« February 2022 | Main | April 2022 »

March 2022

2022.03.31

日本内部監査協会 COSO『デジタル時代のサイバーリスクマネジメント』発行

こんにちは、丸山満彦です。

日本内部監査協会が、2019.12.17にCOSOが発行した”Managing Cyber Risk in a Digital Age”の日本語訳である『デジタル時代のサイバーリスクマネジメント』を公表しています。。。ちょっと時間が経っていますかね。。。

原著は、Deloitteが作成したものですね。。。

ただ、COSO-ERMとサイバーセキュリティという意味では、NISTがNISTIR 8286シリーズを発行していて、そちらが充実していますよね。。。

 

日本内部監査協会

・2022.03.30 [PDF] デジタル時代のサイバーリスクマネジメント

20220330-231644

内容としては、次のような感じです。。。

  • はじめに
  • デジタル革命
  • ガバナンスとカルチャー
  • 戦略と目標設定
  • パフォーマンス
  • レビューと修正
  • 情報、伝達及び報告
  • 結論

 

原文はこちら、、、

The Committee of Sponsoring Organizations of the Treadway Commission: COSO

・2019.12.17 [PDF] New COSO Guidance Addresses How Companies Can Use ERM Framework to Assess Cyber Risks

・[PDF] Guidance on Managing Cyber Risks in a Digital Age

20220330-232727  

 


NISTのCOSO-ERMとサイバーセキュリティに関連する文書

● NIST - ITL


NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.01 26  draft NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

COSO関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.31 COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

・2021.09.17 COSO 人工知能の可能性を最大限に発揮するために

・2021.07.30 COSO クラウドコンピューティングのためのエンタープライズ・リスクマネジメント

・2020.11.13 COSO コンプライアンス・リスク管理 - COSO ERM フレームワークの適用

・2020.08.06 COSO ブロックチェーンと内部統制:COSOの視点

・2020.05.22 COSO ERMガイダンス:リスク選好度 - 成功要因

・2020.02.06 COSO ERMガイダンス:価値の創造と保護

一気に10年前に..

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2006.10.21 COSO モニタリングのガイダンス策定の公募がでていますね

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

・2006.02.10 小規模会社向けのCOSOの公開草案に対するコメント

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

 

 

 

| | Comments (0)

COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

こんにちは、丸山満彦です。

COSOが「スピードと破壊の時代における組織のアジリティの実現」を公表していました。。。

The Committee of Sponsoring Organizations of the Treadway Commission: COSO

・2022.03.09 COSO Releases New Guidance: Enabling Organizational Agility in an Age of Speed and Disruption

・(news) [PDF] COSO Releases New Guidance: Enabling Organizational Agility in an Age of Speed and Disruption - Agile ERM approaches can be a key factor in helping organizations successfully manage risks in a fast-paced business environment

報告書...

・[PDF] Enabling Organizational Agility in an Age of Speed and Disruption

20220331-21825

目次...

Introduction はじめに
Part I. Speed, Disruption, and Risk Are Causing Change 第1部 スピード、混乱、リスクがもたらす変化
Part II. Business Unit and Team Adoption of Agile ERM Implications 第2部 事業部門とチームによるアジャイルERMの導入の意義
Part III. Agile Changes the ERM Approach 第3部 アジャイルはERMのアプローチを変える
Part IV. Summary 第4部 まとめ

 

まとめ...

Part IV. Summary 第4部 まとめ
Change and disruption are happening at a rapid pace and creating havoc for companies as they try to meet their objectives and manage their risks. Many companies are turning to new approaches to help them succeed and that includes agile practices. Some companies are adopting agile practices at the organization and strategic levels, while others are adopting and implementing more agile-oriented practices at the business-unit level. Either way, risks must be identified, assessed, and managed. An ERM framework and the ERM team can play a crucial role in helping organizations manage the risk. Furthermore, the ERM function itself needs to be updated to keep up with these changes in the organization and business units or the ERM function will quickly be out of step with the rest of the organization. Numerous ways are identified that show how the COSO ERM principles link to agile approaches. A broad overview and summary of some of these connections is discussed in Appendix A. The COSO ERM framework provides a great method for thinking about how and where risk should be considered as companies become more agile.  変化と混乱は急速なスピードで起きており、目標を達成し、リスクを管理しようとする企業に大混乱を引き起こしています。多くの企業は成功のために新しいアプローチに目を向けており、その中にはアジャイルプラクティスも含まれています。アジャイルプラクティスを組織や戦略レベルで採用している企業もあれば、ビジネスユニットレベルでよりアジャイル指向のプラクティスを採用・導入している企業もあります。いずれにせよ、リスクは特定し、評価し、管理しなければなりません。ERM フレームワークと ERM チームは、組織がリスクを管理するために重要な役割を果たすことができます。さらに、ERMの機能自体も、組織やビジネスユニットのこうした変化に対応できるように更新していく必要があります。COSOのERM原則がアジャイルアプローチとどのように関連しているかを示す数多くの方法が特定されています。これらの関連性の一部の大まかな概要と要約は、附属書A で説明しています。COSO ERM フレームワークは、企業がよりアジャイルになるにつれて、リスクをどこでどのように考えるべきかを考えるための優れた方法を提供します。
The following summarizes concepts that ERM leaders can use to succeed in an agile environment.  以下は、ERM リーダーがアジャイル環境で成功するために利用できるコンセプトの要約です。
1 The speed of change, risks, and disruption is driving organizations to rethink their vision and strategy.  1 変化、リスク、破壊のスピードが速いため、組織はビジョンと戦略を見直す必要に迫られています。
2 Being agile is an extension of strategy and could also be the best strategic choice in certain environments; not being agile could be a strategic mistake.  2 アジャイルであることは戦略の延長であり、特定の環境では最良の戦略的選択となる可能性もあり、アジャイルでないことは戦略上の過ちとなる可能性もあります。
3 Organizational leaders should regularly assess the environment in which they operate and the ability of the strategic approach to succeed in that environment.  3 組織のリーダーは、自分たちが活動する環境と、その環境で成功するための戦略的アプローチの能力を定期的に評価する必要があります。
4 Greatness includes taking risks but never blindly.  4 偉大さには、リスクを取ることも含まれるが、決してやみくもにリスクを取ることはありません。
5 New normals and new business models must factor in the speed of change, risks, and disruption.  5 新しい日常と新しいビジネスモデルは、変化のスピード、リスク、破壊を織り込まなければなりません。
6 Agile helps manage some risks but can also lead to other risks.  6 アジャイルはある種のリスクを管理するのに役立つが、他のリスクを招くこともあります。
7 New tools and methods are available for assessing noise, the environment, the strategy, and the business model, and linking noise to the business model.  7 ノイズ、環境、戦略、ビジネスモデルを評価し、ノイズをビジネスモデルに結びつけるための新しいツールや手法が利用可能です。
8 Superior ERM approaches can be a huge factor in helping the organization be more successful by focusing on the right strategies and risks.  8 優れたERMのアプローチは、正しい戦略とリスクに焦点を当てることで、組織がより成功するための大きな要因となり得ます。
9 Gathering and understanding the noise in the market and how it impacts the business and operating model, as well as building an early warning system, is becoming critical.  9 市場のノイズを収集し、それが事業やオペレーティング・モデルにどのような影響を与えるかを理解し、早期警告システムを構築することが重要になってきています。
10 Organizations should regularly assess ERM and revisit the purpose, mission, and alignment of ERM with the current environment, strategic approach, and business units. 10 組織は定期的にERMを評価し、目的、使命、現在の環境、戦略的アプローチ、事業部門とERMの整合性を見直す必要があります。



 

COSO関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.31 日本内部監査協会 COSO『デジタル時代のサイバーリスクマネジメント』発行

・2022.03.31 COSO スピードと破壊の時代における組織のアジリティの実現 (2022.03.09)

・2021.09.17 COSO 人工知能の可能性を最大限に発揮するために

・2021.07.30 COSO クラウドコンピューティングのためのエンタープライズ・リスクマネジメント

・2020.11.13 COSO コンプライアンス・リスク管理 - COSO ERM フレームワークの適用

・2020.08.06 COSO ブロックチェーンと内部統制:COSOの視点

・2020.05.22 COSO ERMガイダンス:リスク選好度 - 成功要因

・2020.02.06 COSO ERMガイダンス:価値の創造と保護

一気に10年前に..

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2006.10.21 COSO モニタリングのガイダンス策定の公募がでていますね

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

・2006.02.10 小規模会社向けのCOSOの公開草案に対するコメント

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

 

 

 

 

| | Comments (0)

経済産業省 総務省 カメラ画像利活用ガイドブックver3.0

こんにちは、丸山満彦です。

経済産業省 総務省が、「カメラ画像利活用ガイドブックver3.0」を公表していますね。。。JPCERT/CCの理事長でもある菊池先生が座長ですね。。。

経済産業省

・2022.03.30 「カメラ画像利活用ガイドブックver3.0」を策定しました

総務省

・2022.03.30  「カメラ画像利活用ガイドブックver3.0」の公表

このガイドブックの範囲・・・

20220330-181418_20220330181501

出典:カメラ画像利活用ガイドブックver3.0」 図表 4 本ガイドブックのスコープ

文面はほぼ同じです。。。

経済産業省 総務省
「カメラ画像利活用ガイドブックver3.0」 別紙1 カメラ画像利活用ガイドブックver3.0
「カメラ画像利活用ガイドブックver3.0概要」 別紙2 カメラ画像利活用ガイドブックver3.0概要
「カメラ画像利活用ガイドブックver3.0」の修正箇所 別紙3 (参考)「カメラ画像利活用ガイドブックver3.0」の修正箇所
意見募集の結果と御意見に対する考え方  
  「カメラ画像利活用ガイドブックver2.0」の公表(平成30年3月30)

 

20220330-183118

 

| | Comments (0)

2022.03.30

日本銀行 2022年度の考査の実施方針等について

こんにちは、丸山満彦です。

日本銀行が、2022年度の考査の実施方針等について、公表していますね。。。

別紙にある、重点項目によると、、、

  • 日々変化するサイバー脅威動向等の情報収集や情報共有の適切性、
  • 顧客情報など重要データへのアクセス権限管理の妥当性、
  • サイバー攻撃への未然防止策と被害抑制策の有効性を点検する。

また、攻撃からの完全な防御は困難であることを踏まえ、

  • サイバーインシデント発生時を想定した重要な業務の復旧に向けた体制
  • コンティンジェンシープランの実効性
  • 演習の実施状況とその結果を反映した管理体制の見直し状況

ということになるようです。。。

 

日本銀行

・2022.03.29 [PDF] 2022年度の考査の実施方針等について


2.2021 年度の考査の実施状況等

...

(オペレーショナルリスク[6])

システムリスクに関し、大手金融機関では、顧客に影響を及ぼすシステム障害が複数回、発生する事例がみられた。また、大手金融機関、地域金融機関ともに、新しいデジタル技術の活用等が進む一方で、ランサムウェアなどのサイバー脅威がますます高まっている。このほか、サードパーティやグループ会社等との業務連携が拡大する中で、それらの先まで含めた情報セキュリティ管理、クラウド事業者に対する委託先管理などが不十分な事例がみられた。

...

3.2022 年度の考査の実施方針

...

(3)各種リスクの状況とリスク管理体制

...

✓ オペレーショナルリスク

  • サードパーティやグループ会社等との業務連携が拡大するもとでの、それらの先を包含する管理体制の構築。
  • システムリスク管理、サイバーセキュリティ管理について、障害・インシデントの未然防止策の有効性、および、発生時の復旧体制の実効性[7]。
  • マネー・ローンダリング対策に関する体制整備の進捗管理[8]。

...

(別紙)

2022 年度の考査における重点事項

...

6.オペレーショナルリスク管理

A.システムリスク管理体制

金融機関の重要なシステムを中心に、保守管理や重要システムの二重化など、 システム障害の未然防止策や、コンティンジェンシープランの整備・訓練を含む 障害発生時の復旧体制の実効性について点検する。その際、デジタライゼーション の進展による新たな技術やサービスの利用に見合った管理が行われているか、とい う観点からも点検する。また、クラウドの利用やAPI連携など、サードパーティ との業務連携が拡大している傾向も踏まえ、そうした先については、開発・運用の プロジェクト管理や、顧客データ等に関する情報セキュリティの観点などから、従 来からの業務委託先を含むサードパーティ管理を適切に行っているかを点検する。 さらに、サイバーセキュリティを含むシステム管理全般の実効性と、システム投資 の効率性の両立を図る経営資源の配分がなされているか等の観点から、金融機関本 体およびそのグループ会社等に対するITガバナンスの有効性を確認する。

B.サイバーセキュリティ管理体制

サイバーセキュリティ管理体制の整備状況について、各金融機関の業務内容等を踏まえ、日々変化するサイバー脅威動向等の情報収集や情報共有の適切性、顧客情報など重要データへのアクセス権限管理の妥当性、サイバー攻撃への未然防止策と被害抑制策の有効性を点検する。また、攻撃からの完全な防御は困難であることを踏まえ、サイバーインシデント発生時を想定した重要な業務の復旧に向けた体制やコンティンジェンシープランの実効性、演習の実施状況とその結果を反映した管理体制の見直し状況を点検する。

一部の大手金融機関に対する金融庁との共同調査では、特に、ガバナンス(経営 陣によるコミットメント、専担部署のリソース確保、業務部門の協力体制)、グルー プ・グローバルな体制整備(脅威情報収集・監視・即応・演習等)、脅威ベースペネトレーションテスト(TLPT)の活用、サイバーレジリエンスの向上(ランサム ウェア攻撃を想定したコンティンジェンシープランの整備等)、業務委託先を含むサードパーティ管理について対話を深める。なお、考査の実施に当たっては、共同調査との重複を回避する。

地域金融機関については、金融庁と共同でサイバーセキュリティ管理体制に関するセルフアセスメントを実施し、整備状況の実態把握および対策強化について働き かけを行っていく。

...

 

■ 参考:過去分

考査の実施方針等


 

Medama_moji_jp_400x400

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.21 金融庁 金融分野におけるサイバーセキュリティ強化に向けた取組方針(Ver. 3.0)

・2020.11.27 日本銀行 クラウドサービス利用におけるリスク管理上の留意点

・2020.03.17 日本銀行 2020年度考査実施方針

・2006.04.13 日本銀行 平成18年度の考査の実施方針等について

| | Comments (0)

ロシア・ウクライナ紛争に伴うサイバーセキュリティの警告(オーストラリア、英国の場合)

こんにちは、丸山満彦です。

日本政府のサイバーセキュリティの司令塔は内閣官房のサイバーセキュリティセンター (NISC) ですが、英国、カナダ、オーストラリアにも同様のセンターがあります。。。

英国 国家サイバーセキュリティセンター NCSC National Cyber Security Centre
カナダ カナダ・サイバーセキュリティセンター CCCS Canadian Centre for Cyber Security
オーストラリア オーストラリア・サイバーセキュリティセンター ACSC Australian Cyber Security Centre

で、今回のロシア・ウクライナ紛争、戦争?に伴うサイバーセキュリティの警告がそれぞれ公表されていますので、参考まで。。。

それぞれ結構詳細でございます。。。

 

英国の場合

National Cyber Security Centre: NCSC

・(GUidance) Actions to take when the cyber threat is heightened

 

オーストラリアの場合

Australian Cyber Security Centre: ACSC

2022-02: Australian organisations should urgently adopt an enhanced cyber security posture

 

 

20220330-152218

 

| | Comments (0)

IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

こんにちは、丸山満彦です。

IPAが

  1. 「サイバーセキュリティ経営ガイドライン」を実践するうえで参考となる事例やヒントを検索するためのウェブサイト(プラクティス・ナビ)

  2. ランサムウェアやテレワークといった近年の課題に対応する事例などを追加した「サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版

を公開していますね。。。

色々と参考になることもあるかもですね。。。

 

IPA

・2022.03.30 プレス発表 サイバーセキュリティ対策の実践事例を検索できるウェブサイトを公開

 ・プラクティス・ナビ

 

・2022.03.30 サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

 ・アンケートのお願い(対象資料名:サイバーセキュリティ経営ガイドラインVer 2.0実践のためのプラクティス集 第3版)

 ・[PDF]

20220330-120633  


第1章:経営とサイバーセキュリティ

経営者やCISO等に向けて、国内のサイバー攻撃の被害事例やサイバー攻撃の特徴を踏まえ、サイバーセキュリティが与える企業への影響や経営課題としての重要性をまとめる。

第2章:サイバーセキュリティ経営ガイドライン実践のプラクティス

サイバーセキュリティ対策を実施するCISO等やセキュリティ担当者、人材育成・支援担当者に向けて、事例に基づく重要10項目の実践手順、実践内容、取り組む際の考え方、ヒントをプラクティスとして示す。

第3章:サイバーセキュリティ対策を推進する担当者の悩みと取組のプラクティス

サイバーセキュリティ対策を実施するセキュリティ担当者や人材育成・支援担当者が、対策を推進する上で経験した悩みとそれを解決するために取り組んだ際の実践手順、内容、取り組む際の考え方、得られた知見をプラクティスとして示す。


 

 

| | Comments (0)

世界経済フォーラム (WEF) 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

こんにちは、丸山満彦です。

世界経済フォーラム (World Economic Forum) はデジタル通貨ガバナンスコンソーシアム (Digital Currency Governance Consortiumを立ち上げ、暗号通貨、暗号資産に関する提言もしてきていますね。。。

さて、2021年はエルサルバドルでBit Coinを法定通貨にしようとにしたり(IMFからやめろと言われていますが...)、中国で暗号通貨のマイニングを禁止したりと、色々と動きがあったわけですが、2022年になっておそらくさらに動きが加速するような予感がしますね。。。早速、米国では2022.03.09にデジタル資産の責任ある開発を確保するための大統領令 (Executive Order on Ensuring Responsible Development of Digital Assets) が公布されています。暗号通貨、暗号資産の可能性の大きさを経済成長に結びつけることの重要性とともに、その拡大に伴う負の影響の軽減を取り入れることが重要という認識なんだろうということなのかもしれませんね。。。

World Economic Forum

・2022.03.28 Cryptocurrency regulation: where are we now, and where are we going?

  • デジタル通貨の時価総額は1兆7000億ドルで、毎日900億ドル以上の価値が取引されています。
  • アナリストは、この産業があまりにも大きいため、管理を誤るとマクロ経済に影響を及ぼす可能性があると警告しています。
  • 暗号通貨規制に対する断片的なアプローチは、世界的に協調された枠組みに置き換えられる必要があります。

ということで、暗号通貨(暗号資産)について、各国が個別で規制を強化している状況になったので、これからはその規制を国際的に協調していくことが必要ということなのだろうと思います。

米国が大統領令を出したことから、動き出すと思われます。世界経済フォーラムの次の記事も参考になると思います。

・2022.03.11 Five things you need to know about Biden's executive order on cryptocurrency

  • 暗号通貨は今後も存在する
  • 暗号通貨への規制には注意が必要
  • 地政学の道具としての暗号技術
  • 暗号はより公平な金融システムの実現に貢献する可能性がある
  • 暗号通貨から得た教訓は今後の事業に影響を与える

この可能性のある技術を、うまく活用するためには、規制が不可欠であるがうまく規制をしないといけないという、まぁ、当たり前の話ですね。。。問題は、どういう規制がうまい規制かということだと思います。

これも参考になりますね。。。

 

・2022.01.10 What's next for bitcoin and crypto? The trends to watch in 2022

  • 暗号通貨をめぐる議論は、各国が暗号通貨を受け入れるか、規制するか、禁止するかを決定する中で、今もなお続いています
  • さらに、エネルギー集約型の分野は、最近、気候変動の専門家から非難を浴びています
  • 暗号の専門家が2022年の予測を語っています(法定通貨の問題等)

 

・2021.12.11 IMF experts explain the urgent need for comprehensive global laws around cryptocurrencies

  • 暗号資産は国際通貨・金融システムに重大な影響を与える可能性があると、IMFの3人の専門家が主張しています。
  • IMFの専門家は、技術、法律、規制、監督上の課題に対処するために、国境を越えた協力と協調が緊急に必要であることを指摘しています
  • 重要なのは、金融安定理事会が、その調整役として、暗号資産の規制のための基準からなるグローバルな枠組みを開発するのを支援することです。

 

国際的に規制をどのようにしていくかが重要なテーマとなっていきそうですね。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.23 企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.24 Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア運営会社と仮想通貨取引所に制裁を科す

 

Fig1_20220330030401

 

| | Comments (0)

中国 国家サイバースペース管理局 我が国のインターネットは海外からのサイバー攻撃に遭っています。。。(2022.03.11)

こんにちは、丸山満彦です。

中国 国家サイバースペース管理局 中国のインターネットは海外からのサイバー攻撃に遭っていると発表していました。。。米国に比べると控えめ目な発表の仕方です。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.03.11 我国互联网遭受境外网络攻击 我が国のインターネットは海外からのサイバー攻撃に遭っています

 

我国互联网遭受境外网络攻击 我が国のインターネットは海外からのサイバー攻撃に遭っています
国家互联网应急中心监测发现,2月下旬以来,我国互联网持续遭受境外网络攻击,境外组织通过攻击控制我境内计算机,进而对俄罗斯、乌克兰、白俄罗斯进行网络攻击 国家インターネット緊急対応センターの調べによると、2月下旬以降、中国のインターネットは海外からのネットワーク攻撃を受け続け、外国組織が攻撃によって我が国の領土内のコンピューターをコントロールし、ロシア、ウクライナ、ベラルーシに対してネットワーク攻撃を行っていることが判明しました。
经分析,这些攻击地址主要来自美国,仅来自纽约州的攻击地址就有10余个,攻击流量峰值达36Gbps,87%的攻击目标是俄罗斯,也有少量攻击地址来自德国、荷兰等国家。 解析の結果、これらの攻撃アドレスは主に米国からで、ニューヨーク州の攻撃アドレスだけでも10個以上あり、ピーク時の攻撃トラフィックは36Gbpsに達していました。攻撃対象の87%はロシアで、ドイツやオランダなどからの攻撃アドレスも少数ながらありました。
Fig1_20220330005001
据悉,国家互联网应急中心已及时对以上攻击行为最大限度予以处置。(记者 王思北) 国家インターネット緊急対応センターは、上記の攻撃に対し、速やかに最大限の対処を行ったと報告されています。 (王思北記者)。

 

攻击地址   攻撃元アドレス 被攻击目标 攻撃先目標
107.174.250.xxx 美国伊利诺伊州 米国 イリノイ州 俄罗斯 ロシア
107.172,249.xxx 美国纽约州 米国 ニューヨーク州 俄罗斯 ロシア
192210.239.xxx 美国伊利诺伊州 米国 イリノイ州 乌克兰 ウクライナ
107.172.188.xxx 美国纽约州 米国 ニューヨーク州 俄罗斯 ロシア
66.150.130.xxx 美国加利福尼亚州 米国 カリフォルニア州 俄罗斯 ロシア
51.195.20.xxx 德国黑森州 ドイツ ヘッセン州 俄罗斯 ロシア
199.188.101.xxx 美国德克萨斯州 米国 テキサス州 俄罗斯 ロシア
136.144.41.xxx 荷兰南荷兰省 オランダ 南ホラント州 俄罗斯 ロシア
96.8.121.xxx 美国华盛顿州 米国 ワシントン 俄罗斯 ロシア
135.148.91.xxx 美国俄亥俄州 米国 オハイオ州 白俄罗斯 ベラルーシ

 

1_20210612030101

 

| | Comments (0)

米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

こんにちは、丸山満彦です。

米国司法省が、重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴したと公表していますね。。。

Department of Justice: DOJ

・2022.03.24 Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide

 

Four Russian Government Employees Charged in Two Historical Hacking Campaigns Targeting Critical Infrastructure Worldwide 世界の重要インフラを標的とした2つの歴史的なハッキングキャンペーンでロシア政府職員4人を起訴
Defendants’ Separate Campaigns Both Targeted Software and Hardware for Operational Technology Systems 被告らの別々のキャンペーンは、いずれもOTシステムのソフトウェアとハードウェアを標的としていました
WASHINGTON - The Department of Justice unsealed two indictments today charging four defendants, all Russian nationals who worked for the Russian government, with attempting, supporting and conducting computer intrusions that together, in two separate conspiracies, targeted the global energy sector between 2012 and 2018. In total, these hacking campaigns targeted thousands of computers, at hundreds of companies and organizations, in approximately 135 countries. ワシントン - 司法省は本日、ロシア政府に勤務していたロシア国籍の被告人4名を、2012年から2018年の間に、2つの別々の共謀によって世界のエネルギー分野を標的としたコンピューター侵入を試み、支援し、実施した罪で起訴する2つの起訴状を公開しました。これらのハッキングキャンペーンは、合計で、約135カ国の数百の企業や組織で、数千台のコンピュータを標的としました。
A June 2021 indictment returned in the District of Columbia, United States v. Evgeny Viktorovich Gladkikh, concerns the alleged efforts of an employee of a Russian Ministry of Defense research institute and his co-conspirators to damage critical infrastructure outside the United States, thereby causing two separate emergency shutdowns at a foreign targeted facility. The conspiracy subsequently attempted to hack the computers of a U.S. company that managed similar critical infrastructure entities in the United States. 2021年6月にコロンビア特別区で起訴された合衆国対エブゲニー・ビクトロビッチ・グラッドキフは、ロシア国防省研究所の職員とその共謀者が米国外の重要インフラに損害を与え、それによって外国の標的施設に2度に渡る緊急停止を引き起こしたとする容疑に関わるものです。この共謀者はその後、米国内で同様の重要インフラ事業体を管理する米国企業のコンピューターへのハッキングを試みました。
An August 2021 indictment returned in the District of Kansas, United States v. Pavel Aleksandrovich Akulov, et al., details allegations about a separate, two-phased campaign undertaken by three officers of Russia’s Federal Security Service (FSB) and their co-conspirators to target and compromise the computers of hundreds of entities related to the energy sector worldwide. Access to such systems would have provided the Russian government the ability to, among other things, disrupt and damage such computer systems at a future time of its choosing. 2021年8月にカンザス州で起訴された合衆国対パベル アルクサンドロビッチ・アクロフ他は、ロシア連邦保安局(FSB)職員3人とその共謀者が、世界中のエネルギー部門に関連する数百の企業のコンピューターを標的にして侵害するために行った別の2段階のキャンペーンについての申し立てを詳述しています。このようなシステムにアクセスすることで、ロシア政府は、将来の好きな時にこのようなコンピュータ・システムを混乱させ、損害を与えることができるようになったのです。
“Russian state-sponsored hackers pose a serious and persistent threat to critical infrastructure both in the United States and around the world,” said Deputy Attorney General Lisa O. Monaco. “Although the criminal charges unsealed today reflect past activity, they make crystal clear the urgent ongoing need for American businesses to harden their defenses and remain vigilant. Alongside our partners here at home and abroad, the Department of Justice is committed to exposing and holding accountable state-sponsored hackers who threaten our critical infrastructure with cyber-attacks.”  司法長官代理のリサ・O・モナコは、次のように述べています。「ロシアの国家に支援されたハッカーは、米国および世界中の重要なインフラストラクチャに深刻かつ持続的な脅威を与えています。このようなハッカーは、米国および世界中の重要なインフラストラクチャに深刻かつ持続的な脅威を与えています。本日公開された刑事告発は過去の活動を反映したものですが、米国企業が防御を強化し、警戒を続けることが緊急に必要であることを明確に示しています。司法省は国内外のパートナーとともに、サイバー攻撃で重要インフラを脅かす国家によるハッカーの摘発と責任追及に全力を挙げています。」
“The FBI, along with our federal and international partners, is laser-focused on countering the significant cyber threat Russia poses to our critical infrastructure,” said FBI Deputy Director Paul Abbate. “We will continue to identify and quickly direct response assets to victims of Russian cyber activity; to arm our partners with the information that they need to deploy their own tools against the adversary; and to attribute the misconduct and impose consequences both seen and unseen.” FBIのポール・アベイト副長官は、次のように述べています。「FBIは、連邦政府や国際的なパートナーとともに、ロシアが我々の重要なインフラにもたらす重大なサイバー脅威への対策に集中しています。私たちは、ロシアのサイバー攻撃の犠牲者を特定し、迅速に対応するための資産を提供し、パートナーが敵対者に対して独自のツールを展開するために必要な情報を提供し、不正行為を明らかにし、目に見えるものと見えないものの両方に結果をもたらすために、引き続き取り組んでいきます。」
“We face no greater cyber threat than actors seeking to compromise critical infrastructure, offenses which could harm those working at affected plants as well as the citizens who depend on them,” said U.S. Attorney Matthew M. Graves for the District of Columbia. “The department and my office will ensure that those attacking operational technology will be identified and prosecuted.” コロンビア特別区の連邦検事マシュー・M・グレイブス氏は、次のように述べています。「重要インフラを侵害しようとする行為ほど大きなサイバー脅威はありません。こうした犯罪は、被害を受けた工場で働く人々や、工場に依存している市民を傷つける恐れがあります。コロンビア特別区と私の事務所は、運用技術を攻撃する者を特定し、確実に起訴します。」
“The potential of cyberattacks to disrupt, if not paralyze, the delivery of critical energy services to hospitals, homes, businesses and other locations essential to sustaining our communities is a reality in today’s world,” said U.S. Attorney Duston Slinkard for the District of Kansas. “We must acknowledge there are individuals actively seeking to wreak havoc on our nation’s vital infrastructure system, and we must remain vigilant in our effort to thwart such attacks. The Department of Justice is committed to the pursuit and prosecution of accused hackers as part of its mission to protect the safety and security of our nation.” カンザス地区連邦検事ドストン・スリンカードは、次のように述べています。「サイバー攻撃は、病院、家庭、企業、その他地域社会の維持に不可欠な場所への重要なエネルギーサービスの提供を麻痺させないまでも、妨害する可能性があり、今日の世界では現実です。私たちは、国の重要なインフラシステムを破壊しようと積極的に活動している人物がいることを認識し、そのような攻撃を阻止するために警戒を怠らないようにしなければなりません。司法省は、我が国の安全とセキュリティを守る使命の一環として、告発されたハッカーの追跡と起訴に全力を尽くしています。」
In addition to unsealing these charges, the U.S. government is taking action to enhance private sector network defense efforts and disrupt similar malicious activity. 米国政府は、これらの告発の公表に加え、民間企業のネットワーク防御の取り組みを強化し、同様の悪質な活動を阻止するための措置をとっています。
The Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) has already released numerous Technical Alerts, ICS Alerts and Malware Analysis Reports regarding Russia’s malign cyber activities, including the campaigns discussed in the indictments. These are located at: https://www.cisa.gov/shields-up 国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)は、今回の起訴で取り上げられたキャンペーンを含むロシアの悪質なサイバー活動について、すでに多くの技術アラート、ICSアラート、マルウェア分析報告書を発表しています。これらの情報は、https://www.cisa.gov/shields-up に掲載されています。
United States v. Evgeny Viktorovich Gladkikh – defendant installed backdoors and launched malware designed to compromise the safety of energy facilities 合衆国対エブゲニー・ビクトロビッチ・グラッドキフで被告はバックドアをインストールし、エネルギー施設の安全性を損なうように設計されたマルウェアを起動しました。
In June 2021, a federal grand jury in the District of Columbia returned an indictment charging Evgeny Viktorovich Gladkikh (Евгений Викторович Гладких), 36, a computer programmer employed by an institute affiliated with the Russian Ministry of Defense, for his role in a campaign to hack industrial control systems (ICS) and operational technology (OT) of global energy facilities using techniques designed to enable future physical damage with potentially catastrophic effects. 2021年6月、コロンビア特別区の連邦大陪審は、ロシア国防省の関連機関に勤務するコンピュータープログラマー、エフゲニー・ビクトロビッチ・グラッドキフ(Евгений Викторович Гладких)、36歳の起訴状を提出しました。グローバルなエネルギー施設の産業制御システム(ICS)と運用技術(OT)を、将来的に壊滅的な影響を及ぼす可能性のある物理的損害を可能にするよう設計された技術を使用してハッキングするキャンペーンに関与したためです。
According to the indictment, between May and September 2017, the defendant and co-conspirators hacked the systems of a foreign refinery and installed malware, which cyber security researchers have referred to as “Triton” or “Trisis,” on a safety system produced by Schneider Electric, a multinational corporation. The conspirators designed the Triton malware to prevent the refinery’s safety systems from functioning (i.e., by causing the ICS to operate in an unsafe manner while appearing to be operating normally), granting the defendant and his co-conspirators the ability to cause damage to the refinery, injury to anyone nearby, and economic harm. However, when the defendant deployed the Triton malware, it caused a fault that led the refinery’s Schneider Electric safety systems to initiate two automatic emergency shutdowns of the refinery’s operations. Between February and July 2018, the conspirators researched similar refineries in the United States, which were owned by a U.S. company, and unsuccessfully attempted to hack the U.S. company’s computer systems. 起訴状によると、2017年5月から9月にかけて、被告と共謀者は外国の製油所のシステムをハッキングし、サイバーセキュリティ研究者が「Triton」または「Trisis」と呼んでいるマルウェアを、多国籍企業シュナイダーエレクトリックが製造する安全システムにインストールしたとのことです。共謀者は、製油所の安全システムが機能しないように(正常に動作しているように見せかけながら、ICSを危険な方法で動作させる)マルウェア「Triton」を設計し、被告とその共謀者に、製油所の被害、近隣住民への被害、経済的被害を引き起こす能力を付与したのです。しかし、被告がTritonマルウェアを展開した際、製油所のシュナイダーエレクトリック社の安全システムが製油所の操業を2回自動緊急停止させる不具合を発生させました。2018年2月から7月にかけて、共謀者は、米国企業が所有する米国内の同様の製油所を調査し、米国企業のコンピューターシステムのハッキングを試みましたが、失敗に終わっています。
The three-count indictment alleges that Gladkikh was an employee of the State Research Center of the Russian Federation FGUP Central Scientific Research Institute of Chemistry and Mechanics’ (Государственный научный центр Российской Федерации федеральное государственное унитарное предприятие Центральный научно-исследовательский институт химии и механики, hereinafter “TsNIIKhM”) Applied Developments Center (“Центр прикладных разработок,” hereinafter “ADC”). On its website, which was modified after the Triton attack became public, TsNIIKhM described itself as the Russian Ministry of Defense’s leading research organization. The ADC, in turn, publicly asserted that it engaged in research concerning information technology-related threats to critical infrastructure (i.e., that its research was defensive in nature). 3つの 起訴状によると、グラッドキフはロシア連邦の国家研究センター「FGUP中央科学研究所化学・機械研究所(Государственный научный центр Российской Федерации федеральное государственное унитарное предприятие Центральный научно- на маженый исследовательский институт химии и механики, 以下「TsNIIKhM」)応用開発センター(「Центр прикладных разработок」、以下「ADC」)」の職員であったとされています。TsNIIKhMは、Triton攻撃公開後に修正されたウェブサイトで、自らをロシア国防省の主要研究機関であると説明しています。一方、ADCは、重要インフラに対する情報技術関連の脅威に関する研究に従事していること(すなわち、その研究は防衛的な性格を有すること)を公言しました。
The defendant is charged with one count of conspiracy to cause damage to an energy facility, which carries a maximum sentence of 20 years in prison, one count of attempt to cause damage to an energy facility, which carries a maximum sentence of 20 years in prison, and one count of conspiracy to commit computer fraud, which carries a maximum sentence of five years in prison. 被告は、エネルギー施設に損害を与えるための共謀罪1件(最高懲役20年)、エネルギー施設に損害を与えようとした1件(最高懲役20年)、コンピューター詐欺を行った1件(最高懲役5年)の罪で起訴されました。
Assistant U.S. Attorneys Christopher B. Brown and Luke Jones for the District of Columbia, in partnership with the National Security Division’s Counterintelligence and Export Control Section, are prosecuting this case. The FBI’s Washington Field Office conducted the investigation. コロンビア特別区連邦検事補のクリストファーB. ブラウンとルーク・ジョーンズは、国家安全保障局の防諜・輸出管理部門と共同で、この事件を起訴しています。FBIのワシントン支局が捜査を行いました。
The U.S.-based targets of the conspiracy cooperated and provided valuable assistance in the investigation. The Department of Justice and the FBI also expressed appreciation to Schneider Electric for its assistance in the investigation, particularly noting the company’s public outreach and education efforts following the overseas Triton attack. 米国に拠点を置く謀略の対象者は、捜査に協力し、貴重な支援を提供しました。司法省とFBIはまた、シュナイダーエレクトリック社の捜査への協力に感謝の意を表し、特に海外でのTriton攻撃後の同社の広報・教育活動に注目しました。
United States v. Pavel Aleksandrovich Akulov, Mikhail Mikhailovich Gavrilov, and Marat Valeryevich Tyukov – defendants undertook years-long effort to target and compromise computer systems of energy sector companies 合衆国対パベル・アレクサンドロビッチ・アクロフ、ミハエル・ミハイロビッチ・ガブリロフ、マラット・バレリビッチ・ツコフでは、被告はエネルギーセクター企業のコンピュータシステムを標的とし侵害するために数年にわたり活動をしていました。
On Aug. 26, 2021, a federal grand jury in Kansas City, Kansas, returned an indictment charging three computer hackers, all of whom were residents and nationals of the Russian Federation (Russia) and officers in Military Unit 71330 or “Center 16” of the FSB, with violating U.S. laws related to computer fraud and abuse, wire fraud, aggravated identity theft and causing damage to the property of an energy facility. 2021年8月26日、カンザスシティーの連邦大陪審は、全員がロシア連邦(ロシア)の居住者・国籍で、FSBの軍事ユニット71330または「センター16」の幹部である3人のコンピューターハッカーを、コンピューター詐欺と不正使用、電信詐欺、加重個人情報漏洩、エネルギー施設の財産への損害発生に関する米国法違反の罪で起訴しました。
The FSB hackers, Pavel Aleksandrovich Akulov (Павел Александрович Акулов), 36, Mikhail Mikhailovich Gavrilov (Михаил Михайлович Гаврилов), 42, and Marat Valeryevich Tyukov (Марат Валерьевич Тюков), 39, were members of a Center 16 operational unit known among cybersecurity researchers as “Dragonfly,” “Berzerk Bear,” “Energetic Bear,” and “Crouching Yeti.” The indictment alleges that, between 2012 and 2017, Akulov, Gavrilov, Tyukov and their co-conspirators, engaged in computer intrusions, including supply chain attacks, in furtherance of the Russian government’s efforts to maintain surreptitious, unauthorized and persistent access to the computer networks of companies and organizations in the international energy sector, including oil and gas firms, nuclear power plants, and utility and power transmission companies. Specifically, the conspirators targeted the software and hardware that controls equipment in power generation facilities, known as ICS or Supervisory Control and Data Acquisition (SCADA) systems. Access to such systems would have provided the Russian government the ability to, among other things, disrupt and damage such computer systems at a future time of its choosing. FSBのハッカー、パベル・アレクサンドロビッチ・アクロフ (Павел Александрович Акулов)(36)、ミハエル・ミハリボッチ・ガブリロフ (Михаил Михайлович Гаврилов)(42) とマラット・バレリビッチ・ツコフ (Марат Валерьевич Тюков) (39) は、サイバーセキュリティ研究者の間で「ドラゴンフライ」「バーサークベア」「エネルギッシュベア」「クラウチングイエティ」として知られていたセンター16作戦部隊のメンバーであった。 起訴状では、2012年から2017年にかけて、アクロフ、ガブリロフ、ツコフおよびその共謀者が、石油・ガス会社、原子力発電所、電力会社・送電会社などの国際エネルギー分野の企業・組織のコンピューターネットワークへの密かな不正アクセスおよび持続的アクセスを維持するためのロシア政府の取り組みを推進し、サプライチェーン攻撃などのコンピューター侵入に従事したと申し立てています。具体的には、ICSやSCADA(Supervisory Control and Data Acquisition)システムと呼ばれる、発電施設の機器を制御するソフトウェアやハードウェアを標的としていました。このようなシステムにアクセスすることで、ロシア政府は、将来の好きなタイミングで、このようなコンピュータシステムを混乱させ、損害を与えることができるようになります。
According to the indictment, the energy sector campaign involved two phases. In the first phase, which took place between 2012 and 2014 and is commonly referred to by cyber security researchers as “Dragonfly” or “Havex,” the conspirators engaged in a supply chain attack, compromising the computer networks of ICS/SCADA system manufacturers and software providers and then hiding malware – known publicly as “Havex” – inside legitimate software updates for such systems. After unsuspecting customers downloaded Havex-infected updates, the conspirators would use the malware to, among other things, create backdoors into infected systems and scan victims’ networks for additional ICS/SCADA devices. Through these and other efforts, including spearphishing and “watering hole” attacks, the conspirators installed malware on more than 17,000 unique devices in the United States and abroad, including ICS/SCADA controllers used by power and energy companies. 起訴状によると、エネルギーセクターのキャンペーンは2つのフェーズに分かれていました。2012年から2014年にかけて行われた第1段階では、サイバーセキュリティ研究者の間では一般に「Dragonfly」または「Havex」と呼ばれています。共謀者はサプライチェーン攻撃を行い、ICS/SCADAシステムメーカーとソフトウェアプロバイダーのコンピュータネットワークを侵害し、そうしたシステムの正規ソフトウェア更新の中に「Havex」として公に知られているマルウェアを隠蔽していました。疑いを持たない顧客がHavexに感染したアップデートをダウンロードした後、共謀者はこのマルウェアを使って、感染したシステムにバックドアを設置し、被害者のネットワークをスキャンして追加のICS/SCADA機器を探すなどの行為を行いました。共謀者は、スピアフィッシングや「水飲み場」攻撃など、こうした取り組みを通じて、電力会社やエネルギー会社が使用するICS/SCADAコントローラを含む、米国内外の17,000以上のユニークなデバイスにマルウェアをインストールしたのです。
In the second phase, which took place between 2014 and 2017 and is commonly referred to as “Dragonfly 2.0,” the conspirators transitioned to more targeted compromises that focused on specific energy sector entities and individuals and engineers who worked with ICS/SCADA systems. As alleged in the indictment, the conspirators’ tactics included spearphishing attacks targeting more than 3,300 users at more than 500 U.S. and international companies and entities, in addition to U.S. government agencies such as the Nuclear Regulatory Commission. In some cases, the spearphishing attacks were successful, including in the compromise of the business network (i.e., involving computers not directly connected to ICS/SCADA equipment) of the Wolf Creek Nuclear Operating Corporation (Wolf Creek) in Burlington, Kansas, which operates a nuclear power plant. Moreover, after establishing an illegal foothold in a particular network, the conspirators typically used that foothold to penetrate further into the network by obtaining access to other computers and networks at the victim entity. 2014年から2017年にかけて行われ、一般に「Dragonfly 2.0」と呼ばれる第2フェーズでは、共謀者は、特定のエネルギー部門の事業体とICS/SCADAシステムを扱う個人およびエンジニアに焦点を当てた、より標的型の侵害行為へと移行しています。起訴状によると、共謀者たちの手口には、原子力規制委員会などの米国政府機関に加え、米国内外の500以上の企業や団体の3,300人以上のユーザーを標的としたスピアフィッシング攻撃も含まれていました。このスピアフィッシング攻撃は、原子力発電所を運営するカンザス州バーリントンのウルフクリーク原子力運営会社のビジネスネットワーク(ICS/SCADA機器に直接接続されていないコンピュータを含む)を侵害するなど、成功した事例もあります。さらに、共謀者は、特定のネットワークに違法な足場を築いた後、通常、その足場を利用して、被害企業の他のコンピュータやネットワークへのアクセスを取得し、ネットワークにさらに侵入していきました。
During the Dragonfly 2.0 phase, the conspirators also undertook a watering hole attack by compromising servers that hosted websites commonly visited by ICS/SCADA system and other energy sector engineers through publicly known vulnerabilities in content management software. When the engineers browsed to a compromised website, the conspirators’ hidden scripts deployed malware designed to capture login credentials onto their computers. Dragonfly 2.0の段階では、コンテンツ管理ソフトウェアの既知の脆弱性を利用して、ICS/SCADAシステムやその他のエネルギー部門のエンジニアがよく閲覧するウェブサイトをホストするサーバーを侵害し、水飲み場攻撃も行いました。エンジニアが侵害されたウェブサイトを閲覧すると、共謀者の隠しスクリプトにより、ログイン情報を取得するためのマルウェアがエンジニアのコンピュータに展開されました。
The conspiracy’s hacking campaign targeted victims in the United States and in more than 135 other countries. このハッキングキャンペーンは、米国をはじめ135カ国以上の被害者を対象としていました。
Akulov, Gavrilov and Tyukov are charged with conspiracy to cause damage to the property of an energy facility and commit computer fraud and abuse, which carries a maximum sentence of five years in prison, and conspiracy to commit wire fraud, which carries a maximum sentence of 20 years in prison. Akulov and Gavrilov are also charged with substantive counts of wire fraud and computer fraud related to unlawfully obtaining information from computers and causing damage to computers. These offenses carry maximum sentences ranging from five to 20 years in prison. Finally, Akulov and Gavrilov are also charged with three counts of aggravated identity theft, each of which carry a minimum sentence of two years consecutive to any other sentence imposed. アクロフ、ガブリロフ、ツコフの3人は、エネルギー施設の財産に損害を与え、コンピューター詐欺と不正使用を行った共謀の罪に問われており、最高刑は懲役5年、電信詐欺の共謀は最高刑懲役20年となっています。また、アクロフとガブリロフは、コンピュータから違法に情報を取得し、コンピュータに損害を与えたことに関する電信詐欺とコンピュータ詐欺の実質的な訴因でも起訴されています。これらの犯罪には、最高で5年から20年の懲役刑が科されます。最後に、アクロフとガブリロフは、加重ID窃盗の3つの訴因でも起訴されており、これらの訴因には、それぞれ最低2年の刑期が課され、他のいかなる刑期も継続されます。
Assistant U.S. Attorneys Scott Rask, Christopher Oakley and Ryan Huschka for the District of Kansas, and Counsel for Cyber Investigations Ali Ahmad and Trial Attorney Christine Bonomo of the National Security Division’s Counterintelligence and Export Control Section are prosecuting this case. The FBI’s Portland and Richmond field offices conducted the investigation, with the assistance of the FBI’s Cyber Division. カンザス州のスコット・ラスク、クリストファー・オークレイ、ライアン・マシュカの各米国弁護士補、国家安全保障局防諜・輸出管理課のアリ・アーマド サイバー捜査担当顧問とクリスティン・ボノモ裁判弁護士がこの事件を起訴しています。FBIのポートランド支局とリッチモンド支局が、FBIのサイバー課の協力のもと、捜査を実施しました。
Numerous victims, including Wolf Creek and its owners Evergy and the Kansas Electric Power Cooperative, cooperated and provided invaluable assistance in the investigation. ウルフ・クリークとその所有者であるエバージ、カンザス電力協同組合を含む多数の被害者が、捜査に協力し、貴重な援助を提供しました。
An indictment is merely an allegation, and all defendants are presumed innocent until proven guilty beyond a reasonable doubt in a court of law. A federal district court judge will determine any sentence after considering the U.S. Sentencing Guidelines and other statutory factors. 起訴は単なる申し立てに過ぎず、すべての被告人は法廷で合理的な疑いを超えて有罪と証明されるまでは無罪と推定されます。連邦地裁の裁判官は、米国量刑ガイドラインおよびその他の法定要素を考慮した上で、判決を決定します。

 

Fig1_20220329232701

 

| | Comments (0)

2022.03.29

IPA 2021年度情報セキュリティの倫理に対する意識調査、2021年度情報セキュリティの脅威に対する意識調査

こんにちは、丸山満彦です。

IPAが、2021年度情報セキュリティの倫理に対する意識調査、2021年度情報セキュリティの脅威に対する意識調査の報告書が公開されていました。。。

両方の調査とも13-19歳のかたが約8%が含まれていますね。。。70歳以上の方も。。。

IPA

・2022.03.28 「2021年度情報セキュリティに対する意識調査【倫理編】【脅威編】」報告書


調査結果のポイント

(1) パスワードのセキュリティ対策「できるだけ長いパスワード」「使いまわしをしない」「初期パスワードの変更」のうち、実施率が最も低いのは「使いまわしをしない」で、使いまわす人の割合は4-5割。(脅威調査2021_概要資料.pdf P23)

(2) 「プライベートな情報を書き込む」「金銭をやりとりする」など使途の異なるアカウントにおけるパスワード管理方法に差は見られず、ツールなどを使わず「自分で記憶」「紙などにメモ」が2トップ(同 P25、26)

(3) 脆弱性対策において、IoT機器の対策はパソコン関連の対策よりも実施率が低く、やり方がわからないという割合が高い(同 P27)

(4) SNS等で知り合った人と1対1で合ったことがない人の割合は平均で7割弱いる一方で、「6回以上会ったことがある」人の割合は約1割(倫理調査2021_概要資料.pdf P27)

(5) SNS等で会った結果「金銭トラブル」「身の危険を感じた」と回答した割合は10代が他世代より顕著に高い(同 P31)

(6) セキュリティ教育の受講経験は10代の割合が最も高く、次いで20代。年齢が上がるにつれ低下する(脅威調査2021_概要資料.pdf P12 、倫理調査2021_概要資料.pdf P11)


 ということのようです。。。

年代別のデータは興味深いですね。。。

報告書というよりも、データ集のようなものなので、できたらエクセルでもデータを提供していただければ、利用者側でも柔軟な分析ができるのになぁ。。。と思ったり。。。

 

 

 「2021年度情報セキュリティの倫理に対する意識調査」報告書

(1) 調査方法:ウェブアンケート
(2) 調査対象:13歳以上のSNS等における投稿経験者
(3) 調査期間:2021年12月14日~2022年1月4日
(4) サンプル数:5,000人
20220329-140534

・[PDF] 2021倫理調査

・[PDF] 2021職業軸_倫理調査

・[PDF] 2021性年代軸_倫理調査

 

 

「2021年度情報セキュリティの脅威に対する意識調査」報告書

(1) 調査方法:ウェブアンケート
(2) 調査対象:13歳以上のパソコンあるいはスマートフォンを使ったインターネット利用者
(3) 調査期間:2021年12月14日~2022年1月4日
(4) サンプル数:パソコン利用者、スマートフォン利用者各5,000人 計10,000人

| | Comments (0)

FIRST ロシアとベラルーシを拠点とする会員組織を一時的に停止 (2022.03.25)

こんにちは、丸山満彦です。

FIRSTの理事会が、ロシアとベラルーシを拠点とする会員組織を一時的に停止する決定をしていますね。。。

FIRSTは、世界各国からインシデントレスポンスとセキュリティのチームを集め、すべての人にとって安全なインターネットを確保することを目的としている組織ではあるのですが、法的には米国で法人化された組織であるため、米国政府から出された制裁措置に留意し、行動する必要があり、FIRSTとその会員組織に対して、直ちに法的な影響が及ぶリスクを軽減するために、ロシアとベラルーシを拠点とする会員組織を一時的に停止するということを決断したということのようです。。。

FIRSTの各理事(理事会理事)もこの決断に至るにあたり、いろいろな思いもあり、簡単な決断ではなかったのだろうと思います。日本からはJPCERT/CCの内田さんが理事に就任しています。。。

 

FIRST

・2022.03.25 Teams suspension from FIRST

理事会理事

FIRST.Org, Inc. Board of Directors

 


Teams suspension from FIRST

The Board of Directors strongly believes that FIRST should be an inclusive organization with broad global participation and collaboration to make the internet safe for everyone.

