« January 2022 | Main | March 2022 »

February 2022

2022.02.28

個人情報保護委員会 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載

こんにちは、丸山満彦です。

個人情報保護委員会が、「個人情報保護法改正~知っておくべき2つのポイント(個人編) 」と「個人情報保護法改正~知っておくべき2つのポイント(事業者編)」を1月31日に公表していたようです。。。

ナレーションは貫地谷しほりさんのようですね。。。

 

個人情報保護委員会

・2022.02.28 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載しました

 

● 政府インターネットテレビ

□ 個人編

・2022.01.31 (動画)個人情報保護法改正~知っておくべき2つのポイント(個人編)

令和4年4月より施行される改正個人情報保護法の「利用停止、消去等の請求権」、「第三者提供記録の開示請求権」について解説しています。

□ 事業者編

・2022.01.31 (動画)個人情報保護法改正~知っておくべき2つのポイント(事業者編)

令和4年4月より施行される改正個人情報保護法の「報告・通知の義務化」、「個人関連情報」について解説しています。
Ppc_logo_20210325120001_20210520035201

| | Comments (0)

NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

こんにちは、丸山満彦です。

NISTがNISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)を公表し、意見募集をしていますね。。。これは、2021.06.29に公表されたNISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門に得られたコメントを反映し、再度意見募集をしているものになりますね。。。


1_20220227213101

図1:衛星運用の概念的なハイレベル・アーキテクチャの主要部分
NISTIR 8270 2nd Draft


 

1_20220227214001

図2:主な検討事項とコミュニケーション
NISTIR 8270 2nd Draft

 

1_20220227215801

図3:運用のフェーズ
NISTIR 8270 2nd Draft

日本でもつい先日(21日)、経済産業省から、「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」に対する意見募集についてが公表されていますね。。。

このブログの「・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」」を参考にしてくださいませ。

 

NIST - ITL

・2022.02.25 NISTIR 8270 (Draft) Introduction to Cybersecurity for Commercial Satellite Operations (2nd Draft)

 
Announcement 発表内容
Space operations are vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. However, cyber-related threats to space assets and their supporting infrastructure pose increasing risks to the economic promise of emerging markets in space. This second draft of NISTIR 8270, Introduction to Cybersecurity for Commercial Satellite Operations, presents a specific method for applying the Cybersecurity Framework (CSF) to commercial space business and describes an abstracted set of cybersecurity outcomes, requirements, and suggested controls. 宇宙活動は、国家の安全保障、経済的繁栄、科学的知識を向上させるために不可欠である。しかし、宇宙資産とそれを支えるインフラに対するサイバー関連の脅威は、宇宙における新興市場の経済的な有望性に増大するリスクをもたらしている。このNISTIR 8270「Introduction to Cybersecurity for Commercial Satellite Operations」の第2草案は、サイバーセキュリティ・フレームワーク(CSF)を商業宇宙事業に適用するための具体的な方法を示し、サイバーセキュリティの成果、要件、および推奨制御を抽象化して記述している。
The draft also: また、この草案は
・Clarifies scope with an emphasis on the satellite itself, ・衛星そのものに重点を置いて範囲を明確化し、
・Updates examples for clarity, ・例を分かりやすくするために更新し、
・Adds more detailed steps for developing a current and target profile and risk analysis, and ・現在およびターゲットのプロファイルとリスク分析を開発するための、より詳細なステップを追加し、
・Provides references for relevant regulations around commercial space. ・商業宇宙をめぐる関連規制の参考文献を提供しています。
Reviewers are asked to provide feedback on additional threat models that might help in the development of organization profiles, informative references on the application of security controls to satellites, and standards or informative references that might benefit all readers. レビュアーは、組織プロファイルの開発に役立つかもしれない脅威モデルの追加、衛星へのセキュリティ制御の適用に関する有益な参考資料、すべての読者に有益かもしれない規格や有益な参考資料に関するフィードバックを求めています。
Abstract 概要
Space is a newly emerging commercial critical infrastructure sector that is no longer the domain of only national government authorities. Space is an inherently risky environment in which to operate, so cybersecurity risks involving commercial space – including those affecting commercial satellite vehicles – need to be understood and managed alongside other types of risks to ensure safe and successful operations. This report provides a general introduction to cybersecurity risk management for the commercial satellite industry as they seek to start managing cybersecurity risks in space. This document is by no means comprehensive in terms of addressing all of the cybersecurity risks to commercial satellite infrastructure, nor does it explore risks to satellite vehicles, which may be introduced through the implementation of cybersecurity controls. The intent is to present basic concepts, generate discussions, and provide sample references for additional information on pertinent cybersecurity risk management models. 宇宙は、もはや国家政府当局だけの領域ではなく、新たに出現した商業的重要インフラ部門です。宇宙は本質的にリスクの高い環境であるため、商業衛星に影響を与えるものを含め、商業宇宙に関わるサイバーセキュリティリスクは、安全で成功した運用を確保するために他の種類のリスクと合わせて理解し管理する必要がです。本報告書は、商業衛星業界が宇宙におけるサイバーセキュリティリスクの管理を開始しようとする際に、サイバーセキュリティリスク管理の一般的な入門書を提供するものです。本書は、商業衛星インフラに対するすべてのサイバーセキュリティリスクを取り上げるという点では決して包括的なものではありませんし、サイバーセキュリティ管理の実施によってもたらされるかもしれない衛星機に対するリスクも探求していません。その意図は、基本的な概念を提示し、議論を喚起し、関連するサイバーセキュリティリスク管理モデルに関する追加情報への参考文献のサンプルを提供することです。

 

・[PDF] NISTIR 8270 (Draft)

20220228-61241

想定読者

Audience 想定読者
The primary audience for this publication includes chief information officers (CIOs), chief technology officers (CTOs), and risk officers of organizations who are using or plan to use commercial satellite operations and are new to cybersecurity risk management for these operations. 本書の主な対象者は、商業衛星運用を利用している、または利用を計画している組織の最高情報責任者(CIO)、最高技術責任者(CTO)、リスク管理担当者で、これらの運用のためのサイバーセキュリティ・リスク管理を初めて行う人です。

 

Executive Summary  エグゼクティブサマリー 
As stated in the September 2018 United States National Cyber Strategy, the U.S. Government considers unfettered access to and freedom to operate in space vital to advancing the security, economic prosperity, and scientific knowledge of the Nation. Space Policy Directive 5 (SPD-5) was released in 2020 to address the need for cybersecurity in space systems and directed federal agencies to work with non-government space operators to define and establish cybersecurityinformed norms for space systems. This profile is part of NIST’s effort to support SPD-5 and its goals for securing space.  2018年9月の米国国家サイバー戦略で述べられているように、米国政府は、宇宙への自由なアクセスと活動の自由は、国家の安全保障、経済的繁栄、科学的知識を前進させるために不可欠であると考えています。宇宙システムにおけるサイバーセキュリティの必要性に対処するため、2020年に宇宙政策指令5(SPD-5)が発表され、連邦政府機関に対し、非政府の宇宙事業者と協力して宇宙システムのサイバーセキュリティに配慮した規範を定義・確立するよう指示された。このプロファイルは、SPD-5と宇宙の安全確保に関する目標を支援するためのNISTの取り組みの一部です。
Cyber-related threats to space assets (e.g., commercial satellites) and supporting infrastructure pose increasing risk to this economic promise and commercial space emerging markets. Commercial satellite operations occur in an inherently risky environment. Physical risks to these operations are generally quantifiable and have the most likely potential to adversely impact the businesses that operate commercial satellites, usually in low-earth orbit. While this is the primary risk consideration for satellite operations, continued growth in this new commercial infrastructure allows for opportunities to address cybersecurity risks along with other risk elements.[1]  宇宙資産(商業衛星など)とそれを支えるインフラに対するサイバー関連の脅威は、この経済的な約束と商業宇宙の新興市場にますます大きなリスクをもたらしています。   商業衛星の運用は、本質的にリスクの高い環境で行われます。これらの事業に対する物理的なリスクは、一般的に定量化可能であり、通常は低軌道で商業衛星を運用する事業に悪影響を及ぼす可能性が最も高いと考えられます。これは衛星運用の主なリスクであるが、この新しい商業インフラの継続的な成長は、他のリスク要素とともにサイバーセキュリティリスクに対処する機会を与えてくれるものです[1]。
Methods for the creation, maintenance, and implementation of a cybersecurity program for many of the commercial and international markets include products in national and international standard-setting organizations (SSOs), as well as the use of risk management guidance from the National Institute of Standards and Technology (NIST). NIST risk management guidance includes specific technical references, cybersecurity control catalogues, the IT Risk Management Framework, and the Cybersecurity Framework (CSF).  多くの商業および国際市場向けのサイバーセキュリティプログラムの作成、維持、実施の方法には、国内および国際標準設定機関(SSO)の製品や、米国標準技術局(NIST)のリスク管理ガイダンスの使用が含まれます。NISTのリスク管理ガイダンスには、特定の技術文献、サイバーセキュリティ・コントロール・カタログ、ITリスク管理フレームワーク、サイバーセキュリティ・フレームワーク(CSF)などがあります。
The intent of this document is to introduce the CSF to commercial space businesses. This includes describing a specific method for applying the CSF to a small portion of commercial satellite operations (e.g., a small sensing satellite), creating an example CSF set of desired security outcomes based on missions and anticipated threats, and describing an abstracted set of cybersecurity outcomes, requirements, and suggested cybersecurity controls.   この文書の目的は、商業宇宙ビジネスにCSFを紹介することです。これには、商業衛星運用のごく一部(例えば、小型のセンシング衛星)にCSFを適用するための具体的な方法を説明すること、ミッションと予想される脅威に基づいて望ましいセキュリティ成果のCSFセットの例を作成すること、サイバーセキュリティ成果、要件、および推奨されるサイバーセキュリティ制御の抽象化されたセットを説明することが含まれます。 
NIST asks the commercial satellite operations community to use this document as an informative reference to assist in managing cybersecurity risks and to consider how cybersecurity requirements might coexist within space vehicle system requirements. The example requirements listed in this document could be used to create an initial baseline. However, NIST recommends that organizations use this document in coordination with the set of NIST references and applicable SSO materials to create cybersecurity outcomes, requirements, and controls customized to support an organization’s particular business needs and address its individual threat models.  NISTは、商業衛星運用コミュニティに対し、サイバーセキュリティ・リスクの管理を支援し、宇宙機システム要件の中にサイバーセキュリティ要件をどのように共存させるかを検討するための参考資料として本文書を使用するよう求めています。本書に記載されている要件の例は、初期のベースラインを作成するために使用することができます。しかし、NISTは、組織の特定のビジネスニーズをサポートし、個々の脅威モデルに対処するためにカスタマイズされたサイバーセキュリティの成果、要件、およびコントロールを作成するために、NISTの一連の参考文献および適用可能なSSOの資料と連携して本書を使用することを推奨します。
This report focuses on uncrewed commercial space vehicles that will not dock with human occupied spacecraft.  本報告書は、人間が乗っている宇宙船とドッキングしないクルーレスの商用宇宙機に焦点を当てています。 
[1] These can include, but are not limited to, physical risks, EMI/EMC, financial risks, and supplier and customer risks.  これらには、物理的なリスク、EMI/EMC、財務的なリスク、サプライヤーや顧客のリスクなどが含まれますが、これらに限定されるものではありません。

 

目次。。。

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Report Structure 1.2 報告書の構成
2 Conceptual High-Level Architecture of Satellite Operations 2 人工衛星運用の概念的なハイレベル・アーキテクチャ
2.1 Space Architecture Segments 2.1 スペースアーキテクチャのセグメント
2.1.1 Space Segment: 2.1.1 スペースセグメント
2.1.2 Key Considerations and Communications: 2.1.2 重要な検討事項と通信
2.1.3 Other Space Architecture Segments 2.1.3 その他のスペース・アーキテクチャ・セグメント
2.2 Spacecraft Vehicle Life Cycle Phases 2.2 宇宙機のライフサイクル・フェーズ
2.2.1 Operational Phase 2.2.1 運用フェーズ
2.2.2 Other Phases 2.2.2 その他のフェーズ
3 An Introduction to the Cybersecurity Framework 3 サイバーセキュリティフレームワークの紹介
4 Creating a Cybersecurity Program for Space Operations 4 宇宙事業のためのサイバーセキュリティプログラムの作成
4.1 Using the Cybersecurity Framework to Develop a Profile 4.1 サイバーセキュリティフレームワークを利用したプロファイルの策定
4.2 Case Study Example 4.2 ケーススタディの例
4.2.1 Scenario Background 4.2.1 シナリオの背景
4.3 Conclusion 4.3 おわりに
References 参考文献
List of Appendices 附属書一覧
Appendix A— Examples of Relevant Regulations 附属書A - 関連する規制の例
Appendix B— Acronyms 附属書B - 頭字語
Appendix C— Glossary 附属書C - 用語集

 


参考

 

● NIST - ITL

・2021.02.11 (PUBLICATIONSNISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services



まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

| | Comments (0)

2022.02.27

経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

こんにちは、丸山満彦です。

経済産業省が、「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」について意見募集をしていますね。。。実は私も委員なんですが...(^^)

このガイドラインの対象は、民間事業者による、観測衛星の、人工衛星+地上設備に対するサイバーセキュリティ対策となっています。。。なので、範囲をしぼっています。。。

荒削りなので、みなさんの意見が必要です! 是非コメントを!!!

● e-Gov

・2022.02.21 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」に対する意見募集について

参考情報

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドライン β版 概要資料  [Downloaded]

意見募集対象

・[PDF] 民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版 [Downloaded]

20220227-14451

目次

1 はじめに
.1 本ガイドライン作成の背景・目的
.2 本ガイドラインの対象範囲
.3 本ガイドラインの構成及び想定読者

2 宇宙システムを取り巻くセキュリティに係る状況
.1 インシデント事例
.2 民間宇宙システムにおけるセキュリティリスクの考え方

3 民間宇宙システムにおけるセキュリティ対策のポイント
.1 共通的対策
3.1.1 組織的なセキュリティリスクマネジメント
3.1.2 クラウドセキュリティ対策
3.1.3 テレワークセキュリティ対策
3.1.4 内部犯行対策
3.1.5 外部へのインシデント報告

.2 宇宙システム特有の対策
3.2.1 法令上求められる対策
3.2.2 衛星本体
3.2.3 衛星運用設備
3.2.4 衛星データ利用設備
3.2.5 開発・製造設備

4 付録
.1 用語の定義
.2 略語集
.3 本ガイドライン作成について

 


経済産業省産業サイバーセキュリティ研究会 - ワーキンググループ1(制度・技術・標準化) - 宇宙産業サブワーキンググループ

2022.02.07 第4回

2021.11.04 第3回

2021.03.03 第2回

 

2021.01.14 第1回

 

| | Comments (0)

NISC ホワイトペーパー:サイバーセキュリティリスクマネジメントを始めるために:ランサムウェア

こんにちは、丸山満彦です。

NISCがランサムウェアについてのホワイトペーパー(クイックスタートガイド)を公表しています。。。NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイルとも関連したものです。。。

● NIST - ITL

・2022.02.24 White Paper Getting Started with Cybersecurity Risk Management: Ransomware

・[PDF]

20220227-03329

IDENTIFY 識別
Maintain hardware and software inventories. It’s important to understand what computer hardware and software is used by your enterprise. These are frequently the entry points of malicious actors who engage in ransomware attacks. This information helps remediate vulnerabilities that could be exploited in ransomware attacks and is also very useful in recovery. An inventory can be as simple as a spreadsheet. Software inventories should track software name and version, devices where it is currently installed, the last patch date, and known vulnerabilities. ハードウェアとソフトウェアのインベントリーを管理する企業で使用されているコンピュータのハードウェアとソフトウェアを把握することは重要です。これらは、ランサムウェア攻撃を行う悪意ある行為者の侵入口となることが多いからです。この情報は、ランサムウェア攻撃で悪用される可能性のある脆弱性を修正するのに役立ち、また復旧にも非常に有効です。インベントリは、スプレッドシートのようなシンプルなものでよい。ソフトウェアのインベントリには、ソフトウェアの名前とバージョン、現在インストールされているデバイス、最終パッチ適用日、既知の脆弱性などを記録しておく必要があります。
Document information flows. Knowing what type of information your enterprise collects and uses is vital, but so is understanding where data is located and flows, especially when contracts and external partners are engaged. Construct a record of information flows (e.g., connections among devices/internet protocol addresses) to help enumerate what information or processes are at risk if the attackers move laterally within an environment. 情報の流れを文書化する。企業がどのような情報を収集し、使用しているかを知ることは重要ですが、特に契約や外部パートナーが関与している場合は、データがどこにあり、どのように流れているかを理解することも重要です。情報の流れの記録(デバイス間の接続やインターネットプロトコルアドレスなど)を作成し、攻撃者が環境内で横方向に移動した場合に、どの情報やプロセスが危険にさらされるかを列挙するのに役立てます。
Identify the external information systems to which your enterprise connects. In case of a ransomware event, you need to plan how you will communicate with partners and identify possible actions to temporarily disconnect from external systems. Identifying these connections will also help put security controls in place (e.g., access rights) and indicate areas where controls may be shared with third parties. 企業が接続している外部情報システムを特定する。ランサムウェアが発生した場合、パートナーとの通信方法を計画し、外部システムとの接続を一時的に解除するための可能なアクションを特定する必要があります。また、これらの接続先を特定することは、セキュリティ管理(アクセス権など)を実施し、第三者と管理を共有する可能性がある領域を示すのに役立ちます。
Identify critical enterprise processes and assets. What are your enterprise’s activities that absolutely must continue in order to be viable? This could be maintaining a website to retrieve payments, protecting customer/patient information securely, or ensuring the data your enterprise collects remains accessible and accurate. This information is essential to understanding the true scope and impact of ransomware events and is vital in contingency planning for future ransomware events, emergency response, and recovery actions. Having this information in advance allows enterprises to prioritize resources. If you rely on an industrial control system (ICS), include its critical functions. 企業の重要なプロセスや資産を特定する。企業が存続するために、絶対に続けなければならない活動は何でしょうか。例えば、支払いを受け取るためのウェブサイトの維持、顧客/患者情報の安全な保護、企業が収集するデータへのアクセスと正確性の確保などが考えられます。この情報は、ランサムウェアの真の範囲と影響を理解するために不可欠であり、将来のランサムウェアのイベント、緊急対応、および回復措置のための危機管理計画に不可欠なものです。このような情報を事前に入手することで、企業はリソースの優先順位を決めることができます。産業用制御システム(ICS)に依存している場合は、その重要な機能を含めてください。
Establish cybersecurity policies that spell out roles and responsibilities. These should clearly describe expectations for how your enterprise’s cybersecurity activities including actions by employees, contractors, and partners will protect your information and systems and support critical enterprise processes. Cybersecurity policies should be integrated with other enterprise risk considerations (e.g., financial, reputational). 役割と責任を明確にしたサイバーセキュリティポリシーを制定する。このポリシーには、従業員、請負業者、およびパートナーによる行動を含め、企業のサイバーセキュリティ活動がどのように情報とシステムを保護し、重要な企業プロセスをサポートするかについての期待が明確に記述されている必要があります。サイバーセキュリティ方針は、他の企業リスク (財務、風評など) と統合して検討する必要があります。
PROTECT 防御
Manage access to assets and information. If you do nothing else, limit access to physical and computerrelated assets and associated facilities to authorized users, processes, and devices and manage access consistent with the risk to critical activities and transactions. 資産や情報へのアクセスを管理する。物理的資産やコンピュータ関連資産、関連施設へのアクセスを許可されたユーザー、プロセス、デバイスに限定し、重要な活動や取引に対するリスクと整合性のあるアクセスを管理します。
Start by creating unique accounts for each employee and ensure that users have access only to information, computers, and applications needed for their jobs. Choose standard user accounts versus accounts with administrative privileges wherever possible. Authenticate users by strong passwords or multi-factor techniques before they are granted that access. まず、従業員ごとに固有のアカウントを作成し、業務に必要な情報、コンピュータ、アプリケーションにのみアクセスできるようにすることから始めます。可能な限り、管理者権限を持つアカウントではなく、標準的なユーザーアカウントを選択します。アクセス権を付与する前に、強力なパスワードや多要素技術でユーザーを認証します。
Since most ransomware attacks are conducted remotely, controlling remote access is vital to maintaining the integrity of systems and data files to protect against malicious code insertion and data exfiltration. Restrict access to official networks from personal devices. Tightly manage and track physical access to devices, whether it is a laptop computer or a critical component of an industrial control system (ICS). ランサムウェアの多くは遠隔操作で行われるため、悪意のあるコードの挿入やデータの流出を防ぐには、システムとデータファイルの完全性を維持するためのリモートアクセスの制御が欠かせません。個人所有のデバイスから公式ネットワークへのアクセスを制限します。ノートパソコンや産業用制御システム(ICS)の重要なコンポーネントなど、デバイスへの物理的なアクセスを厳密に管理し、追跡します。
In larger or more complex organizations, network segmentation or segregation can limit the scope of ransomware events by preventing malware from proliferating among potential target systems. This is particularly important for critical ICS functions, including Safety Instrument Systems (SIS). 大規模または複雑な組織では、ネットワークのセグメント化または分離により、ターゲットとなり得るシステム間でマルウェアが増殖するのを防ぐことで、ランサムウェアのイベント範囲を制限することができます。これは、安全機器システム(SIS)を含む重要なICS機能にとって特に重要です。
Manage device vulnerabilities. Regularly update the operating system and the applications on your computers and other devices to protect them from attack. Keep them fully patched! If possible, enable automatic updates. Block access to ransomware sites. Consider using software tools to scan devices for additional vulnerabilities and remediate vulnerabilities with high likelihood or impact. Properly configuring change and update processes can help to discourage replacement of code with products that contain malware or do not satisfy access management policies. デバイスの脆弱性を管理する。パソコンなどのデバイスのOSやアプリケーションを定期的にアップデートし、攻撃から守ります。パッチは常に万全に可能であれば、自動更新を有効にする。ランサムウェアのサイトへのアクセスをブロックします。ソフトウェアツールを使用して、デバイスの脆弱性をスキャンし、可能性や影響が大きい脆弱性を修正することを検討します。変更と更新のプロセスを適切に設定することで、マルウェアを含む製品やアクセス管理ポリシーを満たさない製品へのコードの置き換えを阻止することができます。
Educate and train employees and other users.Regularly train and retrain all users to be sure that they are aware of enterprise cybersecurity policies and procedures and their specific roles and responsibilities and make it a condition of employment. Training those responsible for hardware and software installation, configuration, and maintenance is key, but equally important is training all users to always use antivirus software, to install only if they are approved by the organization, click only on verified links, to connect only to secured networks, and not to connect devices to public charging stations. Users should know that their access to official networks from personal devices is restricted. Most ransomware attacks are made possible by users who engage in unsafe practices, administrators who implement insecure configurations, or developers who have insufficient security training. 従業員やその他のユーザーの教育・訓練を行うすべてのユーザーが企業のサイバーセキュリティ方針と手順、および各自の役割と責任を認識していることを確認するために、定期的に訓練と再訓練を行い、それを雇用の条件とします。ハードウェアとソフトウェアのインストール、設定、保守の担当者を訓練することも重要ですが、ウイルス対策ソフトウェアを常に使用すること、組織が承認した場合のみインストールすること、検証済みのリンクのみをクリックすること、安全なネットワークにのみ接続すること、公共の充電ステーションにデバイスを接続しないことをすべてのユーザーに訓練することも同様に重要です。個人所有のデバイスから公式ネットワークへのアクセスは制限されていることを認識する必要があります。ランサムウェア攻撃の多くは、安全でない行為を行うユーザー、安全でない設定を行う管理者、セキュリティ訓練が不十分な開発者によって引き起こされます。
Protect your devices – securely. Consider installing host-based firewalls and other protections such as endpoint security products. Apply uniform configurations to devices and control changes to device configurations. Disable device services or features that are not necessary to support mission functions. Ensure that there is a policy and a way to dispose of devices properly. These measures protect against installing ransomware and they also protect against data leaks. デバイスを安全に保護する。ホストベースのファイアウォールや、エンドポイントセキュリティ製品などの導入を検討します。デバイスに統一された設定を適用し、デバイスの設定変更を制御する。ミッション機能のサポートに不要なデバイスのサービスや機能を無効にします。デバイスを適切に廃棄するためのポリシーと方法を確立します。これらの対策は、ランサムウェアのインストールを防ぎ、データ漏洩からも保護することができます。
Protect sensitive data. Your organization likely stores or transmits sensitive data, so you should manage your information and records (data) consistent with your risk strategy to protect the confidentiality, integrity, and availability of information. Use integrity checking mechanisms (like digital signatures) to verify software, firmware, and information integrity and detect tampered software updates that can be used to insert malware. 機密データを保護する。あなたの組織は機密データを保存または送信している可能性が高いので、情報の機密性、完全性、可用性を保護するために、あなたのリスク戦略と一致する情報と記録(データ)を管理する必要があります。デジタル署名などの完全性チェック機構を使用して、ソフトウェア、ファームウェア、情報の完全性を検証し、マルウェアの挿入に使用できる改ざんされたソフトウェア更新を検出します。
Conduct regular backups. Ensuring availability of data can reduce ransomware impacts. This includes the ability to maintain offsite and offline data backups, as well as testing the mean time to recovery and system redundancy. Many operating systems have built-in backup capabilities; software and cloud solutions are also available to automate backups. It’s good practice to keep one frequently backed up set of data offline. Regular backups that are maintained and tested are essential to timely and relatively painless recovery from ransomware events. Secure backups and keep them offline so they cannot become corrupted or be deleted by ransomware or by an attacker. 定期的なバックアップを実施する。データの可用性を確保することで、ランサムウェアの影響を軽減することができます。これには、オフサイトおよびオフラインのデータバックアップを維持する能力、回復までの平均時間やシステムの冗長性のテストが含まれます。多くのOSにはバックアップ機能が組み込まれています。また、バックアップを自動化するソフトウェアやクラウドソリューションも提供されています。頻繁にバックアップを取るデータの1つをオフラインで保存しておくのは良い習慣です。ランサムウェアからタイムリーかつ比較的容易に復旧するためには、定期的なバックアップの維持とテストが不可欠です。ランサムウェアや攻撃者によってバックアップが破損したり、削除されたりしないように、バックアップを安全に保管し、オフラインにしてください。
DETECT 検知
Test and update detection processes. Develop and test processes and procedures for detecting anomalous events such as unauthorized entities and actions on the networks and in the physical environment, including personnel activity. This includes determining the impact of events that can inform response and recovery priorities for a ransomware attack. 検知プロセスをテストし更新する。ネットワーク上や物理環境における不正なエンティティや行動(人の動きを含む)などの異常なイベントを検出するためのプロセスや手順を開発し、テストする。これには、ランサムウェア攻撃への対応と復旧の優先順位を知らせることができるイベントの影響度を判断することも含まれます。
Larger or more complex organizations should acquire and install Security Information and Event Management (SIEM) solutions that include multiple sources and sensors to improve network visibility, assist in the early detection of ransomware, and aid in understanding how ransomware may propagate through a network. These tools need to generate and record (log) activity. Logs are crucial to identifying anomalies in computers and applications; they record events such as changes to systems or accounts as well as communication channels. Consider using software tools that can aggregate these logs and look for patterns or anomalies from expected network behavior. 大規模または複雑な組織は、ネットワークの可視性を向上させ、ランサムウェアの早期発見を支援し、ランサムウェアがネットワークを通じて伝播する方法を理解するために、複数のソースとセンサーを含むセキュリティ情報およびイベント管理(SIEM)ソリューションを取得し、導入する必要があります。これらのツールは、アクティビティの生成と記録(ログ)を行う必要があります。ログは、コンピュータやアプリケーションの異常を特定するために非常に重要です。ログには、システムやアカウントへの変更などのイベントや通信チャネルが記録されます。これらのログを集計し、予想されるネットワーク動作のパターンや異常を探すことができるソフトウェア・ツールの使用を検討してください。
Train staff. Staff should be aware of their roles and responsibilities to detect and report within your organization and to external authorities. That requires training and retraining.  要員を教育する。要員は、組織内および外部当局への検出と報告の役割と責任を認識する必要があります。そのためには、訓練と再訓練が必要です。
Know expected data flows. If you know what and how data is expected to flow for your enterprise, you are much more likely to notice when the unexpected happens and unexpected is never a good thing when it comes to cybersecurity. Unexpected data flows might include customer information being exported from an internal database and exiting the network. If you have contracted work to a cloud or managed service provider, discuss with them how they track data flows and report, including unexpected events. 想定されるデータの流れを知る。企業にとって予想されるデータの流れを知っていれば、予期せぬ事態が発生したときに気づく可能性が高くなります。予期せぬデータの流れとは、顧客情報が社内のデータベースからエクスポートされ、ネットワークから外部に流出するような場合です。クラウドやマネージド・サービス・プロバイダーに業務を委託している場合は、予期せぬ事象を含め、データの流れをどのように追跡し、どのように報告しているかについて、プロバイダーと話し合ってください。
Quickly communicate and determine the impact of cybersecurity events. Timely communication of anomalous events is essential to taking remedial actions before a ransomware attack can be fully damaging. If a cybersecurity event is detected, your enterprise should work quickly and thoroughly to understand the breadth and depth of the impact. Seek help. Communicating with appropriate stakeholders and with law enforcement (e.g., FBI) will help keep you in good stead with partners, oversight bodies, and others (potentially including investors) and improve policies and processes. サイバーセキュリティ事象の迅速な伝達と影響度を把握するランサムウェアの攻撃で十分な被害が出る前に改善策を講じるには、異常事態のタイムリーな伝達が不可欠です。サイバーセキュリティの事象が検出された場合、企業は、その影響の広さと深さを理解するために迅速かつ徹底的に取り組む必要があります。支援を求める。適切な利害関係者や法執行機関(FBI など)とコミュニケーションを取ることで、パートナー、監督機関、その他(投資家も含む)との関係を良好に保ち、ポリシーとプロセスを改善することができます。
RESPOND 対応
Develop response plans. Like many other things, ransomware response starts with planning, including coordinating plans with internal and external stakeholders. Focus on procedures for immediate mitigation and containing the ransomware event and determining its impact. 対応計画を策定する。他の多くの事柄と同様に、ランサムウェアの対応は、社内外の関係者との計画の調整を含む、計画から始まります。ランサムウェアの事象を直ちに緩和・封じ込め、その影響を判断するための手順に重点を置きます。
Coordinate with internal and external stakeholders. Include all key stakeholders and external service providers. Maintain a handy, up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources. Priorities include preemptive messaging and agreement on how to stem the spread of misinformation. Stakeholders can contribute to improvements in planning and execution. 社内外の関係者と調整する。すべての主要なステークホルダーと外部のサービスプロバイダーを含めます。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の手軽な最新リストを維持します。優先順位としては、先制メッセージや、誤報の拡散を食い止める方法についての合意などがあります。ステークホルダーは、計画と実行の改善に貢献することができます。
Test response plans. Testing helps to make sure each person knows their responsibilities in executing the plan. The better prepared your organization is, the more effective the response is likely to be. This includes knowing any legal reporting requirements or required information sharing. 対応策をテストする。テストは、計画を実行する上で各人が自分の責任を理解していることを確認するのに役立ちます。組織がよりよく準備されていればいるほど、対応はより効果的になる可能性があります。これには、法的な報告要件や必要な情報共有について知っておくことも含まれます。
Update response plans. Testing the plan (and executing it during an incident) inevitably will reveal needed improvements.  Be sure to update response plans with lessons learned. This will minimize the probability of future successful ransomware attacks and help to restore confidence among stakeholders. 対応策を更新する。計画をテストする(そしてインシデント発生時に実行する)ことで、必然的に必要な改善点が見えてきます。教訓を生かして対応策を更新してください。これにより、今後ランサムウェアの攻撃が成功する確率を最小限に抑え、ステークホルダーの信頼を回復することができます。
RECOVER 復旧
Make contingency plans. Like response, recovery from ransomware events begins well before an event with contingency planning. In this case, your enterprise should plan for restoration of systems capabilities and correction of vulnerabilities. Focus on procedures for immediate mitigation of the ransomware event, determining the event’s impact, and notifying stakeholders. コンティンジェンシープランを立てる。ランサムウェアからの復旧は、対応と同様、発生するかなり前からコンティンジェンシー・プランを立てることから始まります。この場合、企業は、システム機能の復旧と脆弱性の修正を計画する必要があります。ランサムウェアの事象を直ちに緩和し、事象の影響を判断し、関係者に通知するための手順に重点を置いてください。
Communicate with internal and external stakeholders. Recovery depends upon effective communication.  Your recovery plans need to carefully account for what, how, and when ransomware event information will be shared with various stakeholders so that all interested parties receive the information that they need, but no inappropriate information is shared. 社内外の関係者とコミュニケーションをとる。復旧は、効果的なコミュニケーションに依存します。復旧計画では、ランサムウェアのイベント情報を、いつ、どのように、どのような関係者と共有するかを慎重に検討し、関係者が必要な情報を受け取り、かつ不適切な情報が共有されないようにする必要があります。
Manage public relations and company reputation. When developing a ransomware recovery plan, consider how you will manage public relations so that your information sharing is accurate, complete, and timely and not reactionary. 広報と会社の評判を管理する。ランサムウェアの復旧計画を策定する際には、情報共有が正確、完全、かつタイムリーであるように、また反動的でないように、広報をどのように管理するかを検討してください。
Test and update recovery plans. Testing the execution of recovery plans will improve employee and partner awareness and highlight areas for improvement. Always update plans with lessons learned. 復旧計画をテストし、更新する。復旧計画の実行をテストすることで、従業員やパートナーの意識を向上させ、改善すべき点を明らかにすることができます。教訓を生かして計画を常に更新します。

 




● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.26 NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティ・フレームワーク・プロファイル(暫定草案)

 

| | Comments (0)

2022.02.26

NISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル

こんにちは、丸山満彦です。

NISTがNISTIR 8374 ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイルを公表しましたね。。。

2021年9月8日にドラフトを、2021年6月9日に暫定ドラフトが公表されていたものです。。。

サイバーセキュリティフレームワークに沿って検討されています。

内容的には特段新しいことはなく、リンクが中心ですが、それが良いと思います。既存の枠組みの中で、ちゃんと説明することが、現場には受け入れやすい。。。

 

NIST - ITL

・2022.02.23 NISTIR 8374 Ransomware Risk Management: A Cybersecurity Framework Profile

Abstract 概要
Ransomware is a type of malicious attack where attackers encrypt an organization’s data and demand payment to restore access. Attackers may also steal an organization’s information and demand an additional payment in return for not disclosing the information to authorities, competitors, or the public. This Ransomware Profile identifies the Cybersecurity Framework Version 1.1 security objectives that support identifying, protecting against, detecting, responding to, and recovering from ransomware events. The profile can be used as a guide to managing the risk of ransomware events. That includes helping to gauge an organization’s level of readiness to counter ransomware threats and to deal with the potential consequences of events. ランサムウェアは、攻撃者が組織のデータを暗号化し、アクセスを回復するために支払いを要求する悪質な攻撃の一種である。また、攻撃者は組織の情報を盗み、当局、競合他社、または公衆に情報を開示しない見返りとして、追加の支払いを要求することもあります。このランサムウェアプロファイルは、ランサムウェアの特定、保護、検出、対応、および回復をサポートするサイバーセキュリティフレームワーク バージョン 1.1 のセキュリティ目標を特定するものです。このプロファイルは、ランサムウェアのリスクを管理するためのガイドとして使用することができます。これには、ランサムウェアの脅威に対抗するための組織の準備レベルの評価や、イベントの潜在的な影響に対処するための支援も含まれます。

 

・[PDF] NISTIR 8374

20220226-65309

 

1 Introduction 1 はじめに
1.1 The Ransomware Challenge 1.1 ランサムウェアの課題
1.2 Audience 1.2 想定読者
1.3 Additional Guidance Resources 1.3 その他のガイダンス資料
2 The Ransomware Profile 2 ランサムウェアのプロファイル
References 参考文献
Appendix A— Additional NIST Ransomware Resources 附属書 A- NIST のランサムウェアに関するその他のリソース

 

BASIC RANSOMWARE TIPS  ランサムウェアの基本的なヒント 
Even without undertaking all of the measures described in this Ransomware Profile, there are some basic preventative steps that an organization can take now to protect against and recover from the ransomware threat. These include:  この「Ransomware Profile」に記載されているすべての対策を実施しなくても、ランサムウェアの脅威から保護し、回復するために組織が今すぐ実施できる基本的な予防措置がいくつか存在します。その内容は以下のとおりです。
1. Educate employees on avoiding ransomware infections.  1. ランサムウェアの感染を回避するための従業員教育を行う。
o Don’t open files or click on links from unknown sources unless you first run an antivirus scan or look at links carefully.   o アンチウイルス・スキャンを実行したり、リンクを注意深く確認したりしない限り、不明なソースからのファイルを開いたり、リンクをクリックしたりしないこと。 
o Avoid using personal websites and personal apps – like email, chat, and social media – from work computers.   o 個人用ウェブサイトや個人用アプリ(電子メール、チャット、ソーシャルメディアなど)を業務用コンピュータから使用しないようにする。 
o Don’t connect personally owned devices to work networks without prior authorization.  o 個人所有のデバイスを事前の承認なしに職場のネットワークに接続しない。
2. Avoid having vulnerabilities in systems that ransomware could exploit.  2. ランサムウェアに悪用されるような脆弱性をシステム内に持たないようにする。
o Keep relevant systems fully patched. Run scheduled checks to identify available patches and install these as soon as feasible.   o 関連するシステムには常に完全なパッチを適用する。利用可能なパッチを特定するために定期的なチェックを行い、可能な限り早くパッチをインストールする。 
o Employ zero trust principles in all networked systems. Manage access to all network functions and segment internal networks where practical to prevent malware from proliferating among potential target systems.  o すべてのネットワークシステムにおいて、ゼロトラスト原則を採用する。すべてのネットワーク機能へのアクセスを管理し、内部ネットワークをセグメント化することで、マルウェアが潜在的なターゲットシステム間で拡散するのを防ぐ。
o Allow installation and execution of authorized apps only. Configure operating systems and/or third-party software to run only authorized applications. This can also be supported by adopting a policy for reviewing, then adding or removing authorized applications on an allow list.  o 許可されたアプリケーションのインストールと実行のみを許可する。許可されたアプリケーションのみが実行されるように、オペレーティングシステムやサードパーティソフトウェアを設定する。また、許可されたアプリケーションをレビューし、許可リストに追加・削除するポリシーを採用することで、これをサポートすることができる。
o Inform your technology vendors of your expectations (e.g., in contract language) that they will apply measures that discourage ransomware attacks.  o テクノロジーベンダに対して、ランサムウェアの攻撃を阻止するための対策を適用するよう期待することを(契約書などで)伝える。
3. Quickly detect and stop ransomware attacks and infections.  3. ランサムウェアの攻撃や感染を迅速に検知し、停止させる。
o Use malware detection software such as antivirus software at all times. Set it to automatically scan emails and flash drives.  o アンチウイルスソフトウェアなどのマルウェア検出ソフトウェアを常時使用する。電子メールやフラッシュドライブを自動的にスキャンするように設定する。
o Continuously monitor directory services (and other primary user stores) for indicators of compromise or active attack.  o ディレクトリサービス(およびその他のプライマリユーザーストア)を継続的に監視し、侵害や活発な攻撃の兆候を確認する。
o Block access to untrusted web resources. Use products or services that block access to server names, IP addresses, or ports and protocols that are known to be malicious or suspected to be indicators of malicious system activity. This includes using products and services that provide integrity protection for the domain component of addresses (e.g., hacker@poser.com).  o 信頼できない Web リソースへのアクセスをブロックする。悪意のあることが知られている、または悪意のあるシステム活動の指標となる疑いがあるサーバー名、IPアドレス、またはポートおよびプロトコルへのアクセスをブロックする製品またはサービスを使用する。これには、アドレスのドメインコンポーネントに対して完全性保護を提供する製品やサービス(例:hacker@poser.com)を使用することも含まれます。
4. Make it harder for ransomware to spread.  4. ランサムウェアの拡散を困難にする。
o Use standard user accounts with multi-factor authentication versus accounts with administrative privileges whenever possible.   o 可能な限り、管理者権限を持つアカウントではなく、多要素認証を持つ標準的なユーザーアカウントを使用する。 
o Introduce authentication delays or configure automatic account lockout as a defense against automated attempts to guess passwords.  パスワードの自動推測に対する防御策として、認証の遅延を導入したり、自動的なアカウントロックアウトを設定する。
o Assign and manage credential authorization for all enterprise assets and software, and periodically verify that each account has only the necessary access following the principle of least privilege.  すべての企業資産とソフトウェアにクレデンシャル認証を割り当てて管理し、最小特権の原則に従って各アカウントが必要なアクセス権のみを持っていることを定期的に検証する。
o Store data in an immutable format (so that the database does not automatically overwrite older data when new data is made available).  o データを不変の形式で保存する(新しいデータが利用可能になったときに、データベースが自動的に古いデータを上書きしないようにする)。
o Allow external access to internal network resources via secure virtual private network (VPN) connections only.  o 安全な仮想プライベートネットワーク(VPN)接続を介してのみ、内部ネットワークリソースへの外部アクセスを許可する。
5. Make it easier to recover stored information from a future ransomware event.  5. ランサムウェアが発生した場合、保存されている情報の復旧を容易にする。
o Make an incident recovery plan. Develop, implement, and regularly exercise an incident recovery plan with defined roles and strategies for decision making. This can be part of a continuity of operations plan. The plan should identify mission-critical and other business-essential services to enable recovery prioritization, and business continuity plans for those critical services.  o インシデントリカバリープランを作成する。意思決定のための役割と戦略を定義したインシデントリカバリープランを作成し、実施し、定期的に演習する。これは、事業継続計画の一部とすることができる。この計画では、ミッションクリティカルなサービスやその他のビジネス上不可欠なサービスを特定し、復旧の優先順位付けと、それらの重要なサービスの事業継続計画を可能にする必要があります。
o Back up data, secure backups, and test restoration. Carefully plan, implement, and test a data backup and restoration strategy—and secure and isolate backups of important data.  o データのバックアップ、バックアップの保護、復旧のテスト。データのバックアップと復元戦略を慎重に計画、実施、テストし、重要なデータのバックアップを保護、分離する。
o Keep your contacts. Maintain an up-to-date list of internal and external contacts for ransomware attacks, including law enforcement, legal counsel, and incident response resources. o 連絡先を確保する。法執行機関、法律顧問、インシデント対応リソースなど、ランサムウェア攻撃に関する社内外の連絡先の最新リストを維持する。

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.10 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル

・2021.06.11 NISTIR 8374 (Draft) ランサムウェア・リスク管理のためのサイバーセキュリティフレームワーク・プロファイル(暫定草案)

| | Comments (0)

NIST RFI(情報要求)サイバーセキュリティフレームワーク、サプライチェーンのサイバーリスクマネジメントの改善等のために。。。

こんにちは、丸山満彦です。

NISTが、サイバーセキュリティフレームワーク (CSF) の改善、サプライチェーンのサイバーリスクマネジメントに関連するイニシアティブ (National Initiative for Improving Cybersecurity in Supply Chains: NIICS)  の立ち上げ等に関係して、サイバーセキュリティフレームワーク、サプライチェーンにおけるサイバーリスクマネジメントに関する情報要求をしていますね。。。

現在のサイバーセキュリティフレームワークV1.1は多くの言語に翻訳されていますが、2018年に最終改訂されていますから、最終改訂から若干の時間がたっていますね。。。

また、リスクマネジメントの分野においては、OMB Circular No. A-123、GAOのGreen Book (Standards for Internal Control in the Federal Government) 、COSO-ERM、ISO31000とリンクしたNISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)がありますが、これとの整合性等も重要となってくるのでしょうね。。。

NISTの発表

● NIST

・2022.02.18 Request for Information about Evaluating and Improving Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management

 

官報に記載されているRFI

● Federal Register

・2022.02.22 Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management

Evaluating and Improving NIST Cybersecurity Resources: The Cybersecurity Framework and Cybersecurity Supply Chain Risk Management NISTのサイバーセキュリティリソースの評価と改善。サイバーセキュリティフレームワークとサイバーセキュリティサプライチェーンリスク管理
SUMMARY: 概要
The National Institute of Standards and Technology (NIST) is seeking information to assist in evaluating and improving its cybersecurity resources, including the “Framework for Improving Critical Infrastructure Cybersecurity” (the “NIST Cybersecurity Framework,” “CSF” or “Framework”) and a variety of existing and potential standards, guidelines, and other information, including those relating to improving cybersecurity in supply chains. NIST is considering updating the NIST Cybersecurity Framework to account for the changing landscape of cybersecurity risks, technologies, and resources. In addition, NIST recently announced it would launch the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) to address cybersecurity risks in supply chains. This wide-ranging public-private partnership will focus on identifying tools and guidance for technology developers and providers, as well as performance-oriented guidance for those acquiring such technology. To inform the direction of the NIICS, including how it might be aligned and integrated with the Cybersecurity Framework, NIST is requesting information that will support the identification and prioritization of supply chain-related cybersecurity needs across sectors. Responses to this RFI will inform a possible revision of the Cybersecurity Framework as well as the NIICS initiative. 米国標準技術研究所(NIST)は、「重要インフラのサイバーセキュリティ向上のためのフレームワーク」(NISTサイバーセキュリティフレームワーク、以下「CSF」または「フレームワーク」)や、サプライチェーンのサイバーセキュリティ向上に関するものなど、既存および潜在的な様々な標準、ガイドライン、その他の情報を含むサイバーセキュリティ資源の評価と改善を支援する情報を求めています。NISTは、サイバーセキュリティのリスク、技術、リソースの変化を考慮し、NISTサイバーセキュリティフレームワークの更新を検討しています。さらに、NISTは最近、サプライチェーンにおけるサイバーセキュリティリスクに対処するため、「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」を立ち上げると発表しました。この広範な官民パートナーシップは、技術開発者やプロバイダー向けのツールやガイダンスの特定、およびそうした技術を取得する側のパフォーマンス指向のガイダンスに重点を置く予定です。NIICSの方向性(サイバーセキュリティフレームワークとどのように整合・統合させるかを含む)を伝えるため、NISTは、サプライチェーン関連のサイバーセキュリティニーズの特定と優先順位付けを支援する情報を要求しています。このRFIへの回答は、サイバーセキュリティフレームワークの改訂の可能性やNIICSの取り組みに反映されることになります。
SUPPLEMENTARY INFORMATION: 補足情報
The NIST Cybersecurity Framework consists of standards, methodologies, procedures, and processes that align policy, business, and technological approaches to reduce cybersecurity risks. It is used widely by private and public sector organizations in and outside of the United States and has been translated into multiple languages, speaking to its success as a common resource. NIST サイバーセキュリティフレームワークは、サイバーセキュリティのリスクを低減するために、政策、ビジネス、技術的アプローチを整合させる標準、方法論、手順、プロセスから構成されています。このフレームワークは、米国内外の民間および公的セクターの組織で広く使用されており、複数の言語に翻訳されていることから、共通のリソースとしての成功を物語っています。
The Cybersecurity Framework was last updated in April 2018. Much has changed in the cybersecurity landscape in terms of threats, capabilities, technologies, education and workforce, and the availability of resources to help organizations to better manage cybersecurity risk. That includes an increased awareness of and emphasis on cybersecurity risks in supply chains, including a decision to launch NIICS. With those changes in mind, NIST seeks to build on its efforts to cultivate trust by advancing cybersecurity and privacy standards and guidelines, technology, measurements, and practices by requesting information about the use, adequacy, and timeliness of the Cybersecurity Framework and the degree to which other NIST resources are used in conjunction with or instead of the Framework. Further, to inform the direction of the NIICS, including how it might be aligned and integrated with the Cybersecurity Framework, NIST is requesting information that will support the identification and prioritization of supply chain-related cybersecurity needs across sectors. サイバーセキュリティフレームワークは、2018年4月に最終更新されました。脅威、能力、技術、教育、労働力、そして組織がサイバーセキュリティのリスクをよりよく管理するためのリソースの有無など、サイバーセキュリティを取り巻く状況は大きく変化しています。その中には、NIICSの立ち上げを決定するなど、サプライチェーンにおけるサイバーセキュリティリスクの認識と重視が高まっていることも含まれます。こうした変化を念頭に、NISTは、サイバーセキュリティフレームワークの利用、適切性、適時性、および他のNISTリソースがフレームワークと併用されている度合いやフレームワークの代わりに利用されている度合いに関する情報を求めることにより、サイバーセキュリティおよびプライバシーに関する標準やガイドライン、技術、測定、実践を進歩させ信頼を醸成する努力を積み重ねていこうとしています。さらに、NIICSがサイバーセキュリティフレームワークとどのように整合し統合されうるかを含め、NIICSの方向性を伝えるために、NISTは、セクター横断的にサプライチェーン関連のサイバーセキュリティニーズの特定と優先順位付けを支援する情報を要求しています。
Following is a non-exhaustive list of possible topics that may be addressed in any comments. Comments may address topics in the following list, or any other topic believed to have implications for the improvement of the NIST Cybersecurity Framework or NIST's cybersecurity guidance regarding supply chains. NIST will consider all relevant comments in the development of the revised Framework and guidance regarding supply chains. 以下は、コメントで取り上げられる可能性があるトピックの非網羅的なリストです。コメントは、以下のリストにあるトピック、あるいは、NISTサイバーセキュリティフレームワークやサプライチェーンに関するNISTのサイバーセキュリティガイダンスの改善に影響を与えると考えられる他のトピックを扱うことができる。NISTは、改訂されたフレームワーク及びサプライチェーンに関するガイダンスの開発において、すべての関連するコメントを検討します。
Use of the NIST Cybersecurity Framework NISTサイバーセキュリティフレームワークの利用について
1. The usefulness of the NIST Cybersecurity Framework for aiding organizations in organizing cybersecurity efforts via the five functions in the Framework and actively managing risks using those five functions. 1. NISTサイバーセキュリティフレームワークの有用性は、組織がフレームワークの5つの機能によってサイバーセキュリティの取り組みを組織化し、その5つの機能を使って積極的にリスクを管理することを支援することです。
2. Current benefits of using the NIST Cybersecurity Framework. Are communications improved within and between organizations and entities ( e.g., supply chain partners, customers, or insurers)? Does the Framework allow for better assessment of risks, more effective management of risks, and/or increase the number of potential ways to manage risks? What might be relevant metrics for improvements to cybersecurity as a result of implementation of the Framework? 2. NISTサイバーセキュリティフレームワークを利用することによる現在のメリット。組織内および組織とエンティティ(サプライチェーンパートナー、顧客、保険会社など)間のコミュニケーションは改善されているか?フレームワークによって、リスクのより良い評価、より効果的なリスク管理、及び/又は、リスク管理のための潜在的な方法の数が増えているか?フレームワークの実施の結果、サイバーセキュリティが改善された場合、どのような評価基準が考えられるか?
3. Challenges that may prevent organizations from using the NIST Cybersecurity Framework or using it more easily or extensively ( e.g., resource considerations, information sharing restrictions, organizational factors, workforce gaps, or complexity). 3. 組織が NIST サイバーセキュリティフレームワークを使用すること、またはより容易または広範囲に使用することを妨げる可能性のある課題(例:リソースの考慮、情報共有の制限、組織的要因、労働力のギャップ、または複雑さ)。
4. Any features of the NIST Cybersecurity Framework that should be changed, added, or removed. These might include additions or modifications of: Functions, Categories, or Subcategories; Tiers; Profile Templates; references to standards, frameworks, models, and guidelines; guidance on how to use the Cybersecurity Framework; or references to critical infrastructure versus the Framework's broader use. 4. NIST サイバーセキュリティフレームワークの機能のうち、変更、追加、または削除されるべきもの。これらには、以下の追加や修正が含まれるかもしれません。機能、カテゴリ、またはサブカテゴリ、階層、プロファイルテンプレート、標準、フレームワーク、モデル、およびガイドラインへの言及、サイバーセキュリティフレームワークの使用方法に関するガイダンス、または重要インフラストラクチャへの言及とフレームワークの広範な使用との関係。
5. Impact to the usability and backward compatibility of the NIST Cybersecurity Framework if the structure of the framework such as Functions, Categories, Subcategories, etc. is modified or changed. 5. 機能、カテゴリ、サブカテゴリなどのフレームワークの構造が修正または変更された場合、NIST サイバーセキュリティフレームワークのユーザビリティと後方互換性に影響を与えること。
6. Additional ways in which NIST could improve the Cybersecurity Framework, or make it more useful. 6. NIST がサイバーセキュリティフレームワークを改善する、あるいはより有用にすることができる追加的な方法。
Relationship of the NIST Cybersecurity Framework to Other Risk Management Resources NIST サイバーセキュリティフレームワークと他のリスクマネジメントリソースとの関係
7. Suggestions for improving alignment or integration of the Cybersecurity Framework with other NIST risk management resources. As part of the response, please indicate benefits and challenges of using these resources alone or in conjunction with the Cybersecurity Framework. These resources include: 7. サイバーセキュリティフレームワークと他のNISTリスクマネジメントリソースとの整合性または統合性を向上させるための提案。回答の一部として、これらのリソースを単独で、あるいはサイバーセキュリティフレームワークと組み合わせて使用することの利点と課題を示してください。これらのリソースには以下のものがあります。
Risk management resources such as the NIST Risk Management Framework, the NIST Privacy Framework, and Integrating Cybersecurity and Enterprise Risk Management (NISTIR 8286). NIST リスクマネジメントフレームワーク、NIST プライバシーフレームワーク、サイバーセキュリティとエンタープライズリスク管理の統合(NISTIR 8286)などのリスクマネジメントリソース。
Trustworthy technology resources such as the NIST Secure Software Development Framework, the NIST Internet of Things (IoT) Cybersecurity Capabilities Baseline, and the Guide to Industrial Control System Cybersecurity. NISTセキュアソフトウェア開発フレームワーク、NIST IoTサイバーセキュリティケイパビリティ・ベースライン、産業制御システムセキュリティガイドなどの信頼できる技術リソース。
Workforce management resources such as the National Initiative for Cybersecurity Education (NICE) Workforce Framework for Cybersecurity. 国家サイバーセキュリティ教育イニシアティブ (NICE) サイバーセキュリティのための職域フレームワークなどの労働力管理リソース。
8. Use of non-NIST frameworks or approaches in conjunction with the NIST Cybersecurity Framework. Are there commonalities or conflicts between the NIST framework and other voluntary, consensus resources? Are there commonalities or conflicts between the NIST framework and cybersecurity-related mandates or resources from government agencies? Are there ways to improve alignment or integration of the NIST framework with other frameworks, such as international approaches like the ISO/IEC 27000-series, including ISO/IEC TS 27110? 8. NIST サイバーセキュリティフレームワークと連携した、NIST 以外のフレームワークやアプローチの使用。NIST フレームワークと他の自主的なコンセンサスリソースの間に共通点や矛盾があるか?NIST のフレームワークと政府機関のサイバーセキュリティ関連の指令やリソースとの間に共通点や矛盾があるか?NIST のフレームワークと、ISO/IEC 27000 シリーズ(ISO/IEC TS 27110 を含む)のような国際的なアプローチなど、他のフレームワークとの整合性や統合性を向上させる方法はあるか?
9. There are numerous examples of international adaptations of the Cybersecurity Framework by other countries. The continued use of international standards for cybersecurity, with a focus on interoperability, security, usability, and resilience can promote innovation and competitiveness while enabling organizations to more easily and effectively integrate new technologies and services. Given this importance, what steps should NIST consider to ensure any update increases international use of the Cybersecurity Framework? 9. サイバーセキュリティフレームワークを他国が国際的に適応させた例は数多くあります。相互運用性、セキュリティ、ユーザビリティ、およびレジリエンスに焦点を当てたサイバーセキュリティの国際標準を継続的に使用することは、組織がより簡単かつ効果的に新しい技術とサービスを統合することを可能にしながら、イノベーションと競争力を促進することができます。この重要性に鑑み、NISTは、更新によってサイバーセキュリティフレームワークの国際的な利用が増加するよう、どのようなステップを考慮すべきですか?
10. References that should be considered for inclusion within NIST's Online Informative References Program. This program is an effort to define standardized relationships between NIST and industry resources and elements of documents, products, and services and various NIST documents such as the NIST Cybersecurity Framework, NIST Privacy Framework, Security and Privacy Controls for Information Systems and Organizations (NIST Special Publication 800-53), NIST Secure Software Development Framework, and the NIST Internet of Things (IoT) Cybersecurity Capabilities Baseline. Start Printed Page 9581 10. NISTのオンライン情報参照プログラム(Online Informative References Program)に含めることを検討すべき文献。このプログラムは、NISTと業界のリソースや文書、製品、サービスの要素と、NIST サイバーセキュリティフレームワーク、NISTプライバシーフレームワーク、情報システムと組織のためのセキュリティとプライバシー管理(NIST Special Publication 800-53)、NIST セキュアソフトウェア開発フレームワーク、NIST IoTサイバーセキュリティケイパビリティ・ベースラインなどの様々なNIST文書間の標準化した関係を定義しようとするものです。 
Cybersecurity Supply Chain Risk Management サイバーセキュリティ・サプライチェーン・リスク管理
11. National Initiative for Improving Cybersecurity in Supply Chains (NIICS). What are the greatest challenges related to the cybersecurity aspects of supply chain risk management that the NIICS could address? How can NIST build on its current work on supply chain security, including software security work stemming from E.O. 14028, to increase trust and assurance in technology products, devices, and services? 11. サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアティブ (NIICS)。サプライチェーンのリスク管理のサイバーセキュリティの側面に関して、NIICSが取り組むことができる最大の課題は何か?NIST は、E.O. 14028 に起因するソフトウェアセキュリティの作業を含むサプライチェーンのセキュリティに関する現在の作業を基に、技術製品、機器、サービスに対する信頼と保証を高めるために、どのようにすることができますか?
12. Approaches, tools, standards, guidelines, or other resources necessary for managing cybersecurity-related risks in supply chains. NIST welcomes input on such resources in narrowly defined areas ( e.g. pieces of hardware or software assurance or assured services, or specific to only one or two sectors) that may be useful to utilize more broadly; potential low risk, high reward resources that could be facilitated across diverse disciplines, sectors, or stakeholders; as well as large-scale and extremely difficult areas. 12. サプライチェーンにおけるサイバーセキュリティ関連のリスクを管理するために必要なアプローチ、ツール、標準、ガイドライン、またはその他のリソース。NISTは、より広範に活用することが有用な狭義の分野(例えば、ハードウェアまたはソフトウェアの保証または保証されたサービスの一部、あるいは1つか2つのセクターのみに特化した分野)、多様な分野、セクター、または利害関係者にわたって促進することができる低リスク、高報酬の潜在的リソース、さらには大規模で極めて困難な分野のリソースに関する情報を歓迎します。
13. Are there gaps observed in existing cybersecurity supply chain risk management guidance and resources, including how they apply to information and communications technology, operational technology, IoT, and industrial IoT? In addition, do NIST software and supply chain guidance and resources appropriately address cybersecurity challenges associated with open-source software? Are there additional approaches, tools, standards, guidelines, or other resources that NIST should consider to achieve greater assurance throughout the software supply chain, including for open-source software? 13. 既存のサイバーセキュリティサプライチェーンリスク管理ガイダンスとリソースに、情報通信技術、運用技術、IoT、産業用IoTへの適用方法を含めて、ギャップは観察されるか?また、NISTのソフトウェアとサプライチェーンのガイダンスとリソースは、オープンソースソフトウェアに関連するサイバーセキュリティの課題に適切に対応していますか?オープンソースソフトウェアを含むソフトウェアサプライチェーン全体でより高い保証を達成するために、NISTが検討すべき追加のアプローチ、ツール、標準、ガイドライン、またはその他のリソースがありますか?
14. Integration of Framework and Cybersecurity Supply Chain Risk Management Guidance. Whether and how cybersecurity supply chain risk management considerations might be further integrated into an updated NIST Cybersecurity Framework—or whether and how a new and separate framework focused on cybersecurity supply chain risk management might be valuable and more appropriately be developed by NIST. 14. フレームワークとサイバーセキュリティサプライチェーンリスク管理ガイダンスの統合。あるいは、サイバーセキュリティのサプライチェーンリスク管理に焦点を当てた新しい別のフレームワークが、NISTによって開発される価値があり、より適切であるかもしれません。

 

1_20220226063801

 

 

| | Comments (0)

英国 NCSC 建設業界向けサイバーセキュリティガイド(サイバーセキュリティ対策はヘルメットをかぶるのと同じくらい重要である)

こんにちは、丸山満彦です。

英国のNCSCは建設業界およびより広いサプライチェーン(建築資材の製造、測量、および建物の販売を含む)で働く「中小企業」を対象としてたサイバーセキュリティガイダンスを公表していますね。。。

U.K. National Cyber Security Centre: NCSC

・2022.02.23 (news) Groundbreaking cyber advice will help construction firms build strong foundations against online threats

Groundbreaking cyber advice will help construction firms build strong foundations against online threats 建設会社がオンラインの脅威に対抗する強固な基盤を構築するための画期的なサイバー助言
New guidance, issued by the NCSC and the Chartered Institute of Building, is designed to help small and medium-sized construction businesses. NCSCと英国建築学会が発行する新しいガイダンスは、中小規模の建設業を支援するためのものです。
・First-ever cyber security guidance aimed at UK construction industry issued by GCHQ’s National Cyber Security Centre ・GCHQの国家サイバーセキュリティセンター (NCSC) が英国の建設業界を対象とした初のサイバーセキュリティガイダンスを発行
・Due to online threats facing the sector, the NCSC advises firms that cyber security measures are as vital as wearing a hard hat on site ・オンライン上の脅威を受け、NCSCは、サイバーセキュリティ対策は、現場でハードハットを着用するのと同じくらい不可欠であると企業に助言しています。
・Guidance has been launched in association with the Chartered Institute of Building and is aimed at small and medium-sized construction businesses ・このガイダンスは、英国建築学会と共同で、中小規模の建設業を対象に作成されました。
CONSTRUCTION businesses are being offered first-of-its-kind cyber security guidance from UK experts today (Wednesday) to help build up their resilience to online threats. オンラインの脅威に対する耐性を高めるために、本日(水曜日)、英国の専門家による初のサイバーセキュリティ・ガイダンスが建設業界に提供されました。
The new Cyber Security for Construction Businesses guide from the National Cyber Security Centre (NCSC) – a part of GCHQ – provides tailored, practical advice for the industry on how to protect their businesses and building projects. GCHQの一部である国家サイバーセキュリティセンター(NCSC)による新しい「建設業向けサイバーセキュリティ・ガイド」は、業界向けに事業や建築プロジェクトの保護方法に関する実践的なアドバイスを提供します。
The guidance, launched with the Chartered Institute of Building (CIOB), is aimed at small and medium-sized firms as businesses rely more on digital tools and ways of working, such as using 3D modelling packages, GPS equipment and business management software. 3Dモデリング・パッケージ、GPS機器、業務管理ソフトウェアなど、デジタルツールや業務方法への依存度が高まる中、英国建築学会(CIOB)と共同で立ち上げたこのガイドは、中小企業を対象としています。
Construction businesses of all sizes continue to be targets for cyber attackers due to the sensitive data they hold and high-value payments they handle. 建設業は、保有する機密データや高額な決済を扱うことから、あらゆる規模の企業がサイバー攻撃者のターゲットになり続けています。
The guide offers practical advice for each stage of construction, from design to handover, and sets out the common cyber threats the industry faces, including from spear-phishingransomware and supply chain attacks. 本書では、設計から引き渡しまでの各工事段階における実践的なアドバイスを提供するとともに、スピアフィッシング、ランサムウェア、サプライチェーン攻撃など、この業界が直面する一般的なサイバー脅威について解説しています。
Sarah Lyons, NCSC Deputy Director for Economy and Society Engagement, said: NCSCの経済・社会エンゲージメント担当副所長であるサラ・ライオンズは、次のように述べています。
“As construction firms adopt more digital ways of working, it’s vital to put protective measures in place to stay safe online – in the same way you’d wear a hard hat on site. 「建設会社がよりデジタルな働き方をするようになった今、現場でハードハットをかぶるのと同じように、オンラインでも安全が確保できるような防護策を講じることが極めて重要です。
“That’s why we’ve launched the new Cyber Security for Construction Businesses guide to advise small and medium-sized businesses on how to keep their projects, data and devices secure. そのため、私たちは、中小企業がプロジェクト、データ、デバイスを安全に保つ方法をアドバイスするために、新しい「建設業向けサイバーセキュリティ」ガイドを立ち上げました。
“By following the recommended steps, businesses can significantly reduce their chances of falling victim to a cyber attack and build strong foundations for their overall resilience.” 推奨される手順に従うことで、企業はサイバー攻撃の犠牲になる可能性を大幅に減らし、全体的な回復力のための強力な基盤を構築することができます。」
Construction Minister Lee Rowley MP said: 建設大臣リー・ロウリー議員は次のように述べました。
“Data and digital technology is helping to make the construction industry more productive, competitive and sustainable. However, with this new technology comes threats that businesses must be wary of and take action to defend themselves from. 「データとデジタル技術は、建設業界の生産性、競争力、持続可能性を高めるために役立っています。しかし、この新しい技術には、企業が警戒し、自らを守るために行動を起こさなければならない脅威がつきものです。
“This guide provides firms with easy to follow, practical advice to improve resilience to online threats, which will help to ensure projects are delivered on time and securely.” このガイドは、オンライン上の脅威に対する耐性を向上させるための実践的なアドバイスを企業に提供し、プロジェクトを予定通りに安全に提供することを支援します」。
Caroline Gumble, Chief Executive of the Chartered Institute of Building, said: 英国建築学会のキャロアイン・ガンブル会長は、次のように述べています。
“The consequences of poor cyber security should not be underestimated. They can have a devastating impact on financial margins, the construction programme, business reputation, supply chain relationships, the built asset itself and, worst of all, people’s health and wellbeing. As such, managing data and digital communications channels is more important than ever. 「サイバーセキュリティの不備がもたらす結果は、過小評価されるべきではありません。サイバーセキュリティの不備がもたらす結果は、財務的利益、建設計画、ビジネスの評判、サプライチェーンの関係、建設資産そのもの、そして何よりも人々の健康や幸福に壊滅的な影響を与える可能性があるのです。そのため、データとデジタル通信チャネルを管理することは、これまで以上に重要です。
“This guide provides a timely opportunity to focus on the risks presented by cyber crime, something that has been highlighted by CIOB for some time. We’re now delighted to partner with the National Cyber Security Centre (NCSC) and the Centre for the Protection of National Infrastructure (CPNI) to produce another invaluable resource.” このガイドは、英国建築学会が以前から強調してきたサイバー犯罪がもたらすリスクに焦点を当てるタイムリーな機会を提供するものです。今回、国家サイバーセキュリティセンター (NCSC) および 国家インフラ保護センター (CPNI) と提携し、新たな貴重な資料を作成することができたことを嬉しく思っています。」
The new guidance is split into two parts: the first aimed at helping business owners and managers understand why cyber security matters, and the second aimed at advising staff responsible for IT equipment and services within construction companies on actions to take. この新しいガイダンスは2つのパートに分かれています。第1章は経営者や管理者がサイバーセキュリティの重要性を理解することを目的としています。第2章は建設会社のIT機器やサービスの責任者が取るべき行動を助言することを目的としています。
The advice outlines seven steps for boosting resilience, covering topics including creating strong passwordsbacking up deviceshow to avoid phishing attackscollaborating with partners and suppliers; and preparing for and responding to incidents. アドバイスでは、強力なパスワードの作成、デバイスのバックアップ、フィッシング攻撃の回避、パートナーやサプライヤーとの協力、インシデントへの準備と対応など、耐障害性を高めるための7つのステップを概説しています。
The majority of businesses in the construction industry fall under the small and medium-sized categories. 建設業界の企業の大半は、中小規模に分類されます。
Last year, a survey by the Department for Digital, Culture, Media and Sport of all types of businesses found more than a third of micro (37%) and small businesses (39%) reported falling victim to a cyber security breach or cyber attack in the previous year, with this increasing to 65% for medium-sized businesses. 昨年、デジタル・文化・メディア・スポーツ省が全業種を対象に行った調査では、小規模企業(37%)と中小企業(39%)の3分の1以上が前年度にサイバーセキュリティ侵害やサイバー攻撃の被害に遭ったと報告しており、中堅企業では65%に増加していることが分かっています。
The NCSC is committed to helping UK organisations of all sizes improve their cyber resilience and has a published a range of guidance on how to defend against online threats on its website. NCSCは、英国のあらゆる規模の組織がサイバー耐性を向上できるよう支援しており、オンラインの脅威から身を守る方法に関するさまざまなガイダンスをウェブサイトで公開しています。
For smaller construction businesses without dedicated IT staff, the NCSC’s Small Business Guide offers further affordable, practical advice on how to stay secure online, while larger organisations can find guidance in the 10 Steps to Cyber Security collection. 専任のITスタッフを持たない小規模な建設会社には、NCSCのSmall Business Guideが、オンラインセキュリティを維持する方法について、さらに手頃で実用的なアドバイスを提供し、大規模な組織には、10 Steps to Cyber Securityコレクションが参考になります。

 

・2022.02.23 (guidance) Cyber security for construction businesses

Cyber security for construction businesses 建設業のためのサイバーセキュリティ
Guidance to help the construction industry improve the security and resilience of their business against cyber threats. 建設業がサイバー脅威に対するセキュリティと回復力を向上させるためのガイダンス。
The National Cyber Security Centre (NCSC) has partnered with the Chartered Institute of Building (CIOB) to produce this guidance to help small-to-medium sized construction businesses protect themselves from cyber attacks. 国家サイバーセキュリティ・センター(NCSC)は、英国建築学会(CIOB)と共同で、中小規模の建設業がサイバー攻撃から身を守るためのガイダンスを作成しました。
Recent high profile cyber attacks against the construction industry illustrate how businesses of all sizes are being targeted by criminals. As the industry continues to embrace and adopt new digital ways of working, it is more important than ever to understand how you might be vulnerable to cyber attacks, and what you can do to protect your business. 建設業界に対する最近の大規模なサイバー攻撃は、あらゆる規模の企業が犯罪者に狙われていることを物語っています。建設業界では、新しいデジタルな働き方を受け入れ、採用し続けているため、サイバー攻撃に対してどのような脆弱性があり、ビジネスを保護するために何ができるかを理解することがこれまで以上に重要です。
This guidance is aimed at small-to-medium sized businesses working in the construction industry and the wider supply chain (including the manufacture of building supplies, surveying, and the sale of buildings). このガイダンスは、建設業界およびより広いサプライチェーン(建築資材の製造、測量、建物の販売を含む)で働く中小企業を対象としています。
Whilst we cannot guarantee protection against all the cyber threats you face, by implementing the steps described, you’ll be protected from most common cyber attacks. And should the worst happen, you’ll able to quickly recover. 私たちは、あなたが直面するすべてのサイバー脅威からの保護を保証することはできませんが、説明されている手順を実行することにより、一般的なサイバー攻撃から保護することができます。また、最悪の事態が発生した場合にも、迅速に復旧することができます。

・[PDF]

20220226-44945

目次...

Section 1 For business owners and managers 第1章 経営者・管理者向け
Why cyber security matters なぜサイバーセキュリティが重要なのか
Who is behind cyber attacks? サイバー攻撃の背後にいるのは誰なのか?
Design stage 設計段階
Construction stage 施工段階
Handover stage 引渡し段階
Section 2 For staff responsible for IT  第2章 IT担当者向け
Cyber security guidance サイバーセキュリティ・ガイダンス
1. Back up your data 1. データのバックアップ
2. Protecting your office equipment from malware 2. マルウェアからオフィス機器を守る
3. Keeping your phones and tablets safe 3. スマホ・タブレットの安全確保
4. Using passwords to protect your data 4. パスワードによるデータ保護
5. Dealing with phishing 5. フィッシングへの対応
6. Collaborating with suppliers and partners 6. 仕入先・提携先との連携
7. Preparing for (and responding to) cyber incidents 7. サイバーインシデントへの準備(と対応)

 

| | Comments (0)

2022.02.25

中国外交部報道官が記者会見で米国NSAによる悪質なサイバー活動に深刻な懸念を表明。。。

こんにちは、丸山満彦です。

中国外交部報道官が2月24日の記者会見で米国NSAによるサイバー攻撃について、中国外交部報道官が記者会見で米国NSAによる悪質なサイバー活動に深刻な懸念を表明していますね。。。

 

中国

● 外交部

2022年2月24日外交部发言人华春莹主持例行记者会

《环球时报》记者:据报道,23日,北京奇安盘古实验室发布报告,发现隶属美国国安局的黑客组织“方程式”利用顶级后门,对中国、俄罗斯、日本、韩国、印度、英国、德国、荷兰、澳大利亚、泰国、埃及、巴西等全球45个国家地区开展长达十几年的“电幕行动”(Bvp47)网络攻击,行业涵盖电信、大学、科研、经济及军事领域,某些攻击还以日本为跳板。据了解,这是中国网安实验室首次以详细技术证据链条公开曝光来自美国安局的黑客攻击。中方对此有何评论? 環球時報記者:報道によると、23日、北京旗安潘固研究所は、米国国家安全保障局(NSA)と提携するハッカー集団「Equation」がトップレベルのバックドアを使って、中国、ロシア、日本、韓国、インド、イギリス、ドイツ、オランダ、オーストラリア、タイ、エジプト、ブラジルなど世界45カ国・地域にサイバー攻撃を行ったとする報告を発表した。 電気カーテン作戦」(Bvp47)サイバー攻撃は、通信、大学、科学研究、経済、軍事などの分野を対象に10年以上前から行われており、日本を飛び火点とする攻撃もあった。 中国のサイバーセキュリティ研究所が、米国家安全保障局からのハッキング攻撃を、詳細な技術的証拠の連鎖とともに公に暴露したのは、これが初めてと理解されている。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:中方注意到有关报道和技术报告,对报告曝光的不负责任的恶意网络活动表示严重关切,强烈敦促美方作出解释,并立即停止此类活动。中方将采取必要措施维护中国的网络安全和自身利益。 華春瑩:中国は関連報告書と技術報告書に留意し、報告書が暴露した無責任で悪質なサイバー活動に深刻な懸念を表明し、米国側に説明と当該活動の即時中止を強く求めた。 中国は、中国のサイバーセキュリティと自国の利益を守るために必要な措置を講じる。
根据曝光的这份报告,美国国家安全局下属的“方程式组织”对中国电信、科研和经济等部门发动长达十几年的网络攻击。此前,中国网络安全公司360也曾发表报告,曝光美国政府的APT-C-39黑客组织对中国发动大规模网络攻击的情况。这些攻击可能造成海量个人信息数据、商业秘密和知识产权的严重泄露,危害中方关键基础设施安全。值得注意的是,相关攻击最早可追溯到2005年,并持续到2015年之后。这不得不让人怀疑,美方履行中美2015年达成的网络安全共识的诚意。 それによると、米国国家安全保障局の「Equation Groupe」は、10年以上にわたって中国の通信、科学研究、経済分野にサイバー攻撃を仕掛けてきたという。 これは、中国のサイバーセキュリティ企業360が、米国政府のハッキンググループ「APT-C-39」が中国に対して大規模なサイバー攻撃を仕掛けていることを暴露した報告書に続くものです。 これらの攻撃により、大量の個人情報データ、商業機密、知的財産が流出し、中国の重要インフラの安全が脅かされる深刻な事態が発生した可能性があります。 注目すべきは、問題の攻撃が2005年にまでさかのぼり、2015年以降も継続していることです。 これは、2015年に米中が合意したサイバーセキュリティの合意を履行するための米国側の誠意を疑わざるを得ない。
美国的情报法允许美国政府对全世界,包括其盟友进行大规模、无差别的信息和数据窃密。此前,斯诺登、维基解密都曾披露过美国政府在全球范围内的大规模窃听窃密行为。这次报告曝光的内容表明,除了中国及亚非拉的主要发展中国家,美国连自己的盟友和伙伴也没有放过。美方网络攻击的范围甚至包括其欧洲盟友、“印太四国”和“五眼联盟”的成员。目前,美国正在全球以帮助各国提升能力为名,积极寻求开展网络安全多双边合作。这也不得不让人怀疑美方的真实意图到底是什么? 米国の情報法は、米国政府が同盟国を含む世界に対して大規模かつ無差別な情報およびデータの窃盗を行うことを認めています。 以前、スノーデン氏とウィキリークスは、世界的な規模で米国政府の大規模な盗聴と機密の窃盗を明らかにしました。 今回、中国やアジア、アフリカ、ラテン米国の主要な途上国に加え、米国は自国の同盟国やパートナーさえも惜しんでいないことが明らかになりました。 米国のサイバー攻撃は、ヨーロッパの同盟国やインド太平洋クアッド、ファイブ・アイズ同盟のメンバーまで含まれています。 現在、米国は各国の能力向上を支援する名目で、世界各地でサイバーセキュリティに関する多国間協力を積極的に進めています。 これもまた、米国側の真意がどこにあるのかを考えさせられます。
网络空间是人类的共同家园,网络安全也是各国面临的共同挑战。我们希望美方在网络空间采取负责任的态度,与各方一道通过对话与合作,共同维护网络空间和平与安全。 サイバースペースは人類共通の故郷であり、サイバーセキュリティは各国共通の課題でもあります。 米国側がサイバースペースにおいて責任ある態度をとり、対話と協力を通じてサイバースペースの平和と安全を維持するためにすべての当事者と協力することを希望します。

 

この「環球時報記者」が言っているのは、以下のことですかね。。。

盘古实验室(Pangu Lab)

2022.02.23 Bvp47-美国NSA方程式组织的顶级后门 The Bvp47 - a Top-tier Backdoor of US NSA Equation Group
報告書 PDF PDF
  20220225-153151 20220225-153201

 

しかし、外交部報道官が、記者からの質問にいきなり答えられていますが、すごいですね。。。さすが中国。。。

 

ちなみに、質問している組織は、

环球时报 [JP:wilipedia]

取り上げている報告書を書いた組織は、

盘古实验室(Pangu Lab)

ですからね。。。

 

このタイミングでの発表の意図はなんですかね。。。

 

| | Comments (0)

ISACA Journalに記事が載りました!!! 農業 ✖️ AI ✖️ COBIT です (^^)

こんにちは、丸山満彦です。

学生時代に農学部であったこともあって?これから重要となる農業、とりわけAIを活用したスマート農業をテーマに、その管理をCOBITを利用するのがよいのではないかということで、記事にしたものです。PwCあらた監査法人の綾部さん、山本さん、Vinsonさんと書いたものです。

農業の場合は、企業なりの大規模農家もありますが、家族規模の小規模農家もあります。DataとAI(アルゴリズム)に対するガバナンス、管理が重要ということです。。。

スマート農業が進むことを想定し、これまでCOBITに触れたことがない農業事業者にCOBITを知ってもらい、COBITを利用してスマート農業を成功してもらいたいというのもありますかね。。。(次は農業者が読んでいる雑誌にでも記事を書きますか・・・)

1_20220225105701

 

ISACA - ISACA Journal

・2022.02.22 Data and AI Management in Smart Agriculture Using Soil and Crop Data: The Potential of COBIT 2019

・[PDF]  [Downloaded]

20220225-104052

 

日本語版も出る予定です。日本語版がでたらまた、案内します!

 

----- 2022.02.26 追記 -----

日本語版も公開されました!!!

 

土壌や作物のデータを活用したス マート農業におけるデータ・AIマネ ジメント:COBIT2019の潜在能力

----- 追記終わり -----

 

 

 

| | Comments (0)

経済産業省 金融庁 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起(2022.02.23,24)

こんにちは、丸山満彦です。

ロシアがウクライナに対する軍事行動を起こしたことを踏まえ、経済産業省が、サイバーセキュリティ対策の強化についての注意喚起を23日にし、それを踏まえて、金融庁も金融機関におけるサイバーセキュリティ対策の強化についての注意喚起を24日にしていますね。。。

 

経済産業省

・2022.02.23 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います

・[PDF] 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

20220224-160848

 

金融庁

・2022.02.24 昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

 

対策の強化に加えて、


国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。

 不審な動きを把握した場合は、速やかに金融庁・財務(支)局の担当部署にご報告ください。


とのことです。。。

 

 


参考 (上記の記事は下記の記事の最後の方をコピーしたものです...(^^))

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.24 英国 NSCS ウクライナ問題でサイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべきと助言 (2022.02.22)

 

| | Comments (0)

2022.02.24

それぞれの国の言い分

こんにちは、丸山満彦です。

ロシアとウクライナの関係が厳しい状況になってきていますが、それぞれの政府でそれぞれの言い分がありますね。。。

 

1_20220224185801

 

ロシア大統領府

・2022.02.24 Обращение Президента Российской Федерации

В.Путин: Уважаемые граждане России! Дорогие друзья! V.プーチン:親愛なるロシア国民の皆様。親愛なる皆様へ
Сегодня вновь считаю необходимым вернуться к трагическим событиям, происходящим на Донбассе, и ключевым вопросам обеспечения безопасности самой России. 今日は改めて、ドンバスで起きている悲劇的な出来事と、ロシア自身の安全保障に関する重要な問題に立ち返る必要があると考えています。
Начну с того, о чём говорил в своём обращении от 21 февраля текущего года. Речь о том, что вызывает у нас особую озабоченность и тревогу, о тех фундаментальных угрозах, которые из года в год шаг за шагом грубо и бесцеремонно создаются безответственными политиками на Западе в отношении нашей страны. Имею в виду расширение блока НАТО на восток, приближение его военной инфраструктуры к российским границам. まず、今年の2月21日の演説で述べたことから始めます。私が言っているのは、私たちが特に関心を持っていること、つまり、欧米の無責任な政治家たちが、年々、一歩一歩、私たちの国に対して仕掛けている基本的な脅威のことです。NATO圏が東に拡大し、その軍事インフラがロシアの国境に近づいていることを指しています。
Хорошо известно, что на протяжении 30 лет мы настойчиво и терпеливо пытались договориться с ведущими странами НАТО о принципах равной и неделимой безопасности в Европе. В ответ на наши предложения мы постоянно сталкивались либо с циничным обманом и враньём, либо с попытками давления и шантажа, а Североатлантический альянс тем временем, несмотря на все наши протесты и озабоченности, неуклонно расширяется. Военная машина движется и, повторю, приближается к нашим границам вплотную. 私たちが30年間、NATOの主要国との間で、欧州における平等で不可分な安全保障の原則について、粘り強く、忍耐強く合意に達しようとしてきたことはよく知られています。私たちの提案に対して、私たちは常に冷笑的なごまかしや嘘、あるいは圧力や脅迫の試みに遭遇してきましたが、一方で北大西洋同盟は、私たちのあらゆる抗議や懸念にもかかわらず、着実に拡大しています。戦争マシンは動いており、繰り返しますが、我々の国境に近づいてきています。
Почему всё это происходит? Откуда эта наглая манера разговаривать с позиции собственной исключительности, непогрешимости и вседозволенности? Откуда наплевательское, пренебрежительное отношение к нашим интересам и абсолютно законным требованиям? なぜこのようなことが起こるのか?なぜこのように、自分の独占性、無謬性、許容性の立場から語るという傲慢な態度をとるのでしょうか。私たちの利益や絶対的に正当な要求に対して、思いやりのない、見下したような態度はどこから来るのでしょうか。
Ответ ясен, всё понятно и очевидно. Советский Союз в конце 80-х годов прошлого века ослаб, а затем и вовсе развалился. Весь ход происходивших тогда событий – это хороший урок для нас и сегодня, он убедительно показал, что паралич власти, воли – это первый шаг к полной деградации и забвению. Стоило нам тогда на какое-то время потерять уверенность в себе, и всё – баланс сил в мире оказался нарушенным. 答えは明確で、わかりやすく、明白です。ソビエト連邦は1980年代末に弱体化し、崩壊した。力と意志の麻痺が、完全な衰退と忘却への第一歩であることを、説得力を持って示したのである。一旦、自信を失ってしまうと、世界のパワーバランスが崩れてしまいます。
Это привело к тому, что прежние договоры, соглашения уже фактически не действуют. Уговоры и просьбы не помогают. Всё, что не устраивает гегемона, власть предержащих, объявляется архаичным, устаревшим, ненужным. И наоборот: всё, что кажется им выгодным, преподносится как истина в последней инстанции, продавливается любой ценой, хамски, всеми средствами. Несогласных ломают через колено.  そのため、過去の条約や協定が実際には効力を持たないという状況になっています。説得しても、お願いしても、どうにもなりませんでした。ヘゲモニー(権力者)に合わないものはすべて、古臭い、時代遅れ、不要とされます。その逆もまた然りで、彼らにとって有利と思われるものはすべて究極の真実として提示され、何としてでも、無礼にも、あらゆる手段を使って押し通します。反論者は膝の上で折られています。 
То, о чём сейчас говорю, касается не только России и не только у нас вызывает озабоченности. Это касается всей системы международных отношений, а подчас даже и самих союзников США. После развала СССР фактически начался передел мира, и сложившиеся к этому времени нормы международного права, – а ключевые, базовые из них были приняты по итогам Второй мировой войны и во многом закрепляли её результаты, – стали мешать тем, кто объявил себя победителем в холодной войне. 私が今話していることは、ロシアだけではなく、誰にも関係することです。それは、国際関係のシステム全体に関わることであり、時にはアメリカの同盟国自身にも関わることです。ソ連崩壊後、世界の再分配が実際に始まり、確立された国際法の規範-重要で基本的なものは第二次世界大戦の終わりに採用され、その結果をほぼ統合した-が、冷戦で勝利を宣言した人々を妨げ始めました。
Конечно, в практической жизни, в международных отношениях, в правилах по их регулированию нужно было учитывать и изменения ситуации в мире и самого баланса сил. Однако делать это следовало профессионально, плавно, терпеливо, с учётом и уважением интересов всех стран и при понимании своей ответственности. Но нет – состояние эйфории от абсолютного превосходства, своего рода современного вида абсолютизма, да ещё и на фоне низкого уровня общей культуры и чванства тех, кто готовил, принимал и продавливал выгодные лишь для себя решения. Ситуация начала развиваться по другому сценарию.  もちろん、実際には、国際関係やそれを調整するためのルールには、世界情勢の変化やパワーバランスの変化を考慮しなければならない。しかし、これは、すべての国の利益を考慮し、尊重し、その責任を理解した上で、プロフェッショナルに、スムーズに、忍耐強く行われるべきでした。しかし、そうではない。絶対的な優越感からくる陶酔感、一種の現代的な絶対主義、さらには、一般的な文化の低さと、自分たちだけが利益を得られるような決定を準備し、採用し、押し通した人々の傲慢さを背景にしたものだ。状況は、別の形で展開し始めた。 
За примерами далеко ходить не нужно. Сперва без всякой санкции Совета Безопасности ООН провели кровопролитную военную операцию против Белграда, использовали авиацию, ракеты прямо в самом центре Европы. Несколько недель непрерывных бомбёжек по мирным городам, по жизнеобеспечивающей инфраструктуре. Приходится напоминать эти факты, а то некоторые западные коллеги не любят вспоминать те события, а когда мы говорим об этом, предпочитают указывать не на нормы международного права, а на обстоятельства, которые трактуют так, как считают нужным. このような例は、遠くに行かなくても見つけることができます。まず、ベオグラードに対して、国連安全保障理事会の承認を得ずに血みどろの軍事作戦が行われました。数週間に渡って、生命維持に必要なインフラである民間の都市を爆撃し続けました。私がこの事実を思い出さなければならないのは、欧米の同僚の中には、これらの出来事を思い出したくない人がいるからです。また、この出来事について話すときには、国際法の規範ではなく、自分の都合のよいように解釈した状況を指摘したがります。
Затем наступила очередь Ирака, Ливии, Сирии. Нелегитимное использование военной силы против Ливии, извращение всех решений Совета Безопасности ООН по ливийскому вопросу привело к полному разрушению государства, к тому, что возник огромный очаг международного терроризма, к тому, что страна погрузилась в гуманитарную катастрофу, в пучину не прекращающейся до сих пор многолетней гражданской войны. Трагедия, на которую обрекли сотни тысяч, миллионы людей не только в Ливии, но и во всём этом регионе, породила массовый миграционный исход из Северной Африки и Ближнего Востока в Европу. その後、イラク、リビア、シリアの順に番が回ってきました。リビアに対する違法な軍事力の行使と、リビア問題に関するすべての国連安全保障理事会の決定の曲解は、リビアの国家を完全に破壊し、国際テロの巨大な温床を作り、同国を人道的災害と今なお続く長い内戦に陥れることになりました。リビアだけでなく、地域全体で何十万人、何百万人もの人々を破滅させたこの悲劇は、北アフリカや中東からヨーロッパへの大規模な脱出を引き起こしました。
Подобную судьбу уготовили и Сирии. Боевые действия западной коалиции на территории этой страны без согласия сирийского правительства и санкции Совета Безопасности ООН – это не что иное, как агрессия, интервенция. シリアも同じような運命をたどることになります。シリア政府の同意と国連安全保障理事会の承認を得ずに、欧米連合が同国の領土で軍事行動を行うことは、侵略、介入にほかなりません。
Однако особое место в этом ряду занимает, конечно же, вторжение в Ирак тоже без всяких правовых оснований. В качестве предлога выбрали якобы имеющуюся у США достоверную информацию о наличии в Ираке оружия массового поражения. В доказательство этому публично, на глазах у всего мира Госсекретарь США тряс какой-то пробиркой с белым порошком, уверяя всех, что это и есть химическое оружие, разрабатываемое в Ираке. А потом оказалось, что всё это – подтасовка, блеф: никакого химического оружия в Ираке нет. Невероятно, удивительно, но факт остаётся фактом. Имело место враньё на самом высоком государственном уровне и с высокой трибуны ООН. А в результате – огромные жертвы, разрушения, невероятный всплеск терроризма. しかし、もちろん法的根拠のないイラク侵攻も、このシリーズの中で特別な位置を占めています。彼らが口実にしたのは、イラクに大量破壊兵器が存在するという米国の信頼できる情報でした。アメリカの国務長官は、世界中の人々の前でそれを証明するために、白い粉の入ったチューブを振って、それがイラクで開発される化学兵器であると皆に断言しました。そして、イラクには化学兵器が存在しませんでした。それは、捏造であり、デマであることがわかりました。信じられない、驚くべきことですが、事実は変わりません。国家の最高レベルでも、国連の高い壇上でも嘘があったのです。その結果、膨大な死傷者と破壊、そして信じられないほどのテロの急増を招いたのです。
Вообще складывается впечатление, что практически везде, во многих регионах мира, куда Запад приходит устанавливать свой порядок, по итогам остаются кровавые, незаживающие раны, язвы международного терроризма и экстремизма. Всё, о чём сказал, это наиболее вопиющие, но далеко не единственные примеры пренебрежения международным правом. 一般的に、西洋が秩序を確立しようとする世界の多くの地域では、血まみれで癒えない傷、国際テロリズムや過激主義の傷が残っているようです。これまで述べてきたことは、国際法を無視した最もひどい例ですが、それだけではありません。
В этом ряду и обещания нашей стране не расширять ни на один дюйм НАТО на восток. Повторю – обманули, а выражаясь народным языком, просто кинули. Да, часто можно слышать, что политика – грязное дело. Возможно, но не настолько же, не до такой же степени. Ведь такое шулерское поведение противоречит не только принципам международных отношений, но прежде всего общепризнанным нормам морали и нравственности. Где же здесь справедливость и правда? Одна лишь сплошная ложь и лицемерие.  NATOを東に1インチも拡大しないというわが国の約束もその一つです。繰り返しますが、彼らは騙されたのであり、俗に言う「捨てられた」のです。確かに、政治は汚い仕事だとよく言われます。おそらくですが、あそこまで汚くはありません。結局のところ、このような不正行為は、国際関係の原則に反するだけでなく、何よりも一般的に受け入れられている道徳や倫理の規範に反するものです。正義と真実はどこにあるのか?嘘と偽善しかありません。 
Кстати, сами американские политики, политологи и журналисты пишут и говорят о том, что внутри США создана в последние годы настоящая «империя лжи». Трудно с этим не согласиться – так оно и есть. Но не надо скромничать: США – это всё-таки великая страна, системообразующая держава. Все её сателлиты не только безропотно и покорно поддакивают, подпевают ей по любому поводу, но ещё и копируют её поведение, с восторгом принимают предлагаемые им правила. Поэтому с полным на то основанием, уверенно можно сказать, что весь так называемый западный блок, сформированный США по своему образу и подобию, весь он целиком и есть та самая «империя лжи». ちなみに、アメリカの政治家、政治学者、ジャーナリスト自身が、近年、アメリカ国内に本物の「嘘の帝国」ができたと書いているし、言っています。これに同意しないわけにはいきません。しかし、謙遜する必要はありません。アメリカは依然として偉大な国であり、システムを形成する力を持っています。その衛星国は、おとなしく従うだけでなく、何かあるごとに一緒に歌ったり、行動を真似たり、提案されたルールを熱心に受け入れたりしています。したがって、正当な理由があれば、アメリカが自らのイメージと似姿で形成した、いわゆる西欧圏全体が同じ「嘘の帝国」であると自信を持って言うことができます。
Что касается нашей страны, то после развала СССР при всей беспрецедентной открытости новой современной России, готовности честно работать с США и другими западными партнёрами и в условиях фактически одностороннего разоружения нас тут же попытались дожать, добить и разрушить уже окончательно. Именно так и было в 90-е годы, в начале 2000-х годов, когда так называемый коллективный Запад самым активным образом поддерживал сепаратизм и банды наёмников на юге России. Каких жертв, каких потерь нам тогда всё это стоило, через какие испытания пришлось пройти, прежде чем мы окончательно сломали хребет международному терроризму на Кавказе. Мы помним это и никогда не забудем. わが国に関しては、ソビエト連邦崩壊後、新しい現代ロシアがかつてないほど開放的で、米国やその他の西側パートナーと誠実に協力し、実際に一方的な軍縮を行う用意があったにもかかわらず、彼らはすぐに私たちを押しつぶし、永久に終わらせ、破壊しようとしました。これは、90年代から2000年代初頭にかけて、いわゆる集団西洋がロシア南部の分離主義や傭兵団を積極的に支援していたことと同じです。最終的にコーカサスの国際テロリズムの牙城を崩すまでに、どれほどの犠牲と損失を払い、どれほどの試練を経験しなければならなかったのか。私たちはそれを覚えていますし、決して忘れません。
Да собственно, и до последнего времени не прекращались попытки использовать нас в своих интересах, разрушить наши традиционные ценности и навязать нам свои псевдоценности, которые разъедали бы нас, наш народ изнутри, те установки, которые они уже агрессивно насаждают в своих странах и которые прямо ведут к деградации и вырождению, поскольку противоречат самой природе человека. Этому не бывать, никогда и ни у кого этого не получалось. Не получится и сейчас. 実際のところ、最近まで、私たちを彼らの利益のために利用し、私たちの伝統的な価値観を破壊し、私たちの国民を内側から腐らせるような彼らの擬似的な価値観を私たちに押し付けようとする試み、彼らがすでに自国で積極的に押し付けています、人間の本質そのものに反しているような、劣化、退化に直結するような態度は、止むことがありませんでした。そんなことは起こらないし、誰にも通用しなかった。また、今は成功しないでしょう。
Несмотря ни на что, в декабре 2021 года мы всё-таки в очередной раз предприняли попытку договориться с США и их союзниками о принципах обеспечения безопасности в Европе и о нерасширении НАТО. Всё тщетно. Позиция США не меняется. Они не считают нужным договариваться с Россией по этому ключевому для нас вопросу, преследуя свои цели, пренебрегают нашими интересами.  あらゆることにもかかわらず、私たちは2021年12月に、米国とその同盟国との間で、欧州における安全保障の原則とNATOの非拡大に関する合意に達することを再度試みました。全てが無駄でした。米国の立場は変わっていません。彼らは、我々にとって重要な問題であるロシアとの合意に達する必要があるとは考えておらず、自分たちの目標を追求し、我々の利益を無視しています。 
И конечно, в этой ситуации у нас возникает вопрос: а что же делать дальше, чего ждать? Мы хорошо знаем из истории, как в 40-м году и в начале 41-го года прошлого века Советский Союз всячески стремился предотвратить или хотя бы оттянуть начало войны. Для этого в том числе старался буквально до последнего не провоцировать потенциального агрессора, не осуществлял или откладывал самые необходимые, очевидные действия для подготовки к отражению неизбежного нападения. А те шаги, которые всё же были в конце концов предприняты, уже катастрофически запоздали. そしてもちろん、このような状況では、次に何をすべきか、何を期待すべきかという問題が生じます。歴史を振り返ると、40年から41年の初めにかけて、ソ連は戦争の勃発を防ぐために、あるいは少なくとも遅らせるために、可能な限りの努力をしたことがよくわかります。そのためには、文字通りギリギリまで潜在的な攻撃者を刺激しないようにしたり、避けられない攻撃を撃退するための最も必要で明白なステップを実行しなかったり、先延ばしにしたりします。そして、最終的に取られた措置は、悲惨なほど遅れていました。
В результате страна оказалась не готова к тому, чтобы в полную силу встретить нашествие нацистской Германии, которая без объявления войны напала на нашу Родину 22 июня 1941 года. Врага удалось остановить, а затем и сокрушить, но колоссальной ценой. Попытка ублажить агрессора в преддверии Великой Отечественной войны оказалась ошибкой, которая дорого стоила нашему народу. В первые же месяцы боевых действий мы потеряли огромные, стратегически важные территории и миллионы людей. Второй раз мы такой ошибки не допустим, не имеем права. その結果、1941年6月22日に宣戦布告なしに祖国を攻撃したナチス・ドイツの侵攻に十分に対応することができませんでした。敵の動きを止め、そして潰すことはできましたが、それには莫大なコストがかかりました。大祖国戦争の前夜に侵略者を喜ばせようとしたことは、我々の国民に大きな犠牲を強いる過ちでした。戦闘開始から数ヶ月の間に、戦略上重要な広大な領土と何百万人もの人々を失いました。私たちは二度とこのような過ちを犯しません、そのような権利はありません。
Те, кто претендуют на мировое господство, публично, безнаказанно и, подчеркну, без всяких на то оснований объявляют нас, Россию, своим врагом. Они, действительно, располагают сегодня большими финансовыми, научно-технологическими и военными возможностями. Мы знаем об этом и объективно оцениваем постоянно звучащие в наш адрес угрозы в сфере экономики – так же, как и свои возможности противостоять этому наглому и перманентному шантажу. Повторю, мы оцениваем их без иллюзий, предельно реалистично. 世界征服を目指す人々は、公然と、堂々と、そして強調しておきますが、何の正当性もなく、私たちロシアを敵とみなしています。彼らは確かに、今日、偉大な金融、科学、技術、軍事力を持っています。我々はこのことを認識しており、経済分野で我々のアドレスに絶えず鳴り響く脅威と、この不謹慎で永久的な脅迫に抵抗する我々の能力を客観的に評価しています。繰り返しになりますが、我々は幻想を抱くことなく、非常に現実的に評価しています。
Что касается военной сферы, то современная Россия даже после развала СССР и утраты значительной части его потенциала является сегодня одной из самых мощных ядерных держав мира и, более того, обладает определёнными преимуществами в ряде новейших видов вооружения. В этой связи ни у кого не должно быть сомнений в том, что прямое нападение на нашу страну приведёт к разгрому и ужасным последствиям для любого потенциального агрессора. 軍事分野では、現代のロシアは、ソビエト連邦が崩壊してその潜在能力の多くを失った後も、今日では世界で最も強力な核保有国の一つであり、さらに、多くの最新兵器において一定の優位性を持っています。したがって、わが国への直接的な攻撃は、いかなる潜在的な侵略者にとっても敗北と悲惨な結果をもたらすことに疑いの余地はないはずです。
Вместе с тем технологии, в том числе оборонные, меняются быстро. Лидерство в этой области переходит и будет переходить из рук в руки, а вот военное освоение прилегающих к нашим границам территорий, если мы позволим это сделать, останется на десятилетия вперёд, а может, и навсегда и будет создавать для России постоянно нарастающую, абсолютно неприемлемую угрозу. しかし、防衛技術をはじめとするテクノロジーは急速に変化しています。この分野のリーダーシップはこれまでも変わってきましたし、これからも手を変え品を変えていくでしょうが、国境に隣接する領土の軍事的開発は、もしそれを許せば、今後何十年も、おそらく永遠に残り、ロシアにとっては全く受け入れがたい脅威となります。
Уже сейчас, по мере расширения НАТО на восток, ситуация для нашей страны с каждым годом становится всё хуже и опаснее. Более того, в последние дни руководство НАТО прямо говорит о необходимости ускорить, форсировать продвижение инфраструктуры Альянса к границам России. Другими словами – они ужесточают свою позицию. Продолжать просто наблюдать за тем, что происходит, мы больше не можем. Это было бы с нашей стороны абсолютно безответственно. すでに今、NATOが東に拡大しているため、我が国の状況は年々悪化し、危険な状態になっています。さらに、ここ数日、NATOの指導者たちは、ロシアの国境に向けて同盟インフラの前進を加速させ、強引に進める必要性を明確に語っています。言い換えれば、彼らはスタンスを強化しているのです。もう見ているだけではダメなのです。それは全くの無責任です。
Дальнейшее расширение инфраструктуры Североатлантического альянса, начавшееся военное освоение территорий Украины для нас неприемлемы. Дело, конечно, не в самой организации НАТО – это только инструмент внешней политики США. Проблема в том, что на прилегающих к нам территориях, – замечу, на наших же исторических территориях, – создаётся враждебная нам «анти-Россия», которая поставлена под полный внешний контроль, усиленно обживается вооружёнными силами натовских стран и накачивается самым современным оружием.  北大西洋同盟のインフラをさらに拡大し、始まったウクライナの領土の軍事開発は、私たちには受け入れられません。もちろん、NATOという組織自体に問題があるのではなく、NATOはアメリカの外交政策の道具に過ぎないということです。問題は、我々に隣接する領土、つまり我々の歴史的領土に、「反ロシア」が作られていることです。この領土は完全に外部の管理下に置かれ、NATO諸国の軍隊によって集中的に開拓され、最新の武器が投入されています。 
Для США и их союзников это так называемая политика сдерживания России, очевидные геополитические дивиденды. А для нашей страны – это в итоге вопрос жизни и смерти, вопрос нашего исторического будущего как народа. И это не преувеличение – это так и есть. Это реальная угроза не просто нашим интересам, а самому существованию нашего государства, его суверенитету. Это и есть та самая красная черта, о которой неоднократно говорили. Они её перешли. 米国とその同盟国にとって、これはいわゆるロシア封じ込め政策であり、明らかな地政学的配当です。しかし、我が国にとっては、究極的には生死に関わる問題であり、国家としての歴史的な未来に関わる問題です。そして、それは大げさではなく、まさにその通りなのです。これは、我々の利益だけでなく、我々の国家の存在、主権に対する真の脅威である。これは、繰り返し語られてきたレッドラインです。彼らはそれを越えたのです。
В этой связи – и о положении в Донбассе. Мы видим, что те силы, которые в 2014 году совершили на Украине госпереворот, захватили власть и удерживают её с помощью, по сути, декоративных выборных процедур, окончательно отказались от мирного урегулирования конфликта. Восемь лет, бесконечно долгих восемь лет мы делали всё возможное, чтобы ситуация была разрешена мирными, политическими средствами. Всё напрасно. この点について-そしてドンバスの状況について。2014年にウクライナでクーデターを起こし、本質的に装飾的な選挙手続きによって権力を掌握し、保持した勢力が、紛争の平和的解決を決定的に拒否していることがわかります。限りなく長い8年間、私たちは平和的、政治的な手段で事態が解決されるよう、可能な限りの努力をしてきました。全てが無駄になりました。
Как уже говорил в своём предыдущем обращении, нельзя без сострадания смотреть на то, что там происходит. Терпеть всё это было уже просто невозможно. Необходимо было немедленно прекратить этот кошмар – геноцид в отношении проживающих там миллионов людей, которые надеются только на Россию, надеются только на нас с вами. Именно эти устремления, чувства, боль людей и были для нас главным мотивом принятия решения о признании народных республик Донбасса. 前回の挨拶でも述べましたが、現地で起きていることを同情せずに見ることはできません。これ以上は耐えられないということでした。この悪夢、つまりロシアにしか希望を持てない、あなたや私にしか希望を持てない何百万人もの現地の人々に対するジェノサイドを直ちに止める必要があったのです。私たちがドンバス人民共和国を承認するという決断をした主な動機は、こうした人々の願望、感情、痛みでした。
Что считаю важным дополнительно подчеркнуть. Ведущие страны НАТО для достижения своих собственных целей во всём поддерживают на Украине крайних националистов и неонацистов, которые в свою очередь никогда не простят крымчанам и севастопольцам их свободный выбор – воссоединение с Россией. このことをさらに強調することが重要だと思います。NATOの主要国は、自分たちの目的を達成するために、ウクライナの極端な民族主義者やネオナチを支援しています。彼らは、ロシアとの再統一を自由に選択したクリミア人やセヴァストポリの住民を決して許しません。
Они, конечно же, полезут и в Крым, причём так же, как и на Донбасс, с войной, с тем, чтобы убивать, как убивали беззащитных людей каратели из банд украинских националистов, пособников Гитлера во время Великой Отечественной войны. Откровенно заявляют они и о том, что претендуют на целый ряд других российских территорий. 彼らはもちろん、ドンバスに行ったようにクリミアに行き、戦争をして、大祖国戦争でヒトラーの共犯者だったウクライナの民族主義者の懲罰的なギャングが無防備な人々を殺したように、殺すために行くでしょう。彼らはまた、他の様々なロシアの領土を主張することにも積極的です。
Весь ход развития событий и анализ поступающей информации показывает, что столкновение России с этими силами неизбежно. Это только вопрос времени: они готовятся, они ждут удобного часа. Теперь претендуют ещё и на обладание ядерным оружием. Мы не позволим этого сделать. 全ての出来事の経過と入ってくる情報の分析から、ロシアとこれらの勢力との衝突は避けられないと考えられます。それは時間の問題で、彼らは準備をしていて、機会を待っているのです。また、彼らは核兵器を保有していると主張しています。このようなことがあってはなりません。
Как уже говорил ранее, Россия после развала СССР приняла новые геополитические реалии. Мы с уважением относимся и будем так же относиться ко всем вновь образованным на постсоветском пространстве странам. Мы уважаем и будем уважать их суверенитет, и пример тому – помощь, которую мы оказали Казахстану, который столкнулся с трагическими событиями, с вызовом своей государственности и целостности. Но Россия не может чувствовать себя в безопасности, развиваться, существовать с постоянной угрозой, исходящей с территории современной Украины. 先に述べたように、ロシアはソ連崩壊後の新しい地政学的現実を受け入れました。我々は、ポスト・ソビエト空間で新たに形成されたすべての国を尊重しており、今後も尊重していきます。我々は彼らの主権を尊重しており、今後も尊重していきます。その一例として、悲劇的な出来事や国家としての整合性に対する挑戦に直面しているカザフスタンに対して我々が行った支援があります。しかし、現在のウクライナの領土から常に脅威が迫っている状態では、ロシアは安心できず、発展もできず、存在もできません。
Напомню, что в 2000–2005 годах мы дали военный отпор террористам на Кавказе, отстояли целостность нашего государства, сохранили Россию. В 2014 году поддержали крымчан и севастопольцев. В 2015-м применили Вооружённые Силы, чтобы поставить надёжный заслон проникновению террористов из Сирии в Россию. Другого способа защитить себя у нас не было. 2000年から2005年にかけて、私たちはコーカサスのテロリストに軍事的に反撃し、国家の整合性を守り、ロシアを維持したことを思い出してください。2014年には、クリミアとセヴァストポリの人々を支援しました。2015年、我々は軍隊を使って、シリアからロシアへのテロリストの侵入に確実なバリアを張った。それ以外に自分の身を守る方法はありませんでした。
То же самое происходит и сейчас. Нам с вами просто не оставили ни одной другой возможности защитить Россию, наших людей, кроме той, которую мы вынуждены будем использовать сегодня. Обстоятельства требуют от нас решительных и незамедлительных действий. Народные республики Донбасса обратились к России с просьбой о помощи. 今も同じことが起きています。あなたと私は、ロシアと国民を守るために、今日使わざるを得ない他の方法が残されていないだけです。状況によっては、断固とした態度で即座に行動しなければならないこともあります。ドンバス人民共和国はロシアに助けを求めています。
В связи с этим в соответствии со статьёй 51 части 7 Устава ООН, с санкции Совета Федерации России и во исполнение ратифицированных Федеральным Собранием 22 февраля сего года договоров о дружбе и взаимопомощи с Донецкой народной республикой и Луганской народной республикой мною принято решение о проведении специальной военной операции. これに関連して、国際連合憲章第7部第51条に従い、ロシア連邦理事会の承認を得て、今年2月22日に連邦議会が批准したドネツク人民共和国およびルハンスク人民共和国との友好・相互援助に関する協定の実施のため、私は特別軍事作戦を実施する決定を下しました。
Её цель – защита людей, которые на протяжении восьми лет подвергаются издевательствам, геноциду со стороны киевского режима. И для этого мы будем стремиться к демилитаризации и денацификации Украины, а также преданию суду тех, кто совершил многочисленные, кровавые преступления против мирных жителей, в том числе и граждан Российской Федерации. その目的は、キエフ政権によって8年間に渡って虐待や虐殺を受けてきた人々を保護することです。そのために、我々はウクライナの非武装化と非ナチ化に努め、ロシア連邦の市民を含む一般市民に対して数々の血なまぐさい犯罪を犯した者を裁きます。
При этом в наши планы не входит оккупация украинских территорий. Мы никому и ничего не собираемся навязывать силой. Вместе с тем мы слышим, что в последнее время на Западе всё чаще звучат слова о том, что подписанные советским тоталитарным режимом документы, закрепляющие итоги Второй мировой войны, не следует уже и выполнять. Ну что же, что ответить на это? 同時に、我々の計画にはウクライナの領土を占領することは含まれていません。私たちは、誰かに力で何かを押し付けるつもりはありません。それと同時に、第二次世界大戦の成果を明記したソ連の全体主義政権が署名した文書は、もはや実行すべきではないという声が、最近欧米で聞かれるようになってきました。さて、それに対する答えは何ですか?
Итоги Второй мировой войны, как и жертвы, принесённые нашим народом на алтарь победы над нацизмом, священны. Но это не противоречит высоким ценностям прав и свобод человека, исходя из тех реалий, которые сложились на сегодня за все послевоенные десятилетия. Также не отменяет права наций на самоопределение, закреплённое в статье 1 Устава ООН. 第二次世界大戦の結果は神聖なものであり、ナチズムに対する勝利のために我々の人々が捧げた犠牲も神聖なものです。しかし、これは戦後数十年の現実に基づいた、人権と自由の高い価値観と矛盾するものではありません。また、国連憲章第1条に定められている国家の自決権を覆すものでもありません。
Напомню, что ни при создании СССР, ни после Второй мировой войны людей, проживавших на тех или иных территориях, входящих в современную Украину, никто никогда не спрашивал о том, как они сами хотят обустроить свою жизнь. В основе нашей политики – свобода, свобода выбора для всех самостоятельно определять своё будущее и будущее своих детей. И мы считаем важным, чтобы этим правом – правом выбора – могли воспользоваться все народы, проживающие на территории сегодняшней Украины, все, кто этого захочет.  ソ連創設時も第二次世界大戦後も、現在のウクライナを構成する地域に住む人々に、どのような生活を送りたいかを尋ねる人はいなかったことを思い出してほしいです。私たちのポリシーは、自由、つまり、すべての人が自分と自分の子供の将来を決定するための選択の自由に基づいています。そして、現在のウクライナの領土に住むすべての人々、この権利、つまり選択する権利を行使したいと思うすべての人々にとって重要であると考えています。 
В этой связи обращаюсь и к гражданам Украины. В 2014 году Россия была обязана защитить жителей Крыма и Севастополя от тех, кого вы сами называете «нациками». Крымчане и севастопольцы сделали свой выбор – быть со своей исторической Родиной, с Россией, и мы это поддержали. Повторю, просто не могли поступить иначе. その意味で、私はウクライナの市民にも訴えます。2014年、ロシアはクリミアとセヴァストポリの住民を、あなた自身が「ナチス」と呼ぶ人々から守る義務がありました。クリミアとセヴァストポリの人々は、歴史的な祖国であるロシアと共にあることを選択し、私たちはこれを支持しました。繰り返しになりますが、それ以外のことはできませんでした。
Сегодняшние события связаны не с желанием ущемить интересы Украины и украинского народа. Они связаны с защитой самой России от тех, кто взял Украину в заложники и пытается использовать её против нашей страны и её народа. 今日の出来事は、ウクライナとウクライナ人の利益を侵害するものではありません。それは、ウクライナを人質に取り、それを我が国とその国民に対して利用しようとしている者から、ロシア自身を守るためのものです。
Повторю, наши действия – это самозащита от создаваемых нам угроз и от ещё большей беды, чем та, что происходит сегодня. Как бы тяжело ни было, прошу понять это и призываю к взаимодействию, чтобы как можно скорее перевернуть эту трагическую страницу и вместе двигаться вперёд, никому не позволять вмешиваться в наши дела, в наши отношения, а выстраивать их самостоятельно – так, чтобы это создавало необходимые условия для преодоления всех проблем и, несмотря на наличие государственных границ, укрепляло бы нас изнутри как единое целое. Я верю в это – именно в такое наше будущее. 繰り返しになりますが、私たちの行動は、私たちに突きつけられた脅威に対する自衛であり、今日起こっていることよりもさらに大きな災難に対する自衛です。困難ではありますが、このことをご理解いただき、私たちがこの悲劇のページを一日も早くめくり、共に前進していけるよう、協力をお願いします。私たちの問題や関係に誰も干渉することなく、自主的に構築していくことで、すべての問題を克服するために必要な条件が整い、国境はあっても、一つの統一された組織として内側から強化されていくのです。私はこれを信じています。これは私たちの未来です。
Должен обратиться и к военнослужащим вооружённых сил Украины. また、ウクライナ軍の軍人にも挨拶しなければなりません。
Уважаемые товарищи! Ваши отцы, деды, прадеды не для того сражались с нацистами, защищая нашу общую Родину, чтобы сегодняшние неонацисты захватили власть на Украине. Вы давали присягу на верность украинскому народу, а не антинародной хунте, которая грабит Украину и издевается над этим самым народом. 同志よ! 皆さんのお父さん、おじいちゃん、ひいおじいちゃんは、今日のネオナチがウクライナで権力を握るために、共通の祖国を守るためにナチスと戦ったわけではありません。あなたはウクライナの人々に忠誠を誓ったのであって、ウクライナを奪い、まさにこの人々をいじめている反人民的なジャンタに忠誠を誓ったのではないのです。
Не исполняйте её преступных приказов. Призываю вас немедленно сложить оружие и идти домой. Поясню: все военнослужащие украинской армии, которые выполнят это требование, смогут беспрепятственно покинуть зону боевых действий и вернуться к своим семьям. その犯罪的な命令を実行してはなりません。すぐに武器を置いて家に帰ることを強く勧めします。はっきり言っておきますが、この要求に応じたウクライナ軍のメンバーは、誰にも邪魔されずに戦地を離れ、家族のもとに帰ることができます。
Ещё раз настойчиво подчеркну: вся ответственность за возможное кровопролитие будет целиком и полностью на совести правящего на территории Украины режима.  もう一度強調しておきますが、起こりうる流血の責任はすべて、ウクライナの領土を支配する政権の良心にあります。 
Теперь несколько важных, очень важных слов для тех, у кого может возникнуть соблазн со стороны вмешаться в происходящие события. Кто бы ни пытался помешать нам, а тем более создавать угрозы для нашей страны, для нашего народа, должны знать, что ответ России будет незамедлительным и приведёт вас к таким последствиям, с которыми вы в своей истории ещё никогда не сталкивались. Мы готовы к любому развитию событий. Все необходимые в этой связи решения приняты. Надеюсь, что я буду услышан. ここで、外部から起こっている出来事に干渉したいと思っている人のために、いくつかの重要な、非常に重要な言葉があります。我々に干渉しようとする者、ましてや我が国と国民を危険にさらそうとする者は、ロシアの対応が即座に行われ、これまでの歴史の中で直面したことのないような結果に導かれることを知るべきである。どんな展開のイベントにも対応できるようになっています。この点については、すべての必要な決定がなされました。聞いてもらいたいと思っています。
Уважаемые граждане России! 親愛なるロシア国民の皆様
Благополучие, само существование целых государств и народов, их успех и жизнеспособность всегда берут начало в мощной корневой системе своей культуры и ценностей, опыта и традиций предков и, конечно, прямо зависят от способности быстро адаптироваться к постоянно меняющейся жизни, от сплочённости общества, его готовности консолидировать, собирать воедино все силы, чтобы идти вперёд. 国家や民族全体の幸福や存在そのもの、その成功や存続は、常にその文化や価値観、祖先の経験や伝統といった強力な根幹に由来しています。もちろん、刻々と変化する生活に迅速に適応する能力、社会の結束力、前進するためにあらゆる力を結集する準備があるかどうかにも依存しています。
Силы нужны всегда – всегда, но сила может быть разного качества. В основе политики «империи лжи», о которой говорил в начале своего выступления, прежде всего лежит грубая, прямолинейная сила. В таких случаях у нас говорят: «Сила есть, ума не надо». 力は常に必要なものです。私が冒頭で述べた「嘘の帝国」の政策は、何よりも残忍で直接的な力に基づいています。そのような場合には、「あなたにはパワーがあるから、インテリジェンスは必要ない」と言います。
А мы с вами знаем, что настоящая сила – в справедливости и правде, которая на нашей стороне. А если это так, то трудно не согласиться с тем, что именно сила и готовность к борьбе лежат в основе независимости и суверенитета, являются тем необходимым фундаментом, на котором только и можно надёжно строить своё будущее, строить свой дом, свою семью, свою Родину. しかし、あなたと私は、本当の強さは、私たちの味方である正義と真実にあることを知っています。もしそうであれば、強さと戦う意志が独立と主権の基礎であり、その上に自分の未来、家、家族、祖国を築くことができる必要な基礎であることに同意しないわけにはいきません。
Уважаемые соотечественники! 親愛なる同胞の皆さん
Уверен, что преданные своей стране солдаты и офицеры Вооружённых Сил России профессионально и мужественно исполнят свой долг. Не сомневаюсь, что слаженно и эффективно будут действовать все уровни власти, специалисты, отвечающие за устойчивость нашей экономики, финансовой системы, социальной сферы, руководители наших компаний и весь российский бизнес. Рассчитываю на консолидированную, патриотическую позицию всех парламентских партий и общественных сил. 祖国に忠誠を誓うロシア軍の兵士や将校は、専門的かつ勇気を持って任務を遂行すると確信しています。経済、金融システム、社会的領域の安定に責任を持つすべてのレベルの権力者と専門家、そして企業のリーダーとすべてのロシアのビジネスが、調和的かつ効果的に働くことを確信しています。私は、すべての政党と公共勢力の統合された愛国的な姿勢に期待しています。
В конечном счёте, как это всегда и было в истории, судьба России – в надёжных руках нашего многонационального народа. А это значит, что принятые решения будут выполнены, поставленные цели – достигнуты, безопасность нашей Родины – надёжно гарантирована. 結局のところ、歴史上常にそうであったように、ロシアの運命は多民族の人々の有能な手に委ねられているのです。つまり、我々が下した決定が実行され、我々の目標が達成され、祖国の安全が確実に保証されるということです。
Верю в вашу поддержку, в ту непобедимую силу, которую даёт нам наша любовь к Отечеству. 皆さんの応援と、祖国への愛が与えてくれる無敵の力を信じています。

