than 26,000 people all over Europe in a Eurobarometer survey about how they expected digital technologies to impact their lives. この宣言を作成するにあたり、私たちはユーロバロメーターの調査で、ヨーロッパ中の26,000人以上の人々に、デジタル技術が生活にどのような影響を与えるかについてインタビューを行いました。
The survey is a goldmine of interesting insights, some of which I'd like to share with you. この調査は興味深い洞察の宝庫ですが、そのいくつかをご紹介しましょう。
Eight in ten Europeans think that by 2030, digital tools and the Internet will be an important part of their lives, and bring at least as many advantages as disadvantages. 10人中8人のヨーロッパ人は、2030年までにデジタルツールとインターネットが生活の重要な一部となり、少なくともデメリットと同じくらいのメリットがもたらされると考えています。
More than half of them mention cyber-attacks, the theft or abuse of their personal data, the online safety and well-being of children as their main fears. また、半数以上の人が、サイバー攻撃、個人情報の盗難や不正使用、オンライン上の安全性、子どもの幸福などを主な不安要素として挙げています。
But when asked about their rights, almost 40% of them are not aware that rights as elementary and fundamental as freedom of expression, privacy, or non-discrimination also have to be respected when you are online. しかし、自分の権利について尋ねたところ、約40%の人が、表現の自由、プライバシー、無差別といった基本的で初歩的な権利が、オンライン上でも尊重されなければならないことを知らないという結果になりました。
This shows how important this job and we are on our way, as our societies digitise, more political effort must go into making sure that our rights are actually protected.  And this is why I am so happy to be here with Thierry Breton today, that we are taking this step forward to invite Council and Parliament to join s to guide in the digital future. これは、この仕事がいかに重要であるかを示しています。社会がデジタル化するにつれ、私たちの権利が実際に守られていることを確認するために、より多くの政治的努力が必要になってきています。  だからこそ、今日、ティエリー・ブルトンと一緒に、デジタルの未来を導くために、理事会と議会に参加を呼びかけるという一歩を踏み出すことができ、とても嬉しく思っています。
Thank you. ありがとうございました。

Continue reading "欧州委員会 「デジタルの権利と原則に関する欧州宣言」草案"

| | Comments (0)

2022.01.26

英国 世界最高レベルのデータ専門家(Google, IBM, Microsoftのメンバーを含む)による国際的なデータ転送に関する政府協議会を設立

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省がデータの自由な流通を促進する政府計画を後押しするための、データ専門家による国際的なデータ転送に関する政府協議会を設立したということを公表していますね。。。英国がEUを離脱したことも影響していますね。。。

データ専門家として参加されている方は、20名ですが、Google, IBM, Mastercard, Microsoft等の方も入っていますね。。。米国企業ですが。。。

 

● U.K. Government - Department for Digital, Culture, Media & Sport

・2022.01.25 (press) Global data experts fire up government’s plans to promote free flow of data

 

Global data experts fire up government’s plans to promote free flow of data 世界のデータ専門家が、データの自由な流れを促進する政府の計画を後押し
World’s best data experts form government council on international data transfers 世界最高レベルのデータ専門家が国際的なデータ転送に関する政府協議会を設立
From: Department for Digital, Culture, Media & Sport and Julia Lopez MP デジタル・文化・メディア・スポーツ省、ジュリア・ロペス議員から
・Representatives from Google, Mastercard and Microsoft among the 20 experts meeting today to launch International Data Transfer Expert Council ・Google、Mastercard、Microsoftの代表者を含む20名の専門家が、本日、国際データ転送専門家会議を設立しました。
・Comes as part of government ambition to unlock benefits of free and secure data flow after leaving the EU ・EU離脱後の自由で安全なデータ流通のメリットを引き出すための政府の取り組みの一環として行われる
A group of experts combining the world’s leading academics and digital industry figures, including Google, Mastercard and Microsoft, will meet for the first time today to help Britain seize the opportunities of better global data sharing. 英国がより良いグローバルなデータ共有の機会をつかむために、Google、Mastercard、Microsoftをはじめとする世界有数の学者やデジタル業界の著名人からなる専門家グループが、本日、初めて会合を開きます。
The International Data Transfer Expert Council is launching to provide independent advice to the government to help it achieve its mission of unlocking the benefits of free and secure cross-border data flows now the country has left the EU. 国際データ移転専門家会議は、英国がEUを離脱した後、自由で安全な国境を越えたデータの流れの利点を引き出すという政府の使命を達成するために、政府に独立したアドバイスを提供するために発足します。
International data transfers underpin our everyday life and are the foundations for our most-used tech, from GPS navigation and smart devices to online banking. They are also instrumental to digital healthcare - having driven the development of treatment and vaccines during the pandemic. 国際的なデータ転送は、私たちの日常生活を支え、GPSナビゲーションやスマートデバイス、オンラインバンキングなど、最も利用されている技術の基礎となっています。また、パンデミックの際に治療法やワクチンの開発を推進したように、デジタルヘルスケアにも欠かせないものです。
Removing barriers to data flows will mean these services can be provided more reliably, cheaply and securely. Billions of pounds worth of trade goes unrealised around the world due to barriers associated with data transfers. データの流れに対する障壁を取り除くことで、これらのサービスをより確実に、より安く、より安全に提供することができます。世界では、データ転送に関連する障壁のために、何十億ポンドもの価値のある取引が実現していません。
Household tech and industry names are represented on the council alongside international universities and organisations at the forefront of this rapidly moving policy area, such as the World Economic Forum and the Future of Privacy Forum. 評議会には、国際的な大学や、World Economic ForumやFuture of Privacy Forumなど、この急速に変化する政策分野の最前線にいる組織に加えて、有名な技術者や産業界の代表者が参加しています。
Data Minister Julia Lopez said: ジュリア・ロペス データ大臣は次のように述べています。
・Realising the benefits of international data flows has never been more important. ・国際的なデータの流れから得られる利益を実現することは、かつてないほど重要になっています。
・We want the UK to drive forward cutting-edge policies at home and overseas to ensure people, businesses and economies benefit from safe and secure data flows. ・私たちは、英国が国内外で最先端の政策を推進し、人々、企業、経済が安全でセキュアなデータフローの恩恵を受けられるようにしたいと考えています。
・Today we’re launching a new panel of global experts to help us achieve these aims and I will lead the first meeting so together we can deliver a world-leading and truly global data policy for the future. ・本日、これらの目的を達成するために、世界的な専門家からなる新しいパネルを立ち上げました。私はその最初の会議をリードし、将来に向けて世界をリードする真のグローバルデータ政策を実現していきたいと考えています。
There are a range of mechanisms under current UK data protection law which organisations can use to transfer personal data to other countries, including standard contractual clauses and binding corporate rules. The Council will give advice on the development of new international data transfer tools and mechanisms and securing new data adequacy partnerships with other countries. 現行の英国データ保護法では、標準的な契約条項や拘束力のある企業規則など、組織が個人データを他国に移転する際に利用できるさまざまな仕組みがあります。評議会は、新しい国際的なデータ転送ツールやメカニズムの開発、および他国との新たなデータ適切性パートナーシップの確保について助言します。
Now that the UK has left the EU, the government intends to strike deals on personal data transfers with some of its key trading partners around the world. Personal data relates to an identified or identifiable individual and includes secure transfer of information on things such as ethnic origin and IP address. 英国がEUを離脱した今、政府は世界の主要な貿易相手国と個人データの移転に関する取引を行う意向です。個人データとは、識別された、あるいは識別可能な個人に関するもので、民族やIPアドレスなどの情報を安全に転送することも含まれます。
The government has outlined the first countries with which it will prioritise striking data adequacy partnerships to ensure the data protection standards in the country data is being transferred to mirror the UK’s. The UK’s current priority countries include the United States, Australia, the Republic of Korea, Singapore, the Dubai International Finance Centre and Colombia. Securing new data transfer agreements will build significantly on the annual £83 billion of data-enabled UK service exports. 英国政府は、データ移転先の国のデータ保護基準が英国の基準を反映していることを確認するために、データ適正化パートナーシップの締結を優先的に進める最初の国の概要を発表しました。現在、英国が優先的に取り組む国は、米国、オーストラリア、韓国、シンガポール、ドバイ国際金融センター、コロンビアです。新たなデータ転送契約を締結することで、データを活用した英国のサービス輸出額は年間830億ポンドに達し、これを大きく発展させることができます。
Experts on the council have been selected from civil society, academia and industry around the world. Their experiences cover a range of areas including patient healthcare, scientific research, artificial intelligence and finance. 協議会の専門家は、世界中の市民社会、学術界、産業界から選ばれています。彼らの経験は、患者の健康管理、科学研究、人工知能、金融など多岐にわたっています。
The launch of the council is part of the government’s ambitious National Data Strategy to harness the power of data to boost economic growth, create jobs and deliver new innovations for people and public services. 協議会の発足は、データの力を活用して経済成長を促進し、雇用を創出し、人々や公共サービスに新たなイノベーションを提供するという、政府の野心的な「国家データ戦略」の一環として行われます。
During its first meeting today, the council will discuss the global opportunities and challenges for international transfers and how the UK can be a global leader in removing barriers to cross-border data flows. This will enable smoother and more straightforward transfers without the need for costly and often complicated contracts. 本日開催された第1回会合では、国際的なデータ移転の機会と課題について議論し、国境を越えたデータの流れに対する障壁を取り除くために、英国がどのようにして世界的なリーダーとなれるかを話し合います。これにより、高額で複雑な契約を結ばなくても、よりスムーズで分かりやすいデータ移転が可能になります」と述べています。
It will continue to meet quarterly covering issues such as future data adequacy partnerships, the development of new data transfer tools, and how governments can work together to promote greater trust in sharing personal data for law enforcement and national security purposes. 今後も四半期ごとに開催される会合では、将来のデータ適正化パートナーシップ、新しいデータ転送ツールの開発、法執行や国家安全保障を目的とした個人データ共有の信頼性向上に向けた各国政府の協力体制などの課題が取り上げられます。

 

参考

国際的なデータ転送関係

・2021.08.26 (guidance) International data transfers: building trust, delivering growth and firing up innovation

英国データ戦略

・2019.07.08 (guidance) National Data Strategy

 

Fig1_20211219053501

 

| | Comments (0)

英国 政府のサイバーセキュリティ戦略:2022年 - 2030年

こんにちは、丸山満彦です。

英国政府が、「政府のサイバーセキュリティ戦略:2022年ー2030年」を公表していますね。。。英国としては、史上初の「政府サイバーセキュリティ戦略」ということです。

昨年末に発表した国家サイバー戦略(サイバーセキュリティではなく、サイバー)に

U.K. Governance

・2022.01.25 Government Cyber Security Strategy: 2022 to 2030

Government Cyber Security Strategy: 2022 to 2030 政府のサイバーセキュリティ戦略:2022年から2030年まで
This strategy sets out the government’s approach to building a cyber resilient public sector. この戦略は、サイバーに強い公共部門を構築するための政府のアプローチを定めたものです。
Details 詳細
The Cyber Security Strategy explains how the government will ensure that all public sector organisations will be resilient to cyber threats. サイバーセキュリティ戦略では、政府がどのようにしてすべての公共部門の組織がサイバー脅威への耐性を持つようにするかを説明しています。
The strategy’s vision is to ensure that core government functions are resilient to cyber attack, strengthening the UK as a sovereign nation and cementing its authority as a democratic and responsible cyber power. この戦略のビジョンは、政府の中核機能がサイバー攻撃に強いことを保証し、主権国家としての英国を強化し、民主的で責任あるサイバー国家としての権威を確固たるものにすることです。

・[PDF

20220125-232419

Foreword from the Prime Minister 内閣総理大臣からの序文
Message from the Chancellor of the Duchy of Lancaster and Minster for the Cabinet Office ランカスター公領大臣兼内閣府大臣からのメッセージ
Executive Summary エグゼクティブ・サマリー
Chapter 1: Context 第1章:背景
The importance of government cyber security to national resilience 国家の強靭性における政府のサイバーセキュリティの重要性
The challenges and opportunities for government 政府にとっての課題と機会
Chapter 2: Approach 第2章:アプローチ
Vision and Aim ビジョンと目的
Pillars
Objectives 目標
Chapter 3: Managing cyber security risk 第3章:サイバーセキュリティリスクの管理
Governance and accountability ガバナンスとアカウンタビリティ
Assets and vulnerabilities 資産と脆弱性
Data assets データ資産
Supply chain risk サプライチェーンのリスク
Threat information 脅威の情報
Cyber security data サイバーセキュリティデータ
Government cyber security assurance 政府によるサイバーセキュリティの保証
Private sector and international partnerships 民間企業と国際的なパートナーシップ
Chapter 4: Protecting against cyber attack 第4章:サイバー攻撃からの保護
Secure technology and digital services 安全な技術とデジタルサービス
Cyber security controls サイバーセキュリティの管理
Secure configuration 安全な構成
Shared capabilities 能力の共有
Information and data security 情報とデータのセキュリティ
Chapter 5: Detecting cyber security events 第5章:サイバーセキュリティイベントの検知
Detection within government organisations 政府組織内での検知
Detection at scale 規模に応じた検知
Chapter 6: Minimising the impact of cyber security incidents 第6章:サイバーセキュリティインシデントの影響を最小限に抑えるために
Response preparation 対応の準備
Incident response インシデント対応
Incident recovery インシデントの復旧
Lessons learned 学んだ教訓
Chapter 7: Developing the right cyber security skills, knowledge and culture 第7章:適切なサイバーセキュリティのスキル、知識、文化の開発
Skills requirements スキル要件
Attract and retain talent 人材の確保と維持
Develop talent 人材の育成
Cyber security knowledge across other government functions 政府の他部門におけるサイバーセキュリティの知識
Cyber security culture サイバーセキュリティ文化
Chapter 8: Measuring success 第8章:成功の測定
Achieving the aim 目標の達成
Maintaining an appropriate measure of resilience 適切な回復力の尺度を維持する
Underpinning key performance indicators 重要業績評価指標の裏付け
Chapter 9: Implementing the strategy 第9章:戦略を実行する
Implementation 実行
Transformational proposals 変革の提案
Implementation plan 実行計画
Annex: Cyber Assessment Framework 附属書:サイバー・アセスメント・フレームワーク
Glossary 用語集

 

エグゼクティブ・サマリー

Context  コンテキスト 
1. The Integrated Review[1] and the National Cyber Strategy[2] set out the government’s ambition to firmly establish the UK as a democratic and responsible cyber power, able to protect and promote its interests as a sovereign nation in a world fundamentally shaped by technology. The UK’s legitimacy and authority as a cyber power is however dependent upon its domestic cyber resilience, the cornerstone of which is government and the public sector organisations that deliver the functions and services which maintain and promote the UK’s economy and society.  1. 統合レビュー[1]と国家サイバー戦略[2]は、英国を民主的で責任感のあるサイバーパワーとして確立し、テクノロジーによって根本的に形成された世界において主権国家としての利益を守り、促進することができるようにするという政府の野心を示している。しかし、サイバーパワーとしての英国の正統性と権威は、国内のサイバーレジリエンスに依存しており、その基礎となるのは、英国の経済と社会を維持・促進する機能とサービスを提供する政府と公共部門の組織です。
2. While government has made notable progress in recent years, there remains a significant gap between where government cyber resilience is now and where it needs to be. This gap is brought into sharp focus by the sheer volume of cyber attacks that the government sector experiences, and the evolving capabilities and techniques of the broad range of malicious actors conducting them. As well as the risk of disruption to government functions and public services, the targeting of essential services such as healthcare can pose a real risk to public safety.  2. 近年、政府は顕著な進歩を遂げてきましたが、政府のサイバーレジリエンスの現状とあるべき姿の間には大きなギャップがあります。このギャップは、政府部門が経験する膨大な量のサイバー攻撃と、それを実行する幅広い悪意のあるアクターの能力と技術の進化によって、はっきりと浮かび上がってきます。政府の機能や公共サービスに支障をきたすだけでなく、医療などの重要なサービスが標的となることで、国民の安全にも重大なリスクが生じる可能性があります。
Vision and Aim ビジョンと目標
3. This strategy’s vision is therefore to ensure that core government functions - from the delivery of public services to the operation of National Security apparatus - are resilient to cyber attack, strengthening the UK as a sovereign nation and cementing its authority as a democratic and responsible cyber power.  3. したがって、本戦略のビジョンは、公共サービスの提供から国家安全保障機関の運営まで、政府の中核機能をサイバー攻撃に耐えうるものとし、主権国家としての英国を強化し、民主的で責任あるサイバーパワーとしての英国の権威を確固たるものとすることです。
4. Core government functions are delivered by many diverse public sector organisations, including government departments, armslength bodies, agencies and local authorities. This strategy therefore considers all such public sector organisations.  4. 政府の中核機能は、政府省庁、軍備拡張団体、機関、地方自治体など、多くの多様な公共部門の組織によって提供されている。そのため、本戦略ではそのような公共部門の組織をすべて考慮している。
5. To achieve its vision the strategy pursues a central aim - for government’s critical functions to be significantly hardened to cyber attack by 2025, with all government organisations across the whole public sector being resilient to known vulnerabilities and attack methods no later than 2030.  5. ビジョンを達成するために、本戦略では、2025年までに政府の重要機能をサイバー攻撃に対して大幅に強化し、遅くとも2030年までに公共部門全体のすべての政府組織が既知の脆弱性と攻撃手法に対して回復力を持つことを中心目標としています。
6. This is a bold and ambitious aim. To achieve the level of organised and objective visibility of cyber security risk across the whole of government will require extensive processes, mechanisms and partnerships to be established; a task complicated by the varying levels of cyber maturity, capability and capacity. Key to this will be enabling lead government departments to assess and articulate the macro-cyber security posture of the arms-length bodies and other public sector organisations within their purview. 6. これは、大胆かつ野心的な目標です。政府全体のサイバーセキュリティリスクを組織的かつ客観的に把握するためには、大規模なプロセス、メカニズム、パートナーシップを確立する必要がありますが、サイバーの成熟度、能力、キャパシティのレベルが異なるため、この作業は複雑になります。そのためには、政府の主管部門が、その管轄下にある独立行政法人やその他の公共部門の組織のマクロ的なサイバーセキュリティの姿勢を評価し、明確にすることが重要になります。
7. Achieving this aim will make government a significantly hardened target. As well as enabling government to protect its data and operate without undue disruption, it will ensure that government organisations are structured and organised to manage unknown and more sophisticated threats when they do arise.  7. この目的を達成することで、政府は著しくハードな標的となります。政府がデータを保護し、過度の混乱なく業務を遂行できるようになるだけでなく、未知の脅威やより高度な脅威が発生した場合に、政府組織がそれに対処できる構造と組織を確保することができます。
Strategic pillars and transformational proposals  戦略的な柱と変革の提案 
8. Government’s approach to achieving this aim is centred around two complementary strategic pillars, each underpinned by a transformational proposal that will unlock and drive improvements across government.  8. この目的を達成するための政府のアプローチは、2つの補完的な戦略的柱を中心としており、それぞれの柱は、政府全体の改善を引き出し、推進する変革的提案によって支えられています。
9. The first is to build a strong foundation of organisational cyber security resilience; ensuring that government organisations have the right structures, mechanisms, tools and support in place to manage their cyber security risks.  9. 第1は、組織のサイバーセキュリティの回復力の強固な基盤を構築することであり、 政府機関がサイバーセキュリティのリスクを管理するための適切な構造、メカニズム、ツール、 サポートを確保することです。
10. This will be underpinned by the adoption of the National Cyber Security Centre’s (NCSC) Cyber Assessment Framework (CAF) as the assurance framework for government, with government specific CAF profiles that articulate the outcomes required by government organisations in order to proportionately respond to the varying threats to their most important functions. Objective verification by independent auditors will be a requirement for central government departments, although it will be for lead government departments to adapt and apply such an approach in a way that is most appropriate for the public sector organisations within their scope. As well as improving visibility of cyber security risks, adopting the CAF provides a common framework for government to more effectively understand and manage them.  10. これは、国家サイバーセキュリティセンター(NCSC)のサイバーアセスメントフレームワーク(CAF)を政府の保証フレームワークとして採用することによって支えられる。また、政府固有のCAFプロファイルは、政府組織の最も重要な機能に対するさまざまな脅威に適切に対応するために、政府組織が必要とする成果を明確にする。独立した監査人による客観的な検証は、中央政府の各省庁に義務付けられますが、主導的な政府省庁は、その範囲内にある公共部門の組織に最も適した方法で、このようなアプローチを適応・適用することになります。CAF を採用することで、サイバー・セキュリティ・リスクの可視性が向上するだけでなく、政府がそのリスクをより効果的に理解し管理するための共通のフレームワークが提供されます。
11. The second is to ‘defend as one’. Recognising that the scale and pace of the threat demands a more comprehensive and joined up response, government will harness the value of sharing cyber security data, expertise and capabilities across its organisations to present a defensive force disproportionately more powerful than the sum of its parts.  11. 第2は、「一体となって守る」ことです。脅威の規模とスピードに応じて、より包括的で統合された対応が求められていることを認識し、政府は組織全体でサイバーセキュリティデータ、専門知識、能力を共有することで、部分の総和よりも不釣り合いに強力な防御力を発揮します。
12. This will be underpinned by the establishment of a Government Cyber Coordination Centre (GCCC). As a joint venture between the Government Security Group, the Central Digital and Data Office and the NCSC, the GCCC will work to better coordinate operational cyber security efforts, transforming how cyber security data and threat intelligence is shared, consumed and actioned across government. 12. これは、政府サイバー調整センター(GCCC)の設立によって支えられます。GCCCは、政府セキュリティグループ、中央デジタル・データ局、NCSCの共同事業として、サイバーセキュリティの運用面での調整を強化し、サイバーセキュリティデータや脅威情報の政府内での共有・利用・対処方法を変革していきます。
Objectives  目標 
13. These pillars are supported by fi ve objectives that set the dimensions of cyber resilience, providing a consistent framework and common language that can be applied across the whole of government.  13. これらの柱は、サイバーレジリエンスの次元を設定する5つの目標によって支えられており、政府全体に適用可能な一貫した枠組みと共通言語を提供しています。
Manage cyber security risk  サイバー・セキュリティ・リスクの管理 
14. In order to manage cyber security risk, government organisations will be able to identify, assess and understand them. The foundation of this lies in the visibility and understanding of assets, their vulnerabilities, and the threat to them - whether internal to an organisation or emanating from its supply chain. Clear accountability and robust assurance will ensure that risk owners are aware of the risks they have the responsibility to manage, and that they are doing so appropriately.  14. サイバー・セキュリティ・リスクを管理するためには、政府機関はそれらを特定し、評価し、理解することが必要です。その基盤となるのは、組織の内部であれ、サプライチェーンから発生するものであれ、資産、その脆弱性、およびそれらに対する脅威を可視化し、理解することです。明確な説明責任と強固な保証があれば、リスク所有者は管理する責任のあるリスクを認識し、それを適切に実行していることが保証されます。 

15. Information about vulnerabilities will be shared across government to provide a central view of critical vulnerabilities that will enable cross-government risks to be identifi ed and managed, facilitating rapid assessment, coordination and mitigation at scale. 15. 脆弱性に関する情報を政府全体で共有し、重要な脆弱性を一元的に把握することで、政府横断的なリスクの特定と管理を可能にし、規模に応じた迅速な評価、調整、緩和を促進する。
Protect against cyber attack  サイバー攻撃からの保護 
16. The protective stance of individual government organisations will be inextricably linked to their assessment and management of risk. While it will never be possible to protect against all attacks, those accountable will be able to demonstrate that they have appropriately considered those risks and responded accordingly.  16. 個々の政府組織の保護姿勢は、リスクの評価と管理と密接に結びついている。すべての攻撃を防御することは不可能であるが、説明責任を負う者は、それらのリスクを適切に検討し、それに応じて対応したことを証明することができる。
17. Proportionate cyber security measures will be embedded in the technology government uses, and technology and digital services will be correctly designed, confi gured and managed. Crucially, government will develop its shared capabilities, tools and services to address common cyber security issues at scale, improving cyber security across the whole of government as well as driving effi ciency and value for money.  17. 政府が使用する技術には、相応のサイバー・セキュリティ対策が組み込まれ、技術やデジタル・サービスは、正しく設計され、確認され、管理されます。重要なことは、政府は、共通のサイバーセキュリティ問題に大規模に対処するための共有能力、ツール、サービスを開発し、政府全体のサイバーセキュリティを向上させるとともに、効率性と費用対効果を促進することである。
18. At the heart of this is government’s responsibility to protect the data it handles. As well as appropriately classifying information, government will handle and share it in a way that is commensurate with the risks it presents, using the appropriate IT systems. 18. この問題の中心となるのは、政府が扱うデータを保護する責任です。政府は、情報を適切に分類するだけでなく、適切なITシステムを用いて、そのリスクに見合った方法で情報を取り扱い、共有します。
Detect cyber security events  サイバー・セキュリティ・イベントの検知 
19. Building on the foundation of risk management and commensurate protective measures, government will develop its capability to detect cyber security events across every part of its estate to ensure that risks can be mitigated before they critically impact government functions and services.  19. リスク管理とそれに見合った保護措置の基礎の上に、政府は、財産のあらゆる部分でサイバー・セキュリティ・イベントを検知する能力を開発し、政府の機能やサービスに致命的な影響を与える前にリスクを確実に軽減する。
20. This means having the capability to monitor systems, networks and services to detect cyber security events before they become incidents. Enhanced coordination will enable government to have the agility to use these data inputs to detect at pace and scale, facilitating coherent responses as well as providing the capabilities to detect more sophisticated attacks. 20. これは、システム、ネットワーク、サービスを監視して、インシデントになる前にサイバー・セキュリティ・イベントを検知する能力を持つことを意味する。連携を強化することで、政府はこれらのデータインプットを利用して迅速かつ大規模な検知を行うことができ、一貫した対応が可能になるとともに、より高度な攻撃を検知する能力を備えることができます。
Minimise the impact of cyber security incidents  サイバー・セキュリティ・インシデントの影響を最小限に抑える 
21. While effective risk management, appropriate and proportionate protective measures and enhanced detection capability will make government a considerably hardened target, government organisations will still be impacted by cyber security incidents.  21. 効果的なリスク管理、適切かつ比例した保護手段、および強化された検知能力により、政府はかなりハードな標的となるが、政府組織は依然としてサイバーセキュリティインシデントの影響を受ける。
22. Government will therefore be fully prepared and able to respond to cyber incidents with the capability to restore affected systems and assets and resume the operation of its functions and services with minimal disruption. A critical component of this will be establishing the mechanisms to test and exercise incident response plans, both organisationally and across government, as well as the ability to learn lessons from incidents and ‘near misses’. 22. したがって、政府は、影響を受けたシステムと資産を復元し、最小限の混乱で機能とサービスの運営を再開する能力を備えた上で、サイバー・インシデントに対応するための準備と能力を完全に整える。そのための重要な要素は、組織的にも政府全体としても、インシデント対応計画をテスト・演習するメカニズムを確立すること、そしてインシデントや「ニアミス」から教訓を学ぶ能力を持つことである。
Develop the right cyber security skills, knowledge and culture  適切なサイバーセキュリティのスキル、知識、文化の開発 
23. Achieving this strategy’s vision and aim will not be possible without cultivating the required cyber security skills and knowledge, as well as fostering a cultural shift in cyber security across the whole of government.  23. 本戦略のビジョンと目標を達成するには、必要なサイバーセキュリティのスキルと知識を育成するとともに、政府全体でサイバーセキュリティの文化的変化を促進することが必要である。
24. Government will have a comprehensive understanding of its cyber security skills requirements and will incentivise and promote government cyber security careers. As well as formal career pathways that align with the UK Cyber Security Council, working towards the adoption of a single pay framework for the cyber profession will enable government to more effectively attract, develop and retain those skills, providing a sustainable government cyber security profession.  24. 政府は、サイバーセキュリティのスキル要件を包括的に理解し、政府のサイバーセキュリティのキャリアを奨励・促進する。英国サイバーセキュリティ協議会に沿った正式なキャリアパスだけでなく、サイバー専門職のための単一の給与フレームワークの採用に向けて取り組むことで、政府はより効果的にスキルを惹きつけ、開発し、維持することができ、持続可能な政府のサイバーセキュリティ専門職を提供することができる。
25. The need for suffi cient cyber security skills and knowledge extends beyond technical cyber security roles to the breadth of professional functions that must give adequate consideration to cyber security. From the Digital, Data and Technology (DDaT) profession through to government’s commercial and legal functions, suffi cient cyber security knowledge and awareness will ensure that cyber security is actively considered wherever necessary.  25. 十分なサイバーセキュリティのスキルと知識の必要性は、サイバーセキュリティの技術的な役割にとどまらず、サイバーセキュリティに十分な配慮をしなければならない幅広い専門的な機能にまで及んでいます。デジタル・データ・テクノロジー(DDaT)の専門家から、政府の商業・法律部門に至るまで、十分なサイバーセキュリティの知識と認識があれば、必要に応じてサイバーセキュリティを積極的に考慮することができます。
26. Fundamentally, this strategy recognises the importance of cultivating a cyber security culture that empowers its people to learn, question and challenge to drive continuous improvement. This begins with improving cyber security awareness and knowledge across all public sector workers, building on these foundations to create a positive cyber security culture that promotes and empowers its people to proactively engage on organisational cyber security risks. Getting this right is the key to sustainable change. 26. 基本的に、この戦略は、継続的な改善を推進するために、従業員が学び、質問し、挑戦する力を与えるサイバーセキュリティ文化を育むことの重要性を認識しています。これは、公共部門の全職員のサイバーセキュリティに対する意識と知識を向上させることから始まり、これらの基盤を基に、組織のサイバーセキュリティリスクに積極的に取り組むことを職員に奨励し、権限を与える積極的なサイバーセキュリティ文化を創造します。これを正しく行うことが、持続可能な変化の鍵となります。
[1] HMG; Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy; March 2021  [1] HMG; Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy; March 2021 
[2] HMG; ‘National Cyber Strategy’; December 2021  [2] HMG;「国家サイバー戦略」;2021年12月 

 

戦略の概要

20220126-105623

 

 

当日のスピーチです。。。

・2022.01.25 (speech) Building a cyber-resilient public sector

Building a cyber-resilient public sector サイバーレジリエントな公共部門の構築
Speech by the Chancellor of the Duchy of Lancaster Steve Barclay on the launch of the Government Cyber Security Strategy. スティーブ・バークレイ・ランカスター公国首相による「政府サイバーセキュリティ戦略」の発表時のスピーチ。
From: Cabinet Office and The Rt Hon Steve Barclay MP 内閣府、スティーブ・バークレイ議員
Introduction はじめに
It is very fitting that I should be talking to many of you virtually today. For the Covid 19 pandemic has tested all of us in every possible way and yet technology has enabled us to carry on. 今日、私が多くの方々とバーチャルでお話をするのは、とてもふさわしいことだと思います。Covid 19のパンデミックは、私たち全員にあらゆる試練を与えましたが、テクノロジーのおかげで私たちは活動を続けることができました。
To work from home, to see a doctor, to keep in touch with our families and friends and to educate our children. 自宅で仕事をしたり、医者に診てもらったり、家族や友人と連絡を取ったり、子供を教育したり。
It has also enabled government to carry on providing the precious public services that we as citizens rely on. また、私たち市民が頼りにしている貴重な公共サービスを政府が提供し続けることも可能になりました。
But while we have been making the very most of technology – so too have cyber criminals. しかし、私たちがテクノロジーを最大限に活用している一方で、サイバー犯罪者もまたテクノロジーを最大限に活用しています。
Seizing our sudden shift online as an unprecedented opportunity to disrupt our day-to-day lives and do our organisations harm, all of which can have a devastating impact with lasting examples. 私たちが突然オンラインに移行したことを前例のない機会ととらえ、私たちの日常生活を破壊したり、組織に損害を与えたりしています。
Let me give you just three examples from the last eighteen months, from local government, where digital services are increasingly being targeted by our adversaries due to the personal and financial data they hold. この1年半の間に、地方自治体で起きた3つの事例をご紹介しましょう。地方自治体では、デジタルサービスが保有する個人情報や財務データが敵対者の標的となるケースが増えています。
In Redcar and Cleveland, residents couldn’t access key services or seek social care advice. They couldn’t make online appointments or look at planning documents for many weeks after the council’s computer systems and website came under attack in early 2020. レッドカーとクリーブランドでは、住民が主要なサービスにアクセスできず、ソーシャルケアに関するアドバイスも得られませんでした。また、2020年初頭に議会のコンピュータシステムとウェブサイトが攻撃を受けた後、何週間もオンラインでの予約や計画資料の閲覧ができませんでした。
Likewise in Hackney, essential council tax, benefits and housing services for residents were left devastated after a ransomware incident almost fifteen months ago - while the most recent target, Gloucester City Council, is still working to recover full use of its IT systems after a cyber attack just before Christmas. 同様に、ハックニーでは、約15ヶ月前にランサムウェアの攻撃を受け、住民にとって必要不可欠な市税、給付金、住宅サービスが壊滅的な打撃を受けました。また、最近の標的となったグロスター市議会では、クリスマス直前にサイバー攻撃を受け、現在もITシステムを完全に利用できるようにするための作業を行っています。
We cannot dismiss these events as one-offs. これらの出来事を一過性のものとして片付けることはできません。
This is a growing trend – one whose pace shows no sign of slowing. これらの出来事を一過性のものと見なすことはできません。これは拡大する傾向にあり、そのペースは衰える気配がありません。
I am proud to say that when UK public services have suffered attacks, the government has acted fast to support getting key services back up and running, and also to manage any risks to stolen data – with the National Cyber Security Centre – the NCSC – providing expert technical advice. 英国の公共サービスが攻撃を受けた際、政府は迅速に行動し、重要なサービスの復旧を支援し、盗まれたデータのリスクを管理するために、NCSC(National Cyber Security Centre)が専門的な技術アドバイスを提供したことを誇りに思います。
However, the public rightly expects us to do everything we can to prevent these attacks in the first place and to get services quickly back to normal when they do indeed happen. しかし、このような攻撃を未然に防ぎ、実際に攻撃を受けた際には迅速にサービスを復旧させるために全力を尽くすことを、国民は当然ながら期待しています。
It isn’t just local authorities that are affected. 影響を受けるのは地方自治体だけではありません。
We have repeatedly warned the public about the rapid rise in consumer-focused scams by professional predators. 私たちは、プロの犯罪者による消費者を狙った詐欺が急増していることを繰り返し警告してきました。
Businesses and retailers, too, are on our adversaries hit-lists. Just in December, three hundred Spar grocery stores in the north of England were affected by a computer and IT outage. 企業や小売業者も敵の標的になっています。12月には、イングランド北部の食料品店「Spar」300店舗がコンピュータとITの障害に見舞われました。
And as if to prove the hackers’ total lack of scruple, an attack last year on the Irish health system meant people had to wait for cancer treatment and X-rays. また、ハッカーの冷静さの欠如を証明するかのように、昨年、アイルランドの医療システムが攻撃を受け、がん治療やレントゲン撮影のために人々が待たされました。
Indeed globally, we have seen the impact on our allies, including the US government, following the compromise of Solarwinds’ network management software in 2020. 世界的に見ても、2020年にSolarwinds社のネットワーク管理ソフトウェアが侵害されたことで、米国政府をはじめとする同盟国にも影響が及んでいます。
And we have witnessed, too, the destabilising effects on public confidence in Ukraine following recent cyber attacks on its government infrastructure. また、ウクライナでは、政府のインフラがサイバー攻撃を受けたことで、国民の信頼が不安定になっています。
So my priority now – having taken over this critically important brief as lead government minister for cyber – is to ensure that the UK government, at all levels, is much more resilient to cyber attacks. そこで、サイバー担当の主務大臣として重要な任務を引き継いだ私の優先事項は、英国政府があらゆるレベルでサイバー攻撃に対する耐性を高められるようにすることです。
Delivering change through the Government Cyber Security Strategy 政府サイバーセキュリティ戦略による変革の実現
That is why the first ever Government Cyber Security Strategy – which I am delighted to be launching today – is so important. だからこそ、本日発表する史上初の「政府サイバーセキュリティ戦略」が非常に重要なのです。
If we are to continue to prevent our public services coming under pressure and to protect them from the harmful consequences of cyber attacks, we need to act. 公共サービスの低下を防ぎ、サイバー攻撃の被害から公共サービスを守るためには、私たちが行動を起こす必要があります。
The Strategy has a very clear vision. この戦略は非常に明確なビジョンを持っています。
Our core government functions, from the delivery of public services, to the operation of National Security apparatus, must be more resilient than ever before to cyber attacks. 公共サービスの提供から国家安全保障機関の運営に至るまで、政府の中核機能は、サイバー攻撃に対してこれまで以上に耐性を持たなければなりません。
And we are setting out the clear aim for government’s critical functions to be significantly hardened to cyber attack by 2025. そして、2025年までに、政府の重要な機能をサイバー攻撃に対して大幅に強化するという明確な目標を掲げています。
This aim accounts for all public service organisations – including across local government, and the health and education sectors – which in many cases are starting from a very low level of maturity. この目標は、地方自治体や医療・教育分野を含むすべての公共サービス機関を対象としており、多くの場合、非常に低いレベルの成熟度からスタートしています。
Achieving our aim is essential. Not only to protect government functions and public services but also to realise the ambitions set out in the Integrated Review and the National Cyber Strategy この目標を達成することは不可欠です。政府機能と公共サービスを守るだけでなく、統合レビューと国家サイバー戦略で掲げられた野望を実現するためにも。
It will also help cement the UK as a democratic and responsible ‘Cyber Power’. また、英国が民主的で責任感のある「サイバーパワー」としての地位を確立することにもつながります。
Only by ensuring that cyber attacks neither disrupt our core functions, nor erode vital trust and public confidence can we use the full potential of cyber as a lever to protect and promote our interests in a world that is being fundamentally and rapidly reshaped by technology. サイバー攻撃によって中核的な機能が破壊されたり、重要な信頼や国民の信用が損なわれたりしないようにしてこそ、テクノロジーによって根本的かつ急速に形を変えつつある世界において、我々はサイバーを梃子にして自国の利益を守り、促進することができるのです」と述べています。
The Government Cyber Security Strategy will deliver this in two fundamental ways. 政府のサイバーセキュリティ戦略は、2つの基本的な方法でこれを実現します。
First, by building organisational cyber resilience in a way that allows government organisations to understand the risks and threats they face, and indeed then to manage them. 第一に、政府機関が直面するリスクと脅威を理解し、実際にそれらを管理できるような方法で、組織のサイバーレジリエンスを構築することです。
To do this we will adopt the NCSC’s Cyber Assessment Framework for the whole of government, as the foundation of a new, detailed and comprehensive assurance regime, backed up by independent assessment. そのために、NCSCのサイバーアセスメントフレームワークを政府全体に採用し、独立した評価に裏打ちされた、詳細かつ包括的な新しい保証体制の基盤とします。
And from this we will emerge not with a generic sketch of government cyber defences but a properly objective picture of our collective strengths and weaknesses – これにより、政府のサイバー防御の一般的なスケッチではなく、私たちの集団的な強みと弱みを正しく客観的に把握することができるようになります。
And far from being an additional layer of bureaucracy and compliance, the new assurance regime will be an early warning system for all government organisations. 新しい保証制度は、官僚主義やコンプライアンスの追加ではなく、すべての政府機関にとっての早期警告システムとなります。
By the very nature of their activities, some of these organisations regularly face more sustained, determined, and well-resourced attacks on them. これらの組織の中には、その活動の性質上、定期的に、より持続的で強固な、そして十分な資源を持った攻撃にさらされているものがあります。
And we all have a vested interest in getting their protection right. 私たちは、これらの組織を正しく保護することに関心があります。
So – as the second fundamental element of the Government Cyber Security Strategy – we are going to ‘Defend as One’. そこで、政府のサイバーセキュリティ戦略の2つ目の基本要素として、「一体となって守る」ことを掲げています。
Ensuring that government presents a defensive force more powerful than the sum of its parts. これは、政府が各部分の合計よりも強力な防御力を発揮できるようにするためです。
At the moment, considerable talent and capability is spread over a range of government organisations - and is not always harnessed to best effect. 現在、膨大な才能と能力がさまざまな政府機関に分散しており、必ずしも最高の効果を発揮しているとは言えません。
Our new Government Cyber Coordination Centre, or GCCC, will transform how we use cyber security data – by facilitating threat and vulnerability management at scale, and fostering partnerships across the public sector and the Union – to rapidly identify, investigate and coordinate responses to incidents. 新設されたGCCC(Government Cyber Coordination Centre)は、脅威と脆弱性の管理を大規模に行い、公共部門と連邦のパートナーシップを促進することで、サイバーセキュリティデータの利用方法を変革し、インシデントの迅速な特定、調査、対応の調整を行います。
This joint venture between the Government Security Group, the Central Digital and Data Office and the NCSC, – is intended to underpin our long-term ambitions for cyber security, and ensure that our efforts are better coordinated. Government Security Group、Central Digital and Data Office、NCSCの3者によるこの共同事業は、サイバーセキュリティに関する我々の長期的な目標を支え、我々の努力がよりよく調整されることを目的としています。
Investment in cyber resilience サイバーレジリエンスへの投資
The significance of the cyber security challenges we face is reflected in the funding we as a government are making available to tackle them. 私たちが直面しているサイバーセキュリティの課題の重要性は、政府がそれらの課題に取り組むために用意している資金にも反映されています。
The government is investing £2.6 billion in cyber over the next three years – significantly more than the £1.9bn that was committed in the last National Cyber Strategy, with a particular emphasis on improving the government’s own cyber security. 政府は、今後3年間で26億ポンドをサイバー分野に投資します。これは、前回の国家サイバー戦略でコミットした19億ポンドを大幅に上回るもので、特に政府自身のサイバーセキュリティの向上に重点を置いています。
This includes over £85m to tackle the challenges facing councils, helping them build their cyber resilience and protect vital services and data. これには、地方自治体が直面する課題に取り組むための8,500万ポンド以上が含まれており、地方自治体がサイバーレジリエンスを高め、重要なサービスやデータを保護することを支援します。
And we will continue to invest in government’s cyber resilience, prioritising by risk to ensure that our most critical functions and services are protected. また、政府のサイバーレジリエンスへの投資を継続し、リスクに応じて優先順位をつけ、最も重要な機能とサービスを確実に保護していきます。
Developing leadership and skills リーダーシップとスキルの向上
I’d like to give particular focus to the importance of people and culture in making this a reality. これを実現するためには、人材と文化が重要であることを特に強調したいと思います。
Strong leadership is crucial to success. 成功には強力なリーダーシップが不可欠です。
And I welcome the strong emphasis public sector leaders are placing on cyber security as a catalyst and enabler for UK digital transformation. 公共部門のリーダーたちが、英国のデジタルトランスフォーメーションの触媒および実現者として、サイバーセキュリティを重視していることを歓迎します。
Indeed for my own part, one of my top priorities will be promoting government cyber resilience and driving forward the implementation of this strategy across government. 実際、私自身の最優先事項の一つは、政府のサイバーレジリエンスを促進し、政府全体でこの戦略の実施を推進することです。
I look forward to working with the Prime Minister and my Ministerial colleagues, who I know are very supportive of this agenda. 私は、この課題に非常に協力的な首相や同僚の閣僚たちと一緒に仕事ができることを楽しみにしています。
Technical experts are also, of course, crucial to building ‘secure by design’ government infrastructure. But we also need sufficient skills and knowledge beyond the specialised technical roles, alongside the ‘softer skills’ they will need for management roles later in their careers. もちろん、技術的な専門家も、"デザインによる安全性 "を備えた政府インフラの構築には欠かせません。しかし、専門的な技術的役割を果たすだけでなく、キャリアの後半で管理職に就くために必要となる "ソフトスキル "も含め、十分なスキルと知識が必要です。
From 2022, we will have 130 cyber apprentices across 21 government departments, and we are going to carry on building on this great foundation. 2022年には、21の政府機関で130名のサイバー実習生を採用する予定で、この素晴らしい基盤をさらに強化していきます。
And the new Cyber Fast Stream will begin to produce leaders as part of the Autumn 2022 cohort – a generation with the technical expertise to bring the Cyber Strategy off the printed page and into practice. また、新しいサイバーファーストストリームでは、2022年秋の卒業生からリーダーを輩出する予定です。
Even so, there is much more to do. とはいえ、やるべきことはまだたくさんあります。
Because government cannot address the skills challenge alone. なぜなら、政府だけではスキルの課題に対処できないからです。
As I set out in the National Cyber Strategy, we will need a whole-of-society approach to equip Britain with the skills it needs to prosper in a digital age. 国家サイバー戦略で述べたように、英国がデジタル時代に繁栄するために必要なスキルを身につけるには、社会全体のアプローチが必要です。
This afternoon I’m off to Ada, the National College for Digital Skills, to see the fantastic work they are doing to equip young people – I’m having a go myself – with Computer Science and STEM skills and expertise. 今日の午後、私はAda(National College for Digital Skills)に行って、若い人たちにコンピュータサイエンスやSTEMのスキルや専門知識を身につけさせるために行っている素晴らしい活動を見学してきます(私もやってみます)。
The kind of expertise running throughout society that will turn this vision into reality not just for the government but Britain – making us a Cyber Power at the forefront of the digital age. 社会全体に通じる専門知識は、政府だけでなく英国にとっても、このビジョンを現実のものとし、デジタル時代の最先端を行くサイバーパワーとなるでしょう。
Conclusion まとめ
Everyone who is involved in the cyber security sector can be proud of the progress made so far. サイバーセキュリティ分野に携わるすべての人は、これまでの進歩を誇りに思うことができます。
But to meet the threats we face in the coming decade we must build on our success and intensify our approach to cyber security. しかし、今後10年間に直面する脅威に対応するためには、これまでの成功を基に、サイバーセキュリティへの取り組みを強化する必要があります。
The Government Cyber Security Strategy is the foundation of that effort. 政府サイバーセキュリティ戦略は、その取り組みの基礎となるものです。
A stronger, better-defended government sits at the very heart of the UK as a cyber power – leading the work to deter and disrupt the activities of those who wish to do us harm. より強力で防御力の高い政府は、サイバーパワーとしての英国の中心に位置し、私たちに危害を加えようとする者の活動を抑止し、混乱させるための活動を主導しています。
Today marks another important step in our journey to creating a cyber resilient public sector. 本日は、サイバー攻撃に強い公共部門の構築に向けた重要な一歩となりました。
There is now a huge task ahead of us. 現在、私たちの前には大きな課題があります。
But having laid the framework for success through the strategy. I look forward to taking this challenge forward with all of you. しかし、戦略を通じて成功のための枠組みを築いてきました。皆さんと一緒にこの課題に取り組んでいきたいと思います。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

5年毎に作る国家セキュリティ戦略です。(主要国の国家サイバー戦略も記載しています。。。)

・2021.12.17 英国 国家サイバー戦略

 

| | Comments (0)

英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19

こんにちは、丸山満彦です。

平さんのブログから知った内容。。。

● 新聞紙学的

・2022.01.24 「フェイクの削除は有害」?それでも削除すべき理由とは

 

英国王立学会が「オンライン情報環境」を公開していますね。。。

The Royal Society

・2022.01.19 The online information environment

misinformationという言葉ですが、この報告書では、悪意のあるなしに関わらず誤った情報という意味で、使っていますね。。。なので、disinformationという意味も含む概念で使っているようです。。。

The online information environment オンライン情報環境
How are digital technologies changing the way people interact with information?  What technologies are there that can fabricate and detect misinformation?  And what role does technology have to play in creating a better information environment? デジタル技術は、人々の情報との関わり方をどのように変えているのでしょうか?  誤った情報を捏造し、それを検知する技術にはどのようなものがあるのでしょうか。  また、より良い情報環境を作るために、技術はどのような役割を果たすべきなのでしょうか。
The online information environment (PDF) report addresses these questions, providing an overview of how the internet has changed, and continues to change, the way society engages with scientific information, and how it may be affecting people’s decision-making behaviour – from taking up vaccines to responding to evidence on climate change. It highlights key challenges for creating a healthy online information environment and makes a series of recommendations for policymakers, academics, and online platforms. オンライン情報環境(PDF)レポートでは、これらの疑問を解決するために、インターネットが社会の科学情報への関わり方をどのように変えてきたのか、また変え続けているのか、そして、ワクチンの摂取から気候変動に関する証拠への対応まで、人々の意思決定行動にどのような影響を与えているのかを概観しています。本レポートでは、健全なオンライン情報環境を構築するための主要な課題を明らかにし、政策立案者、学術関係者、オンラインプラットフォームに対する一連の提言を行っています。
How are digital technologies shaping the information people encounter? デジタル技術は、人々が出会う情報をどのように変えているのでしょうか?
Patterns of information consumption are changing: individuals increasingly look to the online environment for news, and search engines and social media platforms play an increasingly important role in shaping access to information and participation in public debates. New technologies and uses of data are shaping this online information environment, whether through micro-targeting, filter bubbles, or sophisticated synthetic text, videos and images.  情報消費のパターンは変化しています。個人がオンライン環境にニュースを求めるようになり、検索エンジンやソーシャルメディアのプラットフォームは、情報へのアクセスや公共の議論への参加を形成する上で、ますます重要な役割を果たすようになっています。マイクロターゲティング、フィルターバブル、高度に合成されたテキスト、ビデオ、画像など、新しい技術やデータの利用がこのオンライン情報環境を形成しています。 
These technologies have great potential and are already being deployed in a range of contexts from entertainment through to education.  At the same time, there are increasing concerns about new forms of online harm and erosion of trust that these could enable. これらの技術は大きな可能性を秘めており、すでにエンターテインメントから教育まで、さまざまな場面で展開されています。  その一方で、これらの技術が可能にする新たなオンライン上の被害や信頼の低下に対する懸念も高まっています。
While misinformation isn’t a new problem—and uncertainty and debate are intrinsic parts of science--the internet has drastically magnified the speed and scale at which poor quality information can spread. 誤った情報は新しい問題ではありません。不確実性や議論は科学の本質的な部分ですが、インターネットは質の低い情報を広めるスピードと規模を飛躍的に拡大しました。
The report highlights how online misinformation on scientific issues, like climate change or vaccine safety, can harm individuals and society.   It stresses that censoring or removing inaccurate, misleading and false content, whether it’s shared unwittingly or deliberately, is not a silver bullet and may undermine the scientific process and public trust.  Instead, there needs to be a focus on building resilience against harmful misinformation across the population and the promotion of a “healthy” online information environment. 本報告書では、気候変動やワクチンの安全性など、科学的な問題に関するオンラインの誤った情報が、個人や社会にどのような損害を与えるかを明らかにしています。   本報告書では、不正確な情報、誤解を招くような情報、虚偽の情報を検閲したり削除したりすることは、それが無意識にあるいは意図的に共有されたものであるかどうかにかかわらず、銀の弾丸のようなものではなく、科学的プロセスや社会の信頼を損なう可能性があることを強調しています。  むしろ、有害な誤った情報に対する回復力を国民全体で高め、「健全な」オンライン情報環境を促進することに焦点を当てる必要があります。
The edge of error 誤りの端緒
Professor Frank Kelly FRS, Professor of the Mathematics of Systems at the Statistical Laboratory, University of Cambridge, and Chair of the report said, “Science stands on the edge of error and the nature of the scientific endeavour at the frontiers means there is always uncertainty. 報告書の議長を務めるケンブリッジ大学統計研究所システム数学教授のフランク・ケリー教授(FRS)は、以下のように述べています。「科学は誤りの縁に立っており、フロンティアでの科学的試みの性質上、常に不確実性がある」。
“In the early days of the pandemic, science was too often painted as absolute and somehow not to be trusted when it corrects itself, but that prodding and testing of received wisdom is integral to the advancement of science, and society. 「パンデミックの初期には、科学は絶対的なものであり、自らを修正するときには信用できないものであると考えられがちでしたが、科学や社会の発展のためには、既成概念を掘り下げて検証することが不可欠です」。
“This is important to bear in mind when we are looking to limit scientific misinformation’s harms to society. Clamping down on claims outside the consensus may seem desirable, but it can hamper the scientific process and force genuinely malicious content underground.” 「このことは、科学的に誤った情報による社会への悪影響を抑えるためにも重要なことです。コンセンサスから外れた主張を取り締まることは望ましいことのように見えますが、それは科学的プロセスを妨げ、真に悪意のあるコンテンツを地下に追いやることになりかねません」。
Perspectives 展望
Alongside the publication of this report, the Society is launching a blog series of weekly perspective pieces offering personal takes from leading figures on specific aspects of this topic, from potential regulatory approaches to what the media is doing to combat fake news to the role of knowledge institutions. 本報告書の発行と並行して、本学会ではブログシリーズを立ち上げ、潜在的な規制アプローチから、メディアがフェイクニュースに対抗するために何をしているか、知識機関の役割など、このテーマの特定の側面について、著名人の個人的な見解を毎週紹介しています。
Common questions よくある質問
What is scientific misinformation? 科学的に誤った情報とは何ですか?
Scientific misinformation is defined as information which is presented as factually true but directly counters, or is refuted by, established scientific consensus. This includes concepts such as ‘disinformation’ which relates to the deliberate sharing of misinformation content. 科学的に誤った情報とは、事実に基づいて提示された情報でありながら、確立された科学的コンセンサスに真っ向から反論したり、反論されたりするものと定義されます。これには、誤った情報を意図的に共有する「偽情報」のような概念も含まれます。
Why do people share misinformation? なぜ人々は誤った情報を共有するのか?
The actors involved in producing and disseminating misinformation content can be broadly categorised as intentional or unintentional actors, and further differentiated by motivation. These actors can exist across all sections of society and often include those in positions of power and influence (e.g. political leaders, public figures, and media outlets). We identify four types of misinformation actors: 誤った情報のコンテンツの作成と発信に関わるアクターは、意図的なアクターと非意図的なアクターに大別され、さらに動機によっても区別されまあす。これらのアクターは、社会のあらゆるセクションに存在する可能性があり、多くの場合、権力や影響力を持つ立場の人々(政治指導者、公人、メディアなど)が含まれます。私たちは、4つのタイプの誤報行為者を特定しました。
Good Samaritans: These users unknowingly produce and share misinformation content. Their motivation is to help others by sharing useful information which they believe to be true. Examples of this could include unknowingly sharing an ineffective health treatment or an inaccurate election schedule. 善きサマリア人:これらのユーザーは、無意識のうちに誤った情報のコンテンツを作成し、共有しています。彼らの動機は、自分が真実だと信じている有益な情報を共有することで、他の人を助けたいというものです。例えば、効果のない健康法や不正確な選挙日程などを無意識のうちに共有してしまうことが挙げられます。
Profiteers: These users either knowingly share misinformation content or are ambivalent about the content’s veracity. The consumption of their content generates profit for them with greater engagement resulting in higher profit. Examples include writers for explicitly false news outlets being paid directly to a Google Ads account, companies selling fraudulent health treatments, and video content creators profiting from advertising revenue. Profit, in this context, is not restricted to monetary value and can include other forms of personal gain (e.g. more votes or greater reach). 儲け主義者:このようなユーザーは、誤った情報を故意に共有しているか、コンテンツの信憑性について曖昧な態度をとっています。彼らのコンテンツが消費されることで、彼らは利益を得ることができ、エンゲージメントが高ければ高い利益を得ることができます。例えば、明らかに虚偽のニュースを提供するライターには、Google Adsのアカウントに直接報酬が支払われ、詐欺的な健康法を販売する企業や、広告収入で利益を得る動画コンテンツ制作者などが挙げられます。ここでいう利益とは、金銭的な価値に限らず、他の形態の個人的な利益(例えば、より多くの投票やより多くのリーチ)を含むこともあります。
Coordinated influence operators: These users knowingly produce and share misinformation content. Their motivation is to sway public opinion in a manner that will benefit the agenda of their organisation, industry, or government. The aim is to either convince consumers of an alternate story or to undermine faith in trusted institutions. Examples include successfully publishing political opinion pieces by a fabricated expert in reputable online news outlets and using automated social media accounts (bots) to promote climate change denialism. 協調的影響力行使者:このようなユーザーは、意図的に誤った情報のコンテンツを作成し、共有します。彼らの動機は、自分の所属する組織、業界、または政府のアジェンダに利益をもたらす方法で世論を動かすことです。その目的は、消費者に別のストーリーを納得させることや、信頼できる機関への信頼を損なうことです。例えば、捏造した専門家による政治的意見を評判の高いオンラインニュースに掲載することに成功したり、ソーシャルメディアの自動アカウント(ボット)を使って気候変動の否定論を広めることなどが挙げられます。
Attention hackers: These users knowingly produce and share misinformation content. Their motivation is personal joy. Sometimes referred to as ‘trolling’, these users devise outlandish or divisive content and take steps to maximise attention for them. Examples include sending messages to mainstream talk shows in the hope they will read out the content on air, fooling high profile figures into resharing content on their social media accounts, and sharing conspiracy theories on unsuspecting television and radio phone-ins (known as groyping). アテンションハッカー:このようなユーザーは、故意に誤った情報のコンテンツを制作し、共有します。彼らの動機は個人的な喜びです。トローリング」と呼ばれることもありますが、このようなユーザーは、突拍子もない、あるいは分裂を招くようなコンテンツを考案し、その注目度を最大限に高めるための手段を講じます。例えば、主流のトークショーにメッセージを送り、放送中にその内容を読み上げてもらうことを期待したり、著名人を騙して自分のソーシャルメディアアカウントでコンテンツを再共有させたり、疑うことなくテレビやラジオの電話で陰謀論を披露したりすることが挙げられます(グロウピングと呼ばれます)。
What is malinformation? 悪意のある情報とは?
Genuine, unedited content can be shared without context to provide a misleading narrative. This is made easier in the online information environment as content can be disseminated between people without intermediaries (e.g. news outlets, government officials). This has been referred to as ‘malinformation’. Examples include sharing real images and claiming that they represent something that they do not. They can also involve sharing images of different events from a different date to create a false narrative and discredit targets. 真の意味で編集されていないコンテンツが、文脈を無視して共有され、誤解を招くような物語を提供することがあります。ネット上の情報環境では、コンテンツを仲介者(報道機関や政府関係者など)なしに人々の間で広めることができるため、このようなことが容易に起こります。これは「悪意のある情報」と呼ばれています。例えば、実物の画像を共有して、それが実際にはないものを表していると主張することなどが挙げられます。また、異なる日付の異なるイベントの画像を共有することで、誤ったストーリーを作り、ターゲットの信用を落とすこともあります。
What is a deepfake? ディープフェイクとは?
Originating from a Reddit user who shared edited videos of celebrity faces swapped into pornographic videos, deepfakes refer to novel audio and/or visual content generated using artificial intelligence techniques such as generative adversarial networks (GANs). GANs involve two neural networks competing against each other – one creating false content and the other trying to detect it. The GANs can be trained using images, sounds, and videos of the target. The result is convincingly edited ‘new’ audio and/or visual content. ディープフェイクとは、有名人の顔をポルノビデオにすり替えて編集した動画をRedditで公開したことに端を発し、GAN(Generative Adversarial Network)などの人工知能技術を用いて生成された新しい音声・映像コンテンツのことです。GANでは、2つのニューラルネットワークが互いに競い合い、一方が偽のコンテンツを作成し、もう一方がそれを検出しようとします。GANは、ターゲットの画像や音声、動画などを使って学習させることができます。その結果、説得力のある編集された「新しい」オーディオおよび/またはビジュアルコンテンツが得られます。
Deepfakes can involve portraying individuals doing or saying things which they never did or said. They can also involve the generation of a new ‘person’ – a still image of a novel face to be used in the creation of a fabricated online persona.  Research has found that the majority of the thousands of deepfakes currently in existence are of a pornographic nature, however other examples have included deepfakes of politicians, campaigners, celebrities, and the Queen. ディープフェイクでは、実際にはやったことも言ったこともないことをやったり言ったりしている個人を描写することができる。また、新たな「人物」、つまり、ネット上で捏造されたペルソナを作成するために使用される斬新な顔の静止画を生成することもあります。  調査によると、現在存在する何千ものディープフェイクの大半はポルノ的な性質のものですが、政治家、運動家、有名人、女王などのディープフェイクも存在します。
What are shallowfakes? シャローフェイクとは?
A form of malinformation content, shallowfakes refer to videos which have been presented out of context or crudely edited. These effects are achieved by using video-editing software or smartphone applications to change the speed of video segments or crop together clips in order to omit relevant context. 悪意のある情報のコンテンツの一つである浅い偽情報とは、文脈を無視して提示されたり、粗雑に編集されたビデオを指します。このような効果は、ビデオ編集ソフトやスマートフォンのアプリケーションを使用して、ビデオセグメントの速度を変更したり、関連する文脈を省略するためにクリップを切り取ったりすることで得られます。
What is provenance enhancing technology? プロミネンス・エンハンシング・テクノロジーとは?
Focusing instead on the origins of content rather than its value, organisations developing provenance enhancing technologies aim to equip information consumers with the means to help them decide whether a piece of content is genuine and not manipulated. This is achieved by applying the content’s metadata (e.g. sender, recipient, time stamp, location) to determine who created it, how it was created, and when it was created. コンテンツの価値ではなく、その起源に着目し、情報消費者がコンテンツが加工されていない本物であるかどうかを判断するための手段を提供することを目的としたのが、出所証明技術です。これは、コンテンツのメタデータ(送信者、受信者、タイムスタンプ、場所など)を利用して、誰が、どのように作成したのか、いつ作成したのかを判断することで達成されます。
This is the primary aim of the Coalition for Content Provenance and Authenticity (an initiative led by Adobe, ARM, the BBC, Intel, Microsoft, TruePic, and Twitter) which is developing a set of technical specifications on content provenance. If sufficiently enabled, platforms would be able to better address or label problematic content and information consumers will be able to determine the veracity of a claim, image, or video. これは、Coalition for Content Provenance and Authenticity(Adobe、ARM、BBC、Intel、Microsoft、TruePic、Twitterが主導するイニシアチブ)の主な目的であり、コンテンツの証明に関する一連の技術仕様を策定しています。十分な機能を備えれば、プラットフォームは問題のあるコンテンツに対してより適切な対処やラベル付けができるようになり、情報消費者は主張や画像、動画の信憑性を判断できるようになるでしょう。
What are bots? ボットとは何ですか?
Bots are pre-programmed online accounts that engage with and respond to online content in an automated fashion. They take many forms in the online information environment. Chatbots can act as customer service operators for large companies (e.g. retail banks) or as false personas on social media platforms. Voice assistants recognise and respond verbally to spoken requests made by a user to a smart device. Bot crawlers undertake basic administrative tasks for owners such as indexing web pages or countering minor acts of vandalism on wikis. Traffic bots exist to inflate the number of views for a piece of online content to boost revenue derived from online advertising. ボットとは、あらかじめプログラムされたオンラインアカウントで、オンラインコンテンツに自動で関わり、反応するものです。オンラインの情報環境では、さまざまな形で利用されています。チャットボットは、大企業(リテールバンクなど)の顧客サービスオペレーターとして機能したり、ソーシャルメディアのプラットフォーム上で偽のペルソナとして機能したりします。音声アシスタントは、ユーザーがスマートデバイスに対して行った音声による要求を認識し、口頭で応答します。ボット・クローラーは、ウェブページのインデックスを作成したり、ウィキ上の小さな破壊行為に対処するなど、オーナーのために基本的な管理作業を行います。トラフィックボットは、オンラインコンテンツの閲覧数を増加させ、オンライン広告から得られる収益を増加させるために存在する。
Positive applications of bots include their use to counter misinformation, to support people with disabilities, and to disseminate news updates. Negative applications include the use of bots to deceptively influence public opinion, to suppress news stories, and to abuse people. ボットのポジティブな用途としては、誤った情報に対抗するため、障害者を支援するため、ニュースの更新情報を発信するためなどがある。一方、ネガティブな用途としては、世論への影響力を偽装したり、ニュース記事を抑制したり、人々を虐待したりすることが挙げられます。
Method 方法
Alongside the report, the Society has published a series of independent commissioned literature reviews and surveys which have helped inform the thinking of the expert working group on these issues. These include: 本報告書と並行して、本会は、これらの問題に関する専門家ワーキンググループの考えを伝えるために、独自に委託した一連の文献レビューや調査を発表しました。その内容は以下の通りです。
a literature review on anti-vaccine misinformation in the C20th (PDF) 1920年代の反ワクチンの誤報に関する文献調査 (PDF)
a literature review on historic misinformation about water fluoridation (PDF) ウォーターフロリデーションに関する歴史的な誤報についての文献調査 (PDF)
a literature review on the science behind how people navigate the information environment (PDF) 人々が情報環境をどのようにナビゲートするかについての科学に関する文献調査 (PDF)
a literature review on the evidence behind echo chambers and filter bubbles (PDF) エコーチェンバーとフィルターバブルの背後にある証拠についての文献調査 (PDF)
a survey of people’s capacity for deepfake detection (PDF) ディープフェイクを検知する人々の能力に関する調査 (PDF)

 

・[PDF]

20220125-163501

 

目次...

