« February 2022 | Main | April 2022 »

March 2022

2022.03.31

日本内部監査協会 COSO『デジタル時代のサイバーリスクマネジメント』発行

こんにちは、丸山満彦です。

日本内部監査協会が、2019.12.17にCOSOが発行した”Managing Cyber Risk in a Digital Age”の日本語訳である『デジタル時代のサイバーリスクマネジメント』を公表しています。。。ちょっと時間が経っていますかね。。。

原著は、Deloitteが作成したものですね。。。

ただ、COSO-ERMとサイバーセキュリティという意味では、NISTがNISTIR 8286シリーズを発行していて、そちらが充実していますよね。。。

 

日本内部監査協会

・2022.03.30 [PDF] デジタル時代のサイバーリスクマネジメント

20220330-231644

内容としては、次のような感じです。。。

  • はじめに
  • デジタル革命
  • ガバナンスとカルチャー
  • 戦略と目標設定
  • パフォーマンス
  • レビューと修正
  • 情報、伝達及び報告
  • 結論

 

原文はこちら、、、

The Committee of Sponsoring Organizations of the Treadway Commission: COSO

・2019.12.17 [PDF] New COSO Guidance Addresses How Companies Can Use ERM Framework to Assess Cyber Risks

・[PDF] Guidance on Managing Cyber Risks in a Digital Age

20220330-232727  

 


NISTのCOSO-ERMとサイバーセキュリティに関連する文書

● NIST - ITL


NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.01 26  draft NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

COSO関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.31 COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

・2021.09.17 COSO 人工知能の可能性を最大限に発揮するために

・2021.07.30 COSO クラウドコンピューティングのためのエンタープライズ・リスクマネジメント

・2020.11.13 COSO コンプライアンス・リスク管理 - COSO ERM フレームワークの適用

・2020.08.06 COSO ブロックチェーンと内部統制:COSOの視点

・2020.05.22 COSO ERMガイダンス:リスク選好度 - 成功要因

・2020.02.06 COSO ERMガイダンス:価値の創造と保護

一気に10年前に..

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2006.10.21 COSO モニタリングのガイダンス策定の公募がでていますね

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

・2006.02.10 小規模会社向けのCOSOの公開草案に対するコメント

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

 

 

 

| | Comments (0)

COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

こんにちは、丸山満彦です。

COSOが「スピードと破壊の時代における組織のアジリティの実現」を公表していました。。。

The Committee of Sponsoring Organizations of the Treadway Commission: COSO

・2022.03.09 COSO Releases New Guidance: Enabling Organizational Agility in an Age of Speed and Disruption

・(news) [PDF] COSO Releases New Guidance: Enabling Organizational Agility in an Age of Speed and Disruption - Agile ERM approaches can be a key factor in helping organizations successfully manage risks in a fast-paced business environment

報告書...

・[PDF] Enabling Organizational Agility in an Age of Speed and Disruption

20220331-21825

目次...

Introduction はじめに
Part I. Speed, Disruption, and Risk Are Causing Change 第1部 スピード、混乱、リスクがもたらす変化
Part II. Business Unit and Team Adoption of Agile ERM Implications 第2部 事業部門とチームによるアジャイルERMの導入の意義
Part III. Agile Changes the ERM Approach 第3部 アジャイルはERMのアプローチを変える
Part IV. Summary 第4部 まとめ

 

まとめ...

Part IV. Summary 第4部 まとめ
Change and disruption are happening at a rapid pace and creating havoc for companies as they try to meet their objectives and manage their risks. Many companies are turning to new approaches to help them succeed and that includes agile practices. Some companies are adopting agile practices at the organization and strategic levels, while others are adopting and implementing more agile-oriented practices at the business-unit level. Either way, risks must be identified, assessed, and managed. An ERM framework and the ERM team can play a crucial role in helping organizations manage the risk. Furthermore, the ERM function itself needs to be updated to keep up with these changes in the organization and business units or the ERM function will quickly be out of step with the rest of the organization. Numerous ways are identified that show how the COSO ERM principles link to agile approaches. A broad overview and summary of some of these connections is discussed in Appendix A. The COSO ERM framework provides a great method for thinking about how and where risk should be considered as companies become more agile.  変化と混乱は急速なスピードで起きており、目標を達成し、リスクを管理しようとする企業に大混乱を引き起こしています。多くの企業は成功のために新しいアプローチに目を向けており、その中にはアジャイルプラクティスも含まれています。アジャイルプラクティスを組織や戦略レベルで採用している企業もあれば、ビジネスユニットレベルでよりアジャイル指向のプラクティスを採用・導入している企業もあります。いずれにせよ、リスクは特定し、評価し、管理しなければなりません。ERM フレームワークと ERM チームは、組織がリスクを管理するために重要な役割を果たすことができます。さらに、ERMの機能自体も、組織やビジネスユニットのこうした変化に対応できるように更新していく必要があります。COSOのERM原則がアジャイルアプローチとどのように関連しているかを示す数多くの方法が特定されています。これらの関連性の一部の大まかな概要と要約は、附属書A で説明しています。COSO ERM フレームワークは、企業がよりアジャイルになるにつれて、リスクをどこでどのように考えるべきかを考えるための優れた方法を提供します。
The following summarizes concepts that ERM leaders can use to succeed in an agile environment.  以下は、ERM リーダーがアジャイル環境で成功するために利用できるコンセプトの要約です。
1 The speed of change, risks, and disruption is driving organizations to rethink their vision and strategy.  1 変化、リスク、破壊のスピードが速いため、組織はビジョンと戦略を見直す必要に迫られています。
2 Being agile is an extension of strategy and could also be the best strategic choice in certain environments; not being agile could be a strategic mistake.  2 アジャイルであることは戦略の延長であり、特定の環境では最良の戦略的選択となる可能性もあり、アジャイルでないことは戦略上の過ちとなる可能性もあります。
3 Organizational leaders should regularly assess the environment in which they operate and the ability of the strategic approach to succeed in that environment.  3 組織のリーダーは、自分たちが活動する環境と、その環境で成功するための戦略的アプローチの能力を定期的に評価する必要があります。
4 Greatness includes taking risks but never blindly.  4 偉大さには、リスクを取ることも含まれるが、決してやみくもにリスクを取ることはありません。
5 New normals and new business models must factor in the speed of change, risks, and disruption.  5 新しい日常と新しいビジネスモデルは、変化のスピード、リスク、破壊を織り込まなければなりません。
6 Agile helps manage some risks but can also lead to other risks.  6 アジャイルはある種のリスクを管理するのに役立つが、他のリスクを招くこともあります。
7 New tools and methods are available for assessing noise, the environment, the strategy, and the business model, and linking noise to the business model.  7 ノイズ、環境、戦略、ビジネスモデルを評価し、ノイズをビジネスモデルに結びつけるための新しいツールや手法が利用可能です。
8 Superior ERM approaches can be a huge factor in helping the organization be more successful by focusing on the right strategies and risks.  8 優れたERMのアプローチは、正しい戦略とリスクに焦点を当てることで、組織がより成功するための大きな要因となり得ます。
9 Gathering and understanding the noise in the market and how it impacts the business and operating model, as well as building an early warning system, is becoming critical.  9 市場のノイズを収集し、それが事業やオペレーティング・モデルにどのような影響を与えるかを理解し、早期警告システムを構築することが重要になってきています。
10 Organizations should regularly assess ERM and revisit the purpose, mission, and alignment of ERM with the current environment, strategic approach, and business units. 10 組織は定期的にERMを評価し、目的、使命、現在の環境、戦略的アプローチ、事業部門とERMの整合性を見直す必要があります。



 

COSO関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.31 日本内部監査協会 COSO『デジタル時代のサイバーリスクマネジメント』発行

・2022.03.31 COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

・2021.09.17 COSO 人工知能の可能性を最大限に発揮するために

・2021.07.30 COSO クラウドコンピューティングのためのエンタープライズ・リスクマネジメント

・2020.11.13 COSO コンプライアンス・リスク管理 - COSO ERM フレームワークの適用

・2020.08.06 COSO ブロックチェーンと内部統制:COSOの視点

・2020.05.22 COSO ERMガイダンス:リスク選好度 - 成功要因

・2020.02.06 COSO ERMガイダンス:価値の創造と保護

一気に10年前に..

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2006.10.21 COSO モニタリングのガイダンス策定の公募がでていますね

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

・2006.02.10 小規模会社向けのCOSOの公開草案に対するコメント

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

 

 

 

 

| | Comments (0)

経済産業省 総務省 カメラ画像利活用ガイドブックver3.0

こんにちは、丸山満彦です。

経済産業省 総務省が、「カメラ画像利活用ガイドブックver3.0」を公表していますね。。。JPCERT/CCの理事長でもある菊池先生が座長ですね。。。

経済産業省

・2022.03.30 「カメラ画像利活用ガイドブックver3.0」を策定しました

総務省

・2022.03.30  「カメラ画像利活用ガイドブックver3.0」の公表

このガイドブックの範囲・・・

20220330-181418_20220330181501

出典:カメラ画像利活用ガイドブックver3.0」 図表 4 本ガイドブックのスコープ

文面はほぼ同じです。。。

経済産業省 総務省
「カメラ画像利活用ガイドブックver3.0」 別紙1 カメラ画像利活用ガイドブックver3.0
「カメラ画像利活用ガイドブックver3.0概要」 別紙2 カメラ画像利活用ガイドブックver3.0概要
「カメラ画像利活用ガイドブックver3.0」の修正箇所 別紙3 (参考)「カメラ画像利活用ガイドブックver3.0」の修正箇所
意見募集の結果と御意見に対する考え方  
  「カメラ画像利活用ガイドブックver2.0」の公表(平成30年3月30)

 

20220330-183118

 

| | Comments (0)

2022.03.30

日本銀行 2022年度の考査の実施方針等について

こんにちは、丸山満彦です。

日本銀行が、2022年度の考査の実施方針等について、公表していますね。。。

別紙にある、重点項目によると、、、

  • 日々変化するサイバー脅威動向等の情報収集や情報共有の適切性、
  • 顧客情報など重要データへのアクセス権限管理の妥当性、
  • サイバー攻撃への未然防止策と被害抑制策の有効性を点検する。

また、攻撃からの完全な防御は困難であることを踏まえ、

  • サイバーインシデント発生時を想定した重要な業務の復旧に向けた体制
  • コンティンジェンシープランの実効性
  • 演習の実施状況とその結果を反映した管理体制の見直し状況

ということになるようです。。。

 

日本銀行

・2022.03.29 [PDF] 2022年度の考査の実施方針等について


2.2021 年度の考査の実施状況等

...

(オペレーショナルリスク[6])

システムリスクに関し、大手金融機関では、顧客に影響を及ぼすシステム障害が複数回、発生する事例がみられた。また、大手金融機関、地域金融機関ともに、新しいデジタル技術の活用等が進む一方で、ランサムウェアなどのサイバー脅威がますます高まっている。このほか、サードパーティやグループ会社等との業務連携が拡大する中で、それらの先まで含めた情報セキュリティ管理、クラウド事業者に対する委託先管理などが不十分な事例がみられた。

...

3.2022 年度の考査の実施方針

...

(3)各種リスクの状況とリスク管理体制

...

✓ オペレーショナルリスク

  • サードパーティやグループ会社等との業務連携が拡大するもとでの、それらの先を包含する管理体制の構築。
  • システムリスク管理、サイバーセキュリティ管理について、障害・インシデントの未然防止策の有効性、および、発生時の復旧体制の実効性[7]。
  • マネー・ローンダリング対策に関する体制整備の進捗管理[8]。

...

(別紙)

2022 年度の考査における重点事項

...

6.オペレーショナルリスク管理

A.システムリスク管理体制

金融機関の重要なシステムを中心に、保守管理や重要システムの二重化など、 システム障害の未然防止策や、コンティンジェンシープランの整備・訓練を含む 障害発生時の復旧体制の実効性について点検する。その際、デジタライゼーション の進展による新たな技術やサービスの利用に見合った管理が行われているか、とい う観点からも点検する。また、クラウドの利用やAPI連携など、サードパーティ との業務連携が拡大している傾向も踏まえ、そうした先については、開発・運用の プロジェクト管理や、顧客データ等に関する情報セキュリティの観点などから、従 来からの業務委託先を含むサードパーティ管理を適切に行っているかを点検する。 さらに、サイバーセキュリティを含むシステム管理全般の実効性と、システム投資 の効率性の両立を図る経営資源の配分がなされているか等の観点から、金融機関本 体およびそのグループ会社等に対するITガバナンスの有効性を確認する。

B.サイバーセキュリティ管理体制

サイバーセキュリティ管理体制の整備状況について、各金融機関の業務内容等を踏まえ、日々変化するサイバー脅威動向等の情報収集や情報共有の適切性、顧客情報など重要データへのアクセス権限管理の妥当性、サイバー攻撃への未然防止策と被害抑制策の有効性を点検する。また、攻撃からの完全な防御は困難であることを踏まえ、サイバーインシデント発生時を想定した重要な業務の復旧に向けた体制やコンティンジェンシープランの実効性、演習の実施状況とその結果を反映した管理体制の見直し状況を点検する。

一部の大手金融機関に対する金融庁との共同調査では、特に、ガバナンス(経営 陣によるコミットメント、専担部署のリソース確保、業務部門の協力体制)、グルー プ・グローバルな体制整備(脅威情報収集・監視・即応・演習等)、脅威ベースペネトレーションテスト(TLPT)の活用、サイバーレジリエンスの向上(ランサム ウェア攻撃を想定したコンティンジェンシープランの整備等)、業務委託先を含むサードパーティ管理について対話を深める。なお、考査の実施に当たっては、共同調査との重複を回避する。

地域金融機関については、金融庁と共同でサイバーセキュリティ管理体制に関するセルフアセスメントを実施し、整備状況の実態把握および対策強化について働き かけを行っていく。

...

 

■ 参考:過去分

考査の実施方針等


 

Medama_moji_jp_400x400

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.21 金融庁 金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)

・2020.11.27 日本銀行 クラウドサービス利用におけるリスク管理上の留意点

・2020.03.17 日本銀行 2020年度考査実施方針

・2006.04.13 日本銀行 平成18年度の考査の実施方針等について

| | Comments (0)

ロシア・ウクライナ紛争に伴うサイバーセキュリティの警告(オーストラリア、英国の場合)

こんにちは、丸山満彦です。

日本政府のサイバーセキュリティの司令塔は内閣官房のサイバーセキュリティセンター (NISC) ですが、英国、カナダ、オーストラリアにも同様のセンターがあります。。。

英国 国家サイバーセキュリティセンター NCSC National Cyber Security Centre
カナダ カナダ・サイバーセキュリティセンター CCCS Canadian Centre for Cyber Security
オーストラリア オーストラリア・サイバーセキュリティセンター ACSC Australian Cyber Security Centre

で、今回のロシア・ウクライナ紛争、戦争?に伴うサイバーセキュリティの警告がそれぞれ公表されていますので、参考まで。。。

それぞれ結構詳細でございます。。。

 

英国の場合

National Cyber Security Centre: NCSC

・(GUidance) Actions to take when the cyber threat is heightened

 

オーストラリアの場合

Australian Cyber Security Centre: ACSC

2022-02: Australian organisations should urgently adopt an enhanced cyber security posture

 

 

20220330-152218

 

| | Comments (0)

IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

こんにちは、丸山満彦です。

IPAが

  1. 「サイバーセキュリティ経営ガイドライン」を実践するうえで参考となる事例やヒントを検索するためのウェブサイト(プラクティス・ナビ)

  2. ランサムウェアやテレワークといった近年の課題に対応する事例などを追加した「サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版

を公開していますね。。。

色々と参考になることもあるかもですね。。。

 

IPA

・2022.03.30 プレス発表 サイバーセキュリティ対策の実践事例を検索できるウェブサイトを公開

 ・プラクティス・ナビ

 

・2022.03.30 サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

 ・アンケートのお願い(対象資料名:サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版)

 ・[PDF]

20220330-120633  


第1章:経営とサイバーセキュリティ

経営者やCISO等に向けて、国内のサイバー攻撃の被害事例やサイバー攻撃の特徴を踏まえ、サイバーセキュリティが与える企業への影響や経営課題としての重要性をまとめる。

第2章:サイバーセキュリティ経営ガイドライン実践のプラクティス

サイバーセキュリティ対策を実施するCISO等やセキュリティ担当者、人材育成・支援担当者に向けて、事例に基づく重要10項目の実践手順、実践内容、取り組む際の考え方、ヒントをプラクティスとして示す。

第3章:サイバーセキュリティ対策を推進する担当者の悩みと取組のプラクティス

サイバーセキュリティ対策を実施するセキュリティ担当者や人材育成・支援担当者が、対策を推進する上で経験した悩みとそれを解決するために取り組んだ際の実践手順、内容、取り組む際の考え方、得られた知見をプラクティスとして示す。


 

 

| | Comments (0)

世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

こんにちは、丸山満彦です。

世界経済フォーラム (World Economic Forum) はデジタル通貨ガバナンスコンソーシアム (Digital Currency Governance Consortiumを立ち上げ、暗号通貨、暗号資産に関する提言もしてきていますね。。。

さて、2021年はエルサルバドルでBit Coinを法定通貨にしようとにしたり(IMFからやめろと言われていますが...)、中国で暗号通貨のマイニングを禁止したりと、色々と動きがあったわけですが、2022年になっておそらくさらに動きが加速するような予感がしますね。。。早速、米国では2022.03.09にデジタル資産の責任ある開発を確保するための大統領令 (Executive Order on Ensuring Responsible Development of Digital Assets) が公布されています。暗号通貨、暗号資産の可能性の大きさを経済成長に結びつけることの重要性とともに、その拡大に伴う負の影響の軽減を取り入れることが重要という認識なんだろうということなのかもしれませんね。。。

World Economic Forum

・2022.03.28 Cryptocurrency regulation: where are we now, and where are we going?

  • デジタル通貨の時価総額は1兆7000億ドルで、毎日900億ドル以上の価値が取引されています。
  • アナリストは、この産業があまりにも大きいため、管理を誤るとマクロ経済に影響を及ぼす可能性があると警告しています。
  • 暗号通貨規制に対する断片的なアプローチは、世界的に協調された枠組みに置き換えられる必要があります。

ということで、暗号通貨(暗号資産)について、各国が個別で規制を強化している状況になったので、これからはその規制を国際的に協調していくことが必要ということなのだろうと思います。

米国が大統領令を出したことから、動き出すと思われます。世界経済フォーラムの次の記事も参考になると思います。

・2022.03.11 Five things you need to know about Biden's executive order on cryptocurrency

  • 暗号通貨は今後も存在する
  • 暗号通貨への規制には注意が必要
  • 地政学の道具としての暗号技術
  • 暗号はより公平な金融システムの実現に貢献する可能性がある
  • 暗号通貨から得た教訓は今後の事業に影響を与える

この可能性のある技術を、うまく活用するためには、規制が不可欠であるがうまく規制をしないといけないという、まぁ、当たり前の話ですね。。。問題は、どういう規制がうまい規制かということだと思います。

これも参考になりますね。。。

 

・2022.01.10 What's next for bitcoin and crypto? The trends to watch in 2022

  • 暗号通貨をめぐる議論は、各国が暗号通貨を受け入れるか、規制するか、禁止するかを決定する中で、今もなお続いています
  • さらに、エネルギー集約型の分野は、最近、気候変動の専門家から非難を浴びています
  • 暗号の専門家が2022年の予測を語っています(法定通貨の問題等)

 

・2021.12.11 IMF experts explain the urgent need for comprehensive global laws around cryptocurrencies

  • 暗号資産は国際通貨・金融システムに重大な影響を与える可能性があると、IMFの3人の専門家が主張しています。
  • IMFの専門家は、技術、法律、規制、監督上の課題に対処するために、国境を越えた協力と協調が緊急に必要であることを指摘しています
  • 重要なのは、金融安定理事会が、その調整役として、暗号資産の規制のための基準からなるグローバルな枠組みを開発するのを支援することです。

 

国際的に規制をどのようにしていくかが重要なテーマとなっていきそうですね。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.23 企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.24 Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア運営会社と仮想通貨取引所に制裁を科す

 

Fig1_20220330030401

 

| | Comments (0)

中国 国家サイバースペース管理局 我が国のインターネットは海外からのサイバー攻撃に遭っています。。。(2022.03.11)

こんにちは、丸山満彦です。

中国 国家サイバースペース管理局 中国のインターネットは海外からのサイバー攻撃に遭っていると発表していました。。。米国に比べると控えめ目な発表の仕方です。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.03.11 我国互联网遭受境外网络攻击 我が国のインターネットは海外からのサイバー攻撃に遭っています

 

我国互联网遭受境外网络攻击 我が国のインターネットは海外からのサイバー攻撃に遭っています
国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击 国家インターネット緊急対応センターの調べによると、2月下旬以降、中国のインターネットは海外からのネットワーク攻撃を受け続け、外国組織が攻撃によって我が国の領土内のコンピューターをコントロールし、ロシア、ウクライナ、ベラルーシに対してネットワーク攻撃を行っていることが判明しました。
经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。 解析の結果、これらの攻撃アドレスは主に米国からで、ニューヨーク州の攻撃アドレスだけでも10個以上あり、ピーク時の攻撃トラフィックは36Gbpsに達していました。攻撃対象の87%はロシアで、ドイツやオランダなどからの攻撃アドレスも少数ながらありました。
Fig1_20220330005001
据悉,国家互联网应急中心已及时对以上攻击行为最大限度予以处置。(记者 王思北) 国家インターネット緊急対応センターは、上記の攻撃に対し、速やかに最大限の対処を行ったと報告されています。 (王思北記者)。

 

攻击地址   攻撃元アドレス 被攻击目标 攻撃先目標
107.174.250.xxx 美国伊利诺伊州 米国 イリノイ州 俄罗斯 ロシア
107.172,249.xxx 美国纽约州 米国 ニューヨーク州 俄罗斯 ロシア
192210.239.xxx 美国伊利诺伊州 米国 イリノイ州 乌克兰 ウクライナ
107.172.188.xxx 美国纽约州 米国 ニューヨーク州 俄罗斯 ロシア
66.150.130.xxx 美国加利福尼亚州 米国 カリフォルニア州 俄罗斯 ロシア
51.195.20.xxx 德国黑森州 ドイツ ヘッセン州 俄罗斯 ロシア
199.188.101.xxx 美国德克萨斯州 米国 テキサス州 俄罗斯 ロシア
136.144.41.xxx 荷兰南荷兰省 オランダ 南ホラント州 俄罗斯 ロシア
96.8.121.xxx 美国华盛顿州 米国 ワシントン 俄罗斯 ロシア
135.148.91.xxx 美国俄亥俄州 米国 オハイオ州 白俄罗斯 ベラルーシ

 

1_20210612030101

 

| | Comments (0)

米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

こんにちは、丸山満彦です。

米国司法省が、重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴したと公表していますね。。。

Department of Justice: DOJ

・2022.03.24 Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide

 

Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide 世界の重要インフラを標的とした2つの歴史的なハッキングキャンペーンでロシア政府職員4人を起訴
Defendants’ Separate Campaigns Both Targeted Software and Hardware for Operational Technology Systems 被告らの別々のキャンペーンは、いずれもOTシステムのソフトウェアとハードウェアを標的としていました
WASHINGTON - The Department of Justice unsealed two indictments today charging four defendants, all Russian nationals who worked for the Russian government, with attempting, supporting and conducting computer intrusions that together, in two separate conspiracies, targeted the global energy sector between 2012 and 2018. In total, these hacking campaigns targeted thousands of computers, at hundreds of companies and organizations, in approximately 135 countries. ワシントン - 司法省は本日、ロシア政府に勤務していたロシア国籍の被告人4名を、2012年から2018年の間に、2つの別々の共謀によって世界のエネルギー分野を標的としたコンピューター侵入を試み、支援し、実施した罪で起訴する2つの起訴状を公開しました。これらのハッキングキャンペーンは、合計で、約135カ国の数百の企業や組織で、数千台のコンピュータを標的としました。
A June 2021 indictment returned in the District of Columbia, United States v. Evgeny Viktorovich Gladkikh, concerns the alleged efforts of an employee of a Russian Ministry of Defense research institute and his co-conspirators to damage critical infrastructure outside the United States, thereby causing two separate emergency shutdowns at a foreign targeted facility. The conspiracy subsequently attempted to hack the computers of a U.S. company that managed similar critical infrastructure entities in the United States. 2021年6月にコロンビア特別区で起訴された合衆国対エブゲニー・ビクトロビッチ・グラッドキフは、ロシア国防省研究所の職員とその共謀者が米国外の重要インフラに損害を与え、それによって外国の標的施設に2度に渡る緊急停止を引き起こしたとする容疑に関わるものです。この共謀者はその後、米国内で同様の重要インフラ事業体を管理する米国企業のコンピューターへのハッキングを試みました。
An August 2021 indictment returned in the District of Kansas, United States v. Pavel Aleksandrovich Akulov, et al., details allegations about a separate, two-phased campaign undertaken by three officers of Russia’s Federal Security Service (FSB) and their co-conspirators to target and compromise the computers of hundreds of entities related to the energy sector worldwide. Access to such systems would have provided the Russian government the ability to, among other things, disrupt and damage such computer systems at a future time of its choosing. 2021年8月にカンザス州で起訴された合衆国対パベル アルクサンドロビッチ・アクロフ他は、ロシア連邦保安局(FSB)職員3人とその共謀者が、世界中のエネルギー部門に関連する数百の企業のコンピューターを標的にして侵害するために行った別の2段階のキャンペーンについての申し立てを詳述しています。このようなシステムにアクセスすることで、ロシア政府は、将来の好きな時にこのようなコンピュータ・システムを混乱させ、損害を与えることができるようになったのです。
“Russian state-sponsored hackers pose a serious and persistent threat to critical infrastructure both in the United States and around the world,” said Deputy Attorney General Lisa O. Monaco. “Although the criminal charges unsealed today reflect past activity, they make crystal clear the urgent ongoing need for American businesses to harden their defenses and remain vigilant. Alongside our partners here at home and abroad, the Department of Justice is committed to exposing and holding accountable state-sponsored hackers who threaten our critical infrastructure with cyber-attacks.”  司法長官代理のリサ・O・モナコは、次のように述べています。「ロシアの国家に支援されたハッカーは、米国および世界中の重要なインフラストラクチャに深刻かつ持続的な脅威を与えています。このようなハッカーは、米国および世界中の重要なインフラストラクチャに深刻かつ持続的な脅威を与えています。本日公開された刑事告発は過去の活動を反映したものですが、米国企業が防御を強化し、警戒を続けることが緊急に必要であることを明確に示しています。司法省は国内外のパートナーとともに、サイバー攻撃で重要インフラを脅かす国家によるハッカーの摘発と責任追及に全力を挙げています。」
“The FBI, along with our federal and international partners, is laser-focused on countering the significant cyber threat Russia poses to our critical infrastructure,” said FBI Deputy Director Paul Abbate. “We will continue to identify and quickly direct response assets to victims of Russian cyber activity; to arm our partners with the information that they need to deploy their own tools against the adversary; and to attribute the misconduct and impose consequences both seen and unseen.” FBIのポール・アベイト副長官は、次のように述べています。「FBIは、連邦政府や国際的なパートナーとともに、ロシアが我々の重要なインフラにもたらす重大なサイバー脅威への対策に集中しています。私たちは、ロシアのサイバー攻撃の犠牲者を特定し、迅速に対応するための資産を提供し、パートナーが敵対者に対して独自のツールを展開するために必要な情報を提供し、不正行為を明らかにし、目に見えるものと見えないものの両方に結果をもたらすために、引き続き取り組んでいきます。」
“We face no greater cyber threat than actors seeking to compromise critical infrastructure, offenses which could harm those working at affected plants as well as the citizens who depend on them,” said U.S. Attorney Matthew M. Graves for the District of Columbia. “The department and my office will ensure that those attacking operational technology will be identified and prosecuted.” コロンビア特別区の連邦検事マシュー・M・グレイブス氏は、次のように述べています。「重要インフラを侵害しようとする行為ほど大きなサイバー脅威はありません。こうした犯罪は、被害を受けた工場で働く人々や、工場に依存している市民を傷つける恐れがあります。コロンビア特別区と私の事務所は、運用技術を攻撃する者を特定し、確実に起訴します。」
“The potential of cyberattacks to disrupt, if not paralyze, the delivery of critical energy services to hospitals, homes, businesses and other locations essential to sustaining our communities is a reality in today’s world,” said U.S. Attorney Duston Slinkard for the District of Kansas. “We must acknowledge there are individuals actively seeking to wreak havoc on our nation’s vital infrastructure system, and we must remain vigilant in our effort to thwart such attacks. The Department of Justice is committed to the pursuit and prosecution of accused hackers as part of its mission to protect the safety and security of our nation.” カンザス地区連邦検事ドストン・スリンカードは、次のように述べています。「サイバー攻撃は、病院、家庭、企業、その他地域社会の維持に不可欠な場所への重要なエネルギーサービスの提供を麻痺させないまでも、妨害する可能性があり、今日の世界では現実です。私たちは、国の重要なインフラシステムを破壊しようと積極的に活動している人物がいることを認識し、そのような攻撃を阻止するために警戒を怠らないようにしなければなりません。司法省は、我が国の安全とセキュリティを守る使命の一環として、告発されたハッカーの追跡と起訴に全力を尽くしています。」
In addition to unsealing these charges, the U.S. government is taking action to enhance private sector network defense efforts and disrupt similar malicious activity. 米国政府は、これらの告発の公表に加え、民間企業のネットワーク防御の取り組みを強化し、同様の悪質な活動を阻止するための措置をとっています。
The Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) has already released numerous Technical Alerts, ICS Alerts and Malware Analysis Reports regarding Russia’s malign cyber activities, including the campaigns discussed in the indictments. These are located at: https://www.cisa.gov/shields-up 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)は、今回の起訴で取り上げられたキャンペーンを含むロシアの悪質なサイバー活動について、すでに多くの技術アラート、ICSアラート、マルウェア分析報告書を発表しています。これらの情報は、https://www.cisa.gov/shields-up に掲載されています。
United States v. Evgeny Viktorovich Gladkikh – defendant installed backdoors and launched malware designed to compromise the safety of energy facilities 合衆国対エブゲニー・ビクトロビッチ・グラッドキフで被告はバックドアをインストールし、エネルギー施設の安全性を損なうように設計されたマルウェアを起動しました。
In June 2021, a federal grand jury in the District of Columbia returned an indictment charging Evgeny Viktorovich Gladkikh (Евгений Викторович Гладких), 36, a computer programmer employed by an institute affiliated with the Russian Ministry of Defense, for his role in a campaign to hack industrial control systems (ICS) and operational technology (OT) of global energy facilities using techniques designed to enable future physical damage with potentially catastrophic effects. 2021年6月、コロンビア特別区の連邦大陪審は、ロシア国防省の関連機関に勤務するコンピュータープログラマー、エフゲニー・ビクトロビッチ・グラッドキフ(Евгений Викторович Гладких)、36歳の起訴状を提出しました。グローバルなエネルギー施設の産業制御システム(ICS)と運用技術(OT)を、将来的に壊滅的な影響を及ぼす可能性のある物理的損害を可能にするよう設計された技術を使用してハッキングするキャンペーンに関与したためです。
According to the indictment, between May and September 2017, the defendant and co-conspirators hacked the systems of a foreign refinery and installed malware, which cyber security researchers have referred to as “Triton” or “Trisis,” on a safety system produced by Schneider Electric, a multinational corporation. The conspirators designed the Triton malware to prevent the refinery’s safety systems from functioning (i.e., by causing the ICS to operate in an unsafe manner while appearing to be operating normally), granting the defendant and his co-conspirators the ability to cause damage to the refinery, injury to anyone nearby, and economic harm. However, when the defendant deployed the Triton malware, it caused a fault that led the refinery’s Schneider Electric safety systems to initiate two automatic emergency shutdowns of the refinery’s operations. Between February and July 2018, the conspirators researched similar refineries in the United States, which were owned by a U.S. company, and unsuccessfully attempted to hack the U.S. company’s computer systems. 起訴状によると、2017年5月から9月にかけて、被告と共謀者は外国の製油所のシステムをハッキングし、サイバーセキュリティ研究者が「Triton」または「Trisis」と呼んでいるマルウェアを、多国籍企業シュナイダーエレクトリックが製造する安全システムにインストールしたとのことです。共謀者は、製油所の安全システムが機能しないように(正常に動作しているように見せかけながら、ICSを危険な方法で動作させる)マルウェア「Triton」を設計し、被告とその共謀者に、製油所の被害、近隣住民への被害、経済的被害を引き起こす能力を付与したのです。しかし、被告がTritonマルウェアを展開した際、製油所のシュナイダーエレクトリック社の安全システムが製油所の操業を2回自動緊急停止させる不具合を発生させました。2018年2月から7月にかけて、共謀者は、米国企業が所有する米国内の同様の製油所を調査し、米国企業のコンピューターシステムのハッキングを試みましたが、失敗に終わっています。
The three-count indictment alleges that Gladkikh was an employee of the State Research Center of the Russian Federation FGUP Central Scientific Research Institute of Chemistry and Mechanics’ (Государственный научный центр Российской Федерации федеральное государственное унитарное предприятие Центральный научно-исследовательский институт химии и механики, hereinafter “TsNIIKhM”) Applied Developments Center (“Центр прикладных разработок,” hereinafter “ADC”). On its website, which was modified after the Triton attack became public, TsNIIKhM described itself as the Russian Ministry of Defense’s leading research organization. The ADC, in turn, publicly asserted that it engaged in research concerning information technology-related threats to critical infrastructure (i.e., that its research was defensive in nature). 3つの 起訴状によると、グラッドキフはロシア連邦の国家研究センター「FGUP中央科学研究所化学・機械研究所(Государственный научный центр Российской Федерации федеральное государственное унитарное предприятие Центральный научно- на маженый исследовательский институт химии и механики, 以下「TsNIIKhM」)応用開発センター(「Центр прикладных разработок」、以下「ADC」)」の職員であったとされています。TsNIIKhMは、Triton攻撃公開後に修正されたウェブサイトで、自らをロシア国防省の主要研究機関であると説明しています。一方、ADCは、重要インフラに対する情報技術関連の脅威に関する研究に従事していること(すなわち、その研究は防衛的な性格を有すること)を公言しました。
The defendant is charged with one count of conspiracy to cause damage to an energy facility, which carries a maximum sentence of 20 years in prison, one count of attempt to cause damage to an energy facility, which carries a maximum sentence of 20 years in prison, and one count of conspiracy to commit computer fraud, which carries a maximum sentence of five years in prison. 被告は、エネルギー施設に損害を与えるための共謀罪1件(最高懲役20年)、エネルギー施設に損害を与えようとした1件(最高懲役20年)、コンピューター詐欺を行った1件(最高懲役5年)の罪で起訴されました。
Assistant U.S. Attorneys Christopher B. Brown and Luke Jones for the District of Columbia, in partnership with the National Security Division’s Counterintelligence and Export Control Section, are prosecuting this case. The FBI’s Washington Field Office conducted the investigation. コロンビア特別区連邦検事補のクリストファーB. ブラウンとルーク・ジョーンズは、国家安全保障局の防諜・輸出管理部門と共同で、この事件を起訴しています。FBIのワシントン支局が捜査を行いました。
The U.S.-based targets of the conspiracy cooperated and provided valuable assistance in the investigation. The Department of Justice and the FBI also expressed appreciation to Schneider Electric for its assistance in the investigation, particularly noting the company’s public outreach and education efforts following the overseas Triton attack. 米国に拠点を置く謀略の対象者は、捜査に協力し、貴重な支援を提供しました。司法省とFBIはまた、シュナイダーエレクトリック社の捜査への協力に感謝の意を表し、特に海外でのTriton攻撃後の同社の広報・教育活動に注目しました。
United States v. Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov, and Marat Valeryevich Tyukov – defendants undertook years-long effort to target and compromise computer systems of energy sector companies 合衆国対パベル・アレクサンドロビッチ・アクロフ、ミハエル・ミハイロビッチ・ガブリロフ、マラット・バレリビッチ・ツコフでは、被告はエネルギーセクター企業のコンピュータシステムを標的とし侵害するために数年にわたり活動をしていました。
On Aug. 26, 2021, a federal grand jury in Kansas City, Kansas, returned an indictment charging three computer hackers, all of whom were residents and nationals of the Russian Federation (Russia) and officers in Military Unit 71330 or “Center 16” of the FSB, with violating U.S. laws related to computer fraud and abuse, wire fraud, aggravated identity theft and causing damage to the property of an energy facility. 2021年8月26日、カンザスシティーの連邦大陪審は、全員がロシア連邦(ロシア)の居住者・国籍で、FSBの軍事ユニット71330または「センター16」の幹部である3人のコンピューターハッカーを、コンピューター詐欺と不正使用、電信詐欺、加重個人情報漏洩、エネルギー施設の財産への損害発生に関する米国法違反の罪で起訴しました。
The FSB hackers, Pavel Aleksandrovich Akulov (Павел Александрович Акулов), 36, Mikhail Mikhailovich Gavrilov (Михаил Михайлович Гаврилов), 42, and Marat Valeryevich Tyukov (Марат Валерьевич Тюков), 39, were members of a Center 16 operational unit known among cybersecurity researchers as “Dragonfly,” “Berzerk Bear,” “Energetic Bear,” and “Crouching Yeti.” The indictment alleges that, between 2012 and 2017, Akulov, Gavrilov, Tyukov and their co-conspirators, engaged in computer intrusions, including supply chain attacks, in furtherance of the Russian government’s efforts to maintain surreptitious, unauthorized and persistent access to the computer networks of companies and organizations in the international energy sector, including oil and gas firms, nuclear power plants, and utility and power transmission companies. Specifically, the conspirators targeted the software and hardware that controls equipment in power generation facilities, known as ICS or Supervisory Control and Data Acquisition (SCADA) systems. Access to such systems would have provided the Russian government the ability to, among other things, disrupt and damage such computer systems at a future time of its choosing. FSBのハッカー、パベル・アレクサンドロビッチ・アクロフ (Павел Александрович Акулов)(36)、ミハエル・ミハリボッチ・ガブリロフ (Михаил Михайлович Гаврилов)(42) とマラット・バレリビッチ・ツコフ (Марат Валерьевич Тюков) (39) は、サイバーセキュリティ研究者の間で「ドラゴンフライ」「バーサークベア」「エネルギッシュベア」「クラウチングイエティ」として知られていたセンター16作戦部隊のメンバーであった。 起訴状では、2012年から2017年にかけて、アクロフ、ガブリロフ、ツコフおよびその共謀者が、石油・ガス会社、原子力発電所、電力会社・送電会社などの国際エネルギー分野の企業・組織のコンピューターネットワークへの密かな不正アクセスおよび持続的アクセスを維持するためのロシア政府の取り組みを推進し、サプライチェーン攻撃などのコンピューター侵入に従事したと申し立てています。具体的には、ICSやSCADA(Supervisory Control and Data Acquisition)システムと呼ばれる、発電施設の機器を制御するソフトウェアやハードウェアを標的としていました。このようなシステムにアクセスすることで、ロシア政府は、将来の好きなタイミングで、このようなコンピュータシステムを混乱させ、損害を与えることができるようになります。
According to the indictment, the energy sector campaign involved two phases. In the first phase, which took place between 2012 and 2014 and is commonly referred to by cyber security researchers as “Dragonfly” or “Havex,” the conspirators engaged in a supply chain attack, compromising the computer networks of ICS/SCADA system manufacturers and software providers and then hiding malware – known publicly as “Havex” – inside legitimate software updates for such systems. After unsuspecting customers downloaded Havex-infected updates, the conspirators would use the malware to, among other things, create backdoors into infected systems and scan victims’ networks for additional ICS/SCADA devices. Through these and other efforts, including spearphishing and “watering hole” attacks, the conspirators installed malware on more than 17,000 unique devices in the United States and abroad, including ICS/SCADA controllers used by power and energy companies. 起訴状によると、エネルギーセクターのキャンペーンは2つのフェーズに分かれていました。2012年から2014年にかけて行われた第1段階では、サイバーセキュリティ研究者の間では一般に「Dragonfly」または「Havex」と呼ばれています。共謀者はサプライチェーン攻撃を行い、ICS/SCADAシステムメーカーとソフトウェアプロバイダーのコンピュータネットワークを侵害し、そうしたシステムの正規ソフトウェア更新の中に「Havex」として公に知られているマルウェアを隠蔽していました。疑いを持たない顧客がHavexに感染したアップデートをダウンロードした後、共謀者はこのマルウェアを使って、感染したシステムにバックドアを設置し、被害者のネットワークをスキャンして追加のICS/SCADA機器を探すなどの行為を行いました。共謀者は、スピアフィッシングや「水飲み場」攻撃など、こうした取り組みを通じて、電力会社やエネルギー会社が使用するICS/SCADAコントローラを含む、米国内外の17,000以上のユニークなデバイスにマルウェアをインストールしたのです。
In the second phase, which took place between 2014 and 2017 and is commonly referred to as “Dragonfly 2.0,” the conspirators transitioned to more targeted compromises that focused on specific energy sector entities and individuals and engineers who worked with ICS/SCADA systems. As alleged in the indictment, the conspirators’ tactics included spearphishing attacks targeting more than 3,300 users at more than 500 U.S. and international companies and entities, in addition to U.S. government agencies such as the Nuclear Regulatory Commission. In some cases, the spearphishing attacks were successful, including in the compromise of the business network (i.e., involving computers not directly connected to ICS/SCADA equipment) of the Wolf Creek Nuclear Operating Corporation (Wolf Creek) in Burlington, Kansas, which operates a nuclear power plant. Moreover, after establishing an illegal foothold in a particular network, the conspirators typically used that foothold to penetrate further into the network by obtaining access to other computers and networks at the victim entity. 2014年から2017年にかけて行われ、一般に「Dragonfly 2.0」と呼ばれる第2フェーズでは、共謀者は、特定のエネルギー部門の事業体とICS/SCADAシステムを扱う個人およびエンジニアに焦点を当てた、より標的型の侵害行為へと移行しています。起訴状によると、共謀者たちの手口には、原子力規制委員会などの米国政府機関に加え、米国内外の500以上の企業や団体の3,300人以上のユーザーを標的としたスピアフィッシング攻撃も含まれていました。このスピアフィッシング攻撃は、原子力発電所を運営するカンザス州バーリントンのウルフクリーク原子力運営会社のビジネスネットワーク(ICS/SCADA機器に直接接続されていないコンピュータを含む)を侵害するなど、成功した事例もあります。さらに、共謀者は、特定のネットワークに違法な足場を築いた後、通常、その足場を利用して、被害企業の他のコンピュータやネットワークへのアクセスを取得し、ネットワークにさらに侵入していきました。
During the Dragonfly 2.0 phase, the conspirators also undertook a watering hole attack by compromising servers that hosted websites commonly visited by ICS/SCADA system and other energy sector engineers through publicly known vulnerabilities in content management software. When the engineers browsed to a compromised website, the conspirators’ hidden scripts deployed malware designed to capture login credentials onto their computers. Dragonfly 2.0の段階では、コンテンツ管理ソフトウェアの既知の脆弱性を利用して、ICS/SCADAシステムやその他のエネルギー部門のエンジニアがよく閲覧するウェブサイトをホストするサーバーを侵害し、水飲み場攻撃も行いました。エンジニアが侵害されたウェブサイトを閲覧すると、共謀者の隠しスクリプトにより、ログイン情報を取得するためのマルウェアがエンジニアのコンピュータに展開されました。
The conspiracy’s hacking campaign targeted victims in the United States and in more than 135 other countries. このハッキングキャンペーンは、米国をはじめ135カ国以上の被害者を対象としていました。
Akulov, Gavrilov and Tyukov are charged with conspiracy to cause damage to the property of an energy facility and commit computer fraud and abuse, which carries a maximum sentence of five years in prison, and conspiracy to commit wire fraud, which carries a maximum sentence of 20 years in prison. Akulov and Gavrilov are also charged with substantive counts of wire fraud and computer fraud related to unlawfully obtaining information from computers and causing damage to computers. These offenses carry maximum sentences ranging from five to 20 years in prison. Finally, Akulov and Gavrilov are also charged with three counts of aggravated identity theft, each of which carry a minimum sentence of two years consecutive to any other sentence imposed. アクロフ、ガブリロフ、ツコフの3人は、エネルギー施設の財産に損害を与え、コンピューター詐欺と不正使用を行った共謀の罪に問われており、最高刑は懲役5年、電信詐欺の共謀は最高刑懲役20年となっています。また、アクロフとガブリロフは、コンピュータから違法に情報を取得し、コンピュータに損害を与えたことに関する電信詐欺とコンピュータ詐欺の実質的な訴因でも起訴されています。これらの犯罪には、最高で5年から20年の懲役刑が科されます。最後に、アクロフとガブリロフは、加重ID窃盗の3つの訴因でも起訴されており、これらの訴因には、それぞれ最低2年の刑期が課され、他のいかなる刑期も継続されます。
Assistant U.S. Attorneys Scott Rask, Christopher Oakley and Ryan Huschka for the District of Kansas, and Counsel for Cyber Investigations Ali Ahmad and Trial Attorney Christine Bonomo of the National Security Division’s Counterintelligence and Export Control Section are prosecuting this case. The FBI’s Portland and Richmond field offices conducted the investigation, with the assistance of the FBI’s Cyber Division. カンザス州のスコット・ラスク、クリストファー・オークレイ、ライアン・マシュカの各米国弁護士補、国家安全保障局防諜・輸出管理課のアリ・アーマド サイバー捜査担当顧問とクリスティン・ボノモ裁判弁護士がこの事件を起訴しています。FBIのポートランド支局とリッチモンド支局が、FBIのサイバー課の協力のもと、捜査を実施しました。
Numerous victims, including Wolf Creek and its owners Evergy and the Kansas Electric Power Cooperative, cooperated and provided invaluable assistance in the investigation. ウルフ・クリークとその所有者であるエバージ、カンザス電力協同組合を含む多数の被害者が、捜査に協力し、貴重な援助を提供しました。
An indictment is merely an allegation, and all defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. A federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors. 起訴は単なる申し立てに過ぎず、すべての被告人は法廷で合理的な疑いを超えて有罪と証明されるまでは無罪と推定されます。連邦地裁の裁判官は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、判決を決定します。

 

Fig1_20220329232701

 

| | Comments (0)

2022.03.29

IPA 2021年度情報セキュリティの倫理に対する意識調査、2021年度情報セキュリティの脅威に対する意識調査

こんにちは、丸山満彦です。

IPAが、2021年度情報セキュリティの倫理に対する意識調査、2021年度情報セキュリティの脅威に対する意識調査の報告書が公開されていました。。。

両方の調査とも13-19歳のかたが約8%が含まれていますね。。。70歳以上の方も。。。

IPA

・2022.03.28 「2021年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書


調査結果のポイント

(1) パスワードのセキュリティ対策「できるだけ長いパスワード」「使いまわしをしない」「初期パスワードの変更」のうち、実施率が最も低いのは「使いまわしをしない」で、使いまわす人の割合は4-5割。(脅威調査2021_概要資料.pdf P23)

(2) 「プライベートな情報を書き込む」「金銭をやりとりする」など使途の異なるアカウントにおけるパスワード管理方法に差は見られず、ツールなどを使わず「自分で記憶」「紙などにメモ」が2トップ(同 P25、26)

(3) 脆弱性対策において、IoT機器の対策はパソコン関連の対策よりも実施率が低く、やり方がわからないという割合が高い(同 P27)

(4) SNS等で知り合った人と1対1で合ったことがない人の割合は平均で7割弱いる一方で、「6回以上会ったことがある」人の割合は約1割(倫理調査2021_概要資料.pdf P27)

(5) SNS等で会った結果「金銭トラブル」「身の危険を感じた」と回答した割合は10代が他世代より顕著に高い(同 P31)

(6) セキュリティ教育の受講経験は10代の割合が最も高く、次いで20代。年齢が上がるにつれ低下する(脅威調査2021_概要資料.pdf P12 、倫理調査2021_概要資料.pdf P11)


 ということのようです。。。

年代別のデータは興味深いですね。。。

報告書というよりも、データ集のようなものなので、できたらエクセルでもデータを提供していただければ、利用者側でも柔軟な分析ができるのになぁ。。。と思ったり。。。

 

 

 「2021年度情報セキュリティの倫理に対する意識調査」報告書

(1) 調査方法:ウェブアンケート
(2) 調査対象:13歳以上のSNS等における投稿経験者
(3) 調査期間:2021年12月14日~2022年1月4日
(4) サンプル数:5,000人
20220329-140534

・[PDF] 2021倫理調査

・[PDF] 2021職業軸_倫理調査

・[PDF] 2021性年代軸_倫理調査

 

 

「2021年度情報セキュリティの脅威に対する意識調査」報告書

(1) 調査方法:ウェブアンケート
(2) 調査対象:13歳以上のパソコンあるいはスマートフォンを使ったインターネット利用者
(3) 調査期間:2021年12月14日~2022年1月4日
(4) サンプル数:パソコン利用者、スマートフォン利用者各5,000人 計10,000人

| | Comments (0)

FIRST ロシアとベラルーシを拠点とする会員組織を一時的に停止 (2022.03.25)

こんにちは、丸山満彦です。

FIRSTの理事会が、ロシアとベラルーシを拠点とする会員組織を一時的に停止する決定をしていますね。。。

FIRSTは、世界各国からインシデントレスポンスとセキュリティのチームを集め、すべての人にとって安全なインターネットを確保することを目的としている組織ではあるのですが、法的には米国で法人化された組織であるため、米国政府から出された制裁措置に留意し、行動する必要があり、FIRSTとその会員組織に対して、直ちに法的な影響が及ぶリスクを軽減するために、ロシアとベラルーシを拠点とする会員組織を一時的に停止するということを決断したということのようです。。。

FIRSTの各理事(理事会理事)もこの決断に至るにあたり、いろいろな思いもあり、簡単な決断ではなかったのだろうと思います。日本からはJPCERT/CCの内田さんが理事に就任しています。。。

 

FIRST

・2022.03.25 Teams suspension from FIRST

理事会理事

FIRST.Org, Inc. Board of Directors

 


Teams suspension from FIRST

The Board of Directors strongly believes that FIRST should be an inclusive organization with broad global participation and collaboration to make the internet safe for everyone.

Available in PDF

March 25, 2022: The Board of Directors strongly believes that FIRST should be an inclusive organization with broad global participation and collaboration to make the internet safe for everyone. FIRST is a non-profit organization incorporated in the United States of America. We are obliged to take note and act upon sanctions issued by the US government.

Therefore, the FIRST Board of Directors had to temporarily suspend all member organizations originating in Russia and Belarus until the full implications of the issued rulings can be accessed. This was done to reduce the immediate risk of legal ramifications to the organization and its members.

FIRST and its Board will closely monitor the situation and will take appropriate action to navigate new restrictions as they develop and comply with sanctions. At the same time, we aim to seek clarification and provide input into any policy and governance that prevents our industry from operating and cooperating globally to its full potential.


 

First

 

| | Comments (0)

米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

こんにちは、丸山満彦です。

米国のGAOがブロックチェーンがもたらす新たな利点と課題についての報告書を出していますね。。。

● U.S. Government Accountability Office

・2022.03.22 GAO 2022-2027 Strategic Plan: Goals and Objectives for Serving Congress and the Nation

 

Blockchain: Emerging Technology Offers Benefits for Some Applications but Faces Challenges ブロックチェーン:ブロックチェーンがもたらす新たな利点と課題
Fast Facts 概要
Blockchain combines several technologies to provide a tamper-resistant record of transactions between parties without a central authority, such as a bank. ブロックチェーンは、複数の技術を組み合わせることで、銀行などの中央当局を介さずに当事者間の取引を改ざんされにくい形で記録することができます。
Although cryptocurrency is the best known use, blockchain has potential non-financial uses. For example, it could be used to manage supply chains, create less hierarchical organizations, and document real estate title transfers. 暗号通貨が最もよく知られている用途ですが、ブロックチェーンは金融以外の用途にも利用できる可能性があります。例えば、サプライチェーンの管理、階層性の低い組織の構築、不動産の所有権移転の文書化などに利用できる可能性があります。
This report also highlights potential benefits and challenges of blockchain. Data privacy, energy consumption, and regulatory uncertainty are key concerns. We present policy options for oversight, standard-setting, and more. 本レポートでは、ブロックチェーンの潜在的なメリットと課題についても取り上げています。データプライバシー、エネルギー消費、規制の不確実性などが主な懸念事項です。監視、標準設定などに関する政策オプションを提示します。
There are potential applications for blockchain in supply chains, financial services, digital IDs, and more. ブロックチェーンは、サプライチェーン、金融サービス、デジタルIDなどに応用される可能性があります。
Highlights ハイライト
What GAO Found GAOの発見事項
Blockchain combines several technologies to provide a trusted, tamper-resistant record of transactions by multiple parties without a central authority such as a bank. Blockchain can be used for a variety of financial and non-financial applications, including cryptocurrency, supply chain management, and legal records. GAO found that blockchain is useful for some applications but limited or even problematic for others. For example, because of its tamper resistance, it may be useful for applications involving many participants who do not necessarily trust each other. But it may be overly complex for a few trusted users, where traditional spreadsheets and databases may be more helpful. Blockchain may also present security and privacy challenges and can be energy-intensive. ブロックチェーンは、複数の技術を組み合わせることで、銀行などの中央当局を介さずに、複数の当事者による取引を、信頼性が高く改ざんされにくい記録として提供するものです。ブロックチェーンは、暗号通貨、サプライチェーン管理、法的記録など、金融および非金融のさまざまな用途に使用することができます。GAOは、ブロックチェーンが一部の用途には有用であるが、他の用途には制限があるか、あるいは問題があることを発見した。例えば、改ざんができないため、必ずしもお互いを信頼していない多くの参加者が関わる用途では有用かもしれません。しかし、信頼できる少数のユーザーにとっては過度に複雑であり、従来のスプレッドシートやデータベースの方が有用な場合もあります。また、ブロックチェーンにはセキュリティやプライバシーに関する課題があり、エネルギーを大量に消費する可能性があります。
Blockchain has a wide range of potential non-financial uses (see figure). ブロックチェーンには、金融以外の幅広い用途の可能性があります(図参照)。
Blockchain has many potential non-financial applications ブロックチェーンには、金融以外の用途の可能性が多くある
719632

For example, it could be used to organize supply chains, create less hierarchical organizations, and document title registries for real estate. However, most such efforts are not yet beyond the pilot stage and face challenges. For example, most blockchain networks are not designed to be interoperable and cannot communicate with other blockchains. Organizations that want to use blockchain also face legal and regulatory uncertainties, and have found it difficult to find skilled workers to implement blockchain. 例えば、サプライチェーンの整理、階層の少ない組織の構築、不動産の所有権登録の文書化などに利用できるでしょう。しかし、そのような取り組みのほとんどは、まだ試験的な段階を越えておらず、課題に直面しています。例えば、ほとんどのブロックチェーンネットワークは相互運用性を考慮した設計になっておらず、他のブロックチェーンと通信することができません。また、ブロックチェーンの利用を希望する組織は、法律や規制の不確実性に直面しており、ブロックチェーンを実装するための熟練労働者を見つけることが困難であることもわかっています。
Financial applications of blockchain have the potential to reduce costs and improve access to the financial system, but they also face multiple challenges. Cryptocurrencies, likely the most widely known application, are a digital representation of value protected through cryptographic mechanisms, which facilitates payments. Some are known for volatility (i.e., frequent or rapid changes in value), but a type known as stablecoins may help reduce this risk. Similarly, an emerging area known as decentralized finance offers services such as blockchain-based lending and borrowing, which also face several challenges. For example, blockchain-based financial applications can facilitate illicit activity, may reduce consumer and investor protections compared to traditional finance, and, in some cases, are subject to unclear and complex rules. ブロックチェーンの金融アプリケーションは、コストを削減し、金融システムへのアクセスを改善する可能性を秘めていますが、複数の課題にも直面しています。最も広く知られているアプリケーションであろう暗号通貨は、暗号メカニズムによって保護された価値のデジタル表現であり、決済を容易にします。中にはボラティリティ(価値が頻繁に、あるいは急激に変化すること)が高いことで知られるものもありますが、ステーブルコインと呼ばれるタイプはこのリスクの軽減に役立つ可能性があります。同様に、分散型金融と呼ばれる新興分野では、ブロックチェーンを利用した貸し借りなどのサービスが提供されていますが、これもいくつかの課題を抱えています。例えば、ブロックチェーンベースの金融アプリケーションは、違法行為を助長する可能性があり、従来の金融と比較して消費者や投資家の保護が低下する可能性があり、場合によっては不明瞭で複雑なルールが適用される可能性があります。
GAO developed four policy options that could help enhance benefits or mitigate challenges of blockchain technologies. The policy options identify possible actions by policymakers, which may include Congress, federal agencies, state and local governments, academic and research institutions, and industry. In addition, policymakers could choose to maintain the status quo, whereby they would not take additional action beyond any current efforts. See below for details of the policy options and relevant opportunities and considerations. GAOは、ブロックチェーン技術の利点を高め、あるいは課題を軽減するのに役立つ4つの政策オプションを作成しました。政策オプションは、議会、連邦政府機関、州・地方政府、学術・研究機関、産業界を含む政策立案者が取り得る行動を特定している。さらに、政策立案者は、現在の取り組み以上の追加的な行動を取らない、現状維持を選択することも可能です。政策オプションの詳細と関連する機会や考慮事項については、以下を参照してください。
Policy Options That Could Help Enhance Benefits or Mitigate Challenges of Blockchain Technologies ブロックチェーン技術の利点の強化または課題の軽減に役立つ政策オプション
Standards (report p. 38) 標準(報告書P.38)
Policymakers could collaborate to unify standards that focus on the development, implementation, and use of blockchain technologies. 政策立案者は、ブロックチェーン技術の開発、実装、利用に焦点を当てた標準を統一するために協力することができる。
Opportunities 機会
▪         Could simplify fragmented standards and help identify gaps and reduce overlap in standard-setting efforts. ・断片化した規格を簡素化し、規格設定におけるギャップの特定と重複の軽減に役立つ。
▪         Could identify the areas in which standards would be most beneficial across different sectors of the economy or applications of blockchain. ・経済の様々なセクターやブロックチェーンのアプリケーションにおいて、標準化が最も有益となる分野を特定することができる。
▪         Could help address challenges around interoperability and data security. ・相互運用性とデータセキュリティに関する課題への対処に役立つ可能性がある。
Considerations 検討事項
▪         Could require consensus from many public- and private-sector stakeholders, which can be time- and resource-intensive. ・多くの官民関係者のコンセンサスが必要であり、時間とリソースがかかる可能性がある。
▪         May not be clear which entities should take the lead in establishing internationally recognized standards for different technologies and application areas. ・異なる技術や応用分野に対して、どの主体が国際的に認知された標準を率先して確立すべきかが明確でない可能性がある。
▪         May require new funding or reallocation of existing resources to support new efforts. ・新たな取り組みを支援するために、新たな資金調達や既存のリソースの再配分を必要とする可能性がある。
Oversight (report p. 39) 監督(報告書P.39)
Policymakers could clarify existing oversight mechanisms, including regulations, or create new mechanisms to ensure appropriate oversight of blockchain applications. 政策立案者は、ブロックチェーン・アプリケーションの適切な監視を確保するために、規制を含む既存の監視メカニズムを明確にしたり、新しいメカニズムを構築したりすることができる。
Opportunities 機会
▪         Clear, industry-specific U.S. oversight frameworks could offer the clarity needed for individuals and firms to more successfully engage in blockchain-related commerce in the U.S. ・明確で業界固有の米国の監督フレームワークは、個人と企業が米国でブロックチェーン関連の商取引をより成功させるために必要な明確さを提供することができる。
▪         Policymakers, including regulatory entities and developers, could use tools to create oversight mechanisms in addition to testing innovative products and services. ・規制機関や開発者を含む政策立案者は、革新的な製品やサービスのテストに加えて、監視メカニズムを構築するためのツールを使用することができる。
▪         Could provide coordinated and timely clarity to promote safety and soundness, consumer protection, and compliance with applicable laws and regulations to combat illicit activity in blockchain-related commerce. ・ブロックチェーン関連商取引における不法行為に対抗するために、安全性と健全性、消費者保護、適用される法律や規制の遵守を促進するための協調的かつタイムリーな明確化を提供し得る。
Considerations 検討事項
▪         Policymakers will need to determine the appropriate level of oversight. Aggressive oversight could hamper innovation and competition as the technology matures, whereas too little oversight could leave consumers and businesses unprotected. ・政策立案者は適切な監視のレベルを決定する必要がある。積極的な監視は技術の成熟に伴う技術革新と競争を阻害する可能性があり、一方、監視が少なすぎると消費者と企業が無防備な状態になる可能性がある。
▪         Soliciting input across a range of stakeholders in various sectors may be time consuming and challenging. ・様々なセクターの様々な利害関係者に意見を求めることは、時間がかかり、困難な場合がある。
▪         May require new funding or reallocation of existing resources. ・新たな資金調達や既存のリソースの再配分が必要となる可能性がある。
Educational materials (report p. 40) 教材(報告書P.40)
Policymakers could support the development of educational materials to help users and regulators better understand blockchain technologies beyond existing financial applications. 政策立案者は、ユーザーや規制当局が既存の金融アプリケーションを超えてブロックチェーン技術をより理解するための教材開発を支援することができます。
Opportunities 機会
▪         Could enable instructors to train a workforce skilled in developing, implementing, and using blockchain-based products. ・ブロックチェーンを利用した製品の開発、実装、使用に長けた人材を指導者が育成できる。
▪         Could increase consumer literacy and help reduce negative public perceptions of blockchain. ・消費者のリテラシーを向上させ、ブロックチェーンに対するネガティブなイメージを払拭することができる。
▪         Could stimulate critical thinking and innovation, as well as prompt innovative research and development. ・批判的思考やイノベーションを刺激し、革新的な研究開発を促進することができる。
▪         Could help prepare policymakers to better use and regulate the latest technologies. ・政策立案者が最新技術をより良く利用し、規制するための準備に役立つ可能性がある。
Considerations 検討事項
▪         Educational materials will likely need to be tailored to meet a wide variety of learning needs across multiple target audiences. ・教材は、複数の対象者の多様な学習ニーズに対応する必要があると思われる。
▪         May be difficult to identify who could most effectively create educational materials for any particular target audience. ・特定の対象者に対して、誰が最も効果的に教材を作成できるかを特定することが困難な場合がある。
▪         May require new funding or reallocation of existing resources, especially to address the need for education regarding innovative uses of blockchain beyond existing financial applications. ・特に、既存の金融アプリケーション以外のブロックチェーンの革新的な使用に関する教育の必要性に対応するために、新たな資金調達または既存のリソースの再配分が必要となる可能性がある。
Appropriate uses (report p. 41) 適切な利用方法(報告書P.41)
Policymakers could support activities designed to determine whether blockchain is appropriate for achieving specific missions and goals or to mitigate specific challenges. 政策立案者は、ブロックチェーンが特定の使命や目標を達成するため、あるいは特定の課題を軽減するために適切かどうかを判断するための活動を支援することができます。
Opportunities 機会
▪         Actively investigating where and when blockchain would be the most useful could allow entities to capture the full benefits the technology might offer. ・ブロックチェーンがいつ、どこで最も役に立つかを積極的に調査することで、この技術が提供しうる利点を最大限に活かすことができる。
▪         Supporting blockchain use, where appropriate, could enhance transparency and accountability of existing systems and services. ・ブロックチェーンの利用を支援することで、既存のシステムやサービスの透明性と説明責任を高めることができる。
Considerations 検討事項
▪         Legal or regulatory uncertainty may hinder some potential users from benefitting from blockchain. ・法律や規制の不確実性が、ブロックチェーンの恩恵を受ける潜在的なユーザーの妨げになる可能性がある。
▪         Could be difficult to revert to a non-blockchain technology once an entity has invested a significant amount of time and resources. ・一度に多大な時間とリソースを投資した企業が、ブロックチェーン以外の技術に戻すことは困難な場合がある。
▪         May require new funding or reallocation of existing resources. ・新たな資金調達や既存リソースの再配分が必要となる可能性がある。
Source: GAO. | GAO-22-104625 出典 GAO | 参考資料:GAO(米国会計検査院)|GAO-22-104625
Why GAO Did This Study GAOがこの調査を行った理由
Economies rely on central authorities and trusted intermediaries to facilitate business transactions. Blockchain is a technology that could reduce the need for such entities while establishing a system of verification. It might therefore improve a variety of financial and non-financial applications. However, the use of blockchain technologies raises a variety of ethical, legal, economic, and social concerns. 経済では、商取引を円滑に行うために、中央当局や信頼できる仲介者に依存しています。ブロックチェーンは、検証システムを確立しながら、そのような主体の必要性を減らすことができる技術です。そのため、金融および非金融の様々なアプリケーションを改善する可能性があります。しかし、ブロックチェーン技術の使用は、倫理的、法的、経済的、社会的な様々な懸念を引き起こします。
GAO was asked to conduct a technology assessment on the use of blockchain, with an emphasis on foresight and policy implications. This report discusses (1) non-financial applications of blockchain, including potential benefits and challenges, (2) financial applications of blockchain, including potential benefits and challenges, and (3) policy options that could help enhance benefits or mitigate challenges of blockchain technologies. GAOは、ブロックチェーンの利用について、予見性と政策的含意に重点を置いた技術評価を行うよう依頼された。本報告書では、(1)ブロックチェーンの非金融用途(潜在的なメリットと課題を含む)、(2)ブロックチェーンの金融用途(潜在的なメリットと課題を含む)、(3)ブロックチェーン技術のメリット強化または課題軽減に役立つ政策オプションについて論じている。
GAO assessed blockchain applications developed for or used in finance, government, supply chain management, and organization management; interviewed a range of stakeholder groups including government, industry, academia, and a venture capital firm; convened a meeting of experts in collaboration with the National Academies of Sciences, Engineering, and Medicine; and reviewed key reports and scientific literature. GAO is identifying policy options in this report. GAOは、金融、政府、サプライチェーン管理、組織管理向けに開発または使用されているブロックチェーンアプリケーションを評価し、政府、産業、学界、ベンチャーキャピタル企業を含む様々なステークホルダー集団にインタビューを行い、全米科学・工学・医学アカデミーと共同で専門家会議を開催し、主要なレポートや科学文献を調査しました。GAOは本報告書において、政策の選択肢を特定しています。

 

・[PDF] Highlights Page

20220329-21510

 

・[PDF] Full Report 

20220329-21633

Introduction はじめに
1 Fundamentals of Blockchain 1 ブロックチェーンの基礎知識
1.1 What is blockchain? 1.1 ブロックチェーンとは?
1.2 How to determine whether a blockchain would be most useful 1.2 ブロックチェーンが最も有用であるかどうかを判断する方法
1.3 Blockchain operation 1.3 ブロックチェーンの運用
1.4 Types of blockchains 1.4 ブロックチェーンの種類
1.5 Smart contracts 1.5 スマートコントラクト
1.6 Consensus protocols 1.6 コンセンサスプロトコル
2 Blockchain Could Enable a Variety of Non-Financial Applications, but These Applications Face Challenges 2 ブロックチェーンは金融以外の様々な応用を可能にするが、その応用には課題がある
2.1 Risks and challenges 2.1 リスクと課題
3 Financial Blockchain Technologies Are in Use and Offer Several Benefits 3 金融ブロックチェーン技術は実用化され、いくつかの利点を提供している
3.1 Cryptocurrencies 3.1 暗号通貨
3.2 Stablecoins 3.2 ステーブルコイン
3.3 Lending and borrowing through decentralized finance 3.3 分散型金融による貸出・借入れ
3.4 All blockchain-based financial products face challenges 3.4 ブロックチェーンを利用した金融商品はどれも課題を抱えている
4 Policy Options 4 政策オプション
5 Agency and Expert Comments 5 機関および専門家のコメント
Appendix I: Objectives, Scope, and Methodology 附属書I:目的、範囲、および方法論
Appendix II: Expert Participation 附属書II:専門家の参加
Appendix III: Selected Definitions 附属書III:厳選された定義
Appendix IV: Consensus Protocols 附属書IV:コンセンサスプロトコル
Appendix V: GAO Contacts and Staff Acknowledgments 附属書V:GAOの連絡先とスタッフへの謝辞

 


 

まるちゃんの情報セキュリティ気まぐれ日記

暗号 / 電子署名 / ブロックチェーン

| | Comments (0)

米国 GAO 2022-2027の戦略計画 (2022.03.15)

こんにちは、丸山満彦です。

GAOが2027年までの4ヵ年戦略計画を立てていますね。。。その前提としてのトレンドペーパーは別の記事で...

議会から、政府の番人として、政府の課題についてしっかり監査をするための長期計画ということなので、ある意味連邦政府の長期的な課題、それは米国の長期的な課題が網羅されていると考えても良いのかもしれませんね。。。

当然に、インテリジェンス機関の連携の話(NSAを作ってみたものの、、、的な話)、サイバーセキュリティ(意外とやられているやん、、、的な話)も含まれていますね。。。

 

● U.S. Government Accountability Office

・2022.03.15 GAO 2022-2027 Strategic Plan: Goals and Objectives for Serving Congress and the Nation

 

GAO 2022-2027 Strategic Plan:Goals and Objectives for Serving Congress and the Nation GAO 2022-2027年戦略計画:議会と国家に奉仕するための目標と目的
Fast Facts 基本情報
We publish a strategic plan every 4 years to guide our work as we help lawmakers oversee federal operations and address the most important issues facing government and society. 連邦政府の運営を監督し、政府と社会が直面する最も重要な問題に取り組む議員を支援するため、私たちの仕事の指針となる戦略計画を4年ごとに発表しています。
Our strategic goals are intended to help: 私たちの戦略的目標は、以下を支援することを目的としています。
・Ensure the well-being and financial security of Americans ・アメリカ人の幸福と経済的安定を確保する
・Identify and address national security threats and challenges ・国家安全保障上の脅威と課題を特定し、それに対処する
・Transform the federal government ・連邦政府を変革する
・Maximize GAO's value as a leading practices federal agency ・リーディングプラクティスの連邦機関としてGAOの価値を最大化する。
The strategic plan includes 12 trend papers (factors affecting the future domestic and global context), and key efforts (our near-term priorities for informing Congress on important issues). 戦略プランには、12のトレンドペーパー(将来の国内およびグローバルな状況に影響を与える要因)と、キーエフォート(重要な問題について議会に情報を提供するための短期的な優先事項)が含まれています。
Highlights ハイライト
GAO's Strategic Plan Goals and Objectives form the foundation of the agency's strategic plan and lay out our long-term strategies to accomplish our goals. GAOの戦略計画の目標および目的は、GAOの戦略計画の基礎を形成し、目標達成のための長期戦略を打ち出しています。

 

・[PDF]  Full Report

20220328-161405

 

目次。。。

STRATEGIC FRAMEWORK  戦略的枠組み 
ABOUT THIS PLAN 本計画について
ABBREVIATIONS List of Abbreviations ABBREVIATIONS 略語のリスト
LETTER FROM THE COMPTROLLER GENERAL Gene L. Dodaro Gene L. Dodaro 検査院長からの手紙
GAO FACTS AND FIGURES Who we are and what we do GAOの事実と姿;私たちは何者か、何をしているか
GAO ORGANIZATION Our reporting structure GAOの組織:我々の報告構造
GOAL 1: Address Current and Emerging Challenges to the Well-Being and Financial Security of the American People 目標1:米国民の福利と経済的安定に対する現在および将来の課題に対処する。
1.1 Programs and Financing to Serve the Health Needs of an Aging and Diverse Population 1.1 高齢化と多様化する人々の健康ニーズに対応するためのプログラムと資金調達
1.2 Lifelong Learning to Enhance U.S. Competitiveness 1.2 米国の競争力強化に向けた生涯学習
1.3 Benefits and Protections for Workers, Families, and Children  1.3 労働者、家族、子供への給付と保護 
1.4 Financial Security and Well-Being of an Aging Population 1.4 高齢化社会における経済的安定と福利厚生
1.5 Fair, Responsive, and Effective System of Justice  1.5 公正、迅速、かつ効果的な司法制度 
1.6 Housing Finance and Viable Communities 1.6 住宅金融と活力ある地域社会
1.7 A Stable Financial System and Sufficient Consumer Protection 1.7 安定した金融制度と十分な消費者保護
1.8 Responsible and Sustainable Stewardship of Natural Resources and the Environment  1.8 天然資源と環境の責任ある持続可能な管理 
1.9 A Viable, Safe, Secure, and Accessible National Physical Infrastructure 1.9 活発で、安全、安心、かつアクセスしやすい国家物理基盤
1.10 Efforts to Fulfill the Federal Government’s Responsibilities to Tribes, Their Members, and Individual Descendants 1.10 部族、その構成員、個々の子孫に対する連邦政府の責任を果たすための努力
GOAL 2: Help the Congress Respond to Changing Security Threats and the Challenges of Global Interdependence 目標2:安全保障上の脅威の変化とグローバルな相互依存の課題への議会の対応を支援する
2.1 Protect and Secure the Homeland from Threats and Disasters  2.1 脅威と災害から国土を保護し、安全を確保する。
2.2 Effectively and Efficiently Utilize Resources for Military Capabilities and Readiness  2.2 軍事力と即応性のための資源を効果的かつ効率的に活用する。
2.3 Advance and Protect U.S. Foreign Policy and International Economic Interests 2.3 米国の外交政策と国際経済的利益の推進と保護
2.4 Improve the Intelligence Community’s Management and Integration to Enhance Intelligence Activities  2.4 情報コミュニティの管理と統合を改善し、諜報活動を強化する。
2.5 Ensure the Cybersecurity of the Nation 2.5 国家のサイバーセキュリティの確保
GOAL 3: Help Transform the Federal Government to Address National Challenges 目標3:国家的課題に対処するための連邦政府の変革に貢献する 
3.1 Analyze the Government’s Fiscal Condition and Opportunities to Strengthen Management of Federal Finances 3.1 政府の財政状態と連邦財政の管理強化のための機会を分析する。
3.2 Support Government Accountability by Identifying Fraud, Waste, and Abuse, and Needed Improvements in Internal Controls 3.2 不正、無駄、濫用、内部統制の改善の必要性を特定し、政府の説明責任をサポートする。
3.3 Support Congressional Oversight of Crosscutting Issues, Major Management Challenges, and Program Risks 3.3 横断的な問題、主要な経営課題、プログラムのリスクに関する議会の監視を支援する。
3.4 Support Congressional Knowledge, Understanding, and Oversight of Science and Technology Issues 3.4 科学技術問題に対する議会の知識、理解、監視を支援する。
GOAL 4 : Maximize the Value of the GAO by Enabling Quality, Timely Service to the Congress and by Being a Leading Practice Federal Agency 目標4:高品質でタイムリーな議会サービスを可能にし、リーディングプラクティス連邦機関となることで、GAOの価値を最大化する。
 4.1 Empower GAO’s Diverse Workforce to Continue to Excel in Mission Delivery through Strategic Talent Management  4.1 戦略的人材管理を通じて、GAOの多様な人材が任務遂行において引き続き卓越した能力を発揮できるようにする。
 4.2 Refine GAO’s Processes to Deliver High Quality Results and Products, and Promote Knowledge Sharing, Government Standards, and Strategic Solutions 4.2 GAOのプロセスを洗練させ、質の高い結果と製品を提供し、知識の共有、政府基準、戦略的解決を促進する。
4.3 Provide Modern Integrated Tools and Systems in a Secure, Collaborative, and Flexible Environment 4.3 安全で協力的かつ柔軟な環境における最新の統合ツールおよびシステムの提供
GAO TEAMS Guide to GAO Teams GAO TEAMS:GAOチームへのガイド
ADDITIONAL INFORMATION Image Sources, Obtaining Copies of GAO Reports 追加情報:画像ソース、GAOレポートのコピー
COMMUNICATING WITH GAO GAO Contact Information GAOとのコミュニケーション:GAOの連絡先

 

特にサイバーに関係するところとして、「目標2:安全保障上の脅威の変化とグローバルな相互依存の課題への議会の対応を支援する」について深掘りを...

GOAL 2: Help the Congress Respond to Changing Security Threats and the Challenges of Global Interdependence 目標2:安全保障上の脅威の変化とグローバルな相互依存の課題への議会の対応を支援する
STRATEGIC OBJECTIVE 2.1: Protect and Secure the Homeland from Threats and Disasters 戦略目標 2.1:脅威と災害から国土を保護し、安全を確保する
The United States faces increasingly complex threats and challenges to securing the homeland. The DHS Secretary said in 2021 that racial, ethnic, religious, and ideologically motivated domestic violent extremism poses the most lethal and persistent terrorism-related threat to the homeland. The FBI has noted that terrorist threats to the homeland have expanded from predominantly externally-directed plots to attacks carried out both by homegrown violent extremists, including some inspired by foreign terror organizations, and by self-radicalized domestic terrorists. This rise in domestic terrorism has been accelerated by foreign governments’ use of cyber capabilities to aggravate social and racial tensions. Further, threats from non-U.S. actors, such as China, Russia, North Korea, and Iran continue to evolve. In addition, concerns remain that ISIS and al Qaeda both have branches and affiliates in Afghanistan and other foreign locations that will require counterterrorism vigilance, as both groups are intent on attacking U.S. interests in the region and overseas. Foreign governments use cyber capabilities to aggravate social, racial, and ethnic tensions in the United States, undermine trust in authorities, and target assets and infrastructure.  米国は、ますます複雑化する脅威と、国土の安全確保という課題に直面しています。DHS長官は2021年、人種、民族、宗教、イデオロギーを動機とする国内の暴力的過激派が、最も致命的かつ持続的なテロ関連の脅威を国土にもたらすと述べた。FBIは、国土に対するテロの脅威が、主に外部から指示される陰謀から、外国のテロ組織に触発されたものを含むホームグロウン暴力的過激派と自己急進化した国内テロリストの両方によって行われる攻撃へと拡大していることを指摘しています。このような国内テロの増加は、外国政府がサイバー機能を利用して社会的・人種的緊張を悪化させることによって加速しています。さらに、中国、ロシア、北朝鮮、イランなど米国以外の主体による脅威も進化し続けています。さらに、ISISとアルカイダがともにアフガニスタンやその他の海外に支部や関連団体を持つという懸念も残っており、この地域や海外における米国の利益を攻撃する意図があるため、テロ対策への警戒が必要です。外国政府は、米国内の社会的、人種的、民族的緊張を悪化させ、当局への信頼を損ない、資産やインフラを標的にするためにサイバー機能を使用しています。
Flows of both legitimate and illicit travel and trade to the United States continue to challenge efforts to effectively secure U.S. borders. Ongoing physical and technological threats to the transportation network and critical infrastructure sectors underscore the need for effective, risk-based security programs. Continuing to secure seaports and incoming cargo, as well as performing rescue missions in severe conditions, is critical to protecting the maritime environment.  米国への合法的および非合法的な旅行や貿易の流れは、米国の国境を効果的に保護する努力に挑戦し続けています。輸送ネットワークと重要インフラ部門に対する物理的・技術的脅威が続いていることから、リスクに応じた効果的なセキュリティ・プログラムの必要性が浮き彫りになっています。海港と入港貨物の安全確保を継続し、厳しい状況下で救助活動を行うことは、海洋環境の保護に不可欠です。
Disasters, including hurricanes, floods, and wildfires, are increasing in severity due to the effects of climate change. The COVID-19 pandemic shows the catastrophic impacts of biological threats to the security of the homeland. An increase in these disasters, alongside potential terrorist and other attacks, pose serious challenges to federal agencies that must respond to and help recovery efforts from such events. ハリケーン、洪水、山火事などの災害は、気候変動の影響により深刻さを増しています。COVID-19のパンデミックは、生物学的脅威が国土の安全保障に壊滅的な影響を及ぼすことを示しています。これらの災害の増加は、潜在的なテロやその他の攻撃と並んで、そのような事象に対応し、復興努力を支援しなければならない連邦機関に深刻な課題を突きつけています。
GAO’s work will help the Congress and key agency stakeholders assess efforts to protect against and respond to threats and disasters, and to prioritize and allocate resources for homeland security. GAOの作業は、議会と主要機関の関係者が脅威や災害から守り、対応するための努力を評価し、国土安全保障のための資源に優先順位をつけ、配分するのに役立つ。
PERFORMANCE GOALS パフォーマンス目標
2.1.1: Assess federal homeland security management, resources, acquisitions, and stakeholder coordination  2.1.1: 連邦政府の国土安全保障の管理、資源、買収、利害関係者の調整を評価する。
2.1.2: Assess efforts to strengthen border security and address immigration enforcement and services issues  2.1.2: 国境警備の強化、移民法の施行とサービスの問題への取り組みについて評価する。
2.1.3: Assess efforts to strengthen the sharing of terrorism and other threat-related information 2.1.3 テロ等脅威関連情報共有の強化に向けた取組を評価する。
2.1.4: Assess efforts to strengthen security in all transportation modes  2.1.4: すべての輸送手段におけるセキュリティ強化のための取り組みを評価する。
2.1.5: Assess U.S. national emergency preparedness and response capabilities and efforts to strengthen the nation’s resilience against future disasters 2.1.5: 米国の緊急事態への準備と対応能力、および将来の災害に対する国家の回復力を強化するための取り組みを評価する。
2.1.6: Assess the efficiency, cost, and management of catastrophic insurance and disaster loan programs, including how climate change and the equitable distribution of resources are taken into consideration 2.1.6: 大災害保険と災害融資プログラムの効率、コスト、管理(気候変動と資源の衡平な配分がどのように考慮されているかを含む)を評価する。
2.1.7: Assess efforts to strengthen the protection of the nation’s critical infrastructure to ensure its security and resilience 2.1.7: 国の重要インフラの安全性と回復力を確保するための保護強化の取り組みを評価する。
2.1.8: Analyze the implementation and results of federal efforts to prevent, deter, investigate, and prosecute domestic and international terrorism and other threats to the homeland 2.1.8: 国内・国際テロおよび国土に対するその他の脅威を防止、抑止、調査、訴追するための連邦政府の取り組みの実施と結果を分析する。
STRATEGIC OBJECTIVE 2.2: Effectively and Efficiently Utilize Resources for Military Capabilities and Readiness 戦略目標 2.2:軍事的能力と即応性のための資源を効果的かつ効率的に活用する
The Department of Defense (DOD) faces multiple challenges while trying to remain ready to meet a broad array of threats. The re-emergence of great power strategic competition among nations; rebuilding readiness to prepare for conflicts with peer and near-peer adversaries; mitigating existing kinetic threats along with cyber, information-related, and other emerging threats; expanding space operations; and controlling costs collectively complicate DOD’s planning for the future. DOD faces difficult decisions related to how to address these complex and evolving threats. 国防総省(DOD)は、広範な脅威に対応するための備えを維持しようとする一方で、複数の課題に直面しています。国家間の大国戦略競争の再燃、同業者や近親者の敵との紛争に備えるための準備態勢の再構築、サイバー、情報関連、その他の新興脅威とともに既存の運動学的脅威の緩和、宇宙活動の拡大、コストの抑制が、DODの将来計画を複雑にしています。DODはこれらの複雑で進化する脅威にどのように対処するかに関連した難しい決断に直面しています。
GAO’s work will help the Congress, DOD, and relevant divisions of the Department of Energy (DOE) address these challenges and improve the efficiency and effectiveness of operations in areas such as personnel and enterprise management, acquisition, contracting, defense industrial base management, military structure and operations, strategic warfare, and the nuclear security enterprise. GAOの作業は、議会、DOD、およびエネルギー省(DOE)の関連部門がこれらの課題に取り組み、人事・企業管理、買収、契約、防衛産業基盤管理、軍事構造・作戦、戦略戦争、核セキュリティ企業などの分野における業務の効率と有効性を改善することに役立つでしょう。
PERFORMANCE GOALS パフォーマンス目標
2.2.1: Assess DOD’s ability to meet operational demands while rebuilding readiness and preparing for future missions 2.2.1: 即応態勢を立て直し、将来の任務に備える一方で、DODが作戦上の要求に応じる能力を評価する。
2.2.2: Assess DOD’s efforts to prepare for and respond to cyber, space, and informationrelated threats and operations 2.2.2: サイバー、宇宙、情報関連の脅威と作戦に備え、対応するためのDODの取り組みを評価する。
2.2.3: Assess DOD’s human capital management to ensure a high-quality diverse total workforce of military personnel, federal civilians, and contractors 2.2.3: 軍人、連邦政府職員、請負業者の質の高い多様な労働力を確保するためのDODの人的資本管理を評価する。
2.2.4: Assess the ability of DOD’s weapon systems science and technology, research and development, and acquisition programs to deliver effective, sustainable, survivable, and affordable solutions to the warfighter in a timely manner 2.2.4: DOD の兵器システム科学技術、研究開発、取得プログラムの能力を評価し、効果的で持続可能、生存可能、かつ手頃な価格のソリューションをタイムリーに軍人に提供する。
2.2.5: Assess DOD’s progress in improving contract management 2.2.5: 契約管理の改善に関するDODの進捗を評価する。
2.2.6: Assess DOD’s progress in improving the maintenance and sustainment of weapon systems throughout their life cycle and other logistics functions and activities 2.2.6: 兵器システムのライフサイクルを通じての保守・維持、その他のロジスティクス機能・活動の改善に関するDODの進捗を評価する。
2.2.7: Assess DOD’s management of the defense support infrastructure 2.2.7: 防衛支援インフラに対するDODの管理を評価する。
2.2.8: Assess efforts of DOE’s National Nuclear Security Administration (NNSA) and DOD to maintain and modernize the nuclear security enterprise, nuclear force structure, and associated weapon systems 2.2.8: DOE の国家核安全保障局(NNSA)と DOD による核セキュリティ事業、核戦力構造、 および関連兵器システムの維持と近代化に関する取り組みを評価する。
2.2.9: Assess DOD’s business operations efforts to adapt to and leverage organizational structures and management processes to maximize efficiencies and performance 2.2.9: 効率性とパフォーマンスを最大化するために、組織構造と管理プロセスに適応し活用するDODの事業運営努力を評価する。
2.2.10: Assess DOD’s preparedness to counter weapons of mass destruction and current and emerging technological or unconventional threats and capabilities 2.2.10: 大量破壊兵器及び現在及び将来の技術的又は非従来型の脅威と能力に対するDODの備えを評価する。
STRATEGIC OBJECTIVE 2.3: Advance and Protect U.S. Foreign Policy and International Economic Interests 戦略目標 2.3:米国の外交政策と国際経済的利益の推進と保護
To advance national interests and values abroad through global engagement in an ever-changing international environment, U.S. foreign policy in recent years has focused on providing more sustainable and equitable foreign assistance, countering an array of security threats, addressing various humanitarian crises, including those caused by climate change, and navigating changes in global trade. 変化し続ける国際環境の中で、グローバルな関与を通じて国益と価値を海外に高めるため、近年の米国の外交政策は、より持続可能で公平な海外援助の提供、一連の安全保障上の脅威への対処、気候変動によるものを含む様々な人道的危機への対処、世界貿易の変化への対応に重点を置いてきました。
GAO’s work will continue to inform the Congress of U.S. efforts to execute security assistance to help counter threats to the nation and overseas partners; execute U.S. bilateral and multilateral foreign assistance programs that are sustainable and equitable for recipients; execute programs to advance U.S. trade interests and assess the overall effect of COVID-19 on U.S. trade and U.S. government agencies; manage foreign affairs functions and efforts to build a more diverse workforce; and assess the effects of a global supplier base, foreign investment, and the sufficiency of critical resources to protect the nation.  GAOの活動は、国家と海外パートナーへの脅威に対抗するための安全保障支援の実施、受給者にとって持続可能で公平な米国の二国間および多国間対外援助プログラムの実施、米国を前進させるプログラムの実施に関する米国の努力を引き続き議会に報告するものです。米国の貿易利益を促進するプログラムを実行し、米国貿易と米国政府機関に対するCOVID-19の全体的な影響を評価する。外交機能とより多様な労働力を構築する努力を管理し、グローバルなサプライヤー基盤、海外投資、国家を保護するための重要資源の充足が及ぼす影響を評価する。
PERFORMANCE GOALS パフォーマンス目標
2.3.1: Analyze the implementation and results of U.S. and international efforts to counter threats to the United States and its foreign partners’ national security 2.3.1: 米国および外国のパートナーの国家安全保障に対する脅威 に対抗するための米国および国際的な取り組みの実施と結果について分析することができる。
2.3.2: Analyze the implementation and management of U.S. bilateral and multilateral foreign assistance and efforts to make it more efficient, effective, and sustainable and ensure it promotes greater diversity, equity, and inclusion 2.3.2: 米国の二国間および多国間対外援助の実施と管理、およびそれをより効率的、効果的、持続可能にし、より多様性、公平性、包括性を促進するための努力を分析する。
2.3.3: Analyze how international trade programs serve U.S. interests and how the United States can influence the world economy 2.3.3: 国際貿易プログラムがどのように米国の利益に貢献するか、また米国がどのように世界経 済に影響を与えることができるかを分析することができる。
2.3.4: Assess the management and effectiveness of U.S. diplomatic efforts and membership in multilateral organizations 2.3.4: 米国の外交努力および多国間組織への加盟の管理および効果を評価する。
2.3.5: Assess efforts to manage the effects of foreign investment and a global supplier base on U.S. national interests 2.3.5: 海外投資とグローバルな供給者基盤が米国の国益に及ぼす影響を管理するための努力を評価する。
STRATEGIC OBJECTIVE 2.4: Improve the Intelligence Community’s Management and Integration to Enhance Intelligence Activities 戦略目標 2.4:情報コミュニティの管理と統合を改善し、諜報活動を強化する。
A variety of intelligence organizations—comprised of 18 elements that work independently and collaboratively— are responsible for gathering, analyzing, and producing intelligence necessary to conduct foreign relations and national security activities, according to their established foreign or domestic focus. They include intelligence components of the five military services within the Department of Defense, the Department of State Bureau of Intelligence and Research, the Department of Homeland Security Office of Intelligence and Analysis, the Federal Bureau of Investigation, and the Office of the Director of National Intelligence (ODNI). As the national security environment evolves, the U.S. Intelligence Community (IC) faces an increasing number of challenges to be successful. To address these challenges, ODNI, which heads the IC, works to ensure that standards, processes, and tools across the community are standardized and efficient. 様々な情報機関(独立して、あるいは協力して活動する18の要素から構成)は、外交や国家安全保障の活動を行うために必要な情報の収集、分析、作成に責任を負っており、その重点は外交あるいは国内と定めています。国防総省の5つの軍部、国務省情報調査局、国土安全保障省情報分析局、連邦捜査局、国家情報長官事務所(ODNI)の情報部門が含まれます。国家安全保障環境の進化に伴い、米国情報コミュニティ (IC) は成功するためにますます多くの課題に直面しています。これらの課題に対処するため、ICを統括するODNIは、コミュニティ全体の標準、プロセス、およびツールが標準化され、効率的であることを保証するために活動しています。
GAO’s work will help the Congress to improve how the IC manages infrastructure, builds a capable and diverse workforce, and supports the military and other government operations. GAOの作業は、情報コミュニティがインフラを管理し、有能で多様な労働力を構築し、軍や他の政府の活動を支援する方法を改善するために、議会を支援することになります。
PERFORMANCE GOALS パフォーマンス目標
2.4.1: Analyze the IC’s business operations and efforts to integrate and leverage organizational structures and management processes to maximize efficiencies and performance 2.4.1: 情報コミュニティの事業運営を分析し、効率とパフォーマンスを最大化するために組織構造と管理プロセスを統合し、活用するための取り組みを行う。
2.4.2: Assess the IC’s acquisition and management programs and processes 2.4.2: 情報コミュニティの取得・管理プログラム及びプロセスを評価する。
2.4.3: Evaluate the IC’s planning and efforts that support military operations, diplomatic activities, and other government activities 2.4.3: 軍事活動、外交活動、その他の政府活動を支援する情報コミュニティの計画や取り組みを評価する。
STRATEGIC OBJECTIVE 2.5: Ensure the Cybersecurity of the Nation 戦略目標 2.5:国家のサイバーセキュリティの確保
Federal agencies and our nation’s critical infrastructures— such as energy, transportation systems, communications, and financial services—are dependent on technology systems to carry out operations and to process, maintain, and report essential information. These systems are inherently vulnerable to cyberattacks. For example, they are highly complex and dynamic, which increases the difficulty in identifying, managing, and protecting their numerous operating systems, applications, and devices.  連邦政府機関やエネルギー、交通システム、通信、金融サービスといった国家の重要なインフラは、業務を遂行し、重要な情報を処理、維持、報告するためのテクノロジー・システムに依存しています。これらのシステムは、本質的にサイバー攻撃に対して脆弱です。例えば、これらのシステムは非常に複雑かつ動的であるため、多数のオペレーティングシステム、アプリケーション、デバイスを特定し、管理し、保護することが困難になっています。
Compounding these vulnerabilities, systems and networks used by federal agencies and the nation’s critical infrastructure are often interconnected with other internal and external systems and networks, including the internet. With this greater connectivity, threat actors are increasingly willing and capable of conducting a cyberattack on agencies and on critical infrastructure that could be disruptive and destructive. さらに、連邦政府機関や国の重要なインフラで使用されるシステムやネットワークは、インターネットを含む他の内外のシステムやネットワークと相互接続していることが多く、これらの脆弱性はさらに深刻なものとなっています。このように接続性が高まったことで、脅威者は、破壊的な被害をもたらす可能性のあるサイバー攻撃を、政府機関や重要インフラに対して行う意思と能力をますます高めています。
GAO’s work will help the Congress assess efforts to address the major cybersecurity challenges facing the nation, which include establishing and implementing a comprehensive national cybersecurity strategy, securing federal agency and critical infrastructure systems from cyberattacks, and protecting privacy and sensitive data. GAOの作業は、包括的な国家サイバーセキュリティ戦略の確立と実施、連邦機関および重要インフラシステムのサイバー攻撃からの保護、プライバシーと機密データの保護など、国が直面するサイバーセキュリティの主要課題に取り組む努力を議会が評価するのに役立つと思われる。
PERFORMANCE GOALS パフォーマンス目標
2.5.1: Assess efforts to establish a comprehensive national and global cybersecurity strategy and perform effective oversight 2.5.1: 国家的・世界的な包括的サイバーセキュリティ戦略の確立に向けた取り組みを評価し、効果的な監督を行う。
2.5.2: Assess efforts to secure federal systems and information 2.5.2: 連邦政府のシステムおよび情報の安全確保に向けた取り組みを評価する。
2.5.3: Assess efforts to protect the nation’s critical infrastructure from cyber threats and timely respond to incidents 2.5.3: 国の重要インフラをサイバー脅威から守り、インシデントにタイムリーに対応するための取り組みを評価する。
2.5.4: Assess efforts to protect privacy and sensitive data 2.5.4: プライバシーと機密データの保護に関する取り組みを評価する。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

 

 

| | Comments (0)

米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

こんにちは、丸山満彦です。

GAOが2027年までの4ヵ年戦略計画を立てていますが、その前提としてのトレンドペーパーです。。。

● U.S. Government Accountability Office

・2022.03.15 Trends Affecting Government and Society

12のトレンドは次のようになります。

1. National Security: Global and Domestic Threats 1. 国家安全保障 世界と国内の脅威
2. Fiscal Sustainability and Debt 2. 財政の持続可能性と債務
3. Preparing for Catastrophic Biological Incidents 3. 壊滅的な生物学的事故への備え
4. Racial and Ethnic Disparities 4. 人種・民族間の格差
5. Science, Technology, and the Innovation Economy 5. 科学技術とイノベーションエコノミー
6. Security Implications for an Increasingly Digital World 6. デジタル化が進む世界における安全保障への影響
7. Changes to How and Where We Work 7. 働き方と場所の変化
8. Future of Global Supply Chains 8. グローバルサプライチェーンの未来
9. Online Learning and Technology in Education 9. 教育におけるオンライン学習とテクノロジー
10. Evolving Health Technologies 10. 進化する医療技術
11. Sustainable Development 11. 持続可能な開発
12. Evolving Space Environment 12. 進化する宇宙環境

ブログで、もう少し情報を付加して説明しています。。。

・2022.03.17 (blog) Key Trends with a Major Impact on Our Nation and Its Government

1. Global and domestic national security threats—which include growing threats abroad and a rise in violent extremism tied to conspiracy theories and misinformation 1. グローバルおよび国内の国家安全保障上の脅威:海外における脅威の増大、陰謀論や誤った情報に結びついた暴力的な過激派の増加など
2. The federal government’s increasing debt, which makes a fiscal crisis more likely, with the need to take action sooner to avoid more drastic measures in the future 2. 連邦政府の債務が増加し、財政危機の可能性が高まっており、将来、より抜本的な対策を講じるために早期の対策が必要であること
3. Strengthening the nation’s ability to prepare for catastrophic biological incidents—a need underscored by the COVID-19 pandemic—including building a more resilient medical supply chain 3. COVID-19の大流行で明らかになった、壊滅的な生物学的事件に備える国家の能力強化:より強靭な医療サプライチェーンの構築など
4. Persistent racial and ethnic disparities in all facets of society including housing, education, wealth, health care, criminal justice, and access to voting 4. 住宅、教育、富、医療、刑事司法、選挙へのアクセスなど社会のあらゆる面で人種・民族格差が根強く残っていること
5. The declining public investment in science and technology R&D in our innovation-based global economy 5. イノベーションを基盤とするグローバル経済において、科学技術研究開発への公共投資が減少していること
6. Society’s increasing reliance on digital technology with security implications like cybercrime and the emergence of “deep fakes” and other types of media designed to deceive people 6. サイバー犯罪や「ディープフェイク」など人々を欺くためのメディアの出現など、セキュリティに影響を及ぼすデジタル技術への依存が高まる社会
7. Changes to the U.S. workforce due to new technologies and the new skills they require, automation, and the increase in remote work 7. 新技術とそれが必要とする新しいスキル、自動化、リモートワークの増加による米国の労働力の変化
8. Potential economic and national security effects on the global supply chain due to COVID-19 disruptions, the trade war between the U.S. and China, and shocks from global crises 8. COVID-19の混乱、米中貿易戦争、世界的な危機によるショックによるグローバルサプライチェーンへの経済・国家安全保障上の潜在的な影響
9. The increased use of online learning and technology in education, which is creating both opportunities and challenges for students, educators, and policymakers 9. 学生、教育者、政策立案者にとってチャンスと課題の両方を生み出している、教育におけるオンライン学習とテクノロジーの利用拡大
10. The benefits and costs of evolving health technologies—for example, artificial intelligence can decrease the time and costs required to make more effective drugs available, but also raises privacy concerns 10. 進化する医療技術のメリットとコスト:例えば、人工知能は、より効果的な医薬品を利用するために必要な時間とコストを削減することができるが、同時にプライバシーに関する懸念も生じる
11. Environmental security–balancing the need to use natural resources critical to our economy with an increasingly stressed environment and the need for sustainability 11. 環境安全保障:経済にとって重要な天然資源を利用する必要性と、ストレスの増大する環境および持続可能性の必要性とのバランスをとること。
12. The evolving space environment—space is increasingly being used for national security, commercial, and human exploration purposes 12. 進化する宇宙環境:国家安全保障、商業、有人探査のための宇宙利用がますます進む

詳細は本文で、、、

・[PDF]

20220328-220711


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

 


1. 国家安全保障 世界と国内の脅威、6. デジタル化が進む世界における安全保障への影響、8. グローバルサプライチェーンの未来、10. 進化する医療技術、12. 進化する宇宙環境だけ、ちょっと仮対訳...