 

ウクライナ大統領府

・2022.02.24 Росія розпочала нову військову операцію проти нашої держави, по всій території України запроваджується воєнний стан

Росія розпочала нову військову операцію проти нашої держави, по всій території України запроваджується воєнний стан ロシアは新たな軍事作戦を開始し、ウクライナは全土に戒厳令を敷きます。
Сьогодні вранці Росія розпочала нову військову операцію проти нашої держави. Це нічим не виправдане брехливе й цинічне вторгнення. 本日、ロシアは我が国に対して新たな軍事作戦を開始しました。それは正当化できない、皮肉な侵略です。
Відбуваються удари по військових та інших важливих оборонних об'єктах, атаковані прикордонні підрозділи, деградувала ситуація на Донбасі. 軍やその他の重要な防衛施設が攻撃され、国境警備隊が攻撃され、ドンバスの状況は悪化しています。
ЗСУ, всі спеціальні та силові служби держави підняті за тривогою. В екстреному режимі працює Рада національної безпеки і оборони. ウクライナ国防軍をはじめ、国家のすべての特殊・保安機関が警戒態勢に入っています。国家安全保障・防衛会議は緊急モードで動いています。
Буде запроваджено воєнний стан. 軍事的な非常事態が発生します。
Наші дипломати інформують світ про те, що відбувається. Українці ніколи й нікому не віддадуть свою свободу й незалежність. Тільки ми самі, всі громадяни України, з 1991 року визначаємо наше майбутнє. Але зараз вирішується доля не лише нашої держави, а й того, яким буде життя у Європі. 我々の外交官は何が起きているかを世界に知らせています。ウクライナ人は、自分たちの自由と独立を誰にも譲りません。1991年以降、私たちの未来を決めてきたのは、私たち、すべてのウクライナ人自身だけです。しかし今、私たちは国の運命だけでなく、ヨーロッパの生活がどのようなものになるかを決定しています。
Від чесної та справедливої відповіді світу на цю агресію залежить те, чи залишиться хоча б щось від сили міжнародного права. この侵略行為に対する世界の誠実で公正な対応が、少なくとも国際法の力が残るかどうかを決定します。
Цивільним громадянам України варто залишатися вдома. Попередьте своїх близьких про те, що відбувається. Подбайте про тих, хто потребує допомоги. ウクライナの民間人は家にいてください。大切な人に何が起きているかを伝えてください。助けを必要としている人のために声をかけてください。
Усі думки й молитви з нашими солдатами. あなたの思いと祈りを、私たちの兵士に託してください。
Слава Україні! ウクライナに栄光を!

 

米国 The White House

・2022.02.23 Statement by President Biden on Russia’s Unprovoked and Unjustified Attack on Ukraine

Statement by President Biden on Russia’s Unprovoked and Unjustified Attack on Ukraine ロシアのウクライナに対するいわれなき不当な攻撃に関するバイデン大統領の声明
The prayers of the entire world are with the people of Ukraine tonight as they suffer an unprovoked and unjustified attack by Russian military forces. President Putin has chosen a premeditated war that will bring a catastrophic loss of life and human suffering. Russia alone is responsible for the death and destruction this attack will bring, and the United States and its Allies and partners will respond in a united and decisive way. The world will hold Russia accountable. 全世界の祈りは、今夜、ロシア軍によるいわれのない不当な攻撃を受けているウクライナの人々とともにあります。プーチン大統領は、壊滅的な人命の損失と人的被害をもたらす計画的な戦争を選択しました。この攻撃がもたらす死と破壊の責任はロシアだけが負うものであり、米国とその同盟国およびパートナーは一致団結して断固とした方法で対応します。世界はロシアに責任を取らせるでしょう。
I will be monitoring the situation from the White House this evening and will continue to get regular updates from my national security team. Tomorrow, I will meet with my G7 counterparts in the morning and then speak to the American people to announce the further consequences the United States and our Allies and partners will impose on Russia for this needless act of aggression against Ukraine and global peace and security. We will also coordinate with our NATO Allies to ensure a strong, united response that deters any aggression against the Alliance. Tonight, Jill and I are praying for the brave and proud people of Ukraine. 私は今晩、ホワイトハウスから状況を監視し、引き続き私の国家安全保障チームから定期的に最新情報を入手する予定です。明日は、午前中にG7諸国の代表者と会談した後、米国民に向けて、ウクライナと世界の平和と安全に対するこの無用な侵略行為に対して、米国と同盟国およびパートナーがロシアに課す更なる結果を発表します。また、NATOの同盟国と連携し、同盟国に対するあらゆる攻撃を抑止するための強力で統一された対応を確保します。今夜、ジルと私は、ウクライナの勇敢で誇り高い人々のために祈っています。

 

 

中国

● 外交部

・2022.02.24 王毅同俄罗斯外长拉夫罗夫通电话

王毅同俄罗斯外长拉夫罗夫通电话 王毅、ロシアのラブロフ外相と電話会談
2022年2月24日,国务委员兼外长王毅同俄罗斯外长拉夫罗夫通电话。 2022年2月24日、王毅国務委員兼外相とロシアのセルゲイ・ラヴロフ外相が電話会談を行いました。
拉夫罗夫介绍了乌克兰局势演变至今的过程和俄方立场,表示美国和北约违背承诺,不断向东扩张,拒不执行新明斯克协议,违反联合国安理会第2202号决议,俄方被迫采取必要措施维护自身权益。 ラブロフ外相は、これまでのウクライナ情勢の変遷とロシアの立場を紹介し、米国とNATOが約束を破り、東方への拡大を続け、新ミンスク協定の実施を拒否し、国連安保理決議2202に違反し、ロシアが自国の権利と利益を守るために必要な措置をとることを余儀なくされたと述べました。
王毅说,中方一贯尊重各国的主权和领土完整。同时我们也看到,乌克兰问题有其复杂和特殊的历史经纬,理解俄方在安全问题上的合理关切。中方主张应彻底摒弃冷战思维,通过对话谈判,最终形成均衡、有效、可持续的欧洲安全机制。 王毅国務委員兼外相は、中国は常にすべての国の主権と領土の一体性を尊重してきたと述べました。 同時に、ウクライナ問題には複雑で特殊な歴史の縦糸と横糸があることを理解し、安全保障問題に対するロシア側の正当な懸念も理解しています。 中国は、冷戦の考え方を完全に捨て、対話と交渉を通じて、バランスのとれた、効果的で持続可能な欧州の安全保障機構を最終的に形成することを提唱しています。

 

(この問題以外については省略しています。。。)

2022年2月24日外交部发言人华春莹主持例行记者会

2022年2月24日外交部发言人华春莹主持例行记者会 2022年2月24日、定例記者会見を行う外務省の華春瑩報道官
法新社记者:中方一直未谴责俄罗斯对乌克兰的行为,当前普京总统已开始入侵乌克兰,今天中方是否会谴责俄罗斯的行动? AFP記者:中国はロシアのウクライナに対する行動を非難していませんが、現在プーチン大統領はウクライナへの侵攻を開始しましたが、中国は今日のロシアの行動を非難するのでしょうか?
华春莹:中方正密切关注最新事态。我们呼吁各方保持克制,避免局势失控。 華春瑩: 中国は最新の動向を注視していまあす。 我々はすべての関係者に自制を求め、事態の収拾がつかなくなることを避けるよう要請します。
彭博社记者:中方是否认为俄罗斯的行动是侵略?是否违反联合国宪章? ブルームバーグ記者:中国側はロシアの行動を侵略と考えますか。 国連憲章に違反しているのでは?
华春莹:关于乌克兰问题,我们已经表明中方原则立场。乌克兰问题有着非常复杂的历史背景和经纬,演变到今天这种局面,是各种因素共同作用的结果。 華春瑩:ウクライナ問題については、すでに中国の原則的な立場を表明しています。 ウクライナ問題は、非常に複雑な歴史的背景と縦糸があり、今日のこの状況への進化は、様々な要因が重なった結果だと思います。
我们注意到今天俄方宣布在乌东地区开展特别军事行动,俄罗斯国防部称其武装力量不会对城市实施导弹、航空和火炮袭击。中方密切关注当前最新事态的发展,呼吁各方保持克制,避免局势失控。 なお、本日、ロシア側がウクライナ東部での特別軍事作戦を発表し、ロシア国防省は、同国軍がミサイル攻撃、空爆、砲撃を行わないことを発表しました。 中国は最新の動向を注視しており、すべての当事者が自制し、事態が収拾できなくなることを避けるよう呼びかけています。
同时我也想再次强调中方的一贯立场。各国安全应该是共同、合作、可持续的安全,各方的合理安全关切应该得到尊重和解决。我们希望各方不要把和平大门关上,继续致力于对话、协商、谈判,努力尽快缓解事态,不要使局势进一步升级。 同時に、中国の一貫した立場も改めて強調しておきたいです。 すべての国の安全保障は、共通の、協力的で持続可能な安全保障であるべきで、すべての締約国の合理的な安全保障上の懸念は尊重され、対処されるべきものです。 すべての当事者が平和への扉を閉ざすことなく、対話、協議、交渉に尽力し、一刻も早く状況をデスカレートさせ、これ以上エスカレートさせないよう努力することを期待します。
总台央视记者:美国务院发言人普莱斯就乌克兰问题表示,中国应该尊重国家主权和领土完整原则,中方有义务敦促俄罗斯在乌克兰问题上作出让步,但中俄关系发展方向令人担忧。中俄联合声明表明中国试图利用对俄罗斯的影响来达成两国创造世界秩序的目的。你对此有何评论? 中国中央テレビ記者:米国務省のプライス報道官はウクライナについて、中国は国家主権と領土保全の原則を尊重すべきであり、中国はウクライナ問題でロシアに譲歩を促す義務があるが、中露関係の方向性は憂慮される、と発言しました。 中露共同声明は、中国がロシアへの影響力を利用して、2国間の世界秩序を作るという目標を達成しようとしていることを示しています。 これに対してのコメントをお願いします。
华春莹:我注意到美国国务院发言人有关表态。 華春瑩:米国国務省報道官の関連発言に注目しました。
首先,关于如何尊重国家主权和领土完整问题,美方恐怕没有资格告诉中方怎么做。对于国家主权和领土完整问题,中国人民有着特别真实而深刻的理解和感受。近代以来,中国遭受过八国联军和外国殖民侵略,有着对于丧权辱国的刻骨铭心的悲惨记忆。就在并不遥远的20多年前,中国驻南联盟使馆被北约轰炸、造成3名中国记者牺牲,多人受伤。北约还欠着中国人民的血债。而今天我们依然面临美国伙同其几个所谓盟友在涉疆、涉港、涉台等问题上肆意干涉中国内政、破坏损害中国主权安全的现实威胁。中国也还是唯一一个还没有实现祖国完全统一的安理会常任理事国。正因为如此,中国一贯坚决维护联合国宪章宗旨原则和国际关系基本准则,坚决维护国家主权、安全和领土完整,坚决维护国际公平正义。 まず、国家の主権と領土の一体性をどう尊重するかという問題については、残念ながら米国側に中国側にどうすべきかを指示する資格はありません。 国家主権と領土保全の問題については、中国国民は特にリアルで深い理解と感情を持っています。 近代の中国は、八紘一宇の侵略と外国の植民地支配に苦しみ、力を失い、国を辱めた苦い悲劇的な記憶があります。 ちょうど20年前、在フリジア共和国中国大使館がNATOの爆撃を受け、3人の中国人ジャーナリストが死亡し、多くの人が負傷したことがありました。 NATOは今でも中国の人々に血の通った負債を負っています。 そして今日もなお、米国がいわゆる同盟国数カ国とともに中国の内政に干渉し、国境、香港、台湾に関連する問題で中国の主権と安全を損なうという現実的な脅威に直面しています。 また、中国は安保理の常任理事国の中で唯一、祖国の完全な統一を実現していない国でもあります。 このため、中国は常に、国連憲章の目的と原則、国際関係の基本規範を守り、国家の主権、安全、領土の一体性を保護し、国際的な公正と正義を堅持することに断固として取り組んできまし。
而美国,建国不到250年的时间里,只有不到20年没有对外发动军事行动,而军事干预的名义有时是民主,有时是人权,有时索性就用一小瓶洗衣粉,有时甚至就编一个假消息。这样的国家对于尊重国家主权和领土完整的理解肯定是和我们不一样的。对此,国际社会也都看得十分清楚。 一方、米国は建国以来250年足らずですが、海外で軍事行動を起こしていないのは20年足らずです。軍事介入の名目は、ある時は民主主義、ある時は人権、ある時は単なる洗濯物の小瓶、そして偽メッセージさえもある。 そのような国は、国家主権と領土保全の尊重について、私たちとは異なる理解を持っていることは確かです。 国際社会もまた、このことをはっきりと認識しています。
至于美方暗示俄罗斯有中国背后支持才行动,相信俄方会很不高兴听到这种说法。俄罗斯是安理会常任理事国,是独立自主的大国,俄方完全基于自身判断和国家利益独立自主制定并实施自己的外交战略。 ロシアが中国の後ろ盾を得て行動したという米国の主張については、ロシア側は非常に不愉快に思っていると思います。 ロシアは安保理の常任理事国であり、独立した大国であり、自らの判断と国益のみに基づいて独自の外交戦略を立案し、実行しています。
我还必须强调指出,中俄关系建立在不结盟、不对抗、不针对第三方的基础上,同美方以意识形态划线,拉帮结伙搞“小圈子”和集团政治、制造对抗分裂有根本和质的不同。对于那种非友即敌的冷战思维和拼凑所谓“同盟”和“小圈子”的做法,中方不感兴趣,也无意效仿。 また、中露関係は非同盟、非対立、第三者を標的にしないことを基本としており、米国側のイデオロギーの区分け、「小集団」での暴力集団、集団政治、対立と分裂を生むこととは根本的、質的に異なることを強調しなければなりません。 中国は、冷戦時代の敵か味方かという考え方や、いわゆる「同盟」や「小さなサークル」を組み立てる習慣には興味がないし、そのようなつもりもありません。
至于中俄联合声明,我们建议美方再认真仔细阅读一下。中俄加强战略沟通协调,坚定维护联合国在国际事务中发挥核心协调作用的国际体系,坚定维护包括《联合国宪章》宗旨和原则在内的以国际法为基础的国际秩序,恰恰是负责任的表现,是维护国际战略安全与稳定的积极因素。 中露の共同声明については、米国側にもう一度よく読んでもらうことを提案します。 中露の戦略的意思疎通と協調の強化、国連が国際情勢の中心的調整役を担う国際システムの堅持、国連憲章の目的と原則を含む国際法に基づく国際秩序の堅持は、まさに国際戦略の安全と安定の維持の責任ある現れであり、積極的要因です。
英国独立电视新闻记者:尽管看到今天上午乌克兰形势的最新变化,你似乎认为和平仍然可能,习近平主席是否计划与其好友普京总统通话,呼吁保持冷静,寻求外交解决? 英国独立系テレビ局記者:今朝、ウクライナ情勢の最新の変化を見たにもかかわらず、平和はまだ可能だと考えているようですね。 習近平主席は、親友のプーチン大統領と話し、冷静さを呼びかけ、外交的解決を求めるつもりでしょうか?
华春莹:和平的大门永远都不应被轻易关闭。即便乌克兰局势发展到了今天,我们仍然呼吁有关各方保持克制,采取建设性行为,尽快缓和事态,不要使局势进一步失控。 華春瑩:平和への扉は、決して簡単に閉ざしてはなりません。 ウクライナ情勢が進展しても、我々はすべての関係者が自制し、建設的な行動をとり、できるだけ早く状況をデスカレートさせ、これ以上状況をコントロールできなくさせることのないよう求めています。
中方一贯主张各方尊重和重视彼此合理安全关切,努力通过谈判协商和平解决地区热点问题。我昨天介绍了中方为推动和平解决乌克兰问题所做努力。习近平主席近期和马克龙总统通话以及王毅国务委员兼外长视频出席慕安会时都呼吁各方坚持政治解决的大方向,切实负起责任,为和平而努力。 中国は、すべての当事者が互いの正当な安全保障上の懸念を尊重し、重視し、交渉と協議を通じて地域のホットスポットの問題を平和的に解決するよう努力することを常に提唱してきました。 昨日、ウクライナ問題の平和的解決に向けた中国の取り組みを紹介しました。 習近平主席が最近マクロン大統領と電話会談し、王毅外相とロシア外相の会談にビデオ出演したことは、いずれもすべての当事者が政治的解決の一般的方向を堅持し、責任を有効に果たして、平和のために努力するよう呼びかけたものです。
法新社记者:在昨天的记者会上,中方批评美方在乌克兰推高紧张、制造恐慌,最近24小时的事态变化是否说明,美方的警告其实是有根据的?中方是否应该早些倾听美方警告并请本国公民自乌克兰撤离? AFP記者:昨日の記者会見で、中国は、米国がウクライナの緊張を高め、恐怖を作り出していると批判しました。 この24時間の動きは、米国の警告が実際に根拠があったことを示しているのでしょうか。 中国はもっと早く米国の警告を聞き、自国民にウクライナからの避難を求めるべきだったのではないでしょうか?
华春莹:美方一段时间以来一直在不断推高紧张、煽动战争。你们应该知道过去一段时间里,美方向乌克兰运送进多少武器弹药吗? 華春瑩:米国側は、以前から緊張を高め、戦争を煽ってきました。 過去一定期間、米国がウクライナに送った武器・弾薬の数をご存知ですか?
当时如果各方都多做劝和工作,多尊重和照顾彼此安全关切,合理妥善解决,使局势软着陆,那今天情况会是怎么样?美方放出消息称16日俄方大规模侵入,俄方称这是虚假消息。你是愿意看到美方喊“狼来了”成真?还是真正出自对乌克兰人民以及地区和平安全的关心,希望事情消灭于萌芽状态,不走到今天这个地步呢? あの時、もしすべての当事者がもっと平和を説得し、互いの安全保障上の懸念を尊重し、配慮し、合理的かつ適切に解決して事態を軟着陸させていたら、今日の状況はどうなっていたでしょうか?米国側は16日にロシアの大規模な侵攻があったというニュースを出したが、ロシア側はそれは嘘だと言っています。 むしろ、米国の「狼」の叫びが現実のものとなるのでしょうか? それとも、本当にウクライナの人々や地域の平和と安全を考え、このような段階に至らないように、物事の芽を摘むことを望んでいるのでしょうか?
中方从一开始就本着负责任的态度,劝说有关方不要推高紧张、煽动战争。中方做法是负责任的。而那些跟在美国后面煽风点火,等火烧起来了以后却指责别人的,才是不负责任的行为。作为始作俑者,点火者应该考虑如何以实际行动尽快把火扑灭。 中国は当初から責任ある行動をとり、緊張を高めて戦争を誘発しないよう関係国を説得してきました。 中国のやり方は責任重大でした。 そして、米国に追随して炎上を煽り、火がついたら他人のせいにする人たちこそ、無責任な行動をとる人たちです。 火をつけた者は、その仕掛け人として、いかにして一刻も早く火を消すかを考え、実行に移すべきです。
总台CGTN记者:据报道,近日,多名赴美中国留学生受到美方长时间滋扰盘查,甚至被遣返。据这些中国留学生反映,美方向其粗暴询问是否为中共党员身份等问题,长时间限制他们的人身自由、拒绝他们联系亲友和当地中国使领馆。发言人对此有何评论? CGTN記者:米国に行く中国人留学生が、米国から長時間の迷惑検査を受け、強制送還されるケースも相次いでいると報道されています。 これらの中国人留学生によると、米国側は中国共産党の党員であることを不躾に質問し、長期間にわたって個人の自由を制限し、友人や親類、現地の中国大使館や領事館に連絡することを拒否したという。 広報担当者はどのような意見をお持ちですか?
华春莹:中方对美方持续盘查滋扰遣返中国留学人员、歧视中国共产党党员的恶劣行径表示强烈不满和坚决反对。我们每次获悉发生这种事件后,均第一时间向美方提出严正交涉。 華春瑩:中国は、米国側が送還された中国人留学生に対する嫌がらせを続け、中国共産党員を差別する悪習に強い不満と断固とした反対を表明する。 このような事件を知るたびに、私たちは真っ先にアメリカ側に厳重な申し入れをしてきました。
美方这一做法严重侵犯中国赴美留学人员的基本人权、基本自由与合法权益,严重破坏中美正常人文交流和教育合作,是对其自我标榜“人权卫士”“自由灯塔”的莫大讽刺,同美方“欢迎中国留学生”、“应该鼓励双方年轻一代更多接触,了解彼此文化”等表态背道而驰,同中美两国人民开展友好交流的共同愿望背道而驰。美方频繁打压中国留学人员是一种阴暗心理的反映,也是丧失自信的表现,这种行径不会让美国更安全、更强大,只会损害美国自身利益、形象和声誉。 米国側のこのような行為は、米国に留学する中国人学生の基本的人権、基本的自由、正当な権利を著しく侵害し、中米間の正常な人文交流と教育協力を著しく損なうものであり、自称「人権の番人」、「自由の道標」に対する大きな皮肉であり、米国側による 米国が「中国人留学生を歓迎する」「双方の若い世代がもっと接触し、互いの文化を学ぶことを奨励すべき」と表明したことに逆行し、友好交流を望む中米両国民の共通の願いに逆行するものである。 アメリカ側による中国人留学生への弾圧が頻発するのは、暗い心理の反映であり、自信喪失の表れであり、アメリカはより安全で強くなるどころか、自国の利益、イメージ、評判を損なうだけである。
我们敦促美方立即纠正错误,停止制造意识形态对立,更不得以此为由打压滋扰中国留学人员,损害中方有关人员的正当合法权益。 我々は、米国側が直ちにその誤りを正し、イデオロギー的な対立を生み出すことはもちろん、それを理由に中国人留学生の弾圧や養育を行い、関係する中国人職員の合法的な権益を害することをやめるよう求めるものである。
彭博社记者:随着乌克兰危机的爆发,石油价格正在上涨,中方是否会同意与美方协同释放战略石油储备平抑油价? ブルームバーグ記者:ウクライナ危機の勃発で原油価格が上昇していますが、中国は原油価格沈静化のために米国側と協力して戦略石油備蓄の放出に応じますか。
华春莹:我们认为,当前形势下各方应该保持克制,通过对话协商缓和事态。只有当局势稳定下来,才能防范各类溢出效应。我还想说,当前天下并不太平,各种麻烦已经够多了,真正负责任的国家应该采取负责任的行为,共同维护全球的能源安全,维护全球供应链产业链安全稳定,避免因地区局势紧张,影响国际能源市场的安全和稳定。 華春瑩:現在の状況では、すべての当事者が自制し、対話と協議を通じて状況をデスケーリングすべきであると考えています。 状況が安定してはじめて、あらゆる波及効果に備えることができます。 また、現在、世界は決して平和ではなく、あらゆる種類のトラブルが十分に存在しています。真に責任ある国々は、世界のエネルギー安全保障を維持し、世界のサプライチェーン産業チェーンの安全性と安定性を守り、国際エネルギー市場の安全性と安定性に影響を与えるような地域の緊張を避けるために、責任を持って行動し、協力し合うべきです。
湖北广播电视台记者:据报道,欧洲议会议员赫维·朱文称,在俄乌危机中,美国扮演着挑起冲突的角色,希望利用俄乌冲突控制欧洲,并且阻挠欧洲在安全事务上独立自主。他认为,美国希望破坏俄罗斯与欧盟的关系,将欧盟拉入对抗俄罗斯的轨道。发言人对此有何评论? 湖北ラジオ・テレビ記者:報道によると、欧州議会議員エルヴェ・ジューウェンは、米国はロシア・ウクライナ危機の紛争を誘発する役割を担っており、ロシア・ウクライナ紛争を利用して欧州をコントロールし、安全保障問題における欧州の独立を妨害することを望んでいると述べました。 米国は、ロシアとEUの関係を弱め、EUをロシアとの対立に引きずり込みたいのだと考えているようです。 広報担当者は、このことについてどう考えているのでしょうか。
华春莹:关于美方在当前乌克兰局势中扮演的角色,不只是这位欧洲议会议员,我注意到一些欧洲媒体对此也有反省和认识。 華春瑩:現在のウクライナ情勢において米国が果たしている役割については、この議員だけでなく、欧州の一部のメディアも反省し、認識しているようですね。
一段时间以来,欧盟以及法国、德国为缓和局势紧张,作了大量外交斡旋努力。目前局势与欧洲利益肯定是背道而驰的。欧方的确应该认真思考,到底什么才真正有利于维护欧洲的和平与稳定,怎样才真正有利于欧洲的长治久安。 ここしばらくは、フランスやドイツだけでなく、EUも緊張を和らげるために外交的な仲介を多く行ってきました。 現在の状況は、確かに欧州の利益に反しています。 欧州の平和と安定の維持に本当に資するものは何か、欧州の長期的安定に本当に資するものは何か、欧州側は実に真剣に考えるべきでしょう。
法新社记者:俄罗斯明确宣布不会攻击城市,而仅打击军事目标,所以你认为不攻击城市而仅打击军事目标的对他国侵略是可以接受的对吗?你还提到美方向乌克兰提供弹药,但是一个主权国家,自任何来源购买武器弹药用于自卫,这难道不是它的权利吗? AFP記者:ロシアは都市を攻撃せず、軍事目標のみを攻撃すると明確に発表していますが、都市を攻撃せず、軍事目標のみを攻撃する他国への侵略は許されるとお考えなのでしょうか? また、アメリカがウクライナに弾薬を供給しているとのことですが、自国の防衛のためにどこからでも武器・弾薬を購入するのは主権国家の権利ではないでしょうか?
华春莹:你应该注意到了,俄方声明称对乌进行特别军事行动,俄罗斯武装力量不会对乌克兰城市实施任何导弹和火炮袭击。 華春瑩:ロシア側は、ウクライナに対して特別軍事作戦を実施しており、ロシア軍はウクライナの都市に対するミサイル攻撃や砲撃を一切行わないことを表明していることにお気づきでしょうか。
对于“侵略”的定义,还是应该回到如何看待当前乌克兰局势这个起点。我们多次讲过,乌克兰问题有非常复杂的历史背景和经纬,演变到今天这个局面并不是我们每个人都希望看到的。希望各方做出共同努力,给和平一个机会,致力于通过对话协商谈判,尽快把局势缓和下来。 「侵略」の定義については、現在のウクライナ情勢をどう見るかという原点に立ち返るべきでしょう。 何度も言うように、ウクライナの問題は非常に複雑な歴史的背景と縦糸があり、ここまで発展した状況は、私たちの誰もが望むところではありません。 私たちは、すべての当事者が平和のチャンスを与えるために共同で努力し、対話、協議、交渉を通じて一刻も早く状況を緩和することを約束することを望みます。
至于主权国家是否有权购买武器。我想问你一个问题:如果在你身边两个人吵起来要打起来,你是给他递武器、递枪、递匕首呢?还是首先劝他们不要打起来,然后客观了解发生冲突的来龙去脉,帮他们和平解决问题呢?这是一个非常简单的道理。武器从来不能解决所有问题。这个时候不应该火上浇油,而是应该想办法一起把火扑灭,维护住和平。 主権国家に武器を購入する権利があるかどうかについては。 皆さんにお聞きしたいのですが、もしあなたの周りにいる2人の人がケンカをして戦いたがったら、武器、銃や短剣を渡しますか? それとも、まずは争わないように説得し、争いが起こった背景を客観的に理解し、平和的に解決できるよう手助けをしますか? それは、とてもシンプルな真実です。 武器はすべての問題を解決するものではありません。 今は火に油を注ぐ時期ではなく、一緒に火消しをして平和を維持する方法を模索する時期なのです。
我也想向你提出一个问题。你们西方媒体定义用的词是“侵略”,但之前美方未经联合国授权对伊拉克、阿富汗非法采取单方面军事行动并造成大量无辜平民伤害时,你们当时用的是“侵略”这个词吗?还是别的什么词? また、あなたに質問を投げかけたいと思います。 欧米のメディアでは「侵略」という言葉を使っていますが、アメリカが国連の承認なしにイラクやアフガニスタンに違法に一方的に軍事行動を起こし、罪のない市民に多くの被害を与えたとき、そのときに「侵略」という言葉を使いましたか? それとも他の言葉だったのでしょうか?
阿纳多卢通讯社记者:俄罗斯国防部发表声明表示,俄军今天上午打击了乌克兰防空力量,这通常被视为侵略的开始,如果情况属实,中方是否会将其视为对主权国家的进攻? アナドル通信員:ロシア国防省は、今朝、ロシア軍がウクライナの防空壕を攻撃したと声明を出しているが、これは通常、侵略の始まりと見られるが、これが事実なら、中国側は主権国家に対する攻撃と見ますか?

华春莹:中方密切关注着事态发展。乌克兰局势发展到今天,不是我们所希望看到的。所以我们持续呼吁各方保持克制,尽快通过对话协商解决问题,让局势缓和下来。 華春瑩: 中国はその動向を注視しています。 ウクライナ情勢がここまで発展してしまったのは、私たちの望むところではありません。 だからこそ、私たちはすべての当事者に自制を求め、できるだけ早く対話と協議によって問題を解決し、状況をデスケープするよう継続的に呼びかけてきました。
CNBC记者:中国是乌克兰和俄罗斯的贸易伙伴,周二,我看到一则公告称,基于海外市场形势,中国或将购买更多食用油,另外,我们刚刚看到,海关总署表示,中国或将自俄罗斯进口小麦。鉴于当前形势,中方是否计划增加或减少与俄罗斯和乌克兰的贸易? CNBC記者:中国はウクライナとロシアの貿易相手国です。 火曜日に、海外市場の状況を見て、中国が食用油を買い増すかもしれないという発表を見ました。また、先ほど税関総署が、中国はロシアから小麦を輸入するかもしれないと言ったのを見ました。 現在の状況を踏まえて、中国はロシアやウクライナとの貿易を増やしたり減らしたりする予定なのでしょうか。
华春莹:中方将同俄方、乌方继续本着相互尊重、平等互利精神开展正常贸易合作。 華春瑩:中国はロシアおよびウクライナと、相互尊重、平等、互恵の精神に基づき、正常な貿易協力を継続します。
法新社记者:在最近24小时,自军事行动开启以来,中方是否曾与乌方通话?具体来说,是否与乌总统泽连斯基通话?或者是否有通话计划? AFP記者:軍事作戦の開始以来、この24時間の間に、中国側はウクライナ側と話をしたのでしょうか。 具体的には、ウガンダのゼレンスキー大統領と話をしたのでしょうか? それとも、呼び出しの予定があるのでしょうか?
华春莹:现在各方都很忙。中方正密切关注形势发展,并持续呼吁各方保持克制,致力于通过对话谈判尽快缓和事态,避免局势失控。 華春瑩:今、各方面が非常に忙しくなっています。 中国は事態の推移を注意深く見守っており、すべての当事者に対し、自制し、対話と交渉を通じて事態が収拾不能になるのを回避するために、できるだけ早くデスケーリングするよう引き続き呼びかけています。
路透社记者:在这场冲突中,中方是否向俄罗斯提供任何军事装备,是否计划向其提供军事或其他协助? ロイター通信記者:中国は今回の紛争でロシアに何らかの軍事装備を提供したか、また、ロシアに軍事支援などを行う予定はありますか。
华春莹:在这一问题上,中国跟美国的做法有质的不同。当我们看到有冲突风险时,我们不会像美方主动向乌克兰提供大量军事装备那样向对方提供武器。我想,俄罗斯作为一个有实力的大国,也不需要中方或其他国家向它提供武器。 華春瑩:この問題に関して、中国は米国と質的に異なるアプローチをとっています。 米国が率先してウクライナに大量の軍備を提供したように、紛争の危険があると判断した場合、相手側に武器を提供することはありません。 ロシアも強大な国として、中国などに兵器を供給してもらう必要はないと思います。
法新社记者:你之前提到了法国和德国在这场争端中的斡旋努力,目前法德均明确谴责了俄罗斯的行动,你是否认为,这说明谈判努力无效,唯有包括中国在内的整个国际社会的强烈谴责方能使俄罗斯退却? AFP記者: 先ほど、フランスとドイツの仲介について触れられましたが、今回、フランスとドイツがロシアの行動を明確に非難しました。 これは、交渉の努力は効果がなく、中国を含む国際社会全体が強く非難することでしか、ロシアを引き下がらせることはできないとお考えでしょうか。
华春莹:一段时间以来,包括法国、德国在内的一些欧洲国家进行了一些斡旋工作。乌克兰问题非常复杂。7年多前基辛格博士曾经公开对乌克兰问题发表过评论,他认为如果乌克兰想要生存和繁荣,就不能成为任何一方对抗另一方的前哨,而应成为东西方之间的桥梁。 華春瑩:ここしばらく、フランスやドイツなどヨーロッパの一部の国々は、良いオフィスワークを行っています。 ウクライナ問題は非常に複雑で、7年以上前にキッシンジャー博士が「ウクライナが生き残り、繁栄したいのであれば、どこかの国の植民地となるのではなく、東と西の架け橋になるべきだ」と公言しています。
旁观者清。国际社会各方应该冷静了解乌克兰问题演变的历史经纬。在此基础上共同努力,推动相关方通过对话谈判尽快缓和局势,避免失控,和平解决。欧方的确也应该思考,什么样的安全格局最符合欧洲利益。 傍観者であることは明らかです。 国際社会の各方面は、ウクライナ問題の進展の歴史的な縦糸と横糸を冷静に理解する必要があります。 その上で、当事者間の対話と交渉を促進し、事態の早期収拾と収拾不能を回避し、平和的に解決するために協力することが求められます。 欧州側も、どのような安全保障パターンが欧州の利益になるのか、確かに考えるべきでしょう。
你提到谴责俄罗斯。我不知道之前当有关国家做拱火点火的错事的时候,它的伙伴有没有尽全力阻止其在错误的方向越走越远,直到不可收拾的地步。当前局面谁都不希望看见、也不符合任何一方利益。希望各方共同努力,呼吁相关方保持克制,不要使局势进一步失控。 ロシアを非難するとのことですが 過去に当該国が間違ったことをしたとき、パートナーは、それがますます間違った方向に進み、手に負えなくなるまで、全力で阻止したのだろうかと思います。 現状は、誰もが望むものではなく、どの政党の利益にもなりません。 関係者が一丸となり、これ以上事態を悪化させないよう自制を求めます。
路透社记者:你刚才说希望各方呼吁保持冷静、避免局势升级,中方多次重复这一立场,请问中方是否会呼吁俄罗斯撤军? ロイター通信記者:先ほど、すべての当事者が冷静さを求め、事態のエスカレーションを避けることを望むとおっしゃいましたが、中国はこの立場を何度も繰り返しています。
华春莹:我们呼吁所有相关方保持克制。 華春瑩:関係各位に自制を求めます。
法新社记者:美国2003年入侵伊拉克,我社当时使用了“入侵”一词。昨天,你表示美方在伊拉克的所作所为侵犯了伊拉克的主权和领土完整。那么,为什么现在不认为乌克兰的主权和领土完整遭受侵犯呢?你能否解释一下乌克兰的情形和当年伊拉克的情形有何不同?这是否是一种双标呢?俄罗斯入侵乌克兰就可以,但美国不能入侵伊拉克。 AFP記者: アメリカは2003年にイラクに侵攻しましたが、当時、私の所属事務所は「侵攻」という言葉を使いました。 昨日、あなたは、アメリカがイラクで行ったことは、イラクの主権と領土を侵害したと言いました。 では、なぜ今、ウクライナの主権と領土が侵害されたと見なされないのでしょうか。 ウクライナの状況は、当時のイラクの状況とどう違うのか、説明できますか? これはダブルスタンダードなのでしょうか? ロシアがウクライナに侵攻するのは構わないが、アメリカがイラクに侵攻するのはダメなのでしょうか。
华春莹:“双重标准”这个词用不到中国头上,因为中方立场光明磊落。中方一向认为,各国的主权和领土完整都应得到尊重,联合国宪章宗旨和原则都应当得到共同维护,这是中方一贯秉持的原则,也是各国都应当坚持的国际关系基本准则。 華春瑩:中国の立場はオープンで正直なので、「ダブルスタンダード」という言葉は中国には当てはまりません。 中国は、すべての国の主権と領土保全が尊重されるべきであり、国連憲章の目的と原則が共同で守られるべきであると常に考えており、これは中国が常に掲げてきた原則であり、すべての国が順守すべき国際関係の基本的な規範です。
与此同时,中方认为,一国安全不能建立在损害别国安全的基础上,更不能出于寻求自身绝对安全优势,肆意损害别国主权安全。各国的合理安全关切都应得到尊重。 同時に、中国は、一国の安全保障は他国の安全保障を損なうことの上に成り立つものではなく、ましてや自国の安全保障上の絶対的優位を追求するために他国の主権的安全保障をみだりに損なうことはできないと考えている。 すべての国の正当な安全保障上の懸念は尊重されるべきである。
你应该知道伊拉克问题的由来。当时美国国务卿凭着一小瓶洗衣粉和一个莫须有的罪名,就对伊拉克发动军事打击,给伊拉克人民造成严重灾难。这是赤裸裸的侵略,国际社会对此是有共识的。 イラク問題の原点を知るべき。 当時、アメリカの国務長官は、小さな洗濯粉の瓶とでっち上げの罪状を根拠にイラクへの軍事攻撃を開始し、イラク国民に深刻な災難をもたらしました。 これは裸の侵略であり、それについては国際的なコンセンサスが得られています。
你应该也认真读了普京总统的讲话。我不是俄罗斯外交部发言人,不会站在俄方的立场讲话。但我想,作为旁观者和非当事方,应该秉持客观公正立场,看到乌克兰问题的复杂历史经纬以及各种因素交织演变。 プーチン大統領の演説もよく読んでおく必要があります。 私はロシア外務省の報道官ではないので、ロシア側から発言することはできません。 しかし、私はオブザーバーとして、また非当事者として、客観的かつ公平な立場で、ウクライナ問題の複雑な歴史とさまざまな要因が絡み合った進化を見るべきだと思うのです。
公正的斡旋调解不仅要看到眼前,也要看到事情的整个来龙去脉,不仅要推动治标也要治本。这就是为什么中方一直呼吁各有关方面保持克制,致力于通过对话谈判解决问题。 公平な調停は、目先のことだけでなく、その問題の背景全体を見渡し、症状だけでなく根本的な原因も促進する必要があります。 このため、中国は常にすべての関係者に自制を求め、対話と交渉による問題解決を約束してきました。
路透社记者:中方是否认为乌克兰是一个主权国家? ロイター通信記者:中国はウクライナを主権国家とみなしていますか?
华春莹:乌克兰当然是主权国家。中乌在相互尊重的基础上开展友好合作。 華春瑩: ウクライナは明らかに主権国家です。 中国とウクライナは、相互尊重を基本に友好的な協力を行っています。
路透社记者:目前有多少中国公民在乌克兰?中方对他们有什么最新指示吗? ロイター通信記者:現在、ウクライナにいる中国人は何人ですか? 中国は何かアップデートされた説明書があるのでしょうか?
华春莹:中国在乌克兰公民的具体人数我目前还不掌握。中国驻乌克兰使馆已经发布了安全提醒。鉴于当前的形势,提醒在乌克兰的中国公民和中资企业注意保护自己的人身安全,以免发生意外伤害。中国驻乌克兰使馆也同当地留学生和中国商会等保持着联系,提醒他们要关注中国使馆第一时间发布的消息,提醒在乌中国公民不要前往局势不稳定的地区。此外还呼吁在乌中国公民,此时要体现出中国人民历来团结奋斗、互帮互助的优良传统。如果遇到困难,希望大家能互相帮助,互相伸出援助之手,在这种困难时刻相互温暖,相互帮助。另外使馆也提醒中国公民不要恐慌。如果有人遇到问题,使馆会予以全力帮助。 華春瑩:ウクライナにいる中国人の正確な人数は、今のところ把握していません。 在ウクライナ中国大使館は、セキュリティ警告を発しました。 このような状況を鑑み、ウクライナに駐在する中国人および中国企業は、不慮の事故に遭わないよう、身の安全を守ることに注意を払うようお願いします。 また、在ウクライナ中国大使館は、現地の学生や中国商会と連絡を取り合い、中国大使館が発表する第一報に注意するよう呼びかけるとともに、ウクライナにいる中国人は情勢が不安定な地域には行かないようにと呼びかけています。 また、在ウクライナ中国大使館は、在ウクライナ中国国民に対し、この時期に中国国民の連帯と相互扶助のすばらしい伝統を発揮するよう呼びかけました。 そんな大変なときに、助け合い、手を差し伸べ合い、温め合い、助け合える存在でありたいと願っています。 大使館はまた、中国国民にパニックにならないよう注意を促しています。 もし、問題が発生した場合は、大使館が全力でサポートします。
路透社记者:请问普京总统在几周前访问中国的时候,是否告知中方俄罗斯将入侵乌克兰? ロイター通信記者:プーチン大統領が数週間前に中国を訪問した際、ロシアがウクライナに侵攻すると中国に伝えたかどうか、聞いてもいいですか。
华春莹:2月4日,普京总统来华出席北京冬奥会开幕式,同习近平主席举行了会谈。有关消息稿已经发布,你可以再仔细查阅。 華春瑩:2月4日、プーチン大統領が北京の冬季オリンピック開会式に出席するため来日し、習近平主席と会談しました。 該当のプレスリリースが出されていますので、改めてよく確認してみてください。
我刚才已经说了,俄罗斯是独立自主的大国,独立自主地根据自己的战略判断和利益来决定和实施自己的外交和战略。俄方在做外交决策和行动前,恐怕无需事先征求别人的同意。 先に述べたように、ロシアは、自らの戦略的判断と利益に従って、独自の外交と戦略を独自に決定し、実行する独立・自立した大国です。 ロシア側が外交的な判断や行動をする際に、事前に相手の同意を得る必要はないのではと思います。
法新社记者:在何种情况下,中国会谴责俄罗斯在乌克兰的行动?具体而言,中方会因俄罗斯的何种行动对其进行谴责?   AFP記者:どのような状況であれば、中国はウクライナにおけるロシアの行動を非難するのでしょうか。 具体的に、中国はどのような行為でロシアを非難するのでしょうか。  
华春莹:你为什么一直穷追不舍要求中方谴责? 華春瑩:なぜ中国の非難を追及し続けるのでしょうか?
我们已经说过,乌克兰问题的历史经纬非常复杂,局势演变到今天是各种因素共同作用的结果。正确的做法是客观全面了解来龙去脉和演变经纬,然后通过对话协商和平解决问题。各国安全应该是共同的、综合的、可持续的,只有这样的安全才是持久的。 すでに述べたように、ウクライナ問題の歴史的縦糸と横糸は非常に複雑であり、今日までの事態の推移は、さまざまな要因が重なった結果です。 状況や推移を客観的かつ包括的に理解し、対話と協議を通じて平和的に問題を解決していくのが正しいアプローチです。 すべての国の安全保障は、共通で、包括的で、持続可能であるべきであり、そのような安全保障のみが永続的なものです。
你反复追问中方何时同美欧等国一起谴责,这倒提醒我,正是你提到的美国等几个国家在不断干涉中国内政问题,基于虚假信息对中方发起各种攻击。 中国がアメリカやヨーロッパなどの国々と一緒になって非難したのはいつなのか、と繰り返し聞かれたことから、中国の内政問題に常に干渉し、虚偽の情報に基づいて中国に対してあらゆる攻撃を仕掛けているのは、あなたが挙げた米国や他のいくつかの国であることを思い知らされました。
在国际关系中,不应该老做这种强加于人的事情,而是应该根据事情本身的是非曲直,允许各国独立作出判断。 国際関係においては、このような押しつけを続けるのではなく、各国がその問題自体の是非を自主的に判断するようにすべきです。
法新社记者:中国被指控在新疆实施“种族灭绝”,而中方称此为世纪谎言。现在,俄方称在乌克兰的俄语群体遭受种族灭绝,是其入侵乌克兰的一个理由。俄罗斯是否向中方提供了任何证据,证明乌克兰境内存在种族灭绝吗?如果没有,你是否又准备称此为“世纪谎言”? AFP記者:中国は新疆ウイグル自治区で「大虐殺」を行ったと非難されているが、中国側は「世紀の大嘘だ」と述べている。 今、ロシア側は、ウクライナのロシア語話者コミュニティの大量虐殺が、自分たちの侵略を正当化する理由だと主張しています。 ロシアは中国側に、ウクライナで大量虐殺があったという証拠を提出したのでしょうか? そうでなければ、またこれを「世紀の大嘘」と呼ぶ覚悟があるのでしょうか?
华春莹:我可以告诉你,在中国新疆发生的事情和在乌克兰东部地区发生的事情,我没法给你做任何比较,因为我不了解在乌东地区发生了什么,不会急于得出任何结论。但是我可以非常明确地告诉你,我希望下次你们报道时不要再用新疆“种族灭绝”这个词,因为它是彻头彻尾的世纪谎言。我更有权利、更有资格来向你介绍我自己国家的情况。 華春瑩:中国の新疆で起きたこととウクライナ東部で起きたことを比較することはできないと言えます。なぜなら、私はウクライナ東部で何が起きたかを知らないので、急いで結論を出すつもりはありません。 ただ、はっきり言えるのは、次に報道するときは、新疆ウイグル自治区での「大虐殺」という言葉は使わないでほしい、それは世紀のウソだからです。 私は、自分の国の状況について話す権利と資格があります。
中国政府已经无数次用事实向你们证明,在新疆所谓的“种族灭绝”是一个世纪谎言,我希望你们能够听得进去。过去几年时间里,100多个国家和组织的2000多名政府官员、宗教人士和记者包括不少外国驻华记者访问了新疆。他们所看到的是一个和平和谐、稳定发展的新疆,一个各族人民能够享受宗教自由的新疆,这就是关于新疆的事实真相。而且我还要告诉你,新疆为去极端化采取的一些预防性措施,跟法国社区矫正等反恐去极端化措施是类似的。 新疆ウイグル自治区でのいわゆる「大虐殺」が世紀の嘘であることは、中国政府が数え切れないほど証明しているので、ぜひ耳を傾けてほしいと思います。 過去数年間、100以上の国や組織から2,000人以上の政府関係者、宗教家、ジャーナリストが新疆を訪れ、中国国内の多くの外国特派員も含まれています。 彼らが見たのは、平和で調和のとれた、安定と発展を続ける新疆、あらゆる民族の人々が信仰の自由を享受できる新疆であり、それが新疆の真実なのです。 そして、新疆ウイグル自治区で行われている脱過激派の予防措置の中には、フランスの地域矯正などのテロ対策的な脱過激派対策に近いものがあることもお伝えしたいと思います。
我希望在这个问题上,你们不要再对中国抱有任何偏见,也不要再基于虚假信息对中国无端指责。正是你们几个国家总是在这个问题上谴责中国,所以我非常不乐意听到你们用谴责这个词。谴责一定要基于事实,在没有弄清楚事实全貌之前最好慎用。 この問題に関しては、中国に対して偏見を持つことをやめ、誤った情報に基づいて根拠のない非難をすることをやめてほしいと思います。 この問題でいつも中国を非難しているのは、あなたの国のいくつかですから、あなたが非難という言葉を使うのは非常に不愉快です。 非難は事実に基づかなければならず、事実の全容が判明するまでは慎重に行うのが最善です。
我希望在疫情过后,能够找一个合适机会请你们去新疆好好领略一下那里的美丽风光,让你们去亲眼看看新疆人民到底在过什么样的生活。我想新疆的事实真相、人民的幸福生活通过你们的报道传遍世界之后,很多国家的少数民族一定会非常羡慕新疆的少数民族。 流行が終わった後、適当な機会を見つけて新疆に招待し、美しい景色をよく見て、新疆の人々がどんな生活をしているのか、自分の目で確かめてほしいと思っています。 皆さんの報道によって、新疆の真実と人々の幸せな生活が世界中に広まれば、多くの国の少数民族が新疆の少数民族をとてもうらやむことになると思います。
法新社记者:普京此前来华出席北京冬奥会开幕式,然后在冬奥会结束之后入侵了乌克兰,这两者之间有任何联系和巧合吗?你是否认为俄罗斯至少应该在3月13日冬残奥会闭幕之后再进攻邻国? AFP記者:プーチンが以前、北京の冬季オリンピックの開会式に出席するために中国を訪問したことと、冬季オリンピック後にウクライナに侵攻したことに関連性や偶然性はあるのでしょうか? ロシアは、少なくとも3月13日の冬季パラリンピック閉幕後に隣国を攻撃するべきだったと思いますか?
华春莹:法新社的想象力一如既往的丰富。我告诉你,30多位国际政要来华出席了北京冬奥会开幕式。普京总统也来了,两国元首就中俄关系和共同关心的问题交换了意见,相关消息我们已经及时详细公布了。 華春瑩:AFPは相変わらず想像力に富んでいますね。 北京で開催された冬季オリンピックの開会式に出席するため、30人以上の国際的な要人が中国に来たとお伝えしました。 プーチン大統領も来日し、両首脳は中ロ関係や共通の関心事について意見交換を行ったが、その関連ニュースは随時詳しく掲載しています。
俄罗斯是一个独立自主的大国,它根据自己的战略判断和利益独立地决定其政策和行动。至于你说俄方的行动时间问题,麻烦你去问俄方。 ロシアは、自国の戦略的判断と利益に従って独自に政策と行動を決定する独立した自律的な大国です。 ロシアの行動のタイミングについてのご質問は、ロシア側にお聞きください。
北京冬奥会非常精彩、安全和成功。我们相信,北京冬残奥会也会同样的精彩、安全和成功。 北京冬季オリンピックは、素晴らしく、安全で、成功した大会でした。 北京冬季パラリンピックも同様に、素晴らしく、安全で、成功する大会になると信じています。
路透社记者:中方是否认为俄罗斯入侵乌克兰?如果不是的话,为什么? ロイター通信記者:中国は、ロシアがウクライナに侵攻したと考えているのか? そうでない場合は、なぜですか?
华春莹:我给你提一个建议,你可以去问问美方,他们不断拱火、点火,现在打算怎么灭火? 華春瑩:提案なんですが、米国側に、彼らはアーチ状に火をつけて、火をつけ続けていますが、今どうやって火を消すつもりですかと聞いてみてください。
路透社记者:中方是否采取足够措施积极主动地推动实现乌克兰的和平,中方对此满意吗? ロイター通信記者:中国はウクライナの和平を積極的に推し進めるために十分な措置を講じたのか、またそれに満足しているのですか。
华春莹:我们希望乌克兰和平,不希望看到乌克兰局势演变到今天这样的局面。我们呼吁,有关方通过对话缓和事态,保持克制。同时,凡事皆有因果,不仅要治标,也要治本,这需要有关各方共同努力。 華春瑩: 私たちはウクライナの平和を願っており、ウクライナ情勢が今日のように進展していくのを見たくありません。 我々は、関係者に対話を通じて状況をデスカレートさせ、自制することを求めます。 同時に、何事にも原因と結果があり、症状だけでなく根本的な原因への対処が必要であり、関係者の共同努力が必要です。
你今天一直在纠缠中国。中国是当事方吗?点火的人、煽火的人、火上浇油的人是谁?中国有句话叫做解铃还须系铃人,乌克兰问题需要直接当事方谈判解决。你们执意用的一些词很容易让我们联想到,那些基于虚假信息和谣言动辄对中国妄加的指责,让我们觉得很不舒服。 今日も中国をせっついてきましたね。 中国は当事者なのでしょうか? 火をつける人、炎をあおる人、火に油を注ぐ人は誰なのでしょうか。 中国には「鐘を解かねばならぬ」という言葉があり、ウクライナ問題は直接当事者間の交渉で解決する必要があるのです。 あなたが執拗に使う言葉の中には、誤った情報や噂に基づき、ことあるごとに中国を非難してきたことを容易に想起させるものがあり、非常に不快な気分にさせられます。
我希望你们冷静、理智、克制,同中方一起呼吁各方保持克制,多做灭火的事,不要让局势进一步失控。 これ以上事態を悪化させないよう、冷静、賢明、抑制的になり、中国とともにすべての当事者に自制と消火活動を呼びかけることを期待します。
路透社记者:请问中方领导人是否支持普京总统入侵乌克兰? ロイター通信記者:中国の指導者に、プーチン大統領のウクライナ侵攻を支持するかどうかを聞いてもいいですか。
华春莹:我非常讨厌你这样提问的方式,充分地暴露出对中国的思维——先入为主、偏见傲慢、乱扣帽子。中方不是当事方,一直在做劝和促谈的工作。 華春瑩:この質問の仕方は、中国に対する考え方、つまり先入観や偏見、傲慢さ、レッテルを貼ることを露呈しており、本当に嫌になりますね。 中国は当事者ではないので、平和を説得し、協議を促進する役割を担っています。
我昨天详细介绍了我们所观察到的来龙去脉,普京总统也发表了详细的讲话。你们为什么不愿意费点时间去认真地读一读呢?为什么不能静下心来,跳出自己的固定思维模式,理性客观地看待呢?谁拱的火?谁点的火?谁在火上浇油?解铃还须系铃人。应该由直接当事方去谈判解决。 私は昨日、観察したことの内実を詳しく説明し、プーチン大統領も詳しい演説をしました。 なぜ、時間をかけてじっくり読もうとしないのでしょうか。 なぜ、自分の固定観念から一歩踏み出して、合理的・客観的に見ることができないのでしょうか? 誰が火をつけたのでしょうか? 誰が火をつけたのでしょうか? 火に油を注いだのは誰でしょうか? 鐘は解かなければならりません。 解決策を交渉するのは直接の当事者です。
俄罗斯是独立自主的大国、安理会常任理事国,独立自主做外交决策。中国的立场非常清楚,对于任何地区热点问题,我们的立场始终如一,那就是致力于通过对话协商谈判和平解决问题。 ロシアは安全保障理事会の常任理事国であり、外交政策の決定において独立した自律的な大国です。 中国の立場は非常に明確であり、地域のホットスポット問題に対する我々の立場は常に同じで、対話、協議、交渉を通じて問題を平和的に解決することにコミットしています。
当伊拉克、叙利亚、阿富汗等一些国家被非法军事打击,包括最近阿富汗人民的70亿美元被美方非法掠夺时,你们谴责了吗?你们主持公平正义了吗?你们去质问过美国政府吗?所以我认为你刚才的问题不是作为一个新闻记者应有的客观问题,你没有持中立立场,你是先入为主。作为记者,你们不应该把你们预先设定的结论强加给别人。 イラク、シリア、アフガニスタンなど一部の国が違法な軍事攻撃に見舞われ、最近も米国側がアフガニスタンの人々から70億米ドルを違法に略奪したとき、あなたはそれを非難しましたか? 正義を貫きましたか? 米国政府に疑問を持ったことはありますか? だから、今の質問はジャーナリストとしてすべき客観的な質問とは思えませんし、中立的なスタンスではなく、先入観を持っていますね。 ジャーナリストとして、自分の決められた結論を他人に押し付けてはいけません。
法新社记者:我知道你觉得我们都很情绪化,但当战争发生,肯定会导致伤亡。我想说的是,联合国安理会将于明天发布阿尔巴尼亚和美国起草的决议,并在纽约时间的周五就此投票。你能告知中方将如何投票吗? AFP記者:私たちは感情的になっていると思うのですが、戦争が起これば、確かに犠牲者が出ます。 国連安全保障理事会は、明日、アルバニアと米国が起草した決議案を公表し、ニューヨーク時間の金曜日に採決することを申し上げたい。 中国側の投票方法を教えてください。
华春莹:我们会基于中方一贯立场,本着联合国宪章宗旨原则处理相关问题。 華春瑩:中国の一貫した立場に基づき、国連憲章の原則に従って、関連する問題を処理します。

 

 

これは、攻撃が始まる前のコメントですが、、、(この問題以外については省略しています。。。)

・2022.02.23 外交部:中方一贯反对任何非法单边制裁

外交部:中方一贯反对任何非法单边制裁 外交部:中国はいかなる違法な一方的制裁にも一貫して反対しています。
人民网北京2月23日电 据外交部网站消息,外交部发言人华春莹主持23日例行记者会。记者会实录如下: 北京2月23日新華社 外交部の華春瑩報道官は23日、定例記者会見を主催しました。 記者会見の記録は以下の通りです。
总台央视记者:能否介绍一下中方为解决乌克兰问题发挥了什么作用? 中国中央テレビ記者:ウクライナ問題を解決するために、中国がどのような役割を果たしたか、教えてください。
华春莹:在地区热点问题上,中方一向致力于劝和促谈,为推动和平解决地区热点问题发挥建设性作用。 華春瑩:地域のホットスポット問題について、中国は常に平和を説得し、協議を促進し、地域のホットスポット問題の平和的解決を促進するために建設的な役割を果たすことにコミットしてきました。
在乌克兰问题上,同近段时间以来美方不断向乌输送武器、推高紧张、制造恐慌甚至渲染战争形成鲜明对比的是,中方始终呼吁各方尊重和重视彼此的合理安全关切,努力通过谈判协商解决问题,共同维护地区和平稳定。16日,习近平主席同马克龙总统通话时强调,有关各方应该坚持政治解决的大方向,充分利用包括诺曼底机制在内的多边平台,通过对话协商寻求乌克兰问题的全面解决。近日,王毅国务委员兼外长通过视频出席慕尼黑安全会议中国专场时也强调,各方应该切实负起责任,为和平而努力,而不是一味推高紧张、制造恐慌、甚至渲染战争。 ウクライナ問題では、米国がウクライナに武器を送り、緊張を高め、恐怖を作り出し、戦争まで誇張しているのとは対照的に、中国は常にすべての当事者に対して、互いの正当な安全保障上の懸念を尊重し重視し、交渉と協議を通じて問題解決に努め、地域の平和と安定を保つために協力し合うよう呼びかけています。 中国政府は政治的解決という一般的な方向性を持ち、ノルマンディー・メカニズムを含む多国間プラットフォームをフルに活用し、対話と協議を通じてウクライナ問題の包括的解決を目指すべきです。 最近、王毅国務委員兼外相がミュンヘン安全保障会議の中国固有のセッションにビデオで出席した際も、緊張を高め、パニックを起こし、あるいは戦争を誇張するのではなく、すべての当事者が効果的に責任を負い、平和のために努力すべきであると強調しました。
现在问题的关键是,作为当前乌克兰局势紧张的始作俑者,美方在这场危机中扮演了什么角色?发挥了什么作用?如果有人一边火上浇油,一边指责别人救火不力,这种行为是不负责任的,也是不道德的。 今、重要なのは、ウクライナ情勢の発端となった米国が、この危機の中でどのような役割を果たしたか、ということです。 どのような役割を担ってきたのでしょうか。 火に油を注ぎながら、他の人が消火を十分にしていないことを非難するのは、無責任で不道徳なことです。
凤凰卫视记者:台湾地区领导人发言人和外事部门负责人将乌克兰问题同台湾问题相比,称希国际社会持续向台湾提供武器,迫使大陆不敢武力“侵犯”。还有人说,不要使今日之乌克兰成为明日之台湾。中方对此有何评论? フェニックス記者:台湾の地域指導者のスポークスマンと外交部長は、ウクライナ問題を台湾問題に例え、大陸が「武力侵攻」を敢行しないよう、国際社会が台湾に武器を提供し続けることを望むと発言した。 また、「今日のウクライナが明日の台湾になってはいけない」ということも言われました。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:台湾当局有些人借乌克兰问题蹭热点和碰瓷,是不明智的行为。 華春瑩:台湾当局の一部の人々が、ウクライナ問題を話題にして騒ぎ立てようとするのは賢明なことではありません。
台湾的确不是乌克兰。台湾从来都是中国领土不可分割的一部分,这是无可辩驳的历史和法理事实。一个中国原则是公认的国际关系准则。台湾地区的和平取决于海峡两岸关系的和平发展,而不是揺尾乞怜,指望外部势力售卖武器或提供军事支持。“台独”只能是死路一条。对此,任何人都不应有任何误解误判。 台湾は明らかにウクライナではありません。 台湾が常に中国の領土と不可分の一部であったことは、反論の余地のない歴史的、法的事実です。 一帯一路は、国際関係における規範として認められています。 台湾の平和は両岸関係の平和的発展にかかっており、慈悲を乞うムーバーの尻尾や、外部勢力による武器売却や軍事支援を期待するものではありません。 「台湾独立は行き止まり」に過ぎません。 このことについては、誰も誤解や誤った判断をしてはなりません。
乌克兰危机发生以来,有些人不时提及台湾,有关评论充分暴露出他们对台湾问题的历史缺乏最起码的了解。我愿借此机会多说几句,做些普及。 ウクライナ危機以降、時折、台湾に言及する人がいますが、彼らの発言は、台湾問題の歴史に対する最低限の理解が欠如していることを十分に露呈しています。 この機会に、もうひと言、普及活動をしたいと思います。
大家都知道,海峡两岸由于当年的内战存在着政治对立,但中国的国家主权和领土完整从未分割,也不可能分割。这是台湾问题的现状。 周知のように、当時の内戦により海峡両岸は政治的に対立しているが、中国の国家主権と領土は決して分断されていないし、分断されることもない。 これが台湾問題の現状です。
今年是尼克松总统访华50周年。1972年2月尼克松总统访华时,中美双方在上海发表了《中美联合公报》,标志着中美关系开始走向正常化。在“上海公报”里关于台湾问题有非常重要的论述:美国方面声明,中美两国的社会制度和对外政策有着本质的区别,但双方同意,不论社会制度如何,都应根据尊重各国主权和领土完整,不侵犯别国、不干涉别国内政,平等互利、和平共处的原则来处理国与国之间的关系。美方在“上海公报”中还声明:美国认识到,在台湾海峡两岸的所有中国人都认为只有一个中国,台湾是中国的一部分,美国政府对这一立场不提出异议。美方重申对由中国人自己和平解决台湾问题的关心,确认从台湾撤出所有美国武装力量和军事设施的最终目标。在此期间,它将逐步减少其在台湾的武装力量和军事设施。 今年はニクソン大統領の訪中50周年に当たり、1972年2月に上海で中米共同コミュニケが発表され、中米関係の正常化が始まりました。 上海コミュニケの中で、台湾問題に関して非常に重要な記述があります。米国側は、両国の社会体制や外交政策は根本的に異なるが、社会体制の違いにかかわらず、各国の主権と領土の尊重、他国の不侵略・内政不干渉、平等と互恵、平和共存の原則に基づいて互いに対処することに同意するとしています。 両国は、各国間の関係が、各国の主権と領土の尊重、他国の内政への不侵略・不干渉、平等・互恵、平和共存の原則に従って行われるべきことに同意しました。 また、米国は上海コミュニケで、台湾海峡両岸のすべての中国人が、中国は一つであり、台湾は中国の一部であると信じていることを認識し、米国政府もこの立場に異を唱えないと述べています。 米国は、中国自身による台湾問題の平和的解決への関心を再確認し、台湾からすべての米軍および軍事施設を撤退させるという最終目標を確認します。 その間に、台湾の軍隊と軍事施設を徐々に縮小します。
在1982年8月17日中美两国政府发表的“八·一七公报”中,美国政府声明:美国政府非常重视与中国的关系,并重申无意侵犯中国的主权和领土完整,无意干涉中国内政,也无意执行“两个中国”或“一中一台”政策。美国政府声明,其不寻求执行一项长期向台湾出售武器的政策,它向台湾出售的武器在性能和数量上将不超过中美建交后近几年供应水平,它准备逐步减少向台湾出售武器,并经过一段时间导致最后的解决。 1982年8月17日、中米両政府が発表した「8月17日コミュニケ」で、米国政府は中国との関係を重視し、中国の主権と領土を侵害し、中国の内政に干渉し、「二つの中国」を強要する意図がないことを再確認したと述べています。 中国の内政に干渉するつもりもなければ、「二つの中国」「一つの中国、一つの台湾」政策を実行するつもりもないでしょう。 米国政府は、台湾に対する長期的な武器売却政策を追求しないこと、台湾への武器売却は米中国交樹立後の近年における実績と量の供給レベルを超えないこと、最終決着に至る一定期間において台湾への武器売却を徐々に縮小する用意があることを表明しています。
我想借此机会向大家普及一些关于台湾和美台交往的历史事实。大家可以对照看一看,美方到底是不是信守了承诺?相信这有助于帮助大家更好了解台湾问题。我们也想奉劝包括台湾岛内的一些人,千万不要对台湾问题有任何误解误判。 この機会に、台湾と米台関係に関する歴史的事実をお伝えしたい。 それを比較することで、米国側が約束を守ったのか、そうでないのかを確認することができます。 台湾問題への理解を深めていただく一助になると思います。 また、台湾を含む一部の人々には、台湾問題について決して誤解や誤った判断をしてはいけないとアドバイスしたいです。
法新社记者:美国、欧盟、英国等多个国家和组织就俄罗斯对乌克兰采取的行动宣布对俄实施新的制裁。中国会对俄罗斯实施制裁吗? AFP記者:米国、EU、英国など複数の国や組織が、ウクライナに対する行動をめぐり、ロシアに対する新たな制裁を発表しました。 中国はロシアに制裁を加えますか?
华春莹:你显然对中国政府的政策缺乏基本了解。中方一贯认为制裁从来不是解决问题的根本有效途径。中方一贯反对任何非法单边制裁。 華春瑩:中国政府の方針について、基本的な理解が不足しているのは明らかです。 中国は、制裁は決して問題を解決するための根本的かつ効果的な手段ではないと考えてきました。 中国は、違法な一方的制裁に常に反対してきています。
根据美国财政部公布的数据,在过去20年里,美国实施的制裁数量增长了10倍。美国上一届总统任期内实施的制裁高达3800项,相当于平均每天3次挥舞“制裁大棒”。2011年以来,美国对俄罗斯实施的制裁就超过了100多次。但是,美方的制裁解决问题了吗?世界因为美方的制裁变得更好了吗?乌克兰问题会由于美方对俄罗斯实施制裁而自然解决吗?欧洲安全将由于美方对俄制裁而变得更有保障吗?希望有关方面认真思考,还是应该努力通过对话协商解决问题。 米国財務省が発表したデータによると、米国が科す制裁措置の数は過去20年間で10倍に増えています。 2011年以降、米国はロシアに対して100以上の制裁を課しています。 しかし、米国の制裁は問題を解決したでしょうか。 米国の制裁で世界は良くなりましたか? ウクライナ問題は、米国の対ロシア制裁の結果、自然に解決するのでしょうか。 米国の対ロ制裁によって、欧州の安全保障はより安全になりますか? 関係者が真剣に考え、対話と協議で解決するようにしてほしいと思います。
我还想指出,美国等一些国家的非法单边制裁,已经给相关国家经济和民生造成严重困难。美方在处理乌克兰问题和对俄关系时,不得损害中方和其他方面正当权益。 また、米国をはじめとする一部の国による違法な一方的制裁は、すでに関係国の経済や生活に深刻な支障をきたしていることを指摘したいと思います。 米国側は、ウクライナ問題や対ロシア関係に対処する際、中国などの正当な権益を損なってはなりません。
《中国日报》记者:个别美国媒体认为,中方现在在乌克兰问题上的表态立场同中方一贯奉行的尊重国家主权和领土完整原则相矛盾。你是否同意这种看法? 中国日報記者:米国の各メディアは、ウクライナ問題に対する中国の現在の表明した立場は、中国が常に支持してきた国家主権と領土保全の尊重という原則に反すると見ています。 この意見に賛成ですか?
华春莹:中方在乌克兰问题上的立场是一贯的,没有变化。 華春瑩:ウクライナ問題に対する中国の立場は一貫しており、変わっていません。
中方表态符合中方一贯坚持的推动对话协商解决地区热点问题的立场。中方始终秉持客观公正,站在和平正义的一边,按照事情本身的是非曲直决定自身立场,主张各国都要根据联合国宪章的宗旨和原则和平解决国际争端。个别人指责中方有关乌克兰问题的立场违背尊重国家主权和领土完整原则,这要么是别有用心,要么是故意歪曲误解。 中国の声明は、地域のホットスポットの問題を解決するために対話と協議を促進するという中国の一貫した立場に沿ったものです。 中国は常に客観性と公平性を堅持し、平和と正義の側に立ち、問題自体のメリットに従って自らの立場を決定し、すべての国が国連憲章の目的と原則に従って国際紛争を平和的に解決すべきであると提唱しています。 ウクライナに対する中国の立場を、国家主権と領土保全の尊重の原則に反すると非難する人がいますが、これは下心があるか、意図的に歪曲して誤解しているかのどちらかです。
凡事都要讲道理,凡事也都有因果关系。乌克兰问题有其复杂历史经纬,局势演变至今是各种因素共同作用的结果。要想正确客观认识并寻求理性和平的解决方案,有必要了解乌克兰问题的来龙去脉,在平等和相互尊重的基础上,妥善解决彼此合理安全关切。一些国家应该想一想,在美方违背同俄罗斯的协议5次将北约东扩至俄家门口并部署大量先进进攻性战略武器时,他们有没有想过把一个大国逼到绝地的后果? 何事も正当化されなければならないし、何事も原因と結果の関係があります。 ウクライナ問題には複雑な歴史があり、様々な要因が重なり合った結果、今日まで事態が進展してきました。 正しく客観的に理解し、合理的かつ平和的な解決を目指すためには、ウクライナ問題の背景を理解し、平等と相互尊重を基本に、互いの正当な安全保障上の関心事に適切に対処することが必要です。 米国側がロシアとの合意を破り、NATOを5回もロシアの目の前まで東進させ、高度な戦略攻撃兵器を大量に配備したとき、大国を追い詰める結果を考えたことがあったのだろうか、と考えるべき国もあるでしょう。
当前形势下,和平解决乌克兰问题的大门并没有完全关上。我们希望有关当事方保持冷静和理性,致力于根据联合国宪章原则,通过谈判和平解决有关问题。中方将继续以自己的方式劝和促谈,欢迎并鼓励一切致力于推动外交解决的努力。 現状では、ウクライナ問題の平和的解決の扉は完全に閉ざされてはいません。 我々は、関係者が冷静さと理性を保ち、国連憲章の原則に従って交渉により関連する問題を平和的に解決することを約束することを希望します。 中国は引き続き平和を求め、独自の方法で話し合いを促進し、外交的解決の促進に専念するすべての努力を歓迎し奨励します。
深圳卫视记者:美国总统拜登发表演讲称,俄罗斯对乌克兰的行动是“侵略的开始”。我们也注意到塞尔维亚总统武契奇建议乌克兰总统先谴责美国、英国和其他国家对塞尔维亚进行的侵略行径。中方对此有何评论? 深センテレビ記者:ジョー・バイデン米大統領は演説で、ロシアのウクライナに対する行動は「侵略の始まり」であると述べました。 また、セルビアのブチッチ大統領が、ウクライナ大統領に対して、まず米国や英国などのセルビアに対する侵略を非難するよう提案したことにも言及しました。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:乌克兰问题有其复杂历史背景和经纬,演变到今天这种局面,是各种因素共同作用的结果。我注意到俄方反复多次表示,俄方无意对乌克兰发动战争,而且反复强调俄方愿意就乌克兰加入北约问题同美方等相关方面开展对话。 華春瑩:ウクライナ問題には複雑な歴史的背景と縦糸があり、さまざまな要因が複合的に作用した結果、今日のような状況に発展したのです。 ロシア側は、ウクライナに対して戦争を仕掛ける意図はないと繰り返し表明し、ウクライナのNATO加盟に関して米国やその他の関係者と対話する意思があることを繰り返し強調していることに留意したい。
值得一提的是,“安全不可分割原则”被写入了1975年《赫尔辛基最后议定书》序言、1990年《新欧洲巴黎宪章》、1997年《俄北约关系基础文件》、1999年欧安组织伊斯坦布尔通过的《欧洲安全宪章》以及2011年《俄美关于进一步削减和限制进攻性战略武器措施的条约》序言等文件。但美方显然没有遵守其承诺。针对俄方提出同美方就欧洲安全保障倡议进行对话,美方也没有相向而行。 「安全保障の不可分性の原則」は、1975年のヘルシンキ最終議定書の前文、1990年の「新欧州のためのパリ憲章」、1997年の「ロシア・NATO関係の基礎に関する文書」、1999年にイスタンブールでOSCEが採択した「欧州安全保障憲章」、2011年の「攻撃兵器の更なる削減と制限に関する憲章」に謳われていることは注目に値しよう。 戦略的攻撃兵器の更なる削減と制限のための措置に関する露米条約」前文など。 しかし、米国側は明らかにその約束を守っていません。 欧州安全保障構想についてロシア側が米国との対話を提案したことに対し、米国側もそれに応えようとしていません。
中方一贯认为,各国安全应该是共同、合作、可持续的,任何国家和集团都不应该谋求所谓安全利益最大化,俄方的合理安全关切应当得到重视和解决。我注意到有报道称,普京总统表示,乌方拒绝加入北约并保持中立将是解决问题最佳方式。乌方、美方等相关方面也都表示无意进入战争。这说明,和平解决乌克兰问题仍有希望。解铃还需系铃人。我们希望各方保持克制和冷静,认识到落实安全不可分割原则的重要性,不要关闭对话的大门,致力于通过谈判缓和事态,化解分歧,共同维护和平。 中国は、すべての国の安全保障は共通で、協力的で、持続可能であるべきであり、いかなる国や集団もいわゆる安全保障上の利益を最大化しようとすべきではなく、ロシア側の正当な安全保障上の懸念を真剣に受け止めて対処すべきであると常に主張してきた。 プーチン大統領は、ウガンダ側がNATOへの加盟を拒否し、中立を保つことが問題解決の最善策であると述べたとの報道があることに注目したい。 ウクライナ側、米国側、その他の関係者も、戦争に突入する意図はないとの見解を示している。 これは、ウクライナ問題の平和的解決に向けた希望が残されていることを示しています。 ベルをほどく必要がある。 我々は、すべての当事者が自制し、冷静さを保ち、安全保障の不可分の原則を実行することの重要性を認識し、対話の扉を閉じることを控え、交渉を通じて状況を緩和し、相違点を解決し、平和を維持するために協力することを約束することを希望する。
你刚才提到了武契奇总统的有关表态。我也注意到有不少人认为,在尊重别国主权和领土完整问题上,不应该有双重标准。很多人想问问美方,当年以美国为首的北约轰炸贝尔格莱德时,他们有没有尊重南联盟的主权和领土完整?当美国以莫须有的罪名对巴格达军事打击时,他们有没有尊重伊拉克的主权和领土完整?当美军无人机在喀布尔等地滥杀无辜时,他们有没有尊重阿富汗的主权和领土完整?当美国在世界各地到处煽动、策动“颜色革命”、干涉别国内政时,他们有没有尊重别国的主权和领土完整?希望美方严肃认真对待这个问题,摒弃双重标准。 ヴッチ大統領の発言についておっしゃいましたね。 また、他国の主権と領土保全を尊重することに関しては、二重基準があってはならないと多くの人が信じていることにも気づきました。 多くの人が米国側に質問したいのは、米国主導のNATOがベオグラードを爆撃したとき、彼らはユーゴスラビアの主権と領土保全を尊重しましたか? 米国がバグダッドに対して、切り詰められた容疑で軍事攻撃を開始したとき、彼らはイラクの主権と領土保全を尊重しましたか? 米国のドローンがカブールのような場所で無差別に無実の人々を殺したとき、彼らはアフガニスタンの主権と領土保全を尊重しましたか? 米国が「色の革命」を扇動し、扇動し、世界中の他の国の内政に干渉したとき、彼らは他の国の主権と領土保全を尊重しましたか? 米国側がこの問題を真剣に受け止め、二重基準を放棄することが望まれます。
路透社记者:中国表示新明斯克协议是解决乌克兰局势的唯一出路,然而俄罗斯总统普京称新明斯克协议已不复存在。中方对此有何评论? ロイター通信記者:中国は、新ミンスク合意がウクライナ情勢を打開する唯一の方法であると言いますが、ロシアのプーチン大統領は、新ミンスク合意はもはや存在しないとしています。 これに対して、中国はどのようなコメントを出しているのでしょうか。
华春莹:乌克兰问题演变到今天是各种因素共同作用的结果,其中与新明斯克协议迟迟未能得到有效执行密切相关。局势走到今天,我们依然希望各方保持克制,通过对话协商缓和事态,避免局势进一步升级。 華春瑩:今日のウクライナ問題の進展は、さまざまな要因が重なった結果であり、その中でも新ミンスク合意の効果的な実施の遅れが密接に関係しています。 このような状況になった以上、すべての当事者が自制し、対話と協議を通じて状況をデスカレートさせ、さらなるエスカレーションを回避することを、私たちは依然として望んでいます。
(责编:崔越、刘慧) (編集者:崔岳、劉慧)

 

● ドイツ

・2022.02.024 VideoBundeskanzler Scholz: „Ein düsterer Tag für Europa“

VideoBundeskanzler Scholz: „Ein düsterer Tag für Europa“ 動画 ショルツ連邦首相「欧州にとって暗い1日」。
Bundeskanzler Olaf Scholz hat den russischen Angriff auf die Ukraine scharf verurteilt. Dieser sei „ein eklatanter Bruch des Völkerrechts“ und durch nichts zu rechtfertigen, so der Kanzler. Er sprach von einem dunklen Tag für Europa – und kündigte weitere, harte Sanktionen an. Er forderte den russischen Präsidenten auf, seine Truppen vom Gebiet der Ukraine zurückzuziehen. ドイツのオラフ・ショルツ首相は、ロシアのウクライナへの攻撃を強く非難しました。これは「あからさまな国際法違反」であり、いかなる理由でも正当化できない、と首相は述べました。彼は、ヨーロッパにとって暗黒の日であると語り、さらに厳しい制裁措置を発表しました。ロシア大統領にウクライナ領土から軍隊を撤退させるよう求めました。

 

● フランス

・2022.02.24 Ukraine : le message du président de la République à la Nation

Ukraine : le message du président de la République à la Nation ウクライナ:大統領から国民へのメッセージ
Le président de la République s’est adressé aux Français quelques heures après le lancement de l'offensive militaire par la Russie. 共和国大統領は、ロシアによる軍事攻撃開始の数時間後、フランス国民に向けて演説を行いました。
Après avoir réuni un Conseil de Défense, le président de la République, Emmanuel Macron, s’est adressé aux Français ce jeudi au sujet de l’invasion russe en Ukraine. フランスのエマニュエル・マクロン大統領は、国防会議を招集した後、木曜日にロシアのウクライナ侵攻をテーマに演説を行いました。
Le président de la République a par ailleurs annoncé que des décisions seront prises cet après-midi lors du G7, ce soir à Bruxelles lors du Conseil européen, et dans les prochaines heures lors du sommet de l’Otan. Il reviendra par la suite vers les Français pour faire le point sur la situation. また、共和国大統領は、今日の午後にはG7で、今日の夜にはブリュッセルで欧州理事会で、そして数時間後にはNATO首脳会議で決定が下されると発表しました。その後、フランス国民のもとに戻り、状況を把握する予定です。
Le président de la République adressera, demain, un message au Parlement. 共和国大統領は明日、国会でメッセージを発表する予定です。

 

● 英国

・2022.02.24 Prime Minister's address to the nation on the Russian invasion of Ukraine: 24 February 2022

Speech スピーチ
Prime Minister's address to the nation on the Russian invasion of Ukraine: 24 February 2022 ロシアのウクライナ侵攻に関する首相演説:2022年2月24日
PM Boris Johnson gave an address to the nation on the Russian invasion of Ukraine. ボリス・ジョンソン首相が、ロシアのウクライナ侵攻について国民に向けた演説を行った。
Shortly after 4 o’ clock this morning I spoke to president Zelenskyy of Ukraine to offer the continued support of the UK 今朝4時過ぎ、私はウクライナのゼレンスキー大統領と話し、英国の継続的な支援を申し入れた。
because our worst fears have now come true and all our warnings have proved tragically accurate なぜなら、私たちが最も恐れていたことが現実になり、すべての警告が悲劇的に正確であることが証明されたからです。
President Putin of Russia has unleashed war in our European continent. He has attacked a friendly country without any provocation and without any credible excuse ロシアのプーチン大統領は、私たちのヨーロッパ大陸で戦争を解き放ちました。彼は友好国を挑発することなく、信頼できる口実もなく攻撃しました。
Innumerable missiles and bombs have been raining down on an entirely innocent population 無数のミサイルと爆弾が、全く罪のない人々に降り注いでいます。
A vast invasion is underway by land by sea and by air. 陸海空での大規模な侵攻が進行中です。
And this is not in the infamous phrase some faraway country of which we know little そしてこれは、私たちがほとんど知らない、どこか遠い国の悪名高いフレーズではなく
We have Ukrainian friends in this country; neighbours, co-workers この国にはウクライナの友人がいる。隣人であり、同僚である。
Ukraine is a country that for decades has enjoyed freedom and democracy and the right to choose its own destiny ウクライナは、何十年もの間、自由と民主主義、そして自らの運命を選択する権利を享受してきた国です。
We – and the world – cannot allow that freedom just to be snuffed out. We cannot and will not just look away. 私たちは、そして世界は、その自由をただ消し去ることを許すことはできません。私たちは、目をそらすことはできませんし、そらすつもりもありません。
It is because we have been so alarmed in recent months at the Russian intimidation that the UK became one of the first countries in Europe to send defensive weaponry to help the Ukrainians ここ数カ月、私たちはロシアの脅迫を憂慮し、英国はヨーロッパで最初にウクライナ人を助けるために防衛兵器を送ったのです。
Other allies have now done the same and we will do what more we can in the days ahead 他の同盟国も同じことをしており、私たちも今後、できる限りのことをしていくつもりです。
Today in concert with our allies we will agree a massive package of economic sanctions designed in time to hobble the Russian economy 今日、我々は同盟国と協力して、ロシア経済を停滞させるために計画された大規模な経済制裁のパッケージに合意する予定である。
And to that end we must also collectively cease the dependence on Russian oil and gas that for too long has given Putin his grip on western politics そして、そのためには、あまりにも長い間プーチンに西側政治を支配させてきたロシアの石油とガスへの依存を、一斉にやめなければなりません。
Our mission is clear 私たちの使命は明確です。
Diplomatically, politically, economically – and eventually, militarily – this hideous and barbaric venture of Vladimir Putin must end in failure 外交的、政治的、経済的、そして最終的には軍事的に、このプーチンの醜悪で野蛮な事業を失敗に終わらせなければなりません。
And so I say to the people of Russia, whose president has just authorised a tidal wave of violence against a fellow Slavic people そして私は、大統領が同じスラブ民族に対する暴力の津波を許可したロシアの人々に言いたいです。
The parents of Russian soldiers who will lose their lives. 命を落とすことになるロシア兵のご両親。
I cannot believe this is being done in your name or that you really want the pariah status it will bring to the Putin regime あなたの名前でこんなことが行われるなんて信じられないし、プーチン政権にもたらす亡国的地位を本当に望んでいるのですか?
and I say to the Ukrainians in this moment of agony そして、この苦悩の瞬間にいるウクライナの人々に言いたい。
we are with you we are praying for you and your families 私たちはあなた方とともに、あなた方とご家族のために祈っています。
and we are on your side そして私たちはあなたの味方です
And if the months ahead are grim, and the flame of freedom burns low この先、数ヶ月が険しく、自由の炎が低く燃えていたとしても
I know that it will blaze bright again in Ukraine 私は、ウクライナで再び明るく燃え上がることを知っています。
because for all his bombs and tanks and missiles I don’t believe that the Russian dictator will ever subdue the national feeling of the Ukrainians and their passionate belief that their country should be free 爆弾や戦車やミサイルを使っても、ロシアの独裁者がウクライナ人の国民感情や、自分たちの国は自由であるべきだという熱い信念を打ち負かすとは思えないからです。
and I say to the British people and all who have heard the threats from Putin against those who stand with Ukraine そして、プーチンからウクライナの側に立つ人々への脅迫を聞いた英国の人々やすべての人に言います。
we will of course do everything to keep our country safe もちろん、我が国の安全を守るためにあらゆる手段を講じます。
We are joined in our outrage by friends and allies around the world 私たちは、世界中の友人や同盟国によって、その怒りに加えられています。
We will work with them – for however long it takes – to ensure that the sovereignty and independence of Ukraine is restored ウクライナの主権と独立が回復されるよう、どんなに時間がかかろうとも、彼らと協力していきます。
because this act of wanton and reckless aggression is an attack not just on Ukraine なぜなら、この無謀な侵略行為は、ウクライナだけでなく
It is an attack on democracy and freedom in East Europe and around the world 東欧をはじめ、世界の民主主義と自由に対する攻撃だからです。
This crisis is about the right of a free, sovereign independent European people to choose their own future この危機は、自由で主権を持つ独立したヨーロッパの人々が、自分たちの未来を選択する権利に関わるものです。
and that is a right that the UK will always defend. そしてそれは、英国が常に守り続ける権利です。

 

| | Comments (0)

英国 NSCS ウクライナ問題でサイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべきと助言 (2022.02.22)

こんにちは、丸山満彦です。

24日になり、すでにロシアがウクライナの領土を侵害したという話もありますが、、、

=> プーチン大統領の発表(2022.02.24)

22日に英国のCNSCは、今後起こりうるロシアによるウクライナ領土の完全性に対する侵害を踏まえて、サイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべきと助言していましたね。。。

U.K. National Cyber Security Centre: NCSC

・2022.02.22 NCSC advises organisations to act following Russia’s further violation of Ukraine’s territorial integrity

NCSC advises organisations to act following Russia’s further violation of Ukraine’s territorial integrity 今後起こりうるロシアによるウクライナ領土の完全性に対する侵害に備えて組織は行動すべきとNCSCが助言 
Organisations should follow NCSC advice and act on improving their resilience with the cyber threat heightened サイバー脅威が高まる中、組織はNCSCのアドバイスに従い、レジリエンスの向上に取り組むべき
Following Russia’s further violation of Ukraine’s territorial integrity, the National Cyber Security Centre has called on organisations in the UK to bolster their online defences.< ロシアがウクライナの領土保全をさらに侵害したことを受けて、国立サイバーセキュリティセンターは、英国内の組織に対し、オンラインでの防御力を強化するよう呼びかけました。
The NCSC – which is a part of GCHQ – has urged organisations to follow its guidance on steps to take when the cyber threat is heightened. GCHQの一部であるNCSCは、サイバー脅威が高まったときに取るべき手順についてのガイダンスに従うよう、組織に呼びかけています。
While the NCSC is not aware of any current specific threats to UK organisations in relation to events in and around Ukraine, there has been an historical pattern of cyber attacks on Ukraine with international consequences. NCSCは、ウクライナおよびその周辺の出来事に関連して、英国の組織に対する現在の具体的な脅威については認識していませんが、ウクライナに対するサイバー攻撃は、国際的な影響を及ぼす歴史的なパターンがありました。
The guidance encourages organisations to follow actionable steps that reduce the risk of falling victim to an attack. 本ガイダンスでは、組織が攻撃の犠牲になるリスクを低減するための実行可能なステップに従うことを推奨しています。

 

1_20220224153701

 

 


 

ちなみに日本では経済産業省が注意喚起していますね・・・

 

経済産業省

・2022.02.23 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について注意喚起を行います

・[PDF] 昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

20220224-160848

 

金融庁

・2022.02.24 昨今の情勢を踏まえた金融機関におけるサイバーセキュリティ対策の強化について

 

対策の強化に加えて、


国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。

 不審な動きを把握した場合は、速やかに金融庁・財務(支)局の担当部署にご報告ください。


とのことです。。。

 

 

| | Comments (0)

ENISA CSIRT成熟度フレームワークの改訂

こんにちは、丸山満彦です。

ENISAがCSIRT成熟度フレームワークの改訂版を公表していますね。。。

ENISA

・2022.02.23 (press) CSIRTs Maturity: Moving to the Next Level

CSIRTs Maturity: Moving to the Next Level CSIRTの成熟度:次のレベルへ
The European Union Agency for Cybersecurity issues a new version of the CSIRT maturity framework to improve national CSIRTs capacity. 欧州連合サイバーセキュリティ機関は、各国のCSIRTの能力向上を目的としたCSIRT成熟度フレームワークの新バージョンを発行しました。

<data-diazo="news-body">The maturity framework released today builds upon the existing maturity framework developed in 2019 by the European Union Agency for Cybersecurity, ENISA, for the Cybersecurity Incident Response Teams (CSIRTs).
本日発表された成熟度フレームワークは、欧州連合サイバーセキュリティ庁(ENISA)が2019年に開発した、サイバーセキュリティ・インシデント・レスポンス・チーム(CSIRT)のための既存の成熟度フレームワークに基づいています。
The CSIRT maturity framework is used by the CSIRTs Network members to understand, maintain and improve their maturity. The framework is intended to contribute to the enhancement of cyber incident management capacity, with a focus on national CSIRTs. CSIRTの成熟度フレームワークは、CSIRTのネットワークメンバーがその成熟度を理解し、維持し、改善するために使用されます。このフレームワークは、各国のCSIRTに焦点を当て、サイバーインシデント管理能力の強化に貢献することを目的としています。
CSIRTs can therefore assess the level of their maturity thanks to the tailored assessment methodology developed by ENISA. CSIRTは、ENISAが開発した評価手法を用いて、自らの成熟度を評価することができます。
The new version of the maturity framework includes an additional parameter of Public Media Policy and the remaining 44 parameters of the Open CSIRT Foundation “SIM3” standard have been reviewed. SIM3 stands for Security Incident Management Maturity Model and has been in use since 2008 by the different CSIRT communities. ENISA uses this maturity standard as baseline for the framework it developed. The parameters consists of attributes relevant for the organisation, operation or functioning of a CSIRT and are classified into the following categories: organisational, human, tools and processes. 成熟度フレームワークの新バージョンでは、パブリックメディアポリシーのパラメータが追加され、オープンCSIRT財団の「SIM3」規格の残りの44のパラメータが見直されました。SIM3はSecurity Incident Management Maturity Modelの略で、2008年からさまざまなCSIRTコミュニティで使用されています。ENISAはこの成熟度基準を自分たちが開発したフレームワークのベースラインとして使用しています。パラメータは CSIRT の組織、運営、機能に関連する属性で構成されており、組織、人、ツール、プロセスの属性に分類されています。
In the EU, national CSIRTs are encouraged to develop their maturity on the basis of the ENISA CSIRT three-tier maturity approach, which is based on SIM3. EU では、各国の CSIRT は SIM3 をベースにした ENISA CSIRT の 3 段階の成熟度アプローチに基づいて成熟度を高めていくことが推奨されています。
The evolution of the framework also follows the necessity to meet the requirements of the Directive on Network and Information Security (NISD) on CSIRT capabilities and takes into account the proposed requirements relevant to CSIRTs foreseen in the revision of the NIS Directive. また、フレームワークの進化は、CSIRTの能力に関するネットワークと情報セキュリティに関する指令(NISD)の要件を満たす必要性に従っており、NIS指令の改訂で予見されたCSIRTに関連する提案された要件を考慮に入れています。
Also aimed at entities involved in the planning, building and leading of such capacities, the framework is also suitable for other type of CSIRTs such as from multinational or sectoral organisations, universities, hospitals or government agencies. また、このフレームワークは、このような能力の計画、構築、指導に携わる団体を対象としており、多国籍または部門別の組織、大学、病院、政府機関などの他のタイプのCSIRTにも適しています。
Background 背景
The activities of ENISA in support of the CSIRTs Network are provided for by the Cybersecurity Act. ENISA supports the cooperation of the network and provides secretariat services. The network supports members to improve the handling of cross-border incidents and the coordinated response to specific incidents. The CSIRTs Network is a network composed of EU Member States’ appointed CSIRTs and CERT-EU (“CSIRTs Network members”). The European Commission participates in the network as an observer. CSIRTネットワークを支援するENISAの活動は、サイバーセキュリティ法で規定されています。ENISAはネットワークの協力を支援し、事務局サービスを提供します。ネットワークは、国境を越えたインシデントへの対応や、特定のインシデントへの協調した対応を向上させるためにメンバーを支援しています。CSIRTネットワークは、EU加盟国が任命したCSIRTとCERT-EU(以下、CSIRTsネットワークメンバー)で構成されるネットワークです。欧州委員会は同ネットワークにオブザーバーとして参加しています。
The Directive on Security of Network and Information Systems (or NIS Directive) provides legal measures to boost the overall level of cybersecurity in the EU. The revised version proposes more stringent supervision measures and enforcement, including administrative sanctions, such as fines for breach of the cybersecurity risk management and reporting obligations. 「ネットワークと情報システムのセキュリティに関する指令(NIS指令)」は、EUにおけるサイバーセキュリティの全体的なレベルを高めるための法的措置を定めています。改訂版では、サイバーセキュリティのリスク管理と報告義務の違反に対する罰金などの行政処分を含む、より厳格な監督措置と執行を提案しています。
Further Information 関連情報
ENISA CSIRT Maturity Framework Updated & Improved – February 2022 ENISA CSIRT成熟度フレームワーク 更新・改良版 - 2022年2月
CSIRT maturity: Self-assessment tool CSIRTの成熟度を 自己評価ツール
CSIRT Capabilities and Maturity – ENISA topic CSIRTの能力と成熟度 - ENISAトピック
CSIRTs Network CSIRTネットワーク
CSIRTs by Country – Interactive Map 国別CSIRT - インタラクティブマップ

 

・2022.02.23 ENISA CSIRT Maturity Framework - Updated and improved

ENISA CSIRT Maturity Framework - Updated and improved ENISA CSIRT 成熟度フレームワーク - 更新・改良版
This document presents the updated and improved version of ENISA’s Computer Security Incident Response Teams (CSIRT) Maturity Framework that is intended to contribute to the enhancement of the capacity to manage cyber incidents, with a focus on national CSIRTs. この文書は、ENISAのコンピュータ・セキュリティ・インシデント・レスポンス・チーム(CSIRT)の成熟度フレームワークの更新された改良版を示しています。このフレームワークは、各国のCSIRTに焦点を当てて、サイバーインシデントを管理する能力の強化に貢献することを目的としている。

・[PDF

20220224-132831

目次です...