Available in PDF

March 25, 2022: The Board of Directors strongly believes that FIRST should be an inclusive organization with broad global participation and collaboration to make the internet safe for everyone. FIRST is a non-profit organization incorporated in the United States of America. We are obliged to take note and act upon sanctions issued by the US government.

Therefore, the FIRST Board of Directors had to temporarily suspend all member organizations originating in Russia and Belarus until the full implications of the issued rulings can be accessed. This was done to reduce the immediate risk of legal ramifications to the organization and its members.

FIRST and its Board will closely monitor the situation and will take appropriate action to navigate new restrictions as they develop and comply with sanctions. At the same time, we aim to seek clarification and provide input into any policy and governance that prevents our industry from operating and cooperating globally to its full potential.


 

First

 

| | Comments (0)

米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

こんにちは、丸山満彦です。

米国のGAOがブロックチェーンがもたらす新たな利点と課題についての報告書を出していますね。。。

● U.S. Government Accountability Office

・2022.03.22 GAO 2022-2027 Strategic Plan: Goals and Objectives for Serving Congress and the Nation

 

Blockchain: Emerging Technology Offers Benefits for Some Applications but Faces Challenges ブロックチェーン:ブロックチェーンがもたらす新たな利点と課題
Fast Facts 概要
Blockchain combines several technologies to provide a tamper-resistant record of transactions between parties without a central authority, such as a bank. ブロックチェーンは、複数の技術を組み合わせることで、銀行などの中央当局を介さずに当事者間の取引を改ざんされにくい形で記録することができます。
Although cryptocurrency is the best known use, blockchain has potential non-financial uses. For example, it could be used to manage supply chains, create less hierarchical organizations, and document real estate title transfers. 暗号通貨が最もよく知られている用途ですが、ブロックチェーンは金融以外の用途にも利用できる可能性があります。例えば、サプライチェーンの管理、階層性の低い組織の構築、不動産の所有権移転の文書化などに利用できる可能性があります。
This report also highlights potential benefits and challenges of blockchain. Data privacy, energy consumption, and regulatory uncertainty are key concerns. We present policy options for oversight, standard-setting, and more. 本レポートでは、ブロックチェーンの潜在的なメリットと課題についても取り上げています。データプライバシー、エネルギー消費、規制の不確実性などが主な懸念事項です。監視、標準設定などに関する政策オプションを提示します。
There are potential applications for blockchain in supply chains, financial services, digital IDs, and more. ブロックチェーンは、サプライチェーン、金融サービス、デジタルIDなどに応用される可能性があります。
Highlights ハイライト
What GAO Found GAOの発見事項
Blockchain combines several technologies to provide a trusted, tamper-resistant record of transactions by multiple parties without a central authority such as a bank. Blockchain can be used for a variety of financial and non-financial applications, including cryptocurrency, supply chain management, and legal records. GAO found that blockchain is useful for some applications but limited or even problematic for others. For example, because of its tamper resistance, it may be useful for applications involving many participants who do not necessarily trust each other. But it may be overly complex for a few trusted users, where traditional spreadsheets and databases may be more helpful. Blockchain may also present security and privacy challenges and can be energy-intensive. ブロックチェーンは、複数の技術を組み合わせることで、銀行などの中央当局を介さずに、複数の当事者による取引を、信頼性が高く改ざんされにくい記録として提供するものです。ブロックチェーンは、暗号通貨、サプライチェーン管理、法的記録など、金融および非金融のさまざまな用途に使用することができます。GAOは、ブロックチェーンが一部の用途には有用であるが、他の用途には制限があるか、あるいは問題があることを発見した。例えば、改ざんができないため、必ずしもお互いを信頼していない多くの参加者が関わる用途では有用かもしれません。しかし、信頼できる少数のユーザーにとっては過度に複雑であり、従来のスプレッドシートやデータベースの方が有用な場合もあります。また、ブロックチェーンにはセキュリティやプライバシーに関する課題があり、エネルギーを大量に消費する可能性があります。
Blockchain has a wide range of potential non-financial uses (see figure). ブロックチェーンには、金融以外の幅広い用途の可能性があります(図参照)。
Blockchain has many potential non-financial applications ブロックチェーンには、金融以外の用途の可能性が多くある
719632

For example, it could be used to organize supply chains, create less hierarchical organizations, and document title registries for real estate. However, most such efforts are not yet beyond the pilot stage and face challenges. For example, most blockchain networks are not designed to be interoperable and cannot communicate with other blockchains. Organizations that want to use blockchain also face legal and regulatory uncertainties, and have found it difficult to find skilled workers to implement blockchain. 例えば、サプライチェーンの整理、階層の少ない組織の構築、不動産の所有権登録の文書化などに利用できるでしょう。しかし、そのような取り組みのほとんどは、まだ試験的な段階を越えておらず、課題に直面しています。例えば、ほとんどのブロックチェーンネットワークは相互運用性を考慮した設計になっておらず、他のブロックチェーンと通信することができません。また、ブロックチェーンの利用を希望する組織は、法律や規制の不確実性に直面しており、ブロックチェーンを実装するための熟練労働者を見つけることが困難であることもわかっています。
Financial applications of blockchain have the potential to reduce costs and improve access to the financial system, but they also face multiple challenges. Cryptocurrencies, likely the most widely known application, are a digital representation of value protected through cryptographic mechanisms, which facilitates payments. Some are known for volatility (i.e., frequent or rapid changes in value), but a type known as stablecoins may help reduce this risk. Similarly, an emerging area known as decentralized finance offers services such as blockchain-based lending and borrowing, which also face several challenges. For example, blockchain-based financial applications can facilitate illicit activity, may reduce consumer and investor protections compared to traditional finance, and, in some cases, are subject to unclear and complex rules. ブロックチェーンの金融アプリケーションは、コストを削減し、金融システムへのアクセスを改善する可能性を秘めていますが、複数の課題にも直面しています。最も広く知られているアプリケーションであろう暗号通貨は、暗号メカニズムによって保護された価値のデジタル表現であり、決済を容易にします。中にはボラティリティ(価値が頻繁に、あるいは急激に変化すること)が高いことで知られるものもありますが、ステーブルコインと呼ばれるタイプはこのリスクの軽減に役立つ可能性があります。同様に、分散型金融と呼ばれる新興分野では、ブロックチェーンを利用した貸し借りなどのサービスが提供されていますが、これもいくつかの課題を抱えています。例えば、ブロックチェーンベースの金融アプリケーションは、違法行為を助長する可能性があり、従来の金融と比較して消費者や投資家の保護が低下する可能性があり、場合によっては不明瞭で複雑なルールが適用される可能性があります。
GAO developed four policy options that could help enhance benefits or mitigate challenges of blockchain technologies. The policy options identify possible actions by policymakers, which may include Congress, federal agencies, state and local governments, academic and research institutions, and industry. In addition, policymakers could choose to maintain the status quo, whereby they would not take additional action beyond any current efforts. See below for details of the policy options and relevant opportunities and considerations. GAOは、ブロックチェーン技術の利点を高め、あるいは課題を軽減するのに役立つ4つの政策オプションを作成しました。政策オプションは、議会、連邦政府機関、州・地方政府、学術・研究機関、産業界を含む政策立案者が取り得る行動を特定している。さらに、政策立案者は、現在の取り組み以上の追加的な行動を取らない、現状維持を選択することも可能です。政策オプションの詳細と関連する機会や考慮事項については、以下を参照してください。
Policy Options That Could Help Enhance Benefits or Mitigate Challenges of Blockchain Technologies ブロックチェーン技術の利点の強化または課題の軽減に役立つ政策オプション
Standards (report p. 38) 標準(報告書P.38)
Policymakers could collaborate to unify standards that focus on the development, implementation, and use of blockchain technologies. 政策立案者は、ブロックチェーン技術の開発、実装、利用に焦点を当てた標準を統一するために協力することができる。
Opportunities 機会
▪         Could simplify fragmented standards and help identify gaps and reduce overlap in standard-setting efforts. ・断片化した規格を簡素化し、規格設定におけるギャップの特定と重複の軽減に役立つ。
▪         Could identify the areas in which standards would be most beneficial across different sectors of the economy or applications of blockchain. ・経済の様々なセクターやブロックチェーンのアプリケーションにおいて、標準化が最も有益となる分野を特定することができる。
▪         Could help address challenges around interoperability and data security. ・相互運用性とデータセキュリティに関する課題への対処に役立つ可能性がある。
Considerations 検討事項
▪         Could require consensus from many public- and private-sector stakeholders, which can be time- and resource-intensive. ・多くの官民関係者のコンセンサスが必要であり、時間とリソースがかかる可能性がある。
▪         May not be clear which entities should take the lead in establishing internationally recognized standards for different technologies and application areas. ・異なる技術や応用分野に対して、どの主体が国際的に認知された標準を率先して確立すべきかが明確でない可能性がある。
▪         May require new funding or reallocation of existing resources to support new efforts. ・新たな取り組みを支援するために、新たな資金調達や既存のリソースの再配分を必要とする可能性がある。
Oversight (report p. 39) 監督(報告書P.39)
Policymakers could clarify existing oversight mechanisms, including regulations, or create new mechanisms to ensure appropriate oversight of blockchain applications. 政策立案者は、ブロックチェーン・アプリケーションの適切な監視を確保するために、規制を含む既存の監視メカニズムを明確にしたり、新しいメカニズムを構築したりすることができる。
Opportunities 機会
▪         Clear, industry-specific U.S. oversight frameworks could offer the clarity needed for individuals and firms to more successfully engage in blockchain-related commerce in the U.S. ・明確で業界固有の米国の監督フレームワークは、個人と企業が米国でブロックチェーン関連の商取引をより成功させるために必要な明確さを提供することができる。
▪         Policymakers, including regulatory entities and developers, could use tools to create oversight mechanisms in addition to testing innovative products and services. ・規制機関や開発者を含む政策立案者は、革新的な製品やサービスのテストに加えて、監視メカニズムを構築するためのツールを使用することができる。
▪         Could provide coordinated and timely clarity to promote safety and soundness, consumer protection, and compliance with applicable laws and regulations to combat illicit activity in blockchain-related commerce. ・ブロックチェーン関連商取引における不法行為に対抗するために、安全性と健全性、消費者保護、適用される法律や規制の遵守を促進するための協調的かつタイムリーな明確化を提供し得る。
Considerations 検討事項
▪         Policymakers will need to determine the appropriate level of oversight. Aggressive oversight could hamper innovation and competition as the technology matures, whereas too little oversight could leave consumers and businesses unprotected. ・政策立案者は適切な監視のレベルを決定する必要がある。積極的な監視は技術の成熟に伴う技術革新と競争を阻害する可能性があり、一方、監視が少なすぎると消費者と企業が無防備な状態になる可能性がある。
▪         Soliciting input across a range of stakeholders in various sectors may be time consuming and challenging. ・様々なセクターの様々な利害関係者に意見を求めることは、時間がかかり、困難な場合がある。
▪         May require new funding or reallocation of existing resources. ・新たな資金調達や既存のリソースの再配分が必要となる可能性がある。
Educational materials (report p. 40) 教材(報告書P.40)
Policymakers could support the development of educational materials to help users and regulators better understand blockchain technologies beyond existing financial applications. 政策立案者は、ユーザーや規制当局が既存の金融アプリケーションを超えてブロックチェーン技術をより理解するための教材開発を支援することができます。
Opportunities 機会
▪         Could enable instructors to train a workforce skilled in developing, implementing, and using blockchain-based products. ・ブロックチェーンを利用した製品の開発、実装、使用に長けた人材を指導者が育成できる。
▪         Could increase consumer literacy and help reduce negative public perceptions of blockchain. ・消費者のリテラシーを向上させ、ブロックチェーンに対するネガティブなイメージを払拭することができる。
▪         Could stimulate critical thinking and innovation, as well as prompt innovative research and development. ・批判的思考やイノベーションを刺激し、革新的な研究開発を促進することができる。
▪         Could help prepare policymakers to better use and regulate the latest technologies. ・政策立案者が最新技術をより良く利用し、規制するための準備に役立つ可能性がある。
Considerations 検討事項
▪         Educational materials will likely need to be tailored to meet a wide variety of learning needs across multiple target audiences. ・教材は、複数の対象者の多様な学習ニーズに対応する必要があると思われる。
▪         May be difficult to identify who could most effectively create educational materials for any particular target audience. ・特定の対象者に対して、誰が最も効果的に教材を作成できるかを特定することが困難な場合がある。
▪         May require new funding or reallocation of existing resources, especially to address the need for education regarding innovative uses of blockchain beyond existing financial applications. ・特に、既存の金融アプリケーション以外のブロックチェーンの革新的な使用に関する教育の必要性に対応するために、新たな資金調達または既存のリソースの再配分が必要となる可能性がある。
Appropriate uses (report p. 41) 適切な利用方法(報告書P.41)
Policymakers could support activities designed to determine whether blockchain is appropriate for achieving specific missions and goals or to mitigate specific challenges. 政策立案者は、ブロックチェーンが特定の使命や目標を達成するため、あるいは特定の課題を軽減するために適切かどうかを判断するための活動を支援することができます。
Opportunities 機会
▪         Actively investigating where and when blockchain would be the most useful could allow entities to capture the full benefits the technology might offer. ・ブロックチェーンがいつ、どこで最も役に立つかを積極的に調査することで、この技術が提供しうる利点を最大限に活かすことができる。
▪         Supporting blockchain use, where appropriate, could enhance transparency and accountability of existing systems and services. ・ブロックチェーンの利用を支援することで、既存のシステムやサービスの透明性と説明責任を高めることができる。
Considerations 検討事項
▪         Legal or regulatory uncertainty may hinder some potential users from benefitting from blockchain. ・法律や規制の不確実性が、ブロックチェーンの恩恵を受ける潜在的なユーザーの妨げになる可能性がある。
▪         Could be difficult to revert to a non-blockchain technology once an entity has invested a significant amount of time and resources. ・一度に多大な時間とリソースを投資した企業が、ブロックチェーン以外の技術に戻すことは困難な場合がある。
▪         May require new funding or reallocation of existing resources. ・新たな資金調達や既存リソースの再配分が必要となる可能性がある。
Source: GAO. | GAO-22-104625 出典 GAO | 参考資料:GAO(米国会計検査院)|GAO-22-104625
Why GAO Did This Study GAOがこの調査を行った理由
Economies rely on central authorities and trusted intermediaries to facilitate business transactions. Blockchain is a technology that could reduce the need for such entities while establishing a system of verification. It might therefore improve a variety of financial and non-financial applications. However, the use of blockchain technologies raises a variety of ethical, legal, economic, and social concerns. 経済では、商取引を円滑に行うために、中央当局や信頼できる仲介者に依存しています。ブロックチェーンは、検証システムを確立しながら、そのような主体の必要性を減らすことができる技術です。そのため、金融および非金融の様々なアプリケーションを改善する可能性があります。しかし、ブロックチェーン技術の使用は、倫理的、法的、経済的、社会的な様々な懸念を引き起こします。
GAO was asked to conduct a technology assessment on the use of blockchain, with an emphasis on foresight and policy implications. This report discusses (1) non-financial applications of blockchain, including potential benefits and challenges, (2) financial applications of blockchain, including potential benefits and challenges, and (3) policy options that could help enhance benefits or mitigate challenges of blockchain technologies. GAOは、ブロックチェーンの利用について、予見性と政策的含意に重点を置いた技術評価を行うよう依頼された。本報告書では、(1)ブロックチェーンの非金融用途(潜在的なメリットと課題を含む)、(2)ブロックチェーンの金融用途(潜在的なメリットと課題を含む)、(3)ブロックチェーン技術のメリット強化または課題軽減に役立つ政策オプションについて論じている。
GAO assessed blockchain applications developed for or used in finance, government, supply chain management, and organization management; interviewed a range of stakeholder groups including government, industry, academia, and a venture capital firm; convened a meeting of experts in collaboration with the National Academies of Sciences, Engineering, and Medicine; and reviewed key reports and scientific literature. GAO is identifying policy options in this report. GAOは、金融、政府、サプライチェーン管理、組織管理向けに開発または使用されているブロックチェーンアプリケーションを評価し、政府、産業、学界、ベンチャーキャピタル企業を含む様々なステークホルダー集団にインタビューを行い、全米科学・工学・医学アカデミーと共同で専門家会議を開催し、主要なレポートや科学文献を調査しました。GAOは本報告書において、政策の選択肢を特定しています。

 

・[PDF] Highlights Page

20220329-21510

 

・[PDF] Full Report 

20220329-21633

Introduction はじめに
1 Fundamentals of Blockchain 1 ブロックチェーンの基礎知識
1.1 What is blockchain? 1.1 ブロックチェーンとは?
1.2 How to determine whether a blockchain would be most useful 1.2 ブロックチェーンが最も有用であるかどうかを判断する方法
1.3 Blockchain operation 1.3 ブロックチェーンの運用
1.4 Types of blockchains 1.4 ブロックチェーンの種類
1.5 Smart contracts 1.5 スマートコントラクト
1.6 Consensus protocols 1.6 コンセンサスプロトコル
2 Blockchain Could Enable a Variety of Non-Financial Applications, but These Applications Face Challenges 2 ブロックチェーンは金融以外の様々な応用を可能にするが、その応用には課題がある
2.1 Risks and challenges 2.1 リスクと課題
3 Financial Blockchain Technologies Are in Use and Offer Several Benefits 3 金融ブロックチェーン技術は実用化され、いくつかの利点を提供している
3.1 Cryptocurrencies 3.1 暗号通貨
3.2 Stablecoins 3.2 ステーブルコイン
3.3 Lending and borrowing through decentralized finance 3.3 分散型金融による貸出・借入れ
3.4 All blockchain-based financial products face challenges 3.4 ブロックチェーンを利用した金融商品はどれも課題を抱えている
4 Policy Options 4 政策オプション
5 Agency and Expert Comments 5 機関および専門家のコメント
Appendix I: Objectives, Scope, and Methodology 附属書I:目的、範囲、および方法論
Appendix II: Expert Participation 附属書II:専門家の参加
Appendix III: Selected Definitions 附属書III:厳選された定義
Appendix IV: Consensus Protocols 附属書IV:コンセンサスプロトコル
Appendix V: GAO Contacts and Staff Acknowledgments 附属書V:GAOの連絡先とスタッフへの謝辞

 


 

まるちゃんの情報セキュリティ気まぐれ日記

暗号 / 電子署名 / ブロックチェーン

| | Comments (0)

米国 GAO 2022-2027の戦略計画 (2022.03.15)

こんにちは、丸山満彦です。

GAOが2027年までの4ヵ年戦略計画を立てていますね。。。その前提としてのトレンドペーパーは別の記事で...

議会から、政府の番人として、政府の課題についてしっかり監査をするための長期計画ということなので、ある意味連邦政府の長期的な課題、それは米国の長期的な課題が網羅されていると考えても良いのかもしれませんね。。。

当然に、インテリジェンス機関の連携の話(NSAを作ってみたものの、、、的な話)、サイバーセキュリティ(意外とやられているやん、、、的な話)も含まれていますね。。。

 

● U.S. Government Accountability Office

・2022.03.15 GAO 2022-2027 Strategic Plan: Goals and Objectives for Serving Congress and the Nation

 

GAO 2022-2027 Strategic Plan:Goals and Objectives for Serving Congress and the Nation GAO 2022-2027年戦略計画:議会と国家に奉仕するための目標と目的
Fast Facts 基本情報
We publish a strategic plan every 4 years to guide our work as we help lawmakers oversee federal operations and address the most important issues facing government and society. 連邦政府の運営を監督し、政府と社会が直面する最も重要な問題に取り組む議員を支援するため、私たちの仕事の指針となる戦略計画を4年ごとに発表しています。
Our strategic goals are intended to help: 私たちの戦略的目標は、以下を支援することを目的としています。
・Ensure the well-being and financial security of Americans ・アメリカ人の幸福と経済的安定を確保する
・Identify and address national security threats and challenges ・国家安全保障上の脅威と課題を特定し、それに対処する
・Transform the federal government ・連邦政府を変革する
・Maximize GAO's value as a leading practices federal agency ・リーディングプラクティスの連邦機関としてGAOの価値を最大化する。
The strategic plan includes 12 trend papers (factors affecting the future domestic and global context), and key efforts (our near-term priorities for informing Congress on important issues). 戦略プランには、12のトレンドペーパー(将来の国内およびグローバルな状況に影響を与える要因)と、キーエフォート(重要な問題について議会に情報を提供するための短期的な優先事項)が含まれています。
Highlights ハイライト
GAO's Strategic Plan Goals and Objectives form the foundation of the agency's strategic plan and lay out our long-term strategies to accomplish our goals. GAOの戦略計画の目標および目的は、GAOの戦略計画の基礎を形成し、目標達成のための長期戦略を打ち出しています。

 

・[PDF]  Full Report

20220328-161405

 

目次。。。

STRATEGIC FRAMEWORK  戦略的枠組み 
ABOUT THIS PLAN 本計画について
ABBREVIATIONS List of Abbreviations ABBREVIATIONS 略語のリスト
LETTER FROM THE COMPTROLLER GENERAL Gene L. Dodaro Gene L. Dodaro 検査院長からの手紙
GAO FACTS AND FIGURES Who we are and what we do GAOの事実と姿;私たちは何者か、何をしているか
GAO ORGANIZATION Our reporting structure GAOの組織:我々の報告構造
GOAL 1: Address Current and Emerging Challenges to the Well-Being and Financial Security of the American People 目標1:米国民の福利と経済的安定に対する現在および将来の課題に対処する。
1.1 Programs and Financing to Serve the Health Needs of an Aging and Diverse Population 1.1 高齢化と多様化する人々の健康ニーズに対応するためのプログラムと資金調達
1.2 Lifelong Learning to Enhance U.S. Competitiveness 1.2 米国の競争力強化に向けた生涯学習
1.3 Benefits and Protections for Workers, Families, and Children  1.3 労働者、家族、子供への給付と保護 
1.4 Financial Security and Well-Being of an Aging Population 1.4 高齢化社会における経済的安定と福利厚生
1.5 Fair, Responsive, and Effective System of Justice  1.5 公正、迅速、かつ効果的な司法制度 
1.6 Housing Finance and Viable Communities 1.6 住宅金融と活力ある地域社会
1.7 A Stable Financial System and Sufficient Consumer Protection 1.7 安定した金融制度と十分な消費者保護
1.8 Responsible and Sustainable Stewardship of Natural Resources and the Environment  1.8 天然資源と環境の責任ある持続可能な管理 
1.9 A Viable, Safe, Secure, and Accessible National Physical Infrastructure 1.9 活発で、安全、安心、かつアクセスしやすい国家物理基盤
1.10 Efforts to Fulfill the Federal Government’s Responsibilities to Tribes, Their Members, and Individual Descendants 1.10 部族、その構成員、個々の子孫に対する連邦政府の責任を果たすための努力
GOAL 2: Help the Congress Respond to Changing Security Threats and the Challenges of Global Interdependence 目標2:安全保障上の脅威の変化とグローバルな相互依存の課題への議会の対応を支援する
2.1 Protect and Secure the Homeland from Threats and Disasters  2.1 脅威と災害から国土を保護し、安全を確保する。
2.2 Effectively and Efficiently Utilize Resources for Military Capabilities and Readiness  2.2 軍事力と即応性のための資源を効果的かつ効率的に活用する。
2.3 Advance and Protect U.S. Foreign Policy and International Economic Interests 2.3 米国の外交政策と国際経済的利益の推進と保護
2.4 Improve the Intelligence Community’s Management and Integration to Enhance Intelligence Activities  2.4 情報コミュニティの管理と統合を改善し、諜報活動を強化する。
2.5 Ensure the Cybersecurity of the Nation 2.5 国家のサイバーセキュリティの確保
GOAL 3: Help Transform the Federal Government to Address National Challenges 目標3:国家的課題に対処するための連邦政府の変革に貢献する 
3.1 Analyze the Government’s Fiscal Condition and Opportunities to Strengthen Management of Federal Finances 3.1 政府の財政状態と連邦財政の管理強化のための機会を分析する。
3.2 Support Government Accountability by Identifying Fraud, Waste, and Abuse, and Needed Improvements in Internal Controls 3.2 不正、無駄、濫用、内部統制の改善の必要性を特定し、政府の説明責任をサポートする。
3.3 Support Congressional Oversight of Crosscutting Issues, Major Management Challenges, and Program Risks 3.3 横断的な問題、主要な経営課題、プログラムのリスクに関する議会の監視を支援する。
3.4 Support Congressional Knowledge, Understanding, and Oversight of Science and Technology Issues 3.4 科学技術問題に対する議会の知識、理解、監視を支援する。
GOAL 4 : Maximize the Value of the GAO by Enabling Quality, Timely Service to the Congress and by Being a Leading Practice Federal Agency 目標4:高品質でタイムリーな議会サービスを可能にし、リーディングプラクティス連邦機関となることで、GAOの価値を最大化する。
 4.1 Empower GAO’s Diverse Workforce to Continue to Excel in Mission Delivery through Strategic Talent Management  4.1 戦略的人材管理を通じて、GAOの多様な人材が任務遂行において引き続き卓越した能力を発揮できるようにする。
 4.2 Refine GAO’s Processes to Deliver High Quality Results and Products, and Promote Knowledge Sharing, Government Standards, and Strategic Solutions 4.2 GAOのプロセスを洗練させ、質の高い結果と製品を提供し、知識の共有、政府基準、戦略的解決を促進する。
4.3 Provide Modern Integrated Tools and Systems in a Secure, Collaborative, and Flexible Environment 4.3 安全で協力的かつ柔軟な環境における最新の統合ツールおよびシステムの提供
GAO TEAMS Guide to GAO Teams GAO TEAMS:GAOチームへのガイド
ADDITIONAL INFORMATION Image Sources, Obtaining Copies of GAO Reports 追加情報:画像ソース、GAOレポートのコピー
COMMUNICATING WITH GAO GAO Contact Information GAOとのコミュニケーション:GAOの連絡先

 

特にサイバーに関係するところとして、「目標2:安全保障上の脅威の変化とグローバルな相互依存の課題への議会の対応を支援する」について深掘りを...

GOAL 2: Help the Congress Respond to Changing Security Threats and the Challenges of Global Interdependence 目標2:安全保障上の脅威の変化とグローバルな相互依存の課題への議会の対応を支援する
STRATEGIC OBJECTIVE 2.1: Protect and Secure the Homeland from Threats and Disasters 戦略目標 2.1:脅威と災害から国土を保護し、安全を確保する
The United States faces increasingly complex threats and challenges to securing the homeland. The DHS Secretary said in 2021 that racial, ethnic, religious, and ideologically motivated domestic violent extremism poses the most lethal and persistent terrorism-related threat to the homeland. The FBI has noted that terrorist threats to the homeland have expanded from predominantly externally-directed plots to attacks carried out both by homegrown violent extremists, including some inspired by foreign terror organizations, and by self-radicalized domestic terrorists. This rise in domestic terrorism has been accelerated by foreign governments’ use of cyber capabilities to aggravate social and racial tensions. Further, threats from non-U.S. actors, such as China, Russia, North Korea, and Iran continue to evolve. In addition, concerns remain that ISIS and al Qaeda both have branches and affiliates in Afghanistan and other foreign locations that will require counterterrorism vigilance, as both groups are intent on attacking U.S. interests in the region and overseas. Foreign governments use cyber capabilities to aggravate social, racial, and ethnic tensions in the United States, undermine trust in authorities, and target assets and infrastructure.  米国は、ますます複雑化する脅威と、国土の安全確保という課題に直面しています。DHS長官は2021年、人種、民族、宗教、イデオロギーを動機とする国内の暴力的過激派が、最も致命的かつ持続的なテロ関連の脅威を国土にもたらすと述べた。FBIは、国土に対するテロの脅威が、主に外部から指示される陰謀から、外国のテロ組織に触発されたものを含むホームグロウン暴力的過激派と自己急進化した国内テロリストの両方によって行われる攻撃へと拡大していることを指摘しています。このような国内テロの増加は、外国政府がサイバー機能を利用して社会的・人種的緊張を悪化させることによって加速しています。さらに、中国、ロシア、北朝鮮、イランなど米国以外の主体による脅威も進化し続けています。さらに、ISISとアルカイダがともにアフガニスタンやその他の海外に支部や関連団体を持つという懸念も残っており、この地域や海外における米国の利益を攻撃する意図があるため、テロ対策への警戒が必要です。外国政府は、米国内の社会的、人種的、民族的緊張を悪化させ、当局への信頼を損ない、資産やインフラを標的にするためにサイバー機能を使用しています。
Flows of both legitimate and illicit travel and trade to the United States continue to challenge efforts to effectively secure U.S. borders. Ongoing physical and technological threats to the transportation network and critical infrastructure sectors underscore the need for effective, risk-based security programs. Continuing to secure seaports and incoming cargo, as well as performing rescue missions in severe conditions, is critical to protecting the maritime environment.  米国への合法的および非合法的な旅行や貿易の流れは、米国の国境を効果的に保護する努力に挑戦し続けています。輸送ネットワークと重要インフラ部門に対する物理的・技術的脅威が続いていることから、リスクに応じた効果的なセキュリティ・プログラムの必要性が浮き彫りになっています。海港と入港貨物の安全確保を継続し、厳しい状況下で救助活動を行うことは、海洋環境の保護に不可欠です。
Disasters, including hurricanes, floods, and wildfires, are increasing in severity due to the effects of climate change. The COVID-19 pandemic shows the catastrophic impacts of biological threats to the security of the homeland. An increase in these disasters, alongside potential terrorist and other attacks, pose serious challenges to federal agencies that must respond to and help recovery efforts from such events. ハリケーン、洪水、山火事などの災害は、気候変動の影響により深刻さを増しています。COVID-19のパンデミックは、生物学的脅威が国土の安全保障に壊滅的な影響を及ぼすことを示しています。これらの災害の増加は、潜在的なテロやその他の攻撃と並んで、そのような事象に対応し、復興努力を支援しなければならない連邦機関に深刻な課題を突きつけています。
GAO’s work will help the Congress and key agency stakeholders assess efforts to protect against and respond to threats and disasters, and to prioritize and allocate resources for homeland security. GAOの作業は、議会と主要機関の関係者が脅威や災害から守り、対応するための努力を評価し、国土安全保障のための資源に優先順位をつけ、配分するのに役立つ。
PERFORMANCE GOALS パフォーマンス目標
2.1.1: Assess federal homeland security management, resources, acquisitions, and stakeholder coordination  2.1.1: 連邦政府の国土安全保障の管理、資源、買収、利害関係者の調整を評価する。
2.1.2: Assess efforts to strengthen border security and address immigration enforcement and services issues  2.1.2: 国境警備の強化、移民法の施行とサービスの問題への取り組みについて評価する。
2.1.3: Assess efforts to strengthen the sharing of terrorism and other threat-related information 2.1.3 テロ等脅威関連情報共有の強化に向けた取組を評価する。
2.1.4: Assess efforts to strengthen security in all transportation modes  2.1.4: すべての輸送手段におけるセキュリティ強化のための取り組みを評価する。
2.1.5: Assess U.S. national emergency preparedness and response capabilities and efforts to strengthen the nation’s resilience against future disasters 2.1.5: 米国の緊急事態への準備と対応能力、および将来の災害に対する国家の回復力を強化するための取り組みを評価する。
2.1.6: Assess the efficiency, cost, and management of catastrophic insurance and disaster loan programs, including how climate change and the equitable distribution of resources are taken into consideration 2.1.6: 大災害保険と災害融資プログラムの効率、コスト、管理(気候変動と資源の衡平な配分がどのように考慮されているかを含む)を評価する。
2.1.7: Assess efforts to strengthen the protection of the nation’s critical infrastructure to ensure its security and resilience 2.1.7: 国の重要インフラの安全性と回復力を確保するための保護強化の取り組みを評価する。
2.1.8: Analyze the implementation and results of federal efforts to prevent, deter, investigate, and prosecute domestic and international terrorism and other threats to the homeland 2.1.8: 国内・国際テロおよび国土に対するその他の脅威を防止、抑止、調査、訴追するための連邦政府の取り組みの実施と結果を分析する。
STRATEGIC OBJECTIVE 2.2: Effectively and Efficiently Utilize Resources for Military Capabilities and Readiness 戦略目標 2.2:軍事的能力と即応性のための資源を効果的かつ効率的に活用する
The Department of Defense (DOD) faces multiple challenges while trying to remain ready to meet a broad array of threats. The re-emergence of great power strategic competition among nations; rebuilding readiness to prepare for conflicts with peer and near-peer adversaries; mitigating existing kinetic threats along with cyber, information-related, and other emerging threats; expanding space operations; and controlling costs collectively complicate DOD’s planning for the future. DOD faces difficult decisions related to how to address these complex and evolving threats. 国防総省(DOD)は、広範な脅威に対応するための備えを維持しようとする一方で、複数の課題に直面しています。国家間の大国戦略競争の再燃、同業者や近親者の敵との紛争に備えるための準備態勢の再構築、サイバー、情報関連、その他の新興脅威とともに既存の運動学的脅威の緩和、宇宙活動の拡大、コストの抑制が、DODの将来計画を複雑にしています。DODはこれらの複雑で進化する脅威にどのように対処するかに関連した難しい決断に直面しています。
GAO’s work will help the Congress, DOD, and relevant divisions of the Department of Energy (DOE) address these challenges and improve the efficiency and effectiveness of operations in areas such as personnel and enterprise management, acquisition, contracting, defense industrial base management, military structure and operations, strategic warfare, and the nuclear security enterprise. GAOの作業は、議会、DOD、およびエネルギー省(DOE)の関連部門がこれらの課題に取り組み、人事・企業管理、買収、契約、防衛産業基盤管理、軍事構造・作戦、戦略戦争、核セキュリティ企業などの分野における業務の効率と有効性を改善することに役立つでしょう。
PERFORMANCE GOALS パフォーマンス目標
2.2.1: Assess DOD’s ability to meet operational demands while rebuilding readiness and preparing for future missions 2.2.1: 即応態勢を立て直し、将来の任務に備える一方で、DODが作戦上の要求に応じる能力を評価する。
2.2.2: Assess DOD’s efforts to prepare for and respond to cyber, space, and informationrelated threats and operations 2.2.2: サイバー、宇宙、情報関連の脅威と作戦に備え、対応するためのDODの取り組みを評価する。
2.2.3: Assess DOD’s human capital management to ensure a high-quality diverse total workforce of military personnel, federal civilians, and contractors 2.2.3: 軍人、連邦政府職員、請負業者の質の高い多様な労働力を確保するためのDODの人的資本管理を評価する。
2.2.4: Assess the ability of DOD’s weapon systems science and technology, research and development, and acquisition programs to deliver effective, sustainable, survivable, and affordable solutions to the warfighter in a timely manner 2.2.4: DOD の兵器システム科学技術、研究開発、取得プログラムの能力を評価し、効果的で持続可能、生存可能、かつ手頃な価格のソリューションをタイムリーに軍人に提供する。
2.2.5: Assess DOD’s progress in improving contract management 2.2.5: 契約管理の改善に関するDODの進捗を評価する。
2.2.6: Assess DOD’s progress in improving the maintenance and sustainment of weapon systems throughout their life cycle and other logistics functions and activities 2.2.6: 兵器システムのライフサイクルを通じての保守・維持、その他のロジスティクス機能・活動の改善に関するDODの進捗を評価する。
2.2.7: Assess DOD’s management of the defense support infrastructure 2.2.7: 防衛支援インフラに対するDODの管理を評価する。
2.2.8: Assess efforts of DOE’s National Nuclear Security Administration (NNSA) and DOD to maintain and modernize the nuclear security enterprise, nuclear force structure, and associated weapon systems 2.2.8: DOE の国家核安全保障局(NNSA)と DOD による核セキュリティ事業、核戦力構造、 および関連兵器システムの維持と近代化に関する取り組みを評価する。
2.2.9: Assess DOD’s business operations efforts to adapt to and leverage organizational structures and management processes to maximize efficiencies and performance 2.2.9: 効率性とパフォーマンスを最大化するために、組織構造と管理プロセスに適応し活用するDODの事業運営努力を評価する。
2.2.10: Assess DOD’s preparedness to counter weapons of mass destruction and current and emerging technological or unconventional threats and capabilities 2.2.10: 大量破壊兵器及び現在及び将来の技術的又は非従来型の脅威と能力に対するDODの備えを評価する。
STRATEGIC OBJECTIVE 2.3: Advance and Protect U.S. Foreign Policy and International Economic Interests 戦略目標 2.3:米国の外交政策と国際経済的利益の推進と保護
To advance national interests and values abroad through global engagement in an ever-changing international environment, U.S. foreign policy in recent years has focused on providing more sustainable and equitable foreign assistance, countering an array of security threats, addressing various humanitarian crises, including those caused by climate change, and navigating changes in global trade. 変化し続ける国際環境の中で、グローバルな関与を通じて国益と価値を海外に高めるため、近年の米国の外交政策は、より持続可能で公平な海外援助の提供、一連の安全保障上の脅威への対処、気候変動によるものを含む様々な人道的危機への対処、世界貿易の変化への対応に重点を置いてきました。
GAO’s work will continue to inform the Congress of U.S. efforts to execute security assistance to help counter threats to the nation and overseas partners; execute U.S. bilateral and multilateral foreign assistance programs that are sustainable and equitable for recipients; execute programs to advance U.S. trade interests and assess the overall effect of COVID-19 on U.S. trade and U.S. government agencies; manage foreign affairs functions and efforts to build a more diverse workforce; and assess the effects of a global supplier base, foreign investment, and the sufficiency of critical resources to protect the nation.  GAOの活動は、国家と海外パートナーへの脅威に対抗するための安全保障支援の実施、受給者にとって持続可能で公平な米国の二国間および多国間対外援助プログラムの実施、米国を前進させるプログラムの実施に関する米国の努力を引き続き議会に報告するものです。米国の貿易利益を促進するプログラムを実行し、米国貿易と米国政府機関に対するCOVID-19の全体的な影響を評価する。外交機能とより多様な労働力を構築する努力を管理し、グローバルなサプライヤー基盤、海外投資、国家を保護するための重要資源の充足が及ぼす影響を評価する。
PERFORMANCE GOALS パフォーマンス目標
2.3.1: Analyze the implementation and results of U.S. and international efforts to counter threats to the United States and its foreign partners’ national security 2.3.1: 米国および外国のパートナーの国家安全保障に対する脅威 に対抗するための米国および国際的な取り組みの実施と結果について分析することができる。
2.3.2: Analyze the implementation and management of U.S. bilateral and multilateral foreign assistance and efforts to make it more efficient, effective, and sustainable and ensure it promotes greater diversity, equity, and inclusion 2.3.2: 米国の二国間および多国間対外援助の実施と管理、およびそれをより効率的、効果的、持続可能にし、より多様性、公平性、包括性を促進するための努力を分析する。
2.3.3: Analyze how international trade programs serve U.S. interests and how the United States can influence the world economy 2.3.3: 国際貿易プログラムがどのように米国の利益に貢献するか、また米国がどのように世界経 済に影響を与えることができるかを分析することができる。
2.3.4: Assess the management and effectiveness of U.S. diplomatic efforts and membership in multilateral organizations 2.3.4: 米国の外交努力および多国間組織への加盟の管理および効果を評価する。
2.3.5: Assess efforts to manage the effects of foreign investment and a global supplier base on U.S. national interests 2.3.5: 海外投資とグローバルな供給者基盤が米国の国益に及ぼす影響を管理するための努力を評価する。
STRATEGIC OBJECTIVE 2.4: Improve the Intelligence Community’s Management and Integration to Enhance Intelligence Activities 戦略目標 2.4:情報コミュニティの管理と統合を改善し、諜報活動を強化する。
A variety of intelligence organizations—comprised of 18 elements that work independently and collaboratively— are responsible for gathering, analyzing, and producing intelligence necessary to conduct foreign relations and national security activities, according to their established foreign or domestic focus. They include intelligence components of the five military services within the Department of Defense, the Department of State Bureau of Intelligence and Research, the Department of Homeland Security Office of Intelligence and Analysis, the Federal Bureau of Investigation, and the Office of the Director of National Intelligence (ODNI). As the national security environment evolves, the U.S. Intelligence Community (IC) faces an increasing number of challenges to be successful. To address these challenges, ODNI, which heads the IC, works to ensure that standards, processes, and tools across the community are standardized and efficient. 様々な情報機関(独立して、あるいは協力して活動する18の要素から構成)は、外交や国家安全保障の活動を行うために必要な情報の収集、分析、作成に責任を負っており、その重点は外交あるいは国内と定めています。国防総省の5つの軍部、国務省情報調査局、国土安全保障省情報分析局、連邦捜査局、国家情報長官事務所(ODNI)の情報部門が含まれます。国家安全保障環境の進化に伴い、米国情報コミュニティ (IC) は成功するためにますます多くの課題に直面しています。これらの課題に対処するため、ICを統括するODNIは、コミュニティ全体の標準、プロセス、およびツールが標準化され、効率的であることを保証するために活動しています。
GAO’s work will help the Congress to improve how the IC manages infrastructure, builds a capable and diverse workforce, and supports the military and other government operations. GAOの作業は、情報コミュニティがインフラを管理し、有能で多様な労働力を構築し、軍や他の政府の活動を支援する方法を改善するために、議会を支援することになります。
PERFORMANCE GOALS パフォーマンス目標
2.4.1: Analyze the IC’s business operations and efforts to integrate and leverage organizational structures and management processes to maximize efficiencies and performance 2.4.1: 情報コミュニティの事業運営を分析し、効率とパフォーマンスを最大化するために組織構造と管理プロセスを統合し、活用するための取り組みを行う。
2.4.2: Assess the IC’s acquisition and management programs and processes 2.4.2: 情報コミュニティの取得・管理プログラム及びプロセスを評価する。
2.4.3: Evaluate the IC’s planning and efforts that support military operations, diplomatic activities, and other government activities 2.4.3: 軍事活動、外交活動、その他の政府活動を支援する情報コミュニティの計画や取り組みを評価する。
STRATEGIC OBJECTIVE 2.5: Ensure the Cybersecurity of the Nation 戦略目標 2.5:国家のサイバーセキュリティの確保
Federal agencies and our nation’s critical infrastructures— such as energy, transportation systems, communications, and financial services—are dependent on technology systems to carry out operations and to process, maintain, and report essential information. These systems are inherently vulnerable to cyberattacks. For example, they are highly complex and dynamic, which increases the difficulty in identifying, managing, and protecting their numerous operating systems, applications, and devices.  連邦政府機関やエネルギー、交通システム、通信、金融サービスといった国家の重要なインフラは、業務を遂行し、重要な情報を処理、維持、報告するためのテクノロジー・システムに依存しています。これらのシステムは、本質的にサイバー攻撃に対して脆弱です。例えば、これらのシステムは非常に複雑かつ動的であるため、多数のオペレーティングシステム、アプリケーション、デバイスを特定し、管理し、保護することが困難になっています。
Compounding these vulnerabilities, systems and networks used by federal agencies and the nation’s critical infrastructure are often interconnected with other internal and external systems and networks, including the internet. With this greater connectivity, threat actors are increasingly willing and capable of conducting a cyberattack on agencies and on critical infrastructure that could be disruptive and destructive. さらに、連邦政府機関や国の重要なインフラで使用されるシステムやネットワークは、インターネットを含む他の内外のシステムやネットワークと相互接続していることが多く、これらの脆弱性はさらに深刻なものとなっています。このように接続性が高まったことで、脅威者は、破壊的な被害をもたらす可能性のあるサイバー攻撃を、政府機関や重要インフラに対して行う意思と能力をますます高めています。
GAO’s work will help the Congress assess efforts to address the major cybersecurity challenges facing the nation, which include establishing and implementing a comprehensive national cybersecurity strategy, securing federal agency and critical infrastructure systems from cyberattacks, and protecting privacy and sensitive data. GAOの作業は、包括的な国家サイバーセキュリティ戦略の確立と実施、連邦機関および重要インフラシステムのサイバー攻撃からの保護、プライバシーと機密データの保護など、国が直面するサイバーセキュリティの主要課題に取り組む努力を議会が評価するのに役立つと思われる。
PERFORMANCE GOALS パフォーマンス目標
2.5.1: Assess efforts to establish a comprehensive national and global cybersecurity strategy and perform effective oversight 2.5.1: 国家的・世界的な包括的サイバーセキュリティ戦略の確立に向けた取り組みを評価し、効果的な監督を行う。
2.5.2: Assess efforts to secure federal systems and information 2.5.2: 連邦政府のシステムおよび情報の安全確保に向けた取り組みを評価する。
2.5.3: Assess efforts to protect the nation’s critical infrastructure from cyber threats and timely respond to incidents 2.5.3: 国の重要インフラをサイバー脅威から守り、インシデントにタイムリーに対応するための取り組みを評価する。
2.5.4: Assess efforts to protect privacy and sensitive data 2.5.4: プライバシーと機密データの保護に関する取り組みを評価する。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

 

 

| | Comments (0)

米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

こんにちは、丸山満彦です。

GAOが2027年までの4ヵ年戦略計画を立てていますが、その前提としてのトレンドペーパーです。。。

● U.S. Government Accountability Office

・2022.03.15 Trends Affecting Government and Society

12のトレンドは次のようになります。

1. National Security: Global and Domestic Threats 1. 国家安全保障 世界と国内の脅威
2. Fiscal Sustainability and Debt 2. 財政の持続可能性と債務
3. Preparing for Catastrophic Biological Incidents 3. 壊滅的な生物学的事故への備え
4. Racial and Ethnic Disparities 4. 人種・民族間の格差
5. Science, Technology, and the Innovation Economy 5. 科学技術とイノベーションエコノミー
6. Security Implications for an Increasingly Digital World 6. デジタル化が進む世界における安全保障への影響
7. Changes to How and Where We Work 7. 働き方と場所の変化
8. Future of Global Supply Chains 8. グローバルサプライチェーンの未来
9. Online Learning and Technology in Education 9. 教育におけるオンライン学習とテクノロジー
10. Evolving Health Technologies 10. 進化する医療技術
11. Sustainable Development 11. 持続可能な開発
12. Evolving Space Environment 12. 進化する宇宙環境

ブログで、もう少し情報を付加して説明しています。。。

・2022.03.17 (blog) Key Trends with a Major Impact on Our Nation and Its Government

1. Global and domestic national security threats—which include growing threats abroad and a rise in violent extremism tied to conspiracy theories and misinformation 1. グローバルおよび国内の国家安全保障上の脅威:海外における脅威の増大、陰謀論や誤った情報に結びついた暴力的な過激派の増加など
2. The federal government’s increasing debt, which makes a fiscal crisis more likely, with the need to take action sooner to avoid more drastic measures in the future 2. 連邦政府の債務が増加し、財政危機の可能性が高まっており、将来、より抜本的な対策を講じるために早期の対策が必要であること
3. Strengthening the nation’s ability to prepare for catastrophic biological incidents—a need underscored by the COVID-19 pandemic—including building a more resilient medical supply chain 3. COVID-19の大流行で明らかになった、壊滅的な生物学的事件に備える国家の能力強化:より強靭な医療サプライチェーンの構築など
4. Persistent racial and ethnic disparities in all facets of society including housing, education, wealth, health care, criminal justice, and access to voting 4. 住宅、教育、富、医療、刑事司法、選挙へのアクセスなど社会のあらゆる面で人種・民族格差が根強く残っていること
5. The declining public investment in science and technology R&D in our innovation-based global economy 5. イノベーションを基盤とするグローバル経済において、科学技術研究開発への公共投資が減少していること
6. Society’s increasing reliance on digital technology with security implications like cybercrime and the emergence of “deep fakes” and other types of media designed to deceive people 6. サイバー犯罪や「ディープフェイク」など人々を欺くためのメディアの出現など、セキュリティに影響を及ぼすデジタル技術への依存が高まる社会
7. Changes to the U.S. workforce due to new technologies and the new skills they require, automation, and the increase in remote work 7. 新技術とそれが必要とする新しいスキル、自動化、リモートワークの増加による米国の労働力の変化
8. Potential economic and national security effects on the global supply chain due to COVID-19 disruptions, the trade war between the U.S. and China, and shocks from global crises 8. COVID-19の混乱、米中貿易戦争、世界的な危機によるショックによるグローバルサプライチェーンへの経済・国家安全保障上の潜在的な影響
9. The increased use of online learning and technology in education, which is creating both opportunities and challenges for students, educators, and policymakers 9. 学生、教育者、政策立案者にとってチャンスと課題の両方を生み出している、教育におけるオンライン学習とテクノロジーの利用拡大
10. The benefits and costs of evolving health technologies—for example, artificial intelligence can decrease the time and costs required to make more effective drugs available, but also raises privacy concerns 10. 進化する医療技術のメリットとコスト:例えば、人工知能は、より効果的な医薬品を利用するために必要な時間とコストを削減することができるが、同時にプライバシーに関する懸念も生じる
11. Environmental security–balancing the need to use natural resources critical to our economy with an increasingly stressed environment and the need for sustainability 11. 環境安全保障:経済にとって重要な天然資源を利用する必要性と、ストレスの増大する環境および持続可能性の必要性とのバランスをとること。
12. The evolving space environment—space is increasingly being used for national security, commercial, and human exploration purposes 12. 進化する宇宙環境:国家安全保障、商業、有人探査のための宇宙利用がますます進む

詳細は本文で、、、

・[PDF]

20220328-220711


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.29 米国 GAO 2022-2027の戦略計画 (2022.03.15)

 


1. 国家安全保障 世界と国内の脅威、6. デジタル化が進む世界における安全保障への影響、8. グローバルサプライチェーンの未来、10. 進化する医療技術、12. 進化する宇宙環境だけ、ちょっと仮対訳...

