« December 2021 | Main | February 2022 »

January 2022

2022.01.31

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバーセキュリティは空気のように社会全体に拡がる」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

 IDF - Column

・2022.01.31 第702号コラム:「サイバーセキュリティは空気のように社会全体に拡がる」

サイバー空間へのアクセスが全ての人にとっての常識となる世界になると、サイバーセキュリティというのは、全ての人にとって身近な問題となり、交通事故に気をつけるかのごとく、誰にとっても、その場面、そのタイミングで適切なセキュリティができるようにならないといけないように思います。

サイバー空間が人間の生活にとって空気のようになった時に、サイバーセキュリティも空気のように社会全体に広がるのかも知れませんね。。。

 


私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

 

No Date Title
26 702 2022.01.31 サイバーセキュリティは空気のように社会全体に拡がる
25 678 2021.08.16 ティラノサウルスとスズメ
24 650 2021.02.01 データを科学的に分析する
23 627 2020.08.17 若者のサイバー犯罪を無くしたい。。。
22 600 2020.02.03 デジタルフォレンジックスと多様性
21 578 2019.08.26 未来を考えようと思うとき、人は過去を振り返る
20 551 2019.02.11 とらわれずに物事をみつめる
19 521 2018.07.09 AIは科学捜査を騙せるか?
18 493 2017.12.18 セキュリティ・デバイド?
17 474 2017.08.07 『デジタル・フォレンジック』という言葉を今更考える
16 451 2017.02.20 相手を知ることが重要
15 425 2016.08.15 本質を理解する
14 383 2015.10.12 名ばかりCSIRTで良いのか?
13 357 2015.04.13 IoT時代は明るいか暗いか
12 335 2014.11.03 頭を下げるのは社長です
11 308 2014.04.30 標的型攻撃には内部不正対応が重要?
10 286 2013.11.14 セキュリティガバナンスはできる範囲だけやればよいのか?
09 261 2013.05.23 セキュリティの基本はずっとかわっていない
08 240 2012.12.25 さらに組織化が進むサイバー攻撃集団
07 207 2012.05.10 外部から侵入されている想定で情報セキュリティを考える
06 173 2011.09.08 想定外に対応するのが危機管理ではないか
05 139 2011.01.13 データ分析を使った不正発見手法
04 131 2010.11.11 発見的統制の重要性
03 084 2009.12.10 クラウドコンピューティングがもたらす光と影
02 058 2009.06.11 不正をさせない
01 021 2008.09.25 ニーズとシーズ、目的と手段

| | Comments (0)

警察法改正案 情報通信局からサイバー警察局へ他

こんにちは、丸山満彦です。

2022.01.28の閣議で、警察法改正案が閣議決定され、これから国会で審議されますね。。。

改正理由は次のように書かれていますね。。。

最近におけるサイバーセキュリティに対する脅威の深刻化に鑑み、国家公安委員会及び警察庁の所掌事務に重大サイバー事案に対処するための警察の活動に関する事務等を追加するとともに、警察庁が当該活動を行う場合における広域組織犯罪等に対処するための措置に関する規定を整備するほか、警察庁の組織について、サイバー警察局を設置する等の改正を行う。これが、この法律案を提出する理由である。

 

情報通信局からサイバー警察局に名前が変わりますが、名前の変更が本質ではなく、役割の変更ですね。。。そして、その役割変更に至る背景の理解が重要なんでしょう。。。

海外との連携がスムーズにいくように思いますし、国内の連携もうまくいくようにも感じますが、権限が強大になりすぎないように、また、その権限の行使についての国民による監視が十分に機能するようにしないといけないようにも感じます。。。

 

警察庁 - 国会提出法案 - 第208回国会(常会)提出法案

・2022.01.28 警察法の一部を改正する法律案

・[PDF] 要綱

・[PDF] 案文・理由

・[PDF] 新旧対照表

・[PDF] 参照条文

・[PDF] 参考資料

20220131-51724

 


 

・[PDF] 要綱

警察法の一部を改正する法律案要綱

第一 重大サイバー事案に対処するための警察の活動に関する規定等の整備

一 国家公安委員会及び警察庁の所掌事務の追加(第五条第四項関係)

(一)国家公安委員会及び警察庁の所掌事務に、サイバーセキュリティ(サイバーセキュリティ基本法(平成二十六年法律第百四号)第二条に規定するサイバーセキュリティをいう。)が害されることその他情報技術を用いた不正な行為により生ずる個人の生命、身体及び財産並びに公共の安全と秩序を害し、又は害するおそれのある事案(以下「サイバー事案」という。)のうち次のいずれかに該当するもの(以下「重大サイバー事案」という。)に対処するための警察の態勢に関する事務を追加することとする。

ア 次の事務又は事業の実施に重大な支障が生じ、又は生ずるおそれのある事案

(ア)国又は地方公共団体の重要な情報の管理又は重要な情報システムの運用に関する事務

(イ)国民生活及び経済活動の基盤であって、その機能が停止し、又は低下した場合に国民生活又は経済活動に多大な影響を及ぼすおそれが生ずるものに関する事業

イ 高度な技術的手法が用いられる事案その他のその対処に高度な技術を要する事案

ウ 国外に所在する者であってサイバー事案を生じさせる不正な活動を行うものが関与する事案

(二)国家公安委員会及び警察庁の所掌事務に、重大サイバー事案に係る犯罪の捜査その他の重大サイバー事案に対処するための警察の活動に関する事務を追加することとする。

二 関東管区警察局の所掌事務の特例に関する規定の整備(第三十条の二関係)

関東管区警察局は、全国を管轄区域として、警察庁の所掌事務のうち一の(二)の事務を分掌することとする。

三 広域組織犯罪等に対処するための措置に関する規定の整備(第六十一条の三関係)

(一)警察庁長官は、重大サイバー事案について警察庁と都道府県警察が共同して処理を行う必要があると認めるときは、当該重大サイバー事案の処理に関する方針を定め、警察庁又は関係都道府県警察の一の警察官に、警察庁及び関係都道府県警察の警察職員に対して必要な指揮を行わせることができることとする。

(二)警察庁長官による広域組織犯罪等に対処するための態勢の指示により重大サイバー事案の処理に関して警察庁に派遣された都道府県警察の警察官は、国家公安委員会の管理の下に、当該重大サイバー事案の処理に必要な限度で、全国において、職権を行うことができることとする。

四 その他の規定の整備(第六十四条及び第七十九条関係)

  • 一の(二)の事務に関して必要な職務を行う警察庁の警察官は、この法律に特別の定めがある場合を除くほか、当該職務に必要な限度で職権を行うものとする。
  • (一)の警察庁の警察官及び三の(二)の都道府県警察の警察官の当該職務執行について苦情がある者は、国家公安委員会に対し、国家公安委員会規則で定める手続に従い、文書により苦情の申出をすることができることとする。

第二 警察庁の組織の改正

警察庁の組織について、サイバー警察局を設置し、その所掌事務としてサイバー事案に関する警察に関する事務等を定めるとともに、情報通信局を廃止し、長官官房の所掌事務に警察通信に関する事務等を追加することとする。(第十九条、第二十一条及び第二十五条関係)

第三 施行期日等

一 この法律は、令和四年四月一日から施行することとする。

二 関係法律について所要の改正を行うこととする。

 

 

| | Comments (0)

1月28日は「データ保護の日」でした...

こんにちは、丸山満彦です。

データ保護の分野で初めて法的拘束力を持つ国際法である欧州評議会の「個人情報の保護に関する条約(条約第108号)」が1981年1月28日に制定されたことから1月28日を「データ保護の日」にしたようで、今年がその16回目の記念日だったようです。。。

320pxcouncil_of_europe_logo_2013_revised

Council of Europe (欧州評議会)

Data Protection Day - 28 January 2022: 16th Data Protection Day 

Data Protection Day データ保護の日
28 January 2022: 16th Data Protection Day  2022年1月28日:第16回データ保護の日 
Conference on Convention 108 + as the global privacy standard, building a free data transfer area while preserving human dignity 人間の尊厳を守りつつ、自由なデータ転送領域を構築し、グローバルなプライバシー基準としての条約第108号+に関する会議
In 2006, the Committee of Ministers of the Council of Europe decided to launch a Data Protection Day, to be celebrated each year on 28 January. Data Protection Day is now celebrated globally and is called the "Privacy Day" outside Europe. 2006年、欧州評議会の閣僚委員会は、毎年1月28日を「データ保護の日」とすることを決定しました。現在、データ保護の日は世界的に祝われており、欧州以外では「プライバシー・デー」と呼ばれています。
On 28 January 2022, the 16th edition of Data Protection Day will be celebrated globally. It aims at raising awareness on the right to data protection. The Council of Europe, initiator of this important celebration, continues to play a leading role by encouraging and showcasing initiatives held on this occasion. 2022年1月28日には、第16回データ保護の日が世界的に祝われます。この日は、データ保護の権利についての認識を高めることを目的としています。欧州評議会は、この重要な記念日の発起人であり、この日に開催されるイニシアチブを奨励し、紹介することで主導的な役割を果たし続けています。
Celebrated yearly at the same date, Data Protection Day marks the anniversary of the opening for signature of Convention 108, the global data protection Convention. Last year, we celebrated the 40th Anniversary of Convention 108. For over 40 years, Convention 108 has influenced and shaped the protection of privacy and of data protection in Europe and beyond. Its modernised version (known as Convention 108+) will continue to do so. 毎年同じ日に開催されるデータ保護の日は、世界的なデータ保護条約である条約第108号の署名が開始された記念日でもあります。昨年、私たちは条約第108号の40周年を迎えました。条約第108号は、40年以上にわたり、欧州をはじめとする世界各国のプライバシー保護およびデータ保護に影響を与え、形成してきました。その現代版(通称:条約第108号+)は、今後も影響を与え続けるでしょう。
The main goal of this day is to educate the public on data protection challenges, and inform the individuals about their rights and how to exercise them. In this perspective, the Stefano Rodotà Award, established by the Committee of Convention 108, will honour innovative and original academic research projects in the field of data protection. The winners will be announced on the occasion of this special date. この日の主な目的は、データ保護の課題について一般の人々を啓発し、個人の権利とその行使方法について知らせることです。このような観点から、条約第108号委員会によって設立されたStefano Rodotà Awardは、データ保護の分野における革新的かつ独創的な学術研究プロジェクトを表彰するものです。受賞者は、この特別な日に発表されます。

 

 

Convention 108 and Protocols

Convention 108 and Protocols 第108号条約と議定書
The Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data (CETS No. 108) 個人データの自動処理に関する個人の保護のための条約(条約第108号)
The Convention opened for signature on 28 January 1981 and was the first legally binding international instrument in the data protection field. Under this Convention, the parties are required to take the necessary steps in their domestic legislation to apply the principles it lays down in order to ensure respect in their territory for the fundamental human rights of all individuals with regard to processing of personal data. 1981年1月28日に署名が開始されたこの条約は、データ保護の分野で初めての法的拘束力のある国際文書です。この条約により、締約国は、個人データの処理に関してすべての個人の基本的人権の尊重を自国内で確保するために、条約が定める原則を適用するために、国内法において必要な措置を講じることが求められています。
> Treaty Office > 条約事務局
> Text of the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data > 個人データの自動処理に関する個人の保護のための条約の本文
Amendments to Convention 108 allowing the European Communities to accede 欧州共同体の加盟を認める条約第108号の改正
Accession by the Communities reflects the European Union's wish to develop co-operation with the Council of Europe and help create a stronger international forum on data protection, particularly vis-à-vis third countries As it stands at present, only states may be Parties to the Convention. It was therefore necessary to draft amendments allowing the European Communities to accede. These amendments were adopted by the Committee of Ministers of the Council of Europe on 15 June 1999. 欧州共同体の加盟は、欧州評議会との協力関係を発展させ、特に第三国に対するデータ保護に関するより強力な国際フォーラムの構築に貢献したいという欧州連合の希望を反映したものである。 現在、条約の締約国になれるのは国家のみである。そのため、欧州共同体の加盟を認める改正案を作成する必要がありました。この修正案は、1999年6月15日に欧州評議会の閣僚委員会で採択されました。
> More information 詳細
Additional protocol to Convention 108 regarding supervisory authorities and transborder data flows (ETS No. 181) 監督機関および国境を越えたデータフローに関する条約第108号の追加議定書(条約第181号)
With the increase in exchanges of personal data across national borders, it is necessary to ensure the effective protection of human rights and fundamental freedoms, and in particular the right to privacy in relation to such exchanges of personal data. The Additional Protocol opened for signature on 8 November 2001 requires Parties to set up supervisory authorities, exercising their functions in complete independence, which are an element of the effective protection of individuals with regard to the processing of personal data. 国境を越えた個人データの交換の増加に伴い、そのような個人データの交換に関連して、人権および基本的自由、特にプライバシーの権利の効果的な保護を確保することが必要である。2001年11月8日に署名が開始された追加議定書では、個人データの処理に関して個人を効果的に保護するための要素である、完全に独立して機能を行使する監督機関を設置することを締約国に求めている。
> Treaty Office > 条約事務局
> Additional Protocol to the Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data, regarding supervisory authorities and transborder data flows (ETS No. 181) > 監督機関および国境を越えたデータの流れに関する個人データの自動処理に関する個人の保護のための条約の追加議定書(条約第181号)

 

 

 

 


(参考)訳語の整理

英語 訳語 ロゴ等
European Council [wiki] 欧州理事会 [wiki] 340pxcouncil_of_the_eu_and_european_coun
Council of the European Union [wiki] 欧州連合理事会 [wiki] 340pxcouncil_of_the_eu_and_european_coun
Council of Europe [wiki] 欧州評議会 [wiki] 320pxcouncil_of_europe_logo_2013_revised
European Parliament [wiki] 欧州議会 [wiki] 340pxeuropean_parliament_logosvg
European Commission [wiki] 欧州委員会 [wiki] European_commissionsvg

 

 

| | Comments (0)

2022.01.30

中国 国家サイバースペース管理局 意見募集 インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)

こんにちは、丸山満彦です。

国家サイバースペース管理局が、インターネット情報サービスの深層合成の管理に関する規定(意見募集稿)について意見募集をしていますね。。。

国家安全保障を含む社会秩序を維持するためにAIを適切に使わせるためのセキュリティ面も含めた規則って感じですかね。。。

深層合成技術とは、

(1) テキストコンテンツを生成または編集するための技術

(2) 音声コンテンツを生成または編集する技術。

(3) 音声以外のコンテンツ(音楽等)を生成・編集する技術

(4) 映像コンテンツに顔などの生物的特徴を生成・編集する技術

(5) 画像や映像コンテンツに含まれる生体以外の特徴を編集するための画像補正、画像復元、その他の技術。

(6) 仮想シーンを生成・編集する技術

を想定しているようですね。。。

 

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.01.28 国家互联网信息办公室关于《互联网信息服务深度合成管理规定(征求意见稿)》公开征求意见的通知
国家サイバースペース管理局による「インターネット情報サービスの深層合成の管理規定(意見募集稿)」の公開協議についての通知

 

国家互联网信息办公室关于《互联网信息服务深度合成管理规定(征求意见稿)》公开征求意见的通知 国家サイバースペース管理局による「インターネット情報サービスの深層合成の管理規定(意見募集稿)」の公開協議についての通知
为了规范互联网信息服务深度合成活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,我办起草了《互联网信息服务深度合成管理规定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式提出反馈意见: インターネット情報サービスの深層合成を規制し、社会主義の核心価値を促進し、国家安全と社会公共の利益を保護し、市民、法人およびその他の組織の合法的な権利と利益を保護するために、「インターネット情報サービス深層合成管理規定(意見募集稿)」を作成し、現在パブリックコメントを募集している。 
附件1:互联网信息服务深度合成管理规定(征求意见稿) 附属書1:インターネット情報サービスの深層合成の管理規定(意見募集稿)
附件2:关于《互联网信息服务深度合成管理规定(征求意见稿)》的说明 附属書2:「インターネット情報サービスの深層合成の管理規定(意見募集稿)」に関する説明

 

互联网信息服务深度合成管理规定 インターネット情報サービスの深層合成の管理規定
(征求意见稿) (意見募集稿)
第一条 为了规范互联网信息服务深度合成活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第1条 本規則は、インターネット情報サービスの綿密な合成活動を規制し、社会主義の核心的価値を促進し、国家安全と社会公共の利益を保護し、市民、法人およびその他の組織の合法的な権利と利益を保護するために、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「インターネット情報サービス管理弁法」およびその他の法律、行政法規に基づいて制定されている。
第二条 在中华人民共和国境内应用深度合成技术提供互联网信息服务(以下简称深度合成服务),以及为深度合成服务提供技术支持的活动,适用本规定。法律、行政法规另有规定的,依照其规定。 第2条 中華人民共和国の領域内で、インターネット情報サービス(以下、深層合成サービス)を提供するための深層合成技術の適用、および深層合成サービスの技術サポートを提供する活動については、以下の規定が適用される。 法律や行政規則に別段の定めがある場合は、その規定に従う。
本规定所称深度合成技术,是指利用以深度学习、虚拟现实为代表的生成合成类算法制作文本、图像、音频、视频、虚拟场景等信息的技术,包括但不限于: 本規定でいう深層合成技術とは、深層学習、バーチャルリアリティを代表とする合成型アルゴリズムの生成を利用して、テキスト、画像、音声、映像、バーチャルシーンなどの情報技術を生成することを指しますが、これに限定されるものではありません。
(一)篇章生成、文本风格转换、问答对话等对文本内容进行生成或者编辑的技术; (1) 章立て、テキストスタイルの変換、質問と回答の対話など、テキストコンテンツを生成または編集するための技術。
(二)文本转语音、语音转换、语音属性编辑等对语音内容进行生成或者编辑的技术; (2) 音声合成、音声変換、音声属性編集など、音声コンテンツを生成または編集する技術。
(三)音乐生成、场景声编辑等对非语音内容进行生成或者编辑的技术; (3) 音声以外のコンテンツを生成・編集する技術(音楽生成、シーンサウンド編集など)。
(四)人脸生成、人脸替换、人物属性编辑、人脸操控、姿态操控等对图像、视频内容中人脸等生物特征进行生成或者编辑的技术; (4) 顔生成、顔置換、文字属性編集、顔操作、ポーズ操作など、画像や映像コンテンツに顔などの生物的特徴を生成・編集する技術。
(五)图像增强、图像修复等对图像、视频内容中非生物特征进行编辑的技术; (5) 画像や映像コンテンツに含まれる生体以外の特徴を編集するための画像補正、画像復元、その他の技術。
(六)三维重建等对虚拟场景进行生成或者编辑的技术。 (6) 3D再構成など、仮想シーンを生成・編集する技術
深度合成服务提供者,是指提供深度合成服务以及为深度合成服务提供技术支持的组织。 深層合成サービスプロバイダーとは、深層合成サービスや深層合成サービスの技術サポートを提供する組織のことである。
深度合成服务使用者,是指使用深度合成服务制作、复制、发布、传播信息的组织、个人。 深層合成サービス利用者とは、深層合成サービスを利用して情報を作成、複製、公開、発信する組織や個人を指す。
第三条 国家网信部门负责统筹协调全国深度合成服务治理和相关监督管理工作。地方网信部门负责统筹协调本行政区域内的深度合成服务治理和相关监督管理工作。 第3条 全国ネットの情報部門は、全国の深層合成サービスのガバナンスと関連する監督管理業務を調整する責任を負う。 地域のインターネット情報部門は、その行政区域内の綿密な合成サービスのガバナンスと関連する監督・管理を調整する責任がある。
第四条 深度合成服务提供者和深度合成服务使用者应当遵守法律法规,尊重社会公德和伦理,坚持正确政治方向、舆论导向、价值取向,促进深度合成服务向上向善。 第4条 深層合成サービス提供者および深層合成サービス利用者は、法令を遵守し、社会的道徳と倫理を尊重し、正しい政治的方向性、世論誘導、価値観を堅持し、深層合成サービスをより良く普及させるものとする。
第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导深度合成服务提供者制定完善服务规范、加强信息内容安全管理、依法提供服务并接受社会监督。 第5条 関連業界団体に対し、業界の自己規律を強化し、業界標準、業界ガイドライン、自主規制管理システムを確立・改善し、深層合成サービスの提供者がサービス仕様を策定・改善し、情報コンテンツの安全管理を強化し、法律に基づいてサービスを提供し、社会的な監督を受け入れるよう監督・指導することを奨励する。
第六条 任何组织和个人不得利用深度合成服务从事危害国家安全、破坏社会稳定、扰乱社会秩序、侵犯他人合法权益等法律法规禁止的活动,不得制作、复制、发布、传播含有煽动颠覆国家政权、危害国家安全和社会稳定、淫秽色情、虚假信息,以及侵害他人名誉权、肖像权、隐私权、知识产权和其他合法权益等法律法规禁止内容的信息。 第6条 いかなる組織または個人も、深層合成サービスを利用して、国家の安全を脅かし、社会の安定を損ない、社会秩序を乱し、他人の合法的な権利や利益を侵害するなど、法令で禁止されている活動に従事してはならず、また、国家権力転覆の扇動、国家の安全と社会の安定を脅かす、わいせつ物やポルノ、虚偽の情報、他人の評判、肖像権、プライバシー権、知的財産権、その他の合法的な権利や利益を侵害する内容の情報を作成、複製、出版、または流布してはならない。 およびその他の合法的な権利・利益等を尊重する。
第七条 深度合成服务提供者应当落实信息安全主体责任,建立健全算法机制机理审核、用户注册、信息内容管理、数据安全和个人信息保护、未成年人保护、从业人员教育培训等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。 第7条 深層合成サービス提供者は、情報セキュリティの主な責任を果たし、アルゴリズム機構の監査、ユーザー登録、情報コンテンツの管理、データセキュリティと個人情報保護、未成年者の保護、実務者の教育・訓練等の管理システムを構築・改善し、新技術や新しいアプリケーションの開発に対応した安全で制御可能な技術的セキュリティ対策を行わなければならない。
第八条 深度合成服务提供者应当制定并公开管理规则和平台公约,完善服务协议,以显著方式提示深度合成服务使用者信息安全义务,并依法依约履行相应管理责任。 第8条 深層合成サービス提供者は、管理規定およびプラットフォーム規約を策定・公開し、サービス契約を改善し、深層合成サービス利用者の情報セキュリティ義務を顕著に促し、法律に基づいて対応する管理責任を果たすものとする。
第九条 深度合成服务提供者应当依法对深度合成服务使用者进行真实身份信息认证。深度合成服务使用者不进行真实身份信息认证的,深度合成服务提供者不得为其提供信息发布服务。 第9条 深層合成サービス提供者は、法令に基づき、深層合成サービス利用者の実在性情報認証を行うものとします。 深層合成サービス利用者が実在性情報の認証を行わない場合、深層合成サービス提供者はそのための情報公開サービスを提供してはならない。
第十条 深度合成服务提供者应当加强深度合成信息内容管理,采取技术或者人工方式对深度合成服务使用者的输入数据和合成结果进行审核;建立健全用于识别违法和不良深度合成信息内容的特征库,完善入库标准、规则和程序;对违法和不良信息依法采取相应处置措施,并对相关深度合成服务使用者依法依约采取警示、限制功能、暂停服务、关闭账号等处置措施。 第10条 深層合成サービス提供者は、深層合成情報コンテンツの管理を強化し、深層合成サービス利用者の入力データおよび合成結果の監査を技術的または手動的に行い、違法および望ましくない深層合成情報コンテンツを特定するための特性ライブラリを構築および改善し、ライブラリの基準、規則および手順を改善し、違法および望ましくない情報に対して法律に基づいて対応する廃棄措置を講じ、関連する深層合成サービスの ユーザーは、法令および契約に基づき、警告、機能制限、サービスの停止、アカウントの閉鎖、その他の処分を行う。
第十一条 深度合成服务提供者应当加强深度合成技术管理,定期审核、评估、验证算法机制机理;提供具有对人脸、人声等生物识别信息或者可能涉及国家安全、社会公共利益的特殊物体、场景等非生物识别信息编辑功能的模型、模板等工具的,应当自行开展安全评估,预防信息安全风险。 第11条 深層合成サービス提供者は、深層合成技術の管理を強化し、アルゴリズムの仕組みを定期的に監査、評価、検証しなければならない。顔や音声などの生体以外の情報や、国家安全保障や社会公共の利益に関わる可能性のある特殊な対象物やシーンを編集する機能を持つモデルやテンプレートなどのツールを提供し、情報セキュリティのリスクを防ぐために独自のセキュリティ評価を行わなければならない。
第十二条 深度合成服务提供者应当加强训练数据管理,确保数据处理合法、正当,采取必要措施保障数据安全。训练数据包含涉及个人信息数据的,还应当遵守个人信息保护有关规定,不得非法处理个人信息。 第12条 深層合成サービス提供者は、トレーニングデータの管理を強化し、データ処理が適法かつ適切であることを保証し、データのセキュリティを保護するために必要な措置を講じるものとする。 トレーニングデータに個人情報を含むデータが含まれる場合は、個人情報保護に関する関連規定も遵守し、個人情報を不正に取り扱ってはならない。
深度合成服务提供者提供人脸、人声等生物识别信息的显著编辑功能的,应当提示深度合成服务使用者依法告知并取得被编辑的个人信息主体的单独同意。法律、行政法规另有规定的除外。 深層合成サービスの提供者が、顔や音声などの生体情報に対して重要な編集機能を提供する場合、深層合成サービスの利用者に対して、法律に基づいて、編集される個人情報の対象者に通知し、別途同意を得るように促さなければならない。 法律や行政法規で定められている場合を除く。
第十三条 深度合成服务提供者对使用其服务所制作的深度合成信息内容,应当通过有效技术措施在信息内容中添加不影响用户使用的标识,依法保存日志信息,使发布、传播的深度合成信息内容可被自身识别、追溯。 第13条 深層合成サービスのプロバイダは、そのサービスの使用によって生成された合成情報のコンテンツの深さのために、情報の内容で効果的な技術的手段を介して追加しなければならないロゴのユーザーの使用に影響を与えない、ログ情報を保存するための法律によると、合成情報のコンテンツの深さは、公開されて普及するように識別し、自分で追跡することができる。
第十四条 深度合成服务提供者提供以下深度合成服务的,应当使用显著方式对深度合成信息内容进行标识,向社会公众有效提示信息内容的合成情况: 第14条 深層合成サービスプロバイダは、次の深層合成サービスを提供し、深層合成情報コンテンツを識別するために重要な方法を使用しなければならない、公共に効果的に情報コンテンツの合成を促す。
(一)提供智能对话、智能写作等模拟自然人进行文本生成或者编辑服务的,在文本信息内容的稿源说明处等位置进行显著标识; (1) テキスト生成または編集サービスのために、著名なロゴの位置にあるソース記述のテキスト情報コンテンツにおいて、インテリジェントな対話、インテリジェントな書き込み、その他の自然人のシミュレーションを提供する。
(二)提供合成人声、仿声等语音生成或者显著改变个人身份特征的编辑服务的,在音频信息内容的合理区域以语音说明等方式进行显著标识; (2) 合成人間の声やイミテーション・ボイスなど、個人のアイデンティティ特性を著しく変化させる音声生成・編集サービスが提供される場合、音声情報コンテンツの合理的な領域、例えば、音声の説明部分に目立つように表示される。
(三)提供人脸生成、人脸替换、人脸操控、姿态操控等虚拟人物图像、视频生成或者显著改变个人身份特征的编辑服务的,在图像、视频信息内容的明显位置进行显著标识; (3) 顔の生成、顔の置き換え、顔の操作、ジェスチャーの操作など、個人のアイデンティティ特性を大幅に変更するバーチャルキャラクターの画像や動画の生成・編集サービスを提供する場合は、画像や動画の情報コンテンツを見やすい場所に目立つように配置する。
(四)提供沉浸式拟真场景等生成或者编辑服务的,在虚拟场景信息内容的明显位置进行显著标识; (4) 没入型のイミテーション・シーンやその他の生成・編集サービスが提供される場合には、バーチャル・シーンの情報コンテンツが目立つ位置に表示されている。
(五)提供其他具有生成或者显著改变信息内容功能的服务的,在文本、图像、音频或者视频、虚拟场景等的合理位置或者区域进行显著标识。 (5) 情報コンテンツを生成または大幅に変更する機能を持つ他のサービスが提供される場合、テキスト、画像、音声または映像、仮想シーンなどが合理的な場所または領域で目立つように識別されていること。
深度合成服务提供者提供前款规定之外的深度合成服务的,应当向深度合成服务使用者提供对深度合成信息内容进行显著标识的功能,并提示深度合成服务使用者可以对深度合成信息内容进行显著标识。 深層合成サービス提供者は、前項に規定する以外の深層合成サービスを提供する場合、深層合成サービス利用者に深層合成情報の内容を大幅にマーキングする機能を提供し、深層合成サービス利用者に深層合成情報の内容を大幅にマーキングすることを促すものとする。
第十五条 深度合成服务提供者发现第十四条第一款规定的深度合成信息内容未进行显著标识的,应当立即停止传输该信息,按照规定作出显著标识后,方可继续传输。 第15条 深層合成サービス提供者は、第14条第1項に規定する深層合成情報の内容に有意な表示がなされていないことを発見したときは、直ちに送信を中止し、送信を継続する前に規定に従って有意な表示をしなければならない。
第十六条 互联网应用商店服务提供者应当对深度合成服务提供者提供的深度合成应用程序履行安全管理责任,依法依约核验深度合成应用程序的安全评估、备案等情况;对违反国家有关规定的,应当及时采取不予上架、暂停上架或者下架等处置措施。 第16条 インターネットアプリケーションショップサービスプロバイダは、深層合成サービスプロバイダが提供する深層合成アプリケーションのセキュリティ管理責任を果たし、法律に基づいて深層合成アプリケーションのセキュリティ評価と記録を検証しなければならない。関連する国家の規制に違反した場合、棚(アプリをダウンロードする場所)に並べない、棚の停止、棚から撤去するなどの処分措置を適時に取らなければならない。
第十七条 深度合成服务提供者应当建立健全辟谣机制,发现深度合成信息服务使用者利用深度合成技术制作、复制、发布、传播虚假信息的,应当及时采取相应的辟谣措施,并将相关信息报网信等部门备案。 第17条 深層合成サービスプロバイダは、深層合成情報サービスの利用者が深層合成技術を使用して、コピー、出版、虚偽の情報を広めるために、速やかに対応する偽情報対策を取らなければならない、とレコードのためのネットの手紙や他の部門に関連する情報を報告し、偽情報のメカニズムを確立し、改善しなければならない。
第十八条 深度合成服务提供者应当设置便捷有效的用户申诉和公众投诉、举报入口,公布处理流程和反馈时限,及时受理、处理并反馈处理结果。 第18条 深層合成サービスの提供者は、便利で効果的なユーザーの苦情や公的な苦情、報告のためのポータルを設置し、処理プロセスやフィードバックの期限を公表し、タイムリーに結果を受け取り、処理し、フィードバックするものとする。
第十九条 深度合成服务提供者应当按照《互联网信息服务算法推荐管理规定》的有关规定,在提供服务之日起十个工作日内履行备案手续。 第19条 深層合成サービス提供者は、「インターネット情報サービスアルゴリズム勧告管理規定」の関連規定に基づき、サービス提供日から10営業日以内に申請手続きを行うものとする。
完成备案的深度合成服务提供者应当在其对外提供服务的网站、应用程序等的显著位置标明其备案编号并提供公示信息链接。 申請を完了した深層合成サービス事業者は、その申請番号を表示し、一般向けのサービスを提供するウェブサイトやアプリケーションなどの目立つ位置に公開情報へのリンクを提供する。
第二十条 深度合成服务提供者开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估。 第20条 深層合成サービス事業者は、オンライン上で世論の属性や社会的動員力を持つ新製品、新アプリケーション、新機能を開発する場合、関連する国の規制に従ってセキュリティ評価を実施しなければならない。
第二十一条 各级网信部门对深度合成信息服务提供者履行深度合成信息内容管理主体责任情况开展监督检查,对存在问题的深度合成信息服务提供者及时提出整改意见并限期整改。 第21条 各レベルのネットレター部門は、深層合成情報のコンテンツ管理の主な責任を果たすために、深層合成情報サービス提供者の監督と検査を行い、問題のある深層合成情報サービス提供者に対しては、速やかに是正意見と是正期限を提示しなければならない。
深度合成服务提供者对网信部门依法实施的监督检查,应当予以配合,并提供必要的技术、数据等支持和协助。 深層合成情報サービス提供者は、法律に基づいてネット情報部門が行う監督・検査に協力し、必要な技術的・データ的支援・協力を行う。
第二十二条 违反本规定第七条、第八条、第十条、第十一条、第十三条、第十四条、第十五条、第十六条、第十七条、第十八条、第二十条、第二十一条第二款规定,法律、行政法规有规定的,依照其规定;法律、行政法规没有规定的,由国家和省、自治区、直辖市网信部门依据职责给予警告,责令限期改正,改正前应当暂停相关业务;拒不改正或者情节严重的,责令暂停信息更新,并处一万元以上十万元以下罚款。 第22条 第7条、第8条、第10条、第11条、第13条、第14条、第15条、第16条、第17条、第18条、第20条、第21条第2項の規定に違反した場合、法律や行政法規の規定に従い、法律や行政法規が規定されていない場合は、国と省、自治区、中央インターネット部門直属の自治体は、警告を与えるために、その義務に従って、訂正期限を定め、訂正前の関連業務を停止する。訂正を拒否した場合や状況が深刻な場合は、情報更新の停止を命じ、1万元以上10万元以下の罰金を課す。
违反本规定第六条、第九条、第十二条、第十九条规定的,由国家和省、自治区、直辖市网信部门依据职责,按照有关法律、行政法规和部门规章的规定予以处理。 本規定の第6条、第9条、第12条および第19条の規定に違反した場合は、国および省、自治区、市のインターネット情報部門がその職務に従い、関連する法律、行政規則、部門規則の規定に基づいて対処する。
违反本规定,给他人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 これらの規定に違反し、他人に損害を与えた場合は、法律に基づいて民事責任を負い、公安管理の違反に該当する場合は、法律に基づいて公安管理の処罰を受け、犯罪に該当する場合は、法律に基づいて刑事責任の調査を受けるものとする。
第二十三条 本规定中下列用语的含义: 第23条 本規定における次の用語の意味。
场景声,是指音频中非语音内容的背景声音。 「シーンサウンド」とは、オーディオの中で音声以外のコンテンツの背景音を意味する。
人脸操控,是指对图像、视频中人物的面部表情等进行操控。 「顔面操作」とは、画像や映像などに写っている人物の顔の表情を操作することである。
姿态操控,是指对图像、视频中人物的肢体动作等进行操控。 「ポーズ操作」とは、画像や映像に写っている人物の体の動きなどを操作することである。
三维重建,是指利用数据生成或者编辑场景三维立体影像的深度合成技术。 「3D再構築」とは、データを用いてシーンの3次元画像を綿密に合成し、生成・編集する技術である。
训练数据,是指被用于训练机器学习模型的标注或者基准数据集。 「トレーニングデータ」は、機械学習モデルの学習に使用される、注釈付きデータセットまたはベンチマークデータセットである。
沉浸式拟真场景,是指通过深度合成技术生成或者编辑的、可供参与者体验或者互动的、具有高度真实感的虚拟场景。 「没入型シーン」とは、深層合成技術によって生成または編集された仮想のシーンで、非常にリアルで、参加者が体験またはインタラクションすることができるものである。
第二十四条 本规定由国家互联网信息办公室负责解释。 第24条 本規定の解釈については、国家サイバースペース管理局が責任を負う。
第二十五条 本规定自 年 月 日起施行。 第25条 この規定は、年 月 日から施行する。

 

 

关于《互联网信息服务深度合成管理规定(征求意见稿)》的说明 「インターネット情報サービスの深層合成の管理規定(意見募集稿)」に関する説明
为了规范互联网信息服务深度合成活动,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,国家互联网信息办公室起草了《互联网信息服务深度合成管理规定(征求意见稿)》(以下称《规定(征求意见稿)》)。有关情况说明如下: インターネット情報サービスの深層合成活動を規制し、社会主義の核心価値を促進し、国家安全と社会公共の利益を守り、国民、法人およびその他の組織の合法的な権利と利益を保護するために、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、インターネット情報サービス管理弁法およびその他の法律と行政法規に基づき、国家インターネット情報局は「インターネット情報サービスの深層合成管理に関する規則(意見募集稿)」(以下「規定(意見募集稿)」という。) 関連情報を以下に説明する。
一、制定的必要性 1. 策定の必要性
(一)贯彻党中央决策部署的重要举措。党的十九大报告提出“加强互联网内容建设,建立网络综合治理体系,营造清朗的网络空间”的任务要求。党中央印发的《法治社会建设实施纲要(2020-2025年)》提出制定完善对算法推荐、深度伪造等新技术应用的规范管理办法。落实党中央决策部署,需要统筹安全与发展,加快制定完善制度规范,促进深度合成技术依法合理有效利用。 (1) 党中央委員会の決定と配備を実行するための重要な手段。 第19回党大会の報告では、「インターネットコンテンツの建設を強化し、包括的なネットワークガバナンスシステムを構築し、明確なサイバースペースを構築する」という課題が掲げられています。 党中央委員会は「法治社会実施要綱(2020-2025年)」を発表し、アルゴリズム推薦や深層偽造などの新技術の適用に関する規制や管理方法の策定・改善を提案しています。 党中央委員会の決定と展開を実行するためには、安全保障と開発を調整し、制度的規範の策定と改善を加速し、法に則って深層合成技術の合理的かつ効果的な利用を促進する必要がある。
(二)维护网络空间良好生态的现实需要。网络空间是亿万民众共同的家园,互联网信息服务深度合成活动在服务用户需求、改进用户体验的同时,也被一些不法分子用于制作、复制、发布、传播违法信息,诋毁、贬损他人名誉、荣誉,仿冒他人身份实施诈骗等违法行为,不仅损害人民群众的切身利益,甚至危害国家安全和社会稳定,迫切需要划定“底线”、“红线”,规范发展互联网信息服务深度合成活动,维护网络空间良好生态。 (2)サイバースペースの良好な生態系を維持するための現実的な必要性。 サイバースペースは、何億人もの人々の共通の家であり、インターネットの情報サービスは、ユーザーのニーズのサービスで深い合成活動は、ユーザーの経験を向上させるだけでなく、いくつかの無法な要素によって生成するために使用される、コピー、公開、違法な情報を広める、誹謗中傷、他人の評判や名誉に軽蔑、詐欺やその他の違法行為を遂行するために他人のIDを偽装、だけでなく、人々の重要な利益を損傷し、さらには国家の安全と社会的安定を危険にさらす。 ボトムライン」と「レッドライン」を引いて、インターネット情報サービスの発展を深層合成活動で規制し、サイバースペースの良好な生態系を維持することが急務である。
(三)深化互联网信息服务依法管理的客观要求。在前期已出台《网络信息内容生态治理规定》、《互联网信息服务算法推荐管理规定》、《网络音视频信息服务管理规定》等相关部门规章和规范性文件,明确对生成合成类算法和利用深度学习、虚拟现实等新技术新应用制作音视频内容等的监管要求的基础上,需要进一步厘清、细化深度合成技术的应用场景,明确深度合成服务提供者和使用者的信息安全义务,出台具有系统性、针对性和可操作性的专门管理规定。 (3) 法律に基づくインターネット情報サービス管理の客観的要件を深める。 ネットワーク情報コンテンツのエコロジーガバナンスに関する規定」、「インターネット情報サービスのアルゴリズム推奨管理に関する規定」、「ネットワーク音声・映像情報サービスの管理に関する規定」などの関連部門の規定や規範文書、および合成型アルゴリズムの生成やディープラーニングやバーチャルリアリティなどの新技術・アプリケーションを利用した音声・映像コンテンツの生成に関するその他の規制要件に基づき、ディープシンセシスをさらに明確にし、洗練させる必要がある 深層合成技術の適用シナリオを基に、深層合成技術の適用シナリオを明確にして精緻化し、深層合成サービス提供者と利用者の情報セキュリティ義務を明示し、体系的、目標的、かつ運用可能な特別な管理規定を導入する必要がある。
二、起草过程 2. 起草プロセス
(一)开展立法调研。深入企业、科研院所、高校等单位调查研究国内深度合成技术发展、应用场景,充分研究国内外深度合成技术发展应用中存在的问题及监管情况,全面梳理互联网信息服务深度合成活动信息安全风险。 (1) 立法調査の実施 企業、科学研究機関、大学や他のユニットを調査し、国内の深さの合成技術、アプリケーションのシナリオの開発を研究し、完全に国内外で深さの合成技術の開発と応用の問題と規制状況を研究し、包括的にインターネット情報サービスの深さの合成活動の情報セキュリティのリスクを整理するために詳細な調査。
(二)组织研究论证。组织系列专家研讨会,邀请科研院所和高校技术、法律专家对互联网信息服务深度合成活动现状、问题及法律规制进行深入分析,并就《规定》体例框架、主要制度和具体内容开展论证研究。 (2) 研究・実証を行う。 一連の専門家セミナーを開催し、科学研究機関や大学から技術・法律の専門家を招いて、インターネット情報サービスの詳細な合成活動の現状、問題点、法的規制についての詳細な分析を行い、規則の本体の枠組み、主要なシステム、具体的な内容についてのデモンストレーションと研究を行う。
(三)起草《规定(征求意见稿)》。坚持问题导向和目标导向,落实、细化《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规要求,起草形成《规定(征求意见稿)》。 (3) 規定のドラフト化(意見募集稿)。 問題志向と目標志向を堅持し、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「インターネット情報サービス管理弁法」などの法律や行政法規を実施・精査し、「規則(パブリックコメント用ドラフト)」を起案・策定すること。
三、主要内容 3. 主な内容
《规定(征求意见稿)》共二十五条,主要规定了以下五个方面的内容。 本規定(パブリックコメント用ドラフト)は、全25条で構成されており、主に以下の5点について規定している。
(一)明确了制定目的依据、适用范围和总体要求。明确在中华人民共和国境内应用深度合成技术提供互联网信息服务,以及为深度合成服务提供技术支持的活动,适用本规定。明确深度合成技术、深度合成服务提供者和深度合成服务使用者等概念的含义。明确国家网信部门、地方网信部门的统筹协调和监督管理职责以及深度合成服务提供者、使用者的基本要求。鼓励相关行业组织加强行业自律。强调不得利用深度合成服务从事法律法规禁止的活动,不得制作、复制、发布、传播含有法律法规禁止内容的信息。(第一条至第六条) (1)  策定目的、適用範囲、一般的な要求事項の根拠を明確にする。 中華人民共和国の深さの合成技術のアプリケーションを明確にインターネットの情報サービスを提供するだけでなく、合成サービスの深さは、技術サポート活動を提供するために、規定が適用されます。 深層合成技術、深層合成サービスプロバイダー、深層合成サービスユーザーなどの概念の意味を明確にする。 国のインターネット情報部門と地方のインターネット情報部門の調整・監督責任、および深層合成サービスの提供者と利用者の基本的な要件を明確にする。 業界の自主規制を強化するために、関連する業界団体を奨励する。 深層合成サービスは、法令で禁止されている活動に従事するために使用してはならず、法令で禁止されている内容を含む情報を作成、コピー、出版、または配布してはならないことを強調している。 (第1条から第6条まで)
(二)明确了深度合成服务提供者主体责任。要求建立健全算法机制机理审核、信息内容管理、从业人员教育培训等管理制度,具有与新技术新应用发展相适应的安全可控的技术保障措施。应当制定并公开管理规则和平台公约,并对使用者依法进行真实身份信息认证。加强内容管理,采取技术或者人工方式对输入数据和合成结果进行审核,并建立健全相关特征库。加强技术管理,定期审核、评估、验证算法机制机理。提供涉及生物识别信息或者可能涉及国家安全、社会公共利益的模型、模板等工具的,应当自行开展安全评估,预防信息安全风险。加强训练数据管理,确保数据处理正当、合法,采取必要措施保障数据和个人信息安全。(第七条至第十二条) (2)  深層合成サービス提供者の主な責任を明確にする。 アルゴリズム・メカニズムの監査、情報コンテンツの管理、実務者の教育・訓練などの管理体制を確立・改善し、新技術・新用途の開発に対応した安全で制御可能な技術的保障措置を持つことが求められている。 管理ルールやプラットフォームの規約を策定して公開し、法律に基づいて実在するID情報でユーザーを認証することが必要です。 コンテンツ管理を強化し、入力データや合成結果を監査するための技術的または手動的な方法を採用し、関連する機能の健全なライブラリーを確立する。 技術的な管理を強化し、定期的にアルゴリズムのメカニズムの見直し、評価、検証を行う。 生体情報を含む、あるいは国家安全保障や社会公共の利益に関わる可能性のあるモデルやテンプレートなどのツールを提供する方は、情報セキュリティ上のリスクを防ぐために、独自のセキュリティ評価を行う必要があります。 トレーニングデータの管理を強化し、適切かつ合法的なデータ処理を行い、データおよび個人情報のセキュリティを保護するために必要な措置を講じること。 (第7条~第12条)
(三)明确了深度合成信息内容标识管理制度。要求深度合成服务提供者对使用其服务所制作的深度合成信息内容,通过有效技术措施添加不影响用户使用的标识,依法保存日志信息,使深度合成信息内容可被自身识别、追溯。对生成或者显著改变信息内容的深度合成信息内容,应当使用显著方式进行标识,向社会公众有效提示信息内容的合成情况;对其他深度合成信息内容,应当提供进行显著标识的功能,并提示使用者可以自行标识。发现应该进行显著标识而未显著标识的,应当立即停止传输该信息,按规定作出显著标识后,方可继续传输。(第十三条至第十五条) (3)  深く合成された情報の内容を特定するための管理体制を明確にする。 深層合成サービス事業者に対して、そのサービスを利用して作成された深層合成情報コンテンツに、有効な技術的手段を用いて利用者の利用に影響を与えない表示を付加すること、および深層合成情報コンテンツが自ら識別・追跡できるように法律に基づいてログ情報を保管することを求める。 情報の内容を生成または大幅に変更する深い合成情報コンテンツは、合成情報コンテンツであることを効果的に公衆に示すために、重要な方法でマーキングする必要があります。その他の深い合成情報コンテンツについては、重要なマーキングの機能を提供し、ユーザーは自分でマーキングするよう促されるべきである。 明示的に表示すべきであるにもかかわらず、明示的に表示されていないことが判明した場合には、当該情報の送信を直ちに停止し、規定に従って明示的に表示されるまで送信を継続してはならない。 (第13条~第15条)。
(四)明确了监督管理相关要求。互联网应用商店服务提供者应当对深度合成应用程序履行安全管理责任,依法依约核验安全评估、备案等情况,对违反国家有关规定的,及时采取不予上架、暂停上架或者下架等处置措施。深度合成服务提供者应当建立健全辟谣机制,设置便捷有效的用户申诉和公众投诉、举报入口;应当按照有关规定履行备案手续、标明备案编号;开发上线具有舆论属性或者社会动员能力的新产品、新应用、新功能的,应当按照国家有关规定开展安全评估;对网信部门依法实施的监督检查,应当予以配合,并提供必要的技术、数据等支持和协助。(第十六条至第二十一条) (4) 監督および管理に関する要件を明確にする。 インターネットアプリケーションショップサービスプロバイダは、深層合成アプリケーションのセキュリティ管理責任を果たし、法律に基づいてセキュリティ評価やファイリングなどの状況を確認し、関連する国内規制に違反した場合には、タイムリーに掲載しない、停止する、棚から削除するなどの処分を行うものとします。 深層合成サービスプロバイダは、確立し、偽情報のメカニズムを改善する必要があります、便利で効果的なユーザーの苦情や公共の苦情、報告ポータルを設定し、レコードの手順の関連規定に従って、レコード番号でマークする必要があります。 協力し、必要な技術、データ、その他のサポートや支援を提供する。 (第16条~第21条)
(五)明确了法律责任、解释部门和施行日期。违反《规定》相关规定的,由国家和省、自治区、直辖市网信部门依据职责,按照《规定》和有关法律法规规章的规定予以处理。《规定》由国家互联网信息办公室负责解释。(第二十二条至第二十五条) (5)法的責任、解釈部門、実施日を明確にする。 本規定の関連規定に違反した場合は、国および省、自治区、市レベルのインターネット情報部門が、その職務に基づき、本規定および関連する法律、規則、規定に基づいて対処するものとする。 本規定の解釈については、国家サイバースペース管理局が責任を負うものとします。 (第22条から第25条)。

 

 


1_20210612030101

 


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

 

| | Comments (0)

