« January 2022 | Main | March 2022 »

February 2022

2022.02.28

個人情報保護委員会 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載

こんにちは、丸山満彦です。

個人情報保護委員会が、「個人情報保護法改正~知っておくべき2つのポイント(個人編) 」と「個人情報保護法改正~知っておくべき2つのポイント(事業者編)」を1月31日に公表していたようです。。。

ナレーションは貫地谷しほりさんのようですね。。。

 

個人情報保護委員会

・2022.02.28 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載しました

 

● 政府インターネットテレビ

□ 個人編

・2022.01.31 (動画)個人情報保護法改正~知っておくべき2つのポイント(個人編)

令和4年4月より施行される改正個人情報保護法の「利用停止、消去等の請求権」、「第三者提供記録の開示請求権」について解説しています。

□ 事業者編

・2022.01.31 (動画)個人情報保護法改正~知っておくべき2つのポイント(事業者編)

令和4年4月より施行される改正個人情報保護法の「報告・通知の義務化」、「個人関連情報」について解説しています。
Ppc_logo_20210325120001_20210520035201

| | Comments (0)

NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

こんにちは、丸山満彦です。

NISTがNISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)を公表し、意見募集をしていますね。。。これは、2021.06.29に公表されたNISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門に得られたコメントを反映し、再度意見募集をしているものになりますね。。。


1_20220227213101

図1:衛星運用の概念的なハイレベル・アーキテクチャの主要部分
NISTIR 8270 2nd Draft


 

1_20220227214001

図2:主な検討事項とコミュニケーション
NISTIR 8270 2nd Draft

 

1_20220227215801

図3:運用のフェーズ
NISTIR 8270 2nd Draft

日本でもつい先日(21日)、経済産業省から、「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」に対する意見募集についてが公表されていますね。。。

このブログの「・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」」を参考にしてくださいませ。

 

NIST - ITL

・2022.02.25 NISTIR 8270 (Draft) Introduction to Cybersecurity for Commercial Satellite Operations (2nd Draft)

 
Announcement 発表内容
Space operations are vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. However, cyber-related threats to space assets and their supporting infrastructure pose increasing risks to the economic promise of emerging markets in space. This second draft of NISTIR 8270, Introduction to Cybersecurity for Commercial Satellite Operations, presents a specific method for applying the Cybersecurity Framework (CSF) to commercial space business and describes an abstracted set of cybersecurity outcomes, requirements, and suggested controls. 宇宙活動は、国家の安全保障、経済的繁栄、科学的知識を向上させるために不可欠である。しかし、宇宙資産とそれを支えるインフラに対するサイバー関連の脅威は、宇宙における新興市場の経済的な有望性に増大するリスクをもたらしている。このNISTIR 8270「Introduction to Cybersecurity for Commercial Satellite Operations」の第2草案は、サイバーセキュリティ・フレームワーク(CSF)を商業宇宙事業に適用するための具体的な方法を示し、サイバーセキュリティの成果、要件、および推奨制御を抽象化して記述している。
The draft also: また、この草案は
・Clarifies scope with an emphasis on the satellite itself, ・衛星そのものに重点を置いて範囲を明確化し、
・Updates examples for clarity, ・例を分かりやすくするために更新し、
・Adds more detailed steps for developing a current and target profile and risk analysis, and ・現在およびターゲットのプロファイルとリスク分析を開発するための、より詳細なステップを追加し、
・Provides references for relevant regulations around commercial space. ・商業宇宙をめぐる関連規制の参考文献を提供しています。
Reviewers are asked to provide feedback on additional threat models that might help in the development of organization profiles, informative references on the application of security controls to satellites, and standards or informative references that might benefit all readers. レビュアーは、組織プロファイルの開発に役立つかもしれない脅威モデルの追加、衛星へのセキュリティ制御の適用に関する有益な参考資料、すべての読者に有益かもしれない規格や有益な参考資料に関するフィードバックを求めています。
Abstract 概要
Space is a newly emerging commercial critical infrastructure sector that is no longer the domain of only national government authorities. Space is an inherently risky environment in which to operate, so cybersecurity risks involving commercial space – including those affecting commercial satellite vehicles – need to be understood and managed alongside other types of risks to ensure safe and successful operations. This report provides a general introduction to cybersecurity risk management for the commercial satellite industry as they seek to start managing cybersecurity risks in space. This document is by no means comprehensive in terms of addressing all of the cybersecurity risks to commercial satellite infrastructure, nor does it explore risks to satellite vehicles, which may be introduced through the implementation of cybersecurity controls. The intent is to present basic concepts, generate discussions, and provide sample references for additional information on pertinent cybersecurity risk management models. 宇宙は、もはや国家政府当局だけの領域ではなく、新たに出現した商業的重要インフラ部門です。宇宙は本質的にリスクの高い環境であるため、商業衛星に影響を与えるものを含め、商業宇宙に関わるサイバーセキュリティリスクは、安全で成功した運用を確保するために他の種類のリスクと合わせて理解し管理する必要がです。本報告書は、商業衛星業界が宇宙におけるサイバーセキュリティリスクの管理を開始しようとする際に、サイバーセキュリティリスク管理の一般的な入門書を提供するものです。本書は、商業衛星インフラに対するすべてのサイバーセキュリティリスクを取り上げるという点では決して包括的なものではありませんし、サイバーセキュリティ管理の実施によってもたらされるかもしれない衛星機に対するリスクも探求していません。その意図は、基本的な概念を提示し、議論を喚起し、関連するサイバーセキュリティリスク管理モデルに関する追加情報への参考文献のサンプルを提供することです。

 

・[PDF] NISTIR 8270 (Draft)

20220228-61241

想定読者

Audience 想定読者
The primary audience for this publication includes chief information officers (CIOs), chief technology officers (CTOs), and risk officers of organizations who are using or plan to use commercial satellite operations and are new to cybersecurity risk management for these operations. 本書の主な対象者は、商業衛星運用を利用している、または利用を計画している組織の最高情報責任者(CIO)、最高技術責任者(CTO)、リスク管理担当者で、これらの運用のためのサイバーセキュリティ・リスク管理を初めて行う人です。

 

Executive Summary  エグゼクティブサマリー 
As stated in the September 2018 United States National Cyber Strategy, the U.S. Government considers unfettered access to and freedom to operate in space vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. Space Policy Directive 5 (SPD-5) was released in 2020 to address the need for cybersecurity in space systems and directed federal agencies to work with non-government space operators to define and establish cybersecurityinformed norms for space systems. This profile is part of NIST’s effort to support SPD-5 and its goals for securing space.  2018年9月の米国国家サイバー戦略で述べられているように、米国政府は、宇宙への自由なアクセスと活動の自由は、国家の安全保障、経済的繁栄、科学的知識を前進させるために不可欠であると考えています。宇宙システムにおけるサイバーセキュリティの必要性に対処するため、2020年に宇宙政策指令5(SPD-5)が発表され、連邦政府機関に対し、非政府の宇宙事業者と協力して宇宙システムのサイバーセキュリティに配慮した規範を定義・確立するよう指示された。このプロファイルは、SPD-5と宇宙の安全確保に関する目標を支援するためのNISTの取り組みの一部です。
Cyber-related threats to space assets (e.g., commercial satellites) and supporting infrastructure pose increasing risk to this economic promise and commercial space emerging markets. Commercial satellite operations occur in an inherently risky environment. Physical risks to these operations are generally quantifiable and have the most likely potential to adversely impact the businesses that operate commercial satellites, usually in low-earth orbit. While this is the primary risk consideration for satellite operations, continued growth in this new commercial infrastructure allows for opportunities to address cybersecurity risks along with other risk elements.[1]  宇宙資産(商業衛星など)とそれを支えるインフラに対するサイバー関連の脅威は、この経済的な約束と商業宇宙の新興市場にますます大きなリスクをもたらしています。   商業衛星の運用は、本質的にリスクの高い環境で行われます。これらの事業に対する物理的なリスクは、一般的に定量化可能であり、通常は低軌道で商業衛星を運用する事業に悪影響を及ぼす可能性が最も高いと考えられます。これは衛星運用の主なリスクであるが、この新しい商業インフラの継続的な成長は、他のリスク要素とともにサイバーセキュリティリスクに対処する機会を与えてくれるものです[1]。
Methods for the creation, maintenance, and implementation of a cybersecurity program for many of the commercial and international markets include products in national and international standard-setting organizations (SSOs), as well as the use of risk management guidance from the National Institute of Standards and Technology (NIST). NIST risk management guidance includes specific technical references, cybersecurity control catalogues, the IT Risk Management Framework, and the Cybersecurity Framework (CSF).  多くの商業および国際市場向けのサイバーセキュリティプログラムの作成、維持、実施の方法には、国内および国際標準設定機関(SSO)の製品や、米国標準技術局(NIST)のリスク管理ガイダンスの使用が含まれます。NISTのリスク管理ガイダンスには、特定の技術文献、サイバーセキュリティ・コントロール・カタログ、ITリスク管理フレームワーク、サイバーセキュリティ・フレームワーク(CSF)などがあります。
The intent of this document is to introduce the CSF to commercial space businesses. This includes describing a specific method for applying the CSF to a small portion of commercial satellite operations (e.g., a small sensing satellite), creating an example CSF set of desired security outcomes based on missions and anticipated threats, and describing an abstracted set of cybersecurity outcomes, requirements, and suggested cybersecurity controls.   この文書の目的は、商業宇宙ビジネスにCSFを紹介することです。これには、商業衛星運用のごく一部(例えば、小型のセンシング衛星)にCSFを適用するための具体的な方法を説明すること、ミッションと予想される脅威に基づいて望ましいセキュリティ成果のCSFセットの例を作成すること、サイバーセキュリティ成果、要件、および推奨されるサイバーセキュリティ制御の抽象化されたセットを説明することが含まれます。 
NIST asks the commercial satellite operations community to use this document as an informative reference to assist in managing cybersecurity risks and to consider how cybersecurity requirements might coexist within space vehicle system requirements. The example requirements listed in this document could be used to create an initial baseline. However, NIST recommends that organizations use this document in coordination with the set of NIST references and applicable SSO materials to create cybersecurity outcomes, requirements, and controls customized to support an organization’s particular business needs and address its individual threat models.  NISTは、商業衛星運用コミュニティに対し、サイバーセキュリティ・リスクの管理を支援し、宇宙機システム要件の中にサイバーセキュリティ要件をどのように共存させるかを検討するための参考資料として本文書を使用するよう求めています。本書に記載されている要件の例は、初期のベースラインを作成するために使用することができます。しかし、NISTは、組織の特定のビジネスニーズをサポートし、個々の脅威モデルに対処するためにカスタマイズされたサイバーセキュリティの成果、要件、およびコントロールを作成するために、NISTの一連の参考文献および適用可能なSSOの資料と連携して本書を使用することを推奨します。
This report focuses on uncrewed commercial space vehicles that will not dock with human occupied spacecraft.  本報告書は、人間が乗っている宇宙船とドッキングしないクルーレスの商用宇宙機に焦点を当てています。 
[1] These can include, but are not limited to, physical risks, EMI/EMC, financial risks, and supplier and customer risks.  これらには、物理的なリスク、EMI/EMC、財務的なリスク、サプライヤーや顧客のリスクなどが含まれますが、これらに限定されるものではありません。

 

目次。。。

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Report Structure 1.2 報告書の構成
2 Conceptual High-Level Architecture of Satellite Operations 2 人工衛星運用の概念的なハイレベル・アーキテクチャ
2.1 Space Architecture Segments 2.1 スペースアーキテクチャのセグメント
2.1.1 Space Segment: 2.1.1 スペースセグメント
2.1.2 Key Considerations and Communications: 2.1.2 重要な検討事項と通信
2.1.3 Other Space Architecture Segments 2.1.3 その他のスペース・アーキテクチャ・セグメント
2.2 Spacecraft Vehicle Life Cycle Phases 2.2 宇宙機のライフサイクル・フェーズ
2.2.1 Operational Phase 2.2.1 運用フェーズ
2.2.2 Other Phases 2.2.2 その他のフェーズ
3 An Introduction to the Cybersecurity Framework 3 サイバーセキュリティフレームワークの紹介
4 Creating a Cybersecurity Program for Space Operations 4 宇宙事業のためのサイバーセキュリティプログラムの作成
4.1 Using the Cybersecurity Framework to Develop a Profile 4.1 サイバーセキュリティフレームワークを利用したプロファイルの策定
4.2 Case Study Example 4.2 ケーススタディの例
4.2.1 Scenario Background 4.2.1 シナリオの背景
4.3 Conclusion 4.3 おわりに
References 参考文献
List of Appendices 附属書一覧
Appendix A— Examples of Relevant Regulations 附属書A - 関連する規制の例
Appendix B— Acronyms 附属書B - 頭字語
Appendix C— Glossary 附属書C - 用語集

 


参考

 

● NIST - ITL

・2021.02.11 (PUBLICATIONSNISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services



まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

| | Comments (0)

2022.02.27

経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

こんにちは、丸山満彦です。

経済産業省が、「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」について意見募集をしていますね。。。実は私も委員なんですが...(^^)

このガイドラインの対象は、民間事業者による、観測衛星の、人工衛星+地上設備に対するサイバーセキュリティ対策となっています。。。なので、範囲をしぼっています。。。

荒削りなので、みなさんの意見が必要です! 是非コメントを!!!

● e-Gov

・2022.02.21 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」に対する意見募集について

参考情報

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン β版 概要資料  [Downloaded]

意見募集対象

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版 [Downloaded]

20220227-14451

目次

1 はじめに
.1 本ガイドライン作成の背景・目的
.2 本ガイドラインの対象範囲
.3 本ガイドラインの構成及び想定読者

2 宇宙システムを取り巻くセキュリティに係る状況
.1 インシデント事例
.2 民間宇宙システムにおけるセキュリティリスクの考え方

3 民間宇宙システムにおけるセキュリティ対策のポイント
.1 共通的対策
3.1.1 組織的なセキュリティリスクマネジメント
3.1.2 クラウドセキュリティ対策
3.1.3 テレワークセキュリティ対策
3.1.4 内部犯行対策
3.1.5 外部へのインシデント報告

.2 宇宙システム特有の対策
3.2.1 法令上求められる対策
3.2.2 衛星本体
3.2.3 衛星運用設備
3.2.4 衛星データ利用設備
3.2.5 開発・製造設備

4 付録
.1 用語の定義
.2 略語集
.3 本ガイドライン作成について

 


経済産業省産業サイバーセキュリティ研究会 - ワーキンググループ1(制度・技術・標準化) - 宇宙産業サブワーキンググループ

2022.02.07 第4回

2021.11.04 第3回

2021.03.03 第2回

 

2021.01.14 第1回

 

| | Comments (0)

NISC ホワイトペーパー:サイバーセキュリティリスクマネジメントを始めるために:ランサムウェア

こんにちは、丸山満彦です。

NISCがランサムウェアについてのホワイトペーパー(クイックスタートガイド)を公表しています。。。NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイルとも関連したものです。。。

● NIST - ITL

・2022.02.24 White Paper Getting Started with Cybersecurity Risk Management: Ransomware

・[PDF]

20220227-03329

IDENTIFY 識別
Maintain hardware and software inventories. It’s important to understand what computer hardware and software is used by your enterprise. These are frequently the entry points of malicious actors who engage in ransomware attacks. This information helps remediate vulnerabilities that could be exploited in ransomware attacks and is also very useful in recovery. An inventory can be as simple as a spreadsheet. Software inventories should track software name and version, devices where it is currently installed, the last patch date, and known vulnerabilities. ハードウェアとソフトウェアのインベントリーを管理する企業で使用されているコンピュータのハードウェアとソフトウェアを把握することは重要です。これらは、ランサムウェア攻撃を行う悪意ある行為者の侵入口となることが多いからです。この情報は、ランサムウェア攻撃で悪用される可能性のある脆弱性を修正するのに役立ち、また復旧にも非常に有効です。インベントリは、スプレッドシートのようなシンプルなものでよい。ソフトウェアのインベントリには、ソフトウェアの名前とバージョン、現在インストールされているデバイス、最終パッチ適用日、既知の脆弱性などを記録しておく必要があります。
Document information flows. Knowing what type of information your enterprise collects and uses is vital, but so is understanding where data is located and flows, especially when contracts and external partners are engaged. Construct a record of information flows (e.g., connections among devices/internet protocol addresses) to help enumerate what information or processes are at risk if the attackers move laterally within an environment. 情報の流れを文書化する。企業がどのような情報を収集し、使用しているかを知ることは重要ですが、特に契約や外部パートナーが関与している場合は、データがどこにあり、どのように流れているかを理解することも重要です。情報の流れの記録(デバイス間の接続やインターネットプロトコルアドレスなど)を作成し、攻撃者が環境内で横方向に移動した場合に、どの情報やプロセスが危険にさらされるかを列挙するのに役立てます。
Identify the external information systems to which your enterprise connects. In case of a ransomware event, you need to plan how you will communicate with partners and identify possible actions to temporarily disconnect from external systems. Identifying these connections will also help put security controls in place (e.g., access rights) and indicate areas where controls may be shared with third parties. 企業が接続している外部情報システムを特定する。ランサムウェアが発生した場合、パートナーとの通信方法を計画し、外部システムとの接続を一時的に解除するための可能なアクションを特定する必要があります。また、これらの接続先を特定することは、セキュリティ管理(アクセス権など)を実施し、第三者と管理を共有する可能性がある領域を示すのに役立ちます。
Identify critical enterprise processes and assets. What are your enterprise’s activities that absolutely must continue in order to be viable? This could be maintaining a website to retrieve payments, protecting customer/patient information securely, or ensuring the data your enterprise collects remains accessible and accurate. This information is essential to understanding the true scope and impact of ransomware events and is vital in contingency planning for future ransomware events, emergency response, and recovery actions. Having this information in advance allows enterprises to prioritize resources. If you rely on an industrial control system (ICS), include its critical functions. 企業の重要なプロセスや資産を特定する。企業が存続するために、絶対に続けなければならない活動は何でしょうか。例えば、支払いを受け取るためのウェブサイトの維持、顧客/患者情報の安全な保護、企業が収集するデータへのアクセスと正確性の確保などが考えられます。この情報は、ランサムウェアの真の範囲と影響を理解するために不可欠であり、将来のランサムウェアのイベント、緊急対応、および回復措置のための危機管理計画に不可欠なものです。このような情報を事前に入手することで、企業はリソースの優先順位を決めることができます。産業用制御システム(ICS)に依存している場合は、その重要な機能を含めてください。
Establish cybersecurity policies that spell out roles and responsibilities. These should clearly describe expectations for how your enterprise’s cybersecurity activities including actions by employees, contractors, and partners will protect your information and systems and support critical enterprise processes. Cybersecurity policies should be integrated with other enterprise risk considerations (e.g., financial, reputational). 役割と責任を明確にしたサイバーセキュリティポリシーを制定する。このポリシーには、従業員、請負業者、およびパートナーによる行動を含め、企業のサイバーセキュリティ活動がどのように情報とシステムを保護し、重要な企業プロセスをサポートするかについての期待が明確に記述されている必要があります。サイバーセキュリティ方針は、他の企業リスク (財務、風評など) と統合して検討する必要があります。
PROTECT 防御
Manage access to assets and information. If you do nothing else, limit access to physical and computerrelated assets and associated facilities to authorized users, processes, and devices and manage access consistent with the risk to critical activities and transactions. 資産や情報へのアクセスを管理する。物理的資産やコンピュータ関連資産、関連施設へのアクセスを許可されたユーザー、プロセス、デバイスに限定し、重要な活動や取引に対するリスクと整合性のあるアクセスを管理します。
Start by creating unique accounts for each employee and ensure that users have access only to information, computers, and applications needed for their jobs. Choose standard user accounts versus accounts with administrative privileges wherever possible. Authenticate users by strong passwords or multi-factor techniques before they are granted that access. まず、従業員ごとに固有のアカウントを作成し、業務に必要な情報、コンピュータ、アプリケーションにのみアクセスできるようにすることから始めます。可能な限り、管理者権限を持つアカウントではなく、標準的なユーザーアカウントを選択します。アクセス権を付与する前に、強力なパスワードや多要素技術でユーザーを認証します。
Since most ransomware attacks are conducted remotely, controlling remote access is vital to maintaining the integrity of systems and data files to protect against malicious code insertion and data exfiltration. Restrict access to official networks from personal devices. Tightly manage and track physical access to devices, whether it is a laptop computer or a critical component of an industrial control system (ICS). ランサムウェアの多くは遠隔操作で行われるため、悪意のあるコードの挿入やデータの流出を防ぐには、システムとデータファイルの完全性を維持するためのリモートアクセスの制御が欠かせません。個人所有のデバイスから公式ネットワークへのアクセスを制限します。ノートパソコンや産業用制御システム(ICS)の重要なコンポーネントなど、デバイスへの物理的なアクセスを厳密に管理し、追跡します。
In larger or more complex organizations, network segmentation or segregation can limit the scope of ransomware events by preventing malware from proliferating among potential target systems. This is particularly important for critical ICS functions, including Safety Instrument Systems (SIS). 大規模または複雑な組織では、ネットワークのセグメント化または分離により、ターゲットとなり得るシステム間でマルウェアが増殖するのを防ぐことで、ランサムウェアのイベント範囲を制限することができます。これは、安全機器システム(SIS)を含む重要なICS機能にとって特に重要です。
Manage device vulnerabilities. Regularly update the operating system and the applications on your computers and other devices to protect them from attack. Keep them fully patched! If possible, enable automatic updates. Block access to ransomware sites. Consider using software tools to scan devices for additional vulnerabilities and remediate vulnerabilities with high likelihood or impact. Properly configuring change and update processes can help to discourage replacement of code with products that contain malware or do not satisfy access management policies. デバイスの脆弱性を管理する。パソコンなどのデバイスのOSやアプリケーションを定期的にアップデートし、攻撃から守ります。パッチは常に万全に可能であれば、自動更新を有効にする。ランサムウェアのサイトへのアクセスをブロックします。ソフトウェアツールを使用して、デバイスの脆弱性をスキャンし、可能性や影響が大きい脆弱性を修正することを検討します。変更と更新のプロセスを適切に設定することで、マルウェアを含む製品やアクセス管理ポリシーを満たさない製品へのコードの置き換えを阻止することができます。
Educate and train employees and other users.Regularly train and retrain all users to be sure that they are aware of enterprise cybersecurity policies and procedures and their specific roles and responsibilities and make it a condition of employment. Training those responsible for hardware and software installation, configuration, and maintenance is key, but equally important is training all users to always use antivirus software, to install only if they are approved by the organization, click only on verified links, to connect only to secured networks, and not to connect devices to public charging stations. Users should know that their access to official networks from personal devices is restricted. Most ransomware attacks are made possible by users who engage in unsafe practices, administrators who implement insecure configurations, or developers who have insufficient security training. 従業員やその他のユーザーの教育・訓練を行うすべてのユーザーが企業のサイバーセキュリティ方針と手順、および各自の役割と責任を認識していることを確認するために、定期的に訓練と再訓練を行い、それを雇用の条件とします。ハードウェアとソフトウェアのインストール、設定、保守の担当者を訓練することも重要ですが、ウイルス対策ソフトウェアを常に使用すること、組織が承認した場合のみインストールすること、検証済みのリンクのみをクリックすること、安全なネットワークにのみ接続すること、公共の充電ステーションにデバイスを接続しないことをすべてのユーザーに訓練することも同様に重要です。個人所有のデバイスから公式ネットワークへのアクセスは制限されていることを認識する必要があります。ランサムウェア攻撃の多くは、安全でない行為を行うユーザー、安全でない設定を行う管理者、セキュリティ訓練が不十分な開発者によって引き起こされます。
Protect your devices – securely. Consider installing host-based firewalls and other protections such as endpoint security products. Apply uniform configurations to devices and control changes to device configurations. Disable device services or features that are not necessary to support mission functions. Ensure that there is a policy and a way to dispose of devices properly. These measures protect against installing ransomware and they also protect against data leaks. デバイスを安全に保護する。ホストベースのファイアウォールや、エンドポイントセキュリティ製品などの導入を検討します。デバイスに統一された設定を適用し、デバイスの設定変更を制御する。ミッション機能のサポートに不要なデバイスのサービスや機能を無効にします。デバイスを適切に廃棄するためのポリシーと方法を確立します。これらの対策は、ランサムウェアのインストールを防ぎ、データ漏洩からも保護することができます。
Protect sensitive data. Your organization likely stores or transmits sensitive data, so you should manage your information and records (data) consistent with your risk strategy to protect the confidentiality, integrity, and availability of information. Use integrity checking mechanisms (like digital signatures) to verify software, firmware, and information integrity and detect tampered software updates that can be used to insert malware. 機密データを保護する。あなたの組織は機密データを保存または送信している可能性が高いので、情報の機密性、完全性、可用性を保護するために、あなたのリスク戦略と一致する情報と記録(データ)を管理する必要があります。デジタル署名などの完全性チェック機構を使用して、ソフトウェア、ファームウェア、情報の完全性を検証し、マルウェアの挿入に使用できる改ざんされたソフトウェア更新を検出します。
Conduct regular backups. Ensuring availability of data can reduce ransomware impacts. This includes the ability to maintain offsite and offline data backups, as well as testing the mean time to recovery and system redundancy. Many operating systems have built-in backup capabilities; software and cloud solutions are also available to automate backups. It’s good practice to keep one frequently backed up set of data offline. Regular backups that are maintained and tested are essential to timely and relatively painless recovery from ransomware events. Secure backups and keep them offline so they cannot become corrupted or be deleted by ransomware or by an attacker. 定期的なバックアップを実施する。データの可用性を確保することで、ランサムウェアの影響を軽減することができます。これには、オフサイトおよびオフラインのデータバックアップを維持する能力、回復までの平均時間やシステムの冗長性のテストが含まれます。多くのOSにはバックアップ機能が組み込まれています。また、バックアップを自動化するソフトウェアやクラウドソリューションも提供されています。頻繁にバックアップを取るデータの1つをオフラインで保存しておくのは良い習慣です。ランサムウェアからタイムリーかつ比較的容易に復旧するためには、定期的なバックアップの維持とテストが不可欠です。ランサムウェアや攻撃者によってバックアップが破損したり、削除されたりしないように、バックアップを安全に保管し、オフラインにしてください。
DETECT 検知
Test and update detection processes. Develop and test processes and procedures for detecting anomalous events such as unauthorized entities and actions on the networks and in the physical environment, including personnel activity. This includes determining the impact of events that can inform response and recovery priorities for a ransomware attack. 検知プロセスをテストし更新する。ネットワーク上や物理環境における不正なエンティティや行動(人の動きを含む)などの異常なイベントを検出するためのプロセスや手順を開発し、テストする。これには、ランサムウェア攻撃への対応と復旧の優先順位を知らせることができるイベントの影響度を判断することも含まれます。
Larger or more complex organizations should acquire and install Security Information and Event Management (SIEM) solutions that include multiple sources and sensors to improve network visibility, assist in the early detection of ransomware, and aid in understanding how ransomware may propagate through a network. These tools need to generate and record (log) activity. Logs are crucial to identifying anomalies in computers and applications; they record events such as changes to systems or accounts as well as communication channels. Consider using software tools that can aggregate these logs and look for patterns or anomalies from expected network behavior. 大規模または複雑な組織は、ネットワークの可視性を向上させ、ランサムウェアの早期発見を支援し、ランサムウェアがネットワークを通じて伝播する方法を理解するために、複数のソースとセンサーを含むセキュリティ情報およびイベント管理(SIEM)ソリューションを取得し、導入する必要があります。これらのツールは、アクティビティの生成と記録(ログ)を行う必要があります。ログは、コンピュータやアプリケーションの異常を特定するために非常に重要です。ログには、システムやアカウントへの変更などのイベントや通信チャネルが記録されます。これらのログを集計し、予想されるネットワーク動作のパターンや異常を探すことができるソフトウェア・ツールの使用を検討してください。
Train staff. Staff should be aware of their roles and responsibilities to detect and report within your organization and to external authorities. That requires training and retraining.  要員を教育する。要員は、組織内および外部当局への検出と報告の役割と責任を認識する必要があります。そのためには、訓練と再訓練が必要です。
Know expected data flows. If you know what and how data is expected to flow for your enterprise, you are much more likely to notice when the unexpected happens and unexpected is never a good thing when it comes to cybersecurity. Unexpected data flows might include customer information being exported from an internal database and exiting the network. If you have contracted work to a cloud or managed service provider, discuss with them how they track data flows and report, including unexpected events. 想定されるデータの流れを知る。企業にとって予想されるデータの流れを知っていれば、予期せぬ事態が発生したときに気づく可能性が高くなります。予期せぬデータの流れとは、顧客情報が社内のデータベースからエクスポートされ、ネットワークから外部に流出するような場合です。クラウドやマネージド・サービス・プロバイダーに業務を委託している場合は、予期せぬ事象を含め、データの流れをどのように追跡し、どのように報告しているかについて、プロバイダーと話し合ってください。
Quickly communicate and determine the impact of cybersecurity events. Timely communication of anomalous events is essential to taking remedial actions before a ransomware attack can be fully damaging. If a cybersecurity event is detected, your enterprise should work quickly and thoroughly to understand the breadth and depth of the impact. Seek help. Communicating with appropriate stakeholders and with law enforcement (e.g., FBI) will help keep you in good stead with partners, oversight bodies, and others (potentially including investors) and improve policies and processes. サイバーセキュリティ事象の迅速な伝達と影響度を把握するランサムウェアの攻撃で十分な被害が出る前に改善策を講じるには、異常事態のタイムリーな伝達が不可欠です。サイバーセキュリティの事象が検出された場合、企業は、その影響の広さと深さを理解するために迅速かつ徹底的に取り組む必要があります。支援を求める。適切な利害関係者や法執行機関(FBI など)とコミュニケーションを取ることで、パートナー、監督機関、その他(投資家も含む)との関係を良好に保ち、ポリシーとプロセスを改善することができます。
RESPOND 対応
Develop response plans. Like many other things, ransomware response starts with planning, including coordinating plans with internal and external stakeholders. Focus on procedures for immediate mitigation and containing the ransomware event and determining its impact. 対応計画を策定する。他の多くの事柄と同様に、ランサムウェアの対応は、社内外の関係者との計画の調整を含む、計画から始まります。ランサムウェアの事象を直ちに緩和・封じ込め、その影響を判断するための手順に重点を置きます。
Coordinate with internal and external stakeholders. Include all key stakeholders and external service providers. Maintain a handy, up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources. Priorities include preemptive messaging and agreement on how to stem the spread of misinformation. Stakeholders can contribute to improvements in planning and execution. 社内外の関係者と調整する。すべての主要なステークホルダーと外部のサービスプロバイダーを含めます。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の手軽な最新リストを維持します。優先順位としては、先制メッセージや、誤報の拡散を食い止める方法についての合意などがあります。ステークホルダーは、計画と実行の改善に貢献することができます。
Test response plans. Testing helps to make sure each person knows their responsibilities in executing the plan. The better prepared your organization is, the more effective the response is likely to be. This includes knowing any legal reporting requirements or required information sharing. 対応策をテストする。テストは、計画を実行する上で各人が自分の責任を理解していることを確認するのに役立ちます。組織がよりよく準備されていればいるほど、対応はより効果的になる可能性があります。これには、法的な報告要件や必要な情報共有について知っておくことも含まれます。
Update response plans. Testing the plan (and executing it during an incident) inevitably will reveal needed improvements.  Be sure to update response plans with lessons learned. This will minimize the probability of future successful ransomware attacks and help to restore confidence among stakeholders. 対応策を更新する。計画をテストする(そしてインシデント発生時に実行する)ことで、必然的に必要な改善点が見えてきます。教訓を生かして対応策を更新してください。これにより、今後ランサムウェアの攻撃が成功する確率を最小限に抑え、ステークホルダーの信頼を回復することができます。
RECOVER 復旧
Make contingency plans. Like response, recovery from ransomware events begins well before an event with contingency planning. In this case, your enterprise should plan for restoration of systems capabilities and correction of vulnerabilities. Focus on procedures for immediate mitigation of the ransomware event, determining the event’s impact, and notifying stakeholders. コンティンジェンシープランを立てる。ランサムウェアからの復旧は、対応と同様、発生するかなり前からコンティンジェンシー・プランを立てることから始まります。この場合、企業は、システム機能の復旧と脆弱性の修正を計画する必要があります。ランサムウェアの事象を直ちに緩和し、事象の影響を判断し、関係者に通知するための手順に重点を置いてください。
Communicate with internal and external stakeholders. Recovery depends upon effective communication.  Your recovery plans need to carefully account for what, how, and when ransomware event information will be shared with various stakeholders so that all interested parties receive the information that they need, but no inappropriate information is shared. 社内外の関係者とコミュニケーションをとる。復旧は、効果的なコミュニケーションに依存します。復旧計画では、ランサムウェアのイベント情報を、いつ、どのように、どのような関係者と共有するかを慎重に検討し、関係者が必要な情報を受け取り、かつ不適切な情報が共有されないようにする必要があります。
Manage public relations and company reputation. When developing a ransomware recovery plan, consider how you will manage public relations so that your information sharing is accurate, complete, and timely and not reactionary. 広報と会社の評判を管理する。ランサムウェアの復旧計画を策定する際には、情報共有が正確、完全、かつタイムリーであるように、また反動的でないように、広報をどのように管理するかを検討してください。
Test and update recovery plans. Testing the execution of recovery plans will improve employee and partner awareness and highlight areas for improvement. Always update plans with lessons learned. 復旧計画をテストし、更新する。復旧計画の実行をテストすることで、従業員やパートナーの意識を向上させ、改善すべき点を明らかにすることができます。教訓を生かして計画を常に更新します。

 




● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)

 

| | Comments (0)

2022.02.26

NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル

こんにちは、丸山満彦です。

NISTがNISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイルを公表しましたね。。。

2021年9月8日にドラフトを、2021年6月9日に暫定ドラフトが公表されていたものです。。。

サイバーセキュリティフレームワークに沿って検討されています。

内容的には特段新しいことはなく、リンクが中心ですが、それが良いと思います。既存の枠組みの中で、ちゃんと説明することが、現場には受け入れやすい。。。

 

NIST - ITL

・2022.02.23 NISTIR 8374 Ransomware Risk Management: A Cybersecurity Framework Profile

Abstract 概要
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. Attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Ransomware Profile identifies the Cybersecurity Framework Version 1.1 security objectives that support identifying, protecting against, detecting, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization’s level of readiness to counter ransomware threats and to deal with the potential consequences of events. ランサムウェアは、攻撃者が組織のデータを暗号化し、アクセスを回復するために支払いを要求する悪質な攻撃の一種である。また、攻撃者は組織の情報を盗み、当局、競合他社、または公衆に情報を開示しない見返りとして、追加の支払いを要求することもあります。このランサムウェアプロファイルは、ランサムウェアの特定、保護、検出、対応、および回復をサポートするサイバーセキュリティフレームワーク バージョン 1.1 のセキュリティ目標を特定するものです。このプロファイルは、ランサムウェアのリスクを管理するためのガイドとして使用することができます。これには、ランサムウェアの脅威に対抗するための組織の準備レベルの評価や、イベントの潜在的な影響に対処するための支援も含まれます。

 

・[PDF] NISTIR 8374

20220226-65309

 

1 Introduction 1 はじめに
1.1 The Ransomware Challenge 1.1 ランサムウェアの課題
1.2 Audience 1.2 想定読者
1.3 Additional Guidance Resources 1.3 その他のガイダンス資料
2 The Ransomware Profile 2 ランサムウェアのプロファイル
References 参考文献
Appendix A— Additional NIST Ransomware Resources 附属書 A- NIST のランサムウェアに関するその他のリソース

 

BASIC RANSOMWARE TIPS  ランサムウェアの基本的なヒント 
Even without undertaking all of the measures described in this Ransomware Profile, there are some basic preventative steps that an organization can take now to protect against and recover from the ransomware threat. These include:  この「Ransomware Profile」に記載されているすべての対策を実施しなくても、ランサムウェアの脅威から保護し、回復するために組織が今すぐ実施できる基本的な予防措置がいくつか存在します。その内容は以下のとおりです。
1. Educate employees on avoiding ransomware infections.  1. ランサムウェアの感染を回避するための従業員教育を行う。
o Don’t open files or click on links from unknown sources unless you first run an antivirus scan or look at links carefully.   o アンチウイルス・スキャンを実行したり、リンクを注意深く確認したりしない限り、不明なソースからのファイルを開いたり、リンクをクリックしたりしないこと。 
o Avoid using personal websites and personal apps – like email, chat, and social media – from work computers.   o 個人用ウェブサイトや個人用アプリ(電子メール、チャット、ソーシャルメディアなど)を業務用コンピュータから使用しないようにする。 
o Don’t connect personally owned devices to work networks without prior authorization.  o 個人所有のデバイスを事前の承認なしに職場のネットワークに接続しない。
2. Avoid having vulnerabilities in systems that ransomware could exploit.  2. ランサムウェアに悪用されるような脆弱性をシステム内に持たないようにする。
o Keep relevant systems fully patched. Run scheduled checks to identify available patches and install these as soon as feasible.   o 関連するシステムには常に完全なパッチを適用する。利用可能なパッチを特定するために定期的なチェックを行い、可能な限り早くパッチをインストールする。 
o Employ zero trust principles in all networked systems. Manage access to all network functions and segment internal networks where practical to prevent malware from proliferating among potential target systems.  o すべてのネットワークシステムにおいて、ゼロトラスト原則を採用する。すべてのネットワーク機能へのアクセスを管理し、内部ネットワークをセグメント化することで、マルウェアが潜在的なターゲットシステム間で拡散するのを防ぐ。
o Allow installation and execution of authorized apps only. Configure operating systems and/or third-party software to run only authorized applications. This can also be supported by adopting a policy for reviewing, then adding or removing authorized applications on an allow list.  o 許可されたアプリケーションのインストールと実行のみを許可する。許可されたアプリケーションのみが実行されるように、オペレーティングシステムやサードパーティソフトウェアを設定する。また、許可されたアプリケーションをレビューし、許可リストに追加・削除するポリシーを採用することで、これをサポートすることができる。
o Inform your technology vendors of your expectations (e.g., in contract language) that they will apply measures that discourage ransomware attacks.  o テクノロジーベンダに対して、ランサムウェアの攻撃を阻止するための対策を適用するよう期待することを(契約書などで)伝える。
3. Quickly detect and stop ransomware attacks and infections.  3. ランサムウェアの攻撃や感染を迅速に検知し、停止させる。
o Use malware detection software such as antivirus software at all times. Set it to automatically scan emails and flash drives.  o アンチウイルスソフトウェアなどのマルウェア検出ソフトウェアを常時使用する。電子メールやフラッシュドライブを自動的にスキャンするように設定する。
o Continuously monitor directory services (and other primary user stores) for indicators of compromise or active attack.  o ディレクトリサービス(およびその他のプライマリユーザーストア)を継続的に監視し、侵害や活発な攻撃の兆候を確認する。
o Block access to untrusted web resources. Use products or services that block access to server names, IP addresses, or ports and protocols that are known to be malicious or suspected to be indicators of malicious system activity. This includes using products and services that provide integrity protection for the domain component of addresses (e.g., hacker@poser.com).  o 信頼できない Web リソースへのアクセスをブロックする。悪意のあることが知られている、または悪意のあるシステム活動の指標となる疑いがあるサーバー名、IPアドレス、またはポートおよびプロトコルへのアクセスをブロックする製品またはサービスを使用する。これには、アドレスのドメインコンポーネントに対して完全性保護を提供する製品やサービス(例:hacker@poser.com)を使用することも含まれます。
4. Make it harder for ransomware to spread.  4. ランサムウェアの拡散を困難にする。
o Use standard user accounts with multi-factor authentication versus accounts with administrative privileges whenever possible.   o 可能な限り、管理者権限を持つアカウントではなく、多要素認証を持つ標準的なユーザーアカウントを使用する。 
o Introduce authentication delays or configure automatic account lockout as a defense against automated attempts to guess passwords.  パスワードの自動推測に対する防御策として、認証の遅延を導入したり、自動的なアカウントロックアウトを設定する。
o Assign and manage credential authorization for all enterprise assets and software, and periodically verify that each account has only the necessary access following the principle of least privilege.  すべての企業資産とソフトウェアにクレデンシャル認証を割り当てて管理し、最小特権の原則に従って各アカウントが必要なアクセス権のみを持っていることを定期的に検証する。
o Store data in an immutable format (so that the database does not automatically overwrite older data when new data is made available).  o データを不変の形式で保存する(新しいデータが利用可能になったときに、データベースが自動的に古いデータを上書きしないようにする)。
o Allow external access to internal network resources via secure virtual private network (VPN) connections only.  o 安全な仮想プライベートネットワーク(VPN)接続を介してのみ、内部ネットワークリソースへの外部アクセスを許可する。
5. Make it easier to recover stored information from a future ransomware event.  5. ランサムウェアが発生した場合、保存されている情報の復旧を容易にする。
o Make an incident recovery plan. Develop, implement, and regularly exercise an incident recovery plan with defined roles and strategies for decision making. This can be part of a continuity of operations plan. The plan should identify mission-critical and other business-essential services to enable recovery prioritization, and business continuity plans for those critical services.  o インシデントリカバリープランを作成する。意思決定のための役割と戦略を定義したインシデントリカバリープランを作成し、実施し、定期的に演習する。これは、事業継続計画の一部とすることができる。この計画では、ミッションクリティカルなサービスやその他のビジネス上不可欠なサービスを特定し、復旧の優先順位付けと、それらの重要なサービスの事業継続計画を可能にする必要があります。
o Back up data, secure backups, and test restoration. Carefully plan, implement, and test a data backup and restoration strategy—and secure and isolate backups of important data.  o データのバックアップ、バックアップの保護、復旧のテスト。データのバックアップと復元戦略を慎重に計画、実施、テストし、重要なデータのバックアップを保護、分離する。
o Keep your contacts. Maintain an up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources. o 連絡先を確保する。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の最新リストを維持する。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル(暫定草案)

| | Comments (0)

NIST RFI(情報要求)サイバーセキュリティフレームワーク、サプライチェーンのサイバーリスクマネジメントの改善等のために。。。

こんにちは、丸山満彦です。

NISTが、サイバーセキュリティフレームワーク (CSF) の改善、サプライチェーンのサイバーリスクマネジメントに関連するイニシアティブ (National Initiative for Improving Cybersecurity in Supply Chains: NIICS)  の立ち上げ等に関係して、サイバーセキュリティフレームワーク、サプライチェーンにおけるサイバーリスクマネジメントに関する情報要求をしていますね。。。

現在のサイバーセキュリティフレームワークV1.1は多くの言語に翻訳されていますが、2018年に最終改訂されていますから、最終改訂から若干の時間がたっていますね。。。

また、リスクマネジメントの分野においては、OMB Circular No. A-123、GAOのGreen Book (Standards for Internal Control in the Federal Government) 、COSO-ERM、ISO31000とリンクしたNISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)がありますが、これとの整合性等も重要となってくるのでしょうね。。。

NISTの発表

● NIST

・2022.02.18 Request for Information about Evaluating and Improving Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management

 

官報に記載されているRFI

● Federal Register

・2022.02.22 Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management

Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management NISTのサイバーセキュリティリソースの評価と改善。サイバーセキュリティフレームワークとサイバーセキュリティサプライチェーンリスク管理
SUMMARY: 概要
The National Institute of Standards and Technology (NIST) is seeking information to assist in evaluating and improving its cybersecurity resources, including the “Framework for Improving Critical Infrastructure Cybersecurity” (the “NIST Cybersecurity Framework,” “CSF” or “Framework”) and a variety of existing and potential standards, guidelines, and other information, including those relating to improving cybersecurity in supply chains. NIST is considering updating the NIST Cybersecurity Framework to account for the changing landscape of cybersecurity risks, technologies, and resources. In addition, NIST recently announced it would launch the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) to address cybersecurity risks in supply chains. This wide-ranging public-private partnership will focus on identifying tools and guidance for technology developers and providers, as well as performance-oriented guidance for those acquiring such technology. To inform the direction of the NIICS, including how it might be aligned and integrated with the Cybersecurity Framework, NIST is requesting information that will support the identification and prioritization of supply chain-related cybersecurity needs across sectors. Responses to this RFI will inform a possible revision of the Cybersecurity Framework as well as the NIICS initiative. 米国標準技術研究所(NIST)は、「重要インフラのサイバーセキュリティ向上のためのフレームワーク」(NISTサイバーセキュリティフレームワーク、以下「CSF」または「フレームワーク」)や、サプライチェーンのサイバーセキュリティ向上に関するものなど、既存および潜在的な様々な標準、ガイドライン、その他の情報を含むサイバーセキュリティ資源の評価と改善を支援する情報を求めています。NISTは、サイバーセキュリティのリスク、技術、リソースの変化を考慮し、NISTサイバーセキュリティフレームワークの更新を検討しています。さらに、NISTは最近、サプライチェーンにおけるサイバーセキュリティリスクに対処するため、「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」を立ち上げると発表しました。この広範な官民パートナーシップは、技術開発者やプロバイダー向けのツールやガイダンスの特定、およびそうした技術を取得する側のパフォーマンス指向のガイダンスに重点を置く予定です。NIICSの方向性(サイバーセキュリティフレームワークとどのように整合・統合させるかを含む)を伝えるため、NISTは、サプライチェーン関連のサイバーセキュリティニーズの特定と優先順位付けを支援する情報を要求しています。このRFIへの回答は、サイバーセキュリティフレームワークの改訂の可能性やNIICSの取り組みに反映されることになります。
SUPPLEMENTARY INFORMATION: 補足情報
The NIST Cybersecurity Framework consists of standards, methodologies, procedures, and processes that align policy, business, and technological approaches to reduce cybersecurity risks. It is used widely by private and public sector organizations in and outside of the United States and has been translated into multiple languages, speaking to its success as a common resource. NIST サイバーセキュリティフレームワークは、サイバーセキュリティのリスクを低減するために、政策、ビジネス、技術的アプローチを整合させる標準、方法論、手順、プロセスから構成されています。このフレームワークは、米国内外の民間および公的セクターの組織で広く使用されており、複数の言語に翻訳されていることから、共通のリソースとしての成功を物語っています。
The Cybersecurity Framework was last updated in April 2018. Much has changed in the cybersecurity landscape in terms of threats, capabilities, technologies, education and workforce, and the availability of resources to help organizations to better manage cybersecurity risk. That includes an increased awareness of and emphasis on cybersecurity risks in supply chains, including a decision to launch NIICS. With those changes in mind, NIST seeks to build on its efforts to cultivate trust by advancing cybersecurity and privacy standards and guidelines, technology, measurements, and practices by requesting information about the use, adequacy, and timeliness of the Cybersecurity Framework and the degree to which other NIST resources are used in conjunction with or instead of the Framework. Further, to inform the direction of the NIICS, including how it might be aligned and integrated with the Cybersecurity Framework, NIST is requesting information that will support the identification and prioritization of supply chain-related cybersecurity needs across sectors. サイバーセキュリティフレームワークは、2018年4月に最終更新されました。脅威、能力、技術、教育、労働力、そして組織がサイバーセキュリティのリスクをよりよく管理するためのリソースの有無など、サイバーセキュリティを取り巻く状況は大きく変化しています。その中には、NIICSの立ち上げを決定するなど、サプライチェーンにおけるサイバーセキュリティリスクの認識と重視が高まっていることも含まれます。こうした変化を念頭に、NISTは、サイバーセキュリティフレームワークの利用、適切性、適時性、および他のNISTリソースがフレームワークと併用されている度合いやフレームワークの代わりに利用されている度合いに関する情報を求めることにより、サイバーセキュリティおよびプライバシーに関する標準やガイドライン、技術、測定、実践を進歩させ信頼を醸成する努力を積み重ねていこうとしています。さらに、NIICSがサイバーセキュリティフレームワークとどのように整合し統合されうるかを含め、NIICSの方向性を伝えるために、NISTは、セクター横断的にサプライチェーン関連のサイバーセキュリティニーズの特定と優先順位付けを支援する情報を要求しています。
Following is a non-exhaustive list of possible topics that may be addressed in any comments. Comments may address topics in the following list, or any other topic believed to have implications for the improvement of the NIST Cybersecurity Framework or NIST's cybersecurity guidance regarding supply chains. NIST will consider all relevant comments in the development of the revised Framework and guidance regarding supply chains. 以下は、コメントで取り上げられる可能性があるトピックの非網羅的なリストです。コメントは、以下のリストにあるトピック、あるいは、NISTサイバーセキュリティフレームワークやサプライチェーンに関するNISTのサイバーセキュリティガイダンスの改善に影響を与えると考えられる他のトピックを扱うことができる。NISTは、改訂されたフレームワーク及びサプライチェーンに関するガイダンスの開発において、すべての関連するコメントを検討します。
Use of the NIST Cybersecurity Framework NISTサイバーセキュリティフレームワークの利用について
1. The usefulness of the NIST Cybersecurity Framework for aiding organizations in organizing cybersecurity efforts via the five functions in the Framework and actively managing risks using those five functions. 1. NISTサイバーセキュリティフレームワークの有用性は、組織がフレームワークの5つの機能によってサイバーセキュリティの取り組みを組織化し、その5つの機能を使って積極的にリスクを管理することを支援することです。
2. Current benefits of using the NIST Cybersecurity Framework. Are communications improved within and between organizations and entities ( e.g., supply chain partners, customers, or insurers)? Does the Framework allow for better assessment of risks, more effective management of risks, and/or increase the number of potential ways to manage risks? What might be relevant metrics for improvements to cybersecurity as a result of implementation of the Framework? 2. NISTサイバーセキュリティフレームワークを利用することによる現在のメリット。組織内および組織とエンティティ(サプライチェーンパートナー、顧客、保険会社など)間のコミュニケーションは改善されているか?フレームワークによって、リスクのより良い評価、より効果的なリスク管理、及び/又は、リスク管理のための潜在的な方法の数が増えているか?フレームワークの実施の結果、サイバーセキュリティが改善された場合、どのような評価基準が考えられるか?
3. Challenges that may prevent organizations from using the NIST Cybersecurity Framework or using it more easily or extensively ( e.g., resource considerations, information sharing restrictions, organizational factors, workforce gaps, or complexity). 3. 組織が NIST サイバーセキュリティフレームワークを使用すること、またはより容易または広範囲に使用することを妨げる可能性のある課題(例:リソースの考慮、情報共有の制限、組織的要因、労働力のギャップ、または複雑さ)。
4. Any features of the NIST Cybersecurity Framework that should be changed, added, or removed. These might include additions or modifications of: Functions, Categories, or Subcategories; Tiers; Profile Templates; references to standards, frameworks, models, and guidelines; guidance on how to use the Cybersecurity Framework; or references to critical infrastructure versus the Framework's broader use. 4. NIST サイバーセキュリティフレームワークの機能のうち、変更、追加、または削除されるべきもの。これらには、以下の追加や修正が含まれるかもしれません。機能、カテゴリ、またはサブカテゴリ、階層、プロファイルテンプレート、標準、フレームワーク、モデル、およびガイドラインへの言及、サイバーセキュリティフレームワークの使用方法に関するガイダンス、または重要インフラストラクチャへの言及とフレームワークの広範な使用との関係。
5. Impact to the usability and backward compatibility of the NIST Cybersecurity Framework if the structure of the framework such as Functions, Categories, Subcategories, etc. is modified or changed. 5. 機能、カテゴリ、サブカテゴリなどのフレームワークの構造が修正または変更された場合、NIST サイバーセキュリティフレームワークのユーザビリティと後方互換性に影響を与えること。
6. Additional ways in which NIST could improve the Cybersecurity Framework, or make it more useful. 6. NIST がサイバーセキュリティフレームワークを改善する、あるいはより有用にすることができる追加的な方法。
Relationship of the NIST Cybersecurity Framework to Other Risk Management Resources NIST サイバーセキュリティフレームワークと他のリスクマネジメントリソースとの関係
7. Suggestions for improving alignment or integration of the Cybersecurity Framework with other NIST risk management resources. As part of the response, please indicate benefits and challenges of using these resources alone or in conjunction with the Cybersecurity Framework. These resources include: 7. サイバーセキュリティフレームワークと他のNISTリスクマネジメントリソースとの整合性または統合性を向上させるための提案。回答の一部として、これらのリソースを単独で、あるいはサイバーセキュリティフレームワークと組み合わせて使用することの利点と課題を示してください。これらのリソースには以下のものがあります。
Risk management resources such as the NIST Risk Management Framework, the NIST Privacy Framework, and Integrating Cybersecurity and Enterprise Risk Management (NISTIR 8286). NIST リスクマネジメントフレームワーク、NIST プライバシーフレームワーク、サイバーセキュリティとエンタープライズリスク管理の統合(NISTIR 8286)などのリスクマネジメントリソース。
Trustworthy technology resources such as the NIST Secure Software Development Framework, the NIST Internet of Things (IoT) Cybersecurity Capabilities Baseline, and the Guide to Industrial Control System Cybersecurity. NISTセキュアソフトウェア開発フレームワーク、NIST IoTサイバーセキュリティケイパビリティ・ベースライン、産業制御システムセキュリティガイドなどの信頼できる技術リソース。
Workforce management resources such as the National Initiative for Cybersecurity Education (NICE) Workforce Framework for Cybersecurity. 国家サイバーセキュリティ教育イニシアティブ (NICE) サイバーセキュリティのための職域フレームワークなどの労働力管理リソース。
8. Use of non-NIST frameworks or approaches in conjunction with the NIST Cybersecurity Framework. Are there commonalities or conflicts between the NIST framework and other voluntary, consensus resources? Are there commonalities or conflicts between the NIST framework and cybersecurity-related mandates or resources from government agencies? Are there ways to improve alignment or integration of the NIST framework with other frameworks, such as international approaches like the ISO/IEC 27000-series, including ISO/IEC TS 27110? 8. NIST サイバーセキュリティフレームワークと連携した、NIST 以外のフレームワークやアプローチの使用。NIST フレームワークと他の自主的なコンセンサスリソースの間に共通点や矛盾があるか?NIST のフレームワークと政府機関のサイバーセキュリティ関連の指令やリソースとの間に共通点や矛盾があるか?NIST のフレームワークと、ISO/IEC 27000 シリーズ(ISO/IEC TS 27110 を含む)のような国際的なアプローチなど、他のフレームワークとの整合性や統合性を向上させる方法はあるか?
9. There are numerous examples of international adaptations of the Cybersecurity Framework by other countries. The continued use of international standards for cybersecurity, with a focus on interoperability, security, usability, and resilience can promote innovation and competitiveness while enabling organizations to more easily and effectively integrate new technologies and services. Given this importance, what steps should NIST consider to ensure any update increases international use of the Cybersecurity Framework? 9. サイバーセキュリティフレームワークを他国が国際的に適応させた例は数多くあります。相互運用性、セキュリティ、ユーザビリティ、およびレジリエンスに焦点を当てたサイバーセキュリティの国際標準を継続的に使用することは、組織がより簡単かつ効果的に新しい技術とサービスを統合することを可能にしながら、イノベーションと競争力を促進することができます。この重要性に鑑み、NISTは、更新によってサイバーセキュリティフレームワークの国際的な利用が増加するよう、どのようなステップを考慮すべきですか?
10. References that should be considered for inclusion within NIST's Online Informative References Program. This program is an effort to define standardized relationships between NIST and industry resources and elements of documents, products, and services and various NIST documents such as the NIST Cybersecurity Framework, NIST Privacy Framework, Security and Privacy Controls for Information Systems and Organizations (NIST Special Publication 800-53), NIST Secure Software Development Framework, and the NIST Internet of Things (IoT) Cybersecurity Capabilities Baseline. Start Printed Page 9581 10. NISTのオンライン情報参照プログラム(Online Informative References Program)に含めることを検討すべき文献。このプログラムは、NISTと業界のリソースや文書、製品、サービスの要素と、NIST サイバーセキュリティフレームワーク、NISTプライバシーフレームワーク、情報システムと組織のためのセキュリティとプライバシー管理(NIST Special Publication 800-53)、NIST セキュアソフトウェア開発フレームワーク、NIST IoTサイバーセキュリティケイパビリティ・ベースラインなどの様々なNIST文書間の標準化した関係を定義しようとするものです。 
Cybersecurity Supply Chain Risk Management サイバーセキュリティ・サプライチェーン・リスク管理
11. National Initiative for Improving Cybersecurity in Supply Chains (NIICS). What are the greatest challenges related to the cybersecurity aspects of supply chain risk management that the NIICS could address? How can NIST build on its current work on supply chain security, including software security work stemming from E.O. 14028, to increase trust and assurance in technology products, devices, and services? 11. サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアティブ (NIICS)。サプライチェーンのリスク管理のサイバーセキュリティの側面に関して、NIICSが取り組むことができる最大の課題は何か?NIST は、E.O. 14028 に起因するソフトウェアセキュリティの作業を含むサプライチェーンのセキュリティに関する現在の作業を基に、技術製品、機器、サービスに対する信頼と保証を高めるために、どのようにすることができますか?
12. Approaches, tools, standards, guidelines, or other resources necessary for managing cybersecurity-related risks in supply chains. NIST welcomes input on such resources in narrowly defined areas ( e.g. pieces of hardware or software assurance or assured services, or specific to only one or two sectors) that may be useful to utilize more broadly; potential low risk, high reward resources that could be facilitated across diverse disciplines, sectors, or stakeholders; as well as large-scale and extremely difficult areas. 12. サプライチェーンにおけるサイバーセキュリティ関連のリスクを管理するために必要なアプローチ、ツール、標準、ガイドライン、またはその他のリソース。NISTは、より広範に活用することが有用な狭義の分野(例えば、ハードウェアまたはソフトウェアの保証または保証されたサービスの一部、あるいは1つか2つのセクターのみに特化した分野)、多様な分野、セクター、または利害関係者にわたって促進することができる低リスク、高報酬の潜在的リソース、さらには大規模で極めて困難な分野のリソースに関する情報を歓迎します。
13. Are there gaps observed in existing cybersecurity supply chain risk management guidance and resources, including how they apply to information and communications technology, operational technology, IoT, and industrial IoT? In addition, do NIST software and supply chain guidance and resources appropriately address cybersecurity challenges associated with open-source software? Are there additional approaches, tools, standards, guidelines, or other resources that NIST should consider to achieve greater assurance throughout the software supply chain, including for open-source software? 13. 既存のサイバーセキュリティサプライチェーンリスク管理ガイダンスとリソースに、情報通信技術、運用技術、IoT、産業用IoTへの適用方法を含めて、ギャップは観察されるか?また、NISTのソフトウェアとサプライチェーンのガイダンスとリソースは、オープンソースソフトウェアに関連するサイバーセキュリティの課題に適切に対応していますか?オープンソースソフトウェアを含むソフトウェアサプライチェーン全体でより高い保証を達成するために、NISTが検討すべき追加のアプローチ、ツール、標準、ガイドライン、またはその他のリソースがありますか?
14. Integration of Framework and Cybersecurity Supply Chain Risk Management Guidance. Whether and how cybersecurity supply chain risk management considerations might be further integrated into an updated NIST Cybersecurity Framework—or whether and how a new and separate framework focused on cybersecurity supply chain risk management might be valuable and more appropriately be developed by NIST. 14. フレームワークとサイバーセキュリティサプライチェーンリスク管理ガイダンスの統合。あるいは、サイバーセキュリティのサプライチェーンリスク管理に焦点を当てた新しい別のフレームワークが、NISTによって開発される価値があり、より適切であるかもしれません。