↓↓↓↓↓








 

Continue reading "米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)"

| | Comments (0)

2022.03.28

米国 上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

こんにちは、丸山満彦です。

米国の場合、議会に法案が提出されたからと言って必ずしも成立するわけでもないので、議論が進んできてから気にすれば良いのだろうというのが私の直感なんですが、こんなことまで法案として出すのか、、、ということでちょっとメモ。。。です。。。

米国では、連邦政府において継続的診断・軽減プログラム (CDM) が進められていますが、色々と苦労しているような感じがします。。。

Congress.Gov

・22022.03.22 S.3894 - Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act

 

 

S.3894 - Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act S.3894 - 継続的診断・軽減を通じたサイバーセキュリティの推進に関する法律
To amend the Homeland Security Act of 2002 to authorize the Secretary of Homeland Security to establish a continuous diagnostics and mitigation program in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 2002年国土安全保障法を改正し、国土安全保障省サイバーセキュリティおよびインフラセキュリティ庁に継続的診断・軽減プログラムを設立することを国土安全保障長官に許可すること、およびその他の目的のために。
IN THE SENATE OF THE UNITED STATES 米国上院にて
22-Mar-22 2022年3月22日
Mr. Cornyn (for himself and Ms. Hassan) introduced the following bill; which was read twice and referred to the Committee on Homeland Security and Governmental Affairs Cornyn 氏(自らを代表して、および Hassan 氏)は次の法案を提出し、2 回読まれ、国土安全保障・ 政府問題委員会に付託された。
A BILL 議案
To amend the Homeland Security Act of 2002 to authorize the Secretary of Homeland Security to establish a continuous diagnostics and mitigation program in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 2002年国土安全保障法を改正し、国土安全保障省サイバーセキュリティおよびインフラセキュリティ庁に継続的診断・軽減プログラムを設立することを国土安全保障長官に許可すること、およびその他の目的のために、国土安全保障法を改正すること。
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, アメリカ合衆国議会の上院と下院によって制定される。
SECTION 1. SHORT TITLE. 第1条 短い法律名
This Act may be cited as the “Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act”. 本法は、「継続的診断・軽減を通じたサイバーセキュリティの推進に関する法律」と称することができる。
SEC. 2. ESTABLISHMENT OF FEDERAL INTRUSION DETECTION AND PREVENTION SYSTEM AND CONTINUOUS DIAGNOSTICS AND MITIGATION PROGRAM IN THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY. 第2条 サイバーセキュリティおよびインフラセキュリティ庁における連邦侵入検知・防止システムおよび継続的診断・軽減プログラムを設立する。
(a) In General.—Section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663) is amended by adding at the end the following: (a) 一般的に-2002年国土安全保障法(6 U.S.C. 663)の第2213条は、末尾に以下を追加することにより改正される。
“(g) Continuous Diagnostics And Mitigation.— (g) 継続的な診断と軽減
“(1) PROGRAM.— (1) プログラム
“(A) IN GENERAL.—The Secretary, acting through the Director, shall, with or without reimbursement, deploy, operate, and maintain a continuous diagnostics and mitigation program for agencies under which the Secretary shall— (A) 全般:長官は、長官を通じて、償還の有無にかかわらず、政府機関のための継続的診断と軽減プログラムを展開、運営、維持しなければならない。
“(i) assist agencies to continuously diagnose and mitigate cyber threats and vulnerabilities; (i) サイバー脅威と脆弱性を継続的に診断し、軽減するために機関を支援する。
“(ii) develop and provide the capability to collect, analyze, and visualize information relating to security data and cybersecurity risks at agencies; (ii) 省庁のセキュリティデータおよびサイバーセキュリティリスクに関する情報を収集、分析、可視化する能力を開発し、提供する。
“(iii) employ shared services, collective purchasing, blanket purchase agreements, and any other economic or procurement models the Secretary determines appropriate to maximize the costs savings associated with implementing the program; (iii) 共有サービス、共同購入、包括購入契約、およびプログラムの実施に伴うコスト削減を最大化するために長官が適切と判断するその他の経済モデルまたは調達モデルを採用する。
“(iv) assist agencies in setting information security priorities and assessing and managing cybersecurity risks; (iv) 情報セキュリティの優先順位を設定し、サイバーセキュリティのリスクを評価・管理する上で、政府機関を支援する。
“(v) develop policies and procedures for reporting systemic cybersecurity risks and potential incidents based upon data collected under the program; and (v) プログラムの下で収集されたデータに基づいて、体系的なサイバーセキュリティリスクと潜在的なインシデントを報告するための方針と手順を策定する。
“(vi) promote the adoption of a zero trust security model in improving agency cybersecurity readiness. (vi) 省庁のサイバーセキュリティ対応力を向上させるため、ゼロ・トラスト・セキュリティ・モデルの採用を促進する。
“(B) REGULAR IMPROVEMENT.—The Secretary shall regularly— (B) 定期的な改善 - 長官は、定期的に以下を行うものとする。
“(i) deploy new technologies and modify existing technologies to the continuous diagnostics and mitigation program required under subparagraph (A), as appropriate, to improve the program; and (i) (A)号に基づいて要求される継続的診断・軽減プログラムに、適宜、新技術を導入し、既存技術を修正し、プログラムを改善すること。
“(ii) update the technical requirements documentation of the continuous diagnostics and mitigation program required under subparagraph (A) to account for emerging technology capabilities such as cloud computing and comprehensive cloud security controls. (ii) クラウドコンピューティングや包括的なクラウドセキュリティ管理などの新しい技術能力を考慮し、(A)号に基づき要求される継続的診断・軽減プログラムの技術要件文書を更新すること。
“(2) AGENCY RESPONSIBILITIES.—Notwithstanding any other provision of law, each agency that uses the continuous diagnostics and mitigation program under paragraph (1) shall, continuously and in real time, provide to and allow access for the Secretary to collect all information, assessments, analyses, and raw data collected by the program, in a manner specified by the Secretary. (2) 省庁の責任:法律の他の規定にかかわらず、(1)項の継続的診断・軽減プログラムを使用する各省庁は、長官が指定する方法で、継続的かつリアルタイムに、プログラムが収集するすべての情報、評価、分析、生データを長官に提供し、長官によるアクセスを許可するものとする。
“(3) RESPONSIBILITIES OF THE SECRETARY.—In carrying out the continuous diagnostics and mitigation program under paragraph (1), the Secretary, acting through the Director, shall— (3) 長官の責任:(1)項の継続的診断及び軽減プログラムを実施するにあたり、長官は長官を通じ、次のことを行う。
“(A) share with agencies relevant analysis and products developed under the program; (A) このプログラムの下で開発された関連分析および製品を各省庁と共有する。
“(B) provide regular reports on cybersecurity risks to agencies; (B) サイバーセキュリティのリスクに関する定期的な報告書を各省庁に提供する。
“(C) provide comparative assessments of cybersecurity risks for agencies; (C) 政府機関に対し、サイバーセキュリティリスクの比較評価を提供する。
“(D) oversee the integration of continuous diagnostics and mitigation products and services into agency systems; (D) 継続的な診断と軽減のための製品およびサービスを省庁のシステムに統合することを監督する。
“(E) establish performance requirements for product integrators; (E) 製品インテグレータの性能要件を定める。
“(F) at the request of an agency, provide technical assistance in selecting, procuring, and integrating continuous diagnostics and mitigation products and services; (F) 省庁の要請に応じて、継続的診断・軽減製品およびサービスの選択、調達、統合に関する技術支援を提供する。
“(G) not less than once each fiscal year, submit to the appropriate committees of Congress a report that includes— (G) 毎会計年度に一度以上、以下を含む報告書を議会の適切な委員会に提出する。
“(i) the progress made by each agency to meet continuous diagnostics and mitigation benchmarks from the beginning of the implementation through the date of the report; and (i) 実施開始から報告書の日付まで、継続的診断・軽減ベンチマークを満たすために各機関が行った進捗状況。
“(ii) a summary of the efforts of each agency to account for emerging technology capabilities; and (ii) 新興の技術能力を考慮した各機関の努力の概要。
“(H) take steps to ensure that the security data collected through the program is aggregated with other Government-wide cybersecurity programs to better automate defensive capabilities.”. (H) プログラムを通じて収集されたセキュリティ・データを他の政府全体のサイバーセキュリティ・プログラムと集約し、防御能力をより自動化できるようにするための措置を講じる。
(b) Continuous Diagnostics And Mitigation Strategy.— (b) 継続的診断・軽減戦略。
(1) IN GENERAL.—Not later than 180 days after the date of the enactment of this Act, the Secretary of Homeland Security shall develop a comprehensive continuous diagnostics and mitigation strategy to carry out the continuous diagnostics and mitigation program required under subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by subsection (a). (1) 全般:本法律の制定日から 180 日以内に、国土安全保障長官は、2002 年国土安全保障法 (6 U.S.C. 663) の第 2213 項 (g) の下で義務付けられた継続的診断・軽減プログラムを実施するために、包括的継続的診断 および軽減戦略を策定するものとし、同項 (a) によって追加されるものとする。
(2) SCOPE.—The strategy required under paragraph (1) shall include the following: (2) 範囲:(1)項の下で要求される戦略は、以下を含むものとする。
(A) A description of the coordination and funding required to deploy, install, and maintain the tools, capabilities, and services that the Secretary of Homeland Security determines to be necessary to satisfy the requirements of such program. (A) 当該プログラムの要件を満たすために国土安全保障省長官が必要と判断したツール、能力、およびサービスを配備、設置、および維持するために必要な調整および資金の説明。
(B) A description of any obstacles facing the deployment, installation, and maintenance of tools, capabilities, and services under such program. (B) 当該プログラムの下で、ツール、能力、およびサービスの展開、設置、および維持に直面するあらゆる障害についての説明。
(C) Guidelines to help maintain and continuously upgrade tools, capabilities, and services provided under such program. (C) 当該プログラムの下で提供されるツール、能力、およびサービスの維持と継続的なアップグレードを支援するためのガイドライン。
(D) A plan for using the data collected by such program for creating a common framework for data analytics, visualization of enterprise-wide risks, and real-time reporting, and comparative assessments for cybersecurity risks. (D) データ分析、企業全体のリスクの可視化、リアルタイム報告、サイバーセキュリティリスクの比較評価のための共通のフレームワークを構築するために、当該プログラムによって収集されたデータを使用するための計画。
(E) Recommendations for using the data to enable the Cybersecurity and Infrastructure Security Agency to engage in cyber hunt and detection and response activities. (E) サイバーセキュリティ及びインフラセキュリティ庁がサイバーハント及び検知・対応活動に従事することを可能にするためのデータの使用に関する提言。
(F) Recommendations for future efforts and activities, including for the rollout of new and emerging tools, capabilities and services, proposed timelines for delivery, and whether to continue the use of phased rollout plans, related to securing networks, devices, data, and information and operational technology assets through the use of such program. (F) 当該プログラムの利用によるネットワーク、機器、データ、情報及び運用技術資産の安全確保に関連する、新規のツール、能力及びサービスの展開、提供のタイムライン案、段階的展開計画の利用継続の有無など、今後の取り組み及び活動に対する提言。
(G) Recommendations for improving the integration process of continuous diagnostics and mitigation products and capabilities within agency systems. (G) 継続的な診断と軽減のための製品及び機能の省庁システム内への統合プロセスを改善するための提言。
(3) FORM.—The strategy required under paragraph (1) shall be submitted in an unclassified form, but may contain a classified annex. (3) 書式 -第(1)項に基づき要求される戦略は、非分類された形式で提出されるものとするが、分類された附属書を含むことができる。
SEC. 3. FEDERAL INTRUSION DETECTION AND PREVENTION SYSTEM AND CONTINUOUS DIAGNOSTICS AND MITIGATION PILOT PROGRAM FOR STATE, LOCAL, TRIBAL, AND TERRITORIAL GOVERNMENTS. 第3条 連邦侵入検知・防止システムおよび州・地方・部族・準州政府向け継続的診断・軽減パイロット・プログラム。
(a) Definitions.—In this section— (a) 定義:本節では、以下を定義する。
(1) the terms “local government” and “State” have the meanings given those terms in section 3 of the Homeland Security Act of 2002 (6 U.S.C. 101); (1) 「地方自治体」および「州」という用語は、2002年国土安全保障法(6 U.S.C. 101)の第3節においてこれらの用語に与えられた意味を有する。
(2) the term “Secretary” means the Secretary of Homeland Security; and (2) 「長官」という用語は、国土安全保障省長官を意味する。
(3) the term “Tribal government” means the recognized governing body of any Indian or Alaska Native Tribe, band, nation, pueblo, village, community, component band, or component reservation, that is individually identified (including parenthetically) in the most recent list published pursuant to section 104 of the Federally Recognized Indian Tribe List Act of 1994 (25 U.S.C. 5131). (3) 「部族政府」とは、1994年連邦公認インディアン部族リスト法(25 U.S.C. 5131)の104項に従って発行された最新のリストで個別に特定(括弧書きを含む)されている、インディアンまたはアラスカ先住民族の認定統治団体を意味します。
(b) Establishment.—The Secretary shall conduct a Continuous Diagnostics and Mitigation Pilot Program with not less than 5 State, local, Tribal, or territorial governments to— (b) 設立:長官は、5つ以上の州、地方、部族、または準州政府と共に、以下の目的で継続的診断・軽減パイロット・プログラムを実施するものとする。
(1) promote the use of technologies and services in the continuous diagnostics and mitigation program described in subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by section 2 of this Act, at the State, local, Tribal, and territorial government level; (1) 2002年国土安全保障法(6 U.S.C. 663)第2213節の(g)項に記載された継続的診断・軽減プログラムの技術およびサービスの使用を、州、地方、部族、および準州政府レベルで促進すること。
(2) with or without reimbursement, make accessing the technologies and services described in paragraph (1) by State, local, Tribal, and territorial governments as affordable and simple as possible; (2) 払い戻しの有無にかかわらず、州、地方、部族、および準州政府が (1) 項で述べた技術およびサービスをできる限り安価かつ簡便に利用できるようにする。
(3) promote the adoption of a zero trust security model in improving cybersecurity readiness at the State, local, Tribal, and territorial government level; and (3) 州、地方、部族、および準州政府レベルにおけるサイバーセキュリティの準備態勢を改善する上で、ゼロ・トラスト・セキュリティ・モデルの採用を促進する。
(4) provide technical assistance in integrating continuous diagnostics and mitigation technologies and products into State, local, Tribal, and territorial government systems. (4) 継続的な診断と軽減の技術および製品を州、地方、部族、および領土の政府システムに統合するための技術支援を提供する。
(c) Considerations.—In selecting a State, local, or Tribal government for participation in the pilot program established under subsection (b), the Secretary shall consider— (c) 考慮事項:(b)項に基づき設立されたパイロット・プログラムに参加する州、地方、または部族政府を選択する際、長官は以下を考慮するものとする。
(1) the extent to which the State, local, Tribal, or territorial government aligns its cybersecurity policies with the Center for Internet Security Critical Security Controls, the National Institute of Standards and Technology Cybersecurity Framework, or other widely accepted cybersecurity frameworks; and (1) 州、地方、部族、または準州政府が、Center for Internet Security Critical Security Controls、National Institute of Standards and Technology Cybersecurity Framework、またはその他の広く受け入れられたサイバーセキュリティの枠組みに、どの程度サイバーセキュリティ政策を合致させるか。
(2) the capability of the State, local, Tribal, or territorial government to deploy and maintain over time continuous diagnostics and mitigation products and services. (2) 国家、地方、部族、または準州政府が、継続的な診断と軽減のための製品およびサービスを展開し、長期的に維持する能力。
(d) Program Requirements.—The pilot program established under this section— (d) プログラムの要件:本節に基づき設立されたパイロットプログラムは、以下の通りである。
(1) may not require participants to utilize certain strategies or tools, and shall allow participants to select and integrate tools for meeting the objectives of the pilot program; and (1) 特定の戦略やツールの利用を参加者に義務付けることはできず、パイロットプログラムの目的を達成するためのツールを参加者が選択し、統合できるようにしなければならない。
(2) shall include comprehensive training curriculum and integration assistance to close the technical expertise gap between employees of State, local, Tribal, and territorial governments and employees of the Cybersecurity and Infrastructure Security Agency. (2) 州、地方、部族、および準州政府の職員とサイバーセキュリティおよびインフラセキュリティ局の職員との間の技術的専門知識の格差を解消するための包括的なトレーニングカリキュラムと統合支援を含むものとする。
(e) Report.—Not later than 180 days after the date on which the pilot program terminates under this section, the Secretary shall submit to Congress a report that includes— (e) 報告書:本条に基づく試験的プログラムが終了した日から 180 日以内に、長官は以下を含む報告書を議会に提出するものとする。
(1) an assessment of the replicability and the costs and benefits of conducting a permanent State, local, Tribal, and territorial government continuous diagnostics and mitigation program as described in subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by section 2 of this Act; (1) 2002年国土安全保障法(6 U.S.C. 663)第2213節の(g)項に記載されている、州、地方、部族、および準州政府の継続的診断と軽減プログラムを恒常的に実施することの再現性ならびに費用と利益の評価、本法の第2節により追加されたもの。
(2) the extent to which State, local, Tribal, and territorial governments in the pilot program adhere to widely accepted cybersecurity standards and frameworks and the impact that those policies have on potential widespread sub-Federal continuous diagnostics and mitigation integration; and (2) パイロットプログラムに参加する州、地方、部族、および準州の政府が、広く受け入れられているサイバーセキュリティの基準および枠組みをどの程度遵守しているか、およびこれらの政策が連邦政府以下の継続的診断と軽減の統合に与える潜在的影響。
(3) an assessment of the cybersecurity readiness of participants in the pilot program established under this section prior to participation in the pilot program as compared to after completion of the pilot program. (3) 本条に基づき設立されたパイロットプログラム参加者のサイバーセキュリティ準備態勢について、パイロットプログラム参加前とパイロットプログラム終了後を比較した評価。
(f) Termination.—The authority to conduct the pilot program under subsections (a) through (d) shall terminate on the date that is 3 years after the date of enactment of this Act. (f) 終了-(a)~(d)項に基づくパイロット・プログラムを実施する権限は、本法律の制定日から3年後の日に終了するものとする。

 

Fig1_20220328115201

 


 

CDMが出てくる記事。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.05 米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

| | Comments (0)

金融庁 「金融分野における個人情報保護に関するガイドライン」等の改正

こんにちは、丸山満彦です。

金融庁が金融分野における個人情報保護に関するガイドライン等の改正について公表していますね。。。

金融庁

・2022.03.24 「金融分野における個人情報保護に関するガイドライン」等の改正について公表しました。

金融分野における個人情報保護について

I .金融分野における個人情報保護に関するガイドライン

1.[PDF] 金融分野における個人情報保護に関するガイドライン

20220327-230412

2.[PDF] 「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の一部改正(案)に対する意見募集の結果

 

II .金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針

1.[PDF] 金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針


20220327-230533

 

2.[PDF] 「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の一部改正(案)に対する意見募集の結果

III .金融機関における個人情報保護に関するQ&A

[PDF] 金融機関における個人情報保護に関するQ&A

別紙様式1(Word版 ・ PDF版

別紙様式2(Excel版 ・ PDF版

 


| | Comments (0)

2022.03.27

米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。

こんにちは、丸山満彦です。

2020.07.16のSchrems II判決により、米国ー欧州間のプライバシーシールドがGDPRに準拠していないということで無効となり、それに代わる新しい枠組みを模索していたのですが、合意に達したようですね。。。

European Commission

・2022.03.25 [PDF] Trans-Atlantic Data Privacy Framework

20220327-22740_20220327022701

TRANS-ATLANTIC DATA PRIVACY FRAMEWORK 大西洋横断データ・プライバシー・フレームワーク
Mar-22 3月22日
The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework. 欧州委員会と米国は、大西洋横断データ・プライバシー・フレームワークに関する原則的な合意に達しました。
Key principles 主要な原則
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies ・新たな枠組みに基づき、EUと参加する米国企業との間で自由かつ安全にデータを流通させることが可能になります。
• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards ・米国のインテリジェンス機関によるデータへのアクセスを、国家安全保障を守るために必要かつ適切なものに限定するための新しいルールと拘束力のあるセーフガード。米国のインテリジェンス機関は、新しいプライバシーと市民の自由の基準を効果的に監督するための手続きを導入します。
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court ・米国のインテリジェンス機関によるデータアクセスに関する欧州人の苦情を調査・解決するためのデータ保護審査裁判所を含む2層の新しい救済制度。
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce ・EUから移転されたデータを処理する企業に対する強力な義務(米国商務省を通じて原則の遵守を自己証明する義務を引き続き含む)。
• Specific monitoring and review mechanisms  ・具体的なモニタリングとレビューの仕組み
Benefits of the deal 協定のメリット
• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II) ・欧州司法裁判所の判決(Schrems II)に対応した、米国に移転した欧州人のデータの適切な保護
• Safe and secure data flows ・安心・安全なデータの流れ
• Durable and reliable legal basis ・耐久性と信頼性のある法的基盤
• Competitive digital economy and economic cooperation ・競争力のあるデジタル経済と経済協力
• Continued data flows underpinning €900 billion in cross-border commerce every year ・毎年9000億ユーロの国境を越えた商取引を支えるデータの流れの継続
Next steps:  次のステップ 
The agreement in principle will now be translated into legal documents. The U.S. commitments will be included in an Executive Order that will form the basis of a draft adequacy decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework. 原則合意は、今後、法的文書に変換されます。米国のコミットメントは大統領令に盛り込まれ、新しい大西洋横断データ・プライバシー枠組みを導入するための欧州委員会による妥当性判断の草案の基礎とされる予定です。

 

 

欧州側の発表から。。。

European Commission

・2022.03.25 European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework

European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework 大西洋横断データ・プライバシー・フレームワークに関する欧州委員会と米国の共同声明
The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.  欧州委員会と米国は、大西洋を横断するデータの流れを促進し、2020年7月のシュレムスII判決で欧州連合司法裁判所が提起した懸念に対処する、新たな大西洋横断データ・プライバシー枠組みについて基本合意したことを発表します。 
The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities.  Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities. この新しいフレームワークは、米国のシグナル・インテリジェンス活動に適用されるプライバシーと市民的自由の保護を強化する改革を実施するという、米国側の前例のないコミットメントを示すものです。  大西洋横断データ・プライバシー枠組の下で、米国は、シグナル監視活動が定義された国家安全保障目的の追求に必要かつ適切であることを保証するための新しいセーフガードを導入し、是正措置を指示する拘束力を持つ2段階の独立救済メカニズムを確立し、監視活動の制限を遵守するためにシグナル・インテリジェンス活動の厳格で層状の監視を強化することになります。
The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises.  By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.  大西洋横断データ・プライバシー枠組みは、ジーナ・ライモンド商務長官とディディエ・レインダース司法担当委員が主導する米国と欧州連合の間の1年以上に及ぶ詳細な交渉を反映したものです。この枠組みは、市民の権利を保護し、中小企業を含むあらゆる経済分野において大西洋を越えた商取引を可能にするために不可欠な、大西洋を越えたデータの流れに耐久性のある基礎を提供するものです。  国境を越えたデータの流れを促進することで、新しい枠組みは、すべての人々が参加でき、すべての国のあらゆる規模の企業が成功できる包括的なデジタル経済を促進します。 
The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens.  The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies. 今回の発表は、安全保障とプライバシー尊重の両方を確保し、我々の企業と市民の経済的機会を可能にするために、民主主義共同体としてのパートナーシップを深め続けているという点で、米・EU関係の強さを改めて証明するものです。  新フレームワークは、貿易・技術評議会や、経済協力開発機構(OECD)などの多国間フォーラムを通じたデジタル政策など、米欧のさらなる協力を促進することになります。
The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision. 米国政府と欧州委員会のチームは今後、この新しい大西洋横断データ・プライバシー枠組みを実施するために双方で採択が必要となる法的文書にこの取り決めを反映させることを視野に入れて、協力を続けていくことになります。そのため、これらの米国のコミットメントは、欧州委員会の将来の妥当性判断における評価の基礎となる大統領令に盛り込まれる予定です。

 

参考:ちょうど一年前

・2021.03.25 Intensifying Negotiations on transatlantic Data Privacy Flows: A Joint Press Statement by European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Gina Raimondo

 

次にWhite House

● White House

・202203.25 United States and European Commission Joint Statement on Trans-Atlantic Data Privacy Framework

これは、European Commissionが発表したものと内容は同じです。。。(U.S.とEUの並び順が違ったり、OrganizationかOrganisationかの違いだったり...)

 

・2022.03.25 FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework

FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework ファクトシート:米国と欧州委員会、大西洋横断データ・プライバシー・フレームワークを発表
The United States and the European Commission have committed to a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union when it struck down in 2020 the Commission’s adequacy decision underlying the EU-U.S. Privacy Shield framework.   米国と欧州委員会は、大西洋を横断するデータの流れを促進し、欧州連合司法裁判所が2020年にEU-米国間のプライバシー・シールドの枠組みの基礎となる欧州委員会の妥当性決定を取り消した際に提起した懸念に対処するため、新しい大西洋横断データプライバシー枠組みを設立することを約束しました。 
This Framework will reestablish an important legal mechanism for transfers of EU personal data to the United States. The United States has committed to implement new safeguards to ensure that signals intelligence activities are necessary and proportionate in the pursuit of defined national security objectives, which will ensure the privacy of EU personal data and to create a new mechanism for EU individuals to seek redress if they believe they are unlawfully targeted by signals intelligence activities. This deal in principle reflects the strength of the enduring U.S.-EU relationship, as we continue to deepen our partnership based on our shared democratic values. この枠組みは、EUの個人データの米国への移転に関する重要な法的メカニズムを再確立するものです。米国は、シグナル・インテリジェンス活動が、定義された国家安全保障上の目的を追求する上で必要かつ適切であることを確認するための新たなセーフガードを導入し、EUの個人データのプライバシーを確保するとともに、EUの個人がシグナル・インテリジェンス活動によって違法な標的とされていると考える場合に救済を求めるための新しいメカニズムを構築すると確約しています。この原則的な取り決めは、永続的な米・EU関係の強さを反映しており、我々は共通の民主主義的価値観に基づくパートナーシップを深め続けています。
This Framework will provide vital benefits to citizens on both sides of the Atlantic. For EU individuals, the deal includes new, high-standard commitments regarding the protection of personal data. For citizens and companies on both sides of the Atlantic, the deal will enable the continued flow of data that underpins more than $1 trillion in cross-border commerce every year, and will enable businesses of all sizes to compete in each other’s markets. It is the culmination of more than a year of detailed negotiations between the EU and the U.S. following the 2020 decision by the Court of Justice of the European Union ruling that the prior EU-U.S. framework , known as Privacy Shield,  did not satisfy EU legal requirements. この枠組みは、大西洋の両岸の市民にとって不可欠な利益をもたらすでしょう。EUの個人にとって、この協定には個人データの保護に関する新たな高水準の約束が含まれています。大西洋の両岸の市民と企業にとって、この協定は、毎年1兆ドル以上の国境を越えた商取引を支えるデータの継続的な流れを可能にし、あらゆる規模の企業が互いの市場で競争することを可能にします。この協定は、プライバシーシールドとして知られるEUと米国の従来の枠組みがEUの法的要件を満たしていないという欧州連合司法裁判所の2020年の判決を受け、EUと米国が1年以上にわたって行ってきた詳細な交渉の集大成となるものです。
The new Trans-Atlantic Data Privacy Framework underscores our shared commitment to privacy, data protection, the rule of law, and our collective security as well as our mutual recognition of the importance of trans-Atlantic data flows to our respective citizens, economies, and societies.  Data flows are critical to the trans-Atlantic economic relationship and for all companies large and small across all sectors of the economy. In fact, more data flows between the United States and Europe than anywhere else in the world, enabling the $7.1 trillion U.S.-EU economic relationship. 新しい大西洋横断データ・プライバシー枠組みは、プライバシー、データ保護、法の支配、集団安全保障に対する我々の共通のコミットメントを強調するとともに、大西洋を横断するデータの流れがそれぞれの市民、経済、社会にとって重要であるという相互認識を示しています。  データの流れは大西洋横断の経済関係にとって、また経済のあらゆる部門における大小すべての企業にとって重要です。実際、米国と欧州の間では、世界のどこよりも多くのデータが流れており、7兆1千億ドルの米欧経済関係を可能にしています。
By ensuring a durable and reliable legal basis for data flows, the new Trans-Atlantic Data Privacy Framework will underpin an inclusive and competitive digital economy and lay the foundation for further economic cooperation. It addresses the Court of Justice of the European Union’s Schrems II decision concerning U.S, law governing signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States has made unprecedented commitments to: データの流れに耐久性と信頼性のある法的基盤を確保することで、新しい大西洋横断データプライバシー枠組みは、包括的で競争力のあるデジタル経済を支え、さらなる経済協力のための基盤を築くことになります。この枠組みは、シグナル・インテリジェンス活動を管理する米国の法律に関する欧州連合司法裁判所のSchrems II判決に対応しています。大西洋横断データ・プライバシー・フレームワークの下で、米国は以下のような前例のないコミットメントを行っています。
Strengthen the privacy and civil liberties safeguards governing U.S. signals intelligence activities; 米国のシグナル・インテリジェンス活動に適用されるプライバシーと市民的自由の保障措置を強化します。
Establish a new redress mechanism with independent and binding authority; and 独立した拘束力のある新しい救済メカニズムを確立します。
Enhance its existing rigorous and layered oversight of signals intelligence activities. シグナル・インテリジェンス活動に対する既存の厳格で重層的な監視を強化します。
For example, the new Framework ensures that: 例えば、新しい枠組みは次のことを保証しています。
Signals intelligence collection may be undertaken only where necessary to advance legitimate national security objectives, and must not disproportionately impact the protection of individual privacy and civil liberties; シグナル・インテリジェンスの収集は、正当な国家安全保障の目的を達成するために必要な場合にのみ行われ、個人のプライバシーや市民的自由の保護に不釣り合いな影響を及ぼしてはなりません。
EU individuals may seek redress from a new multi-layer redress mechanism that includes an independent Data Protection Review Court that would consist of individuals chosen from outside the U.S. Government who would have full authority to adjudicate claims and direct remedial measures as needed; and EUの個人は、米国政府外から選ばれた個人で構成され、申し立てを裁き、必要に応じて是正措置を指示する全権限を持つ独立データ保護審査裁判所を含む、新しい多層的救済機構に救済を求めることができます。
U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards.  米国の情報機関は、新しいプライバシーおよび市民的自由の基準を効果的に監督するための手続きを採用します。 
Participating companies and organizations that take advantage of the Framework to legally protect data flows will continue to be required to adhere to the Privacy Shield Principles, including the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce. EU individuals will continue to have access to multiple avenues of recourse to resolve complaints about participating organizations, including through alternative dispute resolution and binding arbitration. データフローを法的に保護するためにフレームワークを活用する参加企業・組織には、米国商務省を通じて同原則の遵守を自己証明することを含め、引き続きプライバシーシールド原則の遵守が義務づけられる。EUの個人は、参加組織に対する苦情を解決するために、裁判外紛争解決手続きや拘束力のある仲裁を含む複数の手段を引き続き利用することができます。
These new policies will be implemented by the U.S. intelligence community in a way to effectively protect its citizens, and those of its allies and partners, consistent with the high-standard protections offered under this Framework.  これらの新しい政策は、米国の情報機関が、自国民および同盟国やパートナーの国民を効果的に保護するために、この枠組みで提供される高水準の保護と矛盾しない形で実施されます。 
The teams of the U.S. government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission’s assessment in its future adequacy decision. 米国政府と欧州委員会のチームは今後、この取り決めを、大西洋横断データ・プライバシー・フレームワークを導入するために双方で採択する必要のある法的文書に変換することを視野に入れ、協力を続けていく予定です。そのために、これらの米国のコミットメントは、欧州委員会の将来の妥当性判断における評価の基礎となる大統領令に盛り込まれる予定です。

 

あと、White Houseのページでは、バイデン大統領とライエン欧州委員会委員長の共同記者発表で、ライエン欧州委員会委員長が最後で、このフレームワークについて触れていますね。。。バイデン大統領はエネルギーの話だけですが。。。

 

・2022.03.25 Remarks by President Biden and European Commission President Ursula von der Leyen in Joint Press Statement

ライエン委員長の発言の関係するところだけ...

... ...
The cooperation shows the power of our democracies.  I particularly welcome that we will step up our respective action on strengthening democracies, the rule of law, the freedom of media in the world.  この協力関係は、私たち民主主義国家の力を示しています。  特に、世界の民主主義、法の支配、メディアの自由を強化するために、それぞれの行動を強化することを歓迎します。 
And we also need to continue adapting our own democracies to a changing world.  This is particularly true when it comes to digitalization, in which the protection of personal data and privacy has become so crucial.  また、我々は、変化する世界に対して、自らの民主主義を適応させ続ける必要がある。  特に、個人情報とプライバシーの保護が非常に重要になっているデジタル化に関しては、そうです。 
And therefore, I’m very pleased that we have found an agreement in principle on a new framework for transatlantic data flows.  This will enable predictable and trustworthy data flows between the EU and U.S., safeguarding privacy and civil liberties.  したがって、大西洋を横断するデータの流れに関する新たな枠組みについて、基本的な合意を見出したことを非常に喜ばしく思います。  これにより、プライバシーと市民の自由を守りながら、EUと米国の間で予測可能で信頼できるデータの流れが可能になる。 
And I really want to thank Commissioner Reynders and Secretary Raimondo for their tireless efforts over the past month to finish a balanced and effective solution.  This is another step in our — strengthening our partnership.  We managed to balance security and the right to privacy and data protection.  レイダース委員とライモンド長官には、バランスのとれた効果的な解決策を完成させるために、この1カ月間、たゆまぬ努力を続けていただいたことに、本当に感謝申し上げたい。  これは、我々の、つまり我々のパートナーシップを強化するための新たな一歩です。  私たちは、セキュリティとプライバシーおよびデータ保護の権利のバランスをとることに成功したのです。 
Mr. President, Dear Joe: Putin is trying to turn back the clock to another era — an era of brutal use of force, of power politics, of spheres of influence, and internal repression.  I am confident he will fail.  大統領閣下、親愛なるジョー。プーチンは、武力の残忍な行使、パワーポリティクス、勢力圏、内部抑圧の時代という、別の時代へと時計の針を戻そうとしているのです。  私は、彼が失敗することを確信しています。 
We are working together to forge a peaceful, prosperous, and sustainable future.  And I know we will succeed. 私たちは、平和で、豊かで、持続可能な未来を築くために共に働いています。  そして、私たちは成功すると信じています。
Thank you very much.  ありがとうございました。 
PRESIDENT BIDEN:  Thank you.  バイデン大統領:ありがとうございました。 
PRESIDENT VON DER LEYEN:  Thank you very much. フォン・デル・ライエン大統領: どうもありがとうございました。
PRESIDENT BIDEN:  Thank you, everyone. 皆さん、ありがとうございました。

 

ということで、今後の動きはみときましょう。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.04 欧州データ保護委員会 (EDPB) 2020年次報告書

・2021.04.22 欧州データ保護監督官 (EDPS) 2020年次報告 - COVID-19状況下のデータ保護

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.11.20 欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)

・2020.09.05 欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、

・2020.08.13 プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね

・2020.07.26 欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね

・2020.07.21 プライバシーシール無効判決後のアメリカとイギリス

で、これ(↓)が始まり...

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

 

 

 

| | Comments (0)

2022.03.26

ENISA 健康データへの仮名化技術の実装

こんにちは、丸山満彦です。

ENISAが、健康データへの仮名化技術の実装に関する報告書を公表していますね。。。

ENISA

・2022.03.24 (news) Taking Care of Health Data

Taking Care of Health Data 健康データへの配慮
A new report of the European Union Agency for Cybersecurity (ENISA) explores how pseudonymisation techniques can help increase the protection of health data. 欧州連合サイバーセキュリティ機関(ENISA)の新しい報告書では、仮名化技術が健康データの保護強化にどのように役立つかを探っています。
The healthcare sector has highly benefited from technological developments and the digitalisation process. However, as those new technologies need to be integrated into IT infrastructures, which is already complex in nature, new challenges emerge in relation to data protection and cybersecurity. This is especially true since providing health services today implies an extended exchange of medical information and of health data among different healthcare service providers. ヘルスケア分野は、技術開発とデジタル化プロセスから大きな恩恵を受けている。しかし、それらの新技術を、もともと複雑なITインフラに統合する必要があるため、データ保護とサイバーセキュリティとの関連で新たな課題が浮上しています。特に、今日の医療サービスの提供には、異なる医療サービス提供者間での医療情報や健康データの広範な交換が必要であるため、これは真実です。
How medical data help deliver better health services 医療データはより良い医療サービスを提供するためにどのように役立つか
With a large volume of data, the healthcare sector has therefore the capacity to improve diagnosis and modelling of clinical outcomes, help assess early intervention strategies, etc. This new ecosystem improves the delivery and monitoring of health services at different levels including decision making and provides timely, appropriate and uninterrupted medical care. 大量のデータにより、ヘルスケア部門は、診断の改善や臨床結果のモデル化、早期介入戦略の評価などに役立つ能力を持つようになりました。この新しいエコシステムは、意思決定を含む様々なレベルでの医療サービスの提供とモニタリングを改善し、タイムリーで適切かつ中断のない医療を提供します。
How to ensure the safe processing of medical data 医療データの安全な処理を確保する方法
Nonetheless, the increasing processing of digitised medical data has also led to the associated risks of cyberattacks and of data breaches. To ensure adequate protection of patients’ medical data, technical solutions such as those offered by pseudonymisation can be implemented. しかし、デジタル化された医療データの処理は、サイバー攻撃や情報漏えいのリスクを伴います。患者さんの医療データを適切に保護するためには、仮名化などの技術的な解決策を導入することが有効です。
The report published today builds on the previous works of ENISA and explores the different techniques of pseudonymisation in the context of simple use cases. 本日発表された報告書は、ENISAのこれまでの研究成果を基に、簡単なユースケースを想定して仮名化の様々な技術について考察しています。
What is pseudonymisation? 仮名化とは?
Pseudonymisation can significantly support personal data protection. It improves the protection of data. Pseudonymisation consists in de-associating a data subject's identity from the personal data being processed for that data subject. In practice, this is done by replacing one or more personal identifiers with what we call pseudonyms. 仮名化は、個人情報保護を大幅にサポートすることができます。データの保護が向上します。仮名化処理とは、データ対象者のアイデンティティと、そのデータ対象者のために処理されている個人データとの関連付けを解除することです。実際には、1つまたは複数の個人識別子を仮名と呼ばれるものに置き換えることによって行われます。
Different techniques can be used to this effect, which are based on the way pseudonyms are generated. Such techniques include counter, random number, hash function, hash-based message authentication code (HMAC) and encryption. このために、仮名の生成方法に基づくさまざまな技術を使用することができます。そのような技術には、カウンタ、乱数、ハッシュ関数、ハッシュベースのメッセージ認証コード(HMAC)、暗号化などがあります。
Although not essentially new, the process is explicitly referenced by the General Data Protection Regulation (GDPR) as a technique to use to promote data protection by design and to secure the processing of personal data. 本質的に新しいものではありませんが、このプロセスは、設計によるデータ保護を促進し、個人データの処理を安全にするために使用する技術として、一般データ保護規則(GDPR)で明示的に言及されています。
Scope of the report 報告書の範囲
The report explains how the techniques can be applied to improve the level of protection of personal data through simple use-cases. 個人情報の保護レベルを向上させるために、どのような手法を適用できるのか、簡単なユースケースを通して解説しています。
The decision on the techniques to be used should be based on previously conducted risk-impact assessment activities such as: 使用する技法は、事前に実施した以下のようなリスク影響評価活動に基づいて決定する必要があります。
the target personal data (e.g. a set of identifiers); 対象となる個人データ(識別子の集合体など)。
the technique to be used; 使用される技術
the parameters applicable to the technique; その技法に適用されるパラメータ
the pseudonymisation policy to be used. 使用される仮名化の方針
The techniques and parameters to take into account can therefore vary according to the applicable requirements in relation to regulations, speed, simplicity, predictability and cost. したがって、考慮すべき技術およびパラメータは、規制、速度、簡便性、予測可能性およびコストに関連する適用要件によって異なる可能性があります。
The scenarios chosen to explore these parameters are: これらのパラメータを検討するために選ばれたシナリオは以下の通りです。
Exchanging patient’s health data; 患者の健康データの交換
Clinical trials; 臨床試験
Patient-sourced monitoring of health data. 患者が提供する健康データのモニタリング
Privacy engineering in Artificial Intelligence (AI) at the 10th Annual Privacy Forum 第10回プライバシー・フォーラムにおける人工知能(AI)のプライバシーエンジニアリング
The 10th Annual Privacy Forum will be taking place on 23 & 24 June 2022 in Warsaw, Poland. ENISA organises this event together with the European Commission’s DG Connect, the Cardinal Stefan Wyszyński University and the Koźmiński University. The event will host leading experts from both public and private sectors to debate the challenges and opportunities in this area. Discussions will be held on privacy engineering, data sharing and data protection aspects of artificial intelligence. For more information: https://privacyforum.eu/ 第10回プライバシーフォーラムは、2022年6月23日、24日にポーランドのワルシャワで開催される予定です。ENISAは、欧州委員会のコネクト総局、Cardinal Stefan Wyszyński University、Koźmiński Universityとともにこのイベントを開催しています。本イベントでは、官民両セクターから第一線の専門家を招き、この分野における課題と機会について議論する予定です。人工知能のプライバシー工学、データ共有、データ保護の側面について議論が行われる予定です。詳細については、https://privacyforum.eu/ をご覧ください。
Background 背景
The European Union Agency for Cybersecurity has been working in the area of privacy and data protection since 2014, by analysing technical solutions for the implementation of the GDPR, privacy by design and security of personal data processing. 欧州連合サイバーセキュリティ庁は、2014年からプライバシーとデータ保護の分野で、GDPRの実施、プライバシー・バイ・デザイン、個人データ処理のセキュリティのための技術的ソリューションを分析し、活動しています。
Previous works of the Agency in 2019 include the recommendations on shaping technology according to GDPR provisions, providing an overview on data pseudonymisation, another report on pseudonymisation techniques and best practices.  2019年の同庁の過去の作品には、GDPRの規定に従った技術の形成に関する勧告、データの仮名化に関する概要の提供、仮名化の技術やベストプラクティスに関する別の報告書などがあります。 
Further information さらに詳しい情報
Deploying Pseudonymisation Techniques – ENISA report 仮名化技術の実装 - ENISAレポート
Annual Privacy Forum 2022 – 23 & 24 June 2022 in Warsaw, Poland 年次プライバシーフォーラム2022 - 2022年6月23日、24日 ポーランド、ワルシャワにて開催
ENISA webpage on Data Protection データ保護に関するENISAのウェブページ

 

・2022.03.24 Deploying Pseudonymisation Techniques

Deploying Pseudonymisation Techniques 仮名化技術の実装
Pseudonymisation is increasingly becoming a key security technique for providing a means that can facilitate personal data processing, while offering strong safeguards for the protection of personal data and thereby safeguarding the rights and freedoms of individuals. Complementing previous work by ENISA, this report demonstrates how pseudonymisation can be deployed in practice to further promote the protection of health data during processing. 仮名化処理は、個人データ保護のための強力なセーフガードを提供し、それによって個人の権利と自由を保護しながら、個人データ処理を促進できる手段を提供するための重要なセキュリティ技術として、ますます重要視されています。本レポートは、ENISAのこれまでの取り組みを補完し、処理中の健康データの保護をさらに促進するために、仮名化を実際にどのように展開できるかを示しています。

 

・[PDF]

20220326-43811

 

1. INTRODUCTION 1. はじめに
1.1 DIGITAL TRANSFORMATION OF THE HEALTH SECTOR 1.1 健康分野のデジタルトランスフォーメーション
1.2 PROTECTING HEALTH DATA 1.2 健康データの保護
1.3 SCOPE – TARGET AUDIENCE 1.3 スコープ - 対象者
1.4 STRUCTURE OF THE DOCUMENT 1.4 文書の構成
2. PSEUDONYMISATION 2. 仮名化
2.1 BACKGROUND 2.1 背景
2.2 IMPORTANCE OF PSEUDONYMISATION 2.2 仮名化の重要性
2.3 BASIC PSEUDONYMISATION TECHNIQUES 2.3 基本的な仮名化技術
2.4 PSEUDONYMISATION CONSIDERATIONS 2.4 仮名化の考慮事項
3. USE CASES 3. 使用例
3.1 EXCHANGING PATIENT’S HEALTH DATA 3.1 患者の健康データの交換
3.2 CLINICAL TRIALS 3.2 臨床試験
3.3 PATIENT-SOURCED MONITORING OF HEALTH DATA 3.3 患者が提供する健康データのモニタリング
4. CONCLUSIONS 4. 結論
5. BIBLIOGRAPHY/REFERENCES  5. 書誌・参考文献 

 

 

| | Comments (0)

欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

こんにちは、丸山満彦です。

欧州理事会・欧州連合理事会が、デジタル市場法(DMA)が理事会・欧州議会で合意されたと発表されていますね。これから、欧州理事会、欧州議会で承認され、正式に発行という流れになりそうですね。。。

ウクライナ問題では、EUと米国はガッツリタッグを組んでいるようにも見えますが(まぁ、それでもEU内でも温度感違うのでしょうが、、、)、この領域では、違うのかもしれません。。。

 

European Council/Council of the European Union

・2022.03.25 (press) Digital Markets Act (DMA): agreement between the Council and the European Parliament

Digital Markets Act (DMA): agreement between the Council and the European Parliament デジタル市場法(DMA): 理事会・欧州議会間の合意
The Council and the Parliament today reached a provisional political agreement on the Digital Markets Act (DMA), which aims to make the digital sector fairer and more competitive. Final technical work will make it possible to finalise the text in the coming days. 欧州理事会と欧州議会は本日、デジタル分野をより公正で競争力のあるものにすることを目的としたデジタル市場法(DMA)に関する暫定的な政治合意に達しました。最終的な技術的作業により、今後数日のうちに同文書を最終決定することが可能となります。
The European Union has had to impose record fines over the past 10 years for certain harmful business practices by very large digital players. The DMA will directly ban these practices and create a fairer and more competitive economic space for new players and European businesses. These rules are key to stimulating and unlocking digital markets, enhancing consumer choice, enabling better value sharing in the digital economy and boosting innovation. The European Union is the first to take such decisive action in this regard and I hope that others will join us soon. 欧州連合(EU)は過去10年間、超大手デジタル事業者による特定の有害な商習慣に対して、記録的な制裁金を課さなければなりませんでした。DMAは、こうした慣行を直接禁止し、新規参入企業や欧州企業にとってより公正で競争力のある経済空間を創出するものです。これらのルールは、デジタル市場を活性化し、消費者の選択肢を増やし、デジタル経済におけるより良い価値の共有を可能にし、イノベーションを後押しする鍵となるものです。欧州連合(EU)はこの点で、このような断固とした行動を取る初めての国であり、他の国もすぐに参加することを望んでいます。
Cédric O, French Minister of State with responsibility for Digital フランス政府デジタル担当大臣 Cédric O 氏
The DMA defines clear rules for large online platforms. It aims to ensure that no large online platform that acts as a ‘gatekeeper’ for a large number of users abuses its position to the detriment of companies wishing to access such users. DMAは、大規模なオンラインプラットフォームに対する明確なルールを定義しています。その目的は、多数のユーザーに対して「ゲートキーパー」の役割を果たす大規模オンラインプラットフォームが、その地位を乱用し、そのようなユーザーへのアクセスを希望する企業に不利益を与えないようにすることです。
Which platforms are considered gatekeepers? どのようなプラットフォームがゲートキーパーとみなされるのか?
The Council and the European Parliament agreed that for a platform to qualify as a gatekeeper, firstly it must either have had an annual turnover of at least €7.5 billion within the European Union (EU) in the past three years or have a market valuation of at least €75 billion, and secondly it must have at least 45 million monthly end users and at least 10 000 business users established in the EU. 欧州理事会と欧州議会は、プラットフォームがゲートキーパーとして認められるためには、第一に、過去3年間の欧州連合(EU)内での年間売上高が75億ユーロ以上、または時価総額が750億ユーロ以上であること、第二に、EU内で毎月少なくとも4500万のエンドユーザーと少なくとも1万のビジネスユーザーを抱えていなければならないことに合意しています。
The platform must also control one or more core platform services in at least three member states. These core platform services include marketplaces and app stores, search engines, social networking, cloud services, advertising services, voice assistants and web browsers. また、プラットフォームは、少なくとも3つの加盟国で1つ以上のコアプラットフォームサービスをコントロールしている必要があります。これらのコアプラットフォームサービスには、マーケットプレイスやアプリストア、検索エンジン、ソーシャルネットワーキング、クラウドサービス、広告サービス、音声アシスタント、ウェブブラウザなどが含まれます。
To ensure that the rules laid down in the regulation are proportionate, SMEs are exempt from being identified as gatekeepers, apart from in exceptional cases. In order to ensure the progressive nature of the obligations, the category of ‘emerging gatekeeper’ is also provided for; this will enable the Commission to impose certain obligations on companies whose competitive position is proven but not yet sustainable. この規則が適切であることを保証するために、例外的な場合を除き、中小企業はゲートキーパーとして識別されることを免除されています。また、義務の漸進性を確保するため、「新興のゲートキーパー」というカテゴリーも設けられています。これにより、欧州委員会は、競争力は証明されているがまだ持続可能ではない企業に対して、一定の義務を課すことができます。
Gatekeepers will have to: ゲートキーパーは次のような義務を負うことになります。
・ensure that users have the right to unsubscribe from core platform services under similar conditions to subscription ・ユーザーがコア・プラットフォーム・サービスの購読を停止する権利を、購読と同様の条件下で有するようにすること。
・for the the most important software (e.g. web browsers), not require this software by default upon installation of the operating system ・最も重要なソフトウェア(例:ウェブブラウザ)については、オペレーティングシステムのインストール時にこのソフトウェアをデフォルトで要求しないこと。
・ensure the interoperability of their instant messaging services’ basic functionalities ・インスタントメッセージングサービスの基本機能の相互運用性を確保すること。
・allow app developers fair access to the supplementary functionalities of smartphones (e.g. NFC chip) ・アプリ開発者がスマートフォンの補助機能(NFCチップなど)に公平にアクセスできるようにすること。
・give sellers access to their marketing or advertising performance data on the platform ・販売者にプラットフォーム上のマーケティングまたは広告のパフォーマンスデータへのアクセスを与えること。
・inform the European Commission of their acquisitions and mergers ・欧州委員会に買収や合併を報告すること。
But they can no longer: ゲートキーパーは次のようなことはできなくなります。
・rank their own products or services higher than those of others (self-preferencing) ・自分の製品やサービスを他の製品より上位にランク付けすること(自己言及)。
・reuse private data collected during a service for the purposes of another service ・あるサービスにおいて収集された個人情報を、別のサービスのために再利用すること。
・establish unfair conditions for business users ・ビジネスユーザーに対する不公平な条件を設定すること。
・pre-install certain software applications ・特定のソフトウェアアプリケーションをプリインストールすること。
・require app developers to use certain services (e.g. payment systems or identity providers) in order to be listed in app stores ・アプリ開発者がアプリストアに掲載されるために、特定のサービス(例:決済システム、IDプロバイダ)を利用することを要求すること。
What if a gatekeeper does not play by the rules? ゲートキーパーがルールを守らない場合、どうすればよいのでしょうか。
If a gatekeeper violates the rules laid down in the legislation, it risks a fine of up to 10% of its total worldwide turnover. For a repeat offence, a fine of up to 20% of its worldwide turnover may be imposed. ゲートキーパーが法律に定められたルールに違反した場合、全世界の総売上高の10%以下の罰金を科せられるリスクがあります。また、違反を繰り返した場合は、全世界の売上高の20%以下の罰金が課される可能性があります。
If a gatekeeper systematically fails to comply with the DMA, i.e. it violates the rules at least three times in eight years, the European Commission can open a market investigation and, if necessary, impose behavioural or structural remedies. ゲートキーパーが組織的にDMAを遵守しない場合、つまり、8年間に少なくとも3回、規則に違反した場合、欧州委員会は市場調査を開始し、必要に応じて、行動的または構造的な救済措置を講じることができます。
What if the platform does not agree that it is a gatekeeper? プラットフォームがゲートキーパーであることに同意しない場合はどうなりますか?
If a platform has good arguments against its designation as a gatekeeper, it can challenge the designation by means of a specific procedure that enables the Commission to check the validity of those arguments. プラットフォームがゲートキーパーとしての指定に反対する正当な理由がある場合、欧州委員会がその正当性を確認できる特別な手続きによって、指定に異議を唱えることができます。
Who makes sure that gatekeepers stick to the rules? ゲートキーパーが規則を守るかどうかは、誰が確認するのですか?
To ensure a high degree of harmonisation in the internal market, the European Commission will be the sole enforcer of the regulation. The Commission can decide to engage in regulatory dialogue to make sure gatekeepers have a clear understanding of the rules they have to abide by, and to specify their application where necessary. 域内市場における高度なハーモナイゼーションを確保するために、欧州委員会が規制の唯一の執行者となります。欧州委員会は、ゲートキーパーが遵守すべき規則を明確に理解し、必要に応じてその適用を明示するために、規制当局との対話を行うことを決定することができます。
An advisory committee and a high-level group will be set up to assist and facilitate the work of the European Commission. Member states will be able to empower national competition authorities to start investigations into possible infringements and transmit their findings to the Commission. 欧州委員会の作業を支援し、促進するために、諮問委員会とハイレベルグループが設置されます。加盟国は、各国の競争当局が違反の可能性について調査を開始し、その結果を欧州委員会に報告する権限を与えることができるようになります。
To make sure that gatekeepers do not undermine the rules set out in the DMA, the regulation also enforces anti-circumvention provisions. ゲートキーパーがDMAで定められた規則を損なわないようにするため、同規則はまた、不正アクセス防止規定を施行します。
Link to the Digital Services Act (DSA) デジタルサービス法(DSA)へのリンク
The co-legislators agreed that, whereas economic concerns deriving from a gatekeeper’s data collection will be addressed in the DMA, wider societal concerns should be tackled in the Digital Services Act (DSA). An agreement on the DSA is also expected shortly. 共同立法者は、ゲートキーパーによるデータ収集から派生する経済的な懸念はDMAで、より広い社会的な懸念はデジタルサービス法(DSA)で取り組むべきであると合意した。DSAに関する合意も間もなく行われる予定です。
The DSA and the DMA will be the two pillars of digital regulation which respects European values and the European model, and will define a framework adapted to the economic and democratic footprint of digital giants. DSAとDMAは、欧州の価値観と欧州モデルを尊重するデジタル規制の2本柱となり、デジタル大手の経済的・民主的足跡に適応した枠組みを定義することになるでしょう。
Background 背景
The European Commission presented a digital services package comprising the Digital Services Act (DSA) and a Digital Markets Act (DMA) in December 2020. 欧州委員会は、2020年12月にデジタルサービス法(DSA)とデジタル市場法(DMA)からなるデジタルサービスパッケージを提示しました。
On 25 November 2021, less than a year after the start of negotiations in the Council, member states unanimously agreed on the Council’s position on the DMA. 理事会での交渉開始から1年も経たない2021年11月25日、加盟国はDMAに関する理事会の見解に全会一致で合意しました。
Next steps 次のステップ
The provisional agreement reached today is subject to approval by the Council and the European Parliament. The regulation must be implemented within six months after its entry into force. 本日達した暫定合意は、理事会および欧州議会の承認が条件となります。 また、同規則は発効後6カ月以内に実施されなければなりません。
On the Council’s side, the presidency aims to submit the agreement to the Permanent Representatives Committee (Coreper) for endorsement shortly. 理事会側では、議長国がこの合意を常設代表委員会(Coreper)に提出し、間もなく承認を得ることを目指しています。
European Commission proposal for a digital markets act 欧州委員会のデジタル市場法に関する提案
Council’s general approach 理事会の一般的な考え方
European parliament’s position 欧州議会の立場

 

 

European-council

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.18 JETRO EUデジタル政策の最新概要(2021年10月)

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

中国の話...

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

| | Comments (0)

2022.03.25

米国の「サイバーセキュリティに関するバイデン大統領の声明」を受けての日本政府の「サイバーセキュリティ対策の強化について注意喚起」

こんにちは、丸山満彦です。

経済産業省、総務省、警察庁、NISCが2022.03.24に「サイバーセキュリティ対策の強化について注意喚起」を行っていますね。。。

ロシア・ウクライナ問題に関連して(それ以外にもランサムウェアとエモテットも)ということで、2月23日、3月1日に続いての注意喚起です。。。

 

経済産業省

・2022.03.24 サイバーセキュリティ対策の強化について注意喚起を行います


1.概要

昨今のサイバー攻撃事案のリスクの高まりを踏まえ、政府においては、2月23日に「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(別添1)」、3月1日に「サイバーセキュリティ対策の強化について(別添2)」注意喚起を行っております。

その後も、国内では、ランサムウェアによる攻撃をはじめとするサイバー攻撃事案の報告が続いており、また、エモテットと呼ばれるマルウェアによる感染の増加も見られるところです。また、米国では、3月21日に、バイデン大統領が、国内の重要インフラ事業者等に対して、ロシアが潜在的なサイバー攻撃の選択肢を模索しており警戒を呼びかける声明を発表するとともに、企業等に対してサイバーセキュリティ対策を強化する具体策を提示しています。

このようなランサムウェアやエモテットなど現下の情勢を踏まえ、政府機関や重要インフラ事業者をはじめとする各企業・団体等においては、組織幹部のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、上記の2月23日及び3月1日の注意喚起にある対策(①リスク低減のための措置、②インシデントの早期検知、③インシデント発生時の適切な対処・回復)の徹底をあらためてお願いいたします。

また、ランサムウェアやエモテットについては、これまで専門機関等において公表している情報・サイトを確認の上、対応を講じるようお願いいたします。あわせて、不審な動き等を検知した場合は、速やかに所管省庁、セキュリティ関係機関に対して情報提供いただくとともに、警察にもご相談ください。

2.中小企業向け対策

自社がサイバー攻撃による被害を受けた場合、その影響は自社にとどまらず、サプライチェーン全体の事業活動に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組むことを推奨します。


総務省

・2022.03.24 現下の情勢を踏まえたサイバーセキュリティ対策の強化について (注意喚起)

警察庁

・2022.03.24 [PDF] 現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

NISC

・2022.03.24 [PDF] 現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

 

ということですが、米国のバイデン大統領の声明等は、、、

 

White House

Fig1_20210802074601

・2022.03.21 Statement by President Biden on our Nation’s Cybersecurity

Statement by President Biden on our Nation’s Cybersecurity バイデン大統領による我が国のサイバーセキュリティに関する声明
This is a critical moment to accelerate our work to improve domestic cybersecurity and bolster our national resilience.  I have previously warned about the potential that Russia could conduct malicious cyber activity against the United States, including as a response to the unprecedented economic costs we’ve imposed on Russia alongside our allies and partners. It’s part of Russia’s playbook. Today, my Administration is reiterating those warnings based on evolving intelligence that the Russian Government is exploring options for potential cyberattacks. 今こそ、国内のサイバーセキュリティを向上させ、国家の強靭性を強化するための取り組みを加速させるべき重要な時です。  私は以前、同盟国やパートナーとともにロシアに課した前例のない経済的コストへの反応として、ロシアが米国に対して悪意のあるサイバー活動を行う可能性について警告しました。これはロシアの戦術の一部です。本日、ロシア政府がサイバー攻撃の可能性を探っているという新たな情報に基づいて、私の政権はこれらの警告を再確認しています。
From day one, my Administration has worked to strengthen our national cyber defenses, mandating extensive cybersecurity measures for the Federal Government and those critical infrastructure sectors where we have authority to do so, and creating innovative public-private partnerships and initiatives to enhance cybersecurity across all our critical infrastructure. Congress has partnered with us on these efforts — we appreciate that Members of Congress worked across the aisle to require companies to report cyber incidents to the United States Government. 初日から、私の政権は、連邦政府とその権限のある重要インフラ部門に広範なサイバーセキュリティ対策を義務付け、すべての重要インフラでサイバーセキュリティを強化するための革新的な官民パートナーシップとイニシアティブを構築し、国家のサイバー防衛の強化に努めてきました。議会はこれらの取り組みにおいて私たちと協力関係にあります。私たちは、議員たちが通路を越えて協力し、企業に米国政府へのサイバーインシデント報告を義務付けたことを高く評価しています。
My Administration will continue to use every tool to deter, disrupt, and if necessary, respond to cyberattacks against critical infrastructure. But the Federal Government can’t defend against this threat alone. Most of America’s critical infrastructure is owned and operated by the private sector and critical infrastructure owners and operators must accelerate efforts to lock their digital doors. The Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) has been actively working with organizations across critical infrastructure to rapidly share information and mitigation guidance to help protect their systems and networks 私の政権は、重要インフラに対するサイバー攻撃を阻止し、混乱させ、必要であれば対応するために、あらゆる手段を引き続き使用するつもりです。しかし、連邦政府だけではこの脅威から身を守ることはできません。米国の重要インフラのほとんどは民間企業によって所有・運営されており、重要インフラの所有者と運営者は、デジタルドアをロックする努力を加速させなければなりません。国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)は、重要インフラの各組織と積極的に協力し、システムやネットワークの保護に役立つ情報や緩和策を迅速に共有することに努めています。
If you have not already done so, I urge our private sector partners to harden your cyber defenses immediately by implementing the best practices we have developed together over the last year. You have the power, the capacity, and the responsibility to strengthen the cybersecurity and resilience of the critical services and technologies on which Americans rely. We need everyone to do their part to meet one of the defining threats of our time — your vigilance and urgency today can prevent or mitigate attacks tomorrow. まだの方は、私たちが昨年開発したベストプラクティスを実施し、直ちにサイバー防衛を強化するよう、民間企業のパートナーに強く求めます。皆さんには、米国人が依存する重要なサービスや技術のサイバーセキュリティと回復力を強化する力、能力、そして責任があります。私たちは、現代の決定的な脅威の1つに対応するために、すべての人が自分の役割を果たす必要があります。今日のあなたの警戒心と緊急性は、明日の攻撃を防止または軽減することができます。

 

・2022.03.21 FACT SHEET: Act Now to Protect Against Potential Cyberattacks

FACT SHEET: Act Now to Protect Against Potential Cyberattacks ファクトシート: 潜在的なサイバー攻撃から身を守るために今すぐ行動しよう
The Biden-Harris Administration has warned repeatedly about the potential for Russia to engage in malicious cyber activity against the United States in response to the unprecedented economic sanctions we have imposed.  There is now evolving intelligence that Russia may be exploring options for potential cyberattacks. バイデン=ハリス政権は、我々が課した前例のない経済制裁に対抗して、ロシアが米国に対して悪質なサイバー活動を行う可能性について繰り返し警告してきました。  現在、ロシアが潜在的なサイバー攻撃の選択肢を探っている可能性があるという情報が進展中です。
The Administration has prioritized strengthening cybersecurity defenses to prepare our Nation for threats since day one. President Biden’s Executive Order is modernizing the Federal Government defenses and improving the security of widely-used technology. The President has launched public-private action plans to shore up the cybersecurity of the electricity, pipeline, and water sectors and has directed Departments and Agencies to use all existing government authorities to mandate new cybersecurity and network defense measures. Internationally, the Administration brought together more than 30 allies and partners to cooperate to detect and disrupt ransomware threats, rallied G7 countries to hold accountable nations who harbor ransomware criminals, and taken steps with partners and allies to publicly attribute malicious activity. 米国政府は初日から、脅威に対する国家の備えとして、サイバーセキュリティの防御を強化することを優先してきました。バイデン大統領の大統領令は、連邦政府の防御を近代化し、広く使用されている技術のセキュリティを向上させるものです。大統領は、電力、パイプライン、水道部門のサイバーセキュリティを強化する官民の行動計画を立ち上げ、各省庁に対し、既存のあらゆる政府権限を用いて新たなサイバーセキュリティおよびネットワーク防御策を義務付けるように指示しました。国際的には、ランサムウェアの脅威を検出して破壊するために30以上の同盟国やパートナーを集め、ランサムウェアの犯罪者をかくまった国の責任を問うためにG7諸国を結集し、パートナーや同盟国とともに悪質な行為を公にするための措置を講じました。
We accelerated our work in November of last year as Russian President Vladimir Putin escalated his aggression ahead of his further invasion of Ukraine with extensive briefings and advisories to U.S. businesses regarding potential threats and cybersecurity protections. The U.S. Government will continue our efforts to provide resources and tools to the private sector, including via CISA’s Shields-Up campaign and we will do everything in our power to defend the Nation and respond to cyberattacks. But the reality is that much of the Nation’s critical infrastructure is owned and operated by the private sector and the private sector must act to protect the critical services on which all Americans rely. 昨年11月には、ロシアのウラジーミル・プーチン大統領がウクライナへのさらなる侵攻を前にして攻撃をエスカレートさせたため、潜在的な脅威とサイバーセキュリティ保護に関する米国企業への大規模な説明と勧告を行い、活動を加速させました。米国政府は、CISAのシールドアップキャンペーンを含め、民間企業にリソースやツールを提供する努力を続け、国家を防衛しサイバー攻撃に対応するために全力を尽くします。しかし、現実には、国家の重要インフラの多くが民間企業によって所有・運営されており、民間企業はすべてのアメリカ人が依存する重要サービスを保護するために行動しなければなりません。
We urge companies to execute the following steps with urgency: 我々は、企業が以下のステップを緊急に実行することを強く求めます。
・Mandate the use of multi-factor authentication on your systems to make it harder for attackers to get onto your system; ・攻撃者がシステムに侵入するのを困難にするため、システム上で多要素認証の使用を義務付けてください。
・Deploy modern security tools on your computers and devices to continuously look for and mitigate threats; ・コンピュータやデバイスに最新のセキュリティツールを導入し、継続的に脅威を発見し、軽減してください。
・Check with your cybersecurity professionals to make sure that your systems are patched and protected against all known vulnerabilities, and change passwords across your networks so that previously stolen credentials are useless to malicious actors; ・サイバーセキュリティの専門家に相談し、既知の脆弱性に対してパッチが適用され、システムが保護されていることを確認し、ネットワーク全体のパスワードを変更し、以前に盗まれた認証情報が悪意のある行為者にとって無用になるようにしてください。
・Back up your data and ensure you have offline backups beyond the reach of malicious actors; ・データをバックアップし、悪意ある者の手の届かないところにオフラインでバックアップしておいてください。
・Run exercises and drill your emergency plans so that you are prepared to respond quickly to minimize the impact of any attack; ・攻撃の影響を最小限に抑えるため、緊急時対応策の訓練や演習を行い、迅速に対応できるようにしてください。
・Encrypt your data so it cannot be used if it is stolen; ・データを暗号化し、盗まれても使用できないようにしてください。
・Educate your employees to common tactics that attackers will use over email or through websites, and encourage them to report if their computers or phones have shown unusual behavior, such as unusual crashes or operating very slowly; and ・攻撃者が電子メールやウェブサイトで使用する一般的な手口について従業員を教育し、コンピュータや携帯電話が異常にクラッシュしたり、動作が非常に遅くなるなどの異常な動作を示した場合は、報告するよう奨励します。
Engage proactively with your local FBI field office or CISA Regional Office to establish relationships in advance of any cyber incidents. Please encourage your IT and Security leadership to visit the websites of CISA and the FBI where they will find technical information and other useful resources. ・そして、地元のFBI支局やCISA地域事務局と積極的に関わり、サイバーインシデントに備えて関係を構築しておいてください。IT部門やセキュリティ部門のリーダーには、CISAやFBIのウェブサイトを訪問し、技術情報やその他の有用なリソースを入手するよう勧めてください。
We also must focus on bolstering America’s cybersecurity over the long term. We encourage technology and software companies to:  また、長期的に米国のサイバーセキュリティを強化することにも注力しなければなりません。私たちは、テクノロジーおよびソフトウェア企業に対して、次のことを推奨します。 
・Build security into your products from the ground up — “bake it in, don’t bolt it on” — to protect both your intellectual property and your customers’ privacy. ・自社の知的財産と顧客のプライバシーの両方を保護するために、製品に最初からセキュリティを組み込むこと(「bake it in, don't bolt it on」(ボルトで取り付けるのではなく、焼き付ける))。
・Develop software only on a system that is highly secure and accessible only to those actually working on a particular project.  This will make it much harder for an intruder to jump from system to system and compromise a product or steal your intellectual property. ・高度に安全で、特定のプロジェクトに実際に携わっている人たちだけがアクセスできるシステム上で、ソフトウェアを開発すること。  そうすれば、侵入者がシステムからシステムへ移動して、製品を危険にさらしたり、知的財産を盗んだりすることが非常に難しくなります。
・Use modern tools to check for known and potential vulnerabilities. Developers can fix most software vulnerabilities — if they know about them.  There are automated tools that can review code and find most coding errors before software ships, and before a malicious actor takes advantage of them.  ・既知および潜在的な脆弱性をチェックするために、最新のツールを使用する。開発者は、ソフトウェアの脆弱性のほとんどを修正することができます - 彼らがそれを知っていれば。  自動化されたツールは、ソフトウェアを出荷する前に、そして悪意ある行為者がそれを利用する前に、コードをレビューしてほとんどのコーディングエラーを発見することができます。 
・Software developers are responsible for all code used in their products, including open source code. Most software is built using many different components and libraries, much of which is open source.  Make sure developers know the provenance (i.e., origin) of components they are using and have a “software bill of materials” in case one of those components is later found to have a vulnerability so you can rapidly correct it.  ・ソフトウェア開発者は、オープンソースコードを含め、製品に使用されているすべてのコードに対して責任を負います。ほとんどのソフトウェアは、多くの異なるコンポーネントやライブラリを使用して構築されており、その多くはオープンソースです。  開発者は、使用しているコンポーネントの出所(起源)を把握し、それらのコンポーネントのいずれかに脆弱性があることが後で判明した場合に備えて「ソフトウェア部品表」を用意し、迅速に修正できるようにしてください。 
・Implement the security practices mandated in the President’s Executive Order, Improving our Nation’s Cybersecurity. Pursuant to that EO, all software the U.S. government purchases is now required to meet security standards in how it is built and deployed. We encourage you to follow those practices more broadly. ・大統領令「国家のサイバーセキュリティを改善する」で義務付けられているセキュリティ対策を実施する。この大統領令に基づき、米国政府が購入するすべてのソフトウェアは、その構築と展開の方法においてセキュリティ基準を満たすことが求められるようになりました。私たちは、より広範にこれらの慣行に従うことをお勧めします。

 

・2022.03.21 Press Briefing by Press Secretary Jen Psaki and Deputy NSA for Cyber and Emerging Technologies Anne Neuberger, March 21, 2022

サイバーセキュリティの部分だけ。。。その後にウクライナ問題(中国の対応も含む)の質疑が続き、興味深いのですが、、、

 

Press Briefing by Press Secretary Jen Psaki and Deputy NSA for Cyber and Emerging Technologies Anne Neuberger, March 21, 2022 ジェン・プサキ報道官とアン・ニューバーガーNSAサイバー・エマージング・テクノロジー担当副長官によるプレス・ブリーフィング(2022年3月21日)。
2:45 P.M. EDT 2:45 P.M. EDT
MS. PSAKI:  Hi, everyone.  Okay, we have a very special return guest today, Deputy National Security Advisor Anne Neuberger, who is here to provide a brief update on cyber.  You probably have seen the statement from the President we issued, as well as a factsheet; she’ll talk about that.  Has a little bit of time to take some questions, and then we’ll do a briefing from there. サキ報道官: 皆さん、こんにちは。  今日は特別に、アン・ノイバーガー国家安全保障副顧問にお越しいただき、サイバーに関する簡単な最新情報をお伝えします。  おそらく皆さんは、私たちが発表した大統領声明とファクトシートをご覧になったと思いますが、それについてお話します。  少し質問を受ける時間がありますので、そこからブリーフィングを行います。
With that, I’ll turn it over to Anne. それでは、アンさんにバトンタッチします。
MS. NEUBERGER:  Thank you, Jen.  Good afternoon, everyone. ノイバーガー副顧問: ありがとうございます、ジェン。  皆さん、こんにちは。
This afternoon, the President released a statement and factsheet regarding cyber threats to the homeland, urging private sector partners to take immediate action to shore up their defenses against potential cyberattacks. 本日午後、大統領は国土へのサイバー脅威に関する声明とファクトシートを発表し、民間セクターのパートナーに対し、潜在的なサイバー攻撃に対する防御を強化するために直ちに行動を起こすよう要請しました。
We’ve previously warned about the potential for Russia to conduct cyberattacks against the United States, including as a response to the unprecedented economic costs that the U.S. and Allies and partners imposed in response to Russia’s further invasion of Ukraine. 我々は以前から、ロシアが米国に対してサイバー攻撃を行う可能性について警告してきました。その中には、ロシアによるウクライナへのさらなる侵攻に対して、米国と同盟国およびパートナーが課した前例のない経済コストに対する反応としてのものも含まれています。
Today, we are reiterating those warnings, and we’re doing so based on evolving threat intelligence that the Russian government is exploring options for potential cyberattacks on critical infrastructure in the United States. 本日、私たちはこれらの警告を繰り返し、ロシア政府が米国の重要インフラに対する潜在的なサイバー攻撃のオプションを模索しているという進化した脅威情報に基づいて、この警告を行なっています。
To be clear, there is no certainty there will be a cyber incident on critical infrastructure.  So why am I here?  Because this is a call to action and a call to responsibility for all of us.  はっきり言えば、重要インフラへのサイバー攻撃が必ず起こるというわけではありません。  では、なぜ私がここにいるのか?  それは、これは私たち全員への行動要請であり、責任追及の呼びかけだからです。 
At the President’s direction, the administration has worked extensively over the last year to prepare to meet this sort of threat, providing unprecedented warning and advice to the private sector and mandating cybersecurity measures where we have the authority to do so. 大統領の指示のもと、行政は昨年、この種の脅威に備えるために広範囲に働きかけ、民間部門に前例のない警告と助言を与え、権限のあるところにはサイバーセキュリティ対策を義務付けてきました。
For example, just last week, federal agencies convened more than 100 companies to share new cybersecurity threat information in light of this evolving threat intelligence.  During those meetings, we shared resources and tools to help companies harden their security, like advisories sourced from sensitive threat intelligence and hands-on support from local FBI field offices and sister regional offices, including their Shields Up program. 例えば、先週、連邦政府機関は100社以上の企業を招集し、この進化する脅威情報を踏まえて、新たなサイバーセキュリティ脅威情報を共有したところです。  この会議では、機密性の高い脅威情報を基にした勧告や、FBI の地方支局および姉妹支局による実地支援(Shields Up プログラムなど)など、企業のセキュリティ強化を支援するリソースやツールも共有しました。
The meeting was part of an extensive cybersecurity resilience effort that we began in the fall, prompted by the President.  Agencies like Energy, EPA, Treasury, and DHS have hosted both classified and unclassified briefings with hundreds of owners and operators of privately owned critical infrastructure.  CISA, NSA, and FBI have published cybersecurity advisories that set out protections the private sector can deploy to improve security.  この会議は、大統領に促されて秋に開始したサイバーセキュリティの回復に向けた広範な取り組みの一環として行われたものです。  エネルギー省、環境保護庁、財務省、DHSなどの機関は、民間が所有する重要インフラの所有者や運営者を対象に、機密・非機密の両面で説明会を開催してきました。  CISA、NSA、FBIは、民間企業がセキュリティ向上のために導入できる保護策を示したサイバーセキュリティアドバイザリーを発表しました。 
The President has also directed departments and agencies to use all existing government authorities to mandate new cybersecurity and network defense measures.  You’ve seen us do that where we have the authority to do so, including TSA’s work that mandated directives for the oil and gas pipelines following the Colonial Pipeline incident that highlighted the significant gaps in resilience for that sector. また、大統領は各省庁に対し、既存のあらゆる政府権限を用いて、新たなサイバーセキュリティおよびネットワーク防御対策を義務付けるよう指示しました。  例えば、コロニアル・パイプライン事件では、石油・ガスパイプラインの回復力に大きなギャップがあることが明らかになりましたが、TSA はこの事件を受けて、石油・ガスパイプラインに対する指令の策定を義務付けるなど、権限があるところでは私たちがそれを行っているのを皆さんはご存知でしょう。
Our efforts together over the past year has helped drive much-needed and significant improvements.  But there’s so much more we need to do to have the confidence that we’ve locked our digital doors, particularly for the critical services Americans rely on. この1年間、私たちは共に努力し、必要とされる重要な改善を推進することができました。  しかし、特に米国人が依存している重要なサービスにおいて、デジタルドアをロックしたと確信するためには、さらに多くのことを行う必要があります。
The majority of our critical infrastructure, as you know, is owned and operated by the private sector.  And those owners and operators have the ability and the responsibility to harden the systems and networks we all rely on. ご存知のように、重要インフラの大部分は民間企業によって所有・運営されています。  そして、これらの所有者や運営者は、私たち全員が依存しているシステムやネットワークを強化する能力と責任を持っています。
Notwithstanding these repeated warnings, we continue to see adversaries compromising systems that use known vulnerabilities for which there are patches.  This is deeply troubling. このような再三の警告にもかかわらず、敵対者は、パッチが存在する既知の脆弱性を利用して、システムを侵害するケースが後を絶ちません。  これは非常に困ったことです。
So we’re urging, today, companies to take the steps within your control to act immediately to protect the services millions of Americans rely on and to use the resources the federal government makes available.  The factsheet released alongside the President’s statement contains the specific actions that we’re calling companies to do.  そこで本日、私たちは企業に対して、何百万人ものアメリカ人が信頼しているサービスを保護するために、自分の手の届く範囲で直ちに行動し、連邦政府が提供するリソースを利用するよう求めています。  大統領の声明と同時に発表されたファクトシートには、私たちが企業に呼びかけている具体的なアクションが記載されています。 
I would be remiss if I didn’t reiterate the President’s thanks to Congress for its partnership in this effort, including making cybersecurity resources available in the Bipartisan Infrastructure Law and, most recently, for working across the aisle to require companies to report cyber incidents to the federal government.  That will ensure federal resources are focused on the most important cyber threats to the American people. 超党派インフラ法においてサイバーセキュリティのリソースを利用できるようにしたこと、また最近では、企業がサイバーインシデントを連邦政府に報告することを義務付けるために、党派を超えて協力したことなど、この取り組みにおける議会の協力に対して、大統領から改めて謝意を表明しないのは不注意と言わざるを得ません。  これにより、連邦政府のリソースが米国民にとって最も重要なサイバー脅威に集中することが保証されます。
We welcome additional congressional work to identify new authorities that can help address gaps and drive down collective cybersecurity risk. 私たちは、サイバーセキュリティのリスクに対処するための新たな権限を特定するための議会のさらなる活動を歓迎します。
Bottom line: This is about us — the work we need to do to lock our digital doors and to put the country in the best defensive position. 結論 これは私たちのことであり、私たちのデジタル・ドアをロックし、国を最高の防御態勢に置くために必要な作業です。
And there is them.  As the President has said: The United States is not seeking confrontation with Russia.  But he has also said that if Russia conducts disruptive cyberattacks against critical infrastructure, we will be prepared to respond. そして、彼らです。  大統領も言っています。米国はロシアとの対立を望んでいません。  しかし、ロシアが重要なインフラに対して破壊的なサイバー攻撃を行った場合、我々は対応する用意があるとも言っています。
Thank you. ありがとうございました。
MS. PSAKI:  All right.  Let me just first ask, for those of you in the aisles, if you’re not a photographer, there’s plenty of seats.  So if you could sit down, that would be great, and not crowd the others in the seats. サキ報道官: ありがとうございます。  最初にお伺いしますが、通路にいらっしゃる方、もしカメラマンでなければ、席はたくさんあります。  他の方と混雑しないように、座っていただけると助かります。
So, we don’t have unlimited time, so if people — we just want to get to as many people as possible. 時間が無制限にあるわけではないので、できるだけ多くの人に参加してもらいたいのです。
So, go ahead. では、どうぞ。
Q    Thank you, Jen.  Hi, Anne.  Just a quick question on the Viasat attack that happened on the 24th of Feb, the day Russia attacked Ukraine.  We’ve obviously seen that impact satellite communication networks in Eastern Europe.  And since then, the FBI and CISA have issued warnings that similar attacks can happen against U.S. companies. Q ありがとうございます、ジェン。  こんにちは、アン。  2月24日、ロシアがウクライナを攻撃した日に起こったViasatの攻撃についてちょっと質問です。  東欧の衛星通信ネットワークに影響を与えたことは明らかです。  それ以来 FBI と CISA は同様の攻撃が米国企業にも起こりうるという警告を発しています。
Is the U- — is the U.S. in a position to perhaps identify who is behind the hack at this moment? 米国は、現時点でハッキングの背後にいる人物を特定できる立場にあるのでしょうか。
MS. NEUBERGER:  It’s a really good question.  So, first, I want to lift up: FBI and CISA and NSA also highlighted protective security measures that U.S. companies can put in place to protect against exactly that kind of attack.  We have not yet attributed that attack, but we’re carefully looking at it because, as you noted, of the impact not only in Ukraine but also in satellite communication systems in Europe as well. ノイバーガー副顧問:実にいい質問ですね。  そこで、まず、持ち上げておきたいことがあります。FBI と CISA と NSA は、まさにその種の攻撃から守るために、米国企業が導入可能な保護的なセキュリティ対策も強調しています。  しかし、ご指摘の通り、ウクライナだけでなく、欧州の衛星通信システムにも影響があるため、我々は慎重に調査しています。
Q    Does the sophistication of the attack, perhaps the timing of it, suggest that it’s a state actor?  I mean, are you willing to — Q 攻撃の精巧さ、おそらくそのタイミングは、国家的な行為であることを示唆しているのでしょうか。  つまり、あなたは喜んで...
MS. NEUBERGER:  Those are certainly factors that are — we’re looking at carefully as we look at who is responsible for them. ノイバーガー副顧問:これらは確かに要因の一つであり、私たちは誰の仕業であるかを注意深く見ています。
MS. PSAKI:  Phil. サキ報道官: フィル。
Q    The “evolving intelligence,” it doesn’t mean that it’s a certainty there’s going to be an attack.  Can you explain for the layman what you’re seeing right now that precipitated this statement today, and what the evolving intelligence may be now compared to on the 24th or prior to the invasion? Q 「進化する情報」とは、攻撃があることが確実だという意味ではありませんね。  また、24日や侵攻前と比較して、進化する情報はどのようなものなのでしょうか?
MS. NEUBERGER:  Absolutely.  So, the first part of that is: You’ve seen the administration continuously lean forward and share even fragmentary pieces of information we have to drive and ensure maximum preparedness by the private sector. ノイバーガー副顧問:もちろんです。  まず、その最初の部分は 民間部門が最大限の備えをするために、政権が絶えず身を乗り出して、断片的な情報でも共有しているのをご存じでしょう。
So as soon as we learned about that, last week we hosted classified briefings with companies and sectors who we felt would be most affected, and provided very practical, focused advice. そのため、先週は、この事態を知るや否や、最も影響を受けると思われる企業やセクターに対して機密扱いのブリーフィングを行い、非常に実践的で集中的なアドバイスを提供しました。
Today’s broader, unclassified briefing is to raise that broader awareness and to raise that call to action. 本日は、そのような幅広い意識を高め、行動を喚起するための、より広範な非公開のブリーフィングを行います。
Q    So there was something specific you saw last week that was raised to the industries that it would have affected, is what you’re saying? Q つまり、先週見た中で、影響を受けるであろう業界に提起した具体的なものがあったということですね?
MS. NEUBERGER:  So I want to reiterate: There is no evidence of any — of any specific cyberattack that we’re anticipating for.  There is some preparatory activity that we’re seeing, and that is what we shared in a classified context with companies who we thought might be affected.  And then we’re lifting up a broader awareness here in this — in this warning. ノイバーガー副顧問: ですから、もう一度申し上げます。私たちが予期しているような具体的なサイバー攻撃の証拠はありません。  私たちが見ているのはいくつかの準備活動で、それは私たちが影響を受けるかもしれないと考えた企業と機密扱いで共有したものです。  そして、この警告の中で、より広い範囲での認識を高めています。
MS. PSAKI:  Major? サキ報道官: メジャー?
Q    Hey, Anne.  When you say a “call to action,” many who hear you say that might believe that something is imminent.  Is it? Q やあ、アン。  あなたが「行動を喚起する」と言うと、それを聞いた多くの人は何かが差し迫っていると考えるかもしれません。  そうでしょうか?
MS. NEUBERGER:  So, first, a “call to action” is because there are cyberattacks that occur every day.  Hundreds of millions of dollars were paid in ransoms by U.S. companies just last year against criminal activity happening in the U.S. today. Every single day, there should be a call to action. ノイバーガー副顧問: まず、「行動への呼びかけ」というのは、毎日のようにサイバー攻撃が行われているからです。  今日、米国で起きている犯罪行為に対して、昨年だけでも数億ドルの身代金が米国企業によって支払われています。毎日、行動への呼びかけが必要です。
We’re using the opportunity of this evolving threat intelligence regarding potential cyberattacks against critical infrastructure to reiterate those with additional focus specifically to critical infrastructure owners and operators to say, “You have the responsibility to take these steps to protect the critical services Americans rely on.” 私たちは、重要インフラに対するサイバー攻撃の可能性に関する脅威情報が進化しているこの機会を利用して、特に重要インフラの所有者や運営者に対して、「あなた方には、アメリカ人が依存する重要なサービスを保護するためにこれらの措置を取る責任があります」と、さらに焦点を絞ってこれらを繰り返し伝えているのです。
Q    And as a follow-up: “Critical infrastructure” is a broad term.  Is it as broad as you typically mean it when the government speaks about critical infrastructure, or is there something you’ve seen that you can be more — a little bit more specific within that large frame of critical infrastructure? Q 補足ですが、「重要インフラ」というのは幅広い言葉ですね。  それとも、重要インフラという大きな枠の中で、より-もう少し-具体的に説明できるようなことがあるのでしょうか?
MS. NEUBERGER:  I won’t get into specific sectors at this time, because the steps that are needed to lock our digital doors need to be done across every sector of critical infrastructure.  And even those sectors that we do not see any specific threat intelligence for, we truly want those sectors to double down and do the work that’s needed. ノイバーガー副顧問:デジタルドアをロックするために必要な措置は、重要インフラのすべてのセクターで実施する必要があるからです。  また、具体的な脅威情報がないセクターについても、そのセクターが必要な作業を倍加して行うことを望んでいます。
MS. PSAKI:  Jacqui. サキ報道官: ジャッキー。
Q    You guys, the administration, successfully declassified a lot of intelligence about what the Russians were planning leading up to the invasion to prebut what they might do.  Can you do that a little bit here and at least list some of the industries that might be the biggest targets so that they can have a heightened awareness about what might be coming? Q あなた方政権は、ロシアが侵攻前に何を計画していたか、何をしでかすかについての多くの情報の機密指定を解除することに成功しました。  ここでそれを少しやって、少なくとも最大のターゲットになりそうな産業をいくつか挙げて、これから起こるかもしれないことについて意識を高めてもらうことはできませんか?
MS. NEUBERGER:  As we consider declassifying intelligence, to your excellent point, that really has been the work that has been done the last few weeks and was driven by a focus on outcomes.  It was driven by the President’s desire to avoid war at all costs, to really invest in diplomacy. ノイバーガー副顧問:情報の機密解除を検討する上で、ご指摘の通り、ここ数週間は成果を重視した作業が行われてきました。  戦争は何としても避け、外交に力を入れたいという大統領の意向に従ったものです。
So, as we consider this information, the first step we did was we gave classified, detailed briefings to the companies and sectors for which we had some preparatory information about.  And then for those where we don’t, that’s the purpose of today’s unclassified briefing: to give that broad warning.  And I want to lift up the factsheet, which is really the call to action for specific activities to do. そこで、これらの情報を検討する中で、まず、準備のための情報がある企業や分野に対しては、機密扱いで詳細なブリーフィングを行いました。  そして、そうでないものについては、今日の非機密のブリーフィングの目的である、幅広い警告を与えることです。  そして、具体的な活動を呼びかけるファクトシートも公開したいと思います。
Q    So you believe the people, the industries that need to know about this risk know? Q では、このリスクについて知る必要のある人々や業界は知っているとお考えですか?
MS. NEUBERGER:  We believe the key entities who need to know have been provided classified briefings.  I mentioned, for example, just last week, several hundred companies were brought in to get that briefing. ノイバーガー副顧問:知る必要のある重要な団体には、機密扱いのブリーフィングが提供されていると考えています。  例えば、先週、数百の企業がそのブリーフィングを受けるために集められたと申し上げました。
MS. PSAKI:  Peter. サキ報道官:ピーター
Q    Does the U.S. have any evidence that Russia has attempted a hack, either here in the U.S., in Europe, or in Ukraine, over the course of the last several weeks since this offensive began? Q この攻勢が始まってからこの数週間の間に、ロシアが米国内、欧州、ウクライナでハッキングを試みたという証拠を米国は持っているのでしょうか?
MS. NEUBERGER:  So, we certainly believe that Russia has conducted cyberattacks to undermine, coerce, and destabilize Ukraine.  And we attributed some of those a couple of weeks ago. ノイバーガー副顧問:私たちは、ロシアがウクライナを弱体化させ、強制し、不安定化させるためにサイバー攻撃を行ったと確信しています。  そして、私たちは2週間前にそのうちのいくつかを指摘しました。
We consistently see nation states doing preparatory activity.  That preparatory activity can pan out to become an incident; it cannot.  And that’s the reason we’re here. 私たちは一貫して、国家が準備活動を行うのを見てきました。  このような準備活動は、インシデントに発展することもあれば、発展しないこともあります。  それが、私たちがここにいる理由です。
Q    So, specifically in the U.S., as there was an assessment early on that we thought that we would be a likely target here, why do you think we have not seen any attack on critical infrastructure in the United States to this point so far? Q では、特に米国において、早い段階から私たちは米国が標的になる可能性が高いと評価していましたが、これまでのところ、米国で重要インフラへの攻撃が見られないのはなぜだと思われますか?
MS. NEUBERGER:  I can’t speak to Putin or Russian leadership’s strategic thinking regarding how cyberattacks factor in. ノイバーガー副顧問:プーチンやロシア指導部の戦略的思考について、サイバー攻撃がどのような影響を及ぼすかについて、私は言及することができません。
What I can speak to is the preparatory work we’ve been doing here in the U.S. and the fact that as soon as we have some evolving threat intelligence regarding a shift in that intention, that were coming out and raising the awareness to heighten our preparedness as well. 私たちが米国で行ってきた準備作業と、その意図の変化に関する脅威の情報が入り次第、すぐに公表し、私たちの準備態勢を強化するために意識を高めてきたという事実をお話しすることは可能です。
Q    So you can’t say declaratively that we stopped an attack, I guess I’m saying, to this point on critical infrastructure? Q つまり、重要インフラへの攻撃を阻止したと断言することはできないのですね。
MS. NEUBERGER:  Correct. ノイバーガー副顧問: その通りです。
Q    Okay.  Thank you. Q わかりました。  ありがとうございました。
MS. PSAKI:  Colleen. サキ報道官: コリーンさん。
Q    Can you explain a little bit more what preparatory activity on the part of the Russians would be?  What does that look like? Q ロシア側の準備活動とはどのようなものか、もう少し説明してもらえますか?  それはどのようなものですか?
MS. NEUBERGER:  So, preparatory activity could mean scanning websites; it could be hunting for vulnerabilities. There’s a range of activity that malicious cyber actors use, whether they’re nation state or criminals. ノイバーガー副顧問:準備活動とは、ウェブサイトをスキャンすることかもしれませんし、脆弱性を探し出すことかもしれません。悪意のあるサイバーアクターが用いる活動は、それが国家であろうと犯罪者であろうと、さまざまなものがあります。
The most troubling piece and really one I mentioned a moment ago is we continue to see known vulnerabilities, for which we have patches available, used by even sophisticated cyber actors to compromise American companies, to compromise companies around the world.  And that’s one of the reasons — and that makes it far easier for attackers than it needs to be. 最も厄介なのは、先ほど申し上げたように、パッチが提供されている既知の脆弱性が、巧妙なサイバー行為者によって利用され、米国企業や世界中の企業を危険にさらす事例が後を絶たないという点です。  そのため、攻撃者は必要以上に簡単に攻撃できるようになっています。
It’s kind of — you know, I joke — I grew up in New York — you had a lock and an alarm system.  The houses that didn’t or left the door open clearly were making it easier than they should have.  Right?  No comment about New York.  (Laughter.) 私はニューヨークで育ったのですが、鍵や警報装置があるのが当たり前でした。  そうでない家やドアを開けっ放しにしている家は、明らかに必要以上に攻撃をしやすくしているんです。  そうでしょう?  ニューヨークのことはノーコメントです。  (笑)。
So, clearly what we’re asking for is: Lock your digital doors.  Make it harder for attackers.  Make them do more work.  Because a number of the practices we include in the factsheet will make it significantly harder, even for a sophisticated actor, to compromise a network. ですから、私たちが求めているのは、はっきりとこうです。デジタルのドアに鍵をかけなさい。  攻撃者にとってより困難なものにすること。  攻撃者にもっと仕事をさせることです。  なぜなら、このファクトシートに記載されている多くの実践は、洗練された攻撃者にとっても、ネットワークを侵害することを著しく困難にするからです。
MS. PSAKI:  Go ahead. サキ報道官:続けてください。
Q    Sorry, just to be clear: The warning today, is this in response to some of these more desperate tactics we’ve seen from Russia on ground?  Are you now fearing that there might be more of a cyber risk because of what we’re seeing on the ground in Ukraine?  Q すみません、はっきりさせておきたいのですが、今日の警告は、私たちが地上で目にしたロシアのより絶望的な戦術に対応するものなのでしょうか?  ウクライナで起きていることを受けて、サイバーリスクが高まることを懸念しているのでしょうか? 
MS. NEUBERGER:  So, we’ve given a number of threat intel- — of threat warnings over the last number of weeks that Russia could consider conducting cyberattacks in response to the very significant economic costs the U.S. and partners have put on Russia in response.  This speaks to evolving threat intelligence and a potential shift in intention to do so. ノイバーガー副顧問: ここ数週間、私たちは、米国とパートナー諸国がロシアに課した多大な経済的コストに対抗して、ロシアがサイバー攻撃を行う可能性があるという脅威情報を何度も警告しています。  これは、脅威の情報が進化していることと、その意図が変化する可能性があることを物語っています。
Q    And do you have a message for individuals?  You’re talking a lot about private companies.  What about households?  Should they be worried about cyberattacks here? Q そして、個人へのメッセージはありますか?  あなたは民間企業について多くのことを語っています。  一般家庭はどうでしょうか。  サイバー攻撃について心配する必要があるのでしょうか?
MS. NEUBERGER:  The items in the factsheet apply to companies and individuals as well.  I’m specifically speaking to companies because there’s a responsibility to protect the critical services Americans rely on.  But every individual should take a look at that fact sheet because it’s a truly helpful one.  We only put in place the things that we really try to practice and work to practice ourselves. ノイバーガー副顧問:ファクトシートの項目は、企業にも個人にも適用されます。  特に企業についてお話しするのは、米国人が依存する重要なサービスを保護する責任があるからです。  しかし、このファクトシートは本当に役に立つものなので、すべての個人が目を通すべきでしょう。  私たちは、自分たちが本当に実践しようと努力したものだけを導入しています。
MS. PSAKI:  Jordan. サキ報道官:ジョーダン。
Q    Thanks.  As part of this preparatory activity, do you have evidence that Russian hackers have infiltrated the networks of U.S. companies already and just haven’t carried out the attacks? Q ありがとうございます。  この準備活動の一環として、ロシアのハッカーがすでに米国企業のネットワークに侵入しており、攻撃を実行していないだけだという証拠はあるのでしょうか?
MS. NEUBERGER:  There was — as I noted, we frequently see preparatory activity.  Whenever we do, we do sensitive warnings to the individual companies and provide them information to ensure they can look quickly at their networks and remediate what may be occurring. ノイバーガー副顧問:ありました。先ほど申し上げたように、私たちは頻繁に準備活動を目にします。  その都度、個々の企業に対して敏感な警告を行い、彼らが迅速に自社のネットワークを見て、発生している可能性があるものを修正できるように情報を提供しています。
Q    So have you seen any evidence that there have been infiltrations as part of that activity? Q では、そのような活動の一環として侵入があったという証拠を見たことがありますか?
MS. NEUBERGER:  We routinely see information about infiltrations.  Right?  Technology is not as secure as it needs to be.  I mentioned the ransomware activity.  There are multiple nation-state actors.  It’s a line of work for the intelligence community and the FBI to knock on a company’s door and say, “We’ve seen some evidence of an intrusion.  We’ll work with you.  We’ll make these resources available via a regional office to work with you to help you recover.”  That’s — that’s pretty routine practice.  ノイバーガー副顧問:私たちは日常的に侵入に関する情報を目にしています。  そうでしょう?  テクノロジーは必要なほど安全ではありません。  ランサムウェアの活動については触れました。  国民国家のアクターは複数存在します。  情報機関やFBIが企業のドアを叩いて、「侵入の証拠を見つけました」と言うのは一種の仕事です。  私たちはあなたと一緒に仕事をします。  地域事務所を通じて、復旧に必要なリソースを提供します」と言うのです。  これはごく日常的なことです。 
What we’re seeing now is an evolving threat intelligence to conduct potential cyberattacks on critical infrastructure.  And that raises up a point because we’re concerned about potential disruption of critical services. 今、私たちが目にするのは、重要インフラに対する潜在的なサイバー攻撃を行うための脅威情報が進化していることです。  私たちは、重要なサービスが中断される可能性を懸念しているため、この点が重要なのです。
MS. PSAKI:  Ken. サキ報道官: ケン。
Q    Anne, you did a briefing for us about a month ago.  Do you think the U.S. banking system is more vulnerable, less vulnerable since the briefing, given the warnings that the government has produced? Q アン、あなたは1ヶ月ほど前に私たちのためにブリーフィングを行いましたね。  政府が出した警告を踏まえて、ブリーフィング以降、米国の銀行システムはより脆弱になったと思いますか、あるいは脆弱ではなくなったと思いますか?
MS. NEUBERGER:  The U.S. banking sector truly takes cyber threats seriously, both individually and as a group.  Treasury has worked extensively with the sector to share sensitive threat intelligence at the executive level, at the security executive level, repeatedly at the classified and unclassified level.  So, I do not believe they’re more at risk, but it is always important for every critical infrastructure sector to double down in this heightened period of geopolitical tension to carefully look at any threat. ノイバーガー副顧問:米国の銀行セクターは、個人としてもグループとしても、サイバーの脅威を真摯に受け止めています。  財務省は銀行セクターと幅広く協力し、機密性の高い脅威情報を役員レベル、セキュリティ担当役員レベル、機密・非密室レベルで繰り返し共有してきました。  しかし、地政学的な緊張が高まっている今、あらゆる重要なインフラ部門にとって、あらゆる脅威を慎重に見極め、対策を強化することが常に重要です。
MS. PSAKI:  Go ahead. サキ報道官: どうぞ。
Q    Can you paint a worst-case scenario picture for us?  What exactly are you most worried about if people — the private sector chooses to not take these steps? Q 最悪のシナリオを描いていただけませんか?  民間企業がこうした措置をとらなかった場合、具体的に何が最も心配なのでしょうか?
MS. NEUBERGER:  Clearly, what we’re always — I won’t get into hypotheticals, right?  But the reason I’m here is because critical infrastructure — power, water, many hospitals — in the United States are owned by the private sector.  And while the federal government makes extensive resources available — I mentioned FBI’s 56 regional offices — you can just walk in; CISA has offices near most FEMA sites in the United States.  They’ve had their Shields Up program.  We can make those resources available.  For those sectors where we can mandate measures like oil and gas pipelines, we have.  But it’s ultimately the private sector’s responsibility, in our current authority structure, to do those steps, to use those resources to take those steps.  ノイバーガー副顧問:明らかに、私たちはいつも - 仮説には立ち入りませんね?  しかし、私がここにいるのは、米国の重要なインフラ(電力、水、多くの病院)が民間企業によって所有されているからです。  FBIの56の地域事務所を紹介しましたが、CISAは全米のほとんどのFEMA施設の近くに事務所を構えており、そこに行けばすぐに利用できます。  また、CISAは全米のほとんどのFEMA施設の近くにオフィスを構えており、「シールドアップ・プログラム」を実施しています。  このようなリソースを利用することができます。  石油やガスのパイプラインのように、私たちが対策を義務付けることができる分野では、そうしています。  しかし、現在の権限構造では、対策を講じたり、対策に必要なリソースを利用したりするのは、最終的には民間企業の責任です。 
So, the purpose here is to say: Americans rely on those critical services.  Please act.  And we’re here to support with the resources we have. つまり、ここでの目的は、こう言うことなのです。アメリカ人はこれらの重要なサービスに依存しています。  どうか行動を起こしてください。  そして、私たちは持てるリソースでサポートします。
MS. PSAKI:  Kayla, last one. サキ報道官: カイラ、最後です。
Q    Thank you.  Anne, are you still seeing the Russians carrying out cyberattacks inside Ukraine?  It’s been a few weeks since we’ve been discussing that in particular. Q ありがとうございます。  アン、ロシアはまだウクライナ国内でサイバー攻撃を行っているのでしょうか?  特にそれについて議論していたのは数週間前のことです。
And as financial tools levied by the West have proven ineffective, what cyber tools does the West have that it can possibly utilize? また、西側諸国が行使する金融手段は効果がないことが証明されていますが、西側諸国が活用できる可能性のあるサイバーツールは何でしょうか?
MS. NEUBERGER:  We do continue to see Russia conducting both — as you know, right? — significant malicious activity in Ukraine; major kinetic attacks, which have disrupted and killed lives; as well as cyber activity.  And we believe the unprecedented economic costs the United States and partners have levied is significant in that way.  ノイバーガー副顧問:ロシアは引き続き、ご存じのように、両方の活動を展開していますね。- ウクライナにおける重大な悪意ある活動、人命を危険にさらす大規模な運動攻撃、そしてサイバー活動。  そして、米国とパートナー諸国がこれまでにない経済的犠牲を払っていることは、その意味で重要であると考えています。 
With regard to your question about whether cyberattacks would change that: I think the President was very clear we’re not looking for a conflict with Russia.  If Russia initiates a cyberattack against the United States, we will respond. サイバー攻撃で変わるかどうかという質問については、その通りです。大統領は、私たちがロシアとの紛争を望んでいるわけではないことを明確に述べたと思います。  ロシアが米国に対してサイバー攻撃を仕掛けた場合、我々は対応することになります。
MS. PSAKI:  Thank you, Anne, so much for joining us. サキ報道官:アン、ありがとうございました。
MS. NEUBERGER:  Thank you.  Thank you for having me.  ノイバーガー副顧問:ありがとうございます。  お招きいただき、ありがとうございます。 

| | Comments (0)

ハーバード ベルファーセンター 大いなる経済的ライバル:中国vs.米国

こんにちは、丸山満彦です。

今後の世界の安全保障を考える上で、中国と米国の経済力や金融の影響力を考えることは重要だろうと思います。ハーバード・ベルファーセンターが報告書を公表しています。

国内総生産」、「貿易」、「ビジネス・投資」、「金融」の4つの視点で検討していますね。。。

 

Harvard Kennedy School Belfer Center for Science and International Affairs

・2022.03.23 The Great Economic Rivalry: China vs the U.S.

・[PDF]

20230210-174224

 

The Great Economic Rivalry: China vs the U.S. 経済的な大競争 中国vs.米国
Executive Summary 要旨
20230210-151844
For the first time since the U.S. overtook Great Britain in the 1870s to become the leading economy in the world, the U.S. now faces an economic rival that is as large, and by some measures, larger than it is. This chapter examines China’s record of closing the gap with the U.S. in most economic races, and even overtaking it in some. Our analysis focuses on four pillars of economic power: GDP, trade, business and investment, and finance. GDP creates the substructure of power in relations among nations. While the race is not always to the swift, nor the battle to the strong, nations with larger GDPs have historically exercised greater power in international relations. As Adam Smith taught us, trade enriches both seller and buyer, creating a larger pie for everyone. But it also creates webs of asymmetrical interdependence that advantage some over others. Investments by businesses in manufacturing reflect their judgments about where they can produce the best product at the lowest price. While no one denies that these choices have consequences for the relative manufacturing strength of one nation over another, that is not the business of businesses. Financial firms are rewarded for earning the highest returns at the lowest risk for their clients – without regard to the impact this has on the growth of some nations’ economies at the expense of others. 1870年代に米国が英国を抜いて世界一の経済大国となって以来、初めて、米国は現在、米国と同規模、場合によってはそれ以上の経済的ライバルに直面している。本章では、ほとんどの経済競争において米国との差を縮め、いくつかの競争では米国を追い越している中国の記録を検証する。本章では、経済力の4つの柱に焦点をあてて分析を行う。GDP、貿易、ビジネスと投資、金融である。GDPは国家間の関係においてパワーの下部構造を形成する。競争は常に迅速で、戦いは強いとは限らないが、GDPが大きい国は歴史的に国際関係でより大きな力を行使してきた。アダム・スミスが説いたように、貿易は売り手と買い手の双方を豊かにし、すべての人にとってより大きなパイを生み出す。しかし、貿易は非対称的な相互依存の網を構築し、あるものを他のものよりも有利にすることもある。企業の製造業への投資は、どこで最も良い製品を最も安く生産できるかという判断の反映である。こうした選択が、ある国の製造業の相対的な強さに影響を与えることは誰も否定しないが、それは企業のビジネスではない。金融会社は、顧客のために最小のリスクで最大のリターンを得ることで報酬を得る。このことが、他国を犠牲にしてある国の経済を成長させるという影響を考慮する必要はないのだ。
Having reviewed the evidence about the relative performance of China and the U.S. over the past generation, we report eight bottom lines up front: 過去数世代にわたる中国と米国の相対的なパフォーマンスに関する証拠を検討した結果、我々は8つのボトムラインを報告する。
・China’s sustained “miracle economic growth” over the past four decades at an average rate four times that of the U.S. has redefined the global economic order. ・中国は過去40年間、米国の4倍の平均成長率で「奇跡の経済成長」を続け、世界経済秩序を再定義した。
・When measured by the traditional yardstick – market exchange rate – since 2000, China’s GDP has soared from $1.2 trillion to $17.7 trillion. On the current trajectory, it will overtake the U.S. within a decade. By the yardstick both the CIA and the IMF judge to be the best metric for comparing national economies – purchasing power parity – China has already surpassed the U.S. to become the world’s largest economy. ・2000年以降、中国のGDPは1.2兆ドルから17.7兆ドルへと急成長した。このままでは、10年以内に米国を追い抜くことになる。CIAとIMFが国家経済を比較するための最良の指標と判断している購買力平価では、中国はすでに米国を抜いて世界一の経済大国になっている。
・China has displaced the U.S. to become the manufacturing workshop of the world. ・中国は米国を追い越し、世界の製造工場となった。
・China has overtaken the U.S. to become the No. 1 trading partner of most nations in the world. ・中国は米国を抜いて、世界のほとんどの国にとってNo.1の貿易相手国になった。
・China has established itself as the most essential link in the world’s critical global supply chains. ・中国は世界の重要なグローバル・サプライ・チェーンの中で最も重要なリンクとしての地位を確立した。
・China has replaced the U.S. as the primary engine of global economic growth. Since the 2008 financial crisis, one-third of all growth in the world’s GDP has occurred in just one country: China. ・中国は米国に代わって世界経済成長の主要な原動力となった。2008年の金融危機以来、世界のGDP成長の3分の1は、たった一国で起きている。中国である。
・In 2020, China supplanted the U.S. as the home to the largest number of the most valuable global companies on Fortune’s Global 500 for the first time. It has also rivaled the U.S. as the leading country in attracting foreign investment and is neck and neck with the U.S. in gross R&D investments. ・2020年には、中国は初めて米国に代わって、Fortune誌のGlobal 500にランクインする最も価値のあるグローバル企業の本拠地となりました。また、海外投資誘致でも米国に匹敵し、研究開発総投資額でも米国に肉薄している。
On the other hand, the dollar remains the world’s dominant reserve currency, accounting for 60% of foreign exchange reserves. While Beijing’s aspirations and progress deserve careful attention, America retains its lead in several key arenas: the dollar remains the preferred currency for cross-border transactions, U.S. equity markets remain the world’s largest, and the U.S. retains a significant lead in venture capital investments. Moreover, as the society that attracts the most talented inventors and entrepreneurs in the world and gives them the freedom and opportunity to realize their dreams, the U.S. remains unrivaled. 一方、ドルは依然として世界の基軸通貨であり、外貨準備の6割を占めている。北京の躍進は注目に値するが、米国はクロスボーダー取引に適した通貨であること、米国の株式市場は世界最大であること、ベンチャーキャピタル投資において米国は大きなリードを保っていることなど、いくつかの重要な分野でリードを保っている。さらに、米国は世界で最も優秀な発明家や起業家を惹きつけ、彼らに夢を実現する自由と機会を与える社会として、他の追随を許さない存在であり続けている。

 

 

 

目次...

Executive Summary エグゼクティブサマリー
I. A Rising China I. 台頭する中国
II. Trendlines in the 21st Century II. 21世紀のトレンドライン
Gross Domestic Product 国内総生産
Market Exchange Rate 市場為替レート
Purchasing Power Parity 購買力平価
Trade 貿易
Global Trade 世界貿易
Global Manufacturing 世界の製造業
Business & Investment ビジネス・投資
Global Corporations グローバル企業
Foreign Direct Investment 海外直接投資
Research & Development 研究開発
Finance 金融
Dollar Dominance ドルの優位性
Equity Markets and Banking 株式市場と銀行業務
III. What about the Future? III. 未来はどうなる?

 

 

国内総生産...

20230210-151756

 

ビジネス...

グリーンエネルギー関連のサプライチェーンにおける中国資本のシェア...