↓↓↓↓↓








 

Continue reading "米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)"

| | Comments (0)

2022.03.28

米国 上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

こんにちは、丸山満彦です。

米国の場合、議会に法案が提出されたからと言って必ずしも成立するわけでもないので、議論が進んできてから気にすれば良いのだろうというのが私の直感なんですが、こんなことまで法案として出すのか、、、ということでちょっとメモ。。。です。。。

米国では、連邦政府において継続的診断・軽減プログラム (CDM) が進められていますが、色々と苦労しているような感じがします。。。

Congress.Gov

・22022.03.22 S.3894 - Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act

 

 

S.3894 - Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act S.3894 - 継続的診断・軽減を通じたサイバーセキュリティの推進に関する法律
To amend the Homeland Security Act of 2002 to authorize the Secretary of Homeland Security to establish a continuous diagnostics and mitigation program in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 2002年国土安全保障法を改正し、国土安全保障省サイバーセキュリティおよびインフラセキュリティ庁に継続的診断・軽減プログラムを設立することを国土安全保障長官に許可すること、およびその他の目的のために。
IN THE SENATE OF THE UNITED STATES 米国上院にて
22-Mar-22 2022年3月22日
Mr. Cornyn (for himself and Ms. Hassan) introduced the following bill; which was read twice and referred to the Committee on Homeland Security and Governmental Affairs Cornyn 氏(自らを代表して、および Hassan 氏)は次の法案を提出し、2 回読まれ、国土安全保障・ 政府問題委員会に付託された。
A BILL 議案
To amend the Homeland Security Act of 2002 to authorize the Secretary of Homeland Security to establish a continuous diagnostics and mitigation program in the Cybersecurity and Infrastructure Security Agency of the Department of Homeland Security, and for other purposes. 2002年国土安全保障法を改正し、国土安全保障省サイバーセキュリティおよびインフラセキュリティ庁に継続的診断・軽減プログラムを設立することを国土安全保障長官に許可すること、およびその他の目的のために、国土安全保障法を改正すること。
Be it enacted by the Senate and House of Representatives of the United States of America in Congress assembled, アメリカ合衆国議会の上院と下院によって制定される。
SECTION 1. SHORT TITLE. 第1条 短い法律名
This Act may be cited as the “Advancing Cybersecurity Through Continuous Diagnostics and Mitigation Act”. 本法は、「継続的診断・軽減を通じたサイバーセキュリティの推進に関する法律」と称することができる。
SEC. 2. ESTABLISHMENT OF FEDERAL INTRUSION DETECTION AND PREVENTION SYSTEM AND CONTINUOUS DIAGNOSTICS AND MITIGATION PROGRAM IN THE CYBERSECURITY AND INFRASTRUCTURE SECURITY AGENCY. 第2条 サイバーセキュリティおよびインフラセキュリティ庁における連邦侵入検知・防止システムおよび継続的診断・軽減プログラムを設立する。
(a) In General.—Section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663) is amended by adding at the end the following: (a) 一般的に-2002年国土安全保障法(6 U.S.C. 663)の第2213条は、末尾に以下を追加することにより改正される。
“(g) Continuous Diagnostics And Mitigation.— (g) 継続的な診断と軽減
“(1) PROGRAM.— (1) プログラム
“(A) IN GENERAL.—The Secretary, acting through the Director, shall, with or without reimbursement, deploy, operate, and maintain a continuous diagnostics and mitigation program for agencies under which the Secretary shall— (A) 全般:長官は、長官を通じて、償還の有無にかかわらず、政府機関のための継続的診断と軽減プログラムを展開、運営、維持しなければならない。
“(i) assist agencies to continuously diagnose and mitigate cyber threats and vulnerabilities; (i) サイバー脅威と脆弱性を継続的に診断し、軽減するために機関を支援する。
“(ii) develop and provide the capability to collect, analyze, and visualize information relating to security data and cybersecurity risks at agencies; (ii) 省庁のセキュリティデータおよびサイバーセキュリティリスクに関する情報を収集、分析、可視化する能力を開発し、提供する。
“(iii) employ shared services, collective purchasing, blanket purchase agreements, and any other economic or procurement models the Secretary determines appropriate to maximize the costs savings associated with implementing the program; (iii) 共有サービス、共同購入、包括購入契約、およびプログラムの実施に伴うコスト削減を最大化するために長官が適切と判断するその他の経済モデルまたは調達モデルを採用する。
“(iv) assist agencies in setting information security priorities and assessing and managing cybersecurity risks; (iv) 情報セキュリティの優先順位を設定し、サイバーセキュリティのリスクを評価・管理する上で、政府機関を支援する。
“(v) develop policies and procedures for reporting systemic cybersecurity risks and potential incidents based upon data collected under the program; and (v) プログラムの下で収集されたデータに基づいて、体系的なサイバーセキュリティリスクと潜在的なインシデントを報告するための方針と手順を策定する。
“(vi) promote the adoption of a zero trust security model in improving agency cybersecurity readiness. (vi) 省庁のサイバーセキュリティ対応力を向上させるため、ゼロ・トラスト・セキュリティ・モデルの採用を促進する。
“(B) REGULAR IMPROVEMENT.—The Secretary shall regularly— (B) 定期的な改善 - 長官は、定期的に以下を行うものとする。
“(i) deploy new technologies and modify existing technologies to the continuous diagnostics and mitigation program required under subparagraph (A), as appropriate, to improve the program; and (i) (A)号に基づいて要求される継続的診断・軽減プログラムに、適宜、新技術を導入し、既存技術を修正し、プログラムを改善すること。
“(ii) update the technical requirements documentation of the continuous diagnostics and mitigation program required under subparagraph (A) to account for emerging technology capabilities such as cloud computing and comprehensive cloud security controls. (ii) クラウドコンピューティングや包括的なクラウドセキュリティ管理などの新しい技術能力を考慮し、(A)号に基づき要求される継続的診断・軽減プログラムの技術要件文書を更新すること。
“(2) AGENCY RESPONSIBILITIES.—Notwithstanding any other provision of law, each agency that uses the continuous diagnostics and mitigation program under paragraph (1) shall, continuously and in real time, provide to and allow access for the Secretary to collect all information, assessments, analyses, and raw data collected by the program, in a manner specified by the Secretary. (2) 省庁の責任:法律の他の規定にかかわらず、(1)項の継続的診断・軽減プログラムを使用する各省庁は、長官が指定する方法で、継続的かつリアルタイムに、プログラムが収集するすべての情報、評価、分析、生データを長官に提供し、長官によるアクセスを許可するものとする。
“(3) RESPONSIBILITIES OF THE SECRETARY.—In carrying out the continuous diagnostics and mitigation program under paragraph (1), the Secretary, acting through the Director, shall— (3) 長官の責任:(1)項の継続的診断及び軽減プログラムを実施するにあたり、長官は長官を通じ、次のことを行う。
“(A) share with agencies relevant analysis and products developed under the program; (A) このプログラムの下で開発された関連分析および製品を各省庁と共有する。
“(B) provide regular reports on cybersecurity risks to agencies; (B) サイバーセキュリティのリスクに関する定期的な報告書を各省庁に提供する。
“(C) provide comparative assessments of cybersecurity risks for agencies; (C) 政府機関に対し、サイバーセキュリティリスクの比較評価を提供する。
“(D) oversee the integration of continuous diagnostics and mitigation products and services into agency systems; (D) 継続的な診断と軽減のための製品およびサービスを省庁のシステムに統合することを監督する。
“(E) establish performance requirements for product integrators; (E) 製品インテグレータの性能要件を定める。
“(F) at the request of an agency, provide technical assistance in selecting, procuring, and integrating continuous diagnostics and mitigation products and services; (F) 省庁の要請に応じて、継続的診断・軽減製品およびサービスの選択、調達、統合に関する技術支援を提供する。
“(G) not less than once each fiscal year, submit to the appropriate committees of Congress a report that includes— (G) 毎会計年度に一度以上、以下を含む報告書を議会の適切な委員会に提出する。
“(i) the progress made by each agency to meet continuous diagnostics and mitigation benchmarks from the beginning of the implementation through the date of the report; and (i) 実施開始から報告書の日付まで、継続的診断・軽減ベンチマークを満たすために各機関が行った進捗状況。
“(ii) a summary of the efforts of each agency to account for emerging technology capabilities; and (ii) 新興の技術能力を考慮した各機関の努力の概要。
“(H) take steps to ensure that the security data collected through the program is aggregated with other Government-wide cybersecurity programs to better automate defensive capabilities.”. (H) プログラムを通じて収集されたセキュリティ・データを他の政府全体のサイバーセキュリティ・プログラムと集約し、防御能力をより自動化できるようにするための措置を講じる。
(b) Continuous Diagnostics And Mitigation Strategy.— (b) 継続的診断・軽減戦略。
(1) IN GENERAL.—Not later than 180 days after the date of the enactment of this Act, the Secretary of Homeland Security shall develop a comprehensive continuous diagnostics and mitigation strategy to carry out the continuous diagnostics and mitigation program required under subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by subsection (a). (1) 全般:本法律の制定日から 180 日以内に、国土安全保障長官は、2002 年国土安全保障法 (6 U.S.C. 663) の第 2213 項 (g) の下で義務付けられた継続的診断・軽減プログラムを実施するために、包括的継続的診断 および軽減戦略を策定するものとし、同項 (a) によって追加されるものとする。
(2) SCOPE.—The strategy required under paragraph (1) shall include the following: (2) 範囲:(1)項の下で要求される戦略は、以下を含むものとする。
(A) A description of the coordination and funding required to deploy, install, and maintain the tools, capabilities, and services that the Secretary of Homeland Security determines to be necessary to satisfy the requirements of such program. (A) 当該プログラムの要件を満たすために国土安全保障省長官が必要と判断したツール、能力、およびサービスを配備、設置、および維持するために必要な調整および資金の説明。
(B) A description of any obstacles facing the deployment, installation, and maintenance of tools, capabilities, and services under such program. (B) 当該プログラムの下で、ツール、能力、およびサービスの展開、設置、および維持に直面するあらゆる障害についての説明。
(C) Guidelines to help maintain and continuously upgrade tools, capabilities, and services provided under such program. (C) 当該プログラムの下で提供されるツール、能力、およびサービスの維持と継続的なアップグレードを支援するためのガイドライン。
(D) A plan for using the data collected by such program for creating a common framework for data analytics, visualization of enterprise-wide risks, and real-time reporting, and comparative assessments for cybersecurity risks. (D) データ分析、企業全体のリスクの可視化、リアルタイム報告、サイバーセキュリティリスクの比較評価のための共通のフレームワークを構築するために、当該プログラムによって収集されたデータを使用するための計画。
(E) Recommendations for using the data to enable the Cybersecurity and Infrastructure Security Agency to engage in cyber hunt and detection and response activities. (E) サイバーセキュリティ及びインフラセキュリティ庁がサイバーハント及び検知・対応活動に従事することを可能にするためのデータの使用に関する提言。
(F) Recommendations for future efforts and activities, including for the rollout of new and emerging tools, capabilities and services, proposed timelines for delivery, and whether to continue the use of phased rollout plans, related to securing networks, devices, data, and information and operational technology assets through the use of such program. (F) 当該プログラムの利用によるネットワーク、機器、データ、情報及び運用技術資産の安全確保に関連する、新規のツール、能力及びサービスの展開、提供のタイムライン案、段階的展開計画の利用継続の有無など、今後の取り組み及び活動に対する提言。
(G) Recommendations for improving the integration process of continuous diagnostics and mitigation products and capabilities within agency systems. (G) 継続的な診断と軽減のための製品及び機能の省庁システム内への統合プロセスを改善するための提言。
(3) FORM.—The strategy required under paragraph (1) shall be submitted in an unclassified form, but may contain a classified annex. (3) 書式 -第(1)項に基づき要求される戦略は、非分類された形式で提出されるものとするが、分類された附属書を含むことができる。
SEC. 3. FEDERAL INTRUSION DETECTION AND PREVENTION SYSTEM AND CONTINUOUS DIAGNOSTICS AND MITIGATION PILOT PROGRAM FOR STATE, LOCAL, TRIBAL, AND TERRITORIAL GOVERNMENTS. 第3条 連邦侵入検知・防止システムおよび州・地方・部族・準州政府向け継続的診断・軽減パイロット・プログラム。
(a) Definitions.—In this section— (a) 定義:本節では、以下を定義する。
(1) the terms “local government” and “State” have the meanings given those terms in section 3 of the Homeland Security Act of 2002 (6 U.S.C. 101); (1) 「地方自治体」および「州」という用語は、2002年国土安全保障法(6 U.S.C. 101)の第3節においてこれらの用語に与えられた意味を有する。
(2) the term “Secretary” means the Secretary of Homeland Security; and (2) 「長官」という用語は、国土安全保障省長官を意味する。
(3) the term “Tribal government” means the recognized governing body of any Indian or Alaska Native Tribe, band, nation, pueblo, village, community, component band, or component reservation, that is individually identified (including parenthetically) in the most recent list published pursuant to section 104 of the Federally Recognized Indian Tribe List Act of 1994 (25 U.S.C. 5131). (3) 「部族政府」とは、1994年連邦公認インディアン部族リスト法(25 U.S.C. 5131)の104項に従って発行された最新のリストで個別に特定(括弧書きを含む)されている、インディアンまたはアラスカ先住民族の認定統治団体を意味します。
(b) Establishment.—The Secretary shall conduct a Continuous Diagnostics and Mitigation Pilot Program with not less than 5 State, local, Tribal, or territorial governments to— (b) 設立:長官は、5つ以上の州、地方、部族、または準州政府と共に、以下の目的で継続的診断・軽減パイロット・プログラムを実施するものとする。
(1) promote the use of technologies and services in the continuous diagnostics and mitigation program described in subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by section 2 of this Act, at the State, local, Tribal, and territorial government level; (1) 2002年国土安全保障法(6 U.S.C. 663)第2213節の(g)項に記載された継続的診断・軽減プログラムの技術およびサービスの使用を、州、地方、部族、および準州政府レベルで促進すること。
(2) with or without reimbursement, make accessing the technologies and services described in paragraph (1) by State, local, Tribal, and territorial governments as affordable and simple as possible; (2) 払い戻しの有無にかかわらず、州、地方、部族、および準州政府が (1) 項で述べた技術およびサービスをできる限り安価かつ簡便に利用できるようにする。
(3) promote the adoption of a zero trust security model in improving cybersecurity readiness at the State, local, Tribal, and territorial government level; and (3) 州、地方、部族、および準州政府レベルにおけるサイバーセキュリティの準備態勢を改善する上で、ゼロ・トラスト・セキュリティ・モデルの採用を促進する。
(4) provide technical assistance in integrating continuous diagnostics and mitigation technologies and products into State, local, Tribal, and territorial government systems. (4) 継続的な診断と軽減の技術および製品を州、地方、部族、および領土の政府システムに統合するための技術支援を提供する。
(c) Considerations.—In selecting a State, local, or Tribal government for participation in the pilot program established under subsection (b), the Secretary shall consider— (c) 考慮事項:(b)項に基づき設立されたパイロット・プログラムに参加する州、地方、または部族政府を選択する際、長官は以下を考慮するものとする。
(1) the extent to which the State, local, Tribal, or territorial government aligns its cybersecurity policies with the Center for Internet Security Critical Security Controls, the National Institute of Standards and Technology Cybersecurity Framework, or other widely accepted cybersecurity frameworks; and (1) 州、地方、部族、または準州政府が、Center for Internet Security Critical Security Controls、National Institute of Standards and Technology Cybersecurity Framework、またはその他の広く受け入れられたサイバーセキュリティの枠組みに、どの程度サイバーセキュリティ政策を合致させるか。
(2) the capability of the State, local, Tribal, or territorial government to deploy and maintain over time continuous diagnostics and mitigation products and services. (2) 国家、地方、部族、または準州政府が、継続的な診断と軽減のための製品およびサービスを展開し、長期的に維持する能力。
(d) Program Requirements.—The pilot program established under this section— (d) プログラムの要件:本節に基づき設立されたパイロットプログラムは、以下の通りである。
(1) may not require participants to utilize certain strategies or tools, and shall allow participants to select and integrate tools for meeting the objectives of the pilot program; and (1) 特定の戦略やツールの利用を参加者に義務付けることはできず、パイロットプログラムの目的を達成するためのツールを参加者が選択し、統合できるようにしなければならない。
(2) shall include comprehensive training curriculum and integration assistance to close the technical expertise gap between employees of State, local, Tribal, and territorial governments and employees of the Cybersecurity and Infrastructure Security Agency. (2) 州、地方、部族、および準州政府の職員とサイバーセキュリティおよびインフラセキュリティ局の職員との間の技術的専門知識の格差を解消するための包括的なトレーニングカリキュラムと統合支援を含むものとする。
(e) Report.—Not later than 180 days after the date on which the pilot program terminates under this section, the Secretary shall submit to Congress a report that includes— (e) 報告書:本条に基づく試験的プログラムが終了した日から 180 日以内に、長官は以下を含む報告書を議会に提出するものとする。
(1) an assessment of the replicability and the costs and benefits of conducting a permanent State, local, Tribal, and territorial government continuous diagnostics and mitigation program as described in subsection (g) of section 2213 of the Homeland Security Act of 2002 (6 U.S.C. 663), as added by section 2 of this Act; (1) 2002年国土安全保障法(6 U.S.C. 663)第2213節の(g)項に記載されている、州、地方、部族、および準州政府の継続的診断と軽減プログラムを恒常的に実施することの再現性ならびに費用と利益の評価、本法の第2節により追加されたもの。
(2) the extent to which State, local, Tribal, and territorial governments in the pilot program adhere to widely accepted cybersecurity standards and frameworks and the impact that those policies have on potential widespread sub-Federal continuous diagnostics and mitigation integration; and (2) パイロットプログラムに参加する州、地方、部族、および準州の政府が、広く受け入れられているサイバーセキュリティの基準および枠組みをどの程度遵守しているか、およびこれらの政策が連邦政府以下の継続的診断と軽減の統合に与える潜在的影響。
(3) an assessment of the cybersecurity readiness of participants in the pilot program established under this section prior to participation in the pilot program as compared to after completion of the pilot program. (3) 本条に基づき設立されたパイロットプログラム参加者のサイバーセキュリティ準備態勢について、パイロットプログラム参加前とパイロットプログラム終了後を比較した評価。
(f) Termination.—The authority to conduct the pilot program under subsections (a) through (d) shall terminate on the date that is 3 years after the date of enactment of this Act. (f) 終了-(a)~(d)項に基づくパイロット・プログラムを実施する権限は、本法律の制定日から3年後の日に終了するものとする。

 

Fig1_20220328115201

 


 

CDMが出てくる記事。。。

まるちゃんの情報セキュリティ気まぐれ日記

・2021.11.05 米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.08.05 米国連邦議会上院 国土安全保障・政府問題委員会 「アメリカのデータは危険にさらされている」

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

| | Comments (0)

金融庁 「金融分野における個人情報保護に関するガイドライン」等の改正

こんにちは、丸山満彦です。

金融庁が金融分野における個人情報保護に関するガイドライン等の改正について公表していますね。。。

金融庁

・2022.03.24 「金融分野における個人情報保護に関するガイドライン」等の改正について公表しました。

金融分野における個人情報保護について

I .金融分野における個人情報保護に関するガイドライン

1.[PDF] 金融分野における個人情報保護に関するガイドライン

20220327-230412

2.[PDF] 「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の一部改正(案)に対する意見募集の結果

 

II .金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針

1.[PDF] 金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針


20220327-230533

 

2.[PDF] 「金融分野における個人情報保護に関するガイドライン」及び「金融分野における個人情報保護に関するガイドラインの安全管理措置等についての実務指針」の一部改正(案)に対する意見募集の結果

III .金融機関における個人情報保護に関するQ&A

[PDF] 金融機関における個人情報保護に関するQ&A

別紙様式1(Word版 ・ PDF版

別紙様式2(Excel版 ・ PDF版

 


| | Comments (0)

2022.03.27

米国と欧州委員会が米国ー欧州間のデータプライバシーフレームワークに合意したと発表していますね。。。

こんにちは、丸山満彦です。

2020.07.16のSchrems II判決により、米国ー欧州間のプライバシーシールドがGDPRに準拠していないということで無効となり、それに代わる新しい枠組みを模索していたのですが、合意に達したようですね。。。

European Commission

・2022.03.25 [PDF] Trans-Atlantic Data Privacy Framework

20220327-22740_20220327022701

TRANS-ATLANTIC DATA PRIVACY FRAMEWORK 大西洋横断データ・プライバシー・フレームワーク
Mar-22 3月22日
The European Commission and the United States reached an agreement in principle for a Trans-Atlantic Data Privacy Framework. 欧州委員会と米国は、大西洋横断データ・プライバシー・フレームワークに関する原則的な合意に達しました。
Key principles 主要な原則
• Based on the new framework, data will be able to flow freely and safely between the EU and participating U.S. companies ・新たな枠組みに基づき、EUと参加する米国企業との間で自由かつ安全にデータを流通させることが可能になります。
• A new set of rules and binding safeguards to limit access to data by U.S. intelligence authorities to what is necessary and proportionate to protect national security; U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards ・米国のインテリジェンス機関によるデータへのアクセスを、国家安全保障を守るために必要かつ適切なものに限定するための新しいルールと拘束力のあるセーフガード。米国のインテリジェンス機関は、新しいプライバシーと市民の自由の基準を効果的に監督するための手続きを導入します。
• A new two-tier redress system to investigate and resolve complaints of Europeans on access of data by U.S. Intelligence authorities, which includes a Data Protection Review Court ・米国のインテリジェンス機関によるデータアクセスに関する欧州人の苦情を調査・解決するためのデータ保護審査裁判所を含む2層の新しい救済制度。
• Strong obligations for companies processing data transferred from the EU, which will continue to include the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce ・EUから移転されたデータを処理する企業に対する強力な義務(米国商務省を通じて原則の遵守を自己証明する義務を引き続き含む)。
• Specific monitoring and review mechanisms  ・具体的なモニタリングとレビューの仕組み
Benefits of the deal 協定のメリット
• Adequate protection of Europeans’ data transferred to the US, addressing the ruling of the European Court of Justice (Schrems II) ・欧州司法裁判所の判決(Schrems II)に対応した、米国に移転した欧州人のデータの適切な保護
• Safe and secure data flows ・安心・安全なデータの流れ
• Durable and reliable legal basis ・耐久性と信頼性のある法的基盤
• Competitive digital economy and economic cooperation ・競争力のあるデジタル経済と経済協力
• Continued data flows underpinning €900 billion in cross-border commerce every year ・毎年9000億ユーロの国境を越えた商取引を支えるデータの流れの継続
Next steps:  次のステップ 
The agreement in principle will now be translated into legal documents. The U.S. commitments will be included in an Executive Order that will form the basis of a draft adequacy decision by the Commission to put in place the new Trans-Atlantic Data Privacy Framework. 原則合意は、今後、法的文書に変換されます。米国のコミットメントは大統領令に盛り込まれ、新しい大西洋横断データ・プライバシー枠組みを導入するための欧州委員会による妥当性判断の草案の基礎とされる予定です。

 

 

欧州側の発表から。。。

European Commission

・2022.03.25 European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework

European Commission and United States Joint Statement on Trans-Atlantic Data Privacy Framework 大西洋横断データ・プライバシー・フレームワークに関する欧州委員会と米国の共同声明
The European Commission and the United States announce that they have agreed in principle on a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union in the Schrems II decision of July 2020.  欧州委員会と米国は、大西洋を横断するデータの流れを促進し、2020年7月のシュレムスII判決で欧州連合司法裁判所が提起した懸念に対処する、新たな大西洋横断データ・プライバシー枠組みについて基本合意したことを発表します。 
The new Framework marks an unprecedented commitment on the U.S. side to implement reforms that will strengthen the privacy and civil liberties protections applicable to U.S. signals intelligence activities.  Under the Trans-Atlantic Data Privacy Framework, the United States is to put in place new safeguards to ensure that signals surveillance activities are necessary and proportionate in the pursuit of defined national security objectives, establish a two-level independent redress mechanism with binding authority to direct remedial measures, and enhance rigorous and layered oversight of signals intelligence activities to ensure compliance with limitations on surveillance activities. この新しいフレームワークは、米国のシグナル・インテリジェンス活動に適用されるプライバシーと市民的自由の保護を強化する改革を実施するという、米国側の前例のないコミットメントを示すものです。  大西洋横断データ・プライバシー枠組の下で、米国は、シグナル監視活動が定義された国家安全保障目的の追求に必要かつ適切であることを保証するための新しいセーフガードを導入し、是正措置を指示する拘束力を持つ2段階の独立救済メカニズムを確立し、監視活動の制限を遵守するためにシグナル・インテリジェンス活動の厳格で層状の監視を強化することになります。
The Trans-Atlantic Data Privacy Framework reflects more than a year of detailed negotiations between the U.S. and E.U. led by Secretary of Commerce Gina Raimondo and Commissioner for Justice Didier Reynders. It will provide a durable basis for trans-Atlantic data flows, which are critical to protecting citizens' rights and enabling trans-Atlantic commerce in all sectors of the economy, including for small and medium enterprises.  By advancing cross-border data flows, the new framework will promote an inclusive digital economy in which all people can participate and in which companies of all sizes from all of our countries can thrive.  大西洋横断データ・プライバシー枠組みは、ジーナ・ライモンド商務長官とディディエ・レインダース司法担当委員が主導する米国と欧州連合の間の1年以上に及ぶ詳細な交渉を反映したものです。この枠組みは、市民の権利を保護し、中小企業を含むあらゆる経済分野において大西洋を越えた商取引を可能にするために不可欠な、大西洋を越えたデータの流れに耐久性のある基礎を提供するものです。  国境を越えたデータの流れを促進することで、新しい枠組みは、すべての人々が参加でき、すべての国のあらゆる規模の企業が成功できる包括的なデジタル経済を促進します。 
The announcement is another demonstration of the strength of the U.S.-EU relationship, in that we continue to deepen our partnership as a community of democracies to ensure both security and respect for privacy and to enable economic opportunities for our companies and citizens.  The new Framework will facilitate further U.S.-EU cooperation, including through the Trade and Technology Council and through multilateral fora, such as the Organisation for Economic Cooperation and Development, on digital policies. 今回の発表は、安全保障とプライバシー尊重の両方を確保し、我々の企業と市民の経済的機会を可能にするために、民主主義共同体としてのパートナーシップを深め続けているという点で、米・EU関係の強さを改めて証明するものです。  新フレームワークは、貿易・技術評議会や、経済協力開発機構(OECD)などの多国間フォーラムを通じたデジタル政策など、米欧のさらなる協力を促進することになります。
The teams of the U.S. Government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission's assessment in its future adequacy decision. 米国政府と欧州委員会のチームは今後、この新しい大西洋横断データ・プライバシー枠組みを実施するために双方で採択が必要となる法的文書にこの取り決めを反映させることを視野に入れて、協力を続けていくことになります。そのため、これらの米国のコミットメントは、欧州委員会の将来の妥当性判断における評価の基礎となる大統領令に盛り込まれる予定です。

 

参考:ちょうど一年前

・2021.03.25 Intensifying Negotiations on transatlantic Data Privacy Flows: A Joint Press Statement by European Commissioner for Justice Didier Reynders and U.S. Secretary of Commerce Gina Raimondo

 

次にWhite House

● White House

・202203.25 United States and European Commission Joint Statement on Trans-Atlantic Data Privacy Framework

これは、European Commissionが発表したものと内容は同じです。。。(U.S.とEUの並び順が違ったり、OrganizationかOrganisationかの違いだったり...)

 

・2022.03.25 FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework

FACT SHEET: United States and European Commission Announce Trans-Atlantic Data Privacy Framework ファクトシート:米国と欧州委員会、大西洋横断データ・プライバシー・フレームワークを発表
The United States and the European Commission have committed to a new Trans-Atlantic Data Privacy Framework, which will foster trans-Atlantic data flows and address the concerns raised by the Court of Justice of the European Union when it struck down in 2020 the Commission’s adequacy decision underlying the EU-U.S. Privacy Shield framework.   米国と欧州委員会は、大西洋を横断するデータの流れを促進し、欧州連合司法裁判所が2020年にEU-米国間のプライバシー・シールドの枠組みの基礎となる欧州委員会の妥当性決定を取り消した際に提起した懸念に対処するため、新しい大西洋横断データプライバシー枠組みを設立することを約束しました。 
This Framework will reestablish an important legal mechanism for transfers of EU personal data to the United States. The United States has committed to implement new safeguards to ensure that signals intelligence activities are necessary and proportionate in the pursuit of defined national security objectives, which will ensure the privacy of EU personal data and to create a new mechanism for EU individuals to seek redress if they believe they are unlawfully targeted by signals intelligence activities. This deal in principle reflects the strength of the enduring U.S.-EU relationship, as we continue to deepen our partnership based on our shared democratic values. この枠組みは、EUの個人データの米国への移転に関する重要な法的メカニズムを再確立するものです。米国は、シグナル・インテリジェンス活動が、定義された国家安全保障上の目的を追求する上で必要かつ適切であることを確認するための新たなセーフガードを導入し、EUの個人データのプライバシーを確保するとともに、EUの個人がシグナル・インテリジェンス活動によって違法な標的とされていると考える場合に救済を求めるための新しいメカニズムを構築すると確約しています。この原則的な取り決めは、永続的な米・EU関係の強さを反映しており、我々は共通の民主主義的価値観に基づくパートナーシップを深め続けています。
This Framework will provide vital benefits to citizens on both sides of the Atlantic. For EU individuals, the deal includes new, high-standard commitments regarding the protection of personal data. For citizens and companies on both sides of the Atlantic, the deal will enable the continued flow of data that underpins more than $1 trillion in cross-border commerce every year, and will enable businesses of all sizes to compete in each other’s markets. It is the culmination of more than a year of detailed negotiations between the EU and the U.S. following the 2020 decision by the Court of Justice of the European Union ruling that the prior EU-U.S. framework , known as Privacy Shield,  did not satisfy EU legal requirements. この枠組みは、大西洋の両岸の市民にとって不可欠な利益をもたらすでしょう。EUの個人にとって、この協定には個人データの保護に関する新たな高水準の約束が含まれています。大西洋の両岸の市民と企業にとって、この協定は、毎年1兆ドル以上の国境を越えた商取引を支えるデータの継続的な流れを可能にし、あらゆる規模の企業が互いの市場で競争することを可能にします。この協定は、プライバシーシールドとして知られるEUと米国の従来の枠組みがEUの法的要件を満たしていないという欧州連合司法裁判所の2020年の判決を受け、EUと米国が1年以上にわたって行ってきた詳細な交渉の集大成となるものです。
The new Trans-Atlantic Data Privacy Framework underscores our shared commitment to privacy, data protection, the rule of law, and our collective security as well as our mutual recognition of the importance of trans-Atlantic data flows to our respective citizens, economies, and societies.  Data flows are critical to the trans-Atlantic economic relationship and for all companies large and small across all sectors of the economy. In fact, more data flows between the United States and Europe than anywhere else in the world, enabling the $7.1 trillion U.S.-EU economic relationship. 新しい大西洋横断データ・プライバシー枠組みは、プライバシー、データ保護、法の支配、集団安全保障に対する我々の共通のコミットメントを強調するとともに、大西洋を横断するデータの流れがそれぞれの市民、経済、社会にとって重要であるという相互認識を示しています。  データの流れは大西洋横断の経済関係にとって、また経済のあらゆる部門における大小すべての企業にとって重要です。実際、米国と欧州の間では、世界のどこよりも多くのデータが流れており、7兆1千億ドルの米欧経済関係を可能にしています。
By ensuring a durable and reliable legal basis for data flows, the new Trans-Atlantic Data Privacy Framework will underpin an inclusive and competitive digital economy and lay the foundation for further economic cooperation. It addresses the Court of Justice of the European Union’s Schrems II decision concerning U.S, law governing signals intelligence activities. Under the Trans-Atlantic Data Privacy Framework, the United States has made unprecedented commitments to: データの流れに耐久性と信頼性のある法的基盤を確保することで、新しい大西洋横断データプライバシー枠組みは、包括的で競争力のあるデジタル経済を支え、さらなる経済協力のための基盤を築くことになります。この枠組みは、シグナル・インテリジェンス活動を管理する米国の法律に関する欧州連合司法裁判所のSchrems II判決に対応しています。大西洋横断データ・プライバシー・フレームワークの下で、米国は以下のような前例のないコミットメントを行っています。
Strengthen the privacy and civil liberties safeguards governing U.S. signals intelligence activities; 米国のシグナル・インテリジェンス活動に適用されるプライバシーと市民的自由の保障措置を強化します。
Establish a new redress mechanism with independent and binding authority; and 独立した拘束力のある新しい救済メカニズムを確立します。
Enhance its existing rigorous and layered oversight of signals intelligence activities. シグナル・インテリジェンス活動に対する既存の厳格で重層的な監視を強化します。
For example, the new Framework ensures that: 例えば、新しい枠組みは次のことを保証しています。
Signals intelligence collection may be undertaken only where necessary to advance legitimate national security objectives, and must not disproportionately impact the protection of individual privacy and civil liberties; シグナル・インテリジェンスの収集は、正当な国家安全保障の目的を達成するために必要な場合にのみ行われ、個人のプライバシーや市民的自由の保護に不釣り合いな影響を及ぼしてはなりません。
EU individuals may seek redress from a new multi-layer redress mechanism that includes an independent Data Protection Review Court that would consist of individuals chosen from outside the U.S. Government who would have full authority to adjudicate claims and direct remedial measures as needed; and EUの個人は、米国政府外から選ばれた個人で構成され、申し立てを裁き、必要に応じて是正措置を指示する全権限を持つ独立データ保護審査裁判所を含む、新しい多層的救済機構に救済を求めることができます。
U.S. intelligence agencies will adopt procedures to ensure effective oversight of new privacy and civil liberties standards.  米国の情報機関は、新しいプライバシーおよび市民的自由の基準を効果的に監督するための手続きを採用します。 
Participating companies and organizations that take advantage of the Framework to legally protect data flows will continue to be required to adhere to the Privacy Shield Principles, including the requirement to self-certify their adherence to the Principles through the U.S. Department of Commerce. EU individuals will continue to have access to multiple avenues of recourse to resolve complaints about participating organizations, including through alternative dispute resolution and binding arbitration. データフローを法的に保護するためにフレームワークを活用する参加企業・組織には、米国商務省を通じて同原則の遵守を自己証明することを含め、引き続きプライバシーシールド原則の遵守が義務づけられる。EUの個人は、参加組織に対する苦情を解決するために、裁判外紛争解決手続きや拘束力のある仲裁を含む複数の手段を引き続き利用することができます。
These new policies will be implemented by the U.S. intelligence community in a way to effectively protect its citizens, and those of its allies and partners, consistent with the high-standard protections offered under this Framework.  これらの新しい政策は、米国の情報機関が、自国民および同盟国やパートナーの国民を効果的に保護するために、この枠組みで提供される高水準の保護と矛盾しない形で実施されます。 
The teams of the U.S. government and the European Commission will now continue their cooperation with a view to translate this arrangement into legal documents that will need to be adopted on both sides to put in place this new Trans-Atlantic Data Privacy Framework. For that purpose, these U.S. commitments will be included in an Executive Order that will form the basis of the Commission’s assessment in its future adequacy decision. 米国政府と欧州委員会のチームは今後、この取り決めを、大西洋横断データ・プライバシー・フレームワークを導入するために双方で採択する必要のある法的文書に変換することを視野に入れ、協力を続けていく予定です。そのために、これらの米国のコミットメントは、欧州委員会の将来の妥当性判断における評価の基礎となる大統領令に盛り込まれる予定です。

 

あと、White Houseのページでは、バイデン大統領とライエン欧州委員会委員長の共同記者発表で、ライエン欧州委員会委員長が最後で、このフレームワークについて触れていますね。。。バイデン大統領はエネルギーの話だけですが。。。

 

・2022.03.25 Remarks by President Biden and European Commission President Ursula von der Leyen in Joint Press Statement

ライエン委員長の発言の関係するところだけ...

... ...
The cooperation shows the power of our democracies.  I particularly welcome that we will step up our respective action on strengthening democracies, the rule of law, the freedom of media in the world.  この協力関係は、私たち民主主義国家の力を示しています。  特に、世界の民主主義、法の支配、メディアの自由を強化するために、それぞれの行動を強化することを歓迎します。 
And we also need to continue adapting our own democracies to a changing world.  This is particularly true when it comes to digitalization, in which the protection of personal data and privacy has become so crucial.  また、我々は、変化する世界に対して、自らの民主主義を適応させ続ける必要がある。  特に、個人情報とプライバシーの保護が非常に重要になっているデジタル化に関しては、そうです。 
And therefore, I’m very pleased that we have found an agreement in principle on a new framework for transatlantic data flows.  This will enable predictable and trustworthy data flows between the EU and U.S., safeguarding privacy and civil liberties.  したがって、大西洋を横断するデータの流れに関する新たな枠組みについて、基本的な合意を見出したことを非常に喜ばしく思います。  これにより、プライバシーと市民の自由を守りながら、EUと米国の間で予測可能で信頼できるデータの流れが可能になる。 
And I really want to thank Commissioner Reynders and Secretary Raimondo for their tireless efforts over the past month to finish a balanced and effective solution.  This is another step in our — strengthening our partnership.  We managed to balance security and the right to privacy and data protection.  レイダース委員とライモンド長官には、バランスのとれた効果的な解決策を完成させるために、この1カ月間、たゆまぬ努力を続けていただいたことに、本当に感謝申し上げたい。  これは、我々の、つまり我々のパートナーシップを強化するための新たな一歩です。  私たちは、セキュリティとプライバシーおよびデータ保護の権利のバランスをとることに成功したのです。 
Mr. President, Dear Joe: Putin is trying to turn back the clock to another era — an era of brutal use of force, of power politics, of spheres of influence, and internal repression.  I am confident he will fail.  大統領閣下、親愛なるジョー。プーチンは、武力の残忍な行使、パワーポリティクス、勢力圏、内部抑圧の時代という、別の時代へと時計の針を戻そうとしているのです。  私は、彼が失敗することを確信しています。 
We are working together to forge a peaceful, prosperous, and sustainable future.  And I know we will succeed. 私たちは、平和で、豊かで、持続可能な未来を築くために共に働いています。  そして、私たちは成功すると信じています。
Thank you very much.  ありがとうございました。 
PRESIDENT BIDEN:  Thank you.  バイデン大統領:ありがとうございました。 
PRESIDENT VON DER LEYEN:  Thank you very much. フォン・デル・ライエン大統領: どうもありがとうございました。
PRESIDENT BIDEN:  Thank you, everyone. 皆さん、ありがとうございました。

 

ということで、今後の動きはみときましょう。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.04 欧州データ保護委員会 (EDPB) 2020年次報告書

・2021.04.22 欧州データ保護監督官 (EDPS) 2020年次報告 - COVID-19状況下のデータ保護

・2021.03.28 EU-USプライバシーシールドを強化するための交渉を推進 - 米国商務長官と欧州司法長官による共同記者会見

・2021.01.05 2020年のプライバシー・データセキュリティ法関係のコンパクトなまとめ

・2020.11.20 欧州データ保護委員会-第42回本会議、第41回本会議(標準契約条項)

・2020.09.05 欧州データ保護委員会 (EDPB) 第37回総会でコントローラ・プロセッサーに関するガイドライン、ソーシャルメディアユーザに関するガイドラインを可決したようですね、

・2020.08.13 プライバシーシールド無効の判決を受けて、米国商務長官と欧州司法長官が共同プレス声明していますね

・2020.07.26 欧州データ保護委員会がプライバシーシール無効判決についてのFAQを公開していますね

・2020.07.21 プライバシーシール無効判決後のアメリカとイギリス

で、これ(↓)が始まり...

・2020.07.16 EU-USのプライバシーシールドを無効にしま〜す by EU裁判所

 

 

 

| | Comments (0)

2022.03.26

ENISA 健康データへの仮名化技術の実装

こんにちは、丸山満彦です。

ENISAが、健康データへの仮名化技術の実装に関する報告書を公表していますね。。。

ENISA

・2022.03.24 (news) Taking Care of Health Data

Taking Care of Health Data 健康データへの配慮
A new report of the European Union Agency for Cybersecurity (ENISA) explores how pseudonymisation techniques can help increase the protection of health data. 欧州連合サイバーセキュリティ機関(ENISA)の新しい報告書では、仮名化技術が健康データの保護強化にどのように役立つかを探っています。
The healthcare sector has highly benefited from technological developments and the digitalisation process. However, as those new technologies need to be integrated into IT infrastructures, which is already complex in nature, new challenges emerge in relation to data protection and cybersecurity. This is especially true since providing health services today implies an extended exchange of medical information and of health data among different healthcare service providers. ヘルスケア分野は、技術開発とデジタル化プロセスから大きな恩恵を受けている。しかし、それらの新技術を、もともと複雑なITインフラに統合する必要があるため、データ保護とサイバーセキュリティとの関連で新たな課題が浮上しています。特に、今日の医療サービスの提供には、異なる医療サービス提供者間での医療情報や健康データの広範な交換が必要であるため、これは真実です。
How medical data help deliver better health services 医療データはより良い医療サービスを提供するためにどのように役立つか
With a large volume of data, the healthcare sector has therefore the capacity to improve diagnosis and modelling of clinical outcomes, help assess early intervention strategies, etc. This new ecosystem improves the delivery and monitoring of health services at different levels including decision making and provides timely, appropriate and uninterrupted medical care. 大量のデータにより、ヘルスケア部門は、診断の改善や臨床結果のモデル化、早期介入戦略の評価などに役立つ能力を持つようになりました。この新しいエコシステムは、意思決定を含む様々なレベルでの医療サービスの提供とモニタリングを改善し、タイムリーで適切かつ中断のない医療を提供します。
How to ensure the safe processing of medical data 医療データの安全な処理を確保する方法
Nonetheless, the increasing processing of digitised medical data has also led to the associated risks of cyberattacks and of data breaches. To ensure adequate protection of patients’ medical data, technical solutions such as those offered by pseudonymisation can be implemented. しかし、デジタル化された医療データの処理は、サイバー攻撃や情報漏えいのリスクを伴います。患者さんの医療データを適切に保護するためには、仮名化などの技術的な解決策を導入することが有効です。
The report published today builds on the previous works of ENISA and explores the different techniques of pseudonymisation in the context of simple use cases. 本日発表された報告書は、ENISAのこれまでの研究成果を基に、簡単なユースケースを想定して仮名化の様々な技術について考察しています。
What is pseudonymisation? 仮名化とは?
Pseudonymisation can significantly support personal data protection. It improves the protection of data. Pseudonymisation consists in de-associating a data subject's identity from the personal data being processed for that data subject. In practice, this is done by replacing one or more personal identifiers with what we call pseudonyms. 仮名化は、個人情報保護を大幅にサポートすることができます。データの保護が向上します。仮名化処理とは、データ対象者のアイデンティティと、そのデータ対象者のために処理されている個人データとの関連付けを解除することです。実際には、1つまたは複数の個人識別子を仮名と呼ばれるものに置き換えることによって行われます。
Different techniques can be used to this effect, which are based on the way pseudonyms are generated. Such techniques include counter, random number, hash function, hash-based message authentication code (HMAC) and encryption. このために、仮名の生成方法に基づくさまざまな技術を使用することができます。そのような技術には、カウンタ、乱数、ハッシュ関数、ハッシュベースのメッセージ認証コード(HMAC)、暗号化などがあります。
Although not essentially new, the process is explicitly referenced by the General Data Protection Regulation (GDPR) as a technique to use to promote data protection by design and to secure the processing of personal data. 本質的に新しいものではありませんが、このプロセスは、設計によるデータ保護を促進し、個人データの処理を安全にするために使用する技術として、一般データ保護規則(GDPR)で明示的に言及されています。
Scope of the report 報告書の範囲
The report explains how the techniques can be applied to improve the level of protection of personal data through simple use-cases. 個人情報の保護レベルを向上させるために、どのような手法を適用できるのか、簡単なユースケースを通して解説しています。
The decision on the techniques to be used should be based on previously conducted risk-impact assessment activities such as: 使用する技法は、事前に実施した以下のようなリスク影響評価活動に基づいて決定する必要があります。
the target personal data (e.g. a set of identifiers); 対象となる個人データ(識別子の集合体など)。
the technique to be used; 使用される技術
the parameters applicable to the technique; その技法に適用されるパラメータ
the pseudonymisation policy to be used. 使用される仮名化の方針
The techniques and parameters to take into account can therefore vary according to the applicable requirements in relation to regulations, speed, simplicity, predictability and cost. したがって、考慮すべき技術およびパラメータは、規制、速度、簡便性、予測可能性およびコストに関連する適用要件によって異なる可能性があります。
The scenarios chosen to explore these parameters are: これらのパラメータを検討するために選ばれたシナリオは以下の通りです。
Exchanging patient’s health data; 患者の健康データの交換
Clinical trials; 臨床試験
Patient-sourced monitoring of health data. 患者が提供する健康データのモニタリング
Privacy engineering in Artificial Intelligence (AI) at the 10th Annual Privacy Forum 第10回プライバシー・フォーラムにおける人工知能(AI)のプライバシーエンジニアリング
The 10th Annual Privacy Forum will be taking place on 23 & 24 June 2022 in Warsaw, Poland. ENISA organises this event together with the European Commission’s DG Connect, the Cardinal Stefan Wyszyński University and the Koźmiński University. The event will host leading experts from both public and private sectors to debate the challenges and opportunities in this area. Discussions will be held on privacy engineering, data sharing and data protection aspects of artificial intelligence. For more information: https://privacyforum.eu/ 第10回プライバシーフォーラムは、2022年6月23日、24日にポーランドのワルシャワで開催される予定です。ENISAは、欧州委員会のコネクト総局、Cardinal Stefan Wyszyński University、Koźmiński Universityとともにこのイベントを開催しています。本イベントでは、官民両セクターから第一線の専門家を招き、この分野における課題と機会について議論する予定です。人工知能のプライバシー工学、データ共有、データ保護の側面について議論が行われる予定です。詳細については、https://privacyforum.eu/ をご覧ください。
Background 背景
The European Union Agency for Cybersecurity has been working in the area of privacy and data protection since 2014, by analysing technical solutions for the implementation of the GDPR, privacy by design and security of personal data processing. 欧州連合サイバーセキュリティ庁は、2014年からプライバシーとデータ保護の分野で、GDPRの実施、プライバシー・バイ・デザイン、個人データ処理のセキュリティのための技術的ソリューションを分析し、活動しています。
Previous works of the Agency in 2019 include the recommendations on shaping technology according to GDPR provisions, providing an overview on data pseudonymisation, another report on pseudonymisation techniques and best practices.  2019年の同庁の過去の作品には、GDPRの規定に従った技術の形成に関する勧告、データの仮名化に関する概要の提供、仮名化の技術やベストプラクティスに関する別の報告書などがあります。 
Further information さらに詳しい情報
Deploying Pseudonymisation Techniques – ENISA report 仮名化技術の実装 - ENISAレポート
Annual Privacy Forum 2022 – 23 & 24 June 2022 in Warsaw, Poland 年次プライバシーフォーラム2022 - 2022年6月23日、24日 ポーランド、ワルシャワにて開催
ENISA webpage on Data Protection データ保護に関するENISAのウェブページ

 