 

1_20220226063801

 

 

| | Comments (0)

英国 NCSC 建設業界向けサイバーセキュリティガイド(サイバーセキュリティ対策はヘルメットをかぶるのと同じくらい重要である)

こんにちは、丸山満彦です。

英国のNCSCは建設業界およびより広いサプライチェーン(建築資材の製造、測量、および建物の販売を含む)で働く「中小企業」を対象としてたサイバーセキュリティガイダンスを公表していますね。。。

U.K. National Cyber Security Centre: NCSC

・2022.02.23 (news) Groundbreaking cyber advice will help construction firms build strong foundations against online threats

Groundbreaking cyber advice will help construction firms build strong foundations against online threats 建設会社がオンラインの脅威に対抗する強固な基盤を構築するための画期的なサイバー助言
New guidance, issued by the NCSC and the Chartered Institute of Building, is designed to help small and medium-sized construction businesses. NCSCと英国建築学会が発行する新しいガイダンスは、中小規模の建設業を支援するためのものです。
・First-ever cyber security guidance aimed at UK construction industry issued by GCHQ’s National Cyber Security Centre ・GCHQの国家サイバーセキュリティセンター (NCSC) が英国の建設業界を対象とした初のサイバーセキュリティガイダンスを発行
・Due to online threats facing the sector, the NCSC advises firms that cyber security measures are as vital as wearing a hard hat on site ・オンライン上の脅威を受け、NCSCは、サイバーセキュリティ対策は、現場でハードハットを着用するのと同じくらい不可欠であると企業に助言しています。
・Guidance has been launched in association with the Chartered Institute of Building and is aimed at small and medium-sized construction businesses ・このガイダンスは、英国建築学会と共同で、中小規模の建設業を対象に作成されました。
CONSTRUCTION businesses are being offered first-of-its-kind cyber security guidance from UK experts today (Wednesday) to help build up their resilience to online threats. オンラインの脅威に対する耐性を高めるために、本日(水曜日)、英国の専門家による初のサイバーセキュリティ・ガイダンスが建設業界に提供されました。
The new Cyber Security for Construction Businesses guide from the National Cyber Security Centre (NCSC) – a part of GCHQ – provides tailored, practical advice for the industry on how to protect their businesses and building projects. GCHQの一部である国家サイバーセキュリティセンター(NCSC)による新しい「建設業向けサイバーセキュリティ・ガイド」は、業界向けに事業や建築プロジェクトの保護方法に関する実践的なアドバイスを提供します。
The guidance, launched with the Chartered Institute of Building (CIOB), is aimed at small and medium-sized firms as businesses rely more on digital tools and ways of working, such as using 3D modelling packages, GPS equipment and business management software. 3Dモデリング・パッケージ、GPS機器、業務管理ソフトウェアなど、デジタルツールや業務方法への依存度が高まる中、英国建築学会(CIOB)と共同で立ち上げたこのガイドは、中小企業を対象としています。
Construction businesses of all sizes continue to be targets for cyber attackers due to the sensitive data they hold and high-value payments they handle. 建設業は、保有する機密データや高額な決済を扱うことから、あらゆる規模の企業がサイバー攻撃者のターゲットになり続けています。
The guide offers practical advice for each stage of construction, from design to handover, and sets out the common cyber threats the industry faces, including from spear-phishingransomware and supply chain attacks. 本書では、設計から引き渡しまでの各工事段階における実践的なアドバイスを提供するとともに、スピアフィッシング、ランサムウェア、サプライチェーン攻撃など、この業界が直面する一般的なサイバー脅威について解説しています。
Sarah Lyons, NCSC Deputy Director for Economy and Society Engagement, said: NCSCの経済・社会エンゲージメント担当副所長であるサラ・ライオンズは、次のように述べています。
“As construction firms adopt more digital ways of working, it’s vital to put protective measures in place to stay safe online – in the same way you’d wear a hard hat on site. 「建設会社がよりデジタルな働き方をするようになった今、現場でハードハットをかぶるのと同じように、オンラインでも安全が確保できるような防護策を講じることが極めて重要です。
“That’s why we’ve launched the new Cyber Security for Construction Businesses guide to advise small and medium-sized businesses on how to keep their projects, data and devices secure. そのため、私たちは、中小企業がプロジェクト、データ、デバイスを安全に保つ方法をアドバイスするために、新しい「建設業向けサイバーセキュリティ」ガイドを立ち上げました。
“By following the recommended steps, businesses can significantly reduce their chances of falling victim to a cyber attack and build strong foundations for their overall resilience.” 推奨される手順に従うことで、企業はサイバー攻撃の犠牲になる可能性を大幅に減らし、全体的な回復力のための強力な基盤を構築することができます。」
Construction Minister Lee Rowley MP said: 建設大臣リー・ロウリー議員は次のように述べました。
“Data and digital technology is helping to make the construction industry more productive, competitive and sustainable. However, with this new technology comes threats that businesses must be wary of and take action to defend themselves from. 「データとデジタル技術は、建設業界の生産性、競争力、持続可能性を高めるために役立っています。しかし、この新しい技術には、企業が警戒し、自らを守るために行動を起こさなければならない脅威がつきものです。
“This guide provides firms with easy to follow, practical advice to improve resilience to online threats, which will help to ensure projects are delivered on time and securely.” このガイドは、オンライン上の脅威に対する耐性を向上させるための実践的なアドバイスを企業に提供し、プロジェクトを予定通りに安全に提供することを支援します」。
Caroline Gumble, Chief Executive of the Chartered Institute of Building, said: 英国建築学会のキャロアイン・ガンブル会長は、次のように述べています。
“The consequences of poor cyber security should not be underestimated. They can have a devastating impact on financial margins, the construction programme, business reputation, supply chain relationships, the built asset itself and, worst of all, people’s health and wellbeing. As such, managing data and digital communications channels is more important than ever. 「サイバーセキュリティの不備がもたらす結果は、過小評価されるべきではありません。サイバーセキュリティの不備がもたらす結果は、財務的利益、建設計画、ビジネスの評判、サプライチェーンの関係、建設資産そのもの、そして何よりも人々の健康や幸福に壊滅的な影響を与える可能性があるのです。そのため、データとデジタル通信チャネルを管理することは、これまで以上に重要です。
“This guide provides a timely opportunity to focus on the risks presented by cyber crime, something that has been highlighted by CIOB for some time. We’re now delighted to partner with the National Cyber Security Centre (NCSC) and the Centre for the Protection of National Infrastructure (CPNI) to produce another invaluable resource.” このガイドは、英国建築学会が以前から強調してきたサイバー犯罪がもたらすリスクに焦点を当てるタイムリーな機会を提供するものです。今回、国家サイバーセキュリティセンター (NCSC) および 国家インフラ保護センター (CPNI) と提携し、新たな貴重な資料を作成することができたことを嬉しく思っています。」
The new guidance is split into two parts: the first aimed at helping business owners and managers understand why cyber security matters, and the second aimed at advising staff responsible for IT equipment and services within construction companies on actions to take. この新しいガイダンスは2つのパートに分かれています。第1章は経営者や管理者がサイバーセキュリティの重要性を理解することを目的としています。第2章は建設会社のIT機器やサービスの責任者が取るべき行動を助言することを目的としています。
The advice outlines seven steps for boosting resilience, covering topics including creating strong passwordsbacking up deviceshow to avoid phishing attackscollaborating with partners and suppliers; and preparing for and responding to incidents. アドバイスでは、強力なパスワードの作成、デバイスのバックアップ、フィッシング攻撃の回避、パートナーやサプライヤーとの協力、インシデントへの準備と対応など、耐障害性を高めるための7つのステップを概説しています。
The majority of businesses in the construction industry fall under the small and medium-sized categories. 建設業界の企業の大半は、中小規模に分類されます。
Last year, a survey by the Department for Digital, Culture, Media and Sport of all types of businesses found more than a third of micro (37%) and small businesses (39%) reported falling victim to a cyber security breach or cyber attack in the previous year, with this increasing to 65% for medium-sized businesses. 昨年、デジタル・文化・メディア・スポーツ省が全業種を対象に行った調査では、小規模企業(37%)と中小企業(39%)の3分の1以上が前年度にサイバーセキュリティ侵害やサイバー攻撃の被害に遭ったと報告しており、中堅企業では65%に増加していることが分かっています。
The NCSC is committed to helping UK organisations of all sizes improve their cyber resilience and has a published a range of guidance on how to defend against online threats on its website. NCSCは、英国のあらゆる規模の組織がサイバー耐性を向上できるよう支援しており、オンラインの脅威から身を守る方法に関するさまざまなガイダンスをウェブサイトで公開しています。
For smaller construction businesses without dedicated IT staff, the NCSC’s Small Business Guide offers further affordable, practical advice on how to stay secure online, while larger organisations can find guidance in the 10 Steps to Cyber Security collection. 専任のITスタッフを持たない小規模な建設会社には、NCSCのSmall Business Guideが、オンラインセキュリティを維持する方法について、さらに手頃で実用的なアドバイスを提供し、大規模な組織には、10 Steps to Cyber Securityコレクションが参考になります。

 

・2022.02.23 (guidance) Cyber security for construction businesses

Cyber security for construction businesses 建設業のためのサイバーセキュリティ
Guidance to help the construction industry improve the security and resilience of their business against cyber threats. 建設業がサイバー脅威に対するセキュリティと回復力を向上させるためのガイダンス。
The National Cyber Security Centre (NCSC) has partnered with the Chartered Institute of Building (CIOB) to produce this guidance to help small-to-medium sized construction businesses protect themselves from cyber attacks. 国家サイバーセキュリティ・センター(NCSC)は、英国建築学会(CIOB)と共同で、中小規模の建設業がサイバー攻撃から身を守るためのガイダンスを作成しました。
Recent high profile cyber attacks against the construction industry illustrate how businesses of all sizes are being targeted by criminals. As the industry continues to embrace and adopt new digital ways of working, it is more important than ever to understand how you might be vulnerable to cyber attacks, and what you can do to protect your business. 建設業界に対する最近の大規模なサイバー攻撃は、あらゆる規模の企業が犯罪者に狙われていることを物語っています。建設業界では、新しいデジタルな働き方を受け入れ、採用し続けているため、サイバー攻撃に対してどのような脆弱性があり、ビジネスを保護するために何ができるかを理解することがこれまで以上に重要です。
This guidance is aimed at small-to-medium sized businesses working in the construction industry and the wider supply chain (including the manufacture of building supplies, surveying, and the sale of buildings). このガイダンスは、建設業界およびより広いサプライチェーン(建築資材の製造、測量、建物の販売を含む)で働く中小企業を対象としています。
Whilst we cannot guarantee protection against all the cyber threats you face, by implementing the steps described, you’ll be protected from most common cyber attacks. And should the worst happen, you’ll able to quickly recover. 私たちは、あなたが直面するすべてのサイバー脅威からの保護を保証することはできませんが、説明されている手順を実行することにより、一般的なサイバー攻撃から保護することができます。また、最悪の事態が発生した場合にも、迅速に復旧することができます。

・[PDF]

20220226-44945

目次...

Section 1 For business owners and managers 第1章 経営者・管理者向け
Why cyber security matters なぜサイバーセキュリティが重要なのか
Who is behind cyber attacks? サイバー攻撃の背後にいるのは誰なのか?
Design stage 設計段階
Construction stage 施工段階
Handover stage 引渡し段階
Section 2 For staff responsible for IT  第2章 IT担当者向け
Cyber security guidance サイバーセキュリティ・ガイダンス
1. Back up your data 1. データのバックアップ
2. Protecting your office equipment from malware 2. マルウェアからオフィス機器を守る
3. Keeping your phones and tablets safe 3. スマホ・タブレットの安全確保
4. Using passwords to protect your data 4. パスワードによるデータ保護
5. Dealing with phishing 5. フィッシングへの対応
6. Collaborating with suppliers and partners 6. 仕入先・提携先との連携
7. Preparing for (and responding to) cyber incidents 7. サイバーインシデントへの準備(と対応)

 

| | Comments (0)

2022.02.25

中国外交部報道官が記者会見で米国NSAによる悪質なサイバー活動に深刻な懸念を表明。。。

こんにちは、丸山満彦です。

中国外交部報道官が2月24日の記者会見で米国NSAによるサイバー攻撃について、中国外交部報道官が記者会見で米国NSAによる悪質なサイバー活動に深刻な懸念を表明していますね。。。

 

中国

● 外交部

2022年2月24日外交部发言人华春莹主持例行记者会

《环球时报》记者:据报道,23日,北京奇安盘古实验室发布报告,发现隶属美国国安局的黑客组织“方程式”利用顶级后门,对中国、俄罗斯、日本、韩国、印度、英国、德国、荷兰、澳大利亚、泰国、埃及、巴西等全球45个国家地区开展长达十几年的“电幕行动”(Bvp47)网络攻击,行业涵盖电信、大学、科研、经济及军事领域,某些攻击还以日本为跳板。据了解,这是中国网安实验室首次以详细技术证据链条公开曝光来自美国安局的黑客攻击。中方对此有何评论? 環球時報記者:報道によると、23日、北京旗安潘固研究所は、米国国家安全保障局(NSA)と提携するハッカー集団「Equation」がトップレベルのバックドアを使って、中国、ロシア、日本、韓国、インド、イギリス、ドイツ、オランダ、オーストラリア、タイ、エジプト、ブラジルなど世界45カ国・地域にサイバー攻撃を行ったとする報告を発表した。 電気カーテン作戦」(Bvp47)サイバー攻撃は、通信、大学、科学研究、経済、軍事などの分野を対象に10年以上前から行われており、日本を飛び火点とする攻撃もあった。 中国のサイバーセキュリティ研究所が、米国家安全保障局からのハッキング攻撃を、詳細な技術的証拠の連鎖とともに公に暴露したのは、これが初めてと理解されている。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:中方注意到有关报道和技术报告,对报告曝光的不负责任的恶意网络活动表示严重关切,强烈敦促美方作出解释,并立即停止此类活动。中方将采取必要措施维护中国的网络安全和自身利益。 華春瑩:中国は関連報告書と技術報告書に留意し、報告書が暴露した無責任で悪質なサイバー活動に深刻な懸念を表明し、米国側に説明と当該活動の即時中止を強く求めた。 中国は、中国のサイバーセキュリティと自国の利益を守るために必要な措置を講じる。
根据曝光的这份报告,美国国家安全局下属的“方程式组织”对中国电信、科研和经济等部门发动长达十几年的网络攻击。此前,中国网络安全公司360也曾发表报告,曝光美国政府的APT-C-39黑客组织对中国发动大规模网络攻击的情况。这些攻击可能造成海量个人信息数据、商业秘密和知识产权的严重泄露,危害中方关键基础设施安全。值得注意的是,相关攻击最早可追溯到2005年,并持续到2015年之后。这不得不让人怀疑,美方履行中美2015年达成的网络安全共识的诚意。 それによると、米国国家安全保障局の「Equation Groupe」は、10年以上にわたって中国の通信、科学研究、経済分野にサイバー攻撃を仕掛けてきたという。 これは、中国のサイバーセキュリティ企業360が、米国政府のハッキンググループ「APT-C-39」が中国に対して大規模なサイバー攻撃を仕掛けていることを暴露した報告書に続くものです。 これらの攻撃により、大量の個人情報データ、商業機密、知的財産が流出し、中国の重要インフラの安全が脅かされる深刻な事態が発生した可能性があります。 注目すべきは、問題の攻撃が2005年にまでさかのぼり、2015年以降も継続していることです。 これは、2015年に米中が合意したサイバーセキュリティの合意を履行するための米国側の誠意を疑わざるを得ない。
美国的情报法允许美国政府对全世界,包括其盟友进行大规模、无差别的信息和数据窃密。此前,斯诺登、维基解密都曾披露过美国政府在全球范围内的大规模窃听窃密行为。这次报告曝光的内容表明,除了中国及亚非拉的主要发展中国家,美国连自己的盟友和伙伴也没有放过。美方网络攻击的范围甚至包括其欧洲盟友、“印太四国”和“五眼联盟”的成员。目前,美国正在全球以帮助各国提升能力为名,积极寻求开展网络安全多双边合作。这也不得不让人怀疑美方的真实意图到底是什么? 米国の情報法は、米国政府が同盟国を含む世界に対して大規模かつ無差別な情報およびデータの窃盗を行うことを認めています。 以前、スノーデン氏とウィキリークスは、世界的な規模で米国政府の大規模な盗聴と機密の窃盗を明らかにしました。 今回、中国やアジア、アフリカ、ラテン米国の主要な途上国に加え、米国は自国の同盟国やパートナーさえも惜しんでいないことが明らかになりました。 米国のサイバー攻撃は、ヨーロッパの同盟国やインド太平洋クアッド、ファイブ・アイズ同盟のメンバーまで含まれています。 現在、米国は各国の能力向上を支援する名目で、世界各地でサイバーセキュリティに関する多国間協力を積極的に進めています。 これもまた、米国側の真意がどこにあるのかを考えさせられます。
网络空间是人类的共同家园,网络安全也是各国面临的共同挑战。我们希望美方在网络空间采取负责任的态度,与各方一道通过对话与合作,共同维护网络空间和平与安全。 サイバースペースは人類共通の故郷であり、サイバーセキュリティは各国共通の課題でもあります。 米国側がサイバースペースにおいて責任ある態度をとり、対話と協力を通じてサイバースペースの平和と安全を維持するためにすべての当事者と協力することを希望します。

 

この「環球時報記者」が言っているのは、以下のことですかね。。。

盘古实验室(Pangu Lab)

2022.02.23 Bvp47-美国NSA方程式组织的顶级后门 The Bvp47 - a Top-tier Backdoor of US NSA Equation Group
報告書 PDF [Downloaded] PDF [Downloaded]
  20220225-153151 20220225-153201

 

しかし、外交部報道官が、記者からの質問にいきなり答えられていますが、すごいですね。。。さすが中国。。。

 

ちなみに、質問している組織は、

环球时报 [JP:wilipedia]

取り上げている報告書を書いた組織は、

盘古实验室(Pangu Lab)

ですからね。。。

 

このタイミングでの発表の意図はなんですかね。。。

 

| | Comments (0)

ISACA Journalに記事が載りました!!! 農業 ✖️ AI ✖️ COBIT です (^^)

こんにちは、丸山満彦です。

学生時代に農学部であったこともあって?これから重要となる農業、とりわけAIを活用したスマート農業をテーマに、その管理をCOBITを利用するのがよいのではないかということで、記事にしたものです。PwCあらた監査法人の綾部さん、山本さん、Vinsonさんと書いたものです。

農業の場合は、企業なりの大規模農家もありますが、家族規模の小規模農家もあります。DataとAI(アルゴリズム)に対するガバナンス、管理が重要ということです。。。

スマート農業が進むことを想定し、これまでCOBITに触れたことがない農業事業者にCOBITを知ってもらい、COBITを利用してスマート農業を成功してもらいたいというのもありますかね。。。(次は農業者が読んでいる雑誌にでも記事を書きますか・・・)

1_20220225105701

 

ISACA - ISACA Journal

・2022.02.22 Data and AI Management in Smart Agriculture Using Soil and Crop Data: The Potential of COBIT 2019

・[PDF]  [Downloaded]

20220225-104052

 

日本語版も出る予定です。日本語版がでたらまた、案内します!

 

----- 2022.02.26 追記 -----

日本語版も公開されました!!!

 

土壌や作物のデータを活用したス マート農業におけるデータ・AIマネ ジメント:COBIT2019の潜在能力

----- 追記終わり -----

 

 

 

| | Comments (0)

経済産業省 金融庁 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起(2022.02.23,24)

こんにちは、丸山満彦です。

ロシアがウクライナに対する軍事行動を起こしたことを踏まえ、経済産業省が、サイバーセキュリティ対策の強化についての注意喚起を23日にし、それを踏まえて、金融庁も金融機関におけるサイバーセキュリティ対策の強化についての注意喚起を24日にしていますね。。。

 

経済産業省

・2022.02.23 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います

・[PDF] 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

20220224-160848

 

金融庁

・2022.02.24 昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

 

対策の強化に加えて、


国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。

 不審な動きを把握した場合は、速やかに金融庁・財務(支)局の担当部署にご報告ください。


とのことです。。。

 

 


参考 (上記の記事は下記の記事の最後の方をコピーしたものです...(^^))

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.24 英国 NSCS ウクライナ問題でサイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべきと助言 (2022.02.22)

 

| | Comments (0)

2022.02.24

それぞれの国の言い分

こんにちは、丸山満彦です。

ロシアとウクライナの関係が厳しい状況になってきていますが、それぞれの政府でそれぞれの言い分がありますね。。。

 

1_20220224185801

 

ロシア大統領府

・2022.02.24 Обращение Президента Российской Федерации

В.Путин: Уважаемые граждане России! Дорогие друзья! V.プーチン:親愛なるロシア国民の皆様。親愛なる皆様へ
Сегодня вновь считаю необходимым вернуться к трагическим событиям, происходящим на Донбассе, и ключевым вопросам обеспечения безопасности самой России. 今日は改めて、ドンバスで起きている悲劇的な出来事と、ロシア自身の安全保障に関する重要な問題に立ち返る必要があると考えています。
Начну с того, о чём говорил в своём обращении от 21 февраля текущего года. Речь о том, что вызывает у нас особую озабоченность и тревогу, о тех фундаментальных угрозах, которые из года в год шаг за шагом грубо и бесцеремонно создаются безответственными политиками на Западе в отношении нашей страны. Имею в виду расширение блока НАТО на восток, приближение его военной инфраструктуры к российским границам. まず、今年の2月21日の演説で述べたことから始めます。私が言っているのは、私たちが特に関心を持っていること、つまり、欧米の無責任な政治家たちが、年々、一歩一歩、私たちの国に対して仕掛けている基本的な脅威のことです。NATO圏が東に拡大し、その軍事インフラがロシアの国境に近づいていることを指しています。
Хорошо известно, что на протяжении 30 лет мы настойчиво и терпеливо пытались договориться с ведущими странами НАТО о принципах равной и неделимой безопасности в Европе. В ответ на наши предложения мы постоянно сталкивались либо с циничным обманом и враньём, либо с попытками давления и шантажа, а Североатлантический альянс тем временем, несмотря на все наши протесты и озабоченности, неуклонно расширяется. Военная машина движется и, повторю, приближается к нашим границам вплотную. 私たちが30年間、NATOの主要国との間で、欧州における平等で不可分な安全保障の原則について、粘り強く、忍耐強く合意に達しようとしてきたことはよく知られています。私たちの提案に対して、私たちは常に冷笑的なごまかしや嘘、あるいは圧力や脅迫の試みに遭遇してきましたが、一方で北大西洋同盟は、私たちのあらゆる抗議や懸念にもかかわらず、着実に拡大しています。戦争マシンは動いており、繰り返しますが、我々の国境に近づいてきています。
Почему всё это происходит? Откуда эта наглая манера разговаривать с позиции собственной исключительности, непогрешимости и вседозволенности? Откуда наплевательское, пренебрежительное отношение к нашим интересам и абсолютно законным требованиям? なぜこのようなことが起こるのか?なぜこのように、自分の独占性、無謬性、許容性の立場から語るという傲慢な態度をとるのでしょうか。私たちの利益や絶対的に正当な要求に対して、思いやりのない、見下したような態度はどこから来るのでしょうか。
Ответ ясен, всё понятно и очевидно. Советский Союз в конце 80-х годов прошлого века ослаб, а затем и вовсе развалился. Весь ход происходивших тогда событий – это хороший урок для нас и сегодня, он убедительно показал, что паралич власти, воли – это первый шаг к полной деградации и забвению. Стоило нам тогда на какое-то время потерять уверенность в себе, и всё – баланс сил в мире оказался нарушенным. 答えは明確で、わかりやすく、明白です。ソビエト連邦は1980年代末に弱体化し、崩壊した。力と意志の麻痺が、完全な衰退と忘却への第一歩であることを、説得力を持って示したのである。一旦、自信を失ってしまうと、世界のパワーバランスが崩れてしまいます。
Это привело к тому, что прежние договоры, соглашения уже фактически не действуют. Уговоры и просьбы не помогают. Всё, что не устраивает гегемона, власть предержащих, объявляется архаичным, устаревшим, ненужным. И наоборот: всё, что кажется им выгодным, преподносится как истина в последней инстанции, продавливается любой ценой, хамски, всеми средствами. Несогласных ломают через колено.  そのため、過去の条約や協定が実際には効力を持たないという状況になっています。説得しても、お願いしても、どうにもなりませんでした。ヘゲモニー(権力者)に合わないものはすべて、古臭い、時代遅れ、不要とされます。その逆もまた然りで、彼らにとって有利と思われるものはすべて究極の真実として提示され、何としてでも、無礼にも、あらゆる手段を使って押し通します。反論者は膝の上で折られています。 
То, о чём сейчас говорю, касается не только России и не только у нас вызывает озабоченности. Это касается всей системы международных отношений, а подчас даже и самих союзников США. После развала СССР фактически начался передел мира, и сложившиеся к этому времени нормы международного права, – а ключевые, базовые из них были приняты по итогам Второй мировой войны и во многом закрепляли её результаты, – стали мешать тем, кто объявил себя победителем в холодной войне. 私が今話していることは、ロシアだけではなく、誰にも関係することです。それは、国際関係のシステム全体に関わることであり、時にはアメリカの同盟国自身にも関わることです。ソ連崩壊後、世界の再分配が実際に始まり、確立された国際法の規範-重要で基本的なものは第二次世界大戦の終わりに採用され、その結果をほぼ統合した-が、冷戦で勝利を宣言した人々を妨げ始めました。
Конечно, в практической жизни, в международных отношениях, в правилах по их регулированию нужно было учитывать и изменения ситуации в мире и самого баланса сил. Однако делать это следовало профессионально, плавно, терпеливо, с учётом и уважением интересов всех стран и при понимании своей ответственности. Но нет – состояние эйфории от абсолютного превосходства, своего рода современного вида абсолютизма, да ещё и на фоне низкого уровня общей культуры и чванства тех, кто готовил, принимал и продавливал выгодные лишь для себя решения. Ситуация начала развиваться по другому сценарию.  もちろん、実際には、国際関係やそれを調整するためのルールには、世界情勢の変化やパワーバランスの変化を考慮しなければならない。しかし、これは、すべての国の利益を考慮し、尊重し、その責任を理解した上で、プロフェッショナルに、スムーズに、忍耐強く行われるべきでした。しかし、そうではない。絶対的な優越感からくる陶酔感、一種の現代的な絶対主義、さらには、一般的な文化の低さと、自分たちだけが利益を得られるような決定を準備し、採用し、押し通した人々の傲慢さを背景にしたものだ。状況は、別の形で展開し始めた。 
За примерами далеко ходить не нужно. Сперва без всякой санкции Совета Безопасности ООН провели кровопролитную военную операцию против Белграда, использовали авиацию, ракеты прямо в самом центре Европы. Несколько недель непрерывных бомбёжек по мирным городам, по жизнеобеспечивающей инфраструктуре. Приходится напоминать эти факты, а то некоторые западные коллеги не любят вспоминать те события, а когда мы говорим об этом, предпочитают указывать не на нормы международного права, а на обстоятельства, которые трактуют так, как считают нужным. このような例は、遠くに行かなくても見つけることができます。まず、ベオグラードに対して、国連安全保障理事会の承認を得ずに血みどろの軍事作戦が行われました。数週間に渡って、生命維持に必要なインフラである民間の都市を爆撃し続けました。私がこの事実を思い出さなければならないのは、欧米の同僚の中には、これらの出来事を思い出したくない人がいるからです。また、この出来事について話すときには、国際法の規範ではなく、自分の都合のよいように解釈した状況を指摘したがります。
Затем наступила очередь Ирака, Ливии, Сирии. Нелегитимное использование военной силы против Ливии, извращение всех решений Совета Безопасности ООН по ливийскому вопросу привело к полному разрушению государства, к тому, что возник огромный очаг международного терроризма, к тому, что страна погрузилась в гуманитарную катастрофу, в пучину не прекращающейся до сих пор многолетней гражданской войны. Трагедия, на которую обрекли сотни тысяч, миллионы людей не только в Ливии, но и во всём этом регионе, породила массовый миграционный исход из Северной Африки и Ближнего Востока в Европу. その後、イラク、リビア、シリアの順に番が回ってきました。リビアに対する違法な軍事力の行使と、リビア問題に関するすべての国連安全保障理事会の決定の曲解は、リビアの国家を完全に破壊し、国際テロの巨大な温床を作り、同国を人道的災害と今なお続く長い内戦に陥れることになりました。リビアだけでなく、地域全体で何十万人、何百万人もの人々を破滅させたこの悲劇は、北アフリカや中東からヨーロッパへの大規模な脱出を引き起こしました。
Подобную судьбу уготовили и Сирии. Боевые действия западной коалиции на территории этой страны без согласия сирийского правительства и санкции Совета Безопасности ООН – это не что иное, как агрессия, интервенция. シリアも同じような運命をたどることになります。シリア政府の同意と国連安全保障理事会の承認を得ずに、欧米連合が同国の領土で軍事行動を行うことは、侵略、介入にほかなりません。
Однако особое место в этом ряду занимает, конечно же, вторжение в Ирак тоже без всяких правовых оснований. В качестве предлога выбрали якобы имеющуюся у США достоверную информацию о наличии в Ираке оружия массового поражения. В доказательство этому публично, на глазах у всего мира Госсекретарь США тряс какой-то пробиркой с белым порошком, уверяя всех, что это и есть химическое оружие, разрабатываемое в Ираке. А потом оказалось, что всё это – подтасовка, блеф: никакого химического оружия в Ираке нет. Невероятно, удивительно, но факт остаётся фактом. Имело место враньё на самом высоком государственном уровне и с высокой трибуны ООН. А в результате – огромные жертвы, разрушения, невероятный всплеск терроризма. しかし、もちろん法的根拠のないイラク侵攻も、このシリーズの中で特別な位置を占めています。彼らが口実にしたのは、イラクに大量破壊兵器が存在するという米国の信頼できる情報でした。アメリカの国務長官は、世界中の人々の前でそれを証明するために、白い粉の入ったチューブを振って、それがイラクで開発される化学兵器であると皆に断言しました。そして、イラクには化学兵器が存在しませんでした。それは、捏造であり、デマであることがわかりました。信じられない、驚くべきことですが、事実は変わりません。国家の最高レベルでも、国連の高い壇上でも嘘があったのです。その結果、膨大な死傷者と破壊、そして信じられないほどのテロの急増を招いたのです。
Вообще складывается впечатление, что практически везде, во многих регионах мира, куда Запад приходит устанавливать свой порядок, по итогам остаются кровавые, незаживающие раны, язвы международного терроризма и экстремизма. Всё, о чём сказал, это наиболее вопиющие, но далеко не единственные примеры пренебрежения международным правом. 一般的に、西洋が秩序を確立しようとする世界の多くの地域では、血まみれで癒えない傷、国際テロリズムや過激主義の傷が残っているようです。これまで述べてきたことは、国際法を無視した最もひどい例ですが、それだけではありません。
В этом ряду и обещания нашей стране не расширять ни на один дюйм НАТО на восток. Повторю – обманули, а выражаясь народным языком, просто кинули. Да, часто можно слышать, что политика – грязное дело. Возможно, но не настолько же, не до такой же степени. Ведь такое шулерское поведение противоречит не только принципам международных отношений, но прежде всего общепризнанным нормам морали и нравственности. Где же здесь справедливость и правда? Одна лишь сплошная ложь и лицемерие.  NATOを東に1インチも拡大しないというわが国の約束もその一つです。繰り返しますが、彼らは騙されたのであり、俗に言う「捨てられた」のです。確かに、政治は汚い仕事だとよく言われます。おそらくですが、あそこまで汚くはありません。結局のところ、このような不正行為は、国際関係の原則に反するだけでなく、何よりも一般的に受け入れられている道徳や倫理の規範に反するものです。正義と真実はどこにあるのか?嘘と偽善しかありません。 
Кстати, сами американские политики, политологи и журналисты пишут и говорят о том, что внутри США создана в последние годы настоящая «империя лжи». Трудно с этим не согласиться – так оно и есть. Но не надо скромничать: США – это всё-таки великая страна, системообразующая держава. Все её сателлиты не только безропотно и покорно поддакивают, подпевают ей по любому поводу, но ещё и копируют её поведение, с восторгом принимают предлагаемые им правила. Поэтому с полным на то основанием, уверенно можно сказать, что весь так называемый западный блок, сформированный США по своему образу и подобию, весь он целиком и есть та самая «империя лжи». ちなみに、アメリカの政治家、政治学者、ジャーナリスト自身が、近年、アメリカ国内に本物の「嘘の帝国」ができたと書いているし、言っています。これに同意しないわけにはいきません。しかし、謙遜する必要はありません。アメリカは依然として偉大な国であり、システムを形成する力を持っています。その衛星国は、おとなしく従うだけでなく、何かあるごとに一緒に歌ったり、行動を真似たり、提案されたルールを熱心に受け入れたりしています。したがって、正当な理由があれば、アメリカが自らのイメージと似姿で形成した、いわゆる西欧圏全体が同じ「嘘の帝国」であると自信を持って言うことができます。
Что касается нашей страны, то после развала СССР при всей беспрецедентной открытости новой современной России, готовности честно работать с США и другими западными партнёрами и в условиях фактически одностороннего разоружения нас тут же попытались дожать, добить и разрушить уже окончательно. Именно так и было в 90-е годы, в начале 2000-х годов, когда так называемый коллективный Запад самым активным образом поддерживал сепаратизм и банды наёмников на юге России. Каких жертв, каких потерь нам тогда всё это стоило, через какие испытания пришлось пройти, прежде чем мы окончательно сломали хребет международному терроризму на Кавказе. Мы помним это и никогда не забудем. わが国に関しては、ソビエト連邦崩壊後、新しい現代ロシアがかつてないほど開放的で、米国やその他の西側パートナーと誠実に協力し、実際に一方的な軍縮を行う用意があったにもかかわらず、彼らはすぐに私たちを押しつぶし、永久に終わらせ、破壊しようとしました。これは、90年代から2000年代初頭にかけて、いわゆる集団西洋がロシア南部の分離主義や傭兵団を積極的に支援していたことと同じです。最終的にコーカサスの国際テロリズムの牙城を崩すまでに、どれほどの犠牲と損失を払い、どれほどの試練を経験しなければならなかったのか。私たちはそれを覚えていますし、決して忘れません。
Да собственно, и до последнего времени не прекращались попытки использовать нас в своих интересах, разрушить наши традиционные ценности и навязать нам свои псевдоценности, которые разъедали бы нас, наш народ изнутри, те установки, которые они уже агрессивно насаждают в своих странах и которые прямо ведут к деградации и вырождению, поскольку противоречат самой природе человека. Этому не бывать, никогда и ни у кого этого не получалось. Не получится и сейчас. 実際のところ、最近まで、私たちを彼らの利益のために利用し、私たちの伝統的な価値観を破壊し、私たちの国民を内側から腐らせるような彼らの擬似的な価値観を私たちに押し付けようとする試み、彼らがすでに自国で積極的に押し付けています、人間の本質そのものに反しているような、劣化、退化に直結するような態度は、止むことがありませんでした。そんなことは起こらないし、誰にも通用しなかった。また、今は成功しないでしょう。
Несмотря ни на что, в декабре 2021 года мы всё-таки в очередной раз предприняли попытку договориться с США и их союзниками о принципах обеспечения безопасности в Европе и о нерасширении НАТО. Всё тщетно. Позиция США не меняется. Они не считают нужным договариваться с Россией по этому ключевому для нас вопросу, преследуя свои цели, пренебрегают нашими интересами.  あらゆることにもかかわらず、私たちは2021年12月に、米国とその同盟国との間で、欧州における安全保障の原則とNATOの非拡大に関する合意に達することを再度試みました。全てが無駄でした。米国の立場は変わっていません。彼らは、我々にとって重要な問題であるロシアとの合意に達する必要があるとは考えておらず、自分たちの目標を追求し、我々の利益を無視しています。 
И конечно, в этой ситуации у нас возникает вопрос: а что же делать дальше, чего ждать? Мы хорошо знаем из истории, как в 40-м году и в начале 41-го года прошлого века Советский Союз всячески стремился предотвратить или хотя бы оттянуть начало войны. Для этого в том числе старался буквально до последнего не провоцировать потенциального агрессора, не осуществлял или откладывал самые необходимые, очевидные действия для подготовки к отражению неизбежного нападения. А те шаги, которые всё же были в конце концов предприняты, уже катастрофически запоздали. そしてもちろん、このような状況では、次に何をすべきか、何を期待すべきかという問題が生じます。歴史を振り返ると、40年から41年の初めにかけて、ソ連は戦争の勃発を防ぐために、あるいは少なくとも遅らせるために、可能な限りの努力をしたことがよくわかります。そのためには、文字通りギリギリまで潜在的な攻撃者を刺激しないようにしたり、避けられない攻撃を撃退するための最も必要で明白なステップを実行しなかったり、先延ばしにしたりします。そして、最終的に取られた措置は、悲惨なほど遅れていました。
В результате страна оказалась не готова к тому, чтобы в полную силу встретить нашествие нацистской Германии, которая без объявления войны напала на нашу Родину 22 июня 1941 года. Врага удалось остановить, а затем и сокрушить, но колоссальной ценой. Попытка ублажить агрессора в преддверии Великой Отечественной войны оказалась ошибкой, которая дорого стоила нашему народу. В первые же месяцы боевых действий мы потеряли огромные, стратегически важные территории и миллионы людей. Второй раз мы такой ошибки не допустим, не имеем права. その結果、1941年6月22日に宣戦布告なしに祖国を攻撃したナチス・ドイツの侵攻に十分に対応することができませんでした。敵の動きを止め、そして潰すことはできましたが、それには莫大なコストがかかりました。大祖国戦争の前夜に侵略者を喜ばせようとしたことは、我々の国民に大きな犠牲を強いる過ちでした。戦闘開始から数ヶ月の間に、戦略上重要な広大な領土と何百万人もの人々を失いました。私たちは二度とこのような過ちを犯しません、そのような権利はありません。
Те, кто претендуют на мировое господство, публично, безнаказанно и, подчеркну, без всяких на то оснований объявляют нас, Россию, своим врагом. Они, действительно, располагают сегодня большими финансовыми, научно-технологическими и военными возможностями. Мы знаем об этом и объективно оцениваем постоянно звучащие в наш адрес угрозы в сфере экономики – так же, как и свои возможности противостоять этому наглому и перманентному шантажу. Повторю, мы оцениваем их без иллюзий, предельно реалистично. 世界征服を目指す人々は、公然と、堂々と、そして強調しておきますが、何の正当性もなく、私たちロシアを敵とみなしています。彼らは確かに、今日、偉大な金融、科学、技術、軍事力を持っています。我々はこのことを認識しており、経済分野で我々のアドレスに絶えず鳴り響く脅威と、この不謹慎で永久的な脅迫に抵抗する我々の能力を客観的に評価しています。繰り返しになりますが、我々は幻想を抱くことなく、非常に現実的に評価しています。
Что касается военной сферы, то современная Россия даже после развала СССР и утраты значительной части его потенциала является сегодня одной из самых мощных ядерных держав мира и, более того, обладает определёнными преимуществами в ряде новейших видов вооружения. В этой связи ни у кого не должно быть сомнений в том, что прямое нападение на нашу страну приведёт к разгрому и ужасным последствиям для любого потенциального агрессора. 軍事分野では、現代のロシアは、ソビエト連邦が崩壊してその潜在能力の多くを失った後も、今日では世界で最も強力な核保有国の一つであり、さらに、多くの最新兵器において一定の優位性を持っています。したがって、わが国への直接的な攻撃は、いかなる潜在的な侵略者にとっても敗北と悲惨な結果をもたらすことに疑いの余地はないはずです。
Вместе с тем технологии, в том числе оборонные, меняются быстро. Лидерство в этой области переходит и будет переходить из рук в руки, а вот военное освоение прилегающих к нашим границам территорий, если мы позволим это сделать, останется на десятилетия вперёд, а может, и навсегда и будет создавать для России постоянно нарастающую, абсолютно неприемлемую угрозу. しかし、防衛技術をはじめとするテクノロジーは急速に変化しています。この分野のリーダーシップはこれまでも変わってきましたし、これからも手を変え品を変えていくでしょうが、国境に隣接する領土の軍事的開発は、もしそれを許せば、今後何十年も、おそらく永遠に残り、ロシアにとっては全く受け入れがたい脅威となります。
Уже сейчас, по мере расширения НАТО на восток, ситуация для нашей страны с каждым годом становится всё хуже и опаснее. Более того, в последние дни руководство НАТО прямо говорит о необходимости ускорить, форсировать продвижение инфраструктуры Альянса к границам России. Другими словами – они ужесточают свою позицию. Продолжать просто наблюдать за тем, что происходит, мы больше не можем. Это было бы с нашей стороны абсолютно безответственно. すでに今、NATOが東に拡大しているため、我が国の状況は年々悪化し、危険な状態になっています。さらに、ここ数日、NATOの指導者たちは、ロシアの国境に向けて同盟インフラの前進を加速させ、強引に進める必要性を明確に語っています。言い換えれば、彼らはスタンスを強化しているのです。もう見ているだけではダメなのです。それは全くの無責任です。
Дальнейшее расширение инфраструктуры Североатлантического альянса, начавшееся военное освоение территорий Украины для нас неприемлемы. Дело, конечно, не в самой организации НАТО – это только инструмент внешней политики США. Проблема в том, что на прилегающих к нам территориях, – замечу, на наших же исторических территориях, – создаётся враждебная нам «анти-Россия», которая поставлена под полный внешний контроль, усиленно обживается вооружёнными силами натовских стран и накачивается самым современным оружием.  北大西洋同盟のインフラをさらに拡大し、始まったウクライナの領土の軍事開発は、私たちには受け入れられません。もちろん、NATOという組織自体に問題があるのではなく、NATOはアメリカの外交政策の道具に過ぎないということです。問題は、我々に隣接する領土、つまり我々の歴史的領土に、「反ロシア」が作られていることです。この領土は完全に外部の管理下に置かれ、NATO諸国の軍隊によって集中的に開拓され、最新の武器が投入されています。 
Для США и их союзников это так называемая политика сдерживания России, очевидные геополитические дивиденды. А для нашей страны – это в итоге вопрос жизни и смерти, вопрос нашего исторического будущего как народа. И это не преувеличение – это так и есть. Это реальная угроза не просто нашим интересам, а самому существованию нашего государства, его суверенитету. Это и есть та самая красная черта, о которой неоднократно говорили. Они её перешли. 米国とその同盟国にとって、これはいわゆるロシア封じ込め政策であり、明らかな地政学的配当です。しかし、我が国にとっては、究極的には生死に関わる問題であり、国家としての歴史的な未来に関わる問題です。そして、それは大げさではなく、まさにその通りなのです。これは、我々の利益だけでなく、我々の国家の存在、主権に対する真の脅威である。これは、繰り返し語られてきたレッドラインです。彼らはそれを越えたのです。
В этой связи – и о положении в Донбассе. Мы видим, что те силы, которые в 2014 году совершили на Украине госпереворот, захватили власть и удерживают её с помощью, по сути, декоративных выборных процедур, окончательно отказались от мирного урегулирования конфликта. Восемь лет, бесконечно долгих восемь лет мы делали всё возможное, чтобы ситуация была разрешена мирными, политическими средствами. Всё напрасно. この点について-そしてドンバスの状況について。2014年にウクライナでクーデターを起こし、本質的に装飾的な選挙手続きによって権力を掌握し、保持した勢力が、紛争の平和的解決を決定的に拒否していることがわかります。限りなく長い8年間、私たちは平和的、政治的な手段で事態が解決されるよう、可能な限りの努力をしてきました。全てが無駄になりました。
Как уже говорил в своём предыдущем обращении, нельзя без сострадания смотреть на то, что там происходит. Терпеть всё это было уже просто невозможно. Необходимо было немедленно прекратить этот кошмар – геноцид в отношении проживающих там миллионов людей, которые надеются только на Россию, надеются только на нас с вами. Именно эти устремления, чувства, боль людей и были для нас главным мотивом принятия решения о признании народных республик Донбасса. 前回の挨拶でも述べましたが、現地で起きていることを同情せずに見ることはできません。これ以上は耐えられないということでした。この悪夢、つまりロシアにしか希望を持てない、あなたや私にしか希望を持てない何百万人もの現地の人々に対するジェノサイドを直ちに止める必要があったのです。私たちがドンバス人民共和国を承認するという決断をした主な動機は、こうした人々の願望、感情、痛みでした。
Что считаю важным дополнительно подчеркнуть. Ведущие страны НАТО для достижения своих собственных целей во всём поддерживают на Украине крайних националистов и неонацистов, которые в свою очередь никогда не простят крымчанам и севастопольцам их свободный выбор – воссоединение с Россией. このことをさらに強調することが重要だと思います。NATOの主要国は、自分たちの目的を達成するために、ウクライナの極端な民族主義者やネオナチを支援しています。彼らは、ロシアとの再統一を自由に選択したクリミア人やセヴァストポリの住民を決して許しません。
Они, конечно же, полезут и в Крым, причём так же, как и на Донбасс, с войной, с тем, чтобы убивать, как убивали беззащитных людей каратели из банд украинских националистов, пособников Гитлера во время Великой Отечественной войны. Откровенно заявляют они и о том, что претендуют на целый ряд других российских территорий. 彼らはもちろん、ドンバスに行ったようにクリミアに行き、戦争をして、大祖国戦争でヒトラーの共犯者だったウクライナの民族主義者の懲罰的なギャングが無防備な人々を殺したように、殺すために行くでしょう。彼らはまた、他の様々なロシアの領土を主張することにも積極的です。
Весь ход развития событий и анализ поступающей информации показывает, что столкновение России с этими силами неизбежно. Это только вопрос времени: они готовятся, они ждут удобного часа. Теперь претендуют ещё и на обладание ядерным оружием. Мы не позволим этого сделать. 全ての出来事の経過と入ってくる情報の分析から、ロシアとこれらの勢力との衝突は避けられないと考えられます。それは時間の問題で、彼らは準備をしていて、機会を待っているのです。また、彼らは核兵器を保有していると主張しています。このようなことがあってはなりません。
Как уже говорил ранее, Россия после развала СССР приняла новые геополитические реалии. Мы с уважением относимся и будем так же относиться ко всем вновь образованным на постсоветском пространстве странам. Мы уважаем и будем уважать их суверенитет, и пример тому – помощь, которую мы оказали Казахстану, который столкнулся с трагическими событиями, с вызовом своей государственности и целостности. Но Россия не может чувствовать себя в безопасности, развиваться, существовать с постоянной угрозой, исходящей с территории современной Украины. 先に述べたように、ロシアはソ連崩壊後の新しい地政学的現実を受け入れました。我々は、ポスト・ソビエト空間で新たに形成されたすべての国を尊重しており、今後も尊重していきます。我々は彼らの主権を尊重しており、今後も尊重していきます。その一例として、悲劇的な出来事や国家としての整合性に対する挑戦に直面しているカザフスタンに対して我々が行った支援があります。しかし、現在のウクライナの領土から常に脅威が迫っている状態では、ロシアは安心できず、発展もできず、存在もできません。
Напомню, что в 2000–2005 годах мы дали военный отпор террористам на Кавказе, отстояли целостность нашего государства, сохранили Россию. В 2014 году поддержали крымчан и севастопольцев. В 2015-м применили Вооружённые Силы, чтобы поставить надёжный заслон проникновению террористов из Сирии в Россию. Другого способа защитить себя у нас не было. 2000年から2005年にかけて、私たちはコーカサスのテロリストに軍事的に反撃し、国家の整合性を守り、ロシアを維持したことを思い出してください。2014年には、クリミアとセヴァストポリの人々を支援しました。2015年、我々は軍隊を使って、シリアからロシアへのテロリストの侵入に確実なバリアを張った。それ以外に自分の身を守る方法はありませんでした。
То же самое происходит и сейчас. Нам с вами просто не оставили ни одной другой возможности защитить Россию, наших людей, кроме той, которую мы вынуждены будем использовать сегодня. Обстоятельства требуют от нас решительных и незамедлительных действий. Народные республики Донбасса обратились к России с просьбой о помощи. 今も同じことが起きています。あなたと私は、ロシアと国民を守るために、今日使わざるを得ない他の方法が残されていないだけです。状況によっては、断固とした態度で即座に行動しなければならないこともあります。ドンバス人民共和国はロシアに助けを求めています。
В связи с этим в соответствии со статьёй 51 части 7 Устава ООН, с санкции Совета Федерации России и во исполнение ратифицированных Федеральным Собранием 22 февраля сего года договоров о дружбе и взаимопомощи с Донецкой народной республикой и Луганской народной республикой мною принято решение о проведении специальной военной операции. これに関連して、国際連合憲章第7部第51条に従い、ロシア連邦理事会の承認を得て、今年2月22日に連邦議会が批准したドネツク人民共和国およびルハンスク人民共和国との友好・相互援助に関する協定の実施のため、私は特別軍事作戦を実施する決定を下しました。
Её цель – защита людей, которые на протяжении восьми лет подвергаются издевательствам, геноциду со стороны киевского режима. И для этого мы будем стремиться к демилитаризации и денацификации Украины, а также преданию суду тех, кто совершил многочисленные, кровавые преступления против мирных жителей, в том числе и граждан Российской Федерации. その目的は、キエフ政権によって8年間に渡って虐待や虐殺を受けてきた人々を保護することです。そのために、我々はウクライナの非武装化と非ナチ化に努め、ロシア連邦の市民を含む一般市民に対して数々の血なまぐさい犯罪を犯した者を裁きます。
При этом в наши планы не входит оккупация украинских территорий. Мы никому и ничего не собираемся навязывать силой. Вместе с тем мы слышим, что в последнее время на Западе всё чаще звучат слова о том, что подписанные советским тоталитарным режимом документы, закрепляющие итоги Второй мировой войны, не следует уже и выполнять. Ну что же, что ответить на это? 同時に、我々の計画にはウクライナの領土を占領することは含まれていません。私たちは、誰かに力で何かを押し付けるつもりはありません。それと同時に、第二次世界大戦の成果を明記したソ連の全体主義政権が署名した文書は、もはや実行すべきではないという声が、最近欧米で聞かれるようになってきました。さて、それに対する答えは何ですか?
Итоги Второй мировой войны, как и жертвы, принесённые нашим народом на алтарь победы над нацизмом, священны. Но это не противоречит высоким ценностям прав и свобод человека, исходя из тех реалий, которые сложились на сегодня за все послевоенные десятилетия. Также не отменяет права наций на самоопределение, закреплённое в статье 1 Устава ООН. 第二次世界大戦の結果は神聖なものであり、ナチズムに対する勝利のために我々の人々が捧げた犠牲も神聖なものです。しかし、これは戦後数十年の現実に基づいた、人権と自由の高い価値観と矛盾するものではありません。また、国連憲章第1条に定められている国家の自決権を覆すものでもありません。
Напомню, что ни при создании СССР, ни после Второй мировой войны людей, проживавших на тех или иных территориях, входящих в современную Украину, никто никогда не спрашивал о том, как они сами хотят обустроить свою жизнь. В основе нашей политики – свобода, свобода выбора для всех самостоятельно определять своё будущее и будущее своих детей. И мы считаем важным, чтобы этим правом – правом выбора – могли воспользоваться все народы, проживающие на территории сегодняшней Украины, все, кто этого захочет.  ソ連創設時も第二次世界大戦後も、現在のウクライナを構成する地域に住む人々に、どのような生活を送りたいかを尋ねる人はいなかったことを思い出してほしいです。私たちのポリシーは、自由、つまり、すべての人が自分と自分の子供の将来を決定するための選択の自由に基づいています。そして、現在のウクライナの領土に住むすべての人々、この権利、つまり選択する権利を行使したいと思うすべての人々にとって重要であると考えています。 
В этой связи обращаюсь и к гражданам Украины. В 2014 году Россия была обязана защитить жителей Крыма и Севастополя от тех, кого вы сами называете «нациками». Крымчане и севастопольцы сделали свой выбор – быть со своей исторической Родиной, с Россией, и мы это поддержали. Повторю, просто не могли поступить иначе. その意味で、私はウクライナの市民にも訴えます。2014年、ロシアはクリミアとセヴァストポリの住民を、あなた自身が「ナチス」と呼ぶ人々から守る義務がありました。クリミアとセヴァストポリの人々は、歴史的な祖国であるロシアと共にあることを選択し、私たちはこれを支持しました。繰り返しになりますが、それ以外のことはできませんでした。
Сегодняшние события связаны не с желанием ущемить интересы Украины и украинского народа. Они связаны с защитой самой России от тех, кто взял Украину в заложники и пытается использовать её против нашей страны и её народа. 今日の出来事は、ウクライナとウクライナ人の利益を侵害するものではありません。それは、ウクライナを人質に取り、それを我が国とその国民に対して利用しようとしている者から、ロシア自身を守るためのものです。
Повторю, наши действия – это самозащита от создаваемых нам угроз и от ещё большей беды, чем та, что происходит сегодня. Как бы тяжело ни было, прошу понять это и призываю к взаимодействию, чтобы как можно скорее перевернуть эту трагическую страницу и вместе двигаться вперёд, никому не позволять вмешиваться в наши дела, в наши отношения, а выстраивать их самостоятельно – так, чтобы это создавало необходимые условия для преодоления всех проблем и, несмотря на наличие государственных границ, укрепляло бы нас изнутри как единое целое. Я верю в это – именно в такое наше будущее. 繰り返しになりますが、私たちの行動は、私たちに突きつけられた脅威に対する自衛であり、今日起こっていることよりもさらに大きな災難に対する自衛です。困難ではありますが、このことをご理解いただき、私たちがこの悲劇のページを一日も早くめくり、共に前進していけるよう、協力をお願いします。私たちの問題や関係に誰も干渉することなく、自主的に構築していくことで、すべての問題を克服するために必要な条件が整い、国境はあっても、一つの統一された組織として内側から強化されていくのです。私はこれを信じています。これは私たちの未来です。
Должен обратиться и к военнослужащим вооружённых сил Украины. また、ウクライナ軍の軍人にも挨拶しなければなりません。
Уважаемые товарищи! Ваши отцы, деды, прадеды не для того сражались с нацистами, защищая нашу общую Родину, чтобы сегодняшние неонацисты захватили власть на Украине. Вы давали присягу на верность украинскому народу, а не антинародной хунте, которая грабит Украину и издевается над этим самым народом. 同志よ! 皆さんのお父さん、おじいちゃん、ひいおじいちゃんは、今日のネオナチがウクライナで権力を握るために、共通の祖国を守るためにナチスと戦ったわけではありません。あなたはウクライナの人々に忠誠を誓ったのであって、ウクライナを奪い、まさにこの人々をいじめている反人民的なジャンタに忠誠を誓ったのではないのです。
Не исполняйте её преступных приказов. Призываю вас немедленно сложить оружие и идти домой. Поясню: все военнослужащие украинской армии, которые выполнят это требование, смогут беспрепятственно покинуть зону боевых действий и вернуться к своим семьям. その犯罪的な命令を実行してはなりません。すぐに武器を置いて家に帰ることを強く勧めします。はっきり言っておきますが、この要求に応じたウクライナ軍のメンバーは、誰にも邪魔されずに戦地を離れ、家族のもとに帰ることができます。
Ещё раз настойчиво подчеркну: вся ответственность за возможное кровопролитие будет целиком и полностью на совести правящего на территории Украины режима.  もう一度強調しておきますが、起こりうる流血の責任はすべて、ウクライナの領土を支配する政権の良心にあります。 
Теперь несколько важных, очень важных слов для тех, у кого может возникнуть соблазн со стороны вмешаться в происходящие события. Кто бы ни пытался помешать нам, а тем более создавать угрозы для нашей страны, для нашего народа, должны знать, что ответ России будет незамедлительным и приведёт вас к таким последствиям, с которыми вы в своей истории ещё никогда не сталкивались. Мы готовы к любому развитию событий. Все необходимые в этой связи решения приняты. Надеюсь, что я буду услышан. ここで、外部から起こっている出来事に干渉したいと思っている人のために、いくつかの重要な、非常に重要な言葉があります。我々に干渉しようとする者、ましてや我が国と国民を危険にさらそうとする者は、ロシアの対応が即座に行われ、これまでの歴史の中で直面したことのないような結果に導かれることを知るべきである。どんな展開のイベントにも対応できるようになっています。この点については、すべての必要な決定がなされました。聞いてもらいたいと思っています。
Уважаемые граждане России! 親愛なるロシア国民の皆様
Благополучие, само существование целых государств и народов, их успех и жизнеспособность всегда берут начало в мощной корневой системе своей культуры и ценностей, опыта и традиций предков и, конечно, прямо зависят от способности быстро адаптироваться к постоянно меняющейся жизни, от сплочённости общества, его готовности консолидировать, собирать воедино все силы, чтобы идти вперёд. 国家や民族全体の幸福や存在そのもの、その成功や存続は、常にその文化や価値観、祖先の経験や伝統といった強力な根幹に由来しています。もちろん、刻々と変化する生活に迅速に適応する能力、社会の結束力、前進するためにあらゆる力を結集する準備があるかどうかにも依存しています。
Силы нужны всегда – всегда, но сила может быть разного качества. В основе политики «империи лжи», о которой говорил в начале своего выступления, прежде всего лежит грубая, прямолинейная сила. В таких случаях у нас говорят: «Сила есть, ума не надо». 力は常に必要なものです。私が冒頭で述べた「嘘の帝国」の政策は、何よりも残忍で直接的な力に基づいています。そのような場合には、「あなたにはパワーがあるから、インテリジェンスは必要ない」と言います。
А мы с вами знаем, что настоящая сила – в справедливости и правде, которая на нашей стороне. А если это так, то трудно не согласиться с тем, что именно сила и готовность к борьбе лежат в основе независимости и суверенитета, являются тем необходимым фундаментом, на котором только и можно надёжно строить своё будущее, строить свой дом, свою семью, свою Родину. しかし、あなたと私は、本当の強さは、私たちの味方である正義と真実にあることを知っています。もしそうであれば、強さと戦う意志が独立と主権の基礎であり、その上に自分の未来、家、家族、祖国を築くことができる必要な基礎であることに同意しないわけにはいきません。
Уважаемые соотечественники! 親愛なる同胞の皆さん
Уверен, что преданные своей стране солдаты и офицеры Вооружённых Сил России профессионально и мужественно исполнят свой долг. Не сомневаюсь, что слаженно и эффективно будут действовать все уровни власти, специалисты, отвечающие за устойчивость нашей экономики, финансовой системы, социальной сферы, руководители наших компаний и весь российский бизнес. Рассчитываю на консолидированную, патриотическую позицию всех парламентских партий и общественных сил. 祖国に忠誠を誓うロシア軍の兵士や将校は、専門的かつ勇気を持って任務を遂行すると確信しています。経済、金融システム、社会的領域の安定に責任を持つすべてのレベルの権力者と専門家、そして企業のリーダーとすべてのロシアのビジネスが、調和的かつ効果的に働くことを確信しています。私は、すべての政党と公共勢力の統合された愛国的な姿勢に期待しています。
В конечном счёте, как это всегда и было в истории, судьба России – в надёжных руках нашего многонационального народа. А это значит, что принятые решения будут выполнены, поставленные цели – достигнуты, безопасность нашей Родины – надёжно гарантирована. 結局のところ、歴史上常にそうであったように、ロシアの運命は多民族の人々の有能な手に委ねられているのです。つまり、我々が下した決定が実行され、我々の目標が達成され、祖国の安全が確実に保証されるということです。
Верю в вашу поддержку, в ту непобедимую силу, которую даёт нам наша любовь к Отечеству. 皆さんの応援と、祖国への愛が与えてくれる無敵の力を信じています。