Foreword   序文  
Executive summary  エグゼクティブ・サマリー 
Recommendations  提言 
Chapter one: Why do we need trustworthy information?  第1章 なぜ信頼できる情報が必要なのか?
Evidence of impact  インパクトのある証拠 
Case study: Vaccine misinformation  ケーススタディ:ワクチンの誤った情報
Chapter two: How the information environment is shaped and navigated  第2章:情報環境はどのように形成され、ナビゲートされるか 
How do our minds process information?  私たちの心はどのように情報を処理するのか?
Types of misinformation actors  誤った情報のアクターの種類 
Incentives for information production and consumption 情報の生産と消費のインセンティブ
How the internet facilitates access to information  インターネットが情報へのアクセスを容易にする仕組み 
Policies adopted by major online platforms   主要なオンラインプラットフォームが採用するポリシー  
Case study: 5G misinformation   ケーススタディ:5Gの誤情報
Chapter three: Techniques for creating and countering misinformation  第3章 誤情報の作成とそれに対抗するテクニック 
Synthetic content  合成コンテンツ 
Techniques used to promote misinformation  誤った情報を広めるためのテクニック 
Tools and approaches for countering misinformation  誤った情報に対抗するためのツールとアプローチ 
Chapter four: Trustworthy institutions  第4章 信頼できる機関 
Decontextualisation  脱文脈化 
Quantity of information  情報の量 
Hallmarks of trustworthiness  信頼できる機関の特徴 
The importance of curatorship  キュレーターシップの重要性 
Case study: Water fluoridation misinformation  ケーススタディ:水道水フッ化物添加の誤情報
Chapter five: The future landscape  第5章 今後の展望 
Conclusion   結論
Appendix   附属書  
Index of figures and boxes  図とボックスの索引 
Working Group members  ワーキンググループメンバー 
Royal Society staff  英国王立協会スタッフ 
Acknowledgments  謝辞 
Survey methodologies  調査方法 
Commissioned literature reviews  委託文献調査 

 

序文あたりを

Foreword 序文
I Foreword It is arguably one of the most abundant resources of our age – never before has so much information been available to so many people. Wherever access to the internet is possible, individuals can access entire libraries-worth of knowledge, decades of news reports, vaults-full of documents and records, speeches, images and videos; and, in the current pandemic, the genome sequence of a novel coronavirus and a torrent of research preprints released before peer review. Once it would take days for news to pass from town to town, but the last century saw a speeding up of information transmission, from the early growth of telephony through to the advent of the World Wide Web in the 1990s and the popularity of social media from the early 2010s. Digital technology has transformed our ability to be informed and to inform others.  序文 現代の最も豊かな資源の一つと言っても過言ではありません。これほど多くの情報をこれほど多くの人が利用できる時代はかつてありませんでした。インターネットへのアクセスが可能な場所であれば、個人が図書館全体の知識、数十年分のニュース報道、金庫いっぱいの文書や記録、スピーチ、画像、ビデオにアクセスできるほか、現在のパンデミックでは、新型コロナウイルスのゲノム配列や、査読前に発表された研究のプレプリントが大量に公開されています。かつては、町から町へニュースが伝わるのに何日もかかっていましたが、前世紀には、初期の電話の普及から、1990年代のWorld Wide Webの出現、2010年代初頭のソーシャルメディアの人気に至るまで、情報伝達のスピードが速くなりました。デジタル技術は、私たちが情報を得たり、人に伝えたりする能力を大きく変えました。
But it is not just high-quality information that is being shared.  しかし、共有されているのは質の高い情報だけではありません。
Inaccurate, misleading and completely false information is shared online in large volumes – both unintentionally by some and maliciously by others. Fictional stories end up being passed around as truth, conspiracies gain weight as they pass through the rumour mill and science becomes mangled beyond recognition.  不正確な情報、誤解を招くような情報、まったくの虚偽の情報が、一部の人が意図せずに、また他の人が悪意を持って、オンラインで大量に共有されています。架空の話が真実のように流布され、陰謀は噂の域を超えて重みを増し、科学は見分けがつかないほどこじつけられてしまいます。
Misinformation and fake news is not new (see the quote from George Eliot’s Middlemarch). Alongside this report, we are publishing two literature reviews looking at the spread of misinformation about water fluoridation and vaccination in the 20th century, well before the emergence of the modern information environment. What online technologies have changed, however, is the scale and speed of spread.  誤報やフェイクニュースは、今に始まったことではありません(ジョージ・エリオットの『ミドルマーチ』からの引用を参照)。本報告書と並行して、現代の情報環境が出現する前の20世紀に、ウォーターフロリデーションやワクチン接種に関する誤報が広まったことを調べた2つの文献レビューを発表しています。しかし、オンライン技術が変えたのは、拡散の規模とスピードです。
The Royal Society’s mission since it was established in 1660 has been to promote science for the benefit of humanity, and a major strand of that is to communicate accurately. But false information is interfering with that goal. It is accused of fuelling mistrust in vaccines, confusing discussions about tackling the climate crisis and influencing the debate about genetically modified crops.  1660年に設立された英国王立協会の使命は、人類のために科学を振興することであり、そのためには正確な情報を伝えることが重要です。しかし、誤った情報がその目的を妨げています。ワクチンへの不信感を煽り、気候危機への取り組みに関する議論を混乱させ、遺伝子組み換え作物に関する議論に影響を与えていると非難されています。
Science stands on the edge of error. It is a process of dealing with uncertainties, prodding and testing received wisdom. Science challenges us to continually assess and revise our understanding of the world. What we believed 100 years ago has been replaced with new knowledge. Some people think science is absolute and when it corrects itself it is somehow not to be trusted or believed. We must work to help people recognise that the core ability to correct itself is a strength, not a weakness, of the scientific method. This ability requires the prioritisation of the best data and most trustworthy information, as well as a safe and healthy online information environment which allows robust and open scientific debate. Balancing these necessities is one of the key aims of this report. 科学は誤りの端に立っています。それは不確実性に対処するプロセスであり、既成概念を突いて検証するものです。科学は、私たちの世界に対する理解を継続的に評価し、修正することを求めます。100年前に信じていたことは、新しい知識に置き換えられています。人によっては、科学は絶対的なものであり、それが修正されると信用できない、信じられない、と考える人もいます。私たちは、自己修正能力が科学的手法の弱点ではなく強みであることを人々に認識してもらうよう努力しなければなりません。この能力を高めるためには、最高のデータと最も信頼できる情報を優先的に提供することに加えて、堅牢でオープンな科学的議論を可能にする安全で健全なオンライン情報環境が必要です。これらの必要条件のバランスをとることが、本報告書の重要な目的の一つです。
Of course, this report can only consider part of a problem as broad and complicated as how to improve the quality of the information environment. Misinformation problems are in part irreducibly political and social in nature. In free and diverse societies we will always have some version of them. In this report we have focused on the part of this where the Royal Society, as the national academy of science, speaks with the greatest authority: on issues pertaining to how science is communicated online, and the technologies underpinning that.   もちろん、本報告書では、情報環境の質をいかに向上させるかという、広範で複雑な問題の一部しか検討できません。誤報の問題は、政治的・社会的に避けられない部分があります。自由で多様性のある社会では、常に何らかのバージョンが存在する。本報告書では、英国王立協会が国立科学アカデミーとして最も権威ある発言をする部分、すなわち、科学がオンラインでどのように伝達されるかという問題と、それを支える技術に焦点を当てました。 
Fact-checking is especially important, and this is an area where the scientific community can help.  National academies and learned societies can react to new misinformation threats by quickly providing accurate summaries of what we know. To do this, better access to data is needed for researchers to identify topics of misinformation early in the process of amplification. 特にファクトチェックは重要であり、科学界が協力できる分野でもあります。 各国のアカデミーや学会は、新たな誤報の脅威に対応するために、私たちが知っていることを正確にまとめた情報を迅速に提供することができます。そのためには、研究者が誤報の話題を増幅の過程の初期段階で特定できるよう、データへのアクセスを改善する必要がある。
This, in itself, will not be enough to counteract the algorithmic amplification of polarising misinformation in an attention economy which incentivises the spread of sensational stories rather than sound understanding. Ultimately, we will need to see legislation which can address the incentives of business models that shape the algorithms determining the spread of content. Scientists will need to work with lawyers and economists to make sure that the particular sensitivities of scientific misinformation are considered when legislation is framed.   しかし、それだけでは、センセーショナルな記事の拡散を促す注目度の高い経済の中で、偏った誤報がアルゴリズムによって増幅されることに対抗するには十分ではありません。最終的には、コンテンツの拡散を決定するアルゴリズムを形成するビジネスモデルのインセンティブに対処するための法律が必要になります。科学者は、弁護士や経済学者と協力して、科学的な誤報に対する特別な配慮が法制化されるようにしなければなりません。 
The scientific community has its own issues to address in this regard. The incentives for scientific publication and communication need careful consideration, to ensure that novelty isn’t overstated simply to grab attention. Open access has been a boon, but in an age of information overload we need tools to identify questionable publishers or platforms. Furthermore, scientists need to be clear and transparent about their own motivations and whether they are seeking to inform or seeking to persuade.  科学界には、この点で対処すべき独自の問題があります。注目を集めるために新規性が誇張されることのないよう、科学的な出版やコミュニケーションのインセンティブを慎重に検討する必要があります。オープンアクセスは大きな恩恵をもたらしましたが、情報過多の時代には、疑わしい出版社やプラットフォームを見分けるためのツールが必要です。さらに、科学者は自らの動機や、情報を提供しようとしているのか、説得しようとしているのかを明確にし、透明性を確保する必要があります。
This report represents continuing development of, rather than a final chapter in, the Royal Society’s consideration of these issues. Further work going into more detail on some areas covered is planned. An example of this is the Society’s ambitious new programme, Reimagining science, which seeks to improve the narratives of science in society. Future work will also examine the role of digital technologies, and data access, in scientific research.  Professor Frank Kelly CBE FRS 本報告書は、英国王立協会がこれらの問題を検討する上での最終章ではなく、継続的に発展させたものです。いくつかの分野では、より詳細な調査が予定されています。その一例として、王立協会の野心的な新プログラム「Reimagining science」は、社会における科学の物語を改善することを目指しています。また、科学研究におけるデジタル技術やデータアクセスの役割についても検討していきます。 フランク・ケリー教授 CBE FRS
Executive summary 要約
The internet has transformed the way people consume, produce, and disseminate information about the world. In the online information environment, internet users can tailor unlimited content to their own needs and desires. This shift away from limited, gatekept, and pre-scheduled content has democratised access to knowledge and driven societal progress. The COVID-19 pandemic exemplifies this, with global researchers collaborating virtually across borders to mitigate the harms of the disease and vaccinate populations. インターネットは、人々が世界の情報を消費、生産、発信する方法を大きく変えました。オンラインの情報環境では、インターネットユーザーは無制限のコンテンツを自分のニーズや欲求に合わせて調整することができます。このように、限定された、門番のいる、予定されたコンテンツからの移行は、知識へのアクセスを民主化し、社会の進歩を促しました。COVID-19のパンデミックを例にとると、世界中の研究者が国境を越えて事実上協力し、病気の害を軽減したり、人々にワクチンを投与したりしています。
The unlimited volume of content, however, means that capturing attention in the online information environment is difficult and highly competitive. This heightened competition for attention presents a challenge for those who wish to communicate trustworthy information to help guide important decisions. The poor navigation or, even, active exploitation of this environment by prominent public figures and political leaders has, on many occasions, led to detrimental advice being disseminated amongst the public. This challenge has caused significant concern with online ‘misinformation’ content being widely discussed as a factor which impacts democratic elections and incites violence. In recent years, misinformation has also been identified as a challenge in relation to a range of scientific topics, including vaccine safety, climate change, and the rollout of 5G technology. しかし、コンテンツの量が無限であることは、オンラインの情報環境で注目を集めることが難しく、競争が激しいことを意味しています。このような競争の激化は、重要な意思決定に役立つ信頼性の高い情報を伝えたいと願う人々にとっての課題となっています。著名人や政治家がこの環境をうまく利用しない、あるいは積極的に利用することで、有害なアドバイスが一般の人々に広まってしまうことが多々ありました。この問題は、ネット上の「誤報」コンテンツが、民主的な選挙に影響を与えたり、暴力を誘発したりする要因として広く議論され、大きな関心を呼んでいます。近年では、ワクチンの安全性、気候変動、5G技術の導入など、さまざまな科学的トピックについても誤報が問題視されています。
The Royal Society’s mission is to promote excellence in science and support its use for the benefit of humanity. The consumption and production of online scientific information is, therefore, of great interest. This report, The online information environment, provides an overview of how the internet has changed, and continues to change, the way society engages with scientific information, and how it may be affecting people’s decision-making behaviour – from taking up vaccines to responding to evidence on climate change. It highlights key challenges for creating a healthy online information environment and makes a series of recommendations for policymakers, academics, and online platforms.  英国王立協会は、卓越した科学を推進し、人類の利益のためにその利用を支援することを使命としています。そのため、オンライン科学情報の消費と生産には大きな関心が寄せられています。本報告書「オンライン情報環境」では、インターネットが社会の科学情報への関わり方をどのように変化させてきたか、また今後も変化させていくのか、そして、ワクチンの摂取から気候変動に関する証拠への対応まで、人々の意思決定行動にどのような影響を与えているのかを概観しています。本レポートでは、健全なオンライン情報環境を構築するための主要な課題を明らかにし、政策立案者、学術関係者、オンラインプラットフォームに向けた一連の提言を行っています。
These recommendations, when taken together, are intended to help build collective resilience to harmful misinformation content and ensure access to high quality information on both public and private forums. これらの提言は、有害な誤った情報のコンテンツへの耐性を高め、公的・私的なフォーラムで質の高い情報にアクセスできるようにすることを目的としています。
The report has been guided by a working group of leading experts in this field and informed by a series of activities commissioned by the Royal Society. Firstly, literature reviews were commissioned on historical examples of scientific misinformation; the evidence surrounding echo chambers, filter bubbles, and polarisation; and the effects of information on individuals and groups. Secondly, the Society hosted various workshops and roundtables with prominent academics, fact-checking organisations, and online platforms. Finally, two surveys were commissioned – the first on people’s attitudes and behaviours towards online scientific misinformation and the second on people’s ability to detect deepfake video content. 本報告書は、この分野の第一人者で構成されるワーキンググループの指導のもと、英国王立協会の依頼による一連の活動によって作成されました。まず、科学的な誤った情報の歴史的な例、エコーチェンバー、フィルターバブル、水道水フッ化添加物をめぐる証拠、情報が個人やグループに与える影響についての文献調査が行われました。次に、著名な学者、ファクトチェック機関、オンラインプラットフォームとの間で様々なワークショップやラウンドテーブルを開催しました。最後に、2つの調査を実施しました。1つ目は、オンライン上の科学的誤報に対する人々の態度と行動について、2つ目は、人々の偽装ビデオコンテンツを検出する能力についてです。
The chapters of the report are focused on understanding and explaining essential aspects of the online information environment. They explore a broad range of topics including the ways our minds process information and how this is impacted by accessing information online; how information is generated in a digital context and the role of incentives for content production; and types of synthetic online content and their potential uses, both benign and malicious. However, there are important areas that are not covered in this report, outlined in box 1, which are part of the wider questions around trust in science, in the internet and in institutions. These include the role of traditional science communicators and the wider research community in enabling access to trustworthy information; the issue of online anonymity; and the impact that the online information environment can have on democracy and political events (eg elections). 本報告書の各章は、オンライン情報環境の重要な側面を理解し、説明することに重点を置いています。本報告書の各章では、私たちの心がどのように情報を処理しているのか、それがオンライン上の情報にアクセスすることでどのような影響を受けるのか、デジタル環境下でどのように情報が生成されるのか、コンテンツ制作におけるインセンティブの役割、合成されたオンラインコンテンツの種類と、良性・悪性を問わずそれらがどのように利用されるのかなど、幅広いトピックを取り上げています。しかし、本報告書では取り上げていない重要な分野があります。ボックス1に概要を示していますが、これらは、科学、インターネット、機関に対する信頼をめぐる幅広い問題の一部です。これらの分野には、信頼できる情報へのアクセスを可能にする、従来の科学コミュニケーターや幅広い研究コミュニティの役割、オンライン上の匿名性の問題、オンライン上の情報環境が民主主義や政治的イベント(選挙など)に与える影響などが含まれます。
Within this report, ‘scientific misinformation’ is defined as information which is presented as factually true but directly counters, or is refuted by, established scientific consensus. This usage includes concepts such as ‘disinformation’ which relates to the deliberate sharing of misinformation content. 本報告書では、「科学的に誤った情報」を、事実に基づいて提示されているが、確立された科学的コンセンサスに真っ向から反論している、あるいは反論されている情報と定義しています。この定義には、誤った情報を意図的に共有する「偽情報」などの概念も含まれます。
Key findings 主な調査結果
•            Although misinformation content is prevalent online, the extent of its impact is questionable1. For example, the Society’s survey of members of the British public2 found that the vast majority of respondents believe the COVID-19 vaccines are safe, that human activity is responsible for climate change, and that 5G technology is not harmful. The majority believe the internet has improved the public’s understanding of science, report that they are likely to fact-check suspicious scientific claims they read online and state that they feel confident to challenge their friends and family on scientific misinformation. ・誤った情報のコンテンツはネット上に蔓延しているが、その影響の大きさは疑問視されています1。例えば、本会が英国の一般市民を対象に行った調査2では、大多数の回答者がCOVID-19ワクチンの安全性、気候変動の原因は人間の活動にあること、5G技術は有害ではないことを信じていることがわかりました。また、大多数の回答者は、インターネットが科学に対する一般市民の理解を向上させたと考えており、オンラインで読んだ疑わしい科学的主張を事実確認する可能性があると報告し、科学的な誤報について友人や家族に異議を唱える自信があると述べています。
•            The existence of echo chambers (where people encounter information that reinforces their own beliefs, online and offline) is less widespread than may be commonly assumed and there is little evidence to support the filter bubble hypothesis (where algorithms cause people to only encounter information that reinforces their own beliefs)3, 4. ・エコーチェンバー(オンラインでもオフラインでも、人々が自分の信念を強化するような情報に出会うこと)の存在は、一般的に考えられているよりも広まっておらず、フィルターバブル仮説(アルゴリズムによって人々が自分の信念を強化するような情報にしか出会わなくなる)を支持する証拠はほとんどありません3, 4。
•            Uncertainty is a core aspect of scientific method, but significant dispute amongst experts can spill over to the wider public5. This can be particularly challenging when this uncertainty is prolonged, and the topic has no clear authority. This gap between uncertainty and certainty creates information ‘deserts’ online with platforms being unable to clearly guide users to trustworthy sources6. For example, during the COVID-19 pandemic, organisations such as the World Health Organization and the National Health Service were able to act as authoritative voices online. However, with topics such as 5G telecommunications, it has been more difficult for platforms to quickly identify trustworthy sources of evidence and advice. ・不確実性は科学的手法の中核を成すものですが、専門家の間で大きな論争があると、それが一般の人々にも波及してしまいます5。このような不確実性が長期化し、明確な権威がないテーマの場合には、特に困難を伴います。このような不確実性と確実性のギャップは、プラットフォームがユーザーを信頼できる情報源へと明確に導くことができず、オンライン上に情報の「砂漠」を生み出します6。例えば、COVID-19のパンデミックの際には、世界保健機関(WHO)や米国保健省(National Health Service)などの組織が、オンライン上で権威ある発言をすることができました。しかし、5G通信などのトピックでは、プラットフォームが信頼できる証拠やアドバイスの情報源を迅速に特定することが難しくなっています。
•            The concept of a single ‘anti-vax’ movement is misleading and does not represent the range of different reasons for why some people are reluctant to be vaccinated7. Those with anti-vaccination sentiments can have distinct concerns including child safety, or act not out of scepticism about the evidence, but out of distrust of governments. In addition, there are various actors involved in creating and spreading anti-vaccination material. These include political actors, particularly when a relevant event (eg a pandemic) is dominating the news cycle8, 9. ・単一の「反ワクチン」運動という概念は誤解を招く恐れがあり、ワクチン接種に消極的な人がいるさまざまな理由を表していません7。ワクチン反対派の人々は、子どもの安全性などの明確な懸念を持っていたり、証拠に対する懐疑心からではなく、政府に対する不信感から行動していたりします。さらに、反ワクチン療法の資料を作成し、広めることには様々な関係者が関わっている。その中には政治家も含まれており、特に関連する出来事(例:パンデミック)がニュースサイクルを支配している場合には、そのような行動が見られます8, 9。
•            Technology can play an important though limited role in addressing misinformation content online. In particular, it can be useful in areas such as rapid detection of harmful misinformation content. Provenance enhancing technology, which provides information on the origins of online content and how it may have been altered, shows promise and will become increasingly important as misinformation content grows more sophisticated. Even now, expertly manipulated content appears to be difficult to detect. Survey experiments conducted for this report indicates that most people struggle to identify deepfake video content even when prompted11. ・テクノロジーは、限定的ではあるが、オンライン上の誤報コンテンツに対処する上で重要な役割を果たすことができる。特に有害な誤報コンテンツを迅速に検知するなどの分野で有用です。オンライン・コンテンツの出所やどのように改変されたかについての情報を提供するプロベナンス強化技術は有望であり、誤った情報コンテンツがより洗練されたものになるにつれ,その重要性は増していくだろう。現在でも巧妙に操作されたコンテンツを検知することは難しいようです。本報告書のために実施した調査実験によると、ほとんどの人は促されても偽物のビデオコンテンツを見分けることができないという結果が出ています11。
•            Incentives for content production and consumption are the most significant factor to consider when evaluating the online information environment. These incentives can occur on a macro and micro level (affecting both platforms and individual users) and have been described in this report as content which exists for public benefit (eg helping others) or private benefit (eg generating financial profit). ・コンテンツの制作と消費に対するインセンティブは、オンライン情報環境を評価する際に考慮すべき最も重要な要素です。これらの誘因は、マクロ的にもミクロ的にも(プラットフォームと個々のユーザーの両方に影響を与える)発生する可能性があり、本報告書では、公共の利益(例:人助け)または私的な利益(例:金銭的な利益を得る)のために存在するコンテンツとして説明しています。
 Understanding how to mitigate the role of these incentives in the spread of misinformation content requires further consideration on the economic and legal aspects of the online information environment.  誤った情報のコンテンツの拡散におけるこれらのインセンティブの役割を軽減する方法を理解するには、オンライン情報環境の経済的・法的側面についてさらに検討する必要があります。
1.           Cabrera Lalinde I. 2021 How misinformation affected the perception of vaccines in the 20th century based on the examples of polio, pertussis and MMR vaccines. The Royal Society. See https://royalsociety.org/topics-policy/projects/ online-information-environment 1.           Cabrera Lalinde I. 2021 ポリオ、百日咳、MMRワクチンの例に基づいて、20世紀に誤報がワクチンの認識にどのように影響したか。The Royal Society. 参照 https://royalsociety.org/topics-policy/projects/ online-information-environment
2.           85% consider the Pfizer-BioNTech vaccine to be safe. AstraZeneca = 80%, Moderna = 74%. 4-5% believe the vaccines are ‘not at all safe’. Royal Society / YouGov, July 2021. 2.           85%がファイザー・バイオンテック社のワクチンを安全と考えている。アストラゼネカ社=80%、モデナ社=74%。4-5%がワクチンは「全く安全ではない」と考えている。英国王立協会/YouGov、2021年7月。
3.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021 Echo chambers, filter bubbles, and polarisation.  The Royal Society. See https://royalsociety.org/topics-policy/projects/online-information-environment 3.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021年 エコーチェンバー、フィルターバブル、ポラリゼーション。 The Royal Society. https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
4.           Röttger P, Vedres B. The Information Environment and its Effects on Individuals and Groups. The Royal Society.  See https://royalsociety.org/topics-policy/projects/online-information-environment 4.           Röttger P, Vedres B. The Information Environment and its Effects on Individuals and Groups. The Royal Society(英国王立協会)。 https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
5.           Royal Society roundtable on Telecommunications and Misinformation, November 2020. 5.           Royal Society roundtable on Telecommunications and Misinformation, November 2020.
6.           Royal Society roundtable with Major Technology Organisations, March 2021. 6.           Royal Society roundtable with Major Technology Organisations(王立協会の円卓会議)、2021年3月。
7.           Royal Society workshop on Vaccines and Misinformation, July 2020. 7.           Royal Society workshop on Vaccines and Misinformation, July 2020.
8.           Royal Society workshop on Horizon Scanning and Scientific Misinformation, March 2021. 8.           王立協会ワークショップ「Horizon Scanning and Scientific Misinformation」、2021年3月。
9.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021 Echo chambers, filter bubbles, and polarisation.  The Royal Society. See https://royalsociety.org/topics-policy/projects/online-information-environment 9.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021 Echo chambers, filter bubbles, and polarisation.  The Royal Society(英国王立協会)。https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
10.         Royal Society roundtable with Major Technology Organisations, March 2021. 10.         Royal Society roundtable with Major Technology Organisations, March 2021.
11.         Lewis A, Vu P, Duch R. 2021 Deepfake detection and content warnings: Evidence from two experiments.  The Royal Society. See https://royalsociety.org/topics-policy/projects/online-information-environment 11.         Lewis A, Vu P, Duch R. 2021年 Deepfakeの検出とコンテンツの警告。Evidence from two experiments.  The Royal Society(英国王立協会)。https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
Recommendations 提言
AREA FOR ACTION: PROTECTING ONLINE SAFETY  行動分野:オンラインの安全性を守る 
RECOMMENDATION 1 提言 1
As part of its online harms strategy, the UK Government must combat misinformation which risk societal harm as well as personalised harm, especially when it comes to a healthy environment for scientific communication. 英国政府は、オンライン上の有害性戦略の一環として、特に科学的コミュニケーションのための健全な環境に関して、個人的な有害性だけでなく、社会的な有害性をもたらす危険性のある誤った情報と闘わなければならない。
RECOMMENDATION 2 提言 2
Governments and social media platforms should not rely on content removal as a solution to online scientific misinformation. 政府とソーシャルメディア・プラットフォームは、オンラインでの科学的誤報の解決策として、コンテンツの削除に頼ってはならない。
RECOMMENDATION 3 提言 3
To support the UK’s nascent fact-checking sector, programmes which foster independence and financial sustainability are necessary. To help address complex scientific misinformation content and ‘information deserts’, fact checkers could highlight areas of growing scepticism or dispute, for deeper consideration by organisations with strong records in carrying out evidence reviews, such as the UK’s national academies and learned societies. 英国で生まれたばかりのファクトチェック部門を支援するためには、独立性と財政的な持続可能性を育成するプログラムが必要である。複雑な科学的誤報コンテンツや「情報砂漠」に対処するために、ファクトチェッカーは、懐疑的な意見や論争が高まっている分野を強調し、英国の国立アカデミーや学識経験者協会など、エビデンスレビューの実施に実績のある組織による検討を深めることができる。
RECOMMENDATION 4 提言 4
Ofcom must consider interventions for countering misinformation beyond high-risk, high-reach social media platforms. Ofcomは、高リスク・高リーチのソーシャルメディア・プラットフォーム以外の誤報に対抗するための介入方法を検討しなければならない。
RECOMMENDATION 5 提言 5
Online platforms and scientific authorities should consider designing interventions for countering misinformation on private messaging platforms. オンラインプラットフォームと科学的な当局は、プライベートメッセージングプラットフォーム上の誤報に対抗するための介入策を検討すべきである。
RECOMMENDATION 6 提言 6
Social media platforms should establish ways to allow independent researchers access to data in a privacy compliant and secure manner. ソーシャルメディアプラットフォームは、独立した研究者がプライバシーに準拠した安全な方法でデータにアクセスできるようにする方法を確立すべきである。
RECOMMENDATION 7 提言 7
Focusing solely on the needs of current online platforms risks a repetition of existing problems, as new, underprepared, platforms emerge and gain popularity. To promote standards and guide startups, interested parties need to collaborate to develop examples of best practice for countering misinformation as well as datasets, tools, software libraries, and standardised benchmarks. 現在のオンラインプラットフォームのニーズのみに焦点を当てると、準備不足の新しいプラットフォームが出現し、人気を博したときに、既存の問題が繰り返される危険性があります。標準化を進め、新興企業を導くためには、関係者が協力して、誤報対策のベストプラクティスの例や、データセット、ツール、ソフトウェアライブラリ、標準化されたベンチマークなどを開発する必要がある。
RECOMMENDATION 8 提言 8
Governments and online platforms should implement policies that support healthy and sustainable media plurality. 政府とオンラインプラットフォームは、健全で持続可能なメディアの多元性を支える政策を実施すべきである。
RECOMMENDATION 9 提言 9
The UK Government should invest in lifelong, nationwide, information literacy initiatives. 英国政府は、生涯にわたる、全国的な情報リテラシーの取り組みに投資すべきである。
RECOMMENDATION 10 提言 10
Academic journals and institutions should continue to work together to enable open access publishing of academic research. 学術雑誌と機関は、学術研究のオープンアクセス出版を可能にするために協力を続けるべきである。
RECOMMENDATION 11 提言 11
The frameworks governing electronic legal deposit should be reviewed and reformed to allow better access to archived digital content. 電子的な法的寄託を管理する枠組みを見直し、アーカイブされたデジタルコンテンツへのより良いアクセスを可能にするための改革を行うべきである。

| | Comments (0)

2022.01.25

NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

こんにちは、丸山満彦です。

NISTがFIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)を発行しましたね。。。

● NIST -ITL

・2022.01.24 (news) 

NIST Updates FIPS 201 Personal Identity Credential Standard NIST、個人認証基準FIPS 201を更新
The standard now goes beyond physical ID cards to include electronic tokens and one-time passwords. 物理的なIDカードだけでなく、電子トークンやワンタイムパスワードも含まれるようになりました。
NIST has increased the number of acceptable types of credentials that federal agencies can permit as official digital identity, part of the latest update to Federal Information Processing Standard (FIPS) 201. NISTは、Federal Information Processing Standard (FIPS) 201の最新の更新の一環として、連邦機関が公的なデジタル・アイデンティティとして許可できるクレデンシャルの種類を増やしました。
To ensure that federal employees have a broader set of modern options for accessing facilities and electronic resources, the National Institute of Standards and Technology (NIST) has increased the number of acceptable types of credentials that federal agencies can permit as official digital identity. 米国国立標準技術研究所(NIST)は、連邦政府職員が施設や電子リソースにアクセスする際の選択肢を広げるために、連邦政府機関が公式のデジタル・アイデンティティとして認められる認証情報の種類を増やしました。
The increase is part of the latest update to Federal Information Processing Standard (FIPS) 201, which specifies the credentials that can be used by federal employees and contractors to access federal sites. The update, formally titled FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors, also allows for remote identity proofing and issuing, in addition to doing so in-person as was previously required.  この増加は、連邦政府の職員や契約者が連邦政府のサイトにアクセスする際に使用できる認証情報を規定した連邦情報処理基準(FIPS)201の最新の更新の一環として行われたものです。正式名称を「FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)」とするこの更新では、これまで必要とされていた対面での認証に加えて、リモートでのID認証および発行も可能になりました。 
“We have expanded the set of credentials that can be used for gaining access to federal facilities and also for logging onto workstations and other IT resources,” said Hildegard Ferraiolo, a NIST computer scientist. “It’s not all about PIV cards anymore.” NISTのコンピュータ・サイエンティストであるヒルデガード・フェライオロ氏は、「連邦施設へのアクセスや、ワークステーションなどのITリソースへのログオンに使用できる認証情報の種類が増えました。もはやPIVカードがすべてではありません」と述べています。
The preceding FIPS standard, version 201-2, came out in 2013 and specified credentials embedded on PIV cards as the primary means for authentication, with limited exceptions for credentials designed for mobile devices that lacked PIV card readers. Millions of PIV cards have been issued to federal employees.  前回のFIPS標準であるバージョン201-2は2013年に発表され、PIVカードに埋め込まれたクレデンシャルを主要な認証手段として規定していましたが、PIVカード・リーダーを持たないモバイル機器用に設計されたクレデンシャルについては限定的な例外がありました。PIVカードは、連邦政府職員に何百万枚も発行されています。 
The 201-3 update, the result of a regular review cycle, still specifies that PIV cards can be used but now offers additional options. It keeps the standard aligned with the most recent federal policies, including the Office of Management and Budget’s Memorandum M-19-17 on identity, credential and access management. It also ensures that the standard reflects current technological capabilities and needs, Ferraiolo said. 「定期的な見直しサイクルの結果である 201-3 の更新は、PIV カードの使用を引き続き規定していますが、追加のオプションを提供しています。これにより、ID、クレデンシャルおよびアクセス管理に関する Office of Management and Budget's Memorandum M-19-17 などの最新の連邦政策に沿った規格が維持されます。また、現在の技術的な能力やニーズを反映した規格であることも確認しています」とフェライオロ氏は述べています。
“It has become important to provide more flexibility to agencies in choosing credentials to use for authentication,” she said. “Not all laptop computers are available with built-in PIV card slots, for example, and often, there are cloud-based applications that don’t use public-key infrastructure that PIV cards provide. For these situations we need alternatives.” 彼女は、「認証に使用するクレデンシャルを選択する際に、各政府機関に柔軟性を持たせることが重要になっています。例えば、すべてのラップトップ・コンピュータにPIVカード・スロットが内蔵されているわけではありませんし、PIVカードが提供する公開鍵基盤を使用しないクラウドベースのアプリケーションもよくあります。このような状況では、代替手段が必要です」と述べています。
The new options are a subset of credentials that are specified in NIST SP 800-63-3, a multivolume publication on digital identity. Branches of the government will have a richer set of multifactor credentials for different devices — including, for example, FIDO (Fast ID Online) tokens and one-time passwords (OTP). この新しいオプションは、デジタル・アイデンティティに関する複数の出版物であるNIST SP 800-63-3に規定されている資格情報のサブセットです。政府の各省庁は、例えばFIDO(Fast ID Online)トークンやワンタイムパスワード(OTP)など、さまざまなデバイスに対応した多要素認証情報をより豊富に持つことになります。
With the revision milestone now complete, the focus for NIST has shifted to providing additional guidelines and implementation details, Ferraiolo said. NIST is currently in the process of updating guidelines for the expanded set of PIV credentials in Revision 1 of NIST SP 800-157. Additionally, to ensure that different credentials are interoperable across different agencies, a concept known as “federation,” NIST will provide guidelines in NIST SP 800-217. 改訂のマイルストーンが完了したことで、NISTの焦点は、追加のガイドラインと実装の詳細を提供することに移ったと、フェライオロ氏は述べています。NISTは現在、NIST SP 800-157の改訂版1に掲載されている、拡張されたPIVクレデンシャルのガイドラインを更新しているところです。さらに、「フェデレーション」として知られる概念である、異なる機関間での異なるクレデンシャルの相互運用性を確保するために、NISTはNIST SP 800-217でガイドラインを提供する予定です。
Ferraiolo said these and other NIST publications associated with FIPS 201-3 would be updated in coming months.  フェライオロ氏は、FIPS 201-3に関連するこれらのNISTの出版物およびその他のNISTの出版物は、今後数ヶ月のうちに更新されるだろうと述べています。 
For more information, see the complete FIPS update, which is available online. 詳細については、オンラインで公開されているFIPSアップデートの全文をご覧ください。

 

・2022.01.24 (publication) FIPS 201-3 Personal Identity Verification (PIV) of Federal Employees and Contractors

FIPS 201-3 Personal Identity Verification (PIV) of Federal Employees and Contractors FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)
Abstract 概要
This document establishes a standard for a Personal Identity Verification (PIV) system that meets the control and security objectives of Homeland Security Presidential Directive-12. It is based on secure and reliable forms of identity credentials issued by the Federal Government to its employees and contractors. These credentials are used by mechanisms that authenticate individuals who require access to federally controlled facilities, information systems, and applications. This Standard addresses requirements for initial identity proofing, infrastructure to support interoperability of identity credentials, and accreditation of organizations and processes issuing PIV credentials. 本文書は、国土安全保障大統領指令 12 号の管理およびセキュリティ目標を満たすアイデンティティの検証 (PIV)システムの標準を確立するものである。これは、連邦政府がその職員および委託業者に発行する安全で信頼できる形態の ID クレデンシャルに基づいている。これらのクレデンシャルは、連邦政府が管理する施設、情報システム、およびアプリケーシンへのアクセスを必要とする個人を認証するメカニズムで使用される。この規格は、初期の ID 証明の要件、ID クレデンシャルの相互運用性をサポートするイン フラ、および PIV クレデンシャルを発行する組織およびプロセスの認定を扱っている。

 

・[PDF] FIPS 201-3

20220125-60421

1. Introduction  1. 序章
1.1 Purpose  1.1 目的
1.2 Scope  1.2 範囲
1.3 Change Management  1.3 変更管理
1.3.1 Backward Compatible Change  1.3.1 下位互換性のある変更
1.3.2 Backward Incompatible Change  1.3.2 下位互換性のない変更
1.3.3 New Features  1.3.3 新機能
1.3.4 Deprecated and Removed Features  1.3.4 非推奨および削除された機能
1.3.5 FIPS 201 Version Management  1.3.5 FIPS 201 バージョン管理
1.3.6 Section Number Stability  1.3.6 セクション番号安定性
1.4 Document Organization  1.4 文書構成
2. Common Identification, Security, and Privacy Requirements  2. 一般的な識別、セキュリティ、およびプライバシーの要件
2.1 Control Objectives  2.1 統制目標
2.2 Credentialing Requirements  2.2 資格要件
2.3 Biometric Data Collection for Background Investigations  2.3 身元調査のための生体データ収集
2.4 Biometric Data Collection for PIV Card  2.4 PIVカードのための生体データ収集
2.5 Biometric Data Use  2.5 生体データの利用
2.6 PIV Enrollment Records  2.6 PIV登録記録
2.7 PIV Identity Proofing and Registration Requirements  2.7 PIV本人確認および登録要件
2.7.1SupervisedRemoteIdentityProofing  2.7.1 監督下の遠隔ID証明
2.8 PIV Card Issuance Requirements  2.8 PIVカードの発行要件
2.8.1 Special Rule for Pseudonyms  2.8.1 仮名のための特別なルール
2.8.2 Grace Period  2.8.2 猶予期間
2.8.3 Remote Issuance  2.8.3 遠隔発行 
2.9 PIV Card Maintenance Requirements  2.9 PIVカードのメンテナンス要件
2.9.1 PIV Card Reissuance Requirements  2.9.1 PIVカードの再発行要件
2.9.2 PIV Card Post-Issuance Update Requirements  2.9.2 PIVカード発行後の更新要件
2.9.3 PIV Card Activation Reset  2.9.3 PIVカードのアクティベーションリセット
2.9.4 PIV Card Termination Requirements  2.9.4 PIVカードの解約条件
2.10 Derived PIV Credentials  2.1 派生PIVクレデンシャル
2.10.1 Derived PIV Credential Issuance Requirements  2.10.1 派生PIVクレデンシャル発行要件
2.10.2 Derived PIV Credential Invalidation Requirements  2.10.2 派生PIVクレデンシャル無効化要件
2.10.3 Derived PIV Credential Reissuance and Update Requirements 2.10.3 派生 PIV クレデンシャルの再発行および更新の要件
2.11 PIV Privacy Requirements 2.11 PIVプライバシーの要件
3. PIV System Overview 3. PIVシステムの概要
3.1 Functional Components 3.1 機能部品
3.1.1 PIV Front-End Subsystem 3.1.1  PIVフロントエンドサブシステム
3.1.2 PIV Issuance and Management Subsystem 3.1.2  PIV発行管理サブシステム
3.1.3 PIV Relying Subsystem 3.1.3  PIV依存サブシステム
3.2vPIV Card Lifecycle Activities 3.2 PIVカードのライフサイクル活動
3.3 Connections Between System Components 3.3 システムコンポーネント間の接続
4. PIV Front-End Subsystem 4. PIVフロントエンドサブシステム
4.1vPIVvCardPhysicalCharacteristics 4.1 PIVカードの物理的特性
4.1.1vPrintedMaterial 4.1.1  印刷素材
4.1.2vTamper-proofingandResistance 4.1.2  いたずら防止と耐性
4.1.3 Physical Characteristics and Durability 4.1.3  物理的特性と耐久性
4.1.4 Visual Card Topography 4.1.4  ビジュアルカードトポグラフィー
4.1.5 Color Representation 4.1.5  色規定
4.2 PIV Card Logical Characteristics 4.2 PIVカードの論理的特性
4.2.1 Cardholder Unique Identifier 4.2.1  カード所有者の一意の識別子
4.2.2 Cryptographic Specifications 4.2.2  暗号仕様
4.2.3 Biometric Data Specifications 4.2.3  生体データの仕様
4.2.4 PIV Unique Identifiers 4.2.4  PIVユニーク識別子
4.3 PIV Card Activation 4.3 PIVカードのアクティベーション
4.3.1 Activation by Cardholder 4.3.1  カード所有者によるアクティベーション
4.3.2 Activation by Card Management System 4.3.2  カード管理システムによるアクティベーション
4.4 Card Reader Requirements 4.4 カードリーダーの要件
4.4.1 Contact Reader Requirements 4.4.1  連絡先リーダーの要件
4.4.2 Contactless Reader Requirements 4.4.2  非接触型リーダーの要件
4.4.3 Reader Interoperability 4.4.3  リーダーの相互運用性
4.4.4 Card Activation Device Requirements 4.4.4  カードアクティベーションデバイスの要件
5. PIV Key Management Requirements 5. PIV キーマネジメントの要件
5.1 Architecture 5.1 アーキテクチャ
5.2 PKI Certificate 5.2 PKI証明書
5.2.1 X.509 Certificate Contents 5.2.1 X.509 証明書の内容
5.3 X.509 Certificate Revocation List Contents 5.3 X.509 証明書失効リスト 目次
5.4 Legacy PKIs 5.4 レガシーPKI
5.5 PKI Repository and Online Certificate Status Protocol Responders 5.5 PKI リポジトリとオンライン証明書ステータスプロトコルのレスポンダ
5.5.1 Certificate and CRL Distribution 5.5.1 証明書とCRLの配布
5.5.2 OCSP Status Responders 5.5.2 OCSPのステータス対応
6. PIV Cardholder Authentication 6. PIVカード所有者認証
6.1 PIV Assurance Levels 6.1 PIV保証レベル
6.1.1 Relationship to Federal Identity Policy 6.1.1 連邦政府のアイデンティティポリシーとの関係
6.2 PIV Card Authentication Mechanisms 6.2 PIVカード認証の仕組み
6.2.1 Off-Card Biometric One-to-One Comparison 6.2.1 オフカード生体認証マンツーマン比較
6.2.2 On-Card Biometric One-to-One Comparison 6.2.2 オンカード生体認証マンツーマン比較
6.2.3 PIV Asymmetric Cryptography 6.2.3 PIV非対称暗号
6.2.4 Symmetric Card Authentication Key 6.2.4 対称カード認証キー
6.2.5 CHUID 6.2.5 CHUID
6.2.6 PIV Visual Credentials 6.2.6 PIVビジュアルクレデンシャル
6.3 PIV Support of Graduated Authenticator Assurance Levels 6.3 PIVによる段階的な認証機能の保証レベルのサポート
6.3.1 Physical Access 6.3.1 物理的アクセス
6.3.2 Logical Access 6.3.2 論理的アクセス
7. Federation Considerations for PIV 7. PIVのためのフェデレーションの考慮
7.1 ConnectingPIVtoFederation 7.1 PIVとフェデレーションの接続
7.2 Federation Assurance Level 7.2 フェデレーション保証レベル
7.3 Benefits of Federation 7.3 フェデレーションのメリット
Appendix A. PIV Validation, Certification, and Accreditation 附属書 A PIVバリデーション、認証、認定
A.1 Accreditation of PIV Card Issuers and Derived PIV Credential Issuers A.1 PIV カード発行者および派生 PIV クレデンシャル発行者の認定
A.2 Application of Risk Management Framework to IT Systems A.2 リスクマネジメントフレームワークのITシステムへの適用
A.3 Conformance Testing of PIV Card Application and Middleware A.3 PIVカードアプリケーションとミドルウェアの適合性テスト
A.4 Cryptographic Testingand Validation A.4 暗号テストと検証
A.5 FIPS 201 Evaluation Program A.5 FIPS 201 評価プログラム
Appendix B. PIV Object Identifiers and Certificate Extension 附属書 B PIV オブジェクト識別子と証明書拡張
B.1 PIV Object Identifiers B.1 PIV オブジェクト識別子
B.2 PIV Background Investigation Indicator Certificate Extension B.2 PIV身元調査指標証明書の延長
Appendix C. Glossary of Terms, Acronyms, and Notations 附属書 C 用語集・略語・表記法
C.1 Glossary of Terms C.1 用語集
C.2 Acronyms and Abbreviations C.2 略語と略語
C.3 Notations C.3 記法
Appendix D. References 附属書 D 参考文献
Appendix E. Revision History 附属書 E 改訂履歴

 

 

Supplemental Material:

パブリックコメント版からの変更点

Summary of Changes 変更点の概要
FIPS 201-3 addresses the comments received during the public comment period in November 2020. High level changes include: FIPS 201-3は、2020年11月のパブリックコメント期間に寄せられたコメントに対応しています。変更点の概要は以下の通りです。
・Alignment with current NIST technical guidelines on identity management, OMB policy guidelines, and changes in commercially available technologies and services ・アイデンティティ管理に関する現行の NIST 技術ガイドライン、OMB 政策ガイドライン、および商業的に 利用可能な技術とサービスの変化との整合性
・Accommodation of additional types of authenticators through an expanded definition of derived PIV credentials ・派生する PIV クレデンシャルの定義を拡大することにより、追加のタイプの認証機関への対応
・Focus on the use of federation to facilitate interoperability and interagency trust ・相互運用性および省庁間の信頼を促進するためのフェデレーションの使用に重点を置くこと
・Addition of supervised remote identity proofing processes ・監督されたリモート ID 証明プロセスの追加
・Removal of the previously deprecated Cardholder Unique Identifier (CHUID) authentication mechanism and deprecation of the symmetric card authentication key and visual authentication mechanisms (VIS) ・以前に廃止されたカード所有者固有識別子(CHUID)認証メカニズムの削除、対称カード認証キーおよび視覚的認証メカニズム(VIS)の廃止
・Support for the secure messaging authentication mechanism (SM-AUTH) ・セキュアメッセージング認証メカニズム(SM-AUTH)のサポート

 

Related NIST Publications:


 

まるちゃんの情報セキュリティ気まぐれ日記

パブコメ...

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

 

関連文書のドラフトなど...

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

 

 

| | Comments (0)

2022.01.24

米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

こんにちは、丸山満彦です。

バイデン大統領は、国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書に署名をしましたね。。。

 

● White House

・2022.01.19 Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems

 

Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書
NATIONAL SECURITY MEMORANDUM/NSM-8 国家安全保障メ覚書/NSM-8
MEMORANDUM FOR THE VICE PRESIDENT 副大統領のための覚書
               THE SECRETARY OF STATE                国務長官
               THE SECRETARY OF THE TREASURY                財務長官
               THE SECRETARY OF DEFENSE                国防長官
               THE ATTORNEY GENERAL                司法長官
               THE SECRETARY OF COMMERCE                商務長官
               THE SECRETARY OF ENERGY                エネルギー庁長官
               THE SECRETARY OF HOMELAND SECURITY                国土安全保障省長官
               THE DIRECTOR OF THE OFFICE OF MANAGEMENT AND BUDGET                管理・予算局長官
               THE DIRECTOR OF NATIONAL INTELLIGENCE                国家情報長官
               THE DIRECTOR OF THE CENTRAL INTELLIGENCE AGENCY                中央情報局長官
               THE ASSISTANT TO THE PRESIDENT FOR NATIONAL SECURITY AFFAIRS                大統領補佐官(国家安全保障問題担当
               THE COUNSEL TO THE PRESIDENT                大統領顧問
               THE ASSISTANT TO THE PRESIDENT AND HOMELAND SECURITY ADVISOR AND DEPUTY NATIONAL SECURITY ADVISOR                大統領補佐兼国土安全保障担当顧問および国家安全保障担当副顧問
               THE NATIONAL CYBER DIRECTOR                国家サイバー長官
               THE DIRECTOR OF THE NATIONAL SECURITY AGENCY                国家安全保障局長官
               THE DIRECTOR OF THE FEDERAL BUREAU OF INVESTIGATION                連邦捜査局長官
               THE DIRECTOR OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY                サイバーセキュリティ・インフラセキュリティ庁長官
               THE CHIEF INFORMATION OFFICER OF THE INTELLIGENCE COMMUNITY                情報コミュニティの最高情報責任者
SUBJECT:       Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems 件名:国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティの改善
This memorandum sets forth requirements for National Security Systems (NSS) that are equivalent to or exceed the cybersecurity requirements for Federal Information Systems set forth within Executive Order 14028 of May 12, 2021 (Improving the Nation’s Cybersecurity), and establishes methods to secure exceptions for circumstances necessitated by unique mission needs.  Executive Order 14028 establishes that the Federal Government must improve its efforts to identify, deter, protect against, detect, and respond to malicious cyber campaigns and their actors through bold changes and significant investments in cybersecurity.  This memorandum establishes and clarifies additional authority and responsibilities of the Director of the National Security Agency (NSA) in connection with the National Manager responsibilities for NSS assigned to the Director of the NSA by National Security Directive 42 of July 5, 1990 (National Policy for the Security of National Security Telecommunications and Information Systems) (NSD-42), Executive Order 12333 of December 4, 1981, as amended (United States Intelligence Activities), and Executive Order 14028. 本覚書は、国家安全保障システム(NSS)について、2021年5月12日付の大統領令14028(国家のサイバーセキュリティ向上)で定められた連邦情報システムのサイバーセキュリティ要件と同等以上の要件を定め、固有のミッションニーズによって必要とされる状況のために例外を確保する方法を確立するものである。  大統領令14028は、連邦政府が、サイバーセキュリティへの大胆な変化と多額の投資を通じて、悪意のあるサイバーキャンペーンとその行為者の特定、抑止、防御、検知、対応の取り組みを改善しなければならないことを定めている。  本覚書は、1990年7月5日付の国家安全保障指令42(国家安全保障通信情報システムのセキュリティのための国家政策)(NSD-42)、1981年12月4日付の大統領令12333の改正(米国の諜報活動)、および大統領令14028によってNSA長官に割り当てられたNSSの国家管理者責任に関連して、国家安全保障局(NSA)長官の追加権限と責任を確立し、明確にするものである。
Consistent with Executive Order 14028, NSS shall include those systems defined as NSS in 44 U.S.C. 3552(b)(6) as well as all other Department of Defense and Intelligence Community systems, as described in 44 U.S.C. 3553(e)(2) and 3553(e)(3). 大統領令 14028 に従い、NSS には、44 U.S.C. 3552(b)(6)で NSS と定義されているシステムのほか、44 U.S.C. 3553(e)(2)および 3553(e)(3)に記載されているその他すべての国防総省および情報コミュニティのシステムが含まれるものとする。
     Section 1.  Implementation of Executive Order 14028 for National Security Systems.       第1条  国家安全保障システムに対する大統領令14028の実施  
     (a)  Sections 1 and 2 of Executive Order 14028 shall apply in their entirety to NSS, except that the authorities exercised by the Director of the Office of Management and Budget and the Secretary of Homeland Security in section 2 shall be exercised by the National Manager with respect to NSS.      (a) 大統領令14028の第1条と第2条は、第2条で行政管理予算局長官と国土安全保障長官が行使した権限を、NSSに関しては国家管理者が行使することを除き、NSSに全面的に適用されるものとする。
     (b)  Consistent with section 3 of Executive Order 14028:      (b) 大統領令14028の第3条に準拠している。
          (i)    Within 90 days of the date of this memorandum, the Committee on National Security Systems (CNSS) shall develop and publish guidance, in addition to CNSS Instruction (CNSSI) 1253, regarding minimum security standards and controls related to cloud migration and operations for NSS, taking into account migration steps that the National Institute of Standards and Technology (NIST) within the Department of Commerce has outlined in standards and guidance.           (i) 本覚書の日付から90日以内に、国家安全保障システム委員会(CNSS)は、CNSS命令(CNSSI)1253に加えて、商務省内の国立標準技術研究所(NIST)が基準やガイダンスで概説している移行手順を考慮して、NSSのクラウド移行と運用に関連する最低限のセキュリティ基準と管理に関するガイダンスを策定し、公表する。
          (ii)   Within 60 days of the date of this memorandum, the head of each executive department or agency (agency) that owns or operates an NSS shall, consistent with its statutory authority:           (ii)この覚書の日付から60日以内に、NSSを所有または運用する各行政省庁(機関)の長は、その法的権限に沿って、以下のことを行わなければならない。
               (A)  update existing agency plans to prioritize resources for the adoption and use of cloud technology, including adoption of Zero Trust Architecture as practicable;                (A) ゼロトラストアーキテクチャの採用を含め、クラウド技術の採用と使用のためのリソースを優先するために、既存の省庁計画を更新する。
               (B)  develop a plan to implement Zero Trust Architecture, which shall incorporate, as appropriate:                (B)ゼロトラストアーキテクチャを実施するための計画を策定し、必要に応じてこれを取り入れる。
                     (1)  NIST Special Publication 800-207 Guidance (Zero Trust Architecture);                      (1) NIST SP 800-207 ゼロトラストアーキテクチャ ガイダンス
                     (2)  CNSS instructions on Zero Trust Reference Architectures; and                      (2) ゼロトラスト・リファレンス・アーキテクチャーに関するCNSSの指示
                     (3)  Other relevant CNSS instructions, directives, and policies regarding enterprise architectures, insider threats, and access management; and                      (3) エンタープライズ・アーキテクチャ、インサイダー脅威、アクセス管理に関する、その他の関連するCNSSの指示、指令、政策
               (C)  provide a report to the CNSS and National Manager discussing the plans required pursuant to section 1(b)(ii)(A) and (B) of this memorandum.                (C) 本覚書の第1条(b)(ii)(A)および(B)に従って要求される計画について、CNSSおよび国家管理者に報告書を提出する。
          (iii)  Within 180 days of the date of this memorandum, agencies shall implement multifactor authentication and encryption for NSS data-at-rest and data-in-transit.  In those instances where the head of an agency determines the agency is unable to implement these measures, the head of the agency shall authorize an exception pursuant to the process provided in section 3 of this memorandum.           (iii) 本覚書の日付から180日以内に、各省庁は、NSSのデータの保存先と転送中のデータに対して、多要素認証と暗号化を実施しなければならない。  省庁の長がこれらの手段を実施できないと判断した場合には、省庁の長は本覚書の第3条に規定されたプロセスに従って例外を承認するものとする。
          (iv)   To ensure widespread cryptographic interoperability among NSS, all agencies shall use NSA‑approved, public standards-based cryptographic protocols.  If mission-unique requirements preclude the use of public standards-based cryptographic protocols, NSA-approved mission unique protocols may be used.  An agency shall not authorize new systems to operate that do not use approved encryption algorithms and implementations, absent an exception authorized by the head of an agency pursuant to section 3 of this memorandum.           (iv) NSS間の広範な暗号の相互運用性を確保するために、すべての省庁はNSAが承認した公的標準に基づく暗号プロトコルを使用するものとする。  ミッション固有の要件により、公的な標準ベースの暗号プロトコルの使用が不可能な場合は、NSA承認のミッション固有のプロトコルを使用することができる。  省庁は、この覚書の第3条省庁に従って省庁の長が承認した例外がない限り、承認された暗号アルゴリズムと実装を使用しない新しいシステムの運用を許可してはならない。
               (A)  Within 30 days of the date of this memorandum, the NSA shall review CNSS Policy 15 and provide to CNSS any updates or modifications regarding the approved list of commercial national security algorithms (CNSA).                (A) 本覚書の日付から30日以内に、NSAはCNSSポリシー15をレビューし、商業国家安全保障アルゴリズム(CNSA)の承認リストに関する更新または修正をCNSSに提供する。
               (B)  Within 60 days of the date of this memorandum, the NSA shall revise and make available to Chief Information Officers the CNSS Advisory Memorandum 01-07 (Information Assurance Cryptographic Equipment Modernization) and any associated enclosures and relevant references regarding modernization planning, use of unsupported encryption, approved mission unique protocols, quantum resistant protocols, and planning for use of quantum resistant cryptography where necessary.                (B) 本覚書の日付から60日以内に、NSAは、CNSS アドバイザリー・メモランダム 01-07(情報保証用暗号機器の近代化)と、近代化計画、サポートされていない暗号の使用、承認されたミッション固有のプロトコル、耐量子性プロトコル、および必要に応じて耐量子性暗号の使用計画に関する関連する同封物および関連文献を改訂し、最高情報責任者が利用できるようにする。
               (C)  Within 90 days of the date of this memorandum, CNSS shall identify and prioritize for update all cryptographic-related policies, directives, and issuances, and CNSS shall provide to the Secretary of Defense, the Director of National Intelligence, and the National Manager a timeline, not to exceed 6 months, for the re-issuance of these policies, as appropriate.                (C)本覚書の日付から90日以内に、CNSSは、すべての暗号関連の政策、指令、発行物を特定し、更新の優先順位をつけなければならず、CNSSは、必要に応じて、これらの政策の再発行のための6か月を超えないスケジュールを、国防長官、国家情報長官、および国家管理者に提供しなければならない。
               (D)  Within 180 days of the date of this memorandum, agencies shall identify any instances of encryption not in compliance with NSA-approved Quantum Resistant Algorithms or CNSA, where appropriate in accordance with section 1(b)(iv)(A) and (B) of this memorandum, and shall report to the National Manager, at a classification level not to exceed TOP SECRET//SI//NOFORN:                (D) 本覚書の日付から180日以内に、各省庁は、本覚書の第1条(b)(iv)(A)(B)に従って適切な場合には、NSAが承認した耐量子アルゴリズムまたはCNSAに準拠していない暗号化の事例を特定し、TOP SECRET//SI//NOFORNを超えない分類レベルで、国家管理者に報告しなければならない。
                     (1)  systems where non-compliant encryption is being used, to include those operating under an existing waiver or exception;                      (1) 非準拠の暗号化が使用されているシステム(既存の免除または例外の下で運用されているものを含む)。
                     (2)  a timeline to transition these systems to use compliant encryption, to include quantum resistant encryption; and                      (2)これらのシステムを、耐量子暗号を含む準拠した暗号化に移行するためのスケジュール。
                     (3)  any exception from transition to compliant encryption, pursuant to section 3 of this memorandum, which shall additionally be reviewed by the National Manager and reported quarterly to the Secretary of Defense and the Director of National Intelligence for the systems within their respective jurisdictions.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.                      (3) 本覚書の第3条に基づく、準拠した暗号化への移行に関する例外措置。この例外措置は、さらに国家管理者によって検討され、それぞれの管轄区域内のシステムについて、四半期ごとに国防長官と国家情報長官に報告される。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、共有リスクが共同で決定された場合、他の関連省庁を含めることができる。
          (v)    Within 90 days of the date of this memorandum, the National Manager shall, in coordination with the Director of National Intelligence, the Director of the Central Intelligence Agency, the Director of the Federal Bureau of Investigation, and the heads of appropriate elements of the Department of Defense, develop a framework to coordinate and collaborate on cybersecurity and incident response activities related to NSS commercial cloud technologies that ensures effective information sharing among agencies, the National Manager, and Cloud Service Providers (CSP).           (v) 本覚書の日付から90日以内に、国家管理者は、国家情報長官、中央情報局長官、連邦捜査局長官、国防総省の適切な部門の長と連携して、省庁、国家管理者、クラウドサービスプロバイダー(CSP)間での効果的な情報共有を保証する、NSS商用クラウド技術に関連するサイバーセキュリティおよびインシデント対応活動を調整・協力する枠組みを策定するものとする。
               (A)  The National Manager, in coordination with the Secretary of Homeland Security, shall ensure that, as provided in the framework, there is a Federal unity of effort and collaboration between the Secretary of Homeland Security and the National Manager on commercial CSP-cybersecurity and incident management, consistent with each agency’s responsibilities for Federal Civilian Executive Branch (FCEB) and NSS cybersecurity, and to ensure rapid and thorough end-to-end risk mitigation across CSP environments.                (A) 国家管理者は、国土安全保障長官と連携して、フレームワークに規定されているように、国土安全保障長官と国家管理者との間で、商業CSPのサイバーセキュリティ及びインシデント管理について、連邦政府文民執行部(FCEB)及びNSSのサイバーセキュリティに対する各省庁の責任に沿った連邦の統一的な取り組み及び協力体制を確保し、CSP環境全体の迅速かつ徹底したエンド・ツー・エンドのリスク軽減を図るものとする。
               (B)  The National Manager shall ensure that the final version of the framework is coordinated with the Director of National Intelligence, the Director of the Central Intelligence Agency, the Director of the Federal Bureau of Investigation, and the heads of appropriate elements of the Department of Defense.                (B) 国家管理者は、フレームワークの最終版が、国家情報長官、中央情報局長官、連邦捜査局長官、国防総省の適切な部門の責任者と調整されることを確認する。

     (c)  Consistent with section 4 of Executive Order 14028:      (c) 大統領令 14028の第4条に準拠する。
          (i)    Except as otherwise authorized by law, or by an exception authorized by the heads of agencies pursuant to section 3 of this memorandum, agencies shall adhere to the standards developed under section 4 of Executive Order 14028 for any software intended to be used on NSS for which this category of software is applicable.           (i) 法律で別途認められている場合や、本覚書の第3条に基づいて各省庁の長が認めた例外を除き、各省庁は、NSSで使用することを目的としたソフトウェアのうち、このカテゴリーのソフトウェアが適用されるものについては、大統領令14028の第4条に基づいて策定された基準を遵守しなければならない。
          (ii)   Within 60 days of the date of this memorandum, the National Manager shall, in coordination with the Secretary of Defense and the Director of National Intelligence, review the guidance issued by the Office of Management and Budget pursuant to section 4(i) of Executive Order 14028 and shall issue similar guidance.           (ii) 本覚書の日付から60日以内に、国家管理者は、国防長官および国家情報長官と連携して、行政管理予算局が大統領令14028条第4条(i)に基づいて発行した指針を検討し、同様の指針を発行するものとする。
          (iii)  Agencies may request from the National Manager an extension to the time period associated with satisfaction of the applicable requirements issued in section 1(c)(ii) of this memorandum, which will be considered by the National Manager on a case-by-case basis and only with an accompanying plan for satisfying requirements.  The National Manager shall provide a quarterly report to the Secretary of Defense and the Director of National Intelligence of all extensions granted for the systems within their respective jurisdictions and the justifications for doing so.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.           (iii) 各省庁は、本覚書の第1条(c)(ii)に記載された該当する要件の充足に関連する期間の延長を、ナショナル・マネージャーに要求することができる。この場合、ナショナル・マネージャーはケースバイケースで検討し、要件を充足するための計画が付随している場合にのみ対応する。  国家管理者は、国防長官および国家情報長官に対し、それぞれの管轄区域内のシステムに認められたすべての延長と、その正当な理由について、四半期ごとに報告を行う。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。
     (d)  Section 6 of Executive Order 14028 shall apply to NSS owners and operators, utilizing the National Manager to review and validate agencies’ incident response and remediation results upon an agency’s completion of its incident response pursuant to section 6(f) of Executive Order 14028.      (d) 大統領令第 14028 条第6条は、NSS の所有者及び運営者に適用され、大統領令第 14028 条第6条 (f) に基づいて省庁がインシデント対応を完了した際に、国家管理者を活用して、省庁のインシデント対応及び修復の結果を確認し、検証する。
     (e)  Section 7 of Executive Order 14028 shall apply to NSS owners and operators where specifically referenced within the Executive Order, with additional requirements as described in section 2(b) of this memorandum.      (e) 大統領令 14028 の第7条は、大統領令の中で特に言及されている場合、NSS の所有者と運用者に 適用され、本覚書の第2条(b)に記載されている追加要件が適用される。
     (f)  Within 14 days of the date of this memorandum the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall provide to the CNSS recommendations as described in section 8(b) of Executive Order 14028.      (f) 本覚書の日付から14日以内に、国家管理者は、国防長官及び国家情報長官と連携して、大統領令14028 第8条 (b) に記載されている提言をCNSSに提供する。
          (i)   Within 90 days of receipt of the recommendations issued pursuant to section 1(f) of this memorandum, the CNSS shall formulate policies for agencies to establish such requirements, which shall ensure centralized access and visibility for the highest level of security operations center of each agency.           (i) 本覚書の第1条 (f) に基づいて出された提言を受け取ってから90日以内に、CNSSは、各省庁の最高レベルのセキュリティ・オペレーション・センターの集中的なアクセスと可視性を確保するために、各省庁がそのような要件を確立するための方針を策定する。
          (ii)  To assist in the response to known or suspected compromise of an NSS, recommendations issued pursuant to section 1(f) of this memorandum shall include requirements that agencies will allow access, upon request, to logs by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.           (ii) NSSの既知または疑わしい侵害への対応を支援するために、この覚書の第1条 (f) に従って発行された勧告には、国家管理者と省庁の長または被指名人との間で合意されたように、省庁が要求に応じて、特定の指名された個人による、または特定のNSAサイバー防衛ミッションの役割に基づいて、ログへのアクセスを許可するという要件を含めるものとする。
     Sec. 2.  National Manager Authorities Relating to National Security Systems.       第2条.  国家安全保障システムに関連する国家管理者の権限。
     (a)  Designation and Identification of National Security Systems.       (a) 国家安全保障システムの指定及び識別。
          (i)    The National Manager shall facilitate the designation of NSS across the Federal Government.  Each agency shall remain responsible for identification, designation, accreditation, and protection of all NSS under its ownership or control, including those NSS operated and/or maintained on behalf of the agency.  The National Manager may, on a periodic basis, request access to NSS information regarding the designation and identification of such systems from agencies operating NSS.           (i) 国家管理者は、連邦政府全体でNSSの指定を促進する。  各省庁は、その所有または管理下にあるすべてのNSS(その省庁に代わって運用および/または維持されているNSSを含む)の識別、指定、認定、および保護について、引き続き責任を負うものとする。  国家管理者は、定期的に、NSSを運用する省庁に対して、当該システムの指定および識別に関するNSS情報へのアクセスを要求することができる。
          (ii)   Within 30 days of the date of this memorandum, the National Manager shall develop a process for assisting agencies with identifying and inventorying those information systems that do or should likely constitute NSS, and shall issue guidance to support agencies in making these determinations to agency Chief Information Officers.  NSS shall be inventoried at a level of detail sufficient to understand community-wide cybersecurity risk, as determined by the National Manager, and such information may not exceed a classification level of TOP SECRET//SI//NOFORN.           (ii) 本覚書の日付から30日以内に、国家管理者は、NSSを構成している、または構成する可能性が高い情報システムを特定し、目録を作成することについて、省庁を支援するためのプロセスを開発し、省庁の最高情報責任者にこれらの決定を支援するためのガイダンスを発行しなければならない。  NSSは、国家管理者が決定するように、コミュニティ全体のサイバーセキュリティリスクを理解するのに十分な詳細レベルでインベントリ化されなければならず、そのような情報は、TOP SECRET//SI//NOFORNの分類レベルを超えてはならない。
          (iii)  Within 90 days of the date of this memorandum, agencies shall identify and maintain an inventory of those systems designated as NSS through the process designated in section 2(a)(ii) of this memorandum.  Agencies shall retain their own inventory subject to access by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.           (iii) 本覚書の日付から90日以内に、各省庁は、本覚書の第2条(a)(ii)で指定されたプロセスを通じて、NSSとして指定されたシステムのインベントリーを特定し、維持するものとする。  各省庁は、国家管理者と省庁の長または被指名人との間で合意されたとおり、特定の指名された個人によるアクセスを条件として、または特定のNSAサイバー防衛ミッションの役割に基づいて、独自のインベントリを保持するものとする。
          (iv)   If the National Manager has concerns regarding the determination as to whether a system constitutes an NSS, the National Manager shall engage the head of the relevant agency in order to resolve the designation.  If the National Manager and the head of the agency are unable to achieve a mutually acceptable resolution, the National Manager may request that the head of the agency report the disagreement to the Secretary of Defense and the Director of National Intelligence for further consideration for systems within their respective jurisdictions.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.           (iv) 国家管理者が、システムがNSSを構成するかどうかの判断に関して懸念を持つ場合、国家管理者は、指定を解決するために関連省庁の長に関与するものとする。  国家管理者と関連省庁の長が、相互に受け入れ可能な解決策を達成できない場合、国家管理者は、関連省庁の長が、それぞれの管轄内のシステムについてさらなる検討を行うために、意見の相違を国防長官および国家情報長官に報告するよう要請することができる。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、共有リスクが共同で決定された場合、他の関連省庁を含めることができる。
          (v)    Once a system has been identified and designated as an NSS, notification to the National Manager and to the Secretary of Defense and the Director of National Intelligence, for systems within their respective jurisdictions, will be required to re-designate those systems as non-NSS.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.           (v) システムがNSSとして特定・指定された後、それらのシステムを非NSSとして再指定するためには、国家管理者への通知、並びにそれぞれの管轄区域内のシステムについては国防長官及び国家情報長官への通知が必要となる。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。
     (b)  Incident Reporting.      (b) インシデント報告
          (i)    To facilitate threat detection and response, as well as an overall understanding of the cybersecurity status of NSS, an agency shall, upon agency detection, or upon report by a contractor (including an information and communications technology service provider) or other Federal or non-Federal entity, of a known or suspected compromise or otherwise unauthorized access to NSS, report such compromise or unauthorized access to the National Manager through the appropriate Federal Cyber Center or other designated central department point of contact.  Agencies shall also provide relevant information to the National Manager pursuant to the policies developed in accordance with section 1(f) of this memorandum.           (i) 脅威の検知および対応、ならびにNSSのサイバーセキュリティ状況の全体的な理解を促進するために、省庁は、省庁が検知した場合、または請負業者(情報通信技術サービス・プロバイダーを含む)もしくはその他の連邦または非連邦組織から、NSSへの既知または疑いのある侵害またはその他の不正アクセスの報告を受けた場合、適切な連邦サイバーセンターまたはその他の指定された中央部門の連絡先を通じて、当該侵害または不正アクセスを国家管理者に報告するものとする。  また、各省庁は、本覚書の第1条(f)に従って策定されたポリシーに従って、国家管理者に関連情報を提供するものとする
          (ii)   Agencies shall, upon detection or report to the agency, also report to the National Manager, through their appropriate Federal Cyber Center or other designated central department point of contact, any compromise or unauthorized access of a network hosting a Cross Domain Solution (CDS) when one side of the CDS connects to NSS operated by or on behalf of the agency.           (ii) 省庁は、CDSの片側が省庁によってまたは省庁を代表して運用されるNSSに接続する際に、クロスドメインソリューション(CDS)をホストするネットワークの危殆化または不正アクセスがあった場合、発見または省庁への報告時に、適切な連邦サイバーセンターまたは他の指定された中央部門の連絡先を通じて、国家管理者にも報告するものとする。
          (iii)  Within 90 days of the date of this memorandum, the National Manager, in coordination with the Director of National Intelligence and the Director of the Central Intelligence Agency, shall establish procedures for reporting known or suspected compromises of NSS or otherwise unauthorized access of NSS, which shall include:           (iii) 本覚書の日付から90日以内に、国家管理者は、国家情報長官および中央情報局長官と連携して、既知または疑わしいNSSの危殆化、またはその他のNSSへの不正アクセスを報告するための手順を確立するものとし、これには以下が含まれる。
               (A)  thresholds, required information, and other criteria;                (A) 閾値、必要な情報、およびその他の基準
               (B)  emergency procedures if an imminent threat to NSS is detected;                (B) NSSに対する差し迫った脅威が検出された場合の緊急手順
               (C)  timeliness expectations regarding initiation of response activities by the affected agency;                (C) 影響を受ける省庁による対応活動の開始に関する期待される適時性
               (D)  threat and compromise reporting mechanisms between the National Manager and affected agencies;                (D)国家管理者と影響を受ける省庁との間の脅威及び妥協の報告メカニズム
               (E)  expectations of the National Manager’s protection and handling of any information received pursuant to this section, to include any considerations regarding the protection of intelligence sources and methods and the conduct of counterintelligence investigations;                (E) 情報源および方法の保護、防諜調査の実施に関する考慮事項を含む、本項に従って受領した情報の国家管理者による保護および取り扱いに関する期待
               (F)  expectations for advising the Secretary of Defense and the Director of National Intelligence for systems within their respective jurisdictions of instances where agencies have failed to report a known or suspected compromise of NSS; and                (F)国防長官と、それぞれの管轄区域内のシステムの国家情報長官に、各省庁がNSSの既知または疑わしい侵害の報告を怠った事例を知らせるための期待事項
               (G)  procedures for the National Manager, in coordination with and only after engaging the system owner, to include other relevant agencies if a shared risk is jointly determined.                (G)国家管理者が、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクが共有されていると共同で判断した場合に、他の関連省庁を含めるための手順
          (iv)   The recipients of any reporting required by this section may be limited to specified named individuals or, based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.  In exceptional cases where the head of the agency deems it advisable to limit reporting in order to protect intelligence sources and methods, counterintelligence investigations, or law enforcement sensitive information, the reporting may be retained by the agency subject to the National Manager access described in section 2(a)(iii) of this memorandum.           (iv) 本条で要求される報告の受領者は、特定の指名された個人に限定されるか、NSAのサイバー防衛ミッションの特定の役割に基づいて、国家管理者と省庁の長または被指名人との間で合意されたものとすることができる。  省庁の長が、情報源と方法、防諜調査、または法執行機関の機密情報を保護するために、報告を制限することが望ましいと考える例外的なケースでは、本覚書の第2条(a)(iii)に記載されている国家管理者のアクセス権に従い、報告を省庁が保持することができる。
     (c)  National Manager Directives.      (c) 国家管理者の指示
          (i)    Emergency Directives.  In response to a known or reasonably suspected information security threat, vulnerability, or incident that represents a substantial threat to the information security of NSS, or intelligence of adversary capability and intent to target NSS, the National Manager may issue a National Manager Emergency Directive to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, to take any lawful action with respect to the operation of that NSS, as defined in this memorandum, including such systems used or operated by another entity on behalf of an agency, for the purpose of protecting the NSS from, or mitigating, the threat, vulnerability, or risk.           (i) 緊急指令。  NSSの情報セキュリティに対する実質的な脅威となる、既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、または事件、またはNSSを標的とする敵対者の能力と意図に関する情報に対応して、国家管理者は、省庁の最高情報責任者を通じて、省庁の長に国家管理者緊急指令を発行することができる。脅威、脆弱性、またはリスクからNSSを保護する、または軽減する目的で、この覚書で定義されているNSS(他の事業体が省庁に代わって使用または運用しているシステムを含む)の運用に関して、合法的な行動をとるよう、省庁の長に国家管理者緊急指令を発行することができる。
          (ii)   Binding Operational Directives.  For the purposes of safeguarding NSS from a known or reasonably suspected information security threat, vulnerability, or risk, the National Manager may, in coordination with the Secretary of Defense and the Director of National Intelligence, for the systems within their respective jurisdictions, issue a National Manager Binding Operational Directive to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, to take any lawful action with respect to the operation of that NSS, as defined in this memorandum, including such systems used or operated by another entity on behalf of an agency, for the purpose of protecting the NSS from, or mitigating, the threat, vulnerability, or risk.  Additionally, the National Manager may issue, on a periodic or ad hoc basis, requests to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, for information suitable for reporting the overall cybersecurity posture of that agency’s NSS.           (ii) 拘束力のある運用指示書。  既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、またはリスクからNSSを保護する目的で、国家管理者は、国防長官および国家情報長官と連携して、それぞれの管轄区域内のシステムについて、国家管理者拘束力のある業務指令を各省庁の長に発行することができる。その省庁の最高情報責任者、最高情報セキュリティ責任者、またはその省庁の長が指定した役員を通じて、脅威、脆弱性、またはリスクからNSSを保護する、または軽減する目的で、この覚書で定義されているNSS(他の省庁が当該省庁に代わって使用または運用しているシステムを含む)の運用に関して、あらゆる合法的な行動をとることができる。  さらに、国家管理者は、定期的又は臨時に、省庁の最高情報責任者、最高情報セキュリティ責任者、又は省庁の長が指名する責任者を通じて、省庁の長に対し、当該省庁のNSSの全体的なサイバーセキュリティの態勢を報告するのに適した情報の提供を求めることができる。
          (iii)  Implementing Procedures.  Within 30 days of the date of this memorandum, the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall establish procedures governing the circumstances under which a directive may be issued under this subsection, which shall include:           (iii) 手続きの実施。  本覚書の日付から30日以内に、国家管理者は、国防長官および国家情報長官と連携して、本款に基づいて指令を発することができる状況を規定する手順を確立しなければならないが、これには以下が含まれる。
               (A)  thresholds and other criteria;                (A) 閾値およびその他の基準
               (B)  provision of notice to potentially affected third parties;                (B) 潜在的に影響を受ける第三者への通知の提供
               (C)  reasons for the required action and the duration of the directive;                (C) 必要とされる行動の理由と指令の期間
               (D)  privacy and civil liberties protections;                (D) プライバシーと市民的自由の保護
               (E)  adoption of measures to secure the NSS that have a minimal impact on operations under the circumstances; and                (E)状況に応じて運用への影響を最小限に抑えたNSSのセキュリティ対策を採用すること
               (F)  limiting directives to the shortest period practicable.                (F) 指令を実行可能な最短期間に限定すること
          (iv)   Notification and Assistance.  The National Manager shall notify, in writing, the head of any affected agency, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence immediately upon the issuance of an Emergency Directive or Binding Operational Directive, and shall provide technical and operational assistance to the implementing agency.           (iv) 通知と支援。  国家管理者は、緊急指令または拘束力のある運用指令が発行された場合、直ちに、影響を受ける省庁の長、国防長官、国土安全保障長官、国家情報長官に書面で通知し、実施省庁に技術的・運用的な支援を提供する。
          (v)    Coordination and Alignment of Directives.  To ensure alignment between National Manager directives for NSS and FCEB information systems directives, the National Manager and the Secretary of Homeland Security, in coordination with the Secretary of Defense and the Director of National Intelligence, shall:           (v) 指令の調整と整合性。  NSSの国家管理者指令とFCEBの情報システム指令の整合性を確保するために、国家管理者と国土安全保障長官は、国防長官および国家情報長官と連携して、以下を行うものとする。
               (A)  within 60 days of the date of this memorandum, establish procedures for the National Manager and the Secretary of Homeland Security to immediately share with each other National Manager Binding Operational Directives and Emergency Directives, and Department of Homeland Security Emergency Directives and Binding Operational Directives, applying to the information networks within their respective jurisdictions.  The procedures shall adequately address applicable information-sharing guidelines, including protections for classified information, protection of intelligence sources and methods, and protection of information originated by other agencies;                (A) 本覚書の日付から60日以内に、国家管理者と国土安全保障長官が、それぞれの管轄内の情報ネットワークに適用される国家管理者の拘束力のある運用指令と緊急指令、および国土安全保障省の緊急指令と拘束力のある運用指令を相互に直ちに共有するための手順を確立する。  この手順は、機密情報の保護、情報源と方法の保護、他の省庁から発信された情報の保護など、適用される情報共有のガイドラインに適切に対応するものでなければならない。
               (B)  evaluate whether to adopt any requirements or guidance contained in a directive received pursuant to the procedures established under section 2(c)(v)(A) of this memorandum, consistent with law, Executive Orders, Federal regulations, and directives concerning the sharing of classified information; and                (B) 機密情報の共有に関する法律、大統領令、連邦規則、および指令との整合性を保ちつつ、本覚書第2条 (c)(v)(A)に基づいて確立された手順に従って受領した指令に含まれる要件または指針を採用するかどうかを評価する。
               (C)  within 7 days of receiving notice of a directive issued pursuant to the procedures established under section 2(c)(v)(A) of this memorandum, notify the Assistant to the President for National Security Affairs (APNSA) or their designee of the evaluation described in section 2(c)(v)(B) of this memorandum, the determination of whether to adopt the requirements or guidance contained in the directive received, the rationale for that determination, and a timeline for adoption of the requirements or guidance, if applicable.                (C) 本覚書の第2条 (c)(v)(A)に基づいて制定された手順に従って発行された指令の通知を受け取ってから7日以内に、国家安全保障問題担当大統領補佐官(APNSA)またはその被指名人に、本覚書の第2条 (c)(v)(B)に記載された評価、受け取った指令に含まれる要件または指針を採用するかどうかの決定、その決定の根拠、および要件または指針の採用のスケジュール(該当する場合)を通知する。
     (d)  Cross Domain Solutions.      (d) クロスドメインソリューション (CDS)
          (i)    As CDS separate and enable controlled exchange of information between different security domains, they are vital NSS that require centralized visibility.           (i) CDS は、異なるセキュリティ・ドメイン間の情報交換を分離し、制御可能にするものであり、集中的な可視性を必要とする重要な NSS である。
          (ii)   In operating the National Cross Domain Strategy and Management Office (NCDSMO), the National Manager shall be the focal point for NSS cross domain capabilities and mission needs, and shall:           (ii) 国家クロスドメイン戦略管理局(NCDSMO) を運営するにあたり、国家管理者は、NSSのクロスドメイン能力とミッションニーズの中心となり、以下のことを行うものとする。
               (A)  serve as the principal advisor to NSS owners for cross domain capabilities;                (A) クロスドメイン能力に関するNSS所有者の主要アドバイザーとしての役割を果たす。
               (B)  develop and maintain community outreach programs and forums;                (B) 地域社会への働きかけプログラムとフォーラムを開発し、維持する。
               (C)  develop and establish improved security solutions, remote management and monitoring, cyber defense, filtering requirements, and standards and technologies for CDS; and                (C) 改良されたセキュリティ・ソリューション、遠隔管理・監視、サイバー・ディフェンス、フィルタリング要件、CDSの標準・技術を開発・確立すること。
               (D)  operate the cross domain security testing program to ensure uniform comprehensive testing.                (D) クロスドメインセキュリティテストプログラムを運営し、均一で包括的なテストを実施する。
          (iii)  Within 60 days of the date of this memorandum, the National Manager, in coordination with the Chief Information Officer of the Intelligence Community, shall issue a directive to all agencies operating a CDS connected to NSS to make available information regarding those deployments and shall establish timelines for the collection and receipt of this information, requiring that agencies shall:           (iii) 本覚書の日付から60日以内に、国家管理者は、情報コミュニティの最高情報責任者と連携して、NSSに接続されたCDSを運用しているすべての省庁に対し、それらの配備に関する情報を公開するよう指示を出し、この情報の収集と受領のためのタイムラインを設定し、省庁が以下を行うことを要求するものとする。
               (A)  verify that logs from CDS, supporting systems, and connected systems are collected and archived by agencies, sufficient to support investigation and incident response activities, as well as ensuring the logs are intact and machine-readable, and making access to that information available to the National Manager consistent with section 2(b) of this memorandum;                (A) 調査およびインシデント対応活動を支援するのに十分な、CDS、サポートシステム、接続システムからのログが省庁によって収集され、アーカイブされていることを検証するとともに、ログが無傷で機械読み取り可能であることを確認し、本覚書の第2条(b)に準拠して、その情報へのアクセスを国家管理者に提供すること。
               (B)  validate that the latest authorized patches have been installed for deployed CDS;                (B) 配備されたCDSに最新の認可されたパッチがインストールされていることを検証する。
               (C)  report on the status of upgrading to the Raise-the-Bar (RTB) compliant version of their CDS; and                (C) CDSのRTB(Rise-the-Bar)準拠バージョンへのアップグレード状況を報告する。
               (D)  update or develop plans of actions and milestones for all CDS installations to comply with NCDSMO CDS security requirements and provide these plans to the National Manager, to include identified funding barriers which may prevent RTB compliance.                (D) NCDSMOのCDSセキュリティ要件に準拠するために、全てのCDSの設置に関する行動計画及びマイルストーンを更新又は作成し、RTB準拠を妨げる可能性のある特定の資金的障害を含めて、これらの計画を国家管理者に提供する。
          (iv)   Within 90 days of the date of this memorandum, the heads of relevant agencies shall establish and maintain CDS deployment inventory for all CDS deployments within their jurisdiction, subject to access by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.  In coordination with the Secretary of Defense and the Director of National Intelligence, the National Manager shall define essential elements of information required to maintain an accurate inventory not to exceed a classification level of TOP SECRET//SI//NOFORN, shall define initial and ongoing agency reporting expectations, and shall provide a process to CDS owners for reporting and updating as required.           (iv) 本覚書の日付から90日以内に、関連省庁の長は、国家管理者と省庁の長または被指名人との間で合意されたように、特定の指名された個人によるアクセスの対象となる、または特定のNSAサイバー防衛ミッションの役割に基づく、その管轄内のすべてのCDS配備のためのCDS配備目録を確立し、維持する。  国防長官および国家情報長官と連携して、国家管理者は、TOP SECRET//SI//NOFORNの分類レベルを超えない範囲で正確なインベントリを維持するために必要な情報の必須要素を定義し、初期および継続的な省庁の報告の期待を定義し、CDS所有者に必要な報告および更新のプロセスを提供する。
     Sec. 3.  Exceptions.        第3条  例外 
     (a)  Whenever the head of an agency determines that unique mission needs necessitate any NSS or category of NSS to be excepted from any provisions of Executive Order 14028 or this memorandum, the head of the agency may authorize such exceptions, provided that such exceptions may only be authorized with respect to:      (a) 特有の任務上の必要性から、NSS または NSS のカテゴリーを大統領令14028 または本覚書の規定から除外する必要があると省庁の長が判断した場合、省庁の長はかかる例外を許可することができる。
          (i)    systems that facilitate the support or conduct of military, intelligence, or sensitive law enforcement activities where the head of the agency determines that implementation of these requirements is not practicable or is contrary to national security;           (i) 軍事、諜報、または機密性の高い法執行活動の支援または実施を促進するシステムで、これらの要件の実施が現実的ではない、または国家安全保障に反すると省庁の長が判断するもの
          (ii)   systems for which attribution to the United States Government is obscured and for which this attribution would be reasonably endangered due to implementation of these requirements; or           (ii) 米国政府への帰属が不明瞭なシステムで、本要件の実施により帰属が合理的に危うくなるもの
          (iii)  information systems or software procured for vulnerability research, testing, or evaluation purposes that are not intended for use in agency operational networks.           (iii) 脆弱性の研究、テスト、または評価を目的として調達された情報システムまたはソフトウェアで、省庁の運用ネットワークでの使用を意図していないもの
     (b)  If the head of an agency elects to authorize an exception under section 3(a) of this memorandum, the head of the agency shall notify the National Manager and shall provide:      (b) 省庁の長が本覚書の第3条(a)に基づく例外を承認することを選択した場合、省庁の長は国家管理者に通知し、以下を提供しなければならない。
          (i)    a general description as to the function of the system or systems at issue;           (i) 問題となっているシステムの機能についての一般的な説明
          (ii)   the reasoning for accepting the enhanced cybersecurity risk resulting from the exception;           (ii) 例外の結果として生じるサイバーセキュリティ・リスクの強化を受け入れる理由
          (iii)  a description of the likely mission impact, and agency response, were this NSS to be compromised; and           (iii) このNSSが侵害された場合に想定されるミッションへの影響と省庁の対応についての記述
          (iv)   attestation that all practicable means of risk mitigation have been, or will be, implemented.           (iv) リスクを軽減するためのすべての実用的な手段が実施された、または実施される予定であることの証明
     (c)  In order to ensure that the National Manager maintains awareness of additional cybersecurity risk across NSS, the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall, within 30 days of the date of this memorandum:      (c) 国家管理者がNSS全体の追加的なサイバーセキュリティリスクに対する認識を維持するために、国家管理者は、国防長官および国家情報長官と連携して、本覚書の日付から30日以内に、以下を行うものとする。
          (i)   publish an exception provision process to include:  reporting timeline expectations; formats; allowance for categories of systems that may be grouped together within a single exception; and other required elements of information, to include those elements described in section 3(b) of this memorandum.  Exceptions shall be sufficiently detailed to establish and maintain an appropriate level of community-wide risk awareness and appropriately abridged to protect sensitive intelligence sources or methods, and classification shall not exceed TOP SECRET//SI//NOFORN; and           (i) 以下を含む例外規定プロセスを公表する。報告のタイムラインの期待値、フォーマット、1つの例外にまとめられるシステムのカテゴリーの許容範囲、および本覚書の第3条(b)に記載されている要素を含むその他の必要な情報の要素。  例外は、コミュニティ全体の適切なレベルのリスク認識を確立・維持するために十分に詳細でなければならず、また、機密性の高い情報源や手法を保護するために適切に簡略化されていなければならず、分類はTOP SECRET//SI//NOFORNを超えてはならない。
          (ii)  coordinate with agencies to establish an authoritative repository for each agency to maintain a consolidated inventory of all exceptions that agency has authorized, subject to access by specified named individuals or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.           (ii) 国家管理者と省庁の長または被指名人との間で合意されたとおり、特定の指名された個人によるアクセスを条件として、または特定のNSAサイバー防衛ミッションの役割に基づいて、各省庁が承認したすべての例外の統合インベントリーを維持するために、各省庁のための信頼できるリポジトリを確立するために、各省庁と調整する。
     (d)  Chief Information Officers of agencies shall retain internal records regarding system exceptions sufficiently detailed to perform effective and timely identification and mitigation of any cybersecurity issues that may impact these systems.      (d) 省庁の最高情報責任者は、これらのシステムに影響を与える可能性のあるサイバーセキュリティの問題を効果的かつタイムリーに特定及び緩和するために、十分に詳細なシステム例外に関する内部記録を保持しなければならない。
     (e)  If the National Manager and the head of an agency cannot agree on the sufficiency of exception rationale, description of impacts, response, sufficiency of mitigations, or overall acceptance of increased risk, the National Manager shall request that the head of the agency report the disparity to the Secretary of Defense and the Director of National Intelligence for further consideration with respect to systems within their respective jurisdictions.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.      (e) 国家管理者と省庁の長が、例外の根拠、影響の説明、対応、緩和策の十分性、またはリスク増加の全体的な受け入れについて合意できない場合、国家管理者は、省庁の長が国防長官と国家情報長官にその不一致を報告し、それぞれの管轄内のシステムに関してさらなる検討を行うよう要請する。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。
     Sec. 4.  Summary of NSS Policy Creation or Adjustment Actions.        第4条 NSS ポリシーの作成または調整アクションの概要  
Within 90 days of the date of this memorandum, the CNSS, in consultation with the National Manager, shall review this memorandum and deliver to the APNSA a summary of NSS policy creation or adjustment actions and their timeline for implementation.  This summary will include any additional items not previously directed within this memorandum to the National Manager or agencies. 本覚書の日付から90日以内に、CNSSは国家管理者と協議の上、本覚書を検討し、NSS政策の作成または調整行為の概要およびその実施時期をAPNSAに提出する。  この要約には、本覚書の中で以前に国家管理者または各省庁に指示されていない追加項目が含まれる。
     Sec. 5.  General Provisions.     第5条 一般規定
     (a)  This memorandum is intended to supplement NSD-42.      (a)本覚書は、NSD-42を補完することを目的とする。
     (b)  Nothing in this memorandum shall be construed to alter or supersede:      (b) 本覚書のいかなる部分も、以下を変更または優先すると解釈してはならない。
          (i)   the authority granted by law to an executive department or agency, or the head thereof, to include the protection of intelligence sources and methods; or             (i) 情報源と情報方法の保護を含む、行政省庁またはその長に法律で認められた権限
          (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.           (ii) 予算案、行政案、立法案に関連する行政管理予算局長官の機能
     (c)  Nothing in this memorandum confers the authority to interfere with or to direct a counterintelligence, personnel, criminal, or national security investigation, arrest, search, seizure, or disruption operation or to alter a legal restriction that requires an agency to protect information learned in the course of a counterintelligence, personnel, criminal, or national security investigation.      (c) 本覚書のいかなる内容も、防諜、人事、刑事、国家安全保障に関する調査、逮捕、捜索、押収、破壊活動を妨害したり、指示したりする権限や、防諜、人事、刑事、国家安全保障に関する調査の過程で知り得た情報を保護することを省庁に要求する法的制限を変更する権限を付与するものではない。
     (d)  This memorandum shall be implemented in a manner consistent with applicable law and shall be subject to the availability of appropriations.  No implementation measures shall impede the conduct or support of intelligence activities, and all such implementation measures shall be designed to protect intelligence sources and methods.      (d)本覚書は、適用される法律に沿った方法で実施されるものとし、予算の有無に応じて実施されるものとする。  いかなる実施策も、情報活動の実施または支援を妨げてはならず、そのような実施策はすべて、情報源と方法を保護するように設計されなければならない。
     (e)  This memorandum is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.      (e) 本覚書は、米国、その省庁、省庁、事業体、その役員、従業員、代理人、またはその他の者に対して、法律上または衡平法上で執行可能な、実体的または手続き上のいかなる権利または利益も創出することを意図したものではなく、またそうするものでもない。
                               JOSEPH R. BIDEN JR.                                ジョセフ・R・バイデン・Jr.