2022.01.29

ENISA データ保護エンジニアリング

こんにちは、丸山満彦です。

ENISAがデータ保護エンジニアリングに関する報告書を公表していますね。。。

ENISA

・2022.01.27 (press) Promoting Data Protection by Design: Exploring Techniques

Promoting Data Protection by Design: Exploring Techniques デザインによるデータ保護の推進:テクニックを探る
On the occasion of Data Protection Day, the European Union Agency for Cybersecurity (ENISA) explores how to engineer data protection principles. データ保護の日を機に、欧州連合サイバーセキュリティ機関(ENISA)は、データ保護の原則をエンジニアリングする方法を探ります。
The European Union Agency for Cybersecurity (ENISA) joins the celebrated Data Protection Day by publishing a new report on data protection engineering. January 28th marks the anniversary of the Council of Europe's Convention 108 on the protection of personal information, the first legally binding international law in the field of data protection. 欧州連合サイバーセキュリティ機関(ENISA)は、データ保護エンジニアリングに関する新しい報告書を発表し、記念すべき「データ保護の日」に参加します。1月28日は、データ保護の分野で初めて法的拘束力を持つ国際法である欧州評議会の「個人情報の保護に関する条約108」が制定された記念日です。
The evolution of technology has given rise to new techniques to share, process and store data. These new technologies have often been introduced without a prior assessment of the impact on privacy and data protection while new threats and attack vectors have introduced additional challenges.  テクノロジーの進化により、データを共有、処理、保存するための新しい技術が生まれました。これらの新技術は、プライバシーやデータ保護への影響を事前に評価することなく導入されることが多く、また、新たな脅威や攻撃手段によって、さらなる課題が生じています。 
The new publication takes a broader look into data protection engineering to support practitioners and organisations. It seeks to help them with the practical implementation of the technical aspects of data protection by design and by default. The report presents existing (security) technologies and techniques and discusses their strengths and applicability in order to meet the data protection principles stipulated by the General Data Protection Regulation (GDPR). この新刊は、実務家や組織を支援するために、データ保護工学をより広く捉えています。このレポートは、データ保護の技術的側面をデザインとデフォルトで実践する際の支援を目的としています。本報告書では、一般データ保護規則(GDPR)で規定されているデータ保護の原則を満たすために、既存の(セキュリティ)技術とテクニックを紹介し、その強みと適用可能性について議論しています。
Data protection by design has been a legal obligation since the GDPR came into effect in 2018. The concept is often associated with the use of specific Privacy Enhancing Technologies (PETs). However, it also extends to various technological and organisational components meant to implement data protection principles. Engineering those principles into practice not only means integrating them into the design of the processing operation. It also means selecting, deploying, configuring and maintaining the appropriate technological measures and techniques to that effect. 設計によるデータ保護は、2018年にGDPRが施行されて以来、法的義務となっています。この概念は、特定のプライバシー強化技術(PET)の使用と関連付けられることが多い。しかし、データ保護の原則を実装するためのさまざまな技術的・組織的コンポーネントにも適用されます。これらの原則を実践することは、処理作業の設計に組み込むことを意味するだけではありません。また、そのための適切な技術的手段と技術を選択し、導入し、構成し、維持することも意味します。
Today’s publication follows that goal by providing an analysis of possible strengths of techniques in several areas including anonymisation, data masking, privacy preserving computations, storage, transparency and user control tools. 本日の報告書では、この目標に沿って、匿名化、データマスキング、プライバシー保護のための計算、保管、透明性、ユーザーコントロールツールなど、いくつかの分野における技術の強みを分析しています。
Scope of the report 報告書の範囲
The report is designed to help assess the most relevant techniques depending on each processing operation and based on the need of the data controller by providing strengths and possible limitations.  本報告書は、データ管理者の必要性に基づき、各処理作業に応じて最も関連性の高い技術を評価するために、強みと考えられる制限を提供することを目的としています。 
Traditional security techniques such as access control and privacy preserving storage are being discussed in addition to novel concepts such as synthetic data which introduce new opportunities and challenges.  アクセス制御やプライバシー保護を目的としたストレージなどの従来のセキュリティ技術に加え、新たな機会や課題をもたらす合成データなどの新しいコンセプトについても取り上げています。 
The report underlines the importance of policy guidance and the ability to demonstrate compliance and provide assurance to end-users. 本報告書では、ポリシーガイダンスの重要性と、コンプライアンスを実証し、エンドユーザーに保証を提供する能力が強調されています。
ENISA is currently setting up an Ad Hoc Working Group in the area of Data Protection Engineering. The Ad-Hoc Working Group on Data Protection Engineering is open until 15 February 2022 12:00 noon EET (Athens time zone). The role of the group will be to support the analysis of available or emerging technologies and techniques in the area in order to identify and highlight good practices and innovative security techniques. ENISAは現在、データ保護エンジニアリングの分野でAd Hoc Working Groupを立ち上げています。データ保護エンジニアリングに関するAd-Hoc Working Groupは、2022年2月15日12:00 EET(アテネ時間帯)まで募集しています。このグループの役割は、この分野で利用可能な、あるいは新たに登場する技術や技法の分析をサポートし、優れた事例や革新的なセキュリティ技法を特定して強調することです。
Background 背景
The General Data Protection Regulation (GDPR) addresses the risks associated with the processing of personal data. The regulation intends to reinforce individuals’ rights in the digital era and enable them to better control their personal data online. At the same time, modernised and unified rules will allow businesses to make the most of the opportunities of the Digital Single Market (DSM) also benefiting from increased consumer trust. 一般データ保護規則(GDPR)は、個人データの処理に関連するリスクに対処するものです。この規則は、デジタル時代における個人の権利を強化し、オンラインで個人データをよりよく管理できるようにすることを目的としています。同時に、近代的で統一された規則により、企業はデジタル単一市場(DSM)の機会を最大限に活用し、消費者の信頼を高めることができます。
To this end, ENISA looks into the solutions offered by Privacy by design as a fundamental principle of embedding data protection safeguards at the heart of new electronic products and services. An example is Privacy Enhancing Technologies (PETs) that can support privacy integration in systems and services. ENISA also engages in different analyses of other security measures in relation to cryptographic protocols or online and mobile data protection among others. この目的のために、ENISAは、新しい電子製品やサービスの中心にデータ保護のセーフガードを組み込む基本原則として、プライバシー・バイ・デザインが提供するソリューションに注目しています。その一例が、システムやサービスにおけるプライバシーの統合をサポートするPrivacy Enhancing Technologies (PETs)です。また、ENISAは、暗号プロトコルやオンラインおよびモバイルのデータ保護に関連するその他のセキュリティ対策についてもさまざまな分析を行っています。
Further Information 関連情報
ENISA Report - Data Protection Engineering ENISAレポート - データ保護エンジニアリング
ENISA webpage on Data Protection  データ保護に関するENISAのウェブページ 
ENISA Annual Privacy Forum 2022 (APF 2022) ENISA Annual Privacy Forum 2022 (APF 2022)
ENISA Report - Data Pseudonymisation: Advanced Techniques and Use Cases ENISA Report - Data Pseudonymisation: 高度な技術と使用例

 

・2022.01.27 Data Protection Engineering

Data Protection Engineering データ保護エンジニアリング
Data Protection Engineering can be perceived as part of data protection by Design and by Default. It aims to support the selection, deployment and configuration of appropriate technical and organizational measures in order to satisfy specific data protection principles. The current report took a broader look into data protection engineering with a view to support practitioners and organizations with practical implementation of technical aspects of data protection by design and by default. Towards this direction this report presents existing (security) technologies and techniques and discusses possible strengths and applicability in relation to meeting data protection principles as set out in Article 5 GDPR. Based on this analysis, the report provides conclusions and recommendations for relevant stakeholders. データ保護エンジニアリングは、「設計によるデータ保護」および「デフォルトによるデータ保護」の一部であると考えることができます。データ保護工学は、特定のデータ保護原則を満たすために、適切な技術的および組織的手段の選択、展開、設定をサポートすることを目的としています。本報告書では、データ保護の技術的側面をデザインおよびデフォルトで実装する際に、実務者および組織を支援することを目的として、データ保護工学をより広く検討しました。この方向性に向けて、本報告書では、既存の(セキュリティ)技術とテクニックを紹介し、GDPR第5条に規定されているデータ保護原則を満たす上での強みと適用可能性について議論しています。この分析に基づいて、本報告書では結論と関連するステークホルダーへの提言を行っています。

 

・[PDF] Data Protecion Engineering

20220128-233542

 

目次

1. INTRODUCTION 1. 序論
1.1 DATA PROTECTION BY DESIGN 1.1 デザインによるデータ保護
1.2 SCOPE AND OBJECTIVES 1.2 範囲および目的
1.3 STRUCTURE OF THE DOCUMENT 1.3 本文書の構成
2. ENGINEERING DATA PROTECTION 2. エンジニアリングによるデータ保護
2.1 FROM DATA PROTECTION BY DESIGN TO DATA PROTECTION ENGINEERING 2.1 設計によるデータ保護からデータ保護エンジニアリングへ
2.2 CONNECTION WITH DPIA 2.2 dpiaとの関連
2.3 PRIVACY ENHANCING TECHNOLOGIES 2.3 プライバシー強化技術
3. ANONYMISATION AND PSEUDONYMISATION 3. 匿名化と仮名化
3.1 ANONYMISATION 3.1 匿名化
3.2 k-ANONYMITY 3.2 k-匿名化
3.3 DIFFERENTIAL PRIVACY 3.3 ディファレンシャル・プライバシー
3.4 SELECTING THE ANONYMISATION SCHEME 3.4 匿名化スキームの選択
4. DATA MASKING AND PRIVACY-PRESERVING COMPUTATIONS 4. データマスキングとプライバシー保護のための計算
4.1 HOMOMORPHIC ENCRYPTION 4.1 ホモモルフィックな暗号化
4.2 SECURE MULTIPARTY COMPUTATION 4.2 安全なマルチパーティ計算
4.3 TRUSTED EXECUTION ENVIRONMENTS 4.3 信頼できる実行環境
4.4 PRIVATE INFORMATION RETRIEVAL 4.4 秘密情報の検索
4.5 SYNTHETIC DATA 4.5 合成データ
5. ACCESS. COMMUNICATION AND STORAGE 5. アクセス 通信とストレージ
5.1 COMMUNICATION CHANNELS 5.1 通信チャネル
5.1.1 End to End Encryption 5.1.1 端末間暗号化
5.1.2 Proxy & Onion Routing 5.1.2 プロキシとオニオン・ルーティング
5.2 PRIVACY PRESERVING STORAGE 5.2 プライバシーを保護するストレージ
5.3 PRIVACY-ENHANCING ACCESS CONTROL, AUTHORIZATION AND AUTHENTICATION 5.3 プライバシーを保護するアクセスコントロール、認可、認証
5.3.1 Privacy-enhancing attribute-based credentials 5.3.1 プライバシーに配慮した属性ベースのクレデンシャル
5.3.2 Zero Knowledge Proof 5.3.2 ゼロ知識証明
6. TRANSPARENCY, INTERVENABILITY AND USER CONTROL TOOLS 6. 透明性、介入可能性、ユーザーコントロールツール
6.1 PRIVACY POLICIES 6.1 プライバシーポリシー
6.2 PRIVACY ICONS 6.2 プライバシーアイコン
6.3 STICKY POLICIES 6.3 スティッキーポリシー
6.4 PRIVACY PREFERENCE SIGNALS 6.4 プライバシー設定シグナル
6.5 PRIVACY DASHBOARDS 6.5 プライバシーダッシュボード
6.5.1 Services-side privacy dashboards 6.5.1 サービス側のプライバシーダッシュボード
6.5.2 User-side privacy dashboards 6.5.2 ユーザー側のプライバシーダッシュボード
6.6 CONSENT MANAGEMENT 6.6 同意管理
6.7 CONSENT GATHERING 6.7 同意の収集
6.8 CONSENT MANAGEMENT SYSTEMS 6.8 同意管理システム
6.9 EXERCISING RIGHT OF ACCESS 6.9 アクセス権の行使
6.9.1 Delegation of Access Rights Requests 6.9.1 アクセス権要求の委譲
6.10EXERCISING RIGHT TO ERASURE, RIGHT TO RECTIFICATION 6.10 削除権、修正権の行使
7. CONCLUSIONS 7. 結論
7.1 DEFINING THE MOST APPLICABLE TECHNIQUE 7.1 最も適用可能な技術の定義
7.2 ESTABLISHING THE STATE-OF-THE-ART 7.2 最新技術の確立
7.3 DEMONSTRATE COMPLIANCE AND PROVIDE ASSURANCE 7.3 コンプライアンスの実証と保証の提供
8. REFERENCES 8. 参考文献

 

EXECUTIVE SUMMARY  エグゼクティブ・サマリー 
The evolution of technology has brought forward new techniques to share, process and store data. This has generated new models of data (including personal data) processing, but also introduced new threats and challenges. Some of the evolving privacy and data protection challenges associated with emerging technologies and applications include: lack of control and transparency, possible reusability of data, data inference and re-identification, profiling and automated decision making.   テクノロジーの進化により、データを共有、処理、保存するための新しい技術が登場しました。これにより、データ(個人データを含む)処理の新しいモデルが生まれただけでなく、新たな脅威や課題も発生しています。新興技術やアプリケーションに関連して進化するプライバシーおよびデータ保護の課題には、管理と透明性の欠如、データの再利用の可能性、データの推論と再識別、プロファイリング、自動化された意思決定などがあります。 
The implementation of the GDPR data protection principles in such contexts is challenging as they cannot be implemented in the traditional, “intuitive” way. Processing operations must be rethought, sometimes radically (similar to how radical the threats are), possibly with the definition of new actors and responsibilities, and with a prominent role for technology as an element of guarantee. Safeguards must be integrated into the processing with technical and organisational measures. From the technical side, the challenge is to translate these principles into tangible requirements and specifications by requirements by selecting, implementing and configuring appropriate technical and organizational measures and techniques このような状況下でGDPRのデータ保護原則を実施することは、従来の「直感的」な方法では実施できないため、困難を伴います。処理作業は、時には根本的に(脅威がどれほど根本的であるかと同様に)再考しなければなりません。場合によっては、新たな関係者と責任を定義し、保証の要素として技術が重要な役割を果たすことも必要です。セーフガードは、技術的および組織的な手段によって処理に組み込まれなければならない。技術面での課題は、適切な技術的・組織的措置および技術を選択、実装、構成することにより、これらの原則を要件ごとに具体的な要件および仕様に変換することです。
Data Protection Engineering can be perceived as part of data protection by Design and by Default. It aims to support the selection, deployment and configuration of appropriate technical and organizational measures in order to satisfy specific data protection principles. Undeniably it depends on the measure, the context and the application and eventually it contributes to the protection of data subjects’ rights and freedoms.   データ保護エンジニアリングは、「設計によるデータ保護」および「デフォルトによるデータ保護」の一部として認識することができます。データ保護エンジニアリングは、特定のデータ保護原則を満たすために、適切な技術的および組織的な手段の選択、展開、および構成をサポートすることを目的としています。データ保護エンジニアリングは、データ対象者の権利と自由の保護に貢献するための手段、状況、およびアプリケーションに依存することは間違いありません。 
The current report took a broader look into data protection engineering with a view to support practitioners and organizations with practical implementation of technical aspects of data protection by design and by default. Towards this direction this report presents existing (security) technologies and techniques and discusses possible strengths and applicability in relation to meeting data protection principles as set out in Article 5 GDPR.    今回の報告書では、データ保護の技術的側面をデザインおよびデフォルトで実践することで、実務者や組織を支援することを目的として、データ保護工学をより広く検討しました。この方向性に向けて、本報告書では、既存の(セキュリティ)技術と技法を紹介し、GDPR第5条に規定されているデータ保護の原則を満たす上での強みや適用可能性について議論しています。  
Based on the analysis provided in the report, the following conclusions and recommendations for relevant stakeholders are provided below: 本報告書の分析結果に基づき、関連するステークホルダーに対する結論と提言を以下に示します。
・Regulators (e.g. Data Protection Authorities and the European Data Protection Board) should discuss and promote good practices across the EU in relation to state-of-the-art solutions of relevant technologies and techniques. EU Institutions could promote such good practices by relevant publicly available documents.  ・規制当局(データ保護当局や欧州データ保護委員会など)は、関連する技術や手法の最先端のソリューションに関連して、EU全体でグッドプラクティスを議論し、促進すべきである。EU機関は、そのようなグッドプラクティスを、関連する公開文書によって促進することができる。
・The research community should continue exploring the deployment of (security) techniques and technologies that can support the practical implementation of data protection principles, with the support of the EU institutions in terms of policy guidance and research funding.  ・研究コミュニティは、政策指導や研究資金の面でのEU機関の支援を受けて、データ保護原則の実際の実施を支援できる(セキュリティ)技術・技法の展開を継続的に探求すべきである。
・Regulators (e.g. Data Protection Authorities and the European Data Protection Board) and the European Commission should promote the establishment of relevant certification schemes, under Article 42 GDPR, to ensure proper engineering of data protection.  ・規制当局(データ保護当局および欧州データ保護委員会など)および欧州委員会は、GDPR第42条に基づき、データ保護の適切なエンジニアリングを確保するために、関連する認証制度の設立を促進すべきである。

| | Comments (0)

NISC 意見募集 「重要インフラのサイバーセキュリティに係る行動計画(案)」

こんにちは、丸山満彦です。

NISCが「重要インフラのサイバーセキュリティに係る行動計画(案)」について意見募集をしていますね。。。

● NISC

・2022.01.28 「重要インフラのサイバーセキュリティに係る行動計画(案)」に関する意見の募集について

意見募集対象

・[PDF] 重要インフラのサイバーセキュリティに係る行動計画(案)

20220129-02656

 

概要です(意見募集対象ではないです。。。)

・[PDF] 重要インフラの情報セキュリティ対策に係る第4次行動計画の改定案の概要

変更点のポイントはP2にありますね。。。。。。

20220129-03100

 

ちなみに、報告書案の目次。。。

I. 総論
1.
重要インフラ防護の目的
2.
理想とする将来像
3.
サイバーセキュリティ基本法との整合性について
 3.1
サイバーセキュリティ基本法における行動計画の位置付け
 3.2 サイバーセキュリティ基本法におけるサイバーセキュリティの定義
 3.3 サイバーセキュリティ基本法における関係主体の責務

4.
本行動計画における施策群と補強・改善の方向性等

II. 本行動計画の要点(エグゼクティブサマリー)

III. 重要インフラを取り巻く環境変化と行動計画に関する基本的な考え方
1.
重要インフラを取り巻くサイバーセキュリティの環境変化
2.
重要インフラ防護の範囲
3.
組織統治の一部としてのサイバーセキュリティ
4.
自組織に適した防護対策の実現

IV. 計画期間内の取組
1.
障害対応体制の強化
 1.1
組織統治の一部としての障害対応体制
 1.2 障害対応体制の強化に向けた取組
 1.3 官民一体となった障害対応体制の強化
 1.4 重要インフラに係る防護範囲の見直し

2.
安全基準等の整備及び浸透
 2.1
安全基準等策定指針の継続的改善
 2.2 安全基準等の継続的改善
 2.3 安全基準等の浸透
 2.4 安全基準等の文書の明確化

3.
情報共有体制の強化
 3.1
本行動計画期間における情報共有体制
 3.2 情報共有の更なる促進
 3.3 重要インフラ事業者等の活動の更なる活性化
 3.4 セプター訓練

4.
リスクマネジメントの活用
 4.1
リスクマネジメントの推進
 4.2 環境変化におけるリスク把握

5.
防護基盤の強化
 5.1
障害対応体制の有効性検証
 5.2 人材育成等の推進
 5.3 「セキュリティ・バイ・デザイン」の推進
 5.4 国際連携の推進
 5.5 サイバー犯罪対策等の強化
 5.6 デジタル庁と連携したセキュリティ確保
 5.7 広報広聴活動の推進

V. 関係主体において取り組むべき事項
1.
内閣官房
2.
重要インフラ所管省庁
3.
サイバーセキュリティ関係省庁
4.
事案対処省庁及び防災関係府省庁
5.
重要インフラ事業者等
6.
セプター及びセプター事務局
7.
セプターカウンシル
8.
サイバーセキュリティ関係機関
9.
サイバー空間関連事業者

VI. 評価・検証
1.
本行動計画の評価
 1.1
評価運営
 1.2 補完調査

2.
本行動計画の検証
 2.1
検証運営
 2.2 「重要インフラ事業者等による対策」の検証
 2.3 「政府機関等による施策」の検証

VII. 本行動計画の見直し

別添:情報連絡・情報提供について
1.
システムの不具合等に関する情報
2.
重要インフラ事業者等からの情報連絡
 2.1
情報連絡を行う場合
 2.2 情報連絡の仕組み
 2.3 情報連絡された情報の取扱い

3. 重要インフラ事業者等への情報提供
 3.1
情報提供を行う場合
 3.2 情報提供の仕組み
 3.3 情報提供のための連携体制

別紙1 対象となる重要インフラ事業者等と重要システム例
別紙2 重要インフラサービスとサービス維持レベル
別紙3 情報連絡における事象と原因の類型
別紙4-1 情報共有体制(通常時)
別紙4-2 情報共有体制(大規模重要インフラサービス障害対応時)
別紙4-3 情報共有体制における各関係主体の役割
別紙5 定義・用語集

| | Comments (0)

経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

こんにちは、丸山満彦です。

経済産業省のAI原則の実践の在り方に関する検討会から、[PDF] AI原則実践のためのガバナンス・ガイドライン Ver1.0が公表され、意見募集がされましたが、その結果を踏まえた、Ver1.1が公開されていますね。。。

● 経済産業省 - AI原則の実践の在り方に関する検討会

・2022.01.28 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

 ・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.1

20220420-50504

目次

A. はじめに
. AI ガバナンス・ガイドラインの狙い
. 本ガイドラインの法的性格
. 他のガイドライン等との関係
. AI ガバナンス・ガイドラインの使い方
.  Living Document

B. 定義

C.  AI ガバナンス・ガイドライン
. 環境・リスク分析
 (1)  AI
システムがもたらしうる正負のインパクトを理解する
 (2)  AI システムの開発や運用に関する社会的受容を理解する
 (3) 自社の AI 習熟度を理解する

. ゴール設定
 (1) AI
ガバナンス・ゴールの設定を検討する
. システムデザイン(AI マネジメントシステムの構築)
 (1) AI
ガバナンス・ゴールからの乖離の評価と乖離への対応を必須プロセスとする
  ① 業界の標準的な乖離評価プロセスとの整合性を確保する
  ② 利用者に対して乖離の可能性や対応策に関する十分な情報を提供する
  ③ データ事業者は乖離評価に十分な情報を AI システム開発者に提供する
 (2) AI マネジメントシステムを担う人材のリテラシーを向上させる
 (3) 適切な情報共有等の事業者間・部門間の協力により AI マネジメントを強化する
  ① 複数事業者間の情報共有の現状を理解する
  ② 環境・リスク分析のために日常的な情報収集や意見交換を奨励する
 (4) インシデントの予防と早期対応により利用者のインシデント関連の負担を軽減する
  ① 複数事業者間の不確実性への対応負担を適切に分配する
  ② インシデント/紛争発生時の対応をあらかじめ検討しておく

. 運用
 (1) AI
マネジメントシステムの運用状況について説明可能な状態を確保する
 (2) 個々の AI システムの運用状況について説明可能な状態を確保する
 (3) AI ガバナンスの実践状況を非財務情報に位置づけて積極的な開示を検討する

. 評価
 (1) AI
マネジメントシステムが適切に機能しているかを検証する
 (2) 社外ステークホルダーから意見を求めることを検討する

. 環境・リスクの再分析
 (1)
行動目標1-1から1-3を適時に再実施する

D.  AI ガバナンス・ガイドラインに関わった有識者等
.  AI 原則の実践の在り方に関する検討会(AI 社会実装アーキテクチャー検討会)
.  AI ガバナンス・ガイドライン ワーキンググループ
. 協力者
 (1)
上記検討会における講演(講演順)
 (2) 上記ワーキンググループを拡大した事前コンサルテーションへの参加
 (3) 事務局による個別ヒアリング

. 事務局

E. 参考文献

F. 別添1(行動目標一覧)

G. 別添2(AI ガバナンス・ゴールとの乖離を評価するための実務的な対応例)

H. 別添3(補論:アジャイル・ガバナンスの実践)

・[PDF] Governance Guidelines for Implementation of AI Principles ver. 1.1

参考

・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.0

・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.0(概要)

・[PDF] Governance Guidelines for Implementation of AI Principles ver. 1.0

・[PDF] AI原則実践のためのガバナンス・ガイドライン ver. 1.0への意見募集に対する回答

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.02.15 経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

・2020.05.22 「倫理的な人工知能にとって、セキュリティは非常に重要」と言う意見

・2020.05.04 米国国防省と人工知能(戦略と倫理)

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

| | Comments (0)

防衛省 防衛研究所 イスラエルにおける重要インフラのサイバー防衛組織と課題

こんにちは、丸山満彦です。

防衛省防衛研究所がブリーフィング・メモ「イスラエルにおける重要インフラのサイバー防衛組織と課題」を公表していますね。。。

サイバー防衛法の制定を探っているという話ですかね。。。

 

防衛省防衛研究所

・2022.01.27 イスラエルにおける重要インフラのサイバー防衛組織と課題

20220128-220544

はじめに

1 イスラエルのサイバー防衛の対象としての重要インフラとは

2 イスラエルのサイバー防衛組織
(1)INCD
(2)シャバック

3 サイバー防衛機関の変遷にかかわる議論
(1)強権的な国家情報セキュリティ局の活動と中小規模事業等へのサイバー脅威増大
(2)初のシビリアンのサイバー防衛機関INCBの設立とシャバックとの対立
(3)Re’emからのCIP任務の移管とシビリアンのサイバー防衛機関INCDの創設
(4)国家サイバー・セキュリティ戦略の策定とシビリアンのサイバー防衛態勢の確立

4 イスラエルのサイバー安全保障政策上の課題
(1)INCDみずからの活動の根拠となる法律の未整備
(2)INCDの権限強化のためのサイバー防衛法(仮)立法化への動きとそれへの懸念

おわりに


 

イスラエルのサイバー防衛組織等の概要

20220128-222103

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

このメモの冒頭で説明されている「英国際戦略研究所(IISS)が 2021 年6月に発表した各国のサイバー能力に関する報告書(Cyber
Capabilities and National Power : A Net Assessment)」についての紹介は、、、

・2021.06.29 IISS サイバー対応能力と国家力 日本のサイバー能力はいけていない?

 

 

| | Comments (0)

2022.01.28

米国 商務省 監察官監査 システム・セキュリティ評価と継続的な監視プログラムを改善する必要がある

こんにちは、丸山満彦です。

商務省の監察官監査は、セキュリティ・コントロールが一貫して実施され、効果的であることを保証するために、システム・セキュリティ評価および継続的モニタリング・プログラムを改善する必要があると報告していますね。。。

実際のところはわからないですが、期待されているレベルが高いように感じます。。。

 

Oversight.GOV

・2022.01.25 The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective

The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective 米国商務省は、セキュリティ管理が一貫して実施され、効果的であることを保証するために、システムセキュリティ評価および継続的監視プログラムを改善する必要があります
For our final report on our audit of the U.S. Department of Commerce's (the Department's) system security assessment process, our objective was to assess the effectiveness of the Department's system security assessment and continuous monitoring program to ensure security deficiencies were identified, monitored, and adequately resolved. We found the Department did not effectively execute its continuous monitoring and system assessment process. Specifically, we found the following:  米国商務省のシステムセキュリティ評価プロセスの監査に関する最終報告書において、我々の目的は、セキュリティ上の欠陥が識別され、監視され、適切に解決されることを保証するために、商務省のシステムセキュリティ評価および継続的監視プログラムの有効性を評価することでした。我々は、同省が継続的な監視とシステム評価のプロセスを効果的に実行していないことを発見しました。具体的には、以下のことがわかりました。
I. the Department did not effectively plan for system assessments;  I. 省庁は、システム評価を効果的に計画していなかった、
II. the Department did not consistently conduct reliable system assessments;  II. 省庁は、信頼できるシステム評価を一貫して実施していなかった、
III. the Department did not resolve security control deficiencies within defined completion dates; and  III. 省庁は、定義された完了日内にセキュリティ管理の欠陥を解決していなかった、
IV. the Department’s security system of record—i.e., the cyber security asset and management tool—did not provide accurate and complete assessment and plan of action & milestone data. IV. 省庁のセキュリティ記録システム(サイバーセキュリティ資産および管理ツール)は、正確で完全な評価および行動計画とマイルストーンのデータを提供していなかった。

 

・[PDF] OIG-22-017.pdf

20220128-170336

目次

Objective, Findings, and Recommendations 目的、所見、および推奨事項
I. The Department Did Not Effectively Plan for System Assessments I. システムアセスメントの計画を効果的に行っていない
A. Assessment planning was inconsistent and did not provide a reliable foundation to conduct assessments A. 評価計画は一貫性がなく、評価を実施するための信頼できる基盤を提供していなかった。
B. System security plans (SSPs) do not accurately relay critical security information B. システム・セキュリティ・プラン(SSP)は、重要なセキュリティ情報を正確に伝えていない。
Recommendation 推奨事項
II. The Department Did Not Consistently Conduct Reliable System Assessments II. 当局は信頼できるシステムアセスメントを一貫して実施していない
A. The Department did not consistently assess core minimum security controls for its high- and moderate-category systems A. 同省は、高カテゴリーおよび中カテゴリーのシステムについて、コア・ミニマム・セキュリティ・コントロールを一貫して評価していなかった。
B. Documentation supporting system assessment results was not always available for review, limiting the Department’s potential for oversight and quality control B. システム評価の結果を裏付ける文書が常に確認できるわけではなく、省庁の監視と品質管理の可能性を制限していた。
Recommendations 推奨事項
III. The Department Did Not Resolve Security Control Deficiencies Within Defined Completion Dates III. セキュリティ管理の不備を定義された完了日内に解決しなかった
Recommendations 推奨事項
IV. The Department’s Security System of Record—i.e., the CSAM Tool—Did Not Provide Accurate and Complete Assessment and POA&M Data IV. 部局のセキュリティ記録システム(CSAM ツール)は、正確で完全な評価および POA&M データを提供していない。
Recommendations 推奨事項
Summary of Agency Response and OIG Comments 省庁の対応とOIGのコメントのまとめ
Appendix A: Objective, Scope, and Methodology 附属書A:目的、範囲、および方法論
Appendix B: The Risk Management Framework 附属書B:リスクマネジメントの枠組み
Appendix C: Facts and Figures 附属書C:事実と数字
Appendix D: Agency Response 附属書D:省庁の対応

 

同様な情報となりますが、商務省の監察官室のウェブページ

Office of Inspector General

・2022.01.25 The Department Needs to Improve Its System Security Assessment and Continuous Monitoring Program to Ensure Security Controls Are Consistently Implemented and Effective

​[PDF] Report​

・[PDF] Abstract

20220128-170509

・[PDF] Announcement

 

 

 

| | Comments (0)

米国 官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大

こんにちは、丸山満彦です。

バイデン政権は、官民共同パートナーシップである産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大すると公表していますね。。。電力と天然ガスに続いて、、、ということですね。。。

The White House

・2022.01.27 Fact Sheet: Biden-Harris Administration Expands Public-Private Cybersecurity Partnership to Water Sector

Fact Sheet: Biden-⁠Harris Administration Expands Public-Private Cybersecurity Partnership to Water Sector ファクトシートバイデン・ハリス政権、官民のサイバーセキュリティ・パートナーシップを水分野に拡大
Today, the Biden-Harris Administration announced it will extend the Industrial Control Systems (ICS) Cybersecurity Initiative to the water sector. The Water Sector Action plan outlines surge actions that will take place over the next 100 days to improve the cybersecurity of the sector. The action plan was developed in close partnership with the Environmental Protection Agency (EPA), the Cybersecurity and Infrastructure Security Agency (CISA), and the Water Sector Coordinating Council (WSCC). 本日、バイデン・ハリス両政権は、産業用制御システム(ICS)サイバーセキュリティ・イニシアチブを水分野に拡大することを発表しました。水分野の行動計画では、水分野のサイバーセキュリティを向上させるために、今後100日間で実施されるサージ・アクションの概要が示されています。この行動計画は、環境保護庁(EPA)、サイバーセキュリティ・インフラセキュリティ庁(CISA)、水分野調整協議会(WSCC)との緊密な連携により策定されました。
The incidents at Colonial Pipeline, JBS Foods, and other high-profile critical infrastructure providers are an important reminder that the federal government has limited authorities to set cybersecurity baselines for critical infrastructure and managing this risk requires partnership with the private sector and municipal owners and operators of that infrastructure. The Administration has already established ICS initiatives for the electric and natural gas pipeline subsectors, and today over 150 electricity utilities serving over 90 million residential customers and multiple critical natural gas pipelines have deployed or are in the process of deploying additional cybersecurity technologies. コロニアルパイプラインやJBSフーズなど、注目を集めている重要インフラ事業者の事故は、連邦政府が重要インフラのサイバーセキュリティの基準を設定する権限が限られていること、そしてこのリスクを管理するには、民間企業や自治体のインフラ所有者および運営者とのパートナーシップが必要であることを示す重要な教訓となっています。連邦政府は、電気事業と天然ガスパイプライン事業を対象としたICSイニシアチブをすでに確立しており、現在、9,000万人以上の家庭にサービスを提供している150社以上の電力会社と、複数の重要な天然ガスパイプラインが、追加のサイバーセキュリティ技術を導入しているか、導入中です。
The Water Sector Action Plan is a collaborative effort between the federal government and the critical infrastructure community to facilitate the deployment of technologies and systems that provide cyber-related threat visibility, indicators, detections, and warnings: 水分野のアクションプランは、連邦政府と重要インフラのコミュニティが協力して、サイバー関連の脅威の可視化、指標、検知、警告を提供する技術やシステムの展開を促進するためのものです。
・Similar to electric and pipeline action plans, this plan will assist owners and operators with deploying technology that will monitor their systems and provide near real-time situational awareness and warnings. The plan will also allow for rapidly sharing relevant cybersecurity information with the government and other stakeholders, which will improve the sector’s ability to detect malicious activity. ・この計画は、電気やパイプラインのアクションプランと同様に、所有者や運営者がシステムを監視し、ほぼリアルタイムで状況認識や警告を提供する技術の導入を支援するものです。また本計画は、関連するサイバーセキュリティ情報を政府や他の関係者と迅速に共有することを可能にし、これにより当該部門の悪意ある活動を検知する能力を向上させます。
・EPA and CISA will work with water utilities and invite them to participate in a pilot program for ICS monitoring and information sharing. This pilot will demonstrate the value of such technology to the sector. The WSCC, CISA, and EPA will also collaborate to promote cybersecurity monitoring to the entire sector. ・EPAおよびCISAは、水道事業者と協力し、ICS監視および情報共有のための試験的プログラムへの参加を呼びかけます。この試験的プログラムは、このような技術の価値を水道事業者に示すものです。また、WSCC、CISA、およびEPAは、サイバーセキュリティ監視を部門全体に広めるために協力します。
・The plan will meet the particular requirements of this sector. This sector is made up of thousands of systems that range in size from the very small to ones that service major metropolitan cities that have little or no cybersecurity expertise and are unsure what steps they should take to address cyber risks. EPA and CISA will work with appropriate private sector partners to develop protocols for sharing information. The government will not select, endorse, or recommend any specific technology or provider. ・この計画は、この部門の特殊な要件を満たすものです。この部門は、非常に小規模なものから大都市にサービスを提供しているものまで、様々な規模の数千のシステムで構成されており、サイバーセキュリティに関する専門知識をほとんどあるいは全く持たず、サイバーリスクに対処するためにどのような手段を講じるべきかわかりません。EPAおよびCISAは、適切な民間企業パートナーと協力して、情報共有のためのプロトコルを策定します。政府は、特定の技術または事業者を選択、支持、または推奨することはありません。
・The plan will initially focus on the utilities that serve the largest populations and have the highest consequence systems; however, it will lay the foundation for supporting enhanced ICS cybersecurity across water systems of all sizes. ・本計画は、当初、最大の人口を抱え、最も高い影響力を有するシステムを有する公益事業に焦点を当てる予定であるが、あらゆる規模の水システム全体におけるICSサイバーセキュリティの強化を支援するための基盤を構築します。
Efforts like this highlight cybersecurity as a top economic and national security priority for the Biden-Harris Administration: このような取り組みは、サイバーセキュリティがバイデン・ハリス政権の経済と国家安全保障における最優先事項であることを示しています。
・The Administration has rapidly moved out on a whole-of-government effort to counter ransomware including disrupting ransomware infrastructure and actors, bolstering public and private resilience to withstand ransomware attacks, and leverage international cooperation to address safe harbors for ransomware criminals and disrupt the ransomware ecosystem. ・政権は、ランサムウェアのインフラや関係者の混乱、ランサムウェアの攻撃に耐えうる官民の回復力の強化、ランサムウェア犯罪者のセーフハーバーへの対応とランサムウェアのエコシステムの破壊に向けた国際協力など、ランサムウェア対策に向けた政府全体の取り組みを急速に進めています。
・President Biden signed an Executive Order to modernize cybersecurity defenses by protecting federal networks, improving information-sharing between the U.S. government and the private sector on cyber issues, and strengthening the United States’ ability to respond to incidents when they occur. The Executive Order uses the federal government’s buying power to drive security in the software we all use.   ・バイデン大統領は、連邦政府のネットワークを保護し、サイバー問題に関する米国政府と民間企業の情報共有を改善し、インシデント発生時の米国の対応能力を強化することで、サイバーセキュリティの防御を近代化するための大統領令に署名しました。この大統領令は、連邦政府の購買力を利用して、私たちが使用しているソフトウェアのセキュリティを推進するものです。
・President Biden met with private sector and education leaders in August to discuss the whole-of-nation effort needed to address cybersecurity threats – and leaders announced ambitious initiatives to bolster the Nation’s cybersecurity. The White House convened government and private sector stakeholders to improve the security of open source software and ways new collaboration could rapidly drive improvements. And officials continue calling on the private sector publicly and privately to implement best practices to defend against malicious cyber activity, including backing up data, implementing multi-factor authentication, and testing incident response plans. ・バイデン大統領は、8月に民間企業および教育機関のリーダーと会合を持ち、サイバーセキュリティの脅威に対処するために必要な国全体の取り組みについて話し合いました。そして、リーダーたちは、米国のサイバーセキュリティを強化するための野心的な取り組みを発表しました。ホワイトハウスは、政府と民間企業の関係者を招集し、オープンソースソフトウェアのセキュリティを向上させ、新たな協力体制によって迅速に改善を図る方法を検討しました。また、民間企業に対しても、データのバックアップ、多要素認証の導入、インシデント対応計画のテストなど、悪意のあるサイバー活動から身を守るためのベストプラクティスを実施するよう、公私に渡って呼びかけを続けています。
・The Administration has rallied G7 countries to hold accountable nations who harbor ransomware criminals, updated NATO cyber policy for the first time in seven years, and brought together more than 30 allies and partners to accelerate our cooperation in combatting cybercrime, improve law enforcement collaboration, and stem the illicit use of cryptocurrency. The Administration has imposed costs on Russia for SolarWinds, attributed malicious cyber activity to the PRC with a strong coalition, including NATO for the first time, and have made clear to nation-states and malicious actors that we will continue to use every tool available to us to protect the American people and American interests against cyber threats. ・政権は、G7諸国にランサムウェアの犯罪者を匿っている国に責任を負わせるよう働きかけ、NATOのサイバー政策を7年ぶりに更新し、30以上の同盟国とパートナーを集めて、サイバー犯罪との戦いにおける協力関係を加速させ、法執行機関の連携を強化し、暗号通貨の不正使用を阻止しました。政府は、SolarWindsの件でロシアにコストを課し、悪意のあるサイバー活動の原因を初めてNATOを含む強力な連合体である中国に帰し、サイバー脅威から米国民と米国の利益を守るために利用可能なあらゆる手段を使い続けることを、国家や悪意のある行為者に明らかにしました。

Fig1_20210802074601


● まるちゃんの情報セキュリティ気まぐれ日記

Water sector関係

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

Counter Ransomware関係

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

それに関連して...

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.11.16 米国 財務省 イスラエル財務省とランサムウェアと戦うためのパートナーシップを締結

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)


 

 

 

| | Comments (0)

英国 デジタル・文化・メディア・スポーツ省 サイバーセキュリティ長期調査:第1回

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)がサイバーセキュリティ長期(3年予定)調査の第1回の結果を公表していますね。。。

 

● U.K. Government - Department for Digital, Culture, Media & Sport

・2022.01.27 (Research and analysis) Cyber security longitudinal survey - wave one

・[HTML] Cyber security longitudinal survey: wave 1

・[PDF] Cyber security longitudinal survey: wave one

20220128-110938

 

・[PDF] Medium businesses infographic - cyber security longitudinal survey

20220128-111241


目次...

Executive summary エグゼクティブサマリー
Chapter 1: Introduction 第1章:はじめに
1.1 Background to the research 1.1 調査の背景
1.2 Difference from the Cyber Security Breaches Survey 1.2 「サイバーセキュリティ侵害に関する調査」との違い
1.3 Methodology 1.3 調査方法
1.4 Interpretation of findings 1.4 調査結果の解釈
1.5 Acknowledgements 1.5 謝辞
Chapter 2: Cyber profile of organisations 第2章:組織のサイバープロファイル
2.1 Cloud computing 2.1 クラウドコンピューティング
2.2 Use of personal devices 2.2 パーソナルデバイスの利用
2.3 Use of artificial intelligence (AI) and machine learning 2.3 人工知能(AI)と機械学習の利用
2.4 Use of external IT providers 2.4 外部ITプロバイダーの利用
Chapter 3: Board involvement 第3章:取締役会の関与
3.1 Roles and responsibilities 3.1 役割と責任
3.2 Awareness and training 3.2 意識向上とトレーニング
3.3 Attitudes to cyber risk 3.3 サイバーリスクに対する考え方
Chapter 4: Sources of information 第4章:情報源
4.1 Use of NCSC guidance 4.1 NCSCガイダンスの利用
4.2 Other information sources/influencers 4.2 その他の情報源/影響者
Chapter 5: Cyber security Policies 第5章:サイバーセキュリティに関する方針
5.1 Governance and planning 5.1 ガバナンスと計画
5.2 Cyber insurance policies 5.2 サイバー保険の方針
5.3 Staff training 5.3 要員のトレーニング
Chapter 6: Cyber security processes 第6章:サイバーセキュリティのプロセス
6.1 Standards and certifications 6.1 標準および認証
6.2 Processes currently in place 6.2 現在実施しているプロセス
6.3 Monitoring and evaluation 6.3 モニタリングと評価
6.4 Improvements made over the last twelve months 6.4 過去12ヶ月間に実施した改善事項
6.5 Supplier risks 6.5 サプライヤーのリスク
Chapter 7: Cyber incident management 第7章:サイバーインシデントマネジメント
7.1 Processes 7.1 プロセス
Chapter 8: Prevalence and impact of cyber incidents 第8章:サイバーインシデントの発生状況と影響
8.1 Experience of incidents 8.1 インシデントの経験
8.2 How are businesses affected? 8.2 企業はどのような影響を受けるのか
8.3 Ransomware attack response policy 8.3 ランサムウェア攻撃への対応方針
8.4 Time taken to resolve business operations after cyber incident 8.4 サイバーインシデント後の業務復旧に要する時間
8.5 Financial cost of incidents 8.5 インシデントの財務コスト
Conclusions 結論
Annex A: Summary of key findings 附属書A:主な調査結果のまとめ
Annex B: Further information 附属書B:その他の情報
Annex C: Guide to statistical reliability 附属書C:統計的信頼性に関するガイド

 