 

ウクライナ大統領府

・2022.02.24 Росія розпочала нову військову операцію проти нашої держави, по всій території України запроваджується воєнний стан

Росія розпочала нову військову операцію проти нашої держави, по всій території України запроваджується воєнний стан ロシアは新たな軍事作戦を開始し、ウクライナは全土に戒厳令を敷きます。
Сьогодні вранці Росія розпочала нову військову операцію проти нашої держави. Це нічим не виправдане брехливе й цинічне вторгнення. 本日、ロシアは我が国に対して新たな軍事作戦を開始しました。それは正当化できない、皮肉な侵略です。
Відбуваються удари по військових та інших важливих оборонних об'єктах, атаковані прикордонні підрозділи, деградувала ситуація на Донбасі. 軍やその他の重要な防衛施設が攻撃され、国境警備隊が攻撃され、ドンバスの状況は悪化しています。
ЗСУ, всі спеціальні та силові служби держави підняті за тривогою. В екстреному режимі працює Рада національної безпеки і оборони. ウクライナ国防軍をはじめ、国家のすべての特殊・保安機関が警戒態勢に入っています。国家安全保障・防衛会議は緊急モードで動いています。
Буде запроваджено воєнний стан. 軍事的な非常事態が発生します。
Наші дипломати інформують світ про те, що відбувається. Українці ніколи й нікому не віддадуть свою свободу й незалежність. Тільки ми самі, всі громадяни України, з 1991 року визначаємо наше майбутнє. Але зараз вирішується доля не лише нашої держави, а й того, яким буде життя у Європі. 我々の外交官は何が起きているかを世界に知らせています。ウクライナ人は、自分たちの自由と独立を誰にも譲りません。1991年以降、私たちの未来を決めてきたのは、私たち、すべてのウクライナ人自身だけです。しかし今、私たちは国の運命だけでなく、ヨーロッパの生活がどのようなものになるかを決定しています。
Від чесної та справедливої відповіді світу на цю агресію залежить те, чи залишиться хоча б щось від сили міжнародного права. この侵略行為に対する世界の誠実で公正な対応が、少なくとも国際法の力が残るかどうかを決定します。
Цивільним громадянам України варто залишатися вдома. Попередьте своїх близьких про те, що відбувається. Подбайте про тих, хто потребує допомоги. ウクライナの民間人は家にいてください。大切な人に何が起きているかを伝えてください。助けを必要としている人のために声をかけてください。
Усі думки й молитви з нашими солдатами. あなたの思いと祈りを、私たちの兵士に託してください。
Слава Україні! ウクライナに栄光を!

 

米国 The White House

・2022.02.23 Statement by President Biden on Russia’s Unprovoked and Unjustified Attack on Ukraine

Statement by President Biden on Russia’s Unprovoked and Unjustified Attack on Ukraine ロシアのウクライナに対するいわれなき不当な攻撃に関するバイデン大統領の声明
The prayers of the entire world are with the people of Ukraine tonight as they suffer an unprovoked and unjustified attack by Russian military forces. President Putin has chosen a premeditated war that will bring a catastrophic loss of life and human suffering. Russia alone is responsible for the death and destruction this attack will bring, and the United States and its Allies and partners will respond in a united and decisive way. The world will hold Russia accountable. 全世界の祈りは、今夜、ロシア軍によるいわれのない不当な攻撃を受けているウクライナの人々とともにあります。プーチン大統領は、壊滅的な人命の損失と人的被害をもたらす計画的な戦争を選択しました。この攻撃がもたらす死と破壊の責任はロシアだけが負うものであり、米国とその同盟国およびパートナーは一致団結して断固とした方法で対応します。世界はロシアに責任を取らせるでしょう。
I will be monitoring the situation from the White House this evening and will continue to get regular updates from my national security team. Tomorrow, I will meet with my G7 counterparts in the morning and then speak to the American people to announce the further consequences the United States and our Allies and partners will impose on Russia for this needless act of aggression against Ukraine and global peace and security. We will also coordinate with our NATO Allies to ensure a strong, united response that deters any aggression against the Alliance. Tonight, Jill and I are praying for the brave and proud people of Ukraine. 私は今晩、ホワイトハウスから状況を監視し、引き続き私の国家安全保障チームから定期的に最新情報を入手する予定です。明日は、午前中にG7諸国の代表者と会談した後、米国民に向けて、ウクライナと世界の平和と安全に対するこの無用な侵略行為に対して、米国と同盟国およびパートナーがロシアに課す更なる結果を発表します。また、NATOの同盟国と連携し、同盟国に対するあらゆる攻撃を抑止するための強力で統一された対応を確保します。今夜、ジルと私は、ウクライナの勇敢で誇り高い人々のために祈っています。

 

 

中国

● 外交部

・2022.02.24 王毅同俄罗斯外长拉夫罗夫通电话

王毅同俄罗斯外长拉夫罗夫通电话 王毅、ロシアのラブロフ外相と電話会談
2022年2月24日,国务委员兼外长王毅同俄罗斯外长拉夫罗夫通电话。 2022年2月24日、王毅国務委員兼外相とロシアのセルゲイ・ラヴロフ外相が電話会談を行いました。
拉夫罗夫介绍了乌克兰局势演变至今的过程和俄方立场,表示美国和北约违背承诺,不断向东扩张,拒不执行新明斯克协议,违反联合国安理会第2202号决议,俄方被迫采取必要措施维护自身权益。 ラブロフ外相は、これまでのウクライナ情勢の変遷とロシアの立場を紹介し、米国とNATOが約束を破り、東方への拡大を続け、新ミンスク協定の実施を拒否し、国連安保理決議2202に違反し、ロシアが自国の権利と利益を守るために必要な措置をとることを余儀なくされたと述べました。
王毅说,中方一贯尊重各国的主权和领土完整。同时我们也看到,乌克兰问题有其复杂和特殊的历史经纬,理解俄方在安全问题上的合理关切。中方主张应彻底摒弃冷战思维,通过对话谈判,最终形成均衡、有效、可持续的欧洲安全机制。 王毅国務委員兼外相は、中国は常にすべての国の主権と領土の一体性を尊重してきたと述べました。 同時に、ウクライナ問題には複雑で特殊な歴史の縦糸と横糸があることを理解し、安全保障問題に対するロシア側の正当な懸念も理解しています。 中国は、冷戦の考え方を完全に捨て、対話と交渉を通じて、バランスのとれた、効果的で持続可能な欧州の安全保障機構を最終的に形成することを提唱しています。

 

(この問題以外については省略しています。。。)

2022年2月24日外交部发言人华春莹主持例行记者会

2022年2月24日外交部发言人华春莹主持例行记者会 2022年2月24日、定例記者会見を行う外務省の華春瑩報道官
法新社记者:中方一直未谴责俄罗斯对乌克兰的行为,当前普京总统已开始入侵乌克兰,今天中方是否会谴责俄罗斯的行动? AFP記者:中国はロシアのウクライナに対する行動を非難していませんが、現在プーチン大統領はウクライナへの侵攻を開始しましたが、中国は今日のロシアの行動を非難するのでしょうか?
华春莹:中方正密切关注最新事态。我们呼吁各方保持克制,避免局势失控。 華春瑩: 中国は最新の動向を注視していまあす。 我々はすべての関係者に自制を求め、事態の収拾がつかなくなることを避けるよう要請します。
彭博社记者:中方是否认为俄罗斯的行动是侵略?是否违反联合国宪章? ブルームバーグ記者:中国側はロシアの行動を侵略と考えますか。 国連憲章に違反しているのでは?
华春莹:关于乌克兰问题,我们已经表明中方原则立场。乌克兰问题有着非常复杂的历史背景和经纬,演变到今天这种局面,是各种因素共同作用的结果。 華春瑩:ウクライナ問題については、すでに中国の原則的な立場を表明しています。 ウクライナ問題は、非常に複雑な歴史的背景と縦糸があり、今日のこの状況への進化は、様々な要因が重なった結果だと思います。
我们注意到今天俄方宣布在乌东地区开展特别军事行动,俄罗斯国防部称其武装力量不会对城市实施导弹、航空和火炮袭击。中方密切关注当前最新事态的发展,呼吁各方保持克制,避免局势失控。 なお、本日、ロシア側がウクライナ東部での特別軍事作戦を発表し、ロシア国防省は、同国軍がミサイル攻撃、空爆、砲撃を行わないことを発表しました。 中国は最新の動向を注視しており、すべての当事者が自制し、事態が収拾できなくなることを避けるよう呼びかけています。
同时我也想再次强调中方的一贯立场。各国安全应该是共同、合作、可持续的安全,各方的合理安全关切应该得到尊重和解决。我们希望各方不要把和平大门关上,继续致力于对话、协商、谈判,努力尽快缓解事态,不要使局势进一步升级。 同時に、中国の一貫した立場も改めて強調しておきたいです。 すべての国の安全保障は、共通の、協力的で持続可能な安全保障であるべきで、すべての締約国の合理的な安全保障上の懸念は尊重され、対処されるべきものです。 すべての当事者が平和への扉を閉ざすことなく、対話、協議、交渉に尽力し、一刻も早く状況をデスカレートさせ、これ以上エスカレートさせないよう努力することを期待します。
总台央视记者:美国务院发言人普莱斯就乌克兰问题表示,中国应该尊重国家主权和领土完整原则,中方有义务敦促俄罗斯在乌克兰问题上作出让步,但中俄关系发展方向令人担忧。中俄联合声明表明中国试图利用对俄罗斯的影响来达成两国创造世界秩序的目的。你对此有何评论? 中国中央テレビ記者:米国務省のプライス報道官はウクライナについて、中国は国家主権と領土保全の原則を尊重すべきであり、中国はウクライナ問題でロシアに譲歩を促す義務があるが、中露関係の方向性は憂慮される、と発言しました。 中露共同声明は、中国がロシアへの影響力を利用して、2国間の世界秩序を作るという目標を達成しようとしていることを示しています。 これに対してのコメントをお願いします。
华春莹:我注意到美国国务院发言人有关表态。 華春瑩:米国国務省報道官の関連発言に注目しました。
首先,关于如何尊重国家主权和领土完整问题,美方恐怕没有资格告诉中方怎么做。对于国家主权和领土完整问题,中国人民有着特别真实而深刻的理解和感受。近代以来,中国遭受过八国联军和外国殖民侵略,有着对于丧权辱国的刻骨铭心的悲惨记忆。就在并不遥远的20多年前,中国驻南联盟使馆被北约轰炸、造成3名中国记者牺牲,多人受伤。北约还欠着中国人民的血债。而今天我们依然面临美国伙同其几个所谓盟友在涉疆、涉港、涉台等问题上肆意干涉中国内政、破坏损害中国主权安全的现实威胁。中国也还是唯一一个还没有实现祖国完全统一的安理会常任理事国。正因为如此,中国一贯坚决维护联合国宪章宗旨原则和国际关系基本准则,坚决维护国家主权、安全和领土完整,坚决维护国际公平正义。 まず、国家の主権と領土の一体性をどう尊重するかという問題については、残念ながら米国側に中国側にどうすべきかを指示する資格はありません。 国家主権と領土保全の問題については、中国国民は特にリアルで深い理解と感情を持っています。 近代の中国は、八紘一宇の侵略と外国の植民地支配に苦しみ、力を失い、国を辱めた苦い悲劇的な記憶があります。 ちょうど20年前、在フリジア共和国中国大使館がNATOの爆撃を受け、3人の中国人ジャーナリストが死亡し、多くの人が負傷したことがありました。 NATOは今でも中国の人々に血の通った負債を負っています。 そして今日もなお、米国がいわゆる同盟国数カ国とともに中国の内政に干渉し、国境、香港、台湾に関連する問題で中国の主権と安全を損なうという現実的な脅威に直面しています。 また、中国は安保理の常任理事国の中で唯一、祖国の完全な統一を実現していない国でもあります。 このため、中国は常に、国連憲章の目的と原則、国際関係の基本規範を守り、国家の主権、安全、領土の一体性を保護し、国際的な公正と正義を堅持することに断固として取り組んできまし。
而美国,建国不到250年的时间里,只有不到20年没有对外发动军事行动,而军事干预的名义有时是民主,有时是人权,有时索性就用一小瓶洗衣粉,有时甚至就编一个假消息。这样的国家对于尊重国家主权和领土完整的理解肯定是和我们不一样的。对此,国际社会也都看得十分清楚。 一方、米国は建国以来250年足らずですが、海外で軍事行動を起こしていないのは20年足らずです。軍事介入の名目は、ある時は民主主義、ある時は人権、ある時は単なる洗濯物の小瓶、そして偽メッセージさえもある。 そのような国は、国家主権と領土保全の尊重について、私たちとは異なる理解を持っていることは確かです。 国際社会もまた、このことをはっきりと認識しています。
至于美方暗示俄罗斯有中国背后支持才行动,相信俄方会很不高兴听到这种说法。俄罗斯是安理会常任理事国,是独立自主的大国,俄方完全基于自身判断和国家利益独立自主制定并实施自己的外交战略。 ロシアが中国の後ろ盾を得て行動したという米国の主張については、ロシア側は非常に不愉快に思っていると思います。 ロシアは安保理の常任理事国であり、独立した大国であり、自らの判断と国益のみに基づいて独自の外交戦略を立案し、実行しています。
我还必须强调指出,中俄关系建立在不结盟、不对抗、不针对第三方的基础上,同美方以意识形态划线,拉帮结伙搞“小圈子”和集团政治、制造对抗分裂有根本和质的不同。对于那种非友即敌的冷战思维和拼凑所谓“同盟”和“小圈子”的做法,中方不感兴趣,也无意效仿。 また、中露関係は非同盟、非対立、第三者を標的にしないことを基本としており、米国側のイデオロギーの区分け、「小集団」での暴力集団、集団政治、対立と分裂を生むこととは根本的、質的に異なることを強調しなければなりません。 中国は、冷戦時代の敵か味方かという考え方や、いわゆる「同盟」や「小さなサークル」を組み立てる習慣には興味がないし、そのようなつもりもありません。
至于中俄联合声明,我们建议美方再认真仔细阅读一下。中俄加强战略沟通协调,坚定维护联合国在国际事务中发挥核心协调作用的国际体系,坚定维护包括《联合国宪章》宗旨和原则在内的以国际法为基础的国际秩序,恰恰是负责任的表现,是维护国际战略安全与稳定的积极因素。 中露の共同声明については、米国側にもう一度よく読んでもらうことを提案します。 中露の戦略的意思疎通と協調の強化、国連が国際情勢の中心的調整役を担う国際システムの堅持、国連憲章の目的と原則を含む国際法に基づく国際秩序の堅持は、まさに国際戦略の安全と安定の維持の責任ある現れであり、積極的要因です。
英国独立电视新闻记者:尽管看到今天上午乌克兰形势的最新变化,你似乎认为和平仍然可能,习近平主席是否计划与其好友普京总统通话,呼吁保持冷静,寻求外交解决? 英国独立系テレビ局記者:今朝、ウクライナ情勢の最新の変化を見たにもかかわらず、平和はまだ可能だと考えているようですね。 習近平主席は、親友のプーチン大統領と話し、冷静さを呼びかけ、外交的解決を求めるつもりでしょうか?
华春莹:和平的大门永远都不应被轻易关闭。即便乌克兰局势发展到了今天,我们仍然呼吁有关各方保持克制,采取建设性行为,尽快缓和事态,不要使局势进一步失控。 華春瑩:平和への扉は、決して簡単に閉ざしてはなりません。 ウクライナ情勢が進展しても、我々はすべての関係者が自制し、建設的な行動をとり、できるだけ早く状況をデスカレートさせ、これ以上状況をコントロールできなくさせることのないよう求めています。
中方一贯主张各方尊重和重视彼此合理安全关切,努力通过谈判协商和平解决地区热点问题。我昨天介绍了中方为推动和平解决乌克兰问题所做努力。习近平主席近期和马克龙总统通话以及王毅国务委员兼外长视频出席慕安会时都呼吁各方坚持政治解决的大方向,切实负起责任,为和平而努力。 中国は、すべての当事者が互いの正当な安全保障上の懸念を尊重し、重視し、交渉と協議を通じて地域のホットスポットの問題を平和的に解決するよう努力することを常に提唱してきました。 昨日、ウクライナ問題の平和的解決に向けた中国の取り組みを紹介しました。 習近平主席が最近マクロン大統領と電話会談し、王毅外相とロシア外相の会談にビデオ出演したことは、いずれもすべての当事者が政治的解決の一般的方向を堅持し、責任を有効に果たして、平和のために努力するよう呼びかけたものです。
法新社记者:在昨天的记者会上,中方批评美方在乌克兰推高紧张、制造恐慌,最近24小时的事态变化是否说明,美方的警告其实是有根据的?中方是否应该早些倾听美方警告并请本国公民自乌克兰撤离? AFP記者:昨日の記者会見で、中国は、米国がウクライナの緊張を高め、恐怖を作り出していると批判しました。 この24時間の動きは、米国の警告が実際に根拠があったことを示しているのでしょうか。 中国はもっと早く米国の警告を聞き、自国民にウクライナからの避難を求めるべきだったのではないでしょうか?
华春莹:美方一段时间以来一直在不断推高紧张、煽动战争。你们应该知道过去一段时间里,美方向乌克兰运送进多少武器弹药吗? 華春瑩:米国側は、以前から緊張を高め、戦争を煽ってきました。 過去一定期間、米国がウクライナに送った武器・弾薬の数をご存知ですか?
当时如果各方都多做劝和工作,多尊重和照顾彼此安全关切,合理妥善解决,使局势软着陆,那今天情况会是怎么样?美方放出消息称16日俄方大规模侵入,俄方称这是虚假消息。你是愿意看到美方喊“狼来了”成真?还是真正出自对乌克兰人民以及地区和平安全的关心,希望事情消灭于萌芽状态,不走到今天这个地步呢? あの時、もしすべての当事者がもっと平和を説得し、互いの安全保障上の懸念を尊重し、配慮し、合理的かつ適切に解決して事態を軟着陸させていたら、今日の状況はどうなっていたでしょうか?米国側は16日にロシアの大規模な侵攻があったというニュースを出したが、ロシア側はそれは嘘だと言っています。 むしろ、米国の「狼」の叫びが現実のものとなるのでしょうか? それとも、本当にウクライナの人々や地域の平和と安全を考え、このような段階に至らないように、物事の芽を摘むことを望んでいるのでしょうか?
中方从一开始就本着负责任的态度,劝说有关方不要推高紧张、煽动战争。中方做法是负责任的。而那些跟在美国后面煽风点火,等火烧起来了以后却指责别人的,才是不负责任的行为。作为始作俑者,点火者应该考虑如何以实际行动尽快把火扑灭。 中国は当初から責任ある行動をとり、緊張を高めて戦争を誘発しないよう関係国を説得してきました。 中国のやり方は責任重大でした。 そして、米国に追随して炎上を煽り、火がついたら他人のせいにする人たちこそ、無責任な行動をとる人たちです。 火をつけた者は、その仕掛け人として、いかにして一刻も早く火を消すかを考え、実行に移すべきです。
总台CGTN记者:据报道,近日,多名赴美中国留学生受到美方长时间滋扰盘查,甚至被遣返。据这些中国留学生反映,美方向其粗暴询问是否为中共党员身份等问题,长时间限制他们的人身自由、拒绝他们联系亲友和当地中国使领馆。发言人对此有何评论? CGTN記者:米国に行く中国人留学生が、米国から長時間の迷惑検査を受け、強制送還されるケースも相次いでいると報道されています。 これらの中国人留学生によると、米国側は中国共産党の党員であることを不躾に質問し、長期間にわたって個人の自由を制限し、友人や親類、現地の中国大使館や領事館に連絡することを拒否したという。 広報担当者はどのような意見をお持ちですか?
华春莹:中方对美方持续盘查滋扰遣返中国留学人员、歧视中国共产党党员的恶劣行径表示强烈不满和坚决反对。我们每次获悉发生这种事件后,均第一时间向美方提出严正交涉。 華春瑩:中国は、米国側が送還された中国人留学生に対する嫌がらせを続け、中国共産党員を差別する悪習に強い不満と断固とした反対を表明する。 このような事件を知るたびに、私たちは真っ先にアメリカ側に厳重な申し入れをしてきました。
美方这一做法严重侵犯中国赴美留学人员的基本人权、基本自由与合法权益,严重破坏中美正常人文交流和教育合作,是对其自我标榜“人权卫士”“自由灯塔”的莫大讽刺,同美方“欢迎中国留学生”、“应该鼓励双方年轻一代更多接触,了解彼此文化”等表态背道而驰,同中美两国人民开展友好交流的共同愿望背道而驰。美方频繁打压中国留学人员是一种阴暗心理的反映,也是丧失自信的表现,这种行径不会让美国更安全、更强大,只会损害美国自身利益、形象和声誉。 米国側のこのような行為は、米国に留学する中国人学生の基本的人権、基本的自由、正当な権利を著しく侵害し、中米間の正常な人文交流と教育協力を著しく損なうものであり、自称「人権の番人」、「自由の道標」に対する大きな皮肉であり、米国側による 米国が「中国人留学生を歓迎する」「双方の若い世代がもっと接触し、互いの文化を学ぶことを奨励すべき」と表明したことに逆行し、友好交流を望む中米両国民の共通の願いに逆行するものである。 アメリカ側による中国人留学生への弾圧が頻発するのは、暗い心理の反映であり、自信喪失の表れであり、アメリカはより安全で強くなるどころか、自国の利益、イメージ、評判を損なうだけである。
我们敦促美方立即纠正错误,停止制造意识形态对立,更不得以此为由打压滋扰中国留学人员,损害中方有关人员的正当合法权益。 我々は、米国側が直ちにその誤りを正し、イデオロギー的な対立を生み出すことはもちろん、それを理由に中国人留学生の弾圧や養育を行い、関係する中国人職員の合法的な権益を害することをやめるよう求めるものである。
彭博社记者:随着乌克兰危机的爆发,石油价格正在上涨,中方是否会同意与美方协同释放战略石油储备平抑油价? ブルームバーグ記者:ウクライナ危機の勃発で原油価格が上昇していますが、中国は原油価格沈静化のために米国側と協力して戦略石油備蓄の放出に応じますか。
华春莹:我们认为,当前形势下各方应该保持克制,通过对话协商缓和事态。只有当局势稳定下来,才能防范各类溢出效应。我还想说,当前天下并不太平,各种麻烦已经够多了,真正负责任的国家应该采取负责任的行为,共同维护全球的能源安全,维护全球供应链产业链安全稳定,避免因地区局势紧张,影响国际能源市场的安全和稳定。 華春瑩:現在の状況では、すべての当事者が自制し、対話と協議を通じて状況をデスケーリングすべきであると考えています。 状況が安定してはじめて、あらゆる波及効果に備えることができます。 また、現在、世界は決して平和ではなく、あらゆる種類のトラブルが十分に存在しています。真に責任ある国々は、世界のエネルギー安全保障を維持し、世界のサプライチェーン産業チェーンの安全性と安定性を守り、国際エネルギー市場の安全性と安定性に影響を与えるような地域の緊張を避けるために、責任を持って行動し、協力し合うべきです。
湖北广播电视台记者:据报道,欧洲议会议员赫维·朱文称,在俄乌危机中,美国扮演着挑起冲突的角色,希望利用俄乌冲突控制欧洲,并且阻挠欧洲在安全事务上独立自主。他认为,美国希望破坏俄罗斯与欧盟的关系,将欧盟拉入对抗俄罗斯的轨道。发言人对此有何评论? 湖北ラジオ・テレビ記者:報道によると、欧州議会議員エルヴェ・ジューウェンは、米国はロシア・ウクライナ危機の紛争を誘発する役割を担っており、ロシア・ウクライナ紛争を利用して欧州をコントロールし、安全保障問題における欧州の独立を妨害することを望んでいると述べました。 米国は、ロシアとEUの関係を弱め、EUをロシアとの対立に引きずり込みたいのだと考えているようです。 広報担当者は、このことについてどう考えているのでしょうか。
华春莹:关于美方在当前乌克兰局势中扮演的角色,不只是这位欧洲议会议员,我注意到一些欧洲媒体对此也有反省和认识。 華春瑩:現在のウクライナ情勢において米国が果たしている役割については、この議員だけでなく、欧州の一部のメディアも反省し、認識しているようですね。
一段时间以来,欧盟以及法国、德国为缓和局势紧张,作了大量外交斡旋努力。目前局势与欧洲利益肯定是背道而驰的。欧方的确应该认真思考,到底什么才真正有利于维护欧洲的和平与稳定,怎样才真正有利于欧洲的长治久安。 ここしばらくは、フランスやドイツだけでなく、EUも緊張を和らげるために外交的な仲介を多く行ってきました。 現在の状況は、確かに欧州の利益に反しています。 欧州の平和と安定の維持に本当に資するものは何か、欧州の長期的安定に本当に資するものは何か、欧州側は実に真剣に考えるべきでしょう。
法新社记者:俄罗斯明确宣布不会攻击城市,而仅打击军事目标,所以你认为不攻击城市而仅打击军事目标的对他国侵略是可以接受的对吗?你还提到美方向乌克兰提供弹药,但是一个主权国家,自任何来源购买武器弹药用于自卫,这难道不是它的权利吗? AFP記者:ロシアは都市を攻撃せず、軍事目標のみを攻撃すると明確に発表していますが、都市を攻撃せず、軍事目標のみを攻撃する他国への侵略は許されるとお考えなのでしょうか? また、アメリカがウクライナに弾薬を供給しているとのことですが、自国の防衛のためにどこからでも武器・弾薬を購入するのは主権国家の権利ではないでしょうか?
华春莹:你应该注意到了,俄方声明称对乌进行特别军事行动,俄罗斯武装力量不会对乌克兰城市实施任何导弹和火炮袭击。 華春瑩:ロシア側は、ウクライナに対して特別軍事作戦を実施しており、ロシア軍はウクライナの都市に対するミサイル攻撃や砲撃を一切行わないことを表明していることにお気づきでしょうか。
对于“侵略”的定义,还是应该回到如何看待当前乌克兰局势这个起点。我们多次讲过,乌克兰问题有非常复杂的历史背景和经纬,演变到今天这个局面并不是我们每个人都希望看到的。希望各方做出共同努力,给和平一个机会,致力于通过对话协商谈判,尽快把局势缓和下来。 「侵略」の定義については、現在のウクライナ情勢をどう見るかという原点に立ち返るべきでしょう。 何度も言うように、ウクライナの問題は非常に複雑な歴史的背景と縦糸があり、ここまで発展した状況は、私たちの誰もが望むところではありません。 私たちは、すべての当事者が平和のチャンスを与えるために共同で努力し、対話、協議、交渉を通じて一刻も早く状況を緩和することを約束することを望みます。
至于主权国家是否有权购买武器。我想问你一个问题:如果在你身边两个人吵起来要打起来,你是给他递武器、递枪、递匕首呢?还是首先劝他们不要打起来,然后客观了解发生冲突的来龙去脉,帮他们和平解决问题呢?这是一个非常简单的道理。武器从来不能解决所有问题。这个时候不应该火上浇油,而是应该想办法一起把火扑灭,维护住和平。 主権国家に武器を購入する権利があるかどうかについては。 皆さんにお聞きしたいのですが、もしあなたの周りにいる2人の人がケンカをして戦いたがったら、武器、銃や短剣を渡しますか? それとも、まずは争わないように説得し、争いが起こった背景を客観的に理解し、平和的に解決できるよう手助けをしますか? それは、とてもシンプルな真実です。 武器はすべての問題を解決するものではありません。 今は火に油を注ぐ時期ではなく、一緒に火消しをして平和を維持する方法を模索する時期なのです。
我也想向你提出一个问题。你们西方媒体定义用的词是“侵略”,但之前美方未经联合国授权对伊拉克、阿富汗非法采取单方面军事行动并造成大量无辜平民伤害时,你们当时用的是“侵略”这个词吗?还是别的什么词? また、あなたに質問を投げかけたいと思います。 欧米のメディアでは「侵略」という言葉を使っていますが、アメリカが国連の承認なしにイラクやアフガニスタンに違法に一方的に軍事行動を起こし、罪のない市民に多くの被害を与えたとき、そのときに「侵略」という言葉を使いましたか? それとも他の言葉だったのでしょうか?
阿纳多卢通讯社记者:俄罗斯国防部发表声明表示,俄军今天上午打击了乌克兰防空力量,这通常被视为侵略的开始,如果情况属实,中方是否会将其视为对主权国家的进攻? アナドル通信員:ロシア国防省は、今朝、ロシア軍がウクライナの防空壕を攻撃したと声明を出しているが、これは通常、侵略の始まりと見られるが、これが事実なら、中国側は主権国家に対する攻撃と見ますか?

华春莹:中方密切关注着事态发展。乌克兰局势发展到今天,不是我们所希望看到的。所以我们持续呼吁各方保持克制,尽快通过对话协商解决问题,让局势缓和下来。 華春瑩: 中国はその動向を注視しています。 ウクライナ情勢がここまで発展してしまったのは、私たちの望むところではありません。 だからこそ、私たちはすべての当事者に自制を求め、できるだけ早く対話と協議によって問題を解決し、状況をデスケープするよう継続的に呼びかけてきました。
CNBC记者:中国是乌克兰和俄罗斯的贸易伙伴,周二,我看到一则公告称,基于海外市场形势,中国或将购买更多食用油,另外,我们刚刚看到,海关总署表示,中国或将自俄罗斯进口小麦。鉴于当前形势,中方是否计划增加或减少与俄罗斯和乌克兰的贸易? CNBC記者:中国はウクライナとロシアの貿易相手国です。 火曜日に、海外市場の状況を見て、中国が食用油を買い増すかもしれないという発表を見ました。また、先ほど税関総署が、中国はロシアから小麦を輸入するかもしれないと言ったのを見ました。 現在の状況を踏まえて、中国はロシアやウクライナとの貿易を増やしたり減らしたりする予定なのでしょうか。
华春莹:中方将同俄方、乌方继续本着相互尊重、平等互利精神开展正常贸易合作。 華春瑩:中国はロシアおよびウクライナと、相互尊重、平等、互恵の精神に基づき、正常な貿易協力を継続します。
法新社记者:在最近24小时,自军事行动开启以来,中方是否曾与乌方通话?具体来说,是否与乌总统泽连斯基通话?或者是否有通话计划? AFP記者:軍事作戦の開始以来、この24時間の間に、中国側はウクライナ側と話をしたのでしょうか。 具体的には、ウガンダのゼレンスキー大統領と話をしたのでしょうか? それとも、呼び出しの予定があるのでしょうか?
华春莹:现在各方都很忙。中方正密切关注形势发展,并持续呼吁各方保持克制,致力于通过对话谈判尽快缓和事态,避免局势失控。 華春瑩:今、各方面が非常に忙しくなっています。 中国は事態の推移を注意深く見守っており、すべての当事者に対し、自制し、対話と交渉を通じて事態が収拾不能になるのを回避するために、できるだけ早くデスケーリングするよう引き続き呼びかけています。
路透社记者:在这场冲突中,中方是否向俄罗斯提供任何军事装备,是否计划向其提供军事或其他协助? ロイター通信記者:中国は今回の紛争でロシアに何らかの軍事装備を提供したか、また、ロシアに軍事支援などを行う予定はありますか。
华春莹:在这一问题上,中国跟美国的做法有质的不同。当我们看到有冲突风险时,我们不会像美方主动向乌克兰提供大量军事装备那样向对方提供武器。我想,俄罗斯作为一个有实力的大国,也不需要中方或其他国家向它提供武器。 華春瑩:この問題に関して、中国は米国と質的に異なるアプローチをとっています。 米国が率先してウクライナに大量の軍備を提供したように、紛争の危険があると判断した場合、相手側に武器を提供することはありません。 ロシアも強大な国として、中国などに兵器を供給してもらう必要はないと思います。
法新社记者:你之前提到了法国和德国在这场争端中的斡旋努力,目前法德均明确谴责了俄罗斯的行动,你是否认为,这说明谈判努力无效,唯有包括中国在内的整个国际社会的强烈谴责方能使俄罗斯退却? AFP記者: 先ほど、フランスとドイツの仲介について触れられましたが、今回、フランスとドイツがロシアの行動を明確に非難しました。 これは、交渉の努力は効果がなく、中国を含む国際社会全体が強く非難することでしか、ロシアを引き下がらせることはできないとお考えでしょうか。
华春莹:一段时间以来,包括法国、德国在内的一些欧洲国家进行了一些斡旋工作。乌克兰问题非常复杂。7年多前基辛格博士曾经公开对乌克兰问题发表过评论,他认为如果乌克兰想要生存和繁荣,就不能成为任何一方对抗另一方的前哨,而应成为东西方之间的桥梁。 華春瑩:ここしばらく、フランスやドイツなどヨーロッパの一部の国々は、良いオフィスワークを行っています。 ウクライナ問題は非常に複雑で、7年以上前にキッシンジャー博士が「ウクライナが生き残り、繁栄したいのであれば、どこかの国の植民地となるのではなく、東と西の架け橋になるべきだ」と公言しています。
旁观者清。国际社会各方应该冷静了解乌克兰问题演变的历史经纬。在此基础上共同努力,推动相关方通过对话谈判尽快缓和局势,避免失控,和平解决。欧方的确也应该思考,什么样的安全格局最符合欧洲利益。 傍観者であることは明らかです。 国際社会の各方面は、ウクライナ問題の進展の歴史的な縦糸と横糸を冷静に理解する必要があります。 その上で、当事者間の対話と交渉を促進し、事態の早期収拾と収拾不能を回避し、平和的に解決するために協力することが求められます。 欧州側も、どのような安全保障パターンが欧州の利益になるのか、確かに考えるべきでしょう。
你提到谴责俄罗斯。我不知道之前当有关国家做拱火点火的错事的时候,它的伙伴有没有尽全力阻止其在错误的方向越走越远,直到不可收拾的地步。当前局面谁都不希望看见、也不符合任何一方利益。希望各方共同努力,呼吁相关方保持克制,不要使局势进一步失控。 ロシアを非難するとのことですが 過去に当該国が間違ったことをしたとき、パートナーは、それがますます間違った方向に進み、手に負えなくなるまで、全力で阻止したのだろうかと思います。 現状は、誰もが望むものではなく、どの政党の利益にもなりません。 関係者が一丸となり、これ以上事態を悪化させないよう自制を求めます。
路透社记者:你刚才说希望各方呼吁保持冷静、避免局势升级,中方多次重复这一立场,请问中方是否会呼吁俄罗斯撤军? ロイター通信記者:先ほど、すべての当事者が冷静さを求め、事態のエスカレーションを避けることを望むとおっしゃいましたが、中国はこの立場を何度も繰り返しています。
华春莹:我们呼吁所有相关方保持克制。 華春瑩:関係各位に自制を求めます。
法新社记者:美国2003年入侵伊拉克,我社当时使用了“入侵”一词。昨天,你表示美方在伊拉克的所作所为侵犯了伊拉克的主权和领土完整。那么,为什么现在不认为乌克兰的主权和领土完整遭受侵犯呢?你能否解释一下乌克兰的情形和当年伊拉克的情形有何不同?这是否是一种双标呢?俄罗斯入侵乌克兰就可以,但美国不能入侵伊拉克。 AFP記者: アメリカは2003年にイラクに侵攻しましたが、当時、私の所属事務所は「侵攻」という言葉を使いました。 昨日、あなたは、アメリカがイラクで行ったことは、イラクの主権と領土を侵害したと言いました。 では、なぜ今、ウクライナの主権と領土が侵害されたと見なされないのでしょうか。 ウクライナの状況は、当時のイラクの状況とどう違うのか、説明できますか? これはダブルスタンダードなのでしょうか? ロシアがウクライナに侵攻するのは構わないが、アメリカがイラクに侵攻するのはダメなのでしょうか。
华春莹:“双重标准”这个词用不到中国头上,因为中方立场光明磊落。中方一向认为,各国的主权和领土完整都应得到尊重,联合国宪章宗旨和原则都应当得到共同维护,这是中方一贯秉持的原则,也是各国都应当坚持的国际关系基本准则。 華春瑩:中国の立場はオープンで正直なので、「ダブルスタンダード」という言葉は中国には当てはまりません。 中国は、すべての国の主権と領土保全が尊重されるべきであり、国連憲章の目的と原則が共同で守られるべきであると常に考えており、これは中国が常に掲げてきた原則であり、すべての国が順守すべき国際関係の基本的な規範です。
与此同时,中方认为,一国安全不能建立在损害别国安全的基础上,更不能出于寻求自身绝对安全优势,肆意损害别国主权安全。各国的合理安全关切都应得到尊重。 同時に、中国は、一国の安全保障は他国の安全保障を損なうことの上に成り立つものではなく、ましてや自国の安全保障上の絶対的優位を追求するために他国の主権的安全保障をみだりに損なうことはできないと考えている。 すべての国の正当な安全保障上の懸念は尊重されるべきである。
你应该知道伊拉克问题的由来。当时美国国务卿凭着一小瓶洗衣粉和一个莫须有的罪名,就对伊拉克发动军事打击,给伊拉克人民造成严重灾难。这是赤裸裸的侵略,国际社会对此是有共识的。 イラク問題の原点を知るべき。 当時、アメリカの国務長官は、小さな洗濯粉の瓶とでっち上げの罪状を根拠にイラクへの軍事攻撃を開始し、イラク国民に深刻な災難をもたらしました。 これは裸の侵略であり、それについては国際的なコンセンサスが得られています。
你应该也认真读了普京总统的讲话。我不是俄罗斯外交部发言人,不会站在俄方的立场讲话。但我想,作为旁观者和非当事方,应该秉持客观公正立场,看到乌克兰问题的复杂历史经纬以及各种因素交织演变。 プーチン大統領の演説もよく読んでおく必要があります。 私はロシア外務省の報道官ではないので、ロシア側から発言することはできません。 しかし、私はオブザーバーとして、また非当事者として、客観的かつ公平な立場で、ウクライナ問題の複雑な歴史とさまざまな要因が絡み合った進化を見るべきだと思うのです。
公正的斡旋调解不仅要看到眼前,也要看到事情的整个来龙去脉,不仅要推动治标也要治本。这就是为什么中方一直呼吁各有关方面保持克制,致力于通过对话谈判解决问题。 公平な調停は、目先のことだけでなく、その問題の背景全体を見渡し、症状だけでなく根本的な原因も促進する必要があります。 このため、中国は常にすべての関係者に自制を求め、対話と交渉による問題解決を約束してきました。
路透社记者:中方是否认为乌克兰是一个主权国家? ロイター通信記者:中国はウクライナを主権国家とみなしていますか?
华春莹:乌克兰当然是主权国家。中乌在相互尊重的基础上开展友好合作。 華春瑩: ウクライナは明らかに主権国家です。 中国とウクライナは、相互尊重を基本に友好的な協力を行っています。
路透社记者:目前有多少中国公民在乌克兰?中方对他们有什么最新指示吗? ロイター通信記者:現在、ウクライナにいる中国人は何人ですか? 中国は何かアップデートされた説明書があるのでしょうか?
华春莹:中国在乌克兰公民的具体人数我目前还不掌握。中国驻乌克兰使馆已经发布了安全提醒。鉴于当前的形势,提醒在乌克兰的中国公民和中资企业注意保护自己的人身安全,以免发生意外伤害。中国驻乌克兰使馆也同当地留学生和中国商会等保持着联系,提醒他们要关注中国使馆第一时间发布的消息,提醒在乌中国公民不要前往局势不稳定的地区。此外还呼吁在乌中国公民,此时要体现出中国人民历来团结奋斗、互帮互助的优良传统。如果遇到困难,希望大家能互相帮助,互相伸出援助之手,在这种困难时刻相互温暖,相互帮助。另外使馆也提醒中国公民不要恐慌。如果有人遇到问题,使馆会予以全力帮助。 華春瑩:ウクライナにいる中国人の正確な人数は、今のところ把握していません。 在ウクライナ中国大使館は、セキュリティ警告を発しました。 このような状況を鑑み、ウクライナに駐在する中国人および中国企業は、不慮の事故に遭わないよう、身の安全を守ることに注意を払うようお願いします。 また、在ウクライナ中国大使館は、現地の学生や中国商会と連絡を取り合い、中国大使館が発表する第一報に注意するよう呼びかけるとともに、ウクライナにいる中国人は情勢が不安定な地域には行かないようにと呼びかけています。 また、在ウクライナ中国大使館は、在ウクライナ中国国民に対し、この時期に中国国民の連帯と相互扶助のすばらしい伝統を発揮するよう呼びかけました。 そんな大変なときに、助け合い、手を差し伸べ合い、温め合い、助け合える存在でありたいと願っています。 大使館はまた、中国国民にパニックにならないよう注意を促しています。 もし、問題が発生した場合は、大使館が全力でサポートします。
路透社记者:请问普京总统在几周前访问中国的时候,是否告知中方俄罗斯将入侵乌克兰? ロイター通信記者:プーチン大統領が数週間前に中国を訪問した際、ロシアがウクライナに侵攻すると中国に伝えたかどうか、聞いてもいいですか。
华春莹:2月4日,普京总统来华出席北京冬奥会开幕式,同习近平主席举行了会谈。有关消息稿已经发布,你可以再仔细查阅。 華春瑩:2月4日、プーチン大統領が北京の冬季オリンピック開会式に出席するため来日し、習近平主席と会談しました。 該当のプレスリリースが出されていますので、改めてよく確認してみてください。
我刚才已经说了,俄罗斯是独立自主的大国,独立自主地根据自己的战略判断和利益来决定和实施自己的外交和战略。俄方在做外交决策和行动前,恐怕无需事先征求别人的同意。 先に述べたように、ロシアは、自らの戦略的判断と利益に従って、独自の外交と戦略を独自に決定し、実行する独立・自立した大国です。 ロシア側が外交的な判断や行動をする際に、事前に相手の同意を得る必要はないのではと思います。
法新社记者:在何种情况下,中国会谴责俄罗斯在乌克兰的行动?具体而言,中方会因俄罗斯的何种行动对其进行谴责?   AFP記者:どのような状況であれば、中国はウクライナにおけるロシアの行動を非難するのでしょうか。 具体的に、中国はどのような行為でロシアを非難するのでしょうか。  
华春莹:你为什么一直穷追不舍要求中方谴责? 華春瑩:なぜ中国の非難を追及し続けるのでしょうか?
我们已经说过,乌克兰问题的历史经纬非常复杂,局势演变到今天是各种因素共同作用的结果。正确的做法是客观全面了解来龙去脉和演变经纬,然后通过对话协商和平解决问题。各国安全应该是共同的、综合的、可持续的,只有这样的安全才是持久的。 すでに述べたように、ウクライナ問題の歴史的縦糸と横糸は非常に複雑であり、今日までの事態の推移は、さまざまな要因が重なった結果です。 状況や推移を客観的かつ包括的に理解し、対話と協議を通じて平和的に問題を解決していくのが正しいアプローチです。 すべての国の安全保障は、共通で、包括的で、持続可能であるべきであり、そのような安全保障のみが永続的なものです。
你反复追问中方何时同美欧等国一起谴责,这倒提醒我,正是你提到的美国等几个国家在不断干涉中国内政问题,基于虚假信息对中方发起各种攻击。 中国がアメリカやヨーロッパなどの国々と一緒になって非難したのはいつなのか、と繰り返し聞かれたことから、中国の内政問題に常に干渉し、虚偽の情報に基づいて中国に対してあらゆる攻撃を仕掛けているのは、あなたが挙げた米国や他のいくつかの国であることを思い知らされました。
在国际关系中,不应该老做这种强加于人的事情,而是应该根据事情本身的是非曲直,允许各国独立作出判断。 国際関係においては、このような押しつけを続けるのではなく、各国がその問題自体の是非を自主的に判断するようにすべきです。
法新社记者:中国被指控在新疆实施“种族灭绝”,而中方称此为世纪谎言。现在,俄方称在乌克兰的俄语群体遭受种族灭绝,是其入侵乌克兰的一个理由。俄罗斯是否向中方提供了任何证据,证明乌克兰境内存在种族灭绝吗?如果没有,你是否又准备称此为“世纪谎言”? AFP記者:中国は新疆ウイグル自治区で「大虐殺」を行ったと非難されているが、中国側は「世紀の大嘘だ」と述べている。 今、ロシア側は、ウクライナのロシア語話者コミュニティの大量虐殺が、自分たちの侵略を正当化する理由だと主張しています。 ロシアは中国側に、ウクライナで大量虐殺があったという証拠を提出したのでしょうか? そうでなければ、またこれを「世紀の大嘘」と呼ぶ覚悟があるのでしょうか?
华春莹:我可以告诉你,在中国新疆发生的事情和在乌克兰东部地区发生的事情,我没法给你做任何比较,因为我不了解在乌东地区发生了什么,不会急于得出任何结论。但是我可以非常明确地告诉你,我希望下次你们报道时不要再用新疆“种族灭绝”这个词,因为它是彻头彻尾的世纪谎言。我更有权利、更有资格来向你介绍我自己国家的情况。 華春瑩:中国の新疆で起きたこととウクライナ東部で起きたことを比較することはできないと言えます。なぜなら、私はウクライナ東部で何が起きたかを知らないので、急いで結論を出すつもりはありません。 ただ、はっきり言えるのは、次に報道するときは、新疆ウイグル自治区での「大虐殺」という言葉は使わないでほしい、それは世紀のウソだからです。 私は、自分の国の状況について話す権利と資格があります。
中国政府已经无数次用事实向你们证明,在新疆所谓的“种族灭绝”是一个世纪谎言,我希望你们能够听得进去。过去几年时间里,100多个国家和组织的2000多名政府官员、宗教人士和记者包括不少外国驻华记者访问了新疆。他们所看到的是一个和平和谐、稳定发展的新疆,一个各族人民能够享受宗教自由的新疆,这就是关于新疆的事实真相。而且我还要告诉你,新疆为去极端化采取的一些预防性措施,跟法国社区矫正等反恐去极端化措施是类似的。 新疆ウイグル自治区でのいわゆる「大虐殺」が世紀の嘘であることは、中国政府が数え切れないほど証明しているので、ぜひ耳を傾けてほしいと思います。 過去数年間、100以上の国や組織から2,000人以上の政府関係者、宗教家、ジャーナリストが新疆を訪れ、中国国内の多くの外国特派員も含まれています。 彼らが見たのは、平和で調和のとれた、安定と発展を続ける新疆、あらゆる民族の人々が信仰の自由を享受できる新疆であり、それが新疆の真実なのです。 そして、新疆ウイグル自治区で行われている脱過激派の予防措置の中には、フランスの地域矯正などのテロ対策的な脱過激派対策に近いものがあることもお伝えしたいと思います。
我希望在这个问题上,你们不要再对中国抱有任何偏见,也不要再基于虚假信息对中国无端指责。正是你们几个国家总是在这个问题上谴责中国,所以我非常不乐意听到你们用谴责这个词。谴责一定要基于事实,在没有弄清楚事实全貌之前最好慎用。 この問題に関しては、中国に対して偏見を持つことをやめ、誤った情報に基づいて根拠のない非難をすることをやめてほしいと思います。 この問題でいつも中国を非難しているのは、あなたの国のいくつかですから、あなたが非難という言葉を使うのは非常に不愉快です。 非難は事実に基づかなければならず、事実の全容が判明するまでは慎重に行うのが最善です。
我希望在疫情过后,能够找一个合适机会请你们去新疆好好领略一下那里的美丽风光,让你们去亲眼看看新疆人民到底在过什么样的生活。我想新疆的事实真相、人民的幸福生活通过你们的报道传遍世界之后,很多国家的少数民族一定会非常羡慕新疆的少数民族。 流行が終わった後、適当な機会を見つけて新疆に招待し、美しい景色をよく見て、新疆の人々がどんな生活をしているのか、自分の目で確かめてほしいと思っています。 皆さんの報道によって、新疆の真実と人々の幸せな生活が世界中に広まれば、多くの国の少数民族が新疆の少数民族をとてもうらやむことになると思います。
法新社记者:普京此前来华出席北京冬奥会开幕式,然后在冬奥会结束之后入侵了乌克兰,这两者之间有任何联系和巧合吗?你是否认为俄罗斯至少应该在3月13日冬残奥会闭幕之后再进攻邻国? AFP記者:プーチンが以前、北京の冬季オリンピックの開会式に出席するために中国を訪問したことと、冬季オリンピック後にウクライナに侵攻したことに関連性や偶然性はあるのでしょうか? ロシアは、少なくとも3月13日の冬季パラリンピック閉幕後に隣国を攻撃するべきだったと思いますか?
华春莹:法新社的想象力一如既往的丰富。我告诉你,30多位国际政要来华出席了北京冬奥会开幕式。普京总统也来了,两国元首就中俄关系和共同关心的问题交换了意见,相关消息我们已经及时详细公布了。 華春瑩:AFPは相変わらず想像力に富んでいますね。 北京で開催された冬季オリンピックの開会式に出席するため、30人以上の国際的な要人が中国に来たとお伝えしました。 プーチン大統領も来日し、両首脳は中ロ関係や共通の関心事について意見交換を行ったが、その関連ニュースは随時詳しく掲載しています。
俄罗斯是一个独立自主的大国,它根据自己的战略判断和利益独立地决定其政策和行动。至于你说俄方的行动时间问题,麻烦你去问俄方。 ロシアは、自国の戦略的判断と利益に従って独自に政策と行動を決定する独立した自律的な大国です。 ロシアの行動のタイミングについてのご質問は、ロシア側にお聞きください。
北京冬奥会非常精彩、安全和成功。我们相信,北京冬残奥会也会同样的精彩、安全和成功。 北京冬季オリンピックは、素晴らしく、安全で、成功した大会でした。 北京冬季パラリンピックも同様に、素晴らしく、安全で、成功する大会になると信じています。
路透社记者:中方是否认为俄罗斯入侵乌克兰?如果不是的话,为什么? ロイター通信記者:中国は、ロシアがウクライナに侵攻したと考えているのか? そうでない場合は、なぜですか?
华春莹:我给你提一个建议,你可以去问问美方,他们不断拱火、点火,现在打算怎么灭火? 華春瑩:提案なんですが、米国側に、彼らはアーチ状に火をつけて、火をつけ続けていますが、今どうやって火を消すつもりですかと聞いてみてください。
路透社记者:中方是否采取足够措施积极主动地推动实现乌克兰的和平,中方对此满意吗? ロイター通信記者:中国はウクライナの和平を積極的に推し進めるために十分な措置を講じたのか、またそれに満足しているのですか。
华春莹:我们希望乌克兰和平,不希望看到乌克兰局势演变到今天这样的局面。我们呼吁,有关方通过对话缓和事态,保持克制。同时,凡事皆有因果,不仅要治标,也要治本,这需要有关各方共同努力。 華春瑩: 私たちはウクライナの平和を願っており、ウクライナ情勢が今日のように進展していくのを見たくありません。 我々は、関係者に対話を通じて状況をデスカレートさせ、自制することを求めます。 同時に、何事にも原因と結果があり、症状だけでなく根本的な原因への対処が必要であり、関係者の共同努力が必要です。
你今天一直在纠缠中国。中国是当事方吗?点火的人、煽火的人、火上浇油的人是谁?中国有句话叫做解铃还须系铃人,乌克兰问题需要直接当事方谈判解决。你们执意用的一些词很容易让我们联想到,那些基于虚假信息和谣言动辄对中国妄加的指责,让我们觉得很不舒服。 今日も中国をせっついてきましたね。 中国は当事者なのでしょうか? 火をつける人、炎をあおる人、火に油を注ぐ人は誰なのでしょうか。 中国には「鐘を解かねばならぬ」という言葉があり、ウクライナ問題は直接当事者間の交渉で解決する必要があるのです。 あなたが執拗に使う言葉の中には、誤った情報や噂に基づき、ことあるごとに中国を非難してきたことを容易に想起させるものがあり、非常に不快な気分にさせられます。
我希望你们冷静、理智、克制,同中方一起呼吁各方保持克制,多做灭火的事,不要让局势进一步失控。 これ以上事態を悪化させないよう、冷静、賢明、抑制的になり、中国とともにすべての当事者に自制と消火活動を呼びかけることを期待します。
路透社记者:请问中方领导人是否支持普京总统入侵乌克兰? ロイター通信記者:中国の指導者に、プーチン大統領のウクライナ侵攻を支持するかどうかを聞いてもいいですか。
华春莹:我非常讨厌你这样提问的方式,充分地暴露出对中国的思维——先入为主、偏见傲慢、乱扣帽子。中方不是当事方,一直在做劝和促谈的工作。 華春瑩:この質問の仕方は、中国に対する考え方、つまり先入観や偏見、傲慢さ、レッテルを貼ることを露呈しており、本当に嫌になりますね。 中国は当事者ではないので、平和を説得し、協議を促進する役割を担っています。
我昨天详细介绍了我们所观察到的来龙去脉,普京总统也发表了详细的讲话。你们为什么不愿意费点时间去认真地读一读呢?为什么不能静下心来,跳出自己的固定思维模式,理性客观地看待呢?谁拱的火?谁点的火?谁在火上浇油?解铃还须系铃人。应该由直接当事方去谈判解决。 私は昨日、観察したことの内実を詳しく説明し、プーチン大統領も詳しい演説をしました。 なぜ、時間をかけてじっくり読もうとしないのでしょうか。 なぜ、自分の固定観念から一歩踏み出して、合理的・客観的に見ることができないのでしょうか? 誰が火をつけたのでしょうか? 誰が火をつけたのでしょうか? 火に油を注いだのは誰でしょうか? 鐘は解かなければならりません。 解決策を交渉するのは直接の当事者です。
俄罗斯是独立自主的大国、安理会常任理事国,独立自主做外交决策。中国的立场非常清楚,对于任何地区热点问题,我们的立场始终如一,那就是致力于通过对话协商谈判和平解决问题。 ロシアは安全保障理事会の常任理事国であり、外交政策の決定において独立した自律的な大国です。 中国の立場は非常に明確であり、地域のホットスポット問題に対する我々の立場は常に同じで、対話、協議、交渉を通じて問題を平和的に解決することにコミットしています。
当伊拉克、叙利亚、阿富汗等一些国家被非法军事打击,包括最近阿富汗人民的70亿美元被美方非法掠夺时,你们谴责了吗?你们主持公平正义了吗?你们去质问过美国政府吗?所以我认为你刚才的问题不是作为一个新闻记者应有的客观问题,你没有持中立立场,你是先入为主。作为记者,你们不应该把你们预先设定的结论强加给别人。 イラク、シリア、アフガニスタンなど一部の国が違法な軍事攻撃に見舞われ、最近も米国側がアフガニスタンの人々から70億米ドルを違法に略奪したとき、あなたはそれを非難しましたか? 正義を貫きましたか? 米国政府に疑問を持ったことはありますか? だから、今の質問はジャーナリストとしてすべき客観的な質問とは思えませんし、中立的なスタンスではなく、先入観を持っていますね。 ジャーナリストとして、自分の決められた結論を他人に押し付けてはいけません。
法新社记者:我知道你觉得我们都很情绪化,但当战争发生,肯定会导致伤亡。我想说的是,联合国安理会将于明天发布阿尔巴尼亚和美国起草的决议,并在纽约时间的周五就此投票。你能告知中方将如何投票吗? AFP記者:私たちは感情的になっていると思うのですが、戦争が起これば、確かに犠牲者が出ます。 国連安全保障理事会は、明日、アルバニアと米国が起草した決議案を公表し、ニューヨーク時間の金曜日に採決することを申し上げたい。 中国側の投票方法を教えてください。
华春莹:我们会基于中方一贯立场,本着联合国宪章宗旨原则处理相关问题。 華春瑩:中国の一貫した立場に基づき、国連憲章の原則に従って、関連する問題を処理します。