20230210-151957

 

 

フォーチュン500企業の国別内訳...

20230210-152134

 

米国と中国の研究開発投資...

20230210-152320

 

 

通貨の影響力...

20230210-152542

 

 

III. What about the Future?  III. 未来はどうなる?
Looking ahead, what does the future hold? Everyone agrees that, over the decade ahead, China will grow more slowly than it has in the past four. But since the focus of this report is the rivalry between the U.S. and China, the central issue is whether China’s economy will continue growing at twice or more the rate of the U.S.? As the warning on the standard investment prospectus cautions: past performance is no guarantee of future results.  さて、今後の展望はどうだろうか。今後10年間、中国が過去4年間よりもゆっくりと成長することは誰もが認めるところである。しかし、本報告書の焦点は米中の対立であるから、中国経済が米国の2倍以上の成長を続けるかどうかが中心的な論点となる。一般的な投資目論見書の注意書きにあるように、過去の実績は将来の結果を保証するものではない。
Five years ago as President Trump was taking office, I addressed this question. To quote Destined For War: Can America and China Escape Thucydides’s Trap: “As I write this, the favorite story line in the Western press about the Chinese economy is ‘slowdown’. A word-cloud search of reports on the Chinese economy from 2013 to 2016 in the elite press finds that this is the most frequently used word to describe what is happening there.113 The question few pause to ask is slowing compared to whom? Over the same period, the American press’s favorite adjective to describe American economic performance has been ‘recovering.’”114  5年前、トランプ大統領が就任した頃、私はこの問いを取り上げた。戦争への運命:アメリカと中国はトゥキディデスの罠から逃れられるか?を引用すると、「これを書いている今、中国経済について欧米のマスコミが好んで使うのは『減速』である。2013年から2016年にかけての中国経済に関するエリート記者たちの報道をワードクラウドで検索してみると、この言葉がそこで起きていることを説明するために最も頻繁に使われていることがわかる113。同時期に、アメリカの報道機関がアメリカの経済パフォーマンスを表現するために好んで使う形容詞は『回復』であった114。
Five years on we can now see how China’s “slowdown” compared to the America’s “recovery.” China’s annual growth averaged 6%; the U.S., 2%.  5 年後の今、我々は中国の「減速」がアメリカの「回復」と比べてどうだったかを見ることができる。中国の年平均成長率は6%、アメリカは2%である。
Looking in cloudy crystal balls today, the future appears even more uncertain than it did then. Will Xi Jinping’s current campaign to reign in excesses of the private sector and extend the Party more deeply into the economy succeed? As Lee Kuan Yew told Xi candidly, China’s existing 20th century operating system is not fit for service in the 21st century. How long will the current CCP regime sustain its “mandate from heaven” to govern? If it proves no more successful than previous dynasties that have ruled China over the past several thousand years, since it came to power in 1949, it is already past its expiration date (given their average life span of 70 years).115 Facing all these unknowns, one is tempted to quote Yogi Berra’s caution against making predictions “especially about the future”—and punt.  今、曇り空の水晶玉を見ると、当時よりもさらに未来は不透明なように見える。習近平が現在進めている、民間の行き過ぎを抑制し、党を経済に深く浸透させる運動は成功するのだろうか。リー・クアンユーが習近平に率直に言ったように、20世紀型の中国の運営システムは21世紀には通用しない。中国共産党の現体制はいつまで「天命」を維持できるのだろうか。 1949年の政権発足以来、数千年にわたり中国を統治してきた歴代王朝と同じように成功しないとすれば、(平均寿命が70年であることから)すでにその賞味期限は切れていることになる115。このような未知の要素を前にすると、ヨギ・ベラの「特に未来について」予測することを避けるようにという言葉を引用して、「パント(punt)」としたくなる。
Nonetheless, in the real world, many actors have to make their bets. Investment firms seeking to earn the highest risk-adjusted returns for their investors can invest more of their portfolios in China—or less. Global corporations seeking to manufacture the highest quality products at the lowest cost can expand production in China—or build factories elsewhere. Retailer can build additional outlets in Chinese cities—or focus on other markets. Political leaders making choices about their economic relations with both China and the U.S. can hedge, but often have to choose. Thus, this chapter concludes with a summary of key considerations emphasized by those who are grappling with these difficult choices but coming to competing conclusions.  しかし、現実の世界では、多くの主体が賭けに出なければならない。投資家に対して最高のリスク調整後リターンを得ようとする投資会社は、中国への投資を増やすこともできるし、減らすこともできる。最高品質の製品を最低のコストで製造しようとするグローバル企業は、中国での生産を拡大することも、別の場所に工場を建設することも可能である。小売業者は、中国の都市に新たな店舗を建設することも、他の市場に注力することもできる。中国と米国の両方との経済関係について選択を迫られる政治指導者は、ヘッジすることもできるが、多くの場合、選択を迫られる。このように、本章では、こうした難しい選択に取り組みながらも、相反する結論に至っている人々が強調している重要な検討事項を要約して締めくくられている。
The watchword for the Chinese government on the road to this November’s Party Congress at which plans call for Xi to become the new “emperor” for life has been: “stability.”116 The categorical imperative has been: don’t rock the boat. Thus, the array of major initiatives the Chinese government has taken recently to shift the balance of power between the private sector and the government has taken observers by surprise. Reigning in visible high-flying entrepreneurs, regulating its “platform monopolies,” attempting to lance its real estate bubble, and other interventions summarized in the chart below have caused turbulence that will predictably slow economic growth. Nonetheless, as Xi has repeatedly insisted: The Party rules the economy, the Party rules the society, the Party rules everything.  今年11月に開催される党大会で習近平を終身「皇帝」にすることが計画されているが、そのための中国政府の合言葉は「安定」であった116 。つまり、「船を揺らすな」ということである。そのため、中国政府は最近、民間企業と政府の間のパワーバランスを変えるために、様々な主要なイニシアチブを取っており、観察者たちを驚かせている。目に見える高飛車な企業家の抑制、「プラットフォーム独占」の規制、不動産バブルの沈静化など、下表にまとめたような介入は乱気流を引き起こし、経済成長を鈍化させることは目に見えている。しかし、習近平が繰り返し主張しているように、「党が経済を支配する。党が経済を支配し、党が社会を支配し、党がすべてを支配する。
The ferocity of this campaign has provided red meat for China bears predicting the end of Beijing’s years of meteoric growth. And, of course, they may be right. As Stein’s law states: a trend that cannot continue forever won’t. Nonetheless, those who have followed this debate will remember how often the impending crash of China’s economic miracle has been predicted over the past three decades. After the brutal crackdown on protestors in Tiananmen Square in 1989, The Economist informed its readers that the end was nigh: “the bell tolls for Deng.”117 In 2003, a celebrated book by Gordon Chang entitled The Coming Collapse of China forecasted that the “People’s Republic of China would fall” by 2011.118 And China scholar David Shambaugh has earned the nickname “Dr. Doom” for his forecast of an imminent “Chinese crackup” —a claim he has repeated annually for almost two decades.119  このキャンペーンは、北京の急成長の終わりを予測する中国のクマの肉となった。そして、もちろん、彼らは正しいかもしれない。スタインの法則にあるように、永遠に続くことのないトレンドは続かないのである。とはいえ、この議論を追ってきた人なら、過去30年間、中国の経済的奇跡の崩壊が差し迫ったものとして、何度も予測されてきたことを思い起こすだろう。1989 年の天安門事件の後、The Economist 誌は、「鄧小平のために鐘は鳴る」117 と、その終焉が近いことを読者に伝えた。2003 年、ゴードン・チャンは『来るべき中国崩壊』と題する名著で、2011 年までに「中華人民共和国は崩壊する」と予言した118 。また、中国研究者のデビッド・シャンボーは、「中国の崩壊」が迫っていると予測し、「ドゥーム博士」と呼ばれるようになり、この主張を 20 年近く毎年繰り返している119 。
Many observers, especially those quoted most frequently in the elite American press, believe that the end of China’s economic miracle growth has finally arrived. They are thus betting against China’s growing at twice the rate of the U.S. in the decade ahead. In explaining their judgment, most begin by highlighting new risks caused by the government’s recent overreach into the private sector. Autocratic paranoia risks strangling the golden geese that have long fueled economic growth.120 Xi’s crackdown on entrepreneurs like Jack Ma of Alibaba or Zhang Yiming of ByteDance (the parent company of TikTok) and tightening of oversight of web-based services like Ant and Didi have dampened the “animal spirits” of entrepreneurs and innovators that Keynes identified as a major driver of growth. The campaign against big tech erased more than $1.5 trillion from the value of Chinese stocks in the past year and spurred backdoor capital flight.121  多くのオブザーバー、特にアメリカのエリートマスコミで最も頻繁に引用されている人たちは、中国の経済的奇跡の成長の終わりがついに来たと考えている。そのため、彼らは今後10年間に中国が米国の2倍の経済成長を遂げることに賭けている。その判断の根拠として、まず、最近の政府の民間企業への過剰な介入による新たなリスクを強調するものが多い。独裁的なパラノイアは、長い間、経済成長を支えてきた金色の雁を絞め殺す危険性がある120。習近平は、アリババのジャック・マーやバイトダンス(TikTokの親会社)のチャン・イーミンのような起業家を取り締まり、アントやディディといったウェブサービスに対する監視を強化しており、ケインズが成長の主要な推進力とした起業家や革新者の「動物精神」を減衰させている。大手ハイテク企業に対するキャンペーンは、過去1年間に中国株の価値から1兆5千億ドル以上を消し去り、裏口の資本逃避に拍車をかけた121。。
The “no” sayers also emphasize the three structural Ds at the top of Vice Premier Liu He’s list of “17 insurmountable challenges:” demographics, debt, and serious damage to the environment. With a population that is peaking and aging, as the cliche goes: China could grow old before it gets rich. On current trends, its workforce could shrink by 200 million by 2035.122 Over the decade and a half since the great financial crisis, China’s total debt (both government and private) has doubled from 140% of GDP to 280%.123 The ongoing collapse of Evergrande is just the tip of the iceberg of a property bubble. And China’s single-minded focus on economic growth without much attention to externalities has left deep scars on the environment.  また、劉鶴副総理が「17の克服すべき課題」として挙げた「人口動態」「負債」「環境破壊」という3つの「構造D」を「ノー」とする人々もいる。人口がピークに達し、高齢化が進む中国では、よく言われるように、「豊かになる前に老いる」可能性がある。中国は豊かになる前に老いるかもしれない。現在の傾向では、2035年までに労働人口が2億人減少する可能性がある122。大金融危機から10年半の間に、中国の総負債(政府と民間の両方)はGDPの140%から280%に倍増した123。現在進行中のエバーグランドの破綻は、不動産バブルの氷山の一角に過ぎない。また、中国は外部性にあまり目を向けず、経済成長一辺倒で、環境に深い傷跡を残している。
In addition to this canonical list, China’s economy faces additional potential headwinds from growing hostility from the U.S. and other countries that could impact their willingness to depend on China for products or to invest in its future growth. According to the chief China economist at the world’s largest wealth manager—UBS—the “biggest risk to China’s outlook in the next few years” comes from “rising geopolitical tensions, especially the worsening U.S.-China relationship.” Trade wars could result in selective decoupling from China, reducing opportunities for technology transfer, limiting Chinese firms’ investment options, and slowing the flow of capital into China. UBS estimates that decoupling in the technology sector alone could lower Chinese growth by as much as 0.5% per year.124  このような典型的なリストに加え、中国経済は、米国やその他の国々の敵意の高まりによる潜在的な逆風に直面しており、中国への製品依存や将来の成長への投資意欲に影響を与える可能性がある。世界最大の資産運用会社UBSの中国担当チーフエコノミストによれば、「今後数年間における中国の見通しに対する最大のリスク」は「地政学的緊張の高まり、特に米中関係の悪化」によるものであるとしています。貿易戦争は、中国からの選択的デカップリング、技術移転の機会の減少、中国企業の投資オプションの制限、中国への資本流入の鈍化をもたらす可能性があります。UBS は、技術分野でのデカップリングだけでも、中国の成長率を年率 0.5%程度低下させる可能性があると推定している124。
In sum: there are many sound reasons for concluding that China’s economy will not grow over the next decade at a rate twice that of the U.S.  On the other hand, the majority of those who cannot avoid making bets about China’s economic future are still answering “yes” to our question. They expect that over the 2020s, China will continue growing at more than twice the rate of the U.S. The first factor they point to is that to win this bet, China only has to run twice as fast as the U.S. No one expects the U.S. economy to grow at more than 2% annually (once the 3.5% decline caused by the COVID pandemic in 2020 and subsequent recovery in 2021 and 2022 are taken into account). The Congressional Budget Office projects U.S. GDP to grow at an average of 1.8% per year from 2021-2031, while the IMF expects U.S. GDP to grow at no more than 1.7% per year after 2023.125 In contrast, the IMF, CEBR, and other economic forecasters expect China to average 4.5–5% growth between now and 2030.126  つまり、今後10年間、中国経済が米国の2倍のペースで成長することはないと結論づけるには、多くの正当な理由があるのである。 一方、中国の経済的将来について賭けをしないではいられない人々の大多数は、我々の質問に対して「イエス」と答えている。彼らは、2020年代にかけて、中国は米国の2倍以上の成長を続けるだろうと予想している。米国経済が年率2%以上の成長を遂げるとは誰も予想していない(2020年のCOVIDパンデミックによる3.5%の落ち込みとその後の2021年、2022年の回復を考慮すれば)。米国議会予算局は、2021年から2031年までの米国GDPの成長率を年平均1.8%と予測しており、IMFは、2023年以降の米国GDPの成長率は年1.7%を超えないとしている125。一方、IMF、CEBR、その他の経済予測家は、中国は現在から2030年の間に平均4.5~5%の成長を遂げると予想している126。
Second, while China faces daunting challenges today, it faced daunting challenges a decade ago, and a decade before that. Its track record in “surmounting the insurmountable,” as some Chinese put it, is hard to deny. Moreover, the team that China’s government has addressing these challenges has analyzed them in greater detail and with more insight than any Western expert we have read. While China’s “zero tolerance” strategy for containing the COVID pandemic is a favorite target amongst Western commentators, the Chinese remind critics that only one major economy in the world escaped this plague without a single year of negative economic growth. Who managed the coronavirus pandemic  第二に、中国は現在困難な課題に直面しているが、10年前も、その前の10年も困難な課題に直面し ていた。一部の中国人が言うように、「乗り越えられないものを乗り越えた」実績は否定しがたい。さらに、中国政府がこれらの課題に取り組んでいるチームは、我々が読んだどの欧米の専門家よりも詳細かつ洞察力に富んだ分析を行っている。中国のコビドパンデミック抑制のための「ゼロ・トレランス」戦略は、欧米のコメンテーターのお気に入りのターゲットであるが、中国人は、世界の主要経済国でこの疫病から逃れ、一度も経済成長がマイナスにならなかった国はただ一つであることを批評家に思い出させている。コロナウイルスのパンデミックを管理したのは誰だ?
in 2020 with positive GDP growth and a per capita death rate 1/800th that of the of the U.S., as the rest of the world’s major economies fell into recessions, they ask.127 The competence of Xi’s team, on the one hand, and the instruments their authoritarian government has available for addressing them, on the other, gives China more degrees of freedom to meet challenges than most other governments.128 For example, when the air in Beijing became a serious health risk, the Chinese government simply banned burning coal in factories and homes in the Beijing district. As viewers of the February Beijing Winter Olympics saw, the sky over Beijing was blue. To address a worker shortage caused by its earlier one- child policy, the government is likely to extend its retirement age from 60 to 65.  世界の他の主要経済国が不況に陥る中、2020 年に GDP がプラス成長し、一人当たりの死亡率が米国の 800 分の 1 になることを目指す、とのことである127 。習近平チームは有能であり、権威主義的な政府はそれに対処するための手段を備えているため、中国は他の多くの政府よりも課題に対処する自由度が高い128。例えば、北京の空気が深刻な健康リスクになったとき、中国政府は北京地区の工場や家庭での石炭の燃焼を簡単に禁止した。2月の北京冬季オリンピックの視聴者が見たように、北京の空は青かった。先の一人っ子政策による労働者不足に対処するため、政府は定年を60歳から65歳に延長するようだ。
Third, optimists about China’s future economic prospects point to China’s success in strengthening its position as the most critical link in vital global supply chains. Despite the rhetoric about decoupling, foreign economies have become more dependent on China during the coronavirus pandemic, not less. China’s trade surplus with the world hit a record $675 billion in 2021, a 60% increase from pre-pandemic levels in 2019.129 As discussed above, China is now the world’s largest manufacturer and exporter of scores of essential goods, including 90% of refined rare earth minerals, 80% of solar panels, 50% of computers, and 45% of electric vehicles.130 Despite China’s worsening geopolitical relations with other major nations, fear of economic consequences will, they believe, deter most companies and countries from joining any serious effort to constrain China’s economy.  第三に、中国の将来の経済的見通しについて楽観的な人たちは、中国が重要なグローバルサプライチェーンの最も重要なリンクとしての地位を強化することに成功したことを指摘している。デカップリングというレトリックにもかかわらず、コロナウイルスの大流行で海外経済の中国への依存度は低下するどころか、より高まっている。前述のように、中国は現在、精製レアアース鉱物の90%、ソーラーパネルの80%、コンピューターの50%、電気自動車の45%など、多数の必須商品の世界最大の製造・輸出国である130。中国は他の主要国との地政学的関係を悪化させているが、経済的影響を恐れて、ほとんどの企業や国が中国経済を抑制するための真剣な努力に加わることを抑止すると彼らは考える。
Finally, those betting “yes” say: follow the “smart money.” Over the past several years, including 2021, the world’s most successful technology, manufacturing, and investment firms have doubled down on their bets on China—despite worsening U.S.–China geopolitical relations. China’s middle class currently numbers 400 million and is expected to grow by an additional 400 million by 2035.131 This will unleash a wave of consumer spending that will make China not only most companies’ preferred location for production, but also their largest consumers’ market. In 2021, nearly half of the one million EVs produced by Tesla were made in its Shanghai factory and sold to Chinese buyers.132 In 最後に、「イエス」に賭ける人たちは、「スマートマネー」に従えと言う。2021年を含む過去数年間、世界で最も成功しているテクノロジー企業、製造企業、投資企業は、米中間の地政学的関係の悪化にもかかわらず、中国への賭けを倍増してきた。中国の中産階級は現在 4 億人であり、2035 年までにさらに 4 億人増えると予想されている131 。このことは個人消費 の波をもたらし、中国は多くの企業にとって好ましい生産拠点となるだけでなく、最大の消費者市場ともなる。2021年、テスラが生産する100万台のEVのうち、ほぼ半分が上海工場で生産され、中国の購買者に販売された132。
Elon Musk’s words: “China in the long term will be our biggest market, both where we make the most number of vehicles and where we have the most number of customers.” 133 This view is shared by the CEO of the world’s most valuable company by market share, who says directly: “We are investing in China not just for next quarter or the quarter after, but for the decades ahead...China will be Apple’s top market in the world.”134 The world’s largest coffee chain—Starbucks—is now opening a new store in China every twelve hours.135 And the world’s largest asset manager with $10 trillion of assets under management (BlackRock), the largest hedge fund in the world (Bridgewater), and leading international banks including Goldman Sachs and JPMorgan have all also increased their stake in China throughout the last two years.  イーロン・マスクの言葉 「長期的には中国が最大の市場となるだろう。最も多くの自動車を製造し、最も多くの顧客を抱える国である。133 この見解は、シェアで世界一価値のある企業の CEO も共有しており、直接的にこう語っている。「私たちは、次の四半期やその次の四半期のためだけでなく、今後数十年のために中国に投資している...中国はアップルの世界一の市場になるだろう」134。世界最大のコーヒーチェーン、スターバックスは、現在、12時間ごとに中国に新店舗をオープンしている135。そして、10 兆ドルの運用資産を持つ世界最大の資産運用会社(ブラックロック)、世界最大のヘッジ ファンド(ブリッジウォーター)、ゴールドマン・サックスや JP モルガンなどの大手国際銀行も、この 2 年間で中国への出資を増やしている。
In sum, the consensus among major forecasters is that after the 3.4% decline caused by the pandemic in 2020 and recovery to 5.7% in 2021 and 3.9% in 2022, U.S. economic growth will average less than 2% thereafter.136 In comparison, Chinese growth will decline from the 8.1% it saw in 2021 to 5.0% in 2022 and 4.5% for the remainder of the decade. If these forecasts prove to be correct, by the end of the decade, even when measured by the traditional market exchange rate, press headlines will be forced to declare: China is No 1.137  つまり、米国の経済成長率は、2020年にパンデミックによって3.4%低下し、2021年に5.7%、2022年に3.9%と回復した後、その後は平均2%を下回るというのが主要予測機関の一致した見方である136。これに対して、中国の成長率は2021年の8.1%から2022年には5.0%、残りの10年間は4.5%に低下する。この予測が正しければ、10年後には、従来の市場為替レートで測定しても、マスコミの見出しはこう宣言せざるを得ないだろう。中国は一番。137 
Readers can consider the evidence and make their own bets. For the past six decades, the world’s most successful investor has made fortunes for his shareholders on the basis of “Buffet’s bet.” As Warren Buffett told his Berkshire Hathaway shareholders in a 2021 letter: “In its brief 232 years of existence...there has been no incubator for unleashing human potential like America. Despite some severe interruptions, our country’s economic progress has been breathtaking... Our unwavering conclusion: Never bet against America.”138  読者はその証拠を検討し、自分自身で賭けをすることができる。過去 60 年間、世界で最も成功した投資家は、「バフェットの賭け」に基づいて、株主のために財を成 してきた。ウォーレン・バフェットは2021年の手紙の中で、バークシャー・ハサウェイの株主たちにこう語っている。「232年の短い歴史の中で...アメリカほど人間の可能性を解き放つインキュベーターはなかった。いくつかの深刻な中断にもかかわらず、わが国の経済的進歩は息をのむほどである......。私たちの揺るぎない結論。アメリカに対して決して賭けてはならない」138 

 

113  The word “cloud” was generated on the Factiva database, using all headlines from the New York Times, Wall Street Journal, and Financial Times from October 25, 2013, through October 25, 2016, featuring the words “China” and “growth,” or “GDP,” or “economy.”

114  Graham Allison, Destined for War, 12.

115  Yuhua Wang, “What Can the Chinese Communist Party Learn from Chinese Emperors?” To appear in The China Questions: Critical Insights into a Rising Power, https://scholar.harvard.edu/files/yuhuawang/files/wang_yuhua_ what_can_the_chinese_communist_party_learn.pdf

116  “In China, the Economic Buzzword for 2022 is Stability,” Wall Street Journal, January 17, 2022. https://www.wsj.com/articles/china-economy-plans-2022-stability-11642131322

117  “The bell tolls for Deng,” The Economist, April 22, 1989.

118  Gordan Chang, The Coming Collapose of China, Arrow, 2003.

119  David Shambaugh, “The Coming Chinese Crackup,” Wall Street Journal, March 6, 2015, https://www.wsj.com/articles/ the-coming-chinese-crack-up-1425659198; Ian Johnson, “Q. and A.: David Shambaugh on ‘China’s Future’” New York Times, May 30, 2016, https://www.nytimes.com/2016/05/31/world/asia/china-future-david-shambaugh.html.

120  “Techlash with Chinese characteristics: China seems intent on decoupling its companies from Western markets,” The Economist, July 10, 2021, https://www.economist.com/business/2021/07/10/china-seems-intent-on- decoupling-its-companies-from-western-markets.

121  Indeed, China’s balance of payments sheet suggests that backdoor capital outflows have worsened despite tightened capital controls. See: Nathaniel Taplin, “‘Back Door’ Capital Outflows Should Worry Beijing,” Wall Street Journal, October 14, 2019, https://www.wsj.com/articles/back-door-capital-outflows-should-worry- beijing-11571051723;

122  David Dollar, “How domestic economic reforms in China can ease tensions between Washington and Beijing,” Brookings, December 15, 2020, https://www.brookings.edu/blog/order-from-chaos/2020/12/15/how-domestic- economic-reforms-in-china-can-ease-tensions-between-washington-and-beijing; “Fertility rate, total (births per woman) – China,” The World Bank, Accessed July 16, 2021, https://data.worldbank.org/indicator/SP.DYN.TFRT. IN?locations=CN.; https://hbr.org/2019/09/can-china-avoid-a-growth-crisis

123  Michael Pettis, “Debt, not demographics, will determine the future of China’s economy,” Fortune, June 17, 2021, https://fortune.com/2021/06/17/china-census-population-change-debt-economy/; Katie Holliday, “China’s
debt soars to 250% of GDP,” CNBC, July 21, 2014, https://www.cnbc.com/2014/07/21/chinas-debt-to-gdp-ratio- breaks-250-of-gdp.html.; “China’s debt is 250% of GDP and ‘could be fatal’, says government expert,” The Guardian, June 16, 2016. Responses to the pandemic will likely have shifted this proportion in China’s favor. Emre Tiftik, Paul Della Guardia, Jadranka Poljak, and Katherine Standbridge, “IIF Weekly Insight Surging Global Debt: What’s Owed to China?” Institute of International Finance, May 14, 2020, https://www.iif.com/Portals/0/Files/ content/1_200514%20Weekly%20Insight.pdf.

124  Tao Wang, Ning Zhang, William Deng, Jennifer Zhong, Aaron Luo, Katharine Jiang, “China Economic Perspectives: The Case for China,” UBS, August 31, 2020.

125  “CBO Releases New 10-Year Economic Projections,” February 2, 2021. Committee for a Responsible Budget. https://www.crfb.org/blogs/cbo-releases-new-10-year-economic-projections

126  Chosun Ilbo, “China’s Economy Could Overtake US Economy by 2030.” Center for Economics and Business Research, January 5, 2022. https://cebr.com/reports/chosun-ilbo-chinas-economy-could-overtake-u-s-economy- by-2030/

127  Gavin Yamey, “U.S. Resposne to COVID-19 is worse than China’s. 100 times worse.” Times, June 10, 2020. https://time.com/5850680/u-s-response-covid-19-worse-than-chinas/. While China has officially reported fewer than 5,000 COVID deaths, other organizations estimate China’s death toll to be much higher. The Economist has reported that China’s excessive deaths during the COVID-19 pandemic range near 500,000. “The pandemic’s true death toll,” The Economist, https://www.economist.com/graphic-detail/coronavirus-excess-deaths-estimates

128  Andrew J. Nathan, “Capsule Review: China: The Bubble That Never Pops,” Foreign Affairs, November/December 2020, https://www.foreignaffairs.com/reviews/capsule-review/2020-10-13/china-bubble-never-pops.

129  “China’s Trade Surplus Hit a Record $676 Billion in 2021,” Bloomberg, January 13, 2022. https://www.bloomberg.com/news/articles/2022-01-14/china-posts-record-trade-surplus-in-2021-on-soaring-exports

130  Orange Wang, “China’s rare earth exports surge past pre-coronavirus levels, despite Western push to diversify supply,” South China Morning Post. July 21, 2021. https://www.scmp.com/economy/china-economy/article/3141844/chinas-rare-earth-exports-surge-past-pre-coronavirus-levels Joan Fitzgerald, “The Case for Taking Back Solar.” The American Prospect, March 24, 2021. https://prospect.org/environment/climate-of-opportunity/case-for-taking-back-solar/ “Computers,” Observatory of Economic Complexity, https://oec.world/en/profile/hs92/computers?redirect=true. Stephen Edelstein, “Global EV sales more than doubled in 2021 vs 2020.” Green Car Reports. February 10, 2022. https://www.greencarreports.com/news/1134999_global-ev-sales-more-than- doubled-in-2021-vs-2020-tripled-vs-2019

131  “Forecast 2025: China Adjusts Course,” Macro Polo, October 2020, https://macropolo.org/analysis/forecast-china- 2025-adjusts-course/

132  Of the 936 thousand Teslas sold in 2021, 321 thousand were sold to Chinese consumers. Ben German. “Taking stock of the global electric vehicle race.” Axios. February 2, 2022. https://www.axios.com/taking-stock-global-ev- race-c2a2df42-3453-4fcf-ae30-964499371ca4.html

133  Matt Grossman, “Tesla Says Its In-Car Cameras Aren’t Activated in China,” WSJ, April 8, 2021, https://www.wsj.com/articles/tesla-says-its-car-cameras-arent-activated-in-china-11617804602.

134  Taylor Soper, “Apple CEO Tim Cook: China will be our top worldwide market, and not just for sales,” GeekWire. October 27, 2015. https://www.geekwire.com/2015/apple-ceo-tim-cook-china-will-be-our-top-worldwide-market- and-not-just-for-sales/

135  Wang Zhuoqiong, “Starbucks China aims for 6,000 stores by 2022,” China Daily. July 29, 2021. https://www.chinadaily.com.cn/a/202107/29/WS6102a77fa310efa1bd6655a3.html

136  2022 GDP growth estimates are calculated by averaging IMF and World Bank estimates. The Congressional Budget Office projects U.S. GDP to grow at an average of 1.8% per year from 2021-2031, while the IMF expects U.S. GDP to grow at no more than 1.7% per year after 2023.

137  Common estimates range from 2028-2032. “World Economic League Table 2021,” CEBR, December 2020, https://cebr.com/service/macroeconomic-forecasting/.; Adrian Francisco Veral, Jeevan Ravindran, “China’s economy could double in size by 2035, according to the Bank of America,” Business Insider, March 3, 2021, https://www.businessinsider.com/china-us-economy-contraction-gdp-purchasing-power-imf-jinping-growth-2021-2.; Naomi Xu Elegant, “China’s 2020 GDP means it will overtake U.S. as world’s No. 1 economy sooner than expected,” Fortune, January 18, 2021, https://fortune.com/2021/01/18/chinas-2020-gdp-world-no-1-economy-us/.; “The World in 2050,” PWC, February 2017, https://www.pwc.com/gx/en/research-insights/economy/the-world-in-2050. html.; https://www.oecd.org/economy/outlook/OECD-economic-outlook-general-assessment-macroeconomic- situation-may-2021.pdf; https://www.crfb.org/blogs/cbo-releases-new-10-year-economic-projections; https://www.federalreserve.gov/monetarypolicy/files/fomcprojtabl20210317.pdf

138  Warren Buffet, “Berkshire Hathaway Inc.” CNBC, February 27, 2021, https://fm.cnbc.com/applications/cnbc.com/resources/editorialfiles/2021/02/27/2020ltr.pdf.

 

| | Comments (0)

2022.03.24

欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案

こんにちは、丸山満彦です。

欧州委員会は、欧州議会、機関等のサイバーセキュリティを強化する規則案を公表していますね。。。

CERT-EUの権限の拡大等を含む内容で、EUに関連する組織間の連携を強化することが重要であるということなんでしょうね。。。

セキュリティ対策に必要なリソースを準備すること、定期的な成熟度の評価、インシデント情報等のCERT-EUへの報告等が含まれていますね。。。

分析はまだですが、、、

 

Europian Commission

・2022.03.22 (press) New rules to boost cybersecurity and information security in EU institutions, bodies, offices and agencies

New rules to boost cybersecurity and information security in EU institutions, bodies, offices and agencies EUの機構・団体・事務局・機関においてサイバーセキュリティと情報セキュリティを強化するための新しい規則
Today, the Commission proposed new rules to establish common cybersecurity and information security measures across the EU institutions, bodies, offices and agencies. The proposal aims to bolster their resilience and response capacities against cyber threats and incidents, as well as to ensure a resilient, secure EU public administration, amidst rising malicious cyber activities in the global landscape.  本日、欧州委員会は、EUの機関・団体・事務所・機関全体に共通するサイバーセキュリティおよび情報セキュリティ対策を確立するための新たな規則を提案しました。この提案は、世界的に悪質なサイバー活動が増加する中、サイバー上の脅威や事件に対する耐性と対応能力を強化し、弾力的で安全なEU行政を確保することを目的としています。 
Commissioner for Budget and Administration, Johannes Hahn, said: “In a connected environment, a single cybersecurity incident can affect an entire organisation. This is why it is critical to build a strong shield against cyber threats and incidents that could disturb our capacity to act. The regulations we are proposing today are a milestone in the EU cybersecurity and information security landscape. They are based on reinforced cooperation and mutual support among EU institutions, bodies, offices and agencies and on a coordinated preparedness and response. This is a real EU collective endeavour.” ヨハネス・ハーン予算行政担当委員は、次のように述べています。「接続された環境では、たったひとつのサイバーセキュリティの事故が組織全体に影響を及ぼしかねなません。このため、我々の行動能力を乱す可能性のあるサイバー脅威やインシデントに対して、強力なシールドを構築することが極めて重要です。我々が本日提案する規則は、EUのサイバーセキュリティと情報セキュリティの状況において画期的なものです。この規則は、EUの機関・団体・事務局・機関間の協力と相互支援の強化、および調整された準備と対応に基づくものです。 これは、EUの真の集団的努力です」。
In the context of the COVID-19 pandemic and the growing geopolitical challenges, a joint approach to cybersecurity and information security is a must. With this in mind, the Commission has proposed a Cybersecurity Regulation and an Information Security Regulation. By setting common priorities and frameworks, these rules will further strengthen inter-institutional cooperation, minimise risk exposure and further strengthen the EU security culture. COVID-19の大流行と地政学的な課題の増大の中で、サイバーセキュリティと情報セキュリティに対する共同アプローチが必須です。このことを念頭に置いて、欧州委員会はサイバーセキュリティ規則と情報セキュリティ規則を提案しています。共通の優先事項と枠組みを設定することにより、これらの規則は、制度間の協力をさらに強化し、リスク・エクスポージャーを最小化し、EUのセキュリティ文化をさらに強化します。
Cybersecurity Regulation サイバーセキュリティ規則
The proposed Cybersecurity Regulation will put in place a framework for governance, risk management and control in the cybersecurity area. It will lead to the creation of a new inter-institutional Cybersecurity Board, boost cybersecurity capabilities, and stimulate regular maturity assessments and better cyber-hygiene. It will also extend the mandate of the Computer Emergency Response Team for the EU institutions, bodies, offices and agencies (CERT-EU), as a threat intelligence, information exchange and incident response coordination hub, a central advisory body, and a service provider. 提案されているサイバーセキュリティ規則は、サイバーセキュリティ分野におけるガバナンス、リスク管理、統制のための枠組みを整備するものです。これは、新たな機関間サイバーセキュリティ委員会の設立、サイバーセキュリティ能力の向上、定期的な成熟度評価とサイバー衛生の向上を促進するものです。また、EUの機関、団体、事務所、機関に対するコンピュータ緊急対応チーム(CERT-EU)の権限を拡大し、脅威情報、情報交換、事故対応の調整ハブ、中央諮問機関、サービスプロバイダーとして機能するようにします。
Key elements of the proposal for a Cybersecurity Regulation: サイバーセキュリティ規則の提案の主な要素
・Strengthen the mandate of CERT-EU and provide the resources it needs to fulfil it; ・CERT-EUの権限を強化し、その遂行に必要なリソースを提供する。
・Require from all EU institutions, bodies, offices and agencies to: ・すべてのEUの機関、団体、事務所、代理店に要求する。
 ○ Have a framework for governance, risk management and control in the area of cybersecurity;  ○ サイバーセキュリティの分野におけるガバナンス、リスク管理、統制の枠組みを持つこと。
 ○ Implement a baseline of cybersecurity measures addressing the identified risks;  ○ 特定されたリスクに対応するサイバーセキュリティ対策のベースラインを実施すること。
 ○ Conduct regular maturity assessments;  ○ 定期的な成熟度評価を実施すること。
 ○ Put in place a plan for improving their cybersecurity, approved by the entity's leadership;  ○ 企業のリーダーシップによって承認されたサイバーセキュリティを向上させるための計画を実施する。
 ○ Share incident-related information with CERT-EU without undue delay.  ○ インシデント関連情報をCERT-EUと不当に遅延なく共有すること。
・Set up a new inter-institutional Cybersecurity Board to drive and monitor the implementation of the regulation and to steer CERT-EU; ・規則の実施を推進・監視し、CERT-EUを指導するために、新たな機関間サイバーセキュリティ委員会を設置する。
・Rename CERT-EU from ‘Computer Emergency Response Team' to ‘Cybersecurity Centre', in line with developments in the Member States and globally, but keep the short name ‘CERT-EU' for name recognition. ・CERT-EUの名称を、加盟国や世界の動きに合わせて「Computer Emergency Response Team」から「Cybersecurity Centre」に改称するが、知名度のために「CERT-EU」という略称を維持する。
Information Security Regulation 情報セキュリティ規則
The proposed Information Security Regulation will create a minimum set of information security rules and standards for all EU institutions, bodies, offices and agencies to ensure an enhanced and consistent protection against the evolving threats to their information. These new rules will provide a stable ground for a secure exchange of information across EU institutions, bodies, offices and agencies and with the Member States, based on standardised practices and measures to protect information flows. 提案されている情報セキュリティ規則は、EUのすべての機関、団体、事務局、機関に対し、情報に対する進化する脅威から強化された一貫した保護を確保するために、最低限の情報セキュリティ規則と基準を設けるものです。これらの新規則は、情報の流れを保護するための標準化された慣行と対策に基づき、EUの機関、団体、事務局、機関間および加盟国との安全な情報交換のための安定した基盤を提供するものです。
Key elements of the proposal for Information Security Regulation: 情報セキュリティ規則の提案の主要な要素
・Set up an efficient governance to foster the cooperation across all EU institutions, bodies, offices and agencies, namely an inter-institutional Information Security Coordination Group; ・EUのすべての機関、団体、事務所および機関間の協力を促進する効率的なガバナンス、すなわち機関間の情報セキュリティ調整グループを設置する。
・Establish a common approach to information categorisation based on the level of confidentiality; ・機密性のレベルに基づいて情報を分類するための共通のアプローチを確立する。
・Modernise the information security policies, fully including digital transformation and remote work; ・情報セキュリティ政策を近代化し、デジタル・トランスフォーメーションとリモートワークを完全に含む。
・Streamline current practices and achieve greater compatibility between the relevant systems and devices. ・現行の慣行を合理化し、関連するシステムとデバイス間の互換性を高める。
Background 背景
In its resolution from March 2021, the Council of the European Union stressed the importance of a robust and consistent security framework to protect all EU personnel, data, communication networks, information systems and decision-making processes. This can only be achieved through enhanced resilience and improved security culture of the EU institutions, bodies, offices and agencies. 欧州連合理事会は2021年3月の決議で、EUのすべての人員、データ、通信ネットワーク、情報システム、意思決定プロセスを保護するため、強固で一貫したセキュリティの枠組みの重要性を強調しました。これは、EUの機関、団体、事務局、機関のレジリエンスの強化とセキュリティ文化の改善によってのみ達成することができます。
Following the EU Security Union Strategy and the EU Cybersecurity Strategythe Cybersecurity Regulation proposed today will ensure consistency with existing EU cybersecurity policies, in full alignment with current European legislation: EU安全保証連合戦略およびEUサイバーセキュリティ戦略に続き、本日提案されたサイバーセキュリティ規則は、現行の欧州の法律と完全に整合する形で、既存のEUサイバーセキュリティ政策との一貫性を確保するものです。
・The Directive on the security of Network and Information Systems (NIS Directive) and the future Directive on measures for high common level of cybersecurity across the Union(‘NIS 2') that the Commission proposed in December 2020; ネットワークおよび情報システムのセキュリティに関する指令(NIS指令)および欧州委員会が2020年12月に提案したEU全域で高い共通レベルのサイバーセキュリティのための措置に関する将来の指令('NIS 2')です。
・The Cybersecurity Act; ・サイバーセキュリティ法
・The Commission Recommendation on building a Joint Cyber Unit; ・合同サイバーユニットの構築に関する欧州委員会の勧告。
・The Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises. ・大規模なサイバーセキュリティ事件や危機への協調的対応に関する欧州委員会勧告
Considering the ever-increasing amounts of sensitive non-classified and EU classified information handled by EU institutions, bodies, offices and agencies, the proposed Information Security Regulation aims to increase the protection of the information, by streamlining the different legal frameworks of the Union institutions, bodies, offices and agencies in the field. The proposal is in line with: EUの機関、団体、事務所、機関が取り扱う機密性の高い非分類情報およびEU分類情報の量が増え続けていることを考慮し、情報セキュリティ規則案は、この分野におけるEUの機関、団体、事務所、機関の異なる法的枠組みを合理化することにより、情報の保護を強化することを目的としています。この提案は、それに沿ったものです。
The EU Security Union Strategy, which includes a comprehensive EU commitment to complement Member States' efforts in all areas of security; EU安全保障連合戦略は、安全保障の全分野における加盟国の努力を補完するためのEUの包括的なコミットメントを含んでいます。
The key feature of the Strategic Agenda for 2019-2024, adopted by the European Council in June 2019, to protect our societies from the ever-evolving threats targeting the information handled by EU institutions, bodies, and agencies; 2019年6月に欧州理事会で採択された「2019-2024年の戦略的アジェンダ」の主要な問題である、EUの機関、団体、機関が扱う情報を標的とした進化し続ける脅威から社会を保護すること。
The Conclusions of the General Affairs Council of December 2019 calling on the EU institutions, bodies and  agencies, supported by Member States, to develop and implement a comprehensive set of measures to ensure their security. 2019年12月の総務理事会の結論で、加盟国の支援を受けながら、EUの機関、団体、機関に対し、そのセキュリティを確保するための包括的な対策を策定し、実施するよう求めていること。
For More Information 詳細についてはこちら
Proposal for a Regulation of the European Parliament and of the Council laying down measures on a high level of cybersecurity at the institutions, bodies, offices and agencies of the Union   欧州連合の機関、団体、事務所、省庁における高水準のサイバーセキュリティに関する措置を定めた欧州議会および理事会の規則案  
Proposal for a Regulation of the European Parliament and of the Council on information security in the institutions, bodies, offices and agencies of the Union 欧州連合の機関、団体、事務局および機関における情報セキュリティに関する欧州議会および理事会の規則案

 

Proposal for Cybersecurity Regulation

Proposal for Cybersecurity Regulation サイバーセキュリティ規則の提案
The Commission proposes a Regulation to establish common cybersecurity measures across the European Union institutions, bodies, offices and agencies. The key elements of the proposal for Cybersecurity Regulation: ・欧州委員会は、欧州連合の機関、団体、事務局および機関全体に共通するサイバーセキュリティ対策を確立するための規則を提案しています。サイバーセキュリティ規則の提案の主要な要素は次の通りです。
・Strengthen the mandate of CERT-EU and provide the resources it needs to fulfil it; ・CERT-EUの権限を強化し、その遂行に必要なリソースを提供すること。
・Require from all EU institutions, bodies, offices and agencies to: ・すべてのEUの機関、団体、事務局、機関に要求すること。
 ・Have a framework for governance, risk management and control in the area of cybersecurity;  ・サイバーセキュリティの分野におけるガバナンス、リスク管理、統制の枠組みを持つこと。
 ・Implement a baseline of cybersecurity measures addressing the identified risks;  ・特定されたリスクに対応するサイバーセキュリティ対策のベースラインを実施すること。
 ・Conduct regular maturity assessments;  ・定期的な成熟度評価を実施すること。
 ・Put in place a plan for improving their cybersecurity, approved by the entity's leadership;  ・組織のリーダーシップによって承認されたサイバーセキュリティを向上させるための計画を実施すること。
 ・Share incident-related information with CERT-EU without undue delay.  ・インシデント関連情報をCERT-EUに遅延なく共有すること。
・Set up a new inter-institutional Cybersecurity Board to drive and monitor the implementation of the regulation and to steer CERT-EU; ・規則の実施を推進・監視し、CERT-EUを指導するために、新たな機関間サイバーセキュリティ委員会を設置すること。
・Rename CERT-EU from ‘Computer Emergency Response Team' to ‘Cybersecurity Centre', in line with developments in the Member States and globally, but keep the short name ‘CERT-EU' for name recognition. ・CERT-EU の名称を、加盟国および世界の動きに合わせて「コンピュータ緊急対応チーム」から「サイ バーセキュリティ・センター」に変更するが、知名度のために「CERT-EU」という略称を維持する。

 

・[PDF] REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union

20220324-70346

 

・[PDF] Commission Staff Working Document – Impact analysis accompanying the proposal for a regulation

20220324-70617

 

 

Continue reading "欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案"

| | Comments (0)

2022.03.23

米国 FBI 2021年インターネット犯罪レポート

こんにちは、丸山満彦です。

FBIというか、ICS3というか、が2021年のインターネット犯罪レポートを発表していますね。

今年の上位5位の苦情について過去6年間のグラフにしてみました。

 

Fig1_20220323051001

 

● FBI

・2021.03.22 FBI Releases the Internet Crime Complaint Center 2021 Internet Crime Report

FBI Releases the Internet Crime Complaint Center 2021 Internet Crime Report FBIが「インターネット犯罪苦情センター 2021年インターネット犯罪報告書」を発表
The FBI’s Internet Crime Complaint Center (IC3) has released its annual report. FBIのインターネット犯罪苦情センター(IC3)は、年次報告書を発表しました。
The 2021 Internet Crime Report (pdf) includes information from 847,376 complaints of suspected internet crime—a 7% increase from 2020—and reported losses exceeding $6.9 billion. State-specific statistics have also been released and can be found within the 2021 Internet Crime Report and in the accompanying 2021 State Reports.  2021年インターネット犯罪報告書(pdf)には、インターネット犯罪の疑いに関する84万7376件の苦情情報が含まれており、2020年から7%増加し、報告された損失額は69億ドルを超えています。州別の統計も発表されており、「2021年インターネット犯罪報告書」および附属書の「2021年州報告書」内で確認することができます。 
The top three cyber crimes reported by victims in 2021 were phishing scams, non-payment/non-delivery scams, and personal data breach. Victims lost the most money to business email compromise scams, investment fraud, and romance and confidence schemes.   2021年に被害者が報告したサイバー犯罪のトップ3は、フィッシング詐欺、不払い・不渡り詐欺、個人情報漏えいでした。被害者が最もお金を失ったのは、ビジネスメール漏洩詐欺、投資詐欺、ロマンス・信頼詐欺でした。  
In addition to statistics, the IC3’s 2021 Internet Crime Report contains information about the most prevalent internet scams affecting the public and offers guidance for prevention and protection. It also highlights the FBI’s work combatting internet crime, including recent case examples. Finally, the 2021 Internet Crime Report explains the IC3, its mission, and functions. IC3の2021年インターネット犯罪報告書には、統計に加えて、一般市民に影響を与える最も一般的なインターネット詐欺に関する情報と、予防と保護のためのガイダンスが掲載されています。また、最近の事例を含め、インターネット犯罪に対抗するFBIの活動も紹介しています。最後に、2021年版インターネット犯罪報告書では、IC3、その使命、機能について説明しています。
The IC3 gives the public a reliable and convenient mechanism to report suspected internet crime to the FBI. The FBI analyzes and shares information from submitted complaints for investigative and intelligence purposes, for law enforcement, and for public awareness.  IC3は、インターネット犯罪の疑いをFBIに報告するための、信頼性が高く便利なメカニズムを一般市民に提供します。FBIは、捜査や情報収集のため、法執行のため、そして国民の意識向上のために、寄せられた通報の情報を分析し、共有します。 
With the release of the 2021 Internet Crime Report, the FBI wants to remind the public to immediately report suspected criminal internet activity to the IC3 at ic3.gov. By reporting internet crime, victims are not only alerting law enforcement to the activity but aiding in the overall fight against cybercrime.  2021年インターネット犯罪報告書の発表に伴い、FBIは、犯罪と疑われるインターネット上の活動をIC3(ic3.gov)に直ちに報告するよう、国民に呼びかけたいと考えています。インターネット犯罪を報告することで、被害者は法執行機関に活動を警告するだけでなく、サイバー犯罪に対する全体的な闘いを支援することになります。 
To report an online crime or view IC3’s annual reports and public service announcements, visit ic3.gov.   オンライン犯罪の報告、IC3 の年次報告書および公共サービス広告の閲覧は、ic3.gov をご覧ください。  

 

 Internet Crime Complaint Center: IC3

・[PDF] Internet Crime Report 2021

20220323-52636

 

・[HTML] 2021 State Reports

過去分

 

今年の報告書の目次

INTRODUCTION はじめに
THE IC3 IC3について
THE IC3 ROLE IN COMBATING CYBER CRIME サイバー犯罪に対抗するためのIC3の役割
IC3 CORE FUNCTIONS IC3の中核機能
IC3 COMPLAINT STATISTICS IC3苦情統計
Last 5 Years 過去5年分
Top 5 Crime Type Comparison 犯罪の種類別比較(上位5つ
THREAT OVERVIEWS FOR 2021 2021年の脅威の概要
Business Email Compromise (BEC) ビジネスメール誤送信(BEC)
IC3 RECOVERY ASSET TEAM IC3リカバリーアセットチーム
RAT SUCCESSES ラットの成功例
Confidence Fraud / Romance Scams 信用詐欺・ロマンス詐欺
Cryptocurrency (Virtual Currency) クリプトカレンシー(仮想通貨)
Ransomware ランサムウェア
Tech Support Fraud 技術サポート詐欺
IC3 by the Numbers 数字で見るIC3
2021 Victims by Age Group 2021年年齢層別被害者数
2021 - Top 20 International Victim Countries 2021年 国際的な被害国上位20カ国
2021 - Top 10 States by Number of Victims 2021年 被害者数上位10州
2021 - Top 10 States by Victim Loss in $ Millions 2021年-被害額(百万ドル)上位10州
2021 CRIME TYPES 2021年犯罪の種類
2021 Crime Types continued 2021年犯罪の種類 続き
Last 3 Year Complaint Count Comparison 過去3年間の苦情件数比較
Last 3 Year Complaint Loss Comparison 過去3年間の苦情損失額比較
Overall State Statistics 州全体の統計
Overall State Statistics continued 州全体統計の続き
Overall State Statistics continued 州全体の統計の続き
Overall State Statistics continued 州の全体的な統計の続き
Appendix A: Definitions 附属書A:定義
Appendix B: Additional Information about IC3 Data 附属書B:IC3データに関する追加情報

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.11 FBI インターネット犯罪レポート2020を発表

| | Comments (0)

企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

こんにちは、丸山満彦です。

企業会計基準委員会が、暗号資産(資金決済法、金商法)の発行及び保有についての論点整理として「資金決済法上の暗号資産又は金融商品取引法上の電子記録移転権利に該当するICOトークンの発行及び保有に係る会計処理に関する論点の整理」を、また、投資性ICOの会計処理・開示についての取り扱いについて実務対応報告公開草案第63号「電子記録移転有価証券表示権利等の発行及び保有の会計処理及び開示に関する取扱い(案)」を公開し、意見募集をしていまたね。。。

暗号資産の不幸は、実力以上に期待されてしまったからかも知れませんね。。。

顧客保護、投資家保護、犯罪収益の移転の防止等について落ち着いて考えれば、現在の規制の枠組みに収めることになるはずなので、暗号資産に関する技術(例えば、ブロックチェーン)自体が既存の概念を打ち破るほどの破壊的な価値を生むことはないのに、世の中が少し煽りすぎたのかも知れませんね。。。

適正な評価がされていればもう少し普及したかも、、、と思わなくもないです。。。これからに期待しましょう。。。

今回公表されている内容については、真っ当な感じはしますね。。。

Fig1_20220323035301

 

企業会計基準委員会

・2022.03.15 「資金決済法上の暗号資産又は金融商品取引法上の電子記録移転権利に該当するICOトークンの発行及び保有に係る会計処理に関する論点の整理」の公表

・[PDF] コメントの募集及び本論点整理の概要

・[PDF] 資金決済法上の暗号資産又は金融商品取引法上の電子記録移転権利に該当するICOトークンの発行及び保有に係る会計処理に関する論点の整理

20220323-35421

 

・2022.03.15 実務対応報告公開草案第63号 「電子記録移転有価証券表示権利等の発行及び保有の会計処理及び開示に関する取扱い(案)」の公表

 ・[PDF] コメントの募集及び本公開草案の概要

 ・[PDF] 実務対応報告公開草案第63号「電子記録移転有価証券表示権利等の発行及び保有の会計処理及び開示に関する取扱い(案)」

20220323-35727

 


 

法改正についての説明は、次の記事が参考になるかもです。。。

Business Lawyers

・2020.06.18 〔立案担当者が解説〕セキュリティトークン・STOの法律実務 第1回 2020年5月1日施行 改正金商法上のセキュリティトークンとは

・2020.07.21 〔立案担当者が解説〕セキュリティトークン・STOの法律実務 第2回 2020年5月1日施行 改正金商法上のセキュリティトークンとは(続)

 

 




 

| | Comments (0)

2022.03.22

NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

こんにちは、丸山満彦です。

NISTがAIリスクマネジメントフレームワーク(初期ドラフト)についての意見募集をしていますね。。。

Fig1はこの図です。。。

20220322-11811

 

 

● NIST

・2022.03.17 NIST Seeks Comments on Draft AI Risk Management Framework, Offers Guidance on AI Bias

NIST Seeks Comments on Draft AI Risk Management Framework, Offers Guidance on AI Bias NISTがAIリスクマネジメントフレームワークの草案に対する意見を募集、AIバイアスに関するガイダンスを提示
Seeking to promote the development and use of artificial intelligence (AI) technologies and systems that are trustworthy and responsible, NIST today released for public comment an initial draft of the AI Risk Management Framework (AI RMF). The draft addresses risks in the design, development, use and evaluation of AI systems.  NISTは、信頼性と責任感のある人工知能(AI)技術とシステムの開発・利用を促進するため、本日、AIリスク管理フレームワーク(AI RMF)の初稿を公開し、パブリックコメントを募集しています。 この草案は、AIシステムの設計、開発、使用、評価におけるリスクに対応しています。 
The voluntary framework is intended to improve understanding and help manage enterprise and societal risks related to AI systems. It aims to provide a flexible, structured and measurable process to address AI risks throughout the AI lifecycle, and offers guidance for the development and use of trustworthy and responsible AI. NIST is also developing a companion guide to the AI RMF with additional practical guidance; comments about the framework also will be taken into account in preparing that practice guide. この自主的な枠組みは、AIシステムに関連する企業や社会のリスクに対する理解を深め、その管理を支援することを目的としています。AIのライフサイクルを通じてAIのリスクに対処するための柔軟で構造化された測定可能なプロセスを提供し、信頼できる責任あるAIの開発と利用のためのガイダンスを提供することを目的としています。また、NISTは、追加の実践的ガイダンスを記載したAI RMFのコンパニオンガイドを作成しており、このフレームワークに関するコメントも、その実践ガイドの作成に考慮される予定です。
“We have developed this draft with extensive input from the private and public sectors, knowing full well how quickly AI technologies are being developed and put to use and how much there is to be learned about related benefits and risks,” said Elham Tabassi, chief of staff of the NIST Information Technology Laboratory (ITL), who is coordinating the agency’s AI work, including the AI RMF. NISTの情報技術研究所(ITL)のチーフスタッフであり、AI RMFを含むNISTのAI関連業務を調整するElham Tabassi氏は、「我々は、AI技術の開発・実用化がいかに速く、そのメリットとリスクについて学ぶべきことがいかに多いかを十分に理解して、民間および公共部門からの幅広いインプットによりこのドラフトを作成した」と述べています。
This draft builds on the concept paper released in December and an earlier Request for Information. Feedback received by April 29 will be incorporated into a second draft issued this summer or fall. On March 29-31, NIST will hold its second workshop on the AI RMF. The first two days will address all aspects of the AI RMF. Day 3 will allow a deeper dive of issues related to mitigating harmful bias in AI. この草案は、12月に発表されたコンセプトペーパーと、それ以前に行われた情報提供の依頼を基に作成されたものです。4月29日までに寄せられたフィードバックは、今年の夏または秋に発行される第2次草案に反映される予定です。3月29日から31日にかけて、NISTはAI RMFに関する2回目のワークショップを開催します。最初の2日間は、AI RMFのあらゆる側面を取り上げます。3日目は、AIにおける有害なバイアスの軽減に関連する問題をより深く掘り下げます。
This week, NIST also released “Towards a Standard for Identifying and Managing Bias within Artificial Intelligence” (SP 1270), which offers background and guidance for addressing one of the major sources of risk that relates to the trustworthiness of AI. That publication explains that beyond the machine learning processes and data used to train AI software, bias is related to broader societal factors — human and systemic institutional in nature — which influence how AI technology is developed and deployed. 今週、NISTは「Towards a Standard for Identifying and Managing Bias within Artificial Intelligence」(SP1270)も発表し、AIの信頼性に関わる主要なリスク源の1つに対処するための背景とガイダンスを提供する。その出版物では、AIソフトウェアの学習に使用される機械学習プロセスやデータを超えて、バイアスはより広範な社会的要因(人間的およびシステム的制度的なもの)に関連し、AI技術の開発および展開の方法に影響を及ぼすと説明しています。
The draft framework and publication on bias are part of NIST’s larger effort to support the development of trustworthy and responsible AI technologies by managing risks and potential harms in the design, development, use and evaluation of AI products, services and systems. バイアスに関するフレームワーク案と出版物は、AI製品、サービス、システムの設計、開発、使用、評価におけるリスクと潜在的な害を管理することにより、信頼できる責任あるAI技術の開発を支援するNISTの大きな取り組みの一部です。

 

・[PDF] AI Risk Management Framework: Initial Draft

20220322-22808

Part 1: Motivation 第1部: 動機づけ
1 OVERVIEW 1 概要
2 SCOPE 2 スコープ
3 AUDIENCE 3 想定読者
4 FRAMING RISK 4 リスクフレームワーク
4.1 Understanding Risk and Adverse Impacts 4.1 リスクと悪影響の理解
4.2 Challenges for AI Risk Management 4.2 AIリスクマネジメントの課題
5 AI RISKS AND TRUSTWORTHINESS 5 AIリスクと信頼性
5.1 Technical Characteristics 5.1 技術的特徴
5.1.1 Accuracy 5.1.1 正確さ
5.1.2 Reliability 5.1.2 信頼性
5.1.3 Robustness 5.1.3 ロバスト性
5.1.4 Resilience or ML Security 5.1.4 レジリエンスまたは機械学習セキュリティ
5.2 Socio-Technical Characteristics 5.2 社会・技術的特性
5.2.1 Explainability 5.2.1 説明可能性
5.2.2 Interpretability 5.2.2 解釈可能性
5.2.3 Privacy 5.2.3 プライバシー
5.2.4 Safety 5.2.4 安全性
5.2.5 Managing Bias 5.2.5 バイアスの管理
5.3 Guiding Principles 5.3 指導原則
5.3.1 Fairness 5.3.1 公正性
5.3.2 Accountability 5.3.2 説明責任
5.3.3 Transparency 5.3.3 透明性
Part 2: Core and Profiles 第2部:コアとプロファイル
6 AI RMF CORE 6 AI RMFコア
6.1 Map 6.1 地図
6.2 Measure 6.2 測定
6.3 Manage 6.3 管理
6.4 Govern 6.4 ガバナンス
7 AI RMF PROFILES 7 AI RMFプロファイル
8 EFFECTIVENESS OF THE AI RMF 8 AI RMFの有効性
Part 3: Practical Guide 第3部:実践ガイド
9 PRACTICE GUIDE 9 実践ガイド

 

 

AI RISK MANAGEMENT FRAMEWORK

AI RISK MANAGEMENT FRAMEWORK AIリスクマネジメントフレームワーク
An initial draft of the AI Risk Management Framework is available for comment through April 29, 2022. AIリスクマネジメントフレームワークの初期ドラフトは、2022年4月29日まで意見募集中です。
A two-part NIST workshop from March 29-31, 2022, will advance work on an AI Risk Management Framework – and on bias in AI. Register Now. 2022年3月29日~31日に開催される2部構成のNISTワークショップでは、AIリスク管理フレームワークの作業、およびAIにおけるバイアスに関する作業が進められます。 今すぐご登録ください。
NIST is developing a framework to better manage risks to individuals, organizations, and society associated with artificial intelligence (AI). The NIST Artificial Intelligence Risk Management Framework (AI RMF or Framework) is intended for voluntary use and to improve the ability to incorporate trustworthiness considerations into the design, development, use, and evaluation of AI products, services, and systems. NISTは、人工知能(AI)に関連する個人、組織、社会へのリスクをよりよく管理するためのフレームワークを開発しています。NIST Artificial Intelligence Risk Management Framework(AI RMFまたはフレーワーク)は、自主的な使用を目的とし、AI製品、サービス、システムの設計、開発、使用、評価に信頼性への配慮を取り入れる能力を向上させるためのものです。
The Framework is being developed through a consensus-driven, open, transparent, and collaborative process that will include workshops and other opportunities to provide input. It is intended to build on, align with, and support AI risk management efforts by others. An initial draft of the AI RMF is available for comment through April 29, 2022. このフレームワークは、ワークショップやその他の意見提供の機会を含む、合意形成主導の、オープンで透明性の高い、協力的なプロセスを通じて開発されています。このフレームワークは、他の機関によるAIリスクマネジメントの取り組みと連携し、支援することを目的としています。 AI RMFの初期ドラフトは、2022年4月29日まで意見募集中です。
NIST’s work on the Framework is consistent with its broader AI efforts, recommendations by the National Security Commission on Artificial Intelligence, and the Plan for Federal Engagement in AI Standards and Related Tools. Congress has directed NIST to collaborate with the private and public sectors to develop the AI RMF. NISTのフレームワークへの取り組みは、NISTの幅広いAIへの取り組み、人工知能に関する国家安全保障委員会の勧告、およびAI標準と関連ツールにおける連邦政府の関与のための計画と整合しています。議会は、AI RMFを開発するために民間および公共部門と協力するようNISTに指示しました。
The Framework aims to foster the development of innovative approaches to address characteristics of trustworthiness including accuracy, explainability and interpretability, reliability, privacy, robustness, safety, security (resilience), and mitigation of unintended and/or harmful bias, as well as of harmful uses. The Framework should consider and encompass principles such as transparency, accountability, and fairness during pre-design, design and development, deployment, use, and test and evaluation of AI technologies and systems. These characteristics and principles are generally considered as contributing to the trustworthiness of AI technologies and systems, products, and services. このフレームワークは、正確性、説明可能性と解釈可能性、信頼性、プライバシー、堅牢性、安全性、セキュリティ(回復力)、意図しないバイアスや有害な使用の緩和を含む信頼性の特徴に対処する革新的アプローチの開発を促進することを目的としています。フレームワークは、AI技術やシステムの事前設計、設計・開発、展開、使用、テスト・評価において、透明性、説明責任、公平性などの原則を考慮し、包含する必要があります。これらの特性や原則は、一般的にAI技術やシステム、製品、サービスの信頼性に寄与すると考えられています。
AI RMF Development & Request for Information AI RMFの策定と情報提供のお願い
NIST has prepared a brief summary of RFI responses in advance of the workshop on October 19-21. NISTは、10月19日~21日のワークショップに先立ち、RFI回答の簡単な要約を作成しました。
NIST intends the Framework to provide a prioritized, flexible, risk-based, outcome-based, and cost-effective approach that is useful to the community of AI developers, users, and decision makers. The development process will involve several iterations to encourage robust and continuing engagement and collaboration with interested stakeholders. NISTは、AI開発者、ユーザー、意思決定者のコミュニティにとって有用な、優先順位付けされた、柔軟で、リスクベースの、成果ベースの、費用対効果の高いアプローチを提供するフレームワークを意図しています。開発プロセスでは、利害関係者との強固で継続的な関与と協力を促すため、数回の反復が行われる予定です。
NIST is soliciting input from all interested stakeholders, seeking to understand how organizations and individuals involved with designing, developing, using, or evaluating AI systems might be better able to address the full scope of AI risk and how a framework for managing AI risks might be constructed. A Request for Information (RFI) was issued on July 29, 2021, with responses due to NIST by August 19, 2021. The date for responses was extended to September 15Building on its recent efforts, NIST will organize open workshops to support the Framework’s development.  NISTは、AIシステムの設計、開発、使用、評価に携わる組織や個人が、どのようにすればAIリスクの全容に対処できるようになるか、またAIリスクを管理するためのフレームワークをどのように構築するかを理解するため、すべての関係者から意見を求めています。2021年7月29日に情報提供依頼書(RFI)が発行され、2021年8月19日までにNISTに回答することになっています。 回答期限は9月15日まで延長されました。 NISTは、最近の取り組みに基づき、フレームワークの開発を支援するためのオープンワークショップを開催する予定です。 
Comments may be submitted by any of the following methods: コメントは、以下のいずれかの方法で提出することができます。
Email: Comments in electronic form may also be sent to AIframework@nist.gov in any of the following formats: HTML; ASCII; Word; RTF; or PDF.  電子メール。電子形式のコメントは、HTML、ASCII、Word、RTF、またはPDFのいずれかの形式で、AIframework@nist.gov に送信することができます。 
Electronic submission: Submit electronic public comments via the Federal e- Rulemaking Portal. Go to www.regulations.gov and enter NIST-2021-0004 in the search field, Enter or attach your comments. 電子的に提出する。連邦規則作成ポータルから電子パブリックコメントを提出する。
1. Go to www.regulations.gov and enter NIST-2021-0004 in the search field, 1. www.regulations.gov にアクセスし、検索フィールドに NIST-2021-0004 と入力し
2. Click the “Comment Now!” icon, complete the required fields, and 2. 「Comment Now」アイコンをクリックし、必要事項をご記入し、
3. Enter or attach your comments. 3. コメントを入力または添付してください
A template for providing comments is available here. ご意見のテンプレートはこちらです。
AI Risk Management Framework - Engage AIリスクマネジメントフレームワーク - Engage
NNIST is developing the AI Risk Management Framework (AI RMF) through a consensus-driven, open, and collaborative process that involves taking part in workshops, responding to a Request for Information (RFI), reviewing draft reports and other documents including draft approaches and versions of the framework, and other opportunities to provide input. Also, see information about how to engage in NIST’s broader AI activities.
NISTは、ワークショップへの参加、情報提供依頼書(RFI)への回答、フレームワークのアプローチやバージョンのドラフトを含むレポートやその他の文書のレビュー、その他の意見提供の機会を通じて、合意主導のオープンかつ協力的なプロセスでAIリスクマネジメントフレームワーク(AI RMF)の開発を進めています。また、NISTの幅広いAI活動への参加方法についての情報もご覧ください。
Sign up to receive email notifications about NIST’s AI activities here, or contact us at: ai-inquiries@nist.gov NISTのAI活動に関するお知らせのメール配信にご登録いただくか、ai-inquiries@nist.gov までご連絡ください。
AI Risk Management Framework - Workshops & Events AIリスクマネジメントフレームワーク - ワークショップ&イベント
NIST relies on workshops to gather public and private stakeholder information, feedback, and perspectives. Multiple related AI workshops have been held and are being scheduled. See here for more details.  NISTは、公共および民間のステークホルダーの情報、フィードバック、見解を収集するために、ワークショップを活用しています。AI関連のワークショップは複数回開催されており、現在も開催が予定されています。詳しくはこちらをご覧ください。 
Two-part Workshop on AI Risk Management Framework – and on Bias in AI - March 29-31, 2022 AIリスクマネジメントフレームワークに関する2部構成のワークショップ - およびAIにおけるバイアスに関するワークショップ - 2022年3月29日~31日
Kicking off NIST AI Risk Management Framework: Workshop #1 - October 19-21, 2021 NIST AIリスクマネジメントフレームワークをキックオフ。ワークショップ#1 - 2021年10月19日~21日
AI Risk Management Framework - Related NIST Efforts AIリスクマネジメントフレームワーク - 関連するNISTの取り組み
Overview of NIST’s AI Efforts ・NISTのAIへの取り組みの概要
NIST AI Standards Activities ・NISTのAI標準化活動
NIST AI Workshop Series ・NIST AIワークショップシリーズ
AI Risk Management Framework - Resources AIリスクマネジメントフレームワーク - リソース
NIST produces publications and other resources which inform and relate to the development of the AI Risk Management Framework. Some of these resources are listed here: NISTは、AIリスクマネジメントフレームワークの開発に関連する出版物やその他のリソースを作成しています。これらのリソースのいくつかをここにリストアップします。
An initial draft of the AI Risk Management Framework is available for comment through April 29, 2022  AIリスクマネジメントフレームワークの初期ドラフトは、2022年4月29日まで意見募集中です。 
Concept paper to help guide development of the AI Risk Management Framework (December 13, 2021) AIリスクマネジメントフレームワークの開発指針になるコンセプトペーパー(2021年12月13日付)
Summary Analysis of Responses to the NIST Artificial Intelligence Risk Management Framework (AI RMF) - Request for Information (RFI) National Institute of Standards and Technology (NIST) (October 15, 2021) NIST人工知能リスク管理フレームワーク(AI RMF)に対する回答の概要分析-情報提供要請(RFI)米国国立標準技術研究所(NIST)(2021年10月15日付)
Draft -Taxonomy of AI Risk (October 15, 2021) 素案 -AIリスクのタクソノミ-(2021年10月15日発表)
 A Taxonomy and Terminology of Adversarial Machine Learning (NISTIR 8269) (Draft) 敵対的機械学習の分類法と用語(NISTIR 8269)(案)
Four Principles of Explainable Artificial Intelligence (NISTIR 8312) (Draft) 説明可能な人工知能の4原則(NISTIR 8312)(案)
Psychological Foundations of Explainability and Interpretability in Artificial Intelligence (NISTIR 8367) 人工知能における説明可能性と解釈可能性の心理学的基礎 (NISTIR 8367)
A Proposal for Identifying and Managing Bias in Artificial Intelligence (NIST SP 1270) (Draft) 人工知能におけるバイアスの特定と管理のための提案 (NIST SP 1270) (案)
Trust and Artificial Intelligence (NISTIR 8332) (Draft) 信頼と人工知能 (NISTIR 8332) (案)
AI Risk Management Framework FAQs AIリスクマネジメントフレームワークFAQ
1. What is the AI Risk Management Framework (AI RMF)? 1. AIリスクマネジメントフレームワーク(AI RMF)とは何ですか?
The Framework is intended to help developers,users and evaluators of AI systems better manage AI risks which could affect individuals, organizations, or society. It aims to foster the development of innovative approaches to address characteristics of trustworthiness including accuracy, explainability and interpretability, reliability, privacy, robustness, safety, security (resilience), and mitigation of unintended and/or harmful bias or harmful uses. The Framework should consider and encompass principles such as transparency, accountability, and fairness during pre-design, design and development, deployment, use, and test and evaluation of AI technologies and systems. These characteristics and principles are generally considered as contributing to the trustworthiness of AI technologies and systems, products, and services. このフレームワークは、AIシステムの開発者、利用者、評価者が、個人、組織、社会に影響を与える可能性のあるAIリスクをより適切に管理できるようにすることを目的としています。正確性、説明可能性、解釈可能性、信頼性、プライバシー、堅牢性、安全性、セキュリティ(レジリエンス)、意図しないバイアスや有害な利用の緩和など、信頼性の特徴に対処する革新的なアプローチの開発を促進することを目的としています。 フレームワークは、AI技術やシステムの事前設計、設計・開発、展開、使用、テスト・評価において、透明性、説明責任、公平性などの原則を考慮し、包含する必要があります。 これらの特性や原則は、一般的にAI技術やシステム、製品、サービスの信頼性に寄与すると考えられています。
2. Why is NIST developing the Framework? 2. なぜNISTはフレームワークを開発するのか?
NIST aims to cultivate trust in the design, development, use, and evaluation of AI technologies and systems in ways that enhance economic security and improve quality of life. The agency’s work on an AI RMF is consistent with recommendations by the National Security Commission on Artificial Intelligence and the Plan for Federal Engagement in Developing AI Technical Standards and Related Tools. Congress has directed NIST to collaborate with the private and public sectors to develop a voluntary AI RMF. NISTは、経済的安全性を高め、生活の質を向上させる方法で、AI技術やシステムの設計、開発、使用、評価における信頼を育成することを目指しています。NISTのAI RMFへの取り組みは、人工知能に関する国家安全保障委員会の勧告や、AI技術標準および関連ツールの開発における連邦政府の関与のための計画とも合致しています。議会はNISTに対し、民間および公共部門と協力して任意のAI RMFを開発するよう指示しています。
3. For whom is the Framework intended? 3. フレームワークは誰のためのものですか?
It should be useful for those who design, develop, use, or evaluate AI technologies. It will use language that is understandable by a broad audience, including senior executives and those who are not AI professionals, while still of sufficient technical depth to be useful to practitioners across many domains. The Framework should be scalable to organizations of all sizes, public or private, in any sector, and operating within or across domestic borders. AI技術を設計、開発、使用、評価する人々にとって有用であるべきです。上級管理職やAIの専門家ではない人を含む幅広い聴衆に理解できる言葉を使う一方、多くの領域の実務家にとって有用な十分な技術的深さを持つものでなければなりません。フレームワークは、公共・民間、セクター、国内・国外を問わず、あらゆる規模の組織に適用可能なものでなければなりません。
4. Will private or public sector organizations be required to use the Framework? 4. 民間企業や公的機関は、このフレームワークの使用を要求されますか?
No. NIST is producing this as a voluntary Framework. いいえ。NISTはこのフレームワークを任意のものとして作成しています。
5. How is the Framework being developed and what’s the timeframe? 5. フレームワークはどのように開発され、どのようなタイムフレームで進行しますか?
NIST is soliciting input from all interested stakeholders. It will be consensus-driven and developed and updated through an open, transparent, and collaborative process. NIST has a long track record of successfully and collaboratively working with others to develop standards and guidelines. NIST will model its approach in the same way that it used to develop other frameworks. NISTは、すべての利害関係者からインプットを求めています。このフレームワークはコンセンサス主導で、オープンで透明性の高い、協力的なプロセスを通じて開発・更新される予定です。NISTには、他者との協働による標準やガイドラインの開発を成功させてきた長い実績があります。NISTは、他のフレームワークの開発に使用したのと同じ方法で、そのアプローチをモデル化します。
NIST released a draft AI RMF on March 17th with comments due by April 29, 2022. Discussions about the draft will take place during a NIST workshop March 29-31, 2022. A second draft will be released, and another workshop held, in the Summer/Fall of 2022 with AMF 1.0 released by early 2023. NISTは3月17日にAI RMFのドラフトを発表し、2022年4月29日までにコメントを提出することになっています。ドラフトに関する議論は、2022年3月29日から31日にかけて開催されるNISTのワークショップで行われる予定です。2022年夏から秋にかけて2回目のドラフトが発表され、再度ワークショップが開催され、2023年初頭までにAMF1.0がリリースされる予定です。
6. Will NIST provide additional guidance to help with using the AI RMF? 6. NISTは、AI RMFの使用に役立つ追加ガイダンスを提供するのでしょうか?
Yes. NIST is producing a companion Practice Guide to assist in adopting the AI RMF. That Guide, which is expected to be released for initial comment by the March 29-31, 2022, workshop of the AI RMF. Comments on the draft AI RMF will be taken into account as the Practice Guide is developed. はい。NISTは、AI RMFの採用を支援するため、関連する実践ガイドを作成中です。このガイドは、2022年3月29-31日に開催されるAI RMFのワークショップまでに最初のコメントを得るためにリリースされる予定です。AI RMFのドラフトに対するコメントは、実践ガイドの作成に際して考慮される予定です。
It will reside online only and will be updated regularly with contributions expected to come from many stakeholders. The Guide will be part of a NIST AI Resource Center that is being established. NIST already has published a variety of documents and carries out measurement and evaluation projects which inform AI risk management. See: https://www.nist.gov/artificial-intelligence このガイドはオンラインのみで公開され、定期的に更新される予定であり、多くのステークホルダーからの貢献が期待されます。 本ガイドは、現在設立中のNIST AI Resource Centerの一部となる予定です。NISTは既に様々な文書を発表しており、AIのリスクマネジメントに役立つ測定・評価プロジェクトを実施しています。参照: https://www.nist.gov/artificial-intelligence
7. Will the AI RMF relate to other NIST frameworks on cybersecurity and privacy? 7. AI RMFは、サイバーセキュリティやプライバシーに関する他のNISTフレームワークと関連しますか?
Stakeholders are being asked to provide input to help determine whether it makes sense to relate the AI RMF to other NIST frameworks. ステークホルダーは、AI RMFを他のNISTフレームワークと関連付けることに意味があるかどうかを判断するために、意見を提供するよう求められています。
8. How does this fit in with other NIST AI research, standards, and other activities? 8. NISTの他のAI研究、標準化、その他の活動とどのように連携しているのか?
NIST aims to cultivate trust in the design, development, use, and evaluation of AI technologies and systems in ways that enhance economic security and improve quality of life. The agency focuses on improving measurement science, standards, technology, and related tools, including evaluation and data. NIST is developing forward-thinking approaches that support innovation and confidence in AI systems. Its work on an AI RMF is consistent with the Plan for Federal Engagement in Developing AI Technical Standards and Related Tools published in 2019. NISTは、AI技術やシステムの設計、開発、使用、評価において、経済的安全性を高め、生活の質を向上させるような形で信頼を培うことを目指しています。NISTは、測定科学、標準、技術、および評価やデータを含む関連ツールの改善に重点を置いています。NISTは、AIシステムのイノベーションと信頼を支援する先進的なアプローチを開発しています。AI RMFに関するその作業は、2019年に発表された「AI技術標準および関連ツールの開発における連邦政府の関与のための計画」と一致します。
9. How do I get involved in the Framework development effort? 9. フレームワーク開発の取り組みに参加するにはどうすればよいですか?
NIST is developing the AI RMF through a consensus-driven, open, and collaborative process that will include workshops, a Request for Information,  and other opportunities to provide input. Check out our Engage page, watch this space for specific opportunities, sign up to receive email notifications about NIST’s AI activities here, or contact us at: AIframework@nist.gov NISTは、ワークショップ、Request for Information、その他の意見提供の機会を含む、合意主導のオープンかつ協力的なプロセスを通じて、AI RMFの開発を進めています。また、NISTのAI活動に関するお知らせのメール配信にご登録いただくこともできます。 AIframework@nist.gov
10. Who can answer additional questions regarding the Framework? 10. フレームワークに関するその他の質問には誰が答えてくれるのですか?
Send us an email: AIframework@nist.gov メールでお問い合わせください。 AIframework@nist.gov

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

NISTIR 8269↓

・2021.12.15 ENISA 機械学習アルゴリズムの保護


NISTIR 8312↓

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)


・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

OECD

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

 

 


 

■ 参考

OECDの「人工知能に関する理事会勧告」

OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 

 

| | Comments (0)

個人情報保護委員会 ECサイトへの不正アクセスに関する実態調査(令和4年3月)

こんにちは、丸山満彦です。

個人情報保護委員会が、ECサイトへの不正アクセスに関する実態調査(令和4年3月)を公表していますね。。。

多層防御 (Multi-Layered Security) の考え方がちょっと違うかなぁという気もします(^^;;

委託先の話は、システム開発・運用環境については様々なパターンが想定されるので、どのパターンに対して、どのような対策が適切かとか色々あり得るので、対策を簡単にまとめるのは難しいなぁ。。。と思ったり増しました。。。

 

個人情報保護委員会

・2022.03.18 [PDF] ECサイトへの不正アクセスに関する実態調査(令和4年3月)

20220321-225607  


1. 漏えい等の発生原因

・ 不正アクセスを受けた EC サイトの運営事業者の多くが、EC サイトの開発・構築、運用・保守を外部の事業者に委託していた。

・ 外部委託している事業者において、自社と委託先との間でセキュリティ対策に関する責任範囲を理解しておらず、認識合わせ・合意をしていないとする事業者が多くみられた。セキュリティ対策に漏れが生じないようにするため、委託先との間で、セキュリティ対策の具体的な方法や責任範囲を明確にしておくことが肝要である。

・ 不正アクセスの発生理由についての自社の認識として、脆弱性についての理解不足、技術的ノウハウの不足など、情報セキュリティに関する知識面での不足を挙げる事業者が多くみられ、委託先任せの姿勢を挙げる事業者も過半数となっているほか、予算・人的リソースの不足を挙げる事業者も半数近くに及んでいる。

2. 再発防止策

・ 不正アクセスを受けて、EC サイトの開発・構築を、自社開発や外部委託から、クラウド型サービスによる構築やショッピングモール型のサービスの利用に切り替えた事業者が、多くみられる。

・ 不正アクセスを受けた後、多くの事業者が、EC サイトのセキュリティ対策として、セキュリティ製品の導入、②定期的なソフトウェアの更新、③管理者画面へのアクセス制御の強化又は多要素認証、④WAF の設定見直しや EC パッケージのセキュリティ設定の定期見直し、製品脆弱性の最新情報の収集、定期的なセキュリティ診断を実施している。再発防止策として、これらのセキュリティ対策をできるだけ複数、組み合わせた多層防御を行うことが求められる。

・ 不正アクセスを受けた後、自社従業者へのセキュリティ教育の強化やセキュリティ責任者の配置など、管理体制の強化を図った事業者が多くみられた。自社の EC サイトに必要なセキュリティ対策について全て委託先任せとするのではなく、委託元としてもセキュリティ対策に関する知識を有する人材を育成・確保していくことが求められる。

3. 漏えい等に伴い発生した損失

・ 不正アクセスを受けて個人データが漏えいすることにより、原因等の調査や顧客対応等に多額の費用が発生するほか、EC サイトの運営再開までの間の販売機会を逃すことによる損失も生じる。

・ こうした損失を回避するためには、セキュリティ対策を日頃から適切に行うことが肝要である。


 

| | Comments (0)

2022.03.21

NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

こんにちは、丸山満彦です。

NISTが、SP1270 人工知能におけるバイアスの識別と管理を公表していましたね。。。

次の図が印象的ですね。。。

1_20220321013601

 

 

NIST

・2022.03.16 (news) There’s More to AI Bias Than Biased Data, NIST Report Highlights

There’s More to AI Bias Than Biased Data, NIST Report Highlights AIバイアスには偏ったデータ以上のものがある、NISTの報告書が強調するもの
Rooting out bias in artificial intelligence will require addressing human and systemic biases as well.  人工知能のバイアスを根絶するには、人間やシステム的なバイアスにも対処する必要があります。 
Bias in AI systems is often seen as a technical problem, but the NIST report acknowledges that a great deal of AI bias stems from human biases and systemic, institutional biases as well.  AIシステムにおけるバイアスは技術的な問題として捉えられがちですが、NISTの報告書では、AIのバイアスの多くは人間のバイアスやシステム的、制度的なバイアスにも起因していることを認めています。 
As a step toward improving our ability to identify and manage the harmful effects of bias in artificial intelligence (AI) systems, researchers at the National Institute of Standards and Technology (NIST) recommend widening the scope of where we look for the source of these biases — beyond the machine learning processes and data used to train AI software to the broader societal factors that influence how technology is developed. 米国国立標準技術研究所(NIST)の研究者は、人工知能(AI)システムにおけるバイアスの有害な影響を特定し管理する能力を向上させるための一歩として、こうしたバイアスの原因を探る範囲を広げることを推奨しています。それは、AIソフトウェアの学習に使用する機械学習プロセスやデータを超えて、技術の開発方法に影響を及ぼすより幅広い社会的要因に至るまでです。
The recommendation is a core message of a revised NIST publication, Towards a Standard for Identifying and Managing Bias in Artificial Intelligence (NIST Special Publication 1270), which reflects public comments the agency received on its draft version released last summer. As part of a larger effort to support the development of trustworthy and responsible AI, the document offers guidance connected to the AI Risk Management Framework that NIST is developing.  この提言は、NISTの出版物「T人工知能におけるバイアスの識別と管理の標準化に向けて」(NIST Special Publication 1270)の改訂版の中核的メッセージであり、昨年夏に発表したドラフト版に対して寄せられたパブリックコメントを反映させています。信頼できる責任あるAIの開発を支援するための大きな取り組みの一環として、この文書は、NISTが開発中のAIリスク管理フレームワークに関連するガイダンスを提供しています。 
According to NIST’s Reva Schwartz, the main distinction between the draft and final versions of the publication is the new emphasis on how bias manifests itself not only in AI algorithms and the data used to train them, but also in the societal context in which AI systems are used.  NISTのシュワルツ氏によると、出版物のドラフト版と最終版の主な違いは、AIアルゴリズムやその学習に使用するデータだけでなく、AIシステムが使用される社会的背景において、バイアスがいかに現れるかを新たに強調したことだということです。 
“Context is everything,” said Schwartz, principal investigator for AI bias and one of the report’s authors. “AI systems do not operate in isolation. They help people make decisions that directly affect other people’s lives. If we are to develop trustworthy AI systems, we need to consider all the factors that can chip away at the public’s trust in AI. Many of these factors go beyond the technology itself to the impacts of the technology, and the comments we received from a wide range of people and organizations emphasized this point.” コンテキストがすべて と、AIバイアスの主任研究員で報告書の著者の一人であるシュワルツは次のように述べています。「AIシステムは単独で動作するものではありません。それらは、他の人々の生活に直接影響を与える意思決定を支援します。信頼できるAIシステムを開発するためには、AIに対する人々の信頼を削ぐ可能性のあるすべての要因を考慮する必要があります。これらの要因の多くは、技術そのものにとどまらず、技術がもたらす影響にまで及んでおり、幅広い人々や組織から寄せられたコメントは、この点を強調しています。」
NIST contributes to the research, standards and data required to realize the full promise of artificial intelligence (AI) as an enabler of American innovation across industry and economic sectors. Working with the AI community, NIST seeks to identify the technical requirements needed to cultivate trust that AI systems are accurate and reliable, safe and secure, explainable, and free from bias.  NISTは、産業および経済部門にわたる米国のイノベーションを実現するものとして、人工知能(AI)の完全な約束を実現するために必要な研究、標準、データに貢献しています。NISTは、AIコミュニティと協力し、AIシステムが正確で信頼でき、安全で確実で、説明可能で、バイアスがないという信頼を培うために必要な技術要件を明らかにしようとしています。 
Bias in AI can harm humans. AI can make decisions that affect whether a person is admitted into a school, authorized for a bank loan or accepted as a rental applicant. It is relatively common knowledge that AI systems can exhibit biases that stem from their programming and data sources; for example, machine learning software could be trained on a dataset that underrepresents a particular gender or ethnic group. The revised NIST publication acknowledges that while these computational and statistical sources of bias remain highly important, they do not represent the full picture. AIのバイアスは人間に危害を加える可能性があります。AIは、人が学校に入学するかどうか、銀行の融資を認可されるかどうか、賃貸の申込者として受け入れられるかどうかに影響する決定を下すことができます。例えば、機械学習ソフトは、特定の性別や民族を十分に反映していないデータセットで訓練される可能性があります。NISTの改訂版では、このような計算や統計によるバイアスは非常に重要ではあるものの、全体像を表しているわけではないことを認めています。
A more complete understanding of bias must take into account human and systemic biases, which figure significantly in the new version. Systemic biases result from institutions operating in ways that disadvantage certain social groups, such as discriminating against individuals based on their race. Human biases can relate to how people use data to fill in missing information, such as a person’s neighborhood of residence influencing how likely authorities would consider the person to be a crime suspect. When human, systemic and computational biases combine, they can form a pernicious mixture — especially when explicit guidance is lacking for addressing the risks associated with using AI systems.  バイアスをより完全に理解するためには、人間的・体系的なバイアスを考慮する必要があり、これは新版で大きく取り上げられています。システム的なバイアスは、人種による差別など、特定の社会集団に不利益をもたらす方法で運営されている制度から生じるものです。ヒューマンバイアスは、例えば、居住地域が犯罪の容疑者であると当局が判断する可能性に影響を与えるなど、人々がデータを使って不足している情報を補うことに関係しています。特に、AIシステムの使用に伴うリスクに対処するための明確な指針がない場合、人間的、システム的、計算機的なバイアスが組み合わさると、悪質な混合物を形成する可能性があるのです。 
“If we are to develop trustworthy AI systems, we need to consider all the factors that can chip away at the public’s trust in AI. Many of these factors go beyond the technology itself to the impacts of the technology.”  —Reva Schwartz, principal investigator for AI bias 「信頼できるAIシステムを開発するためには、AIに対する人々の信頼を損なう可能性のあるすべての要因を考慮する必要があります。これらの要因の多くは、技術そのものにとどまらず、技術がもたらす影響にまで及びます。」  -レヴァ・シュワルツ(AIバイアス担当主任研究員
To address these issues, the NIST authors make the case for a “socio-technical” approach to mitigating bias in AI. This approach involves a recognition that AI operates in a larger social context — and that purely technically based efforts to solve the problem of bias will come up short.  これらの問題に対処するため、NISTの著者らは、AIにおけるバイアスを緩和するための「社会技術的」アプローチの必要性を訴えている。このアプローチには、AIがより大きな社会的文脈の中で動作していること、そしてバイアスの問題を解決するための純粋に技術的な取り組みでは不十分であることを認識することが含まれています。 
“Organizations often default to overly technical solutions for AI bias issues,” Schwartz said. “But these approaches do not adequately capture the societal impact of AI systems. The expansion of AI into many aspects of public life requires extending our view to consider AI within the larger social system in which it operates.”  シュワルツは、次のように述べています。「組織はしばしば、AIのバイアスの問題に対して、過度に技術的な解決策をとることがあります。しかし、これらのアプローチでは、AIシステムの社会的影響を適切に捉えることができません。AIが公共生活の多くの側面に拡大することで、AIが運用されるより大きな社会システムの中でAIを考慮するよう、視野を広げる必要があります。」
Socio-technical approaches in AI are an emerging area, Schwartz said, and identifying measurement techniques to take these factors into consideration will require a broad set of disciplines and stakeholders. AIにおける社会技術的アプローチは新たな領域であり、これらの要素を考慮するための測定技術を特定するには、幅広い分野と関係者が必要であるとSchwartzは述べています。
“It’s important to bring in experts from various fields — not just engineering — and to listen to other organizations and communities about the impact of AI,” she said. エンジニアリングだけでなく、さまざまな分野の専門家を招き、AIの影響について他の組織やコミュニティの意見を聞くことが重要です と述べています。
NIST is planning a series of public workshops over the next few months aimed at drafting a technical report for addressing AI bias and connecting the report with the AI Risk Management Framework. For more information and to register, visit the AI RMF workshop page.  NISTは、AIのバイアスに対処するための技術報告書を起草し、その報告書をAIリスク管理フレームワークに接続することを目的として、今後数カ月間に一連の公開ワークショップを計画しています。詳細と登録は、AI RMFワークショップのページをご覧ください。 

 

・[PDF] SP1270 Towards a Standard for Identifying and Managing Bias in Artificial Intelligence

20220321-15021

Executive Summary エグゼクティブサマリー
As individuals and communities interact in and with an environment that is increasingly virtual, they are often vulnerable to the commodification of their digital footprint. Concepts and behavior that are ambiguous in nature are captured in this environment, quantified, and used to categorize, sort, recommend, or make decisions about people’s lives. While many organizations seek to utilize this information in a responsible manner, biases remain endemic across technology processes and can lead to harmful impacts regardless of intent. These harmful outcomes, even if inadvertent, create significant challenges for cultivating public trust in artificial intelligence (AI). 個人やコミュニティがバーチャルな環境で交流するとき、彼らはしばしばデジタルフットプリントの商品化の影響を受けやすくなります。このような環境では、本質的に曖昧な概念や行動が捕捉され、数値化され、人々の生活に関する分類、選別、推奨、意思決定に利用されています。多くの組織がこの情報を責任を持って活用しようと努めていますが、技術プロセスにはバイアスがつきもので、意図に関係なく有害な影響をもたらす可能性があります。こうした有害な結果は、たとえ不注意であったとしても、人工知能(AI)に対する社会の信頼を醸成する上で大きな課題となります。
While there are many approaches for ensuring the technology we use every day is safe and secure, there are factors specific to AI that require new perspectives. AI systems are often placed in contexts where they can have the most impact. Whether that impact is helpful or harmful is a fundamental question in the area of Trustworthy and Responsible AI. Harmful impacts stemming from AI are not just at the individual or enterprise level, but are able to ripple into the broader society. The scale of damage, and the speed at which it can be perpetrated by AI applications or through the extension of large machine learning MODELs across domains and industries requires concerted effort. Current attempts for addressing the harmful effects of AI bias remain focused on computational factors such as representativeness of datasets and fairness of machine learning algorithms. These remedies are vital for mitigating bias, and more work remains. Yet, as illustrated in Fig. 1, human and systemic institutional and societal factors are significant sources of AI bias as well, and are currently overlooked. Successfully meeting this challenge will require taking all forms of bias into account. This means expanding our perspective beyond the machine learning pipeline to recognize and investigate how this technology is both created within and impacts our society. 私たちが毎日使っている技術を安全・安心なものにするためのアプローチは数多くありますが、AIに特有の要因もあり、新しい視点が必要です。AIシステムは、最も影響を与えることができる文脈に置かれることが多くあります。その影響が有益なものか有害なものかは、「信頼できる責任あるAI」の領域における基本的な問題です。AIに起因する有害な影響は、個人や企業レベルだけでなく、より広い社会に波及する可能性があります。AIアプリケーションによって、あるいは大規模な機械学習MODELのドメインや産業にわたる拡張によって引き起こされる被害の規模やそのスピードは、協調的な努力を必要とします。AIによるバイアスの悪影響に対処するための現在の試みは、データセットの代表性や機械学習アルゴリズムの公正さといった計算論的要因に焦点が当てられているに過ぎない。これらの対策はバイアスを軽減するために不可欠であり、さらに多くの課題が残されています。しかし、図1に示すように、人間や制度的・社会的要因もAIバイアスの重要な原因であり、現状では見過ごされています。この課題を成功させるには、あらゆる形態のバイアスを考慮する必要があります。これは、機械学習のパイプラインを越えて、この技術がどのように私たちの社会の中で生まれ、どのような影響を与えるかを認識し、調査するために、私たちの視点を拡大することを意味します。
Trustworthy and Responsible AI is not just about whether a given AI system is biased, fair or ethical, but whether it does what is claimed. Many practices exist for responsibly producing AI. The importance of transparency, datasets, and test, evaluation, validation, and verification (TEVV) cannot be overstated. Human factors such as participatory design techniques and multi-stakeholder approaches, and a human-in-the-loop are also important for mitigating risks related to AI bias. However none of these practices individually or in concert are a panacea against bias and each brings its own set of pitfalls. What is missing from current remedies is guidance from a broader SOCIO-TECHNICAL perspective that connects these practices to societal values. Experts in the area of Trustworthy and Responsible AI counsel that to successfully manage the risks of AI bias we must operationalize these values and create new norms around how AI is built and deployed. This document, and work by the National Institute of Standards and Technology (NIST) in the area of AI bias, is based on a socio-technical perspective. 信頼できる責任あるAIとは、あるAIシステムがバイアスに満ちているか、公正か、倫理的かということだけでなく、主張されたことを実行するかどうかということです。責任を持ってAIを生産するための多くの実践が存在します。透明性、データセット、テスト、評価、妥当性確認、検証(TEVV)の重要性は、いくら強調してもし過ぎることはない。また、参加型設計手法やマルチステークホルダーアプローチなどの人的要因や、人間がループに入ることも、AIのバイアスに関連するリスクを軽減する上で重要です。しかし、これらの実践は、単独でも連携しても、バイアスに対する万能薬ではなく、それぞれに落とし穴があります。現在の救済策に欠けているのは、これらの実践を社会的価値と結びつける、より広範な社会技術的観点からのガイダンスです。信頼できる責任あるAI の分野の専門家は、AIのバイアスのリスクをうまく管理するためには、これらの価値を運用し、AIの構築と展開の方法に関する新しい規範を作成する必要があると助言しています。この文書と、AIのバイアスの分野における米国標準技術研究所(NIST)の研究は、社会技術的な視点に基づいています。
The intent of this document is to surface the salient issues in the challenging area of AI bias, and to provide a first step on the roadmap for developing detailed socio-technical guidance for identifying and managing AI bias. Specifically, this special publication: この文書の意図は、AIバイアスという困難な分野における顕著な問題を表面化させ、AIバイアスを特定し管理するための詳細な社会技術的ガイダンスを開発するためのロードマップの第一歩を提供することです。具体的には、本特別出版は以下の通りです。
・describes the stakes and challenge of bias in artificial intelligence and provides examples of how and why it can chip away at public trust; ・人工知能におけるバイアスの重要性と課題を説明し、それがどのように、そしてなぜ社会的信頼を損ないうるかの例を提示する。
・identifies three categories of bias in AI — systemic, statistical, and human — and describes how and where they contribute to harms; ・AIにおけるバイアスの3つのカテゴリー(システム的、統計的、人間的)を特定し、それらがどのように、どこで害を及ぼすかを説明する。
・describes three broad challenges for mitigating bias — datasets, testing and evaluation, and human factors — and introduces preliminary guidance for addressing them. ・バイアスを軽減するための3つの大きな課題(データセット、テストと評価、人的要因)を説明し、それらに対処するための予備的ガイダンスを紹介する。
Bias is neither new nor unique to AI and it is not possible to achieve zero risk of bias in an AI system. NIST intends to develop methods for increasing assurance, GOVERNANCE and practice improvements for identifying, understanding, measuring, managing, and reducing bias. To reach this goal, techniques are needed that are flexible, can be applied across contexts regardless of industry, and are easily communicated to different stakeholder groups. To contribute to the growth of this burgeoning topic area, NIST will continue its work in measuring and evaluating computational biases, and seeks to create a hub for evaluating socio-technical factors. This will include development of formal guidance and standards, supporting standards development activities such as workshops and public comment periods for draft documents, and ongoing discussion of these topics with the stakeholder community. バイアスはAIにとって新しいものでも特殊なものでもなく、AIシステムにおけるバイアスのリスクをゼロにすることは不可能です。NISTは、バイアスの特定、理解、測定、管理、低減のための保証、ガバナンス、実践改善を高めるための方法を開発する意向です。この目標を達成するためには、柔軟性があり、業界に関係なく文脈を超えて適用でき、異なるステークホルダー集団に容易に伝達できる手法が必要です。この急成長中のトピック分野の成長に貢献するため、NISTは、計算バイアスの測定と評価における作業を継続し、社会技術的な要因を評価するためのハブを構築することを目指します。これには、正式なガイダンスと標準の開発、ワークショップやドラフト文書に対するパブリックコメント期間などの標準開発活動の支援、およびこれらのトピックに関するステークホルダーコミュニティとの継続的な議論が含まれます。

 

目次...

1 Purpose and Scope 1 目的と範囲
2 AI Bias: Context and Terminology 2 AIバイアス:コンテキストと用語解説
2.1 Characterizing AI bias 2.1 AIバイアスの特徴
2.1.1 Contexts for addressing AI bias 2.1.1 AIバイアスに対処するためのコンテクスト
2.1.2 Categories of AI bias 2.1.2 AIバイアスのカテゴリー
2.2 How AI bias contributes to harms 2.2 AIバイアスはどのように害に寄与するのか
2.3 A Socio-technical Systems Approach 2.3 社会技術システムアプローチ
2.4 An Updated AI Lifecycle 2.4 更新されたAIライフサイクル
3 AI Bias: Challenges and Guidance 3 AIバイアス:課題と指針
3.1 Who is Counted? Datasets in AI Bias 3.1 誰がカウントされるのか?AIバイアスにおけるデータセット
3.1.1 Dataset Challenges 3.1.1 データセットの課題
3.1.2 Dataset Guidance 3.1.2 データセットのガイダンス
3.2 How do we know what is right? TEVV Considerations for AI Bias 3.2 何が正しいか、どうすればわかるのか?AIバイアスのためのTEVV考察
3.2.1 TEVV Challenges 3.2.1 TEVVの課題
3.2.2 TEVV Guidance 3.2.2 TEVVガイダンス
3.3 Who makes decisions and how do they make them? Human Factors in AIBias 3.3 誰が、どのように意思決定するのか?AIBiasにおけるヒューマンファクター
3.3.1 Human Factors Challenges 3.3.1 ヒューマンファクタの課題
3.3.2 Human Factors Guidance 3.3.2 ヒューマンファクターに関するガイダンス
3.4 How do we manage and provide oversight? Governance and AI Bias 3.4 どのように管理し、監督を行うか?ガバナンスとAIの偏り
3.4.1 Governance Guidance 3.4.1 ガバナンス・ガイダンス
4 Conclusions 4 結論

 

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

| | Comments (0)

バイデン大統領と習近平国家主席とのオンライン会談 (台湾とかウクライナとか...)

こんにちは、丸山満彦です。

バイデン大統領と習近平国家主席がオンライン会談をしていましたね。。。ウクライナ問題も議題に上がったようですね。。。

話が噛み合っているような、噛み合っていないような。。。

 

米国政府の発表。発表の時系列に...