Fig1_20210802074601

 


報道

● Air Force Magazine

・2022.01.20 White House’s Cyber Plan ‘Raises the Bar’ for Securing DOD Computer Systems

Security Boulevard

・2022.01.21 Biden Signs Authority for NSS to NSA: Think CISA for Military, Intel Systems

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

大統領令14028の記事

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

大統領令14028関連の記事

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.09.09 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

 

| | Comments (0)

2022.01.23

米国 CISA TIC3.​​0に関するIPV6ガイダンスを発表

こんにちは、丸山満彦です。

CISAがTIC3.​​0に関するIPV6ガイダンスを公表されていますね。。。連邦政府の各省庁がIPv6に移行する際に、TIC 3.0の実装に関連するセキュリティ上の考慮事項を提供するものですね。。。

CISA

・2022.01.20 CISA RELEASES FINALIZED IPV6 GUIDANCE ON TIC 3.0

CISA RELEASES FINALIZED IPV6 GUIDANCE ON TIC 3.0 CISA、TIC 3.0に関するIPV6ガイダンスの最終版を発表
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) released the finalized “IPv6 Considerations for TIC 3.0” guidance document today, providing federal departments and agencies with security considerations related to TIC 3.0 implementation as they transition to IPv6. ワシントン - Cybersecurity and Infrastructure Security Agency(CISA)は、本日、ガイダンス文書「IPv6 Considerations for TIC 3.0」の最終版を公開しました。これは、連邦政府の各省庁がIPv6に移行する際に、TIC 3.0の実装に関連するセキュリティ上の考慮事項を提供するものです。
The Trusted Internet Connection (TIC) initiative was originally established to consolidate network connections throughout the federal government, limiting the number of threat vectors and increasing security. In its modernized form, TIC 3.0 is designed to account for shifts to cloud computing and other architectures. While the federal government embraces TIC 3.0, the internet as a whole is undergoing a shift to IPv6. IPv6 is the next generation of IP standards slated to replace the current IPv4. An IP address is a numerical identifier assigned to every device that connects to the internet. This IPv6 guidance is intended to broadly support the government-wide deployment and use of the IPv6 network protocol. This document explains the background of IPv6, lists security considerations for the protocol in relation to TIC 3.0 security capabilities, and provides awareness of IPv6 security features according to the TIC 3.0 guidance. TIC(Trusted Internet Connection)は、連邦政府内のネットワーク接続を統合することで、脅威のベクトルの数を減らし、セキュリティを向上させることを目的に設立されました。TIC 3.0は、クラウドコンピューティングやその他のアーキテクチャへの移行を考慮して設計されています。連邦政府がTIC 3.0を採用する一方で、インターネット全体ではIPv6への移行が進んでいます。IPv6は、現在のIPv4に代わる次世代のIP規格です。IPアドレスとは、インターネットに接続するすべての機器に割り当てられる数字の識別子です。このIPv6ガイダンスは、政府全体でのIPv6ネットワークプロトコルの展開と利用を広くサポートすることを目的としています。本文書では、IPv6の背景を説明し、TIC3.0のセキュリティ機能に関連したプロトコルのセキュリティ上の考慮点を挙げ、TIC3.0ガイダンスに従ったIPv6のセキュリティ機能の認識を提供しています。
“To keep pace with fast-moving technology, the federal government is expanding and enhancing its strategic commitment to IPv6,” said Eric Goldstein, Executive Assistant Director of Cybersecurity, CISA. “With our federal partners, we thoroughly reviewed and assessed public comment to ensure this finalized guidance informs and prepares federal agencies on how to properly implement the IPv6. We greatly appreciate every person and organization that took the time to provide comment, which reflects the community’s focus on strong and usable security practices and CISA’s commitment to robust partnership.” CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、以下のように述べています。「急速に変化するテクノロジーに対応するため、連邦政府はIPv6への戦略的コミットメントを拡大・強化しています。連邦政府のパートナーとともに、パブリックコメントを徹底的に検討・評価し、この最終版ガイダンスが連邦政府機関にIPv6を適切に実装する方法を伝え、準備させることができました。このコメントは、強力で使いやすいセキュリティ対策を重視するコミュニティの姿勢と、強固なパートナーシップを目指すCISAのコミットメントを反映したものであり、時間を割いてコメントを寄せてくださったすべての方々に感謝しています。」
The finalized version reflects the inclusion of feedback provided during the public comment period that ended in October 2021. In partnership with OMB, the General Services Administration (GSA), and the Federal Chief Information Security Officers (CISO) Council TIC Subcommittee, CISA adjudicated feedback and revised the draft “IPv6 Considerations for TIC 3.0” to create this finalized version. 今回の最終版には、2021年10月に終了したパブリックコメント期間中に寄せられた意見が反映されています。CISAは、OMB、General Services Administration(GSA)、Federal Chief Information Security Officers(CISO) Council TIC Subcommitteeとのパートナーシップのもと、フィードバックを審査し、「IPv6 Considerations for TIC 3.0」のドラフトを改訂し、今回の最終版を作成しました。
A summary of the feedback provided, as well as CISA’s response, is available in a fact sheet, “Response to Comments: IPv6 Considerations for TIC 3.0.” CISA recognizes that this is just a starting point for agencies transitioning to IPv6. CISA will continue to work with the Federal IPv6 Task Force to support agencies in this transition. 寄せられた意見の概要とCISAの対応については、ファクトシート「Response to Comments: IPv6 Considerations for TIC 3.0」にまとめられています。 CISAは、これがIPv6に移行する省庁にとって出発点に過ぎないことを認識しています。CISAは、Federal IPv6 Task Forceと協力して、各省庁のIPv6への移行をサポートしていきます。

 

・[PDF]

20220123-65137

目次のようなもの...

INTRODUCTION イントロダクション
PURPOSE 目的
SCOPE 範囲
ASSUMPTIONS AND CONSTRAINTS 前提条件と制約条件
PROTOCOL HISTORY プロトコルの歴史
PROTOCOL BENEFITS プロトコルの利点
PROTOCOL IMPACTS ON TIC 3.0 TIC 3.0におけるプロトコルの影響
TIC OBJECTIVES AND SECURITY CAPABILITIES TICの目的とセキュリティ機能
PROTOCOL SECURITY CONSIDERATIONS AND TIC 3.0 MAPPING プロトコルのセキュリティに関する考察とTIC3.0へのマッピング
CONCLUSION 結論

 

参考

● CISA - Cybersecurity - Securing Federal Networks - Trusted Internet Connections - TIC Guidance

 

The TIC 3.0 core guidance TIC 3.0コアガイダンス    
Volume 1: Program Guidebook v1.1  第1巻:プログラムガイドブック v1.1  Outlines the modernized TIC program and includes its historical context 近代化されたTICプログラムの概要とその歴史的背景の説明
 Volume 2: Reference Architecture v1.1  第2巻:リファレンス・アーキテクチャ v1.1 Defines the concepts of the program to guide and constrain the diverse implementations of the security capabilities プログラムのコンセプトの定義、セキュリティ機能の多様な実装の指針と制約
 Volume 3: Security Capabilities Catalog v2.0  第3巻:セキュリティ機能カタログ v2.0 Indexes security capabilities relevant to TIC TICに関連するセキュリティ機能のインデックス
 Volume 4: Use Case Handbook v1.1  第4巻:ユースケース・ハンドブック v1.1 Introduces use cases, which describe an implementation of TIC for each identified use 特定された用途ごとにTICの実装を記述したユースケースの紹介
 Volume 5: Overlay Handbook v1.1  第5巻:オーバーレイ・ハンドブック v1.1 Introduces overlays, which map the security functions of a vendor to the TIC capabilities ベンダーのセキュリティ機能をTIC機能にマッピングしたオーバーレイの紹介
 Use Case Handbook  ユースケースハンドブック    
Traditional TIC Use Case v1.0 従来のTICのユースケース v1.0 Describes the architecture and security capabilities guidance for the conventional TIC implementation 従来のTIC実装のためのアーキテクチャとセキュリティ機能のガイダンスについての説明
Branch Office Use Case v1.0 支局のユースケース v1.0 Describes the architecture and security capabilities guidance for remote offices 支局向けのアーキテクチャとセキュリティ機能のガイダンスについての説明
Remote User Use Case v1.0 リモートユーザーの使用例 v1.0 Describes the architecture and security capabilities guidance for remote users リモートユーザー向けのアーキテクチャとセキュリティ機能のガイダンスについての説明

 

 

 

| | Comments (0)

2022.01.22

NIST SP 800-121 Rev. 2 Bluetoothセキュリティガイド

こんにちは、丸山満彦です。

NISTがSP 800-121 Rev. 2 Bluetoothセキュリティガイドを公表していますね。。。

NIST - ITL

・2022.01.19 SP 800-121 Rev. 2 Guide to Bluetooth Security

SP 800-121 Rev. 2 Guide to Bluetooth Security SP 800-121 Rev. 2 Bluetoothセキュリティガイド
Abstract 概要
Bluetooth wireless technology is an open standard for short-range radio frequency communication used primarily to establish wireless personal area networks (WPANs), and has been integrated into many types of business and consumer devices. This publication provides information on the security capabilities of Bluetooth and gives recommendations to organizations employing Bluetooth wireless technologies on securing them effectively. The Bluetooth versions within the scope of this publication are versions 1.1, 1.2, 2.0 + Enhanced Data Rate (EDR), 2.1 + EDR, 3.0 + High Speed (HS), 4.0, 4.1, and 4.2. Versions 4.0 and later support the low energy feature of Bluetooth. Bluetoothワイヤレス技術は、主にワイヤレスパーソナルエリアネットワーク(WPAN)を構築するために使用される短距離無線周波数通信のオープンスタンダードであり、多くの種類のビジネス機器やコンシューマ機器に組み込まれています。本書は、Bluetoothのセキュリティ機能に関する情報を提供するとともに、Bluetooth無線技術を採用する企業に対して、効果的なセキュリティ対策を推奨しています。本書の対象となるBluetoothのバージョンは、バージョン1.1、1.2、2.0 + EDR(Enhanced Data Rate)、2.1 + EDR、3.0 + HS(High Speed)、4.0、4.1、4.2です。バージョン4.0以降は、Bluetoothの低エネルギー機能をサポートしています。

 

・[PDF]  SP 800-121 Rev. 2

20220121-225411

 

Executive Summary  エグゼクティブ サマリー
Bluetooth is an open standard for short-range radio frequency (RF) communication. Bluetooth wireless technology is used primarily to establish wireless personal area networks (WPANs). Bluetooth has been integrated into many types of business and consumer devices, including cell phones, laptops, automobiles, medical devices, printers, keyboards, mice, headsets, and, more recently, medical devices and personal devices (such as smart watches, music speakers, home appliances, fitness monitors, and trackers). This allows users to form ad hoc networks between a wide variety of devices to transfer voice and data. This document provides an overview of Bluetooth wireless technology and discusses related security concerns.  Bluetoothは、近距離無線通信のオープンスタンダードです。Bluetoothの無線技術は、主にワイヤレス・パーソナル・エリア・ネットワーク(WPAN)の構築に使用されています。Bluetoothは、携帯電話、ノートパソコン、自動車、医療機器、プリンター、キーボード、マウス、ヘッドセット、さらに最近では、医療機器やパーソナル機器(スマートウォッチ、ミュージックスピーカー、家電製品、フィットネスモニター、トラッカーなど)を含む多くの種類のビジネス機器やコンシューマー機器に組み込まれています。これにより、ユーザーはさまざまな機器間でアドホックネットワークを形成し、音声やデータを転送することができます。この文書では、Bluetoothワイヤレス技術の概要を説明し、関連するセキュリティ上の懸念事項について述べています。
Several Bluetooth versions are currently in use in commercial devices, while the most current version can be found at bluetooth.com. At the time of writing, Bluetooth 4.0 (adopted June 2010) is the most prevalent. The most recent versions include Bluetooth 4.1 and Bluetooth 4.2. Bluetooth 4.1 (adopted December 2013) improved the strengths of the Basic Rate/Enhanced Data Rate (BR/EDR) technology cryptographic key, device authentication, and encryption by making use of Federal Information Processing Standard (FIPS)-approved algorithms. Bluetooth 4.2 (adopted December 2014) improved the strength of the low energy technology cryptographic key by making use of FIPS-approved algorithms, and provided means to convert BR/EDR technology keys to low energy technology keys and vice versa. This publication addresses the security of all versions of Bluetooth.  現在、市販の機器ではいくつかのバージョンのBluetoothが使用されており、最新のバージョンはbluetooth.comで確認できます。この記事を書いている時点では、Bluetooth 4.0(2010年6月採用)が最も普及しています。最新のバージョンには、Bluetooth 4.1とBluetooth 4.2があります。Bluetooth 4.1(2013年12月採択)では、FIPS(Federal Information Processing Standard)承認のアルゴリズムを利用することで、BR/EDR(Basic Rate/Enhanced Data Rate)技術の暗号鍵、デバイス認証、暗号化の強みを改善した。Bluetooth 4.2(2014年12月採択)では、FIPS承認のアルゴリズムを利用して低エネルギー技術の暗号鍵の強度を向上させ、BR/EDR技術の鍵を低エネルギー技術の鍵に、またはその逆に変換する手段を提供しています。本書は、すべてのバージョンのBluetoothのセキュリティに対応しています。 
Bluetooth wireless technology and associated devices are susceptible to general wireless networking threats, such as denial of service (DoS) attacks, eavesdropping, man-in-the-middle (MITM) attacks, message modification, and resource misappropriation. They are also threatened by more specific attacks related to Bluetooth wireless technology that target known vulnerabilities in Bluetooth implementations and specifications. Attacks against improperly secured Bluetooth implementations can provide attackers with unauthorized access to sensitive information and unauthorized use of Bluetooth devices and other systems or networks to which the devices are connected.  Bluetooth無線技術および関連機器は、DoS攻撃、盗聴、中間者(MITM)攻撃、メッセージの改ざん、リソースの不正利用など、一般的な無線ネットワークの脅威の影響を受けやすい。また、Bluetoothの実装や仕様に存在する既知の脆弱性を狙った、Bluetooth無線技術に関連するより具体的な攻撃にも脅かされています。不適切に保護されたBluetooth実装への攻撃は、攻撃者に機密情報への不正アクセスや、Bluetooth機器および機器が接続されている他のシステムやネットワークの不正使用をもたらします。
To improve the security of Bluetooth implementations, organizations should implement the following recommendations:  Bluetooth実装のセキュリティを向上させるために、組織は以下の推奨事項を実施する必要があります。
Organizations should use the strongest Bluetooth security mode that is available for their Bluetooth devices.  組織は、使用するBluetooth機器で利用可能な最も強力なBluetoothセキュリティモードを使用する必要があります。
The Bluetooth specifications define several security modes, and each version of Bluetooth supports some, but not all, of these modes. The modes differ primarily by the point at which the device initiates security; hence, these modes define how well they protect Bluetooth communications and devices from potential attack. Some security modes have configurable security level settings which affect the security of the connections.  Bluetoothの仕様では、いくつかのセキュリティモードが定義されており、Bluetoothの各バージョンでは、これらのモードのすべてではなく一部をサポートしています。これらのモードは、主にデバイスがセキュリティを開始するポイントによって異なります。したがって、これらのモードは、Bluetooth通信およびデバイスを潜在的な攻撃からどの程度保護するかを定義しています。いくつかのセキュリティモードは、接続のセキュリティに影響を与える、設定可能なセキュリティレベルの設定を持っています。
For Bluetooth 4.1 devices that have BR, EDR, and High Speed (HS) features, Security Mode 4, Level 4 is recommended because it requires Secure Connections, which uses authenticated pairing and encryption using 128-bit strength keys generated using FIPS-approved Advanced Encryption Standard (AES) encryption. For Bluetooth 2.1 through 4.0 devices, Security Mode 4, Level 3 is the most secure, and for Bluetooth 2.0 and older devices Security Mode 3 is recommended. Security Modes 2 and 4 can also use authentication and encryption, but do not initiate them until after the Bluetooth physical link has already been fully established and logical channels partially established. Security Mode 1 devices never initiate security and therefore should never be used.  BR、EDR、およびHigh Speed(HS)機能を搭載したBluetooth 4.1機器では、Secure Connectionsが必要となるため、セキュリティモード4、レベル4を推奨します。このモードでは、認証されたペアリングと、FIPS承認のAdvanced Encryption Standard(AES)暗号を用いて生成された128ビット強度の鍵による暗号化が使用されます。Bluetooth 2.1~4.0デバイスでは、セキュリティモード4、レベル3が最も安全であり、Bluetooth 2.0およびそれ以前のデバイスでは、セキュリティモード3が推奨されます。セキュリティモード2と4は、認証と暗号化を使用することもできますが、Bluetoothの物理リンクがすでに完全に確立され、論理チャネルが部分的に確立されるまでは、これらを開始しません。セキュリティモード1のデバイスは、セキュリティを開始しないため、絶対に使用しないでください。 
For the low energy feature of Bluetooth (introduced in Version 4.0 and updated in 4.1 and 4.2), Security Mode 1 Level 4 is the strongest mode because it requires authenticated low energy Secure Connections pairing with Elliptic Curve Diffie-Hellman (ECDH) based encryption. Security Mode 1 Level 3 requires authenticated pairing and encryption but does not use ECDH-based cryptography and thus provides limited eavesdropping protection due to weak encryption. Other security modes/levels allow unauthenticated pairing (meaning no MITM protection is provided during cryptographic key establishment), and some do not require any security at all.  Bluetoothの低エネルギー機能(バージョン4.0で導入され、4.1および4.2で更新された)では、セキュリティモード1レベル4は、楕円曲線Diffie-Hellman(ECDH)ベースの暗号化を伴う認証された低エネルギーSecure Connectionsのペアリングを必要とするため、最も強力なモードです。セキュリティモード1レベル3は、認証されたペアリングと暗号化を必要としますが、ECDHベースの暗号化を使用しないため、暗号化が弱く、限られた盗聴保護しかできません。その他のセキュリティモード/レベルでは、認証されないペアリングが可能であり(つまり、暗号鍵の確立時にMITM防御が行われない)、セキュリティを全く必要としないものもあります。 
The available modes vary based on the Bluetooth specification version supported by the device, so organizations should choose the most secure mode available for each case.  利用可能なモードは、デバイスがサポートするBluetooth仕様のバージョンによって異なるため、組織は、それぞれのケースで利用可能な最も安全なモードを選択する必要があります。
Organizations should address Bluetooth wireless technology in their security policies and change default settings of Bluetooth devices to reflect the policies.  組織は、セキュリティポリシーでBluetooth無線技術を取り上げ、Bluetoothデバイスのデフォルト設定を変更して、ポリシーを反映させる必要があります。
A security policy that defines requirements for Bluetooth security is the foundation for all other Bluetooth related countermeasures. The policy should include a list of approved uses for Bluetooth, a list of the types of information that may be transferred over Bluetooth networks, and, if they are used, requirements for selecting and using Bluetooth personal identification numbers (PINs).[1] A baseline configuration for Bluetooth default settings should accompany the security policy. The checklist in Table 4-2 provides a “Technical Recommendations” section which may be used as a guide. After establishing a Bluetooth security policy, organizations should ensure that Bluetooth devices’ default settings are reviewed and changed as needed so that they comply with the security policy requirements. For example, a typical requirement is to disable unneeded Bluetooth profiles and services to reduce the number of vulnerabilities that attackers could attempt to exploit. When available, a centralized security policy management approach should be used to ensure device configurations are compliant.  Bluetoothのセキュリティに関する要件を定義したセキュリティポリシーは、他のすべてのBluetooth関連対策の基礎となります。ポリシーには、承認されたBluetoothの用途、Bluetoothネットワークを介して転送される可能性のある情報の種類のリスト、および使用される場合にはBluetoothの個人識別番号(PIN)の選択および使用に関する要件を含める必要があります[1]。 セキュリティポリシーには、Bluetoothのデフォルト設定のベースライン構成を添付する必要があります。表4-2のチェックリストには、「技術的推奨事項」の項目があり、これを参考にすることができる。Bluetoothセキュリティポリシーを策定した後、組織は、Bluetoothデバイスのデフォルト設定を見直し、必要に応じてセキュリティポリシーの要件に準拠するように変更する必要があります。例えば、典型的な要件は、攻撃者が悪用しようとする脆弱性の数を減らすために、不要なBluetoothプロファイルおよびサービスを無効にすることです。可能であれば、集中型のセキュリティ・ポリシー管理手法を用いて、デバイスの設定が準拠していることを確認する必要があります。 
Organizations should ensure that their Bluetooth users are made aware of their security related responsibilities regarding Bluetooth use.  組織は、BluetoothユーザーがBluetoothの使用に関するセキュリティ関連の責任を認識していることを確認する必要があります。 
Annual required security awareness programs should be updated to include Bluetooth security policy guidelines. A security awareness program helps educate and train users to follow security practices that protect the assets of an organization and prevent security incidents. For example, users should be provided with a list of precautionary measures they should take to better protect handheld Bluetooth devices from theft. Users should also be made aware of other actions to take regarding Bluetooth device security, such as ensuring that Bluetooth devices are turned off when they are not needed to minimize exposure to malicious activities, and performing Bluetooth device pairing as infrequently as possible and ideally in a physically secure area where attackers cannot observe passkey entry and eavesdrop on Bluetooth pairing-related communications.  毎年要求されるセキュリティ意識向上プログラムは、Bluetoothセキュリティポリシーのガイドラインを含むように更新されるべきです。セキュリティ意識向上プログラムは、組織の資産を保護し、セキュリティインシデントを防止するためのセキュリティ対策に従うよう、ユーザを教育・訓練するのに役立ちます。例えば、ユーザには、携帯型のBluetoothデバイスを盗難からよりよく保護するために取るべき予防措置のリストを提供する必要があります。また、悪意のある行為にさらされる可能性を最小限にするために、不要なときはBluetooth機器の電源を確実に切ることや、Bluetooth機器のペアリングをできるだけ頻繁に行わず、攻撃者がパスキーの入力を観察したり、Bluetoothペアリング関連の通信を盗聴したりできないような物理的に安全な場所で行うことが理想的であるなど、Bluetooth機器のセキュリティに関して取るべき他の行動についても認識しておく必要があります。
[1] Starting with Simple Secure Pairing in Bluetooth 2.1, PINs are not used for pairing any more.  [1] Bluetooth 2.1のSimple Secure Pairingからは、ペアリングにPINが使用されなくなりました。
Table of Contents 目次
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Audience and Assumptions 1.2 想定読者と前提条件
1.3 Document Organization 1.3 文書の構成
2 Overview of Bluetooth Wireless Technology 2 Bluetoothワイヤレス技術の概要
2.1 Bluetooth Wireless Technology Characteristics 2.1 Bluetooth ワイヤレス技術の特徴
2.1.1 Basic, Enhanced, and High Speed Data Rates 2.1.1 基本データレート、拡張データレート、および高速データレート
2.1.2 Low Energy 2.1.2 低エネルギー
2.1.3 Dual Mode Devices (Concurrent Low Energy & BR/EDR/HSSupport) 2.1.3 デュアルモードデバイス (Low Energy & BR/EDR/HSSサポートの同時実現)
2.2 Bluetooth Architecture 2.2 Bluetoothのアーキテクチャ
3 Bluetooth Security Features 3 Bluetoothのセキュリティ機能
3.1 Security Features of Bluetooth BR/EDR/HS 3.1 Bluetooth BR/EDR/HSのセキュリティ機能
3.1.1 Pairing and Link Key Generation 3.1.1 ペアリングおよびリンクキー生成
3.1.2 Authentication 3.1.2 認証
3.1.3 Confidentiality 3.1.3 機密保持
3.1.4 Trust Levels, Service Security Levels, andAuthorization 3.1.4 信頼レベル、サービスセキュリティレベル、および認証
3.2 Security Features of Bluetooth Low Energy 3.2 Bluetooth Low Energyのセキュリティ機能
3.2.1 Low Energy Security Modes and Levels 3.2.1 Low Energyのセキュリティモードとレベル
3.2.2 Low Energy Pairing Methods 3.2.2 低エネルギーのペアリング方法
3.2.3 Legacy Low Energy Key Generation and Distribution 3.2.3 従来の低エネルギー鍵の生成および配布
3.2.4 Low Energy Secure Connection Key Generation 3.2.4 低エネルギーでのセキュアな接続鍵の生成
3.2.5 Confidentiality, Authentication, and Integrity 3.2.5 機密性、認証、および完全性
3.2.6 Low Energy Long Term Key Derivation from Bluetooth Link Key 3.2.6 Bluetoothリンク鍵からの低エネルギー長期鍵の導出
3.2.7 Bluetooth Link Key Derivation from Low Energy Long TermKey 3.2.7 Low Energy Long TermKeyからのBluetooth Link Keyの導出
4 Bluetooth Vulnerabilities, Threats, and Countermeasures 4 Bluetoothの脆弱性、脅威、および対策
4.1 Bluetooth Vulnerabilities 4.1 Bluetoothの脆弱性
4.2 Bluetooth Threats 4.2 Bluetoothの脅威
4.3 Risk Mitigation and Countermeasures 4.3 リスクの軽減と対策
4.4 Bluetooth Security Checklist 4.4 Bluetoothセキュリティチェックリスト

| | Comments (0)

2022.01.21

NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

こんにちは、丸山満彦です。

NISTが、SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築を公表し、意見募集をしていますね。。。

 

● NIST-ITL

・2022.01.11 SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築
Announcement 発表内容
NIST is releasing the draft of a major revision to Special Publication (SP) 800-160 Volume 1, Engineering Trustworthy Secure Systems. This publication is intended to serve as a reference and educational resource for engineers and engineering specialties, architects, designers, and personnel involved in the development of trustworthy secure systems and system components. The guidance can be applied selectively by organizations, individuals, or engineering teams to improve the security and trustworthiness of systems and system components. NISTは、Special Publication (SP) 800-160 Volume 1「信頼性の高い安全なシステムのエンジニアリング」の大幅な改訂のドラフトを公開します。本報告書は、信頼できるセキュアなシステムやシステムコンポーネントの開発に携わるエンジニアやエンジニアリングの専門家、アーキテクト、設計者、担当者のための参考資料および教育資料としての役割を果たすことを目的としています。本ガイダンスは、システムおよびシステム・コンポーネントのセキュリティと信頼性を向上させるために、組織、個人、またはエンジニアリング・チームが選択的に適用することができます。
In particular, Draft SP 800-160 Volume 1, Revision 1 focuses on the following strategic objectives, which drove the majority of changes to the publication: ドラフトSP 800-160第1改訂版では、特に以下の戦略的な目的に焦点を当てており、これが本報告書の変更の大きな原動力となっています。
More strongly positioning Systems Security Engineering (SSE) as a sub-discipline of Systems Engineering (SE) ・システム・セキュリティ・エンジニアリング(SSE)をシステム・エンジニアリング(SE)の下位分野としてより強く位置づける。
Emphasizing that the responsibility for engineering trustworthy secure systems is not limited to security specialties and that the achievement of security outcomes must properly align with SE outcomes ・信頼できる安全なシステムをエンジニアリングする責任は、セキュリティの専門家に限られたものではなく、セキュリティの成果をSEの成果と適切に整合させる必要があることを強調する。
Aligning SSE practices with safety practices and other disciplines that deal with the loss of assets and the consequences of asset loss ・SSEの実践を、資産の喪失とその結果に対処する安全性の実践やその他の分野と整合させる。
Focusing on the assurance of the correctness and effectiveness of the system’s security capability to achieve authorized and intended behaviors and outcomes and control adverse effects and loss ・承認された意図された動作と結果を達成し、悪影響と損失を制御するための、システムのセキュリティ能力の正しさと有効性の保証に焦点を当てる。
More closely aligning systems security engineering work to international standards ・システム・セキュリティ・エンジニアリング業務を国際標準に近づける。
NIST is interested in your feedback on the specific changes made to the publication during this update, including the organization and structure of the publication, the presentation of the material, its ease of use, and the applicability of the technical content to current or planned systems engineering initiatives. NISTでは、今回のアップデートで報告書に加えられた具体的な変更点(報告書の構成や構造、資料の表示方法、使いやすさ、技術的な内容の現在または計画中のシステムエンジニアリングの取り組みへの適用性など)について、皆様からのフィードバックをお待ちしています。
Abstract 概要
With the continuing frequency, intensity, and adverse consequences of cyber-attacks, disruptions, hazards, and other threats to federal, state, and local governments, as well as private sector organizations, the need for trustworthy secure systems has never been more important to the long-term economic and national security interests of the United States. Engineering-based solutions are essential to managing the complexity, dynamicity, and interconnectedness of today’s systems, as exemplified by cyber-physical systems and systems-of-systems. This publication addresses the engineering-driven perspective and actions necessary to develop more defensible and survivable systems, inclusive of the machine, physical, and human components that compose those systems and the capabilities and services delivered by those systems. This publication starts with and builds upon established international standards for systems and software engineering by the International Organization for Standardization (ISO), the International Electrotechnical Commission (IEC), and the Institute of Electrical and Electronics Engineers (IEEE) and infuses systems security engineering methods, practices, and techniques into those systems and software engineering activities. The objective is to address security issues from a stakeholder protection needs, concerns, and requirements perspective and to use established engineering processes to help ensure that such needs, concerns, and requirements are addressed with appropriate fidelity and rigor throughout the system life cycle. 連邦政府、州政府、地方自治体、および民間企業に対するサイバー攻撃、混乱、災害、その他の脅威が継続的に発生し、その頻度や強度、悪影響が増大している中、信頼できる安全なシステムの必要性は、米国の長期的な経済的・国家的安全保障上の利益にとって、かつてないほど重要なものとなっています。サイバーフィジカルシステムやシステム・オブ・システムに代表されるように、今日のシステムの複雑性、動的性、相互接続性を管理するためには、エンジニアリングに基づくソリューションが不可欠です。本書は、システムを構成する機械的、物理的、人間的なコンポーネントや、システムが提供する機能やサービスを含めて、より防御力の高い、生存可能なシステムを開発するために必要な工学的な視点と行動を取り上げています。本書は、国際標準化機構(ISO)、国際電気標準会議(IEC)、米国電気電子学会(IEEE)によって確立されたシステムおよびソフトウェアエンジニアリングの国際標準を出発点とし、これをベースにして、システムセキュリティエンジニアリングの手法、実践、技術をシステムおよびソフトウェアエンジニアリングの活動に注入しています。その目的は、利害関係者の保護ニーズ、懸念事項、要求事項の観点からセキュリティ問題に取り組み、確立されたエンジニアリングプロセスを用いて、システムのライフサイクルを通じて、そのようなニーズ、懸念事項、要求事項に適切な忠実さと厳密さをもって対処することにあります。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1 (Draft)

20220121-175041

 

目次です。。。

CHAPTER ONE INTRODUCTION 第1章 はじめに
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用範囲
1.2 TARGET AUDIENCE 1.2 対象読者
1.3 HOW TO USE THIS PUBLICATION 1.3 本書の使用方法
1.4 ORGANIZATION OF THIS PUBLICATION 1.4 本書の構成
CHAPTER TWO THE FUNDAMENTALS 第2章 基礎編
2.1 ENGINEERING FOUNDATIONS 2.1 エンジニアリングの基礎
2.2 SYSTEM CONCEPTS 2.2 システムの概念
2.2.1 Systems and System Structure 2.2.1 システムとシステム構造
2.2.2 Interfacing, Enabling, and Interoperating Systems 2.2.2 システムの相互接続、有効化、および相互運用
2.3 SYSTEM SECURITY PERSPECTIVE 2.3 システムセキュリティの観点
2.3.1 The Nature and Character of Systems 2.3.1 システムの性質と特徴
2.3.2 The Concept of Loss 2.3.2 損失の概念
2.3.3 The Concept of Security 2.3.3 セキュリティの概念
2.3.4 The Concept of System Security 2.3.4 システムセキュリティの概念
2.3.5 The Concept of Assets 2.3.5 資産の概念
2.3.6 Reasoning About Asset Loss 2.3.6 資産の損失についての推論
2.3.7 Protection Needs 2.3.7 保護の必要性
2.3.8 System Security Viewpoints 2.3.8 システムセキュリティの視点
2.4 DEMONSTRATING SYSTEM SECURITY 2.4 システムセキュリティの実証
2.5 SYSTEMS SECURITY ENGINEERING FRAMEWORK 2.5 システムセキュリティエンジニアリングの枠組み
2.5.1 The Problem Context 2.5.1 問題のコンテクスト
2.5.2 The Solution Context 2.5.2 ソリューションのコンテクスト
2.5.3 The Trustworthiness Context 2.5.3 信頼性のコンテクスト
CHAPTER THREE SYSTEM LIFE CYCLE PROCESSES 第3章 システムライフサイクルプロセス
3.1 AGREEMENT PROCESSES 3.1 協定プロセス
3.1.1 Acquisition 3.1.1 取得
3.1.2 Supply 3.1.2 供給
3.2 ORGANIZATIONAL PROJECT-ENABLING PROCESSES 3.2 組織的なプロジェクトを可能にするプロセス
3.2.1 Life Cycle Model Management 3.2.1 ライフサイクルモデルの管理
3.2.2 Infrastructure Management 3.2.2 インフラストラクチャーの管理
3.2.3 Portfolio Management 3.2.3 ポートフォリオ管理
3.2.4 Human Resource Management 3.2.4 人的資源管理
3.2.5 Quality Management 3.2.5 品質管理
3.2.6 Knowledge Management 3.2.6 ナレッジマネジメント
3.3 TECHNICAL MANAGEMENT PROCESSES 3.3 テクニカルマネジメントプロセス
3.3.1 Project Planning 3.3.1 プロジェクト計画
3.3.2 Project Assessment and Control 3.3.2 プロジェクトの評価と管理
3.3.3 Decision Management 3.3.3 意思決定管理
3.3.4 Risk Management 3.3.4 リスクマネジメント
3.3.5 Configuration Management 3.3.5 構成管理
3.3.6 Information Management 3.3.6 情報管理
3.3.7 Measurement 3.3.7 計測
3.3.8 Quality Assurance 3.3.8 品質保証
3.4 TECHNICAL PROCESSES 3.4 技術プロセス
3.4.1 Business or Mission Analysis 3.4.1 ビジネスまたはミッションの分析
3.4.2 Stakeholder Needs and Requirements Definition 3.4.2 利害関係者のニーズと要求の定義
3.4.3 System Requirements Definition 3.4.3 システム要求の定義
3.4.4 System Architecture Definition 3.4.4 システムアーキテクチャの定義
3.4.5 Design Definition 3.4.5 設計の定義
3.4.6 System Analysis 3.4.6 システム分析
3.4.7 Implementation 3.4.7 実装
3.4.8 Integration 3.4.8 統合
3.4.9 Verification 3.4.9 検証
3.4.10 Transition 3.4.10 移行
3.4.11 Validation 3.4.11 検証
3.4.12 Operation 3.4.12 運用
3.4.13 Maintenance 3.4.13 メンテナンス
3.4.14 Disposal 3.4.14 廃棄
REFERENCES 参考文献
APPENDIX A GLOSSARY 附属書A 用語集
APPENDIX B ACRONYMS 附属書B 頭字語
APPENDIX C SECURITY POLICY AND REQUIREMENTS 附属書C セキュリティポリシーと要件
C.1 SECURITYPOLICY C.1 セキュリティポリシー
C.1.1 Rules C.1.1 規則
C.1.2 Scope of Control C.1.2 コントロールの範囲
C.2 REQUIREMENTS C.2 要件
C.2.1 Stakeholder Security Requirements C.2.1 利害関係者のセキュリティ要件
C.2.2 System Security Requirements C.2.2 システムセキュリティ要求事項
C.3 SYSTEMSTATES — SECURE AND NON-SECURE C.3 システムの状態-安全であること、安全でないこと
C.4 DISTINGUISHING REQUIREMENTS, POLICY, AND MECHANISMS C.4 要求事項、方針、およびメカニズムの区別
APPENDIX D TRUSTWORTHY SECURE DESIGN 附属書D 信頼性の高いセキュアな設計
D.1 DESIGN APPROACH FOR TRUSTWORTHY SYSTEMS D.1 信頼できるシステムのための設計アプローチ
D.2 DESIGN FOR BEHAVIORS AND OUTCOMES D.2 行動と結果の設計
D.3 SECURITY DESIGN ORDER OF PRECEDENCE D.3 セキュアデザインの優先順位
D.4 FUNCTIONAL DESIGN CONSIDERATIONS D.4 機能設計上の考慮事項
D.4.1 Roles for Security-Relevant Control D.4.1 セキュリティに関連した制御の役割
D.4.2 Essential Design Criteria for Mechanisms D.4.2 メカニズムの必須設計基準
D.4.3 Security Function Failure Analysis D.4.3 セキュリティ機能の故障解析
D.4.4 Trade Space Considerations D.4.4 トレードスペースに関する考察
APPENDIX E PRINCIPLES FOR TRUSTWORTHY SECURE DESIGN 附属書E 信頼できる安全な設計のための原則
E.1 TRUSTWORTHINESS DESIGN PRINCIPLES E.1 信頼性の高い設計のための原則
E.1.1 Clear Abstractions E.1.1 明確な抽象化
E.1.2 Commensurate Rigor E.1.2 相応の厳密性(Commensurate Rigor
E.1.3 Commensurate Trustworthiness E.1.3 相応の信頼性
E.1.4 Compositional Trustworthiness E.1.4 構成的な信頼性
E.1.5 Hierarchical Protection E.1.5 階層的な保護
E.1.6 Minimized Trusted Elements E.1.6 信頼できる要素の最小化
E.1.7 Reduced Complexity E.1.7 複雑さの軽減
E.1.8 Self-Reliant Trustworthiness E.1.8 自立した信頼性
E.1.9 Structured Decomposition and Composition E.1.9 構造化された分解と合成
E.1.10 Substantiated Trustworthiness E.1.10 根拠のある信頼性
E.1.11 Trustworthy System Control E.1.11 信頼性の高いシステム制御
E.2 LOSS CONTROL DESIGN PRINCIPLES E.2 ロスコントロールドデザインの原則
E.2.1 Anomaly Detection E.2.1 異常な状態の検知
E.2.2 Commensurate Protection E.2.2 相応の保護
E.2.3 Commensurate Response E.2.3 合理的なレスポンス
E.2.4 Continuous Protection E.2.4 継続的な保護
E.2.5 Defense In Depth E.2.5 深層部への防御
E.2.6 Distributed Privilege E.2.6 特権の分散
E.2.7 Diversity (Dynamicity) E.2.7 多様性(ダイナミック性)
E.2.8 Domain Separation E.2.8 ドメインの分離
E.2.9 Least Functionality E.2.9 最小限の機能(Least Functionality
E.2.10 Least Persistence E.2.10 最小限の持続性(Least Persistence
E.2.11 Least Privilege E.2.11 最小限の特権(Least Privilege
E.2.12 Least Sharing E.2.12 最小限の共有
E.2.13 Loss Margins E.2.13 ロス・マージン
E.2.14 Mediated Access E.2.14 媒介されたアクセス
E.2.15 Minimize Detectability E.2.15 検知可能性の最小化
E.2.16 Protective Defaults E.2.16 保護機能のデフォルト
E.2.17 Protective Failure E.2.17 保護的失敗
E.2.18 Protective Recovery E.2.18 保護的復旧
E.2.19 Redundancy E.2.19 冗長性
APPENDIXF TRUSTWORTHINESS AND ASSURANCE 附属書F 信頼性と保証
F.1 TRUST AND TRUSTWORTHINESS F.1 信頼性と信用保証
F.1.1 Roles of Requirements in Trustworthiness F.1.1 信頼性における要求事項の役割
F.1.2 Design Considerations F.1.2 設計上の考慮事項
F.2 ASSURANCE F.2 アシュアランス
F.2.1 Security Assurance Claims F.2.1 セキュリティ保証の主張
F.2.2 Approaches to Assurance F.2.2 保証へのアプローチ
F.2.3 Assurance Needs F.2.3 保証のニーズ

 


● まるちゃんの情報セキュリティ気まぐれ日記

SP 800-160 関係

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

| | Comments (0)

NISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論 at 2022.01.11

こんにちは、丸山満彦です。

NISTがNISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論を公表し、意見募集をしていますね。。。

MUDを利用をしていく感じですね。。。

 

NIST - ITL

・2022.01.11 NISTIR 8349 (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

 

NISTIR 8349 (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices NISTIR 8349(ドラフト)IoTデバイスのネットワーク動作を特徴づける方法論
Announcement 発表内容
The National Cybersecurity Center of Excellence (NCCoE) has prepared Draft NISTIR 8349 for public comment. National Cybersecurity Center of Excellence(NCCoE)は、パブリックコメント用にNISTIR 8349のドラフトを作成しました。
Securing a network is a complex task made more challenging when Internet of Things (IoT) devices are connected to it. NISTIR 8349 demonstrates how to use device characterization techniques and the supporting open source tool MUD-PD to describe the communication requirements of IoT devices in support of the Securing Small-Business and Home Internet of Things (IoT) Devices: Mitigating Network-Based Attacks Using Manufacturer Usage Description (MUD) project. Manufacturers and network administrators can use the techniques and tools described in the report for capturing network communications from IoT devices, analyzing network captures, and generating MUD files to help ensure IoT devices perform as intended. ネットワークのセキュリティを確保することは、IoTデバイスがネットワークに接続されている場合、より困難な複雑なタスクです。NISTIR 8349は、「中小企業や家庭のIoTデバイスの保護:MUD(製造者利用説明)を用いたネットワークベース攻撃を緩和するプロジェクト」をサポートするために、デバイス特性評価技術とそれをサポートするオープンソースツールMUD-PDを使用して、IoTデバイスの通信要件を記述する方法を示しています。メーカーやネットワーク管理者は、本レポートで紹介されている技術やツールを使用して、IoTデバイスからのネットワーク通信のキャプチャ、ネットワークキャプチャの分析、MUDファイルの生成を行い、IoTデバイスが意図したとおりに動作することを確認することができます。
Abstract 概要
This report describes an approach to capturing and documenting the network communication behavior of Internet of Things (IoT) devices. From this information, manufacturers, network administrators, and others can create and use files based on the Manufacturer Usage Description (MUD) specification to manage access to and from those IoT devices. The report also describes the current state of implementation of the approach and proposals for future development. 本報告書では、IoTデバイスのネットワーク通信動作を捕捉し、文書化するためのアプローチについて説明しています。この情報をもとに、メーカーやネットワーク管理者などは、製造者利用説明(MUD)仕様に基づいたファイルを作成・使用し、IoT機器へのアクセスやIoT機器からのアクセスを管理することができます。本報告書では、このアプローチの実装の現状と、今後の開発に向けた提案についても記載しています。

 

・[PDF]

20220121-165637

 

Executive Summary  エグゼクティブサマリー 
Characterizing and understanding the expected network behavior of Internet of Things (IoT) devices is essential for cybersecurity purposes. It enables the implementation of appropriate network access controls (e.g., firewall rules or access control lists) to protect the devices and the networks on which they are deployed. This may include limiting a device’s communication to only that which is deemed necessary. It also enables identifying when a device may be misbehaving, a potential sign of compromise. The ability to restrict network communications for IoT devices is critically important, especially given the increased number of these devices.  IoTデバイスに期待されるネットワーク上の振る舞いを特徴づけて理解することは,サイバーセキュリティの観点から不可欠である.これにより、適切なネットワーク・アクセス・コントロール(ファイアウォール・ルールやアクセス・コントロール・リストなど)を実装し、デバイスやデバイスが配備されているネットワークを保護することができます。これには、デバイスの通信を必要と思われるものだけに制限することも含まれます。また、デバイスが不正な動作をしている場合には、侵害の可能性があることを特定することができます。IoTデバイスのネットワーク通信を制限する機能は、特にIoTデバイスの数が増えていることを考えると、非常に重要です。
Network behavior for most IoT devices is situation-dependent. For example, many IoT devices have multiple mechanisms for interaction and control, such as voice commands, physical interaction with a person, other devices (e.g., a smartphone or IoT hub), and services (e.g., cloudbased). Any given action may result in different network behavior, depending on the mechanism through which it was performed. Additionally, certain patterns of network behavior may only occur in specific stages of a device’s lifecycle (i.e., setup, normal operation, and decommissioning). Also, network behavior may change over time as device software is updated. For these reasons, the expected network behavior of a device needs to be characterized and understood for all intended scenarios and during each stage of its lifecycle. Otherwise, necessary steps for device setup, operation, or decommissioning may be blocked by network access controls, preventing them from being performed fully or at all.  ほとんどのIoTデバイスのネットワーク動作は、状況に依存します。例えば、多くのIoTデバイスは、音声コマンド、人や他のデバイス(スマートフォンやIoTハブなど)、サービス(クラウドベースなど)との物理的なインタラクションなど、インタラクションや制御のための複数のメカニズムを持っています。任意のアクションは、それが実行されたメカニズムに応じて、異なるネットワーク動作になる可能性があります。さらに、ネットワーク動作の特定のパターンは、デバイスのライフサイクルの特定の段階(すなわち、セットアップ、通常の運用、および廃却)でのみ発生する可能性があります。また、機器のソフトウェアが更新されると、ネットワークの動作が変化することがあります。これらの理由から、デバイスの期待されるネットワーク動作は、すべての意図されたシナリオおよびライフサイクルの各段階において特徴付けられ、理解される必要があります。そうしないと、デバイスのセットアップ、運用、または廃止に必要なステップがネットワークアクセス制御によってブロックされ、完全に、または全く実行できなくなる可能性があります。
This publication describes recommended techniques for IoT device manufacturers and developers, network administrators, and researchers to accurately capture, document, and characterize the entire range of a device’s network behavior in MUD (Manufacturer Usage Description) files. MUD provides a standard way to specify the network communications that an IoT device requires to perform its intended functions. MUD files tell the organizations using IoT devices what access control rules should apply to each IoT device, and MUD files can be automatically consumed and used by various security technologies.  本書では、IoTデバイスの製造者や開発者、ネットワーク管理者、研究者が、デバイスのネットワーク上での動作全体をMUD(Manufacturer Usage Description)ファイルで正確に捉え、文書化し、特徴を示すために推奨される技術について説明しています。MUDは、IoTデバイスが意図した機能を実行するために必要なネットワーク通信を指定するための標準的な方法を提供します。MUDファイルは、IoTデバイスを使用する組織に対して、各IoTデバイスにどのようなアクセス制御ルールを適用すべきかを伝えるものであり、MUDファイルは様々なセキュリティ技術によって自動的に消費され、使用されることができます。
This publication also presents a National Cybersecurity Center of Excellence (NCCoE) developed open-source tool, MUD-PD, that can be used to catalog and analyze the collected data, as well as generate both reports about the device and deployable MUD files. This tool is intended to aid IoT device manufacturers and developers, network administrators, and researchers who want to create or edit MUD files. 本書では、National Cybersecurity Center of Excellence(NCCoE)が開発したオープンソースのツール「MUD-PD」も紹介しています。このツールは、収集したデータをカタログ化して分析し、デバイスに関するレポートと展開可能なMUDファイルの両方を生成するために使用できます。このツールは、MUDファイルの作成や編集を希望するIoTデバイスのメーカーや開発者、ネットワーク管理者、研究者を支援することを目的としています。

 

目次です。。。

 
Executive Summary エグゼクティブサマリー 
1 Introduction 1 序文
1.1 Challenges 1.1 課題
1.2 Purpose and Scope 1.2 目的と範囲
1.3 Report Structure 1.3 報告書の構成
2 Network Traffic Capture Methodology 2 ネットワークトラフィックのキャプチャ方法
2.1 Capture Strategy 2.1 キャプチャー戦略
2.1.1 IoT Device Life-Cycle Phases 2.1.1 IoTデバイスのライフサイクル・フェーズ
2.1.2 Environmental Variables 2.1.2 さまざまな環境変数
2.1.3 Activity-Based and Time-Based Capture Approaches 2.1.3 アクティビティ・ベースおよびタイム・ベースのキャプチャー・アプローチ
2.1.4 Network Architecture and Capture Approach 2.1.4 ネットワークアーキテクチャとキャプチャアプローチ
2.1.5 Capture Tools 2.1.5 キャプチャツール
2.2 Capture Procedure 2.2 キャプチャ手順
2.2.1 Device Setup Capture 2.2.1 デバイスセットアップキャプチャ
2.2.2 Normal Operation Capture 2.2.2 通常運用時のキャプチャ
2.2.3 Decommissioning/Removal Capture 2.2.3 デコミッショニング/リムーバル・キャプチャー
2.3 Documentation Strategy 2.3 ドキュメント戦略
3 Analysis Use Cases and Tools 3 解析ユースケースとツール
3.1 Manual MUD File Generation 3.1 MUDファイルの手動生成
3.1.1 Wireshark 3.1.1 Wireshark
3.1.2 NetworkMiner 3.1.2 NetworkMiner
3.1.3 Overview of Manual MUD File Generation Process 3.1.3 MUDファイルの手動生成プロセスの概要
3.2 MUD-PD 3.2 MUD-PD
3.2.1 Current Feature Set 3.2.1 現在の機能セット
3.2.2 GUI Overview 3.2.2 GUIの概要
3.2.3 MUD-PD Uses 3.2.3 MUD-PDの使い方
3.3 MUD-PD Support for Privacy Analysis 3.3 MUD-PDによるプライバシー分析の支援
4 Future Work 4 今後の取り組み
4.1 Extending MUD-PD Features 4.1 MUD-PD機能の拡張
4.2 Developing a MUD Pipeline 4.2 MUDパイプラインの開発
4.3 Open Problems for the Community 4.3 コミュニティのための未解決問題
References 参考文献
List of Appendices 巻末資料
Appendix A— Example Capture Environment 附属書A:キャプチャー環境の例
Appendix B— Acronyms 附属書B:頭字語
List of Figures 図の一覧
Figure 1: MUD-PD main window with buttons and list boxes labeled  図1:MUD-PDのメイン・ウィンドウとボタン、リスト・ボックスの表示 
Figure 2: Prompt for providing Fingerbank API key . 図2:Fingerbank API キーを入力する画面
Figure 3: Prompt for creating a new database  図3:新規データベース作成のプロンプト 
Figure 4: Prompt for connecting to an existing database  図4:既存のデータベースに接続するためのプロンプト 
Figure 5: Prompt for importing packet captures into database  図5:パケットキャプチャーをデータベースにインポートするためのプロンプト 
Figure 6: Window listing devices imported and to import during the packet capture import process  図6:パケットキャプチャのインポートプロセス中にインポートされたデバイスとインポートされるデバイスを一覧表示するウィンドウ 
Figure 7: Window prompt for importing a device . 図7:デバイスのインポートを促すウィンドウ
Figure 8: Window prompting to update the firmware version logged in the database . 図8:データベースに記録されているファームウェアのバージョンを更新するためのウィンドウ。
Figure 9: Prompt for generating a human-readable device report 図9:人間が読めるデバイスレポートを生成するためのプロンプト
Figure 10: Example device report showing the details of a single packet capture  図10:1つのパケットキャプチャーの詳細を示すデバイスレポートの例 
Figure 11: Prompt for selecting a device for which the MUD file will be generated . 図11:MUD ファイルの生成対象となるデバイスを選択するプロンプト
Figure 12: Prompt for providing device details including the support and document URLs  図12:サポートおよびドキュメントのURLを含むデバイスの詳細を入力するプロンプト 
Figure 13: Prompt for providing internet communication rules  図13:インターネット通信ルールを入力する画面 
Figure 14: Prompt for providing local communication rules 図14:ローカル・コミュニケーション・ルールの提供を求めるプロンプト
Figure 15: Preview of the MUD file to be generated  図15:生成されるMUDファイルのプレビュー 
Figure 16: MUD pipeline for the device manufacturer or developer use case 図16:機器メーカーまたは開発者のユースケースの MUD パイプライン
Figure 17: MUD pipeline for the network administrator use case  図17:ネットワーク管理者が使用する場合のMUDパイプライン 
Figure 18: The overarching MUD pipeline, particularly as it may be used for research and development  図18:包括的な MUD パイプライン、特に研究開発に使用される場合の MUD パイプライン 
Figure 19: Example capture architecture . 図19:キャプチャ・アーキテクチャの例 

 


● まるちゃんの情報セキュリティ気まぐれ日記

NISTのIoT関係...

・2021.09.13 NISTIR 8379 NIST Cybersecurity for IoT Guidanceに対するパブリックコメントを受けて開催したオンラインワークショップの要約

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

 

少し前です。。。

・2016.09.09 NIST IoT, Big Data関係

 

 

 

| | Comments (0)

米国 FedRAMP クラウド・サービス・プロバイダー認証プレイブック Ver. 2.0

こんにちは、丸山満彦です。

FedRAMP クラウド・サービス・プロバイダー認証プレイブックが4年ぶりに改定されてましたね。。。ど

どこが改定されたかまでは、追えていません(^^;;)

 

FedRAMP

・2022.01.18 FedRAMP Releases Updated CSP Authorization Playbook

FedRAMP Releases Updated CSP Authorization Playbook FedRAMPは更新されたCSP認証プレイブックを発表
FedRAMP published an updated Cloud Service Providers (CSP) Authorization Playbook to provide CSPs with a more detailed understanding of the FedRAMP Authorization process now in two volumes. FedRAMPは、CSPにFedRAMP認証プロセスのより詳細な理解を提供するために、更新されたクラウドサービスプロバイダー(CSP)認証プレイブックを2巻に分けて発表しました。
Volume I helps CSPs understand the FedRAMP Authorization process and develop a strategy for achieving FedRAMP Authorization. Volume I includes: 第1巻は、CSPがFedRAMP認証プロセスを理解し、FedRAMP認証を達成するための戦略を立てるのに役立ちます。第1巻には以下が含まれています。
・How CSPs can get started with FedRAMP ・CSPがFedRAMPに着手する方法
・Introducing the paths to authorization ・認証への道筋の紹介
・FedRAMP designations ・FedRAMPの指定
・Considerations that CSPs should think about prior to pursuing an authorization ・認証を受ける前にCSPが考えるべき考慮事項
Volume II helps CSPs understand how to develop a high-quality security package for an expeditious and efficient FedRAMP Authorization to cut down rework and delays during the review process. Volume II includes: 第2巻では、CSPが迅速かつ効率的なFedRAMP認可のために高品質のセキュリティ・パッケージを開発し、審査プロセスにおける手戻りや遅延を削減する方法を理解できるようになっています。第2巻には以下が含まれています。
・Elements of an authorization package ・認証パッケージの要素
・Guidance for developing key artifacts ・主要な成果物の開発に関するガイダンス
・Tips for delivering a clean, easy-to-review package ・クリーンでレビューしやすいパッケージを提供するためのヒント
While the CSP Authorization Playbook is written to inform Cloud Service Providers approaching the FedRAMP Authorization process, the information is helpful to all FedRAMP stakeholders. CSP認証プレイブックは、FedRAMP認証プロセスに臨むクラウドサービスプロバイダに情報を提供するために書かれていますが、この情報はすべてのFedRAMP関係者に役立ちます。

 

・[PDF]

20220121-145742

 

 

目次です。。。

VOLUME I: GETTING STARTED WITH FEDRAMP 第1巻:FedRAMPを始めよう
Getting Started: Is FedRAMP Right For You? 始めるにあたって:FedRAMPはあなたにとって正しいか?
Partners in the Authorization Process 認証プロセスのパートナー
1.0  FedRAMP Program Management Office (PMO) 1.0 FedRAMPプログラム・マネジメント・オフィス(PMO)
2.0  Joint Authorization Board (JAB) 2.0 共同認証委員会(JAB:Joint Authorization Board)
3.0 Federal Agencies 3.0 連邦政府機関
4.0  Third Party Assessment Organizations (3PAOs) 4.0 第三者評価機関 (3PAO)
Determining Your Authorization Strategy 認証戦略の決定
5.0  Demand: Broad vs. Niche 5.0 需要:幅広い需要とニッチな需要
6.0  Existing or Potential Agency Partners 6.0 既存または潜在的な機関のパートナー
7.0  Deployment Model 7.0 展開モデル
8.0  Impact Levels 8.0 影響レベル
Types of FedRAMP Authorizations FedRAMP認証の種類
9.0  JAB Authorization 9.0 JAB認証
10.0  Agency Authorization 10.0 省庁認証
Important Considerations 重要な検討事項
11.0  IaaS vs. PaaS vs. SaaS 11.0 IaaSとPaaSとSaaSの比較
12.0  System Stack 12.0 システムスタック
13.0  Level of Effort 13.0 作業レベル
VOLUME II: DEVELOPING AN AUTHORIZATION PACKAGE 第2巻:認証パッケージの開発
Introduction はじめに
What’s in an Authorization Package 認証パッケージの内容
Developing an Authorization Package 認証パッケージの開発
1.0   Roles and Responsibilities 1.0 役割と責任
2.0   System Security Plan (SSP) 2.0 システムセキュリティプラン (SSP)
3.0   Security Assessment Plan (SAP) 3.0 セキュリティ・アセスメント・プラン (SAP)
4.0   Security Assessment Report (SAR) 4.0 セキュリティ・アセスメント・レポート (SAR)
5.0   Plan of Action and Milestones (POA&M) 5.0 行動計画とマイルストーン(POA&M)の策定

 


● まるちゃんの情報セキュリティ気まぐれ日記

FedRAMP関係

・2021.07.16 FedRAMP 意見募集 境界に関するガイダンス Ver2.0案

・2021.04.16 FedRAMP インシデント・コミュニケーション手順4.0の公表

・2021.01.21 StateRAMPはFedRAMPの州政府、自治体版?

・2020.09.18 FedRAMP認定クラウドサービスオファリング(CSO)が200を超えたようですね!

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.16 FedRAMP パブコメ コンテナの展開と使用のための脆弱性スキャン要件

・2012.02.26 FedRAMP (クラウドサービスのセキュリティ評価の標準アプローチ)

 

| | Comments (0)

ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

こんにちは、丸山満彦です。

ENISAがデジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性がありますという注意喚起をおこなっていますね。

"identity"という言葉を日本語に変換するのが難しいですね。。。元々そういう概念が日本になかったのでしょうかね。。。日本語に直すのが難しいですね。。。

2000年ごろに、白浜シンポジウムにクリーブランド病院のCIOの方やFBIの方を呼んで講演をしてもらったことがあります。後援者の資料を翻訳しなければならなかったのですが、ID Theftという言葉の翻訳が難しかった記憶がありますね。。。

さて話を戻すと、、、デジタル空間で本人に基づくいろいろなことを完結するためには、デジタルIDが重要となりますね。。。それを社会的に活用しようとすれば、利便性を確保した上で精度も確保しないといけないので、難しいですね。。。

デジタルIDが社会のSingle point of failure にならないようにしないといけないのかもしれませんね。。。

ENISA

・2022.01.20 (press) Beware of Digital ID attacks: your face can be spoofed!