EXECUTIVE SUMMARY エグゼクティブ・サマリー
1. INTRODUCTION 1. 序論
1.1 DEPRECATION STATEMENT 1.1 廃止の声明
2. ENISA CSIRT MATURITY FRAMEWORK 2. ENISA CSIRT 成熟度フレームワーク
2.1 3.1 SECURITY INCIDENT MANAGEMENT MATURITY MODEL (SIM3) 2.1 3.1 セキュリティ・インシデント管理成熟度モデル(SIM3)
2.2 CSIRT MATURITY STEPS – THREE-TIER APPROACH 2.2 csirt の成熟度ステップ - 3 層アプローチ
2.3 3.3 ASSESSMENT METHODOLOGY 2.3 3.3 評価方法
3. CONCLUDING REMARKS 3. 結びの言葉
4. REFERENCES 4. 参考文献
5. APPENDICES 5. 添付資料
5.1 APPENDIX A: FAQ 5.1 附属書A:よくあるご質問
5.2 APPENDIX B: COMMENTS ON ALIGNMENT TO CYBERSECURITY STRATEGY AND NIS2 DIRECTIVE 5.2 附属書B:サイバーセキュリティ戦略とNIS2指令との整合性に関するコメント
5.3 APPENDIX C: UPDATE OF THREE-TIER MATURITY APPROACH AND SIM3 STANDARD 5.3 附属書C:3層成熟度アプローチとSIM3規格の更新

 

EXECUTIVE SUMMARY  要旨 
The ENISA CSIRT Maturity Framework is intended to contribute to the enhancement of the global capacity to manage cyber incidents, with a focus on CSIRTs. Cyber incidents and developments are inherently transnational and effective responses depend on transnational collaboration. The establishment of national CSIRTs[1] is an essential step to facilitate the building of cyber capacity both within and across nations and make it more effective. The ENISA CSIRT Maturity Framework is aimed at parties involved in planning, building and leading such capacities with a concrete focus to increase maturity of all CSIRTs in the CSIRTs Network[2].   ENISA CSIRT成熟度フレームワークは、CSIRTに焦点を当て、サイバーインシデントを管理する世界的な能力の向上に貢献することを目的としています。サイバーインシデントとその発展は本質的に国境を越えたものであり、効果的な対応は国境を越えた協力関係に依存します。国家のCSIRT[1]の設立は、国家内および国家間のサイバー能力の構築を促進し、より効果的なものにするために不可欠なステップです。ENISA CSIRT成熟度フレームワークは、CSIRTネットワーク[2]内のすべてのCSIRTの成熟度を高めることに具体的に焦点を当て、そのような能力の計画、構築、指導に携わる関係者を対象としています。 
The ENISA CSIRT Maturity Framework is built on three pillars:   ENISA CSIRT成熟度フレームワークは3つの柱で構成されています。 
1.     the well-established OCF SIM3[3] standard;  1. 確立されたOCF SIM3[3]規格。
2.     the ENISA three-tier maturity approach: a series of three pre-defined steps that can be used as a guideline for the steps to be taken to increase maturity, complete with practical guidance on how to work with the Maturity Framework at different phases – from pre-establishment to advanced levels of maturity;  2. ENISAの3層成熟度アプローチ:成熟度を高めるために取るべきステップのガイドラインとして使用できる、事前に定義された3つのステップのシリーズであり、成熟度の事前確立から高度なレベルまで、さまざまな段階で成熟度フレームワークをどのように扱うかについての実践的なガイダンスを含んでいます。
3.     the ENISA assessment methodology: self-assessment and peer-reviews applied in the CSIRTs Network.   3. ENISAの評価方法:CSIRTsネットワークに適用される自己評価とピアレビュー。 
It is important to recognise that the framework is not intended to be prescriptive but is meant to support and stimulate national efforts on building and improving the capacity to respond to cyber incidents. However, the steps to maturity that have been defined are based on extensive experience and expertise in the CSIRT community and offer valuable guidance for national CSIRTs with regards to the level of quality to which they aspire. The CSIRT Maturity Framework combines previous models that have been widely recognised and adopted.   このフレームワークは規定を目的としたものではなく、サイバーインシデントへの対応能力の構築と向上に関する各国の取り組みを支援し、刺激することを目的としていることを認識することが重要であります。しかし、定義された成熟度へのステップは、シーサートコミュニティの豊富な経験と専門知識に基づいており、各国のシーサートが目指す品質レベルに関して貴重なガイダンスを提供しています。CSIRT 成熟度フレームワークは、広く認知され採用されている以前のモデルを組み合わせたものです。 
In this document the updated and improved version of the Framework is presented. This includes changes to all three pillars mentioned above.  このドキュメントでは、フレームワークの更新された改良版を紹介する。これには、上記の3つの柱すべてに対する変更が含まれています。
1.     Some aspects of SIM3 have been improved upon, and brought up to date – leading to a strong recommendation to OCF[4] to include these in any new drafts of the SIM3 standard.  1.     SIM3 のいくつかの側面が改善され、最新の状態になりました。これにより、OCF[4]に対して、SIM3 標準の新しいドラフトにこれらを含めるように強く推奨します。
2.     The three-tier maturity approach has remained the same as regards terminology, including the terms Basic, Intermediate and Advanced. However the demands on those three steps have been upgraded, in line with the development of the maturity of the CSIRTs Network in the past four years while also reflecting the changing landscape of the NIS Directive[5].  2.     3段階の成熟度アプローチは、基本、中級、上級という用語を含め、用語に関しては変わっていません。しかし、過去 4 年間の CSIRT ネットワークの成熟度の発展に合わせ、また NIS 指令[5]の変化を反映して、これら 3 つのステップに対する要求はアップグレードされました。
3.     The self-assessment and peer-review system received a complete overhaul, with indepth guidance, which is expected to not only make this process easier to work with, but also lead to higher quality and more consistent results.  3.     自己評価とピアレビューのシステムを全面的に見直し、詳細なガイダンスを導入しました。これにより、このプロセスが作業しやすくなるだけでなく、より高品質で一貫性のある結果が得られることが期待されます。

 

[1] The term ‘National CSIRT’ is more closely defined later in the report.
[2] https://www.enisa.europa.eu/topics/csirts-in-europe/csirts-network
[3] http://opencsirt.org/wp-content/uploads/2019/12/SIM3-mkXVIIIc.pdf
[4] https://opencsirt.org/
[5] https://digital-strategy.ec.europa.eu/en/library/revised-directive-security-network-and-information-systems-nis2



Continue reading "ENISA CSIRT成熟度フレームワークの改訂"

| | Comments (0)

Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

こんにちは、丸山満彦です。

Cloud Security Alliance がブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察を公表していますね。。。

 

Cloud Security Alliance (CSA)

・2022.02.16 Blockchain/Distributed Ledger Technology (DLT) Risk and Security Considerations

Blockchain/Distributed Ledger Technology (DLT) Risk and Security Considerations ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察
There is no shortage of guidance on how to design, configure and deploy Fabric solutions. This paper provides insights into how the three layers of blockchain technology interact with enterprise security services to deliver specific security outcomes. This holistic approach does not shy away from the hard work of operating production blockchain networks within computer networks constrained by critical sector requirements, such as security accreditation, PCI DSS segmentation, etc. These insights offer a method that can help organizations to deploy DLT solutions that are secure, cost-effective, and meet regulatory and compliance requirements for organizations. It also provides recommendations for Hyperledger Fabric that could be applied to other permissioned blockchains. ファブリックソリューションの設計、設定、導入方法に関するガイダンスには事欠きません。本稿では、ブロックチェーン技術の3つの層が企業のセキュリティサービスとどのように相互作用し、特定のセキュリティ成果をもたらすかについての洞察を提供します。この全体的なアプローチは、セキュリティ認定、PCI DSSセグメンテーションなど、重要なセクターの要件に制約されたコンピュータネットワーク内で本番用ブロックチェーンネットワークを運用するというハードワークを敬遠するものではありません。これらの洞察は、安全で費用対効果が高く、組織の規制・コンプライアンス要件を満たすDLTソリューションの展開に役立つ手法を提供しています。また、他の許可制ブロックチェーンにも適用可能なHyperledger Fabricに対する提言も行っています。

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220224-102600

 

 

Continue reading "Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)"

| | Comments (0)

日本のサイバーセキュリティ関連の研究開発状況。。。NISC 研究開発戦略専門調査会第18回会合

こんにちは、丸山満彦です。

NISCの研究開発戦略専門調査会第18回会合の資料が公開されていますね。。。サイバーセキュリティ分野における日本の研究開発状況についての絶望的な状況がわかりますね。。。(暗号は一定の存在感があるとなっていますが。。。これは辻井先生、今井先生等の指導が大きいのかもしれませんね。。。)(資料1のP3-P7あたり)

20220224-44916

アジアでは、中国はもちろんですが、韓国に対しても大差をつけられている感じで、ほとんど存在していないも当然の状況ですね。。。

将来に向けた応用研究(すぐには金にならない、当たるか外れるかもわからないようなもの)については日本は予算がつきにくいのでしょうかね。。。国としての財力がそこまでないということなんでしょうね。。。と考えると、サイバーセキュリティ分野における日本の今後の研究開発というのは、国の産業として発展させるくらいの思いがないと発展は難しいのかもしれませんね。。。

各国もサイバーセキュリティ戦略の中で、技術開発(産業育成)についても触れていますが、国家の安全保障に大きな影響を及ぼすものだからなんでしょうね。。。

日本って、社会全体が、実務界が(特に大学の)学者を世間知らずと馬鹿にし、学者も実務家を遠ざけているところってないですかね。。。このあたりうまく融合しないと、日本発の新しい産業って難しいのかもしれませんね。。。

博士(Doctor)に対する尊敬度って海外と日本で大きな差があるように昔から感じています。。。

 

また、海外人材を広く受け入れる(研究者だけでなく)素地が社会にないと、日本人だけで産業を起こすみたいな話になって、難しいでしょうね。。。

 

NISC

・2022.02.22 研究開発戦略専門調査会第18回会合を開催

・[PDF] 議事次第 

・[PDF] 資料1(事務局資料)今後の研究開発課題の検討について 

・[PDF] 資料2(有識者資料)我が国のサイバーセキュリティ研究開発力の強化に向けて 

・[PDF] 資料3(有識者資料)ハードウェアセキュリティ実現に向けた種々の課題 

・[PDF] 参考資料(事務局資料)「サイバーセキュリティ戦略」(抜粋) 

 

資料2(有識者資料)我が国のサイバーセキュリティ研究開発力の強化に向けて はNICTの盛合さんの発表資料のようですが、興味深いです。

P3の

ーーーーーー

⚫ 高騰するサイバーセキュリティ情報
✓ 国内のデータが海外に流れ、海外で分析
✓ 海外で生成された脅威情報を高額で購入

ーーーーーー

はまさにその通りですね。。。データが十分にないから分析する能力も十分に育たないという。。。その背景にはこれまでの、(ハードと違い)中間管理職が情報の価値を理解できない(応用する力がない)ので市場が育ってなかったということがあるかもしれませんね。。。応用的な分析能力は一朝一夕には育たないですからね、これからもしばらくは大変かもしれません。。。

データを集める仕組み+データを分析できる能力の開発、、、そして、その得られた情報を応用できる能力ですね。。。

 


英国のサイバーセキュリティ産業の規模については、、、

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.23 英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2022年版

2021.02.25 英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2021年版

 

 


■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 

 

| | Comments (0)

NIST SP 1800-30 遠隔医療リモート患者モニタリングエコシステムの保護

こんにちは、丸山満彦です。

NIST が遠隔患者監視エコシステムのセキュリティ確保に関するガイドラインとして、SP 1800-30 Securing Telehealth Remote Patient Monitoring Ecosystem を公開していますね・・・

NIST - ITL - Computer Security Resource Center

・2022.02.22 SP 1800-30 Securing Telehealth Remote Patient Monitoring Ecosystem

 

Abstract 概要
Increasingly, healthcare delivery organizations (HDOs) are relying on telehealth and remote patient monitoring (RPM) capabilities to treat patients at home. RPM is convenient and cost-effective, and its adoption rate has increased. However, without adequate privacy and cybersecurity measures, unauthorized individuals may expose sensitive data or disrupt patient monitoring services 医療機関では、在宅で患者を治療するために、テレヘルスや遠隔患者監視(RPM)機能を利用するケースが増えています。RPMは利便性と費用対効果に優れており、その導入率は高まっています。しかし、適切なプライバシーおよびサイバーセキュリティ対策を講じなければ、権限のない者によって機密データが漏洩したり、患者モニタリングサービスが妨害されたりする可能性があります。
RPM solutions engage multiple actors as participants in patients’ clinical care. These actors include HDOs, telehealth platform providers, and the patients themselves. Each participant uses, manages, and maintains different technology components within an interconnected ecosystem, and each is responsible for safeguarding their piece against unique threats and risks associated with RPM technologies. RPMソリューションには、患者の臨床ケアに参加する複数のアクターが関わっています。これらの関係者には、HDO、遠隔医療プラットフォームプロバイダー、そして患者自身が含まれます。それぞれの関係者は、相互に接続されたエコシステムの中で、異なるテクノロジーコンポーネントを使用、管理、維持しており、RPMテクノロジーに関連する固有の脅威やリスクから作品を保護する責任を負っています。
This practice guide assumes that the HDO engages with a telehealth platform provider that is a separate entity from the HDO and patient. The telehealth platform provider manages a distinct infrastructure, applications, and set of services. The telehealth platform provider coordinates with the HDO to provision, configure, and deploy the RPM components to the patient home and assures secure communication between the patient and clinician. この実践ガイドでは、HDOが、HDO及び患者とは別の事業体である遠隔医療プラットフォームプロバイダーと契約することを想定しています。遠隔医療プラットフォーム提供者は、別個のインフラストラクチャ、アプリケーション、および一連のサービスを管理する。遠隔医療プラットフォーム提供者は、HDO と連携して RPM コンポーネントのプロビジョニング、設定、および患者宅への配備を行い、患者と臨床医の間の安全な通信を保証します。
The NCCoE analyzed RPM ecosystem risk factors by applying methods described in the NIST Risk Management Framework. The NCCoE also leveraged the NIST Cybersecurity Framework, NIST Privacy Framework, and other relevant standards to identify measures to safeguard the ecosystem. In collaboration with healthcare, technology, and telehealth partners, the NCCoE built an RPM ecosystem in a laboratory environment to explore methods to improve the cybersecurity of an RPM. NCCoEは、NISTリスクマネジメントフレームワークに記載されている方法を適用して、RPMエコシステムのリスク要因を分析しました。また,NIST Cybersecurity Framework,NIST Privacy Framework,およびその他の関連規格を活用して,エコシステムを保護するための手段を特定しました.NCCoE は,医療,技術,遠隔医療のパートナーと協力して,実験室環境に RPM のエコシステムを構築し,RPM のサイバーセキュリティを向上させる方法を検討しました。
Technology solutions alone may not be sufficient to maintain privacy and security controls on external environments. This practice guide notes the application of people, process, and technology as necessary to implement a holistic risk mitigation strategy. 外部環境におけるプライバシーとセキュリティの管理を維持するためには、技術的な解決策だけでは十分でない場合があります。この実践ガイドでは、全体的なリスク軽減戦略を実施するために必要な、人、プロセス、技術の適用について言及しています。
This practice guide’s benefits include helping organizations assure the confidentiality, integrity, and availability of an RPM solution, enhancing patient privacy and limiting HDO risk when implementing an RPM solution. この実践ガイドの利点は、RPM ソリューションの機密性、完全性、および可用性を保証し、患者のプライバシーを強化し、RPM ソリューションを実装する際の HDO リスクを制限することです。

 

・[PDF] SP 1800-30

20220223-143338

 

内容を読むのは、PDFよりも、下のWebを見る方が読みやすいかもしれませんね。。。

Supplemental Material:

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.08 NIST SP 1800-30 (ドラフト)遠隔医療リモート患者モニタリングエコシステムの保護(第2ドラフト)

・2020.11.17 NIST パブコメ SP 1800-30 (Draft) Securing Telehealth Remote Patient Monitoring Ecosystem 遠隔患者監視エコシステムのセキュリティ確保

 

 

 

Continue reading "NIST SP 1800-30 遠隔医療リモート患者モニタリングエコシステムの保護"

| | Comments (0)

OECD AIシステム分類のためのOECDフレームワーク

こんにちは、丸山満彦です。

OECDが、AIシステム分類のためのOECDフレームワークを公表していますね。。。

OECD - Library

・2022.02.22 OECD Framework for the Classification of AI systems 

OECD Framework for the Classification of AI systems OECD AIシステムの分類のためのフレームワーク
As artificial intelligence (AI) integrates all sectors at a rapid pace, different AI systems bring different benefits and risks. In comparing virtual assistants, self-driving vehicles and video recommendations for children, it is easy to see that the benefits and risks of each are very different. Their specificities will require different approaches to policy making and governance. To help policy makers, regulators, legislators and others characterise AI systems deployed in specific contexts, the OECD has developed a user-friendly tool to evaluate AI systems from a policy perspective. It can be applied to the widest range of AI systems across the following dimensions: People & Planet; Economic Context; Data & Input; AI model; and Task & Output. Each of the framework's dimensions has a subset of properties and attributes to define and assess policy implications and to guide an innovative and trustworthy approach to AI as outlined in the OECD AI Principles. 人工知能(AI)があらゆる分野を急速なスピードで統合していく中で、異なるAIシステムは異なるメリットとリスクをもたらす。仮想アシスタント、自動運転車、子供向けビデオ推薦を比較すると、それぞれのメリットとリスクが大きく異なることが容易に理解できる。それらの特異性から、政策立案やガバナンスにも異なるアプローチが必要になる。政策立案者、規制当局、立法者などが、特定の文脈で展開されるAIシステムの特徴を把握できるように、OECDは、政策の観点からAIシステムを評価するための使いやすいツールを開発した。これは、以下の次元で最も広範なAIシステムに適用することができる。人と地球、経済的文脈、データと入力、AIモデル、そしてタスクと出力。フレームワークの各次元は、OECD AI原則に概説されているように、政策的意味を定義し評価し、AIへの革新的で信頼できるアプローチを導くための特性と属性のサブセットを持っている。

 

・[PDF

20220824-14609

 

エグゼクティブサマリー...

Executive summary  エグゼクティブサマリー 
The OECD Framework for the Classification of AI Systems helps assess policy opportunities and challenges   OECDのAIシステム分類のためのフレームワークは、政策の機会と課題を評価するのに役立つ  
AI changes how people learn, work, play, interact and live. As AI spreads across sectors, different types of AI systems deliver different benefits, risks and policy and regulatory challenges. Consider the differences between a virtual assistant, a self-driving vehicle and an algorithm that recommends videos for children.  AIは、人々の学び方、働き方、遊び方、交流の仕方、生き方を変える。AIが各分野に広がるにつれ、異なるタイプのAIシステムが異なる便益、リスク、政策・規制上の課題をもたらす。バーチャルアシスタント、自動運転車、子供向けのビデオを推奨するアルゴリズムなどの違いを考えてみよう。
The OECD developed a user-friendly framework for policy makers, regulators, legislators and others to characterise AI systems for specific projects and contexts. The framework links AI system characteristics with the OECD AI Principles (OECD, 2019), the first set of AI standards that governments pledged to incorporate into policy making and promote the innovative and trustworthy use of AI.    OECDは、政策立案者、規制当局、立法者などが、特定のプロジェクトやコンテクストのためにAIシステムを特徴付けるための使いやすいフレームワークを開発した。このフレームワークは、AIシステムの特性を、各国政府が政策決定に取り入れることを約束した最初のAI基準であるOECD AI原則(OECD, 2019)と関連付け、AIの革新的で信頼できる利用を促進する。  
Ways to use the framework   フレームワークの利用方法  
The framework allows users to zoom in on specific risks that are typical of AI, such as bias, explainability and robustness, yet it is generic in nature. It facilitates nuanced and precise policy debate. The framework can also help develop policies and regulations, since AI system characteristics influence the technical and procedural measures they need for implementation. In particular, the framework provides a baseline to:  このフレームワークは、バイアス、説明可能性、頑健性など、AIに典型的に見られる特定のリスクにズームインすることができ、しかも汎用的なものである。ニュアンスに富んだ的確な政策論議を促進することができる。また、AIシステムの特性は、その実施に必要な技術的・手続き的措置に影響を与えるため、フレームワークは政策や規制の策定にも役立つ。特に、このフレームワークは以下のようなベースラインを提供する。
•  Promote a common understanding of AI: Identify features of AI systems that matter most, to help governments and others tailor policies to specific AI applications and help identify or develop metrics to assess more subjective criteria (such as well-being impact).   ・AIに対する共通理解の促進:最も重要なAIシステムの特徴を特定し、政府や他の機関が特定のAIアプリケーションに合わせた政策を行い、より主観的な基準(幸福への影響など)を評価するための指標を特定または開発するのに役立てることができる。 
•  Inform registries or inventories: Help describe systems and their basic characteristics in inventories or registries of algorithms or automated decision systems.  ・レジストリやインベントリに情報を提供する。アルゴリズムや自動化された意思決定システムのインベントリやレジストリにおいて,システムやその基本的な特性を説明するのに役立つ。
•  Support sector-specific frameworks: Provide the basis for more detailed application or domainspecific catalogues of criteria, in sectors such as healthcare or in finance.   ・分野別フレームワークを支援する。ヘルスケアや金融などのセクターにおいて、より詳細なアプリケーションやドメイン固有の基準のカタログのための基礎を提供する。
•  Support risk assessment: Provide the basis for related work to develop a risk assessment framework to help with de-risking and mitigation and to develop a common framework for reporting about AI incidents that facilitates global consistency and interoperability in incident reporting.  ・リスク評価を支援する。リスク評価フレームワークを開発し,リスクの除去や軽減に役立てる。また、AIインシデントに関する報告のための共通フレームワークを開発し,インシデント報告におけるグローバルな一貫性と相互運用性を促進する。
•  Support risk management: Help inform related work on mitigation, compliance and enforcement along the AI system lifecycle, including as it pertains to corporate governance.   ・リスクマネジメントを支援する。コーポレートガバナンスに関連するものを含め,AIシステムのライフサイクルに沿った緩和,コンプライアンス,執行に関する関連作業への情報提供を支援する。
Key dimensions structure AI system characteristics and interactions   AIシステムの特性および相互作用の主要な次元の構造  
The framework classifies AI systems and applications along the following dimensions: People & Planet, Economic Context, Data & Input, AI Model and Task & Output. Each one has its own properties and attributes or sub-dimensions relevant to assessing policy considerations of particular AI systems.   このフレームワークは、AIシステムとアプリケーションを以下の次元に沿って分類している。「人と地球」「経済的文脈」「データと入力」「AIモデル」「タスクと出力」。それぞれは、特定のAIシステムの政策的考察を評価するのに関連する独自の特性や属性、または下位次元を有している。 
•  People & Planet: This considers the potential of applied AI systems to promote human-centric, trustworthy AI that benefits people and planet. In each context, it identifies individuals and groups that interact with or are affected by an applied AI system. Core characteristics include users and impacted stakeholders, as well as the application’s optionality and how it impacts human rights, the environment, well-being, society and the world of work.   人と地球:人と地球のためになる、人間中心で信頼できるAIを促進するための、応用AIシステムの可能性を検討する。各コンテキストにおいて、応用AIシステムと相互作用する、あるいは応用AIシステムの影響を受ける個人とグループを特定する。コアとなる特性には、ユーザーや影響を受けるステークホルダーのほか、アプリケーションのオプション性、人権、環境、福祉、社会、仕事の世界にどのような影響を与えるかが含まれる。
•  Economic Context: This describes the economic and sectoral environment in which an applied AI system is implemented. It usually pertains to an applied AI application rather than to a generic AI system, and describes the type of organisation and functional area for which an AI system is developed. Characteristics include the sector in which the system is deployed (e.g. healthcare, finance, manufacturing), its business function and model; its critical (or non-critical) nature; its deployment, impact and scale, and its technological maturity.   経済的コンテクスト:応用AIシステムが実装される経済的、部門的環境を説明する。通常、一般的なAIシステムよりも応用的なAIアプリケーションに関係し、AIシステムが開発される組織の種類と機能領域を記述する。特徴としては、システムが導入される分野(医療、金融、製造など)、ビジネス機能およびモデル、重要性(または非重要性)、展開、影響、規模、技術的成熟度などが挙げられる。
•  Data & Input: This describes the data and/or expert input with which an AI model builds a representation of the environment. Characteristics include the provenance of data and inputs, machine and/or human collection method, data structure and format, and data properties. Data & Input characteristics can pertain to data used to train an AI system (“in the lab”) and data used in production (“in the field”).   データ及び入力:AIモデルが環境の表現を構築するためのデータおよび/または専門家の入力について説明する。データおよび入力の出所、機械および/または人の収集方法、データの構造と形式、およびデータの特性などが含まれる。データと入力の特性は、AIシステムのトレーニングに使用されるデータ(「ラボ内」)と生産現場で使用されるデータ(「現場」)に関連することがある。 
•  AI Model: This is a computational representation of all or part of the external environment of an AI system – encompassing, for example, processes, objects, ideas, people and/or interactions that take place in that environment. Core characteristics include technical type, how the model is built (using expert knowledge, machine learning or both) and how the model is used (for what objectives and using what performance measures).   AIモデル:これは、AIシステムの外部環境のすべてまたは一部を計算で表現したもので、例えば、プロセス、オブジェクト、アイデア、人、および/またはその環境で行われる相互作用などを含んでいる。コアとなる特性には、技術的なタイプ、モデルの構築方法(専門家の知識、機械学習、またはその両方を使用)、モデルの使用方法(どんな目的のために、どんな性能指標を使用するか)などがある。 
•  Task & Output: This refers to the tasks the system performs, e.g. personalisation, recognition, forecasting or goal-driven optimisation; its outputs; and the resulting action(s) that influence the overall context. Characteristics of this dimension include system task(s); action autonomy; systems that combine tasks and actions like autonomous vehicles; core application areas like computer vision; and evaluation methods.  タスクとアウトプット:これは、システムが実行するタスク(パーソナライズ、認識、予測、目標駆動型最適化など)、そのアウトプット、および全体のコンテキストに影響を与える結果のアクション(複数可)を指する。この次元の特徴としては、システムタスク、行動の自律性、自律走行車のようにタスクと行動を組み合わせたシステム、コンピュータビジョンのようなコアアプリケーション分野、評価方法などが挙げられる。
Applicability of the framework to AI “in the lab” versus “in the field”  「ラボ内」AIと「現場」AIへのフレームワークの適用性 
Some criteria of the framework are more applicable to AI “in the field” contexts than AI “in the lab” contexts, and vice versa. AI “in the lab” refers to the AI system’s conception and development, before deployment. It is applicable to the Data & Input (e.g. qualifying the data), AI Model (e.g. training the initial model) and Task & Output dimensions (e.g. for a personalisation task) of the framework. It is particularly relevant to ex ante risk-management approaches and requirements.  AI “in the field” refers to the use and evolution of an AI system after deployment and is applicable to all the dimensions. It is relevant to ex post riskmanagement approaches and requirements.   フレームワークのいくつかの基準は、「ラボ内」AIのコンテキストよりも「現場」AIのコンテキストに適用可能であり、その逆もまた然りである。「ラボ内」AIは、AIシステムの構想や開発、配備の前の段階を指する。これは、フレームワークのデータ&インプット(例:データの検証)、AIモデル(例:初期モデルのトレーニング)、タスク&アウトプット(例:パーソナライズタスク)の各次元に適用されるものである。特に、事前のリスクマネジメントのアプローチと要件に関連している。 「現場」AIとは、配備後のAIシステムの使用と進化を指し、すべての次元に適用可能である。これは、事後的なリスク管理のアプローチと要件に関連する。 
Classification and the AI system lifecycle   分類とAIシステムのライフサイクル  
The AI system lifecycle can serve as a complementary structure for understanding the key technical characteristics of a system. The lifecycle encompasses the following phases that are not necessarily sequential: planning and design; collecting and processing data; building and using the model; verifying and validating; deployment; and operating and monitoring (OECD, 2019d[1]). The dimensions of the OECD Framework for the Classification of AI Systems can be associated with stages of the AI system lifecycle to identify a dimension’s relevant AI actors, which is relevant to accountability.  AIシステムのライフサイクルは、システムの主要な技術的特性を理解するための補完的な構造として機能することができる。ライフサイクルは、計画・設計、データの収集・処理、モデルの構築・使用、検証・妥当性確認、展開、運用・監視という必ずしも連続的ではない段階を包含する(OECD, 2019d[1] )。OECDのAIシステム分類の枠組みの次元は、AIシステムのライフサイクルの段階と関連付けることで、説明責任に関連する次元のAIアクターを特定することができる。

 

目次...

Executive summary エグゼクティブサマリー
Acknowledgements 謝辞
1 Overview and goal of the framework 1 フレームワークの概要と目標
Link between the classification and actors in the AI system lifecycle 分類とAIシステムライフサイクルのアクターとの関連性
Other important scoping considerations その他の重要なスコーピングの考慮事項
2 Classification framework 2 分類フレームワーク
People & Planet 人と地球
Economic Context 経済的コンテクスト
Data & Input データ&インプット
AI Model AIモデル
Task & Output タスクとアウトプット
3 Applying the framework 3 フレームワークの適用
Applying the framework to real-world systems with expert and survey input 専門家と調査のインプットを用いて、フレームワークを実世界のシステムに適用する
System 1: Credit-scoring system システム1:クレジットスコアリングシステム
System 2: AlphaGo Zero システム2: AlphaGo Zero
System 3: Qlector.com LEAP system to manage a manufacturing plant システム3: 製造工場を管理するQlector.com LEAPシステム
System 4: GPT-3 システム4:GPT-3
4 Next steps 4 次のステップ
Refining classification criteria based on real-world evidence 実世界のエビデンスに基づく分類基準の精緻化
Tracking AI incidents AIインシデントの追跡
Developing a risk assessment framework リスク評価フレームワークの開発
Annex A. Sample AI applications by sector, ordered by diffusion 附属書A. AIアプリケーションの分野別サンプル(普及度順)
Annex B. AI adoption per industry 附属書B. 産業ごとのAI導入状況
Annex C. WG CAI membership 附属書C. WG CAIのメンバー
Annex D. Participants in the public consultation 附属書D. パブリックコンサルテーションの参加者

 


■ 参考

OECDの「人工知能に関する理事会勧告」

OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 

 

 

| | Comments (0)

半導体製造業界:SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様 ・ SEMI E188 - マルウェアフリー機器統合のための仕様

こんにちは、丸山満彦です。

SEMI[wikipedia]から、ファブ装置のサイバーセキュリティに関する仕様と、マルウェアフリー機器統合のための仕様が発表されていますね。。。標準は有料です。

 

SEMI (en) (jp)

・2022.01.22 SEMI E187 - Specification for Cybersecurity of Fab Equipment

SEMI E187 - Specification for Cybersecurity of Fab Equipment SEMI E187 - ファブ装置のサイバーセキュリティに関する仕様
Abstract 概要
This Standard defines overarching and fundamental cybersecurity requirements as a baseline to secure semiconductor fab equipment by design and support security protection in operation and maintenance. 本標準は、設計により半導体製造装置を保護し、運用及び保守においてセキュリティ保護を支援するためのベースラインとして、包括的かつ基本的なサイバーセキュリティ要件を定義しています。
This Standard intends to be applied by entities who provide equipment or services to semiconductor fabrication plants such as equipment suppliers and system integrators. 本標準は、装置供給者及びシステムインテグレータのような半導体製造工場に装置又はサービスを提供する主体によって適用されることを意図しています。
This Standard addresses required measures for cybersecurity in the design, operation, and maintenance of semiconductor production equipment and automated material handling system. 本標準は、半導体製造装置及び自動搬送システムの設計、運用及び保守におけるサイバーセキュリティのための要求される対策に対応するものです。
This Standard provides fundamental requirements in the following aspects: 本標準は、以下の側面における基本的な要求事項を規定します。
・Operating system (OS) support, ・オペレーティングシステム(OS)の支援
・Network security, ・ネットワークセキュリティ
・Endpoint protection, and ・エンドポイントプロテクション
・Security monitoring. ・セキュリティ監視
This Standard applies to computing devices of fab equipment, which are installed with Microsoft Windows® or Linux® operating system. 本標準は、Microsoft Windows® または Linux® OS を搭載したファブレス機器のコンピューティングデバイスに適用されます。
This Standard does not apply to computing devices of programmable logic controllers (PLCs), supervisory control and data acquisition (SCADA), and devices connected to them via sensor-actuator networks. プログラマブルロジックコントローラ(PLC)、監視制御およびデータ収集(SCADA)、 ならびにセンサ・アクチュエータネットワークを介してそれらに接続される機器のコンピューティングデバイスには適用されません。
Referenced SEMI Standards (purchase separately) 参考となる SEMI 標準(別売)
SEMI E169 — Guide for Equipment Information System Security SEMI E169 - 機器情報システムセキュリティのためのガイド

 

マルウェア対策...

・2022.02.22 SEMI E188 - Specification for Malware Free Equipment Integration

SEMI E188 - Specification for Malware Free Equipment Integration SEMI E188 - マルウェアフリーに感染しない機器統合に関する仕様
Abstract 概要
The nature of semiconductor manufacturing supply chains requires standards for mitigating potential threats. By preventing the introduction of external threats into the manufacturing ecosystem, device manufacturers and equipment suppliers will benefit from clear mutual expectations and improved equipment reliability and uptime. 半導体製造のサプライチェーンの性質上、潜在的な脅威を軽減するための標準が必要です。製造エコシステムへの外部からの脅威の侵入を防ぐことにより、デバイスメーカーと装置サプライヤーは、相互の期待を明確にし、装置の信頼性とアップタイムを向上させるという利益を得ることができます。
This Standard provides a framework for how to mitigate the propagation of malware to manufacturing facilities during capital equipment delivery and support activities. 本標準は、資本的設備の納入および支援活動中に、製造施設にマルウェアが伝播することを緩和する方法の枠組みを提供します。
This Standard addresses the required measures for information security in manufacturing equipment delivery, installation, and support activities over the course of the manufacturing equipment life cycle within semiconductor manufacturing facilities. 本標準は、半導体製造施設内の製造装置のライフサイクルの中で、製造装置の納入、設置、支援活動において求められる情報セキュリティの対策について述べています。
This Standard defines protection systems and processes that ensure the integrity of manufacturing equipment, specifically defining the requirements for: 本標準は、製造装置の完全性を確保するための保護システム及びプロセスを定義するものであり、具体的には以下の要件を定義しています。
・Controlling access to manufacturing equipment via networks, removable media, etc. ・ネットワーク、リムーバブルメディアなどを介した製造装置へのアクセス制御。
・Manufacturing equipment installation ・製造装置の設置
・Manufacturing equipment upgrade and support tasks ・製造装置のアップグレードおよび支援作業
・Manufacturing equipment restoration, such as hard disk drives (HDD) or computer component replacement ・ハードディスクドライブ(HDD)やコンピュータ部品の交換など、製造装置の復旧作業
This Standard applies to equipment suppliers, equipment users, and hardware and software component suppliers. This Standard applies to any computing device (e.g., computers, controllers, programmable logic controllers [PLCs], etc.). 本標準は、機器供給者、機器使用者、ハードウェアおよびソフトウェア部品供給者に適用されます。本基準は、あらゆる計算機(コンピュータ、コントローラ、プログラマブルロジックコントローラ[PLC]など) に適用されます。
This Standard applies to any computing devices and systems located in a manufacturing facility used in the production of semiconductors. This includes process, metrology, and material handling equipment. Computing devices provided by the factory, such as manufacturing execution system (MES), material control system MCS, Host Systems etc., are excluded from this Standard. 本標準は、半導体の製造に使用される製造施設に設置されるあらゆるコンピューティングデバイスおよびシステムに適用されます。これには、プロセス機器、計測機器、マテハン機器が含まれます。製造実行システム(MES)、材料管理システム(MCS)、ホストシステムなど、工場が提供するコンピューティングデバイスは、この標準から除外されています。
Referenced SEMI Standards (purchase separately) 参考となる SEMI 標準(別売)
None. なし

 

SEMI - Blog (EN)

・2022.01.31 SEMI Taiwan Sets Out to Help Secure Chip Manufacturing Supply Chain with Publication of First Fab Equipment Cybersecurity Specification

 

Fig1_20220404150901

 


 

2022.04.04 追記

SEMI - Blog (jp)

・2022.03.13 半導体製造サプライチェーンの安全確保の支援-ファブ設備に関するサイバーセキュリティ規格が出版

 

 

 

| | Comments (0)

公安調査庁 経済安全保障に関する啓発のためにYouTube広告を配信します

こんにちは、丸山満彦です。

公安調査庁が、経済安全保障に関する啓発のためにYouTube広告を配信していますね。。。

内容としては日本の先端技術情報が敵対的な国に
不正に取得され、軍事利用等をされ、日本国の安全が脅かされるので、先端技術情報の保護をしっかりしましょう!」という感じのビデオのように感じました。。。(企業等の経済的な影響も触れられていますが。。。)

 

公安調査庁

・2022.02.22 経済安全保障に関する啓発のためにYouTube広告を配信します

ビデオ自体は昨年4月にアップされたものです。。。

・2021.04.14 [Youtube]【日本語字幕】「経済安全保障の確保に向けて~技術・データの流出防止~」(本編)

20220224-55749

 

・2021.04.14 [Youtube]【字幕なし】「経済安全保障の確保に向けて~技術・データの流出防止~」(本編))

 

Youtube

公安調査庁YouTube公式チャンネル

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.20 公安調査庁 内外情勢の回顧と展望(令和4年版)

・2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

・2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

| | Comments (0)

2022.02.23

英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2022年版

こんにちは、丸山満彦です。

英国政府(デジタル・文化・メディア・スポーツ省)が「サイバーセキュリティセクター分析2022」を公表していますね。。。

サイバーセキュリティセクターの市場規模(セキュリティ企業の収入)は101億ポンド(1.6兆円)で、14%増加ですね。。。状況で大きな成長を遂げたとありますね。。。

  • 英国のサイバーセキュリティ業界の雇用は、昨年に比べて13%増加し、約52,700人分となった。
  • 英国のサイバーセキュリティ企業数は、昨年に比べて24%増加し、1,838社となった。
  • 英国のサイバーセキュリティ分野の市場規模は、昨年に比べて14%増加し、101億ポンド(1.6兆円)となった
  • 英国のサイバーセキュリティ分野に10億ポンド(1,560億円)の投資を呼び込んだ

 

ちなみに昨年(2021年)版は、

  • 英国のサイバーセキュリティ業界の雇用は、昨年に比べて9%増加し、約46,700人分となった。
  • 英国のサイバーセキュリティ企業数は、昨年に比べて21%増加し、1,483社となった。
  • 英国のサイバーセキュリティ分野の市場規模は、昨年に比べて7%増加し、89億ポンド(1.3兆円)となった
  • 英国のサイバーセキュリティ分野に8億ポンド(1,100億円)の投資を呼び込んだ

サイバーセキュリティ業界は世の中の緊張度が高まれば大きくなってきますね。。。いずれサイバーセキュリティ業界も防衛業界的になってくるんでしょうかね。。。


U.K. Department for Digital, Culture, Media & Sport

・2022.02.17 (press) Record levels of investment for UK's £10.1 billion cyber security sector

Record levels of investment for UK's £10.1 billion cyber security sector+B3:C29 英国では101億ポンド規模となったサイバー・セキュリティ分野への投資は記録的な水準
Revenue generated by cyber security firms rose by 14 per cent to £10.1 billion サイバーセキュリティ企業の収益は14%増の101億ポンドに
Department for Digital, Culture, Media & Sport and The Rt Hon Nadine Dorries MP デジタル・文化・メディア・スポーツ省とナディーン・ドリース議員(Rt Hon Nadine Dorries)のコメント
UK-registered cyber firms raised more than £1 billion external investment in 84 deals 英国に登録しているサイバー企業が84件の取引で10億ポンド以上の外部投資を調達
More than 6,000 new jobs added to the UK’s 50,000-strong cyber workforce 英国の5万人のサイバー人材に6,000人以上の新規雇用が加わる
Britain’s tech sector continues to break records as new government data shows more than 1,800 cyber security firms generated a total of £10.1 billion in revenue in the most recent financial year, a 14 per cent increase from the previous financial year. 英国のハイテク部門は記録を更新し続けています。政府の新しいデータによると、直近の会計年度において、1,800社以上のサイバーセキュリティ企業が合計で101億ポンドの収益を上げており、これは前の会計年度から14%の増加となっています。
The DCMS Annual Cyber Sector Report, which tracks the growth and performance of the UK’s cyber security industry, reveals the sector contributed around £5.3 billion to the UK economy in 2021, rising by a third on the previous year from £4 billion - the largest increase since the report began in 2018. 英国のサイバーセキュリティ業界の成長と業績を追跡するDCMSの年次サイバーセクターレポートでは、2021年に同セクターが英国経済に貢献した金額は約53億ポンドで、前年の40億ポンドから3分の1に増加し、2018年のレポート開始以来最大の増加となったことが明らかになりました。
Employment across the industry rose by 13 per cent, with more than 6,000 new jobs created, opening up new opportunities for people up and down the UK to join the sector and share its wealth. This brings the total number of people working in cyber in the UK to 52,700. 業界全体の雇用は13%増加し、6,000人以上の新規雇用が創出され、英国内外の人々がこのセクターに参加し、その富を共有するための新たな機会が生まれました。これにより、英国でサイバー関連の仕事をしている人の総数は52,700人となりました。
There were 1,838 active cyber security firms in the UK in 2021. More than half are based outside of London and the South East, with cyber security showing growth in the North East and East Midlands. The report highlights this move could be a result of remote working increasing regional opportunities. 2021年に英国で活動しているサイバーセキュリティ企業は1,838社。半分以上がロンドンと南東部以外に拠点を置いており、サイバーセキュリティは北東部とイーストミッドランズで成長を見せています。報告書では、このような動きは、リモートワークによって地域的な機会が増えた結果であるとしています。
UK-registered cyber security firms attracted record levels of external investment, with more than £1 billion secured across 84 deals by companies including Bristol-based Immersive Labs, which raised £53.5 million, and London-headquartered Tessian which secured more than £52 million in funding. 英国で登録されたサイバーセキュリティ企業は、記録的な水準の外部投資を集め、ブリストルに本社を置くImmersive Labs社は5,350万ポンドを調達し、ロンドンに本社を置くTessian社は5,200万ポンド以上の資金を確保するなど、84件の取引で10億ポンド以上の資金を確保しました。
Digital Secretary Nadine Dorries said: デジタル長官のNadine Dorriesは次のように述べています。
Cyber security firms are major contributors to the UK’s incredible tech success story. サイバーセキュリティ企業は、英国の素晴らしい技術サクセスストーリーに大きく貢献しています。
Hundreds of British firms from Edinburgh to Bristol are developing and selling cutting-edge cyber tools around the world that make it safer for people to live and work online. エディンバラからブリストルまで、何百社もの英国企業が最先端のサイバーツールを開発し、世界中で販売しており、人々のオンラインでの生活や仕事をより安全なものにしています。
We are investing in skills training and business initiatives to help the UK go from strength to strength as a global cyber power and open up the sector to people from all walks of life. 私たちは、英国がグローバルなサイバーパワーとして力を発揮し、この分野をあらゆる人々に開放するために、スキルトレーニングやビジネスイニシアチブに投資しています。
Over the last decade, the UK has established itself as a leader in areas including network security, threat monitoring and professional services which has contributed to the sector’s double digit growth last year. 過去10年間で、英国はネットワークセキュリティ、脅威モニタリング、プロフェッショナルサービスなどの分野でリーダーとしての地位を確立し、昨年の2桁成長に貢献しました。
Almost 300 UK-headquartered cyber security firms have offices in international markets, with 56 per cent offering their products and services in the United States and 46 per cent exporting to the European Union. 英国に本社を置くサイバーセキュリティ企業のうち、約300社が国際市場にオフィスを構えており、56%が米国、46%が欧州連合に製品やサービスを提供しています。
The UK attracted a number of foreign companies, with US-headquartered companies representing one in ten UK-based cyber companies, highlighting the importance of US-UK collaboration in this area to support the UK’s economic growth. 英国には多くの外国企業が進出しており、米国に本社を置く企業は英国のサイバー企業の10社に1社を占めています。この結果は、英国の経済成長を支えるこの分野での米英の協力関係の重要性を強調するものです。
The findings come as Digital Minister Julia Lopez addresses the CyberASAP demo day today. The event gives UK academics the opportunity to showcase innovative new cyber security products to potential buyers. この結果は、ジュリア・ロペス・デジタル大臣が本日開催されたCyberASAPデモデイで講演したものです。このイベントは、英国の大学関係者が革新的な新しいサイバーセキュリティ製品を潜在的な購買者に紹介する機会を提供するものです。
Vicky Brock CEO and co-founder of Vistalworks said: Vistalworks社のCEO兼共同設立者であるヴィッキー・ブロックは、次のように述べています。
Vistalworks was originally founded in response to a Scottish government innovation challenge to find innovative technology solutions to online illicit trade. Vistalworksは、オンライン不正取引に対する革新的な技術的解決策を見つけるというスコットランド政府のイノベーションチャレンジに応えて設立されました。
As we’ve grown, working closely with our government agency and cyber security stakeholders has remained incredibly important. 私たちが成長するにつれ、政府機関やサイバーセキュリティの関係者と密接に協力することが非常に重要になってきました。
The Cyber Runway Scale programme has enabled us to reach new public and private sector contacts, including contracts with banks and enforcement, and has helped us develop the skills and awareness we need to take our intelligence solutions to new markets and partners across the rest of the UK and beyond. サイバー・ランウェイ・スケール・プログラムは、銀行や警察との契約など、官民の新たなコンタクトを可能にし、当社のインテリジェンス・ソリューションを英国内外の新たな市場やパートナーに提供するために必要なスキルと認識を深めるのに役立っています」。
Lorna Armitage, co-founder, CAPSLOCK said: CAPSLOCK社の共同創業者であるLorna Armitage氏は、次のように述べています。
The support of Plexal and government-funded programmes like Cyber Runway has enabled CAPSLOCK to accelerate our growth from a young startup in 2020 to the ‘most innovative cyber security SME of 2021’, as named by DCMS. Plexal社とCyber Runwayのような政府助成プログラムの支援により、CAPSLOCK社は2020年の若いスタートアップから、DCMSに選ばれた「2021年の最も革新的なサイバーセキュリティ中小企業」へと成長を加速することができました。
Our relationship with Plexal has given us a great platform to talk about our commitment to promoting equality and diversity in the cyber security industry. For example, we spoke to fellow Cyber Runway members about the challenges faced by female co-founders and women in cyber. Plexal社との関係は、サイバーセキュリティ業界における平等性と多様性を促進するという当社の取り組みを語る上で、素晴らしいプラットフォームを提供してくれました。例えば、サイバーランウェイのメンバーに、女性の共同創業者やサイバー業界の女性が直面する課題について話しました。
The government’s National Cyber Strategy is supporting UK firms to grow and scale up through a number of schemes including the National Cyber Security Centre Startups and CyberFirst bursary schemes, the London Office for Rapid Cyber security Advancement, and the Cyber Runway programme which helps entrepreneurs and businesses access a range of services to turn their ideas into commercial successes. 政府の国家サイバー戦略では、国立サイバーセキュリティセンターのスタートアップスやサイバーファーストの奨学金制度、サイバーセキュリティを迅速に推進するためのロンドンオフィス、起業家や企業がアイデアを商業的に成功させるためのさまざまなサービスを利用できるようにするサイバーランウェイプログラムなど、数多くの制度を通じて英国企業の成長と規模拡大を支援しています。
The Department for Digital, Culture, Media and Sport has launched a number of skills initiatives including the Cyber Explorers youth programme and skills bootcamps. It is boosting careers in the cyber workforce by supporting new apprenticeship standards and helping to standardise the professional cyber security landscape with the new UK Cyber Security Council. デジタル・文化・メディア・スポーツ省は、青少年向けプログラム「Cyber Explorers」やスキルブートキャンプなど、さまざまなスキル向上のための取り組みを開始しました。デジタル文化メディアスポーツ省は、若者向けプログラム「Cyber Explorers」や「Skills bootcamps」など、さまざまなスキル向上のための取り組みを行っています。

 

報告書は、

こちらがWebで読みやすいです。。。

・2022.02.18 (Research and analysis) Cyber security sectoral analysis 2022

PDFはこちら

・[PDF]

20220222-223542

 

1 Introduction 1 はじめに
2 Profile of the UK Cyber Security Sector 2 英国のサイバーセキュリティ分野の概要
3 Location of Cyber Security Firms (UK) 3 サイバー・セキュリティ企業の所在地(英国)
4 Economic Contribution of the UK Cyber Security Sector 4 英国のサイバーセキュリティ部門の経済的貢献
5 Investment in the UK Cyber Security Sector 5 英国のサイバーセキュリティ分野への投資
6 Government Support for the Cyber Security Sector 6 サイバーセキュリティ分野に対する政府の支援

 

過去の報告書

・2021.02.18 Cyber Security Sectoral Analysis 2021

・[PDF] Cyber Security Sectoral Analysis 2021

20210225-05122

 

Continue reading "英国政府 英国のサイバーセキュリティ業界の規模等に関する報告書2022年版"

| | Comments (0)

2022.02.22

個人情報保護委員会 令和4年4月1日 改正個人情報保護法対応チェックポイント

こんにちは、丸山満彦です。

個人情報保護員会が、令和4年4月1日の改正個人情報保護法対応チェックポイントを公開していますね。。。大胆にバサッと!

最近の個人情報保護委員会は、マンガやこういう冊子を使っての普及に上手に対応しているようですね。。。今回は中小企業向けに重点ポイントをまとめたものになります。

 

個人情報保護委員会

・2022.02.18 改正個人情報保護法対応チェックポイント

・[PDF]

20220222-184601

まずはここから

  • 万が一に備え漏えい等報告・本人通知の手順を整備しましょう
  • 個人データを外国の第三者へ提供しているか確認しましょう
  • 安全管理措置を公表する等本人の知り得る状態に置きましょう

あわせて、、、

  • 保有個人データを棚卸し、開示請求等に備えましょう
  • 個人情報を不適正に利用していないか確認しましょう
  • 個人関連情報の利用状況や提供先を確認しましょう

 

 

| | Comments (0)

米国 CISA Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている (2022.02.16)

こんにちは、丸山満彦です。

ロシアとウクライナ問題は、フランスやドイツが間に入って、調整をしながら落ち着くべきところに落ち着くのでしょうかね。。。弱い市民の命に影響がでなければよいのですが。。。

さて、CISAからは、16日に次のようなアラートが上がっていましたね。。。

● CISA

・2022.02.16 Alert (AA22-047A) Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology

Alert (AA22-047A) Russian State-Sponsored Cyber Actors Target Cleared Defense Contractor Networks to Obtain Sensitive U.S. Defense Information and Technology Alert (AA22-047A) ロシアの国家支援を受けたサイバーアクターが、機密性の高い米国の防衛情報および技術を入手するために、許可を受けた防衛請負業者のネットワークを標的にしている
Summary 概要
From at least January 2020, through February 2022, the Federal Bureau of Investigation (FBI), National Security Agency (NSA), and Cybersecurity and Infrastructure Security Agency (CISA) have observed regular targeting of U.S. cleared defense contractors (CDCs) by Russian state-sponsored cyber actors. The actors have targeted both large and small CDCs and subcontractors with varying levels of cybersecurity protocols and resources. These CDCs support contracts for the U.S. Department of Defense (DoD) and Intelligence Community in the following areas: 少なくとも2020年1月から2022年2月にかけて、連邦捜査局(FBI)、国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ庁(CISA)は、ロシアの国家支援を受けたサイバーアクターが、米国の許可を受けた防衛請負業者(CDC)を定期的に標的にしていることを確認しました。これらの行為者は、サイバーセキュリティプロトコルやリソースのレベルが異なる大規模なCDCと下請け業者の両方を標的としています。これらのCDCは、米国国防総省(DoD)および情報機関のために、以下の分野の契約をサポートしています。
・Command, control, communications, and combat systems; ・司令部、制御部、通信部、および戦闘システム。
・Intelligence, surveillance, reconnaissance, and targeting; ・諜報、監視、偵察、およびターゲティング
・Weapons and missile development; ・兵器・ミサイルの開発
・Vehicle and aircraft design; and ・車両・航空機の設計、および
・Software development, data analytics, computers, and logistics.  ・ソフトウェア開発、データ分析、コンピュータ、ロジスティクス 
Historically, Russian state-sponsored cyber actors have used common but effective tactics to gain access to target networks, including spearphishing, credential harvesting, brute force/password spray techniques, and known vulnerability exploitation against accounts and networks with weak security. These actors take advantage of simple passwords, unpatched systems, and unsuspecting employees to gain initial access before moving laterally through the network to establish persistence and exfiltrate data.  歴史的に見て、ロシアの国家支援を受けたサイバーアクターは、セキュリティが脆弱なアカウントやネットワークに対して、スピアフィッシング、クレデンシャルハーベスティング、ブルートフォース/パスワードスプレー技術、既知の脆弱性の利用など、一般的だが効果的な戦術を用いてターゲットネットワークへのアクセスを獲得してきました。これらの行為者は、単純なパスワード、パッチが適用されていないシステム、無防備な従業員などを利用して、最初のアクセスを獲得した後、ネットワークを横切って移動し、持続性を確立してデータを盗み出します。 
In many attempted compromises, these actors have employed similar tactics to gain access to enterprise and cloud networks, prioritizing their efforts against the widely used Microsoft 365 (M365) environment. The actors often maintain persistence by using legitimate credentials and a variety of malware when exfiltrating emails and data. 多くの不正アクセスの試みにおいて、これらのアクターは、企業やクラウドのネットワークにアクセスするために同じような戦術を採用しており、広く利用されているMicrosoft 365(M365)環境に対して優先的に取り組んでいます。また、電子メールやデータを盗み出す際には、正規の認証情報やさまざまなマルウェアを使用することで、持続的な活動を行っています。
These continued intrusions have enabled the actors to acquire sensitive, unclassified information, as well as CDC-proprietary and export-controlled technology. The acquired information provides significant insight into U.S. weapons platforms development and deployment timelines, vehicle specifications, and plans for communications infrastructure and information technology. By acquiring proprietary internal documents and email communications, adversaries may be able to adjust their own military plans and priorities, hasten technological development efforts, inform foreign policymakers of U.S. intentions, and target potential sources for recruitment. Given the sensitivity of information widely available on unclassified CDC networks, the FBI, NSA, and CISA anticipate that Russian state-sponsored cyber actors will continue to target CDCs for U.S. defense information in the near future. These agencies encourage all CDCs to apply the recommended mitigations in this advisory, regardless of evidence of compromise. このような継続的な侵入により、行為者は、機密性の高い未格付けの情報や、CDC独自の輸出規制技術を取得しています。取得された情報は、米国の兵器プラットフォームの開発・配備のスケジュール、車両の仕様、通信インフラや情報技術の計画などに関する重要な情報です。敵対者は、独自の内部文書や電子メールのやり取りを入手することで、自らの軍事計画や優先順位を調整したり、技術開発を急がせたり、米国の意図を外国の政策立案者に伝えたり、潜在的な人材確保の対象としたりすることができます。未分類のCDCネットワークで広く利用できる情報の機密性を考えると、FBI、NSA、CISAは、近い将来、ロシアの国家支援を受けたサイバーアクターが米国の防衛情報を求めてCDCを標的にし続けるだろうと予想しています。これらの機関は、侵害の証拠があるかどうかにかかわらず、すべてのCDCがこの勧告で推奨されている緩和策を適用することを推奨しています。
For additional information on Russian state-sponsored cyber activity, see CISA's webpage, Russia Cyber Threat Overview and Advisories. ロシアの国家主導のサイバー活動についての詳細は、CISAのウェブページ「Russia Cyber Threat Overview and Advisories」を参照してください。
Click here for a PDF version of this report. 本報告書のPDF版はこちらを参照。
Actions to Help Protect Against Russian State-Sponsored Malicious Cyber Activity: ロシア国家が支援する悪意のあるサイバー活動からの保護を支援するための行動。
• Enforce multifactor authentication. ・多要素認証を実施する。
• Enforce strong, unique passwords. ・強力でユニークなパスワードを使用する。
• Enable M365 Unified Audit Logs. ・M365 Unified Audit Logsを有効にする。
• Implement endpoint detection and response tools. ・エンドポイント検出・応答ツールの導入

 

 

Fig1_20210731004501

| | Comments (0)

NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

こんにちは、丸山満彦です。

NATO CCDCOEからおよそ隔月で最近のサイバー事件 (Recent Cyber Event) が発刊されているのですが、今年の1月(No.14)は2021年の振り返りで、テーマは、

→ ランサムウェアの脅威
→ サプライチェーンセキュリティ
→ スパイウェアの輸出規制

でした。。。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.01 Recent Cyber Events: Considerations for Military and National Security Decision Makers

 

Recent Cyber Events: Considerations for Military and National Security Decision Makers 最近のサイバー事件。軍事・国家安全保障の意思決定者が考えるべきこと
2021 was an exciting year from a cybersecurity and cyber defence perspective. After dealing with the Solarwinds breach at the beginning of the year, the world experienced a series of serious ransomware incidents, in some cases causing disturbances to essential services. We also saw governments expressing their commitment to protecting critical services and to responding forcefully to nations carrying out malicious cyber operations or allowing criminals to do so. 2021年は、サイバーセキュリティやサイバーディフェンスの観点から見て、エキサイティングな年でした。年初にSolarwinds社の情報漏えい事件が発生した後、世界中で深刻なランサムウェア事件が相次ぎ、場合によっては重要なサービスに支障をきたすこともありました。また、各国政府が重要なサービスを保護し、悪意のあるサイバー操作を行っている国や犯罪者を許している国に対して、強力に対応することを表明しています。
While impossible to cover all these developments in a brief report, we will take this opportunity to reflect on three important topics: ransomware, software supply chain security and spyware. Perhaps looking at these from a little distance will help us see the larger picture and allow us to prepare better for the future. 短い報告書の中でこれらの動きをすべて網羅することは不可能ですが、この機会に、ランサムウェア、ソフトウェアサプライチェーンセキュリティ、スパイウェアという3つの重要なトピックについて考えてみたいと思います。これらを少し離れたところから見てみることで、全体像を把握し、将来に向けてより良い準備をすることができるかもしれません。
Malicious cyber activity has grown substantially over the past two years while the world has been learning how to keep turning with the omnipresent pandemic. One particular malware category, ransomware, made headlines frequently in 2021, partly because the operations were increasingly targeting high-value targets. この2年間、悪質なサイバー活動は大幅に増加しており、その間、世界は遍在するパンデミックに対応するための方法を学んできました。2021年には、ランサムウェアという特定のマルウェアカテゴリーが頻繁に見出しを飾ったが、その理由の一つは、操作の対象が高価値のターゲットになってきたことです。
The concerns and confusion over the security of the software supply chain triggered by the Solarwinds incident in December 2020 expanded in 2021. A number of investigations, analyses and follow-up measures related to the incident have been made but the effects were still being felt in May, six months after it first became public, when the US CISA released detailed guidance on how to evict Solarwinds-related malicious code, recommending blocking internet access for three to five days. 2020年12月に発生したSolarwinds社の事件をきっかけに、ソフトウェアのサプライチェーンのセキュリティに対する懸念や混乱が2021年に拡大しました。この事件に関連する多くの調査、分析、フォローアップ措置が行われましたが、その影響は、最初に公表されてから半年後の5月に、米国CISAがSolarwinds関連の悪意のあるコードを退治する方法についての詳細なガイダンスを発表し、インターネットへのアクセスを3~5日間ブロックすることを推奨したことからもうかがえます。
Over the last year, off-the-shelf spyware has made its way onto the communication devices of journalists, political leaders activists and it has also been a topic in the news. Even though the pace at which it has evolved on the desks of regulators has been slower, both the EU and US are tightening export controls to kerb the misuse and propagation of spyware. The revelations and developments of 2021 once again show that spyware is a concern for cybersecurity as much as it is for privacy. 昨年来、既製品のスパイウェアがジャーナリストや政治家、活動家の通信機器に入り込み、ニュースの話題にもなっています。規制当局の机の上で進化するスピードは遅くなったものの、EUと米国はスパイウェアの悪用と伝播を防ぐために輸出規制を強化しています。2021年の発表と進展は、スパイウェアがプライバシーと同様にサイバーセキュリティ上の懸念事項であることを改めて示しています。

 

・[PDF]

20220222-05044

 

 


 

過去分も含めて...

# Issue Title PDF
14 2022.01 Recent Cyber Events: Considerations for Military and National Security Decision Makers PDF
13 2021.11 Recent Cyber Events No 13/ November 2021 PDF
12 2021.09 Recent Cyber Events No 12/ September 2021 PDF
11 2021.06 Recent Cyber Events No 11/ June 2021 PDF
10 2021.05 Recent Cyber Events No 10 / May 2021 PDF
9 2021.03 Recent Cyber Events No 9 / March 2021 PDF
8 2021.01 Recent Cyber Events and Possible Implications for Armed Forces #8 PDF
7 2020.11 Recent Cyber Events and Possible Implications for Armed Forces #7 PDF
6 2020.10 Recent Cyber Events and Possible Implications for Armed Forces #6 PDF
5 2020.09 Recent Cyber Events and Possible Implications for Armed Forces #5 PDF
4 2020.07 Recent Cyber Events and Possible Implications for Armed Forces #4 PDF
3 2020.06 Recent Cyber Events and Possible Implications for Armed Forces #3 PDF
2 2020.05 Recent Cyber Events and Possible Implications for Armed Forces #2 PDF
1 2020.04 Recent Cyber Events and Possible Implications for Armed Forces #1 PDF

 


 

ソフトウェアさプレイチェーンの特集だったNo10だけ取り上げていましたね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.09 NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」

| | Comments (0)

NATO CCDCOE 「国家サイバーセキュリティ戦略策定のためのガイド」第2版 (2021.11)

こんにちは、丸山満彦です。

昨年の11月にNATO CCECOEから「国家サイバーセキュリティ戦略策定のためのガイド」第2版が公開されていたんですね。。。

ITU、欧州評議会、マイクロソフト、世界銀行等が参加していますね。。。Dig4では、Deloitteが参加していますね。。。

 

The NATO Cooperative Cyber Defence Centre of Excellence

・2021.11 2nd Edition of the Guide to developing a National Cybersecurity Strategy

2nd Edition of the Guide to developing a National Cybersecurity Strategy 「国家サイバーセキュリティ戦略策定のためのガイド」第2版
The 2nd, revised Guide to Developing a National Cybersecurity Strategy, published in November 2021, results from a unique multistakeholder collaboration tapping into the knowledge, experience, and expertise of more than 20 international, industry and academic organisations in the field of national cybersecurity strategies and policies, including the ITU, Council of Europe, Microsoft, World Bank, several international security policy think tanks active in the field, and a number of regional intergovernmental organisations. CCDOE’s participation in the effort builds on its decade-worth of research on national cybersecurity strategies; the Centre’s experts led the Guide’s work stream on international cooperation and its publications are included among the Guide’s reference materials. The Guide provides a reference framework to support countries’ ongoing efforts to design, adopt, implement, and update a comprehensive national cybersecurity strategy. It was published in November 2021 and is available on a dedicated website. 2021年11月に発行された第2版「国家サイバーセキュリティ戦略策定ガイド」は、ITU、欧州評議会、マイクロソフト、世界銀行、この分野で活躍する複数の国際安全保障政策シンクタンク、多数の地域政府間組織など、国家サイバーセキュリティ戦略・政策の分野で活躍する20以上の国際機関、産業界、学術団体の知識、経験、専門性を活用した、ユニークなマルチステークホルダー・コラボレーションから生まれたものです。また、CCDOEの専門家は、国際協力に関するガイドのワークストリームを主導し、CCDOEの出版物はガイドの参考資料に含まれています。本ガイドは、包括的な国家サイバーセキュリティ戦略を設計、採用、実施、更新する各国の継続的な取り組みを支援するための参考フレームワークを提供しています。2021年11月に発行され、専用ウェブサイトで公開されています。

 

重点7分野が書いています。。。

 FA1 Governance  FA1 ガバナンス
 FA2 Risk management in national cybersecurity  FA2 国家のサイバーセキュリティにおけるリスク管理
 FA3 Preparedness and resilience  FA3 準備と回復力(Preparedness and resilience
 FA4 Critical Infrastructure services and essential services  FA4 重要インフラサービスと必須サービス
 FA5 Capability and capacity building and awareness raising  FA5 能力、キャパシティビルディング、意識向上
 FA6 Legislation and Regulation  FA6 立法と規制
 FA7 International Cooperation  FA7 国際協力

なるほどね。。。

 

・[PDF] Strategic Engagement in Cybersecurity - Guide to Developing a National Cybersecurity Strategy - Strategic Engagement in Cybersecurity - 2nd Edition 2021

20220221-234102

目次

1 Document Overview 1 文書の概要
1.1 Purpose 1.1 目的
1.2 Scope 1.2 範囲
1.3 Overall structure and usage of the Guide 1.3 ガイドの全体構成と使用方法
1.4 Target audience 1.4 対象者
2 Introduction 2 はじめに
2.1 What is cybersecurity 2.1 サイバーセキュリティとは
2.2 Benefits of a National Cybersecurity Strategy and strategy development process 2.2 国家サイバーセキュリティ戦略の利点と戦略策定プロセス
3 Lifecycle of a National Cybersecurity Strategy 3 国家サイバーセキュリティ戦略のライフ・サイクル
Introduction はじめに
3.1 Phase I: Initiation 3.1 フェーズI:開始
3.1.1 Identifying the Lead Project Authority 3.1.1 主任プロジェクト機関の特定
3.1.2 Establishing a Steering Committee 3.1.2 運営委員会の設立
3.1.3 Identifying stakeholders to be involved in the development of the Strategy 3.1.3 戦略の策定に関与すべきステークホルダーの特定
3.1.4 identifying human and financial resources 3.1.4 人的資源及び財政的資源の特定
3.1.5 Planning the development of the Strategy 3.1.5 ストラテジーの開発計画
3.2 Phase II: Stocktaking and analysis 3.2 フェーズⅡ:ストックテイキングと分析
3.2.1 Assessing the national cybersecurity landscape 3.2.1 国のサイバーセキュリティの状況の評価
3.2.2 Assessing the cyber-risk landscape 3.2.2 サイバーリスクの状況を評価する
3.3 Phase III: Production of the National Cybersecurity Strategy 3.3 フェーズIII:国家サイバーセキュリティ戦略の作成
3.3.1 Drafting the National Cybersecurity Strategy 3.3.1 国家サイバーセキュリティ戦略の起草
3.3.2 Consulting with a broad range of national, regional and international stakeholders 3.3.2 国内、地域、国際的な利害関係者との幅広い協議
3.3.3 Seeking formal approval 3.3.3 正式な承認を求める
3.3.4 Publishing and promoting the Strategy 3.3.4 戦略の発表と促進
3.4 Phase IV: Implementation 3.4 フェーズⅣ:実施
3.4.1 Developing the action plan 3.4.1 行動計画の策定
3.4.2 Determining initiatives to be implemented 3.4.2 実施すべきイニシアティブの決定
3.4.3 Allocating human and financial resources for the implementation 3.4.3 実施のための人的及び財政的資源の割り当て
3.4.4 Setting timeframes and metrics 3.4.4 タイムフレームと評価基準の設定
3.5 Phase V: Monitoring and evaluation 3.5 フェーズV:モニタリングと評価
3.5.1 Establishing a formal process 3.5.1 正式なプロセスの確立
3.5.2 Monitoring the progress of the implementation of the Strategy 3.5.2 戦略の実施の進捗状況のモニタリング
3.5.3 Evaluating the outcomes of the Strategy 3.5.3 ストラテジーの成果の評価
4 Overarching Principles 4 全体的な原則
Introduction はじめに
4.1 Vision 4.1 ビジョン
4.2 Comprehensive approach and tailored priorities 4.2 包括的なアプローチと個別の優先事項
4.3 Inclusiveness 4.3 包括性
4.4 Economic and social prosperity 4.4 経済的・社会的繁栄
4.5 Fundamental human rights 4.5 基本的人権
4.6 Risk management and resilience 4.6 リスク管理とレジリエンス
4.7 Appropriate set of policy instruments 4.7 適切な政策手段のセット
4.8 Clear leadership, roles, and resource allocation 4.8 明確なリーダーシップ、役割、および資源配分
4.9 Trust environment 4.9 信頼できる環境
5 National Cybersecurity Good Practice 5 国家的なサイバーセキュリティの優れた実践
Introduction はじめに
5.1 Focus area 1 – Governance 5.1 重点分野1 - ガバナンス
5.1.1 Ensure the highest level of support 5.1.1 最高レベルのサポートを確保する
5.1.2 Establish a competent cybersecurity authority 5.1.2 有能なサイバーセキュリティ当局の設立
5.1.3 Ensure intra-governmental cooperation 5.1.3 政府内の協力を確保する
5.1.4 Ensure inter-sectoral cooperation 5.1.4 セクター間の協力を確保する
5.1.5 Allocate dedicated budget and resources 5.1.5 専用の予算とリソースを割り当てる
5.1.6 Develop an implementation plan 5.1.6 実施計画の策定
5.2 Focus area 2 - Risk management in national cybersecurity 5.2 重点分野 2 - 国家のサイバーセキュリティにおけるリスク管理
5.2.1 Conduct a cyber threat assessment and align policies with the ever-expanding cyber threat landscape 5.2.1 サイバー脅威の評価を行い、拡大し続けるサイバー脅威の状況に合わせて政策を調整する
5.2.2 Define a risk-management approach 5.2.2 リスク管理アプローチを定義する
5.2.3 Identify a common methodology for managing cybersecurity risk 5.2.3 サイバーセキュリティリスクを管理するための共通の方法論を特定する
5.2.4 Develop sectoral cybersecurity risk profiles 5.2.4 セクターごとのサイバーセキュリティリスクプロファイルの作成
5.2.5 Establish cybersecurity policies 5.2.5 サイバーセキュリティポリシーの確立
5.3 Focus area 3 - Preparedness and resilience 5.3 重点分野3:準備と回復力(Preparedness and resilience
5.3.1 Establish cyber-incident response capabilities 5.3.1 サイバーインシデント対応能力の確立
5.3.2 Establish contingency plans for cybersecurity crisis management and disaster recovery 5.3.2 サイバーセキュリティ危機管理及び災害復旧のためのコンティンジェンシープランの確立
5.3.3 Promote information-sharing 5.3.3 情報共有の促進
5.3.4 Conduct cybersecurity exercises 5.3.4 サイバーセキュリティ演習の実施
5.3.5 Establish impact or severity assessment of cybersecurity incidents 5.3.5 サイバーセキュリティインシデントの影響度又は深刻度評価の確立
5.4 Focus area 4 - Critical Infrastructure and essential services 5.4 重点分野4 - 重要インフラと必須サービス
5.4.1 Establish a risk-management approach to identifying and protecting critical infrastructure and essential services 5.4.1 重要なインフラストラクチャ及び不可欠なサービスを特定し保護するためのリスク管理手法を確立する
5.4.2 Adopt a governance model with clear responsibilities 5.4.2 明確な責任を伴うガバナンスモデルを採用する
5.4.3 Define minimum cybersecurity baselines 5.4.3 最低限のサイバーセキュリティのベースラインを定義する
5.4.4 Utilise a wide range of market levers 5.4.4 広範な市場レバ-の活用
5.4.5 Establish public private partnerships 5.4.5 官民パートナーシップの確立
5.5 Focus area 5 - Capability and capacity building and awareness raising 5.5 重点分野 5 - 能力・キャパシティビルディング、意識向上
5.5.1 Strategically plan capability and capacity building and awareness raising 44 5.5.1 能力・キャパシティビルディングと意識向上を戦略的に計画する 44
5.5.2 Develop cybersecurity curricula 5.5.2 サイバーセキュリティのカリキュラムの開発
5.5.3 Stimulate capacity development and workforce training 5.5.3 能力開発と労働力訓練の活性化
5.5.4 Implement a coordinated cybersecurity awareness-raising programme 5.5.4 協調的なサイバーセキュリティ意識向上プログラムの実施
5.5.5 Foster cybersecurity innovation and R&D 5.5.5 サイバーセキュリティのイノベーションと研究開発を促進する
5.5.6 Tailor programmes for vulnerable sectors and groups 5.5.6 脆弱なセクターやグループのためのプログラムの調整
5.6 Focus area 6 - Legislation and regulation 5.6 重点分野6 - 立法と規制
5.6.1 Establish a domestic legal framework for cybersecurity 5.6.1 サイバーセキュリティに関する国内法的枠組みの確立
5.6.2 Establish a domestic legal framework on cybercrime and electronic evidence 5.6.2 サイバー犯罪及び電子証拠に関する国内法的枠組みの確立
5.6.3 Recognise and safeguard human rights and liberties 5.6.3 人権及び自由を認識し保護する。
5.6.4 Create compliance mechanisms 5.6.4 コンプライアンス・メカニズムの構築
5.6.5 Promote capacity-building for law enforcement 5.6.5 法執行機関のキャパシティ・ビルディングの促進
5.6.6 Establish inter-organisational processes 5.6.6 組織間のプロセスの確立
5.6.7 Support international cooperation to combat cyber threats and cybercrime 5.6.7 サイバー脅威及びサイバー犯罪と闘うための国際協力の支援
5.7 Focus area 7 - International cooperation 5.7 重点分野 7 - 国際協力
5.7.1 Recognise cybersecurity as a component of foreign policy and align domestic and international efforts 5.7.1 サイバーセキュリティを外交政策の一環として認識し、国内及び国際的な取り組みを調整する
5.7.2 Engage in international discussions and commit to implementation 5.7.2 国際的な議論に参加し、実施にコミットする
5.7.3 Promote formal and informal cooperation in cyberspace 5.7.3 サイバースペースにおける公式及び非公式の協力を促進する。
5.7.4 Promote capacity building for international cooperation 5.7.4 国際協力のための能力開発を促進する
6 Reference Materials 6 参考資料
 NCS Lifecycle  NCSのライフサイクル
 Initiation  開始
 Stocktaking and Analysis  ストックテーキングと分析
 Production  制作
 Implementation  実装
 Monitoring and Evaluation  モニタリングと評価
 Overarching Principles  基本的な考え方
 Vision  ビジョン
 Comprehensive approach and tailored priorities  包括的なアプローチと個別の優先事項
 Inclusiveness  包括性
 Economic and Social Prosperity  経済的・社会的繁栄
 Fundamental human rights  基本的人権
 Risk management and resilience  リスク管理とレジリエンス
 Appropriate set of policy instruments  適切な政策手段のセット
 Clear leadership, roles, and resource allocation  明確なリーダーシップ、役割、資源配分
 Trust environment  信頼できる環境
 Focus Areas  重点分野
 FA1 Governance  FA1 ガバナンス
 FA2 Risk management in national cybersecurity  FA2 国家のサイバーセキュリティにおけるリスク管理
 FA3 Preparedness and resilience  FA3 準備と回復力(Preparedness and resilience
 FA4 Critical Infrastructure services and essential services  FA4 重要インフラサービスと必須サービス
 FA5 Capability and capacity building and awareness raising  FA5 能力、キャパシティビルディング、意識向上
 FA6 Legislation and Regulation  FA6 立法と規制
 FA7 International Cooperation  FA7 国際協力
7 Acronyms 7 頭字語

 



■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU’s Cybersecurity Strategy for the Digital Decade

・[PDF] JOINT COMMUNICATION TO THE EUROPEAN PARLIAMENT AND THE COUNCIL - The EU's Cybersecurity Strategy for the Digital Decade

20250108-182710

 

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

日本語訳 [Downloded]

20230221-170849

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.28 [PDF] サイバーセキュリティ戦略

20230820-153236

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

🔳オーストラリアの場合

AU - Department of Home Affairs - Cyber security - Strategy

・2020.08.06 [PDF] AUSTRALIA’S CYBER SECURITY STRATEGY 2020

20230520-150216

2016年の前回のバージョン

・[PDF] Australia's Cyber Security Strategy

20230520-150443

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

ロシア デジタル市場における公正な行動の原則を承認 by 連邦独占禁止局

こんにちは、丸山満彦です。

ロシアの連邦独占禁止局 (Федеральная антимонопольная служба: ФАС России) と大手IT企業間がデジタル市場の参加者間の交流原則に署名したようですね。。。デジタル市場の参加者が原則に基づいて、
自主的に、消費者、競合他社等との相互作用における不公正な慣行を防ぐことができる自主規制の制度を作成するということのようですね。。。

プラットフォーム事業者の自由な競争をロシアも考えているようですね。。。

Федеральная антимонопольная служба: ФАС России

・2022.02.17 ФАС И КРУПНЕЙШИЕ ИТ-КОМПАНИИ ПОДПИСАЛИ ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ УЧАСТНИКОВ ЦИФРОВЫХ РЫНКОВ

 

ФАС И КРУПНЕЙШИЕ ИТ-КОМПАНИИ ПОДПИСАЛИ ПРИНЦИПЫ ВЗАИМОДЕЙСТВИЯ УЧАСТНИКОВ ЦИФРОВЫХ РЫНКОВ 連邦独占禁止局と大手IT企業、デジタル市場の参加者間の交流原則に署名
Подписание меморандума подтверждает намерение следовать правилам разумности и добросовестности, направленным на формирование открытых, прозрачных, недискриминационных условий для пользователей 覚書への署名は、ユーザーにとってオープンで透明性が高く、差別のない条件を整えることを目的とした、合理性と誠意のあるルールに従う意思を確認するものです。
Напомним, в конце 2021 года на площадке Экспертного совета при ФАС России по развитию конкуренции в области информационных технологий совместно с участниками рынка служба разработала и утвердила базовые принципы добросовестного поведения на цифровых рынках. 2021年末、連邦独占禁止局に設置された「情報技術分野における競争の発展のための専門家会議」のプラットフォーム上で、同サービスが市場参加者とともに、デジタル市場における良好な行動の基本原則を策定し、承認したことが想起される。
Сегодня меморандум о присоединении к ним подписали руководитель ФАС России Максим Шаскольский и представители компаний 1С, Авито, AliExpress Россия, Wildberries, VK, Lamoda, Ozon, Руссофт, Сбер, Циан, Яндекс и Ассоциации компаний интернет-торговли. 本日、連邦独占禁止局の責任者であるMaxim Shaskolsky氏と、1C、Avito、AliExpress Russia、Wildberries、VK、Lamoda、Ozon、Russoft、Sber、Cian、Yandex、Association of E-commerce企業の代表者との間で、順守覚書が締結されました。
Документ направлен на создание института саморегулирования, когда участники рынка добровольно, руководствуясь принципами, не осуществляют недобросовестных практик по отношению к потребителям, конкурентам и другим лицам. この文書は、市場参加者が自主的に、原則に導かれて、消費者や競合他社などに対して不公正な行為を行わないようにする、自己規制の制度を作ることを目的としています。
Так, разумная открытость цифровых платформ подразумевает, в частности, свободный доступ к информации о том, как происходит ранжирование результатов поиска. Принцип недопущения расширительных и двусмысленных формулировок в правилах работы цифровых платформ призван устранить непрозрачные правила в пользовательских соглашениях сервисов, позволяющие блокировать и удалять аккаунты без предупреждения. 例えば、デジタルプラットフォームの合理的なオープン性は、特に、検索結果の順位付けに関する情報への自由なアクセスを意味します。デジタルプラットフォームのルールにおいて、拡大的で曖昧な表現を避けるという原則は、警告なしにアカウントをブロックしたり削除したりすることを可能にする、サービスのユーザー契約における透明性のないルールを排除することを目的としています。
Кроме того, принципы фокусируются не только на рисках, связанных с конкуренцией, но и на защите прав потребителей. また、この原則は、競争リスクだけでなく、消費者保護にも焦点を当てています。
Принципы разработаны на базе практики ФАС России и антимонопольных органов других стран и учитывают весь спектр нарушений антимонопольного законодательства, выявленных или расследуемых в мире на настоящий момент. 本原則は、ロシア連邦独占禁止局および他国の独占禁止法当局の実務に基づいており、現在世界中で発見または調査されている独禁法違反の全容を考慮しています。
При этом фактическое применение антимонопольного законодательства в отношении антиконкурентных практик, расследуемых в России и в мире, в том числе со стороны цифровых платформ, остается важным аспектом регулирования цифровых рынков. ロシアや世界中で調査されている、デジタルプラットフォームを含む反競争的行為に競争法を実際に適用することは、デジタル市場の規制の重要な側面であることに変わりはありません。

 

Fig_20220221213401

原則

↓↓↓↓↓

 

Continue reading "ロシア デジタル市場における公正な行動の原則を承認 by 連邦独占禁止局"

| | Comments (0)

2022.02.21

金融庁 金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)

こんにちは、丸山満彦です。

金融庁が、金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)を発表していますね。。。過去は、2015年7月にVer. 1.0を策定、2018年10月にVer. 2.0にアップデートという感じです。。。

経済安全保障上の対応として、 「政府全体の取組みの中で、機器・システムの利用や業務委託等を通じたリスクについて適切に対応を行う」ということになっておりますね。。。

金融庁

・ 2022.02.18 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて(Ver. 3.0)

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 概要

 


新たな取組方針(以下、5項目)

1.モニタリング・演習の高度化

金融機関の規模・特性やサイバーセキュリティリスクに応じて、検査・モニタリングを実施し、サイバーセキュリティ管理態勢を検証する。

共通の課題や好事例については業界団体を通じて傘下金融機関に還元し、金融業界全体のサイバーセキュリティの高度化を促す。特に

  • 3メガバンクについては、サイバー攻撃の脅威動向の変化への対応や海外大手金融機関における先進事例を参考にしたサイバーセキュリティの高度化に着目しつつ、モニタリングを実施する

  • 地域金融機関については、サイバーセキュリティに関する自己評価ツールを整備し、各金融機関の自己評価結果を収集、分析、還元し、自律的なサイバーセキュリティの高度化を促す

  • サイバー演習については、引き続き、サイバー攻撃の脅威動向や他国の演習等を踏まえて高度化を図る

2.新たなリスクへの備え

キャッシュレス決済サービスの安全性を確保するため、リスクに見合った堅牢な認証方式の導入等を促す(セキュリティバイデザインの実践)

クラウドサービスの安全な利用に向けて、利用実態や安全対策の把握を進めるとともに、クラウドサービス事業者との対話も実施

3.サイバーセキュリティ確保に向けた組織全体での取組み

経営層の積極的な関与の下、組織全体でサイバーセキュリティの実効性の向上を促す(セキュリティ人材の育成も含む)

4.関係機関との連携強化

 サイバー攻撃等の情報収集・分析、金融犯罪の未然防止と被害拡大防止への対応を強化するため関係機関(NISC、警察庁、公安調査庁、金融ISAC、海外当局等)との連携を強化

5.経済安全保障上の対応

 政府全体の取組みの中で、機器・システムの利用や業務委託等を通じたリスクについて適切に対応を行う


 

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 本文

20220221-151340

 

目次は、、、

1.はじめに

2.現「取組方針(Ver. 2.0)」の進捗・評価
(1) デジタライゼーションの加速的な進展を踏まえた対応
(2) 国際的な議論への貢献・対応
(3) 東京大会への対応
(4) 金融機関のサイバーセキュリティ管理態勢の強化
(5) 情報共有の枠組みの実効性向上
(6) 金融分野の人材育成の強化

3.新たな「取組方針(Ver. 3.0)」
(1) モニタリング・演習の高度化
(2) 新たなリスクへの備え
(3) サイバーセキュリティ確保に向けた組織全体での取組み
(4) 関係機関との連携強化
(5) 経済安全保障上の対応

 


● 金融庁

Ver2.0

・2018.10.19 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」のアップデートについて

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 概要

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 本文

 

Ver1.0

・2015.07.02 「金融分野におけるサイバーセキュリティ強化に向けた取組方針」の公表について

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 概要

・[PDF] 金融分野におけるサイバーセキュリティ強化に向けた取組方針 本文

| | Comments (0)

金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

こんにちは、丸山満彦です。

G20カ国等が参加する金融機関の団体である金融安定理事会 (Financial Stability Board: FSB) [wikipedia] が、「暗号資産による金融安定化リスクの評価 (Assessment of Risks to Financial Stability from Crypto-assets) 」を公表していますね。。。

Financial Stability Board: FSB

・2022.02.16 (press) FSB warns of emerging risks from crypto-assets to global financial stability

FSB warns of emerging risks from crypto-assets to global financial stability FSB、暗号資産が世界の金融安定に及ぼす新たなリスクを警告
Crypto-asset markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. This is the Financial Stability Board’s (FSB’s) updated assessment of risks to financial stability from crypto-assets, published today. 暗号資産市場は急速に進化しており、その規模、構造的な脆弱性、従来の金融システムとの相互接続性の高まりから、世界の金融安定に対する脅威となる可能性があります。これは、金融安定理事会(FSB)が本日発表した、暗号資産による金融安定へのリスクに関する最新の評価です。
The report examines developments and associated vulnerabilities relating to three segments of crypto-asset markets: unbacked crypto-assets (such as Bitcoin); stablecoins; and decentralised finance (DeFi) and crypto-asset trading platforms. It notes the close, complex and constantly evolving interrelationship between these three segments, which need to be considered holistically when assessing related financial stability risks. 本報告書では、暗号資産市場の3つのセグメント、すなわち、裏付けのない暗号資産(ビットコインなど)、ステーブルコイン、分散型金融(DeFi)および暗号資産取引プラットフォームに関する動向と関連する脆弱性を検証しています。報告書では、これら3つのセグメントの間には密接で複雑な相互関係があり、常に進化し続けていることを指摘し、金融安定化リスクを評価する際には全体的に考慮する必要があるとしています。
The report highlights a number of vulnerabilities associated with crypto-asset markets. These include increasing linkages between crypto-asset markets and the regulated financial system; liquidity mismatch, credit and operational risks that make stablecoins susceptible to sudden and disruptive runs on their reserves, with the potential to spill over to short-term funding markets; the increased use of leverage in investment strategies; concentration risk of trading platforms; and the opacity and lack of regulatory oversight of the sector. The report also notes wider public policy concerns related to crypto-assets, such as low levels of investor and consumer understanding of crypto-assets, money laundering, cyber-crime and ransomware.  報告書では、暗号資産市場に関連する多くの脆弱性を指摘しています。具体的には、暗号資産市場と規制対象の金融システムとの関連性の高まり、流動性のミスマッチ、信用リスク、オペレーショナルリスクにより、ステーブルコインは突然の破壊的な準備金の流出に見舞われやすく、短期資金調達市場にも波及する可能性があること、投資戦略におけるレバレッジの使用の増加、取引プラットフォームの集中リスク、このセクターの不透明性と規制当局の監督不足などが挙げられます。また、暗号資産、マネーロンダリング、サイバー犯罪、ランサムウェアに対する投資家や消費者の理解が低いことなど、暗号資産に関連する公共政策上の懸念も指摘しています。 
The report notes that financial stability risks could escalate rapidly and calls for timely and pre-emptive evaluation of possible policy responses. Currently, crypto-assets remain a small portion of overall global financial system assets and direct connections between crypto-assets and systemically important financial institutions and core financial markets, while growing rapidly, also remain limited. Nevertheless, the rapid evolution and international nature of crypto-asset markets raise the potential for regulatory gaps, fragmentation or arbitrage. 報告書では、金融安定化リスクが急速に拡大する可能性があることを指摘し、可能な政策対応をタイムリーかつ先制的に評価することを求めています。現在、世界の金融システム全体の資産に占める暗号資産の割合はまだ小さく、暗号資産とシステム上重要な金融機関や中核的な金融市場との直接的なつながりも、急速に拡大しているとはいえ、限定的なものにとどまっています。とはいえ、暗号資産市場の急速な発展と国際性は、規制のギャップ、断片化、裁定の可能性を高めています。
The FSB will continue to monitor developments and risks in crypto-asset markets. It will explore potential regulatory and supervisory implications of unbacked crypto-assets, including the actions FSB jurisdictions have taken, or plan to take, to address associated financial stability threats. The FSB will also continue to monitor and share information on regulatory and supervisory approaches to ensure effective implementation of its high-level recommendations for the regulation, supervision and oversight of so-called “global stablecoin” arrangements. FSBは、暗号資産市場の発展とリスクを引き続き監視します。FSBは、金融安定性への脅威に対処するためにFSB加盟国が講じた措置や計画している措置を含め、裏付けのない暗号資産の規制・監督上の潜在的な意味合いを探っていきます。また、FSBは、いわゆる「グローバル・ステーブルコイン」の規制・監督・監視に関するハイレベル勧告の効果的な実施を確保するため、規制・監督上のアプローチに関する情報の監視・共有を継続します。
Notes to editors 編集者への注意事項
In July 2018, the FSB published a monitoring framework which set out the transmission channels that the FSB would use to monitor the financial stability implications of crypto-asset markets as part of its ongoing assessment of vulnerabilities in the financial system. At that time, the FSB assessed that crypto-assets did not pose a material risk to global financial stability, but noted the need for vigilant monitoring in light of the speed of market developments. 2018年7月、FSBは、金融システムの脆弱性に関する継続的な評価の一環として、暗号資産市場の金融安定性への影響を監視するためにFSBが使用する伝達経路を定めたモニタリングフレームワークを発表しました。当時、FSBは、暗号資産が世界の金融安定性に重大なリスクをもたらすことはないと評価していたが、市場の発展の速さを考慮して慎重に監視する必要があると指摘していました。
In October 2020, the FSB published high-level recommendations for the effective regulation, supervision and oversight of “global stablecoin” arrangements. The recommendations were developed to support the implementation of a key building block of its roadmap to enhance cross-border payments. In October 2021, the FSB published a progress report which found that, overall, the implementation of the FSB high-level recommendations across jurisdictions is still at an early stage. The FSB will undertake a review of its recommendations in 2023, which will identify how any gaps could be addressed by existing frameworks and will lead to the update of the FSB’s recommendations if needed. 2020年10月、FSBは「グローバル・スタフコイン」アレンジメントの効果的な規制・監督・監視のためのハイレベル勧告を発表しました。この勧告は、国境を越えた決済を強化するためのロードマップの重要な構成要素の実施を支援するために作成されました。2021年10月、FSBは進捗報告書を発表しましたが、それによると、全体的に見て、FSBのハイレベル勧告の各国での実施はまだ初期段階にあります。FSBは、2023年に勧告の見直しを行う予定で、既存の枠組みでどのようにギャップに対応できるかを確認し、必要に応じてFSBの勧告を更新することになります。

 

・2022.02.16 Assessment of Risks to Financial Stability from Crypto-assets

Assessment of Risks to Financial Stability from Crypto-assets 暗号資産がもたらす金融安定性へのリスクの評価
Crypto-asset markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. 暗号資産市場は急速に発展しており、その規模、構造的な脆弱性、伝統的な金融システムとの相互接続性の高まりから、世界の金融安定に対する脅威となる段階に到達する可能性があります。
This report examines developments and associated vulnerabilities relating to three segments of the crypto-asset markets: unbacked crypto-assets (such as Bitcoin); stablecoins; and decentralised finance (DeFi) and other platforms on which crypto-assets trade. These three segments are closely interrelated in a complex and constantly evolving ecosystem and need to be considered holistically when assessing related financial stability risks. The report notes that although the extent and nature of use of crypto-assets varies somewhat across jurisdictions, financial stability risks could rapidly escalate, underscoring the need for timely and pre-emptive evaluation of possible policy responses. 本レポートでは、暗号資産市場の3つのセグメント、すなわち、裏付けのない暗号資産(ビットコインなど)、ステーブルコイン、分散型金融(DeFi)および暗号資産を取引するその他のプラットフォームに関する発展と関連する脆弱性を検証します。これら3つのセグメントは、複雑で常に進化し続けるエコシステムの中で密接に関連しており、金融安定化リスクを評価する際には全体的に考慮する必要があります。本報告書では、暗号資産の使用範囲や性質は国や地域によって多少異なるものの、金融安定リスクは急速に拡大する可能性があり、可能な政策対応をタイムリーかつ先制的に評価する必要性があると指摘しています。
Crypto-asset market capitalisation grew by 3.5 times in 2021 to $2.6 trillion, yet crypto-assets remain a small portion of overall global financial system assets. Direct connections between crypto-assets and systemically important financial institutions and core financial markets, while growing rapidly, are limited at the present time. Nevertheless, institutional involvement in crypto-asset markets, both as investors and service providers, has grown over the last year, albeit from a low base. If the current trajectory of growth in scale and interconnectedness of crypto-assets to these institutions were to continue, this could have implications for global financial stability. 暗号資産の時価総額は2021年に3.5倍の2.6兆ドルに達したが、世界の金融システム資産全体に占める暗号資産の割合はまだ小さいままです。暗号資産とシステム上重要な金融機関や中核金融市場との直接的なつながりは、急速に拡大しているとはいえ、現時点では限定的です。とはいえ、投資家としてもサービスプロバイダーとしても、機関投資家の暗号資産市場への関与は、低い水準からとはいえ、昨年から増加しています。これらの機関に対する暗号資産の規模と相互接続性の拡大という現在の軌道が続くとすれば、これは世界の金融安定性に影響を与える可能性があります。
DeFi has recently become a fast-emerging sector, providing financial services using both unbacked crypto-assets and stablecoins. Moreover, a relatively small number of crypto-asset trading platforms aggregate multiple types of services and activities, including lending and custody. Some of these platforms operate outside of a jurisdiction’s regulatory perimeter or are not in compliance with applicable laws and regulations. This presents the potential for concentration of risks, and underscores the lack of transparency on their activities. DeFiは最近、急成長している分野であり、裏付けのない暗号資産と安定したコインの両方を使って金融サービスを提供しています。さらに、比較的少数の暗号資産取引プラットフォームでは、貸付やカストディなど、複数の種類のサービスや活動が集約されています。これらのプラットフォームの中には、法域の規制境界外で運営されているものや、適用される法律や規制に準拠していないものがあります。これにより、リスクが集中する可能性があり、また、プラットフォームの活動に関する透明性が欠如していることが明らかになりました。
Charts are hoverable and filterable チャートはホバーリングとフィルタリングが可能
Partly due to the emergence of DeFi, stablecoin growth has continued, despite concerns about regulatory compliance, quality and sufficiency of reserve assets, and standards of risk management and governance. At present, stablecoins are used mainly as a bridge between traditional fiat currencies and crypto-assets, which has implications for the stability and functioning of crypto-asset markets. Were a major stablecoin to fail, it is possible that liquidity within the broader crypto-asset ecosystem (including in DeFi) could become constrained, disrupting trading and potentially causing stress in those markets. This could also spill over to short-term funding markets if stablecoin reserve holdings were liquidated in a disorderly fashion. DeFiが登場したこともあり、規制の遵守、準備資産の質と量、リスク管理とガバナンスの基準についての懸念にもかかわらず、ステーブルコインの成長は続いています。現在、ステーブルコインは主に伝統的な不換通貨と暗号資産の橋渡しとして利用されており、暗号資産市場の安定性と機能に影響を与えています。大手ステーブルコインが破綻すると、(DeFiを含む)広範な暗号資産エコシステム内の流動性が制約され、取引に支障をきたし、これらの市場にストレスをもたらす可能性があります。また、ステーブルコインの準備金が無秩序に清算された場合、短期資金市場にも波及する可能性があります。
The report highlights a number of vulnerabilities associated with crypto-asset markets. These include increasing linkages between crypto-asset markets and the regulated financial system; liquidity mismatch, credit and operational risks that make stablecoins susceptible to sudden and disruptive runs on their reserves, with the potential to spill over to short term funding markets; the increased use of leverage in investment strategies; concentration risk of trading platforms; and the opacity and lack of regulatory oversight of the sector. The report also notes wider public policy concerns related to crypto-assets, such as low levels of investor and consumer understanding of crypto-assets, money laundering, cyber-crime and ransomware.  本報告書では、暗号資産市場に関連する多くの脆弱性を指摘しています。具体的には、暗号資産市場と規制された金融システムとの結びつきの強まり、流動性のミスマッチ、信用リスク、オペレーショナルリスクなどにより、ステーブルコインは突然の破壊的な準備金の取り崩しの影響を受けやすく、それが短期資金市場に波及する可能性があること、投資戦略におけるレバレッジの使用の増加、取引プラットフォームの集中リスク、このセクターの不透明性と規制による監視の欠如などが挙げられます。また、本報告書では、暗号資産、マネーロンダリング、サイバー犯罪、ランサムウェアに対する投資家や消費者の理解が低いことなど、暗号資産に関連する公共政策上の懸念についても言及しています。 
The FSB will continue to monitor developments and risks in crypto-asset markets. It will explore potential regulatory and supervisory implications of unbacked crypto-assets, including the actions FSB jurisdictions have taken, or plan to take, to address associated financial stability threats. The FSB will also continue to monitor and share information on regulatory and supervisory approaches to ensure effective implementation of its high-level recommendations for the regulation, supervision and oversight of so-called “global stablecoin” arrangements. FSBは、暗号資産市場の発展とリスクを引き続き監視していきます。FSBは、金融安定性への脅威に対処するためにFSB加盟国がとった措置、またはとる予定の措置を含め、裏付けのない暗号資産の規制・監督上の潜在的な影響を探っていきます。また、FSBは、いわゆる「グローバル・ステーブルコイン」の規制・監督・監視に関するハイレベル勧告の効果的な実施を確保するため、規制・監督上のアプローチに関する情報の監視・共有を継続します。

 

・[PDF

20220221-23322

 

Table of Contents 目次
Executive summary エグゼクティブサマリー
1. Introduction 1. はじめに
2. Vulnerabilities concerning unbacked crypto-assets 2. 裏付けのない暗号資産に関する脆弱性
2.1. Financial sector exposures 2.1. 金融セクターのエクスポージャー
2.2. Wealth effects 2.2. 富の影響
2.3. Confidence effects 2.3. 信頼感の影響
2.4. Use in payments and settlement 2.4. 支払いや決済での利用
3. Vulnerabilities concerning stablecoins 3. ステーブルコインの脆弱性
3.1. Financial sector exposures 3.1. 金融セクターのエクスポージャー
3.2. Wealth effects 3.2. 富裕層への影響
3.3. Confidence effects 3.3. 信頼感の影響
3.4. Use in payments and settlement 3.4. 支払いや決済での使用
3.5. Potential future global stablecoins 3.5. 将来のグローバルステーブルコインの可能性
4. Decentralised Finance (DeFi) and Crypto-asset Trading Platforms 4. 分散型金融(DeFi)と暗号資産取引プラットフォーム
5. Data gaps 5. データのギャップ
6. Conclusion and next steps 6. 結論と次のステップ
Annex 1: Available metrics and data gaps when evaluating financial stability risks from crypto-assets . 附属書1:暗号資産による金融安定化リスクを評価する際の利用可能な指標とデータギャップ .
Annex 2: Glossary 附属書2:用語集

 

エグゼクティブサマリーでも...