White House

・2022.03.17 Statement by Press Secretary Jen Psaki on President Biden’s Call with President Xi Jinping of the People’s Republic of China

Statement by Press Secretary Jen Psaki on President Biden’s Call with President Xi Jinping of the People’s Republic of China バイデン大統領と習近平国家主席とのオンライン会談に関するジェン・プサキ報道官によるステートメント
President Joseph R. Biden, Jr. will speak with President Xi Jinping of the People’s Republic of China (PRC) this Friday. This is part of our ongoing efforts to maintain open lines of communication between the United States and the PRC. The two Leaders will discuss managing the competition between our two countries as well as Russia’s war against Ukraine and other issues of mutual concern. ジョセフ・R・バイデンJr.大統領は今週金曜日、中華人民共和国(PRC)の習近平国家主席と会談する予定です。 これは、米国と中国の間に開かれたコミュニケーションラインを維持するための、我々の継続的な努力の一環です。両首脳は、両国間の競争の管理、ロシアのウクライナに対する戦争、その他の相互の関心事について話し合う予定です。

 

・2022.03.18 Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China

Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China ジョセフ・R・バイデン Jr. 中華人民共和国の習近平国家主席とのオンライン会談について
President Joseph R. Biden, Jr. spoke today with President Xi Jinping of the People’s Republic of China (PRC). The conversation focused on Russia’s unprovoked invasion of Ukraine. President Biden outlined the views of the United States and our Allies and partners on this crisis. President Biden detailed our efforts to prevent and then respond to the invasion, including by imposing costs on Russia. He described the implications and consequences if China provides material support to Russia as it conducts brutal attacks against Ukrainian cities and civilians. The President underscored his support for a diplomatic resolution to the crisis. The two leaders also agreed on the importance of maintaining open lines of communication, to manage the competition between our two countries. The President reiterated that U.S. policy on Taiwan has not changed, and emphasized that the United States continues to oppose any unilateral changes to the status quo. The two leaders tasked their teams to follow up on today’s conversation in the critical period ahead. ジョセフ・R・バイデンJr.大統領は本日、中華人民共和国(PRC)の習近平国家主席と会談しました。会談では、ロシアのウクライナへのいわれのない侵攻に焦点が当てられました。バイデン大統領は、この危機に対する米国と同盟国およびパートナーの見解について概要を説明しました。バイデン大統領は、ロシアにコストを課すことを含め、侵攻を防止し、それに対応するための我々の努力について詳しく説明しました。また、ロシアがウクライナの都市や市民に対して残忍な攻撃を行う際に、中国がロシアに物質的支援を提供した場合の意味と結果について説明しました。大統領は、この危機の外交的解決への支持を強調しました。両首脳はまた、両国間の競争を管理するために、開かれたコミュニケーションラインを維持することの重要性で一致しました。大統領は、台湾に対する米国の政策に変更がないことを改めて強調し、米国は引き続き、現状に対するいかなる一方的な変更にも反対することを強調しました。両首脳は、これからの重要な時期に、今日の会話をフォローアップすることをそれぞれのチームに課しました。

 

・2022.03.18 Background Press Call by a Senior Administration Official on President Biden’s Call with President Xi Jinping of China 
 

Background Press Call by a Senior Administration Official on President Biden’s Call with President Xi Jinping of China バイデン大統領と習近平国家主席との電話会談に関する政権高官による背景説明プレスコール
2:53 P.M. EDT 米国東部標準時:2:53 P.M.
     SENIOR ADMINISTRATION OFFICIAL:  Thank you.  Thanks, everyone, for joining.  I just — at the top, I want to say, you know, incredibly sorry for the delay today.  We really try for this not to ever happen.  And just some scheduling and logistical challenges today put us a little bit back.  So, again, true apologies, and we know how important your time is.      政府高官:ありがとうございます。  皆さん、ご参加ありがとうございます。  冒頭で、今日の遅刻は本当に申し訳ないと申し上げたいのです。  このようなことが起こらないように、私たちは本当に努力しています。  ただ、今日はスケジュールとロジスティクスの問題で、少し遅れてしまいました。  皆さんの時間がどれほど大切か、私たちは知っています。
So, that being said, you know, welcome to the call.  This call is on background.  It is attributable to a “senior administration official.”  And this call is embargoed until the end of the call. ということで、お電話をありがとうございました。  この通話はバックグラウンドで行われます。  [政府高官] によるものです。  この通話は最後になるまで公開禁止です。
For your awareness and not for reporting, the speaker on this call is [senior administration official].  And with that, I’ll turn it over to you to give some remarks, and then we’ll take some questions.  Thanks, again, everyone. この通話の発言者は[政府高官]であることをご理解ください。  それでは、ご挨拶と質問をお願いします。  皆さん、ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Thanks, [senior administration official].  And I’ll just reiterate: Everybody, thanks for your patience today.  And I’ll, with that, just get right to it. 政府高官: ありがとう、[政府高官]さん。  そして、もう一度言います。皆さん、今日はお待たせしました。  それでは、本題に入りたいと思います。
You all have hopefully now seen the readout that has gone out.  So, just building on that with a little bit more detail for all of you, you know, the call between President Biden and President Xi this morning lasted approximately two hours.  Of course, it was conducted by a secure video link.  皆さんは今、配信された読み上げをご覧になったことと思います。  今朝のバイデン大統領と習近平国家主席の電話会談はおよそ2時間でした。  もちろん、安全なビデオリンクで行われました。 
I would say the conversation was direct.  It was substantive and it was detailed.  The two leaders spent the preponderance of their time discussing Russia’s unprovoked and unjustified invasion of Ukraine, as well as the implications of the crisis for U.S.-China relations and the international order. 会話は直接的だったと言えるでしょう。  実質的であり、詳細でした。  両首脳はその大半の時間を、ロシアのいわれのない不当なウクライナ侵攻と、この危機が米中関係や国際秩序に与える影響について議論しました。
President Biden shared with President Xi a detailed review of how things have developed to this point, his assessment of the situation today, and President Biden underscored his support for a diplomatic resolution to the crisis.  バイデン大統領は習主席と、ここまでの経緯や今日の状況についての評価を詳しく共有し、バイデン大統領は危機の外交的解決への支持を強調しました。 
     The President described our assessment of Putin’s actions and his miscalculations.  He also described the unity of the United States and its Allies and partners, the unprecedented coordination with our European, NATO, and Indo-Pacific partners, and the overwhelming global unity and condemnation of Russia — Russia’s invasion of Ukraine, as well as the support for Ukraine.      大統領は、プーチンの行動とその誤算に関する我々の評価を説明しました。  また、米国とその同盟国およびパートナーの結束、欧州、NATO、インド太平洋地域のパートナーとの前例のない連携、ロシア-ロシアのウクライナ侵攻に対する圧倒的な世界の結束と非難、そしてウクライナへの支援について説明しました。
President Biden made clear the implication and consequences of China providing material support — if China were to provide material support — to Russia as it prosecutes its brutal war in Ukraine, not just for China’s relationship with the United States but for the wider world.   バイデン大統領は、中国がウクライナで残虐な戦争を遂行するロシアに物質的支援を提供した場合、中国と米国の関係だけでなく、より広い世界に対してその意味合いと結果を明確にしました。 
And he stressed concerns, as you’ve heard us speak about more broadly, that Russia is spreading disinformation about biological weapons in Ukraine as a pretext for a false-flag operation and underscored concerns about echoing such disinformation.  そして、これまで私たちがより広く語ってきたように、ロシアが偽旗作戦の口実としてウクライナの生物兵器に関する偽情報を流していることへの懸念を強調し、そうした偽情報に呼応することへの懸念を強調しました。 
President Xi raised Taiwan.  President Biden reiterated that the United States remains committed to our one-China policy and is guided by the Taiwan Relations Act, the Three Joint Communiqués, and the Six Assurances.  And he underscored the importance of maintaining peace and stability across the Taiwan Strait.  習主席は、台湾を提起しました。  バイデン大統領は、米国は引き続き一つの中国政策にコミットしており、台湾関係法、三つの共同コミュニケ、六つの保証に導かれていることを改めて強調しました。  そして、台湾海峡の平和と安定を維持することの重要性を強調しました。 
The two leaders also discussed the importance of managing competition between the two countries — between the United States and China — of addressing areas of strategic risk and maintaining open lines of communication.  And to that end, they tasked their teams to follow up on the leaders’ discussion in the days and weeks ahead. 両首脳はまた、両国の間、すなわち米国と中国の間の競争を管理すること、戦略的リスクのある分野に対処し、開かれたコミュニケーションラインを維持することの重要性について議論しました。  そして、そのために、両首脳はそれぞれのチームに、今後数日から数週間のうちに首脳の議論をフォローアップするよう命じた。
Of course, today’s conversation followed up on National Security Advisor Jake Sullivan’s meeting with his counterpart in Rome earlier this week in which the two agreed that the two presidents would speak — again, as both sides believe that there is no substitute for leader-to-leader engagement.  もちろん、本日の会談は、今週初めにローマで行われたジェイク・サリバン国家安全保障顧問の会談に続くもので、両首脳が話をすることに合意したのは、やはり両者にとって、指導者と指導者との対話に代わるものはないとの考えからです。 
And, as you all know, this call comes amid the intensive engagement we’ve had with allies and partners in Europe and the Indo-Pacific in recent weeks.  そして、皆さんもご存じのように、この数週間、欧州やインド太平洋地域の同盟国やパートナーと集中的に関与してきた中で、今回の電話会談が実現したのです。 
And with that, I will be happy to take your questions.  それでは、質問をお受けします。 
Q    Hi, [senior administration official].  Thanks for doing this.  First, I wanted to ask if President Biden warned Xi Jinping specifically about sanctions, or did he refer to more vague consequences should China provide any support for Russia in the war?  And regardless, what was Xi’s response to that? Q こんにちは、[政権高官]さん。  ありがとうございます。  まず、バイデン大統領が習近平に制裁について具体的に警告したのか、それとも中国が戦争でロシアに何らかの支援を行った場合、より曖昧な結果に言及したのか、お聞きしたいのです。  また、それに対する習近平の反応はどうだったのでしょうか。
Yeah, I appreciate that.  よろしくお願いします。
SENIOR ADMINISTRATION OFFICIAL:  Of course.  Well, thanks, Michael.  So, you know, as I mentioned, the President described the implications, you know, if China provides material support to Russia as it prosecutes this brutal war, but I’m not going to talk — I’m not going to, sort of, publicly lay out our options from here.  政府高官: もちろんです。  ありがとう、マイケル。  先ほど申し上げたように、大統領は、中国がこの残忍な戦争を遂行するロシアに物質的支援を提供した場合の影響について説明しましたが、私は、ここからの選択肢を公に打ち出すつもりはありません。 
We’re going to continue to talk directly with China, as well as to our Allies and partners, about the broader situation.  And I will let the PRC characterize what Xi Jinping’s comments were. 私たちは中国と、そして同盟国やパートナーと、より広範な状況について直接対話を続けるつもりです。  習近平の発言がどのようなものであったかは、中国に任せたいと思います。
Q    Thank you.  Do you have an assessment of whether or not China has made a decision to go down this road with Russia? Q ありがとうございます。  中国がロシアとこの道を歩む決断をしたかどうか、評価はありますか?
And then, second: More broadly, was there any talk of, sort of, the commercial ramifications that have happened for Russia as a result of this war, with big Western companies leaving and the prospect that that could happen to China if they were to get involved in assisting? そして、2つ目は、より広く、この戦争の結果、ロシアに起こった商業的な影響、欧米の大企業の撤退、そして、もし中国が支援に関わることになれば、中国にも起こりうるという見通しについて、ある種の話はありましたか?
SENIOR ADMINISTRATION OFFICIAL:  Thanks, Aamer.  On your first question, I’m not going to comment on specifics at this time. 政府高官:ありがとう、エイマー。  最初の質問については、現時点では具体的なコメントをするつもりはありません。
On the question about the actions — the economic responses to Russia and the private sector: Yeah, I would say, you know, the President, you know, really laid out in a lot of detail the unified response from not only, you know, governments around the world but also the private sector, to Russia’s brutal aggression in Ukraine. ロシアと民間企業に対する行動-経済的対応についての質問です。大統領は、ウクライナにおけるロシアの残虐な侵略行為に対して、世界中の政府だけでなく、民間企業も含めた統一的な対応策を詳細に説明されました。
And, you know, the President made clear that, you know, there would be — that there would likely be consequences for those who are — who would — who would step in to support Russia at this time. そして大統領は、この時期にロシアを支援するために介入する人々には、おそらく結果がもたらされることを明確にしたのです。
Q    Thank you.  Can you tell me if the President expressly asked Xi — Xi Jinping — to intercede with Moscow, with Putin, to stop the war and specifically to withdraw from (inaudible)? Q ありがとうございます。  大統領が習近平に、モスクワ、プーチンに戦争を止めるよう、そして特に(聞き取れず)撤退するよう仲介するよう明示的に求めたかどうか、教えてください。
And did Xi offer in any way to use his influence with Putin to end the aggression? また、習近平はプーチンとの影響力を行使して侵略を終わらせることを何らかの形で申し出たのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Thanks, Ellen.  Yeah, look, you know, the call wasn’t really — and I mean, the President really wasn’t making specific requests of China.  He was laying out his assessment of the situation, what he thinks makes sense, and the implications of certain actions. 政府高官:ありがとう、エレン。  大統領は中国に具体的な要求をしたわけではありません。  大統領は、状況に対する自らの評価と、理にかなった行動、そしてある行動がもたらす影響を説明したのです。
You know, I think our view is that China will make its own decisions, and so I’d describe that as sort of the nature of the call.  And again, on any response from President Xi, you know, you’d have to talk to Beijing. 私たちの見解は、中国は自分自身で決断を下すということです。  習近平主席の反応については、北京に問い合わせるしかないでしょう。
Q    Hi, everyone.  Thank you so much for doing the call.  Can you tell us if President Xi made any guarantees to President Biden that he would not help Russia? Q 皆さん、こんにちは。  お電話をありがとうございました。  習近平主席がバイデン大統領にロシアを助けないという保証をしたのかどうか、教えてください。
And did the President come away from the call with a sense that President Xi is ready to condemn the invasion?  Because China’s still hasn’t done that publicly.  Did President Xi condemn the invasion in this call, or did President Biden come away with this with a sense that he will do so?  Thank you. また、習主席が侵略を非難する用意があることを、大統領はこの電話から感じ取ってくれたでしょうか。  中国はまだそれを公にしていませんから。  習主席はこの電話会談で侵略を非難したのでしょうか、それともバイデン大統領はそうするつもりで電話会談を終えてきたのでしょうか?  ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Yeah, look, on your first question, you know, China will make its own decisions.  And I think you probably have seen the readout that they have put out; I would refer you to that as their characterization of President Xi’s words. 政府高官:ええ、最初の質問ですが、中国は自分自身の決断を下すでしょう。  そして、おそらく皆さんは中国が発表した読み物をご覧になったと思いますが、それは習近平主席の言葉に対する彼らの考え方として参考にしてください。
You know, as I said, I think the President was — President Biden was candid and direct in discussing his assessment of the situation and, you know, what he believes would be necessary, in order to find a diplomatic resolution to the crisis. 私が申し上げたように、大統領は......バイデン大統領は、状況の評価と、危機の外交的解決を見つけるために何が必要だと考えているかについて、率直かつ直接的に話をしたと思います。
But, you know, I think, in terms of what President Xi said, again, I’m going to leave it to the Chinese side to characterize their words. しかし、習近平国家主席の発言については、中国側の表現に委ねたいと思います。
MODERATOR:  Can we do our next question, please? 司会:次の質問をお願いします。
Q    Thanks so much.  And thanks for doing this.  Two questions for you.  Did President Biden get the sense that President Xi was caught off guard by the nature of the Russian invasion and how it’s gone?  And during this two-hour call, did Xi ever refer to it as an invasion? Q どうもありがとうございました。  そして、電話コールを開催してくれてありがとうございます。  2つ質問をさせてください。  バイデン大統領は、習主席がロシアの侵略の本質とその行方に不意を突かれたという感覚を得たのでしょうか?  2時間の会談で習近平は 侵略と言ったのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Sorry, I was taking down notes to make sure I remember your questions. 政府高官:すみません、あなたの質問を忘れないようにメモをとっていたのですが。
     You know, look, on the first question: You know, I think, you know, the National Security Advisor has — has spoken publicly about our assessment of Beijing’s reaction to the invasion.  And so, I will just point you to his comments.  I don’t have them exactly in front of me, but I think he’s been on the record about this.      最初の質問についてです。国家安全保障アドバイザーは、侵略に対する北京の反応に対する我々の評価について、公の場で語っています。  そこで、彼のコメントを紹介します。  目の前にあるわけではありませんが、彼はこのことについて記録していると思います。
     You know, and in terms of how Xi referred to — you know, referred to the situation, again, I would just point you to their own words as they have characterized them.      また、習近平がこの状況をどう見ていたかについては、やはり彼らの言葉を参照してください。
Q    Hi, [senior administration official].  Thanks for doing the call.  Can you just share a little bit of color on whether the President felt more or less optimistic about where China st- — where President Xi stands on the issue of Ukraine after this call? Q こんにちは、[政権高官]。  電話をありがとうございました。  このオンライン会談の後、大統領がウクライナ問題に対する中国の立場、つまり習主席の立場について楽観的になったのか、それともそうでないのか、少し教えていただけますか?
     And just a follow-up: The Chinese readout suggests that President Xi complained to President Biden about people in the U.S. sending wrong signals to Taiwan’s independence forces.  Can you detail President Biden’s response to this?  Thanks.      中国側の発表によると、習主席はバイデン大統領に、米国内の人々が台湾独立勢力に誤ったシグナルを送っていると苦言を呈したとのことですが、この点についてはいかがでしょうか。  これに対するバイデン大統領の反応を詳しく教えてください。  ありがとうございます。
SENIOR ADMINISTRATION OFFICIAL:  Thanks so much, Patsy.  Look, I — you know, I think, as we felt with the conversation in Rome with Director Yang earlier this week and the conversation with, you know, President Xi here today, this was really about President Biden being able to lay out very clearly in substantial detail, with a lot of facts, and a lot of just — you know, really walking President Xi through the situation, making very, very clear our views, the views of others, what we have laid out in the previous months and the actions we’re taking now. 政府高官: どうもありがとう、パッツィー。  今週初めにローマで行われた楊斌氏との対話、そして今日行われた習主席との対話で感じたことですが、バイデン大統領は、多くの事実、そして多くのことを詳細に、非常に明確に説明し、習主席に状況を説明し、我々の見解、他の人々の見解、過去数ヶ月に我々が提示したこと、現在行っている行動を非常に明確にしたのだと思います。
     And I think it was the — I think, from our perspective, we will — we will see what decisions China makes in the days and weeks ahead.      私たちの立場からすれば、中国が今後どのような決断を下すのか、数日から数週間のうちに見届けることになると思います。
     And so, I think it was sort of less about coming away with a particular view out of the conversation today and more about making sure, again, that they were able to really have that direct, candid and detailed and very substantive conversation at the leader level.  And we know there really is no replacement for that.       ですから、今日の会話から特定の見解を持って帰るということよりも、リーダーレベルで直接、率直に、詳細に、非常に実質的な会話をすることができたかどうかを確認することが重要だったと思います。  そして、それに代わるものはないのです。 
     So, that’s how I would think about the conversation today.      ですから、今日の会話については、そのように考えています。
     In terms of the question about Taiwan, President Biden was very clear that our policy has not changed, that — you know, he reiterated our one-China policy based on the Taiwan Relations Act, the Three Communiqués, the Six Assurances.       台湾についての質問ですが、バイデン大統領は、我々の政策が変わっていないこと、つまり、台湾関係法、3つのコミュニケ、6つの保証に基づく我々の一つの中国政策について繰り返し述べたことは非常に明確です。 
     And he underscored, as well, concerns about Beijing’s coercive and provocative actions across the Taiwan Strait.  President Biden made clear that we remain opposed to any unilateral changes to the status quo across the Taiwan Strait.       そして、台湾海峡を挟んだ北京の強圧的で挑発的な行動に対する懸念も強調しました。  バイデン大統領は、台湾海峡を挟んだ現状に対するいかなる一方的な変更にも反対であることを明確にしました。 
     And, you know, I would just remind, obviously, that President Biden himself voted for the Taiwan Relations Act, and he’s firmly committed to the principles in it, and that the Biden administration has consistently demonstrated rock-solid support for Taiwan and will continue to do so.      そして、バイデン大統領自身が台湾関係法に賛成し、その原則に固くコミットしていること、バイデン政権は一貫して台湾への確固たる支持を示し、今後もそうし続けることを、私は明らかに思い起こさせるだけです。
     But, again, you know, President Biden’s response was really about just reaffirming our continued, consistent policy — very longstanding policy — while underscoring concerns about Beijing’s coercive and provocative actions across the Strait.      しかし、バイデン大統領の回答は、我々の継続的で一貫した政策-非常に長年の政策-を再確認する一方、海峡を越えた北京の強圧的で挑発的な行動に対する懸念を強調するものでした。
MODERATOR:  Great.  Thanks, [senior administration official].  And thanks, everyone, for joining.  司会:素晴らしい。  ありがとうございました。  そして皆さん、ご参加ありがとうございました。 
     You know, again, very sorry for the delay.  You know, I know we’ll have a press briefing shortly, so hopefully more questions can be taken there.  And then if there’s still more that you all need, we’re here to provide any sort of help that you might — you might need.      また、遅くなって申し訳ありません。  まもなく記者会見を行いますので、そこでもっと多くの質問ができることを期待しています。  もしまだ何か必要なことがあれば、私たちはどんなことでもお手伝いします。
     So, just as a reminder, this call was on background, attributable to a “senior administration official.”  And the embargo on the contents of the call have now lifted.       念のためお伝えしますが、この通話は「政権高官」によるもので、バックグラウンドで行われました。  通話内容の秘密は解除されました。 
     So, thanks again, everyone.  Have a good day.      それでは、皆さん、ありがとうございました。  良い一日を。
3:07 P.M. EDT 米国東部標準時:3:07 P.M.

 

中国側の発表

外交部

・2022.03.18 习近平同美国总统拜登视频通话

习近平同美国总统拜登视频通话 習近平とジョー・バイデン米国大統領とのオンライン会談
2022年3月18日晚,国家主席习近平应约同美国总统拜登视频通话。两国元首就中美关系和乌克兰局势等共同关心的问题坦诚深入交换了意见。 2022年3月18日夜、習近平国家主席はジョー・バイデン米国大統領とアポを取ってオンライン会談を行いました。 両首脳は、中米関係やウクライナ情勢など共通の関心事について、率直かつ深い意見交換を行いました。
拜登表示,50年前,美中两国作出重要抉择,发表了“上海公报”。50年后的今天,美中关系再次处于关键时刻,美中关系如何发展将塑造21世纪的世界格局。我愿重申:美国不寻求同中国打“新冷战”,不寻求改变中国体制,不寻求通过强化同盟关系反对中国,不支持“台独”,无意同中国发生冲突。美方愿同中方坦诚对话,加强合作,坚持一个中国政策,有效管控好竞争和分歧,推动美中关系稳定发展。我愿同习近平主席保持密切沟通,为美中关系把舵定向。 バイデン氏は、「50年前、米中は重要な選択をし、上海コミュニケを発表した。50年後、米中関係は再び重要な岐路に立っており、それらがどのように発展するかは21世紀の世界の風景を形作ることになる」と述べました。 米国は中国との「新冷戦」を求めず、中国の制度を変えようとせず、中国に対する同盟を強化しようとせず、「台湾独立」を支持せず、中国との紛争に関与する意図がないことを改めて強調したい。 米国は中国と率直な対話を行い、協力を強化し、一つの中国政策を堅持し、競争と相違を効果的に管理し、米中関係の安定的な発展を促進することを望んでいます。 私は、習近平国家主席と緊密なコミュニケーションをとりながら、米中関係の舵取りをする用意があると示しました。
习近平指出,去年11月我们首次“云会晤”以来,国际形势发生了新的重大变化。和平与发展的时代主题面临严峻挑战,世界既不太平也不安宁。作为联合国安理会常任理事国和世界前两大经济体,我们不仅要引领中美关系沿着正确轨道向前发展,而且要承担应尽的国际责任,为世界的和平与安宁作出努力。 習近平国家主席は、昨年11月の最初の「トップ会談」以来、国際情勢が大きく変化していることに言及しました。 平和と発展の時代というテーマは、深刻な問題に直面しており、世界は平和でも平穏でもありません。 国連安全保障理事会の常任理事国として、また世界のトップ2の経済大国として、米中関係を正しい方向に導くだけでなく、国際的な責任を果たし、世界の平和と静穏のために努力しなければならないことを指摘しました。
习近平强调,我和总统先生都赞同中美要相互尊重、和平共处、避免对抗,都同意双方在各层级各领域要加强沟通对话。总统先生刚才又重申,美方不寻求打“新冷战”,不寻求改变中国体制,不寻求通过强化同盟关系反对中国,不支持“台独”,无意同中国发生冲突。对于你的这些表态,我是十分重视的。 習近平国家主席は、「私も大統領も、中国と米国が互いに尊重し合い、平和的に共存し、対立を避けるべきだという点で一致しており、双方があらゆるレベル、あらゆる分野でコミュニケーションと対話を強化すべきだという点で一致している」と強調しました。 大統領も先ほど、米国は「新冷戦」を戦おうとはせず、中国の体制を変えようとはせず、同盟関係を強化して中国に対抗しようとはせず、「台湾独立」を支持せず、中国と衝突するつもりもないことを改めて強調しました。 私は、あなたのこれらの発言を非常に重要視しています。
习近平指出,目前,中美关系还没有走出美国上一届政府制造的困境,反而遭遇了越来越多的挑战。特别是美国一些人向“台独”势力发出错误信号,这是十分危险的。台湾问题如果处理不好,将会对两国关系造成颠覆性影响。希望美方予以足够重视。中美关系之所以出现目前的局面,直接原因是,美方一些人没有落实我们两人达成的重要共识,也没有把总统先生的积极表态落到实处。美方对中方的战略意图作出了误读误判。 習近平国家主席は、現在、中米関係は米国の前政権が作り出した苦境からまだ抜け出せておらず、ますます多くの課題に直面していると指摘しました。 特に米国の一部の人々は、「台湾独立」勢力に間違ったシグナルを送っており、非常に危険です。 台湾問題をきちんと処理しないと、日米関係に不安定な影響を与えます。 米国側には十分な配慮をお願いしたい。 現在の中米関係の状況は、米国側の一部の人々が、両者間で得られた重要なコンセンサスを履行せず、主席の前向きな発言を実践しなかったことに直接起因しています。 米国側は、中国側の戦略的意図について誤解と判断を誤っています。
习近平强调,中美过去和现在都有分歧,将来还会有分歧。关键是管控好分歧。一个稳定发展的中美关系,对双方都是有利的。 習近平国家は、中国と米国は過去にも現在にも相違があり、将来も相違があることを強調した。 大切なのは、その違いをうまくマネジメントすることです。 中米関係が安定し発展することは、双方にとって有益なことです。
双方就当前乌克兰局势交换意见。 ウクライナの現状について意見交換を行いました。
拜登介绍了美方的立场,表示愿同中方沟通,防止事态升级。 バイデンは米国の立場を示し、エスカレーションを防ぐために中国側と意思疎通を図る意向を表明しました。
习近平指出,乌克兰局势发展到这个地步,是中方不愿看到的。中方历来主张和平,反对战争,这是中国历史文化传统。我们向来从事情本身的是非曲直出发,独立自主作出判断,倡导维护国际法和公认的国际关系基本准则,坚持按照联合国宪章办事,主张共同、综合、合作、可持续的安全观。这些大的原则是中方处理乌克兰危机的立足点。中方已经提出了关于乌克兰人道主义局势的六点倡议,愿向乌克兰和受影响的其他国家进一步提供人道主义援助。各方应该共同支持俄乌对话谈判,谈出结果、谈出和平。美国和北约也应该同俄罗斯开展对话,解开乌克兰危机的背后症结,化解俄乌双方的安全忧虑。 習近平国家主席は、ウクライナ情勢がここまで発展したのは、中国が望んでいないことだと指摘しました。 中国は常に平和を唱え、戦争に反対してきました。それは中国の歴史的、文化的伝統です。 私たちは常に、問題そのものの是非について独自の判断を下し、国際法と国際関係の普遍的な基本規範の支持を唱え、国連憲章を遵守し、共通、包括的、協力的かつ持続的な安全保障の概念を提唱してきました。 これらの広範な原則は、中国のウクライナ危機への対応の基礎となるものである。 中国はウクライナの人道的状況について6項目のイニシアチブを打ち出し、ウクライナをはじめとする被災国にさらなる人道支援を提供する意向です。 すべての当事者が協力して、ロシアとウクライナの対話と交渉が成果を上げ、平和になるように支援する必要があります。 米国とNATOは、ウクライナ危機の背後にある結びつきを解きほぐし、ロシアとウクライナ双方の安全保障上の懸念を解決するために、ロシアとの対話にも取り組むべきです。
习近平强调,当前,世界各国已经十分困难了,既要应对新冠肺炎疫情,又要保经济保民生。作为大国领导人,我们要考虑妥善解决全球热点问题,更要考虑全球稳定和几十亿人民的生产生活。实施全方位、无差别制裁,受罪的还是老百姓。如果进一步升级,还会引发全球经贸、金融、能源、粮食、产业链供应链等发生严重危机,使本已困难的世界经济雪上加霜,造成不可挽回的损失。形势越是复杂,越需要保持冷静和理性。任何情况下都要拿出政治勇气,为和平创造空间,为政治解决留有余地。中国有两句老话,一句是“一个巴掌拍不响”,另一句是“解铃还须系铃人”。关键是当事方要展现政治意愿,着眼当下,面向未来,找到妥善解决办法,其他方面可以也应当为此创造条件。当务之急是继续对话谈判,避免平民伤亡,防止出现人道主义危机,早日停火止战。长久之道在于大国相互尊重、摒弃冷战思维、不搞阵营对抗,逐步构建均衡、有效、可持续的全球和地区安全架构。中国一直在为和平尽力,将继续发挥建设性作用。 習近平国家主席は、世界各国がCOVID19の流行に対処し、同時に経済と生活を守ることはすでに非常に困難であると強調しました。 主要国のリーダーとして、世界のホットスポットの問題を適切に解決すること、そしてより重要なのは世界の安定と何十億もの人々の生産的な生活を考えることです。 もし、あらゆる面で、差別なく制裁が行われれば、苦しむのは国民です。 さらにエスカレートすれば、世界の貿易、金融、エネルギー、食糧、産業のサプライチェーンに深刻な危機をもたらし、ただでさえ厳しい世界経済にさらに拍車をかけ、取り返しのつかないダメージを与えることになります。 状況が複雑であればあるほど、冷静さと理性を保つことが大切です。 平和のための空間を作り、政治的解決のための余地を残すためには、どんな状況でも政治的勇気が必要です。 中国には「手のひらは片手では鳴らせない(孤立して協力者を失っては何もできない)」、「(虎に)鐘を結べる人が、(虎から)鐘を外せる。(蒔いた種は自分で刈り取らなければならない)」という古くからの言葉があります。 重要なのは、当事者が政治的な意志を示し、現在に目を向け、将来を見据え、適切な解決策を見出すことであり、他の当事者はそのための条件を整えることができるし、そうすべきなのです。 対話と交渉を続け、民間人の犠牲を避け、人道的危機の発生を防ぎ、早期に戦争を終結させることが最も急務です。 長期的な解決策は、主要国間の相互尊重、冷戦メンタリティの放棄、陣営間の対立を控え、バランスのとれた効果的で持続可能な世界と地域の安全保障構造を徐々に構築していくことにあります。 中国は平和のために最善を尽くしており、今後も建設的な役割を担っていくでしょう。
两国元首认为,此次视频通话是建设性的,责成两国工作团队及时跟进,采取实际行动,争取中美关系重返稳定发展的轨道,为妥善解决乌克兰危机作出各自的努力。 両首脳はオンライン会談を建設的なものと考え、中米関係の安定した発展への回帰を目指し、ウクライナ危機の適切な解決に向けてそれぞれの努力を行うため、両国の作業チームが適時にフォローアップし、実際的な行動を取ることを課題としました。
丁薛祥、刘鹤、王毅等参加上述活动。 Ding Xuexiang、Liu He、Wang Yiが上記の活動に参加しました。

 

 


Fig1_20211117141901


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.24 それぞれの国の言い分

・2022.02.14 米国 White House 米露大統領の電話会談(ウクライナ問題)

・2022.02.04 バイデン大統領夫妻の旧正月に寄せたメッセージ. - 米国が競争しているのは、中国ではなく中国共産党政府なんでしょうね。。。

・2021.11.17 米国 中国 バイデン大統領と習近平国家主席の対談

 

| | Comments (0)

2022.03.20

米国 カーネギーメロン大学ソフトウェア工学研究所 Deep Fakeの作成と検出はどの程度簡単か?

 こんにちは、丸山満彦です。

カーネギーメロン大学ソフトウェア工学研究所がDeep Fakeの作成と検出はどの程度簡単か?という内容の記事を載せていますね。。。

Deep Fakeですが、低予算で作成できるようになってきていますが、そもそも質が低いと人間でも見破れますし、検出技術も上がってきているので、見破れないようなDeep Fakeを作るのはそんなに簡単ではないようですね。。。

ただ、Deep Fakeであることがわかる前に、SNS等で本物だという前提で拡散されてしますと、時には大きな問題を引き起こす可能性があるだけに、注目しておく必要がある技術ですよね。。。

 

Carnegie Mellon University - Software Engineering Institute

・2022.03.14 (blog) How Easy Is It to Make and Detect a Deepfake?

 

Fig_20220320012501

 

 

| | Comments (0)

米国 ハーバード・ベルファ科学国際問題センター 「サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり」

こんにちは、丸山満彦です。

米国のハーバード大学にあるベルファ科学国際問題センター [wikipedia] が、「サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり」という報告書を公表していますね。。。

北朝鮮が国をあげて経済的な利益を得る手段として、サイバー空間も利用しているというのは、日本だけでなく海外でもサイバー脅威に日々接している人たちの間のコンセンサスになっているように感じます。。。

Belfer Center for Science and International Affairs, Harvard Kennedy School

・2022.03.15 Cybercriminal Statecraft - North Korean Hackers’ Ties to the Global Underground

・[PDF

20220320-03515

 

Cybercriminal Statecraft - North Korean Hackers’ Ties to the Global Underground サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり
Introduction: “A Criminal Syndicate with a Flag” 導入: 「旗を持った犯罪シンジケート」
North Korean Financially Motivated Cyber Operations 北朝鮮の金銭的動機に基づくサイバー作戦
  Toward an Organizational Structure   組織体制に向けて
  Convergence of Interests and Tradecraft with Cybercriminals   サイバー犯罪者との利害の一致と手口
Foreign Ties 海外とのつながり
  The Russian-Speaking Underground   ロシア語圏のアンダーグラウンド
  Partnership in Action   パートナーシップの実践
Implications 意味合い
  Policy Realm   政策領域
  Further Research   さらなる研究
Conclusion 結論
Works Cited 引用文献

 

| | Comments (0)

米国 ピュー研究所 AIと人間強化についての調査

こんにちは、丸山満彦です。

米国のピュー研究所がAIと人間強化についての世論調査をして、公表しています。広い国土に幅広い考え方がいる米国の正確な縮図になっているわけではないのでしょうが、ある程度の傾向はわかるのでしょう。。。

調査項目は6つで、

AI」について

・警察による顔識別技術の利用、

・ソーシャルメディア企業によるサイト上の偽情報を発見するためのアルゴリズムの利用

・無人運転自動車の開発である。

人間強化」について、

・認知能力を向上させるための脳へのコンピューターチップの埋め込み

・赤ちゃんが重い病気や健康状態になるリスクを大幅に減らすための遺伝子操作

・肉体労働で持ち上げる力を大幅に高めるためのAIシステム内蔵の外装ロボット

 

興味深い調査です。日本でも同様の調査はあるのでしょうかね。。。

Pew Research Center

・2022.03.17 AI and Human Enhancement: Americans’ Openness Is Tempered by a Range of Concerns

・[PDF]

20220320-00046

目次...

1. How Americans think about artificial intelligence 1. アメリカ人は人工知能についてどう考えているか
2. Public more likely to see facial recognition use by police as good, rather than bad for society 2. こ警察による顔識別の利用は、社会にとって悪いことではなく、良いことだと考える国民が多い
3. Mixed views about social media companies using algorithms to find false information 3. ソーシャルメディア企業がアルゴリズムを用いて虚偽の情報を発見することについては様々な見解がある
4. Americans cautious about the deployment of driverless cars 4. アメリカ人は無人自動車の導入に慎重
5. What Americans think about possibilities ahead for human enhancement 5. 人間強化の可能性についてアメリカ人が思うこと
6. Public cautious about enhancing cognitive function using computer chip implants in the brain 6. 国民はコンピューターチップを脳に埋め込むことによる認知機能強化に慎重
7. Americans are closely divided over editing a baby’s genes to reduce serious health risk 7. 深刻な健康リスクを減らすために赤ちゃんの遺伝子を操作することについて、アメリカ人の意見は大きく分かれている
8. Mixed views about a future with widespread use of robotic exoskeletons to increase strength for manual labor jobs  8. 肉体労働のための強度を高める外装ロボットが広く使用される未来について、さまざまな意見がある
Acknowledgments 謝辞
Methodology 方法論
Appendix 附属書

 

 

| | Comments (0)

2022.03.19

経済産業省 プライバシーガバナンスに関する調査結果(詳細版)

こんにちは、丸山満彦です。

経済産業省が、プライバシーガバナンスに関する調査結果(詳細版)を取りまとめ、公開していますね。。。

 

・[PDF] アンケート調査詳細版概要

20220318-231656

 

・[PDF] アンケート調査詳細版

20220318-231738

 

・[PDF] プライバシーガバナンスに関する調査結果(取組状況例)

20220318-231759

 


経済産業省、総務省は、昨年10月に公開したプライバシーガバナンスに関するアンケート結果(速報版)の詳細版として、企業向け・消費者向けに実施したプライバシーガバナンスに関する調査結果を公開します。
その他、取組状況例として、プライバシーガバナンスに親和性のある取組を実施している企業16社・団体に対してヒアリングを実施し、経営者が取り組むべき3要件、プライバシーガバナンスの重要項目に基づき、整理しましたので、公開しました。
本結果を踏まえ、企業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめた「DX時代における企業のプライバシーガバナンスガイドブック」の普及啓発に引き続き進めます。

(※)「企業のプライバシーガバナンス」とは、プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させることをいいます。
1.背景・経緯

加速するDX時代において、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請も高まっています。こうした背景を踏まえ、経済産業省と総務省は、2020年8月「企業のプライバシーガバナンスモデル検討会」(座長:佐藤一郎国立情報学研究所教授)において、企業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめた「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました。その後、各方面から反響があるなかで、より実践的な企業の具体例を充実させて欲しいという声を受け、昨年7月に企業がプライバシーガバナンスを構築する上で参考となる具体的な事例を更新した「ver1.1」、本年2月に「ver1.2」を公開しました。

昨年10月には、本ガイドブックをより多くの人に知っていただき、プライバシーガバナンスに取り組む企業の皆さまがその取組をより前に進められるよう、企業向け・消費者向けに行ったプライバシーガバナンスに関するアンケートの結果(速報版)を公開しました。今回、当該アンケート結果について詳細な分析を行い、個別ヒアリング等により実践事例なども取りまとめた調査結果報告書を公開します。


 

で、調査結果概要。


3.調査結果の主なポイント

(1)消費者意識

消費者の73.6%は、プライバシー保護に関して、関心がある。消費者の70.4%は、金銭的な利益やポイントの有無に関わらず、個人に関する情報の提供に関し、慎重である。消費者の88.5%は、類似商品の選択の際に、企業のプライバシーへの取組を考慮している。

(2)企業がプライバシーへの取組を始めたきっかけ

「規格の取得・更新」が最多だったが、「企業のブランド戦略の一環として信頼される企業イメージ向上のため」という回答が2番目に多く(30%以上)、企業側においてもプライバシー保護の取組により差別化を図る試みが進められているものと考えられる。その他、「プライバシー侵害で問題となった企業の報道」「プライバシー性のある情報の取扱い機会・取扱量の増加」「サイバー攻撃」といったきっかけが挙げられた。

(3)取組体制

「プライバシーに関する姿勢の明文化をしている」「保護に関する責任者を設置している」「保護組織の構築を全社的に取り組んでいる」と回答した企業は、海外売上がある企業、従業員規模の大きな企業の方が多い結果となった。

(4)ルールの策定や従業員教育

「ルールを策定・周知している」「従業員教育を実施している」と回答した企業は、海外売上がある企業、中堅・大企業の方が多い結果となった。他方、「外部の有識者などの第三者視点による取組の見直し」についても、海外売上がある企業、中堅・大企業の方が、「見直している」と回答した企業が相対的には多いが、他2つの取組と比べて全体的に低調である。

(5)消費者とのコミュニケーション

「問題発生時のフォロー」「苦情相談窓口の設置」「取組等のWEB紹介」「同意確認機能の提供」は、海外売上のある企業、中堅・大企業の方が、「実施している」と回答した割合がまだ高い結果となったが、「定期的なレポート」「消費者団体との対話」「活用事例の紹介」「FAQの作成」「消費者意識調査の実施」は、海外売上の有無や従業員規模の大小に関わらず、まだ進んでいない結果となった。

(6)その他

取組状況例として、プライバシーガバナンスに親和性のある取組を実施している企業16社・団体に対してヒアリングを実施し、経営者が取り組むべき3要件、プライバシーガバナンスの重要項目に基づき、整理した。


 

関連リンクとして紹介されているリンク先

・2021.10.18 プライバシーガバナンスに関するアンケート結果(速報版)を公開しました

・2021.07.02 2021年度経済産業省・総務省・JIPDEC共催 第1回企業のプライバシーガバナンスセミナーを開催します

・2021.09.01 2021年度経済産業省・総務省・JIPDEC共催 第2回企業のプライバシーガバナンスセミナーを開催します

・2021.09.22 CEATEC2021ONLINE「加速するDX時代、プライバシーに配慮したイノベーションを進めていくためには」セミナーを開催します

・2022.01.25 2021年度経済産業省・総務省・JIPDEC共催 第3回企業のプライバシーガバナンスセミナーを開催します

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.21 総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

・2021.07.21 総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました

・2021.02.02 ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities(プライバシー保護- スマートシティーのためのプライバシーガイドライン)

・2020.08.29 総務省・経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表

・2020.07.30 経済産業省 パブコメ 「DX企業のプライバシーガバナンスガイドブックver1.0(案)」

 

| | Comments (0)

NIST SP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTがSP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ を公表していますね。。。

369ページあります。。。

NIST - ITL

・2022.03.16 SP 1800-10 Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector

 

SP 1800-10 Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector SP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ
Abstract 概要
Today’s manufacturing organizations rely on industrial control systems (ICS) to conduct their operations. Increasingly, ICS are facing more frequent, sophisticated cyber attacks—making manufacturing the second-most-targeted industry. Cyber attacks against ICS threaten operations and worker safety, resulting in financial loss and harm to the organization’s reputation. 今日の製造業の組織は,業務を遂行するために産業用制御システム(ICS)に依存しています。ICSへのサイバー攻撃は、より頻繁に、より巧妙に行われており、製造業は2番目に標的とされている産業となっています。ICSに対するサイバー攻撃は、オペレーションや作業員の安全を脅かし、経済的損失や組織の評判の低下を招きます。
The architecture and solutions presented in this guide are built upon standards-based, commercially available products, and represent some of the possible solutions. The solutions implement standard cybersecurity capabilities such as behavioral anomaly detection (BAD), application allowlisting, file integrity-checking, change control management, and user authentication and authorization. The solution was tested in two distinct lab settings: a discrete manufacturing workcell, which represents an assembly line production, and a continuous process control system, which represents chemical manufacturing industries. 本ガイドに掲載されているアーキテクチャとソリューションは、標準規格に準拠した市販の製品をベースに構築されており、可能なソリューションの一部を示しています。このソリューションは、行動異常検知(BAD)、アプリケーションの許可リスト、ファイルの整合性チェック、変更管理、ユーザの認証・許可など、標準的なサイバーセキュリティ機能を実装しています。このソリューションは、2つの異なるラボ環境でテストされました。すなわち、組立ライン生産を表す個別の製造ワークセルと、化学製造業を表す連続プロセス制御システムです。
An organization that is interested in protecting the integrity of a manufacturing system and information from destructive malware, insider threats, and unauthorized software should first conduct a risk assessment and determine the appropriate security capabilities required to mitigate those risks. Once the security capabilities are identified, the sample architecture and solution presented in this document may be used. 破壊的なマルウェアやインサイダー脅威、不正なソフトウェアから製造システムや情報の完全性を守りたいと考えている組織は、まずリスク評価を行い、それらのリスクを軽減するために必要な適切なセキュリティ機能を決定する必要があります。セキュリティ機能が特定されたら、本書で紹介するサンプルアーキテクチャとソリューションを使用することができます。
The security capabilities of the example solution are mapped to the NIST Cybersecurity Framework, the National Initiative for Cybersecurity Education Framework, and NIST Special Publication 800-53. このサンプルソリューションのセキュリティ機能は、NIST Cybersecurity Framework、National Initiative for Cybersecurity Education Framework、およびNIST Special Publication 800-53にマッピングされています。

 

・[PDF] SP 1800-10

20220318-102223

 

目次です。。。

1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 解決策
1.2.1 Relevant Standards and Guidance 1.2.1 関連する規格とガイダンス
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 文字種の規則
3 Approach 3 アプローチ
3.1 Audience 3.1 対象者
3.2 Scope 3.2 適用範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスク評価
3.4.1 Threats 3.4.1 脅威
3.4.2 Vulnerabilities 3.4.2 脆弱性
3.4.3 Risk 3.4.3 リスク
3.4.4 Security Control Map 3.4.4 セキュリティコントロールマップ
3.5 Technologies 3.5 テクノロジー
4 Architecture 4 アーキテクチャ
4.1 Manufacturing Process and Control System Description 4.1 製造プロセスと制御システムの説明
4.2 Cybersecurity for Smart Manufacturing Systems Architecture 4.2 スマートな製造システムのためのサイバーセキュリティのアーキテクチャ
4.3 Process Control System 4.3 プロセス制御システム
4.4 Collaborative Robotics System (CRS) 4.4 協働ロボットシステム(CRS)
4.5 Logical Network and Security Architectures 4.5 論理的ネットワークとセキュリティのアーキテクチャー
5 Security Characteristic Analysis 5 セキュリティ特性の分析
5.1 Assumptions and Limitations 5.1 前提条件と制限事項
5.2 Example Solution Testing 5.2 ソリューションのテスト例
5.2.1 Scenario 1: Protect Host from Malware Infection via USB 5.2.1 シナリオ1:USBによるマルウェア感染からホストを守る
5.2.2 Scenario 2: Protect Host from Malware Infection via Network Vector 5.2.2 シナリオ2:ネットワークベクターによるマルウェア感染からのホストの保護
5.2.3 Scenario 3: Protect Host from Malware via Remote Access Connections 5.2.3 シナリオ3:リモートアクセス接続によるマルウェアからのホストの保護
5.2.4 Scenario 4: Protect Host from Unauthorized Application Installation 5.2.4 シナリオ4:権限のないアプリケーションのインストールからのホストの保護
5.2.5 Scenario 5: Protect from Unauthorized Addition of a Device 5.2.5 シナリオ5:許可されていないデバイスの追加からの保護
5.2.6 Scenario 6: Detect Unauthorized Device-to-Device Communications 5.2.6 シナリオ6:承認されていないデバイス間通信の検出
5.2.7 Scenario 7: Protect from Unauthorized Deletion of Files 5.2.7 シナリオ7:ファイルの不正削除からの保護
5.2.8 Scenario 8: Detect Unauthorized Modification of PLC Logic 5.2.8 シナリオ8:PLCロジックの無許可の変更の検出
5.2.9 Scenario 9: Protect from Modification of Historian Data 5.2.9 シナリオ9:ヒストリアンデータの修正からの保護
5.3 Scenarios and Findings 5.3 シナリオと所見
5.3.1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes 5.3.1 PR.AC-1:認証されたデバイス、ユーザ、およびプロセスに対して、アイデンティティとクレデンシャルが発行、管理、 検証、失効、および監査される。
5.3.2 PR.AC-3: Remote access is managed 5.3.2 PR.AC-3:リモートアクセスが管理されている。
5.3.3 PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties  5.3.3 PR.AC-4:最小特権および職務分離の原則を取り入れた、アクセス許可および権限の管理 
5.3.4 PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multifactor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)  5.3.4 PR.AC-7:ユーザー、デバイス、およびその他の資産が、取引のリスク(個人のセキュリティおよびプライバシ ーのリスク、およびその他の組織のリスクなど)に応じて認証される(単一要素、多要素など)。
5.3.5 PR.DS-1: Data-at-rest is protected . 5.3.5 PR.DS-1:滞留データが保護されている。
5.3.6 PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity  5.3.6 PR.DS-6:ソフトウェア、ファームウェア、および情報の完全性を検証するために、完全性チェックメカニズ ムを使用する。
5.3.7 PR.IP-4: Backups of information are conducted, maintained, and tested . 5.3.7 PR.IP-4:情報のバックアップが実施、維持、およびテストされている。
5.3.8 PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools  5.3.8 PR.MA-1:承認・管理されたツールを使用して、組織の資産の保守および修理を行い、記録する。
5.3.9 PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access . 5.3.9 PR.MA-2:組織資産のリモートメンテナンスは、承認され、ログに記録され、不正アクセスを防止する方法で実施される。
5.3.10 DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed  5.3.10 DE.AE-1:ネットワーク運用のベースライン、およびユー ザとシステムの予想されるデータフローを確立し、管理する。
5.3.11 DE.AE-2: Detected events are analyzed to understand attack targets and methods  5.3.11 DE.AE-2:攻撃目標および方法を理解するために、検出されたイベントが分析される。
5.3.12 DE.AE-3: Event data are collected and correlated from multiple sources and sensors .   . 5.3.12 DE.AE-3:イベントデータが複数のソースおよびセンサから収集され、相関されている。
5.3.13 DE.CM-1: The network is monitored to detect potential cybersecurity events  5.3.13 DE.CM-1:潜在的なサイバーセキュリティイベントを検知するためにネットワークを監視する。
5.3.14 DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events 4 5.3.14 DE.CM-3:潜在的なサイバーセキュリティイベントを検知するために要員の活動を監視する 4
5.3.15 DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed  5.3.15 DE.CM-7:未承認の人員、接続、デバイス、およびソフトウェアの監視が実施されている。
6 Future Build Considerations 6 将来の構築に関する検討事項
Appendix A List of Acronyms 附属書A 頭字語のリスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Scenario Execution Results 附属書D シナリオ実行結果
D.1 Executing Scenario 1: Protect Host from Malware via USB D.1 シナリオ1の実行:USB経由のマルウェアからホストを保護する
D.2 Executing Scenario 2: Protect Host from Malware via Network Vector D.2 シナリオ2の実行:ネットワークベクトルを介したマルウェアからのホストの保護
D.3 Executing Scenario 3: Protect Host from Malware via Remote Access  Connections D.3 シナリオ3の実行:リモートアクセス接続によるマルウェアからのホストの保護
D.4 Executing Scenario 4: Protect Host from Unauthorized Application Installation . D.4 シナリオ4の実行:許可されていないアプリケーションのインストールからのホストの保護 .
D.5 Executing Scenario 5: Protect from Unauthorized Addition of a Device D.5 シナリオ5の実行:許可されていないデバイスの追加からの保護
D.6 Executing Scenario 6: Detect Unauthorized Device-to-Device Communications D.6 シナリオ6の実行:不正なデバイス間通信の検出
D.7 Executing Scenario 7: Protect from Unauthorized Deletion of Files D.7 シナリオ7の実行:ファイルの不正削除からの保護
D.8 Executing Scenario 8: Detect Unauthorized Modification of PLC Logic D.8 シナリオ8の実行:PLC ロジックの不正な変更の検出
D.9 Executing Scenario 9: Protect from Modification of Historian Data D.9 シナリオ9の実行:ヒストリアンデータの修正からの保護
D.10 Executing Scenario 10: Detect Sensor Data Manipulation D.10 シナリオ10の実行:センサーデータの操作の検出
D.11 Executing Scenario 11: Detect Unauthorized Firmware Modification D.11 シナリオ11の実行:許可されていないファームウェアの変更の検出
Appendix E Benefits of IoT Cybersecurity Capabilities . 附属書E IoTのサイバーセキュリティ機能のメリット .
E.1 Device Capabilities Mapping E.1 デバイス機能のマッピング
E.2 Device Capabilities Supporting Functional Test Scenarios E.2 機能テストシナリオをサポートするデバイスの能力

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.01 NIST SP 1800-10 (ドラフト) 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ at 2021.09.23

| | Comments (0)

NATO CCDCOE サイバースペースの戦略的展望 2030:ホライズンスキャンニングと分析

こんにちは、丸山満彦です。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.03.16 Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis

Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis サイバースペースの戦略的展望 2030:ホライズンスキャンニングと分析
NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) is proud to publish a second volume on Horizon Scanning and Analysis, entitled “Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis”, edited by Piret Pernik. NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) は、Piret Pernik編集の「Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis」と題したHorizon Scanning and Analysisの第2版を公表します。
The book includes foreword by David van Weel, NATO’s assistant secretary general for emerging security challenges, and six chapters that help inform policy and decision-makers on current and future cyber threats, and possible cyberspace game changers in 2030. The chapters have undergone peer review to ensure their academic quality. 本書は、NATOのDavid van Weel事務局長補佐(新興の安全保障課題担当)による序文と、現在および将来のサイバー脅威、2030年に起こりうるサイバースペースのゲームチェンジャーについて、政策立案者や意思決定者に情報を提供する6章から成っています。各章は、学術的な質を保証するためにピアレビューを受けています。
In the opening chapter, James A. Lewis argues that cyber norms and old concepts such as deterrence are insufficient for achieving international stability in cyberspace. He recommends that NATO develop a new conceptual framework and a set of proportional response options to respond to cyberattacks. He observes that political consensus needs to be established in order to exercise these options. 冒頭の章では、ジェームズ・A・ルイスが、サイバー規範や抑止力などの古い概念は、サイバースペースにおける国際的安定を達成するためには不十分であると論じています。彼は、NATOがサイバー攻撃に対応するための新しい概念的枠組みと、一連の比例的対応の選択肢を開発するよう提言しています。また、これらのオプションを行使するためには、政治的なコンセンサスを確立する必要があると述べています。
In Chapter Two, Jason Healey and Virpratap Vikram Singh consider the likelihood of geopolitical and cyber tensions escalating into a larger conflict. They develop a matrix of high and low geopolitical and cyber tensions and find that in high-tension contexts, there is an increased likelihood of cyber incidents and escalation of cyber conflict. 第2章では、ジェイソン・ヒーリーとヴィルプラタップ・ヴィクラム・シンが、地政学的・サイバー的緊張がより大きな紛争にエスカレートする可能性について考察しています。彼らは、地政学的・サイバー的緊張の高低のマトリックスを作成し、緊張が高い状況では、サイバー事件やサイバー紛争のエスカレーションの可能性が高くなることを見出しています。
In Chapter Three, Franz-Stefan Gady examines the Joint All-Domain Operations (JADO) concept of the NATO future operational doctrine, which could link conventional command and control with the nuclear ones. Gady identifies cybersecurity risks related to that development, addresses the possibility of miscalculation in times of crisis, and draws three implications on the deployment of cyberspace operations. 第3章では、フランツ・ステファン・ガディが、NATOの将来の作戦ドクトリンにおける全領域作戦(JADO)コンセプトを検証し、従来の指揮統制を核とリンクさせる可能性について述べています。ガディは、その開発に関連するサイバーセキュリティのリスクを特定し、危機の際の誤算の可能性に対処し、サイバースペース作戦の展開に関する3つの示唆を導き出しています。
In Chapter Four, Laura G. Brent posits that NATO must act to counter China’s ambitions to become a ‘cyber superpower’ by treating China as a strategic challenge and requiring improved resilience from the Allies in cooperation with the European Union. She draws attention to collective security, which she defines as ‘coordinated and consensus approaches to the broad spectrum of security challenges below the threshold of armed conflict’. 第4章では、ローラ・G・ブレントが、中国の「サイバー超大国」への野心に対抗するために、中国を戦略的課題として扱い、欧州連合と協力して連合国に回復力の向上を求める行動をNATOはとらなければならないと提起しています。また、集団安全保障について、「武力紛争の閾値以下の広範な安全保障上の課題に対する協調的かつ合意的なアプローチ」と定義し、注意を喚起しています。
In Chapter Five, Piret Pernik explores global drivers of change relevant to cyberspace that NATO should consider in looking at the 2030 horizon. She contends that the cyber domain is best understood as part of all-domain shaping, contesting, and fighting actions. She says that NATO should study how authoritarian opponents are likely to deploy EDTs and what their strategic thinking and tactical innovations will look like in the new decade. She closes by suggesting for future research for the NATO community. 第5章では、ピレ・ペルニクが、2030年の地平を見据える上でNATOが考慮すべき、サイバースペースに関連するグローバルな変化の要因を探っています。彼女は、サイバー領域は、全領域の形成、争奪、戦闘行動の一部として最もよく理解されると主張しています。NATOは、権威主義的な敵対勢力がどのようにEDTを展開しそうか、そして彼らの戦略的思考と戦術的革新が新しい10年にどのようなものになるかを研究すべきであると述べています。最後に、NATOのコミュニティに対して今後の研究を提案し、締めくくっています。
In the last chapter, Berend Valk illustrates how NATO has implemented cyber norms and confidence- and   measures. The Alliance’s role in norms-building is limited. Valk describes how NATO implements its cyber defence and the SCEPVA mechanism, and recommends integrating the latter into collective defence. He calls for starting discussions on Allied responses to cyberattacks in the grey zone. 最後の章では、ベレンド・ヴァルクが、NATOがどのようにサイバー規範と信頼性・対策を実施してきたかを説明しています。規範構築における同盟国の役割は限定的である。ヴァルクは、NATOがサイバー防衛とSCEPVAメカニズムをどのように実施しているかを説明し、後者を集団防衛に統合することを推奨しています。彼は、グレーゾーンにおけるサイバー攻撃への同盟国の対応について議論を始めることを呼びかけています。
Please find the current volume in CCDCOE´s online Library. 本書はCCDCOEのオンライン・ライブラリーでご覧いただけます。
The first volume of the Horizon Scanning and Analysis series was published in January 2021. 2021年1月に「Horizon Scanning and Analysis」シリーズの第1版が発行されました。

 

Cyber Threats and NATO 2030: Horizon Scanning and Analysis

・[PDF]

20220317-213049

Foreword / David van Weel 序文 / デヴィッド・ヴァン・ウィール
Introduction to Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis / Piret Pernik サイバースペース戦略的展望2030:ホライズンスキャンニングと分析』の紹介 / ピレト・ペルニク
Chapter 1 A Strategic Outlook for Cyberspace Operations / James A. Lewis 第1章 サイバースペース作戦の戦略的展望 / ジェームズ・A・ルイス
Chapter 2 Situational Cyber Stability and the Future of Escalating Cyber Conflict / Jason Healey and Virpratap Vikram Singh 第2章 状況的なサイバー安定性とサイバー紛争の激化の未来/ジェイソン・ヒーリー、ヴィルプラタップ・ヴィクラム・シン
Chapter 3 Do Joint All-Domain Operations Increase Cyber Vulnerabilities in Nuclear Command, Control, and Communications Systems within the NATO Alliance? / Franz-Stefan Gady 第3章 全領域合同作戦はNATO同盟内の核指揮統制通信システムにおけるサイバー脆弱性を高めるか?/ フランツ=ステファン・ガディ
Chapter 4 NATO’s Role in Responding to China’s ‘Cyber Superpower’ Ambitions / Laura G. Brent 第4章 中国の「サイバー超大国」の野望に対応するNATOの役割 / Laura G. Brent
Chapter 5 Drivers of Change Impacting Cyberspace in 2030 / Piret Pernik 第5章 2030年のサイバースペースに影響を与える変化の原動力 / Piret Pernik
Chapter 6 NATO Cyber Policies in Relation to the International Stability Framework / Berend Valk 第6章 国際安定化フレームワークと関連したNATOのサイバー政策 / ベレンド・ヴァルク

 

| | Comments (0)

2022.03.18

NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

こんにちは、丸山満彦です。

NISTが、非連邦政府組織およびシステムにおける管理対象非機密情報 (Controlled Unclassified Information: CUI)に対する強化版セキュリティ要件の評価に関する標準を公表していますね。。。

SP 800-171Aと同じく、

  • 評価手法として、「EXAMINE(検証)」「INTERVIEW(インタビュー)」「TEST(テスト)」の3種類
  • 評価の深さとして、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
  • 評価の対象範囲として、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階

が定義されていて、監査論的にも興味深いです!

 

NIST - ITL

・2022.03.15 SP 800-172A Assessing Enhanced Security Requirements for Controlled Unclassified Information

SP 800-172A Assessing Enhanced Security Requirements for Controlled Unclassified Information SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
Abstract 概要
The protection of Controlled Unclassified Information (CUI) in nonfederal systems and organizations is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. This publication provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST Special Publication 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171. The assessment procedures are flexible and can be tailored to the needs of organizations and assessors. Assessments can be conducted as 1) self-assessments; 2) independent, third-party assessments; or 3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the CUI enhanced security requirements. 連邦政府以外のシステムや組織における管理対象非機密情報 (CUI: Controlled Unclassified Information) の保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を成功裏に遂行する能力に直接影響を与える可能性があります。本書は、連邦機関および非連邦組織に対して、NIST SP 800-171の補足するNIST SP 800-172「管理対象非機密情報を保護するための強化版セキュリティ要件」にある要件の評価を行うために使用できる評価手順を提供します。この評価手順は柔軟性があり、組織や評価者のニーズに合わせて調整することができます。評価は、1)自己評価、2)独立した第三者評価、3)政府主導の評価として実施することができます。アセスメントは、利用者が定義した深度と対象範囲の属性に基づいて、さまざまな程度の厳密さで実施することができます。アセスメントで得られた知見や証拠は、CUI の強化版セキュリティ要件に関連して、組織がリスクに基づく判断を行うために使用することができます。

 

・[PDF] SP 800-172A

20220318-71141

 

 

検証の部分の仮訳

・[XLSX

 


■ 関連文書

● NIST - ITL

・2021.04.27 SP 800-172A (Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information

 ・[PDF]  SP 800-172A (Draft)

・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers

・2021.02.03 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

 ・[PDF] SP 800-172

・2021.01.28 SP 800-171 Rev. 2  Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

・[PDF]  SP 800-171 Rev. 2

Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2

Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
 SP 800-171A

 SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。

また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。

SP 800-172 はEva Aviationが第3章までの機械翻訳(対訳)を出しています。


Eva Aviation

・2020.12.28 NIST SP 800-171関連主要ドキュメント

・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護

・[PDF] NIST SP 800-172 管理対象非機密情報CUIの保護に対する強化版セキュリティ要件(第3章まで機械翻訳(対訳))

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

| | Comments (0)

米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減

こんにちは、丸山満彦です。

CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減についてのアラートを公表していますね。。。

ちなみにこれもロシアのメディア庁のウェブページに乗っていますね。意外と懐深いなぁ...(^^)


CISA

・2022.03.15 MITIGATING THREATS POSED BY RUSSIAN STATE-SPONSORED CYBER ACTORS’ EXPLOITATION OF DEFAULT MULTIFACTOR AUTHENTICATION PROTOCOL AND "PRINTNIGHTMARE" VULNERABILITY

MITIGATING THREATS POSED BY RUSSIAN STATE-SPONSORED CYBER ACTORS’ EXPLOITATION OF DEFAULT MULTIFACTOR AUTHENTICATION PROTOCOL AND "PRINTNIGHTMARE" VULNERABILITY ロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減
All Organizations Should Take Action to Enable, Enforce, and Properly Configure MFA as well as Prioritize Patching of Known Exploited Vulnerabilities すべての組織は、MFAを有効化し、実施し、適切に設定するための行動を起こすとともに、既知の悪用される脆弱性へのパッチを優先的に適用する必要があります。
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) issued a joint cybersecurity advisory today with technical details, mitigations, and resources regarding previously demonstrated ability of Russian state-sponsored cyber actors to gain network access through exploitation of default multifactor authentication (MFA) protocols and a known vulnerability in Windows Print Spooler, “PrintNightmare.”  ワシントン - サイバーセキュリティおよびインフラストラクチャ・セキュリティ局(CISA)と連邦捜査局(FBI)は本日、ロシアの国家に支援されたサイバーアクターがデフォルトの多要素認証(MFA)プロトコルとWindowsプリントスプーラーの既知の脆弱性(PrintNightmare)を悪用してネットワークアクセスを取得する能力を以前実証したことについて、技術的詳細、緩和策、リソースを含む共同のサイバーセキュリティ勧告を発表しました。
As early as May 2021, the Russian state-sponsored cyber actors took advantage of a misconfigured account set to default MFA protocols at a non-governmental organization, allowing them to enroll a new device for MFA and access the victim’s network. The actors then exploited a critical vulnerability “PrintNightmare” (CVE-2021-34527) to run arbitrary code with system privileges, and then were able to access cloud and email accounts for document exfiltration. 早ければ2021年5月、ロシアの国家支援型サイバーアクターは、非政府組織でデフォルトのMFAプロトコルに設定されたアカウントの誤設定を利用し、新しいデバイスをMFAに登録し、被害者のネットワークにアクセスできるようにしました。そして、サイバー攻撃者は、重要な脆弱性「PrintNightmare」(CVE-2021-34527)を悪用してシステム特権で任意のコードを実行し、クラウドやメールアカウントにアクセスして文書を流出させることができていました。
 This advisory, titled “Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and ‘PrintNightmare’ Vulnerability,” provides observed tactics, techniques, and procedures (TTPs); indicators of compromise (IOCs); and mitigation recommendations. The FBI and CISA urge all organizations to take immediate action to protect against this malicious activity and apply recommended mitigations such as:  この勧告は、「ロシアの国家に支援されたサイバーアクターが、デフォルトの多要素認証プロトコルと『PrintNightmare』脆弱性を悪用してネットワークにアクセス」と題し、観察された戦術、技術、手順(TTP)、侵害の指標(IOC)、および緩和策を提示しています。FBIとCISAは、すべての組織がこの悪質な活動から保護するために直ちに行動を起こし、以下のような推奨される緩和策を適用するよう求めています。
・Enforce MFA for all users, without exception, and ensure it is properly configured to protect against “fail open” and re-enrollment scenarios ・すべてのユーザーに対して例外なくMFAを適用し、「フェイルオープン」や再登録のシナリオから保護するように適切に設定する。
・Implement time-out and lock-out features ・タイムアウト機能、ロックアウト機能の導入・
・Disable inactive accounts uniformly in active directory, MFA, etc. ・アクティブディレクトリやMFAなどで、非アクティブなアカウントを一律に無効化する。
・Update software, prioritizing known exploited vulnerabilities ・既知の脆弱性を利用したソフトウェアの優先的なアップデート
・Monitor network logs continuously for suspicious activity ・ネットワークログを継続的に監視し、不審な動きがないかを確認
・Implement security alerting policies ・セキュリティアラートポリシーの導入
“At CISA, we are great believers in multifactor authentication. It remains one of the most effective measures individuals and organizations can take to reduce their risk to malicious cyber activity. This advisory demonstrates the imperative that organizations configure MFA properly to maximize effectiveness,” said CISA Director Jen Easterly. “Now, more than ever, organizations must put their shields up to protect against cyber intrusions, which means applying the mitigations in this advisory including enforcing MFA for all users without exception, patching known exploited vulnerabilities, and ensuring MFA is implemented securely.” 「CISAでは、多要素認証に大きな信頼を寄せています。多要素認証は、悪意のあるサイバー活動に対するリスクを軽減するために、個人と組織が取ることのできる最も効果的な対策の1つであることに変わりはありません。今回の勧告は、組織がMFAを適切に設定し、その効果を最大限に高めることが不可欠であることを示しています」と、CISAディレクターのJen Easterlyは述べています。「これは、例外なくすべてのユーザーにMFAを適用し、既知の脆弱性にパッチを適用し、MFAを安全に実装することを含む、本勧告にある緩和策を適用することを意味します。
“The FBI, alongside our federal and international partners, will continue to pursue cyber actors who engage in this type of targeted malicious activity of unauthorized access and exfiltration of data,” said FBI Cyber Division Assistant Director Bryan Vorndran. “We encourage organizations who may have experienced this type of exploitation to report to the FBI and/or CISA and provide us with additional information so we can continue to deter and disrupt nation-state actors. The FBI will not tolerate this type of criminal activity and we will use all of the tools in our toolbelt to combat this threat.”  FBIは、連邦政府や国際的なパートナーとともに、このような不正アクセスやデータの流出という標的型悪質行為を行うサイバー行為者を引き続き追求していきます。とFBIサイバー部門アシスタントディレクターのBryan Vorndranは述べています。このような悪用に遭った可能性のある組織には、FBIやCISAに報告し、追加情報を提供してもらうことで、引き続き国家的行為者を抑止し、混乱させることができる」と述べています。FBIはこのような犯罪行為を許さず、あらゆる手段を使ってこの脅威と戦っていく」と述べています。
CISA has updated the Shields Up webpage to include new services and resources, recommendations for corporate leaders and chief executive officers, and actions to protect critical assets. Additionally, CISA has created a new Shields Up Technical Guidance webpage that details other malicious cyber activity affecting Ukraine. The webpage includes technical resources from partners to assist organizations against these threats.  CISAは、新しいサービスやリソース、企業のリーダーや最高経営責任者への提言、重要な資産を守るための行動などを盛り込み、Shields Upのウェブページを更新しました。さらにCISAは、ウクライナに影響を及ぼすその他の悪質なサイバー活動を詳述した「シールドアップ技術ガイダンス」ウェブページを新たに作成しました。このウェブページには、これらの脅威に対して組織を支援するためのパートナーからの技術的リソースが含まれています。
To report a cyber incident, organizations should contact CISA at report@cisa.gov or call CISA’s 24/7 CISA Central Operations Center at (888) 282-0870 and/or to the FBI via your local FBI field office or the FBI’s 24/7 CyWatch at (855) 292-3937 or CyWatch@fbi.gov. サイバーインシデントを報告するには、組織はCISA(report@cisa.gov)に連絡するか、CISAの24/7 CISA中央オペレーションセンター(888)282-0870に電話をかけるか、または地元のFBI支局もしくはFBIの24/7 CyWatch(855)292-3937 または CyWatch@fbi.gov を通じてFBIに連絡する必要があります。

 

NISTの脆弱性データベース

NIST - NATIONAL VULNERABILITY DATABASE

・2021.07.02 CVE-2021-34527 Detail

Cisa_20220317203401


 

PrintNightmare...

 ● Microsoft

・2021.07.01 Windows 印刷スプーラーのリモートでコードが実行される脆弱性 CVE-2021-34527


Microsoft Security Response Center

・2021.07.08 Clarified Guidance for CVE-2021-34527 Windows Print Spooler Vulnerability

 

MITRE

・2021.06.09 CVE-2021-34527 : Windows Print Spooler Remote Code Execution Vulnerability

 

| | Comments (0)

米国 FBIが新たに仮想資産課 (VAU) を設立...

こんにちは、丸山満彦です。

FBIが、新たに仮想資産課を設立したと発表していますね。。。(ロシアのメディア庁のウェブページを見ていて気づきました(^^))

FBI

・2022.03.15 The FBI Establishes New Virtual Assets Unit

The FBI Establishes New Virtual Assets Unit FBIが「仮想資産課」を新設
The FBI is announcing the creation of the Virtual Assets Unit (VAU), a nerve center for the FBI’s virtual currency programs where intelligence, technology, and operational support will flow to other divisions. In the VAU, virtual currency experts and cross-divisional resources are embedded in a task force setting to seamlessly integrate intelligence and operations across the FBI. FBIは、仮想通貨プログラムの中枢となる「仮想資産課 (Virtual Assets Unit: VAU)」を設立し、情報、技術、運用サポートを他部門に提供することを発表します。VAUでは、仮想通貨の専門家と部門横断的なリソースがタスクフォース形式で配置され、FBI全体のインテリジェンスとオペレーションをシームレスに統合しています。
Virtual currency is used to facilitate nearly every type of online criminal activity, including ransomware attacks, child exploitation, and furthering the activities of hostile nation states. Over the past several months, the Criminal Investigative and the Cyber Divisions developed the VAU as part of the FBI’s strategic plan to address the growing need for virtual asset expertise in the law enforcement and intelligence communities. The VAU will allow the FBI to continue to aggressively track the movement of illicit funds, attribute criminal actors, and disrupt illegal activity. 仮想通貨は、ランサムウェア攻撃、児童搾取、敵対国家の活動推進など、ほぼすべての種類のオンライン犯罪行為を促進するために使用されています。この数カ月間、犯罪捜査部門とサイバー部門は、法執行機関や情報コミュニティにおける仮想資産の専門知識の必要性の高まりに対応するため、FBIの戦略計画の一環として、VAUを開発しました。このVAUにより、FBIは今後も不正資金の動きを積極的に追跡し、犯罪者を特定し、違法行為を妨害することが可能になります。
“The FBI’s new Virtual Assets Unit is the result of collaboration, hard work, and strategic vision from FBI employees who came together to establish a virtual currency center of excellence in the FBI,” said Brian C. Turner, Executive Assistant Director of the FBI’s Criminal, Cyber, Response, and Services Branch. “The FBI has a long history of using virtual currency to track criminals profiting from ransomware, soliciting murders-for-hire, and raising funds for terrorist organizations. The VAU will integrate experts across the organization to leverage the outstanding work being done every day.” FBIの犯罪・サイバー・対応・サービス部門の上級副部長であるBrian C. Turner氏は、「FBIの新しい仮想資産ユニットは、FBIに仮想通貨に関する優れた拠点を設立するために集まったFBI職員の協力と努力、戦略的ビジョンの結果です。FBIは、ランサムウェアで利益を得ている犯罪者の追跡、嘱託殺人の勧誘、テロ組織のための資金調達に仮想通貨を利用してきた長い歴史があります。VAUは、組織全体の専門家を統合し、毎日行われている優れた仕事を活用することになります。」と述べています。
The VAU became operational on February 7, 2022 and is led by Criminal Investigative Division’s Financial Crimes Section.  VAUは2022年2月7日に運用を開始し、犯罪捜査部の金融犯罪課が主導しています。 
If you believe you have been a victim of a virtual currency crime, file a report with your local FBI field office or at IC3.gov. 仮想通貨犯罪の被害に遭ったと思われる方は、最寄りのFBI支局またはIC3.govに報告書を提出してください。

 

Fbi_20220317194701

 


 

参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.12.03 米国 米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.09.26 中国 人民銀行等 仮想通貨取引における投機リスクの更なる防止・対処に関する通知

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

 

 

| | Comments (0)

2022.03.17

米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

こんにちは、丸山満彦です。

バイデン大統領が9月までの歳出を決める歳出法案 (H.R.2471 - Consolidated Appropriations Act, 2022) にサインしましたね。。。

White House - Briefing Room

・2022.03.15 Remarks by President Biden at Signing of H.R. 2471, “Consolidated Appropriations Act, 2022”

Fig1_20210802074601

この法案にサインしたことは、日本のメディアでも取り上げられています。。。法案については、次...

● Congress

・H.R.2471 - Consolidated Appropriations Act, 2022

この法案は2400ページもあるもので、、、Consolidatedというとおり、いろな項目が含まれています。Cyber Incident Reportingについては、DIVISION Y(つまり25章目!)に、Cyber Incident Reporting for Critical Infrastructure Act of 2022として、記載されています。これは、H.R.5440 - Cyber Incident Reporting for Critical Infrastructure Act of 2021がもとになっていますね。。。

ということで、この法律の条文を読めば、重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられたことがわかります...(^^)

上院の国土安全保障・政府問題委員会のウェブページでもとりあげられているので、こちらも参考に...


U.S. Senate Committee on Homeland Security & Governmental Affairs

・2022.03.15 Peters & Portman Landmark Provision Requiring Critical Infrastructure to Report Cyber-Attacks Signed into Law as Part of Funding Bill

Peters & Portman Landmark Provision Requiring Critical Infrastructure to Report Cyber-Attacks Signed into Law as Part of Funding Bill Peters & Portman 重要インフラにサイバー攻撃の報告を義務付ける画期的な条項が、歳出法案の一部として署名されました。
WASHINGTON, D.C. – A landmark provision authored by U.S. Senators Gary Peters (D-MI) and Rob Portman (R-OH), Chairman and Ranking Member of the Homeland Security and Governmental Affairs Committee, to significantly enhance our nation’s ability to combat ongoing cybersecurity threats against critical infrastructure has been signed into law as a part of the government funding legislation. The provision, which matches a provision in a bill the senators previously introduced and passed out the Senate unanimously, would require critical infrastructure owners and operators to report to the Cybersecurity and Infrastructure Security Agency (CISA) if they experience a substantial cyber-attack or if they make a ransomware payment. The new law is a significant step to help the United States combat potential cyber-attacks sponsored by foreign adversaries, including potential threats from the Russian government in retaliation for U.S. support in Ukraine. ワシントン D.C. - 米国の国土安全保障・政府問題委員会のゲーリー・ピータース上院議員(民主党)とロブ・ポートマン上院議員(共和党)が作成した、重要インフラに対する進行中のサイバーセキュリティの脅威に対抗する米国の能力を大幅に強化する画期的な条項が、政府予算案の一部として法律に署名されました。この条項は、同議員が以前提出し、上院を全会一致で通過した法案の条項と一致しており、重要インフラの所有者および運営者は、大規模なサイバー攻撃を受けた場合、またはランサムウェアの支払いを行った場合、サイバーセキュリティおよびインフラセキュリティ局(CISA)に報告することが義務づけられることになります。この新法は、ウクライナにおける米国の支援に対する報復としてロシア政府が行う可能性のある脅威など、外国の敵対者が主催する潜在的なサイバー攻撃に米国が対抗するための重要なステップとなるものです。
“In the face of significant cybersecurity threats to our country – including potential retaliatory cyber-attacks from Russia for our support in Ukraine – we must ensure our nation is prepared to defend our most essential networks. This historic, new law will make major updates to our cybersecurity policy to ensure that, for the first time ever, every single critical infrastructure owner and operator in American is reporting cyber-attacks and ransomware payments to the federal government,” said Senator Peters. “I applaud President Biden for signing this historic effort into law to provide CISA – our lead cybersecurity agency – with the insight and resources needed to help critical infrastructure companies respond to and recover from network breaches so they can continue providing essential services to the American people.” 「ウクライナへの支援に対するロシアからの報復的なサイバー攻撃の可能性など、わが国に対する重大なサイバーセキュリティの脅威に直面する中、わが国は最も重要なネットワークを守るための準備を確実にしなければなりません。この歴史的な新法は、サイバーセキュリティ政策を大幅に更新し、史上初めて、米国の重要インフラの所有者および運営者が、サイバー攻撃やランサムウェアの支払いを連邦政府に報告することを確実にします」と、Peters 上院議員は述べています。 「バイデン大統領がこの歴史的な取り組みに署名し、サイバーセキュリティの主導的機関である CISA に、重要インフラ企業がネットワーク侵害に対応し、回復して米国民に不可欠なサービスを提供し続けられるよう支援するために必要な洞察力と資源を提供したことを称賛します。
“As our nation rightly supports Ukraine during Russia’s illegal unjustifiable assault, I am concerned the threat of Russian cyber and ransomware attacks against U.S. critical infrastructure will increase. The federal government must be able to quickly coordinate a response and hold these bad actors accountable,” said Senator Portman. “Now that our bipartisan legislation has been signed into law, it will give the National Cyber Director, CISA, and other appropriate agencies broad visibility into the cyberattacks taking place across our nation on a daily basis to enable a whole-of-government response, mitigation, and warning to critical infrastructure and others of ongoing and imminent attacks. The legislation strikes a balance between getting information quickly and letting victims respond to an attack without imposing burdensome requirements.” ロシアの違法不当な攻撃を受けているウクライナを我が国が正しく支援する中、米国の重要インフラに対するロシアのサイバー攻撃やランサムウェアの脅威が高まることを懸念しています。連邦政府は迅速に対応を調整し、これらの悪質業者の責任を追及しなければならない」とポートマン上院議員は述べた。 私たちの超党派の法案が署名されたことで、国家サイバー長官、CISA、その他の適切な機関が、日々米国内で起きているサイバー攻撃を幅広く把握できるようになり、政府全体で対応、緩和、重要インフラなどに対する進行中および差し迫った攻撃の警告ができるようになります」と述べています。この法案は、情報を迅速に入手することと、負担の大きい要件を課さずに被害者が攻撃に対応できるようにすることのバランスをとるものである。
Last year, cybercriminals breached the network of a major oil pipeline forcing the company to shut down over 5,500 miles of pipeline – leading to increased prices and gas shortages for communities across the East Coast. Last summer, the country’s largest beef supplier was hit by a cyber-attack, prompting shutdowns at company plants and threatening meat supplies all across the nation. As these kinds of attacks continue to rise, Peters and Portman’s historic law will ensure critical infrastructure entities such as banks, electric grids, water networks, and transportation systems report to CISA in the event of a cyber-attack so that CISA can warn others of the threat, prepare for widespread impacts, and help get these essential systems back online as soon as possible. 昨年、サイバー犯罪者が大手石油パイプラインのネットワークに侵入し、同社は5,500マイル以上のパイプラインの停止を余儀なくされ、東海岸の地域社会では価格の上昇とガス不足につながった。昨年夏には、米国最大の牛肉サプライヤーがサイバー攻撃を受け、工場が閉鎖され、全米の食肉供給が脅かされました。この種の攻撃が増え続ける中、ピーターズとポートマンの歴史的な法律により、銀行、電力網、水道網、輸送システムなどの重要インフラ事業体がサイバー攻撃を受けた際にCISAに報告し、CISAが脅威を警告し、広範囲にわたる影響に備え、これらの重要システムをできるだけ早くオンラインに戻す手助けができるようになります。
The provision, which is based on the senators’ Cyber Incident Reporting Act, requires critical infrastructure owners and operators to report to CISA within 72 hours if they are experiencing a substantial cyber-attack and within 24 hours of making a ransomware payment. The provision gives CISA the authority to subpoena entities that fail to report cybersecurity incidents or ransomware payments. Organizations that fail to comply with the subpoena can be referred to the Department of Justice. The provision requires CISA to launch a program that will warn organizations of vulnerabilities that ransomware actors exploit, and directs the Director of CISA to establish a joint ransomware task force to coordinate federal efforts, in consultation with industry, to prevent and disrupt ransomware attacks. The federal rulemaking process that will formalize aspects of this legislation also requires substantial consultation with industry and the provision creates a federal council to coordinate, deconflict, and harmonize federal incident reporting requirements to reduce duplicative regulations. この条項は、上院のサイバーインシデント報告法に基づいており、重要インフラの所有者および運営者は、実質的なサイバー攻撃に遭遇した場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられています。この規定は、サイバーセキュリティ事件やランサムウェアの支払いを報告しない事業者を召喚する権限をCISAに与えています。召喚に応じない組織は、司法省に照会することができる。この規定は、ランサムウェアの攻撃者が悪用する脆弱性について組織に警告するプログラムを立ち上げるようCISAに要求し、ランサムウェアの攻撃を防止および妨害するために、産業界と協議しながら連邦政府の取り組みを調整するランサムウェア合同タスクフォースを設置するようCISA長官を指示しています。また、本法案の一部を正式決定する連邦規則制定プロセスでは、産業界との実質的な協議を必要とし、重複する規制を減らすために、連邦インシデント報告要件を調整、矛盾、調和させる連邦評議会を設立する条項が含まれています。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

 

 

Continue reading "米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる..."

| | Comments (0)

米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

こんにちは、丸山満彦です。

米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果についての報告書を4つ公表していますね。。。ただし、詳細な内容については公表されていません。。。

Seal_of_the_us_department_of_justice_off

Title 題名 勧告事項数 報告書  
Audit of the Antitrust Division's Information Security Program Pursuant to the Federal Information Security Modernization Act of 214, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく独占禁止法部門の情報セキュリティプログラムの監査、2021会計年度 8 22-048 20220317-23523
Audit of the Antitrust Division's Management Information System Pursuant to the Federal Information Security Modernization Act of 2014, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく独占禁止法部門の経営情報システムの監査、2021会計年度   22-049 20220317-23535
Audit of the Drug Enforcement Administration's Information Security Program Pursuant to the Federal Information Security Modernization Act of 2014, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく麻薬取締局の情報セキュリティプログラムの監査、2021会計年度 12 22-050 20220317-23546
Audit of the Drug Enforcement Administration's Spider Core System Pursuant to the Federal Information Security Modernization Act of 2014, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく麻薬取締局のスパイダー基幹システムの監査、2021年度版 4 22-051 20220317-23555

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

| | Comments (0)

英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

こんにちは、丸山満彦です。

英国の会計検査院(国家監査室というのが直訳ですかねぇ・・・)のブログの記事です。日本政府についても少しは参考になることがありますでしょうかね。。。

National Audit Office: NAO

Taking on the challenge of public sector cyber security 公共分野のサイバーセキュリティに挑む
The government recently published its new Cyber Security Strategy specifically aimed at building a cyber resilient public sector. Resilience is key in underpinning its vision to make the UK a cyber power in a world increasingly shaped by technologies that offer many benefits but also pose risks. The strategy reiterates that government remains an attractive target for a broad range of malicious actors with 40% of incidents 2020-21 affecting the public sector.  政府は最近、特にサイバーレジリエントな公共分野を構築することを目的とした、新しいサイバーセキュリティ戦略を発表しました。多くの利益をもたらしますが、リスクもまたもたらすテクノロジーによって形作られる世界において、英国をサイバー大国にするというビジョンを支える鍵は、レジリエンスにあります。この戦略では、2020-21年のインシデントの40%が公共分野に影響を与えるため、政府は依然として幅広い悪意ある行為者にとって魅力的な標的であることを改めて強調しています。 
The main benefits highlighted are the need to protect key UK assets and the uninterrupted continuation of vital services. The strategy also aims to enable the development of skills and capability in cyber awareness and risk management.    主な利点は、英国の重要な資産を保護し、重要なサービスを中断することなく継続する必要性があることです。また、この戦略は、サイバー認識とリスク管理に関するスキルと能力の開発を可能にすることも目的としています。   
This has been a major theme in our work, we recently published our good practice guide, aimed at Audit Committees, on cyber and information security where we set out the type of risk and capability management in relation to cyber security we would expect to see in organisations.  最近、私たちは監査委員会を対象としたサイバー・セキュリティと情報セキュリティに関するグッドプラクティス・ガイドを発行し、私たちが組織に期待するサイバー・セキュリティに関するリスクと能力管理の種類を示しました。 
In order to harden government to cyber-attack and build the required resilience in the public sector by 2030, the Cyber Security strategy has two main pillars and five objectives:   2030年までに、政府のサイバー攻撃への対応力を強化し、公共部門に必要なレジリエンスを構築するため、サイバーセキュリティ戦略は2つの主要な柱と5つの目標を掲げています。  
Pillar 1 – Build organisational cyber resilience 柱1:組織的なサイバー耐性の構築
Objective 1: Manage cyber security risk 目標1:サイバーセキュリティのリスクを管理する
Objective 2: Protect against cyber attack 目標2:サイバー攻撃から身を守る
Pillar 2 – ‘Defend as one’ 柱2:一丸となって守れ
Objective 3: Detect cyber security events 目的3:サイバーセキュリティ事象の検知
Objective 4: Minimise the impact of cyber security incidents 目標4:サイバーセキュリティインシデントの影響を最小化する
Objective 5 – Develop the right cyber security skills, knowledge, and culture 目標5:適切なサイバーセキュリティのスキル、知識、文化を身につける
Each objective has a range of outcomes to be achieved in two stages, the first tranche by 2025, and the next by 2030. The government plans to invest £2.6 bn in cyber and legacy IT over the spending review 2021 period and will devise a number of key performance indicators to measure progress.  各目標は、2025年までに最初のトランシェ(一切れ)を、2030年までに次のトランシェを、という2段階で達成するためのさまざまな成果を持っています。政府は、2021年の歳出見直しの期間中に、サイバーとレガシーITに26億ポンドを投資する計画で、進捗を測定するための多くの重要業績評価指標を考案する予定です。 
The strategy is ambitious and welcomed given the increasing threat environment the UK government is facing. In order to succeed, it will need to overcome a range of challenges that we have come across in our work on digital and cyber security. From our point of view, two of the key ones are:  英国政府が直面している脅威の増大という環境を考えると、この戦略は野心的で歓迎すべきものです。しかし、この戦略を成功させるためには、私たちがデジタルとサイバーセキュリティの分野で直面してきたさまざまな課題を克服しなければなりません。私たちの観点では、重要なものは2つです。 
The public sector will need to overcome known legacy and data issues in a situation where IT assets are not always catalogued or risk assessed; and where data quality varies with expanding and interconnecting supplier systems that increase the likelihood of vulnerabilities.  公共部門は、IT資産が必ずしもカタログ化されておらず、リスク評価もされていない状況において、既知のレガシーとデータの問題を克服する必要がある。また、データの質が、拡大し相互接続しているサプライヤーシステムによって変化し、脆弱性の可能性が高まっている。 
Cyber risk management with effective escalation and mitigation, in and across departments, will need to be established – whilst also aligning disparate central and arms-length bodies across government to focus on the right things, in the right way at the right time.  効果的なエスカレーションと緩和を伴うサイバーリスク管理を省庁間で確立する必要があります。また、政府内の中央・地方行政機関のばらつきを調整し、正しいことに、正しい方法で、正しい時間に集中できるようにする必要があります。 
Our Cyber and information security: Good practice guide addresses these and a number of other challenges. It enables Audit Committees to ask the right questions of organisations to help them start aligning themselves to the new Cyber Security Strategy.   私たちのサイバー・セキュリティと情報セキュリティ。グッドプラクティス・ガイドは、これらの課題およびその他の多くの課題に対応しています。このガイドにより、監査委員会が組織に対して適切な質問を行い、新しいサイバーセキュリティ戦略への対応を開始することができます。  

 

 

Nao

 

このブログでもとりあげていますが、再度...

National Audit Office: NAO

・2021.10.28 Cyber and information security: Good practice guide

Cyber and information security: Good practice guide サイバー・情報セキュリティ:グッドプラクティスガイド
Audit committees should be scrutinising cyber security arrangements. To aid them, this guidance complements government advice by setting out high-level questions and issues for audit committees to consider. 監査委員会は、サイバー・セキュリティの仕組みを精査する必要があります。本指針は、監査委員会が検討すべきハイレベルな質問と課題を示し、政府の助言を補完するものです。
Audit committees should gain the appropriate assurance for the critical management and control of cyber security and information risk.   監査委員会は、サイバーセキュリティと情報リスクの重要な管理・統制について、適切な保証を得るべきです。  
Cyber security is the activity required to protect an organisation’s data, devices, networks and software from unintended or unauthorised access, change or destruction via the internet or other communications systems or technologies. Effective cyber security relies on people and management of processes as well as technical controls.  サイバー・セキュリティとは、組織のデータ、機器、ネットワーク、ソフトウェアを、インターネットやその他の通信システム・技術を介した意図しない、または不正なアクセス、変更、破壊から保護するために必要な活動です。効果的なサイバーセキュリティは、技術的な管理だけでなく、人材やプロセスの管理にも依存しています。 
Our guide supports audit committees to work through this complexity, being able to understand and question the management of cyber security and information risk.   本ガイドは、監査委員会がこの複雑さを克服し、サイバーセキュリティと情報リスクの管理を理解し、疑問を持つことができるよう支援します。  
It takes into account several changes which affect the way in which we interact with and manage our information and can drive increased risk. These include changes to the way we work and live due to the COVID-19 pandemic and the ongoing demand to digitise and move to cloud-based services.    本ガイドでは、私たちの情報との関わり方や管理方法に影響を与え、リスクを増大させる可能性のあるいくつかの変化を考慮しています。これらの変化には、COVID-19パンデミックによる仕事や生活の仕方の変化、デジタル化やクラウドベースのサービスへの移行が求められていることなどが含まれます。   
The strategic advice, guidance and support provided by government has also been updated to keep pace with these changes, detailing the impact and risks on the management of cyber security and information risk.   政府が提供している戦略的なアドバイス、ガイダンス、サポートもこれらの変化に対応するために更新され、サイバーセキュリティと情報リスクの管理に与える影響とリスクについて詳しく説明しています。  
The guide provides a checklist of questions and issues covering:  このガイドでは、以下をカバーする質問と問題点のチェックリストを提供しています。 
・The overall approach to cyber security and risk management  ・サイバーセキュリティとリスク管理に対する全体的なアプローチ 
・Capability needed to manage cyber security  ・サイバーセキュリティを管理するために必要な能力 
・Specific aspects, such as information risk management, engagement and training, asset management, architecture and configuration, vulnerability management, identity and access management, data security, logging and monitoring and incident management.   ・情報リスク管理、エンゲージメントとトレーニング、資産管理、アーキテクチャと構成、脆弱性管理、アイデンティティとアクセス管理、データセキュリティ、ログとモニタリング、インシデント管理などの特定の側面  
Our guidance is based on our previous work and our detailed systems audits, which have identified a high incidence of access-control weaknesses. It also provides links to other government guidance and NAO resources.  本ガイダンスは、これまでの調査や詳細なシステム監査に基づいており、アクセス制御の脆弱性が多く見られることが確認されています。また、他の政府指針やNAOのリソースへのリンクも掲載しています。 

 

・[PDF

20220115-03006

目次...

Introduction はじめに
Why this issue requires attention なぜこの問題に注意が必要なのか
Why audit committees need to monitor cyber risks なぜ監査委員会がサイバー・リスクを監視する必要があるのか
What we have found through our work 何が監査委員会の調査で分かったか
How government policy has changed in this area どのようにこの分野における政府の方針が変化したのか
Our guidance 我々の指針
How this guidance links to other standards どのように本指針が他の基準と連携しているのか
What this guidance covers 何を本指針は述べているのか
High-level questions ハイレベルな質問
More detailed areas to explore より詳細な検討事項
Further resources その他のリソース

 


 

まるちゃんの情報セキュリティ気まぐれ日記

NAO関係...

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

・2021.07.24 U.K. 国立監査院 (National Audit Office: NAO) が「デジタル変革を実施する上での課題」を公表していますね。。。

・2021.05.26 U.K. National Audit Office (会計監査院)が「効果的な規制の原則」を公表していますね。。。

・2021.05.01 U.K. 国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

 

古いですが、、、

・2006.06.23 パブリックセクターの内部統制

 

| | Comments (0)

ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10)

こんにちは、丸山満彦です。

ENISAがテレコム業界における利用者へのサイバー脅威の支援活動についてのガイドのようなものを公表していました。。。

 

ENISA

・2022.03.10 (news) Cyber Threat Warnings: The Ins and Outs of Consumer Outreach

Cyber Threat Warnings: The Ins and Outs of Consumer Outreach サイバー脅威の警告 利用者向け支援活動の内と外
The European Union Agency for Cybersecurity (ENISA) issues a report and a leaflet on how to ensure effective consumer outreach in relation to cyber threats in the telecommunications sector. 欧州連合サイバーセキュリティ機関(ENISA)が、電気通信分野におけるサイバー脅威に関して、利用者への効果的な働きかけを確保する方法について報告書とリーフレットを発行しています。
The European Electronic Communications Code or EECC, the current EU telecom framework, sets new requirements in relation to the notification of threats to users by their telecommunications services providers. 現在のEUの電気通信の枠組みである欧州電子通信規約(EECC)は、電気通信サービスプロバイダーによる利用者への脅威の通知に関して、新たな要件を定めています。
Under this new legislation, providers of public electronic communications networks or services are now required to notify their users when a particular and significant threat has occurred affecting their networks or services. Warning customers on cyber threats is already an industry good practice. この新しい法律の下で、公衆電子通信ネットワークまたはサービスのプロバイダーは、そのネットワークまたはサービスに影響を及ぼす特定の重大な脅威が発生した場合、利用者に通知することが義務付けられました。サイバー脅威について利用者に警告することは、すでに業界のグッドプラクティスとなっています。
Scope and content of the report 報告書の範囲と内容
The report published today provides a framework to help assess the necessity to carry out outreach activities. 本日発表した報告書は、支援活動の実施の必要性を評価するためのフレームワークを提供するものです。
The analysis revealed that the contents of the outreach messages disseminated by providers are usually adjusted to the knowledge and competency level of users. Communication about specific threats often includes facts about the nature of the threat, potential impact, measures taken by the provider, etc. Electronic communications providers generally target those users directly affected by the threat. 分析の結果、プロバイダーが発信するアウトリーチメッセージの内容は、通常、利用者の知識や能力レベルに合わせて調整されていることが明らかになりました。具体的な脅威に関するコミュニケーションには、脅威の性質、潜在的な影響、プロバイダがとった対策などに関する事実が含まれることが多い。電子通信事業者は、一般に、脅威の影響を直接受ける利用者を対象としている。
The outreach framework consists of 3 steps developed in the report. A checklist is also available to help structuring the information.  アウトリーチの枠組みは、報告書で開発された3つのステップで構成されています。また、情報の構造化に役立つチェックリストも用意されています。 
1. Trigger: to assess the need of consumer outreach; 1. トリガー:利用者への支援活動の必要性を評価する。
2. Communication: to decide on the right channel, and on the right message; 2. コミュニケーション:適切なチャネルと適切なメッセージを決定する。
3. Evaluation: to define the parameters needed to measure the effectiveness of the outreach. 3. 評価:支援活動の効果を測定するために必要なパラメータを定義する。
Although an important activity, consumer outreach is a complementary measure not intended to replace the mitigation and/or preventive actions by the relevant authorities or by the providers.  重要な活動ではあるが、利用者の支援活動チは補完的な手段であり、関係当局や事業者による 緩和措置や予防措置に取って代わることを意図したものではない。 
36th meeting of the ECASEC Expert Group ECASEC専門家グループ第36回会合
The ECASEC group met for the first time this year yesterday and today. The meeting was organised in a hybrid format, in Croatia and online. Almost 60 experts from national authorities from EU, EFTA, EEA, and EU candidate countries, who are supervising the European telecom sector attended the meeting. ECASECグループは、昨日と今日、今年初めての会合を開きました。会議はクロアチアとオンラインのハイブリッド形式で開催された。EU、EFTA、EEA、EU加盟候補国の各国当局から、欧州の通信セクターを監督する約60名の専門家が出席した。
The meeting engaged in discussions on the resilience of telecom networks particularly given the latest developments in Ukraine. 会議では、特にウクライナの最新情勢を踏まえ、通信ネットワークの回復力について議論が行われました。
The group discussed their strategy in view of the revision of the Directive on Network and Information Security also referred to as NIS2. This was the opportunity to get an update on the activities of the 5G cybersecurity WS of the NIS Cooperation Group and of the ad-hoc working group on 5G certification. また、NIS2と呼ばれるネットワークと情報のセキュリティに関する指令の改定を視野に入れた戦略についても議論されました。この機会に、NIS協力グループの5GサイバーセキュリティWSと5G認証に関するアドホック・ワーキンググループの活動に関する最新情報を入手することができました。
The attendees had a chance to learn about the activities of the hosting regulatory Authority, HAKOM and also be informed by the Croatian CSIRT about the platform used for exchange of information on computer security incidents. また、クロアチアのCSIRTから、コンピュータセキュリティインシデントに関する情報交換のためのプラットフォームについて説明を受けました。
ENISA presented some first insights on the submitted security incidents for 2021 and discussed the work programme for 2022. ENISAは、2021年に提出されたセキュリティインシデントに関する最初の洞察を発表し、2022年の作業プログラムについて議論しました。
Finally, the Swedish competent Authority analysed their auditing mechanisms and the participants exchanged views on the supervision of the Number-Independent Interpersonal Communication Service (NI-ICS) providers under EECC. 最後に、スウェーデンの所轄庁が監査体制を分析し、参加者はEECCの下での番号独立型対人通信サービス(NI-ICS)プロバイダーの監督について意見交換を行った。
Background on ECASEC Expert Group, formerly known as the ENISA Article 13a group ECASEC専門家グループ(旧ENISA13条aグループ)の背景
Established in 2010, the ENISA ECASEC expert group, formerly known as the ENISA Article 13a group, consists of about 60 experts from national telecom security authorities from EU Member States, EFTA countries, and EU candidate countries. 2010年に設立されたENISA ECASEC専門家グループ(旧ENISA 13aグループ)は、EU加盟国、EFTA諸国、EU加盟候補国の国家電気通信安全当局の専門家約60名で構成されています。
The group is a forum for exchanging information and good practices on telecom security. It produces policy guidelines for European authorities on the implementation of EU telecom security legislation, and publishes an annual summary report about major telecom security incidents. 同グループは、電気通信セキュリティに関する情報やグッドプラクティスを交換するためのフォーラムです。また、EUの通信セキュリティ法の施行に関する欧州当局の政策ガイドラインを作成し、主要な通信セキュリティインシデントに関する年次総括報告書を発行しています。
This group meets 3 times a year in order to discuss and agree on a common approach to telecom security supervision in the EU. このグループは、EUにおける通信セキュリティ監督への共通のアプローチについて議論し、合意するために、年に3回会合を開いています。
Further Information: さらに詳しい情報はこちら
Cyber Threats Outreach in Telecom テレコム業界におけるサイバー脅威についての支援活動
Consumer Outreach Leaflet 利用者アウトリーチリーフレット
For more information about the ENISA ECASEC expert group see ENISA ECASEC EG portal ENISA ECASEC専門家グループの詳細については、ENISA ECASEC EGポータルを参照してください。
If you want to join the ENISA telecom security mailing list, to be kept up to date about this group and our telecom security work, and to receive invitations for events and projects, please contact us via resilience (at) enisa.europa.eu ENISA電気通信セキュリティメーリングリストに参加し、このグループや電気通信セキュリティに関する最新情報を入手したり、イベントやプロジェクトの招待を受けたりしたい場合は、resilience (at) enisa.europa.euまでご連絡ください。
ENISA Incident Reporting webpage ENISA Incident Reporting ウェブページ
European Electronic Communications Code 欧州電子通信規約
NIS Directive – ENISA topic NIS指令 - ENISAトピック

 

・2022.03.10 Cyber Threats Outreach In Telecom

Cyber Threats Outreach In Telecom テレコム業界におけるサイバー脅威についての支援活動
In this paper, we aim to give guidance to national Authorities and providers of electronic communications networks and services regarding how to strike the right balance and carry out efficient and effective outreach to users about cyber threats. この論文では、国家機関や電子通信ネットワーク・サービスのプロバイダーが、サイバー脅威について正しいバランスを取り、効率的かつ効果的に利用者に働きかける方法について指針を与えることを目的としています。

・[PDF]

20220316-223543

 

1.   INTRODUCTION  1.   はじめに 
1.1   TARGET AUDIENCE  1.1 対象者 
1.2   POLICY CONTEXT  1.2 政策的背景 
1.3   METHODOLOGY  1.3 方法論 
2.   CASE STUDIES  2.   ケーススタディ 
2.1   CASE STUDIES FROM THE TELECOM SECTOR  2.1 通信セクターのケーススタディ 
2.2   CASE STUDIES FROM THE BANKING SECTOR  2.2 銀行セクターのケーススタディ 
3.   STOCK TAKING OF CURRENT PRACTICES  3.   現行プラクティスの棚卸し 
3.1   GENERAL APPROACH  3.1 一般的なアプローチ 
3.2   TRIGGERS FOR OUTREACH  3.2 アウトリーチのトリガー 
3.3   CONTENT OF THE COMMUNICATION  3.3 コミュニケーションの内容 
3.4   TARGET AUDIENCE  3.4 対象者 
3.5   COMMUNICATION CHANNELS USED  3.5 利用したコミュニケーション・チャンネル 
3.6   MEASURING EFFECTIVENESS  3.6 効果の測定 
4.   OUTREACH FRAMEWORK  4.   支援活動のフレームワーク 
4.1   FRAMEWORK  4.1 フレームワーク 
4.2   TRIGGER  4.2 トリガー 
4.3   COMMUNICATION  4.3 コミュニケーション 
4.4   EVALUATION  4.4 評価
4.5   CHECKLIST  4.5 チェックリスト 
4.6   ISSUES/CHALLENGES  4.6 課題/問題点 
5.   CONCLUSIONS  5.   結論 
ANNEX: EXAMPLES  附属書:事例 
A.1   WARNING USERS ABOUT FLUBOT SCAM MESSAGES  A.1 flubot詐欺のメッセージに関するユーザーへの警告 
A.2   WARNING CUSTOMERS ABOUT SIM SWAPPING ATTACKS  A.2 SIMスワッピング攻撃に関する顧客への警告 
A.3  WARNING CUSTOMERS ABOUT WHATSAPP EXPLOIT  A.3 Whatsappの悪用に関する顧客への警告 

 

・2022.03.10 Cyber Threats Outreach In Telecom - Leaflet

Cyber Threats Outreach In Telecom - Leaflet テレコム業界におけるサイバー脅威の支援活動 - リーフレット
This leaflet provides basic guidelines for National Authorities and telecom providers on how to inform users about cyber threats. このリーフレットは、国家機関や電気通信事業者が、利用者にサイバー脅威を知らせるための基本的なガイドラインを提供するものです。

・[PDF]

20220316-225016

 

CHECKLIST – WHEN AND HOW TO CARRY OUT OUTREACH ACTIVITIES

THREAT INFORMATION Short name  Descriptive name of the threat
Date Date
Description Short description of the threat
References  Reference to background information, media reports, etc
Nature of the threat Choose from: System failures, Natural phenomena, Malicious actions, human errors, third-party failures.
1. TRIGGER Particular  Determine if the threat is particular or common/general.
Significant risk Determine if there is a significant risk: Assess the likelihood and the potential impact to find the level of risk
Outreach or not Yes or no
2. COMMUNICATE  Channel  Choose from: SMS, emails, social media (general or direct), company’s app, company’s website, other (please specify)
Measures or remedy  List specific measures the customer can take or, if there are none, explain what the outreach aims to achieve.
Include threat information Assess whether information about the threat itself can be included in the outreach.
3. EVALUATE  Communication received  Describe how to measure if the communication reached the customers.
Did customers take action? Describe how to measure if the customers reacted
Other KPIs Describe other KPIs that can be used to assess effectiveness.