Beware of Digital ID attacks: your face can be spoofed! デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります
Digital identification is the focus of two new reports by the European Union Agency for Cybersecurity (ENISA): an analysis of self-sovereign identity (SSI) and a study of major face presentation attacks. 欧州連合サイバーセキュリティ庁(ENISA)による2つの新しい報告書では、デジタル・アイデンティティが焦点となっています。自己主権型アイデンティティ(SSI)の分析と、主な顔面提示に関する攻撃の研究です。
Trust in the identity of a natural or legal person has become the cornerstone of our online activities. It is therefore essential that digital identity is kept highly secure for a safe access to financial services, e-commerce,  delivery or transport platforms, telecommunications and public administration services. 自然人または法人のアイデンティティに対する信頼は、私たちのオンライン活動の礎となっています。したがって、金融サービス、電子商取引、配送・輸送プラットフォーム、通信、行政サービスに安全にアクセスするためには、デジタル・アイデンティティを高度に安全に保つことが不可欠です。
EU Agency for Cybersecurity, Executive Director, Juhan Lepassaar stated that “With the unrelenting circulation of the COVID-19 virus and the continually growing need to rely on digital services, securing electronic identification remains a critical target to achieve the resilience and trust of the digital single market.” EUサイバーセキュリティ機関のジュハン・レパサー事務局長は、「COVID-19ウイルスが容赦なく蔓延し、デジタルサービスへの依存度が継続的に高まっている中、電子アイデンティティを安全に保護することは、デジタル単一市場の回復力と信頼性を達成するための重要な目標であり続けます」と述べています。
Under this light, it is the purpose of the EU regulation on electronic identification and trust services, or eIDAS Regulation, to provide a common foundation to secure electronic transactions between citizens, businesses and public authorities. このような観点から、市民、企業、公的機関の間の電子取引を安全に行うための共通の基盤を提供することが、電子的な本人確認と信託サービスに関するEU規則(eIDAS規則)の目的です。
A key objective of the eIDAS regulation is to secure electronic identification and authentication in cross-borders online services offered within Member States. Today’s publications support the achievement of this objective of the regulation. In addition, the regulation also addresses identity proofing in the different contexts where trust in digital identities is necessary and elaborates on qualified certificates to allow for other identification methods.   eIDAS規則の主な目的は、加盟国内で提供される国境を越えたオンラインサービスにおいて、電子的な本人確認と認証を確保することです。本日の発表は、同規則のこの目的の達成をサポートするものです。また、同規則では、デジタル・アイデンティティへの信頼が必要とされるさまざまな状況におけるアイデンティティの証明についても取り上げており、他の識別方法を可能にするための適格証明書についても詳しく説明しています。 
The area of identification has seen a new trend emerge over the past few years in the self-sovereign identity technologies also referred to as SSI. The new report explains what these technologies are and explores their potential to achieve greater control of users over their identities and data, cross-border interoperability, mutual recognition and technology neutrality as required by the eIDAS regulation. 身分証明の分野では、ここ数年、SSIとも呼ばれる自己主権型の身分証明技術が新たなトレンドとなっています。本報告書では、これらの技術がどのようなものであるかを説明し、eIDAS規制で求められている、ユーザーによるアイデンティティやデータの管理強化、国境を越えた相互運用性、相互承認、技術の中立性を実現する可能性を探っています。
The report on remote identity proofing builds on the previous report Remote ID Proofing of ENISA, which makes an analysis of the different methods used to carry out identity proofing remotely. The new report analyses the different types of face recognition attacks and suggests countermeasures. It also validates the security controls introduced in the previous report and offers further recommendations on how to mitigate identified threats. リモート・アイデンティティ証明に関する報告書は、リモートでアイデンティティ証明を行うために使用されるさまざまな方法を分析したENISAの前回の報告書「リモート ・アイデンティティ証明」をベースにしています。新しい報告書では、さまざまなタイプの顔認証攻撃を分析し、対策を提案しています。また、前回の報告書で導入されたセキュリティ管理を検証し、特定された脅威を軽減する方法についてさらなる提言を行っています。
Face presentation attacks in remote identity proofing methods リモート・アイデンティティ証明方法における顔認証攻撃
1. What do we need to know? 1. 何を知る必要があるのか?
Remote identify proofing process is usually carried out over a webcam or a mobile device. The user shows his or her face to produce official documents such as legal identity cards or passports. リモート・アイデンティティ証明プロセスは、通常、ウェブカメラやモバイル機器を使って行われます。ユーザーは自分の顔を見せて、法的なアイデンティティカードやパスポートなどの公式文書を作成します。
However, criminals have devised a number of tactics to bypass the security of these systems and impersonate someone else. しかし、犯罪者は、これらのシステムのセキュリティを回避し、他人になりすますために、さまざまな戦術を考案しています。
The analysis presented in the report published today identifies the different remote identity proofing methods and explains the different features of the major face presentation attacks as listed below: 今回発表した報告書では、リモート・アイデンティティ証明方法の違いを明らかにするとともに、主な顔写真を使った攻撃の特徴を以下のように説明しています。
・photo attacks based on the presentation of facial evidence of an image of a face printed or displayed via a device’s screen. ・写真攻撃は、印刷された顔の画像やデバイスの画面に表示された顔の証拠を提示することに基づいています。
・video of user replay attack usually consisting of placing the screen of the attacker’s device in front of the camera. ・ユーザーリプレイ動画攻撃は、通常、攻撃者のデバイスの画面をカメラの前に置くことで構成されます。
・3D mask attacks where 3D masks are crafted to reproduce the real traits of a human face and even include eyes holes to fool the liveliness detection based on eye gaze, blinking and motion. ・3Dマスク攻撃は、人間の顔の特徴を再現した3Dマスクを作成し、視線やまばたき、動きによる生き生きとした表情の検出を誤魔化すために、目の穴も含める攻撃。
・deepfake attacks make use of leveraging software capable to create a synthetic video or image realistically representing someone else. Attackers are suspected to have access to a wide dataset containing images or a video of their target. ・デープフェイク攻撃は、ソフトウェアを利用して、他人の顔をリアルに再現した合成映像や画像を作成する攻撃です。攻撃者は、ターゲットの画像や動画を含む広範なデータセットにアクセスしていると考えられます。
2. What can be done to prevent them? 2. これらを防ぐためにはどうすればよいのでしょうか?
The study includes recommendations and identifies the different types of security controls, which include: 本研究では、推奨事項を盛り込み、さまざまなタイプのセキュリティ対策を明らかにしていますが、その中には以下のようなものがあります。
・environmental controls, such as setting a minimum video quality level; ・環境管理:最低限のビデオ品質レベルを設定するなど。
・identity document controls, such as checking that a document is not lost, stolen or expired in relevant databases; ・アイデンティティ文書管理:文書の紛失、盗難、期限切れがないかどうかを関連データベースで確認する。
・presentation attack detection, such as checking user's face depth to verify it is three-dimensional or looking for image inconsistencies resulting from deepfake manipulation; ・プレゼンテーション攻撃の検知:ユーザーの顔の奥行きをチェックして立体的であることを確認したり、ディープフェイクの操作による画像の不一致を探したりするなど。
・organisational controls, such as following industry standards. 組・織的管理:業界標準の遵守など
There is no ideal choice when it comes to the choice of the countermeasures to implement. The best choice(s) remains the one(s) pertaining to the type of business, the profile and number of users and the degree of assurance you wish to achieve. 実施する対策の選択については、理想的な選択肢はありません。ビジネスの種類、ユーザーのプロファイルと人数、達成したい保証の度合いに応じて、最適な選択をする必要があります。
What are self-sovereign identity (SSI)? 自己主権型アイデンティティ(SSI)とは?
1. What is self-sovereign identity? 1. 自己主権型アイデンティティとは?
The technologies falling under the name of self-sovereign identity (SSI) consist in giving identity holders greater control over their identity. The main advantage of the SSI technology is that it gives the user greater control over how its identity is represented to third parties relying on the identity information. More specifically it gives greater control over the personal information. Users can have multiple "decentralised identifiers" issued for different activities and can separate out the attributes associated with each identifier. 自己主権型アイデンティティ(SSI)の名の下にある技術は、アイデンティティ保持者に自分のアイデ ンティティに対するより大きな制御を与えることで構成されています。SSI 技術の主な利点は、アイデンティティ 情報に依拠する第三者に自分の アイデンティティ をどのように表現するかを ユーザーがより強く制御できるようになることです。より具体的には、個人情報の管理を強化できる。ユーザーは、異なる活動のために発行された複数の「分散型識別子」を持つことができ、各識別子に関連する属性を分離することができます。
Those decentralised digital identities can be used to support pseudonyms for privacy of identity. The separation of potentially private attributes from the digital identity is therefore enabled and the user can select the attributes to be disclose to ensure the privacy of the other attributes. これらの分散型デジタル・アイデンティティは、アイデンティティのプライバシーを守るための偽名をサポートするために使用することができます。したがって、潜在的にプライベートな属性をデジタル・アイデンティティから分離することが可能となり、ユーザーは、他の属性のプライバシーを確保するために、開示する属性を選択することができます。
2. Why a report on SSI? 2. なぜSSIに関する報告書なのか?
The present study is an evaluation of the current literature and reports on the current technological landscape of SSI and existing eID solutions. The analysis also covers standards, communities, and on-going pilot projects in relation to these solutions. 本研究は、SSIおよび既存の電子アイデンティティ・ソリューションの現在の技術的状況に関する最新の文献および報告書を評価したものです。分析では、これらのソリューションに関連する標準、コミュニティ、および進行中のパイロットプロジェクトも対象としています。
The study also considers possible architectural elements and mechanisms of governance, and identifies security risks and opportunities with the aim to achieve the objectives set by the eIDAS Regulation.  また、本研究では、eIDAS規則で設定された目的を達成するために、可能なアーキテクチャ要素とガバナンスのメカニズムを検討し、セキュリティリスクと機会を特定しています。 
3. Recommendations 3. 推奨事項
A number of elements need to be considered in relation to governance of the architecture of an SSI solution such as the certification of wallets for instance. 例えばウォレットの認証など、SSIソリューションのアーキテクチャのガバナンスに関連して、多くの要素を考慮する必要があります。
Key security measures in relation to risks presented by the SSI architecture need to be implemented, such as: SSI アーキテクチャがもたらすリスクに関連して、以下のような主要なセキュリティ対策を実施す る必要があります。
・data minimisation – using only necessary data; ・データの最小化 - 必要なデータのみを使用する。
・consent and choice – in which the user controls the process and data used for identification; ・同意と選択 - 識別のために使用されるプロセスとデータをユーザーが管理する。
・accuracy and quality – where all parties can trust the identification data stored and provided by the wallet. ・正確性と品質 - ウォレットが保存・提供する本人確認データをすべての関係者が信頼できること。
Target audience 想定読者
・private EU companies as well as public and academic organisations dedicated to or intending to resort to remote identity proofing solutions and SSI technologies; ・リモート・アイデンティティ証明ソリューションやSSI技術に取り組んでいる、または取り組もうとしているEUの民間企業、公的機関、学術団体。
・national governments and public bodies considering the implementation of a remote identity proofing and SSI solutions for clients, citizens, employees, students or other users or those organisations already equipped with such a system and interested in security improvements; ・顧客、市民、従業員、学生、その他のユーザー向けのリモート・アイデンティティ証明およびSSIソリューションの導入を検討している国家政府および公共団体、またはすでにそのようなシステムを備えており、セキュリティの改善に関心のある組織。
・stakeholders involved already within the eIDAS ecosystem, such as trust services providers and conformity assessment bodies and supervisory bodies; ・トラストサービスプロバイダー、適合性評価機関および監督機関など、eIDASエコシステム内ですでに関与しているステークホルダー。
・security researchers, academia and the wider security community. ・セキュリティ研究者、学界、より広いセキュリティコミュニティ
Background 背景
Electronic identification under the eIDAS regulation is a digital solution designed to provide proof of identity for citizens or organisations, in order to access online services or perform online transactions. eIDAS規制における電子証明書とは、オンラインサービスにアクセスしたり、オンライン取引を行ったりするために、市民や組織の身分証明を提供するように設計されたデジタルソリューションのことです。
The European Union Agency for Cybersecurity has been at the forefront of the developments of the eIDAS regulation since 2013. The Agency has been supporting the Commission and the Member States in the area of trust services in many ways, including but without being limited to the following: 欧州連合サイバーセキュリティ機関は、2013年以来、eIDAS規制の開発の最前線に立ってきた。同庁は、信託サービスの分野で欧州委員会と加盟国を様々な形で支援してきたが、これには以下が含まれる。
・security recommendations for the implementation of trust services; ・トラストサービスの実施に向けたセキュリティに関する提言
・mapping technical and regulatory requirements; ・技術的および規制的要件のマッピング
・promoting the deployment of qualified trust services across Europe; ・欧州における適格なトラストサービスの展開の促進
・raising awareness for relying parties and end-users. ・サービスプロバイダーとエンドユーザーの意識向上
The EU Cybersecurity Act of 2019 strengthened the Agency’s role is supporting the implementation of the eIDAS Regulation. 2019年のEUサイバーセキュリティ法は、eIDAS規則の実施を支援するという同庁の役割を強化した。
ENISA mapped the full landscape of remote identity proofing methods and countermeasures in a report published in March 2021. ENISAは、2021年3月に発表した報告書の中で、遠隔地のアイデンティティ証明方法と対策の全容をマッピングした。
EU's Digital Identity proposal EUのデジタル・アイデンティティ提案
The EU Agency for Cybersecurity welcomes the European Commission’s proposals that will review the eIDAS regulation. The European Digital Identity is intended to be available to all EU citizens, residents and businesses in order to identify themselves or provide confirmation of personal information. Citizens will be able to prove their identity and share electronic documents from their European Digital Identity wallets with the click of an icon on their phone. They will be able to access online services with their national digital identification, which will be recognised throughout Europe. EUサイバーセキュリティ庁は、eIDAS規則を見直す欧州委員会の提案を歓迎します。 欧州デジタル・アイデンティティは、本人確認や個人情報の確認を行うために、すべてのEU市民、居住者、企業が利用できることを目的としています。市民は、携帯電話のアイコンをクリックするだけで、欧州デジタル・アイデンティティ・ウォレットから身元を証明したり、電子文書を共有したりすることができるようになります。国民は、欧州全域で認識される各国のデジタル・アイデンティティを使ってオンラインサービスにアクセスできるようになります。
The new European Digital Identity Wallets will allow all Europeans to access online services without having to resort to private identification methods or share unnecessary personal data. Thanks to this solution, users will have full control of the data they share. 新しい「欧州デジタル・アイデンティティ・ウォレット」により、すべての欧州人は、個人的な識別方法に頼ったり、不要な個人情報を共有したりすることなく、オンラインサービスにアクセスできるようになります。このソリューションのおかげで、ユーザーは共有するデータを完全にコントロールすることができます。
Further Information 関連情報
Digital Identity Proofing – Attacks and Countermeasures デジタル・アイデンティティ証明 - 攻撃と対策
Digital Identity – Leveraging the SSI Concept to Build Trust デジタル・アイデンティティ - 信頼を構築するためのSSIコンセプトの活用
ENISA Topic on Trust Services トラストサービスに関するENISAトピック
Can digital identity solutions benefit from blockchain technology デジタル・アイデンティティ・ソリューションはブロックチェーン技術の恩恵を受けられるか
Building trust in the Digital Era: ENISA boosts the uptake of the eIDAS regulation デジタル時代の信頼構築:ENISAがeIDAS規制の取り込みを後押し

 

・2022.01.20 Remote Identity Proofing - Attacks & Countermeasures

Remote Identity Proofing - Attacks & Countermeasures リモート・アイデンティティ証明 - 攻撃と対策
Remote identity proofing is a crucial element in creating trust for digital services. The present study analyses the collection and validation of evidence provided by the applicant to complete the verification of his or her identity. More specifically, we focus on face presentation attacks that aim to fool the facial recognition systems. Through an analysis, which consisted of a review of the literature, a survey and interviews, major attacks are identified and classified: photo attack, video of user replay attack, 3D mask attack, deepfake attack; and applicable countermeasures presented. リモート・アイデンティティ証明は、デジタルサービスの信頼性を高めるための重要な要素です。本研究では、申請者が提供する証拠の収集と検証を分析し、本人確認を完了させます。具体的には、顔認識システムを欺くことを目的とした顔提示攻撃に注目します。本研究では,文献調査,アンケート調査,インタビューなどの分析を通じて,主な攻撃を特定し,「写真攻撃」「ユーザリプレイ動画攻撃」「3Dマスク攻撃」「ディープフェイク攻撃」に分類し,その対策を提示します。

 

・[PDF]

20220121-104116

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The past decade has seen rapid development in the field of information technology and a digital revolution that has provided unprecedented benefits to European society and its economy, by facilitating trade and the provision of services, creating new opportunities for businesses and boosting productivity and economic gain. Furthermore, the global pandemic underlined the importance of well-regulated remote identification processes and trusted digital identities that public and private sector organisations can rely on. 過去10年間、情報技術の分野では急速な発展が見られ、貿易やサービスの提供を容易にし、企業に新たな機会をもたらし、生産性や経済的利益を向上させることで、欧州社会とその経済にかつてない恩恵をもたらしたデジタル革命が起きている。さらに、世界的な大流行により、規制の行き届いた遠隔地での本人確認プロセスや、官民が信頼できるデジタル・アイデンティティの重要性が浮き彫りになりました。
Remote identity proofing is a crucial element in creating trust for digital services. Remote identity proofing is the process where an online user proves he or she is the owner of a claimed identity. The proofing process is usually carried out over a webcam or a mobile device, where the users show their faces and produce their government issued documents – legal identity cards or passports. However, criminals are creative in devising tactics to circumvent these systems and a risk based approach is essential to stay ahead of the game. リモート・アイデンティティ証明は、デジタル・サービスの信頼性を高めるための重要な要素です。リモート・アイデンティティ証明とは、オンライン・ユーザが自分が主張された アイデンティティの所有者であることを証明するプロセスです。証明プロセスは通常、ウェブカメラまたはモバイルデバイスを介して行われ、ユーザは顔を見せ、政府発行の文書(法的なIDカードまたはパスポート)を提示します。しかし、犯罪者はこれらのシステムを回避するための戦術を創造的に考案しており、ゲームの先を行くためには、リスクベースのアプローチが不可欠です。
Establishing a secure standardised environment for remote identity proofing could mitigate the risks but also bring benefits to organisations including better compliance, greater customer reach, competitive advantages, streamlined secure onboarding processes, whilst protecting users and their assets. リモート・アイデンティティ証明のための安全で標準化された環境を確立することは、リスクを軽減するだけでなく、ユーザーとその資産を保護しながら、コンプライアンスの向上、顧客獲得の拡大、競争上の優位性、安全なオンボーディングプロセスの合理化など、組織にメリットをもたらします。
The present study analyses the collection and validation of evidence provided by the applicant to complete the verification of his or her identity. More specifically, we focus on face presentation attacks that aim to fool the facial recognition systems.  本研究では、申請者のアイデンティティの確認を完了するために申請者が提供する証拠の収集と検証を分析します。より具体的には、顔認識システムを欺くことを目的とした顔提示攻撃に焦点を当てます。
Potential threats to remote identity proofing methods were identified and listed, as well as the corresponding security controls, in the previous ENISA Report Remote ID Proofing: Analysis of Methods to Carry Out Identity Proofing Remotely[1] published in March 2021. Building on the previous report, this study will shed light on the details and practicalities of possible face presentation attacks against remote identity proofing methods, to better understand the existing threat landscape. リモート・アイデンティティ証明方法に対する潜在的な脅威は、以前の ENISA 報告書「リモート・アイデンティティ証明」で特定およびリストアップされ、対応するセキュリティ管理も行われています。Analysis of Methods to Carry Out Identity Proofing Remotely[1]」として、2021年3月に発表されています。前回の報告書を踏まえて、本研究では、既存の脅威の状況をよりよく理解するために、遠隔地のアイデンティティ証明方法に対して考えられる顔面提示攻撃の詳細と実用性に光を当てます。
Through the analysis, which consisted of a review of the literature, a survey and interviews, the following major face presentation attacks were identified:  文献調査、アンケート調査、インタビューからなる分析により、以下の主な顔面提示攻撃が特定されました。
• photo attack  ・写真攻撃
• video of user replay attack  ・ユーザのビデオ再生攻撃
• 3D mask attack  ・3Dマスク攻撃 
• deepfake attack.  ・ディープフェイク攻撃
After different types of attacks were identified and classified, applicable countermeasures were analysed and are presented in Chapter 4. 異なるタイプの攻撃が特定・分類された後、適用可能な対策が分析され、第4章で紹介されています。
Regarding different types of security controls, we focused on the overall security of the remote identity process, identifying the following control domains: さまざまな種類のセキュリティ管理については、リモート・アイデンティティ・プロセスの 全体的なセキュリティに焦点を当て、以下の管理領域を特定した。
Environmental controls. Environmental checks refer to the hardware, software and network used by the user to carry out the process. An elementary control to consider is the verification of the video and audio quality level. This simple check can guarantee a better reception of information and consequently result in a more secure proof of identity. Another countermeasure that can be implemented concerns the execution of the process exclusively through a dedicated application. This allows, especially on smartphones, the implementation of different controls to check that the user’s device is an actual physical object and that the camera feed is being captured in real-time. Finally, the control of the metadata of the remote identity verification sessions, such as geolocation, IP, timestamps, VPN usage and others, allows fraud patterns and indicators to be identified. 環境制御。環境的なチェックは、ユーザがプロセスを実行するために使用するハードウェア、ソフトウェア、およ びネットワークを指す。考慮すべき初歩的な制御は、ビデオとオーディオの品質レベルの確認です。この単純なチェックにより、より良い情報の受信が保証され、結果としてより安全な本人確認が可能となる。もう1つの対策は、専用のアプリケーションでのみプロセスを実行することです。これにより、特にスマートフォンでは、ユーザーのデバイスが実際の物理的な物体であることや、カメラの映像がリアルタイムで撮影されていることを確認するためのさまざまな制御を行うことができます。最後に、地理的位置、IP、タイムスタンプ、VPN の使用状況など、リモート ID 検証セッションの メタデータを管理することで、不正行為のパターンや指標を特定することができます。
Identity Document controls. The authenticity of identity documents is of fundamental importance within the remote identity proofing process. In the current state of technology, the highest level of guarantee using a government-issued ID is represented by an electronic identity document equipped with an NFC chip. The NFC chip contains the document data encrypted and digitally signed by the issuing state. Properly implemented video-based verification of modern identity documents featuring various security elements can also provide a reasonably high level of assurance and is useful when the users do not have access to an NFC ID or reader. For all types of documents, it is essential to verify that a document is not lost, stolen or expired by checking with national and international databases when access to such databases is available. アイデンティティ文書の管理。アイデンティティ文書の真正性は、リモート アイデンティティ 検証プロセスにおいて基本的に重要です。現在の技術水準では、政府発行のアイデンティティを使用した最高レベルの保証は、NFCチップを搭載した電子アイデンティティ文書によって表されます。NFC チップには、文書データが暗号化され、発行元の国によってデジタル署名されています。さまざまなセキュリティ要素を備えた最新の アイデンティティ 文書のビデオ・ベースの検証を適切に実 施した場合も、相応に高いレベルの保証を提供することができ、ユーザが NFC アイデンティティ またはリー ダーにアクセスできない場合に役立ちます。あらゆる種類の文書について、国内および国際的なデータベースへのアクセスが可能な場 合には、それらのデータベースと照合することによって、文書が紛失、盗難、または期限切れで ないことを検証することが不可欠です。
Presentation Attack Detection. The core of the automated processes is represented by the software used to perform Presentation Attack Detection (PAD). These software systems use artificial intelligence and machine learning to understand whether images were captured from a living human being and to do so they try to verify certain characteristics present in the images. In terms of security, the video-based solutions commonly provide more data for analysis and therefore higher assurance of identity and that fraud is mitigated. プレゼンテーション攻撃の検知。自動化されたプロセスの中核となるのは、プレゼンテーション・アタック・ディテクション(PAD)を実行するためのソフトウェアです。これらのソフトウェアシステムは、人工知能と機械学習を用いて、画像が生きている人間から撮影されたものかどうかを理解し、画像に含まれる特定の特徴を確認しようとします。セキュリティの面では、ビデオベースのソリューションは一般的に分析のためのより多くのデータを提供するため、アイデンティティの保証が高くなり、不正行為が軽減されます。
The simplest PAD methods are based on expected face movements on command. Users are asked to perform random movements in order to verify that the video was not pre-recorded or is not being rendered in real-time by interactive deepfake puppet software. This approach is effective against unsophisticated attackers, particularly if the user is asked to perform fast movements as the software or underlying processing power will struggle to keep up. However, as widely available software and hardware performance improves quickly and approaches the frame rates of the average camera, other security controls need to be employed as well. 最も単純なPAD法は、命令時に予想される顔の動きに基づくものです。ユーザーは、ビデオが事前に録画されたものではないことや、インタラクティブな偽装人形ソフトウェアによってリアルタイムでレンダリングされたものではないことを確認するために、ランダムな動きをするよう求められます。この手法は、特にユーザーに速い動きを要求した場合、ソフトウェアや基礎的な処理能力が追いつかないため、素朴な攻撃者に対して有効です。しかし、広く普及しているソフトウェアやハードウェアの性能が急速に向上し、平均的なカメラのフレームレートに近づいてくると、他のセキュリティ制御も採用する必要が出てきます。
Other ways to check are based on involuntary human signals such as micro-movements and changes in the human face, eye movement, pupil dilation, micro-variation in the intensity of the skin colour given by the pulse of the blood and others. It is also possible to assess the three-dimensionality of the user via images acquired from different camera positions, stereoscopic cameras or through dedicated 3D depth sensors. Using multiple techniques allows the system to gather more information and make more accurate decisions. その他のチェック方法としては、人間の顔の微小な動きや変化、目の動き、瞳孔の拡大、血液の脈動による肌の色の微小な変化など、人間の不随意な信号に基づいてチェックする方法があります。また、異なる位置のカメラや立体視カメラ、専用の3D深度センサーから取得した画像を用いて、ユーザーの3次元性を評価することも可能です。このように、複数の手法を用いることで、より多くの情報を収集し、より正確な判断を下すことができるようになります。
Organisational controls. The technological component, even if central, is not the only one in the process and on the organisational side there are some controls that can be implemented. Within the organisational controls that can be implemented, the first is certainly to follow industry standards if available. To ensure good performance by operators and users, it is also important to design a straightforward and understandable remote identification process. To further harden the process, creating a spoof and camera bypass bounty programme to reward those who manage to evade controls can be effective. The controls should be well rooted in a risk-based approach and use a robust risk analysis methodology aligned with best practices to identify current threats and, above all, future and unknown ones. 組織的なコントロール。技術的な要素は中心的なものであっても、プロセスにおける唯一のものではなく、組織的にもいくつかのコントロールを実施することができます。組織的なコントロールとしては、まず、業界標準があればそれに従うことが挙げられます。オペレーターやユーザーのパフォーマンスを向上させるためには、わかりやすいリモート認証プロセスを設計することも重要です。このプロセスをさらに強固にするためには、なりすましやカメラバイパスの報奨金プログラムを作成し、コントロールを回避することに成功した人に報いることが効果的です。統制は、リスクベースのアプローチにしっかりと根ざしたものでなければならず、現在の脅威、そして何よりも将来の未知の脅威を特定するために、ベストプラクティスに沿った堅牢なリスク分析手法を使用する必要があります。
Process controls. Controls on the execution of the process and its steps can be defined to make it more effective. It is important to perform periodic tests on systems and on the process. It is necessary to establish exactly what to ask the user during the remote identity proofing process, to save all the data relating to the single process for any future analysis (in compliance with the General Data Protection Regulation) and to identify exactly the actions to be taken in case of uncertainty about the result of the process, such as refusing identification or a request for intervention by an operator. プロセスコントロール。プロセスの実行とそのステップに関するコントロールを定義することで、より効果的なものにすることができます。システムとプロセスの定期的なテストを行うことが重要です。リモート ID 証明プロセス中にユーザに質問する内容を正確に確立し、将来の分析のために単一のプロセスに関連するすべてのデータを保存し(一般データ保護規則に準拠)、本人確認の拒否やオペレータによる介入の要求など、プロセスの結果が不確実な場合に取るべきアクションを正確に特定することが必要です。
The future of attacks is a complex issue. We hope this report will benefit continuous structured risk analysis efforts in this field and contribute to the development of countermeasures, helping remote proofing of identity to remain trustworthy and reliable in the years to come.  攻撃の未来は複雑な問題です。本報告書が、この分野における継続的な構造化されたリスク分析の取り組みに有益であり、対策の開発に貢献し、遠隔地での身元証明が今後も信頼性の高いものであり続けることを願っています。
TABLE OF CONTENTS  目次 
1. INTRODUCTION AND SCOPE 1. 紹介と範囲
1.1 CONTEXT 1.1 文脈
1.2 TARGET AUDIENCE 1.2 対象者
1.3 STRUCTURE AND SCOPE 1.3 構造と範囲
2. REMOTE IDENTITY PROOFING METHODS 2. リモート・アイデンティティ証明の方法
2.1 BIOMETRICS ACQUISITION 2.1 バイオメトリクスの取得
2.2 BIOMETRICS LIVENESS CHECK 2.2 バイオメトリクスの有効性チェック
2.3 IDENTITY DOCUMENT ACQUISITION 2.3 ID 文書の取得
2.4 IDENTITY DOCUMENT AUTHENTICITY CHECK 2.4 ID 文書の真正性チェック
2.5 FACE COMPARISON 2.5 顔照合
3. ATTACKS 3. 攻撃
3.1 PHOTO ATTACK 3.1 写真攻撃
3.2 VIDEO REPLAY ATTACK 3.2 ビデオ再生攻撃
3.3 3D MASK ATTACK 3.3 3Dマスク攻撃
3.4 DEEPFAKE ATTACK 3.4 ディープフェイク攻撃
4. COUNTERMEASURES 4. 対策
4.1 ENVIRONMENTAL CONTROLS 4.1 環境対策
4.2 IDENTITY DOCUMENT CONTROLS 4.2 アイデンティティ文書の管理
4.3 DETECTION OF PRESENTATION ATTACKS 4.3 プレゼンテーション攻撃の検知
4.4 ORGANISATIONAL CONTROLS 4.4 組織的な管理
4.5 PROCESS CONTROLS 4.5 プロセス制御
5. CONCLUSIONS 5. 結論
6. BIBLIOGRAPHY & REFERENCES 6. 書誌および参考文献
6.1 BIBLIOGRAPHY 6.1 書誌情報
6.2 ENISA PUBLICATIONS 6.2 エニーサの出版物
6.3 APPLICABLE LEGISLATION / REGULATION 6.3 適用される法律/規制
6.4 STANDARDS AND OTHERS 6.4 規格およびその他
A ANNEX: METHODOLOGY 附属書A:方法論
A.1 DESK RESEARCH A.1 デスクリサーチ
A.2 INTERVIEWS A.2 インタビュー
A.3 SURVEY A.3 サーベイ
A.4 WORKSHOP A.4 ワークショプ
B ANNEX: SURVEY RESULTS 附属書B:調査結果
B.1 SURVEY RESULTS FROM TECHNOLOGY PROVIDERS B.1 技術提供者による調査結果
B.2 SURVEY RESULTS FROM ORGANISATIONS USING RIDP TECHNOLOGIES B.2 リッドプ技術を使用している組織からの調査結果
B.3 SURVEY RESULTS FROM THE RESEARCHER CATEGORY B.3 研究者カテゴリーの調査結果
C ANNEX: WORKSHOP RESULTS 附属書C:ワークショップの結果
D ANNEX: METHODS, ATTACKS AND COUNTERMEASURES MAP 附属書D:手法、攻撃、対策のマップ
[1] ENISA, Remote ID Proofing: Analysis of Methods to Carry Out Remote Identity Proofing Remotely, March 2021:  [1] ENISA, Remote ID Proofing: Analysis of Methods to Carry Out Remote Identity Proofing, March 2021: 
https://www.enisa.europa.eu/publications/enisa-report-remote-id-proofing   https://www.enisa.europa.eu/publications/enisa-report-remote-id-proofing  

 

・2022.01.20 Digital Identity: Leveraging the SSI Concept to Build Trust

Digital Identity: Leveraging the SSI Concept to Build Trust デジタル・アイデンティティ:SSIコンセプトを活用して信頼を築く
The maintenance of continuity in social life, businesses and administration has accelerated the reflection on the possibility of a need for such decentralised electronic identity. This report explores the potential of self-sovereign identity (SSI) technologies to ensure secure electronic identification and authentication to access cross-border online services offered by Member States under the eIDAS Regulation. It critically assesses the current literature and reports on the current technological landscape of SSI and existing eID solutions, as well as the standards, communities, and pilot projects that are presently developing in support of these solutions. This study takes a wide view of decentralised electronic identity, considers possible architectural elements and mechanisms of governance, and identifies security risks and opportunities presented by SSI in view of cross-border interoperability, mutual recognition, and technology neutrality as required by eIDAS. 社会生活、ビジネス、行政における継続性の維持は、このような分散型の電子 アイデンティティ の必要性の可能性についての考察を加速させた。本報告書では、eIDAS規則に基づいて加盟国が提供する国境を越えたオンラインサービスにアクセスするための安全な電子的な識別と認証を確保するための自己主権型アイデンティティ(SSI)技術の可能性を探っています。本報告書は、現在の文献を批判的に評価し、SSIおよび既存のeIDソリューションの技術的状況、ならびにこれらのソリューションをサポートするために現在開発されている標準、コミュニティ、およびパイロット・プロジェクトについて報告しています。本研究では、分散型電子アイデンティティを広くとらえ、可能なアーキテクチャ要素とガバナンスのメカニズムを検討し、eIDASで求められる国境を越えた相互運用性、相互承認、技術中立性の観点から、SSIがもたらすセキュリティリスクと機会を特定しています。

・[PDF]

20220121-104146

 

EXECUTIVE SUMMARY  エグゼクティブサマリー 
The eIDAS Regulation enables the use of electronic identification and trust services by citizens, businesses, and public administrations to access online services or manage electronic transactions. A key objective of this Regulation is to remove existing barriers to the cross-border use of the electronic identification means used in the Member States in public services for, among others, the purpose of authentication. This Regulation does not aim to interfere with electronic identity management systems and related infrastructures established in the Member States. Rather, its goal is to ensure that secure electronic identification and authentication can be used to access cross-border online services offered by Member States. eIDAS規則は、市民、企業、および行政機関がオンラインサービスにアクセスしたり、電子取引を管理したりするために、電子的な識別および信頼サービスを使用することを可能にします。本規則の主な目的は、特に認証を目的とした公共サービスにおいて、加盟国で使用されている電子的な識別手段を国境を越えて使用する際の既存の障壁を取り除くことです。本規則は、加盟国で構築された電子アイデンティティ管理システムおよび関連インフラを妨害することを目的としていない。むしろ、その目的は、加盟国が提供する国境を越えたオンラインサービスにアクセスするために、安全な電子的な識別および認証を使用できるようにすることです。
The past nearly two years have proven to be a globally challenging period, in which eIDAS has been under revision and the COVID-19 pandemic has urged the development of new models for social life, business, and administration of government. To address these challenges, this report explores the potential of self-sovereign identity (SSI) technologies to ensure secure electronic identification and authentication to access cross-border online services offered by Member States under the eIDAS Regulation. The maintenance of continuity in social life, businesses and administration has accelerated the reflection on the possibility of a need for such decentralised electronic identity. この約2年間は、eIDASが改訂され、COVID-19の大流行により、社会生活、ビジネス、政府運営のための新しいモデルの開発が求められるという、世界的に見ても困難な時期であった。これらの課題に対処するため、本報告書では、eIDAS規則に基づいて加盟国が提供する国境を越えたオンラインサービスにアクセスするための安全な電子的な識別と認証を確保するための自己主権型アイデンティティ(SSI)技術の可能性を検討している。社会生活、ビジネス、および行政における継続性の維持は、このような分散型電子アイデンティティの必要性の可能性についての考察を加速させました。
Over the last few years, a new technology has emerged for identification called "self-sovereign identities" (SSI).  This technology gives identity holders greater control over its identity by adding features which provides a degree of distribution of identity related information.  This includes the ability of identity holder to have multiple "decentralized identifiers" issued for different activities and to separate out the attributes associated with an identifier in "verifiable credentials".  This gives the holder greater control over how its identity is represented to parties relying on the identity information and, in particular greater control over the personal information that it reveals to other parties. ここ数年、「自己主権型アイデンティティ」(SSI)と呼ばれる識別のための新しい技術が登場しています。 この技術は、アイデンティティ関連情報をある程度分散させる機能を追加することで、アイデンティティ保有者がそのアイデンティティをより強く制御できるようにするものです。 これには、アイデンティティ保有者が異なる活動のために発行された複数の「分散型識別子」を持ち、識別子に関連する属性を「検証可能な証明書」に分離する機能が含まれる。 これにより、アイデンティティ保有者は、アイデンティティ情報に依拠する当事者に自分の アイデンティティをどのように表現するかを より細かく制御できるようになり、特に他の当事者に公開する個人情報をより細かく制御できるよう になる。
The present study critically assesses the current literature and reports on the current technological landscape of SSI and existing eID solutions, as well as the standards, communities, and pilot projects that are presently developing in support of these solutions. This study takes a wide view of decentralised electronic identity, considers possible architectural elements and mechanisms of governance, and identifies security risks and opportunities presented by SSI in view of cross-border interoperability, mutual recognition, and technology neutrality as required by eIDAS.  本研究では、現在の文献を批判的に評価し、SSIおよび既存の電子アイデンティティ・ソリューションの技術的な状況、ならびにこれらのソリューションをサポートするために現在開発されている規格、コミュニティ、およびパイロット・プロジェクトについて報告します。本研究では、分散型電子アイデンティティを広くとらえ、可能なアーキテクチャ要素とガバナンスのメカニズムを検討し、eIDASが求める国境を越えた相互運用性、相互承認、技術中立性の観点から、SSIがもたらすセキュリティリスクと機会を特定しています。
The following are the main points arising from an analysis of the application of self-sovereign identity standards and implementation as described in this report: 以下は、本報告書に記載されている自己主権型アイデンティティ規格の適用と実装の分析から生じた主な要点です。
•    SSI technology, as applied in the standards and solutions identified in Section 1 and rationalised into a single architecture in Section 2, provides an effective basis for digital identities which protects the privacy of personal data. In particular: ・第1章 で特定された標準およびソリューションに適用され、第2章で単一のアーキ テクチャに合理化された SSI 技術は、個人データのプライバシーを保護するデジタル・アイデ ンティティの効果的な基盤を提供します。具体的には
o  Decentralised digital identities can be used to support pseudonyms for privacy of identity, o Verifiable credentials enable the separation of potentially private attributes from the digital identity all the user selection of attributes to be revealed to relying parties to ensure privacy of attributes which it is unnecessary to reveal, and o 検証可能な認証情報により、潜在的にプライベートな属性をデジタル・アイデンティティから分離することができ、依拠当事者に公開する属性をユーザが選択することで、公開する必要のない属性のプライバシーを確保することができます。
o  The ability to hold multiple authentication keys in a wallet with separate identity documents from different controllers enables the user to cryptographically separate transactions maintaining privacy by avoiding links between the separate transactions. o 複数の認証鍵を、異なる管理者による個別のアイデンティティ文書とともにウォレットに保持する機能により、ユーザは個別のトランザクション間のリンクを回避することでプライバシーを維持しつつ、トランザクションを暗号的に分離することができる。
•    For the governance of the elements of the architectural elements of an SSI solution (Section 3), there is a need to consider: ・SSIソリューションのアーキテクチャ要素のガバナンス(第3章)については、以下を検討する必要があります。
o  Certification of wallets,  o ウォレットの認証
o Audit and oversight of DID controllers,  o DIDコントローラーの監査および監督 
o Audit and oversight of VC issuers,  o VC発行者の監査および監督
o Audit and oversight of DID and VC registries, and o DIDおよびVCレジストリーの監査および監督
o  All the above are interdependent and the governance of the DID controller and VC issuer also need to ensure that the other elements of an SSI architecture are also properly governed. o 上記はすべて相互に依存しており、DIDコントローラーとVC発行者のガバナンスは、SSIアーキテクチャの他の要素が適切にガバナンスされていることを保証する必要があります。
•    When risk of the architecture of SSI is considered, the following key security measures need to be implemented: ・SSIのアーキテクチャのリスクを考慮すると,以下の主要なセキュリティ対策を実施する必要があります。
o  Data minimalization – for use only necessary data, o データの最小化 - 必要なデータのみを使用します。
o  Consent and choice – in which the user controls the process and data used for identification, and o 同意と選択 - 識別のために使用されるプロセスとデータをユーザーが管理します。
o  Accuracy and quality – in which all parties can trust identification data stored and provided by the wallet. o 正確さと品質 - ウォレットが保存、提供する識別データをすべての当事者が信頼できるようにします。
•    Lastly, it is recognised that there may be a role for ongoing support for technologies such as X.509 PKI, OpenID Connect, and existing national identity schemes. Thus, if SSI is to be adopted, further consideration should be given to co-existence between existing technologies and SSI. ・最後に,X.509 PKI,OpenID Connect,および既存の国の ID スキームなどの技術を継続的にサポー トする役割があることが認識されている。したがって,SSI を採用する場合は,既存の技術と SSI との共存をさらに考慮する必要があります。
TABLE OF CONTENTS  目次 
INTRODUCTION 序論
1. CURRENT GLOBAL AND EUROPEAN SSI LANDSCAPE 1. 現在の世界および欧州の SSI の状況
1.1 STANDARDS 1.1 標準規格
1.1.1 W3C Specifications 1.1.1 W3C仕様
1.1.2 Decentralised Identity Foundation (DIF) 1.1.2 非中央集権的アイデンティティ財団(DIF)
1.1.3 ISO TC 307 and CEN/CLC JTC 19 1.1.3 ISO TC 307 および CEN/CLC JTC 19
1.1.4 ISO/IEC 23220 and 18013-5 1.1.4 ISO/IEC 23220および18013-5
1.2 SSI COMMUNITIES 1.2 SSIコミュニティ
1.2.1 Sovrin 1.2.1 Sovrin
1.2.2 Hyperledger 1.2.2 ハイパーレッジャー
1.2.3 ESSIF 1.2.3 ESSIF
1.2.4 Latin America and Caribbean Chain (LACChain) 1.2.4 ラテンアメリカ・カリブチェーン(LACChain)
1.3 EXISTING EID INITIATIVES 1.3 既存のeidに関する取り組み
1.3.1 eIDAS 2.0 1.3.1 eIDAS 2.0
1.3.2 OpenID/OAuth2 1.3.2 OpenID/OAuth2
1.3.3 Horizon 2020 Initiatives 1.3.3 Horizon 2020における取り組み
1.4 EU NATIONAL SSI AND ELECTRONIC IDENTITY WALLET INITIATIVES 1.4 EU 各国の SSI および電子 ID ウォレットの取り組み
1.4.1 Germany 1.4.1 ドイツ
1.4.2 Spain 1.4.2 スペイン
1.4.3 Netherlands 1.4.3 オランダ
1.4.4 Poland 1.4.4 ポーランド
1.4.5 Survey Results: Current SSI Activities in Selected EU MS 1.4.5 調査結果。特定のEU加盟国におけるSSI活動の現状
2. ARCHITECTURAL ELEMENTS FOR SELF-SOVEREIGN IDENTITY 2. 自己主権型アイデンティティのための建築要素
3. GOVERNANCE OF A DIGITAL IDENTITY FRAMEWORK 3. デジタル・アイデンティティ・フレームワークのガバナンス
3.1 SSI AND GENERAL GOVERNANCE 3.1 SSIおよび一般的なガバナンス
3.2 GOVERNANCE OF WALLETS 3.2 ウォレットのガバナンス
3.3 GOVERNANCE OF DID CONTROLLERS 3.3 ID 管理者のガバナンス
3.4 GOVERNANCE OF VC ISSUERS 3.4 vc 発行者のガバナンス
3.5 GOVERNANCE OF DID AND VC REGISTRIES 3.5 ID および vc レジストリのガバナンス
3.6 INTERDEPENDENCE 3.6 相互依存関係
4. DIGITAL IDENTITY CONSIDERATION OF RISKS 4. デジタル・アイデンティティに関するリスクの検討
4.1 SECURITY MEASURES 4.1 セキュリティ対策
4.2 ASSET IDENTIFICATION 4.2 資産の識別
4.2.1 Primary assets (processes) 4.2.1 一次資産(プロセス)
4.2.2 Primary assets (data) 4.2.2 一次資産(データ)
4.3 RISK IDENTIFICATION 4.3 リスクの特定
4.3.1 Process: Obtaining of the wallet 4.3.1 プロセス ウォレットの入手
4.3.2 Process: Wallet management 4.3.2 プロセス ウォレットの管理
4.3.3 Process: Wallet control proof 4.3.3 プロセス ウォレットの管理証明
4.3.4 Process: Identity attribute proofing 4.3.4 プロセス ID属性の証明
4.3.5 Verifiable data issuance 4.3.5 検証可能なデータの発行
4.3.6 Process: Relying party authentication 4.3.6 プロセス 依拠当事者の認証
4.3.7 Process: Identified entity presentation and authentication 4.3.7 プロセス 識別されたエンティティの提示および認証
4.3.8 Process: Issuance and revocation of verifiable data to registry 4.3.8 プロセス レジストリへの検証可能なデータの発行と失効
4.3.9 Process: Validation of verifiable data 4.3.9 プロセス 検証可能なデータの検証
4.3.10 DATA: Wallet holder authentication means (e.g., private keys) 4.3.10 DATA: ウォレット保有者の認証手段(例:秘密鍵)
4.3.11 DATA: Verifiable data (may include private data) 4.3.11 DATA: 検証可能なデータ(プライベートデータを含む場合もある)
4.3.12 DATA: Registry data (assumed does not include any private data) 4.3.12 DATA: レジストリデータ(プライベートデータを含まないものとする)
5. CONCLUSIONS 5. 結論
6. REFERENCES 6. 参考文献
A ANNEX: NATIONAL STATUS INFORMATION SURVEY - QUESTIONS 附属書A:国情報調査-質問事項

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

eIDASが出てくるの記事。。。

・2021.06.07 欧州委員会 EU人としてのデジタルIDのフレームワークを提案

・2021.03.12 ENISA eIDAS規制の導入を促進するために電子的な識別とトラストサービスに関する技術ガイダンスと勧告を公表

・2021.02.17 ENISA Remote ID Proofing(ヨーロッパ諸国の遠隔身元証明の現状)

・2021.01.22 ENISA 「ヘルスケアサービスのためのクラウドセキュリティー」を公表

・2020.12.06 ENISA 第19条専門家グループ第16回会合:eIDAS監督機関等の53名の専門家が信託サービスのセキュリティとインシデント報告に関する情報を交換

・2020.11.26 ENISA 認証をサポートする規格

・2020.11.13 JIPDEC 第98回JIPDECセミナー 「eシールとは? —内外での活用状況からJIPDECの取組みまで」資料公開

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

・2020.04.16 ENISA eIDと信託サービスにおけるENISAの役割

・2020.03.17 ENISA eIDAS準拠のeIDソリューションに関する報告書

 

| | Comments (0)

Coinhive事件の最高裁判決

こんにちは、丸山満彦です。

Coinhive事件 [wikipedia] の最高裁判決(無罪)の判決文が早速公開されていますね。。。

結局、一審の判決に近い形となったんですかね。。。

「本件プログラムコードは,反意図性は認められるが,不正性は認められないため,不正指令電磁的記録とは認められない。」

● 裁判所 - 裁判例検索

・2021.01.20 令和2(あ)457 不正指令電磁的記録保管被告事件

・[PDF] [downloaded]

20220120-232200

 

・反意図性

「その意図に沿うべき動作をさせず,又はその意図に反する動作をさせるべき」という要件

・不正性

「不正な」という要件

 

 

 

 

| | Comments (0)

2022.01.20

米国 消費者製品安全委員会監察官室 NISTサイバーセキュリティフレームワーク実装の評価

こんにちは、丸山満彦です。

米国の消費者製品安全委員会 (Consumer Product Safety Commission)  の監察官室 (Office of Inspector General; OIG) が消費者製品安全委員会はFISMAに従っていないという報告書を出していますね。。。

連邦政府では、内部監査をして、その結果を公開し、さらにGAOによる監査もあり、それも公開されてと、国民に対するAccountabilityが日本に比べて格段に果たされていて、すごいなぁと思います。。。

 

Oversight.gov

・2022.01.17 Evaluation of the CPSC's NIST Cybersecurity Framework Implementation

・[PDF

20220120-164604

3章が結論部分ですが。。。

3. FINDING:  The CPSC Has Not Implemented the NIST CSF    3. FINDING  CPSCは、NIST CSFを実施していない。  
Overall, based on the evaluation procedures performed, Williams Adley has determined that the CPSC has not implemented the NIST CSF in accordance with requirements.  Each of the related conditions are documented below.   全体として、実施した評価手続きに基づき、ウィリアムズ・アドリーは、CPSCが要求事項に沿ってNIST CSFを実施していないと判断した。 関連する各条件を以下に文書化します。 
Cybersecurity Framework Conditions   サイバーセキュリティフレームワークの条件  
The CPSC Office of Information Technology (EXIT) is responsible for implementing the NIST CSF and related practices in support of their responsibility for implementing the agency’s cybersecurity program.  EXIT originally generated a high-level action plan and timely submitted this plan to OMB in 2017, however, the action plan was not implemented.  Williams Adley noted that EXIT has not:   CPSCの情報技術局(EXIT)は、CPSCのサイバーセキュリティプログラムを実施する責任をサポートするために、NIST CSFと関連するプラクティスを実施する責任があります。 EXITは当初、ハイレベルなアクションプランを作成し、このプランを2017年にOMBにタイムリーに提出しましたが、アクションプランは実施されませんでした。 ウィリアムズ・アドリーは、EXITが以下のことを行っていないと指摘しています。 
・defined a NIST CSF current profile  ・NIST CSF のカレントプロファイルを定義していない。
・completed a risk assessment that identified, measured, and assigned values to potential cybersecurity risks to determine if the CPSC has considered the costs and benefits of reducing cybersecurity risks  ・CPSC がサイバーセキュリティリスクを低減するためのコストとベネフィットを考慮しているかどうかを判断するために、潜在的なサイバーセキュリティリスクを特定し、測定し、値を割り当てるリスクアセスメントを完了した。
・completed a NIST CSF target profile  ・NIST CSF の目標プロファイルを完成させた。
・performed an assessment to identify current state and target state gaps and used this analysis to update its NIST CSF Action Plan  ・現在の状態と目標状態のギャップを特定するための評価を実施し、この分析結果に基づいて NIST CSF アクションプランを更新した。
・implemented a NIST CSF Action Plan  ・NIST CSFアクションプランを実施した。
Cause   原因  
The CPSC did not complete the actions as prescribed by the NIST CSF, and as documented in their original action plan, because the CPSC focused their resources on other priorities.  The CPSC asserts that it did not complete this because the CPSC focused its limited resources on addressing an unprecedented number of Department of Homeland Security Emergency Directives, Binding Operational Directives, critical security advisories, and cyber threats during the period in question.  CPSCは、他の優先事項に資源を集中させたため、NIST CSFで規定され、当初の行動計画で文書化された通りの行動を完了しなかった。 CPSCは、当該期間中に前例のない数の国土安全保障省の緊急指令、拘束力のある運用指令、重要なセキュリティ勧告、サイバー脅威への対応に限られた資源を集中させたため、これを完了しなかったと主張しています。
Effect  効果 
By not implementing the NIST CSF, the CPSC missed a powerful opportunity to leverage government and industry best practices when prioritizing cybersecurity efforts, thus increasing the ongoing cybersecurity risk to its mission to keep consumers safe.  NIST CSFを実施しなかったことにより、CPSCは、サイバーセキュリティの取り組みを優先する際に政府や業界のベストプラクティスを活用する強力な機会を逃し、消費者の安全を守るという使命に対する継続的なサイバーセキュリティのリスクを増大させた。
Recommendations  推奨事項 
Below we have provided a list of recommendations that the CPSC must implement to meet NIST CSF requirements.   以下に、NIST CSFの要件を満たすためにCPSCが実施すべき提言をまとめました。 
1. Complete a National Institute of Standards and Technology (NIST) Cybersecurity Framework current profile in accordance with NIST guidance.   1. NISTのガイダンスに従って、米国標準技術研究所(NIST)のサイバーセキュリティフレームワークの最新プロファイルを完成させる。 
2. Conduct an assessment to identify the highest risks to the CPSC’s security profile based on the information learned while completing the National Institute of Standards and Technology Cybersecurity Framework current profile exercise.   2. 米国標準技術研究所(NIST)サイバーセキュリティフレームワークの現行プロファイル演習を完了する際に学んだ情報に基づいて、CPSCのセキュリティプロファイルに対する最も高いリスクを特定するための評価を実施すること。 
3. Complete a National Institute of Standards and Technology (NIST) Cybersecurity Framework target profile in accordance with NIST guidance.   3. NISTのガイダンスに従って、米国標準技術研究所(NIST)のサイバーセキュリティフレームワークのターゲットプロファイルを完成させる。 
4. Perform an assessment to identify gaps between the current and target National Institute of Standards and Technology Cybersecurity Framework profiles.   4. 米国標準技術局(National Institute of Standards and Technology)のサイバーセキュリティフレームワークの現行プロファイルと目標プロファイルの間のギャップを特定するための評価を行う。 
5. Update and implement the CPSC Framework Implementation Action Plan.  5. CPSC フレームワーク実施行動計画を更新し、実施する。

 

 

 

 

 

| | Comments (0)

中国 習近平国家主席のダボス会議でのスピーチ

こんにちは、丸山満彦です。

習近平国家主席のダボス会議でのスピーチ

  1. みんなで力を合わせて流行を乗り越える
  2. 様々なリスクを解消し、世界経済の安定的な回復を促進する
  3. 開発格差を超えて、グローバルな開発の目的を再活性化する。
  4. 冷戦のメンタリティを捨て、平和的共存と互恵を実現する。

というのが、メッセージのポイントのようです。

外交部

2022.01.17 习近平在2022年世界经济论坛视频会议的演讲(全文)
2022年世界経済フォーラムにおける習近平主席のビデオ会議のスピーチ(全文)

 

坚定信心 勇毅前行 共创后疫情时代美好世界 ポスト疫病時代のより良い世界に向けた自信と勇気
——在2022年世界经济论坛视频会议的演讲 -- 2022年世界経済フォーラム ビデオ会議でのスピーチ
(2022年1月17日) (2022年1月17日)
中华人民共和国主席 习近平 中華人民共和国 習近平国家主席
尊敬的施瓦布主席, 親愛なるシュワブ代表
女士们,先生们,朋友们: 紳士淑女の皆さん、友人の皆さん。
大家好!很高兴出席世界经济论坛视频会议。 皆さん、こんにちは。 世界経済フォーラムのビデオ会議に参加できることを嬉しく思います。
再过两周,中国农历虎年新春就要到来。在中国文化中,虎是勇敢和力量的象征,中国人常说生龙活虎、龙腾虎跃。面对当前人类面临的严峻挑战,我们要如虎添翼、虎虎生威,勇敢战胜前进道路上各种险阻,全力扫除新冠肺炎疫情阴霾,全力促进经济社会恢复发展,让希望的阳光照亮人类! あと2週間で、中国の旧正月である「寅年」がやってきます。 中国文化では、虎は勇敢さと強さの象徴であり、中国ではよく「龍は生きていて、虎は跳んでいる」と言われています。 人類が直面している深刻な課題に直面して、私たちは虎のように勇敢になり、道中のあらゆる障害を克服して、新型肺炎の流行のもやもやを解消し、経済と社会の回復と発展を促進し、人類に希望の太陽を輝かせなければなりません
当今世界正在经历百年未有之大变局。这场变局不限于一时一事、一国一域,而是深刻而宏阔的时代之变。时代之变和世纪疫情相互叠加,世界进入新的动荡变革期。如何战胜疫情?如何建设疫后世界?这是世界各国人民共同关心的重大问题,也是我们必须回答的紧迫的重大课题。 今、世界は100年に一度の未曾有の大変革期を迎えています。 この変化は、一時期や一国に限定されたものではなく、深遠で大規模な時代の変化である。 時代の変化と世紀の流行が重なり、世界は新たな混乱と変化の時代を迎えています。 どうすれば流行を乗り越えられるのか? ポスト疫病の世界をどう構築するか? これは、世界のすべての人々にとって共通の関心事であり、私たちが答えなければならない緊急かつ重要な問題です。
“天下之势不盛则衰,天下之治不进则退。”世界总是在矛盾运动中发展的,没有矛盾就没有世界。纵观历史,人类正是在战胜一次次考验中成长、在克服一场场危机中发展。我们要在历史前进的逻辑中前进、在时代发展的潮流中发展。 世界が繁栄しなければ衰退し、世界の統治が進まなければ後退する。 世界は常に矛盾の動きの中で発展しており、矛盾がなければ世界は存在しない。 歴史を振り返ると、人類が成長し、発展してきたのは、次から次へと襲ってくる試練を乗り越えてきたからです。 歴史の論理の中で前進し、時代の流れの中で発展していかなければなりません。
不论风吹雨打,人类总是要向前走的。我们要善于从历史长周期比较分析中进行思考,又要善于从细微处洞察事物的变化,在危机中育新机、于变局中开新局,凝聚起战胜困难和挑战的强大力量。 風が吹こうが雨が降ろうが、人類は必ず前に進む。 私たちは、比較分析の長い歴史的サイクルから考えることに長けているだけでなく、物事の変化の機微から洞察することにも長けていなければなりません。危機の中で新たな機会を育み、変化の中で新たな状況を切り開き、困難や課題を克服するために強い力を結集するのです。
第一,携手合作,聚力战胜疫情。面对这场事关人类前途命运的世纪疫情,国际社会打响了一场顽强的阻击战。事实再次表明,在全球性危机的惊涛骇浪里,各国不是乘坐在190多条小船上,而是乘坐在一条命运与共的大船上。小船经不起风浪,巨舰才能顶住惊涛骇浪。在国际社会共同努力下,全球抗疫已经取得重要进展,但疫情反复延宕,病毒变异增多,传播速度加快,给人民生命安全和身体健康带来严重威胁,给世界经济发展带来深刻影响。 第一に、みんなで力を合わせて流行を乗り越えましょう。 人類の未来を左右する世紀の大流行を前に、国際社会はそれを阻止するために粘り強い戦いを繰り広げてきました。 繰り返しになりますが、世界危機の激動の波の中で、各国は190隻以上の小さな船に乗っているのではなく、共通の運命を持つ1つの大きな船に乗っているという事実があります。 小さな船は荒波に耐えられないが、巨大な船だけは乱れた波に耐えられる。 国際社会の共同努力により、世界的な流行との戦いにおいて重要な進展が見られましたが、度重なる流行の遅れ、ウイルスの突然変異の増加、感染の拡大の加速は、人々の生命と健康に深刻な脅威を与え、世界の経済発展にも大きな影響を与えています。
坚定信心、同舟共济,是战胜疫情的唯一正确道路。任何相互掣肘,任何无端“甩锅”,都会贻误战机、干扰大局。世界各国要加强国际抗疫合作,积极开展药物研发合作,共筑多重抗疫防线,加快建设人类卫生健康共同体。特别是要用好疫苗这个有力武器,确保疫苗公平分配,加快推进接种速度,弥合国际“免疫鸿沟”,把生命健康守护好、把人民生活保障好。 疫病を克服する唯一の正しい方法は、確固たる自信を持ち、協力し合うことです。 相互に制約をかけたり、鍋を不当に「捨てる」ことは、機会損失を招き、全体の状況を阻害するだけです。 世界各国は、疫病対策のための国際協力を強化し、医薬品の研究開発に積極的に協力し、疫病に対する複数の防御ラインを構築し、ヒューマン・ヘルス・コミュニティの構築を加速すべきである。 特に、ワクチンを強力な武器として使用し、ワクチンの公平な分配を確保し、ワクチン接種のスピードを速め、国際的な「予防接種ギャップ」を埋めて、生命と健康を守り、人々の生活を守ることが必要です。
中国言必信、行必果,已向120多个国家和国际组织提供超过20亿剂疫苗。中国将再向非洲国家提供10亿剂疫苗,其中6亿剂为无偿援助,还将无偿向东盟国家提供1.5亿剂疫苗。 中国はこれまでに、120以上の国や国際機関に20億回以上のワクチンを提供してきました。 中国は、アフリカ諸国に10億回分のワクチンを提供し、そのうち6億回分を無料で提供するほか、ASEAN諸国に1億5千万回分のワクチンを無料で提供します。
第二,化解各类风险,促进世界经济稳定复苏。世界经济正在走出低谷,但也面临诸多制约因素。全球产业链供应链紊乱、大宗商品价格持续上涨、能源供应紧张等风险相互交织,加剧了经济复苏进程的不确定性。全球低通胀环境发生明显变化,复合型通胀风险正在显现。如果主要经济体货币政策“急刹车”或“急转弯”,将产生严重负面外溢效应,给世界经济和金融稳定带来挑战,广大发展中国家将首当其冲。我们要探索常态化疫情防控条件下的经济增长新动能、社会生活新模式、人员往来新路径,推进跨境贸易便利化,保障产业链供应链安全畅通,推动世界经济复苏进程走稳走实。 第二に、様々なリスクを解消し、世界経済の安定的な回復を促進しましょう。 世界経済は低迷を脱しつつありますが、多くの制約を受けています。 世界の産業チェーンにおけるサプライチェーンの混乱、商品価格の継続的な上昇、エネルギー供給の制約などのリスクが絡み合い、経済回復プロセスの不確実性を高めています。 世界の低インフレ環境は大きく変化し、複合的なインフレリスクが顕在化しています。 主要国の金融政策が「急ブレーキ」や「急旋回」すると、深刻な悪影響が波及し、世界経済や金融の安定性に課題が生じ、その影響は途上国にも及びます。 私たちは、疫病の予防と制御が正常化した状況下で、経済成長の新たなダイナミクス、社会生活の新たなモード、人と人との交流の新たな道を模索し、国境を越えた貿易の円滑化を促進し、産業チェーンにおけるサプライチェーンの安全で円滑な流れを確保し、世界経済の安定した堅実な回復を促進する必要があります。
经济全球化是时代潮流。大江奔腾向海,总会遇到逆流,但任何逆流都阻挡不了大江东去。动力助其前行,阻力促其强大。尽管出现了很多逆流、险滩,但经济全球化方向从未改变、也不会改变。世界各国要坚持真正的多边主义,坚持拆墙而不筑墙、开放而不隔绝、融合而不脱钩,推动构建开放型世界经济。要以公平正义为理念引领全球治理体系变革,维护以世界贸易组织为核心的多边贸易体制,在充分协商基础上,为人工智能、数字经济等打造各方普遍接受、行之有效的规则,为科技创新营造开放、公正、非歧视的有利环境,推动经济全球化朝着更加开放、包容、普惠、平衡、共赢的方向发展,让世界经济活力充分迸发出来。 経済のグローバル化は時代の趨勢です。 大河が海に向かって突進するとき、必ず逆流に遭遇しますが、どんな逆流でも大河が東に向かうのを止めることはできません。 勢いがあれば前に進むことができ、抵抗があれば強くなることができます。 多くの逆流や危険な浅瀬にもかかわらず、経済のグローバル化の方向性はこれまでも、そしてこれからも変わることはありません。 世界の国々は、真のマルティラテラリズムを堅持し、壁を壊すのではなく作ること、開放するのではなく孤立させること、統合するのではなく切り離すこと、そして開かれた世界経済の構築を推進しなければなりません。 私たちは、公正と正義の概念をもってグローバルガバナンスシステムの変革をリードし、世界貿易機関を中核とする多国間貿易システムを堅持し、完全な協議に基づいてすべての当事者が普遍的に受け入れ、実効性のある人工知能とデジタル経済のルールを作成し、科学技術革新のためのオープンで公正かつ無差別な実現環境を構築し、経済のグローバル化をよりオープンで、包括的で、バランスのとれた、ウィンウィンの方向に推進していくべきです。 世界経済の活力を存分に発揮してください。
现在,大家有一种共识,就是推动世界经济走出危机、实现复苏,必须加强宏观政策协调。主要经济体要树立共同体意识,强化系统观念,加强政策信息透明和共享,协调好财政、货币政策目标、力度、节奏,防止世界经济再次探底。主要发达国家要采取负责任的经济政策,把控好政策外溢效应,避免给发展中国家造成严重冲击。国际经济金融机构要发挥建设性作用,凝聚国际共识,增强政策协同,防范系统性风险。 現在、世界経済を危機から脱却させ、回復させるためには、マクロ政策の調整を強化する必要があるというコンセンサスが得られています。 主要国は、世界経済の再底打ちを防ぐために、共同体意識を育み、システミックな概念を強化し、政策情報の透明性と共有性を高め、財政・金融政策の目的、強さ、ペースを調整する必要があります。 主要先進国は、責任ある経済政策を採用し、政策の波及効果をコントロールし、途上国に深刻なショックを与えないようにすべきである。 国際的な経済・金融機関は、建設的な役割を果たし、国際的なコンセンサスを構築し、政策の相乗効果を高め、システミック・リスクを防止すべきである。
第三,跨越发展鸿沟,重振全球发展事业。全球发展进程正在遭受严重冲击,南北差距、复苏分化、发展断层、技术鸿沟等问题更加突出。人类发展指数30年来首次下降,世界新增1亿多贫困人口,近8亿人生活在饥饿之中,粮食安全、教育、就业、医药卫生等民生领域面临更多困难。一些发展中国家因疫返贫、因疫生乱,发达国家也有很多人陷入生活困境。 第三は、開発格差を超えて、グローバルな開発の目的を再活性化することです。 世界の発展過程は深刻なショックに見舞われており、南北格差、復興格差、発展の断層、技術格差などが顕著になっている。 人間開発指数は30年ぶりに低下し、世界の貧困層には1億人以上が加わり、8億人近くが飢餓状態にあり、食料安全保障、教育、雇用、医療・健康など人々の生活に関わる分野がより困難に直面しています。 発展途上国の中には、伝染病によって貧困と混乱に陥った国もあり、先進国でも多くの人々が厳しい生活環境に陥っています。
不论遇到什么困难,我们都要坚持以人民为中心的发展思想,把促进发展、保障民生置于全球宏观政策的突出位置,落实联合国2030年可持续发展议程,促进现有发展合作机制协同增效,促进全球均衡发展。我们要坚持共同但有区别的责任原则,在发展框架内推进应对气候变化国际合作,落实《联合国气候变化框架公约》第二十六次缔约方大会成果。发达经济体要率先履行减排责任,落实资金、技术支持承诺,为发展中国家应对气候变化、实现可持续发展创造必要条件。 どのような困難があっても、私たちは人間中心の開発思想を堅持し、開発の促進と人々の生活の保護をグローバルなマクロ政策の最前線に置き、国連の「持続可能な開発のための2030アジェンダ」を実施し、既存の開発協力メカニズムの相乗効果を促進し、バランスのとれたグローバルな開発を推進しなければなりません。 共通だが差異ある責任の原則を堅持し、開発の枠組みの中で気候変動に対処するための国際協力を促進し、国連気候変動枠組条約第26回締約国会議の成果を実施すべきである」と述べた。 先進国は、率先して排出量削減の責任を果たし、資金・技術支援の約束を実行し、途上国が気候変動に対処し、持続可能な開発を達成するために必要な条件を整えるべきである。
去年,我在联合国大会上提出全球发展倡议,呼吁国际社会关注发展中国家面临的紧迫问题。这个倡议是向全世界开放的公共产品,旨在对接联合国2030年可持续发展议程,推动全球共同发展。中国愿同各方携手合作,共同推进倡议落地,努力不让任何一个国家掉队。 私は昨年、国連総会で「グローバル・ディベロップメント・イニシアチブ」を提案し、国際社会に途上国が直面している緊急課題に焦点を当てるよう呼びかけました。 この取り組みは、世界に開かれた公共財であり、国連の「持続可能な開発のための2030アジェンダ」と連携し、世界共通の開発を推進することを目的としています。 中国は、すべての当事者と手を携えて、このイニシアティブの実施を推進し、どの国も取り残さないように努力したいと考えています。
第四,摒弃冷战思维,实现和平共处、互利共赢。当今世界并不太平,煽动仇恨、偏见的言论不绝于耳,由此产生的种种围堵、打压甚至对抗对世界和平安全有百害而无一利。历史反复证明,对抗不仅于事无补,而且会带来灾难性后果。搞保护主义、单边主义,谁也保护不了,最终只会损人害己。搞霸权霸凌,更是逆历史潮流而动。国家之间难免存在矛盾和分歧,但搞你输我赢的零和博弈是无济于事的。任何执意打造“小院高墙”、“平行体系”的行径,任何热衷于搞排他性“小圈子”、“小集团”、分裂世界的行径,任何泛化国家安全概念、对其他国家经济科技发展进行遏制的行径,任何煽动意识形态对立、把经济科技问题政治化、武器化的行径,都严重削弱国际社会应对共同挑战的努力。和平发展、合作共赢才是人间正道。不同国家、不同文明要在彼此尊重中共同发展、在求同存异中合作共赢。 第四は、冷戦のメンタリティを捨て、平和的共存と互恵を実現することです。 今の世界は平和ではなく、憎しみや偏見を煽るような発言が目立ちます。 その結果、包囲網や弾圧、さらには対立が起こり、世界の平和と安全に良い影響を与えることはありません。 対立は役に立たないだけでなく、悲惨であることは歴史が繰り返し証明している。 保護主義や一国主義では誰も守れず、結局は他人を傷つけ、自分も傷つくだけです。 覇権主義やイジメを行うことは、歴史の流れに逆らうことです。 国によって矛盾や違いがあるのはやむを得ないが、あなたが負けて私が勝つというゼロサムゲームではどうにもならない。 狭い庭と高い壁」や「並列システム」を作ることにこだわる行動、排他的な「小さなサークル」や「小さなグループ」を作って世界を分断しようと躍起になる行動は、何の役にも立ちません。 排他的な「小さなサークル」や「クリケット」を作って世界を分断しようとする行為、国家安全保障の概念を一般化して他国の経済・科学の発展を抑制する行為、イデオロギー的対立を煽り、経済・科学の問題を政治化・武器化する行為は、共通の課題に取り組む国際社会の努力を著しく損なうことになります。 平和的な発展とWin-Winの協力は、地球上の正しい道です。 異なる国や文明は、相互に尊重し合いながら共に発展し、違いを留保しながら共通点を求めてWin-Winの状況を目指して協力すべきである。
我们要顺应历史大势,致力于稳定国际秩序,弘扬全人类共同价值,推动构建人类命运共同体。要坚持对话而不对抗、包容而不排他,反对一切形式的单边主义、保护主义,反对一切形式的霸权主义和强权政治。 我々は、歴史の一般的な流れに従い、国際秩序の安定化に尽力し、全人類の共通の価値観を促進し、人類の運命共同体の構築を推進すべきである」と述べた。 私たちは、対立を伴わない対話、排除を伴わない包括性を主張し、あらゆる形態の単独主義や保護主義、さらにはあらゆる形態の覇権主義やパワーポリティクスに反対しなければなりません。
女士们、先生们、朋友们! 紳士淑女の皆さん、友人の皆さん
去年是中国共产党成立一百周年。中国共产党团结带领中国人民长期艰苦奋斗,在国家建设发展和人民生活改善上取得举世瞩目的成就,如期实现了全面建成小康社会目标,如期打赢了脱贫攻坚战,历史性地解决了绝对贫困问题,现在踏上了全面建设社会主义现代化国家新征程。 昨年は中国共産党(CPC)創立100周年でした。 中国共産党は、中国人民を団結させ、長く苦しい闘いをリードし、国家建設と発展、人民の生活向上において世界に名だたる成果を上げ、適度に豊かな社会を建設するという目標を予定通り達成し、貧困との闘いに予定通り勝利し、絶対的貧困問題を歴史的に解決し、現在、あらゆる面で現代の社会主義国を建設するための新たな旅に出ています。
——中国将坚定不移推动高质量发展。中国经济总体发展势头良好,去年中国国内生产总值增长8%左右,实现了较高增长和较低通胀的双重目标。虽然受到国内外经济环境变化带来的巨大压力,但中国经济韧性强、潜力足、长期向好的基本面没有改变,我们对中国经济发展前途充满信心。 ・中国は質の高い発展を揺るぎなく推進する。 中国の経済はおおむね順調に推移しており、昨年の中国の国内総生産(GDP)は約8%増加し、成長率の向上とインフレ率の低下という2つの目標を達成しました。 国内外の経済環境の変化から大きなプレッシャーを受けていますが、回復力があり、十分な潜在力を持ち、長期的に改善している中国経済のファンダメンタルズは変わっておらず、中国の経済発展の将来性に確信を持っています。
“国之称富者,在乎丰民。”中国经济得到长足发展,人民生活水平大幅提高,但我们深知,满足人民对美好生活的向往还要进行长期艰苦的努力。中国明确提出要推动人的全面发展、全体人民共同富裕取得更为明显的实质性进展,将为此在各方面进行努力。中国要实现共同富裕,但不是搞平均主义,而是要先把“蛋糕”做大,然后通过合理的制度安排把“蛋糕”分好,水涨船高、各得其所,让发展成果更多更公平惠及全体人民。 国を豊かと呼ぶ者は、国民を豊かにすることを大切にする 中国の経済は大きく成長し、人々の生活水準は急激に向上しましたが、より良い生活を求める人々の願望を満たすためには、まだまだ長く困難な闘いが続いていることを私たちはよく理解しています。 中国は、人々の全面的な発展とすべての人々の共同の繁栄を促進するために、より目に見える形で実質的な進歩を遂げたいと考えており、そのためにあらゆる面で努力していくことを明確にしています。 中国は共同繁栄を目指していますが、それは平等主義的なものではありません。 まず「ケーキ」を大きくし、合理的な制度的取り決めによってそれをうまく分け合い、水が増えれば皆が分け前を得て、発展の果実がより大きく公平にすべての人々に恩恵をもたらすようにしたいのです。
——中国将坚定不移推进改革开放。中国改革开放永远在路上。不论国际形势发生什么变化,中国都将高举改革开放的旗帜。中国将继续使市场在资源配置中起决定性作用,更好发挥政府作用,毫不动摇巩固和发展公有制经济,毫不动摇鼓励、支持、引导非公有制经济发展。中国将建设统一开放、竞争有序的市场体系,确保所有企业在法律面前地位平等、在市场面前机会平等。中国欢迎各种资本在中国合法依规经营,为中国发展发挥积极作用。中国将继续扩大高水平对外开放,稳步拓展规则、管理、标准等制度型开放,落实外资企业国民待遇,推动共建“一带一路”高质量发展。区域全面经济伙伴关系协定已于今年1月1日正式生效,中国将忠实履行义务,深化同协定各方经贸联系。中国还将继续推进加入全面与进步跨太平洋伙伴关系协定和数字经济伙伴关系协定进程,进一步融入区域和世界经济,努力实现互利共赢。 ・中国は改革開放を揺るぎなく推進する。 中国の改革開放は常に途上にある。 国際情勢がどのように変化しようとも、中国は改革開放の旗を高く掲げる。 中国は引き続き、資源配分において市場が決定的な役割を果たすことを可能にし、政府の役割をよりよく果たし、公共部門の経済を揺るぎなく統合・発展させ、非公共部門の経済の発展を揺るぎなく奨励・支援・指導していく。 中国は、統一された、開かれた、競争的で秩序ある市場システムを構築し、すべての企業が法の下で平等な地位を得て、市場で平等な機会を得られるようにする。 中国は、あらゆる種類の資本が合法的に、規制に従って中国で活動し、中国の発展に積極的な役割を果たすことを歓迎します。 中国は引き続き高水準の対外開放を拡大し、規則、管理、基準などの制度の開放を着実に拡大し、外資系企業に対する国家的な待遇を実施し、「一帯一路」の質の高い発展を促進していきたいと考えています。 本年1月1日に発効した地域包括的経済連携協定(RCEP)について、中国はその義務を誠実に果たし、すべての締約国との経済・貿易関係を深めていきます」と述べています。 また、中国は、包括的かつ先進的な環太平洋パートナーシップ協定(CPTPA)およびデジタル経済パートナーシップ協定(DEPA)への加盟を引き続き推進し、地域経済および世界経済へのさらなる統合を図り、相互利益とWin-Winの結果を得るために努力していきます」。
——中国将坚定不移推进生态文明建设。我经常说,发展经济不能对资源和生态环境竭泽而渔,生态环境保护也不是舍弃经济发展而缘木求鱼。中国坚持绿水青山就是金山银山的理念,推动山水林田湖草沙一体化保护和系统治理,全力以赴推进生态文明建设,全力以赴加强污染防治,全力以赴改善人民生产生活环境。中国正在建设全世界最大的国家公园体系。中国去年成功承办联合国《生物多样性公约》第十五次缔约方大会,为推动建设清洁美丽的世界作出了贡献。 ・中国は生態文明の建設を揺るぎなく推進する。 私はよく,経済発展が資源や生態環境を漁るための手段であってはならないし,生態保護が経済発展を捨てて丸太から魚を求めるための手段であってはならないと言ってきました。 中国は,「緑の水,緑の山は金の山」という概念を堅持し,山,水,森,田,湖,草,砂の総合的な保護と体系的な管理を推進し,生態系文明の促進,汚染防止・管理の強化,人々の生産・生活環境の改善に全力で取り組んでいます。 中国は,世界最大の国立公園システムを構築しています。 中国は昨年,「国連生物多様性条約第15回締約国会議」を成功裏に開催し,クリーンで美しい世界の推進に貢献しました。
实现碳达峰碳中和是中国高质量发展的内在要求,也是中国对国际社会的庄严承诺。中国将践信守诺、坚定推进,已发布《2030年前碳达峰行动方案》,还将陆续发布能源、工业、建筑等领域具体实施方案。中国已建成全球规模最大的碳市场和清洁发电体系,可再生能源装机容量超10亿千瓦,1亿千瓦大型风电光伏基地已有序开工建设。实现碳达峰碳中和,不可能毕其功于一役。中国将破立并举、稳扎稳打,在推进新能源可靠替代过程中逐步有序减少传统能源,确保经济社会平稳发展。中国将积极开展应对气候变化国际合作,共同推进经济社会发展全面绿色转型。 カーボンニュートラルを達成することは、中国の高品質な発展のための本質的な要件であり、中国が国際社会に対して厳粛に約束することでもあります。 中国は、すでに「2030年までにカーボンニュートラルを達成するための行動計画」を発表しており、近々、エネルギー、産業、建築などの分野で具体的な実施計画を発表する予定ですが、約束を守り、断固として前進します。 中国は、世界最大の炭素市場とクリーンな発電システムを構築しており、再生可能エネルギーの設備容量は10億キロワットを超え、すでに1億キロワットの大規模な風力発電や太陽光発電の基地が建設されています。 カーボンニュートラルの達成は、一足飛びに達成できるものではありません。 中国は、段階的なアプローチで、新エネルギーへの確実な代替を進める過程で、伝統的なエネルギー源を着実に削減し、安定した経済社会の発展を確保する。 中国は、気候変動に対処するための国際協力に積極的に関与し、経済・社会発展の包括的なグリーン転換を共同で推進する。
女士们、先生们、朋友们! 紳士淑女の皆さん、友人の皆さん
达沃斯是世界冰雪运动胜地。北京冬奥会、冬残奥会就要开幕了。中国有信心为世界奉献一场简约、安全、精彩的奥运盛会。北京冬奥会、冬残奥会的主题口号是“一起向未来”。让我们携起手来,满怀信心,一起向未来! ダボスは、雪と氷のスポーツの世界的な目的地です。 いよいよ北京冬季オリンピック・パラリンピックの開幕です。 中国は、シンプルで安全かつエキサイティングなオリンピックイベントを世界に提供できると確信しています。 北京冬季オリンピック・パラリンピック大会のスローガンは「共に未来へ」。 一緒に手を取り合って、自信を持って未来に向かって進んでいきましょう。
谢谢大家。 皆さん、ありがとうございました。