エグゼクティブサマリー。。。

Executive summary エグゼクティブサマリー
The Cyber Security Longitudinal Survey (CSLS) aims to better understand cyber security policies and processes within medium and large businesses and high-income charities, and to explore the links over time between these policies and processes and the likelihood and impact of a cyber incident. This is the first research year of a three-year study, and therefore the main objective of this report is to establish a baseline of findings as a precursor to further reports in subsequent research waves. This report also summarises additional insight from 30 follow-up qualitative interviews with survey respondents, that covered topics such as cyber security resilience, ransomware, record keeping, internal and external reporting, responsibility for cyber security and monitoring of supply chains. These are intertwined with reporting on quantitative findings. サイバーセキュリティ長期調査(Cyber Security Longitudinal Survey: CSLS)は、中堅・大企業や財政規模の大きい非営利団体におけるサイバーセキュリティの方針やプロセスをより深く理解し、これらの方針やプロセスとサイバーインシデントの可能性や影響との間の経時的な関連性を探ることを目的としています。本報告書は、3年間の調査の第1年目にあたるため、その後の調査の前段階として、調査結果のベースラインを確立することを主な目的としています。また、本報告書では、サイバーセキュリティの回復力、ランサムウェア、記録の保存、内部および外部への報告、サイバーセキュリティの責任、サプライチェーンの監視などをテーマとした、調査回答者への30件のフォローアップ定性インタビューから得られた追加の知見もまとめています。これらは、定量的な調査結果の報告と関連しています。
Overall, this baseline study found that the cyber resilience profile of organisations varies between businesses and charities as well as by business size and sector. Businesses are more likely than charities to have formal, written cyber security policies and processes in place. Large businesses (250+ staff), and particularly very large businesses (500+ staff), demonstrate greater cyber maturity compared to medium businesses and charities. Additionally, businesses in the finance and insurance and information and communication sectors tend to be in the lead in terms of cyber maturity. However, overall, organisations’ approach to cyber is likely to be more reactive than proactive, with many struggling to get senior level buy-in to improve their cyber defences. Below is a more detailed summary of key findings from each chapter of this report. 全体として、このベースライン調査では、組織のサイバーレジリエンスのプロファイルは、企業と非営利団体の間で異なるだけでなく、企業規模やセクターによっても異なることがわかりました。企業は非営利団体よりも、正式な書面によるサイバーセキュリティポリシーとプロセスを持っている可能性が高い。大企業(従業員数250人以上)、特に超大企業(従業員数500人以上)は、中規模企業や非営利団体に比べて、より高いサイバー成熟度を示しています。また、金融・保険業や情報通信業の企業は、サイバーセキュリティの成熟度でリードしている傾向にあります。しかし、全体的に見て、組織のサイバーに対するアプローチは、プロアクティブというよりもリアクティブである可能性が高く、多くの企業がサイバー防御を改善するためにシニアレベルの賛同を得るのに苦労しています。以下では、本レポートの各章で得られた主な調査結果をより詳しくまとめています。
The survey results are subject to margins of error, which vary with the size of the sample and the percentage figure concerned. For all percentage results, subgroup differences by size, sector and survey answers have been highlighted only where statistically significant [footnote 1] (at the 95% level of confidence). 調査結果には誤差が含まれており、その誤差はサンプルの大きさや対象となる数値によって異なります。すべてのパーセンテージの結果について、規模、部門、調査回答によるサブグループの違いは、統計的に有意な場合(脚注1)にのみハイライトされています(95%の信頼性レベル)。
Board involvement 取締役会の関与
This chapter investigates the level of awareness and engagement with cyber security among board members. In most organisations, members of the board are unlikely to be involved in decisions or discussions around cyber security. Half of businesses (50%) and four in ten charities (40%) say they have one or more board members whose roles include oversight of cyber security risks. Additionally, only around one-third of businesses (37%) and charities (32%) have board-level discussions or updates on cyber security at least quarterly. On a related note, a relatively low proportion of businesses (35%) and charities (28%) say their board members have received any cyber security training. 本章では、取締役会メンバーのサイバーセキュリティに対する認識と関与のレベルを調査しました。ほとんどの組織では、取締役会のメンバーがサイバーセキュリティに関する意思決定や議論に関与することはほとんどありません。企業の半数(50%)と非営利団体の10社に4人(40%)は、サイバーセキュリティリスクを監督する役割を担う役員が1人以上いると回答しています。また、少なくとも四半期に一度、サイバーセキュリティに関する取締役会レベルの議論やアップデートを行っているのは、企業(37%)と非営利団体(32%)の3分の1程度にとどまっています。関連して、役員がサイバーセキュリティのトレーニングを受けたことがあると答えたのは、企業(35%)と非営利団体(28%)の比較的低い割合でした。
However, among organisations where some form of board-level discussions about cyber security do happen, more than half of businesses (55%) and charities (60%) agree that their board integrates cyber risk considerations into wider business areas. This, together with findings from the qualitative interviews, suggests that the main problem is not in management taking ineffective action, but a lack of engagement from senior management in the first place. しかし、サイバーセキュリティについて何らかの形で取締役会で議論している組織では、企業(55%)と非営利団体(60%)の半数以上が、取締役会がサイバーリスクへの配慮をより広い事業分野に統合していることに同意しています。このことは、定性インタビューの結果と合わせて、主な問題は経営陣が効果のない行動をとることではなく、そもそも経営陣が関与していないことにあることを示唆しています。
Sources of information 情報源
This chapter identifies key information sources used to inform organisations’ approach to cyber security in the last year. この章では、過去1年間に組織がサイバーセキュリティに取り組む際に使用した主な情報源を明らかにします。
Around one-third (32%) of charities and one-quarter (23%) of businesses say they have used information or guidance from the National Cyber Security Centre (NCSC) to inform their approach to cyber security in the last year. Very large businesses with 500+ employees (37%), and businesses in the finance and insurance (51%) and information or communication (41%) sectors are the most likely to use NCSC guidance. In the qualitative research, participants mentioned that they had found the NCSC a useful source of information. 非営利団体の約3分の1(32%)、企業の約4分の1(23%)が、過去1年間にサイバーセキュリティへの取り組みについて、国家サイバーセキュリティセンター(NCSC)からの情報やガイダンスを利用したと回答しています。従業員数500人以上の超大企業(37%)、金融・保険業(51%)、情報・通信業(41%)では、NCSCのガイダンスを利用する可能性が最も高くなっています。質的調査では、参加者は、NCSCが有用な情報源であると述べています。
Regarding other sources of information or influences on cyber security policies and processes, feedback from external IT or cyber security consultants has influenced 47% of businesses and 55% of charities in the last twelve months. サイバーセキュリティポリシーやプロセスに影響を与えるその他の情報源については、過去12ヶ月間に外部のITコンサルタントやサイバーセキュリティコンサルタントからのフィードバックが影響を与えたと回答した企業は47%、非営利団体は55%でした。
Cyber security policies サイバーセキュリティポリシー
This chapter sets the baseline of cyber security policies within our longitudinal sample. Monitoring any changes to these policies over time will help us better understand how organisations are evolving their cyber defences. It will also help explore the impact this may have on organisations’ resilience to incidents. この章では、長期的なサンプルにおけるサイバーセキュリティポリシーのベースラインを設定する。これらのポリシーの変化を長期的にモニタリングすることで、組織がどのようにサイバー防御を進化させているかをより深く理解することができます。また、これがインシデントに対する組織の回復力に与える影響を探るのにも役立ちます。
When asked about various documentation in place to help manage cyber security risks, businesses and charities are both most likely to say that they have a Business Continuity Plan covering cyber security (69% and 73% respectively), while they are least likely to have documentation outlining how much cyber risk their organisation is willing to accept (26% and 31% respectively). Fewer than one in five organisations (17% of both businesses and charities) report having all five of the types of documentation[footnote 2] asked about in place – although the proportion of large businesses who have all five is higher (21%). During the qualitative interviews, respondents frequently suggested that they follow informal, ‘common sense’ processes when it comes to dealing with incidents rather than using formal, written policies or processes. サイバーセキュリティリスクを管理するために実施しているさまざまな文書について質問したところ、企業と非営利団体はともに、サイバーセキュリティをカバーする事業継続計画があると答えた割合が最も高く(それぞれ69%と73%)、一方で、組織がどの程度のサイバーリスクを受け入れられるかを説明した文書を持っている割合は最も低くなっています(それぞれ26%と31%)。質問した5種類の文書[脚注2]をすべて備えていると回答した組織は、5社に1社以下であった(企業と非営利団体の両方で17%)が、5種類すべてを備えている大企業の割合は21%と高い。定性インタビューでは、回答者は、インシデントに対処する際、正式な文書化されたポリシーやプロセスではなく、非公式の「常識的な」プロセスに従っているという意見が多く聞かれました。
Having some form of cyber insurance cover is relatively common among both businesses and charities. Overall, charities are more likely than businesses to say they have some form of cyber insurance (66% vs. 53% respectively), and there is little difference by size of business (57% of large and 52% of medium businesses). Having cyber security cover as part of a broader insurance policy is more common than having a specific cyber insurance policy across both businesses and charities. ある種のサイバー保険に加入していることは、企業と非営利団体の両方で比較的よく見られます。全体的に、何らかのサイバー保険に加入していると答えたのは、企業よりも非営利団体の方が多く(それぞれ66%対53%)、企業の規模による違いはほとんどありません(大企業の57%、中企業の52%)。企業、非営利団体ともに、特定のサイバー保険に加入しているよりも、より広範な保険契約の一部としてサイバーセキュリティ保険に加入している方が一般的です。
Around half of charities and businesses say they have carried out cyber security training or awareness raising sessions in the last twelve months for any staff (or volunteers) who are not directly involved in cyber security (55% and 48% respectively). This suggests that carrying out cyber security training is unlikely to be a universal practice, although staff training is more common among large businesses (250+ staff) (60%). During the qualitative interviews it was typical for organisations to say they had never assessed the cyber skills of their workforce and had limited understanding of what this would cover or its value for the organisation. 非営利団体と企業の約半数は、過去12ヶ月間に、サイバーセキュリティに直接関与していないスタッフ(またはボランティア)に対して、サイバーセキュリティのトレーニングや意識向上のためのセッションを実施したと回答しています(それぞれ55%、48%)。これは、大企業(250人以上)ではスタッフトレーニングが一般的である(60%)ものの、サイバーセキュリティトレーニングを実施することが一般的ではないことを示唆しています。質的インタビューでは、従業員のサイバースキルを評価したことがなく、トレーニングの内容や組織にとっての価値をあまり理解していないと答えた企業が多かった。
Cyber security processes サイバーセキュリティプロセス
This chapter provides insight on the uptake of cyber security certifications by organisations. It also sets the baseline for the cyber security processes that organisations have in place, the technical controls required to attain Cyber Essentials certification, and actions taken over the last twelve months to improve or expand various aspects of organisations’ cyber security. 本章では、組織によるサイバーセキュリティ認証の取得状況についての洞察を示す。また、組織が実施しているサイバーセキュリティプロセス、Cyber Essentials認証を取得するために必要な技術的コントロール、および組織のサイバーセキュリティの様々な側面を改善または拡大するために過去12カ月間に実施したアクションについてのベースラインを設定します。
Most organisations do not have cyber security certifications. For example, just one in five (19% among both businesses and charities) say they are certified under the Cyber Essentials standard, which is the most frequently obtained certification. ほとんどの組織は、サイバーセキュリティ認証を取得していません。例えば、最も頻繁に取得されているCyber Essentials規格の認証を受けていると答えたのは、わずか5人に1人(企業と非営利団体の両方で19%)でした。
Large businesses (250+ staff) are more likely to adhere to some form of cyber security certification (e.g., 19% of large businesses comply with ISO 27001 compared to 14% of medium businesses), and there are also clear sectoral differences in terms of the types of certifications businesses pursue. For example, businesses in the information or communications sector are more likely to have all three of the certifications asked about. Almost half (47%) of these have ISO 27001, 42% are Cyber Essentials certified, and 27% have Cyber Essentials Plus. Reasons for obtaining certifications varied during the qualitative interviews, with drivers including contractual requirements, change in senior personnel and having a new IT supplier. 大企業(従業員数250名以上)では、何らかのサイバーセキュリティ認証を取得している可能性が高く(例:大企業の19%がISO 27001に準拠しているのに対し、中企業では14%)、企業が取得している認証の種類についても、セクターごとに明確な違いが見られます。例えば、情報・通信部門の企業は、質問した3つの認証のすべてを取得している可能性が高い。これらの企業のほぼ半数(47%)がISO 27001を、42%がCyber Essentialsを、27%がCyber Essentials Plusを取得しています。認証を取得する理由は、定性インタビューの中でも様々で、契約上の要求、上級者の交代、新しいITサプライヤーの導入などが挙げられました。
Organisations are taking action to improve their cyber defences and risk management, but this is still limited depending on the nature of the organisation and resources available. Businesses and charities are equally likely to have technical controls in all five of the areas required to attain Cyber Essentials certification[footnote 3] (57% for both), though this increases to 64% of large businesses. Despite having these processes in place, few organisations report including anything about cyber security in their most recent annual report, with 14% of businesses and 18% of charities saying this, and around three times as many businesses and charities (45% and 57% respectively) saying they did not. 組織は、サイバー防御とリスク管理を改善するために行動を起こしていますが、組織の性質や利用可能なリソースに応じて、まだ限定的です。Cyber Essentials認証[脚注3]の取得に必要な5つの分野すべてにおいて技術的な管理を行っているのは、企業と非営利団体が同じくらいの割合ですが(両者とも57%)、大企業では64%に増加しています。これらのプロセスを実施しているにもかかわらず、直近の年次報告書にサイバーセキュリティに関する記述があると回答した組織は少なく、企業の14%、非営利団体の18%がそう回答し、企業と非営利団体の約3倍(それぞれ45%と57%)が「していない」と回答しています。
Around four in five businesses (79%) and charities (84%) say they have taken at least one form of action to expand some aspect of their cyber security over the last twelve months. Regarding specific measures, more than half of organisations say they have expanded or improved their network security (62% of businesses and 66% of charities), processes for user authentication and access control (59% of businesses and 62% of charities), and their malware defences (55% each). Large businesses are more likely to report having made improvements in these areas over the last year than medium businesses. Hence, while organisations are taking action to be better prepared for and protected against incidents, most have gaps in their cyber hygiene and risk management processes. 企業(79%)と非営利団体(84%)の約5人に4人は、過去12ヶ月間にサイバーセキュリティの何らかの側面を拡大するために、少なくとも1つの行動をとったと答えています。具体的な対策としては、半数以上の企業が、ネットワークセキュリティ(企業の62%、非営利団体の66%)、ユーザ認証とアクセス制御のプロセス(企業の59%、非営利団体の62%)、マルウェア対策(それぞれ55%)を拡大または改善したと回答しています。大企業は、中企業に比べて、過去1年間にこれらの分野で改善を行ったと回答する割合が高い。したがって、企業はインシデントへの備えと保護を強化するために行動を起こしていますが、ほとんどの企業はサイバー衛生とリスク管理のプロセスにギャップがあります。
Regarding cyber security processes in the supply chain, three in five organisations (60% of businesses and 64% of charities) say they did not carry out work in the last twelve months to formally assess or manage the potential cyber security risks presented by their suppliers. サプライチェーンにおけるサイバーセキュリティプロセスについては、5社中3社(企業の60%、非営利団体の64%)が、過去12ヶ月間にサプライヤーが提示する潜在的なサイバーセキュリティリスクを正式に評価・管理する作業を実施しなかったと回答しています。
There is a positive relationship between greater board involvement (i.e., more frequent board-level discussions or updates about cyber security) and having in place all five of the technical controls required to attain Cyber Essentials certification. There is also a positive relationship between board involvement and having processes in place to assess or manage cyber security risks presented by suppliers. For example, 68% of businesses with at least monthly board-level discussions and updates about cyber security have technical controls in place in all five of the areas required to attain Cyber Essentials, compared to 36% of businesses that never have board-level discussions and updates. This is similar for charities. In line with other findings, this suggests that buy-in from senior management is likely to have a positive impact on the kind of cyber defences in place. Additionally, businesses that experienced a cyber incident in the last twelve months are also more likely to have technical controls in place in all five of the areas required to attain Cyber Essentials (62% vs. 50% of businesses not reporting an incident). 取締役会の関与の強化(サイバーセキュリティに関する取締役会レベルでの議論や更新の頻度の増加)と、Cyber Essentials認証取得に必要な5つの技術的統制のすべてを実施していることとの間には、正の関係があります。また、取締役会の関与と、サプライヤーのサイバーセキュリティリスクを評価・管理するためのプロセスを導入していることとの間にも正の関係があります。例えば、サイバーセキュリティに関して少なくとも月1回の取締役会での議論やアップデートを行っている企業の68%は、Cyber Essentialsの取得に必要な5つの分野すべてにおいて技術的コントロールを導入しているのに対し、取締役会での議論やアップデートを全く行わない企業の36%は、技術的コントロールを導入していませんでした。これは非営利団体でも同様です。この結果は、他の調査結果と同様に、上級管理職の賛同が、実施されているサイバー防御策にプラスの影響を与える可能性が高いことを示唆しています。また、過去1年間にサイバーインシデントを経験した企業は、Cyber Essentialsの取得に必要な5つの分野すべてにおいて、技術的な管理を行っている可能性が高くなっています(インシデントを報告していない企業の50%に対し、62%)。
Cyber incident management サイバーインシデント管理
This chapter captures the proportion of organisations that have written processes for cyber security incident management and what these may cover. この章では、サイバーセキュリティインシデント管理のためのプロセスを文書化している組織の割合と、そのプロセスがカバーする内容について説明します。
Businesses and charities are equally likely to have written processes for how to manage a cyber security incident (51% for each), although the likelihood of having these processes in place is higher among large businesses (250+ staff) (60%). 企業と非営利団体の間では、サイバーセキュリティインシデントの管理方法に関する文書化されたプロセスを持っている割合は同じくらいですが(それぞれ51%)、これらのプロセスを持っている可能性は、大企業(250人以上のスタッフ)で高くなっています(60%)。
Additionally, having experience of a cyber security incident over the last twelve months is linked with a higher likelihood of having written processes in place. Just over half (54% of businesses and 55% of charities) of those experiencing an incident in the last twelve months say they have written processes for how to manage a cyber security incident, compared to 44% of both businesses and charities that have not experienced an incident in the last year. This link was implied during the qualitative interviews as well, with respondents often suggesting that experiencing an incident is among the main triggers for introducing formalised cyber security measures. Among organisations with written processes in place, these are most likely to cover guidance for reporting incidents externally, for instance to regulators or insurers (77% of businesses and 86% of charities). さらに、過去12ヶ月間にサイバーセキュリティインシデントの経験があることは、書面によるプロセスを導入する可能性が高いことと関連しています。過去1年間にインシデントを経験した企業の半数強(企業の54%、非営利団体の55%)が、サイバーセキュリティインシデントの管理方法を文書化していると回答しているのに対し、過去1年間にインシデントを経験していない企業と非営利団体はともに44%でした。この関連性は、定性インタビューでも示唆されており、回答者は、インシデントを経験したことが、正式なサイバーセキュリティ対策を導入する主なきっかけの一つであることをしばしば示唆している。文書化されたプロセスを導入している組織では、規制当局や保険会社など、外部にインシデントを報告するためのガイダンスをカバーしている可能性が高い(企業の77%、非営利団体の86%)。
During the qualitative interviews, participants tended to refer to having informal processes in place, with an incident response plan among those, and the level of detail within these procedures and documents was varied. 定性的インタビューでは、参加者は非公式のプロセスを導入していることに言及する傾向があり、その中にはインシデント対応計画も含まれていました。また、これらの手順や文書の詳細レベルは様々でした。
Prevalence and impact of cyber incidents サイバーインシデントの発生状況と影響
This chapter looks at the different kinds of cyber incidents experienced by organisations and their impact and outcome. 本章では、組織が経験したさまざまな種類のサイバーインシデントと、その影響や結果について見ていきます。
Around half (50% of businesses and 47% of charities) say they experienced at least one cyber security incident – excluding phishing – in the last twelve months. This rises to 72% among businesses and 74% of charities when phishing is included. 約半数(企業の50%、非営利団体の47%)が、過去12カ月間に少なくとも1件のサイバーセキュリティインシデント(フィッシングを除く)を経験したと回答している。フィッシングを含むと、企業の72%、非営利団体の74%に上ります。
Among organisations that reported cyber security incidents over the last twelve months, around four in five businesses and charities say that more than one incident happened during this time period (83% and 81% respectively), and this proportion is similar even when phishing incidents are excluded (79% of businesses and 83% of charities). 過去12ヶ月間にサイバーセキュリティインシデントを報告した組織のうち、企業と非営利団体の約5人に4人は、この期間に複数のインシデントが発生したと回答しています(それぞれ83%と81%)。この割合は、フィッシングインシデントを除いた場合でも同様です(企業の79%、非営利団体の83%)。
Around three in ten businesses (29%) and two in ten charities (19%) that experienced non-phishing incidents in the last year say they experienced an incident at least once a week. 過去1年間にフィッシング以外のインシデントを経験した企業の約10分の3(29%)、非営利団体の約10分の2(19%)は、少なくとも週に1回はインシデントを経験していると答えています。
Although most incidents have a short-term impact on operations, of those surveyed, around one in ten organisations (8% of businesses and 10% of charities) that experienced an incident in the last twelve months report that it took a day or longer to restore business operations back to normal. Conversely, nine in ten organisations (90% of businesses and 89% of charities) that experienced any incidents report that it took them less than a day to restore business operations back to normal. ほとんどの場合、業務への影響は短期的なものですが、過去1年間にインシデントを経験した組織のうち、約10社に1社(企業の8%、非営利団体の10%)が、業務を正常な状態に戻すのに1日以上かかったと報告しています。逆に、いずれかのインシデントを経験した10社のうち9社(企業の90%、非営利団体の89%)は、業務を正常に戻すのに1日もかからなかったと報告しています。
Summary of findings 調査結果のまとめ
The summary table of key measures in Annex A shows some of the key baseline metrics, split by business size (50-249, 250-499 and 500+ employees). Further details on statistical reliability and margins of error can be found in Annex C.   附属書Aの主要指標の要約表は、ベースラインの主要指標の一部を企業規模別(従業員数50~249名、250~499名、500名以上)に分けて示しています。統計的信頼性と誤差の詳細については、附属書Cを参照してください。 

| | Comments (0)

総務省 「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集

こんにちは、丸山満彦です。

総務省が「電気通信事業」「郵便事業分野」「信書便事業分野」における個人情報保護に関するガイドライン及び解説の改正案についての意見募集をしていますね。。。

法改正が対応ですね。。。

 

● 総務省

・2022.01.26 電気通信事業における個人情報保護に関するガイドライン及びその解説の改正案に対する意見募集

・2022.01.26 改正個人情報保護法を受けた郵便事業分野における個人情報保護に関するガイドライン及び解説並びに信書便事業分野における個人情報保護に関するガイドライン及び解説の改正案に対する意見募集

 

  改正案 解説 概要
電気通信事業 別紙1 別紙2 別紙3
郵便事業分野 別紙1 別紙2  
信書便事業分野 別紙3 別紙4  

 

Fig1_20220128005301

| | Comments (0)

米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

こんにちは、丸山満彦です。

米国行政管理予算局が、「米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書」を公表していますね。。。

具体的に進みますよね。。。

 

White House - OMB - Memorandum

・2022.01.26 [PDF] M-22-09 Moving the U.S. Government Toward Zero Trust Cybersecurity Principles

20220128-00955

目次的なもの。。。

I. OVERVIEW I. 概要
II.  EXECUTIVE SUMMARY II.  エグゼクティブサマリー
III.  ACTIONS III.  取り組み
A. Identity A. アイデンティティ
1. Enterprise-wide identity systems 1. エンタープライズ全体の ID システム
2. Multi-factor authentication 2. 多要素認証
3. User Authorization 3. ユーザ認証
B. Devices B. デバイス
1. Inventorying assets 1. 資産の棚卸し
2. Government-wide endpoint detection and response 2. 政府全体のエンドポイント検出と対応
C. Networks C. ネットワーク
1. Network visibility and attack surface 1. ネットワークの可視性と攻撃対象領域
2. Encrypting DNS traffic 2. DNSトラフィックの暗号化
3. Encrypting HTTP traffic 3. HTTPトラフィックの暗号化
4. Encrypting email traffic 4. 電子メールトラフィックの暗号化
5. Enterprise-wide architecture and isolation strategy 5. エンタープライズ全体のアーキテクチャと分離戦略
D. Applications and Workloads D. アプリケーションとワークロード
1. Application security testing 1. アプリケーションのセキュリティテスト
2. Easily available third-party testing 2. 容易に入手できる第三者によるテスト
3. Welcoming application vulnerability reports 3. アプリケーションの脆弱性報告を歓迎する
4. Safely making applications internet-accessible 4. アプリケーションを安全にインターネットにアクセス可能にする
5. Discovering internet-accessible applications 5. インターネットにアクセス可能なアプリケーションの発見
6. Immutable workloads 6. 不変的なワークロード
E. Data E. データ
1. Federal data security strategy 1. 連邦データセキュリティ戦略
2. Automating security responses 2. セキュリティ対応の自動化
3. Auditing access to sensitive data in the cloud 3. クラウド上の機密データへのアクセスを監査する
4. Timely access to logs 4. ログへのタイムリーなアクセス
F. OMB Policy Alignment F. OMBポリシーの調整
1. OMB M-21-07 - IPv6 and Zero Trust 1. OMB M-21-07 - IPv6とゼロトラスト
2. OMB M-19-17 - PIV and non-PIV authenticators 2. OMB M-19-17 - PIV および非 PIV 認証子
3. OMB M-19-26 and OMB M-21-31 – Alternatives to network inspection 3. OMB M-19-26 および OMB M-21-31 - ネットワーク検査の代替手段
4. OMB M-15-13 – HTTPS for internal connections 4. OMB M-15-13 - 内部接続のための HTTPS

 

概要レベル・・・

SUBJECT:  Moving the U.S. Government Toward Zero Trust Cybersecurity Principles  SUBJECT:  米国政府のゼロトラスト・サイバーセキュリティ原則への移行について
This memorandum sets forth a Federal zero trust architecture (ZTA) strategy, requiring agencies to meet specific cybersecurity standards and objectives by the end of Fiscal Year (FY)  この覚書は、連邦政府のゼロ・トラスト・アーキテクチャ(ZTA)戦略を定めたものであり、各省庁に対し、2024年度末までに特定のサイバーセキュリティ基準と目標を達成することを求めています。
2024 in order to reinforce the Government’s defenses against increasingly sophisticated and persistent threat campaigns. Those campaigns target Federal technology infrastructure, threatening public safety and privacy, damaging the American economy, and weakening trust in Government.  2024年度末までに特定のサイバーセキュリティ基準と目標を達成することを各機関に求めています。このようなキャンペーンは、連邦政府の技術インフラを標的とし、国民の安全とプライバシーを脅かし、米国経済にダメージを与え、政府に対する信頼を低下させます。
I. OVERVIEW I. 概要
Every day, the Federal Government executes unique and deeply challenging missions: 連邦政府は、日々、ユニークで困難なミッションを遂行しています。
agencies   safeguard our nation’s critical infrastructure, conduct scientific research, engage in diplomacy, and provide benefits and services for the American people, among many other public functions. To deliver on these missions effectively, our nation must make intelligent and vigorous use of modern technology and security practices, while avoiding disruption by malicious cyber campaigns.  政府機関は、国の重要なインフラを保護し、科学研究を行い、外交を行い、米国民に利益とサービスを提供するなど、多くの公共機能を担っています。これらのミッションを効果的に遂行するためには、悪質なサイバーキャンペーンによる混乱を回避しつつ、最新のテクノロジーとセキュリティ対策をインテリジェントかつ積極的に活用しなければなりません。
Successfully modernizing the Federal Government’s approach to security requires a  連邦政府のセキュリティに対するアプローチをうまく近代化するには、政府全体で取り組む必要があります。
Government-wide endeavor. In May of 2021, the President issued Executive Order (EO) 14028, Improving the Nation’s Cybersecurity,  initiating a sweeping Government-wide effort to ensure that baseline security practices are in place, to migrate the Federal Government to a zero trust architecture, and to realize the security benefits of cloud-based infrastructure while mitigating associated risks.  政府全体で取り組む必要があります。2021年5月、大統領は大統領令(EO)14028「国家のサイバーセキュリティの向上」を発令し、基本的なセキュリティ対策を確実に実施し、連邦政府をゼロトラストアーキテクチャに移行し、関連するリスクを軽減しながらクラウドベースのインフラストラクチャのセキュリティ上の利点を実現するために、政府全体で大規模な取り組みを開始しました。
II.  EXECUTIVE SUMMARY  II.  エグゼクティブサマリー 
In the current threat environment, the Federal Government can no longer depend on conventional perimeter-based defenses to protect critical systems and data. As President Biden stated in EO 14028, “Incremental improvements will not give us the security we need; instead, the Federal Government needs to make bold changes and significant investments in order to defend the vital institutions that underpin the American way of life.”   現在の脅威環境では、連邦政府は重要なシステムやデータの保護を従来の境界線ベースの防御に頼ることはできなくなっています。バイデン大統領が EO 14028 で述べたように、「漸進的な改善では必要なセキュリティは得られない。米国の生活様式を支える重要な機関を守るために、連邦政府は大胆な変革と多額の投資を行う必要がある」のです。 
A transition to a “zero trust” approach to security provides a defensible architecture for this new environment. As described in the Department of Defense Zero Trust Reference Architecture,  “The foundational tenet of the Zero Trust Model is that no actor, system, network, or service operating outside or within the security perimeter is trusted. Instead, we must verify anything and everything attempting to establish access. It is a dramatic paradigm shift in philosophy of how we secure our infrastructure, networks, and data, from verify once at the perimeter to continual verification of each user, device, application, and transaction.” This strategy envisions a Federal Government where:   セキュリティに対する「ゼロ・トラスト」アプローチへの移行は、この新しい環境に対応する防御可能なアーキテクチャを提供します。国防総省のゼロトラスト・リファレンス・アーキテクチャに記載されているように、「ゼロトラストモデルの基本的な考え方は、セキュリティ境界線の外側または内側で活動するいかなる行為者、システム、ネットワーク、サービスも信頼しないということです。代わりに、アクセスを確立しようとするあらゆるものを検証しなければなりません。これは、インフラ、ネットワーク、データのセキュリティを確保する方法の哲学における劇的なパラダイムシフトであり、境界で一度だけ検証することから、各ユーザー、デバイス、アプリケーション、トランザクションを継続的に検証することになります。この戦略では、以下のような連邦政府を想定しています。 
• Federal staff have enterprise-managed accounts, allowing them to access everything they need to do their job while remaining reliably protected from even targeted, sophisticated phishing attacks.  ・連邦政府の職員は,エンタープライズ管理されたアカウントを持ち,業務に必要なあらゆるものにアクセスできる一方で,標的を絞った巧妙なフィッシング攻撃からも確実に保護されている。
• The devices that Federal staff use to do their jobs are consistently tracked and monitored, and the security posture of those devices is taken into account when granting access to internal resources.  ・連邦政府職員が業務に使用するデバイスは,一貫して追跡・監視され,内部リソースへのアクセスを許可する際には,それらのデバイスのセキュリティ状態が考慮される。
• Agency systems are isolated from each other, and the network traffic flowing between and within them is reliably encrypted.   ・連邦政府のシステムは相互に隔離されており,システム間やシステム内を流れるネットワークトラフィックは確実に暗号化されています。
• Enterprise applications are tested internally and externally, and can be made available to staff securely over the internet.  ・エンタープライズアプリケーションは,社内外でテストされ,インターネット経由で安全に職員に提供される。
• Federal security teams and data teams work together to develop data categories and security rules to automatically detect and ultimately block unauthorized access to sensitive information.  ・連邦政府のセキュリティチームとデータチームが協力して,データカテゴリーとセキュリティルールを開発し,機密情報への不正アクセスを自動的に検出し,最終的にブロックする。
This strategy places significant emphasis on stronger enterprise identity and access controls, including multi-factor authentication (MFA). Without secure, enterprise-managed identity systems, adversaries can take over user accounts and gain a foothold in an agency to steal data or launch attacks. This strategy sets a new baseline for access controls across the Government that prioritizes defense against sophisticated phishing, and directs agencies to consolidate identity systems so that protections and monitoring can be consistently applied. Tightening access controls will require agencies to leverage data from different sources to make intelligent decisions, such as analyzing device and user information to assess the security posture of all activity on agency systems.   この戦略では、多要素認証(MFA)を含む、エンタープライズのアイデンティティとアクセス制御の強化を重視しています。エンタープライズが管理する安全なアイデンティティシステムがなければ、敵対者はユーザーアカウントを乗っ取り、データを盗んだり攻撃を仕掛けたりするための足がかりを得ることができます。この戦略では、政府全体のアクセス制御の新たな基準を設定し、高度なフィッシングに対する防御を優先し、保護と監視を一貫して適用できるようにIDシステムを統合するよう各機関に指示しています。アクセス制御を強化するためには、デバイスやユーザの情報を分析して、政府機関のシステムにおけるすべての活動のセキュリティ状況を評価するなど、さまざまなソースからのデータを活用してインテリジェントな判断を下す必要があります。 
A key tenet of a zero trust architecture is that no network is implicitly considered trusted—a principle that may be at odds with some agencies’ current approach to securing networks and associated systems. All traffic must be encrypted and authenticated as soon as practicable. This includes internal traffic, as made clear in EO 14028, which directs that all data must be encrypted while in transit. This strategy focuses agencies on two critical and widely used protocols in the near-term, DNS and HTTP traffic;  in addition, the Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Risk and Authorization Management Program (FedRAMP) will evaluate options for encrypting email in transit.   ゼロ・トラスト・アーキテクチャの主な考え方は、どのネットワークも暗黙のうちに信頼されているとみなされないということです。すべてのトラフィックは、可能な限り速やかに暗号化され、認証されなければなりません。これには内部トラフィックも含まれます。EO 14028では、転送中のすべてのデータを暗号化するよう指示しています。この戦略では、近日中に、重要かつ広く使用されている2つのプロトコル、DNSおよびHTTPトラフィックに焦点を当てています。さらに、Cybersecurity and Infrastructure Security Agency(CISA)およびFederal Risk and Authorization Management Program(FedRAMP)は、転送中の電子メールを暗号化するためのオプションを評価します。 
Further, Federal applications cannot rely on network perimeter protections to guard against unauthorized access. Users should log into applications, rather than networks, and enterprise applications should eventually be able to be used over the public internet. In the nearterm, every application should be treated as internet-accessible from a security perspective. As this approach is implemented, agencies will be expected to stop requiring application access be routed through specific networks, consistent with CISA’s zero trust maturity model.   さらに、連邦政府のアプリケーションは、不正なアクセスから保護するために、ネットワークの境界線の保護に頼ることはできません。ユーザーは、ネットワークではなくアプリケーションにログインする必要があり、エンタープライズ・アプリケーションは、最終的には公共のインターネット上で使用できるようにする必要があります。近い将来、すべてのアプリケーションは、セキュリティの観点からインターネットにアクセスできるものとして扱われるべきです。このアプローチが導入されると、各機関は、CISAのゼロトラスト成熟度モデルに沿って、アプリケーション・アクセスが特定のネットワークを経由することを要求しなくなることが期待されます。 
In addition to robust internal testing programs, agencies should scrutinize their applications as our nation’s adversaries do. This requires welcoming external partners and independent perspectives to evaluate the real-world security of agency applications, and a process for coordinated disclosure of vulnerabilities by the general public.   政府機関は、強固な内部テストプログラムに加えて、国家の敵対者と同じようにアプリケーションを精査する必要があります。そのためには、外部のパートナーや独立した視点から、政府機関のアプリケーションの実世界でのセキュリティを評価することや、一般市民が脆弱性を協調して開示するためのプロセスが必要となります。 
This strategy also calls on Federal data and cybersecurity teams within and across agencies to jointly develop pilot initiatives and Government-wide guidance on categorizing data based on protection needs, ultimately building a foundation to automate security access rules. This collaborative effort will better allow agencies to regulate access based not only on who or what is accessing data, but also on the sensitivity of the data being requested.  また、本戦略では、各省庁のデータおよびサイバーセキュリティチームが、保護の必要性に基づいてデータを分類するための試験的な取り組みや政府全体の指針を共同で策定し、最終的にセキュリティアクセスルールを自動化するための基盤を構築することを求めています。この共同作業により、政府機関は、誰が何のためにデータにアクセスしているかだけでなく、要求されたデータの機密性に基づいてアクセスを規制することができるようになります。
Transitioning to a zero trust architecture will not be a quick or easy task for an enterprise as complex and technologically diverse as the Federal Government. The strategy set forth in this memorandum is designed to reduce uncertainty and outline a common path toward implementing EO 14028, by updating and strengthening information security norms throughout the Federal enterprise.   ゼロトラスト・アーキテクチャへの移行は、連邦政府のように複雑で技術的に多様なエンタープライズにとって、迅速かつ容易な作業ではありません。この覚書に記載されている戦略は、連邦政府全体の情報セキュリティ規範を更新および強化することで、不確実性を低減し、EO 14028 の実施に向けた共通の道筋を示すことを目的としています。 

 

仮対訳。。。

・[DOCX] 仮対訳

 

 

| | Comments (0)

IPA 情報セキュリティ10大脅威 2022 ~昨年と同じ脅威が引き続き上位に、日常的な備えが重要~

こんにちは、丸山満彦です。

IPAが「情報セキュリティ10大脅威 2022」を発表していますね。2006年から始まっていますので、長い間続いていますね。。。


IPA

・2022.01.27 情報セキュリティ10大脅威 2022

・[PDF] プレスリリース全文

20220127-215758

 

2021 個人 2022 組織 2021
2位 フィッシングによる個人情報等の詐取 1位 ランサムウェアによる被害 1位
3位 ネット上の誹謗・中傷・デマ 2位 標的型攻撃による機密情報の窃取 2位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 3位 サプライチェーンの弱点を悪用した攻撃 4位
5位 クレジットカード情報の不正利用 4位 テレワーク等のニューノーマルな働き方を狙った攻撃 3位
1位 スマホ決済の不正利用 5位 内部不正による情報漏えい 6位
8位 偽警告によるインターネット詐欺 6位 脆弱性対策情報の公開に伴う悪用増加 10位
9位 不正アプリによるスマートフォン利用者への被害 7位 修正プログラムの公開前を狙う攻撃(ゼロデイ攻撃) New
7位 インターネット上のサービスからの個人情報の窃取 8位 ビジネスメール詐欺による金銭被害 5位
6位 インターネットバンキングの不正利用 9位 予期せぬIT基盤の障害に伴う業務停止 7位
10位 インターネット上のサービスへの不正ログイン 10位 不注意による情報漏えい等の被害 9位

 

2020 個人 2021 組織 2020
1位 スマホ決済の不正利用 1位 ランサムウェアによる被害 5位
2位 フィッシングによる個人情報等の詐取 2位 標的型攻撃による機密情報の窃取 1位
7位 ネット上の誹謗・中傷・デマ 3位 テレワーク等のニューノーマルな働き方を狙った攻撃 NEW
5位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃 4位
3位 クレジットカード情報の不正利用 5位 ビジネスメール詐欺による金銭被害 3位
4位 インターネットバンキングの不正利用 6位 内部不正による情報漏えい 2位
10位 インターネット上のサービスからの個人情報の窃取 7位 予期せぬIT基盤の障害に伴う業務停止 6位
9位 偽警告によるインターネット詐欺 8位 インターネット上のサービスへの不正ログイン 16位
6位 不正アプリによるスマートフォン利用者への被害 9位 不注意による情報漏えい等の被害 7位
8位 インターネット上のサービスへの不正ログイン 10位 脆弱性対策情報の公開に伴う悪用増加 14位
         
2019 個人 2020 組織 2019
NEW スマホ決済の不正利用 1位 標的型攻撃による機密情報の窃取 1位
2位 フィッシングによる個人情報の詐取 2位 内部不正による情報漏えい 5位
1位 クレジットカード情報の不正利用 3位 ビジネスメール詐欺による金銭被害 2位
7位 インターネットバンキングの不正利用 4位 サプライチェーンの弱点を悪用した攻撃 4位
4位 メールやSMS等を使った脅迫・詐欺の手口による金銭要求 5位 ランサムウェアによる被害 3位
3位 不正アプリによるスマートフォン利用者への被害 6位 予期せぬIT基盤の障害に伴う業務停止 16位
5位 ネット上の誹謗・中傷・デマ 7位 不注意による情報漏えい(規則は遵守) 10位
8位 インターネット上のサービスへの不正ログイン 8位 インターネット上のサービスからの個人情報の窃取 7位
6位 偽警告によるインターネット詐欺 9位 IoT機器の不正利用 8位
12位 インターネット上のサービスからの個人情報の窃取 10位 サービス妨害攻撃によるサービスの停止 6位
         
2018 個人 2019 組織 2018
1位 クレジットカード情報の不正利用 1位 標的型攻撃による被害 1位
1位 フィッシングによる個人情報等の詐取 2位 ビジネスメール詐欺による被害 3位
4位 不正アプリによるスマートフォン利用者への被害 3位 ランサムウェアによる被害 2位
NEW メール等を使った脅迫・詐欺の手口による金銭要求 4位 サプライチェーンの弱点を悪用した攻撃の高まり NEW
3位 ネット上の誹謗・中傷・デマ 5位 内部不正による情報漏えい 8位
10位 偽警告によるインターネット詐欺 6位 サービス妨害攻撃によるサービスの停止 9位
1位 インターネットバンキングの不正利用 7位 インターネットサービスからの個人情報の窃取 6位
5位 インターネットサービスへの不正ログイン 8位 IoT機器の脆弱性の顕在化 7位
2位 ランサムウェアによる被害 9位 脆弱性対策情報の公開に伴う悪用増加 4位
9位 IoT 機器の不適切な管理 10位 不注意による情報漏えい 12位
         
2017 個人 2018 組織 2017
1位 インターネットバンキングやクレジットカード情報等の不正利用 1位 標的型攻撃による被害 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 2位
7位 ネット上の誹謗・中傷 3位 ビジネスメール詐欺による被害 NEW
3位 スマートフォンやスマートフォンアプリを狙った攻撃 4位 脆弱性対策情報の公開に伴う悪用増加 NEW
4位 ウェブサービスへの不正ログイン 5位 脅威に対応するためのセキュリティ人材の不足 NEW
6位 ウェブサービスからの個人情報の窃取 6位 ウェブサービスからの個人情報の窃取 3位
8位 情報モラル欠如に伴う犯罪の低年齢化 7位 IoT機器の脆弱性の顕在化 8位
5位 ワンクリック請求等の不当請求 8位 内部不正による情報漏えい 5位
10位 IoT機器の不適切な管理 9位 サービス妨害攻撃によるサービスの停止 4位
NEW 偽警告によるインターネット詐欺 10位 犯罪のビジネス化(アンダーグラウンドサービス) 9位
         
2016 個人 2017 組織 2016
1位 インターネットバンキングやクレジットカード情報の不正利用 1位 標的型攻撃による情報流出 1位
2位 ランサムウェアによる被害 2位 ランサムウェアによる被害 7位
3位 スマートフォンやスマートフォンアプリを狙った攻撃 3位 ウェブサービスからの個人情報の窃取 3位
5位 ウェブサービスへの不正ログイン 4位 サービス妨害攻撃によるサービスの停止 4位
4位 ワンクリック請求等の不当請求 5位 内部不正による情報漏えいとそれに伴う業務停止 2位
7位 ウェブサービスからの個人情報の窃取 6位 ウェブサイトの改ざん 5位
6位 ネット上の誹謗・中傷 7位 ウェブサービスへの不正ログイン 9位
8位 情報モラル欠如に伴う犯罪の低年齢化 8位 IoT機器の脆弱性の顕在化 NEW
10位 インターネット上のサービスを悪用した攻撃 9位 攻撃のビジネス化(アンダーグラウンドサービス) NEW
NEW IoT機器の不適切な管理 10位 インターネットバンキングやクレジットカード情報の不正利用 8位

 

個人(カッコ内は総合順位) 2016 組織(カッコ内は総合順位)
インターネットバンキングやクレジットカード情報の不正利用(1位) 1位 標的型攻撃による情報流出(2位)
ランサムウェアを使った詐欺・恐喝(3位) 2位 内部不正による情報漏えいとそれに伴う業務停止(8位)
審査をすり抜け公式マーケットに紛れ込んだスマートフォンアプリ(7位) 3位 ウェブサービスからの個人情報の窃取(4位)
巧妙・悪質化するワンクリック請求(9位) 4位 サービス妨害攻撃によるサービスの停止(-)
ウェブサービスへの不正ログイン(5位) 5位 ウェブサイトの改ざん(6位)
匿名によるネット上の誹謗・中傷(-) 6位 脆弱性対策情報の公開に伴い公知となる脆弱性の悪用増加(10位)
ウェブサービスからの個人情報の窃取(4位) 7位 ランサムウェアを使った詐欺・恐喝(3位)
情報モラル不足に伴う犯罪の低年齢化(-) 8位 インターネットバンキングやクレジットカード情報の不正利用(1位)
職業倫理欠如による不適切な情報公開(-) 9位 ウェブサービスへの不正ログイン(5位)
インターネットの広告機能を悪用した攻撃(-) 10位 過失による情報漏えい(-)

 

  2015  
1 インターネットバンキングやクレジットカード情報の不正利用 ~個人口座だけではなく法人口座もターゲットに~
2 内部不正による情報漏えい ~内部不正が事業に多大な悪影響を及ぼす~
3 標的型攻撃による諜報活動 ~標的組織への侵入手口が巧妙化~
4 ウェブサービスへの不正ログイン ~利用者は適切なパスワード管理を~
5 ウェブサービスからの顧客情報の窃取 ~脆弱性や設定の不備を突かれ顧客情報が盗まれる~
6 ハッカー集団によるサイバーテロ ~破壊活動や内部情報の暴露を目的としたサイバー攻撃~
7 ウェブサイトの改ざん ~知らぬ間に、ウイルス感染サイトに仕立てられる~
8 インターネット基盤技術を悪用した攻撃 ~インターネット事業者は厳重な警戒を~
9 脆弱性公表に伴う攻撃 ~求められる迅速な脆弱性対策~
10 悪意のあるスマートフォンアプリ ~アプリのインストールで友人に被害が及ぶことも~
   
  2014
1 標的型メールを用いた組織へのスパイ・諜報活動 サイバー空間(領域)問題
2 不正ログイン・不正利用 ウイルス・ハッキングによるサイバー攻撃
3 ウェブサイトの改ざん ウイルス・ハッキングによるサイバー攻撃
4 ウェブサービスからのユーザー情報の漏えい ウイルス・ハッキングによるサイバー攻撃
5 オンラインバンキングからの不正送金 ウイルス・ハッキングによるサイバー攻撃
6 悪意あるスマートフォンアプリ ウイルス・ハッキングによるサイバー攻撃
7 SNS への軽率な情報公開 インターネットモラル
8 紛失や設定不備による情報漏えい 内部統制・セキュリティマネジメント
9 ウイルスを使った詐欺・恐喝 ウイルス・ハッキングによるサイバー攻撃
10 サービス妨害 ウイルス・ハッキングによるサイバー攻撃
   
  2013
1 クライアントソフトの脆弱性を突いた攻撃
2 標的型諜報攻撃
3 スマートデバイスを狙った悪意あるアプリの横行
4 ウイルスを使った遠隔操作
5 金銭窃取を目的としたウイルスの横行
6 予期せぬ業務停止
7 ウェブサイトを狙った攻撃
8 パスワード流出の脅威
9 内部犯行
10 フィッシング詐欺
   
  2012  
1 機密情報が盗まれる!?新しいタイプの攻撃 ~情報窃取を目的とする標的型の諜報攻撃(APT)~
2 予測不能の災害発生!引き起こされた業務停止 ~自然災害や人為的災害による IT システムの故障、業務データの消失~
3 特定できぬ、共通思想集団による攻撃 ~社会変革をめざす共通的な思想を持つ集団による暴露・妨害攻撃~
4 今もどこかで…更新忘れのクライアントソフトを狙った攻撃 ~標的型攻撃にも悪用されるクライアントソフトの脆弱性~
5 止まらない!ウェブサイトを狙った攻撃 ~狙われ続けるウェブサイトの脆弱性~
6 続々発覚、スマートフォンやタブレットを狙った攻撃 ~狙われる小さなパソコン-スマートデバイス~
7 大丈夫!?電子証明書に思わぬ落し穴 ~電子証明書の管理不備により、引き起こされた問題~
8 身近に潜む魔の手・・・あなたの職場は大丈夫? ~組織内部・関係者による業務妨害や情報漏えい~
9 危ない!アカウントの使いまわしが被害を拡大! ~アカウント情報の管理不備が原因で発生するなりすまし被害~
10 利用者情報の不適切な取扱いによる信用失墜 ~利用者との結びつきが強い情報(利用者情報)の取扱いに関する問題~
   
  2011
1 「人」が起こしてしまう情報漏えい
2 止まらない!ウェブサイトを経由した攻撃
3 定番ソフトウェアの脆弱性を狙った攻撃
4 狙われだしたスマートフォン
5 複数の攻撃を組み合わせた新しいタイプの攻撃
6 セキュリティ対策丌備がもたらすトラブル
7 携帯電話向けウェブサイトのセキュリティ
8 攻撃に気づけない標的型攻撃
9 クラウド・コンピューティングのセキュリティ
10 ミニブログサービスや SNS の利用者を狙った攻撃
   
  2010
1 変化を続けるウェブサイト改ざんの手口
2 アップデートしていないクライアントソフト
3 悪質なウイルスやボットの多目的化
4 対策をしていないサーバ製品の脆弱性
5 あわせて事後対応を!情報漏えい事件
6 被害に気づけない標的型攻撃
7 深刻なDDoS攻撃
8 正規のアカウントを悪用される脅威
9 クラウド・コンピューティングのセキュリティ問題
10 インターネットインフラを支えるプロトコルの脆弱性
   
  2009
  ■組織への脅威
1 DNS キャッシュポイズニングの脅威
2 巧妙化する標的型攻撃
3 恒常化する情報漏えい
   ■利用者への脅威
1 多様化するウイルスやボットの感染経路
2 脆弱な無線 LAN 暗号方式における脅威
3 減らないスパムメール
4 ユーザ ID とパスワードの使いまわしによる危険性
   ■システム管理者・開発者への脅威
1 正規のウェブサイトを経由した攻撃の猛威
2 誘導型攻撃の顕在化
3 組込み製品に潜む脆弱性 
   
  2008
1 高まる「誘導型」攻撃の脅威
2 ウェブサイトを狙った攻撃の広まり
3 恒常化する情報漏えい
4 巧妙化する標的型攻撃
5 信用できなくなった正規サイト
6 検知されにくいボット、潜在化するコンピュータウイルス
7 検索エンジンからマルウェア配信サイトに誘導
8  国内製品の脆弱性が頻発
9 減らないスパムメール
10 組み込み製品の脆弱性の増加 
   
  2007
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2006
1 漏えい情報のWinnyによる止まらない流通
2 表面化しづらい標的型(スピア型)攻撃
3 悪質化・潜在化するボット
4 深刻化するゼロデイ攻撃
5 ますます多様化するフィッシング詐欺
6 増え続けるスパムメール
7 減らない情報漏えい
8 狙われ続ける安易なパスワード
9 攻撃が急増するSQLインジェクション
10 不適切な設定のDNSサーバを狙う攻撃の発生
   
  2005
1 事件化するSQLインジェクション
2 Winnyを通じたウイルス感染による情報漏えいの多発
3 音楽CDに格納された「ルートキットに類似した機能」の事件化
4 悪質化するフィッシング詐欺
5 巧妙化するスパイウェア
6 流行が続くボット
7 ウェブサイトを狙うCSRFの流行
8 情報家電、携帯機器などの組込みソフトウェアにひそむ脆弱性
9 セキュリティ製品の持つ脆弱性
10 ゼロデイ攻撃

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

こんにちは、丸山満彦です。

NISTがNISTIR 8286C (ドラフト)ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためにサイバーセキュリティ・リスクをステージングするを公表し、意見募集をしていますね。。。

8286Bが、システムレベル、組織レベルのモニタリングをカバーするのに対し、8286Cはエンタープライズレベルのモニタリングをカバーするという分担ですね。。。

1_20210707191501

 

● NIST - ITL

・2022.01 26 NISTIR 8286C (Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight

 

NISTIR 8286C (Draft) Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight NISTIR 8286C(ドラフト)エンタープライズ・リスク・マネジメントとガバナンスの監督のためのサイバーセキュリティリスクのステージング
Announcement 発表内容
This report completes the cybersecurity risk management (CSRM) and enterprise risk management (ERM) integration cycle described throughout the NISTIR 8286 series. 本報告書は、NISTIR 8286シリーズで説明してきたサイバーセキュリティ・リスク・マネジメント(CSRM)とエンタープライズ・リスク管理(ERM)の統合サイクルを完成させるものです。
Draft NISTIR 8286C describes methods for combining risk information from across the enterprise, including notional examples for aggregating and normalizing the results from cybersecurity risk registers (CSRRs) while considering risk parameters, criteria, and business impacts. The resulting integration and normalization of risk information informs enterprise-level risk decision-making and monitoring, which helps create a comprehensive picture of the overarching cyber risk. The report describes the creation of an enterprise risk profile (ERP) that supports the comparison and management of cyber risks along with other risk types. ドラフトNISTIR 8286Cでは、企業全体のリスク情報を統合する方法について、リスクのパラメータや基準、ビジネスへの影響を考慮しながら、サイバーセキュリティ・リスク・レジスター(CSRR)の結果を集約して正規化するための想定例などを紹介しています。このようにして得られたリスク情報の統合と正規化により、企業レベルのリスクに関する意思決定とモニタリングが行われ、包括的なサイバーリスクの全体像を把握することができます。本報告書では、他のリスクタイプとともにサイバーリスクの比較と管理をサポートするエンタープライズ・リスク・プロファイル(ERP)の作成について説明しています。
Draft NISTIR 8286C builds on several previous reports: ドラフトNISTIR 8286Cは、いくつかの過去のレポートをベースにしています。
NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) –foundational document that describes high-level processes NISTIR 8286 サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合 - ハイレベルなプロセスを説明した基本文書
NISTIR 8286A, Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management – describes risk identification and analysis NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定 - リスクの特定と分析について記載しています。
NISTIR 8286B, Prioritizing Cybersecurity Risk for Enterprise Risk Management – describes methods for applying enterprise objectives to prioritize the identified risks and, subsequently, to select and apply the appropriate responses NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け - 企業目標を適用して、特定されたリスクに優先順位を付け、その後、適切な対応策を選択して適用する方法について記載しています。
The NISTIR 8286 series enables risk practitioners to integrate CSRM activities more fully into the broader enterprise risk processes. Because information and technology comprise some of the enterprise’s most valuable resources, it is vital that directors and senior leaders have a clear understanding of cybersecurity risk posture at all times. It is similarly vital that those identifying, assessing, and treating cybersecurity risk understand enterprise strategic objectives when making risk decisions. NISTIR 8286シリーズにより、リスク管理担当者は、CSRM活動をより広範な企業リスクプロセスに統合することができます。情報と技術は企業にとって最も価値のある資源の一部であるため、取締役やシニアリーダーがサイバーセキュリティのリスク態勢を常に明確に理解していることが重要です。同様に、サイバーセキュリティリスクを特定、評価、処理する者が、リスクの決定を行う際に企業の戦略目標を理解することも重要です。
The authors of the NISTIR 8286 series hope that these publications will spark further industry discussion. As NIST continues to develop frameworks and guidance to support the application and integration of information and technology, many of the series’ concepts will be considered for inclusion. NISTIR 8286シリーズの著者は、これらの出版物が業界のさらなる議論のきっかけとなることを願っています。NISTは、情報と技術の応用と統合を支援するためのフレームワークやガイダンスの開発を続けており、本シリーズのコンセプトの多くが採用されることが検討されています。
Abstract 概要
This document is the third in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This document provides additional detail regarding the enterprise application of cybersecurity risk information. The previous documents, NISTIRs 8286A and 8286B, provided detail regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. NISTIR 8286C describes how information, as recorded in cybersecurity risk registers (CSRRs), may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register (ERR) and enterprise risk profile (ERP) that, in turn, support the achievement of enterprise objectives. 本資料は、NIST Interagency/Internal Report (NISTIR) 8286「サイバーセキュリティとエンタープライズリスクマネジメント (ERM) の統合」を補足するシリーズの第3弾です。本文書では、サイバーセキュリティのリスク情報の企業への適用について、さらに詳しく説明しています。前作のNISTIR 8286Aおよび8286Bでは、ステークホルダーのリスクの方向性や、企業の目的に照らしたサイバーセキュリティリスクの評価・管理方法について詳しく説明しました。NISTIR 8286Cでは、サイバーセキュリティ・リスク・レジスタ(CSRR)に記録されている情報を、企業のリスク・ポートフォリオにおいて情報や技術に対するリスクを適切に考慮するための全体的なアプローチの一部として統合する方法を説明しています。このような統合的な理解は、企業リスク登録(ERR)と企業リスクプロファイル(ERP)をサポートし、ひいては企業目標の達成をサポートすることになります。

 

・[PDF] NISTIR 8286C (Draft)

20220127-174234

 

 

Executive Summary エグゼクティブサマリー
This NIST Interagency/Internal Report (NISTIR) explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite Enterprise Risk Profile (ERP) to inform company executives’ and agency officials’ enterprise risk management (ERM) deliberations, decisions and actions. It describes the inclusion of cybersecurity risks as part of financial, valuation, mission, and reputation exposure. Figure 1 expands the enterprise risk cycle from previous reports to remind the reader that the input and sentiments of external stakeholders are a critical element of risk decisions.[1]   このNIST Interagency/Internal Report(NISTIR)は、エンタープライズからの異種のサイバーセキュリティ・リスク管理(CSRM)情報を統合して複合的なエンタープライズ・リスク・プロファイル(ERP)を作成し、エンタープライズの経営者や機関の役員のエンタープライズ・リスク管理(ERM)の審議、決定、行動に情報を提供するための方法を検討している。また、財務、評価、使命、評判などのエクスポージャーの一部として、サイバーセキュリティ・リスクを含めることを説明している。図1は、以前のレポートにあったエンタープライズリスクサイクルを拡大したもので、外部のステークホルダーの意見や感情がリスク決定の重要な要素であることを読者に思い出させるものである[1]。 
The importance of information and technology risks to the enterprise risk posture makes it critical to ensure broad visibility into related activities. A comprehensive enterprise risk register (ERR) and enterprise risk profile (ERP) support communication and disclosure requirements. Integration of CSRM activities supports understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, and cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities.   エンタープライズのリスク対策における情報・技術リスクの重要性から、関連する活動を広く可視化することが重要である。包括的なエンタープライズリスク登録(ERR)とエンタープライズリスクプロファイル(ERP)は、コミュニケーションと情報開示の要件をサポートします。CSRM活動の統合は、エンタープライズ報告(損益計算書、貸借対照表、キャッシュフローなど)に関連するエクスポージャーの理解をサポートし、公共機関の同様の要件(予算編成や監督当局への報告など)をサポートします。 
This NISTIR explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite understanding of the various cyber risks that may have an impact on the enterprise’s objectives.  The report continues the discussion where NISTIR 8286B concluded by focusing on the integration of data points to create a comprehensive view of opportunities and threats to the enterprise’s information and technology. Notably, because cybersecurity risk is only one of the dozens of risk types in the enterprise risk universe, that risk understanding will itself be integrated with similar aggregate observations of other collective risk points.  このNISTIRは、エンタープライズの目的に影響を与える可能性のある様々なサイバーリスクの複合的な理解を得るために、エンタープライズ全体からの異種のサイバーセキュリティリスク管理(CSRM)情報を統合する方法を検討しています。 本報告書は、NISTIR 8286Bの議論を継承し、データポイントを統合してエンタープライズの情報や技術に対する機会や脅威を包括的に把握することに重点を置いています。特に、サイバーセキュリティリスクは、エンタープライズのリスクユニバースに含まれる数十種類のリスクタイプのうちの1つに過ぎないため、そのリスクの理解自体が、他の集合的なリスクポイントの同様の集約された観測結果と統合されることになります。
NISTIR 8286C discusses how risk governance elements such as enterprise risk strategy, appetite, tolerance, and capacity direct risk performance. By monitoring the results of CSRM activities at each hierarchical level, senior leaders can adjust various governance components (e.g., policy, procedures, skills) to achieve risk objectives. The report describes how the CSRM Monitor, Evaluate, and Adjust (MEA) process supports enterprise risk management. This process also supports a repeatable and consistent use of terms, including an understanding of how the context of the terms can vary depending on the enterprise’s perspective. That understanding helps to ensure effective CSRM communication and coordination.   NISTIR 8286Cでは、エンタープライズのリスク戦略、アペタイト、トレランス、キャパシティなどのリスクガバナンスの要素が、どのようにリスクパフォーマンスを左右するかについて述べています。各階層におけるCSRM活動の結果をモニタリングすることで、シニアリーダーは、リスク目標を達成するために様々なガバナンス要素(方針、手順、スキルなど)を調整することができます。本報告書では、CSRMのMEA(Monitor, Evaluate, and Adjust)プロセスがどのようにエンタープライズのリスク管理を支えているかを説明しています。また、このプロセスは、エンタープライズの視点によって用語の文脈がどのように変化するかを理解することを含め、反復可能で一貫性のある用語の使用をサポートします。このような理解は、CSRMの効果的なコミュニケーションと調整を可能にします。 
While ERM is a well-established field, there is an opportunity to expand and improve the body of knowledge regarding coordination among cybersecurity risk managers and those managing risk at the most senior levels. This series is intended to introduce this integration while recognizing the need for additional research and collaboration. Future points of focus may include information regarding business impact assessments (BIA), which are foundational to understanding exposure and opportunity. Additional reports may explore specific guidance regarding risk limits (i.e., risk appetite, tolerance, and capacity) and further explanation of risk analysis techniques. NIST also continues to perform extensive research and publication development regarding metrics – a topic that will certainly support ERM/CSRM performance measurement, monitoring, and communication.
ERMは確立された分野ではありますが、サイバーセキュリティ・リスク管理者と最上級レベルのリスク管理者との間の連携に関する知識体系を拡大・改善する機会があります。このシリーズは、さらなる研究と協力の必要性を認識しつつ、この統合を紹介することを目的としています。将来的には、エクスポージャーとオポチュニティを理解するための基礎となるビジネスインパクトアセスメント(BIA)に関する情報に焦点を当てる予定です。また、リスク限度(リスクアペタイト、トレランス、キャパシティなど)に関する具体的なガイダンスや、リスク分析手法のさらなる説明なども追加される予定です。NISTはまた、ERM/CSRMのパフォーマンス測定、モニタリング、コミュニケーションを確実にサポートするトピックである、メトリクスに関する広範な研究と出版物の開発を続けています。
NISTIR 8286C continues the discussion regarding the inclusion of CSRM priorities and results in support of improved understanding about the agency and enterprise impacts of cybersecurity risks on financial, reputation, and mission considerations.
NISTIR 8286Cでは、サイバーセキュリティリスクが財務、評判、ミッションに与える機関やエンタープライズの影響についての理解を深めるために、CSRMの優先事項や結果を含めることに関する議論を続けています。
[1] Key external stakeholders include shareholders, strategic partners, regulators, constituents, allies, and legislators. [1] 外部の主要なステークホルダーには、株主、戦略的パートナー、規制当局、有権者、同盟国、議員などが含まれます。