 

脅威情報 略称  脅威の具体的な名称
日付 日付
内容 脅威の簡単な説明
参考文献  背景情報、メディア報道などの参照
脅威の性質 システム障害、自然現象、悪意ある行為、ヒューマンエラー、第三者の障害から選択。
1. トリガー 性質 その脅威が特殊なものか、一般的なものかを判断する。
重大なリスク 重大なリスクがあるかどうかを判断する。可能性と潜在的な影響を評価し、リスクのレベルを見出す
支援必要性の有無 はい または いいえ
2. コミュニケーション  チャンネル  選択項目:SMS、メール、ソーシャルメディア(一般・ダイレクト)、自社アプリ、自社サイト、その他(具体的にご記入ください)
対策・改善策  顧客ができる具体的な対策を挙げるか、ない場合は、アウトリーチが何を目的としているかを説明する。
脅威情報を含む 脅威そのものに関する情報をアウトリーチに含めることが可能かどうかを評価する。
3. 評価 コミュニケーション  コミュニケーションが顧客に届いたかどうかを測定する方法を記述する。
顧客が行動を起こしたか? 顧客が反応したかどうかを測定する方法を説明する。
その他のKPI 効果を評価するために使用できる他のKPIを記述する。

 

 

| | Comments (0)

2022.03.16

個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で、「第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」での資料等が公開されていますね。。。

 

個人情報法保護委員会

・2022.03.10 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第

[PDF] 資料1 顔識別機能付きカメラの特性に関する国内外の評価

[PDF] 資料2 本日ご議論いただきたい事項 

[PDF] 資料3 森構成員発表資料

[PDF] 資料4 遠藤構成員発表資料

[PDF] 参考資料 第1回検討会議事概要

 

本日ご議論いただきたい事項 」は、


第1回及び今次会合における個人情報保護法上の規律、民事裁判例の状況、顔識別機能付きカメラシステムの技術的特徴や評価に関する説明を踏まえ、以下の観点からご議論いただきたい。

1. 顔識別機能付きカメラシステムを利用することが有効かつ必要であると考えられる場面
 目的(テロ・重大犯罪防止、万引防止、行方不明者・徘徊者捜索、その他)
 設置場所
 撮影態様 等

2. 事業者に対応が求められる事項(上記目的の別にも着目して)
 個人情報保護法の規律と不法行為法上の留意点の異同も踏まえ、事業者にはどのような対応が求められるか。
 個人情報保護法上の規律が存在する事項について、より高い水準で行うべきもの
 個人情報保護法上の規律は存在しないが、不法行為法上の観点から行うべきもの 等


ということだったようです。。。

委員会で用意した「資料1顔識別機能付きカメラの特性に関する国内外の評価」も参考になりますし、

森先生の「肖像権・プライバシーに関する裁判例」も参考になりますし、

遠藤先生の、「防犯カメラの利用による民事法上の肖像権・プライバシー侵害」も参考になりますね。。。

 

違法性の判断基準

(森先生の資料を参考に・・・)

・2001.02.06 Nシステム事件(東京地判平成13年2月6日)

① [情報の性質] 取得、保有、利用される情報が個人の思想、信条、品行等に関わるかなどの情報の性質、
② [目的] 情報を取得、保有、利用する目的が正当なものであるか、
③ [方法] 情報の取得、保有、利用の方法が正当なものであるか
などを総合して判断すべき

・著名人コンビニ万引き事件 (東京地判平成22年9月27日(判タ1343号153頁))

① [目的] 撮影の目的、
② [必要性] 撮影の必要性
③ [方法] 撮影の方法、
④ [管理方法] 撮影された画像の管理方法
等諸般の事情を総合考慮して、撮影されない利益と撮影する利益を比較衡量して、受忍限度を超えるものかどうかを判断すべき

(遠藤先生の資料を参考に・・・)



① [社会的地位] 被撮影者の社会的地位*
② [活動内容] 撮影された被撮影者の活動内容、
③ [場所] 撮影の場所**
④ [目的] 撮影の目的、
⑤ [態様] 撮影の態様、
⑥ [必要性] 撮影の必要性
等を
総合考慮して、被撮影者の人格的利益の侵害が社会生活上受忍の限度を超えるといえるかどうかを判断基準としている

*: 有名人かどうかといった基準
**: 公開の場所、道路上、私的な場所か公的な場所かという基準

 

Fig_20220201061401


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

 

Faicial Recognition

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.03.15

米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

こんにちは、丸山満彦です。

NISTがゼロトラスト原則のエンタープライズ・モビリティへの適用に関する文書について意見募集をしていますね。。。

 

・2022.03.07 CISA’s Zero Trust Guidance for Enterprise Mobility Available for Public Comment

CISA’s Zero Trust Guidance for Enterprise Mobility Available for Public Comment CISAによるエンタープライズ・モビリティのためのゼロ・トラスト・ガイダンスがパブリックコメントに
CISA has released a draft version of Applying Zero Trust Principles to Enterprise Mobility for public comment. The paper guides federal agencies as they evolve and operationalize cybersecurity programs and capabilities, including cybersecurity for mobility. The public comment period will close April 18, 2022. CISAは、「ゼロトラスト原則のエンタープライズ・モビリティへの適用」のドラフト版を公開し、パブリックコメントを募集しています。この文書は、連邦政府機関がモビリティのためのサイバーセキュリティを含むサイバーセキュリティプログラムと能力を進化させ、運用する際の指針となるものです。パブリックコメント期間は2022年4月18日に終了する予定です。
Executive Order 14028:  Improving the Nation's Cybersecurity, issued May 12, 2021, requires Federal Civilian Executive Branch departments and agencies to adopt Zero Trust (ZT) architectures to protect the government’s information resources, of which federal mobility is an integral part. The guidance highlights the need for special consideration for mobile devices and associated enterprise security management capabilities due to their technological evolution and ubiquitous use. 2021年5月12日に発行された「大統領令14028:国家のサイバーセキュリティの改善」は、連邦民間行政府の部局および機関に対し、政府の情報資源を保護するためにゼロトラスト(ZT)アーキテクチャを採用するよう求めており、その一環として連邦モビリティが不可欠となっている。このガイダンスでは、モバイル機器の技術的進化とユビキタスな利用により、モバイル機器と関連する企業のセキュリティ管理機能に対する特別な配慮が必要であることを強調しています。
CISA encourages interested parties to review Applying Zero Trust Principles to Enterprise Mobility and provide comment. See CISA Blog: Maturing Enterprise Mobility Towards Zero Trust Architectures for more information.   CISAは、「ゼロトラスト原則のエンタープライズ・モビリティへの適用」を検討し、コメントを提供するよう関係者に呼びかけています。詳細は、CISAブログ:ゼロトラスト・アーキテクチャに向けたエンタープライズ・モビリティの成熟を参照してください。  

 

・[PDF] Applying Zero Trust Principles to Enterprise Mobility - Version: DRAFT FOR PUBLIC COMMENT

20220315-140353

・[DOCX] 仮訳

 

1  Introduction 1 はじめに
1.1  Purpose 1.1 目的
2  Federal Zero Trust Guidelines 2 連邦政府ゼロトラストガイドライン
2.1  National Institute of Standards and Technology Zero Trust Architecture 2.1 国立標準技術研究所 ゼロトラスト・アーキテクチャ
2.2  Department of Defense Zero Trust Reference Architecture 2.2 国防総省 ゼロトラストリファレンス・アーキテクチャ
2.3  National Security Agency Zero Trust Reference Architecture 2.3 国家安全保障省 ゼロトラストリファレンス・アーキテクチャ
2.4  Executive Office of the President, Executive Order on Improving the Nation’s Cybersecurity 2.4 大統領府 国家のサイバーセキュリティの改善に関する大統領令
2.5  Cybersecurity and Infrastructure Security Agency Zero Trust Maturity Model, Draft 2.5 サイバーセキュリティ・インフラセキュリティ庁 ゼロトラスト成熟度モデル(案)
2.6  OMB’s Zero Trust Strategy 2.6 OMBのゼロトラスト戦略
3  Currently Available Security Capabilities for Enterprise Mobility 3 エンタープライズモビリティのための現在利用可能なセキュリティ機能
3.1  Enterprise Mobile Security Technologies 3.1 エンタープライズ・モバイルセキュリティ技術
3.2  Operating System Security Capabilities 3.2 オペレーティングシステムのセキュリティ機能
3.3  Hardware Technologies (HRD) 3.3 ハードウェア技術 (HRD)
3.4  Ancillary Capability Enablers (ACE) 3.4 補助的な能力イネーブラ (ACE) 
4  A Crosswalk Between Zero Trust Principles and Secure Enterprise Mobility 4 ゼロトラスト原則とセキュア・エンタープライズモビリティの交差点
4.1 Cross-Cutting Capabilities 4.1 横断的な能力
4.2 Governance 4.2 ガバナンス
5 Conclusion and Proposed Next Steps 5 結論と次のステップの提案
Acronyms 頭字語

 

・2022.03.04 MATURING ENTERPRISE MOBILITY TOWARDS ZERO TRUST ARCHITECTURES

MATURING ENTERPRISE MOBILITY TOWARDS ZERO TRUST ARCHITECTURES ゼロトラスト・アーキテクチャに向けたエンタープライズ・モビリティの成熟
As our adversaries continue to evolve their efforts to compromise networks across all sectors of the economy, the Biden Administration is driving urgent efforts toward a new cybersecurity paradigm. President  Biden’s Executive Order on Improving the Nation’s Cybersecurity (EO 14028) focuses on advancing security measures for the federal government that dramatically reduce the risk of successful cyberattacks. In particular, EO 14028 requires federal civilian agencies to establish plans to drive adoption of Zero Trust Architecture. 敵が経済のあらゆる部門のネットワークを侵害する努力を進化させ続ける中、バイデン政権は新しいサイバーセキュリティのパラダイムに向けた緊急の努力を推進しています。バイデン大統領による国家のサイバーセキュリティの改善に関する大統領令(EO 14028)は、サイバー攻撃の成功リスクを劇的に低減する連邦政府のセキュリティ対策の推進に焦点を当てています。特に、EO 14028は、連邦政府の文民機関がゼロトラストアーキテクチャの採用を推進する計画を策定することを求めています。
The Office of Management and Budget (OMB) issued a zero trust (ZT) strategy document in response to the Cybersecurity EO that requires Federal agencies to achieve certain specific ZT goals by the end of Fiscal Year 2024. Mobile devices present unique opportunities and challenges in adopting comprehensive zero trust models. We understand that mobile devices are an integral resource to conducting official business. 行政管理予算局(OMB)は、サイバーセキュリティの大統領令に対応してゼロトラスト(ZT)戦略文書を発行し、連邦政府機関に対して2024会計年度末までに特定のZT目標を達成するよう要求しています。モバイル機器は、包括的なゼロトラストモデルを採用する上でユニークな機会と課題を提供します。私たちは、モバイルデバイスが公務を遂行する上で不可欠なリソースであることを理解しています。
To support federal agencies and other organizations on their journey toward zero trust, CISA has published Applying Zero Trust Principles to Enterprise Mobility. This new publication highlights the need for special consideration for mobile devices and associated enterprise security management capabilities due to their technological evolution and ubiquitous use. The paper further presents architectural frameworks, principles, and capabilities to attain a ZT level set by the adopting organization. It then maps mobile security approaches into ZT principles that an organization can use to align its current mobile security capabilities with a ZT approach. ゼロ・トラストへの道を歩む連邦政府機関やその他の組織を支援するため、CISAは「ゼロトラスト原則のエンタープライズ・モビリティへの適用)」を発表しました。この新しい出版物は、モバイル機器の技術的進化とユビキタスな使用により、モバイル機器と関連する企業のセキュリティ管理機能に対する特別な配慮の必要性を強調しています。さらに、採用する組織が設定したZTレベルを達成するためのアーキテクチャのフレームワーク、原則、および機能を紹介しています。そして、モバイルセキュリティのアプローチをZTの原則にマッピングし、組織が現在のモバイルセキュリティ能力をZTアプローチに適合させるために利用できるようにします。
It is important to note that the mobility ZT paper is not a technical manual or implementation guide for either zero trust or enterprise mobility. Instead, it will guide federal civilian agencies and other organizations through the process of developing and implementing their specific cybersecurity capabilities for enterprise mobility toward adoption of their ZT goals. このモビリティZT文書は、ゼロトラスト・モビリティやエンタープライズ・モビリティの技術マニュアルや導入ガイドではないことに注意が必要です。その代わりに、連邦政府の民間機関やその他の組織が、ZT目標の採用に向けて、エンタープライズ・モビリティのための特定のサイバーセキュリティ能力を開発し、実装するプロセスを案内するものです。
We are also requesting public comment to ensure our guidance enables the best visibility, flexibility, and security. Our intent is to inform federal agencies how ZT principles can be applied to currently-available mobile security technologies that are already adopted in many cases as part of enterprise mobility security programs. また、私たちのガイダンスが最高の可視性、柔軟性、およびセキュリティを可能にするよう、パブリックコメントを求めています。私たちの意図は、企業のモビリティ・セキュリティ・プログラムの一部として多くの場合すでに採用されている、現在利用可能なモバイル・セキュリティ技術にZTの原則を適用する方法を連邦機関に知らせることです。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2021.11.05 米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

| | Comments (0)

中国 意見募集 未成年者ネット保護条例案

こんにちは、丸山満彦です。

中国が未成年者ネット保護条例についての意見募集をおこなっていますね。。。

どこかの国の勢いがあるおじさん、おばさんが作りたがっているような内容かもしれませんね。。。そういう意味では、そういうおじさん、おばさんたちは、大いに隣の国に学ぶことがあるのかもしれません。。。

法律で国としての制度とするのか、事業者を関係者の協力で自主的に解決していくのかというのは重要な問題だと思います。すべてを法律、すべてを自主協力でというわけにはいかないと思います。。。その匙加減は、国民の民度によるのかもしれませんね。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.03.14 国家互联网信息办公室关于《未成年人网络保护条例(征求意见稿)》 国家サイバースペース管理局「未成年者ネット保護条例(意見募集案)

 

国家互联网信息办公室关于《未成年人网络保护条例(征求意见稿)》 国家サイバースペース管理局「未成年者ネット保護条例(意見募集案)」
再次公开征求意见的通知 再度のパブリックコンサルテーションの通知
为了营造健康、文明、有序的网络环境,保护未成年人身心健康,保障未成年人在网络空间的合法权益,按照有关立法规划计划安排,前期国家互联网信息办公室起草了《未成年人网络保护条例(征求意见稿)》并公开征求意见。此后,国家互联网信息办公室会同司法部根据新修订制定的《中华人民共和国未成年人保护法》《中华人民共和国个人信息保护法》等法律和社会公众反馈意见,对《未成年人网络保护条例(征求意见稿)》进行了修改完善。为深入推进科学立法、民主立法、依法立法,提高立法质量,现再次公开征求意见。公众可通过以下途径和方式提出反馈意见: 健全で文明的で秩序あるネットワーク環境を作り、未成年者の心身の健康を保護し、サイバー空間における未成年者の合法的権益を守るため、国家サイバースペース管理局は、関連立法計画案の取り決めに基づき、早期に「未成年者ネットワーク保護条例(パブリックコメント募集案)」を起草し、公に意見を募集している。 その後、国家サイバースペース管理局は、新たに改正・制定された「中華人民共和国未成年者保護法」、「中華人民共和国個人情報保護法」などの法律や国民からの意見に従って、「未成年者インターネット保護条例(パブリックコメント用ドラフト)」の改正・改善を法務部と共に行ってきました。 科学的、民主的、法的な立法をさらに推進し、立法の質を向上させるため、今回、改めて一般から意見を募集すします。 一般の方は、以下の方法・手段でご意見をお聞かせください
附件:
1.未成年人网络保护条例(征求意见稿)
別紙:
1.未成年者ネット保護条例(意見募集案)
2.关于《未成年人网络保护条例(征求意见稿)》的说明 2.未成年者ネット保護条例(意見募集案)説明

   

 

まず、「2.未成年者ネット保護条例(意見募集案)説明」から...

关于《未成年人网络保护条例(征求意见稿)》的说明 未成年者ワーク保護条例(意見募集案)説明
一、立法必要性 I. 法制化の必要性
近年来,随着互联网的普及应用,特别是移动互联网迅速发展,越来越多的未成年人开始接触和使用互联网。据统计,2020年我国未成年网民规模已达1.83亿,未成年人的互联网普及率达到94.9%,明显高于同期全国人口70.4%的互联网普及率。互联网在拓展未成年人学习、生活空间的同时,也带来了一些问题,如未成年人安全合理使用网络的意识和能力不强、网上违法和不良信息影响未成年人身心健康、未成年人个人信息被滥采滥用、一些未成年人沉迷网络等,亟待通过立法加以解决。 近年、インターネットの普及・応用、特にモバイルインターネットの急速な発展に伴い、より多くの未成年者がインターネットにアクセスし、利用するようになりました。 統計によると、中国の未成年インターネットユーザー規模は2020年に1億8300万人に達し、未成年者のインターネット普及率は94.9%に達し、同時期の全国民のインターネット普及率70.4%を大きく上回っています。 インターネットは、未成年者の学習・生活空間を拡大した一方で、未成年者のインターネットを安全かつ合理的に利用する意識や能力が高くない、インターネット上の違法・不当な情報が未成年者の心身の健康に影響を与える、未成年者の個人情報が無差別に抽出・悪用される、インターネット依存症の未成年者がいる等の問題をもたらし、立法による対処が急務であると考えます。
习近平总书记指出,我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,为广大网民特别是青少年营造一个风清气正的网络空间。党中央、国务院高度重视未成年人网络保护工作,有关文件多次提出要制定未成年人网络保护条例,国务院也多次将制定未成年人网络保护条例列入立法工作计划。 習近平総書記は、人民に対して社会的責任と説明責任を果たし、法に従ってサイバースペースの統治を強化し、ネットコンテンツの建設を強化し、大多数のネットユーザー、特に若者にとって明瞭でクリーンなサイバースペースを実現すべきだと指摘しました。 党中央委員会及び国務院は、インターネット上の未成年者の保護を非常に重視しており、関連文書では、未成年者ネットワーク保護条例の策定を繰り返し提案しており、国務院も、未成年者ネットワーク保護条例の策定を繰り返し立法作業計画に盛り込んでいます。
二、起草过程 II.草案起草プロセス
根据党和国家关于未成年人网络保护和网信事业发展的决策部署,按照有关立法规划计划安排,国家互联网信息办公室会同司法部起草了《未成年人网络保护条例(征求意见稿)》。在此期间,国家互联网信息办公室、司法部先后向社会公开征求意见,多次大范围征求中央有关单位、部分地方政府和有关企业、行业协会和专家的意见,多次召开会议听取有关部门、企业、学校、家长和专家学者的意见;赴地方进行实地调研;根据未成年人保护法、预防未成年人犯罪法、个人信息保护法、家庭教育促进法等相关法律制定修订进展,反复研究完善,形成了目前的征求意见稿。 未成年者のネットワーク保護とネットの発展に関する党と国の決定に従って、国家サイバースペース管理局は、法務省と共に、関連する立法計画の取り決めに従って、「未成年者ネットワーク保護条例(パブリックコメント用ドラフト)」を起草しました。 この間、国家サイバースペース管理局と法務省は相次いで社会から世論を募集し、数回にわたって関連中央機関、一部の地方政府及び関連企業、業界団体、専門家に広く意見を求め、数回の会議を開催して関連部門、企業、学校、保護者および専門家と学者の意見を聞き、地方に出向いて現地調査を行い、未成年者保護法、少年犯罪防止法、少年犯罪予防法を根拠として、「少年犯罪防止法」「少年犯罪予防法」を制定しました。 今回の協議案は、「未成年者保護法」「少年非行防止法」「個人情報保護法」「家庭教育振興法」の策定・改正の進展に伴い、研究・改善を重ね、策定しました。
三、主要内容 III.主な内容
征求意见稿共七章六十七条,主要内容包括: 協議案は7章67条で構成され、その主な内容は以下の通りです。
(一)关于加强未成年人网络素养培育 (1) 未成年者のネット・リテラシーの育成強化について
针对一些未成年人网络素养需要提高,科学、文明、安全、合理使用网络能力不强的问题,征求意见稿规定:一是将网络素养教育纳入学校素质教育内容,制定未成年人网络素养测评指标(第十三条)。二是改善未成年人上网条件,通过配备指导教师或者政府购买服务等方式提供优质的网络素养教育课程(第十四条)。三是明确为未成年人提供互联网上网服务设施的有关场所应当履行的未成年人网络保护义务,以及未成年人上网保护软件、专门供未成年人使用的智能终端产品应当具有的功能(第十五条、第十九条)。四是强化学校、监护人的网络素养教育责任,建立健全学生在校上网管理制度,加强监护人对未成年人使用网络行为的引导和监督(第十六条、第十七条)。五是鼓励和支持专门以未成年人为服务对象、适应未成年人身心健康发展规律和特点的网络技术、产品和服务的研发、生产和使用(第十八条)。六是强化重要互联网平台服务提供者在未成年人网络保护中的责任,并设置专门义务(第二十条)。 未成年者の中には、ネット・リテラシーを向上させる必要があり、科学的、文明的、安全かつ合理的な方法でネットを利用することに強くない者がいるという問題に対して、公募案では、第1に、学校における質の高い教育の内容にインターネット・リテラシー教育を組み入れること、未成年者のネット・リテラシーの評価のための指標を策定すること(13条)が規則されています。 第2は、未成年者がネットにアクセスするための条件を整備し、政府による講師の派遣やサービスの購入を通じて、質の高いネット・リテラシー教育コースを提供することです(第14条)。 第3に、未成年者向けインターネット接続サービス設備を提供する関係事業所が果たすべき未成年者のネット保護義務、及び未成年者向けインターネット保護ソフトウェアや未成年者専用のスマート端末製品が提供すべき機能を明確にすること(15条、19条)。 第4に、ネット・リテラシー教育に対する学校及び保護者の責任の強化、学校における生徒のネット利用管理のための健全なシステムの確立、未成年者のネット利用行動に対する保護者の指導・監督の強化(16条、17条)である。 第5に、未成年者を特に対象とし、その身体的及び精神的健康の発達の法則及び特性に適合するネット技術、製品及びサービスの研究、開発、生産及び利用を奨励し、支援すること(第18条)。 第6に、未成年者のオンライン保護における重要なインターネット・プラットフォーム・サービス・プロバイダーの責任を強化し、特別な義務を設定すること(第20条)です。
(二)关于加强网络信息内容规范 (2) オンライン情報コンテンツの規制強化について
针对网上违法和不良信息影响未成年人身心健康、网络欺凌事件屡有发生、不法分子利用网络诱导未成年人违法犯罪等问题,征求意见稿规定:一是鼓励和支持有利于未成年人健康成长的网络信息的制作、复制、发布、传播(第二十一条)。二是加强对信息内容的管理,对含有危害未成年人身心健康内容的信息和可能影响未成年人身心健康的信息作出相应规范,明确网络产品和服务提供者发现相关信息的处置措施和报告义务(第二十二条至第二十四条、第二十六条、第三十条)。三是禁止对未成年人实施网络欺凌行为,保障未成年人及其监护人行使通知权利(第二十七条)。四是禁止利用网络组织、胁迫、引诱、教唆、欺骗和帮助未成年人实施不良行为、严重不良行为或者违法犯罪行为(第二十八条)。五是要求以未成年人为服务对象的在线教育网络产品和服务符合未成年人的身心发展特点和认知能力(第二十九条)。六是明确新闻媒体的未成年人保护义务,要求客观、审慎和适度采访报道涉及未成年人事件(第三十一条)。 ネット上の違法・不当な情報が未成年者の心身の健康に影響を与えること、いじめが繰り返されること、悪質な者がネットを利用して未成年者を犯罪に巻き込むことなどが問題となっていることから、意見募集では、第1に、未成年者の健全育成に資するオンライン情報の作成、複製、公表及び普及を奨励・支援すること(21条)を規則しています。 第2に、情報コンテンツの管理を強化し、未成年者の心身の健康に有害な内容を含む情報および未成年者の心身の健康に影響を与える可能性のある情報への対応規則を設け、オンライン商品・サービスの提供者が関連情報を発見した場合の処分方法および報告義務を明確にしています(22条~24条、26条、30条)。 第3に、未成年者に対するいじめを禁止し、未成年者及びその保護者の通告権を保障しています(第27条)。 第4に、ネットを利用して、未成年者が悪い行為、重大な悪い行為、犯罪を犯すことを組織し、強制し、教唆し、欺き、手助けすることを禁止しています(第28条)。 第5に、未成年者を対象としたオンライン教育ネットワーク製品及びサービスは、未成年者の身体的・精神的発達の特性及び認知能力に適合することが求められます(第29条)。 第六に、報道機関の未成年者保護義務を明確化し、未成年者が関与する事件の客観的かつ慎重で節度ある報道を義務付けています(第31条)。
(三)关于加强未成年人个人信息保护 (3) 未成年者の個人情報保護の強化について
针对未成年人个人信息被滥采滥用、保护不充分等问题,征求意见稿明确:一是明确网络服务提供者收集未成年人真实身份信息相关要求(第三十三条)。二是规定个人信息处理者处理未成年人个人信息的基本原则、知情同意、告知规则和提供规则(第三十四条至第三十六条、第三十八条)。三是规定个人信息处理者处理未成年人敏感个人信息需要履行的特殊义务(第三十七条)。四是明确监护人在未成年人个人信息保护中的监护职责(第三十九条)。五是明确个人信息处理者的配合义务、安全事件应急处置要求、未成年人个人信息访问权限限制和个人信息合规审计要求(第四十条至第四十二条、第四十四条)。六是强化对未成年人私密信息的保护。(第四十三条)。 未成年者の個人情報が無差別に抽出・乱用され、その保護が不十分であるという問題に対し、今回の公開草案では、第1に、ネットワークサービス事業者による未成年者の実名情報の収集に関する要件を明確にしています(第33条)。 第2に、個人情報取扱者による未成年者の個人情報の取扱いについて、基本原則、インフォームドコンセント、通知規則、提供規則を定めています(第34条~第36条、第38条)。 第3に、未成年者の機微な個人情報を取り扱う際に、個人情報取扱者が果たすべき特別な義務について規則すること(第37条)。 第4に、未成年者の個人情報保護における保護者の後見的責任を明確にすること(第39条)。 第5に、個人情報取扱者の協力義務、セキュリティ事故の緊急対応要件、未成年者の個人情報へのアクセス制限、個人情報の準拠性監査の要件を明確にすること(第40条から42条、第44条)。 6つ目は、未成年者の個人情報保護を強化することです。 (第43条)。
(四)关于加强未成年人网络沉迷防治 (4) 未成年者のネット中毒の防止及び管理の強化に関すること。
针对一些未成年人沉迷于网络游戏、网络直播、网络音视频等网络产品和服务、未成年人非理性网络消费、参与“饭圈”乱象、“网瘾矫治机构”侵害未成年人身心健康等问题,征求意见稿规定:一是严禁以侵害未成年人身心健康的方式干预未成年人网络沉迷(第四十六条)。二是加强学校、监护人对未成年人沉迷网络的预防和干预,提高教师对未成年人沉迷网络的早期识别和干预能力,加强监护人对未成年人安全合理使用网络的监督(第四十七条、第四十八条)。三是明确平台责任义务,要求相关主体建立健全防沉迷制度,合理限制未成年人消费行为,采取措施防范和抵制流量至上等不良价值倾向(第四十九条至第五十二条)。四是完善网络游戏实名制规定,建立预防未成年人沉迷网络游戏的游戏规则,对游戏产品进行分类并予以适龄提示(第五十三条、第五十四条)。五是明确国家有关部门在未成年人网络沉迷防治工作方面的职责(第五十五条、第五十六条)。 一部の未成年者がオンラインゲーム、オンラインライブ配信、オンラインオーディオ・ビデオなどのオンライン製品・サービスにはまっていること、未成年者による不合理なオンライン消費、「おにぎりの輪(ファンサークル)」カオスへの参加、「ネット依存症治療施設」が未成年者の心身の健康を侵害している問題に対して、協議案が示されました。 草案では、第1に、未成年者のネット中毒について、その心身の健康を侵害するような干渉は厳禁とされています(第46条)。 第2に、学校及び保護者が未成年者のネット中毒を予防し介入する能力を強化し、教師が未成年者のネット中毒を早期に発見し介入する能力を向上させ、保護者が未成年者の安全かつ合理的なインターネット利用を監督する能力を強化すべきです(第47条、第48条)。 第3に、プラットフォームの責任と義務を明確化し、関連する主体に対して、健全な依存症対策システムの構築、未成年者の消費行動の合理的制限、トラフィック優先などの望ましくない価値傾向を防止し抵抗するための措置などを求めています(第49条~第52条)。 第4に、オンラインゲームの実名制に関する規則の整備、未成年者のオンラインゲーム中毒を防ぐためのゲームルールの制定、ゲーム商品の分類と年齢相応のアドバイス(53条、54条)です。 第5に、未成年者のネット依存症の予防と管理における国家関係部門の責任を明確にしています(第55条、第56条)。
此外,征求意见稿还对有关违法行为规定了相应的法律责任(第六章)。 さらに、コメント用ドラフトでは、関連する違法行為に対応する法的責任についても定めています(第6章)。

 

1.未成年者ネット保護条例(意見募集案)

未成年人网络保护条例(征求意见稿) 未成年者ネット保護条例(意見募集案)
第一章 总则 第1章 総則
第一条 为了营造健康、文明、有序的网络环境,保护未成年人身心健康,保障未成年人在网络空间的合法权益,根据《中华人民共和国未成年人保护法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。 第1条 本規則は、中華人民共和国未成年者保護法、中華人民共和国ネットワークセキュリティ法、中華人民共和国個人情報保護法及びその他の法律に従い、健全で文明的かつ秩序あるネットワーク環境を作り、未成年者の心身の健康を守り、サイバー空間における未成年者の合法的権益を保護するために制定された。
第二条 未成年人网络保护工作应当坚持最有利于未成年人的原则,以社会主义核心价值观为引领,适应未成年人身心健康发展和网络空间的规律和特点,实行社会共治。 第2条 未成年者のネット保護は、未成年者に最も資するという原則を堅持し、社会主義の核心的価値観に導かれ、未成年者の健全な心身の発達とサイバースペースの法律及び特性に適応し、社会共治を実施する。
第三条 国家网信部门负责统筹协调未成年人网络保护工作,并依据职责做好相关未成年人网络保护工作。 第3条 国家のネットワーク情報部門は、未成年のネット保護に関する業務を調整する責任を負い、その任務に従って未成年のネット保護に善処しなければならない。
国家新闻出版部门和国务院教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门依据各自职责做好相关未成年人网络保护工作。 国家報道出版部門および教育、電信、公安、民政、文化観光、衛生、市場監督管理、ラジオ・テレビなどの国務院の関連部門は、それぞれの職務に基づき、未成年者のネットワーク保護に関する関連作業を行う。
县级以上地方有关部门依据各自职责做好相关未成年人网络保护工作。 県レベル以上の地方関連部門は、それぞれの責任に基づき、ネット上の未成年者保護のための関連業務を行う。
第四条 共产主义青年团、妇女联合会、工会、残疾人联合会、关心下一代工作委员会、青年联合会、学生联合会、少年先锋队以及其他人民团体、有关社会组织、基层群众性自治组织,应当协助有关部门做好未成年人网络保护工作,维护未成年人在网络空间的合法权益。 第4条 共産主義青年団、婦女連合会、労働組合、障害者連合会、次世代配慮委員会、青年連合会、学生連合会、青年開拓団などの人民組織、関連社会団体、草の根大衆自治組織は、関連部門がネット上の未成年者を保護し、サイバー空間における未成年者の合法的権益を保護するために良い仕事をするように援助しなければならない。
第五条 家庭、学校和其他教育机构应当教育引导未成年人参加有益身心健康的活动,科学、文明、安全、合理使用网络,预防和干预未成年人沉迷网络。 第5条 家庭、学校その他の教育機関は、未成年者が心身の健康に有益な活動に参加し、ネットを科学的、文明的、安全かつ合理的に利用するよう教育及び指導し、未成年者のネット依存を防止及び介入する。
第六条 网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者应当遵守法律法规规章,尊重社会公德,遵守商业道德,诚实信用,履行未成年人网络保护义务,承担社会责任。 第6条 ネットワーク製品・サービス提供者、個人情報処理者、インテリジェント端末製品製造・販売者は、法令を遵守し、社会道徳を尊重し、企業倫理を守り、誠実かつ信頼され、ネット上の未成年者保護義務を果たし、社会的責任を負わなければならない。
第七条 网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者应当接受政府和社会的监督,配合有关部门依法实施涉及未成年人网络保护工作的监督检查,建立便捷、合理、有效的投诉、举报渠道,通过显著方式公布投诉、举报途径和方法,及时受理并处理公众投诉、举报。 第7条 ネットワーク製品・サービス提供者、個人情報処理業者、インテリジェント端末製品の製造・販売業者は、政府および社会の監督を受け入れ、関係部門と協力して、法に基づき未成年者が関わるネットワーク保護業務の監督・検査を実施し、便利で合理的かつ有効な苦情・通報ルートを設け、苦情・通報方法と手段を目立つように公表し、公衆の苦情・通報を迅速に受け付け、処理する。
第八条 任何组织和个人发现违反本条例规定的,可以向网信、新闻出版、教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门投诉、举报。收到投诉、举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 第8条 本規則に違反する行為を発見した組織または個人は、ネット情報、報道出版、教育、電気通信、公安、民政、文化観光、保健、市場監督管理、ラジオ・テレビなどの関連部門に苦情または通報を行うことができる。 苦情や報告を受けた部門は、法律に従って速やかに対処し、その部門の責任に該当しない場合は、それを処理する権利を有する部門に速やかに移管しなければならない。
第九条 网络相关行业组织应当加强行业自律,制定未成年人网络保护相关行业规范,指导会员履行未成年人网络保护义务,加强对未成年人的网络保护。 第9条 ネットワーク関連業界団体は、業界の自主規制を強化し、未成年のネット保護に関する業界規範を策定し、会員が未成年のネット保護に関する義務を履行することを指導し、未成年のネット保護を強化する。
第十条 新闻媒体应当通过新闻报道、专题栏目(节目)、公益广告等方式,开展未成年人网络保护法律制度、政策措施和有关知识的宣传,对侵犯未成年人网络权益的行为进行舆论监督,引导全社会共同参与未成年人网络保护。 第10条 報道機関は、報道、特別欄(番組)及び公共広告を通じて、未成年のネット保護に関する法制度、政策、措置及び関連知識を広報し、未成年者のインターネット権益を侵害する行為に関する世論を監視し、社会全体が未成年のネット保護に参加するように指導しなければならない。
第十一条 国家鼓励和支持在未成年人网络保护领域加强科学研究和人才培养,开展国际交流与合作。 第11条 国は、未成年のネット保護の分野における科学的研究及び人材の育成の強化並びに国際交流及び協力の発展を奨励し、支援する。
第十二条 对在未成年人网络保护工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。 第12条 未成年のネット保護に顕著な貢献をした団体及び個人は、国家の関連規則に基づいて表彰される。
第二章 网络素养培育 第2章 ネットリテラシーの育成
第十三条 国务院教育行政部门应当将网络素养教育纳入学校素质教育内容,并会同国家网信部门制定未成年人网络素养测评指标。 第13条 国務院教育行政部門は、学校における質の高い教育の内容にネットリテラシーの教育を取り入れ、国家のネットワーク情報部門と共同で、未成年者のネットリテラシーを測定するための指標を策定する。
教育行政部门应当指导、支持学校开展未成年人网络素养教育,围绕网络道德意识和行为准则、网络法治观念和行为规范、网络使用能力建设、人身财产安全保护等,培育未成年人网络安全意识、文明素养、行为习惯和防护技能。 教育行政部門は、学校が未成年者のネットリテラシーに関する教育を実施するよう指導・支援し、ネットの道徳・行動規範の意識、ネットの法治・行動規範の概念、ネット利用の能力開発、個人財産安全の保護などを中心に、未成年者のネット安全意識、文明的リテラシー、行動習慣、保護能力などを育成すべきである。
第十四条 县级以上人民政府应当科学规划、合理布局,加强提供公益性上网服务的公共文化设施建设,改善未成年人上网条件,促进公益性上网服务均衡协调发展。 第14条 県レベル以上の地方人民政府は、科学的な計画と合理的な配置を行い、公共の福祉ネット接続サービスを提供する公共文化施設の建設を強化し、未成年者のネット接続条件を改善し、公共の福祉ネット接続サービスの均衡と協調のある発展を促進しなければならない。
县级以上地方人民政府应当通过为中小学校配备具备相应专业能力的指导教师或者政府购买服务等方式,为学生提供优质的网络素养教育课程。 県レベル以上の地方人民政府は、初等・中等学校に適切な専門能力を有する指導者を配置することにより、または政府がサービスを購入することにより、生徒に対して質の高いネットリテラシー教育コースを提供する。
第十五条 学校、社区、图书馆、文化馆、青少年宫等场所为未成年人提供互联网上网服务设施,应当通过安排专业人员和招募志愿者、教师、家长参与等方式,以及安装未成年人网络保护软件或者采取其他安全保护技术措施,为未成年人提供上网指导和安全、健康的上网环境。 第15条 学校、共同体、図書館、文化センター、青少年会館その他未成年者のためにネット接続サービス施設を提供するところは、専門職員を配置し、ボランティア、教師及び保護者の参加を求め、また、未成年者用のインターネット保護ソフトウェアをインストールし、その他安全保護のための技術的措置を採ることにより、未成年者の指導及び安全かつ健全なインターネット環境を提供しなければならない。
第十六条 学校应当将科学、文明、安全、合理使用网络等内容纳入教育教学活动,并合理使用网络开展教学活动,建立健全学生在校期间上网的管理制度,对学生进行网络素养教育,依法规范管理未成年学生带入学校的智能终端产品,帮助学生养成良好上网习惯,培养学生网络安全意识,增强学生对网络信息的获取和分析判断能力。 第16条 学校は、科学的、文明的、安全かつ合理的なネットの利用を教育・指導活動に取り入れ、教育活動の遂行にネットを合理的に利用し、生徒の授業時間中のネット利用について健全な管理体制を確立し、生徒にネットリテラシーの教育を行い、未成年者が学校に持ち込む知的端末製品の管理を法律に基づいて規制し、生徒に良好なネット習慣をつけさせ、ネットの安全に対する認識を育成し、その向上を図る。 ネット上の情報にアクセスし、分析・判断する能力がある。
第十七条 未成年人的监护人应当主动学习网络知识,提高自身网络素养,规范自身使用网络的行为,加强对未成年人使用网络行为的教育、示范、引导和监督。 第17条 未成年者の保護者は、率先してネットについて学び、自らのネット・リテラシーを高め、自らのネットの利用を規制するとともに、未成年者のネット利用に関する教育、実演、指導及び監督を強化しなければならない。
第十八条 国家鼓励和支持专门以未成年人为服务对象、适应未成年人身心健康发展规律和特点的上网保护软件、智能终端产品和青少年模式、未成年人专区等网络技术、产品、服务的研发、生产和使用,鼓励加强网络无障碍环境建设和改造,促进未成年人开阔眼界、提高素质、陶冶情操、愉悦身心。 第18条 国は、未成年者に奉仕し、その心身の健康発達の法則及び特性に適合するように特別に設計されたネット保護ソフトウェア、インテリジェント端末製品、青少年モデル及び未成年者専用エリアなどのネット技術、製品及びサービスの研究開発、生産及び使用を奨励し支援するとともに、ネットのアクセス環境の構築及び転換を強化し、未成年者の視野の拡大、質の向上、情操育成及び娯楽を促進させるよう奨励する。 
第十九条 未成年人上网保护软件、专门供未成年人使用的智能终端产品应当具有有效识别违法信息和可能影响未成年人身心健康的信息、保护未成年人个人信息权益、预防未成年人沉迷网络、便于监护人履行监护职责等功能。 第19条 未成年者用ネット保護ソフトウェア及び未成年者専用知能端末製品は、違法な情報及び未成年者の心身の健康に影響を及ぼすおそれのある情報を有効に識別し、未成年者の個人情報の権利利益を保護し、未成年者のネット中毒を防止し、並びに保護者による後見業務の遂行を容易にする機能を有する。
国家网信部门会同国务院有关部门根据未成年人网络保护工作的需要,明确未成年人上网保护软件、专门供未成年人使用的智能终端产品的相关技术标准或者要求,指导相关行业组织对未成年人上网保护软件、专门供未成年人使用的智能终端产品的使用效果进行评估,并向社会公布评估结果。 国家のネットワーク情報部門は、国務院の関連部門と共同で、未成年のネット保護の必要性に応じて、未成年のネット保護ソフトウェアおよび未成年者専用のスマート端末製品の関連技術標準または要求を明確にし、関連業界団体が未成年のネット保護ソフトウェアおよび未成年者専用のスマート端末製品の有効性を評価し、評価結果を社会に公開するよう指導する。
智能终端产品制造者应当在产品出厂前安装未成年人上网保护软件,或者采用显著方式告知用户安装渠道和方法。智能终端产品销售者在产品销售前应当采用显著方式告知用户安装未成年人上网保护软件的情况以及安装渠道和方法。 インテリジェント端末製品の製造業者は、製品が工場から出荷される前に未成年者向けのネット保護ソフトウェアをインストールするか、インストール経路や方法を目立つ方法で利用者に知らせるべきである。 インテリジェント端末製品の販売者は、製品の販売前に、未成年者向けネット保護ソフトウェアのインストール方法、インストール経路、方法について、利用者に目立つように告知する必要があります。
未成年人的监护人应当合理使用并指导未成年人使用上网保护软件、智能终端产品等,创造良好的网络使用家庭环境。 未成年者の保護者は、ネット保護ソフトウェア、インテリジェント端末製品等を合理的に使用し、未成年者に指導することにより、家庭におけるネット利用のための良好な環境を構築しなければならない。
第二十条 未成年人用户数量巨大、在未成年人群体具有显著影响力的重要互联网平台服务提供者,应当履行下列义务: 第20条 未成年者の利用者が多く、未成年者のコミュニティにおいて大きな影響力を持つ重要なインターネットプラットフォームサービス事業者は、以下の義務を果たす。
(一)在互联网平台服务的设计、研发、运营等阶段,充分考虑未成年人身心健康发展特点,定期开展未成年人网络保护影响评估; (1) インターネットプラットフォームサービスの設計・開発・運用段階において、未成年者の心身の発達の特性を十分に考慮し、未成年のネット保護に関する影響評価を定期的に実施すること。
(二)提供青少年模式或者未成年人专区等,便利未成年人获取有益身心健康的平台内产品或者服务; (2) 未成年者がプラットフォーム内の心身の健康に有益な商品・サービスを利用しやすくするために、ユースモードや未成年者向けの特別エリア等を設けること。
(三)按照国家规定建立健全未成年人网络保护合规制度体系,成立主要由外部成员组成的独立机构,对未成年人网络保护情况进行监督; (3) 未成年者のオンライン保護について、国内規則に基づく健全な遵守体制を確立し、未成年者のオンライン保護を監視するために、主として外部委員からなる独立した組織を設置すること。
(四)遵循公开、公平、公正的原则,制定专门的平台规则,明确平台内产品或者服务提供者未成年人网络保护的义务,并以显著方式提示未成年人用户依法享有的网络保护权利和遭受网络侵害的救济途径; (4) 公開性、公正性、公平性の原則に従い、プラットフォーム内の製品またはサービスの提供者の未成年者のオンライン保護に関する義務を明確にするための特別なプラットフォーム規則を策定し、未成年者のユーザーが法律に基づいて権利を有するオンライン保護権およびオンライン侵害に対する救済手段を目立つように表示すること。
(五)对严重违反法律、行政法规侵害未成年人身心健康或者侵犯未成年人其他合法权益的平台内的产品或者服务提供者,停止提供服务; (5) 未成年者の心身の健康を侵害し、その他未成年者の正当な権利・利益を侵害する重大な法令違反があるプラットフォーム内の製品・サービス提供者へのサービス提供を停止すること。
(六)每年发布专门的未成年人网络保护社会责任报告,并通过公众评议等方式接受社会监督。 (6)未成年のネット保護に関する社会的責任に関する特別報告書を毎年発行し、パブリックコメント等を通じて社会的な監督を受け付ける。
第三章 网络信息内容规范 第3章 ネット情報コンテンツの規制
第二十一条 国家鼓励和支持弘扬社会主义核心价值观和中华优秀传统文化、培养未成年人家国情怀和良好品德、增强创新意识和能力、养成良好生活习惯和行为习惯、提高安全意识和技能等网络信息的制作、复制、发布、传播,营造有利于未成年人健康成长的清朗网络空间和良好网络生态。 第21条 国は、社会主義の核心的価値と中国の優れた伝統文化を促進し、未成年者の家庭感情及び善良な道徳心を養い、未成年者の意識と革新能力を高め、良い生活習慣と行動を育成し、安全意識と技能を向上させるオンライン情報の制作、複製、出版及び普及を奨励し支援し、未成年者の健全な成長に資する明確なサイバー空間と良いオンライン生態を創出する。
第二十二条 禁止利用网络制作、复制、发布、传播含有危害未成年人身心健康内容的信息。 第22条は、ネットを利用して、未成年者の心身の健康を害する内容を含む情報を作成、複写、出版、普及することを禁止する。
禁止向未成年人发送含有危害或者可能影响未成年人身心健康内容的信息。 未成年者の心身に有害な影響を及ぼすおそれのある内容を含む情報を、未成年者に向けて発信することを禁止する。
第二十三条 禁止制作、复制、发布、传播或者持有有关未成年人的淫秽色情网络信息。 第23条 未成年者に関するわいせつ・ポルノ的なネット情報の作成、複製、出版、普及、所持を禁止する。
禁止诱骗、强迫未成年人制作、复制、发布、传播可能暴露其个人隐私的文字、图片、音视频,不得诱骗、强迫未成年人观看淫秽色情网络信息。 個人のプライバシーを暴露する可能性のある文章、写真、音声、動画を作成、コピー、出版、流布するよう未成年者を誘惑したり、強制したりすることは禁止されており、わいせつ・ポルノなインターネット情報を見るよう未成年者を誘惑したり、強制してはならない。
第二十四条 网络产品和服务中含有可能引发或者诱导未成年人模仿不安全行为、实施违反社会公德行为、产生不良情绪、养成不良嗜好等可能影响未成年人身心健康的信息的,制作、复制、发布、传播该信息的组织和个人应当在信息展示前予以显著提示。 第24条 ネットワーク製品およびサービスに、未成年者が危険な行為を模倣し、社会道徳に反する行為を行い、悪い感情を生じさせ、悪い習慣を身につけるきっかけとなる情報、その他未成年者の心身の健康に影響を及ぼす可能性のある情報が含まれる場合、当該情報を制作、複製、出版または普及する組織および個人は、情報を表示する前にその旨を目立つように表示する。
第二十五条 国家网信部门会同国家新闻出版、电影部门和国务院教育、电信、公安、文化和旅游、广播电视等部门,在本条例第二十四条规定基础上确定可能影响未成年人身心健康的信息的具体种类、范围、判断标准和提示办法。 第25条 国家のネットワーク情報部門は、国家報道出版映画部門及び国務院教育、電信、公安、文化観光、ラジオテレビ部門と共同で、本規則第24条の規則に基づき、未成年者の心身の健康に影響を与える可能性のある情報の具体的な種類、範囲、判断基準、促成方法について定める。
第二十六条 任何组织和个人不得在专门以未成年人为服务对象的网络产品和服务中制作、复制、发布、传播本条例第二十四条规定的可能影响未成年人身心健康的信息。 第26条 いずれの団体又は個人も、未成年者を特に対象とするネットワーク製品及びサービスにおいて、本規則第24条に規則する未成年者の心身の健康に影響を与える可能性のある情報を作成し、複製し、出版し、又は流布してはならない。
网络产品和服务提供者不得在首页首屏弹窗热搜等处于产品或者服务醒目位置、易引起用户关注的重点环节呈现本条例第二十四条规定的可能影响未成年人身心健康的信息。 ネットワーク製品・サービスの提供者は、本規則第24条に定める未成年者の心身の健康に影響を及ぼす可能性のある情報を、ポップアップ・ホットサーチなどホームページの最初の画面や、製品・サービスの要所で、利用者の注意を引く可能性のある場所に表示してはならない。
第二十七条 任何组织和个人不得通过网络以文字、图片、音视频等形式,对未成年人实施侮辱、诽谤、威胁或者恶意损害形象等网络欺凌行为。 第27条 何人も、組織又は個人は、ネットを通じて、文字、写真、音声及び映像の形式により、未成年者を侮辱し、誹謗し、脅迫し、又は悪意を持ってそのイメージを損なう等のネットいじめの行為をしてはならない。
网络产品和服务提供者应当设置便利未成年人及其监护人保全遭受网络欺凌证据、行使通知权利的功能、渠道。遭受网络欺凌的未成年人及其监护人有权通知网络产品和服务提供者采取删除、屏蔽、断开链接、限制账号功能、关闭账号等必要措施。网络产品和服务提供者接到通知后,应当及时采取必要措施予以制止,防止信息扩散。 オンライン製品及びサービスの提供者は、未成年者及びその保護者がネットいじめの証拠を保存し、通知権を行使することを容易にする機能及びチャネルを設定する。 ネットいじめを受けた未成年者とその保護者は、オンライン製品やサービスのプロバイダに対して、削除、ブロック、リンクの切断、アカウント機能の制限、アカウントの閉鎖などの必要な措置を取るよう通知する権利を有する。 オンライン製品・サービスの提供者は、通知を受けた後、速やかにこれを停止し、情報の拡散を防止するために必要な措置を講じる。
第二十八条 任何组织和个人不得利用网络组织、胁迫、引诱、教唆、欺骗、帮助未成年人实施不良行为、严重不良行为或者违法犯罪行为。 第28条 組織又は個人は、ネットを利用して、未成年者が好ましくない行為、重大な好ましくない行為又は違法・犯罪行為を行うことを組織し、強制し、教唆し、欺罔し又は援助してはならない。
第二十九条 以未成年人为服务对象的在线教育网络产品和服务,应当符合不同年龄阶段未成年人身心发展特点和认知能力。 第29条 未成年者を対象とするオンライン教育ネットワークの製品及びサービスは、年齢ごとの未成年者の心身の発達の特性及び認知能力に適合したものでなければならない。
以未成年人为服务对象的在线教育网络产品和服务提供者应当遵守教育行政部门会同有关部门制定的机构设置、人员资质、收费监管等相关标准和制度,按照规定合理设置时段、时长和内容,不得插入网络游戏链接,不得推送广告等与教学无关的信息。 未成年者を対象としたオンライン教育ネットワーク製品およびサービスの提供者は、教育行政部門が関係部門と連携して策定した制度設定、人材資格、料金監督などに関する基準および制度を遵守し、規則に従って妥当な時間帯、期間、内容を設定し、オンラインゲームへのリンクや広告など教育とは無関係の情報を押し付けてはいけない。
第三十条 网络产品和服务提供者应当加强对用户发布信息的管理,采取有效措施防止违反本条例第二十二条、第二十三条、第二十六条、第二十七条第一款、第二十八条、第二十九条第二款规定的信息的制作、复制、发布、传播,发现违反本条例上述条款规定的信息的,应当立即停止传输相关信息,采取删除、屏蔽、断开链接等处置措施,防止信息扩散,保存有关记录,并向网信、公安等部门报告。 第30条 ネットワーク製品及びサービスの提供者は、利用者が公開する情報の管理を強化し、本規則第22条、第23条、第26条、第27条第1項、第28条及び第29条第2項の規則に違反する情報の作成、複製、公開及び流布を防ぐために有効な措置を講じ、本規則の上記の規則に違反する情報を発見した場合は、直ちに当該情報の送信を停止する。 情報の削除、遮断、切断などの廃棄措置を取り、情報の拡散を防ぐとともに、関連記録を保管し、ネットワーク情報部門および公安部門に報告する。
网络产品和服务提供者发现用户发布本条例第二十四条规定的可能影响未成年人身心健康的信息未予显著提示的,应当作出提示或者通知用户予以提示;未作出提示的,不得传输该信息。 ネットワーク製品・サービスの提供者は、利用者が本規則第24条に規則する未成年者の心身の健康に影響を与える可能性のある情報を、目立つように表示することなく掲載していると認めた場合、表示するか利用者に通知しなければならず、表示がない場合は情報を送信してはならない。
第三十一条 新闻媒体应当客观、审慎和适度采访报道涉及未成年人事件,不得通过网络宣扬体罚未成年人、侮辱未成年人人格尊严和未成年人违法犯罪等行为,不得通过网络披露未成年人违法犯罪和欺凌事件当事人的姓名、住所、照片以及其他可能识别出未成年人真实身份的信息。 第三十一条 報道機関は、未成年者が関係する事件について、客観的かつ慎重で節度ある取材及び報道を行うとともに、ネットを通じて、未成年者に対する体罰、未成年者の人格の侮辱及び未成年者の犯罪を助長してはならず、また、ネットを通じて、未成年者の犯罪及びいじめ事件の関係者の氏名、住居、写真その他の身元を明らかにすることができる情報を開示してはならない。
第三十二条 国家网信、新闻出版部门和国务院有关部门发现违反本条例第二十二条、第二十三条、第二十六条、第二十七条第一款、第二十八条、第二十九条第二款规定的信息的,发现本条例第二十四条规定的信息未予以显著提示的,应当要求网络产品和服务提供者停止传输,依法采取删除、屏蔽、断开链接等处置措施,保存有关记录;对来源于境外的上述信息,应当通知有关机构采取技术措施和其他必要措施阻断传播。 第32条 国家サイバースペース管理局、報道出版局及び国務院の関連部門は、本規則第22条、第23条、第26条、第27条第1項、第28条及び第29条第2項の規則に違反する情報を発見した場合、及び本規則第24条に定める情報が顕著に表示されていないと認める場合、ネットワーク製品及びサービスの提供者に対して、送信の停止及び削除等の措置を要求する。 国外から発信された上記情報については、関係機関に通知し、その発信を遮断するための技術的措置その他の必要な措置を講じる。
第四章 个人信息保护 第4章 個人情報保護
第三十三条 网络服务提供者为未成年人提供信息发布、即时通讯等服务,应当在确认提供服务时,要求未成年人或者其监护人提供未成年人真实身份信息。未成年人或者其监护人不提供未成年人真实身份信息的,网络服务提供者不得为未成年人提供相关服务。 第33条 ネットワークサービスプロバイダーは、未成年者向けの情報公開及びインスタントメッセージサービスを提供する場合、サービスの提供の確認に際して、未成年者又はその保護者から、未成年者の真偽に関する情報を提供するよう求める。 未成年者またはその保護者が本人確認情報を提供しない場合、ネットワークサービスプロバイダーは、当該未成年者に対して関連サービスを提供してはならない。
网络直播服务提供者不得为未满十六周岁的未成年人提供网络直播发布者账号注册服务;为十六周岁以上的未成年人提供网络直播发布者账号注册服务的,应当对其身份信息进行认证,并经其监护人同意。 ライブ中継事業者は、16歳未満の未成年者に対してライブ中継事業者アカウント登録サービスを提供してはならない。16歳以上の未成年者に対してライブ中継事業者アカウント登録サービスを提供する場合は、身元情報の認証を行い、保護者の同意を得なければならない。
网络直播服务提供者应当建立网络直播发布者真实身份信息动态核验机制,对于不符合前款规定的,不得为其提供直播发布服务。 ライブ・ウェブキャスティング・サービス提供者は、ライブ・ウェブキャスティング・パブリッシャーの実在性情報の動的検証メカニズムを確立しなければならず、前項の規則に従わない者に対しては、ライブ・ウェブキャスティング・パブリッシング・サービスを提供してはならない。
第三十四条 个人信息处理者通过网络处理未成年人个人信息的,应当遵循合法、正当、必要和诚信的原则,公开专门的处理规则,明示处理的目的、方式和范围,依法告知法律、行政法规规定的相关事项。 第34条 個人情報取扱者は、ネットを通じて未成年者の個人情報を取り扱う場合には、適法性、正当性、必要性及び公正性の原則に従い、特別な処理規則を公開し、処理の目的、方法及び範囲を明示するとともに、法令及び行政規則で定める関係事項を通知しなければならない。
第三十五条 个人信息处理者基于个人同意处理不满十四周岁未成年人个人信息的,应当取得未成年人的监护人同意。 第35条 個人情報取扱者が14歳未満の未成年者の個人情報を本人の同意に基づき取扱う場合は、当該未成年者の保護者の同意を得なければならない。
未成年人个人信息的处理目的、处理方式和处理的个人信息种类发生变更的,个人信息处理者应当依法重新取得同意。 未成年者の個人情報の処理目的、処理方法および処理される個人情報の種類を変更する場合、個人情報処理機関は、法令に従って、再度同意を得る。
第三十六条 个人信息处理者应当严格遵守必要个人信息范围的有关规定,不得以任何理由强制要求未成年人或者其监护人同意非必要的个人信息处理行为,不得因为未成年人或者其监护人不同意处理其非必要个人信息或者撤回同意,拒绝未成年人使用其基本功能服务。 第36条 個人情報取扱者は、必要な個人情報の範囲に関する関連規則を厳守し、いかなる理由があっても、未成年者又はその保護者に対し、必要性のない個人情報の処理について同意を強制し、又は未成年者又はその保護者が必要性のない個人情報の処理について同意しないこと若しくは同意を撤回しないことを理由として、その基本機能サービスの利用を拒んではならない。
第三十七条 个人信息处理者处理未成年人敏感个人信息的,应当具有特定的目的和充分的必要性,采取严格保护措施;在事前进行个人信息保护影响评估并对处理情况进行记录;依法告知处理敏感个人信息的必要性以及对个人权益的影响并取得单独同意。 第37条 個人情報取扱者は、未成年者の機微な個人情報を取り扱う場合、特定の目的及び十分な必要性をもって、厳格な保護措置を講じ、事前に個人情報保護影響評価を行い、取り扱いを記録し、機微な個人情報を取り扱う必要性及び個人の権利利益に与える影響を法令に従って通知し、個人の同意を得なければならない。
前款规定的个人信息保护影响评估报告和处理情况记录应当至少保存三年。 前項に規則する個人情報保護影響評価報告書及び取扱状況の記録は、少なくとも3年間保存する。
第三十八条 个人信息处理者原则上不得向他人提供其处理的未成年人个人信息,确有必要向他人提供的,应当事前进行个人信息保护影响评估,依法向未成年人或者其监护人告知接收方的名称或者姓名、联系方式、处理目的、处理方式和个人信息的种类,并取得单独同意。接收方应当在上述处理目的、处理方式和个人信息的种类等范围内处理未成年人个人信息。接收方变更原先的处理目的、处理方式的,应当依法重新取得同意。 第38条 個人情報取扱者は、原則として、その取り扱う未成年者の個人情報を他に提供してはならない。提供する必要がある場合には、あらかじめ個人情報保護影響評価を行い、提供先の氏名又は名称、連絡先、処理の目的、処理の方法及び個人情報の種類を法令に従って未成年者又はその保護者に通知し、個別の同意を得なければならない。 受領者は、未成年者の個人情報を、前述の処理目的、処理方法および個人情報の種類の範囲内で取り扱う。 受信側が当初の処理の目的または方法を変更する場合、法律に従って再度同意を得る。
第三十九条 未成年人的监护人应当正确履行监护职责,教育引导未成年人增强个人信息保护意识和能力,指导未成年人行使其在个人信息处理活动中的各项权利,保护未成年人个人信息权益。 第39条 未成年後見人は、その後見事務を適切に行い、未成年者の個人情報保護に関する意識及び能力を高めるための教育及び指導を行い、未成年者が個人情報取扱行為に関する権利を行使することを指導し、未成年者の個人情報に関する権利及び利益を保護する。
第四十条 对于未成年人或者其监护人依法提出的查阅、复制、转移、更正、补充或者删除未成年人个人信息的请求,个人信息处理者应当依法及时处理。 第40条 個人情報取扱者は、未成年者又はその保護者から、未成年者の個人情報の閲覧、複写、譲渡、訂正、追加又は削除を求められたときは、法令に従い、速やかに対処しなければならない。
第四十一条 发生或者可能发生未成年人个人信息泄露、篡改、丢失的,个人信息处理者应当立即启动个人信息安全事件应急预案,采取补救措施,按照规定及时向网信部门和有关部门报告,并将事件情况以邮件、信函、电话、推送通知等方式告知受影响的未成年人及其监护人,难以逐一告知的,应当采取合理、有效的方式及时发布相关警示信息。 第41条 個人情報取扱者は、未成年者の個人情報の漏洩、改ざん、紛失が発生し、または発生する可能性がある場合、直ちに個人情報安全事故緊急計画を発動し、改善措置を講じ、規則に従ってネット情報部門及び関連部門に速やかに報告し、該当未成年者とその保護者に個別に知らせることが困難な場合は、電子メール、手紙、電話、プッシュ通知などで知らせなければなりません。 関連する警告情報を適時に発行するために、合理的かつ効果的な方法を採用しなければならない。
第四十二条 个人信息处理者对其工作人员应当以最小授权为原则,严格设定信息访问权限,控制未成年人个人信息知悉范围。工作人员访问未成年人个人信息的,应当经过相关负责人或者其授权的管理人员审批,记录访问情况,并采取技术措施,避免违法处理未成年人个人信息。 第42条 個人情報取扱者は、最小権限の原則に基づき、スタッフに対して厳格なアクセス権を設定し、未成年者の個人情報の範囲を管理しなければならない。 未成年者の個人情報にアクセスするスタッフは、当該担当者または権限を有する管理者の承認を受け、アクセス内容を記録し、未成年者の個人情報の不正な取扱いを防止するための技術的措置を講じる。
第四十三条 网络服务提供者发现未成年人私密信息或者未成年人通过网络发布的个人信息中涉及私密信息的,应当及时提示,并采取停止传输等必要保护措施,防止信息扩散。 第43条 ネットワークサービス事業者は、未成年者の個人情報又は個人情報を含むネットワークを通じて公開された未成年者の個人情報を発見した場合、速やかに、当該情報の拡散を防止するため、送信を停止する等の必要な保護措置を講じなければならない。
第四十四条 个人信息处理者应当自行或者委托专业机构每年对其处理未成年人个人信息遵守法律、行政法规和国家有关规定的情况进行合规审计。 第44条 個人情報取扱者は、未成年者の個人情報の取扱いについて、法令、行政法規及び国の関連規則に従って、毎年、自ら又は専門機関に委託して、適合性監査を行う。
第四十五条 网信部门和有关部门及其工作人员对在履行职责中知悉的未成年人个人信息应当严格保密,不得泄露或者非法向他人提供。 第45条 ネットワーク情報部門および関連部門とその職員は、職務遂行上知り得た未成年者の個人情報を厳重に保管し、他人に開示したり違法に提供したりしてはならない。
第五章 网络沉迷防治 第5章 ネット中毒の予防と対策
第四十六条 对未成年人沉迷网络进行预防和干预,应当遵守法律、行政法规和国家有关规定。严禁任何组织和个人以侵害未成年人身心健康的方式干预未成年人沉迷网络、侵犯未成年人合法权益。 第46条 未成年者のネット中毒の予防と介入は、法律、行政法規及び国家の関連規則を遵守する。 いかなる組織や個人も、未成年者のネットへの依存を妨げたり、未成年者の心身の健康を侵害するような方法で、未成年者の正当な権利や利益を侵害することは固く禁じられている。
卫生健康、教育、市场监督管理等部门依据各自职责对从事未成年人沉迷网络预防和干预活动的机构实施监督管理。 健康、教育、市場監督管理などの部門は、それぞれの責任に従って、ネット中毒の未成年者の予防と介入活動に従事する組織の監督管理を実施しなければならない。
第四十七条 学校应当加强对教师的指导和培训,提高教师对未成年学生沉迷网络的早期识别和干预能力。对于有沉迷网络倾向的未成年学生,学校应当及时告知其监护人,共同对未成年学生进行教育和引导,帮助其恢复正常的学习生活。 第47条 学校は、未成年の生徒のネット中毒を早期に発見し、介入する能力を高めるため、教員に対する指導及び研修を強化する。 学校は、ネット依存の傾向がある未成年の生徒の保護者に速やかに連絡し、教育・指導を行い、通常の学校生活に戻れるよう協力する。
第四十八条 未成年人的监护人应当监督未成年人安全合理使用网络,关注未成年人上网情况以及相关生理状况、心理状况、行为习惯,防范未成年人接触危害或者可能影响其身心健康的网络信息,合理安排未成年人使用网络的时间,预防和干预未成年人沉迷网络。 第48条 未成年者の保護者は、未成年者の安全かつ合理的なネットの利用を監督し、未成年者のネット利用及びそれに関連する生理的状態、心理的状態、行動習慣に注意を払い、未成年者が有害で心身の健康に影響を及ぼす可能性のあるネット情報にアクセスすることを防ぎ、未成年者のネット利用時間を合理的に調整し、未成年者のネット中毒を防止し介入する。
第四十九条 网络产品和服务提供者应当建立健全防沉迷制度,不得向未成年人提供诱导其沉迷的产品和服务,及时修改可能造成未成年人沉迷的内容、功能或者规则,并定期向社会公布防沉迷工作情况。 第49条 ネットワーク製品・サービス提供者は、依存症対策システムを構築・改善し、未成年者に依存症を誘発する製品・サービスを提供しないこと、未成年者に依存症を誘発するおそれのある内容・機能・ルールを速やかに修正し、依存症対策に関する作業を定期的に社会に公表しなければなりません。
第五十条 网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当针对未成年人使用其服务设置青少年模式,在使用时段、时长、功能和内容等方面按照国家有关规定和标准提供服务,并为监护人履行监护职责提供时间管理、权限管理、消费管理等功能。 第50条 オンラインゲーム、オンラインライブストリーミング、オンラインオーディオ・ビデオ、オンラインソーシャルネットワーキングなどのネットワークサービス提供者は、未成年者がサービスを利用するための青少年モードを設定し、利用時間、期間、機能、内容などの面で、関連国家法規・基準に従ってサービスを提供し、保護者が後見業務を行うために時間管理、許可管理、消費管理などの機能を提供する。
第五十一条 网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当采取措施,合理限制未成年人在使用网络产品和服务中的单次消费数额和单日累计消费数额,不得向未成年人提供与其民事行为能力不符的付费服务。 第51条 オンラインゲーム、ライブウェブキャスティング、オンラインオーディオおよびビデオ、オンラインソーシャルネットワーキング等のネットワークサービス事業者は、ネットワーク製品およびサービスの利用において、未成年者の一回の消費量および一日の累積消費量を合理的に制限する措置を講じ、未成年者の市民能力にそぐわない有料サービスを提供してはならない。
第五十二条 网络游戏、网络直播、网络音视频、网络社交等网络服务提供者应当采取措施,防范和抵制流量至上等不良价值倾向,不得设置以应援集资、投票打榜、刷量控评等为主题的社区、群组,不得诱导未成年人参与应援集资、投票打榜、刷量控评等网络活动,并预防和制止其用户诱导未成年人实施上述行为。 第52条 オンラインゲーム、オンラインライブ配信、オンラインオーディオ・ビデオ、オンラインソーシャルネットワーキング等のネットワークサービス事業者は、トラフィックファースト等の好ましくない価値傾向を防止・抑制する措置を講じ、募金、投票・ランキング、音量調整等をテーマとしたコミュニティやグループを立ち上げてはならず、未成年者を募金、投票・ランキング、音量調整等のオンライン行為に参加させたり、その利用者に誘導することを防止・停止してはならない。 上記のような行動は、予防し、止めるべき。
第五十三条 网络游戏服务提供者应当要求未成年人用户提供真实身份信息进行注册和登录使用,并通过国家建立的统一未成年人网络游戏电子身份认证系统等必要手段验证其真实身份信息。未成年人用户不提供真实身份信息进行注册和登录使用的,网络游戏服务提供者不得为其提供服务;已经为其提供服务的,应当立即终止服务、注销账号。 第53条 オンラインゲーム事業者は、未成年者に対し、登録及びログイン利用時に本人確認情報の提供を求め、国が定める未成年者向けオンラインゲーム用統合電子認証システムその他の必要な手段により本人確認情報を確認する。 未成年者が登録およびログインのために真の身元情報を提供しない場合、オンラインゲームサービス提供者は当該利用者にサービスを提供しないものとし、当該利用者にサービスが提供されている場合は、直ちにサービスを終了し、アカウントを取り消す。
第五十四条 网络游戏服务提供者应当建立、完善预防未成年人沉迷网络游戏的游戏规则,避免未成年人接触可能影响其身心健康的游戏内容或者游戏功能。 第54条 オンラインゲーム事業者は、未成年者がオンラインゲーム中毒にならないよう、また、未成年者の心身の健康に影響を与えるようなゲーム内容やゲーム機能に接触させないよう、ゲームルールを策定・改善しなければならない。
网络游戏服务提供者应当落实适龄提示标准规范,根据不同年龄阶段未成年人身心发展特点,通过评估游戏产品的类型、内容与功能等要素,对游戏产品进行分类,明确游戏产品所适合的未成年人用户年龄阶段,并在用户下载、注册、登录界面等位置显著提示。 オンラインゲームサービス提供者は、年齢相応のプロンプトの標準仕様を実施し、ゲーム製品の種類、内容、機能を評価し、年齢段階別の未成年者の心身の発達特性によってゲーム製品を分類し、ゲーム製品が適している未成年者の年齢段階を特定し、ユーザーのダウンロード、登録、ログインのインタフェースに目立つように表示する。
第五十五条 国家新闻出版、网信部门和国务院教育、文化和旅游、卫生健康等部门应当定期开展预防未成年人沉迷网络的宣传教育,监督检查网络产品和服务提供者履行预防未成年人沉迷网络的义务,指导家庭、学校、社会组织互相配合,采取科学、合理的方式对未成年人沉迷网络进行预防和干预。 第55条 国家新聞出版局、ネット情報部門、国務院教育・文化・観光・衛生などの部門は、未成年者のネット中毒を防止するための広報・教育を定期的に実施し、オンライン製品・サービスの提供者が未成年者のネット中毒を防止する義務を果たすことを監督・検査し、家庭、学校、社会団体が相互に協力し、科学的かつ合理的な方法を採用して、防止・予防するよう指導しなければならない。 国家新聞出版局が中心となって、未成年者のネット中毒を防止するためのキャンペーンを組織しています。
国家新闻出版部门牵头组织开展未成年人沉迷网络游戏防治工作,会同有关部门制定关于向未成年人提供网络游戏服务的时段、时长、消费上限等管理规定。 国家新聞出版局が中心となって、未成年者のオンラインゲーム中毒の防止と管理を組織し、関連部門と連携して、未成年者に提供するオンラインゲームサービスの時間帯、期間、消費上限に関する行政規則を制定しています。
第五十六条 卫生健康、教育等部门依据各自职责依托有关医疗卫生机构、高等学校等,开展未成年人沉迷网络所致精神障碍和心理行为问题的基础研究和筛查评估、诊断、预防、干预等应用研究。 第56条 保健省及び教育省は、それぞれの責任において、関連する医療・保健機関及び高等教育機関に委託し、未成年者のネット中毒による精神障害及び心理行動問題のスクリーニング及び評価、診断、予防及び介入に関する基礎研究及び応用研究を実施する。
第六章 法律责任 第6章 法的責任
第五十七条 地方各级人民政府和县级以上有关部门违反本条例规定,不履行未成年人网络保护职责的,由其上级机关责令改正;拒不改正或者情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。 第57条 地方各級人民政府及び県レベル以上の関連部門が本規則の規則に違反し、未成年のネット保護の義務を履行しない場合、その上層部の命令により是正させなければならず、是正を拒否した場合、または状況が深刻な場合、直接責任者及びその他の直接責任者は法に基づき処罰される。
第五十八条 学校、社区、图书馆、文化馆、青少年宫等违反本条例规定,不履行未成年人网络保护职责的,由县级以上教育、民政、文化和旅游等部门依据各自职责责令改正;拒不改正或者情节严重的,对直接负责的主管人员和其他直接责任人员依法给予处分。 第58条 学校、共同体、図書館、文化センター、青少年宮殿などが本規則の規則に違反し、未成年のネット保護義務を果たさない場合、県レベル以上の教育、民政、文化、観光部門は、それぞれの職務に基づき、是正を命じ、是正を拒否した場合または事情が深刻な場合は、直接責任を負う責任者及びその他の直接責任者を法律に基づいて罰する。
第五十九条 未成年人的监护人不履行本条例规定的监护职责或者侵犯未成年人合法权益的,由未成年人居住地的居民委员会、村民委员会、妇女联合会,监护人所在单位,中小学校、幼儿园等有关密切接触未成年人的单位依法予以批评教育、劝诫制止、督促其接受家庭教育指导等。 第59条 未成年者の後見人が、この規則に基づく後見の任務を怠り、又は未成年者の合法的権益を侵害した場合には、未成年者の居住地の住民委員会、村民委員会又は婦人連合会、後見人の単位、小中学校、幼稚園その他未成年者と密接な関係を有する単位に対し、法律に従って批判、教育、訓戒及び家庭教育指導等の催告を行う。
第六十条 违反本条例第七条规定的,由县级以上网信、新闻出版、教育、电信、公安、民政、文化和旅游、市场监督管理、广播电视等部门依据各自职责责令改正;拒不改正或者情节严重的,处5万元以上50万元以下罚款,对直接负责的主管人员和其他直接责任人员,处1万元以上10万元以下罚款。 第60条 本規則第7条の規則に違反した者は、県レベル以上のネット情報、報道出版、教育、通信、公安、民政、文化観光、市場監督管理、ラジオ・テレビ部門がそれぞれの職務に応じて是正を命じ、是正を拒否した場合または事情が深刻な場合は5万元以上50万元以下の罰金を、責任者及びその他の直接責任者は1万元以上10万元以下の罰金を科する。 以下の罰金を科す。
第六十一条 违反本条例第十九条第三款、第二十二条、第二十四条、第二十六条规定的,由县级以上网信、新闻出版、电信、公安、民政、文化和旅游、市场监督管理、广播电视等部门依据各自职责责令限期改正,给予警告,没收违法所得,可以并处10万元以下罚款;拒不改正或者情节严重的,责令暂停相关业务、停产停业或者吊销营业执照、吊销相关许可证,违法所得100万元以上的,并处违法所得1倍以上10倍以下的罚款,没有违法所得或者违法所得不足100万元的,并处10万元以上100万元以下罚款。 第61条 本規則第19条第3項、第22条、第24条及び第26条の規則に違反した者は、県レベル以上のネット情報、報道出版、電気通信、公安、民政、文化観光、市場監督管理、ラジオ・テレビ部門がそれぞれの職務に従って、一定期間内に是正することを命じ、警告を与え、違法所得を没収し、10万元以下の罰金を課すことができるが、是正しないか状況が深刻であると、その者は、次のように処分を受ける。 当局が是正を拒否した場合、または状況が深刻な場合、関連事業の停止、生産・営業の停止、営業許可の取消し、関連許可の取消しを命じ、違法所得が100万元以上の場合、違法所得の1倍以上10倍以下の罰金を科し、違法所得がない場合、または違法所得が100万元以下の場合は、10万元以上100万元以下の罰金を科す。
第六十二条 违反本条例第二十条、第三十四条至第三十八条、第四十条至第四十四条规定的,由县级以上网信等部门依据各自职责责令改正,给予警告,没收违法所得;拒不改正的,并处100万元以下罚款;对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款。 第62条 本規則第20条、第34条から第38条、第40条から第44条の規則に違反した者は、県レベル以上のネット情報等部門がそれぞれの職務に応じて訂正を命じ、警告を与え、不法所得を没収し、訂正を拒否した場合は100万元以下の罰金、責任者及びその他の直接責任者は1万元以下、10万元以下の罰金を科す。
有前款规定的违法行为,情节严重的,由省级以上网信部门和有关部门责令改正,没收违法所得,并处5000万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、通报有关部门依法吊销相关业务许可或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处10万元以上100万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员和未成年人保护负责人。 前項の規則に重大な違反があった場合、省レベル以上のネットワーク情報部門および関連部門は、是正を命じ、違法所得を没収し、5千万元以下または前年の売上高の5%以下の罰金を科し、関連業務の停止を命じ、是正のための業務停止、関連部門に通知して関連営業許可証を取り消し、または法律に基づいて営業許可を取り消し、責任者およびその他の直接責任者は10万元以上、100万元以下の罰金を科することができる。 責任者は10万元以上100万元以下の罰金とし、一定期間当該企業の取締役、監督者、上級管理者、未成年者保護責任者になることを禁止することを決定することができる。
第六十三条 违反本条例第二十七条、第二十九条第二款、第三十条、第三十三条、第四十九条至第五十四条规定的,由公安、网信、电信、新闻出版、广播电视、文化和旅游等有关部门依据各自职责责令改正,给予警告,没收违法所得,违法所得100万元以上的,并处违法所得1倍以上10倍以下罚款,没有违法所得的或者违法所得不足100万元的,并处10万元以上100万元以下罚款,对直接负责的主管人员和其他直接责任人员处1万元以上10万元以下罚款;拒不改正或者情节严重的,并可以责令暂停相关业务、停业整顿、关闭网站、吊销营业执照或者吊销相关许可证。 第63条 本規則第27条、第29条第2項、第30条、第33条、第49条から第54条までの規則に違反した者は、公安、ネットワーク情報、通信、報道出版、ラジオ・テレビ、文化観光の関連部門からそれぞれの職務に従って訂正を命じられ、警告を受け、違法所得を没収され、違法所得が100万元以上の場合は違法所得の1倍以上、10倍以上の罰金を科せられます。 違法所得がない場合、または違法所得が100万元未満の場合、100万元以上の罰金を科し、直接責任を負う担当者及びその他の直接責任を負う者に1万元以上10万元未満の罰金を科し、是正を拒否する場合または状況が深刻な場合は、関連業務の停止、是正業務の停止、ウェブサイトの閉鎖、営業許可の取消し、関連許可の取消しを命じることがある。
第六十四条 网络产品和服务提供者违反本条例规定,受到关闭网站、吊销相关业务许可证或者吊销营业执照处罚的,5年内不得重新申请相关许可,其直接负责的主管人员和其他直接责任人员5年内不得从事同类网络产品和服务业务。 第64条 ネットワーク製品・サービスの提供者が本規則の規則に違反し、ホームページの閉鎖、関連営業許可の取り消しなどの処分を受けた場合、5年以内に関連許可を再申請することができず、その直接責任監督者およびその他の直接責任者は5年以内に同様のネットワーク製品・サービスの業務に従事することができない。
第六十五条 违反本条例规定,侵犯未成年人合法权益,给未成年人造成损害的,依法承担民事责任;构成违反治安管理行为的,依法给予治安管理处罚;构成犯罪的,依法追究刑事责任。 第65条 この規則の規則に違反し、未成年者の正当な権益を侵害し、未成年者に損害を与えた者は、法律により民事上の責任を負い、その違反が公安管理違反に該当する場合は、法律により公安管理処分を受け、犯罪に該当する場合は、法律により刑事上の責任を負わされる。
第七章 附则 第7章 附則
第六十六条 本条例所称智能终端产品,是指可以接入网络、具有操作系统、能够由用户自行安装应用软件的手机、计算机等网络终端产品。 第66条 この規則でいうインテリジェント端末製品とは、携帯電話、コンピュータ、その他のネットワーク端末製品のうち、ネットワークにアクセスでき、オペレーティングシステムを備え、利用者自身がアプリケーションソフトウェアをインストールすることができるものをいう。
第六十七条 本条例自 年 月 日起施行。 第67条 この規則は、◯年◯月◯日に施行する。

 

1_20210612030101

| | Comments (0)

2022.03.14

米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

こんにちは、丸山満彦です。

H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決されたようですね。。。下院の国土安全保障委員会 (Committee on Homeland Security) のウェブページで発表されていました。。。

上院と下院でよく似た法案が可決されていますね。。。詳細に比較していないのですが、、、矛盾するところがあれば最終的には調整されて統合されるのでしょうかね。。。

Committee on Homeland Security

・2022.03.10 THOMPSON, KATKO, CLARKE, GARBARINO LAUD CYBER INCIDENT REPORTING PASSAGE

THOMPSON, KATKO, CLARKE, GARBARINO LAUD CYBER INCIDENT REPORTING PASSAGE トンプソン、カトコ、クラーク、ガバリノ、サイバーインシデント報告法案の通過を報告
(WASHINGTON) – Today, Rep. Bennie G. Thompson (D-MS), Chairman of the Committee on Homeland Security, Rep. John Katko (R-NY), Ranking Member of the Committee on Homeland Security, Rep. Yvette D. Clarke (D-NY), Chairwoman of the Cybersecurity, Infrastructure Protection, & Innovation Subcommittee, and Rep. Andrew Garbarino (R-NY), Ranking Member of the Cybersecurity, Infrastructure Protection, & Innovation Subcommittee, released the below joint statement on cyber incident reporting passing the House. (ワシントン)-本日、国土安全保障委員会議長のベニー・G・トンプソン議員(民主党)、同委員会ランキング委員のジョン・カトコ議員(ニューヨーク州)、サイバーセキュリティ、インフラ保護、イノベーション小委員会議長のイヴェット・D・クラーク議員(ニューヨーク州)、サイバーセキュリティ、インフラ保護、イノベーション小委員会ランキング委員のアンドリュー・ガルバリノ議員(ニューヨーク州)は、下院通過のサイバーインシデント報告法案について以下の共同声明を発表した。
"Last night, the House took bold action to secure U.S. critical infrastructure against 21st century threats by requiring critical infrastructure owners and operators to report cyber incidents to the DHS Cybersecurity and Infrastructure Security Agency (CISA). The Cyber Incident Reporting for Critical Infrastructure Act, included within the Consolidated Appropriations Act, 2022, is one of the most significant pieces of cybersecurity legislation in the past decade. Requiring owners and operators to report significant cyber incidents and ransomware attacks to CISA will mean greater visibility for the Federal government, earlier disruption of malicious cyber campaigns, and better information and threat intelligence going back out to the private sector so they can defend against future attacks. The authorities and resources provided in this bill can’t come soon enough, as CISA works to combat rapidly evolving cyber threats in this shifting geopolitical landscape. Passage of this legislation further solidifies Congress’ intent that CISA is the lead Federal agency for cybersecurity.” 「昨夜、下院は、21世紀の脅威から米国の重要インフラを守るため、重要インフラの所有者および運営者にDHSサイバーセキュリティ・インフラ安全保障局(CISA)へのサイバーインシデント報告を義務付けるという大きな決断をしました。2022年連結歳出法に含まれる重要インフラのためのサイバーインシデント報告法案は、過去10年間で最も重要なサイバーセキュリティ関連法案の1つです。重要なサイバーインシデントやランサムウェア攻撃をCISAに報告することを所有者や運営者に義務付けることは、連邦政府にとって可視性の向上、悪質なサイバーキャンペーンの早期破壊、そして民間部門に還元される情報と脅威情報の改善により、今後の攻撃を防御することが可能になることを意味します。この法案で提供される権限とリソースは、地政学的な状況が変化する中で急速に進化するサイバー脅威に対抗するCISAの活動にとって、すぐには手に入らないものです。この法案の可決は、CISAがサイバーセキュリティの主要な連邦機関であるという議会の意思をさらに強固にするものです。」
“This legislation is years in the making, and is a product of rigorous bipartisan, bicameral negotiation informed by significant consultation with the Administration and the private sector, who deserve credit for coming to the table to work with us. Our work is not done, but this legislation is a major step forward.” 「この法律は何年もかけて作られたもので、超党派の二院合同による厳格な交渉の成果であり、政権や民間企業との重要な協議を経て、我々と協力するためにテーブルについたことは称賛に値することです。我々の仕事はまだ終わっていませんが、この法案は大きな前進です。」 

 

 

● Congress

・提出者:Rep. Clarke, Yvette D. [D-NY-9]   下院議員[wikipedia]

H.R.5440 - Cyber Incident Reporting for Critical Infrastructure Act of 2021

2021.09.30 法案(XML/HTMLTXTPDF)

 