 

 

これは、攻撃が始まる前のコメントですが、、、(この問題以外については省略しています。。。)

・2022.02.23 外交部:中方一贯反对任何非法单边制裁

外交部:中方一贯反对任何非法单边制裁 外交部:中国はいかなる違法な一方的制裁にも一貫して反対しています。
人民网北京2月23日电 据外交部网站消息,外交部发言人华春莹主持23日例行记者会。记者会实录如下: 北京2月23日新華社 外交部の華春瑩報道官は23日、定例記者会見を主催しました。 記者会見の記録は以下の通りです。
总台央视记者:能否介绍一下中方为解决乌克兰问题发挥了什么作用? 中国中央テレビ記者:ウクライナ問題を解決するために、中国がどのような役割を果たしたか、教えてください。
华春莹:在地区热点问题上,中方一向致力于劝和促谈,为推动和平解决地区热点问题发挥建设性作用。 華春瑩:地域のホットスポット問題について、中国は常に平和を説得し、協議を促進し、地域のホットスポット問題の平和的解決を促進するために建設的な役割を果たすことにコミットしてきました。
在乌克兰问题上,同近段时间以来美方不断向乌输送武器、推高紧张、制造恐慌甚至渲染战争形成鲜明对比的是,中方始终呼吁各方尊重和重视彼此的合理安全关切,努力通过谈判协商解决问题,共同维护地区和平稳定。16日,习近平主席同马克龙总统通话时强调,有关各方应该坚持政治解决的大方向,充分利用包括诺曼底机制在内的多边平台,通过对话协商寻求乌克兰问题的全面解决。近日,王毅国务委员兼外长通过视频出席慕尼黑安全会议中国专场时也强调,各方应该切实负起责任,为和平而努力,而不是一味推高紧张、制造恐慌、甚至渲染战争。 ウクライナ問題では、米国がウクライナに武器を送り、緊張を高め、恐怖を作り出し、戦争まで誇張しているのとは対照的に、中国は常にすべての当事者に対して、互いの正当な安全保障上の懸念を尊重し重視し、交渉と協議を通じて問題解決に努め、地域の平和と安定を保つために協力し合うよう呼びかけています。 中国政府は政治的解決という一般的な方向性を持ち、ノルマンディー・メカニズムを含む多国間プラットフォームをフルに活用し、対話と協議を通じてウクライナ問題の包括的解決を目指すべきです。 最近、王毅国務委員兼外相がミュンヘン安全保障会議の中国固有のセッションにビデオで出席した際も、緊張を高め、パニックを起こし、あるいは戦争を誇張するのではなく、すべての当事者が効果的に責任を負い、平和のために努力すべきであると強調しました。
现在问题的关键是,作为当前乌克兰局势紧张的始作俑者,美方在这场危机中扮演了什么角色?发挥了什么作用?如果有人一边火上浇油,一边指责别人救火不力,这种行为是不负责任的,也是不道德的。 今、重要なのは、ウクライナ情勢の発端となった米国が、この危機の中でどのような役割を果たしたか、ということです。 どのような役割を担ってきたのでしょうか。 火に油を注ぎながら、他の人が消火を十分にしていないことを非難するのは、無責任で不道徳なことです。
凤凰卫视记者:台湾地区领导人发言人和外事部门负责人将乌克兰问题同台湾问题相比,称希国际社会持续向台湾提供武器,迫使大陆不敢武力“侵犯”。还有人说,不要使今日之乌克兰成为明日之台湾。中方对此有何评论? フェニックス記者:台湾の地域指導者のスポークスマンと外交部長は、ウクライナ問題を台湾問題に例え、大陸が「武力侵攻」を敢行しないよう、国際社会が台湾に武器を提供し続けることを望むと発言した。 また、「今日のウクライナが明日の台湾になってはいけない」ということも言われました。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:台湾当局有些人借乌克兰问题蹭热点和碰瓷,是不明智的行为。 華春瑩:台湾当局の一部の人々が、ウクライナ問題を話題にして騒ぎ立てようとするのは賢明なことではありません。
台湾的确不是乌克兰。台湾从来都是中国领土不可分割的一部分,这是无可辩驳的历史和法理事实。一个中国原则是公认的国际关系准则。台湾地区的和平取决于海峡两岸关系的和平发展,而不是揺尾乞怜,指望外部势力售卖武器或提供军事支持。“台独”只能是死路一条。对此,任何人都不应有任何误解误判。 台湾は明らかにウクライナではありません。 台湾が常に中国の領土と不可分の一部であったことは、反論の余地のない歴史的、法的事実です。 一帯一路は、国際関係における規範として認められています。 台湾の平和は両岸関係の平和的発展にかかっており、慈悲を乞うムーバーの尻尾や、外部勢力による武器売却や軍事支援を期待するものではありません。 「台湾独立は行き止まり」に過ぎません。 このことについては、誰も誤解や誤った判断をしてはなりません。
乌克兰危机发生以来,有些人不时提及台湾,有关评论充分暴露出他们对台湾问题的历史缺乏最起码的了解。我愿借此机会多说几句,做些普及。 ウクライナ危機以降、時折、台湾に言及する人がいますが、彼らの発言は、台湾問題の歴史に対する最低限の理解が欠如していることを十分に露呈しています。 この機会に、もうひと言、普及活動をしたいと思います。
大家都知道,海峡两岸由于当年的内战存在着政治对立,但中国的国家主权和领土完整从未分割,也不可能分割。这是台湾问题的现状。 周知のように、当時の内戦により海峡両岸は政治的に対立しているが、中国の国家主権と領土は決して分断されていないし、分断されることもない。 これが台湾問題の現状です。
今年是尼克松总统访华50周年。1972年2月尼克松总统访华时,中美双方在上海发表了《中美联合公报》,标志着中美关系开始走向正常化。在“上海公报”里关于台湾问题有非常重要的论述:美国方面声明,中美两国的社会制度和对外政策有着本质的区别,但双方同意,不论社会制度如何,都应根据尊重各国主权和领土完整,不侵犯别国、不干涉别国内政,平等互利、和平共处的原则来处理国与国之间的关系。美方在“上海公报”中还声明:美国认识到,在台湾海峡两岸的所有中国人都认为只有一个中国,台湾是中国的一部分,美国政府对这一立场不提出异议。美方重申对由中国人自己和平解决台湾问题的关心,确认从台湾撤出所有美国武装力量和军事设施的最终目标。在此期间,它将逐步减少其在台湾的武装力量和军事设施。 今年はニクソン大統領の訪中50周年に当たり、1972年2月に上海で中米共同コミュニケが発表され、中米関係の正常化が始まりました。 上海コミュニケの中で、台湾問題に関して非常に重要な記述があります。米国側は、両国の社会体制や外交政策は根本的に異なるが、社会体制の違いにかかわらず、各国の主権と領土の尊重、他国の不侵略・内政不干渉、平等と互恵、平和共存の原則に基づいて互いに対処することに同意するとしています。 両国は、各国間の関係が、各国の主権と領土の尊重、他国の内政への不侵略・不干渉、平等・互恵、平和共存の原則に従って行われるべきことに同意しました。 また、米国は上海コミュニケで、台湾海峡両岸のすべての中国人が、中国は一つであり、台湾は中国の一部であると信じていることを認識し、米国政府もこの立場に異を唱えないと述べています。 米国は、中国自身による台湾問題の平和的解決への関心を再確認し、台湾からすべての米軍および軍事施設を撤退させるという最終目標を確認します。 その間に、台湾の軍隊と軍事施設を徐々に縮小します。
在1982年8月17日中美两国政府发表的“八·一七公报”中,美国政府声明:美国政府非常重视与中国的关系,并重申无意侵犯中国的主权和领土完整,无意干涉中国内政,也无意执行“两个中国”或“一中一台”政策。美国政府声明,其不寻求执行一项长期向台湾出售武器的政策,它向台湾出售的武器在性能和数量上将不超过中美建交后近几年供应水平,它准备逐步减少向台湾出售武器,并经过一段时间导致最后的解决。 1982年8月17日、中米両政府が発表した「8月17日コミュニケ」で、米国政府は中国との関係を重視し、中国の主権と領土を侵害し、中国の内政に干渉し、「二つの中国」を強要する意図がないことを再確認したと述べています。 中国の内政に干渉するつもりもなければ、「二つの中国」「一つの中国、一つの台湾」政策を実行するつもりもないでしょう。 米国政府は、台湾に対する長期的な武器売却政策を追求しないこと、台湾への武器売却は米中国交樹立後の近年における実績と量の供給レベルを超えないこと、最終決着に至る一定期間において台湾への武器売却を徐々に縮小する用意があることを表明しています。
我想借此机会向大家普及一些关于台湾和美台交往的历史事实。大家可以对照看一看,美方到底是不是信守了承诺?相信这有助于帮助大家更好了解台湾问题。我们也想奉劝包括台湾岛内的一些人,千万不要对台湾问题有任何误解误判。 この機会に、台湾と米台関係に関する歴史的事実をお伝えしたい。 それを比較することで、米国側が約束を守ったのか、そうでないのかを確認することができます。 台湾問題への理解を深めていただく一助になると思います。 また、台湾を含む一部の人々には、台湾問題について決して誤解や誤った判断をしてはいけないとアドバイスしたいです。
法新社记者:美国、欧盟、英国等多个国家和组织就俄罗斯对乌克兰采取的行动宣布对俄实施新的制裁。中国会对俄罗斯实施制裁吗? AFP記者:米国、EU、英国など複数の国や組織が、ウクライナに対する行動をめぐり、ロシアに対する新たな制裁を発表しました。 中国はロシアに制裁を加えますか?
华春莹:你显然对中国政府的政策缺乏基本了解。中方一贯认为制裁从来不是解决问题的根本有效途径。中方一贯反对任何非法单边制裁。 華春瑩:中国政府の方針について、基本的な理解が不足しているのは明らかです。 中国は、制裁は決して問題を解決するための根本的かつ効果的な手段ではないと考えてきました。 中国は、違法な一方的制裁に常に反対してきています。
根据美国财政部公布的数据,在过去20年里,美国实施的制裁数量增长了10倍。美国上一届总统任期内实施的制裁高达3800项,相当于平均每天3次挥舞“制裁大棒”。2011年以来,美国对俄罗斯实施的制裁就超过了100多次。但是,美方的制裁解决问题了吗?世界因为美方的制裁变得更好了吗?乌克兰问题会由于美方对俄罗斯实施制裁而自然解决吗?欧洲安全将由于美方对俄制裁而变得更有保障吗?希望有关方面认真思考,还是应该努力通过对话协商解决问题。 米国財務省が発表したデータによると、米国が科す制裁措置の数は過去20年間で10倍に増えています。 2011年以降、米国はロシアに対して100以上の制裁を課しています。 しかし、米国の制裁は問題を解決したでしょうか。 米国の制裁で世界は良くなりましたか? ウクライナ問題は、米国の対ロシア制裁の結果、自然に解決するのでしょうか。 米国の対ロ制裁によって、欧州の安全保障はより安全になりますか? 関係者が真剣に考え、対話と協議で解決するようにしてほしいと思います。
我还想指出,美国等一些国家的非法单边制裁,已经给相关国家经济和民生造成严重困难。美方在处理乌克兰问题和对俄关系时,不得损害中方和其他方面正当权益。 また、米国をはじめとする一部の国による違法な一方的制裁は、すでに関係国の経済や生活に深刻な支障をきたしていることを指摘したいと思います。 米国側は、ウクライナ問題や対ロシア関係に対処する際、中国などの正当な権益を損なってはなりません。
《中国日报》记者:个别美国媒体认为,中方现在在乌克兰问题上的表态立场同中方一贯奉行的尊重国家主权和领土完整原则相矛盾。你是否同意这种看法? 中国日報記者:米国の各メディアは、ウクライナ問題に対する中国の現在の表明した立場は、中国が常に支持してきた国家主権と領土保全の尊重という原則に反すると見ています。 この意見に賛成ですか?
华春莹:中方在乌克兰问题上的立场是一贯的,没有变化。 華春瑩:ウクライナ問題に対する中国の立場は一貫しており、変わっていません。
中方表态符合中方一贯坚持的推动对话协商解决地区热点问题的立场。中方始终秉持客观公正,站在和平正义的一边,按照事情本身的是非曲直决定自身立场,主张各国都要根据联合国宪章的宗旨和原则和平解决国际争端。个别人指责中方有关乌克兰问题的立场违背尊重国家主权和领土完整原则,这要么是别有用心,要么是故意歪曲误解。 中国の声明は、地域のホットスポットの問題を解決するために対話と協議を促進するという中国の一貫した立場に沿ったものです。 中国は常に客観性と公平性を堅持し、平和と正義の側に立ち、問題自体のメリットに従って自らの立場を決定し、すべての国が国連憲章の目的と原則に従って国際紛争を平和的に解決すべきであると提唱しています。 ウクライナに対する中国の立場を、国家主権と領土保全の尊重の原則に反すると非難する人がいますが、これは下心があるか、意図的に歪曲して誤解しているかのどちらかです。
凡事都要讲道理,凡事也都有因果关系。乌克兰问题有其复杂历史经纬,局势演变至今是各种因素共同作用的结果。要想正确客观认识并寻求理性和平的解决方案,有必要了解乌克兰问题的来龙去脉,在平等和相互尊重的基础上,妥善解决彼此合理安全关切。一些国家应该想一想,在美方违背同俄罗斯的协议5次将北约东扩至俄家门口并部署大量先进进攻性战略武器时,他们有没有想过把一个大国逼到绝地的后果? 何事も正当化されなければならないし、何事も原因と結果の関係があります。 ウクライナ問題には複雑な歴史があり、様々な要因が重なり合った結果、今日まで事態が進展してきました。 正しく客観的に理解し、合理的かつ平和的な解決を目指すためには、ウクライナ問題の背景を理解し、平等と相互尊重を基本に、互いの正当な安全保障上の関心事に適切に対処することが必要です。 米国側がロシアとの合意を破り、NATOを5回もロシアの目の前まで東進させ、高度な戦略攻撃兵器を大量に配備したとき、大国を追い詰める結果を考えたことがあったのだろうか、と考えるべき国もあるでしょう。
当前形势下,和平解决乌克兰问题的大门并没有完全关上。我们希望有关当事方保持冷静和理性,致力于根据联合国宪章原则,通过谈判和平解决有关问题。中方将继续以自己的方式劝和促谈,欢迎并鼓励一切致力于推动外交解决的努力。 現状では、ウクライナ問題の平和的解決の扉は完全に閉ざされてはいません。 我々は、関係者が冷静さと理性を保ち、国連憲章の原則に従って交渉により関連する問題を平和的に解決することを約束することを希望します。 中国は引き続き平和を求め、独自の方法で話し合いを促進し、外交的解決の促進に専念するすべての努力を歓迎し奨励します。
深圳卫视记者:美国总统拜登发表演讲称,俄罗斯对乌克兰的行动是“侵略的开始”。我们也注意到塞尔维亚总统武契奇建议乌克兰总统先谴责美国、英国和其他国家对塞尔维亚进行的侵略行径。中方对此有何评论? 深センテレビ記者:ジョー・バイデン米大統領は演説で、ロシアのウクライナに対する行動は「侵略の始まり」であると述べました。 また、セルビアのブチッチ大統領が、ウクライナ大統領に対して、まず米国や英国などのセルビアに対する侵略を非難するよう提案したことにも言及しました。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:乌克兰问题有其复杂历史背景和经纬,演变到今天这种局面,是各种因素共同作用的结果。我注意到俄方反复多次表示,俄方无意对乌克兰发动战争,而且反复强调俄方愿意就乌克兰加入北约问题同美方等相关方面开展对话。 華春瑩:ウクライナ問題には複雑な歴史的背景と縦糸があり、さまざまな要因が複合的に作用した結果、今日のような状況に発展したのです。 ロシア側は、ウクライナに対して戦争を仕掛ける意図はないと繰り返し表明し、ウクライナのNATO加盟に関して米国やその他の関係者と対話する意思があることを繰り返し強調していることに留意したい。
值得一提的是,“安全不可分割原则”被写入了1975年《赫尔辛基最后议定书》序言、1990年《新欧洲巴黎宪章》、1997年《俄北约关系基础文件》、1999年欧安组织伊斯坦布尔通过的《欧洲安全宪章》以及2011年《俄美关于进一步削减和限制进攻性战略武器措施的条约》序言等文件。但美方显然没有遵守其承诺。针对俄方提出同美方就欧洲安全保障倡议进行对话,美方也没有相向而行。 「安全保障の不可分性の原則」は、1975年のヘルシンキ最終議定書の前文、1990年の「新欧州のためのパリ憲章」、1997年の「ロシア・NATO関係の基礎に関する文書」、1999年にイスタンブールでOSCEが採択した「欧州安全保障憲章」、2011年の「攻撃兵器の更なる削減と制限に関する憲章」に謳われていることは注目に値しよう。 戦略的攻撃兵器の更なる削減と制限のための措置に関する露米条約」前文など。 しかし、米国側は明らかにその約束を守っていません。 欧州安全保障構想についてロシア側が米国との対話を提案したことに対し、米国側もそれに応えようとしていません。
中方一贯认为,各国安全应该是共同、合作、可持续的,任何国家和集团都不应该谋求所谓安全利益最大化,俄方的合理安全关切应当得到重视和解决。我注意到有报道称,普京总统表示,乌方拒绝加入北约并保持中立将是解决问题最佳方式。乌方、美方等相关方面也都表示无意进入战争。这说明,和平解决乌克兰问题仍有希望。解铃还需系铃人。我们希望各方保持克制和冷静,认识到落实安全不可分割原则的重要性,不要关闭对话的大门,致力于通过谈判缓和事态,化解分歧,共同维护和平。 中国は、すべての国の安全保障は共通で、協力的で、持続可能であるべきであり、いかなる国や集団もいわゆる安全保障上の利益を最大化しようとすべきではなく、ロシア側の正当な安全保障上の懸念を真剣に受け止めて対処すべきであると常に主張してきた。 プーチン大統領は、ウガンダ側がNATOへの加盟を拒否し、中立を保つことが問題解決の最善策であると述べたとの報道があることに注目したい。 ウクライナ側、米国側、その他の関係者も、戦争に突入する意図はないとの見解を示している。 これは、ウクライナ問題の平和的解決に向けた希望が残されていることを示しています。 ベルをほどく必要がある。 我々は、すべての当事者が自制し、冷静さを保ち、安全保障の不可分の原則を実行することの重要性を認識し、対話の扉を閉じることを控え、交渉を通じて状況を緩和し、相違点を解決し、平和を維持するために協力することを約束することを希望する。
你刚才提到了武契奇总统的有关表态。我也注意到有不少人认为,在尊重别国主权和领土完整问题上,不应该有双重标准。很多人想问问美方,当年以美国为首的北约轰炸贝尔格莱德时,他们有没有尊重南联盟的主权和领土完整?当美国以莫须有的罪名对巴格达军事打击时,他们有没有尊重伊拉克的主权和领土完整?当美军无人机在喀布尔等地滥杀无辜时,他们有没有尊重阿富汗的主权和领土完整?当美国在世界各地到处煽动、策动“颜色革命”、干涉别国内政时,他们有没有尊重别国的主权和领土完整?希望美方严肃认真对待这个问题,摒弃双重标准。 ヴッチ大統領の発言についておっしゃいましたね。 また、他国の主権と領土保全を尊重することに関しては、二重基準があってはならないと多くの人が信じていることにも気づきました。 多くの人が米国側に質問したいのは、米国主導のNATOがベオグラードを爆撃したとき、彼らはユーゴスラビアの主権と領土保全を尊重しましたか? 米国がバグダッドに対して、切り詰められた容疑で軍事攻撃を開始したとき、彼らはイラクの主権と領土保全を尊重しましたか? 米国のドローンがカブールのような場所で無差別に無実の人々を殺したとき、彼らはアフガニスタンの主権と領土保全を尊重しましたか? 米国が「色の革命」を扇動し、扇動し、世界中の他の国の内政に干渉したとき、彼らは他の国の主権と領土保全を尊重しましたか? 米国側がこの問題を真剣に受け止め、二重基準を放棄することが望まれます。
路透社记者:中国表示新明斯克协议是解决乌克兰局势的唯一出路,然而俄罗斯总统普京称新明斯克协议已不复存在。中方对此有何评论? ロイター通信記者:中国は、新ミンスク合意がウクライナ情勢を打開する唯一の方法であると言いますが、ロシアのプーチン大統領は、新ミンスク合意はもはや存在しないとしています。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:乌克兰问题演变到今天是各种因素共同作用的结果,其中与新明斯克协议迟迟未能得到有效执行密切相关。局势走到今天,我们依然希望各方保持克制,通过对话协商缓和事态,避免局势进一步升级。 華春瑩:今日のウクライナ問題の進展は、さまざまな要因が重なった結果であり、その中でも新ミンスク合意の効果的な実施の遅れが密接に関係しています。 このような状況になった以上、すべての当事者が自制し、対話と協議を通じて状況をデスカレートさせ、さらなるエスカレーションを回避することを、私たちは依然として望んでいます。
(责编:崔越、刘慧) (編集者:崔岳、劉慧)

 

● ドイツ

・2022.02.024 VideoBundeskanzler Scholz: „Ein düsterer Tag für Europa“

VideoBundeskanzler Scholz: „Ein düsterer Tag für Europa“ 動画 ショルツ連邦首相「欧州にとって暗い1日」。
Bundeskanzler Olaf Scholz hat den russischen Angriff auf die Ukraine scharf verurteilt. Dieser sei „ein eklatanter Bruch des Völkerrechts“ und durch nichts zu rechtfertigen, so der Kanzler. Er sprach von einem dunklen Tag für Europa – und kündigte weitere, harte Sanktionen an. Er forderte den russischen Präsidenten auf, seine Truppen vom Gebiet der Ukraine zurückzuziehen. ドイツのオラフ・ショルツ首相は、ロシアのウクライナへの攻撃を強く非難しました。これは「あからさまな国際法違反」であり、いかなる理由でも正当化できない、と首相は述べました。彼は、ヨーロッパにとって暗黒の日であると語り、さらに厳しい制裁措置を発表しました。ロシア大統領にウクライナ領土から軍隊を撤退させるよう求めました。

 

● フランス

・2022.02.24 Ukraine : le message du président de la République à la Nation

Ukraine : le message du président de la République à la Nation ウクライナ:大統領から国民へのメッセージ
Le président de la République s’est adressé aux Français quelques heures après le lancement de l'offensive militaire par la Russie. 共和国大統領は、ロシアによる軍事攻撃開始の数時間後、フランス国民に向けて演説を行いました。
Après avoir réuni un Conseil de Défense, le président de la République, Emmanuel Macron, s’est adressé aux Français ce jeudi au sujet de l’invasion russe en Ukraine. フランスのエマニュエル・マクロン大統領は、国防会議を招集した後、木曜日にロシアのウクライナ侵攻をテーマに演説を行いました。
Le président de la République a par ailleurs annoncé que des décisions seront prises cet après-midi lors du G7, ce soir à Bruxelles lors du Conseil européen, et dans les prochaines heures lors du sommet de l’Otan. Il reviendra par la suite vers les Français pour faire le point sur la situation. また、共和国大統領は、今日の午後にはG7で、今日の夜にはブリュッセルで欧州理事会で、そして数時間後にはNATO首脳会議で決定が下されると発表しました。その後、フランス国民のもとに戻り、状況を把握する予定です。
Le président de la République adressera, demain, un message au Parlement. 共和国大統領は明日、国会でメッセージを発表する予定です。

 

● 英国

・2022.02.24 Prime Minister's address to the nation on the Russian invasion of Ukraine: 24 February 2022

Speech スピーチ
Prime Minister's address to the nation on the Russian invasion of Ukraine: 24 February 2022 ロシアのウクライナ侵攻に関する首相演説:2022年2月24日
PM Boris Johnson gave an address to the nation on the Russian invasion of Ukraine. ボリス・ジョンソン首相が、ロシアのウクライナ侵攻について国民に向けた演説を行った。
Shortly after 4 o’ clock this morning I spoke to president Zelenskyy of Ukraine to offer the continued support of the UK 今朝4時過ぎ、私はウクライナのゼレンスキー大統領と話し、英国の継続的な支援を申し入れた。
because our worst fears have now come true and all our warnings have proved tragically accurate なぜなら、私たちが最も恐れていたことが現実になり、すべての警告が悲劇的に正確であることが証明されたからです。
President Putin of Russia has unleashed war in our European continent. He has attacked a friendly country without any provocation and without any credible excuse ロシアのプーチン大統領は、私たちのヨーロッパ大陸で戦争を解き放ちました。彼は友好国を挑発することなく、信頼できる口実もなく攻撃しました。
Innumerable missiles and bombs have been raining down on an entirely innocent population 無数のミサイルと爆弾が、全く罪のない人々に降り注いでいます。
A vast invasion is underway by land by sea and by air. 陸海空での大規模な侵攻が進行中です。
And this is not in the infamous phrase some faraway country of which we know little そしてこれは、私たちがほとんど知らない、どこか遠い国の悪名高いフレーズではなく
We have Ukrainian friends in this country; neighbours, co-workers この国にはウクライナの友人がいる。隣人であり、同僚である。
Ukraine is a country that for decades has enjoyed freedom and democracy and the right to choose its own destiny ウクライナは、何十年もの間、自由と民主主義、そして自らの運命を選択する権利を享受してきた国です。
We – and the world – cannot allow that freedom just to be snuffed out. We cannot and will not just look away. 私たちは、そして世界は、その自由をただ消し去ることを許すことはできません。私たちは、目をそらすことはできませんし、そらすつもりもありません。
It is because we have been so alarmed in recent months at the Russian intimidation that the UK became one of the first countries in Europe to send defensive weaponry to help the Ukrainians ここ数カ月、私たちはロシアの脅迫を憂慮し、英国はヨーロッパで最初にウクライナ人を助けるために防衛兵器を送ったのです。
Other allies have now done the same and we will do what more we can in the days ahead 他の同盟国も同じことをしており、私たちも今後、できる限りのことをしていくつもりです。
Today in concert with our allies we will agree a massive package of economic sanctions designed in time to hobble the Russian economy 今日、我々は同盟国と協力して、ロシア経済を停滞させるために計画された大規模な経済制裁のパッケージに合意する予定である。
And to that end we must also collectively cease the dependence on Russian oil and gas that for too long has given Putin his grip on western politics そして、そのためには、あまりにも長い間プーチンに西側政治を支配させてきたロシアの石油とガスへの依存を、一斉にやめなければなりません。
Our mission is clear 私たちの使命は明確です。
Diplomatically, politically, economically – and eventually, militarily – this hideous and barbaric venture of Vladimir Putin must end in failure 外交的、政治的、経済的、そして最終的には軍事的に、このプーチンの醜悪で野蛮な事業を失敗に終わらせなければなりません。
And so I say to the people of Russia, whose president has just authorised a tidal wave of violence against a fellow Slavic people そして私は、大統領が同じスラブ民族に対する暴力の津波を許可したロシアの人々に言いたいです。
The parents of Russian soldiers who will lose their lives. 命を落とすことになるロシア兵のご両親。
I cannot believe this is being done in your name or that you really want the pariah status it will bring to the Putin regime あなたの名前でこんなことが行われるなんて信じられないし、プーチン政権にもたらす亡国的地位を本当に望んでいるのですか?
and I say to the Ukrainians in this moment of agony そして、この苦悩の瞬間にいるウクライナの人々に言いたい。
we are with you we are praying for you and your families 私たちはあなた方とともに、あなた方とご家族のために祈っています。
and we are on your side そして私たちはあなたの味方です
And if the months ahead are grim, and the flame of freedom burns low この先、数ヶ月が険しく、自由の炎が低く燃えていたとしても
I know that it will blaze bright again in Ukraine 私は、ウクライナで再び明るく燃え上がることを知っています。
because for all his bombs and tanks and missiles I don’t believe that the Russian dictator will ever subdue the national feeling of the Ukrainians and their passionate belief that their country should be free 爆弾や戦車やミサイルを使っても、ロシアの独裁者がウクライナ人の国民感情や、自分たちの国は自由であるべきだという熱い信念を打ち負かすとは思えないからです。
and I say to the British people and all who have heard the threats from Putin against those who stand with Ukraine そして、プーチンからウクライナの側に立つ人々への脅迫を聞いた英国の人々やすべての人に言います。
we will of course do everything to keep our country safe もちろん、我が国の安全を守るためにあらゆる手段を講じます。
We are joined in our outrage by friends and allies around the world 私たちは、世界中の友人や同盟国によって、その怒りに加えられています。
We will work with them – for however long it takes – to ensure that the sovereignty and independence of Ukraine is restored ウクライナの主権と独立が回復されるよう、どんなに時間がかかろうとも、彼らと協力していきます。
because this act of wanton and reckless aggression is an attack not just on Ukraine なぜなら、この無謀な侵略行為は、ウクライナだけでなく
It is an attack on democracy and freedom in East Europe and around the world 東欧をはじめ、世界の民主主義と自由に対する攻撃だからです。
This crisis is about the right of a free, sovereign independent European people to choose their own future この危機は、自由で主権を持つ独立したヨーロッパの人々が、自分たちの未来を選択する権利に関わるものです。
and that is a right that the UK will always defend. そしてそれは、英国が常に守り続ける権利です。

 

| | Comments (0)

英国 NSCS ウクライナ問題でサイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべきと助言 (2022.02.22)

こんにちは、丸山満彦です。

24日になり、すでにロシアがウクライナの領土を侵害したという話もありますが、、、

=> プーチン大統領の発表(2022.02.24)

22日に英国のCNSCは、今後起こりうるロシアによるウクライナ領土の完全性に対する侵害を踏まえて、サイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべきと助言していましたね。。。

U.K. National Cyber Security Centre: NCSC

・2022.02.22 NCSC advises organisations to act following Russia’s further violation of Ukraine’s territorial integrity

NCSC advises organisations to act following Russia’s further violation of Ukraine’s territorial integrity 今後起こりうるロシアによるウクライナ領土の完全性に対する侵害に備えて組織は行動すべきとNCSCが助言 
Organisations should follow NCSC advice and act on improving their resilience with the cyber threat heightened サイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべき
Following Russia’s further violation of Ukraine’s territorial integrity, the National Cyber Security Centre has called on organisations in the UK to bolster their online defences.< ロシアがウクライナの領土保全をさらに侵害したことを受けて、国立サイバーセキュリティセンターは、英国内の組織に対し、オンラインでの防御力を強化するよう呼びかけました。
The NCSC – which is a part of GCHQ – has urged organisations to follow its guidance on steps to take when the cyber threat is heightened. GCHQの一部であるNCSCは、サイバー脅威が高まったときに取るべき手順についてのガイダンスに従うよう、組織に呼びかけています。
While the NCSC is not aware of any current specific threats to UK organisations in relation to events in and around Ukraine, there has been an historical pattern of cyber attacks on Ukraine with international consequences. NCSCは、ウクライナおよびその周辺の出来事に関連して、英国の組織に対する現在の具体的な脅威については認識していませんが、ウクライナに対するサイバー攻撃は、国際的な影響を及ぼす歴史的なパターンがありました。
The guidance encourages organisations to follow actionable steps that reduce the risk of falling victim to an attack. 本ガイダンスでは、組織が攻撃の犠牲になるリスクを低減するための実行可能なステップに従うことを推奨しています。

 

1_20220224153701

 

 


 

ちなみに日本では経済産業省が注意喚起していますね・・・

 

経済産業省

・2022.02.23 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います

・[PDF] 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

20220224-160848

 

金融庁

・2022.02.24 昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

 

対策の強化に加えて、


国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。

 不審な動きを把握した場合は、速やかに金融庁・財務(支)局の担当部署にご報告ください。


とのことです。。。

 

 

| | Comments (0)

ENISA CSIRT成熟度フレームワークの改訂

こんにちは、丸山満彦です。

ENISAがCSIRT成熟度フレームワークの改訂版を公表していますね。。。

ENISA

・2022.02.23 (press) CSIRTs Maturity: Moving to the Next Level

CSIRTs Maturity: Moving to the Next Level CSIRTの成熟度:次のレベルへ
The European Union Agency for Cybersecurity issues a new version of the CSIRT maturity framework to improve national CSIRTs capacity. 欧州連合サイバーセキュリティ機関は、各国のCSIRTの能力向上を目的としたCSIRT成熟度フレームワークの新バージョンを発行しました。

<data-diazo="news-body">The maturity framework released today builds upon the existing maturity framework developed in 2019 by the European Union Agency for Cybersecurity, ENISA, for the Cybersecurity Incident Response Teams (CSIRTs).
本日発表された成熟度フレームワークは、欧州連合サイバーセキュリティ庁(ENISA)が2019年に開発した、サイバーセキュリティ・インシデント・レスポンス・チーム(CSIRT)のための既存の成熟度フレームワークに基づいています。
The CSIRT maturity framework is used by the CSIRTs Network members to understand, maintain and improve their maturity. The framework is intended to contribute to the enhancement of cyber incident management capacity, with a focus on national CSIRTs. CSIRTの成熟度フレームワークは、CSIRTのネットワークメンバーがその成熟度を理解し、維持し、改善するために使用されます。このフレームワークは、各国のCSIRTに焦点を当て、サイバーインシデント管理能力の強化に貢献することを目的としています。
CSIRTs can therefore assess the level of their maturity thanks to the tailored assessment methodology developed by ENISA. CSIRTは、ENISAが開発した評価手法を用いて、自らの成熟度を評価することができます。
The new version of the maturity framework includes an additional parameter of Public Media Policy and the remaining 44 parameters of the Open CSIRT Foundation “SIM3” standard have been reviewed. SIM3 stands for Security Incident Management Maturity Model and has been in use since 2008 by the different CSIRT communities. ENISA uses this maturity standard as baseline for the framework it developed. The parameters consists of attributes relevant for the organisation, operation or functioning of a CSIRT and are classified into the following categories: organisational, human, tools and processes. 成熟度フレームワークの新バージョンでは、パブリックメディアポリシーのパラメータが追加され、オープンCSIRT財団の「SIM3」規格の残りの44のパラメータが見直されました。SIM3はSecurity Incident Management Maturity Modelの略で、2008年からさまざまなCSIRTコミュニティで使用されています。ENISAはこの成熟度基準を自分たちが開発したフレームワークのベースラインとして使用しています。パラメータは CSIRT の組織、運営、機能に関連する属性で構成されており、組織、人、ツール、プロセスの属性に分類されています。
In the EU, national CSIRTs are encouraged to develop their maturity on the basis of the ENISA CSIRT three-tier maturity approach, which is based on SIM3. EU では、各国の CSIRT は SIM3 をベースにした ENISA CSIRT の 3 段階の成熟度アプローチに基づいて成熟度を高めていくことが推奨されています。
The evolution of the framework also follows the necessity to meet the requirements of the Directive on Network and Information Security (NISD) on CSIRT capabilities and takes into account the proposed requirements relevant to CSIRTs foreseen in the revision of the NIS Directive. また、フレームワークの進化は、CSIRTの能力に関するネットワークと情報セキュリティに関する指令(NISD)の要件を満たす必要性に従っており、NIS指令の改訂で予見されたCSIRTに関連する提案された要件を考慮に入れています。
Also aimed at entities involved in the planning, building and leading of such capacities, the framework is also suitable for other type of CSIRTs such as from multinational or sectoral organisations, universities, hospitals or government agencies. また、このフレームワークは、このような能力の計画、構築、指導に携わる団体を対象としており、多国籍または部門別の組織、大学、病院、政府機関などの他のタイプのCSIRTにも適しています。
Background 背景
The activities of ENISA in support of the CSIRTs Network are provided for by the Cybersecurity Act. ENISA supports the cooperation of the network and provides secretariat services. The network supports members to improve the handling of cross-border incidents and the coordinated response to specific incidents. The CSIRTs Network is a network composed of EU Member States’ appointed CSIRTs and CERT-EU (“CSIRTs Network members”). The European Commission participates in the network as an observer. CSIRTネットワークを支援するENISAの活動は、サイバーセキュリティ法で規定されています。ENISAはネットワークの協力を支援し、事務局サービスを提供します。ネットワークは、国境を越えたインシデントへの対応や、特定のインシデントへの協調した対応を向上させるためにメンバーを支援しています。CSIRTネットワークは、EU加盟国が任命したCSIRTとCERT-EU(以下、CSIRTsネットワークメンバー)で構成されるネットワークです。欧州委員会は同ネットワークにオブザーバーとして参加しています。
The Directive on Security of Network and Information Systems (or NIS Directive) provides legal measures to boost the overall level of cybersecurity in the EU. The revised version proposes more stringent supervision measures and enforcement, including administrative sanctions, such as fines for breach of the cybersecurity risk management and reporting obligations. 「ネットワークと情報システムのセキュリティに関する指令(NIS指令)」は、EUにおけるサイバーセキュリティの全体的なレベルを高めるための法的措置を定めています。改訂版では、サイバーセキュリティのリスク管理と報告義務の違反に対する罰金などの行政処分を含む、より厳格な監督措置と執行を提案しています。
Further Information 関連情報
ENISA CSIRT Maturity Framework Updated & Improved – February 2022 ENISA CSIRT成熟度フレームワーク 更新・改良版 - 2022年2月
CSIRT maturity: Self-assessment tool CSIRTの成熟度を 自己評価ツール
CSIRT Capabilities and Maturity – ENISA topic CSIRTの能力と成熟度 - ENISAトピック
CSIRTs Network CSIRTネットワーク
CSIRTs by Country – Interactive Map 国別CSIRT - インタラクティブマップ

 

・2022.02.23 ENISA CSIRT Maturity Framework - Updated and improved

ENISA CSIRT Maturity Framework - Updated and improved ENISA CSIRT 成熟度フレームワーク - 更新・改良版
This document presents the updated and improved version of ENISA’s Computer Security Incident Response Teams (CSIRT) Maturity Framework that is intended to contribute to the enhancement of the capacity to manage cyber incidents, with a focus on national CSIRTs. この文書は、ENISAのコンピュータ・セキュリティ・インシデント・レスポンス・チーム(CSIRT)の成熟度フレームワークの更新された改良版を示しています。このフレームワークは、各国のCSIRTに焦点を当てて、サイバーインシデントを管理する能力の強化に貢献することを目的としている。

・[PDF

20220224-132831

目次です...

EXECUTIVE SUMMARY エグゼクティブ・サマリー
1. INTRODUCTION 1. 序論
1.1 DEPRECATION STATEMENT 1.1 廃止の声明
2. ENISA CSIRT MATURITY FRAMEWORK 2. ENISA CSIRT 成熟度フレームワーク
2.1 3.1 SECURITY INCIDENT MANAGEMENT MATURITY MODEL (SIM3) 2.1 3.1 セキュリティ・インシデント管理成熟度モデル(SIM3)
2.2 CSIRT MATURITY STEPS – THREE-TIER APPROACH 2.2 csirt の成熟度ステップ - 3 層アプローチ
2.3 3.3 ASSESSMENT METHODOLOGY 2.3 3.3 評価方法
3. CONCLUDING REMARKS 3. 結びの言葉
4. REFERENCES 4. 参考文献
5. APPENDICES 5. 添付資料
5.1 APPENDIX A: FAQ 5.1 附属書A:よくあるご質問
5.2 APPENDIX B: COMMENTS ON ALIGNMENT TO CYBERSECURITY STRATEGY AND NIS2 DIRECTIVE 5.2 附属書B:サイバーセキュリティ戦略とNIS2指令との整合性に関するコメント
5.3 APPENDIX C: UPDATE OF THREE-TIER MATURITY APPROACH AND SIM3 STANDARD 5.3 附属書C:3層成熟度アプローチとSIM3規格の更新

 

EXECUTIVE SUMMARY  要旨 
The ENISA CSIRT Maturity Framework is intended to contribute to the enhancement of the global capacity to manage cyber incidents, with a focus on CSIRTs. Cyber incidents and developments are inherently transnational and effective responses depend on transnational collaboration. The establishment of national CSIRTs[1] is an essential step to facilitate the building of cyber capacity both within and across nations and make it more effective. The ENISA CSIRT Maturity Framework is aimed at parties involved in planning, building and leading such capacities with a concrete focus to increase maturity of all CSIRTs in the CSIRTs Network[2].   ENISA CSIRT成熟度フレームワークは、CSIRTに焦点を当て、サイバーインシデントを管理する世界的な能力の向上に貢献することを目的としています。サイバーインシデントとその発展は本質的に国境を越えたものであり、効果的な対応は国境を越えた協力関係に依存します。国家のCSIRT[1]の設立は、国家内および国家間のサイバー能力の構築を促進し、より効果的なものにするために不可欠なステップです。ENISA CSIRT成熟度フレームワークは、CSIRTネットワーク[2]内のすべてのCSIRTの成熟度を高めることに具体的に焦点を当て、そのような能力の計画、構築、指導に携わる関係者を対象としています。 
The ENISA CSIRT Maturity Framework is built on three pillars:   ENISA CSIRT成熟度フレームワークは3つの柱で構成されています。 
1.     the well-established OCF SIM3[3] standard;  1. 確立されたOCF SIM3[3]規格。
2.     the ENISA three-tier maturity approach: a series of three pre-defined steps that can be used as a guideline for the steps to be taken to increase maturity, complete with practical guidance on how to work with the Maturity Framework at different phases – from pre-establishment to advanced levels of maturity;  2. ENISAの3層成熟度アプローチ:成熟度を高めるために取るべきステップのガイドラインとして使用できる、事前に定義された3つのステップのシリーズであり、成熟度の事前確立から高度なレベルまで、さまざまな段階で成熟度フレームワークをどのように扱うかについての実践的なガイダンスを含んでいます。
3.     the ENISA assessment methodology: self-assessment and peer-reviews applied in the CSIRTs Network.   3. ENISAの評価方法:CSIRTsネットワークに適用される自己評価とピアレビュー。 
It is important to recognise that the framework is not intended to be prescriptive but is meant to support and stimulate national efforts on building and improving the capacity to respond to cyber incidents. However, the steps to maturity that have been defined are based on extensive experience and expertise in the CSIRT community and offer valuable guidance for national CSIRTs with regards to the level of quality to which they aspire. The CSIRT Maturity Framework combines previous models that have been widely recognised and adopted.   このフレームワークは規定を目的としたものではなく、サイバーインシデントへの対応能力の構築と向上に関する各国の取り組みを支援し、刺激することを目的としていることを認識することが重要であります。しかし、定義された成熟度へのステップは、シーサートコミュニティの豊富な経験と専門知識に基づいており、各国のシーサートが目指す品質レベルに関して貴重なガイダンスを提供しています。CSIRT 成熟度フレームワークは、広く認知され採用されている以前のモデルを組み合わせたものです。 
In this document the updated and improved version of the Framework is presented. This includes changes to all three pillars mentioned above.  このドキュメントでは、フレームワークの更新された改良版を紹介する。これには、上記の3つの柱すべてに対する変更が含まれています。
1.     Some aspects of SIM3 have been improved upon, and brought up to date – leading to a strong recommendation to OCF[4] to include these in any new drafts of the SIM3 standard.  1.     SIM3 のいくつかの側面が改善され、最新の状態になりました。これにより、OCF[4]に対して、SIM3 標準の新しいドラフトにこれらを含めるように強く推奨します。
2.     The three-tier maturity approach has remained the same as regards terminology, including the terms Basic, Intermediate and Advanced. However the demands on those three steps have been upgraded, in line with the development of the maturity of the CSIRTs Network in the past four years while also reflecting the changing landscape of the NIS Directive[5].  2.     3段階の成熟度アプローチは、基本、中級、上級という用語を含め、用語に関しては変わっていません。しかし、過去 4 年間の CSIRT ネットワークの成熟度の発展に合わせ、また NIS 指令[5]の変化を反映して、これら 3 つのステップに対する要求はアップグレードされました。
3.     The self-assessment and peer-review system received a complete overhaul, with indepth guidance, which is expected to not only make this process easier to work with, but also lead to higher quality and more consistent results.  3.     自己評価とピアレビューのシステムを全面的に見直し、詳細なガイダンスを導入しました。これにより、このプロセスが作業しやすくなるだけでなく、より高品質で一貫性のある結果が得られることが期待されます。

 

[1] The term ‘National CSIRT’ is more closely defined later in the report.
[2] https://www.enisa.europa.eu/topics/csirts-in-europe/csirts-network
[3] http://opencsirt.org/wp-content/uploads/2019/12/SIM3-mkXVIIIc.pdf
[4] https://opencsirt.org/
[5] https://digital-strategy.ec.europa.eu/en/library/revised-directive-security-network-and-information-systems-nis2



Continue reading "ENISA CSIRT成熟度フレームワークの改訂"

| | Comments (0)

Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

こんにちは、丸山満彦です。

Cloud Security Alliance がブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察を公表していますね。。。

 

Cloud Security Alliance (CSA)

・2022.02.16 Blockchain/Distributed Ledger Technology (DLT) Risk and Security Considerations

Blockchain/Distributed Ledger Technology (DLT) Risk and Security Considerations ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察
There is no shortage of guidance on how to design, configure and deploy Fabric solutions. This paper provides insights into how the three layers of blockchain technology interact with enterprise security services to deliver specific security outcomes. This holistic approach does not shy away from the hard work of operating production blockchain networks within computer networks constrained by critical sector requirements, such as security accreditation, PCI DSS segmentation, etc. These insights offer a method that can help organizations to deploy DLT solutions that are secure, cost-effective, and meet regulatory and compliance requirements for organizations. It also provides recommendations for Hyperledger Fabric that could be applied to other permissioned blockchains. ファブリックソリューションの設計、設定、導入方法に関するガイダンスには事欠きません。本稿では、ブロックチェーン技術の3つの層が企業のセキュリティサービスとどのように相互作用し、特定のセキュリティ成果をもたらすかについての洞察を提供します。この全体的なアプローチは、セキュリティ認定、PCI DSSセグメンテーションなど、重要なセクターの要件に制約されたコンピュータネットワーク内で本番用ブロックチェーンネットワークを運用するというハードワークを敬遠するものではありません。これらの洞察は、安全で費用対効果が高く、組織の規制・コンプライアンス要件を満たすDLTソリューションの展開に役立つ手法を提供しています。また、他の許可制ブロックチェーンにも適用可能なHyperledger Fabricに対する提言も行っています。

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220224-102600

 

 

Continue reading "Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)"

| | Comments (0)

日本のサイバーセキュリティ関連の研究開発状況。。。NISC 研究開発戦略専門調査会第18回会合

こんにちは、丸山満彦です。

NISCの研究開発戦略専門調査会第18回会合の資料が公開されていますね。。。サイバーセキュリティ分野における日本の研究開発状況についての絶望的な状況がわかりますね。。。(暗号は一定の存在感があるとなっていますが。。。これは辻井先生、今井先生等の指導が大きいのかもしれませんね。。。)(資料1のP3-P7あたり)

20220224-44916

アジアでは、中国はもちろんですが、韓国に対しても大差をつけられている感じで、ほとんど存在していないも当然の状況ですね。。。

将来に向けた応用研究(すぐには金にならない、当たるか外れるかもわからないようなもの)については日本は予算がつきにくいのでしょうかね。。。国としての財力がそこまでないということなんでしょうね。。。と考えると、サイバーセキュリティ分野における日本の今後の研究開発というのは、国の産業として発展させるくらいの思いがないと発展は難しいのかもしれませんね。。。

各国もサイバーセキュリティ戦略の中で、技術開発(産業育成)についても触れていますが、国家の安全保障に大きな影響を及ぼすものだからなんでしょうね。。。

日本って、社会全体が、実務界が(特に大学の)学者を世間知らずと馬鹿にし、学者も実務家を遠ざけているところってないですかね。。。このあたりうまく融合しないと、日本発の新しい産業って難しいのかもしれませんね。。。

博士(Doctor)に対する尊敬度って海外と日本で大きな差があるように昔から感じています。。。

 

また、海外人材を広く受け入れる(研究者だけでなく)素地が社会にないと、日本人だけで産業を起こすみたいな話になって、難しいでしょうね。。。

 

NISC

・2022.02.22 研究開発戦略専門調査会第18回会合を開催

・[PDF] 議事次第 

・[PDF] 資料1(事務局資料)今後の研究開発課題の検討について 

・[PDF] 資料2(有識者資料)我が国のサイバーセキュリティ研究開発力の強化に向けて 

・[PDF] 資料3(有識者資料)ハードウェアセキュリティ実現に向けた種々の課題 

・[PDF] 参考資料(事務局資料)「サイバーセキュリティ戦略」(抜粋) 