Executive summary  エグゼクティブサマリー
Crypto-assets markets are fast evolving and could reach a point where they represent a threat to global financial stability due to their scale, structural vulnerabilities and increasing interconnectedness with the traditional financial system. The rapid evolution and international nature of these markets also raise the potential for regulatory gaps, fragmentation or arbitrage. Although the extent and nature of use of crypto-assets varies somewhat across jurisdictions, financial stability risks could rapidly escalate, underscoring the need for timely and pre-emptive evaluation of possible policy responses.   暗号資産市場は急速に進化しており、その規模、構造的な脆弱性、従来の金融システムとの相互接続性の高まりから、世界の金融安定に対する脅威となる可能性があります。また、これらの市場の急速な進化と国際性は、規制のギャップ、断片化、裁定の可能性を高めます。暗号資産の使用範囲や性質は国や地域によって多少異なりますが、金融安定リスクは急速に拡大する可能性があり、可能な政策対応をタイムリーかつ先制的に評価する必要性が高まっています。 
Crypto-asset market capitalisation grew by 3.5 times in 2021 to $2.6 trillion, yet crypto-assets remain a small portion of overall global financial system assets. Direct connections between crypto-assets and systemically important financial institutions and core financial markets, while growing rapidly, are limited at the present time. Episodes of price volatility have, so far, been contained within crypto-asset markets and have not spilled over to financial markets and infrastructures. Moreover, currently crypto-assets are not widely used in critical financial services (including payments) on which the real economy depends. However, it is challenging to assess inflection points given the rapid evolution of these markets and the significant data gaps that impede authorities’ risk assessments. These gaps stem, in part, from the fact that participants, products and markets, including crypto-asset trading and lending platforms, fall outside the regulatory perimeter and the associated reporting requirements or, in some cases, may be failing to comply with applicable laws and regulations. These data gaps make it difficult to assess the full scope of crypto-assets’ use in the financial system.  暗号資産の時価総額は2021年に3.5倍の2.6兆ドルに達したが、世界の金融システム資産全体に占める暗号資産の割合はまだ小さいままです。暗号資産とシステム上重要な金融機関や中核金融市場との直接的なつながりは、急速に拡大しているとはいえ、現時点では限定的です。価格変動のエピソードは、これまでのところ、暗号資産市場内に収まっており、金融市場やインフラに波及していません。また、現在のところ、実体経済が依存している重要な金融サービス(決済を含む)では、暗号資産はあまり使用されていません。しかし、これらの市場は急速に進化しており、当局のリスク評価を妨げる重大なデータギャップがあるため、変曲点を評価することは困難です。このようなギャップは、暗号資産の取引・貸付プラットフォームを含む参加者、商品、市場が、規制の対象外であり、関連する報告義務がないことや、場合によっては適用される法律や規制を遵守していない可能性があることに起因しています。このようなデータギャップがあるため、金融システムにおける暗号資産の利用範囲を完全に評価することは困難です。
Institutional involvement in crypto-asset markets, both as investors and service providers, has grown over the last year, albeit from a low base. Systemically important banks and other financial institutions are increasingly willing to undertake activities in, and gain exposures to, cryptoassets. The prevalence of more complex investment strategies, including through derivatives and other leveraged products that reference crypto-assets, also has increased. If the current trajectory of growth in scale and interconnectedness of crypto-assets to these institutions were to continue, this could have implications for global financial stability.   暗号資産市場への機関投資家の参加は、投資家としてもサービスプロバイダーとしても、低い水準からではありますが、昨年から増加しています。システム上重要な銀行やその他の金融機関は、暗号資産に対する活動を積極的に行い、エクスポージャーを得る傾向が強まっています。また、暗号資産を参照するデリバティブやその他のレバレッジ商品など、より複雑な投資戦略が普及しています。これらの機関における暗号資産の規模拡大と相互関連性の現在の軌道が継続する場合、世界の金融安定性に影響を及ぼす可能性があります。 
There are also vulnerabilities that could undermine the integrity and functioning of crypto-asset markets. These include low levels of investor and consumer understanding of crypto-assets including costs, fees, conflicts of interest and lack of redress and/or recovery and resolution mechanisms, and uncertainties around the operational resilience of some crypto-asset focused institutions. It is possible, given the public prominence of crypto-assets and crypto-asset trading platforms, the rapidly growing retail investor adoption, and the use of leverage that any loss of confidence in crypto-assets could have implications that exceed those commensurate to the actual magnitude and direct financial interconnectedness of crypto-asset markets. Additional vulnerabilities may arise from the environmental impact of energy intensive consensus mechanisms used for certain crypto-assets. There are also wider public policy issues related to crypto-assets beyond the FSB’s remit that have important implications, such as the use of cryptoassets in the context of money laundering, cyber-crime and ransomware.  また、暗号資産市場の健全性と機能を損なう可能性のある脆弱性も存在します。これには、コスト、手数料、利益相反、救済および/または回復・解決メカニズ ムの欠如など、投資家および消費者の暗号資産に対する理解の低さ、および一部の 暗号資産を扱う機関の運用回復力に関する不確実性が含まれる。暗号資産および暗号資産取引プラットフォームが世間で注目されていること、個人投資家の導入が急速に進んでいること、およびレバレッジを使用していることから、暗号資産に対する信頼が失われると、暗号資産市場の実際の規模や直接的な金融的相互関係に見合う以上の影響が出る可能性があります。また、特定の暗号資産に使用されるエネルギー集約型のコンセンサス・メカニズムが環境に与える影響から、さらなる脆弱性が生じる可能性もあります。また、マネーロンダリング、サイバー犯罪、ランサムウェアなどの文脈でのクリプトアセットの使用など、重要な意味を持つFSBの管轄外のクリプトアセットに関連する幅広い公共政策の問題もあります。
The report examines developments and associated vulnerabilities relating to three segments of the crypto-asset markets: unbacked crypto-assets (such as Bitcoin); stablecoins; and decentralised finance (DeFi) and crypto-asset trading platforms. These three segments are closely interrelated in a complex and constantly evolving ecosystem, and need to be considered holistically when assessing related financial stability risks.     本報告書では、暗号資産市場の3つのセグメント、すなわち、裏付けのない暗号資産(ビットコインなど)、ステーブルコイン、分散型金融(DeFi)および暗号資産取引プラットフォームに関する動向と関連する脆弱性を検証しています。これら3つのセグメントは、複雑で常に進化し続けるエコシステムの中で密接に関連しており、金融安定化リスクを評価する際には全体的に考慮する必要があります。   
DeFi has recently become a fast-emerging sector, providing financial services using both unbacked crypto-assets and stablecoins. In part because of the emergence of DeFi, stablecoins issuers have experienced considerable growth and their reserve assets may make them significant holders of short-term debt instruments. The structure of stablecoins means they are exposed to liquidity mismatch, credit and operational risks, which makes them susceptible to sudden and disruptive runs on their reserves. Moreover, a relatively small number of cryptoasset trading platforms that aggregate multiple types of services and activities, including lending and custody, account for the majority of crypto-assets traded. Some of these platforms operate outside of a jurisdiction’s regulatory perimeter or are not in compliance with applicable laws and regulations. This presents the potential for concentration of risks, as well as underscores the lack of transparency on their activities.   DeFiは最近急成長している分野で、裏付けのない暗号資産とステーブルコインの両方を使って金融サービスを提供しています。DeFiの出現もあって、ステーブルコインの発行者はかなりの成長を遂げており、その準備資産によって短期債務証書の重要な保有者となっている可能性があります。ステーブルコインの構造は、ステーブルコインが流動性のミスマッチ、信用リスク、運用リスクにさらされていることを意味し、突然の破壊的な準備金の流出の影響を受けやすくなっています。さらに、貸し出しやカストディなど複数の種類のサービスや活動を集約した比較的少数の暗号資産取引プラットフォームが、取引される暗号資産の大半を占めています。これらのプラットフォームの中には、法域の規制境界外で運営されているものや、適用される法律や規制に準拠していないものがあります。そのため、リスクが集中する可能性があり、また、活動の透明性が低いことが明らかになっています。 
Stablecoin growth has continued, despite concerns about regulatory compliance, quality and sufficiency of reserve assets, and standards of risk management and governance. At present, stablecoins are used mainly as a bridge between traditional fiat currencies and crypto-assets, which has implications for the stability and functioning of crypto-asset markets. Were a major stablecoin to fail, it is possible that liquidity within the broader crypto-asset ecosystem (including in DeFi) could become constrained, disrupting trading and potentially causing stress in those markets. This could also spill over to short-term funding markets if stablecoin reserve holdings were liquidated in a disorderly fashion.  ステーブルコインの成長は、規制の遵守、準備資産の質と充足、リスク管理とガバナンスの基準に関する懸念にもかかわらず続いています。現在、ステーブルコインは主に伝統的な不換通貨と暗号資産の間の橋渡しとして使用されていますが、これは暗号資産市場の安定性と機能性に影響を与えます。大手ステーブルコインが破綻すると、(DeFiを含む)広範な暗号資産エコシステム内の流動性が制約され、取引に支障をきたし、これらの市場にストレスをもたらす可能性があります。また、ステーブルコインの積立金が無秩序に清算された場合、短期資金市場にも波及する可能性があります。
The FSB and other standard-setting bodies are already working to address threats associated with so-called “global stablecoins”. The FSB will continue to monitor developments and risks in crypto-asset markets, based on the framework published in 2018. In 2022, the FSB will also explore potential regulatory and supervisory implications of unbacked crypto-assets, including the types of actions FSB member jurisdictions have taken, or plan to take, to address any associated financial stability threats. Examining the regulatory gaps and challenges that may exist, including those that arise from the cross-border and cross-sectoral nature of crypto-assets, will be a key element of this work. The FSB will also continue to monitor and share information on regulatory and supervisory approaches to ensure the effective implementation of its highlevel recommendations for the regulation, supervision and oversight of “global stablecoin” arrangements.  FSBや他の基準設定機関は、いわゆる「グローバル・ステーブルコイン」に関連する脅威に対処するためにすでに取り組んでいます。FSBは、2018年に発表したフレームワークに基づいて、暗号資産市場の発展とリスクを引き続き監視していきます。2022年には、FSBは、関連する金融安定性の脅威に対処するためにFSBメンバー国がとった、またはとる予定の行動の種類など、裏付けのない暗号資産の規制・監督上の潜在的な影響についても調査します。この作業では、暗号資産のクロスボーダーおよびクロスセクターの性質に起因するものを含め、存在する可能性のある規制上のギャップや課題を検討することが重要な要素となる。また、FSBは、「グローバル・ステーブルコイン」アレンジメントの規制・監督・監視に関するハイレベル勧告の効果的な実施を確保するために、規制・監督上のアプローチに関する情報を引き続き監視・共有していきます。

 

Video

・2022.02.18 Crypto assets and financial stability

・[YouTube

| | Comments (0)

総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

こんにちは、丸山満彦です。

総務省と経済産業省が、「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定したと発表していますね。。。

改訂ポイントは、


「3.経営者が取り組むべき三要件」、「4.プライバシーガバナンスの重要項目」及び「5.(参考)プライバシーリスク対応の考え方」
における事例の追加 ※ver.1.1 公表後の企業におけるプライバシーガバナンスの実践状況を踏まえ、参考となるべき事例を充実させるための更新を実施。
 個人情報保護法改正等を踏まえた既存表現の見直し
 参考文献の更新


ということのようで、

~トヨタ自動車・ヤフー・セーフィー・NEC・資生堂・JCBなど、プライバシーガバナンス実践企業の具体例を追加!~」

ということのようです。。。

 

総務省

・2022.02.18「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

・[PDF] 別紙1 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」

20220220-233801

・[PDF] 別紙2 「DX時代における企業のプライバシーガバナンスガイドブックver1.2概要」

20220220-234419

 

・[PDF] 別紙3 DX時代における企業のプライバシーガバナンスガイドブックver1.1とver1.2の更新点

 

● 経済産業省

・2022.02.18 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

・[PDF] 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」

・[PDF] 「DX時代における企業のプライバシーガバナンスガイドブックver1.2概要」

・[PDF] DX時代における企業のプライバシーガバナンスガイドブックver1.1とver1.2の更新点

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.21 総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました

・2020.08.29 総務省・経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表

・2020.07.30 経済産業省 パブコメ 「DX企業のプライバシーガバナンスガイドブックver1.0(案)」

| | Comments (0)

2022.02.20

米国 CISA 無料のサイバーセキュリティサービスとツールのカタログページを公開...

こんにちは、丸山満彦です。

CISAが無料のサイバーセキュリティサービスとツールのカタログページを公開していますね。。。予防、検知、対応、回復に分けてツールを表形式で載せています。。。

CYBERSECURITY & INFRASTRUCTURE SECURITY AGENCY: CISA

・2022.02.18 (press) CISA LAUNCHES NEW CATALOG OF FREE PUBLIC AND PRIVATE SECTOR CYBERSECURITY SERVICES

CISA LAUNCHES NEW CATALOG OF FREE PUBLIC AND PRIVATE SECTOR CYBERSECURITY SERVICES CISA、官民のサイバーセキュリティ・サービスを無料で提供する新カタログを発表

Organizations working to build on their foundational security and resilience programs are encouraged to review this new resource

基礎的なセキュリティおよびレジリエンスプログラムの構築に取り組んでいる組織は、この新しいリソースを確認することが推奨されます。
WASHINGTON – The  Cybersecurity and Infrastructure Security Agency (CISA) published the “Free Cybersecurity Services and Tools” webpage intended to be a one-stop resource where organizations of all sizes can find free public and private sector resources to reduce their cybersecurity risk. The catalog published today is a starting point. Going forward, CISA will incorporate other free services into the catalog.   ワシントン - サイバーセキュリティ・インフラストラクチャセキュリティ庁(CISA)は、あらゆる規模の組織がサイバーセキュリティのリスクを低減するための無料の公的・民間セクターのリソースを見つけることができるワンストップリソースとなることを目的とした「無料のサイバーセキュリティサービスとツール」ウェブページを公開しました。 本日公開されたカタログは、その出発点となるものです。 今後、CISAは他の無料サービスをカタログに組み込んでいく予定です。  
 The initial list includes services and tools from CISA, open source community, and private and public sector organizations across the cybersecurity community including  Joint Cyber Defense Collaborative (JCDC) partners. The list is organized to align with CISA’s recent advisory on:     最初のリストには、CISA、オープンソース・コミュニティ、およびJCDC(Joint Cyber Defense Collaborative)パートナーを含むサイバーセキュリティ・コミュニティ全体の民間および公的機関が提供するサービスやツールが含まれています。 このリストは、CISAの最近の諮問事項に沿って構成されています。   
Reducing the likelihood of a damaging cyber incident, including by preventing devices from connecting to malicious sites and scanning for security weaknesses and vulnerabilities, etc.    デバイスが悪意のあるサイトに接続するのを防ぎ、セキュリティ上の弱点や脆弱性などをスキャンすることなどにより、被害を及ぼすサイバーインシデントの可能性を低減すること。   
Detecting malicious activity quickly, including by deploying network intrusion detection and prevention, undertaking penetration testing, and improving endpoint detections.   ネットワーク侵入検知・防止システムの導入、ペネトレーションテストの実施、エンドポイント検知機能の改善などによる、悪意のある行為の迅速な検知。  
Responding effectively to confirmed incidents, including through collection and analysis of malware and other artifacts.  確認されたインシデントへの効果的な対応(マルウェアやその他のアーティファクトの収集と分析を含む 
Maximizing resilience, including by automating system backups and enhancing threat modeling.  システムバックアップの自動化や脅威モデルの強化など、回復力の最大化。 
 “CISA is super proud to announce the start of a new catalog of free resources available to those critical infrastructure owners and operators who would benefit from tools to help their security and resilience,” said CISA Director Jen Easterly. “Many organizations, both public and private, are target rich and resource poor. The resources on this list will help such organizations improve their security posture, which is particularly critical in the current heightened threat environment. This initial catalog will grow and mature as we include additional free tools from other partners.”    CISAのディレクターであるジェン・イースタリー氏は、「CISAは、重要インフラの所有者や運営者がセキュリティや回復力を高めるためのツールを利用する際に、無料で利用できるリソースのカタログを新たに開始したことを大変誇りに思っています。官民を問わず、多くの組織は対象が多くあるのに対して、リソースが不足しています。このリストに掲載されているリソースは、そのような組織のセキュリティ態勢の改善に役立ち、現在の脅威の高まりの中では特に重要なものです。 この最初のカタログは、他のパートナーが提供する無料のツールを追加することで、成長していきます」と述べています。  
 It is imperative that the public and private sector collectively work together to promote basic cybersecurity practices and help organizations of all sizes reduce their cybersecurity risk. In addition to the services and tools offered in this new resource, CISA also provides certain measures that should be taken to establish a foundational cybersecurity program such as:   官民一体となって基本的なサイバーセキュリティ対策を推進し、あらゆる規模の組織がサイバーセキュリティのリスクを低減できるよう支援することが不可欠です。 この新しいリソースで提供されるサービスやツールに加えて、CISAは、基礎的なサイバーセキュリティプログラムを確立するために取るべき、以下のような一定の対策を提示しています。 
・Fix the known exploited security flaws in software;   ・ソフトウェアに存在する既知のセキュリティ上の欠陥を修正する。  
・Implement multifactor authentication;   ・多要素認証を導入する。  
・Stop bad practices that are exceptionally risky;   ・例外的にリスクの高いバッドプラクティスを止める。  
・Reduce Internet attack surfaces and get your Stuff off Search; and   ・インターネット上の攻撃対象を減らし、スタッフを検索から外す。  
・Sign up for CISA’s cyber hygiene vulnerability scanning.   ・CISAのサイバー・ハイジーンによる脆弱性スキャンに申し込む。  
For more information, visit the Free Cybersecurity Services and Tools webpage .   詳細については、「無料のサイバーセキュリティ・サービスおよびツール」のウェブページをご覧ください。  
As a reminder, CISA encourages all organizations to review our new Shields Up webpage to find recommended actions on protecting their most critical assets.   なお、CISAは、すべての組織に対し、最も重要な資産を保護するために推奨される行動を確認するため、新しいShields Upのウェブページを確認することを推奨します。  

 

実際のカタログはこちら。。。

FREE CYBERSECURITY SERVICES AND TOOLS

予防、検知、対応、回復にわけてツール等が紹介されています。。。

Reducing the Likelihood of a Damaging Cyber Incident 被害をもたらすサイバーインシデントの可能性を減らすために
Take Steps to Quickly Detect a Potential Intrusion 侵入の可能性を迅速に検知するための対策
Ensure That The Organization is Prepared to Respond if an Intrusion Occurs 不正アクセスが発生した場合の組織の対応準備の確保
Maximize the Organization's Resilience to a Destructive Cyber Incident 破壊的なサイバー・インシデントに対する組織の回復力を最大限に高める

 

シールドアップのページ

Shields Up

 

 

Fig1_20210731004501

 

 

| | Comments (0)

中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

こんにちは、丸山満彦です。

このブログでも触れていますが、、、中国サイバースペース管理局が2021年12月28日にネットワークセキュリティ審査弁法が改定発行されましたが、つい先日の2022年2月15日に予定通り施行されましたね。。。

それについての2つの専門家の意見が、「国家互联网信息办公室(国家サイバースペース管理局)」のウェブページに掲載されていました・・・

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.02.17 专家解读|《网络安全审查办法》正式实施 企业赴国外上市融资应守住国家安全底线 専門家の解釈|「ネットワークセキュリティ審査弁法」の正式施行 上場や資金調達のために海外に進出する企業は、国家安全保障の底辺を守るべき
2022.02.17 专家解读|新版《网络安全审查办法》有力夯实国家数据安全保障基石
専門家の解釈|新「ネットワークセキュリティ審査弁法」による国家データセキュリティ保護の基礎の強化

 

专家解读|《网络安全审查办法》正式实施 企业赴国外上市融资应守住国家安全底线 専門家の解釈|「ネットワークセキュリティ審査弁法」の正式施行 上場や資金調達のために海外に進出する企業は、国家安全保障の底辺を守るべき
2月15日,国家互联网信息办公室、国家发展和改革委员会等十三部门联合发布的《网络安全审查办法》(以下简称《办法》)正式实施。《办法》第七条明确要求,掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报审查。中国网络安全审查技术与认证中心设立网络安全审查咨询窗口,开始接收网络平台运营者赴国外上市的审查申报 2月15日、国家インターネット情報局、国家発展改革委員会など13の部門が共同で発表した「ネットワークセキュリティ審査弁法」(以下、弁法)が施行されました。 措置の第7条では、100万人以上のユーザーの個人情報を保有するネットワークプラットフォームの事業者が海外で公開する場合、審査を申告することが明確に定められています。 中国ネットワークセキュリティ検閲技術・認証センターは、ネットワークセキュリティ検閲相談窓口を設置し、ネットワークプラットフォーム事業者が海外に上場する際の検閲申告書の受付を開始しました。
一、上市审查申报要求 1. 上場審査と宣言の要件
《办法》修订后扩大了网络安全审查的覆盖范围,掌握超过100万用户个人信息的网络平台运营者赴国外上市前必须申报审查。运营者应该申报审查而未申报,应承担相应法律责任。值得注意的是,《办法》规定的审查申报条件为“赴国外上市”,但是这不意味着运营者赴香港上市过程中可以忽视相应的网络安全、数据安全和国家安全风险。根据《办法》第十六条,网络安全审查工作机制成员单位认为影响或者可能影响国家安全的网络产品和服务以及数据处理活动,由网络安全审查办公室按程序进行审查。 改正後の弁法では、ネットワークセキュリティ審査の対象が拡大され、100万人以上のユーザーの個人情報を持つネットワークプラットフォームの事業者は、海外に上場する前に審査を申告しなければならないことになりました。 レビューを宣言すべきであるにもかかわらず、それを行わなかった事業者は、それに応じた法的責任を負うことになります。 本弁法に基づく審査・申告の条件は「海外での上場」であることは注目に値しますが、これは事業者が香港での上場過程において、対応するネットワークセキュリティ、データセキュリティ、国家安全保障上のリスクを無視できることを意味するものではありません。 弁法第16条によると、ネットワークセキュリティ審査機構のメンバーが国家安全保障に影響を与える、または影響を与える可能性があると判断したネットワーク製品・サービスおよびデータ処理活動は、ネットワークセキュリティ審査室が手順に従って審査を行います。
对于《办法》实施前已经在国外上市的运营者,不需要申报审查。但是,对于已上市企业赴国外进行二次上市、双重主要上市等情况,属于新发起的“国外上市”活动,符合申报要求的应主动申报审查。 本弁法の実施前に海外で上場していた事業者については、レビューの申告は必要ありません。 ただし、上場企業が二次上場や二重一次上場などのために海外に進出する場合は、新たに開始された「海外上場」活動に属するため、申告要件を満たしている場合は、率先して審査を申告する必要があります。
二、上市审查申报时机 2. 上場審査のための宣言のタイミング
根据《办法》第八条要求,运营者申报网络安全审查除需提交申报书和分析报告外,还应提交首次公开募股(IPO)等上市申请文件。在国家互联网信息办公室有关负责人回答“何时申报赴国外上市网络安全审查”问题的答复中,明确应当在向国外证券监管机构提出上市申请之前申报审查。综合以上信息,赴国外上市审查的申报时机,应为已准备好相应上市申请文件后,向国外提交上市申请文件前。对于《办法》实施前,已经向外国证券监管机构提交过上市申请文件但尚未完成上市的运营者,如掌握超过100万用户个人信息,也应在上市前主动申报审查。 本弁法第8条の要件によると、事業者は、サイバーセキュリティ審査のための申告書や分析報告書に加えて、新規株式公開(IPO)などの上場申請書類を提出する必要があります。国家インターネット情報局の関連担当者による「海外上場のためのネットワークセキュリティ審査をいつ申告するか」という質問への回答では、海外の証券規制当局に上場申請を提出する前に審査を申告すべきであることが明らかにされています。 以上の情報から、海外での上場審査を報告するタイミングは、対応する上場申請書類を作成した後、上場申請書類を海外に提出する前であることが望ましいと考えられます。 また、本施策の実施前に外国の証券当局に上場申請書類を提出したものの、まだ上場が完了していない事業者については、100万人以上のユーザーの個人情報を保有している場合には、上場前に率先して申告して審査を受ける必要があります。
三、上市审查申报主体 3. 上場審査で申告すべき対象
申报赴国外上市网络安全审查的主体,应是在中国境内注册的网络平台运营者实体。对于搭建海外上市架构的企业,申报主体应为负责实际业务运营的境内运营实体,即通过网络收集、存储、使用、处理数据的运营者实体。这里需要说明,《办法》规定的运营者赴国外上市方式不限于首次公开募股(IPO)一种,特殊目的公司并购(SPAC)、反向收购(RTO)、直接上市(DPO)等方式的上市也在审查范围内。 外資系上場企業のサイバーセキュリティ審査の対象となるのは、中国でオンラインプラットフォーム事業者として登録されている企業であること。 海外に上場構造を構築している企業の場合、申告対象となるのは、実際の事業運営に責任を持つ国内の事業体、すなわち、ネットワークを通じてデータを収集、保存、使用、処理する事業体です。 ここで注意すべきは、本弁法による海外事業者の上場は、新規株式公開(IPO)に限らず、特別目的会社の合併買収(SPAC)、逆買収(RTO)、直接上場(DPO)などの方法もあるということです。
网络安全审查属于国家安全审查范畴,对网络平台运营者赴国外上市开展审查,是维护国家安全的重要手段,也是促进平台经济稳定健康发展的客观需要。国家鼓励网络平台运营者基于业务发展需要进行融资、上市等活动。运营者在发展过程中应重视网络安全、数据安全风险的防范,牢牢守住国家安全底线,坚持合规经营,坚持安全和发展并重,让安全成为保证企业持续发展的驱动力。 ネットワークセキュリティ審査は、国家安全保障審査の範囲に該当し、海外のネットワークプラットフォーム事業者の上場審査は、国家安全保障を維持するための重要な手段であり、プラットフォーム経済の安定的かつ健全な発展を促進するための客観的な必要性があります。 国は、ネットワークプラットフォーム事業者が事業発展のニーズに基づいて、資金調達や上場活動を行うことを奨励しています。 事業者は、開発プロセスにおけるネットワーク・セキュリティとデータ・セキュリティ・リスクの防止に注意を払い、国家安全保障のボトムラインをしっかりと守り、コンプライアンスを遵守した運用を行い、セキュリティと開発を両立させ、セキュリティを企業の持続的な発展のための原動力としなければならない。
(作者:齐越,中国网络安全审查技术与认证中心)  (著者:Qi Yue, China Network Security Review Technology and Certification Centre)
专家解读|新版《网络安全审查办法》有力夯实国家数据安全保障基石 専門家の解釈|新「ネットワークセキュリティ審査弁法」による国家データセキュリティ保護の基礎の強化

当前,数据作为国家新型生产要素和基础战略资源的代表,数据安全已成为保障网络强国建设、护航数字经济发展的安全基石。2022年2月15日起,国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称新版《审查办法》)开始施行,新修订内容针对数据处理活动,聚焦国家数据安全风险,明确运营者赴国外上市的网络安全审查要求,为构建完善国家网络安全审查机制,切实保障国家安全提供了有力抓手。
現在、データは国の新たな生産要素と基本的な戦略資源の代表として、データセキュリティは強いネットワーク国家の建設を守り、デジタル経済の発展を護るセキュリティの基礎となっています。 2022年2月15日以降、国家インターネット情報局など13の部門が共同で「ネットワークセキュリティ審査弁法」(以下、新「審査弁法」)を改訂して発表し、データ処理に関する新たな改訂内容を発効しました。 今回の改訂では、データ処理活動、国家のデータセキュリティリスクに焦点を当て、海外で公開する事業者のサイバーセキュリティ審査の要件を明確にし、完璧な国家のサイバーセキュリティ審査メカニズムを構築し、国家のセキュリティを効果的に保護するための強力なグリップを提供しています。
一、审查对象新增数据处理活动,突出赴国外上市申报审查 1. 新規のデータ処理活動の見直し、海外上場宣言の見直しを中心に
(一)影响或者可能影响国家安全的数据处理活动在审查范围内 (1) 審査の対象となる国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動
与上版《审查办法》相比,新版《审查办法》要求网络平台运营者开展数据处理活动,影响或者可能影响国家安全的应按照新版《审查办法》进行网络安全审查。这意味着除了关键信息基础设施运营者采购网络产品和服务外,网络运营者开展影响或者可能影响国家安全的数据处理活动,也将在网络安全审查范围内。 旧「審査弁法」と比較して、新「審査弁法」では、国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動を行うネットワークプラットフォーム事業者は、ネットワークセキュリティに関する新「審査弁法」に従って審査を受ける必要があります。 つまり、重要情報インフラ事業者によるネットワーク製品・サービスの調達に加えて、国家安全保障に影響を与える、または影響を与える可能性のあるネットワーク事業者が行うデータ処理活動もサイバーセキュリティ審査の対象となります。
判断影响或者可能影响国家安全的数据处理活动,可从数据处理活动是否存在或疑似存在危害国家安全行为,或者是否存在国家安全风险等方面进行判断,例如掌握100万用户个人信息的运营者赴国外上市,掌握核心数据或重要数据的运营者赴国外上市,掌握我国禁止或限制出口技术的运营者赴国外上市,汇聚掌握大量关系国家安全、经济发展、公共利益的数据资源的互联网平台运营者实施合并、重组、分立等数据处理活动,一旦影响或者可能影响国家安全的,都可能成为网络安全审查的对象。 国家安全保障に影響を与える、または影響を与える可能性のある情報処理活動は、例えば、100万人のユーザーの個人情報を保有している事業者が海外で公開する場合、コアデータや重要データを保有している事業者が海外で公開する場合、中国で輸出が禁止または制限されている技術を保有している場合など、国家安全保障に悪影響を与える、またはその疑いがあるかどうか、または国家安全保障上のリスクがあるかどうかの観点から判断することができます。 海外で公開するために、国家安全保障、経済発展、公共の利益に関わる大量のデータ資源を保有するインターネットプラットフォーム事業者が合併、再編、分社化などのデータ処理活動を実施するために収束することで、国家安全保障に影響を与える、または影響を与える可能性があるとサイバーセキュリティ審査の対象となる可能性があります。
(二)超过100万用户个人信息的运营者赴国外上市应申报审查 (2) 100万人以上のユーザーの個人情報を持つ事業者は、海外での上場を申告して審査を受けてください。
新版《审查办法》明确规定掌握超过100万用户个人信息的网络平台运营者赴国外上市必须申报网络安全审查。按照中国证监会公布的《国务院关于境内企业境外发行证券和上市的管理规定(草案征求意见稿)》和《境内企业境外发行证券和上市备案管理办法(征求意见稿)》,赴国外上市的主体涉及境内企业国外直接发行上市、境内企业国外间接发行上市。其中,直接发行上市是指注册在境内的股份有限公司在国外发行证券或者将其证券在国外上市交易;间接发行上市是指主要业务经营活动在境内的企业,以境外企业的名义,基于境内企业的股权、资产、收益或其他类似权益在国外发行证券或者将证券在国外上市交易。 新「審査弁法」では、100万人以上のユーザーの個人情報を持つオンラインプラットフォームの運営者は、海外上場に対してサイバーセキュリティの審査を申告しなければならないと明確に規定されています。 証監会が発表した「国内企業の海外での証券発行・上場に関する国務院の管理規定(パブリックコメント用ドラフト)」と「国内企業の海外での証券発行・上場に関する管理弁法(パブリックコメント用ドラフト)」によると、海外上場の主な対象は、国内企業による海外直接発行上場と、国内企業による海外間接発行上場となっています。 このうち、直接発行上場とは、領域内で登記された株式有限会社による海外での証券の発行または海外での証券の上場取引を指し、間接発行上場とは、領域内で主な事業活動を行っている企業が、外国企業の名義で国内企業の持分、資産、収入またはその他の同様の利益に基づいて、海外での証券の発行または海外での証券の上場・取引を行うことを指します。
赴国外上市的方式或途径,包括但不限于首次公开发行并上市(IPO)、特殊目的公司收购(SPAC)上市、借壳上市,通过一次或多次收购、换股、划转以及其他交易安排实现境内企业资产境外直接或间接上市,境内上市公司分拆所属境内企业到国外发行上市,境内上市公司以境内上市股份为基础证券在国外发行可转换为基础证券的存托凭证等。此外,虽然新版《审查办法》没有提及赴香港上市,但是掌握超过100万用户个人信息的运营者赴香港上市,仍应按照数据出境安全评估的有关规定进行评估。 海外での上場の方法や手段としては、新規株式公開・上場(IPO)、特別目的会社買収(SPAC)、シェル上場、1回以上の買収、株式交換、譲渡などの取引を通じた国内企業の資産の海外での直接または間接的な上場、国内上場企業による海外での発行・上場のための国内企業のスピンオフ、国内上場企業による国内上場企業を利用した海外での発行・上場などがありますが、これらに限定されるものではありません。 また、新「審査弁法」は預託証券の発行には適用されません。 また、新バージョンの審査弁法では、香港での上場については言及されていませんが、100万人以上のユーザーの個人情報を保有する事業者は、香港での上場に向けて、データ出口のセキュリティ評価の関連規定に基づいて評価を受ける必要があるとしています。
二、审查评估聚焦国家数据安全风险因素 2. 国のデータセキュリティのリスク要因に焦点を当てたレビューと評価
运营者开展影响或可能影响国家安全的数据处理活动,可能带来多种国家数据安全风险,新版《审查办法》在供应链安全风险评价的基础上,新增了国家数据安全风险因素评价。 国家安全保障に影響を与える、または影響を与える可能性のあるデータ処理活動を行う事業者は、さまざまな国家データセキュリティリスクを引き起こす可能性があります。 新「審査弁法」では、サプライチェーンのセキュリティリスク評価に加えて、国家データセキュリティリスク要因の評価が追加されています。
(一)数据被窃取、泄露、毁损、非法利用、非法出境风险 (1) データの盗難、漏洩、破壊、不正使用、不正退出のリスク
运营者对核心数据、重要数据、大量个人信息开展数据处理活动时,一旦数据被窃取、泄露、毁损、非法利用或非法出境,可能直接存在国家安全或公共利益风险:一是数据窃取或泄露。由于黑客攻击、员工窃取、数据安全能力不足、内部违规操作、违规共享等原因,处理的核心数据、重要数据或大量个人信息可能被窃取、未授权或违规泄露。二是数据毁损。处理的核心数据、重要数据或大量个人信息被违规篡改、破坏、丢失,危害数据的完整性和可用性。三是数据非法利用。例如大型网络平台运营者,可能汇聚了大量涉及国家安全、公共利益或个人权益的数据,一旦滥用大数据技术对掌握的大量敏感数据进行分析挖掘并任意共享或发布,可能对国家安全或公共利益造成威胁。四是数据非法出境。按照我国数据安全法律法规要求,关键信息基础设施运营者、重要数据处理者、超过100万用户个人信息的运营者等的个人信息和重要数据出境,应通过国家网信部门组织的数据出境安全评估。 事業者がコアデータ、重要データ、大量の個人情報を対象とした情報処理活動を行う場合、データの盗用、漏洩、破壊、不正使用、不正出国などが行われると、直接的な国家安全保障上または公共の利益上のリスクが生じる可能性があります:まず、データの盗用または漏洩。 ハッキング、従業員の窃盗、データセキュリティ能力の不備、社内の不正、不正な共有などにより、コアデータ、重要データ、処理された大量の個人情報が盗まれたり、不正に流出したりする可能性があります。 2つ目は、データの破壊。 核となるデータ、重要なデータ、または大量に処理された個人情報が、法律に違反して改ざん、破壊、または紛失され、データの完全性と可用性が危うくなること。 3つ目は、データの不正利用です。 例えば、大規模なネットワークプラットフォーム事業者は、国家安全保障、公共利益、個人の権利利益に関わる大量のデータを集約している可能性があり、ビッグデータ技術を悪用して、保有する大量のセンシティブなデータを分析・採掘し、恣意的に共有・公開すると、国家安全保障や公共利益に脅威を与える可能性があります。 4つ目は、データが違法に輸出されること。 中国のデータセキュリティ法令に基づき、重要な情報インフラの運営者、重要なデータ処理者、100万人以上のユーザーの個人情報を取り扱う国外の運営者などの個人情報および重要データは、国家ネットワーク情報部門が主催するデータ出口セキュリティ評価に合格する必要があります。
(二)外国政府影响、控制、恶意利用和网络信息安全风险 (2) 外国政府の影響力、支配力、悪意のある使用、ネットワーク情報セキュリティのリスク
随着美国《外国公司问责法案》落地执行,美国证券交易委员会(SEC)要求在美国上市的外国企业披露是否由政府实体拥有或控制、存在的监管环境风险,同时要求审计公司接受美国公共公司会计监督委员会(PCAOB)检查,披露上市公司的审计细节、工作底稿等信息。在这一背景下,赴国外上市的运营者将面临更多的国家数据安全风险,例如关键信息基础设施被外国政府影响、控制、恶意利用的风险;国外监管机构调取上市公司的敏感数据,导致核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险;网络信息舆论被境外机构操纵风险;上市公司控制权发生重大变更等。 米国外資系企業説明責任法の施行を受けて、米国証券取引委員会(SEC)は、米国で上場している外資系企業に対して、政府機関が所有または支配しているかどうかや、存在する規制環境のリスクを開示することを求め、また、監査法人に対しては、米国公開会社会計監視委員会(PCAOB)の検査を受け、上場企業の監査内容やワーキングペーパーなどの情報を開示することを求めています。 このような状況において、海外に上場している事業者は、重要な情報インフラが外国政府によって影響を受けたり、支配されたり、悪意を持って利用されるリスク、上場企業のセンシティブデータが外国の規制当局によってアクセスされ、その結果、コアデータ、重要データ、または大量の個人情報が外国政府によって影響を受けたり、支配されたり、悪意を持って利用されるリスク、インターネット上の世論が外国の機関によって操作されるリスク、上場企業の支配権が大幅に変更されるリスクなど、より多くの国家的なデータセキュリティリスクに直面することになります。
三、小结 3. 小括
新版《审查办法》的发布,推动国家数据安全治理进入新阶段。网络运营者开展核心数据、重要数据和大量个人信息的数据处理活动时,应加强国家安全意识,预判数据处理活动可能带来的国家安全风险,影响或者可能影响国家安全的及时向网络安全审查办公室报告甚至申报网络安全审查,主动防范可能造成的国家安全风险。我国网络安全审查制度的不断完善,将为我国数据安全和网络安全保障体系建设打下坚实基础。 新「審査弁法」の発行は、国家のデータセキュリティガバナンスの新たな段階を促進するものです。 ネットワーク事業者は、基幹データ、重要データ、大量の個人情報のデータ処理活動を行う際には、国家安全保障意識を強化し、データ処理活動によってもたらされる可能性のある国家安全保障上のリスクを予測し、国家安全保障に影響を与える、あるいは影響を与える可能性がある場合には、ネットワークセキュリティ審査室にタイムリーに報告、あるいは申告を行い、引き起こされる可能性のある国家安全保障上のリスクを率先して防止する必要があると考えられます。 中国のネットワークセキュリティ審査システムが継続的に改善されることで、中国のデータセキュリティおよびネットワークセキュリティ保証システムの構築のための強固な基礎が築かれます。
(作者:胡影,中国电子技术标准化研究院)  (著者:Hu Ying, China Electronics Technology Standardisation Institute)

 

 

1_20210612030101

ネットワークセキュリティ審査弁法の条文...

・2022.01.04 网络安全审查办法

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

・2022.01.19 中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2022.01.03 中国 全国人民大会 個人情報保護法についての記事

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年国家情報化計画」を発表していますね。。。

・2021.12.28 中国 全国人民大会 法の支配に向かうデータセキュリティ

・2021.12.27 中国 通信院 テレマティックス白書と量子情報技術の開発と応用に関する調査報告書

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.25 中国 意見募集 産業情報技術分野におけるデータセキュリティリスク情報の報告・共有に関するガイドライン(試行)

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.12 中国 サイバースペース管理局が、CNCERTと中国サイバースペースセキュリティ協会が、アプリによる個人情報の違法・不正な収集・利用に関する監視・分析レポートを発表したと公表していますね。。。

・2021.11.28 中国 国家サイバースペース管理局が「芸能スターのオンライン情報の規制に関連する業務の更なる強化に関する通知」を公表していますね。。。

・2021.11.21 中国通信院 モバイルインターネットアプリケーション(APP)の個人情報保護ガバナンスに関するホワイトペーパー

・2021.11.20 中国 インターネットの法の支配についての普及・教育計画

・2021.11.16 中国 意見募集 ネットワークデータセキュリティ管理条例

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

・2021.11.01 中国 意見募集 インターネットユーザアカウント名情報の管理に関する規則

・2021.10.22 中国 意見募集 国家標準案「情報セキュリティ技術 自動車収集データに関するセキュリティ要件 」

・2021.10.13 中国 TC260 15のセキュリティ関連の標準を決定

・2021.10.04 中国 意見募集 ネットワークセキュリティ基準実施要領-データ分類・等級付けガイドライン(案)

・2021.08.31 中国 「個人情報保護法」についての専門家の解釈

・2021.08.30 中国 「重要情報インフラのセキュリティ保護規制」についての専門家の解釈+「データセキュリティ法」についての解釈

・2021.08.30 中国 2021年のサイバーセキュリティに関する国家標準プロジェクトリスト

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.24 中国 全国人民代表大会常務委員会法制委員会経済法室の楊和慶副室長による個人情報保護法の説明

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.08.22 中国 個人情報保護法は2021.11.01施行

・2021.08.18 中国 国務院令第745号 重要情報インフラのセキュリティ保護規制

・2021.08.15 中国 個人情報保護法案が少し改訂されているようですね。。。

・2021.08.13 中国 意見募集 「情報セキュリティ技術 情報システムセキュリティ保証評価フレームワーク第1部:導入と一般モデル」の国家標準の改訂案を発表し、意見募集していますね。。。at 2021.07.23

・2021.08.11 中国 通信院 プライバシーコンピューティング白書 (2021) at 2021.07.21

・2021.08.04 中国 通信院 クラウドコンピューティング白書

・2021.07.25 中国 CNCERT / CCが2020年のインターネットセキュリティ報告書を公開

・2021.07.16 中国 ネットワーク製品のセキュリティ脆弱性管理に関する規定を公開

・2021.07.14 中国 工業情報化部 意見募集 「サイバーセキュリティ産業の質の高い発展のための3カ年行動計画(2021-2023)」

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

・2021.05.20 中国 意見募集 自動車データセキュリティの管理に関する規定 at 2021.05.12

・2021.05.19 中国 スパイ対策のセキュリティ作業を強化・標準化する等のための「スパイ活動のセキュリティ対策規定」を制定していました...

・2021.05.13 中国 意見募集 顔認識、歩行認識、音声認識に続けて、遺伝子認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.05.02 デジタルチャイナの情報セキュリティ・プライバシーに対する中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)の記事

・2021.04.28 中国 意見募集 スマホアプリによる個人情報保護管理に関する暫定規定

・2021.01.09 中国 互联网信息服务管理办法(インターネット情報サービスの運営に関する措置)の改訂案について意見募集中

・2020.12.17 中国 セキュリティ評価に合格したクラウドプラットフォーム

・2020.11.12 中国 TC260 パブコメ オンライン車予約サービスのデータセキュリティに関するガイド案

・2020.11.10 中国 TC260 ネットワークセキュリティ状況認識技術の標準化に関する白書

・2020.10.29 中国が情報セキュリティに関連の国家標準のパブコメ (2020.03.20期日以降2020.11.29まで分)

・2020.10.29 パブコメ 中国の個人情報保護法案 (2020.10.22)

・2020.10.29 中国中央銀行がクラウドコンピューティングテクノロジーに関する3つの金融業界標準を発表しましたね。。。

・2020.10.20 中国 パブコメ 商業銀行法改正 商業銀行に対し、個人情報の適正な取得、目的外利用の禁止、安全の確保等の義務付け

・2020.09.10 中国が「グローバル データ セキュリティ イニシアティブ」構想を米国の「クリーン ネットワーク」プログラム発表の1ヶ月後に提案

・2020.07.06 中国のデータセキュリティ法案

 

これ、前のバージョンです。。。

・2020.06.09 中国 「サイバーセキュリティー審査弁法」が6月1日より施行されましたね。。。

・2020.05.02 中国 サイバースペース管理局、他11局が共同で、サイバーセキュリティレビューのための措置を発行しましたね。。。

・2020.02.22 中国サイバーセキュリティ関連組織・・・

・2020.02.21 中国のサイバーセキュリティ法(CCSL)関係

・2020.02.04 中国が情報セキュリティ関連の国家標準のパブコメを18件出していました・・・

 

かなり遡りますが、、、

・2005.09.27 中国 新規則策定 ネット上で非合法な集会・デモ禁止

 

| | Comments (0)

中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

こんにちは、丸山満彦です。

このブログでも触れていますが、、、昨年末の2021年12月28日に「中国共産党のネットワークセキュリティ・情報技術中央委員会」が「第14次5ヵ年計画における国家情報化計画」を発表しています。

それについての3つの専門家の意見が、「国家互联网信息办公室(国家サイバースペース管理局)」のウェブページに掲載されていました・・・

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.02.16 《“十四五”国家信息化规划》专家谈:加强数字化发展治理 推进数字中国建设 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:デジタル開発とガバナンスを強化し、デジタル中国の構築を促進する
2022.02.16 《“十四五”国家信息化规划》专家谈:深入实施创新驱动发展战略
构建释放数字生产力创新发展体系
「第145ヵ年計画における国家情報化計画」に関する専門家の意見:イノベーション主導の発展戦略の徹底解説
デジタル生産性を発揮するための革新的な開発システムの構築
2022.02.16 《“十四五”国家信息化规划》专家谈:构筑共建共治共享的数字社会治理体系 「第145ヵ年計画における国家情報化計画」に関する専門家の意見:共同建設、共同統治、共有のデジタル社会統治システムの構築

 

《“十四五”国家信息化规划》专家谈:加强数字化发展治理 推进数字中国建设 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:デジタル開発とガバナンスを強化し、デジタル中国の構築を促進する
编者按:党中央、国务院高度重视信息化工作,习近平总书记强调,没有信息化就没有现代化。信息化为中华民族带来了千载难逢的机遇,必须敏锐抓住信息化发展的历史机遇。“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。为使社会各界更好理解《规划》的主要内容,中央网信办组织有关专家学者对《规划》各项重点任务进行研究解读,共同展望数字中国建设新图景。 編集部注:党中央委員会と国務院は情報化を重視しており、習近平総書記は「情報化なくして近代化なし」と強調しています。 情報技術は中華民族に千載一遇のチャンスをもたらし、その発展の歴史的な機会を鋭く捉えなければなりません。 「第14次5カ年計画」期間中、情報化はデジタル開発を加速し、デジタル中国を構築するという新たな段階に入りました。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」)を発表し、第14次5ヵ年計画期間中の中国における情報化の発展について取り決めました。 計画の主な内容を社会に理解してもらうために、中央インターネット情報局は関連する専門家や学者を組織し、計画の重要な課題を検討・解釈し、デジタル中国の構築の新しい姿を共同で期待しています。
习近平总书记指出:“数字技术正以新理念、新业态、新模式全面融入人类经济、政治、文化、社会、生态文明建设各领域和全过程,给人类生产生活带来广泛而深刻的影响。”近年来,数字技术创新和迭代速度明显加快,在提高社会生产力、优化资源配置的同时,也带来一些新问题新挑战,迫切需要对数字化发展进行治理,营造良好数字生态。“十四五”规划纲要专门设置“加快数字化发展建设数字中国”章节,并对加快建设数字经济、数字社会、数字政府,营造良好数字生态作出明确部署。深入学习贯彻习近平总书记重要讲话精神,落实“十四五”规划纲要部署,中央网络安全和信息化委员会日前印发《“十四五”国家信息化规划》(以下简称《规划》),提出要建立健全规范有序的数字化发展治理体系。这将推动营造开放、健康、安全的数字生态,加快数字中国建设进程。 習近平総書記は、「デジタル技術は、新しいアイデア、新しいビジネスモデル、新しいモードをもって、人類の経済、政治、文化、社会、エコシステムの文明建設のすべての分野とプロセスに包括的に組み込まれ、人類の生産と生活に広範で深遠な影響をもたらしている」と指摘しました。近年、デジタル技術の革新と反復のスピードは著しく加速しており、社会的生産性の向上や資源配分の最適化の一方で、いくつかの新しい問題や課題をもたらしており、デジタル開発のガバナンスと良好なデジタル・エコロジーの構築が急務となっています。 「第14次5カ年計画」の概要では、「デジタル発展の加速とデジタル中国の構築」という特別章を設け、デジタル経済、デジタル社会、デジタル政府の構築を加速し、良好なデジタルエコロジーを構築するための取り決めを明確にしています。 習近平総書記の重要な演説の精神をさらに研究し、実行し、「第14次5カ年計画」の概要を実行するために、ネットワークセキュリティ・情報化中央委員会は最近、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」という)を発表し、健全な情報化社会を構築することを提案しました。 これにより、デジタル開発のための、オープンで健全かつ安全なガバナンスシステムの構築が促進されます。 これにより、オープンで健全かつ安全なデジタルエコロジーの構築が促進され、デジタル中国の構築プロセスが加速されます。
准确把握数字化发展治理的对象 デジタル開発やガバナンスの対象の正確な把握
近年来,我国大力推进5G、物联网、云计算、大数据、人工智能、区块链等新技术新应用,坚持创新赋能,激发数字经济新活力,数字生态建设取得积极成效,有力促进了各类要素在生产、分配、流通、消费各环节有机衔接,实现了产业链、供应链、价值链优化升级和融合贯通,为建设网络强国和数字中国奠定了重要基础。同时,数字化快速发展中也出现了一些新问题新挑战,亟须明确治理对象,加强数字化发展治理。 近年、中国は、5G、モノのインターネット、クラウドコンピューティング、ビッグデータ、人工知能、ブロックチェーンなどの新技術やアプリケーションを強力に推進し、イノベーションのエンパワーメントを主張し、デジタル経済の新たな活力を刺激し、デジタルエコロジーの構築で成果を上げ、生産、流通、循環、消費のあらゆる面でさまざまな要素の有機的なつながりを強力に推進し、産業チェーン、サプライチェーン、バリューチェーンの最適化、高度化、統合を実現し、ネットワーク構築の重要な基盤を築いてきました。 これにより、強力なネットワーク国とデジタル中国を構築するための重要な基礎が築かれました。 一方で、デジタル化の急速な進展に伴い、いくつかの新たな問題や課題が発生しており、ガバナンスの対象を明確にし、デジタル開発のガバナンスを強化することが急務となっています。
规范平台经济发展。习近平总书记指出:“我国平台经济发展正处在关键时期,要着眼长远、兼顾当前,补齐短板、强化弱项,营造创新环境,解决突出矛盾和问题,推动平台经济规范健康持续发展”。近年来,我国平台经济在经济社会发展全局中的地位和作用日益凸显,发展的总体态势是好的、作用是积极的,同时也存在一些突出问题,比如,一些平台企业发展不规范、存在风险;平台经济发展不充分、存在短板;互联网平台垄断问题日益突出,从长远看会影响行业整体的良性发展。完善法律法规和监管机制,引导平台经济领域经营者依法合规经营,有利于维护消费者合法权益和社会公共利益,促进数字经济持续健康发展。 プラットフォーム経済の発展の規制。 習近平総書記は、「中国のプラットフォーム経済の発展は重要な時期にあり、長期的な視点に立ち、現在の状況を考慮し、欠点を補い、弱点を強化し、革新的な環境を作り、未解決の矛盾や問題を解決し、プラットフォーム経済の標準化された健全で持続可能な発展を促進すべきである」と指摘しています。 例えば、一部のプラットフォーム企業の発展が標準化されておらずリスクがあること、プラットフォーム経済が十分に発展しておらず欠点があること、インターネットプラットフォームの独占問題がますます顕著になってきており、長期的には産業全体の穏やかな発展に影響を与えることになることなどです。 プラットフォーム経済の事業者が法律を遵守して事業を行うよう導くために、法律、規制、規制の仕組みを改善することは、消費者の正当な権利・利益と社会の公益を保護し、デジタル経済の持続的かつ健全な発展を促進することにつながります。
应对数字技术带来的风险挑战。习近平总书记在网络安全和信息化工作座谈会上指出:“古往今来,很多技术都是‘双刃剑’,一方面可以造福社会、造福人民,另一方面也可以被一些人用来损害社会公共利益和民众利益。”当前,以5G、人工智能、区块链、大数据等信息技术为代表的新一轮科技革命和产业变革加速推进,成为推动经济社会发展的主要动能。数字技术的广泛应用,在不断改变人们生活和交往方式的同时,也深刻影响人们的行为和思考方式以及价值观念和道德观念,带来了潜在风险。例如,个人信息和数据泄露带来个人隐私保护风险、算法推荐加剧“信息茧房”、人工智能技术带来伦理安全风险等。应对数字技术带来的风险挑战,向互联网服务管理模式提出了新的更高要求。 デジタル技術がもたらすリスクの課題への対処。 習近平総書記は、「ネットワークセキュリティと情報化に関するシンポジウム」で、「時代を通じ、多くの技術は、一方では社会や人民に利益をもたらすが、他方では一部の者によって社会の公益や人民の利益を害するために利用されることもある『諸刃の剣』である」と指摘しました。 現在、5G、人工知能、ブロックチェーン、ビッグデータなどの情報技術に代表される技術革命・産業変革の新ラウンドが加速しており、経済・社会の発展の大きな原動力となっています。 デジタル技術の普及は、人々の生活や関わり方を常に変化させる一方で、人々の行動や考え方、価値観や倫理観にも大きな影響を与え、潜在的なリスクをもたらしています。 例えば、個人情報やデータの漏洩は個人のプライバシーにリスクをもたらし、アルゴリズムによる推薦は「情報の繭」を悪化させ、人工知能技術は倫理的な安全性にリスクをもたらします。 デジタル技術がもたらす課題への対応は、インターネットサービスの管理モデルに新たな高い要求を突きつけています。
营造清朗的网络空间。习近平总书记指出:“网络空间是亿万民众共同的精神家园。”当前,我国网络综合治理体系建设取得积极成效,系统治理、依法治理、综合治理、源头治理等统筹推进,特别是针对群众反映强烈的网络生态乱象,不断压实网站平台信息内容主体责任,建立行业自律机制,深入推进“清朗”“净网”系列专项行动,网上主流思想舆论不断壮大,网络空间持续净化。营造清朗的网络空间是一项长期工作,需要持续强化网络内容治理,确保信息内容规范、积极向上;不断加强网络空间行为规范建设,培育符合社会主义核心价值观的网络伦理和行为规范;进一步完善体制机制,不断加强相关领域保护措施落实情况的监督检查。 クリアなサイバー空間の実現。 習近平総書記は、「サイバー空間は何億人もの人々の共通の心の故郷である」と指摘しています。現時点では、中国の包括的なネットワークガバナンスシステムの構築が肯定的な結果を達成している、システムのガバナンス、法的なガバナンス、包括的なガバナンス、ソースのガバナンスと他の統合されたプロモーションは、特にネットワークの生態系の混乱の強い公共の反射に対応して、常にウェブサイトのプラットフォームの情報コンテンツの主な責任をコンパクトに、業界の自主規制のメカニズムの確立し、さらに、インターネットに対する主流の世論が継続的に高まり、サイバースペースが浄化されていくように、「ネットをクリアにする」「ネットを浄化する」ための一連の特別行動を推進しています。クリアなサイバースペースの構築は長期的な課題であり、情報コンテンツが標準化されたポジティブなものであることを保証するためにオンラインコンテンツ・ガバナンスを継続的に強化し、社会主義の中核的価値観に沿ったオンライン倫理と行動規範を育成するためにサイバー空間における行動規範の構築を継続的に強化し、関連分野における保護措置の実施に対する監督・検査を継続的に強化するために制度的メカニズムをさらに改善することが必要です。
加强网络安全保障。习近平总书记指出:“网络安全对国家安全牵一发而动全身,同许多其他方面的安全都有着密切关系。”党的十八大以来,我国网络安全保障能力建设得到加强,国家网络安全屏障进一步巩固。同时,在数字化转型进程中,网络安全威胁也加速演进。随着新技术新应用的大规模发展,数据泄露、网络诈骗、勒索病毒、安全漏洞等网络安全威胁日益凸显,网络安全工作面临新的风险挑战。没有网络安全就没有国家安全,就没有经济社会稳定运行,广大人民群众利益也难以得到保障。保护网络安全刻不容缓。 サイバー・セキュリティの強化。 習近平総書記は、「サイバーセキュリティは国家安全保障に大きな影響を与え、安全保障の他の多くの側面と密接に関連している」と指摘しました。 第18回党大会以降、中国のサイバーセキュリティの能力向上は強化され、国家のサイバーセキュリティの壁はさらに強固なものとなりました。 一方で、デジタルトランスフォーメーションの過程で、サイバーセキュリティの脅威も進化を加速させています。 新しい技術やアプリケーションの大規模な開発に伴い、データ漏洩、サイバー詐欺、ランサムウェアウィルス、セキュリティの抜け穴などのサイバーセキュリティの脅威がますます顕著になり、サイバーセキュリティの仕事は新たなリスクの課題に直面しています。 サイバーセキュリティがなければ、国家の安全保障も、経済・社会の安定した運営もできず、一般市民の利益を守ることも困難です。 サイバーセキュリティを守ることは、緊急の課題です。
分类施策构建数字化发展治理机制 カテゴリー別アプローチによるデジタル開発のガバナンス機構の構築
针对不同领域、不同主题的治理对象,《规划》坚持分类施策、精准施策,探索构建系统化的数字化发展治理机制。 ガバナンスの対象となる様々な分野やテーマについて、本計画では分類的で正確な政策を主張し、デジタル開発のための体系的なガバナンス・メカニズムの構築を模索しています。
加强互联网平台治理。中央财经委员会第九次会议强调:“把握平台经济发展规律,建立健全平台经济治理体系”。伴随平台经济快速发展,我国持续加强相关法律法规建设、压实平台主体合规责任,鼓励平台企业创新技术应用、提升产品服务质量,加大平台反垄断监管力度,促进行业健康有序发展。《规划》强调强化平台治理体系,包括“完善违法内容举报与处理披露机制,引导平台企业及时主动公开违法违规内容自查处置情况,及时预警排查重大风险隐患”,这为平台企业超前排查风险隐患提供了指南。《规划》提出“鼓励平台企业将更多资源用于创新技术应用,提升产品质量服务,优化平台运行规则和平台营商环境,促进行业健康发展”,旨在鼓励平台企业加强创新能力建设,提高产品服务大众水平,在推动关键核心技术突破、推动我国数字经济发展、推动更好造福人民上更进一步。   インターネット・プラットフォームのガバナンスの強化。 中央財経委員会第9回会議では、「プラットフォーム経済発展の法則を把握し、健全なプラットフォーム経済のガバナンスシステムを構築する」ことが強調されました。 プラットフォーム経済の急速な発展に伴い、中国は引き続き関連法規の構築を強化し、プラットフォームの主なコンプライアンス責任をコンパクトにし、プラットフォーム企業に技術アプリケーションの革新を促し、製品やサービスの品質を向上させ、プラットフォームの独占禁止監督を強化して、業界の健全で秩序ある発展を促進していきます。 同計画では、「違法コンテンツの報告・開示処理の仕組みを改善し、プラットフォーム企業が率先して違法コンテンツの自己調査・処分を適時に開示するよう指導し、重大なリスクや隠れた危険を特定するために適時に警告を行う」など、プラットフォームガバナンス体制の強化を強調しており、プラットフォーム企業がリスクや隠れた危険を事前に把握するための指針となっています。 この計画では、「プラットフォーム企業が革新的な技術の応用により多くの資源を投入し、製品の品質とサービスを向上させ、プラットフォームの運用ルールとプラットフォームのビジネス環境を最適化し、業界の健全な発展を促進する」ことを提案しています。これは、プラットフォーム企業がイノベーション能力の構築を強化し、一般向けの製品サービスを向上させ、主要なコア技術のブレークスルーを促進する上で重要な役割を果たし、中国の経済発展を促進することを目的としています。 その目的は、プラットフォーム企業がイノベーション能力の構築を強化し、国民に提供する製品のレベルを向上させ、主要なコア技術のブレークスルーを促進することで、中国のデジタル経済の発展を促進し、国民により良い利益をもたらすことにあります。
强化技术规则治理。习近平总书记指出:“要全面提升技术治网能力和水平,规范数据资源利用,防范大数据等新技术带来的风险。”当前,科技创新能力已成为综合国力竞争的决定性因素。实现科技向善,使创新科技为人类所用,必须不断建立健全技术规则治理体系。我国已陆续出台《常见类型移动互联网应用程序必要个人信息范围规定》《互联网信息服务算法推荐管理规定》等规章制度,围绕个人隐私保护、算法推荐等问题加强规范。面对不断创新的数字技术对治理提出的新要求,《规划》强调:“建立和完善数字技术应用审查机制和监管法律体系,开展技术算法规制、标准制定、安全评估审查、伦理论证等工作”“发挥国家科技伦理委员会统筹规范和指导协调作用,加快构建科技伦理治理体系”“加大社会公众数字技术安全风险教育宣传,提升社会各界技术风险防范和责任意识”。这为新技术发展划出合理的伦理边界,将进一步夯实新兴技术为人类造福的机制基础,为科技创新发展保驾护航。 テクノロジー・ルールのガバナンスの強化。 習近平総書記は、「テクノロジーガバナンスの能力とレベルを総合的に向上させ、データ資源の利用を規制し、ビッグデータなどの新技術がもたらすリスクを防ぐべきだ」と指摘しました。 現在、総合的な国力を競う上で、科学技術の革新力が決定的な要素となっています。科学技術の利益を達成し、革新的な科学技術を人類に提供するためには、技術ルールの健全なガバナンスシステムを継続的に確立する必要があります。中国では、「共通タイプのモバイルインターネットアプリケーションにおける必要な個人情報の範囲に関する規定」や「インターネット情報サービスのアルゴリズム推奨管理規則」などの規定を相次いで発行し、個人のプライバシー保護やアルゴリズム推奨などの問題に関する規制を強化しています。 進化し続けるデジタル技術がもたらす新たなガバナンスへの要求に応えるため、本計画では、「デジタル技術の応用に関する審査メカニズムと規制法制度を確立・改善し、技術的アルゴリズムの規制、基準設定、安全性評価・審査、倫理的検証に関する作業を実施する」「国家科学技術倫理委員会の役割を果たす」などを強調しています。 国家科学技術倫理委員会が調整・指導の役割を果たし、科学技術の倫理的なガバナンスシステムの構築を加速する」「デジタル技術の安全リスクに関する国民の教育・広報を強化し、社会の各部門における技術リスクの予防と責任に関する意識を高める」としています。 これにより、新技術の開発に合理的な倫理的境界線が引かれ、人類に恩恵をもたらす新技術の制度的基盤がさらに強化され、科学技術イノベーションの発展が守られることになります。
加强网络空间内容治理。习近平总书记指出:“网络空间天朗气清、生态良好,符合人民利益。网络空间乌烟瘴气、生态恶化,不符合人民利益”。网络内容建设是净化网络空间环境的关键,是数字化发展治理体系建设的发力点。我国有关部门已陆续出台《互联网宗教信息服务管理办法》《网络直播营销管理办法(试行)》等规章制度,促进网络空间内容治理,未来还需进一步健全数字化发展治理的法律法规体系。《规划》强调:“完善网络实名法律制度,推进社会公众数字身份管理体系建设,加大数字身份管理体系标准化整合衔接”。这将推动网上网下同心圆中的主体更加统一,网络空间与物理空间深度融合。《规划》指出:“鼓励社会主体依法参与网络内容共治共管,畅通社会监督、受理、处置、反馈、激励闭环流程,激活社会共治积极性”。这有利于充分调动亿万网民参与共建美好网络家园的积极性,有助于营造清朗的网络空间。   サイバー空間におけるコンテンツガバナンスの強化。 習近平総書記は、「サイバー空間がクリアで生態的に健全であることは、人々の利益につながる。 サイバースペースがスモッグになり、エコロジーが悪化しても、国民の利益にはならない」と指摘しました。 ネットワークコンテンツの構築は、サイバー空間環境をクリアにする鍵であり、デジタル開発のガバナンスシステム構築の出発点でもあります。 中国の関連部門は、サイバー空間におけるコンテンツガバナンスを推進するために、「インターネット上の宗教情報サービス管理弁法」や「ライブ中継マーケティング管理弁法(試行用)」などの規定を相次いで発布しており、今後、デジタル開発ガバナンスのための法規制システムをさらに整備していく必要があります。 計画では、「インターネット上の実名に関する法制度を改善し、国民のためのデジタルID管理システムの構築を促進し、デジタルID管理システムの標準化と統合を進める」ことを強調しています。 これにより、オンラインとオフラインの同心円上にある被写体の統一性が高まり、サイバー空間と物理的な空間の統合が深まります。 計画では、"社会的主体が法律に基づいてネットワークコンテンツの共同管理に参加することを奨励し、社会的な監督、受け入れ、廃棄、フィードバック、インセンティブの閉ループプロセスを円滑にし、社会的共通統治の熱意を活性化する "としている。 これは、より良いサイバーホームの構築に参加するために何億ものネットユーザーの熱意を十分に発揮し、クリアなサイバー空間の構築に貢献することにつながります。  
强化网络安全保障能力建设。习近平总书记指出:“网络安全的本质在对抗,对抗的本质在攻防两端能力较量。”我国一方面不断发展新型网络安全防护技术,持续加强网络安全保障体系建设;另一方面积极开展网络安全法律法规和规章制度建设,《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》等多项网络安全领域法律法规已陆续出台。为进一步加强网络安全保障,《规划》提出“加强网络安全核心技术联合攻关,开展高级威胁防护、态势感知、监测预警等关键技术研究,建立安全可控的网络安全软硬件防护体系”,这将促进各领域、各部门联合开展网络安全核心技术攻关,有助于打破行业壁垒,提升攻关效率;提出“实施国家基础网络安全保障能力提升工程”“增强网络安全平台支撑能力”,这将推动全面加强网络安全保障体系和能力建设。   ネットワークセキュリティの能力開発の強化。 習近平総書記は、「サイバーセキュリティの本質は対決にあり、対決の本質は攻守両面での競争力にある」と指摘しています。 中国は、常に新しいネットワーク・セキュリティ保護技術を開発し、ネットワーク・セキュリティ保護システムの構築を継続的に強化しています。一方で、ネットワーク・セキュリティに関する法令や規則の構築を積極的に行っており、「中華人民共和国データセキュリティ法」、「中華人民共和国個人情報保護法」、「重要な情報インフラのセキュリティ保護に関する規則」、「ネットワークセキュリティ審査弁法」など、ネットワーク・セキュリティ分野の多くの法令が制定されています。 ネットワーク・セキュリティをさらに強化するために、「ネットワーク・セキュリティの中核技術の共同研究を強化し、高度な脅威防御、状況認識、監視、早期警告などの重要技術の研究を行い、安全で制御可能なネットワーク・セキュリティ・ソフトウェアおよびハードウェアの保護システムを構築する」ことを提案しています。これにより、さまざまな分野・領域でネットワーク・セキュリティの中核技術の共同研究が促進され、業界の壁を打ち破り、ネットワーク・セキュリティの質を向上させることができます。 これにより、業界の壁を取り払い、研究の効率を高めることができます。提案された「国家基礎ネットワークセキュリティ能力強化プロジェクトの実施」と「ネットワークセキュリティプラットフォームのサポート能力の強化」は、ネットワークセキュリティのセキュリティシステムの全体的な強化と能力開発を促進します。  
多措并举提高数字化发展治理能力 デジタル開発とガバナンス能力向上のためのマルチな施策
加强顶层设计,强化政策制定与部署落实。构建规范有序的数字化治理体系,需要做好顶层设计,把握发展与治理的平衡点,建立全方位、多层次、立体化监管治理体系,实现政府与企业、政府与个体的有效结合与良性互动,推动有效市场和有为政府更好结合。数字化发展涉及领域众多,需要各部门协同配合,针对各行各业研发、生产、销售、应用等全过程,实现发展与治理的融合推进。同时,要落实好已有政策,确保落地见效。 トップレベルの設計の強化と、政策策定と展開実施の強化。 標準化された秩序あるデジタルガバナンスシステムを構築するためには、トップレベルの設計をしっかりと行い、開発とガバナンスのバランスを把握し、全方位、マルチレベル、3次元の規制・ガバナンスシステムを構築し、政府と企業、政府と個人の効果的な組み合わせと積極的な相互作用を実現し、効果的な市場と積極的な政府のより良い組み合わせを促進する必要があります。 デジタル開発には多くの分野が関わっており、様々な産業の研究開発、生産、販売、アプリケーションの全過程において、開発とガバナンスの統合と推進を実現するためには、様々な部門の協力が必要です。 同時に、既存の政策を実行し、現場で効果を発揮させることも重要です。
完善法治体系,打造健康有序的发展环境。根据数字化发展进程,持续完善法治体系。健全新技术应用监管的法律体系,针对技术发展出现的问题,及时研究制定配套法律法规,促进行业健康发展。加快制定标准体系,适时出台行业技术发展标准,促进整个行业产业链加速形成。建立数字技术应用审查机制,开展发布前安全评估审查,有效避免可能出现的各种风险。完善伦理道德规范,针对人工智能、无人驾驶等新技术,开展技术伦理基础研究,加快构建科学有序的技术伦理治理体系。 法の支配システムの改善と健全で秩序ある開発環境の構築。 デジタル化の進展に合わせて、法の支配システムを継続的に改善していきます。 新技術の適用を規制するための法制度を整備するとともに、技術開発に伴う問題に対応して、産業の健全な発展を促すための支援法令を早急に検討・策定します。 標準システムの開発を加速し、技術開発のための業界標準を順次導入し、業界全体のインダストリーチェーンの形成を加速します。 デジタル技術アプリケーションのレビューメカニズムを確立し、発生しうる様々なリスクを効果的に回避するために、リリース前の安全性評価レビューを実施します。 倫理規定を改善し、人工知能やドライバーレスなどの新技術の技術倫理に関する基礎研究を行い、科学的で秩序のある技術倫理ガバナンスシステムの構築を加速します。
增强技术保障,构建安全高效的治理体系。新技术的不断迭代升级,对数字化发展治理提出了更高要求,更需要完善以技术管技术、以技术治技术的监管治理体系。一方面,进一步加强监管与治理方面的技术探索与应用,正确处理安全和发展、开放和自主、管理和服务的关系,强化技术治理水平与能力。另一方面,加强网络安全保障体系和保障能力建设,发挥网络安全技术在新技术领域的支撑保障作用,强化对5G、人工智能、工业互联网等行业的安全保障,完善网络安全监测、通报预警、应急响应与处置机制,打造安全和发展并重的技术治理体系。 技術的セーフガードを強化し、安全で効率的なガバナンスシステムを構築する。 新しい技術の継続的な反復とアップグレードは、デジタル開発のガバナンスに対するより高い要求を突きつけており、技術を技術で管理し、技術を技術で統治するための規制とガバナンスシステムを改善する必要性が高まっています。 一方で、規制やガバナンスにおける技術の探求と応用をさらに強化し、安全と発展、開放と自治、管理とサービスの関係を正しく処理し、技術ガバナンスのレベルと能力を強化する必要があります。 一方で、ネットワークセキュリティ保証システムの構築と保証能力を強化し、新技術分野におけるネットワークセキュリティ技術の支援・保証の役割を果たし、5G、人工知能、産業インターネットなどの産業のセキュリティ保証を強化し、ネットワークセキュリティの監視・通知・早期警報、緊急対応・処理の仕組みを改善し、セキュリティと発展を同等に重視する技術ガバナンスシステムを構築すします。
(执笔:夏学平 邹潇湘 贾朔维 徐艳飞 中国网络空间研究院)  (中国サイバー空間研究所、Xia Xueping、Zou Xiaoxiang、Jia Shuowei、Xu Yanfeiが執筆。)
《“十四五”国家信息化规划》专家谈:深入实施创新驱动发展战略 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:イノベーション主導の発展戦略の徹底解説
构建释放数字生产力创新发展体系 デジタル生産性を発揮するための革新的な開発システムの構築
编者按:党中央、国务院高度重视信息化工作,习近平总书记强调,没有信息化就没有现代化。信息化为中华民族带来了千载难逢的机遇,必须敏锐抓住信息化发展的历史机遇。“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。为使社会各界更好理解《规划》的主要内容,中央网信办组织有关专家学者对《规划》各项重点任务进行研究解读,共同展望数字中国建设新图景。 編集部注:党中央委員会と国務院は情報化を重視しており、習近平総書記は「情報化なくして近代化なし」と強調しています。 情報化は中華民族に千載一遇のチャンスをもたらしており、情報化の歴史的チャンスを鋭く掴まなければなりません。 「第14次5カ年計画期間中、情報化はデジタル開発を加速し、デジタル中国を構築するという新たな段階に入りました。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」)を発表し、第14次5ヵ年計画期間中の中国における情報化の発展について取り決めました。 この計画の主な内容を社会に理解してもらうために、中央インターネット情報局は、関連する専門家や学者を組織して、計画の重要な課題を研究・解釈し、デジタル中国の建設の新しい姿を共同で期待しています。
近期,中央网络安全和信息化委员会印发了《“十四五”国家信息化规划》(以下简称《规划》),明确提出要坚持创新在国家信息化发展中的核心地位,把关键核心技术自立自强作为数字中国的战略支撑,面向世界科技前沿、面向经济主战场、面向国家重大需求、面向人民生命健康,深入实施创新驱动发展战略,构建以技术创新和制度创新双轮驱动、充分释放数字生产力的创新发展体系。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画の国家情報化計画」(以下、「計画」)を発表し、国家情報化の発展における革新の核心的立場を堅持し、重要な核心技術の自立と向上をデジタル中国の戦略的な支えとし、世界の科学技術のフロンティアに立ち向かい、経済的な また、イノベーション主導の発展戦略を実行し、技術革新と制度革新の両輪で動くイノベーション発展システムを構築し、デジタル生産性を全面的に解放することも重要です。
一、创新驱动对新时期信息化发展的重要意义 1. 新時代における情報技術のイノベーション主導型開発の重要性
当前,以信息技术为核心的国际竞争合作进入新阶段,创新成为影响和改变全球竞争格局的关键变量。夯实信息技术基础能力、提升关键技术创新水平、布局前沿技术发展阵地、构建灵活的制度与创新环境,对于完善我国创新发展体系、推动经济高质量发展具有重要意义。   現在、情報技術を核とした国際競争と協力は新たな段階に入っており、イノベーションは世界の競争パターンに影響を与え、変化させる重要な変数となっています。 情報技術の基礎能力を固め、重要な技術革新のレベルを高め、フロンティア技術の開発ポジションを配置し、柔軟なシステムとイノベーション環境を構築することで、中国のイノベーション発展システムを改善し、質の高い経済発展を促進することは大きな意義があります。  
加快推动经济转型发展。面对全球经济增长乏力、疫情蔓延扩散,信息技术的创新应用推动经济转型发展,已成为缓解经济下行的压舱石、带动经济复苏的新引擎和推动经济高质量发展的新动能。   経済的変革の展開の加速。 世界経済の成長が鈍化し、疫病が蔓延する中、経済の変革と発展を促進するための情報技術の革新的な応用は、経済の低迷を緩和するバラスト、経済回復を促進する新たなエンジン、そして質の高い経済発展を促進する新たな原動力となっています。  
支撑实现高水平自立自强。经过多年发展,我国已搭建了信息领域创新体系的基本架构,集成电路、基础软件、装备材料、核心元器件等取得一定突破,产学研用协同创新的生态体系初步形成,但仍面临严峻挑战。实现高水平自立自强,需要坚持技术创新和制度创新双轮驱动,凝聚创新主体合力,优化创新要素配置,推动创新成果转化,加快提升信息领域创新发展能力,切实掌握我国技术自主权和发展主动权。 高いレベルでの自立と自己啓発を実現するためのサポート。 長年の発展を経て、中国は情報分野のイノベーションシステムの基本構造を構築し、集積回路、基本ソフトウェア、機器・材料、コアコンポーネントなどのブレークスルー、産学連携イノベーションのエコシステムの初期形成、研究・利用などを行ってきましたが、依然として深刻な課題に直面しています。 高水準の自立と自己改革を実現するためには、技術革新と制度革新の両輪を堅持し、革新主体の相乗効果を結集し、革新要因の配分を最適化し、革新成果の転換を促進し、情報分野の革新・発展能力の強化を加速し、中国の技術的自律性と発展の主導権を効果的に把握することが必要です。
二、优化科技布局,提升信息领域创新能力  2. 科学技術のレイアウトを最適化し、情報分野のイノベーション能力を高める 
信息技术具有快速迭代、复杂度高、交叉融合等特征,需要依托国家实验室、国家科研机构、高水平研究型大学、科技领军企业等国家战略科技力量,形成大纵深、跨学科合作,提升关键核心技术的创新能力。《规划》从加强信息技术基础研究、强化关键信息技术创新、布局战略性前沿性技术的视角,明确了技术创新的布局优化和能力提升重点,并部署了“前沿数字技术突破行动”,推动形成支撑我国信息化高质量发展的创新发展体系。 情報技術は、急速な反復、高い複雑性、異種混合を特徴としています。そのため、国立研究所、国立研究機関、ハイレベルの研究大学、主要な科学技術企業などの国家戦略的科学技術力に頼り、大規模な深度と学際的な協力関係を形成し、重要なコア技術の革新能力を高める必要があります。 同計画では、情報技術の基礎研究を強化し、重要な情報技術のイノベーションを強化し、戦略的なフロンティア技術を配置するという観点から、技術革新の配置の最適化と能力の向上のための優先事項を規定し、「フロンティアデジタル技術突破行動」を展開して、中国の情報技術の高品質な発展を支えるイノベーション開発システムの形成を推進しています。
强化基础技术与产业共性技术支撑。加大基础研究支持力度,推进关键核心技术新突破,实现基础软件、基础材料、关键零部件等安全可控,形成创新生态体系和产业安全可控能力,是释放数字经济潜能的当务之急。同时,要保持科研的开放性特征,搭建高端交流平台,充分利用好我国重大科学基础设施的集聚性优势,全面强化基础和共性技术领域的多方协同创新。 基礎技術、共通産業技術への支援を強化する。 基礎研究への支援を強化し、主要なコア技術の新たなブレークスルーを促進し、安全で制御可能な基本ソフトウェア、基本材料、主要部品を実現し、イノベーション・エコシステムと安全で制御可能な産業能力を形成することで、デジタル経済の潜在力を解放することが不可欠です。 同時に、科学研究の開かれた性格を維持し、ハイエンドの交流プラットフォームを構築し、中国の主要な科学インフラが集積しているという利点を最大限に活用し、基礎技術や共通技術の分野で多者間の共同イノベーションを総合的に強化することが重要であると考えています。
融通信息产业关键核心技术创新链。关键信息技术创新一方面要充分发挥政府“看得见的手”的作用,利用新型举国体制的制度优势,创新任务布局方式,采用“揭榜挂帅”等方式,在融合多学科优势、汇聚多领域资源、协调多部门政策的基础上,推动创新链、产业链、资金链、人才链、政策链的“五链”融合发展。另一方面,需要发挥市场“看不见的手”的作用,通过设立产业引导基金、建立产业创新联盟等方式,重点突破和集中攻关,不断地“铸长板、补短板、强弱项”,突破“卡脖子”难关。 情報産業のキーとなるコア技術のイノベーションチェーンを統合する。 一方、重要な情報技術の革新は、政府の「目に見える手」の役割を十分に発揮し、新国家システムの制度的な優位性を生かし、タスクのレイアウトを革新し、「リストを公開し、それにつながる」などの方法を採用し、複数の分野の利点を統合し、複数の分野の資源をプールし、複数の部門の政策を調整することを基本とするべきです。 複数の分野の利点を統合し、複数の分野の資源をプールし、複数のセクターの政策を調整することを基本に、イノベーション、産業、資本、人材、政策のチェーンという「5つのチェーン」を推進し、統合していきます。一方で、市場の「見えざる手」の役割を果たし、産業指導基金の設立や産業革新アライアンスの設立などを通じて、重要なブレークスルーと集中的な研究を行い、常に「長板を鋳造し、短板を繕い、弱点を強化する」ことで、困難の「ネック」を突破することが必要です。
统筹战略性和前沿性技术布局。信息技术的发展推动大数据时代新兴科研范式的出现,打破学科、领域、部门、产业边界。更好释放数字生产力,需要在明确战略目标的前提下,清晰识别前沿领域的技术变革方向,前瞻布局战略性、前沿性、原创性、颠覆性技术,加强关键前沿领域的战略研究布局和技术融通创新,通过融通创新机制推动前沿技术快速形成未来产业。 戦略的かつ最先端の技術のレイアウトの調整。 情報技術の発展に伴い、ビッグデータ時代の新しい研究パラダイムが登場し、分野・領域・学部・産業の垣根が取り払われています。 デジタル生産性をよりよく発揮するためには、明確な戦略目標を前提に、フロンティア領域の技術変化の方向性を明確にし、戦略的技術、フロンティア技術、独創的技術、破壊的技術を前向きに配置し、主要なフロンティア領域における戦略的な研究配置と技術統合・イノベーションを強化し、統合・イノベーションのメカニズムを通じて、フロンティア技術から未来の産業の迅速な形成を促進する必要があります。
三、强化制度创新,提升信息领域创新体系效能 3. 情報分野における制度的イノベーションを強化し、イノベーションシステムの有効性を高める。
网络强国、数字中国建设必须依靠创新引领,而有效的制度环境在提升创新效率、激发创新活力、促进技术转化和推动信息化健康发展等方面发挥着基础性作用。因此,要进一步发挥制度创新在信息化创新发展体系中的驱动作用。 強力なネットワーク国家とデジタル中国の構築は、イノベーションに頼ってリードしなければならず、効果的な制度環境は、イノベーションの効率を高め、イノベーションの活力を刺激し、技術の転換を促進し、情報技術の健全な発展を促す上で基本的な役割を果たします。 したがって、情報化の革新・発展システムにおける制度的イノベーションの推進役をさらに発揮する必要がある。
完善协同创新制度提升创新效率。完善科技协同创新制度,首先要加强创新要素的协同投入,财政科技计划要有机衔接,同时引导社会资金加大科技创新投入力度,推进从基础研究、技术攻关到应用示范的全链条协同创新。其次,要加强创新主体协作,鼓励跨学科、跨专业合作,形成企业为主体、市场为导向、产学研用深度融合的协同创新体系。此外,还应发挥平台汇聚资源的优势,打造基础研究与技术成果的信息交流平台,推进重大科技基础设施与数字资源共享利用,通过多元协同提升信息技术创新效率。 コラボレーション・イノベーション・システムを改善し、イノベーションの効率を高める。 科学技術の共同イノベーションのシステムを改善するためには、まず、イノベーション要素の共同投入を強化し、財政的な科学技術計画を有機的に結びつけるとともに、社会的基金が科学技術イノベーションへの投資を増やすように指導し、基礎研究、技術研究、応用実証までの一連の共同イノベーションを促進する必要があると思います。 第二に、イノベーション機関の連携を強化し、学際的・職業的な協力を促し、企業を主体とし、市場を導き、産・学・研・応用を深く融合させた協調的なイノベーションシステムを形成することです。 また、資源を集めるプラットフォームの利点を生かして、基礎研究や技術成果の情報交換プラットフォームの構築、主要な科学技術インフラやデジタル資源の共有・利用の促進、多面的な連携による情報技術革新の効率化などを図るべきです。
健全创新激励机制激发创新活力。近年来,我国高度重视知识产权保护工作,提出“知识产权强国”目标,并制定了《知识产权强国建设纲要(2021-2035年)》。但与西方发达国家尤其是美国相比,我国在知识产权保护理论和实践经验方面仍较为欠缺,同时信息化发展也对传统知识产权制度提出挑战。因此,探索构建权利和义务对等的知识产权转化收益分配机制是当前的首要任务。面对信息领域国际竞争白热化的局势,要在知识产权创造、储备、布局等方面进行一系列制度创新,如专利组合、专利与标准协同、专利协调联动、专利导航等,在充分保护创新主体知识产权和提高其获益能力方面提供制度保障。 健全なイノベーションのインセンティブメカニズムで、イノベーションを促進する。 近年、中国は知的財産権の保護を重視し、「知的財産強国」という目標を打ち出し、「知的財産強国建設要綱(2021-2035)」を策定しました。 しかし、欧米先進国、特に米国と比較して、中国は知的財産権保護の理論的・実践的経験がまだ不足しており、情報技術の発展も従来の知的財産権制度に課題を与えています。 そのため、知的財産権の転換による収益を平等な権利と義務で分配する仕組みの構築を模索することが、現在の優先課題となっています。 情報分野の国際競争が激化する中、特許ポートフォリオ、特許と標準の相乗効果、特許の調整と連携、パテントナビゲーションなど、知的財産権の創造、留保、配置において一連の制度的革新を行い、イノベーション対象者の知的財産権を完全に保護し、その利益を得る能力を高めるための制度的保証を提供する必要があります。
强化创新应用政策促进创新技术转化。从科技成果到产业应用需要跨越成果转化的“达尔文死海”,才能最终释放数字生产力。因此,需要一套市场机制和政策手段的组合拳为其提供有力支撑。一方面,要充分利用市场机制,探索面向不同技术成熟度的融资模式,开发多元化的金融政策工具促进资本与技术有效对接,解决科技成果熟化过程中的资金需求。另一方面在技术成果进入产品化和商品化阶段时,要进一步加强相关政策支持,例如重大技术装备首台(套)政策、技术创新推广应用市场化保险机制等,以促进新技术新产品的市场推广应用。 革新的技術の転換を促進するために、イノベーション応用政策を強化する。 科学技術の成果から産業への応用まで、最終的にデジタル生産性を解放するためには、結果変換の「ダーウィンの死海」を越える必要があります。 したがって、これを強力にサポートするためには、市場メカニズムと政策手段の組み合わせが必要です。 一方では、市場メカニズムを最大限に活用し、技術の成熟度に応じた資金調達モデルを模索し、資本と技術の効果的なマッチングを促進するための多様な金融政策ツールを開発し、技術成果の成熟過程における資金ニーズに対応することが必要です。 一方、技術的成果が製品化・商業化の段階に入ったときには、新技術・新製品の市場での普及・応用を促進するために、主要技術設備の最初のセットに対する政策や、技術革新の促進・応用のための市場ベースの保険メカニズムなど、関連する政策支援をさらに強化する必要があります。
优化创新环境推动信息化长效发展。信息化、数字化、智能化的快速发展,在推动生产方式和生活方式转变的同时,也带来一系列诸如安全、标准等新问题、新挑战,迫切需要营造良好的信息化创新发展环境。其中,关键信息基础设施安全、网络安全和数据安全涉及经济社会发展乃至国家安全问题,是信息技术广泛应用与数字经济健康发展的重要保障,需要加快完善信息安全领域的法律法规和监管制度,统筹好发展和安全两件大事。此外,面对日新月异的信息化新技术、新问题,从长期来看,我国仍需深化信息化、数字化、智能化理论体系研究,健全数字经济统计监测和安全风险预警,就涉及信息技术创新和数字经济发展的重大问题持续提出新思路新对策,全面提升国家信息化治理能力。 情報技術の長期的な発展を促進するためのイノベーション環境の最適化。 情報化、デジタル化、知能化の急速な発展は、生産や生活の変革を促進する一方で、セキュリティや標準化など一連の新しい問題や課題をもたらしており、情報化イノベーションの発展のための良い環境づくりが急務となっています。 中でも、重要情報インフラ、ネットワーク・セキュリティ、データ・セキュリティは、経済・社会の発展、さらには国家の安全保障問題にも関わり、情報技術の幅広い応用とデジタル経済の健全な発展を保証する重要なものであり、情報セキュリティ分野の法令・規制制度の整備を加速させ、発展とセキュリティの二大課題を調整する必要があります。 さらに、急速に変化する新しい情報技術と新たな問題に直面し、長期的には、中国は依然として、情報技術、デジタル化、インテリジェンスの理論体系に関する研究を深め、デジタル経済の統計的監視とセキュリティリスクの早期警告を改善し、情報技術の革新とデジタル経済の発展に関する主要な問題について新たなアイデアと新たな対策を提案し続け、国家の情報ガバナンス能力を総合的に向上させる必要があります。 
(作者:张凤 中国科学院科技战略咨询研究院副院长、研究员) (筆者:中国科学院科学技術戦略コンサルティング研究所副所長・研究員 張峰)
《“十四五”国家信息化规划》专家谈:构筑共建共治共享的数字社会治理体系 「第14次5ヵ年計画における国家情報化計画」に関する専門家の意見:共同建設、共同統治、共有のデジタル社会統治システムの構築
编者按:党中央、国务院高度重视信息化工作,习近平总书记强调,没有信息化就没有现代化。信息化为中华民族带来了千载难逢的机遇,必须敏锐抓住信息化发展的历史机遇。“十四五”时期,信息化进入加快数字化发展、建设数字中国的新阶段。近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》(以下简称《规划》),对我国“十四五”时期信息化发展作出部署安排。为使社会各界更好理解《规划》的主要内容,中央网信办组织有关专家学者对《规划》各项重点任务进行研究解读,共同展望数字中国建设新图景。 編集部注:党中央委員会と国務院は情報化を重視しており、習近平総書記は「情報化なくして近代化なし」と強調しています。 情報化は中華民族に千載一遇のチャンスをもたらしており、情報化の歴史的チャンスを鋭く掴まなければなりません。 「第14次5カ年計画期間中、情報化はデジタル開発を加速し、デジタル中国を構築するという新たな段階に入りました。 最近、ネットワークセキュリティと情報化の中央委員会は、「第14次5ヵ年計画における国家情報化計画」(以下、「計画」)を発表し、第14次5ヵ年計画期間中の中国における情報化の発展について取り決めました。 この計画の主な内容を社会に理解してもらうために、中央インターネット情報局は、関連する専門家や学者を組織して、計画の重要な課題を研究、解釈し、デジタル中国の構築の新しい姿を共同で期待しています。
社会治理是国家治理的重要方面,社会治理现代化是国家治理体系和治理能力现代化的重要内容。习近平总书记强调,要“加快用网络信息技术推进社会治理”。党的十九大报告提出,“打造共建共治共享的社会治理格局”“提高社会治理的智能化水平”。《中华人民共和国国民经济和社会发展第十四个五年规划和2035年远景目标纲要》提出,要“以数字化转型整体驱动治理方式变革”。   社会的ガバナンスは国家統治の重要な側面であり、社会的ガバナンスの近代化は、国家統治システムと統治能力の近代化の重要な要素です。 習近平総書記は、「ネットワーク情報技術の利用を加速し、社会的ガバナンスを促進する」必要性を強調しました。 第19回党大会の報告では、「共同建設、統治、共有の社会統治パターンを構築する」「社会統治の知能レベルを向上させる」ことが提案されています。 中華人民共和国の「第14次国家経済社会発展5カ年計画」と「2035年のビジョンの概要」では、「デジタルトランスフォーメーションを利用して、ガバナンス全体の変化を促すべきである」と提言されています。  
近日,中央网络安全和信息化委员会印发《“十四五”国家信息化规划》,以构筑共建共治共享的数字社会治理体系为主线,全面勾画了今后一段时期社会治理信息化的建设蓝图,对于加快推进我国社会治理现代化具有重要意义。  最近、ネットワークセキュリティと情報化の中央委員会が発表した「第14次5ヵ年計画の国家情報化計画」は、今後一定期間の社会統治情報化の構築の青写真を示しており、共同建設、統治、共有のデジタル社会統治システムの構築を主軸に、中国の社会統治の近代化を加速させる上で大きな意義を持っています。 
扎实推进社会治理创新,着力提升社会治理能力 ソーシャル・ガバナンスの革新の着実な推進と、ソーシャル・ガバナンスの能力向上
当前,社会治理模式正在从单向管理转向双向互动,从线下转向线上线下融合,从单纯的政府监管转向更加注重社会协同治理。在这三个“转向”中,确保社会既充满活力又和谐有序,必须坚持与时俱进,加强和创新社会治理。《规划》提出要运用现代信息技术为“中国之治”引入新范式、创造新工具、构建新模式。利用大数据、人工智能、物联网等信息化手段支持社会治理科学决策、精准施策,是适应社会治理新形势,构建社会治理新格局,推进社会治理现代化的重要内容和必然要求。   現在、ソーシャル・ガバナンスのモードは、一方通行の管理から双方向の相互作用へ、オフラインからオンライン・オフラインの統合へ、そして単純な政府の監督から、より強調された共同のソーシャル・ガバナンスへと移行しています。 このような3つの「シフト」の中で、活力ある調和のとれた秩序ある社会を実現するためには、時代を見据え、社会的ガバナンスを強化・革新していく必要があります。 本計画では、現代の情報技術を用いて、「中国のガバナンス」のための新しいパラダイムを導入し、新しいツールを作成し、新しいモデルを構築することを提案しています。 ビッグデータ、人工知能、モノのインターネットなどの情報技術ツールを活用して、ソーシャルガバナンスにおける科学的な意思決定と的確な政策立案をサポートすることは、ソーシャルガバナンスの新しい状況に適応し、ソーシャルガバナンスの新しいパターンを構築し、ソーシャルガバナンスの近代化を推進するための重要かつ必然的な要件です。  
社会治理领域面临的问题多而复杂,信息化支撑社会治理尤其是基层治理的能力仍有待提升。当前社会流动持续增强、社会结构日益复杂、线上线下融合渗透、群众诉求日趋多样、社会问题频发突发,对提升社会治理水平和治理能力提出迫切要求。然而现有信息化建设尚未能够对社会治理形成有效支撑。主要表现在:一是及时准确感知群众需求和社会发展态势的能力不足,信息技术与治安防控深度融合应用水平较低;二是及时预测预警预防和突发事件快速处置的能力不足,尚未能够充分支撑公共安全风险防控体系关口前移;三是支持跨区域跨部门跨主体的沟通协同共治能力不足,数据壁垒、信息孤岛等固有问题依然存在。《规划》深刻认识当前我国社会治理发展的形势、特点与问题,从数字社会治理基本格局、主要方面和关键任务等给出了全面的顶层设计,着力提升社会治理能力现代化。   ソーシャル・ガバナンスの分野で直面している問題は数多くかつ複雑であり、特に草の根レベルでのソーシャル・ガバナンスを支える情報技術の能力は、まだまだ向上させる必要があります。 現在、社会の流動性はますます高まり、社会構造はますます複雑化し、オンラインとオフラインの統合が浸透し、大衆の要求はますます多様化し、社会問題は頻繁かつ突発的に発生しており、社会統治のレベルと統治能力を向上させることが緊急の課題となっています。 しかし、既存の情報技術の構築では、ソーシャル・ガバナンスを効果的にサポートする形にはなっていない。 その主な現れは、第一に、大衆のニーズや社会の発展をタイムリーに正確に把握する能力が不十分であり、情報技術の応用や安全保障の予防と管理の綿密な統合のレベルが低いこと、第二に、緊急事態をタイムリーに予測・予防し、迅速に処理する能力が不十分であり、公共の安全保障リスクの予防と管理システムの前進を十分にサポートできていないこと、第三に、地域、部門、テーマを超えたコミュニケーションや共同統治をサポートする能力が不十分であり、データの障壁や情報のサイロなどの固有の問題が依然として存在することです。 データの壁や情報のサイロ化など、本質的な問題はまだ存在しています。 本計画は、中国におけるソーシャル・ガバナンス発展の現状、特徴、問題点を深く理解し、ソーシャル・ガバナンス能力の近代化を中心に、デジタル・ソーシャル・ガバナンスの基本パターン、主要な側面、重要な課題について、包括的なトップレベルの設計を行っています。  
构建数字社会治理格局,推进实现五大治理要素 デジタル社会のガバナンスパターンの構築と、5つの主要なガバナンス要素の実現の促進
《规划》要求,到2025年,基本形成党建引领、服务导向、资源整合、信息支撑、法治保障的数字社会治理格局。   この計画では、2025年までに、党建設、サービス志向、資源統合、情報支援、法の保護を中心としたデジタル・ソーシャル・ガバナンス・パターンを基本的に形成することを求めています。  
一是坚持党建引领。社会治理是一项复杂系统工程,越是复杂就越要抓住其关键所在。创新和提升社会治理,最根本是坚持和加强党的全面领导。坚持党建引领,就是要充分发挥党组织尤其是基层党组织建设的政治优势,将其转化为社会治理的工作优势。《规划》强调,要提升基层党建服务管理水平,健全党组织领导的自治、法治、德治相结合的城乡基层治理体系。 第一に、リードするための党の構築を堅持すること。ソーシャルガバナンスは複雑なシステムのプロジェクトであり、複雑であればあるほど、その鍵を掴むことが重要になります。 ソーシャルガバナンスを革新し、強化するためには、最も基本的なことは、党の全体的なリーダーシップを堅持し、強化することです。 党建設のリーダーシップを堅持することは、党組織、特に草の根の党組織を建設することによる政治的優位性を最大限に発揮し、それを社会統治における実務的優位性に変えることです。 計画では、草の根の党建設サービスと管理のレベルを向上させ、党組織の指導の下、自治、法の支配、道徳的な統治を組み合わせた都市部と農村部の草の根統治システムを改善する必要性を強調している。
二是坚持服务导向。习近平总书记强调,加强和创新社会治理,关键在体制创新,核心是人。因此数字社会治理建设要以为人民服务为导向,坚持人民群众在社会治理中的主体地位,发挥人民群众的主体作用。《规划》提出要真正让人民群众成为“社会治理的最广参与者,最大受益者,最终评判者”。  第二に、サービスの方向性を堅持すること。 習近平総書記は、社会的ガバナンスの強化と革新の鍵は、人々を核とした制度の革新にあると強調しました。 したがって、デジタル・ソーシャル・ガバナンスの構築は、人々に奉仕することを志向し、ソーシャル・ガバナンスにおける人々の主な立場を堅持し、人々の主な役割を果たすべきです。 この計画では、国民を「社会統治の最も広い参加者、最大の受益者、そして究極の判断者」とすることを提案しています。 
三是坚持资源整合。数字社会治理不是“空中楼阁”,必须要有坚实的资源保障。除了传统的资金、技术和人员资源外,还包括数据资源。碎片化的资源无法有效支持多方主体的共同参与。《规划》要求推动基层数据资源整合共享,推动基层政府与垂直部门的数据共享融合,促进部门数据根据需要向基层开放使用。把包括数据在内的各类资源集中整合有效配置,可以充分发挥集中力量办大事的制度优势。 第三に、リソースの統合を堅持すること。 デジタル・ソーシャル・ガバナンスは、「天空のパビリオン」ではなく、しっかりとしたリソースに裏打ちされたものでなければなりません。 従来の資金、技術、人的資源に加え、データ資源も含まれます。 リソースがバラバラでは、複数の当事者の共同参加を効果的にサポートできません。 この計画では、草の根レベルでのデータ資源の統合と共有の促進、草の根政府と垂直部門間のデータの共有と統合の促進、必要に応じて草の根レベルでの利用のための部門データの開放の促進が謳われています。 データを含むあらゆる種類のリソースを集中的に統合し、効果的に配分することで、権力を集中させることによる制度上の利点を最大限に発揮し、大きな成果を上げることができます。
四是坚持信息支撑。《规划》提出要提升基于数据的国家治理效能。数字社会治理必须建立“用数据说话、用数据决策、用数据管理和用数据创新”的理念,实现大数据与社会治理的深度融合。大数据在数字社会治理中的核心价值主要体现在通过对数据的挖掘来研判社会问题、预测社会需求,从而实现社会治理决策的科学化和服务的精细化。 第四に、情報提供を堅持すること。 本計画では、データに基づく国家統治の有効性を高めることを提案しています。 デジタル・ソーシャル・ガバナンスは、「データで語り、データで意思決定し、データで管理し、データで革新する」というコンセプトを確立し、ビッグデータとソーシャル・ガバナンスの深い融合を実現しなければなりません。 デジタル・ソーシャル・ガバナンスにおけるビッグデータの中核的価値は、主にデータのマイニングによって社会問題を判断し、社会のニーズを予測することで、科学的なソーシャル・ガバナンスの意思決定とサービスの洗練を実現することにあります。
五是坚持法治保障。法治是社会治理的基石。技术创新既包含机遇,也蕴含风险。要推动技术向“善”发展,充分发挥技术的积极作用,弱化其消极作用,关键是坚持科技应用与法治建设相结合,用依法行政带动依法治理,在法治轨道上推动社会治理的数字化创新。 第五に、法の支配を堅持すること。 法の支配は、社会的ガバナンスの礎です。 技術革新にはチャンスとリスクの両方があります。 技術の発展を「善」に向けて促進し、その積極的な役割を十分に発揮し、消極的な役割を弱めるためには、科学技術の応用と法の支配の構築を組み合わせ、法に基づく行政を利用して法に基づく統治を推進し、法の支配の軌道上で社会統治におけるデジタル・イノベーションを推進することを主張することが極めて重要です。
构筑数字社会治理体系,综合把握两个治理维度 デジタルソーシャルガバナンスシステムを構築し、ガバナンスの2次元を包括的に把握する
《规划》勾画的数字社会治理体系包括五大基本方向,即建设立体化智能化社会治安防控体系、打造一体化智慧化公共安全体系、打造平战结合的应急信息化体系、创新基层社会治理、推进新型智慧城市高质量发展。围绕五大方向,《规划》部署了具体任务和工程,可以归纳为两个维度。 計画で示されたデジタル社会統治システムには、5つの基本的な方向性が含まれています。すなわち、3次元的でインテリジェントな社会保障の予防と制御システムの構築、統合的でインテリジェントな公共安全システムの構築、民戦を統合した緊急情報システムの構築、草の根社会統治の革新、新しいスマートシティの高品質な開発の促進です。 5つの方向性に沿って、計画では具体的なタスクやプロジェクトを展開していますが、その内容は2つの側面に集約されます。
一是由日常性与突发性构成的时间维度。在“日常性”的社会治理场景中,数字社会治理要能够保证对社会治理运行状态的精确把握,要让服务更精细,治理更精准。比如《规划》要求,深化公共安全视频图像建设联网,加快图像识别、物联网、大数据、人工智能等信息技术在治安防控领域中的深度融合应用,提升社会治安防控的整体性、协同性、精准性;到2025年基本健全多部门协同的灾害事故信息报送、预警发布、信息共享和应急处置机制,基本建成精细化服务感知、精准化风险识别、网络化行动协作的基层智慧治理体系。在“突发性”的社会治理场景中,数字社会治理要为提高对事件的响应和处置能力,以及对多部门之间、政府和企事业单位之间的协同应急反应能力提供高效支撑。比如,《规划》要求要打造平战结合的应急信息化体系,全面提升多部门协同的监测预警能力;增强应急管理全面感知、快速处置、精准监管和物资保障能力,有效提升防灾、减灾、抗灾、救灾水平,遏制重特大事故发生。 第一は、日常性と突発性からなる時間次元です。 ソーシャルガバナンスの「日常」において、デジタル・ソーシャルガバナンスは、ソーシャルガバナンスの運用状況を正確に把握し、サービスをより洗練されたものにし、ガバナンスをより正確なものにすることができるはずです。 例えば、本計画では、公共のセキュリティビデオ画像のネットワーク化を深め、画像認識、モノのインターネット、ビッグデータ、人工知能などの情報技術のセキュリティ予防・制御分野での綿密な統合と応用を加速し、社会セキュリティの予防・制御の整合性、相乗効果、正確性を高めること、2025年までに災害・事故情報の報告、早期警報、情報共有、緊急処理メカニズムの多部門連携を基本的に改善すること、などが謳われています。 2025年までには、災害情報の報告、早期警報、情報共有、緊急対応のためのマルチセクター・メカニズムを基本的に整備します。 突発的な」ソーシャル・ガバナンスのシナリオにおいて、デジタル・ソーシャル・ガバナンスは、対応能力や処理能力の向上、複数の部門間や政府と企業・機関との間の協働的な緊急対応能力の向上を効率的にサポートする必要があります。 例えば、本計画では、民戦統合型の緊急情報システムを構築し、多部門連携による監視・早期警戒能力を総合的に強化し、緊急管理の総合的な認識、迅速な処理、的確な監督、物的保安能力を強化して、災害の予防、緩和、抵抗、救援を効果的に改善し、重大事故の発生を抑制することを求めている。
二是由区域、城市与乡村构成的空间维度。《规划》在发展目标中明确要求“统筹城乡区域发展,深化区域信息化一体化发展”。区域、城市和乡村面临的社会治理问题不同,数字社会治理的任务也不同。数字社会治理可以以城市为中心枢纽,实现区域和城乡的联动治理,保障区域之间、城乡之间的信息化充分平衡发展。有些工作需要在宏观层面把握其系统性,适宜于放在区域或城市整体层面统筹安排。比如《规划》提出围绕公共交通、快递物流、就诊就学、城市运行管理、生态环保、证照管理、市场监管、公共安全、应急管理等重点领域,推动一批智慧应用区域协同联动,促进区域信息化协调发展。有些工作则需要在微观层面保证其回应性,适宜于放在基层或乡村推进共建共治共享。比如《规划》提出要加快打造智慧社区,充分整合民政、卫健、住建、应急、综治、执法等部门系统基层入口,构建网格化管理、精细化服务、信息化支撑、开放共享的基层治理平台。 第二は、地域、都市、田舎からなる空間的な次元です。 この計画では、開発目標に「都市部と農村部の開発を協調させ、地域の情報化の統合的発展を深める」ことを明確に謳っています。 地域や都市、村が抱えるソーシャル・ガバナンスの問題はそれぞれ異なり、デジタル・ソーシャル・ガバナンスの課題もまた異なります。 デジタル・ソーシャル・ガバナンスでは、都市を中心にして、地域や都市と農村の連携を実現し、地域や都市と農村の間の情報技術の完全でバランスのとれた発展を図ることができます。 タスクの中には、そのシステム的な性質からマクロレベルで把握する必要があり、地域や都市全体のレベルで統合的に配置することが適しているものもあります。 例えば、公共交通、エクスプレス物流、医療・学校、都市運営・管理、エコロジー・環境保護、免許管理、市場監督、公共安全・緊急管理などの主要分野を中心に、スマートアプリケーションの地域的な相乗効果を多数促進し、地域の情報化の協調的な発展を促進することを提案しています。 ミクロレベルでの対応を確実にする必要があり、共同建設、共同管理、共有を促進するために、草の根や農村レベルに配置するのに適した作業もあります。 例えば、スマートコミュニティの構築を加速し、民政、保健、住宅・建設、緊急対応、一般統治、法執行などの各部門のシステムに草の根の入り口を完全に統合し、グリッドベースの管理、洗練されたサービス、情報支援、オープンシェアリングなどの草の根の統治プラットフォームを構築することを提案しています。
坚持优化协同高效原则,全面提升四种治理能力 最適化と相乗効果、効率化の原則の堅持と、4種類のガバナンス能力の総合的な強化
一是提升对社会治理复杂系统运行的感知能力。感知能力是精准把握社会复杂系统运行的基础能力,为实现数字社会治理的优化、协同、高效提供基础资源。《规划》提出建设城市感知决策中枢,加强城市管网、公共空间、道路交通、轨道交通、消防、水利设施、大型口岸、重大活动保障等领域的运行态势感知和智能分析;探索建设数字孪生城市,实施智能化市政基础设施建设和改造,提升城市运转和经济运行状况。 第一は、複雑な社会的ガバナンスのシステムの作動を感知する能力の向上です。 感知する能力とは、複雑な社会システムの動作を正確に把握するための基本的な能力であり、デジタル・ソーシャル・ガバナンスの最適化、相乗効果、効率化を実現するための基本的なリソースを提供するものです。 計画では、都市の知覚と意思決定のハブを構築し、都市のパイプライン網、公共空間、道路交通、鉄道交通、消防、水利施設、大規模な入港地、主要イベントの運営に関する知覚とインテリジェントな分析を強化し、デジタルツインシティの構築を模索し、インテリジェントな都市インフラの構築と変革を実施し、都市とその経済の運営を改善することを提案しています。
二是提升对社会治理风险防控的决策能力。社会治理决策不能简单依靠主观臆测,必须“用数据说话”“用科学论证”,实现优化的社会治理。《规划》提出要建设社会治理大数据与模拟推演科学研究平台,开展人工智能条件下的社会治理实验;推行城市“一张图”数字化管理和“一网统管”模式;提升公共卫生、疾病防控、食品药品安全、生产安全、城市安全、自然灾害、快递物流等重点领域风险防控能力和公共安全风险识别、预报预警能力。 第二は、ソーシャル・ガバナンス・リスクの予防とコントロールに関する意思決定能力の向上です。 ソーシャルガバナンスの決定は、単に主観的な憶測に頼るのではなく、最適なソーシャルガバナンスを実現するために「データで語る」「科学で論じる」ことが必要です。 計画では、ソーシャルガバナンスのビッグデータとシミュレーションのための科学研究プラットフォームを構築し、人工知能の条件下でソーシャルガバナンスの実験を行うこと、都市の「1マップ」「1ネットワーク」モデルのデジタル管理を実施すること、公衆衛生、疾病の予防と管理、食品・医薬品の安全性、生産の安全性、都市の安全性、自然災害、エクスプレス物流などの主要分野におけるリスクを予防・管理する能力、および公衆衛生上のリスクを特定して予測・警告する能力を強化します。
三是提升社会治理多元主体协同能力。数字社会治理需要多方力量的共同参与,实现部门协同、区域协同以及政府与企事业单位、社区居民的协同,为此应拓展沟通渠道、统合业务流程、打通部门壁垒、共享数据资源,实现协同的社会治理。《规划》提出要全面提升多部门协同的监测预警能力、监管执法能力、辅助指挥决策能力、救援实战能力和社会动员能力;强化政府、企业、医疗卫生机构数据共享和协同应用;大力拓展社会资源线上参与公益慈善途径,促进政府治理同社会调节,居民自治良性互动;推动基层组织建设和信息发布、政策咨询、民情收集、民主协商、公共服务、邻里互助等事务网上运行,打造“互联网+群防群治”体系等。 第三は、ソーシャル・ガバナンスにおける複数のアクターの能力の向上です。 デジタル・ソーシャル・ガバナンスの実現には、部門間・地域間の相乗効果や、政府・企業・機関・地域住民間の相乗効果など、複数の力を結集する必要があります。 そのためには、コミュニケーション・チャンネルの拡大、業務プロセスの統一、部門間の壁の打破、データ・リソースの共有など、協働によるソーシャル・ガバナンスの実現が必要です。 計画では、多部門連携の監視・早期警戒能力、監督・法執行能力、補助的な指揮・意思決定能力、救助・戦闘能力、社会的動員能力を総合的に強化すること、政府、企業、医療・保健機関の間でのデータ共有と共同利用を強化すること、社会資源がオンラインで公共の福祉や慈善活動に参加する方法を積極的に拡大し、政府の統治、社会の規制、住民の自治の間の良識ある相互作用を促進すること、草の根組織と情報機関の構築を促進することを提案しています。 また、草の根組織の構築や、情報発信、政策協議、世論収集、民主的協議、公共サービス、近隣の相互扶助などのオンライン運営を推進し、「インターネット+集団予防・統治」システムを構築していきます。
四是提升社会治理资源与服务共享的平台能力。平台化有助于社会治理资源的有效配置,实现高效的社会治理。《规划》提出要充分整合各部门系统基层入口,搭建基层治理平台;稳步推进城市数据资源体系和数据大脑建设,打造互联、开放、赋能的智慧中枢,完善城市信息模型平台和运行管理服务平台;强化粮食和战略应急物资数据资源整合和共享,推动信息技术更好支撑疾病预防控制体系和重大疫情防控救治体系建设等。 第四は、ソーシャル・ガバナンスのリソースやサービスを共有するためのプラットフォームの能力の向上です。 プラットフォーマーは、ソーシャルガバナンスのリソースを効果的に配分し、効率的なソーシャルガバナンスを実現します。 計画では、各部門システムの草の根の入り口を完全に統合し、草の根のガバナンスプラットフォームを構築すること、都市データ資源システムとデータブレーンの構築を着実に進め、相互に接続されたオープンで権限のある知恵のハブを構築し、都市情報モデルプラットフォームと運用管理サービスプラットフォームを改善すること、食糧や戦略的緊急物資に関するデータ資源の統合と共有を強化し、疾病予防・管理システムや大規模な伝染病の予防・管理・治療システムなどの構築をよりよくサポートするために情報技術を促進します。
“社会治理是一门科学”,数字社会治理是这门科学上的时代亮点。未来五年,随着数字中国建设取得决定性进展,数字社会治理格局将基本形成,数字社会治理能力将得到大幅提升,推动我国社会治理从“大国之治”迈向“强国之治”。各级政府针对《规划》内容,应尽快因地制宜分解目标任务、制定行动方案,确保数字社会治理各项政策措施落实到位。 ソーシャル・ガバナンスは科学であり、デジタル・ソーシャル・ガバナンスは、このサイエンスに関する時代のハイライトです。 今後5年間、「デジタル中国」の構築が決定的に進むにつれて、デジタル・ソーシャル・ガバナンスのパターンが基本的に形成され、デジタル・ソーシャル・ガバナンスの能力が大幅に強化され、中国のソーシャル・ガバナンスが「大国の統治」から「強国の統治」へと促進されるでしょう。 あらゆるレベルの政府は、本計画の内容を受けて、デジタル・ソーシャル・ガバナンスのための政策や措置を確実に実施するために、目的や課題を分解し、地域の状況に応じた行動計画を早急に策定すべきです。 
(作者:黄璜 北京大学政府管理学院副院长) (筆者:黄娟(北京大学政府管理学院副院長)。