 

 

目次

Executive Summary エグゼクティブ・サマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Document Structure 1.2 文書構造
2 Aggregation and Normalization of Cybersecurity Risk Registers 2 サイバーセキュリティリスクレジスターの集約と正規化
2.1 Aggregation of Cybersecurity Risk Information 2.1 サイバーセキュリティリスク情報の集約
2.2 Normalization of CSRR Information 2.2 CSRR情報の正規化
2.3 Integrating CSRR Details 2.3 CSRRの詳細の統合
3 Integration of Cybersecurity Risk into the ERR/ERP 3 サイバーセキュリティリスクのERR/ERPへの統合
3.1 Enterprise Impact of Cybersecurity 3.1 サイバーセキュリティの企業への影響
3.2 Dependencies Among Enterprise Functions and Technology Systems 3.2 企業機能と技術システム間の依存関係
3.3 Enterprise Value of the ERP 3.3 ERPの企業価値
3.4 Typical Enterprise Objectives, Functions, and Prioritization 3.4 典型的な企業の目的、機能、および優先順位付け
4 Risk Governance as the Basis for Cybersecurity Risk Management 4 サイバーセキュリティリスクマネジメントの基礎となるリスクガバナンス
4.1 Frameworks in Support of Risk Governance and Risk Management 4.1 リスクガバナンスとリスクマネジメントを支えるフレームワーク
4.2 Adjustments to Risk Direction 4.2 リスクの方向性の調整
4.2.1 Adjustments to Cybersecurity Program Budget Allocation 4.2.1 サイバーセキュリティプログラム予算配分の調整
4.2.2 Adjustments to Risk Appetite and Risk Tolerance  4.2.2 リスクアペタイト及びリスクトレランスの調整 
4.2.3 Reviewing Whether Constraints are Overly Stringent 4.2.3 制約が過度に厳しいかどうかの見直し
4.2.4 Adjustments to Priority 4.2.4 優先順位の調整
5 Cybersecurity Risk Monitoring, Evaluation, and Adjustment 5 サイバーセキュリティリスクの監視・評価・調整
5.1 Key CSRM Mechanisms 5.1 主要なCSRMのメカニズム
5.2 Monitoring Risks 5.2 リスクのモニタリング
5.3 Evaluating Risks 5.3 リスクの評価
5.4 Adjusting Risk Responses 5.4 リスク対応の調整
6 Conclusion 6 まとめ
References 参考文献
List of Appendices 附属書のリスト
Appendix A— Acronyms and Abbreviations 附属書A - 頭字語と略語

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

IR8286

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

 

IR8286関連

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み


| | Comments (0)

2022.01.27

英国 会計検査院 モデルをレビューするためのフレームワーク

こんにちは、丸山満彦です。

個人的には、米国、英国、カナダは監査に対する理解が深い国だなぁと思っているんですよね。。。

英国の会計検査院(国家監査室というのが直訳ですかねぇ・・・)の今回の文書も、監査に対する理解がないと生まれないようなものだと思いました。。。

 

National Audit Office: NAO

・2022.01.26 Framework to review models

Framework to review models モデルをレビューするためのフレームワーク
This framework provides a structured, flexible approach to reviewing models. It is intended to aid those commissioning or undertaking analysis of a model with the aim of determining whether the model is robust and reasonable. このフレームワークは、モデルをレビューするための構造的かつ柔軟なアプローチを提供するものです。このフレームワークは、モデルが堅牢で合理的であるかどうかを判断するために、モデルの分析を依頼したり実施したりする人を支援することを目的としています。
Government departments and agencies rely on models for their day-to-day activities including estimating costs; distributing funding within organisations; and testing policy options. They routinely develop and use models to generate insight into a question or to better understand a problem related to their business. These models can vary in complexity from relatively simple spreadsheets to detailed forecasts using specialist software. Outputs from models underpin decisions made by departments and arm’s-length bodies that often have very real impacts on people’s lives and can involve large amounts of money and resources. 政府の各省庁は、コストの見積もり、組織内での資金配分、政策オプションの検証など、日々の活動においてモデルに依存しています。また、業務に関連する問題をより深く理解するために、モデルを開発して使用することもあります。これらのモデルは、比較的単純なスプレッドシートから、専門的なソフトウェアを使用した詳細な予測まで、その複雑さは様々です。モデルからの出力は、各省庁や独立行政法人による意思決定の基礎となりますが、これらの意思決定はしばしば人々の生活に非常に大きな影響を与え、多額の資金や資源を必要とすることがあります。
In our audit work across government, we continue to find weaknesses in models such as: 政府全体の監査では、以下のようなモデルの弱点が引き続き指摘されています。
・limited or poor-quality data; ・限定的、あるいは質の低いデータ
・unrealistic assumptions and optimism bias; and ・非現実的な仮定と楽観主義バイアス
・inadequate sensitivity and scenario analysis. ・感度分析やシナリオ分析が不十分であること
The framework provides a structured approach to review models, which organisations can use to determine whether the modelling outputs they produce are reasonable, robust and have a minimal likelihood of errors being made. このフレームワークは、モデルをレビューするための構造的なアプローチを提供しており、組織はこれを利用して、作成したモデル出力が合理的で、堅牢であり、エラーが発生する可能性が最小限であるかどうかを判断することができます。

 

・[PDF]

20220127-145413

目次

Introduction 序文
The framework フレームワーク
Risk assessment リスク評価
Controls コントロール
Selection of methods 手法の選択
Application of methods 手法の適用
Data データ
Assumptions 前提条件
Estimation uncertainty 推定の不確実性
Using the model outputs モデル出力の使用

 

序文

Introduction 序文
Government departments and agencies rely on models for their day-to-day activities including estimating costs; distributing funding within organisations; and testing policy options. They routinely develop and use models to generate insight into a question or to better understand a problem related to their business. These models can vary in complexity from relatively simple spreadsheets to detailed forecasts using specialist software. Outputs from models underpin decisions made by departments and arm’s-length bodies that often have very real impacts on people’s lives and can involve large amounts of money and resources. 政府の各省庁は、コストの見積もり、組織内での資金配分、政策オプションの検証など、日々の活動にモデルを活用しています。また、業務に関連する問題をより深く理解するために、モデルを開発し使用することもあります。これらのモデルは、比較的単純なスプレッドシートから、専門的なソフトウェアを使用した詳細な予測まで、その複雑さは様々です。モデルからの出力は、各省庁や独立行政法人による意思決定の基礎となりますが、これらの意思決定はしばしば人々の生活に非常に大きな影響を与え、多額の資金や資源を必要とすることがあります。
In our audit work across government, we continue to find weaknesses in models such as: • limited or poor-quality data; • unrealistic assumptions and optimism bias; and 政府全体の監査では、以下のようなモデルの弱点が引き続き指摘されています。- 非現実的な仮定と楽観主義バイアス
• inadequate sensitivity and scenario analysis. ・不適切な感度とシナリオ分析
The framework provides a structured approach to review models, which organisations can use to determine whether the modelling outputs they produce are reasonable, robust and have a minimal likelihood of errors being made. このフレームワークは、モデルをレビューするための構造的なアプローチを提供しています。このフレームワークを利用することで、組織は、作成したモデル出力が合理的で、堅牢であり、エラーが発生する可能性が最小限であるかどうかを判断することができます。
Evidence base エビデンスベース
The framework to review models builds on the findings, conclusions and recommendations from our 2022 report on Financial modelling in government. It is also based on the evidence and guidance available from: モデルをレビューするためのフレームワークは、2022年に発行されたレポート「Financial modelling in government」で得られた知見、結論、提言に基づいています。また、以下の証拠やガイダンスにも基づいています。
• HM Treasury’s review of quality assurance of government analytical models (2013) ・HM Treasury's review of quality assurance of government analytical models (2013) 
• HM Treasury’s Aqua Book (2015) ・ HM Treasury's Aqua Book (2015)
• The Department for Business, Energy & Industrial Strategy (BEIS) Modelling Quality Assurance tools and guidance ・ビジネス・エネルギー・産業戦略省(BEIS)のモデリング品質保証ツール及びガイダンス
• International Standard on Auditing, ISA, (UK) 540  (Revised) Auditing Accounting Estimates and Related Disclosures (2018) ・国際監査基準(ISA)(英国)540号 (改訂版)会計上の見積りと関連する開示の監査(2018年)
• Office for Statistics Regulation Quality Assurance of Administrative Data ・Office for Statistics Regulation Quality Assurance of Administrative Data(統計局規則 行政データの品質保証
• The government’s Uncertainty Toolkit for Analysts in Government ・政府のアナリスト向け不確実性ツールキット
How to use the framework フレームワークの使用方法
This framework is aimed at people who commission analysis, provide analytical assurance and deliver the analysis itself. このフレームワークは、分析を依頼する人、分析の保証を行う人、分析そのものを提供する人を対象としています。
It is not intended to be a checklist; instead it is a flexible framework which can be tailored, taking into account: • the amount of time and resource available; チェックリストとしてではなく、以下の点を考慮してカスタマイズできる柔軟なフレームワークです。- 利用可能な時間とリソースの量
• the complexity and risk associated with the model; and  ・モデルに関連する複雑さとリスク,および
• the level of assurance needed to reach an overall judgement.  ・総合的な判断を下すために必要な保証のレベル
This proportional approach is in line with HM Treasury’s review of quality assurance of government analytical models (see diagram overleaf). Additionally, please note the framework does not represent a comprehensive methodology for audits of models carried out to test compliance with the International Standard on Auditing (UK), where further requirements will apply.  このような比例的なアプローチは、政府の分析モデルの品質保証に関する財務省のレビューに沿ったものです(左図参照)。さらに、このフレームワークは、国際監査基準(英国)への準拠をテストするために実施されるモデルの監査のための包括的な方法論を示すものではなく、さらなる要件が適用されることに留意してください。
Deciding on whether a model and its outputs are robust, reasonable and used appropriately requires a proportionate, evidence-based judgement. It will often be the case that a review will identify issues and weaknesses in some aspect of how the model was designed, built and used. Crucially, the objective of a model review is to identify, in your opinion, whether those issues had an impact on the quality of the model, and whether there is a risk of material impact on the outputs and how they are interpreted and used for decision making, planning and/or disclosures.  モデルとその出力が堅牢であり、妥当であり、適切に使用されているかどうかを判断するには、証拠に基づいた適切な判断が必要です。多くの場合、レビューでは、モデルの設計、構築、使用方法のいくつかの側面における問題や弱点が特定されることになります。重要なことは、モデルレビューの目的は、それらの問題がモデルの品質に影響を与えたかどうか、また、アウトプットに重大な影響を与えるリスクがあるかどうか、そして、それらがどのように解釈され、意思決定、計画、および/または開示のために使用されるかを、あなたの意見で特定することです。
How the NAO can help NAOの支援方法
If you have any queries about this framework or suggestions for how it can be improved, please use the contact form on our website. このフレームワークについてのご質問や、改善のためのご提案などがございましたら、当ウェブサイトのお問い合わせフォームをご利用ください。

 

| | Comments (0)

NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

こんにちは、丸山満彦です。

NISTがNIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価を公開していますね。。。

ドラフト段階ではほぼ800ページあったのが733ページに減っています(^^)

実は、ここで評価されているコントロールの評価手法は監査学者も是非読んでほしいですね。。。(日本の監査研究者は、財務諸表監査の研究者ばかりですよね。。。)

 

NIST - ITL

・2022.01.25 SP 800-53A Rev. 5 Assessing Security and Privacy Controls in Information Systems and Organizations

・[PDF] SP 800-53A Rev. 5

20220127-134405

Executive Summary エグゼクティブサマリー
Security and privacy control assessments are not about checklists, simple pass/fail results, or generating paperwork to pass inspections or audits. Rather, control assessments are the principal vehicle used to verify that selected security and privacy controls are implemented and meeting stated goals and objectives. Special Publication (SP) 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations, facilitates security control assessments and privacy control assessments conducted within an effective risk management framework. A major design objective for SP 800-53A is to provide an assessment framework and initial starting point for assessment procedures that are flexible enough to meet the needs of different organizations while providing consistency in conducting control assessments. Control assessment results provide organizational officials with: セキュリティとプライバシーのコントロール評価は、チェックリストや単純な合格/不合格の結果、あるいは検査や監査に合格するための書類作成ではありません。コントロー評価は、むしろ選択されたセキュリティとプライバシーのコントロールが実施され、定められた目標と目的を達成していることを検証するための主要な手段です。Special Publication (SP) 800-53A, Assessing Security and Privacy Controls in Information Systems and Organizations(情報システムと組織におけるセキュリティとプライバシーのコントロールの評価)は、効果的なリスク管理の枠組みの中で行われるセキュリティコントロールの評価とプライバシーコントロールの評価を促進します。SP 800-53A の主な設計目的は、コントロール評価の実施に一貫性を持たせながら、異なる組織のニーズを満たすのに十分な柔軟性を持った評価フレームワークと評価手順の最初の出発点を提供することです。コントロール評価の結果は、組織の担当者に次のものを提供します。
• Evidence of the effectiveness of implemented controls,  ・実装されたコントロールの有効性の証拠
• An indication of the quality of the risk management processes, and  ・リスクマネジメントプロセスの質の指標、および
• Information about the security and privacy strengths and weaknesses of systems that are supporting organizational missions and business functions. ・組織のミッションとビジネス機能をサポートするシステムのセキュリティとプライバシーに関する強みと弱みに関する情報。
The findings identified by assessors are used to determine the overall effectiveness of security and privacy controls associated with systems and their environments of operation and to provide credible and meaningful inputs to the organization’s risk management process. A wellexecuted assessment helps determine the validity of the controls contained in the organization’s security and privacy plans and subsequently employed in organizational systems and environments of operation. Control assessments facilitate a cost-effective approach to managing risk by identifying weaknesses or deficiencies in systems, thus enabling the organization to determine appropriate risk responses in a disciplined manner that is consistent with organizational mission and business needs. 評価者が発見した事項は、システムおよびその運用環境に関連するセキュリティおよびプライバシーのコントロールの全体的な有効性を判断し、組織のリスク管理プロセスに信頼性のある有意義な情報を提供するために使用されます。適切に実施された評価は、組織のセキュリティ及びプライバシーに関する計画に含まれ、その後、組織のシステム及び運用環境に採用されたコントロールの有効性を判断するのに役立ちます。コントロール評価は、システムの弱点や欠陥を特定することで、リスクを管理するための費用対効果の高いアプローチを促進し、組織が組織のミッションとビジネスニーズに合致した適切なリスク対応を決定することを可能にします。
SP 800-53A is a companion guideline to [SP 800-53] Security and Privacy Controls for Systems and Organizations. Each publication provides guidance for implementing specific steps in the Risk Management Framework (RMF).1 SP 800-53 and [SP 800-53B] address the Select step of the RMF and provide guidance on security and privacy control selection (i.e., determining the controls needed to manage risks to organizational operations and assets, individuals, other organizations, and the Nation). SP 800-53A addresses the Assess and Monitor steps of the RMF and provides guidance on the security and privacy control assessment processes. SP 800-53A also includes guidance on how to build effective assessment plans and how to analyze and manage assessment results. SP 800-53A は、[SP 800-53] Security and Privacy Controls for Systems and Organizations に付随するガイドラインです。SP 800-53 と [SP 800-53B] は RMF の選択ステップを扱い、セキュリティとプライバシ ーのコントロールの選択(組織の運営と資産、個人、他の組織、国家に対するリスクを管理するために 必要なコントロールを決定すること)に関するガイダンスを提供しています。SP 800-53A は、RMF の評価と監視のステップを扱い、セキュリティとプライバシー管理の評価プロセスに関するガイダンスを提供しています。SP 800-53A には、効果的な評価計画を構築する方法と、評価結果を分析し管理する方法についてのガイダンスも含まれています。
SP 800-53A provides a process that allows organizations to tailor the assessment procedures outlined in the guidance. Tailoring involves customizing the assessment procedures to match the characteristics of the system and its environment of operation more closely. The tailoring process described in this guidance gives organizations the flexibility needed to avoid assessment approaches that are unnecessarily complex or costly while simultaneously meeting the assessment requirements and risk management principles established in the RMF. Tailoring decisions are left to the discretion of the organization to maximize flexibility in developing assessment plans – applying the results of risk assessments to determine the extent, rigor, and level of intensity of the assessments needed to provide sufficient assurance about the security and privacy posture of the system. SP 800-53A は、ガイダンスに記載されている評価手順を組織がカスタマイズするためのプロセスを提供しています。調整とは、システムの特性とその運用環境に合わせて評価手順をカスタマイズすることです。本ガイダンスに記載されている調整プロセスは、不必要に複雑でコストのかかる評価手法を避け、同時にRMFで確立された評価要件とリスク管理原則を満たすために必要な柔軟性を組織に与えるものである。調整の決定は組織の裁量に委ねられており、評価計画の策定における柔軟性を最大限に引き出すことができます。また、リスクアセスメントの結果を適用して、システムのセキュリティ及びプライバシーの態勢について十分な保証を提供するために必要なアセスメントの範囲、厳格さ、強度のレベルを決定します。
1 [SP 800-37], Risk Management Framework for Information Systems and Organizations: A System Life Cycle Approach for Security and Privacy, provides guidance on applying the RMF to systems and organizations. 1 [SP 800-37]、情報システムと組織のためのリスク管理フレームワーク。では、システムや組織にRMFを適用する際のガイダンスが示されています。

 

目次...

CHAPTER ONE INTRODUCTION 第1章 はじめに
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用性
1.2 TARGET AUDIENCE 1.2 想定読者
1.3 RELATED PUBLICATIONS AND ASSESSMENT PROCESSES 1.3 関連出版物および評価プロセス
1.4 ORGANIZATION OF THIS PUBLICATION 1.4 この出版物の構成
CHAPTER TWO THE FUNDAMENTALS 第2章 基本事項
2.1 ASSESSMENTS WITHIN THE SYSTEM DEVELOPMENT LIFE CYCLE 2.1 システム開発ライフサイクルにおけるアセスメント
2.2 CONTROL STRUCTURE AND ORGANIZATION 2.2 コントロールの構造と組織
2.3 BUILDING AN EFFECTIVE ASSURANCE CASE 2.3 効果的な保証事例の構築
2.4 ASSESSMENT PROCEDURES: ASSESSMENT OBJECTS, METHODS AND OBJECTIVES 2.4 評価手順。評価の対象、方法及び目的
CHAPTER THREE THE PROCESS 第3章 プロセス
3.1 PREPARE FOR SECURITY AND PRIVACY CONTROL ASSESSMENTS 3.1 セキュリティ及びプライバシーに関する統制評価の準備
3.2 DEVELOP SECURITY AND PRIVACY ASSESSMENT PLANS 3.2 セキュリティ及びプライバシーに関する評価計画の策定
3.3 CONDUCT SECURITY AND PRIVACY CONTROL ASSESSMENTS 3.3 セキュリティ及びプライバシーに関する統制評価の実施
3.4 ANALYZE ASSESSMENT REPORT RESULTS 3.4 評価報告書の結果の分析
3.5 ASSESS SECURITY AND PRIVACY CAPABILITIES 3.5 セキュリティ及びプライバシーに関する能力の評価
CHAPTER FOUR SECURITY AND PRIVACY ASSESSMENT PROCEDURES 第4章 セキュリティ及びプライバシーの評価手順
4.1 ACCESS CONTROL 4.1 アクセス制御
4.2 AWARENESS AND TRAINING 4.2 認識とトレーニング
4.3 AUDIT AND ACCOUNTABILITY 4.3 監査及び説明責任
4.4 ASSESSMENT, AUTHORIZATION, AND MONITORING 4.4 評価、承認、及び監視
4.5 CONFIGURATION MANAGEMENT 4.5 構成管理
4.6 CONTINGENCY PLANNING 4.6 緊急時の計画
4.7 IDENTIFICATION AND AUTHENTICATION 4.7 識別および認証
4.8 INCIDENT RESPONSE 4.8 インシデント対応
4.9 MAINTENANCE 4.9 メンテナンス
4.10 MEDIA PROTECTION 4.10 メディアの保護
4.11 PHYSICAL AND ENVIRONMENTAL PROTECTION 4.11 物理的および環境的な保護
4.12 PLANNING 4.12 プランニング
4.13 PROGRAM MANAGEMENT 4.13 プログラム管理
4.14 PERSONNEL SECURITY 4.14 職員のセキュリティ
4.15 PERSONALLY IDENTIFIABLE INFORMATION PROCESSING AND TRANSPARENCY 4.15 個人を特定できる情報の処理と透明性
4.16 RISK ASSESSMENT 4.16 リスク評価
4.17 SYSTEM AND SERVICES ACQUISITION 4.17 システムおよびサービスの取得
4.18 SYSTEM AND COMMUNICATIONS PROTECTION 4.18 システムおよび通信の保護
4.19 SYSTEM AND INFORMATION INTEGRITY 4.19 システムおよび情報の完全性
4.20 SUPPLY CHAIN RISK MANAGEMENT 4.20 サプライチェーン・リスクマネジメント
REFERENCES 参考文献
APPENDIX A GLOSSARY 附属書A 用語集
APPENDIX B ACRONYMS 附属書B 頭字語
APPENDIX C ASSESSMENT METHOD DESCRIPTIONS 附属書C 評価方法の説明
APPENDIX D PENETRATION TESTING 附属書D ペネトレーションテスト
APPENDIX E ASSESSMENT REPORTS 附属書E 評価レポート
APPENDIX F ONGOING ASSESSMENT AND AUTOMATION 附属書F 継続的な評価と自動化

 


● まるちゃんの情報セキュリティ気まぐれ日記

ドラフト時

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

 

SP800-53A, 171A, 172A関連

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

10年以上前

・2010.05.10 NIST SP800-53関係の情報

・2009.12.25 OMB Requesting Comments on Metrics for Annual FISMA Reporting by Federal Agencies

・2006.08.02 NIST SP800-53Aの評価手順書作成の考え方

・2005.07.20 NIST SP800-53A & FIPS 200 Draft

・2005.06.18 NIST SP-800



 

| | Comments (0)

英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省は、スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表していますね。。。


● U.K. Government

・2022.01.26 (press) New smart devices cyber security laws one step closer

 

New smart devices cyber security laws one step closer スマートデバイスのサイバーセキュリティ新法に一歩近づく
Digital Secretary Nadine Dorries to open the debate on new law to strengthen cyber protections for people’s smartphones, TVs, speakers, routers and digital devices スマートフォン、テレビ、スピーカー、ルーターなどのデジタル機器のサイバー保護を強化する新法について、デジタル・セクレタリーのナディーン・ドリースが討論会を開催
From: Department for Digital, Culture, Media & Sport and The Rt Hon Nadine Dorries MP デジタル・文化・メディア・スポーツ省、The Rt Hon Nadine Dorries MPから
・Second reading of landmark Product Security and Telecoms Infrastructure Bill will prohibit UK sales of connectable digital products with poor cyber security ・「製品セキュリティおよび電気通信インフラ法案」の第二読会で、サイバーセキュリティが不十分な接続可能なデジタル製品の英国での販売が禁止されることが明確になった。
・Bill will speed up roll out of better mobile and broadband coverage by encouraging fairer and faster deals between landowners and mobile operators ・この法案は、土地所有者と携帯電話事業者との間のより公平で迅速な取引を促進することにより、モバイルやブロードバンドの普及を促進するものである。
MPs are set to debate a new world-leading law to keep consumers’ phones, tablets, smart TVs, fitness trackers and other devices secure from cybercriminals. 国会議員は、消費者の携帯電話、タブレット、スマートテレビ、フィットネストラッカー、その他の機器をサイバー犯罪者から守るための、世界をリードする新しい法律について議論する予定です。
It will place new cyber security requirements on the manufacturers and sellers of consumer tech which can connect to the internet or other devices. この法案は、インターネットや他の機器に接続可能な消費者向け機器の製造者および販売者に、新たなサイバーセキュリティ要件を課すものです。
Under the bill, easy-to-guess default passwords which come programmed into digital devices and present an easy target for cybercriminals will be banned. この法案では、デジタル機器にプログラムされ、サイバー犯罪者にとって格好の標的となっている、推測しやすいデフォルトのパスワードを禁止します。
Manufacturers will have to be more transparent to customers about the length of time products will receive security updates for connectable products and create a better public reporting system for vulnerabilities found in those products. また、製造業者は、接続可能な製品のセキュリティアップデートが提供される期間を顧客に対してより透明性の高いものとし、これらの製品に発見された脆弱性の報告システムをより適切に構築する必要があります。
Failure to uphold the measures could result in fines ​​of up to £10 million or four per cent global turnover, plus up to £20,000 per day in the case of an ongoing breach. これらの措置を怠った場合には、最高1,000万ポンドまたは全世界の売上高の4%、さらに継続的に違反があった場合には1日あたり最高2万ポンドの罰金が科せられることになります。
Ahead of introducing the bill in the House of Commons, Digital Secretary Nadine Dorries said: 下院での法案提出に先立ち、デジタル・セクレタリーのナディーン・ドリースは次のように述べています。
Whether it’s your phone, smart speaker or fitness tracker, it’s vital that these devices are kept secure from cybercriminals. 携帯電話、スマートスピーカー、フィットネストラッカーなど、これらのデバイスがサイバー犯罪者から安全に守られることは極めて重要です。
Every product on our shelves has to meet all sorts of minimum requirements, like being fire resistant or a choking hazard and this is no different for the digital age where products can now carry a cyber security risk. 棚に並んでいるすべての製品は、耐火性や窒息の危険性など、あらゆる種類の最低条件を満たしていなければなりません。これは、製品がサイバーセキュリティのリスクを抱えるようになったデジタル時代でも変わりません。
We are legislating to protect people across the UK and keep pace with technology as it transforms our everyday lives. 私たちは、英国の人々を保護し、日常生活を変化させるテクノロジーに対応するために法律を制定しています。
The bill will give ministers powers to put new requirements on the manufacturers, importers and distributors of consumer tech devices. They include: この法案は、消費者向けハイテク機器の製造業者、輸入業者、販売業者に新たな要件を課す権限を閣僚に与えます。その内容は以下の通りです。
Banning universal default passwords which are pre-set on devices - such as ‘password’ or ‘admin’ - and are an easy target for cyber criminals. Any preloaded product passwords will need to be unique and not resettable to universal factory settings. サイバー犯罪者の格好の標的となる、「password」や「admin」など、機器にあらかじめ設定されているユニバーサルなデフォルトパスワードを禁止する。プリロードされた製品のパスワードは、ユニークなものでなければならず、普遍的な工場出荷時の設定にリセットすることはできません。
Requiring device manufacturers to be transparent with consumers about how long they’ll provide security updates for products so people are clearer when they buy. If a product will not receive any security updates the customer must be informed. 機器メーカーは、製品のセキュリティアップデートを提供する期間について、消費者に対して透明性を確保することを要求し、消費者が製品を購入する際に明確になるようにする。製品にセキュリティアップデートが提供されない場合は、お客様にその旨を伝えなければなりません。
Ensuring manufacturers have a readily available public point of contact to make it easier for software flaws and bugs to be reported. ソフトウェアの欠陥やバグの報告を容易にするために、メーカーは一般に公開された連絡先を確保する。
​​The bill will also speed up the roll out of faster and more reliable broadband and mobile networks by making it easier for operators to upgrade and share infrastructure. The reforms will encourage quicker and more collaborative negotiations with landowners hosting the equipment with the aim of reducing instances of lengthy court action holding up the construction of infrastructure. また、この法案は、事業者がインフラのアップグレードや共有を容易にすることで、より高速で信頼性の高いブロードバンドおよびモバイルネットワークの展開を加速します。この改革により、設備を保有する土地所有者との交渉が迅速かつ協力的に行われるようになり、インフラの建設を妨げる長期の裁判を減らすことを目指します。
A regulator, to be announced at a later date, will oversee the new cyber security regime and ensure in-scope businesses comply with the measures in place. It will have the power to issue notices to companies requiring they comply with the security requirements, recall insecure products or stop selling or supplying them altogether. 後日発表される予定の規制当局は、新しいサイバーセキュリティ制度を監督し、対象となる企業が導入された措置を遵守することを保証します。規制当局は、企業に対し、セキュリティ要件の遵守、安全でない製品の回収、製品の販売・供給の全面的な停止を求める通知を発行する権限を有します。
The bill applies to ‘connectable’ products. This includes all devices which can access the internet such as smartphones, smart TVs, games consoles, security cameras and alarm systems, smart toys and baby monitors, smart home hubs and voice-activated assistants, and smart home appliances such as washing machines and fridges. この法案は、「接続可能な」製品に適用されます。スマートフォン、スマートテレビ、ゲーム機、防犯カメラやアラームシステム、スマートトイやベビーモニター、スマートホームハブや音声認識アシスタント、洗濯機や冷蔵庫などのスマート家電など、インターネットに接続できるすべての機器が対象となります。
It also applies to products which can connect to multiple other devices but not directly to the internet. Examples include smart light bulbs, smart thermostats and wearable fitness trackers. また、インターネットには直接接続できないが、他の複数の機器に接続できる製品にも適用されます。例えば、スマート電球、スマートサーモスタット、ウェアラブル・フィットネストラッカーなどです。
Matthew Evans, Director of Markets, techUK said: techUKのマーケッツ担当ディレクター、マシュー・エヴァンスは次のように述べています。
Industry has long supported the shared ambition to improve the cyber resilience of devices and has worked with DCMS across the Secure-By-Design agenda over the last five years. 「業界は、機器のサイバー耐性を向上させるという共通の目標を長年支持しており、過去5年間にわたりDCMSと協力して「Secure-By-Design」の課題に取り組んできました。
Most suppliers already adhere to the principles of the legislation and if implemented practically this will both protect consumers and ensure they have access to a wide range of connected devices. ほとんどのサプライヤーは、すでにこの法律の原則を遵守しており、これが実際に実施されれば、消費者を保護すると同時に、幅広いコネクテッドデバイスへのアクセスを確保することができます。
techUK also welcomes the Government’s efforts to reforming the Electronic Communications Code, which is essential to speeding up the rollout of gigabit and 5G infrastructure. Industry looks forward to further clarity on the amendments to the Code to ensure we can deliver the connectivity consumers and businesses need. techUKは、ギガビットおよび5Gインフラの展開を加速させるために不可欠な電子通信規約の改革に向けた政府の取り組みも歓迎します。業界としては、消費者や企業が必要とする接続性を確実に提供するために、コードの改正内容がさらに明確になることを期待しています」。
Hamish MacLeod, Chief Executive at Mobile UK, said: Mobile UKのチーフ・エグゼクティブであるHamish MacLeodは、次のように述べています。
Mobile operators need a robust legal framework to meet the UK’s connectivity ambitions. The Electronic Communications Code as it stands is not working. 「携帯電話事業者は、英国の接続性に関する目標を達成するために、強固な法的枠組みを必要としています。現状の電子通信規約は機能していません。
Mobile operators welcome the measures within this Bill that will tackle this and will engage closely with Parliament to ensure that it delivers on this objective. 携帯電話事業者は、この法案の中でこの問題に取り組むための措置を歓迎し、議会と緊密に連携してこの目的を達成することを目指します」。
ENDS ENDS
Notes to Editors: 編集者への注釈
Following its second reading the bill will advance to the committee stage where an assigned committee will scrutinise the bill in detail. Further information on the bill’s journey through Parliament can be found on the website 法案は、第2読会の後、委員会段階に進み、指定された委員会が法案を詳細に精査します。法案が議会を通過する過程の詳細については、ウェブサイトをご覧ください。
The security requirements that relate to the powers set out in Part 1 of the bill are to be introduced in regulations and are based on the 2018 Code of Practice for Consumer Internet of Things Security and the European Standard on Internet of Things Security, ETSI EN 303 645, which include thirteen outcome-focused guidelines that are widely considered good practice in IoT security. 法案の第1部で定められた権限に関連するセキュリティ要件は、規制で導入される予定であり、IoTセキュリティのグッドプラクティスとして広く考えられている13のアウトカムに焦点を当てたガイドラインを含む「2018 Code of Practice for Consumer Internet of Things Security」および「European Standard on Internet of Things Security, ETSI EN 303 645」に基づいています。

 

Fig1_20211219053501

 


 

法案の進捗状況等(議会)

● U.K. Parliament - Parliamentary Bills

Product Security and Telecommunications Infrastructure Bill

・[PDF] Bill 199 2021-22 (as introduced)

20220127-115023

関連文書

● U.K. Government

・2018.10.14 Code of Practice for Consumer IoT Security

・[HTML]

・[PDF

20220127-110420

 

● European Telecommunications Standards Institute: ETSI

・2020.06 [PDF] ETSI EN 303 645 V2.1.1 CYBER; Cyber Security for Consumer Internet of Things: Baseline Requirements

20220127-111537


上記の標準の技術仕様書

・2021.08 [PDF] ETSI TS 103 701 V1.1.1 CYBER; Cyber Security for Consumer Internet of Things: Conformance Assessment of Baseline Requirements

20220127-111703



 

| | Comments (0)

公認会計士協会 IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正

こんにちは、丸山満彦です。

公認会計士協会が、IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正を公開していますね。。。(昨年11月から12月にかけて改正案の意見募集があったものです。。。意見は無かったようですが。。。)

リモートワークの定着化により想定される課題への対応等として、従来のQ&Aの見直しを行ったものということです。。。用語というか範囲というかの見直しも行われていますね。。。

 

日本公認会計士協会

・2022.01.26 「IT委員会研究報告第34号「IT委員会実務指針第4号「公認会計士業務における情報セキュリティの指針」Q&A」の改正」の公表について

 

・[PDF] 前文

・[PDF] 新旧対照表

・[PDF] 本文

20220127-62958

・[PDF] 概要資料

20220127-63021

変更点の概要

1 リモートワーク関連技術・対策のQA追加、記載強化

  • Q22:「電子データ授受に関する方針を定める上で留意する点を教えてください。」というQAを追加
  • Q35:リモート会議の実施に対する主なリスクの主な例示を追加
  • Q36:リモートワークの導入に当たってのセキュリティ対策についての考え方や対策例を示した総務省「テレワークセキュリティガイドライン」の追加

2 リスクアセスメントの例示の更新

  • 付録2:業務の局面におけるリスクとリスク対応例を更新

3 予防のみならず被害を受ける前提の早期検知・対策に言及

  • Q7:早期の検知を行えるような組織やシステム運用上の仕組みを導入する事や、影響の特定早期化や対応の早期化など被害の最小化につながる取組の重要性を記載
  • 27:サイバー攻撃等のインシデントが発生した事を想定した対応の例示を記載

4 クラウドサービス等外部委託先を利用することを前提とした記載を強化

  • Q9:外部に委託する作業や業務に応じて扱う情報が異なることを前提にリスクに応じた対策を行うことの重要性を記載
  • 11:「外部の委託業者との間では守秘義務契約などを締結していますが、リスク要因としてどのような点について注意すればよいでしょうか。」というQAを追加
  • Q12:新たな情報機器の活用が進む中で、利便性のみならずセキュリティリスク及び適切な設定を行うことの重要性について、改めて注意喚起

5 PC等からの情報漏洩を避ける日常的な防止策の例示の追加

  • 25:機器の廃棄及びモバイルデバイス管理に係る論点を追記

 

 

| | Comments (0)

欧州委員会 「デジタルの権利と原則に関する欧州宣言」草案

こんにちは、丸山満彦です。

欧州委員会が、「デジタルの権利と原則に関する欧州宣言」草案を発表し、欧州議会、欧州理事会に提案していますね。。。2021年9月に採択された「デジタルの10年への道」を補完するものとしての位置付けのようですね。。。

EU Commission

・2022.01.26 [PDF] DIGITAL RIGHTS AND PRINCIPLES

20220127-50921

 

“We aim to promote a European way for the digital transition, putting people at the centre. It shall be based on European values and benefiting all individuals and businesses.” 「私たちは、人々を中心に据えたデジタル移行のためのヨーロッパの方法を推進することを目指しています。それは、欧州の価値観に基づき、すべての個人や企業に利益をもたらすものでなければなりません」。
All people in the EU should get the most out of the digital transformation. The digital rights and principles will guide the EU in promoting an inclusive, prosperous, and sustainable society. The declaration is the first of its kind in the world. It will be a reference point for everyone in the EU and a guide for policy makers and companies developing digital technologies. The digital rights and principles will be reflected in the EU’s actions, future work, and engagement with global partners.  EUのすべての人々が、デジタルトランスフォーメーションから最大限の恩恵を受けるべきです。デジタルの権利と原則は、EUが包括的で豊かで持続可能な社会を推進する際の指針となる。この宣言は、この種のものとしては世界で初めてのものです。この宣言は、EU域内のすべての人にとって参考となり、また、政策立案者やデジタル技術を開発する企業にとっても指針となるでしょう。デジタルの権利と原則は、EUの行動、将来の仕事、世界のパートナーとの関わりに反映されます。

 

PEOPLE AT THE CENTRE 人間中心
Digital technologies should protect people’s rights, support democracy, and ensure that all digital players act responsibly and safely. The EU promotes these values across the world.   デジタル技術は、人々の権利を守り、民主主義を支援し、すべてのデジタルプレーヤーが責任を持って安全に行動することを保証するものでなければなりません。EUは、こうした価値観を世界に広めています。 
SOLIDARITY AND INCLUSION 団結と包括
Technology should unite, not divide, people. Everyone should have access to the internet, to digital skills, to digital public services, and to fair working conditions.   テクノロジーは、人々を分断するものではなく、団結させるものでなければなりません。すべての人がインターネットにアクセスし、デジタルスキルを身につけ、デジタル公共サービスを受け、公正な労働条件を得るべきです。 
FREEDOM OF CHOICE 選択の自由
People should benefit from a fair online environment, be safe from illegal and harmful content, and be empowered when they interact with new and evolving technologies like artificial intelligence.   人々は、公正なオンライン環境の恩恵を受け、違法・有害なコンテンツから安全に守られ、人工知能のような新しく進化するテクノロジーと対話する際に力を与えられるべきです。 
PARTICIPATION 参加の自由
Citizens should be able to engage in the democratic process at all levels, and have control over their own data.   市民は、あらゆるレベルの民主的プロセスに参加し、自らのデータをコントロールできるべきです。 
SAFETY AND SECURITY 安全とセキュリティ
The digital environment should be safe and secure. All users, from childhood to old age, should be empowered and protected.   デジタル環境は、安全でセキュアであるべきです。子供からお年寄りまで、すべてのユーザーが権限を与えられ、保護されるべきです。 
SUSTAINABILITY 持続可能性
Digital devices should support sustainability and the green transition. People need to know about the environmental impact and energy consumption of their devices.  デジタル機器は、持続可能性とグリーン・トランジションをサポートすべきである。ユーザーは、自分の機器が環境に与える影響やエネルギー消費量について知る必要があります。

 

プレス発表

・2022.01.26 (press) Commission puts forward declaration on digital rights and principles for everyone in the EU

Commission puts forward declaration on digital rights and principles for everyone in the EU 欧州委員会は、EU域内のすべての人のためのデジタルの権利と原則に関する宣言を発表
Today, the Commission is proposing to the European Parliament and Council to sign up to a declaration of rights and principles that will guide the digital transformation in the EU. 本日、欧州委員会は、EUにおけるデジタル変革の指針となる権利と原則の宣言への署名を欧州議会と理事会に提案しました。
The draft declaration on digital rights and principles aims to give everyone a clear reference point about the kind of digital transformation Europe promotes and defends. It will also provide a guide for policy makers and companies when dealing with new technologies. The rights and freedoms enshrined in the EU's legal framework, and the European values expressed by the principles, should be respected online as they are offline. Once jointly endorsed, the Declaration will also define the approach to the digital transformation which the EU will promote throughout the world. 「デジタルの権利と原則に関する宣言」案は、欧州がどのようなデジタル変革を推進し、擁護するかについて、すべての人に明確な参照点を与えることを目的としています。また、政策立案者や企業が新しい技術に取り組む際の指針となります。EUの法的枠組みに謳われている権利と自由、そして原則で表現されている欧州の価値観は、オフラインと同様にオンラインでも尊重されるべきです。この宣言は、EUが世界に向けて推進するデジタルトランスフォーメーションへのアプローチを定義するものでもあります。
Executive Vice-President for a Europe Fit for the Digital Age, Margrethe Vestager, said: “We want safe technologies that work for people, and that respect our rights and values. Also when we are online. And we want everyone to be empowered to take an active part in our increasingly digitised societies. This declaration gives us a clear reference point to the rights and principles for the online world.” マルグレーテ・ベスタガー欧州委員会副委員長(デジタル時代に適した欧州担当)は次のように述べています。 「私たちは、人々のために機能し、私たちの権利や価値を尊重する安全なテクノロジーを求めています。私たちは、人々のために機能し、私たちの権利と価値を尊重する安全なテクノロジーを求めています。また、デジタル化が進む社会において、すべての人が積極的な役割を果たせるようにしたいと考えています。この宣言は、オンラインの世界における権利と原則について、明確な参照点を与えてくれます」。
Commissioner for the Internal Market, Thierry Breton, said: “We want Europeans to know: living, studying, working, doing business in Europe, you can count on top class connectivity, seamless access to public services, a safe and fair digital space. The declaration of digital rights and principles also establishes once and for all that what is illegal offline should also be illegal online. We also aim to promote these principles as a standard for the world.” 欧州委員会のティエリー・ブルトン域内市場担当委員は次のように述べています。「欧州で生活し、学び、働き、ビジネスを行う際には、トップクラスの接続性、公共サービスへのシームレスなアクセス、安全で公正なデジタル空間が確保されていることを、欧州の人々に知ってもらいたいと思います。また、デジタルの権利と原則の宣言は、オフラインで違法なものはオンラインでも違法であることを明確にしています。また、この原則を世界の基準として普及させることを目指しています。」
Rights and principles in the digital age デジタル時代の権利と原則
The draft declaration covers key rights and principles for the digital transformation, such as placing people and their rights at its centre, supporting solidarity and inclusion, ensuring the freedom of choice online, fostering participation in the digital public space, increasing safety, security and empowerment of individuals, and promoting the sustainability of the digital future. 宣言案は、人々とその権利を中心に据えること、連帯と包摂を支援すること、オンラインでの選択の自由を確保すること、デジタル公共空間への参加を促進すること、安全性、セキュリティ、個人のエンパワーメントを高めること、デジタルの未来の持続可能性を促進することなど、デジタル変革のための主要な権利と原則を網羅しています。
These rights and principles should accompany people in the EU in their everyday life: affordable and high-speed digital connectivity everywhere and for everybody, well-equipped classrooms and digitally skilled teachers, seamless access to public services, a safe digital environment for children, disconnecting after working hours, obtaining easy-to-understand information on the environmental impact of our digital products, controlling how their personal data are used and with whom they are shared. これらの権利と原則は、EUの人々の日常生活に寄り添うべきものです。例えば、どこでも誰でも利用できる安価で高速なデジタル接続、設備の整った教室とデジタル技術を持った教師、公共サービスへのシームレスなアクセス、子どもたちにとって安全なデジタル環境、就業時間後の接続解除、デジタル製品の環境への影響に関する分かりやすい情報の入手、個人データの使用方法と共有先のコントロールなどが挙げられます。
The declaration is rooted in EU law, from the Treaties to the Charter of Fundamental rights but also the case law of the Court of Justice. It builds on the experience of the European Pillar of Social Rights. Former European Parliament President David Sassoli promoted the idea of the access to the Internet as a new human right back in 2018. Promoting and implementing the principles set out in the declaration will be a shared political commitment and responsibility at both Union and Member State level within their respective competences. To make sure the declaration will have concrete effects on the ground, the Commission proposed in September to monitor progress, evaluate gaps and provide recommendations for actions through an annual report on the ‘State of the Digital Decade'. この宣言は、条約から基本権憲章、さらには司法裁判所の判例法に至るまで、EU法に根ざしています。また、欧州社会権の柱の経験に基づいています。デイビッド・サッソーリ前欧州議会議長は、2018年にインターネットへのアクセスを新たな人権とする考えを推進しました。宣言で定められた原則を推進し、実施することは、EUと加盟国の双方がそれぞれの権限の範囲内で、政治的なコミットメントと責任を共有することになります。宣言が現場で具体的な効果を発揮するよう、欧州委員会は9月、「デジタルの10年の現状」に関する年次報告書を通じて、進捗状況の監視、ギャップの評価、行動への提言を行うことを提案しました。
Next Steps 次のステップ
The European Parliament and the Council are invited to discuss the draft declaration, and to endorse it at the highest level by this summer. 欧州議会と欧州理事会は、この宣言の草案を議論し、今夏までに最高レベルで承認するよう求められています。
Background 背景
On 9 March 2021, the Commission laid out its vision for Europe's digital transformation by 2030 in its Communication on the Digital Compass: the European way for the Digital Decade. In September 2021, the Commission introduced a robust governance framework to reach the digital targets in the form of a Path to the Digital Decade. In a speech at the ‘Leading the Digital Decade' event in Sines, Portugal, on 1 June 2021, Commission President Ursula von der Leyen declared: “We embrace new technologies. But we stand by our values.” 欧州委員会は2021年3月9日、「デジタルコンパス:デジタルの10年に向けた欧州の道」と題したコミュニケーションの中で、2030年までの欧州のデジタル変革に関するビジョンを示しました。2021年9月、欧州委員会は、「デジタルの10年への道」という形で、デジタル目標達成のための強固なガバナンスの枠組みを導入しました。欧州委員会のウルスラ・フォン・デア・ライエン委員長は、2021年6月1日にポルトガルのシネスで開催されたイベント「デジタルの10年をリードする」でのスピーチで次のように宣言しました。 「私たちは新しい技術を受け入れます。しかし、私たちは自分たちの価値観を守る」と宣言しました。
The Commission also conducted an open public consultation which showed broad support for European Digital Principles – 8 EU citizens out of 10 consider it useful for the European Union to define and promote a common European vision on digital rights and principles – as well as a special Eurobarometer survey. Yearly Eurobarometer surveys will collect qualitative data, based on citizens' perception of how the digital principles enshrined in the declaration are implemented in the EU. 欧州委員会はまた、公開協議を実施し、欧州デジタル原則への幅広い支持を得た。10人中8人のEU市民が、デジタルの権利と原則に関する欧州共通のビジョンを定義し、推進することが欧州連合にとって有用であると考えています。また、特別なユーロバロメーター調査も実施しました。毎年実施されるユーロバロメーター調査では、宣言で謳われているデジタル原則がEUでどのように実施されているかについての市民の認識に基づいた質的データが収集されます。
The declaration also builds on previous initiatives from the Council including the Tallinn Declaration on eGovernment, the Berlin Declaration on Digital Society and Value-based Digital Government, and the Lisbon Declaration – Digital Democracy with a Purpose for a model of digital transformation that strengthens the human dimension of the digital ecosystem with the Digital Single Market as its core.  また、この宣言は、電子政府に関するタリン宣言、デジタル社会と価値に基づくデジタル政府に関するベルリン宣言、デジタル単一市場を中核としたデジタルエコシステムの人間的側面を強化するデジタル変革のモデルを目指すリスボン宣言-目的を持ったデジタル民主主義-など、これまでの理事会の取り組みを踏まえたものです。 
For More Information 関連情報
Communication from the Commission to the European Parliament and Council on establishing a European declaration on Digital Rights and Principles ・欧州委員会から欧州議会および欧州理事会への、デジタルの権利と原則に関する欧州宣言の設立に関するコミュニケーション
Factsheet on digital rights and principles for everyone in the EU ・EUのすべての人のためのデジタルの権利と原則に関するファクトシート
Digital Compass: the European way for the Digital Decade ・「デジタルコンパス」:「デジタルの10年」に向けた欧州の道筋
Communication on the Path to the Digital Decade ・「デジタルの10年」への道に関するコミュニケーション
Tallinn Declaration on eGovernment ・電子政府に関するタリン宣言
Berlin Declaration on Digital Society and Value-based Digital Government ・デジタル社会と価値に基づくデジタル政府に関するベルリン宣言
Lisbon Declaration – Digital Democracy with a Purpose ・リスボン宣言-目的を持ったデジタル・デモクラシー

 

スピーチ

・2022.01.26 Speech by Executive Vice-President Vestager on the Declaration on Digital Rights and Principles