・2022.03.24 Deploying Pseudonymisation Techniques

Deploying Pseudonymisation Techniques 仮名化技術の実装
Pseudonymisation is increasingly becoming a key security technique for providing a means that can facilitate personal data processing, while offering strong safeguards for the protection of personal data and thereby safeguarding the rights and freedoms of individuals. Complementing previous work by ENISA, this report demonstrates how pseudonymisation can be deployed in practice to further promote the protection of health data during processing. 仮名化処理は、個人データ保護のための強力なセーフガードを提供し、それによって個人の権利と自由を保護しながら、個人データ処理を促進できる手段を提供するための重要なセキュリティ技術として、ますます重要視されています。本レポートは、ENISAのこれまでの取り組みを補完し、処理中の健康データの保護をさらに促進するために、仮名化を実際にどのように展開できるかを示しています。

 

・[PDF]

20220326-43811

 

1. INTRODUCTION 1. はじめに
1.1 DIGITAL TRANSFORMATION OF THE HEALTH SECTOR 1.1 健康分野のデジタルトランスフォーメーション
1.2 PROTECTING HEALTH DATA 1.2 健康データの保護
1.3 SCOPE – TARGET AUDIENCE 1.3 スコープ - 対象者
1.4 STRUCTURE OF THE DOCUMENT 1.4 文書の構成
2. PSEUDONYMISATION 2. 仮名化
2.1 BACKGROUND 2.1 背景
2.2 IMPORTANCE OF PSEUDONYMISATION 2.2 仮名化の重要性
2.3 BASIC PSEUDONYMISATION TECHNIQUES 2.3 基本的な仮名化技術
2.4 PSEUDONYMISATION CONSIDERATIONS 2.4 仮名化の考慮事項
3. USE CASES 3. 使用例
3.1 EXCHANGING PATIENT’S HEALTH DATA 3.1 患者の健康データの交換
3.2 CLINICAL TRIALS 3.2 臨床試験
3.3 PATIENT-SOURCED MONITORING OF HEALTH DATA 3.3 患者が提供する健康データのモニタリング
4. CONCLUSIONS 4. 結論
5. BIBLIOGRAPHY/REFERENCES  5. 書誌・参考文献 

 

 

| | Comments (0)

欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

こんにちは、丸山満彦です。

欧州理事会・欧州連合理事会が、デジタル市場法(DMA)が理事会・欧州議会で合意されたと発表されていますね。これから、欧州理事会、欧州議会で承認され、正式に発行という流れになりそうですね。。。

ウクライナ問題では、EUと米国はガッツリタッグを組んでいるようにも見えますが(まぁ、それでもEU内でも温度感違うのでしょうが、、、)、この領域では、違うのかもしれません。。。

 

European Council/Council of the European Union

・2022.03.25 (press) Digital Markets Act (DMA): agreement between the Council and the European Parliament

Digital Markets Act (DMA): agreement between the Council and the European Parliament デジタル市場法(DMA): 理事会・欧州議会間の合意
The Council and the Parliament today reached a provisional political agreement on the Digital Markets Act (DMA), which aims to make the digital sector fairer and more competitive. Final technical work will make it possible to finalise the text in the coming days. 欧州理事会と欧州議会は本日、デジタル分野をより公正で競争力のあるものにすることを目的としたデジタル市場法(DMA)に関する暫定的な政治合意に達しました。最終的な技術的作業により、今後数日のうちに同文書を最終決定することが可能となります。
The European Union has had to impose record fines over the past 10 years for certain harmful business practices by very large digital players. The DMA will directly ban these practices and create a fairer and more competitive economic space for new players and European businesses. These rules are key to stimulating and unlocking digital markets, enhancing consumer choice, enabling better value sharing in the digital economy and boosting innovation. The European Union is the first to take such decisive action in this regard and I hope that others will join us soon. 欧州連合(EU)は過去10年間、超大手デジタル事業者による特定の有害な商習慣に対して、記録的な制裁金を課さなければなりませんでした。DMAは、こうした慣行を直接禁止し、新規参入企業や欧州企業にとってより公正で競争力のある経済空間を創出するものです。これらのルールは、デジタル市場を活性化し、消費者の選択肢を増やし、デジタル経済におけるより良い価値の共有を可能にし、イノベーションを後押しする鍵となるものです。欧州連合(EU)はこの点で、このような断固とした行動を取る初めての国であり、他の国もすぐに参加することを望んでいます。
Cédric O, French Minister of State with responsibility for Digital フランス政府デジタル担当大臣 Cédric O 氏
The DMA defines clear rules for large online platforms. It aims to ensure that no large online platform that acts as a ‘gatekeeper’ for a large number of users abuses its position to the detriment of companies wishing to access such users. DMAは、大規模なオンラインプラットフォームに対する明確なルールを定義しています。その目的は、多数のユーザーに対して「ゲートキーパー」の役割を果たす大規模オンラインプラットフォームが、その地位を乱用し、そのようなユーザーへのアクセスを希望する企業に不利益を与えないようにすることです。
Which platforms are considered gatekeepers? どのようなプラットフォームがゲートキーパーとみなされるのか?
The Council and the European Parliament agreed that for a platform to qualify as a gatekeeper, firstly it must either have had an annual turnover of at least €7.5 billion within the European Union (EU) in the past three years or have a market valuation of at least €75 billion, and secondly it must have at least 45 million monthly end users and at least 10 000 business users established in the EU. 欧州理事会と欧州議会は、プラットフォームがゲートキーパーとして認められるためには、第一に、過去3年間の欧州連合(EU)内での年間売上高が75億ユーロ以上、または時価総額が750億ユーロ以上であること、第二に、EU内で毎月少なくとも4500万のエンドユーザーと少なくとも1万のビジネスユーザーを抱えていなければならないことに合意しています。
The platform must also control one or more core platform services in at least three member states. These core platform services include marketplaces and app stores, search engines, social networking, cloud services, advertising services, voice assistants and web browsers. また、プラットフォームは、少なくとも3つの加盟国で1つ以上のコアプラットフォームサービスをコントロールしている必要があります。これらのコアプラットフォームサービスには、マーケットプレイスやアプリストア、検索エンジン、ソーシャルネットワーキング、クラウドサービス、広告サービス、音声アシスタント、ウェブブラウザなどが含まれます。
To ensure that the rules laid down in the regulation are proportionate, SMEs are exempt from being identified as gatekeepers, apart from in exceptional cases. In order to ensure the progressive nature of the obligations, the category of ‘emerging gatekeeper’ is also provided for; this will enable the Commission to impose certain obligations on companies whose competitive position is proven but not yet sustainable. この規則が適切であることを保証するために、例外的な場合を除き、中小企業はゲートキーパーとして識別されることを免除されています。また、義務の漸進性を確保するため、「新興のゲートキーパー」というカテゴリーも設けられています。これにより、欧州委員会は、競争力は証明されているがまだ持続可能ではない企業に対して、一定の義務を課すことができます。
Gatekeepers will have to: ゲートキーパーは次のような義務を負うことになります。
・ensure that users have the right to unsubscribe from core platform services under similar conditions to subscription ・ユーザーがコア・プラットフォーム・サービスの購読を停止する権利を、購読と同様の条件下で有するようにすること。
・for the the most important software (e.g. web browsers), not require this software by default upon installation of the operating system ・最も重要なソフトウェア(例:ウェブブラウザ)については、オペレーティングシステムのインストール時にこのソフトウェアをデフォルトで要求しないこと。
・ensure the interoperability of their instant messaging services’ basic functionalities ・インスタントメッセージングサービスの基本機能の相互運用性を確保すること。
・allow app developers fair access to the supplementary functionalities of smartphones (e.g. NFC chip) ・アプリ開発者がスマートフォンの補助機能(NFCチップなど)に公平にアクセスできるようにすること。
・give sellers access to their marketing or advertising performance data on the platform ・販売者にプラットフォーム上のマーケティングまたは広告のパフォーマンスデータへのアクセスを与えること。
・inform the European Commission of their acquisitions and mergers ・欧州委員会に買収や合併を報告すること。
But they can no longer: ゲートキーパーは次のようなことはできなくなります。
・rank their own products or services higher than those of others (self-preferencing) ・自分の製品やサービスを他の製品より上位にランク付けすること(自己言及)。
・reuse private data collected during a service for the purposes of another service ・あるサービスにおいて収集された個人情報を、別のサービスのために再利用すること。
・establish unfair conditions for business users ・ビジネスユーザーに対する不公平な条件を設定すること。
・pre-install certain software applications ・特定のソフトウェアアプリケーションをプリインストールすること。
・require app developers to use certain services (e.g. payment systems or identity providers) in order to be listed in app stores ・アプリ開発者がアプリストアに掲載されるために、特定のサービス(例:決済システム、IDプロバイダ)を利用することを要求すること。
What if a gatekeeper does not play by the rules? ゲートキーパーがルールを守らない場合、どうすればよいのでしょうか。
If a gatekeeper violates the rules laid down in the legislation, it risks a fine of up to 10% of its total worldwide turnover. For a repeat offence, a fine of up to 20% of its worldwide turnover may be imposed. ゲートキーパーが法律に定められたルールに違反した場合、全世界の総売上高の10%以下の罰金を科せられるリスクがあります。また、違反を繰り返した場合は、全世界の売上高の20%以下の罰金が課される可能性があります。
If a gatekeeper systematically fails to comply with the DMA, i.e. it violates the rules at least three times in eight years, the European Commission can open a market investigation and, if necessary, impose behavioural or structural remedies. ゲートキーパーが組織的にDMAを遵守しない場合、つまり、8年間に少なくとも3回、規則に違反した場合、欧州委員会は市場調査を開始し、必要に応じて、行動的または構造的な救済措置を講じることができます。
What if the platform does not agree that it is a gatekeeper? プラットフォームがゲートキーパーであることに同意しない場合はどうなりますか?
If a platform has good arguments against its designation as a gatekeeper, it can challenge the designation by means of a specific procedure that enables the Commission to check the validity of those arguments. プラットフォームがゲートキーパーとしての指定に反対する正当な理由がある場合、欧州委員会がその正当性を確認できる特別な手続きによって、指定に異議を唱えることができます。
Who makes sure that gatekeepers stick to the rules? ゲートキーパーが規則を守るかどうかは、誰が確認するのですか?
To ensure a high degree of harmonisation in the internal market, the European Commission will be the sole enforcer of the regulation. The Commission can decide to engage in regulatory dialogue to make sure gatekeepers have a clear understanding of the rules they have to abide by, and to specify their application where necessary. 域内市場における高度なハーモナイゼーションを確保するために、欧州委員会が規制の唯一の執行者となります。欧州委員会は、ゲートキーパーが遵守すべき規則を明確に理解し、必要に応じてその適用を明示するために、規制当局との対話を行うことを決定することができます。
An advisory committee and a high-level group will be set up to assist and facilitate the work of the European Commission. Member states will be able to empower national competition authorities to start investigations into possible infringements and transmit their findings to the Commission. 欧州委員会の作業を支援し、促進するために、諮問委員会とハイレベルグループが設置されます。加盟国は、各国の競争当局が違反の可能性について調査を開始し、その結果を欧州委員会に報告する権限を与えることができるようになります。
To make sure that gatekeepers do not undermine the rules set out in the DMA, the regulation also enforces anti-circumvention provisions. ゲートキーパーがDMAで定められた規則を損なわないようにするため、同規則はまた、不正アクセス防止規定を施行します。
Link to the Digital Services Act (DSA) デジタルサービス法(DSA)へのリンク
The co-legislators agreed that, whereas economic concerns deriving from a gatekeeper’s data collection will be addressed in the DMA, wider societal concerns should be tackled in the Digital Services Act (DSA). An agreement on the DSA is also expected shortly. 共同立法者は、ゲートキーパーによるデータ収集から派生する経済的な懸念はDMAで、より広い社会的な懸念はデジタルサービス法(DSA)で取り組むべきであると合意した。DSAに関する合意も間もなく行われる予定です。
The DSA and the DMA will be the two pillars of digital regulation which respects European values and the European model, and will define a framework adapted to the economic and democratic footprint of digital giants. DSAとDMAは、欧州の価値観と欧州モデルを尊重するデジタル規制の2本柱となり、デジタル大手の経済的・民主的足跡に適応した枠組みを定義することになるでしょう。
Background 背景
The European Commission presented a digital services package comprising the Digital Services Act (DSA) and a Digital Markets Act (DMA) in December 2020. 欧州委員会は、2020年12月にデジタルサービス法(DSA)とデジタル市場法(DMA)からなるデジタルサービスパッケージを提示しました。
On 25 November 2021, less than a year after the start of negotiations in the Council, member states unanimously agreed on the Council’s position on the DMA. 理事会での交渉開始から1年も経たない2021年11月25日、加盟国はDMAに関する理事会の見解に全会一致で合意しました。
Next steps 次のステップ
The provisional agreement reached today is subject to approval by the Council and the European Parliament. The regulation must be implemented within six months after its entry into force. 本日達した暫定合意は、理事会および欧州議会の承認が条件となります。 また、同規則は発効後6カ月以内に実施されなければなりません。
On the Council’s side, the presidency aims to submit the agreement to the Permanent Representatives Committee (Coreper) for endorsement shortly. 理事会側では、議長国がこの合意を常設代表委員会(Coreper)に提出し、間もなく承認を得ることを目指しています。
European Commission proposal for a digital markets act 欧州委員会のデジタル市場法に関する提案
Council’s general approach 理事会の一般的な考え方
European parliament’s position 欧州議会の立場

 

 

European-council

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.18 JETRO EUデジタル政策の最新概要(2021年10月)

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

中国の話...

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

| | Comments (0)

2022.03.25

米国の「サイバーセキュリティに関するバイデン大統領の声明」を受けての日本政府の「サイバーセキュリティ対策の強化について注意喚起」

こんにちは、丸山満彦です。

経済産業省、総務省、警察庁、NISCが2022.03.24に「サイバーセキュリティ対策の強化について注意喚起」を行っていますね。。。

ロシア・ウクライナ問題に関連して(それ以外にもランサムウェアとエモテットも)ということで、2月23日、3月1日に続いての注意喚起です。。。

 

経済産業省

・2022.03.24 サイバーセキュリティ対策の強化について注意喚起を行います


1.概要

昨今のサイバー攻撃事案のリスクの高まりを踏まえ、政府においては、2月23日に「昨今の情勢を踏まえたサイバーセキュリティ対策の強化について(別添1)」、3月1日に「サイバーセキュリティ対策の強化について(別添2)」注意喚起を行っております。

その後も、国内では、ランサムウェアによる攻撃をはじめとするサイバー攻撃事案の報告が続いており、また、エモテットと呼ばれるマルウェアによる感染の増加も見られるところです。また、米国では、3月21日に、バイデン大統領が、国内の重要インフラ事業者等に対して、ロシアが潜在的なサイバー攻撃の選択肢を模索しており警戒を呼びかける声明を発表するとともに、企業等に対してサイバーセキュリティ対策を強化する具体策を提示しています。

このようなランサムウェアやエモテットなど現下の情勢を踏まえ、政府機関や重要インフラ事業者をはじめとする各企業・団体等においては、組織幹部のリーダーシップの下、サイバー攻撃の脅威に対する認識を深めるとともに、上記の2月23日及び3月1日の注意喚起にある対策(①リスク低減のための措置、②インシデントの早期検知、③インシデント発生時の適切な対処・回復)の徹底をあらためてお願いいたします。

また、ランサムウェアやエモテットについては、これまで専門機関等において公表している情報・サイトを確認の上、対応を講じるようお願いいたします。あわせて、不審な動き等を検知した場合は、速やかに所管省庁、セキュリティ関係機関に対して情報提供いただくとともに、警察にもご相談ください。

2.中小企業向け対策

自社がサイバー攻撃による被害を受けた場合、その影響は自社にとどまらず、サプライチェーン全体の事業活動に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組むことを推奨します。


総務省

・2022.03.24 現下の情勢を踏まえたサイバーセキュリティ対策の強化について (注意喚起)

警察庁

・2022.03.24 [PDF] 現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

NISC

・2022.03.24 [PDF] 現下の情勢を踏まえたサイバーセキュリティ対策の強化について(注意喚起)

 

ということですが、米国のバイデン大統領の声明等は、、、

 

White House

Fig1_20210802074601

・2022.03.21 Statement by President Biden on our Nation’s Cybersecurity

Statement by President Biden on our Nation’s Cybersecurity バイデン大統領による我が国のサイバーセキュリティに関する声明
This is a critical moment to accelerate our work to improve domestic cybersecurity and bolster our national resilience.  I have previously warned about the potential that Russia could conduct malicious cyber activity against the United States, including as a response to the unprecedented economic costs we’ve imposed on Russia alongside our allies and partners. It’s part of Russia’s playbook. Today, my Administration is reiterating those warnings based on evolving intelligence that the Russian Government is exploring options for potential cyberattacks. 今こそ、国内のサイバーセキュリティを向上させ、国家の強靭性を強化するための取り組みを加速させるべき重要な時です。  私は以前、同盟国やパートナーとともにロシアに課した前例のない経済的コストへの反応として、ロシアが米国に対して悪意のあるサイバー活動を行う可能性について警告しました。これはロシアの戦術の一部です。本日、ロシア政府がサイバー攻撃の可能性を探っているという新たな情報に基づいて、私の政権はこれらの警告を再確認しています。
From day one, my Administration has worked to strengthen our national cyber defenses, mandating extensive cybersecurity measures for the Federal Government and those critical infrastructure sectors where we have authority to do so, and creating innovative public-private partnerships and initiatives to enhance cybersecurity across all our critical infrastructure. Congress has partnered with us on these efforts — we appreciate that Members of Congress worked across the aisle to require companies to report cyber incidents to the United States Government. 初日から、私の政権は、連邦政府とその権限のある重要インフラ部門に広範なサイバーセキュリティ対策を義務付け、すべての重要インフラでサイバーセキュリティを強化するための革新的な官民パートナーシップとイニシアティブを構築し、国家のサイバー防衛の強化に努めてきました。議会はこれらの取り組みにおいて私たちと協力関係にあります。私たちは、議員たちが通路を越えて協力し、企業に米国政府へのサイバーインシデント報告を義務付けたことを高く評価しています。
My Administration will continue to use every tool to deter, disrupt, and if necessary, respond to cyberattacks against critical infrastructure. But the Federal Government can’t defend against this threat alone. Most of America’s critical infrastructure is owned and operated by the private sector and critical infrastructure owners and operators must accelerate efforts to lock their digital doors. The Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) has been actively working with organizations across critical infrastructure to rapidly share information and mitigation guidance to help protect their systems and networks 私の政権は、重要インフラに対するサイバー攻撃を阻止し、混乱させ、必要であれば対応するために、あらゆる手段を引き続き使用するつもりです。しかし、連邦政府だけではこの脅威から身を守ることはできません。米国の重要インフラのほとんどは民間企業によって所有・運営されており、重要インフラの所有者と運営者は、デジタルドアをロックする努力を加速させなければなりません。国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)は、重要インフラの各組織と積極的に協力し、システムやネットワークの保護に役立つ情報や緩和策を迅速に共有することに努めています。
If you have not already done so, I urge our private sector partners to harden your cyber defenses immediately by implementing the best practices we have developed together over the last year. You have the power, the capacity, and the responsibility to strengthen the cybersecurity and resilience of the critical services and technologies on which Americans rely. We need everyone to do their part to meet one of the defining threats of our time — your vigilance and urgency today can prevent or mitigate attacks tomorrow. まだの方は、私たちが昨年開発したベストプラクティスを実施し、直ちにサイバー防衛を強化するよう、民間企業のパートナーに強く求めます。皆さんには、米国人が依存する重要なサービスや技術のサイバーセキュリティと回復力を強化する力、能力、そして責任があります。私たちは、現代の決定的な脅威の1つに対応するために、すべての人が自分の役割を果たす必要があります。今日のあなたの警戒心と緊急性は、明日の攻撃を防止または軽減することができます。

 

・2022.03.21 FACT SHEET: Act Now to Protect Against Potential Cyberattacks

FACT SHEET: Act Now to Protect Against Potential Cyberattacks ファクトシート: 潜在的なサイバー攻撃から身を守るために今すぐ行動しよう
The Biden-Harris Administration has warned repeatedly about the potential for Russia to engage in malicious cyber activity against the United States in response to the unprecedented economic sanctions we have imposed.  There is now evolving intelligence that Russia may be exploring options for potential cyberattacks. バイデン=ハリス政権は、我々が課した前例のない経済制裁に対抗して、ロシアが米国に対して悪質なサイバー活動を行う可能性について繰り返し警告してきました。  現在、ロシアが潜在的なサイバー攻撃の選択肢を探っている可能性があるという情報が進展中です。
The Administration has prioritized strengthening cybersecurity defenses to prepare our Nation for threats since day one. President Biden’s Executive Order is modernizing the Federal Government defenses and improving the security of widely-used technology. The President has launched public-private action plans to shore up the cybersecurity of the electricity, pipeline, and water sectors and has directed Departments and Agencies to use all existing government authorities to mandate new cybersecurity and network defense measures. Internationally, the Administration brought together more than 30 allies and partners to cooperate to detect and disrupt ransomware threats, rallied G7 countries to hold accountable nations who harbor ransomware criminals, and taken steps with partners and allies to publicly attribute malicious activity. 米国政府は初日から、脅威に対する国家の備えとして、サイバーセキュリティの防御を強化することを優先してきました。バイデン大統領の大統領令は、連邦政府の防御を近代化し、広く使用されている技術のセキュリティを向上させるものです。大統領は、電力、パイプライン、水道部門のサイバーセキュリティを強化する官民の行動計画を立ち上げ、各省庁に対し、既存のあらゆる政府権限を用いて新たなサイバーセキュリティおよびネットワーク防御策を義務付けるように指示しました。国際的には、ランサムウェアの脅威を検出して破壊するために30以上の同盟国やパートナーを集め、ランサムウェアの犯罪者をかくまった国の責任を問うためにG7諸国を結集し、パートナーや同盟国とともに悪質な行為を公にするための措置を講じました。
We accelerated our work in November of last year as Russian President Vladimir Putin escalated his aggression ahead of his further invasion of Ukraine with extensive briefings and advisories to U.S. businesses regarding potential threats and cybersecurity protections. The U.S. Government will continue our efforts to provide resources and tools to the private sector, including via CISA’s Shields-Up campaign and we will do everything in our power to defend the Nation and respond to cyberattacks. But the reality is that much of the Nation’s critical infrastructure is owned and operated by the private sector and the private sector must act to protect the critical services on which all Americans rely. 昨年11月には、ロシアのウラジーミル・プーチン大統領がウクライナへのさらなる侵攻を前にして攻撃をエスカレートさせたため、潜在的な脅威とサイバーセキュリティ保護に関する米国企業への大規模な説明と勧告を行い、活動を加速させました。米国政府は、CISAのシールドアップキャンペーンを含め、民間企業にリソースやツールを提供する努力を続け、国家を防衛しサイバー攻撃に対応するために全力を尽くします。しかし、現実には、国家の重要インフラの多くが民間企業によって所有・運営されており、民間企業はすべてのアメリカ人が依存する重要サービスを保護するために行動しなければなりません。
We urge companies to execute the following steps with urgency: 我々は、企業が以下のステップを緊急に実行することを強く求めます。
・Mandate the use of multi-factor authentication on your systems to make it harder for attackers to get onto your system; ・攻撃者がシステムに侵入するのを困難にするため、システム上で多要素認証の使用を義務付けてください。
・Deploy modern security tools on your computers and devices to continuously look for and mitigate threats; ・コンピュータやデバイスに最新のセキュリティツールを導入し、継続的に脅威を発見し、軽減してください。
・Check with your cybersecurity professionals to make sure that your systems are patched and protected against all known vulnerabilities, and change passwords across your networks so that previously stolen credentials are useless to malicious actors; ・サイバーセキュリティの専門家に相談し、既知の脆弱性に対してパッチが適用され、システムが保護されていることを確認し、ネットワーク全体のパスワードを変更し、以前に盗まれた認証情報が悪意のある行為者にとって無用になるようにしてください。
・Back up your data and ensure you have offline backups beyond the reach of malicious actors; ・データをバックアップし、悪意ある者の手の届かないところにオフラインでバックアップしておいてください。
・Run exercises and drill your emergency plans so that you are prepared to respond quickly to minimize the impact of any attack; ・攻撃の影響を最小限に抑えるため、緊急時対応策の訓練や演習を行い、迅速に対応できるようにしてください。
・Encrypt your data so it cannot be used if it is stolen; ・データを暗号化し、盗まれても使用できないようにしてください。
・Educate your employees to common tactics that attackers will use over email or through websites, and encourage them to report if their computers or phones have shown unusual behavior, such as unusual crashes or operating very slowly; and ・攻撃者が電子メールやウェブサイトで使用する一般的な手口について従業員を教育し、コンピュータや携帯電話が異常にクラッシュしたり、動作が非常に遅くなるなどの異常な動作を示した場合は、報告するよう奨励します。
Engage proactively with your local FBI field office or CISA Regional Office to establish relationships in advance of any cyber incidents. Please encourage your IT and Security leadership to visit the websites of CISA and the FBI where they will find technical information and other useful resources. ・そして、地元のFBI支局やCISA地域事務局と積極的に関わり、サイバーインシデントに備えて関係を構築しておいてください。IT部門やセキュリティ部門のリーダーには、CISAやFBIのウェブサイトを訪問し、技術情報やその他の有用なリソースを入手するよう勧めてください。
We also must focus on bolstering America’s cybersecurity over the long term. We encourage technology and software companies to:  また、長期的に米国のサイバーセキュリティを強化することにも注力しなければなりません。私たちは、テクノロジーおよびソフトウェア企業に対して、次のことを推奨します。 
・Build security into your products from the ground up — “bake it in, don’t bolt it on” — to protect both your intellectual property and your customers’ privacy. ・自社の知的財産と顧客のプライバシーの両方を保護するために、製品に最初からセキュリティを組み込むこと(「bake it in, don't bolt it on」(ボルトで取り付けるのではなく、焼き付ける))。
・Develop software only on a system that is highly secure and accessible only to those actually working on a particular project.  This will make it much harder for an intruder to jump from system to system and compromise a product or steal your intellectual property. ・高度に安全で、特定のプロジェクトに実際に携わっている人たちだけがアクセスできるシステム上で、ソフトウェアを開発すること。  そうすれば、侵入者がシステムからシステムへ移動して、製品を危険にさらしたり、知的財産を盗んだりすることが非常に難しくなります。
・Use modern tools to check for known and potential vulnerabilities. Developers can fix most software vulnerabilities — if they know about them.  There are automated tools that can review code and find most coding errors before software ships, and before a malicious actor takes advantage of them.  ・既知および潜在的な脆弱性をチェックするために、最新のツールを使用する。開発者は、ソフトウェアの脆弱性のほとんどを修正することができます - 彼らがそれを知っていれば。  自動化されたツールは、ソフトウェアを出荷する前に、そして悪意ある行為者がそれを利用する前に、コードをレビューしてほとんどのコーディングエラーを発見することができます。 
・Software developers are responsible for all code used in their products, including open source code. Most software is built using many different components and libraries, much of which is open source.  Make sure developers know the provenance (i.e., origin) of components they are using and have a “software bill of materials” in case one of those components is later found to have a vulnerability so you can rapidly correct it.  ・ソフトウェア開発者は、オープンソースコードを含め、製品に使用されているすべてのコードに対して責任を負います。ほとんどのソフトウェアは、多くの異なるコンポーネントやライブラリを使用して構築されており、その多くはオープンソースです。  開発者は、使用しているコンポーネントの出所(起源)を把握し、それらのコンポーネントのいずれかに脆弱性があることが後で判明した場合に備えて「ソフトウェア部品表」を用意し、迅速に修正できるようにしてください。 
・Implement the security practices mandated in the President’s Executive Order, Improving our Nation’s Cybersecurity. Pursuant to that EO, all software the U.S. government purchases is now required to meet security standards in how it is built and deployed. We encourage you to follow those practices more broadly. ・大統領令「国家のサイバーセキュリティを改善する」で義務付けられているセキュリティ対策を実施する。この大統領令に基づき、米国政府が購入するすべてのソフトウェアは、その構築と展開の方法においてセキュリティ基準を満たすことが求められるようになりました。私たちは、より広範にこれらの慣行に従うことをお勧めします。

 

・2022.03.21 Press Briefing by Press Secretary Jen Psaki and Deputy NSA for Cyber and Emerging Technologies Anne Neuberger, March 21, 2022

サイバーセキュリティの部分だけ。。。その後にウクライナ問題(中国の対応も含む)の質疑が続き、興味深いのですが、、、

 

Press Briefing by Press Secretary Jen Psaki and Deputy NSA for Cyber and Emerging Technologies Anne Neuberger, March 21, 2022 ジェン・プサキ報道官とアン・ニューバーガーNSAサイバー・エマージング・テクノロジー担当副長官によるプレス・ブリーフィング(2022年3月21日)。
2:45 P.M. EDT 2:45 P.M. EDT
MS. PSAKI:  Hi, everyone.  Okay, we have a very special return guest today, Deputy National Security Advisor Anne Neuberger, who is here to provide a brief update on cyber.  You probably have seen the statement from the President we issued, as well as a factsheet; she’ll talk about that.  Has a little bit of time to take some questions, and then we’ll do a briefing from there. サキ報道官: 皆さん、こんにちは。  今日は特別に、アン・ノイバーガー国家安全保障副顧問にお越しいただき、サイバーに関する簡単な最新情報をお伝えします。  おそらく皆さんは、私たちが発表した大統領声明とファクトシートをご覧になったと思いますが、それについてお話します。  少し質問を受ける時間がありますので、そこからブリーフィングを行います。
With that, I’ll turn it over to Anne. それでは、アンさんにバトンタッチします。
MS. NEUBERGER:  Thank you, Jen.  Good afternoon, everyone. ノイバーガー副顧問: ありがとうございます、ジェン。  皆さん、こんにちは。
This afternoon, the President released a statement and factsheet regarding cyber threats to the homeland, urging private sector partners to take immediate action to shore up their defenses against potential cyberattacks. 本日午後、大統領は国土へのサイバー脅威に関する声明とファクトシートを発表し、民間セクターのパートナーに対し、潜在的なサイバー攻撃に対する防御を強化するために直ちに行動を起こすよう要請しました。
We’ve previously warned about the potential for Russia to conduct cyberattacks against the United States, including as a response to the unprecedented economic costs that the U.S. and Allies and partners imposed in response to Russia’s further invasion of Ukraine. 我々は以前から、ロシアが米国に対してサイバー攻撃を行う可能性について警告してきました。その中には、ロシアによるウクライナへのさらなる侵攻に対して、米国と同盟国およびパートナーが課した前例のない経済コストに対する反応としてのものも含まれています。
Today, we are reiterating those warnings, and we’re doing so based on evolving threat intelligence that the Russian government is exploring options for potential cyberattacks on critical infrastructure in the United States. 本日、私たちはこれらの警告を繰り返し、ロシア政府が米国の重要インフラに対する潜在的なサイバー攻撃のオプションを模索しているという進化した脅威情報に基づいて、この警告を行なっています。
To be clear, there is no certainty there will be a cyber incident on critical infrastructure.  So why am I here?  Because this is a call to action and a call to responsibility for all of us.  はっきり言えば、重要インフラへのサイバー攻撃が必ず起こるというわけではありません。  では、なぜ私がここにいるのか?  それは、これは私たち全員への行動要請であり、責任追及の呼びかけだからです。 
At the President’s direction, the administration has worked extensively over the last year to prepare to meet this sort of threat, providing unprecedented warning and advice to the private sector and mandating cybersecurity measures where we have the authority to do so. 大統領の指示のもと、行政は昨年、この種の脅威に備えるために広範囲に働きかけ、民間部門に前例のない警告と助言を与え、権限のあるところにはサイバーセキュリティ対策を義務付けてきました。
For example, just last week, federal agencies convened more than 100 companies to share new cybersecurity threat information in light of this evolving threat intelligence.  During those meetings, we shared resources and tools to help companies harden their security, like advisories sourced from sensitive threat intelligence and hands-on support from local FBI field offices and sister regional offices, including their Shields Up program. 例えば、先週、連邦政府機関は100社以上の企業を招集し、この進化する脅威情報を踏まえて、新たなサイバーセキュリティ脅威情報を共有したところです。  この会議では、機密性の高い脅威情報を基にした勧告や、FBI の地方支局および姉妹支局による実地支援(Shields Up プログラムなど)など、企業のセキュリティ強化を支援するリソースやツールも共有しました。
The meeting was part of an extensive cybersecurity resilience effort that we began in the fall, prompted by the President.  Agencies like Energy, EPA, Treasury, and DHS have hosted both classified and unclassified briefings with hundreds of owners and operators of privately owned critical infrastructure.  CISA, NSA, and FBI have published cybersecurity advisories that set out protections the private sector can deploy to improve security.  この会議は、大統領に促されて秋に開始したサイバーセキュリティの回復に向けた広範な取り組みの一環として行われたものです。  エネルギー省、環境保護庁、財務省、DHSなどの機関は、民間が所有する重要インフラの所有者や運営者を対象に、機密・非機密の両面で説明会を開催してきました。  CISA、NSA、FBIは、民間企業がセキュリティ向上のために導入できる保護策を示したサイバーセキュリティアドバイザリーを発表しました。 
The President has also directed departments and agencies to use all existing government authorities to mandate new cybersecurity and network defense measures.  You’ve seen us do that where we have the authority to do so, including TSA’s work that mandated directives for the oil and gas pipelines following the Colonial Pipeline incident that highlighted the significant gaps in resilience for that sector. また、大統領は各省庁に対し、既存のあらゆる政府権限を用いて、新たなサイバーセキュリティおよびネットワーク防御対策を義務付けるよう指示しました。  例えば、コロニアル・パイプライン事件では、石油・ガスパイプラインの回復力に大きなギャップがあることが明らかになりましたが、TSA はこの事件を受けて、石油・ガスパイプラインに対する指令の策定を義務付けるなど、権限があるところでは私たちがそれを行っているのを皆さんはご存知でしょう。
Our efforts together over the past year has helped drive much-needed and significant improvements.  But there’s so much more we need to do to have the confidence that we’ve locked our digital doors, particularly for the critical services Americans rely on. この1年間、私たちは共に努力し、必要とされる重要な改善を推進することができました。  しかし、特に米国人が依存している重要なサービスにおいて、デジタルドアをロックしたと確信するためには、さらに多くのことを行う必要があります。
The majority of our critical infrastructure, as you know, is owned and operated by the private sector.  And those owners and operators have the ability and the responsibility to harden the systems and networks we all rely on. ご存知のように、重要インフラの大部分は民間企業によって所有・運営されています。  そして、これらの所有者や運営者は、私たち全員が依存しているシステムやネットワークを強化する能力と責任を持っています。
Notwithstanding these repeated warnings, we continue to see adversaries compromising systems that use known vulnerabilities for which there are patches.  This is deeply troubling. このような再三の警告にもかかわらず、敵対者は、パッチが存在する既知の脆弱性を利用して、システムを侵害するケースが後を絶ちません。  これは非常に困ったことです。
So we’re urging, today, companies to take the steps within your control to act immediately to protect the services millions of Americans rely on and to use the resources the federal government makes available.  The factsheet released alongside the President’s statement contains the specific actions that we’re calling companies to do.  そこで本日、私たちは企業に対して、何百万人ものアメリカ人が信頼しているサービスを保護するために、自分の手の届く範囲で直ちに行動し、連邦政府が提供するリソースを利用するよう求めています。  大統領の声明と同時に発表されたファクトシートには、私たちが企業に呼びかけている具体的なアクションが記載されています。 
I would be remiss if I didn’t reiterate the President’s thanks to Congress for its partnership in this effort, including making cybersecurity resources available in the Bipartisan Infrastructure Law and, most recently, for working across the aisle to require companies to report cyber incidents to the federal government.  That will ensure federal resources are focused on the most important cyber threats to the American people. 超党派インフラ法においてサイバーセキュリティのリソースを利用できるようにしたこと、また最近では、企業がサイバーインシデントを連邦政府に報告することを義務付けるために、党派を超えて協力したことなど、この取り組みにおける議会の協力に対して、大統領から改めて謝意を表明しないのは不注意と言わざるを得ません。  これにより、連邦政府のリソースが米国民にとって最も重要なサイバー脅威に集中することが保証されます。
We welcome additional congressional work to identify new authorities that can help address gaps and drive down collective cybersecurity risk. 私たちは、サイバーセキュリティのリスクに対処するための新たな権限を特定するための議会のさらなる活動を歓迎します。
Bottom line: This is about us — the work we need to do to lock our digital doors and to put the country in the best defensive position. 結論 これは私たちのことであり、私たちのデジタル・ドアをロックし、国を最高の防御態勢に置くために必要な作業です。
And there is them.  As the President has said: The United States is not seeking confrontation with Russia.  But he has also said that if Russia conducts disruptive cyberattacks against critical infrastructure, we will be prepared to respond. そして、彼らです。  大統領も言っています。米国はロシアとの対立を望んでいません。  しかし、ロシアが重要なインフラに対して破壊的なサイバー攻撃を行った場合、我々は対応する用意があるとも言っています。
Thank you. ありがとうございました。
MS. PSAKI:  All right.  Let me just first ask, for those of you in the aisles, if you’re not a photographer, there’s plenty of seats.  So if you could sit down, that would be great, and not crowd the others in the seats. サキ報道官: ありがとうございます。  最初にお伺いしますが、通路にいらっしゃる方、もしカメラマンでなければ、席はたくさんあります。  他の方と混雑しないように、座っていただけると助かります。
So, we don’t have unlimited time, so if people — we just want to get to as many people as possible. 時間が無制限にあるわけではないので、できるだけ多くの人に参加してもらいたいのです。
So, go ahead. では、どうぞ。
Q    Thank you, Jen.  Hi, Anne.  Just a quick question on the Viasat attack that happened on the 24th of Feb, the day Russia attacked Ukraine.  We’ve obviously seen that impact satellite communication networks in Eastern Europe.  And since then, the FBI and CISA have issued warnings that similar attacks can happen against U.S. companies. Q ありがとうございます、ジェン。  こんにちは、アン。  2月24日、ロシアがウクライナを攻撃した日に起こったViasatの攻撃についてちょっと質問です。  東欧の衛星通信ネットワークに影響を与えたことは明らかです。  それ以来 FBI と CISA は同様の攻撃が米国企業にも起こりうるという警告を発しています。
Is the U- — is the U.S. in a position to perhaps identify who is behind the hack at this moment? 米国は、現時点でハッキングの背後にいる人物を特定できる立場にあるのでしょうか。
MS. NEUBERGER:  It’s a really good question.  So, first, I want to lift up: FBI and CISA and NSA also highlighted protective security measures that U.S. companies can put in place to protect against exactly that kind of attack.  We have not yet attributed that attack, but we’re carefully looking at it because, as you noted, of the impact not only in Ukraine but also in satellite communication systems in Europe as well. ノイバーガー副顧問:実にいい質問ですね。  そこで、まず、持ち上げておきたいことがあります。FBI と CISA と NSA は、まさにその種の攻撃から守るために、米国企業が導入可能な保護的なセキュリティ対策も強調しています。  しかし、ご指摘の通り、ウクライナだけでなく、欧州の衛星通信システムにも影響があるため、我々は慎重に調査しています。
Q    Does the sophistication of the attack, perhaps the timing of it, suggest that it’s a state actor?  I mean, are you willing to — Q 攻撃の精巧さ、おそらくそのタイミングは、国家的な行為であることを示唆しているのでしょうか。  つまり、あなたは喜んで...
MS. NEUBERGER:  Those are certainly factors that are — we’re looking at carefully as we look at who is responsible for them. ノイバーガー副顧問:これらは確かに要因の一つであり、私たちは誰の仕業であるかを注意深く見ています。
MS. PSAKI:  Phil. サキ報道官: フィル。
Q    The “evolving intelligence,” it doesn’t mean that it’s a certainty there’s going to be an attack.  Can you explain for the layman what you’re seeing right now that precipitated this statement today, and what the evolving intelligence may be now compared to on the 24th or prior to the invasion? Q 「進化する情報」とは、攻撃があることが確実だという意味ではありませんね。  また、24日や侵攻前と比較して、進化する情報はどのようなものなのでしょうか?
MS. NEUBERGER:  Absolutely.  So, the first part of that is: You’ve seen the administration continuously lean forward and share even fragmentary pieces of information we have to drive and ensure maximum preparedness by the private sector. ノイバーガー副顧問:もちろんです。  まず、その最初の部分は 民間部門が最大限の備えをするために、政権が絶えず身を乗り出して、断片的な情報でも共有しているのをご存じでしょう。
So as soon as we learned about that, last week we hosted classified briefings with companies and sectors who we felt would be most affected, and provided very practical, focused advice. そのため、先週は、この事態を知るや否や、最も影響を受けると思われる企業やセクターに対して機密扱いのブリーフィングを行い、非常に実践的で集中的なアドバイスを提供しました。
Today’s broader, unclassified briefing is to raise that broader awareness and to raise that call to action. 本日は、そのような幅広い意識を高め、行動を喚起するための、より広範な非公開のブリーフィングを行います。
Q    So there was something specific you saw last week that was raised to the industries that it would have affected, is what you’re saying? Q つまり、先週見た中で、影響を受けるであろう業界に提起した具体的なものがあったということですね?
MS. NEUBERGER:  So I want to reiterate: There is no evidence of any — of any specific cyberattack that we’re anticipating for.  There is some preparatory activity that we’re seeing, and that is what we shared in a classified context with companies who we thought might be affected.  And then we’re lifting up a broader awareness here in this — in this warning. ノイバーガー副顧問: ですから、もう一度申し上げます。私たちが予期しているような具体的なサイバー攻撃の証拠はありません。  私たちが見ているのはいくつかの準備活動で、それは私たちが影響を受けるかもしれないと考えた企業と機密扱いで共有したものです。  そして、この警告の中で、より広い範囲での認識を高めています。
MS. PSAKI:  Major? サキ報道官: メジャー?
Q    Hey, Anne.  When you say a “call to action,” many who hear you say that might believe that something is imminent.  Is it? Q やあ、アン。  あなたが「行動を喚起する」と言うと、それを聞いた多くの人は何かが差し迫っていると考えるかもしれません。  そうでしょうか?
MS. NEUBERGER:  So, first, a “call to action” is because there are cyberattacks that occur every day.  Hundreds of millions of dollars were paid in ransoms by U.S. companies just last year against criminal activity happening in the U.S. today. Every single day, there should be a call to action. ノイバーガー副顧問: まず、「行動への呼びかけ」というのは、毎日のようにサイバー攻撃が行われているからです。  今日、米国で起きている犯罪行為に対して、昨年だけでも数億ドルの身代金が米国企業によって支払われています。毎日、行動への呼びかけが必要です。
We’re using the opportunity of this evolving threat intelligence regarding potential cyberattacks against critical infrastructure to reiterate those with additional focus specifically to critical infrastructure owners and operators to say, “You have the responsibility to take these steps to protect the critical services Americans rely on.” 私たちは、重要インフラに対するサイバー攻撃の可能性に関する脅威情報が進化しているこの機会を利用して、特に重要インフラの所有者や運営者に対して、「あなた方には、アメリカ人が依存する重要なサービスを保護するためにこれらの措置を取る責任があります」と、さらに焦点を絞ってこれらを繰り返し伝えているのです。
Q    And as a follow-up: “Critical infrastructure” is a broad term.  Is it as broad as you typically mean it when the government speaks about critical infrastructure, or is there something you’ve seen that you can be more — a little bit more specific within that large frame of critical infrastructure? Q 補足ですが、「重要インフラ」というのは幅広い言葉ですね。  それとも、重要インフラという大きな枠の中で、より-もう少し-具体的に説明できるようなことがあるのでしょうか?
MS. NEUBERGER:  I won’t get into specific sectors at this time, because the steps that are needed to lock our digital doors need to be done across every sector of critical infrastructure.  And even those sectors that we do not see any specific threat intelligence for, we truly want those sectors to double down and do the work that’s needed. ノイバーガー副顧問:デジタルドアをロックするために必要な措置は、重要インフラのすべてのセクターで実施する必要があるからです。  また、具体的な脅威情報がないセクターについても、そのセクターが必要な作業を倍加して行うことを望んでいます。
MS. PSAKI:  Jacqui. サキ報道官: ジャッキー。
Q    You guys, the administration, successfully declassified a lot of intelligence about what the Russians were planning leading up to the invasion to prebut what they might do.  Can you do that a little bit here and at least list some of the industries that might be the biggest targets so that they can have a heightened awareness about what might be coming? Q あなた方政権は、ロシアが侵攻前に何を計画していたか、何をしでかすかについての多くの情報の機密指定を解除することに成功しました。  ここでそれを少しやって、少なくとも最大のターゲットになりそうな産業をいくつか挙げて、これから起こるかもしれないことについて意識を高めてもらうことはできませんか?
MS. NEUBERGER:  As we consider declassifying intelligence, to your excellent point, that really has been the work that has been done the last few weeks and was driven by a focus on outcomes.  It was driven by the President’s desire to avoid war at all costs, to really invest in diplomacy. ノイバーガー副顧問:情報の機密解除を検討する上で、ご指摘の通り、ここ数週間は成果を重視した作業が行われてきました。  戦争は何としても避け、外交に力を入れたいという大統領の意向に従ったものです。
So, as we consider this information, the first step we did was we gave classified, detailed briefings to the companies and sectors for which we had some preparatory information about.  And then for those where we don’t, that’s the purpose of today’s unclassified briefing: to give that broad warning.  And I want to lift up the factsheet, which is really the call to action for specific activities to do. そこで、これらの情報を検討する中で、まず、準備のための情報がある企業や分野に対しては、機密扱いで詳細なブリーフィングを行いました。  そして、そうでないものについては、今日の非機密のブリーフィングの目的である、幅広い警告を与えることです。  そして、具体的な活動を呼びかけるファクトシートも公開したいと思います。
Q    So you believe the people, the industries that need to know about this risk know? Q では、このリスクについて知る必要のある人々や業界は知っているとお考えですか?
MS. NEUBERGER:  We believe the key entities who need to know have been provided classified briefings.  I mentioned, for example, just last week, several hundred companies were brought in to get that briefing. ノイバーガー副顧問:知る必要のある重要な団体には、機密扱いのブリーフィングが提供されていると考えています。  例えば、先週、数百の企業がそのブリーフィングを受けるために集められたと申し上げました。
MS. PSAKI:  Peter. サキ報道官:ピーター
Q    Does the U.S. have any evidence that Russia has attempted a hack, either here in the U.S., in Europe, or in Ukraine, over the course of the last several weeks since this offensive began? Q この攻勢が始まってからこの数週間の間に、ロシアが米国内、欧州、ウクライナでハッキングを試みたという証拠を米国は持っているのでしょうか?
MS. NEUBERGER:  So, we certainly believe that Russia has conducted cyberattacks to undermine, coerce, and destabilize Ukraine.  And we attributed some of those a couple of weeks ago. ノイバーガー副顧問:私たちは、ロシアがウクライナを弱体化させ、強制し、不安定化させるためにサイバー攻撃を行ったと確信しています。  そして、私たちは2週間前にそのうちのいくつかを指摘しました。
We consistently see nation states doing preparatory activity.  That preparatory activity can pan out to become an incident; it cannot.  And that’s the reason we’re here. 私たちは一貫して、国家が準備活動を行うのを見てきました。  このような準備活動は、インシデントに発展することもあれば、発展しないこともあります。  それが、私たちがここにいる理由です。
Q    So, specifically in the U.S., as there was an assessment early on that we thought that we would be a likely target here, why do you think we have not seen any attack on critical infrastructure in the United States to this point so far? Q では、特に米国において、早い段階から私たちは米国が標的になる可能性が高いと評価していましたが、これまでのところ、米国で重要インフラへの攻撃が見られないのはなぜだと思われますか?
MS. NEUBERGER:  I can’t speak to Putin or Russian leadership’s strategic thinking regarding how cyberattacks factor in. ノイバーガー副顧問:プーチンやロシア指導部の戦略的思考について、サイバー攻撃がどのような影響を及ぼすかについて、私は言及することができません。
What I can speak to is the preparatory work we’ve been doing here in the U.S. and the fact that as soon as we have some evolving threat intelligence regarding a shift in that intention, that were coming out and raising the awareness to heighten our preparedness as well. 私たちが米国で行ってきた準備作業と、その意図の変化に関する脅威の情報が入り次第、すぐに公表し、私たちの準備態勢を強化するために意識を高めてきたという事実をお話しすることは可能です。
Q    So you can’t say declaratively that we stopped an attack, I guess I’m saying, to this point on critical infrastructure? Q つまり、重要インフラへの攻撃を阻止したと断言することはできないのですね。
MS. NEUBERGER:  Correct. ノイバーガー副顧問: その通りです。
Q    Okay.  Thank you. Q わかりました。  ありがとうございました。
MS. PSAKI:  Colleen. サキ報道官: コリーンさん。
Q    Can you explain a little bit more what preparatory activity on the part of the Russians would be?  What does that look like? Q ロシア側の準備活動とはどのようなものか、もう少し説明してもらえますか?  それはどのようなものですか?
MS. NEUBERGER:  So, preparatory activity could mean scanning websites; it could be hunting for vulnerabilities. There’s a range of activity that malicious cyber actors use, whether they’re nation state or criminals. ノイバーガー副顧問:準備活動とは、ウェブサイトをスキャンすることかもしれませんし、脆弱性を探し出すことかもしれません。悪意のあるサイバーアクターが用いる活動は、それが国家であろうと犯罪者であろうと、さまざまなものがあります。
The most troubling piece and really one I mentioned a moment ago is we continue to see known vulnerabilities, for which we have patches available, used by even sophisticated cyber actors to compromise American companies, to compromise companies around the world.  And that’s one of the reasons — and that makes it far easier for attackers than it needs to be. 最も厄介なのは、先ほど申し上げたように、パッチが提供されている既知の脆弱性が、巧妙なサイバー行為者によって利用され、米国企業や世界中の企業を危険にさらす事例が後を絶たないという点です。  そのため、攻撃者は必要以上に簡単に攻撃できるようになっています。
It’s kind of — you know, I joke — I grew up in New York — you had a lock and an alarm system.  The houses that didn’t or left the door open clearly were making it easier than they should have.  Right?  No comment about New York.  (Laughter.) 私はニューヨークで育ったのですが、鍵や警報装置があるのが当たり前でした。  そうでない家やドアを開けっ放しにしている家は、明らかに必要以上に攻撃をしやすくしているんです。  そうでしょう?  ニューヨークのことはノーコメントです。  (笑)。
So, clearly what we’re asking for is: Lock your digital doors.  Make it harder for attackers.  Make them do more work.  Because a number of the practices we include in the factsheet will make it significantly harder, even for a sophisticated actor, to compromise a network. ですから、私たちが求めているのは、はっきりとこうです。デジタルのドアに鍵をかけなさい。  攻撃者にとってより困難なものにすること。  攻撃者にもっと仕事をさせることです。  なぜなら、このファクトシートに記載されている多くの実践は、洗練された攻撃者にとっても、ネットワークを侵害することを著しく困難にするからです。
MS. PSAKI:  Go ahead. サキ報道官:続けてください。
Q    Sorry, just to be clear: The warning today, is this in response to some of these more desperate tactics we’ve seen from Russia on ground?  Are you now fearing that there might be more of a cyber risk because of what we’re seeing on the ground in Ukraine?  Q すみません、はっきりさせておきたいのですが、今日の警告は、私たちが地上で目にしたロシアのより絶望的な戦術に対応するものなのでしょうか?  ウクライナで起きていることを受けて、サイバーリスクが高まることを懸念しているのでしょうか? 
MS. NEUBERGER:  So, we’ve given a number of threat intel- — of threat warnings over the last number of weeks that Russia could consider conducting cyberattacks in response to the very significant economic costs the U.S. and partners have put on Russia in response.  This speaks to evolving threat intelligence and a potential shift in intention to do so. ノイバーガー副顧問: ここ数週間、私たちは、米国とパートナー諸国がロシアに課した多大な経済的コストに対抗して、ロシアがサイバー攻撃を行う可能性があるという脅威情報を何度も警告しています。  これは、脅威の情報が進化していることと、その意図が変化する可能性があることを物語っています。
Q    And do you have a message for individuals?  You’re talking a lot about private companies.  What about households?  Should they be worried about cyberattacks here? Q そして、個人へのメッセージはありますか?  あなたは民間企業について多くのことを語っています。  一般家庭はどうでしょうか。  サイバー攻撃について心配する必要があるのでしょうか?
MS. NEUBERGER:  The items in the factsheet apply to companies and individuals as well.  I’m specifically speaking to companies because there’s a responsibility to protect the critical services Americans rely on.  But every individual should take a look at that fact sheet because it’s a truly helpful one.  We only put in place the things that we really try to practice and work to practice ourselves. ノイバーガー副顧問:ファクトシートの項目は、企業にも個人にも適用されます。  特に企業についてお話しするのは、米国人が依存する重要なサービスを保護する責任があるからです。  しかし、このファクトシートは本当に役に立つものなので、すべての個人が目を通すべきでしょう。  私たちは、自分たちが本当に実践しようと努力したものだけを導入しています。
MS. PSAKI:  Jordan. サキ報道官:ジョーダン。
Q    Thanks.  As part of this preparatory activity, do you have evidence that Russian hackers have infiltrated the networks of U.S. companies already and just haven’t carried out the attacks? Q ありがとうございます。  この準備活動の一環として、ロシアのハッカーがすでに米国企業のネットワークに侵入しており、攻撃を実行していないだけだという証拠はあるのでしょうか?
MS. NEUBERGER:  There was — as I noted, we frequently see preparatory activity.  Whenever we do, we do sensitive warnings to the individual companies and provide them information to ensure they can look quickly at their networks and remediate what may be occurring. ノイバーガー副顧問:ありました。先ほど申し上げたように、私たちは頻繁に準備活動を目にします。  その都度、個々の企業に対して敏感な警告を行い、彼らが迅速に自社のネットワークを見て、発生している可能性があるものを修正できるように情報を提供しています。
Q    So have you seen any evidence that there have been infiltrations as part of that activity? Q では、そのような活動の一環として侵入があったという証拠を見たことがありますか?
MS. NEUBERGER:  We routinely see information about infiltrations.  Right?  Technology is not as secure as it needs to be.  I mentioned the ransomware activity.  There are multiple nation-state actors.  It’s a line of work for the intelligence community and the FBI to knock on a company’s door and say, “We’ve seen some evidence of an intrusion.  We’ll work with you.  We’ll make these resources available via a regional office to work with you to help you recover.”  That’s — that’s pretty routine practice.  ノイバーガー副顧問:私たちは日常的に侵入に関する情報を目にしています。  そうでしょう?  テクノロジーは必要なほど安全ではありません。  ランサムウェアの活動については触れました。  国民国家のアクターは複数存在します。  情報機関やFBIが企業のドアを叩いて、「侵入の証拠を見つけました」と言うのは一種の仕事です。  私たちはあなたと一緒に仕事をします。  地域事務所を通じて、復旧に必要なリソースを提供します」と言うのです。  これはごく日常的なことです。 
What we’re seeing now is an evolving threat intelligence to conduct potential cyberattacks on critical infrastructure.  And that raises up a point because we’re concerned about potential disruption of critical services. 今、私たちが目にするのは、重要インフラに対する潜在的なサイバー攻撃を行うための脅威情報が進化していることです。  私たちは、重要なサービスが中断される可能性を懸念しているため、この点が重要なのです。
MS. PSAKI:  Ken. サキ報道官: ケン。
Q    Anne, you did a briefing for us about a month ago.  Do you think the U.S. banking system is more vulnerable, less vulnerable since the briefing, given the warnings that the government has produced? Q アン、あなたは1ヶ月ほど前に私たちのためにブリーフィングを行いましたね。  政府が出した警告を踏まえて、ブリーフィング以降、米国の銀行システムはより脆弱になったと思いますか、あるいは脆弱ではなくなったと思いますか?
MS. NEUBERGER:  The U.S. banking sector truly takes cyber threats seriously, both individually and as a group.  Treasury has worked extensively with the sector to share sensitive threat intelligence at the executive level, at the security executive level, repeatedly at the classified and unclassified level.  So, I do not believe they’re more at risk, but it is always important for every critical infrastructure sector to double down in this heightened period of geopolitical tension to carefully look at any threat. ノイバーガー副顧問:米国の銀行セクターは、個人としてもグループとしても、サイバーの脅威を真摯に受け止めています。  財務省は銀行セクターと幅広く協力し、機密性の高い脅威情報を役員レベル、セキュリティ担当役員レベル、機密・非密室レベルで繰り返し共有してきました。  しかし、地政学的な緊張が高まっている今、あらゆる重要なインフラ部門にとって、あらゆる脅威を慎重に見極め、対策を強化することが常に重要です。
MS. PSAKI:  Go ahead. サキ報道官: どうぞ。
Q    Can you paint a worst-case scenario picture for us?  What exactly are you most worried about if people — the private sector chooses to not take these steps? Q 最悪のシナリオを描いていただけませんか?  民間企業がこうした措置をとらなかった場合、具体的に何が最も心配なのでしょうか?
MS. NEUBERGER:  Clearly, what we’re always — I won’t get into hypotheticals, right?  But the reason I’m here is because critical infrastructure — power, water, many hospitals — in the United States are owned by the private sector.  And while the federal government makes extensive resources available — I mentioned FBI’s 56 regional offices — you can just walk in; CISA has offices near most FEMA sites in the United States.  They’ve had their Shields Up program.  We can make those resources available.  For those sectors where we can mandate measures like oil and gas pipelines, we have.  But it’s ultimately the private sector’s responsibility, in our current authority structure, to do those steps, to use those resources to take those steps.  ノイバーガー副顧問:明らかに、私たちはいつも - 仮説には立ち入りませんね?  しかし、私がここにいるのは、米国の重要なインフラ(電力、水、多くの病院)が民間企業によって所有されているからです。  FBIの56の地域事務所を紹介しましたが、CISAは全米のほとんどのFEMA施設の近くに事務所を構えており、そこに行けばすぐに利用できます。  また、CISAは全米のほとんどのFEMA施設の近くにオフィスを構えており、「シールドアップ・プログラム」を実施しています。  このようなリソースを利用することができます。  石油やガスのパイプラインのように、私たちが対策を義務付けることができる分野では、そうしています。  しかし、現在の権限構造では、対策を講じたり、対策に必要なリソースを利用したりするのは、最終的には民間企業の責任です。 
So, the purpose here is to say: Americans rely on those critical services.  Please act.  And we’re here to support with the resources we have. つまり、ここでの目的は、こう言うことなのです。アメリカ人はこれらの重要なサービスに依存しています。  どうか行動を起こしてください。  そして、私たちは持てるリソースでサポートします。
MS. PSAKI:  Kayla, last one. サキ報道官: カイラ、最後です。
Q    Thank you.  Anne, are you still seeing the Russians carrying out cyberattacks inside Ukraine?  It’s been a few weeks since we’ve been discussing that in particular. Q ありがとうございます。  アン、ロシアはまだウクライナ国内でサイバー攻撃を行っているのでしょうか?  特にそれについて議論していたのは数週間前のことです。
And as financial tools levied by the West have proven ineffective, what cyber tools does the West have that it can possibly utilize? また、西側諸国が行使する金融手段は効果がないことが証明されていますが、西側諸国が活用できる可能性のあるサイバーツールは何でしょうか?
MS. NEUBERGER:  We do continue to see Russia conducting both — as you know, right? — significant malicious activity in Ukraine; major kinetic attacks, which have disrupted and killed lives; as well as cyber activity.  And we believe the unprecedented economic costs the United States and partners have levied is significant in that way.  ノイバーガー副顧問:ロシアは引き続き、ご存じのように、両方の活動を展開していますね。- ウクライナにおける重大な悪意ある活動、人命を危険にさらす大規模な運動攻撃、そしてサイバー活動。  そして、米国とパートナー諸国がこれまでにない経済的犠牲を払っていることは、その意味で重要であると考えています。 
With regard to your question about whether cyberattacks would change that: I think the President was very clear we’re not looking for a conflict with Russia.  If Russia initiates a cyberattack against the United States, we will respond. サイバー攻撃で変わるかどうかという質問については、その通りです。大統領は、私たちがロシアとの紛争を望んでいるわけではないことを明確に述べたと思います。  ロシアが米国に対してサイバー攻撃を仕掛けた場合、我々は対応することになります。
MS. PSAKI:  Thank you, Anne, so much for joining us. サキ報道官:アン、ありがとうございました。
MS. NEUBERGER:  Thank you.  Thank you for having me.  ノイバーガー副顧問:ありがとうございます。  お招きいただき、ありがとうございます。 