 

 

 


 

第14次5ヵ年計画における国家情報化計画

国家互联网信息办公室(国家サイバースペース管理局)

2022.12.27 中央网络安全和信息化委员会印发《“十四五”国家信息化规划》 ネットワークセキュリティ・情報化中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表

・[PDF] “十四五”国家信息化规划

20211228-165954

・[DOCX] 仮訳

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

 

関連法令等。。。

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2022.01.05 中国 インターネット情報サービスのアルゴリズム推奨管理規則

・2021.06.12 中国 データセキュリティ法が承認され2021.09.01施行されますね。。。

| | Comments (0)

2022.02.19

総務省 「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果の公表

こんにちは、丸山満彦です。

総務省が「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果を公表していますね。。。

ここで検討しているガバナンスはコーポレートガバナンス全体というよりも、

「サイバーセキュリティ対策及びデータの取扱いに係るガバナンス確保の今後の在り方」

ですね。。。きっかけの一つはLineのデータが...ということでLineを買収したソフトバンクグループのガバナンスがどうだったのか...ということが背景にあったのかもしれませんね。。。

データガバナンス、セキュリティガバナンス等が、コーポレートガバナンスの部分集合だとすると、コーポレートガバナンスの課題からの掘り下げがあってもよいのだろうと思ったりもします。

電気通信事業者に関わらず、日本企業のコーポレートガバナンスについては課題が多いのだろうと思います。。。例えば、有効に機能していないグローバルガバアンス(特に買収した海外子会社に対して...)、同一企業で繰り返し起こっている企業不正・不祥事等、、、

その主要因は、モノを言わない株主、外部取締役の優遇による内部昇進取締役がガバナンスすることになっていることなのかもしれませんね。。。

 

さて、、、

● 総務省

・2022.02.18 「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果の公表

 

意見に対する対応は144ページあります(^^)

意見を提出した団体については、、、28団体、個人20名のようですが、

在日米国商工会議所、グーグル合同会社、Twitter, Inc.、Asia Internet Coalition (AIC)もありますね。。。



報告書

・[PDF] 別紙2

20220219-51127

意見

・[PDF] 別紙1

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.15 総務省 意見募集 電気通信事業ガバナンス検討会 報告書(案)

 


 

144ページもある意見の総論の部分

↓ ↓ ↓ ↓ ↓ ↓   

 

Continue reading "総務省 「電気通信事業ガバナンス検討会 報告書」及び意見募集の結果の公表"

| | Comments (0)

NIST SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス

こんにちは、丸山満彦です。

NISTが、「SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス」を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.02.17 SP 800-219 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP)

 

SP 800-219 (Draft) Automated Secure Configuration Guidance from the macOS Security Compliance Project (mSCP) SP 800-219(ドラフト)macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)による自動化された安全な構成のガイダンス
Announcement 発表内容
This publication provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. It introduces the mSCP, describes use cases for leveraging the mSCP content, and gives an overview of the resources available on the project’s GitHub site. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules, and it is continuously curated and updated to support each new release of macOS. 本書は、システム管理者、セキュリティ専門家、セキュリティポリシーの作成者、情報セキュリティ担当者、監査人が、自動化された方法でmacOSのデスクトップおよびラップトップシステムのセキュリティを確保、評価するために活用できるリソースを提供します。mSCPの紹介、mSCPのコンテンツを活用したユースケース、プロジェクトのGitHubサイトで利用できるリソースの概要を説明しています。GitHubサイトでは、実用的な推奨事項がセキュアベースラインと関連するルールの形で提供されており、macOSの各新リリースをサポートするために継続的にキュレーションとアップデートが行われています。
Abstract 概要
The macOS Security Compliance Project (mSCP) provides resources that system administrators, security professionals, security policy authors, information security officers, and auditors can leverage to secure and assess macOS desktop and laptop system security in an automated way. This publication introduces the mSCP and gives an overview of the resources available from the project’s GitHub site, which is continuously curated and updated to support each new release of macOS. The GitHub site provides practical, actionable recommendations in the form of secure baselines and associated rules. This publication also describes use cases for leveraging the mSCP content. macOSセキュリティ・コンプライアンス・プロジェクト(mSCP)は、システム管理者、セキュリティ専門家、セキュリティ・ポリシー作成者、情報セキュリティ・オフィサー、監査人が、自動化された方法でmacOSデスクトップおよびラップトップ・システムのセキュリティを確保・評価するために活用できるリソースを提供しています。本書では、mSCPを紹介するとともに、プロジェクトのGitHubサイトで利用できるリソースの概要を説明しています。GitHubサイトは、macOSの各新リリースをサポートするために継続的に管理・更新されています。GitHubサイトでは、安全なベースラインと関連するルールの形で、実用的で実行可能な推奨事項を提供しています。本書では、mSCPのコンテンツを活用したユースケースについても紹介しています。

 

・[PDF] SP 800-219 (Draft)

20220218-165131

 

Executive Summary  エグゼクティブサマリー
The National Institute of Standards and Technology (NIST) has traditionally published secure configuration guides for Apple desktop/laptop operating system versions as prose-based Special Publications (SPs), such as NIST SP 800-179 Revision 1, Guide to Securing Apple macOS 10.12 Systems for IT Professionals: A NIST Security Configuration Checklist. In order to provide security configuration guidance to organizations more quickly and in a machine-consumable format, NIST has established the open-source macOS Security Compliance Project (mSCP). Instead of NIST producing a prose SP guidance document for each macOS release, the mSCP will continuously curate and update machine-consumable macOS guidance.  米国国立標準技術研究所(NIST)は、従来、アップル社のデスクトップ/ラップトップオペレーティングシステムのバージョンに対応したセキュリティ設定ガイドを、「SP 800-179 ITプロフェッショナルのためのApple OS X 10.10システムのセキュリティに関するガイド:NISTセキュリティ構成チェックリスト」として発行してきました。NISTは、セキュリティ設定に関するガイダンスをより迅速に、かつ機械で消費可能な形式で組織に提供するために、オープンソースのmacOSセキュリティ・コンプライアンス・プロジェクト(mSCP)を設立しました。NISTは、macOSのリリースごとにSPガイダンスドキュメントを作成するのではなく、mSCPは、マシンで消費可能なmacOSガイダンスを継続的に収集・更新します。
The mSCP seeks to simplify the macOS security development cycle by reducing the amount of effort required to implement security baselines. Security baselines are groups of settings used to configure a system to meet a target level or set of requirements, or to verify that a system complies with requirements. The mSCP, a collaboration among federal agencies, minimizes duplicate effort that would otherwise be needed for these agencies to administer individual security baselines. Additionally, the secure baseline content provided is easily extensible by other parties to implement their own security requirements.   mSCPは、セキュリティベースラインの実装に必要な労力を削減することで、macOSのセキュリティ開発サイクルを簡素化することを目的としています。セキュリティベースラインとは、目標とするレベルや一連の要件を満たすようにシステムを構成したり、システムが要件に準拠しているかどうかを検証したりするために使用される設定のグループです。mSCPは、連邦政府機関のコラボレーションにより、各機関が個別にセキュリティベースラインを管理する際に必要となる重複した作業を最小限に抑えます。さらに、提供されたセキュリティベースラインのコンテンツは、他の当事者が独自のセキュリティ要件を実装するために容易に拡張することができます。 
This document provides a high-level overview of the mSCP, its components, and some common use cases. Readers seeking more detailed information on mSCP content or the content itself should visit the mSCP GitHub page and wiki このドキュメントでは、mSCP の概要、構成要素、および一般的な使用例について説明しています。mSCP コンテンツやコンテンツ自体についてより詳細な情報は、mSCP の GitHub ページおよび wikiをご覧ください。
Organizations using mSCP content, particularly security baseline examples, should take a riskbased approach for selecting the appropriate settings and defining setting values that takes into account the context under which the baseline will be utilized.  mSCP のコンテンツ、特にセキュリティ・ベースラインの例を使用する組織は、ベースラインが利用される状況を考慮して、リスクベースのアプローチで適切な設定を選択し、設定値を定義する必要があります。

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Audience 1.2 対象者
1.3 Document Structure 1.3 文書の構成
2 Project Description 2 プロジェクトの説明
2.1 Project Goals 2.1 プロジェクトの目標
2.2 mSCP Content Use 2.2 mSCPコンテンツの使用
3 mSCP Components 3 mSCPのコンポーネント
3.1 Security Baseline Files 3.1 セキュリティベースラインファイル
3.1.1 Rule File Composition 3.1.1 ルールファイルの構成
3.1.2 Rule File Categories 3.1.2 ルールファイルのカテゴリー
3.2 Configuration Profiles and Scripts 3.2 構成プロファイルとスクリプト
3.3 Content Generation Scripts 3.3 コンテンツ生成スクリプト
3.3.1 Generate Baseline Script 3.3.1 ベースラインスクリプトの生成
3.3.2 Generate Guidance Script 3.3.2 ガイダンススクリプトの生成
3.3.3 macOS Security Compliance Tool 3.3.3 macOSセキュリティコンプライアンスツール
3.3.4 OVAL Generation Script 3.3.4 OVAL生成スクリプト
3.3.5 Generate Mapping Script 3.3.5 マッピングスクリプトの生成
3.4 Customization 3.4 カスタマイゼーション
3.5 Directories 3.5 ディレクトリー
References 参考文献
Appendix A— mSCP User Roles 附属書 A- mSCP ユーザーの役割
Appendix B— Example of mSCP Usage by a Security Professional 附属書 B- セキュリティ専門家によるmSCPの使用例
Appendix C— Example of mSCP Usage by an Assessment Tool Vendor 附属書 C- アセスメント・ツール・ベンダーによるmSCPの使用例
Appendix D— Acronyms 附属書 D- 頭字語

 

Supplemental Material:

 

| | Comments (0)

2022.02.18

ETSI 協調的な脆弱性開示のためのガイド

こんにちは、丸山満彦です。

European Telecommunications Standards Institute: ETSI(欧州電気通信標準化機構[wikipedia])が、「 協調的な脆弱性開示のためのガイド」を公表していますね。。。

IoTの時代になってくるとこういうのって重要なんですよね。。。

European Telecommunications Standards Institute: ETSI

・2022.02.17 ETSI RELEASES REPORT ON COORDINATED VULNERABILITY DISCLOSURE - HELPING ORGANIZATIONS FIX SECURITY VULNERABILITIES

ETSI RELEASES REPORT ON COORDINATED VULNERABILITY DISCLOSURE - HELPING ORGANIZATIONS FIX SECURITY VULNERABILITIES ETSI、協調的な脆弱性開示に関する報告書を発表 - 組織によるセキュリティ脆弱性の修正を支援
ETSI has released on 27 January a Guide to Coordinated Vulnerability Disclosure. The Technical Report ETSI TR 103 838 will help companies and organizations of all sizes to implement a vulnerability disclosure process and fix vulnerability issues before they’re publicly disclosed. ETSIは、1月27日に「協調的な脆弱性開示のためのガイド」を発表しました。この技術報告書ETSI TR 103 838は、あらゆる規模の企業や組織が、脆弱性開示プロセスを実施し、脆弱性問題が公に開示される前に修正することを支援します。
As of early 2022 only about 20% of ICT and IoT companies have a publicly identifiable dedicated means to notify a company of a potentially serious security issue with their products or services. Many companies provide a website “contact us” page or have a presence on social media through which a security issue could be reported. However, in most cases without a formal separate CVD process, many companies lack the internal process to handle such reports in a timely manner especially where third party elements are included in their products. 2022年初頭の時点で、ICTおよびIoT企業のうち、自社の製品やサービスに潜在する深刻なセキュリティ問題を企業に通知するための、公的に識別可能な専用の手段を持っているのは約20%に過ぎません。多くの企業は、ウェブサイトの「お問い合わせ」ページを提供したり、ソーシャルメディアでセキュリティ問題を報告できるようにしたりしています。しかし、ほとんどの場合、正式な独立したCVDプロセスがないため、多くの企業は、特にサードパーティの要素が自社製品に含まれている場合、このような報告をタイムリーに処理するための内部プロセスがありません。
Alex Leadbeater ETSI TC Cyber Chair noted that “While some large companies offer excellent paid vulnerability identification CVD schemes, a significant majority of  ICT and IoT companies still do not have any form of CVD scheme in place. This is especially true of smaller companies and for companies with products that are not subject to formal regulatory related cyber security or safety testing. Such schemes are equally important for both physical product manufacturers and service or App providers”.  ETSI TC Cyber議長のアレックス リードビータ氏は次のように述べています。「一部の大企業は、優れた有料の脆弱性診断CVDスキームを提供していますが、ICTおよびIoT企業の大多数は、いまだに何らかの形でCVDスキームを導入していません。これは、特に小規模企業や、規制に関連した正式なサイバーセキュリティや安全性テストを受けていない製品を持つ企業に当てはまります。このようなスキームは、物理的な製品メーカーとサービスやアプリのプロバイダーの両方にとって同様に重要です。」
As mandated in ETSI EN 303 645 Cyber Security for Consumer Internet of Things: Baseline Requirements, a CVD scheme is a key requirement in ensuring on-going strong cyber security after a product has been placed on the market. Ranked after not using default passwords, an inability to handle cyber security vulnerabilities in life has been a significant contributory factor in many recent IoT product security failures. ETSI EN 303 645 「消費者向けIoTのためのサイバーセキュリティの基本的な要件」に規定されているように、CVDスキームは、製品が市場に出回った後、継続的に強力なサイバーセキュリティを確保するための重要な要件です。最近のIoT製品のセキュリティ障害の多くは、デフォルトのパスワードを使用していないことに加え、サイバーセキュリティの脆弱性を生活の中で処理できないことが大きな要因となっています。
The ETSI Report contains advice on how to respond to and manage a vulnerability disclosure, a defined triage process, advice on managing vulnerabilities in third party products or suppliers. It also includes an example of a vulnerability disclosure policy. This is especially important for SMEs or larger companies who do not already have experience of CVD schemes or dealing with security vulnerabilities that are reported by security researchers. このETSIレポートには、脆弱性開示への対応と管理方法、定義されたトリアージプロセス、サードパーティ製品やサプライヤーの脆弱性管理に関するアドバイスが含まれています。また、脆弱性開示ポリシーの例も含まれています。これは、CVD制度やセキュリティ研究者から報告されたセキュリティ脆弱性への対応をまだ経験していない中小企業や大企業にとって特に重要です。
Security plays a crucial role in the development and lifecycle of systems, products and services. At any time in the lifecycle, a vulnerability can be found that weakens the security if left unaddressed. If a vulnerability is found in development, this can be addressed before the product is released. Often, however, vulnerabilities are found after a system, product or service has been deployed. In this case, it can be difficult for the finder to know how or where to report the vulnerability. セキュリティは、システム、製品、サービスの開発およびライフサイクルにおいて重要な役割を果たします。ライフサイクルの中では、いつでも脆弱性が発見される可能性があり、それを放置するとセキュリティが弱くなります。開発中に脆弱性が発見された場合は、製品がリリースされる前に対処することができます。しかし、多くの場合、システムや製品、サービスが導入された後に脆弱性が発見されます。この場合、発見者は、どこでどのように脆弱性を報告すればよいのかを知ることが困難な場合があります。
To remedy this, an organization should have a vulnerability disclosure process. There are many reasons to do so: このような状況を改善するために、組織は脆弱性開示プロセスを持つべきです。それには多くの理由があります。
・A vulnerability disclosure process helps an organization to respond most effectively to a security vulnerability. ・脆弱性開示プロセスは、組織がセキュリティ脆弱性に最も効果的に対応するのに役立ちます。
・By providing a clear process, organizations can receive the information directly so the vulnerability can be addressed, and any associated risk reduced. ・明確なプロセスを提供することで、組織は情報を直接受け取ることができ、脆弱性に対処し、関連するリスクを低減することができます。
・Vulnerability reports can provide organizations with valuable information that can be used to improve the security of systems, products and services. ・脆弱性レポートは、システム、製品、およびサービスのセキュリティを向上させるために使用できる貴重な情報を組織に提供できます。
・The presence of a vulnerability disclosure process demonstrates that an organization takes security seriously. ・脆弱性開示プロセスの存在は、組織がセキュリティに真剣に取り組んでいることを示します。
・By accepting and receiving vulnerability reports, organizations will reduce the number of vulnerabilities in their systems, products or services. ・脆弱性の報告を受け入れ、受け取ることで、組織はシステム、製品、またはサービスに含まれる脆弱性の数を減らすことができます。
・It allows organizations to engage constructively with finders. This engagement means the organization can receive valuable information that would otherwise be missed, or require additional time and effort to discover.  ・組織は発見者と建設的に関わることができます。これは、組織が、他の方法では見落とされたり、発見するために追加の時間と労力を必要とする貴重な情報を受け取ることができることを意味します。
Having a clearly sign-posted disclosure process demonstrates that an organization takes security seriously. By contrast, if an organization does not provide a vulnerability disclosure route, finders who discover vulnerabilities may resort to public disclosure of the information, or vulnerabilities and subsequent exploits may go undetected until an otherwise avoidable serious widescale security event occurs. This public release can result in reputational damage and can lead to a compromise.  明確なサインポストのある開示プロセスを持つことは、組織がセキュリティに真剣に取り組んでいることを示します。反対に、組織が脆弱性の開示ルートを提供していない場合、脆弱性発見者は、その情報を公開することに頼るかもしれません。あるいは、回避可能な大規模で深刻なセキュリティイベントが発生するまで、脆弱性とそれに続く悪用は発見されないかもしれません。このような公開は、評判を落とす結果となり、危害を加えることになります。 
As demonstrated by the recent Log4j security bug, early identification and resolution of security vulnerabilities through a CVD scheme should be a key part of every company’s cyber security strategy. 最近のLog4jのセキュリティ・バグで示されたように、CVDスキームによるセキュリティ脆弱性の早期発見と解決は、すべての企業のサイバー・セキュリティ戦略の重要な部分であるべきです。

 

・[PDF] ETSI TR 103 838 V1.1.1 (2022-01) Cyber Security; Guide to Coordinated Vulnerability Disclosure

20220218-100610 

目次

Foreword はじめに
Modal verbs terminology 用語集
Introduction はじめに
1  Scope 1 範囲
2  References 2 引用規格
2.1  Normative references 2.1 規範規格
2.2  Informative references 2.2 参考規格
3  Definition of terms, symbols and abbreviations 3 用語、記号、略語の定義
3.1  Terms 3.1 用語
3.2  Symbols 3.2 記号
3.3  Abbreviations 3.3 省略形
4  Introduction 4 序文
4.1  Importance of establishing a vulnerability disclosure process 4.1 脆弱性開示プロセスを確立することの重要性 
4.2 The vulnerability disclosure process 4.2 脆弱性の公開プロセス 
4.3 How to use the present document 4.3 本文書の使用方法 
5  Guidance on implementation 5 導入ガイダンス 
5.1  General 5.1 一般 
5.2  Vulnerability disclosure policy 5.2 脆弱性開示ポリシー 
5.3  How to receive a vulnerability report 5.3 脆弱性レポートの受け取り方 
5.3.1  General 5.3.1 一般 
5.3.2  Vulnerability disclosure template 5.3.2 脆弱性開示テンプレート 
5.4  security.txt 5.4 security.txt 
5.5  Responding to a vulnerability disclosure 5.5 脆弱性開示への対応 
5.5.1  Communication and response 5.5.1 コミュニケーションと対応 
5.5.2  Triage 5.5.2 トリアージ 
5.5.3  Acknowledging the finder 5.5.3 発見者への謝辞 
5.5.4 Public Advisory 5.5.4 公開諮問 
5.5.5 Requesting a CVE ID 5.5.5 CVE IDの要求 
5.6 Vulnerability Management 5.6 脆弱性の管理 
5.6.1  Process 5.6.1 プロセス 
5.6.2  Third Party Suppliers 5.6.2 サードパーティサプライヤ 
6  Examples 6 例 
6.1  Example Vulnerability Disclosure Policy 6.1 脆弱性開示ポリシー例 
History 履歴

 

・[DOCX] 4から6までの仮対訳

 

参考

● ETSI

・[PDF]ETSI EN 303 645 V2.1.1 (2020-06)

ISO

ISO/IEC 29147:2018 Information technology — Security techniques — Vulnerability disclosure

This document provides requirements and recommendations to vendors on the disclosure of vulnerabilities in products and services. Vulnerability disclosure enables users to perform technical vulnerability management as specified in ISO/IEC 27002:2013, 12.6.1[1]. Vulnerability disclosure helps users protect their systems and data, prioritize defensive investments, and better assess risk. The goal of vulnerability disclosure is to reduce the risk associated with exploiting vulnerabilities. Coordinated vulnerability disclosure is especially important when multiple vendors are affected. This document provides: 本文書は、製品やサービスに含まれる脆弱性の開示について、ベンダーに対する要求事項と推奨事項を定めたものです。脆弱性の開示により、ISO/IEC 27002:2013の12.6.1[1]で規定されている技術的な脆弱性管理を行うことができます。脆弱性の開示は、ユーザがシステムやデータを保護し、防御のための投資を優先し、リスクをより適切に評価するのに役立ちます。脆弱性の公開の目的は、脆弱性の悪用に伴うリスクを低減することです。複数のベンダーが影響を受けている場合、協調した脆弱性の公開は特に重要です。本文書では
— guidelines on receiving reports about potential vulnerabilities; ・潜在的な脆弱性に関する報告を受ける際のガイドライン
— guidelines on disclosing vulnerability remediation information; ・脆弱性の修正情報を公開する際のガイドライン
— terms and definitions that are specific to vulnerability disclosure; ・脆弱性情報の開示に特有の用語と定義
— an overview of vulnerability disclosure concepts; ・脆弱性開示の概念の概要
— techniques and policy considerations for vulnerability disclosure; ・脆弱性情報開示のための技術や方針の検討
— examples of techniques, policies (Annex A), and communications (Annex B). ・技法、方針(附属書A)、コミュニケーション(附属書B)例
Other related activities that take place between receiving and disclosing vulnerability reports are described in ISO/IEC 30111. 脆弱性レポートを受け取ってから開示するまでの間に行われるその他の関連活動については、ISO/IEC 30111に記載されています。
This document is applicable to vendors who choose to practice vulnerability disclosure to reduce risk to users of vendors' products and services. 本文書は、ベンダーの製品やサービスの利用者のリスクを低減するために、脆弱性の開示を実践することを選択したベンダーに適用されます。

 

 

 

| | Comments (0)

個人情報保護委員会 外国における個人情報の保護に関する制度等の調査

こんにちは、丸山満彦です。

これは、、、っと、ずっと眺めていたので、ついついブログに書くのをわすれていました・・・

グローバルに活動している企業は、各国の法制度の対応が求められるので、海外の個人データ保護法制についての理解が必要となるのですが、個人情報保護委員会がまとめてくれていますね。。。

 

個人情報保護委員会

・2022.02.10 令和2年 改正個人情報保護法についてのページの「外国における個人情報の保護に関する制度等の調査について」を更新しました。

国別

外国における個人情報の保護に関する制度等の調査(報告書)

 ・2021.11 [PDF] 外国における個人情報の保護に関する制度等の調査(報告書)
 

↑ 380ページある...

 

国別...

アメリカ合衆国 連邦
イリノイ州
カリフォルニア州
ニューヨーク州
アラブ首長国連邦 連邦
ADGM 
DHC 
DIFC
インド
インドネシア共和国
ウクライナ
オーストラリア連邦
カナダ 
カンボジア王国
シンガポール共和国
スイス連邦
タイ王国
大韓民国
台湾
中華人民共和国
トルコ共和国
ニュージーランド
フィリピン共和国
ブラジル連邦共和国
ベトナム社会主義共和国
香港
マレーシア
ミャンマー連邦共和国
メキシコ合衆国 
ラオス人民民主共和国
ロシア連邦 

 

Ppc_logo_20210325120001_20210520035201

 

Continue reading "個人情報保護委員会 外国における個人情報の保護に関する制度等の調査"

| | Comments (0)

2022.02.17

欧州データ保護委員会 (EDPB) 各国個人データ保護機関が協調して公共部門によるクラウドベースサービスの利用に関する調査を開始

こんにちは、丸山満彦です。

欧州のEDPSを含むEEA内22の個人データ保護機関が協調して、公共部門(EU機関を含む75以上の公共機関)におけるクラウドベースサービスの利用に関する調査を開始するようですね。。。

公共部門におけるクラウド利用が進み(特にCOVID-19)を鑑み、その利用状況が適正であるかを調査し、ベストプラクティスの作成につなげるようですね。。。

2022年末までに報告書をまとめるようです。。。

 

European Data Protection Board: EDPB

・2022.02.15 Launch of coordinated enforcement on use of cloud by public sector

Launch of coordinated enforcement on use of cloud by public sector 公共部門でのクラウド利用に関する協調的な実施を開始
Brussels, 15 February - Today marks the kick-off of the first coordinated enforcement action of the European Data Protection Board. In the coming months, 22 national supervisory authorities across the EEA (including EDPS) will launch investigations into the use of cloud-based services by the public sector. 2月15日、ブリュッセル - 本日、欧州データ保護委員会の最初の協調的な執行活動が開始されました。今後数ヶ月の間に、EDPSを含むEEA内の22の各国監督官庁が、公共部門によるクラウドベースのサービスの利用に関する調査を開始します。
This series of actions follows the EDPB’s decision to set up a Coordinated Enforcement Framework (CEF) in October 2020. The CEF is a key action of the EDPB under its 2021-2023 Strategy, together with the creation of a Support Pool of Experts (SPE). The two initiatives aim to streamline enforcement and cooperation among Supervisory Authorities (SAs). この一連のアクションは、EDPBが2020年10月にCoordinated Enforcement Framework(CEF)を設置することを決定したことを受けたものです。CEFは、サポートプールオブエキスパート(SPE)の創設とともに、EDPBの2021-2023年戦略における重要なアクションです。この2つの取り組みは、監督機関(SA)間の執行と協力を効率化することを目的としています。
According to EuroStat, the cloud uptake by enterprises doubled across the EU in the last 6 years. The COVID-19 pandemic has sparked a digital transformation of organisations, with many public sector organisations turning to cloud technology. However, in doing so, public bodies at national and EU level may face difficulties in obtaining Information and Communication Technology products and services that comply with EU data protection rules. Through coordinated guidance and action, the SAs aim to foster best practices and thereby ensure the adequate protection of personal data. EuroStat社によると、過去6年間で企業のクラウド利用率はEU全体で倍増しています。COVID-19の流行は、組織のデジタルトランスフォーメーションに火をつけ、多くの公共機関がクラウド技術を利用するようになりました。しかし、その際、国やEUレベルの公共機関は、EUのデータ保護規則に準拠した情報通信技術製品やサービスの入手が困難になる可能性があります。SAは、協調した指導と行動により、ベストプラクティスを育成し、個人データの適切な保護を確保することを目的としています。
Over 75 public bodies in total will be addressed across the EEA, including EU institutions, covering a wide range of sectors (such as health, finance, tax, education, central buyers or providers of IT services). Building on common preparatory work by all participating SAs, the CEF will be implemented at national level in one or several of the following ways: fact-finding exercise; questionnaire to identify if a formal investigation is warranted; commencement of a formal investigation; follow-up of ongoing formal investigations. In particular, SAs will explore public bodies’ challenges with GDPR compliance when using cloud-based services, including the process and safeguards implemented when acquiring cloud services, challenges related to international transfers, and provisions governing the controller-processor relationship. EEA全体では、EU機関を含む75以上の公共機関が対象となり、幅広い分野(医療、金融、税務、教育、ITサービスの中央購買者や提供者など)をカバーしています。CEFは、すべての参加SAによる共通の準備作業に基づいて、次のような方法で国レベルで実施されます:事実調査、正式な調査が必要かどうかを確認するためのアンケート、正式な調査の開始、進行中の正式な調査のフォローアップ。特にSAは、クラウドベースのサービスを利用する際のGDPR遵守に関する公共機関の課題を調査します。これには、クラウドサービスを取得する際に実施されるプロセスとセーフガード、国際移転に関する課題、管理者と処理者の関係を規定する条項などが含まれます。
The results will be analysed in a coordinated manner and the SAs will decide on possible further national supervision and enforcement actions. In addition, results will be aggregated, generating deeper insight into the topic and allowing targeted follow-up at EU level. The EDPB will publish a report on the outcome of this analysis before the end of 2022. これらの結果は調整された形で分析され、SAはさらなる国内の監督および執行措置の可能性について決定します。さらに、結果は集約され、テーマに関するより深い洞察を生み出し、EUレベルでの対象的なフォローアップを可能にします。EDPBは、2022年末までに、この分析結果に関する報告書を発表する予定です。

 

各国の個人データ保護機関による発表

略称 言語 ウェブ
ベルギー BE SA FR L’APD participe à la première action coordonnée annuelle européenne sur l'utilisation du cloud par le secteur public
NL De GBA neemt deel aan de eerste Europese jaarlijkse gecoördineerde actie over het gebruik van de cloud door de overheid
EN The BE DPA participates in the first European annual coordinated action on the use of cloud by the public sector
ドイツ DE BFDI SA   Koordinierte Durchsetzung durch 22 Aufsichtsbehörden zur Nutzung von Cloud-Diensten durch den öffentlichen Sektor.
DE LFDI   EU-weite Prüfung zur Nutzung von Cloud-Diensten durch den öffentlichen Bereich.
スペイン ES SA   La AEPD participa en la primera acción europea coordinada para analizar el uso de la nube en el sector público.
フィンランド FI SA   Tietosuojavaltuutetun toimisto käynnistää selvityksen julkisen sektorin pilvipalvelujen käytöstä osana Euroopan valvontaviranomaisten yhteistä toimenpidettä.
フランス FR SA FR Thématiques prioritaires de contrôle 2022 : prospection commerciale, cloud et surveillance du télétravail
EN Priority topics for investigations in 2022: commercial prospecting, cloud and telework monitoring
アイスランド IS SA   Samræmdar úttektir innan EES á notkun opinberra aðila á skýjaþjónustu.
イタリア IT SA   Cloud nella PA: i Garanti europei lanciano un'indagine coordinata.
リトアニア LT SA   Lietuva prisidės prie koordinuotų tikrinimų dėl asmens duomenų apsaugos viešajam sektoriui naudojantis debesijos paslaugomis.
ラトビア LV SA   Eiropas Datu aizsardzības kolēģija uzsāk pirmo koordinēto pārbaudi par mākoņdatošanas izmantošanu publiskajā sektorā.
オランダ NL SA   Privacytoezichthouders onderzoeken gebruik clouddiensten door overheidsinstellingen.
ポルトガル PT SA   Ação coordenada da ue para investigar o uso de serviços de 'cloud' no setor público.

 

 

Edpb_20220217054501

 

| | Comments (0)

総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

こんにちは、丸山満彦です。

総務省が「AIを用いたクラウドサービスに関するガイドブック」を公表していますね。。。

AIクラウドサービスを提供する者が、利用者の信頼を獲得しつつ市場を拡大していくために推奨される自主的な取組を提言するもの」ということのようです。。。

興味深い取り組みだと思います。

Fig1_20220403142401 

それに合わせて、AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)も合わせて公表していますね。。。

 

総務省

・2022.02.15 「AIを用いたクラウドサービスに関するガイドブック」の公表

・[PDF] AIを用いたクラウドサービスに関するガイドブック

20220403-142702

はじめに

1.本ガイドブックの目的・背景

2.本ガイドブックの対象等
2.1 本ガイドブックの対象
2.2 AIクラウドサービスの特徴
2.3 想定する読者
2.4 使われ方
2.5 用語の定義

第Ⅰ編 AIクラウドサービスの開発

1.AI開発のプロセス

2.企画・計画フェーズ

3.開発準備フェーズ

4.開発フェーズ
4.1 データの整備
4.2 モデルの構築から学習、評価まで

5.個別調整フェーズ

6.運用・保守フェーズ

7.その他
7.1 外部委託と外部連携
7.2 環境問題への配慮
7.3 AIのエコシステムについて
7.4 AIの創作物に関する著作権の問題

第Ⅱ編 AIクラウドサービスの提供

1.提供前の段階で推奨される取組

2.提供期間中において推奨される取組


 

・ 2022.02.15 「クラウドサービスの安全・信頼性に係る情報開示指針」における「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」の追加

クラウドサービスの安全・信頼性に係る情報開示指針は2018年10月改訂が最新で、現在

となっているのですが、それに新たに

20220403-151359

が加わるということですね。。。

 


過去も含めて発表一覧

総務省

・2022.02.15 「クラウドサービスの安全・信頼性に係る情報開示指針」における「AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)」の追加

・2018.10.26 「クラウドサービスの安全・信頼性に係る情報開示指針」における「IoTクラウドサービスの安全・信頼性に係る情報開示指針」の追加

・2017.03.31 「クラウドサービスの安全・信頼性に係る情報開示指針」の改定

・2007.11.27 [archive] 「ASP・SaaSの安全・信頼性に係る情報開示指針」の公表について

 

| | Comments (0)

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

こんにちは、丸山満彦です。

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controlsが公表されていますね。。。

 

ISO - International Organization for Standardization

ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls

Preview


Table of contents
Foreword
Introduction
1 Scope
2 Normative references
3 Terms, definitions and abbreviated terms
3.1 Terms and definitions
3.2 Abbreviated terms
4 Structure of this document
4.1 Clauses
4.2 Themes and attributes
4.3 Control layout
5 Organizational controls
5.1 Policies for information security
5.2 Information security roles and responsibilities
5.3 Segregation of duties
5.4 Management responsibilities
5.5 Contact with authorities
5.6 Contact with special interest groups
5.7 Threat intelligence
5.8 Information security in project management
5.9 Inventory of information and other associated assets
5.10 Acceptable use of information and other associated assets
5.11 Return of assets
5.12 Classification of information
5.13 Labelling of information
5.14 Information transfer
5.15 Access control
5.16 Identity management
5.17 Authentication information
5.18 Access rights
5.19 Information security in supplier relationships
5.20 Addressing information security within supplier agreements
5.21 Managing information security in the ICT supply chain
5.22 Monitoring, review and change management of supplier services
5.23 Information security for use of cloud services
5.24 Information security incident management planning and preparation
5.25 Assessment and decision on information security events
5.26 Response to information security incidents
5.27 Learning from information security incidents
5.28 Collection of evidence
5.29 Information security during disruption
5.30 ICT readiness for business continuity
5.31 Legal, statutory, regulatory and contractual requirements
5.32 Intellectual property rights
5.33 Protection of records
5.34 Privacy and protection of PII
5.35 Independent review of information security
5.36 Compliance with policies, rules and standards for information security
5.37 Documented operating procedures
6 People controls
6.1 Screening
6.2 Terms and conditions of employment
6.3 Information security awareness, education and training
6.4 Disciplinary process
6.5 Responsibilities after termination or change of employment
6.6 Confidentiality or non-disclosure agreements
6.7 Remote working
6.8 Information security event reporting
7 Physical controls
7.1 Physical security perimeters
7.2 Physical entry
7.3 Securing offices, rooms and facilities
7.4 Physical security monitoring
7.5 Protecting against physical and environmental threats
7.6 Working in secure areas
7.7 Clear desk and clear screen
7.8 Equipment siting and protection
7.9 Security of assets off-premises
7.10 Storage media
7.11 Supporting utilities
7.12 Cabling security
7.13 Equipment maintenance
7.14 Secure disposal or re-use of equipment
8 Technological controls
8.1 User endpoint devices
8.2 Privileged access rights
8.3 Information access restriction
8.4 Access to source code
8.5 Secure authentication
8.6 Capacity management
8.7 Protection against malware
8.8 Management of technical vulnerabilities
8.9 Configuration management
8.10 Information deletion
8.11 Data masking
8.12 Data leakage prevention
8.13 Information backup
8.14 Redundancy of information processing facilities
8.15 Logging
8.16 Monitoring activities
8.17 Clock synchronization
8.18 Use of privileged utility programs
8.19 Installation of software on operational systems
8.20 Networks security
8.21 Security of network services
8.22 Segregation of networks
8.23 Web filtering
8.24 Use of cryptography
8.25 Secure development life cycle
8.26 Application security requirements
8.27 Secure system architecture and engineering principles
8.28 Secure coding
8.29 Security testing in development and acceptance
8.30 Outsourced development
8.31 Separation of development, test and production environments
8.32 Change management
8.33 Test information
8.34 Protection of information systems during audit testing
Annex A Using attributes
A.1 General
A.2 Organizational views
Annex B Correspondence of ISO/IEC 27002:2022 (this document) with ISO/IEC 27002:2013
Bibliography

 

2224pxiso_logo_red_squaresvg

 


 

2022.05.18 追記

日本規格協会から、英日対訳版も販売されていますね。。。対訳版は税込54,879円ですね。。。JISになると、十分の一くらいの価格ですかね。。。

 

日本規格協会グループ

ISO/IEC 27002:2022 情報セキュリティ,サイバーセキュリティ及びプライバシー保護-情報セキュリティ管理策 Information security, cybersecurity and privacy protection - Information security controls

 

Continue reading "ISO/IEC 27002:2022 Information security, cybersecurity and privacy protection — Information security controls"

| | Comments (0)

2022.02.16

米国 国防総省が「防衛産業基盤の競争促進による国家安全保障の保護」に関する報告書を発表

こんにちは、丸山満彦です。

情報セキュリティと言いながら、安全保障の文脈でのセキュリティの話が少し増えてきていますが、情報セキュリティをとりまく環境の変化ということで... (要は、安全保障の文脈で、サイバー空間の存在意義が高まり、それに合わせて、情報セキュリティを考える上でも、安全保障の理解が必要となってきているということなのでしょうね。。。)

さて、米国の国防総省が「防衛産業基盤の競争促進による国家安全保障の保護」に関する報告書を発表していますね。。。

米国の発展のためには、産業が発展しなければならず、そのためには国防総省の調達現場においても、適正な競争が行われる必要があるということで、そのための提言が行われています。米国の国の根本(自由経済)に関わる問題ということだと思います。ちなみに、ベンダーロックの話もでてきています(^^)

日本においても、この考え方を理解した上で、(経済)安全保障の問題を積み上げていくことが重要なのかもしれませんね。。。

ちなみに提言の5つの柱は、、、

  1. 合併監視の強化
  2. 知的財産権の制限への対応
  3. 新規参入者の増加
  4. 小規模事業者への機会の増加
  5. 分野別サプライチェーン強靭化計画の実施

です。

 

White House

・2021.02.15 Fact Sheet: Department of Defense Releases New Report on Safeguarding our National Security by Promoting Competition in the Defense Industrial Base

Fact Sheet: Department of Defense Releases New Report on Safeguarding our National Security by Promoting Competition in the Defense Industrial Base ファクトシート 米国防総省、「防衛産業基盤の競争促進による国家安全保障の保護」に関する新たな報告書を発表
As part of President Biden’s whole-of-government approach to promoting competition, the Department of Defense (DoD) released a new report today on the state of competition in the defense industrial base. The report surveys the state of competition across key defense sectors and finds that extreme consolidation poses risks to our nation’s national and economic security. The report emphasizes that promoting competition is a top priority for DoD and outlines a series of actions that DoD will pursue to rebuild its competitive bench, lower costs for taxpayers, and safeguard our national security.  バイデン大統領が提唱する政府全体での競争促進の一環として、国防総省(DoD)は本日、防衛産業基盤における競争の状況に関する新たな報告書を発表しました。この報告書は、主要な防衛分野における競争の状況を調査し、極端な統合が我が国の国家安全保障および経済安全保障にリスクをもたらしていることを明らかにしています。本報告書は、競争の促進が国防総省の最優先事項であることを強調し、競争力のある基盤を再構築し、納税者のためにコストを削減し、国家安全保障を守るために、国防総省が取るべき一連の行動を示しています。 
The term “defense industrial base” (DIB) describes the vast network of companies that provide goods and services to DoD. These companies make up a significant part of our economy, ranging from small businesses and startups to some of the biggest corporations in the world. They provide products ranging from intercontinental ballistic missiles and highly specialized military satellites to everyday commercial products like batteries and laptops. 「防衛産業基盤」(DIB)は、国防総省に商品やサービスを提供する企業の広大なネットワークです。これらの企業は、中小企業や新興企業から世界有数の大企業まで、わが国経済の重要な部分を占めています。これらの企業は、大陸間弾道ミサイルや高度に専門化された軍事衛星から、電池やラップトップなどの日常的な商業製品まで、さまざまな製品を提供しています。
The report observes that extreme consolidation in the defense sector has reduced competition and heightened national security risks. Since the 1990s, the number of aerospace and defense prime contractors has shrunk from 51 to just 5. The same pattern has played out across categories of major weapons systems: for example, today, 90% of missiles come from 3 sources. Such consolidation leaves DoD increasingly reliant on a handful of companies for critical defense capabilities. It also hurts taxpayers, as companies no longer feel the competitive pressure to innovate or perform at the highest level to win contracts. 報告書では、防衛分野における極端な統合により、競争力が低下し、国家安全保障上のリスクが高まっていると指摘しています。1990年代以降、航空宇宙・防衛分野のプライムコントラクターの数は、51社からわずか5社にまで減少しています。これは、主要な兵器システムのカテゴリーにおいても同じパターンが見られ、例えば、現在、ミサイルの90%は3社から供給されている状況です。このような統合により、国防総省は重要な防衛能力を一握りの企業に依存するようになっています。また、企業は契約を獲得するために技術革新や最高レベルのパフォーマンスを求められる競争圧力を感じなくなるため、納税者にも悪影響を及ぼします。
The report also emphasizes the need to rebuild DoD’s competitive bench by lowering barriers for small businesses and bringing in new entrants. Small businesses spur innovation, producing 16.5 times more patents than large firms, and form the next generation of suppliers to support the DoD mission. However, the number of small businesses in the DIB shrunk by over 40% over the past decade. Without action, DoD could lose an additional 15,000 suppliers over the next decade—a national security and economic risk that threatens key domestic capabilities.    本報告書では、中小企業の参入障壁を減らし、新規参入者を増やすことで、国防総省の競争力を再構築する必要性も強調しています。小規模企業は、大企業の16.5倍もの特許を取得してイノベーションを促進し、国防総省のミッションを支える次世代のサプライヤーを形成しています。しかし、DIBに含まれる中小企業の数は、過去10年間で40%以上も減少しています。このままでは、国防総省は今後10年間でさらに1万5,000社のサプライヤーを失う可能性があり、これは国内の重要な能力を脅かす国家安全保障上および経済上のリスクです。  
The report outlines five lines of effort to achieve the goals of President Biden’s Executive Order on Promoting Competition in the American Economy, confront the challenges posed by industry consolidation, and ensure sufficient domestic capacity and capability in the defense industrial base: 本報告書では、バイデン大統領の「米国経済における競争の促進」に関する大統領令の目標を達成し、業界統合による課題に立ち向かい、防衛産業基盤の十分な国内生産能力を確保するために、5つの取り組みを紹介しています。
Strengthening Merger Oversight. DoD faces a historically consolidated DIB, making careful attention by DoD in the review of any further mergers necessary. When a merger threatens DoD interests, DoD will support the Federal Trade Commission and Department of Justice in antitrust investigations and recommendations involving the DIB. 合併監視の強化。 国防総省は、歴史的に統合されたDIBに直面しており、今後の合併の審査において、国防総省による慎重な配慮が必要です。合併が国防総省の利益を脅かす場合、国防総省は連邦取引委員会と司法省のDIBに関する反トラスト調査と勧告を支援します。
Addressing Intellectual Property Limitations. Certain practices surrounding intellectual property (IP) and data rights have been used to limit competition in DoD purchasing. In its ongoing modernization of its approach to IP rights, DoD should remain conscious of potential unnecessary anticompetitive consequences of any new IP-related procedures do what it can to create IP-related procedures that do not result in unnecessary anticompetitive consequences. 知的財産権の制限への対応。知的財産(IP)やデータの権利をめぐるある種の慣行は、国防総省の購買における競争を制限するために利用されてきました。知的財産権に対するアプローチの近代化を進める中で、DoDは、新たな知的財産権関連の手続きが不必要な反競争的結果をもたらす可能性があることを意識し、不必要な反競争的結果をもたらさないような知的財産権関連の手続きを作るためにできることをしなければなりません。
Increasing New Entrants. To counteract the trend of overall shrinking of the DIB, DoD should endeavor to attract new entrants to the defense marketplace by reducing barriers to entry. That includes through small business outreach, support, and use of acquisition authorities that provide DoD the flexibility to reduce barriers and attract new vendors. 新規参入者の増加。DIBの全体的な縮小傾向に対抗するため、国防総省は、参入障壁を低減することにより、防衛市場への新規参入者の誘致に努めるべきです。これには、小規模事業者への働きかけ、支援、および国防総省に障壁を減らして新規業者を誘致するための柔軟性を提供する取得権限の使用が含まれます。
Increasing Opportunities for Small Businesses. DoD should increase small business participation in defense procurement, including with small disadvantaged businesses, women-owned small businesses, service disabled veteran owned small businesses, and HUBZone businesses, with an emphasis on increasing competition in priority industrial base sectors. 小規模事業者への機会の増加。国防総省は、優先産業基盤部門での競争を高めることに重点を置いて、不利な立場にある小規模事業者、女性が所有する小規模事業者、サービス障害退役軍人が所有する小規模事業者、HUBZone事業者を含め、国防調達への小規模事業者の参加を増やすべきである。
Implementing Sector-specific Supply Chain Resilience Plans: DoD should take steps to ensure resilience in the supply chain for five priority sectors: casting and forgings, missiles and munitions, energy storage and batteries, strategic and critical materials, and microelectronics. 分野別サプライチェーン強靭化計画の実施。国防総省は、鋳造・鍛造、ミサイル・軍需、エネルギー貯蔵・バッテリー、戦略・重要材料、マイクロエレクトロニクスの5つの優先産業分野のサプライチェーンの強靱性を確保するための措置を講じるべきです。

 

国防総省のウェブページ

・2022.02.15 State of Competition in the Defense Industrial Base

State of Competition in the Defense Industrial Base 防衛産業基盤における競争状況
Today, the Defense Department released the State of Competition in the Defense Industrial Base report, as directed by Executive Order 14036. 本日、国防総省は、大統領令14036の指示に基づき、「防衛産業基盤における競争状況」に関する報告書を発表した。
"The Department is renewing its efforts to ensure we can meet the challenges now and into the future. A vibrant, competitive and diverse defense industrial base will be critical to our success," said Deputy Secretary of Defense Dr. Kathleen Hicks. "As DoD works to innovate, bring new technologies into our supplier base, and develop the workforce of the future, American small businesses and our U.S. industrial base must expand not only to improve resiliency, but to ensure we are able to meet the needs of our warfighters for tomorrow's high-tech challenges." 国防総省は、現在および将来の課題に確実に対応できるよう、取り組みを新たにしています。国防総省の副長官であるキャスリーン・ヒックス博士は次のように述べています。「国防総省は、現在および将来の課題に確実に対応するために、新たな取り組みを行っています。国防総省が革新に取り組み、サプライヤーベースに新技術を導入し、未来の労働力を育成する中で、米国の中小企業と米国の産業基盤は、レジリエンスを向上させるだけでなく、明日のハイテク課題に対する戦力のニーズを確実に満たすことができるように拡大しなければなりません。」
The report discusses the current state of competition in the DIB and recommends DoD actions to promote a more diverse and expanded industrial base. The report also outlines actions that DoD is taking to specifically promote competition in its small business vendor base as well as in five priority industrial base sectors, including microelectronics, missiles and munitions, high-capacity batteries, castings and forgings, and critical minerals and materials. 本報告書では、DIBにおける競争の現状を説明し、より多様で拡大した産業基盤を促進するための国防総省の行動を提言しています。また、国防総省が中小企業のベンダーベースおよびマイクロエレクトロニクス、ミサイル・軍需品、高容量バッテリー、鋳物・鍛造品、重要鉱物・材料などの5つの優先産業基盤分野での競争を促進するためにとっている行動の概要を示しています。
The report made five recommendations: 報告書では5つの提言がなされています。
・Strengthening merger oversight ・合併監視の強化
・Addressing intellectual property limitations ・知的財産権の制限への対応
・Increasing new entrants ・新規参入者の増加
・Increasing opportunities for small businesses ・小規模事業者への機会の増加
・Implementing sector-specific supply chain resiliency plans ・分野別サプライチェーン強靭化計画の実施
More on these recommendations and the entire report can be found here. これらの提言の詳細および報告書全体については、こちらをご覧ください。

 

報告書

・2022.02.15 State of Competition within the Defense Industrial Base 

20220216-53436

 

目次

Reporting Requirement 報告要件
Executive Summary エグゼクティブサマリー
Section 1: Overview of Competition and Cross-Cutting Challenges セクション1:競争の概要と横断的な課題
Overview of the State of Competition in the Defense Industrial Base 防衛産業基盤における競争状況の概要
Factors Impacting Competition 競争に影響を与える要因
Consolidation in the Defense Industry 防衛産業の統合
Data Rights and Intellectual Property データの権利と知的財産権
Federal-Wide Push to Use Commercial Items 連邦政府による商用品の使用促進
Section 2: Growing the Small Business Vendor Base セクション2:小規模事業者のベンダーベースの拡大
Small Business Outreach to Expand the Vendor Base and Ability to Compete ベンダーベースと競争力の拡大に向けた小規模事業者への働きかけ
Leveraging Small Business Programs to Grow the Industrial Base 小規模事業者プログラムの活用による産業基盤の拡大
Reducing Barriers to Entry to Support Competition 競争を支える参入障壁の低減
Section 3: Defense Industry Outlook—Sectors Where Insufficient Capacity and Competition is a Concern セクション3:防衛産業の展望-能力不足と競争が懸念される分野
Workforce Constraints and Shortfalls 労働力の制約と不足
Priority Industrial Base Sectors 重点産業基盤部門
Castings and Forgings 鋳造品と鍛造品
Missiles and Munitions ミサイルと軍需品
Energy Storage and Batteries エネルギー貯蔵とバッテリー
Strategic and Critical Materials 戦略的重要素材
Microelectronics マイクロエレクトロニクス
Conclusion 結論
Department Actions to Achieve the Goals of the Executive Order 大統領令の目標を達成するための国防総省の行動

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー
Competition within the DIB is vital to the Department for several reasons. When markets are competitive, the Department reaps the benefits through improved cost, schedule, and performance for the products and services needed to support national defense. During initial procurement, incentivizing innovation through competition drives industry to offer its best technical solutions at a best-value cost and price. During contract performance, the expectation that contractors will have to compete against other firms in the future encourages them to perform effectively and efficiently.   DIB内での競争は、いくつかの理由により、米連邦政府にとって不可欠です。市場が競争的であれば、国防を支えるために必要な製品やサービスのコスト、スケジュール、性能が改善され、その恩恵を受けることができます。最初の調達時には、競争による革新の動機付けにより、産業界は最高の技術的ソリューションを最高の価値のコストと価格で提供するようになります。契約の履行においては、請負業者が将来的に他の企業と競争しなければならないという期待が、効果的かつ効率的な履行を促します。 
Competition is also an indicator of the necessary industrial capability and capacity to deliver the systems, key technologies, materials, services, and products the Department requires to support its mission. Insufficient competition may leave gaps in filling these needs, remove pressures to innovate to outpace other firms, result in higher costs to taxpayers as leading firms leverage their market position to charge more, and raise barriers for new entrants. Moreover, having only a single source or a small number of sources for a defense need can pose mission risk and, particularly in cases where the existing dominant supplier or suppliers are influenced by an adversary nation, pose significant national security risks. For all these reasons, promoting competition to the maximum extent possible is a top priority for the Department.  また、競争は、米国防総省がそのミッションをサポートするために必要とするシステム、キーテクノロジー、材料、サービス、製品を提供するために必要な産業能力とキャパシティの指標でもあります。競争が不十分だと、これらのニーズを満たすのにギャップが生じ、他の企業を凌駕するための技術革新へのプレッシャーがなくなり、有力企業が市場での地位を利用してより多くの料金を請求するため、納税者のコストが上昇し、新規参入者にとっての障壁となる可能性があります。さらに、防衛需要に対して単一の供給源または少数の供給源しか持たないことは、ミッション・リスクを引き起こす可能性があり、特に既存の有力な供給者または供給者が敵対国の影響を受けている場合には、重大な国家安全保障上のリスクとなります。このような理由から、可能な限り競争を促進することは、防衛省の最優先事項です。
Since the 1990s, the defense sector has consolidated substantially, transitioning from 51 to 5 aerospace and defense prime contractors.[1] As a result, DoD is increasingly reliant on a small number of contractors for critical defense capabilities. Consolidations that reduce required capability and capacity and the depth of competition would have serious consequences for national security. Over approximately the last three decades, the number of suppliers in major weapons system categories has declined substantially: tactical missile suppliers have declined from 13 to 3, fixed-wing aircraft suppliers declined from 8 to 3, and satellite suppliers have halved from 8 to 4. Today, 90% of missiles come from 3 sources.[2] As a result, promoting competition and ensuring it is fair and open for future programs is a critical Department priority.  1990年代以降、防衛分野は大幅に統合され、航空宇宙・防衛分野のプライムコントラクターは51社から5社になりました[1]。 その結果、国防総省は重要な防衛能力を少数のコントラクターに依存するようになっています。必要な能力やキャパシティ、競争の深さを低下させるような統合は、国家安全保障に深刻な影響を与えることになります。戦術ミサイルのサプライヤーは13社から3社に、固定翼機のサプライヤーは8社から3社に、衛星のサプライヤーは8社から4社に半減しました。現在、ミサイルの90%は3社から供給されています[2]。その結果、将来のプログラムのために競争を促進し、それが公正でオープンであることを保証することは、国防総省の重要な優先事項となっています。
This report lays out five broad recommendations to spur increased competition in the DIB:  本報告書では、DIBにおける競争を促進するために、5つの幅広い提言を行っています。
•        Strengthening Merger Oversight. DoD faces a historically consolidated DIB, making heightened review of any further mergers and acquisitions (M&A) necessary. Moreover, when a merger threatens DoD interests, DoD will support the Federal Trade Commission (FTC) and Department of Justice (DOJ) in antitrust investigations and recommendations involving the defense industrial base.  合併監視の強化。国防総省は、歴史的に統合されたDIBに直面しており、今後の合併・買収(M&A)については、より厳しい審査が必要となります。さらに、合併が国防総省の利益を脅かす場合、国防総省は、連邦取引委員会(FTC)と司法省(DOJ)による、防衛産業基盤に関する反トラスト調査と勧告を支援します。
•        Addressing Intellectual Property Limitations. Certain practices surrounding intellectual property (IP) and data rights have been used to limit competition in DoD purchasing and to induce “vendor-lock” and other undesirable results. DoD will implement best practices for identifying its long-term IP needs early in the competitive phases of acquisition programs, ensuring IP is an evaluation factor in competitive awards and a negotiation objective in solesource awards, and contracting with vendors who are willing to provide the government the IP deliverables and rights it needs. In its ongoing modernization of its approach to IP rights, DoD should do what it can to create IP-related procedures that do not result in unnecessary anticompetitive consequences.  知的財産権の制限への対応。知的財産権(IP)やデータの権利をめぐるある種の慣行は、国防総省の購買における競争を制限し、「ベンダーロック」やその他の望ましくない結果を誘発するために使用されてきました。国防総省は、買収プログラムの競争段階の早い段階で長期的なIPニーズを特定し、IPが競争的な裁定における評価要素であり、ソレスソースの裁定における交渉目的であることを保証し、政府が必要とするIP成果物と権利を提供する意思のあるベンダーと契約するためのベストプラクティスを実施すべきです。知的財産権に対するアプローチの継続的な近代化の中で、国防総省は、不必要な反競争的結果を招かないような知的財産関連の手続きを作成するためにできることをしなければなりません。
•       Increasing New Entrants. To counteract the trend of overall shrinking of the DIB, DoD should endeavor to attract new entrants to the defense marketplace by reducing barriers to entry. This will be accomplished through small business outreach, support, and use of acquisition authorities like other transaction (OT) authority and commercial solutions opening (CSO) that provides DoD the flexibility to adopt and incorporate commercial best practices to reduce barriers and attract new vendors.  新規参入者の増加。DIBの全体的な縮小傾向に対抗するため、国防総省は、参入障壁を低減することにより、防衛市場への新規参入者の誘致に努めるべきです。これは、小規模事業者への働きかけ、支援、その他の取引(OT)権限やコマーシャル・ソリューション・オープニング(CSO)などの取得権限の使用によって達成されるものです。
•       Increasing Opportunities for Small Businesses. DoD should increase small business participation in defense procurement, with an emphasis on increasing competition in priority industrial base sectors.  小規模事業者の機会を増やす。国防総省は、優先産業基盤部門での競争を高めることに重点を置き、防衛調達への小規模事業者の参加を増やすべきです。
•      Implementing Sector-specific Supply Chain Resiliency Plans: DoD should take steps to ensure resilience in the supply chain for five priority sectors: casting and forgings, missiles and munitions, energy storage and batteries, strategic and critical materials, and microelectronics. Detailed recommendations are included in DoD’s report on Executive Order 14017, America’s Supply Chains.  分野別サプライチェーン強靭化計画の実施。国防総省は、鋳造・鍛造,ミサイル・軍需、エネルギー貯蔵・バッテリー、戦略・重要材料、マイクロエレクトロニクスの5つの優先産業分野のサプライチェーンの強靱性を確保するための措置を講じるべきです。詳細な提言は,大統領令14017「アメリカのサプライチェーン」に関する国防総省の報告書に含まれています。
Section 1 of this report provides an overview of the state of competition in DIB and introduces cross-cutting challenges and recommendations related to M&A, IP, and reliance on commercial items. Section 2 focuses specifically on the health of the small business DIB and recommendations to increase the small business vendor base. Section 3 provides a sectoral assessment across five priority areas, with recommended mitigations across each of these areas.   本報告書のセクション1では、DIBにおける競争の状況を概観し、M&A、IP、商用品への依存に関連する分野横断的な課題と提言を紹介しています。セクション2では、特に小規模事業者のDIBの健全性に焦点を当て、小規模事業者のベンダーベースを増やすための提言を行っています。セクション3では、5つの優先分野における分野別の評価を行い、それぞれの分野で推奨される軽減策を示しています。 
DoD is committed to pursuing these principles throughout its procurement and sustainment processes. These efforts to increase competition will deliver benefits for cost, schedule, quality, performance, innovation, and industrial capacity. These efforts will also enhance its capability to meet mission demands and national security requirements.  国防総省は、調達と維持管理のプロセス全体を通して、これらの原則を追求することを約束します。競争を高めるためのこれらの努力は、コスト、スケジュール、品質、性能、イノベーション、産業能力にメリットをもたらす。また、これらの取り組みは、ミッションの要求と国家安全保障上の要求を満たす能力を高めることにもなります。
[1] See Final Report of the Commission on the Future of the United States Aerospace Industry, November 2002, p. 134 [1] 米国航空宇宙産業の将来に関する委員会の最終報告書、2002年11月、p.134
[2] Source: 2020 DCMA Munitions Industry Production Analysis and July 2020 DCMA Missile Sector Economic Assessment.  [2] 出典:2020年DCMA軍需産業生産分析および2020年7月DCMAミサイル部門経済評価。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.16 米国 Rand研究所 「中国の防衛産業基盤のシステム的な強みと弱みの評価」

・2022.02.10 公正取引委員会 官公庁における情報システム調達に関する実態調査について

・2022.02.03 内閣官房 経済安全保障法制に関する有識者会議 第4回

2022.01.20 内閣官房 経済安全保障法制に関する有識者会議 第3回

2022.01.04 内閣官房 経済安全保障法制に関する有識者会議 第2回

2021.11.29 内閣官房 経済安全保障法制に関する有識者会議

 

| | Comments (0)

米国 Rand研究所 「中国の防衛産業基盤のシステム的な強みと弱みの評価」

こんにちは、丸山満彦です。

米国のRand研究所が中国の防衛産業基盤のシステム的な強みと弱みの評価していますね。。。

分野は次の6つですね。。。

  1. 経済
  2. ガバナンスと規制
  3. 原材料
  4. 製造
  5. 労働力、労働、スキル
  6. 研究、開発、イノベーション

調査内容は、

  1. 中国のDIBの長所と脆弱性は何か?
  2. 中国のDIBはどのように米国や他の国に依存しているか?
  3. 地域の専門家のチームなしで、構造化された反復可能な方法で、どの国のDIBをどのように評価できるか?
  4. 一般的に(特に中国にとって)外国のDIBの長所と短所に対処するのに役立つインテリジェンスとその他の情報要件は何か?

ということのようです。。。

Key Findings 主な調査結果
The sheer size of China's DIB makes it opaque to both outsiders and the Chinese government 中国のDIBは、その規模の大きさゆえに、外部の人間にも中国政府にも不透明である
Even China's central government lacks transparency into its state-owned enterprises and other DIB suppliers. 中国の中央政府でさえ、国有企業やその他のDIB供給者に対する透明性に欠けています。
China's DIB both benefits and suffers from the effects of single-party dominance of government 中国の DIB は政府の一党支配の影響の恩恵と苦しみの両方を抱えている
The centralization of power supports the ability to drive whole-of-government strategies, but the ability of the Chinese government to lead with one voice creates a weakness when the entire DIB pivots toward new priorities to the detriment of others. 中央集権は、政府全体の戦略を推進する能力を支えますが、中国政府が一声でリードする能力は、DIB全体が他を犠牲にして新たな優先事項に軸足を移す際の弱点となります。
China is a global science and technology power, but its defense innovation system has weaknesses 中国は世界的な科学技術大国ですが、防衛イノベーションシステムには弱点がある
China has a quantitative advantage relative to the United States in patented military technology, even after adjusting for quality. 中国は、特許取得済みの軍事技術において、品質を調整した後でも、米国に対して量的優位性を持っています。
China's defense innovation system does not effectively transmit knowledge and information between its constituent components; China remains dependent on foreign countries in many areas, including material imports, technology innovation, and education. 中国の防衛革新システムは、その構成要素間で知識や情報を効果的に伝達しておらず、材料の輸入、技術革新、教育など多くの分野で外国に依存しています。
Despite its manufacturing capacity, China has foreign dependences 製造能力があるにもかかわらず、中国は外国に依存している
China runs large trade deficits with East Asia and Europe in manufacturing. 中国は製造業において、東アジアおよびヨーロッパに対して大きな貿易赤字を抱えています。
Integrated circuits are among China's largest manufacturing import categories and a major component of its economic engine. 集積回路は、中国の製造業における最大の輸入品目の一つであり、中国の経済エンジンの主要な構成要素です。
China's DIB remains dependent on Russia, Ukraine, and France for aircraft and naval engines, despite efforts to develop the capability domestically. 中国のDIBは、航空機や海軍のエンジンを国内で開発しようとしているにもかかわらず、依然としてロシア、ウクライナ、フランスに依存しています。
China will be vulnerable to significant workforce upheaval over the next ten years 今後10年間、中国は労働力の大きな変化にさらされる
China's labor force will shrink as fertility rates continue to drop. 出生率の低下に伴い、中国の労働力は減少していきます。
China's DIB might struggle to attract and retain trained talent in the future. 中国のDIBは今後、訓練された人材の確保と維持に苦労するかもしれません。

なるほど...

 

世界の防衛関連企業トップ15社のうち7社は、中国の国有企業(SOE)なんですね。。。もちろん、すべてが防衛向けの売上ではないわけですが、、、

輸出は圧倒的に米国企業ですね。。。

Dual Useも多くなっているようですね。。。というか、民需品を軍が利用したりすることも増えているので、軍専門品、軍利用が主であるが民需転換もしたもの、民需品だが軍も利用しているもの、軍は利用していないものという感じで考えたほうがよいのかもしれませんが、、、

興味深いですね。。。

 

RAND Corporation

・2022.02.11 Assessing Systemic Strengths and Vulnerabilities of China's Defense Industrial Base

 ・[PDF

20220216-61804

 

詳細版

・2022.02.11 Assessing Systemic Strengths and Vulnerabilities of China's Defense Industrial Base - With a Repeatable Methodology for Other Countries

・[PDF

20220216-61923

 

 

| | Comments (0)

2022.02.15

ENISAとCERT-EU EUのすべての官民組織が最低限実施すべきサイバーセキュリティのベストプラクティス14項目

こんにちは、丸山満彦です。

ENISACERT-EUが、EUのすべての官民組織に対し、最低限実施すべきサイバーセキュリティのベストプラクティス14項目を公表していますね。。。

ENISA

・2022.02.14 Boosting your Organisation's Cyber Resilience - Joint Publication

・[PDF]

20220215-161501

 

Boosting your Organisation’s Cyber Resilience  組織のサイバー・レジリエンスを高めるために 
Executive summary  要旨 
Based on the continuously increasing threat level ENISA, The EU Agency for Cybersecurity, and CERT-EU, the CERT of all the EU institutions, bodies and agencies, strongly encourage all public and private sector organisations in the EU to apply, at a minimum, the cybersecurity best practices hereunder.  継続的に増大する脅威レベルに基づき、EUのサイバーセキュリティ機関であるENISAと、EUの全機関・団体・機関のCERTであるCERT-EUは、EUのすべての官民組織に対し、最低限、以下のサイバーセキュリティのベストプラクティスを適用することを強く推奨する。
ENISA and CERT-EU remain confident that, by applying this set of recommendations in a consistent, systematic manner, organisations in the EU will be able to substantially improve their cybersecurity posture and enhance their overall attack resilience.  ENISAとCERT-EUは、この一連の推奨事項を一貫性のある体系的な方法で適用することにより、EU内の組織はサイバーセキュリティの態勢を大幅に改善し、全体的な攻撃の回復力を高めることができると確信しています。
Best practices  ベストプラクティス 
The following best practices may complement but do not replace guidance issued by your national or governmental cybersecurity authority. They are provided in no particular order.  以下のベストプラクティスは、国または政府のサイバーセキュリティ当局が発行したガイダンスを補完するものであり、これに代わるものではありません。これらは順不同で記載されています。
Organisations should prioritise their actions according to their specific business needs.  組織は、具体的なビジネスニーズに応じて行動に優先順位をつける必要があります。
1.     Ensure remotely accessible services require multi-factor authentication (MFA).   1. リモートアクセス可能なサービスに多要素認証(MFA)が必要であることを確認する。 
These include, but are not limited to, VPN services, external facing corporate portals (extranets) and email access (e.g. OWA or Exchange Online). If possible, avoid using SMS and voice calls to provide one-time codes and consider deploying phishing resistant tokens such as smart cards and FIDO2 (Fast IDentity Online) security keys.   これには、VPN サービス、外部向け企業ポータル(エクストラネット)、電子メールアクセス(OWA または Exchange Online など)が含まれますが、これらに限定されません。可能であれば、SMSや音声通話によるワンタイムコードの提供を避け、スマートカードやFIDO2(Fast IDentity Online)セキュリティキーなどのフィッシング耐性のあるトークンの導入を検討する。 
2.     Ensure users do not re-use passwords, encourage users to use Multiple Factor Authentication (MFA) whenever supported by an application (on social media for instance)  2. ユーザーがパスワードを再利用しないようにし、アプリケーション(ソーシャルメディアなど)でサポートされている場合は常に多要素認証(MFA)を使用するように促す。
Threat actors often compromise organisations by performing credential stuffing attacks. These attacks use credentials obtained from previous data breaches, such as leaked user names and passwords, against another unrelated service. These attacks are made possible because users tend to re-use the same username/password combination. Users are therefore encouraged to never reuse a password. In addition, users are advised to use trusted leak checkers to see if their personal email addresses are present in any known data breach and to change immediately any compromised password on the relevant websites and/or applications. The use of a corporate password manager should be encouraged whenever possible.   脅威の担い手は、クレデンシャルスタッフィング攻撃を行うことで組織を危険にさらします。このような攻撃では、流出したユーザー名やパスワードなど、過去の情報漏えい事件で得られた認証情報を、関連性のない別のサービスに対して使用します。このような攻撃が可能になるのは、ユーザーが同じユーザー名とパスワードの組み合わせを再利用する傾向があるためです。したがって、ユーザーはパスワードを決して再利用しないようにしてください。さらに、信頼できる漏洩チェックツールを使用して、既知のデータ漏洩に自分の個人的な電子メールアドレスが含まれていないかどうかを確認し、関連するウェブサイトやアプリケーションで漏洩したパスワードを直ちに変更することをお勧めします。また、可能な限り企業内パスワードマネージャーの使用を推奨します。 
3.     Ensure all software is up-to-date  3. すべてのソフトウェアを最新の状態にする 
Updates addressing known vulnerabilities should be prioritised. Reengineering vulnerability management processes is also needed and recommended in order to deploy high and critical severity patches as quickly as possible.   既知の脆弱性に対応したアップデートを優先的に実施する。また、深刻度の高いパッチや重要度の高いパッチを可能な限り迅速に導入するために、脆弱性管理プロセスを再構築することも必要であり、推奨します。 
Ensure all actions related to patching of endpoints and servers have been completed (e.g. system reboots).   エンドポイントやサーバへのパッチ適用に関連するすべての作業が完了していることを確認してください(システムの再起動など)。 
Remember to strongly encourage your users to patch their personal systems at home and as regularly as possible (e.g. computers, smartphones, tablets, connected devices like TV sets, videogame consoles, home routers, etc.).   ユーザーが自宅の個人用システムにパッチを適用することを、可能な限り定期的に強く奨励することを忘れないでください(コンピュータ、スマートフォン、タブレット、テレビ、ビデオゲーム機、ホームルーターなどの接続機器などが該当します)。 
4.     Tightly control third party access to your internal networks and systems.   4. 社内ネットワークやシステムへの第三者のアクセスを厳重に管理する。 
This will improve your ability to prevent and detect potential attacks should a third party be compromised and used as a beachhead to breach your organisation.  これにより、万が一、第三者が侵入して組織への侵入の橋頭堡となった場合に、潜在的な攻撃を防止・検知する能力が向上します。
5.     Pay special attention to hardening your cloud environments before moving critical loads to the Cloud.   5. 重要な負荷をクラウドに移行する前に、クラウド環境の堅牢化に特別な注意を払う。 
Use the strong security controls available on cloud platforms and separate cloud system management from on-premise system management to ensure threat actors cannot jump from one environment to the other because of discrepancies in security controls.   クラウド・プラットフォームで利用可能な強力なセキュリティ・コントロールを利用し、クラウド・システムの管理とオンプレミス・システムの管理を分離することで、セキュリティ・コントロールの不一致を理由に、脅威の主体がある環境から別の環境に飛び移ることができないようにします。 
6.     Review your data backup strategy and use the so-called 3-2-1 rule approach   6. データのバックアップ戦略を見直し、「3-2-1ルール」と呼ばれるアプローチを採用する 。 
Addressed to organisations, the rule consists in keeping three complete copies of their data, with two of them locally stored but on different types of media, and at least one copy stored off-site. Your organisation’s backup strategy should be fully aligned with your business needs by setting explicit recovery time (RTOs) and recovery point objectives (RPOs).   組織を対象としたこのルールでは、データの完全なコピーを3つ保持することになっています。そのうちの2つはローカルに保存されていますが、異なる種類のメディアに保存されており、少なくとも1つのコピーはオフサイトに保存されています。組織のバックアップ戦略は、リカバリータイム(RTO)とリカバリーポイント(RPO)を明確に設定することで、ビジネスニーズに完全に一致させる必要があります。 
Ensure access to backups is controlled, limited and logged.   バックアップへのアクセスは制御され、制限され、記録されます。 
Confirm your restore procedures are well documented and tested regularly.   復元手順が十分に文書化され、定期的にテストされていることを確認する。 
Given the proliferation of ransomware attacks, it is strongly recommended to increase the frequency of backups for critical data. The latest storage technologies facilitate rapid backups of almost any data set in a matter of minutes.   ランサムウェアの攻撃が急増していることを考えると、重要なデータのバックアップの頻度を増やすことが強く推奨されます。最新のストレージ技術では、ほとんどのデータセットを数分で迅速にバックアップすることができます。 
Users should be trained to save data only on storage devices allowed by your cybersecurity policy or, if applicable, on the corporate cloud storage and not on their workstations. In addition, you should ensure that your backup software itself is up to date.   ユーザーは、データをワークステーションではなく、サイバーセキュリティポリシーで許可されたストレージデバイスや、該当する場合は企業のクラウドストレージにのみ保存するように教育する必要があります。さらに、バックアップソフトウェア自体を最新の状態にしておくことも必要です。 
7.     Change all default credentials and disable protocols that do not support multi-factor authentication or use weak authentication (e.g. cleartext passwords, or outdated and vulnerable authentication or encryption protocols).   7. デフォルトの認証情報をすべて変更し、多要素認証に対応していないプロトコルや脆弱な認証を使用しているプロトコル(例:平文のパスワード、時代遅れで脆弱な認証や暗号化プロトコル)を無効にする。 
8.     Employ appropriate network segmentation and restrictions to limit access and utilise additional attributes (such as device information, environment and access paths) when making access decisions.   8. アクセスを制限するために適切なネットワークセグメンテーションと制限を採用し、アクセスを決定する際には追加の属性(デバイス情報、環境、アクセス経路など)を利用する。 
9.     Conduct regular training to ensure that IT and system administrators have a solid understanding of your organisation’s security policy and associated procedures.  9. 定期的なトレーニングを実施し、IT 管理者およびシステム管理者が組織のセキュ リティポリシーおよび関連する手順を確実に理解できるようにする。
Vigilantly monitoring the misuse of sysadmin tools can help you prevent attackers from breaching your network and moving laterally.   システム管理者用ツールの悪用を注意深く監視することで、攻撃者がネットワークに侵入して横方向に移動するのを防ぐことができます。 
10.  Create a resilient email security environment by enabling antispam filtering, adding a secure email gateway configured to automatically follow field-tested policies and playbooks designed to prevent malicious emails from reaching mailboxes.  10.  アンチスパムフィルタリングを有効にし、悪意のある電子メールがメールボックスに到達するのを防ぐためにフィールドテストされたポリシーとプレイブックに自動的に従うように構成されたセキュアな電子メールゲートウェイを追加することで、回復力のある電子メールセキュリティ環境を構築する
11.  Organise regular cyber awareness events to train your users on common phishing techniques (e.g. identifying spoofed/suspicious messages) and the effects of phishing attacks.    11. 定期的にサイバー・アウェアネス・イベントを開催し、一般的なフィッシング技術(例:偽装されたメッセージや悪意のあるメッセージの識別)やフィッシング攻撃の影響についてユーザーを教育する。 
12.  Protect your web assets from denial-of-service attacks.  12.  Web資産をサービス妨害攻撃から守る。
Using a CDN (Content Delivery Network) will expand your web assets’ footprint across multiple servers or use the native high-availability features of cloud platforms.   CDN(Content Delivery Network)を利用することで、ウェブ資産のフットプリントを複数のサーバーに拡大したり、クラウド・プラットフォームのネイティブな高可用性機能を利用したりすることができます。 
Automate the disaster recovery runbooks for on-premise systems and ensure that you can move workloads to the disaster recovery site with a single click if possible.   オンプレミスシステムの災害復旧ランブックを自動化し、可能であればワンクリックで災害復旧サイトにワークロードを移動できるようにしてください。 
13.  Block or severely limit internet access for servers or other devices that are seldom rebooted, as they are coveted by threat actors for establishing backdoors and creating persistent beacons to Command and Control (C2) infrastructure.  13.  滅多に再起動しないサーバやその他のデバイスのインターネットアクセスをブロックまたは大幅に制限する。これらのデバイスは、バックドアの設置やコマンド&コントロール(C2)インフラへの持続的なビーコンの作成のために、脅威アクターが欲しがるからです。
14.  Make sure you have the procedures to reach out and swiftly communicate with your CSIRT. Contact details can be found on the matching websites available via https://csirtsnetwork.eu/.  14.  CSIRT に連絡を取り、迅速にコミュニケーションを取るための手順を確認する。連絡先の詳細は、https://csirtsnetwork.eu/ から入手できるマッチングサイトで確認できます。
Publications  出版物 
CSIRT publications  CSIRTの出版物 
For best practices issued by your relevant CSIRT, please refer to their local websites 各CSIRTが発行するベストプラクティスについては、各CSIRTのウェブサイトを参照してください。
CERT-EU Security Advisories  CERT-EUセキュリティ・アドバイザリ 
You may also refer to CERT-EU’s Security Advisories for information about critical vulnerabilities.  重要な脆弱性に関する情報は、CERT-EUのSecurity Advisoriesを参照することもできます。
ENISA publications  ENISAの出版物 
You may also refer to the following ENISA publications for additional information:   追加情報として、以下のENISAの出版物も参照できます。 
• ENISA Threat Landscape 2021, issued in October 2021.  - ENISA Threat Landscape 2021(2021年10月発行)。
• Guidance on Secure Backups, including the 3-2-1 rule, issued on 1 September 2021.  - 3-2-1ルールを含む安全なバックアップに関するガイダンス(2021年9月1日発行)。
• Proactive Detection, section on monitoring, pp. 12 - 18, issued on 26 May 2020.  - Proactive Detection, section on monitoring, pp.12 - 18, issued on 26 May 2020. 
• Proactive detection – Measures and information sources, issued on 26 May 2020.   - プロアクティブディテクション - 対策と情報源、2020年5月26日発行。 
How to set up CSIRT and SOC, issued on 10 December 2020.   - How to set up CSIRT and SOC, issued on 10 December 2020.  
• Standards and tools for exchange and processing of actionable information, issued on 19 January 2015.   - 行動可能な情報の交換と処理のための標準とツール、2015年1月19日発行。 

 

| | Comments (0)

欧州検査院 特別報告書 EUにおける5Gの展開:セキュリティ問題が未解決のままネットワーク展開が遅れる at 2022.01.24

こんにちは、丸山満彦です。

欧州検査院 (European Court of Auditors) がEUにおけえる5Gの展開についての特別報告書を公表していましたね。。。

European Court of Auditors

・2022.01.24 Special Report 03/2022: 5G roll-out in the EU: delays in deployment of networks with security issues remaining unresolved

Special Report 03/2022: 5G roll-out in the EU: delays in deployment of networks with security issues remaining unresolved 特別報告書03/2022:EUにおける5Gの展開:セキュリティ問題が未解決のままネットワーク展開が遅れる
5G is expected to add up to €1 trillion to the European GDP between 2021 and 2025, with the potential to create or transform up to 20 million jobs across all sectors of the economy. We observed that delays are putting at risk the achievement of the EU’s objectives for 5G deployment and that further efforts are necessary to address security issues. In the report, we make a number of recommendations to the Commission aimed at pushing forward the timely and concerted implementation of secure 5G networks in the EU. 5Gは、2021年から2025年の間に欧州のGDPを最大1兆ユーロ増加させ、経済のあらゆる分野で最大2,000万人の雇用を創出または転換させる可能性があると予想されています。我々は、5G展開に関するEUの目標達成が遅れていることを危惧し、セキュリティ問題に対処するためのさらなる努力が必要であると考えています。本報告書では、EUにおける安全な5Gネットワークのタイムリーで協調的な導入を促進することを目的とした、欧州委員会に対するいくつかの提言を行っているものです。

 

プレスリリース

・[PDF] Press release : 5G in the EU needs a booster

欧州委員会の回答

・[PDF] Replies: European Commission 

 

報告書

・[HTML]

・[PDF]

20220215-93045

Executive summary  エグゼクティブ・サマリー 
Introduction  はじめに 
Nature and importance of 5G  5Gの性質と重要性 
Security concerns  セキュリティに関する懸念 
5G initiatives taken at EU level  EUレベルでの5Gに関する取り組み 
Roles and responsibilities  役割と責任 
Cost of 5G deployment and related EU financial support  5G展開のコストとEUの財政支援 
Total cost of 5G deployment across all Member States could reach €400 billion 全加盟国における5G展開の総コストは4000億ユーロに達する可能性がある
In the 2014-2020 period, the EU supported 5G development with over €4 billion  2014年から2020年の間に、EUは40億ユーロ以上を投じて5Gの開発を支援しました。
The Recovery and Resilience Facility will provide additional EU funding for 5G deployment in the coming years  「リカバリー&レジリエンス施設」は、今後数年間、5G展開のためにEUが追加資金を提供する予定 
Audit scope and approach  監査範囲とアプローチ 
Observations  発見事項 
Delays in the deployment of 5G networks are putting at risk the achievement of the EU’s 2025 and 2030 objectives  5Gネットワークの展開の遅れは、EUの2025年および2030年の目標達成を危うくしている。
Member States are lagging behind with 5G implementation  加盟国は5Gの導入に遅れをとっている。
Some shortcomings in the Commission’s support for Member States  欧州委員会の加盟国への支援にはいくつかの欠点がある 
Member States still need to remove key obstacles to the swift roll-out of 5G networks  加盟国は、5Gネットワークの迅速な展開を妨げる主要な障害を取り除く必要がある 
Further efforts are necessary to address security issues in 5G deployment  5G導入時のセキュリティ問題への対応にはさらなる努力が必要 
The Commission reacted swiftly when 5G security became a major concern at EU level  欧州委員会は、5GのセキュリティがEUレベルで大きな懸念となった際に迅速に対応した 
The 2020 EU toolbox on 5G cybersecurity for the first time established measures to deal with security threats at EU level, without prescriptiveness  5Gのサイバーセキュリティに関する2020年のEUツールボックスでは、EUレベルでセキュリティの脅威に対処するための手段を初めて規定せずに確立した 
Member States do not yet address security aspects in a concerted manner when deploying 5G networks  加盟国は、5Gネットワークを展開する際に、まだセキュリティ面に協調して取り組んでいない。
Conclusions and recommendations  結論と提言 
Annexes  附属書
Annex I – Main 5G opportunities and risks  附属書I - 5Gの主な機会とリスク 
Annex II – Examples showing the impact of telecom network disruption and cybersecurity incidents  附属書II - 通信ネットワークの混乱とサイバーセキュリティインシデントの影響を示す例 
Annex III – Legal and policy framework  附属書 III - 法的および政策的枠組み 
Annex IV – Examples of EFSI co-funded projects  附属書IV - EFSI共同資金調達プロジェクトの例 
Annex V – Examples of Horizon 2020 and ERDF projects  附属書V - Horizon 2020およびERDFプロジェクトの例 
Annex VI – 5G coverage in selected cities  附属書 VI - 特定の都市における5Gのカバー率 
Annex VII – EU toolbox on 5G cybersecurity  附属書VII - 5Gサイバーセキュリティに関するEUツールボックス 
Acronyms and abbreviations  頭字語と略語 
Glossary  用語集 
Replies of the Commission  欧州委員会の回答
Timeline  タイムライン 
Audit team  監査チーム 

 

Executive summary エグゼクティブサマリー
I The "fifth generation" of telecommunication systems, or 5G, is a new global wireless standard that offers a much higher data capacity and transmission speeds. 5G services are essential for a wide range of innovative applications which have the potential to transform many sectors of our economies and improve citizens’ daily lives. 5G is therefore of strategic importance for the entire single market. I 「第5世代」の通信システム、すなわち5Gは、データ容量と伝送速度が格段に向上する新しい世界的な無線規格です。5Gのサービスは、経済の多くの分野を変革し、市民の日常生活を向上させる可能性を秘めた、幅広い革新的なアプリケーションに不可欠です。したがって、5Gは欧州単一市場全体にとって戦略的に重要です。
II In its 2016 5G Action Plan, the Commission put forward the objective of ensuring uninterrupted 5G coverage in urban areas and along main transport paths by 2025. In March 2021, it extended the objective to include 5G coverage of all populated areas by 2030. II 欧州委員会は、2016年に策定した「5Gアクションプラン」において、2025年までに都市部と主要交通路で5Gの途切れないサービス提供を実現するという目標を打ち出しました。2021年3月には、この目標を拡大し、2030年までにすべての人口密集地を5Gでカバーすることを盛り込みました。
III While 5G has the potential to unleash many opportunities for growth, it comes with certain risks. In its 2019 recommendation on 5G cybersecurity, the Commission warned that the reliance of many critical services on 5G networks would make the consequences of widespread disruption particularly serious. Furthermore, owing to the cross-border nature of threats involved, any significant vulnerability or cybersecurity incidents in one Member State would affect the EU as a whole. One of the outcomes of the Commission recommendation was the EU toolbox on 5G cybersecurity (“toolbox”), which was adopted in January 2020. III 5Gは、成長のための多くの機会を解き放つ可能性がある一方で、一定のリスクも伴います。欧州委員会は、5Gのサイバーセキュリティに関する2019年の勧告の中で、多くの重要なサービスが5Gネットワークに依存しているため、広範な混乱の結果が特に深刻になるだろうと警告しています。さらに、脅威が国境を越えて存在するため、ある加盟国で重大な脆弱性やサイバーセキュリティインシデントが発生すると、EU全体に影響が及ぶことになります。欧州委員会の勧告の成果の1つとして、2020年1月に採択された5Gサイバーセキュリティに関するEUツールボックス(以下、ツールボックス)があります。
IV Across the EU, the total cost of 5G deployment could reach €400 billion. In the 2014-2020 period, the EU provided funding of over €4 billion for 5G projects. IV EU全体では、5Gの展開にかかる総コストは4,000億ユーロに達する可能性があります。2014年から2020年の期間に、EUは5Gプロジェクトに対して40億ユーロ以上の資金を提供しました。
V We examined whether the Commission effectively supported Member States in achieving EU objectives for the roll out of their 5G networks and addressing 5G security concerns in a concerted manner. We assessed aspects related to both the implementation of 5G networks, for which 2020 was a key year, and their security. The aim of this report is to provide insights and recommendations for the timely deployment of secure 5G networks across all the EU countries. Our audit focused on the Commission, but we also examined the role of national administrations and other actors. V 欧州委員会は、加盟国が5Gネットワークの展開に関するEUの目標を達成し、5Gのセキュリティ上の懸念に協調して対処するために、加盟国を効果的に支援しているかどうかを検証しました。2020年が重要な年であった5Gネットワークの導入と、そのセキュリティの両方に関連する側面を評価しました。本報告書の目的は、EU全加盟国で安全な5Gネットワークをタイムリーに展開するための知見と提言を提供することです。我々の監査は、欧州委員会に焦点を当てていますが、各国の行政機関やその他の関係者の役割についても検討しました。
VI Our audit showed that there are delays in Member States’ roll–out of 5G networks. By the end of 2020, 23 Member States had launched commercial 5G services and achieved the intermediate objective of at least one major city with 5G access. However, not all Member States refer to the EU’s 2025 and 2030 objectives in their national 5G strategies or broadband plans. Moreover, in several countries the European Electronic Communications Code has not yet been transposed into national law and the assignment of 5G spectrum has been delayed. These delays in assigning the spectrum can be attributed to different reasons: a weak demand by Mobile Network Operators (MNOs), cross-border coordination issues with non-EU countries along the eastern borders, the impact of COVID-19 on the auction schedules and uncertainty about how to deal with security issues. The extent to which Member States are lagging behind on 5G implementation puts the achievement of the EU objectives at risk. The Commission has provided Member States with support for implementing the 2016 5G Action Plan through both hard and soft law initiatives, guidance and the funding of 5G-related research. However, the Commission has not clearly defined the expected quality of 5G services. VI 今回の監査では、加盟国の5Gネットワークの展開に遅れが生じていることがわかりました。2020年末までに、23の加盟国が5Gの商用サービスを開始し、少なくとも1つの主要都市が5Gにアクセスできるという中間目標を達成しました。しかし、すべての加盟国が、自国の5G戦略やブロードバンド計画において、EUの2025年および2030年の目標に言及しているわけではありません。さらに、いくつかの国では、欧州電子通信コードがまだ国内法に移項されておらず、5Gの周波数の割り当てが遅れています。こうした周波数帯の割り当ての遅れは、移動体通信事業者(MNO)の需要が弱いこと、東部国境沿いの非EU諸国との国境を越えた調整の問題、COVID-19によるオークションスケジュールへの影響、セキュリティ問題への対処方法の不確実性など、さまざまな理由が考えられます。加盟国が5Gの導入に遅れをとっていることは、EUの目標達成を危うくします。欧州委員会は、2016年の5G行動計画の実施に向けて、ハード・ソフト両面の法律による取り組み、ガイダンス、5G関連研究への資金提供などを通じて、加盟国に支援を行ってきました。しかし、欧州委員会は、5Gサービスに期待される品質を明確に定義していません。
VII The EU toolbox on 5G cybersecurity specifies a number of strategic, technical and support measures to deal with 5G network security threats and identifies the relevant actors for each of these measures. Several measures address the issue of high-risk vendors of 5G equipment. This toolbox was endorsed by the Commission and the European Council. The criteria in the toolbox offer an operational framework that is useful for assessing the risk profile of suppliers in a coordinated manner across all Member States. At the same time, carrying out this assessment remains a national responsibility. The toolbox was adopted at an early stage of the 5G deployment, but a number of MNOs had already selected their suppliers. Since the toolbox was adopted, progress has been made to reinforce the security of 5G networks with a majority of Member States applying or in the process of applying restrictions on high-risk vendors. In the years to come, legislation on 5G security enacted by Member States based on the toolbox may lead to more convergent approaches towards high-risk 5G vendors. However, as none of the measures put forward are legally binding, the Commission has no power to enforce them. Therefore, there remains a risk that the toolbox in itself cannot guarantee that Member States address network security aspects in a concerted manner. VII 5Gサイバーセキュリティに関するEUツールボックスでは、5Gネットワークセキュリティの脅威に対処するための戦略的、技術的、支援的な措置を多数規定し、それぞれの措置に関連する関係者を特定しています。いくつかの対策は、5G機器の高リスクベンダーの問題にも対応しています。このツールボックスは、欧州委員会と欧州理事会によって承認されています。ツールボックスの基準は、すべての加盟国で協調してサプライヤーのリスクプロファイルを評価するのに有用な運用フレームワークを提供しています。同時に、この評価を行うことは、依然として各国の責任である。ツールボックスは、5G展開の初期段階で採用されましたが、多くの携帯電話会社が既にサプライヤーを選定していました。ツールボックスが採用されて以来、5Gネットワークのセキュリティ強化に向けて進展があり、加盟国の大多数がリスクの高いベンダーに対する制限を適用しているか、適用中です。今後、ツールボックスに基づいて加盟国が制定した5Gセキュリティに関する法律により、高リスクの5Gベンダーに対するアプローチがより収斂していく可能性があります。しかし、提案された措置はいずれも法的拘束力を持たないため、欧州委員会にはそれらを強制する力はない。そのため、ツールボックス自体では、加盟国がネットワークセキュリティの側面に協調して取り組むことを保証できないというリスクが残っている。
VIII The Commission has started addressing the issue of foreign subsidies to 5G vendors, with possible security implications. The commision does not have sufficient information regarding the Member States’ treatment of potential substitution costs that could arise if MNOs would need to remove high-risk vendors’ equipment from EU networks without a transitional period. VIII 欧州委員会は、セキュリティに影響を与える可能性のある、5Gベンダーに対する外国の補助金の問題に取り組み始めています。欧州委員会は、携帯通信事業者がリスクの高いベンダーの機器を暫定期間なしにEUネットワークから撤去する必要がある場合に発生する可能性のある代替コストに対する加盟国の扱いについて、十分な情報を持っていません。
IX We recommend that the Commission should: IX 欧州委員会が以下を行うことを提言します。
promote the even and timely deployment of 5G networks within the EU; EU域内における5Gネットワークの均等かつタイムリーな展開を促進する。
foster a concerted approach to 5G security among Member States; and 加盟国間での5Gセキュリティに対する協調的なアプローチを促進する。
monitor Member States’ approaches towards 5G security and assess the impact of divergences on the effective functioning of the single market. 5Gセキュリティに対する加盟国のアプローチを監視し、乖離が単一市場の効果的な機能に与える影響を評価する。

 

| | Comments (0)

中国 国家サイバースペース管理局 専門家の解説 ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、専門家の解説として「ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持」を掲載していますね。。。

IoT機器等を含むネットワーク重要機器の認証制度は、中国のみならず、欧州、米国でも考えられていますよね。。。実空間とサイバー空間をつなぐ結節点ですから、安全保障上も重要となるからでしょうね。。。

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

2022.02.08 专家解读|以网络关键设备安全认证和安全检测维护网络安全的基本盘
専門家の解説ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持

 

一、划定网络关键设备的识别范围,抓住关键领域 1. ネットワーク上の重要な機器を特定する範囲の明確化と重要な領域の把握
二、制定网络关键设备的技术标准,形成统一规范 2. ネットワーク上の重要な機器の技術標準の策定と統一された仕様の形成
三、开展网络关键设备的安全认证和安全检测,树立社会公信 3. 社会的信頼性を確立するためのネットワーク重要機器の安全認証と安全試験の実施

 

专家解读|以网络关键设备安全认证和安全检测维护网络安全的基本盘 専門家の解説|ネットワーク重要機器のセキュリティ認証とセキュリティテストによるネットワークセキュリティの基本ディスクの維持
随着信息和通信技术的进化和全领域的数字化转型,公共机构、企业、个人使用的网络产品和信息服务日益增多,网络设备在政务、通信、卫生、能源、金融和运输等重要部门领域中发挥的核心作用也不断增强。数字化和连接性是万物互联时代的网络设备基本属性,也让整个社会更容易遭受网络安全威胁;个别网络设备的漏洞可能成为影响网络系统安全的薄弱环节而被利用,网络关键设备则成为网络风险的主要来源和网络攻击的重点对象,将网络关键设备纳入重点管理对象成为国内外的普遍做法。我国2016年11月颁布的《网络安全法》第二十三条提出了网络关键设备安全认证和安全检测制度,欧盟在2019年4月颁布的《欧洲网络安全法》和美国在2020年12月颁布的《物联网网络安全改进法》也建立了类似的网络安全认证制度。为了落实我国《网络安全法》,国家互联网信息办公室协调多部委开展了一系列贯彻落实工作,网络关键设备的首批安全认证和安全检测结果近日统一公布,该制度的法律实施效果将日益显现。 情報通信技術の進化と分野全体のデジタル化に伴い、公共機関や企業、個人がネットワーク製品や情報サービスを利用する機会が増え、行政、通信、健康、エネルギー、金融、交通などの重要な分野でネットワーク機器が果たす中心的な役割が大きくなっています。 デジタル化と接続性は、IoTの時代におけるネットワーク機器の基本的な属性であり、社会全体がサイバーセキュリティの脅威にさらされやすくなっています。個々のネットワーク機器の脆弱性は、ネットワークシステムのセキュリティに影響を与える弱点となり、悪用される可能性があります。一方、ネットワーククリティカルな機器は、サイバーリスクの主な原因となり、サイバー攻撃の焦点となるため、ネットワーククリティカルな機器を鍵管理対象に含めることは、国内外で一般的になっています。 2016年11月に公布された中国の「ネットワークセキュリティ法」第23条では、ネットワーク重要機器のセキュリティ認証とセキュリティ試験制度が提案されており、2019年4月に公布された欧州連合の「欧州サイバーセキュリティ法」や2020年12月に公布された米国の「IoT・サイバーセキュリティ改善法」でも、同様のサイバーセキュリティ認証制度が設けられています。 中国のサイバーセキュリティ法を実施するために、国家インターネット情報局は、複数の省庁や委員会による一連の実施活動を調整しており、先日、ネットワーク重要機器のセキュリティ認証やセキュリティ試験結果の第一弾が統一的に発表されたことで、法的な実施効果がますます明らかになってきています。
一、划定网络关键设备的识别范围,抓住关键领域 1. ネットワーク上の重要な機器を特定する範囲の明確化と重要な領域の把握
网络攻击正在增加,更容易受到网络威胁和攻击的关键领域需要更强大的防御。网络关键设备采取依标生产、安全认证和安全检测制度,在流通销售之前进行产品质量管理,以假定网络攻击发生而在设计和开发的最初阶段采取策略将影响降到最低,从而减少恶意利用造成的危害风险并确保我国网络安全关键领域的稳定有序。根据《网络安全法》《密码法》等法规,网络关键设备已经被列为专门对象进行管理。在《网络安全法》第二十三条中,网络关键设备和网络安全专用产品应当按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。在《密码法》第二十六条中,涉及国家安全、国计民生、社会公共利益的商用密码产品,应当依法列入网络关键设备和网络安全专用产品目录,由具备资格的机构检测认证合格后,方可销售或者提供。 サイバー攻撃は増加の一途をたどっており、サイバー脅威や攻撃を受けやすい主要な分野では、より強固な防御策が必要です。 ネットワークの重要な機器は、標準的な生産、セキュリティ認証とセキュリティテストシステム、販売の循環の前に製品の品質管理を採用するために、サイバー攻撃の発生を想定し、設計と開発の初期段階での影響を最小限に抑えるための戦略を取ることにより、悪意のある使用による被害のリスクを軽減し、順番に中国のネットワークセキュリティの重要な領域の安定性を確保することができます。 サイバーセキュリティ法や暗号法などにより、ネットワーク上の重要な機器は管理対象として特別に分類されています。 ネットワークセキュリティ法第23条では、ネットワーク重要機器およびネットワークセキュリティ特別製品は、関連する国家規格の必須要件に従い、資格を有する機関によるセキュリティ認証またはセキュリティ試験に合格した後にのみ、販売または提供されなければならないとされています。 暗号法第26条では、国家の安全、国民の生活、社会の公益に関わる商用暗号製品は、法律に基づいてネットワーク重要機器およびネットワークセキュリティのための特別製品のカタログに掲載され、販売または提供される前に、資格のある機関による試験および認証を受けなければならないとしています。
2017年6月,国家互联网信息办公室会同工业和信息化部、公安部和国家认证认可监督管理委员会发布了《网络关键设备和网络安全专用产品目录(第一批)》,将4类网络关键设备(路由器、交换机、机架式服务器、PLC设备)和11类网络安全专用产品(数据备份一体机、硬件防火墙、入侵检测、防御系统、安全隔离与信息交换产品、安全数据库等)纳入安全认证和安全检测对象,列入目录的设备和产品需要按照相关国家标准的强制性要求,由具备资格的机构安全认证合格或者安全检测符合要求后,方可销售或者提供。总体而言,第一批产品目录主要集中在系统组网所必须的IT基础硬件设施,属于国家安全和社会管理的基本需要,也是保障工业互联网安全的主要对象。 2017年6月、国家インターネット情報局は、工業・情報技術省、公安省、国家認証・認定管理局と共同で、「ネットワーク重要機器およびネットワークセキュリティ特殊製品のカタログ(第1回バッチ)」を発行し、ネットワーク重要機器の4カテゴリー(ルーター、スイッチ、ラックマウントサーバー、PLC機器)とネットワークセキュリティ特殊製品の11カテゴリー(データバックアップオールインワン機、ハードウェアファイアウォール カタログに掲載されている機器および製品は、販売または提供する前に、セキュリティ認証またはセキュリティ試験に関する関連国家規格の必須要件に基づき、資格を有する機関による認証を受ける必要があります。 一般的に、第1カタログでは、国家の安全保障や社会管理のための基本的なニーズであり、インダストリアル・インターネットのセキュリティを守るための主要な対象でもある、システム・ネットワークに必要なITインフラのハードウェア設備を主に取り上げています。
网络关键设备和网络安全专用产品目录在目前只发布了第一批,后续还应当新增其它关涉国家安全和社会管理的基本需要的产品,这也是各国保持网络安全管理弹性的基本做法。为了履行安全义务,相关方应当跟踪《网络关键设备和网络安全专用产品目录》的更新情况。与此同时,无论是对于网络设备的生产者还是相关领域的用户,都应当对自己生产或使用的产品进行梳理,判断是否有产品落入《网络关键设备和网络安全专用产品目录》的范围,对此类产品开展专项合规工作。 これまでに公開されたのは、ネットワーク重要機器とネットワークセキュリティに特化した製品のカタログの第一弾のみであり、国家安全保障や社会管理の基本的なニーズに関連するその他の製品は、その後に追加されるべきであり、これは各国がネットワークセキュリティ管理の柔軟性を維持するための基本的な慣行でもある。 セキュリティに関する義務を果たすために、関係者は「ネットワーク重要機器およびサイバーセキュリティ専門製品カタログ」の更新情報を把握しておく必要があります。 同時に、ネットワーク機器の生産者および関連分野のユーザーは、生産または使用している製品を調べて、「ネットワーク重要機器および特殊サイバーセキュリティ製品カタログ」の範囲に該当する製品がないかどうかを確認し、そのような製品については特別なコンプライアンス作業を行う必要があります。
二、制定网络关键设备的技术标准,形成统一规范 2. ネットワーク上の重要な機器の技術標準の策定と統一された仕様の形成
技术标准是安全认证和安全检测的评判依据,《欧洲网络安全法》就提出,在准备欧洲网络安全认证计划时,欧盟网络安全局(ENISA)应定期咨询标准化组织,特别是欧洲标准化组织。我国《网络安全法》第二十三条也规定,对网络关键设备和网络安全专用产品依据国家标准强制性要求开展安全认证和安全检测。网络关键设备有标可循,可以划定网络安全的底线,将为落实《网络安全法》关于网络关键设备安全认证和安全检测工作提供重要技术依据、明确网络关键设备应具备的基本安全能力、为各类网络关键设备制修订推荐性标准提供安全要求框架和指导,最终形成产品生产销售依据和消费购买的辨别指南。 技術標準は、セキュリティ認証やセキュリティ試験を判断するための基礎となるもので、欧州サイバーセキュリティ法では、欧州連合サイバーセキュリティ機関(ENISA)が欧州のサイバーセキュリティ認証制度を準備する際に、標準化団体、特に欧州標準化機構と定期的に協議することを提案しています。 中国の「ネットワーク・セキュリティ法」第23条では、ネットワーク・クリティカルな機器やネットワーク・セキュリティ・スペシャル・プロダクトが、セキュリティ認証やセキュリティ・テストのための国家標準の必須要件に基づいていると規定されています。 ネットワーククリティカルな機器は、従うべき基準を持って、ネットワークセキュリティのボトムラインを描くことができる、ネットワーククリティカルな機器のセキュリティ認証とセキュリティテストで "ネットワークセキュリティ法 "の実装のための重要な技術的基盤を提供し、ネットワーククリティカルな機器の基本的なセキュリティ機能を明確にする必要があります、ネットワーククリティカルな機器のすべてのタイプのために開発し、推奨される基準を改訂するセキュリティ要件と指導の枠組みを提供するために、最終的に製品や消費者の購入差別ガイドの生産と販売のための基礎を形成することができます。
2021年2月20日,国家市场监督管理总局(国家标准化管理委员会)发布2021年第1号公告,批准了《网络关键设备安全通用要求》(GB 40050-2021),这是我国网络安全领域为数不多的强制性标准之一,将成为网络关键设备安全认证和安全检测的统一规范。 2021年2月20日、国家市場監督管理総局(国家標準化管理局)は、2021年第1号公告を発行し、中国のネットワークセキュリティ分野における数少ない必須規格であり、ネットワーク重要機器のセキュリティ認証およびセキュリティ試験の統一仕様となる「ネットワーク重要機器セキュリティ一般要求事項」(GB 40050-2021)を承認しました。
《网络关键设备安全通用要求》为不同类型的网络关键设备建立统一的安全技术要求,可适用于当前和未来的各类网络关键设备,同时也有利于建立统一的安全管理体系。该强制性标准的主要内容包括安全功能要求和安全保障要求两个部分。其一,安全功能要求聚焦于保障和提升设备的安全技术能力,主要包括设备标识安全、冗余备份恢复与异常检测、漏洞和恶意程序防范、预装软件启动及更新安全、用户身份标识与鉴别、访问控制安全、日志审计安全、通信安全、数据安全以及密码要求10个部分。其二,安全保障要求聚焦于规范网络关键设备提供者在设备全生命周期的安全保障能力,主要包括设计和开发、生产和交付、运行和维护三个环节的要求。以上安全要求形成了网络关键硬件产品的安全治理体系。在智能网联汽车、电子医疗设备、工业自动化控制系统和智能电网等领域,网络关键设备的统一要求还将对下游产品开发和应用提供显著的便利,为集成应用的开发者提供生产便利。 「ネットワーク重要機器のセキュリティに関する一般要求事項」は、さまざまな種類のネットワーク重要機器に対する統一的なセキュリティ技術の要求事項を定めたもので、現在および将来のあらゆる種類のネットワーク重要機器に適用することができ、また、統一的なセキュリティ管理システムの構築にも資するものです。 この必須規格の主な内容は、安全機能要求と安全保証要求の2つの部分で構成されています。 第一に、セキュリティ機能の要求事項では、機器のセキュリティ技術力の保護と向上に焦点を当て、主に機器識別のセキュリティ、冗長バックアップの回復と異常検知、脆弱性と悪意のあるプログラムの防止、プリインストールソフトウェアの起動と更新のセキュリティ、ユーザーの識別と認証、アクセス制御のセキュリティ、ログ監査のセキュリティ、通信のセキュリティ、データのセキュリティ、パスワードの要求事項など10のパートに分かれています。 第二に、セキュリティ要件は、機器のライフサイクルを通じて、ネットワーク重要機器プロバイダーのセキュリティ能力を規制することに重点を置いており、主に設計・開発、製造・納入、運用・保守に関する要件が含まれています。 上記のセキュリティ要求事項は、ネットワークに不可欠なハードウェア製品のセキュリティガバナンスシステムを形成します。 また、ネットワーク・クリティカル・デバイスの要件が統一されることで、下流の製品開発やアプリケーションに大きな利便性がもたらされ、スマート・コネクテッド・カー、電子医療機器、産業用オートメーション制御システム、スマートグリッドなどの分野で統合アプリケーションを開発する企業に生産上の利便性がもたらされます。
三、开展网络关键设备的安全认证和安全检测,树立社会公信 3. 社会的信頼性を確立するためのネットワーク重要機器の安全認証と安全試験の実施
认证检测在提高数字世界重要产品和服务的信任度和安全性方面发挥着至关重要的作用,只有公众和各类用户普遍相信此网络关键设备能够提供必要的网络安全,能够以第三方监督的方式弥合买卖双方的信息不对称,以合格评定的方式树立社会公信力,数字经济和物联网才能蓬勃发展。在自愿性检测和认证的阶段,企业通过第三方合格评定来展示安全服务能力或者产品的安全质量。根据《网络安全法》的要求,未来没有通过安全认证或安全检测的设备和产品将不能在国内市场销售。近期,国家互联网信息办公室协调多个部门根据《网络关键设备安全通用要求》开展了首批安全认证和安全检测,这标志着网络关键设备的安全认证和安全检测正式开花结果。 認証や試験は、デジタル社会における重要な製品やサービスの信頼性や安全性を向上させる上で重要な役割を果たしています。 一般の人々やあらゆる種類のユーザーが、このネットワーククリティカルな機器は必要なネットワークセキュリティを提供できると一般的に信じ、第三者による監督で買い手と売り手の間の情報の非対称性を解消し、適合性評価で社会的な信頼性を確立してこそ、デジタル経済やモノのインターネットが発展するのです。 自主的な試験・認証の段階では、企業は第三者による適合性評価を通じて、自社のセキュリティサービス能力や製品のセキュリティ品質を証明します。 サイバーセキュリティ法の要求によると、セキュリティ認証やセキュリティテストに合格していない機器や製品は、今後、国内市場で販売することができません。 最近では、国家インターネット情報局が多くの部門を調整して、「ネットワーク重要機器のセキュリティに関する一般要求事項」に基づくセキュリティ認証およびセキュリティ試験の第一陣を実施し、ネットワーク重要機器のセキュリティ認証およびセキュリティ試験が正式に開花したことになります。
2018年3月,国家认证认可监督管理委员会、工业和信息化部、公安部、国家互联网信息办公室就联合发布了《关于发布承担网络关键设备和网络安全专用产品安全认证和安全检测任务机构名录(第一批)的公告》,确立了16家认证和检测机构。企业可自主选择实施一种第三方评定方式,也即由委托人自行选择具备资格的机构进行安全认证或者安全检测。根据管理职责分工,选择认证方式的网络关键设备和网络安全专用产品,安全认证合格后,由认证机构报国家认证认可监督管理委员会;选择检测方式的网络关键设备,安全检测符合要求后,由检测机构报工业和信息化部;选择检测方式的网络安全专用产品,安全检测符合要求后,由检测机构报公安部。为了整合各部委职责,实现归口管理,最终结果由国家互联网信息办公室汇总三方统一公布。事实上,检测、检验、认证、认可均属于《合格评定 词汇和通用原则》(ISO/IEC17000)所认可的合格评定形式,其中的检测(Testing)是“按照程序确定合格评定对象一个或多个特性的活动”。换而言之,就是依据技术标准和规范,使用仪器设备,进行评价的活动,其评价结果为测试数据。认证(Certification)是“与产品、过程、体系或人员有关的第三方证明”;换而言之,就是指由具备第三方性质的认证机构证明产品、服务、管理体系、人员符合相关标准和技术规范的合格评定活动。为了支撑认证工作的开展,国家认证认可监督管理委员会在2018年还发布了《网络关键设备和网络安全专用产品安全认证实施规则》(CNCA-CCIS-2018),规定了开展网络关键设备和网络安全专用产品安全认证的基本原则和要求。 2018年3月、国家認証認定管理局、工業情報化部、公安部、国家サイバースペース管理局は共同で「ネットワーク重要機器および特殊サイバーセキュリティ製品のセキュリティ認証およびセキュリティ試験業務を行う機関リストの公開に関する発表(第一弾)」を発表し、16の認証・試験機関を設立しました。 企業は独立して第三者評価法の実施を選択することができます。これは、依頼者がセキュリティ認証またはセキュリティテストを実施する適格な組織を選択することを意味します。 管理責任の分担によると、認証機関は、ネットワークの重要な機器やネットワークセキュリティの特別な製品の認証方法を選択し、セキュリティ認証が終了した後に国家認証認定管理委員会に報告し、テスト機関は、ネットワークの重要な機器のテスト方法を選択し、セキュリティテストが要件を満たしていることを工業情報化部に報告し、テスト機関は、ネットワークセキュリティの特別な製品のテスト方法を選択し、セキュリティテストは、要件を満たしていることを公安部に報告します。 各省庁や委員会の責任を統合するために、最終的な結果は国家サイバースペース管理局が三者統合して発表します。 実際、試験、検査、認証、認定はすべて、「適合性評価の用語集および一般原則」(ISO/IEC17000)で認められている適合性評価の形態であり、そのうち試験は「手順に従って適合性評価対象の1つ以上の特性を決定する活動」です。 つまり、技術的な規格や仕様に基づいて、機器や装置を使って評価を行い、その結果を試験データとする活動のことです。 認証(Certification)とは、「製品、プロセス、システム、人員の第三者認証」であり、言い換えれば、製品、サービス、マネジメントシステム、人員が、関連する規格や技術仕様に適合していることを証明するための、第三者認証機関による適合性評価活動のことです。 また、認証の発展を支援するために、中国認証認定管理委員会(CNCA)は2018年に、ネットワーク重要機器およびネットワークセキュリティ専門製品のセキュリティ認証を実施するための基本原則と要件を定めた「ネットワーク重要機器およびネットワークセキュリティ専門製品のセキュリティ認証実施規則」(CNCA-CCIS-2018)を発行しました。
在《网络安全法》立法过程中,立法部门注意到我国有多个政府部门依据各自职责开展网络相关设备和产品的安全认证和安全检测,产品范围有重复,认证检测的项目有交叉,要求和标准也不统一,致使需要重复认证、检测,造成资源浪费,增加企业负担。统一的市场需要统一的认证机制,网络安全认证也需要对生产者和全社会形成统一的适用口径。针对这种情况,《网络安全法》第二十三条规定,国家网信部门会同国务院有关部门制定、公布网络关键设备和网络安全专用产品目录,并推动安全认证和安全检测结果互认,避免重复认证、检测。同时,按照《关于发布〈网络关键设备和网络安全专用产品目录(第一批)〉的公告》(国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告 2017年第1号)和《关于统一发布网络关键设备和网络安全专用产品安全认证和安全检测结果的公告》(国家互联网信息办公室、工业和信息化部、公安部、国家认证认可监督管理委员会公告 2022年第1号)要求,国家互联网信息办公室会同工业和信息化部、公安部、国家认证认可监督管理委员会统一发布网络关键设备和网络安全专用产品的安全认证和安全检测结果,有利于掌握、监督和协调各部门之间的职责划分,对社会形成一个权威的信息获取渠道。 ネットワークセキュリティ法の立法過程において、立法府は、中国の複数の政府部門がそれぞれの責任に基づいてネットワーク関連機器・製品のセキュリティ認証・セキュリティ試験を行っており、製品範囲の重複、認証・試験項目の重複、要件・基準の不統一などがあるため、認証・試験を繰り返す必要があり、資源の浪費や企業の負担増につながっていると指摘しています。 統一された市場には統一された認証メカニズムが必要であり、ネットワークセキュリティ認証もまた、生産者や社会全体のために統一されたアプリケーションの口径を形成する必要があります。 このような状況に対応するため、「ネットワークセキュリティ法」第23条では、国家サイバースペース管理局が国務院の関連部門と連携して、ネットワーク重要機器やネットワークセキュリティ特別製品のカタログを作成・公開し、セキュリティ認証やセキュリティ試験結果の相互承認を促進して、認証や試験の重複を避けることを定めています。 同時に、「『ネットワーク重要機器およびネットワークセキュリティ特別製品カタログ(第一弾)』の公開に関する発表」(国家サイバースペース管理局、工業情報化部、公安部、国家認証認定管理委員会発表2017年第1号)および「ネットワーク重要機器およびネットワークセキュリティ専門製品のセキュリティ認証およびセキュリティ試験結果の統一公開に関する発表(国家サイバースペース管理局、工業情報化部、公安部、国家認証認定管理委員会による2022年第1号発表)は、ネットワーク重要機器およびネットワークセキュリティ特殊製品のセキュリティ認証およびセキュリティ試験結果の公表を統一することを要求しており、これは各部門間の把握、監視、調整を促進し、 責任を分担し、コミュニティのための権威ある情報アクセスチャネルを形成します。
面向未来,越来越多的产品和服务将在全国和全球范围内产生数量极多的连接性数字设备,万物互联、数字孪生的数字空间将关系到个人利益、组织利益和国家利益的方方面面,构建以网络关键设备和网络安全专用产品的安全认证和安全检测为代表的安全监督机制,将成为维护网络安全的基本盘的基石。(作者:刘云,清华大学智能法治研究院院长助理、助理研究员) 今後、より多くの製品やサービスが、全国的にも世界的にも極めて多くの接続されたデジタル機器を生み出し、あらゆるものが接続されたデジタル空間、デジタルツインが、個人の利益、組織の利益、国の利益のあらゆる側面に関係してくる。 ネットワークセキュリティの要。 (筆者:清華大学インテリジェント・ルール・オブ・ロー研究所アシスタント・ディレクター兼アシスタント・リサーチャー 劉雲)

 

1_20210612030101


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.07 NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

・2022.02.03 ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

・2022.01.27 英国 スマートデバイスのサイバーセキュリティ新法に一歩近づくと発表

・2021.12.11 ドイツ BSI TR-03109-1に従った初のスマートメーターゲートウェイ認定

・2021.09.14 ENISA セクター別サイバーセキュリティ評価の方法論(270xxと15408の統合する?)