 

1_20210612030101

 

| | Comments (0)

世界経済フォーラム (WEF) 世界のサイバーセキュリティ概況 2022

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)が世界のサイバーセキュリティ概況 2022を公表していますね。。。まえがきは、アクセンチュアのサイバーセキュリティのリーダー(もとDeloitte)のKelly Bissellが書いていますね。。。

 

World Economic Forum - Whitepaper

・2022.01.18 Global Cybersecurity Outlook 2022

Global Cybersecurity Outlook 2022 世界のサイバーセキュリティ概況 2022
The first Global Cybersecurity Outlook flagship report identifies the trends and analyzes the near-term future cybersecurity challenges. The accelerated shift to remote working during the COVID-19 pandemic coupled with recent high-profile cyberattacks have resulted in bringing cybersecurity top of mind among key decision-makers in organizations and nations. 最初の世界のサイバーセキュリティ概況というフラッグシップレポートは、トレンドを特定し、近い将来のサイバーセキュリティの課題を分析している。COVID-19の大流行時に加速したリモートワークへのシフトと、最近注目を集めたサイバー攻撃により、組織や国の主要な意思決定者の間でサイバーセキュリティが最重要視されるようになった。
The first Global Cybersecurity Outlook flagship report identifies the trends and analyzes the near-term future cybersecurity challenges. The accelerated shift to remote working during the COVID-19 pandemic coupled with recent high-profile cyberattacks have resulted in bringing cybersecurity top of mind among key decision-makers in organizations and nations. 最初の世界のサイバーセキュリティ概況の主要レポートは、トレンドを特定し、近い将来のサイバーセキュリティの課題を分析するものである。COVID-19の大流行時に加速したリモートワークへのシフトと、最近話題になったサイバー攻撃により、組織や国家の主要な意思決定者の間でサイバーセキュリティが最重要視されるようになった。
Much still needs to be done to arrive at a shared understanding of how to strengthen cyber resilience. The aim of this report is to provide an in-depth analysis of the challenges that security leaders are dealing with, the approaches they are taking to stay ahead of cybercriminals and the measures they are implementing to enhance cyber resilience not only within their organizations but also within the wider ecosystem. しかし、サイバーレジリエンスを強化する方法について共通の理解を得るには、まだ多くのことを行う必要がある。本レポートの目的は、セキュリティリーダーが対処している課題、サイバー犯罪者の先を行くために取っているアプローチ、組織内だけでなくより広いエコシステム内でサイバーレジリエンスを強化するために実施している対策について、詳細な分析を提供することにある。

 

・[PDF] Global Cybersecurity Outlook 2022

20221026-25424

 

目次。。。

Preface 序文
Foreword まえがき
Executive Summary エグゼクティブサマリー
1 Surveying the Landscape 1 状況の把握
1.1 A new generation of breaches 1.1 新世代の不正アクセス
1.2 The transition to cyber resilience 1.2 サイバー・レジリエンスへの移行
2 Bridging the Gap: Cyber and business 2 ギャップを埋める:サイバーとビジネス
2.1 Prioritizing cybersecurity in business decisions 2.1 ビジネス上の意思決定におけるサイバーセキュリティの優先順位付け
2.2 Gaining leadership support 2.2 リーダーシップの支持を得る
2.3 Recruiting and retaining talent 2.3 人材の確保と定着
2.4 Action: the importance of partnerships 2.4 行動:パートナーシップの重要性
3 Securing the Ecosystem 3 エコシステムのセキュリティ確保
3.1 Ecosystem vulnerability 3.1 エコシステムの脆弱性
3.2 The importance of resilience 3.2 レジリエンスの重要性
3.3 Success through transparency and trust 3.3 透明性と信頼による成功
4 Conclusion 4 結論
Appendix: Methodology 附属書 方法論
Acknowledgements 謝辞
Contributors 協力者
Endnotes 巻末資料

 

序文

Preface 前書き
As human behaviour and interaction continue to be shaped by increasingly ubiquitous technologies, organizations must continuously adapt their capabilities to deal with and prevent malicious actors from taking advantage of the shifting technological landscape. Cybersecurity must be prioritized in all domains of society and the economy if we are to unlock the true potential of the digital economy. Cybersecurity is not a separate technology but rather a foundational set of systems spanning technology, people and processes for the Fourth Industrial Revolution.  人間の行動と相互作用がますますユビキタスなテクノロジーによって形成され続ける中、組織は、悪意ある行為者が移り変わるテクノロジーの状況を利用するのを防ぎ、対処するための能力を継続的に適応させなければならない。デジタル経済の真の可能性を引き出すには、社会と経済のすべての領域でサイバーセキュリティを優先させる必要がある。サイバーセキュリティは、個別の技術ではなく、第4次産業革命のための技術、人、プロセスにまたがる一連のシステムの基礎となるものである。
The accelerated shift to remote working during the COVID-19 pandemic coupled with recent high-profile cyberattacks have resulted in bringing cybersecurity top of mind among key decisionmakers in organizations and nations. Despite the growing cognizance of cyber risks, decision-makers and cyber experts are often not on the same page in terms of prioritizing cybersecurity, integrating cyber risk into business strategy and integrating cyber leaders into business processes. Much still needs to be done to arrive at a shared understanding of how to strengthen cyber resilience. COVID-19の大流行時に加速したリモートワークへのシフトと、最近話題になったサイバー攻撃により、組織や国の主要な意思決定者の間でサイバーセキュリティが最重要視されるようになった。サイバーリスクに対する認識は高まっているものの、サイバーセキュリティの優先順位付け、サイバーリスクのビジネス戦略への組み入れ、サイバーリーダーのビジネスプロセスへの組み入れという点では、意思決定者とサイバー専門家の間で見解が一致していないことが多い。サイバーレジリエンスを強化する方法について共通の理解を得るには、まだ多くのことを行う必要がある。
Building cyber resilience is a core focus of the World Economic Forum Centre for Cybersecurity. We bridge the gap between cybersecurity experts and decision-makers at the highest levels to reinforce the vital importance of cybersecurity as a key strategic priority.  サイバーレジリエンスの構築は、世界経済フォーラム・サイバーセキュリティ・センターの中核的な取り組みである。私たちは、サイバーセキュリティの専門家と最高レベルの意思決定者の間のギャップを埋め、サイバーセキュリティが重要な戦略的優先事項であることの重要性を強化している。
In 2021, the Centre engaged over 120 global cyber leaders to generate high-level insights on emerging cyber threats. Taking the global pulse on the state of cybersecurity is essential to clearly identifying the emerging risks and developing actionable solutions to address them. The aim of this report is to provide an in-depth analysis of the challenges that security leaders are dealing with, the approaches they are taking to stay ahead of cybercriminals and the measures they are implementing to enhance cyber resilience not only within their organizations but also within the wider ecosystem.  2021年、当センターは120人以上の世界のサイバーリーダーを巻き込み、新たなサイバー脅威に関するハイレベルな洞察を生み出した。サイバーセキュリティの状況について世界的に把握することは、新たなリスクを明確に特定し、それに対処するための実行可能なソリューションを開発するために不可欠である。本レポートの目的は、セキュリティリーダーが対処している課題、サイバー犯罪者の先を行くためのアプローチ、組織内だけでなくより広いエコシステム内でサイバーレジリエンスを強化するために実施している対策について、詳細な分析を提供することにある。
Cyberspace transcends borders. We therefore need to mobilize a global response to address systemic cybersecurity challenges. We hope the insights in this report will serve to foster collaborative approaches to building cyber-resilient ecosystems. サイバースペースは国境を越える。したがって、体系的なサイバーセキュリティの課題に対処するためには、グローバルな対応を結集する必要がある。本レポートの洞察が、サイバーレジリエンスに強いエコシステムの構築に向けた協力的なアプローチを促進する一助となることを願っている。

 

 

まえがき by Kelly Bissell

Foreword まえがき
The Global Cybersecurity Outlook will be an annual report highlighting the trends and progression as organizations begin to shift from a cyber-defensive posture to a stronger cyber-resilience position. As our cyber ecosystems expand and integrate, it is becoming more important to ensure all organizations can anticipate, recover and adapt quickly to cyber incidents. Security-focused leaders must be able to communicate their risk and mitigation strategies effectively and clearly to business leaders.  グローバル・サイバーセキュリティ・アウトルックは、組織がサイバー防御態勢からサイバーレジリエンス強化態勢への移行を開始する際のトレンドと進捗に焦点を当てた年次報告書となる。サイバーエコシステムの拡大と統合に伴い、すべての組織がサイバーインシデントを予期し、回復し、迅速に適応できるようにすることがより重要になってきている。セキュリティに重点を置くリーダーは、リスクと緩和策を効果的かつ明確にビジネスリーダーに伝えることができなければならない。
We surveyed 120 global cyber leaders from 20 countries across the World Economic Forum Cybersecurity Leadership Community and the Accenture Cybersecurity Forum, to gain a global perspective on how cyber resilience is being perceived and implemented, and how they can better secure our ecosystems, together. To build an ecosystem resilient enough to withstand and not falter in today’s environment will need a unified approach. 我々は、世界経済フォーラム・サイバーセキュリティ・リーダーシップ・コミュニティとアクセンチュア・サイバーセキュリティ・フォーラムにおいて、20カ国120人のグローバルサイバーリーダーを対象に調査を行い、サイバーレジリエンスがどのように認識され実施されているか、また、どのようにして我々のエコシステムの安全性を高めることができるか、グローバルな視点から一緒に考えてみました。今日の環境に耐え、挫折しないレジリエンスを構築するためには、統一されたアプローチが必要である。
As identified in our survey and workshops, leadership support is critical to adopting cyber resilience within an organization. Also identified, and equally important, is ensuring there are no communication or coordination gaps between cybersecurity and business leaders. Given that technologies are constantly shifting and evolving at a rapid pace, spurred by machine learning and automation advancements, combined with increasingly capable and affordable hacking resources available to cybercriminals, leaders must be united and synchronized in their cyber resilience initiatives.  私たちの調査とワークショップで明らかになったように、組織内でサイバーレジリエンスを採用するためには、リーダーシップの支援が不可欠である。また、サイバーセキュリティとビジネスリーダーの間にコミュニケーションや調整のギャップがないようにすることも、同様に重要であることが確認されている。機械学習や自動化の進展に刺激され、テクノロジーが常に移り変わり、急速なペースで進化していることに加え、サイバー犯罪者が利用できるハッキングリソースがますます高性能かつ安価になっていることを考えると、リーダーはサイバーレジリエンスへの取り組みにおいて団結し、同期をとる必要がある。
In partnership with the World Economic Forum Centre for Cybersecurity, it is our goal to provide insights and solutions to build stronger ecosystems from which organizations can benefit, learn from and move into this highly connected and digital future with confidence. 世界経済フォーラム・サイバーセキュリティセンターとのパートナーシップにより、組織が恩恵を受け、そこから学び、自信を持ってこの高度に結びついたデジタルな未来に移行できるような、より強力なエコシステムを構築するための洞察とソリューションを提供することが、我々の目標である。

 

エグゼクティブ・サマリー

Executive Summary エグゼクティブサマリー
At the time of writing, digital trends and their exponential proliferation due to the COVID-19 pandemic have thrust the global population onto a new trajectory of digitalization and interconnectedness. One of the starkest and most troubling new consequences of our digitalized existence is the increasingly frequent, costly and damaging occurrence of cyber incidents, sometimes even paralyzing critical services and infrastructure. This trend shows no signs of slowing, notably as sophisticated tools and methods become more widely available to threat actors at relatively low (or in some cases no) cost.  本稿執筆時点で、COVID-19の大流行によるデジタルトレンドとその急激な拡大により、世界の人々はデジタル化と相互接続の新しい軌道に突き進んでいる。私たちのデジタル化された存在がもたらす最も深刻で厄介な新たな結果の1つは、サイバーインシデントの発生頻度が高まり、コストがかかり、被害が拡大し、時には重要なサービスやインフラが麻痺することさえあることである。この傾向は、特に、洗練されたツールや手法が比較的低コストで(場合によっては無料で)脅威者に広く利用されるようになったため、衰える気配がない。
Signs of increasing digitalization are everywhere. The International Telecommunication Union recently reported that fixed broadband access has increased significantly on all continents as a direct result of teleworking, distance learning, remote entertainment and telemedicine.1 Most technologically advanced countries prioritized the expansion of digital consumer tools, fostering digital entrepreneurial ventures and investing in innovation across universities, businesses and digital authorities2 whereas emerging economies prioritized increasing mobile internet access, training digital talent and generating investment in R&D and digital enterprises. This begs a question: How will smaller and less powerful countries protect themselves and their natural resources if they are not able to protect their digitally connected infrastructure? The cybersecurity poverty line question becomes even more pressing in the ever-increasing surge of connectivity.3  デジタル化の進展の兆しは、いたるところに見られる。国際電気通信連合は最近、テレワーク、遠隔学習、遠隔エンターテイメント、遠隔医療などの直接的な結果として、すべての大陸で固定ブロードバンド・アクセスが大幅に増加したと報告している1。技術先進国の多くは、デジタル消費者ツールの拡大、デジタル起業家の育成、大学・企業・デジタル当局間のイノベーションへの投資を優先したのに対し2、新興国はモバイルインターネット・アクセスの拡大、デジタル人材の育成、研究開発およびデジタルエンタープライズへの投資を優先させたのである。ここで疑問が生じる。デジタル接続されたインフラを保護することができなければ、小国や国力の劣る国は、どのようにして自国と天然資源を守るのだろうか?サイバーセキュリティの貧困層の問題は、接続性がますます高まっている中で、さらに切迫したものとなっている3。
Considering these ongoing cyber challenges, the World Economic Forum Centre for Cybersecurity engaged the Cybersecurity Leadership Community consisting of 120 cyber leaders who are senior-most executives from private and public sectors representing 20 countries. The focus of the Centre for Cybersecurity’s work was to gather data via a Cyber Outlook Survey and the Cyber Outlook Series (see Appendix) and analyse it to understand cyber leaders’ perceptions, and the trajectory of cybersecurity and cyber resilience.  世界経済フォーラム・サイバーセキュリティセンターは、このような継続的なサイバー課題を考慮し、20カ国を代表する民間および公共部門の最高幹部である120人のサイバーリーダーから成るサイバーセキュリティ・リーダーシップ・コミュニティに参加した。サイバーセキュリティセンターの活動の焦点は、サイバーアウトルック調査およびサイバーアウトルックシリーズ(附属書参照)を通じてデータを収集し、サイバーリーダーの認識、サイバーセキュリティとサイバーレジリエンスの軌道を理解するために分析することであった。
The results of the analysis shed light on valuable insights about the state of cyber and perceptions about the current path of cyber resilience. 分析の結果、サイバーの現状とサイバーレジリエンスの現在の道筋に関する認識についての貴重な洞察が明らかになった。
Key findings include:  主な知見は以下の通りである。
1. While many factors are driving cybersecurity policies forward, we identified through our survey that 81% of respondents believe that digital transformation is the main driver in improving cyber resilience. The accelerating pace of digitalization due to the COVID-19 pandemic and the shift of our working habits is pushing cyber resilience forward. As many as 87% of executives are planning to improve cyber resilience at their organization by strengthening resilience policies, processes and standards for how to engage and manage third parties.  1. 多くの要因がサイバーセキュリティ政策を前進させているが、回答者の81%がデジタル変革がサイバーレジリエンス向上の主要な推進力であると考えていることを調査を通じて明らかにした。COVID-19の大流行によるデジタル化の加速と、私たちの労働習慣の変化が、サイバーレジリエンスを前進させているのである。87%ものエグゼクティブが、サードパーティの関与・管理方法に関するレジリエンスポリシー、プロセス、基準を強化することで、組織におけるサイバーレジリエンスを向上させる予定であることが分かった。
2. Our research revealed three main and critical perception gaps between security-focused executives (chief information security officers), and business executives (chief executive officers). The gaps are the most visible in three areas:  2. 当社の調査では、セキュリティを重視するエグゼクティブ(最高情報セキュリティ責任者)とビジネスエグゼクティブ(最高経営責任者)の間に、3つの主要かつ重大な認識のギャップがあることが明らかになった。このギャップは、次の3つの領域で最も顕著に表れている。
2.1 Prioritizing cyber in business decisions; while 92% of business executives surveyed agree that cyber resilience is integrated into enterprise risk-management strategies, only 55% of securityfocused leaders surveyed agree with the statement.  2.1 ビジネス上の意思決定におけるサイバーの優先順位:調査対象となった企業幹部の 92% が、サイバーレジリエンスがエンタープライズのリスクマネジメント戦略に組み込まれていることに同意しているのに対し、セキュリティ重視のリーダーの 55% しか同意していない。
2.2 Gaining leadership support for cybersecurity; 84% of respondents share that cyber resilience is considered a business priority in their organization with support and direction from leadership, but a significantly smaller proportion (68%) see cyber resilience as a major part of their overall risk management. Due to this misalignment, many security leaders still express that they are not consulted in business decisions which results in less secure decisions and security issues. This gap between leaders can leave firms vulnerable to attacks as a direct result of incongruous security priorities and policies.  2.2 サイバーセキュリティに対するリーダーの支持を得る:回答者の 84% は、サイバーレジリエンスが、リーダーからの支持と指示のもと、組織におけるビジネスの優先事項として考えられていると共有しているが、サイバーレジリエンスをリスクマネジメント全体の主要部分として捉えている割合は大幅に少なく、68% にとどまっている。このような不整合により、多くのセキュリティリーダーは、ビジネス上の意思決定において相談を受けていないと表明しており、その結果、安全性の低い意思決定やセキュリティ問題を引き起こしている。このようなリーダー間のギャップは、セキュリティの優先順位と方針の不一致の直接的な結果として、企業を攻撃に対して脆弱な状態に陥らせる可能性がある。
2.3 Recruiting and retaining cybersecurity talent; our survey found that 59% of all respondents would find it challenging to respond to a cybersecurity incident due to the shortage of skills within their team. While the majority of respondents ranked talent recruitment and retention as their most challenging aspect, business executives appear less acutely aware of the gaps than their security-focused executives, who perceive their ability to respond to an attack with adequate personnel as one of their main vulnerabilities. 2.3 サイバーセキュリティの人材の採用と確保:私たちの調査では、全回答者の59%が、チーム内のスキル不足により、サイバーセキュリティのインシデントへの対応が困難であると感じていることが分かった。回答者の大多数は、人材の採用と維持を最も困難な側面と位置づけているが、企業幹部は、セキュリティに重点を置く幹部ほど、そのギャップを痛感していないようで、適切な人材で攻撃に対応する能力を主要な脆弱性の1つと認識している。
3. The threat of ransomware continues to grow. As many as 80% of cyber leaders stressed that ransomware is a dangerous and evolving threat to public safety. The survey confirmed that ransomware attacks are at the forefront of cyber leaders’ minds, with 50% of respondents indicating that ransomware is one of their greatest concerns when it comes to cyber threats. Ransomware attacks are increasing in frequency and sophistication, and this ever-present threat is keeping cyber leaders up at night. Ransomware attacks are followed by social-engineering attacks as the secondhighest concern for cyber leaders; number three on this list is malicious insider activity. A malicious insider is defined as an organization’s current or former employees, contractors or trusted business partners who misuse their authorized access to critical assets in a manner that negatively affects the organization.  3. ランサムウェアの脅威は拡大し続けている。80%ものサイバーリーダーが、ランサムウェアは公共安全に対する危険で進化した脅威であると強調している。今回の調査では、サイバーリーダーがランサムウェア攻撃を最重要視していることが確認され、回答者の50%が、サイバー脅威に関してランサムウェアが最大の懸念事項の一つであると回答している。ランサムウェアの攻撃は、その頻度と精巧さを増しており、この常に存在する脅威がサイバーリーダーを夜も眠らせないようにしているのである。サイバーリーダーが最も懸念する脅威の第2位は「ランサムウェア攻撃」、第3位は「悪意のあるインサイダーの活動」となっている。悪意のある内部関係者とは、組織の現在または過去の従業員、請負業者、信頼できるビジネスパートナーが、重要な資産へのアクセス権限を悪用して、組織に悪影響を与えるような行為を行うことを指します。
4. Small and medium-sized enterprises (SMEs) are seen as a key threat to supply chains, partner networks and ecosystems. In our research, 88% of respondents indicate that they are concerned about cyber resilience of SMEs in their ecosystem.  4. 中小企業(SME)は、サプライチェーン、パートナーネットワーク、エコシステムにとって重要な脅威と見なされている。我々の調査では、回答者の88%が、エコシステム内の中小企業のサイバーレジリエンスに懸念を抱いていると回答している。
5. Cyber leaders have indicated that clear and productive regulations are needed, that would allow and encourage information sharing and collaboration. The value of partnerships is proven; over 90% of respondents report receiving actionable insights from external information-sharing groups and/or partners.  5. サイバーリーダーは、情報共有とコラボレーションを可能にし、奨励するような明確で生産的な規制が必要であると指摘している。回答者の90%以上が、外部の情報共有グループやパートナーから実用的な知見を得たと報告している。
This report uses a retrospective analysis of recent years to share the knowledge and concerns of cyber leaders with one goal: helping decision-makers prepare for the next generation of cyberattacks. 本報告書では、近年の回顧的分析を用いて、サイバーリーダーたちの知識と懸念を共有し、意思決定者が次世代のサイバー攻撃に備えられるようにすることを一つの目標としている。

 

 

| | Comments (0)

内閣官房 経済安全保障法制に関する有識者会議 第3回

こんにちは、丸山満彦です。

経済安全保障法制に関する有識者会の第3回の資料が公表されていますね。。。

内閣官房 - 経済安全保障法制に関する有識者会議

 

第3回の内容に行く前に第2回の議事要旨

・[PDF] 議事要旨

 

第3回の資料です。。。

第2回SW サプライチェーン強靭化 基幹インフラ 官民技術協力 特許非公開
実施日 2022.01.12 2022.01.07 2022.01.11 2022.01.11
資料 資料 1 資料 4 資料 7 資料10
議事要旨 資料 2 資料 5 資料 8 資料11
議事のポイント 資料 3 資料 6 資料 9 資料12
提言骨子 提言骨子 提言骨子 提言骨子 提言骨子

 

提言骨子の目次

(サプライチェーンの強靭化)

1 政策対応の基本的な考え方
(1)新しい制度の必要性
(2)官民の役割分担
(3)経済活動の自由・国際ルールとの関係

2 新しい立法措置の基本的な枠組み
(1)制度の対象
① 物資の重要性
② 供給途絶リスクの考え方
(2)措置を講じる際の考え方
① 多様な取組に対する支援
② 中長期的な支援
(3)制度の枠組み
① 政府による指針の策定
② 政府による対象物資の指定
③ 物資所管大臣による取組方針の策定
④ 民間事業者による取組に対する支援
⑤ 物資所管大臣による措置
⑥ 重要な物資の安定供給の確保に向けた調査の実施


(基幹インフラの安全性・信頼性の確保)

1 政策対応の基本的な考え方
(1)新しい制度の必要性
(2)経済活動の自由との関係
(3)国際ルールとの関係

2 新しい立法措置の基本的な枠組み
(1)制度の対象
① 基本的な考え方
② 対象とする事業
③ 対象とする事業者
④ 対象とする設備
⑤ 業務委託の取扱い
⑥ その他留意点
(2)事前審査スキーム
① 審査に必要な情報
② 情報を把握するための仕組み(届出)
③ 審査
④ 勧告・命令
⑤ 審査期間
(3)報告徴収・立入検査
(4)施行時期・遡及適用


(官民技術協力)

1 政策対応の基本的な考え方

2 新しい立法措置の基本的な枠組み
(1)先端的な重要技術に係る研究開発基本指針の策定・資金支援
① 政府による指針の策定と支援
② 支援対象となる先端的な重要技術
(2)協議会設置による官民伴走支援
① 産学官による伴走支援の必要性
② 協議会の設置
③ 協議会の具体的な機能
④ 協議会における情報管理の取組
(3)調査研究機関(シンクタンク)
① 調査研究業務の委託
② 調査研究機関に求められる能力


(特許出願の非公開化)

1 政策対応の基本的な考え方
(1)新しい制度の必要性
(2)対象発明を選定する際の視点

2 新しい立法措置の基本的な枠組み
(1)非公開の対象となる発明
① 審査対象となる技術分野
② 具体的な対象発明のイメージ
(2)発明の選定プロセス
① 二段階審査制
② 審査体制
ア 第一次審査
イ 第二次審査
ウ 審査体制の整備
③ 保全指定前の意思確認
④ 予見可能性の確保
(3)対象発明の選定後の手続と情報保全措置
① 情報保全の期間
② 漏えい防止のための措置
③ 情報の適正管理措置
④ 実効性の確保
(4)外国出願の制限
① 第一国出願義務の在り方
② 第一国出願義務に関する事前相談制度
(5)補償の在り方

 


第2回の内容に行く前に第1回の議事要旨

・[PDF] 議事要旨

 

第2回の資料です。。。

第1回SW サプライチェーン強靭化 基幹インフラ 官民技術協力 特許非公開
実施日 2021.12.08 2021.12.10 2021.12.09 2021.12.06
資料 資料 1 資料 4 資料 7 資料10
議事要旨 資料 2 資料 5 資料 8 資料11
議事のポイント 資料 3 資料 6 資料 9 資料12

 

Fig1_20220103171301

 

 


 

参考

● まるちゃんの情報セキュリティきまぐれ日記

2022.01.20 内閣官房 経済安全保障法制に関する有識者会議 第3回

2022.01.04 内閣官房 経済安全保障法制に関する有識者会議 第2回

2021.11.29 内閣官房 経済安全保障法制に関する有識者会議

 

| | Comments (0)

2022.01.19

英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省が、就労権、賃借権、犯罪歴確認のためのデジタルID認証についてのガイダンス文書を公表していますね。。。

U.K. Government

・2022.01.17 Digital identity certification for right to work, right to rent and criminal record checks

・2022.01.17 Guidance Digital identity certification for right to work, right to rent and criminal record checks

 

Contents 目次
1.Introduction 1. はじめに
2.What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
3.What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
4.How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
5.Who are the certification bodies? 5. 認証機関は誰ですか?
6.List of certified providers 6. 認証プロバイダのリスト
7.Frequently asked questions 7. よくある質問
8.Contact details 8. 連絡先

 

1. Introduction 1. はじめに
On 27 December 2021, the government announced its intention to enable employers and landlords to use certified digital identity service providers to carry out identity checks on their behalf for many who are not in scope to use the Home Office online services, including British and Irish citizens. The relevant changes to legislation will take effect from 6 April 2022. 2021年12月27日、政府は、英国人やアイルランド人など、内務省のオンラインサービスを利用する範囲に入っていない多くの人を対象に、雇用主や家主が認証されたデジタルIDサービスプロバイダを利用して、身元確認を代行できるようにする意向を発表しました。関連する法律の変更は、2022年4月6日から施行されます。
This development will align with the Disclosure and Barring Service’s (DBS) proposal to enable digital identity checking within their criminal record checking process, through the introduction of its Identity Trust Scheme. この動きは、無犯罪証明サービス(DBS)がID信頼スキームの導入により、犯罪歴の確認プロセスにおいてデジタルID確認を可能にするという提案に沿うものである。
This guidance sets how providers can become certified to complete digital identity checks for the Right to Work, Right to Rent, and DBS schemes respectively, in line with the Department for Digital, Culture, Media and Sport’s (DCMS) UK Digital Identity and Attributes Trust Framework (the trust framework). 本ガイダンスは、デジタル・文化・メディア・スポーツ省(DCMS)の「UK Digital Identity and Attributes Trust Framework」(信頼フレームワーク)に沿って、プロバイダが「就労権」、「賃借権」、「DBS スキーム」でそれぞれデジタル ID 確認を行うための認証を受ける方法を定めています。
The trust framework is a set of rules providers agree to follow to make secure, trustworthy identity checks. The initial ‘alpha’ version of the trust framework was published in February 2021, with an updated version of the trust framework published in August 2021 following feedback from the public, industry, and civil society. A consultation on underpinning the trust framework in legislation ran from July to September 2021. 信頼フレームワークは、安全で信頼できる本人確認を行うために、プロバイダーが従うことに同意する一連のルールです。2021年2月に信頼フレームワークの最初の「アルファ」版が発表され、国民、業界、市民社会からのフィードバックを受けて、2021年8月に信頼フレームワークの更新版が発表されました。2021年7月から9月にかけて、信頼フレームワームを法律で裏打ちするためのコンサルテーションが行われました。
The Right to Work, Right to Rent, and DBS initiatives form part of DCMS’s trust framework’s testing process, and learnings will help to further refine its development. 「就労権」、「賃借権」、「DBS」の取り組みは、DCMSの信頼フレームワークのテストプロセスの一部を構成しており、学習結果は開発をさらに洗練させるのに役立ちます。
2. What does this mean for employers and landlords? 2. 雇用主や家主にとってどのような意味がありますか?
Employers and landlords will be able to use certified Identification Document Validation Technology (IDVT) service providers to carry out digital eligibility checks on behalf of British and Irish citizens who hold a valid passport. The relevant changes to legislation will take effect from 6 April 2022. 雇用主や家主は、有効なパスポートを保有する英国およびアイルランド国民に代わり、認定IDVT(Identification Document Validation Technology)サービスプロバイダを利用してデジタル資格を確認することができるようになります。関連する法改正は、2022年4月6日から施行されます。
For employers and landlords, the introduction of digital identity checking into the Schemes will mean they can assure prospective employee and tenants’ identities and eligibility, using consistent and more secure methods, reducing risk and allowing them to recruit and rent in a safer way. 雇用主や家主にとっては、デジタルID確認が制度に導入されることで、一貫性のあるより安全な方法で、従業員や入居希望者の身元や適格性を保証することができ、リスクを軽減し、より安全な方法で採用や賃貸を行うことができます。
Enabling the use of IDVT for Right to Work, Right to Rent and DBS checks will help to support long-term post pandemic working practices, accelerate the recruitment and onboarding process, improve employee mobility and enhance the security and integrity of the checks. 就労権、賃借権、DBS確認にIDVTを使用できるようにすることで、パンデミック後の長期的な労働慣行を支援し、採用・入社プロセスを迅速化し、従業員の流動性を高め、確認のセキュリティと整合性を高めることができます。
3. What do providers become certified against? 3. プロバイダは何に対して認証を受けるのですか?
To become certified against the schemes, providers must meet the criteria in the current version of the trust framework. Depending on the scheme(s) they want to join, they must also meet the requirements for the Right to Work & Right to Rent schemes and/or DBS scheme. These guidance documents have been published as a draft, and the Right to Work and Right to Rent Scheme guidance products will be finalised when the legislative changes take effect in April 2022. In the interim period, the guidance will be used during the certification process and should be followed by those providers being certified. 各スキームの認証を受けるためには、プロバイダは、現行の信頼フレームワークの規準を満たす必要があります。また、加入を希望するスキームに応じて、就労権・賃借権スキームやDBSスキームの要件も満たす必要があります。これらのガイダンス文書はドラフトとして公開されており、就労権・賃借権スキームのガイダンス文書は、2022年4月に法改正が発効した時点で最終的に決定されます。この間、ガイダンスは認証プロセスで使用され、認証を受けるプロバイダはこれに従わなければなりません。
The trust framework is currently in its alpha phase. When the beta version of the trust framework is published in Spring/Summer 2022, providers that have not already been certified will need to become certified against the beta version of the trust framework to participate in the Schemes. Providers certified against the alpha trust framework will be expected to move to the beta version at the time of their annual surveillance audit. 信頼フレームワークは、現在、アルファ版の段階にあります。信頼フレームワークのベータ版が2022年春夏に公開されると、まだ認証を受けていないプロバイダは、スキームに参加するために、信頼フレームワークのベータ版に対して認証を受ける必要があります。アルファ版信頼フレームワークで認証されたプロバイダは、年次サーベイランス監査の際にベータ版に移行することが期待されます。
consultation on proposed digital identity legislative measures ran from July to September 2021. Under the proposals, the government intends to legislate to put in place formalised governance arrangements for the trust framework and under these arrangements the trust framework will move to the live phase. The process for certification may change under these arrangements, with providers needing to meet any new requirements. 2021年7月から9月にかけて、デジタルIDに関する立法措置の提案についての協議が行われましました。この提案では、政府は信頼フレームワークの正式なガバナンス体制を整えるための法制化を意図しており、これらの体制の下で信頼フレームワークは本番段階に移行する。このような取り決めの下では、認証のプロセスが変更される可能性があり、プロバイダは新たな要件を満たす必要があります。
4. How do providers become certified? 4. プロバイダはどのようにして認証を受けるのですか?
A step-by-step process for how providers become certified against the trust framework and Right to Work, Right to Rent and DBS Schemes is as follows: プロバイダが信頼フレームワーク、就労権、賃借権、DBSスキームに対して認証を受けるためのプロセスは以下の通りです。
Providers who wish to become certified must firstly decide whether they want to be certified against a) the Right to Work and Right to Rent Schemes only, b) the DBS Scheme only, or c) both. 認証を受けようとするプロバイダは、まず、a)就労権・賃借権制度のみ、b)DBS制度のみ、c)両方、のいずれに対して認証を受けたいかを決定する必要があります。
Providers must engage with one of the selected certification bodies (see below) and agree a contractual relationship for completing the assessment process. プロバイダは、選択した認証機関の1つ(下記参照)と契約を結び、審査プロセスを完了するための契約関係に合意する必要があります。
Providers are assessed by a combination of desk reviews and on-site audits depending on the scope to be assessed. Although having taken part in the alpha testing of trust framework is not a requirement, those who did participate will be able to use their alpha self-assessments as supporting evidence as part of this process. プロバイダは、審査対象の範囲に応じて、デスクレビューとオンサイト監査を組み合わせた審査を受けます。信頼フレームワークのアルファテストに参加していることは必須条件ではありませんが、参加している場合は、アルファテストの自己評価をこのプロセスの裏付け証拠として使用することができます。
After the audits have taken place, certification bodies will advise DCMS and the provider undergoing certification of their recommendation in regard to certification. 監査が行われた後、認証機関はDCMSおよび認証を受けるプロバイダに、認証に関する推奨事項を通知します。
DCMS will review the outcome of the assessment process and, if all requirements have been met, the provider’s name, contact details, and information regarding their certification will be published on this webpage. Employers, landlords and other relevant providers interested in procuring digital identity services will be able to see which providers have been approved. DCMSは審査プロセスの結果を確認し、すべての要件が満たされている場合には、プロバイダの名前、連絡先、認証に関する情報をこのウェブページに掲載します。デジタル・アイデンティティ・サービスの調達に関心のある雇用主、家主、その他の関連プロバイダは、どのプロバイダが承認されたかを確認することができる。
Certification is a time-limited process and providers will need to undertake an annual surveillance audit and biennial recertification to remain on the list of certified providers for these Schemes. 認定は期限付きのプロセスであり、プロバイダはこれらのスキームの認定プロバイダのリストに留ま るために、年 1 回のサーベイランス監査および 2 年に 1 回の再認定を受ける必要がある。
5. Who are the certification bodies? 5. 認証機関は誰ですか?
To be a certification body for this initiative, organisations must submit an expression of interest via the UK Accreditation Service (UKAS) website. Once certification bodies have been selected, this page will be updated. Organisations interested in becoming certified should engage directly with the selected certification bodies once a list is available. このイニシアティブの認証機関になるためには、組織はUK Accreditation Service(UKAS)のウェブサイトから関心表明を提出する必要があります。認証機関が選定されたら、このページを更新します。認証取得に関心のある組織は、リストができ次第、選定された認証機関に直接連絡してください。
6. List of certified providers 6. 認証プロバイダのリスト
A list of certified providers will appear here once certifications have taken place. There are currently no providers certified. Employers, landlords and other relevant organisations interested in procuring a certified provider should engage directly with those providers once a list is available. Employers and landlords which want to carry out digital checks using their own processes will need to become certified themselves. 認証プロバイダのリストは、認証が行われた後にこのページに表示されます。現在、認証プロバイダはありません。認証プロバイダの調達に関心のある雇用主、家主、その他の関連組織は、リストが入手でき次第、それらのプロバイダに直接お問い合わせください。独自のプロセスでデジタル確認を行うことを希望する雇用主や家主は、自ら認証を受ける必要があります。
7. Frequently asked questions 7. よくある質問
How long does certification take? 認証にはどのくらいの時間がかかりますか?
The length of the assessment process will be agreed between the provider wanting to become certified and their selected certification body. We estimate that it will take 4-8 weeks to complete this process. 審査プロセスの期間は、認証を希望するプロバイダと選択した認証機関との間で合意されます。このプロセスを完了するには、4~8週間かかると考えています。
How much does it cost to become certified? 認証を受けるにはどのくらいの費用がかかりますか?
The costs of the assessment are agreed between the provider and their selected certification body. Once certification is achieved, there is no cost to being placed on the list of the government’s certified providers. (Please note this may change in the future.) 審査にかかる費用は、プロバイダと選択した認証機関との間で合意されます。認証を取得すると、政府の認証プロバイダのリストに掲載されますが、費用はかかりません。(ただし、これは将来的に変更される可能性があります。)
How long does certification last? 認証の有効期間はどのくらいですか?
Certification lasts for up to two years, after which providers must become re-certified against the most current version of the trust framework and relevant Scheme guidance to remain on the list of certified providers. Surveillance audits must be undertaken annually, as part of maintaining certification, and will also facilitate a move to the most current version of the trust framework and scheme guidance available. 認証の有効期間は最長で2年間です。その後、認証事業者のリストに残るためには、最新版の信頼フレームワークと関連するスキームガイダンスに基づいて再認証を受ける必要があります。認証を維持するためには、毎年サーベイランス監査を受ける必要があります。これにより、最新版の信頼フレームワークとスキームガイダンスへの移行が促進されます。
Can the identity checks be reused? ID 確認は再利用できるのか。
Whether and where identity checks can be re-used in other contexts is dependent on the requirements of the use case and organisations involved. The reuse of checks may be possible where this is compliant with relevant legislation and rules within the trust framework. ID 確認を他の文脈で再利用できるかどうか、またどこで再利用するかは、使用ケースの要件と関係する組織によります。確認の再利用は、関連する法律および信託フレームワーク内の規則に準拠している場合に可能です。

 

Fig1_20220118215501

 

 


 

関連

● U.K. Governance

・2021.12.27 Digital identity document validation technology (IDVT)

・2021.07.19 Digital identity and attributes consultation

・2021.08.02 UK digital identity & attributes trust framework: updated version

DBSについて

Disclosure & Barring Service

日本でも導入したらどうかという話もありますね。。。

● UKAS

Expressions of interest

・2022.01.17 Expression of Interest – UK Digital Identity and Attributes Trust Framework

 

 

| | Comments (0)

中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

こんにちは、丸山満彦です。

2021年12月28日にネットワークセキュリティ審査弁法が改定発行され、2022年2月15日に施行すると発表されています。改正のポイントとして「100万人以上のユーザーの個人情報を保有しているオンラインプラットフォーム事業者が海外で株式公開する場合、ネットワークセキュリティ審査室にネットワークセキュリティクリアランスを提出しなければならない。」(第7条)がありますね。。。

これらの条文も含めて安全保障上の意図について専門家の解釈とした説明が公表されていました。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.07 专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について

 

专家解读|实施赴国外上市网络安全审查,保障国家安全 専門家による解説|国家安全保障を守るための海外上場に向けたネットワークセキュリティ審査の実施について
新年伊始,修订后的《网络安全审查办法》正式颁布,并于2月15日起实施。此次对《网络安全审查办法》的修订,继续秉承了关口前移、防患于未然的网络安全审查制度设计初心,是落实“网络安全为人民”,贯彻《数据安全法》《个人信息保护法》的具体举措。 新年早々、改正された「サイバーセキュリティ審査弁法」が正式に公布され、2月15日から施行されました。 今回の「ネットワークセキュリティ審査弁法」の改訂は、ゲートをより前に配置し、問題を未然に防ぐというネットワークセキュリティ審査システムの当初の設計を引き続き堅持するものであり、「国民のためのネットワークセキュリティ」および「データセキュリティ法」「個人情報保護法」を実施するための具体的な対策でもあります。
我国是互联网应用大国,各类互联网平台众多。既有为社会提供金融支付、通信交流等基础性服务的互联网平台;也有专注于视听、求职、打车、货运、购物等的领域性互联网平台。这些平台或掌握了海量的公民个人数据,或在一个领域内掌握具有垄断性的用户信息。互联网平台掌握的数据一旦发生泄漏,将会严重危害公民的个人信息安全,给不法分子实施诈骗、非法营销等活动提供便利;一旦被滥用,将能分析出个人的家庭状况、癖好、心理、宗教信仰等敏感个人信息,给公民隐私权带来威胁。甚至对一些特定领域的个人信息进行有针对性的分析,能够得出我国社会经济运行的敏感信息,一旦泄漏将会影响国家安全。 中国はインターネットの普及率が高く、さまざまな種類のインターネット・プラットフォームがあります。 金融決済やコミュニケーションなどの基本的なサービスを提供するインターネット・プラットフォームもあれば、オーディオ・ビジュアル、就職活動、タクシー、荷物運送、ショッピングなどの分野に特化したインターネット・プラットフォームもあります。 これらのプラットフォームは、膨大な量の市民の個人情報を保有しているか、ある分野のユーザーの情報を独占しています。 インターネットプラットフォームが保有するデータが流出すると、市民の個人情報の安全性が著しく損なわれ、悪意のある者による詐欺や違法なマーケティングなどの行為が行われやすくなります。また、悪用されると、個人の家族構成、フェチ、心理、宗教観などの微妙な個人情報を分析することが可能になり、市民のプライバシーが脅かされることになります。 ある特定の分野に絞って個人情報を分析したとしても、社会や経済の運営に関わる機密情報が得られる可能性があり、それが流出すれば国家の安全保障に影響を与えることになります。
上市,对于互联网平台具有特殊意义。国内互联网平台大多以上市,特别是赴国外上市作为发展的主要目标。但如果一个互联网平台不遵守国家有关网络安全要求,不落实重要数据和个人信息保护责任义务,滥用数据,上市后在金融力量的加持下无序扩张,网络安全风险和威胁将成倍扩大。同时,一些国家出于保护本国投资者的目的,通过法律要求在其国内上市的企业披露业务经营数据。这个理由一旦被滥用,索要数据的边界将不受限制,给我国国家安全带来威胁。 リスティングは、インターネットプラットフォームにとって特別な意味を持ちます。 国内のインターネットプラットフォームの多くは、特に海外を開発の主な目標として挙げています。 しかし、インターネットプラットフォームが、サイバーセキュリティに関する国の要求を遵守せず、重要なデータや個人情報を保護する責任と義務を履行せず、データを誤用し、上場後に財力の支援を受けて無秩序に拡大した場合、サイバーセキュリティのリスクと脅威は指数関数的に拡大することになります。 一方で、投資家保護を目的に、自国に上場している企業に事業運営データの開示を義務付ける法律を制定している国もあります。 この理由が悪用されると、要求されたデータの境界は無制限になり、国家安全保障に脅威を与えることになります。
此次《网络安全审查办法》的修订,提出“掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查”的要求,目的是对计划赴国外上市互联网平台进行充分的国家安全层面上的风险评估,一旦发现平台有违反国家网络安全、数据安全要求,存在国家安全层面上的风险时,将禁止赴国外上市。这么做将有效化解互联网平台因赴国外上市而带来的国家安全风险。同时,也有效促进各大互联网平台遵守国家网络安全、数据安全等各方面要求,提高全社会对网络安全、数据安全的重视程度。 ネットワークセキュリティ審査弁法の改正の目的は、海外での上場を計画しているインターネットプラットフォームに対して、国家安全保障上のリスク評価を全面的に行い、100万人以上のユーザーの個人情報を持つインターネット・プラットフォームの運営者に対して、海外での上場時にネットワークセキュリティ審査室への提出を義務付けることにあります。 プラットフォームが国のサイバーセキュリティおよびデータセキュリティ要件に違反し、国家安全保障上のリスクがあると判断された場合、そのプラットフォームは海外での上場が禁止されます。 これにより、海外でのインターネット・プラットフォームの上場に伴う国家安全保障上のリスクが効果的に軽減されます。 同時に、主要なインターネットプラットフォームが各国のネットワークセキュリティおよびデータセキュリティ要件に準拠することを効果的に促進し、社会全体におけるネットワークセキュリティおよびデータセキュリティの重要性を高めることにもなります。
(作者:唐旺,中国网络安全审查技术与认证中心高级工程师) (筆者:中国ネットワークセキュリティ検閲技術・認証センター シニアエンジニア Tang Wang)

 

1_20210612030101


 

● まるちゃんの情報セキュリティきまぐれ日記

ネットワークセキュリティ審査弁法についての過去の記事。。

・2022.01.05中国 ネットワークセキュリティ審査弁法

 

改正前のバージョンの話

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 


・2022.01.17 中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

・2022.01.06 中国 意見募集 金融商品オンラインマーケティング管理弁法(案)

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

| | Comments (0)

2022.01.18

ウクライナ ロシアからと考えられるサイバー攻撃の影響はほぼ回復した?

こんにちは、丸山満彦です。

ウクライナ政府のページで、ロシアからと考えられるサイバー攻撃の影響はほぼ回復したと公表されていますね。。。

gov.ua

・2022.01.17 Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють

Держспецзв'язку: Майже всі сайти, які постраждали від кібератаки, вже працюють ウクライナ特別通信局:サイバー攻撃の影響を受けたウェブサイトのほぼすべてがすでに稼働している
Станом на 14:00 сьогодні відновили роботу майже всі сайти, які постраждали від кібератаки на державні інформаційні ресурси в ніч на п'ятницю, 14 січня. Розслідування та робота над відновленням решти ресурсів триває. 1月14日(金)夜に国家情報資源へのサイバー攻撃を受けたウェブサイトは、本日午後2時現在、ほぼすべてのサイトが運営を再開しています。現在、調査と復旧作業を行っています。
Версія щодо використання програми-вайпера, що знищує дані, перевіряється. Для цього Держспецзв'язку взаємодіє з компанією Майкрософт у рамках укладеної влітку угоди про співробітництво Government Security Program. データを削除するバイパープログラムを使用しているバージョンについては検証中です。このために、通信省は先日の政府のセキュリティプログラムの協力に関する合意に基づき、マイクロソフトと協力しています。
Водночас вже зараз можна стверджувати про значно вищу складність атаки, ніж модифікація стартової сторінки веб-сайтів. Низку зовнішніх інформаційних ресурсів було знищено зловмисниками в ручному режимі. Стислі терміни реалізації атаки свідчать про координацію дій хакерів та їхню чисельність. この時点ですでに、この攻撃はウェブサイトのホームページを変更するよりもはるかに高度なものであると言えます。重要性が低いの外部情報資源が、攻撃者によって手動でダウンさせられました。攻撃の条件は、ハッカーたちの行動の連携とその数を示しています。
Зараз відпрацьовується версія щодо комбінації трьох векторів атаки: supply chain attack та експлуатація вразливостей OctoberCMS та Log4j. Також, починаючи з п'ятниці, фіксуються DDOS-атаки на низку постраждалих органів державної влади. Робоча група залучила міжнародних експертів з метою достовірного встановлення джерела походження атаки. 現在、サプライチェーン攻撃とOctoberCMSやLog4jの機能の悪用という3つの攻撃ベクターを組み合わせたバージョンが開発されています。また、金曜日からは、重要性が低いの政府機関に対するDDOS攻撃が行われました。ワーキンググループは、国際的な専門家に依頼して、攻撃の起点を検証しました。
Як повідомлялося раніше у ніч із 13 на 14 січня було здійснено хакерську атаку на низку урядових сайтів, зокрема МЗС, МОН тощо. У рамках розслідування атаки Держспецзв'язку з'ясувала, як хакери зламали сайти держустанов. Окрім цього, урядова команда реагування на комп'ютерні надзвичайні події України CERT-UA надала рекомендації для уникнення поширення кібератаки на сайти державних органів. 既に公表している通り、1月13日夜から14日にかけて、厚生省や文部科学省などの政府系ウェブサイトに対してハッカーによる攻撃が行われました。今回の攻撃に関する調査の一環として、国家安全保障局は、ハッカーがどのようにして当局のウェブサイトを破ったかを調査しました。さらに、ウクライナのComputer Emergency Response Team CERT-UAは、政府系ウェブサイトへのサイバー攻撃の拡散を防ぐための提言を発表しました。

 

ウクライナのナショナル CERTである、CERT-UAのウェブページに記載されている、推奨される対策。。。

CERT-UA

・2021.01.14 Кібератака на сайти державних органів(政府系ウェブサイトへの攻撃)


 

gov.ua

・2022.01.17 Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro

 

Держспецзв’язку: Атака на Prozorro Infobox не вплинула на роботу системи закупівель Prozorro ウクライナ特別通信局:Prozorro Infoboxへの攻撃は、Prozorro調達システムの運用に影響を与えませんでした。
Сьогодні о 8 ранку на сторінці форуму Prozorro Infobox з’явилося повідомлення, аналогічне тим, що були використані під час кібератаки на інші державні сайти 14 січня. Наразі сторінка вимкнена, а фахівці проводять розслідування та працюють над оперативним відновленням роботи форуму. 本日午前8時、Prozorro Infoboxのフォーラムページに、1月14日に他国等のウェブサイトがサイバー攻撃を受けた際に使用されたものと同様の通知が表示されました。現在、このページは削除されており、スタッフが調査を行い、フォーラムの機能を早急に復旧させています。
Форум Prozorro Infobox є окремою системою, яка не пов'язана із системою закупівель Prozorro. За наявною інформацією ані інформаційний ресурс Prozorro Infobox, ані сам портал Prozorro не постраждали. Система публічних закупівель працює у штатному режимі. Prozorro Infoboxのフォーラムは調達Prozorroのシステムとは別のシステムであり、関係ありません。入手可能な情報によると、Prozorro Infoboxの情報リソースやProzorroポータル自体は影響を受けていません。公共調達システムは通常通りに運営されています。
Закликаємо у разі підозри чи виявлення ознак атаки невідкладно звертатися до Державної служби спеціального зв'язку та захисту інформації України. Фахівці урядової команди реагування на комп'ютерні надзвичайні події CERT-UA у режимі 24/7 оперативно реагують на повідомлення та допомагають зупинити атаки. Наші фахівці аналізують логфайли для того, щоб зрозуміти весь ланцюжок реалізації атаки, збирають цифрові докази, а також допомагають якомога швидше відновити роботу веб-ресурсів. 攻撃の疑いや兆候がある場合は、ウクライナ特別通信情報保護局に連絡することを推奨します。Orderly Computer Emergency Response Team(CERT-UA)のメンバーが24時間365日、通知に対応し、攻撃を阻止するための支援を行います。当社の技術者は、ログファイルを分析して攻撃の全タイムラインを把握し、デジタル証拠を収集するとともに、ウェブリソースを可能な限り迅速に復元するための支援を行います。

 

・2022.01.16 Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців

Мінцифри: Росія має намір знизити довіру до влади фейками про вразливість критичної інформаційної інфраструктури та «‎злив» даних українців 情報省:ロシアは重要情報インフラの断片化やウクライナ人のデータの「流出」に関するフェイクによって当局への信頼を低下させたいと考えています
Держспецзв'язку разом із СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади. ウクライナ国家保安局は、ウクライナ保安局とサイバーポリスとともに、国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。
Станом на зараз можна сказати, що всі докази вказують на те, що за кібератакою стоїть Росія. Москва продовжує вести гібридну війну та активно нарощує сили в інформаційному та кіберпросторах. 現時点では、サイバー攻撃の背後にロシアが存在することを示す証拠がすべて揃っています。モスクワはハイブリッド戦争を続けており、サイバー空間や情報空間においても積極的に力をつけています。
Найчастіше кібервійська Росії працюють проти США та України, намагаючись за допомогою технологій похитнути політичну ситуацію. Остання кібератака — один із проявів гібридної війни Росії проти України, яка триває з 2014 року. より多くの場合、サイバーロシアは米国とウクライナに対して働きかけ、テクノロジーを使って政治状況をハイジャックしようとしています。今回のサイバー攻撃は、2014年から続いているロシアのウクライナに対するハイブリッド戦争の現れのひとつです。
Її ціль — не тільки залякати суспільство. А дестабілізувати ситуацію в Україні, зупинивши роботу державного сектору та підірвавши довіру до влади з боку українців. Цього вони можуть досягти, вкинувши в інфопростір фейки про вразливість критичної інформаційної інфраструктури та про «злив» персональних даних українців. 重大な目的は、人々をなだめることだけではありません。それは、国家部門の仕事を混乱させ、当局に対するウクライナ人の信頼を損ねることで、ウクライナの状況を不安定にすることです。重要な情報インフラが破壊されたとか、ウクライナ人の個人情報が流出したとかいうフェイクニュースをインターネット上で流すことで、それを実現することができるのです。
Зазначимо, що Дія не зберігає персональні дані українців. Усі вони розміщені у відповідних реєстрах, які надійно захищені. Застосунок є тільки «мостом» між інформацією з держреєстрів та користувачем. なお、Diaはウクライナ人の個人データを保存していません。それらはすべて、適切な登録簿に掲載され、安全に保護されています。アプリケーションは、レジスターからの情報とユーザーの間の「架け橋」に過ぎません。
Наприклад, уся медична інформація, зокрема дані для генерування СOVID-сертифікатів, розміщена в Електронній системі охорони здоров'я. Дані про РНОКПП зберігаються в реєстрі Державної податкової служби. А демографічні дані — у Єдиному державному демографічному реєстрі. І так далі. 例えば、すべての医療情報、特にCOVID証明書を作成するためのデータは、Electronic Health Information Systemで公開されています。DNACPPのデータは、国税庁のレジストリに保存されています。人口統計データはUnified State Demographic Registerに保存されます。などと言っています。
Тому закликаємо українців не піддаватися паніці. Усі персональні дані перебувають під надійним захистом у держреєстрах. А оголошення про можливість купити нібито персональні дані є аферою: шахраї продають старі дані, що скомплектовані з багатьох джерел, які були злиті до 2019 року. だからこそ、ウクライナ人にはパニックに陥らないようにお願いします。すべての個人データは、レジスターの安全な保護下にあります。また、新しいパーソナルデータを購入する機会についての発表は詐欺です。シャライは、2019年以前に空になった多くのソースからコンパイルされた古いデータを販売しています。
Поле бою за безпеку та саме існування нашої держави лежить у декількох площинах — військовій, дипломатичній, історичній, а тепер ще й у цифровій. Тому українські кіберспеціалісти мають об'єднатися, щоб протистояти загрозі та нейтралізувати противника. 安全保障や国家の存立に関わる戦場は、軍事、外交、歴史、そして今はデジタルという複数の分野にまたがっています。だからこそ、ウクライナのサイバー専門家たちは、脅威に対抗し、敵を無力化するために団結しなければならないのです。

 

・2022.01.14 З'явилися перші результати розслідування нападу хакерів на сайти держустанов

З'явилися перші результати розслідування нападу хакерів на сайти держустанов 政府系サイトへのハッカー攻撃に関する調査結果の第一報を発表
Держспецзв'язку разом з СБУ та Кіберполіцією продовжує розслідувати кібератаку на сайти органів державної влади, що сталася вночі з 13 на 14 січня. Загалом атакували понад 70 держресурсів, 10 з яких зазнали несанкціонованого втручання. Контент сайтів при цьому змінено не було та витоку персональних даних не відбулося. Наші фахівці разом з командами міністерств і відомств уже відновили роботу більшості сайтів. ウクライナ国家安全保障局は、ウクライナ保安局およびサイバー警察とともに、1月13日から14日にかけて夜通し行われた国家機関のウェブサイトに対するサイバー攻撃の調査を続けています。合計70以上の政府機関のリソースが攻撃を受け、そのうち10が不正侵入を受けました。サイトの内容に変更はなく、個人情報の流出もありませんでした。私たちのスタッフは、大臣や各省庁のチームとともに、すでにほとんどのサイトを復旧させています。
Також за ініціативи СБУ було відключено важливих державних ресурсів, зокрема і портал Дія. Це було необхідно для локалізації проблеми та щоб не допустити поширення атаки. Мобільний застосунок Дія працював та працює в штатному режимі. また、ウクライナ保安局の主導により、Diaポータルなどの重要な国家資源が切断されました。これは、問題を局所化し、攻撃が広がらないようにするために必要なことでした。Diaのモバイルアプリケーションは通常通り動作していました。
Важливою задачею було встановити метод реалізації атаки, зібрати цифрові докази та якомога швидше відновити роботу веб-ресурсів. Протягом дня у медіа з'являлися повідомлення про використання хакерами конкретної вразливості системи керування контентом. Це було лише однією з версій, що опрацьовувалась фахівцями. 重要な課題は、攻撃を実行する方法を特定し、デジタル証拠を収集し、Webリソースの動作を早急に復旧させることでした。その日のうちに、ハッカーが特定のコンテンツ管理システムを使用していることがメディアに通知されました。これは、専門家によって悪用されたバージョンの一つに過ぎませんでした。
Зараз ми можемо з великою ймовірністю стверджувати, що відбулася так звана supply chain attack. Тобто атака через ланцюжок поставок. Зловмисники зламали інфраструктуру комерційної компанії, що мала доступ з правами адміністрування до веб-ресурсів, які постраждали внаслідок атаки. 今では、いわゆるサプライチェーン攻撃が行われたと自信を持って言えるようになりました。サプライチェーンを利用した攻撃です。攻撃者は、攻撃の影響を受けたウェブリソースに管理者権限でアクセスしていた営利企業のインフラを破壊しました。
Упродовж вихідних фахівці продовжать розслідування, щоб встановити його замовників і відповідальних за кібератаку. 週末、捜査当局は、サイバー攻撃の犯人と責任者を特定するために調査を続けています。

 

Fig_20220118153501

 

| | Comments (0)

ENISA 相互運用可能なEUのリスク管理フレームワーク

こんにちは、丸山満彦です。

ENISAが相互運用可能なEUのリスク管理フレームワークという文書を公表していますね。。。リスクマネジメントのフレームワークはいくつもあるのですが、次のものが選ばれていますね。。。

1. ISO/IEC 27005:2018
2. NIST SP 800-37
3. NIST SP 800-30
4. NIST SP 800-39
5. BSI STANDARD 200-2
6. OCTAVE-S
7. OCTAVE ALLEGRO
8. OCTAVE FORTE
9. ETSI TS 102 165-1 (TVRA)
10. MONARC
11. EBIOS RM
12. MAGERIT v.3
13. ITSRM²
14. MEHARI
15. THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0
16. GUIDELINES ON CYBER SECURITY ONBOARD SHIPS

NISTはCOSO-ERMとの整合性を気にしていましたが、こちらでは出てきませんね。。。

 

● ENISA

・2022.01.13 How to achieve the Interoperability of EU Risk Management Frameworks

How to achieve the Interoperability of EU Risk Management Frameworks EUのリスク管理フレームワークの相互運用性を実現するには
The European Union Agency for Cybersecurity (ENISA) issues an analysis of the interoperability potential of cybersecurity risk management frameworks and methodologies to improve decision-making. 欧州連合サイバーセキュリティ機関(ENISA)は、意思決定を改善するために、サイバーセキュリティのリスク管理フレームワークと方法論の相互運用性の可能性についての分析を発行しています。
The report (Interoperable EU Risk Management Framework) published today is primarily designed to assess the existing risk management frameworks and methodologies in order to identify those with the most prominent interoperable features. 本日発行された報告書「相互運用可能なEUのリスク管理フレームワーク」は、既存のリスク管理フレームワークと方法論を評価し、最も顕著な相互運用性を持つフレームワークを特定することを主な目的としています。
What is security risk management? セキュリティリスクマネジメントとは?
Information security risk management consists of the coordinated activities of an organisation in order to control information security risks. These activities are inscribed in a process allowing to: 情報セキュリティ・リスク管理は、情報セキュリティ・リスクをコントロールするための組織の調整された活動で構成されています。これらの活動は、以下を可能にするプロセスに組み込まれています。
・establish the external and internal context; ・外部および内部の状況を確立する。
・assess the risks and decide whether to address the risks; ・リスクを評価し、そのリスクに対処するかどうかを決定する。
・draw a plan to implement decisions made on how to manage the risks. ・リスクを管理する方法についての決定を実行するための計画を策定する。
In order to reduce the risks to an acceptable level, the process includes an analysis of the likelihood of potential security breaches prior to making the decision on solutions to implement. リスクを許容範囲内に抑えるために、このプロセスでは、実施すべきソリューションを決定する前に、潜在的なセキュリティ侵害の可能性を分析します。
About the report 本報告書について
A systematic survey of risk management approaches was performed in different contexts such as industry, business, government, academia, etc. The process included a variety of inclusion criteria ranging from best practices, methodologies proposed as standards and guidelines by international and national standardisation bodies, etc. 産業界、企業、政府、学界など、さまざまな文脈において、リスクマネジメントのアプローチに関する体系的な調査を行いました。この調査では、ベストプラクティス、国際的な標準化団体や国内の標準化団体が標準やガイドラインとして提案している方法論など、さまざまな基準が盛り込まれています。
Key European stakeholders interviewed could share their views which were considered in the process and shaped the analysis of the outcomes. This resulted in: インタビューを行った欧州の主要なステークホルダーは、それぞれの意見を共有することができ、それらはプロセスで考慮され、結果の分析に反映されました。その結果、以下のような成果が得られた。
1. A new ENISA inventory of risk management frameworks and methodologies; 1. リスク管理のフレームワークと方法論に関するENISAの新しいリスト
2. A study on the way to evaluate and categorise European Risk Management Frameworks based on their interoperability potential including a baseline of an EU-wide interoperability framework. 2. EU全体の相互運用性フレームワークのベースラインを含む、相互運用性の可能性に基づいて欧州のリスク管理フレームワークを評価し分類する方法に関する研究。
Key outcomes of the report 報告書の主な成果
The analysis and research performed resulted in the compilation of the following information: 分析・調査の結果、以下のような情報が得られました。
the identification of fully developed national and sectorial risk management frameworks and methodologies and their components; 完全に開発された国家および部門別のリスク管理フレームワークと方法論、およびそれらの構成要素の特定。
the identification of specific features such as national or international scope, target sectors, size of target audience, maturity, compliance with relevant standards, compatibility with EU regulation and legislation, etc. 国内または国際的な範囲、対象部門、対象者の規模、成熟度、関連規格への準拠、EU規制・法律との互換性など、具体的な特徴の特定。
the development of a methodology for the assessment of the interoperability potential of the identified frameworks based on a set of factors such as risk identification, risk assessment and risk treatment; リスクの特定、リスクの評価、リスクの処理などの一連の要素に基づいて、特定されたフレームワークの相互運用性の可能性を評価するための方法論の開発。
the application of the methodology to identify frameworks with a higher interoperability potential. より高い相互運用性を持つフレームワークを特定するための方法論の適用。
The elements gathered in the study serve the purpose of providing keys to potentially form a more coherent EU-wide risk management framework. 本研究で収集された要素は、より首尾一貫したEU全体のリスク管理フレームワークを形成する可能性の鍵を提供することを目的としている。
Besides, the report includes a proposal for a new ENISA inventory of risk management frameworks and methodologies: the Compendium of Risk Management Frameworks with Potential Interoperability. また、本報告書には、リスク管理フレームワークと方法論に関するENISAの新しいインベントリー「相互運用性のあるリスク管理フレームワークの概要」の提案が含まれている。
Background 背景
Risk management is the process of identifying, quantifying, and managing the risks an organisation faces. The process aims to reach an efficient balance between the opportunities available to enhance prevention of cyber risks and reducing the vulnerabilities and losses. As an integral part of management practices and an essential element of good governance, risk management needs to be seeking to support organisational improvement, performance and decision-making. リスク管理とは、組織が直面するリスクを特定し、定量化し、管理するプロセスである。このプロセスは、サイバーリスクの防止を強化するために利用可能な機会と、脆弱性や損失の低減との間で、効率的なバランスをとることを目的としている。経営慣行の不可欠な部分であり、優れたガバナンスの不可欠な要素であるリスク管理は、組織の改善、パフォーマンス、意思決定を支援するために求める必要がある。
ENISA contributes to risk management by collecting, analysing and classifying information in the area of emerging and current risks and the evolving cyber threat environment. ENISAは、新たなリスクや現行のリスク、進化するサイバー脅威環境の分野で情報を収集、分析、分類することで、リスク管理に貢献している。
The aim of this work was not to build yet another risk management framework from scratch. It rather serves the purpose to exploit parts of existing schemes, based on the inventory work done in the introductory step of this project. この作業の目的は、ゼロから新たなリスク管理フレームワークを構築することではない。むしろ、本プロジェクトの導入段階で行った棚卸し作業に基づいて、既存の枠組みの一部を利用することを目的としている。
As next steps ENISA is planning to: 次のステップとして、ENISAは以下を計画している。
・Define interoperable terms between EU risk management frameworks & regulatory frameworks; ・EUのリスク管理フレームワークと規制フレームワークの間で相互運用可能な用語を定義する。
・Develop common/comparative risk; ・共通/比較リスクの開発
・Create a Methodology & Protocol that helps Member States with the uptake of interoperability of proposed risk management framework. ・提案されているリスク管理フレームワークの相互運用性を加盟国が導入する際に役立つ方法論とプロトコルを作成する。
Further information その他の情報
Interoperable EU Risk Management Framework 相互運用可能なEUリスク管理フレームワーク
Compendium of Risk Management Frameworks リスク管理フレームワームの概要
Inventory of risk management frameworks and methodologies リスク管理のフレームワークと方法論の目録
ENISA risk management/risk assessment (RM/RA) framework: Guidelines on assessing Digital Service Providers (DSP) security and Operators of Essential Services (OES) compliance with the NISD security requirements ENISAリスク管理/リスクアセスメント(RM/RA)フレームワーク デジタルサービスプロバイダ(DSP)のセキュリティと、基幹サービス事業者(OES)のNISDセキュリティ要件への準拠を評価するためのガイドライン
Risk Management topic リスク管理に関するトピック

 

・2022.01.13 Interoperable EU Risk Management Framework

Interoperable EU Risk Management Framework 相互運用可能なEUのリスク管理フレームワーク
This report proposes a methodology for assessing the potential interoperability of risk management (RM) frameworks and methodologies and presents related results. The methodology used to evaluate interoperability stemmed from extensive research of the literature, resulting in the use of certain RM framework features which were singled out for this purpose. These features, which were identified as relevant for the assessment of interoperability, are thoroughly described and analysed for each framework/methodology. More specifically, for certain functional features we make use of a four-level scale to evaluate the interoperability level for each method and each set of combined features. 本報告書は、リスク管理(RM)のフレームワークと方法論の潜在的な相互運用性を評価するための方法論を提案し、関連する結果を示している。相互運用性を評価するために用いた方法論は、文献の広範な調査に基づいており、その結果、この目的のために特定のRMフレームワークの特徴を使用している。相互運用性の評価に関連するものとして特定されたこれらの機能は、各フレームワーク/メソドロジーについて徹底的に説明、分析されている。具体的には、特定の機能について、4段階の尺度を用いて、各手法および組み合わせた機能の各セットの相互運用性レベルを評価しています。

・[PDF]

20220117-231310

 

TABLE OF CONTENTS  目次 
1. INTRODUCTION 1. 序論
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 DEFINITION OF ACRONYMS 1.2 頭字語の定義
2. METHODOLOGY 2. 方法論
2.1 FEATURES OF INTEROPERABILITY 2.1 相互運用性の特徴
2.2 INTEROPERABILITY EVALUATION MODEL 2.2 相互運用性評価モデル
2.2.1 Methodology and levels of interoperability 2.2.1 方法論と相互運用性のレベル
2.2.2 Scoring model for potential interoperability 2.2.2 潜在的な相互運用性の採点モデル
3. RESULTS 3. 結果
3.1 ANALYSIS OF LEVEL OF INTEROPERABILITY FOR EACH RISK MANAGEMENT FRAMEWORK AND FEATURE 3.1 各リスクマネジメントフレームワークおよび機能の相互運用性のレベルの分析
3.2 ANALYSIS OF POTENTIAL INTEROPERABILITY OF RISK MANAGEMENT FRAMEWORKS 3.2 リスクマネジメントフレームワークの潜在的な相互運用性の分析
4. INTEGRATION OF INTEROPERABILITY IN THE RM PROCESSES BASED ON ITSRM2 4. ITSRM2 に基づく RM プロセスにおける相互運用性の統合
4.1 PROCESS P1 SYSTEM SECURITY CHARACTERISATION 4.1 プロセス P1 システムセキュリティの特性評価
4.1.1 Description of process 4.1.1 プロセスの説明
4.2 PROCESSES P2 PRIMARY ASSETS AND P3 SUPPORTING ASSETS 4.2 プロセス P2 主要資産及び P3 補助資産
4.2.1 Description of processes 4.2.1 プロセスの説明
4.2.2 Recommendations and integration of interoperability features 4.2.2 相互運用性機能の推奨と統合
4.3 PROCESS P4 SYSTEM MODELLING 4.3 プロセスP4 システムモデリング
4.3.1 Description of process 4.3.1 プロセスの説明
4.3.2 Recommendations and integration of interoperability features 4.3.2 相互運用性機能の推奨および統合
4.4 PROCESS P5 RISK IDENTIFICATION 4.4 プロセスP5 リスクの特定
4.4.1 Description of process 4.4.1 プロセスの記述
4.4.2 Recommendations and integration of interoperability features 4.4.2 相互運用性機能の推奨と統合
4.5 PROCESS P6 RISK ANALYSIS AND EVALUATION 4.5 プロセスP6 リスク分析および評価
4.5.1 Description of process 4.5.1 プロセスの記述
4.5.2 Recommendations and integration of interoperability features 4.5.2 相互運用性機能に関する推奨事項とその統合
4.6 PROCESS P7 RISK TREATMENT 4.6 プロセスP7 リスク処理
4.6.1 Description of process 4.6.1 プロセスの説明
4.6.2 Recommendations and integration of interoperability features 4.6.2 推奨事項と相互運用性機能の統合
5. SYNOPSIS 5. SYNOPSIS
6. BIBLIOGRAPHY 6. 参考文献
7. APPENDIX – INTERVIEWS WITH NLOS 7. 附属書:NLSへのインタビュー
7.1 EVALUATING POTENTIAL INTEROPERABILITY 7.1 潜在的な相互運用性の評価
7.2 SUGGESTIONS FOR AN INTEROPERABLE EU RM FRAMEWORK 7.2 相互運用可能なEUのREMフレームワークに関する提案
7.3 NEXT STEPS TOWARDS AN INTEROPERABLE FRAMEWORK 7.3 相互運用可能なフレームワークに向けた次のステップ

 

分析結果...