| | Comments (0)

2022.03.24

欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案

こんにちは、丸山満彦です。

欧州委員会は、欧州議会、機関等のサイバーセキュリティを強化する規則案を公表していますね。。。

CERT-EUの権限の拡大等を含む内容で、EUに関連する組織間の連携を強化することが重要であるということなんでしょうね。。。

セキュリティ対策に必要なリソースを準備すること、定期的な成熟度の評価、インシデント情報等のCERT-EUへの報告等が含まれていますね。。。

分析はまだですが、、、

 

Europian Commission

・2022.03.22 (press) New rules to boost cybersecurity and information security in EU institutions, bodies, offices and agencies

New rules to boost cybersecurity and information security in EU institutions, bodies, offices and agencies EUの機構・団体・事務局・機関においてサイバーセキュリティと情報セキュリティを強化するための新しい規則
Today, the Commission proposed new rules to establish common cybersecurity and information security measures across the EU institutions, bodies, offices and agencies. The proposal aims to bolster their resilience and response capacities against cyber threats and incidents, as well as to ensure a resilient, secure EU public administration, amidst rising malicious cyber activities in the global landscape.  本日、欧州委員会は、EUの機関・団体・事務所・機関全体に共通するサイバーセキュリティおよび情報セキュリティ対策を確立するための新たな規則を提案しました。この提案は、世界的に悪質なサイバー活動が増加する中、サイバー上の脅威や事件に対する耐性と対応能力を強化し、弾力的で安全なEU行政を確保することを目的としています。 
Commissioner for Budget and Administration, Johannes Hahn, said: “In a connected environment, a single cybersecurity incident can affect an entire organisation. This is why it is critical to build a strong shield against cyber threats and incidents that could disturb our capacity to act. The regulations we are proposing today are a milestone in the EU cybersecurity and information security landscape. They are based on reinforced cooperation and mutual support among EU institutions, bodies, offices and agencies and on a coordinated preparedness and response. This is a real EU collective endeavour.” ヨハネス・ハーン予算行政担当委員は、次のように述べています。「接続された環境では、たったひとつのサイバーセキュリティの事故が組織全体に影響を及ぼしかねなません。このため、我々の行動能力を乱す可能性のあるサイバー脅威やインシデントに対して、強力なシールドを構築することが極めて重要です。我々が本日提案する規則は、EUのサイバーセキュリティと情報セキュリティの状況において画期的なものです。この規則は、EUの機関・団体・事務局・機関間の協力と相互支援の強化、および調整された準備と対応に基づくものです。 これは、EUの真の集団的努力です」。
In the context of the COVID-19 pandemic and the growing geopolitical challenges, a joint approach to cybersecurity and information security is a must. With this in mind, the Commission has proposed a Cybersecurity Regulation and an Information Security Regulation. By setting common priorities and frameworks, these rules will further strengthen inter-institutional cooperation, minimise risk exposure and further strengthen the EU security culture. COVID-19の大流行と地政学的な課題の増大の中で、サイバーセキュリティと情報セキュリティに対する共同アプローチが必須です。このことを念頭に置いて、欧州委員会はサイバーセキュリティ規則と情報セキュリティ規則を提案しています。共通の優先事項と枠組みを設定することにより、これらの規則は、制度間の協力をさらに強化し、リスク・エクスポージャーを最小化し、EUのセキュリティ文化をさらに強化します。
Cybersecurity Regulation サイバーセキュリティ規則
The proposed Cybersecurity Regulation will put in place a framework for governance, risk management and control in the cybersecurity area. It will lead to the creation of a new inter-institutional Cybersecurity Board, boost cybersecurity capabilities, and stimulate regular maturity assessments and better cyber-hygiene. It will also extend the mandate of the Computer Emergency Response Team for the EU institutions, bodies, offices and agencies (CERT-EU), as a threat intelligence, information exchange and incident response coordination hub, a central advisory body, and a service provider. 提案されているサイバーセキュリティ規則は、サイバーセキュリティ分野におけるガバナンス、リスク管理、統制のための枠組みを整備するものです。これは、新たな機関間サイバーセキュリティ委員会の設立、サイバーセキュリティ能力の向上、定期的な成熟度評価とサイバー衛生の向上を促進するものです。また、EUの機関、団体、事務所、機関に対するコンピュータ緊急対応チーム(CERT-EU)の権限を拡大し、脅威情報、情報交換、事故対応の調整ハブ、中央諮問機関、サービスプロバイダーとして機能するようにします。
Key elements of the proposal for a Cybersecurity Regulation: サイバーセキュリティ規則の提案の主な要素
・Strengthen the mandate of CERT-EU and provide the resources it needs to fulfil it; ・CERT-EUの権限を強化し、その遂行に必要なリソースを提供する。
・Require from all EU institutions, bodies, offices and agencies to: ・すべてのEUの機関、団体、事務所、代理店に要求する。
 ○ Have a framework for governance, risk management and control in the area of cybersecurity;  ○ サイバーセキュリティの分野におけるガバナンス、リスク管理、統制の枠組みを持つこと。
 ○ Implement a baseline of cybersecurity measures addressing the identified risks;  ○ 特定されたリスクに対応するサイバーセキュリティ対策のベースラインを実施すること。
 ○ Conduct regular maturity assessments;  ○ 定期的な成熟度評価を実施すること。
 ○ Put in place a plan for improving their cybersecurity, approved by the entity's leadership;  ○ 企業のリーダーシップによって承認されたサイバーセキュリティを向上させるための計画を実施する。
 ○ Share incident-related information with CERT-EU without undue delay.  ○ インシデント関連情報をCERT-EUと不当に遅延なく共有すること。
・Set up a new inter-institutional Cybersecurity Board to drive and monitor the implementation of the regulation and to steer CERT-EU; ・規則の実施を推進・監視し、CERT-EUを指導するために、新たな機関間サイバーセキュリティ委員会を設置する。
・Rename CERT-EU from ‘Computer Emergency Response Team' to ‘Cybersecurity Centre', in line with developments in the Member States and globally, but keep the short name ‘CERT-EU' for name recognition. ・CERT-EUの名称を、加盟国や世界の動きに合わせて「Computer Emergency Response Team」から「Cybersecurity Centre」に改称するが、知名度のために「CERT-EU」という略称を維持する。
Information Security Regulation 情報セキュリティ規則
The proposed Information Security Regulation will create a minimum set of information security rules and standards for all EU institutions, bodies, offices and agencies to ensure an enhanced and consistent protection against the evolving threats to their information. These new rules will provide a stable ground for a secure exchange of information across EU institutions, bodies, offices and agencies and with the Member States, based on standardised practices and measures to protect information flows. 提案されている情報セキュリティ規則は、EUのすべての機関、団体、事務局、機関に対し、情報に対する進化する脅威から強化された一貫した保護を確保するために、最低限の情報セキュリティ規則と基準を設けるものです。これらの新規則は、情報の流れを保護するための標準化された慣行と対策に基づき、EUの機関、団体、事務局、機関間および加盟国との安全な情報交換のための安定した基盤を提供するものです。
Key elements of the proposal for Information Security Regulation: 情報セキュリティ規則の提案の主要な要素
・Set up an efficient governance to foster the cooperation across all EU institutions, bodies, offices and agencies, namely an inter-institutional Information Security Coordination Group; ・EUのすべての機関、団体、事務所および機関間の協力を促進する効率的なガバナンス、すなわち機関間の情報セキュリティ調整グループを設置する。
・Establish a common approach to information categorisation based on the level of confidentiality; ・機密性のレベルに基づいて情報を分類するための共通のアプローチを確立する。
・Modernise the information security policies, fully including digital transformation and remote work; ・情報セキュリティ政策を近代化し、デジタル・トランスフォーメーションとリモートワークを完全に含む。
・Streamline current practices and achieve greater compatibility between the relevant systems and devices. ・現行の慣行を合理化し、関連するシステムとデバイス間の互換性を高める。
Background 背景
In its resolution from March 2021, the Council of the European Union stressed the importance of a robust and consistent security framework to protect all EU personnel, data, communication networks, information systems and decision-making processes. This can only be achieved through enhanced resilience and improved security culture of the EU institutions, bodies, offices and agencies. 欧州連合理事会は2021年3月の決議で、EUのすべての人員、データ、通信ネットワーク、情報システム、意思決定プロセスを保護するため、強固で一貫したセキュリティの枠組みの重要性を強調しました。これは、EUの機関、団体、事務局、機関のレジリエンスの強化とセキュリティ文化の改善によってのみ達成することができます。
Following the EU Security Union Strategy and the EU Cybersecurity Strategythe Cybersecurity Regulation proposed today will ensure consistency with existing EU cybersecurity policies, in full alignment with current European legislation: EU安全保証連合戦略およびEUサイバーセキュリティ戦略に続き、本日提案されたサイバーセキュリティ規則は、現行の欧州の法律と完全に整合する形で、既存のEUサイバーセキュリティ政策との一貫性を確保するものです。
・The Directive on the security of Network and Information Systems (NIS Directive) and the future Directive on measures for high common level of cybersecurity across the Union(‘NIS 2') that the Commission proposed in December 2020; ネットワークおよび情報システムのセキュリティに関する指令(NIS指令)および欧州委員会が2020年12月に提案したEU全域で高い共通レベルのサイバーセキュリティのための措置に関する将来の指令('NIS 2')です。
・The Cybersecurity Act; ・サイバーセキュリティ法
・The Commission Recommendation on building a Joint Cyber Unit; ・合同サイバーユニットの構築に関する欧州委員会の勧告。
・The Commission Recommendation on coordinated response to large-scale cybersecurity incidents and crises. ・大規模なサイバーセキュリティ事件や危機への協調的対応に関する欧州委員会勧告
Considering the ever-increasing amounts of sensitive non-classified and EU classified information handled by EU institutions, bodies, offices and agencies, the proposed Information Security Regulation aims to increase the protection of the information, by streamlining the different legal frameworks of the Union institutions, bodies, offices and agencies in the field. The proposal is in line with: EUの機関、団体、事務所、機関が取り扱う機密性の高い非分類情報およびEU分類情報の量が増え続けていることを考慮し、情報セキュリティ規則案は、この分野におけるEUの機関、団体、事務所、機関の異なる法的枠組みを合理化することにより、情報の保護を強化することを目的としています。この提案は、それに沿ったものです。
The EU Security Union Strategy, which includes a comprehensive EU commitment to complement Member States' efforts in all areas of security; EU安全保障連合戦略は、安全保障の全分野における加盟国の努力を補完するためのEUの包括的なコミットメントを含んでいます。
The key feature of the Strategic Agenda for 2019-2024, adopted by the European Council in June 2019, to protect our societies from the ever-evolving threats targeting the information handled by EU institutions, bodies, and agencies; 2019年6月に欧州理事会で採択された「2019-2024年の戦略的アジェンダ」の主要な問題である、EUの機関、団体、機関が扱う情報を標的とした進化し続ける脅威から社会を保護すること。
The Conclusions of the General Affairs Council of December 2019 calling on the EU institutions, bodies and  agencies, supported by Member States, to develop and implement a comprehensive set of measures to ensure their security. 2019年12月の総務理事会の結論で、加盟国の支援を受けながら、EUの機関、団体、機関に対し、そのセキュリティを確保するための包括的な対策を策定し、実施するよう求めていること。
For More Information 詳細についてはこちら
Proposal for a Regulation of the European Parliament and of the Council laying down measures on a high level of cybersecurity at the institutions, bodies, offices and agencies of the Union   欧州連合の機関、団体、事務所、省庁における高水準のサイバーセキュリティに関する措置を定めた欧州議会および理事会の規則案  
Proposal for a Regulation of the European Parliament and of the Council on information security in the institutions, bodies, offices and agencies of the Union 欧州連合の機関、団体、事務局および機関における情報セキュリティに関する欧州議会および理事会の規則案

 

Proposal for Cybersecurity Regulation

Proposal for Cybersecurity Regulation サイバーセキュリティ規則の提案
The Commission proposes a Regulation to establish common cybersecurity measures across the European Union institutions, bodies, offices and agencies. The key elements of the proposal for Cybersecurity Regulation: ・欧州委員会は、欧州連合の機関、団体、事務局および機関全体に共通するサイバーセキュリティ対策を確立するための規則を提案しています。サイバーセキュリティ規則の提案の主要な要素は次の通りです。
・Strengthen the mandate of CERT-EU and provide the resources it needs to fulfil it; ・CERT-EUの権限を強化し、その遂行に必要なリソースを提供すること。
・Require from all EU institutions, bodies, offices and agencies to: ・すべてのEUの機関、団体、事務局、機関に要求すること。
 ・Have a framework for governance, risk management and control in the area of cybersecurity;  ・サイバーセキュリティの分野におけるガバナンス、リスク管理、統制の枠組みを持つこと。
 ・Implement a baseline of cybersecurity measures addressing the identified risks;  ・特定されたリスクに対応するサイバーセキュリティ対策のベースラインを実施すること。
 ・Conduct regular maturity assessments;  ・定期的な成熟度評価を実施すること。
 ・Put in place a plan for improving their cybersecurity, approved by the entity's leadership;  ・組織のリーダーシップによって承認されたサイバーセキュリティを向上させるための計画を実施すること。
 ・Share incident-related information with CERT-EU without undue delay.  ・インシデント関連情報をCERT-EUに遅延なく共有すること。
・Set up a new inter-institutional Cybersecurity Board to drive and monitor the implementation of the regulation and to steer CERT-EU; ・規則の実施を推進・監視し、CERT-EUを指導するために、新たな機関間サイバーセキュリティ委員会を設置すること。
・Rename CERT-EU from ‘Computer Emergency Response Team' to ‘Cybersecurity Centre', in line with developments in the Member States and globally, but keep the short name ‘CERT-EU' for name recognition. ・CERT-EU の名称を、加盟国および世界の動きに合わせて「コンピュータ緊急対応チーム」から「サイ バーセキュリティ・センター」に変更するが、知名度のために「CERT-EU」という略称を維持する。

 

・[PDF] REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL laying down measures for a high common level of cybersecurity at the institutions, bodies, offices and agencies of the Union

20220324-70346

 

・[PDF] Commission Staff Working Document – Impact analysis accompanying the proposal for a regulation

20220324-70617

 

 

Continue reading "欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案"

| | Comments (0)

2022.03.23

米国 FBI 2021年インターネット犯罪レポート

こんにちは、丸山満彦です。

FBIというか、ICS3というか、が2021年のインターネット犯罪レポートを発表していますね。

今年の上位5位の苦情について過去6年間のグラフにしてみました。

 

Fig1_20220323051001

 

● FBI

・2021.03.22 FBI Releases the Internet Crime Complaint Center 2021 Internet Crime Report

FBI Releases the Internet Crime Complaint Center 2021 Internet Crime Report FBIが「インターネット犯罪苦情センター 2021年インターネット犯罪報告書」を発表
The FBI’s Internet Crime Complaint Center (IC3) has released its annual report. FBIのインターネット犯罪苦情センター(IC3)は、年次報告書を発表しました。
The 2021 Internet Crime Report (pdf) includes information from 847,376 complaints of suspected internet crime—a 7% increase from 2020—and reported losses exceeding $6.9 billion. State-specific statistics have also been released and can be found within the 2021 Internet Crime Report and in the accompanying 2021 State Reports.  2021年インターネット犯罪報告書(pdf)には、インターネット犯罪の疑いに関する84万7376件の苦情情報が含まれており、2020年から7%増加し、報告された損失額は69億ドルを超えています。州別の統計も発表されており、「2021年インターネット犯罪報告書」および附属書の「2021年州報告書」内で確認することができます。 
The top three cyber crimes reported by victims in 2021 were phishing scams, non-payment/non-delivery scams, and personal data breach. Victims lost the most money to business email compromise scams, investment fraud, and romance and confidence schemes.   2021年に被害者が報告したサイバー犯罪のトップ3は、フィッシング詐欺、不払い・不渡り詐欺、個人情報漏えいでした。被害者が最もお金を失ったのは、ビジネスメール漏洩詐欺、投資詐欺、ロマンス・信頼詐欺でした。  
In addition to statistics, the IC3’s 2021 Internet Crime Report contains information about the most prevalent internet scams affecting the public and offers guidance for prevention and protection. It also highlights the FBI’s work combatting internet crime, including recent case examples. Finally, the 2021 Internet Crime Report explains the IC3, its mission, and functions. IC3の2021年インターネット犯罪報告書には、統計に加えて、一般市民に影響を与える最も一般的なインターネット詐欺に関する情報と、予防と保護のためのガイダンスが掲載されています。また、最近の事例を含め、インターネット犯罪に対抗するFBIの活動も紹介しています。最後に、2021年版インターネット犯罪報告書では、IC3、その使命、機能について説明しています。
The IC3 gives the public a reliable and convenient mechanism to report suspected internet crime to the FBI. The FBI analyzes and shares information from submitted complaints for investigative and intelligence purposes, for law enforcement, and for public awareness.  IC3は、インターネット犯罪の疑いをFBIに報告するための、信頼性が高く便利なメカニズムを一般市民に提供します。FBIは、捜査や情報収集のため、法執行のため、そして国民の意識向上のために、寄せられた通報の情報を分析し、共有します。 
With the release of the 2021 Internet Crime Report, the FBI wants to remind the public to immediately report suspected criminal internet activity to the IC3 at ic3.gov. By reporting internet crime, victims are not only alerting law enforcement to the activity but aiding in the overall fight against cybercrime.  2021年インターネット犯罪報告書の発表に伴い、FBIは、犯罪と疑われるインターネット上の活動をIC3(ic3.gov)に直ちに報告するよう、国民に呼びかけたいと考えています。インターネット犯罪を報告することで、被害者は法執行機関に活動を警告するだけでなく、サイバー犯罪に対する全体的な闘いを支援することになります。 
To report an online crime or view IC3’s annual reports and public service announcements, visit ic3.gov.   オンライン犯罪の報告、IC3 の年次報告書および公共サービス広告の閲覧は、ic3.gov をご覧ください。  

 

 Internet Crime Complaint Center: IC3

・[PDF] Internet Crime Report 2021

20220323-52636

 

・[HTML] 2021 State Reports

過去分

 

今年の報告書の目次

INTRODUCTION はじめに
THE IC3 IC3について
THE IC3 ROLE IN COMBATING CYBER CRIME サイバー犯罪に対抗するためのIC3の役割
IC3 CORE FUNCTIONS IC3の中核機能
IC3 COMPLAINT STATISTICS IC3苦情統計
Last 5 Years 過去5年分
Top 5 Crime Type Comparison 犯罪の種類別比較(上位5つ
THREAT OVERVIEWS FOR 2021 2021年の脅威の概要
Business Email Compromise (BEC) ビジネスメール誤送信(BEC)
IC3 RECOVERY ASSET TEAM IC3リカバリーアセットチーム
RAT SUCCESSES ラットの成功例
Confidence Fraud / Romance Scams 信用詐欺・ロマンス詐欺
Cryptocurrency (Virtual Currency) クリプトカレンシー(仮想通貨)
Ransomware ランサムウェア
Tech Support Fraud 技術サポート詐欺
IC3 by the Numbers 数字で見るIC3
2021 Victims by Age Group 2021年年齢層別被害者数
2021 - Top 20 International Victim Countries 2021年 国際的な被害国上位20カ国
2021 - Top 10 States by Number of Victims 2021年 被害者数上位10州
2021 - Top 10 States by Victim Loss in $ Millions 2021年-被害額(百万ドル)上位10州
2021 CRIME TYPES 2021年犯罪の種類
2021 Crime Types continued 2021年犯罪の種類 続き
Last 3 Year Complaint Count Comparison 過去3年間の苦情件数比較
Last 3 Year Complaint Loss Comparison 過去3年間の苦情損失額比較
Overall State Statistics 州全体の統計
Overall State Statistics continued 州全体統計の続き
Overall State Statistics continued 州全体の統計の続き
Overall State Statistics continued 州の全体的な統計の続き
Appendix A: Definitions 附属書A:定義
Appendix B: Additional Information about IC3 Data 附属書B:IC3データに関する追加情報

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.11 FBI インターネット犯罪レポート2020を発表

| | Comments (0)

企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

こんにちは、丸山満彦です。

企業会計基準委員会が、暗号資産(資金決済法、金商法)の発行及び保有についての論点整理として「資金決済法上の暗号資産又は金融商品取引法上の電子記録移転権利に該当するICOトークンの発行及び保有に係る会計処理に関する論点の整理」を、また、投資性ICOの会計処理・開示についての取り扱いについて実務対応報告公開草案第63号「電子記録移転有価証券表示権利等の発行及び保有の会計処理及び開示に関する取扱い(案)」を公開し、意見募集をしていまたね。。。

暗号資産の不幸は、実力以上に期待されてしまったからかも知れませんね。。。

顧客保護、投資家保護、犯罪収益の移転の防止等について落ち着いて考えれば、現在の規制の枠組みに収めることになるはずなので、暗号資産に関する技術(例えば、ブロックチェーン)自体が既存の概念を打ち破るほどの破壊的な価値を生むことはないのに、世の中が少し煽りすぎたのかも知れませんね。。。

適正な評価がされていればもう少し普及したかも、、、と思わなくもないです。。。これからに期待しましょう。。。

今回公表されている内容については、真っ当な感じはしますね。。。

Fig1_20220323035301

 

企業会計基準委員会

・2022.03.15 「資金決済法上の暗号資産又は金融商品取引法上の電子記録移転権利に該当するICOトークンの発行及び保有に係る会計処理に関する論点の整理」の公表

・[PDF] コメントの募集及び本論点整理の概要

・[PDF] 資金決済法上の暗号資産又は金融商品取引法上の電子記録移転権利に該当するICOトークンの発行及び保有に係る会計処理に関する論点の整理

20220323-35421

 

・2022.03.15 実務対応報告公開草案第63号 「電子記録移転有価証券表示権利等の発行及び保有の会計処理及び開示に関する取扱い(案)」の公表

 ・[PDF] コメントの募集及び本公開草案の概要

 ・[PDF] 実務対応報告公開草案第63号「電子記録移転有価証券表示権利等の発行及び保有の会計処理及び開示に関する取扱い(案)」

20220323-35727

 


 

法改正についての説明は、次の記事が参考になるかもです。。。

Business Lawyers

・2020.06.18 〔立案担当者が解説〕セキュリティトークン・STOの法律実務 第1回 2020年5月1日施行 改正金商法上のセキュリティトークンとは

・2020.07.21 〔立案担当者が解説〕セキュリティトークン・STOの法律実務 第2回 2020年5月1日施行 改正金商法上のセキュリティトークンとは(続)

 

 




 

| | Comments (0)

2022.03.22

NIST 意見募集 AIリスクマネジメントフレームワーク(初期ドラフト)

こんにちは、丸山満彦です。

NISTがAIリスクマネジメントフレームワーク(初期ドラフト)についての意見募集をしていますね。。。

Fig1はこの図です。。。

20220322-11811

 

 

● NIST

・2022.03.17 NIST Seeks Comments on Draft AI Risk Management Framework, Offers Guidance on AI Bias

NIST Seeks Comments on Draft AI Risk Management Framework, Offers Guidance on AI Bias NISTがAIリスクマネジメントフレームワークの草案に対する意見を募集、AIバイアスに関するガイダンスを提示
Seeking to promote the development and use of artificial intelligence (AI) technologies and systems that are trustworthy and responsible, NIST today released for public comment an initial draft of the AI Risk Management Framework (AI RMF). The draft addresses risks in the design, development, use and evaluation of AI systems.  NISTは、信頼性と責任感のある人工知能(AI)技術とシステムの開発・利用を促進するため、本日、AIリスク管理フレームワーク(AI RMF)の初稿を公開し、パブリックコメントを募集しています。 この草案は、AIシステムの設計、開発、使用、評価におけるリスクに対応しています。 
The voluntary framework is intended to improve understanding and help manage enterprise and societal risks related to AI systems. It aims to provide a flexible, structured and measurable process to address AI risks throughout the AI lifecycle, and offers guidance for the development and use of trustworthy and responsible AI. NIST is also developing a companion guide to the AI RMF with additional practical guidance; comments about the framework also will be taken into account in preparing that practice guide. この自主的な枠組みは、AIシステムに関連する企業や社会のリスクに対する理解を深め、その管理を支援することを目的としています。AIのライフサイクルを通じてAIのリスクに対処するための柔軟で構造化された測定可能なプロセスを提供し、信頼できる責任あるAIの開発と利用のためのガイダンスを提供することを目的としています。また、NISTは、追加の実践的ガイダンスを記載したAI RMFのコンパニオンガイドを作成しており、このフレームワークに関するコメントも、その実践ガイドの作成に考慮される予定です。
“We have developed this draft with extensive input from the private and public sectors, knowing full well how quickly AI technologies are being developed and put to use and how much there is to be learned about related benefits and risks,” said Elham Tabassi, chief of staff of the NIST Information Technology Laboratory (ITL), who is coordinating the agency’s AI work, including the AI RMF. NISTの情報技術研究所(ITL)のチーフスタッフであり、AI RMFを含むNISTのAI関連業務を調整するElham Tabassi氏は、「我々は、AI技術の開発・実用化がいかに速く、そのメリットとリスクについて学ぶべきことがいかに多いかを十分に理解して、民間および公共部門からの幅広いインプットによりこのドラフトを作成した」と述べています。
This draft builds on the concept paper released in December and an earlier Request for Information. Feedback received by April 29 will be incorporated into a second draft issued this summer or fall. On March 29-31, NIST will hold its second workshop on the AI RMF. The first two days will address all aspects of the AI RMF. Day 3 will allow a deeper dive of issues related to mitigating harmful bias in AI. この草案は、12月に発表されたコンセプトペーパーと、それ以前に行われた情報提供の依頼を基に作成されたものです。4月29日までに寄せられたフィードバックは、今年の夏または秋に発行される第2次草案に反映される予定です。3月29日から31日にかけて、NISTはAI RMFに関する2回目のワークショップを開催します。最初の2日間は、AI RMFのあらゆる側面を取り上げます。3日目は、AIにおける有害なバイアスの軽減に関連する問題をより深く掘り下げます。
This week, NIST also released “Towards a Standard for Identifying and Managing Bias within Artificial Intelligence” (SP 1270), which offers background and guidance for addressing one of the major sources of risk that relates to the trustworthiness of AI. That publication explains that beyond the machine learning processes and data used to train AI software, bias is related to broader societal factors — human and systemic institutional in nature — which influence how AI technology is developed and deployed. 今週、NISTは「Towards a Standard for Identifying and Managing Bias within Artificial Intelligence」(SP1270)も発表し、AIの信頼性に関わる主要なリスク源の1つに対処するための背景とガイダンスを提供する。その出版物では、AIソフトウェアの学習に使用される機械学習プロセスやデータを超えて、バイアスはより広範な社会的要因(人間的およびシステム的制度的なもの)に関連し、AI技術の開発および展開の方法に影響を及ぼすと説明しています。
The draft framework and publication on bias are part of NIST’s larger effort to support the development of trustworthy and responsible AI technologies by managing risks and potential harms in the design, development, use and evaluation of AI products, services and systems. バイアスに関するフレームワーク案と出版物は、AI製品、サービス、システムの設計、開発、使用、評価におけるリスクと潜在的な害を管理することにより、信頼できる責任あるAI技術の開発を支援するNISTの大きな取り組みの一部です。

 

・[PDF] AI Risk Management Framework: Initial Draft

20220322-22808

Part 1: Motivation 第1部: 動機づけ
1 OVERVIEW 1 概要
2 SCOPE 2 スコープ
3 AUDIENCE 3 想定読者
4 FRAMING RISK 4 リスクフレームワーク
4.1 Understanding Risk and Adverse Impacts 4.1 リスクと悪影響の理解
4.2 Challenges for AI Risk Management 4.2 AIリスクマネジメントの課題
5 AI RISKS AND TRUSTWORTHINESS 5 AIリスクと信頼性
5.1 Technical Characteristics 5.1 技術的特徴
5.1.1 Accuracy 5.1.1 正確さ
5.1.2 Reliability 5.1.2 信頼性
5.1.3 Robustness 5.1.3 ロバスト性
5.1.4 Resilience or ML Security 5.1.4 レジリエンスまたは機械学習セキュリティ
5.2 Socio-Technical Characteristics 5.2 社会・技術的特性
5.2.1 Explainability 5.2.1 説明可能性
5.2.2 Interpretability 5.2.2 解釈可能性
5.2.3 Privacy 5.2.3 プライバシー
5.2.4 Safety 5.2.4 安全性
5.2.5 Managing Bias 5.2.5 バイアスの管理
5.3 Guiding Principles 5.3 指導原則
5.3.1 Fairness 5.3.1 公正性
5.3.2 Accountability 5.3.2 説明責任
5.3.3 Transparency 5.3.3 透明性
Part 2: Core and Profiles 第2部:コアとプロファイル
6 AI RMF CORE 6 AI RMFコア
6.1 Map 6.1 地図
6.2 Measure 6.2 測定
6.3 Manage 6.3 管理
6.4 Govern 6.4 ガバナンス
7 AI RMF PROFILES 7 AI RMFプロファイル
8 EFFECTIVENESS OF THE AI RMF 8 AI RMFの有効性
Part 3: Practical Guide 第3部:実践ガイド
9 PRACTICE GUIDE 9 実践ガイド

 

 