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.26 ENISA (IoT製品)サイバーセキュリティ認証 (Certification) EUCCスキーム候補

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2020.10.01 米国連邦政府がIoT製品を調達するためのガイドラインの法制化が近づいている?

・2020.06.12 ENISA セキュリティ認証スキームになりうる領域の調査 他 WebTrust, ISMS, Common Criteria...

 

 

| | Comments (0)

米国 White House インド太平洋戦略

こんにちは、丸山満彦です。

実質的には中国囲い込みですかね。。。そしてこれから発展するであろうインドマーケットの取り込みですかね。。。地球儀を持ちながら考えていますよね。。。

表向きのコンセプトは、

1. FREE AND OPEN 1. 自由で開かれている
2. CONNECTED 2. つながる
3. PROSPEROUS 3. 繁栄
4. SECURE 4. 安全
5. RESILIENT 5. 強靱性

ということのようです...

 

White House 

・2022.02.11 FACT SHEET: Indo-Pacific Strategy of the United States

FACT SHEET: Indo-Pacific Strategy of the United States FACT SHEET: 米国のインド太平洋戦略
“We envision an Indo-Pacific that is open, connected, prosperous, resilient, and secure—and we are ready to work together with each of you to achieve it.” 「私たちは、開かれ、つながり、繁栄し、回復力に富み、安全なインド太平洋を構想しています。
President Joe Biden ジョー・バイデン大統領
East Asia Summit 東アジアサミット
The Biden-Harris Administration has made historic strides to restore American leadership in the Indo-Pacific and adapt its role for the 21st century. In the last year, the United States has modernized its longstanding alliances, strengthened emerging partnerships, and forged innovative links among them to meet urgent challenges, from competition with China to climate change to the pandemic. It has done so at a time when allies and partners around the world are increasingly enhancing their own engagement in the Indo-Pacific; and when there is broad, bipartisan agreement in the U.S. Congress that the United States must, too. This convergence in commitment to the region, across oceans and across political-party lines, reflects an undeniable reality: the Indo-Pacific is the most dynamic region in the world, and its future affects people everywhere. バイデン・ハリス政権は、インド太平洋における米国のリーダーシップを回復し、その役割を21世紀に適応させるために、歴史的な前進を遂げました。昨年、米国は、中国との競争、気候変動、パンデミックなどの喫緊の課題に対応するため、長年の同盟関係を現代に即したように改善し、新たなパートナーシップを強化し、それらの間で革新的な連携を構築しました。これは、世界中の同盟国やパートナーがインド太平洋地域への関与をますます強化している中で行われたものであり、米国議会では米国も同様に関与すべきであるという超党派の幅広い合意が得られています。海を越え、政党を越えて、この地域へのコミットメントが集約されているのは、インド太平洋が世界で最もダイナミックな地域であり、その将来は世界中の人々に影響を与えるという紛れもない現実を反映しています。
That reality is the basis of the Indo-Pacific Strategy of the United States. This strategy outlines President Biden’s vision to more firmly anchor the United States in the Indo-Pacific and strengthen the region in the process. Its central focus is sustained and creative collaboration with allies, partners, and institutions, within the region and beyond it. この現実が、米国のインド太平洋戦略の基礎となっています。この戦略は、米国をインド太平洋地域にしっかりと定着させ、その過程で地域を強化するというバイデン大統領のビジョンを示しています。その中心となるのは、地域内および地域外の同盟国、パートナー、機関との持続的かつ創造的な協力関係です。
The United States will pursue an Indo-Pacific region that is: 米国は、以下のようにインド太平洋地域を目指します。
1. FREE AND OPEN 1. 自由で開かれている
Our vital interests and those of our closest partners require a free and open Indo-Pacific, and a free and open Indo-Pacific requires that governments can make their own choices and that shared domains are governed lawfully. Our strategy begins with strengthening resilience, both within individual countries, as we have done in the United States, and among them. We will advance a free and open region, including by: また、自由で開かれたインド太平洋では、各国政府が独自の選択を行い、共有領域が合法的に統治されることが必要です。私たちの戦略は、米国で行ってきたように、個々の国の中でも、また国同士の中でも、レジリエンスを強化することから始まります。私たちは、以下のような方法で、自由で開かれた地域を推進します。
・Investing in democratic institutions, a free press, and a vibrant civil society ・民主的な制度、自由な報道、活発な市民社会への投資
・Improving fiscal transparency in the Indo-Pacific to expose corruption and drive reform ・インド太平洋地域における汚職の追求や改革の推進による財政の透明性の向上
・Ensuring the region’s seas and skies are governed and used according to international law ・この地域の海と空が国際法に従って管理・利用されるようにする。
・Advancing common approaches to critical and emerging technologies, the internet, and cyber space ・重要技術、新興技術、インターネット、サイバー空間に対する共通のアプローチの推進
2. CONNECTED 2. つながる
A free and open Indo-Pacific can only be achieved if we build collective capacity for a new age. The alliances, organizations, and rules that the United States and its partners have helped to build must be adapted. We will build collective capacity within and beyond the region, including by:  自由で開かれたインド太平洋は、新しい時代に向けて集団的な能力を構築してこそ実現できるものです。米国とそのパートナーが築き上げてきた同盟関係、組織、ルールを適応させる必要があります。私たちは、以下のような方法で、域内外の集団的能力を構築していきます。 
・Deepening our five regional treaty alliances with Australia, Japan, the Republic of Korea (ROK), the Philippines, and Thailand ・オーストラリア、日本、韓国、フィリピン、タイとの5つの地域条約同盟の深化
・Strengthening relationships with leading regional partners, including India, Indonesia, Malaysia, Mongolia, New Zealand, Singapore, Taiwan, Vietnam, and the Pacific Islands ・インド、インドネシア、マレーシア、モンゴル、ニュージーランド、シンガポール、台湾、ベトナム、太平洋諸島など、地域の主要パートナーとの関係強化
・Contributing to an empowered and unified ASEAN ・強化された統一されたASEANへの貢献
・Strengthening the Quad and delivering on its commitments ・Quadの強化とそのコミットメントの実現
・Supporting India’s continued rise and regional leadership ・インドの継続的な発展と地域のリーダーシップの支援
・Partnering to build resilience in the Pacific Islands ・太平洋諸島の回復力を高めるための協力
・Forging connections between the Indo-Pacific and the Euro-Atlantic ・インド太平洋と欧州大西洋のつながりの構築
・Expanding U.S. diplomatic presence in the Indo-Pacific, particularly in Southeast Asia and the Pacific Islands ・インド太平洋地域、特に東南アジアと太平洋諸島における米国の外交的プレゼンスの拡大
3. PROSPEROUS 3. 繁栄
The prosperity of everyday Americans is linked to the Indo-Pacific. That fact requires investments to encourage innovation, strengthen economic competitiveness, produce good-paying jobs, rebuild supply chains, and expand economic opportunities for middle-class families: 1.5 billion people in the Indo-Pacific will join the global middle class this decade. We will drive Indo-Pacific prosperity, including by: アメリカ国民の繁栄は、インド太平洋に関連しています。そのためには、改革の促進、経済競争力の強化、良質な雇用の創出、サプライチェーンの再構築、中流家庭の経済機会の拡大のための投資が必要です。この10年間で、インド太平洋地域の15億人が世界の中流階級に加わると言われています。私たちは、以下のような方法でインド太平洋の繁栄を推進します。
・Proposing an Indo-Pacific economic framework, through which we will: ・インド太平洋の経済的枠組みを提案し、それを通じて以下を行う。
・Develop new approaches to trade that meet high labor and environmental standards ・高い労働基準と環境基準を満たす貿易の新しいアプローチの開発
・Govern our digital economies and cross-border data flows according to open principles, including through a new digital economy framework ・新しいデジタル経済の枠組みを含め、オープンな原則に従ったデジタル経済と国境を越えたデータの流れの管理
・Advance resilient and secure supply chains that are diverse, open, and predictable ・多様性があり、オープンで、予測可能な、回復力のある安全なサプライチェーンの構築
・Make shared investments in decarbonization and clean energy ・脱炭素化とクリーンエネルギーへの投資の共有
・Promoting free, fair, and open trade and investment through the Asia-Pacific Economic Cooperation (APEC), including in our 2023 host year ・2023年の開催年を含め、アジア太平洋経済協力会議(APEC)を通じた自由で公正かつ開かれた貿易・投資の促進
・Closing the region’s infrastructure gap through Build Back Better World with G7 partners ・G7パートナーとの「Build Back Better World」を通じた、地域のインフラギャップの解消
4. SECURE 4. 安全
For 75 years, the United States has maintained a strong and consistent defense presence necessary to support regional peace, security, stability, and prosperity. We are extending and modernizing that role and enhancing our capabilities to defend our interests and to deter aggression against U.S. territory and against our allies and partners. We will bolster Indo-Pacific security, drawing on all instruments of power to deter aggression and to counter coercion, including by: 米国は75年にわたり、地域の平和、安全、安定、繁栄を支えるために、強固で一貫した防衛プレゼンスを維持してきました。私たちは、この役割を拡大し、現代に即したように改善し、自国の利益を守り、米国の領土や同盟国・パートナーに対する攻撃を抑止するための能力を強化します。私たちは、侵略を抑止し、強制に対抗するために、以下のようなあらゆる手段を駆使して、インド太平洋の安全保障を強化します。
・Advancing integrated deterrence ・統合的抑止力の推進
・Deepening cooperation and enhancing interoperability with allies and partners ・同盟国およびパートナーとの協力関係の深化と相互運用性の強化
・Maintaining peace and stability across the Taiwan Strait ・台湾海峡の平和と安定の維持
・Innovating to operate in rapidly evolving threat environments, including space, cyberspace, and critical- and emerging-technology areas ・宇宙、サイバー空間、重要技術や新技術の分野を含む、急速に進化する脅威環境で活動するための技術革新
・Strengthening extended deterrence and coordination with our ROK and Japanese allies and pursuing the complete denuclearization of the Korean Peninsula ・韓国および日本の同盟国との拡大抑止と協調の強化と朝鮮半島の完全な非核化の追求
・Continuing to deliver on AUKUS ・AUKUSの継続的な実施
・Expanding U.S. Coast Guard presence and cooperation against other transnational threats ・米国沿岸警備隊のプレゼンスを拡大し、他の国境を越えた脅威に対抗するための協力
・Working with Congress to fund the Pacific Deterrence Initiative and the Maritime Security Initiative ・議会との協力による「太平洋抑止力構想」と「海洋安全保障構想」への資金の提供
5. RESILIENT 5. 強靱性
The Indo-Pacific faces major transnational challenges. Climate change is growing ever-more severe as South Asia’s glaciers melt and the Pacific Islands battle existential rises in sea levels. The COVID-19 pandemic continues to inflict a painful human and economic toll across the region. And Indo-Pacific governments grapple with natural disasters, resource scarcity, internal conflict, and governance challenges. Left unchecked, these forces threaten to destabilize the region. We will build regional resilience to 21st-century transnational threats, including by: インド太平洋地域は、国境を越えた大きな課題に直面しています。南アジアの氷河が溶け、太平洋諸島では海面が上昇し、気候変動がますます深刻化しています。COVID-19のパンデミックは、地域全体に深刻な人的・経済的被害を与え続けています。インド太平洋地域の政府は、自然災害、資源不足、国内紛争、ガバナンスの問題に取り組んでいます。このような状況を放置すると、地域が不安定になる恐れがあります。私たちは、21世紀の国境を越えた脅威に対する地域の回復力を、以下のように構築します。
・Working with allies and partners to develop 2030 and 2050 targets, strategies, plans, and policies consistent with limiting global temperature increase to 1.5 degrees Celsius ・同盟国やパートナーと協力して、世界の気温上昇を1.5度に抑えるための2030年および2050年の目標、戦略、計画、政策を策定する。
・Reducing regional vulnerability to the impacts of climate change and environmental degradation ・気候変動と環境悪化の影響に対する地域の脆弱性の軽減
・Ending the COVID-19 pandemic and bolstering global health security ・COVID-19パンデミックの終息と世界の健康安全保障の強化

 

・[PDF] INDOPACIFIC STRATEGY OF THE UNITED STATES

20220214-193703 

目次

I. THE INDO-PACIFIC’S PROMISE I. インド太平洋地域の約束
II. OUR INDO-PACIFIC STRATEGY II. 我々のインド太平洋戦略
 ADVANCE A FREE AND OPEN INDO-PACIFIC  自由で開かれたインド太平洋の実現
 BUILD CONNECTIONS WITHIN AND BEYOND THE REGION  域内外のつながりを構築する 
 DRIVE INDO-PACIFIC PROSPERITY  内陸部の繁栄を促進する
 BOLSTER INDO-PACIFIC SECURITY  インド太平洋の安全保障を強化する
 BUILD REGIONAL RESILIENCE TO 21ST-CENTURY TRANSNATIONAL THREATS  21世紀の国境を越えた脅威に対する地域の強靭性を構築する
III. INDO-PACIFIC ACTION PLAN III. インド太平洋地域の行動計画
IV. CONCLUSION IV. 最後に

 

・[DOCX] 仮対訳

 

Continue reading "米国 White House インド太平洋戦略"

| | Comments (0)

2022.02.14

米国 White House 米露大統領の電話会談(ウクライナ問題)

こんにちは、丸山満彦です。

2月12日にバイデン米大統領とプーチン露連邦大統領がウクライナ問題を中心として1時間強の電話会談を行ったようですね。。。米露双方から発表が行われていますね。。。

 

初めはロシア側

Президент России(ロシア連邦大統領)

・2022.02.22 Брифинг помощника Президента России Юрия Ушакова по итогам телефонного разговора Владимира Путина и Джозефа Байдена

Брифинг помощника Президента России Юрия Ушакова по итогам телефонного разговора Владимира Путина и Джозефа Байдена ユーリ・ウシャコフ大統領補佐官による、プーチン大統領とジョセフ・バイデン氏との電話会談の結果についてのブリーフィング
Юрий Ушаков провёл брифинг для представителей СМИ по итогам телефонного разговора Президента России Владимира Путина и Президента США Джозефа Байдена. ユーリ・ウシャコフは、ウラジーミル・プーチン大統領とジョセフ・バイデン米国大統領との電話会談の結果について、メディア向けにブリーフィングを行いました。
* * * * * *
Ю.Ушаков: Добрый вечер! ユーリ・ウシャコフ(以下、ウシャコフ):こんばんは!
Только что завершился телефонный разговор Президента Российской Федерации с Президентом США. Разговор продолжался чуть более часа. Этот разговор стал своего рода продолжением проведённых 7 декабря в режиме видеоконференции российско-американских переговоров, а также телефонного контакта 30 декабря. Именно тогда лидеры начали обсуждение важнейшей на сегодня темы, а именно вопросов обеспечения долгосрочных юридически закрепленных гарантий безопасности Российской Федерации. ロシア連邦大統領と米国大統領の電話会談が終わりました。会話は1時間強。この会話は、12月7日に行われた米ロ間のビデオ会議、12月30日の電話会談に続くものです。その後、両首脳はこの日の最も重要なテーマである、ロシア連邦に対する長期的な法的安全保障の提供について議論を始めました。
Сегодняшний разговор прошёл в обстановке беспрецедентного нагнетания американскими официальными лицами истерии о якобы неминуемом вторжении России на Украину, это всем известно. Кстати, ссылаясь на вероятность такого катастрофического сценария американская сторона и запросила сегодняшний телефонный контакт президентов, хотя планировалось провести этот разговор в начале следующей недели – в понедельник, такие у нас были планы. 今日の会話は、誰もが知っているように、ロシアのウクライナ侵攻が差し迫っていると思われることについて、米国政府関係者がかつてないほどのヒステリーを起こしている中で行われました。ところで、このような大惨事の可能性を考慮して、米国側は来週初めに予定されていた大統領たちとの電話会談を今日にしてほしいと要請してきました。
С подобными просьбами о срочных телефонных разговорах обратились и другие члены Администрации, которые провели вчера и сегодня беседы со многими российскими коллегами. То есть нагнетание вокруг темы «вторжения» велось скоординированно, и истерия достигла просто апогея. 他の政権メンバーも同様に緊急の電話会談を要請しており、昨日と今日、多くのロシア側関係者と話をしました。そのため、「侵略」のための準備は調整され、ヒステリーは最高潮に達しました。
Но если вернуться к разговору президентов России и США, то можно констатировать, что характер беседы был всё-таки довольно сбалансированным и деловым, а Президент Байден даже сослался на опыт предшественников, которые в годы холодной войны делали всё возможное, чтобы избежать катастрофы, избежать серьёзного конфликта между нашими странами. しかし、ロシアと米国の大統領の会話に立ち返ってみると、会話の内容は非常にバランスのとれたビジネスライクなものであり、バイデン大統領は冷戦時代に両国間の深刻な紛争を避けるために可能な限りの努力をした前任者たちの経験にまで言及しています。
Он сказал, что наши две великие державы и сейчас являются конкурентами, но должны сделать всё, чтобы поддерживать стабильность, безопасность во всём мире. Он также подчеркнул, что необходимо делать всё возможное, чтобы избежать худшего сценария в контексте нынешней ситуации вокруг Украины. Он, как сказал, является приверженцем дипломатического пути и в этой связи изложил целый ряд соображений, которые, на его взгляд, учитывают многие из российских озабоченностей и инициатив, изложенных и переданных нами американцам и натовцам в проектах документов по гарантиям безопасности. また、「2つの大国は今でも競争相手であるが、世界の安定と安全を維持するために全力を尽くさなければならない」と述べました。また、現在のウクライナを取り巻く状況の中で、最悪のシナリオを避けるためにあらゆることをしなければならないと強調しました。彼は、外交ルートを重視していると述べ、この点について、私たちが安全保障文書の草案で米国とNATOに説明して伝えたロシアの懸念や構想の多くを考慮していると思われるいくつかの考慮事項を示しました。
Сразу же отмечу, что Президент России среагировал в том духе, что российская сторона, конечно, внимательно проанализирует высказанные Байденом соображения, и будем их, несомненно, учитывать. Но, к сожалению, и это было сказано, эти соображения не затрагивают центральных, ключевых элементов российских инициатив на самом деле – ни по нерасширению НАТО, ни по неразмещению ударных сил на украинской территории, ни по возврату конфигурации сил Альянса к состоянию 1997 года, когда подписывался Основополагающий акт Россия – НАТО. Мы ответа по существу не получили. ロシア大統領は、ロシア側はもちろんバイデン大統領が行った検討を注意深く分析し、我々はそれらを確実に考慮するという精神で反応したことを、私は率直に記したいと思います。しかし、残念なことに、これも言われていたことですが、これらの検討は、実際にはロシアのイニシアティブの中心となる重要な要素、つまり、NATOの非拡大、ウクライナ領土への攻撃部隊の非配備、NATO・ロシア創設法が署名された1997年の状態への同盟軍の構成の復帰などには対応していません。実質的な回答は得られていません。
Многие из озвученных в телефонном разговоре шагов уже, в общем-то, содержатся в полученных нами 26 января из Вашингтона и штаб-квартиры НАТО ответов на российские предложения. 電話会談で説明されたステップの多くは、実際には、1月26日にワシントンとNATO本部から受け取ったロシアの提案に対する回答にすでに含まれています。
Джозеф Байден ожидаемо в контексте напряжённой ситуации вокруг Украины упомянул возможные жёсткие антироссийские санкции, но при этом не на этом именно вопросе делался акцент в входе достаточно продолжительной беседы с российским лидером. バイデン大統領は、緊迫するウクライナ情勢を背景に、厳しい反ロシア制裁の可能性に言及することを期待していましたが、それはロシアの指導者とのかなり長い会話の焦点ではありませんでした。
Наш Президент, со своей стороны, подробно изложил подходы, принципиальные подходы российской стороны, пояснил, почему именно сейчас назрела необходимость решать вопросы, от которых реально зависит национальная безопасность России. 一方、プーチン大統領は、ロシア側のアプローチ、原則的なアプローチを詳細に説明し、ロシアの国家安全保障が本当に依存している問題に取り組むことがなぜ今必要なのかを説明しました。
Владимир Владимирович прошёлся и по истории взаимоотношений между США, НАТО и Россией, что в итоге и привело к кризисной ситуации. Президент России, в частности, отметил, что в годы холодной войны Советский Союз и США были, конечно, стопроцентно противниками, а, например, в 1990-е годы мы были вроде бы друзьями, но даже тогда США и НАТО вели далеко не конструктивную линию в отношении России. Ведь именно тогда началось практическое расширение сферы деятельности НАТО, именно тогда были приняты новые члены, и Альянс приблизился к границам России. После этого уже в 2000-х годах произошла резкая деградация условий безопасности в евроатлантическом пространстве, и эта деградация как раз касалась именно безопасности нашей страны. また、プーチン大統領は、今回の危機を招いた米国、NATO、ロシアの関係の歴史を振り返りました。特にプーチン大統領は、冷戦時代にはソ連と米国は強固な敵対関係にあったが、1990年代には友好関係にあるとされているが、その時も米国とNATOはロシアに対して建設的とは言い難いアプローチをしていたと述べた。NATOの実質的な拡大が始まったのも、新規加盟国を受け入れたのも、同盟がロシアの国境に近づいたのも、すべてこの時だった。その後、2000年代に入ってからは、欧州・大西洋地域の安全保障状況が急激に悪化し、この悪化はまさにわが国の安全保障にも関係していました。
Что я еще хотел бы отметить? Не менее подробно Президент России осветил деструктивную линию украинских властей на саботаж Минских соглашений, что продолжается уже в течение последних восьми лет. Он отметил при этом, что со стороны западных государств не осуществляется должного нажима, с тем чтобы Киев выполнял взятые на себя обязательства. Наш Президент также обратил внимание на опасности милитаризации Украины, её накачку современным оружием, чем целенаправленно занимаются западные страны, тем самым поощряя возможные провокации украинских силовиков как в отношении Донбасса, так и в отношении Крыма. 他に何か言いたいことはありますか?ロシア大統領は、過去8年間続いているミンスク合意を妨害するウクライナ当局の破壊的な政策を、少なからず詳細に強調しました。また、キエフが約束を守るようにするための欧米諸国からの圧力が不足していると指摘しました。大統領はまた、西側諸国が意図的に行っているウクライナの軍事化、近代兵器の導入、そしてドンバスやクリミアにおけるウクライナ治安部隊の挑発行為を助長することの危険性についても言及しました。
С учётом доктринальных установок Украины, в которых прямо провозглашена цель вернуть Крым силовым путём, её гипотетическое вступление в НАТО чревато, конечно, самыми опасными последствиями, включая прямое военное противостояние между Россией и Альянсом – хотя бы в силу того, что сами США считают священной пятую статью Вашингтонского договора. Об этом наш Президент достаточно подробно говорил в ходе сегодняшней беседы. クリミアを武力で返還することを明確に宣言しているウクライナのドクトリンを考えれば、仮にNATOに加盟したとしても、ロシアとNATOが直接軍事的に対立するなど、最も危険な結果を招くことは言うまでもありません。今日の会話の中で、プーチン大統領がそのことを詳しく話してくれました。
В целом же президенты условились, что высказанные Байденом соображения будут в Москве внимательно рассмотрены и по возможности учтены в нашей реакции на поступившие от США и НАТО позиционные документы. Эту реакцию мы в ближайшее время доведём до сведения партнёров и общественности. 一般的に、両大統領は、バイデン大統領が表明した検討事項をモスクワで慎重に検討し、可能であれば、米国およびNATOから受け取ったポジションペーパーに対する我々の反応を考慮に入れることで合意しました。近い将来、我々の反応を同盟国や一般の方々にお知らせする予定です。
С учётом того, что, как сказал Джозеф Байден, он хочет, чтобы межгосударственные отношения России с США выстраивались на основе взаимного уважения, президенты условились продолжить контакты на различных уровнях по всем затронутым сегодня в телефонном разговоре вопросам. В целом беседа носила деловой характер, ещё раз хочу подчеркнуть. バイデン大統領が言ったように、ロシアと米国の政府間関係が相互尊重に基づいたものであることを望んでいることから、両大統領は、本日の電話会談で提起されたすべての問題について、さまざまなレベルで接触を続けることに合意しました。これはビジネスライクな会話であり、そのことを改めて強調したいと思います。
Спасибо. ありがとうございました。
Вопрос: Скажите, пожалуйста, из сегодняшнего разговора можно понять было логику американской стороны? Если господин Байден знает, что у него предстоит телефонный разговор с Владимиром Путиным, зачем тогда анонсировать на 16 февраля «вторжение» России на Украину, после чего «лихорадит» весь мир? 質問:今日の会話の中で、米国側の論理はどのようなものだったのか、教えていただけますか?もしバイデン氏がプーチン氏と電話会談をする予定であることを知っているならば、なぜ全世界が「熱狂」した後の2月16日にロシアのウクライナへの「侵攻」を発表したのか?
Не получится ли так, что сегодня они, руководители государств, поговорили, и завтра или послезавтра господин Байден назначит новую дату [«вторжения»]? После такого заявления опять будет весь мир встревожен. Как понять это? 今日、各国の首脳が話し合って、明日か明後日にはバイデン大統領が新しい日付(「侵略」)を設定することになるのではないか?このような発言の後、全世界は再び警戒するだろう。どのように理解していますか?
Ю.Ушаков: Вы же знаете прекрасно, что вокруг передвижения наших войск по своей территории – пусть недалеко от украинских границ – уже не первый месяц нагнетается напряжённость, а в последние дни, часы ситуация просто доведена до абсурда, я с этим согласен полностью. Но факты такие, что американцы искусственно раздувают истерию вокруг так называемого планируемого российского вторжения, называют даже даты этого «вторжения», а параллельно вместе с союзниками накачивают «военные мускулы» Украины. Выделяются существенные финансовые ресурсы на модернизацию украинской армии, увеличивается количество направляемых армейских инструкторов. То есть под аккомпанемент утверждений о «вторжении» создаются предпосылки для возможных провокационных действий украинских вооружённых сил. ウシャコフ:ウクライナの国境に近いとはいえ、自国の領土内での部隊の移動をめぐって、何ヶ月も前から緊張感が漂っていることは、あなたもよくご存じでしょう。しかし、米国人は、いわゆるロシアの侵略計画について人為的にヒステリーを煽り、その「侵略」の日程まで挙げており、それと並行して、同盟国とともにウクライナの「軍事力」を増強しているのが事実です。ウクライナ軍の近代化のために多額の資金が投入されており、陸軍訓練兵の数も増加している。言い換えれば、ウクライナ軍が「侵略」の主張を伴った挑発的な行動を取る可能性のある前提条件が作られているのです。
Так мы расцениваем эту ситуацию. それがこの状況の見方です。
Вопрос: А дальше это может так продолжиться с американской стороны? 質問:米国側から見て、このままでいいのでしょうか?
Ю.Ушаков: Не знаю, это американцы выбирают такой путь. Мы изложили наши соображения и несколько раз подчеркнули, что мы не понимаем, зачем передавать средствам массовой информации заведомо ложную информацию о наших, российских намерениях. ウシャコフ:わかりません。その方法を選ぶのは米国人です。私たちは懸念事項を説明し、なぜ私たち、ロシアの意図について意図的に誤った情報をメディアに流すのか理解できないと何度も強調してきました。
Вопрос: Обсуждался ли на этом телефонном разговоре инцидент с американской подлодкой в наших территориальных водах? 質問:今回の電話会談で、領海内での米国の潜水艦の事件について話し合われましたか?
Ю.Ушаков: Нет, нам об этом известно, и по линии Министерства обороны предпринимаются соответствующие демарши, но эта тема в разговоре президентов не затрагивалась. ウシャコフ:いいえ、私たちはそれを知っていますし、国防省はこの問題についてデモを行っていますが、この話題は両大統領の会話の中では触れられませんでした。
Вопрос: Скажите, пожалуйста, в ходе телефонного разговора российская сторона как-то обозначила свои планы, в случае если киевские власти предпримут провокацию в отношении Донбасса? Что будет делать Россия в этой ситуации? 質問:電話での会話の中で、キエフ当局がドンバスに対する挑発行為を行った場合の計画をロシア側が何らかの形で説明したかどうかを教えてください。この状況でロシアはどうするのか。
Ю.Ушаков: Мы прежде всего сделали акцент на том, что мы рассмотрим те соображения, которые выдвинуты сегодня Байденом, хотя они во многом совпадают с содержанием переданных нам натовских и американского ответов. Было сказано, что мы уже практически завершили межведомственную проработку наших возможных действий. Об этом будет объявлено в ближайшее время. ウシャコフ:まず、バイデン大統領が今日提示した検討事項は、私たちに渡されたNATOや米国の回答内容とほぼ一致していますが、私たちはこれに着目しました。私たちの可能な行動についての省庁間の作業はほぼ完了していると言われました。これはまもなく発表されます。
Вопрос: Американская сторона отреагировала, уже рассказала свои впечатления о звонке. В частности, они продолжают утверждать, что им так и осталось непонятно, не будет ли действий, [не понятны] планы Президента Путина в отношении предполагаемого, с их точки зрения, «нападения» на Украину. 質問:米国側の反応は、すでに電話会談の概要を伝えています。特に、彼らの視点では、ウクライナへの「攻撃」とされる疑惑に関連して、プーチン大統領がどのような計画を立てているのか、何も行動を起こさないのかどうかは、まだはっきりしないと言い続けているのです。
Ю.Ушаков: Я, честно говоря, не видел еще, так сказать, американскую интерпретацию телефонного разговора, но то, что мы хотели сказать в этой связи, я вам изложил. ウシャコフ:正直なところ、米国側の解釈はまだ見ていませんが、私たちが言いたかったことはお伝えしました。
Вопрос: Планируются ли еще какие-то контакты в ближайшие недели? 質問:今後、他のコンタクトを予定していますか?
Ю.Ушаков: Я уже сказал, что президенты условились, что по различным направлениям эти контакты будут продолжены. В частности, будем обсуждать те вопросы, которые сегодня затронул Джозеф Байден. И конечно, в первую очередь, будем обсуждать наши озабоченности, которые были очень чётко и публично изложены в двух проектах документов. ウシャコフ:すでに申し上げたように、両大統領はさまざまな問題についてコンタクトを続けることで合意しました。特に、バイデン大統領が本日提起した問題点について議論します。そしてもちろん、何よりもまず、2つのドラフト文書で非常に明確かつ公然と示された私たちの懸念について議論します。
Спасибо. ありがとうございました。

 


 

続いて米国側

発表はこちらのほうが早かったようですね。。。

White House

・2022.02.12 Readout of President Biden’s Call with President Vladimir Putin of Russia

Readout of President Biden’s Call with President Vladimir Putin of Russia バイデン大統領のプーチン大統領との電話会談の内容について
President Joseph R. Biden, Jr. spoke today with President Vladimir Putin of Russia about Russia’s escalating military buildup on the borders of Ukraine. President Biden was clear that, if Russia undertakes a further invasion of Ukraine, the United States together with our Allies and partners will respond decisively and impose swift and severe costs on Russia. President Biden reiterated that a further Russian invasion of Ukraine would produce widespread human suffering and diminish Russia’s standing. President Biden was clear with President Putin that while the United States remains prepared to engage in diplomacy, in full coordination with our Allies and partners, we are equally prepared for other scenarios. ジョセフ・R・バイデン・ジュニア大統領は本日、ロシアのプーチン大統領と会談し、ウクライナの国境で激化するロシアの軍事力増強について話しました。バイデン大統領は、ロシアがウクライナへのさらなる侵攻を行った場合、米国は同盟国やパートナーとともに断固として対応し、ロシアに迅速かつ厳しいコストを課すことを明言しました。バイデン大統領は、ロシアがウクライナへのさらなる侵攻を行えば、広範な人間の苦しみを生み出し、ロシアの地位を低下させることになると繰り返し述べた。 バイデン大統領はプーチン大統領に対し、米国は同盟国やパートナーと完全に協調して外交を行う用意があるが、他のシナリオについても同様に用意があることを明確にしました。

 

・2022.02.12 Background Press Call by a Senior Administration Official on the President’s Call with Russian President Vladimir Putin

Background Press Call by a Senior Administration Official on the President’s Call with Russian President Vladimir Putin ロシアのプーチン大統領との会談に関する政府高官のプレスコールの背景
12:53 P.M. EST 米国東部時間 12:53 p.m.
MODERATOR:  Thanks, everyone, for joining us today.  Today’s call will be on background, attributed to a “senior administration official.”  And contents will be embargoed until the conclusion of the call.  司会者:皆さん、本日はお集まりいただきありがとうございます。  本日の談話は、「政府高官」によるバックグラウンドでの談話となります。  また、談話終了まで内容は伏せられます。 
Today’s speaker will be [senior administration official], who will have some comments at the top and then take a few questions. 本日のスピーカーは [政府高官] で、冒頭にコメントを述べた後、いくつかの質問に答えていただきます。
Over to you. さぁ、どうぞ。
SENIOR ADMINISTRATION OFFICIAL:  Thanks.  And thanks, everybody, for taking the time.  政府高官:ありがとうございます。  そして皆さん、お時間を割いていただきありがとうございます。 
So, the call between the two presidents was professional and substantive.  It lasted a bit over an hour.  There was no fundamental change in the dynamic that has been unfolding now for several weeks, but we believe that we have put ideas on the table that would be in our and our allies’ interest to pursue, that would enhance European security, and that would also address some of Russia’s stated concerns, just as we have been clear that we are committed to upholding Ukraine’s sovereignty, territorial integrity, and the rights of states to choose their own security arrangements.  2人の大統領の電話対談は、プロフェッショナルで実質的なものでした。  1時間ちょっとの対談でした。  数週間前からの流れに根本的な変化はありませんでしたが、我々は、ウクライナの主権、領土保全、国家が独自の安全保障体制を選択する権利を守ることを明確にしてきたように、我々や同盟国が追求することで欧州の安全保障を強化し、ロシアが表明しているいくつかの懸念にも対処できるようなアイデアをテーブルに置いたと考えています。 
But it remains unclear whether Russia is interested in pursuing its goals diplomatically as opposed to through the use of force.  しかし、ロシアが武力行使ではなく外交的に目標を達成することに関心があるかどうかは依然として不明です。 
We remain committed to keeping the prospect of de-escalation through diplomacy alive.  But we are also clear-eyed about the prospects of that, given the readily apparent steps Russia is taking on the ground in plain sight, right before our eyes.  Stakes — the stakes of this are too high not to give Russia every chance to avoid an action that we believe would be catastrophic.  私たちは、外交的な解決の可能性を維持することに尽力しています。  しかし、私たちの目の前でロシアがすぐにわかるような手段をとっていることから、その見通しについてもはっきりとした目を持っています。  ロシアが壊滅的な結果を招くと思われる行動を避けるために、あらゆるチャンスを与えないわけにはいかないのです。 
So, as always, we continue along two paths: diplomacy, including maintaining close alignment with our partners and allies, as evidenced by the President’s repeated bilateral engagements, including with President Zelenskyy, his call yesterday with key allies, and today’s call with President Putin, as well as other senior officials’ calls with their counterparts in all of these same categories.  大統領がゼレンスキー大統領との会談、昨日の主要な同盟国との会談、そして今日のプーチン大統領との会談など、二国間での会談を繰り返していることや、他の高官が同じカテゴリーの相手と会談していることからもわかるように、パートナーや同盟国との緊密な連携を維持することを含めた外交です。 
Meanwhile, we are intensifying our efforts to deter Russia and to impose costs should it decide to go ahead with military action anyway.  一方、我々は、ロシアを抑止し、ロシアがいずれにせよ軍事行動に踏み切ることになった場合にコストを課すための努力を強化しています。 
You will have seen the announcement yesterday of an additional 3,000 U.S. forces headed to Poland.  Our deliveries of security assistance to Ukraine have continued in recent days, and our discussions with the EU, UK, Canadian, and other partners and Allies to ensure that we are prepared to immediately impose severe financial sanctions and export controls are also reaching a culmination point.  昨日、ポーランドに3,000人の米軍が追加で派遣されることが発表されたのをご存じでしょう。  ウクライナへの安全保障支援はここ数日継続して行われており、EU、英国、カナダなどのパートナーや同盟国と、厳しい金融制裁や輸出規制を直ちに実施する準備ができているかどうかを協議していますが、これも佳境に入っています。 
We are continuing to reduce our diplomatic presence in Kyiv, as you’ve seen, and the President was very direct with President Putin about our concern for the safety and security of Americans still in Ukraine.  ご存知のように、我々はキエフでの外交的プレゼンスを継続的に縮小しており、大統領はプーチン大統領に対し、ウクライナに留まっている米国人の安全とセキュリティに対する我々の懸念を非常に率直に述べました。 
Whatever Russia decides, our assessment is that their efforts to improve their strategic position are already failing and that this will only be exacerbated should they decide to take military action.  ロシアがどのような決断をしようとも、戦略的地位を向上させるための努力はすでに失敗しており、軍事行動を取ることになれば、この状況はさらに悪化するだろうというのが我々の判断です。 
The transatlantic relationship is more closely aligned than it has been in quite some time.  NATO is stronger and more purposeful.  Russia is already finding itself increasingly isolated from the wider world and more dependent on China, having together revealed a fundamentally different worldview at odds with the principled, affirmative, international law-abiding worldview and values that we stand for.  大西洋間の関係は、これまでになく緊密に連携しています。  NATOはより強く、より目的を持っています。  ロシアはすでに、広い世界からますます孤立し、中国への依存度が高まっています。中国は、私たちが支持する原則的、肯定的、国際法を遵守する世界観や価値観とは根本的に異なる世界観を示しています。 
And Russia is finding itself on defense in the information space, given our own transparency about its intention.  そして、ロシアは、我々がその意図を透明にしていることから、情報空間での防衛に気付いています。 
Over time, if Russia invades, this list will also include a severe economic cost that I’ve already described and irrevocable reputational damage caused by taking innocent lives for a bloody war choice.  時間が経てば、ロシアが侵攻した場合、このリストには、私がすでに説明した深刻な経済的コストや、血生臭い戦争の選択のために罪のない人々の命を奪ったことによる取り返しのつかない風評被害も含まれることになるでしょう。 
The two presidents agreed that our teams will stay engaged in the days ahead.  Russia may decide to proceed with military action anyway.  Indeed, that is a distinct possibility.  両大統領は、今後数日間、両チームが関与し続けることで合意しました。  ロシアは、いずれにしても軍事行動に踏み切るかもしれません。  確かに、その可能性は十分にあります。 
If it does, the damage to Ukraine, to European security, and, yes, to Russia will be profound.  That is an outcome President Biden believes we should continue to work hard to avert. もしそうなれば、ウクライナ、欧州の安全保障、そしてもちろんロシアへのダメージは甚大です。  そのような事態を避けるために、バイデン大統領は今後も努力を続けていくべきだと考えています。
Thank you. ありがとうございました。
MODERATOR:  Thanks.  Operator, we’re ready for questions now. 司会者:ありがとうございました。  では、質問をお願いします。
Q    Thank you so much for doing the call.  Could you talk a little bit about, you know, anything that President Biden brought to the table today in terms of proposals, as far as an off-ramp that he thinks can get us to de-escalation?  And then, could you also talk a little bit about if you had any signs that an operation was more imminent than thought before?  Thank you.  Q 電話での質問に答えていただきありがとうございます。  今日、バイデン大統領が提案したことを少しお話いただけますか?脱線防止のためのオフランプについてです。  また、これまで考えられていたよりも作戦が差し迫っているという兆候があったかどうかについても、少しお話しいただけますか?  ありがとうございました。 
SENIOR ADMINISTRATION OFFICIAL:  Thanks, Trevor.  So, look, our view is that we have brought serious, substantive ideas to the diplomatic table for a period of weeks now.  Many of those ideas are in the public domain already.  We have offered those directly to the Russians in diplomatic discussions.  We have developed them in close consultation with our partners and Allies.  And President Biden continued to take that approach in the call with President Putin. 政府高官:ありがとう、トレバー。  私たちは、この数週間、真剣で実質的なアイデアを外交の場に持ち込んできたと考えています。  それらのアイデアの多くはすでに公開されています。  それらのアイデアは、外交的な話し合いの場でロシア側に直接提供してきました。  また、パートナーや同盟国との緊密な協議を経て策定しました。  バイデン大統領は、プーチン大統領との会談でもそのようなアプローチを続けています。
We have also been very clear that our strong preference is not to negotiate in public because we don’t believe that that is the best way to find a path to de-escalation, which is our main priority for these diplomatic conversations.  また、私たちは、公の場で交渉することを強く望んでいないことを明確にしています。なぜならば、それが、このような外交上の会話の主な優先事項である、非暴力への道を見つけるための最善の方法ではないと考えているからです。 
So, I am not going to get into very many of the details of this portion of the conversation, but I would say the President continued down the path that we have been on for quite some time, which is a mode of problem solving and finding solutions that are in our interest, the interest of our partners and Allies, and that can address at least some of the concerns that Russia has raised. つまり、問題を解決し、我々の利益、パートナーや同盟国の利益になるような解決策を見つけ、ロシアが提起した懸念の少なくとも一部を解決するという、これまで我々が歩んできた道を大統領は継続したと言えるでしょう。
Q    Hi, thank you for doing this, [senior administration official].  Two questions.  You said that an attack was a “distinct possibility.”  The tone of the briefing yesterday was that the attack was imminent and the decision had been taken.  Can you elaborate on that? Q [政府高官]の皆さん、ありがとうございます。  2つ質問があります。  あなたは、攻撃は "明確な可能性 "であると述べました。  昨日のブリーフィングでは、攻撃が間近に迫っており、決定がなされたというトーンでした。  それについて詳しく説明してください。
And then, in terms of continuing to provide Ukraine with military equipment, would that continue after a military attack by Russia, and might the nature of that support change?  I’m thinking of things like anti-aircraft weapons and so on. また、ウクライナへの軍事機器の提供を継続するということですが、ロシアが軍事攻撃を行った後も継続されるのでしょうか、またその支援内容は変わるのでしょうか。  対空兵器のようなものを考えています。
SENIOR ADMINISTRATION OFFICIAL:  So, I guess I’d say two things: I would direct you to comments that my colleague, Jake Sullivan, made on this notion of whether President Putin has made a decision.  You know, I think the honest answer to that question is we don’t have full visibility into President Putin’s decision making.  You’d have to direct that question to the Kremlin or to President Putin himself.  政府高官:それでは、2つのことを言いたいと思います。私の同僚であるジェイク・サリバンが、プーチン大統領が決断を下したかどうかについて述べたコメントをご紹介します。  この質問に対する正直な答えは、プーチン大統領の意思決定を完全に把握できていないということだと思います。  その質問は、クレムリンやプーチン大統領自身にしなければならないでしょう。 
But, you know, we are not basing our assessment of this on what the Russians say publicly.  We are basing this assessment on what we are seeing on the ground with our own eyes, which is a continued Russian build-up on the border with Ukraine and no meaningful evidence of de-escalation or, really, of any interest in de-escalation.  So, our sense is that the trends that we’ve been seeing and talking about for many weeks now are continuing.  And, you know, beyond that, I don’t think we have any real insights to offer. しかし、私たちは、ロシア人が公に言うことに基づいて評価しているわけではありません。  それは、ウクライナとの国境でロシア軍が増強を続けていること、そしてデスカレーションの意味のある証拠がないこと、実際にはデスカレーションに関心がないことです。  私たちの感覚では、これまで何週間にもわたって見聞きしてきた傾向が続いています。  それ以上のことは何もわかりません。
As to our plans going forward, I think President Biden and other officials have been clear that should Russia continue down the path to escalation, the United States will continue to increase our support to Ukraine to enable it to defend itself.  And, you know, that approach has not changed. 今後の計画については、バイデン大統領をはじめとする政府関係者は、ロシアがこのままエスカレートしていくならば、米国はウクライナが自衛できるように支援を強化していくことを明確にしていると思います。  その姿勢に変わりはありません。
Q    Hi.  Thanks.  So, I’m wondering if you can talk a little bit about whether or not the alleged false-flag plans were discussed in the call, and what — if so, if you can characterize Putin’s response at all. Q こんにちは。  ありがとうございます。  今回の電話会談では、偽装攻撃の計画について話し合われたのかどうか、また、話し合われたとしたら、プーチンの反応はどのようなものだったのかについて、少しお話いただけますか?
And also, there were reports of a sort of close encounter between Russian and American submarines today, and I’m wondering if they discussed that as well.  Thanks.   また、今日、ロシアとアメリカの潜水艦が接近遭遇したとの報道がありましたが、これについても話し合われたのでしょうか、お聞かせください。  ありがとうございます。  
SENIOR ADMINISTRATION OFFICIAL:  So, on your first point, I mean, I think, as a general matter, you can conclude that the issues that we raised concerns about publicly are raised privately between the two presidents.  They have conversations that are quite direct, I would say, on both sides.  And so, if there’s an issue that we have been bringing to your attention through briefings and in other fora, you can conclude that the presidents have widely discussed that as well. 政府高官:最初のご質問についてですが、一般的な問題として、私たちが公の場で懸念している問題は、2人の大統領の間で私的に提起されていると結論づけることができると思います。  両者はかなり直接的な会話をしていると言ってよいでしょう。  ですから、私たちがブリーフィングやその他の場で注意を喚起している問題があれば、大統領たちはそれについても広く話し合っていると結論づけることができます。
But beyond that, I don’t want to get into the specifics of what we raised, and certainly not — I certainly don’t go — we don’t go down the road of characterizing President Putin’s response.  That’s just not something we tend to do with the other sides of these conversations in these readouts. しかし、それ以上に、私たちが提起したことの具体的な内容については触れたくありませんし、プーチン大統領の反応を特徴づけるようなことはしません。  また、プーチン大統領の反応を分析するようなこともしません。それは、このような会話の相手との読み合わせではしないことです。
On this close encounter, I would really direct you to the Pentagon for that.  You know, I don’t have any information to provide about that on this call. 今回の接近戦については、ぜひともペンタゴンに聞いていただきたいと思います。  今回の通話では、そのような情報は提供できませんでした。
MODERATOR:  All right, thanks, everyone.  We have to wrap now.  With the conclusion of the call, the embargo is lifted.  司会者:皆さん、ありがとうございました。  そろそろ終わりにしましょう。  この通話の終了をもって、守秘措置は解除されます。 
A friendly reminder, we’re on background, attributed to a “senior administration official.”  Thanks all. 念のために言っておきますが、私たちは [政府高官] の情報をもとに、バックグラウンドで活動しています。  皆さん、ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Thank you.  政府高官:ありがとうございました。
1:03 P.M. EST 1:03 P.M. EST

 

Fig_20220213230901

 

| | Comments (0)

2022.02.13

NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

こんにちは、丸山満彦です。

NISTが、NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付けを確定させていますね。。。

● NIST -ITL

・2022.02.10 NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management

 

NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
Abstract 概要
This document is the second in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional detail regarding the enterprise application of cybersecurity risk information; the previous document, NISTIR 8286A, provided detail regarding stakeholder risk guidance and risk identification and analysis. This second publication describes the need for determining the priorities of each of those risks in light of their potential impact on enterprise objectives, as well as options for properly treating that risk. This report describes how risk priorities and risk response information are added to the cybersecurity risk register (CSRR) in support of an overall enterprise risk register. Information about the selection of and projected cost of risk response will be used to maintain a composite view of cybersecurity risks throughout the enterprise, which may be used to confirm and, if necessary, adjust risk strategy to ensure mission success. 本報告書は,NIST Interagency/Internal Report (NISTIR) 8286「Integrating Cybersecurity and Enterprise Risk Management (ERM)」を補足するシリーズの第2弾です。本シリーズでは、サイバーセキュリティのリスク情報のエンタープライズ(組織体)への適用について、さらに詳しく説明しています。前作のNISTIR 8286Aでは、ステークホルダーのリスクガイダンスやリスクの識別と分析について詳しく説明しました。この第2弾では、エンタープライズの目的への潜在的な影響を考慮して、それぞれのリスクの優先順位を決定する必要性と、そのリスクを適切に処理するための選択肢について説明しています。本報告書では、エンタープライズ全体のリスク登録を支援するために、リスクの優先順位とリスク対応情報をサイバーセキュリティ・リスク登録(CSRR)に追加する方法を説明しています。リスク対応策の選択と予測コストに関する情報は、エンタープライズ全体のサイバーセキュリティリスクの複合的な見解を維持するために使用され、ミッションの成功を確実にするためのリスク戦略を確認し、必要に応じて調整するために使用される可能性があります。

 

・[PDF] NISTIR 8286B

20220213-70210

目次。。。

Executive Summary エグゼクティブ・サマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Supporting the Risk Management Cycle 1.2 リスクマネジメントサイクルの支援
1.3 Supporting the Enterprise Cybersecurity Risk Life Cycle 1.3 エンタープライズ・サイバーセキュリティ・リスク・ライフサイクルの支援
1.4 Document Structure 1.4 文書構造
2 Cybersecurity Risk Considerations 2 サイバーセキュリティリスクの考慮事項
2.1 Assessment, Response, and Monitoring Across Enterprise Levels 2.1 エンタープライズレベルを超えた評価、対応、及び監視
2.2 Prioritizing Cybersecurity Risks 2.2 サイバーセキュリティ・リスクの優先順位付け
2.2.1 Factors Influencing Prioritization 2.2.1 優先順位付けに影響を与える要因
2.2.2 Cybersecurity Risk Optimization 2.2.2 サイバーセキュリティリスクの最適化
2.2.3 Cybersecurity Risk Priorities at Each Enterprise Level 2.2.3 各エンタープライズレベルにおけるサイバーセキュリティ・リスクの優先順位
2.2.4 Considerations of Positive Risks as an Input to ERM 2.2.4 ERMへのインプットとしてのポジティブリスクの検討
2.2.5 Visualizing Risk Priority 2.2.5 リスク優先度の可視化
2.3 Selection of Risk Response Types 2.3 リスク対応タイプの選択
2.3.1 Risk Acceptance 2.3.1 リスクの受容
2.3.2 Risk Avoidance 2.3.2 リスクの回避
2.3.3 Risk Transfer 2.3.3 リスクの移転
2.3.4 Risk Mitigation 2.3.4 リスクの軽減
2.3.5 Relationship of Risk Response to Risk Strategy 2.3.5 リスク対応とリスク戦略の関係 
2.3.6 Implicit Acceptance 2.3.6 暗黙の了解
2.3.7 Responding to Positive Risk Scenarios 2.3.7 肯定的なリスクシナリオへの対応
2.4 Finalizing the Cybersecurity Risk Register 2.4 サイバーセキュリティ・リスク・レジスターの最終決定
2.4.1 Risk Response Cost 2.4.1 リスク対応のコスト
2.4.2 Risk Response Description 2.4.2 リスク対応の説明
2.4.3 Risk Owner 2.4.3 リスクオーナー
2.4.4 Status 2.4.4 ステータス
2.5 Conditioning Cybersecurity Risk Register for Enterprise Risk Rollup 2.5 エンタープライズ・リスクロールアップのためのサイバーセキュリティ・リスク登録の調整
3 Conclusion 3 結論
References 参考文献
List of Appendices 附属書リスト
Appendix A— Acronyms 附属書A-頭字語
List of Figures 図一覧
Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration 図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されています。
Figure 2: NISTIR 8286B Activities as part of CSRM/ERM Integration 図2:NISTIR 8286B CSRM/ERM統合の一環としての活動
Figure 3: Inputs to Risk Scenario Identification 図3:リスクシナリオ特定のためのインプット
Figure 4: Notional Cybersecurity Risk Register Template 図4:概念的なサイバーセキュリティ・リスク・レジスターのテンプレート
Figure 5: ERM and CSRM Actions Apply Common Terms in Different Ways 図5:ERMとCSRMの活動は、共通の用語を異なる方法で適用する
Figure 6: Excerpt from a Notional Cybersecurity Risk Register (from NISTIR 8286) 図6:想定されるサイバーセキュリティ・リスク・レジスターからの抜粋(NISTIR 8286より
Figure 7: Example Risk Map Illustrating Prioritization of the Risks in Figure 6 図7:図6のリスクの優先順位を示したリスクマップの例
Figure 8: Alternative Risk Map with Separate Risk and Opportunity Mapping 図8:リスクとオポチュニティを別々にマッピングした代替リスクマップ
Figure 9: Risk Response Workflow 図9:リスク対応のワークフロー
Figure 10: Example Risk Responses in the CSRR 図10:CSRRにおけるリスク対応の例
Figure 11: RDR Excerpt – Example for an Acceptable Risk 図11:RDRの抜粋-受容可能なリスクの例
Figure 12: RDR Excerpt – Example of Risk Avoidance 図12:RDRの抜粋-リスク回避の例
Figure 13: RDR Excerpt – Example of Risk Transfer 図13:RDRの抜粋-リスク移転の例
Figure 14: RDR Excerpt – Risk Mitigation 図14:RDRの抜粋-リスクの軽減
Figure 15: Monitor-Evaluate-Adjust Management Cycle 図15:監視-評価-調整のマネジメントサイクル
Figure 16: RDR Excerpt – Risk Mitigation (Example 2) 図16:RDRの抜粋-リスクの軽減(例2
Figure 17: Notional CSRR Excerpt Showing Risk Response Cost Column 図17:リスク対応コスト欄を示した想定的なCSRRの抜粋 
Figure 18: Notional CSRR Excerpt Showing Risk Response Description Column 図18:リスク対応の説明欄を示した想定上のCSRRの抜粋
Figure 19: Notional CSRR Excerpt Showing Risk Owner Column 図19:想定される CSRR の抜粋 リスクオーナーの欄の表示
Figure 20: Notional CSRR Excerpt Showing Risk Status Column 図20:リスクステータス欄を表示した想定上のCSRR抜粋
List of Tables 表一覧
Table 1: Response Types for Negative Cybersecurity Risks 表1: ネガティブなサイバーセキュリティ・リスクに対する対応タイプ
Table 2: Response Types for Positive Cybersecurity Risks 表2: ポジティブなサイバーセキュリティ・リスクに対する対応タイプ

 

エグゼクティブサマリー

Executive Summary  要約 
All organizations face a broad array of risks, including cybersecurity risks. For U.S. Federal Government agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [1]. An organization’s business objectives can be impacted by such effects, so this uncertainty must be managed at various hierarchical levels.  すべての組織は、サイバーセキュリティのリスクを含め、さまざまなリスクに直面しています。米国連邦政府機関の場合、OMB(連邦予算管理局)Circular A-11では、リスクを「目的に対する不確実性の影響」と定義しています[1]。組織のビジネス目標は、このような影響を受ける可能性があるため、この不確実性をさまざまな階層で管理する必要があります。
This report highlights Cybersecurity Risk Management (CSRM) aspects that are inherent to enterprises, organizations, and systems. The terms organization and enterprise are often used interchangeably; for the purposes of this document, both an organization and an enterprise are defined as an entity of any size, complexity, or positioning within a larger organizational structure. The term enterprise level refers to the top level of the hierarchy where senior leaders have unique risk governance responsibilities. Each enterprise, such as a corporation or government agency, is comprised of organizations supported by systems.[1] The term organizational level refers to the various middle levels of the hierarchy between the system level (lowest level) and the enterprise level (highest level).  本報告書では、企業、組織、システムに固有のサイバーセキュリティ・リスク管理(CSRM)の側面に焦点を当てています。組織と企業という言葉は、しばしば互換的に使用されます。本報告書では、組織と企業の両方を、大きな組織構造の中でのあらゆる規模、複雑性、または位置づけのある事業体と定義しています。エンタープライズレベルとは、シニアリーダーが固有のリスクガバナンス責任を有する階層の最上位レベルを指す。企業や政府機関などのエンタープライズは、システムに支えられた組織で構成されています[1]。 組織レベルとは、システムレベル(最下位)と企業レベル(最上位)の間にある様々な中間レベルの階層を指します。
Enterprise risk management (ERM) calls for understanding the key risks that an organization faces. This document provides supplemental guidance for aligning cybersecurity risks with an organization’s overall ERM program. To minimize the extent to which cybersecurity risks impede enterprise missions and objectives, there must be effective collaboration among CSRM and ERM managers. This document helps enterprises apply, improve, and monitor the quality of that cooperation and communication.  エンタープライズ・リスク・マネジメント(ERM)では、組織が直面する主要なリスクを理解することが求められます。本報告書は、サイバーセキュリティのリスクを組織のERMプログラム全体と整合させるための補足的なガイダンスを提供するものです。サイバーセキュリティのリスクがエンタープライズのミッションや目標を阻害する度合いを最小限に抑えるためには、CSRMとERMの管理者が効果的に連携する必要があります。本報告書は、エンタープライズがその協力とコミュニケーションの質を適用、改善、監視するのに役立ちます。
Figure 1: NISTIR 8286 Series Publications Describe Detailed CSRM/ERM Integration  図1:NISTIR 8286シリーズの出版物には、CSRM/ERM統合の詳細が記載されています。
This NIST Interagency/Internal Report (NISTIR) is part two of a series supporting NISTIR 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM) [2].  このNIST Interagency/Internal Report(NISTIR)は、NISTIR 8286「Integrating Cybersecurity and Enterprise Risk Management (ERM) [2]」をサポートするシリーズの第2部です。
Figure 1 illustrates that additional detail and guidance are provided in each report:  図1は、各レポートに追加の詳細とガイダンスが記載されていることを示しています。
•       NISTIR 8286A provides detail regarding cybersecurity risk context, scenarios, and analysis of likelihood and impact. It includes methods to convey risk information, such as cybersecurity risk registers (CSRRs) and risk detail records (RDRs).  ・NISTIR 8286Aでは、サイバーセキュリティ・リスクの背景、シナリオ、可能性と影響の分析について詳しく説明しています。NISTIR 8286Aでは、サイバーセキュリティリスクの背景、シナリオ、可能性と影響の分析について詳細に説明しており、サイバーセキュリティリスクレジスター(CSRR)やリスク詳細記録(RDR)など、リスク情報を伝達するための方法も含まれています。
•       NISTIR 8286B (this report) describes ways to apply risk analysis to help prioritize cybersecurity risk, evaluate and select appropriate risk response, and communicate risk activities as part of an enterprise CSRM strategy.  ・NISTIR 8286B(本報告書)では、エンタープライズのCSRM戦略の一環として、サイバーセキュリティ・リスクの優先順位付け、適切なリスク対応の評価と選択、リスク活動の伝達に役立つリスク分析の適用方法について説明しています。
•       The next document in this series, NISTIR 8286C, describes processes for aggregating information from CSRM activities throughout the enterprise. As that information is integrated and harmonized, organizational and enterprise leaders monitor the achievement of risk objectives, consider any changes to risk strategy, and use the combined information to maintain awareness of risk factors and positive risks (or opportunities).  ・このシリーズの次の報告書であるNISTIR 8286Cは、エンタープライズ全体のCSRM活動からの情報を集約するためのプロセスを説明しています。これらの情報が統合され、調和されると、組織やエンタープライズのリーダーは、リスク目標の達成状況を監視し、リスク戦略の変更を検討し、統合された情報を用いて、リスク要因やポジティブなリスク(または機会)に対する認識を維持します。
All participants in the enterprise who play a role in CSRM and/or ERM should use consistent methods to prioritize and respond to risk, including methods for communicating results. This report provides guidance for applying a consistent risk strategy at all enterprise levels (Section 2.1). Based on the risk identification and risk analysis described in NISTIR 8286A, NISTIR 8286B provides recommendations for determining, responding to, and reporting the relative priorities of risks, as documented in the CSRR, in light of the enterprise’s risk strategy (Section 2.2), selecting risk response actions (Section 2.3), finalizing the CSRR (Section 2.4), and conditioning results in preparation for risk report aggregation (Section 2.5).  CSRM及び/又はERMの役割を担うエンタープライズの全ての参加者は、結果の伝達方法を含め、一貫した方法を用いてリスクの優先順位付けと対応を行うべきである。本報告書は、エンタープライズのすべてのレベルで一貫したリスク戦略を適用するためのガイダンスを提供する(セクション2.1)。NISTIR 8286Bでは、NISTIR 8286Aで述べたリスク識別とリスク分析に基づき、エンタープライズのリスク戦略に照らして、CSRRで文書化されたリスクの相対的な優先順位の決定、対応、報告(2.2項)、リスク対応行動の選択(2.3項)、CSRRの最終決定(2.4項)、リスク報告書の集計に向けた結果の調整(2.5項)に関する推奨事項を示しています。
[1] A system is defined as “a discrete set of information resources organized expressly for the collection, processing, maintenance, use, sharing, dissemination, or disposition of information.”  [システムとは、「情報の収集、処理、維持、使用、共有、発信、または処分のために明示的に組織された情報資源の個別の集合体」と定義されている。

 

References

[1] Office of Management and Budget (2019) Preparation, Submission, and Execution of the Budget. (The White House, Washington, DC), OMB Circular No. A-11, December 18, 2019. Available at https://www.whitehouse.gov/wpcontent/uploads/2018/06/a11.pdf

[2] Stine K, Quinn S, Witte G, Gardner RK (2020) Integrating Cybersecurity and Enterprise Risk Management (ERM). (National Institute of Standards and Technology, Gaithersburg, MD), NIST Interagency or Internal Report (IR) 8286. https://doi.org/10.6028/NIST.IR.8286

 


 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.01 26  draft NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

2022.02.12

NIST SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

こんにちは、丸山満彦です。

NISTが、SP 800-140C Rev.1 (Draft) CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿) を公表していますね。。。

NIST - ITL

・2022.02.10 SP 800-140D Rev. 1 (Draft) CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft)

SP 800-140D Rev. 1 (Draft) CMVP Approved Sensitive Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft) SP 800-140D Rev.1(ドラフト)CMVP認定済みのセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)
Announcement 発表内容
The NIST Special Publication (SP) 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. NIST特別出版(SP)800-140xシリーズは、連邦情報処理標準(FIPS)出版物140-3「暗号モジュールのセキュリティ要件」と、それに関連する検証試験プログラムである暗号モジュール検証プログラム(CMVP)をサポートしています。本シリーズは、検証機関の許可を得て、ISO/IEC 19790 附属書および ISO/IEC 24759 の修正を規定しています。
Revisions of the following subseries publications are now available for public comment: 現在、以下のサブシリーズの出版物の改訂版がパブリックコメントとして公開されています。
Second Draft NIST SP 800-140C Rev. 1, CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 ・Second Draft NIST SP 800-140C Rev.1, CMVP Approved Security Functions: ISO/IEC 24759へのCMVP検証機関のアップデート
・Second Draft NIST SP 800-140D Rev. 1, CMVP Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 ・Second Draft NIST SP 800-140D Rev. 1, CMVP Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP の検証機関による ISO/IEC 24759 へのアップデート
These documents introduce the naming conventions that will be used for validation submissions and certificates. In addition, the following four standards are being added: SP 800-208, Stateful Hash-Based Signature Schemes (October 2020), SP 800-133 Rev.2, Recommendation for Cryptographic Key Generation (June 2020), SP 800-56C Rev. 2, Recommendation for Key-Derivation Methods in Key-Establishment Schemes (August 2020), RFC 8446, The Transport Layer Security (TLS) Protocol Version 1.3, Section 7.1 (August 2018). これらの文書では、検証の提出物や証明書に使用される命名規則が紹介されています。また、SP 800-208「ステートフルなハッシュベースの電子署名の推奨」(2020年10月)、SP 800-133 Rev.2「暗号鍵生成の推奨」(2020年6月)、SP 800-56C Rev.2「鍵確立スキームにおける鍵導出手法の推奨」(2020年8月)、RFC 8446「The Transport Layer Security (TLS) Protocol Version 1.3, Section 7.1」(2018年8月)の4つの規格が追加されています。
Abstract 概要
The approved sensitive security parameter generation and establishment methods listed in this publication replace the ones listed in ISO/IEC 19790 Annex D and ISO/IEC 24759 paragraph 6.16, within the context of the Cryptographic Module Validation Program (CMVP). As a validation authority, the CMVP may supersede Annex D in its entirety. 本書に記載されている承認されたセンシティブ・セキュリティ・パラメータの生成および確立方法は、暗号モジュール検証プログラム(CMVP)の文脈において、ISO/IEC 19790 Annex DおよびISO/IEC 24759 paragraph 6.16に記載されているものを置き換えるものである。CMVP は,検証機関として,附属書 D の全体に取って代わることができる。

 

・[PDF]  SP 800-140D Rev. 1 (Draft)

20220211-225754

 

1 Scope 1 適用範囲
2 Normative references 2 引用規格
3 Terms and definitions 3 用語および定義
4 Symbols and abbreviated terms 4 記号および略語
5 Document organization 5 文書の構成
5.1 General 5.1 一般
5.2 Modifications 5.2 修正事項
6 CMVP-approved sensitive security parameter generation and establishment requirements 6 CMVP 承認済みの機密性の高いセキュリティパラメータの生成および確立に関する要求事項
6.1 Purpose 6.1 目的
6.2 Sensitive security parameter generation and establishment methods 6.2 機密性の高いセキュリティ・パラメータの生成及び確立方法
6.2.1 Transitions 6.2.1 トランジション
6.2.2 Symmetric Key Generation 6.2.2 対称鍵の生成
6.2.3 Key-Based Key Derivation 6.2.3 鍵ベースの鍵導出
6.2.4 Password-Based Key Derivation 6.2.4 パスワードベースの鍵導出
6.2.5 Asymmetric Key-Pair Generation 6.2.5 非対称キー・ペア生成
6.2.6 Key Agreement 6.2.6 鍵合意
6.2.7 Key Agreement Key Derivation 6.2.7 鍵合意による鍵導出
6.2.8 Protocol-Suite Key Derivation 6.2.8 プロトコルスイート鍵導出
6.2.9 Key Transport 6.2.9 キー・トランスポート
6.2.10 Other sensitive security parameter establishment methods 6.2.10 その他の機密性の高いセキュリティ・パラメータの確立方法
Document Revisions 文書の改訂

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.12 NIST SP 800-140C Rev.1(ドラフト)CMVP 承認済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

・2020.10.31 NIST SP 800-208 ステートフルなハッシュベースの署名方式の推奨

・2020.03.25 NIST SP 800-56C Rev. 2(Draft) Recommendation for Key-Derivation Methods in Key-Establishment Schemes

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759

・2020.03.06 SP 800-133 Rev. 2(Draft) Recommendation for Cryptographic Key Generation

| | Comments (0)

NIST SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)

こんにちは、丸山満彦です。

NISTが、SP 800-140C Rev.1(ドラフト)CMVP認定済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿) を公表していますね。。。

NIST - ITL

・2022.02.10 SP 800-140C Rev. 1 (Draft) CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft)

SP 800-140C Rev. 1 (Draft) CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 (2nd Draft) SP 800-140C Rev.1(ドラフト)CMVP 承認済みのセキュリティ機能: ISO/IEC 24759に対するCMVP検証機関の更新(第2稿)
Announcement 発表内容
The NIST Special Publication (SP) 800-140x series supports Federal Information Processing Standards (FIPS) Publication 140-3Security Requirements for Cryptographic Modules, and its associated validation testing program, the Cryptographic Module Validation Program (CMVP). The series specifies modifications to ISO/IEC 19790 Annexes and ISO/IEC 24759 as permitted by the validation authority. NIST特別出版(SP)800-140xシリーズは、連邦情報処理標準(FIPS)出版物140-3「暗号モジュールのセキュリティ要件」と、それに関連する検証試験プログラムである暗号モジュール検証プログラム(CMVP)をサポートしています。本シリーズは、検証機関の許可を得て、ISO/IEC 19790 附属書および ISO/IEC 24759 の修正を規定しています。
Revisions of the following subseries publications are now available for public comment: 現在、以下のサブシリーズの出版物の改訂版がパブリックコメントとして公開されています。
・Second Draft NIST SP 800-140C Rev. 1, CMVP Approved Security Functions: CMVP Validation Authority Updates to ISO/IEC 24759 ・Second Draft NIST SP 800-140C Rev.1, CMVP Approved Security Functions: ISO/IEC 24759へのCMVP検証機関のアップデート
Second Draft NIST SP 800-140D Rev. 1CMVP Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP Validation Authority Updates to ISO/IEC 24759 ・Second Draft NIST SP 800-140D Rev. 1, CMVP Approved Sensitive Security Parameter Generation and Establishment Methods: CMVP の検証機関による ISO/IEC 24759 へのアップデート
These documents introduce the naming conventions that will be used for validation submissions and certificates. In addition, the following four standards are being added: SP 800-208, Stateful Hash-Based Signature Schemes (October 2020), SP 800-133 Rev.2, Recommendation for Cryptographic Key Generation (June 2020), SP 800-56C Rev. 2, Recommendation for Key-Derivation Methods in Key-Establishment Schemes (August 2020), RFC 8446, The Transport Layer Security (TLS) Protocol Version 1.3, Section 7.1 (August 2018). これらの文書では、検証の提出物や証明書に使用される命名規則が紹介されています。また、SP 800-208「Stateful Hash-Based Signature Schemes」(2020年10月)、SP 800-133 Rev.2「Recommendation for Cryptographic Key Generation」(2020年6月)、SP 800-56C Rev.2「Recommendation for Key-Derivation Methods in Key-Establishment Schemes」(2020年8月)、RFC 8446「The Transport Layer Security (TLS) Protocol Version 1.3, Section 7.1」(2018年8月)の4つの規格が追加されています。
Abstract 概要
The approved security functions listed in this publication replace the ones listed in ISO/IEC 19790 Annex C and ISO/IEC 24759 6.15, within the context of the Cryptographic Module Validation Program (CMVP). As a validation authority, the CMVP may supersede Annex C in its entirety. 本書に記載されている承認済みのセキュリティ機能は、暗号モジュール検証プログラム(CMVP)の文脈において、ISO/IEC 19790 Annex CおよびISO/IEC 24759 6.15に記載されているものを置き換えるものである。CMVP は,検証機関として,附属書 C の全体に取って代わることができる。

 

・[PDF]  SP 800-140C Rev. 1 (Draft) (DOI)

20220211-31543

1 Scope 1 適用範囲
2 Normative references 2 引用規格
3 Terms and definitions 3 用語および定義
4 Symbols and abbreviated terms 4 記号および略語
5 Document organization 5 文書の構成
5.1 General 5.1 一般
5.2 Modifications 5.2 修正事項
6 CMVP-approved security function requirements 6 CMVP 承認済みのセキュリティ機能要件
6.1 Purpose 6.1 目的
6.2 Approved security functions 6.2 承認されたセキュリティ機能
6.2.1 Transitions 6.2.1 トランジション
6.2.2 Block Cipher 6.2.2 ブロック暗号
6.2.3 Digital Signature 6.2.3 デジタル署名
6.2.4 Secure Hash 6.2.4 セキュアハッシュ
6.2.5 Extendable Output Functions 6.2.5 拡張可能な出力関数
6.2.6 Message Authentication 6.2.6 メッセージ認証
6.2.7 Entropy Source 6.2.7 エントロピー源
6.2.8 Deterministic Random Bit Generator (DRBG) 6.2.8 決定論的乱数ビット生成器(DRBG)
6.2.9 Other Security Functions 6.2.9 その他のセキュリティ機能
Document Revisions 文書の改訂

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.12 NIST SP 800-140D Rev.1 (Draft) CMVP 認可のセンシティブパラメータ生成・確立方法:ISO/IEC 24759に対するCMVP検証機関のアップデート(第2稿)

・2020.03.21 NIST SP 800-140 FIPS 140-3 Derived Test Requirements (DTR): CMVP Validation Authority Updates to ISO/IEC 24759


| | Comments (0)

2022.02.11

Cloud Security Alliance 製造業におけるサイバーセキュリティのベストプラクティス

こんにちは、丸山満彦です。

Cloud Security Allianceが製造業におけるサイバーセキュリティのベストプラクティスを公開していますね。。。

 

Cloud Security Alliance (CSA)

・2022.02.09 Cybersecurity Best Practices for the Manufacturing Industry

Cybersecurity Best Practices for the Manufacturing Industry 製造業におけるサイバーセキュリティのベストプラクティス
The manufacturing and industrial sectors have evolved with the introduction of technologies over the past many decades. Progress in improving processes, techniques, output, quality, and efficiencies have been gained with new technology as they emerge, and the end result can be positive and fortuitous for organizations. With the rapid movement towards a modern-day manufacturing environment, new and connected technologies that employ greater cyber connectedness continue to grow, but at the same time, can introduce cybersecurity risks.  製造業や産業界は、過去何十年にもわたって、技術の導入とともに進化してきました。プロセス、技術、生産量、品質、効率の向上は、新しい技術の登場によって得られ、最終的な結果は組織にとってポジティブで幸運なものとなります。現代の製造環境に向けた急速な動きの中で、サイバー接続性を高めた新しい接続技術は成長を続けていますが、同時にサイバーセキュリティのリスクも生じています。 
Provided to the reader will include three main content areas :    読者に提供される内容は、主に以下の3つの分野です。   
1) A historical background of the evolutionary Industry 1.0 through Industry 4.0 progress 1) インダストリー1.0からインダストリー4.0への進化の歴史的背景
2) The United States and Internationally available frameworks that can be approached to secure the manufacturing sector 2)製造業のセキュリティを確保するための、米国および国際的に利用可能なフレームワーク
3) A top 10 list of practical elements that can rapidly be approached to secure manufacturing systems from cyber threats as well as a look to the future. 3) 製造業システムをサイバー脅威から守るために、迅速にアプローチできる実用的な要素のトップ10リストと将来への展望

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220211-14729

 

Acknowledgements 謝辞
Abstract 概要
Introduction はじめに
A Brief Background, from Industry 1.0 to 4.0 インダストリー1.0から4.0までの簡単な背景
Current Industry 4.0 Technology Advances 現在のインダストリー4.0技術の進歩
Existing US Cyber Risk Management Frameworks for the Specific Manufacturing Sector 特定の製造業セクターに対する米国の既存のサイバーリスク管理フレームワーク
Cybersecurity Challenges to Legacy Manufacturing Organizations 従来の製造業組織が直面するサイバーセキュリティの課題
Practical Top 10 List of Items to Quickly Address with Industry 1.0-4.0 Technology Vulnerabilities インダストリー1.0~4.0技術の脆弱性に素早く対処するための実用的なトップ10リスト
Aligning Manufacturing Cybersecurity Efforts with the Business 製造業のサイバーセキュリティへの取り組みとビジネスの整合性
Looking Past Industry 4.0 into the Future of Cloud インダストリー4.0を超えてクラウドの未来を見据える
Conclusion 結論
About the Chapter この章について
About the Authors 著者について
Acknowledgements 謝辞
References 参考文献

 

 

| | Comments (0)

Cloud Security Alliance DevSecOpe 柱4:コンプライアンスと開発の架け橋

こんにちは、丸山満彦です。

Cloud Security Allianceが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

1: Collective Responsibility5: Automationに続いて3つ目のドキュメントとなりますね。。。多分...

DevSecOpsの6つの柱ですが・・・

Overview: Six Pillars of DevSecOps (2019.08.07) 概略:DevSeOpsの6つの柱 (2019.08.07)
Pillar 1: Collective Responsibility (2020.02.20) 柱1:集団的責任 (2020.02.20)
Pillar 2: Training and Process Integration 柱2:トレーニングとプロセスの統合
Pillar 3: Pragmatic Implementation 柱3:実践的な実施
Pillar 4: Bridging Compliance & and Development (2022.02.08) 柱4:コンプライアンスと開発の架け橋 (2022.02.08)
Pillar 5: Automation (2020.07.06) 柱5:自動化 (2020.07.06)
Pillar 6: Measure, Monitor, Report & and Action 柱6:測定、監視、報告、行動

 

Cloud Security Alliance (CSA)

・2022.02.08 DevSecOps - Pillar 4 Bridging Compliance and Development

DevSecOps - Pillar 4 Bridging Compliance and Development DevSecOps - 柱4:コンプライアンスと開発の架け橋
Overview 概要
This document provides guidance to ensure the gap between compliance and development is addressed by recognizing compliance objectives, translating them to appropriate security measures, and identifying inflection points within the software development lifecycle where these controls can be embedded, automated, measured, and tested in a transparent and easily understood way. この文書は、コンプライアンスの目的を認識し、それを適切なセキュリティ対策に変換し、ソフトウェア開発ライフサイクル内の変曲点を特定することで、コンプライアンスと開発の間のギャップに確実に対処するためのガイダンスを提供します。
Backstory 背景
This document continues the DevSecOps Six Pillars series, with a particular focus on how we can automate compliance, and have it better relate to security requirements. Historically compliance requirements have quickly become outdated, as they are managed separately from the code they relate to. Turning those requirements into automated equivalents help keep them relevant as applications and infrastructure evolve. このドキュメントは、DevSecOpsの6つの柱シリーズの一つで、特にコンプライアンスを自動化し、セキュリティ要件との関連性を高める方法に焦点を当てています。これまで、コンプライアンス要件は、関連するコードとは別に管理されていたため、すぐに時代遅れになってしまいました。これらの要件を自動化された同等のものに変えることで、アプリケーションやインフラの進化に合わせて、要件を適切に保つことができます。
Keywords, Takeaways キーワード、留意点
・DevSecOps ・DevSecOps
・Security compliance ・セキュリティ・コンプライアンス
・Compartmentalization ・コンパートメント化
・Collective responsibility ・集団的責任
・Software development ・ソフトウェア開発
・Secure development lifecycle (SDLC) ・安全な開発ライフサイクル(SDLC)
・Continuous assessment ・継続的評価
・“as-Code” model (Infrastructure-as-Code, Compliance-as-Code, Policy-as-Code, etc) ・「as-Code」(Infrastructure-as-Code、Compliance-as-Code、Policy-as-Codeなど)モデル

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220210-234428

Foreword 序文
1. Introduction 1. はじめに
1.1 Goal 1.1 目標
1.2 Audience 1.2 想定読者
2. Assessment 2. 評価
2.1 Shared Responsibility with Cloud Service Providers 2.1 クラウドサービス事業者との責任分担
2.1.1 Next Steps 2.1.1 次のステップ
2.2 Point-in-Time and Continuous Assessments 2.2 ポイントインタイムおよび継続的なアセスメント
3 Mindset 3 マインドセット
3.1 Compliance Using Value Stream Mapping 3.1 バリューストリームマッピングによるコンプライアンス
3.2 Translate Compliance Objectives to Security Measures 3.2 コンプライアンスの目的をセキュリティ対策に反映させる
3.2.1 Monitoring at the Pipeline 3.2.1 パイプラインでのモニタリング
4. Tooling 4. ツール
4.1 Embrace an “as-Code” Model 4.1 「as-code」モデルの採用
4.2 Embracing DevSecOps Approaches to Testing 4.2 テストに対するDevSecOpsアプローチの導入
4.3 Tracking Open-Source Risk 4.3 オープンソースのリスクを追う
4.4 Guardrails 4.4 ガードレール
4.5 Patterns and Templates 4.5 パターンとテンプレート
5. Summary 5. まとめ
References 参考文献
Glossary 用語集
Acronyms 頭字語

 

 


参考

・2021.09.09 Six Pillars of DevSecOps Series

 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.07.08 CSAが「DevSecOpsの6つの柱:自動化」を公開していますね。。。

 

 

| | Comments (0)

Cloud Security Alliance クラウドセキュリティとテクノロジーの成熟度調査

こんにちは、丸山満彦です。

Cloud Security Allianceが、クラウドセキュリティとテクノロジーの成熟度調査を公開していますね。。。

クラウドとテクノロジーに対する組織の成熟度をよりよく理解するための書のようです。。。

調査結果もあるので、興味深い点がありますね。。。

 

Cloud Security Alliance

・2022.02.03 Cloud Security and Technology Maturity Survey

Cloud Security and Technology Maturity Survey クラウドセキュリティとテクノロジーの成熟度調査
The goal of this survey is to better understand the maturity levels of organizations for the cloud and technology both currently and in the near future. Key areas of interest include: この調査の目的は、現在および近い将来のクラウドとテクノロジーに対する組織の成熟度をよりよく理解することです。主な関心分野は以下の通りです。
・Current cloud use and strategy ・現在のクラウド利用と戦略
・Top drivers for using multi-cloud environments ・マルチクラウド環境を利用する主な要因
・Current and future cloud security strategies and Solutions ・現在および将来のクラウドセキュリティ戦略とソリューション
・Predicted changes in the use of cloud and related technologies ・クラウドと関連技術の使用における変化の予測

・[PDF] 簡単な質問に答えるとダウンロードできます

20220210-224636

Acknowledgements 謝辞
Survey Creation and Methodology 調査の作成と方法論
Goals of the Study 調査目標
Introduction 序文
Key Finding 1: Organizations utilizing multi-cloud despite challenges 重要所見1:課題を抱えながらもマルチクラウドを活用している企業
Key Finding 2: Maturity of privacy-by-design lags 重要所見2:プライバシー・バイ・デザインの成熟が遅れている
Key Finding 3: Use of Zero Trust, AI/Machine Learning and Serverless expanding in the next two years 重要所見3:今後2年間で、ゼロトラスト、AI/機械学習、サーバーレスの利用が拡大
Key Finding 4: Use of SDP, ASM, and CSPM expected to increase in the next two years 重要所見4:今後2年間でSDP、ASM、CSPMの利用が増加する見込み
Key Finding 5: Organizations not planning for key technologies Blockchain, Quantum-safe security, 5G 重要所見5:重要技術であるブロックチェーン、量子安全セキュリティ、5Gを計画していない組織
Cloud Strategy クラウド戦略
Multi-Cloud Users Only マルチクラウドのユーザーのみ
Security Strategy セキュリティ戦略
Current and Future Use of Cloud Security and Related Technologies クラウドセキュリティおよび関連技術の利用の現状と将来
Demographics デモグラフィクス
About the Sponsor スポンサーについて

 

 

 

| | Comments (0)

Cloud Security Alliance 安全なサーバーレスアーキテクチャを設計するには at 2022.02.01

こんにちは、丸山満彦です。

Cloud Security Allianceが、「How to Design a Secure Serverless Architecture」の翻訳版である「安全なサーバーレスアーキテクチャを設計するには」を公開していますね。。。

日本語できっちりと出してくれるとありがたいですね。。。

 

Cloud Security Alliance

・2022.02.01 How to Design a Secure Serverless Architecture - Japanese Translation


他のソリューションと同様に、サーバーレスコンピューティングは様々なサイバーリスクをもたらします。本ドキュメントでは、サーバーレスアプリケーションをセキュアにするためのベストプラクティスと推奨事項を紹介しています。さまざまな脅威を幅広く紹介し、サーバーレスプラットフォームがさらされるアプリケーションオーナーのリスクに焦点を当て、適切なセキュリティ対策を提案しています。

本ドキュメントは、読者が、コーディングの実践、セキュリティとネットワークの専門知識、およびアプリケーションコンテナ、マイクロサービス、関数、アジャイルアプリケーション開発に関する知識をある程度持っていることを前提としています。

・[PDF] 簡単な質問に答えるとダウンロードできます

20220210-193854

 

目次です。。。

エグゼクティブサマリ

1. はじめに
目的と範囲
対象読者

2. サーバーレスとは

3. なぜサーバーレスなのか
3.1
サーバーレスアーキテクチャの利点と効果
3.2
サーバーレスの責任共有モデル
3.3
サーバーレスが適切なのはどのような場合か

4. ユースケースと事例

5. サーバーレスのセキュリティ脅威モデル
5.1
サーバーレス - 全く新しいセキュリティ?
5.2
サーバーレスの脅威の状況
 5.2.1
主な脅威分野 
 5.2.2 アプリケーションオーナー セットアップフェーズの脅威
 5.2.3 アプリケーションオーナー デプロイフェーズの脅威
 5.2.4 サービスプロバイダの行為の脅威

5.3
脅威モデル - アプリケーションオーナーのための25のサーバーレス脅威
5.4
サーバーレスの脅威の独自性
 5.4.1
アプリケーションオーナーのセットアップフェーズの脅威(参照:5.3(A)
 5.4.2 アプリケーションオーナーのデプロイメントフェーズの脅威(参照5.3(B))
 5.4.3 サービスプロバイダのデプロイメント上の脅威(参照:5.3(C))

6. セキュリティのデザイン、コントロール、ベストプラクティス
6.1
サーバーレスの設計上の注意点
 6.1.1
サーバーレスプラットフォームのデザインがサーバーレス・マイクロサービス・セキュリティに与える影響
6.2 FaaS
のコントロール
6.3 CI-CD
パイプライン、ファンクションコード、コードスキャン、ファンクションとコンテナのポリシーの実施
6.4
コンテナイメージベースのサーバーレスのための差分/追加コントロール
 6.4.1
コンテナイメージベースのサーバーレスサービスにアクセスするためのAPIアクセスの管理
 6.4.2 コンテナイメージをベースにしたサーバーレスな設定とポリシーの実施
 6.4.3 ベースイメージの管理とセキュリティ強化
 6.4.4 Kubernetesの設定とサービスメッシュポリシーの実施
 6.4.5 アクセス管理コントロール
 6.4.6 Kubernetesリスクとコントロール
 6.4.7 追加のセキュリティ

6.5
コンプライアンスとガバナンス
 6.5.1
サーバーレスのためのアセットマネジメント
 6.5.2 サーバーレスガバナンス
 6.5.3 コンプライアンス

7. サーバーレスセキュリティの未来像
7.1
サーバーレスの未来への布石
 7.1.1
サーバーレスへの動き コンテナイメージベースのサーバーレス
 7.1.2 仮想化の変化
 7.1.3 FaaSの進化

7.2
サーバーレスのセキュリティ
7.3
データプライバシーのためのサーバーレスの進歩

8.結論

Appendix 1:Acronyms
Appendix 2: Glossary




 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.15 Cloud Security Alliance 安全なサーバーレス・アーキテクチャをどう設計すればよいか

 

| | Comments (0)

米国 GAO 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある

こんにちは、丸山満彦です。

米国の政府検査院(GAO)が「重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある」という報告書を公表していますね。。。

● U.S. Government Accountability Office

・2022.02.09 Critical Infrastructure Protection: Agencies Need to Assess Adoption of Cybersecurity Guidance

 

Critical Infrastructure Protection: Agencies Need to Assess Adoption of Cybersecurity Guidance 重要インフラ保護:各省庁はサイバーセキュリティガイダンスの採用を評価する必要がある
Fast Facts 速報
The U.S. has 16 critical infrastructure sectors that provide clean water, gas, banking, and other essential services. To help protect them, in 2014 the National Institute of Standards and Technology developed cybersecurity standards and procedures that organizations within these sectors may voluntarily use. Federal agencies are charged with leading efforts to improve sector security. 米国には、上水道、ガス、銀行などの重要なサービスを提供する16の重要インフラ分野があります。これらを保護するために、米国標準技術研究所 (NIST) は2014年、これらの分野に属する組織が自主的に使用できるサイバーセキュリティの基準と手順を策定しました。連邦政府機関は、これらの分野のセキュリティを向上させるための取り組みを主導する役割を担っています。
We found agencies have measured the adoption of these standards and procedures for 3 of 16 sectors and have identified improvements across 2 sectors. For example, the EPA found a 32% increase in the use of recommended cybersecurity controls at 146 water utilities. 我々は、各機関が16分野のうち3分野でこれらの基準と手順の採用を測定し、2分野で改善を確認していることを確認した。例えば、米国環境保護庁(EPA)は、水道事業者146社において、推奨されるサイバーセキュリティ管理策の利用が32%増加したことを明らかにしました。
Highlights ハイライト
What GAO Found GAOの発見事項
Federal agencies with a lead role to assist and protect one or more of the nation's 16 critical infrastructures are referred to as sector risk management agencies (SRMAs). The SRMAs for three of the 16 have determined the extent of their sector's adoption of the National Institute of Standards and Technology's (NIST) Framework for Improving Critical Infrastructure Cybersecurity (framework). In doing so, lead agencies took actions such as developing sector surveys and conducting technical assessments mapped to framework elements. SRMAs for four sectors have taken initial steps to determine adoption (see figure). However, lead agencies for nine sectors have not taken steps to determine framework adoption. 国の16の重要インフラの1つ以上を支援・保護する役割を担う連邦政府機関は、セクターリスク管理機関(SRMA)と呼ばれています。16のうち3分野のSRMAは、米国標準技術研究所(NIST)の「重要インフラのサイバーセキュリティ向上のためのフレームワーク」(以下、フレームワーク)の採用度合いを決定しました。その際、主管省庁は、フレームワークの要素に対応したセクター調査や技術評価の実施などを行いました。4分野のSRMAは、採用を決定するための最初のステップを踏みました(図参照)。しかし、9分野の主管庁は、フレームワークの採用を決定するためのステップを踏んでいません。
Status of Framework Adoption by Critical Infrastructure Sector 重要インフラ部門のフレームワーク採用状況
Rid14_image2_20220210181701  
Regarding improvements resulting from sector-wide use, five of the 16 critical infrastructure sectors' SRMAs have identified or taken steps to identify sector-wide improvements from framework use, as GAO previously recommended. For example, the Environmental Protection Agency identified an approximately 32 percent overall increase in the use of framework-recommended cybersecurity controls among the 146 water utilities that requested and received voluntary technical assessments. In addition, SRMAs for the government facilities sector identified improvements in cybersecurity performance metrics and information standardization resulting from federal agencies' use of the framework. However, SRMAs for the remaining 11 sectors did not identify improvements and were not able to describe potential successes from their sectors' use of the framework. セクター全体での使用による改善については、16の重要インフラ分野のSRMAのうち5分野のSRMAが、GAOが以前に提言したように、フレームワークの使用によるセクター全体の改善を特定したり、特定するためのステップを踏んだりしています。例えば、環境保護庁は、自主的な技術評価を依頼して受けた146の水道事業体において、フレームワークが推奨するサイバーセキュリティ管理策の使用が全体で約32%増加したことを確認しました。また、政府施設部門のSRMAは、連邦政府機関がフレームワークを使用した結果、サイバーセキュリティのパフォーマンス指標や情報の標準化が改善されたことを確認しました。しかし、残りの11セクターのSRMAは、改善点を特定できず、各セクターがフレームワークを使用したことによる潜在的な成功例を説明できませんでした。
SRMAs reported various challenges to determining framework adoption and identifying sector-wide improvements. For example, they noted limitations in knowledge and skills to implement the framework, the voluntary nature of the framework, other priorities that may take precedence over framework adoption, and the difficulty of developing precise measurements of improvement were challenges to measuring adoption and improvements. To help address challenges, NIST launched an information security measurement program in September 2020 and the Department of Homeland Security has an information network that enables sectors to share best practices. Implementing GAO's prior recommendations on framework adoption and improvements are key factors that can lead to sectors pursuing further protection against cybersecurity threats. SRMAは、フレームワークの採用を決定し、セクター全体の改善点を特定するための様々な課題を報告した。例えば、フレームワークを実施するための知識やスキルの制限、フレームワークの任意性、フレームワークの採用よりも優先される可能性のある他の優先事項、改善の正確な測定方法の開発の難しさなどが、採用や改善を測定する上での課題として挙げられています。課題に対処するために、NISTは2020年9月に情報セキュリティ測定プログラムを開始し、国土安全保障省はセクターがベストプラクティスを共有できるような情報ネットワークを持っています。フレームワークの採用と改善に関するGAOの事前提言を実施することは、セクターがサイバーセキュリティの脅威に対してさらなる保護を追求することにつながる重要な要素です。
Why GAO Did This Study GAOがこの調査を行った理由
The nation's 16 critical infrastructure sectors provide essential services such as banking, electricity, and gas and oil distribution. However, increasing cyber threats—like the May 2021 ransomware cyberattack on an American oil pipeline system that led to regional gas shortages—represent a significant national security challenge. To better protect against cyber threats, NIST facilitated, as required by federal law, the development of a voluntary framework of cybersecurity standards and procedures for sectors to use. 米国の16の重要インフラ分野は、銀行、電力、ガスや石油の配給などの必須サービスを提供しています。しかし、2021年5月にアメリカの石油パイプラインシステムがランサムウェアによるサイバー攻撃を受け、地域的なガス不足に陥ったように、サイバー脅威の増加は国家安全保障上の重大な課題となっています。サイバー脅威からの保護を強化するために、NISTは連邦法の要請に応じて、各分野が利用できるサイバーセキュリティの基準と手順の自主的なフレームワークの開発を促進しました。
The Cybersecurity Enhancement Act of 2014 included provisions for GAO to review aspects of the framework. GAO's report addresses the extent to which SRMAs have (1) determined framework adoption by entities within their respective sectors and (2) identified improvements resulting from sector-wide use. GAO analyzed documentation, such as requests for information, polls, and survey instruments. It also conducted interviews with agency officials from each SRMA and NIST. 2014年のサイバーセキュリティ強化法には、GAOがフレームワークの側面をレビューする規定が含まれていました。GAOの報告書は、SRMAが(1)各分野の企業によるフレームワークの採用を決定し、(2)分野全体での使用による改善点を特定した程度を取り上げています。GAOは、情報提供の要請、世論調査、調査票などの文書を分析した。また、各SRMAとNISTの関係者にインタビューを行いました。
Recommendations 推奨事項
In prior reports, GAO recommended that the nine SRMAs (1) develop methods for determining the level and type of framework adoption by entities across their respective sectors and (2) collect and report sector-wide improvements. Most agencies have not yet implemented these recommendations. 以前のレポートでGAOは、9分野のSRMAに対し、(1)各セクターの企業によるフレームワークの採用レベルと種類を判断する方法を開発すること、(2)セクター全体の改善点を収集して報告すること、を提言しました。ほとんどの機関はこれらの提言をまだ実施していません。

 

・[PDF] Full Report

20220210-182211

 

・[PDF] Highlights

20220210-182101

 

 

 

 

| | Comments (0)

防衛省 防衛研究所 ウクライナをめぐるロシアの強要戦術

こんにちは、丸山満彦です。

防衛省の防衛研究所が「ウクライナをめぐるロシアの強要戦術」を公表していますね。。。ロシアがウクライナに対してどのような行動をとるのかについての分析となりますね。。。あくまでも著者の私見ですが。。。

防衛省 防衛研究所

・2022.02.08 [PDF] ウクライナをめぐるロシアの強要戦術

20220210-165934

 

参考文献

1 筆者による本欄での解説は「2021 年春のウクライナにおけるエスカレーション危機」NIDS コメンタリー、防衛研究所、2021 年 5 月 13 日。

2 対して、特定の行動をとらせないようにするのは「抑止」(deterrence)である。ロシアが NATO 拡大を「抑止」する戦略から、NATO とウクライナの協力を停止することを「強要」する戦略に転じたという見解として、Rob Lee, “Moscow’s Compellence Strategy,” Foreign Policy Research Institute, January 18, 2022.