 

資料2(有識者資料)我が国のサイバーセキュリティ研究開発力の強化に向けて はNICTの盛合さんの発表資料のようですが、興味深いです。

P3の

ーーーーーー

⚫ 高騰するサイバーセキュリティ情報
✓ 国内のデータが海外に流れ、海外で分析
✓ 海外で生成された脅威情報を高額で購入

ーーーーーー

はまさにその通りですね。。。データが十分にないから分析する能力も十分に育たないという。。。その背景にはこれまでの、(ハードと違い)中間管理職が情報の価値を理解できない(応用する力がない)ので市場が育ってなかったということがあるかもしれませんね。。。応用的な分析能力は一朝一夕には育たないですからね、これからもしばらくは大変かもしれません。。。

データを集める仕組み+データを分析できる能力の開発、、、そして、その得られた情報を応用できる能力ですね。。。

 


英国のサイバーセキュリティ産業の規模については、、、

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.23 英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2022年版

2021.02.25 英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2021年版

 

 


■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 

 

| | Comments (0)

NIST SP 1800-30 遠隔医療リモート患者モニタリングエコシステムの保護

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 Securing Telehealth Remote Patient Monitoring Ecosystem を公開していますね・・・

NIST - ITL - Computer Security Resource Center

・2022.02.22 SP 1800-30 Securing Telehealth Remote Patient Monitoring Ecosystem

 

Abstract 概要
Increasingly, healthcare delivery organizations (HDOs) are relying on telehealth and remote patient monitoring (RPM) capabilities to treat patients at home. RPM is convenient and cost-effective, and its adoption rate has increased. However, without adequate privacy and cybersecurity measures, unauthorized individuals may expose sensitive data or disrupt patient monitoring services 医療機関では、在宅で患者を治療するために、テレヘルスや遠隔患者監視(RPM)機能を利用するケースが増えています。RPMは利便性と費用対効果に優れており、その導入率は高まっています。しかし、適切なプライバシーおよびサイバーセキュリティ対策を講じなければ、権限のない者によって機密データが漏洩したり、患者モニタリングサービスが妨害されたりする可能性があります。
RPM solutions engage multiple actors as participants in patients’ clinical care. These actors include HDOs, telehealth platform providers, and the patients themselves. Each participant uses, manages, and maintains different technology components within an interconnected ecosystem, and each is responsible for safeguarding their piece against unique threats and risks associated with RPM technologies. RPMソリューションには、患者の臨床ケアに参加する複数のアクターが関わっています。これらの関係者には、HDO、遠隔医療プラットフォームプロバイダー、そして患者自身が含まれます。それぞれの関係者は、相互に接続されたエコシステムの中で、異なるテクノロジーコンポーネントを使用、管理、維持しており、RPMテクノロジーに関連する固有の脅威やリスクから作品を保護する責任を負っています。
This practice guide assumes that the HDO engages with a telehealth platform provider that is a separate entity from the HDO and patient. The telehealth platform provider manages a distinct infrastructure, applications, and set of services. The telehealth platform provider coordinates with the HDO to provision, configure, and deploy the RPM components to the patient home and assures secure communication between the patient and clinician. この実践ガイドでは、HDOが、HDO及び患者とは別の事業体である遠隔医療プラットフォームプロバイダーと契約することを想定しています。遠隔医療プラットフォーム提供者は、別個のインフラストラクチャ、アプリケーション、および一連のサービスを管理する。遠隔医療プラットフォーム提供者は、HDO と連携して RPM コンポーネントのプロビジョニング、設定、および患者宅への配備を行い、患者と臨床医の間の安全な通信を保証します。
The NCCoE analyzed RPM ecosystem risk factors by applying methods described in the NIST Risk Management Framework. The NCCoE also leveraged the NIST Cybersecurity Framework, NIST Privacy Framework, and other relevant standards to identify measures to safeguard the ecosystem. In collaboration with healthcare, technology, and telehealth partners, the NCCoE built an RPM ecosystem in a laboratory environment to explore methods to improve the cybersecurity of an RPM. NCCoEは、NISTリスクマネジメントフレームワークに記載されている方法を適用して、RPMエコシステムのリスク要因を分析しました。また,NIST Cybersecurity Framework,NIST Privacy Framework,およびその他の関連規格を活用して,エコシステムを保護するための手段を特定しました.NCCoE は,医療,技術,遠隔医療のパートナーと協力して,実験室環境に RPM のエコシステムを構築し,RPM のサイバーセキュリティを向上させる方法を検討しました。
Technology solutions alone may not be sufficient to maintain privacy and security controls on external environments. This practice guide notes the application of people, process, and technology as necessary to implement a holistic risk mitigation strategy. 外部環境におけるプライバシーとセキュリティの管理を維持するためには、技術的な解決策だけでは十分でない場合があります。この実践ガイドでは、全体的なリスク軽減戦略を実施するために必要な、人、プロセス、技術の適用について言及しています。
This practice guide’s benefits include helping organizations assure the confidentiality, integrity, and availability of an RPM solution, enhancing patient privacy and limiting HDO risk when implementing an RPM solution. この実践ガイドの利点は、RPM ソリューションの機密性、完全性、および可用性を保証し、患者のプライバシーを強化し、RPM ソリューションを実装する際の HDO リスクを制限することです。

 

・[PDF] SP 1800-30

20220223-143338

 

内容を読むのは、PDFよりも、下のWebを見る方が読みやすいかもしれませんね。。。

Supplemental Material:

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.08 NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)

・2020.11.17 NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

 

 

 

Continue reading "NIST SP 1800-30 遠隔医療リモート患者モニタリングエコシステムの保護"

| | Comments (0)

OECD AIシステム分類のためのOECDフレームワーク

こんにちは、丸山満彦です。

OECDが、AIシステム分類のためのOECDフレームワークを公表していますね。。。

OECD - Library

・2022.02.22 OECD Framework for the Classification of AI systems 

OECD Framework for the Classification of AI systems OECD AIシステムの分類のためのフレームワーク
As artificial intelligence (AI) integrates all sectors at a rapid pace, different AI systems bring different benefits and risks. In comparing virtual assistants, self-driving vehicles and video recommendations for children, it is easy to see that the benefits and risks of each are very different. Their specificities will require different approaches to policy making and governance. To help policy makers, regulators, legislators and others characterise AI systems deployed in specific contexts, the OECD has developed a user-friendly tool to evaluate AI systems from a policy perspective. It can be applied to the widest range of AI systems across the following dimensions: People & Planet; Economic Context; Data & Input; AI model; and Task & Output. Each of the framework's dimensions has a subset of properties and attributes to define and assess policy implications and to guide an innovative and trustworthy approach to AI as outlined in the OECD AI Principles. 人工知能(AI)があらゆる分野を急速なスピードで統合していく中で、異なるAIシステムは異なるメリットとリスクをもたらす。仮想アシスタント、自動運転車、子供向けビデオ推薦を比較すると、それぞれのメリットとリスクが大きく異なることが容易に理解できる。それらの特異性から、政策立案やガバナンスにも異なるアプローチが必要になる。政策立案者、規制当局、立法者などが、特定の文脈で展開されるAIシステムの特徴を把握できるように、OECDは、政策の観点からAIシステムを評価するための使いやすいツールを開発した。これは、以下の次元で最も広範なAIシステムに適用することができる。人と地球、経済的文脈、データと入力、AIモデル、そしてタスクと出力。フレームワークの各次元は、OECD AI原則に概説されているように、政策的意味を定義し評価し、AIへの革新的で信頼できるアプローチを導くための特性と属性のサブセットを持っている。

 

・[PDF

20220824-14609

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
The OECD Framework for the Classification of AI Systems helps assess policy opportunities and challenges   OECDのAIシステム分類のためのフレームワークは、政策の機会と課題を評価するのに役立つ  
AI changes how people learn, work, play, interact and live. As AI spreads across sectors, different types of AI systems deliver different benefits, risks and policy and regulatory challenges. Consider the differences between a virtual assistant, a self-driving vehicle and an algorithm that recommends videos for children.  AIは、人々の学び方、働き方、遊び方、交流の仕方、生き方を変える。AIが各分野に広がるにつれ、異なるタイプのAIシステムが異なる便益、リスク、政策・規制上の課題をもたらす。バーチャルアシスタント、自動運転車、子供向けのビデオを推奨するアルゴリズムなどの違いを考えてみよう。
The OECD developed a user-friendly framework for policy makers, regulators, legislators and others to characterise AI systems for specific projects and contexts. The framework links AI system characteristics with the OECD AI Principles (OECD, 2019), the first set of AI standards that governments pledged to incorporate into policy making and promote the innovative and trustworthy use of AI.    OECDは、政策立案者、規制当局、立法者などが、特定のプロジェクトやコンテクストのためにAIシステムを特徴付けるための使いやすいフレームワークを開発した。このフレームワークは、AIシステムの特性を、各国政府が政策決定に取り入れることを約束した最初のAI基準であるOECD AI原則(OECD, 2019)と関連付け、AIの革新的で信頼できる利用を促進する。  
Ways to use the framework   フレームワークの利用方法  
The framework allows users to zoom in on specific risks that are typical of AI, such as bias, explainability and robustness, yet it is generic in nature. It facilitates nuanced and precise policy debate. The framework can also help develop policies and regulations, since AI system characteristics influence the technical and procedural measures they need for implementation. In particular, the framework provides a baseline to:  このフレームワークは、バイアス、説明可能性、頑健性など、AIに典型的に見られる特定のリスクにズームインすることができ、しかも汎用的なものである。ニュアンスに富んだ的確な政策論議を促進することができる。また、AIシステムの特性は、その実施に必要な技術的・手続き的措置に影響を与えるため、フレームワークは政策や規制の策定にも役立つ。特に、このフレームワークは以下のようなベースラインを提供する。
•  Promote a common understanding of AI: Identify features of AI systems that matter most, to help governments and others tailor policies to specific AI applications and help identify or develop metrics to assess more subjective criteria (such as well-being impact).   ・AIに対する共通理解の促進:最も重要なAIシステムの特徴を特定し、政府や他の機関が特定のAIアプリケーションに合わせた政策を行い、より主観的な基準(幸福への影響など)を評価するための指標を特定または開発するのに役立てることができる。 
•  Inform registries or inventories: Help describe systems and their basic characteristics in inventories or registries of algorithms or automated decision systems.  ・レジストリやインベントリに情報を提供する。アルゴリズムや自動化された意思決定システムのインベントリやレジストリにおいて,システムやその基本的な特性を説明するのに役立つ。
•  Support sector-specific frameworks: Provide the basis for more detailed application or domainspecific catalogues of criteria, in sectors such as healthcare or in finance.   ・分野別フレームワークを支援する。ヘルスケアや金融などのセクターにおいて、より詳細なアプリケーションやドメイン固有の基準のカタログのための基礎を提供する。
•  Support risk assessment: Provide the basis for related work to develop a risk assessment framework to help with de-risking and mitigation and to develop a common framework for reporting about AI incidents that facilitates global consistency and interoperability in incident reporting.  ・リスク評価を支援する。リスク評価フレームワークを開発し,リスクの除去や軽減に役立てる。また、AIインシデントに関する報告のための共通フレームワークを開発し,インシデント報告におけるグローバルな一貫性と相互運用性を促進する。
•  Support risk management: Help inform related work on mitigation, compliance and enforcement along the AI system lifecycle, including as it pertains to corporate governance.   ・リスクマネジメントを支援する。コーポレートガバナンスに関連するものを含め,AIシステムのライフサイクルに沿った緩和,コンプライアンス,執行に関する関連作業への情報提供を支援する。
Key dimensions structure AI system characteristics and interactions   AIシステムの特性および相互作用の主要な次元の構造  
The framework classifies AI systems and applications along the following dimensions: People & Planet, Economic Context, Data & Input, AI Model and Task & Output. Each one has its own properties and attributes or sub-dimensions relevant to assessing policy considerations of particular AI systems.   このフレームワークは、AIシステムとアプリケーションを以下の次元に沿って分類している。「人と地球」「経済的文脈」「データと入力」「AIモデル」「タスクと出力」。それぞれは、特定のAIシステムの政策的考察を評価するのに関連する独自の特性や属性、または下位次元を有している。 
•  People & Planet: This considers the potential of applied AI systems to promote human-centric, trustworthy AI that benefits people and planet. In each context, it identifies individuals and groups that interact with or are affected by an applied AI system. Core characteristics include users and impacted stakeholders, as well as the application’s optionality and how it impacts human rights, the environment, well-being, society and the world of work.   人と地球:人と地球のためになる、人間中心で信頼できるAIを促進するための、応用AIシステムの可能性を検討する。各コンテキストにおいて、応用AIシステムと相互作用する、あるいは応用AIシステムの影響を受ける個人とグループを特定する。コアとなる特性には、ユーザーや影響を受けるステークホルダーのほか、アプリケーションのオプション性、人権、環境、福祉、社会、仕事の世界にどのような影響を与えるかが含まれる。
•  Economic Context: This describes the economic and sectoral environment in which an applied AI system is implemented. It usually pertains to an applied AI application rather than to a generic AI system, and describes the type of organisation and functional area for which an AI system is developed. Characteristics include the sector in which the system is deployed (e.g. healthcare, finance, manufacturing), its business function and model; its critical (or non-critical) nature; its deployment, impact and scale, and its technological maturity.   経済的コンテクスト:応用AIシステムが実装される経済的、部門的環境を説明する。通常、一般的なAIシステムよりも応用的なAIアプリケーションに関係し、AIシステムが開発される組織の種類と機能領域を記述する。特徴としては、システムが導入される分野(医療、金融、製造など)、ビジネス機能およびモデル、重要性(または非重要性)、展開、影響、規模、技術的成熟度などが挙げられる。
•  Data & Input: This describes the data and/or expert input with which an AI model builds a representation of the environment. Characteristics include the provenance of data and inputs, machine and/or human collection method, data structure and format, and data properties. Data & Input characteristics can pertain to data used to train an AI system (“in the lab”) and data used in production (“in the field”).   データ及び入力:AIモデルが環境の表現を構築するためのデータおよび/または専門家の入力について説明する。データおよび入力の出所、機械および/または人の収集方法、データの構造と形式、およびデータの特性などが含まれる。データと入力の特性は、AIシステムのトレーニングに使用されるデータ(「ラボ内」)と生産現場で使用されるデータ(「現場」)に関連することがある。 
•  AI Model: This is a computational representation of all or part of the external environment of an AI system – encompassing, for example, processes, objects, ideas, people and/or interactions that take place in that environment. Core characteristics include technical type, how the model is built (using expert knowledge, machine learning or both) and how the model is used (for what objectives and using what performance measures).   AIモデル:これは、AIシステムの外部環境のすべてまたは一部を計算で表現したもので、例えば、プロセス、オブジェクト、アイデア、人、および/またはその環境で行われる相互作用などを含んでいる。コアとなる特性には、技術的なタイプ、モデルの構築方法(専門家の知識、機械学習、またはその両方を使用)、モデルの使用方法(どんな目的のために、どんな性能指標を使用するか)などがある。 
•  Task & Output: This refers to the tasks the system performs, e.g. personalisation, recognition, forecasting or goal-driven optimisation; its outputs; and the resulting action(s) that influence the overall context. Characteristics of this dimension include system task(s); action autonomy; systems that combine tasks and actions like autonomous vehicles; core application areas like computer vision; and evaluation methods.  タスクとアウトプット:これは、システムが実行するタスク(パーソナライズ、認識、予測、目標駆動型最適化など)、そのアウトプット、および全体のコンテキストに影響を与える結果のアクション(複数可)を指する。この次元の特徴としては、システムタスク、行動の自律性、自律走行車のようにタスクと行動を組み合わせたシステム、コンピュータビジョンのようなコアアプリケーション分野、評価方法などが挙げられる。
Applicability of the framework to AI “in the lab” versus “in the field”  「ラボ内」AIと「現場」AIへのフレームワークの適用性 
Some criteria of the framework are more applicable to AI “in the field” contexts than AI “in the lab” contexts, and vice versa. AI “in the lab” refers to the AI system’s conception and development, before deployment. It is applicable to the Data & Input (e.g. qualifying the data), AI Model (e.g. training the initial model) and Task & Output dimensions (e.g. for a personalisation task) of the framework. It is particularly relevant to ex ante risk-management approaches and requirements.  AI “in the field” refers to the use and evolution of an AI system after deployment and is applicable to all the dimensions. It is relevant to ex post riskmanagement approaches and requirements.   フレームワークのいくつかの基準は、「ラボ内」AIのコンテキストよりも「現場」AIのコンテキストに適用可能であり、その逆もまた然りである。「ラボ内」AIは、AIシステムの構想や開発、配備の前の段階を指する。これは、フレームワークのデータ&インプット(例:データの検証)、AIモデル(例:初期モデルのトレーニング)、タスク&アウトプット(例:パーソナライズタスク)の各次元に適用されるものである。特に、事前のリスクマネジメントのアプローチと要件に関連している。 「現場」AIとは、配備後のAIシステムの使用と進化を指し、すべての次元に適用可能である。これは、事後的なリスク管理のアプローチと要件に関連する。 
Classification and the AI system lifecycle   分類とAIシステムのライフサイクル  
The AI system lifecycle can serve as a complementary structure for understanding the key technical characteristics of a system. The lifecycle encompasses the following phases that are not necessarily sequential: planning and design; collecting and processing data; building and using the model; verifying and validating; deployment; and operating and monitoring (OECD, 2019d[1]). The dimensions of the OECD Framework for the Classification of AI Systems can be associated with stages of the AI system lifecycle to identify a dimension’s relevant AI actors, which is relevant to accountability.  AIシステムのライフサイクルは、システムの主要な技術的特性を理解するための補完的な構造として機能することができる。ライフサイクルは、計画・設計、データの収集・処理、モデルの構築・使用、検証・妥当性確認、展開、運用・監視という必ずしも連続的ではない段階を包含する(OECD, 2019d[1] )。OECDのAIシステム分類の枠組みの次元は、AIシステムのライフサイクルの段階と関連付けることで、説明責任に関連する次元のAIアクターを特定することができる。

 

目次...

Executive summary エグゼクティブサマリー
Acknowledgements 謝辞
1 Overview and goal of the framework 1 フレームワークの概要と目標
Link between the classification and actors in the AI system lifecycle 分類とAIシステムライフサイクルのアクターとの関連性
Other important scoping considerations その他の重要なスコーピングの考慮事項
2 Classification framework 2 分類フレームワーク
People & Planet 人と地球
Economic Context 経済的コンテクスト
Data & Input データ&インプット
AI Model AIモデル
Task & Output タスクとアウトプット
3 Applying the framework 3 フレームワークの適用
Applying the framework to real-world systems with expert and survey input 専門家と調査のインプットを用いて、フレームワークを実世界のシステムに適用する
System 1: Credit-scoring system システム1:クレジットスコアリングシステム
System 2: AlphaGo Zero システム2: AlphaGo Zero
System 3: Qlector.com LEAP system to manage a manufacturing plant システム3: 製造工場を管理するQlector.com LEAPシステム
System 4: GPT-3 システム4:GPT-3
4 Next steps 4 次のステップ
Refining classification criteria based on real-world evidence 実世界のエビデンスに基づく分類基準の精緻化
Tracking AI incidents AIインシデントの追跡
Developing a risk assessment framework リスク評価フレームワークの開発
Annex A. Sample AI applications by sector, ordered by diffusion 附属書A. AIアプリケーションの分野別サンプル(普及度順)
Annex B. AI adoption per industry 附属書B. 産業ごとのAI導入状況
Annex C. WG CAI membership 附属書C. WG CAIのメンバー
Annex D. Participants in the public consultation 附属書D. パブリックコンサルテーションの参加者

 


■ 参考

OECDの「人工知能に関する理事会勧告」

OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 

 

 

| | Comments (0)

半導体製造業界:SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様 ・ SEMI E188 - マルウェアフリー機器統合のための仕様

こんにちは、丸山満彦です。

SEMI[wikipedia]から、ファブ装置のサイバーセキュリティに関する仕様と、マルウェアフリー機器統合のための仕様が発表されていますね。。。標準は有料です。

 

SEMI (en) (jp)

・2022.01.22 SEMI E187 - Specification for Cybersecurity of Fab Equipment

SEMI E187 - Specification for Cybersecurity of Fab Equipment SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様
Abstract 概要
This Standard defines overarching and fundamental cybersecurity requirements as a baseline to secure semiconductor fab equipment by design and support security protection in operation and maintenance. 本標準は、設計により半導体製造装置を保護し、運用及び保守においてセキュリティ保護を支援するためのベースラインとして、包括的かつ基本的なサイバーセキュリティ要件を定義しています。
This Standard intends to be applied by entities who provide equipment or services to semiconductor fabrication plants such as equipment suppliers and system integrators. 本標準は、装置供給者及びシステムインテグレータのような半導体製造工場に装置又はサービスを提供する主体によって適用されることを意図しています。
This Standard addresses required measures for cybersecurity in the design, operation, and maintenance of semiconductor production equipment and automated material handling system. 本標準は、半導体製造装置及び自動搬送システムの設計、運用及び保守におけるサイバーセキュリティのための要求される対策に対応するものです。
This Standard provides fundamental requirements in the following aspects: 本標準は、以下の側面における基本的な要求事項を規定します。
・Operating system (OS) support, ・オペレーティングシステム(OS)の支援
・Network security, ・ネットワークセキュリティ
・Endpoint protection, and ・エンドポイントプロテクション
・Security monitoring. ・セキュリティ監視
This Standard applies to computing devices of fab equipment, which are installed with Microsoft Windows® or Linux® operating system. 本標準は、Microsoft Windows® または Linux® OS を搭載したファブレス機器のコンピューティングデバイスに適用されます。
This Standard does not apply to computing devices of programmable logic controllers (PLCs), supervisory control and data acquisition (SCADA), and devices connected to them via sensor-actuator networks. プログラマブルロジックコントローラ(PLC)、監視制御およびデータ収集(SCADA)、 ならびにセンサ・アクチュエータネットワークを介してそれらに接続される機器のコンピューティングデバイスには適用されません。
Referenced SEMI Standards (purchase separately) 参考となる SEMI 標準(別売)
SEMI E169 — Guide for Equipment Information System Security SEMI E169 - 機器情報システムセキュリティのためのガイド

 

マルウェア対策...

・2022.02.22 SEMI E188 - Specification for Malware Free Equipment Integration

SEMI E188 - Specification for Malware Free Equipment Integration SEMI E188 - マルウェアフリーに感染しない機器統合に関する仕様
Abstract 概要
The nature of semiconductor manufacturing supply chains requires standards for mitigating potential threats. By preventing the introduction of external threats into the manufacturing ecosystem, device manufacturers and equipment suppliers will benefit from clear mutual expectations and improved equipment reliability and uptime. 半導体製造のサプライチェーンの性質上、潜在的な脅威を軽減するための標準が必要です。製造エコシステムへの外部からの脅威の侵入を防ぐことにより、デバイスメーカーと装置サプライヤーは、相互の期待を明確にし、装置の信頼性とアップタイムを向上させるという利益を得ることができます。
This Standard provides a framework for how to mitigate the propagation of malware to manufacturing facilities during capital equipment delivery and support activities. 本標準は、資本的設備の納入および支援活動中に、製造施設にマルウェアが伝播することを緩和する方法の枠組みを提供します。
This Standard addresses the required measures for information security in manufacturing equipment delivery, installation, and support activities over the course of the manufacturing equipment life cycle within semiconductor manufacturing facilities. 本標準は、半導体製造施設内の製造装置のライフサイクルの中で、製造装置の納入、設置、支援活動において求められる情報セキュリティの対策について述べています。
This Standard defines protection systems and processes that ensure the integrity of manufacturing equipment, specifically defining the requirements for: 本標準は、製造装置の完全性を確保するための保護システム及びプロセスを定義するものであり、具体的には以下の要件を定義しています。
・Controlling access to manufacturing equipment via networks, removable media, etc. ・ネットワーク、リムーバブルメディアなどを介した製造装置へのアクセス制御。
・Manufacturing equipment installation ・製造装置の設置
・Manufacturing equipment upgrade and support tasks ・製造装置のアップグレードおよび支援作業
・Manufacturing equipment restoration, such as hard disk drives (HDD) or computer component replacement ・ハードディスクドライブ(HDD)やコンピュータ部品の交換など、製造装置の復旧作業
This Standard applies to equipment suppliers, equipment users, and hardware and software component suppliers. This Standard applies to any computing device (e.g., computers, controllers, programmable logic controllers [PLCs], etc.). 本標準は、機器供給者、機器使用者、ハードウェアおよびソフトウェア部品供給者に適用されます。本基準は、あらゆる計算機(コンピュータ、コントローラ、プログラマブルロジックコントローラ[PLC]など) に適用されます。
This Standard applies to any computing devices and systems located in a manufacturing facility used in the production of semiconductors. This includes process, metrology, and material handling equipment. Computing devices provided by the factory, such as manufacturing execution system (MES), material control system MCS, Host Systems etc., are excluded from this Standard. 本標準は、半導体の製造に使用される製造施設に設置されるあらゆるコンピューティングデバイスおよびシステムに適用されます。これには、プロセス機器、計測機器、マテハン機器が含まれます。製造実行システム(MES)、材料管理システム(MCS)、ホストシステムなど、工場が提供するコンピューティングデバイスは、この標準から除外されています。
Referenced SEMI Standards (purchase separately) 参考となる SEMI 標準(別売)
None. なし

 

SEMI - Blog (EN)

・2022.01.31 SEMI Taiwan Sets Out to Help Secure Chip Manufacturing Supply Chain with Publication of First Fab Equipment Cybersecurity Specification

 

Fig1_20220404150901

 


 

2022.04.04 追記

SEMI - Blog (jp)

・2022.03.13 半導体製造サプライチェーンの安全確保の支援-ファブ設備に関するサイバーセキュリティ規格が出版

 

 

 

| | Comments (0)

公安調査庁 経済安全保障に関する啓発のためにYouTube広告を配信します

こんにちは、丸山満彦です。

公安調査庁が、経済安全保障に関する啓発のためにYouTube広告を配信していますね。。。

内容としては日本の先端技術情報が敵対的な国に
不正に取得され、軍事利用等をされ、日本国の安全が脅かされるので、先端技術情報の保護をしっかりしましょう!」という感じのビデオのように感じました。。。(企業等の経済的な影響も触れられていますが。。。)

 

公安調査庁

・2022.02.22 経済安全保障に関する啓発のためにYouTube広告を配信します

ビデオ自体は昨年4月にアップされたものです。。。

・2021.04.14 [Youtube]【日本語字幕】「経済安全保障の確保に向けて~技術・データの流出防止~」(本編)

20220224-55749

 

・2021.04.14 [Youtube]【字幕なし】「経済安全保障の確保に向けて~技術・データの流出防止~」(本編))

 

Youtube

公安調査庁YouTube公式チャンネル

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.20 公安調査庁 内外情勢の回顧と展望(令和4年版)

・2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

・2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

| | Comments (0)

2022.02.23

英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2022年版

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)が「サイバーセキュリティセクター分析2022」を公表していますね。。。

サイバーセキュリティセクターの市場規模(セキュリティ企業の収入)は101億ポンド(1.6兆円)で、14%増加ですね。。。状況で大きな成長を遂げたとありますね。。。

  • 英国のサイバーセキュリティ業界の雇用は、昨年に比べて13%増加し、約52,700人分となった。
  • 英国のサイバーセキュリティ企業数は、昨年に比べて24%増加し、1,838社となった。
  • 英国のサイバーセキュリティ分野の市場規模は、昨年に比べて14%増加し、101億ポンド(1.6兆円)となった
  • 英国のサイバーセキュリティ分野に10億ポンド(1,560億円)の投資を呼び込んだ

 

ちなみに昨年(2021年)版は、

  • 英国のサイバーセキュリティ業界の雇用は、昨年に比べて9%増加し、約46,700人分となった。
  • 英国のサイバーセキュリティ企業数は、昨年に比べて21%増加し、1,483社となった。
  • 英国のサイバーセキュリティ分野の市場規模は、昨年に比べて7%増加し、89億ポンド(1.3兆円)となった
  • 英国のサイバーセキュリティ分野に8億ポンド(1,100億円)の投資を呼び込んだ

サイバーセキュリティ業界は世の中の緊張度が高まれば大きくなってきますね。。。いずれサイバーセキュリティ業界も防衛業界的になってくるんでしょうかね。。。


U.K. Department for Digital, Culture, Media & Sport

・2022.02.17 (press) Record levels of investment for UK's £10.1 billion cyber security sector

Record levels of investment for UK's £10.1 billion cyber security sector+B3:C29 英国では101億ポンド規模となったサイバー・セキュリティ分野への投資は記録的な水準
Revenue generated by cyber security firms rose by 14 per cent to £10.1 billion サイバーセキュリティ企業の収益は14%増の101億ポンドに
Department for Digital, Culture, Media & Sport and The Rt Hon Nadine Dorries MP デジタル・文化・メディア・スポーツ省とナディーン・ドリース議員(Rt Hon Nadine Dorries)のコメント
UK-registered cyber firms raised more than £1 billion external investment in 84 deals 英国に登録しているサイバー企業が84件の取引で10億ポンド以上の外部投資を調達
More than 6,000 new jobs added to the UK’s 50,000-strong cyber workforce 英国の5万人のサイバー人材に6,000人以上の新規雇用が加わる
Britain’s tech sector continues to break records as new government data shows more than 1,800 cyber security firms generated a total of £10.1 billion in revenue in the most recent financial year, a 14 per cent increase from the previous financial year. 英国のハイテク部門は記録を更新し続けています。政府の新しいデータによると、直近の会計年度において、1,800社以上のサイバーセキュリティ企業が合計で101億ポンドの収益を上げており、これは前の会計年度から14%の増加となっています。
The DCMS Annual Cyber Sector Report, which tracks the growth and performance of the UK’s cyber security industry, reveals the sector contributed around £5.3 billion to the UK economy in 2021, rising by a third on the previous year from £4 billion - the largest increase since the report began in 2018. 英国のサイバーセキュリティ業界の成長と業績を追跡するDCMSの年次サイバーセクターレポートでは、2021年に同セクターが英国経済に貢献した金額は約53億ポンドで、前年の40億ポンドから3分の1に増加し、2018年のレポート開始以来最大の増加となったことが明らかになりました。
Employment across the industry rose by 13 per cent, with more than 6,000 new jobs created, opening up new opportunities for people up and down the UK to join the sector and share its wealth. This brings the total number of people working in cyber in the UK to 52,700. 業界全体の雇用は13%増加し、6,000人以上の新規雇用が創出され、英国内外の人々がこのセクターに参加し、その富を共有するための新たな機会が生まれました。これにより、英国でサイバー関連の仕事をしている人の総数は52,700人となりました。
There were 1,838 active cyber security firms in the UK in 2021. More than half are based outside of London and the South East, with cyber security showing growth in the North East and East Midlands. The report highlights this move could be a result of remote working increasing regional opportunities. 2021年に英国で活動しているサイバーセキュリティ企業は1,838社。半分以上がロンドンと南東部以外に拠点を置いており、サイバーセキュリティは北東部とイーストミッドランズで成長を見せています。報告書では、このような動きは、リモートワークによって地域的な機会が増えた結果であるとしています。
UK-registered cyber security firms attracted record levels of external investment, with more than £1 billion secured across 84 deals by companies including Bristol-based Immersive Labs, which raised £53.5 million, and London-headquartered Tessian which secured more than £52 million in funding. 英国で登録されたサイバーセキュリティ企業は、記録的な水準の外部投資を集め、ブリストルに本社を置くImmersive Labs社は5,350万ポンドを調達し、ロンドンに本社を置くTessian社は5,200万ポンド以上の資金を確保するなど、84件の取引で10億ポンド以上の資金を確保しました。
Digital Secretary Nadine Dorries said: デジタル長官のNadine Dorriesは次のように述べています。
Cyber security firms are major contributors to the UK’s incredible tech success story. サイバーセキュリティ企業は、英国の素晴らしい技術サクセスストーリーに大きく貢献しています。
Hundreds of British firms from Edinburgh to Bristol are developing and selling cutting-edge cyber tools around the world that make it safer for people to live and work online. エディンバラからブリストルまで、何百社もの英国企業が最先端のサイバーツールを開発し、世界中で販売しており、人々のオンラインでの生活や仕事をより安全なものにしています。
We are investing in skills training and business initiatives to help the UK go from strength to strength as a global cyber power and open up the sector to people from all walks of life. 私たちは、英国がグローバルなサイバーパワーとして力を発揮し、この分野をあらゆる人々に開放するために、スキルトレーニングやビジネスイニシアチブに投資しています。
Over the last decade, the UK has established itself as a leader in areas including network security, threat monitoring and professional services which has contributed to the sector’s double digit growth last year. 過去10年間で、英国はネットワークセキュリティ、脅威モニタリング、プロフェッショナルサービスなどの分野でリーダーとしての地位を確立し、昨年の2桁成長に貢献しました。
Almost 300 UK-headquartered cyber security firms have offices in international markets, with 56 per cent offering their products and services in the United States and 46 per cent exporting to the European Union. 英国に本社を置くサイバーセキュリティ企業のうち、約300社が国際市場にオフィスを構えており、56%が米国、46%が欧州連合に製品やサービスを提供しています。
The UK attracted a number of foreign companies, with US-headquartered companies representing one in ten UK-based cyber companies, highlighting the importance of US-UK collaboration in this area to support the UK’s economic growth. 英国には多くの外国企業が進出しており、米国に本社を置く企業は英国のサイバー企業の10社に1社を占めています。この結果は、英国の経済成長を支えるこの分野での米英の協力関係の重要性を強調するものです。
The findings come as Digital Minister Julia Lopez addresses the CyberASAP demo day today. The event gives UK academics the opportunity to showcase innovative new cyber security products to potential buyers. この結果は、ジュリア・ロペス・デジタル大臣が本日開催されたCyberASAPデモデイで講演したものです。このイベントは、英国の大学関係者が革新的な新しいサイバーセキュリティ製品を潜在的な購買者に紹介する機会を提供するものです。
Vicky Brock CEO and co-founder of Vistalworks said: Vistalworks社のCEO兼共同設立者であるヴィッキー・ブロックは、次のように述べています。
Vistalworks was originally founded in response to a Scottish government innovation challenge to find innovative technology solutions to online illicit trade. Vistalworksは、オンライン不正取引に対する革新的な技術的解決策を見つけるというスコットランド政府のイノベーションチャレンジに応えて設立されました。
As we’ve grown, working closely with our government agency and cyber security stakeholders has remained incredibly important. 私たちが成長するにつれ、政府機関やサイバーセキュリティの関係者と密接に協力することが非常に重要になってきました。
The Cyber Runway Scale programme has enabled us to reach new public and private sector contacts, including contracts with banks and enforcement, and has helped us develop the skills and awareness we need to take our intelligence solutions to new markets and partners across the rest of the UK and beyond. サイバー・ランウェイ・スケール・プログラムは、銀行や警察との契約など、官民の新たなコンタクトを可能にし、当社のインテリジェンス・ソリューションを英国内外の新たな市場やパートナーに提供するために必要なスキルと認識を深めるのに役立っています」。
Lorna Armitage, co-founder, CAPSLOCK said: CAPSLOCK社の共同創業者であるLorna Armitage氏は、次のように述べています。
The support of Plexal and government-funded programmes like Cyber Runway has enabled CAPSLOCK to accelerate our growth from a young startup in 2020 to the ‘most innovative cyber security SME of 2021’, as named by DCMS. Plexal社とCyber Runwayのような政府助成プログラムの支援により、CAPSLOCK社は2020年の若いスタートアップから、DCMSに選ばれた「2021年の最も革新的なサイバーセキュリティ中小企業」へと成長を加速することができました。
Our relationship with Plexal has given us a great platform to talk about our commitment to promoting equality and diversity in the cyber security industry. For example, we spoke to fellow Cyber Runway members about the challenges faced by female co-founders and women in cyber. Plexal社との関係は、サイバーセキュリティ業界における平等性と多様性を促進するという当社の取り組みを語る上で、素晴らしいプラットフォームを提供してくれました。例えば、サイバーランウェイのメンバーに、女性の共同創業者やサイバー業界の女性が直面する課題について話しました。
The government’s National Cyber Strategy is supporting UK firms to grow and scale up through a number of schemes including the National Cyber Security Centre Startups and CyberFirst bursary schemes, the London Office for Rapid Cyber security Advancement, and the Cyber Runway programme which helps entrepreneurs and businesses access a range of services to turn their ideas into commercial successes. 政府の国家サイバー戦略では、国立サイバーセキュリティセンターのスタートアップスやサイバーファーストの奨学金制度、サイバーセキュリティを迅速に推進するためのロンドンオフィス、起業家や企業がアイデアを商業的に成功させるためのさまざまなサービスを利用できるようにするサイバーランウェイプログラムなど、数多くの制度を通じて英国企業の成長と規模拡大を支援しています。
The Department for Digital, Culture, Media and Sport has launched a number of skills initiatives including the Cyber Explorers youth programme and skills bootcamps. It is boosting careers in the cyber workforce by supporting new apprenticeship standards and helping to standardise the professional cyber security landscape with the new UK Cyber Security Council. デジタル・文化・メディア・スポーツ省は、青少年向けプログラム「Cyber Explorers」やスキルブートキャンプなど、さまざまなスキル向上のための取り組みを開始しました。デジタル文化メディアスポーツ省は、若者向けプログラム「Cyber Explorers」や「Skills bootcamps」など、さまざまなスキル向上のための取り組みを行っています。

 

報告書は、

こちらがWebで読みやすいです。。。

・2022.02.18 (Research and analysis) Cyber security sectoral analysis 2022

PDFはこちら

・[PDF]

20220222-223542

 

1 Introduction 1 はじめに
2 Profile of the UK Cyber Security Sector 2 英国のサイバーセキュリティ分野の概要
3 Location of Cyber Security Firms (UK) 3 サイバー・セキュリティ企業の所在地(英国)
4 Economic Contribution of the UK Cyber Security Sector 4 英国のサイバーセキュリティ部門の経済的貢献
5 Investment in the UK Cyber Security Sector 5 英国のサイバーセキュリティ分野への投資
6 Government Support for the Cyber Security Sector 6 サイバーセキュリティ分野に対する政府の支援

 

過去の報告書

・2021.02.18 Cyber Security Sectoral Analysis 2021

・[PDF] Cyber Security Sectoral Analysis 2021

20210225-05122

 

Continue reading "英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2022年版"

| | Comments (0)

2022.02.22

個人情報保護委員会 令和4年4月1日 改正個人情報保護法対応チェックポイント

こんにちは、丸山満彦です。

個人情報保護員会が、令和4年4月1日の改正個人情報保護法対応チェックポイントを公開していますね。。。大胆にバサッと!

最近の個人情報保護委員会は、マンガやこういう冊子を使っての普及に上手に対応しているようですね。。。今回は中小企業向けに重点ポイントをまとめたものになります。

 

個人情報保護委員会

・2022.02.18 改正個人情報保護法対応チェックポイント

・[PDF]

20220222-184601

まずはここから

  • 万が一に備え漏えい等報告・本人通知の手順を整備しましょう
  • 個人データを外国の第三者へ提供しているか確認しましょう
  • 安全管理措置を公表する等本人の知り得る状態に置きましょう

あわせて、、、

  • 保有個人データを棚卸し、開示請求等に備えましょう
  • 個人情報を不適正に利用していないか確認しましょう
  • 個人関連情報の利用状況や提供先を確認しましょう

 

 

| | Comments (0)

米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

こんにちは、丸山満彦です。

ロシアとウクライナ問題は、フランスやドイツが間に入って、調整をしながら落ち着くべきところに落ち着くのでしょうかね。。。弱い市民の命に影響がでなければよいのですが。。。

さて、CISAからは、16日に次のようなアラートが上がっていましたね。。。

● CISA

・2022.02.16 Alert (AA22-047A) Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology

Alert (AA22-047A) Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている
Summary 概要
From at least January 2020, through February 2022, the Federal Bureau of Investigation (FBI), National Security Agency (NSA), and Cybersecurity and Infrastructure Security Agency (CISA) have observed regular targeting of U.S. cleared defense contractors (CDCs) by Russian state-sponsored cyber actors. The actors have targeted both large and small CDCs and subcontractors with varying levels of cybersecurity protocols and resources. These CDCs support contracts for the U.S. Department of Defense (DoD) and Intelligence Community in the following areas: 少なくとも2020年1月から2022年2月にかけて、連邦捜査局(FBI)、国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ロシアの国家支援を受けたサイバーアクターが、米国の許可を受けた防衛請負業者(CDC)を定期的に標的にしていることを確認しました。これらの行為者は、サイバーセキュリティプロトコルやリソースのレベルが異なる大規模なCDCと下請け業者の両方を標的としています。これらのCDCは、米国国防総省(DoD)および情報機関のために、以下の分野の契約をサポートしています。
・Command, control, communications, and combat systems; ・司令部、制御部、通信部、および戦闘システム。
・Intelligence, surveillance, reconnaissance, and targeting; ・諜報、監視、偵察、およびターゲティング
・Weapons and missile development; ・兵器・ミサイルの開発
・Vehicle and aircraft design; and ・車両・航空機の設計、および
・Software development, data analytics, computers, and logistics.  ・ソフトウェア開発、データ分析、コンピュータ、ロジスティクス 
Historically, Russian state-sponsored cyber actors have used common but effective tactics to gain access to target networks, including spearphishing, credential harvesting, brute force/password spray techniques, and known vulnerability exploitation against accounts and networks with weak security. These actors take advantage of simple passwords, unpatched systems, and unsuspecting employees to gain initial access before moving laterally through the network to establish persistence and exfiltrate data.  歴史的に見て、ロシアの国家支援を受けたサイバーアクターは、セキュリティが脆弱なアカウントやネットワークに対して、スピアフィッシング、クレデンシャルハーベスティング、ブルートフォース/パスワードスプレー技術、既知の脆弱性の利用など、一般的だが効果的な戦術を用いてターゲットネットワークへのアクセスを獲得してきました。これらの行為者は、単純なパスワード、パッチが適用されていないシステム、無防備な従業員などを利用して、最初のアクセスを獲得した後、ネットワークを横切って移動し、持続性を確立してデータを盗み出します。 
In many attempted compromises, these actors have employed similar tactics to gain access to enterprise and cloud networks, prioritizing their efforts against the widely used Microsoft 365 (M365) environment. The actors often maintain persistence by using legitimate credentials and a variety of malware when exfiltrating emails and data. 多くの不正アクセスの試みにおいて、これらのアクターは、企業やクラウドのネットワークにアクセスするために同じような戦術を採用しており、広く利用されているMicrosoft 365(M365)環境に対して優先的に取り組んでいます。また、電子メールやデータを盗み出す際には、正規の認証情報やさまざまなマルウェアを使用することで、持続的な活動を行っています。
These continued intrusions have enabled the actors to acquire sensitive, unclassified information, as well as CDC-proprietary and export-controlled technology. The acquired information provides significant insight into U.S. weapons platforms development and deployment timelines, vehicle specifications, and plans for communications infrastructure and information technology. By acquiring proprietary internal documents and email communications, adversaries may be able to adjust their own military plans and priorities, hasten technological development efforts, inform foreign policymakers of U.S. intentions, and target potential sources for recruitment. Given the sensitivity of information widely available on unclassified CDC networks, the FBI, NSA, and CISA anticipate that Russian state-sponsored cyber actors will continue to target CDCs for U.S. defense information in the near future. These agencies encourage all CDCs to apply the recommended mitigations in this advisory, regardless of evidence of compromise. このような継続的な侵入により、行為者は、機密性の高い未格付けの情報や、CDC独自の輸出規制技術を取得しています。取得された情報は、米国の兵器プラットフォームの開発・配備のスケジュール、車両の仕様、通信インフラや情報技術の計画などに関する重要な情報です。敵対者は、独自の内部文書や電子メールのやり取りを入手することで、自らの軍事計画や優先順位を調整したり、技術開発を急がせたり、米国の意図を外国の政策立案者に伝えたり、潜在的な人材確保の対象としたりすることができます。未分類のCDCネットワークで広く利用できる情報の機密性を考えると、FBI、NSA、CISAは、近い将来、ロシアの国家支援を受けたサイバーアクターが米国の防衛情報を求めてCDCを標的にし続けるだろうと予想しています。これらの機関は、侵害の証拠があるかどうかにかかわらず、すべてのCDCがこの勧告で推奨されている緩和策を適用することを推奨しています。
For additional information on Russian state-sponsored cyber activity, see CISA's webpage, Russia Cyber Threat Overview and Advisories. ロシアの国家主導のサイバー活動についての詳細は、CISAのウェブページ「Russia Cyber Threat Overview and Advisories」を参照してください。
Click here for a PDF version of this report. 本報告書のPDF版はこちらを参照。
Actions to Help Protect Against Russian State-Sponsored Malicious Cyber Activity: ロシア国家が支援する悪意のあるサイバー活動からの保護を支援するための行動。
• Enforce multifactor authentication. ・多要素認証を実施する。
• Enforce strong, unique passwords. ・強力でユニークなパスワードを使用する。
• Enable M365 Unified Audit Logs. ・M365 Unified Audit Logsを有効にする。
• Implement endpoint detection and response tools. ・エンドポイント検出・応答ツールの導入

 

 

Fig1_20210731004501

| | Comments (0)

NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

こんにちは、丸山満彦です。

NATO CCDCOEからおよそ隔月で最近のサイバー事件 (Recent Cyber Event) が発刊されているのですが、今年の1月(No.14)は2021年の振り返りで、テーマは、

→ ランサムウェアの脅威
→ サプライチェーンセキュリティ
→ スパイウェアの輸出規制

でした。。。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.01 Recent Cyber Events: Considerations for Military and National Security Decision Makers

 

Recent Cyber Events: Considerations for Military and National Security Decision Makers 最近のサイバー事件。軍事・国家安全保障の意思決定者が考えるべきこと
2021 was an exciting year from a cybersecurity and cyber defence perspective. After dealing with the Solarwinds breach at the beginning of the year, the world experienced a series of serious ransomware incidents, in some cases causing disturbances to essential services. We also saw governments expressing their commitment to protecting critical services and to responding forcefully to nations carrying out malicious cyber operations or allowing criminals to do so. 2021年は、サイバーセキュリティやサイバーディフェンスの観点から見て、エキサイティングな年でした。年初にSolarwinds社の情報漏えい事件が発生した後、世界中で深刻なランサムウェア事件が相次ぎ、場合によっては重要なサービスに支障をきたすこともありました。また、各国政府が重要なサービスを保護し、悪意のあるサイバー操作を行っている国や犯罪者を許している国に対して、強力に対応することを表明しています。
While impossible to cover all these developments in a brief report, we will take this opportunity to reflect on three important topics: ransomware, software supply chain security and spyware. Perhaps looking at these from a little distance will help us see the larger picture and allow us to prepare better for the future. 短い報告書の中でこれらの動きをすべて網羅することは不可能ですが、この機会に、ランサムウェア、ソフトウェアサプライチェーンセキュリティ、スパイウェアという3つの重要なトピックについて考えてみたいと思います。これらを少し離れたところから見てみることで、全体像を把握し、将来に向けてより良い準備をすることができるかもしれません。
Malicious cyber activity has grown substantially over the past two years while the world has been learning how to keep turning with the omnipresent pandemic. One particular malware category, ransomware, made headlines frequently in 2021, partly because the operations were increasingly targeting high-value targets. この2年間、悪質なサイバー活動は大幅に増加しており、その間、世界は遍在するパンデミックに対応するための方法を学んできました。2021年には、ランサムウェアという特定のマルウェアカテゴリーが頻繁に見出しを飾ったが、その理由の一つは、操作の対象が高価値のターゲットになってきたことです。
The concerns and confusion over the security of the software supply chain triggered by the Solarwinds incident in December 2020 expanded in 2021. A number of investigations, analyses and follow-up measures related to the incident have been made but the effects were still being felt in May, six months after it first became public, when the US CISA released detailed guidance on how to evict Solarwinds-related malicious code, recommending blocking internet access for three to five days. 2020年12月に発生したSolarwinds社の事件をきっかけに、ソフトウェアのサプライチェーンのセキュリティに対する懸念や混乱が2021年に拡大しました。この事件に関連する多くの調査、分析、フォローアップ措置が行われましたが、その影響は、最初に公表されてから半年後の5月に、米国CISAがSolarwinds関連の悪意のあるコードを退治する方法についての詳細なガイダンスを発表し、インターネットへのアクセスを3~5日間ブロックすることを推奨したことからもうかがえます。
Over the last year, off-the-shelf spyware has made its way onto the communication devices of journalists, political leaders activists and it has also been a topic in the news. Even though the pace at which it has evolved on the desks of regulators has been slower, both the EU and US are tightening export controls to kerb the misuse and propagation of spyware. The revelations and developments of 2021 once again show that spyware is a concern for cybersecurity as much as it is for privacy. 昨年来、既製品のスパイウェアがジャーナリストや政治家、活動家の通信機器に入り込み、ニュースの話題にもなっています。規制当局の机の上で進化するスピードは遅くなったものの、EUと米国はスパイウェアの悪用と伝播を防ぐために輸出規制を強化しています。2021年の発表と進展は、スパイウェアがプライバシーと同様にサイバーセキュリティ上の懸念事項であることを改めて示しています。

 

・[PDF]

20220222-05044

 

 


 

過去分も含めて...