フレームワークやメソドロジーの総合評価/相互運用性の特徴  リスクの特定   残留リスクの算出  総合的な相互運用可能性 
リスク
アセスメント 
リスク対応 
資産
タクソノミー 
資産評価  脅威カタログ  脆弱性カタログ  リスク計算方法  メジャーカタログと残留リスクの算出  
1.ISO/IEC 27005:2018    2.7 3.0 3.0 2.9
2.NIST SP 800-37  3.0 3.0 3.0 3.0
3.NIST SP 800-30  1.6 2.0 3.0 2.2
4.NIST SP 800-39  2.0 3.0 3.0 2.7
5. BSI STANDARD 200-2  2.0 3.0 3.0 2.7
6.OCTAVE-S  3.0 3.0 3.0 3.0
7.OCTAVE ALLEGRO  3.0 3.0 3.0 3.0
8.OCTAVE FORTE  2.7 3.0 3.0 2.9
9.ETSI TS 102 165-1 (TVRA)  2.7 2.0 3.0 2.6
10.MONARC  2.7 3.0 3.0 2.9
11.EBIOS RM  2.9 2.0 3.0 2.6
12.MAGERIT v.3  2.4 2.0 3.0 2.5
13.ITSRM²  1.9 2.0 3.0 2.3
14.MEHARI  2.0 1.0 3.0 2.0
15.THE OPEN GROUP STANDARD, RISK ANALYSIS, V2.0  2.1 3.0 3.0 2.7
16.GUIDELINES ON CYBER SECURITY ONBOARD SHIPS  3.0 2.0 3.0 2.7

 

こっちには、COSO-ERMが紹介されていますね。。。

・2022.01.13 Compendium of Risk Management Frameworks with Potential Interoperability

Compendium of Risk Management Frameworks with Potential Interoperability 相互運用性のあるリス管理フレームワークの概要
This report presents the results of desktop research and the analysis of currently used cybersecurity Risk Management (RM) frameworks and methodologies with the potential for interoperability. The identification of the most prominent RM frameworks and methodologies was based on a systematic survey of related risk management approaches adopted in different contexts (including industry, business, government, academia, etc), at national, international and sectoral levels. This collection of identified frameworks and methodologies includes well known and widely used RM standards that provide high level guidelines for risk management processes that can be applied in all types of organisations. This report also describes the main characteristics and features of each one of the RM frameworks and methodologies identified. Based on this analysis, a basic set of interoperability features is derived. 本報告書は、現在使用されているサイバーセキュリティのリスク管理(RM)のフレームワークと方法論について、デスクトップリサーチと分析を行い、相互運用性の可能性を示したものである。最も著名なRMフレームワークと方法論の特定は、異なる文脈(産業、企業、政府、学界など)で採用されている、国内、国際、部門レベルでの関連するリスク管理アプローチの体系的な調査に基づいている。特定されたフレームワークと方法論のコレクションには、あらゆる種類の組織に適用可能な リスク管理プロセスのハイレベルなガイドラインを提供する、よく知られ、広く使用されている RM 基準が含まれています。また、本報告書では、特定されたRMのフレームワークと方法論のそれぞれの主な特徴と特色を説明しています。この分析に基づいて、相互運用性の基本的な特徴を導き出します。

 

・[PDF]

20220117-234959

1. INTRODUCTION 1. 序論
1.1 PURPOSE AND SCOPE 1.1 目的と範囲
1.2 REPORT STRUCTURE 1.2 報告書の構成
2. METHOD OF WORK 2. 作業方法
2.1 BASIC CONCEPTS AND TERMS 2.1 基本的な概念と用語
2.2 SURVEY METHODOLOGY 2.2 調査方法
3. PROMINENT RISK MANAGEMENT FRAMEWORKS AND METHODOLOGIES 3. 著名なリスクマネジメントのフレームワークおよび方法論
3.1 ISO/IEC 27005:2018 3.1 ISO/IEC 27005:2018
3.2 NIST SP 800-37 REV. 2 3.2 NIST SP 800-37 REV. 2
3.3 NIST SP 800–30 REV.1 3.3 NIST SP 800-30 REV.1
3.4 NIST SP 800–39 3.4 ニストSP 800-39
3.5 NIST SP 800–82 REV. 2 3.5 NIST SP 800-82 REV. 2
3.6 BSI STANDARD 200-2 3.6 BSI規格200-2
3.7 OCTAVE-S 3.7 オウターブ・S
3.8 OCTAVE ALLEGRO 3.8 オクターブ・アレグロ
3.9 OCTAVE FORTE (OCTAVE FOR THE ENTERPRISE) 3.9 オクターブ・フォルテ(オクターブ・フォー・ザ・エンタープライズ)
3.10 ISACA RISK IT FRAMEWORK, 2ND EDITION 3.10 ISACAリスクITフレームワーク:第2版
3.11 INFORMATION RISK ASSESSMENT METHODOLOGY 2 (IRAM2) 3.11 情報リスクアセスメント方法論 2 (IRAM2)
3.12 ETSI TS 102 165-1, THREAT VULNERABILITY AND RISK ANALYSIS (TVRA) 3.12 ETSI TS 102 165-1、脅威の脆弱性とリスクの分析(TVRA)
3.13 MONARC 3.13 MONARC
3.14 EBIOS RISK MANAGER (EXPRESSION DES BESOINS ET IDENTIFICATION DES OBJECTIFS  DE SÉCURITÉ - EXPRESSION OF NEEDS AND IDENTIFICATION OF SECURITY OBJECTIVES) 3.14 EBIOS リスクマネジャー (expression des besoins et identification des objectifs de sécurité - ニーズの表明とセキュリティ目標の特定)
3.15 MAGERIT V.3: ANALYSIS AND RISK MANAGEMENT FOR INFORMATION SYSTEMS 3.15 MAGERIT V.3: 情報システムの分析とリスク管理

3.16 EU ITSRM, IT SECURITY RISK MANAGEMENT METHODOLOGY V1.2 3.16 EU ITSRM (IT セキュリティリスク管理方法論 v1.2)
3.17 MEHARI 3.17 MEHARI
3.18 ENTERPRISE RISK MANAGEMENT – INTEGRATED FRAMEWORK 3.18 企業のリスク管理 - 統合されたフレームワーク
3.19 AUSTRALIAN ACSC SECURITY MANUAL 3.19 オーストラリアのACSCセキュリティマニュアル
3.20 ANSI/ISA-62443-3‑2-2020 3.20 アンシ/イサ-62443-3-2-2020
3.21 THE OPEN GROUP STANDARD FOR RISK ANALYSIS (O-RA), VERSION 2.0 3.21 リスク分析のためのオープングループ標準(O-RA)、バージョン 2.0
3.22 CORAS 3.22 CORAS
3.23 IS RISK ANALYSIS BASED ON A BUSINESS MODEL 3.23 リスク分析はビジネスモデルに基づいているか?
3.24 IMO MSC-FAL.1/CIRC.3 GUIDELINES ON MARITIME CYBER RISK MANAGEMENT 3.24 海上のサイバーリスク管理に関するIMOのMSC-FAL.1/Circ.3ガイドライン
3.25 GUIDELINES ON CYBER SECURITY ONBOARD SHIPS 3.25 船舶のサイバーセキュリティに関するガイドライン
3.26 HITRUST 3.26 HITRUST
3.27 ISRAM - INFORMATION SECURITY RISK ANALYSIS METHOD 3.27 ISRAM - 情報セキュリティリスク分析手法
3.28 FAIR - FACTOR ANALYSIS OF INFORMATION RISK 3.28 FAIR - 情報リスクの要因分析
3.29 GUIDE TO CONDUCTING CYBERSECURITY RISK ASSESSMENT FOR CRITICAL INFORMATION  INFRASTRUCTURE 3.29 重要情報インフラのためのサイバーセキュリティリスクアセスメント実施の手引き
3.30 RISK MANAGEMENT TOOLS 3.30 リスクマネジメントツール
3.31 SYNOPSIS 3.31 シノプシス
4. CONCLUSIONS 4. 結論
4.1 INTEROPERABILITY FEATURES 4.1 相互運用性の特徴
REFERENCES 参考文献

 

| | Comments (0)

2022.01.17

米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

こんにちは、丸山満彦です。

GAOがSolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応についての報告書を公開していますね。。。

● U.S. Government Accountability Office

・2022.01.13 Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents

・[PDF] Hilights

・[PDF] Full Report

20220117-132401

 

Cybersecurity:Federal Response to SolarWinds and Microsoft Exchange Incidents サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応
Fast Facts 速報
This report describes the federal response to 2 high-profile cybersecurity incidents that affected the U.S. government. The Russian Foreign Intelligence Service hacked SolarWinds network management software, which is widely used in the U.S. government. Also, Chinese government affiliates likely exploited a vulnerability in the Microsoft Exchange Server, according to the White House. 本報告書は、米国政府に影響を与えた2つの有名なサイバーセキュリティ事件に対する連邦政府の対応について記載しています。ロシア対外情報庁は、米国政府で広く使用されているSolarWindsネットワーク管理ソフトウェアをハッキングしました。また、ホワイトハウスによると、中国政府関連会社がMicrosoft Exchange Serverの脆弱性を悪用した可能性が高いとのことです。
Federal agencies worked with each other and industry after these incidents. Agencies received emergency directives on how to respond and more. これらの事件の後、連邦政府機関は相互に協力し、産業界にも働きかけました。各機関は、対応方法などに関する緊急指令を受け取りました。
Information Security is on our High Risk List. As of Nov. 2021, about 900 of our cybersecurity recommendations remain open. 情報セキュリティは、ハイリスクリストに入っています。2021年11月現在、サイバーセキュリティに関する提言のうち約900件が未解決となっています。
Highlights ハイライト
What GAO Found GAOの調査結果
Beginning as early as January 2019, a threat actor breached the computing networks at SolarWinds—a Texas-based network management software company, according to the company's Chief Executive Officer. The federal government later confirmed the threat actor to be the Russian Foreign Intelligence Service. Since the company's software, SolarWinds Orion, was widely used in the federal government to monitor network activity and manage network devices on federal systems, this incident allowed the threat actor to breach several federal agencies' networks that used the software (see figure 1). 2019年1月から、テキサス州に本社を置くネットワーク管理ソフトウェア会社SolarWindsのコンピューティングネットワークに脅威分子が侵入していたと、同社の最高経営責任者が語っています。後に連邦政府は、この脅威主体がロシア対外情報庁であることを確認しました。同社のソフトウェア「SolarWinds Orion」は、連邦政府のシステムにおけるネットワーク活動の監視やネットワーク機器の管理に広く利用されていたため、この事件により、同ソフトウェアを利用している複数の連邦政府機関のネットワークに侵入することができました(図1参照)。
Rid15_image2_20220117140901
Figure 1: Analysis of How a Threat Actor Exploited SolarWinds Orion Software 図1:脅威行為者がSolarWinds Orionソフトウェアを悪用した方法の分析
While the response and investigation into the SolarWinds breach were still ongoing, Microsoft reported in March 2021 the exploitation or misuse of vulnerabilities used to gain access to several versions of Microsoft Exchange Server. This included versions that federal agencies hosted and used on their premises. According to a White House statement, based on a high degree of confidence, malicious cyber actors affiliated with the People's Republic of China's Ministry of State Security conducted operations utilizing these Microsoft Exchange vulnerabilities. The vulnerabilities initially allowed threat actors to make authenticated connections to Microsoft Exchange Servers from unauthorized external sources. Once the threat actor made a connection, the actor then could leverage other vulnerabilities to escalate account privileges and install web shells that enabled the actor to remotely access a Microsoft Exchange Server. This in turn allowed for persistent malicious operations even after the vulnerabilities were patched (see figure 2). SolarWinds社の侵害に対する対応と調査はまだ継続中ですが、マイクロソフト社は2021年3月に、複数のバージョンのMicrosoft Exchange Serverへのアクセスに使用された脆弱性が悪用されたことを報告しました。この中には、連邦政府機関がホストして構内で使用していたバージョンも含まれていました。ホワイトハウスの声明によると、高度な確信に基づき、中華人民共和国の国家安全部に所属する悪意のあるサイバーアクターが、これらのMicrosoft Exchangeの脆弱性を利用した操作を行ったとしています。この脆弱性を利用すると、まず、外部の不正なソースからMicrosoft Exchange Serverに認証された接続を行うことができます。接続が完了すると、他の脆弱性を利用してアカウントの権限を昇格させたり、ウェブシェルをインストールしたりして、Microsoft Exchange Serverへのリモートアクセスを可能にしていました。これにより、脆弱性にパッチが適用された後も、持続的な悪意ある操作が可能となりました(図2参照)。
Rid16_image3_20220117140901
Figure 2: Analysis of How Threat Actors Exploited Microsoft Exchange Server Vulnerabilities 図2:脅威となる行為者がMicrosoft Exchange Serverの脆弱性をどのように利用したかの分析結果
Federal agencies took several steps to coordinate and respond to the SolarWinds and Microsoft Exchange incidents including forming two Cyber Unified Coordination Groups (UCG), one for the SolarWinds incident and one for the Microsoft Exchange incident. Both UCGs consisted of the Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI), and the Office of the Director of National Intelligence (ODNI), with support from the National Security Agency (NSA). According to UCG agencies, the Microsoft Exchange UCG also integrated several private sector partners in a more robust manner than their involvement in past UCGs. 連邦政府機関は、SolarWindsとMicrosoft Exchangeの両インシデントに対応するために、SolarWindsインシデント用とMicrosoft Exchangeインシデント用の2つのサイバー統一調整グループ(UCG)を結成するなど、いくつかの措置を講じました。両UCGは、CISA(サイバーセキュリティ・重要インフラセキュリティ庁)、FBI(連邦捜査局)、ODNI(国家情報長官室)で構成され、NSA(国家安全保障庁)の支援を受けました。UCGの各機関によると、Microsoft Exchange UCGには、過去のUCGに比べてより強力な方法で複数の省庁が参加しています。
CISA issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents. To aid agencies in conducting their own investigations and securing their networks, UCG agencies also provided guidance through advisories, alerts, and tools. For example, the Department of Homeland Security (DHS), including CISA, the FBI, and NSA released advisories for each incident providing information on the threat actor's cyber tools, targets, techniques, and capabilities. CISA and certain agencies affected by the incidents have taken steps and continue to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident. CISAは、連邦政府機関に脆弱性を知らせ、インシデントに対応するためにどのような行動を取るべきかを説明する緊急指令を発行しました。また、各機関が独自に調査を行い、ネットワークのセキュリティを確保するのを支援するため、UCGの各機関は勧告、警告、ツールを通じてガイダンスを提供しました。例えば、CISAを含む国土安全保障省(DHS)、FBI、NSAは、インシデントごとに勧告を発表し、脅威となる人物のサイバーツール、標的、技術、能力に関する情報を提供しました。CISAと事件の影響を受けた一部の機関は、ソーラーウインズ事件への対応策を講じ、引き続き連携しています。各省庁は、Microsoft Exchange社の事件への対応を完了しました。
Agencies also identified multiple lessons from these incidents. For instance, 各省庁は、これらのインシデントから複数の教訓を得ました。例えば、以下のようなものです。
・coordinating with the private sector led to greater efficiencies in agency incident response efforts; ・民間企業との連携により、各省庁のインシデント対応をより効率的に行うことができた。
・providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector; ・省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との調整が改善された。
・sharing of information among agencies was often slow, difficult, and time consuming and; ・省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
・collecting evidence was limited due to varying levels of data preservation at agencies. ・各省庁のデータ保存のレベルが異なるため、証拠の収集が制限されていた。
Effective implementation of a recent executive order could assist with efforts aimed at improving information sharing and evidence collection, among others. 最近発表された大統領令を効果的に実施することで、情報共有や証拠収集などを改善するための取り組みを支援することができる。
Why GAO Did This Study GAOがこの調査を行った理由
The risks to information technology systems supporting the federal government and the nation's critical infrastructure are increasing, including escalating and emerging threats from around the globe, the emergence of new and more destructive attacks, and insider threats from witting or unwitting employees. Information security has been on GAO's High Risk List since 1997. 連邦政府や国の重要なインフラを支える情報技術システムに対するリスクは、世界中からの脅威の増大や出現、より破壊的な新手の攻撃の出現、故意または無意識の従業員によるインサイダー脅威など、ますます高まっています。情報セキュリティは、1997年以来、GAOのハイリスクリストに入っています。
Recent incidents highlight the significant cyber threats facing the nation and the range of consequences that these attacks pose. A recent such incident, involving SolarWinds, resulted in one of the most widespread and sophisticated hacking campaigns ever conducted against the federal government and private sector. Another incident included zero-day Microsoft Exchange Server vulnerabilities that had the potential to affect email servers across the federal government and provide malicious threat actors with unauthorized remote access. According to CISA, the potential exploitation from both incidents posed an unacceptable risk to federal civilian executive branch agencies because of the likelihood of vulnerabilities being exploited and the prevalence of affected software. 最近の事件は、国家が直面している重大なサイバー脅威と、これらの攻撃がもたらす様々な結果を浮き彫りにしています。最近の事件では、SolarWinds社が関与した事件があり、連邦政府や民間企業に対して行われた最も広範で洗練されたハッキングキャンペーンの一つとなりました。また、別の事件では、Microsoft Exchange Serverのゼロデイ脆弱性が、連邦政府全体のメールサーバに影響を与え、悪意のある脅威者に不正なリモートアクセスを許す可能性がありました。CISAによると、この2つのインシデントによる潜在的な悪用は、脆弱性が悪用される可能性が高く、影響を受けるソフトウェアが普及していることから、連邦政府の文民行政府機関に受け入れがたいリスクをもたらしています。
GAO performed its work under the authority of the Comptroller General to conduct an examination of these cybersecurity incidents in light of widespread congressional interest in this area. Specifically, GAO's objectives were to (1) summarize the SolarWinds and Microsoft Exchange cybersecurity incidents, (2) determine the steps federal agencies have taken to coordinate and respond to the incidents, and (3) identify lessons federal agencies have learned from the incidents. GAOは、この分野に対する議会の関心の高さを考慮して、これらのサイバーセキュリティ事件の調査を実施するために、GAOの権限に基づいて作業を行いました。具体的には、GAOの目的は、(1)SolarWindsとMicrosoft Exchangeのサイバーセキュリティ事件を要約し、(2)連邦政府機関が事件を調整・対応するためにとった措置を特定し、(3)連邦政府機関が事件から学んだ教訓を特定することでした。
To do so, GAO reviewed documentation such as descriptions of the incidents, federal agency press releases, response plans, joint statements, and guidance issued by the agencies responsible for responding to the incidents: DHS (CISA), the Department of Justice (FBI), and ODNI with support from NSA. In addition, GAO analyzed incident reporting documentation from affected agencies and after-action reports to identify lessons learned. For all objectives, GAO interviewed agency officials to obtain additional information about the incidents, coordination and response activities, and lessons learned. そのためにGAOは、インシデントの説明、連邦機関のプレスリリース、対応計画、共同声明、インシデントへの対応を担当する省庁が発行したガイダンスなどの文書を確認しました。DHS(CISA)、司法省(FBI)、NSAの支援を受けたODNIが発行したガイダンスなどの文書を調査しました。さらにGAOは、影響を受けた省庁からのインシデント報告書類と事後報告を分析し、得られた教訓を特定した。すべての目的について、GAOはインシデント、調整と対応活動、および学んだ教訓に関する追加情報を得るために、各省庁の担当者にインタビューを行いましたた。
Recommendations 提言事項
Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings. As of November 2021, about 900 of those recommendations had not yet been fully implemented. GAO will continue to monitor federal agencies' progress in fully implementing these recommendations, including those related to software supply chain management and cyber incident management and response. Five of six agencies provided technical comments, which we incorporated as appropriate. 2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各機関に行ってきました。2021年11月現在、これらの勧告のうち約900件はまだ完全に実施されていません。GAOは、ソフトウェアのサプライチェーン管理やサイバーインシデントの管理と対応に関連する勧告を含め、これらの勧告を完全に実施するための連邦政府機関の進捗状況を引き続き監視します。6つの省庁のうち5つの省庁から技術的なコメントをいただき、適宜反映させました。

 

 

・[PDF] Full Report

の目次...

Letter  レター 
Background  背景 
Threat Actors Exploited Vulnerabilities in SolarWinds Orion and Microsoft Exchange  SolarWinds OrionとMicrosoft Exchangeの脆弱性を悪用した脅威の発生 
Federal Agencies Have Been Taking Action in Response to Significant Cyber Incidents  連邦政府機関は重大なサイバーインシデントに対応して行動を起こしてきた 
Federal Agencies Learned Lessons from Efforts Coordinating and Responding to the SolarWinds and Microsoft Exchange Incidents  連邦政府はSolarWindsとMicrosoft Exchangeのインシデントに対する調整と対応の努力から教訓を得た。
Agency Comments  政府機関のコメント 
Appendix I Detailed Timelines of Steps Taken by Cyber Unified Coordination Group Agencies in Response to the SolarWinds and Microsoft Exchange Incidents  附属書 I SolarWinds と Microsoft Exchange のインシデントに対応して Cyber Unified Coordination Group の各機関が行った措置の詳細なタイムライン 
Appendix II GAO Contacts and Staff Acknowledgments  附属書II GAOの連絡先とスタッフの謝辞 

| | Comments (0)

中国 電気通信端末産業協会 (TAF) が「スマート端末側のビジネスのリスク防止・管理のためのセキュリティガイドライン」等、9つの文書を公表していますね。。。

こんにちは、丸山満彦です。

中国の中国 電気通信端末産業協会 (TAF) が「スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」等、9つの文書を公表していますね。。。

电信终端产业协会 (TAF)(電気通信端末産業協会)

2022.01.14 《智能终端侧业务风险防控安全指南》等9项团体标准报批公示 スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド」など9つのグループ標準が承認申請されました。

 

1、《智能终端侧业务风险防控安全指南 1. スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイド
2、《智能可穿戴设备安全  医疗健康可穿戴设备安全技术要求与测试方法 2. スマート・ウェアラブル・デバイスの安全性 ヘルスケア・ウェアラブル・デバイスの安全性に関する技術的要求事項と試験方法
3、《移动终端应用软件列表权限实施指南 3. 携帯端末アプリケーションソフトウェア一覧の許可に関する実装ガイド
4、《移动应用分发平台:APP开发者信用评价体系 4. 携帯アプリケーション配信プラットフォーム:APP開発者のための信用評価システム
5、《移动应用分发平台信用评价细则 5. 携帯アプリケーション配信プラットフォームの信用評価細則
6、《移动智能终端应用软件调用行为记录能力要求  第3部分:API接口 6. スマート携帯端末アプリケーション・ソフトウェアの呼び出し動作記録機能に関する要求事項 Part3: API インターフェース
7、《APP收集使用个人信息最小必要评估规范  第3部分:图片信息 7. APPが収集・利用する個人情報の必要最小限の評価に関する仕様書 Part3:画像情報
8、《APP收集使用个人信息最小必要评估规范  第9部分:短信信息 8. APPによる個人情報の収集と使用に関する必要最小限の評価仕様 Part9:SMS情報
9、《物联网终端可信上链技术要求 9. IoT端末の信頼できるアップリンクのための技術要件

 

代表して(^^) 《智能终端侧业务风险防控安全指南》スマート端末側ビジネスのリスク防止・管理のためのセキュリティガイドの目次。。。
 
20220117-61225

 

前言 前文
1 范围 1 適用範囲
2 规范性引用文件 2 引用文献
3 术语和定义 3 用語と定義
4 缩略语 4 略語
5 业务风险防控安全框架 5 オペレーショナル・リスクの予防・管理 セキュリティ・フレームワーク
6 业务风险防控模型输入和策略 6 オペレーショナル・リスクの予防・管理モデルの入力と戦略
6.1 概述 6.1 概要
6.2 系统风控模型输入 6.2 システムリスクコントロールモデルの入力
6.3 应用风控模型输入 6.3 アプリケーションリスクコントロールモデルの入力
6.4 身份风控模型输入 6.4 IDリスクコントロールモデルの入力
6.5 业务风险防控策略 6.5 ビジネスリスクの予防・管理戦略
7 业务风险定级 7 オペレーショナル・リスクの分類
7.1 业务风险定级原则和方法 7.1 ビジネスリスク分類の原則と方法
7.2 通用风险评估方法示例 7.2 一般的なリスク評価手法の例
8 业务风险防控安全要求 8 ビジネスリスクの予防と管理 セキュリティ要件
附录 A(资料性)业务风险防控接口 附属書A (情報) オペレーショナルリスクの予防・管理のインターフェース

| | Comments (0)

2022.01.16

金銭目的のサイバー攻撃については全ての国が協力できる(コロニアルパイプラインを攻撃した疑いのあるハッカーを米国の要請によりロシアが逮捕)

こんにちは、丸山満彦です。

ホワイトハウスが、コロニアルパイプラインに対してサイバー攻撃をしたと思われるハッカーを米国捜査当局の要請によりロシア当局が逮捕したことについての電話会見をしていますね。。。

政治的な動機ではないサイバー攻撃(例えば、金銭目的)の解決については、政治的には対立していても、互いに協力ができると思っています。今回のホワイトハウスでの会見の内容が本当であれば、その可能性を示す例なのかもしれません。。。

ウクライナ問題で、微妙な状況であるので、もちろん、この逮捕をロシアが外交的な手段として利用している可能性はあります。。。(高いですかね。。。)

なお、引き渡しについての条約は締結されていないようなので、まずはロシアで裁判にかけられることになるのでしょうね。。。

 

White House

・2022.01.14 Background Press Call by a Senior Administration Official on Cybersecurity

Background Press Call by a Senior Administration Official on Cybersecurity サイバーセキュリティに関する米政府高官のプレスコールの背景について
MODERATOR:  Hey, everyone.  Thanks for joining us closer to the end of the day on a Friday.  So, as noted in the invite, this is a background call on cybersecurity.  I’m going to let our speaker get into more details about that. 司会者:皆さん、こんにちは。 金曜日の終業間際にお集まりいただきありがとうございます。 招待状にもありましたが、今回はサイバーセキュリティに関するバックグラウンドコールです。 この件については、スピーカーに詳しく説明してもらうことにします。
Before I turn it over to the speaker, let me just do the ground rules really quickly. 発表者に引き継ぐ前に、基本的なルールを簡単に説明しておきます。
So, this briefing is on background.  It is attributable to a “senior administration official.”  And it is embargoed until the conclusion of the call. 今回のブリーフィングは背景に関するものです。 責任者は "政府高官 "です。 そして、通話が終わるまで禁則事項となっています。
Just for your awareness but not for reporting, the speaker on this call is [senior administration official]. この通話の発言者は[政府高官]であることを、皆さんにお知らせします。
You know, we’re running a little bit behind time today, so we’re only going to have time for a couple of questions.  But if you don’t get your question in, you know how to reach me, and I’m happy to get back to you as soon as I can. 今日は少し時間がないので、2、3の質問にしか答えられません。 しかし、もし質問ができなかった場合は、私に連絡を取っていただければ、できるだけ早くご連絡いたします。
So, with that, I’ll turn it over to you. それでは、次の質問に移ります。
SENIOR ADMINISTRATION OFFICIAL:  Thank you very much.  And good afternoon, everyone.  Like [moderator] said, thank you for joining us late on a Friday afternoon. 政府高官:ありがとうございました。 そして、皆さん、こんにちは。 司会者が言ったように、金曜日の午後遅くにお集まりいただきありがとうございます。
So, we welcome, of course, that the Kremlin is taking law enforcement steps to address ransomware emanating from its borders. もちろん、クレムリンが国境から発信されたランサムウェアに対処するために法執行手段を講じていることを歓迎します。
The President believes in diplomacy.  President Biden and President Putin set up a White House-Kremlin Experts Group on ransomware last June.  As we’ve said and the Russians have acknowledged, we’ve been sharing information with the Russians through this channel, including information related to attacks on American critical infrastructure. 大統領は外交を重視しています。 バイデン大統領とプーチン大統領は、昨年6月にランサムウェアに関するホワイトハウスとクレムリンの専門家グループを立ち上げました。 ロシア側も認めているように、我々はこのチャンネルを通じて、米国の重要インフラへの攻撃に関連する情報などをロシア側と共有してきました。
We understand that one of the individuals who was arrested today was responsible for the attack against Colonial Pipeline last spring. 本日逮捕された人物の中には、昨年春のコロニアル・パイプラインに対する襲撃事件の犯人がいたと聞いています。
We’re committed to seeing those conducting ransomware attacks against Americans brought to justice, including those that conducted these attacks on JBS, Colonial Pipeline, and Kaseya. 私たちは、JBS、コロニアルパイプライン、Kaseyaへの攻撃を含め、米国に対するランサムウェア攻撃を行った者を法で裁くことを約束します。
I also want to be very clear: In our mind, this is not related to what’s happening with Russia and Ukraine.  I don’t speak for the Kremlin’s motives, but we’re pleased with these initial actions. 私たちの考えでは、これはロシアとウクライナで起きていることとは関係ありません。 私はクレムリンの動機については言及しませんが、これらの最初の行動には満足しています。
We’ve also been very clear: If Russia further invades Ukraine, we will impose severe costs on Russia in coordination with our allies and partners. また、ロシアがさらにウクライナに侵攻するようなことがあれば、同盟国やパートナーと連携して、ロシアに厳しいコストを課すということも明確にしています。
As the President has said, cyber criminals are resilient and we will continue to take action to disrupt and deter them while engaging in diplomacy, as we have with Russia, allies, and partners around the world. 大統領が述べたように、サイバー犯罪者は回復力があります。私たちは、ロシア、同盟国、世界中のパートナーとの間で行っているように、外交活動を行いながら、サイバー犯罪者を混乱させ、抑止するための行動を取り続けます。
So, with that, over to you.  Looking forward to your questions. それでは、皆さんにお願いします。 皆さんの質問をお待ちしています。
Q    Thank you so much.  Thanks for doing it.  I want to ask you about Russia and Ukraine.  And I had a little difficulty hearing, but I think you said that if they did anything regarding Ukraine, there would be costs. Q 本当にありがとうございます。 ありがとうございます。 ロシアとウクライナについてお聞きしたいと思います。 少し聞き取りにくかったのですが、ウクライナに関して何かするとコストがかかるとおっしゃっていたように思います。
Do you have any attribution?  I know the Ukrainians have suggested that today’s hacking was related to Russian intelligence services.  Has this moved beyond what the Pentagon said earlier and what the White House said earlier about attributions about today or any other hacking of Ukraine in recent days from Russia? 何か原因があるのでしょうか? ウクライナ側は、今日のハッキングはロシアの諜報機関が関係していると示唆していますよね。 今日のハッキング、あるいはここ数日のロシアによるウクライナへのハッキングについて、ペンタゴンが先に言ったこと、ホワイトハウスが先に言ったこと以上のことが起きているのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Hi, Andrea.  Can you hear me now?  I’m sorry.  I have a bad cold, so I know I’m a little hard to hear. 政府高官:こんにちは、アンドレア。 私の声が聞こえますか? 申し訳ありません。 風邪をひいていて、少し聞き取りづらいかもしれませんが。
Q    Oh, I’m so sorry.  Feel better. Q ああ、ごめんなさい。 お大事になさってください。
SENIOR ADMINISTRATION OFFICIAL:  Okay.  Okay, good.  But I’m glad you can hear me.  Okay.  政府高官:オーケー。 いいですよ。 でも、聞こえていてくれて嬉しいです。 そうですね。
So, we don’t have an attribution at this time.  We are in touch with Ukrainians and have offered our support as Ukraine investigates the impact and recovers from the incident.  While we continue to assess the impact to Ukrainians, it seems limited so far, with multiple websites coming back online.  現在のところ、原因は不明です。 我々はウクライナ人と連絡を取っており、ウクライナが影響を調査し、事件から回復するための支援を提供しています。 ウクライナ人への影響を引き続き調査していますが、これまでのところ、複数のウェブサイトがオンラインに戻るなど、影響は限定的なようです。
But I want to note, we are — you know, we and our allies and partners are concerned about this cyberattack, and the President has been briefed.  But that is the status at this time. しかし、私たちと同盟国やパートナーはこのサイバー攻撃に懸念を抱いており、大統領にも説明しています。 しかし、これは現時点での状況です。
Q    Hi.  Thank you so much for agreeing to do this on a Friday evening.  I was curious to know — you said you welcome reports that the Kremlin is taking action.  Obviously, there’s been a suggestion that this operation was done at the direct behest of the White House.  Could you talk a little bit about whether that’s, in fact, true — whether this is something that was done specifically at your urging, with information that the White House had indeed provided?  Thank you. Q こんにちは。 金曜日の夜にお時間をいただき、ありがとうございました。 クレムリンが行動を起こしているという報告を歓迎するとおっしゃっていましたが、これはどういうことなのでしょうか? 明らかに、今回の作戦はホワイトハウスに直接命令されて行われたのではないかという指摘があります。 実際にそうなのか、ホワイトハウスが提供した情報をもとに、あなたの指示で特別に行われたものなのか、少しお話しいただけますか? ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Thank you, Eric.  So, as you know, President Biden and President Putin set up the White House-Kremlin Experts Group on ransomware last June, and we have been meeting within that channel and discussing the need for Russia to take action against ransomware criminals operating from within their borders.  We’ve also shared information regarding individuals operating from within Russia who have conducted disruptive attacks against U.S. critical infrastructure.  政府高官:ありがとうございます、エリック。 ご存知のように、バイデン大統領とプーチン大統領は、昨年6月にランサムウェアに関するホワイトハウスとクレムリンの専門家グループを立ち上げ、その中で会合を持ち、ロシアが自国内で活動するランサムウェア犯罪者に対して行動を起こす必要性について議論してきました。 また、ロシア国内で活動し、米国の重要インフラに対して破壊的な攻撃を行った人物に関する情報も共有しています。
And as I noted, we understand that one of the individuals who was arrested today was indeed the individual responsible for the attack against Colonial Pipeline last spring.  先に述べたように、本日逮捕された人物の一人が、昨年春のコロニアル・パイプラインへの攻撃を行った人物であることがわかっています。
So, this has — we do attribute today’s announcement to the — to, really, the President’s commitment to diplomacy and the channel that he established and the work that has been underway in sharing information and in discussing the need for Russia to take action.    本日の発表は、大統領の外交へのコミットメントと、大統領が設立したチャンネル、そして情報の共有とロシアの行動の必要性を議論するために進められてきた作業の賜物であると考えています。  
That being said, each country pursues its law enforcement operations under, certainly, its own legal system.  And Russia’s announcement today was clearly something that will be — you know, that was — pursued its own law enforcement steps. とはいえ、各国はそれぞれの法制度に基づいて法執行活動を行っています。 今日のロシアの発表は、明らかに自国の法執行手段を追求したものです。
These are our first — these are very important steps, as they represent the Kremlin taking action against criminals operating from within its borders.  And they represent what we’re looking for with regard to continued activities like these in the future. 今回の発表は、クレムリンが自国内で活動する犯罪者に対して行動を起こしたという意味で、非常に重要な第一歩となります。 そして、今後もこのような活動が続くことを期待しています。
Q    Hi.  Thanks for doing the call.  Do you expect anything to happen to these individuals who have been apprehended?  As you know, there’s no extradition treaty, and Russia has a history of not really prosecuting these types of people.  So, what happens now?  What does the White House hope to happen now, in terms of actually making sure that these people won’t return to ransomware? Q こんにちは。 電話をありがとうございました。 逮捕された人たちには何かが起こるのでしょうか? ご存知のように、犯罪者の引き渡し条約はありませんし、ロシアはこの種の人々をあまり起訴してこなかった歴史があります。 では、これからどうなるのでしょうか? ホワイトハウスは、このような人々がランサムウェアに戻ってこないようにするという観点から、今後どのようなことを期待しているのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Our expectation is that Russia announce arrests and that Russia would be pursuing legal action within its own system against these criminals for the crimes that they have created — that they have done.  So, that is our expectation. 政府高官:私たちが期待しているのは、ロシアが逮捕者を発表し、ロシアが自国のシステムの中で、これらの犯罪者が起こした犯罪に対して法的措置を取ることです。 それが私たちの期待です。
And it is indeed, to your point, our expectation that they’re brought to justice and, as such, not only for their past crimes, but preventing future ones as well. そして、過去の犯罪だけでなく、将来の犯罪を防ぐためにも、彼らが法の裁きを受けることを期待しています。
MODERATOR:  Thank you.  Again, thanks, everyone, for joining.  I know this was a really short call.  If we didn’t get to your question, please feel free to email or call me, and I’ll make sure that we get back to you.  And then, have a great weekend.  Thanks for your time.  Bye. 司会者:ありがとうございます。 改めて、参加してくださった皆さんに感謝します。 短い時間ではありましたが、ご協力ありがとうございました。 もしご質問にお答えできなかった場合は、お気軽にメールかお電話でご連絡ください。 それでは、良い週末をお過ごしください。 お時間をいただきありがとうございました。 それでは。

Fig1_20210802074601

 

 


ロシア側の発表

Федеральная служба безопасности Российской Федерации (Federal Security Service of the Russian Federation: FSB)

・2022.01.14 ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО СООБЩЕСТВА

ПРЕСЕЧЕНА ПРОТИВОПРАВНАЯ ДЕЯТЕЛЬНОСТЬ ЧЛЕНОВ ОРГАНИЗОВАННОГО ПРЕСТУПНОГО СООБЩЕСТВА 組織的犯罪者集団のメンバーの違法行為を抑圧した
Федеральной службой безопасности Российской Федерации во взаимодействии со Следственным департаментом МВД России в городах Москве, Санкт-Петербурге, Московской, Ленинградской и Липецкой областях пресечена противоправная деятельность членов организованного преступного сообщества. ロシア連邦連邦保安局は、ロシア内務省捜査局と協力して、モスクワ市、サンクトペテルブルク市、モスクワ市、レニングラード市、リペツク州で、組織的犯罪グループのメンバーの違法行為を抑圧しました。
Основанием для разыскных мероприятий послужило обращение компетентных органов США, сообщивших о лидере преступного сообщества и его причастности к посягательствам на информационные ресурсы зарубежных высокотехнологичных компаний путем внедрения вредоносного программного обеспечения, шифрования информации и вымогательства денежных средств за ее дешифрование. 今回の捜査は、悪意のあるソフトウェアを導入して情報を暗号化し、その解読のために金銭を脅し取ることで、外国のハイテク企業の情報資源を攻撃していた犯行グループのリーダーの関与を通報した米国の所轄官庁からの要請に基づいて行われました。
ФСБ России установлен полный состав преступного сообщества «REvil» и причастность его членов к неправомерному обороту средств платежей, осуществлено документирование противоправной деятельности. ロシアのFSSは、犯罪組織「REvil」の完全な構成を確立し、そのメンバーが支払い手段の違法な売買に関与していることを確認し、違法行為を文書化しました。
С целью реализации преступного замысла указанные лица разработали вредоносное программное обеспечение, организовали хищение денежных средств с банковских счетов иностранных граждан и их обналичивание, в том числе путем приобретения дорогостоящих товаров в сети Интернет. 上記の人物は、犯罪計画を完遂するために、マルウェアを開発し、外国人の銀行口座から資金を盗み、インターネットで高額商品を購入するなどして現金化することを組織しました。
В результате комплекса скоординированных следственных и оперативно-разыскных мероприятий в 25 адресах по местам пребывания 14 членов организованного преступного сообщества изъяты денежные средства: свыше 426 млн рублей, в том числе в криптовалюте, 600 тысяч долларов США, 500 тысяч евро, а также компьютерная техника, криптокошельки, использовавшиеся для совершения преступлений, 20 автомобилей премиум-класса, приобретенные на денежные средства, полученные преступным путем. 組織化された犯罪グループのメンバー14人が拘束された25カ所の住所で、連携した捜査・捜索活動を行った結果、暗号通貨を含む4億2600万ルーブル、60万米ドル、50万ユーロのほか、コンピューターのハードウェア、犯行に使われた暗号通貨の財布、犯罪で得た金で購入した高級車20台などを押収しました。
Задержанным членам ОПС предъявлены обвинения в совершении преступлений, предусмотренных ч. 2 ст. 187 «Неправомерный оборот средств платежей» УК России. 拘束された組織的犯罪集団のメンバーは、ロシア刑法第187条「支払手段の違法な転売」の第2部の罪で起訴されました。
В результате совместных действий ФСБ и МВД России организованное преступное сообщество прекратило существование, используемая в преступных целях информационная инфраструктура нейтрализована. 連邦保安局と内務省が共同で取り組んだ結果、組織化された犯罪結社は消滅し、犯罪目的で使用されていた情報インフラも無力化されました。
Представители компетентных органов США о результатах проведенной операции проинформированы. 米国の所轄官庁の代表者には、この作戦の結果が伝えられています。

 

800pxemblem_of_federal_security_services

 


 

■ 報道

● POLITICO

・2022.01.14 Russia arrests hacker in Colonial Pipeline attack, U.S. says

The arrests followed months of negotiations between the Biden administration and Russian officials around the ransomware attack and other cybersecurity concerns.

CNN

・2022.01.14 US officials believe Russia arrested hacker responsible for Colonial Pipeline attack

The Hill

・2022.01.14 Biden administration says Russia arrested Colonial Pipeline hacker

The Wallstreet Journal

・2022.01.14 Russia Arrests Hackers Tied to Major U.S. Ransomware Attacks, Including Colonial Pipeline Disruption

● Forbes

・2022.01.14 Russia Nabs Colonial Pipeline Hacker In Raids On Ransomware Ring, U.S. Says

 

 

| | Comments (0)

2022.01.15

英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

こんにちは、丸山満彦です。

英国会計検査院のブログに「サイバーセキュリティ:パンデミックは何を変えたか?」という投稿がありますね。。。

英国の会計検査院 (National Audit Office) には、サイバーセキュリティ担当のディレクターがいるようですね。。。まぁ、重要な分野ですからね。。。

 

National Audit Office: NAO - NAO blog

・2022.01.14 Cyber security: has the pandemic changed anything?

Cyber security: has the pandemic changed anything? サイバーセキュリティ:パンデミックは何を変えたか?
Posted on January 14, 2022 by Tom McDonald 投稿日: 2022年1月14日 投稿者: Tom McDonald
The start of a new year brings the opportunity to look back and reflect on the challenges we faced in dealing with COVID-19 during the last year. One of the many impacts of the pandemic we did not foresee was moving many aspects of our social and economic life online to try and keep them going through lockdowns. This came with considerable advantages, keeping many businesses, social networks and relationships going. But it also came with a significant downside, as we all became more vulnerable to the risks associated with operating online. In addition to the major attacks like WannaCry and SolarWinds, which have affected organisations in the UK and overseas, it is now increasingly likely that each of us has either personally suffered from some kind of online crime or know someone else who has. 新しい年の始まりは、昨年のCOVID-19への対応で直面した課題を振り返り、反省する機会となります。パンデミックの影響で予想できなかったことは、社会的・経済的な生活の多くの側面をオンラインに移行し、ロックダウンの間もそれらを維持しようとしたことでした。これは、多くのビジネス、ソーシャルネットワーク、人間関係を維持できるという大きなメリットがありました。その一方で、オンラインでの活動に伴うリスクに対して私たちがより脆弱になるという、大きなマイナス面もありました。WannaCryやSolarWindsなどの大規模な攻撃が英国や海外の組織に影響を与えていることに加えて、私たち一人一人が何らかのオンライン犯罪の被害に遭っているか、そのような人を知っている可能性がますます高くなっています。
In its latest Annual Report, government’s National Cyber Security Centre (NCSC) is clear about the nature of the risks we have faced during the pandemic, noting the startling finding that “From household goods to vaccine appointments, there have been few avenues criminals have not tried to exploit”. And the move to living more of our lives online has resulted in some shifts in criminal activity. 政府の国家サイバーセキュリティセンター(NCSC)は、最新の年次報告書の中で、パンデミックの間に我々が直面したリスクの性質について明確に述べており、「家財道具からワクチンの予約に至るまで、犯罪者が利用しようとしなかった手段はほとんどなかった」という驚くべき発見をしています。また、生活の多くをオンラインで過ごすようになったことで、犯罪行為にも変化が生じています。
The major trend identified by the NCSC is the growth in criminal groups using ransomware to extort organisations of all kinds. The NCSC describes ransomware as the most immediate cyber security threat to UK businesses: this obviously makes it a threat to the resilience and performance of the economy. But it is also a risk to both central and local government and the wide range of services which they support. So, whether we are taxpayers or service users, we should be concerned at this increased use of ransomware being added to the existing list of cyber threats. NCSCが指摘する大きな傾向は、犯罪グループがランサムウェアを使ってあらゆる種類の組織を脅迫するケースが増えていることです。NCSCは、ランサムウェアを英国企業にとって最も差し迫ったサイバーセキュリティの脅威であるとしています。しかし、ランサムウェアは、中央政府、地方政府、そしてそれらが支える広範なサービスにとってもリスクとなります。納税者であれ、サービス利用者であれ、既存のサイバー脅威のリストにランサムウェアが追加されたことを懸念すべきです。
Unfortunately, the other threats on that list haven’t gone away. The March 2021 Microsoft Exchange Servers incident, in which a sophisticated attacker used zero-day vulnerabilities to compromise at least 30,000 separate organisations, highlighted the dangers posed by supply chain attacks. And there are plenty of examples in the news of other incidents, both malicious and accidental, which have put data, operations and organisational resilience at risk in both private and public sectors. 残念ながら、このリストにある他の脅威はなくなっていません。2021年3月に発生したMicrosoft Exchange Serverの事件では、巧妙な攻撃者がゼロデイ脆弱性を利用して少なくとも3万の個別組織を危険にさらし、サプライチェーン攻撃がもたらす危険性を浮き彫りにしました。その他にも、悪意のあるもの、偶発的なものを問わず、官民を問わず、データ、業務、組織の回復力を危険にさらした事件の例は、ニュースで数多く取り上げられています。
In its new National Cyber Strategy, government has set out some of the things it wants to do to make the UK more resilient to cyber-attack. Like its predecessors, the Strategy is painted on a broad canvas, setting out high-level objectives: it says that the UK should strengthen its grasp of technologies that are critical to cyber security and that it should limit its reliance on individual suppliers or technologies which are developed under regimes that do not share its values. These objectives are aimed at the structural factors behind cyber security. And in the meantime, government is developing its Active Cyber Defence programme – which seeks to reduce the risk of high-volume cyber-attacks ever reaching UK citizens – and pressing ahead with other work on skills, resilience and partnerships across different industries and sectors. 政府は、新しい「国家サイバー戦略」の中で、英国のサイバー攻撃に対する耐性を高めるために、どのようなことをしたいかを示しています。これまでの戦略と同様に、この戦略は大きなキャンバスに描かれており、高レベルの目標を設定しています。すなわち、英国はサイバーセキュリティに不可欠な技術の把握を強化し、価値観を共有しない体制下で開発された個々のサプライヤーや技術への依存を制限すべきであるとしています。これらの目標は、サイバーセキュリティの背後にある構造的な要因を狙ったものです。一方、政府は、大量のサイバー攻撃が英国市民に到達するリスクを低減することを目的とした「アクティブ・サイバー・ディフェンス」プログラムを展開しているほか、スキル、レジリエンス、さまざまな業界・セクター間のパートナーシップに関するその他の作業を進めています。
So, it seems clear that, despite the efforts of public and private sectors, the pandemic has exacerbated some of the threats we face online. But one thing that most experts agree on is that our best defence is getting the basics right. Many of the attacks which we have seen during the pandemic could have been avoided if individuals and organisations had followed recognised good practice. This includes actions like implementing formal information security regimes, avoiding unsupported software and adopting good password practices. We have specific guidance to help Audit Committees think about these sorts of issues in our updated Cyber and Information Security Good Practice Guide. このように、官民一体となった取り組みにもかかわらず、パンデミックによって、私たちがオンラインで直面している脅威のいくつかが悪化していることは明らかなようです。しかし、ほとんどの専門家が同意しているのは、最善の防御策は基本を正しく理解することだということです。今回のパンデミックで発生した攻撃の多くは、個人や組織が認識されているグッドプラクティスに従っていれば回避できたはずです。これには、正式な情報セキュリティレジームの導入、サポートされていないソフトウェアの回避、適切なパスワードの使用などが含まれます。私たちは、監査委員会がこのような問題について考える際に役立つ具体的なガイダンスを、最新の「サイバーおよび情報セキュリティに関するグッド・プラクティス・ガイド」に掲載しています。
So, if you are still thinking about your New Year’s resolutions, how about refreshing your cyber security practices? That may help you avoid becoming the next victim of a cyber-attack. もし、まだ新年の抱負を考えているのであれば、サイバー・セキュリティ対策を見直してみてはいかがでしょうか。そうすれば、次のサイバー攻撃の犠牲者にならずに済むかもしれません。

 

Nao-logo-2

 

 

 


参考

文中のリンクに関係する部分

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.17 英国 国家サイバー戦略

・2021.11.19 英国 NCSC Annual Review 2021 国家サイバーセキュリティセンター2021年報告書

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

 

その他。。。

・2021.09.24 英国 国家AI戦略

・2021.07.09 英国 データ保護局 (ICO) 年次報告書を公開していますね。。。

・2021.03.27 英国 国家サイバーセキュリティセンター (NCSC) の新しいCEOが今後のサイバーリスクについて説明し、自己満足にならないように警告

・2021.03.26 英国 デジタル・文化・メディア・スポーツ省 「サイバーセキュリティ侵害調査報告書2021」

・2020.11.09 英国 NCSC Annual Review 2020 国家サイバーセキュリティセンター2020年報告書

 

 

| | Comments (0)

総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

こんにちは、丸山満彦です。

総務省が電気通信事業ガバナンス検討会報告書(案)について意見募集をしていますね。。。

総務省

・2022.01.14 電気通信事業ガバナンス検討会 報告書(案)に対する意見募集


1 概要


 総務省では、「電気通信事業ガバナンス検討会」を開催し、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、令和3年5月から検討を行ってきました。
 今般、本検討会において、報告書(案)が取りまとめられましたので、令和4年1月15日(土)から同年2月4日(金)までの間、本案に対する意見募集を行います。

・[PDF] 別紙1「電気通信事業ガバナンス検討会 報告書(案)」

20220114-233059

 

目次

はじめに

第1章 電気通信事業を取り巻く環境の変化
1.1
電気通信サービスの現状
 1.1.1
電気通信サービス市場の概要
 1.1.2 電気通信サービスの重要度の向上

1.2
電気通信サービスを提供する電気通信事業者の多様化
1.3
電気通信サービスを提供するネットワークの多様化

第2章 電気通信事業におけるガバナンスの現状と課題
2.1
電気通信サービスに対するリスクの高まり
 2.1.1
サイバー攻撃の複雑化・巧妙化によるリスク
 2.1.2 サプライチェーンや外国の法的環境による影響等のリスク
 2.1.3 電気通信サービスに係る情報の漏えい等のリスク
 2.1.4 電気通信サービスの停止等のリスク
 2.1.5 情報の外部送信や収集に関連したリスク
 2.1.6 利用者による不安
 2.1.7 今後の方向性

2.2
電気通信事業におけるガバナンスの現状
 2.2.1
国内の電気通信事業におけるガバナンスの現状
  2.2.1.1 電気通信事業の公共性及び電気通信事業法における規律の対象
  2.2.1.3 通信の秘密の漏えいに関する制度の現状
  2.2.1.4 電気通信事業者における自主的な取組の現状
  2.2.1.5 総合的なサイバーセキュリティ対策
  2.2.1.6 政府情報システムのためのセキュリティ評価制度
 2.2.2 ガバナンスに関する国際標準・諸外国の制度等
  2.2.2.1 情報セキュリティに関する国際標準・規格等
  2.2.2.2 ガバナンスに関する諸外国の制度

2.3
利用者が安心できる電気通信サービスの円滑な提供に向けた課題
 2.3.1
情報の漏えい・不適正な取扱い等や電気通信サービスの停止のリスクへの対応
 2.3.2 電気通信事業におけるリスク対策の必要性
 2.3.3 課題と検討の方向性

第3章 電気通信事業ガバナンスの在り方と実施すべき措置
3.1
電気通信事業におけるガバナンス強化に係る基本的な考え方
 3.1.1
電気通信事業における多様な保護法益の確保
 3.1.2 電気通信事業の円滑・適切な運営の確保
 3.1.3 電気通信事業ガバナンスの在り方の検討

3.2
実施すべき措置
 3.2.1
電気通信事業に係る情報の漏えい・不適正な取扱い等に対するリスク対策
  3.2.1.1
適正な取扱いを行うべき情報
  3.2.1.2 利用者情報の適正な取扱いの促進
  3.2.1.3 利用者に関する情報の外部送信の際に講じるべき措置

 3.2.2
通信ネットワークの多様化等を踏まえた電気通信サービスの停止に対するリスク対策
  3.2.2.1
設備の多様化に対応した規律の見直し
  3.2.2.2 事業者間連携によるサイバー攻撃対策
  3.2.2.3 重大事故等のおそれのある事態の報告制度
  3.2.2.4 災害時における考慮事項

 3.2.3
利用者への情報提供
  3.2.3.1
利用者への情報提供の現状
  3.2.3.2 情報の適正な取扱い等に係る利用者への情報提供の強化に向けて

第4章 今後の検討課題

おわりに


 

 

参考

電気通信ガバナンス検討会

 ・2021.04.27 「電気通信事業ガバナンス検討会」の開催

 


総務省は、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保に向けて、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について検討するため、「電気通信事業ガバナンス検討会」を開催します。

1 目的

 「デジタル社会」の実現のためには、その中枢基盤として、サイバー空間とフィジカル空間を繋ぐ神経網である通信サービス・ネットワークが安心・安全で信頼され、継続的・安定的かつ確実・円滑に提供されることが不可欠です。

 しかし、最近、通信サービス・ネットワークを司る電気通信事業者において、利用者の個人情報や通信の秘密の漏えい事案が発生するとともに、海外の委託先等を通じ、これらのデータにアクセス可能な状態にあることに関するリスク等が顕在化しています。さらに、電気通信事業者に対するサイバー攻撃により、通信サービスの提供の停止に至る事案や通信設備に関するデータが外部に漏えいしたおそれのある事案が発生するなど、サイバー攻撃のリスク等も深刻化しています。

 以上を踏まえ、デジタル変革時代における安心・安全で信頼できる通信サービス・ネットワークの確保を図るため、電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方について、検討を行います。

2 検討事項

(1)電気通信事業者におけるサイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方

(2)上記を踏まえた、政策的な対応の在り方

(3)その他


| | Comments (0)

2022.01.14

世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

こんにちは、丸山満彦です。

世界経済フォーラムが毎年出している、グローバルリスクリポートですが、2022年版が公表されていますね。。。

環境系のリスクが上位に上がってきているように感じました。。。

 

World Economic Forum

・2022.01.11 Global Risks 2022: The 'disorderly' net-zero transition is here and it’s time to embrace it

Global Risks

Global Risks Report

・2022.01.11 Global Risks Report 2022

・[PDF

20220114-64730

 

日本のウェブページ

・2022.01.11 グローバルリスク報告書2022年版: 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

 

短期、中期、長期のリスク

0-2 years 主要な短期的なグローバルリスク(0-2年)
Extreme weather 異常気象
Livelihood crises 生活破綻(生活苦)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Social cohesion erosion 社会的結束の侵食
Infectious diseases 感染症の広がり
Mental health deterioration メンタルヘルスの悪化
Cybersecurity failure サイバーセキュリティ対策の失敗
Debt crisis 債務危機
Digital inequality デジタル格差
Asset bubble burst 資産バブルの崩壊
   
2-5 years 主要な中期的なグローバルリスク(2-5年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Debt crises 債務危機
Human environmental damage 人為的な環境災害
Geoeconomic confrontations 地政学的対立
Cybersecurity failure サイバーセキュリティ対策の失敗
Biodiversity loss 生物多様性の喪失
Asset bubble burst 資産バブルの崩壊
   
5-10 years 主要な長期的なグローバルリスク(5-10年)
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Natural resource crises 天然資源危機
Human environmental damage 人為的な環境災害
Social cohesion erosion 社会的結束の侵食
Involuntary mitigation 非自発的移住
Adverse tech advances テクノロジー進歩による悪影響
Geoeconomic confrontations 地政学的対立
Geopolitical resource contestation 地政学的資源戦争

 

深刻度に着目すると...

Identify the most severe risks on a global scale over the next 10 years 深刻度から見たグローバルリスク 今後10年
Climate action failure 気候変動への適応(あるいは対応)の失敗
Extreme weather 異常気象
Biodiversity loss 生物多様性の喪失
Social cohesion erosion 社会的結束の侵食
Livelihood crises 生活破綻(生活苦)
Infectious diseases 感染症の広がり
Human environmental damage 人為的な環境災害
Natural resource crises 天然資源危機
Debt crisis 債務危機
Geoeconomic confrontations 地政学的対立
過去分
PDFは第1回から揃いますね。。。

17 2022 2022.01.11 Web PDF Press
16 2021 2021.01.19 Web PDF Press
15 2020 2020.01.15  Web PDF Press
14 2019 2019.01.15 Web PDF Press
13 2018 2018.01.17 Web PDF Press
12 2017 2017.01.11 Web PDF Press
11 2016 2016.01.14 Web PDF Press
10 2015 2015.01.09 Web PDF Press
9 2014 2014.01.12 Web PDF Press
8 2013 2012.10.30 Web PDF Press
7 2012 2012.01.05 Web PDF Press
6 2011 2011.09.27 Web PDF Press
5 2010 2010.01.04 Web PDF Press
4 2009     PDF  
3 2008     PDF  
2 2007     PDF  
1 2006     PDF  
 
 

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.28 世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.07.01 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク

・2021.05.21 世界経済フォーラム&ユニセフ・ジェネレーションAIによるスマートトイ賞が22日に発表へ

・2021.05.18 世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

・2021.04.25 世界経済フォーラム (WEF) データガバナンスの再設定:承認された公共目的のアクセス (APPA) とその原則の実施のための社会的規準

・2021.04.08 世界経済フォーラム Global Technology Governance Summit

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.02.23 2021年の国連の社会正義の日のテーマは「デジタル経済における社会正義の呼びかけ」で、世界経済フォーラムは「デジタル世界において社会正義を如何に実現するかについての4つの視点」を公表していますね。。。

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.17 World Economic Forum ビジネス環境を巡る地域リスクレポート2020 (サイバー攻撃も上位に入っています。。。)

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

 

 

 

 

Continue reading "世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機 "

| | Comments (0)

2022.01.13

米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

こんにちは、丸山満彦です。

米国のGAOの予備的調査の結果、各省庁のFISMA要件の実施にはばらつきがあると報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.01.11 Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent

・[PDF] Hilights

・[PDF] Full Report

20220113-45928

 

Cybersecurity:Preliminary Results Show That Agencies' Implementation of FISMA Requirements Was Inconsistent サイバーセキュリティ:予備的調査の結果、各省庁のFISMA要件の実施はばらつきがある
Fast Facts 速報
A 2014 law requires federal agencies to have information security programs. We testified about how agencies have implemented their programs: 2014年の法律により、連邦政府機関は情報セキュリティプログラムを持つことが義務付けられています。私たちは、各省庁がどのようにプログラムを実施したかについて証言しました。
・While agencies have reported some progress, 17 of 23 civilian agencies did not fully meet their cybersecurity targets ・各省庁は一定の進展を報告しているものの、23省庁のうち17省庁はサイバーセキュリティの目標を完全には達成していませんでした。
・Inspectors General reported ineffective programs at 16 of 23 civilian agencies ・23省庁うち16省庁の監察官が、プログラムが効果的でないと報告しました。
・Our recent reports also identified major weaknesses in government-wide and agency-specific cybersecurity initiatives ・最近の報告書では、政府全体および各省庁固有のサイバーセキュリティの取り組みに大きな弱点があることも指摘されています。
・Agency officials have identified obstacles to reporting and made suggestions for improvement ・各省庁の担当者は、報告の障害となっているものを特定し、改善のための提案を行いました。
Federal information security has been a topic on our High Risk List since 1997. 連邦政府の情報セキュリティは、1997年以来、連邦政府のハイリスクリストに掲載されているテーマです。
Highlights ハイライト
What GAO Found GAOの調査結果
Based on GAO's preliminary results, in fiscal year 2020, the effectiveness of federal agencies' implementation of requirements set by the Federal Information Security Modernization Act of 2014 (FISMA) varied. For example, more agencies reported meeting goals related to capabilities for the detection and prevention of cybersecurity incidents, as well as those related to access management for users. However, inspectors general (IG) identified uneven implementation of cyber security policies and practices. For fiscal year 2020 reporting, IGs determined that seven of the 23 civilian Chief Financial Officers Act of 1990 (CFO) agencies had effective agency-wide information security programs. The results from the IG reports for fiscal year 2017 to fiscal year 2020 were similar with a slight increase in effective programs for 2020. GAOの予備的調査の結果によると、2020年会計年度において、2014年連邦情報セキュリティ近代化法(FISMA)で設定された要件の連邦政府機関による実施の効果にはばらつきがありました。例えば、より多くの省庁が、サイバーセキュリティインシデントの検知と防止のための能力や、ユーザーのアクセス管理に関連する目標を達成したと報告しました。しかし、監察官(IG)は、サイバーセキュリティポリシーと実践の実施にばらつきがあることを指摘しました。2020会計年度の報告では、IGは、1990年の最高財務責任者法(CFO)に基づく23省庁のうち、7つ省庁が効果的な機関全体の情報セキュリティプログラムを持っていると判断しました。2017年度から2020年度までのIG報告書の結果では、2020年に向けて効果的なプログラムがわずかに増加しています。
Number of 23 Civilian Chief Financial Officers Act of 1990 Agencies with Effective and Not Effective Agency-Wide Information Security Programs, as Reported by Inspectors General for Fiscal Years 2017-2020 2017~2020年度に監察官が報告した、省庁全体の情報セキュリティプログラムが有効および有効でない23の1990年最高財務責任者法対象省庁の数

20220112-180556
GAO has also routinely reported on agencies' inconsistent implementation of federal cybersecurity policies and practices. Since 2010, GAO has made about 3,700 recommendations to agencies aimed at remedying cybersecurity shortcomings; about 900 were not yet fully implemented as of November 2021. More recent GAO reviews have identified weaknesses regarding access controls, configuration management, and the protection of data shared with external entities. GAO has made numerous recommendations to address these. GAOは、各省庁が連邦政府のサイバーセキュリティ政策や実務を一貫性なく実施していることについても定期的に報告してきました。2010年以降、GAOはサイバーセキュリティの欠点を改善することを目的とした約3,700件の提言を各省庁に行ってきましたが、2021年11月時点で約900件がまだ完全に実施されていません。最近のGAOのレビューでは、アクセス制御、構成管理、外部と共有するデータの保護に関する弱点が指摘されています。GAOはこれらに対処するため、数多くの提言を行っています。
Based on interviews with agency officials, such as chief information security officers, GAO's preliminary results show that officials at 14 CFO Act agencies stated that FISMA enabled their agencies to improve information security program effectiveness to a great extent. Officials at the remaining 10 CFO Act agencies said that FISMA had improved their programs to a moderate extent. The officials also identified impediments to implementing FISMA, such as a lack of resources. Agency officials suggested ways to improve the FISMA reporting process, such as by updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection. 最高情報セキュリティ責任者などの省庁関係者へのインタビューに基づいたGAOの予備的調査の結果によると、CFO法適用省庁14の関係者は、FISMAによって省庁の情報セキュリティプログラムの有効性がかなり改善されたと述べています。残りの10のCFO法対象省庁の担当者は、FISMAによってプログラムが中程度に改善されたと述べています。また、担当者は、リソースの不足など、FISMA を実施する上での障害を指摘しています。各省庁の担当者は、FISMA の報告プロセスを改善する方法を提案しました。例えば、FISMA の評価基準を更新してその有効性を高めたり、IGの評価・格付けプロセスを改善したり、報告書のデータ収集における自動化の利用を増やしたりしました。
Why GAO Did This Study GAOがこの調査を行った理由
Federal systems are highly complex and dynamic, technologically diverse, and often geographically dispersed. Without proper safeguards, computer systems are increasingly vulnerable to attack. As such, since 1997, GAO has designated information security as a government-wide high-risk area. 連邦政府のシステムは、非常に複雑で動的であり、技術的にも多様で、地理的にも分散していることが多いです。適切なセーフガードがなければ、コンピュータ・システムはますます攻撃されやすくなります。そのため、1997年以降、GAOは情報セキュリティを政府全体の高リスク分野に指定しています。
FISMA was enacted to provide federal agencies with a comprehensive framework for ensuring the effectiveness of information security controls. FISMA requires federal agencies to develop, document, and implement an information security program to protect the information and systems that support the operations and assets. It also includes a provision for GAO to periodically report on agencies' implementation of the act. FISMAは、情報セキュリティ管理の有効性を確保するための包括的なフレームワークを連邦政府機関に提供するために制定されました。FISMAは、連邦政府機関に対し、業務や資産を支える情報やシステムを保護するための情報セキュリティプログラムを策定し、文書化し、実施することを求めている。また、GAOが各省庁の同法の実施状況を定期的に報告する規定も含まれています。
This testimony discusses GAO's preliminary results from its draft report in which the objectives were to (1) describe the reported effectiveness of federal agencies' implementation of cybersecurity policies and practices and (2) evaluate the extent to which relevant officials at federal agencies consider FISMA to be effective at improving the security of agency information systems. この証言は、GAOの報告書ドラフトの予備的な結果について述べたもので、その目的は、(1)連邦政府機関のサイバーセキュリティポリシーとプラクティスの実施について報告された有効性を説明すること、(2)連邦政府機関の関係者が、FISMAが機関の情報システムのセキュリティを向上させるのに有効であると考えている程度を評価することでした。
To do so, GAO reviewed the 23 civilian CFO Act agencies' FISMA reports, agency-reported performance data, past GAO reports, and OMB documentation and guidance. GAO also interviewed agency officials from the 24 CFO Act agencies (i.e., the 23 civilian CFO Act agencies and the Department of Defense). そのためにGAOは、CFO法対象23省庁のFISMAレポート、省庁が報告したパフォーマンスデータ、過去のGAOレポート、OMBの文書とガイダンスをレビューしました。またGAOは、CFO法対象省庁24(CFO法対象省庁23社と国防総省)の省庁担当者にインタビューを行いました。

 

 


FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

 


| | Comments (0)

2022.01.12

デジタル庁 教育データ利活用ロードマップ

こんにちは、丸山満彦です。

デジタル庁が、教育データ利活用ロードマップを公表していますね。。。

まずは、教育現場から紙を無くしましょう。。。というところから始まる感じですかね。。。

 

デジタル庁

・2022.01.07 教育データ利活用ロードマップを策定しました

文書がなく、パワーポイントだけですね。。。

・[PDF] 教育データ利活用ロードマップ(令和4年1月7日デジタル庁、総務省、文部科学省、経済産業省)

20220112-52650

 

ロードマップのポイント① (総論)

・教育のデジタル化のミッションを「誰もが、いつでもどこからでも、誰とでも、自分らしく学べる社会」と掲げ、

・そのためのデータの①スコープ(範囲)②品質③組み合わせ、の充実・拡大という「3つの軸」を設定。

20220112-54552

 

ロードマップのポイント② (各論)

・「ルール」「利活用環境」「連携基盤(ツール)」「データ標準」「インフラ」といったそれぞれの構造に関連する論点や、必要な措置
について整理。

  • 教育データの全体像
  • 調査等のオンライン化・教育データの標準化
  • 教育分野のプラットフォームの在り方
  • 学校・自治体等のデータ利活用環境の整備
  • 教育データ利活用のルール・ポリシー
  • 生涯にわたる学びの環境整備
  • データ連携による支援が必要なこどもへの支援の実現
  • 各自治体において、教育・保育・福祉・医療等のデータを必要に応じて
  • デジタル社会を見据えた教育

20220112-54615

 

ロードマップのポイント③(短期・中期・長期での目指す姿)

・短期(~2022頃)

 ・教育現場を対象にした調査や手続が原則オンライン化
 ・事務等の原則デジタル化など、校務のデジタル化を進め、学校の負担を軽減
 ・インフラ面での阻害要因(例:ネットワーク環境)の解消
 ・教育データの基本項目(例:法令や調査で全国で共通的に取得されている主体情報)が標準化

・中期(~2025頃)

 ・学習者が端末を日常的に使うようになり、教育データ利活用のためのログ収集が可能
 ・内容・活動情報が一定粒度で標準化され、学校・自治体間でのデータ連携が実現
 ・学校・家庭・民間教育間でのそれぞれの学習状況を踏まえた支援が一部実現

・長期(~2030頃)

 ・学習者がPDSを活用して生涯にわたり自らのデータを蓄積・活用できるように
 ・内容・活動情報の更に深い粒度での標準化が実現
 ・支援を必要とするこどもへのプッシュ型の支援が実現
 ・真に「個別最適な学び」と「協働的な学び」が実現

20220112-54634

 

目次

1.教育のデジタル化のミッションビジョン
2.教育データ利活用の現状と目指すべき姿(as isto be
3.教育データの蓄積と流通の将来イメージ
4.教育データの全体像
5.調査等のオンライン化教育データの標準化
6.教育分野のプラットフォームの在り方
7.学校自治体等のデータ利活用環境の整備
8.教育データ利活用のルールポリシー
9.生涯にわたる学びの環境整備
10.データ連携による支援が必要なこどもへの支援の実現
11.デジタル社会を見据えた教育
12.実現に向けた工程表
13.今後の進め方


 

・[PDF] 国民からの意見募集結果・有識者との意見交換について

自治体、教育委員会、大学教授だけでなく、ボストンコンサルティング、グーグル、マイクロソフト等にも意見を聞いているのが興味深いですね。。。

海外の学校の人にも話を聞いたらよかったのに、、、と思ったりはしました。。。

20220112-55559

 

参考

 

● 文部科学省

教育データの利活用に関する有識者会議

 

 

| | Comments (0)

2022.01.11

EU議会 2022年に注目すべき10の課題

こんにちは、丸山満彦です。

EU議会のThink Tankが2022年に注目すべき10の課題を公表していますね。。。

この報告書は、今後1年間に欧州連合(EU)の政治課題として公の場で議論されるであろう重要な課題や政策分野を特定し、その概要を明らかにするために作られているようですね。。。

この報告書や関連文書に目を通すと、EUがどういう背景やデータをもとに議論をしてくるかの一部が見えてくるような気もしますね。。。

1. Radical decoupling: Achieving zero greenhouse gas emissions while maintaining economic growth 1. 根本的な分離:経済成長を維持しつつ、温室効果ガス排出量をゼロにする
2. Securing Europe's supply of semiconductors 2. 欧州における半導体供給の確保
3. Sustainable agriculture: Mission possible?  3. 持続可能な農業:実現可能か? 
4. A new push for nuclear non-proliferation? 4. 核不拡散のための新たな取り組み?
5. Shaping the economic recovery 5. 景気回復
6. ECB monetary policy: Caught between a rock and a hard place 6. 欧州中央銀行の金融政策:岩と岩盤に挟まれて
7. Internet of things: Securing the uptake of connected devices in the EU 7. IoT:EUにおける接続機器の普及の確保
8. Uncharted waters: What to expect after the Conference on the Future of Europe 8. 未知の領域:欧州の未来に関する会議後の展開
9. LGBTIQ equality: Somewhere over the rainbow 9. LGBTIQの平等:虹の向こうに
10. Forward with EU defence  10. EU防衛の推進 

 

European Parliament - Think Tank

・2022.01.10 Ten issues to watch in 2022

・[PDF

20220111-52822


 

 

「2. 欧州における半導体供給の確保」に示されている2つの図は参考になるかもですね。。。

 

20220111-62554

20220111-62808

 

| | Comments (0)

2022.01.10

IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析

こんにちは、丸山満彦です。

IEEEが、Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents(産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析)を公表していますね。。。参考になる部分もあるかと思います。。。

攻撃者の分類法について3つのCriteria(フィンガープリント、能力、動機)を用いていていますが、わかりやすいですね。。。

20220110-61203

Fig2. 3つの主要な規準に基づく重要インフラ攻撃者の特徴の分類法

で、攻撃者の例示として次のようなものをあげていますね。。。

  • 外部者
  • 内部関係者
  • 犯罪者/ハクティビスト/スクリプトキディ
  • 産業スパイのアクター
  • サイバーテロリスト
  • 国家背景のアクター

 

取り上げている事例の時系列も改めて見ると良いですね。。。

 

20220110-62800

 

IEEE - IEEE Access

Year: 2021 | Volume: 9  - Industrial and Critical Infrastructure Security: Technical Analysis of Real-Life Security Incidents

・[HTML]

・[PDF]

20220110-55745

概要は、

概要

Abstract 概要
Critical infrastructures and industrial organizations aggressively move towards integrating elements of modern Information Technology (IT) into their monolithic Operational Technology (OT) architectures. Yet, as OT systems progressively become more and more interconnected, they silently have turned into alluring targets for diverse groups of adversaries. Meanwhile, the inherent complexity of these systems, along with their advanced-in-age nature, prevents defenders from fully applying contemporary security controls in a timely manner. Forsooth, the combination of these hindering factors has led to some of the most severe cybersecurity incidents of the past years. This work contributes a full-fledged and up-to-date survey of the most prominent threats and attacks against Industrial Control Systems and critical infrastructures, along with the communication protocols and devices adopted in these environments. Our study highlights that threats against critical infrastructure follow an upward spiral due to the mushrooming of commodity tools and techniques that can facilitate either the early or late stages of attacks. Furthermore, our survey exposes that existing vulnerabilities in the design and implementation of several of the OT-specific network protocols and devices may easily grant adversaries the ability to decisively impact physical processes. We provide a categorization of such threats and the corresponding vulnerabilities based on various criteria. The selection of the discussed incidents and identified vulnerabilities aims to provide a holistic view of the specific threats that target Industrial Control Systems and critical infrastructures. As far as we are aware, this is the first time an exhaustive and detailed survey of this kind is attempted. 重要なインフラストラクチャや産業組織は,最新の情報技術(IT)の要素を一枚岩の運用技術(OT)アーキテクチャに統合しようと積極的に取り組んでいます。しかし,OT システムの相互接続が進むにつれ,様々な敵対者にとって魅力的な標的となっています。一方で、これらのシステムに内在する複雑さと、時代遅れの性質のために、防御側は現代のセキュリティ対策をタイムリーに適用することができません。そのため、これらの障害要因が重なり、過去数年間で最も深刻なサイバーセキュリティ事件が発生しています。本研究では、産業用制御システムや重要インフラに対する最も重要な脅威や攻撃について、これらの環境で採用されている通信プロトコルやデバイスを含めて、本格的な最新の調査を行いました。今回の調査では、攻撃の初期段階または後期段階のいずれかを促進することができる汎用ツールや技術が急増しているため、重要インフラに対する脅威が上昇スパイラルを描くことが明らかになりました。さらに、今回の調査では、OTに特化したネットワークプロトコルやデバイスの設計と実装に存在する脆弱性が、物理的なプロセスに決定的な影響を与える能力を容易に敵に与えていることが明らかになりました。このような脅威とそれに対応する脆弱性を、様々な基準に基づいて分類しています。議論されたインシデントと特定された脆弱性を選択することで、産業用制御システムと重要なインフラを標的とする特定の脅威の全体像を示すことを目的としています。この種の包括的かつ詳細な調査を試みたのは、我々の知る限り、今回が初めてです。

 

章立てです。。。

 ABSTRACT 概略
I. INTRODUCTION I.イントロダクション
II. BACKGROUND II.背景
A. ICS ARCHITECTURE A. ICSアーキテクチャ
B. ICS HARDWARE B. ICSハードウエア
C. ICS PROTOCOLS C. ICSプロトコル
D. ICS SECURITY D. ICSセキュリティ
E. CRITICAL INFRASTRUCTURES E. 重要インフラ
III. RELATED WORK III.関連研究
IV. ADVERSARIAL MODEL IV.敵対的モデル
A. FINGERPRINTING A. フィンガープリンティング
B. CAPABILITIES B. 能力
C. MOTIVES C. 動機
V. INDUSTRIAL CONTROL SYSTEMS AND CRITICAL INFRASTRUCTURE INCIDENTS V.産業用制御システムと重要インフラのインシデント
A. STUXNET A. STUXNET
B. DUQU B. DUQU
C. SHAMOON C. SHAMOON
D. HAVEX D. HAVEX
E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK E. BlackEnergy/2015 UKRAINE POWERGRID CYBERATTACK
F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK F. INDUSTROYER/CrashOverride/2016 UKRAINE POWERGRID CYBERATTACK
G. TRITON/TRISIS/HatMan G. TRITON/TRISIS/HatMan
H. VPNFilter H.VPNフィルタ
I. WannaCry I. WannaCry
J. NotPetya J. NotPetya
K. COLONIAL PIPELINE K. コロニアルパイプライン
L. OTHER INCIDENTS L. その他のインシデント
1) GERMAN STEEL MILL 1) ドイツの製鉄所
2) MAROOCHY WATER SERVICES 2) マルーチー・ウォーター・サービス
3) NEW YORK DAM 3) ニューヨーク・ダム
4) ‘‘KEMURI’’ WATER COMPANY 4) ''Kemuri''ウォーター・カンパニー
5) SLAMMER WORM 5) スラマーワーム
6) SoBig VIRUS 6) SoBig VIRUS
7) TEHAMA COLUSA CANAL 7) テハマ・コルサ・キャナル
8) U.S. POWER GRID INTRUSION 8)米国の電力網への侵入
M. DISCUSSION M. DISCUSSION
1) COMMON TOOLS AND APPROACHES 1) 共通のツールとアプローチ
2) VULNERABILITIES CATEGORIZATION 2) 脆弱性の分類
3) AFFECTED PURDUE LEVELS 3)影響を受けたパデュー・レベル
4) MITIGATION 4) 低減
VI. ICS PROTOCOLS VULNERABILITIES VI.ICSプロトコルの脆弱性
A. DNP3 A. DNP3
B. MODBUS B. MODBUS
C. PROFINET C. PROFINET
D. OTHER PROTOCOLS D. その他のプロトコル
VII. ICS DEVICE VULNERABILITIES VII. ICデバイスの脆弱性
A. REVERSE ENGINEERING A. リバースエンジニアリング
B. CONTROL LOGIC INJECTION & MODIFICATIONATTACKS B. 制御ロジックのインジェクションと修正攻撃
C. LADDER LOGIC BASED ATTACKS C. ラダーロジックによる攻撃
D. NATIVE ICS MALWARE D. ネイティブICSマルウェア
E. UNAUTHORIZED ACCESS E. 不正アクセス
F. SIDE CHANNEL ANALYSIS F. サイドチャネル分析
VIII. CONCLUSION VIII. 結論
REFERENCES 参考文献

 

 

Continue reading "IEEE 産業及び重要インフラのセキュリティ:実際に起きたセキュリティ事故の技術的分析"

| | Comments (0)

2022.01.09

フランス CNIL Googleに1億5000万ユーロ、Facebookに6000万ユーロの制裁金(ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できないので...)