H. R. 5440 H. R. 5440
To amend the Homeland Security Act of 2002 to establish the Cyber Incident Review Office in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ庁にサイバーインシデント審査室を設置すること、およびその他の目的のために2002年国土安全保障法を修正する。
IN THE HOUSE OF REPRESENTATIVES 下院
30-Sep-21 9月30日-21日
Ms. Clarke of New York (for herself, Mr. Katko, Mr. Thompson of Mississippi, and Mr. Garbarino) introduced the following bill; which was referred to the Committee on Homeland Security ニューヨークのクラーク氏(本人、カトコ氏、ミシシッピ州のトンプソン氏、ガルバリノ氏の代理)は、以下の法案を提出し、国土安全保障委員会に付託された。
A BILL 議案
To amend the Homeland Security Act of 2002 to establish the Cyber Incident Review Office in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ庁にサイバーインシデント審査室を設置すること、およびその他の目的のために2002年国土安全保障法を修正する。
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, アメリカ合衆国議会の上院と下院によって制定される。
SECTION 1. SHORT TITLE. 第1条 短い法律名。
This Act may be cited as the “Cyber Incident Reporting for Critical Infrastructure Act of 2021”. 本法は、「2021年重要インフラ向けサイバーインシデント報告法」と称する。
SEC. 2. CYBER INCIDENT REVIEW OFFICE. 第2条 サイバー・インシデント審査室
(a) In General.—Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended by adding at the end the following new section: (a) 一般に-2002年国土安全保障法(6 U.S.C. 651 et seq.)のタイトルXXIIのサブタイトルAは、以下の新セクションを末尾に追加することにより修正される。
SEC. 2220A. CYBER INCIDENT REVIEW OFFICE. SEC. 2220A. サイバーインシデント審査室
(a) Definitions.—In this section: (a) 定義 本条において、以下の通り定義する。
(1) CLOUD SERVICE PROVIDER.—The term ‘cloud service provider’ means an entity offering products or services related to cloud computing, as defined by the National Institutes of Standards and Technology in NIST Special Publication 800–145 and any amendatory or superseding document relating thereto. (1) クラウドサービスプロバイダ:「クラウドサービスプロバイダ」という用語は、NIST Special Publication 800-145およびそれに関連する修正または代替文書においてNational Institutes of Standards and Technologyが定義する、クラウドコンピューティングに関する製品またはサービスを提供する事業者を意味する。
(2) COVERED ENTITY.—The term ‘covered entity’ means an entity that owns or operates critical infrastructure that satisfies the definition established by the Director in the reporting requirements and procedures issued pursuant to subsection (d). (2) 対象事業者:「対象事業者」とは、重要インフラを所有または運用する事業者で、第(d)項に従って発行された報告要件および手順において局長が定めた定義を満たす事業者を意味する。
(3) COVERED CYBSECURITY INCIDENT.—The term ‘covered cybersecurity incident’ means a cybersecurity incident experienced by a covered entity that satisfies the definition and criteria established by the Director in the reporting requirements and procedures issued pursuant to subsection (d). (3) 対象サイバーセキュリティインシデント:「対象サイバーセキュリティインシデント」とは、対象事業者が経験したサイバーセキュリティインシデントで、第(d)項に従って発行された報告要件および手続きにおいて局長が確立した定義および基準を満足するものを意味する。
(4) CYBER THREAT INDICATOR.—The term ‘cyber threat indicator’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). (4) サイバー脅威指標(CYBER THREAT INDICATOR)-「サイバー脅威指標」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の部門Nとして制定)の第102節において当該用語に与えられた意味を有している。
(5) CYBERSECURITY PURPOSE.—The term ‘cybersecurity purpose’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). (5) サイバーセキュリティ目的(CYBERSECURITY PURPOSE)-「サイバーセキュリティ目的」という用語は、2015年のサイバーセキュリティ法(2016年の連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定)の第102条において当該用語が与えられた意味を有する。
(6) CYBERSECURITY THREAT.—The term ‘cybersecurity threat’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). (6) サイバーセキュリティ脅威(CYBERSECURITY THREAT)-「サイバーセキュリティ脅威」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定)の第102条にこの用語が与えられた意味を有する。
(7) DEFENSIVE MEASURE.—The term ‘defensive measure’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). (7) 防御的措置(DEFENSIVE MEASURE)-「防御的措置」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定)の第102条にその用語が与えられた意味を有する。
(8) INFORMATION SHARING AND ANALYSIS ORGANIZATION.—The term ‘Information Sharing and Analysis Organization’ has the meaning given such term in section 2222(5). (8) 情報共有・分析組織(Information Sharing and Analysis Organization)-「情報共有・分析組織」という用語は、第2222条(5)において当該用語に与えられている意味を有する。
(9) INFORMATION SYSTEM.—The term ‘information system’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501(9)). (9) 情報システム(information system)-「情報システム」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501(9))の部門Nとして制定)の第102条に示されるその用語の意味を有する。
(11) MANAGED SERVICE PROVIDER.—The term ‘managed service provider’ means an entity that delivers services, such as network, application, infrastructure, or security services, via ongoing and regular support and active administration on customers’ premises, in the managed service provider’s data center (such as hosting), or in a third-party data center. (11) マネージドサービスプロバイダ(Managed Service Provider)という用語は、ネットワーク、アプリケーション、インフラ、またはセキュリティサービスなどのサービスを、顧客の敷地内、マネージドサービスプロバイダのデータセンター(ホスティングなど)、または第三者のデータセンターで継続的かつ定期的にサポートと能動的管理によって提供する事業者を指す。
(12) SECURITY CONTROL.—The term ‘security control’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). (12) Security Control.-「セキュリティ制御」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の部門Nとして制定)の第102条において当該用語に与えられた意味を有する。
(13) SECURITY VULNERABILITY.—The term ‘security vulnerability’ has the meaning given such term in section 102 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1501)). (13) セキュリティ脆弱性(SECURITY VULNERABILITY)-「セキュリティ脆弱性」という用語は、2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1501)の第N部門として制定された)102条にその用語が与えられた意味を有する。
(14) SIGNIFICANT CYBER INCIDENT.—The term ‘significant cyber incident’ means a cyber incident, or a group of related cyber incidents, that the Director determines is likely to result in demonstrable harm to the national security interests, foreign relations, or economy of the United States or to the public confidence, civil liberties, or public health and safety of the American people. (14) 重大なサイバーインシデント(SIGNIFICANT CYBER INCIDENT)-「重大なサイバーインシデント」とは、米国の国家安全保障上の利益、外交関係、経済、または米国民の公信、市民の自由、公衆衛生および安全に実証的な損害を与える可能性があると長官が判断したサイバーインシデント、または関連するサイバーインシデントの一群のことを意味する。
(15) SUPPLY CHAIN ATTACK.—The term ‘supply chain attack’ means an attack that allows an adversary to utilize implants or other vulnerabilities inserted into information technology hardware, software, operating systems, peripherals (such as information technology products), or services at any point during the life cycle in order to infiltrate the networks of third parties where such products, services, or technologies are deployed. (15) サプライチェーン攻撃(SUPPLY CHAIN ATTACK):「サプライチェーン攻撃」という用語は、敵対者が、情報技術のハードウェア、ソフトウェア、オペレーティングシステム、周辺機器(情報技術製品など)、またはサービスのライフサイクルの任意の時点で、当該製品、サービス、または技術が展開されている第三者のネットワークに侵入するために挿入するインプラントまたは他の脆弱性を利用できる攻撃をいう。
(b) Cyber Incident Review Office.—There is established in the Agency a Cyber Incident Review Office (in this section referred to as the ‘Office’) to receive, aggregate, and analyze reports related to covered cybersecurity incidents submitted by covered entities in furtherance of the activities specified in subsection (c) of this section and sections 2202(e), 2209(c), and 2203 to enhance the situational awareness of cybersecurity threats across critical infrastructure sectors. (b) サイバーインシデント審査室:重要インフラ部門全体のサイバーセキュリティ脅威の状況認識を強化するために、本節(c)および2202条(e)、2209条(c)、2203条に規定される活動を推進するために、対象事業者が提出する対象サイバーセキュリティインシデントに関する報告を受領、集約、分析するために、庁内にサイバーインシデント審査室(本節では「審査室」と呼ぶ)が設立されています。
(c) Activities.—The Office shall, in furtherance of the activities specified in sections 2202(e), 2209(c), and 2203— (c) 活動:審査室は、第 2202 条(e)、第 2209 条(c)、および第 2203 条に規定される活動を推進するために、以下の活動を行う。
(1) receive, aggregate, analyze, and secure reports from covered entities related to a covered cybersecurity incident to assess the effectiveness of security controls and identify tactics, techniques, and procedures adversaries use to overcome such controls; (1) セキュリティ管理の有効性を評価し、敵対者がそのような管理を克服するために用いる戦術、技術、手順を特定するために、対象となるサイバーセキュリティインシデントに関連する対象事業者からの報告を受け、集計、分析し、確保すること。
(2) facilitate the timely sharing between relevant critical infrastructure owners and operators and, as appropriate, the intelligence community of information relating to covered cybersecurity incidents, particularly with respect to an ongoing cybersecurity threat or security vulnerability; (2) 特に継続的なサイバーセキュリティの脅威またはセキュリティの脆弱性に関して、対象となるサイバーセキュリティインシデントに関連する情報を、関連する重要インフラの所有者および運営者と、必要に応じて情報コミュニティとの間で適時に共有することを促進すること。
(3) for a covered cybersecurity incident that also satisfies the definition of a significant cyber incident, or are part of a group of related cyber incidents that together satisfy such definition, conduct a review of the details surrounding such covered cybersecurity incident or group of such incidents and identify ways to prevent or mitigate similar incidents in the future; (3) 重要なサイバーインシデントの定義も満たす、または共に当該定義を満たす関連するサイバーインシデント群の一部である対象サイバーセキュリティインシデントについては、当該対象サイバーセキュリティインシデントまたは当該インシデント群を取り巻く詳細について審査を行い、将来における同様のインシデントを防止または軽減する方法を特定すること。
(4) with respect to covered cybersecurity incident reports under subsection (d) involving an ongoing cybersecurity threat or security vulnerability, immediately review such reports for cyber threat indicators that can be anonymized and disseminated, with defensive measures, to appropriate stakeholders, in coordination with other Divisions within the Agency, as appropriate; (4) 継続的なサイバーセキュリティの脅威またはセキュリティの脆弱性に関わる (d) 項に基づく対象サイバーセキュリティインシデント報告に関して、適切な場合、庁内の他の部門と連携して、匿名化し、防御措置を講じて適切な利害関係者に広めることができるサイバー脅威指標を当該報告について直ちに審査すること。
(5) publish quarterly unclassified, public reports that describe aggregated, anonymized observations, findings, and recommendations based on covered cybersecurity incident reports under subsection (d); (5) (d)項に基づく対象となるサイバーセキュリティインシデント報告書に基づき、集約され匿名化された観察、所見、及び勧告を記載した非公開の公開報告書を四半期ごとに発行すること。
(6) leverage information gathered regarding cybersecurity incidents to enhance the quality and effectiveness of bi-directional information sharing and coordination efforts with appropriate stakeholders, including sector coordinating councils, information sharing and analysis organizations, technology providers, cybersecurity and incident response firms, and security researchers, including by establishing mechanisms to receive feedback from such stakeholders regarding how the Agency can most effectively support private sector cybersecurity; and (6) サイバーセキュリティインシデントに関して収集された情報を活用して、省庁が民間部門のサイバーセキュリティを最も効果的に支援する方法に関して当該関係者からフィードバックを受ける仕組みを確立することを含め、部門調整会議、情報共有・分析組織、技術プロバイダ、サイバーセキュリティおよびインシデント対応企業、セキュリティ研究者など適切な関係者との双方向情報共有および調整の取り組みの質と効果を向上させること、および
(7) proactively identify opportunities, in accordance with the protections specified in subsections (e) and (f), to leverage and utilize data on cybersecurity incidents in a manner that enables and strengthens cybersecurity research carried out by academic institutions and other private sector organizations, to the greatest extent practicable. (7) (e)項および(f)項に規定された保護に従って、学術機関およびその他の民間組織が実施するサイバーセキュリティ研究を可能にし、強化する方法でサイバーセキュリティインシデントのデータを活用する機会を、実行可能な範囲で積極的に特定すること。
(d) Covered Cybersecurity Incident Reporting Requirements And Procedures.— (d) 対象となるサイバーセキュリティインシデントの報告要件及び手続。
(1) IN GENERAL.—Not later than 270 days after the date of the enactment of this section, the Director, in consultation with Sector Risk Management Agencies and the heads of other Federal departments and agencies, as appropriate, shall, after a 60 day consultative period, followed by a 90 day comment period with appropriate stakeholders, including sector coordinating councils, publish in the Federal Register an interim final rule implementing this section. Notwithstanding section 553 of title 5, United States Code, such rule shall be effective, on an interim basis, immediately upon publication, but may be subject to change and revision after public notice and opportunity for comment. The Director shall issue a final rule not later than one year after publication of such interim final rule. Such interim final rule shall— (1) 一般に、本節の制定日から270日以内に、長官は、セクターリスク管理機関および他の連邦省庁の長との適切な協議を経て、60日間の協議期間と、セクター調整評議会を含む適切な利害関係者との90日間の意見聴取期間を経て、本節を実施する中間最終規則を連邦官報に公布するものとする。合衆国法典第 5 編第 553 条にかかわらず、当該規則は暫定的に、公表後直ちに効力を発するが、公告および意見公募後、変更および改訂される場合がある。長官は、かかる暫定最終規則の公表から1年以内に最終規則を発行するものとする。当該中間最終規則は以下の通りである。
(A) require covered entities to submit to the Office reports containing information relating to covered cybersecurity incidents; and (A) 対象事業者は、対象となるサイバーセキュリティインシデントに関連する情報を含む報告書を事務局に提出することを義務付けます。
(B) establish procedures that clearly describe— (B) 以下の事項を明確に記述する手順を確立すること。
(i) the types of critical infrastructure entities determined to be covered entities; (i) 対象事業者と判断される重要インフラ事業者の種類。
(ii) the types of cybersecurity incidents determined to be covered cybersecurity incidents; (ii) 対象となるサイバーセキュリティインシデントと判断されるサイバーセキュリティインシデントの種類。
(iii) the mechanisms by which covered cybersecurity incident reports under subparagraph (A) are to be submitted, including— (iii)サブパラグラフ(A)に基づく対象サイバーセキュリティインシデント報告書が提出されるメカニズム、以下を含む。
(I) the contents, described in paragraph (4), to be included in each such report, including any supplemental reporting requirements; (I) (4)項に記載されている、各報告書に含まれるべき内容(補足的な報告要件を含む)。
(II) the timing relating to when each such report should be submitted; and (II) 各報告書の提出時期。
(III) the format of each such report; (III) 各報告書の書式。
(iv) describe the manner in which the Office will carry out enforcement actions under subsection (g), including with respect to the issuance of subpoenas, conducting examinations, and other aspects relating to noncompliance; and (iv) 召喚状の発行、審査の実施、その他コンプライアンス違反に関する事項を含め、国内官庁が (g) 項に基づく強制措置を実施する方法について説明すること。
(v) any other responsibilities to be carried out by covered entities, or other procedures necessary to implement this section. (v) 対象事業者が果たすべきその他の責任、または本節を実施するために必要なその他の手続き。
(2) COVERED ENTITIES.—In determining which types of critical infrastructure entities are covered entities for purposes of this section, the Secretary, acting through the Director, in consultation with Sector Risk Management Agencies and the heads of other Federal departments and agencies, as appropriate, shall consider— (2) 対象事業者:重要インフラ事業者のどのタイプが本節における対象事業者であるかを決定する際、長官は長官を通じて、必要に応じてセクターリスク管理機関および他の連邦省庁の長と協議し、以下を考慮するものとする。
(A) the consequences that disruption to or compromise of such an entity could cause to national security, economic security, or public health and safety; (A) そのような団体の混乱または危殆化が、国家安全保障、経済安全保障、または公衆衛生および安全性に及ぼし得る結果。
(B) the likelihood that such an entity may be targeted by a malicious cyber actor, including a foreign country; (B) 当該事業体が、外国を含む悪意のあるサイバー行為者に狙われる可能性。
(C) the extent to which damage, disruption, or unauthorized access to such and entity will disrupt the reliable operation of other critical infrastructure assets; and (C) 当該事業体への損害、混乱又は不正アクセスが、他の重要インフラ資産の信頼できる運用をどの程度混乱させるか。
(D) the extent to which an entity or sector is subject to existing regulatory requirements to report cybersecurity incidents, and the possibility of coordination and sharing of reports between the Office and the regulatory authority to which such entity submits such other reports. (D) 企業または部門がサイバーセキュリティインシデントを報告する既存の規制要件の対象となる範囲、および、事務局と当該企業が他の報告書を提出する規制当局との間の報告書の調整および共有の可能性。
(3) OUTREACH TO COVERED ENTITIES.— (3) 対象事業者に対するアウトリーチ
(A) IN GENERAL.—The Director shall conduct an outreach and education campaign to inform covered entities of the requirements of this section. (A) 全般:局長は、対象事業者に本節の要件を知らせるために、アウトリーチ及び教育キャンペーンを実施するものとする。
(B) ELEMENTS.—The outreach and education campaign under subparagraph (A) shall include the following: (B)要素-(A)号に基づくアウトリーチおよび教育キャンペーンは、以下を含むものとする。
(i) Overview of the interim final rule and final rule issued pursuant to this section. (i)本節に基づき発行された中間最終規則および最終規則の概要。
(ii) Overview of reporting requirements and procedures issued pursuant to paragraph (1). (ii) 第(1)項に従って発行された報告要件および手続きの概要。
(iii) Overview of mechanisms to submit to the Office covered cybersecurity incident reports and information relating to the disclosure, retention, and use of incident reports under this section. (iii) 本条に基づき、対象となるサイバーセキュリティインシデント報告書及びインシデント報告書の開示、保管及び使用に関連する情報を事務局に提出する仕組みの概要。
(iv) Overview of the protections afforded to covered entities for complying with requirements under subsection (f). (iv) (f)項に基づく要件を遵守するために対象事業者に与えられている保護の概要。
(v) Overview of the steps taken under subsection (g) when a covered entity is not in compliance with the reporting requirements under paragraph (1). (v) 対象事業者が(1)項に基づく報告要件を遵守していない場合に、(g)項に基づき講じられる措置の概要。
(C) COORDINATION.—The Director may conduct the outreach and education campaign under subparagraph (A) through coordination with the following: (C)協調:局長は、(A)号に基づくアウトリーチおよび教育キャンペーンを、以下のものと協調して実施することができる。
(i) The Critical Infrastructure Partnership Advisory Council established pursuant to section 871. (i) 第 871 条に基づき設立された重要インフラストラクチャー・パートナーシップ諮問委員会 (Critical Infrastructure Partnership Advisory Council)
(ii) Information Sharing and Analysis Organizations. (ii) 情報共有・分析組織。
(iii) Any other means the Director determines to be effective to conduct such campaign. (iii) 局長が当該キャンペーンを実施するために効果的であると判断した他の手段。
(4) COVERED CYBERSECURITY INCIDENTS.— (4) 対象となるサイバーセキュリティインシデント。
(A) CONSIDERATIONS.—In accordance with subparagraph (B), in determining which types of incidents are covered cybersecurity incidents for purposes of this section, the Director shall consider— (A) 考慮事項:(B)項に従い、本節の目的上、どの種類のインシデントが対象となるサイバーセキュリティインシデントであるかを決定する際に、局長は以下を考慮するものとする。
(i) the sophistication or novelty of the tactics used to perpetrate such an incident, as well as the type, volume, and sensitivity of the data at issue; (i) かかるインシデントを実行するために使用された戦術の洗練性または新規性、ならびに問題となったデータの種類、量、および機密性。
(ii) the number of individuals directly or indirectly affected or potentially affected by such an incident; and (ii)当該インシデントにより直接的又は間接的に影響を受ける又は受ける可能性のある個人の数。
(iii) potential impacts on industrial control systems, such as supervisory control and data acquisition systems, distributed control systems, and programmable logic controllers. (iii) 監視制御およびデータ収集システム、分散制御システム、プログラマブルロジックコントローラなどの産業用制御システムに対する潜在的影響。
(B) MINIMUM THRESHOLDS.—For a cybersecurity incident to be considered a covered cybersecurity incident a cybersecurity incident shall, at a minimum, include at least one of the following: (B)最低基準値:サイバーセキュリティインシデントが対象となるサイバーセキュリティインシデントと見なされるためには、サイバーセキュリティインシデントは、最低限、以下のうち一つを含まなければならない。
(i) Unauthorized access to an information system or network that leads to loss of confidentiality, integrity, or availability of such information system or network, or has a serious impact on the safety and resiliency of operational systems and processes. (i) 情報システム又はネットワークへの不正アクセスであって、当該情報システム又はネットワークの機密性、完全性又は可用性の喪失につながるもの、又は運用システム及びプロセスの安全性及び回復力に重大な影響を与えるもの。
(ii) Disruption of business or industrial operations due to a denial of service attack, a ransomware attack, or exploitation of a zero-day vulnerability, against— (ii) サービス妨害攻撃、ランサムウェア攻撃、ゼロデイ脆弱性の悪用による事業又は産業運営の混乱。
(I) an information system or network; or (I) 情報システムまたはネットワーク、または
(II) an operational technology system or process. (II)運用技術システムまたはプロセス。
(iii) Unauthorized access or disruption of business or industrial operations due to loss of service facilitated through, or caused by a compromise of, a cloud service provider, managed service provider, other third-party data hosting provider, or supply chain attack. (iii) クラウドサービスプロバイダ、マネージドサービスプロバイダ、その他の第三者データホスティングプロバイダ、またはサプライチェーン攻撃を通じて促進された、またはそれらの侵害によって引き起こされたサービスの損失による、事業または産業運営の不正アクセスまたは混乱。
(5) REPORTS.— (5) 報告
(A) TIMING.— (A) 時期
(i) IN GENERAL.—The Director, in consultation with Sector Risk Management Agencies and the heads of other Federal departments and agencies, as appropriate, shall establish reporting timelines for covered entities to submit promptly to the Office covered cybersecurity incident reports, as the Director determines reasonable and appropriate based on relevant factors, such as the nature, severity, and complexity of the covered cybersecurity incident at issue and the time required for investigation, but in no case may the Director require reporting by a covered entity earlier than 72 hours after confirmation that a covered cybersecurity incident has occurred. (i) 一般的に、局長は、必要に応じて、セクターリスク管理機関および他の連邦省庁の長と協議の上、問題となる対象サイバーセキュリティインシデントの性質、重大性、および複雑さ、ならびに調査に要する時間などの関連要因に基づき局長が妥当かつ適切とみなすように、対象事業者が局に対して対象サイバーセキュリティインシデント報告を速やかに提出するための報告タイムラインを設定するが、いかなる場合も、局は対象サイバーセキュリティインシデントの発生確認後72時間より早く、被影響事業者による報告義務を課してはならないものとする。
(ii) CONSIDERATIONS.—In determining reporting timelines under clause (i), the Director shall— (ii) 考慮事項: (i)項に基づく報告タイムラインを決定するにあたり、局長は、以下の事項を行うものとする。
(I) consider any existing regulatory reporting requirements, similar in scope purpose, and timing to the reporting requirements under this section, to which a covered entity may also be subject, and make efforts to harmonize the timing and contents of any such reports to the maximum extent practicable; and (I) 対象事業者が従う可能性のある、本条に基づく報告要件と範囲、目的及び時期が類似した既存の規制上の報告要件を考慮し、可能な限り、かかる報告の時期及び内容を調和させるよう努力すること。
(II) balance the Agency’s need for situational awareness with a covered entity’s ability to conduct incident response and investigations. (II) 状況把握の必要性と、対象事業者の事故対応・調査能力とのバランスをとること。
(B) THIRD-PARTY REPORTING.— (b) 第三者への報告
(i) IN GENERAL.—A covered entity may submit a covered cybersecurity incident report through a third-party entity or Information Sharing and Analysis Organization. (i)一般に、対象事業者は、第三者機関又は情報共有・分析機関を通じて、対象サイバーセキュリティインシデント報告を提出することができる。
(ii) DUTY TO ENSURE COMPLIANCE.—Third-party reporting under this subparagraph does not relieve a covered entity of the duty to ensure compliance with the requirements of this paragraph. (ii) 遵守を確保する義務 -本段落に基づく第三者報告は、本段落の要件への遵守を確保する義務を対象事業者から免除するものではない。
(C) SUPPLEMENTAL REPORTING.—A covered entity shall submit promptly to the Office, until such date that such covered entity notifies the Office that the cybersecurity incident investigation at issue has concluded and the associated covered cybersecurity incident has been fully mitigated and resolved, periodic updates or supplements to a previously submitted covered cybersecurity incident report if new or different information becomes available that would otherwise have been required to have been included in such previously submitted report. In determining reporting timelines, the Director may choose to establish a flexible, phased reporting timeline for covered entities to report information in a manner that aligns with investigative timelines and allows covered entities to prioritize incident response efforts over compliance. (C) 補足報告:-対象事業者は、当該対象事業者が、問題となっているサイバーセキュリティインシデント調査が終了し、関連する対象サイバーセキュリティインシデントが完全に緩和され解決されたと事務局に通知する日まで、定期的に更新または補足を、以前に提出した対象サイバーセキュリティインシデント報告書に新しいまたは異なる情報が入手可能となった場合、当該報告書に含まれなければならなかったはずのものを速やかに事務局に提出するものとす。報告スケジュールを決定する際、局長は、対象事業者が調査スケジュールと整合し、対象事業者がコンプライアンスよりもインシデント対応努力を優先できるような方法で情報を報告するために、柔軟で段階的な報告スケジュールを確立することを選択することができます。
(D) CONTENTS.—Covered cybersecurity incident reports submitted pursuant to this section shall contain such information as the Director prescribes, including the following information, to the extent applicable and available, with respect to a covered cybersecurity incident: (D)内容-本節に従って提出される対象サイバーセキュリティインシデント報告書は、対象サイバーセキュリティインシデントに関して、適用可能で利用できる範囲で、次の情報を含む局長が規定する情報を含むものとする。
(i) A description of the covered cybersecurity incident, including identification of the affected information systems, networks, or devices that were, or are reasonably believed to have been, affected by such incident, and the estimated date range of such incident. (i)当該インシデントにより影響を受けた、又は影響を受けたと合理的に考えられる情報システム、ネットワーク又は装置の特定、及び当該インシデントの推定日付範囲を含む、対象となるサイバーセキュリティインシデントの説明。
(ii) Where applicable, a description of the vulnerabilities exploited and the security defenses that were in place, as well as the tactics, techniques, and procedures relevant to such incident. (ii) 該当する場合、悪用された脆弱性及び実施されたセキュリティ防御、並びに当該インシデントに関連する戦術、技術及び手続きの説明。
(iii) Where applicable, any identifying information related to the actor reasonably believed to be responsible for such incident. (iii) 該当する場合、当該インシデントに責任を負うと合理的に考えられる行為者に関連するあらゆる識別情報。
(iv) Where applicable, identification of the category or categories of information that was, or is reasonably believed to have been, accessed or acquired by an unauthorized person. (iv) 該当する場合、権限のない者によってアクセス又は取得された、又はされたと合理的に考えられる情報のカテゴリー又はカテゴリーの識別情報。
(v) Contact information, such as telephone number or electronic mail address, that the Office may use to contact the covered entity or, where applicable, an authorized agent of such covered entity, or, where applicable, the service provider, acting with the express permission, and at the direction, of such covered entity, to assist with compliance with the requirements of this section. (v) 本項の要件の遵守を支援するために、事務局が、対象事業者、該当する場合、当該対象事業者の明示的な許可及び指示により行動する当該対象事業者の認定代理人、該当する場合、サービスプロバイダーに連絡するために使用できる電話番号又は電子メールアドレス等の連絡先情報。
(6) RESPONSIBILITIES OF COVERED ENTITIES.—Covered entities that experience a covered cybersecurity incident shall coordinate with the Office to the extent necessary to comply with this section, and, to the extent practicable, cooperate with the Office in a manner that supports enhancing the Agency’s situational awareness of cybersecurity threats across critical infrastructure sectors. (6) 対象事業者の責任:対象サイバーセキュリティインシデントを経験した対象事業者は、本条を遵守するために必要な範囲で事務局と連携し、また、重要インフラ部門全体におけるサイバーセキュリティ脅威に関する当局の状況認識の強化を支援する方法で、実行可能な範囲で事務局と協力するものとする。
(7) HARMONIZING REPORTING REQUIREMENTS.—In establishing the reporting requirements and procedures under paragraph (1), the Director shall, to the maximum extent practicable— (7) 報告要件の調和: (1)項に基づく報告要件および手順を確立する際、局長は、実務上可能な限り、以下のことを行うものとする: (7) 報告要件の調和: (1)項に基づく報告要件および手順を確立する際、局長は、実務上可能な限り、以下のことを行うものとする: (7) 報告要件を調和させること。
(A) review existing regulatory requirements, including the information required in such reports, to report cybersecurity incidents that may apply to covered entities, and ensure that any such reporting requirements and procedures avoid conflicting, duplicative, or burdensome requirements; and (A) 対象事業者に適用される可能性のあるサイバーセキュリティインシデントを報告するために、当該報告書に求められる情報を含む既存の規制要件を検討し、当該報告要件および手順が矛盾、重複、または負担となる要件を回避することを確実にすること。
(B) coordinate with other regulatory authorities that receive reports relating to cybersecurity incidents to identify opportunities to streamline reporting processes, and where feasible, enter into agreements with such authorities to permit the sharing of such reports with the Office, consistent with applicable law and policy, without impacting the Office’s ability to gain timely situational awareness of a covered cybersecurity incident or significant cyber incident. (B) サイバーセキュリティインシデントに関連する報告を受ける他の規制当局と調整し、報告プロセスを合理化する機会を特定し、実行可能な場合は、適用法および政策と整合し、対象となるサイバーセキュリティインシデントまたは重大サイバーインシデントについて適時に状況認識を得る国内官庁の能力に影響を与えずに、当該官庁と当該報告の共有を許可する契約を当該官庁と締結すること。
(e) Disclosure, Retention, And Use Of Incident Reports.— (e) インシデントレポートの開示、保持、および使用。
(1) AUTHORIZED ACTIVITIES.—No information provided to the Office in accordance with subsections (d) or (h) may be disclosed to, retained by, or used by any Federal department or agency, or any component, officer, employee, or agent of the Federal Government, except if the Director determines such disclosure, retention, or use is necessary for— (1) 許容される活動: (d)または(h)項に従って事務局に提供された情報は、以下のために必要であると局長が判断した場合を除き、連邦省庁、連邦政府の構成員、役員、職員、代理人に開示、保持、使用されることはない。
(A) a cybersecurity purpose; (A) サイバーセキュリティの目的
(B) the purpose of identifying— (B) 特定する目的
(i) a cybersecurity threat, including the source of such threat; or (i) サイバーセキュリティ上の脅威(当該脅威の発生源を含む)、または
(ii) a security vulnerability; (ii) セキュリティの脆弱性
(C) the purpose of responding to, or otherwise preventing, or mitigating a specific threat of— (C) 以下の特定の脅威への対応、その他の予防または軽減の目的。
(i) death; (i) 死亡
(ii) serious bodily harm; or (ii) 重篤な身体的危害
(iii) serious economic harm, including a terrorist act or a use of a weapon of mass destruction; (iii) テロ行為や大量破壊兵器の使用など、深刻な経済的被害。
(D) the purpose of responding to, investigating, prosecuting, or otherwise preventing or mitigating a serious threat to a minor, including sexual exploitation or threats to physical safety; or (D) 未成年者に対する重大な脅威(性的搾取または身体の安全に対する脅威を含む)への対応、調査、訴追、またはその他の予防もしくは軽減を目的とする場合
(E) the purpose of preventing, investigating, disrupting, or prosecuting an offense related to a threat— (E) 脅威に関連する犯罪を防止、調査、妨害、または起訴する目的
(i) described in subparagraphs (B) through (D); or (i) (B)号から(D)号に記載されているもの、または
(ii) specified in section 105(d)(5)(A)(v) of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1504(d)(5)(A)(v))). (ii) Cybersecurity Act of 2015(2016年連結歳出法(公法114-113;6 U.S.C. 1504(d)(5)(A)(v))の105(d)(5)(A)(v)項として制定された)において特定される
(2) EXCEPTIONS.— (2)例外.-
(A) RAPID, CONFIDENTIAL, BI-DIRECTIONAL SHARING OF CYBER THREAT INDICATORS.—Upon receiving a covered cybersecurity incident report submitted pursuant to this section, the Office shall immediately review such report to determine whether the incident that is the subject of such report is connected to an ongoing cybersecurity threat or security vulnerability and where applicable, use such report to identify, develop, and rapidly disseminate to appropriate stakeholders actionable, anonymized cyber threat indicators and defensive measures. (A) サイバー脅威指標の迅速、秘密、双方向の共有:本節に従って提出された対象となるサイバーセキュリティインシデント報告書を受け取った場合、事務局は直ちに当該報告書を確認し、当該報告書の対象であるインシデントが進行中のサイバーセキュリティ脅威またはセキュリティ脆弱性に関連しているかどうかを判断し、該当する場合、当該報告書を利用して、実行可能で匿名化したサイバー脅威指標と防御手段を特定、開発、および該当する関係者に迅速に普及させなければならない。
(B) PRINCIPLES FOR SHARING SECURITY VULNERABILITIES.—With respect to information in a covered cybersecurity incident report regarding a security vulnerability referred to in paragraph (1)(B)(ii), the Director shall develop principles that govern the timing and manner in which information relating to security vulnerabilities may be shared, consistent with common industry best practices and United States and international standards. (B) セキュリティ脆弱性の共有に関する原則 - (1)(B)(ii)に言及するセキュリティ脆弱性に関する対象サイバーセキュリティインシデント報告書の情報に関して、長官は、共通の業界ベストプラクティスおよび米国および国際基準と整合する、セキュリティ脆弱性に関する情報を共有できるタイミングおよび方法を規定する原則を策定するものとする。
(3) PRIVACY AND CIVIL LIBERTIES.—Information contained in reports submitted to the Office pursuant to subsections (d) and (h) shall be retained, used, and disseminated, where permissible and appropriate, by the Federal Government in a manner consistent with processes for the protection of personal information adopted pursuant to section 105 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1504)). (3) PRIVACY AND CIVIL LIBERTIES:(d)項および(h)項に従って事務局に提出された報告書に含まれる情報は、許容かつ適切な場合には、2015年のサイバーセキュリティ法(2016年の連結歳出法(公法114-113;6 U.S.C. 1504)の部門Nとして制定)の105項に従って採択された個人情報保護プロセスに整合する方法で連邦政府が保持、使用および普及させるものとする。
(4) PROHIBITION ON USE OF INFORMATION IN REGULATORY ACTIONS.— (4) 規制措置における情報の使用禁止-
(A) IN GENERAL.—Information contained in reports submitted to the Office pursuant to subsections (d) and (h) may not be used by any Federal, State, Tribal, or local government to regulate, including through an enforcement action, the lawful activities of any non-Federal entity. (A) 一般に、(d) および (h) 項に従って事務局に提出された報告書に含まれる情報は、連邦、州、部族、または地方政府が、連邦以外の団体の合法的活動を、強制措置によるものを含めて規制するために使用することはできません。
(B) EXCEPTION.—A report submitted to the Agency pursuant to subsection (d) or (h) may, consistent with Federal or State regulatory authority specifically relating to the prevention and mitigation of cybersecurity threats to information systems, inform the development or implementation of regulations relating to such systems. (B) 例外 - (d)または(h)に従って庁に提出された報告書は、情報システムに対するサイバーセキュリティの脅威の防止および軽減に特に関連する連邦または州の規制当局と一致し、当該システムに関する規制の策定または実施に情報を与えることができます。
(f) Protections For Reporting Entities And Information.—Reports describing covered cybersecurity incidents submitted to the Office by covered entities in accordance with subsection (d), as well as voluntarily-submitted cybersecurity incident reports submitted to the Office pursuant to subsection (h), shall be— (f) 報告主体および情報の保護: (d)項に従って対象主体が事務局に提出した、対象となるサイバーセキュリティインシデントを記述する報告書、および(h)項に従って事務局に提出された自発的に提出されたサイバーセキュリティインシデント報告書は、以下のとおりとする。
(1) entitled to the protections against liability described in section 106 of the Cybersecurity Act of 2015 (enacted as division N of the Consolidated Appropriations Act, 2016 (Public Law 114–113; 6 U.S.C. 1505)); (1) 2015年サイバーセキュリティ法(2016年連結歳出法(公法114-113;6 U.S.C. 1505)の部門Nとして制定)の第106条に記載された責任に対する保護を受けることができます。
(2) exempt from disclosure under section 552 of title 5, United States Code, as well as any provision of State, Tribal, or local freedom of information law, open government law, open meetings law, open records law, sunshine law, or similar law requiring disclosure of information or records; and (2) 米国法典第5編第552節、ならびに州、部族、または地域の情報自由法、公開政府法、公開会議法、公開記録法、日光法、または情報または記録の開示を要求する類似法の規定に基づいて開示が免除されるもの、および
(3) considered the commercial, financial, and proprietary information of the covered entity when so designated by the covered entity. (3) 対象事業者が指定した場合、対象事業者の商業、財務及び専有情報とみなされる。
(g) Noncompliance With Required Reporting.— (g) 報告義務の不履行
(1) PURPOSE.—In the event a covered entity experiences a cybersecurity incident but does not comply with the reporting requirements under this section, the Director may obtain information about such incident by engaging directly such covered entity in accordance with paragraph (2) to request information about such incident, or, if the Director is unable to obtain such information through such engagement, by issuing a subpoena to such covered entity, subject to paragraph (3), to gather information sufficient to determine whether such incident is a covered cybersecurity incident, and if so, whether additional action is warranted pursuant to paragraph (4). (1) 目的。 -対象事業者がサイバーセキュリティインシデントを経験したにもかかわらず、本条に基づく報告要件を遵守しない場合、長官は、当該インシデントに関する情報を要求するために、段落(2)に従って当該対象事業者に直接関与することにより、又は長官が当該関与を通じて当該情報を取得できない場合、段落(3)に従って当該対象事業者に対して召喚状を発し、当該インシデントが対象サイバーセキュリティインシデントであるかどうか、もし、そうなら、段落(4)に基づいて追加行動が保証されるかどうかを決定するに十分な情報を収集することによって、当該インシデントに関する情報を入手することができます。
(2) INITIAL REQUEST FOR INFORMATION.— (2) 最初の情報提供の要請
(A) IN GENERAL.—If the Director has reason to believe, whether through public reporting, intelligence gathering, or other information in the Federal Government’s possession, that a covered entity has experienced a cybersecurity incident that may be a covered cybersecurity incident but did not submit pursuant to subsection (d) to the Office a covered cybersecurity incident report relating thereto, the Director may request information from such covered entity to confirm whether the cybersecurity incident at issue is a covered cybersecurity incident, and determine whether further examination into the details surrounding such incident are warranted pursuant to paragraph (4). (a) 一般的に。 -公開報告、情報収集、または連邦政府が保有する他の情報によるかどうかにかかわらず、ある対象事業者が、対象となるサイバーセキュリティインシデントである可能性のあるサイバーセキュリティインシデントを経験したが、それに関連する対象となるサイバーセキュリティインシデント報告書を第(d)項に従って事務局に提出していないと信じる理由がある場合、長官は、問題となるサイバーセキュリティインシデントが対象のサイバーセキュリティインセスであるかを確認し、当該インシデントの周囲の詳細に対するさらなる調査が第(4)項に基づき保証されているかどうかを判断するために、当該対象事業者に情報を要請できるものとす。
(B) TREATMENT.—Information provided to the Office in response to a request under subparagraph (A) shall be treated as if such information was submitted pursuant to the reporting procedures established in accordance with subsection (d). (B) 取り扱い:(A)項に基づく要請に応じて事務局に提供された情報は、当該情報が(d)項に従って確立された報告手続に従って提出されたものとして取り扱われる。
(3) AUTHORITY TO ISSUE SUBPOENAS.— (3) 召喚状を発行する権限。
(A) IN GENERAL.—If, after the date that is seven days from the date on which the Director made a request for information in paragraph (2), the Director has received no response from the entity from which such information was requested, or received an inadequate response, the Director may issue to such entity a subpoena to compel disclosure of information the Director considers necessary to determine whether a covered cybersecurity incident has occurred and assess potential impacts to national security, economic security, or public health and safety, determine whether further examination into the details surrounding such incident are warranted pursuant to paragraph (4), and if so, compel disclosure of such information as is necessary to carry out activities described in subsection (c). (a) 全般的に。 -(a)一般に、局長が(2)の情報の要求を行った日から7日後の日付以降、局長が当該情報を要求された事業者から何の応答も受けないか、不十分な応答を受けた場合、局長は当該事業者に対して、対象サイバーセキュリティインシデントが発生したかどうかを判断し、国家安全保障に対する潜在的影響を評価するために必要だと局長が考える情報の開示を強制する召喚状を発布できるものとす。(4)に従い、当該事象の詳細をさらに調査することが正当化されるかどうかを判断し、正当化される場合には、(c)に記載の活動を実施するために必要な情報を強制的に開示させる。
(B) CIVIL ACTION.—If a covered entity does not comply with a subpoena, the Director may bring a civil action in a district court of the United States to enforce such subpoena. An action under this paragraph may be brought in the judicial district in which the entity against which the action is brought resides, is found, or does business. The court may punish a failure to obey an order of the court to comply with the subpoena as a contempt of court. (B) 民事訴訟-対象事業者が召喚に従わない場合、長官は当該召喚を執行するために米国の地方裁判所において民事訴訟を提起することができる。本項に基づく訴訟は、訴訟を起こす団体が居住、所在、または事業を行っている司法地区において提起することができる。裁判所は、召喚令状に従うという裁判所の命令に従わない場合、法廷侮辱罪として処罰することができます。
(C) NON-APPLICABILITY OF PROTECTIONS.—The protections described in subsection (f) do not apply to a covered entity that is the recipient of a subpoena under this paragraph (3). (C) 保護の非適用性: (f)項に記載された保護は、本(3)項に基づく召喚状の受領者である対象事業体には適用されない。
(4) ADDITIONAL ACTIONS.— (4)追加措置
(A) EXAMINATION.—If, based on the information provided in response to a subpoena issued pursuant to paragraph (3), the Director determines that the cybersecurity incident at issue is a significant cyber incident, or is part of a group of related cybersecurity incidents that together satisfy the definition of a significant cyber incident, and a more thorough examination of the details surrounding such incident is warranted in order to carry out activities described in subsection (c), the Director may direct the Office to conduct an examination of such incident in order to enhance the Agency’s situational awareness of cybersecurity threats across critical infrastructure sectors, in a manner consistent with privacy and civil liberties protections under applicable law. (a) 調査。 -第(3)項に従って発行された召喚状に応じて提供された情報に基づき、局長が、問題となっているサイバーセキュリティインシデントが重大なサイバーインシデントであるか、または共に重大なサイバーインシデントの定義を満たす関連サイバーセキュリティインシデントのグループの一部であると決定した場合。および、第(c)項に記載された活動を実施するために、当該インシデントを取り巻く詳細のより徹底した調査が正当化される場合、長官は、適用法に基づくプライバシーおよび市民の自由の保護と一貫した方法で、重要インフラ部門全体のサイバーセキュリティ脅威に関する庁の状況認識を強化するために、当該インシデントに関する調査を実施することを事務局に指示することができる。
(B) PROVISION OF CERTAIN INFORMATION TO ATTORNEY GENERAL.—Notwithstanding subsection (e)(4) and paragraph (2)(B), if the Director determines, based on the information provided in response to a subpoena issued pursuant to paragraph (3) or identified in the course of an examination under subparagraph (A), that the facts relating to the cybersecurity incident at issue may constitute grounds for a regulatory enforcement action or criminal prosecution, the Director may provide such information to the Attorney General or the appropriate regulator, who may use such information for a regulatory enforcement action or criminal prosecution. (b) 司法長官への特定の情報の提供。 -第(e)項(4)および第(2)項(B)にかかわらず、局長が、第(3)項に従って発行された召喚状に応じて提供された情報または第(A)項に基づく調査の過程で特定された情報に基づき、問題となっているサイバーセキュリティインシデントに関する事実が規制執行措置または刑事訴追の根拠となり得ると判断した場合、局長は司法長官または関係規制当局に当該情報を提供でき、当該規制執行措置または刑事訴追に使用できるものとす。
(h) Voluntary Reporting Of Cyber Incidents.—The Agency shall receive cybersecurity incident reports submitted voluntarily by entities that are not covered entities, or concerning cybersecurity incidents that do not satisfy the definition of covered cybersecurity incidents but may nevertheless enhance the Agency’s situational awareness of cybersecurity threats across critical infrastructure sectors. The protections under this section applicable to covered cybersecurity incident reports shall apply in the same manner and to the same extent to voluntarily-submitted cybersecurity incident reports under this subsection. (h) サイバーインシデントの自主的な報告:当局は、対象事業者ではない事業者から自主的に提出された、または対象となるサイバーセキュリティインシデントの定義を満たさないものの、重要インフラ部門全体のサイバーセキュリティ脅威に対する当局の状況認識を高める可能性があるサイバーセキュリティインシデントに関するサイバーセキュリティインシデント報告を受け取るものとす。対象サイバーセキュリティインシデント報告に適用される本節の保護は、本節に基づき自主的に提出されたサイバーセキュリティインシデント報告にも同じ方法及び同じ程度に適用されるものとする。
(i) Notification To Impacted Covered Entities.—If the Director receives information regarding a cybersecurity incident impacting a Federal agency relating to unauthorized access to data provided to such Federal agency by a covered entity, and with respect to which such incident is likely to undermine the security of such covered entity or cause operational or reputational damage to such covered entity, the Director shall, to the extent practicable, notify such covered entity and provide to such covered entity such information regarding such incident as is necessary to enable such covered entity to address any such security risk or operational or reputational damage arising from such incident. (i) 影響を受ける対象事業者への通知。 -長官が、対象事業者が当該連邦機関に提供したデータへの不正アクセスに関連する、連邦機関に影響を与えるサイバーセキュリティインシデントに関する情報を受領し、当該インシデントが当該対象事業者のセキュリティを損なうか、当該対象事業者に業務上または風評上の損害を与える可能性がある場合、長官は、実行可能な範囲で、当該対象事業者に通知し、当該対象事業者が当該インシデントから生じるセキュリティリスクまたは業務上または風評上の損害に対処できるよう、必要である当該情報に関する情報を当該対象事業に提供するものとす。
(k) Saving Provision.—Nothing in this section may be construed as modifying, superseding, or otherwise affecting in any manner any regulatory authority held by a Federal department or agency, including Sector Risk Management Agencies, existing on the day before the date of the enactment of this section, or any existing regulatory requirements or obligations that apply to covered entities.”. (k) 保存規定-本節のいかなる内容も、本節の制定日の前日に存在する、セクターリスク管理機関を含む連邦省庁が有する規制権限、または対象事業体に適用される既存の規制要件または義務を修正、優先、または何らかの形で影響を与えると解釈してはならない」。
(b) Reports.— (b) 報告書
(1) ON STAKEHOLDER ENGAGEMENT.—Not later than 30 days before the date on which that the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security intends to issue an interim final rule under subsection (d)(1) of section 2220A of the Homeland Security Act of 2002 (as added by subsection (a)), the Director shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report that describes how the Director engaged stakeholders in the development of such interim final rules. (1) ステークホルダーの関与に関するもの。 -国土安全保障省サイバーセキュリティ・インフラ安全保障局局長は、2002年国土安全保障法第2220A条(第(a)項により追加)(d)項(1)に基づく中間最終規則を発行しようとする日の30日前までに、局長が当該中間最終規則の策定において利害関係者といかに関わったかを記述した報告書を下院国土安全保障委員会と上院国土安全保障・政府問題委員会に提出するものとする。
(2) ON OPPORTUNITIES TO STRENGTHEN CYBERSECURITY RESEARCH.—Not later than one year after the date of the enactment of this Act, the Director of the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security shall submit to the Committee on Homeland Security of the House of Representatives and the Committee on Homeland Security and Governmental Affairs of the Senate a report describing how the Cyber Incident Review Office of the Department of Homeland Security (established pursuant to section 2220A of the Homeland Security Act of 2002, as added by subsection (a)) has carried out activities under subsection (c)(6) of such section 2220A by proactively identifying opportunities to use cybersecurity incident data to inform and enable cybersecurity research carried out by academic institutions and other private sector organizations. (2) サイバーセキュリティの研究を強化する機会について。 -この法律の制定日から1年以内に、国土安全保障省のサイバーセキュリティおよびインフラセキュリティ庁の長官は、国土安全保障省のサイバーインシデント審査室(2002年の国土安全保障法2220A条に従って設立された)がどのように国土安全保障省を審査したかを説明する報告書を下院の国土安全保障委員会と上院の国土安全保障および政府関係委員会に提出するものとする。(a)項によって追加された)学術機関およびその他の民間組織が実施するサイバーセキュリティ研究に情報を提供し可能にするためにサイバーセキュリティインシデントデータを使用する機会を積極的に特定することによって、当該セクション2220A (c)(6)の活動を実施する。
(c) Title XXII Technical And Clerical Amendments.— (c) タイトルXXII 技術的および事務的な修正。
(1) TECHNICAL AMENDMENTS.— (1) 技術的な修正
(A) HOMELAND SECURITY ACT OF 2002.—Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended— (A) HOMELAND SECURITY ACT OF 2002.-Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) のタイトル XXII のサブタイトルAは、以下のように修正される。
(i) in section 2202 (6 U.S.C. 652)— (i) 2202節(6 U.S.C. 652)において
(I) in paragraph (11), by striking “and” after the semicolon; (I) 第(11)項において、セミコロンの後の「および」を削除すること。
(II) in the first paragraph (12) (relating to appointment of a Cybersecurity State Coordinator) by striking “as described in section 2215; and” and inserting “as described in section 2217;”; (II) 第(12)項(サイバーセキュリティ国家調整官の任命に関連する)において、「第2215項に記載されているとおり、及び」を削除し、「第2217項に記載されているとおり、及び」を挿入すること。
(III) by redesignating the second paragraph (12) (relating to the .gov internet domain) as paragraph (13); and (III) 第二段落(12)(related to the .gov internet domain)を段落(13)として再指定すること。
(IV) by redesignating the third paragraph (12) (relating to carrying out such other duties and responsibilities) as paragraph (14); (IV) 第3パラグラフ(12)(その他の任務および責任の遂行に関するもの)をパラグラフ(14)と改める。
(ii) in the first section 2215 (6 U.S.C. 665; relating to the duties and authorities relating to .gov internet domain), by amending the section enumerator and heading to read as follows: (ii) 第2215節(6 U.S.C. 665; relating the duties and authorities to .gov internet domain)において、節の列挙者と見出しを以下のように修正することにより、最初の節を読み替える。
SEC. 2215. DUTIES AND AUTHORITIES RELATING TO .GOV INTERNET DOMAIN”; SEC. 2215. .gov インターネット・ドメインに関する任務および権限"。
(iii) in the second section 2215 (6 U.S.C. 665b; relating to the joint cyber planning office), by amending the section enumerator and heading to read as follows: (iii) 第2215節(6 U.S.C. 665b;合同サイバー計画事務所に関する)において、節の列挙者と見出しを以下のように修正することにより、以下のように読み替える。
SEC. 2216. JOINT CYBER PLANNING OFFICE”; SEC. 2216. Joint Cyber Planning Office」(合同サイバー計画事務所)。
(iv) in the third section 2215 (6 U.S.C. 665c; relating to the Cybersecurity State Coordinator), by amending the section enumerator and heading to read as follows: (iv) 第2215条(6 U.S.C. 665c;サイバーセキュリティ国家調整官に関する)において、節の列挙者及び見出しを以下のように修正することにより、以下のように読み替える。
SEC. 2217. CYBERSECURITY STATE COORDINATOR”; SEC. 2217. Cybersecurity State Coordinator」。
(v) in the fourth section 2215 (6 U.S.C. 665d; relating to Sector Risk Management Agencies), by amending the section enumerator and heading to read as follows: (v) 第四節2215(6 U.S.C. 665d;セクターリスク管理機関に関する)において、節の列挙者及び見出しを以下のように修正することにより、読みやすくする。
SEC. 2218. SECTOR RISK MANAGEMENT AGENCIES”; SEC. 2218. セクター・リスク・マネージメント機関」。
(vi) in section 2216 (6 U.S.C. 665e; relating to the Cybersecurity Advisory Committee), by amending the section enumerator and heading to read as follows: (vi) 第2216条(6 U.S.C. 665e;サイバーセキュリティ諮問委員会に関する)において、節の列挙者及び見出しを以下のように修正することにより、読みやすくする。
SEC. 2219. CYBERSECURITY ADVISORY COMMITTEE”; SEC. 2219. Cybersecurity Advisory Committee」(サイバーセキュリティ諮問委員会)。
and および
(vii) in section 2217 (6 U.S.C. 665f; relating to Cybersecurity Education and Training Programs), by amending the section enumerator and heading to read as follows: (vii) 第2217条(6 U.S.C. 665f;サイバーセキュリティ教育・訓練プログラムに関する)において、セクション列挙者と見出しを以下のように修正することにより、読みやすくする。
SEC. 2220. CYBERSECURITY EDUCATION AND TRAINING PROGRAMS”. SEC. 2220. Cybersecurity Education and Training Program"。
(B) CONSOLIDATED APPROPRIATIONS ACT, 2021.—Paragraph (1) of section 904(b) of division U of the Consolidated Appropriations Act, 2021 (Public Law 116–260) is amended, in the matter preceding subparagraph (A), by inserting “of 2002” after “Homeland Security Act”. (B) CONSOLIDATED APPROPRIATIONS ACT, 2021.-2021 年統合歳出法(公法 116-260)の第 U 部門 904(b) 項の (1) は、 (A) 項の前の事項において、「Homeland Security Act」の後に「2002 年の」を挿入して修正される。
(2) CLERICAL AMENDMENT.—The table of contents in section 1(b) of the Homeland Security Act of 2002 is amended by striking the items relating to sections 2214 through 2217 and inserting the following new items: (2) 暫定的修正:2002年国土安全保障法第1節(b)の目次は、第2214条から第2217条に関連する項目を削除し、以下の新しい項目を挿入することにより修正される。
Sec. 2214. National Asset Database. 第2214条 国家資産データベース
Sec. 2215. Duties and authorities relating to .gov internet domain. 第2215条 .govインターネットドメインに関する任務と権限
Sec. 2216. Joint cyber planning office. 第2216条 合同サイバー計画事務所
Sec. 2217. Cybersecurity State Coordinator. 第2217条 サイバーセキュリティ・ステートコーディネーター
Sec. 2218. Sector Risk Management Agencies. 第2218条 セクターリスク管理機関
Sec. 2219. Cybersecurity Advisory Committee. 第2219条 サイバーセキュリティ諮問委員会
Sec. 2220. Cybersecurity Education and Training Programs. 第2220条 サイバーセキュリティ教育・訓練プログラム
Sec. 2220A. Cyber Incident Review Office.”. 第2220条A項 サイバーインシデント審査室(Cyber Incident Review Office)」

 

関連法案

H.R.4350 - National Defense Authorization Act for Fiscal Year 2022

 

 

1200pxseal_of_the_united_states_congress

 


 

まるちゃんの助法セキュリティ気まぐれ日記

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

| | Comments (0)

2022.03.13

NATO CCDCOE サイバー攻撃と第5条 - NATOの曖昧だが一貫した立場についてのメモ

こんにちは、丸山満彦です。

集団安全保障の枠組みの中で、その枠組みに入っている国が軍事的な攻撃を受ければ、枠組みに入っている国すべてに対する攻撃と見做して、その枠組みに入っている国全体で、それに対応することになるのですが、その軍事的攻撃の手段がミサイルかサイバーかは関係ないので、、、という話についてのメモですね。。。

リンク先の情報等、有益かもですね。。。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.03 Cyber attacks and Article 5 – a note on a blurry but consistent position of NATO

 

Cyber attacks and Article 5 – a note on a blurry but consistent position of NATO サイバー攻撃と第5条 - NATOの曖昧だが一貫した立場についてのメモ
Authors:Michaela Prucková 著者:ミヒャエル・プルッコヴァー
In reporting on the unfolding events in Ukraine, media and social platforms have repeatedly discussed as novel the possibility of Article 5 of the North Atlantic Treaty being triggered by a cyber attack on one or more Member States. This article presents a brief overview of the topic and explains that the possibility a cyber attack could lead to the invocation of Article 5 has been established since 2014; hence it is not a novelty and definitely not a response to the latest events on NATO’s eastern flank. ウクライナで展開される出来事を報道する中で、メディアやソーシャルプラットフォームは、一つまたは複数の加盟国に対するサイバー攻撃によって北大西洋条約第5条が発動される可能性を斬新なものとして繰り返し論じているようです。本稿では、この話題の概要を紹介し、サイバー攻撃が第5条の発動につながる可能性は2014年から確立されていること、したがって、それは目新しいものではなく、NATOの東側で起きた最新の出来事への対応でもないことを説明します。
NATO’s cornerstone NATOの礎石
Article 5 of the North Atlantic Treaty, NATO’s founding document, stipulates that: NATOの創設文書である北大西洋条約第5条には、次のように規定されています。
‘The Parties agree that an armed attack against one or more of them in Europe or North America shall be considered an attack against them all and consequently, they agree that, if such an armed attack occurs, each of them, in exercise of the right of individual or collective self-defence recognised by Article 51 of the Charter of the United Nations, will assist the Party or Parties so attacked by taking forthwith, individually and in concert with the other Parties, such action as it deems necessary, including the use of armed force, to restore and maintain the security of the North Atlantic area. 「締約国は、欧州又は北米における一又は複数の締約国に対する武力攻撃は、すべての締約国に対する攻撃とみなすことに同意し、その結果、かかる武力攻撃が発生した場合には、各締約国は、国際連合憲章第51条により認められる個別的又は集団的自衛権の行使として、直ちに、個別に、及び他の締約国と協調して、武力の使用を含む必要と認める行動をとり、攻撃を受けた締約国を支援し、北大西洋地域の安全を回復し維持することに同意する。
Any such armed attack and all measures taken as a result thereof shall immediately be reported to the Security Council. Such measures shall be terminated when the Security Council has taken the measures necessary to restore and maintain international peace and security.’ このような武力攻撃及びその結果としてとられたすべての措置は、直ちに安全保障理事会に報告されるものとする。かかる措置は、安全保障理事会が国際の平和及び安全の回復及び維持のために必要な措置をとったときに終了するものとする」。
As one of the core provisions of the Alliance, Article 5 confirms solidarity amongst Member States (Allies) in the event of an armed attack, which can be summarised as one for all, all for one in the spirit of Alexandre Dumas’s musketeers. Collective defence does not involve merely using armed forces and sending military units; rather, it binds Allies to provide possible and appropriate help to the affected Party. 同盟の中核的条項の一つである第5条は、武力攻撃時の加盟国(同盟国)間の連帯を確認しており、アレクサンドル・デュマの三銃士の精神にある「一人はみんなのために、みんなは一人のために」に集約されます。集団的自衛権とは、単に武力を行使したり、軍隊を派遣したりすることではなく、被害を受けた当事国に対して可能かつ適切な支援を行うことを同盟国に義務付けるものであります。
In NATO’s history, Article 5 has been invoked only once, after the 9/11 terrorist attacks on the United States in 2001. That decision, first, showed solidarity with the US after the attacks and, second,  enabled the country and the Alliance to take further steps in responding to them. NATOの歴史上、第5条が発動されたのは、2001年の9.11米国同時多発テロの後、一度だけです。この決定により、第一に、攻撃後に米国との連帯を示し、第二に、米国と同盟が攻撃への対応でさらなる措置を講じることが可能になりました。
It is therefore clear that invocation of Article 5 is not an everyday measure but a major political decision on which all 30 Allies have to agree. したがって、第5条の発動は日常的な措置ではなく、30カ国の同盟国すべてが同意しなければならない重大な政治的決定であることは明らかです。
Article 5 in connection with cyberspace サイバースペースに関連する第5条
The cyber agenda is not new to the Alliance’s portfolio; the first reference to cyber attacks appeared in the Prague Summit Declaration of 2002 (Para. 4). This type of public document reflects the outcomes of debates and decisions made at the highest political level of NATO Member States. サイバー攻撃は2002年のプラハ首脳宣言で初めて言及された(第4段落)。この種の公文書は、NATO加盟国の最高政治レベルでの議論と決定の結果を反映したものです。
Since 2002, the cyber agenda started to increasingly appear in NATO’s documents until 2014 when the Wales Summit Declaration acknowledged for the first time the possibility of cyber attacks triggering Article 5. However, the relevant section (Para. 72) focuses on the potential attack’s effects and magnitude; it does not question a cyber attack’s ability to invoke Article 5 and is couched in terms of when, not if. In 2014, no one denied that operations in cyberspace could be equal in impact to conventional attacks. 2002年以降、サイバーアジェンダはNATOの文書にますます登場するようになり、2014年にウェールズサミット宣言で初めてサイバー攻撃が第5条を誘発する可能性を認めるに至りました。しかし、関連するセクション(第72項)では、潜在的な攻撃の影響と規模に焦点が当てられており、サイバー攻撃が第5条を発動する可能性を疑問視しておらず、「もし」ではなく「いつ」という言葉で表現されています。2014年、サイバー空間での作戦が通常攻撃と同等の影響を与える可能性があることを否定する者はいませんでした。
At the next NATO summit in 2016, the Allies went even further by declaring cyberspace a new operational domain, taking its place alongside air, land and sea (Para. 70). The Warsaw Summit Communiqué thus reaffirmed cyberspace as part of NATO’s core task of collective defence, following the proclamation of 2014. The possibility of the invocation of Article 5 in reaction to a cyber attack was reiterated in 2021 in Para. 33 of Brussels Summit Communiqué. On all those occasions, evaluation on a case-by-case basis was the guiding principle. 次の2016年のNATO首脳会議では、連合国はさらに踏み込んで、サイバー空間を空、陸、海と並ぶ新たな作戦領域とすることを宣言しました(第70項)。こうしてワルシャワ首脳会議コミュニケは、2014年の宣言に続き、サイバースペースがNATOの集団防衛の中核的任務の一部であることを再確認したのです。2021年のブリュッセル・サミット・コミュニケの第33項で、サイバー攻撃への対応として第5条が発動される可能性があることが改めて示された。これらすべての機会において、ケースバイケースで評価することが原則であった。
The same applies to space and hybrid warfare. Space was declared the fifth domain of operations during the foreign ministers’ meeting in 2019 in the London Summit Declaration (Para. 6). The affirmation that attacks to, from or within space may invoke Article 5 was also reaffirmed two years later in the Brussels Summit Communiqué (Para. 33). As for hybrid warfare, the statements that it may invoke Article 5 have appeared, for example, in Para. 72 of Warsaw Summit Communiqué (2016) or Para. 31 of Brussels Summit Communiqué (2021). 宇宙戦争やハイブリッド戦争についても同様である。宇宙は、2019年の外相会合で、ロンドン・サミット宣言(第6項)において、第5の作戦領域と宣言されました。宇宙への、宇宙からの、あるいは宇宙内での攻撃は第5条を発動しうるという確認は、2年後のブリュッセル・サミット・コミュニケでも再確認されました(第33項)。ハイブリッド戦争については、例えば、ワルシャワ・サミット・コミュニケ(2016年)の第72項やブリュッセル・サミット・コミュニケ(2021年)の第31項で、第5条を発動しうるという記述が登場しています。
A game-changing cyber attack ゲームを変えるようなサイバー攻撃
We need to keep in mind that cyber attacks have been a ‘persistent challenge‘ for years to NATO, with Russia being a stable originator of limited cyber activities, avoiding further escalation until now. None of the cyber incidents Allies has thus far experienced has led to the invocation of Article 5 and neither has the Alliance stated openly what level or damage the triggering attack would have to cause. NATOにとってサイバー攻撃は何年も前から「持続的な課題」であり、ロシアは限定的なサイバー活動の安定した発信源として、今までさらなるエスカレーションを避けてきたことを念頭に置く必要があります。同盟国がこれまでに経験したサイバー事件の中で、第5条の発動に至ったものはなく、また、引き金となる攻撃がどの程度のレベルまたは損害をもたらすものでなければならないかを同盟国が公言したこともありません。
Even though this possibility is sometimes criticised for being a vague statement without clearly drawn lines, it is also logical. As NATO Secretary-General Jens Stoltenberg has stated, both the extent of such an attack and the Allied response under Article 5 ‘must remain purposefully vague‘. Hence, the Alliance does not provide potential adversaries with knowledge of the threshold between an everyday cyber attack (see, for example, the live map of ongoing attacks by FireEye) and an armed attack in cyberspace. This uncertainty serves as a deterrent and can motivate a potential adversary to exercise self-restraint in their malicious cyber activities and avoid launching a large-scale attack that could cross the blurred threshold. Such a position of strategic ambiguity is reflected in the documents which discuss evaluation on a case-by-case basis. このような可能性は、明確に線引きされていない曖昧な声明であると批判されることもありますが、一方で論理的なものでもあります。NATOのイェンス・ストルテンベルグ事務総長が述べているように、このような攻撃の程度と第5条に基づく同盟国の対応は、いずれも「意図的にあいまいなままでなければならない」のです。したがって、同盟は、日常的なサイバー攻撃(例えば、FireEyeによる進行中の攻撃のライブマップを参照)とサイバースペースでの武力攻撃の間の閾値に関する知識を潜在的敵対者に提供することはないのです。この不確実性が抑止力となり、潜在的な敵対者が悪意のあるサイバー活動を自制し、曖昧な閾値を越えるような大規模な攻撃を行わないよう動機付けることができます。このような戦略的な曖昧さの立場は、ケースバイケースで評価を議論する文書にも反映されています。
Put simply, NATO does not want to weaken its position by revealing its red lines and reaction measures in cyberspace. However, we are not entirely blind here. The Alliance has acknowledged, for example, that cyber attacks similar to the ones Estonia experienced in 2007 could lead to Article 5 invocation today. 端的に言えば、NATOはサイバースペースにおけるレッドラインと反応措置を明らかにすることで、自らの立場を弱めたくないのです。しかし、ここで完全に盲目になったわけではありません。例えば、2007年にエストニアが経験したようなサイバー攻撃は、今日、第5条の発動につながりかねないことを同盟は認めています。
Since the required gravity and impact of a game-changing cyber attack remain unclear, discussions emerge stirred by the events in Ukraine on what Russian actions in cyberspace aimed at NATO could or would lead to the invocation of Article 5. For example, Michael Schmitt provides an analysis of potential scenarios of Russia’s cyber operations and their interpretation under international law, not limiting the scope of events only to armed attack. ゲームを変えるようなサイバー攻撃に要求される重大性とインパクトは依然として不明であるため、ウクライナでの出来事をきっかけに、NATOを狙ったロシアのサイバースペースでのどんな行動が第5条の発動につながりうるか、あるいはつながるかという議論が始まっています。例えば、Michael Schmittは、武力攻撃のみに事象を限定せず、ロシアのサイバー作戦の潜在的シナリオとその国際法上の解釈について分析を行っています。
To summarise, responses to cyber attacks, attacks to, from or within space, and hybrid warfare are part of NATO’s collective defence and can, under certain circumstances, lead to invoking Article 5 of the North Atlantic Treaty. Both cyber and hybrid activities can be met with a range of proportional responses by NATO Member States, which can coordinate, for example, economic or diplomatic measures without having to invoke Article 5. This was stated in Para. 31 of the Brussels Summit Communiqué and by the Secretary-General himself during Cyber Defence Pledge Conference in 2018. 要約すると、サイバー攻撃、宇宙への攻撃、宇宙からの攻撃、ハイブリッド戦争への対応は、NATOの集団防衛の一部であり、一定の状況下では北大西洋条約第5条の発動につながる可能性があるということです。サイバー攻撃もハイブリッド戦争も、NATO加盟国によるさまざまな比例的対応で対処することができ、NATO加盟国は第5条を発動しなくても、たとえば経済的・外交的措置を調整することが可能です。このことは、ブリュッセル・サミット・コミュニケの第31項に記載されており、2018年のサイバー防衛誓約会議において事務総長自身が述べています。
Threats of cyber attacks have featured in NATO policies since 2014. This understanding has developed as a natural response to the evolution of the threat landscape and is not a novelty of the events in Ukraine or an artificial tool aimed at increasing the current geopolitical tensions. サイバー攻撃の脅威は、2014年以降、NATOの政策に取り上げられています。この理解は、脅威の状況の進化に対する自然な反応として発展してきたものであり、ウクライナでの出来事の目新しさや、現在の地政学的緊張を高めることを目的とした人工的な手段ではありません。
Author: Michaela Prucková, Masaryk University/NATO CCDCOE Law Branch 著者 マサリク大学/NATO CCDCOE法学部 ミカエル・プルックォヴァー
This publication is a part of the INCYDER database, a research tool on International Cyber Developments (INCYDER), established by NATO CCDCOE to facilitate the work of researchers, lawyers, policy-makers and other cyber security-related practitioners. INCYDER offers up-to-date overviews and easy access to the most relevant legal and policy documents adopted by international organisations active in the cyber security domain along with practical summaries and analysis of recent trends within these organisations written by CCDCOE researchers. 本書は、研究者、弁護士、政策立案者、その他のサイバーセキュリティ関連の実務家の作業を容易にするためにNATO CCDCOEが設立した国際的なサイバー動向に関するリサーチツール(INCYDER)データベースの一部である。INCYDERは、サイバーセキュリティ分野で活躍する国際機関が採択した最も関連性の高い法律・政策文書の最新の概要と、CCDCOEの研究者が執筆したこれらの組織における最近の傾向の実用的な要約や分析に容易にアクセスできるようになっています。
This publication does not necessarily reflect the policy or the opinion of the NATO Cooperative Cyber Defence Centre of Excellence (the Centre) or NATO. The Centre may not be held responsible for any loss or harm arising from the use of information contained in this publication and is not responsible for the content of the external sources, including external websites referenced in this publication. 本書は、NATO Cooperative Cyber Defence Centre of Excellence(センター)またはNATOの政策や意見を必ずしも反映したものではありません。センターは、本書に含まれる情報の使用から生じるいかなる損失や損害に対しても責任を負わず、本書で参照されている外部ウェブサイトを含む外部ソースの内容にも責任を負いません。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.12.16 NATO CCDCOEがタリンマニュアル3.0の開発を進めるとアナウンスしていますね。。。

 

| | Comments (0)

2022.03.12

NIST SP 800-204C サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

こんにちは、丸山満彦です。

昨年の9月末にパブリックコメントに付されていた、NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施が、確定していますね。。。

● NIST - ITL

・2022.03.08 SP 800-204C Implementation of DevSecOps for a Microservices-based Application with Service Mesh

 

Abstract 概要
Cloud-native applications have evolved into a standardized architecture consisting of multiple loosely coupled components called microservices (often typically implemented as containers) that are supported by an infrastructure for providing application services, such as service mesh. Both of these components are usually hosted on a container orchestration and resource management platform. In this architecture, the entire set of source code involved in the application environment can be divided into five code types: 1) application code (which embodies the application logic), 2) application services code (for services such as session establishment, network connection, etc.), 3) infrastructure as code (for provisioning and configuring computing, networking, and storage resources), 4) policy as code (for defining runtime policies such as zero trust expressed as a declarative code), 5) and observability as code (for the continuous monitoring of an application runtime state). Due to security, business competitiveness, and the inherent structure of loosely coupled application components, this class of applications needs a different development, deployment, and runtime paradigm. DevSecOps (consisting of acronyms for Development, Security, and Operations, respectively) has been found to be a facilitating paradigm for these applications with primitives such as continuous integration, continuous delivery, and continuous deployment (CI/CD) pipelines. These pipelines are workflows for taking the developer’s source code through various stages, such as building, testing, packaging, deployment, and operations supported by automated tools with feedback mechanisms. The objective of this document is to provide guidance for the implementation of DevSecOps primitives for cloud-native applications with the architecture and code types described above. The benefits of this approach for high security assurance and for enabling continuous authority to operate (C-ATO) are also discussed. クラウドネイティブアプリケーションは、マイクロサービスと呼ばれる複数の疎結合コンポーネント(一般的にはコンテナとして実装されることが多い)からなる標準的なアーキテクチャに進化し、サービスメッシュのようなアプリケーションサービスを提供するためのインフラによってサポートされるようになりました。これらのコンポーネントはいずれも、通常、コンテナオーケストレーションおよびリソース管理プラットフォーム上でホストされています。このアーキテクチャでは、アプリケーション環境に関わるソースコード一式は、5つのコードタイプに分けることができる。1)アプリケーションコード(アプリケーションロジックを具現化)、2)アプリケーションサービスコード(セッションの確立、ネットワーク接続などのサービス)、3)コードとしてのインフラストラクチャ(コンピューティング、ネットワーク、ストレージリソースのプロビジョニングと設定)、4)コードとしてのポリシー(宣言型コードとして表現されたゼロトラストなどのランタイムポリシーの定義)、5)コードとしての観測性(アプリケーションランタイム状態の連続監視用)です。セキュリティ、ビジネス競争力、疎結合のアプリケーションコンポーネントの固有の構造のために、このクラスのアプリケーションは、異なる開発、展開、ランタイムパラダイムを必要としています。DevSecOps(開発、セキュリティ、運用の頭文字をとったもの)は、継続的インテグレーション、継続的デリバリー、継続的デプロイメント(CI/CD)パイプラインなどのプリミティブで、これらのアプリケーションを容易にするパラダイムであることが分かっています。これらのパイプラインは、開発者のソースコードを、ビルド、テスト、パッケージング、デプロイ、運用などの様々な段階を経て、フィードバック機構を備えた自動化ツールでサポートするワークフローである。このドキュメントの目的は、上記のアーキテクチャとコードタイプを持つクラウドネイティブアプリケーションのためのDevSecOpsプリミティブの実装のためのガイダンスを提供することです。また、高いセキュリティ保証と継続的な操作権限(C-ATO)を可能にするためのこのアプローチの利点についても説明します。

 

・[PDF] SP 800-204C

20220311-180148

 

 

関連文書

SP 800-204 Security Strategies for Microservices-based Application Systems

SP 800-204A Secuilding Secure Microservices-based Applications Using Service-Mesh Architecture 

SP 800-204B Attribute-based Access Control for Microservices-based Applications using a Service Mesh

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.01 NIST SP 800-204C (ドラフト) サービス・メッシュを用いたマイクロサービス・ベースのアプリケーションに対するDevSecOpsの実施

・2021.08.07 NIST SP 800-204B サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2021.01.29 NIST SP 800-204B (Draft) サービスメッシュを用いたマイクロサービスベースのアプリケーションのための属性ベースアクセス制御

・2020.03.01 NISTに基づくSupply Chain Risk Managementについてのちょっとしたまとめ

| | Comments (0)

2022.03.11

米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則案

こんにちは、丸山満彦です。

日本でもサイバーセキュリティの開示についての議論が高まっています(すみません、私の周りだけかもしれません。。。)が、米国のSECが、公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則を提案していますね。。

インシデントが発生してから4日以内にForm 8-Kによる開示が必要ということのようですね。。。

また、定期的な報告においても定性情報として、新たにItem 106を設けて開示ということのようですね。。。

 

U.S. Securities Exchange Commission: SEC

・2022.03.09 (press) SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies

Comments Received

 

SEC Proposes Rules on Cybersecurity Risk Management, Strategy, Governance, and Incident Disclosure by Public Companies SEC、公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則を提案
he Securities and Exchange Commission today proposed amendments to its rules to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and incident reporting by public companies. 証券取引委員会は本日、公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント報告に関する情報開示を強化・標準化するための規則改正を提案しました。
"Over the years, our disclosure regime has evolved to reflect evolving risks and investor needs," said SEC Chair Gary Gensler. "Today, cybersecurity is an emerging risk with which public issuers increasingly must contend. Investors want to know more about how issuers are managing those growing risks. A lot of issuers already provide cybersecurity disclosure to investors. I think companies and investors alike would benefit if this information were required in a consistent, comparable, and decision-useful manner. I am pleased to support this proposal because, if adopted, it would strengthen investors’ ability to evaluate public companies' cybersecurity practices and incident reporting." SECのゲーリー・ゲンスラー委員長は、以下のように述べています。「長年にわたり、我々の開示体制は、進化するリスクと投資家のニーズを反映して発展してきました。今日、サイバーセキュリティは、上場企業がますます取り組まなければならない新たなリスクとなっています。投資家は、発行者がそうした増大するリスクにどのように対処しているか、より詳しく知りたがっています。多くの発行者は、すでに投資家に対してサイバーセキュリティに関する情報開示を行っています。この情報が、一貫性があり、比較可能で、意思決定に有用な方法で要求されれば、企業も投資家も同様に利益を得ることができると思います。この提案が採用されれば、投資家が上場企業のサイバーセキュリティの実践とインシデント報告を評価する能力を強化することになるので、私は喜んでこの提案を支持します。」
The proposed amendments would require, among other things, current reporting about material cybersecurity incidents and periodic reporting to provide updates about previously reported cybersecurity incidents. The proposal also would require periodic reporting about a registrant’s policies and procedures to identify and manage cybersecurity risks; the registrant’s board of directors' oversight of cybersecurity risk; and management’s role and expertise in assessing and managing cybersecurity risk and implementing cybersecurity policies and procedures. The proposal further would require annual reporting or certain proxy disclosure about the board of directors’ cybersecurity expertise, if any. この改正案では、特に、重要なサイバーセキュリティインシデントに関する最新の報告と、過去に報告されたサイバーセキュリティインシデントに関する最新情報を提供するための定期的な報告を要求しています。また、サイバーセキュリティリスクを特定し管理するための登録者の方針と手続き、登録者の取締役会によるサイバーセキュリティリスクの監督、サイバーセキュリティリスクの評価と管理およびサイバーセキュリティ方針と手続きの実施における経営者の役割と専門知識についての定期的な報告も要求されます。さらにこの提案は、取締役会のサイバーセキュリティに関する専門知識がある場合には、それに関する年次報告または一定の委任状による開示を要求するものです。
The proposed amendments are intended to better inform investors about a registrant's risk management, strategy, and governance and to provide timely notification to investors of material cybersecurity incidents. この改正案は、登録企業のリスク管理、戦略、ガバナンスについて投資家によりよく情報を提供し、サイバーセキュリティに関する重要な事故について投資家に適時に通知することを意図しています。
The proposing release will be published on SEC.gov and in the Federal Register. The comment period will remain open for 60 days following publication of the proposing release on the SEC's website or 30 days following publication of the proposing release in the Federal Register, whichever period is longer. 提案リリースは、SEC.govおよび連邦官報に掲載されます。意見募集期間は、SECのウェブサイトでの提案リリースの公開から60日間、または連邦官報での提案リリースの公開から30日間のいずれか長い方の期間となります。

 

・[PDF] Fact Sheet

20220311-103458 

The Securities and Exchange Commission proposed rules and amendments to enhance and standardize disclosures regarding cybersecurity risk management, strategy, governance, and incident reporting by public companies (“registrants”) that are subject to the reporting requirements of the Securities Exchange Act of 1934.   米国証券取引委員会は、1934年証券取引法の報告義務の対象となる公開企業(以下、登録企業)によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデント報告に関する開示を強化・標準化する規則と改正案を提案した。 
Specifically, the proposal would:   具体的には、本提案は以下の通りである。 
● Require current reporting about material cybersecurity incidents on Form 8-K;   ● サイバーセキュリティに関する重要なインシデントについて、Form 8-Kで最新の報告を行うことを義務付ける。 
● Require periodic disclosures regarding, among other things:  ● 特に以下の事項に関する定期的な情報開示を要求する。
o A registrant’s policies and procedures to identify and manage cybersecurity risks;  o サイバーセキュリティのリスクを特定し、管理するための登録者の方針と手続き。
o Management’s role in implementing cybersecurity policies and procedures;  o サイバーセキュリティの方針および手続きの実施における経営陣の役割。
o Board of directors’ cybersecurity expertise, if any, and its oversight of cybersecurity risk; and   o 取締役会のサイバーセキュリティに関する専門知識(もしあれば)およびサイバーセキュリティリスクの監督;および  
o Updates about previously reported material cybersecurity incidents; and  o 以前に報告された重要なサイバーセキュリティインシデントに関する最新情報、および 
● Require the cybersecurity disclosures to be presented in Inline eXtensible Business Reporting Language (Inline XBRL).  サイバーセキュリティの開示は、Inline eXtensible Business Reporting Language (Inline XBRL)で表示することを要求する。
Background and Current Requirement  背景と提案する要求事項 
In 2011, the Division of Corporation Finance issued interpretive guidance providing the Division’s views concerning registrants’ existing disclosure obligations relating to cybersecurity risks and incidents. In 2018, the Commission issued interpretive guidance to reinforce and expand upon the 2011 staff guidance. The Commission addressed the importance of cybersecurity policies and procedures and the application of insider trading prohibitions in the context of cybersecurity. Although registrants’ disclosures of both material cybersecurity incidents and cybersecurity risk management and governance have improved since then, disclosure practices are inconsistent.    2011年、企業財務局は、サイバーセキュリティのリスクとインシデントに関する登録者の既存の開示義務に関する局の見解を示す解釈指針を発表した。2018年、委員会は、2011年のスタッフガイダンスを強化・拡大する解釈ガイダンスを発行した。委員会は、サイバーセキュリティの方針と手続きの重要性、およびサイバーセキュリティの文脈におけるインサイダー取引禁止の適用について言及した。登録者によるサイバーセキュリティの重要な事故とサイバーセキュリティのリスク管理およびガバナンスの両方に関する開示は、それ以降改善されているものの、開示実務には一貫性がない。  
The proposed amendments are designed to better inform investors about a registrant’s risk management, strategy, and governance and to provide timely notification of material cybersecurity incidents. Consistent, comparable, and decision-useful disclosures would allow investors to evaluate registrants’ exposure to cybersecurity risks and incidents as well as their ability to manage and mitigate those risks and incidents.  今回の改正案は、登録者のリスク管理、戦略、ガバナンスについて投資家によりよく情報を提供し、重要なサイバーセキュリティインシデントの通知を適時に行うことを目的としている。一貫性があり、比較可能で、意思決定に有用な開示により、投資家はサイバーセキュリティリスクとインシデントへのエクスポージャー、およびそれらのリスクとインシデントを管理・軽減する能力を評価することができるようになる。
Incident Disclosure Proposed Amendments   インシデント開示の修正案  
The SEC proposed to:   SECは以下を提案した。 
● Amend Form 8-K to require registrants to disclose information about a material cybersecurity incident within four business days after the registrant determines that it has experienced a material cybersecurity incident;  ● フォーム8-Kを修正し、登録者が重要なサイバーセキュリティインシデントを経験したと判断した後、4営業日以内にサイバーセキュリティインシデントに関する情報を開示するよう要求する。
● Add new Item 106(d) of Regulation S-K and Item 16J(d) of Form 20-F to require registrants to provide updated disclosure relating to previously disclosed cybersecurity incidents and to require disclosure, to the extent known to management, when a series of previously undisclosed individually immaterial cybersecurity incidents has become material in the aggregate; and  ● Regulation S-K のItem 106(d) およびフォーム 20-F の項目 16J(d) を新たに追加し、以前に開示したサイバーセキュリティインシデントに関する最新の情報を提供するよう登録者に要求するとともに、以前に未開示だった個別のサイバーセキュリティインシデントが集合的に重要となった場合に、経営陣に分かる範囲で開示を要求する。
● Amend Form 6-K to add “cybersecurity incidents” as a reporting topic.  ● フォーム 6-K を改訂し、報告トピックとして「サイバーセキュリティインシデント」を追加する。
Risk Management, Strategy, and Governance Disclosure   リスクマネジメント、戦略、ガバナンスの開示  
In addition to incident reporting, the SEC proposed to require enhanced and standardized disclosure on registrants’ cybersecurity risk management, strategy, and governance. Specifically, the proposal would:  SECは、インシデント報告に加えて、登録者のサイバーセキュリティリスク管理、戦略、ガバナンスに関する開示の強化および標準化を要求することを提案した。具体的な提案は以下の通りである。
● Add Item 106 to Regulation S-K and Item 16J of Form 20-F to require a registrant to:   ● レギュレーション S-K の項目 106 とフォーム 20-F の項目 16J を追加し、登録者に以下を要求する。 
○ Describe its policies and procedures, if any, for the identification and management of risks from cybersecurity threats, including whether the registrant considers cybersecurity as part of its business strategy, financial planning, and capital allocation; and   ○ 登録者が事業戦略、財務計画、資本配分の一環としてサイバーセキュリティを考慮するかどうかを含め、サイバーセキュリティの脅威によるリスクを特定し管理するための方針と手順がある場合は、それを説明すること。 
○ Require disclosure about the board’s oversight of cybersecurity risk and management’s role and expertise in assessing and managing cybersecurity risk and implementing the registrant’s cybersecurity policies, procedures, and strategies.   ○ サイバーセキュリティリスクの評価と管理、および登録者のサイバーセキュリティ方針、手順、戦略の実施における、取締役会の監視と経営陣の役割および専門知識についての開示を義務付ける。 
● Amend Item 407 of Regulation S-K and Form 20-F to require disclosure regarding board member cybersecurity expertise. Proposed Item 407(j) would require disclosure in annual reports and certain proxy filings if any member of the registrant’s board of directors has expertise in cybersecurity, including the name(s) of any such director(s) and any detail necessary to fully describe the nature of the expertise.  ● レギュレーション S-K およびフォーム 20-F のItem 407 を改正し、取締役会のメンバーのサイバーセキュリティに関する専門知識に関する開示を義務付ける。提案された項目 407(j) は、登録者の取締役会のメンバーがサイバーセキュリティの専門知識を有している場合、そのような取締役の名前と専門知識の性質を完全に説明するために必要な詳細を含む年次報告書と特定の委任状提出における開示を要求するものである。
Additional Information:  追加情報 
The public comment period will remain open for 60 days following publication of the proposing release on the SEC’s website or 30 days following publication of the proposing release in the Federal Register, whichever period is longer パブリックコメント期間は、SECのウェブサイトでの提案リリースの公表後60日間、または連邦官報での提案リリースの公表後30日間のいずれか長い方の期間となる。

 

 

 

 

・[PDF] Proposed Rule

20220311-103451

・[DOCX] 仮訳

 

 

 

 

目次

I. BACKGROUND I. 背景
A. Existing Regulatory Framework and Interpretive Guidance Regarding Cybersecurity Disclosure A. サイバーセキュリティの開示に関する既存の規制の枠組みと解釈のガイダンス
B. Current Disclosure Practices B. 現在の情報開示の実務
II. PROPOSED AMENDMENTS II. 修正案
A. Overview A. 概要
B. Reporting of Cybersecurity Incidents on Form 8-K B. サイバーセキュリティインシデントのForm 8-Kでの報告
1. Overview of Proposed Item 1.05 of Form 8-K 1. Form 8-Kの提案項目1.05の概要
2. Examples of Cybersecurity Incidents that May Require Disclosure Pursuant to Proposed Item 1.05 of Form 8-K 2. Form 8-Kの提案項目1.05に従った開示が必要となるサイバーセキュリティインシデントの例
3. Ongoing Investigations Regarding Cybersecurity Incidents 3. サイバーセキュリティインシデントに関する継続的な調査
4. Proposed Amendment to Form 6-K 4. Form 6-Kの修正案
5. Proposed Amendments to the Eligibility Provisions of Form S-3 and Form SF-3 and Safe Harbor Provision in Exchange Act Rules 13a-11 and 15d-11 5. Form S-3、Form SF-3の適格性規定及び取引所法規則13a-11、15d-11のセーフハーバー規定に関する修正案
C. Disclosure about Cybersecurity Incidents in Periodic Reports C. 定期報告書におけるサイバーセキュリティインシデントの開示について
1. Updates to Previously Filed Form 8-K Disclosure 1. 過去に提出されたForm 8-Kによる開示の更新
2. Disclosure of Cybersecurity Incidents that Have Become Material in the Aggregate 2. 累計で重要となったサイバーセキュリティインシデントの開示
D. Disclosure of a Registrant’s Risk Management, Strategy and Governance Regarding Cybersecurity Risks D. サイバーセキュリティリスクに関する登録者のリスク管理、戦略及びガバナンスの開示
1. Risk Management and Strategy 1. リスクマネジメントと戦略
2. Governance 2. ガバナンス
3. Definitions 3. 定義
E. Disclosure Regarding the Board of Directors’ Cybersecurity Expertise E. 取締役会のサイバーセキュリティに関する専門知識についての開示
F. Periodic Disclosure by Foreign Private Issuers F. 外国民間発行体による定期的な情報開示
G. Structured Data Requirements G. 構造化データの要件
III. ECONOMIC ANALYSIS III. 経済分析
A. Introduction A. はじめに
B. Economic Baseline B. 経済ベースライン
1. Current Regulatory Framework 1. 現在の規制の枠組み
2. Affected Parties 2. 影響を受ける当事者
C. Potential Benefits and Costs of the Proposed Amendments C. 修正案がもたらす潜在的な利益とコスト
1. Benefits 1. メリット
a. Benefits to investors a. 投資家にとってのメリット
(i) More Informative and More Timely Disclosure (i) より多くの情報のよりタイムリーな開示
(ii) Greater Uniformity and Comparability (ii) 統一性・比較可能性の向上
b. Benefits to registrants b. 登録者のメリット
2. Costs 2. コスト
3. Indirect Economic Effects 3. 間接的な経済効果
D. Anticipated Effects on Efficiency, Competition, and Capital Formation D. 効率性、競争、資本形成に対する予想される効果
E. Reasonable Alternatives E. 合理的な代替案
1. Website Disclosure 1. ウェブサイトによる開示
2. Disclosure through Form 10-Q and Form 10-K 2. Form 10-QおよびForm 10-Kによる開示
3. Exempt Smaller Reporting Companies 3. 免除される小規模な報告会社
4. Modify Scope of Inline XBRL Requirement 4. インライン XBRL 要求範囲の変更
IV. PAPERWORK REDUCTION ACT IV. ペーパーワーク削減法
A. Summary of the Collection of Information A. 情報収集の概要
B. Summary of the Estimated Burdens of the Proposed Amendments on the Collections of Information B. 修正案による情報収集の負担の試算の概要
C. Incremental and Aggregate Burden and Cost Estimates C. 負担とコストの増分と総額の見積もり
V. SMALL BUSINESS REGULATORY ENFORCEMENT FAIRNESS ACT V. 小規模事業者規制実施公正化法
VI. INITIAL REGULATORY FLEXIBILITY ACT ANALYSIS VI. 規制柔軟性法の初期分析
A. Reasons for, and Objectives of, the Proposed Action A. 提案された措置の理由と目的
B. Legal Basis B. 法的根拠
C. Small Entities Subject to the Proposed Rules C. 本規則案の対象となる小規模事業者
D. Projected Reporting, Recordkeeping and Other Compliance Requirements D. 報告、記録管理およびその他のコンプライアンス要件の予測
E. Duplicative, Overlapping, or Conflicting Federal Rules E. 重複する、重なる、または抵触する連邦規則
F. Significant Alternatives F. 重要な代替案
STATUTORY AUTHORITY AND TEXT OF PROPOSED RULE AND FORM AMENDMENTS 法的根拠および規則・書式修正案本文

 

 

規制等のリンク

● SEC

Rules, Regulations and Schedules

Regulation S-K [17 CFR Part 229]

 

| | Comments (0)

中国 意見募集 国家サイバースペース管理局 インターネットポップアップ情報プッシュ型サービス管理弁法案

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局がインターネットポップアップ情報プッシュ型サービス管理弁法案についての意見募集をしていますね。。。

国家互联网信息办公室(国家サイバースペース管理局)

2022.03.02 国家互联网信息办公室关于《互联网弹窗信息推送服务管理规定(征求意见稿)》 室「インターネットポップアップ情報プッシュ型サービス管理弁法(意見募集案)」について

 

 

国家互联网信息办公室关于《互联网弹窗信息推送服务管理规定(征求意见稿)》 国家インターネット情報弁公室「インターネットポップアップ情報プッシュ型サービス管理弁法(意見募集案)」について
为了进一步规范互联网弹窗信息推送服务管理,保障公民、法人和其他组织的合法权益,弘扬社会主义核心价值观,营造清朗网络空间,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》《中华人民共和国广告法》《互联网信息服务管理办法》《网络信息内容生态治理规定》等法律法规,我办起草了《互联网弹窗信息推送服务管理规定(征求意见稿)》,现向社会公开征求意见。 インターネットポップアップ情報プッシュ型サービスの管理をさらに規制し、市民、法人、その他の組織の合法的権益を保護し、社会主義核心価値を促進し、明瞭なサイバースペースを作るため、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国未成年者保護法」、「中華人民共和国広告法」、「インターネット情報サービス管理弁法」および「ネットワーク情報コンテンツエコシステムガバナンス規定」などの法律・法規に従い、「インターネットポップアップ情報プッシュ型サービス管理規定(案)」を作成し、パブリックコメントを受け付ける。

 

法令案

互联网弹窗信息推送服务管理规定 インターネット上のポップアップ情報プッシュ型サービスの管理に関する規則
(征求意见稿) (意見募集案)
第一条 为了规范互联网弹窗信息推送服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进行业健康有序发展,根据《中华人民共和国网络安全法》《中华人民共和国未成年人保护法》《中华人民共和国广告法》《互联网信息服务管理办法》《互联网新闻信息服务管理规定》《网络信息内容生态治理规定》等法律法规,制定本规定。 第1条 本規定は、インターネットポップアップ情報プッシュ型サービスを規制し、国家の安全および公共の利益を保護し、国民、法人およびその他の組織の合法的権益を保護し、業界の健全かつ秩序ある発展を促進するため、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国未成年者保護法」、「中華人民共和国広告法」、「インターネット情報サービス管理弁法」および「インターネットニュース情報サービス管理規定」および「ネットワーク情報コンテンツエコシステムガバナンス規定」などの法規に基づいて策定したものである。
第二条 在中华人民共和国境内提供操作系统、终端设备、应用软件、网站等服务的,开展互联网弹窗信息推送服务时应当遵守本规定。 第2条 中華人民共和国の領域でオペレーティングシステム、端末装置、アプリケーションソフトウェア、ウェブサイトおよびその他のサービスを提供する者は、インターネットのポップアップ情報を押し出すサービスを実施する場合、本規定を遵守するものとする。
本规定所称互联网弹窗信息推送服务,是指通过操作系统、终端设备、应用软件、网站等,以弹出消息窗口页面形式向互联网用户提供的信息推送服务。 本規定でいうインターネット・ポップアップ情報プッシュサービスとは、オペレーティングシステム、端末機器、アプリケーションソフトウェア、ウェブサイトなどを通じて、インターネット利用者にポップアップメッセージウィンドウのページ形式で提供される情報プッシュサービスをいいます。
本规定所称互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的操作系统、终端设备、应用软件、网站等所有者或者运营者。 本規定でいうインターネットポップアップ情報配信サービスの提供者とは、インターネットポップアップ情報配信サービスを提供するオペレーティングシステム、端末機器、アプリケーションソフトウェア、ウェブサイト等の所有者または運営者を指します。
第三条 互联网弹窗信息推送服务应当遵守法律法规,坚持正确政治方向、舆论导向和价值取向,弘扬社会主义核心价值观,推送向上向善的优质弹窗信息内容,发展积极健康的网络文化。 第3条 インターネットのポップアップ情報プッシュ型サービスは、法令を遵守し、正しい政治方向、世論方向、価値方向を堅持し、社会主義核心価値観を推進し、高揚と博愛に満ちた良質なポップアップ情報コンテンツを押し出し、前向きで健全なネットワーク文化を発展させるものとする。
第四条 互联网弹窗信息推送服务提供者应当落实信息内容安全管理主体责任,建立健全信息内容审核、生态治理、网络安全、数据安全、个人信息保护、未成年人保护等管理制度。 第4条 インターネットポップアップ情報プッシュ型サービス提供者は、情報コンテンツ安全管理の主管を実施し、情報コンテンツ監査、生態ガバナンス、ネットワークセキュリティ、データセキュリティ、個人情報保護、未成年者保護などの管理システムを構築し、改善するものとする。
第五条 互联网弹窗信息推送服务应当严格遵守下列要求: 第5条 インターネットのポップアップ情報プッシュサービスは、以下の要件を厳格に遵守するものとする。
(一)传播正能量,弘扬社会主义先进文化;积极推送向上向善的内容,用社会主流思想价值和道德文化滋养人心、滋润社会。 (1)積極的なエネルギーを広め、先進的な社会主義文化を推進する。積極的に上向きの内容を押し出し、社会の主流の思想価値と道徳文化で人々の心と社会を養う。
(二)不得推送《网络信息内容生态治理规定》明确的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容;不得关联某一话题集中推送相关旧闻,恶意翻炒。 (2) 「インターネット情報コンテンツのエコシステムガバナンスに関する規則」に規定された違法かつ望ましくない情報、特に芸能ゴシップ、ゴシップとプライバシー、贅沢と仰天に関する悪質な憶測、公序良俗に反するスキャンダラスな内容の審査を押し付けないこと、特定の話題に関連した古いニュースや悪質な焼き直しに焦点を当てた押し付けを行なわないこと。
(三)未取得互联网新闻信息服务许可,不得弹窗推送新闻信息;弹窗推送信息涉及其他互联网信息服务,依法须经有关主管部门审核同意或者取得相关许可的,应当经有关主管部门审核同意或者取得相关许可。 (3)インターネットニュース情報サービスのライセンスを取得せずに、ニュース情報をポップアップウィンドウでプッシュしてはならない。その他のインターネット情報サービスに関わるポップアップウィンドウのプッシュ情報は、法律に基づいて関連主管部門の審査・承認を受けるか、関連ライセンスを取得しなければならない。
(四)弹窗推送新闻信息,应当严格依据国家互联网信息办公室发布的最新版《互联网新闻信息稿源单位名单》执行,不得超范围转载,不得歪曲、篡改标题原意和内容,保证新闻来源可追溯和新闻信息真实、客观、全面。 (4) ポップアッププッシュニュースの情報は、国家インターネット情報弁公室が発行した最新版の「インターネットニュース情報源リスト」に厳格に基づき、範囲を超えて複製してはならず、見出しの本来の意味と内容を歪曲・改竄してはならず、ニュースソースの追跡が可能で、ニュース情報が真実、客観、包括的であることを保証しなければならない。
(五)提升弹窗推送信息多样性,科学设定新闻信息和垂直领域内容占比,体现积极健康向上的主流价值观;不得扎堆推送、炒作社会热点敏感事件,渲染恶性案件、灾难事故等,引发社会恐慌。 (5) ポップアップで押し出される情報の多様性を高め、ニュース情報と垂直方向のコンテンツの割合を科学的に設定し、前向きで健康的な明るい主流の価値を反映させる。社会のホットスポットや敏感な出来事を重ねて押し出し、悪質な事件や大惨事をレンダリングするなど、社会のパニックを引き起こさないようにすること。
(六)配备与服务规模相适应的人工力量,健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,确保弹窗信息推送必须经过人工审核。 (6) サービス規模に見合った人力を備え、ポップアップ情報によってプッシュされるコンテンツの管理規範を改善し、情報の選別、編集、プッシュのワークフローを完成させ、ポップアップ情報のプッシュは必ず人力で監査されるようにすること。
(七)保障用户权益,以服务协议等方式明确告知用户弹窗信息推送服务的具体方式、内容频次、取消渠道等;充分考虑用户体验,科学规划推送频次,不得恶意对普通用户和会员用户进行差别频次推送;不得以任何形式干扰或者影响用户关闭弹窗;确保每条弹窗信息明确显示弹窗信息推送服务提供者身份。 (7) 利用者の権益を保護し、サービス契約などにより、ポップアップ情報プッシュサービスの具体的な方法、内容の頻度、解除経路を明確に告知すること、利用者の経験を十分に考慮し、科学的にプッシュ頻度を計画し、一般利用者と会員利用者に悪意を持って異なる頻度でプッシュしないこと、いかなる形でも利用者のポップアップを妨害したり影響を及ぼしたりしないこと、ポップアップメッセージごとにポップアップ情報プッシュサービス提供者を明確に表示させるようにすること。
(八)不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得滥用个性化弹窗服务,利用算法屏蔽信息、过度推荐等;不得滥用算法,针对未成年用户进行画像,向未成年用户推送可能影响其身心健康的信息。 (8) ユーザーに過度の耽溺や消費を誘発するような、法令違反や倫理・道徳に反するアルゴリズムモデルを設定しないこと、アルゴリズムを利用して情報を遮断したり過度の推奨を行うなど、パーソナライズド・ポップアップ・サービスを悪用しないこと、アルゴリズムを悪用して未成年ユーザーをプロファイリングし、未成年ユーザーの心身の健康に影響を与える情報をプッシュしないことなど。
(九)弹窗推送广告信息,必须进行内容合规审查,不得违反国家相关法律法规;应当具有可识别性,显著标明“广告”,明示用户;确保弹窗广告一键关闭。 (9) 広告情報を押し出すポップアップは、コンテンツのコンプライアンスを審査し、関連する国内法令に違反してはならない。また、「広告」であることを認識し、目立つように表示し、利用者に明示しなければならない。ポップアップはシングルクリックで閉じられるようにしなければならない。
(十)不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息;不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。 (10) ポップアップによる情報提供は、第三者の悪質なリンクやQRコードなどジャンプにつながる情報を表示したり、ポップアップによる情報提供サービスでクリックを誘導したり、トラフィックの改ざんやハイジャックを行ったりしてはならないものとする。
第六条 互联网弹窗信息推送服务提供者应当自觉接受社会监督,设置便捷投诉举报入口,及时处理关于弹窗信息推送服务的公众投诉举报。 第6条 インターネットポップアップサービス提供者は、社会的監視を意識的に受け入れ、便利な苦情申告窓口を設置し、ポップアップ情報プッシュサービスに対する公衆の苦情や申告を速やかに処理しなければならない。
第七条 鼓励和指导互联网行业组织建立健全互联网弹窗信息推送服务行业准则,督促互联网弹窗信息推送服务提供者依法依规提供服务,接受社会监督。 第7条 インターネット業界団体がインターネットポップアップ情報発信サービスに関する業界ガイドラインを制定・改善するよう奨励・指導し、インターネットポップアップ情報発信サービス提供者が法律に従ってサービスを提供し、社会的な監督を受けるよう監督する。
第八条 网信部门会同电信主管部门、市场监管部门等有关部门建立健全协作监管等工作机制,监督指导互联网弹窗信息推送服务提供者依法依规提供服务。 第8条 インターネット情報部門は、主管電信部門、市場監督部門などの関係部門と連携して、共同監督などの作業メカニズムを構築・改善し、インターネットポップアップ情報プッシュ型サービス提供者が法律法規に従ってサービスを提供できるよう監督・指導する。
第九条 互联网弹窗信息推送服务提供者违反本规定的,由网信、电信主管、市场监管等有关部门在职责范围内依照相关法律法规采取警告、罚款、暂停弹窗功能、停止服务等措施。 第9条 インターネットポップアップ情報プッシュサービス提供者が本規定に違反した場合、インターネット情報、電気通信当局、市場監督などの関連部門は、関連法令に基づき、その職務範囲内で警告、罰金、ポップアップ機能の停止、サービスの停止などの措置を講じる。
第十条 本规定自2022年 月 日起施行。 第10条 この規定は、2022年 月 日以降に施行する。

 

1_20210612030101

| | Comments (0)

インド データセキュリティ評議会 (DSCI) サイバーレジリエンスなビジネス環境

こんにちは、丸山満彦です。

インドのデーエタセキュリティ評議会 (Data Security Council of India: DSCI) [wikipedia] がDell Technologiesと一緒にサイバーレジリエンスなビジネス環境という報告書を公表していますね。。。

サイバーレジリエンスは、これから絶対に重要となる概念だと思っています。。。例えば、サイバー攻撃によりダメージをうけても迅速に回復する能力ということです。。。

サイバー攻撃が事業継続に影響を及ぼすのは昨今のランサムウェアの事例等をみても明らかです(巨大地震ほどの影響の大きさではないですが、怒る可能性は巨大地震よりも高いように思います...)。

フィジカル空間とサイバー空間が高度に融合しているのSociety 5.0時代では当然のことというのは、みなさまも反対はないと思います。(業務により程度差はあるでしょうけど...)

ということで、読んでみようかと思いました。。。

Data Security Council of India: DSCI

・2022.03.09 Cyber Resilient Business Environment

Cyber Resilient Business Environment サイバーレジリエントなビジネス環境
The growing sophistication, frequency, and severity of cyber-attacks targeting organizations highlights the inevitability and impossibility of completely protecting the integrity of critical computing systems. Additionally, the COVID induced changing nature of businesses and digital transformation have added to the complexity of threats. 組織を標的としたサイバー攻撃の高度化、頻発、深刻化は、重要なコンピューティングシステムの整合性を完全に保護することの不可避性、不可能性を浮き彫りにしています。さらに、COVIDによるビジネスの性質の変化とデジタルトランスフォーメーションが脅威の複雑性を高めています。
Cyber security and business continuity are now board level discussions and considered as the biggest business risk. In this context, cyber-resilience offers an alternative to the existing cyber security paradigm. Resilience remains a strategic imperative, growing in importance as businesses see challenges from uncertain events, and highly targeted cyber-attacks. サイバーセキュリティと事業継続は、今や取締役会レベルの議論となり、最大のビジネスリスクとして考えられています。このような背景から、サイバーレジリエンスは、既存のサイバーセキュリティのパラダイムに代わる選択肢を提供します。不確実な事象や高度な標的型サイバー攻撃による課題を企業が認識する中、レジリエンスは依然として戦略的必須事項であり、その重要性はますます高まっています。
This joint Point-of-View (POV) paper developed by DSCI & Dell Technologies attempts to provide insights on examining gaps in existing security programs and cyber resilience plans, which shall sustain in years to come. DSCI と Dell Technologies が共同開発した本書は、既存のセキュリティプログラムとサイバーレジリエンス計画のギャップを検証し、今後数年間に渡って持続するための洞察を提供しようとするものである。

 

この文書では、「既存のセキュリティプログラムとサイバーレジリエンス計画のギャップを検証」ということですが、個人的は既存のレジリエンス計画(あるいは事業継続計画)がサイバーレジリエンスなのか?というギャップも検証するとよいようにも思います。。。

 

・[PDF

20220311-02255

目次。。。

Introduction はじめに
The Current Situation  現在の状況 
Gap Analysis of Existing Security Programs &  Cyber Resilience Plan 既存のセキュリティプログラムのギャップ分析およびサイバーレジリエンス計画
Future Cyber Resilience in the context of uncertainty and growing sophisticated cyber-attacks 不確実性と巧妙化するサイバー攻撃の中で、今後のサイバーレジリエンスを考える
Key Characteristics of ideal data recovery 理想的なデータ復旧の主な特徴
Recommendations and Best Practices 提言とベストプラクティス

 

イントロダクション(はじめに)

Introduction はじめに
• The growing sophistication, frequency, and severity of cyber-attacks targeting organizations highlights the inevitability and the impossibility of completely protecting the integrity of critical computing systems. ・組織を標的としたサイバー攻撃の巧妙化,頻発,深刻化は,重要なコンピューティングシステムの整合性を完全に保護することの不可避性と不可能性を浮き彫りにしています。
• The changing nature of businesses and digital transformation have introduced the additional complexity of threats. ・ビジネスの性質の変化とデジタルトランスフォーメーションにより,脅威はさらに複雑さを増しています。
• The difficult time of COVID-19, and other similar uncertain events have introduced an entirely new working culture. Traditional IT infrastructure, network architecture, data/ application access and cyber security operations have become outdated. ・COVID-19の困難な時期や、その他同様の不確実な出来事は、全く新しい労働文化を導入しました。従来のITインフラ、ネットワークアーキテクチャ、データ/アプリケーションアクセス、サイバーセキュリティの運用は時代遅れになっている。
• The big data breaches and cyber-attacks on IT and software supply chain across globe are good learnings for other organizations. Cyber security and business continuity are now board level discussions and considered as the biggest business risk. ・世界中のITやソフトウェアのサプライチェーンにおけるビッグデータの漏洩やサイバー攻撃は,他の組織にとっても良い学習となる。サイバーセキュリティと事業継続は,今や取締役会レベルの議論となり,最大のビジネスリスクとみなされています。
• Security program in several organizations lack a long-term vision and are incapable of handling unforeseen crises ・いくつかの組織では,セキュリティプログラムに長期的なビジョンが欠けており,不測の事態に対応することができない。
   
Current State  現在の状況 
・Growing sophistication and targeted cyber attacks ・巧妙化するサイバー攻撃と標的型攻撃
・Changing nature of Businesses and Digital Transformation ・ビジネスの変化とデジタルトランスフォーメーション
・Uncertain Events and Calamities ・不測の事態・災難
・Business disruption due to complex supply chain attacks ・複雑なサプライチェーンへの攻撃によるビジネスの混乱
・Flaws in Security Programs to handle unforeseen events ・不測の事態に対応するためのセキュリティプログラムの不備
   
Gap Analysis of Existing Security Programs & Cyber Resilience Plan 既存のセキュリティプログラムとサイバーレジリエンスプランのギャップ分析
01 Security function and Disaster recovery functions don’t work well together 01 セキュリティ機能と災害復旧機能の連携がうまくいっていない
02 Lack of understanding of risk to critical operations from targeted attacks 02 標的型攻撃による重要業務へのリスクに対する理解不足
03 No clear accountability and Ownership within organization for BC and DR 03 BCとDRに関する組織内の明確な説明責任とオーナシップがない
04 Little budget on Technology & Controls for BC, DR & Future Planning 04 BC、DR、将来計画のためのテクノロジーとコントロールに関する予算が少ない
05 Reactive Security Strategy and Operations  05 対応的なセキュリティ戦略・運用 
06 Systems are not designed for resilience  06 システムの設計が耐障害性に配慮されていない 
07 Security processes are poorly implemented. 07 セキュリティプロセスの導入が不十分である。
08 No strategy on fail safe approach , minimum impact and future planning 08 フェイルセーフアプローチ、最小限の影響、将来計画に関する戦略なし
   
Component of Future Cyber Resilience Model 将来のサイバーレジリエンスモデルを構成する要素
01 Prepare  01 準備 
・Knowing organization well: Critical/ High Value assets, operations, and data source  ・組織をよく知ること 重要/高価値の資産、業務、データソース 
・Develop/ procure resilient systems by design, and robust back up systems/ plans  ・レジリエントなシステムの設計、堅牢なバックアップシステム・プランの開発・調達 
・Bind Security and Disaster recovery Functions well, and Plan for future ・セキュリティとディザスターリカバリーの機能をうまく組み合わせ、将来計画を立てる。
02 Detection 02 検知
・Invest in active threat hunting and detection of unknown Patterns  ・積極的な脅威の探索と未知のパターンの検知に投資する 
・Share information and intelligence ( Strategic, tactical and technical ) feeds to speed up detection.  ・情報およびインテリジェンス(戦略的、戦術的、技術的)フィードを共有し、検出を高速化する。
・Automate and active threat monitoring process  ・自動化されたアクティブな脅威監視プロセス 
03 Response 03 対応
・Robust Incident Response Matrix – Technical & Business  ・堅牢なインシデント対応マトリクス - 技術とビジネス 
・Strategic, Tactical and Technical Cyber Response Drill  ・戦略的、戦術的、技術的なサイバー対応ドリル 
04 Recovery  04 復旧 
・Data, Assets, and Network Recovery Plan  ・データ、資産、ネットワークの復旧計画 
・Tools/Technology and Strategy to restore critical Operations despite of cyber attack  ・サイバー攻撃を受けても重要業務を復旧させるためのツール・技術・戦略 
・Self assessment and Continuous learnings  ・自己評価と継続的な学習 
   
In this context, cyber-resilience offers an alternative to the existing cyber security paradigm. However, the pandemic and other uncertain events have brought to the forefront numerous risk considerations for organization across all industries. These events have also called into question whether the existing cyber Resilience plans/ strategies are adequate. このような背景から、サイバーレジリエンスは、既存のサイバーセキュリティのパラダイムに代わる選択肢を提供するものです。しかし、パンデミックやその他の不確実な事象は、あらゆる業界の組織にとって多くのリスクを考慮する必要があることを前面に押し出している。また、これらの事象は、既存のサイバーレジリエンス計画/戦略が適切であるかどうかを疑問視している。
In a nutshell, resilience remains a strategic imperative, growing in importance as a business sees challenges from uncertain events, and highly targeted cyber-attacks. However, the need of the hour is examining gaps in existing security programs and cyber resilience plans, which shall sustain in years to come. 一言で言えば、レジリエンスは依然として戦略的な必須事項であり、企業が不確実な事象や高度に標的化されたサイバー攻撃による課題に直面するにつれて、その重要性は増している。しかし、今必要なのは、既存のセキュリティプログラムとサイバーレジリエンス計画のギャップを検証し、今後数年間に渡って持続できるようにすることなのです。

 

| | Comments (0)

2022.03.10

米国 デジタル資産の責任ある開発を確保するための大統領令

こんにちは、丸山満彦です。

デジタル・ドル??? 米国が仮想通貨について動き出す感じですね。。。国際決済の問題もあるでしょうし、マネーロンダリングの問題もあるでしょうし、、、それらの課題を抑えながら、ブロックチェーン技術等の活用を考えているのかもしれませんね。。。

● White House - Briefing Room

概要。。。

・2022.03.09 FACT SHEET: President Biden to Sign Executive Order on Ensuring Responsible Development of Digital Assets

 

FACT SHEET: President Biden to Sign Executive Order on Ensuring Responsible Development of Digital Assets ファクトシート:バイデン大統領、デジタル資産の責任ある開発を確保するための大統領令に署名へ
Outlines First Whole-of-Government Strategy to Protect Consumers, Financial Stability, National Security, and Address Climate Risks 消費者保護、金融安定化、国家安全保障、気候リスクへの対応に向けた初の政府全体戦略を概説
Digital assets, including cryptocurrencies, have seen explosive growth in recent years, surpassing a $3 trillion market cap last November and up from $14 billion just five years prior. Surveys suggest that around 16 percent of adult Americans – approximately 40 million people – have invested in, traded, or used cryptocurrencies. Over 100 countries are exploring or piloting Central Bank Digital Currencies (CBDCs), a digital form of a country’s sovereign currency. 暗号通貨を含むデジタル資産は、昨年11月に時価総額3兆ドルを突破し、そのわずか5年前には140億ドルだったものが、近年爆発的な成長を遂げています。調査によると、成人の米国人の約16%(約4000万人)が暗号通貨に投資、取引、または使用したことがあるとされています。また、100カ国以上で中央銀行デジタル通貨(CBDC)が検討または試験的に導入されており、これは一国の通貨をデジタル化したものです。
The rise in digital assets creates an opportunity to reinforce American leadership in the global financial system and at the technological frontier, but also has substantial implications for consumer protection, financial stability, national security, and climate risk. The United States must maintain technological leadership in this rapidly growing space, supporting innovation while mitigating the risks for consumers, businesses, the broader financial system, and the climate. And, it must play a leading role in international engagement and global governance of digital assets consistent with democratic values and U.S. global competitiveness. デジタル資産の台頭は、世界の金融システムと技術的フロンティアにおける米国のリーダーシップを強化する機会を生み出すだけでなく、消費者保護、金融安定性、国家安全保障、気候リスクにも大きな影響を与えます。米国は、この急速に成長する領域で技術的なリーダーシップを維持し、消費者、企業、広範な金融システム、および気候に対するリスクを軽減しながらイノベーションを支援しなければなりません。また、民主主義の価値と米国の国際競争力に見合った、デジタル資産の国際的関与とグローバル・ガバナンスにおいて、主導的な役割を果たす必要があります。
That is why today, President Biden will sign an Executive Order outlining the first ever, whole-of-government approach to addressing the risks and harnessing the potential benefits of digital assets and their underlying technology. The Order lays out a national policy for digital assets across six key priorities: consumer and investor protection; financial stability; illicit finance; U.S. leadership in the global financial system and economic competitiveness; financial inclusion; and responsible innovation. このため、バイデン大統領は本日、デジタル資産とその基盤技術のリスクに対処し、潜在的な利益を活用するための史上初の政府全体によるアプローチの概要を示す大統領令に署名する予定です。この大統領令は、消費者と投資家の保護、金融の安定、不正資金、世界の金融システムにおける米国のリーダーシップと経済競争力、金融包摂、責任あるイノベーションという6つの重要な優先事項にわたって、デジタル資産に関する国家政策を打ち出しています。
Specifically, the Executive Order calls for measures to: 具体的には、以下のような施策が求められています。
Protect U.S. Consumers, Investors, and Businesses by directing the Department of the Treasury and other agency partners to assess and develop policy recommendations to address the implications of the growing digital asset sector and changes in financial markets for consumers, investors, businesses, and equitable economic growth. The Order also encourages regulators to ensure sufficient oversight and safeguard against any systemic financial risks posed by digital assets. 米国の消費者、投資家、企業を保護するため、財務省および他の省庁に対し、デジタル資産分野の拡大と金融市場の変化が消費者、投資家、企業、公平な経済成長に及ぼす影響を評価し、政策提言を行うよう指示する。また、同令は規制当局に対し、デジタル資産がもたらすあらゆるシステミックな金融リスクに対して十分な監視と保護を確保するよう促している。
Protect U.S. and Global Financial Stability and Mitigate Systemic Risk by encouraging the Financial Stability Oversight Council to identify and mitigate economy-wide (i.e., systemic) financial risks posed by digital assets and to develop appropriate policy recommendations to address any regulatory gaps. ・金融安定化監視評議会に対し、デジタル資産がもたらす経済全体(すなわちシステミックな)金融リスクを特定・軽減し、あらゆる規制上のギャップに対処するための適切な政策提言を策定するよう奨励し、米国および世界の金融安定性を保護し、システミックリスクを軽減する。
Mitigate the Illicit Finance and National Security Risks Posed by the Illicit Use of Digital Assets by directing an unprecedented focus of coordinated action across all relevant U.S. Government agencies to mitigate these risks. It also directs agencies to work with our allies and partners to ensure international frameworks, capabilities, and partnerships are aligned and responsive to risks. デジタル資産の不正使用によってもたらされる不正金融および国家安全保障上のリスクを軽減する。このリスクを軽減するために、すべての関連する米国政府機関にわたって、これまでにない協調行動の焦点を合わせるよう指示する。また、国際的な枠組み、能力、パートナーシップの整合性とリスクへの対応力を確保するために、同盟国やパートナーと協力するよう各機関に指示している。
Promote U.S. Leadership in Technology and Economic Competitiveness to Reinforce U.S. Leadership in the Global Financial System by directing the Department of Commerce to work across the U.S. Government in establishing a framework to drive U.S. competitiveness and leadership in, and leveraging of digital asset technologies. This framework will serve as a foundation for agencies and integrate this as a priority into their policy, research and development, and operational approaches to digital assets. 世界の金融システムにおける米国のリーダーシップを強化するために、技術および経済競争力における米国のリーダーシップを促進する。これは、商務省に対し、デジタル資産技術における米国の競争力およびリーダーシップを促進し、それを活用するための枠組みを米国政府全体で構築するよう指示するものである。この枠組みは、各省庁がデジタル資産に関する政策、研究開発、運用のアプローチに優先的に組み込むための基礎となるものである。
Promote Equitable Access to Safe and Affordable Financial Services by affirming the critical need for safe, affordable, and accessible financial services as a U.S. national interest that must inform our approach to digital asset innovation, including disparate impact risk. Such safe access is especially important for communities that have long had insufficient access to financial services.  The Secretary of the Treasury, working with all relevant agencies, will produce a report on the future of money and payment systems, to include implications for economic growth, financial growth and inclusion, national security, and the extent to which technological innovation may influence that future. 安全で手頃な金融サービスへの公平なアクセスを促進する。安全で手頃な金融サービスの重要な必要性を確認し、格差影響リスクを含むデジタル資産の革新へのアプローチに反映させなければならない米国の国益とする。このような安全なアクセスは、金融サービスへのアクセスが長い間不十分であった地域社会にとって特に重要である。  財務長官は、すべての関連機関と協力して、貨幣と決済システムの将来について、経済成長、金融の成長と包摂、国家安全保障、および技術革新がその将来にどの程度影響し得るかへの影響を含む報告書を作成する。
Support Technological Advances and Ensure Responsible Development and Use of Digital Assets by directing the U.S. Government to take concrete steps to study and support technological advances in the responsible development, design, and implementation of digital asset systems while prioritizing privacy, security, combating illicit exploitation, and reducing negative climate impacts. ・デジタル資産の責任ある開発、設計、導入において、プライバシー、セキュリティ、不正利用への対処、気候への悪影響の軽減を優先しつつ、技術の進歩を研究・支援する具体的な措置をとるよう、米国政府に指示することにより、技術の進歩を支援し、デジタル資産の責任ある開発・利用を確保する。
Explore a U.S. Central Bank Digital Currency (CBDC) by placing urgency on research and development of a potential United States CBDC, should issuance be deemed in the national interest. The Order directs the U.S. Government to assess the technological infrastructure and capacity needs for a potential U.S. CBDC in a manner that protects Americans’ interests. The Order also encourages the Federal Reserve to continue its research, development, and assessment efforts for a U.S. CBDC, including development of a plan for broader U.S. Government action in support of their work. This effort prioritizes U.S. participation in multi-country experimentation, and ensures U.S. leadership internationally to promote CBDC development that is consistent with U.S. priorities and democratic values. 米国中央銀行デジタル通貨(CBDC)の可能性の研究開発を緊急に行うことにより、発行が国益に適うと判断された場合には、米国中央銀行デジタル通貨(CBDC)を検討する。この命令は、米国政府に、米国の潜在的なCBDCのための技術的インフラと能力の必要性を、米国人の利益を保護する方法で評価するよう指示している。この命令はまた、連邦準備制度理事会(FRB)に対し、米国版CBDCのための研究、開発、評価の努力を継続し、彼らの仕事を支援するための米国政府の幅広い行動のための計画の開発を含むことを奨励する。この努力は、多国間の実験への米国の参加を優先し、米国の優先事項と民主主義の価値に合致するCBDCの開発を促進するために、国際的に米国のリーダーシップを確保するものである。
The Administration will continue work across agencies and with Congress to establish policies that guard against risks and guide responsible innovation, with our allies and partners to develop aligned international capabilities that respond to national security risks, and with the private sector to study and support technological advances in digital assets. 政府は、リスクから守り責任ある革新を導く政策を確立するために、各省庁や議会と協力し、国家安全保障上のリスクに対応するために同盟国やパートナーと協力し、デジタル資産における技術的進歩を研究し支援するために民間セクターと協力し、引き続き取り組んでいきます。

 

 

 


ここで、過去の暗号資産等についての書き込みの紹介。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.12.03 米国 米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.09.26 中国 人民銀行等 仮想通貨取引における投機リスクの更なる防止・対処に関する通知

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

 


 

ここから肝心の大統領令。。。

新たな規制を書き込んでいるわけではなさそうですね。。。

 

・2022.03.09 Executive Order on Ensuring Responsible Development of Digital Assets

 