# Issue Title PDF
14 2022.01 Recent Cyber Events: Considerations for Military and National Security Decision Makers PDF
13 2021.11 Recent Cyber Events No 13/ November 2021 PDF
12 2021.09 Recent Cyber Events No 12/ September 2021 PDF
11 2021.06 Recent Cyber Events No 11/ June 2021 PDF
10 2021.05 Recent Cyber Events No 10 / May 2021 PDF
9 2021.03 Recent Cyber Events No 9 / March 2021 PDF
8 2021.01 Recent Cyber Events and Possible Implications for Armed Forces #8 PDF
7 2020.11 Recent Cyber Events and Possible Implications for Armed Forces #7 PDF
6 2020.10 Recent Cyber Events and Possible Implications for Armed Forces #6 PDF
5 2020.09 Recent Cyber Events and Possible Implications for Armed Forces #5 PDF
4 2020.07 Recent Cyber Events and Possible Implications for Armed Forces #4 PDF
3 2020.06 Recent Cyber Events and Possible Implications for Armed Forces #3 PDF
2 2020.05 Recent Cyber Events and Possible Implications for Armed Forces #2 PDF
1 2020.04 Recent Cyber Events and Possible Implications for Armed Forces #1 PDF

 


 

ソフトウェアさプレイチェーンの特集だったNo10だけ取り上げていましたね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.09 NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」

| | Comments (0)

NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

こんにちは、丸山満彦です。

昨年の11月にNATO CCECOEから「国家サイバーセキュリティ戦略策定のためのガイド」第2版が公開されていたんですね。。。

ITU、欧州評議会、マイクロソフト、世界銀行等が参加していますね。。。Dig4では、Deloitteが参加していますね。。。

 

The NATO Cooperative Cyber Defence Centre of Excellence

・2021.11 2nd Edition of the Guide to developing a National Cybersecurity Strategy

2nd Edition of the Guide to developing a National Cybersecurity Strategy 「国家サイバーセキュリティ戦略策定のためのガイド」第2版
The 2nd, revised Guide to Developing a National Cybersecurity Strategy, published in November 2021, results from a unique multistakeholder collaboration tapping into the knowledge, experience, and expertise of more than 20 international, industry and academic organisations in the field of national cybersecurity strategies and policies, including the ITU, Council of Europe, Microsoft, World Bank, several international security policy think tanks active in the field, and a number of regional intergovernmental organisations. CCDOE’s participation in the effort builds on its decade-worth of research on national cybersecurity strategies; the Centre’s experts led the Guide’s work stream on international cooperation and its publications are included among the Guide’s reference materials. The Guide provides a reference framework to support countries’ ongoing efforts to design, adopt, implement, and update a comprehensive national cybersecurity strategy. It was published in November 2021 and is available on a dedicated website. 2021年11月に発行された第2版「国家サイバーセキュリティ戦略策定ガイド」は、ITU、欧州評議会、マイクロソフト、世界銀行、この分野で活躍する複数の国際安全保障政策シンクタンク、多数の地域政府間組織など、国家サイバーセキュリティ戦略・政策の分野で活躍する20以上の国際機関、産業界、学術団体の知識、経験、専門性を活用した、ユニークなマルチステークホルダー・コラボレーションから生まれたものです。また、CCDOEの専門家は、国際協力に関するガイドのワークストリームを主導し、CCDOEの出版物はガイドの参考資料に含まれています。本ガイドは、包括的な国家サイバーセキュリティ戦略を設計、採用、実施、更新する各国の継続的な取り組みを支援するための参考フレームワークを提供しています。2021年11月に発行され、専用ウェブサイトで公開されています。

 

重点7分野が書いています。。。

 FA1 Governance  FA1 ガバナンス
 FA2 Risk management in national cybersecurity  FA2 国家のサイバーセキュリティにおけるリスク管理
 FA3 Preparedness and resilience  FA3 準備と回復力(Preparedness and resilience
 FA4 Critical Infrastructure services and essential services  FA4 重要インフラサービスと必須サービス
 FA5 Capability and capacity building and awareness raising  FA5 能力、キャパシティビルディング、意識向上
 FA6 Legislation and Regulation  FA6 立法と規制
 FA7 International Cooperation  FA7 国際協力

なるほどね。。。

 

・[PDF] Strategic Engagement in Cybersecurity - Guide to Developing a National Cybersecurity Strategy - Strategic Engagement in Cybersecurity - 2nd Edition 2021

20220221-234102

目次

1 Document Overview 1 文書の概要
1.1 Purpose 1.1 目的
1.2 Scope 1.2 範囲
1.3 Overall structure and usage of the Guide 1.3 ガイドの全体構成と使用方法
1.4 Target audience 1.4 対象者
2 Introduction 2 はじめに
2.1 What is cybersecurity 2.1 サイバーセキュリティとは
2.2 Benefits of a National Cybersecurity Strategy and strategy development process 2.2 国家サイバーセキュリティ戦略の利点と戦略策定プロセス
3 Lifecycle of a National Cybersecurity Strategy 3 国家サイバーセキュリティ戦略のライフ・サイクル
Introduction はじめに
3.1 Phase I: Initiation 3.1 フェーズI:開始
3.1.1 Identifying the Lead Project Authority 3.1.1 主任プロジェクト機関の特定
3.1.2 Establishing a Steering Committee 3.1.2 運営委員会の設立
3.1.3 Identifying stakeholders to be involved in the development of the Strategy 3.1.3 戦略の策定に関与すべきステークホルダーの特定
3.1.4 identifying human and financial resources 3.1.4 人的資源及び財政的資源の特定
3.1.5 Planning the development of the Strategy 3.1.5 ストラテジーの開発計画
3.2 Phase II: Stocktaking and analysis 3.2 フェーズⅡ:ストックテイキングと分析
3.2.1 Assessing the national cybersecurity landscape 3.2.1 国のサイバーセキュリティの状況の評価
3.2.2 Assessing the cyber-risk landscape 3.2.2 サイバーリスクの状況を評価する
3.3 Phase III: Production of the National Cybersecurity Strategy 3.3 フェーズIII:国家サイバーセキュリティ戦略の作成
3.3.1 Drafting the National Cybersecurity Strategy 3.3.1 国家サイバーセキュリティ戦略の起草
3.3.2 Consulting with a broad range of national, regional and international stakeholders 3.3.2 国内、地域、国際的な利害関係者との幅広い協議
3.3.3 Seeking formal approval 3.3.3 正式な承認を求める
3.3.4 Publishing and promoting the Strategy 3.3.4 戦略の発表と促進
3.4 Phase IV: Implementation 3.4 フェーズⅣ:実施
3.4.1 Developing the action plan 3.4.1 行動計画の策定
3.4.2 Determining initiatives to be implemented 3.4.2 実施すべきイニシアティブの決定
3.4.3 Allocating human and financial resources for the implementation 3.4.3 実施のための人的及び財政的資源の割り当て
3.4.4 Setting timeframes and metrics 3.4.4 タイムフレームと評価基準の設定
3.5 Phase V: Monitoring and evaluation 3.5 フェーズV:モニタリングと評価
3.5.1 Establishing a formal process 3.5.1 正式なプロセスの確立
3.5.2 Monitoring the progress of the implementation of the Strategy 3.5.2 戦略の実施の進捗状況のモニタリング
3.5.3 Evaluating the outcomes of the Strategy 3.5.3 ストラテジーの成果の評価
4 Overarching Principles 4 全体的な原則
Introduction はじめに
4.1 Vision 4.1 ビジョン
4.2 Comprehensive approach and tailored priorities 4.2 包括的なアプローチと個別の優先事項
4.3 Inclusiveness 4.3 包括性
4.4 Economic and social prosperity 4.4 経済的・社会的繁栄
4.5 Fundamental human rights 4.5 基本的人権
4.6 Risk management and resilience 4.6 リスク管理とレジリエンス
4.7 Appropriate set of policy instruments 4.7 適切な政策手段のセット
4.8 Clear leadership, roles, and resource allocation 4.8 明確なリーダーシップ、役割、および資源配分
4.9 Trust environment 4.9 信頼できる環境
5 National Cybersecurity Good Practice 5 国家的なサイバーセキュリティの優れた実践
Introduction はじめに
5.1 Focus area 1 – Governance 5.1 重点分野1 - ガバナンス
5.1.1 Ensure the highest level of support 5.1.1 最高レベルのサポートを確保する
5.1.2 Establish a competent cybersecurity authority 5.1.2 有能なサイバーセキュリティ当局の設立
5.1.3 Ensure intra-governmental cooperation 5.1.3 政府内の協力を確保する
5.1.4 Ensure inter-sectoral cooperation 5.1.4 セクター間の協力を確保する
5.1.5 Allocate dedicated budget and resources 5.1.5 専用の予算とリソースを割り当てる
5.1.6 Develop an implementation plan 5.1.6 実施計画の策定
5.2 Focus area 2 - Risk management in national cybersecurity 5.2 重点分野 2 - 国家のサイバーセキュリティにおけるリスク管理
5.2.1 Conduct a cyber threat assessment and align policies with the ever-expanding cyber threat landscape 5.2.1 サイバー脅威の評価を行い、拡大し続けるサイバー脅威の状況に合わせて政策を調整する
5.2.2 Define a risk-management approach 5.2.2 リスク管理アプローチを定義する
5.2.3 Identify a common methodology for managing cybersecurity risk 5.2.3 サイバーセキュリティリスクを管理するための共通の方法論を特定する
5.2.4 Develop sectoral cybersecurity risk profiles 5.2.4 セクターごとのサイバーセキュリティリスクプロファイルの作成
5.2.5 Establish cybersecurity policies 5.2.5 サイバーセキュリティポリシーの確立
5.3 Focus area 3 - Preparedness and resilience 5.3 重点分野3:準備と回復力(Preparedness and resilience
5.3.1 Establish cyber-incident response capabilities 5.3.1 サイバーインシデント対応能力の確立
5.3.2 Establish contingency plans for cybersecurity crisis management and disaster recovery 5.3.2 サイバーセキュリティ危機管理及び災害復旧のためのコンティンジェンシープランの確立
5.3.3 Promote information-sharing 5.3.3 情報共有の促進
5.3.4 Conduct cybersecurity exercises 5.3.4 サイバーセキュリティ演習の実施
5.3.5 Establish impact or severity assessment of cybersecurity incidents 5.3.5 サイバーセキュリティインシデントの影響度又は深刻度評価の確立
5.4 Focus area 4 - Critical Infrastructure and essential services 5.4 重点分野4 - 重要インフラと必須サービス
5.4.1 Establish a risk-management approach to identifying and protecting critical infrastructure and essential services 5.4.1 重要なインフラストラクチャ及び不可欠なサービスを特定し保護するためのリスク管理手法を確立する
5.4.2 Adopt a governance model with clear responsibilities 5.4.2 明確な責任を伴うガバナンスモデルを採用する
5.4.3 Define minimum cybersecurity baselines 5.4.3 最低限のサイバーセキュリティのベースラインを定義する
5.4.4 Utilise a wide range of market levers 5.4.4 広範な市場レバ-の活用
5.4.5 Establish public private partnerships 5.4.5 官民パートナーシップの確立
5.5 Focus area 5 - Capability and capacity building and awareness raising 5.5 重点分野 5 - 能力・キャパシティビルディング、意識向上
5.5.1 Strategically plan capability and capacity building and awareness raising 44 5.5.1 能力・キャパシティビルディングと意識向上を戦略的に計画する 44
5.5.2 Develop cybersecurity curricula 5.5.2 サイバーセキュリティのカリキュラムの開発
5.5.3 Stimulate capacity development and workforce training 5.5.3 能力開発と労働力訓練の活性化
5.5.4 Implement a coordinated cybersecurity awareness-raising programme 5.5.4 協調的なサイバーセキュリティ意識向上プログラムの実施
5.5.5 Foster cybersecurity innovation and R&D 5.5.5 サイバーセキュリティのイノベーションと研究開発を促進する
5.5.6 Tailor programmes for vulnerable sectors and groups 5.5.6 脆弱なセクターやグループのためのプログラムの調整
5.6 Focus area 6 - Legislation and regulation 5.6 重点分野6 - 立法と規制
5.6.1 Establish a domestic legal framework for cybersecurity 5.6.1 サイバーセキュリティに関する国内法的枠組みの確立
5.6.2 Establish a domestic legal framework on cybercrime and electronic evidence 5.6.2 サイバー犯罪及び電子証拠に関する国内法的枠組みの確立
5.6.3 Recognise and safeguard human rights and liberties 5.6.3 人権及び自由を認識し保護する。
5.6.4 Create compliance mechanisms 5.6.4 コンプライアンス・メカニズムの構築
5.6.5 Promote capacity-building for law enforcement 5.6.5 法執行機関のキャパシティ・ビルディングの促進
5.6.6 Establish inter-organisational processes 5.6.6 組織間のプロセスの確立
5.6.7 Support international cooperation to combat cyber threats and cybercrime 5.6.7 サイバー脅威及びサイバー犯罪と闘うための国際協力の支援
5.7 Focus area 7 - International cooperation 5.7 重点分野 7 - 国際協力
5.7.1 Recognise cybersecurity as a component of foreign policy and align domestic and international efforts 5.7.1 サイバーセキュリティを外交政策の一環として認識し、国内及び国際的な取り組みを調整する
5.7.2 Engage in international discussions and commit to implementation 5.7.2 国際的な議論に参加し、実施にコミットする
5.7.3 Promote formal and informal cooperation in cyberspace 5.7.3 サイバースペースにおける公式及び非公式の協力を促進する。
5.7.4 Promote capacity building for international cooperation 5.7.4 国際協力のための能力開発を促進する
6 Reference Materials 6 参考資料
 NCS Lifecycle  NCSのライフサイクル
 Initiation  開始
 Stocktaking and Analysis  ストックテーキングと分析
 Production  制作
 Implementation  実装
 Monitoring and Evaluation  モニタリングと評価
 Overarching Principles  基本的な考え方
 Vision  ビジョン
 Comprehensive approach and tailored priorities  包括的なアプローチと個別の優先事項
 Inclusiveness  包括性
 Economic and Social Prosperity  経済的・社会的繁栄
 Fundamental human rights  基本的人権
 Risk management and resilience  リスク管理とレジリエンス
 Appropriate set of policy instruments  適切な政策手段のセット
 Clear leadership, roles, and resource allocation  明確なリーダーシップ、役割、資源配分
 Trust environment  信頼できる環境
 Focus Areas  重点分野
 FA1 Governance  FA1 ガバナンス
 FA2 Risk management in national cybersecurity  FA2 国家のサイバーセキュリティにおけるリスク管理
 FA3 Preparedness and resilience  FA3 準備と回復力(Preparedness and resilience
 FA4 Critical Infrastructure services and essential services  FA4 重要インフラサービスと必須サービス
 FA5 Capability and capacity building and awareness raising  FA5 能力、キャパシティビルディング、意識向上
 FA6 Legislation and Regulation  FA6 立法と規制
 FA7 International Cooperation  FA7 国際協力
7 Acronyms 7 頭字語

 



■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

ロシア デジタル市場における公正な行動の原則を承認 by 連邦独占禁止局

こんにちは、丸山満彦です。

ロシアの連邦独占禁止局 (Федеральная антимонопольная служба: ФАС России) と大手IT企業間がデジタル市場の参加者間の交流原則に署名したようですね。。。デジタル市場の参加者が原則に基づいて、
自主的に、消費者、競合他社等との相互作用における不公正な慣行を防ぐことができる自主規制の制度を作成するということのようですね。。。

プラットフォーム事業者の自由な競争をロシアも考えているようですね。。。

Федеральная антимонопольная служба: ФАС России

・2022.02.17 ФАС И КРУПНЕЙШИЕ ИТ-КОМПАНИИ ПОДПИСАЛИ ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ УЧАСТНИКОВ ЦИФРОВЫХ РЫНКОВ

 

ФАС И КРУПНЕЙШИЕ ИТ-КОМПАНИИ ПОДПИСАЛИ ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ УЧАСТНИКОВ ЦИФРОВЫХ РЫНКОВ 連邦独占禁止局と大手IT企業、デジタル市場の参加者間の交流原則に署名
Подписание меморандума подтверждает намерение следовать правилам разумности и добросовестности, направленным на формирование открытых, прозрачных, недискриминационных условий для пользователей 覚書への署名は、ユーザーにとってオープンで透明性が高く、差別のない条件を整えることを目的とした、合理性と誠意のあるルールに従う意思を確認するものです。
Напомним, в конце 2021 года на площадке Экспертного совета при ФАС России по развитию конкуренции в области информационных технологий совместно с участниками рынка служба разработала и утвердила базовые принципы добросовестного поведения на цифровых рынках. 2021年末、連邦独占禁止局に設置された「情報技術分野における競争の発展のための専門家会議」のプラットフォーム上で、同サービスが市場参加者とともに、デジタル市場における良好な行動の基本原則を策定し、承認したことが想起される。
Сегодня меморандум о присоединении к ним подписали руководитель ФАС России Максим Шаскольский и представители компаний 1С, Авито, AliExpress Россия, Wildberries, VK, Lamoda, Ozon, Руссофт, Сбер, Циан, Яндекс и Ассоциации компаний интернет-торговли. 本日、連邦独占禁止局の責任者であるMaxim Shaskolsky氏と、1C、Avito、AliExpress Russia、Wildberries、VK、Lamoda、Ozon、Russoft、Sber、Cian、Yandex、Association of E-commerce企業の代表者との間で、順守覚書が締結されました。
Документ направлен на создание института саморегулирования, когда участники рынка добровольно, руководствуясь принципами, не осуществляют недобросовестных практик по отношению к потребителям, конкурентам и другим лицам. この文書は、市場参加者が自主的に、原則に導かれて、消費者や競合他社などに対して不公正な行為を行わないようにする、自己規制の制度を作ることを目的としています。
Так, разумная открытость цифровых платформ подразумевает, в частности, свободный доступ к информации о том, как происходит ранжирование результатов поиска. Принцип недопущения расширительных и двусмысленных формулировок в правилах работы цифровых платформ призван устранить непрозрачные правила в пользовательских соглашениях сервисов, позволяющие блокировать и удалять аккаунты без предупреждения. 例えば、デジタルプラットフォームの合理的なオープン性は、特に、検索結果の順位付けに関する情報への自由なアクセスを意味します。デジタルプラットフォームのルールにおいて、拡大的で曖昧な表現を避けるという原則は、警告なしにアカウントをブロックしたり削除したりすることを可能にする、サービスのユーザー契約における透明性のないルールを排除することを目的としています。
Кроме того, принципы фокусируются не только на рисках, связанных с конкуренцией, но и на защите прав потребителей. また、この原則は、競争リスクだけでなく、消費者保護にも焦点を当てています。
Принципы разработаны на базе практики ФАС России и антимонопольных органов других стран и учитывают весь спектр нарушений антимонопольного законодательства, выявленных или расследуемых в мире на настоящий момент. 本原則は、ロシア連邦独占禁止局および他国の独占禁止法当局の実務に基づいており、現在世界中で発見または調査されている独禁法違反の全容を考慮しています。
При этом фактическое применение антимонопольного законодательства в отношении антиконкурентных практик, расследуемых в России и в мире, в том числе со стороны цифровых платформ, остается важным аспектом регулирования цифровых рынков. ロシアや世界中で調査されている、デジタルプラットフォームを含む反競争的行為に競争法を実際に適用することは、デジタル市場の規制の重要な側面であることに変わりはありません。

 

Fig_20220221213401

原則

↓↓↓↓↓

 

Continue reading "ロシア デジタル市場における公正な行動の原則を承認 by 連邦独占禁止局"

| | Comments (0)

2022.02.21

金融庁 金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)

こんにちは、丸山満彦です。

金融庁が、金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)を発表していますね。。。過去は、2015年7月にVer. 1.0を策定、2018年10月にVer. 2.0にアップデートという感じです。。。

経済安全保障上の対応として、 「政府全体の取組みの中で、機器・システムの利用や業務委託等を通じたリスクについて適切に対応を行う」ということになっておりますね。。。

金融庁

・ 2022.02.18 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて(Ver. 3.0)

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 概要

 


新たな取組方針(以下、5項目)

1.モニタリング・演習の高度化

金融機関の規模・特性やサイバーセキュリティリスクに応じて、検査・モニタリングを実施し、サイバーセキュリティ管理態勢を検証する。

共通の課題や好事例については業界団体を通じて傘下金融機関に還元し、金融業界全体のサイバーセキュリティの高度化を促す。特に

  • 3メガバンクについては、サイバー攻撃の脅威動向の変化への対応や海外大手金融機関における先進事例を参考にしたサイバーセキュリティの高度化に着目しつつ、モニタリングを実施する

  • 地域金融機関については、サイバーセキュリティに関する自己評価ツールを整備し、各金融機関の自己評価結果を収集、分析、還元し、自律的なサイバーセキュリティの高度化を促す

  • サイバー演習については、引き続き、サイバー攻撃の脅威動向や他国の演習等を踏まえて高度化を図る

2.新たなリスクへの備え

キャッシュレス決済サービスの安全性を確保するため、リスクに見合った堅牢な認証方式の導入等を促す(セキュリティバイデザインの実践)

クラウドサービスの安全な利用に向けて、利用実態や安全対策の把握を進めるとともに、クラウドサービス事業者との対話も実施

3.サイバーセキュリティ確保に向けた組織全体での取組み

経営層の積極的な関与の下、組織全体でサイバーセキュリティの実効性の向上を促す(セキュリティ人材の育成も含む)

4.関係機関との連携強化

 サイバー攻撃等の情報収集・分析、金融犯罪の未然防止と被害拡大防止への対応を強化するため関係機関(NISC、警察庁、公安調査庁、金融ISAC、海外当局等)との連携を強化

5.経済安全保障上の対応

 政府全体の取組みの中で、機器・システムの利用や業務委託等を通じたリスクについて適切に対応を行う


 

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 本文

20220221-151340

 

目次は、、、

1.はじめに

2.現「取組方針(Ver. 2.0)」の進捗・評価
(1) デジタライゼーションの加速的な進展を踏まえた対応
(2) 国際的な議論への貢献・対応
(3) 東京大会への対応
(4) 金融機関のサイバーセキュリティ管理態勢の強化
(5) 情報共有の枠組みの実効性向上
(6) 金融分野の人材育成の強化

3.新たな「取組方針(Ver. 3.0)」
(1) モニタリング・演習の高度化
(2) 新たなリスクへの備え
(3) サイバーセキュリティ確保に向けた組織全体での取組み
(4) 関係機関との連携強化
(5) 経済安全保障上の対応

 


● 金融庁

Ver2.0

・2018.10.19 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 概要

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 本文

 

Ver1.0

・2015.07.02 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の公表について

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 概要

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 本文

| | Comments (0)

金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

こんにちは、丸山満彦です。

G20カ国等が参加する金融機関の団体である金融安定理事会 (Financial Stability Board: FSB) [wikipedia] が、「暗号資産による金融安定化リスクの評価 (Assessment of Risks to Financial Stability from Crypto-assets) 」を公表していますね。。。

Financial Stability Board: FSB

・2022.02.16 (press) FSB warns of emerging risks from crypto-assets to global financial stability

FSB warns of emerging risks from crypto-assets to global financial stability FSB、暗号資産が世界の金融安定に及ぼす新たなリスクを警告
Crypto-asset markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. This is the Financial Stability Board’s (FSB’s) updated assessment of risks to financial stability from crypto-assets, published today. 暗号資産市場は急速に進化しており、その規模、構造的な脆弱性、従来の金融システムとの相互接続性の高まりから、世界の金融安定に対する脅威となる可能性があります。これは、金融安定理事会(FSB)が本日発表した、暗号資産による金融安定へのリスクに関する最新の評価です。
The report examines developments and associated vulnerabilities relating to three segments of crypto-asset markets: unbacked crypto-assets (such as Bitcoin); stablecoins; and decentralised finance (DeFi) and crypto-asset trading platforms. It notes the close, complex and constantly evolving interrelationship between these three segments, which need to be considered holistically when assessing related financial stability risks. 本報告書では、暗号資産市場の3つのセグメント、すなわち、裏付けのない暗号資産(ビットコインなど)、ステーブルコイン、分散型金融(DeFi)および暗号資産取引プラットフォームに関する動向と関連する脆弱性を検証しています。報告書では、これら3つのセグメントの間には密接で複雑な相互関係があり、常に進化し続けていることを指摘し、金融安定化リスクを評価する際には全体的に考慮する必要があるとしています。
The report highlights a number of vulnerabilities associated with crypto-asset markets. These include increasing linkages between crypto-asset markets and the regulated financial system; liquidity mismatch, credit and operational risks that make stablecoins susceptible to sudden and disruptive runs on their reserves, with the potential to spill over to short-term funding markets; the increased use of leverage in investment strategies; concentration risk of trading platforms; and the opacity and lack of regulatory oversight of the sector. The report also notes wider public policy concerns related to crypto-assets, such as low levels of investor and consumer understanding of crypto-assets, money laundering, cyber-crime and ransomware.  報告書では、暗号資産市場に関連する多くの脆弱性を指摘しています。具体的には、暗号資産市場と規制対象の金融システムとの関連性の高まり、流動性のミスマッチ、信用リスク、オペレーショナルリスクにより、ステーブルコインは突然の破壊的な準備金の流出に見舞われやすく、短期資金調達市場にも波及する可能性があること、投資戦略におけるレバレッジの使用の増加、取引プラットフォームの集中リスク、このセクターの不透明性と規制当局の監督不足などが挙げられます。また、暗号資産、マネーロンダリング、サイバー犯罪、ランサムウェアに対する投資家や消費者の理解が低いことなど、暗号資産に関連する公共政策上の懸念も指摘しています。 
The report notes that financial stability risks could escalate rapidly and calls for timely and pre-emptive evaluation of possible policy responses. Currently, crypto-assets remain a small portion of overall global financial system assets and direct connections between crypto-assets and systemically important financial institutions and core financial markets, while growing rapidly, also remain limited. Nevertheless, the rapid evolution and international nature of crypto-asset markets raise the potential for regulatory gaps, fragmentation or arbitrage. 報告書では、金融安定化リスクが急速に拡大する可能性があることを指摘し、可能な政策対応をタイムリーかつ先制的に評価することを求めています。現在、世界の金融システム全体の資産に占める暗号資産の割合はまだ小さく、暗号資産とシステム上重要な金融機関や中核的な金融市場との直接的なつながりも、急速に拡大しているとはいえ、限定的なものにとどまっています。とはいえ、暗号資産市場の急速な発展と国際性は、規制のギャップ、断片化、裁定の可能性を高めています。
The FSB will continue to monitor developments and risks in crypto-asset markets. It will explore potential regulatory and supervisory implications of unbacked crypto-assets, including the actions FSB jurisdictions have taken, or plan to take, to address associated financial stability threats. The FSB will also continue to monitor and share information on regulatory and supervisory approaches to ensure effective implementation of its high-level recommendations for the regulation, supervision and oversight of so-called “global stablecoin” arrangements. FSBは、暗号資産市場の発展とリスクを引き続き監視します。FSBは、金融安定性への脅威に対処するためにFSB加盟国が講じた措置や計画している措置を含め、裏付けのない暗号資産の規制・監督上の潜在的な意味合いを探っていきます。また、FSBは、いわゆる「グローバル・ステーブルコイン」の規制・監督・監視に関するハイレベル勧告の効果的な実施を確保するため、規制・監督上のアプローチに関する情報の監視・共有を継続します。
Notes to editors 編集者への注意事項
In July 2018, the FSB published a monitoring framework which set out the transmission channels that the FSB would use to monitor the financial stability implications of crypto-asset markets as part of its ongoing assessment of vulnerabilities in the financial system. At that time, the FSB assessed that crypto-assets did not pose a material risk to global financial stability, but noted the need for vigilant monitoring in light of the speed of market developments. 2018年7月、FSBは、金融システムの脆弱性に関する継続的な評価の一環として、暗号資産市場の金融安定性への影響を監視するためにFSBが使用する伝達経路を定めたモニタリングフレームワークを発表しました。当時、FSBは、暗号資産が世界の金融安定性に重大なリスクをもたらすことはないと評価していたが、市場の発展の速さを考慮して慎重に監視する必要があると指摘していました。
In October 2020, the FSB published high-level recommendations for the effective regulation, supervision and oversight of “global stablecoin” arrangements. The recommendations were developed to support the implementation of a key building block of its roadmap to enhance cross-border payments. In October 2021, the FSB published a progress report which found that, overall, the implementation of the FSB high-level recommendations across jurisdictions is still at an early stage. The FSB will undertake a review of its recommendations in 2023, which will identify how any gaps could be addressed by existing frameworks and will lead to the update of the FSB’s recommendations if needed. 2020年10月、FSBは「グローバル・スタフコイン」アレンジメントの効果的な規制・監督・監視のためのハイレベル勧告を発表しました。この勧告は、国境を越えた決済を強化するためのロードマップの重要な構成要素の実施を支援するために作成されました。2021年10月、FSBは進捗報告書を発表しましたが、それによると、全体的に見て、FSBのハイレベル勧告の各国での実施はまだ初期段階にあります。FSBは、2023年に勧告の見直しを行う予定で、既存の枠組みでどのようにギャップに対応できるかを確認し、必要に応じてFSBの勧告を更新することになります。

 

・2022.02.16 Assessment of Risks to Financial Stability from Crypto-assets

Assessment of Risks to Financial Stability from Crypto-assets 暗号資産がもたらす金融安定性へのリスクの評価
Crypto-asset markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. 暗号資産市場は急速に発展しており、その規模、構造的な脆弱性、伝統的な金融システムとの相互接続性の高まりから、世界の金融安定に対する脅威となる段階に到達する可能性があります。
This report examines developments and associated vulnerabilities relating to three segments of the crypto-asset markets: unbacked crypto-assets (such as Bitcoin); stablecoins; and decentralised finance (DeFi) and other platforms on which crypto-assets trade. These three segments are closely interrelated in a complex and constantly evolving ecosystem and need to be considered holistically when assessing related financial stability risks. The report notes that although the extent and nature of use of crypto-assets varies somewhat across jurisdictions, financial stability risks could rapidly escalate, underscoring the need for timely and pre-emptive evaluation of possible policy responses. 本レポートでは、暗号資産市場の3つのセグメント、すなわち、裏付けのない暗号資産(ビットコインなど)、ステーブルコイン、分散型金融(DeFi)および暗号資産を取引するその他のプラットフォームに関する発展と関連する脆弱性を検証します。これら3つのセグメントは、複雑で常に進化し続けるエコシステムの中で密接に関連しており、金融安定化リスクを評価する際には全体的に考慮する必要があります。本報告書では、暗号資産の使用範囲や性質は国や地域によって多少異なるものの、金融安定リスクは急速に拡大する可能性があり、可能な政策対応をタイムリーかつ先制的に評価する必要性があると指摘しています。
Crypto-asset market capitalisation grew by 3.5 times in 2021 to $2.6 trillion, yet crypto-assets remain a small portion of overall global financial system assets. Direct connections between crypto-assets and systemically important financial institutions and core financial markets, while growing rapidly, are limited at the present time. Nevertheless, institutional involvement in crypto-asset markets, both as investors and service providers, has grown over the last year, albeit from a low base. If the current trajectory of growth in scale and interconnectedness of crypto-assets to these institutions were to continue, this could have implications for global financial stability. 暗号資産の時価総額は2021年に3.5倍の2.6兆ドルに達したが、世界の金融システム資産全体に占める暗号資産の割合はまだ小さいままです。暗号資産とシステム上重要な金融機関や中核金融市場との直接的なつながりは、急速に拡大しているとはいえ、現時点では限定的です。とはいえ、投資家としてもサービスプロバイダーとしても、機関投資家の暗号資産市場への関与は、低い水準からとはいえ、昨年から増加しています。これらの機関に対する暗号資産の規模と相互接続性の拡大という現在の軌道が続くとすれば、これは世界の金融安定性に影響を与える可能性があります。
DeFi has recently become a fast-emerging sector, providing financial services using both unbacked crypto-assets and stablecoins. Moreover, a relatively small number of crypto-asset trading platforms aggregate multiple types of services and activities, including lending and custody. Some of these platforms operate outside of a jurisdiction’s regulatory perimeter or are not in compliance with applicable laws and regulations. This presents the potential for concentration of risks, and underscores the lack of transparency on their activities. DeFiは最近、急成長している分野であり、裏付けのない暗号資産と安定したコインの両方を使って金融サービスを提供しています。さらに、比較的少数の暗号資産取引プラットフォームでは、貸付やカストディなど、複数の種類のサービスや活動が集約されています。これらのプラットフォームの中には、法域の規制境界外で運営されているものや、適用される法律や規制に準拠していないものがあります。これにより、リスクが集中する可能性があり、また、プラットフォームの活動に関する透明性が欠如していることが明らかになりました。
Charts are hoverable and filterable チャートはホバーリングとフィルタリングが可能
Partly due to the emergence of DeFi, stablecoin growth has continued, despite concerns about regulatory compliance, quality and sufficiency of reserve assets, and standards of risk management and governance. At present, stablecoins are used mainly as a bridge between traditional fiat currencies and crypto-assets, which has implications for the stability and functioning of crypto-asset markets. Were a major stablecoin to fail, it is possible that liquidity within the broader crypto-asset ecosystem (including in DeFi) could become constrained, disrupting trading and potentially causing stress in those markets. This could also spill over to short-term funding markets if stablecoin reserve holdings were liquidated in a disorderly fashion. DeFiが登場したこともあり、規制の遵守、準備資産の質と量、リスク管理とガバナンスの基準についての懸念にもかかわらず、ステーブルコインの成長は続いています。現在、ステーブルコインは主に伝統的な不換通貨と暗号資産の橋渡しとして利用されており、暗号資産市場の安定性と機能に影響を与えています。大手ステーブルコインが破綻すると、(DeFiを含む)広範な暗号資産エコシステム内の流動性が制約され、取引に支障をきたし、これらの市場にストレスをもたらす可能性があります。また、ステーブルコインの準備金が無秩序に清算された場合、短期資金市場にも波及する可能性があります。
The report highlights a number of vulnerabilities associated with crypto-asset markets. These include increasing linkages between crypto-asset markets and the regulated financial system; liquidity mismatch, credit and operational risks that make stablecoins susceptible to sudden and disruptive runs on their reserves, with the potential to spill over to short term funding markets; the increased use of leverage in investment strategies; concentration risk of trading platforms; and the opacity and lack of regulatory oversight of the sector. The report also notes wider public policy concerns related to crypto-assets, such as low levels of investor and consumer understanding of crypto-assets, money laundering, cyber-crime and ransomware.  本報告書では、暗号資産市場に関連する多くの脆弱性を指摘しています。具体的には、暗号資産市場と規制された金融システムとの結びつきの強まり、流動性のミスマッチ、信用リスク、オペレーショナルリスクなどにより、ステーブルコインは突然の破壊的な準備金の取り崩しの影響を受けやすく、それが短期資金市場に波及する可能性があること、投資戦略におけるレバレッジの使用の増加、取引プラットフォームの集中リスク、このセクターの不透明性と規制による監視の欠如などが挙げられます。また、本報告書では、暗号資産、マネーロンダリング、サイバー犯罪、ランサムウェアに対する投資家や消費者の理解が低いことなど、暗号資産に関連する公共政策上の懸念についても言及しています。 
The FSB will continue to monitor developments and risks in crypto-asset markets. It will explore potential regulatory and supervisory implications of unbacked crypto-assets, including the actions FSB jurisdictions have taken, or plan to take, to address associated financial stability threats. The FSB will also continue to monitor and share information on regulatory and supervisory approaches to ensure effective implementation of its high-level recommendations for the regulation, supervision and oversight of so-called “global stablecoin” arrangements. FSBは、暗号資産市場の発展とリスクを引き続き監視していきます。FSBは、金融安定性への脅威に対処するためにFSB加盟国がとった措置、またはとる予定の措置を含め、裏付けのない暗号資産の規制・監督上の潜在的な影響を探っていきます。また、FSBは、いわゆる「グローバル・ステーブルコイン」の規制・監督・監視に関するハイレベル勧告の効果的な実施を確保するため、規制・監督上のアプローチに関する情報の監視・共有を継続します。

 

・[PDF

20220221-23322

 

Table of Contents 目次
Executive summary エグゼクティブサマリー
1. Introduction 1. はじめに
2. Vulnerabilities concerning unbacked crypto-assets 2. 裏付けのない暗号資産に関する脆弱性
2.1. Financial sector exposures 2.1. 金融セクターのエクスポージャー
2.2. Wealth effects 2.2. 富の影響
2.3. Confidence effects 2.3. 信頼感の影響
2.4. Use in payments and settlement 2.4. 支払いや決済での利用
3. Vulnerabilities concerning stablecoins 3. ステーブルコインの脆弱性
3.1. Financial sector exposures 3.1. 金融セクターのエクスポージャー
3.2. Wealth effects 3.2. 富裕層への影響
3.3. Confidence effects 3.3. 信頼感の影響
3.4. Use in payments and settlement 3.4. 支払いや決済での使用
3.5. Potential future global stablecoins 3.5. 将来のグローバルステーブルコインの可能性
4. Decentralised Finance (DeFi) and Crypto-asset Trading Platforms 4. 分散型金融(DeFi)と暗号資産取引プラットフォーム
5. Data gaps 5. データのギャップ
6. Conclusion and next steps 6. 結論と次のステップ
Annex 1: Available metrics and data gaps when evaluating financial stability risks from crypto-assets . 附属書1:暗号資産による金融安定化リスクを評価する際の利用可能な指標とデータギャップ .
Annex 2: Glossary 附属書2:用語集

 

エグゼクティブサマリーでも...

Executive summary  エグゼクティブサマリー
Crypto-assets markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. The rapid evolution and international nature of these markets also raise the potential for regulatory gaps, fragmentation or arbitrage. Although the extent and nature of use of crypto-assets varies somewhat across jurisdictions, financial stability risks could rapidly escalate, underscoring the need for timely and pre-emptive evaluation of possible policy responses.   暗号資産市場は急速に進化しており、その規模、構造的な脆弱性、従来の金融システムとの相互接続性の高まりから、世界の金融安定に対する脅威となる可能性があります。また、これらの市場の急速な進化と国際性は、規制のギャップ、断片化、裁定の可能性を高めます。暗号資産の使用範囲や性質は国や地域によって多少異なりますが、金融安定リスクは急速に拡大する可能性があり、可能な政策対応をタイムリーかつ先制的に評価する必要性が高まっています。 
Crypto-asset market capitalisation grew by 3.5 times in 2021 to $2.6 trillion, yet crypto-assets remain a small portion of overall global financial system assets. Direct connections between crypto-assets and systemically important financial institutions and core financial markets, while growing rapidly, are limited at the present time. Episodes of price volatility have, so far, been contained within crypto-asset markets and have not spilled over to financial markets and infrastructures. Moreover, currently crypto-assets are not widely used in critical financial services (including payments) on which the real economy depends. However, it is challenging to assess inflection points given the rapid evolution of these markets and the significant data gaps that impede authorities’ risk assessments. These gaps stem, in part, from the fact that participants, products and markets, including crypto-asset trading and lending platforms, fall outside the regulatory perimeter and the associated reporting requirements or, in some cases, may be failing to comply with applicable laws and regulations. These data gaps make it difficult to assess the full scope of crypto-assets’ use in the financial system.  暗号資産の時価総額は2021年に3.5倍の2.6兆ドルに達したが、世界の金融システム資産全体に占める暗号資産の割合はまだ小さいままです。暗号資産とシステム上重要な金融機関や中核金融市場との直接的なつながりは、急速に拡大しているとはいえ、現時点では限定的です。価格変動のエピソードは、これまでのところ、暗号資産市場内に収まっており、金融市場やインフラに波及していません。また、現在のところ、実体経済が依存している重要な金融サービス(決済を含む)では、暗号資産はあまり使用されていません。しかし、これらの市場は急速に進化しており、当局のリスク評価を妨げる重大なデータギャップがあるため、変曲点を評価することは困難です。このようなギャップは、暗号資産の取引・貸付プラットフォームを含む参加者、商品、市場が、規制の対象外であり、関連する報告義務がないことや、場合によっては適用される法律や規制を遵守していない可能性があることに起因しています。このようなデータギャップがあるため、金融システムにおける暗号資産の利用範囲を完全に評価することは困難です。
Institutional involvement in crypto-asset markets, both as investors and service providers, has grown over the last year, albeit from a low base. Systemically important banks and other financial institutions are increasingly willing to undertake activities in, and gain exposures to, cryptoassets. The prevalence of more complex investment strategies, including through derivatives and other leveraged products that reference crypto-assets, also has increased. If the current trajectory of growth in scale and interconnectedness of crypto-assets to these institutions were to continue, this could have implications for global financial stability.   暗号資産市場への機関投資家の参加は、投資家としてもサービスプロバイダーとしても、低い水準からではありますが、昨年から増加しています。システム上重要な銀行やその他の金融機関は、暗号資産に対する活動を積極的に行い、エクスポージャーを得る傾向が強まっています。また、暗号資産を参照するデリバティブやその他のレバレッジ商品など、より複雑な投資戦略が普及しています。これらの機関における暗号資産の規模拡大と相互関連性の現在の軌道が継続する場合、世界の金融安定性に影響を及ぼす可能性があります。 
There are also vulnerabilities that could undermine the integrity and functioning of crypto-asset markets. These include low levels of investor and consumer understanding of crypto-assets including costs, fees, conflicts of interest and lack of redress and/or recovery and resolution mechanisms, and uncertainties around the operational resilience of some crypto-asset focused institutions. It is possible, given the public prominence of crypto-assets and crypto-asset trading platforms, the rapidly growing retail investor adoption, and the use of leverage that any loss of confidence in crypto-assets could have implications that exceed those commensurate to the actual magnitude and direct financial interconnectedness of crypto-asset markets. Additional vulnerabilities may arise from the environmental impact of energy intensive consensus mechanisms used for certain crypto-assets. There are also wider public policy issues related to crypto-assets beyond the FSB’s remit that have important implications, such as the use of cryptoassets in the context of money laundering, cyber-crime and ransomware.  また、暗号資産市場の健全性と機能を損なう可能性のある脆弱性も存在します。これには、コスト、手数料、利益相反、救済および/または回復・解決メカニズ ムの欠如など、投資家および消費者の暗号資産に対する理解の低さ、および一部の 暗号資産を扱う機関の運用回復力に関する不確実性が含まれる。暗号資産および暗号資産取引プラットフォームが世間で注目されていること、個人投資家の導入が急速に進んでいること、およびレバレッジを使用していることから、暗号資産に対する信頼が失われると、暗号資産市場の実際の規模や直接的な金融的相互関係に見合う以上の影響が出る可能性があります。また、特定の暗号資産に使用されるエネルギー集約型のコンセンサス・メカニズムが環境に与える影響から、さらなる脆弱性が生じる可能性もあります。また、マネーロンダリング、サイバー犯罪、ランサムウェアなどの文脈でのクリプトアセットの使用など、重要な意味を持つFSBの管轄外のクリプトアセットに関連する幅広い公共政策の問題もあります。
The report examines developments and associated vulnerabilities relating to three segments of the crypto-asset markets: unbacked crypto-assets (such as Bitcoin); stablecoins; and decentralised finance (DeFi) and crypto-asset trading platforms. These three segments are closely interrelated in a complex and constantly evolving ecosystem, and need to be considered holistically when assessing related financial stability risks.     本報告書では、暗号資産市場の3つのセグメント、すなわち、裏付けのない暗号資産(ビットコインなど)、ステーブルコイン、分散型金融(DeFi)および暗号資産取引プラットフォームに関する動向と関連する脆弱性を検証しています。これら3つのセグメントは、複雑で常に進化し続けるエコシステムの中で密接に関連しており、金融安定化リスクを評価する際には全体的に考慮する必要があります。   
DeFi has recently become a fast-emerging sector, providing financial services using both unbacked crypto-assets and stablecoins. In part because of the emergence of DeFi, stablecoins issuers have experienced considerable growth and their reserve assets may make them significant holders of short-term debt instruments. The structure of stablecoins means they are exposed to liquidity mismatch, credit and operational risks, which makes them susceptible to sudden and disruptive runs on their reserves. Moreover, a relatively small number of cryptoasset trading platforms that aggregate multiple types of services and activities, including lending and custody, account for the majority of crypto-assets traded. Some of these platforms operate outside of a jurisdiction’s regulatory perimeter or are not in compliance with applicable laws and regulations. This presents the potential for concentration of risks, as well as underscores the lack of transparency on their activities.   DeFiは最近急成長している分野で、裏付けのない暗号資産とステーブルコインの両方を使って金融サービスを提供しています。DeFiの出現もあって、ステーブルコインの発行者はかなりの成長を遂げており、その準備資産によって短期債務証書の重要な保有者となっている可能性があります。ステーブルコインの構造は、ステーブルコインが流動性のミスマッチ、信用リスク、運用リスクにさらされていることを意味し、突然の破壊的な準備金の流出の影響を受けやすくなっています。さらに、貸し出しやカストディなど複数の種類のサービスや活動を集約した比較的少数の暗号資産取引プラットフォームが、取引される暗号資産の大半を占めています。これらのプラットフォームの中には、法域の規制境界外で運営されているものや、適用される法律や規制に準拠していないものがあります。そのため、リスクが集中する可能性があり、また、活動の透明性が低いことが明らかになっています。 
Stablecoin growth has continued, despite concerns about regulatory compliance, quality and sufficiency of reserve assets, and standards of risk management and governance. At present, stablecoins are used mainly as a bridge between traditional fiat currencies and crypto-assets, which has implications for the stability and functioning of crypto-asset markets. Were a major stablecoin to fail, it is possible that liquidity within the broader crypto-asset ecosystem (including in DeFi) could become constrained, disrupting trading and potentially causing stress in those markets. This could also spill over to short-term funding markets if stablecoin reserve holdings were liquidated in a disorderly fashion.  ステーブルコインの成長は、規制の遵守、準備資産の質と充足、リスク管理とガバナンスの基準に関する懸念にもかかわらず続いています。現在、ステーブルコインは主に伝統的な不換通貨と暗号資産の間の橋渡しとして使用されていますが、これは暗号資産市場の安定性と機能性に影響を与えます。大手ステーブルコインが破綻すると、(DeFiを含む)広範な暗号資産エコシステム内の流動性が制約され、取引に支障をきたし、これらの市場にストレスをもたらす可能性があります。また、ステーブルコインの積立金が無秩序に清算された場合、短期資金市場にも波及する可能性があります。
The FSB and other standard-setting bodies are already working to address threats associated with so-called “global stablecoins”. The FSB will continue to monitor developments and risks in crypto-asset markets, based on the framework published in 2018. In 2022, the FSB will also explore potential regulatory and supervisory implications of unbacked crypto-assets, including the types of actions FSB member jurisdictions have taken, or plan to take, to address any associated financial stability threats. Examining the regulatory gaps and challenges that may exist, including those that arise from the cross-border and cross-sectoral nature of crypto-assets, will be a key element of this work. The FSB will also continue to monitor and share information on regulatory and supervisory approaches to ensure the effective implementation of its highlevel recommendations for the regulation, supervision and oversight of “global stablecoin” arrangements.  FSBや他の基準設定機関は、いわゆる「グローバル・ステーブルコイン」に関連する脅威に対処するためにすでに取り組んでいます。FSBは、2018年に発表したフレームワークに基づいて、暗号資産市場の発展とリスクを引き続き監視していきます。2022年には、FSBは、関連する金融安定性の脅威に対処するためにFSBメンバー国がとった、またはとる予定の行動の種類など、裏付けのない暗号資産の規制・監督上の潜在的な影響についても調査します。この作業では、暗号資産のクロスボーダーおよびクロスセクターの性質に起因するものを含め、存在する可能性のある規制上のギャップや課題を検討することが重要な要素となる。また、FSBは、「グローバル・ステーブルコイン」アレンジメントの規制・監督・監視に関するハイレベル勧告の効果的な実施を確保するために、規制・監督上のアプローチに関する情報を引き続き監視・共有していきます。

 

Video

・2022.02.18 Crypto assets and financial stability

・[YouTube

| | Comments (0)

総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

こんにちは、丸山満彦です。

総務省と経済産業省が、「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定したと発表していますね。。。

改訂ポイントは、


「3.経営者が取り組むべき三要件」、「4.プライバシーガバナンスの重要項目」及び「5.(参考)プライバシーリスク対応の考え方」
における事例の追加 ※ver.1.1 公表後の企業におけるプライバシーガバナンスの実践状況を踏まえ、参考となるべき事例を充実させるための更新を実施。
 個人情報保護法改正等を踏まえた既存表現の見直し
 参考文献の更新


ということのようで、

~トヨタ自動車・ヤフー・セーフィー・NEC・資生堂・JCBなど、プライバシーガバナンス実践企業の具体例を追加!~」

ということのようです。。。

 

総務省

・2022.02.18「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

・[PDF] 別紙1 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」

20220220-233801

・[PDF] 別紙2 「DX時代における企業のプライバシーガバナンスガイドブックver1.2概要」

20220220-234419

 

・[PDF] 別紙3 DX時代における企業のプライバシーガバナンスガイドブックver1.1とver1.2の更新点

 

● 経済産業省

・2022.02.18 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

・[PDF] 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」

・[PDF] 「DX時代における企業のプライバシーガバナンスガイドブックver1.2概要」

・[PDF] DX時代における企業のプライバシーガバナンスガイドブックver1.1とver1.2の更新点

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.21 総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました

・2020.08.29 総務省・経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表

・2020.07.30 経済産業省 パブコメ 「DX企業のプライバシーガバナンスガイドブックver1.0(案)」

| | Comments (0)

2022.02.20

米国 CISA 無料のサイバーセキュリティサービスとツールのカタログページを公開...

こんにちは、丸山満彦です。

CISAが無料のサイバーセキュリティサービスとツールのカタログページを公開していますね。。。予防、検知、対応、回復に分けてツールを表形式で載せています。。。

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY: CISA

・2022.02.18 (press) CISA LAUNCHES NEW CATALOG OF FREE PUBLIC AND PRIVATE SECTOR CYBERSECURITY SERVICES

CISA LAUNCHES NEW CATALOG OF FREE PUBLIC AND PRIVATE SECTOR CYBERSECURITY SERVICES CISA、官民のサイバーセキュリティ・サービスを無料で提供する新カタログを発表

Organizations working to build on their foundational security and resilience programs are encouraged to review this new resource

基礎的なセキュリティおよびレジリエンスプログラムの構築に取り組んでいる組織は、この新しいリソースを確認することが推奨されます。
WASHINGTON – The  Cybersecurity and Infrastructure Security Agency (CISA) published the “Free Cybersecurity Services and Tools” webpage intended to be a one-stop resource where organizations of all sizes can find free public and private sector resources to reduce their cybersecurity risk. The catalog published today is a starting point. Going forward, CISA will incorporate other free services into the catalog.   ワシントン - サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、あらゆる規模の組織がサイバーセキュリティのリスクを低減するための無料の公的・民間セクターのリソースを見つけることができるワンストップリソースとなることを目的とした「無料のサイバーセキュリティサービスとツール」ウェブページを公開しました。 本日公開されたカタログは、その出発点となるものです。 今後、CISAは他の無料サービスをカタログに組み込んでいく予定です。  
 The initial list includes services and tools from CISA, open source community, and private and public sector organizations across the cybersecurity community including  Joint Cyber Defense Collaborative (JCDC) partners. The list is organized to align with CISA’s recent advisory on:     最初のリストには、CISA、オープンソース・コミュニティ、およびJCDC(Joint Cyber Defense Collaborative)パートナーを含むサイバーセキュリティ・コミュニティ全体の民間および公的機関が提供するサービスやツールが含まれています。 このリストは、CISAの最近の諮問事項に沿って構成されています。   
Reducing the likelihood of a damaging cyber incident, including by preventing devices from connecting to malicious sites and scanning for security weaknesses and vulnerabilities, etc.    デバイスが悪意のあるサイトに接続するのを防ぎ、セキュリティ上の弱点や脆弱性などをスキャンすることなどにより、被害を及ぼすサイバーインシデントの可能性を低減すること。   
Detecting malicious activity quickly, including by deploying network intrusion detection and prevention, undertaking penetration testing, and improving endpoint detections.   ネットワーク侵入検知・防止システムの導入、ペネトレーションテストの実施、エンドポイント検知機能の改善などによる、悪意のある行為の迅速な検知。  
Responding effectively to confirmed incidents, including through collection and analysis of malware and other artifacts.  確認されたインシデントへの効果的な対応(マルウェアやその他のアーティファクトの収集と分析を含む 
Maximizing resilience, including by automating system backups and enhancing threat modeling.  システムバックアップの自動化や脅威モデルの強化など、回復力の最大化。 
 “CISA is super proud to announce the start of a new catalog of free resources available to those critical infrastructure owners and operators who would benefit from tools to help their security and resilience,” said CISA Director Jen Easterly. “Many organizations, both public and private, are target rich and resource poor. The resources on this list will help such organizations improve their security posture, which is particularly critical in the current heightened threat environment. This initial catalog will grow and mature as we include additional free tools from other partners.”    CISAのディレクターであるジェン・イースタリー氏は、「CISAは、重要インフラの所有者や運営者がセキュリティや回復力を高めるためのツールを利用する際に、無料で利用できるリソースのカタログを新たに開始したことを大変誇りに思っています。官民を問わず、多くの組織は対象が多くあるのに対して、リソースが不足しています。このリストに掲載されているリソースは、そのような組織のセキュリティ態勢の改善に役立ち、現在の脅威の高まりの中では特に重要なものです。 この最初のカタログは、他のパートナーが提供する無料のツールを追加することで、成長していきます」と述べています。  
 It is imperative that the public and private sector collectively work together to promote basic cybersecurity practices and help organizations of all sizes reduce their cybersecurity risk. In addition to the services and tools offered in this new resource, CISA also provides certain measures that should be taken to establish a foundational cybersecurity program such as:   官民一体となって基本的なサイバーセキュリティ対策を推進し、あらゆる規模の組織がサイバーセキュリティのリスクを低減できるよう支援することが不可欠です。 この新しいリソースで提供されるサービスやツールに加えて、CISAは、基礎的なサイバーセキュリティプログラムを確立するために取るべき、以下のような一定の対策を提示しています。 
・Fix the known exploited security flaws in software;   ・ソフトウェアに存在する既知のセキュリティ上の欠陥を修正する。  
・Implement multifactor authentication;   ・多要素認証を導入する。  
・Stop bad practices that are exceptionally risky;   ・例外的にリスクの高いバッドプラクティスを止める。  
・Reduce Internet attack surfaces and get your Stuff off Search; and   ・インターネット上の攻撃対象を減らし、スタッフを検索から外す。  
・Sign up for CISA’s cyber hygiene vulnerability scanning.   ・CISAのサイバー・ハイジーンによる脆弱性スキャンに申し込む。  
For more information, visit the Free Cybersecurity Services and Tools webpage .   詳細については、「無料のサイバーセキュリティ・サービスおよびツール」のウェブページをご覧ください。  
As a reminder, CISA encourages all organizations to review our new Shields Up webpage to find recommended actions on protecting their most critical assets.   なお、CISAは、すべての組織に対し、最も重要な資産を保護するために推奨される行動を確認するため、新しいShields Upのウェブページを確認することを推奨します。  

 

実際のカタログはこちら。。。

FREE CYBERSECURITY SERVICES AND TOOLS

予防、検知、対応、回復にわけてツール等が紹介されています。。。

Reducing the Likelihood of a Damaging Cyber Incident 被害をもたらすサイバーインシデントの可能性を減らすために
Take Steps to Quickly Detect a Potential Intrusion 侵入の可能性を迅速に検知するための対策
Ensure That The Organization is Prepared to Respond if an Intrusion Occurs 不正アクセスが発生した場合の組織の対応準備の確保
Maximize the Organization's Resilience to a Destructive Cyber Incident 破壊的なサイバー・インシデントに対する組織の回復力を最大限に高める

 

シールドアップのページ

Shields Up

 

 

Fig1_20210731004501

 

 

| | Comments (0)

中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

こんにちは、丸山満彦です。

このブログでも触れていますが、、、中国サイバースペース管理局が2021年12月28日にネットワークセキュリティ審査弁法が改定発行されましたが、つい先日の2022年2月15日に予定通り施行されましたね。。。

それについての2つの専門家の意見が、「国家互联网信息办公室(国家サイバースペース管理局)」のウェブページに掲載されていました・・・

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.02.17 专家解读|《网络安全审查办法》正式实施 企业赴国外上市融资应守住国家安全底线 専門家の解釈|「ネットワークセキュリティ審査弁法」の正式施行 上場や資金調達のために海外に進出する企業は、国家安全保障の底辺を守るべき
2022.02.17 专家解读|新版《网络安全审查办法》有力夯实国家数据安全保障基石
専門家の解釈|新「ネットワークセキュリティ審査弁法」による国家データセキュリティ保護の基礎の強化

 

专家解读|《网络安全审查办法》正式实施 企业赴国外上市融资应守住国家安全底线 専門家の解釈|「ネットワークセキュリティ審査弁法」の正式施行 上場や資金調達のために海外に進出する企業は、国家安全保障の底辺を守るべき
2月15日,国家互联网信息办公室、国家发展和改革委员会等十三部门联合发布的《网络安全审查办法》(以下简称《办法》)正式实施。《办法》第七条明确要求,掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报审查。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口,开始接收网络平台运营者赴国外上市的审查申报 2月15日、国家インターネット情報局、国家発展改革委員会など13の部門が共同で発表した「ネットワークセキュリティ審査弁法」(以下、弁法)が施行されました。 措置の第7条では、100万人以上のユーザーの個人情報を保有するネットワークプラットフォームの事業者が海外で公開する場合、審査を申告することが明確に定められています。 中国ネットワークセキュリティ検閲技術・認証センターは、ネットワークセキュリティ検閲相談窓口を設置し、ネットワークプラットフォーム事業者が海外に上場する際の検閲申告書の受付を開始しました。
一、上市审查申报要求 1. 上場審査と宣言の要件
《办法》修订后扩大了网络安全审查的覆盖范围,掌握超过100万用户个人信息的网络平台运营者赴国外上市前必须申报审查。运营者应该申报审查而未申报,应承担相应法律责任。值得注意的是,《办法》规定的审查申报条件为“赴国外上市”,但是这不意味着运营者赴香港上市过程中可以忽视相应的网络安全、数据安全和国家安全风险。根据《办法》第十六条,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序进行审查。 改正後の弁法では、ネットワークセキュリティ審査の対象が拡大され、100万人以上のユーザーの個人情報を持つネットワークプラットフォームの事業者は、海外に上場する前に審査を申告しなければならないことになりました。 レビューを宣言すべきであるにもかかわらず、それを行わなかった事業者は、それに応じた法的責任を負うことになります。 本弁法に基づく審査・申告の条件は「海外での上場」であることは注目に値しますが、これは事業者が香港での上場過程において、対応するネットワークセキュリティ、データセキュリティ、国家安全保障上のリスクを無視できることを意味するものではありません。 弁法第16条によると、ネットワークセキュリティ審査機構のメンバーが国家安全保障に影響を与える、または影響を与える可能性があると判断したネットワーク製品・サービスおよびデータ処理活動は、ネットワークセキュリティ審査室が手順に従って審査を行います。
对于《办法》实施前已经在国外上市的运营者,不需要申报审查。但是,对于已上市企业赴国外进行二次上市、双重主要上市等情况,属于新发起的“国外上市”活动,符合申报要求的应主动申报审查。 本弁法の実施前に海外で上場していた事業者については、レビューの申告は必要ありません。 ただし、上場企業が二次上場や二重一次上場などのために海外に進出する場合は、新たに開始された「海外上場」活動に属するため、申告要件を満たしている場合は、率先して審査を申告する必要があります。
二、上市审查申报时机 2. 上場審査のための宣言のタイミング
根据《办法》第八条要求,运营者申报网络安全审查除需提交申报书和分析报告外,还应提交首次公开募股(IPO)等上市申请文件。在国家互联网信息办公室有关负责人回答“何时申报赴国外上市网络安全审查”问题的答复中,明确应当在向国外证券监管机构提出上市申请之前申报审查。综合以上信息,赴国外上市审查的申报时机,应为已准备好相应上市申请文件后,向国外提交上市申请文件前。对于《办法》实施前,已经向外国证券监管机构提交过上市申请文件但尚未完成上市的运营者,如掌握超过100万用户个人信息,也应在上市前主动申报审查。 本弁法第8条の要件によると、事業者は、サイバーセキュリティ審査のための申告書や分析報告書に加えて、新規株式公開(IPO)などの上場申請書類を提出する必要があります。国家インターネット情報局の関連担当者による「海外上場のためのネットワークセキュリティ審査をいつ申告するか」という質問への回答では、海外の証券規制当局に上場申請を提出する前に審査を申告すべきであることが明らかにされています。 以上の情報から、海外での上場審査を報告するタイミングは、対応する上場申請書類を作成した後、上場申請書類を海外に提出する前であることが望ましいと考えられます。 また、本施策の実施前に外国の証券当局に上場申請書類を提出したものの、まだ上場が完了していない事業者については、100万人以上のユーザーの個人情報を保有している場合には、上場前に率先して申告して審査を受ける必要があります。
三、上市审查申报主体 3. 上場審査で申告すべき対象
申报赴国外上市网络安全审查的主体,应是在中国境内注册的网络平台运营者实体。对于搭建海外上市架构的企业,申报主体应为负责实际业务运营的境内运营实体,即通过网络收集、存储、使用、处理数据的运营者实体。这里需要说明,《办法》规定的运营者赴国外上市方式不限于首次公开募股(IPO)一种,特殊目的公司并购(SPAC)、反向收购(RTO)、直接上市(DPO)等方式的上市也在审查范围内。 外資系上場企業のサイバーセキュリティ審査の対象となるのは、中国でオンラインプラットフォーム事業者として登録されている企業であること。 海外に上場構造を構築している企業の場合、申告対象となるのは、実際の事業運営に責任を持つ国内の事業体、すなわち、ネットワークを通じてデータを収集、保存、使用、処理する事業体です。 ここで注意すべきは、本弁法による海外事業者の上場は、新規株式公開(IPO)に限らず、特別目的会社の合併買収(SPAC)、逆買収(RTO)、直接上場(DPO)などの方法もあるということです。
网络安全审查属于国家安全审查范畴,对网络平台运营者赴国外上市开展审查,是维护国家安全的重要手段,也是促进平台经济稳定健康发展的客观需要。国家鼓励网络平台运营者基于业务发展需要进行融资、上市等活动。运营者在发展过程中应重视网络安全、数据安全风险的防范,牢牢守住国家安全底线,坚持合规经营,坚持安全和发展并重,让安全成为保证企业持续发展的驱动力。 ネットワークセキュリティ審査は、国家安全保障審査の範囲に該当し、海外のネットワークプラットフォーム事業者の上場審査は、国家安全保障を維持するための重要な手段であり、プラットフォーム経済の安定的かつ健全な発展を促進するための客観的な必要性があります。 国は、ネットワークプラットフォーム事業者が事業発展のニーズに基づいて、資金調達や上場活動を行うことを奨励しています。 事業者は、開発プロセスにおけるネットワーク・セキュリティとデータ・セキュリティ・リスクの防止に注意を払い、国家安全保障のボトムラインをしっかりと守り、コンプライアンスを遵守した運用を行い、セキュリティと開発を両立させ、セキュリティを企業の持続的な発展のための原動力としなければならない。
(作者:齐越,中国网络安全审查技术与认证中心)  (著者:Qi Yue, China Network Security Review Technology and Certification Centre)
专家解读|新版《网络安全审查办法》有力夯实国家数据安全保障基石 専門家の解釈|新「ネットワークセキュリティ審査弁法」による国家データセキュリティ保護の基礎の強化