Speech by Executive Vice-President Vestager on the Declaration on Digital Rights and Principles 「デジタルの権利と原則に関する宣言」についてのベスタガー副委員長のスピーチ
"Check against delivery" 注:実際のスピーチと内容が異なることがあります。
Background - The cornerstone of our human-centred digital policy 背景 - 人間中心のデジタル政策の基礎となるもの
What we did today was to adopt our proposal for a European Declaration on Digital Rights and Principles for the Digital Decade. 本日、私たちは、「デジタルの権利と原則に関する欧州宣言」の提案を採択しました。
We first announced the creation of these Principles in March last year, as one of the two pillars of our European Digital Decade – along with our 'Digital Compass'. 私たちは昨年3月に、「デジタルコンパス」とともに「欧州デジタルの10年」の2つの柱の1つとして、この原則の策定を発表しました。
Since we started talking about our European approach to digitisation, we have had a clear core what this is about. We believe in a human-centred digital transformation. A transformation where no one is left behind. We want safe technologies that work for people, and of course that our rights and values are as well respected online as they are offline.  And we want everyone to be empowered that we as citizens feel that it is our society, that we feel empowered to actively to take part. デジタル化に対する欧州のアプローチについて話し始めたときから、私たちはこれが何であるかについて明確な核心を持っていました。私たちは、人間を中心としたデジタル変革を信じています。誰もが取り残されることのない変革です。私たちは、人々のために機能する安全なテクノロジーを求めています。そしてもちろん、私たちの権利や価値が、オフラインと同様にオンラインでも尊重されることを望んでいます。 そして、すべての人が力を得て、市民として自分たちの社会だと感じ、積極的に参加する力を得られるようにしたいと考えています。
This declaration gives us a clear reference point to the official set of rights and principles in the online world. この宣言は、オンラインの世界における権利と原則の公式なセットについて、明確な参照点を与えてくれます。
We aim for a joint Declaration between the Commission, the European Parliament and the European Council. And this Declaration will act as a reference for all of us - users, businesses, public administrations and policymakers – for a secure, inclusive and open digital environment. 我々は、欧州委員会、欧州議会、欧州理事会による共同宣言を目指している。そして、この宣言は、ユーザー、企業、行政機関、政策立案者など、私たち全員にとって、安全で包括的かつオープンなデジタル環境を実現するための参考資料となります。
Whether we propose new policies, develop new digital tools and services or simply navigate online, no one should be left behind. 私たちが新しい政策を提案するにしても、新しいデジタルツールやサービスを開発するにしても、あるいは単にオンラインをナビゲートするにしても、誰も取り残されてはなりません。
The “what for?”: inform people, inspire stakeholders 「何のために?」:人々に情報を提供し、ステークホルダーを鼓舞する
So what will this declaration do? How will it change the status quo? It touches on two things: では、この宣言で何ができるのでしょうか?現状をどのように変えていくのでしょうか?それには2つの要素があります。
It will inform everyone of us about our rights; 1つは、私たち全員に自分たちの権利を知らせること。
And it will inspire the actions of all actors involved in the digital transformation. そして、デジタルトランスフォーメーションに関わるすべてのアクターの行動を鼓舞することです。
First, as said – it will informs us, by recalling some of our rights when interacting with digital technologies. It makes it crystal clear that the rights we have offline, we also have online. This is not as obvious as it sounds. Unfortunately any people actually do not know that they have rights online as well as offline. まず、前述したように、デジタル技術に接する際の私たちの権利のいくつかを想起させることで、私たちに情報を提供します。私たちがオフラインで持っている権利は、オンラインでも持っているということを明確にします。これは、言うほど明白なことではありません。残念ながら、オンラインでもオフラインでも権利があることを知らない人が実際には多いのです。
And that leads me to an important point: we are not creating new rights or new principles with this declaration. We already have fundamental rights that do apply online.  Rights to our privacy, to our freedom of thought and expression. And we will soon have new rights because of our ongoing work on digital platforms, electronic identities, artificial intelligence and so on. この宣言では、新しい権利や原則を作るわけではありません。私たちはすでに、オンラインで適用される基本的な権利を持っています。  プライバシーの権利、思想・表現の自由などです。また、デジタルプラットフォーム、電子ID、人工知能などの開発が進んでいるため、近い将来、新たな権利が生まれるでしょう。
So what we are doing with the declaration is to set these rights in stone, so that they are respected. For all of us to rely on these rights no matter where we live in Europe, who we are, and what we do in the online world. 私たちがこの宣言で行っているのは、これらの権利が尊重されるように、その権利を明確にすることです。ヨーロッパのどこに住んでいようと、誰であろうと、オンラインの世界で何をしようと、すべての人がこれらの権利に頼ることができるようにするためです。
Second - it should inspire all actors involved in the digital transformation, by creating a benchmark.  A benchmark guiding us as policymakers for every new initiative we propose. And a benchmark guiding businesses when developing and deploying new technologies. 第二に、デジタルトランスフォーメーションに関わるすべての関係者に、ベンチマークを作成することで刺激を与えることができます。  このベンチマークは、政策立案者として私たちが新しいイニシアチブを提案する際の指針となります。また、企業が新技術を開発・展開する際の指針となるベンチマークです。
The “how”? The six chapters of the declaration 「どのように?」:宣言の6つの章
To achieve these two objectives, our declaration states clear commitments in six different areas. この2つの目的を達成するために、私たちの宣言では6つの分野で明確なコミットメントを表明しています。
First things first - Putting people at the centre of the digital transformation. That includes commitments to make sure that our technologies respect democratic values, allow us to pursue our aspirations, in full security and in respect of fundamental rights. All these rights, they are all enshrined in our Treaties, the EU Charter of Fundamental Rights, this is where they have their roots. 第一に、デジタルトランスフォーメーションの中心に人々を据えること。 これには、私たちのテクノロジーが民主主義の価値観を尊重し、完全に安全で基本的な権利を尊重しながら、私たちの願望を追求することを可能にするというコミットメントが含まれています。これらの権利はすべて、条約やEU基本権憲章に明記されており、ここにその根源があります。
Second - Solidarity and inclusion. With commitments to make us all benefit from our digitisation. Whether young, old, digital-savvy or novices, whether you are townsfolks or countrysiders. In this chapter also we find our right to advance our basic digital skills. Without digital education, we risk falling behind in this transformation. That's why 21 billion euros are currently mobilised across Europe to deliver digital education. 第二は、「団結と包摂」です。 私たち全員がデジタル化の恩恵を受けられるようにすることを約束します。若い人も年配の人も、デジタルに詳しい人も初心者も、町の人も田舎の人も。この章では、私たちが基本的なデジタルスキルを向上させる権利についても触れています。デジタル教育がなければ、この変革に遅れをとる危険性があります。そのため、欧州全体で210億ユーロを投じてデジタル教育を実施しています。
Third - Freedom of choice. That covers our engagements to help people make their own informed choices online. And protect them against possible risks. This includes being transparent about the use of algorithms and artificial intelligence, a new obligation to be set under our Digital Services and Artificial Intelligence Acts. 第三は、「選択の自由」です。 これは、人々が十分な情報を得た上でオンライン上で選択できるようにするための取り組みです。そして、起こりうるリスクから人々を守ります。これには、アルゴリズムや人工知能の使用について透明性を確保することが含まれ、デジタルサービス法と人工知能法に基づいて設定される新しい義務です。
Fourth - Participation in the digital public space, where we commit to promoting an online open environment for a healthy, vivid democratic debate. Here again, it is already happening: our Digital Services Act also includes provisions to protect our freedom of speech, without fear of being censored or intimidated while being online. Our upcoming European Media Freedom Act will include measures to preserve our access to rich, varied and independent media. 第四は、デジタルパブリックスペースへの参加です。ここでは、健全で生き生きとした民主的な議論のために、オンラインのオープンな環境を促進することを約束します。 デジタルサービス法には、オンライン上で検閲や脅迫を受けることなく、言論の自由を保護するための条項が含まれていますが、これもすでに実現しています。今後予定されている欧州メディア自由法には、豊かで多様性のある独立したメディアへのアクセスを維持するための措置が含まれています。
Second to last - Safety, security and empowerment, which covers our right to safe digital technologies that by design protect our privacy. This is precisely what our General Data Protection Regulation is supposed to do and of course the work we do on cyber-security. 第五の、「安全、セキュリティ、エンパワーメント」は、私たちのプライバシーを保護する安全なデジタル技術を利用する権利を規定しています。これは、一般データ保護規則が想定していることであり、もちろん、サイバーセキュリティに関する取り組みでもあります。
And last, sustainability. Whether that's committing to limit the footprint of digital technologies with the Digital product passport, or to promote the use of digital technologies to deliver our Green Deal. According to several modellings, for every one Gigaton of CO2 that digital technologies will produce, they will help reduce up to ten Gigatons. But, of course, digital technologies, they must themselves become even greener! そして最後に、「持続可能性」です。 デジタルプロダクトパスポートでデジタル技術のフットプリントを制限することにコミットしたり、グリーンディールを実現するためにデジタル技術の使用を促進したりしています。いくつかのモデルによると、デジタル技術が生み出す1ギガトンのCO2に対して、最大で10ギガトンの削減に貢献することになります。しかし、もちろん、デジタル技術は、それ自体がさらに環境に優しいものでなければなりません。
So to sum-up: with these principles and commitments, the declaration covers what matters in our daily lives. We have done our best to make a clear declaration. A short document to help us make our human-centric approach to digitisation our by-default way of thinking. 以上のように、この宣言は、私たちの日常生活で重要なことを網羅した原則と約束です。私たちは、明確な宣言をするために最善を尽くしました。この短い文書は、デジタル化に対する人間中心のアプローチをデフォルトの考え方にするためのものです。
And to make sure it happens for real, we have planned robust, systematic monitoring. This will happen through the governance and monitoring system proposed in our Digital Decade Policy Programme, it is in the Parliament right now, we tabled it couple months ago. Member States will regularly report on progress or lack of progress made towards reaching our ambitious objectives. And, most importantly, we will ask Europeans once a year where they see progress – or lack of it. This will happen through extensive Eurobarometer surveys, and it should allow us to take action if developments stay behind our expectations. また、デジタル化を確実に実現するために、強固で体系的なモニタリングを計画しています。これは、「デジタルの10年」政策プログラムで提案されているガバナンスとモニタリングシステムによって実現されますが、このプログラムは数ヶ月前に議会に提出されました。加盟国は、私たちの野心的な目標達成に向けた進捗状況、あるいは進捗状況の欠如について、定期的に報告することになります。そして最も重要なことは、年に一度、ヨーロッパの人々に、どこに進歩があるのか、あるいは進歩がないのかを尋ねることです。これは、ユーロバロメーターによる大規模な調査を通じて行われます。これにより、進展が期待に反している場合には、行動を起こすことができるはずです。
In the December 2020 Berlin declaration, the Council adopted seven key principles for a value-based digital transformation of our societies. 2020年12月のベルリン宣言で、欧州理事会は、価値に基づく社会のデジタル変革のための7つの主要原則を採択しました。
Our proposal builds on this Berlin declaration, as well as on a number of reports and resolutions adopted by the European Parliament over the last years, because this is how we share our digital future - in collaboration with partners. The debates in the Parliament contributed to our work on this declaration. 私たちの提案は、このベルリン宣言と、過去数年間に欧州議会で採択された数多くの報告書や決議書に基づいています。欧州議会での議論は、この宣言に向けた私たちの作業に貢献しました。
The global momentum 世界的な盛り上がり
Before I conclude, there is one last element of importance here: Europe is not alone in this effort. We see similar discussions happening in Australia, in India in the US. The US are currently working on a Digital Bill of Rights, and through our discussions with the US administration in Washington, I see a lot of convergence in what we do.   最後になりましたが、ここで重要なことが1つあります。この取り組みは、欧州だけのものではありません。この取り組みは欧州だけではありません。オーストラリアやインド、米国でも同様の議論が行われています。米国では現在、Digital Bill of Rights(デジタル権利章典)の策定に取り組んでおり、ワシントンの米国政府との話し合いを通じて、私たちの活動には多くの収束点があると感じています。  
So with our declaration we aim to be at the forefront of this global momentum and create something that allows us to take real action on the ground and to take actions together, if we can inspire like-minded partners. ですから、私たちの宣言は、この世界的な機運の先頭に立ち、現場で実際に行動を起こせるようなものを作ることを目的としています。また、志を同じくするパートナーを鼓舞することができれば、一緒に行動を起こすことができます。
Conclusion 結論
To prepare this declaration, we interviewed more than 26,000 people all over Europe in a Eurobarometer survey about how they expected digital technologies to impact their lives. この宣言を作成するにあたり、私たちはユーロバロメーターの調査で、ヨーロッパ中の26,000人以上の人々に、デジタル技術が生活にどのような影響を与えるかについてインタビューを行いました。
The survey is a goldmine of interesting insights, some of which I'd like to share with you. この調査は興味深い洞察の宝庫ですが、そのいくつかをご紹介しましょう。
Eight in ten Europeans think that by 2030, digital tools and the Internet will be an important part of their lives, and bring at least as many advantages as disadvantages. 10人中8人のヨーロッパ人は、2030年までにデジタルツールとインターネットが生活の重要な一部となり、少なくともデメリットと同じくらいのメリットがもたらされると考えています。
More than half of them mention cyber-attacks, the theft or abuse of their personal data, the online safety and well-being of children as their main fears. また、半数以上の人が、サイバー攻撃、個人情報の盗難や不正使用、オンライン上の安全性、子どもの幸福などを主な不安要素として挙げています。
But when asked about their rights, almost 40% of them are not aware that rights as elementary and fundamental as freedom of expression, privacy, or non-discrimination also have to be respected when you are online. しかし、自分の権利について尋ねたところ、約40%の人が、表現の自由、プライバシー、無差別といった基本的で初歩的な権利が、オンライン上でも尊重されなければならないことを知らないという結果になりました。
This shows how important this job and we are on our way, as our societies digitise, more political effort must go into making sure that our rights are actually protected.  And this is why I am so happy to be here with Thierry Breton today, that we are taking this step forward to invite Council and Parliament to join s to guide in the digital future. これは、この仕事がいかに重要であるかを示しています。社会がデジタル化するにつれ、私たちの権利が実際に守られていることを確認するために、より多くの政治的努力が必要になってきています。  だからこそ、今日、ティエリー・ブルトンと一緒に、デジタルの未来を導くために、理事会と議会に参加を呼びかけるという一歩を踏み出すことができ、とても嬉しく思っています。
Thank you. ありがとうございました。

Continue reading "欧州委員会 「デジタルの権利と原則に関する欧州宣言」草案"

| | Comments (0)

2022.01.26

英国 世界最高レベルのデータ専門家(Google, IBM, Microsoftのメンバーを含む)による国際的なデータ転送に関する政府協議会を設立

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省がデータの自由な流通を促進する政府計画を後押しするための、データ専門家による国際的なデータ転送に関する政府協議会を設立したということを公表していますね。。。英国がEUを離脱したことも影響していますね。。。

データ専門家として参加されている方は、20名ですが、Google, IBM, Mastercard, Microsoft等の方も入っていますね。。。米国企業ですが。。。

 

● U.K. Government - Department for Digital, Culture, Media & Sport

・2022.01.25 (press) Global data experts fire up government’s plans to promote free flow of data

 

Global data experts fire up government’s plans to promote free flow of data 世界のデータ専門家が、データの自由な流れを促進する政府の計画を後押し
World’s best data experts form government council on international data transfers 世界最高レベルのデータ専門家が国際的なデータ転送に関する政府協議会を設立
From: Department for Digital, Culture, Media & Sport and Julia Lopez MP デジタル・文化・メディア・スポーツ省、ジュリア・ロペス議員から
・Representatives from Google, Mastercard and Microsoft among the 20 experts meeting today to launch International Data Transfer Expert Council ・Google、Mastercard、Microsoftの代表者を含む20名の専門家が、本日、国際データ転送専門家会議を設立しました。
・Comes as part of government ambition to unlock benefits of free and secure data flow after leaving the EU ・EU離脱後の自由で安全なデータ流通のメリットを引き出すための政府の取り組みの一環として行われる
A group of experts combining the world’s leading academics and digital industry figures, including Google, Mastercard and Microsoft, will meet for the first time today to help Britain seize the opportunities of better global data sharing. 英国がより良いグローバルなデータ共有の機会をつかむために、Google、Mastercard、Microsoftをはじめとする世界有数の学者やデジタル業界の著名人からなる専門家グループが、本日、初めて会合を開きます。
The International Data Transfer Expert Council is launching to provide independent advice to the government to help it achieve its mission of unlocking the benefits of free and secure cross-border data flows now the country has left the EU. 国際データ移転専門家会議は、英国がEUを離脱した後、自由で安全な国境を越えたデータの流れの利点を引き出すという政府の使命を達成するために、政府に独立したアドバイスを提供するために発足します。
International data transfers underpin our everyday life and are the foundations for our most-used tech, from GPS navigation and smart devices to online banking. They are also instrumental to digital healthcare - having driven the development of treatment and vaccines during the pandemic. 国際的なデータ転送は、私たちの日常生活を支え、GPSナビゲーションやスマートデバイス、オンラインバンキングなど、最も利用されている技術の基礎となっています。また、パンデミックの際に治療法やワクチンの開発を推進したように、デジタルヘルスケアにも欠かせないものです。
Removing barriers to data flows will mean these services can be provided more reliably, cheaply and securely. Billions of pounds worth of trade goes unrealised around the world due to barriers associated with data transfers. データの流れに対する障壁を取り除くことで、これらのサービスをより確実に、より安く、より安全に提供することができます。世界では、データ転送に関連する障壁のために、何十億ポンドもの価値のある取引が実現していません。
Household tech and industry names are represented on the council alongside international universities and organisations at the forefront of this rapidly moving policy area, such as the World Economic Forum and the Future of Privacy Forum. 評議会には、国際的な大学や、World Economic ForumやFuture of Privacy Forumなど、この急速に変化する政策分野の最前線にいる組織に加えて、有名な技術者や産業界の代表者が参加しています。
Data Minister Julia Lopez said: ジュリア・ロペス データ大臣は次のように述べています。
・Realising the benefits of international data flows has never been more important. ・国際的なデータの流れから得られる利益を実現することは、かつてないほど重要になっています。
・We want the UK to drive forward cutting-edge policies at home and overseas to ensure people, businesses and economies benefit from safe and secure data flows. ・私たちは、英国が国内外で最先端の政策を推進し、人々、企業、経済が安全でセキュアなデータフローの恩恵を受けられるようにしたいと考えています。
・Today we’re launching a new panel of global experts to help us achieve these aims and I will lead the first meeting so together we can deliver a world-leading and truly global data policy for the future. ・本日、これらの目的を達成するために、世界的な専門家からなる新しいパネルを立ち上げました。私はその最初の会議をリードし、将来に向けて世界をリードする真のグローバルデータ政策を実現していきたいと考えています。
There are a range of mechanisms under current UK data protection law which organisations can use to transfer personal data to other countries, including standard contractual clauses and binding corporate rules. The Council will give advice on the development of new international data transfer tools and mechanisms and securing new data adequacy partnerships with other countries. 現行の英国データ保護法では、標準的な契約条項や拘束力のある企業規則など、組織が個人データを他国に移転する際に利用できるさまざまな仕組みがあります。評議会は、新しい国際的なデータ転送ツールやメカニズムの開発、および他国との新たなデータ適切性パートナーシップの確保について助言します。
Now that the UK has left the EU, the government intends to strike deals on personal data transfers with some of its key trading partners around the world. Personal data relates to an identified or identifiable individual and includes secure transfer of information on things such as ethnic origin and IP address. 英国がEUを離脱した今、政府は世界の主要な貿易相手国と個人データの移転に関する取引を行う意向です。個人データとは、識別された、あるいは識別可能な個人に関するもので、民族やIPアドレスなどの情報を安全に転送することも含まれます。
The government has outlined the first countries with which it will prioritise striking data adequacy partnerships to ensure the data protection standards in the country data is being transferred to mirror the UK’s. The UK’s current priority countries include the United States, Australia, the Republic of Korea, Singapore, the Dubai International Finance Centre and Colombia. Securing new data transfer agreements will build significantly on the annual £83 billion of data-enabled UK service exports. 英国政府は、データ移転先の国のデータ保護基準が英国の基準を反映していることを確認するために、データ適正化パートナーシップの締結を優先的に進める最初の国の概要を発表しました。現在、英国が優先的に取り組む国は、米国、オーストラリア、韓国、シンガポール、ドバイ国際金融センター、コロンビアです。新たなデータ転送契約を締結することで、データを活用した英国のサービス輸出額は年間830億ポンドに達し、これを大きく発展させることができます。
Experts on the council have been selected from civil society, academia and industry around the world. Their experiences cover a range of areas including patient healthcare, scientific research, artificial intelligence and finance. 協議会の専門家は、世界中の市民社会、学術界、産業界から選ばれています。彼らの経験は、患者の健康管理、科学研究、人工知能、金融など多岐にわたっています。
The launch of the council is part of the government’s ambitious National Data Strategy to harness the power of data to boost economic growth, create jobs and deliver new innovations for people and public services. 協議会の発足は、データの力を活用して経済成長を促進し、雇用を創出し、人々や公共サービスに新たなイノベーションを提供するという、政府の野心的な「国家データ戦略」の一環として行われます。
During its first meeting today, the council will discuss the global opportunities and challenges for international transfers and how the UK can be a global leader in removing barriers to cross-border data flows. This will enable smoother and more straightforward transfers without the need for costly and often complicated contracts. 本日開催された第1回会合では、国際的なデータ移転の機会と課題について議論し、国境を越えたデータの流れに対する障壁を取り除くために、英国がどのようにして世界的なリーダーとなれるかを話し合います。これにより、高額で複雑な契約を結ばなくても、よりスムーズで分かりやすいデータ移転が可能になります」と述べています。
It will continue to meet quarterly covering issues such as future data adequacy partnerships, the development of new data transfer tools, and how governments can work together to promote greater trust in sharing personal data for law enforcement and national security purposes. 今後も四半期ごとに開催される会合では、将来のデータ適正化パートナーシップ、新しいデータ転送ツールの開発、法執行や国家安全保障を目的とした個人データ共有の信頼性向上に向けた各国政府の協力体制などの課題が取り上げられます。

 

参考

国際的なデータ転送関係

・2021.08.26 (guidance) International data transfers: building trust, delivering growth and firing up innovation

英国データ戦略

・2019.07.08 (guidance) National Data Strategy

 

Fig1_20211219053501

 

| | Comments (0)

英国 政府のサイバーセキュリティ戦略:2022年 - 2030年

こんにちは、丸山満彦です。

英国政府が、「政府のサイバーセキュリティ戦略:2022年ー2030年」を公表していますね。。。英国としては、史上初の「政府サイバーセキュリティ戦略」ということです。

昨年末に発表した国家サイバー戦略(サイバーセキュリティではなく、サイバー)に

U.K. Governance

・2022.01.25 Government Cyber Security Strategy: 2022 to 2030

Government Cyber Security Strategy: 2022 to 2030 政府のサイバーセキュリティ戦略:2022年から2030年まで
This strategy sets out the government’s approach to building a cyber resilient public sector. この戦略は、サイバーに強い公共部門を構築するための政府のアプローチを定めたものです。
Details 詳細
The Cyber Security Strategy explains how the government will ensure that all public sector organisations will be resilient to cyber threats. サイバーセキュリティ戦略では、政府がどのようにしてすべての公共部門の組織がサイバー脅威への耐性を持つようにするかを説明しています。
The strategy’s vision is to ensure that core government functions are resilient to cyber attack, strengthening the UK as a sovereign nation and cementing its authority as a democratic and responsible cyber power. この戦略のビジョンは、政府の中核機能がサイバー攻撃に強いことを保証し、主権国家としての英国を強化し、民主的で責任あるサイバー国家としての権威を確固たるものにすることです。

・[PDF

20220125-232419

Foreword from the Prime Minister 内閣総理大臣からの序文
Message from the Chancellor of the Duchy of Lancaster and Minster for the Cabinet Office ランカスター公領大臣兼内閣府大臣からのメッセージ
Executive Summary エグゼクティブ・サマリー
Chapter 1: Context 第1章:背景
The importance of government cyber security to national resilience 国家の強靭性における政府のサイバーセキュリティの重要性
The challenges and opportunities for government 政府にとっての課題と機会
Chapter 2: Approach 第2章:アプローチ
Vision and Aim ビジョンと目的
Pillars
Objectives 目標
Chapter 3: Managing cyber security risk 第3章:サイバーセキュリティリスクの管理
Governance and accountability ガバナンスとアカウンタビリティ
Assets and vulnerabilities 資産と脆弱性
Data assets データ資産
Supply chain risk サプライチェーンのリスク
Threat information 脅威の情報
Cyber security data サイバーセキュリティデータ
Government cyber security assurance 政府によるサイバーセキュリティの保証
Private sector and international partnerships 民間企業と国際的なパートナーシップ
Chapter 4: Protecting against cyber attack 第4章:サイバー攻撃からの保護
Secure technology and digital services 安全な技術とデジタルサービス
Cyber security controls サイバーセキュリティの管理
Secure configuration 安全な構成
Shared capabilities 能力の共有
Information and data security 情報とデータのセキュリティ
Chapter 5: Detecting cyber security events 第5章:サイバーセキュリティイベントの検知
Detection within government organisations 政府組織内での検知
Detection at scale 規模に応じた検知
Chapter 6: Minimising the impact of cyber security incidents 第6章:サイバーセキュリティインシデントの影響を最小限に抑えるために
Response preparation 対応の準備
Incident response インシデント対応
Incident recovery インシデントの復旧
Lessons learned 学んだ教訓
Chapter 7: Developing the right cyber security skills, knowledge and culture 第7章:適切なサイバーセキュリティのスキル、知識、文化の開発
Skills requirements スキル要件
Attract and retain talent 人材の確保と維持
Develop talent 人材の育成
Cyber security knowledge across other government functions 政府の他部門におけるサイバーセキュリティの知識
Cyber security culture サイバーセキュリティ文化
Chapter 8: Measuring success 第8章:成功の測定
Achieving the aim 目標の達成
Maintaining an appropriate measure of resilience 適切な回復力の尺度を維持する
Underpinning key performance indicators 重要業績評価指標の裏付け
Chapter 9: Implementing the strategy 第9章:戦略を実行する
Implementation 実行
Transformational proposals 変革の提案
Implementation plan 実行計画
Annex: Cyber Assessment Framework 附属書:サイバー・アセスメント・フレームワーク
Glossary 用語集

 

エグゼクティブ・サマリー

Context  コンテキスト 
1. The Integrated Review[1] and the National Cyber Strategy[2] set out the government’s ambition to firmly establish the UK as a democratic and responsible cyber power, able to protect and promote its interests as a sovereign nation in a world fundamentally shaped by technology. The UK’s legitimacy and authority as a cyber power is however dependent upon its domestic cyber resilience, the cornerstone of which is government and the public sector organisations that deliver the functions and services which maintain and promote the UK’s economy and society.  1. 統合レビュー[1]と国家サイバー戦略[2]は、英国を民主的で責任感のあるサイバーパワーとして確立し、テクノロジーによって根本的に形成された世界において主権国家としての利益を守り、促進することができるようにするという政府の野心を示している。しかし、サイバーパワーとしての英国の正統性と権威は、国内のサイバーレジリエンスに依存しており、その基礎となるのは、英国の経済と社会を維持・促進する機能とサービスを提供する政府と公共部門の組織です。
2. While government has made notable progress in recent years, there remains a significant gap between where government cyber resilience is now and where it needs to be. This gap is brought into sharp focus by the sheer volume of cyber attacks that the government sector experiences, and the evolving capabilities and techniques of the broad range of malicious actors conducting them. As well as the risk of disruption to government functions and public services, the targeting of essential services such as healthcare can pose a real risk to public safety.  2. 近年、政府は顕著な進歩を遂げてきましたが、政府のサイバーレジリエンスの現状とあるべき姿の間には大きなギャップがあります。このギャップは、政府部門が経験する膨大な量のサイバー攻撃と、それを実行する幅広い悪意のあるアクターの能力と技術の進化によって、はっきりと浮かび上がってきます。政府の機能や公共サービスに支障をきたすだけでなく、医療などの重要なサービスが標的となることで、国民の安全にも重大なリスクが生じる可能性があります。
Vision and Aim ビジョンと目標
3. This strategy’s vision is therefore to ensure that core government functions - from the delivery of public services to the operation of National Security apparatus - are resilient to cyber attack, strengthening the UK as a sovereign nation and cementing its authority as a democratic and responsible cyber power.  3. したがって、本戦略のビジョンは、公共サービスの提供から国家安全保障機関の運営まで、政府の中核機能をサイバー攻撃に耐えうるものとし、主権国家としての英国を強化し、民主的で責任あるサイバーパワーとしての英国の権威を確固たるものとすることです。
4. Core government functions are delivered by many diverse public sector organisations, including government departments, armslength bodies, agencies and local authorities. This strategy therefore considers all such public sector organisations.  4. 政府の中核機能は、政府省庁、軍備拡張団体、機関、地方自治体など、多くの多様な公共部門の組織によって提供されている。そのため、本戦略ではそのような公共部門の組織をすべて考慮している。
5. To achieve its vision the strategy pursues a central aim - for government’s critical functions to be significantly hardened to cyber attack by 2025, with all government organisations across the whole public sector being resilient to known vulnerabilities and attack methods no later than 2030.  5. ビジョンを達成するために、本戦略では、2025年までに政府の重要機能をサイバー攻撃に対して大幅に強化し、遅くとも2030年までに公共部門全体のすべての政府組織が既知の脆弱性と攻撃手法に対して回復力を持つことを中心目標としています。
6. This is a bold and ambitious aim. To achieve the level of organised and objective visibility of cyber security risk across the whole of government will require extensive processes, mechanisms and partnerships to be established; a task complicated by the varying levels of cyber maturity, capability and capacity. Key to this will be enabling lead government departments to assess and articulate the macro-cyber security posture of the arms-length bodies and other public sector organisations within their purview. 6. これは、大胆かつ野心的な目標です。政府全体のサイバーセキュリティリスクを組織的かつ客観的に把握するためには、大規模なプロセス、メカニズム、パートナーシップを確立する必要がありますが、サイバーの成熟度、能力、キャパシティのレベルが異なるため、この作業は複雑になります。そのためには、政府の主管部門が、その管轄下にある独立行政法人やその他の公共部門の組織のマクロ的なサイバーセキュリティの姿勢を評価し、明確にすることが重要になります。
7. Achieving this aim will make government a significantly hardened target. As well as enabling government to protect its data and operate without undue disruption, it will ensure that government organisations are structured and organised to manage unknown and more sophisticated threats when they do arise.  7. この目的を達成することで、政府は著しくハードな標的となります。政府がデータを保護し、過度の混乱なく業務を遂行できるようになるだけでなく、未知の脅威やより高度な脅威が発生した場合に、政府組織がそれに対処できる構造と組織を確保することができます。
Strategic pillars and transformational proposals  戦略的な柱と変革の提案 
8. Government’s approach to achieving this aim is centred around two complementary strategic pillars, each underpinned by a transformational proposal that will unlock and drive improvements across government.  8. この目的を達成するための政府のアプローチは、2つの補完的な戦略的柱を中心としており、それぞれの柱は、政府全体の改善を引き出し、推進する変革的提案によって支えられています。
9. The first is to build a strong foundation of organisational cyber security resilience; ensuring that government organisations have the right structures, mechanisms, tools and support in place to manage their cyber security risks.  9. 第1は、組織のサイバーセキュリティの回復力の強固な基盤を構築することであり、 政府機関がサイバーセキュリティのリスクを管理するための適切な構造、メカニズム、ツール、 サポートを確保することです。
10. This will be underpinned by the adoption of the National Cyber Security Centre’s (NCSC) Cyber Assessment Framework (CAF) as the assurance framework for government, with government specific CAF profiles that articulate the outcomes required by government organisations in order to proportionately respond to the varying threats to their most important functions. Objective verification by independent auditors will be a requirement for central government departments, although it will be for lead government departments to adapt and apply such an approach in a way that is most appropriate for the public sector organisations within their scope. As well as improving visibility of cyber security risks, adopting the CAF provides a common framework for government to more effectively understand and manage them.  10. これは、国家サイバーセキュリティセンター(NCSC)のサイバーアセスメントフレームワーク(CAF)を政府の保証フレームワークとして採用することによって支えられる。また、政府固有のCAFプロファイルは、政府組織の最も重要な機能に対するさまざまな脅威に適切に対応するために、政府組織が必要とする成果を明確にする。独立した監査人による客観的な検証は、中央政府の各省庁に義務付けられますが、主導的な政府省庁は、その範囲内にある公共部門の組織に最も適した方法で、このようなアプローチを適応・適用することになります。CAF を採用することで、サイバー・セキュリティ・リスクの可視性が向上するだけでなく、政府がそのリスクをより効果的に理解し管理するための共通のフレームワークが提供されます。
11. The second is to ‘defend as one’. Recognising that the scale and pace of the threat demands a more comprehensive and joined up response, government will harness the value of sharing cyber security data, expertise and capabilities across its organisations to present a defensive force disproportionately more powerful than the sum of its parts.  11. 第2は、「一体となって守る」ことです。脅威の規模とスピードに応じて、より包括的で統合された対応が求められていることを認識し、政府は組織全体でサイバーセキュリティデータ、専門知識、能力を共有することで、部分の総和よりも不釣り合いに強力な防御力を発揮します。
12. This will be underpinned by the establishment of a Government Cyber Coordination Centre (GCCC). As a joint venture between the Government Security Group, the Central Digital and Data Office and the NCSC, the GCCC will work to better coordinate operational cyber security efforts, transforming how cyber security data and threat intelligence is shared, consumed and actioned across government. 12. これは、政府サイバー調整センター(GCCC)の設立によって支えられます。GCCCは、政府セキュリティグループ、中央デジタル・データ局、NCSCの共同事業として、サイバーセキュリティの運用面での調整を強化し、サイバーセキュリティデータや脅威情報の政府内での共有・利用・対処方法を変革していきます。
Objectives  目標 
13. These pillars are supported by fi ve objectives that set the dimensions of cyber resilience, providing a consistent framework and common language that can be applied across the whole of government.  13. これらの柱は、サイバーレジリエンスの次元を設定する5つの目標によって支えられており、政府全体に適用可能な一貫した枠組みと共通言語を提供しています。
Manage cyber security risk  サイバー・セキュリティ・リスクの管理 
14. In order to manage cyber security risk, government organisations will be able to identify, assess and understand them. The foundation of this lies in the visibility and understanding of assets, their vulnerabilities, and the threat to them - whether internal to an organisation or emanating from its supply chain. Clear accountability and robust assurance will ensure that risk owners are aware of the risks they have the responsibility to manage, and that they are doing so appropriately.  14. サイバー・セキュリティ・リスクを管理するためには、政府機関はそれらを特定し、評価し、理解することが必要です。その基盤となるのは、組織の内部であれ、サプライチェーンから発生するものであれ、資産、その脆弱性、およびそれらに対する脅威を可視化し、理解することです。明確な説明責任と強固な保証があれば、リスク所有者は管理する責任のあるリスクを認識し、それを適切に実行していることが保証されます。 

15. Information about vulnerabilities will be shared across government to provide a central view of critical vulnerabilities that will enable cross-government risks to be identifi ed and managed, facilitating rapid assessment, coordination and mitigation at scale. 15. 脆弱性に関する情報を政府全体で共有し、重要な脆弱性を一元的に把握することで、政府横断的なリスクの特定と管理を可能にし、規模に応じた迅速な評価、調整、緩和を促進する。
Protect against cyber attack  サイバー攻撃からの保護 
16. The protective stance of individual government organisations will be inextricably linked to their assessment and management of risk. While it will never be possible to protect against all attacks, those accountable will be able to demonstrate that they have appropriately considered those risks and responded accordingly.  16. 個々の政府組織の保護姿勢は、リスクの評価と管理と密接に結びついている。すべての攻撃を防御することは不可能であるが、説明責任を負う者は、それらのリスクを適切に検討し、それに応じて対応したことを証明することができる。
17. Proportionate cyber security measures will be embedded in the technology government uses, and technology and digital services will be correctly designed, confi gured and managed. Crucially, government will develop its shared capabilities, tools and services to address common cyber security issues at scale, improving cyber security across the whole of government as well as driving effi ciency and value for money.  17. 政府が使用する技術には、相応のサイバー・セキュリティ対策が組み込まれ、技術やデジタル・サービスは、正しく設計され、確認され、管理されます。重要なことは、政府は、共通のサイバーセキュリティ問題に大規模に対処するための共有能力、ツール、サービスを開発し、政府全体のサイバーセキュリティを向上させるとともに、効率性と費用対効果を促進することである。
18. At the heart of this is government’s responsibility to protect the data it handles. As well as appropriately classifying information, government will handle and share it in a way that is commensurate with the risks it presents, using the appropriate IT systems. 18. この問題の中心となるのは、政府が扱うデータを保護する責任です。政府は、情報を適切に分類するだけでなく、適切なITシステムを用いて、そのリスクに見合った方法で情報を取り扱い、共有します。
Detect cyber security events  サイバー・セキュリティ・イベントの検知 
19. Building on the foundation of risk management and commensurate protective measures, government will develop its capability to detect cyber security events across every part of its estate to ensure that risks can be mitigated before they critically impact government functions and services.  19. リスク管理とそれに見合った保護措置の基礎の上に、政府は、財産のあらゆる部分でサイバー・セキュリティ・イベントを検知する能力を開発し、政府の機能やサービスに致命的な影響を与える前にリスクを確実に軽減する。
20. This means having the capability to monitor systems, networks and services to detect cyber security events before they become incidents. Enhanced coordination will enable government to have the agility to use these data inputs to detect at pace and scale, facilitating coherent responses as well as providing the capabilities to detect more sophisticated attacks. 20. これは、システム、ネットワーク、サービスを監視して、インシデントになる前にサイバー・セキュリティ・イベントを検知する能力を持つことを意味する。連携を強化することで、政府はこれらのデータインプットを利用して迅速かつ大規模な検知を行うことができ、一貫した対応が可能になるとともに、より高度な攻撃を検知する能力を備えることができます。
Minimise the impact of cyber security incidents  サイバー・セキュリティ・インシデントの影響を最小限に抑える 
21. While effective risk management, appropriate and proportionate protective measures and enhanced detection capability will make government a considerably hardened target, government organisations will still be impacted by cyber security incidents.  21. 効果的なリスク管理、適切かつ比例した保護手段、および強化された検知能力により、政府はかなりハードな標的となるが、政府組織は依然としてサイバーセキュリティインシデントの影響を受ける。
22. Government will therefore be fully prepared and able to respond to cyber incidents with the capability to restore affected systems and assets and resume the operation of its functions and services with minimal disruption. A critical component of this will be establishing the mechanisms to test and exercise incident response plans, both organisationally and across government, as well as the ability to learn lessons from incidents and ‘near misses’. 22. したがって、政府は、影響を受けたシステムと資産を復元し、最小限の混乱で機能とサービスの運営を再開する能力を備えた上で、サイバー・インシデントに対応するための準備と能力を完全に整える。そのための重要な要素は、組織的にも政府全体としても、インシデント対応計画をテスト・演習するメカニズムを確立すること、そしてインシデントや「ニアミス」から教訓を学ぶ能力を持つことである。
Develop the right cyber security skills, knowledge and culture  適切なサイバーセキュリティのスキル、知識、文化の開発 
23. Achieving this strategy’s vision and aim will not be possible without cultivating the required cyber security skills and knowledge, as well as fostering a cultural shift in cyber security across the whole of government.  23. 本戦略のビジョンと目標を達成するには、必要なサイバーセキュリティのスキルと知識を育成するとともに、政府全体でサイバーセキュリティの文化的変化を促進することが必要である。
24. Government will have a comprehensive understanding of its cyber security skills requirements and will incentivise and promote government cyber security careers. As well as formal career pathways that align with the UK Cyber Security Council, working towards the adoption of a single pay framework for the cyber profession will enable government to more effectively attract, develop and retain those skills, providing a sustainable government cyber security profession.  24. 政府は、サイバーセキュリティのスキル要件を包括的に理解し、政府のサイバーセキュリティのキャリアを奨励・促進する。英国サイバーセキュリティ協議会に沿った正式なキャリアパスだけでなく、サイバー専門職のための単一の給与フレームワークの採用に向けて取り組むことで、政府はより効果的にスキルを惹きつけ、開発し、維持することができ、持続可能な政府のサイバーセキュリティ専門職を提供することができる。
25. The need for suffi cient cyber security skills and knowledge extends beyond technical cyber security roles to the breadth of professional functions that must give adequate consideration to cyber security. From the Digital, Data and Technology (DDaT) profession through to government’s commercial and legal functions, suffi cient cyber security knowledge and awareness will ensure that cyber security is actively considered wherever necessary.  25. 十分なサイバーセキュリティのスキルと知識の必要性は、サイバーセキュリティの技術的な役割にとどまらず、サイバーセキュリティに十分な配慮をしなければならない幅広い専門的な機能にまで及んでいます。デジタル・データ・テクノロジー(DDaT)の専門家から、政府の商業・法律部門に至るまで、十分なサイバーセキュリティの知識と認識があれば、必要に応じてサイバーセキュリティを積極的に考慮することができます。
26. Fundamentally, this strategy recognises the importance of cultivating a cyber security culture that empowers its people to learn, question and challenge to drive continuous improvement. This begins with improving cyber security awareness and knowledge across all public sector workers, building on these foundations to create a positive cyber security culture that promotes and empowers its people to proactively engage on organisational cyber security risks. Getting this right is the key to sustainable change. 26. 基本的に、この戦略は、継続的な改善を推進するために、従業員が学び、質問し、挑戦する力を与えるサイバーセキュリティ文化を育むことの重要性を認識しています。これは、公共部門の全職員のサイバーセキュリティに対する意識と知識を向上させることから始まり、これらの基盤を基に、組織のサイバーセキュリティリスクに積極的に取り組むことを職員に奨励し、権限を与える積極的なサイバーセキュリティ文化を創造します。これを正しく行うことが、持続可能な変化の鍵となります。
[1] HMG; Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy; March 2021  [1] HMG; Global Britain in a Competitive Age: the Integrated Review of Security, Defence, Development and Foreign Policy; March 2021 
[2] HMG; ‘National Cyber Strategy’; December 2021  [2] HMG;「国家サイバー戦略」;2021年12月 

 

戦略の概要

20220126-105623

 

 

当日のスピーチです。。。

・2022.01.25 (speech) Building a cyber-resilient public sector

Building a cyber-resilient public sector サイバーレジリエントな公共部門の構築
Speech by the Chancellor of the Duchy of Lancaster Steve Barclay on the launch of the Government Cyber Security Strategy. スティーブ・バークレイ・ランカスター公国首相による「政府サイバーセキュリティ戦略」の発表時のスピーチ。
From: Cabinet Office and The Rt Hon Steve Barclay MP 内閣府、スティーブ・バークレイ議員
Introduction はじめに
It is very fitting that I should be talking to many of you virtually today. For the Covid 19 pandemic has tested all of us in every possible way and yet technology has enabled us to carry on. 今日、私が多くの方々とバーチャルでお話をするのは、とてもふさわしいことだと思います。Covid 19のパンデミックは、私たち全員にあらゆる試練を与えましたが、テクノロジーのおかげで私たちは活動を続けることができました。
To work from home, to see a doctor, to keep in touch with our families and friends and to educate our children. 自宅で仕事をしたり、医者に診てもらったり、家族や友人と連絡を取ったり、子供を教育したり。
It has also enabled government to carry on providing the precious public services that we as citizens rely on. また、私たち市民が頼りにしている貴重な公共サービスを政府が提供し続けることも可能になりました。
But while we have been making the very most of technology – so too have cyber criminals. しかし、私たちがテクノロジーを最大限に活用している一方で、サイバー犯罪者もまたテクノロジーを最大限に活用しています。
Seizing our sudden shift online as an unprecedented opportunity to disrupt our day-to-day lives and do our organisations harm, all of which can have a devastating impact with lasting examples. 私たちが突然オンラインに移行したことを前例のない機会ととらえ、私たちの日常生活を破壊したり、組織に損害を与えたりしています。
Let me give you just three examples from the last eighteen months, from local government, where digital services are increasingly being targeted by our adversaries due to the personal and financial data they hold. この1年半の間に、地方自治体で起きた3つの事例をご紹介しましょう。地方自治体では、デジタルサービスが保有する個人情報や財務データが敵対者の標的となるケースが増えています。
In Redcar and Cleveland, residents couldn’t access key services or seek social care advice. They couldn’t make online appointments or look at planning documents for many weeks after the council’s computer systems and website came under attack in early 2020. レッドカーとクリーブランドでは、住民が主要なサービスにアクセスできず、ソーシャルケアに関するアドバイスも得られませんでした。また、2020年初頭に議会のコンピュータシステムとウェブサイトが攻撃を受けた後、何週間もオンラインでの予約や計画資料の閲覧ができませんでした。
Likewise in Hackney, essential council tax, benefits and housing services for residents were left devastated after a ransomware incident almost fifteen months ago - while the most recent target, Gloucester City Council, is still working to recover full use of its IT systems after a cyber attack just before Christmas. 同様に、ハックニーでは、約15ヶ月前にランサムウェアの攻撃を受け、住民にとって必要不可欠な市税、給付金、住宅サービスが壊滅的な打撃を受けました。また、最近の標的となったグロスター市議会では、クリスマス直前にサイバー攻撃を受け、現在もITシステムを完全に利用できるようにするための作業を行っています。
We cannot dismiss these events as one-offs. これらの出来事を一過性のものとして片付けることはできません。
This is a growing trend – one whose pace shows no sign of slowing. これらの出来事を一過性のものと見なすことはできません。これは拡大する傾向にあり、そのペースは衰える気配がありません。
I am proud to say that when UK public services have suffered attacks, the government has acted fast to support getting key services back up and running, and also to manage any risks to stolen data – with the National Cyber Security Centre – the NCSC – providing expert technical advice. 英国の公共サービスが攻撃を受けた際、政府は迅速に行動し、重要なサービスの復旧を支援し、盗まれたデータのリスクを管理するために、NCSC(National Cyber Security Centre)が専門的な技術アドバイスを提供したことを誇りに思います。
However, the public rightly expects us to do everything we can to prevent these attacks in the first place and to get services quickly back to normal when they do indeed happen. しかし、このような攻撃を未然に防ぎ、実際に攻撃を受けた際には迅速にサービスを復旧させるために全力を尽くすことを、国民は当然ながら期待しています。
It isn’t just local authorities that are affected. 影響を受けるのは地方自治体だけではありません。
We have repeatedly warned the public about the rapid rise in consumer-focused scams by professional predators. 私たちは、プロの犯罪者による消費者を狙った詐欺が急増していることを繰り返し警告してきました。
Businesses and retailers, too, are on our adversaries hit-lists. Just in December, three hundred Spar grocery stores in the north of England were affected by a computer and IT outage. 企業や小売業者も敵の標的になっています。12月には、イングランド北部の食料品店「Spar」300店舗がコンピュータとITの障害に見舞われました。
And as if to prove the hackers’ total lack of scruple, an attack last year on the Irish health system meant people had to wait for cancer treatment and X-rays. また、ハッカーの冷静さの欠如を証明するかのように、昨年、アイルランドの医療システムが攻撃を受け、がん治療やレントゲン撮影のために人々が待たされました。
Indeed globally, we have seen the impact on our allies, including the US government, following the compromise of Solarwinds’ network management software in 2020. 世界的に見ても、2020年にSolarwinds社のネットワーク管理ソフトウェアが侵害されたことで、米国政府をはじめとする同盟国にも影響が及んでいます。
And we have witnessed, too, the destabilising effects on public confidence in Ukraine following recent cyber attacks on its government infrastructure. また、ウクライナでは、政府のインフラがサイバー攻撃を受けたことで、国民の信頼が不安定になっています。
So my priority now – having taken over this critically important brief as lead government minister for cyber – is to ensure that the UK government, at all levels, is much more resilient to cyber attacks. そこで、サイバー担当の主務大臣として重要な任務を引き継いだ私の優先事項は、英国政府があらゆるレベルでサイバー攻撃に対する耐性を高められるようにすることです。
Delivering change through the Government Cyber Security Strategy 政府サイバーセキュリティ戦略による変革の実現
That is why the first ever Government Cyber Security Strategy – which I am delighted to be launching today – is so important. だからこそ、本日発表する史上初の「政府サイバーセキュリティ戦略」が非常に重要なのです。
If we are to continue to prevent our public services coming under pressure and to protect them from the harmful consequences of cyber attacks, we need to act. 公共サービスの低下を防ぎ、サイバー攻撃の被害から公共サービスを守るためには、私たちが行動を起こす必要があります。
The Strategy has a very clear vision. この戦略は非常に明確なビジョンを持っています。
Our core government functions, from the delivery of public services, to the operation of National Security apparatus, must be more resilient than ever before to cyber attacks. 公共サービスの提供から国家安全保障機関の運営に至るまで、政府の中核機能は、サイバー攻撃に対してこれまで以上に耐性を持たなければなりません。
And we are setting out the clear aim for government’s critical functions to be significantly hardened to cyber attack by 2025. そして、2025年までに、政府の重要な機能をサイバー攻撃に対して大幅に強化するという明確な目標を掲げています。
This aim accounts for all public service organisations – including across local government, and the health and education sectors – which in many cases are starting from a very low level of maturity. この目標は、地方自治体や医療・教育分野を含むすべての公共サービス機関を対象としており、多くの場合、非常に低いレベルの成熟度からスタートしています。
Achieving our aim is essential. Not only to protect government functions and public services but also to realise the ambitions set out in the Integrated Review and the National Cyber Strategy この目標を達成することは不可欠です。政府機能と公共サービスを守るだけでなく、統合レビューと国家サイバー戦略で掲げられた野望を実現するためにも。
It will also help cement the UK as a democratic and responsible ‘Cyber Power’. また、英国が民主的で責任感のある「サイバーパワー」としての地位を確立することにもつながります。
Only by ensuring that cyber attacks neither disrupt our core functions, nor erode vital trust and public confidence can we use the full potential of cyber as a lever to protect and promote our interests in a world that is being fundamentally and rapidly reshaped by technology. サイバー攻撃によって中核的な機能が破壊されたり、重要な信頼や国民の信用が損なわれたりしないようにしてこそ、テクノロジーによって根本的かつ急速に形を変えつつある世界において、我々はサイバーを梃子にして自国の利益を守り、促進することができるのです」と述べています。
The Government Cyber Security Strategy will deliver this in two fundamental ways. 政府のサイバーセキュリティ戦略は、2つの基本的な方法でこれを実現します。
First, by building organisational cyber resilience in a way that allows government organisations to understand the risks and threats they face, and indeed then to manage them. 第一に、政府機関が直面するリスクと脅威を理解し、実際にそれらを管理できるような方法で、組織のサイバーレジリエンスを構築することです。
To do this we will adopt the NCSC’s Cyber Assessment Framework for the whole of government, as the foundation of a new, detailed and comprehensive assurance regime, backed up by independent assessment. そのために、NCSCのサイバーアセスメントフレームワークを政府全体に採用し、独立した評価に裏打ちされた、詳細かつ包括的な新しい保証体制の基盤とします。
And from this we will emerge not with a generic sketch of government cyber defences but a properly objective picture of our collective strengths and weaknesses – これにより、政府のサイバー防御の一般的なスケッチではなく、私たちの集団的な強みと弱みを正しく客観的に把握することができるようになります。
And far from being an additional layer of bureaucracy and compliance, the new assurance regime will be an early warning system for all government organisations. 新しい保証制度は、官僚主義やコンプライアンスの追加ではなく、すべての政府機関にとっての早期警告システムとなります。
By the very nature of their activities, some of these organisations regularly face more sustained, determined, and well-resourced attacks on them. これらの組織の中には、その活動の性質上、定期的に、より持続的で強固な、そして十分な資源を持った攻撃にさらされているものがあります。
And we all have a vested interest in getting their protection right. 私たちは、これらの組織を正しく保護することに関心があります。
So – as the second fundamental element of the Government Cyber Security Strategy – we are going to ‘Defend as One’. そこで、政府のサイバーセキュリティ戦略の2つ目の基本要素として、「一体となって守る」ことを掲げています。
Ensuring that government presents a defensive force more powerful than the sum of its parts. これは、政府が各部分の合計よりも強力な防御力を発揮できるようにするためです。
At the moment, considerable talent and capability is spread over a range of government organisations - and is not always harnessed to best effect. 現在、膨大な才能と能力がさまざまな政府機関に分散しており、必ずしも最高の効果を発揮しているとは言えません。
Our new Government Cyber Coordination Centre, or GCCC, will transform how we use cyber security data – by facilitating threat and vulnerability management at scale, and fostering partnerships across the public sector and the Union – to rapidly identify, investigate and coordinate responses to incidents. 新設されたGCCC(Government Cyber Coordination Centre)は、脅威と脆弱性の管理を大規模に行い、公共部門と連邦のパートナーシップを促進することで、サイバーセキュリティデータの利用方法を変革し、インシデントの迅速な特定、調査、対応の調整を行います。
This joint venture between the Government Security Group, the Central Digital and Data Office and the NCSC, – is intended to underpin our long-term ambitions for cyber security, and ensure that our efforts are better coordinated. Government Security Group、Central Digital and Data Office、NCSCの3者によるこの共同事業は、サイバーセキュリティに関する我々の長期的な目標を支え、我々の努力がよりよく調整されることを目的としています。
Investment in cyber resilience サイバーレジリエンスへの投資
The significance of the cyber security challenges we face is reflected in the funding we as a government are making available to tackle them. 私たちが直面しているサイバーセキュリティの課題の重要性は、政府がそれらの課題に取り組むために用意している資金にも反映されています。
The government is investing £2.6 billion in cyber over the next three years – significantly more than the £1.9bn that was committed in the last National Cyber Strategy, with a particular emphasis on improving the government’s own cyber security. 政府は、今後3年間で26億ポンドをサイバー分野に投資します。これは、前回の国家サイバー戦略でコミットした19億ポンドを大幅に上回るもので、特に政府自身のサイバーセキュリティの向上に重点を置いています。
This includes over £85m to tackle the challenges facing councils, helping them build their cyber resilience and protect vital services and data. これには、地方自治体が直面する課題に取り組むための8,500万ポンド以上が含まれており、地方自治体がサイバーレジリエンスを高め、重要なサービスやデータを保護することを支援します。
And we will continue to invest in government’s cyber resilience, prioritising by risk to ensure that our most critical functions and services are protected. また、政府のサイバーレジリエンスへの投資を継続し、リスクに応じて優先順位をつけ、最も重要な機能とサービスを確実に保護していきます。
Developing leadership and skills リーダーシップとスキルの向上
I’d like to give particular focus to the importance of people and culture in making this a reality. これを実現するためには、人材と文化が重要であることを特に強調したいと思います。
Strong leadership is crucial to success. 成功には強力なリーダーシップが不可欠です。
And I welcome the strong emphasis public sector leaders are placing on cyber security as a catalyst and enabler for UK digital transformation. 公共部門のリーダーたちが、英国のデジタルトランスフォーメーションの触媒および実現者として、サイバーセキュリティを重視していることを歓迎します。
Indeed for my own part, one of my top priorities will be promoting government cyber resilience and driving forward the implementation of this strategy across government. 実際、私自身の最優先事項の一つは、政府のサイバーレジリエンスを促進し、政府全体でこの戦略の実施を推進することです。
I look forward to working with the Prime Minister and my Ministerial colleagues, who I know are very supportive of this agenda. 私は、この課題に非常に協力的な首相や同僚の閣僚たちと一緒に仕事ができることを楽しみにしています。
Technical experts are also, of course, crucial to building ‘secure by design’ government infrastructure. But we also need sufficient skills and knowledge beyond the specialised technical roles, alongside the ‘softer skills’ they will need for management roles later in their careers. もちろん、技術的な専門家も、"デザインによる安全性 "を備えた政府インフラの構築には欠かせません。しかし、専門的な技術的役割を果たすだけでなく、キャリアの後半で管理職に就くために必要となる "ソフトスキル "も含め、十分なスキルと知識が必要です。
From 2022, we will have 130 cyber apprentices across 21 government departments, and we are going to carry on building on this great foundation. 2022年には、21の政府機関で130名のサイバー実習生を採用する予定で、この素晴らしい基盤をさらに強化していきます。
And the new Cyber Fast Stream will begin to produce leaders as part of the Autumn 2022 cohort – a generation with the technical expertise to bring the Cyber Strategy off the printed page and into practice. また、新しいサイバーファーストストリームでは、2022年秋の卒業生からリーダーを輩出する予定です。
Even so, there is much more to do. とはいえ、やるべきことはまだたくさんあります。
Because government cannot address the skills challenge alone. なぜなら、政府だけではスキルの課題に対処できないからです。
As I set out in the National Cyber Strategy, we will need a whole-of-society approach to equip Britain with the skills it needs to prosper in a digital age. 国家サイバー戦略で述べたように、英国がデジタル時代に繁栄するために必要なスキルを身につけるには、社会全体のアプローチが必要です。
This afternoon I’m off to Ada, the National College for Digital Skills, to see the fantastic work they are doing to equip young people – I’m having a go myself – with Computer Science and STEM skills and expertise. 今日の午後、私はAda(National College for Digital Skills)に行って、若い人たちにコンピュータサイエンスやSTEMのスキルや専門知識を身につけさせるために行っている素晴らしい活動を見学してきます(私もやってみます)。
The kind of expertise running throughout society that will turn this vision into reality not just for the government but Britain – making us a Cyber Power at the forefront of the digital age. 社会全体に通じる専門知識は、政府だけでなく英国にとっても、このビジョンを現実のものとし、デジタル時代の最先端を行くサイバーパワーとなるでしょう。
Conclusion まとめ
Everyone who is involved in the cyber security sector can be proud of the progress made so far. サイバーセキュリティ分野に携わるすべての人は、これまでの進歩を誇りに思うことができます。
But to meet the threats we face in the coming decade we must build on our success and intensify our approach to cyber security. しかし、今後10年間に直面する脅威に対応するためには、これまでの成功を基に、サイバーセキュリティへの取り組みを強化する必要があります。
The Government Cyber Security Strategy is the foundation of that effort. 政府サイバーセキュリティ戦略は、その取り組みの基礎となるものです。
A stronger, better-defended government sits at the very heart of the UK as a cyber power – leading the work to deter and disrupt the activities of those who wish to do us harm. より強力で防御力の高い政府は、サイバーパワーとしての英国の中心に位置し、私たちに危害を加えようとする者の活動を抑止し、混乱させるための活動を主導しています。
Today marks another important step in our journey to creating a cyber resilient public sector. 本日は、サイバー攻撃に強い公共部門の構築に向けた重要な一歩となりました。
There is now a huge task ahead of us. 現在、私たちの前には大きな課題があります。
But having laid the framework for success through the strategy. I look forward to taking this challenge forward with all of you. しかし、戦略を通じて成功のための枠組みを築いてきました。皆さんと一緒にこの課題に取り組んでいきたいと思います。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