こんにちは、丸山満彦です。

フランスのCNILが「ユーザがCookieを受け入れるのと同じくらい容易にCookieを拒否できない」という理由で、Googleに1億5000万ユーロ(約200億円)、Face Bookに6000万ユーロ(80億円弱)の制裁金を課していますね。。。


CNIL

・2022.01.06 Cookies: GOOGLE fined 150 million euros

・2022.01.06 Cookies: FACEBOOK IRELAND LIMITED fined 60 million euros

 

それはそうと、、、

Metaはプライバシーセンターのウェブページを2022.01.07にオープンしていますね。。。

Meta

・2022.01.07 Introducing Privacy Center

ちなみにプライバシーについては、

https://www.facebook.com/privacy/explanation

Cookieについては、、、

https://www.facebook.com/policy/cookies/

Alphabet

 

特に適時開示とか見つからないですね。。。

 

 


 

Cookies: GOOGLE fined 150 million euros Cookie:GOOGLEに1億5000万ユーロの制裁金
On December 31,2021, the CNIL fined GOOGLE a total of 150 million euros (90 million euros for GOOGLE LLC and 60 million euros for GOOGLE IRELAND LIMITED) because users of google.fr and youtube.com can't refuse or accept cookies as easily. 2021年12月31日、CNILは、google.frやyoutube.comのユーザーがCookieを簡単に拒否したり受け入れたりできないことを理由に、GOOGLEに総額1億5000万ユーロ(GOOGLE LLCに9000万ユーロ、GOOGLE IRELAND LIMITEDに6000万ユーロ)の制裁金を科しました。
Failure to comply with the French Data Protection Act フランス・データ保護法違反
The CNIL has received many complaints about the way cookies can be refused on the websites google.fr and youtube.com. In June 2021, the CNIL carried out an online investigation on these websites and found that, while they offer a button allowing immediate acceptance of cookies, the sites do not implement an equivalent solution (button or other) enabling the user to refuse the deposit of cookies equally easily. Several clicks are required to refuse all cookies, against a single one to accept them. CNILは、google.frとyoutube.comのウェブサイトでCookieを拒否する方法について多くの苦情を受けました。2021年6月、CNILはこれらのウェブサイトをオンラインで調査した結果、これらのサイトでは、Cookieを直ちに受け入れるボタンを提供しているものの、ユーザーが同じように簡単にCookieの受け入れを拒否できる同等のソリューション(ボタン等)を実装していないことがわかりました。すべてのCookieを拒否するには数回のクリックが必要ですが、Cookieを受け入れるには1回のクリックで済みます。
The restricted committee, the CNIL body in charge of issuing sanctions, judged that making the refusal mechanism more complex actually discourages users from refusing cookies and encourages them to opt for the ease of the "I accept" button. 制裁を担当するCNILの機関である制限委員会は、拒否の仕組みをより複雑にすることは、実際にはユーザーがCookieを拒否することを躊躇させ、「受け入れる」ボタンの容易さを選択することを促すと判断しました。
The restricted committee considered that this process affects the freedom of consent of Internet users and constitutes an infringement of Article 82 of the French Data Protection Act, since it is not as easy to refuse cookies as to accept them. 制限委員会は、Cookieを拒否することは受け入れることほど容易ではないことから、このプロセスはインターネットユーザーの同意の自由に影響を与え、フランスのデータ保護法第82条の侵害を構成すると考えました。
The sanctions 制裁措置
The CNIL's restricted committee fined GOOGLE LLC 90 million euros and GOOGLE IRELAND LIMITED 60 million euros, both of which were made public. CNILの制限委員会は、GOOGLE LLCに9,000万ユーロ、GOOGLE IRELAND LIMITEDに6,000万ユーロの制裁金を科し、その金額を公表しました。
It justified these amounts in particular by the number of people affected and the considerable profits that the companies make from advertising revenues indirectly generated from the data collected by cookies. 制限委員会は、特に影響を受けた人々の数と、Cookieによって収集されたデータから間接的に得られる広告収入から両社が得ている利益を鑑みて、これらの金額を正当なものと考えています。
The restricted committee also noted that the CNIL services had already, in February 2021, drawn the attention of the GOOGLE companies to this infringement. It also recalled that the CNIL had communicated on numerous occasions that it should be as easy to refuse cookies as to accept them. また、制限委員会は、CNILのサービスが2021年2月にすでにこの侵害についてグーグル社に注意を促していたことを指摘しました。また、CNILは、Cookieを受け入れるのと同様に、Cookieを拒否するのも簡単であるべきだと何度も伝えていたことも思い出しました。
In addition to the administrative fines, the restricted committee also issued an injunction with periodic penalty payments requiring that the companies provide Internet users located in France, within three months of the notification of the decision, with a means of refusing cookies that is as simple as the existing means of accepting them, in order to guarantee their freedom of consent. Otherwise, the companies may pay a penalty of 100,000 euros per day of delay. 行政処分に加えて、制限委員会は、両社がフランスに所在するインターネットユーザーに対し、同意の自由を保証するために、決定の通知から3ヶ月以内に、既存の受け入れ手段と同等の簡単な方法でクッキーを拒否する手段を提供することを義務付ける定期的な違約金支払いを伴う差止命令を出しました。従わなければ、両社は遅延1日につき10万ユーロの違約金を支払わなければならないでしょう。
Jurisdiction of the CNIL CNILの管轄権
The CNIL is materially competent to verify and sanction operations related to cookies deposited by companies on the terminals of Internet users located in France. The cooperation mechanism provided for by the GDPR (the "one-stop-shop" procedure) is not intended to apply in these procedures insofar as operations related to the use of cookies fall within the scope of the " ePrivacy " directive, transposed in Article 82 of the French Data Protection Act.  CNILは、両社がフランス国内のインターネットユーザーの端末に保存したクッキーに関連する業務を検証し、制裁する実質的な権限を有しています。クッキーの使用に関連する業務が、フランスのデータ保護法第82条に移された「ePrivacy」指令の範囲内である限り、GDPRで規定されている協力メカニズム(「ワンストップショップ」手続き)は、これらの手続きには適用されないことになっています。
The restricted committee considered that the CNIL is also territorially competent pursuant to Article 3 of the French Data Protection Act because the use of cookies is carried out within the "framework of the activities" of GOOGLE FRANCE, which constitutes the "establishment" of GOOGLE LLC and GOOGLE IRELAND LIMITED on French territory. また、制限付き委員会は、クッキーの使用が、GOOGLE LLCとGOOGLE IRELAND LIMITEDのフランス領土での「設立」を構成するGOOGLE FRANCEの「活動の枠組み」内で行われているため、CNILはフランスデータ保護法第3条に基づいて領土的に管轄権を有すると考えました。
It also considered that they are jointly responsible since they both determine the purposes and means of using cookies. また、Cookieを使用する目的と手段を決定するのは両者であるため、共同で責任を負うものと考えられます。
Note: GOOGLE LLC, based in California, develops the search engine Google Search and YouTube. GOOGLE IRELAND LIMITED, with its head office located in Ireland, presents itself as the European head office of the Google group. The company GOOGLE FRANCE is the establishment in France of the company GOOGLE LLC. 注)GOOGLE LLCは、カリフォルニア州に本社を置き、検索エンジン「Google Search」や「YouTube」を開発しています。GOOGLE IRELAND LIMITEDは、アイルランドに本社を置き、Googleグループの欧州本社として活動しています。GOOGLE FRANCEは、GOOGLE LLCがフランスに設立した会社です。
Texte reference 参考資料
The decision (in French - English version to be published soon) 判決文(フランス語-英語版は近日中に公開予定)
> Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED - Légifrance  > Délibération de la formation restreinte n°SAN-2021-023 du 31 décembre 2021 concernant les sociétés GOOGLE LLC et GOOGLE IRELAND LIMITED - Légifrance 
Texte reference 参考資料
Read more 続きを読む
> The steps of the CNIL's law enforcement process  > CNILの法執行プロセスのステップ 
> The sanctions procedure  > 制裁手続き 
> Cookies: the CNIL fines GOOGLE a total of 150 million euros and FACEBOOK 60 million euros for non-compliance with French legislation  > Cookie:CNILは、フランスの法律を遵守していないとして、GOOGLEに総額1億5000万ユーロ、FACEBOOKに6000万ユーロの制裁金を科します。
> [FR] Cookies : la CNIL sanctionne GOOGLE à hauteur de 150 millions d’euros  Cookie:CNILがGOOGLEに1億5000万ユーロの制裁金

 

 

 

Cookies: FACEBOOK IRELAND LIMITED fined 60 million euros Cookies:FACEBOOK IRELAND LIMITEDに6,000万ユーロの制裁金
On December 31, 2021, the restricted committee of the CNIL fined the company FACEBOOK IRELAND LIMITED 60 million euros because the users of the social network facebook.com residing in France can't refuse cookies as easily as to accept them. 2021年12月31日、CNILの制限委員会は、フランスに居住するソーシャルネットワークfacebook.comのユーザがCookieを受け入れることを簡単に拒否できないことを理由に、FACEBOOK IRELAND LIMITED社に6,000万ユーロの制裁金を科しました。
Failure to comply with the French Data Protection Act フランス・データ保護法違反
The CNIL has received many complaints reporting the way they can refuse cookies on the website facebook.com. CNILは、facebook.comのウェブサイトでCookieを拒否する方法について多くの苦情を受けています。
In April 2021, the CNIL conducted an online investigation on this website and found that, while it offers a button to immediately accept cookies, it does not offer an equivalent solution (button or other) enabling the user to refuse the deposit of cookies as easily. Several clicks are required to refuse all cookies, as opposed to a single one to accept them. The CNIL also noted that the button allowing the user to refuse cookies is located at the bottom of the second window and is entitled "Accept cookies". 2021年4月、CNILがこのウェブサイトについてオンライン調査を行ったところ、Cookieを直ちに受け入れるボタンを提供しているものの、ユーザーがCookieの受け入れを拒否できる同等のソリューション(ボタン等)を提供していないことがわかりました。すべてのCookieを拒否するためには数回のクリックが必要ですが、Cookieを受け入れるためには1回のクリックで済みます。また、CNILは、ユーザーがCookieを拒否できるボタンが2つ目のウィンドウの下部にあり、タイトルが「Accept cookies」であることも指摘しています。
The restricted committee, the CNIL body responsible for issuing sanctions, noted that making the refusal mechanism more complex actually discourages users from refusing cookies and encourages them to opt for the ease of the consent button for cookies in the first window. It considered that such a process affects the freedom of consent of Internet users. 制裁を担当するCNILの機関である制限委員会は、拒否の仕組みをより複雑にすることは、実際にはユーザーがCookieを拒否することを躊躇させ、最初のウィンドウにあるCookieへの同意ボタンの容易さを選択することを促すと指摘しました。このようなプロセスは、インターネットユーザーの同意の自由に影響すると考えました。
The restricted committee also considered that the information given by the company is not clear since, in order to refuse the deposit of cookies, Internet users must click on a button entitled "Accept cookies", displayed in the second window. It considered that such a title necessarily generates confusion and that the user may have the feeling that it is not possible to refuse the deposit of cookies and that they have no way to manage it. また、制限委員会は、Cookieの預託を拒否するためには、インターネット・ユーザーは、2番目のウィンドウに表示された「Cookieを受け入れる」というタイトルのボタンをクリックしなければならないため、会社が提供する情報は明確ではないと考えました。このようなタイトルは必然的に混乱を招き、ユーザーは、Cookieの保存を拒否することはできず、管理する方法がないという印象を持つ可能性があると考えました。
The restricted committee judged that the methods of collecting consent proposed to users, as well as the lack of clarity of information provided to them, constitute violations of Article 82 of the French Data Protection Act. 制限委員会は、ユーザーに提案された同意の収集方法と、ユーザーに提供された情報が明確でないことが、フランスのデータ保護法第82条の違反にあたると判断しました。
The sanctions 制裁措置
The restricted committee fined FACEBOOK IRELAND LIMITED 60 million euros and made it public. 制限委員会は、FACEBOOK IRELAND LIMITEDに6,000万ユーロの制裁金を科し、その金額を公表しました。
It justified this amount by the scope of the processing, the number of data subjects concerned and the considerable profits the company makes from advertising revenues indirectly generated from the data collected by the cookies. 制限委員会は、処理の範囲、関係するデータ対象者の数、およびCookieによって収集されたデータから間接的に得られる広告収入から同社が得ている利益を鑑みて、この金額を正当なものと考えています。
In addition to the administrative fine, the restricted committee also issued an injunction with periodic penalty payment requiring that the company provides Internet users located in France, within three months of the notification of the decision, with a means of refusing cookies that is as simple as the existing means of accepting them, in order to guarantee the freedom of their consent. Otherwise, the company may pay a penalty of 100,000 euros per day of delay. 行政処分に加えて、制限委員会は、同社がフランスに所在するインターネットユーザーに対し、同意の自由を保証するために、決定の通知から3ヶ月以内に、既存の受け入れ手段と同等の簡単な方法でクッキーを拒否する手段を提供することを義務付ける定期的な違約金支払いを伴う差止命令を出しました。従わなければ、同社は遅延1日につき10万ユーロの違約金を支払わなければならないでしょう。
Jurisdiction of the CNIL CNILの管轄権
The CNIL is materially competent to verify and sanction operations related to cookies deposited by the company on the terminals of Internet users located in France. The cooperation mechanism provided for by the GDPR (the "one-stop shop" procedure) is not intended to apply in these procedures insofar as the operations related to the use of cookies fall within the scope of the "ePrivacy" directive, transposed in article 82 of the French Data Protection Act.  CNILは、同社がフランス国内のインターネットユーザーの端末に保存したクッキーに関連する業務を検証し、制裁する実質的な権限を有しています。クッキーの使用に関連する業務が、フランスのデータ保護法第82条に移された「ePrivacy」指令の範囲内である限り、GDPRで規定されている協力メカニズム(「ワンストップショップ」手続き)は、これらの手続きには適用されないことになっています。
The restricted committee considered that the CNIL is also territorially competent pursuant to Article 3 of the French Data Protection Act because the use of cookies is carried out within the "framework of the activities" of the company FACEBOOK FRANCE, which constitutes the "establishment" of the Facebook group on French territory. また、制限委員会は、クッキーの使用が、Facebookグループのフランス領土での「設立」を構成するFACEBOOK FRANCEの「活動の枠組み」内で行われているため、CNILはフランスデータ保護法第3条に基づいて領土的に管轄権を有すると考えました。
Note: The company FACEBOOK IRELAND LIMITED, whose head office is in Ireland, presents itself as the data controller of the Facebook service in the European region. The company FACEBOOK FRANCE is the establishment in France of the Facebook group. 注:アイルランドに本社を置くFACEBOOK IRELAND LIMITED社は、ヨーロッパ地域におけるFacebookサービスのデータ管理者であることを表明しています。FACEBOOK FRANCE社は、フランスにおけるFacebookグループの設立者です。
Texte reference 参考資料
The decision (in French - English version to be published soon) 判決文(フランス語-英語版は近日中に公開予定)
> Délibération de la formation restreinte n°SAN-2021-024 du 31décembre 2021 concernant la société FACEBOOK IRELAND LIMITED - Légifrance  > FACEBOOK IRELAND LIMITEDという会社に関する2021年12月31日付のDélibération de la formation restreinte n°SAN-2021-024 - Légifrance 
Texte reference 参考資料
Read more 続きを読む
> The steps of the CNIL's law enforcement process  > CNILの法執行プロセスのステップ 
> The sanctions procedure  > 制裁の手順 
> [FR] Cookies : sanction de 60 millions d’euros à l’encontre de FACEBOOK IRELAND LIMITED  > [FR] Cookie : FACEBOOK IRELAND LIMITEDへの6,000万ユーロの制裁金 

 

 

Cnil_logolarge

| | Comments (0)

2022.01.08

米国 NY州 プライバシー保護法 (New York privacy act) に再チャレンジ

こんにちは、丸山満彦です。

ニューヨーク州の議会にプライバシー保護法案があがっていますね。。。

 

NEW YORK STATE ASSEMBLY

・2022.01.06 Bill No.: A00680 New York privacy act


New York State Senate

Assembly Bill A680B

・[PDF

 

Seal_of_new_york_statesvg


 

 

Continue reading "米国 NY州 プライバシー保護法 (New York privacy act) に再チャレンジ"

| | Comments (0)

Cloud Security Alliance ヘルスケア分野における人工知能

こんにちは、丸山満彦です。

Cloud Security Alliance (CSA) がヘルスケア分野における人工知能に関する文書を公表していますね。。。

これから診療分野(例えば、画像診断等)の分野では人工知能の利用は進むでしょうね。。。

このガイドは、現時点での医療システムにおけるAI活用の基礎と懸念について、

  • ガイダンス、
  • 課題、
  • 将来予測等

について書いたもので、

遠隔医療、診断管理、患者ケアなどの分野で、AI、機械学習、データマイニングを医療システム全体で効果的に活用する方法について、

  • 事例、
  • 使用例、
  • 治療法

を示すとともに、

  • 倫理的な課題、
  • 法的な問題、
  • AIのバイアスを減らす方法

についても取り上げているようですね。。。

Cloud Security Alliance (CSA)

・2021.01.06 Artificial Intelligence in Healthcare

Artificial Intelligence in Healthcare ヘルスケア分野における人工知能
Artificial intelligence (AI) now has the potential to be integrated into all aspects of healthcare, from management to delivery and diagnosis. These advancements can help improve clinical outcomes, reduce cost, and improve population health. However, there remain some issues with AI that must be addressed. These include ethical and legal issues, a lack of data exchange, regulatory compliance requirements, and patient and provider adoption. 人工知能(AI)は今や、医療の管理から提供、診断に至るまで、医療のあらゆる側面に組み込まれる可能性を持っています。これらの進歩は、臨床転帰の改善、コスト削減、集団衛生の向上に貢献することができます。しかし、AIには対処しなければならない問題が残っています。倫理的・法的問題、データ交換の欠如、規制遵守要件、患者や医療提供者の採用などです。
This document from our Health Information Management Working Group provides an overview of the fundamentals and concerns of using AI in healthcare systems at the present, with guidance, challenges, and predictions for the future. It provides examples, use cases, and treatment methods for how AI, machine learning, and data mining can be effectively utilized throughout a healthcare system, in areas such as telehealth, administering diagnoses, and patient care. It also addresses ethical challenges, legal issues, and how to reduce bias in AI. 当社の医療情報管理ワーキンググループによる本書は、現時点での医療システムにおけるAI活用の基礎と懸念について、ガイダンス、課題、将来の予測を交えて解説しています。遠隔医療、診断管理、患者ケアなどの分野で、AI、機械学習、データマイニングを医療システム全体で効果的に活用する方法について、事例、使用例、治療法を示しています。また、倫理的な課題、法的な問題、AIにおける偏りを減らす方法についても取り上げています。
Key Takeaways: ポイント
・How robotics and Robotic Process Automation (RPA) are used for a multitude of different tasks throughout healthcare delivery organizations (HDOs) ・ロボット工学とロボティック・プロセス・オートメーション(RPA)が、医療提供組織(HDO)全体のさまざまな業務にどのように使用されているか。
・How AI helps healthcare service providers improve the precision of diagnoses ・AIが医療サービス提供者の診断精度を高めるためにどのように役立っているか
・How HDOs can use predictive analytics to provide better services and reduce cost ・HDOがより良いサービスを提供し、コストを削減するための予測分析の利用法
・How telehealth uses AI to distribute electronic medical cards, administer personal consultations, and more ・電子カルテの配布や個人面談など、AIを活用したテレヘルスの仕組み
・How to reduce bias in your AI algorithm and the ethical and legal challenges related to AI  ・AIアルゴリズムの偏りを減らす方法とAIに関する倫理的・法的課題 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220107-172658

 

目次です。。。

Abstract 概要
1. Introduction 1. はじめに
2. Robotics 2. ロボティクス
3. Robotic Process Automation 3. ロボティック・プロセス・オートメーション
4. Diagnosis and Treatment Applications 4. 診断・治療への応用
5. Big Data and Predictive Analytics 5. ビッグデータおよび予測分析
6. AI and Telehealth 6. AIとテレヘルス
7. Bias in AI 7. AIにおけるバイアス
8. Use of AI in the fight against COVID-19 8. COVID-19対策におけるAIの活用
9. Ethical and Legal Challenges 9. 倫理的・法的課題
 9.1 Ethical Challenges  9.1 倫理的な課題
 9.2 Legal Challenges  9.2 法的課題
10. AI and Cloud Computing 10. AIとクラウドコンピューティング
11. Conclusion 11. おわりに
References 参考文献

| | Comments (0)

2022.01.07

JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

こんにちは、丸山満彦です。

JASA(特定非営利活動法人日本セキュリティ監査協会 )が情報セキュリティ監査人が選ぶ2022年の情報セキュリティ十大トレンドを発表していますね。。。

 

● JASA

・2022.01.06 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

 

ちなみに過去分は2018年からあります。。。

情報セキュリティ十大トレンド

 

今年の10位までを過去に遡ると。。。

項目 2022 2021 2020 2019 2018
緊急コロナ対策からWithコロナへ 業務優先で後回しにしたセキュリティの再点検 1 1 5 5 5
多様化するワークスペースに対応するセキュリティ対策 2 6 -    
ICTサプライチェーンにおける情報セキュリティリスクの増大 3 11 -    
広がるWeb会議利用の盲点 データ漏洩に注意 4 6 -    
ISMSからサイバーセキュリティ対策マネジメントへ 5 10 -    
個人データ活用におけるビジネスとプライバシーの対立 6 18 -    
クラウドの仕様変更への対応不備によるセキュリティ事故 7 - -    
管理機能が攻撃対象に 社外端末によるシステム管理に潜む重大脆弱性 8 - -    
クラウド相互乗り入れ問題 バタフライエフェクトで自社の業務が停止する 9 3 2 10 -
気を付けよう外部サービスの穴 10 -      

 

Jasa_logo_darkblue

 


2002年に経済産業省で始まった情報セキュリティ監査研究会での議論を踏まえて、情報セキュリティ監査制度を作り、その受け皿としてできたのが、特定非営利活動法人日本セキュリティ監査協会です。。。(情報セキュリティではなく、日本セキュリティなんですよね。。。色々あって...)

ここまで来れたのは、いろいろなひとの力添えがあったのですが、初代事務局長の沓澤さんとその後を引継いだ永宮さんの力が大きいですよね。。。そして、今頑張っている安藤さん...

設立当時、会長に就任することになっていた土居先生に、「NPOの理事長になったら無限責任が発生するので、家屋敷が取られるかもしれないので、気をつけないといけませんよ」と言ったのを覚えています(^^)。

そういえば、いつロゴが変わったのだっけ...

 

Continue reading "JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド"

| | Comments (0)

米国 2022.01.01から施行されるカリフォルニア州のプライバシー関連の法改正

こんにちは、丸山満彦です。

カリフォルニア州のプライバシー関連の法の改正の施行が2022.01.01から始まっていますね。。。

どこがどう変わったかまでは追えていないのですが、情報共有まで...

 

AB-694 プライバシーと消費者保護: オムニバス法案

・2021.10.06  議会法案第694号 第 525 章 消費者に関する、ビジネスおよび職業法典の第 12246 条と第 12533 条を改正し、民法の第 1798.140 条、第 1798.145 条、第 1798.199.40 条を改正する法律

● AB-825個人情報:データ侵害:遺伝子データ

・2021.10.06 議会法案第825号 第527章 情報のプライバシーに関する民法第 1798.29 条、第 1798.81.5 条、および第 1798.82 条を改正する法律


● AB-335 2018年カリフォルニア消費者プライバシー法:船舶情報

・2021.10.11 議会法案335号第700章 プライバシーに関する民法第 1798.145 条を改正する法律

● SB-41プライバシー:遺伝子検査会社

・2021.10.07 上院法案第41号第596章 民法第1編第2.6章(第56.18節から始まる)にプライバシーに関する章を追加する法律


参考 カリフォルニア州の民法等の条文のリンク

California Legislartive Information

Civil Code - CIV

遺伝情報関連...

DIVISION 1. PERSONS 38-86
PART 2.6. CONFIDENTIALITY OF MEDICAL INFORMATION 56-56.37
CHAPTER 2.6. Genetic Privacy 56.18-56.186

 

プライバシー関連...

DIVISION 3. OBLIGATIONS 1427-3273.16
PART 1. OBLIGATIONS IN GENERAL 1427-1543
TITLE 1.8. PERSONAL DATA 1798-1798.78
CHAPTER 1. Information Practices Act of 1977 1798-1798.78
ARTICLE 1. General Provisions and Legislative Findings 1798-1798.1
ARTICLE 2. Definitions 1798.3
ARTICLE 5. Agency Requirements 1798.14-1798.23
ARTICLE 6. Conditions of Disclosure 1798.24-1798.24b
ARTICLE 7. Accounting of Disclosures 1798.25-1798.29
ARTICLE 8. Access to Records and Administrative Remedies 1798.30-1798.44
ARTICLE 9. Civil Remedies 1798.45-1798.53
ARTICLE 10. Penalties 1798.55-1798.57
ARTICLE 11. Miscellaneous Provisions 1798.60-1798.69
ARTICLE 12. Construction With Other Laws 1798.70-1798.78
TITLE 1.80. Identification Documents 1798.79-1798.795
TITLE 1.807. DOMESTIC VIOLENCE, SEXUAL ASSAULT, AND STALKING: PERSONAL INFORMATION 1798.79.8-1798.79.95
TITLE 1.81. CUSTOMER RECORDS 1798.80-1798.84
TITLE 1.81.1. CONFIDENTIALITY OF SOCIAL SECURITY NUMBERS 1798.85-1798.89
TITLE 1.81.15. Reader Privacy Act 1798.90-1798.90.05
TITLE 1.81.2. CONFIDENTIALITY OF DRIVER'S LICENSE INFORMATION 1798.90.1
TITLE 1.81.23. COLLECTION OF LICENSE PLATE INFOMATION 1798.90.5-1798.90.55
TITLE 1.81.25. CONSUMER PRIVACY PROTECTION 1798.91
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.26. Security of Connected Devices 1798.91.04-1798.91.06
TITLE 1.81.27. Commercial Use of Booking Photographs 1798.91.1
TITLE 1.81.3. IDENTITY THEFT 1798.92-1798.97
TITLE 1.81.4. PRIVACY OF CUSTOMER ELECTRICAL OR NATURAL GAS USAGE DATA 1798.98-1798.99
TITLE 1.81.45. The Parent’s Accountability and Child Protection Act 1798.99.1
TITLE 1.81.48. Data Broker Registration 1798.99.80-1798.99.88
TITLE 1.81.5. California Consumer Privacy Act of 2018 1798.100-1798.199.100
TITLE 1.81.6. Identity Theft in Business Entity Filings 1798.200-1798.202

 

Fig1_20220106155401

| | Comments (0)

2022.01.06

中国 意見募集 金融商品オンラインマーケティング管理弁法(案)

こんにちは、丸山満彦です。

金融商品のオンライン上での宣伝、販売に関する弁法案についての意見募集ですね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2021.12.30 关于《金融产品网络营销管理办法(征求意见稿)》公开征求意见的通知
「金融商品オンラインマーケティング管理弁法(案)」に関する意見募集の通知

・[DOCX] 附件1:金融产品网络营销管理办法(征求意见稿)

・附件2:《金融产品网络营销管理办法(征求意见稿)》起草说明

金融产品网络营销管理办法 金融商品オンラインマーケティング管理弁法
(征求意见稿) (意見募集稿)
第一章  总则 第1章 総則
第一条【目的依据】为规范金融产品网络营销活动,保障金融消费者合法权益,促进互联网金融业务健康有序发展,根据《中华人民共和国中国人民银行法》《中华人民共和国银行业监督管理法》《中华人民共和国信托法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》《中华人民共和国保险法》《中华人民共和国广告法》《中华人民共和国反不正当竞争法》《中华人民共和国消费者权益保护法》《中华人民共和国个人信息保护法》《期货交易管理条例》《防范和处置非法集资条例》《互联网信息服务管理办法》《金融信息服务管理规定》等,制定本办法。 第1条【目的と根拠】金融商品のオンラインマーケティング活動を規制し、金融消費者の正当な権利と利益を保護し、インターネット金融ビジネスの健全かつ秩序ある発展を促進するために、「中国人民共和国銀行法」、「中国人民共和国銀行業監督管理法
中華人民共和国信託法」、「中華人民共和国証券法」、「中国人民共和国証券投資基金法」、「中国人民共和国保険法」、「中華人民共和国広告法」、「中国人民共和国不正競争防止法」、「中華人民共和国消費者権益保護法」、「中華人民共和国個人情報保護法」、「違法資金調達防止処理条例」、「違法資金調達防止処理条例」、「インターネット情報サービス運営管理弁法」、「金融情報サービス運営管理規定」などに基づいて制定されている。
第二条【适用范围】金融机构或受其委托的第三方互联网平台经营者开展金融产品网络营销,适用本办法。 第2条【適用範囲】本弁法は、金融機関またはその委託を受けた第三者のインターネット・プラットフォーム事業者が金融商品のオンラインマーケティングを行う場合に適用される。
法律法规、规章和规范性文件对金融产品网络营销另有规定的,从其规定。 法律、規制、規則、規範文書が金融商品のオンラインマーケティングについて別途規定している場合は、その規定に従うものとする。
第三条【相关定义】本办法所称金融机构是指国务院金融管理部门依法批准设立的从事金融业务的机构。本办法所称金融产品,是指金融机构设计、开发、销售的产品和服务,包括但不限于存款、贷款、资产管理产品、保险、支付、贵金属等。 第3条【関連定義】本弁法でいう金融機関とは、法律に基づいて国務院の金融管理部門が認可した金融業務を行う機関である。 本弁法で言及する金融商品とは、金融機関が設計、開発、販売する商品およびサービスを指し、預金、ローン、資産運用商品、保険、決済、貴金属などを含むが、これらに限定されるものではない。
本办法所称第三方互联网平台,是指非金融机构自营的,为金融机构开展网络营销提供网络空间经营场所、信息交互、交易撮合等服务的网站、移动互联网应用程序、小程序、自媒体等互联网媒介。 本弁法でいう第三者のインターネットプラットフォームとは、金融機関が所有していないウェブサイト、モバイル・インターネット・アプリケーション、アプレット、セルフ・メディア、その他のインターネット・メディアで、金融機関がオンラインマーケティングを行うためにサイバースペースのビジネス・プレイス、情報のやりとり、取引の集約、その他のサービスを提供するものをいう。
本办法所称网络营销,是指通过互联网平台对金融产品进行商业性宣传推介的活动,包括但不限于展示介绍金融产品相关信息或金融机构业务品牌,为消费者购买金融产品提供转接渠道等。 本弁法でいうオンラインマーケティングとは、インターネット・プラットフォームを通じて金融商品を商業的に宣伝する活動を指し、金融商品や金融機関のビジネス・ブランドに関連する情報を表示・紹介したり、消費者が金融商品を購入するための紹介ルートを提供したりすることなどが含まれるが、これに限定されるものではない。
第四条【基本原则】开展金融产品网络营销,应当遵守相关法律法规制度和社会公序良俗,诚实守信,公平竞争,保障金融消费者知情权、自主选择权和个人信息安全,不得损害国家利益、社会公众利益和金融消费者合法权益。 第4条【基本原則】 金融機関は、金融商品のオンラインマーケティングを行うにあたり、関連法令および社会秩序・道徳を遵守し、誠実で信頼性が高く、公正な競争を行い、金融消費者の情報入手の権利、独立した選択、個人情報のセキュリティを保護し、国家の利益、公共の利益、金融消費者の合法的な権利・利益を損なわないようにしなければならない。
第五条【营销资质】金融机构应当在金融管理部门许可的业务范围内开展金融产品网络营销。除法律法规、规章和规范性文件明确规定或授权外,金融机构不得委托其他机构和个人开展金融产品网络营销。 第5条【マーケティング資格】金融機関は、金融管理当局が許可した業務の範囲内で、金融商品のオンラインマーケティングを行うものとする。 法律、規制、規範文書で明示的に規定または許可されている場合を除き、金融機関は他の機関や個人に金融商品のオンラインマーケティングの実施を委託してはならない。
第六条【禁止网络营销产品】任何机构和个人不得为非法金融活动提供网络营销服务,包括但不限于非法集资、非法发行证券、非法放贷、非法荐股荐基、虚拟货币交易、外汇按金交易等;不得为私募类资产管理产品、非公开发行证券等金融产品开展面向不特定对象的网络营销。 第6条【オンラインマーケティング商品の禁止】いかなる機関または個人も、違法な資金調達、違法な証券発行、違法な貸付、株式やファンドの違法な推奨、仮想通貨取引、外国為替証拠金取引などの違法な金融活動のためにオンラインマーケティング・サービスを提供してはならない。また、私募の資産運用商品や非公募の証券などの金融商品については、不特定多数を対象としたオンラインマーケティングを行ってはならない。
第二章  营销宣传内容规范 第2章 マーケティング・広報コンテンツの仕様
第七条【审核责任】金融机构应当对网络营销宣传内容的合法合规性负责,建立内容审核机制,落实金融消费者权益保护有关要求,有关审核材料应当存档备查。 第7条【監査責任】金融機関は、オンラインマーケティングおよび広報コンテンツの法令遵守に責任を負い、コンテンツ監査メカニズムを確立し、金融消費者の権利と利益の保護のために関連する要求を実施し、関連する監査資料を保管して検査に供しなければならない。
第三方互联网平台应当使用经金融机构审核确定的网络营销宣传内容对金融产品进行宣传推介,不得擅自变更营销宣传内容。 第三者のインターネットプラットフォームは、金融商品の販売促進のために金融機関が決定したオンラインマーケティングおよび広報コンテンツを使用するものとし、許可なくマーケティングおよび広報コンテンツを変更してはならない。
金融机构从业人员通过直播、自媒体账号、互联网群组等新型网络渠道宣传推介金融产品的,口径应与金融机构审核的网络营销宣传内容保持一致。 金融機関の実務者が、ライブストリーミング、セルフメディアアカウント、インターネットグループなどの新しいオンラインチャネルを通じて金融商品を宣伝する場合、その口径は、金融機関が監査したオンラインマーケティングおよびプロモーションの内容と一致するものでなければならない。
第八条【内容标准】网络营销宣传内容应当与金融产品合同条款保持一致,包含产品名称、产品提供者和销售者名称、产品备案或批复信息、产品期限、功能类型、利率收费、风险提示、限制金融消费者权利和加强金融消费者义务的事项等关键信息,不得有重大遗漏。 第8条【内容基準】オンラインマーケティング広報の内容は、金融商品契約の条件と一致していなければならず、商品名、商品提供者と販売者の名称、商品の申請または承認情報、商品の期間、特徴の種類、金利手数料、リスクのヒント、金融消費者の権利を制限し、金融消費者の義務を強化する事項などの重要な情報が含まれており、重大な省略があってはならない。
网络营销宣传内容应当准确、通俗,符合社会主义精神文明建设的要求,践行社会主义核心价值观,倡导正确的投资理念和健康的消费观。 オンラインマーケティングの宣伝内容は、正確で人気があり、社会主義精神文明の要求に沿っており、社会主義のコアバリューを実践し、正しい投資概念と健全な消費概念を提唱するものでなければならない。
第九条【禁止内容】网络营销宣传不得含有以下内容: 第9条【禁止事項】オンラインマーケティングの宣伝文句には、以下の内容を含んではならない。
(一)虚假、欺诈或引人误解的内容; (1) 虚偽、不正、または誤解を招くような内容。
(二)引用不真实、不准确或未经核实的数据和资料; (2) 真実でない、不正確な、または検証されていないデータや情報を引用すること。
(三)明示或暗示资产管理产品保本、承诺收益、限定损失金额或比例; (3) 明示的または黙示的な資産運用商品の資本保護、リターンの約束、限定的な損失額または割合。
(四)夸大保险责任或保险产品收益,将保险产品收益与存款、资产管理产品等金融产品简单类比; (4) 保険負債や保険商品のリターンを誇張したり、保険商品のリターンを預金や資産運用商品などの金融商品と単純に比較したりすること。
    (五)利用国务院金融管理部门的审核或备案为金融产品提供增信保证; (5) 国務院の財務管理部門の審査または申告を利用して、金融商品の信用補完保証を行うこと。
(六)法律法规、规章和规范性文件禁止的其他内容。 (6) その他、法令・規範で禁止されている内容。
第三章 营销宣传行为规范     第3章 マーケティングと宣伝の行動規範    
第十条【分区展示】对于存款、贷款、资产管理产品、保险、支付、贵金属等不同类别、不同风险等级的金融产品,应当分别设立宣传展示专区。 第10条 【ゾーニング表示】 異なるカテゴリーおよび異なるリスクレベルの預金、ローン、資産運用商品、保険、決済、貴金属およびその他の金融商品については、独立したプロモーションおよび表示エリアを設定しなければならない。
第十一条【精准营销】开展精准营销,应当遵守适当性管理要求,将金融产品推介给适当的金融消费者。根据金融消费者兴趣爱好、消费习惯等开展精准营销的,应当同时提供不针对个人特征推送的选项或便捷的拒绝方式。 第11条【精密マーケティング】精密マーケティングを行うためには、適切な金融消費者に対して、適切性管理の要件を満たした上で、金融商品を紹介しなければならない。 金融消費者の関心事や消費習慣などに基づいて精密マーケティングを行う場合は、個人的な特徴を押し付けない選択肢や、便利な拒否方法を伴うものとしなければならない。
第十二条【禁止骚扰性营销】开展营销宣传不得影响他人正常使用互联网和移动终端。以弹出页面等形式开展营销的,应当显著标明关闭标志,确保一键关闭。不得欺骗、误导用户点击金融产品营销内容。 第12条【ハラスメントマーケティングの禁止】 マーケティングキャンペーンは、他人によるインターネットや携帯端末の正常な利用を妨げてはならない。 ポップアップページなどでマーケティングを行う場合は、1回のクリックで閉じることができるように、閉じる記号を目立つように表示しなければならない。 ユーザーは、金融商品のマーケティング・コンテンツに騙されたり、誤解してクリックしてはならない。
第十三条【组合销售】采用组合方式营销金融产品,应当以显著方式提醒金融消费者注意,不得将组合销售金融产品的选项设定为默认或首选。 第13条【複合的マーケティング】 金融商品の複合的マーケティングの使用は、金融消費者の注意を喚起するために目立つようにしなければならず、金融商品の複合的マーケティングの選択肢をデフォルトまたは優先的に設定してはならない。
第十四条【新型网络营销】通过直播、自媒体账号、互联网群组等新型网络渠道营销金融产品,营销人员应当为金融机构从业人员并具备相关金融从业资质。金融机构应当加强事前审核,指定合规人员审看直播或访问相关自媒体账号、互联网群组;加强营销行为可回溯管理,保存有关视频、音频、图文资料以供查验。 第14条【新ネットワークマーケティング】ライブストリーミング、セルフメディアアカウント、インターネットグループなどの新ネットワークチャネルを通じて金融商品をマーケティングする場合、マーケティング担当者は金融機関の実務担当者であり、関連する金融資格を有していなければならない。 金融機関は、事前監査を強化し、コンプライアンス担当者を指名して生放送を確認したり、関連する自己メディアアカウントやインターネットグループを訪問したりする。マーケティング手法のトレーサビリティー管理を強化し、関連するビデオ、オーディオ、グラフィック資料を保存して検査に供する。
第十五条【嵌套销售】非银行支付机构不得为贷款、资产管理产品等金融产品提供营销服务,不得在支付页面中将贷款、资产管理产品等金融产品作为支付选项,以默认开通、一键开通等方式销售贷款、资产管理产品等金融产品。 第15条【入れ子式販売】ノンバンクの決済機関は、ローンや資産運用商品などの金融商品のマーケティングサービスを提供してはならず、また、決済ページの支払い方法としてローンや資産運用商品などの金融商品を記載したり、デフォルトオープンやワンクリックオープンでローンや資産運用商品などの金融商品を販売してはならない。
第十六条【禁止代言】不得利用学术机构、行业协会、专业人士的名义或者形象作推荐、证明。 第16条【推奨の禁止】学術機関、業界団体、専門家の名称やイメージを推奨や認証に使用してはならない。
 金融机构应当遵守金融管理部门有关规定,不得利用演艺明星的名义或形象作推荐、证明。 金融機関は、金融管理当局の関連規則を遵守し、アクティングスターの名前や画像を推薦や認証のために使用してはならない。
第四章 营销合作行为规范 第4章 マーケティング協力のための行動規範
第十七条【责任划分】金融机构委托第三方互联网平台经营者开展金融产品网络营销的,应当作为业务主体承担管理责任。第三方互联网平台经营者未按约定履行受托义务,损害金融消费者权益或造成其他不良影响的,依法承担相关责任。 第17条【責任の分担】金融機関は、第三者であるインターネット・プラットフォーム事業者に金融商品のオンラインマーケティングを委託する場合、事業者としての管理責任を負うものとする。第三者であるインターネットプラットフォーム事業者が、合意された受託者責任を履行せず、金融消費者の権利・利益を損ない、その他の悪影響を及ぼす場合には、法律に基づき関連する責任を負うものとする。
未经金融管理部门批准,第三方互联网平台经营者不得介入或变相介入金融产品的销售业务环节,包括但不限于就金融产品与消费者进行互动咨询、金融消费者适当性测评、销售合同签订、资金划转等,不得通过设置各种与贷款规模、利息规模挂钩的收费机制等方式变相参与金融业务收入分成。 金融管理当局の承認を得ずに、第三者のインターネットプラットフォーム事業者は、金融商品に関する消費者との双方向の相談、金融消費者の適合性評価、売買契約の締結、資金移動など、金融商品販売のビジネス面に介入したり、偽装したりしてはならず、また、融資や利息の規模に連動した様々な手数料の仕組みを設けて、金融ビジネスの収益分配に参加することを偽装してはならない。
金融机构利用第三方互联网平台的网络空间经营场所,应当确保业务独立、技术安全、数据和个人信息安全。第三方互联网平台经营者应当恪守信息技术服务本位,不得变相开展金融业务活动,不得借助技术手段帮助合作金融机构规避监管。 第三者のインターネット・プラットフォームを利用してサイバースペース上の施設を運営する金融機関は、事業の独立性、技術的セキュリティ、データおよび個人情報のセキュリティを確保する必要があります。第三者のインターネットプラットフォーム事業者は、自社の情報技術サービスの適正を遵守し、偽装して金融ビジネス活動を行ったり、協力的な金融機関が技術を利用して規制を回避することを支援したりしてはならない。
第十八条【事前评估】金融机构委托第三方互联网平台经营者或者利用第三方互联网平台的网络空间经营场所开展金融产品网络营销,应当建立事前评估机制,按照互联网平台资质和承担责任相匹配的原则,从电信业务资质、经营情况、技术实力、服务质量、业务合规和声誉等方面进行评估。 第18条【事前審査】金融機関は、金融商品のオンラインマーケティングを行うために、第三者のインターネット・プラットフォーム事業者に委託し、または第三者のインターネット・プラットフォームのサイバースペース事業所を利用する場合には、事前審査の仕組みを構築し、インターネット・プラットフォームの資格と責任を一致させるという原則に基づき、電気通信事業者としての資格、運営、技術力、サービス品質、業務のコンプライアンス、評判などについて審査を行うものとする。
第十九条【书面协议】金融机构应当与第三方互联网平台经营者签订书面合作协议。合作协议应当包含合作范围、操作流程、各方权责、消费者权益保护、数据安全、争议解决、合作事项变更或终止的过渡安排、违约责任等内容。 第19条【書面による契約】 金融機関は、第三者のインターネットプラットフォーム事業者と書面による協力契約を締結しなければならない。 協力協定には、協力の範囲、業務手順、当事者の権利および責任、消費者の権利および利益の保護、データセキュリティ、紛争解決、協力事項の変更または終了のための経過措置、契約違反の責任などが含まれる。
第二十条【持续管理】金融机构应当持续跟踪评估第三方互联网平台经营者的合规性、安全性以及协议履行情况,及时识别、评估、防范因第三方互联网平台经营者违约或经营失败等导致的风险。如发现违反法律法规、有关规定和协议约定的,应当要求其及时整改,情节严重的,立即终止合作,并将有关问题线索移交相关管理部门。 第20条【継続管理】金融機関は、第三者インターネットプラットフォーム事業者のコンプライアンスやセキュリティ、契約の履行状況を継続的に追跡・評価し、第三者インターネットプラットフォーム事業者の債務不履行や運営上の失敗に起因するリスクを迅速に特定・評価・防止しなければならない。 法令や関連規定、協定などの違反が発見された場合には、適時に是正を求め、重大な場合には、直ちに協力関係を解消し、問題の関連糸口を関連管理部門に移すものとする。
第二十一条【信息安全】金融机构和第三方互联网平台应当采取必要的技术安全措施,保障数据传输的保密性、完整性,防止其他机构和个人非法破解、截留、存储有关数据。 第21条【情報セキュリティ】 金融機関および第三者のインターネットプラットフォームは、データ伝送の機密性および完全性を保護し、他の機関および個人が関連データを不正に解読、傍受および保存することを防止するために、必要な技術的セキュリティ対策を講じなければならない。
金融机构利用第三方互联网平台网络空间经营场所,应当防止第三方互联网平台非法破解、截留、存储客户信息和业务数据。 第三者のインターネット・プラットフォームのサイバースペースを利用して業務を行っている金融機関は、第三者のインターネット・プラットフォームが、顧客情報や業務データを不正に解読、傍受、保管することを防止しなければならない。
第二十二条【入驻管理】第三方互联网平台经营者为金融机构提供网络空间经营场所,应当建立准入管理机制,对入驻金融机构从资质资格、业务合规、社会声誉等方面进行评估;建立经营行为监测机制,发现非法金融活动,立即采取措施予以制止,并将线索移交金融管理部门。 第22条【参入管理】金融機関にサイバースペース事業所を提供する第三者インターネットプラットフォーム事業者は、参入管理機構を構築して、金融機関の参入を資格、業務コンプライアンス、社会的評判の観点から評価し、業務行為の監視機構を構築して、違法な金融行為を発見した場合には直ちに停止措置を講じ、金融管理部門に手がかりを渡さなければならない。
第二十三条【不正当竞争】第三方互联网平台经营者应当遵循平等自愿、公平合理、诚实守信的原则,不得滥用市场优势地位实施歧视性、排他性合作安排,不得阻碍金融消费者通过金融机构渠道查询、办理金融业务。 第23条【不正競争】第三者のインターネットプラットフォーム事業者は、平等と自発性、公正と合理性、誠実と信頼性の原則に従わなければならず、市場での支配的地位を濫用して、差別的または排他的な協力協定を実施したり、金融消費者が金融機関のチャネルを通じて金融サービスを照会したり実施することを妨げたりしてはならない。
第二十四条【品牌混同】第三方互联网平台经营者应当以清晰、醒目的方式展示金融产品提供者名称或相关标识。金融产品名称不得使用第三方互联网平台名称、商标的相关字样,造成金融机构和第三方互联网平台的品牌混同。 第24条【ブランド混合】第三者のインターネットプラットフォーム事業者は、金融商品提供者の名称または関連するロゴを明確かつ目立つように表示しなければならない。 金融商品の名称は、第三者のインターネット・プラットフォームの名称または商標の関連語を使用してはならず、その結果、金融機関と第三者のインターネット・プラットフォームとの間にブランドの混同が生じてはならない。
第二十五条【互联网名称】第三方互联网平台经营者在网站、移动互联网应用程序、小程序、自媒体名称中使用“金融”“交易所”“交易中心”“信托公司”“理财”“财富管理”“财富投资管理”“股权众筹”“贷款”“资产管理”“支付”“清算”“征信”“信用评级”“外汇(汇兑、结售汇、货币兑换)”等金融相关字样或者内容,应当取得相应金融业务资质或金融信息服务业务资质。 第25条 【インターネットの名称】ウェブサイト、モバイルインターネットアプリケーション、アプレット、およびセルフメディアの名称に「金融」、「取引所」、「トレーディングセンター」、 信託会社」、「理財」、「資産管理」、「資産投資管理」、「貸付」「アセットマネジメント」、「支払」、「清算」 、「信用」、「信用格付」、「外貨交換(交換、精算、通貨交換)」などの金融関連の 用語や内容が含まれていれば、それに対応する金融業資格や金融情報サービス業資格を取得する必要がある
第二十六条【商标注册】第三方互联网平台经营者注册和使用包含“金融”“交易所”“交易中心”“信托公司”“理财”“财富管理”“财富投资管理”“股权众筹”“贷款”“资产管理””“支付”“清算”“征信”“信用评级”“外汇(汇兑、结售汇、货币兑换)”等金融相关字样或者内容的商标,应当取得相应金融业务资质或金融信息服务业务资质。 第26条【商標登録】第三者のインターネット・プラットフォーム事業者は、「金融」、「取引所」、「トレーディングセンター」、 信託会社」、「理財」、「資産管理」、「資産投資管理」、「貸付」「アセットマネジメント」、「支払」、「清算」 、「信用」、「信用格付」、「外貨交換(交換、精算、通貨交換)」などの金融関連の用語その他の金融関連の単語またはコンテンツを含む商標を登録および使用する第三者のインターネットプラットフォーム事業者は、対応する金融事業資格または金融情報サービス事業資格を取得する必要がある。
第五章  监督管理 第5章 監督および管理
第二十七条【金融机构监管】金融管理部门按照职责分工采取非现场或现场检查等方式,实施对金融机构金融产品网络营销活动的监督管理。 第27条【金融機関の監督】金融管理部門は、責任分担に従い、金融機関の金融商品のオンラインマーケティング活動の監督・管理を実施するために、立入検査または立入検査等の手段を採用しなければならない。
金融机构、第三方互联网平台经营者及其从业人员应当配合金融管理部门的检查,提供的信息、资料应当及时、准确、完整。 金融機関、第三者のインターネットプラットフォーム事業者およびその実務者は、金融管理部門の検査に協力し、提供する情報や資料は適時、正確かつ完全なものでなければならない。
第二十八条【第三方互联网平台监管】相关部门按照职责分工实施对第三方互联网平台金融产品网络营销活动的监督管理。 第28条【第三者インターネットプラットフォームの監督】関係部門は、責任分担に基づき、第三者インターネットプラットフォームにおける金融商品のオンラインマーケティング活動の監督・管理を実施する。
市场监管部门加强互联网广告管理和反不正当竞争执法,及时向金融管理部门通报有关问题情况并在必要时商请协助调查。 市場監督部門は、インターネット広告の管理と反不正競争の執行を強化し、関連する問題状況を速やかに財務管理部門に伝え、必要に応じて調査の支援を相談する。
网信部门加强互联网信息内容管理,会同电信主管部门、金融管理部门加强数据安全管理和个人信息保护。 インターネット情報部門は、インターネット情報コンテンツの管理を強化し、管轄の通信部門、財務管理部門と連携して、データセキュリティ管理と個人情報保護を強化する。
第二十九条【第三方互联网平台名称与商标管理】金融管理部门会同网信部门、电信主管部门加强对第三方互联网平台名称的监测和管理。对违反本办法第二十五条规定的第三方互联网平台经营者,责令其限期整改。 第29条【第三者インターネットプラットフォームの名称および商標の管理】財務管理部門は、インターネット情報部門および管轄の電気通信部門と連携して、第三者インターネットプラットフォームの名称の監視および管理を強化しなければならない。 本弁法の第25条の規定に違反した第三者のインターネットプラットフォーム事業者は、一定期間内に是正を命じられる。
金融管理部门会同知识产权管理部门、市场监管部门加强商标使用的监测和管理。对违反本办法第二十六条规定的第三方互联网平台经营者,责令其限期整改。 財務管理部門は、知的財産管理部門および市場監督部門と連携して、商標の使用に関する監視・管理を強化する。 本弁法の第26条の規定に違反した第三者のインターネットプラットフォーム事業者に対しては、一定期間内に是正・改善を命じるものとする。
第三十条【打击非法金融活动营销】金融管理部门会同网信部门、电信主管部门、市场监管部门加强对非法金融活动网络营销的监测,按照职责分工予以处置。 第30条【違法金融活動のマーケティング対策】財務管理部門は、インターネット情報部門、電気通信当局、市場監督部門と連携して、違法金融活動のオンラインマーケティングの監視を強化し、責任分担に基づいて処分を行う。
第三十一条【行业自律管理】中国互联网金融协会等有关行业协会依照相关法律法规、规章和规范性文件要求以及本办法规定,制定行业标准和自律规范,完善自律惩戒机制。加强金融类移动互联网应用程序备案管理和金融消费者举报平台运营。配合金融管理部门开展金融产品网络营销日常监测,及时移交有关问题线索。加大对社会公众的金融知识普及教育,引导理性投资、健康消费。   第31条【業界の自主規制管理】中国インターネット金融協会およびその他の関連業界団体は、関連する法律、規則、規範文書および本弁法の規定に基づき、業界標準および自主規制規範を策定し、自主規制の規律メカニズムを改善する。 金融モバイルインターネットアプリケーションの記録管理と金融消費者報告プラットフォームの運営を強化する。 金融管理当局と協力して、金融商品のオンライン販売を日常的に監視し、関連する問題の手がかりをタイムリーに引き渡す。 合理的な投資と健全な消費を導くために、一般市民に対する金融リテラシー教育を強化する。 
第六章  法律责任 第6章 法的責任
第三十二条【金融机构责任】金融机构违反本办法规定开展金融产品网络营销的,除法律法规另有规定外,金融管理部门可采取监管谈话、责令整改、出具警示函以及依法依规可以采取的其他措施。 第32条【金融機関の責任】金融商品のネットワークマーケティングを行うためにこれらの措置の規定に違反して金融機関は、法令に別段の定めがある場合を除き、財務管理部門は、規制協議を取ることができる、整流を注文し、警告書や法律や規制に従って取ることができる他の措置を発行する。
第三十三条【第三方互联网平台责任】第三方互联网平台违反本办法第八条、第九条、第十六条第一款、第二十三条、第二十四条规定开展金融产品网络营销的,市场监管部门可依据《中华人民共和国广告法》《中华人民共和国反不正当竞争法》予以处置。 第33条【第三者インターネットプラットフォームの責任】第三者インターネットプラットフォームが本弁法第8条、第9条、第16条(1)、第23条および第24条の規定に違反して金融商品のオンラインマーケティングを行った場合、市場監督当局は中華人民共和国広告法および中華人民共和国反不正競争法に基づいて対処することができるものとする。
第三方互联网平台违反本办法第二十一条规定开展金融产品网络营销的,网信部门、电信主管部门可依据《中华人民共和国个人信息保护法》予以处置。 第三者のインターネットプラットフォームが、本弁法第21条の規定に違反して金融商品のオンラインマーケティングを行った場合、インターネット情報部門および管轄の電気通信部門は、「中華人民共和国個人情報保護法」に基づいて対処することができる。
第三十四条【非法金融活动营销责任】任何机构和个人违反本办法第五条、第六条、第十四条、第十七条第二和第三款、第二十二条规定开展金融产品网络营销的,金融管理部门、地方金融监管部门可依据《中华人民共和国中国人民银行法》《中华人民共和国银行业监督管理法》《中华人民共和国证券法》《中华人民共和国证券投资基金法》《中华人民共和国保险法》《期货交易管理条例》《防范和处置非法集资条例》等法律法规予以处置。 第34条【違法な金融活動のマーケティングに対する責任】本弁法第5条、第6条、第14条、第17条第2項および第3項、第22条の規定に違反して金融商品のオンラインマーケティングを行った機関または個人がいた場合、財務管理部門および地方の財務監督部門は、「中華人民共和国人民銀行法」、「中華人民共和国銀行監督管理法」、「中華人民共和国証券法」、「中華人民共和国証券投資基金法」、「中華人民共和国保険法」、「先物取引管理条例」、「違法資金調達防止処理条例」等の法令を制定して対応する。
第七章 附则 第7章 附則
第三十五条【参照管理】私募基金管理机构、信用评级机构、地方金融监管部门依法批准设立的地方金融组织开展金融产品网络营销参照本办法相关规定执行。 第35条【参考管理】プライベートエクイティファンド管理機関、信用格付機関、および金融商品のオンラインマーケティングを行うために法律に基づいて現地の金融規制当局が承認した現地金融機関は、本弁法の関連規定を参考にして実施する。
第三十六条【解释权】本办法由中国人民银行、工业和信息化部、市场监管总局、国家互联网信息办公室、银保监会、证监会、外汇局、知识产权局负责解释。 第36条【解釈権】本弁法は、中国人民銀行、工業・情報化部、市場規制総局、国家インターネット情報局、銀監会、SFC、外国為替局、知的財産局によって解釈される。
第三十七条【实施日期和整改期限】本办法自 年 月 日起施行。本办法施行前的金融产品网络营销活动不符合本办法相关要求的,金融机构及受其委托的第三方互联网平台经营者应当在本办法施行之日起6个月内完成整改。 第37条【施行日および修正期間】本弁法は、本年1月から施行する。 本弁法施行前の金融商品のオンラインマーケティング活動が本弁法の関連要求に準拠していない場合、金融機関およびその委託を受けた第三者のインターネットプラットフォーム事業者は、本弁法施行日から6ヶ月以内に修正を完了しなければならない。

 

1_20210612030101

 

 

| | Comments (0)

2022.01.05

中国 インターネット情報サービスのアルゴリズム推奨管理規則

こんにちは、丸山満彦です。

中国サイバースペース管理局が2021年12月31日にインターネット情報サービスのアルゴリズム推奨管理規則が発行され、2022年3月1日に施行すると公表していますね。。。昨年8月末に意見募集していたものですね。。。

いわゆるリコメンデーション機能についての規制が含まれる感じですね。。。

未成年のみならず、高齢者に対する規制も書かれていますね。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.04 互联网信息服务算法推荐管理规定
インターネット情報サービスのアルゴリズム推奨管理規則

 