当前,数据作为国家新型生产要素和基础战略资源的代表,数据安全已成为保障网络强国建设、护航数字经济发展的安全基石。2022年2月15日起,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称新版《审查办法》)开始施行,新修订内容针对数据处理活动,聚焦国家数据安全风险,明确运营者赴国外上市的网络安全审查要求,为构建完善国家网络安全审查机制,切实保障国家安全提供了有力抓手。
現在、データは国の新たな生産要素と基本的な戦略資源の代表として、データセキュリティは強いネットワーク国家の建設を守り、デジタル経済の発展を護るセキュリティの基礎となっています。 2022年2月15日以降、国家インターネット情報局など13の部門が共同で「ネットワークセキュリティ審査弁法」(以下、新「審査弁法」)を改訂して発表し、データ処理に関する新たな改訂内容を発効しました。 今回の改訂では、データ処理活動、国家のデータセキュリティリスクに焦点を当て、海外で公開する事業者のサイバーセキュリティ審査の要件を明確にし、完璧な国家のサイバーセキュリティ審査メカニズムを構築し、国家のセキュリティを効果的に保護するための強力なグリップを提供しています。
一、审查对象新增数据处理活动,突出赴国外上市申报审查 1. 新規のデータ処理活動の見直し、海外上場宣言の見直しを中心に
(一)影响或者可能影响国家安全的数据处理活动在审查范围内 (1) 審査の対象となる国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動
与上版《审查办法》相比,新版《审查办法》要求网络平台运营者开展数据处理活动,影响或者可能影响国家安全的应按照新版《审查办法》进行网络安全审查。这意味着除了关键信息基础设施运营者采购网络产品和服务外,网络运营者开展影响或者可能影响国家安全的数据处理活动,也将在网络安全审查范围内。 旧「審査弁法」と比較して、新「審査弁法」では、国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動を行うネットワークプラットフォーム事業者は、ネットワークセキュリティに関する新「審査弁法」に従って審査を受ける必要があります。 つまり、重要情報インフラ事業者によるネットワーク製品・サービスの調達に加えて、国家安全保障に影響を与える、または影響を与える可能性のあるネットワーク事業者が行うデータ処理活動もサイバーセキュリティ審査の対象となります。
判断影响或者可能影响国家安全的数据处理活动,可从数据处理活动是否存在或疑似存在危害国家安全行为,或者是否存在国家安全风险等方面进行判断,例如掌握100万用户个人信息的运营者赴国外上市,掌握核心数据或重要数据的运营者赴国外上市,掌握我国禁止或限制出口技术的运营者赴国外上市,汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立等数据处理活动,一旦影响或者可能影响国家安全的,都可能成为网络安全审查的对象。 国家安全保障に影響を与える、または影響を与える可能性のある情報処理活動は、例えば、100万人のユーザーの個人情報を保有している事業者が海外で公開する場合、コアデータや重要データを保有している事業者が海外で公開する場合、中国で輸出が禁止または制限されている技術を保有している場合など、国家安全保障に悪影響を与える、またはその疑いがあるかどうか、または国家安全保障上のリスクがあるかどうかの観点から判断することができます。 海外で公開するために、国家安全保障、経済発展、公共の利益に関わる大量のデータ資源を保有するインターネットプラットフォーム事業者が合併、再編、分社化などのデータ処理活動を実施するために収束することで、国家安全保障に影響を与える、または影響を与える可能性があるとサイバーセキュリティ審査の対象となる可能性があります。
(二)超过100万用户个人信息的运营者赴国外上市应申报审查 (2) 100万人以上のユーザーの個人情報を持つ事業者は、海外での上場を申告して審査を受けてください。
新版《审查办法》明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。按照中国证监会公布的《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,赴国外上市的主体涉及境内企业国外直接发行上市、境内企业国外间接发行上市。其中,直接发行上市是指注册在境内的股份有限公司在国外发行证券或者将其证券在国外上市交易;间接发行上市是指主要业务经营活动在境内的企业,以境外企业的名义,基于境内企业的股权、资产、收益或其他类似权益在国外发行证券或者将证券在国外上市交易。 新「審査弁法」では、100万人以上のユーザーの個人情報を持つオンラインプラットフォームの運営者は、海外上場に対してサイバーセキュリティの審査を申告しなければならないと明確に規定されています。 証監会が発表した「国内企業の海外での証券発行・上場に関する国務院の管理規定(パブリックコメント用ドラフト)」と「国内企業の海外での証券発行・上場に関する管理弁法(パブリックコメント用ドラフト)」によると、海外上場の主な対象は、国内企業による海外直接発行上場と、国内企業による海外間接発行上場となっています。 このうち、直接発行上場とは、領域内で登記された株式有限会社による海外での証券の発行または海外での証券の上場取引を指し、間接発行上場とは、領域内で主な事業活動を行っている企業が、外国企業の名義で国内企業の持分、資産、収入またはその他の同様の利益に基づいて、海外での証券の発行または海外での証券の上場・取引を行うことを指します。
赴国外上市的方式或途径,包括但不限于首次公开发行并上市(IPO)、特殊目的公司收购(SPAC)上市、借壳上市,通过一次或多次收购、换股、划转以及其他交易安排实现境内企业资产境外直接或间接上市,境内上市公司分拆所属境内企业到国外发行上市,境内上市公司以境内上市股份为基础证券在国外发行可转换为基础证券的存托凭证等。此外,虽然新版《审查办法》没有提及赴香港上市,但是掌握超过100万用户个人信息的运营者赴香港上市,仍应按照数据出境安全评估的有关规定进行评估。 海外での上場の方法や手段としては、新規株式公開・上場(IPO)、特別目的会社買収(SPAC)、シェル上場、1回以上の買収、株式交換、譲渡などの取引を通じた国内企業の資産の海外での直接または間接的な上場、国内上場企業による海外での発行・上場のための国内企業のスピンオフ、国内上場企業による国内上場企業を利用した海外での発行・上場などがありますが、これらに限定されるものではありません。 また、新「審査弁法」は預託証券の発行には適用されません。 また、新バージョンの審査弁法では、香港での上場については言及されていませんが、100万人以上のユーザーの個人情報を保有する事業者は、香港での上場に向けて、データ出口のセキュリティ評価の関連規定に基づいて評価を受ける必要があるとしています。
二、审查评估聚焦国家数据安全风险因素 2. 国のデータセキュリティのリスク要因に焦点を当てたレビューと評価
运营者开展影响或可能影响国家安全的数据处理活动,可能带来多种国家数据安全风险,新版《审查办法》在供应链安全风险评价的基础上,新增了国家数据安全风险因素评价。 国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動を行う事業者は、さまざまな国家データセキュリティリスクを引き起こす可能性があります。 新「審査弁法」では、サプライチェーンのセキュリティリスク評価に加えて、国家データセキュリティリスク要因の評価が追加されています。
(一)数据被窃取、泄露、毁损、非法利用、非法出境风险 (1) データの盗難、漏洩、破壊、不正使用、不正退出のリスク
运营者对核心数据、重要数据、大量个人信息开展数据处理活动时,一旦数据被窃取、泄露、毁损、非法利用或非法出境,可能直接存在国家安全或公共利益风险:一是数据窃取或泄露。由于黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等原因,处理的核心数据、重要数据或大量个人信息可能被窃取、未授权或违规泄露。二是数据毁损。处理的核心数据、重要数据或大量个人信息被违规篡改、破坏、丢失,危害数据的完整性和可用性。三是数据非法利用。例如大型网络平台运营者,可能汇聚了大量涉及国家安全、公共利益或个人权益的数据,一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布,可能对国家安全或公共利益造成威胁。四是数据非法出境。按照我国数据安全法律法规要求,关键信息基础设施运营者、重要数据处理者、超过100万用户个人信息的运营者等的个人信息和重要数据出境,应通过国家网信部门组织的数据出境安全评估。 事業者がコアデータ、重要データ、大量の個人情報を対象とした情報処理活動を行う場合、データの盗用、漏洩、破壊、不正使用、不正出国などが行われると、直接的な国家安全保障上または公共の利益上のリスクが生じる可能性があります:まず、データの盗用または漏洩。 ハッキング、従業員の窃盗、データセキュリティ能力の不備、社内の不正、不正な共有などにより、コアデータ、重要データ、処理された大量の個人情報が盗まれたり、不正に流出したりする可能性があります。 2つ目は、データの破壊。 核となるデータ、重要なデータ、または大量に処理された個人情報が、法律に違反して改ざん、破壊、または紛失され、データの完全性と可用性が危うくなること。 3つ目は、データの不正利用です。 例えば、大規模なネットワークプラットフォーム事業者は、国家安全保障、公共利益、個人の権利利益に関わる大量のデータを集約している可能性があり、ビッグデータ技術を悪用して、保有する大量のセンシティブなデータを分析・採掘し、恣意的に共有・公開すると、国家安全保障や公共利益に脅威を与える可能性があります。 4つ目は、データが違法に輸出されること。 中国のデータセキュリティ法令に基づき、重要な情報インフラの運営者、重要なデータ処理者、100万人以上のユーザーの個人情報を取り扱う国外の運営者などの個人情報および重要データは、国家ネットワーク情報部門が主催するデータ出口セキュリティ評価に合格する必要があります。
(二)外国政府影响、控制、恶意利用和网络信息安全风险 (2) 外国政府の影響力、支配力、悪意のある使用、ネットワーク情報セキュリティのリスク
随着美国《外国公司问责法案》落地执行,美国证券交易委员会(SEC)要求在美国上市的外国企业披露是否由政府实体拥有或控制、存在的监管环境风险,同时要求审计公司接受美国公共公司会计监督委员会(PCAOB)检查,披露上市公司的审计细节、工作底稿等信息。在这一背景下,赴国外上市的运营者将面临更多的国家数据安全风险,例如关键信息基础设施被外国政府影响、控制、恶意利用的风险;国外监管机构调取上市公司的敏感数据,导致核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险;网络信息舆论被境外机构操纵风险;上市公司控制权发生重大变更等。 米国外資系企業説明責任法の施行を受けて、米国証券取引委員会(SEC)は、米国で上場している外資系企業に対して、政府機関が所有または支配しているかどうかや、存在する規制環境のリスクを開示することを求め、また、監査法人に対しては、米国公開会社会計監視委員会(PCAOB)の検査を受け、上場企業の監査内容やワーキングペーパーなどの情報を開示することを求めています。 このような状況において、海外に上場している事業者は、重要な情報インフラが外国政府によって影響を受けたり、支配されたり、悪意を持って利用されるリスク、上場企業のセンシティブデータが外国の規制当局によってアクセスされ、その結果、コアデータ、重要データ、または大量の個人情報が外国政府によって影響を受けたり、支配されたり、悪意を持って利用されるリスク、インターネット上の世論が外国の機関によって操作されるリスク、上場企業の支配権が大幅に変更されるリスクなど、より多くの国家的なデータセキュリティリスクに直面することになります。
三、小结 3. 小括
新版《审查办法》的发布,推动国家数据安全治理进入新阶段。网络运营者开展核心数据、重要数据和大量个人信息的数据处理活动时,应加强国家安全意识,预判数据处理活动可能带来的国家安全风险,影响或者可能影响国家安全的及时向网络安全审查办公室报告甚至申报网络安全审查,主动防范可能造成的国家安全风险。我国网络安全审查制度的不断完善,将为我国数据安全和网络安全保障体系建设打下坚实基础。 新「審査弁法」の発行は、国家のデータセキュリティガバナンスの新たな段階を促進するものです。 ネットワーク事業者は、基幹データ、重要データ、大量の個人情報のデータ処理活動を行う際には、国家安全保障意識を強化し、データ処理活動によってもたらされる可能性のある国家安全保障上のリスクを予測し、国家安全保障に影響を与える、あるいは影響を与える可能性がある場合には、ネットワークセキュリティ審査室にタイムリーに報告、あるいは申告を行い、引き起こされる可能性のある国家安全保障上のリスクを率先して防止する必要があると考えられます。 中国のネットワークセキュリティ審査システムが継続的に改善されることで、中国のデータセキュリティおよびネットワークセキュリティ保証システムの構築のための強固な基礎が築かれます。
(作者:胡影,中国电子技术标准化研究院)  (著者:Hu Ying, China Electronics Technology Standardisation Institute)

 

 

1_20210612030101

ネットワークセキュリティ審査弁法の条文...

・2022.01.04 网络安全审查办法

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

・2022.01.19 中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

これ、前のバージョンです。。。

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

 

| | Comments (0)

中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

こんにちは、丸山満彦です。

このブログでも触れていますが、、、昨年末の2021年12月28日に「中国共産党のネットワークセキュリティ・情報技術中央委員会」が「第14次5ヵ年計画における国家情報化計画」を発表しています。

それについての3つの専門家の意見が、「国家互联网信息办公室(国家サイバースペース管理局)」のウェブページに掲載されていました・・・

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.02.16 《“十四五”国家信息化规划》专家谈:加强数字化发展治理 推进数字中国建设 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:デジタル開発とガバナンスを強化し、デジタル中国の構築を促進する
2022.02.16 《“十四五”国家信息化规划》专家谈:深入实施创新驱动发展战略
构建释放数字生产力创新发展体系
「第145ヵ年計画における国家情報化計画」に関する専門家の意見:イノベーション主導の発展戦略の徹底解説
デジタル生産性を発揮するための革新的な開発システムの構築
2022.02.16 《“十四五”国家信息化规划》专家谈:构筑共建共治共享的数字社会治理体系 「第145ヵ年計画における国家情報化計画」に関する専門家の意見:共同建設、共同統治、共有のデジタル社会統治システムの構築

 

《“十四五”国家信息化规划》专家谈:加强数字化发展治理 推进数字中国建设 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:デジタル開発とガバナンスを強化し、デジタル中国の構築を促進する
编者按:党中央、国务院高度重视信息化工作,习近平总书记强调,没有信息化就没有现代化。信息化为中华民族带来了千载难逢的机遇,必须敏锐抓住信息化发展的历史机遇。“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。为使社会各界更好理解《规划》的主要内容,中央网信办组织有关专家学者对《规划》各项重点任务进行研究解读,共同展望数字中国建设新图景。 編集部注:党中央委員会と国務院は情報化を重視しており、習近平総書記は「情報化なくして近代化なし」と強調しています。 情報技術は中華民族に千載一遇のチャンスをもたらし、その発展の歴史的な機会を鋭く捉えなければなりません。 「第14次5カ年計画」期間中、情報化はデジタル開発を加速し、デジタル中国を構築するという新たな段階に入りました。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」)を発表し、第14次5ヵ年計画期間中の中国における情報化の発展について取り決めました。 計画の主な内容を社会に理解してもらうために、中央インターネット情報局は関連する専門家や学者を組織し、計画の重要な課題を検討・解釈し、デジタル中国の構築の新しい姿を共同で期待しています。
习近平总书记指出:“数字技术正以新理念、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设各领域和全过程,给人类生产生活带来广泛而深刻的影响。”近年来,数字技术创新和迭代速度明显加快,在提高社会生产力、优化资源配置的同时,也带来一些新问题新挑战,迫切需要对数字化发展进行治理,营造良好数字生态。“十四五”规划纲要专门设置“加快数字化发展建设数字中国”章节,并对加快建设数字经济、数字社会、数字政府,营造良好数字生态作出明确部署。深入学习贯彻习近平总书记重要讲话精神,落实“十四五”规划纲要部署,中央网络安全和信息化委员会日前印发《“十四五”国家信息化规划》(以下简称《规划》),提出要建立健全规范有序的数字化发展治理体系。这将推动营造开放、健康、安全的数字生态,加快数字中国建设进程。 習近平総書記は、「デジタル技術は、新しいアイデア、新しいビジネスモデル、新しいモードをもって、人類の経済、政治、文化、社会、エコシステムの文明建設のすべての分野とプロセスに包括的に組み込まれ、人類の生産と生活に広範で深遠な影響をもたらしている」と指摘しました。近年、デジタル技術の革新と反復のスピードは著しく加速しており、社会的生産性の向上や資源配分の最適化の一方で、いくつかの新しい問題や課題をもたらしており、デジタル開発のガバナンスと良好なデジタル・エコロジーの構築が急務となっています。 「第14次5カ年計画」の概要では、「デジタル発展の加速とデジタル中国の構築」という特別章を設け、デジタル経済、デジタル社会、デジタル政府の構築を加速し、良好なデジタルエコロジーを構築するための取り決めを明確にしています。 習近平総書記の重要な演説の精神をさらに研究し、実行し、「第14次5カ年計画」の概要を実行するために、ネットワークセキュリティ・情報化中央委員会は最近、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」という)を発表し、健全な情報化社会を構築することを提案しました。 これにより、デジタル開発のための、オープンで健全かつ安全なガバナンスシステムの構築が促進されます。 これにより、オープンで健全かつ安全なデジタルエコロジーの構築が促進され、デジタル中国の構築プロセスが加速されます。
准确把握数字化发展治理的对象 デジタル開発やガバナンスの対象の正確な把握
近年来,我国大力推进5G、物联网、云计算、大数据、人工智能、区块链等新技术新应用,坚持创新赋能,激发数字经济新活力,数字生态建设取得积极成效,有力促进了各类要素在生产、分配、流通、消费各环节有机衔接,实现了产业链、供应链、价值链优化升级和融合贯通,为建设网络强国和数字中国奠定了重要基础。同时,数字化快速发展中也出现了一些新问题新挑战,亟须明确治理对象,加强数字化发展治理。 近年、中国は、5G、モノのインターネット、クラウドコンピューティング、ビッグデータ、人工知能、ブロックチェーンなどの新技術やアプリケーションを強力に推進し、イノベーションのエンパワーメントを主張し、デジタル経済の新たな活力を刺激し、デジタルエコロジーの構築で成果を上げ、生産、流通、循環、消費のあらゆる面でさまざまな要素の有機的なつながりを強力に推進し、産業チェーン、サプライチェーン、バリューチェーンの最適化、高度化、統合を実現し、ネットワーク構築の重要な基盤を築いてきました。 これにより、強力なネットワーク国とデジタル中国を構築するための重要な基礎が築かれました。 一方で、デジタル化の急速な進展に伴い、いくつかの新たな問題や課題が発生しており、ガバナンスの対象を明確にし、デジタル開発のガバナンスを強化することが急務となっています。
规范平台经济发展。习近平总书记指出:“我国平台经济发展正处在关键时期,要着眼长远、兼顾当前,补齐短板、强化弱项,营造创新环境,解决突出矛盾和问题,推动平台经济规范健康持续发展”。近年来,我国平台经济在经济社会发展全局中的地位和作用日益凸显,发展的总体态势是好的、作用是积极的,同时也存在一些突出问题,比如,一些平台企业发展不规范、存在风险;平台经济发展不充分、存在短板;互联网平台垄断问题日益突出,从长远看会影响行业整体的良性发展。完善法律法规和监管机制,引导平台经济领域经营者依法合规经营,有利于维护消费者合法权益和社会公共利益,促进数字经济持续健康发展。 プラットフォーム経済の発展の規制。 習近平総書記は、「中国のプラットフォーム経済の発展は重要な時期にあり、長期的な視点に立ち、現在の状況を考慮し、欠点を補い、弱点を強化し、革新的な環境を作り、未解決の矛盾や問題を解決し、プラットフォーム経済の標準化された健全で持続可能な発展を促進すべきである」と指摘しています。 例えば、一部のプラットフォーム企業の発展が標準化されておらずリスクがあること、プラットフォーム経済が十分に発展しておらず欠点があること、インターネットプラットフォームの独占問題がますます顕著になってきており、長期的には産業全体の穏やかな発展に影響を与えることになることなどです。 プラットフォーム経済の事業者が法律を遵守して事業を行うよう導くために、法律、規制、規制の仕組みを改善することは、消費者の正当な権利・利益と社会の公益を保護し、デジタル経済の持続的かつ健全な発展を促進することにつながります。
应对数字技术带来的风险挑战。习近平总书记在网络安全和信息化工作座谈会上指出:“古往今来,很多技术都是‘双刃剑’,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。”当前,以5G、人工智能、区块链、大数据等信息技术为代表的新一轮科技革命和产业变革加速推进,成为推动经济社会发展的主要动能。数字技术的广泛应用,在不断改变人们生活和交往方式的同时,也深刻影响人们的行为和思考方式以及价值观念和道德观念,带来了潜在风险。例如,个人信息和数据泄露带来个人隐私保护风险、算法推荐加剧“信息茧房”、人工智能技术带来伦理安全风险等。应对数字技术带来的风险挑战,向互联网服务管理模式提出了新的更高要求。 デジタル技術がもたらすリスクの課題への対処。 習近平総書記は、「ネットワークセキュリティと情報化に関するシンポジウム」で、「時代を通じ、多くの技術は、一方では社会や人民に利益をもたらすが、他方では一部の者によって社会の公益や人民の利益を害するために利用されることもある『諸刃の剣』である」と指摘しました。 現在、5G、人工知能、ブロックチェーン、ビッグデータなどの情報技術に代表される技術革命・産業変革の新ラウンドが加速しており、経済・社会の発展の大きな原動力となっています。 デジタル技術の普及は、人々の生活や関わり方を常に変化させる一方で、人々の行動や考え方、価値観や倫理観にも大きな影響を与え、潜在的なリスクをもたらしています。 例えば、個人情報やデータの漏洩は個人のプライバシーにリスクをもたらし、アルゴリズムによる推薦は「情報の繭」を悪化させ、人工知能技術は倫理的な安全性にリスクをもたらします。 デジタル技術がもたらす課題への対応は、インターネットサービスの管理モデルに新たな高い要求を突きつけています。
营造清朗的网络空间。习近平总书记指出:“网络空间是亿万民众共同的精神家园。”当前,我国网络综合治理体系建设取得积极成效,系统治理、依法治理、综合治理、源头治理等统筹推进,特别是针对群众反映强烈的网络生态乱象,不断压实网站平台信息内容主体责任,建立行业自律机制,深入推进“清朗”“净网”系列专项行动,网上主流思想舆论不断壮大,网络空间持续净化。营造清朗的网络空间是一项长期工作,需要持续强化网络内容治理,确保信息内容规范、积极向上;不断加强网络空间行为规范建设,培育符合社会主义核心价值观的网络伦理和行为规范;进一步完善体制机制,不断加强相关领域保护措施落实情况的监督检查。 クリアなサイバー空間の実現。 習近平総書記は、「サイバー空間は何億人もの人々の共通の心の故郷である」と指摘しています。現時点では、中国の包括的なネットワークガバナンスシステムの構築が肯定的な結果を達成している、システムのガバナンス、法的なガバナンス、包括的なガバナンス、ソースのガバナンスと他の統合されたプロモーションは、特にネットワークの生態系の混乱の強い公共の反射に対応して、常にウェブサイトのプラットフォームの情報コンテンツの主な責任をコンパクトに、業界の自主規制のメカニズムの確立し、さらに、インターネットに対する主流の世論が継続的に高まり、サイバースペースが浄化されていくように、「ネットをクリアにする」「ネットを浄化する」ための一連の特別行動を推進しています。クリアなサイバースペースの構築は長期的な課題であり、情報コンテンツが標準化されたポジティブなものであることを保証するためにオンラインコンテンツ・ガバナンスを継続的に強化し、社会主義の中核的価値観に沿ったオンライン倫理と行動規範を育成するためにサイバー空間における行動規範の構築を継続的に強化し、関連分野における保護措置の実施に対する監督・検査を継続的に強化するために制度的メカニズムをさらに改善することが必要です。
加强网络安全保障。习近平总书记指出:“网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。”党的十八大以来,我国网络安全保障能力建设得到加强,国家网络安全屏障进一步巩固。同时,在数字化转型进程中,网络安全威胁也加速演进。随着新技术新应用的大规模发展,数据泄露、网络诈骗、勒索病毒、安全漏洞等网络安全威胁日益凸显,网络安全工作面临新的风险挑战。没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。保护网络安全刻不容缓。 サイバー・セキュリティの強化。 習近平総書記は、「サイバーセキュリティは国家安全保障に大きな影響を与え、安全保障の他の多くの側面と密接に関連している」と指摘しました。 第18回党大会以降、中国のサイバーセキュリティの能力向上は強化され、国家のサイバーセキュリティの壁はさらに強固なものとなりました。 一方で、デジタルトランスフォーメーションの過程で、サイバーセキュリティの脅威も進化を加速させています。 新しい技術やアプリケーションの大規模な開発に伴い、データ漏洩、サイバー詐欺、ランサムウェアウィルス、セキュリティの抜け穴などのサイバーセキュリティの脅威がますます顕著になり、サイバーセキュリティの仕事は新たなリスクの課題に直面しています。 サイバーセキュリティがなければ、国家の安全保障も、経済・社会の安定した運営もできず、一般市民の利益を守ることも困難です。 サイバーセキュリティを守ることは、緊急の課題です。
分类施策构建数字化发展治理机制 カテゴリー別アプローチによるデジタル開発のガバナンス機構の構築
针对不同领域、不同主题的治理对象,《规划》坚持分类施策、精准施策,探索构建系统化的数字化发展治理机制。 ガバナンスの対象となる様々な分野やテーマについて、本計画では分類的で正確な政策を主張し、デジタル開発のための体系的なガバナンス・メカニズムの構築を模索しています。
加强互联网平台治理。中央财经委员会第九次会议强调:“把握平台经济发展规律,建立健全平台经济治理体系”。伴随平台经济快速发展,我国持续加强相关法律法规建设、压实平台主体合规责任,鼓励平台企业创新技术应用、提升产品服务质量,加大平台反垄断监管力度,促进行业健康有序发展。《规划》强调强化平台治理体系,包括“完善违法内容举报与处理披露机制,引导平台企业及时主动公开违法违规内容自查处置情况,及时预警排查重大风险隐患”,这为平台企业超前排查风险隐患提供了指南。《规划》提出“鼓励平台企业将更多资源用于创新技术应用,提升产品质量服务,优化平台运行规则和平台营商环境,促进行业健康发展”,旨在鼓励平台企业加强创新能力建设,提高产品服务大众水平,在推动关键核心技术突破、推动我国数字经济发展、推动更好造福人民上更进一步。   インターネット・プラットフォームのガバナンスの強化。 中央財経委員会第9回会議では、「プラットフォーム経済発展の法則を把握し、健全なプラットフォーム経済のガバナンスシステムを構築する」ことが強調されました。 プラットフォーム経済の急速な発展に伴い、中国は引き続き関連法規の構築を強化し、プラットフォームの主なコンプライアンス責任をコンパクトにし、プラットフォーム企業に技術アプリケーションの革新を促し、製品やサービスの品質を向上させ、プラットフォームの独占禁止監督を強化して、業界の健全で秩序ある発展を促進していきます。 同計画では、「違法コンテンツの報告・開示処理の仕組みを改善し、プラットフォーム企業が率先して違法コンテンツの自己調査・処分を適時に開示するよう指導し、重大なリスクや隠れた危険を特定するために適時に警告を行う」など、プラットフォームガバナンス体制の強化を強調しており、プラットフォーム企業がリスクや隠れた危険を事前に把握するための指針となっています。 この計画では、「プラットフォーム企業が革新的な技術の応用により多くの資源を投入し、製品の品質とサービスを向上させ、プラットフォームの運用ルールとプラットフォームのビジネス環境を最適化し、業界の健全な発展を促進する」ことを提案しています。これは、プラットフォーム企業がイノベーション能力の構築を強化し、一般向けの製品サービスを向上させ、主要なコア技術のブレークスルーを促進する上で重要な役割を果たし、中国の経済発展を促進することを目的としています。 その目的は、プラットフォーム企業がイノベーション能力の構築を強化し、国民に提供する製品のレベルを向上させ、主要なコア技術のブレークスルーを促進することで、中国のデジタル経済の発展を促進し、国民により良い利益をもたらすことにあります。
强化技术规则治理。习近平总书记指出:“要全面提升技术治网能力和水平,规范数据资源利用,防范大数据等新技术带来的风险。”当前,科技创新能力已成为综合国力竞争的决定性因素。实现科技向善,使创新科技为人类所用,必须不断建立健全技术规则治理体系。我国已陆续出台《常见类型移动互联网应用程序必要个人信息范围规定》《互联网信息服务算法推荐管理规定》等规章制度,围绕个人隐私保护、算法推荐等问题加强规范。面对不断创新的数字技术对治理提出的新要求,《规划》强调:“建立和完善数字技术应用审查机制和监管法律体系,开展技术算法规制、标准制定、安全评估审查、伦理论证等工作”“发挥国家科技伦理委员会统筹规范和指导协调作用,加快构建科技伦理治理体系”“加大社会公众数字技术安全风险教育宣传,提升社会各界技术风险防范和责任意识”。这为新技术发展划出合理的伦理边界,将进一步夯实新兴技术为人类造福的机制基础,为科技创新发展保驾护航。 テクノロジー・ルールのガバナンスの強化。 習近平総書記は、「テクノロジーガバナンスの能力とレベルを総合的に向上させ、データ資源の利用を規制し、ビッグデータなどの新技術がもたらすリスクを防ぐべきだ」と指摘しました。 現在、総合的な国力を競う上で、科学技術の革新力が決定的な要素となっています。科学技術の利益を達成し、革新的な科学技術を人類に提供するためには、技術ルールの健全なガバナンスシステムを継続的に確立する必要があります。中国では、「共通タイプのモバイルインターネットアプリケーションにおける必要な個人情報の範囲に関する規定」や「インターネット情報サービスのアルゴリズム推奨管理規則」などの規定を相次いで発行し、個人のプライバシー保護やアルゴリズム推奨などの問題に関する規制を強化しています。 進化し続けるデジタル技術がもたらす新たなガバナンスへの要求に応えるため、本計画では、「デジタル技術の応用に関する審査メカニズムと規制法制度を確立・改善し、技術的アルゴリズムの規制、基準設定、安全性評価・審査、倫理的検証に関する作業を実施する」「国家科学技術倫理委員会の役割を果たす」などを強調しています。 国家科学技術倫理委員会が調整・指導の役割を果たし、科学技術の倫理的なガバナンスシステムの構築を加速する」「デジタル技術の安全リスクに関する国民の教育・広報を強化し、社会の各部門における技術リスクの予防と責任に関する意識を高める」としています。 これにより、新技術の開発に合理的な倫理的境界線が引かれ、人類に恩恵をもたらす新技術の制度的基盤がさらに強化され、科学技術イノベーションの発展が守られることになります。
加强网络空间内容治理。习近平总书记指出:“网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益”。网络内容建设是净化网络空间环境的关键,是数字化发展治理体系建设的发力点。我国有关部门已陆续出台《互联网宗教信息服务管理办法》《网络直播营销管理办法(试行)》等规章制度,促进网络空间内容治理,未来还需进一步健全数字化发展治理的法律法规体系。《规划》强调:“完善网络实名法律制度,推进社会公众数字身份管理体系建设,加大数字身份管理体系标准化整合衔接”。这将推动网上网下同心圆中的主体更加统一,网络空间与物理空间深度融合。《规划》指出:“鼓励社会主体依法参与网络内容共治共管,畅通社会监督、受理、处置、反馈、激励闭环流程,激活社会共治积极性”。这有利于充分调动亿万网民参与共建美好网络家园的积极性,有助于营造清朗的网络空间。   サイバー空間におけるコンテンツガバナンスの強化。 習近平総書記は、「サイバー空間がクリアで生態的に健全であることは、人々の利益につながる。 サイバースペースがスモッグになり、エコロジーが悪化しても、国民の利益にはならない」と指摘しました。 ネットワークコンテンツの構築は、サイバー空間環境をクリアにする鍵であり、デジタル開発のガバナンスシステム構築の出発点でもあります。 中国の関連部門は、サイバー空間におけるコンテンツガバナンスを推進するために、「インターネット上の宗教情報サービス管理弁法」や「ライブ中継マーケティング管理弁法(試行用)」などの規定を相次いで発布しており、今後、デジタル開発ガバナンスのための法規制システムをさらに整備していく必要があります。 計画では、「インターネット上の実名に関する法制度を改善し、国民のためのデジタルID管理システムの構築を促進し、デジタルID管理システムの標準化と統合を進める」ことを強調しています。 これにより、オンラインとオフラインの同心円上にある被写体の統一性が高まり、サイバー空間と物理的な空間の統合が深まります。 計画では、"社会的主体が法律に基づいてネットワークコンテンツの共同管理に参加することを奨励し、社会的な監督、受け入れ、廃棄、フィードバック、インセンティブの閉ループプロセスを円滑にし、社会的共通統治の熱意を活性化する "としている。 これは、より良いサイバーホームの構築に参加するために何億ものネットユーザーの熱意を十分に発揮し、クリアなサイバー空間の構築に貢献することにつながります。  
强化网络安全保障能力建设。习近平总书记指出:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”我国一方面不断发展新型网络安全防护技术,持续加强网络安全保障体系建设;另一方面积极开展网络安全法律法规和规章制度建设,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等多项网络安全领域法律法规已陆续出台。为进一步加强网络安全保障,《规划》提出“加强网络安全核心技术联合攻关,开展高级威胁防护、态势感知、监测预警等关键技术研究,建立安全可控的网络安全软硬件防护体系”,这将促进各领域、各部门联合开展网络安全核心技术攻关,有助于打破行业壁垒,提升攻关效率;提出“实施国家基础网络安全保障能力提升工程”“增强网络安全平台支撑能力”,这将推动全面加强网络安全保障体系和能力建设。   ネットワークセキュリティの能力開発の強化。 習近平総書記は、「サイバーセキュリティの本質は対決にあり、対決の本質は攻守両面での競争力にある」と指摘しています。 中国は、常に新しいネットワーク・セキュリティ保護技術を開発し、ネットワーク・セキュリティ保護システムの構築を継続的に強化しています。一方で、ネットワーク・セキュリティに関する法令や規則の構築を積極的に行っており、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「重要な情報インフラのセキュリティ保護に関する規則」、「ネットワークセキュリティ審査弁法」など、ネットワーク・セキュリティ分野の多くの法令が制定されています。 ネットワーク・セキュリティをさらに強化するために、「ネットワーク・セキュリティの中核技術の共同研究を強化し、高度な脅威防御、状況認識、監視、早期警告などの重要技術の研究を行い、安全で制御可能なネットワーク・セキュリティ・ソフトウェアおよびハードウェアの保護システムを構築する」ことを提案しています。これにより、さまざまな分野・領域でネットワーク・セキュリティの中核技術の共同研究が促進され、業界の壁を打ち破り、ネットワーク・セキュリティの質を向上させることができます。 これにより、業界の壁を取り払い、研究の効率を高めることができます。提案された「国家基礎ネットワークセキュリティ能力強化プロジェクトの実施」と「ネットワークセキュリティプラットフォームのサポート能力の強化」は、ネットワークセキュリティのセキュリティシステムの全体的な強化と能力開発を促進します。  
多措并举提高数字化发展治理能力 デジタル開発とガバナンス能力向上のためのマルチな施策
加强顶层设计,强化政策制定与部署落实。构建规范有序的数字化治理体系,需要做好顶层设计,把握发展与治理的平衡点,建立全方位、多层次、立体化监管治理体系,实现政府与企业、政府与个体的有效结合与良性互动,推动有效市场和有为政府更好结合。数字化发展涉及领域众多,需要各部门协同配合,针对各行各业研发、生产、销售、应用等全过程,实现发展与治理的融合推进。同时,要落实好已有政策,确保落地见效。 トップレベルの設計の強化と、政策策定と展開実施の強化。 標準化された秩序あるデジタルガバナンスシステムを構築するためには、トップレベルの設計をしっかりと行い、開発とガバナンスのバランスを把握し、全方位、マルチレベル、3次元の規制・ガバナンスシステムを構築し、政府と企業、政府と個人の効果的な組み合わせと積極的な相互作用を実現し、効果的な市場と積極的な政府のより良い組み合わせを促進する必要があります。 デジタル開発には多くの分野が関わっており、様々な産業の研究開発、生産、販売、アプリケーションの全過程において、開発とガバナンスの統合と推進を実現するためには、様々な部門の協力が必要です。 同時に、既存の政策を実行し、現場で効果を発揮させることも重要です。
完善法治体系,打造健康有序的发展环境。根据数字化发展进程,持续完善法治体系。健全新技术应用监管的法律体系,针对技术发展出现的问题,及时研究制定配套法律法规,促进行业健康发展。加快制定标准体系,适时出台行业技术发展标准,促进整个行业产业链加速形成。建立数字技术应用审查机制,开展发布前安全评估审查,有效避免可能出现的各种风险。完善伦理道德规范,针对人工智能、无人驾驶等新技术,开展技术伦理基础研究,加快构建科学有序的技术伦理治理体系。 法の支配システムの改善と健全で秩序ある開発環境の構築。 デジタル化の進展に合わせて、法の支配システムを継続的に改善していきます。 新技術の適用を規制するための法制度を整備するとともに、技術開発に伴う問題に対応して、産業の健全な発展を促すための支援法令を早急に検討・策定します。 標準システムの開発を加速し、技術開発のための業界標準を順次導入し、業界全体のインダストリーチェーンの形成を加速します。 デジタル技術アプリケーションのレビューメカニズムを確立し、発生しうる様々なリスクを効果的に回避するために、リリース前の安全性評価レビューを実施します。 倫理規定を改善し、人工知能やドライバーレスなどの新技術の技術倫理に関する基礎研究を行い、科学的で秩序のある技術倫理ガバナンスシステムの構築を加速します。
增强技术保障,构建安全高效的治理体系。新技术的不断迭代升级,对数字化发展治理提出了更高要求,更需要完善以技术管技术、以技术治技术的监管治理体系。一方面,进一步加强监管与治理方面的技术探索与应用,正确处理安全和发展、开放和自主、管理和服务的关系,强化技术治理水平与能力。另一方面,加强网络安全保障体系和保障能力建设,发挥网络安全技术在新技术领域的支撑保障作用,强化对5G、人工智能、工业互联网等行业的安全保障,完善网络安全监测、通报预警、应急响应与处置机制,打造安全和发展并重的技术治理体系。 技術的セーフガードを強化し、安全で効率的なガバナンスシステムを構築する。 新しい技術の継続的な反復とアップグレードは、デジタル開発のガバナンスに対するより高い要求を突きつけており、技術を技術で管理し、技術を技術で統治するための規制とガバナンスシステムを改善する必要性が高まっています。 一方で、規制やガバナンスにおける技術の探求と応用をさらに強化し、安全と発展、開放と自治、管理とサービスの関係を正しく処理し、技術ガバナンスのレベルと能力を強化する必要があります。 一方で、ネットワークセキュリティ保証システムの構築と保証能力を強化し、新技術分野におけるネットワークセキュリティ技術の支援・保証の役割を果たし、5G、人工知能、産業インターネットなどの産業のセキュリティ保証を強化し、ネットワークセキュリティの監視・通知・早期警報、緊急対応・処理の仕組みを改善し、セキュリティと発展を同等に重視する技術ガバナンスシステムを構築すします。
(执笔:夏学平 邹潇湘 贾朔维 徐艳飞 中国网络空间研究院)  (中国サイバー空間研究所、Xia Xueping、Zou Xiaoxiang、Jia Shuowei、Xu Yanfeiが執筆。)
《“十四五”国家信息化规划》专家谈:深入实施创新驱动发展战略 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:イノベーション主導の発展戦略の徹底解説
构建释放数字生产力创新发展体系 デジタル生産性を発揮するための革新的な開発システムの構築
编者按:党中央、国务院高度重视信息化工作,习近平总书记强调,没有信息化就没有现代化。信息化为中华民族带来了千载难逢的机遇,必须敏锐抓住信息化发展的历史机遇。“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。为使社会各界更好理解《规划》的主要内容,中央网信办组织有关专家学者对《规划》各项重点任务进行研究解读,共同展望数字中国建设新图景。 編集部注:党中央委員会と国務院は情報化を重視しており、習近平総書記は「情報化なくして近代化なし」と強調しています。 情報化は中華民族に千載一遇のチャンスをもたらしており、情報化の歴史的チャンスを鋭く掴まなければなりません。 「第14次5カ年計画期間中、情報化はデジタル開発を加速し、デジタル中国を構築するという新たな段階に入りました。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」)を発表し、第14次5ヵ年計画期間中の中国における情報化の発展について取り決めました。 この計画の主な内容を社会に理解してもらうために、中央インターネット情報局は、関連する専門家や学者を組織して、計画の重要な課題を研究・解釈し、デジタル中国の建設の新しい姿を共同で期待しています。
近期,中央网络安全和信息化委员会印发了《“十四五”国家信息化规划》(以下简称《规划》),明确提出要坚持创新在国家信息化发展中的核心地位,把关键核心技术自立自强作为数字中国的战略支撑,面向世界科技前沿、面向经济主战场、面向国家重大需求、面向人民生命健康,深入实施创新驱动发展战略,构建以技术创新和制度创新双轮驱动、充分释放数字生产力的创新发展体系。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画の国家情報化計画」(以下、「計画」)を発表し、国家情報化の発展における革新の核心的立場を堅持し、重要な核心技術の自立と向上をデジタル中国の戦略的な支えとし、世界の科学技術のフロンティアに立ち向かい、経済的な また、イノベーション主導の発展戦略を実行し、技術革新と制度革新の両輪で動くイノベーション発展システムを構築し、デジタル生産性を全面的に解放することも重要です。
一、创新驱动对新时期信息化发展的重要意义 1. 新時代における情報技術のイノベーション主導型開発の重要性
当前,以信息技术为核心的国际竞争合作进入新阶段,创新成为影响和改变全球竞争格局的关键变量。夯实信息技术基础能力、提升关键技术创新水平、布局前沿技术发展阵地、构建灵活的制度与创新环境,对于完善我国创新发展体系、推动经济高质量发展具有重要意义。   現在、情報技術を核とした国際競争と協力は新たな段階に入っており、イノベーションは世界の競争パターンに影響を与え、変化させる重要な変数となっています。 情報技術の基礎能力を固め、重要な技術革新のレベルを高め、フロンティア技術の開発ポジションを配置し、柔軟なシステムとイノベーション環境を構築することで、中国のイノベーション発展システムを改善し、質の高い経済発展を促進することは大きな意義があります。  
加快推动经济转型发展。面对全球经济增长乏力、疫情蔓延扩散,信息技术的创新应用推动经济转型发展,已成为缓解经济下行的压舱石、带动经济复苏的新引擎和推动经济高质量发展的新动能。   経済的変革の展開の加速。 世界経済の成長が鈍化し、疫病が蔓延する中、経済の変革と発展を促進するための情報技術の革新的な応用は、経済の低迷を緩和するバラスト、経済回復を促進する新たなエンジン、そして質の高い経済発展を促進する新たな原動力となっています。  
支撑实现高水平自立自强。经过多年发展,我国已搭建了信息领域创新体系的基本架构,集成电路、基础软件、装备材料、核心元器件等取得一定突破,产学研用协同创新的生态体系初步形成,但仍面临严峻挑战。实现高水平自立自强,需要坚持技术创新和制度创新双轮驱动,凝聚创新主体合力,优化创新要素配置,推动创新成果转化,加快提升信息领域创新发展能力,切实掌握我国技术自主权和发展主动权。 高いレベルでの自立と自己啓発を実現するためのサポート。 長年の発展を経て、中国は情報分野のイノベーションシステムの基本構造を構築し、集積回路、基本ソフトウェア、機器・材料、コアコンポーネントなどのブレークスルー、産学連携イノベーションのエコシステムの初期形成、研究・利用などを行ってきましたが、依然として深刻な課題に直面しています。 高水準の自立と自己改革を実現するためには、技術革新と制度革新の両輪を堅持し、革新主体の相乗効果を結集し、革新要因の配分を最適化し、革新成果の転換を促進し、情報分野の革新・発展能力の強化を加速し、中国の技術的自律性と発展の主導権を効果的に把握することが必要です。
二、优化科技布局,提升信息领域创新能力  2. 科学技術のレイアウトを最適化し、情報分野のイノベーション能力を高める 
信息技术具有快速迭代、复杂度高、交叉融合等特征,需要依托国家实验室、国家科研机构、高水平研究型大学、科技领军企业等国家战略科技力量,形成大纵深、跨学科合作,提升关键核心技术的创新能力。《规划》从加强信息技术基础研究、强化关键信息技术创新、布局战略性前沿性技术的视角,明确了技术创新的布局优化和能力提升重点,并部署了“前沿数字技术突破行动”,推动形成支撑我国信息化高质量发展的创新发展体系。 情報技術は、急速な反復、高い複雑性、異種混合を特徴としています。そのため、国立研究所、国立研究機関、ハイレベルの研究大学、主要な科学技術企業などの国家戦略的科学技術力に頼り、大規模な深度と学際的な協力関係を形成し、重要なコア技術の革新能力を高める必要があります。 同計画では、情報技術の基礎研究を強化し、重要な情報技術のイノベーションを強化し、戦略的なフロンティア技術を配置するという観点から、技術革新の配置の最適化と能力の向上のための優先事項を規定し、「フロンティアデジタル技術突破行動」を展開して、中国の情報技術の高品質な発展を支えるイノベーション開発システムの形成を推進しています。
强化基础技术与产业共性技术支撑。加大基础研究支持力度,推进关键核心技术新突破,实现基础软件、基础材料、关键零部件等安全可控,形成创新生态体系和产业安全可控能力,是释放数字经济潜能的当务之急。同时,要保持科研的开放性特征,搭建高端交流平台,充分利用好我国重大科学基础设施的集聚性优势,全面强化基础和共性技术领域的多方协同创新。 基礎技術、共通産業技術への支援を強化する。 基礎研究への支援を強化し、主要なコア技術の新たなブレークスルーを促進し、安全で制御可能な基本ソフトウェア、基本材料、主要部品を実現し、イノベーション・エコシステムと安全で制御可能な産業能力を形成することで、デジタル経済の潜在力を解放することが不可欠です。 同時に、科学研究の開かれた性格を維持し、ハイエンドの交流プラットフォームを構築し、中国の主要な科学インフラが集積しているという利点を最大限に活用し、基礎技術や共通技術の分野で多者間の共同イノベーションを総合的に強化することが重要であると考えています。
融通信息产业关键核心技术创新链。关键信息技术创新一方面要充分发挥政府“看得见的手”的作用,利用新型举国体制的制度优势,创新任务布局方式,采用“揭榜挂帅”等方式,在融合多学科优势、汇聚多领域资源、协调多部门政策的基础上,推动创新链、产业链、资金链、人才链、政策链的“五链”融合发展。另一方面,需要发挥市场“看不见的手”的作用,通过设立产业引导基金、建立产业创新联盟等方式,重点突破和集中攻关,不断地“铸长板、补短板、强弱项”,突破“卡脖子”难关。 情報産業のキーとなるコア技術のイノベーションチェーンを統合する。 一方、重要な情報技術の革新は、政府の「目に見える手」の役割を十分に発揮し、新国家システムの制度的な優位性を生かし、タスクのレイアウトを革新し、「リストを公開し、それにつながる」などの方法を採用し、複数の分野の利点を統合し、複数の分野の資源をプールし、複数の部門の政策を調整することを基本とするべきです。 複数の分野の利点を統合し、複数の分野の資源をプールし、複数のセクターの政策を調整することを基本に、イノベーション、産業、資本、人材、政策のチェーンという「5つのチェーン」を推進し、統合していきます。一方で、市場の「見えざる手」の役割を果たし、産業指導基金の設立や産業革新アライアンスの設立などを通じて、重要なブレークスルーと集中的な研究を行い、常に「長板を鋳造し、短板を繕い、弱点を強化する」ことで、困難の「ネック」を突破することが必要です。
统筹战略性和前沿性技术布局。信息技术的发展推动大数据时代新兴科研范式的出现,打破学科、领域、部门、产业边界。更好释放数字生产力,需要在明确战略目标的前提下,清晰识别前沿领域的技术变革方向,前瞻布局战略性、前沿性、原创性、颠覆性技术,加强关键前沿领域的战略研究布局和技术融通创新,通过融通创新机制推动前沿技术快速形成未来产业。 戦略的かつ最先端の技術のレイアウトの調整。 情報技術の発展に伴い、ビッグデータ時代の新しい研究パラダイムが登場し、分野・領域・学部・産業の垣根が取り払われています。 デジタル生産性をよりよく発揮するためには、明確な戦略目標を前提に、フロンティア領域の技術変化の方向性を明確にし、戦略的技術、フロンティア技術、独創的技術、破壊的技術を前向きに配置し、主要なフロンティア領域における戦略的な研究配置と技術統合・イノベーションを強化し、統合・イノベーションのメカニズムを通じて、フロンティア技術から未来の産業の迅速な形成を促進する必要があります。
三、强化制度创新,提升信息领域创新体系效能 3. 情報分野における制度的イノベーションを強化し、イノベーションシステムの有効性を高める。
网络强国、数字中国建设必须依靠创新引领,而有效的制度环境在提升创新效率、激发创新活力、促进技术转化和推动信息化健康发展等方面发挥着基础性作用。因此,要进一步发挥制度创新在信息化创新发展体系中的驱动作用。 強力なネットワーク国家とデジタル中国の構築は、イノベーションに頼ってリードしなければならず、効果的な制度環境は、イノベーションの効率を高め、イノベーションの活力を刺激し、技術の転換を促進し、情報技術の健全な発展を促す上で基本的な役割を果たします。 したがって、情報化の革新・発展システムにおける制度的イノベーションの推進役をさらに発揮する必要がある。
完善协同创新制度提升创新效率。完善科技协同创新制度,首先要加强创新要素的协同投入,财政科技计划要有机衔接,同时引导社会资金加大科技创新投入力度,推进从基础研究、技术攻关到应用示范的全链条协同创新。其次,要加强创新主体协作,鼓励跨学科、跨专业合作,形成企业为主体、市场为导向、产学研用深度融合的协同创新体系。此外,还应发挥平台汇聚资源的优势,打造基础研究与技术成果的信息交流平台,推进重大科技基础设施与数字资源共享利用,通过多元协同提升信息技术创新效率。 コラボレーション・イノベーション・システムを改善し、イノベーションの効率を高める。 科学技術の共同イノベーションのシステムを改善するためには、まず、イノベーション要素の共同投入を強化し、財政的な科学技術計画を有機的に結びつけるとともに、社会的基金が科学技術イノベーションへの投資を増やすように指導し、基礎研究、技術研究、応用実証までの一連の共同イノベーションを促進する必要があると思います。 第二に、イノベーション機関の連携を強化し、学際的・職業的な協力を促し、企業を主体とし、市場を導き、産・学・研・応用を深く融合させた協調的なイノベーションシステムを形成することです。 また、資源を集めるプラットフォームの利点を生かして、基礎研究や技術成果の情報交換プラットフォームの構築、主要な科学技術インフラやデジタル資源の共有・利用の促進、多面的な連携による情報技術革新の効率化などを図るべきです。
健全创新激励机制激发创新活力。近年来,我国高度重视知识产权保护工作,提出“知识产权强国”目标,并制定了《知识产权强国建设纲要(2021-2035年)》。但与西方发达国家尤其是美国相比,我国在知识产权保护理论和实践经验方面仍较为欠缺,同时信息化发展也对传统知识产权制度提出挑战。因此,探索构建权利和义务对等的知识产权转化收益分配机制是当前的首要任务。面对信息领域国际竞争白热化的局势,要在知识产权创造、储备、布局等方面进行一系列制度创新,如专利组合、专利与标准协同、专利协调联动、专利导航等,在充分保护创新主体知识产权和提高其获益能力方面提供制度保障。 健全なイノベーションのインセンティブメカニズムで、イノベーションを促進する。 近年、中国は知的財産権の保護を重視し、「知的財産強国」という目標を打ち出し、「知的財産強国建設要綱(2021-2035)」を策定しました。 しかし、欧米先進国、特に米国と比較して、中国は知的財産権保護の理論的・実践的経験がまだ不足しており、情報技術の発展も従来の知的財産権制度に課題を与えています。 そのため、知的財産権の転換による収益を平等な権利と義務で分配する仕組みの構築を模索することが、現在の優先課題となっています。 情報分野の国際競争が激化する中、特許ポートフォリオ、特許と標準の相乗効果、特許の調整と連携、パテントナビゲーションなど、知的財産権の創造、留保、配置において一連の制度的革新を行い、イノベーション対象者の知的財産権を完全に保護し、その利益を得る能力を高めるための制度的保証を提供する必要があります。
强化创新应用政策促进创新技术转化。从科技成果到产业应用需要跨越成果转化的“达尔文死海”,才能最终释放数字生产力。因此,需要一套市场机制和政策手段的组合拳为其提供有力支撑。一方面,要充分利用市场机制,探索面向不同技术成熟度的融资模式,开发多元化的金融政策工具促进资本与技术有效对接,解决科技成果熟化过程中的资金需求。另一方面在技术成果进入产品化和商品化阶段时,要进一步加强相关政策支持,例如重大技术装备首台(套)政策、技术创新推广应用市场化保险机制等,以促进新技术新产品的市场推广应用。 革新的技術の転換を促進するために、イノベーション応用政策を強化する。 科学技術の成果から産業への応用まで、最終的にデジタル生産性を解放するためには、結果変換の「ダーウィンの死海」を越える必要があります。 したがって、これを強力にサポートするためには、市場メカニズムと政策手段の組み合わせが必要です。 一方では、市場メカニズムを最大限に活用し、技術の成熟度に応じた資金調達モデルを模索し、資本と技術の効果的なマッチングを促進するための多様な金融政策ツールを開発し、技術成果の成熟過程における資金ニーズに対応することが必要です。 一方、技術的成果が製品化・商業化の段階に入ったときには、新技術・新製品の市場での普及・応用を促進するために、主要技術設備の最初のセットに対する政策や、技術革新の促進・応用のための市場ベースの保険メカニズムなど、関連する政策支援をさらに強化する必要があります。
优化创新环境推动信息化长效发展。信息化、数字化、智能化的快速发展,在推动生产方式和生活方式转变的同时,也带来一系列诸如安全、标准等新问题、新挑战,迫切需要营造良好的信息化创新发展环境。其中,关键信息基础设施安全、网络安全和数据安全涉及经济社会发展乃至国家安全问题,是信息技术广泛应用与数字经济健康发展的重要保障,需要加快完善信息安全领域的法律法规和监管制度,统筹好发展和安全两件大事。此外,面对日新月异的信息化新技术、新问题,从长期来看,我国仍需深化信息化、数字化、智能化理论体系研究,健全数字经济统计监测和安全风险预警,就涉及信息技术创新和数字经济发展的重大问题持续提出新思路新对策,全面提升国家信息化治理能力。 情報技術の長期的な発展を促進するためのイノベーション環境の最適化。 情報化、デジタル化、知能化の急速な発展は、生産や生活の変革を促進する一方で、セキュリティや標準化など一連の新しい問題や課題をもたらしており、情報化イノベーションの発展のための良い環境づくりが急務となっています。 中でも、重要情報インフラ、ネットワーク・セキュリティ、データ・セキュリティは、経済・社会の発展、さらには国家の安全保障問題にも関わり、情報技術の幅広い応用とデジタル経済の健全な発展を保証する重要なものであり、情報セキュリティ分野の法令・規制制度の整備を加速させ、発展とセキュリティの二大課題を調整する必要があります。 さらに、急速に変化する新しい情報技術と新たな問題に直面し、長期的には、中国は依然として、情報技術、デジタル化、インテリジェンスの理論体系に関する研究を深め、デジタル経済の統計的監視とセキュリティリスクの早期警告を改善し、情報技術の革新とデジタル経済の発展に関する主要な問題について新たなアイデアと新たな対策を提案し続け、国家の情報ガバナンス能力を総合的に向上させる必要があります。 
(作者:张凤 中国科学院科技战略咨询研究院副院长、研究员) (筆者:中国科学院科学技術戦略コンサルティング研究所副所長・研究員 張峰)
《“十四五”国家信息化规划》专家谈:构筑共建共治共享的数字社会治理体系 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:共同建設、共同統治、共有のデジタル社会統治システムの構築
编者按:党中央、国务院高度重视信息化工作,习近平总书记强调,没有信息化就没有现代化。信息化为中华民族带来了千载难逢的机遇,必须敏锐抓住信息化发展的历史机遇。“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。为使社会各界更好理解《规划》的主要内容,中央网信办组织有关专家学者对《规划》各项重点任务进行研究解读,共同展望数字中国建设新图景。 編集部注:党中央委員会と国務院は情報化を重視しており、習近平総書記は「情報化なくして近代化なし」と強調しています。 情報化は中華民族に千載一遇のチャンスをもたらしており、情報化の歴史的チャンスを鋭く掴まなければなりません。 「第14次5カ年計画期間中、情報化はデジタル開発を加速し、デジタル中国を構築するという新たな段階に入りました。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」)を発表し、第14次5ヵ年計画期間中の中国における情報化の発展について取り決めました。 この計画の主な内容を社会に理解してもらうために、中央インターネット情報局は、関連する専門家や学者を組織して、計画の重要な課題を研究、解釈し、デジタル中国の構築の新しい姿を共同で期待しています。
社会治理是国家治理的重要方面,社会治理现代化是国家治理体系和治理能力现代化的重要内容。习近平总书记强调,要“加快用网络信息技术推进社会治理”。党的十九大报告提出,“打造共建共治共享的社会治理格局”“提高社会治理的智能化水平”。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出,要“以数字化转型整体驱动治理方式变革”。   社会的ガバナンスは国家統治の重要な側面であり、社会的ガバナンスの近代化は、国家統治システムと統治能力の近代化の重要な要素です。 習近平総書記は、「ネットワーク情報技術の利用を加速し、社会的ガバナンスを促進する」必要性を強調しました。 第19回党大会の報告では、「共同建設、統治、共有の社会統治パターンを構築する」「社会統治の知能レベルを向上させる」ことが提案されています。 中華人民共和国の「第14次国家経済社会発展5カ年計画」と「2035年のビジョンの概要」では、「デジタルトランスフォーメーションを利用して、ガバナンス全体の変化を促すべきである」と提言されています。  
近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,以构筑共建共治共享的数字社会治理体系为主线,全面勾画了今后一段时期社会治理信息化的建设蓝图,对于加快推进我国社会治理现代化具有重要意义。  最近、ネットワークセキュリティと情報化の中央委員会が発表した「第14次5ヵ年計画の国家情報化計画」は、今後一定期間の社会統治情報化の構築の青写真を示しており、共同建設、統治、共有のデジタル社会統治システムの構築を主軸に、中国の社会統治の近代化を加速させる上で大きな意義を持っています。 
扎实推进社会治理创新,着力提升社会治理能力 ソーシャル・ガバナンスの革新の着実な推進と、ソーシャル・ガバナンスの能力向上
当前,社会治理模式正在从单向管理转向双向互动,从线下转向线上线下融合,从单纯的政府监管转向更加注重社会协同治理。在这三个“转向”中,确保社会既充满活力又和谐有序,必须坚持与时俱进,加强和创新社会治理。《规划》提出要运用现代信息技术为“中国之治”引入新范式、创造新工具、构建新模式。利用大数据、人工智能、物联网等信息化手段支持社会治理科学决策、精准施策,是适应社会治理新形势,构建社会治理新格局,推进社会治理现代化的重要内容和必然要求。   現在、ソーシャル・ガバナンスのモードは、一方通行の管理から双方向の相互作用へ、オフラインからオンライン・オフラインの統合へ、そして単純な政府の監督から、より強調された共同のソーシャル・ガバナンスへと移行しています。 このような3つの「シフト」の中で、活力ある調和のとれた秩序ある社会を実現するためには、時代を見据え、社会的ガバナンスを強化・革新していく必要があります。 本計画では、現代の情報技術を用いて、「中国のガバナンス」のための新しいパラダイムを導入し、新しいツールを作成し、新しいモデルを構築することを提案しています。 ビッグデータ、人工知能、モノのインターネットなどの情報技術ツールを活用して、ソーシャルガバナンスにおける科学的な意思決定と的確な政策立案をサポートすることは、ソーシャルガバナンスの新しい状況に適応し、ソーシャルガバナンスの新しいパターンを構築し、ソーシャルガバナンスの近代化を推進するための重要かつ必然的な要件です。  
社会治理领域面临的问题多而复杂,信息化支撑社会治理尤其是基层治理的能力仍有待提升。当前社会流动持续增强、社会结构日益复杂、线上线下融合渗透、群众诉求日趋多样、社会问题频发突发,对提升社会治理水平和治理能力提出迫切要求。然而现有信息化建设尚未能够对社会治理形成有效支撑。主要表现在:一是及时准确感知群众需求和社会发展态势的能力不足,信息技术与治安防控深度融合应用水平较低;二是及时预测预警预防和突发事件快速处置的能力不足,尚未能够充分支撑公共安全风险防控体系关口前移;三是支持跨区域跨部门跨主体的沟通协同共治能力不足,数据壁垒、信息孤岛等固有问题依然存在。《规划》深刻认识当前我国社会治理发展的形势、特点与问题,从数字社会治理基本格局、主要方面和关键任务等给出了全面的顶层设计,着力提升社会治理能力现代化。   ソーシャル・ガバナンスの分野で直面している問題は数多くかつ複雑であり、特に草の根レベルでのソーシャル・ガバナンスを支える情報技術の能力は、まだまだ向上させる必要があります。 現在、社会の流動性はますます高まり、社会構造はますます複雑化し、オンラインとオフラインの統合が浸透し、大衆の要求はますます多様化し、社会問題は頻繁かつ突発的に発生しており、社会統治のレベルと統治能力を向上させることが緊急の課題となっています。 しかし、既存の情報技術の構築では、ソーシャル・ガバナンスを効果的にサポートする形にはなっていない。 その主な現れは、第一に、大衆のニーズや社会の発展をタイムリーに正確に把握する能力が不十分であり、情報技術の応用や安全保障の予防と管理の綿密な統合のレベルが低いこと、第二に、緊急事態をタイムリーに予測・予防し、迅速に処理する能力が不十分であり、公共の安全保障リスクの予防と管理システムの前進を十分にサポートできていないこと、第三に、地域、部門、テーマを超えたコミュニケーションや共同統治をサポートする能力が不十分であり、データの障壁や情報のサイロなどの固有の問題が依然として存在することです。 データの壁や情報のサイロ化など、本質的な問題はまだ存在しています。 本計画は、中国におけるソーシャル・ガバナンス発展の現状、特徴、問題点を深く理解し、ソーシャル・ガバナンス能力の近代化を中心に、デジタル・ソーシャル・ガバナンスの基本パターン、主要な側面、重要な課題について、包括的なトップレベルの設計を行っています。  
构建数字社会治理格局,推进实现五大治理要素 デジタル社会のガバナンスパターンの構築と、5つの主要なガバナンス要素の実現の促進
《规划》要求,到2025年,基本形成党建引领、服务导向、资源整合、信息支撑、法治保障的数字社会治理格局。   この計画では、2025年までに、党建設、サービス志向、資源統合、情報支援、法の保護を中心としたデジタル・ソーシャル・ガバナンス・パターンを基本的に形成することを求めています。  
一是坚持党建引领。社会治理是一项复杂系统工程,越是复杂就越要抓住其关键所在。创新和提升社会治理,最根本是坚持和加强党的全面领导。坚持党建引领,就是要充分发挥党组织尤其是基层党组织建设的政治优势,将其转化为社会治理的工作优势。《规划》强调,要提升基层党建服务管理水平,健全党组织领导的自治、法治、德治相结合的城乡基层治理体系。 第一に、リードするための党の構築を堅持すること。ソーシャルガバナンスは複雑なシステムのプロジェクトであり、複雑であればあるほど、その鍵を掴むことが重要になります。 ソーシャルガバナンスを革新し、強化するためには、最も基本的なことは、党の全体的なリーダーシップを堅持し、強化することです。 党建設のリーダーシップを堅持することは、党組織、特に草の根の党組織を建設することによる政治的優位性を最大限に発揮し、それを社会統治における実務的優位性に変えることです。 計画では、草の根の党建設サービスと管理のレベルを向上させ、党組織の指導の下、自治、法の支配、道徳的な統治を組み合わせた都市部と農村部の草の根統治システムを改善する必要性を強調している。
二是坚持服务导向。习近平总书记强调,加强和创新社会治理,关键在体制创新,核心是人。因此数字社会治理建设要以为人民服务为导向,坚持人民群众在社会治理中的主体地位,发挥人民群众的主体作用。《规划》提出要真正让人民群众成为“社会治理的最广参与者,最大受益者,最终评判者”。  第二に、サービスの方向性を堅持すること。 習近平総書記は、社会的ガバナンスの強化と革新の鍵は、人々を核とした制度の革新にあると強調しました。 したがって、デジタル・ソーシャル・ガバナンスの構築は、人々に奉仕することを志向し、ソーシャル・ガバナンスにおける人々の主な立場を堅持し、人々の主な役割を果たすべきです。 この計画では、国民を「社会統治の最も広い参加者、最大の受益者、そして究極の判断者」とすることを提案しています。 
三是坚持资源整合。数字社会治理不是“空中楼阁”,必须要有坚实的资源保障。除了传统的资金、技术和人员资源外,还包括数据资源。碎片化的资源无法有效支持多方主体的共同参与。《规划》要求推动基层数据资源整合共享,推动基层政府与垂直部门的数据共享融合,促进部门数据根据需要向基层开放使用。把包括数据在内的各类资源集中整合有效配置,可以充分发挥集中力量办大事的制度优势。 第三に、リソースの統合を堅持すること。 デジタル・ソーシャル・ガバナンスは、「天空のパビリオン」ではなく、しっかりとしたリソースに裏打ちされたものでなければなりません。 従来の資金、技術、人的資源に加え、データ資源も含まれます。 リソースがバラバラでは、複数の当事者の共同参加を効果的にサポートできません。 この計画では、草の根レベルでのデータ資源の統合と共有の促進、草の根政府と垂直部門間のデータの共有と統合の促進、必要に応じて草の根レベルでの利用のための部門データの開放の促進が謳われています。 データを含むあらゆる種類のリソースを集中的に統合し、効果的に配分することで、権力を集中させることによる制度上の利点を最大限に発揮し、大きな成果を上げることができます。
四是坚持信息支撑。《规划》提出要提升基于数据的国家治理效能。数字社会治理必须建立“用数据说话、用数据决策、用数据管理和用数据创新”的理念,实现大数据与社会治理的深度融合。大数据在数字社会治理中的核心价值主要体现在通过对数据的挖掘来研判社会问题、预测社会需求,从而实现社会治理决策的科学化和服务的精细化。 第四に、情報提供を堅持すること。 本計画では、データに基づく国家統治の有効性を高めることを提案しています。 デジタル・ソーシャル・ガバナンスは、「データで語り、データで意思決定し、データで管理し、データで革新する」というコンセプトを確立し、ビッグデータとソーシャル・ガバナンスの深い融合を実現しなければなりません。 デジタル・ソーシャル・ガバナンスにおけるビッグデータの中核的価値は、主にデータのマイニングによって社会問題を判断し、社会のニーズを予測することで、科学的なソーシャル・ガバナンスの意思決定とサービスの洗練を実現することにあります。
五是坚持法治保障。法治是社会治理的基石。技术创新既包含机遇,也蕴含风险。要推动技术向“善”发展,充分发挥技术的积极作用,弱化其消极作用,关键是坚持科技应用与法治建设相结合,用依法行政带动依法治理,在法治轨道上推动社会治理的数字化创新。 第五に、法の支配を堅持すること。 法の支配は、社会的ガバナンスの礎です。 技術革新にはチャンスとリスクの両方があります。 技術の発展を「善」に向けて促進し、その積極的な役割を十分に発揮し、消極的な役割を弱めるためには、科学技術の応用と法の支配の構築を組み合わせ、法に基づく行政を利用して法に基づく統治を推進し、法の支配の軌道上で社会統治におけるデジタル・イノベーションを推進することを主張することが極めて重要です。
构筑数字社会治理体系,综合把握两个治理维度 デジタルソーシャルガバナンスシステムを構築し、ガバナンスの2次元を包括的に把握する
《规划》勾画的数字社会治理体系包括五大基本方向,即建设立体化智能化社会治安防控体系、打造一体化智慧化公共安全体系、打造平战结合的应急信息化体系、创新基层社会治理、推进新型智慧城市高质量发展。围绕五大方向,《规划》部署了具体任务和工程,可以归纳为两个维度。 計画で示されたデジタル社会統治システムには、5つの基本的な方向性が含まれています。すなわち、3次元的でインテリジェントな社会保障の予防と制御システムの構築、統合的でインテリジェントな公共安全システムの構築、民戦を統合した緊急情報システムの構築、草の根社会統治の革新、新しいスマートシティの高品質な開発の促進です。 5つの方向性に沿って、計画では具体的なタスクやプロジェクトを展開していますが、その内容は2つの側面に集約されます。
一是由日常性与突发性构成的时间维度。在“日常性”的社会治理场景中,数字社会治理要能够保证对社会治理运行状态的精确把握,要让服务更精细,治理更精准。比如《规划》要求,深化公共安全视频图像建设联网,加快图像识别、物联网、大数据、人工智能等信息技术在治安防控领域中的深度融合应用,提升社会治安防控的整体性、协同性、精准性;到2025年基本健全多部门协同的灾害事故信息报送、预警发布、信息共享和应急处置机制,基本建成精细化服务感知、精准化风险识别、网络化行动协作的基层智慧治理体系。在“突发性”的社会治理场景中,数字社会治理要为提高对事件的响应和处置能力,以及对多部门之间、政府和企事业单位之间的协同应急反应能力提供高效支撑。比如,《规划》要求要打造平战结合的应急信息化体系,全面提升多部门协同的监测预警能力;增强应急管理全面感知、快速处置、精准监管和物资保障能力,有效提升防灾、减灾、抗灾、救灾水平,遏制重特大事故发生。 第一は、日常性と突発性からなる時間次元です。 ソーシャルガバナンスの「日常」において、デジタル・ソーシャルガバナンスは、ソーシャルガバナンスの運用状況を正確に把握し、サービスをより洗練されたものにし、ガバナンスをより正確なものにすることができるはずです。 例えば、本計画では、公共のセキュリティビデオ画像のネットワーク化を深め、画像認識、モノのインターネット、ビッグデータ、人工知能などの情報技術のセキュリティ予防・制御分野での綿密な統合と応用を加速し、社会セキュリティの予防・制御の整合性、相乗効果、正確性を高めること、2025年までに災害・事故情報の報告、早期警報、情報共有、緊急処理メカニズムの多部門連携を基本的に改善すること、などが謳われています。 2025年までには、災害情報の報告、早期警報、情報共有、緊急対応のためのマルチセクター・メカニズムを基本的に整備します。 突発的な」ソーシャル・ガバナンスのシナリオにおいて、デジタル・ソーシャル・ガバナンスは、対応能力や処理能力の向上、複数の部門間や政府と企業・機関との間の協働的な緊急対応能力の向上を効率的にサポートする必要があります。 例えば、本計画では、民戦統合型の緊急情報システムを構築し、多部門連携による監視・早期警戒能力を総合的に強化し、緊急管理の総合的な認識、迅速な処理、的確な監督、物的保安能力を強化して、災害の予防、緩和、抵抗、救援を効果的に改善し、重大事故の発生を抑制することを求めている。
二是由区域、城市与乡村构成的空间维度。《规划》在发展目标中明确要求“统筹城乡区域发展,深化区域信息化一体化发展”。区域、城市和乡村面临的社会治理问题不同,数字社会治理的任务也不同。数字社会治理可以以城市为中心枢纽,实现区域和城乡的联动治理,保障区域之间、城乡之间的信息化充分平衡发展。有些工作需要在宏观层面把握其系统性,适宜于放在区域或城市整体层面统筹安排。比如《规划》提出围绕公共交通、快递物流、就诊就学、城市运行管理、生态环保、证照管理、市场监管、公共安全、应急管理等重点领域,推动一批智慧应用区域协同联动,促进区域信息化协调发展。有些工作则需要在微观层面保证其回应性,适宜于放在基层或乡村推进共建共治共享。比如《规划》提出要加快打造智慧社区,充分整合民政、卫健、住建、应急、综治、执法等部门系统基层入口,构建网格化管理、精细化服务、信息化支撑、开放共享的基层治理平台。 第二は、地域、都市、田舎からなる空間的な次元です。 この計画では、開発目標に「都市部と農村部の開発を協調させ、地域の情報化の統合的発展を深める」ことを明確に謳っています。 地域や都市、村が抱えるソーシャル・ガバナンスの問題はそれぞれ異なり、デジタル・ソーシャル・ガバナンスの課題もまた異なります。 デジタル・ソーシャル・ガバナンスでは、都市を中心にして、地域や都市と農村の連携を実現し、地域や都市と農村の間の情報技術の完全でバランスのとれた発展を図ることができます。 タスクの中には、そのシステム的な性質からマクロレベルで把握する必要があり、地域や都市全体のレベルで統合的に配置することが適しているものもあります。 例えば、公共交通、エクスプレス物流、医療・学校、都市運営・管理、エコロジー・環境保護、免許管理、市場監督、公共安全・緊急管理などの主要分野を中心に、スマートアプリケーションの地域的な相乗効果を多数促進し、地域の情報化の協調的な発展を促進することを提案しています。 ミクロレベルでの対応を確実にする必要があり、共同建設、共同管理、共有を促進するために、草の根や農村レベルに配置するのに適した作業もあります。 例えば、スマートコミュニティの構築を加速し、民政、保健、住宅・建設、緊急対応、一般統治、法執行などの各部門のシステムに草の根の入り口を完全に統合し、グリッドベースの管理、洗練されたサービス、情報支援、オープンシェアリングなどの草の根の統治プラットフォームを構築することを提案しています。
坚持优化协同高效原则,全面提升四种治理能力 最適化と相乗効果、効率化の原則の堅持と、4種類のガバナンス能力の総合的な強化
一是提升对社会治理复杂系统运行的感知能力。感知能力是精准把握社会复杂系统运行的基础能力,为实现数字社会治理的优化、协同、高效提供基础资源。《规划》提出建设城市感知决策中枢,加强城市管网、公共空间、道路交通、轨道交通、消防、水利设施、大型口岸、重大活动保障等领域的运行态势感知和智能分析;探索建设数字孪生城市,实施智能化市政基础设施建设和改造,提升城市运转和经济运行状况。 第一は、複雑な社会的ガバナンスのシステムの作動を感知する能力の向上です。 感知する能力とは、複雑な社会システムの動作を正確に把握するための基本的な能力であり、デジタル・ソーシャル・ガバナンスの最適化、相乗効果、効率化を実現するための基本的なリソースを提供するものです。 計画では、都市の知覚と意思決定のハブを構築し、都市のパイプライン網、公共空間、道路交通、鉄道交通、消防、水利施設、大規模な入港地、主要イベントの運営に関する知覚とインテリジェントな分析を強化し、デジタルツインシティの構築を模索し、インテリジェントな都市インフラの構築と変革を実施し、都市とその経済の運営を改善することを提案しています。
二是提升对社会治理风险防控的决策能力。社会治理决策不能简单依靠主观臆测,必须“用数据说话”“用科学论证”,实现优化的社会治理。《规划》提出要建设社会治理大数据与模拟推演科学研究平台,开展人工智能条件下的社会治理实验;推行城市“一张图”数字化管理和“一网统管”模式;提升公共卫生、疾病防控、食品药品安全、生产安全、城市安全、自然灾害、快递物流等重点领域风险防控能力和公共安全风险识别、预报预警能力。 第二は、ソーシャル・ガバナンス・リスクの予防とコントロールに関する意思決定能力の向上です。 ソーシャルガバナンスの決定は、単に主観的な憶測に頼るのではなく、最適なソーシャルガバナンスを実現するために「データで語る」「科学で論じる」ことが必要です。 計画では、ソーシャルガバナンスのビッグデータとシミュレーションのための科学研究プラットフォームを構築し、人工知能の条件下でソーシャルガバナンスの実験を行うこと、都市の「1マップ」「1ネットワーク」モデルのデジタル管理を実施すること、公衆衛生、疾病の予防と管理、食品・医薬品の安全性、生産の安全性、都市の安全性、自然災害、エクスプレス物流などの主要分野におけるリスクを予防・管理する能力、および公衆衛生上のリスクを特定して予測・警告する能力を強化します。
三是提升社会治理多元主体协同能力。数字社会治理需要多方力量的共同参与,实现部门协同、区域协同以及政府与企事业单位、社区居民的协同,为此应拓展沟通渠道、统合业务流程、打通部门壁垒、共享数据资源,实现协同的社会治理。《规划》提出要全面提升多部门协同的监测预警能力、监管执法能力、辅助指挥决策能力、救援实战能力和社会动员能力;强化政府、企业、医疗卫生机构数据共享和协同应用;大力拓展社会资源线上参与公益慈善途径,促进政府治理同社会调节,居民自治良性互动;推动基层组织建设和信息发布、政策咨询、民情收集、民主协商、公共服务、邻里互助等事务网上运行,打造“互联网+群防群治”体系等。 第三は、ソーシャル・ガバナンスにおける複数のアクターの能力の向上です。 デジタル・ソーシャル・ガバナンスの実現には、部門間・地域間の相乗効果や、政府・企業・機関・地域住民間の相乗効果など、複数の力を結集する必要があります。 そのためには、コミュニケーション・チャンネルの拡大、業務プロセスの統一、部門間の壁の打破、データ・リソースの共有など、協働によるソーシャル・ガバナンスの実現が必要です。 計画では、多部門連携の監視・早期警戒能力、監督・法執行能力、補助的な指揮・意思決定能力、救助・戦闘能力、社会的動員能力を総合的に強化すること、政府、企業、医療・保健機関の間でのデータ共有と共同利用を強化すること、社会資源がオンラインで公共の福祉や慈善活動に参加する方法を積極的に拡大し、政府の統治、社会の規制、住民の自治の間の良識ある相互作用を促進すること、草の根組織と情報機関の構築を促進することを提案しています。 また、草の根組織の構築や、情報発信、政策協議、世論収集、民主的協議、公共サービス、近隣の相互扶助などのオンライン運営を推進し、「インターネット+集団予防・統治」システムを構築していきます。
四是提升社会治理资源与服务共享的平台能力。平台化有助于社会治理资源的有效配置,实现高效的社会治理。《规划》提出要充分整合各部门系统基层入口,搭建基层治理平台;稳步推进城市数据资源体系和数据大脑建设,打造互联、开放、赋能的智慧中枢,完善城市信息模型平台和运行管理服务平台;强化粮食和战略应急物资数据资源整合和共享,推动信息技术更好支撑疾病预防控制体系和重大疫情防控救治体系建设等。 第四は、ソーシャル・ガバナンスのリソースやサービスを共有するためのプラットフォームの能力の向上です。 プラットフォーマーは、ソーシャルガバナンスのリソースを効果的に配分し、効率的なソーシャルガバナンスを実現します。 計画では、各部門システムの草の根の入り口を完全に統合し、草の根のガバナンスプラットフォームを構築すること、都市データ資源システムとデータブレーンの構築を着実に進め、相互に接続されたオープンで権限のある知恵のハブを構築し、都市情報モデルプラットフォームと運用管理サービスプラットフォームを改善すること、食糧や戦略的緊急物資に関するデータ資源の統合と共有を強化し、疾病予防・管理システムや大規模な伝染病の予防・管理・治療システムなどの構築をよりよくサポートするために情報技術を促進します。
“社会治理是一门科学”,数字社会治理是这门科学上的时代亮点。未来五年,随着数字中国建设取得决定性进展,数字社会治理格局将基本形成,数字社会治理能力将得到大幅提升,推动我国社会治理从“大国之治”迈向“强国之治”。各级政府针对《规划》内容,应尽快因地制宜分解目标任务、制定行动方案,确保数字社会治理各项政策措施落实到位。 ソーシャル・ガバナンスは科学であり、デジタル・ソーシャル・ガバナンスは、このサイエンスに関する時代のハイライトです。 今後5年間、「デジタル中国」の構築が決定的に進むにつれて、デジタル・ソーシャル・ガバナンスのパターンが基本的に形成され、デジタル・ソーシャル・ガバナンスの能力が大幅に強化され、中国のソーシャル・ガバナンスが「大国の統治」から「強国の統治」へと促進されるでしょう。 あらゆるレベルの政府は、本計画の内容を受けて、デジタル・ソーシャル・ガバナンスのための政策や措置を確実に実施するために、目的や課題を分解し、地域の状況に応じた行動計画を早急に策定すべきです。 
(作者:黄璜 北京大学政府管理学院副院长) (筆者:黄娟(北京大学政府管理学院副院長)。