Executive Order on Ensuring Responsible Development of Digital Assets デジタル資産の責任ある開発を確保するための大統領令
By the authority vested in me as President by the Constitution and the laws of the United States of America, it is hereby ordered as follows: アメリカ合衆国憲法および法律により大統領として私に与えられた権限により、ここに次のように命ずる。
Section 1.  Policy.  Advances in digital and distributed ledger technology for financial services have led to dramatic growth in markets for digital assets, with profound implications for the protection of consumers, investors, and businesses, including data privacy and security; financial stability and systemic risk; crime; national security; the ability to exercise human rights; financial inclusion and equity; and energy demand and climate change.  In November 2021, non‑state issued digital assets reached a combined market capitalization of $3 trillion, up from approximately $14 billion in early November 2016.  Monetary authorities globally are also exploring, and in some cases introducing, central bank digital currencies (CBDCs).  第1条  方針。  金融サービスのためのデジタルおよび分散型台帳技術の進歩は、デジタル資産の市場の劇的な成長をもたらし、データのプライバシーとセキュリティ、金融の安定とシステミックリスク、犯罪、国家安全保障、人権行使能力、金融包摂と公正、エネルギー需要と気候変動など、消費者や投資家や企業の保護に大きな影響を及ぼしている。  2021年11月、非国家発行のデジタル資産の時価総額は合計3兆ドルに達し、2016年11月初旬の約140億ドルから増加した。  また、世界の通貨当局は、中央銀行デジタル通貨(CBDC)を模索し、場合によっては導入した。 
While many activities involving digital assets are within the scope of existing domestic laws and regulations, an area where the United States has been a global leader, growing development and adoption of digital assets and related innovations, as well as inconsistent controls to defend against certain key risks, necessitate an evolution and alignment of the United States Government approach to digital assets.  The United States has an interest in responsible financial innovation, expanding access to safe and affordable financial services, and reducing the cost of domestic and cross-border funds transfers and payments, including through the continued modernization of public payment systems.  We must take strong steps to reduce the risks that digital assets could pose to consumers, investors, and business protections; financial stability and financial system integrity; combating and preventing crime and illicit finance; national security; the ability to exercise human rights; financial inclusion and equity; and climate change and pollution. デジタル資産に関わる多くの活動は、米国が世界をリードしてきた分野である既存の国内法や規制の範囲内にあるが、デジタル資産や関連するイノベーションの開発・採用が進むとともに、特定の主要リスクに対する防御に一貫性がないため、デジタル資産に対する米国政府のアプローチの進化と整合性が必要になっている。  米国は、責任ある金融イノベーション、安全で手頃な金融サービスへのアクセスの拡大、国内および国境を越えた資金移動と決済のコスト削減(公的決済システムの継続的な近代化を含む)に関心を持っている。  我々は、デジタル資産が消費者、投資家、企業保護、金融安定性と金融システムの完全性、犯罪と不正金融の撲滅と防止、国家安全保障、人権行使能力、金融包摂と公正、気候変動と汚染にもたらす可能性のあるリスクを低減するための強力な措置を講じる必要がある。
Sec. 2.  Objectives.  The principal policy objectives of the United States with respect to digital assets are as follows: 第2条  目的。  デジタル資産に関する米国の主要な政策目標は、以下のとおりである。
(a)  We must protect consumers, investors, and businesses in the United States.  The unique and varied features of digital assets can pose significant financial risks to consumers, investors, and businesses if appropriate protections are not in place.  In the absence of sufficient oversight and standards, firms providing digital asset services may provide inadequate protections for sensitive financial data, custodial and other arrangements relating to customer assets and funds, or disclosures of risks associated with investment.  Cybersecurity and market failures at major digital asset exchanges and trading platforms have resulted in billions of dollars in losses.  The United States should ensure that safeguards are in place and promote the responsible development of digital assets to protect consumers, investors, and businesses; maintain privacy; and shield against arbitrary or unlawful surveillance, which can contribute to human rights abuses. (a) 我々は、米国内の消費者、投資家および企業を保護しなければならない。  デジタル資産のユニークで多様な特徴は、適切な保護が行われない場合、消費者、投資家、および企業に重大な財務リスクをもたらす可能性がある。  十分な監督と基準がない場合、デジタル資産サービスを提供する企業は、機密性の高い金融データ、顧客の資産や資金に関する保管やその他の手配、投資に関連するリスクの開示について不十分な保護を提供する可能性がある。  主要なデジタル資産取引所や取引プラットフォームにおけるサイバーセキュリティや市場の失敗により、何十億ドルもの損失が発生している。  米国は、消費者、投資家及び企業を保護し、プライバシーを維持し、人権侵害の一因となり得る恣意的又は違法な監視から保護するために、セーフガードを確保し、デジタル資産の責任ある開発を促進する必要がある。
(b)  We must protect United States and global financial stability and mitigate systemic risk.  Some digital asset trading platforms and service providers have grown rapidly in size and complexity and may not be subject to or in compliance with appropriate regulations or supervision.  Digital asset issuers, exchanges and trading platforms, and intermediaries whose activities may increase risks to financial stability, should, as appropriate, be subject to and in compliance with regulatory and supervisory standards that govern traditional market infrastructures and financial firms, in line with the general principle of “same business, same risks, same rules.”  The new and unique uses and functions that digital assets can facilitate may create additional economic and financial risks requiring an evolution to a regulatory approach that adequately addresses those risks. (b) 米国と世界の金融の安定を守り、システミックリスクを軽減する必要がある。  デジタル資産取引プラットフォームやサービスプロバイダーの中には、規模が急速に拡大し、複雑化しているものがあり、適切な規制や監督の対象になっていない、あるいは遵守していない可能性がある。  デジタル資産の発行者、取引所、取引プラットフォーム、及びその活動が金融安定性に対するリスクを増大させる可能性のある仲介者は、"同じビジネス、同じリスク、同じルール "という一般原則に沿って、必要に応じて、従来の市場インフラや金融企業を統制する規制・監督基準に服し、遵守されるべきである。  デジタル資産が促進する新しくユニークな用途や機能は、追加の経済・金融リスクを生み出す可能性があり、それらのリスクに適切に対処する規制アプローチへの進化が必要である。
(c)  We must mitigate the illicit finance and national security risks posed by misuse of digital assets.  Digital assets may pose significant illicit finance risks, including money laundering, cybercrime and ransomware, narcotics and human trafficking, and terrorism and proliferation financing.  Digital assets may also be used as a tool to circumvent United States and foreign financial sanctions regimes and other tools and authorities.  Further, while the United States has been a leader in setting international standards for the regulation and supervision of digital assets for anti‑money laundering and countering the financing of terrorism (AML/CFT), poor or nonexistent implementation of those standards in some jurisdictions abroad can present significant illicit financing risks for the United States and global financial systems.  Illicit actors, including the perpetrators of ransomware incidents and other cybercrime, often launder and cash out of their illicit proceeds using digital asset service providers in jurisdictions that have not yet effectively implemented the international standards set by the inter-governmental Financial Action Task Force (FATF).  The continued availability of service providers in jurisdictions where international AML/CFT standards are not effectively implemented enables financial activity without illicit finance controls.  Growth in decentralized financial ecosystems, peer-to-peer payment activity, and obscured blockchain ledgers without controls to mitigate illicit finance could also present additional market and national security risks in the future.  The United States must ensure appropriate controls and accountability for current and future digital assets systems to promote high standards for transparency, privacy, and security — including through regulatory, governance, and technological measures — that counter illicit activities and preserve or enhance the efficacy of our national security tools.  When digital assets are abused or used in illicit ways, or undermine national security, it is in the national interest to take actions to mitigate these illicit finance and national security risks through regulation, oversight, law enforcement action, or use of other United States Government authorities. (c) デジタル資産の悪用がもたらす不正金融と国家安全保障のリスクを軽減しなければならない。  デジタル資産は、マネーロンダリング、サイバー犯罪とランサムウェア、麻薬と人身売買、テロと拡散資金を含む重大な不正金融リスクをもたらす可能性がある。  また、デジタル資産は、米国や外国の金融制裁制度やその他の手段・当局を回避するためのツールとして利用される可能性がある。  さらに、米国は、マネーロンダリング防止およびテロ資金調達対策(AML/CFT)のためのデジタル資産の規制および監督に関する国際的な基準を設定する上でリーダー的存在であるが、海外の一部の法域におけるこれらの基準の不十分または存在しない履行は、米国および世界の金融システムに対して重大な不正資金リスクを提示する可能性がある。  ランサムウェア事件やその他のサイバー犯罪の加害者を含む不正行為者は、政府間金融活動作業部会(FATF)が定めた国際基準をまだ効果的に実施していない法域のデジタル資産サービスプロバイダーを利用して、不正な収益の洗浄や現金化を行うことが少なくない。  国際的なAML/CFT基準が効果的に実施されていない法域でサービス・プロバイダーが引き続き利用可能であることは、不正資金規制のない金融活動を可能にする。  不正金融を軽減するための統制がない分散型金融エコシステム、ピアツーピア決済活動、不明瞭なブロックチェーン台帳の成長も、将来的にさらなる市場リスクと国家安全保障リスクをもたらす可能性がある。  米国は、現在および将来のデジタル資産システムに対して、規制、ガバナンス、技術的措置を含め、透明性、プライバシー、セキュリティの高水準を推進するための適切な管理と説明責任を確保し、違法行為に対抗するとともに、国家安全保障手段の有効性を維持または強化しなければならない。  デジタル資産が不正な方法で悪用、使用され、国家安全保障を損なう場合、規制、監督、法執行措置、または他の米国政府当局の利用を通じて、これらの不正金融および国家安全保障リスクを軽減する行動を取ることは国益に適うものである。
(d)  We must reinforce United States leadership in the global financial system and in technological and economic competitiveness, including through the responsible development of payment innovations and digital assets.  The United States has an interest in ensuring that it remains at the forefront of responsible development and design of digital assets and the technology that underpins new forms of payments and capital flows in the international financial system, particularly in setting standards that promote:  democratic values; the rule of law; privacy; the protection of consumers, investors, and businesses; and interoperability with digital platforms, legacy architecture, and international payment systems.  The United States derives significant economic and national security benefits from the central role that the United States dollar and United States financial institutions and markets play in the global financial system.  Continued United States leadership in the global financial system will sustain United States financial power and promote United States economic interests. (d) 我々は、決済イノベーションとデジタル資産の責任ある開発を通じて、国際金融システム、技術・ 経済競争力における米国のリーダーシップを強化しなければならない。  米国は、デジタル資産および国際金融システムにおける新たな決済形態と資本フローを支える技術の責任ある開発と設計の最前線に留まることを確保することに関心がある。特に、民主的価値、法の支配、プライバシー、消費者・投資家・企業の保護、デジタルプラットフォーム、従来のアーキテクチャ、国際決済システムとの相互運用性を促進する基準を設定することに関心を抱いている。  米国は、米ドルと米国の金融機関および市場が世界の金融システムにおいて果たす中心的な役割から、重要な経済的および国家安全保障上の利益を得ている。  世界金融システムにおける米国のリーダーシップの継続は、米国の金融力を維持し、米国の経済的利益を促進する。
(e)  We must promote access to safe and affordable financial services.  Many Americans are underbanked and the costs of cross-border money transfers and payments are high.  The United States has a strong interest in promoting responsible innovation that expands equitable access to financial services, particularly for those Americans underserved by the traditional banking system, including by making investments and domestic and cross-border funds transfers and payments cheaper, faster, and safer, and by promoting greater and more cost-efficient access to financial products and services.  The United States also has an interest in ensuring that the benefits of financial innovation are enjoyed equitably by all Americans and that any disparate impacts of financial innovation are mitigated.  (e) 我々は、安全かつ安価な金融サービスへのアクセスを促進しなければならない。  多くの米国人は銀行口座を持たず、国境を越えた送金や決済にかかる費用は高額である。  米国は、投資や国内および国境を越えた資金移動・支払いをより安く、速く、安全にすること、金融商品・サービスへのより大きなコスト効率の良いアクセスを促進することなどにより、特に従来の銀行システムで十分なサービスを受けていない米国人の金融サービスへの公平なアクセスを拡大する責任あるイノベーションを促進することに強い関心を持っている。  米国はまた、金融革新の恩恵がすべての米国人によって公平に享受され、金融革新によるあらゆる格差の影響が緩和されることを確保することに関心を持っている。 
(f)  We must support technological advances that promote responsible development and use of digital assets.  The technological architecture of different digital assets has substantial implications for privacy, national security, the operational security and resilience of financial systems, climate change, the ability to exercise human rights, and other national goals.  The United States has an interest in ensuring that digital asset technologies and the digital payments ecosystem are developed, designed, and implemented in a responsible manner that includes privacy and security in their architecture, integrates features and controls that defend against illicit exploitation, and reduces negative climate impacts and environmental pollution, as may result from some cryptocurrency mining. (f) 我々は、デジタル資産の責任ある開発と利用を促進する技術的進歩を支援しなければならない。  様々なデジタル資産の技術的アーキテクチャは、プライバシー、国家安全保障、金融システムの運用セキュリティと弾力性、気候変動、人権行使能力、その他の国家目標に大きな影響を与える。  米国は、デジタル資産技術およびデジタル決済エコシステムが、そのアーキテクチャにプライバシーとセキュリティを含み、不正利用を防御する機能と制御を統合し、一部の暗号通貨マイニングから生じる可能性のある気候への悪影響と環境汚染を低減する責任ある方法で開発、設計、実装されることを保証することに関心を抱いている。
Sec. 3.  Coordination.  The Assistant to the President for National Security Affairs (APNSA) and the Assistant to the President for Economic Policy (APEP) shall coordinate, through the interagency process described in National Security Memorandum 2 of February 4, 2021 (Renewing the National Security Council System), the executive branch actions necessary to implement this order.  The interagency process shall include, as appropriate:  the Secretary of State, the Secretary of the Treasury, the Secretary of Defense, the Attorney General, the Secretary of Commerce, the Secretary of Labor, the Secretary of Energy, the Secretary of Homeland Security, the Administrator of the Environmental Protection Agency, the Director of the Office of Management and Budget, the Director of National Intelligence, the Director of the Domestic Policy Council, the Chair of the Council of Economic Advisers, the Director of the Office of Science and Technology Policy, the Administrator of the Office of Information and Regulatory Affairs, the Director of the National Science Foundation, and the Administrator of the United States Agency for International Development.  Representatives of other executive departments and agencies (agencies) and other senior officials may be invited to attend interagency meetings as appropriate, including, with due respect for their regulatory independence, representatives of the Board of Governors of the Federal Reserve System, the Consumer Financial Protection Bureau (CFPB), the Federal Trade Commission (FTC), the Securities and Exchange Commission (SEC), the Commodity Futures Trading Commission (CFTC), the Federal Deposit Insurance Corporation, the Office of the Comptroller of the Currency, and other Federal regulatory agencies. 第3条  調整。  国家安全保障問題担当大統領補佐官(APNSA)および経済政策担当大統領補佐官(APEP)は、2021年2月4日の国家安全保障覚書2(国家安全保障会議システムの更新)に記載された省庁間プロセスを通じて、本命令の実施に必要な行政府の行動を調整するものとする。  省庁間プロセスは、適宜、以下を含むものとする。  国務長官、財務長官、国防長官、司法長官、商務長官、労働長官、エネルギー長官、国土安全保障長官、環境保護庁長官、行政管理予算局長官、国家情報長官、国家安全保障委員会委員長、国家安全保障委員会委員長、国家安全保障委員会委員長、国家安全保障委員会委員長、国家安全保障委員会委員長、国家情報長官。国内政策審議会議長、経済諮問委員会議長、科学技術政策室長、情報規制庁長官、全米科学財団長官、米国国際開発庁長官。  他の行政府(機関)の代表者及びその他の高官は、規制の独立性を十分に尊重した上で、連邦準備制度理事会、消費者金融保護局(CFPB)、連邦取引委員会(FTC)、証券取引委員会(SEC)、商品先物取引委員会(CFTC)、連邦預金保険公社、通貨監督庁及びその他の連邦規制機関の代表者など必要に応じて機関間の会議に招かれることがある。
Sec. 4.  Policy and Actions Related to United States Central Bank Digital Currencies.   第4条  米国中央銀行のデジタル通貨に関する方針および行動。
  (a)  The policy of my Administration on a United States CBDC is as follows:   (a) 米国CBDCに関する私の政権の方針は以下の通りである。
    (i)    Sovereign money is at the core of a well-functioning financial system, macroeconomic stabilization policies, and economic growth.  My Administration places the highest urgency on research and development efforts into the potential design and deployment options of a United States CBDC.  These efforts should include assessments of possible benefits and risks for consumers, investors, and businesses; financial stability and systemic risk; payment systems; national security; the ability to exercise human rights; financial inclusion and equity; and the actions required to launch a United States CBDC if doing so is deemed to be in the national interest.      (i) ソブリン・マネーは、金融システム、マクロ経済安定化政策、経済成長の核となるものである。  私の政権は、米国版 CBDC の潜在的な設計と展開の選択肢に関する研究開発努力を最も急ぐべきであると考えている。  これらの取り組みには、消費者・投資家・企業に対する便益とリスク、金融安定性とシステミックリスク、決済システム、国家安全保障、人権行使能力、金融包摂と公正、及び国益に適うと判断される場合に米国版CBDCを立ち上げるために必要な措置についての評価が含まれるべきである。 
    (ii)   My Administration sees merit in showcasing United States leadership and participation in international fora related to CBDCs and in multi‑country conversations and pilot projects involving CBDCs.  Any future dollar payment system should be designed in a way that is consistent with United States priorities (as outlined in section 4(a)(i) of this order) and democratic values, including privacy protections, and that ensures the global financial system has appropriate transparency, connectivity, and platform and architecture interoperability or transferability, as appropriate.     (ii) 私の政権は、CBDC に関連する国際的なフォーラムや、CBDC を含む複数の国での会話やパイロット・プロジェクトにおいて、米国のリーダーシップを示し、参加することにメリットを感じている。  将来のドル決済システムは、プライバシー保護を含む米国の優先事項(本注文書第4条 (a)(i) 項で概説)と民主的価値観に合致し、かつ、適切な透明性、接続性、プラットフォーム及びアーキテクチャの相互運用性又は移転性を世界の金融システムに保証する方法で設計される必要がある。
    (iii)  A United States CBDC may have the potential to support efficient and low-cost transactions, particularly for cross‑border funds transfers and payments, and to foster greater access to the financial system, with fewer of the risks posed by private sector-administered digital assets.  A United States CBDC that is interoperable with CBDCs issued by other monetary authorities could facilitate faster and lower-cost cross-border payments and potentially boost economic growth, support the continued centrality of the United States within the international financial system, and help to protect the unique role that the dollar plays in global finance.  There are also, however, potential risks and downsides to consider.  We should prioritize timely assessments of potential benefits and risks under various designs to ensure that the United States remains a leader in the international financial system.     (iii) 合衆国CBDCは、特に国境を越えた資金移動と支払いについて、効率的で低コストの取引を支援し、民間部門が管理するデジタル資産がもたらすリスクを少なくし、金融システムへのより大きなアクセスを促進する可能性がある。  他の通貨当局が発行する CBDC と相互運用可能な米国の CBDC は、より迅速で低コストの国境を越えた決済を促進し、潜在的に経済成長を後押しし、国際金融システムにおける米国の中心性の継続を支え、国際金融においてドルが果たす独自の役割を保護するのに役立つ可能性がある。  しかし、考慮すべき潜在的なリスクやマイナス面もある。  我々は、米国が国際金融システムにおけるリーダーであり続けることを確実にするため、様々な設計の下での潜在的な利益とリスクの適時評価を優先すべきである。
  (b)  Within 180 days of the date of this order, the Secretary of the Treasury, in consultation with the Secretary of State, the Attorney General, the Secretary of Commerce, the Secretary of Homeland Security, the Director of the Office of Management and Budget, the Director of National Intelligence, and the heads of other relevant agencies, shall submit to the President a report on the future of money and payment systems, including the conditions that drive broad adoption of digital assets; the extent to which technological innovation may influence these outcomes; and the implications for the United States financial system, the modernization of and changes to payment systems, economic growth, financial inclusion, and national security.  This report shall be coordinated through the interagency process described in section 3 of this order.  Based on the potential United States CBDC design options, this report shall include an analysis of:   (b) この命令の日から180日以内に、財務長官は、国務長官、司法長官、商務長官、国土安全保障長官、行政管理予算局長官、国家情報長官、その他の関連機関の長と協議して、デジタル資産の幅広い採用を促す条件を含む、貨幣と決済システムの将来に関する報告書を大統領に提出するものとする。技術革新がこれらの結果に及ぼす可能性の程度、および米国の金融システム、決済システムの近代化と変更、経済成長、金融包摂、および国家安全保障に対する影響など、貨幣および決済システムの将来に関する報告書を大統領に提出するものとする。  この報告書は、本命令の第 3 項に記載された省庁間プロセスを通じて調整されるものとする。  米国 CBDC の設計オプションの可能性に基づき、本報告書は以下の分析を含むものとする。
    (i)    the potential implications of a United States CBDC, based on the possible design choices, for national interests, including implications for economic growth and stability;     (i) 可能性のある設計オプションに基づく米国の CBDC が、経済成長と安定への影響を含む国益に与える潜在的影響。
    (ii)   the potential implications a United States CBDC might have on financial inclusion;     (ii) 米国版 CBDC が金融包摂に与える潜在的な影響。
    (iii)  the potential relationship between a CBDC and private sector-administered digital assets;     (iii) CBDC と民間部門が管理するデジタル資産との間の潜在的な関係。
    (iv)   the future of sovereign and privately produced money globally and implications for our financial system and democracy;     (iv) 世界的な主権通貨及び民間通貨の将来と、金融システム及び民主主義への影響。
    (v)    the extent to which foreign CBDCs could displace existing currencies and alter the payment system in ways that could undermine United States financial centrality;     (外国の CBDC が既存の通貨をどの程度置き換え、米国の金融中心性を損なうような方法で決済システ ムを変更する可能性があるか。
    (vi)   the potential implications for national security and financial crime, including an analysis of illicit financing risks, sanctions risks, other law enforcement and national security interests, and implications for human rights; and     (vi) 不正資金調達リスク、制裁リスク、その他の法執行及び国家安全保障上の利益、並びに人権への影響の分析を含む、国家安全保障及び金融犯罪に対する潜在的な影響。
    (vii)  an assessment of the effects that the growth of foreign CBDCs may have on United States interests generally.     (vii) 海外の CBDC の成長が米国の利益全般に及ぼし得る影響の評価。
  (c)  The Chairman of the Board of Governors of the Federal Reserve System (Chairman of the Federal Reserve) is encouraged to continue to research and report on the extent to which CBDCs could improve the efficiency and reduce the costs of existing and future payments systems, to continue to assess the optimal form of a United States CBDC, and to develop a strategic plan for Federal Reserve and broader United States Government action, as appropriate, that evaluates the necessary steps and requirements for the potential implementation and launch of a United States CBDC.  The Chairman of the Federal Reserve is also encouraged to evaluate the extent to which a United States CBDC, based on the potential design options, could enhance or impede the ability of monetary policy to function effectively as a critical macroeconomic stabilization tool.   (c) 連邦準備制度理事会議長は、CBDCが既存及び将来の決済システムの効率性をどの程度改善しコストを削減できるかについて引き続き調査・報告し、米国版CBDCの最適な形態について引き続き評価し、米国版CBDCを実施・立ち上げるために必要な手順と要件を評価した、連邦準備及びより広い米国政府のための戦略計画を適宜開発するよう要請される。  連邦準備制度理事会議長は、潜在的な設計オプションに基づく米国版CBDCが、重要なマクロ経済安定化手段としての金融政策の能力をどの程度強化または阻害し得るかを評価することも奨励される。
  (d)  The Attorney General, in consultation with the Secretary of the Treasury and the Chairman of the Federal Reserve, shall:   (d) 法務長官は、財務長官及び連邦準備制度理事会議長と協議の上、以下を行う。
    (i)   within 180 days of the date of this order, provide to the President through the APNSA and APEP an assessment of whether legislative changes would be necessary to issue a United States CBDC, should it be deemed appropriate and in the national interest; and     (i) この命令の日から180日以内に、APNSA及びAPEPを通じて、米国版CBDCの発行が適切かつ国益に適うと見なされる場合に、法改正が必要かどうかの評価を大統領に提供し、
    (ii)  within 210 days of the date of this order, provide to the President through the APNSA and the APEP a corresponding legislative proposal, based on consideration of the report submitted by the Secretary of the Treasury under section 4(b) of this order and any materials developed by the Chairman of the Federal Reserve consistent with section 4(c) of this order.     (ii) この命令の日付から210日以内に、APNSAおよびAPEPを通じて大統領に、この命令の第4節(b)に基づき財務長官が提出した報告書およびこの命令の第4節(c)に基づき連邦準備理事会議長が作成した資料の検討に基づき、対応する立法案を提供すること。
Sec. 5.  Measures to Protect Consumers, Investors, and Businesses. 第5条  消費者、投資家および企業を保護するための措置。
  (a)  The increased use of digital assets and digital asset exchanges and trading platforms may increase the risks of crimes such as fraud and theft, other statutory and regulatory violations, privacy and data breaches, unfair and abusive acts or practices, and other cyber incidents faced by consumers, investors, and businesses.  The rise in use of digital assets, and differences across communities, may also present disparate financial risk to less informed market participants or exacerbate inequities.  It is critical to ensure that digital assets do not pose undue risks to consumers, investors, or businesses, and to put in place protections as a part of efforts to expand access to safe and affordable financial services.    (a) デジタル資産およびデジタル資産の取引所や取引プラットフォームの利用の増加は、詐欺や窃盗などの犯罪、その他の法令違反や規制違反、プライバシーやデータの侵害、不当・不正な行為や行為、消費者、投資家、企業が直面するその他のサイバー事件のリスクを増大させる可能性がある。  また、デジタル資産の利用が増加し、地域によって違いがあるため、情報に疎い市場参加者に格差のある金融リスクをもたらし、不公平を悪化させる可能性がある。  デジタル資産が消費者、投資家、企業に不当なリスクを与えないようにし、安全で手頃な金融サービスへのアクセスを拡大する努力の一環として、保護を設けることが重要である。 
  (b)  Consistent with the goals stated in section 5(a) of this order:   (b) 本命令のセクション5(a)に記載された目標との整合性を図る。
    (i)     Within 180 days of the date of this order, the Secretary of the Treasury, in consultation with the Secretary of Labor and the heads of other relevant agencies, including, as appropriate, the heads of independent regulatory agencies such as the FTC, the SEC, the CFTC, Federal banking agencies, and the CFPB, shall submit to the President a report, or section of the report required by section 4 of this order, on the implications of developments and adoption of digital assets and changes in financial market and payment system infrastructures for United States consumers, investors, businesses, and for equitable economic growth.  One section of the report shall address the conditions that would drive mass adoption of different types of digital assets and the risks and opportunities such growth might present to United States consumers, investors, and businesses, including a focus on how technological innovation may impact these efforts and with an eye toward those most vulnerable to disparate impacts.  The report shall also include policy recommendations, including potential regulatory and legislative actions, as appropriate, to protect United States consumers, investors, and businesses, and support expanding access to safe and affordable financial services.  The report shall be coordinated through the interagency process described in section 3 of this order.     (i) 本命令の日付から180日以内に、財務長官は、労働長官および他の関連機関の長(適切な場合には、FTC、SEC、CFTC、連邦銀行機関、CFPBなどの独立規制機関の長)と協議して、デジタル資産の開発・採用および金融市場・決済システム基盤の変化が米国の消費者、投資家、企業および公平な経済成長に及ぼす影響に関する報告書を大統領に提出し、あるいは本命令第4条で求められる報告書の一部を提出するものとする。  報告書の1つのセクションでは、さまざまな種類のデジタル資産の大量導入を促進する条件、およびそのような成長が米国の消費者、投資家、および企業にもたらすリスクと機会について、技術革新がこれらの取り組みにどのように影響し得るかに焦点を当て、格差の影響を最も受けやすい人々に目を向けながら、議論するものとする。  報告書はまた、米国の消費者、投資家および企業を保護し、安全かつ安価な金融サービスへのアクセス拡大を支援するため、適宜、潜在的な規制および立法措置を含む政策提言を含むものとする。  報告書は、本命令の第3条に記載されている省庁間プロセスを通じて調整されるものとする。
    (ii)    Within 180 days of the date of this order, the Director of the Office of Science and Technology Policy and the Chief Technology Officer of the United States, in consultation with the Secretary of the Treasury, the Chairman of the Federal Reserve, and the heads of other relevant agencies, shall submit to the President a technical evaluation of the technological infrastructure, capacity, and expertise that would be necessary at relevant agencies to facilitate and support the introduction of a CBDC system should one be proposed.  The evaluation should specifically address the technical risks of the various designs, including with respect to emerging and future technological developments, such as quantum computing.  The evaluation should also include any reflections or recommendations on how the inclusion of digital assets in Federal processes may affect the work of the United States Government and the provision of Government services, including risks and benefits to cybersecurity, customer experience, and social‑safety‑net programs.  The evaluation shall be coordinated through the interagency process described in section 3 of this order.      (ii) この命令の日から180日以内に、米国の科学技術政策室長と最高技術責任者は、財務長官、連邦準備制度理事会議長、その他の関連機関の長と協議の上、CBDCシステムの導入を促進・支援するために関連機関に必要な技術的インフラ、能力、専門知識の技術評価を大統領に提出するものとする。  この評価は、量子コンピューティングのような新たな技術開発に関するものも含め、様々な設計の技術的リスクについて具体的に言及する必要がある。  また、評価は、デジタル資産を連邦政府のプロセスに組み込むことが、サイバーセキュリティ、顧客経験、および社会安全網プログラムに対するリスクと利点を含め、米国政府の業務および政府サービスの提供にどのように影響するかについての考察または勧告を含む必要がある。  評価は、本命令の第3条に記載されている省庁間プロセスを通じて調整されるものとする。 
    (iii)   Within 180 days of the date of this order, the Attorney General, in consultation with the Secretary of the Treasury and the Secretary of Homeland Security, shall submit to the President a report on the role of law enforcement agencies in detecting, investigating, and prosecuting criminal activity related to digital assets.  The report shall include any recommendations on regulatory or legislative actions, as appropriate.     (iii) この命令の日付から180日以内に、司法長官は、財務長官および国土安全保障長官と協議して、デジタル資産に関連する犯罪行為の検出、捜査、および訴追における法執行機関の役割に関する報告書を大統領に提出するものとする。  報告書には、必要に応じて、規制または立法措置に関するあらゆる勧告を含めるものとする。
    (iv)    The Attorney General, the Chair of the FTC, and the Director of the CFPB are each encouraged to consider what, if any, effects the growth of digital assets could have on competition policy.     (iv) 司法長官、FTC議長、CFPB長官はそれぞれ、デジタル資産の成長が競争政策に影響を与える可能性がある場合、その影響を検討するよう奨励される。
    (v)     The Chair of the FTC and the Director of the CFPB are each encouraged to consider the extent to which privacy or consumer protection measures within their respective jurisdictions may be used to protect users of digital assets and whether additional measures may be needed.     (v) FTC委員長およびCFPB長官は、それぞれ、それぞれの管轄区域内のプライバシーまたは消費者保護措置がデジタル資産のユーザーを保護するためにどの程度利用できるか、また追加の措置が必要であるかどうかを検討するよう奨励されている。
    (vi)    The Chair of the SEC, the Chairman of the CFTC, the Chairman of the Federal Reserve, the Chairperson of the Board of Directors of the Federal Deposit Insurance Corporation, and the Comptroller of the Currency are each encouraged to consider the extent to which investor and market protection measures within their respective jurisdictions may be used to address the risks of digital assets and whether additional measures may be needed.     (vi) SEC議長、CFTC議長、連邦準備制度理事会議長、連邦預金保険公社理事長、通貨監督庁長官はそれぞれ、デジタル資産のリスクに対処するためにそれぞれの管轄区域内の投資家および市場保護措置がどの程度利用できるか、また追加措置が必要であるかどうかを検討するよう勧められる。
    (vii)   Within 180 days of the date of this order, the Director of the Office of Science and Technology Policy, in consultation with the Secretary of the Treasury, the Secretary of Energy, the Administrator of the Environmental Protection Agency, the Chair of the Council of Economic Advisers, the Assistant to the President and National Climate Advisor, and the heads of other relevant agencies, shall submit a report to the President on the connections between distributed ledger technology and short-, medium-, and long-term economic and energy transitions; the potential for these technologies to impede or advance efforts to tackle climate change at home and abroad; and the impacts these technologies have on the environment.  This report shall be coordinated through the interagency process described in section 3 of this order.  The report should also address the effect of cryptocurrencies’ consensus mechanisms on energy usage, including research into potential mitigating measures and alternative mechanisms of consensus and the design tradeoffs those may entail.  The report should specifically address:     (vii) この命令の日から180日以内に、科学技術政策室長は、財務長官、エネルギー省長官、環境保護庁長官、経済諮問委員会議長、大統領補佐官兼国家気候アドバイザー、その他の関連省庁の長と協議して、分散型台帳技術と短・中・長期の経済・エネルギー移行との関連について大統領に報告書を提出するものとする。これらの技術が国内外の気候変動への取り組みを阻害または促進する可能性、およびこれらの技術が環境に与える影響に関する報告書を大統領に提出すること。  この報告書は、本命令の第3項に記載されている省庁間プロセスを通じて調整されるものとする。  また、本報告書は、潜在的な緩和策や代替的な合意形成の仕組み、およびそれらが伴う可能性のある設計上のトレードオフに関する調査を含め、暗号通貨の合意形成メカニズムがエネルギー使用に与える影響についても言及するものとする。  報告書は、具体的に以下の事項を扱うべきである。
      (A)  potential uses of blockchain that could support monitoring or mitigating technologies to climate impacts, such as exchanging of liabilities for greenhouse gas emissions, water, and other natural or environmental assets; and       (A) 温室効果ガス排出、水、その他の自然または環境資産に対する負債の交換など、気候の影響に対する監視または緩和技術をサポートし得るブロックチェーンの潜在的用途。
      (B)  implications for energy policy, including as it relates to grid management and reliability, energy efficiency incentives and standards, and sources of energy supply.       (B) 送電網の管理と信頼性、エネルギー効率のインセンティブと基準、エネルギー供給源に関連するものを含む、エネルギー政策への影響。
    (viii)  Within 1 year of submission of the report described in section 5(b)(vii) of this order, the Director of the Office of Science and Technology Policy, in consultation with the Secretary of the Treasury, the Secretary of Energy, the Administrator of the Environmental Protection Agency, the Chair of the Council of Economic Advisers, and the heads of other relevant agencies, shall update the report described in section 5(b)(vii) of this order, including to address any knowledge gaps identified in such report.     (viii)本命令第5条(b)(vii)に記載された報告書の提出から1年以内に、科学技術政策局長官は、財務長官、エネルギー省長官、環境保護庁長官、経済諮問会議議長、その他の関連機関の長と協議し、当該報告書で特定された知識のギャップに対応することを含め、本命令第5条(b)(vii)に記載された報告書を更新するものとする。
Sec. 6.  Actions to Promote Financial Stability, Mitigate Systemic Risk, and Strengthen Market Integrity.  第6条  金融安定化の促進、システミックリスクの軽減、および市場の健全性の強化のための行動。
 (a)  Financial regulators — including the SEC, the CFTC, and the CFPB and Federal banking agencies — play critical roles in establishing and overseeing protections across the financial system that safeguard its integrity and promote its stability.  Since 2017, the Secretary of the Treasury has convened the Financial Stability Oversight Council (FSOC) to assess the financial stability risks and regulatory gaps posed by the ongoing adoption of digital assets.  The United States must assess and take steps to address risks that digital assets pose to financial stability and financial market integrity.    (a) SEC、CFTC、およびCFPBと連邦銀行機関を含む金融規制当局は、金融システムの完全性を保護し、その安定性を促進する金融システム全体の保護を確立し、監督する上で重要な役割を担っている。  2017年以降、財務長官は金融安定監督評議会(FSOC)を招集し、デジタル資産の継続的な採用がもたらす金融安定リスクと規制上のギャップを評価している。  米国は、デジタル資産が金融安定と金融市場の整合性にもたらすリスクを評価し、対策を講じる必要がある。 
  (b)  Within 210 days of the date of this order, the Secretary of the Treasury should convene the FSOC and produce a report outlining the specific financial stability risks and regulatory gaps posed by various types of digital assets and providing recommendations to address such risks.  As the Secretary of the Treasury and the FSOC deem appropriate, the report should consider the particular features of various types of digital assets and include recommendations that address the identified financial stability risks posed by these digital assets, including any proposals for additional or adjusted regulation and supervision as well as for new legislation.  The report should take account of the prior analyses and assessments of the FSOC, agencies, and the President’s Working Group on Financial Markets, including the ongoing work of the Federal banking agencies, as appropriate.   (b) 本命令の日から210日以内に、財務長官はFSOCを召集し、様々な種類のデジタル資産がもたらす特定の金融安定リスクと規制上のギャップを概説し、そうしたリスクに対処するための勧告を提供する報告書を作成する必要がある。  財務長官とFSOCが適切と考えるように、報告書は様々な種類のデジタル資産の特徴を考慮し、規制・監督の追加や調整、新規立法に関する提案を含め、これらのデジタル資産がもたらす特定金融安定リスクに対処するための提言を含めるべきである。  報告書は、連邦銀行機関の継続的な作業を含め、FSOC、各省庁、大統領府金融市場ワーキンググループの事前の分析・評価を適切に考慮すべきである。
Sec. 7.  Actions to Limit Illicit Finance and Associated National Security Risks.  第7条  不正金融及び関連する国家安全保障上のリスクを制限するための行動。 
 (a)  Digital assets have facilitated sophisticated cybercrime‑related financial networks and activity, including through ransomware activity.  The growing use of digital assets in financial activity heightens risks of crimes such as money laundering, terrorist and proliferation financing, fraud and theft schemes, and corruption.  These illicit activities highlight the need for ongoing scrutiny of the use of digital assets, the extent to which technological innovation may impact such activities, and exploration of opportunities to mitigate these risks through regulation, supervision, public‑private engagement, oversight, and law enforcement.  (a) デジタル資産は、ランサムウェアの活動を含め、高度なサイバー犯罪関連の金融ネットワークと活動を促進した。  金融活動におけるデジタル資産の使用の増加は、マネーロンダリング、テロ及び拡散資金、詐欺及び盗難計画、並びに汚職などの犯罪のリスクを高める。  これらの違法行為は、デジタル資産の利用を継続的に精査し、技術革新がそのような活動にどの程度影響を与える可能性があるか、規制、監督、官民の関与、監視、法執行を通じてこれらのリスクを軽減する機会を探る必要性を強調するものである。
  (b)  Within 90 days of submission to the Congress of the National Strategy for Combating Terrorist and Other Illicit Financing, the Secretary of the Treasury, the Secretary of State, the Attorney General, the Secretary of Commerce, the Secretary of Homeland Security, the Director of the Office of Management and Budget, the Director of National Intelligence, and the heads of other relevant agencies may each submit to the President supplemental annexes, which may be classified or unclassified, to the Strategy offering additional views on illicit finance risks posed by digital assets, including cryptocurrencies, stablecoins, CBDCs, and trends in the use of digital assets by illicit actors.   (b) テロ資金その他の不正資金対策に関する国家戦略の議会への提出から90日以内に、財務長官、国務長官、司法長官、商務長官、国土安全保障長官、行政管理予算局長官、国家情報長官が、テロ資金その他の不正資金対策に関する国家戦略の議会への提出から90日以内に、財務長官、国務長官、司法長官、商務長官、国土安全保障長官、行政管理予算局長官、国家情報長官が、テロ資金その他の不正資金対策のための国家戦略を提出する。およびその他の関連機関の長はそれぞれ、暗号通貨、安定コイン、CBDCを含むデジタル資産がもたらす不正金融リスク、および不正行為者によるデジタル資産の使用傾向に関する追加的見解を提供する、機密または非密室の戦略への補足附属書を大統領に提出できるものとする。
  (c)  Within 120 days of submission to the Congress of the National Strategy for Combating Terrorist and Other Illicit Financing, the Secretary of the Treasury, in consultation with the Secretary of State, the Attorney General, the Secretary of Commerce, the Secretary of Homeland Security, the Director of the Office of Management and Budget, the Director of National Intelligence, and the heads of other relevant agencies shall develop a coordinated action plan based on the Strategy’s conclusions for mitigating the digital‑asset-related illicit finance and national security risks addressed in the updated strategy.  This action plan shall be coordinated through the interagency process described in section 3 of this order.  The action plan shall address the role of law enforcement and measures to increase financial services providers’ compliance with AML/CFT obligations related to digital asset activities.   (c) 「テロリスト等不正資金対策国家戦略」の議会への提出から120日以内に、財務長官は、国務長官、司法長官、商務長官、国土安全保障長官、行政管理予算局長、国家情報長官、その他の関係省庁の長と協議し、戦略の結論に基づいて、更新後の戦略で取り上げられたデジタル資産関連の不正資金と国家安全保障のリスクを軽減するための協調行動計画を策定するものとする。  この行動計画は、本命令の第3項に記載された省庁間のプロセスを通じて調整されるものとする。  行動計画は、法執行機関の役割と、デジタル資産活動に関連するAML/CFT義務に対する金融サービス提供者の遵守を高めるための措置に言及するものとする。
  (d)  Within 120 days following completion of all of the following reports — the National Money Laundering Risk Assessment; the National Terrorist Financing Risk Assessment; the National Proliferation Financing Risk Assessment; and the updated National Strategy for Combating Terrorist and Other Illicit Financing — the Secretary of the Treasury shall notify the relevant agencies through the interagency process described in section 3 of this order on any pending, proposed, or prospective rulemakings to address digital asset illicit finance risks.  The Secretary of the Treasury shall consult with and consider the perspectives of relevant agencies in evaluating opportunities to mitigate such risks through regulation.   (d) 国家マネーロンダリングリスク評価、国家テロ資金調達リスク評価、国家拡散資金調達リスク評価、およびテロリストおよびその他の不正資金調達撲滅のための国家戦略の更新という全ての報告書が完了してから120日以内に、財務長官は、デジタル資産の不正資金リスクに対処するためのあらゆる保留、提案、見込みの規則制定について本注文書の第3項に記載の省庁間プロセスを介して関連省庁に通知するものとする。  財務長官は、規制を通じて当該リスクを軽減する機会を評価する際に、関連機関と協議し、その観点を考慮するものとする。
Sec. 8.  Policy and Actions Related to Fostering International Cooperation and United States Competitiveness.  第8条  国際協力と米国の競争力育成に関連する政策と行動。
 (a)  The policy of my Administration on fostering international cooperation and United States competitiveness with respect to digital assets and financial innovation is as follows:   (a) デジタル資産と金融イノベーションに関する国際協力と米国の競争力育成に関する私の政権の方針は以下の通りである。
    (i)    Technology-driven financial innovation is frequently cross-border and therefore requires international cooperation among public authorities.  This cooperation is critical to maintaining high regulatory standards and a level playing field.  Uneven regulation, supervision, and compliance across jurisdictions creates opportunities for arbitrage and raises risks to financial stability and the protection of consumers, investors, businesses, and markets.  Inadequate AML/CFT regulation, supervision, and enforcement by other countries challenges the ability of the United States to investigate illicit digital asset transaction flows that frequently jump overseas, as is often the case in ransomware payments and other cybercrime-related money laundering.  There must also be cooperation to reduce inefficiencies in international funds transfer and payment systems.     (i) 技術主導の金融イノベーションは国境を越えることが多いため、公的機関同士の国際協力が必要である。  この協力は、高い規制水準と公平な競争環境を維持するために不可欠である。  規制、監督、コンプライアンスが法域間で不均一な場合、裁定取引の機会が生じ、金融の安定と消費者、投資家、企業、市場の保護に対するリスクを高める。  他国による不十分なAML/CFT規制、監督、執行は、ランサムウェアの支払いやその他のサイバー犯罪関連のマネーロンダリングでよく見られるように、頻繁に海外に飛び出す不正なデジタル資産取引の流れを調査する米国の能力に挑戦するものです。  また、国際的な資金移動・決済システムにおける非効率性を減らすための協力も必要である。
    (ii)   The United States Government has been active in international fora and through bilateral partnerships on many of these issues and has a robust agenda to continue this work in the coming years.  While the United States held the position of President of the FATF, the United States led the group in developing and adopting the first international standards on digital assets.  The United States must continue to work with international partners on standards for the development and appropriate interoperability of digital payment architectures and CBDCs to reduce payment inefficiencies and ensure that any new funds transfer and payment systems are consistent with United States values and legal requirements.     (ii) 米国政府は、これらの問題の多くについて、国際的なフォーラムや二国間パートナーシップを通じて積極的に取り組んでおり、今後数年間、この作業を継続するための強固なアジェンダを持っている。  米国がFATFの総裁の地位にあった時、米国はデジタル資産に関する最初の国際基準を開発し、採択する際にグループをリードした。  米国は、決済の非効率性を削減し、新たな資金移動および決済システムが米国の価値観および法的要件と一致することを確保するために、デジタル決済アーキテクチャおよび CBDC の開発および適切な相互運用性のための基準について国際パートナーと協力し続けなければならない。
    (iii)  While the United States held the position of President of the 2020 G7, the United States established the G7 Digital Payments Experts Group to discuss CBDCs, stablecoins, and other digital payment issues.  The G7 report outlining a set of policy principles for CBDCs is an important contribution to establishing guidelines for jurisdictions for the exploration and potential development of CBDCs.  While a CBDC would be issued by a country’s central bank, the supporting infrastructure could involve both public and private participants.  The G7 report highlighted that any CBDC should be grounded in the G7’s long-standing public commitments to transparency, the rule of law, and sound economic governance, as well as the promotion of competition and innovation.     (iii) 米国が 2020 年 G7 の議長国を務めている間、米国は CBDC、ステーブルコイン、その他のデジタル決済の問題を議論するために G7 Digital Payments Experts Group を設立した。  CBDCの政策原則をまとめたG7の報告書は、CBDCの探求と開発の可能性について、各国・地域のガイドラインを確立するための重要な貢献となります。  CBDC は各国の中央銀行によって発行されますが、それを支えるインフラには官民の参加 者が含まれる可能性がある。  G7 の報告書は、いかなる CBDC も透明性、法の支配、健全な経済統治、競争とイノベー ションの促進に対する G7 の長年の公約に基づくべきであると強調した。
    (iv)   The United States continues to support the G20 roadmap for addressing challenges and frictions with cross-border funds transfers and payments for which work is underway, including work on improvements to existing systems for cross-border funds transfers and payments, the international dimensions of CBDC designs, and the potential of well-regulated stablecoin arrangements.  The international Financial Stability Board (FSB), together with standard-setting bodies, is leading work on issues related to stablecoins, cross‑border funds transfers and payments, and other international dimensions of digital assets and payments, while FATF continues its leadership in setting AML/CFT standards for digital assets.  Such international work should continue to address the full spectrum of issues and challenges raised by digital assets, including financial stability, consumer, investor, and business risks, and money laundering, terrorist financing, proliferation financing, sanctions evasion, and other illicit activities.      (iv) 米国は、国境を越えた資金移動及び支払のための既存のシステムの改善、CBDC の設計の国際的側面、及び十分に規制された安定的なコインの取り決めの可能性についての作業を含む、国境を越えた資金移動及び支払に関する課題及び摩擦に取り組むための G20 ロードマップを引き続き支持する。  国際金融安定理事会(FSB)は、基準設定団体とともに、安定コイン、国境を越えた資金移動と決済、その他のデジタル資産と決済の国際的側面に関連する問題についての作業を主導しており、一方FATFはデジタル資産に関するAML/CFT基準の設定においてリーダーシップを発揮し続けている。  そのような国際的な作業は、金融安定、消費者、投資家、ビジネスのリスク、マネーロンダリング、テロ資金、拡散資金、制裁回避、その他の不法行為を含め、デジタル資産が提起するあらゆる問題や課題に対処し続ける必要がある。 
    (v)    My Administration will elevate the importance of these topics and expand engagement with our critical international partners, including through fora such as the G7, G20, FATF, and FSB.  My Administration will support the ongoing international work and, where appropriate, push for additional work to drive development and implementation of holistic standards, cooperation and coordination, and information sharing.  With respect to digital assets, my Administration will seek to ensure that our core democratic values are respected; consumers, investors, and businesses are protected; appropriate global financial system connectivity and platform and architecture interoperability are preserved; and the safety and soundness of the global financial system and international monetary system are maintained.     (v) 私の政権は、これらの話題の重要性を高め、G7、G20、FATF、FSBなどのフォーラムを含む重要な国際的パートナーとの関与を拡大させる。  私の政権は、現在進行中の国際的な活動を支援し、適切な場合には、全体的な基準の策定と実施、協力・調整、情報共有を推進するための追加的な活動を推し進める。  デジタル資産に関して、私の政権は、民主主義の中核的価値が尊重され、消費者、投資家、企業が保護され、適切なグローバル金融システムの接続性とプラットフォームおよびアーキテクチャの相互運用性が維持され、グローバル金融システムおよび国際通貨システムの安全性と健全性が維持されることを確保しようと努める。
  (b) In furtherance of the policy stated in section 8(a) of this order:   (b) 本命令第8条(a)に記載された政策を推進するため、以下のことを行う。
    (i)    Within 120 days of the date of this order, the Secretary of the Treasury, in consultation with the Secretary of State, the Secretary of Commerce, the Administrator of the United States Agency for International Development, and the heads of other relevant agencies, shall establish a framework for interagency international engagement with foreign counterparts and in international fora to, as appropriate, adapt, update, and enhance adoption of global principles and standards for how digital assets are used and transacted, and to promote development of digital asset and CBDC technologies consistent with our values and legal requirements.  This framework shall be coordinated through the interagency process described in section 3 of this order.  This framework shall include specific and prioritized lines of effort and coordinated messaging; interagency engagement and activities with foreign partners, such as foreign assistance and capacity-building efforts and coordination of global compliance; and whole‑of‑government efforts to promote international principles, standards, and best practices.  This framework should reflect ongoing leadership by the Secretary of the Treasury and financial regulators in relevant international financial standards bodies, and should elevate United States engagement on digital assets issues in technical standards bodies and other international fora to promote development of digital asset and CBDC technologies consistent with our values.     (i) この命令の日から120日以内に、財務長官は、国務長官、商務長官、米国国際開発庁長官、その他の関係省庁の長と協議して、外国のカウンターパートと国際的な場において、デジタル資産の使用と取引の方法に関する世界原則と標準を適宜、適応、更新、採用強化し、我々の価値と法的要件に一致するデジタル資産とCBDC技術の開発を促進するための省庁間の国際協力体制を確立しなければならない。  この枠組みは、本命令の第 3 項に記載された省庁間プロセスを通じて調整されるものとします。  この枠組みは、具体的で優先順位の高い取り組みと調整されたメッセージ、海外支援や能力開発努力、グローバルなコンプライアンスの調整などの海外パートナーとの省庁間の関与と活動、国際原則、基準、ベストプラクティスを促進する政府全体の努力を含むものとする。  この枠組みは、財務長官と金融規制当局による関連する国際金融標準化団体での継続的なリーダーシップを反映すべきであり、技術標準化団体や他の国際フォーラムにおけるデジタル資産問題への米国の関与を高め、我々の価値観と一致するデジタル資産とCBDC技術の発展を促進すべきである。
    (ii)   Within 1 year of the date of the establishment of the framework required by section 8(b)(i) of this order, the Secretary of the Treasury, in consultation with the Secretary of State, the Secretary of Commerce, the Director of the Office of Management and Budget, the Administrator of the United States Agency for International Development, and the heads of other relevant agencies as appropriate, shall submit a report to the President on priority actions taken under the framework and its effectiveness.  This report shall be coordinated through the interagency process described in section 3 of this order.     (ii) この命令のセクション8(b)(i)で要求される枠組みが設立された日から1年以内に、財務長官は、国務長官、商務長官、行政管理予算局長官、米国国際開発庁長官、その他適宜の関連機関の長と協議して、枠組みの下でとられた優先的行動とその効果に関する報告書を大統領に提出するものとする。  この報告書は、本命令の第3項に記載されている省庁間プロセスを通じて調整されるものとする。
    (iii)  Within 180 days of the date of this order, the Secretary of Commerce, in consultation with the Secretary of State, the Secretary of the Treasury, and the heads of other relevant agencies, shall establish a framework for enhancing United States economic competitiveness in, and leveraging of, digital asset technologies.  This framework shall be coordinated through the interagency process described in section 3 of this order.     (iii) 商務長官は、この命令の日から180日以内に、国務長官、財務長官、およびその他の関連機関の長と協議して、デジタル資産技術における米国の経済競争力を強化し、それを活用するための枠組みを確立するものとする。  この枠組みは、本命令の第3項に記載されている省庁間プロセスを通じて調整されるものとする。
    (iv)   Within 90 days of the date of this order, the Attorney General, in consultation with the Secretary of State, the Secretary of the Treasury, and the Secretary of Homeland Security, shall submit a report to the President on how to strengthen international law enforcement cooperation for detecting, investigating, and prosecuting criminal activity related to digital assets.     (iv) この命令の日から90日以内に、司法長官は、国務長官、財務長官、国土安全保障長官と協議して、デジタル資産に関する犯罪行為を検知、捜査、起訴するための国際法執行協力を強化する方法に関する報告書を大統領に提出するものとする。
Sec. 9.  Definitions.  For the purposes of this order: 第9条  定義 。本命令の目的のため。
  (a)  The term “blockchain” refers to distributed ledger technologies where data is shared across a network that creates a digital ledger of verified transactions or information among network participants and the data are typically linked using cryptography to maintain the integrity of the ledger and execute other functions, including transfer of ownership or value.   (a) 「ブロックチェーン」という用語は、ネットワーク参加者間で検証された取引または情報のデジタル台帳を作成するネットワーク上でデータが共有され、台帳の整合性を維持し、所有権または価値の移転を含む他の機能を実行するために、通常、暗号を使用してデータがリンクされる分散台帳技術を指す。
  (b)  The term “central bank digital currency” or “CBDC” refers to a form of digital money or monetary value, denominated in the national unit of account, that is a direct liability of the central bank.   (b) 「中央銀行デジタル通貨」または「CBDC」という用語は、中央銀行の直接責任である、国家会計単位で表示されるデジタルマネーまたは貨幣価値の形態を指す。
  (c)  The term “cryptocurrencies” refers to a digital asset, which may be a medium of exchange, for which generation or ownership records are supported through a distributed ledger technology that relies on cryptography, such as a blockchain.   (c) 「暗号通貨」という用語は、ブロックチェーンなどの暗号に依存する分散型台帳技術によって生成または所有記録がサポートされている、交換媒体である可能性があるデジタル資産を指す。
  (d)  The term “digital assets” refers to all CBDCs, regardless of the technology used, and to other representations of value, financial assets and instruments, or claims that are used to make payments or investments, or to transmit or exchange funds or the equivalent thereof, that are issued or represented in digital form through the use of distributed ledger technology.  For example, digital assets include cryptocurrencies, stablecoins, and CBDCs.  Regardless of the label used, a digital asset may be, among other things, a security, a commodity, a derivative, or other financial product.  Digital assets may be exchanged across digital asset trading platforms, including centralized and decentralized finance platforms, or through peer-to-peer technologies.   (d) 「デジタル資産」という用語は、使用される技術にかかわらず、すべての CBDC を指し、ま た、支払いや投資、資金やその等価物の伝送や交換に使用されるその他の価値表現、金融 資産及び金融商品、又は債権で、分散台帳技術の使用によりデジタル形式で発行又は表 示されるものを指す。  例えば、デジタル資産には、暗号通貨、ステーブルコイン、CBDCが含まれる。  使用されるラベルに関係なく、デジタル資産は、とりわけ、証券、商品、デリバティブ、または他の金融商品である可能性がある。  デジタル資産は、集中型・分散型金融プラットフォームを含むデジタル資産取引プラットフォームや、ピアツーピア技術を通じて交換されることがある。
  (e)  The term “stablecoins” refers to a category of cryptocurrencies with mechanisms that are aimed at maintaining a stable value, such as by pegging the value of the coin to a specific currency, asset, or pool of assets or by algorithmically controlling supply in response to changes in demand in order to stabilize value.   (e) 「ステーブルコイン」という用語は、コインの価値を特定の通貨、資産、または資産プールに固定する、あるいは価値を安定させるために需要の変化に応じて供給をアルゴリズムで制御するなど、安定した価値の維持を目的とした仕組みを持つ暗号通貨のカテゴリーを指す。
Sec. 10.  General Provisions.  第10条 一般規定 
 (a)  Nothing in this order shall be construed to impair or otherwise affect:  (a) 本規則のいかなる内容も、以下を損なう、あるいはその他の影響を与えるものと解釈してはならない。
    (i)   the authority granted by law to an executive department or agency, or the head thereof; or     (i) 行政機関またはその長に法律で与えられた権限、または
    (ii)  the functions of the Director of the Office of Management and Budget relating to budgetary, administrative, or legislative proposals.     (ii) 予算、行政、または立法に関する提案に関する行政管理予算局長の機能。
  (b)  This order shall be implemented consistent with applicable law and subject to the availability of appropriations.   (b) 本命令は、適用される法律と一致し、充当が可能であることを条件として実施されるものとする。
  (c)  This order is not intended to, and does not, create any right or benefit, substantive or procedural, enforceable at law or in equity by any party against the United States, its departments, agencies, or entities, its officers, employees, or agents, or any other person.   (c) 本命令は、米国、その省庁、団体、その役員、職員、代理人、またはその他の人物に対して、当事者が法律上または衡平法上強制できる、実体的または手続き上の権利または利益を生み出すことを意図したものではなく、またそうするものでもない。
       JOSEPH R. BIDEN JR.        ジョセフ・R・ビデン・ジュニア(Joseph R. biden Jr.
THE WHITE HOUSE, ホワイトハウス
March 9, 2022. 2022年3月9日

 

Fig1_20210802074601

 

Continue reading "米国 デジタル資産の責任ある開発を確保するための大統領令"

| | Comments (0)

JPCERT/CC Emotet関連の注意喚起

こんにちは、丸山満彦です。

JPCERT/CCがEMOTET関連の注意喚起をしていますね。。。動画による解説もあります(^^)

JPCERT/CC

2月の注意喚起の更新...

・2022.03.08 マルウェアEmotetの感染再拡大に関する注意喚起

 


 

At220006_fig1

[図1: Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数の新規観測の推移 (外部からの提供観測情報)(2022年3月3日更新)]

更新: 2022年3月3日追記

2022年3月に入り、Emotetに感染しメール送信に悪用される可能性のある.jpメールアドレス数が2020年の感染ピーク時の約5倍以上に急増しています。国内感染組織から国内組織に対するメール配信も増えています。

感染のさらなる拡大を防ぐため、改めて、取引先などから送られているようにみえるメールでも安易に添付ファイルの実行や文中のURLクリックをしないようご注意いただき、組織内で注意を呼び掛けるなど警戒を高めていただくことを推奨します。また、感染の恐れがある場合、EmoCheckやFAQの内容を参考に、感染被疑端末や自組織での感染有無やインフラの悪用有無などの調査や対応を実施してください。

 

で、こちらの動画も...

・2022.03.08 [YouTube] JPCERT/CCウェビナー「日本中で感染が広がるマルウェアEmotet」

・2022.03.08 [YouTube] JPCERT/CCウェビナー「Emotet感染の確認方法と対策」

 

ランサムウェア攻撃にあった場合の初動対応のポイントについても。。。

・2022.03.08 [YouTube] JPCERT/CCウェビナー「侵入型ランサムウェア攻撃の初動対応のポイント~早期の業務復旧のために~」

 

 

| | Comments (0)

EU議会 eIDAS規制の改定:その実施と適用に関する調査結果

こんにちは、丸山満彦です。

EU議会のThink Tankのページに、eIDAS規制の改定:その実施と適用に関する調査結果についての報告書があげられていますね。。。

European Parliament - Think Tank

・2022.03.07 Revision of the eIDAS Regulation: Findings on its implementation and application

Revision of the eIDAS Regulation: Findings on its implementation and application eIDAS規制の改定:その実施と適用に関する調査結果
The European Commission’s proposal (June 2021) for a European Digital Identity Framework would provide a trusted and secure way to authenticate and share qualified data attributes online through a ‘digital wallet’ ensured by Member States and allowing transactions across the EU. If put into effect, it would aim to achieve the target set in Europe’s ‘Path to the Digital Decade’, which envisages 80 % of EU citizens using digital ID by 2030. It would also execute the European Council’s vision and explicit request for EU-wide secure public electronic identification (eID), which would include interoperable digital signatures and give EU citizens control over their online identity and related data. The Commission proposal amends and updates the existing eIDAS Regulation by responding to the challenges raised by its structural shortcomings and limited implementation and to technological developments since its adoption in 2014. The findings of the ex-post evaluation of the eIDAS Regulation shed light on the various limitations preventing the current act from reaching its full potential, while the ex-ante impact assessment of the amending proposal examines the different options, their estimated impact, and the reasoning behind the preferred option. Together, they establish the context for the eIDAS revision, the pitfalls that need to be overcome, and targets. EU institutions have largely welcomed the Commission proposal in terms of its objectives and concept. However, concerns remain, notably when it comes to finding the right scope for the act, defining the roles and liabilities of various public and private sector actors, ensuring high data protection, and building an inclusive system that leaves no one behind. 欧州委員会が提案した「欧州デジタルIDフレームワーク」(2021年6月)は、加盟国が保証する「デジタルウォレット」を通じて、オンラインで適格なデータ属性を認証・共有し、EU域内の取引を可能にする信頼性と安全性の高い方法を提供するものです。このフレームワークは、2030年までにEU市民の80%がデジタルIDを使用することを想定した欧州の「デジタルの10年への道」で定められた目標を達成することを目的としています。また、EU全域で安全な公的電子ID(eID)を実現するという欧州理事会のビジョンと明確な要求が実行されることになり、これには相互運用可能な電子署名が含まれ、EU市民がオンライン上のIDや関連データを管理できるようになります。欧州委員会の提案は、現行のeIDAS規則を、その構造的な欠点と限定的な実施によって生じた課題、および2014年の採択以降の技術的発展に対応することによって、修正・更新するものです。eIDAS規則の事後評価の結果は、現行法がその潜在能力を十分に発揮することを妨げている様々な限界に光を当て、改正案の事前影響評価は、様々な選択肢、その推定影響、好ましい選択肢の背後にある理由を検証しています。これらは共に、eIDAS改訂の背景、克服すべき落とし穴、そして目標を確立するものです。EU機関は、その目的とコンセプトの点で、欧州委員会の提案を概ね歓迎しています。しかし、特に、法律の適切な範囲を見つけること、様々な公共部門と民間部門の関係者の役割と責任を定義すること、高いデータ保護を確保すること、誰一人として取り残さない包括的なシステムを構築することに関しては、懸念が残っています。

これ読まないと...

 

・[PDF]

20220310-55454

 

 

| | Comments (0)

2022.03.09

個人情報保護委員会 改正個人情報保護法の特集ページ、丹野美絵子委員長 X 福島敦子さんの対談記事

こんにちは、丸山満彦です。

個人情報保護委員会が、改正個人情報保護法の特集ページを公表していますね。。。令和2年改正法の施行が近づいているからでしょうかね。。。次々と広報活動をしておりますね。。。

個人情報保護委員会

特集のページ

・2022.03.07 改正個人情報保護法の特集ページを公表しました。

 

委員長と福島さんの対談のページ

・2022.03.07 特別対談「個人情報保護法令和2年改正についてきく 利活用の促進と個人情報の適切な取扱いのために」を掲載しました。

 

Ppc_logo_20210325120001_20210520035201


 

● まるちゃんの情報セキュリティ気まぐれ日記

 

ガイドライン関係...

2022.03.04 個人情報保護委員会 医療関連分野ガイダンスが確定

・2022.03.04 個人情報保護委員会 令和2年改正個人情報保護法に関する広報資料

・2022.02.28 個人情報保護委員会 令和2年改正個人情報保護法の(個人編)と(事業者編)の動画を掲載

・2022.02.18 個人情報保護委員会 外国における個人情報の保護に関する制度等の調査

・2022.02.09 個人情報保護委員会 マンガで学ぶ個人情報保護法

・2021.12.25 個人情報保護委員会 意見募集 各分野別個人情報保護ガイドラインの改正案

 

犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

| | Comments (0)

公安調査庁 経済安全保障関連調査及びサイバー関連調査の取組強化について

こんにちは、丸山満彦です。

公安調査庁は、経済安全保障分野、サイバー分野の調査における情報収集・分析機能強化のため、令和4年度、経済安全保障特別調査室及びサイバー特別調査室を立ち上げることとなったと発表しましたね。。。

経済安全保障分野は法律もできることからなんでしょうね。。。

警察、検察、公安調査庁、金融庁、内閣官房情報調査室等もサイバー空間での情報収集、分析の能力が必要となってくるのでしょうね。。。

公安調査庁

・2022.03.08 経済安全保障関連調査及びサイバー関連調査の取組強化について


...

和田長官発言

...サイバー関連調査についてです。サイバー空間を介した攻撃等による機微技術・データ等の流出や重要インフラへの被害の発生等、現実的な脅威が日増しに増大していることから、こうした脅威に対応するため、同じく4月に、サイバー特別調査室を立ち上げることとなりました。
 当庁はこれまでもサイバー攻撃の脅威主体や予兆等に関する情報を関係機関に提供してまいりましたが、同室の下、本庁及び全国の各局・事務所が一体となって、当庁の強みである人的情報源を活用しつつ、サイバー攻撃の脅威主体や予兆等に関する情報収集・分析を強化するなどし、関係機関への一層の情報提供や情報発信に努める所存です。
 我が国に対するサイバー攻撃をめぐる情勢については、機微な情報の窃取を狙ったとみられるサイバー攻撃事案の発覚が相次いだほか、ウクライナ情勢を含む昨今の情勢から、サイバー攻撃のリスクは高まっています。こうした状況を踏まえつつ、これまで行ってきた企業や研究機関等との意見交換をより緊密に行うとともに、知見の共有等を行ってまいります。
 なお、サイバー攻撃による被害を防ぐための情報発信の取組の一環として、当庁では、一昨年から、国内外におけるサイバー攻撃の現状やその対策の一部等についてまとめた「サイバー空間における脅威の概況」というパンフレットを作成しております。今月中にも2022年版を発刊する予定です。こちらにも、最近のサイバー攻撃の傾向や脅威主体、推奨される対策の一部を掲載しております。是非、参考にしてください。


 

法務省

・2022.03.08 法務大臣閣議後記者会見の概要


...公安調査庁における経済安全保障関連調査及びサイバー関連調査に関する取組についてです。
 まず、経済インテリジェンスに係る情報収集・分析機能を一層強化するため、来月(4月)から「経済安全保障特別調査室」を立ち上げることとなりました。
 先端技術の流出懸念等に関する情報の収集・分析、関係機関への情報提供、産学官の連携・情報発信等の取組を一層強化してまいります。
 また、サイバー関連調査に係る機能強化のため、同じく来月(4月)から「サイバー特別調査室」を立ち上げることとなりました。
 サイバー攻撃の脅威主体や予兆等に関する情報収集・分析、関係機関への情報提供に一層努めるとともに、民間企業や研究機関とのより緊密な知見の共有等を行ってまいります。

...

経済安全保障関連調査及びサイバー関連調査に関する取組に関する質疑について

【記者】
 冒頭御発言のあった「経済安全保障特別調査室」と「サイバー特別調査室」についてですが、このタイミングで立ち上げる狙いと、それぞれどういった規模の組織になるのかという点について教えてください。

【大臣】
 まず「経済安全保障特別調査室」について、経済安全保障の確保は、岸田内閣においても極めて重要な施策として位置付けられており、経済安全保障推進法案も閣議決定がなされたところです。
 このような情勢を踏まえ、公安調査庁においても、経済安全保障分野における情報収集・分析機能の一層の強化を企図するものです。
 「サイバー特別調査室」については、日々拡大・進化を続けるサイバー空間をめぐっては、同空間を介した攻撃等による先端技術・データの流出や国家の重要インフラへの被害も発生しています。
 日本のみならず世界中で、このようなサイバー空間における現実的な脅威が日増しに増大しているわけです。
 このような脅威に適切に対応するため、「サイバー特別調査室」を立ち上げました。
 公安調査庁が、より一層の情報収集・分析機能を駆使して、このような事態に対応していくというところに意義があります。

 

| | Comments (0)

英国 NCSC & CPNI データセキュリティガイダンス(運用者向け、利用者向け)

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティセンターと国家インフラ保護センターが、データセンター事業者及び利用者に向けた共同セキュリティガイダンスを公表していますね。。。

 

National Cyber Security Centre (NCSC)

・2022.03.07 Joint security guidance offered to data centre operators and users

 

Joint security guidance offered to data centre operators and users データセンター事業者及び利用者に向けた共同セキュリティガイダンスを提供
New guidance from the NCSC and CPNI sets out a holistic security strategy for data centres to the keep the UK's online assets secure. NCSCとCPNIによる新しいガイダンスは、英国のオンライン資産を安全に保つための、データセンター向けの総合的なセキュリティ戦略を示しています。
・The National Cyber Security Centre and the Centre for the Protection of National Infrastructure issue guidance to help UK’s data centres stay secure ・国家サイバーセキュリティセンターと国家インフラ保護センターは、英国のデータセンターの安全性確保を支援するためのガイダンスを発表しました。
・Operators encouraged to adopt a single strategy which unites the physical, personnel and cyber security of data centres ・データセンターの物理的、人的、サイバー的セキュリティを統合する単一戦略を採用するよう事業者に奨励します。
・Users and operators of data centres urged to consider guidance carefully as key aspects of UK life increasingly stored online ・英国生活の重要な側面がますますオンラインで保存されるようになり、データセンターの利用者と運営者はガイダンスを慎重に検討するよう求められています。
DATA CENTRE OPERATORS will for the first time have access to tailor-made advice on how to keep the UK’s online assets secure. データセンターの運営者は、英国のオンライン資産を安全に保つ方法について、初めてオーダーメイドのアドバイスを受けることができるようになります。
The new guidance from the National Cyber Security Centre (NCSC) – a part of GCHQ – and the Centre for the Protection of National Infrastructure (CPNI) helps users and operators of data centres understand and mitigate potential security vulnerabilities. GCHQの一部である国家サイバーセキュリティセンター (NCSC) と国家インフラ保護センター (CPNI) による新しいガイダンスは、データセンターの利用者と運営者が潜在的なセキュリティの脆弱性を理解し、緩和できるよう支援するものです。
Data is one of the UK’s most valuable assets, and it underpins almost all facets of modern life. However, this can make data centres an attractive target for threat actors, both physically and in cyberspace. データは英国で最も価値のある資産の一つであり、現代生活のほぼすべての面を支えています。しかし、そのためにデータセンターは、物理的にもサイバー空間においても、脅威者にとって魅力的なターゲットとなり得ます。
The new guidance sets out a holistic security strategy which encourages owners and users to consider how: 新しいガイダンスは、全体的なセキュリティ戦略を示し、所有者と利用者にどのように考慮するかを促しています。
・location and ownership of a data centre can affect who has access to sensitive information or affect strategic operating decisions ・データセンターの場所と所有権は、機密情報へのアクセス権や戦略的な経営判断に影響を与える可能性があります。
・cyber threat actors continuously evolve their methodology to breach defences ・サイバー脅威者は、防御を破るための手法を常に進化させています。
・strong physical security can mitigate covert and forceful entry to data assets ・強力な物理的セキュリティは、データ資産への密かな侵入や強制的な侵入を軽減することができます。
・employees are critical to an effective security culture ・効果的なセキュリティ文化には、従業員が不可欠です。
NCSC Technical Director Dr Ian Levy said: NCSCテクニカルディレクターのイアン・レヴィ博士は、次のように述べています。
“Operators and users of data centres have a clear responsibility to protect the data that they hold and process – failing to do this poses a massive financial, reputational and, in some cases, national security risk. 「データセンターの運営者と利用者には、保有・処理するデータを保護する明確な責任があります。これを怠れば、経済的、風評的、場合によっては国家安全保障上の大きなリスクを負うことになります。」
“Owning these responsibilities means understanding the array of methods that malicious actors could use to compromise a data centre both physically and digitally. 「このような責任を負うということは、悪意ある行為者がデータセンターを物理的およびデジタル的に侵害するために使用しうるさまざまな方法を理解することを意味します。」
“I urge operators and users of data centres to consult this joint guidance and adopt the holistic security strategy it recommends.” 「データセンターの運営者と利用者は、この共同指針を参考にし、この指針が推奨する全体的なセキュリティ戦略を採用することを強くお勧めします。」
The Head of CPNI said: CPNIの責任者は、次のように述べています。
“Data centres and the data they hold are invaluable to the UK’s economy, security and prosperity. Threat actors constantly seek to evolve their methods to exploit any weaknesses in data infrastructure security, often concurrently. 「データセンターとそこに保管されているデータは、英国の経済、安全、繁栄にとってかけがえのないものです。脅威者は、データインフラのセキュリティの弱点を突くために、常にその方法を進化させようとしており、多くの場合、同時に進行しています。」
“To minimise the risk of a breach it is critical that data centre security is viewed holistically with physical, people and cyber security risks considered with other factors such as where in the world infrastructure is located. 「侵害のリスクを最小限に抑えるためには、データセンターのセキュリティを物理的、人的、サイバー的なセキュリティリスクと、インフラが世界のどこにあるかといった他の要素から総合的に判断することが重要です。」
“By doing so, data centre owners and users can better safeguard their customer’s data, their business operations and keep the UK’s digital infrastructure running. 「そうすることで、データセンターの所有者と利用者は、顧客のデータや事業運営をより安全に保護し、英国のデジタルインフラを稼働させ続けることができるのです。」
“In this period of stark geopolitical uncertainty, there is no better time than now for data centre operators and users to read the full guidance and make sure they’re best protected.” 「地政学的な不確実性が高い今こそ、データセンターの運営者と利用者がガイダンスの全文を読み、最善の保護を確保する絶好の機会です」。
For more information, users and operators of data centres should visit the CPNI website. 詳細については、データセンターのユーザーとオペレーターは、CPNIのウェブサイトをご覧ください。
For broader advice on configuring, deploying and using cloud services securely, people can consult the NCSC’s existing cloud security guidance. クラウドサービスを安全に設定、展開、使用するための幅広いアドバイスについては、NCSCの既存のクラウドセキュリティガイダンスを参照してください。

 

CPNI

・2022.03.04 Data Centre Security: Guidance for owners and users

Guidance

・2022.03.04 [PDF] Data centre security - key considerations for owners

・2022.03.04 [PDF] Data centre security - key considerations for users

1_20220309064201

 

KEY CONSIDERATIONS FOR DATA CENTRE OWNER SENIOR LEADERS KEY CONSIDERATIONS FOR DATA CENTRE USER SENIOR LEADERS
There is no one-size fts-all approach to holistic data centre security. Every data centre operator or owner needs to consider the CPNI and NCSC guidance based on their own risk assessments. The guidance contains the security considerations you need to be aware of as a senior leader to make sure you and your customers’ data stays protected.  There is no one-size fts-all approach to holistic data centre security. Every data centre user needs to consider CPNI and NCSC’s data centre security guidance based on their own risk assessments and risk management. This guidance contains the key security considerations you need to be aware of as a senior leader to make sure that the data of your organisations and your customers stays protected.
Risk management Risk management
The CPNI risk management framework encourages data centre owners to identify assets and threats, assess risks, develop a protective security strategy, implement measures, and review processes periodically. Remember that the risk management strategies of data centre customers and operators are interdependent. The CPNI risk management framework encourages users to identify assets and threats, assess risks, develop a protective security strategy, implement measures, and review processes periodically. Remember that the risk management strategies of data centre customers and operators are interdependent.
As a data centre operator, you will want to ensure your risk management is robust to attract your clients, maintain your reputation, and comply with relevant regulatory compliance regimes. To be most effective, risk management strategies will be driven by senior leaders.  
While less likely than attacks that focus on acquiring or degrading data, threat actors may also seek to disrupt services by targeting data centres through either a destructive cyber attack or a physical attack against a data centre. The cascading effects of a loss of service can be huge.  
Resilience Resilience
Data centres need to ensure they are resilient against a range of threats and hazards, including natural hazards, power outages, hardware failures or denial-of-service attacks. You should ask yourself if the data centre can demonstrate it has physically separate communications routes, diverse power supplies and back-up power, protected building services rooms, the human resources to cope with a physical or cyber incident, and a resilient supply chain.
As a data centre owner, ask yourself if you have physically separate communications routes into the data centre, diverse power supply and back-up power options, and whether building service rooms are protected from physical attack or sabotage. Do you have the people power to deal with a security incident? Is your supply chain resilient? It should be assumed that at some point your data defences will be breached. It is important to be able respond proactively by detecting attacks and having measures in place to minimise the impact of any cyber security incidents.
Geography and ownership Geography and ownership
In the UK, GDPR sets out principles data controllers must comply with. Understanding regulations on data security in the country where your data centre is located is also important. Some foreign governments – China and Russia are examples – may mandate access to data that limits your control and ability to provide assurances. Managed hosting or cloud hosting providers sometimes store your data in multiple locations, not necessarily in the UK. It’s important you know where your data is stored, since some countries such as China and Russia have laws that could put it at risk.
Physical perimeter and buildings Physical perimeter and buildings
Security of the perimeter, site and data centre building is the responsibility of the operator. In an enterprise-owned facility, site security is defned by the enterprise based on its own risk assessment. In other facilities, the level of security should meet customer expectations and be designed to attract newcomers. Security of the perimeter, the site, and the building is usually the responsibility of the operator, but data centre users should consider the physical security measures in place and whether threats and risks have been identifed and mitigated. You may need to discuss the option of implementing your own detection layers to maximise opportunities for detection at rack, room or hall level. 
The data hall The data hall
Data centre operators are responsible for data hall security. Data customers may have additional security layers. Control of access is especially important when operating shared data centres. You must be able to demonstrate to your customers that you are prepared. No matter how secure the data centre, as a customer, it is your responsibility to ensure suffcient controls are in place at the data hall to limit who might be able to access your networking equipment. If you have your own suite or hall, you need to conduct your own risk assessment and identify the security measures you need.
Meet-me rooms Meet-me rooms
Data centre operators should strictly limit access to meet-me rooms. You may decide not to allow customers access to view security arrangements. It’s important however that meet-me room security assurances are provided during tendering. Measures to protect meet-me rooms include access control and screening, intrusion detection such as CCTV, entry and exit searches, rack protection, anonymisation, and asset destruction. Access should be strictly controlled to meet-me rooms. Meet-me room security details and assurances should be provided by data centres during tendering. As well as access control, data centre users should consider access screening processes, intrusion detection such as CCTV, rack security, and asset destruction.
People People
It’s important to mitigate any security risks related to people, such as ‘insider risk’. Data centre owners should optimise the use of people as force multipliers to prevent, detect and deter security threats. Having a good security culture means your workforce is likely to be engaged with, and take responsibility for, security issues. People can become force multipliers to improve security. They can help detect, deter and disrupt hostile actors planning attacks and a good security culture can also reduce the risk of the insider threat. The data centre you select should be able to demonstrate the policies and procedures it has place to deliver good people and personnel security.
Supply chain Supply chain
Effectively securing your supply chain can be hard because vulnerabilities are inherent or introduced and exploited at any point. A vulnerable supply chain can cause damage and disruption. Data centre owners should consider physical, personnel and cyber security risks within any risk assessment. Securing the supply chain can be hard because vulnerabilities are inherent or introduced and exploited at any point in the chain. As a data centre user, it’s important you understand the impact outsourcing can have on your data centre requirements and the risks a supplier poses to assets.
Cyber Cyber
Data centre owners should assume that a cyber compromise is inevitable, take steps to detect intrusions and minimise their impact and take preventative cyber security measures. Organisations should ensure that good cyber security is built into their systems and services from the outset, and that those systems and services can be updated to adapt effectively to emerging threats.  Remember that data centres are valuable targets for threat actors seeking to conduct cyber attacks. The motivation for these attacks is usually stealing, destroying or compromising your data. Data centre customers should assume that a successful cyber attack will happen and take steps to ensure such attacks can be detected and the impact minimised.

 

仮訳...

データセンター所有者のシニアリーダーのための重要な考慮事項 データセンター利用者のシニアリーダーのための重要な考慮事項
データセンターのセキュリティには、万能なアプローチはありません。すべてのデータセンター事業者や所有者は、独自のリスク評価に基づいてCPNIとNCSCのガイダンスを検討する必要があります。このガイダンスには、あなたとあなたの顧客のデータを確実に保護するために、シニアリーダーとして知っておくべきセキュリティ上の考慮事項が記載されています。 データセンターのセキュリティに万能なアプローチはありません。すべてのデータセンター利用者は、独自のリスク評価とリスク管理に基づいて、CPNIとNCSCのデータセンター・セキュリティ・ガイダンスを検討する必要があります。このガイダンスには、組織と顧客のデータを確実に保護するために、シニアリーダーとして知っておくべき主なセキュリティ上の考慮事項が記載されています。
リスク管理 リスク管理
CPNIのリスク管理フレームワークは、データセンターの所有者に、資産と脅威の特定、リスクの評価、保護的なセキュリティ戦略の策定、対策の実施、プロセスの定期的な見直しを促しています。データセンターの顧客とオペレータのリスク管理戦略は、相互に依存していることを忘れないでください。 CPNIリスクマネジメントのフレームワークは、利用者に、資産と脅威の特定、リスクの評価、保護的なセキュリティ戦略の策定、対策の実施、プロセスの定期的な見直しを促しています。データセンターの顧客とオペレータのリスク管理戦略は、相互に依存していることを忘れないでください。
データセンター事業者としては、顧客を引き付け、評判を維持し、関連する規制コンプライアンス体制を遵守するために、リスク管理を強固なものにしたいと考えるでしょう。最も効果的なリスク管理戦略は、シニアリーダーによって推進されるでしょう。  
データの取得や劣化に焦点を当てた攻撃ほど可能性は高くありませんが、脅威者は破壊的なサイバー攻撃またはデータセンターに対する物理的な攻撃のいずれかを通じてデータセンターを標的とし、サービスを中断させようとする可能性もあります。サービスの喪失がもたらす連鎖的な影響は甚大なものになる可能性があります。  
レジリエンス(回復力) レジリエンス(回復力)
データセンターは、自然災害、停電、ハードウェア障害、DoS攻撃など、さまざまな脅威や危険に対するレジリエンスを確保する必要があります。 データセンターが、物理的に分離された通信経路、多様な電源とバックアップ電源、保護されたビルディングサービス室、物理的またはサイバーインシデントに対処できる人材、回復力の高いサプライチェーンを持っていることを実証できるかどうか、自問自答する必要があります。
データセンターの所有者として、データセンターへの通信経路が物理的に分離されているか、多様な電源とバックアップ電源のオプションがあるか、建物のサービスルームが物理的な攻撃や妨害行為から保護されているかを自問自答してください。セキュリティ事故に対処するための人材は確保されているか?サプライチェーンは回復力が高いですか? ある時点でデータ防御が破られることを想定しておく必要があります。攻撃を検知し、サイバーセキュリティ事故の影響を最小限に抑えるための対策を講じることで、プロアクティブに対応できるようにすることが重要です。
地理的条件と所有権 地理的条件と所有権
英国では、GDPRによりデータ管理者が遵守すべき原則が定められています。データセンターが設置されている国のデータセキュリティに関する規制を理解することも重要です。中国やロシアをはじめとする一部の外国政府は、データへのアクセスを義務付けている場合があり、貴社の管理と保証を提供する能力が制限されることがあります。 マネージドホスティングやクラウドホスティングのプロバイダーは、お客様のデータを複数の場所に保存することがありますが、必ずしも英国内にあるとは限りません。中国やロシアなど、データを危険にさらす可能性のある法律を持つ国もあるため、データがどこに保管されているかを把握することは重要です。
物理的な境界線と建物 物理的な境界線と建物
境界、敷地、データセンターの建物のセキュリティは、事業者の責任です。企業が所有する施設では、サイトのセキュリティは、企業独自のリスク評価に基づいて定義されます。その他の施設では、セキュリティのレベルは顧客の期待に応え、新規参入者を惹きつけるように設計されなければなりません。 境界、敷地、建物のセキュリティは、通常、事業者の責任ですが、データセンターの利用者は、物理的なセキュリティ対策が施されているか、脅威やリスクが特定され軽減されているかどうかを検討する必要があります。ラック、ルーム、ホールレベルで検知の機会を最大化するために、独自の検知レイヤーを実装するオプションについて議論する必要があるかもしれません。
データホール データホール
データセンターの運営者は、データホールのセキュリティに責任があります。データ顧客はさらにセキュリティ層を設けることができます。共有データセンターを運営する場合、アクセス制御は特に重要です。顧客に対して、準備が整っていることを示すことができなければなりません。 データセンターがいかに安全であっても、顧客のネットワーク機器にアクセスできる者を制限するために、データホールで十分な管理が行われていることを確認するのは、顧客の責任です。自社でスイートやホールを所有する場合は、顧客自身でリスクアセスメントを行い、必要なセキュリティ対策を特定する必要があります。
ミートミー・ルーム ミートミー・ルーム
データセンター事業者は、ミートミー・ルームへの入室を厳しく制限する必要があります。セキュリティ対策の状況を見るために、顧客の入室を認めないこともできます。しかし、入札の際にミートミー・ルームのセキュリティ保証を提供することが重要です。ミートミー・ルームを保護するための対策としては、入退室管理とスクリーニング、CCTVなどの侵入検知、入退室検査、ラック保護、匿名化、資産破壊などがあります。 ミーテイルームへのアクセスは厳密に管理する必要があります。ミートミー・ルームのセキュリティの詳細と保証は、入札の際にデータセンターから提供される必要があります。データセンターの利用者は、アクセス制御だけでなく、アクセスのスクリーニング・プロセス、CCTVなどの侵入検知、ラックのセキュリティ、資産の破壊についても考慮する必要があります。
内部者リスクなど、人に関連するセキュリティリスクを軽減することが重要です。データセンターの所有者は、セキュリティ上の脅威を防止、検出、抑止するための戦力として、人の活用を最適化する必要があります。優れたセキュリティ文化があれば、従業員はセキュリティ問題に取り組み、責任を負う可能性が高くなります。 人は、セキュリティを向上させるための戦力となることができます。また、優れたセキュリティ文化は、内部者による脅威リスクを低減することができます。また、優れたセキュリティ文化は、内部脅威のリスクも軽減します。選択するデータセンターは、優れた人材と人員のセキュリティを実現するためのポリシーと手順を実証できる必要があります。
サプライチェーン サプライチェーン
サプライチェーンの安全性を効果的に確保することは困難です。なぜなら、脆弱性が内在しているか、またはどの時点でも侵入され、悪用される可能性があるからです。脆弱なサプライチェーンは、損害や混乱を引き起こす可能性があります。データセンターの所有者は、物理的、人的、サイバー的なセキュリティリスクをリスクアセスメントの中で考慮する必要があります。 サプライチェーンの安全性を確保することは困難です。なぜなら、サプライチェーンのどの時点においても、脆弱性は内在しているか、または導入され、悪用される可能性があるからです。データセンターの利用者としては、アウトソーシングがデータセンターの要件に与える影響と、サプライヤーが資産にもたらすリスクを理解することが重要です。
サイバー サイバー
データセンターの所有者は、サイバー侵害が避けられないことを想定し、侵入を検知してその影響を最小限に抑えるための措置を講じ、予防的なサイバーセキュリティ対策を講じる必要があります。組織は、システムやサービスに最初から優れたサイバーセキュリティが組み込まれていること、また、新たな脅威に効果的に適応するためにシステムやサービスを更新できることを保証する必要があります。 データセンターは、サイバー攻撃を行おうとする脅威者にとって、貴重なターゲットであることを忘れてはなりません。これらの攻撃の動機は、通常、お客様のデータの窃盗、破壊、危険にさらすことです。データセンターのお客様は、サイバー攻撃が成功することを想定し、そのような攻撃を確実に検知し、影響を最小限に抑えるための措置を講じる必要があります。

 


 

NCSC

Cloud security guidance

 

| | Comments (0)

2022.03.08

経済産業省 データの越境移転に関する研究会 報告書 (2022.02.28)

こんにちは、丸山満彦です。

経済産業省のデータの越境移転に関する研究会の報告書が公開されていました。

 

経済産業省 - データの越境移転に関する研究会

・2022.02.28 報告書

・[PDF] データの越境移転に関する研究会 報告書

20220307-230933

目次・・・

はじめに

第1章 データのライフサイクルと越境移転における障壁

1. 類型1:オンラインアプリ企業の商品開発におけるデータの利活用
(1)
概要
(2)
データのライフサイクルにおける越境移転の状況

2. 類型2:収集したデータを業務委託のために海外の第三国企業に移転
(1)
概要
(2)
データのライフサイクルにおける越境移転の状況

3. 類型3:IoTを介して海外からリアルタイムにデータを収集・分析(個人情報が明らかに含まれない場合)
(1)
概要
(2)
データのライフサイクルにおける越境移転の状況

4. 類型4:IoTを介して海外からリアルタイムにデータを収集・分析(個人情報が含まれ得る場合)
(1)
概要
(2)
データのライフサイクルにおける越境移転の状況

5. 類型5:プラットフォームサービス・IaaSの提供
(1)
概要
(2)
データのライフサイクルにおける越境移転の状況

6. 類型6:サイバーセキュリティサービスの提供
(1)
データのライフサイクルにおける越境移転の状況

第2章 各国データ関連規制の現状

. EU
(1)
対象となる法令
(2)
越境移転の規律

2. 米国
(1)
対象となる法令

3. カナダ
(1)
対象となる法令

4. 中国
(1)
対象となる法令
(2)
越境移転の規律
(3)
データの国内保存・国内保管義務を定める規律

5. インド
(1)
対象となる法令
(2)
データの国内保存・国内保管義務を定める規律

6. ベトナム
(1)
対象となる法令
(2)
越境移転の規律
(3)
データの国内保存・国内保管義務を定める規律

7. インドネシア
(1)
対象となる法令
(2)
越境移転の規律
(3)
データの国内保存・国内保管義務を定める規律

8. 全体像

第3章 まとめ
 



・[PDF] データの越境移転に関する研究会 報告書(概要説明資料)

20220307-231052_20220307231101


 

・2022.02.24 第3回 データの越境移転に関する研究会

 ・[PDF] 議事要旨


・2021.12.09 第2回 データの越境移転に関する研究会

 ・[PDF] 議事次第 

 ・[PDF] 資料1 事務局説明資料(PDF形式:468KB)PDFファイル

 ・資料2 渥美委員説明資料(非公開)

 ・資料3 鬼頭委員説明資料(非公開)

 ・資料4 佐藤委員説明資料(非公開)

 ・資料5 藤原委員説明資料(非公開)

 ・[PDF] 議事要旨

 

・2021.11.01 第1回 データの越境移転に関する研究会

・[PDF] 議事次第

・[PDF] 資料1 委員等名簿

・[PDF] 資料2 議事の運営について(案)

・[PDF] 資料3 事務局説明資料(一部非公開)

・[PDF] 資料4 データの越境流通に関連する諸外国の規制制度等調査事業報告書(概要版)(PDF形式:684KB)PDFファイル

・[PDF] 議事要旨

| | Comments (0)

2022.03.07

科学技術振興機構 俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」

こんにちは、丸山満彦です。

国立科学技術法人科学技術振興機構が、俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」を公表していますね。。。

「トラスト (Trust) 」を俯瞰する意味で興味深いです。

 

● 国立科学技術法人科学技術振興機構

・2022.03.04 俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~

・[PDF] 報告書

20220307-52717

 

目次を見るだけで興味がわきますね。。。

 


1  問題意識および俯瞰の進め方

2  俯瞰セミナーシリーズ
2. 1
小山 虎 「人文・社会系のトラスト研究の系譜」
2. 2
上出 寛子 「社会心理学におけるトラスト」
2. 3
犬飼 佳吾「行動経済学・実験経済学とトラスト」
2. 4
大屋 雄裕 「法制度とトラスト」
2. 5
神里 達博「科学技術へのトラスト」
2. 6
村山 優子 「情報科学におけるトラスト」
2. 7
中島 震 「ソフトウェア品質保証におけるトラスト」
2. 8
松本 泰 「ゼロトラストから考えるトラストアーキテクチャ 〜トラストのメカニズムのパラダイムシフト〜」
2. 9
佐古 和恵 「暗号プロトコルとトラスト」
2.10
山田 誠二 「ヒューマンエージェントインタラクションと信頼工学」
2.11
中川 裕志 「AI のトラスト」
2.12
工藤 郁子「公共政策とトラスト」
2.13
山口 真一 「ソーシャルメディアにおけるトラスト問題」
2.14
尾藤 誠司 「医療におけるトラスト(1)」
2.15
山本 ベバリーアン 「医療におけるトラスト(2)」

3  俯瞰ワークショップ
3. 1
俯瞰的整理
3. 2
総合討議
参考文献リスト


この報告書を読んでいて改めて思ったのは、Trustあるいは、トラストが対象する領域の広さです(不動産信託もトラストとして含まれていますから。。。)。で、なので、今後は今回、広げた俯瞰したトラストについて、何らかの方法(例えば、山岸先生の考え方でもよいし、あらたな分類法でもよいし、分類法も一つである必要はなく、議論するテーマによって使い分けてもよい)で、信頼を分類し、議論する必要があるように思いました。

分類をすることにより、より深い議論ができるのではないかというのが、その意図です。例えば、個人情報の議論をしようと言って、匿名情報、仮名情報、死んだ人の情報、IDの話、システムで読むことを前提とした一意の情報等、いろいろな意味で個人情報を議論していると議論を深めにくいように、それぞれの特徴に応じて分類(あるいは定義)をし、その中で議論をすることにより、より議論が深まるように感じました。

本書で紹介されている、大屋雄裕(慶應義塾大学教授)のトラストについての異なる3つの側面についての指摘


① 対象真正性:本人・本物であるか?
② 内容真実性:内容が事実・真実であるか?
③ 予想・対応可能性:対象の振る舞いに対して想定・対応できるか?


は興味深いです。

 

ちなみに、山岸俊男先生の分類を自分なりに整理したのが次の図です。。。

・[PPT]

20220307-53226

 

これから重要な分野なので、定義の整理もしながら各個別テーマの議論も深まっていけばよいかと思いました。

あと、監査もトラストには重要なテーマの一つになるので、議論に加わるとよいと思いました。

 

 

| | Comments (0)

2022.03.06

米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

こんにちは、丸山満彦です。

米国サイバーセキュリティ強化法案が上院で可決されたようですね。。。これは、サイバーインシデント報告法案 (Cyber Incident Reporting Act) 、連邦情報セキュリティ近代化法 (the Federal Information Security Modernization Act of 2021) 、2022年連邦安全なクラウドの改善と雇用に関する法律(Federal Secure Cloud Improvement and Jobs Act) の一部を合体せたもののようですね(中でタイトルで分かれています)。。。

なので、事業者に対して、対象となるサイバーインシデントが発生したと合理的に考えた時から72時間以内に、CISA長官に報告することが求められ、ランサムウェアで身代金を支払った場合には、支払った後24時間以内にCISA長官に報告しないといけないという条項は入っています。。。

条文にゼロトラストアーキテクチャが入ってくるんですね。。。

 

Congress

・提出者:Gary Peters (D-MI) 上院議員[wikipedia]

S.3600 - Strengthening American Cybersecurity Act of 2022

2022.02.08 法案(XML / HTMLTXTPDF

 

法案の目次

Sec. 1. Short title. 第1条 略称
Sec. 2. Table of contents. 第2条 目次
TITLE I—FEDERAL INFORMATION SECURITY MODERNIZATION ACT OF 2022 第1編 2022年連邦情報セキュリティ近代化法
Sec. 101. Short title. 第101条 略称
Sec. 102. Definitions. 第102条. 定義
Sec. 103. Title 44 amendments. 第103条 第44編の改正
Sec. 104. Amendments to subtitle III of title 40. 第104条 第40編第III章の改正
Sec. 105. Actions to enhance Federal incident transparency. 第105条 連邦事件の透明性を高めるための措置
Sec. 106. Additional guidance to agencies on FISMA updates. 第106条 FISMA更新に関する政府機関への追加ガイダンス
Sec. 107. Agency requirements to notify private sector entities impacted by incidents. 第107条 インシデントの影響を受ける民間セクター団体に通知するための政府機関要件
Sec. 108. Mobile security standards. 第108条 モバイルセキュリティ基準
Sec. 109. Data and logging retention for incident response. 第109条 インシデント対応のためのデータ及びログの保存
Sec. 110. CISA agency advisors. 第110条 CISA省庁アドバイザー
Sec. 111. Federal penetration testing policy. 第111条 連邦侵入テスト方針
Sec. 112. Ongoing threat hunting program. 第112条 継続的な脅威探索プログラム
Sec. 113. Codifying vulnerability disclosure programs. 第113条 脆弱性開示プログラムの成文化
Sec. 114. Implementing zero trust architecture. 第114条 ゼロ・トラスト・アーキテクチャーの導入
Sec. 115. Automation reports. 第115条 自動化レポート
Sec. 116. Extension of Federal acquisition security council and software inventory. 第116条 連邦購買セキュリティ協議会の拡大とソフトウェアインベントリ
Sec. 117. Council of the Inspectors General on Integrity and Efficiency dashboard. 第117条 誠実さと効率性に関する検査官委員会のダッシュボード
Sec. 118. Quantitative cybersecurity metrics. 第118条 定量的なサイバーセキュリティの測定基準
Sec. 119. Establishment of risk-based budget model. 第119条 リスクベースの予算モデルの確立
Sec. 120. Active cyber defensive study. 第120条 アクティブ・サイバー・ディフェンス研究
Sec. 121. Security operations center as a service pilot. 第121条 サービスとしてのセキュリティオペレーションセンター試験
Sec. 122. Extension of Chief Data Officer Council. 第122条 チーフ・データ・オフィサー・カウンシルの拡大
Sec. 123. Federal Cybersecurity Requirements. 第123条 連邦政府のサイバーセキュリティ要件
TITLE II—CYBER INCIDENT REPORTING FOR CRITICAL INFRASTRUCTURE ACT OF 2022 第2編 2022年の重要インフラに関するサイバーインシデント報告法
Sec. 201. Short title. 第201条 略称
Sec. 202. Definitions. 第202条 定義
Sec. 203. Cyber incident reporting. 第203条 定義 サイバーインシデントの報告
Sec. 204. Federal sharing of incident reports. 第204条 インシデントレポートの連邦共有
Sec. 205. Ransomware vulnerability warning pilot program. 第205条 ランサムウェア脆弱性警告パイロットプログラム
Sec. 206. Ransomware threat mitigation activities. 第206条 ランサムウェアの脅威を軽減する活動
Sec. 207. Congressional reporting. 第207条 議会への報告
TITLE III—FEDERAL SECURE CLOUD IMPROVEMENT AND JOBS ACT OF 2022 第3編 2022年連邦安全なクラウドの改善と雇用に関する法律
Sec. 301. Short title. 第301条 略称
Sec. 302. Findings. 第302条 調査結果
Sec. 303. Title 44 amendments. 第303条 第44編の修正

 

1200pxseal_of_the_united_states_congress

 


 

比較的わかりやすい記事

ZDNet

・2022.03.03 Senate passes cybersecurity act forcing orgs to report cyberattacks, ransom payments

The act forces critical infrastructure organizations to report cyberattacks to CISA within 72 hours and ransomware payments within 24 hours.