互联网信息服务算法推荐管理规定 インターネット情報サービスのアルゴリズム推奨管理規則
《互联网信息服务算法推荐管理规定》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经工业和信息化部、公安部、国家市场监督管理总局同意,现予公布,自2022年3月1日起施行。 「インターネット情報サービスのアルゴリズム推奨管理規則」は、国家サイバースペース管理局が2021年11月16日に開催した第20回会議で審議・採択され、工業・情報化省、公安省、国家市場監督管理総局の同意を得て、ここに公布され、2022年3月1日に発効する。
2021年12月31日 2021年12月31日
互联网信息服务算法推荐管理规定 インターネット情報サービスのアルゴリズム推奨管理規則
第一章 总 则 第1章 総則
第一条 为了规范互联网信息服务算法推荐活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第1条 インターネット情報サービスのアルゴリズム推奨活動を規制し、社会主義の中核的価値観を促進し、国家の安全と社会公共の利益を守り、市民、法人、その他の組織の合法的な権利と利益を保護し、インターネット情報サービスの健全で秩序ある発展を促進するために、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「中華人民共和国個人情報保護法」等の法律、行政法きに基づき 「インターネット情報サービス管理弁法」を策定する
第二条 在中华人民共和国境内应用算法推荐技术提供互联网信息服务(以下简称算法推荐服务),适用本规定。法律、行政法规另有规定的,依照其规定。 第2条 中華人民共和国の領域において、インターネット情報サービス(以下、アルゴリズム推奨サービスという)を提供するためにアルゴリズム推奨技術を適用する場合、規定を適用する。 法律または行政規則に別段の定めがある場合は、その規定に基づく。
前款所称应用算法推荐技术,是指利用生成合成类、个性化推送类、排序精选类、检索过滤类、调度决策类等算法技术向用户提供信息。 前項のアルゴリズム推奨技術の応用とは、アルゴリズム技術を用いて、合成、パーソナライズされたプッシュ、ソートと選択、検索とフィルタリング、スケジューリングと意思決定を生成して、ユーザーに情報を提供することである。
第三条 国家网信部门负责统筹协调全国算法推荐服务治理和相关监督管理工作。国务院电信、公安、市场监管等有关部门依据各自职责负责算法推荐服务监督管理工作。 第3条 国家ネットワーク情報部門は、国家アルゴリズム推奨サービスのガバナンスおよび関連する監督・管理業務の調整に責任を負う。 国務院の通信、公安、市場監督などの関連部門は、それぞれの責任に応じて、アルゴリズム推奨サービスの監督・管理を行う。
地方网信部门负责统筹协调本行政区域内的算法推荐服务治理和相关监督管理工作。地方电信、公安、市场监管等有关部门依据各自职责负责本行政区域内的算法推荐服务监督管理工作。 各地のインターネット情報部門は、その行政区域内でアルゴリズム推奨サービスのガバナンスと関連する監督・管理を調整する責任があります。 地方の電気通信、公安、市場監督などの関連部門は、それぞれの責任に基づいて、行政区域内のアルゴリズム推奨サービスの監督・管理に責任を負う。
第四条 提供算法推荐服务,应当遵守法律法规,尊重社会公德和伦理,遵守商业道德和职业道德,遵循公正公平、公开透明、科学合理和诚实信用的原则。 第4条 アルゴリズム推奨サービスの提供は、法令を遵守し、社会道徳・倫理を尊重し、企業倫理・職業倫理を守り、公正・公開・透明性、科学的合理性、正直・信用の原則に従わなければならない。
第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导算法推荐服务提供者制定完善服务规范、依法提供服务并接受社会监督。 第5条 関連業界団体は、業界の自主規制を強化し、業界標準、業界指針、自主規制管理システムを確立・改善し、アルゴリズム推薦サービス提供者がサービス仕様を策定・改善し、法律に則ったサービスを提供し、社会的監督を受け入れるように監督・指導することが奨励される。
第二章 信息服务规范 第2章 情報サービス仕様
第六条 算法推荐服务提供者应当坚持主流价值导向,优化算法推荐服务机制,积极传播正能量,促进算法应用向上向善。 第6条 アルゴリズム推奨サービス提供者は、主流の価値観を堅持し、アルゴリズム推奨サービスメカニズムを最適化し、積極的にポジティブなエネルギーを広め、より良いアルゴリズムの適用を促進するものとする。
算法推荐服务提供者不得利用算法推荐服务从事危害国家安全和社会公共利益、扰乱经济秩序和社会秩序、侵犯他人合法权益等法律、行政法规禁止的活动,不得利用算法推荐服务传播法律、行政法规禁止的信息,应当采取措施防范和抵制传播不良信息。 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスを利用して、国家安全保障や社会公共の利益を危うくしたり、経済社会秩序を乱したり、他人の合法的な権利や利益を侵害するなど、法律や行政法規で禁止されている行為を行ってはならず、また、アルゴリズム推奨サービスを利用して、法律や行政法規で禁止されている情報を流布してはならず、望ましくない情報の流布を防止し、抵抗するための措置を講じなければならない。
第七条 算法推荐服务提供者应当落实算法安全主体责任,建立健全算法机制机理审核、科技伦理审查、用户注册、信息发布审核、数据安全和个人信息保护、反电信网络诈骗、安全评估监测、安全事件应急处置等管理制度和技术措施,制定并公开算法推荐服务相关规则,配备与算法推荐服务规模相适应的专业人员和技术支撑。 第7条 アルゴリズム推奨サービス提供者は、アルゴリズムの安全性に関する主な責任を遂行し、アルゴリズムの仕組みの監査、科学技術の倫理審査、ユーザー登録、情報公開の監査、データの安全性と個人情報の保護、通信ネットワークの不正行為の防止、セキュリティの評価と監視、セキュリティ事故の緊急処理などの管理システムと技術的措置を確立し、改善し、アルゴリズム推奨サービスに関する規則を策定して公開し、アルゴリズム推奨サービスの規模に応じた専門スタッフと技術サポートを備えるべきであり、アルゴリズム推奨サービスの規模に見合った専門スタッフや技術サポートを提供する。
第八条 算法推荐服务提供者应当定期审核、评估、验证算法机制机理、模型、数据和应用结果等,不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型。 第8条 アルゴリズム推奨サービス提供者は、アルゴリズム機構の仕組み、モデル、データ、適用結果を定期的に見直し、評価、検証するものとし、ユーザーの耽溺や過剰消費を誘発するような、法令違反や倫理道徳に反するアルゴリズムモデルを設定してはならないものとする。
第九条 算法推荐服务提供者应当加强信息安全管理,建立健全用于识别违法和不良信息的特征库,完善入库标准、规则和程序。发现未作显著标识的算法生成合成信息的,应当作出显著标识后,方可继续传输。 第9条 アルゴリズム推奨サービス提供者は、情報セキュリティ管理を強化し、違法・望ましくない情報を特定するための特徴データベースを構築・改善し、データベースに入るための基準・規則・手順を改善しなければならない。 アルゴリズムで生成された合成情報がマークされていないことが判明した場合、その情報の送信を継続する前に、目立つようにマークしなければならない。
发现违法信息的,应当立即停止传输,采取消除等处置措施,防止信息扩散,保存有关记录,并向网信部门和有关部门报告。发现不良信息的,应当按照网络信息内容生态治理有关规定予以处置。 違法な情報を発見した場合は、直ちに送信を停止し、情報の拡散を防止するために排除などの処分を行い、記録を残し、インターネット情報部門や関連部門に報告すること。 好ましくない情報が発見された場合は、ネットワーク情報コンテンツのエコロジーガバナンスに関する関連規定に基づいて処分される。
第十条 算法推荐服务提供者应当加强用户模型和用户标签管理,完善记入用户模型的兴趣点规则和用户标签管理规则,不得将违法和不良信息关键词记入用户兴趣点或者作为用户标签并据以推送信息。 第10条 アルゴリズム推奨サービス提供者は、ユーザモデルとユーザタグの管理を強化し、ユーザモデルに記録されたインタレストポイントのルールとユーザタグの管理ルールを改善し、ユーザのインタレストポイントに違法で好ましくない情報のキーワードを記録したり、ユーザタグとして使用したりせず、それに応じて情報をプッシュするものとする。
第十一条 算法推荐服务提供者应当加强算法推荐服务版面页面生态管理,建立完善人工干预和用户自主选择机制,在首页首屏、热搜、精选、榜单类、弹窗等重点环节积极呈现符合主流价值导向的信息。 第11条 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスのページのエコシステムの管理を強化し、ユーザーによる手動介入と独立した選択のメカニズムを確立・改善し、ホームページの最初の画面、ホット検索、選択済み、リスト・カテゴリー、ポップアップ・ウィンドウ、その他の重要なリンクに、主流の価値志向に沿った情報を積極的に提示するものとする。
第十二条 鼓励算法推荐服务提供者综合运用内容去重、打散干预等策略,并优化检索、排序、选择、推送、展示等规则的透明度和可解释性,避免对用户产生不良影响,预防和减少争议纠纷。 第12条 アルゴリズム推奨サービス提供者に対し、コンテンツの非重畳化や分割介入などの戦略を総合的に活用し、検索、ソート、選択、プッシュ、表示などのルールの透明性と解釈可能性を最適化することで、ユーザーへの悪影響を回避し、紛争や論争を防止・軽減することを奨励する。
第十三条 算法推荐服务提供者提供互联网新闻信息服务的,应当依法取得互联网新闻信息服务许可,规范开展互联网新闻信息采编发布服务、转载服务和传播平台服务,不得生成合成虚假新闻信息,不得传播非国家规定范围内的单位发布的新闻信息。 第13条 インターネットニュース情報サービスを提供するアルゴリズム推奨サービス提供者は、法律に基づいてインターネットニュース情報サービスライセンスを取得し、インターネットニュース情報の収集・編集・出版サービス、転載サービス、配信プラットフォームサービスを標準化し、合成された虚偽のニュース情報を生成したり、国家規定の範囲外のユニットが発行したニュース情報を配信したりしてはならない。
第十四条 算法推荐服务提供者不得利用算法虚假注册账号、非法交易账号、操纵用户账号或者虚假点赞、评论、转发,不得利用算法屏蔽信息、过度推荐、操纵榜单或者检索结果排序、控制热搜或者精选等干预信息呈现,实施影响网络舆论或者规避监督管理行为。 第14条 アルゴリズム推奨サービス提供者は、アルゴリズムを利用して、アカウントの虚偽登録、アカウントの不正取引、ユーザーアカウントの操作、虚偽の「いいね」「コメント」「転送」を行ったり、アルゴリズムを利用して、情報の遮断、過剰推奨、リストや検索結果の順位操作、ホット検索や選択の制御等を行い、情報の提示を妨害したり、オンライン世論に影響を与える行為を実施したり、監督管理を回避したりしてはならない。
第十五条 算法推荐服务提供者不得利用算法对其他互联网信息服务提供者进行不合理限制,或者妨碍、破坏其合法提供的互联网信息服务正常运行,实施垄断和不正当竞争行为。 第15条 アルゴリズム推奨サービス提供者は、アルゴリズムを利用して、他のインターネット情報サービス提供者を不当に制限したり、それらの者が合法的に提供するインターネット情報サービスの正常な運営を妨げたり、混乱させたり、独占や不正競争を実施してはならない。
第三章 用户权益保护 第3章 ユーザーの権利・利益の保護
第十六条 算法推荐服务提供者应当以显著方式告知用户其提供算法推荐服务的情况,并以适当方式公示算法推荐服务的基本原理、目的意图和主要运行机制等。 第16条 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスを提供していることを利用者に見やすい形で知らせ、アルゴリズム推奨サービスの基本理念、目的趣旨、主な動作メカニズム等を適切に公表しなければならない。
第十七条 算法推荐服务提供者应当向用户提供不针对其个人特征的选项,或者向用户提供便捷的关闭算法推荐服务的选项。用户选择关闭算法推荐服务的,算法推荐服务提供者应当立即停止提供相关服务。 第17条 アルゴリズム推奨サービス提供者は、ユーザーの個人的特徴を対象としない選択肢を提供するか、アルゴリズム推奨サービスをオフにする便利な選択肢をユーザーに提供しなければならない。 ユーザーがアルゴリズム推奨サービスの停止を選択した場合、アルゴリズム推奨サービス提供者は、直ちに当該サービスの提供を停止するものとする。
算法推荐服务提供者应当向用户提供选择或者删除用于算法推荐服务的针对其个人特征的用户标签的功能。 アルゴリズム推奨サービス提供者は、アルゴリズム推奨サービスに使用されるユーザータグを、ユーザーの個人的な特徴に合わせて選択または削除する機能をユーザーに提供する。
算法推荐服务提供者应用算法对用户权益造成重大影响的,应当依法予以说明并承担相应责任。 アルゴリズム推奨サービス提供者によるアルゴリズムの適用が、ユーザーの権利や利益に重大な影響を与える場合、法律に基づいて説明し、対応する責任を負わなければならない。
第十八条 算法推荐服务提供者向未成年人提供服务的,应当依法履行未成年人网络保护义务,并通过开发适合未成年人使用的模式、提供适合未成年人特点的服务等方式,便利未成年人获取有益身心健康的信息。 第18条 アルゴリズム推奨サービス提供者は、未成年者にサービスを提供する場合、未成年者の利用に適したモデルを開発し、その特性に適したサービスを提供することにより、法律に基づきインターネット上の未成年者を保護し、未成年者の心身の健康に有益な情報へのアクセスを容易にする義務を果たさなければならない。
算法推荐服务提供者不得向未成年人推送可能引发未成年人模仿不安全行为和违反社会公德行为、诱导未成年人不良嗜好等可能影响未成年人身心健康的信息,不得利用算法推荐服务诱导未成年人沉迷网络。 アルゴリズム推奨サービス提供者は、未成年者が危険な行為や社会道徳に反する行為を真似するきっかけとなる情報や、未成年者の悪い習慣を誘発する情報など、未成年者の心身の健康に影響を与えるような情報を未成年者にプッシュしたり、アルゴリズム推奨サービスを利用して未成年者のインターネット依存症を誘発するような行為をしてはならない。
第十九条 算法推荐服务提供者向老年人提供服务的,应当保障老年人依法享有的权益,充分考虑老年人出行、就医、消费、办事等需求,按照国家有关规定提供智能化适老服务,依法开展涉电信网络诈骗信息的监测、识别和处置,便利老年人安全使用算法推荐服务。 第19条 アルゴリズム推奨サービス提供者が高齢者にサービスを提供する場合、法律に基づいて高齢者の権利と利益を保護し、高齢者の旅行、医療、消費、ビジネスのニーズを十分に考慮し、国家の関連法規に基づいて年齢に応じたインテリジェントなサービスを提供し、法律に基づいて通信ネットワークの不正に関わる情報の監視、特定、処分を行い、高齢者によるアルゴリズム推奨サービスの安全な利用を促進しなければならない。
第二十条 算法推荐服务提供者向劳动者提供工作调度服务的,应当保护劳动者取得劳动报酬、休息休假等合法权益,建立完善平台订单分配、报酬构成及支付、工作时间、奖惩等相关算法。 第20条 労働者に仕事のスケジューリングサービスを提供するアルゴリズム推奨サービス提供者は、労働者が労働報酬、休息、休暇などを得る上での正当な権利と利益を保護し、プラットフォームの順序配分、報酬の構成と支払い、労働時間、報酬と罰などの関連アルゴリズムを確立し、改善しなければならない。
第二十一条 算法推荐服务提供者向消费者销售商品或者提供服务的,应当保护消费者公平交易的权利,不得根据消费者的偏好、交易习惯等特征,利用算法在交易价格等交易条件上实施不合理的差别待遇等违法行为。 第21条 アルゴリズム推奨サービス提供者が消費者に商品を販売し、またはサービスを提供する場合、公正な取引に対する消費者の権利を保護し、消費者の嗜好、取引習慣その他の特性に基づいて取引価格その他の取引条件において不当な差別的取扱いを行うなどの違法行為を実施するためにアルゴリズムを使用してはならない。
第二十二条 算法推荐服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,明确处理流程和反馈时限,及时受理、处理并反馈处理结果。 第22条 アルゴリズム推奨サービス提供者は、ユーザーからの苦情や一般からの苦情・報告に対して、便利で効果的な入口を設け、処理プロセスやフィードバックの期限を明確にし、タイムリーに結果を受け取り、処理し、フィードバックするものとする。
第四章 监督管理 第4章 監督および管理
第二十三条 网信部门会同电信、公安、市场监管等有关部门建立算法分级分类安全管理制度,根据算法推荐服务的舆论属性或者社会动员能力、内容类别、用户规模、算法推荐技术处理的数据重要程度、对用户行为的干预程度等对算法推荐服务提供者实施分级分类管理。 第23条 インターネット情報部門は、電気通信、公安、市場監督やその他の関連部門と連携して、アルゴリズム分類のセキュリティ管理システムを確立するために、世論の属性や社会的動員力、コンテンツカテゴリ、ユーザーサイズのアルゴリズム推奨サービスによると、アルゴリズム推奨技術は、データの重要性に対処するために、ユーザーの行動や他のアルゴリズム推奨サービスプロバイダの介入の度合いは、階層的な分類管理を実装する。
第二十四条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当在提供服务之日起十个工作日内通过互联网信息服务算法备案系统填报服务提供者的名称、服务形式、应用领域、算法类型、算法自评估报告、拟公示内容等信息,履行备案手续。 第24条 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、サービス提供日から10営業日以内に、インターネット情報サービスのアルゴリズム報告記録システムを通じて、サービス提供者名、サービス形態、申請分野、アルゴリズムタイプ、アルゴリズム自己評価報告書、提案された公開コンテンツなどの情報を記入し、報告記録手続きを行うものとする。
算法推荐服务提供者的备案信息发生变更的,应当在变更之日起十个工作日内办理变更手续。 アルゴリズム推奨サービス提供者の報告記録情報を変更した場合は、変更した日から10営業日以内に変更手続きを行うものとする。
算法推荐服务提供者终止服务的,应当在终止服务之日起二十个工作日内办理注销备案手续,并作出妥善安排。 アルゴリズム推奨サービス提供者がサービスを終了する場合、サービス終了の日から20営業日以内に報告記録のキャンセル手続きを行い、適切な手配を行うものとする。
第二十五条 国家和省、自治区、直辖市网信部门收到备案人提交的备案材料后,材料齐全的,应当在三十个工作日内予以备案,发放备案编号并进行公示;材料不齐全的,不予备案,并应当在三十个工作日内通知备案人并说明理由。 第25条 中央政府直轄の国家・省・自治区・自治体のインターネット情報部門は、提出者から提出された報告記録資料を受け取った後、報告記録資料に不備がない場合は30営業日以内に発行し、提出番号を発行して公開し、報告記録資料に不備がある場合は発行せず、30営業日以内に提出者に通知して理由を説明しなければならない。
第二十六条 完成备案的算法推荐服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。 第26条 アルゴリズム推奨サービス提供者の申請の完了は、その外部サービスのウェブサイト、アプリケーション等の目立つ位置に記録番号を表示し、公開情報へのリンクを提供するものとする。
第二十七条 具有舆论属性或者社会动员能力的算法推荐服务提供者应当按照国家有关规定开展安全评估。 第27条 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、関連する国の規制に従ってセキュリティ評価を行うものとする。
第二十八条 网信部门会同电信、公安、市场监管等有关部门对算法推荐服务依法开展安全评估和监督检查工作,对发现的问题及时提出整改意见并限期整改。 第28条 電気通信と連携してインターネット情報部門、公安、市場監督とアルゴリズムの他の関連部門は、セキュリティ評価と監督と検査の仕事を遂行するために法律に基づいてサービスを推奨し、問題は是正のためのコメントと期限を提唱するタイムリーな方法で発見する。
算法推荐服务提供者应当依法留存网络日志,配合网信部门和电信、公安、市场监管等有关部门开展安全评估和监督检查工作,并提供必要的技术、数据等支持和协助。 アルゴリズム推奨サービス提供者は、法律に基づいてネットワークログを保持し、インターネット情報部門および電気通信、公安、市場監督などの関連部門と協力してセキュリティ評価および監督・検査作業を行い、必要な技術、データなどのサポートおよび支援を提供するものとします。
第二十九条 参与算法推荐服务安全评估和监督检查的相关机构和人员对在履行职责中知悉的个人隐私、个人信息和商业秘密应当依法予以保密,不得泄露或者非法向他人提供。 第29条 アルゴリズム推奨サービスのセキュリティ評価および監督・検査に携わる関係機関および人員は、法律に基づき、職務遂行上知り得た個人のプライバシー、個人情報および商業上の秘密を保持し、他人に開示したり、不正に提供したりしてはならない。
第三十条 任何组织和个人发现违反本规定行为的,可以向网信部门和有关部门投诉、举报。收到投诉、举报的部门应当及时依法处理。 第30条 この規定に違反する行為を発見した組織または個人は、インターネット情報部門および関連部門に苦情または報告を行うことができる。 苦情や報告を受けた部門は、法律に基づいて速やかに対処しなければならない。
第五章 法律责任 第5章 法的責任
第三十一条 算法推荐服务提供者违反本规定第七条、第八条、第九条第一款、第十条、第十四条、第十六条、第十七条、第二十二条、第二十四条、第二十六条规定,法律、行政法规有规定的,依照其规定;法律、行政法规没有规定的,由网信部门和电信、公安、市场监管等有关部门依据职责给予警告、通报批评,责令限期改正;拒不改正或者情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第31条 アルゴリズム推奨サービス提供者は、第7条、第8条、第9条第1項、第10条、第14条、第16条、第17条、第22条、第24条、第26条の規定に違反しており、法律や行政法規に規定がある場合はその規定に従い、法律や行政法規に規定がない場合は、インターネット情報部門や電気通信、公安、市場監督などの関連部門は、その職務に基づき 警告、批判の通知、修正期限の命令、修正を拒否した場合、または状況が深刻な場合、情報更新の停止を命じ、1万元以上10万元以下の罰金を科す。 公安管理の違反となる場合は、法律に基づいて公安管理の処罰を行い、犯罪となる場合は、法律に基づいて刑事責任を追及する。
第三十二条 算法推荐服务提供者违反本规定第六条、第九条第二款、第十一条、第十三条、第十五条、第十八条、第十九条、第二十条、第二十一条、第二十七条、第二十八条第二款规定的,由网信部门和电信、公安、市场监管等有关部门依据职责,按照有关法律、行政法规和部门规章的规定予以处理。 第32条 アルゴリズム推奨サービス提供者が第6条、第9条第2項、第11条、第13条、第15条、第18条、第19条、第20条、第21条、第27条、第28条第2項の規定に違反した場合、インターネット情報部門および電気通信、公安、市場監督の関連部門は、その職務に基づき、関連法、行政法規、部門法規の規定に基づいて、以下を行う。 を処理しなければならない。
第三十三条 具有舆论属性或者社会动员能力的算法推荐服务提供者通过隐瞒有关情况、提供虚假材料等不正当手段取得备案的,由国家和省、自治区、直辖市网信部门予以撤销备案,给予警告、通报批评;情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。 第33条 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、関連情報を隠蔽したり、虚偽の資料を提供するなどの不適切な手段で報告記録をした場合、中央政府直轄の国家・省・自治区・市のインターネット情報部門は、報告記録を取り消し、警告、通報、批判を行い、状況が深刻な場合は、情報更新の停止を命じ、1万元以上10万元以下の罰金を科す。
具有舆论属性或者社会动员能力的算法推荐服务提供者终止服务未按照本规定第二十四条第三款要求办理注销备案手续,或者发生严重违法情形受到责令关闭网站、吊销相关业务许可证或者吊销营业执照等行政处罚的,由国家和省、自治区、直辖市网信部门予以注销备案。 世論の属性または社会動員能力を有するアルゴリズム推奨サービス提供者は、報告記録手続きのキャンセルの規定の第24条第3項の要件に準拠してサービスを終了することを推奨し、またはそのようなウェブサイトの閉鎖を要求するなどの行政処分の対象となる状況の重大な違反の発生は、関連するビジネスライセンスの失効または事業免許の取り消し、状態と省、自治区、直接中央インターネット部門の下にある自治体は、報告記録をキャンセルする。
第六章 附 则 第6章 附則
第三十四条 本规定由国家互联网信息办公室会同工业和信息化部、公安部、国家市场监督管理总局负责解释。 第34条 本規定は、国家サイバースペース管理局が工業・情報技術省、公安省、国家市場監督管理総局と共同で解釈するものとする。
第三十五条 本规定自2022年3月1日起施行。 第35条 この規定は、2022年3月1日から施行する。

 

 

 

 

 

1_20210612030101

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

| | Comments (0)

中国 ネットワークセキュリティ審査弁法

こんにちは、丸山満彦です。

中国サイバースペース管理局が2021年12月28日にネットワークセキュリティ審査弁法が改定発行され、2022年2月15日に施行すると公表していますね。。。

情報サービス業が安全保障に与える影響を踏まえたの規制という感じでしょうかね。。。

100万人以上のユーザーの個人情報を保有している重要情報インフラ事業者が海外で株式公開する場合、サイバーセキュリティ審査室にサイバーセキュリティクリアランスを提出しなければならないようですね。。。(第7条)

たくさんの省庁が連携していますね。。。

国家互联网信息办公室 国家サイバースペース管理局
中华人民共和国国家发展和改革委员会 中華人民共和国国家発展改革委員会
中华人民共和国工业和信息化部 中華人民共和国工業情報化部
中华人民共和国公安部 中華人民共和国公安部
中华人民共和国国家安全部 中華人民共和国国家安全部
中华人民共和国财政部 中華人民共和国財政部
中华人民共和国商务部 中華人民共和国商務部
中国人民银行 中国人民銀行
国家市场监督管理总局 国家市場監督管理総局
国家广播电视总局 国家ラジオ・テレビ総局
中国证券监督管理委员会 中国証券監督管理委員会
国家保密局 国家機密局
国家密码管理局 国家暗号管理局

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.04 网络安全审查办法
ネットワークセキュリティ審査弁法

 

网络安全审查办法 ネットワークセキュリティ審査弁法
《网络安全审查办法》已经2021年11月16日国家互联网信息办公室2021年第20次室务会议审议通过,并经国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局同意,现予公布,自2022年2月15日起施行。 ネットワークセキュリティ審査弁法は、国家サイバースペース管理局が2021年11月16日に開催した第20回室内会議で検討・採択され、国家発展改革委員会、工業情報化部、公安部、国家安全部、財政部、商務部、中国人民銀行、国家市場管理総局、国家ラジオ・テレビ管理局、中国証券監督管理委員会、国家秘密局と国家暗号管理局が合意したので、ここに公布し、2022年2月15日から施行することとする。
2021年12月28日 2021年12月28日
网络安全审查办法 ネットワークセキュリティ審査弁法
第一条 为了确保关键信息基础设施供应链安全,保障网络安全和数据安全,维护国家安全,根据《中华人民共和国国家安全法》、《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《关键信息基础设施安全保护条例》,制定本办法。 第1条 本弁法は、重要情報インフラのサプライチェーンのセキュリティを確保し、ネットワークセキュリティとデータセキュリティを保護し、国家安全保障を維持するために、中華人民共和国国家安全保障法、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、重要情報インフラのセキュリティ保護に関する規則に基づいて制定される。
第二条 关键信息基础设施运营者采购网络产品和服务,网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,应当按照本办法进行网络安全审查。 第2条 重要情報インフラ事業者がネットワーク製品・サービスを調達する場合、およびネットワーク・プラットフォーム事業者が国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動を行う場合、本弁法に基づきネットワーク・セキュリティ・レビューを行うものとする。
前款规定的关键信息基础设施运营者、网络平台运营者统称为当事人。 前項の重要情報インフラ事業者およびネットワークプラットフォーム事業者を総称して関係者という。
第三条 网络安全审查坚持防范网络安全风险与促进先进技术应用相结合、过程公正透明与知识产权保护相结合、事前审查与持续监管相结合、企业承诺与社会监督相结合,从产品和服务以及数据处理活动安全性、可能带来的国家安全风险等方面进行审查。 第3条 ネットワークセキュリティ審査は、ネットワークセキュリティリスクの防止と先端技術の応用の促進の組み合わせ、公正で透明なプロセスと知的財産権保護の組み合わせ、事前審査と継続的な監督の組み合わせ、企業のコミットメントと社会的監督の組み合わせ、セキュリティと起こりうる国家安全保障上のリスクの観点からの製品・サービスおよびデータ処理活動の見直しを主張するものとする。
第四条 在中央网络安全和信息化委员会领导下,国家互联网信息办公室会同中华人民共和国国家发展和改革委员会、中华人民共和国工业和信息化部、中华人民共和国公安部、中华人民共和国国家安全部、中华人民共和国财政部、中华人民共和国商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、中国证券监督管理委员会、国家保密局、国家密码管理局建立国家网络安全审查工作机制。 第4条 国家サイバースペース管理局は、ネットワークセキュリティ・情報化中央委員会の指導の下、中華人民共和国国家発展改革委員会、中華人民共和国工業情報化部、中華人民共和国公安部、中華人民共和国財政部、中華人民共和国商務部、中国人民銀行、国家市場監督管理総局、ラジオ・テレビ総局、中国証券監督管理委員会、国家機密局、国家暗号管理局と共に、国家ネットワークセキュリティ審査機構を構築する。
网络安全审查办公室设在国家互联网信息办公室,负责制定网络安全审查相关制度规范,组织网络安全审查。 ネットワークセキュリティ審査室は、国家サイバースペース管理局に設置され、ネットワークセキュリティ審査に関連するシステム仕様の策定や、ネットワークセキュリティ審査の組織化を担当する。
第五条 关键信息基础设施运营者采购网络产品和服务的,应当预判该产品和服务投入使用后可能带来的国家安全风险。影响或者可能影响国家安全的,应当向网络安全审查办公室申报网络安全审查。 第5条 重要インフラ事業者は、ネットワーク製品及びサービスを調達する場合には、当該製品及びサービスの利用開始後にもたらされる可能性のある国家安全保障上のリスクを予見しなければならない。 国家安全保障に影響を与える、または影響を与える可能性がある場合は、ネットワークセキュリティ審査室に申告しなければならない。
关键信息基础设施安全保护工作部门可以制定本行业、本领域预判指南。 重要な情報インフラのセキュリティ保護に取り組んでいる部署では、それぞれの業界や分野で事前判断のガイドラインを策定することができる。
第六条 对于申报网络安全审查的采购活动,关键信息基础设施运营者应当通过采购文件、协议等要求产品和服务提供者配合网络安全审查,包括承诺不利用提供产品和服务的便利条件非法获取用户数据、非法控制和操纵用户设备,无正当理由不中断产品供应或者必要的技术支持服务等。 第6条 重要情報インフラ事業者は、ネットワークセキュリティ審査のために宣言された調達活動について、製品・サービス提供者に対して、製品・サービス提供の利便性を利用して利用者データを不正に取得したり、利用者の機器を不正に制御・操作したりしないこと、正当な理由なく製品の供給や必要な技術サポートサービスを中断しないことなどの約束を含む、調達文書や契約を通じて、ネットワークセキュリティ審査に協力することを求めるものとする。
第七条 掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。 第7条 100万人以上のユーザーの個人情報を保有しているオンラインプラットフォーム事業者が海外で株式公開する場合、ネットワークセキュリティ審査室にネットワークセキュリティクリアランスを提出しなければならない。
第八条 当事人申报网络安全审查,应当提交以下材料: 第8条 ネットワークセキュリティ審査を宣言する当事者は、以下の資料を提出するものとする。
(一)申报书; (1) 宣言
(二)关于影响或者可能影响国家安全的分析报告; (2) 国家安全保障への影響、または影響の可能性に関する分析レポート
(三)采购文件、协议、拟签订的合同或者拟提交的首次公开募股(IPO)等上市申请文件; (3) 調達書類、契約書、契約書の締結、新規株式公開(IPO)などの上場申請書類の提出
(四)网络安全审查工作需要的其他材料。 (4) その他、ネットワークセキュリティレビュー作業に必要な資料
第九条 网络安全审查办公室应当自收到符合本办法第八条规定的审查申报材料起10个工作日内,确定是否需要审查并书面通知当事人。 第9条 ネットワークセキュリティ審査室は、本弁法第8条の要件を満たす審査申告資料の受領から10営業日以内に、審査が必要かどうかを判断し、当事者に書面で通知する。
第十条 网络安全审查重点评估相关对象或者情形的以下国家安全风险因素: 第10条 ネットワークセキュリティ審査は、関連する対象物または状況の以下の国家安全保障上のリスク要因を評価することに重点を置く。
(一)产品和服务使用后带来的关键信息基础设施被非法控制、遭受干扰或者破坏的风险; (1) 製品およびサービスの使用によってもたらされる重要な情報インフラの不正な制御、妨害または損害のリスク
(二)产品和服务供应中断对关键信息基础设施业务连续性的危害; (2) 製品やサービスの供給の途絶から生じる重要な情報インフラの事業継続性への危険性
(三)产品和服务的安全性、开放性、透明性、来源的多样性,供应渠道的可靠性以及因为政治、外交、贸易等因素导致供应中断的风险; (3) 製品およびサービスの安全性、公開性、透明性、ソースの多様性、供給ルートの信頼性、および政治的、外交的、貿易的、その他の要因による供給途絶の危険性
(四)产品和服务提供者遵守中国法律、行政法规、部门规章情况; (4) 製品およびサービス提供者による中国の法律、行政規則、部門規則の遵守
(五)核心数据、重要数据或者大量个人信息被窃取、泄露、毁损以及非法利用、非法出境的风险; (5) コアデータ、重要データ、大量の個人情報の盗難、漏洩、破壊、不正使用、不正越境のリスク
(六)上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险; (6) リストアップされた重要な情報インフラ、コアデータ、重要なデータ、または大量の個人情報が、外国政府によって影響を受け、コントロールされ、または悪意を持って使用されるリスク、およびネットワーク情報セキュリティのリスク
(七)其他可能危害关键信息基础设施安全、网络安全和数据安全的因素。 (7)重要な情報インフラのセキュリティ、ネットワークセキュリティ、データセキュリティを危険にさらす可能性のあるその他の要因。
第十一条 网络安全审查办公室认为需要开展网络安全审查的,应当自向当事人发出书面通知之日起30个工作日内完成初步审查,包括形成审查结论建议和将审查结论建议发送网络安全审查工作机制成员单位、相关部门征求意见;情况复杂的,可以延长15个工作日。 第11条 ネットワークセキュリティ審査室がネットワークセキュリティ審査を行う必要があると判断した場合、関係者に書面で通知した日から30営業日以内に予備審査を完了し、審査結論の勧告を形成し、ネットワークセキュリティ審査作業機構のメンバーおよび関連部門に審査結論の勧告を送付してコメントを求めなければならない。複雑なケースでは、期間を15営業日延長することができる。
第十二条 网络安全审查工作机制成员单位和相关部门应当自收到审查结论建议之日起15个工作日内书面回复意见。 第12条 ネットワークセキュリティ審査室のメンバーおよび関連部門は、審査結論案の受領日から15営業日以内に、コメントに対して書面で回答しなければならない。
网络安全审查工作机制成员单位、相关部门意见一致的,网络安全审查办公室以书面形式将审查结论通知当事人;意见不一致的,按照特别审查程序处理,并通知当事人。 ネットワークセキュリティ審査室のメンバーおよび関連部門の意見が一致している場合、ネットワークセキュリティ審査室は、審査の結論を書面で関係者に通知する。意見が一致していない場合、審査は特別な審査手順に従って処理され、関係者に通知されるものとする。
第十三条 按照特别审查程序处理的,网络安全审查办公室应当听取相关单位和部门意见,进行深入分析评估,再次形成审查结论建议,并征求网络安全审查工作机制成员单位和相关部门意见,按程序报中央网络安全和信息化委员会批准后,形成审查结论并书面通知当事人。 第13条 ネットワークセキュリティ審査室は、特別審査の手続きに基づき、関連するユニットや部門の意見を聴取し、綿密な分析・評価を行い、再度審査結論案を策定し、ネットワークセキュリティ審査室のメンバーや関連部門の意見を求め、中央ネットワークセキュリティ・情報化委員会に報告し、手続きに基づいて承認を得た後、審査結論を策定し、書面で当事者に通知する。
第十四条 特别审查程序一般应当在90个工作日内完成,情况复杂的可以延长。 第14条 特別審査手続は、通常、90営業日以内に完了するものとするが、複雑な場合には延長することができる。
第十五条 网络安全审查办公室要求提供补充材料的,当事人、产品和服务提供者应当予以配合。提交补充材料的时间不计入审查时间。 第15条 ネットワークセキュリティ審査室が追加資料を要求する場合、当事者、製品およびサービス提供者は協力するものとする。 補足資料を提出する時間は、審査時間の一部としてカウントされない。
第十六条 网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序报中央网络安全和信息化委员会批准后,依照本办法的规定进行审查。 第16条 ネットワークセキュリティ審査室のメンバーが国家安全保障に影響を与える、または影響を与える可能性があると考えるネットワーク製品・サービスおよびデータ処理活動は、ネットワークセキュリティ審査室が中央ネットワークセキュリティ・情報化委員会に報告し、本弁法の規定に従って承認を求め、審査を受けるものとする。
为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。 リスクを防止するために、関係者はネットワークセキュリティレビューの要求事項に従って、レビュー中のリスクを防止・軽減するための対策を講じるものとする。
第十七条 参与网络安全审查的相关机构和人员应当严格保护知识产权,对在审查工作中知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息承担保密义务;未经信息提供方同意,不得向无关方披露或者用于审查以外的目的。 第17条 ネットワークセキュリティ審査に携わる関係機関および担当者は、商業秘密、個人情報、当事者が提出した未公開資料、製品・サービス提供者、その他審査で知り得た未公開情報について、知的財産権を厳格に保護し、守秘義務を負うものとし、情報提供者の同意を得ずに無関係の者に開示したり、審査以外の目的で使用したりしてはならない。
第十八条 当事人或者网络产品和服务提供者认为审查人员有失客观公正,或者未能对审查工作中知悉的信息承担保密义务的,可以向网络安全审查办公室或者有关部门举报。 第18条 ネットワーク製品・サービスの当事者または提供者は、審査員が客観的かつ公平でないと判断した場合、または審査で知り得た情報に関して守秘義務を負っていないと判断した場合、ネットワークセキュリティ審査室または関連部門に報告することができる。
第十九条 当事人应当督促产品和服务提供者履行网络安全审查中作出的承诺。 第19条 当事者は、製品およびサービス提供者に対し、ネットワークセキュリティレビューで行われたコミットメントを履行するよう促すものとする。
网络安全审查办公室通过接受举报等形式加强事前事中事后监督。 ネットワークセキュリティ審査室は、報告書等を受け付けることにより、事前、中間、事後の監督を強化する。
第二十条 当事人违反本办法规定的,依照《中华人民共和国网络安全法》、《中华人民共和国数据安全法》的规定处理。 第20条 当事者がこれらの措置の規定に違反した場合、中華人民共和国ネットワークセキュリティ法および中華人民共和国データセキュリティ法の規定に基づいて対処する。
第二十一条 本办法所称网络产品和服务主要指核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件、网络安全设备、云计算服务,以及其他对关键信息基础设施安全、网络安全和数据安全有重要影响的网络产品和服务。 第21条 本弁法でいうネットワーク製品・サービスとは、主に基幹ネットワーク機器、重要通信製品、高性能コンピュータ・サーバ、大容量記憶装置、大容量データベース・アプリケーションソフトウェア、ネットワークセキュリティ機器、クラウドコンピューティングサービスなど、重要な情報インフラのセキュリティ、ネットワークセキュリティ、データセキュリティに重要な影響を与えるネットワーク製品・サービスを指すものとする。
第二十二条 涉及国家秘密信息的,依照国家有关保密规定执行。 第22条 国家機密情報が関係する場合は、関連する国家機密規定に基づいて実施するものとする。
国家对数据安全审查、外商投资安全审查另有规定的,应当同时符合其规定。 国がデータセキュリティ審査や外資セキュリティ審査に関する他の規定を設けている場合は、その規定にも従うものとする。
第二十三条 本办法自2022年2月15日起施行。2020年4月13日公布的《网络安全审查办法》(国家互联网信息办公室、国家发展和改革委员会、工业和信息化部、公安部、国家安全部、财政部、商务部、中国人民银行、国家市场监督管理总局、国家广播电视总局、国家保密局、国家密码管理局令第6号)同时废止。 第23条 本弁法は2022年2月15日に発効する。2020年4月13日に公布された「ネットワークセキュリティ審査弁法」(国家サイバースペース管理局、国家発展改革委員会、工業・情報技術部、公安部、国家安全部、財政部、商務部、中国人民銀行、国家市場監督管理総局、国家ラジオ・テレビ管理局、国家秘密局、国家 (国家暗号管理局の命令第6号)も同時に廃止される。

 

1_20210612030101


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

これ、前のバージョンです。。。

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

 

| | Comments (0)

欧州データ保護委員会 (EDPB) ガイドライン01/2021「個人情報漏洩の通知に関する事例」Version 2.0

こんにちは、丸山満彦です。

欧州データ保護委員会 (EDPB) が2021年12月14日に採択されたガイドライン01/2021「個人情報漏洩の通知に関する事例」Version 2.0を公開していますね。。。

このガイドラインは、GDPR施行後の監督官庁が得た経験を基に、第29条作業部会 (WP29) の「規則2016/679に基づく個人データ侵害通知に関するガイドライン」(WP250)を補完するものですね。。。

  • データ管理者がデータ侵害にどのように対処するか
  • リスク評価の際にどのような要因を考慮すべきか

を決定する際に役立つような、事例に基づく実践的なガイダンスとなっていますね。。。

このガイドラインでは、様々なデータ侵害例を、

  • 事前のセキュリティ対策の例
  • 侵害をどのように評価するか、

と共に、

  • 緩和策
  • GDPRに基づく報告義務

の両方の観点から、侵害にどのように対応するかについて例示していますね。

事例は、次の6つのカテゴリーに、

  • ランサムウェア
  • データ流出攻撃
  • 内部の人的リスク要因
  • デバイスおよび紙文書の紛失または盗難
  • 郵送ミス
  • その他の事例 - ソーシャルエンジニアリング

18の事例を紹介していますね。。。

 

European Data Protection Board: EDPB

・2022.01.03 Guidelines 01/2021 on Examples regarding Personal Data Breach Notification

・[PDF

20220104-232957

 

1 INTRODUCTION 1 初めに
2 RANSOMWARE 2 ランサムウェア
2.1 CASE No. 01: Ransomware with proper backup and without exfiltration 2.1 事例01:適切なバックアップがあり、流出しないランサムウェア
2.2 CASE No. 02: Ransomware without proper backup 2.2 事例02:適切なバックアップがないランサムウェア
2.3 CASE No. 03: Ransomware with backup and without exfiltration in a hospital 2.3 事例03:病院内でのバックアップあり、流出なしのランサムウェア
2.4 CASE No. 04: Ransomware without backup and with exfiltration 2.4 事例04:バックアップなし、流出ありのランサムウェア
2.5 Organizational and technical measures for preventing / mitigating the impacts of ransomware attacks 2.5 ランサムウェア攻撃の影響を防止/緩和するための組織的/技術的対策
3 Data Exfiltration ATTACKS 3 データ流出攻撃
3.1 CASE No. 05: Exfiltration of job application data from a website 3.1 事例05:ウェブサイトからの求人応募データの流出
3.2 CASE No. 06: Exfiltration of hashed password from a website 3.2 事例06:Web サイトからのハッシュ化されたパスワードの流出
3.3 CASE No. 07: Credential stuffing attack on a banking website 3.3 事例07:銀行サイトへのクレデンシャルスタッフィング攻撃
3.4 Organizational and technical measures for preventing / mitigating the impacts of hacker attacks 3.4 ハッカー攻撃の影響を防止/緩和するための組織的/技術的対策
4 INTERNAL HUMAN RISK SOURCE 4 内部の人的リスク要因
4.1 CASE No. 08: Exfiltration of business data by an employee 4.1 事例08:従業員による業務データの流出
4.2 CASE No. 09: Accidental transmission of data to a trusted third party 4.2 事例09:信頼できる第三者への誤ったデータ送信
4.3 Organizational and technical measures for preventing / mitigating the impacts of internal human risk sources
4.3 内部の人的リスク要因の影響を防止/緩和するための組織的/技術的対策
5 LOST OR STOLEN DEVICES AND PAPER DOCUMENTS 5 デバイスおよび紙文書の紛失または盗難
5.1 CASE No. 10: Stolen material storing encrypted personal data 5.1 事例10:暗号化された個人データを保存した資料の盗難
5.2 CASE No. 11: Stolen material storing non-encrypted personal data 5.2 事例11:暗号化されていない個人情報を保管している盗難物
5.3 CASE No. 12: Stolen paper files with sensitive data 5.3 事例12:センシティブなデータを含む紙のファイルの盗難
5.4 Organizational and technical measures for preventing / mitigating the impacts of loss or theft of devices 5.4 デバイスの紛失または盗難の影響を防止/軽減するための組織的/技術的措置
6 MISPOSTAL 6 郵送ミス
6.1 CASE No. 13: Postal mail mistake 6.1 事例13:郵便物の間違い
6.2 CASE No. 14: Highly confidential personal data sent by mail by mistake 6.2 事例14:ミスによる機密性の高い個人情報の送信

6.3 CASE No. 15: Personal data sent by mail by mistake 6.3 事例15:ミスによる個人情報の送信
6.4 CASE No. 16: Postal mail mistake 6.4 事例16:郵便物の誤送信
6.5 Organizational and technical measures for preventing / mitigating the impacts of mispostal 6.5 誤配の影響を防止/緩和するための組織的/技術的対策
7 Other Cases – Social Engineering 7 その他の事例 - ソーシャルエンジニアリング
7.1 CASE No. 17: Identity theft 7.1 事例17 - ID窃盗
7.2 CASE No. 18: Email exfiltration 7.2 事例18:電子メール漏えい

 

| | Comments (0)

2022.01.04

NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項

こんにちは、丸山満彦です。

NISTが NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.01.03 NISTIR 8389 (Draft) Cybersecurity Considerations for Open Banking Technology and Emerging Standards

 

NISTIR 8389 (Draft) Cybersecurity Considerations for Open Banking Technology and Emerging Standards NISTIR 8389(ドラフト)オープンバンキング技術と先端標準に関するサイバーセキュリティ上の考慮事項
Announcement 発表内容
“Open banking” (OB) refers to a new financial ecosystem that provides more choices to individuals and small and mid-size businesses concerning the movement of their money, as well as information between financial institutions. Open banking is already being used in several countries around the world, however, it is yet to be adopted in the United States. Anytime a system becomes more transparent, a potential for abuse occurs, and for open banking, that would be at the API level. 「オープンバンキング(OB)」とは、個人や中小企業が金融機関間での資金や情報の移動について、より多くの選択肢を提供する新しい金融エコシステムのことです。オープンバンキングは、すでに世界のいくつかの国で採用されていますが、米国ではまだ採用されていません。システムの透明性が高まると、悪用される可能性が出てきますが、オープンバンキングの場合は、APIレベルでの悪用が考えられます。
This report contains a definition and description of open banking, its activities, enablers, and cybersecurity, and privacy challenges. This report is not intended to be a promotion of OB within the U.S but rather a factual description of the technology and how various countries have implemented it. Any proposal of a specific API that would be compatible across heterogeneous systems was purposely avoided in this report. 本報告書では、オープンバンキングの定義と説明、その活動、実現要因、サイバーセキュリティとプライバシーの課題について述べています。本報告書は、米国内でのOBの推進を目的としたものではなく、技術の事実関係や各国での導入状況を説明するものです。異種システム間で互換性のある特定のAPIを提案することは、本報告書では意図的に避けている。
Abstract 概要
“Open banking” refers to a new financial ecosystem that is governed by specific security profiles, application interfaces, and guidelines with the objective of improving customer choices and experiences. Open banking ecosystems aim to provide more choices to individuals and small and mid-size businesses concerning the movement of their money, as well as information between financial institutions. Open baking also aims to make it easier for new financial service providers to enter the financial business sector. This report contains a definition and description of open banking, its activities, enablers, and cybersecurity and privacy challenges. Open banking use cases are also presented. 「オープンバンキング」とは、顧客の選択肢と体験を向上させることを目的とした、特定のセキュリティプロファイル、アプリケーションインターフェース、ガイドラインによって管理される新しい金融エコシステムのことです。オープンバンキングのエコシステムは、個人や中小企業が金融機関間でのお金や情報の移動に関して、より多くの選択肢を提供することを目的としています。また、オープンバンキングは、新しい金融サービスプロバイダーが金融ビジネス分野に参入しやすくすることも目的としています。本報告書では、オープンバンキングの定義と説明、その活動内容、実現要因、サイバーセキュリティとプライバシーに関する課題などを紹介しています。また、オープンバンキングのユースケースも紹介しています。

・[PDF] NISTIR 8389 (Draft)

20220104-80931

1 Introduction 1 はじめに
1.1 Fundamental Banking Functions Provided by Financial Institutions 1.1 金融機関が提供する基本的な銀行機能
1.2 Multiple Financial Institutions 1.2 複数の金融機関
1.3 Open Banking Defined 1.3 オープンバンキングの定義
2 Use Cases 2 ユースケース
3 Differences from Conventional e-Banking and Peer-To-Peer Financial Platforms 3 従来のe-バンキングやPeer-To-Peer金融プラットフォームとの違い
4 Survey of Open Banking Approaches Around the World 4 世界各国のオープンバンキングの取り組みに関する調査
4.1 European Union and United Kingdom 4.1 欧州連合と英国
4.1.1 Development of open-banking standards and API specifications 4.1.1 オープンバンキングの標準とAPI仕様の策定
4.1.2 From Open Banking to “Open Finance” 4.1.2 オープンバンキングから "オープンファイナンス "へ
4.1.3 The Impact of Privacy and Cybersecurity Considerations 4.1.3 プライバシーとサイバーセキュリティへの配慮の影響
4.2 Australia 4.2 オーストラリア
4.3 India 4.3 インド
4.4 United States 4.4 米国
4.5 Other Countries 4.5 その他の国々
5 Positive Outcomes and Risks 5 肯定的な結果とリスク
6 Software and Security Practices in Banking-Related Areas 6 銀行関連分野におけるソフトウェアとセキュリティの実務
7 API Security: Widely Deployed Approaches and Challenges 7 APIセキュリティ:広く普及しているアプローチと課題
7.1 Intrabank APIs 7.1 銀行内API
7.2 Interbank APIs 7.2 銀行間API
7.3 API Security 7.3 APIセキュリティ
8 Privacy Relations to NIST and Other Standard Frameworks 8 NISTや他の標準フレームワークとプライバシーの関係
9 Conclusion 9 結論
References 参考文献
List of Appendices 附属書リスト
Appendix A— Acronyms 附属書A - 頭字語
Appendix B— Glossary 附属書B - 用語集

 

・[DOCX] 仮訳

 

| | Comments (0)

内閣官房 経済安全保障法制に関する有識者会議 第2回

こんにちは、丸山満彦です。

経済安全保障法制に関する有識者会の第2回の資料が公表されていますね。。。

内閣官房 - 経済安全保障法制に関する有識者会

第2回の内容に行く前に第1回の議事要旨

・[PDF] 議事要旨

 

第2回の資料です。。。

第1回 サプライチェーン強靭化 基幹インフラ 官民技術協力 特許非公開
実施日 2021.12.08 2021.12.10 2021.12.09 2021.12.06
資料 資料 1 資料 4 資料 7 資料10
議事要旨 資料 2 資料 5 資料 8 資料11
議事のポイント 資料 3 資料 6 資料 9 資料12

 

Fig1_20220103171301

 

議事のポイント...


資料 3:第1回サプライチェーンの強靭化に関する検討会合 議事のポイント

①サプライチェーン強靭化の必要性について

サプライチェーンの脆弱性が日本の産業分野の広範な産業分野に影響を及ぼすことが、今回のコロナ禍で明らかになった。我が国としても有効な対策を考えていく必要。

資源がない島国として、資源や素材をどう確保していくかを検討していく必要。

②政府がサプライチェーンに関与すべき物資の基本的な考え方について

最先端産業を対象とするべき。日本の強みを伸ばすような支援措置を講じていく必要。

代替性の有無などを考慮しつつ、エコノミック・ステイトクラフトの対象になって困るものは何かという観点で検討したらどうか。特定国への依存度をもとに抽出する方法も考えられる。

偏在性から経済的に武器として利用されてしまうような機微な技術はまず大切と考える。

国民の生命に関わるものと未来の産業力等に影響を及ぼすものでは、強靭化の対象とする判断基準が異なるため、それぞれに応じた議論が必要。

需要サイドにおいて代替品がなく、物資価格が上がっても代替供給が叶わない物資を選択していくのではないか。

川上の事業者が国内生産から撤退しているのに気づかなかった事例も見られる。リスクマッピングを作成して検討を進めるべき。

③サプライチェーン強靭化のための政策的な措置・留意点について

迅速な決定を下せるよう機動的に措置を講じていくことができる制度設計にすべき。

日本の強みを伸ばすような支援措置を講じ、サプライチェーンの川上を抑えられるような支援を進めるべきではないか。

規制的なものではなく、企業の強靭化策をインセンティブ等で誘導・後押しする措置であるべき。

物資によって置かれた状況は異なるため、措置も一様ではないことに留意する必要。

コロナ禍においてサプライチェーンの把握が十分できない事象が明らかになった。政府の調査権限は必要ではないか。

サプライチェーンの強化は重要だが、WTO協定との関係を整理したうえで、制度の建付けはよく検討すべき。

サプライチェーンのボトルネックを可視化をするべき。その上で代替ネットワークをどうやって作るか等戦略的な方針を作ることが重要。

 

-----

資料 6:第1回基幹インフラに関する検討会合 議事のポイント

①新しい仕組みの必要性/②どのような仕組みが必要か

安全保障の観点から、基幹インフラのサービス提供へのリスクに対処できるよう、設備や維持管理の委託の状況を政府が把握できる新しい仕組みが必要。

設備へのサイバー攻撃を防止するには、内部に脆弱性を仕込まれ、被害が出てからでは遅いため、設備の導入の際、事前に供給者などに問題がないか確認するという考え方が重要。アップデートや維持管理に関与する委託先の確認も検討すべき。

設備のサプライチェーンを包括的に見る必要がある。

他方、事業者ごとに分散的に対応をしても時間がかかるので、民間の努力に加えて、国が包括的に確認できる仕組みが必要。

事業者にとっての予見可能性の観点からは、導入後に政府が問題を指摘する仕組みではなく、事前審査を行う仕組みとせざるを得ない。

③経済活動の自由と国家及び国民の安全の両立

国家・国民の安全と事業者の経済活動の自由との間でバランスが必要。

規制対象となる事業、事業者、設備等について対象を絞ることが重要。

諸外国の審査基準も参考とし、審査基準を可能な限り明確にすべき。

事業者の事業判断が遅れないよう、政府における審査は可能な限り速やかに行うべき。

我が国だけでこのような取組みを進めるのではなく、国際的な動向も見定めるべき。

国際法との整合性が必要。

④守るべき基幹インフラ事業の考え方/⑤守るべき基幹インフラ事業者の考え方

安定供給が脅かされた場合に、国民の生存に支障をきたすものや、国民生活や経済活動に広範囲・大規模な混乱が生ずるもの等に対象事業を限定すべき。

対象事業者は、規模等により限定すべきであり、特に中小企業に規制を課すのは慎重になるべき。

対象事業者は絞ることを前提としつつ、ネットワーク全体への影響や競争の公正性も念頭に検討することが必要。

 

-----

資料 9:第1回官民技術協力に関する検討会合 議事のポイント

①先端技術の研究開発への投資

優位性を高めて不可欠性につなげていくためには、分野を選び集中投資することが必要。

科学技術は国がリスクを取ることが当たり前のもの。特に量子をはじめ世界が一変する技術が生まれ、諸外国がしのぎを削っている中で、国として総力を挙げて開発しなければならない。

従来は大企業が基礎研究も含めた先端技術の研究開発を行い日本の産業を支えていたが、今はこうした企業が減っている。理研や産総研、大学で出てきたイノベーションの種を産業につなぐメカニズムが必要。

②先端技術を効果的に守りつつ育成する仕組み

先端技術の実装を進める意味では、警察、海保、防衛といった政府部門の具体的なニーズを研究者と結び付けていくことが非常に重要。

産学官を含めて先端技術を開発する会議体が必要ではないか。その際、何が機微なのかや、研究開発の進め方、オープン・クローズを、参加者が納得して決める運営が必要であり、安心して情報提供できることが重要。

経済安全保障の目的に特化したプログラム以外にも、経済安全保障的な視点を入れていく方法もあるのではないか。

日本のスタートアップはセキュリティが弱い部分がある。少数ではあるが経済安全保障に影響がある貴重なデータを持っているスタートアップがあり、セキュリティを支援する仕組みが必要。

日本では、基礎的な領域から進んでいく段階で、海外、特に米国との連携が欠けている。今は米国に日本と組みたい意向があるので、アメリカンスタンダードで仕組みを作るべき。米国の一流大学が共同研究できない制度だと意味がない。

③育成すべき先端技術を見出すための仕組み

シンクタンクの分析・情報を踏まえて政府が戦略を立て、それに合った研究開発の仕組みを実現していくことが重要。

優位性がある先端科学技術領域を把握し、勝ち筋となる領域を設定するために、専門家を集める必要。同時に、プロフェッショナルな人材の育成も重要。法制で、人材育成も含めたシンクタンクの在り方を盛り込んでいただきたい。

新しい才能を新しい分野で育成していくという観点で、シンクタンクが優秀な科学者のキャリアパスの一つとしての立場を確立していくことが重要。

 

-----

資料12:第1回特許非公開に関する検討会合 議事のポイント

①制度新設の必要性・制度の枠組み

特許非公開制度は早期に導入すべき。理由としては、我が国の特許制度において出願人が公開に懸念を持つような機微技術であっても公開を促す制度となってしまっていること等。

非公開制度を導入するのであれば、秘密保持義務や外国出願制限もセットで検討する必要がある。

イノベーションの促進との調和が課題。海外で特許を先に取られてしまい、かえって経済安全保障の武器を失ってしまうおそれもある。

②対象にすべき発明のイメージ

非公開の対象とすべき発明は、いわゆる国防上の機微性が極めて高いものとすべき。

非公開になり得る特許の範囲や、外国出願が制限される技術の分野があらかじめ特定されていることが重要。他方、要件を細目化しすぎると政府の評価能力をテストする悪意の出願が行われるおそれがあるため、バランスが課題。

対象となる技術分野は絞り込む必要がある。シングルユース技術であれば当事者もその機微性を認識している。他方、デュアルユース技術全体に広く網を掛けることは非現実的であり、対象に含めるにしても限定すべき。小さく生んで育てるという発想が必要。

③機微発明の選定プロセスの在り方/④選定後の手続と漏えい防止措置

まず特許庁が一次審査を行い、その後、別の機関が機微性を審査するという2段階の審査の形にならざるを得ない。

二次審査の主体として継続的に見ていくことのできる組織・機関を設けることを検討すべき。

審査に要する期間は短い方がよいが、一次審査で対象が絞られており予見性があるのであれば、10月程度までは許容可能ではないか。

出願者の意見陳述の機会、出願者の意向を踏まえた上での手続の進行を行う仕組みが必要ではないか。

ひとたび非公開の指定がされた以上、そのプロセスから離脱を認めることは考えづらい。

技術は日進月歩であり、指定継続の必要性については、随時見直しが行われるべき。

⑤外国出願制限の在り方/⑥補償の在り方

制度を導入する以上、外国出願の制限はやむを得ない。前提として対象を絞る必要がある。

対象となる発明の要件を予見可能な形で規定した上で、場合によっては政府に相談できる制度を設けるべきではないか。

損失補償は必要。具体的にどこまで補償するかは今後議論すべき。

 


 

参考

● まるちゃんの情報セキュリティきまぐれ日記

2021.11.29 内閣官房 経済安全保障法制に関する有識者会

 

 

| | Comments (0)

2022.01.03

中国 全国人民大会 個人情報保護法についての記事

こんにちは、丸山満彦です。

全国人民大会のウェブページに「個人情報保護のための法治国家の堤防づくり」と題した法治日报?の記事が出ていました。。。

全国人民大会

2022.12.31 构建起个人信息保护法治堤坝 個人情報保護のための法治国家の堤防づくり

 

中国の個人情報保護法の執行がどのように行われていくのか、気になるところではありますね。。。

 

1_20210612030101


 

まるちゃんの情報セキュリティきまぐれ日記

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.07.06 中国のデータセキュリティ法案

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

 

Continue reading "中国 全国人民大会 個人情報保護法についての記事"

| | Comments (0)

2022.01.02

ノルウェーの新聞社がランサム攻撃?を受けて紙の新聞発行を停止→発行再開

こんにちは、丸山満彦です。

昨年の年末28日にノルウェーの新聞社であるAmediaがサイバー攻撃(ランサム攻撃のようですね。ransomware attackという言葉は出てきていませんが、、、)を受け、紙の新聞の発行ができなくなりましたが、31日には通常通り発行できるようになったようですね。。。

今回の場合は、オンラインのニュース配信はできていたようなので、メディアとしての問題よりも、広告ビジネスとしての問題なのかもしれませんね。。。

紙の新聞の発行は、代替手段を使ってということですね。。。

Amedia

・2021.12.31 Amedias papiraviser tilbake hos abonnentene 

Amedias papiraviser tilbake hos abonnentene  アメディア新聞社は購読者を取り戻しました
Amedias papiraviser er fredag 31. desember tilbake hos abonnentene.  アメディア新聞社は12月31日(金)に購読者を取り戻しました。 
Ved hjelp av en alternativ løsning for produksjon, kom Amedias papiraviser ut til abonnentene fredag 31. desember. Også fådagers-avisene, som hadde utgivelse onsdag eller torsdag denne uka, kom ut til abonnentene på årets siste dag. アメディア新聞社は、生産の代替手段により、12月31日(金)に購読者に新聞を届けることができました。また、今週の水曜か木曜に発行されていたfådagers新聞は、年末の最終日に購読者に配布されました。
Enorm snuoperasjon 巨大なスヌープラジョン
Natt til tirsdag 28. desember ble flere av Amedias sentrale datasystemer satt ut av drift etter et alvorlig dataangrep. Produksjonen av Amedias nettaviser har gått som normalt, men ingen papiraviser kom ut onsdag, og 13 papiraviser ble publisert torsdag. 12月28日(火)の夜、深刻なデータ侵害が発生し、アメディア社の中央データシステムのいくつかが使用不能になりました。アメディア社のネット新聞の制作は通常通り行われていますが、水曜日には紙の新聞が発行されず、木曜日には13の紙の新聞が発行されました。
– I møte med et så alvorlig dataangrep har hele vår organisasjon i fellesskap gått den ekstra milen for å få til denne enorme snuoperasjonen. I dag har vi gitt ut i underkant av 70 aviser eid av Amedia og våre samarbeidspartnere. Det var med en stor innsats i alle ledd kom vi i mål. Sammen har vi sørget for at Amedias fredagsutgaver av papiraviser kom ut i dag, 31. desember, inkludert fådagers-avisene som hadde utgivelse onsdag eller torsdag denne uka, sier John Kvadsheim, konserndirektør for trykk og distribusjon i Amedia. ・このような深刻なデータ侵害に直面し、私たちは組織全体で連携して、大規模なオペレーションを実現するためにいつも以上の努力をしました。現在ではアメディア社とパートナー企業が所有する70紙弱の新聞を発行しています。社員全員の努力の結果、目標を達成することができました。アメディア社の印刷・流通部門のマネージング・ディレクターであるJohn Kvadsheim氏は,「私たちの協力により今週の水曜または木曜に発行された4回分の新聞を含め、アメディア社の紙の新聞の金曜版を本日12月31日にきっちりと発行しました。
I tillegg til Amedias egne ansatte ønsker Kvadsheim å takke Polaris og Schibsted for tett og godt samarbeid. アメディア社の社員に加えて、ポラリス社とシブステッド社の緊密で良好な協力関係にKvadsheim氏は感謝したいと考えています。
– Polaris og Schibsted har virkelig stilt opp for oss, og bidratt på best tenkelig måte. Det er vi takknemlig for. ・ポラリス社とシブステッド社は本当に私たちのために立ち上がってくれ、可能な限り最善の方法で貢献してくれました。それはありがたいことです。
Kun to av Amedias aviser valgte selv torsdag formiddag å avlyse oppsatt utgave på grunn av tidlig deadline. アムステルダムの新聞のうち2紙だけが、木曜日の朝、早い締め切りのために新聞を中止しました。
Tid før situasjonen normaliseres 状況が正常化するまでの時間
Amedia har siden 28. desember løpende iverksatt tiltak for å gjenopprette produksjonen av papiraviser, og parallelt kartlagt hvilke persondata som er omfattet av dataangrepet. Det jobbes også systematisk med å få gjenopprettet de systemene som er berørt av angrepene. アメディア社は12月28日以降、紙の新聞の生産を再開するための対策を講じており、並行してデータ流出の影響を受けた個人情報の特定を行っています。また、攻撃を受けたシステムの復旧にも組織的に取り組んでいます。
Amedia er forberedt på at det vil ta lang tid før situasjonen er tilbake til normalen, og at både papiravisproduksjon og andre funksjoner må skje via alternative løsninger i den perioden. アメディア社では、元の状態に戻るまでには長い時間がかかることを覚悟しており、その間、紙の新聞制作などは代替手段で対応しなければならないと考えています。
Amedia anmeldte dataangrepet til Oslo politidistrikt tirsdag 28. desember, og meldte nødvendig informasjon om angrepet til Datatilsynet onsdag 29. desember. アメディア社は、12月28日(火)にオスロ警察署にデータ漏洩を報告し、12月29日(水)にデンマークデータ保護局に漏洩に関する必要な情報を報告しました。

 

・2021.12.30 Amedia regner med å få ut alle aviser

Amedia regner med å få ut alle aviser アメディア社は全ての新聞を発行したいと思っている
Amedia jobber videre med å håndtere konsekvensene av dataangrepet som rammet natt til tirsdag 28. desember. Amedia har det siste døgnet løpende iverksatt tiltak for å gjenopprette produksjonen av papiraviser, og parallelt kartlagt hvilke persondata som er omfattet av dataangrepet. Det jobbes nå hardt med å få gjenopprettet de systemene som er berørt av angrepene.  アメディア社は、12月28日(火)の前夜に発生したコンピューター攻撃の結果への対処に引き続き取り組んでいます。 過去24時間にわたって、アメディア社は紙の新聞の生産を回復するための対策を継続的に実施し、並行してどの個人データがデータ攻撃の対象となるかをマッピングしました。 現在、攻撃の影響を受けたシステムの復旧に努めています。
Papiravisene på vei tilbake til abonnentene 購読者が戻ってきた新聞社
Amedia fikk i går kveld ut 13 av våre egne aviser og partneraviser. Årsaken til at man ikke klarte flere var at det tok lenger tid enn antatt å få opp en ny plattform for den redaksjonelle printproduksjonen. Produksjonen  ble operativ fra klokka 20 onsdag kveld, men prosessen viste seg  å ta lenger tid enn forutsatt. Enkelte  aviser kjørte på alternative løsninger slik at de kunne trykkes og distribueres. Alle eksterne aviser har blitt produsert, primært gjennom et godt samarbeid med både Schibsted og Polaris. 昨夜、アメディアは私たち自身の新聞とパートナー新聞を13紙発行しました。 これ以上のことができない理由は、編集用の印刷物を作成するための新しいプラットフォームを入手するのに予想以上に時間がかかったためです。 生産は水曜日の夜の午後8時から稼働しましたが、プロセスには予想よりも時間がかかることが判明しました。 一部の新聞は、印刷して配布できるように代替ソリューションを実行していました。 すべての外部新聞は、主にシブステッド社とポラリス社との良好なコラボレーションを通じて発行されました。
Amedia må ta et forbehold, men slik det ser ut nå, har vi lyktes med  å etablere et produksjonsrigg som gjør at vi legger til grunn at vi får gitt ut alle aviser som planlagt til i morgen. Det gjelder også noen aviser som hadde utgivelsesdato i går, men som da ikke kom ut.  アメディア社は予約が必要ですが、今のところ、明日予定通りにすべての新聞を発行できると想定して、制作リグの設置に成功しました。 これは、昨日発行日であるにもかかわらず発行されなかった一部の新聞にも当てはまります。
Øvrige forhold その他の条件
Produksjonen av nettavis går som normalt, men systemer for publisering av papiravis, annonser og abonnementshåndtering fungerer ikke som normalt.  オンライン新聞の制作は通常通り行われていますが、紙の新聞を発行するシステム、広告、購読管理は通常どおり機能していません。
Dataangrepet mot Amedia omfattet også administrasjonsverktøy der persondata om ansatte blir behandlet og arkivert. Forholdet ble anmeldt til Oslo politidistrikt tirsdag kveld, og meldt Datatilsynet onsdag kveld. I løpet av dagen i dag har alle våre ansatte mottatt informasjon. Denne informasjonen inkluderte også konkrete råd på generelt grunnlag om hva ansatte selv kan gjøre for å begrense risikoen for at persondata eventuelt kan misbrukes, gitt at de faktisk er på avveie.  アメディア社に対するデータ攻撃には、従業員に関する個人データを処理、アーカイブするための管理ツールも含まれます。 この問題は火曜日の夜にオスロ警察署に報告され、水曜日の夜にデータ検査官に報告されました。 今日の日中、すべての従業員が情報を受け取りました。 この情報には、個人データが実際に誤っている場合に、個人データが悪用されるリスクを制限するために従業員自身ができることに関する一般的なアドバイスも含まれています。
Per nå har Amedia ikke holdepunkter for å si hvorvidt de persondata som er omfattet av angrepet faktisk er tatt ut og spredt eller offentliggjort.  今時点では、攻撃の対象となった個人データが実際に持ち出されて拡散したり、公開されたりしたかどうかについて、アメディア社は情報を持っていません。 
Amedia har ikke hatt noen form for kontakt med de kriminelle aktørene som har utført dataangrepet. Det er uaktuelt for Amedia å gå i dialog med disse.  アメディア社は、データ攻撃を行った犯罪者とはいかなる形でも接触していません。アメディア社は彼らと対話する必要があるとは考えていません。 
Spørsmålet om hackernes identitet og øvrige spørsmål knyttet til etterforskning, håndteres av politiet. ハッカーの身元に関する質問や、その他の捜査に関する質問は、警察が担当します。

 

・2021.12.29 Dataangrepet: Det vil ta tid før situasjonen er normal

Dataangrepet: Det vil ta tid før situasjonen er normal データ攻撃:元の状態に戻るまでに時間がかかります
Dataangrepet mot Amedia tirsdag 28. desember innebærer at de sentrale informasjonssystemene fortsatt er kryptert og ute av drift. Det jobbes nå med å etablere alternative løsninger for produksjon av papiraviser og for tilgang til informasjonssystemene. Alternativ produksjon av papiravisen torsdag vil gjelde for et 20-talls aviser, mens det ennå ikke er mulig for andre aviser å få ut avisen. Det jobbes med å gjøre løsningen tilgjengelig for alle fra og med fredag. 12月28日火曜日のアメディア社に対するコンピューター攻撃の結果、中央情報システムはまだ暗号化されており、正常に機能していません。 現在、紙の新聞の作成と情報システムへのアクセスのための代替ソリューションを確立するための努力がなされています。 木曜日の紙の新聞の代替生産は約20の新聞に適用されますが、他の新聞が新聞を出すことはまだ不可能です。 金曜日からすべての人がソリューションを利用できるようにするための努力がなされています。
Amedia gir informasjon om situasjonen til alle ansatte på Workplace, og har onsdag hatt en egen pressebrief om situasjonen. Dette vil også bli gitt torsdag.  アメディア社は、職場の全社員に状況を伝え、水曜日には独自のプレスブリーフィングを行いました。これは木曜日にも行われます。 
Amedia levert politianmeldelse tirsdag ettermiddag og vil i løpet av onsdagen levere avviksmelding til Datatilsynet. Det er etablert krisestab som håndterer situasjonen som er oppstått. De viktigste prioritetene nå er er å få utgitt papiraviser og få en full oversikt over de dataene som kan være på avveie. アメディア社は火曜日の午後に警察の報告書を提出し、水曜日にノルウェーのデータ保護局に不適合報告書を提出します。 発生した状況に対処するために危機管理事務局が設立されました。 現在最も重要な優先事項は、紙の新聞を発行し、失われる可能性のあるデータの完全な概要を取得することです。
Amedia er forberedt på at det vil ta lang tid før situasjonen er tilbake til det normale, og at både papiravisproduksjon og andre funksjoner må skje via alternative løsninger i den perioden. Ettersom de fleste nå jobber via mobil, er det inngått avtale med Telenor om at alle får utvidet mobildata til 100 GB, slik at dette ikke vil representere noe praktisk problem i arbeidssituasjonen fremover. アメディア社は、状況が正常に戻るまでに長い時間がかかり、その期間中に紙の新聞の作成とその他の機能の両方を代替ソリューションを介して実行する必要があると考え、その準備を進めています。 現在、ほとんどの人がモバイル経由で作業しているため、Telenor社との間で、モバイルデータを100 GBに拡張する契約を締結しています。これにより、将来の作業状況で実際的な問題が発生することはありません。
Spørsmål og svar 質問と回答
Finnes det ikke backup løsninger som kan benyttes for å få nødvendige tilganger tilbake? 必要なアクセスを取り戻すためのバックアップソリューションはないのでしょうか?
Jo, det finnes backuper. Vi ser på hvordan vi kan ta disse i bruk. Det arbeidet vil ta tid, da vi må være sikre på at det disse løsningene ikke også kan være kompromittert eller at man ved oppstart av disse ikke starter noe script som angriper på nytt. Vi har engasjert eksperter til å hjelpe oss på dette området for å ivareta sikkerheten til slike løsninger. Vi vil gi ny informasjon om dette, så snart vi er klare. はい、バックアップがあります。 これらをどのように使用できるかを検討しています。 これらのソリューションも危険にさらされないこと、またはこれらを開始するときに再度攻撃するスクリプトを開始しないことを確認する必要があるため、この作業には時間がかかります。 私たちは、このようなソリューションの安全性を確保するために、この分野で私たちを支援する専門家を雇っています。 準備ができ次第、これに関する新しい情報を提供します。
Vet dere nå hvem som står bak angrepet? 攻撃の背後に誰がいるか分かったのですか?
Vi kjenner ikke til hvem som står bak. Angriperen har lagt igjen et løsepengebrev i systemene våre, der de inviterer oss til å gå inn på et nettsted for å få informasjon om hvordan vi kan få tilgang til de systemene som vi nå er utestengt fra. Vi har ikke til hensikt å benytte oss av dette eller betale løsepenger til en angriper. Vi har informert politiet om saken og oversendt løsepengebrevet til dem. Da vil denne informasjonen inngå i etterforskningen og deres arbeid med å avdekke hvem som står bak. Politiet har betydelig erfaring i slike saker. 誰が背後にいるのかはわかりません。 攻撃者は私たちのシステムに身代金支払いの要求のメモを残し、現在禁止されているシステムにアクセスする方法に関する情報を入手するためにWebサイトにアクセスするように私たちを促しています。 これを利用したり、攻撃者に身代金を支払ったりするつもりはありません。 私たちは警察に事件について知らせ、身代金の手紙を送りました。 その後、この情報は調査の一部となり、その背後にいる人物を明らかにするための彼らの作業になります。 警察はこのようなことについてのかなりの経験を持っています。
Vil det komme aviser i morgen? 明日、新聞は発行されますか
Ja, det vil komme papiraviser i morgen. ved hjelp av en alternativ produksjonmåte vil et 20-talls aviser bli trykket og distribuert til abonnentene torsdag. Arbeidet med å få alle papiravisene trykket er komplisert og tar noe tid. Det jobbes kontinuerlig med å sikre flest mulig aviser en slik alternativ produksjonsløsning. Abonnentene vil bli varslet dersom avisen ikke kommer ut torsdag. 明日は紙の新聞が発行されます。 代替生産方式により、木曜日に20枚の新聞が印刷され、購読者に配布されます。すべての紙の新聞を印刷する作業は複雑で、時間もかかります。この仕事は、他の代替製品と比較して、最も安価なものを選ぶことが重要です。木曜日に新聞が発行されない場合は、購読者に通知されます。
Vet dere nå om persondata er kommet på avveie? 個人情報が漏洩したかどうかはわかりますか?
Det er persondata i de systemene som er angrepet. Det gjelder både data om abonnenter, så som navn, adresse, mobilnummer, epostadresser og forhold knyttet til abonnementshistorikken deres. For ansatte i Amedia gjelder det data om ulike forhold knyttet til deres ansettelsesforhold, herunder opplysninger om personnummer og lønn. At slike data er blitt lastet ned synes åpenbart. Vi vil underrette Datatilsynet om hvilke persondata som på denne måten er kommet på avveie. Vi vet ennå ikke om disse opplysningene faktisk er blitt misbrukt eller ikke, og jobber nå med å kartlegge slike forhold nærmere. Det vil bli gitt nærmere informasjon til ansatte og andre berørte om hvordan de skal forholde seg til situasjonen som er oppstått. 攻撃されたシステムには個人データがあります。 これは、名前、住所、携帯電話番号、電子メールアドレス、およびサブスクリプション履歴に関連する事項など、サブスクライバーに関するデータが含まれます。 アメディア社の従業員については、社会保障番号や給与に関する情報など、雇用条件に関連するさまざまな事項に関するデータが含まれます。 そのようなデータがダウンロードされたことは明らかです。 個人データが漏洩したこの状況についてはノルウェーのデータ保護局に通知します。 この情報が実際に悪用されたかどうかはまだわかりませんが、現在、このような問題をより詳細にマッピングするよう取り組んでいます。 発生した状況への対処方法については、従業員等に詳しい情報を提供します。

 

・2021.12.28 Amedia utsatt for et alvorlig dataangrep

Amedia utsatt for et alvorlig dataangrep アメディア社に深刻なデータ攻撃が発生
Natt til tirsdag 28. desember ble flere av Amedias sentrale datasystemer satt ut av drift. Produksjonen av nettavis går som normalt, men ingen papiraviser blir publisert onsdag. Det er fordi systemer for publisering av papiravis, annonser og abonnementshåndtering ikke fungerer som normalt.  12月28日(火)の夜、アメディア社の中央コンピューターシステムのいくつかがシャットダウンされました。 オンライン新聞の制作は通常通り進んでいますが、水曜日には紙の新聞は発行されません。 これは、紙の新聞、広告、購読管理のシステムが正常に機能しないためです。
Et alvorlig dataangrep  深刻なデータ攻撃 
– Situasjonen er uklar. Problemene vi opplever skyldes et eksternt dataangrep mot enkelte av våre systemet. Vi er i ferd med å få oversikt over situasjonen, men kjenner ennå ikke det fulle skadepotensialet. Vi har allerede satt i verk omfattende tiltak for å begrense skaden og for å gjenopprette normal drift så raskt som mulig, sier konserndirektør for teknologi, Pål Nedregotten. ・状況はよくわかっていません。私たちが経験している問題は、一部のシステムに対する外部データ攻撃が原因です。 現在、状況の概要を把握しているところですが、被害の可能性を完全に把握することはできません。 被害を限定し、可能な限り迅速に通常の運用を回復するための包括的な対策をすでに実施していると、Pål Nedregotten技術担当上級副社長は述べています。
– Alle tilgjengelige ressurser jobber nå intenst med å løse problemene og avdekke hvilke skader som er skjedd. Vi beklager de problemene som har oppstått og som på ulike måter rammer våre kunder og ansatte, sier han. ・現在、問題の解決、発生した損傷を明らかにすることに利用可能なすべてのリソースを注ぎ込み、集中的に取り組んでいます。 お客様や従業員にさまざまな形で影響を及ぼしている問題が発生したことをお詫び申し上げます。
Problemene er begrenset til de systemene som administreres av Amedias sentrale IT-selskap, Amedia Teknologi. Amedias andre systemer fungerer som normalt. 今回の問題は、アメディア社の中央IT企業であるアメディア・テクノロジー社が管理するシステムに限られています。アメディア社の他のシステムは通常通り動作しています。
Papiraviser blir ikke publisert 紙の新聞は発行されません
- Situasjonen innebærer at ingen papiraviser vil bli publisert onsdag og inntil situasjonen er løst, forteller Nedregotten.  ・今の状況を鑑みると水曜日以降、状況が解決するまで紙の新聞は発行されないことになります、とNedregotten氏は述べています。
Annonsører blir berørt ved at de ikke kan få bestilt annonser eller ved at annonser ikke blir publisert som følge av at papiravisa ikke kommer ut.  広告主にとっては、広告の発注ができなくなったり、ペーパービザが出ないことで広告が掲載されないなどの影響があります。 
Abonnenter blir berørt ved at de ikke kan bestille eller avbestille abonnement, og ved at papiravisen ikke kommer ut som normalt. 購読者の皆様には、定期購読の注文や解約ができなくなることや、紙の新聞が通常通り発行されなくなることなどの影響があります。
Det er fortsatt uklart om personopplysninger om abonnenter og ansatte er kommet på avveie eller blitt kompromittert. Så langt er det ingen sikre opplysninger om at dette har skjedd, men det kan ikke utelukkes at det likevel har skjedd. 加入者や従業員の個人情報が漏洩したかどうかはまだ不明です。今のところ、このようなことが起きたという明確な情報はありませんが、起きた可能性は否定できません。
I abonnementssystemet som er blitt angrepet, ligger det navn, adresse, telefonnummer og abonnementsform og -historikk om abonnentene. Andre data som aID-passord, lesehistorikk og opplysninger om bankkort etc er ikke berørt.  攻撃を受けた加入システムには、加入者の氏名、住所、電話番号、加入形態や履歴が含まれています。aIDパスワード、閲覧履歴、銀行カード情報など、その他のデータは影響を受けません。 
– Amedia jobber nå med utgangspunkt i at kundedata kan være kompromittert. Hvis personopplysninger er kommet på avveie, vil berørte bli informert raskest mulig. Dette vil gjelde både kunder og ansatte. Datatilsynet vil i et slikt tilfelle bli varslet om hva som er skjedd og hvordan vi jobber med avbøtende tiltak, fortsetter Nedregotten.  ・アメディア社は現在、顧客データが危険にさらされる可能性があることを前提として行動しています。 個人情報が漏洩した場合は、速やかに影響を受けた方に通知いたします。 これは、顧客と従業員の両方に適用されます。 そのような場合、データ検査官に何が起こったのか、そして私たちがどのように緩和策に取り組んでいるのかについて通知しますと、Nedregotten氏は述べています。
– Så langt må vi konstatere at de problemene vi nå erfarer er alvorlige. Vi tar situasjonen svært alvorlig. Datasikkerhet er et prioritert område for oss. Saken vil bli politianmeldt og fulgt opp i henhold til de sikkerhetskrav vi skal levere på, sier Nedregotten. ・これまでのところ、私たちが現在直面している問題は深刻であると言わざるを得ません。 私たちは状況を非常に真剣に受け止めています。 データセキュリティは私たちの優先分野です。 事件は警察に報告され、私たちが提供するセキュリティ要件に従ってフォローアップされると、Nedregotten氏は述べています。



Fig1_20220102065501

| | Comments (0)

各国代表の新年の挨拶 2022年

こんにちは、丸山満彦です。

各国代表者が新年の挨拶をしていますね。。。やはりパンデミックは外せない状況ですね。。。今年はどのような年になるのでしょうね。。。

 

● 日本

岸田内閣総理大臣 令和4年 年頭所感

 

● 中国

国家主席习近平发表二〇二二年新年贺词
習近平主席による2002年の年頭挨拶

 

● オーストラリア

NEW YEAR'S MESSAGE
年頭挨拶

 

● シンガポール

2022 New Year Message by PM Lee Hsien Loong
リーシェンロン首相による年頭挨拶

 

● インド

N/A  

 

● ロシア

New Year Address to the Nation
国民への年頭挨拶

 

● ドイツ

Neujahrsansprache des Bundeskanzlers „Unser Land steht zusammen“ 連邦首相の年頭挨拶「私たちの国は一緒に立っています」

 

● フランス

Restons unis, bienveillants, solidaires.  私たちは団結し、思いやりを持ち、支え合いましょう

 

● 英国

Prime Minister celebrates success of vaccine programme in New Year's message 首相は年頭挨拶でワクチンプログラムの成功を祝う

 

● 米国

N/A  

 

● カナダ

Statement by the Prime Minister to mark the New Year 新年を迎えての総理大臣の声明

 

Fig1_20220102071901

 

 

 

| | Comments (0)

2022.01.01

あけましておめでとうございます 2022

こんにちは、丸山満彦です。

新年のあけましておめでとうございます。

旧年中はお世話になりました。今年もよろしくお願いします。

昨年は父が亡くなりました。それ以外は、特に大きく変わったこともなく、静かに過ごしています。。。

 

皆様にとって良い年となりますように。。。

 

20220101-61105

 

 

| | Comments (0)

« December 2021 | Main | February 2022 »