5年毎に作る国家セキュリティ戦略です。(主要国の国家サイバー戦略も記載しています。。。)

・2021.12.17 英国 国家サイバー戦略

 

| | Comments (0)

英国王立学会 オンライン情報環境(フェイク情報は削除すべき、削除すべきでない?)at 2022.01.19

こんにちは、丸山満彦です。

平さんのブログから知った内容。。。

● 新聞紙学的

・2022.01.24 「フェイクの削除は有害」?それでも削除すべき理由とは

 

英国王立学会が「オンライン情報環境」を公開していますね。。。

The Royal Society

・2022.01.19 The online information environment

misinformationという言葉ですが、この報告書では、悪意のあるなしに関わらず誤った情報という意味で、使っていますね。。。なので、disinformationという意味も含む概念で使っているようです。。。

The online information environment オンライン情報環境
How are digital technologies changing the way people interact with information?  What technologies are there that can fabricate and detect misinformation?  And what role does technology have to play in creating a better information environment? デジタル技術は、人々の情報との関わり方をどのように変えているのでしょうか?  誤った情報を捏造し、それを検知する技術にはどのようなものがあるのでしょうか。  また、より良い情報環境を作るために、技術はどのような役割を果たすべきなのでしょうか。
The online information environment (PDF) report addresses these questions, providing an overview of how the internet has changed, and continues to change, the way society engages with scientific information, and how it may be affecting people’s decision-making behaviour – from taking up vaccines to responding to evidence on climate change. It highlights key challenges for creating a healthy online information environment and makes a series of recommendations for policymakers, academics, and online platforms. オンライン情報環境(PDF)レポートでは、これらの疑問を解決するために、インターネットが社会の科学情報への関わり方をどのように変えてきたのか、また変え続けているのか、そして、ワクチンの摂取から気候変動に関する証拠への対応まで、人々の意思決定行動にどのような影響を与えているのかを概観しています。本レポートでは、健全なオンライン情報環境を構築するための主要な課題を明らかにし、政策立案者、学術関係者、オンラインプラットフォームに対する一連の提言を行っています。
How are digital technologies shaping the information people encounter? デジタル技術は、人々が出会う情報をどのように変えているのでしょうか?
Patterns of information consumption are changing: individuals increasingly look to the online environment for news, and search engines and social media platforms play an increasingly important role in shaping access to information and participation in public debates. New technologies and uses of data are shaping this online information environment, whether through micro-targeting, filter bubbles, or sophisticated synthetic text, videos and images.  情報消費のパターンは変化しています。個人がオンライン環境にニュースを求めるようになり、検索エンジンやソーシャルメディアのプラットフォームは、情報へのアクセスや公共の議論への参加を形成する上で、ますます重要な役割を果たすようになっています。マイクロターゲティング、フィルターバブル、高度に合成されたテキスト、ビデオ、画像など、新しい技術やデータの利用がこのオンライン情報環境を形成しています。 
These technologies have great potential and are already being deployed in a range of contexts from entertainment through to education.  At the same time, there are increasing concerns about new forms of online harm and erosion of trust that these could enable. これらの技術は大きな可能性を秘めており、すでにエンターテインメントから教育まで、さまざまな場面で展開されています。  その一方で、これらの技術が可能にする新たなオンライン上の被害や信頼の低下に対する懸念も高まっています。
While misinformation isn’t a new problem—and uncertainty and debate are intrinsic parts of science--the internet has drastically magnified the speed and scale at which poor quality information can spread. 誤った情報は新しい問題ではありません。不確実性や議論は科学の本質的な部分ですが、インターネットは質の低い情報を広めるスピードと規模を飛躍的に拡大しました。
The report highlights how online misinformation on scientific issues, like climate change or vaccine safety, can harm individuals and society.   It stresses that censoring or removing inaccurate, misleading and false content, whether it’s shared unwittingly or deliberately, is not a silver bullet and may undermine the scientific process and public trust.  Instead, there needs to be a focus on building resilience against harmful misinformation across the population and the promotion of a “healthy” online information environment. 本報告書では、気候変動やワクチンの安全性など、科学的な問題に関するオンラインの誤った情報が、個人や社会にどのような損害を与えるかを明らかにしています。   本報告書では、不正確な情報、誤解を招くような情報、虚偽の情報を検閲したり削除したりすることは、それが無意識にあるいは意図的に共有されたものであるかどうかにかかわらず、銀の弾丸のようなものではなく、科学的プロセスや社会の信頼を損なう可能性があることを強調しています。  むしろ、有害な誤った情報に対する回復力を国民全体で高め、「健全な」オンライン情報環境を促進することに焦点を当てる必要があります。
The edge of error 誤りの端緒
Professor Frank Kelly FRS, Professor of the Mathematics of Systems at the Statistical Laboratory, University of Cambridge, and Chair of the report said, “Science stands on the edge of error and the nature of the scientific endeavour at the frontiers means there is always uncertainty. 報告書の議長を務めるケンブリッジ大学統計研究所システム数学教授のフランク・ケリー教授(FRS)は、以下のように述べています。「科学は誤りの縁に立っており、フロンティアでの科学的試みの性質上、常に不確実性がある」。
“In the early days of the pandemic, science was too often painted as absolute and somehow not to be trusted when it corrects itself, but that prodding and testing of received wisdom is integral to the advancement of science, and society. 「パンデミックの初期には、科学は絶対的なものであり、自らを修正するときには信用できないものであると考えられがちでしたが、科学や社会の発展のためには、既成概念を掘り下げて検証することが不可欠です」。
“This is important to bear in mind when we are looking to limit scientific misinformation’s harms to society. Clamping down on claims outside the consensus may seem desirable, but it can hamper the scientific process and force genuinely malicious content underground.” 「このことは、科学的に誤った情報による社会への悪影響を抑えるためにも重要なことです。コンセンサスから外れた主張を取り締まることは望ましいことのように見えますが、それは科学的プロセスを妨げ、真に悪意のあるコンテンツを地下に追いやることになりかねません」。
Perspectives 展望
Alongside the publication of this report, the Society is launching a blog series of weekly perspective pieces offering personal takes from leading figures on specific aspects of this topic, from potential regulatory approaches to what the media is doing to combat fake news to the role of knowledge institutions. 本報告書の発行と並行して、本学会ではブログシリーズを立ち上げ、潜在的な規制アプローチから、メディアがフェイクニュースに対抗するために何をしているか、知識機関の役割など、このテーマの特定の側面について、著名人の個人的な見解を毎週紹介しています。
Common questions よくある質問
What is scientific misinformation? 科学的に誤った情報とは何ですか?
Scientific misinformation is defined as information which is presented as factually true but directly counters, or is refuted by, established scientific consensus. This includes concepts such as ‘disinformation’ which relates to the deliberate sharing of misinformation content. 科学的に誤った情報とは、事実に基づいて提示された情報でありながら、確立された科学的コンセンサスに真っ向から反論したり、反論されたりするものと定義されます。これには、誤った情報を意図的に共有する「偽情報」のような概念も含まれます。
Why do people share misinformation? なぜ人々は誤った情報を共有するのか?
The actors involved in producing and disseminating misinformation content can be broadly categorised as intentional or unintentional actors, and further differentiated by motivation. These actors can exist across all sections of society and often include those in positions of power and influence (e.g. political leaders, public figures, and media outlets). We identify four types of misinformation actors: 誤った情報のコンテンツの作成と発信に関わるアクターは、意図的なアクターと非意図的なアクターに大別され、さらに動機によっても区別されまあす。これらのアクターは、社会のあらゆるセクションに存在する可能性があり、多くの場合、権力や影響力を持つ立場の人々(政治指導者、公人、メディアなど)が含まれます。私たちは、4つのタイプの誤報行為者を特定しました。
Good Samaritans: These users unknowingly produce and share misinformation content. Their motivation is to help others by sharing useful information which they believe to be true. Examples of this could include unknowingly sharing an ineffective health treatment or an inaccurate election schedule. 善きサマリア人:これらのユーザーは、無意識のうちに誤った情報のコンテンツを作成し、共有しています。彼らの動機は、自分が真実だと信じている有益な情報を共有することで、他の人を助けたいというものです。例えば、効果のない健康法や不正確な選挙日程などを無意識のうちに共有してしまうことが挙げられます。
Profiteers: These users either knowingly share misinformation content or are ambivalent about the content’s veracity. The consumption of their content generates profit for them with greater engagement resulting in higher profit. Examples include writers for explicitly false news outlets being paid directly to a Google Ads account, companies selling fraudulent health treatments, and video content creators profiting from advertising revenue. Profit, in this context, is not restricted to monetary value and can include other forms of personal gain (e.g. more votes or greater reach). 儲け主義者:このようなユーザーは、誤った情報を故意に共有しているか、コンテンツの信憑性について曖昧な態度をとっています。彼らのコンテンツが消費されることで、彼らは利益を得ることができ、エンゲージメントが高ければ高い利益を得ることができます。例えば、明らかに虚偽のニュースを提供するライターには、Google Adsのアカウントに直接報酬が支払われ、詐欺的な健康法を販売する企業や、広告収入で利益を得る動画コンテンツ制作者などが挙げられます。ここでいう利益とは、金銭的な価値に限らず、他の形態の個人的な利益(例えば、より多くの投票やより多くのリーチ)を含むこともあります。
Coordinated influence operators: These users knowingly produce and share misinformation content. Their motivation is to sway public opinion in a manner that will benefit the agenda of their organisation, industry, or government. The aim is to either convince consumers of an alternate story or to undermine faith in trusted institutions. Examples include successfully publishing political opinion pieces by a fabricated expert in reputable online news outlets and using automated social media accounts (bots) to promote climate change denialism. 協調的影響力行使者:このようなユーザーは、意図的に誤った情報のコンテンツを作成し、共有します。彼らの動機は、自分の所属する組織、業界、または政府のアジェンダに利益をもたらす方法で世論を動かすことです。その目的は、消費者に別のストーリーを納得させることや、信頼できる機関への信頼を損なうことです。例えば、捏造した専門家による政治的意見を評判の高いオンラインニュースに掲載することに成功したり、ソーシャルメディアの自動アカウント(ボット)を使って気候変動の否定論を広めることなどが挙げられます。
Attention hackers: These users knowingly produce and share misinformation content. Their motivation is personal joy. Sometimes referred to as ‘trolling’, these users devise outlandish or divisive content and take steps to maximise attention for them. Examples include sending messages to mainstream talk shows in the hope they will read out the content on air, fooling high profile figures into resharing content on their social media accounts, and sharing conspiracy theories on unsuspecting television and radio phone-ins (known as groyping). アテンションハッカー:このようなユーザーは、故意に誤った情報のコンテンツを制作し、共有します。彼らの動機は個人的な喜びです。トローリング」と呼ばれることもありますが、このようなユーザーは、突拍子もない、あるいは分裂を招くようなコンテンツを考案し、その注目度を最大限に高めるための手段を講じます。例えば、主流のトークショーにメッセージを送り、放送中にその内容を読み上げてもらうことを期待したり、著名人を騙して自分のソーシャルメディアアカウントでコンテンツを再共有させたり、疑うことなくテレビやラジオの電話で陰謀論を披露したりすることが挙げられます(グロウピングと呼ばれます)。
What is malinformation? 悪意のある情報とは?
Genuine, unedited content can be shared without context to provide a misleading narrative. This is made easier in the online information environment as content can be disseminated between people without intermediaries (e.g. news outlets, government officials). This has been referred to as ‘malinformation’. Examples include sharing real images and claiming that they represent something that they do not. They can also involve sharing images of different events from a different date to create a false narrative and discredit targets. 真の意味で編集されていないコンテンツが、文脈を無視して共有され、誤解を招くような物語を提供することがあります。ネット上の情報環境では、コンテンツを仲介者(報道機関や政府関係者など)なしに人々の間で広めることができるため、このようなことが容易に起こります。これは「悪意のある情報」と呼ばれています。例えば、実物の画像を共有して、それが実際にはないものを表していると主張することなどが挙げられます。また、異なる日付の異なるイベントの画像を共有することで、誤ったストーリーを作り、ターゲットの信用を落とすこともあります。
What is a deepfake? ディープフェイクとは?
Originating from a Reddit user who shared edited videos of celebrity faces swapped into pornographic videos, deepfakes refer to novel audio and/or visual content generated using artificial intelligence techniques such as generative adversarial networks (GANs). GANs involve two neural networks competing against each other – one creating false content and the other trying to detect it. The GANs can be trained using images, sounds, and videos of the target. The result is convincingly edited ‘new’ audio and/or visual content. ディープフェイクとは、有名人の顔をポルノビデオにすり替えて編集した動画をRedditで公開したことに端を発し、GAN(Generative Adversarial Network)などの人工知能技術を用いて生成された新しい音声・映像コンテンツのことです。GANでは、2つのニューラルネットワークが互いに競い合い、一方が偽のコンテンツを作成し、もう一方がそれを検出しようとします。GANは、ターゲットの画像や音声、動画などを使って学習させることができます。その結果、説得力のある編集された「新しい」オーディオおよび/またはビジュアルコンテンツが得られます。
Deepfakes can involve portraying individuals doing or saying things which they never did or said. They can also involve the generation of a new ‘person’ – a still image of a novel face to be used in the creation of a fabricated online persona.  Research has found that the majority of the thousands of deepfakes currently in existence are of a pornographic nature, however other examples have included deepfakes of politicians, campaigners, celebrities, and the Queen. ディープフェイクでは、実際にはやったことも言ったこともないことをやったり言ったりしている個人を描写することができる。また、新たな「人物」、つまり、ネット上で捏造されたペルソナを作成するために使用される斬新な顔の静止画を生成することもあります。  調査によると、現在存在する何千ものディープフェイクの大半はポルノ的な性質のものですが、政治家、運動家、有名人、女王などのディープフェイクも存在します。
What are shallowfakes? シャローフェイクとは?
A form of malinformation content, shallowfakes refer to videos which have been presented out of context or crudely edited. These effects are achieved by using video-editing software or smartphone applications to change the speed of video segments or crop together clips in order to omit relevant context. 悪意のある情報のコンテンツの一つである浅い偽情報とは、文脈を無視して提示されたり、粗雑に編集されたビデオを指します。このような効果は、ビデオ編集ソフトやスマートフォンのアプリケーションを使用して、ビデオセグメントの速度を変更したり、関連する文脈を省略するためにクリップを切り取ったりすることで得られます。
What is provenance enhancing technology? プロミネンス・エンハンシング・テクノロジーとは?
Focusing instead on the origins of content rather than its value, organisations developing provenance enhancing technologies aim to equip information consumers with the means to help them decide whether a piece of content is genuine and not manipulated. This is achieved by applying the content’s metadata (e.g. sender, recipient, time stamp, location) to determine who created it, how it was created, and when it was created. コンテンツの価値ではなく、その起源に着目し、情報消費者がコンテンツが加工されていない本物であるかどうかを判断するための手段を提供することを目的としたのが、出所証明技術です。これは、コンテンツのメタデータ(送信者、受信者、タイムスタンプ、場所など)を利用して、誰が、どのように作成したのか、いつ作成したのかを判断することで達成されます。
This is the primary aim of the Coalition for Content Provenance and Authenticity (an initiative led by Adobe, ARM, the BBC, Intel, Microsoft, TruePic, and Twitter) which is developing a set of technical specifications on content provenance. If sufficiently enabled, platforms would be able to better address or label problematic content and information consumers will be able to determine the veracity of a claim, image, or video. これは、Coalition for Content Provenance and Authenticity(Adobe、ARM、BBC、Intel、Microsoft、TruePic、Twitterが主導するイニシアチブ)の主な目的であり、コンテンツの証明に関する一連の技術仕様を策定しています。十分な機能を備えれば、プラットフォームは問題のあるコンテンツに対してより適切な対処やラベル付けができるようになり、情報消費者は主張や画像、動画の信憑性を判断できるようになるでしょう。
What are bots? ボットとは何ですか?
Bots are pre-programmed online accounts that engage with and respond to online content in an automated fashion. They take many forms in the online information environment. Chatbots can act as customer service operators for large companies (e.g. retail banks) or as false personas on social media platforms. Voice assistants recognise and respond verbally to spoken requests made by a user to a smart device. Bot crawlers undertake basic administrative tasks for owners such as indexing web pages or countering minor acts of vandalism on wikis. Traffic bots exist to inflate the number of views for a piece of online content to boost revenue derived from online advertising. ボットとは、あらかじめプログラムされたオンラインアカウントで、オンラインコンテンツに自動で関わり、反応するものです。オンラインの情報環境では、さまざまな形で利用されています。チャットボットは、大企業(リテールバンクなど)の顧客サービスオペレーターとして機能したり、ソーシャルメディアのプラットフォーム上で偽のペルソナとして機能したりします。音声アシスタントは、ユーザーがスマートデバイスに対して行った音声による要求を認識し、口頭で応答します。ボット・クローラーは、ウェブページのインデックスを作成したり、ウィキ上の小さな破壊行為に対処するなど、オーナーのために基本的な管理作業を行います。トラフィックボットは、オンラインコンテンツの閲覧数を増加させ、オンライン広告から得られる収益を増加させるために存在する。
Positive applications of bots include their use to counter misinformation, to support people with disabilities, and to disseminate news updates. Negative applications include the use of bots to deceptively influence public opinion, to suppress news stories, and to abuse people. ボットのポジティブな用途としては、誤った情報に対抗するため、障害者を支援するため、ニュースの更新情報を発信するためなどがある。一方、ネガティブな用途としては、世論への影響力を偽装したり、ニュース記事を抑制したり、人々を虐待したりすることが挙げられます。
Method 方法
Alongside the report, the Society has published a series of independent commissioned literature reviews and surveys which have helped inform the thinking of the expert working group on these issues. These include: 本報告書と並行して、本会は、これらの問題に関する専門家ワーキンググループの考えを伝えるために、独自に委託した一連の文献レビューや調査を発表しました。その内容は以下の通りです。
a literature review on anti-vaccine misinformation in the C20th (PDF) 1920年代の反ワクチンの誤報に関する文献調査 (PDF)
a literature review on historic misinformation about water fluoridation (PDF) ウォーターフロリデーションに関する歴史的な誤報についての文献調査 (PDF)
a literature review on the science behind how people navigate the information environment (PDF) 人々が情報環境をどのようにナビゲートするかについての科学に関する文献調査 (PDF)
a literature review on the evidence behind echo chambers and filter bubbles (PDF) エコーチェンバーとフィルターバブルの背後にある証拠についての文献調査 (PDF)
a survey of people’s capacity for deepfake detection (PDF) ディープフェイクを検知する人々の能力に関する調査 (PDF)

 

・[PDF]

20220125-163501

 

目次...

Foreword   序文  
Executive summary  エグゼクティブ・サマリー 
Recommendations  提言 
Chapter one: Why do we need trustworthy information?  第1章 なぜ信頼できる情報が必要なのか?
Evidence of impact  インパクトのある証拠 
Case study: Vaccine misinformation  ケーススタディ:ワクチンの誤った情報
Chapter two: How the information environment is shaped and navigated  第2章:情報環境はどのように形成され、ナビゲートされるか 
How do our minds process information?  私たちの心はどのように情報を処理するのか?
Types of misinformation actors  誤った情報のアクターの種類 
Incentives for information production and consumption 情報の生産と消費のインセンティブ
How the internet facilitates access to information  インターネットが情報へのアクセスを容易にする仕組み 
Policies adopted by major online platforms   主要なオンラインプラットフォームが採用するポリシー  
Case study: 5G misinformation   ケーススタディ:5Gの誤情報
Chapter three: Techniques for creating and countering misinformation  第3章 誤情報の作成とそれに対抗するテクニック 
Synthetic content  合成コンテンツ 
Techniques used to promote misinformation  誤った情報を広めるためのテクニック 
Tools and approaches for countering misinformation  誤った情報に対抗するためのツールとアプローチ 
Chapter four: Trustworthy institutions  第4章 信頼できる機関 
Decontextualisation  脱文脈化 
Quantity of information  情報の量 
Hallmarks of trustworthiness  信頼できる機関の特徴 
The importance of curatorship  キュレーターシップの重要性 
Case study: Water fluoridation misinformation  ケーススタディ:水道水フッ化物添加の誤情報
Chapter five: The future landscape  第5章 今後の展望 
Conclusion   結論
Appendix   附属書  
Index of figures and boxes  図とボックスの索引 
Working Group members  ワーキンググループメンバー 
Royal Society staff  英国王立協会スタッフ 
Acknowledgments  謝辞 
Survey methodologies  調査方法 
Commissioned literature reviews  委託文献調査 

 

序文あたりを

Foreword 序文
I Foreword It is arguably one of the most abundant resources of our age – never before has so much information been available to so many people. Wherever access to the internet is possible, individuals can access entire libraries-worth of knowledge, decades of news reports, vaults-full of documents and records, speeches, images and videos; and, in the current pandemic, the genome sequence of a novel coronavirus and a torrent of research preprints released before peer review. Once it would take days for news to pass from town to town, but the last century saw a speeding up of information transmission, from the early growth of telephony through to the advent of the World Wide Web in the 1990s and the popularity of social media from the early 2010s. Digital technology has transformed our ability to be informed and to inform others.  序文 現代の最も豊かな資源の一つと言っても過言ではありません。これほど多くの情報をこれほど多くの人が利用できる時代はかつてありませんでした。インターネットへのアクセスが可能な場所であれば、個人が図書館全体の知識、数十年分のニュース報道、金庫いっぱいの文書や記録、スピーチ、画像、ビデオにアクセスできるほか、現在のパンデミックでは、新型コロナウイルスのゲノム配列や、査読前に発表された研究のプレプリントが大量に公開されています。かつては、町から町へニュースが伝わるのに何日もかかっていましたが、前世紀には、初期の電話の普及から、1990年代のWorld Wide Webの出現、2010年代初頭のソーシャルメディアの人気に至るまで、情報伝達のスピードが速くなりました。デジタル技術は、私たちが情報を得たり、人に伝えたりする能力を大きく変えました。
But it is not just high-quality information that is being shared.  しかし、共有されているのは質の高い情報だけではありません。
Inaccurate, misleading and completely false information is shared online in large volumes – both unintentionally by some and maliciously by others. Fictional stories end up being passed around as truth, conspiracies gain weight as they pass through the rumour mill and science becomes mangled beyond recognition.  不正確な情報、誤解を招くような情報、まったくの虚偽の情報が、一部の人が意図せずに、また他の人が悪意を持って、オンラインで大量に共有されています。架空の話が真実のように流布され、陰謀は噂の域を超えて重みを増し、科学は見分けがつかないほどこじつけられてしまいます。
Misinformation and fake news is not new (see the quote from George Eliot’s Middlemarch). Alongside this report, we are publishing two literature reviews looking at the spread of misinformation about water fluoridation and vaccination in the 20th century, well before the emergence of the modern information environment. What online technologies have changed, however, is the scale and speed of spread.  誤報やフェイクニュースは、今に始まったことではありません(ジョージ・エリオットの『ミドルマーチ』からの引用を参照)。本報告書と並行して、現代の情報環境が出現する前の20世紀に、ウォーターフロリデーションやワクチン接種に関する誤報が広まったことを調べた2つの文献レビューを発表しています。しかし、オンライン技術が変えたのは、拡散の規模とスピードです。
The Royal Society’s mission since it was established in 1660 has been to promote science for the benefit of humanity, and a major strand of that is to communicate accurately. But false information is interfering with that goal. It is accused of fuelling mistrust in vaccines, confusing discussions about tackling the climate crisis and influencing the debate about genetically modified crops.  1660年に設立された英国王立協会の使命は、人類のために科学を振興することであり、そのためには正確な情報を伝えることが重要です。しかし、誤った情報がその目的を妨げています。ワクチンへの不信感を煽り、気候危機への取り組みに関する議論を混乱させ、遺伝子組み換え作物に関する議論に影響を与えていると非難されています。
Science stands on the edge of error. It is a process of dealing with uncertainties, prodding and testing received wisdom. Science challenges us to continually assess and revise our understanding of the world. What we believed 100 years ago has been replaced with new knowledge. Some people think science is absolute and when it corrects itself it is somehow not to be trusted or believed. We must work to help people recognise that the core ability to correct itself is a strength, not a weakness, of the scientific method. This ability requires the prioritisation of the best data and most trustworthy information, as well as a safe and healthy online information environment which allows robust and open scientific debate. Balancing these necessities is one of the key aims of this report. 科学は誤りの端に立っています。それは不確実性に対処するプロセスであり、既成概念を突いて検証するものです。科学は、私たちの世界に対する理解を継続的に評価し、修正することを求めます。100年前に信じていたことは、新しい知識に置き換えられています。人によっては、科学は絶対的なものであり、それが修正されると信用できない、信じられない、と考える人もいます。私たちは、自己修正能力が科学的手法の弱点ではなく強みであることを人々に認識してもらうよう努力しなければなりません。この能力を高めるためには、最高のデータと最も信頼できる情報を優先的に提供することに加えて、堅牢でオープンな科学的議論を可能にする安全で健全なオンライン情報環境が必要です。これらの必要条件のバランスをとることが、本報告書の重要な目的の一つです。
Of course, this report can only consider part of a problem as broad and complicated as how to improve the quality of the information environment. Misinformation problems are in part irreducibly political and social in nature. In free and diverse societies we will always have some version of them. In this report we have focused on the part of this where the Royal Society, as the national academy of science, speaks with the greatest authority: on issues pertaining to how science is communicated online, and the technologies underpinning that.   もちろん、本報告書では、情報環境の質をいかに向上させるかという、広範で複雑な問題の一部しか検討できません。誤報の問題は、政治的・社会的に避けられない部分があります。自由で多様性のある社会では、常に何らかのバージョンが存在する。本報告書では、英国王立協会が国立科学アカデミーとして最も権威ある発言をする部分、すなわち、科学がオンラインでどのように伝達されるかという問題と、それを支える技術に焦点を当てました。 
Fact-checking is especially important, and this is an area where the scientific community can help.  National academies and learned societies can react to new misinformation threats by quickly providing accurate summaries of what we know. To do this, better access to data is needed for researchers to identify topics of misinformation early in the process of amplification. 特にファクトチェックは重要であり、科学界が協力できる分野でもあります。 各国のアカデミーや学会は、新たな誤報の脅威に対応するために、私たちが知っていることを正確にまとめた情報を迅速に提供することができます。そのためには、研究者が誤報の話題を増幅の過程の初期段階で特定できるよう、データへのアクセスを改善する必要がある。
This, in itself, will not be enough to counteract the algorithmic amplification of polarising misinformation in an attention economy which incentivises the spread of sensational stories rather than sound understanding. Ultimately, we will need to see legislation which can address the incentives of business models that shape the algorithms determining the spread of content. Scientists will need to work with lawyers and economists to make sure that the particular sensitivities of scientific misinformation are considered when legislation is framed.   しかし、それだけでは、センセーショナルな記事の拡散を促す注目度の高い経済の中で、偏った誤報がアルゴリズムによって増幅されることに対抗するには十分ではありません。最終的には、コンテンツの拡散を決定するアルゴリズムを形成するビジネスモデルのインセンティブに対処するための法律が必要になります。科学者は、弁護士や経済学者と協力して、科学的な誤報に対する特別な配慮が法制化されるようにしなければなりません。 
The scientific community has its own issues to address in this regard. The incentives for scientific publication and communication need careful consideration, to ensure that novelty isn’t overstated simply to grab attention. Open access has been a boon, but in an age of information overload we need tools to identify questionable publishers or platforms. Furthermore, scientists need to be clear and transparent about their own motivations and whether they are seeking to inform or seeking to persuade.  科学界には、この点で対処すべき独自の問題があります。注目を集めるために新規性が誇張されることのないよう、科学的な出版やコミュニケーションのインセンティブを慎重に検討する必要があります。オープンアクセスは大きな恩恵をもたらしましたが、情報過多の時代には、疑わしい出版社やプラットフォームを見分けるためのツールが必要です。さらに、科学者は自らの動機や、情報を提供しようとしているのか、説得しようとしているのかを明確にし、透明性を確保する必要があります。
This report represents continuing development of, rather than a final chapter in, the Royal Society’s consideration of these issues. Further work going into more detail on some areas covered is planned. An example of this is the Society’s ambitious new programme, Reimagining science, which seeks to improve the narratives of science in society. Future work will also examine the role of digital technologies, and data access, in scientific research.  Professor Frank Kelly CBE FRS 本報告書は、英国王立協会がこれらの問題を検討する上での最終章ではなく、継続的に発展させたものです。いくつかの分野では、より詳細な調査が予定されています。その一例として、王立協会の野心的な新プログラム「Reimagining science」は、社会における科学の物語を改善することを目指しています。また、科学研究におけるデジタル技術やデータアクセスの役割についても検討していきます。 フランク・ケリー教授 CBE FRS
Executive summary 要約
The internet has transformed the way people consume, produce, and disseminate information about the world. In the online information environment, internet users can tailor unlimited content to their own needs and desires. This shift away from limited, gatekept, and pre-scheduled content has democratised access to knowledge and driven societal progress. The COVID-19 pandemic exemplifies this, with global researchers collaborating virtually across borders to mitigate the harms of the disease and vaccinate populations. インターネットは、人々が世界の情報を消費、生産、発信する方法を大きく変えました。オンラインの情報環境では、インターネットユーザーは無制限のコンテンツを自分のニーズや欲求に合わせて調整することができます。このように、限定された、門番のいる、予定されたコンテンツからの移行は、知識へのアクセスを民主化し、社会の進歩を促しました。COVID-19のパンデミックを例にとると、世界中の研究者が国境を越えて事実上協力し、病気の害を軽減したり、人々にワクチンを投与したりしています。
The unlimited volume of content, however, means that capturing attention in the online information environment is difficult and highly competitive. This heightened competition for attention presents a challenge for those who wish to communicate trustworthy information to help guide important decisions. The poor navigation or, even, active exploitation of this environment by prominent public figures and political leaders has, on many occasions, led to detrimental advice being disseminated amongst the public. This challenge has caused significant concern with online ‘misinformation’ content being widely discussed as a factor which impacts democratic elections and incites violence. In recent years, misinformation has also been identified as a challenge in relation to a range of scientific topics, including vaccine safety, climate change, and the rollout of 5G technology. しかし、コンテンツの量が無限であることは、オンラインの情報環境で注目を集めることが難しく、競争が激しいことを意味しています。このような競争の激化は、重要な意思決定に役立つ信頼性の高い情報を伝えたいと願う人々にとっての課題となっています。著名人や政治家がこの環境をうまく利用しない、あるいは積極的に利用することで、有害なアドバイスが一般の人々に広まってしまうことが多々ありました。この問題は、ネット上の「誤報」コンテンツが、民主的な選挙に影響を与えたり、暴力を誘発したりする要因として広く議論され、大きな関心を呼んでいます。近年では、ワクチンの安全性、気候変動、5G技術の導入など、さまざまな科学的トピックについても誤報が問題視されています。
The Royal Society’s mission is to promote excellence in science and support its use for the benefit of humanity. The consumption and production of online scientific information is, therefore, of great interest. This report, The online information environment, provides an overview of how the internet has changed, and continues to change, the way society engages with scientific information, and how it may be affecting people’s decision-making behaviour – from taking up vaccines to responding to evidence on climate change. It highlights key challenges for creating a healthy online information environment and makes a series of recommendations for policymakers, academics, and online platforms.  英国王立協会は、卓越した科学を推進し、人類の利益のためにその利用を支援することを使命としています。そのため、オンライン科学情報の消費と生産には大きな関心が寄せられています。本報告書「オンライン情報環境」では、インターネットが社会の科学情報への関わり方をどのように変化させてきたか、また今後も変化させていくのか、そして、ワクチンの摂取から気候変動に関する証拠への対応まで、人々の意思決定行動にどのような影響を与えているのかを概観しています。本レポートでは、健全なオンライン情報環境を構築するための主要な課題を明らかにし、政策立案者、学術関係者、オンラインプラットフォームに向けた一連の提言を行っています。
These recommendations, when taken together, are intended to help build collective resilience to harmful misinformation content and ensure access to high quality information on both public and private forums. これらの提言は、有害な誤った情報のコンテンツへの耐性を高め、公的・私的なフォーラムで質の高い情報にアクセスできるようにすることを目的としています。
The report has been guided by a working group of leading experts in this field and informed by a series of activities commissioned by the Royal Society. Firstly, literature reviews were commissioned on historical examples of scientific misinformation; the evidence surrounding echo chambers, filter bubbles, and polarisation; and the effects of information on individuals and groups. Secondly, the Society hosted various workshops and roundtables with prominent academics, fact-checking organisations, and online platforms. Finally, two surveys were commissioned – the first on people’s attitudes and behaviours towards online scientific misinformation and the second on people’s ability to detect deepfake video content. 本報告書は、この分野の第一人者で構成されるワーキンググループの指導のもと、英国王立協会の依頼による一連の活動によって作成されました。まず、科学的な誤った情報の歴史的な例、エコーチェンバー、フィルターバブル、水道水フッ化添加物をめぐる証拠、情報が個人やグループに与える影響についての文献調査が行われました。次に、著名な学者、ファクトチェック機関、オンラインプラットフォームとの間で様々なワークショップやラウンドテーブルを開催しました。最後に、2つの調査を実施しました。1つ目は、オンライン上の科学的誤報に対する人々の態度と行動について、2つ目は、人々の偽装ビデオコンテンツを検出する能力についてです。
The chapters of the report are focused on understanding and explaining essential aspects of the online information environment. They explore a broad range of topics including the ways our minds process information and how this is impacted by accessing information online; how information is generated in a digital context and the role of incentives for content production; and types of synthetic online content and their potential uses, both benign and malicious. However, there are important areas that are not covered in this report, outlined in box 1, which are part of the wider questions around trust in science, in the internet and in institutions. These include the role of traditional science communicators and the wider research community in enabling access to trustworthy information; the issue of online anonymity; and the impact that the online information environment can have on democracy and political events (eg elections). 本報告書の各章は、オンライン情報環境の重要な側面を理解し、説明することに重点を置いています。本報告書の各章では、私たちの心がどのように情報を処理しているのか、それがオンライン上の情報にアクセスすることでどのような影響を受けるのか、デジタル環境下でどのように情報が生成されるのか、コンテンツ制作におけるインセンティブの役割、合成されたオンラインコンテンツの種類と、良性・悪性を問わずそれらがどのように利用されるのかなど、幅広いトピックを取り上げています。しかし、本報告書では取り上げていない重要な分野があります。ボックス1に概要を示していますが、これらは、科学、インターネット、機関に対する信頼をめぐる幅広い問題の一部です。これらの分野には、信頼できる情報へのアクセスを可能にする、従来の科学コミュニケーターや幅広い研究コミュニティの役割、オンライン上の匿名性の問題、オンライン上の情報環境が民主主義や政治的イベント(選挙など)に与える影響などが含まれます。
Within this report, ‘scientific misinformation’ is defined as information which is presented as factually true but directly counters, or is refuted by, established scientific consensus. This usage includes concepts such as ‘disinformation’ which relates to the deliberate sharing of misinformation content. 本報告書では、「科学的に誤った情報」を、事実に基づいて提示されているが、確立された科学的コンセンサスに真っ向から反論している、あるいは反論されている情報と定義しています。この定義には、誤った情報を意図的に共有する「偽情報」などの概念も含まれます。
Key findings 主な調査結果
•            Although misinformation content is prevalent online, the extent of its impact is questionable1. For example, the Society’s survey of members of the British public2 found that the vast majority of respondents believe the COVID-19 vaccines are safe, that human activity is responsible for climate change, and that 5G technology is not harmful. The majority believe the internet has improved the public’s understanding of science, report that they are likely to fact-check suspicious scientific claims they read online and state that they feel confident to challenge their friends and family on scientific misinformation. ・誤った情報のコンテンツはネット上に蔓延しているが、その影響の大きさは疑問視されています1。例えば、本会が英国の一般市民を対象に行った調査2では、大多数の回答者がCOVID-19ワクチンの安全性、気候変動の原因は人間の活動にあること、5G技術は有害ではないことを信じていることがわかりました。また、大多数の回答者は、インターネットが科学に対する一般市民の理解を向上させたと考えており、オンラインで読んだ疑わしい科学的主張を事実確認する可能性があると報告し、科学的な誤報について友人や家族に異議を唱える自信があると述べています。
•            The existence of echo chambers (where people encounter information that reinforces their own beliefs, online and offline) is less widespread than may be commonly assumed and there is little evidence to support the filter bubble hypothesis (where algorithms cause people to only encounter information that reinforces their own beliefs)3, 4. ・エコーチェンバー(オンラインでもオフラインでも、人々が自分の信念を強化するような情報に出会うこと)の存在は、一般的に考えられているよりも広まっておらず、フィルターバブル仮説(アルゴリズムによって人々が自分の信念を強化するような情報にしか出会わなくなる)を支持する証拠はほとんどありません3, 4。
•            Uncertainty is a core aspect of scientific method, but significant dispute amongst experts can spill over to the wider public5. This can be particularly challenging when this uncertainty is prolonged, and the topic has no clear authority. This gap between uncertainty and certainty creates information ‘deserts’ online with platforms being unable to clearly guide users to trustworthy sources6. For example, during the COVID-19 pandemic, organisations such as the World Health Organization and the National Health Service were able to act as authoritative voices online. However, with topics such as 5G telecommunications, it has been more difficult for platforms to quickly identify trustworthy sources of evidence and advice. ・不確実性は科学的手法の中核を成すものですが、専門家の間で大きな論争があると、それが一般の人々にも波及してしまいます5。このような不確実性が長期化し、明確な権威がないテーマの場合には、特に困難を伴います。このような不確実性と確実性のギャップは、プラットフォームがユーザーを信頼できる情報源へと明確に導くことができず、オンライン上に情報の「砂漠」を生み出します6。例えば、COVID-19のパンデミックの際には、世界保健機関(WHO)や米国保健省(National Health Service)などの組織が、オンライン上で権威ある発言をすることができました。しかし、5G通信などのトピックでは、プラットフォームが信頼できる証拠やアドバイスの情報源を迅速に特定することが難しくなっています。
•            The concept of a single ‘anti-vax’ movement is misleading and does not represent the range of different reasons for why some people are reluctant to be vaccinated7. Those with anti-vaccination sentiments can have distinct concerns including child safety, or act not out of scepticism about the evidence, but out of distrust of governments. In addition, there are various actors involved in creating and spreading anti-vaccination material. These include political actors, particularly when a relevant event (eg a pandemic) is dominating the news cycle8, 9. ・単一の「反ワクチン」運動という概念は誤解を招く恐れがあり、ワクチン接種に消極的な人がいるさまざまな理由を表していません7。ワクチン反対派の人々は、子どもの安全性などの明確な懸念を持っていたり、証拠に対する懐疑心からではなく、政府に対する不信感から行動していたりします。さらに、反ワクチン療法の資料を作成し、広めることには様々な関係者が関わっている。その中には政治家も含まれており、特に関連する出来事(例:パンデミック)がニュースサイクルを支配している場合には、そのような行動が見られます8, 9。
•            Technology can play an important though limited role in addressing misinformation content online. In particular, it can be useful in areas such as rapid detection of harmful misinformation content. Provenance enhancing technology, which provides information on the origins of online content and how it may have been altered, shows promise and will become increasingly important as misinformation content grows more sophisticated. Even now, expertly manipulated content appears to be difficult to detect. Survey experiments conducted for this report indicates that most people struggle to identify deepfake video content even when prompted11. ・テクノロジーは、限定的ではあるが、オンライン上の誤報コンテンツに対処する上で重要な役割を果たすことができる。特に有害な誤報コンテンツを迅速に検知するなどの分野で有用です。オンライン・コンテンツの出所やどのように改変されたかについての情報を提供するプロベナンス強化技術は有望であり、誤った情報コンテンツがより洗練されたものになるにつれ,その重要性は増していくだろう。現在でも巧妙に操作されたコンテンツを検知することは難しいようです。本報告書のために実施した調査実験によると、ほとんどの人は促されても偽物のビデオコンテンツを見分けることができないという結果が出ています11。
•            Incentives for content production and consumption are the most significant factor to consider when evaluating the online information environment. These incentives can occur on a macro and micro level (affecting both platforms and individual users) and have been described in this report as content which exists for public benefit (eg helping others) or private benefit (eg generating financial profit). ・コンテンツの制作と消費に対するインセンティブは、オンライン情報環境を評価する際に考慮すべき最も重要な要素です。これらの誘因は、マクロ的にもミクロ的にも(プラットフォームと個々のユーザーの両方に影響を与える)発生する可能性があり、本報告書では、公共の利益(例:人助け)または私的な利益(例:金銭的な利益を得る)のために存在するコンテンツとして説明しています。
 Understanding how to mitigate the role of these incentives in the spread of misinformation content requires further consideration on the economic and legal aspects of the online information environment.  誤った情報のコンテンツの拡散におけるこれらのインセンティブの役割を軽減する方法を理解するには、オンライン情報環境の経済的・法的側面についてさらに検討する必要があります。
1.           Cabrera Lalinde I. 2021 How misinformation affected the perception of vaccines in the 20th century based on the examples of polio, pertussis and MMR vaccines. The Royal Society. See https://royalsociety.org/topics-policy/projects/ online-information-environment 1.           Cabrera Lalinde I. 2021 ポリオ、百日咳、MMRワクチンの例に基づいて、20世紀に誤報がワクチンの認識にどのように影響したか。The Royal Society. 参照 https://royalsociety.org/topics-policy/projects/ online-information-environment
2.           85% consider the Pfizer-BioNTech vaccine to be safe. AstraZeneca = 80%, Moderna = 74%. 4-5% believe the vaccines are ‘not at all safe’. Royal Society / YouGov, July 2021. 2.           85%がファイザー・バイオンテック社のワクチンを安全と考えている。アストラゼネカ社=80%、モデナ社=74%。4-5%がワクチンは「全く安全ではない」と考えている。英国王立協会/YouGov、2021年7月。
3.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021 Echo chambers, filter bubbles, and polarisation.  The Royal Society. See https://royalsociety.org/topics-policy/projects/online-information-environment 3.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021年 エコーチェンバー、フィルターバブル、ポラリゼーション。 The Royal Society. https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
4.           Röttger P, Vedres B. The Information Environment and its Effects on Individuals and Groups. The Royal Society.  See https://royalsociety.org/topics-policy/projects/online-information-environment 4.           Röttger P, Vedres B. The Information Environment and its Effects on Individuals and Groups. The Royal Society(英国王立協会)。 https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
5.           Royal Society roundtable on Telecommunications and Misinformation, November 2020. 5.           Royal Society roundtable on Telecommunications and Misinformation, November 2020.
6.           Royal Society roundtable with Major Technology Organisations, March 2021. 6.           Royal Society roundtable with Major Technology Organisations(王立協会の円卓会議)、2021年3月。
7.           Royal Society workshop on Vaccines and Misinformation, July 2020. 7.           Royal Society workshop on Vaccines and Misinformation, July 2020.
8.           Royal Society workshop on Horizon Scanning and Scientific Misinformation, March 2021. 8.           王立協会ワークショップ「Horizon Scanning and Scientific Misinformation」、2021年3月。
9.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021 Echo chambers, filter bubbles, and polarisation.  The Royal Society. See https://royalsociety.org/topics-policy/projects/online-information-environment 9.           Arguedas A, Robertson C, Fletcher R, Nielsen R. 2021 Echo chambers, filter bubbles, and polarisation.  The Royal Society(英国王立協会)。https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
10.         Royal Society roundtable with Major Technology Organisations, March 2021. 10.         Royal Society roundtable with Major Technology Organisations, March 2021.
11.         Lewis A, Vu P, Duch R. 2021 Deepfake detection and content warnings: Evidence from two experiments.  The Royal Society. See https://royalsociety.org/topics-policy/projects/online-information-environment 11.         Lewis A, Vu P, Duch R. 2021年 Deepfakeの検出とコンテンツの警告。Evidence from two experiments.  The Royal Society(英国王立協会)。https://royalsociety.org/topics-policy/projects/online-information-environment を参照。
Recommendations 提言
AREA FOR ACTION: PROTECTING ONLINE SAFETY  行動分野:オンラインの安全性を守る 
RECOMMENDATION 1 提言 1
As part of its online harms strategy, the UK Government must combat misinformation which risk societal harm as well as personalised harm, especially when it comes to a healthy environment for scientific communication. 英国政府は、オンライン上の有害性戦略の一環として、特に科学的コミュニケーションのための健全な環境に関して、個人的な有害性だけでなく、社会的な有害性をもたらす危険性のある誤った情報と闘わなければならない。
RECOMMENDATION 2 提言 2
Governments and social media platforms should not rely on content removal as a solution to online scientific misinformation. 政府とソーシャルメディア・プラットフォームは、オンラインでの科学的誤報の解決策として、コンテンツの削除に頼ってはならない。
RECOMMENDATION 3 提言 3
To support the UK’s nascent fact-checking sector, programmes which foster independence and financial sustainability are necessary. To help address complex scientific misinformation content and ‘information deserts’, fact checkers could highlight areas of growing scepticism or dispute, for deeper consideration by organisations with strong records in carrying out evidence reviews, such as the UK’s national academies and learned societies. 英国で生まれたばかりのファクトチェック部門を支援するためには、独立性と財政的な持続可能性を育成するプログラムが必要である。複雑な科学的誤報コンテンツや「情報砂漠」に対処するために、ファクトチェッカーは、懐疑的な意見や論争が高まっている分野を強調し、英国の国立アカデミーや学識経験者協会など、エビデンスレビューの実施に実績のある組織による検討を深めることができる。
RECOMMENDATION 4 提言 4
Ofcom must consider interventions for countering misinformation beyond high-risk, high-reach social media platforms. Ofcomは、高リスク・高リーチのソーシャルメディア・プラットフォーム以外の誤報に対抗するための介入方法を検討しなければならない。
RECOMMENDATION 5 提言 5
Online platforms and scientific authorities should consider designing interventions for countering misinformation on private messaging platforms. オンラインプラットフォームと科学的な当局は、プライベートメッセージングプラットフォーム上の誤報に対抗するための介入策を検討すべきである。
RECOMMENDATION 6 提言 6
Social media platforms should establish ways to allow independent researchers access to data in a privacy compliant and secure manner. ソーシャルメディアプラットフォームは、独立した研究者がプライバシーに準拠した安全な方法でデータにアクセスできるようにする方法を確立すべきである。
RECOMMENDATION 7 提言 7
Focusing solely on the needs of current online platforms risks a repetition of existing problems, as new, underprepared, platforms emerge and gain popularity. To promote standards and guide startups, interested parties need to collaborate to develop examples of best practice for countering misinformation as well as datasets, tools, software libraries, and standardised benchmarks. 現在のオンラインプラットフォームのニーズのみに焦点を当てると、準備不足の新しいプラットフォームが出現し、人気を博したときに、既存の問題が繰り返される危険性があります。標準化を進め、新興企業を導くためには、関係者が協力して、誤報対策のベストプラクティスの例や、データセット、ツール、ソフトウェアライブラリ、標準化されたベンチマークなどを開発する必要がある。
RECOMMENDATION 8 提言 8
Governments and online platforms should implement policies that support healthy and sustainable media plurality. 政府とオンラインプラットフォームは、健全で持続可能なメディアの多元性を支える政策を実施すべきである。
RECOMMENDATION 9 提言 9
The UK Government should invest in lifelong, nationwide, information literacy initiatives. 英国政府は、生涯にわたる、全国的な情報リテラシーの取り組みに投資すべきである。
RECOMMENDATION 10 提言 10
Academic journals and institutions should continue to work together to enable open access publishing of academic research. 学術雑誌と機関は、学術研究のオープンアクセス出版を可能にするために協力を続けるべきである。
RECOMMENDATION 11 提言 11
The frameworks governing electronic legal deposit should be reviewed and reformed to allow better access to archived digital content. 電子的な法的寄託を管理する枠組みを見直し、アーカイブされたデジタルコンテンツへのより良いアクセスを可能にするための改革を行うべきである。

| | Comments (0)