 

 

 


 

第14次5ヵ年計画における国家情報化計画

国家互联网信息办公室(国家サイバースペース管理局)

2022.12.27 中央网络安全和信息化委员会印发《“十四五”国家信息化规划》 ネットワークセキュリティ・情報化中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表

・[PDF] “十四五”国家信息化规划

20211228-165954

・[DOCX] 仮訳

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

 

関連法令等。。。

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

| | Comments (0)

2022.02.19

総務省 「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果の公表

こんにちは、丸山満彦です。

総務省が「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果を公表していますね。。。

ここで検討しているガバナンスはコーポレートガバナンス全体というよりも、

「サイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方」

ですね。。。きっかけの一つはLineのデータが...ということでLineを買収したソフトバンクグループのガバナンスがどうだったのか...ということが背景にあったのかもしれませんね。。。

データガバナンス、セキュリティガバナンス等が、コーポレートガバナンスの部分集合だとすると、コーポレートガバナンスの課題からの掘り下げがあってもよいのだろうと思ったりもします。

電気通信事業者に関わらず、日本企業のコーポレートガバナンスについては課題が多いのだろうと思います。。。例えば、有効に機能していないグローバルガバアンス(特に買収した海外子会社に対して...)、同一企業で繰り返し起こっている企業不正・不祥事等、、、

その主要因は、モノを言わない株主、外部取締役の優遇による内部昇進取締役がガバナンスすることになっていることなのかもしれませんね。。。

 

さて、、、

● 総務省

・2022.02.18 「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果の公表

 

意見に対する対応は144ページあります(^^)

意見を提出した団体については、、、28団体、個人20名のようですが、

在日米国商工会議所、グーグル合同会社、Twitter, Inc.、Asia Internet Coalition (AIC)もありますね。。。



報告書

・[PDF] 別紙2

20220219-51127

意見

・[PDF] 別紙1

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.15 総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

 


 

144ページもある意見の総論の部分

↓ ↓ ↓ ↓ ↓ ↓   

 

Continue reading "総務省 「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果の公表"

| | Comments (0)

NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

こんにちは、丸山満彦です。

NISTが、「SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス」を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.02.17 SP 800-219 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP)

 

SP 800-219 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス
Announcement 発表内容
This publication provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. It introduces the mSCP, describes use cases for leveraging the mSCP content, and gives an overview of the resources available on the project’s GitHub site. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules, and it is continuously curated and updated to support each new release of macOS. 本書は、システム管理者、セキュリティ専門家、セキュリティポリシーの作成者、情報セキュリティ担当者、監査人が、自動化された方法でmacOSのデスクトップおよびラップトップシステムのセキュリティを確保、評価するために活用できるリソースを提供します。mSCPの紹介、mSCPのコンテンツを活用したユースケース、プロジェクトのGitHubサイトで利用できるリソースの概要を説明しています。GitHubサイトでは、実用的な推奨事項がセキュアベースラインと関連するルールの形で提供されており、macOSの各新リリースをサポートするために継続的にキュレーションとアップデートが行われています。
Abstract 概要
The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティ・ポリシー作成者、情報セキュリティ・オフィサー、監査人が、自動化された方法でmacOSデスクトップおよびラップトップ・システムのセキュリティを確保・評価するために活用できるリソースを提供しています。本書では、mSCPを紹介するとともに、プロジェクトのGitHubサイトで利用できるリソースの概要を説明しています。GitHubサイトは、macOSの各新リリースをサポートするために継続的に管理・更新されています。GitHubサイトでは、安全なベースラインと関連するルールの形で、実用的で実行可能な推奨事項を提供しています。本書では、mSCPのコンテンツを活用したユースケースについても紹介しています。

 

・[PDF] SP 800-219 (Draft)

20220218-165131

 

Executive Summary  エグゼクティブサマリー
The National Institute of Standards and Technology (NIST) has traditionally published secure configuration guides for Apple desktop/laptop operating system versions as prose-based Special Publications (SPs), such as NIST SP 800-179 Revision 1, Guide to Securing Apple macOS 10.12 Systems for IT Professionals: A NIST Security Configuration Checklist. In order to provide security configuration guidance to organizations more quickly and in a machine-consumable format, NIST has established the open-source macOS Security Compliance Project (mSCP). Instead of NIST producing a prose SP guidance document for each macOS release, the mSCP will continuously curate and update machine-consumable macOS guidance.  米国国立標準技術研究所(NIST)は、従来、アップル社のデスクトップ/ラップトップオペレーティングシステムのバージョンに対応したセキュリティ設定ガイドを、「SP 800-179 ITプロフェッショナルのためのApple OS X 10.10システムのセキュリティに関するガイド:NISTセキュリティ構成チェックリスト」として発行してきました。NISTは、セキュリティ設定に関するガイダンスをより迅速に、かつ機械で消費可能な形式で組織に提供するために、オープンソースのmacOSセキュリティ・コンプライアンス・プロジェクト(mSCP)を設立しました。NISTは、macOSのリリースごとにSPガイダンスドキュメントを作成するのではなく、mSCPは、マシンで消費可能なmacOSガイダンスを継続的に収集・更新します。
The mSCP seeks to simplify the macOS security development cycle by reducing the amount of effort required to implement security baselines. Security baselines are groups of settings used to configure a system to meet a target level or set of requirements, or to verify that a system complies with requirements. The mSCP, a collaboration among federal agencies, minimizes duplicate effort that would otherwise be needed for these agencies to administer individual security baselines. Additionally, the secure baseline content provided is easily extensible by other parties to implement their own security requirements.   mSCPは、セキュリティベースラインの実装に必要な労力を削減することで、macOSのセキュリティ開発サイクルを簡素化することを目的としています。セキュリティベースラインとは、目標とするレベルや一連の要件を満たすようにシステムを構成したり、システムが要件に準拠しているかどうかを検証したりするために使用される設定のグループです。mSCPは、連邦政府機関のコラボレーションにより、各機関が個別にセキュリティベースラインを管理する際に必要となる重複した作業を最小限に抑えます。さらに、提供されたセキュリティベースラインのコンテンツは、他の当事者が独自のセキュリティ要件を実装するために容易に拡張することができます。 
This document provides a high-level overview of the mSCP, its components, and some common use cases. Readers seeking more detailed information on mSCP content or the content itself should visit the mSCP GitHub page and wiki このドキュメントでは、mSCP の概要、構成要素、および一般的な使用例について説明しています。mSCP コンテンツやコンテンツ自体についてより詳細な情報は、mSCP の GitHub ページおよび wikiをご覧ください。
Organizations using mSCP content, particularly security baseline examples, should take a riskbased approach for selecting the appropriate settings and defining setting values that takes into account the context under which the baseline will be utilized.  mSCP のコンテンツ、特にセキュリティ・ベースラインの例を使用する組織は、ベースラインが利用される状況を考慮して、リスクベースのアプローチで適切な設定を選択し、設定値を定義する必要があります。

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Audience 1.2 対象者
1.3 Document Structure 1.3 文書の構成
2 Project Description 2 プロジェクトの説明
2.1 Project Goals 2.1 プロジェクトの目標
2.2 mSCP Content Use 2.2 mSCPコンテンツの使用
3 mSCP Components 3 mSCPのコンポーネント
3.1 Security Baseline Files 3.1 セキュリティベースラインファイル
3.1.1 Rule File Composition 3.1.1 ルールファイルの構成
3.1.2 Rule File Categories 3.1.2 ルールファイルのカテゴリー
3.2 Configuration Profiles and Scripts 3.2 構成プロファイルとスクリプト
3.3 Content Generation Scripts 3.3 コンテンツ生成スクリプト
3.3.1 Generate Baseline Script 3.3.1 ベースラインスクリプトの生成
3.3.2 Generate Guidance Script 3.3.2 ガイダンススクリプトの生成
3.3.3 macOS Security Compliance Tool 3.3.3 macOSセキュリティコンプライアンスツール
3.3.4 OVAL Generation Script 3.3.4 OVAL生成スクリプト
3.3.5 Generate Mapping Script 3.3.5 マッピングスクリプトの生成
3.4 Customization 3.4 カスタマイゼーション
3.5 Directories 3.5 ディレクトリー
References 参考文献
Appendix A— mSCP User Roles 附属書 A- mSCP ユーザーの役割
Appendix B— Example of mSCP Usage by a Security Professional 附属書 B- セキュリティ専門家によるmSCPの使用例
Appendix C— Example of mSCP Usage by an Assessment Tool Vendor 附属書 C- アセスメント・ツール・ベンダーによるmSCPの使用例
Appendix D— Acronyms 附属書 D- 頭字語

 

Supplemental Material:

 

| | Comments (0)

2022.02.18

ETSI 協調的な脆弱性開示のためのガイド

こんにちは、丸山満彦です。

European Telecommunications Standards Institute: ETSI(欧州電気通信標準化機構[wikipedia])が、「 協調的な脆弱性開示のためのガイド」を公表していますね。。。

IoTの時代になってくるとこういうのって重要なんですよね。。。

European Telecommunications Standards Institute: ETSI

・2022.02.17 ETSI RELEASES REPORT ON COORDINATED VULNERABILITY DISCLOSURE - HELPING ORGANIZATIONS FIX SECURITY VULNERABILITIES

ETSI RELEASES REPORT ON COORDINATED VULNERABILITY DISCLOSURE - HELPING ORGANIZATIONS FIX SECURITY VULNERABILITIES ETSI、協調的な脆弱性開示に関する報告書を発表 - 組織によるセキュリティ脆弱性の修正を支援
ETSI has released on 27 January a Guide to Coordinated Vulnerability Disclosure. The Technical Report ETSI TR 103 838 will help companies and organizations of all sizes to implement a vulnerability disclosure process and fix vulnerability issues before they’re publicly disclosed. ETSIは、1月27日に「協調的な脆弱性開示のためのガイド」を発表しました。この技術報告書ETSI TR 103 838は、あらゆる規模の企業や組織が、脆弱性開示プロセスを実施し、脆弱性問題が公に開示される前に修正することを支援します。
As of early 2022 only about 20% of ICT and IoT companies have a publicly identifiable dedicated means to notify a company of a potentially serious security issue with their products or services. Many companies provide a website “contact us” page or have a presence on social media through which a security issue could be reported. However, in most cases without a formal separate CVD process, many companies lack the internal process to handle such reports in a timely manner especially where third party elements are included in their products. 2022年初頭の時点で、ICTおよびIoT企業のうち、自社の製品やサービスに潜在する深刻なセキュリティ問題を企業に通知するための、公的に識別可能な専用の手段を持っているのは約20%に過ぎません。多くの企業は、ウェブサイトの「お問い合わせ」ページを提供したり、ソーシャルメディアでセキュリティ問題を報告できるようにしたりしています。しかし、ほとんどの場合、正式な独立したCVDプロセスがないため、多くの企業は、特にサードパーティの要素が自社製品に含まれている場合、このような報告をタイムリーに処理するための内部プロセスがありません。
Alex Leadbeater ETSI TC Cyber Chair noted that “While some large companies offer excellent paid vulnerability identification CVD schemes, a significant majority of  ICT and IoT companies still do not have any form of CVD scheme in place. This is especially true of smaller companies and for companies with products that are not subject to formal regulatory related cyber security or safety testing. Such schemes are equally important for both physical product manufacturers and service or App providers”.  ETSI TC Cyber議長のアレックス リードビータ氏は次のように述べています。「一部の大企業は、優れた有料の脆弱性診断CVDスキームを提供していますが、ICTおよびIoT企業の大多数は、いまだに何らかの形でCVDスキームを導入していません。これは、特に小規模企業や、規制に関連した正式なサイバーセキュリティや安全性テストを受けていない製品を持つ企業に当てはまります。このようなスキームは、物理的な製品メーカーとサービスやアプリのプロバイダーの両方にとって同様に重要です。」
As mandated in ETSI EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements, a CVD scheme is a key requirement in ensuring on-going strong cyber security after a product has been placed on the market. Ranked after not using default passwords, an inability to handle cyber security vulnerabilities in life has been a significant contributory factor in many recent IoT product security failures. ETSI EN 303 645 「消費者向けIoTのためのサイバーセキュリティの基本的な要件」に規定されているように、CVDスキームは、製品が市場に出回った後、継続的に強力なサイバーセキュリティを確保するための重要な要件です。最近のIoT製品のセキュリティ障害の多くは、デフォルトのパスワードを使用していないことに加え、サイバーセキュリティの脆弱性を生活の中で処理できないことが大きな要因となっています。
The ETSI Report contains advice on how to respond to and manage a vulnerability disclosure, a defined triage process, advice on managing vulnerabilities in third party products or suppliers. It also includes an example of a vulnerability disclosure policy. This is especially important for SMEs or larger companies who do not already have experience of CVD schemes or dealing with security vulnerabilities that are reported by security researchers. このETSIレポートには、脆弱性開示への対応と管理方法、定義されたトリアージプロセス、サードパーティ製品やサプライヤーの脆弱性管理に関するアドバイスが含まれています。また、脆弱性開示ポリシーの例も含まれています。これは、CVD制度やセキュリティ研究者から報告されたセキュリティ脆弱性への対応をまだ経験していない中小企業や大企業にとって特に重要です。
Security plays a crucial role in the development and lifecycle of systems, products and services. At any time in the lifecycle, a vulnerability can be found that weakens the security if left unaddressed. If a vulnerability is found in development, this can be addressed before the product is released. Often, however, vulnerabilities are found after a system, product or service has been deployed. In this case, it can be difficult for the finder to know how or where to report the vulnerability. セキュリティは、システム、製品、サービスの開発およびライフサイクルにおいて重要な役割を果たします。ライフサイクルの中では、いつでも脆弱性が発見される可能性があり、それを放置するとセキュリティが弱くなります。開発中に脆弱性が発見された場合は、製品がリリースされる前に対処することができます。しかし、多くの場合、システムや製品、サービスが導入された後に脆弱性が発見されます。この場合、発見者は、どこでどのように脆弱性を報告すればよいのかを知ることが困難な場合があります。
To remedy this, an organization should have a vulnerability disclosure process. There are many reasons to do so: このような状況を改善するために、組織は脆弱性開示プロセスを持つべきです。それには多くの理由があります。
・A vulnerability disclosure process helps an organization to respond most effectively to a security vulnerability. ・脆弱性開示プロセスは、組織がセキュリティ脆弱性に最も効果的に対応するのに役立ちます。
・By providing a clear process, organizations can receive the information directly so the vulnerability can be addressed, and any associated risk reduced. ・明確なプロセスを提供することで、組織は情報を直接受け取ることができ、脆弱性に対処し、関連するリスクを低減することができます。
・Vulnerability reports can provide organizations with valuable information that can be used to improve the security of systems, products and services. ・脆弱性レポートは、システム、製品、およびサービスのセキュリティを向上させるために使用できる貴重な情報を組織に提供できます。
・The presence of a vulnerability disclosure process demonstrates that an organization takes security seriously. ・脆弱性開示プロセスの存在は、組織がセキュリティに真剣に取り組んでいることを示します。
・By accepting and receiving vulnerability reports, organizations will reduce the number of vulnerabilities in their systems, products or services. ・脆弱性の報告を受け入れ、受け取ることで、組織はシステム、製品、またはサービスに含まれる脆弱性の数を減らすことができます。
・It allows organizations to engage constructively with finders. This engagement means the organization can receive valuable information that would otherwise be missed, or require additional time and effort to discover.  ・組織は発見者と建設的に関わることができます。これは、組織が、他の方法では見落とされたり、発見するために追加の時間と労力を必要とする貴重な情報を受け取ることができることを意味します。
Having a clearly sign-posted disclosure process demonstrates that an organization takes security seriously. By contrast, if an organization does not provide a vulnerability disclosure route, finders who discover vulnerabilities may resort to public disclosure of the information, or vulnerabilities and subsequent exploits may go undetected until an otherwise avoidable serious widescale security event occurs. This public release can result in reputational damage and can lead to a compromise.  明確なサインポストのある開示プロセスを持つことは、組織がセキュリティに真剣に取り組んでいることを示します。反対に、組織が脆弱性の開示ルートを提供していない場合、脆弱性発見者は、その情報を公開することに頼るかもしれません。あるいは、回避可能な大規模で深刻なセキュリティイベントが発生するまで、脆弱性とそれに続く悪用は発見されないかもしれません。このような公開は、評判を落とす結果となり、危害を加えることになります。 
As demonstrated by the recent Log4j security bug, early identification and resolution of security vulnerabilities through a CVD scheme should be a key part of every company’s cyber security strategy. 最近のLog4jのセキュリティ・バグで示されたように、CVDスキームによるセキュリティ脆弱性の早期発見と解決は、すべての企業のサイバー・セキュリティ戦略の重要な部分であるべきです。

 

・[PDF] ETSI TR 103 838 V1.1.1 (2022-01) Cyber Security; Guide to Coordinated Vulnerability Disclosure

20220218-100610 

目次

Foreword はじめに
Modal verbs terminology 用語集
Introduction はじめに
1  Scope 1 範囲
2  References 2 引用規格
2.1  Normative references 2.1 規範規格
2.2  Informative references 2.2 参考規格
3  Definition of terms, symbols and abbreviations 3 用語、記号、略語の定義
3.1  Terms 3.1 用語
3.2  Symbols 3.2 記号
3.3  Abbreviations 3.3 省略形
4  Introduction 4 序文
4.1  Importance of establishing a vulnerability disclosure process 4.1 脆弱性開示プロセスを確立することの重要性 
4.2 The vulnerability disclosure process 4.2 脆弱性の公開プロセス 
4.3 How to use the present document 4.3 本文書の使用方法 
5  Guidance on implementation 5 導入ガイダンス 
5.1  General 5.1 一般 
5.2  Vulnerability disclosure policy 5.2 脆弱性開示ポリシー 
5.3  How to receive a vulnerability report 5.3 脆弱性レポートの受け取り方 
5.3.1  General 5.3.1 一般 
5.3.2  Vulnerability disclosure template 5.3.2 脆弱性開示テンプレート 
5.4  security.txt 5.4 security.txt 
5.5  Responding to a vulnerability disclosure 5.5 脆弱性開示への対応 
5.5.1  Communication and response 5.5.1 コミュニケーションと対応 
5.5.2  Triage 5.5.2 トリアージ 
5.5.3  Acknowledging the finder 5.5.3 発見者への謝辞 
5.5.4 Public Advisory 5.5.4 公開諮問 
5.5.5 Requesting a CVE ID 5.5.5 CVE IDの要求 
5.6 Vulnerability Management 5.6 脆弱性の管理 
5.6.1  Process 5.6.1 プロセス 
5.6.2  Third Party Suppliers 5.6.2 サードパーティサプライヤ 
6  Examples 6 例 
6.1  Example Vulnerability Disclosure Policy 6.1 脆弱性開示ポリシー例 
History 履歴

 

・[DOCX] 4から6までの仮対訳

 

参考

● ETSI

・[PDF]ETSI EN 303 645 V2.1.1 (2020-06)

ISO

ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure

This document provides requirements and recommendations to vendors on the disclosure of vulnerabilities in products and services. Vulnerability disclosure enables users to perform technical vulnerability management as specified in ISO/IEC 27002:2013, 12.6.1[1]. Vulnerability disclosure helps users protect their systems and data, prioritize defensive investments, and better assess risk. The goal of vulnerability disclosure is to reduce the risk associated with exploiting vulnerabilities. Coordinated vulnerability disclosure is especially important when multiple vendors are affected. This document provides: 本文書は、製品やサービスに含まれる脆弱性の開示について、ベンダーに対する要求事項と推奨事項を定めたものです。脆弱性の開示により、ISO/IEC 27002:2013の12.6.1[1]で規定されている技術的な脆弱性管理を行うことができます。脆弱性の開示は、ユーザがシステムやデータを保護し、防御のための投資を優先し、リスクをより適切に評価するのに役立ちます。脆弱性の公開の目的は、脆弱性の悪用に伴うリスクを低減することです。複数のベンダーが影響を受けている場合、協調した脆弱性の公開は特に重要です。本文書では
— guidelines on receiving reports about potential vulnerabilities; ・潜在的な脆弱性に関する報告を受ける際のガイドライン
— guidelines on disclosing vulnerability remediation information; ・脆弱性の修正情報を公開する際のガイドライン
— terms and definitions that are specific to vulnerability disclosure; ・脆弱性情報の開示に特有の用語と定義
— an overview of vulnerability disclosure concepts; ・脆弱性開示の概念の概要
— techniques and policy considerations for vulnerability disclosure; ・脆弱性情報開示のための技術や方針の検討
— examples of techniques, policies (Annex A), and communications (Annex B). ・技法、方針(附属書A)、コミュニケーション(附属書B)例
Other related activities that take place between receiving and disclosing vulnerability reports are described in ISO/IEC 30111. 脆弱性レポートを受け取ってから開示するまでの間に行われるその他の関連活動については、ISO/IEC 30111に記載されています。
This document is applicable to vendors who choose to practice vulnerability disclosure to reduce risk to users of vendors' products and services. 本文書は、ベンダーの製品やサービスの利用者のリスクを低減するために、脆弱性の開示を実践することを選択したベンダーに適用されます。

 

 

 

| | Comments (0)

個人情報保護委員会 外国における個人情報の保護に関する制度等の調査

こんにちは、丸山満彦です。

これは、、、っと、ずっと眺めていたので、ついついブログに書くのをわすれていました・・・

グローバルに活動している企業は、各国の法制度の対応が求められるので、海外の個人データ保護法制についての理解が必要となるのですが、個人情報保護委員会がまとめてくれていますね。。。

 

個人情報保護委員会

・2022.02.10 令和2年 改正個人情報保護法についてのページの「外国における個人情報の保護に関する制度等の調査について」を更新しました。

国別

外国における個人情報の保護に関する制度等の調査(報告書)

 ・2021.11 [PDF] 外国における個人情報の保護に関する制度等の調査(報告書)
 

↑ 380ページある...

 

国別...

アメリカ合衆国 連邦
イリノイ州
カリフォルニア州
ニューヨーク州
アラブ首長国連邦 連邦
ADGM 
DHC 
DIFC
インド
インドネシア共和国
ウクライナ
オーストラリア連邦
カナダ 
カンボジア王国
シンガポール共和国
スイス連邦
タイ王国
大韓民国
台湾
中華人民共和国
トルコ共和国
ニュージーランド
フィリピン共和国
ブラジル連邦共和国
ベトナム社会主義共和国
香港
マレーシア
ミャンマー連邦共和国
メキシコ合衆国 
ラオス人民民主共和国
ロシア連邦 

 

Ppc_logo_20210325120001_20210520035201

 

Continue reading "個人情報保護委員会 外国における個人情報の保護に関する制度等の調査"

| | Comments (0)

2022.02.17

欧州データ保護委員会 (EDPB) 各国個人データ保護機関が協調して公共部門によるクラウドベースサービスの利用に関する調査を開始

こんにちは、丸山満彦です。

欧州のEDPSを含むEEA内22の個人データ保護機関が協調して、公共部門(EU機関を含む75以上の公共機関)におけるクラウドベースサービスの利用に関する調査を開始するようですね。。。

公共部門におけるクラウド利用が進み(特にCOVID-19)を鑑み、その利用状況が適正であるかを調査し、ベストプラクティスの作成につなげるようですね。。。

2022年末までに報告書をまとめるようです。。。

 

European Data Protection Board: EDPB

・2022.02.15 Launch of coordinated enforcement on use of cloud by public sector

Launch of coordinated enforcement on use of cloud by public sector 公共部門でのクラウド利用に関する協調的な実施を開始
Brussels, 15 February - Today marks the kick-off of the first coordinated enforcement action of the European Data Protection Board. In the coming months, 22 national supervisory authorities across the EEA (including EDPS) will launch investigations into the use of cloud-based services by the public sector. 2月15日、ブリュッセル - 本日、欧州データ保護委員会の最初の協調的な執行活動が開始されました。今後数ヶ月の間に、EDPSを含むEEA内の22の各国監督官庁が、公共部門によるクラウドベースのサービスの利用に関する調査を開始します。
This series of actions follows the EDPB’s decision to set up a Coordinated Enforcement Framework (CEF) in October 2020. The CEF is a key action of the EDPB under its 2021-2023 Strategy, together with the creation of a Support Pool of Experts (SPE). The two initiatives aim to streamline enforcement and cooperation among Supervisory Authorities (SAs). この一連のアクションは、EDPBが2020年10月にCoordinated Enforcement Framework(CEF)を設置することを決定したことを受けたものです。CEFは、サポートプールオブエキスパート(SPE)の創設とともに、EDPBの2021-2023年戦略における重要なアクションです。この2つの取り組みは、監督機関(SA)間の執行と協力を効率化することを目的としています。
According to EuroStat, the cloud uptake by enterprises doubled across the EU in the last 6 years. The COVID-19 pandemic has sparked a digital transformation of organisations, with many public sector organisations turning to cloud technology. However, in doing so, public bodies at national and EU level may face difficulties in obtaining Information and Communication Technology products and services that comply with EU data protection rules. Through coordinated guidance and action, the SAs aim to foster best practices and thereby ensure the adequate protection of personal data. EuroStat社によると、過去6年間で企業のクラウド利用率はEU全体で倍増しています。COVID-19の流行は、組織のデジタルトランスフォーメーションに火をつけ、多くの公共機関がクラウド技術を利用するようになりました。しかし、その際、国やEUレベルの公共機関は、EUのデータ保護規則に準拠した情報通信技術製品やサービスの入手が困難になる可能性があります。SAは、協調した指導と行動により、ベストプラクティスを育成し、個人データの適切な保護を確保することを目的としています。
Over 75 public bodies in total will be addressed across the EEA, including EU institutions, covering a wide range of sectors (such as health, finance, tax, education, central buyers or providers of IT services). Building on common preparatory work by all participating SAs, the CEF will be implemented at national level in one or several of the following ways: fact-finding exercise; questionnaire to identify if a formal investigation is warranted; commencement of a formal investigation; follow-up of ongoing formal investigations. In particular, SAs will explore public bodies’ challenges with GDPR compliance when using cloud-based services, including the process and safeguards implemented when acquiring cloud services, challenges related to international transfers, and provisions governing the controller-processor relationship. EEA全体では、EU機関を含む75以上の公共機関が対象となり、幅広い分野(医療、金融、税務、教育、ITサービスの中央購買者や提供者など)をカバーしています。CEFは、すべての参加SAによる共通の準備作業に基づいて、次のような方法で国レベルで実施されます:事実調査、正式な調査が必要かどうかを確認するためのアンケート、正式な調査の開始、進行中の正式な調査のフォローアップ。特にSAは、クラウドベースのサービスを利用する際のGDPR遵守に関する公共機関の課題を調査します。これには、クラウドサービスを取得する際に実施されるプロセスとセーフガード、国際移転に関する課題、管理者と処理者の関係を規定する条項などが含まれます。
The results will be analysed in a coordinated manner and the SAs will decide on possible further national supervision and enforcement actions. In addition, results will be aggregated, generating deeper insight into the topic and allowing targeted follow-up at EU level. The EDPB will publish a report on the outcome of this analysis before the end of 2022. これらの結果は調整された形で分析され、SAはさらなる国内の監督および執行措置の可能性について決定します。さらに、結果は集約され、テーマに関するより深い洞察を生み出し、EUレベルでの対象的なフォローアップを可能にします。EDPBは、2022年末までに、この分析結果に関する報告書を発表する予定です。

 

各国の個人データ保護機関による発表

略称 言語 ウェブ
ベルギー BE SA FR L’APD participe à la première action coordonnée annuelle européenne sur l'utilisation du cloud par le secteur public
NL De GBA neemt deel aan de eerste Europese jaarlijkse gecoördineerde actie over het gebruik van de cloud door de overheid
EN The BE DPA participates in the first European annual coordinated action on the use of cloud by the public sector
ドイツ DE BFDI SA   Koordinierte Durchsetzung durch 22 Aufsichtsbehörden zur Nutzung von Cloud-Diensten durch den öffentlichen Sektor.
DE LFDI   EU-weite Prüfung zur Nutzung von Cloud-Diensten durch den öffentlichen Bereich.
スペイン ES SA   La AEPD participa en la primera acción europea coordinada para analizar el uso de la nube en el sector público.
フィンランド FI SA   Tietosuojavaltuutetun toimisto käynnistää selvityksen julkisen sektorin pilvipalvelujen käytöstä osana Euroopan valvontaviranomaisten yhteistä toimenpidettä.
フランス FR SA FR Thématiques prioritaires de contrôle 2022 : prospection commerciale, cloud et surveillance du télétravail
EN Priority topics for investigations in 2022: commercial prospecting, cloud and telework monitoring
アイスランド IS SA   Samræmdar úttektir innan EES á notkun opinberra aðila á skýjaþjónustu.
イタリア IT SA   Cloud nella PA: i Garanti europei lanciano un'indagine coordinata.
リトアニア LT SA   Lietuva prisidės prie koordinuotų tikrinimų dėl asmens duomenų apsaugos viešajam sektoriui naudojantis debesijos paslaugomis.
ラトビア LV SA   Eiropas Datu aizsardzības kolēģija uzsāk pirmo koordinēto pārbaudi par mākoņdatošanas izmantošanu publiskajā sektorā.
オランダ NL SA   Privacytoezichthouders onderzoeken gebruik clouddiensten door overheidsinstellingen.
ポルトガル PT SA   Ação coordenada da ue para investigar o uso de serviços de 'cloud' no setor público.

 

 

Edpb_20220217054501

 

| | Comments (0)