AI RISK MANAGEMENT FRAMEWORK

AI RISK MANAGEMENT FRAMEWORK AIリスクマネジメントフレームワーク
An initial draft of the AI Risk Management Framework is available for comment through April 29, 2022. AIリスクマネジメントフレームワークの初期ドラフトは、2022年4月29日まで意見募集中です。
A two-part NIST workshop from March 29-31, 2022, will advance work on an AI Risk Management Framework – and on bias in AI. Register Now. 2022年3月29日~31日に開催される2部構成のNISTワークショップでは、AIリスク管理フレームワークの作業、およびAIにおけるバイアスに関する作業が進められます。 今すぐご登録ください。
NIST is developing a framework to better manage risks to individuals, organizations, and society associated with artificial intelligence (AI). The NIST Artificial Intelligence Risk Management Framework (AI RMF or Framework) is intended for voluntary use and to improve the ability to incorporate trustworthiness considerations into the design, development, use, and evaluation of AI products, services, and systems. NISTは、人工知能(AI)に関連する個人、組織、社会へのリスクをよりよく管理するためのフレームワークを開発しています。NIST Artificial Intelligence Risk Management Framework(AI RMFまたはフレーワーク)は、自主的な使用を目的とし、AI製品、サービス、システムの設計、開発、使用、評価に信頼性への配慮を取り入れる能力を向上させるためのものです。
The Framework is being developed through a consensus-driven, open, transparent, and collaborative process that will include workshops and other opportunities to provide input. It is intended to build on, align with, and support AI risk management efforts by others. An initial draft of the AI RMF is available for comment through April 29, 2022. このフレームワークは、ワークショップやその他の意見提供の機会を含む、合意形成主導の、オープンで透明性の高い、協力的なプロセスを通じて開発されています。このフレームワークは、他の機関によるAIリスクマネジメントの取り組みと連携し、支援することを目的としています。 AI RMFの初期ドラフトは、2022年4月29日まで意見募集中です。
NIST’s work on the Framework is consistent with its broader AI efforts, recommendations by the National Security Commission on Artificial Intelligence, and the Plan for Federal Engagement in AI Standards and Related Tools. Congress has directed NIST to collaborate with the private and public sectors to develop the AI RMF. NISTのフレームワークへの取り組みは、NISTの幅広いAIへの取り組み、人工知能に関する国家安全保障委員会の勧告、およびAI標準と関連ツールにおける連邦政府の関与のための計画と整合しています。議会は、AI RMFを開発するために民間および公共部門と協力するようNISTに指示しました。
The Framework aims to foster the development of innovative approaches to address characteristics of trustworthiness including accuracy, explainability and interpretability, reliability, privacy, robustness, safety, security (resilience), and mitigation of unintended and/or harmful bias, as well as of harmful uses. The Framework should consider and encompass principles such as transparency, accountability, and fairness during pre-design, design and development, deployment, use, and test and evaluation of AI technologies and systems. These characteristics and principles are generally considered as contributing to the trustworthiness of AI technologies and systems, products, and services. このフレームワークは、正確性、説明可能性と解釈可能性、信頼性、プライバシー、堅牢性、安全性、セキュリティ(回復力)、意図しないバイアスや有害な使用の緩和を含む信頼性の特徴に対処する革新的アプローチの開発を促進することを目的としています。フレームワークは、AI技術やシステムの事前設計、設計・開発、展開、使用、テスト・評価において、透明性、説明責任、公平性などの原則を考慮し、包含する必要があります。これらの特性や原則は、一般的にAI技術やシステム、製品、サービスの信頼性に寄与すると考えられています。
AI RMF Development & Request for Information AI RMFの策定と情報提供のお願い
NIST has prepared a brief summary of RFI responses in advance of the workshop on October 19-21. NISTは、10月19日~21日のワークショップに先立ち、RFI回答の簡単な要約を作成しました。
NIST intends the Framework to provide a prioritized, flexible, risk-based, outcome-based, and cost-effective approach that is useful to the community of AI developers, users, and decision makers. The development process will involve several iterations to encourage robust and continuing engagement and collaboration with interested stakeholders. NISTは、AI開発者、ユーザー、意思決定者のコミュニティにとって有用な、優先順位付けされた、柔軟で、リスクベースの、成果ベースの、費用対効果の高いアプローチを提供するフレームワークを意図しています。開発プロセスでは、利害関係者との強固で継続的な関与と協力を促すため、数回の反復が行われる予定です。
NIST is soliciting input from all interested stakeholders, seeking to understand how organizations and individuals involved with designing, developing, using, or evaluating AI systems might be better able to address the full scope of AI risk and how a framework for managing AI risks might be constructed. A Request for Information (RFI) was issued on July 29, 2021, with responses due to NIST by August 19, 2021. The date for responses was extended to September 15Building on its recent efforts, NIST will organize open workshops to support the Framework’s development.  NISTは、AIシステムの設計、開発、使用、評価に携わる組織や個人が、どのようにすればAIリスクの全容に対処できるようになるか、またAIリスクを管理するためのフレームワークをどのように構築するかを理解するため、すべての関係者から意見を求めています。2021年7月29日に情報提供依頼書(RFI)が発行され、2021年8月19日までにNISTに回答することになっています。 回答期限は9月15日まで延長されました。 NISTは、最近の取り組みに基づき、フレームワークの開発を支援するためのオープンワークショップを開催する予定です。 
Comments may be submitted by any of the following methods: コメントは、以下のいずれかの方法で提出することができます。
Email: Comments in electronic form may also be sent to AIframework@nist.gov in any of the following formats: HTML; ASCII; Word; RTF; or PDF.  電子メール。電子形式のコメントは、HTML、ASCII、Word、RTF、またはPDFのいずれかの形式で、AIframework@nist.gov に送信することができます。 
Electronic submission: Submit electronic public comments via the Federal e- Rulemaking Portal. Go to www.regulations.gov and enter NIST-2021-0004 in the search field, Enter or attach your comments. 電子的に提出する。連邦規則作成ポータルから電子パブリックコメントを提出する。
1. Go to www.regulations.gov and enter NIST-2021-0004 in the search field, 1. www.regulations.gov にアクセスし、検索フィールドに NIST-2021-0004 と入力し
2. Click the “Comment Now!” icon, complete the required fields, and 2. 「Comment Now」アイコンをクリックし、必要事項をご記入し、
3. Enter or attach your comments. 3. コメントを入力または添付してください
A template for providing comments is available here. ご意見のテンプレートはこちらです。
AI Risk Management Framework - Engage AIリスクマネジメントフレームワーク - Engage
NNIST is developing the AI Risk Management Framework (AI RMF) through a consensus-driven, open, and collaborative process that involves taking part in workshops, responding to a Request for Information (RFI), reviewing draft reports and other documents including draft approaches and versions of the framework, and other opportunities to provide input. Also, see information about how to engage in NIST’s broader AI activities.
NISTは、ワークショップへの参加、情報提供依頼書(RFI)への回答、フレームワークのアプローチやバージョンのドラフトを含むレポートやその他の文書のレビュー、その他の意見提供の機会を通じて、合意主導のオープンかつ協力的なプロセスでAIリスクマネジメントフレームワーク(AI RMF)の開発を進めています。また、NISTの幅広いAI活動への参加方法についての情報もご覧ください。
Sign up to receive email notifications about NIST’s AI activities here, or contact us at: ai-inquiries@nist.gov NISTのAI活動に関するお知らせのメール配信にご登録いただくか、ai-inquiries@nist.gov までご連絡ください。
AI Risk Management Framework - Workshops & Events AIリスクマネジメントフレームワーク - ワークショップ&イベント
NIST relies on workshops to gather public and private stakeholder information, feedback, and perspectives. Multiple related AI workshops have been held and are being scheduled. See here for more details.  NISTは、公共および民間のステークホルダーの情報、フィードバック、見解を収集するために、ワークショップを活用しています。AI関連のワークショップは複数回開催されており、現在も開催が予定されています。詳しくはこちらをご覧ください。 
Two-part Workshop on AI Risk Management Framework – and on Bias in AI - March 29-31, 2022 AIリスクマネジメントフレームワークに関する2部構成のワークショップ - およびAIにおけるバイアスに関するワークショップ - 2022年3月29日~31日
Kicking off NIST AI Risk Management Framework: Workshop #1 - October 19-21, 2021 NIST AIリスクマネジメントフレームワークをキックオフ。ワークショップ#1 - 2021年10月19日~21日
AI Risk Management Framework - Related NIST Efforts AIリスクマネジメントフレームワーク - 関連するNISTの取り組み
Overview of NIST’s AI Efforts ・NISTのAIへの取り組みの概要
NIST AI Standards Activities ・NISTのAI標準化活動
NIST AI Workshop Series ・NIST AIワークショップシリーズ
AI Risk Management Framework - Resources AIリスクマネジメントフレームワーク - リソース
NIST produces publications and other resources which inform and relate to the development of the AI Risk Management Framework. Some of these resources are listed here: NISTは、AIリスクマネジメントフレームワークの開発に関連する出版物やその他のリソースを作成しています。これらのリソースのいくつかをここにリストアップします。
An initial draft of the AI Risk Management Framework is available for comment through April 29, 2022  AIリスクマネジメントフレームワークの初期ドラフトは、2022年4月29日まで意見募集中です。 
Concept paper to help guide development of the AI Risk Management Framework (December 13, 2021) AIリスクマネジメントフレームワークの開発指針になるコンセプトペーパー(2021年12月13日付)
Summary Analysis of Responses to the NIST Artificial Intelligence Risk Management Framework (AI RMF) - Request for Information (RFI) National Institute of Standards and Technology (NIST) (October 15, 2021) NIST人工知能リスク管理フレームワーク(AI RMF)に対する回答の概要分析-情報提供要請(RFI)米国国立標準技術研究所(NIST)(2021年10月15日付)
Draft -Taxonomy of AI Risk (October 15, 2021) 素案 -AIリスクのタクソノミ-(2021年10月15日発表)
 A Taxonomy and Terminology of Adversarial Machine Learning (NISTIR 8269) (Draft) 敵対的機械学習の分類法と用語(NISTIR 8269)(案)
Four Principles of Explainable Artificial Intelligence (NISTIR 8312) (Draft) 説明可能な人工知能の4原則(NISTIR 8312)(案)
Psychological Foundations of Explainability and Interpretability in Artificial Intelligence (NISTIR 8367) 人工知能における説明可能性と解釈可能性の心理学的基礎 (NISTIR 8367)
A Proposal for Identifying and Managing Bias in Artificial Intelligence (NIST SP 1270) (Draft) 人工知能におけるバイアスの特定と管理のための提案 (NIST SP 1270) (案)
Trust and Artificial Intelligence (NISTIR 8332) (Draft) 信頼と人工知能 (NISTIR 8332) (案)
AI Risk Management Framework FAQs AIリスクマネジメントフレームワークFAQ
1. What is the AI Risk Management Framework (AI RMF)? 1. AIリスクマネジメントフレームワーク(AI RMF)とは何ですか?
The Framework is intended to help developers,users and evaluators of AI systems better manage AI risks which could affect individuals, organizations, or society. It aims to foster the development of innovative approaches to address characteristics of trustworthiness including accuracy, explainability and interpretability, reliability, privacy, robustness, safety, security (resilience), and mitigation of unintended and/or harmful bias or harmful uses. The Framework should consider and encompass principles such as transparency, accountability, and fairness during pre-design, design and development, deployment, use, and test and evaluation of AI technologies and systems. These characteristics and principles are generally considered as contributing to the trustworthiness of AI technologies and systems, products, and services. このフレームワークは、AIシステムの開発者、利用者、評価者が、個人、組織、社会に影響を与える可能性のあるAIリスクをより適切に管理できるようにすることを目的としています。正確性、説明可能性、解釈可能性、信頼性、プライバシー、堅牢性、安全性、セキュリティ(レジリエンス)、意図しないバイアスや有害な利用の緩和など、信頼性の特徴に対処する革新的なアプローチの開発を促進することを目的としています。 フレームワークは、AI技術やシステムの事前設計、設計・開発、展開、使用、テスト・評価において、透明性、説明責任、公平性などの原則を考慮し、包含する必要があります。 これらの特性や原則は、一般的にAI技術やシステム、製品、サービスの信頼性に寄与すると考えられています。
2. Why is NIST developing the Framework? 2. なぜNISTはフレームワークを開発するのか?
NIST aims to cultivate trust in the design, development, use, and evaluation of AI technologies and systems in ways that enhance economic security and improve quality of life. The agency’s work on an AI RMF is consistent with recommendations by the National Security Commission on Artificial Intelligence and the Plan for Federal Engagement in Developing AI Technical Standards and Related Tools. Congress has directed NIST to collaborate with the private and public sectors to develop a voluntary AI RMF. NISTは、経済的安全性を高め、生活の質を向上させる方法で、AI技術やシステムの設計、開発、使用、評価における信頼を育成することを目指しています。NISTのAI RMFへの取り組みは、人工知能に関する国家安全保障委員会の勧告や、AI技術標準および関連ツールの開発における連邦政府の関与のための計画とも合致しています。議会はNISTに対し、民間および公共部門と協力して任意のAI RMFを開発するよう指示しています。
3. For whom is the Framework intended? 3. フレームワークは誰のためのものですか?
It should be useful for those who design, develop, use, or evaluate AI technologies. It will use language that is understandable by a broad audience, including senior executives and those who are not AI professionals, while still of sufficient technical depth to be useful to practitioners across many domains. The Framework should be scalable to organizations of all sizes, public or private, in any sector, and operating within or across domestic borders. AI技術を設計、開発、使用、評価する人々にとって有用であるべきです。上級管理職やAIの専門家ではない人を含む幅広い聴衆に理解できる言葉を使う一方、多くの領域の実務家にとって有用な十分な技術的深さを持つものでなければなりません。フレームワークは、公共・民間、セクター、国内・国外を問わず、あらゆる規模の組織に適用可能なものでなければなりません。
4. Will private or public sector organizations be required to use the Framework? 4. 民間企業や公的機関は、このフレームワークの使用を要求されますか?
No. NIST is producing this as a voluntary Framework. いいえ。NISTはこのフレームワークを任意のものとして作成しています。
5. How is the Framework being developed and what’s the timeframe? 5. フレームワークはどのように開発され、どのようなタイムフレームで進行しますか?
NIST is soliciting input from all interested stakeholders. It will be consensus-driven and developed and updated through an open, transparent, and collaborative process. NIST has a long track record of successfully and collaboratively working with others to develop standards and guidelines. NIST will model its approach in the same way that it used to develop other frameworks. NISTは、すべての利害関係者からインプットを求めています。このフレームワークはコンセンサス主導で、オープンで透明性の高い、協力的なプロセスを通じて開発・更新される予定です。NISTには、他者との協働による標準やガイドラインの開発を成功させてきた長い実績があります。NISTは、他のフレームワークの開発に使用したのと同じ方法で、そのアプローチをモデル化します。
NIST released a draft AI RMF on March 17th with comments due by April 29, 2022. Discussions about the draft will take place during a NIST workshop March 29-31, 2022. A second draft will be released, and another workshop held, in the Summer/Fall of 2022 with AMF 1.0 released by early 2023. NISTは3月17日にAI RMFのドラフトを発表し、2022年4月29日までにコメントを提出することになっています。ドラフトに関する議論は、2022年3月29日から31日にかけて開催されるNISTのワークショップで行われる予定です。2022年夏から秋にかけて2回目のドラフトが発表され、再度ワークショップが開催され、2023年初頭までにAMF1.0がリリースされる予定です。
6. Will NIST provide additional guidance to help with using the AI RMF? 6. NISTは、AI RMFの使用に役立つ追加ガイダンスを提供するのでしょうか?
Yes. NIST is producing a companion Practice Guide to assist in adopting the AI RMF. That Guide, which is expected to be released for initial comment by the March 29-31, 2022, workshop of the AI RMF. Comments on the draft AI RMF will be taken into account as the Practice Guide is developed. はい。NISTは、AI RMFの採用を支援するため、関連する実践ガイドを作成中です。このガイドは、2022年3月29-31日に開催されるAI RMFのワークショップまでに最初のコメントを得るためにリリースされる予定です。AI RMFのドラフトに対するコメントは、実践ガイドの作成に際して考慮される予定です。
It will reside online only and will be updated regularly with contributions expected to come from many stakeholders. The Guide will be part of a NIST AI Resource Center that is being established. NIST already has published a variety of documents and carries out measurement and evaluation projects which inform AI risk management. See: https://www.nist.gov/artificial-intelligence このガイドはオンラインのみで公開され、定期的に更新される予定であり、多くのステークホルダーからの貢献が期待されます。 本ガイドは、現在設立中のNIST AI Resource Centerの一部となる予定です。NISTは既に様々な文書を発表しており、AIのリスクマネジメントに役立つ測定・評価プロジェクトを実施しています。参照: https://www.nist.gov/artificial-intelligence
7. Will the AI RMF relate to other NIST frameworks on cybersecurity and privacy? 7. AI RMFは、サイバーセキュリティやプライバシーに関する他のNISTフレームワークと関連しますか?
Stakeholders are being asked to provide input to help determine whether it makes sense to relate the AI RMF to other NIST frameworks. ステークホルダーは、AI RMFを他のNISTフレームワークと関連付けることに意味があるかどうかを判断するために、意見を提供するよう求められています。
8. How does this fit in with other NIST AI research, standards, and other activities? 8. NISTの他のAI研究、標準化、その他の活動とどのように連携しているのか?
NIST aims to cultivate trust in the design, development, use, and evaluation of AI technologies and systems in ways that enhance economic security and improve quality of life. The agency focuses on improving measurement science, standards, technology, and related tools, including evaluation and data. NIST is developing forward-thinking approaches that support innovation and confidence in AI systems. Its work on an AI RMF is consistent with the Plan for Federal Engagement in Developing AI Technical Standards and Related Tools published in 2019. NISTは、AI技術やシステムの設計、開発、使用、評価において、経済的安全性を高め、生活の質を向上させるような形で信頼を培うことを目指しています。NISTは、測定科学、標準、技術、および評価やデータを含む関連ツールの改善に重点を置いています。NISTは、AIシステムのイノベーションと信頼を支援する先進的なアプローチを開発しています。AI RMFに関するその作業は、2019年に発表された「AI技術標準および関連ツールの開発における連邦政府の関与のための計画」と一致します。
9. How do I get involved in the Framework development effort? 9. フレームワーク開発の取り組みに参加するにはどうすればよいですか?
NIST is developing the AI RMF through a consensus-driven, open, and collaborative process that will include workshops, a Request for Information,  and other opportunities to provide input. Check out our Engage page, watch this space for specific opportunities, sign up to receive email notifications about NIST’s AI activities here, or contact us at: AIframework@nist.gov NISTは、ワークショップ、Request for Information、その他の意見提供の機会を含む、合意主導のオープンかつ協力的なプロセスを通じて、AI RMFの開発を進めています。また、NISTのAI活動に関するお知らせのメール配信にご登録いただくこともできます。 AIframework@nist.gov
10. Who can answer additional questions regarding the Framework? 10. フレームワークに関するその他の質問には誰が答えてくれるのですか?
Send us an email: AIframework@nist.gov メールでお問い合わせください。 AIframework@nist.gov

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

NISTIR 8269↓

・2021.12.15 ENISA 機械学習アルゴリズムの保護


NISTIR 8312↓

・2020.08.21 NISTはAIに自己説明を求める?(説明可能な人工知能の4原則)


・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

OECD

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

 

 


 

■ 参考

OECDの「人工知能に関する理事会勧告」

OECD

OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

20220824-21538

 

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

20220824-21652

 

 

| | Comments (0)

個人情報保護委員会 ECサイトへの不正アクセスに関する実態調査(令和4年3月)

こんにちは、丸山満彦です。

個人情報保護委員会が、ECサイトへの不正アクセスに関する実態調査(令和4年3月)を公表していますね。。。

多層防御 (Multi-Layered Security) の考え方がちょっと違うかなぁという気もします(^^;;

委託先の話は、システム開発・運用環境については様々なパターンが想定されるので、どのパターンに対して、どのような対策が適切かとか色々あり得るので、対策を簡単にまとめるのは難しいなぁ。。。と思ったり増しました。。。

 

個人情報保護委員会

・2022.03.18 [PDF] ECサイトへの不正アクセスに関する実態調査(令和4年3月)

20220321-225607  


1. 漏えい等の発生原因

・ 不正アクセスを受けた EC サイトの運営事業者の多くが、EC サイトの開発・構築、運用・保守を外部の事業者に委託していた。

・ 外部委託している事業者において、自社と委託先との間でセキュリティ対策に関する責任範囲を理解しておらず、認識合わせ・合意をしていないとする事業者が多くみられた。セキュリティ対策に漏れが生じないようにするため、委託先との間で、セキュリティ対策の具体的な方法や責任範囲を明確にしておくことが肝要である。

・ 不正アクセスの発生理由についての自社の認識として、脆弱性についての理解不足、技術的ノウハウの不足など、情報セキュリティに関する知識面での不足を挙げる事業者が多くみられ、委託先任せの姿勢を挙げる事業者も過半数となっているほか、予算・人的リソースの不足を挙げる事業者も半数近くに及んでいる。

2. 再発防止策

・ 不正アクセスを受けて、EC サイトの開発・構築を、自社開発や外部委託から、クラウド型サービスによる構築やショッピングモール型のサービスの利用に切り替えた事業者が、多くみられる。

・ 不正アクセスを受けた後、多くの事業者が、EC サイトのセキュリティ対策として、セキュリティ製品の導入、②定期的なソフトウェアの更新、③管理者画面へのアクセス制御の強化又は多要素認証、④WAF の設定見直しや EC パッケージのセキュリティ設定の定期見直し、製品脆弱性の最新情報の収集、定期的なセキュリティ診断を実施している。再発防止策として、これらのセキュリティ対策をできるだけ複数、組み合わせた多層防御を行うことが求められる。

・ 不正アクセスを受けた後、自社従業者へのセキュリティ教育の強化やセキュリティ責任者の配置など、管理体制の強化を図った事業者が多くみられた。自社の EC サイトに必要なセキュリティ対策について全て委託先任せとするのではなく、委託元としてもセキュリティ対策に関する知識を有する人材を育成・確保していくことが求められる。

3. 漏えい等に伴い発生した損失

・ 不正アクセスを受けて個人データが漏えいすることにより、原因等の調査や顧客対応等に多額の費用が発生するほか、EC サイトの運営再開までの間の販売機会を逃すことによる損失も生じる。

・ こうした損失を回避するためには、セキュリティ対策を日頃から適切に行うことが肝要である。


 

| | Comments (0)

2022.03.21

NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

こんにちは、丸山満彦です。

NISTが、SP1270 人工知能におけるバイアスの識別と管理を公表していましたね。。。

次の図が印象的ですね。。。

1_20220321013601

 

 

NIST

・2022.03.16 (news) There’s More to AI Bias Than Biased Data, NIST Report Highlights

There’s More to AI Bias Than Biased Data, NIST Report Highlights AIバイアスには偏ったデータ以上のものがある、NISTの報告書が強調するもの
Rooting out bias in artificial intelligence will require addressing human and systemic biases as well.  人工知能のバイアスを根絶するには、人間やシステム的なバイアスにも対処する必要があります。 
Bias in AI systems is often seen as a technical problem, but the NIST report acknowledges that a great deal of AI bias stems from human biases and systemic, institutional biases as well.  AIシステムにおけるバイアスは技術的な問題として捉えられがちですが、NISTの報告書では、AIのバイアスの多くは人間のバイアスやシステム的、制度的なバイアスにも起因していることを認めています。 
As a step toward improving our ability to identify and manage the harmful effects of bias in artificial intelligence (AI) systems, researchers at the National Institute of Standards and Technology (NIST) recommend widening the scope of where we look for the source of these biases — beyond the machine learning processes and data used to train AI software to the broader societal factors that influence how technology is developed. 米国国立標準技術研究所(NIST)の研究者は、人工知能(AI)システムにおけるバイアスの有害な影響を特定し管理する能力を向上させるための一歩として、こうしたバイアスの原因を探る範囲を広げることを推奨しています。それは、AIソフトウェアの学習に使用する機械学習プロセスやデータを超えて、技術の開発方法に影響を及ぼすより幅広い社会的要因に至るまでです。
The recommendation is a core message of a revised NIST publication, Towards a Standard for Identifying and Managing Bias in Artificial Intelligence (NIST Special Publication 1270), which reflects public comments the agency received on its draft version released last summer. As part of a larger effort to support the development of trustworthy and responsible AI, the document offers guidance connected to the AI Risk Management Framework that NIST is developing.  この提言は、NISTの出版物「T人工知能におけるバイアスの識別と管理の標準化に向けて」(NIST Special Publication 1270)の改訂版の中核的メッセージであり、昨年夏に発表したドラフト版に対して寄せられたパブリックコメントを反映させています。信頼できる責任あるAIの開発を支援するための大きな取り組みの一環として、この文書は、NISTが開発中のAIリスク管理フレームワークに関連するガイダンスを提供しています。 
According to NIST’s Reva Schwartz, the main distinction between the draft and final versions of the publication is the new emphasis on how bias manifests itself not only in AI algorithms and the data used to train them, but also in the societal context in which AI systems are used.  NISTのシュワルツ氏によると、出版物のドラフト版と最終版の主な違いは、AIアルゴリズムやその学習に使用するデータだけでなく、AIシステムが使用される社会的背景において、バイアスがいかに現れるかを新たに強調したことだということです。 
“Context is everything,” said Schwartz, principal investigator for AI bias and one of the report’s authors. “AI systems do not operate in isolation. They help people make decisions that directly affect other people’s lives. If we are to develop trustworthy AI systems, we need to consider all the factors that can chip away at the public’s trust in AI. Many of these factors go beyond the technology itself to the impacts of the technology, and the comments we received from a wide range of people and organizations emphasized this point.” コンテキストがすべて と、AIバイアスの主任研究員で報告書の著者の一人であるシュワルツは次のように述べています。「AIシステムは単独で動作するものではありません。それらは、他の人々の生活に直接影響を与える意思決定を支援します。信頼できるAIシステムを開発するためには、AIに対する人々の信頼を削ぐ可能性のあるすべての要因を考慮する必要があります。これらの要因の多くは、技術そのものにとどまらず、技術がもたらす影響にまで及んでおり、幅広い人々や組織から寄せられたコメントは、この点を強調しています。」
NIST contributes to the research, standards and data required to realize the full promise of artificial intelligence (AI) as an enabler of American innovation across industry and economic sectors. Working with the AI community, NIST seeks to identify the technical requirements needed to cultivate trust that AI systems are accurate and reliable, safe and secure, explainable, and free from bias.  NISTは、産業および経済部門にわたる米国のイノベーションを実現するものとして、人工知能(AI)の完全な約束を実現するために必要な研究、標準、データに貢献しています。NISTは、AIコミュニティと協力し、AIシステムが正確で信頼でき、安全で確実で、説明可能で、バイアスがないという信頼を培うために必要な技術要件を明らかにしようとしています。 
Bias in AI can harm humans. AI can make decisions that affect whether a person is admitted into a school, authorized for a bank loan or accepted as a rental applicant. It is relatively common knowledge that AI systems can exhibit biases that stem from their programming and data sources; for example, machine learning software could be trained on a dataset that underrepresents a particular gender or ethnic group. The revised NIST publication acknowledges that while these computational and statistical sources of bias remain highly important, they do not represent the full picture. AIのバイアスは人間に危害を加える可能性があります。AIは、人が学校に入学するかどうか、銀行の融資を認可されるかどうか、賃貸の申込者として受け入れられるかどうかに影響する決定を下すことができます。例えば、機械学習ソフトは、特定の性別や民族を十分に反映していないデータセットで訓練される可能性があります。NISTの改訂版では、このような計算や統計によるバイアスは非常に重要ではあるものの、全体像を表しているわけではないことを認めています。
A more complete understanding of bias must take into account human and systemic biases, which figure significantly in the new version. Systemic biases result from institutions operating in ways that disadvantage certain social groups, such as discriminating against individuals based on their race. Human biases can relate to how people use data to fill in missing information, such as a person’s neighborhood of residence influencing how likely authorities would consider the person to be a crime suspect. When human, systemic and computational biases combine, they can form a pernicious mixture — especially when explicit guidance is lacking for addressing the risks associated with using AI systems.  バイアスをより完全に理解するためには、人間的・体系的なバイアスを考慮する必要があり、これは新版で大きく取り上げられています。システム的なバイアスは、人種による差別など、特定の社会集団に不利益をもたらす方法で運営されている制度から生じるものです。ヒューマンバイアスは、例えば、居住地域が犯罪の容疑者であると当局が判断する可能性に影響を与えるなど、人々がデータを使って不足している情報を補うことに関係しています。特に、AIシステムの使用に伴うリスクに対処するための明確な指針がない場合、人間的、システム的、計算機的なバイアスが組み合わさると、悪質な混合物を形成する可能性があるのです。 
“If we are to develop trustworthy AI systems, we need to consider all the factors that can chip away at the public’s trust in AI. Many of these factors go beyond the technology itself to the impacts of the technology.”  —Reva Schwartz, principal investigator for AI bias 「信頼できるAIシステムを開発するためには、AIに対する人々の信頼を損なう可能性のあるすべての要因を考慮する必要があります。これらの要因の多くは、技術そのものにとどまらず、技術がもたらす影響にまで及びます。」  -レヴァ・シュワルツ(AIバイアス担当主任研究員
To address these issues, the NIST authors make the case for a “socio-technical” approach to mitigating bias in AI. This approach involves a recognition that AI operates in a larger social context — and that purely technically based efforts to solve the problem of bias will come up short.  これらの問題に対処するため、NISTの著者らは、AIにおけるバイアスを緩和するための「社会技術的」アプローチの必要性を訴えている。このアプローチには、AIがより大きな社会的文脈の中で動作していること、そしてバイアスの問題を解決するための純粋に技術的な取り組みでは不十分であることを認識することが含まれています。 
“Organizations often default to overly technical solutions for AI bias issues,” Schwartz said. “But these approaches do not adequately capture the societal impact of AI systems. The expansion of AI into many aspects of public life requires extending our view to consider AI within the larger social system in which it operates.”  シュワルツは、次のように述べています。「組織はしばしば、AIのバイアスの問題に対して、過度に技術的な解決策をとることがあります。しかし、これらのアプローチでは、AIシステムの社会的影響を適切に捉えることができません。AIが公共生活の多くの側面に拡大することで、AIが運用されるより大きな社会システムの中でAIを考慮するよう、視野を広げる必要があります。」
Socio-technical approaches in AI are an emerging area, Schwartz said, and identifying measurement techniques to take these factors into consideration will require a broad set of disciplines and stakeholders. AIにおける社会技術的アプローチは新たな領域であり、これらの要素を考慮するための測定技術を特定するには、幅広い分野と関係者が必要であるとSchwartzは述べています。
“It’s important to bring in experts from various fields — not just engineering — and to listen to other organizations and communities about the impact of AI,” she said. エンジニアリングだけでなく、さまざまな分野の専門家を招き、AIの影響について他の組織やコミュニティの意見を聞くことが重要です と述べています。
NIST is planning a series of public workshops over the next few months aimed at drafting a technical report for addressing AI bias and connecting the report with the AI Risk Management Framework. For more information and to register, visit the AI RMF workshop page.  NISTは、AIのバイアスに対処するための技術報告書を起草し、その報告書をAIリスク管理フレームワークに接続することを目的として、今後数カ月間に一連の公開ワークショップを計画しています。詳細と登録は、AI RMFワークショップのページをご覧ください。 

 

・[PDF] SP1270 Towards a Standard for Identifying and Managing Bias in Artificial Intelligence

20220321-15021

Executive Summary エグゼクティブサマリー
As individuals and communities interact in and with an environment that is increasingly virtual, they are often vulnerable to the commodification of their digital footprint. Concepts and behavior that are ambiguous in nature are captured in this environment, quantified, and used to categorize, sort, recommend, or make decisions about people’s lives. While many organizations seek to utilize this information in a responsible manner, biases remain endemic across technology processes and can lead to harmful impacts regardless of intent. These harmful outcomes, even if inadvertent, create significant challenges for cultivating public trust in artificial intelligence (AI). 個人やコミュニティがバーチャルな環境で交流するとき、彼らはしばしばデジタルフットプリントの商品化の影響を受けやすくなります。このような環境では、本質的に曖昧な概念や行動が捕捉され、数値化され、人々の生活に関する分類、選別、推奨、意思決定に利用されています。多くの組織がこの情報を責任を持って活用しようと努めていますが、技術プロセスにはバイアスがつきもので、意図に関係なく有害な影響をもたらす可能性があります。こうした有害な結果は、たとえ不注意であったとしても、人工知能(AI)に対する社会の信頼を醸成する上で大きな課題となります。
While there are many approaches for ensuring the technology we use every day is safe and secure, there are factors specific to AI that require new perspectives. AI systems are often placed in contexts where they can have the most impact. Whether that impact is helpful or harmful is a fundamental question in the area of Trustworthy and Responsible AI. Harmful impacts stemming from AI are not just at the individual or enterprise level, but are able to ripple into the broader society. The scale of damage, and the speed at which it can be perpetrated by AI applications or through the extension of large machine learning MODELs across domains and industries requires concerted effort. Current attempts for addressing the harmful effects of AI bias remain focused on computational factors such as representativeness of datasets and fairness of machine learning algorithms. These remedies are vital for mitigating bias, and more work remains. Yet, as illustrated in Fig. 1, human and systemic institutional and societal factors are significant sources of AI bias as well, and are currently overlooked. Successfully meeting this challenge will require taking all forms of bias into account. This means expanding our perspective beyond the machine learning pipeline to recognize and investigate how this technology is both created within and impacts our society. 私たちが毎日使っている技術を安全・安心なものにするためのアプローチは数多くありますが、AIに特有の要因もあり、新しい視点が必要です。AIシステムは、最も影響を与えることができる文脈に置かれることが多くあります。その影響が有益なものか有害なものかは、「信頼できる責任あるAI」の領域における基本的な問題です。AIに起因する有害な影響は、個人や企業レベルだけでなく、より広い社会に波及する可能性があります。AIアプリケーションによって、あるいは大規模な機械学習MODELのドメインや産業にわたる拡張によって引き起こされる被害の規模やそのスピードは、協調的な努力を必要とします。AIによるバイアスの悪影響に対処するための現在の試みは、データセットの代表性や機械学習アルゴリズムの公正さといった計算論的要因に焦点が当てられているに過ぎない。これらの対策はバイアスを軽減するために不可欠であり、さらに多くの課題が残されています。しかし、図1に示すように、人間や制度的・社会的要因もAIバイアスの重要な原因であり、現状では見過ごされています。この課題を成功させるには、あらゆる形態のバイアスを考慮する必要があります。これは、機械学習のパイプラインを越えて、この技術がどのように私たちの社会の中で生まれ、どのような影響を与えるかを認識し、調査するために、私たちの視点を拡大することを意味します。
Trustworthy and Responsible AI is not just about whether a given AI system is biased, fair or ethical, but whether it does what is claimed. Many practices exist for responsibly producing AI. The importance of transparency, datasets, and test, evaluation, validation, and verification (TEVV) cannot be overstated. Human factors such as participatory design techniques and multi-stakeholder approaches, and a human-in-the-loop are also important for mitigating risks related to AI bias. However none of these practices individually or in concert are a panacea against bias and each brings its own set of pitfalls. What is missing from current remedies is guidance from a broader SOCIO-TECHNICAL perspective that connects these practices to societal values. Experts in the area of Trustworthy and Responsible AI counsel that to successfully manage the risks of AI bias we must operationalize these values and create new norms around how AI is built and deployed. This document, and work by the National Institute of Standards and Technology (NIST) in the area of AI bias, is based on a socio-technical perspective. 信頼できる責任あるAIとは、あるAIシステムがバイアスに満ちているか、公正か、倫理的かということだけでなく、主張されたことを実行するかどうかということです。責任を持ってAIを生産するための多くの実践が存在します。透明性、データセット、テスト、評価、妥当性確認、検証(TEVV)の重要性は、いくら強調してもし過ぎることはない。また、参加型設計手法やマルチステークホルダーアプローチなどの人的要因や、人間がループに入ることも、AIのバイアスに関連するリスクを軽減する上で重要です。しかし、これらの実践は、単独でも連携しても、バイアスに対する万能薬ではなく、それぞれに落とし穴があります。現在の救済策に欠けているのは、これらの実践を社会的価値と結びつける、より広範な社会技術的観点からのガイダンスです。信頼できる責任あるAI の分野の専門家は、AIのバイアスのリスクをうまく管理するためには、これらの価値を運用し、AIの構築と展開の方法に関する新しい規範を作成する必要があると助言しています。この文書と、AIのバイアスの分野における米国標準技術研究所(NIST)の研究は、社会技術的な視点に基づいています。
The intent of this document is to surface the salient issues in the challenging area of AI bias, and to provide a first step on the roadmap for developing detailed socio-technical guidance for identifying and managing AI bias. Specifically, this special publication: この文書の意図は、AIバイアスという困難な分野における顕著な問題を表面化させ、AIバイアスを特定し管理するための詳細な社会技術的ガイダンスを開発するためのロードマップの第一歩を提供することです。具体的には、本特別出版は以下の通りです。
・describes the stakes and challenge of bias in artificial intelligence and provides examples of how and why it can chip away at public trust; ・人工知能におけるバイアスの重要性と課題を説明し、それがどのように、そしてなぜ社会的信頼を損ないうるかの例を提示する。
・identifies three categories of bias in AI — systemic, statistical, and human — and describes how and where they contribute to harms; ・AIにおけるバイアスの3つのカテゴリー(システム的、統計的、人間的)を特定し、それらがどのように、どこで害を及ぼすかを説明する。
・describes three broad challenges for mitigating bias — datasets, testing and evaluation, and human factors — and introduces preliminary guidance for addressing them. ・バイアスを軽減するための3つの大きな課題(データセット、テストと評価、人的要因)を説明し、それらに対処するための予備的ガイダンスを紹介する。
Bias is neither new nor unique to AI and it is not possible to achieve zero risk of bias in an AI system. NIST intends to develop methods for increasing assurance, GOVERNANCE and practice improvements for identifying, understanding, measuring, managing, and reducing bias. To reach this goal, techniques are needed that are flexible, can be applied across contexts regardless of industry, and are easily communicated to different stakeholder groups. To contribute to the growth of this burgeoning topic area, NIST will continue its work in measuring and evaluating computational biases, and seeks to create a hub for evaluating socio-technical factors. This will include development of formal guidance and standards, supporting standards development activities such as workshops and public comment periods for draft documents, and ongoing discussion of these topics with the stakeholder community. バイアスはAIにとって新しいものでも特殊なものでもなく、AIシステムにおけるバイアスのリスクをゼロにすることは不可能です。NISTは、バイアスの特定、理解、測定、管理、低減のための保証、ガバナンス、実践改善を高めるための方法を開発する意向です。この目標を達成するためには、柔軟性があり、業界に関係なく文脈を超えて適用でき、異なるステークホルダー集団に容易に伝達できる手法が必要です。この急成長中のトピック分野の成長に貢献するため、NISTは、計算バイアスの測定と評価における作業を継続し、社会技術的な要因を評価するためのハブを構築することを目指します。これには、正式なガイダンスと標準の開発、ワークショップやドラフト文書に対するパブリックコメント期間などの標準開発活動の支援、およびこれらのトピックに関するステークホルダーコミュニティとの継続的な議論が含まれます。

 

目次...

1 Purpose and Scope 1 目的と範囲
2 AI Bias: Context and Terminology 2 AIバイアス:コンテキストと用語解説
2.1 Characterizing AI bias 2.1 AIバイアスの特徴
2.1.1 Contexts for addressing AI bias 2.1.1 AIバイアスに対処するためのコンテクスト
2.1.2 Categories of AI bias 2.1.2 AIバイアスのカテゴリー
2.2 How AI bias contributes to harms 2.2 AIバイアスはどのように害に寄与するのか
2.3 A Socio-technical Systems Approach 2.3 社会技術システムアプローチ
2.4 An Updated AI Lifecycle 2.4 更新されたAIライフサイクル
3 AI Bias: Challenges and Guidance 3 AIバイアス:課題と指針
3.1 Who is Counted? Datasets in AI Bias 3.1 誰がカウントされるのか?AIバイアスにおけるデータセット
3.1.1 Dataset Challenges 3.1.1 データセットの課題
3.1.2 Dataset Guidance 3.1.2 データセットのガイダンス
3.2 How do we know what is right? TEVV Considerations for AI Bias 3.2 何が正しいか、どうすればわかるのか?AIバイアスのためのTEVV考察
3.2.1 TEVV Challenges 3.2.1 TEVVの課題
3.2.2 TEVV Guidance 3.2.2 TEVVガイダンス
3.3 Who makes decisions and how do they make them? Human Factors in AIBias 3.3 誰が、どのように意思決定するのか?AIBiasにおけるヒューマンファクター
3.3.1 Human Factors Challenges 3.3.1 ヒューマンファクタの課題
3.3.2 Human Factors Guidance 3.3.2 ヒューマンファクターに関するガイダンス
3.4 How do we manage and provide oversight? Governance and AI Bias 3.4 どのように管理し、監督を行うか?ガバナンスとAIの偏り
3.4.1 Governance Guidance 3.4.1 ガバナンス・ガイダンス
4 Conclusions 4 結論

 

 

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

 

| | Comments (0)

バイデン大統領と習近平国家主席とのオンライン会談 (台湾とかウクライナとか...)

こんにちは、丸山満彦です。

バイデン大統領と習近平国家主席がオンライン会談をしていましたね。。。ウクライナ問題も議題に上がったようですね。。。

話が噛み合っているような、噛み合っていないような。。。

 

米国政府の発表。発表の時系列に...

White House

・2022.03.17 Statement by Press Secretary Jen Psaki on President Biden’s Call with President Xi Jinping of the People’s Republic of China

Statement by Press Secretary Jen Psaki on President Biden’s Call with President Xi Jinping of the People’s Republic of China バイデン大統領と習近平国家主席とのオンライン会談に関するジェン・プサキ報道官によるステートメント
President Joseph R. Biden, Jr. will speak with President Xi Jinping of the People’s Republic of China (PRC) this Friday. This is part of our ongoing efforts to maintain open lines of communication between the United States and the PRC. The two Leaders will discuss managing the competition between our two countries as well as Russia’s war against Ukraine and other issues of mutual concern. ジョセフ・R・バイデンJr.大統領は今週金曜日、中華人民共和国(PRC)の習近平国家主席と会談する予定です。 これは、米国と中国の間に開かれたコミュニケーションラインを維持するための、我々の継続的な努力の一環です。両首脳は、両国間の競争の管理、ロシアのウクライナに対する戦争、その他の相互の関心事について話し合う予定です。

 

・2022.03.18 Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China

Readout of President Joseph R. Biden Jr. Call with President Xi Jinping of the People’s Republic of China ジョセフ・R・バイデン Jr. 中華人民共和国の習近平国家主席とのオンライン会談について
President Joseph R. Biden, Jr. spoke today with President Xi Jinping of the People’s Republic of China (PRC). The conversation focused on Russia’s unprovoked invasion of Ukraine. President Biden outlined the views of the United States and our Allies and partners on this crisis. President Biden detailed our efforts to prevent and then respond to the invasion, including by imposing costs on Russia. He described the implications and consequences if China provides material support to Russia as it conducts brutal attacks against Ukrainian cities and civilians. The President underscored his support for a diplomatic resolution to the crisis. The two leaders also agreed on the importance of maintaining open lines of communication, to manage the competition between our two countries. The President reiterated that U.S. policy on Taiwan has not changed, and emphasized that the United States continues to oppose any unilateral changes to the status quo. The two leaders tasked their teams to follow up on today’s conversation in the critical period ahead. ジョセフ・R・バイデンJr.大統領は本日、中華人民共和国(PRC)の習近平国家主席と会談しました。会談では、ロシアのウクライナへのいわれのない侵攻に焦点が当てられました。バイデン大統領は、この危機に対する米国と同盟国およびパートナーの見解について概要を説明しました。バイデン大統領は、ロシアにコストを課すことを含め、侵攻を防止し、それに対応するための我々の努力について詳しく説明しました。また、ロシアがウクライナの都市や市民に対して残忍な攻撃を行う際に、中国がロシアに物質的支援を提供した場合の意味と結果について説明しました。大統領は、この危機の外交的解決への支持を強調しました。両首脳はまた、両国間の競争を管理するために、開かれたコミュニケーションラインを維持することの重要性で一致しました。大統領は、台湾に対する米国の政策に変更がないことを改めて強調し、米国は引き続き、現状に対するいかなる一方的な変更にも反対することを強調しました。両首脳は、これからの重要な時期に、今日の会話をフォローアップすることをそれぞれのチームに課しました。

 

・2022.03.18 Background Press Call by a Senior Administration Official on President Biden’s Call with President Xi Jinping of China 
 

Background Press Call by a Senior Administration Official on President Biden’s Call with President Xi Jinping of China バイデン大統領と習近平国家主席との電話会談に関する政権高官による背景説明プレスコール
2:53 P.M. EDT 米国東部標準時:2:53 P.M.
     SENIOR ADMINISTRATION OFFICIAL:  Thank you.  Thanks, everyone, for joining.  I just — at the top, I want to say, you know, incredibly sorry for the delay today.  We really try for this not to ever happen.  And just some scheduling and logistical challenges today put us a little bit back.  So, again, true apologies, and we know how important your time is.      政府高官:ありがとうございます。  皆さん、ご参加ありがとうございます。  冒頭で、今日の遅刻は本当に申し訳ないと申し上げたいのです。  このようなことが起こらないように、私たちは本当に努力しています。  ただ、今日はスケジュールとロジスティクスの問題で、少し遅れてしまいました。  皆さんの時間がどれほど大切か、私たちは知っています。
So, that being said, you know, welcome to the call.  This call is on background.  It is attributable to a “senior administration official.”  And this call is embargoed until the end of the call. ということで、お電話をありがとうございました。  この通話はバックグラウンドで行われます。  [政府高官] によるものです。  この通話は最後になるまで公開禁止です。
For your awareness and not for reporting, the speaker on this call is [senior administration official].  And with that, I’ll turn it over to you to give some remarks, and then we’ll take some questions.  Thanks, again, everyone. この通話の発言者は[政府高官]であることをご理解ください。  それでは、ご挨拶と質問をお願いします。  皆さん、ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Thanks, [senior administration official].  And I’ll just reiterate: Everybody, thanks for your patience today.  And I’ll, with that, just get right to it. 政府高官: ありがとう、[政府高官]さん。  そして、もう一度言います。皆さん、今日はお待たせしました。  それでは、本題に入りたいと思います。
You all have hopefully now seen the readout that has gone out.  So, just building on that with a little bit more detail for all of you, you know, the call between President Biden and President Xi this morning lasted approximately two hours.  Of course, it was conducted by a secure video link.  皆さんは今、配信された読み上げをご覧になったことと思います。  今朝のバイデン大統領と習近平国家主席の電話会談はおよそ2時間でした。  もちろん、安全なビデオリンクで行われました。 
I would say the conversation was direct.  It was substantive and it was detailed.  The two leaders spent the preponderance of their time discussing Russia’s unprovoked and unjustified invasion of Ukraine, as well as the implications of the crisis for U.S.-China relations and the international order. 会話は直接的だったと言えるでしょう。  実質的であり、詳細でした。  両首脳はその大半の時間を、ロシアのいわれのない不当なウクライナ侵攻と、この危機が米中関係や国際秩序に与える影響について議論しました。
President Biden shared with President Xi a detailed review of how things have developed to this point, his assessment of the situation today, and President Biden underscored his support for a diplomatic resolution to the crisis.  バイデン大統領は習主席と、ここまでの経緯や今日の状況についての評価を詳しく共有し、バイデン大統領は危機の外交的解決への支持を強調しました。 
     The President described our assessment of Putin’s actions and his miscalculations.  He also described the unity of the United States and its Allies and partners, the unprecedented coordination with our European, NATO, and Indo-Pacific partners, and the overwhelming global unity and condemnation of Russia — Russia’s invasion of Ukraine, as well as the support for Ukraine.      大統領は、プーチンの行動とその誤算に関する我々の評価を説明しました。  また、米国とその同盟国およびパートナーの結束、欧州、NATO、インド太平洋地域のパートナーとの前例のない連携、ロシア-ロシアのウクライナ侵攻に対する圧倒的な世界の結束と非難、そしてウクライナへの支援について説明しました。
President Biden made clear the implication and consequences of China providing material support — if China were to provide material support — to Russia as it prosecutes its brutal war in Ukraine, not just for China’s relationship with the United States but for the wider world.   バイデン大統領は、中国がウクライナで残虐な戦争を遂行するロシアに物質的支援を提供した場合、中国と米国の関係だけでなく、より広い世界に対してその意味合いと結果を明確にしました。 
And he stressed concerns, as you’ve heard us speak about more broadly, that Russia is spreading disinformation about biological weapons in Ukraine as a pretext for a false-flag operation and underscored concerns about echoing such disinformation.  そして、これまで私たちがより広く語ってきたように、ロシアが偽旗作戦の口実としてウクライナの生物兵器に関する偽情報を流していることへの懸念を強調し、そうした偽情報に呼応することへの懸念を強調しました。 
President Xi raised Taiwan.  President Biden reiterated that the United States remains committed to our one-China policy and is guided by the Taiwan Relations Act, the Three Joint Communiqués, and the Six Assurances.  And he underscored the importance of maintaining peace and stability across the Taiwan Strait.  習主席は、台湾を提起しました。  バイデン大統領は、米国は引き続き一つの中国政策にコミットしており、台湾関係法、三つの共同コミュニケ、六つの保証に導かれていることを改めて強調しました。  そして、台湾海峡の平和と安定を維持することの重要性を強調しました。 
The two leaders also discussed the importance of managing competition between the two countries — between the United States and China — of addressing areas of strategic risk and maintaining open lines of communication.  And to that end, they tasked their teams to follow up on the leaders’ discussion in the days and weeks ahead. 両首脳はまた、両国の間、すなわち米国と中国の間の競争を管理すること、戦略的リスクのある分野に対処し、開かれたコミュニケーションラインを維持することの重要性について議論しました。  そして、そのために、両首脳はそれぞれのチームに、今後数日から数週間のうちに首脳の議論をフォローアップするよう命じた。
Of course, today’s conversation followed up on National Security Advisor Jake Sullivan’s meeting with his counterpart in Rome earlier this week in which the two agreed that the two presidents would speak — again, as both sides believe that there is no substitute for leader-to-leader engagement.  もちろん、本日の会談は、今週初めにローマで行われたジェイク・サリバン国家安全保障顧問の会談に続くもので、両首脳が話をすることに合意したのは、やはり両者にとって、指導者と指導者との対話に代わるものはないとの考えからです。 
And, as you all know, this call comes amid the intensive engagement we’ve had with allies and partners in Europe and the Indo-Pacific in recent weeks.  そして、皆さんもご存じのように、この数週間、欧州やインド太平洋地域の同盟国やパートナーと集中的に関与してきた中で、今回の電話会談が実現したのです。 
And with that, I will be happy to take your questions.  それでは、質問をお受けします。 
Q    Hi, [senior administration official].  Thanks for doing this.  First, I wanted to ask if President Biden warned Xi Jinping specifically about sanctions, or did he refer to more vague consequences should China provide any support for Russia in the war?  And regardless, what was Xi’s response to that? Q こんにちは、[政権高官]さん。  ありがとうございます。  まず、バイデン大統領が習近平に制裁について具体的に警告したのか、それとも中国が戦争でロシアに何らかの支援を行った場合、より曖昧な結果に言及したのか、お聞きしたいのです。  また、それに対する習近平の反応はどうだったのでしょうか。
Yeah, I appreciate that.  よろしくお願いします。
SENIOR ADMINISTRATION OFFICIAL:  Of course.  Well, thanks, Michael.  So, you know, as I mentioned, the President described the implications, you know, if China provides material support to Russia as it prosecutes this brutal war, but I’m not going to talk — I’m not going to, sort of, publicly lay out our options from here.  政府高官: もちろんです。  ありがとう、マイケル。  先ほど申し上げたように、大統領は、中国がこの残忍な戦争を遂行するロシアに物質的支援を提供した場合の影響について説明しましたが、私は、ここからの選択肢を公に打ち出すつもりはありません。 
We’re going to continue to talk directly with China, as well as to our Allies and partners, about the broader situation.  And I will let the PRC characterize what Xi Jinping’s comments were. 私たちは中国と、そして同盟国やパートナーと、より広範な状況について直接対話を続けるつもりです。  習近平の発言がどのようなものであったかは、中国に任せたいと思います。
Q    Thank you.  Do you have an assessment of whether or not China has made a decision to go down this road with Russia? Q ありがとうございます。  中国がロシアとこの道を歩む決断をしたかどうか、評価はありますか?
And then, second: More broadly, was there any talk of, sort of, the commercial ramifications that have happened for Russia as a result of this war, with big Western companies leaving and the prospect that that could happen to China if they were to get involved in assisting? そして、2つ目は、より広く、この戦争の結果、ロシアに起こった商業的な影響、欧米の大企業の撤退、そして、もし中国が支援に関わることになれば、中国にも起こりうるという見通しについて、ある種の話はありましたか?
SENIOR ADMINISTRATION OFFICIAL:  Thanks, Aamer.  On your first question, I’m not going to comment on specifics at this time. 政府高官:ありがとう、エイマー。  最初の質問については、現時点では具体的なコメントをするつもりはありません。
On the question about the actions — the economic responses to Russia and the private sector: Yeah, I would say, you know, the President, you know, really laid out in a lot of detail the unified response from not only, you know, governments around the world but also the private sector, to Russia’s brutal aggression in Ukraine. ロシアと民間企業に対する行動-経済的対応についての質問です。大統領は、ウクライナにおけるロシアの残虐な侵略行為に対して、世界中の政府だけでなく、民間企業も含めた統一的な対応策を詳細に説明されました。
And, you know, the President made clear that, you know, there would be — that there would likely be consequences for those who are — who would — who would step in to support Russia at this time. そして大統領は、この時期にロシアを支援するために介入する人々には、おそらく結果がもたらされることを明確にしたのです。
Q    Thank you.  Can you tell me if the President expressly asked Xi — Xi Jinping — to intercede with Moscow, with Putin, to stop the war and specifically to withdraw from (inaudible)? Q ありがとうございます。  大統領が習近平に、モスクワ、プーチンに戦争を止めるよう、そして特に(聞き取れず)撤退するよう仲介するよう明示的に求めたかどうか、教えてください。
And did Xi offer in any way to use his influence with Putin to end the aggression? また、習近平はプーチンとの影響力を行使して侵略を終わらせることを何らかの形で申し出たのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Thanks, Ellen.  Yeah, look, you know, the call wasn’t really — and I mean, the President really wasn’t making specific requests of China.  He was laying out his assessment of the situation, what he thinks makes sense, and the implications of certain actions. 政府高官:ありがとう、エレン。  大統領は中国に具体的な要求をしたわけではありません。  大統領は、状況に対する自らの評価と、理にかなった行動、そしてある行動がもたらす影響を説明したのです。
You know, I think our view is that China will make its own decisions, and so I’d describe that as sort of the nature of the call.  And again, on any response from President Xi, you know, you’d have to talk to Beijing. 私たちの見解は、中国は自分自身で決断を下すということです。  習近平主席の反応については、北京に問い合わせるしかないでしょう。
Q    Hi, everyone.  Thank you so much for doing the call.  Can you tell us if President Xi made any guarantees to President Biden that he would not help Russia? Q 皆さん、こんにちは。  お電話をありがとうございました。  習近平主席がバイデン大統領にロシアを助けないという保証をしたのかどうか、教えてください。
And did the President come away from the call with a sense that President Xi is ready to condemn the invasion?  Because China’s still hasn’t done that publicly.  Did President Xi condemn the invasion in this call, or did President Biden come away with this with a sense that he will do so?  Thank you. また、習主席が侵略を非難する用意があることを、大統領はこの電話から感じ取ってくれたでしょうか。  中国はまだそれを公にしていませんから。  習主席はこの電話会談で侵略を非難したのでしょうか、それともバイデン大統領はそうするつもりで電話会談を終えてきたのでしょうか?  ありがとうございました。
SENIOR ADMINISTRATION OFFICIAL:  Yeah, look, on your first question, you know, China will make its own decisions.  And I think you probably have seen the readout that they have put out; I would refer you to that as their characterization of President Xi’s words. 政府高官:ええ、最初の質問ですが、中国は自分自身の決断を下すでしょう。  そして、おそらく皆さんは中国が発表した読み物をご覧になったと思いますが、それは習近平主席の言葉に対する彼らの考え方として参考にしてください。
You know, as I said, I think the President was — President Biden was candid and direct in discussing his assessment of the situation and, you know, what he believes would be necessary, in order to find a diplomatic resolution to the crisis. 私が申し上げたように、大統領は......バイデン大統領は、状況の評価と、危機の外交的解決を見つけるために何が必要だと考えているかについて、率直かつ直接的に話をしたと思います。
But, you know, I think, in terms of what President Xi said, again, I’m going to leave it to the Chinese side to characterize their words. しかし、習近平国家主席の発言については、中国側の表現に委ねたいと思います。
MODERATOR:  Can we do our next question, please? 司会:次の質問をお願いします。
Q    Thanks so much.  And thanks for doing this.  Two questions for you.  Did President Biden get the sense that President Xi was caught off guard by the nature of the Russian invasion and how it’s gone?  And during this two-hour call, did Xi ever refer to it as an invasion? Q どうもありがとうございました。  そして、電話コールを開催してくれてありがとうございます。  2つ質問をさせてください。  バイデン大統領は、習主席がロシアの侵略の本質とその行方に不意を突かれたという感覚を得たのでしょうか?  2時間の会談で習近平は 侵略と言ったのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  Sorry, I was taking down notes to make sure I remember your questions. 政府高官:すみません、あなたの質問を忘れないようにメモをとっていたのですが。
     You know, look, on the first question: You know, I think, you know, the National Security Advisor has — has spoken publicly about our assessment of Beijing’s reaction to the invasion.  And so, I will just point you to his comments.  I don’t have them exactly in front of me, but I think he’s been on the record about this.      最初の質問についてです。国家安全保障アドバイザーは、侵略に対する北京の反応に対する我々の評価について、公の場で語っています。  そこで、彼のコメントを紹介します。  目の前にあるわけではありませんが、彼はこのことについて記録していると思います。
     You know, and in terms of how Xi referred to — you know, referred to the situation, again, I would just point you to their own words as they have characterized them.      また、習近平がこの状況をどう見ていたかについては、やはり彼らの言葉を参照してください。
Q    Hi, [senior administration official].  Thanks for doing the call.  Can you just share a little bit of color on whether the President felt more or less optimistic about where China st- — where President Xi stands on the issue of Ukraine after this call? Q こんにちは、[政権高官]。  電話をありがとうございました。  このオンライン会談の後、大統領がウクライナ問題に対する中国の立場、つまり習主席の立場について楽観的になったのか、それともそうでないのか、少し教えていただけますか?
     And just a follow-up: The Chinese readout suggests that President Xi complained to President Biden about people in the U.S. sending wrong signals to Taiwan’s independence forces.  Can you detail President Biden’s response to this?  Thanks.      中国側の発表によると、習主席はバイデン大統領に、米国内の人々が台湾独立勢力に誤ったシグナルを送っていると苦言を呈したとのことですが、この点についてはいかがでしょうか。  これに対するバイデン大統領の反応を詳しく教えてください。  ありがとうございます。
SENIOR ADMINISTRATION OFFICIAL:  Thanks so much, Patsy.  Look, I — you know, I think, as we felt with the conversation in Rome with Director Yang earlier this week and the conversation with, you know, President Xi here today, this was really about President Biden being able to lay out very clearly in substantial detail, with a lot of facts, and a lot of just — you know, really walking President Xi through the situation, making very, very clear our views, the views of others, what we have laid out in the previous months and the actions we’re taking now. 政府高官: どうもありがとう、パッツィー。  今週初めにローマで行われた楊斌氏との対話、そして今日行われた習主席との対話で感じたことですが、バイデン大統領は、多くの事実、そして多くのことを詳細に、非常に明確に説明し、習主席に状況を説明し、我々の見解、他の人々の見解、過去数ヶ月に我々が提示したこと、現在行っている行動を非常に明確にしたのだと思います。
     And I think it was the — I think, from our perspective, we will — we will see what decisions China makes in the days and weeks ahead.      私たちの立場からすれば、中国が今後どのような決断を下すのか、数日から数週間のうちに見届けることになると思います。
     And so, I think it was sort of less about coming away with a particular view out of the conversation today and more about making sure, again, that they were able to really have that direct, candid and detailed and very substantive conversation at the leader level.  And we know there really is no replacement for that.       ですから、今日の会話から特定の見解を持って帰るということよりも、リーダーレベルで直接、率直に、詳細に、非常に実質的な会話をすることができたかどうかを確認することが重要だったと思います。  そして、それに代わるものはないのです。 
     So, that’s how I would think about the conversation today.      ですから、今日の会話については、そのように考えています。
     In terms of the question about Taiwan, President Biden was very clear that our policy has not changed, that — you know, he reiterated our one-China policy based on the Taiwan Relations Act, the Three Communiqués, the Six Assurances.       台湾についての質問ですが、バイデン大統領は、我々の政策が変わっていないこと、つまり、台湾関係法、3つのコミュニケ、6つの保証に基づく我々の一つの中国政策について繰り返し述べたことは非常に明確です。 
     And he underscored, as well, concerns about Beijing’s coercive and provocative actions across the Taiwan Strait.  President Biden made clear that we remain opposed to any unilateral changes to the status quo across the Taiwan Strait.       そして、台湾海峡を挟んだ北京の強圧的で挑発的な行動に対する懸念も強調しました。  バイデン大統領は、台湾海峡を挟んだ現状に対するいかなる一方的な変更にも反対であることを明確にしました。 
     And, you know, I would just remind, obviously, that President Biden himself voted for the Taiwan Relations Act, and he’s firmly committed to the principles in it, and that the Biden administration has consistently demonstrated rock-solid support for Taiwan and will continue to do so.      そして、バイデン大統領自身が台湾関係法に賛成し、その原則に固くコミットしていること、バイデン政権は一貫して台湾への確固たる支持を示し、今後もそうし続けることを、私は明らかに思い起こさせるだけです。
     But, again, you know, President Biden’s response was really about just reaffirming our continued, consistent policy — very longstanding policy — while underscoring concerns about Beijing’s coercive and provocative actions across the Strait.      しかし、バイデン大統領の回答は、我々の継続的で一貫した政策-非常に長年の政策-を再確認する一方、海峡を越えた北京の強圧的で挑発的な行動に対する懸念を強調するものでした。
MODERATOR:  Great.  Thanks, [senior administration official].  And thanks, everyone, for joining.  司会:素晴らしい。  ありがとうございました。  そして皆さん、ご参加ありがとうございました。 
     You know, again, very sorry for the delay.  You know, I know we’ll have a press briefing shortly, so hopefully more questions can be taken there.  And then if there’s still more that you all need, we’re here to provide any sort of help that you might — you might need.      また、遅くなって申し訳ありません。  まもなく記者会見を行いますので、そこでもっと多くの質問ができることを期待しています。  もしまだ何か必要なことがあれば、私たちはどんなことでもお手伝いします。
     So, just as a reminder, this call was on background, attributable to a “senior administration official.”  And the embargo on the contents of the call have now lifted.       念のためお伝えしますが、この通話は「政権高官」によるもので、バックグラウンドで行われました。  通話内容の秘密は解除されました。 
     So, thanks again, everyone.  Have a good day.      それでは、皆さん、ありがとうございました。  良い一日を。
3:07 P.M. EDT 米国東部標準時:3:07 P.M.