2022.01.25

NIST FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)

こんにちは、丸山満彦です。

NISTがFIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)を発行しましたね。。。

● NIST -ITL

・2022.01.24 (news) 

NIST Updates FIPS 201 Personal Identity Credential Standard NIST、個人認証基準FIPS 201を更新
The standard now goes beyond physical ID cards to include electronic tokens and one-time passwords. 物理的なIDカードだけでなく、電子トークンやワンタイムパスワードも含まれるようになりました。
NIST has increased the number of acceptable types of credentials that federal agencies can permit as official digital identity, part of the latest update to Federal Information Processing Standard (FIPS) 201. NISTは、Federal Information Processing Standard (FIPS) 201の最新の更新の一環として、連邦機関が公的なデジタル・アイデンティティとして許可できるクレデンシャルの種類を増やしました。
To ensure that federal employees have a broader set of modern options for accessing facilities and electronic resources, the National Institute of Standards and Technology (NIST) has increased the number of acceptable types of credentials that federal agencies can permit as official digital identity. 米国国立標準技術研究所(NIST)は、連邦政府職員が施設や電子リソースにアクセスする際の選択肢を広げるために、連邦政府機関が公式のデジタル・アイデンティティとして認められる認証情報の種類を増やしました。
The increase is part of the latest update to Federal Information Processing Standard (FIPS) 201, which specifies the credentials that can be used by federal employees and contractors to access federal sites. The update, formally titled FIPS 201-3: Personal Identity Verification (PIV) of Federal Employees and Contractors, also allows for remote identity proofing and issuing, in addition to doing so in-person as was previously required.  この増加は、連邦政府の職員や契約者が連邦政府のサイトにアクセスする際に使用できる認証情報を規定した連邦情報処理基準(FIPS)201の最新の更新の一環として行われたものです。正式名称を「FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)」とするこの更新では、これまで必要とされていた対面での認証に加えて、リモートでのID認証および発行も可能になりました。 
“We have expanded the set of credentials that can be used for gaining access to federal facilities and also for logging onto workstations and other IT resources,” said Hildegard Ferraiolo, a NIST computer scientist. “It’s not all about PIV cards anymore.” NISTのコンピュータ・サイエンティストであるヒルデガード・フェライオロ氏は、「連邦施設へのアクセスや、ワークステーションなどのITリソースへのログオンに使用できる認証情報の種類が増えました。もはやPIVカードがすべてではありません」と述べています。
The preceding FIPS standard, version 201-2, came out in 2013 and specified credentials embedded on PIV cards as the primary means for authentication, with limited exceptions for credentials designed for mobile devices that lacked PIV card readers. Millions of PIV cards have been issued to federal employees.  前回のFIPS標準であるバージョン201-2は2013年に発表され、PIVカードに埋め込まれたクレデンシャルを主要な認証手段として規定していましたが、PIVカード・リーダーを持たないモバイル機器用に設計されたクレデンシャルについては限定的な例外がありました。PIVカードは、連邦政府職員に何百万枚も発行されています。 
The 201-3 update, the result of a regular review cycle, still specifies that PIV cards can be used but now offers additional options. It keeps the standard aligned with the most recent federal policies, including the Office of Management and Budget’s Memorandum M-19-17 on identity, credential and access management. It also ensures that the standard reflects current technological capabilities and needs, Ferraiolo said. 「定期的な見直しサイクルの結果である 201-3 の更新は、PIV カードの使用を引き続き規定していますが、追加のオプションを提供しています。これにより、ID、クレデンシャルおよびアクセス管理に関する Office of Management and Budget's Memorandum M-19-17 などの最新の連邦政策に沿った規格が維持されます。また、現在の技術的な能力やニーズを反映した規格であることも確認しています」とフェライオロ氏は述べています。
“It has become important to provide more flexibility to agencies in choosing credentials to use for authentication,” she said. “Not all laptop computers are available with built-in PIV card slots, for example, and often, there are cloud-based applications that don’t use public-key infrastructure that PIV cards provide. For these situations we need alternatives.” 彼女は、「認証に使用するクレデンシャルを選択する際に、各政府機関に柔軟性を持たせることが重要になっています。例えば、すべてのラップトップ・コンピュータにPIVカード・スロットが内蔵されているわけではありませんし、PIVカードが提供する公開鍵基盤を使用しないクラウドベースのアプリケーションもよくあります。このような状況では、代替手段が必要です」と述べています。
The new options are a subset of credentials that are specified in NIST SP 800-63-3, a multivolume publication on digital identity. Branches of the government will have a richer set of multifactor credentials for different devices — including, for example, FIDO (Fast ID Online) tokens and one-time passwords (OTP). この新しいオプションは、デジタル・アイデンティティに関する複数の出版物であるNIST SP 800-63-3に規定されている資格情報のサブセットです。政府の各省庁は、例えばFIDO(Fast ID Online)トークンやワンタイムパスワード(OTP)など、さまざまなデバイスに対応した多要素認証情報をより豊富に持つことになります。
With the revision milestone now complete, the focus for NIST has shifted to providing additional guidelines and implementation details, Ferraiolo said. NIST is currently in the process of updating guidelines for the expanded set of PIV credentials in Revision 1 of NIST SP 800-157. Additionally, to ensure that different credentials are interoperable across different agencies, a concept known as “federation,” NIST will provide guidelines in NIST SP 800-217. 改訂のマイルストーンが完了したことで、NISTの焦点は、追加のガイドラインと実装の詳細を提供することに移ったと、フェライオロ氏は述べています。NISTは現在、NIST SP 800-157の改訂版1に掲載されている、拡張されたPIVクレデンシャルのガイドラインを更新しているところです。さらに、「フェデレーション」として知られる概念である、異なる機関間での異なるクレデンシャルの相互運用性を確保するために、NISTはNIST SP 800-217でガイドラインを提供する予定です。
Ferraiolo said these and other NIST publications associated with FIPS 201-3 would be updated in coming months.  フェライオロ氏は、FIPS 201-3に関連するこれらのNISTの出版物およびその他のNISTの出版物は、今後数ヶ月のうちに更新されるだろうと述べています。 
For more information, see the complete FIPS update, which is available online. 詳細については、オンラインで公開されているFIPSアップデートの全文をご覧ください。

 

・2022.01.24 (publication) FIPS 201-3 Personal Identity Verification (PIV) of Federal Employees and Contractors

FIPS 201-3 Personal Identity Verification (PIV) of Federal Employees and Contractors FIPS 201-3 連邦職員および委託業者のアイデンティティの検証(PIV)
Abstract 概要
This document establishes a standard for a Personal Identity Verification (PIV) system that meets the control and security objectives of Homeland Security Presidential Directive-12. It is based on secure and reliable forms of identity credentials issued by the Federal Government to its employees and contractors. These credentials are used by mechanisms that authenticate individuals who require access to federally controlled facilities, information systems, and applications. This Standard addresses requirements for initial identity proofing, infrastructure to support interoperability of identity credentials, and accreditation of organizations and processes issuing PIV credentials. 本文書は、国土安全保障大統領指令 12 号の管理およびセキュリティ目標を満たすアイデンティティの検証 (PIV)システムの標準を確立するものである。これは、連邦政府がその職員および委託業者に発行する安全で信頼できる形態の ID クレデンシャルに基づいている。これらのクレデンシャルは、連邦政府が管理する施設、情報システム、およびアプリケーシンへのアクセスを必要とする個人を認証するメカニズムで使用される。この規格は、初期の ID 証明の要件、ID クレデンシャルの相互運用性をサポートするイン フラ、および PIV クレデンシャルを発行する組織およびプロセスの認定を扱っている。

 

・[PDF] FIPS 201-3

20220125-60421

1. Introduction  1. 序章
1.1 Purpose  1.1 目的
1.2 Scope  1.2 範囲
1.3 Change Management  1.3 変更管理
1.3.1 Backward Compatible Change  1.3.1 下位互換性のある変更
1.3.2 Backward Incompatible Change  1.3.2 下位互換性のない変更
1.3.3 New Features  1.3.3 新機能
1.3.4 Deprecated and Removed Features  1.3.4 非推奨および削除された機能
1.3.5 FIPS 201 Version Management  1.3.5 FIPS 201 バージョン管理
1.3.6 Section Number Stability  1.3.6 セクション番号安定性
1.4 Document Organization  1.4 文書構成
2. Common Identification, Security, and Privacy Requirements  2. 一般的な識別、セキュリティ、およびプライバシーの要件
2.1 Control Objectives  2.1 統制目標
2.2 Credentialing Requirements  2.2 資格要件
2.3 Biometric Data Collection for Background Investigations  2.3 身元調査のための生体データ収集
2.4 Biometric Data Collection for PIV Card  2.4 PIVカードのための生体データ収集
2.5 Biometric Data Use  2.5 生体データの利用
2.6 PIV Enrollment Records  2.6 PIV登録記録
2.7 PIV Identity Proofing and Registration Requirements  2.7 PIV本人確認および登録要件
2.7.1SupervisedRemoteIdentityProofing  2.7.1 監督下の遠隔ID証明
2.8 PIV Card Issuance Requirements  2.8 PIVカードの発行要件
2.8.1 Special Rule for Pseudonyms  2.8.1 仮名のための特別なルール
2.8.2 Grace Period  2.8.2 猶予期間
2.8.3 Remote Issuance  2.8.3 遠隔発行 
2.9 PIV Card Maintenance Requirements  2.9 PIVカードのメンテナンス要件
2.9.1 PIV Card Reissuance Requirements  2.9.1 PIVカードの再発行要件
2.9.2 PIV Card Post-Issuance Update Requirements  2.9.2 PIVカード発行後の更新要件
2.9.3 PIV Card Activation Reset  2.9.3 PIVカードのアクティベーションリセット
2.9.4 PIV Card Termination Requirements  2.9.4 PIVカードの解約条件
2.10 Derived PIV Credentials  2.1 派生PIVクレデンシャル
2.10.1 Derived PIV Credential Issuance Requirements  2.10.1 派生PIVクレデンシャル発行要件
2.10.2 Derived PIV Credential Invalidation Requirements  2.10.2 派生PIVクレデンシャル無効化要件
2.10.3 Derived PIV Credential Reissuance and Update Requirements 2.10.3 派生 PIV クレデンシャルの再発行および更新の要件
2.11 PIV Privacy Requirements 2.11 PIVプライバシーの要件
3. PIV System Overview 3. PIVシステムの概要
3.1 Functional Components 3.1 機能部品
3.1.1 PIV Front-End Subsystem 3.1.1  PIVフロントエンドサブシステム
3.1.2 PIV Issuance and Management Subsystem 3.1.2  PIV発行管理サブシステム
3.1.3 PIV Relying Subsystem 3.1.3  PIV依存サブシステム
3.2vPIV Card Lifecycle Activities 3.2 PIVカードのライフサイクル活動
3.3 Connections Between System Components 3.3 システムコンポーネント間の接続
4. PIV Front-End Subsystem 4. PIVフロントエンドサブシステム
4.1vPIVvCardPhysicalCharacteristics 4.1 PIVカードの物理的特性
4.1.1vPrintedMaterial 4.1.1  印刷素材
4.1.2vTamper-proofingandResistance 4.1.2  いたずら防止と耐性
4.1.3 Physical Characteristics and Durability 4.1.3  物理的特性と耐久性
4.1.4 Visual Card Topography 4.1.4  ビジュアルカードトポグラフィー
4.1.5 Color Representation 4.1.5  色規定
4.2 PIV Card Logical Characteristics 4.2 PIVカードの論理的特性
4.2.1 Cardholder Unique Identifier 4.2.1  カード所有者の一意の識別子
4.2.2 Cryptographic Specifications 4.2.2  暗号仕様
4.2.3 Biometric Data Specifications 4.2.3  生体データの仕様
4.2.4 PIV Unique Identifiers 4.2.4  PIVユニーク識別子
4.3 PIV Card Activation 4.3 PIVカードのアクティベーション
4.3.1 Activation by Cardholder 4.3.1  カード所有者によるアクティベーション
4.3.2 Activation by Card Management System 4.3.2  カード管理システムによるアクティベーション
4.4 Card Reader Requirements 4.4 カードリーダーの要件
4.4.1 Contact Reader Requirements 4.4.1  連絡先リーダーの要件
4.4.2 Contactless Reader Requirements 4.4.2  非接触型リーダーの要件
4.4.3 Reader Interoperability 4.4.3  リーダーの相互運用性
4.4.4 Card Activation Device Requirements 4.4.4  カードアクティベーションデバイスの要件
5. PIV Key Management Requirements 5. PIV キーマネジメントの要件
5.1 Architecture 5.1 アーキテクチャ
5.2 PKI Certificate 5.2 PKI証明書
5.2.1 X.509 Certificate Contents 5.2.1 X.509 証明書の内容
5.3 X.509 Certificate Revocation List Contents 5.3 X.509 証明書失効リスト 目次
5.4 Legacy PKIs 5.4 レガシーPKI
5.5 PKI Repository and Online Certificate Status Protocol Responders 5.5 PKI リポジトリとオンライン証明書ステータスプロトコルのレスポンダ
5.5.1 Certificate and CRL Distribution 5.5.1 証明書とCRLの配布
5.5.2 OCSP Status Responders 5.5.2 OCSPのステータス対応
6. PIV Cardholder Authentication 6. PIVカード所有者認証
6.1 PIV Assurance Levels 6.1 PIV保証レベル
6.1.1 Relationship to Federal Identity Policy 6.1.1 連邦政府のアイデンティティポリシーとの関係
6.2 PIV Card Authentication Mechanisms 6.2 PIVカード認証の仕組み
6.2.1 Off-Card Biometric One-to-One Comparison 6.2.1 オフカード生体認証マンツーマン比較
6.2.2 On-Card Biometric One-to-One Comparison 6.2.2 オンカード生体認証マンツーマン比較
6.2.3 PIV Asymmetric Cryptography 6.2.3 PIV非対称暗号
6.2.4 Symmetric Card Authentication Key 6.2.4 対称カード認証キー
6.2.5 CHUID 6.2.5 CHUID
6.2.6 PIV Visual Credentials 6.2.6 PIVビジュアルクレデンシャル
6.3 PIV Support of Graduated Authenticator Assurance Levels 6.3 PIVによる段階的な認証機能の保証レベルのサポート
6.3.1 Physical Access 6.3.1 物理的アクセス
6.3.2 Logical Access 6.3.2 論理的アクセス
7. Federation Considerations for PIV 7. PIVのためのフェデレーションの考慮
7.1 ConnectingPIVtoFederation 7.1 PIVとフェデレーションの接続
7.2 Federation Assurance Level 7.2 フェデレーション保証レベル
7.3 Benefits of Federation 7.3 フェデレーションのメリット
Appendix A. PIV Validation, Certification, and Accreditation 附属書 A PIVバリデーション、認証、認定
A.1 Accreditation of PIV Card Issuers and Derived PIV Credential Issuers A.1 PIV カード発行者および派生 PIV クレデンシャル発行者の認定
A.2 Application of Risk Management Framework to IT Systems A.2 リスクマネジメントフレームワークのITシステムへの適用
A.3 Conformance Testing of PIV Card Application and Middleware A.3 PIVカードアプリケーションとミドルウェアの適合性テスト
A.4 Cryptographic Testingand Validation A.4 暗号テストと検証
A.5 FIPS 201 Evaluation Program A.5 FIPS 201 評価プログラム
Appendix B. PIV Object Identifiers and Certificate Extension 附属書 B PIV オブジェクト識別子と証明書拡張
B.1 PIV Object Identifiers B.1 PIV オブジェクト識別子
B.2 PIV Background Investigation Indicator Certificate Extension B.2 PIV身元調査指標証明書の延長
Appendix C. Glossary of Terms, Acronyms, and Notations 附属書 C 用語集・略語・表記法
C.1 Glossary of Terms C.1 用語集
C.2 Acronyms and Abbreviations C.2 略語と略語
C.3 Notations C.3 記法
Appendix D. References 附属書 D 参考文献
Appendix E. Revision History 附属書 E 改訂履歴

 

 

Supplemental Material:

パブリックコメント版からの変更点

Summary of Changes 変更点の概要
FIPS 201-3 addresses the comments received during the public comment period in November 2020. High level changes include: FIPS 201-3は、2020年11月のパブリックコメント期間に寄せられたコメントに対応しています。変更点の概要は以下の通りです。
・Alignment with current NIST technical guidelines on identity management, OMB policy guidelines, and changes in commercially available technologies and services ・アイデンティティ管理に関する現行の NIST 技術ガイドライン、OMB 政策ガイドライン、および商業的に 利用可能な技術とサービスの変化との整合性
・Accommodation of additional types of authenticators through an expanded definition of derived PIV credentials ・派生する PIV クレデンシャルの定義を拡大することにより、追加のタイプの認証機関への対応
・Focus on the use of federation to facilitate interoperability and interagency trust ・相互運用性および省庁間の信頼を促進するためのフェデレーションの使用に重点を置くこと
・Addition of supervised remote identity proofing processes ・監督されたリモート ID 証明プロセスの追加
・Removal of the previously deprecated Cardholder Unique Identifier (CHUID) authentication mechanism and deprecation of the symmetric card authentication key and visual authentication mechanisms (VIS) ・以前に廃止されたカード所有者固有識別子(CHUID)認証メカニズムの削除、対称カード認証キーおよび視覚的認証メカニズム(VIS)の廃止
・Support for the secure messaging authentication mechanism (SM-AUTH) ・セキュアメッセージング認証メカニズム(SM-AUTH)のサポート

 

Related NIST Publications:


 

まるちゃんの情報セキュリティ気まぐれ日記

パブコメ...

・2020.11.05 NIST FIPS 201-3 (Draft) Personal Identity Verification (PIV) of Federal Employees and Contractors 連邦政府職員および委託業者の個人認証(PIV)について

 

関連文書のドラフトなど...

・2021.06.17 NISTIR 8335 (Draft) 公共安全機関 (PSO) のためのIDaaS

・2021.06.11 NISTIR 8336 (Draft) 公共安全コミュニティのためのID連携技術の背景

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

 

 

| | Comments (0)

2022.01.24

米国 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

こんにちは、丸山満彦です。

バイデン大統領は、国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書に署名をしましたね。。。

 

● White House

・2022.01.19 Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems

 

Memorandum on Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems 国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書
NATIONAL SECURITY MEMORANDUM/NSM-8 国家安全保障メ覚書/NSM-8
MEMORANDUM FOR THE VICE PRESIDENT 副大統領のための覚書
               THE SECRETARY OF STATE                国務長官
               THE SECRETARY OF THE TREASURY                財務長官
               THE SECRETARY OF DEFENSE                国防長官
               THE ATTORNEY GENERAL                司法長官
               THE SECRETARY OF COMMERCE                商務長官
               THE SECRETARY OF ENERGY                エネルギー庁長官
               THE SECRETARY OF HOMELAND SECURITY                国土安全保障省長官
               THE DIRECTOR OF THE OFFICE OF MANAGEMENT AND BUDGET                管理・予算局長官
               THE DIRECTOR OF NATIONAL INTELLIGENCE                国家情報長官
               THE DIRECTOR OF THE CENTRAL INTELLIGENCE AGENCY                中央情報局長官
               THE ASSISTANT TO THE PRESIDENT FOR NATIONAL SECURITY AFFAIRS                大統領補佐官(国家安全保障問題担当
               THE COUNSEL TO THE PRESIDENT                大統領顧問
               THE ASSISTANT TO THE PRESIDENT AND HOMELAND SECURITY ADVISOR AND DEPUTY NATIONAL SECURITY ADVISOR                大統領補佐兼国土安全保障担当顧問および国家安全保障担当副顧問
               THE NATIONAL CYBER DIRECTOR                国家サイバー長官
               THE DIRECTOR OF THE NATIONAL SECURITY AGENCY                国家安全保障局長官
               THE DIRECTOR OF THE FEDERAL BUREAU OF INVESTIGATION                連邦捜査局長官
               THE DIRECTOR OF THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY                サイバーセキュリティ・インフラセキュリティ庁長官
               THE CHIEF INFORMATION OFFICER OF THE INTELLIGENCE COMMUNITY                情報コミュニティの最高情報責任者
SUBJECT:       Improving the Cybersecurity of National Security, Department of Defense, and Intelligence Community Systems 件名:国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティの改善
This memorandum sets forth requirements for National Security Systems (NSS) that are equivalent to or exceed the cybersecurity requirements for Federal Information Systems set forth within Executive Order 14028 of May 12, 2021 (Improving the Nation’s Cybersecurity), and establishes methods to secure exceptions for circumstances necessitated by unique mission needs.  Executive Order 14028 establishes that the Federal Government must improve its efforts to identify, deter, protect against, detect, and respond to malicious cyber campaigns and their actors through bold changes and significant investments in cybersecurity.  This memorandum establishes and clarifies additional authority and responsibilities of the Director of the National Security Agency (NSA) in connection with the National Manager responsibilities for NSS assigned to the Director of the NSA by National Security Directive 42 of July 5, 1990 (National Policy for the Security of National Security Telecommunications and Information Systems) (NSD-42), Executive Order 12333 of December 4, 1981, as amended (United States Intelligence Activities), and Executive Order 14028. 本覚書は、国家安全保障システム(NSS)について、2021年5月12日付の大統領令14028(国家のサイバーセキュリティ向上)で定められた連邦情報システムのサイバーセキュリティ要件と同等以上の要件を定め、固有のミッションニーズによって必要とされる状況のために例外を確保する方法を確立するものである。  大統領令14028は、連邦政府が、サイバーセキュリティへの大胆な変化と多額の投資を通じて、悪意のあるサイバーキャンペーンとその行為者の特定、抑止、防御、検知、対応の取り組みを改善しなければならないことを定めている。  本覚書は、1990年7月5日付の国家安全保障指令42(国家安全保障通信情報システムのセキュリティのための国家政策)(NSD-42)、1981年12月4日付の大統領令12333の改正(米国の諜報活動)、および大統領令14028によってNSA長官に割り当てられたNSSの国家管理者責任に関連して、国家安全保障局(NSA)長官の追加権限と責任を確立し、明確にするものである。
Consistent with Executive Order 14028, NSS shall include those systems defined as NSS in 44 U.S.C. 3552(b)(6) as well as all other Department of Defense and Intelligence Community systems, as described in 44 U.S.C. 3553(e)(2) and 3553(e)(3). 大統領令 14028 に従い、NSS には、44 U.S.C. 3552(b)(6)で NSS と定義されているシステムのほか、44 U.S.C. 3553(e)(2)および 3553(e)(3)に記載されているその他すべての国防総省および情報コミュニティのシステムが含まれるものとする。
     Section 1.  Implementation of Executive Order 14028 for National Security Systems.       第1条  国家安全保障システムに対する大統領令14028の実施  
     (a)  Sections 1 and 2 of Executive Order 14028 shall apply in their entirety to NSS, except that the authorities exercised by the Director of the Office of Management and Budget and the Secretary of Homeland Security in section 2 shall be exercised by the National Manager with respect to NSS.      (a) 大統領令14028の第1条と第2条は、第2条で行政管理予算局長官と国土安全保障長官が行使した権限を、NSSに関しては国家管理者が行使することを除き、NSSに全面的に適用されるものとする。
     (b)  Consistent with section 3 of Executive Order 14028:      (b) 大統領令14028の第3条に準拠している。
          (i)    Within 90 days of the date of this memorandum, the Committee on National Security Systems (CNSS) shall develop and publish guidance, in addition to CNSS Instruction (CNSSI) 1253, regarding minimum security standards and controls related to cloud migration and operations for NSS, taking into account migration steps that the National Institute of Standards and Technology (NIST) within the Department of Commerce has outlined in standards and guidance.           (i) 本覚書の日付から90日以内に、国家安全保障システム委員会(CNSS)は、CNSS命令(CNSSI)1253に加えて、商務省内の国立標準技術研究所(NIST)が基準やガイダンスで概説している移行手順を考慮して、NSSのクラウド移行と運用に関連する最低限のセキュリティ基準と管理に関するガイダンスを策定し、公表する。
          (ii)   Within 60 days of the date of this memorandum, the head of each executive department or agency (agency) that owns or operates an NSS shall, consistent with its statutory authority:           (ii)この覚書の日付から60日以内に、NSSを所有または運用する各行政省庁(機関)の長は、その法的権限に沿って、以下のことを行わなければならない。
               (A)  update existing agency plans to prioritize resources for the adoption and use of cloud technology, including adoption of Zero Trust Architecture as practicable;                (A) ゼロトラストアーキテクチャの採用を含め、クラウド技術の採用と使用のためのリソースを優先するために、既存の省庁計画を更新する。
               (B)  develop a plan to implement Zero Trust Architecture, which shall incorporate, as appropriate:                (B)ゼロトラストアーキテクチャを実施するための計画を策定し、必要に応じてこれを取り入れる。
                     (1)  NIST Special Publication 800-207 Guidance (Zero Trust Architecture);                      (1) NIST SP 800-207 ゼロトラストアーキテクチャ ガイダンス
                     (2)  CNSS instructions on Zero Trust Reference Architectures; and                      (2) ゼロトラスト・リファレンス・アーキテクチャーに関するCNSSの指示
                     (3)  Other relevant CNSS instructions, directives, and policies regarding enterprise architectures, insider threats, and access management; and                      (3) エンタープライズ・アーキテクチャ、インサイダー脅威、アクセス管理に関する、その他の関連するCNSSの指示、指令、政策
               (C)  provide a report to the CNSS and National Manager discussing the plans required pursuant to section 1(b)(ii)(A) and (B) of this memorandum.                (C) 本覚書の第1条(b)(ii)(A)および(B)に従って要求される計画について、CNSSおよび国家管理者に報告書を提出する。
          (iii)  Within 180 days of the date of this memorandum, agencies shall implement multifactor authentication and encryption for NSS data-at-rest and data-in-transit.  In those instances where the head of an agency determines the agency is unable to implement these measures, the head of the agency shall authorize an exception pursuant to the process provided in section 3 of this memorandum.           (iii) 本覚書の日付から180日以内に、各省庁は、NSSのデータの保存先と転送中のデータに対して、多要素認証と暗号化を実施しなければならない。  省庁の長がこれらの手段を実施できないと判断した場合には、省庁の長は本覚書の第3条に規定されたプロセスに従って例外を承認するものとする。
          (iv)   To ensure widespread cryptographic interoperability among NSS, all agencies shall use NSA‑approved, public standards-based cryptographic protocols.  If mission-unique requirements preclude the use of public standards-based cryptographic protocols, NSA-approved mission unique protocols may be used.  An agency shall not authorize new systems to operate that do not use approved encryption algorithms and implementations, absent an exception authorized by the head of an agency pursuant to section 3 of this memorandum.           (iv) NSS間の広範な暗号の相互運用性を確保するために、すべての省庁はNSAが承認した公的標準に基づく暗号プロトコルを使用するものとする。  ミッション固有の要件により、公的な標準ベースの暗号プロトコルの使用が不可能な場合は、NSA承認のミッション固有のプロトコルを使用することができる。  省庁は、この覚書の第3条省庁に従って省庁の長が承認した例外がない限り、承認された暗号アルゴリズムと実装を使用しない新しいシステムの運用を許可してはならない。
               (A)  Within 30 days of the date of this memorandum, the NSA shall review CNSS Policy 15 and provide to CNSS any updates or modifications regarding the approved list of commercial national security algorithms (CNSA).                (A) 本覚書の日付から30日以内に、NSAはCNSSポリシー15をレビューし、商業国家安全保障アルゴリズム(CNSA)の承認リストに関する更新または修正をCNSSに提供する。
               (B)  Within 60 days of the date of this memorandum, the NSA shall revise and make available to Chief Information Officers the CNSS Advisory Memorandum 01-07 (Information Assurance Cryptographic Equipment Modernization) and any associated enclosures and relevant references regarding modernization planning, use of unsupported encryption, approved mission unique protocols, quantum resistant protocols, and planning for use of quantum resistant cryptography where necessary.                (B) 本覚書の日付から60日以内に、NSAは、CNSS アドバイザリー・メモランダム 01-07(情報保証用暗号機器の近代化)と、近代化計画、サポートされていない暗号の使用、承認されたミッション固有のプロトコル、耐量子性プロトコル、および必要に応じて耐量子性暗号の使用計画に関する関連する同封物および関連文献を改訂し、最高情報責任者が利用できるようにする。
               (C)  Within 90 days of the date of this memorandum, CNSS shall identify and prioritize for update all cryptographic-related policies, directives, and issuances, and CNSS shall provide to the Secretary of Defense, the Director of National Intelligence, and the National Manager a timeline, not to exceed 6 months, for the re-issuance of these policies, as appropriate.                (C)本覚書の日付から90日以内に、CNSSは、すべての暗号関連の政策、指令、発行物を特定し、更新の優先順位をつけなければならず、CNSSは、必要に応じて、これらの政策の再発行のための6か月を超えないスケジュールを、国防長官、国家情報長官、および国家管理者に提供しなければならない。
               (D)  Within 180 days of the date of this memorandum, agencies shall identify any instances of encryption not in compliance with NSA-approved Quantum Resistant Algorithms or CNSA, where appropriate in accordance with section 1(b)(iv)(A) and (B) of this memorandum, and shall report to the National Manager, at a classification level not to exceed TOP SECRET//SI//NOFORN:                (D) 本覚書の日付から180日以内に、各省庁は、本覚書の第1条(b)(iv)(A)(B)に従って適切な場合には、NSAが承認した耐量子アルゴリズムまたはCNSAに準拠していない暗号化の事例を特定し、TOP SECRET//SI//NOFORNを超えない分類レベルで、国家管理者に報告しなければならない。
                     (1)  systems where non-compliant encryption is being used, to include those operating under an existing waiver or exception;                      (1) 非準拠の暗号化が使用されているシステム(既存の免除または例外の下で運用されているものを含む)。
                     (2)  a timeline to transition these systems to use compliant encryption, to include quantum resistant encryption; and                      (2)これらのシステムを、耐量子暗号を含む準拠した暗号化に移行するためのスケジュール。
                     (3)  any exception from transition to compliant encryption, pursuant to section 3 of this memorandum, which shall additionally be reviewed by the National Manager and reported quarterly to the Secretary of Defense and the Director of National Intelligence for the systems within their respective jurisdictions.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.                      (3) 本覚書の第3条に基づく、準拠した暗号化への移行に関する例外措置。この例外措置は、さらに国家管理者によって検討され、それぞれの管轄区域内のシステムについて、四半期ごとに国防長官と国家情報長官に報告される。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、共有リスクが共同で決定された場合、他の関連省庁を含めることができる。
          (v)    Within 90 days of the date of this memorandum, the National Manager shall, in coordination with the Director of National Intelligence, the Director of the Central Intelligence Agency, the Director of the Federal Bureau of Investigation, and the heads of appropriate elements of the Department of Defense, develop a framework to coordinate and collaborate on cybersecurity and incident response activities related to NSS commercial cloud technologies that ensures effective information sharing among agencies, the National Manager, and Cloud Service Providers (CSP).           (v) 本覚書の日付から90日以内に、国家管理者は、国家情報長官、中央情報局長官、連邦捜査局長官、国防総省の適切な部門の長と連携して、省庁、国家管理者、クラウドサービスプロバイダー(CSP)間での効果的な情報共有を保証する、NSS商用クラウド技術に関連するサイバーセキュリティおよびインシデント対応活動を調整・協力する枠組みを策定するものとする。
               (A)  The National Manager, in coordination with the Secretary of Homeland Security, shall ensure that, as provided in the framework, there is a Federal unity of effort and collaboration between the Secretary of Homeland Security and the National Manager on commercial CSP-cybersecurity and incident management, consistent with each agency’s responsibilities for Federal Civilian Executive Branch (FCEB) and NSS cybersecurity, and to ensure rapid and thorough end-to-end risk mitigation across CSP environments.                (A) 国家管理者は、国土安全保障長官と連携して、フレームワークに規定されているように、国土安全保障長官と国家管理者との間で、商業CSPのサイバーセキュリティ及びインシデント管理について、連邦政府文民執行部(FCEB)及びNSSのサイバーセキュリティに対する各省庁の責任に沿った連邦の統一的な取り組み及び協力体制を確保し、CSP環境全体の迅速かつ徹底したエンド・ツー・エンドのリスク軽減を図るものとする。
               (B)  The National Manager shall ensure that the final version of the framework is coordinated with the Director of National Intelligence, the Director of the Central Intelligence Agency, the Director of the Federal Bureau of Investigation, and the heads of appropriate elements of the Department of Defense.                (B) 国家管理者は、フレームワークの最終版が、国家情報長官、中央情報局長官、連邦捜査局長官、国防総省の適切な部門の責任者と調整されることを確認する。