 

Gov Info Security

・2022.03.02 US Senate Passes Incident Reporting, FISMA Update Bill

 

 


過去の法案についての参考

まるちゃんの助法セキュリティ気まぐれ日記

・ 2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

| | Comments (0)

シンガポール シンガポール軍は、第4のサービスとしてデジタル・インテリジェンス・サービス(DIS)を設立

こんにちは、丸山満彦です。

シンガポール軍(SAF)は、デジタル領域の脅威に対するシンガポールの防衛を強化するため、デジタル・インテリジェンス・サービス(DIS)を設立する予定で、2022年度中に完成ということのようですね。。。

Ministry of Defence - Pioneer

・2022.03.02 SAF'S FOURTH SERVICE TO DEFEND DIGITAL DOMAIN

SAF'S FOURTH SERVICE TO DEFEND DIGITAL DOMAIN デジタル領域を守るSAFの第4のサービス
The Digital and Intelligence Service will be set up by the last quarter of 2022, to defend against attacks in the cyber domain and help the Singapore Armed Forces fight better as a networked force. デジタル・インテリジェンス・サービスは、2022年の最終四半期までに設立され、サイバー領域での攻撃を防御し、シンガポール軍がネットワーク化された部隊としてよりよく戦えるよう支援します。
The Singapore Armed Forces (SAF) will be setting up the Digital and Intelligence Service, or DIS, to strengthen Singapore's defence against threats in the digital domain. Minister for Defence Dr Ng Eng Hen announced this in his Committee of Supply (COS) speech on the defence budget on 2 Mar. シンガポール軍(SAF)は、デジタル領域の脅威に対するシンガポールの防衛を強化するため、デジタル・インテリジェンス・サービス(DIS)を設立する予定です。国防省のNg Eng Hen大臣は、3月2日の国防予算に関する供給委員会(COS)の演説で、このことを発表しました。
As the cybersphere continues to grow, threats from the digital domain are also increasing in sophistication and numbers, said Dr Ng. There has also been evidence of countries and non-state entities such as terrorist groups launching attacks across both the physical and digital spheres. サイバー空間の拡大に伴い、デジタル領域からの脅威も高度化し、その数も増加していると、Ng博士は述べています。また、テロリスト集団のような国や非国家組織が、物理的領域とデジタル領域の両方にわたって攻撃を仕掛けている証拠もあります。
Dr Ng explained: "The addition of this fourth Service, the DIS, will allow the SAF to better train and fight as a networked, integrated and expanded force to deal with (not only) the spectrum of threats that we know exist today, but also the digital domain that we know will increase in the future." Ng博士は次のように説明しています。「この第4のサービスであるDISを追加することで、SAFは、現在存在することがわかっているさまざまな脅威だけでなく、将来的に増加することがわかっているデジタル領域にも対処できるよう、ネットワーク化、統合、拡張した部隊として、よりよい訓練と戦闘を行うことができるようになります。」
The DIS is expected to be set up by the last quarter of 2022. DISは、2022年の最終四半期までに設置される予定です。
> With digital threats expected to increase in numbers and sophistication, the DIS will require dedicated soldiers specialising not only in core IT areas and communications, but also other areas that range from data science to psychology.  > デジタル脅威はその数と精巧さを増すと予想されるため、DISには中核的なIT分野や通信だけでなく、データ科学から心理学まで幅広い他の分野を専門とする専属の兵士が必要になるという。
New skills, same strong values 新しいスキル、同じ強い価値観
The DIS is the next step in the development of the Command, Control, Communications, Computers and Intelligence (C4I) Community. DISは、C4I(Command, Control, Communications, Computers and Intelligence)コミュニティの発展における次のステップとなるものです。
The SAF has been progressively building up its C4I networks and systems since the inauguration of the C4I community in 2012. This was followed by the establishment of the Defence Cyber Organisation in 2017, which coordinates cybersecurity across the defence sector. SAFは、2012年にC4Iコミュニティが発足して以来、C4Iネットワークとシステムの構築を順次進めてきました。続いて2017年には、国防部門全体のサイバーセキュリティを調整する「国防サイバー組織」が設立されました。
Figuratively, if the digital force is now a battalion force, we actually need a few brigades, perhaps even a Division-size force, said Dr Ng. 比喩的に、デジタル部隊が現在大隊規模の部隊であるとすれば、実際には数個の旅団、おそらくは師団規模の部隊が必要です と、Ng博士は述べています。
He also noted that DIS soldiers will require specialisations not only in core IT areas and communications but also in diverse areas including data science, psychology, linguistics, anthropology and geography, to enable them to understand the motivation and means behind attacks by state and non-state groups. また、DISの兵士は、国家や非国家グループによる攻撃の背後にある動機や手段を理解するために、中核的なIT分野や通信だけでなく、データ科学、心理学、言語学、人類学、地理学などの多様な分野の専門知識が必要になると述べています。
While the skillsets required of DIS personnel will be different from those fighting in the physical domains, they must have the same traits and values as their Army, Navy and Air Force counterparts, such as resilience and "a commitment to the shared mission to enhance Singapore's security and peace". DIS要員に求められるスキルセットは、物理的な領域で戦う人々とは異なりますが、回復力や「シンガポールの安全と平和を高めるという共通の使命への献身」など、陸海空軍の要員と同じ特性や価値観を持つ必要があります。
> The expansion of digital capabilities as well as new and upgraded assets will enable the Next Gen SAF to strike faster and harder, and better protect Singapore against threats from the digital, land, sea and air domains. > 次世代SAFは、デジタル能力の拡大や資産の新設・アップグレードにより、より迅速かつ強力な攻撃を可能にし、デジタル、陸、海、空の各ドメインからの脅威に対してシンガポールをよりよく保護することができるのです。
Stronger Next Gen SAF 次世代SAFの強化
The addition of the DIS is one of the steps that will help complete MINDEF's vision of the SAF in 2040. Elaborating on how the Next Gen SAF is taking shape, Dr Ng said: "By 2040, the Army, equipped with Next Gen Infantry Battalions and new armoured tracked carriers and howitzers, will be more manoeuvrable, able to strike faster and harder. DISの追加は、MINDEFが描く2040年のSAFのビジョンを完成させるためのステップの一つです。次世代SAFがどのように形づくられているかについて、Ng博士は次のように述べました。「2040年までに、陸軍は次世代歩兵大隊と新しい装甲輸送船と榴弾砲を装備し、より機動的になり、より速く、より強く攻撃することができるようになります。
The Navy, with Multi-Role Combat Vessels, Invincible-class submarines and unmanned vessels, will be able to see and strike further at sea and in the depths to better protect our waters… The Next Gen Air Force, with F-15SGs, F-35s and Next Gen UAVs, will be more lethal, versatile (and) effective to better protect our skies. 「海軍は、多機能戦闘艦、インヴィンシブル級潜水艦、無人艇を備え、海や深海を見渡し攻撃できるようになり、海をより良く守ることができるようになります。次世代空軍は、F-15SG、F-35、次世代UAVを配備し、より破壊力が高く、多様に(そして)効果的に、我々の空をより良く守ることができるでしょう。
... (省略)

 

Mindef-singapore


 

2040年に向けた装備の図がありますね。。。

 

20220305-235408

| | Comments (0)

2022.03.05

NATO サイバーセキュリティセンター 量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功

こんにちは、丸山満彦です。

NATOのサイバーセキュリティセンターが量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功したと発表していますね。。。

具体的にはよくわからないですが、”Hybrid Post-Quantum VPN” で従来の技術とポスト量子技術を組み合わせているとなっていますね。。。

'harvest now and decrypt later'(今収集して後で分析する)という脅威もわからなくもないのですが、10年後に解析できたとして、その時にどれほど意味がある情報が残っているのか、、、という問題もあるかもですね。。。(軍としてはそうなのかもしれませんが、一般的には、、、)

 

NATO - NCI Agency

・2022.03.02 NATO Cyber Security Centre experiments with secure network capable of withstanding attack by quantum computers

NATO Cyber Security Centre experiments with secure network capable of withstanding attack by quantum computers NATOサイバーセキュリティセンター、量子コンピュータの攻撃に耐えるセキュアネットワークの実験に成功
Scientists have predicted that quantum computers will one day be able to break some commonly used encryption methods. 科学者たちは、量子コンピュータがいつの日か、一般的に使用されているいくつかの暗号化方式を破ることができると予測しています。
That's why NATO and Allies are already testing post-quantum solutions. そのため、NATOと同盟国はすでに耐量子ソリューションのテストを行っています。
The NATO Cyber Security Centre (NCSC) has successfully tested secure communication flows in a post-quantum world using a Virtual Private Network (VPN) provided by the United Kingdom-based company Post-Quantum. The NATO Cyber Security Centre, which is run by the NATO Communications and Information Agency (NCI Agency), protects NATO networks 24 hours a day, seven days a week. NATOサイバーセキュリティセンター(NCSC)は、英国のPost-Quantum社が提供する仮想プライベートネットワーク(VPN)を使用して、量子後の世界における安全な通信フローのテストに成功した。NATO通信情報庁(NCI庁)が運営するNATOサイバーセキュリティセンターは、24時間365日体制でNATOのネットワークを保護しています。
Post-Quantum provides different algorithms to ensure security, even when facing attackers using quantum computing. A VPN can use these algorithms to secure communications, ensuring that only the correct recipient can read the data. Such software is increasingly relied upon to protect remote connections when working from outside of traditional office environments, but also can be used in ensuring secure communications between mission partners in an operational environment. Post-Quantum社は、量子コンピューティングを利用した攻撃者に直面しても、セキュリティを確保できるよう、さまざまなアルゴリズムを提供している。VPNは、これらのアルゴリズムを使って通信を保護し、正しい受信者だけがデータを読めるようにすることができます。このようなソフトウェアは、従来のオフィス環境以外から仕事をする際のリモート接続の保護にますます頼りにされていますが、運用環境におけるミッションパートナー間の安全な通信の確保にも使用することができます。
Securing NATO's communications for the quantum era is paramount to our ability to operate effectively without fear of interception. With the threat of 'harvest now and decrypt later' looming over secure communications, this is an increasingly important effort to protect against current and future threats, said Konrad Wrona, Principal Scientist, NATO Cyber Security Centre. 量子時代のNATOの通信を保護することは、傍受の心配をせずに効果的に活動するために最も重要です。NATOサイバーセキュリティセンターの主席研究員であるKonrad Wrona氏は、「安全な通信には、『今収集して後で解読する』という脅威が迫っており、現在および将来の脅威から保護するために、これはますます重要な取り組みです」と述べています。
Post-Quantum is a 'Hybrid Post-Quantum VPN,' in that it combines both new post-quantum and traditional encryption algorithms. As it will take many years for the world to completely migrate to a quantum-safe future, it is more realistic to combine these new algorithms with better understood traditional encryption in order to ensure interoperability. The Post-Quantum solution was proposed to the Internet Engineering Task Force (IETF) for open standardisation. 耐量子は、新しい耐量子アルゴリズムと従来の暗号化アルゴリズムの両方を組み合わせた『ハイブリッド・耐量子VPN』です。世界が量子的に安全な未来に完全に移行するには何年もかかるため、相互運用性を確保するためには、これらの新しいアルゴリズムと、より理解されている従来の暗号を組み合わせることがより現実的です。耐量子暗号は、インターネット技術タスクフォース(IETF)に提案され、オープンな標準化が進められています。
This project was financed by Allied Command Transformation's VISTA (Versatile Innovation through Science & Technology Applications) framework which aims to utilize the knowledge and research done by the NATO enterprise, Nations, academia and industry in order to enable science and technology for accelerated warfare development. このプロジェクトは、Allied Command TransformationのVISTA(Versatile Innovation through Science & Technology Applications)フレームワークから資金提供を受けたもので、NATO企業、各国、学界、産業界が行った知識や研究を活用し、加速する戦争発展のための科学技術を可能にすることを目的としています。
Over ten years of deep R&D means we are well placed to engineer real-world quantum-safe solutions. This project with NATO is an important milestone in the world's migration to a quantum-safe ecosystem. Organizations would be wise to take action now, said Andersen Cheng, CEO, Post-Quantum. 「10年以上にわたる深い研究開発により、私たちは現実世界の量子安全ソリューションを設計するのに適した立場にあります。NATOとのプロジェクトは、世界が量子安全なエコシステムに移行するための重要なマイルストーンとなります。」と、Post-Quantum社のアンダーセン・チェングCEOは述べています。

Nci

| | Comments (0)

フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

こんにちは、丸山満彦です。

フランスのCERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

CERT-FR - RAPPORT MENACES ET INCIDENTS DU CERT-FR

・2022.03.02 Objet: Tensions internationales – Menace cyber

 

RAPPORT MENACES ET INCIDENTS DU CERT-FR CERT-FR 脅威・インシデントレポート
Objet: Tensions internationales – Menace cyber テーマ:国際的緊張 - サイバー脅威
Avertissement : Le rythme des opérations militaires en Ukraine, ainsi que les réactions internationales, entraînent des évolutions très rapides de la situation. En outre, de nombreuses informations circulant en ligne sont invérifiées. Les éléments présentés ne doivent pas être considérés comme exhaustifs et peuvent être obsolètes au moment de leur lecture. L’ANSSI s’efforcera de mettre à jour de manière régulière cette section en fonction de l’évolution de la situation. 注意 : ウクライナでの軍事作戦のペースや国際的な反応によって、状況は非常に急速に変化しています。また、ネット上に出回っている情報の多くは、検証されていません。また、掲載されている内容は、網羅性があるわけではなく、その時点で既に陳腐化している可能性があります。ANSSIは状況の進展に応じて、このセクションを定期的に更新するよう努めます。
Les tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie s’accompagnent d’effets dans le cyberespace. Si les combats en Ukraine sont principalement conventionnels, l’ANSSI constate l’usage de cyberattaques dans le cadre du conflit. Dans un espace numérique sans frontières, ces cyberattaques peuvent affecter des entités françaises et il convient sans céder à la panique de l’anticiper et de s’y préparer. Aussi, afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’ANSSI partage des bonnes pratiques de sécurité ainsi que des éléments sur la menace et invite l’ensemble des acteurs à s’en saisir. A cette fin, ce bulletin centralise et diffuse les éléments d’intérêt cyber en lien avec le contexte actuel pour favoriser le renforcement du niveau de protection de l’ensemble des entités françaises. Il sera mis à jour régulièrement. 現在、ロシアのウクライナ侵攻による国際的な緊張は、サイバースペースにも影響を及ぼしています。ウクライナでの戦闘は主に通常兵器によるものですが、ANSSIは紛争の一環としてサイバー攻撃が使用されていることを指摘しています。国境のないデジタル空間では、こうしたサイバー攻撃はフランスの企業にも影響を及ぼす可能性があり、慌てずに予測・準備することが望まれます。そこでANSSIは、このような事態の発生確率を可能な限り低減し、その影響を抑えるために、優れたセキュリティ対策や脅威に関する要素を共有し、すべての関係者にその活用を呼びかけています。このため、この公報は、すべてのフランス企業の保護レベルの強化を奨励するために、現在の状況に関連するサイバーに関する関心事項を集中的に伝え、普及させるものである。定期的に更新していく予定です。
ÉTAT DE LA MENACE 脅威の状況
Depuis le 23 février 2022, soit la veille du déclenchement de l’opération militaire russe en Ukraine, des cyberattaques assez diverses ont été constatées : ウクライナにおけるロシアの軍事作戦開始前日の2022年2月23日以降、さまざまなサイバー攻撃が観測されています。
Des attaques par déni de service distribué (DDoS) qui auraient notamment visé les sites des institutions gouvernementales mais également des banques ukrainiennes. Des groupes hackvitistes, dont certains répondant à l’appel du gouvernement ukrainien, ont également conduit des attaques par déni de service distribué à l’encontre de cibles russes ; 分散型サービス拒否(DDoS)攻撃は、特に政府機関のサイトやウクライナの銀行をターゲットにしていたはずです。また、ウクライナ政府の呼びかけに応じたハクティビスト集団が、ロシアの標的に対して分散型サービス拒否攻撃を行っている例もあります。
Des défigurations de sites internet en Ukraine, en Russie et en Biélorussie ; ウクライナ、ロシア、ベラルーシにおけるウェブサイトの改ざん。
Des tentatives d’intrusion sur les messageries électroniques avec du hameçonnage ciblé d’institutions ou des forces armées ukrainiennes ont également été rapportées ; また、ウクライナの機関や軍隊を狙ったフィッシングで、メールアカウントに侵入しようとする試みも報告されています。
Des cyberattaques avec des codes malveillants de sabotage (wiper) ont été identifiées. Ces actions, les plus destructrices, semblent parfois avoir été précédées par des exfiltrations de données. 悪質なワイパーコードによるサイバー攻撃が確認されています。最も破壊的なこれらの行動は、時にデータ流出が先行しているように見えます。
Ces cyberattaques ont des impacts limités pour le moment. これらのサイバー攻撃は、今のところ影響は限定的です。
Enfin, une partie de l’écosystème cybercriminel russophone s’est positionné dans le conflit en cours, le groupe cybercriminel Conti apportant par exemple son soutien au gouvernement russe. D’autres groupes ont toutefois déclaré rester neutres, se focalisant uniquement sur des objectifs lucratifs. Enfin, des cybercriminels ont déclaré souhaiter et être en mesure de cibler des infrastructures critiques russes. Cette division de l’écosystème cybercriminel combiné à d’éventuels effets d’aubaine incitent à la prudence en cas de cyberattaques, qui ne sauraient être interprétées trop rapidement comme une action commanditée dans le cadre du conflit.C22 最後に、ロシア語を話すサイバー犯罪者のエコシステムの一部は、進行中の紛争に自らを位置づけており、例えばサイバー犯罪者グループ「コンティ」はロシア政府を支援しています。一方、営利のみを目的とした中立的な立場を表明している団体もあります。最後に、サイバー犯罪者は、ロシアの重要インフラを標的にする意思と能力があることを表明しています。このようなサイバー犯罪のエコシステムの分断は、風評被害の可能性と相まって、サイバー攻撃は慎重に扱われるべきであり、紛争を背景とした行動として早急に解釈されるべきではないと考えています。
BONNES PRATIQUES グッドプラクティス
Mesures cyber préventives prioritaires 優先すべきサイバー防止策
Communication de crise クライシス・コミュニケーション
Gestion de crise 危機管理:
UTILISATION D’OUTILS NUMÉRIQUES LIÉS À LA RUSSIE ロシアに関連したデジタルツールの使用
Dans le contexte actuel, l’utilisation de certains outils numériques, notamment les outils de la société Kaspersky, peut être questionnée du fait de leur lien avec la Russie. A ce stade, aucun élément objectif ne justifie de faire évoluer l’évaluation du niveau de qualité des produits et services fournis. Des précautions élémentaires doivent cependant être prises : 現在の状況では、特定のデジタルツール、特にカスペルスキー社のツールの使用が、ロシアとの関連から疑問視される可能性があります。現段階では、提供される製品・サービスの品質に関する評価を変更する客観的な理由はありません。しかし、いくつかの基本的な注意事項を守る必要があります。
La déconnexion d’outils de cybersécurité dans un contexte de tensions dans le cyberespace et de cybercriminalité exacerbée peut fragiliser significativement la cybersécurité de votre organisation. Aussi, sans solution de substitution, cette déconnexion ne saurait être préconisée. サイバースペースにおける緊張とサイバー犯罪の悪化という状況の中で、サイバーセキュリティツールが切断されると、組織のサイバーセキュリティが著しく弱体化する可能性があります。したがって、代替案がなければ、この切断を推奨することはできません。
L’isolement de la Russie sur la scène internationale et le risque d’attaque contre les acteurs industriels liés à la Russie peut affecter la capacité de ces entreprises à fournir des mises à jour de leurs produits et services et donc de les maintenir à l’état de l’art nécessaire pour protéger leurs clients. A moyen-terme, une stratégie de diversification des solutions de cybersécurité doit par conséquent être envisagée. 国際舞台におけるロシアの孤立や、ロシアに関連する産業界のプレーヤーに対する攻撃のリスクは、これらの企業が製品やサービスのアップデートを提供する能力に影響を与え、その結果、顧客の保護に必要な最新状態を維持することができる可能性があります。したがって、中期的には、サイバーセキュリティ・ソリューションの多様化という戦略を検討する必要があります。
ÉLÉMENTS TECHNIQUES 技術的要素
Avertissement : Les marqueurs partagés par l’ANSSI proviennent d’éléments disponibles en sources ouvertes et ont vocation à fournir de la connaissance technique de base en lien avec la menace et être utilisés à des fins de détection et de protection. Ils ont fait l’objet d’une première qualification par l’ANSSI mais doivent néanmoins être manipulés avec précaution. Cette liste n’est pas exhaustive et sera mise à jour de manière régulière en fonction de l’évolution de la situation. 注意:ANSSIが共有するマーカーは、オープンソースで利用可能な要素に由来し、脅威に関する基本的な技術知識を提供し、検出や保護の目的に使用することを目的としています。ANSSIによる初期認定を受けたものですが、取り扱いには注意が必要です。このリストはすべてを網羅しているわけではなく、状況の進展に応じて定期的に更新されます。

 

Profile_images_1035137549830905857_gptkf

 

Nobelium :

・2021.12.06 Objet: Campagnes d’hameçonnage du mode opératoire d’attaquants Nobelium

 

NCSC-UK/CISA :

New Sandworm malware Cyclops Blink replaces VPNFilter

 

ESET :

2022.03.01 IsaacWiper and HermeticWizard: New wiper and worm targeting Ukraine

 

 

| | Comments (0)

文部科学省 教育情報セキュリティポリシーに関するガイドライン

こんにちは、丸山満彦です。

文部科学省が、教育情報セキュリティポリシーに関するガイドラインを公表していますね。。。

文部科学省

・2022.03.03 「教育情報セキュリティポリシーに関するガイドライン」公表について


...GIGAスクール構想における1人1台端末整備や高速大容量の校内通信ネットワーク整備が概ね整うなど、急速な学校ICT環境整備の推進を踏まえ、1人1台端末を活用するために必要なセキュリティ対策やクラウドサービスの活用を前提としたネットワーク構成等の課題に対応するため、本ガイドラインの改訂を行うとともに、本ガイドラインの中核となる考え方を解説したハンドブックを作成しました...


ということのようです。。。

で、主な修正箇所は、


主な改訂箇所(令和 4 年 3 月)
・「1.4.4. 教職員等の利用する端末や電磁的記録媒体等の管理」に振る舞い検知等の記述を追加
・「1.5.1. 教職員等の遵守事項」に校務端末の持ち出しに関する記述を適正化
・「1.6.1. コンピュータ及びネットワークの管理」に校務端末の使い分けについて対策毎に記述を適正化


ということのようです。。。

改訂説明資料のページ2に簡単にまとまっています。。。

20220305-45726

 

本文はこちらです。。。

・[PDF] 教育情報セキュリティポリシーに関するガイドライン(令和4年3月) 

20220305-45203

 

・[PDF]【見え消し版】教育情報セキュリティポリシーに関するガイドライン(令和4年3月)

 

ハンドブック

・[PDF] 教育情報セキュリティポリシーに関するガイドラインハンドブック(令和4年3月) 

20220304-222644

・[PDF]【見え消し版】教育情報セキュリティポリシーに関するガイドラインハンドブック(令和4年3月)

 

・[PDF] 教育情報セキュリティポリシーに関するガイドライン(令和4年3月)改訂説明資料  

20220305-45520

 


ガイドラインの目次...

本文 

第1章 本ガイドラインの目的

第2章 本ガイドライン制定の背景・経緯

第3章 地方公共団体における教育情報セキュリティの考え方

第4章 教育情報セキュリティポリシーの構成と学校を対象とした「対策基準」の必要性

第5章 教育現場におけるクラウドの活用について

『参考資料』 情報セキュリティ対策基準の例

1.1. 対象範囲及び用語説明

1.2. 組織体制

1.3. 情報資産の分類と管理方法

1.4. 物理的セキュリティ
1.4.1. サーバ等の管理
1.4.2. 管理区域(情報システム室等)の管理
1.4.3. 通信回線及び通信回線装置の管理
1.4.4. 教職員等の利用する端末や電磁的記録媒体等の管理

1.5. 人的セキュリティ
1.5.1. 教職員等の遵守事項
1.5.2. 研修・訓練
1.5.3. 情報セキュリティインシデントの報告
1.5.4. ID 及びパスワード等の管理

1.6. 技術的セキュリティ
1.6.1. コンピュータ及びネットワークの管理
1.6.2. アクセス制御
1.6.3. システム開発、導入、保守等
1.6.4. 不正プログラム対策
1.6.5. 不正アクセス対策
1.6.6. セキュリティ情報の収集

1.7. 運用
1.7.1. 情報システムの監視
1.7.2. 教育情報セキュリティポリシーの遵守状況の確認
1.7.3. 侵害時の対応等
1.7.4. 例外措置
1.7.5. 法令等遵守
1.7.6. 懲戒処分等

1.8 外部委託

1.9. クラウドサービスの利用
1.9.1. 学校現場におけるクラウドサービスの利用について
1.9.2 クラウドサービスの利用における情報セキュリティ対策
1.9.3 パブリッククラウド事業者のサービス提供に係るポリシー等に関する事項
1.9.4.
約款による外部サービスの利用
1.9.5. ソーシャルメディアサービスの利用

1.10. 事業者に対して確認すべきプライバシー保護に関する事項
1.11. クラウドサービス活用における個人情報について
1.12. 1人1台端末におけるセキュリティ
1.12.1. 学習者用端末のセキュリティ対策
1.12.2. 児童生徒におけるID及びパスワード等の管理
1.13. 評価・見直し
1.13.1. 監査
1.13.2. 自己点検
1.13.3. 教育情報セキュリティポリシー及び関係規程等の見直し

【参考別表】 権限・責任等一覧表

【参考】クラウドサービスの定義・分類 (「政府機関等の情報セキュリティ対策のための統一基準 平成30年度版」を参照)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.31 文部科学省 「教育情報セキュリティポリシーに関するガイドライン」公表について

 

| | Comments (0)

2022.03.04

内閣府 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律案 (2022.02.25)

こんにちは、丸山満彦です。

経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律案のリンク

 

内閣官房第208回 通常国会

・2022.02.25 経済安全保障法制準備室
経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律案

・[PDF] 概要

20220304-93756

・[PDF] 要綱

・[PDF] 法律案・理由

・[PDF] 新旧対照表

・[PDF] 参照条文


 

要綱の目次...

第一 総則
一 目的
二 基本方針
三 内閣総理大臣の勧告等
四 国の責務
五 この法律の規定による規制措置の実施に当たっての留意事項

第二 特定重要物資の安定的な供給の確保
一 安定供給確保基本指針
二 特定重要物資の指定
三 安定供給確保取組方針
四 供給確保計画
五 供給確保促進円滑化業務等実施基本指針
六 公庫の行う供給確保促進円滑化業務
七 供給確保促進円滑化業務実施方針
八 指定金融機関の指定
九 協定
十 監督命令
十一 中小企業投資育成株式会社法及び中小企業信用保険法の特例
十二 特定重要物資等に係る公正取引委員会との関係
十三 特定重要物資等に係る関税定率法との関係
十四 安定供給確保支援法人の指定及び業務
十五 安定供給確保支援業務規程
十六 安定供給確保支援法人基金
十七 秘密保持義務
十八 監督命令
十九 安定供給確保支援独立行政法人の指定及び業務
二十 安定供給確保支援独立行政法人に設置する安定供給確保支援独立行政法人基金
二十一 特別の対策を講ずる必要がある特定重要物資の指定等
二十二 施設委託管理者
二十三 資料の提出等の要求
二十四 報告徴収及び立入検査

第三 特定社会基盤役務の安定的な提供の確保
一 特定社会基盤役務基本指針
二 特定社会基盤事業者の指定
三 特定重要設備の導入等
四 特定重要設備の導入等に関する経過措置
五 特定重要設備の導入等後等の勧告及び命令
六 主務大臣の責務

第四 特定重要技術の開発支援
一 特定重要技術研究開発基本指針
二 国の施策
三 協議会
四 指定基金
五 調査研究

第五 特許出願の非公開
一 特許出願非公開基本指針
二 内閣総理大臣への送付
三 内閣総理大臣による保全審査
四 保全審査中の発明公開の禁止
五 保全審査の打切り
六 保全指定
七 保全指定をしない場合の通知
八 特許出願の取下げの制限
九 保全対象発明の実施の制限
十 保全対象発明の開示禁止
十一 保全対象発明の適正管理措置
十二 発明共有事業者の変更
十三 保全指定の解除等
十四 外国出願の禁止
十五 外国出願の禁止に関する事前確認
十六 損失の補償
十七 後願者の通常実施権
十八 特許法等の特例
十九 勧告及び改善命令

第六 その他
一 主務大臣等
二 行政手続法の適用除外
三 経過措置
四 国際約束の誠実な履行
五 命令への委任

第七 罰則

第八 附則
一 この法律の施行期日に関する必要な規定を設けること。
二 第五の二の1に関する経過措置について定めること。
三 二のほか、この法律の施行に関し必要な経過措置は、政令で定めるものとすること。
四 政府は、この法律の施行後三年を目途として、この法律の施行の状況について検討を加え、必要があると認めるときは、その結果に基づいて必要な措置を講ずるものとすること。
五 関係法律について所要の改正を行うこと。


・[DOCX] 横書き変換

 

 

 

| | Comments (0)

個人情報保護委員会 医療関連分野ガイダンスが確定

こんにちは、丸山満彦です。

個人情報保護委員会が意見募集をしていた、医療関連分野のガイダンスが確定したようですね。。。

 

個人情報保護委員会

特定分野ガイドライン - 医療関連分野ガイダンス

・2022.03.02 医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンス

[HTML][PDF]

  • 医療・介護

    [PDF]

・2022.03.02 健康保険組合等における個人情報の適切な取扱いのためのガイダンス

[HTML][PDF]

  • 健保組合

    [PDF]

・2022.03.02 国民健康保険組合における個人情報の適切な取扱いのためのガイダンス

[HTML][PDF]

  • 国保組合

    [PDF]

・2022.03.02 国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンス

[HTML][PDF]

 


意見募集結果

● e-Gov.

・2022.03.01 「医療・介護関係事業者における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集の結果について

・2022.03.01 「健康保険組合等における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集の結果について

・2022.03.01 「国民健康保険組合における個人情報の適切な取扱いのためのガイダンスの一部改正案」及び「国民健康保険団体連合会等における個人情報の適切な取扱いのためのガイダンスの一部改正案」に関する意見募集の結果について

 


 

意見募集時...

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.25 個人情報保護委員会 意見募集 各分野別個人情報保護ガイドラインの改正案

Ppc_logo_20210325120001_20210520035201

 

| | Comments (0)

経済産業省 パブコメ 「アジャイル・ガバナンスの概要と現状」報告書(案)

こんにちは、丸山満彦です。

経済産業省が、「アジャイル・ガバナンスの概要と現状」報告書(案)
について、意見募集をしていますね。。。

経済産業省

・2022.03.03 「アジャイル・ガバナンスの概要と現状」報告書(案)の意見公募手続(パブリックコメント)を開始しました

 


2. 本報告書(案)の目的
  • 2編のガバナンス・イノベーション報告書で示した「アジャイル・ガバナンス」の全体像を整理すること(第一部)
  • アジャイル・ガバナンスの実践プロセスを整理すること(第二部)
  • アジャイル・ガバナンスを実装するために必要な環境整備とインセンティブ設計について国内外の具体例も踏まえつつ示すこと(第三部)

意見募集対象

20220304-20904

 

第一部 アジャイル・ガバナンスの概要

1 なぜ「イノベーション」に「ガバナンス」が必要か
1.1
イノベーションとは何か
1.2
高まる「ガバナンス」の重要性

2 なぜ「ガバナンス」に「イノベーション」が必要か
2.1
社会の複雑化とゴールの多様化
2.2
伝統的なガバナンスモデルの限界

3 目指すガバナンスモデル ―アジャイル・ガバナンス・モデル
3.1 主体:マルチステークホルダー
3.2
手順:アジャイル
3.3
構造:マルチレイヤー

第二部 アジャイル・ガバナンスの実践プロセス

4 アジャイル・ガバナンスの実践プロセス
4.1
ゴール設定
4.2
ガバナンスの全体像のデザイン(ガバナンス・オブ・ガバナンス)
4.3
個別具体的なガバナンスシステムのデザイン
4.4
各ステークホルダーによるガバナンスシステムの運用
4.5
評価と学習
4.6
環境・リスクの再分析とゴールの再設定

第三部 アジャイル・ガバナンス実践のための環境整備

5 ステークホルダー間の連携体制の構築
5.1
政府の政策決定への参加機会の確保
5.2
企業のガバナンスに関する対話の機会の確保
5.3
官民の垣根を越えた知の共有

6 アジャイル・ガバナンスの実践に向けたインセンティブ設計
6.1
企業に対するインセンティブ設計
6.2
政府に対するインセンティブ設計
6.3
個人・コミュニティに対するインセンティブ設計

7 アジャイル・ガバナンスの実践に向けた国際協調



 

関連

・ 2021.07.30 「GOVERNANCE INNOVATION Ver.2: アジャイル・ガバナンスのデザインと実装に向けて」報告書を取りまとめました

 ・[PDF] 日本語版「GOVERNANCE INNOVATION Ver.2: アジャイル・ガバナンスのデザインと実装に向けて」報告書

20220304-21340

 

・2020.07.13 「GOVERNANCE INNOVATION: Society5.0の実現に向けた法とアーキテクチャのリ・デザイン」報告書を取りまとめました

 ・[PDF] [日本語版]GOVERNANCE INNOVATION: Society5.0の実現に向けた法とアーキテクチャのリ・デザイン

20220304-21830

 

| | Comments (0)

個人情報保護委員会 令和2年改正個人情報保護法に関する広報資料

こんにちは、丸山満彦です。

個人情報保護委員会が、令和2年改正個人情報保護法に関する広報資料を公表していますね。。。

 

個人情報保護委員会

・2022.03.02 令和2年改正個人情報保護法に関する広報資料を公表しました

 

・[PDF] 令和2年改正個人情報保護法概要リーフレット (令和4年2月)

20220304-15350

 

・[PDF] はじめての個人情報保護法シンプルレッスン(令和4年2月)

20220304-15440

 

・[PDF] 民間事業者向け 個人情報保護法ハンドブック(令和4年2月)

20220304-15512

 

 

 

| | Comments (0)

2022.03.03

米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

こんにちは、丸山満彦です。

米国 司法省が「タスクフォース KleptoCapture」を発足したと発表していますね。。。SWIFTから切り離しの効果を高めるために暗号資産も使いにくくする感じですかね。。。まぁ、人民元の決済、国際銀行間決済システム(CIPS)がありますかね。。。CIPSは中国以外では日本が一番参加していたような。。。

Department of Justice

・2022.03.02 Attorney General Merrick B. Garland Announces Launch of Task Force KleptoCapture

 

Attorney General Merrick B. Garland Announces Launch of Task Force KleptoCapture メリック・B・ガーランド司法長官、タスクフォース「KleptoCapture」の発足を発表
Task Force Will Surge Federal Law Enforcement Resources to Hold Accountable Corrupt Russian Oligarchs タスクフォースは、腐敗したロシアのオリガルヒの責任を追及するために、連邦法執行機関のリソースを急増させます。
Today, Attorney General Merrick B. Garland announced the launch of Task Force KleptoCapture, an interagency law enforcement task force dedicated to enforcing the sweeping sanctions, export restrictions, and economic countermeasures that the United States has imposed, along with allies and partners, in response to Russia’s unprovoked military invasion of Ukraine. Task Force KleptoCapture will ensure the full effect of these actions, which have been designed to isolate Russia from global markets and impose serious costs for this unjustified act of war, by targeting the crimes of Russian officials, government-aligned elites, and those who aid or conceal their unlawful conduct. 本日、メリック・B・ガーランド司法長官は、タスクフォース KleptoCaptureを立ち上げることを発表しました。ロシアのウクライナへの無謀な軍事侵攻に対し、米国が同盟国やパートナーとともに発動した大規模な制裁措置、輸出制限、経済対策を執行するための省庁横断の法執行タスクフォースです。タスクフォース KleptoCaptureは、ロシアを世界市場から孤立させ、この不当な戦争行為に深刻なコストを課すために設計されたこれらの行動の完全な効果を、ロシア当局者、政府と連携するエリート、および彼らの不法行為を支援または隠蔽する人々の犯罪を標的とすることによって確保します。
“The Justice Department will use all of its authorities to seize the assets of individuals and entities who violate these sanctions,” said Attorney General Merrick B. Garland. “We will leave no stone unturned in our efforts to investigate, arrest, and prosecute those whose criminal acts enable the Russian government to continue this unjust war. Let me be clear: if you violate our laws, we will hold you accountable.” 「司法省は、これらの制裁に違反した個人および団体の資産を差し押さえるために、あらゆる権限を行使する」と、メリック・B・ガーランド司法長官は述べました。「我々は、ロシア政府がこの不当な戦争を続けることを可能にする犯罪行為を行う者を調査し、逮捕し、起訴するために、あらゆる手段を講じるつもりです。もしあなたが我々の法律に違反したなら、我々はあなたに責任を負わせるでしょう。
“To those bolstering the Russian regime through corruption and sanctions evasion: we will deprive you of safe haven and hold you accountable,” said Deputy Attorney General Lisa O. Monaco. “Oligarchs be warned: we will use every tool to freeze and seize your criminal proceeds.” 司法長官代理のリサ・O・モナコは、「汚職や制裁逃れによってロシア政権を支えている者たちへ:我々はあなたたちの安全な避難所を奪い、責任を取らせます。オリガルヒに警告します。我々はあらゆる手段を用いて、犯罪収益を凍結し、押収します。」と述べました。
Task Force KleptoCapture will be run out of the Office of the Deputy Attorney General and staffed with prosecutors, agents, analysts, and professional staff across the Department who are experts in sanctions and export control enforcement, anticorruption, asset forfeiture, anti-money laundering, tax enforcement, national security investigations, and foreign evidence collection. It will leverage all the Department’s tools and authorities against efforts to evade or undermine the economic actions taken by the U.S. government in response to Russian military aggression. The mission of the Task Force will include: タスクフォース KleptoCaptureは、副司法長官室によって運営され、制裁と輸出規制の執行、汚職防止、資産没収、反マネーロンダリング、税務執行、国防調査、外国の証拠収集の専門家である検事、捜査官、アナリスト、省内の専門スタッフで構成されます。ロシアの軍事侵攻に対抗して米国政府がとった経済行動を回避したり、弱体化させたりする動きに対して、同省のあらゆる手段や権限を活用します。タスクフォースの使命は以下の通りです。
・Investigating and prosecuting violations of new and future sanctions imposed in response to the Ukraine invasion, as well as sanctions imposed for prior instances of Russian aggression and corruption; ・ウクライナ侵攻に対応するために課された新規および将来の制裁措置、ならびにロシアの過去の侵略や汚職に対して課された制裁措置の違反の調査および訴追
・Combating unlawful efforts to undermine restrictions taken against Russian financial institutions, including the prosecution of those who try to evade know-your-customer and anti-money laundering measures; ・顧客確認やマネーロンダリング対策を回避しようとする者の訴追など、ロシアの金融機関に対する制限を弱体化させようとする違法な取り組みへの対抗
・Targeting efforts to use cryptocurrency to evade U.S. sanctions, launder proceeds of foreign corruption, or evade U.S. responses to Russian military aggression; and ・暗号通貨を利用した米国の制裁の回避、海外汚職収益の洗浄、ロシアの軍事侵攻に対する米国の対応の回避に照準を合わせること
・Using civil and criminal asset forfeiture authorities to seize assets belonging to sanctioned individuals or assets identified as the proceeds of unlawful conduct. ・民事および刑事の資産没収権限を用いてた制裁対象者の資産や違法行為の収益と特定された資産の押収
The Task Force will be fully empowered to use the most cutting-edge investigative techniques — including data analytics, cryptocurrency tracing, foreign intelligence sources, and information from financial regulators and private sector partners — to identify sanctions evasion and related criminal misconduct. タスクフォースは、制裁逃れと関連する犯罪行為を特定するために、データ分析、暗号通貨追跡、外国情報源、金融規制当局と民間部門のパートナーからの情報など、最先端の調査技術を使用する権限を完全に与えられます。
Arrests and prosecution will be sought when supported by the facts and the law. Even if defendants cannot be immediately detained, asset seizures and civil forfeitures of unlawful proceeds — including personal real estate, financial, and commercial assets — will be used to deny resources that enable Russian aggression. Where appropriate, information gathered through Task Force investigations will be shared with interagency and foreign partners to augment the identification of assets that are covered by the sanctions and new economic countermeasures.   事実と法律の裏付けがあれば、逮捕と起訴は行われます。被告人を直ちに拘束できない場合でも、個人の不動産、金融、商業資産を含む不法な収益の資産差し押さえと民事没収は、ロシアの侵略を可能にする資源を否定するために使われます。適切な場合には、タスクフォースの調査を通じて集められた情報は、制裁と新しい経済対策の対象となる資産の特定を補強するために、省庁間および外国のパートナーと共有されることになります。 
Task Force KleptoCapture will complement the work of the transatlantic task force announced by the President and leaders of the European Commission, France, Germany, Italy, the United Kingdom, and Canada on Feb. 26, which has a mission to identify and seize the assets of sanctioned individuals and companies around the world. タスクフォース KleptoCaptureは、2月26日に大統領と欧州委員会、フランス、ドイツ、イタリア、英国、カナダの指導者が発表した大西洋横断タスクフォースの作業を補完するもので、世界中の制裁対象の個人と企業の資産を特定し押収する使命を担っています。
Task Force KleptoCapture will be led by a veteran corruption prosecutor assigned to the Deputy Attorney General’s Office from the U.S. Attorney’s Office for the Southern District of New York. This prosecutor has a long and successful track record of investigating Russian organized crime and recovering illicit assets. The Task Force leadership will include Deputy Directors from both the National Security and Criminal Divisions, and more than a dozen attorneys from these divisions, as well as the Tax Division, Civil Division, and U.S. Attorneys’ Offices across the country. タスクフォース KleptoCaptureは、ニューヨーク南地区連邦検事局から副司法長官室に配属されたベテランの汚職検察官が指揮を執ることになります。この検事は、ロシアの組織犯罪を捜査し、不正な資産を回収することに長年成功した実績を持っています。タスクフォースのリーダーには、国家安全保障部門と刑事部門の両方から副部長、これらの部門から10数名の弁護士、さらに税務部門、民事部門、全米の連邦検事事務所が参加します。
The Task Force will include agents and analysts from numerous law enforcement agencies, including the FBI; U.S. Marshals Service, U.S. Secret Service; Department of Homeland Security–Homeland Security Investigations; IRS–Criminal Investigation; and the U.S. Postal Inspection Service. タスクフォースには、FBI、米国連邦保安局、米国シークレットサービス、国土安全保障省-国土安全保障調査局、IRS-犯罪捜査局、米国郵政公社など多数の法執行機関の捜査官やアナリストが参加する予定です。
The Task Force is authorized to investigate and prosecute any criminal offense related to its mission, including conspiracy to defraud the United States by interfering in and obstructing lawful government functions; money laundering; false statements to a financial institution; bank fraud; and various tax offenses. The maximum penalty under several of these authorities is 20 years in prison. タスクフォースは、合法的な政府機能を妨害して米国を詐取する陰謀、マネーロンダリング、金融機関への虚偽の陳述、銀行詐欺、およびさまざまな税法違反など、その任務に関連するあらゆる犯罪を捜査および起訴する権限を有します。これらの当局のいくつかの規定では、最高刑は懲役20年です。

 

1_20220303152201

 

| | Comments (0)

笹川平和財団 「我が国のサイバー安全保障の確保」事業 政策提言 "外国からのディスインフォメーションに備えを! ~サイバー空間の情報操作の脅威~" (2022.02.07)

こんにちは、丸山満彦です。

笹川平和財団が、2022.02.07 に「我が国のサイバー安全保障の確保」事業 政策提言 "外国からのディスインフォメーションに備えを! ~サイバー空間の情報操作の脅威~" を公表していましたね。。。

委員の方は、西川徹矢先生、東秀敏先生、川口貴久先生、高野聖玄先生、土屋大洋先生、中谷昇先生、山本一郎先生、湯淺墾道先生ということですね。。。

【政策提言のポイント】 

1.ディスインフォメーション対策を行う情報収集センターの設置

2.選挙インフラを重要インフラに指定

3.情報操作型サイバー攻撃に対するACD(アクティブサイバーディフェンス)実施体制の整備

4.政府とプラットフォーマーによる協同規制の取り組みと行動規範の策定の推進

5.メディアリテラシー教育環境の拡充

となっていますね。。。

 

笹川平和財団

・2022.02.07 「我が国のサイバー安全保障の確保」事業 政策提言 "外国からのディスインフォメーションに備えを! ~サイバー空間の情報操作の脅威~"

・[PDF]  政策提言本文

20220303-135837

・[PDF] 要旨集

20220303-140235

 

 

 

| | Comments (0)

一般社団法人情報通信技術委員会 JT-X1060 - サイバーディフェンスセンターを構築・運用するためのフレームワーク (2022.02.24)

こんにちは、丸山満彦です。

一般社団法人情報通信技術委員会 (TTC)  が、「JT-X1060 - サイバーディフェンスセンターを構築・運用するためのフレームワーク」を公表していました。。。

昨年10月にITUが発表した、ITU-T X.1060 Framework for the creation and operation of a cyber defence centre を日本の標準にしたものですね。。。

ただ、この国際標準の策定については、日本のメンバーが精力的に関与したようですので、是非、日本の方が利用するとよいですね。。。

その際には、私も作成に関与している経済産業省のサイバーセキュリティ経営ガイドライン Ver2.0』も参考にしているようですね。。。あと、産業横断サイバーセキュリティ検討会の『ユーザ企業のためのセキュリティ統括室 構築・運用キット(統括室キット)』も参考になるようです。。。

サイバーディフェンスセンターの定義については、

サイバーディフェンスセンター (CDS) cyber defence centre (CDC)
組織において、ビジネス活動におけるサイバーセキュリティリスクを管理するためのセキュリティサービスを提供する主体。 An entity within an organization that offers security services to manage the cybersecurity risks of its business activities

となっていますね。。。

位置付けは次の図がわかりやすいですね。。。

20220303-53311

図 1 CDC の運営における関係者とその役割

一般社団法人情報通信技術委員会 (TTC) 

・2022.02.24 JT-X1060 - サイバーディフェンスセンターを構築・運用するためのフレームワーク

・[PDF]  [Downloaded]

20220303-53213

・[PDF] 概要

 

● ITU

・2021.10.11 X.1060 : Framework for the creation and operation of a cyber defence centre

・[PDF] English

20220303-53225

 

目次です。。。

Ⅲ.<目次> Ⅲ.<Table of contents>
1. 規定範囲 1 Scope
2. 参考文献 2 References
3. 定義 3 Definitions
3.1. 他の標準等で定義されている用語 3.1 Terms defined elsewhere
3.2. 本標準で定義する用語 3.2 Terms defined in this Recommendation
4. 略語及び頭字語 4 Abbreviations and acronyms
5. 規則 5 Conventions
6. 本勧告の構成 6 Structure of this Recommendation
7. サイバーディフェンスセンターの概要 7 Overview of a cyber defence centre
8. サイバーディフェンスセンターを構築・運用するためのフレームワーク 8 Framework for the creation and operation of a CDC
9. 構築プロセス 9 Build process
9.1. 概要 9.1 Overview
9.2. CDC サービスの推奨レベル 9.2 CDC service recommendation level
9.3. CDC サービスの割り当て 9.3 CDC service assignment
9.4. CDC サービスのアセスメント 9.4 CDC service assessment
10. マネジメントプロセス 10 Management process
11. 評価プロセス 11 Evaluation process
11.1. 概要 11.1 Overview
11.2. CDC サービスカタログの評価 11.2 CDC service catalogue evaluation
11.3. CDC サービスプロファイルの評価 11.3 CDC service profile evaluation
11.4. CDC サービスポートフォリオの評価 11.4 CDC service portfolio evaluation
12. CDC サービスカテゴリーとサービスリスト 12 CDC service categories and service list

 


 

X.1060 の策定に関わった武井 滋紀さんの解説記事がわかりやすいかもですね。。。今は第3回までありますが、第4回で完結するようです。。。

Enterprise Zine 

・2022.02.22 【第3回】X.1060の構築プロセスとマネジメントプロセス- 日本企業が進めやすい「サイバーディフェンスセンター」の設置 X.1060実現に向けたアプローチとは

・2022.01.25 【第2回】X.1060の構築プロセスとサービスリスト - なぜ日本に有利な国際標準なのか? 各ドキュメントと比較して「X.1060」導入方法を解説

・2021.12.13 第1回】国際標準「X.1060」概説 - 日本の実情が反映された新国際標準「X.1060」とは何か 編纂者がセキュリティの変遷から紐解く

| | Comments (0)

2022.03.02

NIST ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTが、ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティを公表し、意見募集をしていますね。。。

ちょうどトヨタ系のTier1会社がサイバー攻撃をうけたことにより、トヨタ系列の工場が1日止まったこともありますし、経済的な問題として、これは重要なテーマですね。。。

実験環境は次のような感じですね。。。

20220302-21747図1: 実験室のハイレベルなアーキテクチャ

 

NIST- ITL

・2022.02.28 White Paper (Draft) [Project Description] Responding to and Recovering from a Cyberattack: Cybersecurity for the Manufacturing Sector

White Paper (Draft) [Project Description] Responding to and Recovering from a Cyberattack: Cybersecurity for the Manufacturing Sector ホワイトペーパー(案) 【プロジェクト概要】サイバー攻撃への対応と復旧:製造業のためのサイバーセキュリティ
Announcement 発表内容
The release of this draft project description (from NIST's National Cybersecurity Center of Excellence [NCCoE]) begins a process to further identify project requirements, scope, hardware, and software components for use in a laboratory demonstration environment. このプロジェクト説明書ドラフト(NISTのNational Cybersecurity Center of Excellence [NCCoE]による)の公開により、実験室の実証環境で使用するためのプロジェクトの要件、範囲、ハードウェア、ソフトウェアコンポーネントをさらに特定するプロセスが開始されました。
We would like your feedback on this draft to help refine the project scope. The comment period is now open and will close on April 14, 2022. このドラフトについて、プロジェクトの範囲を絞り込むために、皆様からのご意見をお待ちしています。意見募集は現在行われており、2022年4月14日に締め切られる予定です。
In the laboratory, the NCCoE will build an example solution using commercially available technology that demonstrates an approach for responding to and recovering from a cyber attack within a manufacturing environment by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response. The project will result in a freely available NIST Cybersecurity Practice Guide. NCCoEは、実験室において、以下のサイバーセキュリティ機能(イベントレポート、ログレビュー、イベント分析、インシデント処理と対応)を活用し、製造環境内でサイバー攻撃への対応と復旧のためのアプローチを実証する、市販の技術を用いたソリューション例を構築する予定である。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドとして結実する予定です。
Abstract 概要
Industrial control systems (ICS) and devices that run manufacturing environments play a critical role in the supply chain. Manufacturing organizations rely on ICS to monitor and control physical processes that produce goods for public consumption. These same systems are facing an increasing number of cyber attacks, presenting a real threat to safety and production, and economic impact to a manufacturing organization. Though defense-in-depth security architecture helps to mitigate cyber risks to some extent, it cannot guarantee elimination of all cyber risks; therefore, manufacturing organizations should also have a plan to recover and restore manufacturing operations should a cyber attack impact the plant operation. The goal of this project is to demonstrate a means to recover equipment from cyber attacks and restore operations. The NCCoE, part of NIST’s Information Technology Laboratory, in conjunction with the NIST Communications Technology Laboratory (CTL) and industry collaborators, will demonstrate an approach for responding to and recovering from an ICS attack within the manufacturing sector by leveraging the following cybersecurity capabilities: event reporting, log review, event analysis, and incident handling and response.  The NCCoE and the CTL will map the security characteristics to the NIST Cybersecurity Framework; the National Initiative for Cybersecurity Education Framework; and NIST Special Publication 800-53, Security and Privacy Controls for Federal Information Systems and Organizations, and will provide commercial off the shelf (COTS) based modular security controls for manufacturers. NCCoE will implement each of the listed capabilities in a discrete-based manufacturing work-cell that emulates a typical manufacturing process. This project will result in a freely available NIST Cybersecurity Practice Guide. 製造環境を動かす産業用制御システム(ICS)と装置は、サプライチェーンにおいて重要な役割を担っています。製造業は、一般消費者向けの商品を生産する物理的なプロセスを監視・制御するためにICSに依存しています。これらのシステムは、増加するサイバー攻撃に直面しており、安全性、生産性、そして製造業への経済的影響に対する真の脅威となっています。深層防護のセキュリティアーキテクチャは、サイバーリスクをある程度軽減するのに役立ちますが、すべてのサイバーリスクを排除することを保証するものではありません。このプロジェクトの目標は、サイバー攻撃から機器を復旧し、操業を復旧する手段を実証することです。NISTの情報技術研究所に属するNCCoEは、NIST通信技術研究所(CTL)および業界の協力者とともに、イベント報告、ログ確認、イベント分析、インシデントレスポンスおよび対応というサイバーセキュリティ機能を活用して、製造部門におけるICS攻撃への対応と復旧のためのアプローチを実証します。  NCCoEとCTLは、セキュリティ特性をNISTサイバーセキュリティフレームワーク、サイバーセキュリティ教育フレームワークのための国家イニシアティブ、NIST SP 800-53 連邦政府システム及び職員のためのセキュリティとプライバシーコントロールにマッピングし、メーカー向けにCOTSベースのモジュール式セキュリティ制御を提供します。NCCoEは、典型的な製造プロセスをエミュレートするディスクリートベースの製造ワークセルに、記載された各機能を実装します。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定です。

 

・[PDF] Draft Project Description

20220302-22318

 

TABLE OF CONTENTS  目次 
1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions 前提条件
Challenges 課題
Background 背景
2 Cybersecurity Capabilities to be Demonstrated 2 実証されるべきサイバーセキュリティ能力
Event Reporting イベント報告
Log Review ログ確認
Event Analysis イベント分析
Incident Handling and Response インシデントハンドリングとレスポンス
Eradication and Recovery 根絶と復旧
3 Cyber Attack Scenarios+B3B23 3 サイバー攻撃シナリオ
Scenario 1 - Unauthorized Command Message シナリオ 1 - 無許可のコマンドメッセージ
Scenario 2 – Modification of Process or Controller Parameters シナリオ 2 - プロセスまたはコントローラパラメータの変更
Scenario 3 – Disabling or Encrypting HMI or Operator Console シナリオ 3 - HMI またはオペレータ コンソールの無効化または暗号化
Scenario 4 – Data Historian Compromise シナリオ 4 - データヒストリアの危殆化
Scenario 5 – Unauthorized Connection is Detected シナリオ 5 - 不正な接続が検出された場合
Scenario 6 – Unauthorized Device is Detected シナリオ 6 - 未承認のデバイスが検出される
4 Architecture and Capabilities of Lab Environment 4 実験室環境の構成と機能
Testbed Architecture テストベッドアーキテクチャ
The Process プロセス
Key Control System Components 制御系主要コンポーネント
Supporting Systems サポートシステム
Overview of Laboratory Capabilities 実験室機能の概要
5 Solution Capabilities and Components 5 ソリューション機能と構成要素
6 Relevant Standards and Guidance 6 関連する規格とガイダンス
7 Security Control Map 7 セキュリティ・コントロール・マップ

 

1 EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
This document defines an NCCoE project focused on responding to and recovering from a cyber attack within an Industrial Control System (ICS) environment. Manufacturing organizations rely on ICS to monitor and control physical processes that produce goods for public consumption.  本書は、産業用制御システム(ICS)環境におけるサイバー攻撃への対応と復旧に焦点を当てた NCCoE プロジェクトを定義するものです。製造業は、一般消費者向けの商品を生産する物理的なプロセスを監視・制御するために ICS に依存しています。
These same systems are facing an increasing number of cyber attacks resulting in a loss of production from destructive malware, malicious insider activity, or honest mistakes. This creates the imperative for organizations to be able to quickly, safely, and accurately recover from an event that corrupts or destroys data (such as database records, system files, configurations, user files, application code).  これらのシステムは、破壊的なマルウェア、悪意のあるインサイダーの活動、または単純なミスによって生産が失われるサイバー攻撃の増加に直面しています。このため、データ(データベース記録、システムファイル、設定、ユーザーファイル、アプリケーションコードなど)を破損または破壊する事象から、迅速、安全、かつ正確に復旧できることが組織にとって不可欠となっています。
The purpose of this NCCoE Project is to demonstrate how to operationalize the NIST Framework for Improving Critical Infrastructure Cybersecurity (CSF) Functions and Categories in a scaled-down version of targeted manufacturing industrial environments. Multiple systems need to work together to recover when data integrity is compromised. This project explores methods to effectively restore data corruption in commodity components (applications and software configurations) as well as custom applications and data. The NCCoE—in collaboration with members of the business community and vendors of cybersecurity solutions—will identify standards-based, commercially available and open-source hardware and software components to design a manufacturing lab environment to address the challenge of responding to and recovering from a cyber attack of an ICS environment.    この NCCoE プロジェクトの目的は、NIST 重要インフラのサイバーセキュリティ向上のためのフレームワーク(CSF) 機能とカテゴリー を、対象とする製造業の産業環境を縮小して運用する方法を実証することです。データの完全性が損なわれた場合、複数のシステムが連携して復旧する必要があります。このプロジェクトでは、コモディティコンポーネント(アプリケーションとソフトウェア構成)だけでなく、カスタムアプリケーションやデータの破損を効果的に修復する方法を探ります。NCCoEは、ビジネス・コミュニティのメンバーやサイバーセキュリティ・ソリューションのベンダーと協力し、標準ベースの、市販およびオープンソースのハードウェアとソフトウェアのコンポーネントを特定し、ICS環境に対するサイバー攻撃への対応と復旧という課題に対応する製造実験室環境を設計します。  
This project will result in a publicly available NIST Cybersecurity Practice Guide; a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge.  このプロジェクトは、一般に利用可能なNISTサイバーセキュリティ実践ガイド、すなわちこの課題に対処するサイバーセキュリティ参照設計を実装するために必要な実践的ステップの詳細な実装ガイドを作成することになる。
Scope  対象範囲 
This project will demonstrate how to respond to and recover from a cyber attack within an ICS environment. Once a cybersecurity event is detected, typically the following tasks take place before the event is satisfactorily resolved.  このプロジェクトは、ICS環境におけるサイバー攻撃への対応と復旧の方法を示すものである。サイバーセキュリティイベントが検出されると、イベントが満足に解決されるまでに、通常、次のタスクが行われます。
1. Event reporting  1. イベント報告 
2. Log review  2. ログ確認 
3. Event analysis  3. イベント分析 
4. Incident handling and response  4. インシデントハンドリングと対応 
5. Eradication and Recovery  5. 根絶と復旧 
NIST Cybersecurity Framework Respond and Recover functions and categories are used to guide this project. The objective of NIST Cybersecurity Framework Respond function is to develop and implement the appropriate activities to take action regarding a detected cybersecurity event.  NIST サイバーセキュリティ・フレームワークの対応と復旧の機能とカテゴリがこのプロジェクトの指針として使用されています。NIST サイバーセキュリティ・フレームワークの対応機能の目的は、検出されたサイバーセキュリティイベントに関して行動を起こすための適切な活動を開発し、実施することである。
The objective of Recover function is to develop and implement the appropriate activities to maintain plans for resilience and to restore any capabilities or services that were impaired due to a cybersecurity event.   復旧機能の目的は、復旧のための計画を維持し、サイバーセキュリティイベントによって損なわれた能力やサービスを復旧するための適切な活動を開発し、実施することである。 
Out of scope for this project is systems such as enterprise resource planning (ERP), manufacturing resource planning (MRP), manufacturing execution systems (MES) that operate on traditional IT infrastructures that runs on Windows or Linux OS. These IT systems have well documented recovery tools available including those documented in NIST Cybersecurity Practice Guide SP 1800-11, Data Integrity: Recovering from Ransomware and Other Destructive Events.   このプロジェクトの対象外は、WindowsやLinux OSで動作する従来のITインフラで動作する企業資源計画(ERP)、製造資源計画(MRP)、製造実行システム(MES)などのシステムである。これらのITシステムには、NIST サイバーセキュリティ実践ガイド SP 1800-11「データ完全性」に記載されているものを含め、よく知られた復旧ツールが用意されています。ランサムウェアやその他の破壊的なイベントからの復旧」に記載されているものを含む、十分に文書化された復旧ツールがあります。 
Assumptions  前提条件 
This project assumes that the attack is discovered after impact has occurred or immediately prior to impact occurring. It is assumed that the adversary has done preliminary work to gain access, perform discovery, and lateral movement as needed to setup for each scenario. A comprehensive security architecture should be designed to catch an adversary during all steps of the kill chain including initial access, discovery, and lateral movement. However, a comprehensive defense should also be prepared to restore and recover in the event that an adversary is not detected until it is too late. This guide focuses on the, hopefully rare, event of an adversary causing an impact.   このプロジェクトでは、影響が発生した後、または影響が発生する直前に攻撃が発見されることを想定しています。敵対者は、各シナリオのセットアップに必要なアクセス権獲得、発見、横移動のための事前作業を行っているものと想定しています。包括的なセキュリティアーキテクチャは、最初のアクセス、発見、横方向への移動を含むキルチェーンのすべてのステップで敵対者を捕らえるように設計されるべきです。しかし、包括的な防御は、敵対者が手遅れになるまで発見されなかった場合の復元と復旧の準備も必要です。このガイドでは、敵対者が影響を及ぼすという、できれば稀なケースに焦点を当てます。 
This project assumes:   このプロジェクトは以下を想定しています。 
• The effectiveness of the example solutions are independent of the scale of the manufacturing environment.    ・例示したソリューションの有効性は製造環境の規模に依存しない。
• The lab infrastructure this project will be executed in has a relatively small number of robotic and manufacturing process nodes, but it is assumed that the example solutions will be effective if the number of ICS components increases to levels that are realistic for actual production environments.    ・このプロジェクトが実施される実験室のインフラストラクチャは、ロボットや製造プロセスのノード数が比較的少ないが、ICSコンポーネントの数が実際の生産環境に近いレベルまで増加すれば、例の解決策は有効であると想定されている。
• This project focuses on the Respond and Recover portions of the NIST Cybersecurity Framework.  It is assumed that the Identify, Detect, and Protect functions have been implemented to some maturity level, and the following capabilities are operationalized including the necessary technologies:  ・このプロジェクトは、NISTサイバーセキュリティフレームワークのうち、「対応」と「復旧」の部分に焦点をあてている。 識別、保護、検知の各機能がある程度の成熟度まで実装され、必要な技術を含め、以下の機能が運用されていることを想定している。
o Physical access to the site is managed and protected. o ICS assets are segmented from IT assets via an industrial DMZ.  o ICS資産は、産業用DMZを介してIT資産からセグメント化されている。
o Authentication and Authorization mechanisms for accessing ICS assets are in place.   o ICS資産にアクセスするための認証と認可の仕組みが整備されている。 
o Remote access to the ICS environment and ICS assets is fully managed. o Asset and vulnerability management tool is operationalized. o Behavior analysis detection tool is operationalized.  o ICS環境及びICS資産へのリモートアクセスが完全に管理されている o 資産及び脆弱性管理ツールが運用されている o 行動分析検出ツールが運用されている 
o IT Network protection measures (such as firewalls, segmentation, intrusion detection, etc.) are in place.   o ITネットワークの保護対策(ファイアウォール、セグメンテーション、侵入検知など)が実施されている。 
o Vulnerabilities associates with the supply chain and vendor access have been addressed.    o サプライチェーンやベンダーのアクセスに関連する脆弱性に対処している。  
o People and processes that support back up and overall enterprise incident response plans are in place.  o バックアップと企業全体のインシデント対応計画をサポートする人材とプロセスが整備されている。
Challenges  課題 
Implementations that provide recovery solutions and procedures need to acknowledge that restoration procedures that involve the use of backups are designed to restore the system to some previous state, but the ‘last known good state’ may not necessarily be free of vulnerabilities.   復旧ソリューションと手順を提供する実装では、バックアップを使用する復旧手順は、システムを以前の状態に戻すように設計されていますが、「最後に確認された良好な状態」は、必ずしも脆弱性がないとは限らないことを認識する必要があります。 
•  Vulnerabilities may exist in backup data.  ・バックアップデータには脆弱性が存在する可能性があります。
•  Backup data may be compromised while in storage.  ・バックアップデータは保管中に危険にさらされる可能性があります。
•  Dormant or inactive malware may exist in backup data.  ・バックアップデータには休眠状態や非活動状態のマルウェアが存在する可能性があります。
Background  背景 
Manufacturing systems are often interconnected and mutually dependent systems and are essential to the nation’s economic security. ICS that run in manufacturing environments are vital to the operation of the nation’s critical infrastructures and essential to the nation’s economic security. It is critical for the stakeholders of the enterprises in the manufacturing sector to consider how adversaries could affect the operations of their plant and safety of the people and property. The National Cybersecurity Center of Excellence (NCCoE) recognizes this concern and is working with industry through consortia under Cooperative Research and Development Agreements with technology partners from Fortune 500 market leaders to smaller companies specializing in ICS security. The aim is to solve these challenges by demonstrating practical 175 applications of cybersecurity technologies in a scaled-down version of a manufacturing environment.  製造業のシステムは、相互に依存し合っていることが多く、国家の経済的安全保障に不可欠なシステムです。製造業の環境で稼働するICSは、国家の重要なインフラストラクチャの運用に不可欠であり、国家の経済的安全保障に欠かせないものです。製造業に属する企業の関係者は、敵対者が工場の操業や人々や財産の安全にどのような影響を及ぼすかを考慮することが重要です。National Cybersecurity Center of Excellence (NCCoE) はこの懸念を認識しており、フォーチュン500のマーケットリーダーからICSセキュリティを専門とする中小企業まで、技術パートナーとの協力研究開発契約に基づくコンソーシアムを通じて、産業界と連携しています。その目的は、製造環境の縮小版でサイバーセキュリティ技術の実用化を実証することで、これらの課題を解決することです。
Considering the current era of Industry 4.0, enterprises are connecting business systems and IT networks to ICS networks to improve business agility and operational efficiency. However, recent attacks on ICS have shown that the cyber criminals are pivoting into the ICS environment from the business systems and IT networks. Most ICS systems have been historically isolated from the business systems and IT networks, and therefore, were not designed to withstand cyber attacks. The cyber risk mitigation technologies used in the IT networks are often not suitable for ICS networks because of the real-time and deterministic nature of the ICS. This project will provide guidance for manufacturing organizations to design environments incorporating cyber attack risk mitigation appropriate for ICS cybersecurity concerns.    現在のインダストリー4.0の時代を考慮すると、企業は業務システムやITネットワークをICSネットワークに接続し、ビジネスの俊敏性と業務効率を向上させようとしています。しかし、最近のICSに対する攻撃は、サイバー犯罪者が業務システムやITネットワークからICS環境に軸足を移していることを示しています。ほとんどのICSシステムは、歴史的に業務システムやITネットワークから分離されていたため、サイバー攻撃に耐えられるように設計されていませんでした。ITネットワークで使用されているサイバーリスク軽減技術は、ICSのリアルタイム性と決定論的な性質のため、ICSネットワークには適さないことが多いのです。このプロジェクトは、ICSのサイバーセキュリティの懸念に適したサイバー攻撃リスク軽減を組み込んだ環境を設計するためのガイダンスを製造業組織に提供するものです。  
This project will build upon NIST Special Publication 1800-10: Protecting Information and System Integrity in Industrial Control System Environments by identifying and demonstrating capabilities to improve Response to and Recovery from cyber attacks in the ICS environment. このプロジェクトは、NIST SP 1800-10:産業用制御システム環境における情報およびシステムの完全性の保護を基に、ICS環境におけるサイバー攻撃への対応と復旧を改善する能力を特定し実証するものです。

| | Comments (0)

2022.03.01

経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンター 「サイバーセキュリティ対策の強化について(注意喚起)

こんにちは、丸山満彦です。

経済産業省、金融庁、総務省、厚生労働省、国土交通省、警察庁、内閣官房内閣サイバーセキュリティセンターが共同で「サイバーセキュリティ対策の強化について(注意喚起)」を公表していますね。。。

省庁の順番が新鮮ですね。。。

例えば、

金融庁

・2022.03.01 [PDF] サイバーセキュリティ対策の強化について(注意喚起)


サイバーセキュリティ対策の強化について(注意喚起)

昨今の情勢を踏まえるとサイバー攻撃事案のリスクは高まっていると考えられます。本日、国内の自動車部品メーカーから被害にあった旨の発表がなされたところです。

政府機関や重要インフラ事業者をはじめとする各企業・団体等においては、組織幹部のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、以下に掲げる対策を講じることにより、対策の強化に努めていただきますようお願いいたします。

また、中小企業、取引先等、サプライチェーン全体を俯瞰し、発生するリスクを自身でコントロールできるよう、適切なセキュリティ対策を実施するようお願いいたします。

さらに、国外拠点等についても、国内の重要システム等へのサイバー攻撃の足掛かりになることがありますので、国内のシステム等と同様に具体的な支援・指示等によりセキュリティ対策を実施するようお願いいたします。

実際に情報流出等の被害が発生していなかったとしても、不審な動きを検知した場合は、早期対処のために速やかに所管省庁、セキュリティ関係機関に対して連絡していただくとともに、警察にもご相談ください。

 

1.リスク低減のための措置

〇パスワードが単純でないかの確認、アクセス権限の確認・多要素認証の利用・不要なアカウントの削除等により、本人認証を強化する。

〇IoT 機器を含む情報資産の保有状況を把握する。特に VPN 装置やゲートウェイ等、インターネットとの接続を制御する装置の脆弱性は、攻撃に悪用されることが多いことから、セキュリティパッチ(最新のファームウェアや更新プログラム等)を迅速に適用する。

〇メールの添付ファイルを不用意に開かない、URLを不用意にクリックしない、連絡・相談を迅速に行うこと等について、組織内に周知する。

2.インシデントの早期検知

〇サーバ等における各種ログを確認する。

〇通信の監視・分析やアクセスコントロールを再点検する。

3.インシデント発生時の適切な対処・回復

〇データ消失等に備えて、データのバックアップの実施及び復旧手順を確認する。

〇インシデント発生時に備えて、インシデントを認知した際の対処手順を確認し、対外応答や社内連絡体制等を準備する。


 

1_20220301141901

| | Comments (0)

ENISA ER-ISAC 鉄道のためのゾーニングと経路

こんにちは、丸山満彦です。

ENISAとER-ISAC(欧州鉄道ISAC)が共同で、鉄道のためのゾーンングと経路というセキュリティの報告書を公表していますね。。。

 

● ENISA

・2022.02.28 (news) Building cyber secure Railway Infrastructure

Building cyber secure Railway Infrastructure サイバーセキュアな鉄道インフラを構築する
The European Union Agency for Cybersecurity (ENISA) delivers a joint report with the European Rail Information Sharing and Analysis Center (ISAC) to support the sectorial implementation of the NIS Directive. 欧州連合サイバーセキュリティ機関(ENISA)は、NIS指令の分野別実施を支援するため、欧州鉄道情報共有・分析センター(ISAC)との共同報告書を提供します。
The report released today is designed to give guidance on building cybersecurity zones and conduits for a railway system. 本日発表された報告書は、鉄道システムのサイバーセキュリティゾーンおよび経路構築に関するガイダンスを提供することを目的としています。
The approach taken is based on the recently published CENELEC Technical Specification 50701 and is complemented with a guidance to help railway operators with the practical implementation of the zoning process. 最近発行されたCENELEC技術仕様50701に基づいたアプローチがとられており、ゾーニングプロセスの実用化において鉄道事業者を支援するためのガイダンスとして補完するものとなっています。
The work gathers the experience of the European Rail ISAC and of their members such as European infrastructure managers and railway undertakings, which are Operators of Essential Services (OES) as defined in the Security of Network and Information Systems (NIS) directive and is designed to help them implement the cybersecurity measures needed in the zoning and conduits processes. この作業は、欧州鉄道ISACと、ネットワークと情報システムのセキュリティ(NIS)指令で定義された重要サービス事業者(OES)である欧州インフラ管理者や鉄道事業者などのメンバーの経験を収集し、ゾーニングと経路のプロセスで必要となるサイバーセキュリティ対策の実施を支援するよう設計されています。
A number of requirements are set, such as: 多くの要件が、たとてば次のように設定されています。
・Identification of all assets and of basic process demands; ・すべての資産と基本的なプロセス要求の特定
・Identification of global corporate risks; ・グローバルな企業リスクの特定
・Performing zoning; ・ゾーニングの実行
・Checking threats. ・脅威の確認
A risk assessment process is developed based on standards for the identification of assets and the system considered, and for the partitioning of zones and conduits. The report also addresses the cybersecurity requirements in terms of documentation and suggests a step-by-step approach to follow. リスク評価プロセスは、資産と考慮されるシステムの特定、ゾーンと経路の分割のための基準に基づいて開発されています。また、文書化の観点からサイバーセキュリティの要件に言及し、段階的に従うべきアプローチを提案しています。
The report is released on the occasion of the General Assembly meeting of the European Rail ISAC which is taking place today. この報告書は、本日開催される欧州鉄道ISACの総会に際して発表されます。
The EU Agency for Cybersecurity engages closely with the European Rail Agency (ERA) to support the railway sector and is to host a joint event with ERA later this year. EUサイバーセキュリティ機関は、鉄道部門を支援するために欧州鉄道機関(ERA)と緊密に連携しており、今年後半にはERAとの共同イベントを開催する予定です。

 

・2022.02.28 Zoning and Conduits for Railways

Zoning and Conduits for Railways 鉄道のゾーニングと経路
This document gives guidance on building zones and conduits for a railway system. To do so, first the methodology is described. This approach is based on the recently published CENELEC Technical Specification 50701 (CLC/CLC/TS 50701:2021). この文書は、鉄道システムのゾーンと経路を構築するためのガイダンスを提供します。そのために、まず、方法論が記述されています。この手法は、最近発行されたCENELEC Technical Specification 50701 (CLC/CLC/TS 50701:2021) に基づいています。

 

・[PDF

20220301-110501

 

 

欧州鉄道ISAC

ER-ISAC

Zoning and Conduits for Railways

This document gives guidance on building zones and conduits for a Railway System. For doing so, first the methodology is described and later a staged approach is shown and used. This approach is based on TS 50701 but is extended with more detail in order to make the process
of zoning easier.

・[PDF]

 

目次。。。

1.   INTRODUCTION  1.   はじめに 
2.   ZONING AND CONDUIT METHODOLOGY  2.   ゾーニングと経路の方法論 
2.1   GENERAL OVERVIEW  2.1 概観 
2.2   DETAILED VIEW  2.2 詳細図 
3.   ZONING STEPS  3.   ゾーニングステップ 
3.1   IDENTIFICATION OF ASSETS AND THE SYSTEM UNDER CONSIDERATION (ZCR 1)  3.1 資産及び検討システムの特定(ZCR 1) 
3.1.1  Process  3.1.1 プロセス 
3.1.2  Relevant parts of standards  3.1.2 規格の関連部分 
3.1.3  Design information  3.1.3 設計情報 
3.1.4  Additional guidance  3.1.4 追加ガイダンス 
3.1.5  Domain specific guidance  3.1.5 ドメイン固有のガイダンス 
3.2   INITIAL RISK ASSESSMENT (ZCR 2)  3.2 初期リスクアセスメント(ZCR 2) 
3.2.1  Process  3.2.1 プロセス 
3.2.2  Relevant parts of standards  3.2.2 規格の関連部分 
3.2.3  Design information  3.2.3 設計情報 
3.2.4  Additional guidance  3.2.4 追加ガイダンス 
3.3   PARTITIONING OF ZONES AND CONDUITS  (ZCR 3)  3.3 ゾーン及び経路の仕切り(ZCR 3) 
3.3.1  Process  3.3.1 プロセス 
3.3.2  Relevant parts of standards  3.3.2 規格の関連部分 
3.3.3  Design information  3.3.3 設計情報 
3.3.4  Additional guidance  3.3.4 追加ガイダンス 
3.3.5  Domain specific guidance  3.3.5 ドメイン別ガイダンス 
3.3.6  Design information  3.3.6 設計情報 
3.4   HIGH LEVEL RISK ASSESMENT (ZCR 4)  3.4 高レベルリスクアセスメント(ZCR 4) 
3.4.1  Process  3.4.1 プロセス 
3.4.2  Relevant parts of standards  3.4.2 規格の関連部分 
3.4.3  Design information  3.4.3 設計情報 
3.4.4  Additional guidance  3.4.4 追加ガイダンス 
3.5   DETAILED RISK ASSESSMENT (ZCR 5)  3.5 詳細リスクアセスメント(ZCR 5) 
3.5.1  Process  3.5.1 プロセス 
3.5.2  Relevant parts of standards  3.5.2 規格の関連部分 
3.5.3  Design information  3.5.3 設計情報 
3.5.4  Additional guidance  3.5.4 追加ガイダンス 
3.5.5  Domain specific guidance  3.5.5 ドメイン固有のガイダンス 
3.6   DOCUMENTATION OF CYBERSECURITY REQUIREMENTS (ZCR 6)  3.6 サイバーセキュリティ要求事項の文書化(ZCR 6) 
3.6.1  Process  3.6.1 プロセス 
3.6.2  Design information  3.6.2 設計情報 
3.6.3  Additional guidance  3.6.3 追加ガイダンス 
3.7   APPROVAL (ZCR 7)  3.7 承認(ZCR 7) 
3.7.1  Process  3.7.1 プロセス 
3.7.2  Additional guidance  3.7.2 追加ガイダンス 
3.8   MIGRATION (ZCR 8)  3.8 移行(ZCR 8) 
3.8.1  Process  3.8.1 プロセス 
3.8.2  Design information  3.8.2 設計情報 
3.8.3  Additional guidance  3.8.3 追加ガイダンス 
3.9   OPERATION / RUN (ZCR 9)  3.9 運用/稼働(ZCR 9) 
3.9.1  Process  3.9.1 プロセス 
3.9.2  Design information  3.9.2 設計情報 
3.9.3  Additional guidance  3.9.3 追加ガイダンス 
4.   LEGACY SYSTEMS  4.   レガシーシステムズ 

 

 

EXECUTIVE SUMMARY  エグゼクティグサマリー
This document gives guidance on building zones and conduits for a railway system. To do so, first the methodology is described. This approach is based on the recently published CENELEC Technical Specification 50701 (CLC/CLC/TS 50701:2021). The approach is complemented with additional practical information and hints on how to make the implementation of zoning easier for a railway operator. It gathers the experience of the European Railway Information Sharing and Analysis Center and its members, i.e. European infrastructure managers and railway undertakings.  この文書は、鉄道システムのためのゾーンと経路の構築に関するガイダンスを提供する。そのために、まず、方法論を説明する。この手法は、最近発行された CENELEC 技術仕様書 50701 (CLC/CLC/TS 50701:2021) に基づいている。このアプローチは、鉄道事業者がゾーニングの実施を容易にする方法に関する追加の実用的な情報とヒントで補完されています。これは、欧州鉄道情報共有・分析センターとそのメンバー、すなわち欧州のインフラ管理者と鉄道事業者の経験を集めたものです。
Each of the steps of the zoning process is explained in detail. The document shows what standards are required in each step and what processes should be performed. Additionally, the document discusses the documentation that should be created during each step and guidance in the form of a ‘cookbook’ is given.  ゾーニングプロセスの各ステップは詳細に説明されています。この文書では、各ステップでどのような基準が必要で、どのようなプロセスを実行すべきかを示しています。さらに、各ステップで作成されるべき文書について説明し、「クックブック」の形でガイダンスを示しています。
During the zoning process, zoning models are developed over three iterations:  ゾーニングプロセスにおいて、ゾーニングモデルは3回の繰り返しで開発されます。
1.      “Proposal railway zoning model”: it is used in the first steps, ranging from first collecting information and designing initial zones (ZCR 1) up to the stage where zones, conduits, communication lines and security levels (SL) get verified briefly for the first time (ZCR 3). The proposal zone model is generic. It can be aligned with but need not fit the corporate structure.  1. 「提案型鉄道ゾーニングモデル」:最初の情報収集と初期ゾーンの設計(ZCR 1)から、ゾーン、導線、通信線、セキュリティレベル(SL)が初めて簡単に検証される段階(ZCR 3)までの最初のステップで使用されます。提案ゾーンモデルは一般的なものです。企業構造に合わせることはできるが、合わせる必要はありません。
2.      “High-level railway zoning model”: it contains a concrete and defined risk verified architecture (ZCR 4) and is implemented via cybersecurity measures (ZCR 5). The company specific high-level zone model should be orientated to the corporate structure.  2. 「高レベル鉄道ゾーニングモデル」:具体的に定義されたリスク検証済みアーキテクチャ(ZCR 4)を含み、サイバーセキュリティ対策(ZCR 5)を通じて実施されます。企業固有の高レベルゾーニングモデルは、企業構造に合わせて方向づけられるべきです。
3.      “Final railway zoning model”: it is a detailed and verified version of the high-level model, reflecting the corporate structure within all zones, conduits and communication lines, the SL ZC and other information (ZCR 6 to ZCR 7).  3. 「最終鉄道ゾーニングモデル」:高レベルモデルの詳細かつ検証されたバージョンであり、すべてのゾーン内の企業構造、経路と通信ライン、SL ZCとその他の情報を反映しています(ZCR 6からZCR 7)。
At the end of this document, the phases after zoning is complete are discussed, i.e. Migration  この資料の最後に、ゾーニング完了後のフェーズ、すなわちマイグレーションについて述べています。
(ZCR 8) and Operation (ZCR 9). Finally, the issue of legacy systems is commented on briefly.  (ZCR 8)、運用(ZCR 9)を行う。最後に、レガシーシステムの問題について簡単にコメントしています。

 

欧州鉄道ISACについて...

The ER-ISAC is an initiative driven by the European Rail Infrastructure Managers and Railway Undertakings. ISAC stands for Information Sharing and Analysis Center  and is a community of Information and cybersecurity experts that has a strong focus on the Cybersecurity of Industrial Control Systems and related IT Infrastructures. The Community is a Public and Private partnership that shares various degrees of Cybersecurity information valuable to the entire Rail transport sector. The mission of the European Rail ISAC (ER-ISAC) is to improve the resilience and security of its members, European Rail Infrastructure Manager and Railway Undertakings and its partners. This is done through effective information sharing and by engaging expertise from many types of functions in joint efforts for the analysis of threats, vulnerabilities, incidents, solutions and opportunities. ER-ISAC offers a community of communities to facilitate this proactive information sharing and analysis, allowing its members to take their own effective measures. More information about the ER-ISAC and its work can be found here ER-ISACは、欧州の鉄道インフラ管理者と鉄道事業者が推進するイニシアチブです。ISACは、Information Sharing and Analysis Centerの略で、産業用制御システムと関連するITインフラのサイバーセキュリティに強く焦点を当てた、情報とサイバーセキュリティの専門家のコミュニティです。このコミュニティは、鉄道輸送セクター全体にとって価値のある様々なレベルのサイバーセキュリティ情報を共有する官民パートナーシップです。European Rail ISAC (ER-ISAC) の使命は、メンバーである欧州鉄道インフラ管理者と鉄道事業者、およびそのパートナーの回復力とセキュリティを向上させることです。これは、効果的な情報共有と、脅威、脆弱性、インシデント、ソリューション、機会の分析のための共同作業で、多くの種類の機能から専門家を参加させることによって行われます。ER-ISACは、このような積極的な情報共有と分析を促進するためのコミュニティを提供し、メンバーが独自の効果的な対策を講じることができるようにします。ER-ISACとその活動の詳細については、こちらをご覧ください。 

 

 

CEN

・2021.06.10 A major step for railways cybersecurity: the new CLC/TS 50701

CLC/TC 9X - Electrical and electronic applications for railways

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.29 ENISA 鉄道サイバーセキュリティ - サイバーリスク管理のグッドプラクティス

・2020.11.15 ENISAが鉄道事業向けのセキュリティガイドを公表していますね。

 

| | Comments (0)

総務省 「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表 中西さん、花田先生、セキュリティのアレ(辻さん、根岸さん、Piyokangoさん)おめでとうございます!

こんにちは、丸山満彦です。

総務省が、「サイバーセキュリティに関する総務大臣奨励賞」の受賞者を公表していますね。。。今年は、NECの中西さん、岡崎女子大学の花田先生、セキュリティのアレ(辻さん、根岸さん、Piyokangoさん)が受賞ということでした。おめでとうございます!

中西さんとも長いです。。。先日も若手有志の勉強会の講師をしていただき、感謝です。花田先生は、花田先生が学生のころからの付き合いですかね。。。当時珍しいISACAの学生会員でした(^^)。宇佐美博先生というシステム監査では有名な教授の元で勉強されていましたね。。。

総務省

・2022.02.28 「サイバーセキュリティに関する総務大臣奨励賞」の受賞者の公表

 


・個人:2名(敬称略)

氏名 功績の概要
中西なかにし 克彦かつひこ
 
NECネクサソリューションズ株式会社
シニアエキスパート
 国立研究開発法人情報通信研究機構のサイバー防御演習「CYDER」への協力など、広く官民のサイバーセキュリティ対処の実務に関する人材等の育成に寄与している。
 加えて、2020年東京オリンピック・パラリンピック競技大会においては、大会組織委員会の担当部長として、関係機関との情報共有や連携を推進し、対処体制の強化に寄与するなど、我が国のサイバーセキュリティの向上に多大な貢献をした。
花田はなだ 経子きょうこ
 
岡崎女子大学
子ども教育学部 講師
 青少年のICT利用に関する実態調査や児童向けセキュリティ教材の開発等に尽力するとともに、「情報セキュリティワークショップin越後湯沢」の大会副委員長としてセキュリティコミュニティの形成に寄与している。
 また、企業におけるITガバナンスやセキュリティ人材のキャリア形成過程の研究等に取り組みつつ、「東海サイバーセキュリティ連絡会」において地域企業のセキュリティ強化や人材育成にも協力するなど、我が国のサイバーセキュリティの向上に多大な貢献をした。

・団体:1団体(敬称略)

団体名 功績の概要
セキュリティのアレ
つじ のぶひろ(SBテクノロジー株式会社)、
根岸ねぎし 征史まさふみ(株式会社インターネットイニシアティブ)、
piyokango(セキュリティリサーチャー))
 セキュリティ専門のポッドキャスト「セキュリティのアレ」(https://www.tsujileaks.com/)の配信を通じ、セキュリティエンジニアや研究者、様々な組織のセキュリティ担当者、セキュリティの世界を志す学生などに対し、サイバーセキュリティに係る国内外の最新の情報を、ユーモアを交えつつ、適時かつ平易に、継続的に提供することで、我が国のサイバーセキュリティの向上に多大な貢献をした。

 


 

 

Mic


 

過去の受賞歴(役職等は当時のものです。。。)

  個人(敬称略) 団体(敬称略)
2022.02.28 中西 克彦(NECネクサソリューションズ株式会社
シニアエキスパート)
セキュリティのアレ
(辻伸弘(SBテクノロジー株式会社)、根岸征史(株式会社インターネットイニシアティブ)、piyokango(セキュリティリサーチャー))
花田 経子(岡崎女子大学 子ども教育学部 講師)  
2021.02.26 川口 洋(株式会社川口設計 代表取締役) 鳥取県自治体ICT共同化推進協議会(代表:平井 伸治会長)
登 大遊(独立行政法人情報処理推進機構(IPA) サイバー技術研究室長)  
2020.02.28 秋山 満昭(NTTセキュアプラットフォーム研究所 上席特別研究員) 大阪商工会議所(代表:尾崎 裕 会頭)
  nao_sec(ナオセック)(代表:小池 倫太郎)
2019.02.21 中島 明日香(NTTセキュアプラットフォーム研究所 研究員) 島根県邑南町(代表:石橋 良治 町長)
神薗 雅紀(PwCサイバーサービス合同会社サイバーセキュリティ研究所 所長)  
2018.02.26 篠田 佳奈(株式会社BLUE) Recruit-CSIRT(代表:鴨志田 昭輝)
外谷 渉(株式会社ラック)  
2017.05.29 寺田 真敏(株式会社 日立製作所 Hitachi Incident Response Team チーフコーディネーションデザイナー) SECCON実行委員会
(実行委員長:竹迫良範)
piyokango(セキュリティリサーチャー)  

| | Comments (0)

CISA FBI ウクライナで使用された破壊的なマルウェアから組織を保護するための勧告を発表

こんにちは、丸山満彦です。

CISAとFBIがウクライナで使用された破壊的なマルウェアから組織を保護するための勧告を発表していますね。。。諸般の事情でいろいろと遅れがちですみません。。。

米国のCISAでは、昨今の状況も踏まえてShield UPの活動をしていますね。。。

 

CISA

・2022.02.26 CISA AND FBI PUBLISH ADVISORY TO PROTECT ORGANIZATIONS FROM DESTRUCTIVE MALWARE USED IN UKRAINE

CISA AND FBI PUBLISH ADVISORY TO PROTECT ORGANIZATIONS FROM DESTRUCTIVE MALWARE USED IN UKRAINE CISAとFBI、ウクライナで使用された破壊的なマルウェアから組織を保護するための勧告を発表
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) issued a joint Cybersecurity Advisory today providing an overview of destructive malware that has been used to target organizations in Ukraine as well as guidance on how organizations can detect and protect their networks. The joint Advisory, “Destructive Malware Targeting Organizations in Ukraine,” provides information on WhisperGate and HermeticWiper malware, both used to target organizations in Ukraine.  ワシントン - サイバーセキュリティおよびインフラストラクチャ・セキュリティ局(CISA)と連邦捜査局(FBI)は本日、サイバーセキュリティに関する勧告を共同で発表し、ウクライナの組織を標的とした破壊的なマルウェアの概要と、組織がネットワークを検知し保護する方法に関するガイダンスを提供します。今回発表された「ウクライナの組織を狙う破壊的なマルウェア」では、ウクライナの組織を狙うマルウェア「WhisperGate」と「HermeticWiper」に関する情報を提供しています。     
Destructive malware can present a direct threat to an organization’s daily operations, impacting the availability of critical assets and data. While there is no specific, credible threat to the United States at this time, all organizations should assess and bolster their cybersecurity. Some immediate actions that can be taken to strengthen cyber posture include:      破壊的なマルウェアは、組織の日常業務に直接的な脅威を与え、重要な資産やデータの可用性に影響を与える可能性があります。現時点では、米国に対する具体的で信頼できる脅威はありませんが、すべての組織は、サイバーセキュリティを評価し、強化する必要があります。サイバーポスチャーを強化するためにすぐにできることとしては、以下のようなものがあります。     
・Enable multifactor authentication;    ・多要素認証の導入   
・Set antivirus and antimalware programs to conduct regular scans;    ・アンチウイルスおよびアンチマルウェアのプログラムを設定し、定期的にスキャンを行う。   
・Enable strong spam filters to prevent phishing emails from reaching end users;    ・フィッシングメールがエンドユーザーに届くのを防ぐため、強力なスパムフィルターを有効にする。   
・Update software; and    ・ソフトウェアのアップデート   
・Filter network traffic.     ・ネットワークトラフィックのフィルタリング    
  “In the wake of continued denial of service and destructive malware attacks affecting Ukraine and other countries in the region, CISA has been working hand-in-hand with our partners to identify and rapidly share information about malware that could threaten the operations of critical infrastructure here in the U.S.,” said CISA Director Jen Easterly. “Our public and private sector partners in the Joint Cyber Defense Collaborative (JCDC), international computer emergency readiness team (CERT) partners, and our long-time friends at the FBI are all working together to help organizations reduce their cyber risk.”        「CISAは、ウクライナやその他の地域でサービス妨害や破壊的なマルウェア攻撃が続いていることを受け、ここ米国でも重要インフラの運用を脅かす可能性のあるマルウェアを特定し、迅速に情報を共有するためにパートナーと手を取り合ってきました」と、CISAディレクターのJen Easterlyは語っています。"官民合同のサイバー防衛共同体(JCDC)のパートナー、国際的なコンピュータ緊急対応チーム(CERT)のパートナー、そして長年の友人であるFBIは、組織がサイバーリスクを軽減できるよう協力しています "と述べています。     
"The FBI alongside our federal partners continues to see malicious cyber activity that is targeting our critical infrastructure sector," said FBI Cyber Division Assistant Director Bryan Vorndran. "We are striving to disrupt and diminish these threats, however we cannot do this alone, we continue to share information with our public and private sector partners and encourage them to report any suspicious activity. We ask that organizations continue to shore up their systems to prevent any increased impediment in the event of an incident."    「FBIサイバー課のブライアン・ボルドラン課長補佐は、「FBIは、連邦政府のパートナーとともに、重要インフラ部門を標的とした悪質なサイバー活動を継続して確認しています。「私たちは、これらの脅威を破壊し、減少させるために努力していますが、私たちだけでこれを行うことはできません。私たちは、公共および民間部門のパートナーと情報を共有し、疑わしい活動を報告するよう引き続き働きかけていきます。我々は、組織が事件発生時に支障が大きくならないよう、システムの強化を続けるようお願いします。   
Executives and leaders are encouraged to review the advisory, assess their environment for atypical channels for malware delivery and/or propagation through their systems, implement common strategies, and ensure appropriate contingency planning and preparation in the event of a cyberattack.      経営者やリーダーは、この勧告を確認し、システムを通じてマルウェアの配信や伝播の非定型的な経路がないか環境を評価し、共通の戦略を実行し、サイバー攻撃発生時の適切な危機管理計画と準備を確実に行うことが推奨されます。     
CISA has updated the Shields Up webpage to include new services and resources, recommendations for corporate leaders and chief executive officers, and actions to protect critical assets. Additionally, CISA has created a new Shields Up Technical Guidance webpage that details other malicious cyber activity affecting Ukraine. The webpage includes technical resources from partners to assist organizations against these threats.     CISAは、新しいサービスやリソース、企業のリーダーや最高経営責任者への推奨事項、重要な資産を保護するためのアクションを含めるために、シールドアップ・ウェブページを更新しました。さらにCISAは、ウクライナに影響を及ぼすその他の悪質なサイバー活動について詳述した「シールドアップ技術ガイダンス」ウェブページを新たに作成しました。このウェブページには、これらの脅威に対して組織を支援するためのパートナーからの技術的リソースが含まれています。    

 

 

Alert (AA22-057A) Destructive Malware Targeting Organizations in Ukraine アラート (AA22-057A) ウクライナの組織を標的とした破壊的なマルウェアについて
Summary 概要
Leading up to Russia’s unprovoked attack against Ukraine, threat actors deployed destructive malware against organizations in Ukraine to destroy computer systems and render them inoperable.  ロシアによるウクライナへの無差別攻撃に先立ち、脅威者はウクライナの組織に対して破壊的なマルウェアを展開し、コンピュータシステムを破壊して動作不能に陥れました。 
・On January 15, 2022, the Microsoft Threat Intelligence Center (MSTIC) disclosed that malware, known as WhisperGate, was being used to target organizations in Ukraine. According to Microsoft, WhisperGate is intended to be destructive and is designed to render targeted devices inoperable.  2022年1月15日、Microsoft Threat Intelligence Center(MSTIC)は、WhisperGateと呼ばれるマルウェアが、ウクライナの組織を標的に使用されていることを公表しました。マイクロソフトによると、WhisperGateは破壊的であり、標的となるデバイスを操作不能にするよう設計されています。 
On February 23, 2022, several cybersecurity researchers disclosed that malware known as HermeticWiper was being used against organizations in Ukraine. According to SentinelLabs , the malware targets Windows devices, manipulating the master boot record, which results in subsequent boot failure.  2022年2月23日、複数のサイバーセキュリティ研究者が、HermeticWiperと呼ばれるマルウェアがウクライナの組織に対して使用されていることを公表しました。SentinelLabsによると、このマルウェアはWindowsデバイスを標的とし、マスターブートレコードを操作し、その結果、その後の起動に失敗するとのことです。 
Destructive malware can present a direct threat to an organization’s daily operations, impacting the availability of critical assets and data. Further disruptive cyberattacks against organizations in Ukraine are likely to occur and may unintentionally spill over to organizations in other countries. Organizations should increase vigilance and evaluate their capabilities encompassing planning, preparation, detection, and response for such an event.  破壊的なマルウェアは、組織の日常業務に直接的な脅威を与え、重要な資産やデータの可用性に影響を与える可能性があります。ウクライナの組織に対する破壊的なサイバー攻撃は今後も発生する可能性が高く、意図せず他の国の組織にも波及する可能性があります。組織は警戒を強め、そのような事態に備えて計画、準備、検知、対応を網羅する能力を評価する必要があります。 
This joint Cybersecurity Advisory (CSA) between the Cybersecurity and Infrastructure Security Agency (CISA) and Federal Bureau of Investigation (FBI) provides information on WhisperGate and HermeticWiper malware as well as open-source indicators of compromise (IOCs) for organizations to detect and prevent the malware. Additionally, this joint CSA provides recommended guidance and considerations for organizations to address as part of network architecture, security baseline, continuous monitoring, and incident response practices. サイバーセキュリティおよびインフラセキュリティ局(CISA)と連邦捜査局(FBI)によるこの共同サイバーセキュリティ勧告(CSA)は、マルウェアWhisperGateとHermeticWiperに関する情報、および組織がマルウェアを検知・防止するためのオープンソースの侵害指標(IOCs)を提供するものです。さらに、この共同CSAは、ネットワーク・アーキテクチャ、セキュリティ・ベースライン、継続的な監視、およびインシデント対応の実践の一環として、組織が取り組むべき推奨ガイダンスと考慮事項を提供しています。
Actions to Take Today: 今日からできること
• Set antivirus and antimalware programs to conduct regular scans. ・アンチウイルスおよびアンチマルウェアプログラムを設定し,定期的にスキャンを行う。
• Enable strong spam filters to prevent phishing emails from reaching end users. ・フィッシングメールがエンドユーザーに届かないよう,強力なスパムフィルターを有効にする。
• Filter network traffic. ・ネットワークトラフィックをフィルタリングする。
• Update software. ・ソフトウェアを更新する。
• Require multifactor authentication. ・多要素認証の導入

 

・[PDF

20220228-190039

 


Webbanner_1200x212_webpageheader_940x212

 

Shield UP

Shields Up Technical Guidance

 

| | Comments (0)

欧州委員会 データ法の提案

こんにちは、丸山満彦です。

欧州委員会がデータ法の提案をしていますね。。。

 

EU Commission

・2022.02.23 Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data

Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data データ法 データへの公正なアクセスおよび利用に関する調和された規則に関する提案
The Data Act aims to maximise the value of data in the economy by ensuring that a wider range of stakeholders gain control over their data and that more data is available for innovative use, while preserving incentives to invest in data generation. データ法は、データ生成への投資インセンティブを維持しつつ、より幅広いステークホルダーがデータをコントロールできるようにし、より多くのデータが革新的な利用を可能にすることで、経済におけるデータの価値を最大化することを目指しています。
The Data Act complements the Data Governance Regulation proposed in November 2020, the first deliverable under the European strategy for data データ法は、2020年11月に提案されたデータガバナンス規制を補完するもので、データに関する欧州戦略の下で最初の成果物となる。 

 

・[PDF] Data Act: Proposal for a Regulation on harmonised rules on fair access to and use of data

20220228-163039

・[DOCX] 仮訳

 

 

条文目次

CHAPTER I GENERAL PROVISIONS 第1章  総則
Article 1 Subject matter and scope 第1条  対象および範囲
Article 2 Definitions 第2条  定義
CHAPTER II BUSINESS TO CONSUMER AND BUSINESS TO BUSINESS DATA SHARING 第2章  企業対消費者及び企業対企業のデータ共有
Article 3 Obligation to make data generated by the use of products or related services accessible 第3条  製品または関連サービスの使用によって生成されたデータにアクセスできるようにする義務
Article 4 The right of users to access and use data generated by the use of products or related services 第4条  製品又は関連サービスの利用により生成されたデータにアクセスし、これを利用する利用者の権利
Article 5 Right to share data with third parties 第5条  データを第三者と共有する権利
Article 6 Obligations of third parties receiving data at the request of the user 第6条  ユーザーの要請によりデータを受け取る第三者の義務
Article 7 Scope of business to consumer and business to business data sharing obligations 第7条  企業対消費者及び企業対企業のデータ共有義務の範囲
CHAPTER III OBLIGATIONS FOR DATA HOLDERS LEGALLY OBLIGED TO MAKE DATA AVAILABLE 第3章  データを利用可能にする法的義務を負うデータ保有者の義務
Article 8 Conditions under which data holders make data available to data recipients 第8条  データ保有者がデータ受信者にデータを提供する条件
Article 9 Compensation for making data available 第9条  データを利用可能にするための補償
Article 10 Dispute settlement 第10条  紛争解決
Article 11 Technical protection measures and provisions on unauthorised use or disclosure of data 第11条  技術的保護手段及びデータの不正使用又は開示に関する規定
Article 12 Scope of obligations for data holders legally obliged to make data available 第12条  データを利用可能にする法的義務を負うデータ保有者の義務の範囲
CHAPTER IV UNFAIR TERMS RELATED TO DATA ACCESS AND USE BETWEEN ENTERPRISES 第4章  企業間のデータアクセスおよび使用に関する不公正な条件
Article 13 Unfair contractual terms unilaterally imposed on a micro, small or medium-sized enterprise 第13条  零細企業、中小企業に一方的に課された不当な契約条件
CHAPTER V MAKING DATA AVAILABLE TO PUBLIC SECTOR BODIES AND UNION INSTITUTIONS, AGENCIES OR BODIES BASED ON EXCEPTIONAL NEED 第5章  例外的な必要性に基づく公共部門機関、連合機関、政府機関または団体へのデータの提供
Article 14 Obligation to make data available based on exceptional need 第14条  例外的な必要性に基づいてデータを利用可能にする義務
Article 15 Exceptional need to use data 第15条  データ利用の例外的な必要性
Article 16 Relationship with other obligations to make data available to public sector bodies and Union institutions, agencies and bodies 第16条  公共部門機関及び連合機関、政府機関、団体がデータを利用できるようにする他の義務との関係
Article 17 Requests for data to be made available 第17条  利用可能なデータに関する要求
Article 18 Compliance with requests for data 第18条  データ提供の要求への対応
Article 19 Obligations of public sector bodies and Union institutions, agencies and bodies 第19条  公共部門機関および連合機関、代理店、団体の義務
Article 20 Compensation in cases of exceptional need 第20条  例外的な必要性がある場合の補償
Article 21 Contribution of research organisations or statistical bodies in the context of exceptional needs 第21条  例外的なニーズがある場合の研究機関または統計機関の貢献
Article 22 Mutual assistance and cross-border cooperation 第22条  相互扶助と国境を越えた協力
CHAPTER VI SWITCHING BETWEEN DATA PROCESSING SERVICES 第6章  データ処理サービス間の切り替え
Article 23 Removing obstacles to effective switching between providers of data processing services 第23条  データ処理サービスのプロバイダー間の効果的なスイッチングに対する障害の除去
Article 24 Contractual terms concerning switching between providers of data processing services 第24条  データ処理サービスのプロバイダー間の切り替えに関する契約条件
Article 25 Gradual withdrawal of switching charges 第25条  スイッチングチャージの段階的廃止
Article 26 Technical aspects of switching 第26条  スイッチングに関する技術的側面
CHAPTER VII INTERNATIONAL CONTEXTS NON-PERSONAL DATA SAFEGUARDS 第7章  国際的な文脈における非個人データのセーフガード
Article 27 International access and transfer 第27条  国際的なアクセス及び移転
CHAPTER VIII INTEROPERABILITY 第8章  相互運用性
Article 28 Essential requirements regarding interoperability 第28条  相互運用性に関する必須要件
Article 29 Interoperability for data processing services 第29条  情報処理サービスに関する相互運用性
Article 30 Essential requirements regarding smart contracts for data sharing 第30条  データ共有のためのスマートコントラクトに関する必須要件
CHAPTER IX IMPLEMENTATION AND ENFORCEMENT 第9章  実施と執行
Article 31 Competent authorities 第31条  所轄官庁
Article 32 Right to lodge a complaint with a competent authority 第32条  所轄官庁に苦情を申し立てる権利
Article 33 Penalties 第33条  罰則
Article 34 Model contractual terms 第34条  モデル契約条件
CHAPTER X SUI GENERIS RIGHT UNDER DIRECTIVE 1996/9/EC 第10章  指令1996/9/ECに基づくsui generis権利
Article 35 Databases containing certain data 第35条  特定のデータを含むデータベース
CHAPTER XI FINAL PROVISIONS 第11章  最終規定
Article 36 Amendment to Regulation (EU) No 2017/2394 第36条  規則(EU) No 2017/2394の改正について
Article 37 Amendment to Directive (EU) 2020/1828 第37条  指令(EU)2020/1828の改正について
Article 38 Exercise of the delegation 第38条  委任の行使
Article 39 Committee procedure 第39条  委員会の手続き
Article 40 Other Union legal acts governing rights and obligations on data access and use 第40条  データへのアクセス及び使用に関する権利及び義務を規定する他の連合の法律行為
Article 41 Evaluation and review 第41条  評価およびレビュー
Article 42 Entry into force and application 第42条  発効と適用

 

データ法のページ

Data Act

Data Act データ法
The Data Act is a key measure for making more data available for use in line with EU rules and values. データ法は、EUのルールや価値観に沿って、より多くのデータを利用できるようにするための重要な施策である。
The proposed Regulation on harmonised rules on fair access to and use of data — also known as the Data Act —  was adopted by the Commission on 23 February 2022. The Data Act is a key pillar of the European strategy for data. It will make an important contribution to the digital transformation objective of the Digital Decade. 2022年2月23日、欧州委員会により「データへの公正なアクセスと利用に関する調和のとれた規則に関する規則」(通称:データ法)案が採択されました。 データ法は、データに関する欧州戦略の重要な柱である。同法は、「デジタル化の10年」の目標であるデジタル変革に重要な貢献をすることになる。
The new measures complement the Data Governance Regulation proposed in November 2020, the first deliverable of the European strategy for data. While the Data Governance Regulation creates the processes and structures to facilitate data, the Data Act clarifies who can create value from data and under which conditions.  この新しい措置は、データのための欧州戦略の最初の成果物である、2020年11月に提案されたデータガバナンス規則を補完するものである。データガバナンス規制がデータを促進するためのプロセスと構造を構築する一方で、データ法は、誰がどのような条件の下でデータから価値を創造できるかを明確にするものである。 
The Data Act will ensure fairness by setting up rules regarding the use of data generated by Internet of Things (IoT) devices.  データ法は、モノのインターネット(IoT)機器から生成されるデータの使用に関するルールを設定することで、公平性を確保する。 
Users of objects or devices generally believe that they should have full rights of the data they generate. However, these rights are often unclear. And, manufacturers do not always design their products in a way that allows users, both professionals and consumers, to take full advantage of the digital data they create when using IoT objects. This leads to a situation where there is no fair distribution of the capacity to build on such important digital data, holding back digitisation and value creation.  一般的に、モノやデバイスのユーザーは、自分たちが生成するデータについて完全な権利を持つべきだと考えています。しかし、これらの権利はしばしば不明確です。また、メーカーは、専門家と消費者の両方のユーザーがIoTオブジェクトを使用する際に作成したデジタルデータを十分に活用できるように製品を設計しているとは限りません。これは、そのような重要なデジタルデータを基にした能力の公正な分配が行われず、デジタル化と価値創造を阻害する事態を招きます。 
Furthermore, the Data Act aims to ensure consistency between data access rights, which are often developed for specific situations and with varying rules and conditions. While the Data Act is without prejudice to existing data access obligations, any future rules should be consistent with it. Existing rules should be assessed and, if relevant, aligned to the Data Act when their review is due.  さらに、データ法は、特定の状況に応じて開発され、規則や条件が異なることが多いデータアクセス権間の一貫性を確保することを目的としています。データ法は既存のデータアクセス義務を損なうものではありませんが、将来の規則はこれと整合性のあるものであるべきです。既存の規則を評価し、関連する場合はその見直しの際にData Actと整合させる必要があります。 
How will this work in practice? 実際にどのように機能するのか?
The Data Act will make more data available for the benefit of companies, citizens and public administrations through a set of measures such as: データ法は、以下のような一連の措置を通じて、企業、市民、行政の利益のために、より多くのデータを利用できるようにするものです。
Measures to increase legal certainty for companies and consumers who generate data on who can use what such data and under which conditions, and incentives for manufacturers to continue investing in high-quality data generation. These measures will make it easier to transfer data between service providers and will encourage more actors, regardless of their size, to participate in the data economy.  データを生成する企業や消費者に対し、誰がどのような条件でそのようなデータを利用できるのかという法的確実性を高め、メーカーが高品質のデータ生成への投資を継続するためのインセンティブを与えるための措置。これらの措置により、サービスプロバイダー間のデータ転送が容易になり、規模の大小にかかわらず、より多くの主体がデータエコノミーに参加することができるようになる。 
Measures to prevent abuse of contractual imbalances that hinder fair data sharing. SMEs will be protected against unfair contractual terms imposed by a party enjoying a significantly stronger market position. The Commission will also develop model contract clauses in order to help such market participants draft and negotiate fair data-sharing contracts. 公正なデータ共有を妨げる契約上の不均衡の濫用を防止するための措置。中小企業は、市場で著しく優位な立場にある当事者が課す不公正な契約条件から保護される。また、欧州委員会は、そのような市場参加者が公正なデータ共有契約を作成し、交渉できるように、モデル契約条項を作成する。
Means for public sector bodies to access and use data held by the private sector that is necessary for specific public interest purposes. For instance, to develop insights to respond quickly and securely to a public emergency, while minimising the burden on businesses. 公共部門が、特定の公益目的のために必要な民間部門が保有するデータにアクセスし利用するための手段。例えば、企業の負担を最小限に抑えながら、公共の緊急事態に迅速かつ安全に対応するための洞察力を養うなど。
New rules setting the right framework conditions for customers to effectively switch between different providers of data-processing services to unlock the EU cloud market. These will also contribute to an overall framework for efficient data interoperability.  EUのクラウド市場を開放するために、顧客がデータ処理サービスの異なるプロバイダー間で効果的に切り替えられるよう、正しい枠組み条件を設定する新しい規則。これらはまた、効率的なデータ相互運用性のための全体的な枠組みにも貢献する。 
In addition, the Data Act reviews certain aspects of the Database Directive. Notably, it clarifies the role of the sui generis database right (i.e. the right to protect the content of certain databases) and its application to databases resulting from data generated or obtained by IoT devices. This will ensure that the balance between the interests of data holders and users is in line with the broader objectives of the EU data policy. さらに、データ法は、データベース指令のある側面を見直すものである。特に、sui generisデータベース権(特定のデータベースの内容を保護する権利)の役割と、IoT機器によって生成または取得されたデータから生じるデータベースへの適用を明確にしている。これにより、データ保有者と利用者の利益のバランスが、EUデータ政策の広範な目的に沿うようになる。
Impact across the EU  EU全域への影響 
The Data Act will be a powerful engine for innovation and new jobs. It will allow the EU to ensure that it is at the forefront of the second wave of innovation based on data.  データ法は、イノベーションと新たな雇用のための強力なエンジンとなるであろう。データに基づくイノベーションの第二の波の最前線に、EUが確実に立つことができるようになるのです。 
When you buy a ‘traditional’ product, you acquire all parts and accessories of that product. However, when you buy a connected product that generates data, it is often not clear who can do what with the data. By empowering users to transfer (‘port’) their data more easily, the Data Act will give both individuals and businesses more control over the data they generate through their use of smart objects, machines and devices, thereby allowing them to enjoy the advantages of the digitisation of products.  従来の」製品を購入すると、その製品のすべての部品や付属品を手に入れることになる。しかし、データを生成するコネクテッド製品を購入した場合、誰がそのデータを使って何をできるのかが明確でないことが多い。データ法は、ユーザーが自分のデータをより簡単に転送(「ポート」)できるようにすることで、個人と企業の両方に、スマートオブジェクト、機械、デバイスの使用によって生成されるデータの管理を強化し、それによって、製品のデジタル化の利点を享受できるようにするものである。 
By having access to the relevant data, aftermarket services providers will be able to improve and innovate their services and compete on an equal footing with comparable services offered by manufacturers. Therefore, users of connected products could opt for a cheaper repair and maintenance provider – or maintain and repair it themselves. This way, they would benefit from lower prices on that market. This could extend the lifespan of connected products, thus contributing to the Green Deal objectives. 関連データにアクセスできるようになることで、アフターサービス事業者はサービスの改善・革新を図り、メーカーが提供する同等のサービスと対等に競争できるようになる。したがって、コネクテッド・プロダクトのユーザーは、より安価な修理・メンテナンス業者を選ぶことができ、あるいは自分たちで保守・修理をすることもできる。そうすれば、その市場において低価格の恩恵を受けることができるだろう。これはコネクテッドプロダクトの寿命を延ばし、グリーンディールの目標に貢献する可能性がある。
Availability of data about the functioning of industrial equipment will allow for factory shop-floor optimisation: factories, farms and construction companies will be able to optimise operational cycles, production lines and supply chain management, including based on machine learning. 産業機器の機能に関するデータが利用可能になれば、工場の現場での最適化が可能になる。工場、農場、建設会社は、機械学習に基づくものも含めて、操業サイクル、生産ライン、サプライチェーン管理を最適化できるようになる。
In precision agriculture, IoT analytics of data from connected equipment can help farmers analyse real-time data like weather, temperature, moisture, prices or GPS signals and provide insights on how to optimise and increase yield. This will improve farm planning and help farmers make  decisions about the level of resources needed. 精密農業では、接続された機器からのデータのIoT分析により、農家が天候、温度、水分、価格またはGPS信号などのリアルタイムデータを分析し、最適化および収量の増加方法に関する洞察を提供することができます。これにより、農場計画が改善され、農家が必要な資源のレベルについて意思決定できるようになります。
EU businesses, especially SMEs, will have more possibilities to compete and innovate on the basis of data they generate thanks to data access and portability rights. It will be easier to transfer data to and between service providers and this will encourage more actors, regardless of their size, to participate in the data economy.  EUの企業、特に中小企業は、データへのアクセスとポータビリティの権利のおかげで、自分たちが生み出すデータに基づいて競争し、イノベーションを起こす可能性がより高まるだろう。サービス・プロバイダーとの間でデータを転送することが容易になり、その結果、規模に関係なく、より多くの関係者がデータ経済に参加するようになる。 
Open consultation オープンコンサル
The open public consultation on the Data Act ran from 3 June to 3 September 2021. The summary report takes stock of the contributions and presents stakeholder views that helped shape the proposal, focusing on quantitative aspects. データ法に関する公開パブリックコンサルテーションは、2021年6月3日から9月3日まで実施されました。本サマリーレポートでは、寄稿内容を把握し、定量的な側面に焦点を当てながら、提案の形成に役立ったステークホルダーの意見を紹介しています。


| | Comments (0)

« February 2022 | Main | April 2022 »