3 フィオナ・ヒル、クリフォード・ガディ『プーチンの世界』新潮社、2016 年。

4 複数の研究評論が、これらの部分的打撃手段の蓋然性がより高いと指摘している。Keir Giles, “Putin Does Not Need to Invade Ukraine to Get His Way,” Chatham House, December 21, 2021; Eugene Rumer and Andrew S. Weiss, “Ukraine: Putin’s Unfinished Business,” Carnegie Endowment for International Peace, November 12, 2021.

5 Thomas Schelling, Arms and Influence, Yale University Press, 1966. (邦訳はトーマス・シェリング『軍備と影響力:核兵器と駆け引きの論理』勁草書房、2018 年) 強要の理論については、大西健主任研究官の協力を得た。より詳しくは、大西健「強要・強制外交―その概念と特徴」ブリーフィング・メモ、防衛研究所、2019 年 3 月。

6 Vladimir Putin “On the Historical Unity of Russians and Ukrainians,” President of Russia, July 12, 2021.

7 山添博史「ロシアの多層的な闘争手段」ブリーフィング・メモ、防衛研究所、2020 年 10 月。

 


英国の外交・防衛研究機関(王立防衛安全保障研究所 (RUSI) )のウェブページ

Rusi_20220215034501

The Royal United Services Institute (RUSI)

Crisis over Ukraine and European Security

Access our comment and analysis on the Ukraine crisis as the situation unfolds.

 

 


テレ東BIZの下記の動画説明は参考になりますね。。。

テレ東BIZ

・2022.02.09 [YouTube]「ロシアの論理」で読み解くウクライナ危機【豊島晋作のテレ東ワールドポリティクス】

1004pxlogo_of_youtube_20152017svg

 

参考文献も参考になります。。。(^^)

 

<解説の主な資料・参考文献>
■A Fateful Error, George F. Kennan,The New York Times
https://www.nytimes.com/1997/02/05/op...

■The U.S. Decision to Enlarge NATO: How, When, Why, and What Next?
James Goldgeier, Brookings Review
https://www.brookings.edu/articles/th...

■Letter: Kennan did not mince his words on Nato expansion, Armen Martirosyan, Financial Times
https://www.ft.com/content/fbfc34eb-d...

■ NATO Expansion: What Gorbachev Heard, National Security Archive
https://nsarchive.gwu.edu/briefing-bo...

■『独ソ戦』 絶滅戦争の惨禍 大木毅(著)
https://www.iwanami.co.jp/book/b45808...

■『モスクワ攻防戦―20世紀を決した史上最大の戦闘』アンドリュー・ナゴルスキ (著), 津守滋 (監修, 監修), 津守京子 (翻訳)
https://sakuhinsha.com/history/22834....

■『同志少女よ、敵を撃て』逢坂 冬馬 (著)
https://www.hayakawa-online.co.jp/sho...

■『ロシアの歴史 下 19世紀後半から現代まで―ロシア中学・高校歴史教科書―』 (世界の教科書シリーズ32)A・A ダニロフ (著), L・G コスリナ (著), M・Yu ブラント (著), 吉田 衆一監訳 (監修), アンドレイ クラフツェヴィチ監訳 (監修), 長屋 房夫 (翻訳), 佐藤 賢明 (翻訳), 土岐 康子 (翻訳), 寒河江 光徳 (翻訳), 佐藤 裕子 (翻訳), 山口 恭子 (翻訳), 馬場 京子 (翻訳), 半田 美穂 (翻訳)
https://www.akashi.co.jp/book/b93579....

 

 

 

 

 

 

| | Comments (0)

欧州議会 Think Tank 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面

こんにちは、丸山満彦です。

欧州議会のThink Tankが、「米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面」を載せていますね。。。

サイバーセキュリティやフェイクについても記載がありますね。。。

経済面では、米露の貿易額の話がありますがほぼ無い。欧露と違いますね。。。米中とも違いますね。。。

あと、ロシアと欧州の歴史を学ばないといけないですかね。。。

 

European Perliament - Think TankResearch - Advanced search

・2022.02.08 US-Russia relations: Geopolitical, security, economic and human dimensions

US-Russia relations: Geopolitical, security, economic and human dimensions 米国とロシアの関係:地政学的側面、安全保障的側面、経済的側面、人的側面
After a period of détente, tensions are rising between the two former Cold War enemies again. Fundamental differences were already apparent during the Yeltsin years and have increasingly strained relations since 2000, under Vladimir Putin. There are few issues that Washington and Moscow agree on, but none is more divisive than Ukraine. Russia is determined to prevent further NATO expansion into post-Soviet eastern Europe, which it still sees as a buffer zone vital to its security and as a sphere of influence. Since late 2021, there are signs that Russia is planning renewed aggression against Kyiv; the US has promised a robust response if that happens.  デタントの期間を経て、かつて冷戦時代に敵対していた2つの国の間で再び緊張が高まっています。エリツィン政権時代にはすでに根本的な相違が見られ、2000年のプーチン政権になってからは関係がますます緊迫しています。ワシントンとモスクワの間で意見が一致する問題はほとんどありませんが、ウクライナほど分裂的な問題はありません。ロシアは、ポストソビエトの東欧へのNATOのさらなる拡大を阻止したいと考えています。NATOは今でも自国の安全保障に不可欠な緩衝地帯であり、影響力のある地域と考えています。2021年後半以降、ロシアがキエフへの新たな攻撃を計画している兆候があり、米国はその場合には強固な対応を約束しています。 
Both sides are likely to avoid direct conflict at all costs. Russia is not the military superpower that the Soviet Union was, but it is still a formidable adversary. Most of the bilateral arms control agreements that helped to maintain the fragile military balance have now gone, but talks launched at the first Biden-Putin summit in June 2021 aim at maintaining strategic stability.  双方ともに、直接的な衝突は何としても避けたいと考えていると思います。ロシアはかつてのソ連のような軍事大国ではありませんが、それでも手ごわい敵です。脆弱な軍事バランスの維持に役立っていた二国間の軍備管理協定は、現在ではほとんどなくなってしまいましたが、2021年6月の第1回バイデン・プーチン首脳会談で開始された協議は、戦略的安定の維持を目的としています。 
Economics play a much lesser role in US-Russia relations than geopolitics. Trade and investment between the two countries are limited, and since 2014, they have been constrained by sanctions. Washington's economic superiority gives it a certain amount of leverage over Moscow; however, the Russian economy has proved more resilient to US restrictions than might have been expected.  米国とロシアの関係において、経済が果たす役割は地政学に比べてはるかに小さいです。両国間の貿易と投資は制限されており、2014年以降は制裁措置によって制約を受けています。経済的に優位に立つワシントンは、モスクワに対して一定の影響力を持っていますが、ロシア経済はアメリカの規制に対して予想以上に抵抗力があることが分かっています。
People-to-people contacts could help mitigate geopolitical tensions, but there is little interaction. Few Russians travel, study or work in the US, and the same applies vice-versa. Surveys show that diplomatic tensions are reflected in the generally negative views that Americans and Russians have of each other's countries.  人と人との交流は、地政学的な緊張を和らげるのに役立ちますが、交流はほとんどありません。アメリカに旅行したり、留学したり、仕事をしたりするロシア人はほとんどおらず、その逆も同様です。調査によると、アメリカ人とロシア人が互いの国に対して抱いている一般的な否定的見解に、外交的緊張が反映されているとのことです。 
This is an update of a Briefing published in October 2018. これは、2018年10月に発表されたブリーフィングのアップデート版です。 

 

・[PDF]

20220210-151916

目次的なもの...

 

SUMMARY サマリー
Geopolitical dimension 地政学的側面
Cold War tensions are back again 冷戦の緊張感が再び蘇る
Relations break down over Ukraine ウクライナ問題で関係が悪化
US response to the threat of Russia invading Ukraine ロシアによるウクライナ侵攻の脅威に対する米国の対応
Conflicting US and Russian goals in the former Soviet Union and beyond 旧ソ連とその周辺における米露の対立する目標
Ideological dimension イデオロギー的側面
Sovereignty versus protecting human rights 主権と人権の保護
Differences over human rights play a role in US and Russian relations with third countries 米国とロシアの第三国との関係には、人権問題の違いが影響している
Security dimension 安全保障的側面
A fraught military balance 危うい軍事バランス
Russia has military vulnerabilities, but also niche strengths ロシアには軍事的な脆弱性があるが、ニッチな強みもある
Arms control and the strategic balance 軍備管理と戦略的バランス
Missile defence – A perceived vulnerability for Russia ミサイル防衛-ロシアにとっての脆弱性とは
Hybrid threats ハイブリッドな脅威
Destabilising hybrid activities 不安定なハイブリッド活動
Cyber-threats go both ways サイバー脅威は両極端
Cooperation on cybersecurity and counter-terrorism サイバーセキュリティとテロ対策に関する協力
Kremlin trolls and electoral interference クレムリンの煽りと選挙妨害
Economic dimension 経済的側面
Human dimension 人間的側面
People-to-people contacts 人と人とのつながり
Leader-to-leader relations: An important factor in US-Russia relations リーダーとリーダーの関係:米露関係の重要な要素

 

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.02.10

米国 GAOブログ ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

こんにちは、丸山満彦です。

米国の政府検査院(GAO)がブログに「ハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化」という記事を載せていますね。。。

● U.S. Government Accountability Office - WatchBlog 

・2022.02.08 Hacks Bring New Urgency to Moves by Congress and Agencies to Reduce Future Cybersecurity Risks

 

Hacks Bring New Urgency to Moves by Congress and Agencies to Reduce Future Cybersecurity Risks ハッキング事件を機に、米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化
After two recent high-profile cyber incidents that affected federal IT systems—the SolarWinds and Microsoft  Exchange Server hacks—Congress and federal agencies are moving with renewed urgency to take actions that would improve the security of U.S. government IT systems from cyberattacks. But they have a lot more work to do to make these systems secure. 連邦政府のITシステムに影響を与えた最近の2つの有名なサイバー事件(SolarWindsとMicrosoft Exchange Serverのハッキング)を受けて、議会と連邦政府機関は、サイバー攻撃から米国政府のITシステムのセキュリティを向上させるための対策を講じることを新たに急いでいます。しかし、これらのシステムを安全なものにするためには、まだまだやるべきことがたくさんあります。
In today’s WatchBlog post, we look at our latest work on how Congress and federal agencies are addressing risks within the federal IT systems. 本日のウォッチブログでは、連邦政府のITシステムにおけるリスクに対して、議会や連邦機関がどのように対処しているかについて、最新の情報をご紹介します。
What is FISMA and how is it addressing cybersecurity risks? FISMAとは何か、そしてそれはどのようにサイバーセキュリティリスクに対処しているのか?
The Federal Information Security Modernization Act of 2014 (FISMA) requires agencies to develop, document, and implement agency-wide information security programs. Under FISMA, inspectors general (IGs) must report to the Office of Management and Budget annually on the effectiveness of the information security policies, procedures, and practices around cybersecurity of their parent agency. 2014年の連邦情報セキュリティ近代化法(FISMA)は、各省庁に対し、省庁全体の情報セキュリティプログラムを開発し、文書化し、実施することを求めています。FISMAでは、監察官(IG)は、親機関のサイバーセキュリティに関する情報セキュリティポリシー、手順、慣行の有効性について、毎年行政管理予算局に報告しなければなりません。
There are currently several efforts underway in Congress to update FISMA, including legislation introduced in Senate and House. 現在、米国議会では、上院と下院で提出された法案を含め、FISMAを更新するためのいくつかの取り組みが行われています。
On January 11, we testified before Congress on GAO’s ongoing work on FISMA. We noted that, in FY 2020, IGs determined that only seven of 23 civilian agencies reviewed had effective agency-wide information security programs. In our testimony, we described our interviews of officials from 24 agencies, conducted for the ongoing FISMA work.  All of them told us that FISMA had enabled them to improve the effectiveness of their information security programs. 1月11日、私たちは議会で、FISMAに関するGAOの進行中の作業について証言しました。我々は、2020年度において、IGは、レビューした23の民間機関のうち7つの機関のみが効果的な機関全体の情報セキュリティプログラムを持っていると判断したことを指摘しました。今回の証言では、現在進行中のFISMA作業のために実施した、24省庁の担当者へのインタビューについて説明しました。その結果、すべての関係者が、FISMAによって情報セキュリティプログラムの有効性を向上させることができたと語りました。
But, officials also told us there were, in some cases, impediments to implementing FISMA, such as a lack of resources, and suggested ways to improve the FISMA reporting process. The suggestions included updating FISMA metrics to increase their effectiveness, improving the IG evaluation and rating process, and increasing the use of automation in report data collection. しかし、当局者は、場合によっては、リソースの不足など、FISMAを実施する上での障害があるとも語り、FISMAの報告プロセスを改善する方法を提案しました。提案には、FISMAの評価基準を更新してその有効性を高めること、IGの評価・格付けプロセスを改善すること、報告データ収集における自動化の利用を増やすことなどが含まれていました。
Federal agencies’ responses include sustained coordination and communication 連邦政府機関の対応には、持続的な調整とコミュニケーションが含まれる
Last month, we reported on the federal response to the SolarWinds and Microsoft Exchange Server cyberattacks. Part of this response included the formation of two temporary Cyber Unified Coordination Group (UCGs). One of the temporary UCGs worked on responding to the SolarWinds attack, and the other on the Microsoft Exchange breach. 先月、私たちは、SolarWindsとMicrosoft Exchange Serverのサイバー攻撃に対する連邦政府の対応について報告しました。この対応の一環として、2つの臨時サイバー統一調整グループ(UCG)が設置されました。臨時UCGの1つはSolarWindsの攻撃への対応に、もう1つはMicrosoft Exchangeの侵害への対応に取り組みました。
The two UCGs issued directives and guidance to federal agencies, including advisories, alerts, and tools, to aid agencies in conducting their own investigations and securing their networks. In addition, the Cybersecurity and Infrastructure Security Agency (CISA) issued emergency directives to inform federal agencies of the vulnerabilities and describe what actions to take in response to the incidents. 2つのUCGは、連邦政府機関が独自に調査を行い、ネットワークを保護するのを支援するために、勧告、アラート、ツールなどの指示やガイダンスを連邦政府機関に発行しました。また、サイバーセキュリティ・重要インフラセキュリティ庁(CISA)は、連邦政府機関に脆弱性を通知し、インシデントに対応してどのような行動を取るべきかを説明する緊急指令を発行しました。
The UCGs were dissolved in April 2021, but CISA, and certain agencies affected by the incidents, are continuing to work together to respond to the SolarWinds incident. Agencies have completed steps to respond to the Microsoft Exchange incident. UCGは2021年4月に解散しましたが、CISAと、インシデントの影響を受けた一部の機関は、SolarWindsのインシデントに対応するために引き続き協力しています。各省庁は、Microsoft Exchangeのインシデントに対応するための手順を完了しました。
In addition, federal agencies have reported to CISA about the actions they took to mitigate the threats introduced by the SolarWinds and Microsoft Exchange Server incidents, as well as information on network activity and each incident’s impact. また、連邦政府機関は、SolarWindsとMicrosoft Exchange Serverのインシデントによってもたらされた脅威を軽減するために行った行動や、ネットワーク活動と各インシデントの影響に関する情報をCISAに報告しています。
Agencies identified multiple lessons they learned from these incidents. For instance: 各省庁は、これらのインシデントから学んだ複数の教訓を確認しました。例えば、以下のようなものです。
coordinating with the private sector led to greater efficiencies in agency incident response efforts; 民間企業との連携により、インシデント対応の効率化を図ることができた。
providing a centralized forum for interagency and private sector discussions led to improved coordination among agencies and with the private sector; 省庁間および民間企業との話し合いの場を設けることで、省庁間および民間企業との連携が強化された。
sharing of information among agencies was often slow, difficult, and time consuming and; 省庁間での情報共有には時間がかかり、困難で時間のかかるものでした。
collecting evidence was limited due to varying levels of data preservation at agencies. 各省庁のデータ保存のレベルが異なるため、証拠の収集には限界があった。
Want to learn more about federal efforts to detect and prevent cyberattacks? We’ve designated cybersecurity as a High Risk area and have made thousands of recommendations for addressing it. Find out more by visiting our key issue page on cybersecurity. サイバー攻撃を検知・防止するための連邦政府の取り組みについて、さらに詳しく知りたい方は、こちらをご覧ください。連邦政府は、サイバーセキュリティを高リスク分野に指定し、それに対処するための数多くの提言を行っています。詳細については、サイバーセキュリティに関する重要課題のページをご覧ください。

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ:国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇?

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル(11兆円)以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ:エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ:連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。(CISAも同意済み)

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 (サイバーセキュリティはリスクが高まっているという評価のようです...)

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.11 US-GAOの報告書 サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.05.17 GAO 重要インフラ保護:国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

 

少し遡って...

・2016.09.20 US GAO "Federal Chief Information Security Officers: Opportunities Exist to Improve Roles and Address Challenges to Authority"

 

さらに遡って...

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.05.09 GAO Federal Information System Controls Audit Manual (FISCAM) 表

・2009.05.08 GAO GAO Federal Information System Controls Audit Manual (FISCAM)

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2006.11.30 米国会計検査院 省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2005.07.21 米国会計検査院 国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院 国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院 米国政府機関はネット上の脅威に対し無防備と警告

・2005.05.31 米国会計検査院 国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

 

 

その他、GAOを理解する上で参考となる情報

・2021.04.03 U.S. Office of Inspectors General(連邦監察官室)

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ!という報告書

・2011.02.20 会計検査院の権限

・2006.07.30 内部統制の構成要素比較

・2006.06.23 パブリックセクターの内部統制

・2005.03.29 会計検査院のウェブページ

| | Comments (0)

世界経済フォーラム (WEF) 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由について記事をのせていますね。。。

欧州と日本では、地理的な状況、政治状況、法制度、電力、ガス、水等の供給体制等が異なるので、このまま日本に当てはめて考えるのは違いますよね。。。なので、違いを理解した上で参考になる部分について検討をするのがよいのだろうと思います。

Worldeconomicforum_logo

 

World Economic Forum

・2022.02.04 Why the energy sector's latest cyberattack in Europe matters

 

Why the energy sector's latest cyberattack in Europe matters 欧州におけるエネルギー分野の最新サイバー攻撃が問題となる理由
・A cyberattack on Amsterdam-Rotterdam-Antwerp (ARA) may have reverberating consequences on business operation and the economy across Europe. ・アムステルダム-ロッテルダム-アントワープ(ARA)へのサイバー攻撃は、ヨーロッパ全体のビジネス運営や経済に影響を及ぼす可能性があります。
・Ransomware attacks have risen 150% in the last year and are increasingly successful with conventional defenses often inadequate. ・ランサムウェアによる攻撃は、昨年1年間で150%増加し、従来の防御方法では不十分な場合が多く、ますます巧妙化しています。
・Increased information sharing, partnerships and collaboration is needed to build out cyber hygiene measures in the face of these increasing destructive cyberattacks. ・このような破壊的なサイバー攻撃の増加に直面して、サイバー衛生対策を構築するためには、情報共有、パートナーシップ、コラボレーションの強化が必要です。
A cyberattack on the major European oil refining hubs of Amsterdam-Rotterdam-Antwerp (ARA) has considerably disrupted the loading and unloading of refined product cargoes amid a continental energy crisis. 欧州の主要な石油精製拠点であるアムステルダム、ロッテルダム、アントワープ(ARA)がサイバー攻撃を受けたことで、大陸のエネルギー危機の中、石油精製品の貨物の積み下ろしに大きな支障が出ています。
The disruption could see further cascading effects, with potentially larger societal and economic impacts across all European countries. This follows a similar attack on two German firms that led to minor disruption on petrol supplies in northern Germany. この混乱は、さらに連鎖的な影響を及ぼし、社会的、経済的な影響が欧州各国に及ぶ可能性があります。これは、ドイツ企業2社が同様の攻撃を受け、ドイツ北部のガソリン供給に小規模な混乱が生じたことを受けたものです。
Have you read? もう読みましたか?
Fifth-generation cyberattacks are here. How can the IT industry adapt? 第5世代のサイバー攻撃が登場。IT業界はどう対応すればいい?
Here's how the aviation sector is stopping cyberattacks from getting off the ground 航空業界はどのようにしてサイバー攻撃を阻止しているのでしょうか?
The US pipeline attack shows the energy sector must act now on cybersecurity. Here are 6 ways how 米国のパイプライン攻撃は、エネルギー部門がサイバーセキュリティに関して今すぐ行動しなければならないことを示しています。そのための6つの方法をご紹介します。
Why does it matter? なぜそれが問題なのか?
Early reports indicate that a type of ransomware was use in the attacks in Germany. Ransomware attacks grew 150% in the past year and can cause considerable damage even in well-supplied and stable markets. The recent attack rings similar to the US Colonial Pipeline incident last year, when an American pipeline suffered a ransomware attack with considerable disruptions to supply in parts of the US East Coast. 初期の報告によると、ドイツでの攻撃にはランサムウェアの一種が使用されています。ランサムウェアによる攻撃は、過去1年間で150%増加しており、供給が十分で安定した市場であっても大きな被害をもたらす可能性があります。今回の攻撃は、昨年、米国のパイプラインがランサムウェア攻撃を受け、米国東海岸の一部で供給に大きな支障をきたした米国コロニアルパイプライン事件と類似しています。
The cyber attack on ARA initially appears to compound an already difficult situation for European energy markets. Oil and gas inventories are low and prices are at levels not seen for years. As a result, it will likely increase the level of stress in the system more so than its actual physical impact. Further, these attacks and the disruptions occur in a time of geopolitical crisis, increasing the chances of wider inadvertent political escalation. ARAへのサイバー攻撃は、当初、欧州のエネルギー市場にとってすでに困難な状況をさらに悪化させるものと思われます。石油・ガスの在庫は少なく、価格はここ数年来の水準にあります。その結果、実際の物理的な影響以上に、システムのストレスレベルを高めることになりそうです。さらに、このような攻撃や混乱は地政学的な危機の中で発生しており、より広い範囲で不用意な政治的エスカレーションが発生する可能性が高くなっています。
The kinetic impact to society-at-large of having an infrastructure breakdown due to a cyberattack is also highlighted by the incident. These attacks were listed as one of the top three concerns of cyber leaders in the 2022 Global Cyber Outlook report. また、サイバー攻撃によってインフラが破壊された場合、社会全体に及ぼす運動的な影響も強調されています。これらの攻撃は、「2022 Global Cyber Outlook」レポートにおいて、サイバーリーダーの懸念事項トップ3の1つとして挙げられています。
Precedential attacks 先例となる攻撃
The current attack is not the first vulnerability exposed by cyberattacks on critical energy infrastructure. For example, the US Colonial Pipeline ransomware attack in May 2021 led to the shutdown of 5,500 miles of pipeline carrying around 45% of fuel supplies on the East Coast. 今回の攻撃は、重要なエネルギーインフラへのサイバー攻撃によって初めて露呈した脆弱性ではありません。例えば、2021年5月に発生したUS Colonial Pipelineのランサムウェア攻撃では、東海岸の燃料供給の約45%を担う5、500マイルのパイプラインが停止しました。
Other recent cyberattacks, like those on a Florida water plant in February 2021 and a Solarwinds software provider in 2020, further emphasize that the success of these attacks depend on the shortcomings of defensive measures. There's also a clear need to secure legacy systems, inadequately protected due to rapid digitalization and their connection to the internet, despite such connectivity not being envisaged in their original design. 他にも、2021年2月にフロリダ州の水道施設、2020年にSolarwinds社のソフトウェアプロバイダが攻撃を受けたように、最近のサイバー攻撃では、これらの攻撃の成功が防御策の欠点に依存していることがさらに強調されています。また、急速なデジタル化や、当初の設計では想定されていなかったインターネットへの接続のために、十分に保護されていないレガシーシステムを保護する必要性も明らかになっています。
Profound impacts 深刻な影響
These attacks can potentially disrupt critical infrastructures that deliver foundational support to current economies and functional societies. They could also drive government action on the importance of cybersecurity. For instance, after the US Colonial Pipeline affair, US President Joe Biden signed an executive order to strengthen cybersecurity across the federal government and critical infrastructures. The Cybersecurity and Infrastructure Security Agency recently circulated advance warnings on threats to critical infrastructure in the US, with concrete recommendations and suggestions. これらの攻撃は、現在の経済や機能的な社会を基礎的に支えている重要なインフラを破壊する可能性があります。また、サイバーセキュリティの重要性について、政府が行動を起こすきっかけにもなります。例えば、米国コロニアル・パイプライン事件の後、ジョー・バイデン米大統領は、連邦政府と重要インフラ全体のサイバーセキュリティを強化するための大統領令に署名しました。また、サイバーセキュリティ・インフラセキュリティ庁は最近、米国の重要インフラに対する脅威について、具体的な提言や提案を盛り込んだ事前警告を配布しました。
As cyber threats become more sophisticated, the current digital transformation across the industry exposes critical infrastructure and the entire oil and gas supply chain to cyber risks with potential future safety and environmental impacts and disruptions to business operations. サイバー脅威がより巧妙になるにつれ、業界全体のデジタルトランスフォーメーションが進んでいる現在、重要インフラや石油・ガスのサプライチェーン全体がサイバーリスクにさらされ、将来的に安全面や環境面での影響や事業運営の混乱が発生する可能性があります。
Major trends 主な傾向
Protection against these cyber threats is increasingly challenging in the face of growing attack surfaces, the proliferation of offensive cyber capabilities, and shortfalls in international cooperation. このようなサイバー脅威からの保護は、攻撃対象の拡大、攻撃的なサイバー能力の拡散、国際協力の不足に直面して、ますます困難になっています。
There are, therefore, three significant trends facing the industry: そのため、業界が直面している3つの重要なトレンドがあります。
– The expansion and convergence of the digital threat landscape between IT and OT (operational technology), with greater connectivity of the critical infrastructure and rapid adoption of emerging technologies to speed up the business model transformation. ・ ITとOT(運用技術)の間のデジタル脅威の拡大と収束。重要インフラの接続性の向上と、ビジネスモデルの変革を加速させるための新興技術の急速な導入。
– The rise and complication of supply chain attacks in securing global oil and gas operating environments with the highly interconnected environment of partners, joint ventures and suppliers where cyber hygiene is siloed and responsibility shared across diverse priorities. ・グローバルな石油・ガス操業環境を確保するためのサプライチェーン攻撃の増加と複雑化。パートナー、ジョイントベンチャー、サプライヤーが高度に相互接続された環境では、サイバーハイジーンがサイロ化し、多様な優先順位で責任を共有しています。
– The escalation of cyber-attacks in the industry threatens business operations and public safety, as stressed by 80% of cyber leaders on the Cybersecurity Outlook report. ・業界におけるサイバー攻撃の拡大は、事業運営や公共の安全を脅かすものであり、サイバーセキュリティの展望レポートでサイバーリーダーの80%が強調しています。
What can we do? 私たちには何ができますか?
The industry should act now to mitigate future disruptions caused by cyber-attacks similar to the ARA incident. 業界は、ARAの事件と同様のサイバー攻撃による将来の混乱を軽減するために、今すぐ行動すべきです。
To help in this effort, the World Economic Forum’s Cyber Resilience in the Oil and Gas Community conveys 60+ cyber leaders from the industry to help strengthen the cyber resilience of the oil and gas sector. The community has developed and shaped the following guiding principles, providing the first step to help senior leaders take action on cyber resilience: この取り組みを支援するために、世界経済フォーラムの「石油・ガスコミュニティにおけるサイバーレジリエンス」では、石油・ガス分野のサイバーレジリエンスを強化するために、業界の60人以上のサイバーリーダーを伝えています。このコミュニティは、以下の指針を策定し、形にしており、シニアリーダーがサイバーレジリエンスに関する行動を起こすための第一歩となっています。
– Establish a comprehensive cybersecurity governance model. ・包括的なサイバーセキュリティのガバナンスモデルを確立する。
– Promote security and resilience-by design culture. ・セキュリティとレジリエンス・バイ・デザインの文化を推進する。
– Increase the visibility of third parties' risk posture and consider broader ecosystem impact. ・第三者のリスク状況の可視性を高め、より広範なエコシステムへの影響を考慮する。
– Implement holistic risk management and defence mechanisms with effective preventive, monitoring, response and recovery capabilities. ・効果的な予防、監視、対応、回復能力を備えた、全体的なリスク管理と防御の仕組みを導入する。
– Prepare and test a resilience plan based on a list of predefined scenarios to mitigate the impact of an attack. ・攻撃の影響を軽減するために、事前に定義されたシナリオのリストに基づいて、レジリエンスプランを準備し、テストする。
– Strengthen international public-private collaboration between all stakeholders in the industry. ・業界のすべての関係者間の国際的な官民連携を強化する。
To find out more, you can read about the Centre for Cybersecurity'sproject on Cyber Resilience in Oil and Gasand about thePartnership against Cyber-Crime. For further insights, check out the recent Global Cybersecurity Outlookreport. さらに詳しい情報は、Centre for Cybersecurityの「Cyber Resilience in Oil and Gas」プロジェクトや、「Partnership against Cyber-Crime」についてもご覧ください。さらに詳しい情報は、最新のGlobal Cybersecurity Outlookレポートをご覧ください。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.14 世界経済フォーラム (WEF) The Global Risks Report 2022 17th Edition - 2022年のグローバルリスクのトップは、気候変動への適応の失敗と社会的危機

・2021.10.28 世界経済フォーラム (WEF) サイバーセキュリティには多様で包括的 (D&I) な人材がなぜ必要なのか?

・2021.09.02 世界経済フォーラム (WEF) 石油・ガス業界におけるサプライチェーン・セキュリティの推進:業界分析

・2021.07.01 世界経済フォーラム (WEF) デジタルセーフティの推進:グローバルアクションを調整するためのフレームワーク

・2021.05.18 世界経済フォーラム (WEF) 石油・ガス産業におけるサイバーレジリエンス:取締役と執行役のためのプレイブック

・2021.04.08 世界経済フォーラム サイバーリスクの取締役会ガバナンスための原則 at 2021.03.23

・2021.01.21 世界経済フォーラム The Global Risks Report 2021 16th Edition - 世界は長期的リスクへの対応に目覚めるべきである

・2020.10.16 World Economic Forumからサイバーセキュリティの報告書(Cyber Information Sharing: Building Collective Security)が出ていましたね。。。

| | Comments (0)

公正取引委員会 官公庁における情報システム調達に関する実態調査について

こんにちは、丸山満彦です。

構成取引委員会が、「官公庁における情報システム調達に関する実態調査について」という報告書を公開していますね。。。

公正取引員会

・2022.02.08 官公庁における情報システム調達に関する実態調査について

 


1 調査の趣旨

 現在,新型コロナウイルス感染症の感染拡大の影響等により,行政のデジタル化の推進が喫緊の課題となっているところ,政府は,国民の利便性の向上等に資するデジタル社会の実現に向け,デジタル庁を発足させるなどその実現に向けた改革に取り組んでいる。
 公正取引委員会は,こうした政府全体の取組を踏まえつつ,競争政策の観点から,今後の情報システム調達について,ベンダーロックイン(注)が回避されることなどにより,多様なシステムベンダーが参入しやすい環境を整備することが重要であるとの認識の下,国の機関及び地方公共団体における情報システム調達の実態を把握するための調査を実施した。

(注) 「ベンダーロックイン」とは,ソフトウェアの機能改修やバージョンアップ,ハードウェアのメンテナンス等,情報システムを使い続けるために必要な作業を,それを導入した事業者以外が実施することができないために,特定のシステムベンダーを利用し続けなくてはならない状態のことをいう。


ベンダーロックインの防止について、本気で考えるのであれば、官公庁の組織制度と人事制度を見直さないといけないかもですね。。。

政府については、デジタル庁ができたので、組織制度については改善できるかもしれません。まぁ、もう少し様子をみないといけないと思いますが、、、人事制度についてはこれからでしょうかね。。。

自治体はどうなんでしょうかね。。。

まぁ、民間もいろいろとあるでしょうね。。。突然CIOが退任したり、責任者がかわると開発ベンダーに訴訟をしたり、、、

で、この報告書の最後のほうに


有識者からは,病院の情報システムについて,電子カルテのデータの標準化やその改修に際しての問題点など,病院とベンダーに係る取引についても指摘があった。


って、さらって書いていますね。。。

 

・[PDF] 報告書本体


| | Comments (0)

2022.02.09

個人情報保護委員会 マンガで学ぶ個人情報保護法

こんにちは、丸山満彦です。

個人情報保護委員会がマンガで学ぶ個人情報保護法を公開していますね。。。

「個人情報保護法の基本や令和2年改正法のポイントを、架空の会社「コジョホールディングス」を舞台にしたマンガでご紹介します。」とのことです!!!

マンガ12話とクイズ12問です(^^)

 

個人情報保護委員会

・2022.02.08 マンガで学ぶ個人情報保護法ページを公表しました。

 

マンガ クイズ
基本編  
第1話 個人情報ってなに? クイズ1 個人識別符号にあたるのはどれ?
第2話 個人情報取扱事業者とは クイズ2 個人データの取扱い手法で正しいのはどれ?
第3話 個人情報保護法は誰が決めている? クイズ3 個人情報保護委員会が24時間対応しているサービスはどれ?
第4話 事業者が守るべき基本ルール 1 クイズ4 個人情報を管理するときに注意する事で間違いはどれ?
第5話 事業者が守るべき基本ルール 2 クイズ5 個人データを外国にある第三者に提供できるのはどれ?
第6話 改正法が施行されます クイズ6 個人情報保護法の改正に合わせて特にしなくていいことは?
改正法編  
第7話 利用停止・消去等の請求権 クイズ7 利用停止・消去等の請求が可能なのはどれ?
第8話 保有個人データの開示請求 クイズ8 電磁的記録の提供とは?
第9話 漏えい等報告・本人通知の義務化 クイズ9 漏えい等報告における「速報」は何日以内?
第10話 個人関連情報とは? クイズ10 個人関連情報に該当するのはどれ?
第11話 仮名加工情報とは? クイズ11 仮名加工情報の加工基準として正しいものはどれ?
第12話 外国にある第三者への提供(越境移転) クイズ12 個人データの越境移転における「本人への情報提供」とは?

 

Ppc_logo_20210325120001_20210520035201


 

● まるちゃんの情報セキュリティきまぐれ日記

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 意見募集 各分野別個人情報保護ガイドラインの改正案

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.11.02 個人情報保護委員会 令和3年改正個人情報保護法について、政令・規則・民間部門ガイドライン案の意見募集の結果を公示+公的部門ガイドライン案の意見募集を開始

・2021.08.06 個人情報保護委員会 意見募集 令和3年改正個人情報保護法 政令・規則・民間部門ガイドライン案について他

・2021.08.04 個人情報保護委員会 「個人情報の保護に関する法律についてのガイドライン」の更新他

・2021.05.20 個人情報保護委員会の今後の取り組みと個人情報保護法ガイドラインの改正(パブコメ)


| | Comments (0)

ドイツ BSIがIT基本保護大要 (IT-Grundschutz-Kompendium) 2022年版を発行

こんにちは、丸山満彦です。

ドイツの連邦ITセキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) がIT基本保護大要2022を発行していますね。。。ちなみに2022年版は900ページです(^^)

昔は、英語名ではIT Baseline Protection Manualといわれていたもので、2017年からはIT-Grundschutz-Kompendiumとなっています。。。毎年発行されています。。。

2021年版からの主な変更点は、以下の項目の追加となるようです。。。

  • OPS.1.1.7 システム管理
  • OPS.1.2.6 NTPによる時刻の同期
  • APP.4.4 クバネティス
  • SYS.1.6 コンテナ化
  • IND.3.2 産業環境でのリモートメンテナンス
  • INF.13 テクニカル・ビルディング・マネジメント
  • INF.14 ビルディングオートメーション

また、今年からDOCXやXML形式でも提供されるようです。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI

・2022.02.08 IT-Grundschutz-Kompendium Edition 2022 erschienen

IT-Grundschutz-Kompendium – Werkzeug für Informationssicherheit Edition 2022

IT-Grundschutz-Bausteine Edition 2022

 

・[PDF]  [Word in ZIP]  [XML]

20220208-234639

目次...

 

Vorwort 序文
Dankesworte 謝辞
Inhaltsverzeichnis 目次
Neues im IT-Grundschutz-Kompendium IT-Grundschutz Compendiumの最新情報
IT-Grundschutz – Basis für Informationssicherheit IT-Grundschutz ・情報セキュリティの基礎
Schichtenmodell und Modellierung レイヤーモデルとモデリング
Rollen 役割
Glossar 用語集
Elementare Gefährdungen 基本的な危険
• G 0.1 Feuer ・G 0.1 火
• G 0.2 Ungünstige klimatische Bedingungen ・G 0.2 不利な気候条件
• G 0.3 Wasser ・G 0.3 水
• G 0.4 Verschmutzung, Staub, Korrosion ・G 0.4 汚染、粉塵、腐食
• G 0.5 Naturkatastrophen ・G 0.5 自然災害
• G 0.6 Katastrophen im Umfeld ・G 0.6 周辺地域で発生した災害
• G 0.7 Großereignisse im Umfeld ・G 0.7 周辺地域での主な出来事
• G 0.8 Ausfall oder Störung der Stromversorgung ・G 0.8 電力供給の停止または中断
• G 0.9 Ausfall oder Störung von Kommunikationsnetzen ・G 0.9 通信ネットワークの障害・混乱
• G 0.10 Ausfall oder Störung von Versorgungsnetzen ・G 0.10 供給ネットワークの故障または破壊
• G 0.11 Ausfall oder Störung von Dienstleistern ・G 0.11 サービス提供者の障害または混乱
• G 0.12 Elektromagnetische Störstrahlung ・G 0.12 電磁妨害
• G 0.13 Abfangen kompromittierender Strahlung ・G 0.13 危険な放射線の傍受
• G 0.14 Ausspähen von Informationen (Spionage) ・G 0.14 情報のスパイ活動(スパイオナージ)
• G 0.15 Abhören ・G 0.15 盗聴
• G 0.16 Diebstahl von Geräten, Datenträgern oder Dokumenten ・G 0.16 機器、データキャリアまたは文書の盗難
• G 0.17 Verlust von Geräten, Datenträgern oder Dokumenten ・G 0.17 機器、データキャリアまたは文書の損失
• G 0.18 Fehlplanung oder fehlende Anpassung ・G 0.18 誤った計画または適応の欠如
• G 0.19 Offenlegung schützenswerter Informationen ・G 0.19 機密情報の開示
• G 0.20 Informationen oder Produkte aus unzuverlässiger Quelle ・G 0.20 信頼できない情報源からの情報または製品
• G 0.21 Manipulation von Hard- oder Software ・G 0.21 ハードウェアまたはソフトウェアの操作
• G 0.22 Manipulation von Informationen ・G 0.22 情報の操作
• G 0.23 Unbefugtes Eindringen in IT-Systeme ・G 0.23 ITシステムへの無許可の侵入
• G 0.24 Zerstörung von Geräten oder Datenträgern ・G 0.24 機器またはデータキャリアの破壊
• G 0.25 Ausfall von Geräten oder Systemen ・G 0.25 機器・システムの故障
• G 0.26 Fehlfunktion von Geräten oder Systemen ・G 0.26 機器またはシステムの誤動作
• G 0.27 Ressourcenmangel ・G 0.27 リソースの不足
• G 0.28 Software-Schwachstellen oder -Fehler ・G 0.28 ソフトウェアの脆弱性またはエラー
• G 0.29 Verstoß gegen Gesetze oder Regelungen ・G 0.29 法律または規則の違反
• G 0.30 Unberechtigte Nutzung oder Administration von Geräten und Systemen ・G 0.30 デバイスおよびシステムの不正使用または管理
• G 0.31 Fehlerhafte Nutzung oder Administration von Geräten und Systemen ・G 0.31 デバイスおよびシステムの不適切な使用または管理
• G 0.32 Missbrauch von Berechtigungen ・G 0.32 許可証の不正使用
• G 0.33 Personalausfall ・G 0.33 スタッフの欠勤
• G 0.34 Anschlag ・G 0.34 アサルト
• G 0.35 Nötigung, Erpressung oder Korruption ・G 0.35 強制、強要、汚職
• G 0.36 Identitätsdiebstahl ・G 0.36 個人情報の盗難
• G 0.37 Abstreiten von Handlungen ・G 0.37 アクションの拒否
• G 0.38 Missbrauch personenbezogener Daten ・G 0.38 個人情報の不正使用
• G 0.39 Schadprogramme ・G 0.39 悪意のあるプログラム
• G 0.40 Verhinderung von Diensten (Denial of Service) ・G 0.40 サービスの妨害(DoS(サービス不能)対策
• G 0.41 Sabotage ・G 0.41 サボタージュ
• G 0.42 Social Engineering ・G 0.42 ソーシャルエンジニアリング
• G 0.43 Einspielen von Nachrichten ・G 0.43 メッセージの取り込み
• G 0.44 Unbefugtes Eindringen in Räumlichkeiten ・G 0.44 施設への無断侵入
• G 0.45 Datenverlust ・G 0.45 データの損失
• G 0.46 Integritätsverlust schützenswerter Informationen ・G 0.46 保護するに値する情報の完全性の喪失
• G 0.47 Schädliche Seiteneffekte IT-gestützter Angriffe ・G 0.47 ITを駆使した攻撃の有害な副作用
Prozess-Bausteine プロセスビルディングブロック
ISMS: Sicherheitsmanagement ISMS:セキュリティマネジメント
ISMS.1 Sicherheitsmanagement ISMS.1 セキュリティ管理
ORP: Organisation und Personal ORP:組織と人員
ORP.1 Organisation ORP.1 オーガニゼーション
ORP.2 Personal ORP.2 人事
ORP.3 Sensibilisierung und Schulung zur Informationssicherheit ORP.3 情報セキュリティに関する意識とトレーニング
ORP.4 Identitäts- und Berechtigungsmanagement ORP.4 アイデンティティと認証の管理
ORP.5 Compliance Management (Anforderungsmanagement) ORP.5 コンプライアンスマネジメント(要求管理)
CON: Konzepte und Vorgehensweisen CON:コンセプトと手順
CON.1 Kryptokonzept CON.1 Cryptoのコンセプト
CON.2 Datenschutz CON.2 データ保護
CON.3 Datensicherungskonzept CON.3 データ保護の概念
CON.6 Löschen und Vernichten CON.6 削除と破壊
CON.7 Informationssicherheit auf Auslandsreisen CON.7 海外旅行における情報セキュリティ
CON.8 Software-Entwicklung CON.8 ソフトウェア開発
CON.9 Informationsaustausch CON.9 情報共有
• CON.10 Entwicklung von Webanwendungen CON.10 Webアプリケーション開発
OPS: Betrieb OPS:オペレーション
OPS.1 Eigener Betrieb OPS.1 自社運用
OPS.1.1 Kern-IT-Betrieb ・OPS.1.1 コアITオペレーション
• OPS.1.1.2 Ordnungsgemäße IT-Administration ・・OPS.1.1.2 適切なIT管理
• OPS.1.1.3 Patch- und Änderungsmanagement ・・OPS.1.1.3 パッチおよび変更管理
• OPS.1.1.4 Schutz vor Schadprogrammen ・・OPS.1.1.4 マルウェアからの保護
• OPS.1.1.5 Protokollierung ・・OPS.1.1.5 ロギング
• OPS.1.1.6 Software-Tests und -Freigaben ・・OPS.1.1.6 ソフトウェアのテストと承認
• OPS.1.1.7 Systemmanagement ・・OPS.1.1.7 システム管理
OPS.1.2 Weiterführende Aufgaben ・OPS.1.2 高度なタスク
• OPS.1.2.2 Archivierung ・・OPS.1.2.2 アーカイビング
• OPS.1.2.4 Telearbeit ・・OPS.1.2.4 テレワーク
• OPS.1.2.5 Fernwartung ・・OPS.1.2.5 リモートメンテナンス
• OPS.1.2.6 NTP-Zeitsynchronisation ・・OPS.1.2.6 NTPによる時刻の同期
OPS.2 Betrieb von Dritten OPS.2 第三者による操作
• OPS.2.1 Outsourcing für Kunden ・OPS.2.1 お客様のためのアウトソーシング
• OPS.2.2 Cloud-Nutzung ・OPS.2.2 クラウドの利用
OPS.3 Betrieb für Dritte OPS.3 サードパーティ向け操作
• OPS.3.1 Outsourcing für Dienstleister ・OPS.3.1 サービスプロバイダーのためのアウトソーシング
DER: Detektion und Reaktion DER: 検知と対応
DER.1 Detektion von sicherheitsrelevanten Ereignissen DER.1 セキュリティ・インシデントの検知
DER.2 Security Incident Management DER.2 セキュリティ・インシデント管理
• DER.2.1 Behandlung von Sicherheitsvorfällen ・DER.2.1 セキュリティ・インシデントの処理
• DER.2.2 Vorsorge für die IT-Forensik ・DER.2.2 ITフォレンジックへの対応
• DER.2.3 Bereinigung weitreichender Sicherheitsvorfälle ・DER.2.3 広範囲にわたるセキュリティインシデントの後始末
DER.3 Sicherheitsprüfungen DER.3 セキュリティ監査
• DER.3.1 Audits und Revisionen ・DER.3.1 オーディットとレビュー
• DER.3.2 Revisionen auf Basis des Leitfadens IS-Revision ・DER.3.2 IS監査ガイドに基づく監査の実施
DER.4 Notfallmanagement DER.4 危機管理
System-Bausteine システム構成
APP: Anwendungen APP:アプリケーション
APP.1 Client-Anwendungen APP.1 クライアント・アプリケーション
• APP.1.1 Office-Produkte ・APP.1.1 オフィス製品
• APP.1.2 Webbrowser ・APP.1.2 ウェブブラウザ
• APP.1.4 Mobile Anwendungen (Apps) ・APP.1.4 モバイルアプリケーション(アプリ)
APP.2 Verzeichnisdienst APP.2 ディレクトリサービス
• APP.2.1 Allgemeiner Verzeichnisdienst ・APP.2.1 一般的なディレクトリサービス
• APP.2.2 Active Directory ・APP.2.2 アクティブ・ディレクトリ
• APP.2.3 OpenLDAP ・APP.2.3 OpenLDAP
APP.3 Netzbasierte Dienste APP.3 ネットワークベースのサービス
• APP.3.1 Webanwendungen und Webservices ・APP.3.1 ウェブアプリケーションとウェブサービス
• APP.3.2 Webserver ・APP.3.2 ウェブサーバ
• APP.3.3 Fileserver ・APP.3.3 ファイルサーバー
• APP.3.4 Samba ・APP.3.4 Samba
• APP.3.6 DNS-Server ・APP.3.6 DNSサーバー
APP.4 Business-Anwendungen APP.4 ビジネスアプリケーション
• APP.4.2 SAP-ERP-System ・APP.4.2 SAP ERPシステム
• APP.4.3 Relationale Datenbanken ・APP.4.3 リレーショナル・データベース
• APP.4.4 Kubernetes ・APP.4.4 クバネティス
• APP.4.6 SAP ABAP-Programmierung ・APP.4.6 SAP ABAP プログラミング
APP.5 E-Mail/Groupware/Kommunikation APP.5 電子メール/グループウェア/コミュニケーション
• APP.5.2 Microsoft Exchange und Outlook ・APP.5.2 Microsoft ExchangeとOutlook
• APP.5.3 Allgemeiner E-Mail-Client und -Server ・APP.5.3 一般的な電子メールクライアントとサーバー
APP.6 Allgemeine Software APP.6 一般的なソフトウェア
APP.7 Entwicklung von Individualsoftware APP.7 個別ソフトウェアの開発
SYS: IT-Systeme SYS: ITシステム
SYS.1 Server SYS.1サーバー
• SYS.1.1 Allgemeiner Server ・SYS.1.1 汎用サーバー
• SYS.1.2 Windows Server ・SYS.1.2 Windows Server
◦ SYS.1.2.2 Windows Server 2012 ・・SYS.1.2.2 Windows Server 2012
• SYS.1.3 Server unter Linux und Unix ・SYS.1.3 LinuxおよびUnixサーバー
• SYS.1.5 Virtualisierung ・SYS.1.5 仮想化
• SYS.1.6 Containerisierung ・SYS.1.6 コンテナ化
• SYS.1.7 IBM Z ・SYS.1.7 IBM Z
• SYS.1.8 Speicherlösungen ・SYS.1.8 ストレージソリューション
SYS.2 Desktop-Systeme SYS.2 デスクトップシステム
• SYS.2.1 Allgemeiner Client ・SYS.2.1 一般顧客
• SYS.2.2 Windows-Clients ・SYS.2.2 Windowsクライアント
◦ SYS.2.2.2 Clients unter Windows 8.1 ・・SYS.2.2.2 Windows 8.1 クライアント
◦ SYS.2.2.3 Clients unter Windows 10 ・・SYS.2.2.3 Windows 10搭載のクライアント
• SYS.2.3 Clients unter Linux und Unix ・SYS.2.3 LinuxおよびUnix上のクライアント
• SYS.2.4 Clients unter macOS ・SYS.2.4 macOS上のクライアント
SYS.3 Mobile Devices SYS.3 モバイルデバイス
• SYS.3.1 Laptops ・SYS.3.1 ノートパソコン
• SYS.3.2 Tablet und Smartphone ・SYS.3.2 タブレットとスマートフォン
◦ SYS.3.2.1 Allgemeine Smartphones und Tablets ・・SYS.3.2.1 一般的なスマートフォンとタブレット
◦ SYS.3.2.2 Mobile Device Management (MDM) ・・SYS.3.2.2 モバイルデバイスマネジメント(MDM)
◦ SYS.3.2.3 iOS (for Enterprise) ・・SYS.3.2.3 iOS(エンタープライズ向け)
◦ SYS.3.2.4 Android ・・SYS.3.2.4 Android
• SYS.3.3 Mobiltelefon ・SYS.3.3 携帯電話
SYS.4 Sonstige Systeme SYS.4 その他のシステム
• SYS.4.1 Drucker, Kopierer und Multifunktionsgeräte ・SYS.4.1 プリンタ,複写機,複合機
• SYS.4.3 Eingebettete Systeme ・SYS.4.3 組込みシステム
• SYS.4.4 Allgemeines IoT-Gerät ・SYS.4.4 一般的なIoTデバイス
• SYS.4.5 Wechseldatenträger ・SYS.4.5 リムーバブル・ストレージ・デバイス
IND: Industrielle IT IND:産業用IT
IND.1 Prozessleit- und Automatisierungstechnik IND.1 プロセスコントロールとオートメーション技術
IND.2 ICS-Komponenten IND.2 ICSコンポーネント
• IND.2.1 Allgemeine ICS-Komponente ・IND.2.1 一般的なICSコンポーネント
• IND.2.2 Speicherprogrammierbare Steuerung (SPS) ・IND.2.2 プログラマブル・ロジック・コントローラ(PLC)
• IND.2.3 Sensoren und Aktoren ・IND.2.3 センサーとアクチュエーター
• IND.2.4 Maschine ・IND.2.4 マシン
• IND.2.7 Safety Instrumented Systems ・IND.2.7 安全計装システム
IND.3 Produktionsnetze IND.3 生産ネットワーク
• IND.3.2 Fernwartung im industriellen Umfeld ・IND.3.2 産業環境におけるリモートメンテナンス
NET: Netze und Kommunikation NET:ネットワークとコミュニケーション
NET.1 Netze NET.1 ネットワーク
• NET.1.1 Netzarchitektur und -design ・NET.1.1 ネットワークアーキテクチャとデザイン
• NET.1.2 Netzmanagement ・NET.1.2 ネットワーク管理
NET.2 Funknetze NET.2 ワイヤレスネットワーク
• NET.2.1 WLAN-Betrieb ・NET.2.1.WLAN操作
• NET.2.2 WLAN-Nutzung ・NET.2.2.WLANの使い方
NET.3 Netzkomponenten NET.3 ネットワークコンポーネント
• NET.3.1 Router und Switches ・NET.3.1 ルーターとスイッチ
• NET.3.2 Firewall ・NET.3.2 ファイアウォール
• NET.3.3 VPN ・NET.3.3 VPN
NET.4: Telekommunikation NET.4: 通信
• NET.4.1 TK-Anlagen ・NET.4.1 PBXシステム
• NET.4.2 VoIP ・NET.4.2 VoIP
• NET.4.3 Faxgeräte und Faxserver ・NET.4.3 ファクス機とファクスサーバー
INF: Infrastruktur INF:インフラ
INF.1 Allgemeines Gebäude INF.1 一般的な建物
INF.2 Rechenzentrum sowie Serverraum INF.2 コンピューターセンターとサーバールーム
INF.5 Raum sowie Schrank für technische Infrastruktur INF.5 技術インフラのための部屋とキャビネット
INF.6 Datenträgerarchiv INF.6 データメディアアーカイブ
INF.7 Büroarbeitsplatz INF.7 オフィスの仕事場
INF.8 Häuslicher Arbeitsplatz INF.8 ホームワークプレイス
INF.9 Mobiler Arbeitsplatz INF.9 モバイルワークプレイス
INF.10 Besprechungs-, Veranstaltungs- und Schulungsräume INF.10 会議,イベント,トレーニングルーム
INF.11 Allgemeines Fahrzeug INF.11 一般車両
INF.12 Verkabelung INF.12 ケーブル配線
INF.13 Technisches Gebäudemanagement INF.13 技術的なビル管理
INF.14 Gebäudeautomation INF.14 ビルディングオートメーション

 

2018年以降の過去の版はこちら

Archiv - IT-Grundschutz-Kompendium

 


 

リンクが切れているのでなんの参考にもなりませんが。。。(^^;;

まるちゃんの情報セキュリティ気まぐれ日記

・2005.08.24 ドイツのITベースライン保護

| | Comments (0)

2022.02.08

米国 下院 アルゴリズム説明責任法案 2022

こんにちは、丸山満彦です。

米国の下院にアルゴリズム責任法案が2022.02.03に持ち込まれましたね。。。一度2019年に持ち込まれたのですが、その際は成立に至らなかったようです。。。

機械学習が人間の価値観と同じ差別をしないという判断を自動的に持つとは思えないので、なんらかの学習をさせていく必要があり、また差別的な判断をしたと人間が判断した場合には、人間がそれを修正する必要があるとは思うのですが、そのような構造を社会に実装させるために法律が必要ということなのでしょうね。。。

欧州のAI規制法案ともまた少し異なる規制のあり方のようにも思います。

 

法案の概要によると法案の内容は、、、次のようになります。

・企業が重要な意思決定を自動化することによる影響を評価するための基本的な要件を提供する。

・連邦取引委員会 (FTC) は評価と報告のためのガイドラインを作成する。

・重要な意思決定を行う企業と、それを可能にする技術をつくる企業の双方が、影響を評価する責任を負うようにする。

・FTCは匿名化された年次報告書を公表し、消費者等が企業が自動化した重要な決定を、データソース、評価指標等を確認できる情報リポジトリを構築する。

・FTCを評価等をするために50名の増員を行い、技術局を設置する。

 

法案

CONGRESS.GOV

H.R.6580 - Algorithmic Accountability Act of 2022

・[PDF

20220208-52546

 

スポンサーは下院共和党(ニューヨーク州)のMs. Clarke議員ですが、上院民主党(オレゴン州)のWyden議員等も関与していますね。。。

Yvette D. Clarke

・2022.02.07 CLARKE, WYDEN AND BOOKER INTRODUCE ALGORITHMIC ACCOUNTABILITY ACT OF 2022 TO REQUIRE NEW TRANSPARENCY AND ACCOUNTABILITY FOR AUTOMATED DECISION SYSTEMS

 

Ron Wyden

・2022.02.03 Wyden, Booker and Clarke Introduce Algorithmic Accountability Act of 2022 To Require New Transparency And Accountability For Automated Decision Systems

法案の概要

・[PDF] Downloaded

20220208-60452

Algorithmic Accountability Act of 2022 2022年アルゴリズム説明責任法
Automated systems are increasingly making critical decisions about Americans' health, finances, housing, educational opportunities and more—potentially exposing the public to major new risks from flawed or biased algorithms. While automated systems can have benefits, there are currently insufficient safeguards to protect Americans from companies’ use of these programs that can exponentially amplify safety risks, unintentional errors, harmful bias and dangerous design choices. 自動化されたシステムは、アメリカ人の健康、財政、住宅、教育機会などに関する重要な決定を行うようになってきており、欠陥のある、あるいは偏ったアルゴリズムによって国民が新たなリスクにさらされる可能性があります。自動化されたシステムにはメリットがある一方で、企業が自動化されたプログラムを使用することで、安全性のリスク、意図しないエラー、有害なバイアス、危険な設計上の選択などが飛躍的に増大する可能性があり、国民を保護するためのセーフガードが不十分なのが現状です。
Numerous press reports have documented examples of flawed automated systems, which could have been mitigated if companies had tested their products for faulty data, bias, safety risks, performance gaps and other problems. Wired revealed a system that denied pain medications to patients—leaving some in agonizing pain—because it wrongly counted pets’ pain prescriptions to be their owners. The Markup investigated poorly designed mortgage-approval algorithms that inexplicably denied loans to applicants who had just previously been approved. These harms could have been mitigated if companies had appropriately assessed the impacts of applying automation to these critical decisions. 多くの報道では、欠陥のある自動化システムの例が取り上げられていますが、企業が製品の欠陥データ、偏り、安全性のリスク、性能のギャップ、その他の問題についてテストを行っていれば、これらの問題は軽減されていたはずです。「Wired誌」は、ペットの痛み止めの処方箋を飼い主と誤ってカウントしたために、患者に痛み止めの薬が投与されず、一部の患者が苦しい思いをしたシステムを明らかにしました。「The Markup」は、住宅ローン承認アルゴリズムの設計が不十分で、以前に承認されたばかりの申請者への融資が不可解にも拒否されたことを調査しました。これらの被害は、企業がこれらの重要な意思決定に自動化を適用することの影響を適切に評価していれば、軽減することができたはずです。
While decision automation is widespread in industry, consumers and regulators lack insight into where these “automated critical decision processes” are being used. This makes it difficult to hold companies accountable and for consumers to make informed choices. The American public and government needs more information to understand where and why automation is being used, and companies need clarity and structure to make the impact assessment process effective. 意思決定の自動化は産業界で広く行われていますが、消費者や規制当局は、これらの「自動化された重要な意思決定プロセス」がどこで使用されているかを把握していません。これでは、企業の責任を追及することも、消費者が十分な情報を得た上で選択することも難しくなります。アメリカ国民と政府は、自動化がどこで、なぜ使われているのかを理解するために、より多くの情報を必要としており、企業は影響評価プロセスを効果的に行うために、明確さと構造を必要としています。
The Algorithmic Accountability Act of 2022 requires companies to assess the impacts of the automated systems they use and sell, creates new transparency about when and how automated systems are used, and empowers consumers to make informed choices about the automation of critical decisions. 2022年アルゴリズム説明責任法は、企業が使用・販売する自動化システムの影響を評価することを求め、自動化システムがいつ、どのように使用されているかについて新たな透明性を創出し、消費者が重要な意思決定の自動化について十分な情報を得た上で選択できるようにするものである。
What the Bill Does: この法案の内容
●     Provides a baseline requirement that companies assess the impacts of automating critical decision-making, including decision processes that have already been automated. ・すでに自動化されている意思決定プロセスを含め、企業が重要な意思決定を自動化することによる影響を評価するための基本的な要件を提供する。
●     Requires the Federal Trade Commission (FTC) to create regulations providing structured guidelines for assessment and reporting. ・米連邦取引委員会(FTC)に対し、評価と報告のための構造化されたガイドラインを提供する規制を設ける。
●     Ensures the responsibility for assessing impact by both companies that make critical decisions and those that build the technology that enables these processes. ・重要な意思決定を行う企業と、そのプロセスを可能にする技術を構築する企業の双方が、影響を評価する責任を負うようにする。
●     Requires reporting of select impact-assessment documentation to the FTC. ・選択した影響評価文書のFTCへの報告を義務付ける。
●     Requires the FTC to publish an annual anonymized aggregate report on trends and to establish a repository of information where consumers and advocates can review which critical decisions have been automated by companies along with information such as data sources, high level metrics and how to contest decisions, where applicable. ・FTCは、トレンドに関する匿名の集計報告書を毎年発表し、消費者や支持者が、企業によって自動化された重要な意思決定を、データソースや高レベルの評価指標、意思決定に異議を唱える方法などの情報とともに確認できる情報リポジトリを構築することを要求する。

●     Adds resources to the FTC to hire 50 staff and establishes a Bureau of Technology to enforce this Act and support the Commission in the technological aspects of its functions. ・FTCに資源を追加し、50人のスタッフを雇用するとともに、本法を施行し、委員会の機能の技術的側面をサポートするために、技術局を設立する。

 

エンドースメント

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.12.23 米国 購買担当職員に対するAIトレーニング法が上院を通過

 

 

Continue reading "米国 下院 アルゴリズム説明責任法案 2022"

| | Comments (0)

2022.02.07

NIST ホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準

こんにちは、丸山満彦です。

NISTがホワイトペーパー :消費者向けソフトウェアのサイバーセキュリティラベルの推奨規準を公表していますね。。。大統領令14028の Sec.4(t)の目標を満たす IoT 製品規準を補完するものということです。。。

NIST - ITL

・2022.02.04 White Paper: Recommended Criteria for Cybersecurity Labeling of Consumer Software

White Paper: Recommended Criteria for Cybersecurity Labeling of Consumer Software ホワイトペーパー 消費者向けソフトウェアのサイバーセキュリティ・ラベルの推奨規準
Abstract 概要
Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” tasks the National Institute of Standards and Technology (NIST), in coordination with the Federal Trade Commission (FTC) and other agencies, to initiate pilot programs for cybersecurity labeling. These labeling programs are intended to educate the public on the security capabilities of …software development practices. To inform this effort, the EO directs NIST to “…identify secure software development practices or criteria for a consumer software labeling program….” This document seeks to fulfill this directive by detailing the following areas: 1) the role of a scheme owner in a labeling program, 2) baseline technical criteria that can inform a label, 3) labeling presentation criteria, 4) conformity assessment criteria, and 5) a detailed discussion concerning consumer education and usability. 大統領令(EO)14028「国家のサイバーセキュリティの向上」では、米国連邦取引委員会(FTC)やその他の機関と協力して、米国標準技術研究所(NIST)にサイバーセキュリティラベルのパイロットプログラムを開始するよう指示しています。これらのラベリングプログラムは、ソフトウェア開発手法のセキュリティ機能について一般の人々を教育することを目的としています。この取り組みを行うために、大統領令はNISTに「消費者向けソフトウェアラベリングプログラムのための安全なソフトウェア開発手法または基準を特定すること」を指示しています+B2:B4。本文書は、この指令を実現するために、以下の分野について詳細に説明しています。1) ラベリングプログラムにおけるスキームオーナーの役割、2) ラベリングに役立つ基本的な技術規準、3) ラベリングの表示規準、4) 適合性評価規準、5) 消費者教育とユーザビリティに関する詳細な議論。

 

・[PDF] White Paper

20220206-215437

 

1 Introduction 1 序文
1.1 Background 1.1 背景
1.2 Document Scope and Goals 1.2 スキームとスキームオーナー
1.3 Labeling Schemes and Scheme Owners 1.3 文書の範囲と目標
1.4 Document Structure 1.4 文書の構成
2 Baseline Technical Criteria for Consumer Software Labels 2 消費者向けソフトウェアラベルのベースライン技術規準
2.1 Methodology 2.1 方法論
2.2 Recommended Criteria 2.2 推奨規準
3 Labeling Criteria 3 ラベリングに関する規準
3.1 Binary Label 3.1 バイナリラベル
3.2 Layered Approach 3.2 層化アプローチ
4 Conformity Assessment Criteria 4 適合性評価に関する規準
References 参考文献
Appendix A— Additional Context for Labeling Criteria 附属書A-ラベル表示基準のための追加コンテキスト
A.1 Introduction A.1 はじめに
A.2 Methodology A.2 方法論
A.3 Labeling Approaches A.3 ラベリング・アプローチ
A.3.1 Label Types A.3.1 ラベルの種類
A.3.2 Recommended Label Approach A.3.2 推奨されるラベルアプローチ
A.3.3 Label Presentation A.3.3 ラベルの表示
A.3.4 Addressing Potential Weaknesses A.3.4 潜在的な弱点への対応
A.4 Consumer Education A.4 消費者教育
A.5 Consumer Usability and Testing A.5 消費者の使いやすさとテスト
A.5.5 Usability Considerations A.5.5 ユーザビリティに関する検討事項
A.5.6 Consumer Testing A.5.6 消費者によるテスト
Appendix B— Abbreviated SSDF Example 附属書B- 省略されたSSDFの例

 

 

 

1 Introduction  1 序文
1.1 Background  1.1 背景 
This document provides recommended criteria for a cybersecurity labeling effort for consumer software practices. Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” issued on May 12, 2021, directed the National Institute of Standards and Technology (NIST) to develop these criteria in coordination with the Federal Trade Commission (FTC) and other agencies for use in a pilot program . NIST is identifying key elements of a potential labeling program which could be established by another organization. The criteria that NIST is recommending are stated in terms of minimum requirements and desirable attributes; NIST is not establishing its own program. Aspects of a pilot program are described in a separate document.  本書は、消費者向けソフトウェアの実践のためのサイバーセキュリティラベリングの取り組みのための推奨規準を提供するものです。2021年5月12日に発行された大統領令(EO)14028「国家のサイバーセキュリティの向上」は、米国標準技術研究所(NIST)に対し、パイロットプログラムで使用するために、連邦取引委員会(FTC)およびその他の機関と連携してこれらの規準を開発するよう指示しました。NISTは、他の組織が設立する可能性のあるラベリングプログラムの重要な要素を特定しています。NISTが推奨する規準は、最低限の要求事項と望ましい属性という観点から述べられており、NISTが独自のプログラムを確立するわけではありません。パイロットプログラムについては、別の文書に記載されています。
NIST was directed to “…identify secure software development practices or criteria for a consumer software labeling program….” to “reflect a baseline level of security practices, and if practicable... increasingly comprehensive levels of testing and assessment that a product may have undergone.”  NISTは、「消費者向けソフトウェアのラベリングプログラムのために、安全なソフトウェア開発手法または規準を特定する」よう指示されました。これは、「セキュリティ手法の基本レベルを反映し、実行可能であれば、製品が受けたであろうテストと評価の包括的レベルを増加させる」ためです。
NIST also was directed to “examine all relevant information, labeling, and incentive programs, employ best practices, and identify, modify, or develop a recommended label or, if practicable, a tiered software security rating system.” This review “shall focus on ease of use for consumers and a determination of what measures can be taken to maximize participation.” This document addresses these tasks.  また、NISTは、「関連するすべての情報、ラベリング、およびインセンティブプログラムを検証し、ベストプラクティスを採用し、推奨ラベルや、実行可能な場合は段階的なソフトウェアセキュリティ評価システムを特定、修正、または開発する」よう指示されました。この検討は、「消費者にとっての使いやすさに焦点を当て、参加者を最大限に増やすためにどのような手段を講じることができるかを判断するものとする」とされています。本文書は、これらの課題に取り組むものです。
1.2 Document Scope and Goals  1.2 文書の範囲と目標 
Software is an integral part of life for the modern consumer. Nevertheless, most consumers take for granted and are unaware of the software upon which many products and services rely. From the consumer’s perspective, the very notion of what constitutes software may even be unclear. While enabling many benefits to consumers, that software – that is, software normally used for personal, family, or household purposes – can also have cybersecurity flaws or vulnerabilities which can directly affect safety, property, and productivity.  現代の消費者にとって、ソフトウェアは生活に欠かせないものです。それにもかかわらず、ほとんどの消費者は、多くの製品やサービスが依存しているソフトウェアを当然のものと考え、認識していません。消費者の視点から見ると、何がソフトウェアであるかという概念自体が不明確であることもあります。消費者に多くの利益をもたらす一方で、そのソフトウェア、つまり、個人、家族、家庭のために通常使用されるソフトウェアには、安全性、財産、生産性に直接影響を与えるサイバーセキュリティ上の欠陥や脆弱性が存在する可能性があります。
There is no one-size-fits-all definition for cybersecurity that can be applied to all types of consumer software. The risk associated with software is tightly bound to that software’s intended use (both in function and operating environment), as well as its post deployment configuration. The cybersecurity considerations appropriate for a mobile game will differ from those applied to an online banking app or to run the media station on an automobile.  すべての種類の消費者向けソフトウェアに適用できる、サイバーセキュリティに関する万能の定義はありません。ソフトウェアに関連するリスクは、そのソフトウェアの意図された用途(機能と動作環境の両方)、および展開後の構成に密接に関連しています。モバイルゲームに適したサイバーセキュリティの考慮事項は、オンラインバンキングアプリや自動車のメディアステーションに適用されるものとは異なります。
This document addresses the need to develop appropriate cybersecurity criteria for consumer software. It also informs the development and use of a label for consumer software. This in turn can improve consumers’ ability to take cybersecurity into account when making decisions about software selection and use. The following key recommendations are addressed:  本文書は、消費者向けソフトウェアに対する適切なサイバーセキュリティ規準を策定する必要性に対応するものです。また、消費者向けソフトウェアのラベルの作成と使用方法についても説明しています。これにより、消費者がソフトウェアの選択と使用に関する意思決定を行う際に、サイバーセキュリティを考慮に入れる能力を向上させることができます。以下の主要な提言を取り上げています。
・ Establish a baseline set of technical criteria to help organizations wishing to make claims about security via a software label. These convey to the consumer that good practices for secure software development were employed during the lifecycle of the software and that security-related software architecture, functionality, and other attributes follow baseline technical criteria.  ソフトウェアのラベルを通してセキュリティに関する主張をしたいと考えている組織を支援するために、技術的な規準のベースラインを確立する。ソフトウェアのライフサイクルにおいて安全なソフトウェア開発のためのグッドプラ クティスが採用され、セキュリティに関連するソフトウェアのアーキテクチャ、機能、 その他の属性が基本的な技術規準に従っていることを消費者に伝えるものである。
・ Provide criteria for the label including:  ・ 以下を含むラベルの基準を提供します。
o How cybersecurity-related risks and attributes could be represented  o サイバーセキュリティ関連のリスクと属性をどのように表現するか 
o How labels can be tested for effectiveness  o どのようにしてラベルの有効性をテストするか 
o How the public can be educated about the label and its meaning  o ラベルとその意味について一般市民をどのように教育するか 
・ Describe conformity criteria for use by organizations  ・組織が使用する適合性規準の記述 
It is important to stress that these criteria define a baseline of due diligence related to the cybersecurity and related labeling of consumer software products. They are intended to increase purchasers’ and users’ awareness and information about consumer software cybersecurity. They also aim to avoid overconfidence in the level and type of cybersecurity related to the software at a particular point in time.  これらの規準は、消費者向けソフトウェア製品のサイバーセキュリティおよび関連するラベリングに関連するデューデリジェンスのベースラインを定義するものであることを強調することが重要です。この規準は、消費者向けソフトウェアのサイバーセキュリティに関する購入者と利用者の認識と情報を高めることを目的としています。また、特定の時点でのソフトウェアに関連するサイバーセキュリティのレベルと種類に対する過信を避けることも目的としています。
These criteria identify key elements of labeling programs in terms of minimum recommendations and desirable attributes.  これらの規準は、最低限の推奨事項と望ましい属性の観点から、ラベリングプログラムの主要な要素を特定しています。
This document is not intended to describe how a cybersecurity label should be explicitly represented (either physically or digitally) – nor is it intended to detail how a labeling program should be owned or operated.  本書は、サイバーセキュリティラベルがどのように(物理的またはデジタル的に)明示的に表現されるべきかを説明することを意図したものではなく、ラベリングプログラムがどのように所有または運営されるべきかを詳述することを意図したものではありません。
NIST is not designing a particular label – nor is NIST establishing its own labeling scheme for consumer software. Rather, these criteria set out desired outcomes, allowing and enabling the marketplace of providers and consumers to make informed choices.  NISTは、特定のラベルを設計しているわけではなく、消費者向けソフトウェアに対する独自のラベリングスキームを確立しているわけでもありません。むしろ、これらの規準は、望ましい結果を示し、市場の提供者と消費者が情報に基づいた選択をすることを可能にします。
These criteria are intended to complement and not to conflict with the IoT Product Criteria which meet the goals of Sec. 4 (t) of Executive Order 14028 [EO14028]  これらの規準は、大統領令 14028(EO14028)の Sec.4(t)の目標を満たす IoT 製品規準を補完することを意図しており、これに抵触するものではない。
1.3 Labeling Schemes and Scheme Owners  1.3 ラベルのスキームとスキームの所有者 
A label indicates to consumers that software has been demonstrated to meet specified requirements. Software becomes labeled through a labeling scheme. The scheme owner is the entity that manages the labeling scheme and determines its structure and management and performs oversight to ensure that the scheme is functioning consistently with overall objectives. Scheme owners can be public or private sector organizations.  ラベルとは、ソフトウェアが指定された要件を満たすことが実証されたことを消費者に示すものです。ソフトウェアは、ラベリングスキームによってラベル付けされます。スキームオーナーとは、ラベリングスキームを管理し、その構造と運営を決定し、スキームが全体の目的に沿って機能していることを確認するための監視を行う主体である。スキームオーナーは公的機関でも民間企業でも構いません。
 A labeling scheme provides answers to the following questions:  ラベリング・スキームは、以下の質問に対する答えを提供します。
1. What are the requirements for getting a label?  1. ラベルを取得するための要件は何か?
2. What does the label look like and what information should it contain?  2. ラベルはどのようなもので、どのような情報を含むべきか?
3. What is the process for obtaining and displaying a label on software?  3. ソフトウェアにラベルを取得して表示するためのプロセスは何ですか?
The following sections of this document make recommendations concerning criteria for answering these questions. However, many of the requirements needed to fulfil the recommended criteria will need to be established by the scheme owner. The goal of this document is to provide recommendations, additional information, and context related to these responsibilities for use by a scheme owner creating the consumer software labeling program.  本書の以下のセクションでは、これらの質問に答えるための規準に関する提言を行っています。ただし、推奨規準を満たすために必要な要件の多くは、スキームの所有者が設定する必要があります。本文書の目的は、消費者向けソフトウェアのラベリングプログラムを作成するスキームオーナーが使用するために、これらの責任に関する推奨事項、追加情報、および背景を提供することです。
As previously mentioned, there is no one-size-fits-all definition for cybersecurity that can be applied to all types of consumer software. To achieve the outcomes described in the baseline criteria, the scheme owner will need to adapt and refine scheme requirements that meet the needs of the software seeking labels.  前述のとおり、サイバーセキュリティには、すべての種類の消費者向けソフトウェアに適用可能な万能の定義はない。ベースライン規準に記載されている成果を達成するためには、スキームオーナーは、ラベルを求めるソフトウェアのニーズを満たすスキーム要件を適応し、改良する必要がある。
1.4 Document Structure  1.4 文書の構成 
The remainder of this document is organized as follows:  本文書の構成は以下の通りです。
・ Section 2 – contains the baseline technical criteria for the label and methodology used to arrive at those criteria  セクション2:ラベルのベースライン技術規準と、その規準に到達するための方法論を記載する。
・ Section 3 – describes criteria for the labeling approach and consumer-focused label information  セクション3:ラベリング手法の規準と消費者向けのラベル情報について記載する。
・ Section 4 – describes conformity assessment and proposes multiple approaches for a labeling scheme  セクション4:適合性評価について述べ、ラベリングスキームの複数のアプローチを提案する。
・ Appendix A – provides additional details on labeling criteria and considerations, including labeling approaches, consumer education, usability, and consumer testing  附属書A では、ラベリングのアプローチ、消費者教育、ユーザビリティ、消費者テストなど、ラベリング規準や考慮事項についての詳細を記載している。
・ Appendix B – contains an abbreviated excerpt from the Secure Software Development Framework 附属書B:セキュアプログラミング開発フレームワークの抜粋を掲載している。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨基準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

| | Comments (0)

2022.02.06

NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

こんにちは、丸山満彦です。

NISTがホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準を公表していますね。。。

NIST - ITL

・2022.02.04 White Paper Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products

White Paper: Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products ホワイトペーパー 消費者向けIoT製品のサイバーセキュリティラベルの推奨規準
Abstract 概要
Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” tasks the National Institute of Standards and Technology (NIST), in coordination with the Federal Trade Commission (FTC) and other agencies, to initiate pilot programs for cybersecurity labeling. NIST is, among other actions, directed “… to identify IoT cybersecurity criteria for a consumer labeling program…” This document seeks to fulfill this directive by recommending consumer IoT product label criteria, label design and consumer education considerations, and conformity assessment considerations for use by a scheme owner to inform a consumer Internet of Things (IoT) product labeling program. 大統領令(EO)14028「国家のサイバーセキュリティの向上」では、米国連邦取引委員会(FTC)やその他の機関と協力して、米国標準技術研究所(NIST)にサイバーセキュリティラベルのパイロットプログラムを開始するよう指示しています。NISTは、特に「消費者向けラベリングプログラムのためのIoTサイバーセキュリティ規準を特定する」ことを指示されています。本文書は、消費者向けIoT製品ラベリングプログラムに情報を提供するために、スキームオーナーが使用する消費者向けIoT製品ラベリング規準、ラベルデザインと消費者教育に関する検討事項、および適合性評価に関する検討事項を推奨することで、この指令を満たすことを目的としています。

 

・[PDF]  White Paper

20220206-13313

1 Introduction 1 序文
1.1 Background 1.1 背景
1.2 Scheme and Scheme Owner 1.2 スキームとスキームオーナー
1.3 Document Scope and Goals 1.3 文書の範囲と目標
1.4 Document Structure 1.4 文書の構成
2 Baseline Product Criteria 2 ベースライン製品規準
2.1 Scope of an IoT Product 2.1 IoT製品の範囲
2.2 Recommended Baseline Product Criteria 2.2 推奨されるベースライン製品規準
2.3 IoT Product Vulnerabilities Related to Recommended Criteria 2.3 推奨規準に関連するIoT製品の脆弱性
2.4 Risk, Tailoring, and Tiering Considerations 2.4 リスク、テーラーリング、階層化の考慮事項
2.5 Utilizing Existing Standards, Programs, and Schemes 2.5 既存の規格、プログラム、スキームの活用
2.6 Harmonization Considerations 2.6 ハーモナイゼーションに関する考察
3 Labeling Considerations 3 ラベリングに関する検討事項
3.1 Recommended Label Approach 3.1 推奨される表示方法
3.2 Label Presentation 3.2 ラベルの表示
3.3 Consumer Education 3.3 消費者教育
4 Conformity Assessment Considerations 4 適合性評価に関する検討事項
References 参考文献

 

1  Introduction   1 序文
1.1  Background  1.1 背景 
This document provides recommended criteria for a cybersecurity labeling effort for consumer internet of things (IoT) products. Executive Order (EO) 14028, “Improving the Nation’s Cybersecurity,” [EO14028] issued on May 12, 2021, directed the National Institute of Standards and Technology (NIST) to develop these criteria for use in a pilot program.   本書は、消費者向けのIoT製品に対するサイバーセキュリティのラベリング活動のための推奨基準を提供するものです。2021年5月12日に発行された大統領令(EO)14028「国家のサイバーセキュリティの向上」[EO14028]は、米国標準技術研究所(NIST)に対し、パイロットプログラムで使用するこれらの規準を開発するよう指示しました。 
NIST was directed to “identify IoT cybersecurity criteria for a consumer labeling program, and shall consider whether such a consumer labeling program may be operated in conjunction with or modeled after any similar existing government programs consistent with applicable law. The criteria shall reflect increasingly comprehensive levels of testing and assessment that a product may have undergone, and shall use or be compatible with existing labeling schemes that manufacturers use to inform consumers about the security of their products.”  NISTは、「消費者向けラベリングプログラムのためのIoTサイバーセキュリティ規準を特定し、そのような消費者向けラベリングプログラムが、適用される法律と整合性のある類似の既存の政府プログラムと連携して運営されるか、またはそれをモデルにして運営されるかどうかを検討しなければならない」と指示されました。規準は、製品が受けた可能性のあるテストと評価の包括的なレベルを反映するものとし、メーカーが製品のセキュリティについて消費者に知らせるために使用している既存のラベリングスキームを使用または互換性のあるものとする。」と指示されました。
NIST was also directed to “examine all relevant information, labeling, and incentive programs and employ best practices. This review shall focus on ease of use for consumers and a determination of what measures can be taken to maximize manufacturer participation.”   また、NISTは「関連するすべての情報、ラベリング、インセンティブプログラムを検討し、ベストプラクティスを採用する」よう指示されました。この検討では、消費者にとっての使いやすさを重視し、メーカーの参加を最大限に引き出すためにどのような手段があるのかを判断しなければならない」とされています。 
NIST began developing the proposed product criteria by building on its existing work in IoT cybersecurity – including the NISTIR 8259 family of documents [IR8259] [IR8259A] [IR8259B] defining baseline cybersecurity capabilities for IoT devices from an analysis of international standards and guidance – and by leveraging available standards and guidance, reviewing vulnerabilities that enabled recent compromises of IoT products, and seeking feedback from the community through workshops and comments on draft versions of the criteria. Reviews of available international standards and guidance addressing consumer IoT product cybersecurity and recent public news stories about compromised IoT products and their vulnerabilities contributed to the profiling of the NISTIR 8259A [IR8259A] and NISTIR 8259B [IR8259B] core baseline for the consumer IoT sector. Draft versions of the criteria released on August 31 and December 3, 2021, were available for community feedback at workshops on September 14 and December 9, 2021, and in writing.   NISTは、国際的な基準やガイダンスの分析からIoT機器のベースラインのサイバーセキュリティ能力を定義したNISTIR 8259ファミリーの文書[IR8259] [IR8259A] [IR8259B]など、IoTサイバーセキュリティに関する既存の作業をベースにして、利用可能な規準やガイダンスを活用し、最近のIoT製品の侵害を可能にした脆弱性をレビューし、ワークショップや基準のドラフト版に対するコメントを通じてコミュニティからのフィードバックを求めることで、製品規準案の開発を開始しました。消費者向けIoT製品のサイバーセキュリティに対応する利用可能な国際的な基準とガイダンスのレビュー、および最近のIoT製品の危殆化とその脆弱性に関する一般的なニュース記事は、消費者向けIoT分野のNISTIR 8259A [IR8259A]およびNISTIR 8259B [IR8259B]コアベースラインのプロファイリングに貢献しました。2021年8月31日と12月3日に公開された基準のドラフト版は、2021年9月14日と12月9日に開催されたワークショップや書面で、コミュニティのフィードバックに供されました。 
1.2  Scheme and Scheme Owner  1.2 スキームとスキームオーナー 
NIST is identifying key elements of a potential labeling scheme that could be established by another organization or program. The criteria that NIST is recommending are stated in terms of minimum requirements and desirable attributes; NIST is not establishing its own scheme or program, nor is NIST designing or proposing a design of a consumer IoT product label. The key elements of the recommendations criteria include a proposed baseline product criteria as well as labeling and conformity assessment considerations. The product criteria in this document specify desired outcomes, allowing providers and customers to choose the best approaches for their devices and environments. One size will not fit all, and multiple solutions might be offered by label providers.   NISTは、他の組織やプログラムによって設立される可能性のあるラベリングスキームの主要な要素を特定している。NISTが推奨している基準は、最低限の要求事項と望ましい属性の観点から述べられており、NISTは独自のスキームやプログラムを確立しているわけではなく、消費者向けIoT製品のラベルの設計や提案を行っているわけでもない。推奨規準の主要な要素には、提案されたベースライン製品規準のほか、ラベルや適合性評価に関する検討事項が含まれています。本文書の製品規準は、望ましい結果を規定しており、プロバイダーや顧客は、それぞれのデバイスや環境に最適なアプローチを選択することができます。1つのサイズがすべてに適合するわけではなく、ラベルプロバイダーによって複数のソリューションが提供される可能性があります。 
Implementation of the consumer IoT product labeling program as guided by these recommendations and considerations requires a scheme owner. The role of a consumer labeling scheme owner, which could be a public or private sector organization, is critical. The scheme owner is the entity that manages the labeling scheme and determines its structure and management and performs oversight to ensure that the scheme is functioning consistently in keeping with overall objectives. The scheme owner is responsible for tailoring the product criteria, defining conformity assessment requirements, developing the label and associated information, and conducting related consumer outreach and education. A scheme could be defined at a sector level, or an overall scheme owner could be responsible for multiple categories. There can be flexibility in establishing how the baseline IoT criteria apply to specific ranges of IoT products and which conformity assessment activities are appropriate, but multiple variations of labels or labeling approaches would likely cause confusion among consumers and limit the effectiveness of the efforts.   これらの推奨事項や考慮事項に沿って消費者向けIoT製品ラベリングプログラムを実施するには、スキームオーナーが必要です。消費者向けラベリングのスキームオーナーの役割は重要であり、それは公的機関でも民間団体でも構いません。スキームオーナーは、ラベリングスキームを管理し、その構造と管理を決定し、スキームが全体的な目的に沿って一貫して機能していることを確認するための監視を行う主体です。スキームオーナーは、製品規準の調整、適合性評価要件の定義、ラベルと関連情報の作成、関連する消費者への働きかけと教育の実施に責任を負います。スキームはセクターレベルで定義することもできるし、全体のスキームオーナーが複数のカテゴリーに責任を持つこともできます。ベースラインIoT規準が特定の範囲のIoT製品にどのように適用されるか、また、どの適合性評価活動が適切かを確立することには柔軟性があり得るが、ラベルやラベリング手法に複数のバリエーションがあると、消費者の間で混乱が生じ、取り組みの効果が限定される可能性が高くなります。 
1.3  Document Scope and Goals  1.3 文書の範囲と目標 
This document discusses considerations and recommendations for the development of a consumer IoT product labeling program. The following key recommendations are addressed:  本文書では、消費者向けIoT製品のラベリングプログラムを開発するための検討事項と推奨事項について述べている。以下の主要な推奨事項を取り上げています。
・ Baseline product criteria for consumer IoT products are expressed as outcomes rather than as specific statements as to how they would be achieved.  ・消費者向け IoT 製品のベースライン製品規準は、どのように達成するかという具体的な記述ではなく、結果として表現します。
・ No single conformity assessment approach is appropriate given the variety of ways those baseline criteria could apply to a wide range of products.  ・消費者向け IoT 製品のベースライン規準は、どのように達成されるかという具体的な記述ではなく、 結果として表現します。
・ A single binary label (a “seal of approval” type of label indicating a product has met a baseline standard) is likely most appropriate, coupled with a layered approach that leads interested consumers to additional detail online.  ・シングルバイナリーラベル(ベースライン規準を満たしていることを示す「承認印」のようなラベ ル)が最も適切であると考えられるますが、興味を持った消費者がオンラインで追加の詳細情報を得ることができるような層化アプローチも必要です。
The goal of this document is to provide recommendations, additional information, and context related to these responsibilities for use by a scheme owner creating the consumer IoT product labeling program.   本文書の目的は、消費者向け IoT 製品のラベリング・プログラムを作成するスキーム・オー ナーが使用するために、これらの責任に関する推奨事項、追加情報、および背景を提供することです。 
1.4  Document Structure  1.4 文書の構成 
The remainder of this document is organized as follows:  本文書の構成は以下の通りです。
・ Section 2 - provides the IoT product criteria, the technical foundations of those criteria, and considerations related to the product criteria.  セクション 2 では、IoT 製品規準、その規準の技術的基礎、製品規準に関連する検討事項を示しています。
・ Section 3 - discusses considerations around the label.  セクション 3:ラベルに関する検討事項について説明しています。
・ Section 4 - discusses considerations around the conformity assessment mechanism used. セクション 4 では、使用する適合性評価メカニズムに関する検討を行っています。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

| | Comments (0)

NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

こんにちは、丸山満彦です。

NISTが大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンスを白書として発行していますね。。。

NIST SP800-218と関係します。。。

NIST

・2022.02.04 White Paper: Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e

White Paper: Software Supply Chain Security Guidance Under Executive Order (EO) 14028 Section 4e ホワイトペーパー:大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス
Executive Order (EO) 14028 on Improving the Nation’s Cybersecurity, May 12, 2021, directs the National Institute of Standards and Technology (NIST) to publish guidance on practices for software supply chain security. 2021年5月12日に発令された「国家のサイバーセキュリティの向上に関する大統領令(EO)14028」は、米国標準技術研究所(NIST)に対し、ソフトウェアサプライチェーンセキュリティの実践に関するガイダンスを発行するよう指示しています。
This document starts by explaining NIST’s approach for addressing Section 4e. Next, it defines guidelines for federal agency staff who have software procurement-related responsibilities (e.g., acquisition and procurement officials, technology professionals). These guidelines are intended to help federal agency staff know what information to request from software producers regarding their secure software development practices. This document concludes with Frequently Asked Questions (FAQ) offering additional information. 本文書では、まず、セクション4eに対応するためのNISTのアプローチを説明しています。次に、ソフトウェアの調達に関連する責任を負う連邦機関のスタッフ(取得・調達担当者、技術専門家など)向けのガイドラインを定義しています。このガイドラインは、連邦政府機関のスタッフが、安全なソフトウェアの開発手法に関して、ソフトウェア製作者にどのような情報を求めるべきかを知るためのものです。本書の最後には、追加情報を提供する「よくある質問(FAQ)」が掲載されています。

 

・[PDF]

20220205-221712

 

NISTEXECUTIVE ORDER 14028, IMPROVING THE NATION'S CYBERSECURITY - Software Supply Chain Security

 

 


 

・国家のサイバーセキュリティの向上に関する大統領令(EO)14028

Sec. 4.  Enhancing Software Supply Chain Security.  第4条 ソフトウェア・サプライチェーン・セキュリティの強化 
     (e)  Within 90 days of publication of the preliminary guidelines pursuant to subsection (c) of this section, the Secretary of Commerce acting through the Director of NIST, in consultation with the heads of such agencies as the Director of NIST deems appropriate, shall issue guidance identifying practices that enhance the security of the software supply chain.  Such guidance may incorporate the guidelines published pursuant to subsections (c) and (i) of this section.  Such guidance shall include standards, procedures, or criteria regarding:       (e) 本節(c)に基づく予備ガイドラインの公表から90日以内に、NIST長官を通じて行動する商務長官は、NIST長官が適切と考える機関の長と協議の上、ソフトウェア・サプライチェーンのセキュリティを強化する慣行を示すガイダンスを発行するものとする。  当該ガイダンスは、本節(c)および(i)に従って公表されたガイドラインを組み込むことができる。  このガイダンスには、以下に関する基準、手順、または基準が含まれる。 
          (i)     secure software development environments, including such actions as:           (i) 安全なソフトウェア開発環境(以下を含む)。
              (A)  using administratively separate build environments;               (A) 管理上独立したビルド環境を使用すること。
              (B)  auditing trust relationships;               (B) 信頼関係を監査すること。
              (C)  establishing multi-factor, risk-based authentication and conditional access across the enterprise;               (C) 企業全体で多要素、リスクベースの認証及び条件付アクセスを確立すること。
              (D)  documenting and minimizing dependencies on enterprise products that are part of the environments used to develop, build, and edit software;               (D) ソフトウェアの開発、構築、編集に使用される環境の一部である企業製品への依存関係を文書化し、最小限に抑えること。
              (E)  employing encryption for data; and               (E) データの暗号化を採用すること。
              (F)  monitoring operations and alerts and responding to attempted and actual cyber incidents;               (F) オペレーションとアラートを監視し、未遂および実際のサイバー・インシデントに対応すること。
          (ii)    generating and, when requested by a purchaser, providing artifacts that demonstrate conformance to the processes set forth in subsection (e)(i) of this section;            (ii) 本節(e)(i)に定めるプロセスへの適合性を証明する成果物を作成し、購入者から要求があった場合には提供すること。 
          (iii)   employing automated tools, or comparable processes, to maintain trusted source code supply chains, thereby ensuring the integrity of the code;           (iii) 信頼できるソースコードのサプライチェーンを維持するために、自動化されたツールまたは同等のプロセスを採用することにより、コードの完全性を確保すること。
          (iv)    employing automated tools, or comparable processes, that check for known and potential vulnerabilities and remediate them, which shall operate regularly, or at a minimum prior to product, version, or update release;           (iv) 既知および潜在的な脆弱性をチェックし、それらを修正するための自動化されたツールまたは同等のプロセスを採用すること。
          (v)     providing, when requested by a purchaser, artifacts of the execution of the tools and processes described in subsection (e)(iii) and (iv) of this section, and making publicly available summary information on completion of these actions, to include a summary description of the risks assessed and mitigated;           (v) 購入者の要求に応じて、本節(e)(iii)および(iv)に記載されたツールおよびプロセスの実行結果を提供し、評価および軽減されたリスクの概要を含む、これらのアクションの完了に関する概要情報を公開すること。
          (vi)    maintaining accurate and up-to-date data, provenance (i.e., origin) of software code or components, and controls on internal and third-party software components, tools, and services present in software development processes, and performing audits and enforcement of these controls on a recurring basis;           (vi) ソフトウェア開発プロセスに存在する内部および第三者のソフトウェアコンポーネント、ツール、およびサービスに関する正確かつ最新のデータ、ソフトウェアコードまたはコンポーネントの出所(すなわち、起源)、および管理を維持し、これらの管理の監査および実施を定期的に行うこと。
          (vii)   providing a purchaser a Software Bill of Materials (SBOM) for each product directly or by publishing it on a public website;           (vii) 各製品のソフトウェア部品表(SBOM)を購入者に直接または公開ウェブサイトで提供すること。
          (viii)  participating in a vulnerability disclosure program that includes a reporting and disclosure process;           (viii) 報告と開示のプロセスを含む脆弱性開示プログラムに参加すること。
          (ix)    attesting to conformity with secure software development practices; and           (ix) 安全なソフトウェア開発手法への適合性を証明すること。
          (x)     ensuring and attesting, to the extent practicable, to the integrity and provenance of open source software used within any portion of a product.           (x) 製品の一部に使用されているオープンソースソフトウェアの完全性と出所を、実行可能な範囲で確保し、証明すること。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.06 NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.10.02 NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

| | Comments (0)

NIST SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

こんにちは、丸山満彦です。

NISTが、SP 800-218 セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項を公表していますね。。。

NIST - ITL

・2022.02.03 SP 800-218 Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities

SP 800-218 Secure Software Development Framework (SSDF) Version 1.1: Recommendations for Mitigating the Risk of Software Vulnerabilities SP 800-218 Secure Software Development Framework (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項
Abstract 概要
Few software development life cycle (SDLC) models explicitly address software security in detail, so secure software development practices usually need to be added to each SDLC model to ensure that the software being developed is well-secured. This document recommends the Secure Software Development Framework (SSDF) – a core set of high-level secure software development practices that can be integrated into each SDLC implementation. Following these practices should help software producers reduce the number of vulnerabilities in released software, mitigate the potential impact of the exploitation of undetected or unaddressed vulnerabilities, and address the root causes of vulnerabilities to prevent future recurrences. Because the framework provides a common vocabulary for secure software development, software purchasers and consumers can also use it to foster communications with suppliers in acquisition processes and other management activities. ソフトウェア開発ライフサイクル(SDLC)モデルの中で、ソフトウェアのセキュリティを明示的に詳細に扱っているものはほとんどありません。そのため、開発するソフトウェアのセキュリティを確保するためには、通常、各SDLCモデルにセキュアなソフトウェア開発手法を追加する必要があります。このドキュメントでは、セキュアソフトウェア開発フレームワーク(SSDF)を推奨しています。SSDFは、各SDLCの実装に統合可能な、高レベルのセキュアソフトウェア開発プラクティスのコアセットです。これらのプラクティスに従うことで、ソフトウェア製造者は、リリースされたソフトウェアの脆弱性の数を減らし、未検出または未対処の脆弱性が悪用された場合の潜在的な影響を軽減し、将来の再発を防ぐために脆弱性の根本原因に対処することができます。このフレームワークは、安全なソフトウェア開発のための共通の語彙を提供するものであるため、ソフトウェアの購入者および利用者は、取得プロセスやその他の管理活動においてサプライヤーとのコミュニケーションを促進するためにも使用することができます。

 

・[PDF] SP 800-218

20220205-180107

 

1. Prepare the Organization (PO): Organizations should ensure that their people, processes, and technology are prepared to perform secure software development at the organization level. Many organizations will find some PO practices to also be applicable to subsets of their software development, like individual development groups or projects. 1. 組織の準備(PO):組織は、組織レベルで安全なソフトウエア開発を行うために、人材、プロセス、技術を準備する必要がある。多くの組織は、個々の開発グループやプロジェクトなど、ソフトウェア開発のサブセットにも適用可能なPOプラクティスがあると考える。
2. Protect the Software (PS): Organizations should protect all components of their software from tampering and unauthorized access. 2. ソフトウェアの保護(PS):組織は、ソフトウェアのすべてのコンポーネントを、改ざんや不正アクセスから保護する。
3. Produce Well-Secured Software (PW): Organizations should produce well-secured software with minimal security vulnerabilities in its releases. 3. 安全なソフトウェアを作成する(PW):組織は、リリースされるソフトウェアのセキュリティ脆弱性を最小限に抑え、十分なセキュリティを備えたソフトウェアを製造すべきである。
4. Respond to Vulnerabilities (RV): Organizations should identify residual vulnerabilities in their software releases and respond appropriately 4. 脆弱性への対応(RV):組織は、リリースするソフトウェアに残存する脆弱性を特定し、適切に対応する。

 

Practices 実施内容
Define Security Requirements for Software Development (PO.1): Ensure that security requirements for software development are known at all times so that they can be taken into account throughout the SDLC and duplication of effort can be minimized because the requirements information can be collected once and shared. This includes requirements from internal sources (e.g., the organization’s policies, business objectives, and risk management strategy) and external sources (e.g., applicable laws and regulations). ソフトウェア開発のセキュリティ要件を定義する(PO.1):ソフトウェア開発に対するセキュリティ要求事項を常に把握し、SDLC 全体で考慮できるようにする。また、要求事項の情報を一度収集して共有できるため、作業の重複を最小限に抑えることができる。これには、内部ソース(組織の方針、事業目的、リスク管理戦略など)及び外部ソース(適用される法律や規制など)からの要件が含まれる。
Implement Roles and Responsibilities (PO.2): Ensure that everyone inside and outside of the organization involved in the SDLC is prepared to perform their SDLC-related roles and responsibilities throughout the SDLC. 役割と責任の実施(PO.2):SDLC に関与する組織内外の全員が、SDLC 全体を通じて、SDLC に関連する役割と責任を果たすための準備ができていることを確認する。
Implement Supporting Toolchains (PO.3): Use automation to reduce human effort and improve the accuracy, reproducibility, usability, and comprehensiveness of security practices throughout the SDLC, as well as provide a way to document and demonstrate the use of these practices. Toolchains and tools may be used at different levels of the organization, such as organization-wide or project-specific, and may address a particular part of the SDLC, like a build pipeline. 支援ツールチェーンの導入(PO.3):自動化を使用して人手を減らし、SDLC 全体のセキュリティ対策の正確性、再現性、使いやすさ、および包括性を向上させるとともに、これらの対策の使用を文書化して実証する方法を提供する。ツールチェーンやツールは、組織全体やプロジェクトごとなど、組織のさまざまなレベルで使用することができ、また、ビルドパイプラインのようなSDLCの特定の部分に対応することができる。
Define and Use Criteria for Software Security Checks (PO.4): Help ensure that the software resulting from the SDLC meets the organization’s expectations by defining and using criteria for checking the software’s security during development. ソフトウェアのセキュリティチェックのための基準を定義して使用する(PO.4):開発中にソフトウェアのセキュリティをチェックするための基準を定義して使用することにより、SDLCの結果として得られるソフトウェアが組織の期待を満たすことを支援する。
Implement and Maintain Secure Environments for Software Development (PO.5): Ensure that all components of the environments for software development are strongly protected from internal and external threats to prevent compromises of the environments or the software being developed or maintained within them. Examples of environments for software development include development, build, test, and distribution environments. ソフトウェア開発のための安全な環境を導入・維持する(PO.5):ソフトウェア開発環境のすべてのコンポーネントが、内部および外部の脅威から強力に保護され、環境やその中で開発・維持されているソフトウェアが危険にさらされることがないようにする。ソフトウェア開発環境の例としては、開発環境、ビルド環境、テスト環境、配布環境などがある。
Protect All Forms of Code from Unauthorized Access and Tampering (PS.1): Help prevent unauthorized changes to code, both inadvertent and intentional, which could circumvent or negate the intended security characteristics of the software. For code that is not intended to be publicly accessible, this helps prevent theft of the software and may make it more difficult or time-consuming for attackers to find vulnerabilities in the software. あらゆる形態のコードを不正なアクセスや改ざんから保護する(PS.1):ソフトウェアの意図されたセキュリティ特性を回避または否定する可能性のあるコードへの不正な変更を、不注意または意図的に防止する。一般に公開されることが意図されていないコードについては、ソフトウェアの盗難を防止し、攻撃者がソフトウェアの脆弱性を見つけることをより困難または時間のかかるものにすることができる。
Provide a Mechanism for Verifying Software Release Integrity (PS.2): Help software acquirers ensure that the software they acquire is legitimate and has not been tampered with. ソフトウェアリリースの完全性を検証する仕組みを提供する(PS.2):ソフトウェアの取得者が、取得したソフトウェアが正規のものであり、改ざんされていないことを確認できるようにする(PS.3)。
Archive and Protect Each Software Release (PS.3): Preserve software releases in order to help identify, analyze, and eliminate vulnerabilities discovered in the software after release. 各ソフトウェアリリースのアーカイブと保護(PS.3):リリース後にソフトウェアに発見された脆弱性を特定、分析、排除するために、ソフトウェアリリースを保存する。
Design Software to Meet Security Requirements and Mitigate Security Risks (PW.1): Identify and evaluate the security requirements for the software; determine what security risks the software is likely to face during operation and how the software’s design and architecture should mitigate those risks; and justify any cases where risk-based analysis indicates that security requirements should be relaxed or waived. Addressing security requirements and risks during software design (secure by design) is key for improving software security and also helps improve development efficiency. セキュリティ要件を満たし、セキュリティリスクを軽減するようにソフトウェアを設計する(PW.1):ソフトウェアのセキュリティ要件を特定および評価し、運用中にソフトウェアが直面する可能性のあるセキュリティリスクを特定し、ソフトウェアの設計およびアーキテクチャによってこれらのリスクをどのように軽減すべきかを決定する。また、リスクベースの分析によってセキュリティ要件を緩和または免除すべきであることが示された場合には、それを正当化する。ソフトウェアの設計時にセキュリティ要件とリスクに対処する(Secure by design)ことは、ソフトウェアのセキュリティを向上させる上で重要であり、開発効率の向上にもつながる。
Review the Software Design to Verify Compliance with Security Requirements and Risk Information (PW.2): Help ensure that the software will meet the security requirements and satisfactorily address the identified risk information. ソフトウェア設計をレビューして、セキュリティ要件とリスク情報への適合性を検証する(PW.2):ソフトウェアがセキュリティ要件を満たし、特定されたリスク情報に十分に対応していることを確認する。
Reuse Existing, Well-Secured Software When Feasible Instead of Duplicating Functionality (PW.4): Lower the costs of software development, expedite software development, and decrease the likelihood of introducing additional security vulnerabilities into the software by reusing software modules and services that have already had their security posture checked. This is particularly important for software that implements security functionality, such as cryptographic modules and protocols. 実現可能な場合には、機能を重複させるのではなく、既存の十分に保護されたソフトウェアを再利用する(PW.4):ソフトウェアの開発コストを削減し、ソフトウェアの開発を迅速化し、すでにセキュリティの状態がチェックされているソフトウェア・モジュールやサービスを再利用することで、ソフトウェアに新たなセキュリティ脆弱性が発生する可能性を低減する。これは、暗号モジュールやプロトコルなど、セキュリティ機能を実装するソフトウェアでは特に重要です。
Create Source Code by Adhering to Secure Coding Practices (PW.5): Decrease the number of security vulnerabilities in the software, and reduce costs by minimizing vulnerabilities introduced during source code creation that meet or exceed organization-defined vulnerability severity criteria. セキュアコーディングの実践を遵守してソースコードを作成する(PW.5):ソフトウェアに含まれるセキュリティ脆弱性の数を減らし、組織で定義された脆弱性の深刻度基準を満たす、またはそれ以上のソースコード作成時に導入される脆弱性を最小限に抑えることで、コストを削減する。
Configure the Compilation, Interpreter, and Build Processes to Improve Executable Security (PW.6): Decrease the number of security vulnerabilities in the software and reduce costs by eliminating vulnerabilities before testing occurs. 実行可能なセキュリティを向上させるために、コンパイル、インタプリタ、およびビルドプロセスを構成する(PW.6):テストを行う前に脆弱性を排除することにより、ソフトウェアのセキュリティ脆弱性の数を減らし、コストを削減する。
Review and/or Analyze Human-Readable Code to Identify Vulnerabilities and Verify Compliance with Security Requirements (PW.7): Help identify vulnerabilities so that they can be corrected before the software is released to prevent exploitation. Using automated methods lowers the effort and resources needed to detect vulnerabilities. Human-readable code includes source code, scripts, and any other form of code that an organization deems human-readable. 人間が読めるコードをレビューおよび/または分析して、脆弱性を特定し、セキュリティ要求事項への準拠を検証する(PW.7): 脆弱性を特定して、悪用を防ぐためにソフトウェアがリリースされる前に修正できるようにします。自動化された方法を使用することで、脆弱性を検出するために必要な労力とリソースを削減できます。人間が読めるコードとは、ソースコード、スクリプト、および組織が人間が読めると判断したその他の形式のコードを含みます。
Test Executable Code to Identify Vulnerabilities and Verify Compliance with Security Requirements (PW.8): Help identify vulnerabilities so that they can be corrected before the software is released in order to prevent exploitation. Using automated methods lowers the effort and resources needed to detect vulnerabilities and improves traceability and repeatability. Executable code includes binaries, directly executed bytecode and source code, and any other form of code that an organization deems executable. 実行コードをテストして脆弱性を特定し、セキュリティ要求事項への準拠を検証する(PW.8):脆弱性を特定し、悪用を防ぐためにソフトウェアがリリースされる前に修正できるようにする。自動化された方法を使用することで、脆弱性を検出するために必要な労力とリソースを削減し、トレーサビリティと再現性を向上させます。実行可能なコードとは、バイナリー、直接実行されるバイトコードやソースコード、その他組織が実行可能と判断したコードのことです。
Configure Software to Have Secure Settings by Default (PW.9): Help improve the security of the software at the time of installation to reduce the likelihood of the software being deployed with weak security settings, putting it at greater risk of compromise. ソフトウェアをデフォルトで安全な設定にする(PW.9):インストール時にソフトウェアのセキュリティを向上させ、脆弱なセキュリティ設定でソフトウェアが展開され、侵害のリスクが高まる可能性を低減します。
Identify and Confirm Vulnerabilities on an Ongoing Basis (RV.1): Help ensure that vulnerabilities are identified more quickly so that they can be remediated more quickly in accordance with risk, reducing the window of opportunity for attackers. 脆弱性の継続的な把握と確認(RV.1):脆弱性がより迅速に特定されるようにすることで、リスクに応じてより迅速に修正することができ、攻撃者の機会を減らすことができる。
Assess, Prioritize, and Remediate Vulnerabilities (RV.2): Help ensure that vulnerabilities are remediated in accordance with risk to reduce the window of opportunity for attackers. 脆弱性の評価、優先順位付け、修正(RV.2):攻撃者の機会を減らすために、リスクに応じて脆弱性が修正されることを確実にする。
Analyze Vulnerabilities to Identify Their Root Causes (RV.3): Help reduce the frequency of vulnerabilities in the future. 脆弱性の分析とその根本原因の特定(RV.3):将来的な脆弱性の発生頻度の低減に貢献します。