     (c)  Consistent with section 4 of Executive Order 14028:      (c) 大統領令 14028の第4条に準拠する。
          (i)    Except as otherwise authorized by law, or by an exception authorized by the heads of agencies pursuant to section 3 of this memorandum, agencies shall adhere to the standards developed under section 4 of Executive Order 14028 for any software intended to be used on NSS for which this category of software is applicable.           (i) 法律で別途認められている場合や、本覚書の第3条に基づいて各省庁の長が認めた例外を除き、各省庁は、NSSで使用することを目的としたソフトウェアのうち、このカテゴリーのソフトウェアが適用されるものについては、大統領令14028の第4条に基づいて策定された基準を遵守しなければならない。
          (ii)   Within 60 days of the date of this memorandum, the National Manager shall, in coordination with the Secretary of Defense and the Director of National Intelligence, review the guidance issued by the Office of Management and Budget pursuant to section 4(i) of Executive Order 14028 and shall issue similar guidance.           (ii) 本覚書の日付から60日以内に、国家管理者は、国防長官および国家情報長官と連携して、行政管理予算局が大統領令14028条第4条(i)に基づいて発行した指針を検討し、同様の指針を発行するものとする。
          (iii)  Agencies may request from the National Manager an extension to the time period associated with satisfaction of the applicable requirements issued in section 1(c)(ii) of this memorandum, which will be considered by the National Manager on a case-by-case basis and only with an accompanying plan for satisfying requirements.  The National Manager shall provide a quarterly report to the Secretary of Defense and the Director of National Intelligence of all extensions granted for the systems within their respective jurisdictions and the justifications for doing so.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.           (iii) 各省庁は、本覚書の第1条(c)(ii)に記載された該当する要件の充足に関連する期間の延長を、ナショナル・マネージャーに要求することができる。この場合、ナショナル・マネージャーはケースバイケースで検討し、要件を充足するための計画が付随している場合にのみ対応する。  国家管理者は、国防長官および国家情報長官に対し、それぞれの管轄区域内のシステムに認められたすべての延長と、その正当な理由について、四半期ごとに報告を行う。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。
     (d)  Section 6 of Executive Order 14028 shall apply to NSS owners and operators, utilizing the National Manager to review and validate agencies’ incident response and remediation results upon an agency’s completion of its incident response pursuant to section 6(f) of Executive Order 14028.      (d) 大統領令第 14028 条第6条は、NSS の所有者及び運営者に適用され、大統領令第 14028 条第6条 (f) に基づいて省庁がインシデント対応を完了した際に、国家管理者を活用して、省庁のインシデント対応及び修復の結果を確認し、検証する。
     (e)  Section 7 of Executive Order 14028 shall apply to NSS owners and operators where specifically referenced within the Executive Order, with additional requirements as described in section 2(b) of this memorandum.      (e) 大統領令 14028 の第7条は、大統領令の中で特に言及されている場合、NSS の所有者と運用者に 適用され、本覚書の第2条(b)に記載されている追加要件が適用される。
     (f)  Within 14 days of the date of this memorandum the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall provide to the CNSS recommendations as described in section 8(b) of Executive Order 14028.      (f) 本覚書の日付から14日以内に、国家管理者は、国防長官及び国家情報長官と連携して、大統領令14028 第8条 (b) に記載されている提言をCNSSに提供する。
          (i)   Within 90 days of receipt of the recommendations issued pursuant to section 1(f) of this memorandum, the CNSS shall formulate policies for agencies to establish such requirements, which shall ensure centralized access and visibility for the highest level of security operations center of each agency.           (i) 本覚書の第1条 (f) に基づいて出された提言を受け取ってから90日以内に、CNSSは、各省庁の最高レベルのセキュリティ・オペレーション・センターの集中的なアクセスと可視性を確保するために、各省庁がそのような要件を確立するための方針を策定する。
          (ii)  To assist in the response to known or suspected compromise of an NSS, recommendations issued pursuant to section 1(f) of this memorandum shall include requirements that agencies will allow access, upon request, to logs by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.           (ii) NSSの既知または疑わしい侵害への対応を支援するために、この覚書の第1条 (f) に従って発行された勧告には、国家管理者と省庁の長または被指名人との間で合意されたように、省庁が要求に応じて、特定の指名された個人による、または特定のNSAサイバー防衛ミッションの役割に基づいて、ログへのアクセスを許可するという要件を含めるものとする。
     Sec. 2.  National Manager Authorities Relating to National Security Systems.       第2条.  国家安全保障システムに関連する国家管理者の権限。
     (a)  Designation and Identification of National Security Systems.       (a) 国家安全保障システムの指定及び識別。
          (i)    The National Manager shall facilitate the designation of NSS across the Federal Government.  Each agency shall remain responsible for identification, designation, accreditation, and protection of all NSS under its ownership or control, including those NSS operated and/or maintained on behalf of the agency.  The National Manager may, on a periodic basis, request access to NSS information regarding the designation and identification of such systems from agencies operating NSS.           (i) 国家管理者は、連邦政府全体でNSSの指定を促進する。  各省庁は、その所有または管理下にあるすべてのNSS(その省庁に代わって運用および/または維持されているNSSを含む)の識別、指定、認定、および保護について、引き続き責任を負うものとする。  国家管理者は、定期的に、NSSを運用する省庁に対して、当該システムの指定および識別に関するNSS情報へのアクセスを要求することができる。
          (ii)   Within 30 days of the date of this memorandum, the National Manager shall develop a process for assisting agencies with identifying and inventorying those information systems that do or should likely constitute NSS, and shall issue guidance to support agencies in making these determinations to agency Chief Information Officers.  NSS shall be inventoried at a level of detail sufficient to understand community-wide cybersecurity risk, as determined by the National Manager, and such information may not exceed a classification level of TOP SECRET//SI//NOFORN.           (ii) 本覚書の日付から30日以内に、国家管理者は、NSSを構成している、または構成する可能性が高い情報システムを特定し、目録を作成することについて、省庁を支援するためのプロセスを開発し、省庁の最高情報責任者にこれらの決定を支援するためのガイダンスを発行しなければならない。  NSSは、国家管理者が決定するように、コミュニティ全体のサイバーセキュリティリスクを理解するのに十分な詳細レベルでインベントリ化されなければならず、そのような情報は、TOP SECRET//SI//NOFORNの分類レベルを超えてはならない。
          (iii)  Within 90 days of the date of this memorandum, agencies shall identify and maintain an inventory of those systems designated as NSS through the process designated in section 2(a)(ii) of this memorandum.  Agencies shall retain their own inventory subject to access by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.           (iii) 本覚書の日付から90日以内に、各省庁は、本覚書の第2条(a)(ii)で指定されたプロセスを通じて、NSSとして指定されたシステムのインベントリーを特定し、維持するものとする。  各省庁は、国家管理者と省庁の長または被指名人との間で合意されたとおり、特定の指名された個人によるアクセスを条件として、または特定のNSAサイバー防衛ミッションの役割に基づいて、独自のインベントリを保持するものとする。
          (iv)   If the National Manager has concerns regarding the determination as to whether a system constitutes an NSS, the National Manager shall engage the head of the relevant agency in order to resolve the designation.  If the National Manager and the head of the agency are unable to achieve a mutually acceptable resolution, the National Manager may request that the head of the agency report the disagreement to the Secretary of Defense and the Director of National Intelligence for further consideration for systems within their respective jurisdictions.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.           (iv) 国家管理者が、システムがNSSを構成するかどうかの判断に関して懸念を持つ場合、国家管理者は、指定を解決するために関連省庁の長に関与するものとする。  国家管理者と関連省庁の長が、相互に受け入れ可能な解決策を達成できない場合、国家管理者は、関連省庁の長が、それぞれの管轄内のシステムについてさらなる検討を行うために、意見の相違を国防長官および国家情報長官に報告するよう要請することができる。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、共有リスクが共同で決定された場合、他の関連省庁を含めることができる。
          (v)    Once a system has been identified and designated as an NSS, notification to the National Manager and to the Secretary of Defense and the Director of National Intelligence, for systems within their respective jurisdictions, will be required to re-designate those systems as non-NSS.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.           (v) システムがNSSとして特定・指定された後、それらのシステムを非NSSとして再指定するためには、国家管理者への通知、並びにそれぞれの管轄区域内のシステムについては国防長官及び国家情報長官への通知が必要となる。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。
     (b)  Incident Reporting.      (b) インシデント報告
          (i)    To facilitate threat detection and response, as well as an overall understanding of the cybersecurity status of NSS, an agency shall, upon agency detection, or upon report by a contractor (including an information and communications technology service provider) or other Federal or non-Federal entity, of a known or suspected compromise or otherwise unauthorized access to NSS, report such compromise or unauthorized access to the National Manager through the appropriate Federal Cyber Center or other designated central department point of contact.  Agencies shall also provide relevant information to the National Manager pursuant to the policies developed in accordance with section 1(f) of this memorandum.           (i) 脅威の検知および対応、ならびにNSSのサイバーセキュリティ状況の全体的な理解を促進するために、省庁は、省庁が検知した場合、または請負業者(情報通信技術サービス・プロバイダーを含む)もしくはその他の連邦または非連邦組織から、NSSへの既知または疑いのある侵害またはその他の不正アクセスの報告を受けた場合、適切な連邦サイバーセンターまたはその他の指定された中央部門の連絡先を通じて、当該侵害または不正アクセスを国家管理者に報告するものとする。  また、各省庁は、本覚書の第1条(f)に従って策定されたポリシーに従って、国家管理者に関連情報を提供するものとする
          (ii)   Agencies shall, upon detection or report to the agency, also report to the National Manager, through their appropriate Federal Cyber Center or other designated central department point of contact, any compromise or unauthorized access of a network hosting a Cross Domain Solution (CDS) when one side of the CDS connects to NSS operated by or on behalf of the agency.           (ii) 省庁は、CDSの片側が省庁によってまたは省庁を代表して運用されるNSSに接続する際に、クロスドメインソリューション(CDS)をホストするネットワークの危殆化または不正アクセスがあった場合、発見または省庁への報告時に、適切な連邦サイバーセンターまたは他の指定された中央部門の連絡先を通じて、国家管理者にも報告するものとする。
          (iii)  Within 90 days of the date of this memorandum, the National Manager, in coordination with the Director of National Intelligence and the Director of the Central Intelligence Agency, shall establish procedures for reporting known or suspected compromises of NSS or otherwise unauthorized access of NSS, which shall include:           (iii) 本覚書の日付から90日以内に、国家管理者は、国家情報長官および中央情報局長官と連携して、既知または疑わしいNSSの危殆化、またはその他のNSSへの不正アクセスを報告するための手順を確立するものとし、これには以下が含まれる。
               (A)  thresholds, required information, and other criteria;                (A) 閾値、必要な情報、およびその他の基準
               (B)  emergency procedures if an imminent threat to NSS is detected;                (B) NSSに対する差し迫った脅威が検出された場合の緊急手順
               (C)  timeliness expectations regarding initiation of response activities by the affected agency;                (C) 影響を受ける省庁による対応活動の開始に関する期待される適時性
               (D)  threat and compromise reporting mechanisms between the National Manager and affected agencies;                (D)国家管理者と影響を受ける省庁との間の脅威及び妥協の報告メカニズム
               (E)  expectations of the National Manager’s protection and handling of any information received pursuant to this section, to include any considerations regarding the protection of intelligence sources and methods and the conduct of counterintelligence investigations;                (E) 情報源および方法の保護、防諜調査の実施に関する考慮事項を含む、本項に従って受領した情報の国家管理者による保護および取り扱いに関する期待
               (F)  expectations for advising the Secretary of Defense and the Director of National Intelligence for systems within their respective jurisdictions of instances where agencies have failed to report a known or suspected compromise of NSS; and                (F)国防長官と、それぞれの管轄区域内のシステムの国家情報長官に、各省庁がNSSの既知または疑わしい侵害の報告を怠った事例を知らせるための期待事項
               (G)  procedures for the National Manager, in coordination with and only after engaging the system owner, to include other relevant agencies if a shared risk is jointly determined.                (G)国家管理者が、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクが共有されていると共同で判断した場合に、他の関連省庁を含めるための手順
          (iv)   The recipients of any reporting required by this section may be limited to specified named individuals or, based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.  In exceptional cases where the head of the agency deems it advisable to limit reporting in order to protect intelligence sources and methods, counterintelligence investigations, or law enforcement sensitive information, the reporting may be retained by the agency subject to the National Manager access described in section 2(a)(iii) of this memorandum.           (iv) 本条で要求される報告の受領者は、特定の指名された個人に限定されるか、NSAのサイバー防衛ミッションの特定の役割に基づいて、国家管理者と省庁の長または被指名人との間で合意されたものとすることができる。  省庁の長が、情報源と方法、防諜調査、または法執行機関の機密情報を保護するために、報告を制限することが望ましいと考える例外的なケースでは、本覚書の第2条(a)(iii)に記載されている国家管理者のアクセス権に従い、報告を省庁が保持することができる。
     (c)  National Manager Directives.      (c) 国家管理者の指示
          (i)    Emergency Directives.  In response to a known or reasonably suspected information security threat, vulnerability, or incident that represents a substantial threat to the information security of NSS, or intelligence of adversary capability and intent to target NSS, the National Manager may issue a National Manager Emergency Directive to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, to take any lawful action with respect to the operation of that NSS, as defined in this memorandum, including such systems used or operated by another entity on behalf of an agency, for the purpose of protecting the NSS from, or mitigating, the threat, vulnerability, or risk.           (i) 緊急指令。  NSSの情報セキュリティに対する実質的な脅威となる、既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、または事件、またはNSSを標的とする敵対者の能力と意図に関する情報に対応して、国家管理者は、省庁の最高情報責任者を通じて、省庁の長に国家管理者緊急指令を発行することができる。脅威、脆弱性、またはリスクからNSSを保護する、または軽減する目的で、この覚書で定義されているNSS(他の事業体が省庁に代わって使用または運用しているシステムを含む)の運用に関して、合法的な行動をとるよう、省庁の長に国家管理者緊急指令を発行することができる。
          (ii)   Binding Operational Directives.  For the purposes of safeguarding NSS from a known or reasonably suspected information security threat, vulnerability, or risk, the National Manager may, in coordination with the Secretary of Defense and the Director of National Intelligence, for the systems within their respective jurisdictions, issue a National Manager Binding Operational Directive to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, to take any lawful action with respect to the operation of that NSS, as defined in this memorandum, including such systems used or operated by another entity on behalf of an agency, for the purpose of protecting the NSS from, or mitigating, the threat, vulnerability, or risk.  Additionally, the National Manager may issue, on a periodic or ad hoc basis, requests to the head of an agency, through that agency’s Chief Information Officer, Chief Information Security Officer, or officer designated by the head of the agency, for information suitable for reporting the overall cybersecurity posture of that agency’s NSS.           (ii) 拘束力のある運用指示書。  既知または合理的に疑われる情報セキュリティ上の脅威、脆弱性、またはリスクからNSSを保護する目的で、国家管理者は、国防長官および国家情報長官と連携して、それぞれの管轄区域内のシステムについて、国家管理者拘束力のある業務指令を各省庁の長に発行することができる。その省庁の最高情報責任者、最高情報セキュリティ責任者、またはその省庁の長が指定した役員を通じて、脅威、脆弱性、またはリスクからNSSを保護する、または軽減する目的で、この覚書で定義されているNSS(他の省庁が当該省庁に代わって使用または運用しているシステムを含む)の運用に関して、あらゆる合法的な行動をとることができる。  さらに、国家管理者は、定期的又は臨時に、省庁の最高情報責任者、最高情報セキュリティ責任者、又は省庁の長が指名する責任者を通じて、省庁の長に対し、当該省庁のNSSの全体的なサイバーセキュリティの態勢を報告するのに適した情報の提供を求めることができる。
          (iii)  Implementing Procedures.  Within 30 days of the date of this memorandum, the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall establish procedures governing the circumstances under which a directive may be issued under this subsection, which shall include:           (iii) 手続きの実施。  本覚書の日付から30日以内に、国家管理者は、国防長官および国家情報長官と連携して、本款に基づいて指令を発することができる状況を規定する手順を確立しなければならないが、これには以下が含まれる。
               (A)  thresholds and other criteria;                (A) 閾値およびその他の基準
               (B)  provision of notice to potentially affected third parties;                (B) 潜在的に影響を受ける第三者への通知の提供
               (C)  reasons for the required action and the duration of the directive;                (C) 必要とされる行動の理由と指令の期間
               (D)  privacy and civil liberties protections;                (D) プライバシーと市民的自由の保護
               (E)  adoption of measures to secure the NSS that have a minimal impact on operations under the circumstances; and                (E)状況に応じて運用への影響を最小限に抑えたNSSのセキュリティ対策を採用すること
               (F)  limiting directives to the shortest period practicable.                (F) 指令を実行可能な最短期間に限定すること
          (iv)   Notification and Assistance.  The National Manager shall notify, in writing, the head of any affected agency, the Secretary of Defense, the Secretary of Homeland Security, and the Director of National Intelligence immediately upon the issuance of an Emergency Directive or Binding Operational Directive, and shall provide technical and operational assistance to the implementing agency.           (iv) 通知と支援。  国家管理者は、緊急指令または拘束力のある運用指令が発行された場合、直ちに、影響を受ける省庁の長、国防長官、国土安全保障長官、国家情報長官に書面で通知し、実施省庁に技術的・運用的な支援を提供する。
          (v)    Coordination and Alignment of Directives.  To ensure alignment between National Manager directives for NSS and FCEB information systems directives, the National Manager and the Secretary of Homeland Security, in coordination with the Secretary of Defense and the Director of National Intelligence, shall:           (v) 指令の調整と整合性。  NSSの国家管理者指令とFCEBの情報システム指令の整合性を確保するために、国家管理者と国土安全保障長官は、国防長官および国家情報長官と連携して、以下を行うものとする。
               (A)  within 60 days of the date of this memorandum, establish procedures for the National Manager and the Secretary of Homeland Security to immediately share with each other National Manager Binding Operational Directives and Emergency Directives, and Department of Homeland Security Emergency Directives and Binding Operational Directives, applying to the information networks within their respective jurisdictions.  The procedures shall adequately address applicable information-sharing guidelines, including protections for classified information, protection of intelligence sources and methods, and protection of information originated by other agencies;                (A) 本覚書の日付から60日以内に、国家管理者と国土安全保障長官が、それぞれの管轄内の情報ネットワークに適用される国家管理者の拘束力のある運用指令と緊急指令、および国土安全保障省の緊急指令と拘束力のある運用指令を相互に直ちに共有するための手順を確立する。  この手順は、機密情報の保護、情報源と方法の保護、他の省庁から発信された情報の保護など、適用される情報共有のガイドラインに適切に対応するものでなければならない。
               (B)  evaluate whether to adopt any requirements or guidance contained in a directive received pursuant to the procedures established under section 2(c)(v)(A) of this memorandum, consistent with law, Executive Orders, Federal regulations, and directives concerning the sharing of classified information; and                (B) 機密情報の共有に関する法律、大統領令、連邦規則、および指令との整合性を保ちつつ、本覚書第2条 (c)(v)(A)に基づいて確立された手順に従って受領した指令に含まれる要件または指針を採用するかどうかを評価する。
               (C)  within 7 days of receiving notice of a directive issued pursuant to the procedures established under section 2(c)(v)(A) of this memorandum, notify the Assistant to the President for National Security Affairs (APNSA) or their designee of the evaluation described in section 2(c)(v)(B) of this memorandum, the determination of whether to adopt the requirements or guidance contained in the directive received, the rationale for that determination, and a timeline for adoption of the requirements or guidance, if applicable.                (C) 本覚書の第2条 (c)(v)(A)に基づいて制定された手順に従って発行された指令の通知を受け取ってから7日以内に、国家安全保障問題担当大統領補佐官(APNSA)またはその被指名人に、本覚書の第2条 (c)(v)(B)に記載された評価、受け取った指令に含まれる要件または指針を採用するかどうかの決定、その決定の根拠、および要件または指針の採用のスケジュール(該当する場合)を通知する。
     (d)  Cross Domain Solutions.      (d) クロスドメインソリューション (CDS)
          (i)    As CDS separate and enable controlled exchange of information between different security domains, they are vital NSS that require centralized visibility.           (i) CDS は、異なるセキュリティ・ドメイン間の情報交換を分離し、制御可能にするものであり、集中的な可視性を必要とする重要な NSS である。
          (ii)   In operating the National Cross Domain Strategy and Management Office (NCDSMO), the National Manager shall be the focal point for NSS cross domain capabilities and mission needs, and shall:           (ii) 国家クロスドメイン戦略管理局(NCDSMO) を運営するにあたり、国家管理者は、NSSのクロスドメイン能力とミッションニーズの中心となり、以下のことを行うものとする。
               (A)  serve as the principal advisor to NSS owners for cross domain capabilities;                (A) クロスドメイン能力に関するNSS所有者の主要アドバイザーとしての役割を果たす。
               (B)  develop and maintain community outreach programs and forums;                (B) 地域社会への働きかけプログラムとフォーラムを開発し、維持する。
               (C)  develop and establish improved security solutions, remote management and monitoring, cyber defense, filtering requirements, and standards and technologies for CDS; and                (C) 改良されたセキュリティ・ソリューション、遠隔管理・監視、サイバー・ディフェンス、フィルタリング要件、CDSの標準・技術を開発・確立すること。
               (D)  operate the cross domain security testing program to ensure uniform comprehensive testing.                (D) クロスドメインセキュリティテストプログラムを運営し、均一で包括的なテストを実施する。
          (iii)  Within 60 days of the date of this memorandum, the National Manager, in coordination with the Chief Information Officer of the Intelligence Community, shall issue a directive to all agencies operating a CDS connected to NSS to make available information regarding those deployments and shall establish timelines for the collection and receipt of this information, requiring that agencies shall:           (iii) 本覚書の日付から60日以内に、国家管理者は、情報コミュニティの最高情報責任者と連携して、NSSに接続されたCDSを運用しているすべての省庁に対し、それらの配備に関する情報を公開するよう指示を出し、この情報の収集と受領のためのタイムラインを設定し、省庁が以下を行うことを要求するものとする。
               (A)  verify that logs from CDS, supporting systems, and connected systems are collected and archived by agencies, sufficient to support investigation and incident response activities, as well as ensuring the logs are intact and machine-readable, and making access to that information available to the National Manager consistent with section 2(b) of this memorandum;                (A) 調査およびインシデント対応活動を支援するのに十分な、CDS、サポートシステム、接続システムからのログが省庁によって収集され、アーカイブされていることを検証するとともに、ログが無傷で機械読み取り可能であることを確認し、本覚書の第2条(b)に準拠して、その情報へのアクセスを国家管理者に提供すること。
               (B)  validate that the latest authorized patches have been installed for deployed CDS;                (B) 配備されたCDSに最新の認可されたパッチがインストールされていることを検証する。
               (C)  report on the status of upgrading to the Raise-the-Bar (RTB) compliant version of their CDS; and                (C) CDSのRTB(Rise-the-Bar)準拠バージョンへのアップグレード状況を報告する。
               (D)  update or develop plans of actions and milestones for all CDS installations to comply with NCDSMO CDS security requirements and provide these plans to the National Manager, to include identified funding barriers which may prevent RTB compliance.                (D) NCDSMOのCDSセキュリティ要件に準拠するために、全てのCDSの設置に関する行動計画及びマイルストーンを更新又は作成し、RTB準拠を妨げる可能性のある特定の資金的障害を含めて、これらの計画を国家管理者に提供する。
          (iv)   Within 90 days of the date of this memorandum, the heads of relevant agencies shall establish and maintain CDS deployment inventory for all CDS deployments within their jurisdiction, subject to access by specified named individuals, or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.  In coordination with the Secretary of Defense and the Director of National Intelligence, the National Manager shall define essential elements of information required to maintain an accurate inventory not to exceed a classification level of TOP SECRET//SI//NOFORN, shall define initial and ongoing agency reporting expectations, and shall provide a process to CDS owners for reporting and updating as required.           (iv) 本覚書の日付から90日以内に、関連省庁の長は、国家管理者と省庁の長または被指名人との間で合意されたように、特定の指名された個人によるアクセスの対象となる、または特定のNSAサイバー防衛ミッションの役割に基づく、その管轄内のすべてのCDS配備のためのCDS配備目録を確立し、維持する。  国防長官および国家情報長官と連携して、国家管理者は、TOP SECRET//SI//NOFORNの分類レベルを超えない範囲で正確なインベントリを維持するために必要な情報の必須要素を定義し、初期および継続的な省庁の報告の期待を定義し、CDS所有者に必要な報告および更新のプロセスを提供する。
     Sec. 3.  Exceptions.        第3条  例外 
     (a)  Whenever the head of an agency determines that unique mission needs necessitate any NSS or category of NSS to be excepted from any provisions of Executive Order 14028 or this memorandum, the head of the agency may authorize such exceptions, provided that such exceptions may only be authorized with respect to:      (a) 特有の任務上の必要性から、NSS または NSS のカテゴリーを大統領令14028 または本覚書の規定から除外する必要があると省庁の長が判断した場合、省庁の長はかかる例外を許可することができる。
          (i)    systems that facilitate the support or conduct of military, intelligence, or sensitive law enforcement activities where the head of the agency determines that implementation of these requirements is not practicable or is contrary to national security;           (i) 軍事、諜報、または機密性の高い法執行活動の支援または実施を促進するシステムで、これらの要件の実施が現実的ではない、または国家安全保障に反すると省庁の長が判断するもの
          (ii)   systems for which attribution to the United States Government is obscured and for which this attribution would be reasonably endangered due to implementation of these requirements; or           (ii) 米国政府への帰属が不明瞭なシステムで、本要件の実施により帰属が合理的に危うくなるもの
          (iii)  information systems or software procured for vulnerability research, testing, or evaluation purposes that are not intended for use in agency operational networks.           (iii) 脆弱性の研究、テスト、または評価を目的として調達された情報システムまたはソフトウェアで、省庁の運用ネットワークでの使用を意図していないもの
     (b)  If the head of an agency elects to authorize an exception under section 3(a) of this memorandum, the head of the agency shall notify the National Manager and shall provide:      (b) 省庁の長が本覚書の第3条(a)に基づく例外を承認することを選択した場合、省庁の長は国家管理者に通知し、以下を提供しなければならない。
          (i)    a general description as to the function of the system or systems at issue;           (i) 問題となっているシステムの機能についての一般的な説明
          (ii)   the reasoning for accepting the enhanced cybersecurity risk resulting from the exception;           (ii) 例外の結果として生じるサイバーセキュリティ・リスクの強化を受け入れる理由
          (iii)  a description of the likely mission impact, and agency response, were this NSS to be compromised; and           (iii) このNSSが侵害された場合に想定されるミッションへの影響と省庁の対応についての記述
          (iv)   attestation that all practicable means of risk mitigation have been, or will be, implemented.           (iv) リスクを軽減するためのすべての実用的な手段が実施された、または実施される予定であることの証明
     (c)  In order to ensure that the National Manager maintains awareness of additional cybersecurity risk across NSS, the National Manager, in coordination with the Secretary of Defense and the Director of National Intelligence, shall, within 30 days of the date of this memorandum:      (c) 国家管理者がNSS全体の追加的なサイバーセキュリティリスクに対する認識を維持するために、国家管理者は、国防長官および国家情報長官と連携して、本覚書の日付から30日以内に、以下を行うものとする。
          (i)   publish an exception provision process to include:  reporting timeline expectations; formats; allowance for categories of systems that may be grouped together within a single exception; and other required elements of information, to include those elements described in section 3(b) of this memorandum.  Exceptions shall be sufficiently detailed to establish and maintain an appropriate level of community-wide risk awareness and appropriately abridged to protect sensitive intelligence sources or methods, and classification shall not exceed TOP SECRET//SI//NOFORN; and           (i) 以下を含む例外規定プロセスを公表する。報告のタイムラインの期待値、フォーマット、1つの例外にまとめられるシステムのカテゴリーの許容範囲、および本覚書の第3条(b)に記載されている要素を含むその他の必要な情報の要素。  例外は、コミュニティ全体の適切なレベルのリスク認識を確立・維持するために十分に詳細でなければならず、また、機密性の高い情報源や手法を保護するために適切に簡略化されていなければならず、分類はTOP SECRET//SI//NOFORNを超えてはならない。
          (ii)  coordinate with agencies to establish an authoritative repository for each agency to maintain a consolidated inventory of all exceptions that agency has authorized, subject to access by specified named individuals or based on specific NSA cyber defense mission roles, as agreed upon between the National Manager and the head of the agency or designee.           (ii) 国家管理者と省庁の長または被指名人との間で合意されたとおり、特定の指名された個人によるアクセスを条件として、または特定のNSAサイバー防衛ミッションの役割に基づいて、各省庁が承認したすべての例外の統合インベントリーを維持するために、各省庁のための信頼できるリポジトリを確立するために、各省庁と調整する。
     (d)  Chief Information Officers of agencies shall retain internal records regarding system exceptions sufficiently detailed to perform effective and timely identification and mitigation of any cybersecurity issues that may impact these systems.      (d) 省庁の最高情報責任者は、これらのシステムに影響を与える可能性のあるサイバーセキュリティの問題を効果的かつタイムリーに特定及び緩和するために、十分に詳細なシステム例外に関する内部記録を保持しなければならない。
     (e)  If the National Manager and the head of an agency cannot agree on the sufficiency of exception rationale, description of impacts, response, sufficiency of mitigations, or overall acceptance of increased risk, the National Manager shall request that the head of the agency report the disparity to the Secretary of Defense and the Director of National Intelligence for further consideration with respect to systems within their respective jurisdictions.  The National Manager, in coordination with and only after engaging the system owner, may include other relevant agencies if a shared risk is jointly determined.      (e) 国家管理者と省庁の長が、例外の根拠、影響の説明、対応、緩和策の十分性、またはリスク増加の全体的な受け入れについて合意できない場合、国家管理者は、省庁の長が国防長官と国家情報長官にその不一致を報告し、それぞれの管轄内のシステムに関してさらなる検討を行うよう要請する。  国家管理者は、システム所有者と連携し、またシステム所有者に関与した後にのみ、リスクの共有が共同で決定された場合、他の関連省庁を含めることができる。
     Sec. 4.  Summary of NSS Policy Creation or Adjustment Actions.        第4条 NSS ポリシーの作成または調整アクションの概要  
Within 90 days of the date of this memorandum, the CNSS, in consultation with the National Manager, shall review this memorandum and deliver to the APNSA a summary of NSS policy creation or adjustment actions and their timeline for implementation.  This summary will include any additional items not previously directed within this memorandum to the National Manager or agencies. 本覚書の日付から90日以内に、CNSSは国家管理者と協議の上、本覚書を検討し、NSS政策の作成または調整行為の概要およびその実施時期をAPNSAに提出する。  この要約には、本覚書の中で以前に国家管理者または各省庁に指示されていない追加項目が含まれる。
     Sec. 5.  General Provisions.     第5条 一般規定
     (a)  This memorandum is intended to supplement NSD-42.      (a)本覚書は、NSD-42を補完することを目的とする。
     (b)  Nothing in this memorandum shall be construed to alter or supersede:      (b) 本覚書のいかなる部分も、以下を変更または優先すると解釈してはならない。
          (i)   the authority granted by law to an executive department or agency, or the head thereof, to include the protection of intelligence sources and methods; or             (i) 情報源と情報方法の保護を含む、行政省庁またはその長に法律で認められた権限
          (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.           (ii) 予算案、行政案、立法案に関連する行政管理予算局長官の機能
     (c)  Nothing in this memorandum confers the authority to interfere with or to direct a counterintelligence, personnel, criminal, or national security investigation, arrest, search, seizure, or disruption operation or to alter a legal restriction that requires an agency to protect information learned in the course of a counterintelligence, personnel, criminal, or national security investigation.      (c) 本覚書のいかなる内容も、防諜、人事、刑事、国家安全保障に関する調査、逮捕、捜索、押収、破壊活動を妨害したり、指示したりする権限や、防諜、人事、刑事、国家安全保障に関する調査の過程で知り得た情報を保護することを省庁に要求する法的制限を変更する権限を付与するものではない。
     (d)  This memorandum shall be implemented in a manner consistent with applicable law and shall be subject to the availability of appropriations.  No implementation measures shall impede the conduct or support of intelligence activities, and all such implementation measures shall be designed to protect intelligence sources and methods.      (d)本覚書は、適用される法律に沿った方法で実施されるものとし、予算の有無に応じて実施されるものとする。  いかなる実施策も、情報活動の実施または支援を妨げてはならず、そのような実施策はすべて、情報源と方法を保護するように設計されなければならない。
     (e)  This memorandum is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.      (e) 本覚書は、米国、その省庁、省庁、事業体、その役員、従業員、代理人、またはその他の者に対して、法律上または衡平法上で執行可能な、実体的または手続き上のいかなる権利または利益も創出することを意図したものではなく、またそうするものでもない。
                               JOSEPH R. BIDEN JR.                                ジョセフ・R・バイデン・Jr.

Fig1_20210802074601

 


報道

● Air Force Magazine

・2022.01.20 White House’s Cyber Plan ‘Raises the Bar’ for Securing DOD Computer Systems

Security Boulevard

・2022.01.21 Biden Signs Authority for NSS to NSA: Think CISA for Military, Intel Systems

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

大統領令14028の記事

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

大統領令14028関連の記事

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.09.09 米国 CISA 意見募集 政府機関のクラウドへの移行を支援する

・2021.08.26 米国 White House バイデン大統領が「米国のサイバーセキュリティを共同で改善する」と発言していますね。。。

・2021.06.27 NIST ソフトウェアサプライチェーンにおける「クリティカル・ソフトウェア」の定義:大統領令14028に応えて...

・2021.06.11 U.S. White House サプライチェーンの途絶に対処するための取り組み...

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

 

| | Comments (0)

2022.01.23

米国 CISA TIC3.​​0に関するIPV6ガイダンスを発表

こんにちは、丸山満彦です。

CISAがTIC3.​​0に関するIPV6ガイダンスを公表されていますね。。。連邦政府の各省庁がIPv6に移行する際に、TIC 3.0の実装に関連するセキュリティ上の考慮事項を提供するものですね。。。

CISA

・2022.01.20 CISA RELEASES FINALIZED IPV6 GUIDANCE ON TIC 3.0

CISA RELEASES FINALIZED IPV6 GUIDANCE ON TIC 3.0 CISA、TIC 3.0に関するIPV6ガイダンスの最終版を発表
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) released the finalized “IPv6 Considerations for TIC 3.0” guidance document today, providing federal departments and agencies with security considerations related to TIC 3.0 implementation as they transition to IPv6. ワシントン - Cybersecurity and Infrastructure Security Agency(CISA)は、本日、ガイダンス文書「IPv6 Considerations for TIC 3.0」の最終版を公開しました。これは、連邦政府の各省庁がIPv6に移行する際に、TIC 3.0の実装に関連するセキュリティ上の考慮事項を提供するものです。
The Trusted Internet Connection (TIC) initiative was originally established to consolidate network connections throughout the federal government, limiting the number of threat vectors and increasing security. In its modernized form, TIC 3.0 is designed to account for shifts to cloud computing and other architectures. While the federal government embraces TIC 3.0, the internet as a whole is undergoing a shift to IPv6. IPv6 is the next generation of IP standards slated to replace the current IPv4. An IP address is a numerical identifier assigned to every device that connects to the internet. This IPv6 guidance is intended to broadly support the government-wide deployment and use of the IPv6 network protocol. This document explains the background of IPv6, lists security considerations for the protocol in relation to TIC 3.0 security capabilities, and provides awareness of IPv6 security features according to the TIC 3.0 guidance. TIC(Trusted Internet Connection)は、連邦政府内のネットワーク接続を統合することで、脅威のベクトルの数を減らし、セキュリティを向上させることを目的に設立されました。TIC 3.0は、クラウドコンピューティングやその他のアーキテクチャへの移行を考慮して設計されています。連邦政府がTIC 3.0を採用する一方で、インターネット全体ではIPv6への移行が進んでいます。IPv6は、現在のIPv4に代わる次世代のIP規格です。IPアドレスとは、インターネットに接続するすべての機器に割り当てられる数字の識別子です。このIPv6ガイダンスは、政府全体でのIPv6ネットワークプロトコルの展開と利用を広くサポートすることを目的としています。本文書では、IPv6の背景を説明し、TIC3.0のセキュリティ機能に関連したプロトコルのセキュリティ上の考慮点を挙げ、TIC3.0ガイダンスに従ったIPv6のセキュリティ機能の認識を提供しています。
“To keep pace with fast-moving technology, the federal government is expanding and enhancing its strategic commitment to IPv6,” said Eric Goldstein, Executive Assistant Director of Cybersecurity, CISA. “With our federal partners, we thoroughly reviewed and assessed public comment to ensure this finalized guidance informs and prepares federal agencies on how to properly implement the IPv6. We greatly appreciate every person and organization that took the time to provide comment, which reflects the community’s focus on strong and usable security practices and CISA’s commitment to robust partnership.” CISAのサイバーセキュリティ担当エグゼクティブ・アシスタント・ディレクターであるエリック・ゴールドスタインは、以下のように述べています。「急速に変化するテクノロジーに対応するため、連邦政府はIPv6への戦略的コミットメントを拡大・強化しています。連邦政府のパートナーとともに、パブリックコメントを徹底的に検討・評価し、この最終版ガイダンスが連邦政府機関にIPv6を適切に実装する方法を伝え、準備させることができました。このコメントは、強力で使いやすいセキュリティ対策を重視するコミュニティの姿勢と、強固なパートナーシップを目指すCISAのコミットメントを反映したものであり、時間を割いてコメントを寄せてくださったすべての方々に感謝しています。」
The finalized version reflects the inclusion of feedback provided during the public comment period that ended in October 2021. In partnership with OMB, the General Services Administration (GSA), and the Federal Chief Information Security Officers (CISO) Council TIC Subcommittee, CISA adjudicated feedback and revised the draft “IPv6 Considerations for TIC 3.0” to create this finalized version. 今回の最終版には、2021年10月に終了したパブリックコメント期間中に寄せられた意見が反映されています。CISAは、OMB、General Services Administration(GSA)、Federal Chief Information Security Officers(CISO) Council TIC Subcommitteeとのパートナーシップのもと、フィードバックを審査し、「IPv6 Considerations for TIC 3.0」のドラフトを改訂し、今回の最終版を作成しました。
A summary of the feedback provided, as well as CISA’s response, is available in a fact sheet, “Response to Comments: IPv6 Considerations for TIC 3.0.” CISA recognizes that this is just a starting point for agencies transitioning to IPv6. CISA will continue to work with the Federal IPv6 Task Force to support agencies in this transition. 寄せられた意見の概要とCISAの対応については、ファクトシート「Response to Comments: IPv6 Considerations for TIC 3.0」にまとめられています。 CISAは、これがIPv6に移行する省庁にとって出発点に過ぎないことを認識しています。CISAは、Federal IPv6 Task Forceと協力して、各省庁のIPv6への移行をサポートしていきます。

 

・[PDF]

20220123-65137

目次のようなもの...

INTRODUCTION イントロダクション
PURPOSE 目的
SCOPE 範囲
ASSUMPTIONS AND CONSTRAINTS 前提条件と制約条件
PROTOCOL HISTORY プロトコルの歴史
PROTOCOL BENEFITS プロトコルの利点
PROTOCOL IMPACTS ON TIC 3.0 TIC 3.0におけるプロトコルの影響
TIC OBJECTIVES AND SECURITY CAPABILITIES TICの目的とセキュリティ機能
PROTOCOL SECURITY CONSIDERATIONS AND TIC 3.0 MAPPING プロトコルのセキュリティに関する考察とTIC3.0へのマッピング
CONCLUSION 結論

 

参考

● CISA - Cybersecurity - Securing Federal Networks - Trusted Internet Connections - TIC Guidance

 

The TIC 3.0 core guidance TIC 3.0コアガイダンス    
Volume 1: Program Guidebook v1.1  第1巻:プログラムガイドブック v1.1  Outlines the modernized TIC program and includes its historical context 近代化されたTICプログラムの概要とその歴史的背景の説明
 Volume 2: Reference Architecture v1.1  第2巻:リファレンス・アーキテクチャ v1.1 Defines the concepts of the program to guide and constrain the diverse implementations of the security capabilities プログラムのコンセプトの定義、セキュリティ機能の多様な実装の指針と制約
 Volume 3: Security Capabilities Catalog v2.0  第3巻:セキュリティ機能カタログ v2.0 Indexes security capabilities relevant to TIC TICに関連するセキュリティ機能のインデックス
 Volume 4: Use Case Handbook v1.1  第4巻:ユースケース・ハンドブック v1.1 Introduces use cases, which describe an implementation of TIC for each identified use 特定された用途ごとにTICの実装を記述したユースケースの紹介
 Volume 5: Overlay Handbook v1.1  第5巻:オーバーレイ・ハンドブック v1.1 Introduces overlays, which map the security functions of a vendor to the TIC capabilities ベンダーのセキュリティ機能をTIC機能にマッピングしたオーバーレイの紹介
 Use Case Handbook  ユースケースハンドブック    
Traditional TIC Use Case v1.0 従来のTICのユースケース v1.0 Describes the architecture and security capabilities guidance for the conventional TIC implementation 従来のTIC実装のためのアーキテクチャとセキュリティ機能のガイダンスについての説明
Branch Office Use Case v1.0 支局のユースケース v1.0 Describes the architecture and security capabilities guidance for remote offices 支局向けのアーキテクチャとセキュリティ機能のガイダンスについての説明
Remote User Use Case v1.0 リモートユーザーの使用例 v1.0 Describes the architecture and security capabilities guidance for remote users リモートユーザー向けのアーキテクチャとセキュリティ機能のガイダンスについての説明

 

 

 

| | Comments (0)

2022.01.22

NIST SP 800-121 Rev. 2 Bluetoothセキュリティガイド

こんにちは、丸山満彦です。

NISTがSP 800-121 Rev. 2 Bluetoothセキュリティガイドを公表していますね。。。

NIST - ITL

・2022.01.19 SP 800-121 Rev. 2 Guide to Bluetooth Security

SP 800-121 Rev. 2 Guide to Bluetooth Security SP 800-121 Rev. 2 Bluetoothセキュリティガイド
Abstract 概要
Bluetooth wireless technology is an open standard for short-range radio frequency communication used primarily to establish wireless personal area networks (WPANs), and has been integrated into many types of business and consumer devices. This publication provides information on the security capabilities of Bluetooth and gives recommendations to organizations employing Bluetooth wireless technologies on securing them effectively. The Bluetooth versions within the scope of this publication are versions 1.1, 1.2, 2.0 + Enhanced Data Rate (EDR), 2.1 + EDR, 3.0 + High Speed (HS), 4.0, 4.1, and 4.2. Versions 4.0 and later support the low energy feature of Bluetooth. Bluetoothワイヤレス技術は、主にワイヤレスパーソナルエリアネットワーク(WPAN)を構築するために使用される短距離無線周波数通信のオープンスタンダードであり、多くの種類のビジネス機器やコンシューマ機器に組み込まれています。本書は、Bluetoothのセキュリティ機能に関する情報を提供するとともに、Bluetooth無線技術を採用する企業に対して、効果的なセキュリティ対策を推奨しています。本書の対象となるBluetoothのバージョンは、バージョン1.1、1.2、2.0 + EDR(Enhanced Data Rate)、2.1 + EDR、3.0 + HS(High Speed)、4.0、4.1、4.2です。バージョン4.0以降は、Bluetoothの低エネルギー機能をサポートしています。

 

・[PDF]  SP 800-121 Rev. 2

20220121-225411

 

Executive Summary  エグゼクティブ サマリー
Bluetooth is an open standard for short-range radio frequency (RF) communication. Bluetooth wireless technology is used primarily to establish wireless personal area networks (WPANs). Bluetooth has been integrated into many types of business and consumer devices, including cell phones, laptops, automobiles, medical devices, printers, keyboards, mice, headsets, and, more recently, medical devices and personal devices (such as smart watches, music speakers, home appliances, fitness monitors, and trackers). This allows users to form ad hoc networks between a wide variety of devices to transfer voice and data. This document provides an overview of Bluetooth wireless technology and discusses related security concerns.  Bluetoothは、近距離無線通信のオープンスタンダードです。Bluetoothの無線技術は、主にワイヤレス・パーソナル・エリア・ネットワーク(WPAN)の構築に使用されています。Bluetoothは、携帯電話、ノートパソコン、自動車、医療機器、プリンター、キーボード、マウス、ヘッドセット、さらに最近では、医療機器やパーソナル機器(スマートウォッチ、ミュージックスピーカー、家電製品、フィットネスモニター、トラッカーなど)を含む多くの種類のビジネス機器やコンシューマー機器に組み込まれています。これにより、ユーザーはさまざまな機器間でアドホックネットワークを形成し、音声やデータを転送することができます。この文書では、Bluetoothワイヤレス技術の概要を説明し、関連するセキュリティ上の懸念事項について述べています。
Several Bluetooth versions are currently in use in commercial devices, while the most current version can be found at bluetooth.com. At the time of writing, Bluetooth 4.0 (adopted June 2010) is the most prevalent. The most recent versions include Bluetooth 4.1 and Bluetooth 4.2. Bluetooth 4.1 (adopted December 2013) improved the strengths of the Basic Rate/Enhanced Data Rate (BR/EDR) technology cryptographic key, device authentication, and encryption by making use of Federal Information Processing Standard (FIPS)-approved algorithms. Bluetooth 4.2 (adopted December 2014) improved the strength of the low energy technology cryptographic key by making use of FIPS-approved algorithms, and provided means to convert BR/EDR technology keys to low energy technology keys and vice versa. This publication addresses the security of all versions of Bluetooth.  現在、市販の機器ではいくつかのバージョンのBluetoothが使用されており、最新のバージョンはbluetooth.comで確認できます。この記事を書いている時点では、Bluetooth 4.0(2010年6月採用)が最も普及しています。最新のバージョンには、Bluetooth 4.1とBluetooth 4.2があります。Bluetooth 4.1(2013年12月採択)では、FIPS(Federal Information Processing Standard)承認のアルゴリズムを利用することで、BR/EDR(Basic Rate/Enhanced Data Rate)技術の暗号鍵、デバイス認証、暗号化の強みを改善した。Bluetooth 4.2(2014年12月採択)では、FIPS承認のアルゴリズムを利用して低エネルギー技術の暗号鍵の強度を向上させ、BR/EDR技術の鍵を低エネルギー技術の鍵に、またはその逆に変換する手段を提供しています。本書は、すべてのバージョンのBluetoothのセキュリティに対応しています。 
Bluetooth wireless technology and associated devices are susceptible to general wireless networking threats, such as denial of service (DoS) attacks, eavesdropping, man-in-the-middle (MITM) attacks, message modification, and resource misappropriation. They are also threatened by more specific attacks related to Bluetooth wireless technology that target known vulnerabilities in Bluetooth implementations and specifications. Attacks against improperly secured Bluetooth implementations can provide attackers with unauthorized access to sensitive information and unauthorized use of Bluetooth devices and other systems or networks to which the devices are connected.  Bluetooth無線技術および関連機器は、DoS攻撃、盗聴、中間者(MITM)攻撃、メッセージの改ざん、リソースの不正利用など、一般的な無線ネットワークの脅威の影響を受けやすい。また、Bluetoothの実装や仕様に存在する既知の脆弱性を狙った、Bluetooth無線技術に関連するより具体的な攻撃にも脅かされています。不適切に保護されたBluetooth実装への攻撃は、攻撃者に機密情報への不正アクセスや、Bluetooth機器および機器が接続されている他のシステムやネットワークの不正使用をもたらします。
To improve the security of Bluetooth implementations, organizations should implement the following recommendations:  Bluetooth実装のセキュリティを向上させるために、組織は以下の推奨事項を実施する必要があります。
Organizations should use the strongest Bluetooth security mode that is available for their Bluetooth devices.  組織は、使用するBluetooth機器で利用可能な最も強力なBluetoothセキュリティモードを使用する必要があります。
The Bluetooth specifications define several security modes, and each version of Bluetooth supports some, but not all, of these modes. The modes differ primarily by the point at which the device initiates security; hence, these modes define how well they protect Bluetooth communications and devices from potential attack. Some security modes have configurable security level settings which affect the security of the connections.  Bluetoothの仕様では、いくつかのセキュリティモードが定義されており、Bluetoothの各バージョンでは、これらのモードのすべてではなく一部をサポートしています。これらのモードは、主にデバイスがセキュリティを開始するポイントによって異なります。したがって、これらのモードは、Bluetooth通信およびデバイスを潜在的な攻撃からどの程度保護するかを定義しています。いくつかのセキュリティモードは、接続のセキュリティに影響を与える、設定可能なセキュリティレベルの設定を持っています。
For Bluetooth 4.1 devices that have BR, EDR, and High Speed (HS) features, Security Mode 4, Level 4 is recommended because it requires Secure Connections, which uses authenticated pairing and encryption using 128-bit strength keys generated using FIPS-approved Advanced Encryption Standard (AES) encryption. For Bluetooth 2.1 through 4.0 devices, Security Mode 4, Level 3 is the most secure, and for Bluetooth 2.0 and older devices Security Mode 3 is recommended. Security Modes 2 and 4 can also use authentication and encryption, but do not initiate them until after the Bluetooth physical link has already been fully established and logical channels partially established. Security Mode 1 devices never initiate security and therefore should never be used.  BR、EDR、およびHigh Speed(HS)機能を搭載したBluetooth 4.1機器では、Secure Connectionsが必要となるため、セキュリティモード4、レベル4を推奨します。このモードでは、認証されたペアリングと、FIPS承認のAdvanced Encryption Standard(AES)暗号を用いて生成された128ビット強度の鍵による暗号化が使用されます。Bluetooth 2.1~4.0デバイスでは、セキュリティモード4、レベル3が最も安全であり、Bluetooth 2.0およびそれ以前のデバイスでは、セキュリティモード3が推奨されます。セキュリティモード2と4は、認証と暗号化を使用することもできますが、Bluetoothの物理リンクがすでに完全に確立され、論理チャネルが部分的に確立されるまでは、これらを開始しません。セキュリティモード1のデバイスは、セキュリティを開始しないため、絶対に使用しないでください。 
For the low energy feature of Bluetooth (introduced in Version 4.0 and updated in 4.1 and 4.2), Security Mode 1 Level 4 is the strongest mode because it requires authenticated low energy Secure Connections pairing with Elliptic Curve Diffie-Hellman (ECDH) based encryption. Security Mode 1 Level 3 requires authenticated pairing and encryption but does not use ECDH-based cryptography and thus provides limited eavesdropping protection due to weak encryption. Other security modes/levels allow unauthenticated pairing (meaning no MITM protection is provided during cryptographic key establishment), and some do not require any security at all.  Bluetoothの低エネルギー機能(バージョン4.0で導入され、4.1および4.2で更新された)では、セキュリティモード1レベル4は、楕円曲線Diffie-Hellman(ECDH)ベースの暗号化を伴う認証された低エネルギーSecure Connectionsのペアリングを必要とするため、最も強力なモードです。セキュリティモード1レベル3は、認証されたペアリングと暗号化を必要としますが、ECDHベースの暗号化を使用しないため、暗号化が弱く、限られた盗聴保護しかできません。その他のセキュリティモード/レベルでは、認証されないペアリングが可能であり(つまり、暗号鍵の確立時にMITM防御が行われない)、セキュリティを全く必要としないものもあります。 
The available modes vary based on the Bluetooth specification version supported by the device, so organizations should choose the most secure mode available for each case.  利用可能なモードは、デバイスがサポートするBluetooth仕様のバージョンによって異なるため、組織は、それぞれのケースで利用可能な最も安全なモードを選択する必要があります。
Organizations should address Bluetooth wireless technology in their security policies and change default settings of Bluetooth devices to reflect the policies.  組織は、セキュリティポリシーでBluetooth無線技術を取り上げ、Bluetoothデバイスのデフォルト設定を変更して、ポリシーを反映させる必要があります。
A security policy that defines requirements for Bluetooth security is the foundation for all other Bluetooth related countermeasures. The policy should include a list of approved uses for Bluetooth, a list of the types of information that may be transferred over Bluetooth networks, and, if they are used, requirements for selecting and using Bluetooth personal identification numbers (PINs).[1] A baseline configuration for Bluetooth default settings should accompany the security policy. The checklist in Table 4-2 provides a “Technical Recommendations” section which may be used as a guide. After establishing a Bluetooth security policy, organizations should ensure that Bluetooth devices’ default settings are reviewed and changed as needed so that they comply with the security policy requirements. For example, a typical requirement is to disable unneeded Bluetooth profiles and services to reduce the number of vulnerabilities that attackers could attempt to exploit. When available, a centralized security policy management approach should be used to ensure device configurations are compliant.  Bluetoothのセキュリティに関する要件を定義したセキュリティポリシーは、他のすべてのBluetooth関連対策の基礎となります。ポリシーには、承認されたBluetoothの用途、Bluetoothネットワークを介して転送される可能性のある情報の種類のリスト、および使用される場合にはBluetoothの個人識別番号(PIN)の選択および使用に関する要件を含める必要があります[1]。 セキュリティポリシーには、Bluetoothのデフォルト設定のベースライン構成を添付する必要があります。表4-2のチェックリストには、「技術的推奨事項」の項目があり、これを参考にすることができる。Bluetoothセキュリティポリシーを策定した後、組織は、Bluetoothデバイスのデフォルト設定を見直し、必要に応じてセキュリティポリシーの要件に準拠するように変更する必要があります。例えば、典型的な要件は、攻撃者が悪用しようとする脆弱性の数を減らすために、不要なBluetoothプロファイルおよびサービスを無効にすることです。可能であれば、集中型のセキュリティ・ポリシー管理手法を用いて、デバイスの設定が準拠していることを確認する必要があります。 
Organizations should ensure that their Bluetooth users are made aware of their security related responsibilities regarding Bluetooth use.  組織は、BluetoothユーザーがBluetoothの使用に関するセキュリティ関連の責任を認識していることを確認する必要があります。 
Annual required security awareness programs should be updated to include Bluetooth security policy guidelines. A security awareness program helps educate and train users to follow security practices that protect the assets of an organization and prevent security incidents. For example, users should be provided with a list of precautionary measures they should take to better protect handheld Bluetooth devices from theft. Users should also be made aware of other actions to take regarding Bluetooth device security, such as ensuring that Bluetooth devices are turned off when they are not needed to minimize exposure to malicious activities, and performing Bluetooth device pairing as infrequently as possible and ideally in a physically secure area where attackers cannot observe passkey entry and eavesdrop on Bluetooth pairing-related communications.  毎年要求されるセキュリティ意識向上プログラムは、Bluetoothセキュリティポリシーのガイドラインを含むように更新されるべきです。セキュリティ意識向上プログラムは、組織の資産を保護し、セキュリティインシデントを防止するためのセキュリティ対策に従うよう、ユーザを教育・訓練するのに役立ちます。例えば、ユーザには、携帯型のBluetoothデバイスを盗難からよりよく保護するために取るべき予防措置のリストを提供する必要があります。また、悪意のある行為にさらされる可能性を最小限にするために、不要なときはBluetooth機器の電源を確実に切ることや、Bluetooth機器のペアリングをできるだけ頻繁に行わず、攻撃者がパスキーの入力を観察したり、Bluetoothペアリング関連の通信を盗聴したりできないような物理的に安全な場所で行うことが理想的であるなど、Bluetooth機器のセキュリティに関して取るべき他の行動についても認識しておく必要があります。
[1] Starting with Simple Secure Pairing in Bluetooth 2.1, PINs are not used for pairing any more.  [1] Bluetooth 2.1のSimple Secure Pairingからは、ペアリングにPINが使用されなくなりました。
Table of Contents 目次
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Audience and Assumptions 1.2 想定読者と前提条件
1.3 Document Organization 1.3 文書の構成
2 Overview of Bluetooth Wireless Technology 2 Bluetoothワイヤレス技術の概要
2.1 Bluetooth Wireless Technology Characteristics 2.1 Bluetooth ワイヤレス技術の特徴
2.1.1 Basic, Enhanced, and High Speed Data Rates 2.1.1 基本データレート、拡張データレート、および高速データレート
2.1.2 Low Energy 2.1.2 低エネルギー
2.1.3 Dual Mode Devices (Concurrent Low Energy & BR/EDR/HSSupport) 2.1.3 デュアルモードデバイス (Low Energy & BR/EDR/HSSサポートの同時実現)
2.2 Bluetooth Architecture 2.2 Bluetoothのアーキテクチャ
3 Bluetooth Security Features 3 Bluetoothのセキュリティ機能
3.1 Security Features of Bluetooth BR/EDR/HS 3.1 Bluetooth BR/EDR/HSのセキュリティ機能
3.1.1 Pairing and Link Key Generation 3.1.1 ペアリングおよびリンクキー生成
3.1.2 Authentication 3.1.2 認証
3.1.3 Confidentiality 3.1.3 機密保持
3.1.4 Trust Levels, Service Security Levels, andAuthorization 3.1.4 信頼レベル、サービスセキュリティレベル、および認証
3.2 Security Features of Bluetooth Low Energy 3.2 Bluetooth Low Energyのセキュリティ機能
3.2.1 Low Energy Security Modes and Levels 3.2.1 Low Energyのセキュリティモードとレベル
3.2.2 Low Energy Pairing Methods 3.2.2 低エネルギーのペアリング方法
3.2.3 Legacy Low Energy Key Generation and Distribution 3.2.3 従来の低エネルギー鍵の生成および配布
3.2.4 Low Energy Secure Connection Key Generation 3.2.4 低エネルギーでのセキュアな接続鍵の生成
3.2.5 Confidentiality, Authentication, and Integrity 3.2.5 機密性、認証、および完全性
3.2.6 Low Energy Long Term Key Derivation from Bluetooth Link Key 3.2.6 Bluetoothリンク鍵からの低エネルギー長期鍵の導出
3.2.7 Bluetooth Link Key Derivation from Low Energy Long TermKey 3.2.7 Low Energy Long TermKeyからのBluetooth Link Keyの導出
4 Bluetooth Vulnerabilities, Threats, and Countermeasures 4 Bluetoothの脆弱性、脅威、および対策
4.1 Bluetooth Vulnerabilities 4.1 Bluetoothの脆弱性
4.2 Bluetooth Threats 4.2 Bluetoothの脅威
4.3 Risk Mitigation and Countermeasures 4.3 リスクの軽減と対策
4.4 Bluetooth Security Checklist 4.4 Bluetoothセキュリティチェックリスト

| | Comments (0)

2022.01.21

NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

こんにちは、丸山満彦です。

NISTが、SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築を公表し、意見募集をしていますね。。。

 

● NIST-ITL

・2022.01.11 SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築
Announcement 発表内容
NIST is releasing the draft of a major revision to Special Publication (SP) 800-160 Volume 1, Engineering Trustworthy Secure Systems. This publication is intended to serve as a reference and educational resource for engineers and engineering specialties, architects, designers, and personnel involved in the development of trustworthy secure systems and system components. The guidance can be applied selectively by organizations, individuals, or engineering teams to improve the security and trustworthiness of systems and system components. NISTは、Special Publication (SP) 800-160 Volume 1「信頼性の高い安全なシステムのエンジニアリング」の大幅な改訂のドラフトを公開します。本報告書は、信頼できるセキュアなシステムやシステムコンポーネントの開発に携わるエンジニアやエンジニアリングの専門家、アーキテクト、設計者、担当者のための参考資料および教育資料としての役割を果たすことを目的としています。本ガイダンスは、システムおよびシステム・コンポーネントのセキュリティと信頼性を向上させるために、組織、個人、またはエンジニアリング・チームが選択的に適用することができます。
In particular, Draft SP 800-160 Volume 1, Revision 1 focuses on the following strategic objectives, which drove the majority of changes to the publication: ドラフトSP 800-160第1改訂版では、特に以下の戦略的な目的に焦点を当てており、これが本報告書の変更の大きな原動力となっています。
More strongly positioning Systems Security Engineering (SSE) as a sub-discipline of Systems Engineering (SE) ・システム・セキュリティ・エンジニアリング(SSE)をシステム・エンジニアリング(SE)の下位分野としてより強く位置づける。
Emphasizing that the responsibility for engineering trustworthy secure systems is not limited to security specialties and that the achievement of security outcomes must properly align with SE outcomes ・信頼できる安全なシステムをエンジニアリングする責任は、セキュリティの専門家に限られたものではなく、セキュリティの成果をSEの成果と適切に整合させる必要があることを強調する。
Aligning SSE practices with safety practices and other disciplines that deal with the loss of assets and the consequences of asset loss ・SSEの実践を、資産の喪失とその結果に対処する安全性の実践やその他の分野と整合させる。
Focusing on the assurance of the correctness and effectiveness of the system’s security capability to achieve authorized and intended behaviors and outcomes and control adverse effects and loss ・承認された意図された動作と結果を達成し、悪影響と損失を制御するための、システムのセキュリティ能力の正しさと有効性の保証に焦点を当てる。
More closely aligning systems security engineering work to international standards ・システム・セキュリティ・エンジニアリング業務を国際標準に近づける。
NIST is interested in your feedback on the specific changes made to the publication during this update, including the organization and structure of the publication, the presentation of the material, its ease of use, and the applicability of the technical content to current or planned systems engineering initiatives. NISTでは、今回のアップデートで報告書に加えられた具体的な変更点(報告書の構成や構造、資料の表示方法、使いやすさ、技術的な内容の現在または計画中のシステムエンジニアリングの取り組みへの適用性など)について、皆様からのフィードバックをお待ちしています。
Abstract 概要
With the continuing frequency, intensity, and adverse consequences of cyber-attacks, disruptions, hazards, and other threats to federal, state, and local governments, as well as private sector organizations, the need for trustworthy secure systems has never been more important to the long-term economic and national security interests of the United States. Engineering-based solutions are essential to managing the complexity, dynamicity, and interconnectedness of today’s systems, as exemplified by cyber-physical systems and systems-of-systems. This publication addresses the engineering-driven perspective and actions necessary to develop more defensible and survivable systems, inclusive of the machine, physical, and human components that compose those systems and the capabilities and services delivered by those systems. This publication starts with and builds upon established international standards for systems and software engineering by the International Organization for Standardization (ISO), the International Electrotechnical Commission (IEC), and the Institute of Electrical and Electronics Engineers (IEEE) and infuses systems security engineering methods, practices, and techniques into those systems and software engineering activities. The objective is to address security issues from a stakeholder protection needs, concerns, and requirements perspective and to use established engineering processes to help ensure that such needs, concerns, and requirements are addressed with appropriate fidelity and rigor throughout the system life cycle. 連邦政府、州政府、地方自治体、および民間企業に対するサイバー攻撃、混乱、災害、その他の脅威が継続的に発生し、その頻度や強度、悪影響が増大している中、信頼できる安全なシステムの必要性は、米国の長期的な経済的・国家的安全保障上の利益にとって、かつてないほど重要なものとなっています。サイバーフィジカルシステムやシステム・オブ・システムに代表されるように、今日のシステムの複雑性、動的性、相互接続性を管理するためには、エンジニアリングに基づくソリューションが不可欠です。本書は、システムを構成する機械的、物理的、人間的なコンポーネントや、システムが提供する機能やサービスを含めて、より防御力の高い、生存可能なシステムを開発するために必要な工学的な視点と行動を取り上げています。本書は、国際標準化機構(ISO)、国際電気標準会議(IEC)、米国電気電子学会(IEEE)によって確立されたシステムおよびソフトウェアエンジニアリングの国際標準を出発点とし、これをベースにして、システムセキュリティエンジニアリングの手法、実践、技術をシステムおよびソフトウェアエンジニアリングの活動に注入しています。その目的は、利害関係者の保護ニーズ、懸念事項、要求事項の観点からセキュリティ問題に取り組み、確立されたエンジニアリングプロセスを用いて、システムのライフサイクルを通じて、そのようなニーズ、懸念事項、要求事項に適切な忠実さと厳密さをもって対処することにあります。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1 (Draft)

20220121-175041

 

目次です。。。

CHAPTER ONE INTRODUCTION 第1章 はじめに
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用範囲
1.2 TARGET AUDIENCE 1.2 対象読者
1.3 HOW TO USE THIS PUBLICATION 1.3 本書の使用方法
1.4 ORGANIZATION OF THIS PUBLICATION 1.4 本書の構成
CHAPTER TWO THE FUNDAMENTALS 第2章 基礎編
2.1 ENGINEERING FOUNDATIONS 2.1 エンジニアリングの基礎
2.2 SYSTEM CONCEPTS 2.2 システムの概念
2.2.1 Systems and System Structure 2.2.1 システムとシステム構造
2.2.2 Interfacing, Enabling, and Interoperating Systems 2.2.2 システムの相互接続、有効化、および相互運用
2.3 SYSTEM SECURITY PERSPECTIVE 2.3 システムセキュリティの観点
2.3.1 The Nature and Character of Systems 2.3.1 システムの性質と特徴
2.3.2 The Concept of Loss 2.3.2 損失の概念
2.3.3 The Concept of Security 2.3.3 セキュリティの