 

中国側の発表

外交部

・2022.03.18 习近平同美国总统拜登视频通话

习近平同美国总统拜登视频通话 習近平とジョー・バイデン米国大統領とのオンライン会談
2022年3月18日晚,国家主席习近平应约同美国总统拜登视频通话。两国元首就中美关系和乌克兰局势等共同关心的问题坦诚深入交换了意见。 2022年3月18日夜、習近平国家主席はジョー・バイデン米国大統領とアポを取ってオンライン会談を行いました。 両首脳は、中米関係やウクライナ情勢など共通の関心事について、率直かつ深い意見交換を行いました。
拜登表示,50年前,美中两国作出重要抉择,发表了“上海公报”。50年后的今天,美中关系再次处于关键时刻,美中关系如何发展将塑造21世纪的世界格局。我愿重申:美国不寻求同中国打“新冷战”,不寻求改变中国体制,不寻求通过强化同盟关系反对中国,不支持“台独”,无意同中国发生冲突。美方愿同中方坦诚对话,加强合作,坚持一个中国政策,有效管控好竞争和分歧,推动美中关系稳定发展。我愿同习近平主席保持密切沟通,为美中关系把舵定向。 バイデン氏は、「50年前、米中は重要な選択をし、上海コミュニケを発表した。50年後、米中関係は再び重要な岐路に立っており、それらがどのように発展するかは21世紀の世界の風景を形作ることになる」と述べました。 米国は中国との「新冷戦」を求めず、中国の制度を変えようとせず、中国に対する同盟を強化しようとせず、「台湾独立」を支持せず、中国との紛争に関与する意図がないことを改めて強調したい。 米国は中国と率直な対話を行い、協力を強化し、一つの中国政策を堅持し、競争と相違を効果的に管理し、米中関係の安定的な発展を促進することを望んでいます。 私は、習近平国家主席と緊密なコミュニケーションをとりながら、米中関係の舵取りをする用意があると示しました。
习近平指出,去年11月我们首次“云会晤”以来,国际形势发生了新的重大变化。和平与发展的时代主题面临严峻挑战,世界既不太平也不安宁。作为联合国安理会常任理事国和世界前两大经济体,我们不仅要引领中美关系沿着正确轨道向前发展,而且要承担应尽的国际责任,为世界的和平与安宁作出努力。 習近平国家主席は、昨年11月の最初の「トップ会談」以来、国際情勢が大きく変化していることに言及しました。 平和と発展の時代というテーマは、深刻な問題に直面しており、世界は平和でも平穏でもありません。 国連安全保障理事会の常任理事国として、また世界のトップ2の経済大国として、米中関係を正しい方向に導くだけでなく、国際的な責任を果たし、世界の平和と静穏のために努力しなければならないことを指摘しました。
习近平强调,我和总统先生都赞同中美要相互尊重、和平共处、避免对抗,都同意双方在各层级各领域要加强沟通对话。总统先生刚才又重申,美方不寻求打“新冷战”,不寻求改变中国体制,不寻求通过强化同盟关系反对中国,不支持“台独”,无意同中国发生冲突。对于你的这些表态,我是十分重视的。 習近平国家主席は、「私も大統領も、中国と米国が互いに尊重し合い、平和的に共存し、対立を避けるべきだという点で一致しており、双方があらゆるレベル、あらゆる分野でコミュニケーションと対話を強化すべきだという点で一致している」と強調しました。 大統領も先ほど、米国は「新冷戦」を戦おうとはせず、中国の体制を変えようとはせず、同盟関係を強化して中国に対抗しようとはせず、「台湾独立」を支持せず、中国と衝突するつもりもないことを改めて強調しました。 私は、あなたのこれらの発言を非常に重要視しています。
习近平指出,目前,中美关系还没有走出美国上一届政府制造的困境,反而遭遇了越来越多的挑战。特别是美国一些人向“台独”势力发出错误信号,这是十分危险的。台湾问题如果处理不好,将会对两国关系造成颠覆性影响。希望美方予以足够重视。中美关系之所以出现目前的局面,直接原因是,美方一些人没有落实我们两人达成的重要共识,也没有把总统先生的积极表态落到实处。美方对中方的战略意图作出了误读误判。 習近平国家主席は、現在、中米関係は米国の前政権が作り出した苦境からまだ抜け出せておらず、ますます多くの課題に直面していると指摘しました。 特に米国の一部の人々は、「台湾独立」勢力に間違ったシグナルを送っており、非常に危険です。 台湾問題をきちんと処理しないと、日米関係に不安定な影響を与えます。 米国側には十分な配慮をお願いしたい。 現在の中米関係の状況は、米国側の一部の人々が、両者間で得られた重要なコンセンサスを履行せず、主席の前向きな発言を実践しなかったことに直接起因しています。 米国側は、中国側の戦略的意図について誤解と判断を誤っています。
习近平强调,中美过去和现在都有分歧,将来还会有分歧。关键是管控好分歧。一个稳定发展的中美关系,对双方都是有利的。 習近平国家は、中国と米国は過去にも現在にも相違があり、将来も相違があることを強調した。 大切なのは、その違いをうまくマネジメントすることです。 中米関係が安定し発展することは、双方にとって有益なことです。
双方就当前乌克兰局势交换意见。 ウクライナの現状について意見交換を行いました。
拜登介绍了美方的立场,表示愿同中方沟通,防止事态升级。 バイデンは米国の立場を示し、エスカレーションを防ぐために中国側と意思疎通を図る意向を表明しました。
习近平指出,乌克兰局势发展到这个地步,是中方不愿看到的。中方历来主张和平,反对战争,这是中国历史文化传统。我们向来从事情本身的是非曲直出发,独立自主作出判断,倡导维护国际法和公认的国际关系基本准则,坚持按照联合国宪章办事,主张共同、综合、合作、可持续的安全观。这些大的原则是中方处理乌克兰危机的立足点。中方已经提出了关于乌克兰人道主义局势的六点倡议,愿向乌克兰和受影响的其他国家进一步提供人道主义援助。各方应该共同支持俄乌对话谈判,谈出结果、谈出和平。美国和北约也应该同俄罗斯开展对话,解开乌克兰危机的背后症结,化解俄乌双方的安全忧虑。 習近平国家主席は、ウクライナ情勢がここまで発展したのは、中国が望んでいないことだと指摘しました。 中国は常に平和を唱え、戦争に反対してきました。それは中国の歴史的、文化的伝統です。 私たちは常に、問題そのものの是非について独自の判断を下し、国際法と国際関係の普遍的な基本規範の支持を唱え、国連憲章を遵守し、共通、包括的、協力的かつ持続的な安全保障の概念を提唱してきました。 これらの広範な原則は、中国のウクライナ危機への対応の基礎となるものである。 中国はウクライナの人道的状況について6項目のイニシアチブを打ち出し、ウクライナをはじめとする被災国にさらなる人道支援を提供する意向です。 すべての当事者が協力して、ロシアとウクライナの対話と交渉が成果を上げ、平和になるように支援する必要があります。 米国とNATOは、ウクライナ危機の背後にある結びつきを解きほぐし、ロシアとウクライナ双方の安全保障上の懸念を解決するために、ロシアとの対話にも取り組むべきです。
习近平强调,当前,世界各国已经十分困难了,既要应对新冠肺炎疫情,又要保经济保民生。作为大国领导人,我们要考虑妥善解决全球热点问题,更要考虑全球稳定和几十亿人民的生产生活。实施全方位、无差别制裁,受罪的还是老百姓。如果进一步升级,还会引发全球经贸、金融、能源、粮食、产业链供应链等发生严重危机,使本已困难的世界经济雪上加霜,造成不可挽回的损失。形势越是复杂,越需要保持冷静和理性。任何情况下都要拿出政治勇气,为和平创造空间,为政治解决留有余地。中国有两句老话,一句是“一个巴掌拍不响”,另一句是“解铃还须系铃人”。关键是当事方要展现政治意愿,着眼当下,面向未来,找到妥善解决办法,其他方面可以也应当为此创造条件。当务之急是继续对话谈判,避免平民伤亡,防止出现人道主义危机,早日停火止战。长久之道在于大国相互尊重、摒弃冷战思维、不搞阵营对抗,逐步构建均衡、有效、可持续的全球和地区安全架构。中国一直在为和平尽力,将继续发挥建设性作用。 習近平国家主席は、世界各国がCOVID19の流行に対処し、同時に経済と生活を守ることはすでに非常に困難であると強調しました。 主要国のリーダーとして、世界のホットスポットの問題を適切に解決すること、そしてより重要なのは世界の安定と何十億もの人々の生産的な生活を考えることです。 もし、あらゆる面で、差別なく制裁が行われれば、苦しむのは国民です。 さらにエスカレートすれば、世界の貿易、金融、エネルギー、食糧、産業のサプライチェーンに深刻な危機をもたらし、ただでさえ厳しい世界経済にさらに拍車をかけ、取り返しのつかないダメージを与えることになります。 状況が複雑であればあるほど、冷静さと理性を保つことが大切です。 平和のための空間を作り、政治的解決のための余地を残すためには、どんな状況でも政治的勇気が必要です。 中国には「手のひらは片手では鳴らせない(孤立して協力者を失っては何もできない)」、「(虎に)鐘を結べる人が、(虎から)鐘を外せる。(蒔いた種は自分で刈り取らなければならない)」という古くからの言葉があります。 重要なのは、当事者が政治的な意志を示し、現在に目を向け、将来を見据え、適切な解決策を見出すことであり、他の当事者はそのための条件を整えることができるし、そうすべきなのです。 対話と交渉を続け、民間人の犠牲を避け、人道的危機の発生を防ぎ、早期に戦争を終結させることが最も急務です。 長期的な解決策は、主要国間の相互尊重、冷戦メンタリティの放棄、陣営間の対立を控え、バランスのとれた効果的で持続可能な世界と地域の安全保障構造を徐々に構築していくことにあります。 中国は平和のために最善を尽くしており、今後も建設的な役割を担っていくでしょう。
两国元首认为,此次视频通话是建设性的,责成两国工作团队及时跟进,采取实际行动,争取中美关系重返稳定发展的轨道,为妥善解决乌克兰危机作出各自的努力。 両首脳はオンライン会談を建設的なものと考え、中米関係の安定した発展への回帰を目指し、ウクライナ危機の適切な解決に向けてそれぞれの努力を行うため、両国の作業チームが適時にフォローアップし、実際的な行動を取ることを課題としました。
丁薛祥、刘鹤、王毅等参加上述活动。 Ding Xuexiang、Liu He、Wang Yiが上記の活動に参加しました。

 

 


Fig1_20211117141901


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.24 それぞれの国の言い分

・2022.02.14 米国 White House 米露大統領の電話会談(ウクライナ問題)

・2022.02.04 バイデン大統領夫妻の旧正月に寄せたメッセージ. - 米国が競争しているのは、中国ではなく中国共産党政府なんでしょうね。。。

・2021.11.17 米国 中国 バイデン大統領と習近平国家主席の対談

 

| | Comments (0)

2022.03.20

米国 カーネギーメロン大学ソフトウェア工学研究所 Deep Fakeの作成と検出はどの程度簡単か?

 こんにちは、丸山満彦です。

カーネギーメロン大学ソフトウェア工学研究所がDeep Fakeの作成と検出はどの程度簡単か?という内容の記事を載せていますね。。。

Deep Fakeですが、低予算で作成できるようになってきていますが、そもそも質が低いと人間でも見破れますし、検出技術も上がってきているので、見破れないようなDeep Fakeを作るのはそんなに簡単ではないようですね。。。

ただ、Deep Fakeであることがわかる前に、SNS等で本物だという前提で拡散されてしますと、時には大きな問題を引き起こす可能性があるだけに、注目しておく必要がある技術ですよね。。。

 

Carnegie Mellon University - Software Engineering Institute

・2022.03.14 (blog) How Easy Is It to Make and Detect a Deepfake?

 

Fig_20220320012501

 

 

| | Comments (0)

米国 ハーバード・ベルファ科学国際問題センター 「サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり」

こんにちは、丸山満彦です。

米国のハーバード大学にあるベルファ科学国際問題センター [wikipedia] が、「サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり」という報告書を公表していますね。。。

北朝鮮が国をあげて経済的な利益を得る手段として、サイバー空間も利用しているというのは、日本だけでなく海外でもサイバー脅威に日々接している人たちの間のコンセンサスになっているように感じます。。。

Belfer Center for Science and International Affairs, Harvard Kennedy School

・2022.03.15 Cybercriminal Statecraft - North Korean Hackers’ Ties to the Global Underground

・[PDF

20220320-03515

 

Cybercriminal Statecraft - North Korean Hackers’ Ties to the Global Underground サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり
Introduction: “A Criminal Syndicate with a Flag” 導入: 「旗を持った犯罪シンジケート」
North Korean Financially Motivated Cyber Operations 北朝鮮の金銭的動機に基づくサイバー作戦
  Toward an Organizational Structure   組織体制に向けて
  Convergence of Interests and Tradecraft with Cybercriminals   サイバー犯罪者との利害の一致と手口
Foreign Ties 海外とのつながり
  The Russian-Speaking Underground   ロシア語圏のアンダーグラウンド
  Partnership in Action   パートナーシップの実践
Implications 意味合い
  Policy Realm   政策領域
  Further Research   さらなる研究
Conclusion 結論
Works Cited 引用文献

 

| | Comments (0)

米国 ピュー研究所 AIと人間強化についての調査

こんにちは、丸山満彦です。

米国のピュー研究所がAIと人間強化についての世論調査をして、公表しています。広い国土に幅広い考え方がいる米国の正確な縮図になっているわけではないのでしょうが、ある程度の傾向はわかるのでしょう。。。

調査項目は6つで、

AI」について

・警察による顔識別技術の利用、

・ソーシャルメディア企業によるサイト上の偽情報を発見するためのアルゴリズムの利用

・無人運転自動車の開発である。

人間強化」について、

・認知能力を向上させるための脳へのコンピューターチップの埋め込み

・赤ちゃんが重い病気や健康状態になるリスクを大幅に減らすための遺伝子操作

・肉体労働で持ち上げる力を大幅に高めるためのAIシステム内蔵の外装ロボット

 

興味深い調査です。日本でも同様の調査はあるのでしょうかね。。。

Pew Research Center

・2022.03.17 AI and Human Enhancement: Americans’ Openness Is Tempered by a Range of Concerns

・[PDF]

20220320-00046

目次...

1. How Americans think about artificial intelligence 1. アメリカ人は人工知能についてどう考えているか
2. Public more likely to see facial recognition use by police as good, rather than bad for society 2. こ警察による顔識別の利用は、社会にとって悪いことではなく、良いことだと考える国民が多い
3. Mixed views about social media companies using algorithms to find false information 3. ソーシャルメディア企業がアルゴリズムを用いて虚偽の情報を発見することについては様々な見解がある
4. Americans cautious about the deployment of driverless cars 4. アメリカ人は無人自動車の導入に慎重
5. What Americans think about possibilities ahead for human enhancement 5. 人間強化の可能性についてアメリカ人が思うこと
6. Public cautious about enhancing cognitive function using computer chip implants in the brain 6. 国民はコンピューターチップを脳に埋め込むことによる認知機能強化に慎重
7. Americans are closely divided over editing a baby’s genes to reduce serious health risk 7. 深刻な健康リスクを減らすために赤ちゃんの遺伝子を操作することについて、アメリカ人の意見は大きく分かれている
8. Mixed views about a future with widespread use of robotic exoskeletons to increase strength for manual labor jobs  8. 肉体労働のための強度を高める外装ロボットが広く使用される未来について、さまざまな意見がある
Acknowledgments 謝辞
Methodology 方法論
Appendix 附属書

 

 

| | Comments (0)

2022.03.19

経済産業省 プライバシーガバナンスに関する調査結果(詳細版)

こんにちは、丸山満彦です。

経済産業省が、プライバシーガバナンスに関する調査結果(詳細版)を取りまとめ、公開していますね。。。

 

・[PDF] アンケート調査詳細版概要

20220318-231656

 

・[PDF] アンケート調査詳細版

20220318-231738

 

・[PDF] プライバシーガバナンスに関する調査結果(取組状況例)

20220318-231759

 


経済産業省、総務省は、昨年10月に公開したプライバシーガバナンスに関するアンケート結果(速報版)の詳細版として、企業向け・消費者向けに実施したプライバシーガバナンスに関する調査結果を公開します。
その他、取組状況例として、プライバシーガバナンスに親和性のある取組を実施している企業16社・団体に対してヒアリングを実施し、経営者が取り組むべき3要件、プライバシーガバナンスの重要項目に基づき、整理しましたので、公開しました。
本結果を踏まえ、企業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめた「DX時代における企業のプライバシーガバナンスガイドブック」の普及啓発に引き続き進めます。

(※)「企業のプライバシーガバナンス」とは、プライバシー問題の適切なリスク管理と信頼の確保による企業価値の向上に向けて、経営者が積極的にプライバシー問題への取組にコミットし、組織全体でプライバシー問題に取り組むための体制を構築し、それを機能させることをいいます。
1.背景・経緯

加速するDX時代において、イノベーションの創出による社会課題の解決とともに、プライバシー保護への要請も高まっています。こうした背景を踏まえ、経済産業省と総務省は、2020年8月「企業のプライバシーガバナンスモデル検討会」(座長:佐藤一郎国立情報学研究所教授)において、企業がプライバシーガバナンスの構築のために取り組むべきことを取りまとめた「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を策定しました。その後、各方面から反響があるなかで、より実践的な企業の具体例を充実させて欲しいという声を受け、昨年7月に企業がプライバシーガバナンスを構築する上で参考となる具体的な事例を更新した「ver1.1」、本年2月に「ver1.2」を公開しました。

昨年10月には、本ガイドブックをより多くの人に知っていただき、プライバシーガバナンスに取り組む企業の皆さまがその取組をより前に進められるよう、企業向け・消費者向けに行ったプライバシーガバナンスに関するアンケートの結果(速報版)を公開しました。今回、当該アンケート結果について詳細な分析を行い、個別ヒアリング等により実践事例なども取りまとめた調査結果報告書を公開します。


 

で、調査結果概要。


3.調査結果の主なポイント

(1)消費者意識

消費者の73.6%は、プライバシー保護に関して、関心がある。消費者の70.4%は、金銭的な利益やポイントの有無に関わらず、個人に関する情報の提供に関し、慎重である。消費者の88.5%は、類似商品の選択の際に、企業のプライバシーへの取組を考慮している。

(2)企業がプライバシーへの取組を始めたきっかけ

「規格の取得・更新」が最多だったが、「企業のブランド戦略の一環として信頼される企業イメージ向上のため」という回答が2番目に多く(30%以上)、企業側においてもプライバシー保護の取組により差別化を図る試みが進められているものと考えられる。その他、「プライバシー侵害で問題となった企業の報道」「プライバシー性のある情報の取扱い機会・取扱量の増加」「サイバー攻撃」といったきっかけが挙げられた。

(3)取組体制

「プライバシーに関する姿勢の明文化をしている」「保護に関する責任者を設置している」「保護組織の構築を全社的に取り組んでいる」と回答した企業は、海外売上がある企業、従業員規模の大きな企業の方が多い結果となった。

(4)ルールの策定や従業員教育

「ルールを策定・周知している」「従業員教育を実施している」と回答した企業は、海外売上がある企業、中堅・大企業の方が多い結果となった。他方、「外部の有識者などの第三者視点による取組の見直し」についても、海外売上がある企業、中堅・大企業の方が、「見直している」と回答した企業が相対的には多いが、他2つの取組と比べて全体的に低調である。

(5)消費者とのコミュニケーション

「問題発生時のフォロー」「苦情相談窓口の設置」「取組等のWEB紹介」「同意確認機能の提供」は、海外売上のある企業、中堅・大企業の方が、「実施している」と回答した割合がまだ高い結果となったが、「定期的なレポート」「消費者団体との対話」「活用事例の紹介」「FAQの作成」「消費者意識調査の実施」は、海外売上の有無や従業員規模の大小に関わらず、まだ進んでいない結果となった。

(6)その他

取組状況例として、プライバシーガバナンスに親和性のある取組を実施している企業16社・団体に対してヒアリングを実施し、経営者が取り組むべき3要件、プライバシーガバナンスの重要項目に基づき、整理した。


 

関連リンクとして紹介されているリンク先

・2021.10.18 プライバシーガバナンスに関するアンケート結果(速報版)を公開しました

・2021.07.02 2021年度経済産業省・総務省・JIPDEC共催 第1回企業のプライバシーガバナンスセミナーを開催します

・2021.09.01 2021年度経済産業省・総務省・JIPDEC共催 第2回企業のプライバシーガバナンスセミナーを開催します

・2021.09.22 CEATEC2021ONLINE「加速するDX時代、プライバシーに配慮したイノベーションを進めていくためには」セミナーを開催します

・2022.01.25 2021年度経済産業省・総務省・JIPDEC共催 第3回企業のプライバシーガバナンスセミナーを開催します

 


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.21 総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.2」を策定しました

・2021.07.21 総務省 経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.1」を策定しました

・2021.02.02 ISO/IEC TS 27570:2021 Privacy protection — Privacy guidelines for smart cities(プライバシー保護- スマートシティーのためのプライバシーガイドライン)

・2020.08.29 総務省・経済産業省 「DX時代における企業のプライバシーガバナンスガイドブックver1.0」を公表

・2020.07.30 経済産業省 パブコメ 「DX企業のプライバシーガバナンスガイドブックver1.0(案)」

 

| | Comments (0)

NIST SP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ

こんにちは、丸山満彦です。

NISTがSP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ を公表していますね。。。

369ページあります。。。

NIST - ITL

・2022.03.16 SP 1800-10 Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector

 

SP 1800-10 Protecting Information and System Integrity in Industrial Control System Environments: Cybersecurity for the Manufacturing Sector SP 1800-10 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ
Abstract 概要
Today’s manufacturing organizations rely on industrial control systems (ICS) to conduct their operations. Increasingly, ICS are facing more frequent, sophisticated cyber attacks—making manufacturing the second-most-targeted industry. Cyber attacks against ICS threaten operations and worker safety, resulting in financial loss and harm to the organization’s reputation. 今日の製造業の組織は,業務を遂行するために産業用制御システム(ICS)に依存しています。ICSへのサイバー攻撃は、より頻繁に、より巧妙に行われており、製造業は2番目に標的とされている産業となっています。ICSに対するサイバー攻撃は、オペレーションや作業員の安全を脅かし、経済的損失や組織の評判の低下を招きます。
The architecture and solutions presented in this guide are built upon standards-based, commercially available products, and represent some of the possible solutions. The solutions implement standard cybersecurity capabilities such as behavioral anomaly detection (BAD), application allowlisting, file integrity-checking, change control management, and user authentication and authorization. The solution was tested in two distinct lab settings: a discrete manufacturing workcell, which represents an assembly line production, and a continuous process control system, which represents chemical manufacturing industries. 本ガイドに掲載されているアーキテクチャとソリューションは、標準規格に準拠した市販の製品をベースに構築されており、可能なソリューションの一部を示しています。このソリューションは、行動異常検知(BAD)、アプリケーションの許可リスト、ファイルの整合性チェック、変更管理、ユーザの認証・許可など、標準的なサイバーセキュリティ機能を実装しています。このソリューションは、2つの異なるラボ環境でテストされました。すなわち、組立ライン生産を表す個別の製造ワークセルと、化学製造業を表す連続プロセス制御システムです。
An organization that is interested in protecting the integrity of a manufacturing system and information from destructive malware, insider threats, and unauthorized software should first conduct a risk assessment and determine the appropriate security capabilities required to mitigate those risks. Once the security capabilities are identified, the sample architecture and solution presented in this document may be used. 破壊的なマルウェアやインサイダー脅威、不正なソフトウェアから製造システムや情報の完全性を守りたいと考えている組織は、まずリスク評価を行い、それらのリスクを軽減するために必要な適切なセキュリティ機能を決定する必要があります。セキュリティ機能が特定されたら、本書で紹介するサンプルアーキテクチャとソリューションを使用することができます。
The security capabilities of the example solution are mapped to the NIST Cybersecurity Framework, the National Initiative for Cybersecurity Education Framework, and NIST Special Publication 800-53. このサンプルソリューションのセキュリティ機能は、NIST Cybersecurity Framework、National Initiative for Cybersecurity Education Framework、およびNIST Special Publication 800-53にマッピングされています。

 

・[PDF] SP 1800-10

20220318-102223

 

目次です。。。

1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 解決策
1.2.1 Relevant Standards and Guidance 1.2.1 関連する規格とガイダンス
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 文字種の規則
3 Approach 3 アプローチ
3.1 Audience 3.1 対象者
3.2 Scope 3.2 適用範囲
3.3 Assumptions 3.3 前提条件
3.4 Risk Assessment 3.4 リスク評価
3.4.1 Threats 3.4.1 脅威
3.4.2 Vulnerabilities 3.4.2 脆弱性
3.4.3 Risk 3.4.3 リスク
3.4.4 Security Control Map 3.4.4 セキュリティコントロールマップ
3.5 Technologies 3.5 テクノロジー
4 Architecture 4 アーキテクチャ
4.1 Manufacturing Process and Control System Description 4.1 製造プロセスと制御システムの説明
4.2 Cybersecurity for Smart Manufacturing Systems Architecture 4.2 スマートな製造システムのためのサイバーセキュリティのアーキテクチャ
4.3 Process Control System 4.3 プロセス制御システム
4.4 Collaborative Robotics System (CRS) 4.4 協働ロボットシステム(CRS)
4.5 Logical Network and Security Architectures 4.5 論理的ネットワークとセキュリティのアーキテクチャー
5 Security Characteristic Analysis 5 セキュリティ特性の分析
5.1 Assumptions and Limitations 5.1 前提条件と制限事項
5.2 Example Solution Testing 5.2 ソリューションのテスト例
5.2.1 Scenario 1: Protect Host from Malware Infection via USB 5.2.1 シナリオ1:USBによるマルウェア感染からホストを守る
5.2.2 Scenario 2: Protect Host from Malware Infection via Network Vector 5.2.2 シナリオ2:ネットワークベクターによるマルウェア感染からのホストの保護
5.2.3 Scenario 3: Protect Host from Malware via Remote Access Connections 5.2.3 シナリオ3:リモートアクセス接続によるマルウェアからのホストの保護
5.2.4 Scenario 4: Protect Host from Unauthorized Application Installation 5.2.4 シナリオ4:権限のないアプリケーションのインストールからのホストの保護
5.2.5 Scenario 5: Protect from Unauthorized Addition of a Device 5.2.5 シナリオ5:許可されていないデバイスの追加からの保護
5.2.6 Scenario 6: Detect Unauthorized Device-to-Device Communications 5.2.6 シナリオ6:承認されていないデバイス間通信の検出
5.2.7 Scenario 7: Protect from Unauthorized Deletion of Files 5.2.7 シナリオ7:ファイルの不正削除からの保護
5.2.8 Scenario 8: Detect Unauthorized Modification of PLC Logic 5.2.8 シナリオ8:PLCロジックの無許可の変更の検出
5.2.9 Scenario 9: Protect from Modification of Historian Data 5.2.9 シナリオ9:ヒストリアンデータの修正からの保護
5.3 Scenarios and Findings 5.3 シナリオと所見
5.3.1 PR.AC-1: Identities and credentials are issued, managed, verified, revoked, and audited for authorized devices, users, and processes 5.3.1 PR.AC-1:認証されたデバイス、ユーザ、およびプロセスに対して、アイデンティティとクレデンシャルが発行、管理、 検証、失効、および監査される。
5.3.2 PR.AC-3: Remote access is managed 5.3.2 PR.AC-3:リモートアクセスが管理されている。
5.3.3 PR.AC-4: Access permissions and authorizations are managed, incorporating the principles of least privilege and separation of duties  5.3.3 PR.AC-4:最小特権および職務分離の原則を取り入れた、アクセス許可および権限の管理 
5.3.4 PR.AC-7: Users, devices, and other assets are authenticated (e.g., single-factor, multifactor) commensurate with the risk of the transaction (e.g., individuals’ security and privacy risks and other organizational risks)  5.3.4 PR.AC-7:ユーザー、デバイス、およびその他の資産が、取引のリスク(個人のセキュリティおよびプライバシ ーのリスク、およびその他の組織のリスクなど)に応じて認証される(単一要素、多要素など)。
5.3.5 PR.DS-1: Data-at-rest is protected . 5.3.5 PR.DS-1:滞留データが保護されている。
5.3.6 PR.DS-6: Integrity checking mechanisms are used to verify software, firmware, and information integrity  5.3.6 PR.DS-6:ソフトウェア、ファームウェア、および情報の完全性を検証するために、完全性チェックメカニズ ムを使用する。
5.3.7 PR.IP-4: Backups of information are conducted, maintained, and tested . 5.3.7 PR.IP-4:情報のバックアップが実施、維持、およびテストされている。
5.3.8 PR.MA-1: Maintenance and repair of organizational assets are performed and logged, with approved and controlled tools  5.3.8 PR.MA-1:承認・管理されたツールを使用して、組織の資産の保守および修理を行い、記録する。
5.3.9 PR.MA-2: Remote maintenance of organizational assets is approved, logged, and performed in a manner that prevents unauthorized access . 5.3.9 PR.MA-2:組織資産のリモートメンテナンスは、承認され、ログに記録され、不正アクセスを防止する方法で実施される。
5.3.10 DE.AE-1: A baseline of network operations and expected data flows for users and systems is established and managed  5.3.10 DE.AE-1:ネットワーク運用のベースライン、およびユー ザとシステムの予想されるデータフローを確立し、管理する。
5.3.11 DE.AE-2: Detected events are analyzed to understand attack targets and methods  5.3.11 DE.AE-2:攻撃目標および方法を理解するために、検出されたイベントが分析される。
5.3.12 DE.AE-3: Event data are collected and correlated from multiple sources and sensors .   . 5.3.12 DE.AE-3:イベントデータが複数のソースおよびセンサから収集され、相関されている。
5.3.13 DE.CM-1: The network is monitored to detect potential cybersecurity events  5.3.13 DE.CM-1:潜在的なサイバーセキュリティイベントを検知するためにネットワークを監視する。
5.3.14 DE.CM-3: Personnel activity is monitored to detect potential cybersecurity events 4 5.3.14 DE.CM-3:潜在的なサイバーセキュリティイベントを検知するために要員の活動を監視する 4
5.3.15 DE.CM-7: Monitoring for unauthorized personnel, connections, devices, and software is performed  5.3.15 DE.CM-7:未承認の人員、接続、デバイス、およびソフトウェアの監視が実施されている。
6 Future Build Considerations 6 将来の構築に関する検討事項
Appendix A List of Acronyms 附属書A 頭字語のリスト
Appendix B Glossary 附属書B 用語集
Appendix C References 附属書C 参考文献
Appendix D Scenario Execution Results 附属書D シナリオ実行結果
D.1 Executing Scenario 1: Protect Host from Malware via USB D.1 シナリオ1の実行:USB経由のマルウェアからホストを保護する
D.2 Executing Scenario 2: Protect Host from Malware via Network Vector D.2 シナリオ2の実行:ネットワークベクトルを介したマルウェアからのホストの保護
D.3 Executing Scenario 3: Protect Host from Malware via Remote Access  Connections D.3 シナリオ3の実行:リモートアクセス接続によるマルウェアからのホストの保護
D.4 Executing Scenario 4: Protect Host from Unauthorized Application Installation . D.4 シナリオ4の実行:許可されていないアプリケーションのインストールからのホストの保護 .
D.5 Executing Scenario 5: Protect from Unauthorized Addition of a Device D.5 シナリオ5の実行:許可されていないデバイスの追加からの保護
D.6 Executing Scenario 6: Detect Unauthorized Device-to-Device Communications D.6 シナリオ6の実行:不正なデバイス間通信の検出
D.7 Executing Scenario 7: Protect from Unauthorized Deletion of Files D.7 シナリオ7の実行:ファイルの不正削除からの保護
D.8 Executing Scenario 8: Detect Unauthorized Modification of PLC Logic D.8 シナリオ8の実行:PLC ロジックの不正な変更の検出
D.9 Executing Scenario 9: Protect from Modification of Historian Data D.9 シナリオ9の実行:ヒストリアンデータの修正からの保護
D.10 Executing Scenario 10: Detect Sensor Data Manipulation D.10 シナリオ10の実行:センサーデータの操作の検出
D.11 Executing Scenario 11: Detect Unauthorized Firmware Modification D.11 シナリオ11の実行:許可されていないファームウェアの変更の検出
Appendix E Benefits of IoT Cybersecurity Capabilities . 附属書E IoTのサイバーセキュリティ機能のメリット .
E.1 Device Capabilities Mapping E.1 デバイス機能のマッピング
E.2 Device Capabilities Supporting Functional Test Scenarios E.2 機能テストシナリオをサポートするデバイスの能力

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.01 NIST SP 1800-10 (ドラフト) 産業用制御システム環境における情報とシステムインテグリティの保護:製造業のためのサイバーセキュリティ at 2021.09.23

| | Comments (0)

NATO CCDCOE サイバースペースの戦略的展望 2030:ホライズンスキャンニングと分析

こんにちは、丸山満彦です。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.03.16 Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis

Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis サイバースペースの戦略的展望 2030:ホライズンスキャンニングと分析
NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) is proud to publish a second volume on Horizon Scanning and Analysis, entitled “Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis”, edited by Piret Pernik. NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) は、Piret Pernik編集の「Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis」と題したHorizon Scanning and Analysisの第2版を公表します。
The book includes foreword by David van Weel, NATO’s assistant secretary general for emerging security challenges, and six chapters that help inform policy and decision-makers on current and future cyber threats, and possible cyberspace game changers in 2030. The chapters have undergone peer review to ensure their academic quality. 本書は、NATOのDavid van Weel事務局長補佐(新興の安全保障課題担当)による序文と、現在および将来のサイバー脅威、2030年に起こりうるサイバースペースのゲームチェンジャーについて、政策立案者や意思決定者に情報を提供する6章から成っています。各章は、学術的な質を保証するためにピアレビューを受けています。
In the opening chapter, James A. Lewis argues that cyber norms and old concepts such as deterrence are insufficient for achieving international stability in cyberspace. He recommends that NATO develop a new conceptual framework and a set of proportional response options to respond to cyberattacks. He observes that political consensus needs to be established in order to exercise these options. 冒頭の章では、ジェームズ・A・ルイスが、サイバー規範や抑止力などの古い概念は、サイバースペースにおける国際的安定を達成するためには不十分であると論じています。彼は、NATOがサイバー攻撃に対応するための新しい概念的枠組みと、一連の比例的対応の選択肢を開発するよう提言しています。また、これらのオプションを行使するためには、政治的なコンセンサスを確立する必要があると述べています。
In Chapter Two, Jason Healey and Virpratap Vikram Singh consider the likelihood of geopolitical and cyber tensions escalating into a larger conflict. They develop a matrix of high and low geopolitical and cyber tensions and find that in high-tension contexts, there is an increased likelihood of cyber incidents and escalation of cyber conflict. 第2章では、ジェイソン・ヒーリーとヴィルプラタップ・ヴィクラム・シンが、地政学的・サイバー的緊張がより大きな紛争にエスカレートする可能性について考察しています。彼らは、地政学的・サイバー的緊張の高低のマトリックスを作成し、緊張が高い状況では、サイバー事件やサイバー紛争のエスカレーションの可能性が高くなることを見出しています。
In Chapter Three, Franz-Stefan Gady examines the Joint All-Domain Operations (JADO) concept of the NATO future operational doctrine, which could link conventional command and control with the nuclear ones. Gady identifies cybersecurity risks related to that development, addresses the possibility of miscalculation in times of crisis, and draws three implications on the deployment of cyberspace operations. 第3章では、フランツ・ステファン・ガディが、NATOの将来の作戦ドクトリンにおける全領域作戦(JADO)コンセプトを検証し、従来の指揮統制を核とリンクさせる可能性について述べています。ガディは、その開発に関連するサイバーセキュリティのリスクを特定し、危機の際の誤算の可能性に対処し、サイバースペース作戦の展開に関する3つの示唆を導き出しています。
In Chapter Four, Laura G. Brent posits that NATO must act to counter China’s ambitions to become a ‘cyber superpower’ by treating China as a strategic challenge and requiring improved resilience from the Allies in cooperation with the European Union. She draws attention to collective security, which she defines as ‘coordinated and consensus approaches to the broad spectrum of security challenges below the threshold of armed conflict’. 第4章では、ローラ・G・ブレントが、中国の「サイバー超大国」への野心に対抗するために、中国を戦略的課題として扱い、欧州連合と協力して連合国に回復力の向上を求める行動をNATOはとらなければならないと提起しています。また、集団安全保障について、「武力紛争の閾値以下の広範な安全保障上の課題に対する協調的かつ合意的なアプローチ」と定義し、注意を喚起しています。
In Chapter Five, Piret Pernik explores global drivers of change relevant to cyberspace that NATO should consider in looking at the 2030 horizon. She contends that the cyber domain is best understood as part of all-domain shaping, contesting, and fighting actions. She says that NATO should study how authoritarian opponents are likely to deploy EDTs and what their strategic thinking and tactical innovations will look like in the new decade. She closes by suggesting for future research for the NATO community. 第5章では、ピレ・ペルニクが、2030年の地平を見据える上でNATOが考慮すべき、サイバースペースに関連するグローバルな変化の要因を探っています。彼女は、サイバー領域は、全領域の形成、争奪、戦闘行動の一部として最もよく理解されると主張しています。NATOは、権威主義的な敵対勢力がどのようにEDTを展開しそうか、そして彼らの戦略的思考と戦術的革新が新しい10年にどのようなものになるかを研究すべきであると述べています。最後に、NATOのコミュニティに対して今後の研究を提案し、締めくくっています。
In the last chapter, Berend Valk illustrates how NATO has implemented cyber norms and confidence- and   measures. The Alliance’s role in norms-building is limited. Valk describes how NATO implements its cyber defence and the SCEPVA mechanism, and recommends integrating the latter into collective defence. He calls for starting discussions on Allied responses to cyberattacks in the grey zone. 最後の章では、ベレンド・ヴァルクが、NATOがどのようにサイバー規範と信頼性・対策を実施してきたかを説明しています。規範構築における同盟国の役割は限定的である。ヴァルクは、NATOがサイバー防衛とSCEPVAメカニズムをどのように実施しているかを説明し、後者を集団防衛に統合することを推奨しています。彼は、グレーゾーンにおけるサイバー攻撃への同盟国の対応について議論を始めることを呼びかけています。
Please find the current volume in CCDCOE´s online Library. 本書はCCDCOEのオンライン・ライブラリーでご覧いただけます。
The first volume of the Horizon Scanning and Analysis series was published in January 2021. 2021年1月に「Horizon Scanning and Analysis」シリーズの第1版が発行されました。

 

Cyber Threats and NATO 2030: Horizon Scanning and Analysis

・[PDF]

20220317-213049

Foreword / David van Weel 序文 / デヴィッド・ヴァン・ウィール
Introduction to Cyberspace Strategic Outlook 2030: Horizon Scanning and Analysis / Piret Pernik サイバースペース戦略的展望2030:ホライズンスキャンニングと分析』の紹介 / ピレト・ペルニク
Chapter 1 A Strategic Outlook for Cyberspace Operations / James A. Lewis 第1章 サイバースペース作戦の戦略的展望 / ジェームズ・A・ルイス
Chapter 2 Situational Cyber Stability and the Future of Escalating Cyber Conflict / Jason Healey and Virpratap Vikram Singh 第2章 状況的なサイバー安定性とサイバー紛争の激化の未来/ジェイソン・ヒーリー、ヴィルプラタップ・ヴィクラム・シン
Chapter 3 Do Joint All-Domain Operations Increase Cyber Vulnerabilities in Nuclear Command, Control, and Communications Systems within the NATO Alliance? / Franz-Stefan Gady 第3章 全領域合同作戦はNATO同盟内の核指揮統制通信システムにおけるサイバー脆弱性を高めるか?/ フランツ=ステファン・ガディ
Chapter 4 NATO’s Role in Responding to China’s ‘Cyber Superpower’ Ambitions / Laura G. Brent 第4章 中国の「サイバー超大国」の野望に対応するNATOの役割 / Laura G. Brent
Chapter 5 Drivers of Change Impacting Cyberspace in 2030 / Piret Pernik 第5章 2030年のサイバースペースに影響を与える変化の原動力 / Piret Pernik
Chapter 6 NATO Cyber Policies in Relation to the International Stability Framework / Berend Valk 第6章 国際安定化フレームワークと関連したNATOのサイバー政策 / ベレンド・ヴァルク

 

| | Comments (0)

2022.03.18

NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

こんにちは、丸山満彦です。

NISTが、非連邦政府組織およびシステムにおける管理対象非機密情報 (Controlled Unclassified Information: CUI)に対する強化版セキュリティ要件の評価に関する標準を公表していますね。。。

SP 800-171Aと同じく、

  • 評価手法として、「EXAMINE(検証)」「INTERVIEW(インタビュー)」「TEST(テスト)」の3種類
  • 評価の深さとして、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階
  • 評価の対象範囲として、「Basic(基本)」「Focused(重点)」「Comprehensive(総合)」の3段階

が定義されていて、監査論的にも興味深いです!