 

 

Supplemental Material:

・[XLS]  SP 800-218 Table in Excel (xls)

・[DOC]  Delta from April 2020 paper

・[DOC]  Delta from September 2021 public draft

 SSDF Project homepage (other)

・[web]  Executive Order 14028, Improving the Nation's Cybersecurity

 

Related NIST Publications:

White Paper

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2021.10.02 NIST SP 800-218 (ドラフト)セキュアソフトウェア開発フレームワーク (SSDF) Version 1.1: ソフトウェアの脆弱性のリスクを軽減するための推奨事項

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

| | Comments (0)

2022.02.05

NIST SP 1800-32 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティ

こんにちは、丸山満彦です。

NISTがSP 1800-32 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティを公表していますね。。。

米国の電力環境を前提としていますね。。。課題の整理の仕方、対策の考え方といった部分は参考になると思います。。。

NIST - ITL

・2022.02.02 SP 1800-32 Securing Distributed Energy Resources: An Example of Industrial Internet of Things Cybersecurity

SP 1800-32 Securing Distributed Energy Resources: An Example of Industrial Internet of Things Cybersecurity
SP 1800-32 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティ
Abstract 概要
The Industrial Internet of Things (IIoT) refers to the application of instrumentation and connected sensors and other devices to machinery and vehicles in the transport, energy, and other critical infrastructure sectors. In the energy sector, distributed energy resources (DERs) such as solar photovoltaics including sensors, data transfer and communications systems, instruments, and other commercially available devices that are networked together. DERs introduce information exchanges between a utility’s distribution control system and the DERs to manage the flow of energy in the distribution grid. 産業用IoT(IIoT)とは、輸送、エネルギー、およびその他の重要なインフラ分野の機械や車両に、計測器や接続されたセンサーなどのデバイスを適用することを指します。エネルギー分野では、太陽光発電などの分散型エネルギー資源(DER)に、センサー、データ転送・通信システム、計測器、その他の市販の機器がネットワーク接続されています。DERは、配電網におけるエネルギーの流れを管理するために、電力会社の配電制御システムとDERの間で情報交換を行います。
This practice guide explores how information exchanges among commercial- and utility-scale DERs and electric distribution grid operations can be monitored and protected from certain cybersecurity threats and vulnerabilities. この実践ガイドでは、商業規模および公益事業規模のDERと配電網運用との間の情報交換をどのように監視し、特定のサイバーセキュリティの脅威や脆弱性から保護するかを検討しています。
The NCCoE built a reference architecture using commercially available products to show organizations how several cybersecurity capabilities, including communications and data integrity, malware detection, network monitoring, authentication and access control, and cloud-based analysis and visualization can be applied to protect distributed end points and reduce the IIoT attack surface for DERs. NCCoEは、市販の製品を使用してリファレンス・アーキテクチャを構築し、通信とデータの整合性、マルウェアの検出、ネットワークの監視、認証とアクセス制御、クラウドベースの分析と可視化など、いくつかのサイバーセキュリティ機能を適用して分散型エンドポイントを保護し、DERのIIoT攻撃対象を削減する方法を組織に示しました。

 

・[PDF] SP 1800-32

20220205-142221

 

Executive Summary  エグゼクティブサマリー 
Protecting Industrial Internet of Things (IIoT) devices at the grid edge is arguably one of the more difficult tasks in cybersecurity. There is a wide variety of devices, many of which are deployed and operate in a highly specific manner. Their connectivity, the conduit through which they can become vulnerable, represents a growing cyber threat to the distribution grid. In this practice guide, the National Cybersecurity Center of Excellence (NCCoE) applies standards, best practices, and commercially available technology to protect the digital communication, data, and control of cyber-physical grid-edge devices. We demonstrate how to monitor and detect unusual behavior of connected IIoT devices and build a comprehensive audit trail of trusted IIoT data flows.   グリッドエッジにある産業用モノのインターネット(IIoT)デバイスを保護することは、サイバーセキュリティにおいて最も困難な課題の一つであることは間違いありません。デバイスには様々な種類があり、その多くは非常に特殊な方法で配置され、動作しています。これらの機器が脆弱になるきっかけとなる接続性は、配電網にとって増大するサイバー脅威となっています。この実践ガイドでは、NCCoE(National Cybersecurity Center of Excellence)が、標準規格、ベストプラクティス、および市販の技術を適用して、サイバーフィジカルなグリッドエッジ機器のデジタル通信、データ、制御を保護します。接続されたIIoTデバイスの異常な動作を監視・検出し、信頼できるIIoTデータフローの包括的な監査証跡を構築する方法を紹介します。 
CHALLENGE  課題 
The use of small-scale distributed energy resources (DERs), grid-edge devices such as solar photovoltaics, is growing rapidly and transforming the traditional power grid. As the use of DERs expands, the distribution grid is becoming a multisource grid of interconnected devices and systems driven by two-way data communication and power flows. These data and power flows often rely on IIoT technologies that are connected to wireless networks, given a level of digital intelligence that allows them to be monitored and tracked, and to share data on their status and communicate with other devices.   太陽光発電などのグリッドエッジデバイスである小規模分散型エネルギー資源(DER)の利用は急速に拡大しており、従来の電力網に変化をもたらしています。DERの使用が拡大するにつれ、配電網は、双方向のデータ通信と電力の流れによって駆動される、相互に接続されたデバイスとシステムのマルチソースグリッドになりつつあります。このようなデータや電力の流れは、無線ネットワークに接続され、監視や追跡、状態に関するデータの共有や他の機器との通信を可能にするデジタルインテリジェンスを備えたIIoT技術に依存していることが多い。 
A distribution utility may need to remotely communicate with thousands of DERs, some of which may not even be owned or configured by the utility, to monitor the status of these devices and control the operating points. Many companies are not equipped to offer secure access to DERs and to monitor and trust the rapidly growing amount of data coming from them. Securing DER communications will be critical to maintaining the reliability of the distribution grid. Any attack that can deny, disrupt, or tamper with DER communications could prevent a utility from performing necessary control actions and could diminish grid resiliency.   配電事業者は、何千ものDERと遠隔で通信し、その中には事業者が所有・設定していないものもありますが、これらの機器の状態を監視し、動作点を制御する必要があります。多くの企業は、DERへの安全なアクセスを提供し、DERから送られてくる急速に増加するデータを監視し、信頼するための設備を備えていません。配電網の信頼性を維持するためには、DERの通信を確保することが重要になります。DERの通信を拒否、妨害、または改ざんするような攻撃を受けた場合、電力会社は必要な制御を行うことができず、送電網の回復力が低下する可能性があります。 
This practice guide can help your organization:  この実践ガイドは、組織にとって以下の点で役立ちます。
・develop a risk-based approach for connecting and managing DERs and other grid-edge devices that is built on National Institute of Standards and Technology (NIST) and industry standards ・米国国立標準技術研究所(NIST)および業界標準に基づいた、DERおよびその他のグリッドエッジデバイスの接続および管理のためのリスクベースのアプローチを開発する。
・protect data and communications traffic of grid-edge devices and networks ・グリッドエッジ機器およびネットワークのデータおよび通信トラフィックの保護
・support secure edge-to-cloud data flows, visualization, and continuous intelligence ・エッジからクラウドへの安全なデータフロー、可視化、および継続的なインテリジェンスのサポート
・remotely monitor and control utility and nonutility DERs ・ユーティリティーおよび非ユーティリティーDERの遠隔監視と制御
・capture an immutable record of control commands across DERs that can be shared with DER management systems, aggregators, regulators, auditors, financiers, or grid operators ・DER管理システム、アグリゲータ、規制当局、監査人、金融機関、グリッド運用者と共有可能なDER全体の制御コマンドの不変的な記録の取得
・advance the cybersecurity workforce skills needed to support DER and smart grid growth ・DERとスマートグリッドの成長をサポートするために必要なサイバーセキュリティ人材のスキルを向上させる。
・build the business case, functional requirements, and test plan for a similar solution within your own environment ・ビジネスケース、機能要件、テストプランを構築する。
SOLUTION  解決策 
The NCCoE collaborated with stakeholders in the electricity sector, the University of Maryland, and cybersecurity technology providers to build an environment that represents a distribution utility interconnected with a campus DER microgrid. Within this ecosystem, we are exploring several scenarios in which information exchanges among DERs and electric distribution grid operations can be protected from certain cybersecurity compromises. The example solution demonstrates the following capabilities:  NCCoEは、電力セクターの関係者、メリーランド大学、サイバーセキュリティ技術プロバイダーと協力して、キャンパス内のDERマイクログリッドと相互接続された配電ユーティリティーを表す環境を構築しました。このエコシステムでは、DER間の情報交換や配電網の運用を、特定のサイバーセキュリティ侵害から保護するためのいくつかのシナリオを検討しています。このソリューション例では、以下の機能を実現しています。
・authentication and access control to ensure that only known, authorized systems can exchange information 認証およびアクセス制御により、既知の認可されたシステムのみが情報を交換できることを保証する。
・communications and data integrity to ensure that information is not modified in transit 通信とデータの整合性:通信中に情報が変更されないようにする。
・malware detection to monitor information exchanges and processing to identify potential malware infections 情報のやり取りや処理を監視し、マルウェアに感染している可能性を検知するマルウェア検知機能
・command register that maintains an independent, immutable record of information exchanges between distribution and DER operators 配電事業者とDER事業者間の情報交換の独立した不変的な記録を維持するコマンド・レジスター
・behavioral monitoring to detect deviations from operational norms 動作規範からの逸脱を検出する行動監視
・analysis and visualization processes to monitor data, identify anomalies, and alert operators データを監視し、異常を特定し、オペレータに警告するための分析・可視化プロセス
The example solution documented in the practice guide uses technologies and security capabilities (shown below) from our project collaborators. The solution is mapped to security standards and guidelines of the NIST Cybersecurity Framework; NIST Interagency or Internal Report 7628 Rev 1: Guidelines for Smart Grid Cybersecurity; and NIST SP 1108r4, Framework and Roadmap for Smart Grid Interoperability Standards, Release 4.0.   実践ガイドに記載されているソリューション例では、本プロジェクトの共同研究者の技術とセキュリティ機能(下図)が使用されています。このソリューションは、「NIST Cybersecurity Framework」、「NIST Interagency or Internal Report 7628 Rev 1: Guidelines for Smart Grid Cybersecurity」、「NIST SP 1108r4, Framework and Roadmap for Smart Grid Interoperability Standards, Release 4.0」のセキュリティ基準とガイドラインにマッピングされています。 
Collaborator: Security Capability or Component  協力者 セキュリティ機能またはコンポーネント 
Anterix: Offers long-term evolution infrastructure and communications on wireless  broadband for campus DER microgrid communications  Anterix社:キャンパスDERマイクログリッド通信のための無線ブロードバンド上の長期進化インフラと通信を提供 
Cisco: Detects process anomalies or unwanted IIoT device modifications; provides identity and access management capabilities; controls access to resources  シスコ社: プロセスの異常やIIoTデバイスの望ましくない変更を検出し、アイデンティティとアクセス管理機能を提供し、リソースへのアクセスを制御する 
Dots Bridges: Serves in an advisory role in smart grid and critical infrastructure cyber-physical  security  Dots Bridges社:スマートグリッドや重要インフラのサイバーフィジカル・セキュリティに関するアドバイザリー業務を行っています。
Radiflow: Provides operational technology network monitoring to detect malicious activity  Radiflow社:悪意のある行為を検知するための運用技術によるネットワーク監視を提供 
Spherical Analytics: Affords data integrity and maintains a distributed ledger that gives an immutable audit trail for all data exchanges between the utility and the microgrid  Spherical Analytics社:データの整合性を確保し、分散型台帳を維持することで、電力会社とマイクログリッド間のすべてのデータ交換に不変の監査証跡を付与する。
Somo Logics: Offers cloud-based DER device log management and metrics that leverage big data analytics to produce real-time insights and actionable intelligence  Somo Logics社:クラウドベースのDERデバイスログ管理と、ビッグデータ分析を活用したリアルタイムの洞察と実用的なインテリジェンスを生み出すメトリクスを提供します。
tdi: Manages privileged user permissions and access  tdi社:特権ユーザーの権限とアクセスを管理 
University of Maryland: Delivers live data feed from on-campus solar arrays  メリーランド大学:キャンパス内のソーラーアレイからのライブデータを配信 
xage security: Allows multiparty, fine-grained policy creation, authentication, and secure access control and data sharing for human, machine, and application interactions across utility and DER operations   xage Security社:公益事業やDERの運営に関わる人間、機械、アプリケーションのインタラクションに対して、マルチパーティによるきめ細かなポリシー作成、認証、安全なアクセス制御、データ共有を可能にする。 
While the NCCoE used a suite of commercial products to address this challenge, this guide does not endorse these particular products, nor does it guarantee compliance with any regulatory initiatives. Your organization’s information security experts should identify the products that will best integrate with your existing tools and information technology (IT) or operational technology (OT) system infrastructure. Your organization can adopt this solution or one that adheres to these guidelines in whole, or you can use this guide as a starting point for tailoring and implementing parts of a solution.  NCCoE は、この課題に取り組むために一連の商用製品を使用しましたが、本ガイドは、これらの特定の製品を推奨するものではなく、また、あらゆる規制イニシアチブへの準拠を保証するものでもありません。組織の情報セキュリティ専門家は、既存のツールや情報技術(IT)または運用技術(OT)システムのインフラと最もよく統合できる製品を特定する必要があります。お客様の組織は、このソリューションまたはこのガイドラインに準拠したソリューションを全体的に採用することもできますし、このガイドをソリューションの一部を調整して導入するための出発点として使用することもできます。
HOW TO USE THIS GUIDE  本ガイドの使用方法 
Depending on your role in your organization, you might use this guide in different ways:  組織内での役割に応じて、このガイドの使用方法は異なります。
Business decision-makers, including chief information security, risk, compliance, and technology officers can use this part of the guide, NIST SP 1800-32a: Executive Summary, to understand the drivers for the guide, the cybersecurity challenge we address, our approach to solving this challenge, and how the solution could benefit your organization.  最高情報セキュリティ責任者、リスク管理責任者、コンプライアンス責任者、技術責任者などの経営意思決定者は、本ガイドのこの部分、NIST SP 1800-32a: NIST SP 1800-32a: Executive Summary」を使用して、本ガイドの推進要因、本ガイドが取り上げるサイバーセキュリティの課題、この課題を解決するためのアプローチ、およびその解決策が組織にどのようなメリットをもたらすかを理解することができます。
Technology, security, and privacy program managers who are concerned with how to identify, understand, assess, and mitigate risk can use NIST SP 1800-32b: Approach, Architecture, and Security Characteristics, which describes what we built and why, including the risk analysis performed and the security control mappings.  リスクを特定、理解、評価、軽減する方法に関心のある技術、セキュリティ、プライバシーのプログラムマネージャは、「NIST SP 1800-32b: NIST SP 1800-32b: Approach, Architecture, and Security Characteristics」には、何を構築したのか、その理由、実行したリスク分析、セキュリティ・コントロールのマッピングなどが記載されています。
IT or OT professionals who want to implement an approach like this can use NIST SP 1800-32c: How-To Guides, which provide specific product installation, configuration, and integration instructions for building the example implementation, allowing you to replicate all or parts of this project.   このようなアプローチを実装したいと考えているIT/OTの専門家は、NIST SP 1800-32c: How-To Guidesを利用することができます。このガイドには、実装例を構築するための具体的な製品のインストール、構成、および統合の手順が記載されており、このプロジェクトのすべてまたは一部を再現することができます。 

 

Supplemental Material:
 Project homepage (web)

Related NIST Publications:

・2019.08 White Paper
[Project Description] Securing the Industrial Internet of Things: Cybersecurity for Distributed Energy Resources

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.22 NIST SP 1800-32 (ドラフト) 産業用IoTの安全性確保 分散型エネルギー源のサイバーセキュリティ

・2021.04.23 NIST SP 1800-32 (ドラフト)産業用IoTの保護:分散型エネルギー源のサイバーセキュリティ(暫定ドラフト)

| | Comments (0)

ウクライナ 大統領がサイバーセキュリティ戦略実施計画を採択

こんにちは、丸山満彦です。

ウクライナ大統領はサイバーセキュリティ戦略を採択したようですね。。。

 

Державна служба спеціального зв’язку та захисту інформації України(ウクライナ特別通信・保護局)

・2022.02.02 Президент надав чинності Плану реалізації Стратегії кібербезпеки України

Президент надав чинності Плану реалізації Стратегії кібербезпеки України ウクライナのサイバーセキュリティ戦略実施計画を大統領が承認
Президент України Володимир Зеленський своїм Указом надав чинності рішенню Ради національної безпеки і оборони України від 30 грудня 2021 року «Про План реалізації Стратегії кібербезпеки України». ウクライナのヴォロディミール・ゼレンスキー大統領は、2021年3月30日のウクライナ国家安全保障・防衛評議会の政令「ウクライナのサイバーセキュリティ戦略の実施計画について」に署名した。
План передбачає щорічне затвердження відповідного комплексу заходів з індикаторами їх виконання. Окрім цього, кожні пів року інформація про стан виконання Плану реалізації Стратегії кібербезпеки України має бути надана Національному координаційному центру кібербезпеки. この計画では、適切な一連の施策を毎年承認し、その実施状況を示す指標を設けることになっています。さらに、2年ごとにウクライナのサイバーセキュリティ戦略実施計画の実施状況に関する情報を国家サイバーセキュリティコーディネーションセンターに提供しなければならない。
Як повідомлялося раніше, серед пріоритетів і головних цілей Стратегії – запровадження дієвої кібероборони, протидія розвідувально-підривній діяльності у кіберпросторі та забезпечення безпечності цифрових послуг. 既報のとおり、本戦略の優先事項および主な目的は、効果的なサイバーセキュリティの実施、サイバー空間における不正行為の防止、デジタルサービスのセキュリティ確保などです。
Державна служба спеціального зв’язку та захисту інформації як один із суб’єктів кібербезпеки забезпечить: 国家特別通信情報保護局は、セキュリティの対象の一つとして、以下のことを保証する。
・створення загальнодержавної системи кібербезпеки, її технологічних можливостей для автоматичного виявлення кібератак у режимі реального часу; ・全国規模のセキュリティシステムを構築し、サイバー攻撃をリアルタイムで自動検知する技術力を持つ。
・налагодження систематичного обміну інформацією про деструктивну діяльність у кіберпросторі з міжнародними партнерами, насамперед із державами-членами ЄС і НАТО; ・国際的なパートナー、特にEUやNATO加盟国との間で、サイバー空間での破壊的な活動に関する体系的な情報交換を確立すること。
・забезпечення моніторингу національних електронних комунікаційних мереж та інформаційних ресурсів, аналізу вторгнень щодо цих мереж і ресурсів; ・国内の電子通信網や情報資源の監視と、それらへの侵入の分析を確実に行う。
・розроблення базових вимог і рекомендацій забезпечення кібербезпеки для державного і приватного секторів з урахуванням кращих світових практик; ・国際的なベスト・プラクティスを考慮に入れた、官民のサイバーセキュリティに関するベースラインの要件と推奨事項の策定。
・впровадження системи сертифікації продукції, яка використовується для функціонування та кіберзахисту інформаційно-комунікаційних систем, насамперед об'єктів критичної інформаційної інфраструктури; ・情報通信システム、特に重要な情報インフラ施設の機能とサイバー保護に使用される製品の認証システムを導入する。
・створення й забезпечення функціонування державного реєстру об'єктів критичної інформаційної інфраструктури, постійного перегляду та оновлення вимог щодо кіберзахисту таких об’єктів з урахуванням сучасних міжнародних стандартів з питань кібербезпеки; ・重要な情報インフラの国家登録簿の確立と維持、サイバーセキュリティに関する現行の国際基準に基づくこれらの施設のサイバーセキュリティ要件の継続的な見直しと更新。
・запровадження на постійній основі оцінки стану захищеності об'єктів критичної інформаційної інфраструктури та державних інформаційних ресурсів на вразливість зі встановленням обов'язковості та періодичності проведення такої оцінки з урахуванням категорій критичності об'єктів; ・重要な情報インフラ施設と国家情報資源の保護状態の脆弱性に関する評価を、施設の重要性のカテゴリーに基づいて、その義務と頻度を定義することにより、恒常的に確立する。
・розвиток систем технічного і криптографічного захисту інформації, пріоритетності використання засобів технічного і криптографічного захисту інформації вітчизняного виробництва для кіберзахисту державних інформаційних ресурсів та об'єктів критичної інформаційної інфраструктури; ・情報の技術的および暗号的保護のシステムの開発、国家情報資源および重要な情報インフラオブジェクトの保護のための国内の技術的および暗号的情報セキュリティデバイスの優先順位付け。
・розвиток мережі центрів реагування на кібератаки та кіберінциденти; ・サイバー攻撃やサイバーインシデントに対応するセンターのネットワークを構築する。
・розгортання Національної телекомунікаційної мережі, збільшення її пропускної здатності, передбачення під час її функціонування використання винятково вітчизняних засобів криптографічного захисту інформації; ・全国電気通信網の整備、容量の増加、運用時の情報の国内暗号保護の使用を規定する。
・функціонування та розвиток Національного центру резервування державних інформаційних ресурсів, проведення модернізації системи захищеного доступу державних органів до мережі “Інтернет”; ・国家情報資源のバックアップのためのナショナルセンターの機能と開発、および公的機関によるインターネットへの保護されたアクセスのシステムの近代化を行う。
・створення національного сервісу доменних імен (DNS); ・ナショナルドメインネームサービス(DNS)の確立。
・дослідження і розроблення у сфері кібербезпеки з урахуванням розвитку новітніх інформаційно-комунікаційних технологій, зокрема, технологій хмарних та квантових обчислень, 5G-мереж, інтернету речей, штучного інтелекту; ・新しい情報通信技術、特にクロマティック・コンピューティングや量子コンピューティング、5Gメディア、言論のインターネット、ピース・バイ・ピース・インテリジェンスなどの技術の発展を考慮した、サイバーセキュリティ分野の研究開発。
・розроблення національних стандартів у сфері кібербезпеки, організаційних і технічних вимог, що стосуються безпеки застосунків, мобільних пристроїв, робочих станцій, серверів і мереж, моделей хмарних обчислень, з урахуванням європейських та міжнародних стандартів. ・欧州および国際的な基準を考慮した、デバイス、モバイルデバイス、ワークステーション、サーバーおよびネットワーク、慢性的なコンピューティングモデルの安全性、組織、および安全性に関連する技術的要件の分野における国家標準の開発。

 

Fig_20220118153501

 

大統領令

ПРЕЗИДЕНТ УКРАЇНИ(ウクライナ大統領)

↓ 

Continue reading "ウクライナ 大統領がサイバーセキュリティ戦略実施計画を採択"

| | Comments (0)

2022.02.04

バイデン大統領夫妻の旧正月に寄せたメッセージ. - 米国が競争しているのは、中国ではなく中国共産党政府なんでしょうね。。。

こんにちは、丸山満彦です。

今年の旧正月は2月1日でした。アジア諸国では旧正月を祝う国が多いですね。日本は明治維新以降、あまり祝わなくなりましたが、アジアでは例外的な国ですね。。。

さて、バイデン大統領夫妻が、旧正月に寄せてメッセージを出していますね。。。

中国共産党政府との競争の激化は米国市民も感じていることでしょう。しかし、それは中国人、アジア人憎しではないのですよね。。。米国の自由、平等という価値観(どこまで本当に守られているかということもあるでしょうが...)を大切にし、国民の分断を避け、強い米国を作りたいという思いなんでしょうね。。。私にはそう感じました。。。

 

White House

・2022.02.01 Statement by President Joe Biden and First Lady Jill Biden on Lunar New Year

Statement by President Joe Biden and First Lady Jill Biden on Lunar New Year 旧正月に関するジョー・バイデン大統領とジル・バイデンファーストレディの声明
STATEMENTS AND RELEASES 声明およびリリース
We send our warmest greetings to everyone celebrating the Lunar New Year. 旧正月を迎えられた皆さまに、心からのご挨拶を申し上げます。
Across our country and around the world, families and friends are gathering together in person and in spirit to celebrate the possibility and hope of new beginnings. わが国や世界各地で、家族や友人たちが人と人とのつながりを大切にしながら、新たな始まりの可能性と希望を祝っています。
As we enter this Year of the Tiger — representing strength and courage — let us continue doing the work of our time to beat this pandemic, rebuild our economy, and protect our very democracy, which includes standing up to the hate that continues to target Asian Americans, Native Hawaiians, and Pacific Islanders. 強さと勇気を象徴する寅年を迎えるにあたり、アジア系アメリカ人、ハワイ先住民、太平洋諸島の人々を標的とした憎悪に立ち向かうことも含め、このパンデミックを克服し、経済を再建し、民主主義を守るために、時代に即した仕事を続けていきましょう。
Every person — no matter their race, background, religion, or language – is created equal and deserves to be treated equally throughout their lives. That is the very idea of America and the heart of our Administration. 人種、経歴、宗教、言語を問わず、すべての人は平等に作られており、生涯を通じて平等に扱われるべきです。これこそがアメリカの理念であり、私たちの政権の中心でもあります。
Each day, all of our communities are enriched by the diversity and talents of the people of this nation — from frontline workers and military families to business leaders and community activists to artists, entertainers, writers, and public servants. 第一線で働く労働者や軍人の家族、ビジネスリーダーや地域活動家、芸術家、芸能人、作家、公務員など、この国の人々の多様性と才能によって、私たちのすべてのコミュニティは日々豊かになっています。
Together, you show what it means to be the hope and light for better days ahead. From our family to yours, we wish you peace, prosperity, health, and a happy Lunar New Year. 皆さんが一緒になって、これからのより良い日のための希望と光であることの意味を示してくれています。私たち家族から皆さんへ、皆さんの平和と繁栄、健康、そして幸せな旧正月をお祈りしています。

 

Fig1_20210802074601

 


 

バイデン大統領は新年に特別なスピーチをしていないように思うんですよね。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.02 各国代表の新年の挨拶 2022年

 

 

| | Comments (0)

ロシア 国際個人データ保護の日に合わせて開催されたオンラインセミナーには1万人以上の人が参加

こんにちは、丸山満彦です。

ロシアでも通信・IT・マスメディア監督連邦サービス(Roskomnadzor)が1月28日に合わせて国際個人データ保護の日にオンラインセミナーを開催し、1万人以上の人が参加したようですね。。。

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2022.01.28 Онлайн-семинар Роскомнадзора, приуроченный к Международному дню защиты персональных данных, посмотрело более 10 тысяч человек

Онлайн-семинар Роскомнадзора, приуроченный к Международному дню защиты персональных данных, посмотрело более 10 тысяч человек 国際個人データ保護の日に合わせて開催されたRoskomnadzorのオンラインセミナーには、1万人以上の人が参加しました。
28 января Роскомнадзор провел День открытых дверей, посвященный защите персональных данных граждан. Участниками онлайн-семинара стали более десяти тысяч человек. 1月28日、Roskomnadzorは個人データ保護をテーマにしたOpen Doors Dayを開催しました。オンラインセミナーには1万人以上の人が参加しました。
Выступления спикеров Роскомнадзора познакомили участников мероприятия с законодательными новеллами в сфере защиты персональных данных, осветили типовые нарушения законодательства РФ в области персональных данных и особенности проведения проверок, а также подвели итоги деятельности ведомства в сфере защиты персональных данных за 2021 год. Roskomnadzorの講演者は、参加者に個人データ保護の分野における法律の新しさを紹介し、個人データに関するロシアの法律の典型的な違反とチェックの具体的な内容を強調し、2021年の個人データ保護における同機関の成果を総括しました。
Участие в онлайн-семинаре приняла Директор Центра правовой помощи гражданам в цифровой среде Л.Н. Куровская, которая рассказала о деятельности Центра. За 4 месяца работы Центра его услугами воспользовались свыше 450 граждан, столкнувшихся с неправомерным использованием их персональных данных. Она отметила, что число обращений граждан растет и Центр отрыл филиалы в Санкт-Петербурге, Новосибирске и Нижнем Новгороде. デジタル環境における市民への法的支援のためのセンターのディレクターであるL.N.クロフスカヤは、オンラインセミナーに参加し、センターの活動について説明しました。センターの活動開始から4ヶ月間で、個人データの悪用に遭遇した450人以上の市民がセンターのサービスを利用しました。同氏は、市民の申請件数が増加していること、センターがサンクトペテルブルク、ノボシビルスク、ニジニ・ノヴゴロドに支局を開設したと発表しました。
Начальник Управления по защите прав субъектов персональных данных Роскомнадзора ответил на вопросы, направленные участниками Дня открытых дверей. Roskomnadzorの個人データ保護部門の責任者が、「ドア・オープン・デー」の参加者から寄せられた質問に答えました。
Запись мероприятия доступна по ссылке. イベントの録画のリンク先

 

● VK - Роскомнадзор

20220204-65647

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.31 1月28日は「データ保護の日」でした...

 

 

| | Comments (0)

2022.02.03

ドイツ BSI Mail.deの電子メールサービスにITセキュリティラベルを付与

こんにちは、丸山満彦です。

ドイツのBSIはMail.deの電子メールサービスにITセキュリティラベルを付与したと公表していますね。。。これは、ドイツのITセキュリティ法 2.0に基づく認証制度とも言えるものですね。。。このセキュリティラベルは分野としては、電子メールサービスと、IoT機器がありますね。。。

自己宣言+臨時検査という感じですね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2022.02.01 (press) BSI übergibt erstes IT-Sicherheitskennzeichen

BSI übergibt erstes IT-Sicherheitskennzeichen BSIが初のITセキュリティラベルを授与
Sicherheitseigenschaften von IT-Produkten transparent machen und Verbraucherinnen und Verbrauchern Orientierung geben - das ist das Ziel des IT-Sicherheitskennzeichens. Im Rahmen des 18. Deutschen IT-Sicherheitskongresses hat das Bundesamt für Sicherheit in der Informationstechnik (BSI) heute das erste IT-Sicherheitskennzeichen übergeben. Der E-Mail-Diensteanbieter mail.de hat insgesamt vier IT-Sicherheitskennzeichen für vier verschiedene E-Mail-Dienste erhalten. Mail.de ist damit der erste Anbieter auf dem deutschen Verbrauchermarkt, der das Versprechen in die Sicherheit seiner Dienste durch das IT-Sicherheitskennzeichen für Verbraucherinnen und Verbraucher transparent macht. Nach der Erteilung wird das IT-Sicherheitskennzeichen durch die BSI-Marktaufsicht stichprobenartig und anlassbezogen auf Einhaltung geprüft. IT製品のセキュリティ機能を透明化し、消費者に方向性を示すこと、それがITセキュリティラベルの目的です。第18回ドイツITセキュリティ議会の一環として、連邦情報セキュリティ局(BSI)は本日、初のITセキュリティラベルを発表しました。電子メールサービスプロバイダーであるmail.deは、4つの異なる電子メールサービスに対して、合計4つのITセキュリティマークを取得しました。 Mail.deは、ドイツの消費者市場において、ITセキュリティマークを通じてサービスのセキュリティに関する約束を消費者に明示した最初のプロバイダーです。ITセキュリティマークが発行された後は、市場監督機関であるBSIによって、無作為に、また、臨時に、そのマークが遵守されているかどうかがチェックされます。
Dazu erklärt Arne Schönbohm: アルネ・シェーンボームが説明する。
„Ich freue mich, dass wir das erste IT-Sicherheitskennzeichen übergeben konnten. Es schafft Transparenz und gibt Orientierung. Wir geben damit ein deutliches Signal an den Verbrauchermarkt, dass Informationssicherheit ein wichtiges Argument für die Kauf- und Nutzungsentscheidung bei IT-Produkten ist. Wir sind überzeugt, dass wir mit dem IT-Sicherheitskennzeichen einen deutlichen Schritt zu mehr Sicherheit für die Verbraucherinnen und Verbraucher im Internet machen!“ ITセキュリティマーク の第一号を手渡すことができたことを嬉しく思います。それは透明性を生み、方向性を示すものです。私たちは、消費者市場に対して、情報セキュリティがIT製品の購入や使用を決定する際の重要な論拠であるという明確なシグナルを送っています。私たちは、ITセキュリティラベルによって、インターネット上の消費者の安全性向上に向けた明確な一歩を踏み出したと確信しています。
Das BSI stellt mit dem IT-Sicherheitskennzeichen Verbraucherinnen und Verbrauchern eine Orientierung zur Verfügung, mit dem Sicherheitseigenschaften von IT-Produkten leichter beurteilt werden können. Das Kennzeichen schafft somit mehr Transparenz am Verbrauchermarkt und bietet Nutzerinnen und Nutzern die Möglichkeit vor dem Kauf von IT-Produkten eine informierte Kaufentscheidung zu treffen. BSIは、ITセキュリティマークにより、消費者がIT製品のセキュリティ機能を容易に評価できるオリエンテーションツールを提供しています。このラベルは、消費者市場における透明性を高め、ユーザーがIT製品を購入する前に、十分な情報を得た上で購入を決定する機会を提供します。
Das Kennzeichen verfügt über einen Link und einen QR-Code, die zu einer spezifischen Produktinformationsseite auf der Webseite des BSI führen. Auf dieser Webseite können sich Verbraucherinnen und Verbraucher über die vom Hersteller zugesicherten Sicherheitseigenschaften des Dienstes und über aktuelle Sicherheitsinformationen informieren. Für das IT-Sicherheitskennzeichen in der Kategorie E-Mail-Dienste sichert der Anbieter u. a. zu, das BSI über aktuelle Schwachstellen zu informieren und seinen Dienst mindestens bis zum Ende der aktuellen Laufzeit des Kennzeichens mit sicherheitsrelevanten Updates zu versorgen. Die Anforderungen für das IT-Sicherheitskennzeichen für E-Mail-Dienste basieren auf der Technischen Richtlinie „Sicherer E-Mail-Transport“ (TR 3108). このラベルには、BSIのウェブサイトの特定の製品情報ページにつながるリンクとQRコードが付いています。このサイトでは、メーカーが保証するサービスのセキュリティ機能や、最新のセキュリティ情報を確認することができます。電子メールサービスカテゴリーのITセキュリティラベルについては、プロバイダーは、少なくともラベルの有効期間が終了するまで、現在の脆弱性についてBSIに情報を提供し、セキュリティに関連するアップデートをサービスに提供することなどを保証します。電子メールサービスのITセキュリティマークの要件は、技術ガイドライン「Secure Email Transport」(TR 3108)に基づいています。
Derzeit kann beim BSI ein Antrag zur Erteilung eines IT-Sicherheitskennzeichen für die ersten beiden Kategorien Breitbandrouter und E-Mail-Dienste beantragt werden. Weitere Produktkategorien aus dem Bereich Internet of Things sind derzeit in Vorbereitung und werden im Laufe des Jahres veröffentlicht. Die Anforderungen für IT-Sicherheitskennzeichen aus diesem Bereich werden voraussichtlich auf dem europäischen Standard ETSI EN 303 645 beruhen. Mit der fortlaufenden Entwicklung neuer Produktkategorien für das IT-Sicherheitskennzeichenleistet das BSI einen wichtigen Beitrag für transparente IT-Sicherheit auf dem deutschen Verbrauchermarkt. 現在、ブロードバンドルーターと電子メールサービスの最初の2つのカテゴリーについて、ITセキュリティマークの付与をBSIに申請することができます。モノのインターネット」分野からのさらなる製品カテゴリーは現在準備中で、年内に発表する予定です。この分野のITセキュリティマークの要件は、欧州規格ETSI EN 303 645に基づいていることが予想されます。BSIは、ITセキュリティマークの新しい製品カテゴリーを継続的に開発することで、ドイツの消費者市場における透明性の高いITセキュリティに重要な貢献をしています。
Mehr Informationen zum IT-Sicherheitskennzeichen gibt es unter (web). ITセキュリティマークの詳細については、 (web)。

 

mail.de - FreeMail IT-Sicherheitskennzeichen

20220203-42504

mail.de - FreeMail mail.de - FreeMail
IT-Sicherheitskennzeichen ITセキュリティマーク
Informationsseite zum Produkt 製品に関する情報ページ
Dieses Produkt trägt das IT-Sicherheitskennzeichen, weil der Antragsteller erklärt hat, dass es vom BSI veröffentlichten Anforderungen entspricht und bestimmte Sicherheitsfunktionalitäten besitzt. Das Bundesamt führt bei Antragstellung keine technische Prüfung durch. Nach Erteilung wird die Einhaltung der Vorgaben durch die Marktaufsicht des BSI überwacht und, beispielsweise bei Bekanntwerden von Schwachstellen, anlassbezogen geprüft. Auch Produkte mit dem IT-Sicherheitskennzeichen können Schwachstellen enthalten. Minimieren Sie das Risiko, indem Sie bereitgestellte Sicherheitsupdates unverzüglich durchführen. 本製品にITセキュリティマークが付いているのは、申請者がBSIが公表している要件を満たし、一定のセキュリティ機能を備えていることを宣言しているからです。申請書が提出されても、連邦政府は技術審査を行いません。発行後、要求事項の遵守状況はBSIの市場サーベイランスによって監視され、例えば、脆弱性が判明した場合には、臨時に監査が行われます。ITセキュリティマークがついている製品にも脆弱性がある場合があります。セキュリティアップデートを遅滞なく実施することで、リスクを最小限に抑えることができます。

 

会社のウェブページ

mail.de - mehr Sicherheit, Seriosität und Komfort

4種類のサービスそれぞれに個別のITセキュリティラベルが開示されていますね。。

 

 


■ 参考

ITセキュリティ法2.0の情報

● BSI

Zweites Gesetz zur Erhöhung der Sicherheit informationstechnischer Systeme (IT-Sicherheitsgesetz 2.0)

 

 まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.18 独国 BSIがITセキュリティラベルについてのウェブページを公開していますね。。。

・2021.05.31 ドイツ ITセキュリティ法 2.0施行

・2020.12.29 ドイツのITセキュリティ法案が閣議決定されている at 2020.12.16

 

BSI規格

ルータ製品の規格

・2020.04.30 [PDF]  BSI TR-03148: Secure Broadband Router

 

電子メール

BSI TR-03108 Sicherer E-Mail-Transport

・2016.09.11 BSI TR-03108-1 BSI TR-03108-1 Secure E-Mail Transport, Version 1.0.1
・2016.09.11 BSI TR-03108-2 BSI TR-03108-2 Testspezifikation, Version 1.0.1
・2016.09.11 Schemadateien Schemadateien zur BSI TR-03108-2, Version 1.0.1

20220203-41540

 

 

 

| | Comments (0)

内閣官房 経済安全保障法制に関する有識者会議 第4回

こんにちは、丸山満彦です。

経済安全保障法制に関する有識者会の第4回の資料が公表されていますね。。。

内閣官房 - 経済安全保障法制に関する有識者会議

・[PDF] 提言 経済安全保障法制に関する提言

20220203-25631

 

目次...


Ⅰ はじめに

Ⅱ サプライチェーンの強靭化
1 現状・課題
2 政策対応の基本的な考え方

(1)新しい制度の必要性
(2)官民の役割分担
(3)経済活動の自由・国際ルールとの関係
3 新しい立法措置の基本的な枠組み
(1)制度の対象
 ① 対象となる物資
 ② 供給途絶リスクの考え方

(2)措置を講じる際の考え方
 ① 多様な取組に対する支援
 ② 中長期的な支援
 ③ 政策資源の有効活用

(3)制度の枠組み
 ① 政府による指針の策定
 ② 政府による対象物資の指定
 ③ 物資所管大臣による取組方針の策定
 ④ 民間事業者による取組に対する支援
 ⑤ 物資所管大臣による措置
 ⑥ 重要な物資の安定供給の確保に向けた調査の実施

Ⅲ 基幹インフラの安全性・信頼性の確保
1 現状・課題
2 政策対応の基本的な考え方

(1)新しい制度の必要性
(2)経済活動の自由との関係
(3)国際ルールとの関係
3 新しい立法措置の基本的な枠組み
(1)制度の対象
 ① 基本的な考え方
 ② 対象とする事業
 ③ 対象とする事業者
 ④ 対象とする設備
 ⑤ 業務委託の取扱い
 ⑥ その他留意点

(2)事前審査スキーム
 ① 審査に必要な情報
 ② 情報を把握するための仕組み
 ③ 審査
 ④ 勧告・命令
 ⑤ 審査期間

(3)変更届出等
(4)報告徴収等
(5)施行時期・遡及適用

Ⅳ 官民技術協力
1 現状・課題
2 政策対応の方向性
3 新しい立法措置の基本的な枠組み

(1)先端的な重要技術に係る研究開発基本指針の策定・資金支援
 ① 政府による指針の策定と支援
 ② 支援対象となる先端的な重要技術

(2)協議会設置による官民伴走支援
 ① 産学官による伴走支援の必要性
 ② 協議会の設置
 ③ 協議会の具体的な機能
 ④ 協議会における情報管理の取組
  ア 協議会で提供を受けた情報の取扱い
  イ 研究成果の取扱い

(3)調査研究機関(シンクタンク)
 ① 調査研究業務の委託
 ② 調査研究機関に求められる能力

Ⅴ 特許出願の非公開化
1 現状・課題
2 政策対応の基本的な考え方

(1)新しい制度の必要性
(2)対象発明を選定する際の視点
3 新しい立法措置の基本的な枠組み
(1)制度の骨格
(2)非公開の対象となる発明
 ① 審査対象となる技術分野
 ② 具体的な対象発明のイメージ

(3)発明の選定プロセス
 ① 二段階審査制
 ② 審査体制

  ア 第一次審査
  イ 第二次審査
  ウ 審査体制の整備
 ③ 保全指定前の意思確認
 ④ 予見可能性の確保
 ⑤ その他留意事項

(4)対象発明の選定後の手続と情報保全措置
 ① 情報保全の期間
 ② 漏えい防止のための措置
 ③ 情報の適正管理措置
 ④ 実効性の確保

(5)外国出願の制限
 ① 第一国出願義務の在り方
 ② 第一国出願義務に関する相談制度

(6)補償の在り方

Ⅵ おわりに

参考1 経済安全保障法制に関する有識者会議の開催について
参考2 経済安全保障法制に関する有識者会議の開催状況
参考3 分野別検討会合の開催状況

第3回SW サプライチェーン強靭化 基幹インフラ 官民技術協力 特許非公開
実施日 2022.01. 2022.01.24 2022.01.21 2022.01.26
議事要旨 資料 1 資料 2 資料 3 資料 4

 

サプライチェーン関係の海外情報

米国:重要製品に関するサプライチェーン強靭化に向けた報告書

・2021.06.08 [PDF] BUILDING RESILIENT SUPPLY CHAINS, REVITALIZING AMERICAN MANUFACTURING, AND FOSTERING BROAD-BASED GROWTH - 100-Day Reviews under Executive Order 14017
 
20220203-31545

 

欧州:EU委員会

European industrial strategy

・2021.05.08 Updating the 2020 Industrial Strategy: towards a stronger Single Market for Europe's recovery

・[PDF] Communication "Updating the 2020 New Industrial Strategy: Building a stronger Single Market for Europe’s recovery "

20220203-32215

 

 


第3回の内容に行く前に第2回の議事要旨

・[PDF] 議事要旨

 

第3回の資料です。。。

第2回SW サプライチェーン強靭化 基幹インフラ 官民技術協力 特許非公開
実施日 2022.01.12 2022.01.07 2022.01.11 2022.01.11
資料 資料 1 資料 4 資料 7 資料10
議事要旨 資料 2 資料 5 資料 8 資料11
議事のポイント 資料 3 資料 6 資料 9 資料12
提言骨子 提言骨子 提言骨子 提言骨子 提言骨子

 

提言骨子の目次

(サプライチェーンの強靭化)

1 政策対応の基本的な考え方
(1)新しい制度の必要性
(2)官民の役割分担
(3)経済活動の自由・国際ルールとの関係

2 新しい立法措置の基本的な枠組み
(1)制度の対象
① 物資の重要性
② 供給途絶リスクの考え方
(2)措置を講じる際の考え方
① 多様な取組に対する支援
② 中長期的な支援
(3)制度の枠組み
① 政府による指針の策定
② 政府による対象物資の指定
③ 物資所管大臣による取組方針の策定
④ 民間事業者による取組に対する支援
⑤ 物資所管大臣による措置
⑥ 重要な物資の安定供給の確保に向けた調査の実施


(基幹インフラの安全性・信頼性の確保)

1 政策対応の基本的な考え方
(1)新しい制度の必要性
(2)経済活動の自由との関係
(3)国際ルールとの関係

2 新しい立法措置の基本的な枠組み
(1)制度の対象
① 基本的な考え方
② 対象とする事業
③ 対象とする事業者
④ 対象とする設備
⑤ 業務委託の取扱い
⑥ その他留意点
(2)事前審査スキーム
① 審査に必要な情報
② 情報を把握するための仕組み(届出)
③ 審査
④ 勧告・命令
⑤ 審査期間
(3)報告徴収・立入検査
(4)施行時期・遡及適用


(官民技術協力)

1 政策対応の基本的な考え方

2 新しい立法措置の基本的な枠組み
(1)先端的な重要技術に係る研究開発基本指針の策定・資金支援
① 政府による指針の策定と支援
② 支援対象となる先端的な重要技術
(2)協議会設置による官民伴走支援
① 産学官による伴走支援の必要性
② 協議会の設置
③ 協議会の具体的な機能
④ 協議会における情報管理の取組
(3)調査研究機関(シンクタンク)
① 調査研究業務の委託
② 調査研究機関に求められる能力


(特許出願の非公開化)

1 政策対応の基本的な考え方
(1)新しい制度の必要性
(2)対象発明を選定する際の視点

2 新しい立法措置の基本的な枠組み
(1)非公開の対象となる発明
① 審査対象となる技術分野
② 具体的な対象発明のイメージ
(2)発明の選定プロセス
① 二段階審査制
② 審査体制
ア 第一次審査
イ 第二次審査
ウ 審査体制の整備
③ 保全指定前の意思確認
④ 予見可能性の確保
(3)対象発明の選定後の手続と情報保全措置
① 情報保全の期間
② 漏えい防止のための措置
③ 情報の適正管理措置
④ 実効性の確保
(4)外国出願の制限
① 第一国出願義務の在り方
② 第一国出願義務に関する事前相談制度
(5)補償の在り方

 


第2回の内容に行く前に第1回の議事要旨

・[PDF] 議事要旨

 

第2回の資料です。。。

第1回SW サプライチェーン強靭化 基幹インフラ 官民技術協力 特許非公開
実施日 2021.12.08 2021.12.10 2021.12.09 2021.12.06
資料 資料 1 資料 4 資料 7 資料10
議事要旨 資料 2 資料 5 資料 8 資料11
議事のポイント 資料 3 資料 6 資料 9 資料12

 

Fig1_20220103171301

 

 


 

参考

● まるちゃんの情報セキュリティきまぐれ日記

・2022

2022.01.20 内閣官房 経済安全保障法制に関する有識者会議 第3回

2022.01.04 内閣官房 経済安全保障法制に関する有識者会議 第2回

2021.11.29 内閣官房 経済安全保障法制に関する有識者会議

 

| | Comments (0)

2022.02.02

米国 FBI長官が中国政府の脅威を語る...

こんにちは、丸山満彦です。

米国のFBIは国内の治安維持を目的としていますが、、、その長官が中国政府の脅威を語っていますね。。。

FBIは1日に約2件、中国に対する新たな防諜活動を開始していると発言していますね。。。(予算獲得の意図もあるんですかね。。。知らんけど。。。)

FBI - News

・2022.02.01 China’s Quest for Economic, Political Domination Threatens America’s Security

China’s Quest for Economic, Political Domination Threatens America’s Security 米国の安全保障を脅かす中国の経済的・政治的支配への挑戦
Director Wray Discusses Threats Posed by Government of China レイ長官、中国政府の脅威について語る
The Chinese government’s disregard for global leadership norms, ruthless hunger for economic superiority, and desire to influence American politics make it a threat to U.S. national security, FBI Director Christopher Wray said on January 31. クリストファー・レイFBI長官は1月31日、中国政府が世界の指導者の規範を無視し、経済的優位性を求め、米国の政治に影響を与えようとすることは、米国の国家安全保障にとって脅威となると述べました。
“There is so much good we could do with a responsible Chinese government: crack down on cybercriminals, stop money launderers, reduce opioid overdose deaths. But at the FBI, we’re focused on the reality of the Chinese government today,” Wray said during a keynote address at the Ronald Reagan Presidential Library and Museum in Simi Valley, California. 「責任ある中国政府には、サイバー犯罪者を取り締まり、マネーロンダリングを阻止し、オピオイドの過剰摂取による死亡者を減らすなど、できることがたくさんあります。しかしFBIでは、今日の中国政府の現実に焦点を当てています」と、カリフォルニア州シミバレーのロナルド・レーガン大統領図書館・博物館で行われた基調講演で、レイ長官は語りました。
The threat’s complexity is rooted in the intrinsic entanglement of the American and Chinese economies, which is fueled by a high U.S. demand for Chinese-made products and a steady exchange of students between American and Chinese borders. Wray stressed that China has pulled no punches about capitalizing on this interconnectedness to chase economic superiority. この脅威の複雑さは、中国製の製品に対する米国の高い需要と、米国と中国の国境を越えた安定した学生の交流によって支えられている、米国と中国の経済の本質的な絡み合いに根ざしています。レイ長官は、中国はこの相互関係を利用して経済的優位性を追求することに余念がないと強調した。
“When we tally up what we see in our investigations—over 2,000 of which are focused on the Chinese government trying to steal our information or technology—there is just no country that presents a broader threat to our ideas, our innovation, and our economic security than China,” Wray said, adding that the Bureau opens a new counterintelligence case against China about twice a day. 「FBIが行っている調査(2,000件以上)のうち、中国政府が我々の情報や技術を盗もうとしていることに焦点を当てているものを集計すると、中国ほど、我々のアイデアや技術革新、経済安全保障に大きな脅威を与えている国はありません」とレイ長官は述べ、FBIは1日に約2件、中国に対する新たな防諜活動を開始していると付け加えました。
China’s strategy is especially dangerous because it pursues economic espionage on multiple fronts—some so subtle that they don’t set off alarms. But once China sets its sights on a technology, Wray explained, it uses every available resource to try to steal it. He pointed to a foiled Chinese plot to use a combination of industrial espionage and hacking to steal trade secrets from GE Aviation to illustrate this approach. 中国の戦略が特に危険なのは、経済スパイ活動を多面的に展開しているからです。しかし、中国はいったん技術に目をつけると、あらゆる手段を使ってその技術を盗もうとする、とレイ長官は説明します。その例として、産業スパイとハッキングを組み合わせてGEアビエーションから企業秘密を盗み出そうとした中国の計画が失敗に終わったことを挙げています。
This theft not only gives China an unfair advantage in the global marketplace but also directly harms American companies and workers. このような盗みは、中国がグローバル市場で不当に有利になるだけでなく、アメリカの企業や労働者に直接的な損害を与えます。
Yet the Chinese government’s thirst for power can’t be quenched by economic dominance alone, Wray noted. China also ultimately seeks to undermine and infiltrate the U.S. government and silence dissent whenever possible. しかし、中国政府の権力欲は、経済的優位性だけでは解消されないとレイは指摘します。中国はまた、究極的には米国政府を弱体化させ、浸透させ、可能な限り反対意見を封じ込めようとしています。
The Chinese Communist Party (CCP) aims to win American leaders’ loyalty through money or intimidation and “to undermine our democratic process by influencing our elected officials.” Wray said. The CCP is patient in this pursuit, aiming to recruit early-career politicians—often at the state and local level—who can then be called on to do Beijing’s bidding when their power and influence grow. 中国共産党は、金銭や脅迫によってアメリカの指導者の忠誠心を獲得し、「選挙で選ばれた議員に影響を与えることで、民主主義のプロセスを弱めることを目的としています。」とレイ長官は語っています。中国共産党は忍耐強く、多くの場合、州や地方レベルで、権力や影響力が大きくなったときに北京の言いなりになるような新進の政治家を採用することを目指しています。
The Chinese government is also increasingly using a program it calls Fox Hunt to target, threaten, intimidate, and ultimately repatriate former Chinese citizens living overseas whom it sees as a political or financial threat. Many of them are green card holders and naturalized citizens here in the United States. 中国政府は、「フォックス・ハント」と呼ばれるプログラムを利用して、政治的・経済的な脅威とみなされる海外在住の元中国国民を標的にし、脅迫し、威嚇し、最終的には本国に送還する動きも活発化しています。彼らの多くは、米国のグリーンカード保持者や帰化した人です。
Through Fox Hunt, the Chinese government has sought to intimidate and silence Chinese and Chinese American students who are studying at U.S. universities. If a student voices or posts an opinion critical of the Chinese government, their family members back in China may receive threats. 中国政府はフォックス・ハントを通じて、米国の大学で学んでいる中国系および中国系米国人の学生を脅迫し、沈黙させようとしています。学生が中国政府に批判的な意見を述べたり投稿したりすると、中国にいる家族が脅迫を受けることもあります。
“China may be the first government to combine authoritarian ambitions with cutting-edge technical capability,” Wray said. “It’s like the surveillance nightmare of East Germany combined with the tech of Silicon Valley.” 「中国は、権威主義的な野心と最先端の技術力を兼ね備えた最初の政府かもしれません」とレイは述べています。「それは、東ドイツの監視の悪夢とシリコンバレーの技術を組み合わせたようなものです」。
Fortunately, as China’s thirst for power has grown, the FBI’s strategy and capabilities have evolved to deter it. 幸いなことに、中国の権力への渇望が増すにつれ、FBIの戦略と能力もそれを阻止するために進化してきました。
One such advance has been the FBI’s use of intelligence to identify and disrupt threats early, as it did in response to China’s recent compromise of Microsoft Exchange email servers. そのひとつが、FBIが情報を活用して脅威を早期に発見し、破壊することです。最近、中国がMicrosoft Exchangeの電子メールサーバーを侵害したことを受けて、FBIは情報を活用しました。
The FBI also now shares information with domestic and international partners to help them defend against future plots and has boosted private-sector engagement. また、FBIは国内外のパートナーと情報を共有することで、将来的な犯行の防止に役立てており、民間企業との連携も強化しています。
Additionally, the Bureau has repurposed lessons learned from the counterterrorism arena to deter China. This included standing up Cyber Task Forces and Counterintelligence Task Forces in every FBI field office and forming a National Counterintelligence Task Force. さらにFBIは、テロ対策の分野で得た教訓を、中国への抑止力として再利用しています。これには、FBIの各支局にサイバータスクフォースと防諜タスクフォースを設置し、国家防諜タスクフォースを結成したことが含まれます。
America’s democratic and legal processes also play a role, Wray explained, since our ability to make substantiated allegations can move allies to act, and indictments can inspire increased public scrutiny of bad actors. また、アメリカの民主主義と法的手続きも重要な役割を果たしていると、レイ長官は説明します。なぜなら、立証された申し立てを行うことで同盟国を動かし、起訴されることで悪質な行為者に対する世論の監視が強化されるからです。
“So, we’re confronting this threat and winning important battles, not just while adhering to our values, but by adhering to our values,” Wray said. “I believe that in the course of doing so, we’re showing why the Chinese government needs to change course—for all our sakes.” レイ長官は以下のように述べています。「私たちはこの脅威に立ち向かい、重要な戦いに勝利していますが、それは私たちの価値観を守りながらではなく、私たちの価値観を守ることで実現できるのです。そうすることで、中国政府が私たちのために方向転換しなければならない理由を示すことができると信じています」。
Wray’s appearance marked the opening of the Reagan Library’s “FBI: From Al Capone to al Qaeda” exhibition. He is the first sitting Bureau director to visit the library. レイ長官の登壇は、レーガン図書館の「FBI: アル・カポネからアルカイダまで」展のオープニングに登場しました。現職のFBI長官が図書館を訪れたのは、彼が初めてです。

 

発表内容...

・2022.01.31 Countering Threats Posed by the Chinese Government Inside the U.S.

Countering Threats Posed by the Chinese Government Inside the U.S. 中国政府が米国内にもたらす脅威への対策
Remarks as delivered. 発言内容は以下の通りです。
Well, thank you, John. And I have to say, I’m honored to be here with you at the Ronald Reagan Presidential Library. The years of President Reagan’s administration were momentous ones, defined, in large part, by our struggle against the Soviet Union, whose empire, where freedoms we hold dear were snuffed out. ありがとうございます、ジョン。そして、このロナルド・レーガン大統領図書館で皆さんとご一緒できることを光栄に思います。レーガン大統領の時代は、私たちが大切にしている自由を奪ったソビエト連邦との戦いが大きな意味を持っていました。
I’m sure everyone here is familiar with President Reagan’s speech at the Brandenburg Gate in June 1987, when he called out Mr. Gorbachev by name and challenged him to “tear down this wall” between free West Berlin and imprisoned East Germany—a nightmare surveillance state, where no personal information was off limits to the government. 1987年6月にブランデンブルク門で行われたレーガン大統領の演説は、皆さんもよくご存じだと思います。自由な西ベルリンと投獄された東ドイツの間にある「この壁を壊せ」とゴルバチョフ氏を名指しして挑発したのですが、東ドイツは悪夢のような監視国家で、個人情報が政府に筒抜けでした。
The FBI was deeply engaged in that struggle, tracking Soviet agents operating here in the United States and protecting our freedoms from a dangerous enemy. That era and that work are a huge part of the FBI’s legacy and history—a history that the library has captured so well in this exhibit. So, I want to take a moment to thank the library and John and the exhibit curators—Randle Swan, Jennifer Torres, Lauren Haisch-Edwards, Robert Zucca, and Derek Lyneis—for the great care you’ve taken in telling the FBI’s story. Thank you for the tour this afternoon, and thank you for showcasing our organization and our people—whom I’m proud and humbled to represent—and thank you for allowing me to join you here this evening. FBIはこの闘いに深く関わっており、アメリカ国内で活動するソ連のエージェントを追跡し、危険な敵から私たちの自由を守っていました。この時代と仕事は、FBIの遺産と歴史の大部分を占めており、図書館はこの展示でその歴史を見事に捉えています。この場をお借りして、図書館、ジョン、展示担当者のランドル・スワン、ジェニファー・トレス、ローレン・ハイシュ=エドワーズ、ロバート・ズッカ、デレク・ライニスに、FBIのストーリーを伝えるために細心の注意を払ってくださったことを感謝したいと思います。午後のツアーでは、FBIの組織と社員を紹介していただき、ありがとうございました。私はFBIを代表していることを誇りに思うとともに、謙虚な気持ちでいっぱいです。
I also want to congratulate whoever came up with the name for the exhibit: “FBI: From Al Capone to al Qaeda.” It’s not only catchy; it also captures the way the world has changed since the Bureau’s establishment back in 1908 and the way we’ve evolved as a law enforcement and intelligence agency to keep ahead of the changing threats we face. また、この展示会の名前を考えた人にもお祝いを言いたいです。「FBI。アル・カポネからアルカイダまで」です。キャッチーなだけでなく、1908年にFBIが設立されて以来、世界がどのように変化してきたか、また、法執行機関および情報機関として、直面する脅威の変化に先んじて進化してきたことを表現しています。
Today, we in the United States and the Western world find ourselves in a very different struggle against another global adversary—the Chinese Communist Party. Now, there are some surface-level similarities between the threat posed by the Chinese government and the historical threat of the Soviet Union: The Chinese government also rejects the fundamental freedoms, basic human rights, and democratic norms we value as Americans. 今日、私たち米国および西欧諸国は、中国共産党というもうひとつの世界的な敵との、まったく異なる戦いに直面しています。中国共産党です。中国政府の脅威と、歴史上のソ連の脅威との間には、表面的な類似点があります。中国政府は、私たちがアメリカ人として大切にしている基本的な自由、基本的な人権、民主主義の規範を否定しています。
But the Soviet Union didn’t make much that anyone in America wanted to buy. We didn’t invest in each other’s economies or send huge numbers of students to study in each other’s universities. The U.S. and today’s China are far more interconnected than the U.S. and the old U.S.S.R. ever were, and China is an economic power on a level the Soviets could never have dreamed of being. しかし、ソ連はアメリカ人が買いたいと思うものをあまり作っていませんでした。互いの経済に投資したり、膨大な数の学生を互いの大学に留学させたりもしませんでした。現在の米国と中国は、かつての米国とソ連よりもはるかに相互につながっており、中国はソ連が夢にも思わなかったレベルの経済大国となっています。
The complexity of the threat posed by the Chinese government flows from those new realities, because China’s government has the global reach and presence of a great nation, but it refuses to act the part and too often uses its capabilities to steal and threaten, rather than to cooperate and build. That theft, those threats, are happening right here in America, literally every day. 中国政府がもたらす脅威の複雑さは、このような新たな現実から生まれています。中国政府は大国のような世界的な広がりと存在感を持っていますが、それを演じることを拒み、その能力を協力や構築のためではなく、盗みや脅しのために使うことがあまりにも多いのです。こうした盗みや脅しは、文字通り毎日、ここアメリカで起こっています。
That’s what I want to talk to you about tonight, the threat posed by the Chinese government here at home to our economic security and to our freedoms. Our freedom of speech, of conscience; our freedom to elect and be served by our representatives without foreign meddling; our freedom to prosper when we toil and invent. I’ve spoken a lot about this threat since I became FBI Director. But I want to focus on it here, tonight, because in many ways it’s reached a new level—more brazen, more damaging than ever before, and it’s vital—vital—that all of us focus on that threat together. 今夜、皆さんにお話ししたいのは、中国政府が国内で私たちの経済的安全保障と自由に脅威を与えているということです。私たちの言論や良心の自由、外国の干渉を受けずに代表者を選び、それに仕える自由、私たちが努力して発明することで繁栄する自由。私はFBI長官に就任して以来、この脅威について多くのことを語ってきました。しかし、今夜はこのことに焦点を当てたいと思います。というのも、さまざまな意味でこの脅威は新たなレベルに達しており、これまで以上に大胆で有害なものとなっているからです。そして、私たち全員がこの脅威に焦点を当てることが極めて重要なのです。
Now, having said that, I do want to be clear that the Chinese government and the Chinese Communist Party pose the threat we’re focused on countering—not the Chinese people, and certainly not Chinese Americans, who are themselves frequently victims of the Chinese government’s lawless aggression. Protecting them from the Chinese government is top of mind for us, too. America is richer and stronger because of the generations of people who immigrated here from China, many of whom will celebrate the traditional Lunar New Year festival this week. At the FBI, we’re committed to protecting the safety and rights of all Americans. そうは言っても、私たちが対抗すべき脅威は中国政府と中国共産党であり、中国国民や中国政府の無法な攻撃の犠牲になることが多い中国系アメリカ人ではないことを明確にしておきたいと思っています。彼らを中国政府から守ることは、私たちにとっても最重要課題です。アメリカがより豊かで強い国になったのは、中国から何世代にもわたってこの国に移住してきた人々のおかげであり、その多くが今週、伝統的な旧正月のお祭りを祝うことになります。FBIでは、すべてのアメリカ人の安全と権利を守るために尽力しています。
Threat to our Economic Vitality and Innovation 経済的活力とイノベーションへの脅威
At the Bureau, we’ve long held the view that protecting our nation’s innovation is both a law enforcement priority and a top national security priority. It secures national prosperity and security, but it also keeps individual workers employed, families able to make ends meet and fully live their lives—to put food on the table. That’s what’s really at stake in the fight with the Chinese government here in America. It’s home economics, not just macroeconomics. FBIでは、国家のイノベーションを保護することは、法執行上の優先事項であると同時に、国家安全保障上の最優先事項でもあるという見解を長年にわたって持っています。国家の繁栄と安全を確保するだけでなく、個々の労働者の雇用を維持し、家族が生活を維持し、食卓を囲むことができる。アメリカでの中国政府との戦いでは、この点が非常に重要なのです。マクロ経済学だけでなく、家庭経済学でもあります。
America’s strength is built on our innovation, on our striving citizens and the world-changing products and services they build—from the invention of the airplane back around the time of the FBI’s founding to the computer, the Internet, GPS, life-saving medicines, and thousands of others over the decades. アメリカの強さは、イノベーションの上に築かれています。FBI創設時の飛行機の発明から、コンピュータ、インターネット、GPS、救命医薬品など、何十年にもわたって世界を変える製品やサービスを生み出してきた、努力する市民の上に築かれています。
When we tally up what we see in our investigations—over 2,000 of which are focused on the Chinese government trying to steal our information and technology—there is just no country that presents a broader threat to our ideas, our innovation, and our economic security than China. 私たちは、FBIが行っている調査のうち2,000件以上を、中国政府が私たちの情報や技術を盗もうとしていることに焦点を当てて集計していますが、中国ほど、私たちのアイデアや技術革新、経済的安全保障 (economic security) に大きな脅威を与える国はありません。
The Chinese government steals staggering volumes of information and causes deep, job-destroying damage across a wide range of industries—so much so that, as you heard, we’re constantly opening new cases to counter their intelligence operations, about every 12 hours or so. 中国政府は、膨大な量の情報を盗み、幅広い産業分野で雇用を破壊するような深刻な損害を与えています。そのため、ご存知のように、私たちは中国政府の情報活動に対抗するために、約12時間ごとに新しいケースを開始しています。
What makes the Chinese government’s strategy so insidious is the way it exploits multiple avenues at once, often in seemingly innocuous ways. They identify key technologies to target. Their “Made in China 2025” plan, for example, lists 10 broad ones—the keys to economic success in the coming century—spanning industries like robotics, green energy production and vehicles, aerospace, biopharma, and so on. And then—and then, they throw every tool in their arsenal at stealing that technology to succeed in those areas. 中国政府の戦略が非常に狡猾なのは、一見何でもないような方法で、複数の手段を同時に利用しているからです。中国政府は、ターゲットとなるキーテクノロジーを特定します。例えば、「Made in China 2025」計画では、ロボット工学、グリーンエネルギー生産と自動車、航空宇宙、バイオ医薬品など、次の世紀の経済的成功の鍵となる10の主要技術を挙げています。そして、これらの分野で成功するために、あらゆる手段を講じて技術を盗み出そうとしています。
Here in the U.S., they unleash a massive, sophisticated hacking program that is bigger than those of every other major nation combined. Operating from pretty much every major city in China, with a lot of funding and sophisticated tools, and often joining forces with cyber criminals, in effect, cyber mercenaries. In just one case, one example, a group of MSS-associated criminal hackers stole terabytes of data from hundreds of companies. Now, to put that in context, one terabyte is around 70 million pages of data. Think about that. They’re not just hacking on a huge scale but causing indiscriminate damage to get to what they want, like in the recent Microsoft Exchange hack, which compromised the networks of more than 10,000 American companies in a single campaign alone. アメリカでは、他の主要国を合わせたよりも大規模で洗練されたハッキングプログラムを展開しています。中国のほぼすべての主要都市で活動し、多額の資金と高度なツールを駆使し、しばしばサイバー犯罪者と手を組み、実質的にはサイバー傭兵となっています。一例を挙げると、MSSに関連した犯罪者ハッカーのグループが、数百の企業からテラバイト級のデータを盗んだことがあります。1テラバイトは約7,000万ページのデータに相当します。考えてみてください。彼らは、単に大規模なハッキングを行うだけでなく、目的を達成するために無差別に被害を与えています。例えば、最近のMicrosoft Exchangeのハッキングでは、1回のキャンペーンだけで1万社以上の米国企業のネットワークが危険にさらされました。
At the same time, the Chinese government uses intelligence officers to target the same information, multiplying their efforts by working extensively through scores of so-called co-optees. Basically, people who aren’t technically Chinese government officials but who assist in their intelligence operations—spotting and assessing sources, providing cover, communications, and helping steal secrets in other ways. The Chinese government also makes investments and partnerships to position their proxies to take valuable technology. その一方で、中国政府は諜報員を使って同じ情報を狙っており、何人もの協力者と呼ばれる人たちを使って幅広く活動することで、その効果を高めています。基本的には中国政府の役人ではありませんが、情報源の特定や評価、隠れ蓑や通信手段の提供、その他の方法で秘密を盗むために情報活動を支援する人たちです。また、中国政府は、プロキシが貴重な技術を獲得できるように、投資やパートナーシップを結んでいます。
Sometimes they just wave enough money to get what they want, but often they also conceal which companies they actually control. Or use companies they don’t literally own but instead can control through embedded Chinese Communist Party cells that are required to exist in virtually any Chinese company of any real size, using elaborate shell games to disguise their efforts both from our companies and from our government investment screening program, CFIUS—the Committee on Foreign Investment in the United States. Within China, they force U.S. companies to partner with Chinese government-owned ones to do business in China, and then abuse and exploit those partnerships. 時には、欲しいものを手に入れるために十分な資金を振るうこともありますが、実際にどの企業を支配しているかを隠すこともよくあります。また、文字通り所有しているわけではなく、中国のあらゆる規模の企業に存在することが義務付けられている中国共産党の組み込み細胞を通じて支配している企業を利用し、精巧なシェルゲームを用いて、当社の企業からも、政府の投資審査プログラムであるCFIUS(対米外国投資委員会)からも、彼らの活動を偽装しています。中国国内では、米国企業に中国政府系企業との提携を迫り、その提携関係を悪用してビジネスを展開しています。
Xu Yanjun and GE Aviation 徐延軍とGEアビエーション
A recent case from Ohio is a great illustration of the Chinese government’s multiprong strategy for stealing our valuable secrets. This past November, a Chinese intelligence officer named Xu Yanjun was convicted of economic espionage in Cincinnati. He was part of the Chinese Ministry of State Security, which is one of their spy services, and he was in a unit responsible for stealing aviation-related secrets. オハイオ州で起きた最近の事件は、中国政府が多方面に渡って私たちの貴重な機密を盗む戦略をとっていることをよく表しています。今年の11月、シンシナティで経済スパイの罪で有罪判決を受けた中国の諜報員、徐延軍(じょえんじゅん)がいました。彼は中国のスパイ組織である国家安全部に所属しており、航空関連の機密を盗む部隊に所属していました。
Xu was targeting an advanced engine made by GE and a foreign joint venture partner—an engine that Chinese state-owned enterprises were openly working to copy. He corrupted insiders with access to sensitive company data and access to company IT infrastructures, so Xu could help MSS hackers, in cyber units back in China, target the same data at the same time. Xu used one of his recruits, or co-optees—this one a senior company IT official—to help him plant malware on a joint venture company laptop. 徐は、中国の国有企業が公然とコピーしていた、GEと外国の合弁会社が製造した先進的なエンジンを狙っていました。徐は、企業の機密データやITインフラへのアクセス権を持つ内部の人間を堕落させ、中国国内のサイバー部隊にいるMSSのハッカーたちが同じデータを同時に狙えるようにしたのです。徐は、新入社員(協力者)の一人(この一人は企業のIT部門の幹部)を使って、合弁会社のノートパソコンにマルウェアを仕込みました。
He kept in touch with the MSS hackers in China to make sure that they could access the implant that he’d uploaded. And then, to steal a particular composite fan blade technology that only GE possesses, he used another co-optee—this one an official at a prominent Chinese university—to contact a GE engineer through LinkedIn. 徐は中国のMSSハッカーと連絡を取り合い、彼がアップロードしたインプラントにアクセスできるようにしました。さらに、GEだけが保有する特殊な複合ファンブレード技術を盗むために、中国の有名大学の関係者という別の協力者を使って、LinkedInを通じてGEのエンジニアと連絡を取ったのです。
Now, as an aside, I would be remiss if I didn’t note that we see an awful lot of Chinese intelligence outreach on social media, especially on LinkedIn. 余談ですが、中国の諜報活動はソーシャルメディア、特にLinkedInで行われることが非常に多いことをお伝えしておきます。
So, they offered this engineer a trip to China to give a presentation on his work at a university there, and then another trip, to Europe. When we saw what was happening, we and GE were able to use our relationship to work together to foil the attempted theft—letting the scheme appear to play out but helping GE provide the engineer altered documents to steal. So, in this case, at least, because of GE’s quick work and cooperation, China was not able to leapfrog over a decade of hard work and billions in investment to undercut a major U.S. employer with nearly 50,000 employees. But we’re waging this battle every day. 彼らはこのエンジニアに、中国の大学で自分の研究についてプレゼンテーションを行うための中国旅行と、その後のヨーロッパ旅行を提案しました。事態を把握した私たちとGEは、その関係を利用して協力し、窃盗の企てを阻止することができました。企てが実行されているように見せかけながら、GEがエンジニアに盗むための改ざんされた文書を提供することができたのです。少なくともこのケースでは、GEの迅速な対応と協力のおかげで、中国は10年間の努力と数十億ドルの投資を飛び越えて、約5万人の従業員を擁する米国の大手企業を弱体化させることはできませんでした。しかし、私たちはこの戦いを毎日続けています。
As dangerous as that blend of tools all directed at a single company’s technology is, what’s really scary is how common Chinese operations like that one have become. Xu is just one Chinese intelligence officer working for an entire unit dedicated solely to stealing aviation-related secrets. And that’s just one of those 10 technology areas the Chinese government has prioritized for stealing. 一つの企業の技術に向けられた複数のツールの組み合わせは非常に危険ですが、本当に恐ろしいのは、このような中国の作戦がいかに一般的になっているかということです。シュウは、航空関連の機密を盗むことだけを目的とした部隊で働く、たった一人の中国の諜報員です。そしてそれは、中国政府が優先的に盗んでいる10の技術分野のうちの1つにすぎません。
Just using cyber means, Chinese government hackers have stolen more of our personal and corporate data than every other nation combined. The harm from the Chinese government’s economic espionage isn’t just that its companies pull ahead based on illegally gotten technology. While they pull ahead, they push our companies and workers behind. And that harm—company failures, job losses—has been building for a decade to the crush that we feel today. It’s harm felt across the country in a whole range of industries. 中国政府のハッカーは、サイバー手段を使って、私たちの個人情報や企業情報を、他のすべての国の合計よりも多く盗んでいます。中国政府の経済スパイ活動の弊害は、違法に入手した技術をもとに中国企業が優位に立つことだけではありません。中国政府の経済スパイ活動の弊害は、違法に入手した技術をもとに中国企業が優位に立つことだけではありません。その結果、企業の倒産や雇用の喪失などの弊害が10年前から発生し、今日のような惨状を招いているのです。このような弊害は、全米のさまざまな産業で発生しています。
I’ll give you an example. Several years ago, a Chinese government-owned corporation called Sinovel stole the proprietary source code for controlling wind turbines from a U.S. company in Massachusetts, causing that U.S. company, American Superconductor, to plummet from being a $1.6 billion company to a $200 million company, and from 900 employees to only 300 employees. That’s 600 people who lost their livelihoods. And while those people were trying to figure out how to cope with catastrophe, Sinovel was adding insult to injury, using the source code they’d stolen to sell wind turbines—right here in the United States. 一例を挙げましょう。数年前、シノベルという中国の政府系企業が、マサチューセッツ州にある米国企業から風力タービンを制御するための独自のソースコードを盗み、その米国企業であるアメリカンスーパーコンダクタは、16億ドルの企業から2億ドルの企業に、900人の従業員からわずか300人の従業員にまで激減しました。つまり、600人もの人々が生活の糧を失ったのです。その人たちが大惨事への対応に追われている間に、シノベル社は盗んだソースコードを使って、ここ米国で風力タービンを販売していたのです。
In 2015, the Chinese government publicly promised to stop handing hacked U.S. technology to Chinese companies, but their cyber theft program kept going strong. And in the years since, they’ve hit ever more companies and workers. We’ve seen small companies developing important medicines ransacked. We’ve seen big managed service providers remotely managing IT services for thousands of other businesses hacked, so the Chinese government could hijack their trusted connections with their customers and hack those companies, too. 2015年、中国政府は米国でハッキングされた技術を中国企業に渡すのをやめると公約しましたが、シノベル社のサイバー窃盗プログラムは健在でした。しかし、中国政府のサイバー窃盗プログラムは継続しており、それ以来、さらに多くの企業や労働者が被害に遭っています。重要な医薬品を開発している小規模な企業が荒らされたこともありました。他の何千もの企業のITサービスを遠隔管理している大手マネージドサービスプロバイダーがハッキングされ、中国政府はその顧客との信頼関係を乗っ取って、それらの企業にもハッキングするようになったのです。
Whatever makes an industry tick, they target: source code from software companies, testing data and chemical designs from pharma firms, engineering designs from manufacturers, personal data from hospitals, credit bureaus, and banks. They’ve even sent people to sneak into agribusinesses’ fields and dig up advanced seeds out of the ground. The common thread is that they steal the things companies can’t afford to lose. So, the Chinese government’s economic theft campaign is not just unprecedented in its breadth, it’s also deeply damaging—undoing the labor, ideas, and investments of decades, and leaving lives overturned in its wake. ソフトウェア会社のソースコード、製薬会社の試験データや化学物質の設計、メーカーの技術設計、病院や信用情報機関、銀行の個人情報など、その業界を動かすものなら何でもターゲットにします。さらには、アグリビジネスの現場に忍び込み、高度な技術を持つ種子を土から掘り出すこともあります。共通しているのは、企業が失っては困るものを盗むということです。このように、中国政府の経済盗用作戦は、その規模が前例のないものであるだけでなく、何十年にもわたる労働、アイデア、投資を台無しにし、人生を根底から覆すほどの大きなダメージを与えています。
Threats to our Constitution, Values, and Democratic Norms 憲法、価値観、民主主義の規範に対する脅威
But stealing innovation isn’t the only way the Chinese government shows their disregard for the international rule of law. The Chinese government is increasingly targeting people inside the U.S. for personal and political retribution—undercutting the freedoms that our Constitution and laws promise. The kinds of people the Chinese Communist Party tends to go after are not those that a responsible government would make their enemies—refugees, dissidents, and Uyghurs—people with their own ideas, who speak or worship as their conscience dictates. 中国政府が国際的な法の支配を軽視しているのは、技術革新を盗むことだけではありません。中国政府は、個人的および政治的な報復のために米国内の人々をますます標的にしており、私たちの憲法と法律が約束する自由を破壊しています。中国共産党が狙う人々は、難民、反体制派、ウイグル人など、自分の考えを持ち、良心に従って発言したり、礼拝したりする人々であり、責任ある政府が敵とするような人々ではありません。
One egregious example is a thing called Fox Hunt, which is a program that President Xi Jinping claimed in 2014 was created to stamp out corruption. But in reality—in reality, it targets, captures, and repatriates former Chinese citizens living overseas whom it sees as a political or financial threat. Over the past eight years, the Chinese government has hauled home more than 9,000 people worldwide, bringing them back to China, where they can be imprisoned or controlled. 習近平国家主席は2014年、「フォックス・ハント」と呼ばれるプログラムを、汚職撲滅のために作ったと主張した。しかし実際には、政治的・経済的に脅威となる海外在住の元中国国民を標的にして捕獲し、本国に送還しているのです。この8年間で、中国政府は世界中で9,000人以上の人々を拘束し、中国に連れ帰って投獄したり、管理したりしています。
And a big reason why it’s been so effective is because—much like with its economic espionage—the Chinese government is willing to disregard diplomatic norms and international law when it comes to grabbing these victims. To start with, they often issue “red notices” through INTERPOL, using the international law-enforcement community to stop and hold people for extradition. Now, effective use of red notices brings real criminals to justice, but issuing red notices for political purposes is an abuse of the program. その大きな理由は、経済スパイと同じように、中国政府が外交的規範や国際法を無視して被害者を捕まえることを厭わないからです。そもそも中国政府は、国際刑事警察機構(INTERPOL)を通じて「レッドノーティス」を発行し、国際的な法執行機関を利用して、身柄引き渡しのために人を拘束することが多いのです。レッドノーティスを効果的に利用すれば、真の犯罪者を裁くことができますが、政治的な目的でレッドノーティスを発行することはプログラムの乱用です。
Currently, there are hundreds of people on U.S. soil who are on the Chinese government’s official Fox Hunt list and a whole lot more that are not on the official list. And most of the targets are green card holders, naturalized citizens—folks with important rights and protections under U.S. law. 現在、米国内には中国政府の公式なフォックス・ハントのリストに載っている人が数百人おり、公式リストに載っていない人もたくさんいます。そして、その対象者のほとんどはグリーンカード保持者や帰化人であり、米国法の下で重要な権利と保護を持つ人々です。
But abusing red notices is bad enough. We’re seeing the Chinese government resort to blackmail, threats of violence, stalking, and kidnappings. They’ve actually engaged criminal organizations in the U.S., offering them bounties in hopes of successfully taking targets back to China. China applies incredible pressure on the targets of those efforts, many of whom still have family back in China. Some, unaware the Party was after them, have traveled back to China for a visit, only to find themselves suddenly trapped, and prevented from leaving. しかし、レッドノーティスを悪用するのはよくありません。中国政府は、脅迫、暴力の脅し、ストーカー行為、誘拐などの手段を講じています。中国政府は実際に米国の犯罪組織と協力し、ターゲットを中国に連れ戻すことを成功させるために懸賞金を提供しています。中国は、ターゲットにすごい圧力をかけます。ターゲットの多くは、まだ中国に家族がいます。党に狙われているとは知らずに中国を訪れたところ、突然閉じ込められて出られなくなってしまった人もいます。
Others—who are aware that they’re targets—in those cases, the Chinese government has arrested their family members and imprisoned them, effectively holding the relatives hostage until the victim returns to China. Now, at the FBI, we know a lot about criminal tactics after 113 years, and this is right up there. And it’s certainly not the kind of conduct you would expect from a responsible nation on the world stage. また、自分が狙われていることを知っている人の中には、中国政府が家族を逮捕して監禁し、被害者が中国に戻るまで、事実上、家族を人質にしているケースもあります。さて、FBIでは、113年の時を経て、犯罪の手口について多くのことを知っていますが、これはまさにその最たるものです。世界の舞台で責任ある国家として期待される行為ではないことは確かです。
As with the GE economic espionage example, maybe the most appalling thing about Fox Hunt is that it’s just the tip of the iceberg when it comes to the Chinese government’s transnational repression. For decades, the Chinese Communist Party has targeted, threatened, and harassed U.S.-based Tibetans and Uyghurs, Falun Gong members, pro-democracy advocates, and really any others who question their legitimacy or authority. GEの経済スパイの例と同様に、フォックス・ハントの最も恐ろしい点は、中国政府による国境を越えた弾圧が氷山の一角に過ぎないということです。中国共産党は何十年もの間、アメリカに住むチベット人やウイグル人、法輪功のメンバー、民主主義の支持者など、自分たちの正当性や権威に疑問を持つ人々を標的にし、脅迫や嫌がらせを行ってきました。
Now of course, there’s a lot of bad behavior on the global stage, but the Chinese government’s reach—their willingness and ability to exert power here in the United States—is unique. Sometimes they seem to make a point of applying overwhelming pressure to stifle even petty criticisms. In 2018, after one U.S.-based employee of a major hotel chain “liked” a social media post by a Tibetan separatist group, the Chinese government made the U.S. hotel chain shut down all of its Chinese websites and applications for an entire week. And many of you will remember that when an executive with a certain NBA team appeared to tweet in support of Hong Kong democracy protests in 2019, the Chinese government banned NBA broadcasts in China for an entire year. もちろん、世界的に見ても悪質な行為はたくさんありますが、中国政府の影響力、つまり米国内で権力を行使する意思と能力は独特です。中国政府は、些細な批判を封じ込めるために圧倒的な圧力をかけることもあるようです。2018年には、ある大手ホテルチェーンの米国在住の従業員が、チベット分離主義者のグループによるソーシャルメディアの投稿に「いいね!」を押したことで、中国政府は米国のホテルチェーンに、中国語のウェブサイトやアプリケーションを丸々1週間停止させました。また、2019年に某NBAチームの幹部が香港の民主化デモを支持するツイートをしたように見えたとき、中国政府が中国でのNBA放送を丸1年間禁止したことを覚えている方も多いと思います。
The Chinese government is getting more brazen controlling that kind of speech. In November, just a couple months ago, the Chinese Embassy put out letters effectively warning U.S. businesses that if they want to do business in China, they need to fight against Chinese government-related bills in our Congress. 中国政府は、その種の言論をコントロールすることがより図太くなっています。ほんの数ヶ月前の11月には、中国大使館が米国の企業に対して、中国でビジネスをしたいのであれば、我々の議会で中国政府関連の法案に対抗する必要があると事実上警告する書簡を出しました。
But even more concerning are menacing violations of our citizens’ and residents’ rights, things like threatening and harassing students at our universities when they exercise their right to free speech. In a recent incident at one Midwestern university, for example, a Chinese-American student posted online praise for those students who were killed in the Tiananmen Square massacre in 1989. And almost immediately, his parents called from China, saying that Chinese intelligence officers had shown up to threaten them because of his post. しかし、それ以上に問題なのは、市民や居住者の権利を脅かすような違反行為です。例えば、大学で言論の自由を主張する学生を脅したり、嫌がらせをしたりするような行為です。例えば、最近中西部のある大学で起きた事件では、中国系アメリカ人の学生が、1989年の天安門事件で犠牲になった学生たちへの賛辞をネットに投稿しました。するとすぐに、彼の両親が中国から電話をかけてきて、彼の投稿のせいで中国の諜報員が現れて脅迫されたと言ってきました。
When the same student participated in an online rehearsal for a protest event with other students, the Chinese government knew what he’d said in the rehearsal, and his parents called again, even more frantic this time. That student backed out of the event, only recently making public what had happened. This is at a major American university, right in the heartland, and that kind of overt harassment is just part of the visible spectrum of the problem. The Chinese government is also leveraging covert means, like using their cyber capability to target dissidents. 同じ学生が他の学生と一緒に抗議イベントのリハーサルに参加したとき、中国政府は彼がリハーサルで何を言ったかを知っていたので、彼の両親は再び電話をかけてきて、今度はさらに必死になっていました。その学生はイベントを辞退し、最近になって事の顛末を公表しました。これはアメリカの主要大学での出来事であり、まさにアメリカの中心部に位置しています。このようなあからさまなハラスメントは、問題の可視化された範囲の一部に過ぎません。中国政府は、反体制派を標的にするために、サイバー能力を活用するなど、秘密の手段も用いています。
The Party doesn’t just go after individuals, though. They aim higher and more broadly—to try to corrupt our leaders, to buy or intimidate acquiescence to their will. That includes trying to undermine our democratic process by influencing our elected officials. And here, too, they play the long game. The Chinese government understands that politicians in smaller roles today may rise to become more influential over time. So they look to cultivate talent early—often state and local officials—to ensure that politicians at all levels of government will be ready to take a call and advocate on behalf of Beijing’s agenda. しかし、中国政府は個人を狙うだけではありません。中国政府は、より高い目標を掲げ、より広範囲に渡って、指導者を堕落させ、彼らの意に沿うように買収したり脅したりしています。これには、選挙で選ばれた議員に影響を与えることで、民主主義のプロセスを弱めようとすることも含まれます。ここでも彼らは長期的なゲームを行っています。中国政府は、現在は小さな役割を担っている政治家でも、時間が経てばより大きな影響力を持つようになることを理解しています。中国政府は、現在は小さな役割を担っている政治家でも、時間の経過とともに大きな影響力を持つようになる可能性があることを理解しています。
The Chinese government is not the first with authoritarian ambitions. As I mentioned when we started, President Reagan and his fellow Cold War presidents knew a thing or two about confronting tyranny. But China may be the first government to combine authoritarian ambitions with cutting edge technical capability. It’s like the surveillance nightmare of East Germany combined with the tech of Silicon Valley. 権威主義的な野望を抱いているのは、中国政府だけではありません。冒頭で述べたように、レーガン大統領をはじめとする冷戦時代の大統領たちは、専制政治に立ち向かうことについて熟知していました。しかし、権威主義的な野心と最先端の技術力を兼ね備えた政府は、中国が初めてかもしれません。それは、東ドイツの監視の悪夢とシリコンバレーの技術を組み合わせたようなものです。
FBI Response FBIの対応
I hope all this gives you a sense for why the FBI is so focused on the threat from the Chinese government. Here, the Reagan Library’s FBI exhibit is a great place to talk about what we, our partners, and our allies are doing about that threat. The exhibit not only shows how threats to the United States have evolved over the decades but also how the FBI has evolved to stay ahead of those threats. Twenty years after 9/11, the FBI is a very different agency in important and valuable ways. To deal with the threat of terrorism, the FBI deployed around the world. We shifted focus to disruption before danger can strike, and we cemented a culture of working with—and through—partners of all kinds. 以上のことから、FBIがなぜ中国政府の脅威に注目しているのかをご理解いただけると思います。レーガン図書館のFBI展示室は、この脅威に対してFBI、パートナー、そして同盟国がどのように対処しているかを説明するのに最適な場所です。この展示では、米国に対する脅威が数十年の間にどのように進化してきたかを示すだけでなく、FBIがそれらの脅威の先を行くためにどのように進化してきたかを示しています。9.11から20年経った今、FBIは重要かつ貴重な点で全く異なる機関となっています。テロの脅威に対処するために、FBIは世界各地に展開しました。テロの脅威に対処するために、FBIは世界中に展開し、危険が発生する前に破壊することに重点を置き、あらゆる種類のパートナーと協力して活動するという文化を定着させました。
Today we use our intelligence collection—both what we develop and what we obtain from partner agencies here and abroad—to identify and disrupt threats early. Like when we ran an operation to slam shut the backdoors that Chinese government hackers had placed on thousands of American companies’ networks in that Microsoft Exchange operation I was referring to earlier—in that case working closely with Microsoft and other private sector and government partners. And we focus on sharing what we learn through our work—and I mean really sharing, a lot—with a whole variety of partners who can act alongside us. Not just other intelligence services but law enforcement agencies around the world, and private sector, state and local, and military partners here at home, pointing to hacking infrastructure to take down, intelligence officers to track, corporate transactions to block, and more. 現在のFBIは、独自に収集した情報だけでなく、国内外のパートナー機関から入手した情報も含めて、脅威を早期に発見し、破壊するために活用しています。例えば、先ほど紹介したMicrosoft Exchangeの作戦では、中国政府のハッカーがアメリカの何千もの企業のネットワークに仕込んだバックドアを閉める作戦を実行しましたが、このときもマイクロソフトやその他の民間企業、政府のパートナーと密接に協力しました。私たちは、仕事を通じて得た情報を、私たちと一緒に行動してくれるさまざまなパートナーと共有することを重視しています。他の諜報機関だけでなく、世界中の法執行機関や、国内の民間企業、州・地方自治体、軍のパートナーが、ハッキングインフラの破壊、諜報員の追跡、企業間取引の阻止などを指摘しています。
And as we have against other dangers, we’re applying a lot of the lessons learned in the fight against terrorism to every aspect of the Chinese government threat. Following the successful model of the Joint Terrorism Task Forces we lead in every one of our field offices, we also now have both Cyber and Counterintelligence Task Forces set up in all of those field offices too, bringing aboard indispensable teammates from scores of other federal, state, and local agencies. We also recently set up a National Counterintelligence Task Force to provide nationwide coordination with federal law enforcement and intelligence partners, a lot like the National Cyber Joint Investigative Task Force we’ve built on the cyber side. 他の危険に対してもそうですが、私たちはテロとの戦いで得た多くの教訓を中国政府の脅威のあらゆる側面に適用しています。私たちがすべての現地事務所で率いている合同テロタスクフォースの成功モデルにならって、現在ではすべての現地事務所にサイバータスクフォースと防諜タスクフォースを設置し、他の数多くの連邦、州、地方の機関から不可欠なチームメイトを集めています。また最近では、国家防諜タスクフォースを設置し、連邦政府の法執行機関や情報機関のパートナーと全国的な連携を図っていますが、これはサイバー面で構築した国家サイバー合同捜査タスクフォースと同様です。
And we’re continuing to adapt how we operate. The post-9/11 counterterrorism analogy is not a perfect one. The biggest differences we see with the threat from the Chinese government are, first, the central importance of the private sector—from young, new-economy firms to Internet service providers to industrial giants—and second, how often we’re using tools other than arrests and prosecutions to neutralize these threats. We’re showing that early coordination is essential to achieving positive results, like GE Aviation saving thousands of jobs by acting before their trade secrets could be stolen. また、我々は活動方法を変え続けています。9.11以降のテロ対策の例えは、完璧なものではありません。中国政府の脅威との最大の違いは、第一に、若い新経済企業からインターネットサービスプロバイダー、産業界の巨人まで、民間部門が中心的に重要であること、第二に、これらの脅威を無力化するために、逮捕や起訴以外の手段を頻繁に使用していることです。GEアビエーションが企業秘密が盗まれる前に行動して何千人もの雇用を救ったように、良い結果を得るためには早期の連携が不可欠であることを示しています。
Much of the battleground we’re contesting lies outside the government’s control: companies whose technology we’re helping protect, universities whose students and research we’re helping protect, local governments we’re warning about foreign threats. None of them are equipped to deal with a threat this complex alone, so it’s good they don’t have to. We’re sharing information those partners need to protect themselves while we employ all of the lawful tools at our disposal and provide our government partners around the world with the evidence they need to act in concert. 私たちが戦っている戦場の多くは、政府の手の届かないところにあります。私たちが技術の保護を支援している企業、学生や研究の保護を支援している大学、外国の脅威について警告している地方自治体などです。これらの企業が単独でこのような複雑な脅威に対処することはできませんが、その必要がないのは良いことです。私たちは、パートナーが自らを守るために必要な情報を共有するとともに、あらゆる合法的な手段を駆使して、世界中の政府パートナーに協調して行動するために必要な証拠を提供しています。
The sheer volume of criminal and threatening actions we see from the Chinese government is immense, but the good news—the good news—is that our partners and allies these days are more alert to those dangers than ever. I spend a lot of my time talking with other leaders focused on national security and law enforcement, both here at home and abroad. And the frequency with which this threat dominates the discussion is striking. I have foreign counterparts tell me they’re fighting to protect their students from intimidation, too. That Chinese officials are targeting their policies and their candidates with malign influence, too. That hackers in China are carrying their companies’ innovation off; that Chinese companies or proxies are using quasi-legal investments to undermine their economies. 中国政府による犯罪行為や脅迫行為の量は膨大ですが、良いニュースは、最近のパートナーや同盟国がこれまで以上にその危険性に注意を払っているということです。私は、国内外の国家安全保障や法執行に携わるリーダーたちと多くの時間を共有しています。その中で、この脅威が議論の中心となる頻度が高いことに驚かされます。海外の関係者からは、彼らも学生を脅迫から守るために戦っていると聞きます。中国の政府関係者も、自国の政策や候補者を悪意ある影響力で標的にしていると言います。中国のハッカーが自国の企業の技術革新を奪い、中国の企業やプロキシが準合法的な投資を行って自国の経済を弱体化させていると。
And they’re in the fight with us. Just over the last couple of months, for example, Australia passed new rules to protect students from harassment on campus and to safeguard their universities’ research. In the UK, our close partner, MI5, publicly alerted the UK Parliament to a Chinese Communist Party agent trying to corrupt their political process. Not long after, my friend and colleague Richard Moore, the head of MI6, warned in his first public speech of some of the very same dangers I’ve talked about here. Across Europe and East Asia, our partners are establishing or strengthening investment screening programs, toughening cyber defenses—sometimes with our technically trained agents sitting right there with them—and improving their own private sector partnerships. そして、彼らは私たちと一緒に戦っているのです。例えば、オーストラリアでは、ここ数カ月の間に、キャンパス内でのハラスメントから学生を保護し、大学の研究を保護するための新しい規則が可決されました。英国では、私たちの緊密なパートナーであるMI5が、中国共産党のエージェントが英国の政治プロセスを汚そうとしていることを英国議会に公式に警告しました。その後間もなく、私の友人であり同僚でもあるMI6の長官リチャード・ムーアが、初めての公の場で、私がここで話したのと同じような危険性について警告を発しました。ヨーロッパや東アジアの国々では、パートナー企業が投資審査プログラムを構築・強化し、サイバー防衛を強化しています。
The list goes on. So, yes, the Chinese government understands the West’s free and open society and tries to exploit it. But the Chinese government’s worldview works as a blinder, too. They may think our adherence to the rule of law is a weakness, but they’re wrong. As a rule-of-law agency in a rule-of-law country with rule-of-law partners, we see how our democratic and legal processes arm us. For one, when it’s appropriate, we make allegations we can prove to neutral fact finders, and those allegations often give allied governments the predication they need to act. 挙げればきりがありません。このように、中国政府は欧米の自由で開かれた社会を理解し、それを利用しようとしています。しかし、中国政府の世界観は、盲点でもある。私たちが法の支配を守ることを弱点と考えているかもしれませんが、それは間違いです。法治国家で法治国家のパートナーと一緒に活動する法治国家の機関として、私たちは民主主義と法的プロセスがいかに私たちを武装させるかを目の当たりにしています。例えば、適切な場合には、中立的な事実認定者に証明できる申し立てを行い、その申し立てによって同盟国政府が行動を起こすために必要な根拠を得ることができます。
Look at what’s been happening with Huawei. When an independent grand jury returns an indictment accusing a company of serial trade secret theft, people think twice about entrusting their privacy and secrets to that company. And the threat Huawei poses is a lot better understood now than it was before our investigation led to those charges. ファーウェイの例を見てください。独立した大陪審が、ある企業の連続的な企業秘密の窃盗を告発する起訴状を提出すれば、人々はその企業に自分のプライバシーや秘密を託すことを考えるようになります。ファーウェイがもたらす脅威は、我々の調査によって起訴される前よりもはるかによく理解されています。
So, we’re confronting this threat and winning important battles—not just while adhering to our values but by adhering to our values. I believe that in the course of doing so, we’re showing why the Chinese government needs to change course—for all our sakes. 私たちはこの脅威に立ち向かい、重要な戦いに勝利しています。それは、私たちの価値観を守りながらではなく、私たちの価値観を守りながらです。そうすることで、中国政府が私たちのために方向転換しなければならない理由を示すことができると信じています。
There is so much good we could do with a responsible Chinese government: crack down on cyber criminals, stop money launderers, reduce opioid overdose deaths. But at the FBI, we’re focused on the reality of the Chinese government today. 責任ある中国政府には、サイバー犯罪者の取り締まり、マネーロンダリング(資金洗浄)の阻止、オピオイドの過剰摂取による死亡者の減少など、できることがたくさんあります。しかしFBIでは、現在の中国政府の現実に目を向けています。
All of us in America—and across the free world—are in this together. And as President Reagan said in his inaugural address, “No arsenal or no weapon in the arsenals of the world is so formidable as the will and moral courage of free men and women.” And I have been heartened to see that recognition take hold, to watch and help our partners gird for the long, important fight now underway. And everyone involved in that fight can be certain that you will have no more committed partner than the FBI. アメリカ、そして自由な世界のすべての人々は、この問題に共に取り組んでいます。レーガン大統領が就任演説で述べたように、「自由な男女の意志と道徳的勇気ほど手強い兵器は、世界のどの兵器にも存在しない」のです。私は、このような認識が定着するのを目の当たりにし、現在進行中の長く重要な戦いのためにパートナーたちが準備を整えるのを見守り、支援することに心を動かされています。この戦いに関わるすべての人は、FBIほど献身的なパートナーはいないと確信しています。
Thank you. ありがとうございました。

 

Fbi_20210425171201

Continue reading "米国 FBI長官が中国政府の脅威を語る..."

| | Comments (0)

欧州議会 EUのデータ保護政策を理解する

こんにちは、丸山満彦です。

1月28日はデータ保護の日なので、EU議会からもデータ保護政策についてのブリーフィングが公表されていますね。。。

条文を読むだけでなく、こういうものも読んで欧州の考え方を理解する必要があるのでしょうね。。。

ちなみに、電子監視が今後の課題の中に含まれていますね。。。

European Parliament Think Tank Research - Advanced search

・2022.01.28 Understanding EU data protection policy

| | Comments (0)

2022.02.01

個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

昨年末に発表された「犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が個人情報保護委員会で始まりましたね。。。

公共の福祉、安全保障と個人の権利のバランスの取り方についての合意と、その執行の透明性の確保がポイントなんでしょうかね。。。

Fig_20220201061401

● 個人情報保護委員会

・2022.01.28 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会


 

資料3に登場するガイドライン等...

 

・2020.01.29 [PDF] EDPB ビデオ機器を通じた個人データ処理に関するガイドライン (Data Protection Guidelines on Video Surveillance)

20220201-54352

 

・2021.04.21 [PDF] AI規則案 (ARTIFICIAL INTELLIGENCE ACT)

20210808-73201

 

・2021.06.18 [PDF] 英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」(The use of live facial recognition technology in public places)

20210619-151653

 

・2021.01.28 欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

20220201-55623

 

・2020.10.13 世界プライバシー会議(GPA) 顔認証技術に関する決議

20220201-60645

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

 

Faicial Recognition

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

銀行法施行規則等の一部を改正する内閣府令(案)と金融分野における個人情報保護に関するガイドライン」の一部改正(案)

こんにちは、丸山満彦です。

個人情報保護法の改正に合わせた改正ですね。。。

政令や規則の改正は概ね、


(X事業)は、その取り扱う個人である顧客に関する情報(個人情報の保護に関する法律(平成十五年法律第五十七号)第十六条第三項に規定する個人データに該当するものに限る。)の漏えい、滅失若しくは毀損が発生し、又は発生したおそれがある事態が生じたときは、当該事態が生じた旨を(Y大臣・長官)等に速やかに報告することその他の適切な措置を講じなければならない。


という条文を追加するということのようです。

ガイドラインの改正は、


第11条 個人データ等の漏えい等の報告等(法第26条関係)

.....
また、金融分野における個人情報取扱事業者は、その取り扱う個人である顧客等に関する個人データの漏えい等が発生し、又は発生したおそれがある事態を知ったときは、関係法令に従って、監督当局に報告しなければならない。

2 金融分野における個人情報取扱事業者は、次に掲げる事態(前項に規定する事態を除く。)を知ったときは、同項の規定に準じて、監督当局に報告することとする。
① その取り扱う個人情報の漏えい等が発生し、又は発生したおそれがある事態
② その取り扱う仮名加工情報に係る削除情報等(法第41条第1項の規定により行われた加工の方法に関する情報にあっては、その情報を用いて仮名加工情報の作成に用いられた個人情報を復元することができるものに限る。次項において同じ。)又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態

3 .....また、金融分野における個人情報取扱事業者は、次に掲げる事態(施行規則第7条各号に定める事態を除く。)を知ったときも、これに準じて、本人への通知等を行うこととする。
① その取り扱う個人データ(仮名加工情報である個人データを除く。)の漏えい等が発生し、又は発生したおそれがある事態
② その取り扱う個人情報(仮名加工情報である個人情報を除く。)の漏えい等が発生し、又は発生したおそれがある事態
③ その取り扱う仮名加工情報に係る削除情報等又は匿名加工情報に係る加工方法等情報の漏えいが発生し、又は発生したおそれがある事態

.....


という感じですかね。。。

受付開始日時 2022年01月27日17時00分
受付締切日時 2022年02月03日17時00分

迅速な改定です...

 

● e-Gov

・2022.01.27 「銀行法施行規則等の一部を改正する内閣府令(案)」等の公表について

別紙1 銀行法施行規則 信用金庫法施行規則 金融機関の信託業務の兼営等に関する法律施行規則 貸金業法施行規則
  協同組合による金融事業に関する法律施行規則 保険業法施行規則 投資信託及び投資法人に関する法律施行規則 資産対応証券の募集等又はその取扱いを行う特定目的会社及び特定譲渡人に係る行為規制等に関する内閣府令
  特定目的信託の受益証券の募集等を行う原委託者に係る行為規制等に関する内閣府令 信託業法施行規則 金融商品取引業等に関する内閣府令 前払式支払手段に関する内閣府令
  資金移動業者に関する内閣府令 暗号資産交換業者に関する内閣府令 金融サービス仲介業者等に関する内閣府令  
別紙2 労働金庫法施行規則      
別紙3 農業協同組合及び農業協同組合連合会の信用事業に関する命令 漁業協同組合等の信用事業等に関する命令 農林中央金庫及び特定農水産業協同組合等による信用事業の再編及び強化に関する法律施行規則 農林中央金庫法施行規則
別紙4 経済産業省・財務省・内閣府関係株式会社商工組合中央金庫法施行規則      
別紙5 認可特定保険業者等に関する命令      
別紙6 金融分野における個人情報保護に関するガイドライン      

 

Fig_20220201045601

| | Comments (0)

« January 2022 | Main | March 2022 »