 

NIST - ITL

・2022.03.15 SP 800-172A Assessing Enhanced Security Requirements for Controlled Unclassified Information

SP 800-172A Assessing Enhanced Security Requirements for Controlled Unclassified Information SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価
Abstract 概要
The protection of Controlled Unclassified Information (CUI) in nonfederal systems and organizations is important to federal agencies and can directly impact the ability of the Federal Government to successfully carry out its assigned missions and business operations. This publication provides federal agencies and nonfederal organizations with assessment procedures that can be used to carry out assessments of the requirements in NIST Special Publication 800-172, Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171. The assessment procedures are flexible and can be tailored to the needs of organizations and assessors. Assessments can be conducted as 1) self-assessments; 2) independent, third-party assessments; or 3) government-sponsored assessments. The assessments can be conducted with varying degrees of rigor based on customer-defined depth and coverage attributes. The findings and evidence produced during the assessments can be used to facilitate risk-based decisions by organizations related to the CUI enhanced security requirements. 連邦政府以外のシステムや組織における管理対象非機密情報 (CUI: Controlled Unclassified Information) の保護は、連邦政府機関にとって重要であり、連邦政府が与えられた任務や業務を成功裏に遂行する能力に直接影響を与える可能性があります。本書は、連邦機関および非連邦組織に対して、NIST SP 800-171の補足するNIST SP 800-172「管理対象非機密情報を保護するための強化版セキュリティ要件」にある要件の評価を行うために使用できる評価手順を提供します。この評価手順は柔軟性があり、組織や評価者のニーズに合わせて調整することができます。評価は、1)自己評価、2)独立した第三者評価、3)政府主導の評価として実施することができます。アセスメントは、利用者が定義した深度と対象範囲の属性に基づいて、さまざまな程度の厳密さで実施することができます。アセスメントで得られた知見や証拠は、CUI の強化版セキュリティ要件に関連して、組織がリスクに基づく判断を行うために使用することができます。

 

・[PDF] SP 800-172A

20220318-71141

 

 

検証の部分の仮訳

・[XLSX

 


■ 関連文書

● NIST - ITL

・2021.04.27 SP 800-172A (Draft) Assessing Enhanced Security Requirements for Controlled Unclassified Information

 ・[PDF]  SP 800-172A (Draft)

・2021.02.02 (news) NIST Offers Tools to Help Defend Against State-Sponsored Hackers

・2021.02.03 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

 ・[PDF] SP 800-172

・2021.01.28 SP 800-171 Rev. 2  Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

・[PDF]  SP 800-171 Rev. 2

Supplemental Material:
・[DOC] CUI Plan of Action template
・[DOC] CUI SSP template **[see Planning Note]
・[XLS] Mapping: Cybersecurity Framework v.1.0 to SP 800-171 Rev. 2

Other Parts of this Publication:
・2018.06.13 SP 800-171A Assessing Security Requirements for Controlled Unclassified Information
 SP 800-171A

 SP 800-171 は2020.02にRev.2になったのですが、2021.01.28にEditorialな修正が入っています。。。なお、こちらは2020.02段階の文書についてEva Aviationが翻訳を出しています。

また、SP 800-171AはSP 800-171 Rev.1 に対応したものになっています。

SP 800-172 はEva Aviationが第3章までの機械翻訳(対訳)を出しています。


Eva Aviation

・2020.12.28 NIST SP 800-171関連主要ドキュメント

・[PDF] NIST SP 800-171 Rev.1 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
・[PDF] NIST SP 800-171 Rev.2 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護

・[PDF] NIST SP 800-172 管理対象非機密情報CUIの保護に対する強化版セキュリティ要件(第3章まで機械翻訳(対訳))

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

| | Comments (0)

米国 CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減

こんにちは、丸山満彦です。

CISA FBIがロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減についてのアラートを公表していますね。。。

ちなみにこれもロシアのメディア庁のウェブページに乗っていますね。意外と懐深いなぁ...(^^)


CISA

・2022.03.15 MITIGATING THREATS POSED BY RUSSIAN STATE-SPONSORED CYBER ACTORS’ EXPLOITATION OF DEFAULT MULTIFACTOR AUTHENTICATION PROTOCOL AND "PRINTNIGHTMARE" VULNERABILITY

MITIGATING THREATS POSED BY RUSSIAN STATE-SPONSORED CYBER ACTORS’ EXPLOITATION OF DEFAULT MULTIFACTOR AUTHENTICATION PROTOCOL AND "PRINTNIGHTMARE" VULNERABILITY ロシアの国家的サイバーアクターによるデフォルトの多要素認証プロトコルと「printnightmare」脆弱性の悪用による脅威の軽減
All Organizations Should Take Action to Enable, Enforce, and Properly Configure MFA as well as Prioritize Patching of Known Exploited Vulnerabilities すべての組織は、MFAを有効化し、実施し、適切に設定するための行動を起こすとともに、既知の悪用される脆弱性へのパッチを優先的に適用する必要があります。
WASHINGTON – The Cybersecurity and Infrastructure Security Agency (CISA) and the Federal Bureau of Investigation (FBI) issued a joint cybersecurity advisory today with technical details, mitigations, and resources regarding previously demonstrated ability of Russian state-sponsored cyber actors to gain network access through exploitation of default multifactor authentication (MFA) protocols and a known vulnerability in Windows Print Spooler, “PrintNightmare.”  ワシントン - サイバーセキュリティおよびインフラストラクチャ・セキュリティ局(CISA)と連邦捜査局(FBI)は本日、ロシアの国家に支援されたサイバーアクターがデフォルトの多要素認証(MFA)プロトコルとWindowsプリントスプーラーの既知の脆弱性(PrintNightmare)を悪用してネットワークアクセスを取得する能力を以前実証したことについて、技術的詳細、緩和策、リソースを含む共同のサイバーセキュリティ勧告を発表しました。
As early as May 2021, the Russian state-sponsored cyber actors took advantage of a misconfigured account set to default MFA protocols at a non-governmental organization, allowing them to enroll a new device for MFA and access the victim’s network. The actors then exploited a critical vulnerability “PrintNightmare” (CVE-2021-34527) to run arbitrary code with system privileges, and then were able to access cloud and email accounts for document exfiltration. 早ければ2021年5月、ロシアの国家支援型サイバーアクターは、非政府組織でデフォルトのMFAプロトコルに設定されたアカウントの誤設定を利用し、新しいデバイスをMFAに登録し、被害者のネットワークにアクセスできるようにしました。そして、サイバー攻撃者は、重要な脆弱性「PrintNightmare」(CVE-2021-34527)を悪用してシステム特権で任意のコードを実行し、クラウドやメールアカウントにアクセスして文書を流出させることができていました。
 This advisory, titled “Russian State-Sponsored Cyber Actors Gain Network Access by Exploiting Default Multifactor Authentication Protocols and ‘PrintNightmare’ Vulnerability,” provides observed tactics, techniques, and procedures (TTPs); indicators of compromise (IOCs); and mitigation recommendations. The FBI and CISA urge all organizations to take immediate action to protect against this malicious activity and apply recommended mitigations such as:  この勧告は、「ロシアの国家に支援されたサイバーアクターが、デフォルトの多要素認証プロトコルと『PrintNightmare』脆弱性を悪用してネットワークにアクセス」と題し、観察された戦術、技術、手順(TTP)、侵害の指標(IOC)、および緩和策を提示しています。FBIとCISAは、すべての組織がこの悪質な活動から保護するために直ちに行動を起こし、以下のような推奨される緩和策を適用するよう求めています。
・Enforce MFA for all users, without exception, and ensure it is properly configured to protect against “fail open” and re-enrollment scenarios ・すべてのユーザーに対して例外なくMFAを適用し、「フェイルオープン」や再登録のシナリオから保護するように適切に設定する。
・Implement time-out and lock-out features ・タイムアウト機能、ロックアウト機能の導入・
・Disable inactive accounts uniformly in active directory, MFA, etc. ・アクティブディレクトリやMFAなどで、非アクティブなアカウントを一律に無効化する。
・Update software, prioritizing known exploited vulnerabilities ・既知の脆弱性を利用したソフトウェアの優先的なアップデート
・Monitor network logs continuously for suspicious activity ・ネットワークログを継続的に監視し、不審な動きがないかを確認
・Implement security alerting policies ・セキュリティアラートポリシーの導入
“At CISA, we are great believers in multifactor authentication. It remains one of the most effective measures individuals and organizations can take to reduce their risk to malicious cyber activity. This advisory demonstrates the imperative that organizations configure MFA properly to maximize effectiveness,” said CISA Director Jen Easterly. “Now, more than ever, organizations must put their shields up to protect against cyber intrusions, which means applying the mitigations in this advisory including enforcing MFA for all users without exception, patching known exploited vulnerabilities, and ensuring MFA is implemented securely.” 「CISAでは、多要素認証に大きな信頼を寄せています。多要素認証は、悪意のあるサイバー活動に対するリスクを軽減するために、個人と組織が取ることのできる最も効果的な対策の1つであることに変わりはありません。今回の勧告は、組織がMFAを適切に設定し、その効果を最大限に高めることが不可欠であることを示しています」と、CISAディレクターのJen Easterlyは述べています。「これは、例外なくすべてのユーザーにMFAを適用し、既知の脆弱性にパッチを適用し、MFAを安全に実装することを含む、本勧告にある緩和策を適用することを意味します。
“The FBI, alongside our federal and international partners, will continue to pursue cyber actors who engage in this type of targeted malicious activity of unauthorized access and exfiltration of data,” said FBI Cyber Division Assistant Director Bryan Vorndran. “We encourage organizations who may have experienced this type of exploitation to report to the FBI and/or CISA and provide us with additional information so we can continue to deter and disrupt nation-state actors. The FBI will not tolerate this type of criminal activity and we will use all of the tools in our toolbelt to combat this threat.”  FBIは、連邦政府や国際的なパートナーとともに、このような不正アクセスやデータの流出という標的型悪質行為を行うサイバー行為者を引き続き追求していきます。とFBIサイバー部門アシスタントディレクターのBryan Vorndranは述べています。このような悪用に遭った可能性のある組織には、FBIやCISAに報告し、追加情報を提供してもらうことで、引き続き国家的行為者を抑止し、混乱させることができる」と述べています。FBIはこのような犯罪行為を許さず、あらゆる手段を使ってこの脅威と戦っていく」と述べています。
CISA has updated the Shields Up webpage to include new services and resources, recommendations for corporate leaders and chief executive officers, and actions to protect critical assets. Additionally, CISA has created a new Shields Up Technical Guidance webpage that details other malicious cyber activity affecting Ukraine. The webpage includes technical resources from partners to assist organizations against these threats.  CISAは、新しいサービスやリソース、企業のリーダーや最高経営責任者への提言、重要な資産を守るための行動などを盛り込み、Shields Upのウェブページを更新しました。さらにCISAは、ウクライナに影響を及ぼすその他の悪質なサイバー活動を詳述した「シールドアップ技術ガイダンス」ウェブページを新たに作成しました。このウェブページには、これらの脅威に対して組織を支援するためのパートナーからの技術的リソースが含まれています。
To report a cyber incident, organizations should contact CISA at report@cisa.gov or call CISA’s 24/7 CISA Central Operations Center at (888) 282-0870 and/or to the FBI via your local FBI field office or the FBI’s 24/7 CyWatch at (855) 292-3937 or CyWatch@fbi.gov. サイバーインシデントを報告するには、組織はCISA(report@cisa.gov)に連絡するか、CISAの24/7 CISA中央オペレーションセンター(888)282-0870に電話をかけるか、または地元のFBI支局もしくはFBIの24/7 CyWatch(855)292-3937 または CyWatch@fbi.gov を通じてFBIに連絡する必要があります。

 

NISTの脆弱性データベース

NIST - NATIONAL VULNERABILITY DATABASE

・2021.07.02 CVE-2021-34527 Detail

Cisa_20220317203401


 

PrintNightmare...

 ● Microsoft

・2021.07.01 Windows 印刷スプーラーのリモートでコードが実行される脆弱性 CVE-2021-34527


Microsoft Security Response Center

・2021.07.08 Clarified Guidance for CVE-2021-34527 Windows Print Spooler Vulnerability

 

MITRE

・2021.06.09 CVE-2021-34527 : Windows Print Spooler Remote Code Execution Vulnerability

 

| | Comments (0)

米国 FBIが新たに仮想資産課 (VAU) を設立...

こんにちは、丸山満彦です。

FBIが、新たに仮想資産課を設立したと発表していますね。。。(ロシアのメディア庁のウェブページを見ていて気づきました(^^))

FBI

・2022.03.15 The FBI Establishes New Virtual Assets Unit

The FBI Establishes New Virtual Assets Unit FBIが「仮想資産課」を新設
The FBI is announcing the creation of the Virtual Assets Unit (VAU), a nerve center for the FBI’s virtual currency programs where intelligence, technology, and operational support will flow to other divisions. In the VAU, virtual currency experts and cross-divisional resources are embedded in a task force setting to seamlessly integrate intelligence and operations across the FBI. FBIは、仮想通貨プログラムの中枢となる「仮想資産課 (Virtual Assets Unit: VAU)」を設立し、情報、技術、運用サポートを他部門に提供することを発表します。VAUでは、仮想通貨の専門家と部門横断的なリソースがタスクフォース形式で配置され、FBI全体のインテリジェンスとオペレーションをシームレスに統合しています。
Virtual currency is used to facilitate nearly every type of online criminal activity, including ransomware attacks, child exploitation, and furthering the activities of hostile nation states. Over the past several months, the Criminal Investigative and the Cyber Divisions developed the VAU as part of the FBI’s strategic plan to address the growing need for virtual asset expertise in the law enforcement and intelligence communities. The VAU will allow the FBI to continue to aggressively track the movement of illicit funds, attribute criminal actors, and disrupt illegal activity. 仮想通貨は、ランサムウェア攻撃、児童搾取、敵対国家の活動推進など、ほぼすべての種類のオンライン犯罪行為を促進するために使用されています。この数カ月間、犯罪捜査部門とサイバー部門は、法執行機関や情報コミュニティにおける仮想資産の専門知識の必要性の高まりに対応するため、FBIの戦略計画の一環として、VAUを開発しました。このVAUにより、FBIは今後も不正資金の動きを積極的に追跡し、犯罪者を特定し、違法行為を妨害することが可能になります。
“The FBI’s new Virtual Assets Unit is the result of collaboration, hard work, and strategic vision from FBI employees who came together to establish a virtual currency center of excellence in the FBI,” said Brian C. Turner, Executive Assistant Director of the FBI’s Criminal, Cyber, Response, and Services Branch. “The FBI has a long history of using virtual currency to track criminals profiting from ransomware, soliciting murders-for-hire, and raising funds for terrorist organizations. The VAU will integrate experts across the organization to leverage the outstanding work being done every day.” FBIの犯罪・サイバー・対応・サービス部門の上級副部長であるBrian C. Turner氏は、「FBIの新しい仮想資産ユニットは、FBIに仮想通貨に関する優れた拠点を設立するために集まったFBI職員の協力と努力、戦略的ビジョンの結果です。FBIは、ランサムウェアで利益を得ている犯罪者の追跡、嘱託殺人の勧誘、テロ組織のための資金調達に仮想通貨を利用してきた長い歴史があります。VAUは、組織全体の専門家を統合し、毎日行われている優れた仕事を活用することになります。」と述べています。
The VAU became operational on February 7, 2022 and is led by Criminal Investigative Division’s Financial Crimes Section.  VAUは2022年2月7日に運用を開始し、犯罪捜査部の金融犯罪課が主導しています。 
If you believe you have been a victim of a virtual currency crime, file a report with your local FBI field office or at IC3.gov. 仮想通貨犯罪の被害に遭ったと思われる方は、最寄りのFBI支局またはIC3.govに報告書を提出してください。

 

Fbi_20220317194701

 


 

参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.31 G7 内務担当、安全保障担当高官によるランサムウェアに関する臨時フォーラム

・2021.12.03 米国 米国連邦議会諮問委員会 米中経済・安全保障調査委員会の報告書

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.11.05 米国 White House 国際的なランサムウェア対策の継続的な取り組みに関する声明

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.09.26 中国 人民銀行等 仮想通貨取引における投機リスクの更なる防止・対処に関する通知

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

 

 

| | Comments (0)

2022.03.17

米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

こんにちは、丸山満彦です。

バイデン大統領が9月までの歳出を決める歳出法案 (H.R.2471 - Consolidated Appropriations Act, 2022) にサインしましたね。。。

White House - Briefing Room

・2022.03.15 Remarks by President Biden at Signing of H.R. 2471, “Consolidated Appropriations Act, 2022”

Fig1_20210802074601

この法案にサインしたことは、日本のメディアでも取り上げられています。。。法案については、次...

● Congress

・H.R.2471 - Consolidated Appropriations Act, 2022

この法案は2400ページもあるもので、、、Consolidatedというとおり、いろな項目が含まれています。Cyber Incident Reportingについては、DIVISION Y(つまり25章目!)に、Cyber Incident Reporting for Critical Infrastructure Act of 2022として、記載されています。これは、H.R.5440 - Cyber Incident Reporting for Critical Infrastructure Act of 2021がもとになっていますね。。。

ということで、この法律の条文を読めば、重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられたことがわかります...(^^)

上院の国土安全保障・政府問題委員会のウェブページでもとりあげられているので、こちらも参考に...


U.S. Senate Committee on Homeland Security & Governmental Affairs

・2022.03.15 Peters & Portman Landmark Provision Requiring Critical Infrastructure to Report Cyber-Attacks Signed into Law as Part of Funding Bill

Peters & Portman Landmark Provision Requiring Critical Infrastructure to Report Cyber-Attacks Signed into Law as Part of Funding Bill Peters & Portman 重要インフラにサイバー攻撃の報告を義務付ける画期的な条項が、歳出法案の一部として署名されました。
WASHINGTON, D.C. – A landmark provision authored by U.S. Senators Gary Peters (D-MI) and Rob Portman (R-OH), Chairman and Ranking Member of the Homeland Security and Governmental Affairs Committee, to significantly enhance our nation’s ability to combat ongoing cybersecurity threats against critical infrastructure has been signed into law as a part of the government funding legislation. The provision, which matches a provision in a bill the senators previously introduced and passed out the Senate unanimously, would require critical infrastructure owners and operators to report to the Cybersecurity and Infrastructure Security Agency (CISA) if they experience a substantial cyber-attack or if they make a ransomware payment. The new law is a significant step to help the United States combat potential cyber-attacks sponsored by foreign adversaries, including potential threats from the Russian government in retaliation for U.S. support in Ukraine. ワシントン D.C. - 米国の国土安全保障・政府問題委員会のゲーリー・ピータース上院議員(民主党)とロブ・ポートマン上院議員(共和党)が作成した、重要インフラに対する進行中のサイバーセキュリティの脅威に対抗する米国の能力を大幅に強化する画期的な条項が、政府予算案の一部として法律に署名されました。この条項は、同議員が以前提出し、上院を全会一致で通過した法案の条項と一致しており、重要インフラの所有者および運営者は、大規模なサイバー攻撃を受けた場合、またはランサムウェアの支払いを行った場合、サイバーセキュリティおよびインフラセキュリティ局(CISA)に報告することが義務づけられることになります。この新法は、ウクライナにおける米国の支援に対する報復としてロシア政府が行う可能性のある脅威など、外国の敵対者が主催する潜在的なサイバー攻撃に米国が対抗するための重要なステップとなるものです。
“In the face of significant cybersecurity threats to our country – including potential retaliatory cyber-attacks from Russia for our support in Ukraine – we must ensure our nation is prepared to defend our most essential networks. This historic, new law will make major updates to our cybersecurity policy to ensure that, for the first time ever, every single critical infrastructure owner and operator in American is reporting cyber-attacks and ransomware payments to the federal government,” said Senator Peters. “I applaud President Biden for signing this historic effort into law to provide CISA – our lead cybersecurity agency – with the insight and resources needed to help critical infrastructure companies respond to and recover from network breaches so they can continue providing essential services to the American people.” 「ウクライナへの支援に対するロシアからの報復的なサイバー攻撃の可能性など、わが国に対する重大なサイバーセキュリティの脅威に直面する中、わが国は最も重要なネットワークを守るための準備を確実にしなければなりません。この歴史的な新法は、サイバーセキュリティ政策を大幅に更新し、史上初めて、米国の重要インフラの所有者および運営者が、サイバー攻撃やランサムウェアの支払いを連邦政府に報告することを確実にします」と、Peters 上院議員は述べています。 「バイデン大統領がこの歴史的な取り組みに署名し、サイバーセキュリティの主導的機関である CISA に、重要インフラ企業がネットワーク侵害に対応し、回復して米国民に不可欠なサービスを提供し続けられるよう支援するために必要な洞察力と資源を提供したことを称賛します。
“As our nation rightly supports Ukraine during Russia’s illegal unjustifiable assault, I am concerned the threat of Russian cyber and ransomware attacks against U.S. critical infrastructure will increase. The federal government must be able to quickly coordinate a response and hold these bad actors accountable,” said Senator Portman. “Now that our bipartisan legislation has been signed into law, it will give the National Cyber Director, CISA, and other appropriate agencies broad visibility into the cyberattacks taking place across our nation on a daily basis to enable a whole-of-government response, mitigation, and warning to critical infrastructure and others of ongoing and imminent attacks. The legislation strikes a balance between getting information quickly and letting victims respond to an attack without imposing burdensome requirements.” ロシアの違法不当な攻撃を受けているウクライナを我が国が正しく支援する中、米国の重要インフラに対するロシアのサイバー攻撃やランサムウェアの脅威が高まることを懸念しています。連邦政府は迅速に対応を調整し、これらの悪質業者の責任を追及しなければならない」とポートマン上院議員は述べた。 私たちの超党派の法案が署名されたことで、国家サイバー長官、CISA、その他の適切な機関が、日々米国内で起きているサイバー攻撃を幅広く把握できるようになり、政府全体で対応、緩和、重要インフラなどに対する進行中および差し迫った攻撃の警告ができるようになります」と述べています。この法案は、情報を迅速に入手することと、負担の大きい要件を課さずに被害者が攻撃に対応できるようにすることのバランスをとるものである。
Last year, cybercriminals breached the network of a major oil pipeline forcing the company to shut down over 5,500 miles of pipeline – leading to increased prices and gas shortages for communities across the East Coast. Last summer, the country’s largest beef supplier was hit by a cyber-attack, prompting shutdowns at company plants and threatening meat supplies all across the nation. As these kinds of attacks continue to rise, Peters and Portman’s historic law will ensure critical infrastructure entities such as banks, electric grids, water networks, and transportation systems report to CISA in the event of a cyber-attack so that CISA can warn others of the threat, prepare for widespread impacts, and help get these essential systems back online as soon as possible. 昨年、サイバー犯罪者が大手石油パイプラインのネットワークに侵入し、同社は5,500マイル以上のパイプラインの停止を余儀なくされ、東海岸の地域社会では価格の上昇とガス不足につながった。昨年夏には、米国最大の牛肉サプライヤーがサイバー攻撃を受け、工場が閉鎖され、全米の食肉供給が脅かされました。この種の攻撃が増え続ける中、ピーターズとポートマンの歴史的な法律により、銀行、電力網、水道網、輸送システムなどの重要インフラ事業体がサイバー攻撃を受けた際にCISAに報告し、CISAが脅威を警告し、広範囲にわたる影響に備え、これらの重要システムをできるだけ早くオンラインに戻す手助けができるようになります。
The provision, which is based on the senators’ Cyber Incident Reporting Act, requires critical infrastructure owners and operators to report to CISA within 72 hours if they are experiencing a substantial cyber-attack and within 24 hours of making a ransomware payment. The provision gives CISA the authority to subpoena entities that fail to report cybersecurity incidents or ransomware payments. Organizations that fail to comply with the subpoena can be referred to the Department of Justice. The provision requires CISA to launch a program that will warn organizations of vulnerabilities that ransomware actors exploit, and directs the Director of CISA to establish a joint ransomware task force to coordinate federal efforts, in consultation with industry, to prevent and disrupt ransomware attacks. The federal rulemaking process that will formalize aspects of this legislation also requires substantial consultation with industry and the provision creates a federal council to coordinate, deconflict, and harmonize federal incident reporting requirements to reduce duplicative regulations. この条項は、上院のサイバーインシデント報告法に基づいており、重要インフラの所有者および運営者は、実質的なサイバー攻撃に遭遇した場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられています。この規定は、サイバーセキュリティ事件やランサムウェアの支払いを報告しない事業者を召喚する権限をCISAに与えています。召喚に応じない組織は、司法省に照会することができる。この規定は、ランサムウェアの攻撃者が悪用する脆弱性について組織に警告するプログラムを立ち上げるようCISAに要求し、ランサムウェアの攻撃を防止および妨害するために、産業界と協議しながら連邦政府の取り組みを調整するランサムウェア合同タスクフォースを設置するようCISA長官を指示しています。また、本法案の一部を正式決定する連邦規則制定プロセスでは、産業界との実質的な協議を必要とし、重複する規制を減らすために、連邦インシデント報告要件を調整、矛盾、調和させる連邦評議会を設立する条項が含まれています。

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

 

 

Continue reading "米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる..."

| | Comments (0)

米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

こんにちは、丸山満彦です。

米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果についての報告書を4つ公表していますね。。。ただし、詳細な内容については公表されていません。。。

Seal_of_the_us_department_of_justice_off

Title 題名 勧告事項数 報告書  
Audit of the Antitrust Division's Information Security Program Pursuant to the Federal Information Security Modernization Act of 214, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく独占禁止法部門の情報セキュリティプログラムの監査、2021会計年度 8 22-048 20220317-23523
Audit of the Antitrust Division's Management Information System Pursuant to the Federal Information Security Modernization Act of 2014, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく独占禁止法部門の経営情報システムの監査、2021会計年度   22-049 20220317-23535
Audit of the Drug Enforcement Administration's Information Security Program Pursuant to the Federal Information Security Modernization Act of 2014, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく麻薬取締局の情報セキュリティプログラムの監査、2021会計年度 12 22-050 20220317-23546
Audit of the Drug Enforcement Administration's Spider Core System Pursuant to the Federal Information Security Modernization Act of 2014, Fiscal Year 2021 2014年連邦情報セキュリティ近代化法に基づく麻薬取締局のスパイダー基幹システムの監査、2021年度版 4 22-051 20220317-23555

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

-----

・報告書 [Downloded]

| | Comments (0)

英国 会計監査院ブログ 公共分野のサイバーセキュリティに挑む (2022.03.08)

こんにちは、丸山満彦です。

英国の会計検査院(国家監査室というのが直訳ですかねぇ・・・)のブログの記事です。日本政府についても少しは参考になることがありますでしょうかね。。。

National Audit Office: NAO

Taking on the challenge of public sector cyber security 公共分野のサイバーセキュリティに挑む
The government recently published its new Cyber Security Strategy specifically aimed at building a cyber resilient public sector. Resilience is key in underpinning its vision to make the UK a cyber power in a world increasingly shaped by technologies that offer many benefits but also pose risks. The strategy reiterates that government remains an attractive target for a broad range of malicious actors with 40% of incidents 2020-21 affecting the public sector.  政府は最近、特にサイバーレジリエントな公共分野を構築することを目的とした、新しいサイバーセキュリティ戦略を発表しました。多くの利益をもたらしますが、リスクもまたもたらすテクノロジーによって形作られる世界において、英国をサイバー大国にするというビジョンを支える鍵は、レジリエンスにあります。この戦略では、2020-21年のインシデントの40%が公共分野に影響を与えるため、政府は依然として幅広い悪意ある行為者にとって魅力的な標的であることを改めて強調しています。 
The main benefits highlighted are the need to protect key UK assets and the uninterrupted continuation of vital services. The strategy also aims to enable the development of skills and capability in cyber awareness and risk management.    主な利点は、英国の重要な資産を保護し、重要なサービスを中断することなく継続する必要性があることです。また、この戦略は、サイバー認識とリスク管理に関するスキルと能力の開発を可能にすることも目的としています。   
This has been a major theme in our work, we recently published our good practice guide, aimed at Audit Committees, on cyber and information security where we set out the type of risk and capability management in relation to cyber security we would expect to see in organisations.  最近、私たちは監査委員会を対象としたサイバー・セキュリティと情報セキュリティに関するグッドプラクティス・ガイドを発行し、私たちが組織に期待するサイバー・セキュリティに関するリスクと能力管理の種類を示しました。 
In order to harden government to cyber-attack and build the required resilience in the public sector by 2030, the Cyber Security strategy has two main pillars and five objectives:   2030年までに、政府のサイバー攻撃への対応力を強化し、公共部門に必要なレジリエンスを構築するため、サイバーセキュリティ戦略は2つの主要な柱と5つの目標を掲げています。  
Pillar 1 – Build organisational cyber resilience 柱1:組織的なサイバー耐性の構築
Objective 1: Manage cyber security risk 目標1:サイバーセキュリティのリスクを管理する
Objective 2: Protect against cyber attack 目標2:サイバー攻撃から身を守る
Pillar 2 – ‘Defend as one’ 柱2:一丸となって守れ
Objective 3: Detect cyber security events 目的3:サイバーセキュリティ事象の検知
Objective 4: Minimise the impact of cyber security incidents 目標4:サイバーセキュリティインシデントの影響を最小化する
Objective 5 – Develop the right cyber security skills, knowledge, and culture 目標5:適切なサイバーセキュリティのスキル、知識、文化を身につける
Each objective has a range of outcomes to be achieved in two stages, the first tranche by 2025, and the next by 2030. The government plans to invest £2.6 bn in cyber and legacy IT over the spending review 2021 period and will devise a number of key performance indicators to measure progress.  各目標は、2025年までに最初のトランシェ(一切れ)を、2030年までに次のトランシェを、という2段階で達成するためのさまざまな成果を持っています。政府は、2021年の歳出見直しの期間中に、サイバーとレガシーITに26億ポンドを投資する計画で、進捗を測定するための多くの重要業績評価指標を考案する予定です。 
The strategy is ambitious and welcomed given the increasing threat environment the UK government is facing. In order to succeed, it will need to overcome a range of challenges that we have come across in our work on digital and cyber security. From our point of view, two of the key ones are:  英国政府が直面している脅威の増大という環境を考えると、この戦略は野心的で歓迎すべきものです。しかし、この戦略を成功させるためには、私たちがデジタルとサイバーセキュリティの分野で直面してきたさまざまな課題を克服しなければなりません。私たちの観点では、重要なものは2つです。 
The public sector will need to overcome known legacy and data issues in a situation where IT assets are not always catalogued or risk assessed; and where data quality varies with expanding and interconnecting supplier systems that increase the likelihood of vulnerabilities.  公共部門は、IT資産が必ずしもカタログ化されておらず、リスク評価もされていない状況において、既知のレガシーとデータの問題を克服する必要がある。また、データの質が、拡大し相互接続しているサプライヤーシステムによって変化し、脆弱性の可能性が高まっている。 
Cyber risk management with effective escalation and mitigation, in and across departments, will need to be established – whilst also aligning disparate central and arms-length bodies across government to focus on the right things, in the right way at the right time.  効果的なエスカレーションと緩和を伴うサイバーリスク管理を省庁間で確立する必要があります。また、政府内の中央・地方行政機関のばらつきを調整し、正しいことに、正しい方法で、正しい時間に集中できるようにする必要があります。 
Our Cyber and information security: Good practice guide addresses these and a number of other challenges. It enables Audit Committees to ask the right questions of organisations to help them start aligning themselves to the new Cyber Security Strategy.   私たちのサイバー・セキュリティと情報セキュリティ。グッドプラクティス・ガイドは、これらの課題およびその他の多くの課題に対応しています。このガイドにより、監査委員会が組織に対して適切な質問を行い、新しいサイバーセキュリティ戦略への対応を開始することができます。  

 

 

Nao

 

このブログでもとりあげていますが、再度...

National Audit Office: NAO

・2021.10.28 Cyber and information security: Good practice guide

Cyber and information security: Good practice guide サイバー・情報セキュリティ:グッドプラクティスガイド
Audit committees should be scrutinising cyber security arrangements. To aid them, this guidance complements government advice by setting out high-level questions and issues for audit committees to consider. 監査委員会は、サイバー・セキュリティの仕組みを精査する必要があります。本指針は、監査委員会が検討すべきハイレベルな質問と課題を示し、政府の助言を補完するものです。
Audit committees should gain the appropriate assurance for the critical management and control of cyber security and information risk.   監査委員会は、サイバーセキュリティと情報リスクの重要な管理・統制について、適切な保証を得るべきです。  
Cyber security is the activity required to protect an organisation’s data, devices, networks and software from unintended or unauthorised access, change or destruction via the internet or other communications systems or technologies. Effective cyber security relies on people and management of processes as well as technical controls.  サイバー・セキュリティとは、組織のデータ、機器、ネットワーク、ソフトウェアを、インターネットやその他の通信システム・技術を介した意図しない、または不正なアクセス、変更、破壊から保護するために必要な活動です。効果的なサイバーセキュリティは、技術的な管理だけでなく、人材やプロセスの管理にも依存しています。 
Our guide supports audit committees to work through this complexity, being able to understand and question the management of cyber security and information risk.   本ガイドは、監査委員会がこの複雑さを克服し、サイバーセキュリティと情報リスクの管理を理解し、疑問を持つことができるよう支援します。  
It takes into account several changes which affect the way in which we interact with and manage our information and can drive increased risk. These include changes to the way we work and live due to the COVID-19 pandemic and the ongoing demand to digitise and move to cloud-based services.    本ガイドでは、私たちの情報との関わり方や管理方法に影響を与え、リスクを増大させる可能性のあるいくつかの変化を考慮しています。これらの変化には、COVID-19パンデミックによる仕事や生活の仕方の変化、デジタル化やクラウドベースのサービスへの移行が求められていることなどが含まれます。   
The strategic advice, guidance and support provided by government has also been updated to keep pace with these changes, detailing the impact and risks on the management of cyber security and information risk.   政府が提供している戦略的なアドバイス、ガイダンス、サポートもこれらの変化に対応するために更新され、サイバーセキュリティと情報リスクの管理に与える影響とリスクについて詳しく説明しています。  
The guide provides a checklist of questions and issues covering:  このガイドでは、以下をカバーする質問と問題点のチェックリストを提供しています。 
・The overall approach to cyber security and risk management  ・サイバーセキュリティとリスク管理に対する全体的なアプローチ 
・Capability needed to manage cyber security  ・サイバーセキュリティを管理するために必要な能力 
・Specific aspects, such as information risk management, engagement and training, asset management, architecture and configuration, vulnerability management, identity and access management, data security, logging and monitoring and incident management.   ・情報リスク管理、エンゲージメントとトレーニング、資産管理、アーキテクチャと構成、脆弱性管理、アイデンティティとアクセス管理、データセキュリティ、ログとモニタリング、インシデント管理などの特定の側面  
Our guidance is based on our previous work and our detailed systems audits, which have identified a high incidence of access-control weaknesses. It also provides links to other government guidance and NAO resources.  本ガイダンスは、これまでの調査や詳細なシステム監査に基づいており、アクセス制御の脆弱性が多く見られることが確認されています。また、他の政府指針やNAOのリソースへのリンクも掲載しています。 

 

・[PDF

20220115-03006

目次...

Introduction はじめに
Why this issue requires attention なぜこの問題に注意が必要なのか
Why audit committees need to monitor cyber risks なぜ監査委員会がサイバー・リスクを監視する必要があるのか
What we have found through our work 何が監査委員会の調査で分かったか
How government policy has changed in this area どのようにこの分野における政府の方針が変化したのか
Our guidance 我々の指針
How this guidance links to other standards どのように本指針が他の基準と連携しているのか
What this guidance covers 何を本指針は述べているのか
High-level questions ハイレベルな質問
More detailed areas to explore より詳細な検討事項
Further resources その他のリソース

 


 

まるちゃんの情報セキュリティ気まぐれ日記

NAO関係...

・2022.01.27 英国 会計検査院 モデルをレビューするためのフレームワーク

・2022.01.15 英国 会計検査院 NAO Blog サイバーセキュリティ:パンデミックは何を変えたか?

・2021.10.30 英国 会計検査院 サイバー・情報セキュリティ:グッドプラクティスガイド

・2021.07.24 U.K. 国立監査院 (National Audit Office: NAO) が「デジタル変革を実施する上での課題」を公表していますね。。。

・2021.05.26 U.K. National Audit Office (会計監査院)が「効果的な規制の原則」を公表していますね。。。

・2021.05.01 U.K. 国立監査院 (National Audit Office: NAO) がクラウドサービスに関する監査委員会のガイダンスを更新しましたね。。。

 

古いですが、、、

・2006.06.23 パブリックセクターの内部統制

 

| | Comments (0)

ENISA テレコム業界における利用者へのサイバー脅威の支援活動 (2022.03.10)

こんにちは、丸山満彦です。

ENISAがテレコム業界における利用者へのサイバー脅威の支援活動についてのガイドのようなものを公表していました。。。

 

ENISA

・2022.03.10 (news) Cyber Threat Warnings: The Ins and Outs of Consumer Outreach

Cyber Threat Warnings: The Ins and Outs of Consumer Outreach サイバー脅威の警告 利用者向け支援活動の内と外
The European Union Agency for Cybersecurity (ENISA) issues a report and a leaflet on how to ensure effective consumer outreach in relation to cyber threats in the telecommunications sector. 欧州連合サイバーセキュリティ機関(ENISA)が、電気通信分野におけるサイバー脅威に関して、利用者への効果的な働きかけを確保する方法について報告書とリーフレットを発行しています。
The European Electronic Communications Code or EECC, the current EU telecom framework, sets new requirements in relation to the notification of threats to users by their telecommunications services providers. 現在のEUの電気通信の枠組みである欧州電子通信規約(EECC)は、電気通信サービスプロバイダーによる利用者への脅威の通知に関して、新たな要件を定めています。
Under this new legislation, providers of public electronic communications networks or services are now required to notify their users when a particular and significant threat has occurred affecting their networks or services. Warning customers on cyber threats is already an industry good practice. この新しい法律の下で、公衆電子通信ネットワークまたはサービスのプロバイダーは、そのネットワークまたはサービスに影響を及ぼす特定の重大な脅威が発生した場合、利用者に通知することが義務付けられました。サイバー脅威について利用者に警告することは、すでに業界のグッドプラクティスとなっています。
Scope and content of the report 報告書の範囲と内容
The report published today provides a framework to help assess the necessity to carry out outreach activities. 本日発表した報告書は、支援活動の実施の必要性を評価するためのフレームワークを提供するものです。
The analysis revealed that the contents of the outreach messages disseminated by providers are usually adjusted to the knowledge and competency level of users. Communication about specific threats often includes facts about the nature of the threat, potential impact, measures taken by the provider, etc. Electronic communications providers generally target those users directly affected by the threat. 分析の結果、プロバイダーが発信するアウトリーチメッセージの内容は、通常、利用者の知識や能力レベルに合わせて調整されていることが明らかになりました。具体的な脅威に関するコミュニケーションには、脅威の性質、潜在的な影響、プロバイダがとった対策などに関する事実が含まれることが多い。電子通信事業者は、一般に、脅威の影響を直接受ける利用者を対象としている。
The outreach framework consists of 3 steps developed in the report. A checklist is also available to help structuring the information.  アウトリーチの枠組みは、報告書で開発された3つのステップで構成されています。また、情報の構造化に役立つチェックリストも用意されています。 
1. Trigger: to assess the need of consumer outreach; 1. トリガー:利用者への支援活動の必要性を評価する。
2. Communication: to decide on the right channel, and on the right message; 2. コミュニケーション:適切なチャネルと適切なメッセージを決定する。
3. Evaluation: to define the parameters needed to measure the effectiveness of the outreach. 3. 評価:支援活動の効果を測定するために必要なパラメータを定義する。
Although an important activity, consumer outreach is a complementary measure not intended to replace the mitigation and/or preventive actions by the relevant authorities or by the providers.  重要な活動ではあるが、利用者の支援活動チは補完的な手段であり、関係当局や事業者による 緩和措置や予防措置に取って代わることを意図したものではない。 
36th meeting of the ECASEC Expert Group ECASEC専門家グループ第36回会合
The ECASEC group met for the first time this year yesterday and today. The meeting was organised in a hybrid format, in Croatia and online. Almost 60 experts from national authorities from EU, EFTA, EEA, and EU candidate countries, who are supervising the European telecom sector attended the meeting. ECASECグループは、昨日と今日、今年初めての会合を開きました。会議はクロアチアとオンラインのハイブリッド形式で開催された。EU、EFTA、EEA、EU加盟候補国の各国当局から、欧州の通信セクターを監督する約60名の専門家が出席した。
The meeting engaged in discussions on the resilience of telecom networks particularly given the latest developments in Ukraine. 会議では、特にウクライナの最新情勢を踏まえ、通信ネットワークの回復力について議論が行われました。
The group discussed their strategy in view of the revision of the Directive on Network and Information Security also referred to as NIS2. This was the opportunity to get an update on the activities of the 5G cybersecurity WS of the NIS Cooperation Group and of the ad-hoc working group on 5G certification. また、NIS2と呼ばれるネットワークと情報のセキュリティに関する指令の改定を視野に入れた戦略についても議論されました。この機会に、NIS協力グループの5GサイバーセキュリティWSと5G認証に関するアドホック・ワーキンググループの活動に関する最新情報を入手することができました。
The attendees had a chance to learn about the activities of the hosting regulatory Authority, HAKOM and also be informed by the Croatian CSIRT about the platform used for exchange of information on computer security incidents. また、クロアチアのCSIRTから、コンピュータセキュリティインシデントに関する情報交換のためのプラットフォームについて説明を受けました。
ENISA presented some first insights on the submitted security incidents for 2021 and discussed the work programme for 2022. ENISAは、2021年に提出されたセキュリティインシデントに関する最初の洞察を発表し、2022年の作業プログラムについて議論しました。
Finally, the Swedish competent Authority analysed their auditing mechanisms and the participants exchanged views on the supervision of the Number-Independent Interpersonal Communication Service (NI-ICS) providers under EECC. 最後に、スウェーデンの所轄庁が監査体制を分析し、参加者はEECCの下での番号独立型対人通信サービス(NI-ICS)プロバイダーの監督について意見交換を行った。
Background on ECASEC Expert Group, formerly known as the ENISA Article 13a group ECASEC専門家グループ(旧ENISA13条aグループ)の背景
Established in 2010, the ENISA ECASEC expert group, formerly known as the ENISA Article 13a group, consists of about 60 experts from national telecom security authorities from EU Member States, EFTA countries, and EU candidate countries. 2010年に設立されたENISA ECASEC専門家グループ(旧ENISA 13aグループ)は、EU加盟国、EFTA諸国、EU加盟候補国の国家電気通信安全当局の専門家約60名で構成されています。
The group is a forum for exchanging information and good practices on telecom security. It produces policy guidelines for European authorities on the implementation of EU telecom security legislation, and publishes an annual summary report about major telecom security incidents. 同グループは、電気通信セキュリティに関する情報やグッドプラクティスを交換するためのフォーラムです。また、EUの通信セキュリティ法の施行に関する欧州当局の政策ガイドラインを作成し、主要な通信セキュリティインシデントに関する年次総括報告書を発行しています。
This group meets 3 times a year in order to discuss and agree on a common approach to telecom security supervision in the EU. このグループは、EUにおける通信セキュリティ監督への共通のアプローチについて議論し、合意するために、年に3回会合を開いています。
Further Information: さらに詳しい情報はこちら
Cyber Threats Outreach in Telecom テレコム業界におけるサイバー脅威についての支援活動
Consumer Outreach Leaflet 利用者アウトリーチリーフレット
For more information about the ENISA ECASEC expert group see ENISA ECASEC EG portal ENISA ECASEC専門家グループの詳細については、ENISA ECASEC EGポータルを参照してください。
If you want to join the ENISA telecom security mailing list, to be kept up to date about this group and our telecom security work, and to receive invitations for events and projects, please contact us via resilience (at) enisa.europa.eu ENISA電気通信セキュリティメーリングリストに参加し、このグループや電気通信セキュリティに関する最新情報を入手したり、イベントやプロジェクトの招待を受けたりしたい場合は、resilience (at) enisa.europa.euまでご連絡ください。
ENISA Incident Reporting webpage ENISA Incident Reporting ウェブページ
European Electronic Communications Code 欧州電子通信規約
NIS Directive – ENISA topic NIS指令 - ENISAトピック

 

・2022.03.10 Cyber Threats Outreach In Telecom

Cyber Threats Outreach In Telecom テレコム業界におけるサイバー脅威についての支援活動
In this paper, we aim to give guidance to national Authorities and providers of electronic communications networks and services regarding how to strike the right balance and carry out efficient and effective outreach to users about cyber threats. この論文では、国家機関や電子通信ネットワーク・サービスのプロバイダーが、サイバー脅威について正しいバランスを取り、効率的かつ効果的に利用者に働きかける方法について指針を与えることを目的としています。

・[PDF]

20220316-223543

 

1.   INTRODUCTION  1.   はじめに 
1.1   TARGET AUDIENCE  1.1 対象者 
1.2   POLICY CONTEXT  1.2 政策的背景 
1.3   METHODOLOGY  1.3 方法論 
2.   CASE STUDIES  2.   ケーススタディ 
2.1   CASE STUDIES FROM THE TELECOM SECTOR  2.1 通信セクターのケーススタディ 
2.2   CASE STUDIES FROM THE BANKING SECTOR  2.2 銀行セクターのケーススタディ 
3.   STOCK TAKING OF CURRENT PRACTICES  3.   現行プラクティスの棚卸し 
3.1   GENERAL APPROACH  3.1 一般的なアプローチ 
3.2   TRIGGERS FOR OUTREACH  3.2 アウトリーチのトリガー 
3.3   CONTENT OF THE COMMUNICATION  3.3 コミュニケーションの内容 
3.4   TARGET AUDIENCE  3.4 対象者 
3.5   COMMUNICATION CHANNELS USED  3.5 利用したコミュニケーション・チャンネル 
3.6   MEASURING EFFECTIVENESS  3.6 効果の測定 
4.   OUTREACH FRAMEWORK  4.   支援活動のフレームワーク 
4.1   FRAMEWORK  4.1 フレームワーク 
4.2   TRIGGER  4.2 トリガー 
4.3   COMMUNICATION  4.3 コミュニケーション 
4.4   EVALUATION  4.4 評価
4.5   CHECKLIST  4.5 チェックリスト 
4.6   ISSUES/CHALLENGES  4.6 課題/問題点 
5.   CONCLUSIONS  5.   結論 
ANNEX: EXAMPLES  附属書:事例 
A.1   WARNING USERS ABOUT FLUBOT SCAM MESSAGES  A.1 flubot詐欺のメッセージに関するユーザーへの警告 
A.2   WARNING CUSTOMERS ABOUT SIM SWAPPING ATTACKS  A.2 SIMスワッピング攻撃に関する顧客への警告 
A.3  WARNING CUSTOMERS ABOUT WHATSAPP EXPLOIT  A.3 Whatsappの悪用に関する顧客への警告 

 

・2022.03.10 Cyber Threats Outreach In Telecom - Leaflet

Cyber Threats Outreach In Telecom - Leaflet テレコム業界におけるサイバー脅威の支援活動 - リーフレット
This leaflet provides basic guidelines for National Authorities and telecom providers on how to inform users about cyber threats. このリーフレットは、国家機関や電気通信事業者が、利用者にサイバー脅威を知らせるための基本的なガイドラインを提供するものです。

・[PDF]

20220316-225016

 

CHECKLIST – WHEN AND HOW TO CARRY OUT OUTREACH ACTIVITIES

THREAT INFORMATION Short name  Descriptive name of the threat
Date Date
Description Short description of the threat
References  Reference to background information, media reports, etc
Nature of the threat Choose from: System failures, Natural phenomena, Malicious actions, human errors, third-party failures.
1. TRIGGER Particular  Determine if the threat is particular or common/general.
Significant risk Determine if there is a significant risk: Assess the likelihood and the potential impact to find the level of risk
Outreach or not Yes or no
2. COMMUNICATE  Channel  Choose from: SMS, emails, social media (general or direct), company’s app, company’s website, other (please specify)
Measures or remedy  List specific measures the customer can take or, if there are none, explain what the outreach aims to achieve.
Include threat information Assess whether information about the threat itself can be included in the outreach.
3. EVALUATE  Communication received  Describe how to measure if the communication reached the customers.
Did customers take action? Describe how to measure if the customers reacted
Other KPIs Describe other KPIs that can be used to assess effectiveness.

 

脅威情報 略称  脅威の具体的な名称
日付 日付
内容 脅威の簡単な説明
参考文献  背景情報、メディア報道などの参照
脅威の性質 システム障害、自然現象、悪意ある行為、ヒューマンエラー、第三者の障害から選択。
1. トリガー 性質 その脅威が特殊なものか、一般的なものかを判断する。
重大なリスク 重大なリスクがあるかどうかを判断する。可能性と潜在的な影響を評価し、リスクのレベルを見出す
支援必要性の有無 はい または いいえ
2. コミュニケーション  チャンネル  選択項目:SMS、メール、ソーシャルメディア(一般・ダイレクト)、自社アプリ、自社サイト、その他(具体的にご記入ください)
対策・改善策  顧客ができる具体的な対策を挙げるか、ない場合は、アウトリーチが何を目的としているかを説明する。
脅威情報を含む 脅威そのものに関する情報をアウトリーチに含めることが可能かどうかを評価する。
3. 評価 コミュニケーション  コミュニケーションが顧客に届いたかどうかを測定する方法を記述する。
顧客が行動を起こしたか? 顧客が反応したかどうかを測定する方法を説明する。
その他のKPI 効果を評価するために使用できる他のKPIを記述する。

 

 

| | Comments (0)

2022.03.16

個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で、「第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」での資料等が公開されていますね。。。

 

個人情報法保護委員会

・2022.03.10 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第

[PDF] 資料1 顔識別機能付きカメラの特性に関する国内外の評価

[PDF] 資料2 本日ご議論いただきたい事項 

[PDF] 資料3 森構成員発表資料

[PDF] 資料4 遠藤構成員発表資料

[PDF] 参考資料 第1回検討会議事概要

 

本日ご議論いただきたい事項 」は、


第1回及び今次会合における個人情報保護法上の規律、民事裁判例の状況、顔識別機能付きカメラシステムの技術的特徴や評価に関する説明を踏まえ、以下の観点からご議論いただきたい。

1. 顔識別機能付きカメラシステムを利用することが有効かつ必要であると考えられる場面
 目的(テロ・重大犯罪防止、万引防止、行方不明者・徘徊者捜索、その他)
 設置場所
 撮影態様 等

2. 事業者に対応が求められる事項(上記目的の別にも着目して)
 個人情報保護法の規律と不法行為法上の留意点の異同も踏まえ、事業者にはどのような対応が求められるか。
 個人情報保護法上の規律が存在する事項について、より高い水準で行うべきもの
 個人情報保護法上の規律は存在しないが、不法行為法上の観点から行うべきもの 等


ということだったようです。。。

委員会で用意した「資料1顔識別機能付きカメラの特性に関する国内外の評価」も参考になりますし、

森先生の「肖像権・プライバシーに関する裁判例」も参考になりますし、

遠藤先生の、「防犯カメラの利用による民事法上の肖像権・プライバシー侵害」も参考になりますね。。。

 

違法性の判断基準

(森先生の資料を参考に・・・)

・2001.02.06 Nシステム事件(東京地判平成13年2月6日)

① [情報の性質] 取得、保有、利用される情報が個人の思想、信条、品行等に関わるかなどの情報の性質、
② [目的] 情報を取得、保有、利用する目的が正当なものであるか、
③ [方法] 情報の取得、保有、利用の方法が正当なものであるか
などを総合して判断すべき

・著名人コンビニ万引き事件 (東京地判平成22年9月27日(判タ1343号153頁))

① [目的] 撮影の目的、
② [必要性] 撮影の必要性
③ [方法] 撮影の方法、
④ [管理方法] 撮影された画像の管理方法
等諸般の事情を総合考慮して、撮影されない利益と撮影する利益を比較衡量して、受忍限度を超えるものかどうかを判断すべき

(遠藤先生の資料を参考に・・・)



① [社会的地位] 被撮影者の社会的地位*
② [活動内容] 撮影された被撮影者の活動内容、
③ [場所] 撮影の場所**
④ [目的] 撮影の目的、
⑤ [態様] 撮影の態様、
⑥ [必要性] 撮影の必要性
等を
総合考慮して、被撮影者の人格的利益の侵害が社会生活上受忍の限度を超えるといえるかどうかを判断基準としている

*: 有名人かどうかといった基準
**: 公開の場所、道路上、私的な場所か公的な場所かという基準

 

Fig_20220201061401


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

 

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

 

Faicial Recognition

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.03.15

米国 CISA 意見募集 ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

こんにちは、丸山満彦です。

NISTがゼロトラスト原則のエンタープライズ・モビリティへの適用に関する文書について意見募集をしていますね。。。

 

・2022.03.07 CISA’s Zero Trust Guidance for Enterprise Mobility Available for Public Comment

CISA’s Zero Trust Guidance for Enterprise Mobility Available for Public Comment CISAによるエンタープライズ・モビリティのためのゼロ・トラスト・ガイダンスがパブリックコメントに
CISA has released a draft version of Applying Zero Trust Principles to Enterprise Mobility for public comment. The paper guides federal agencies as they evolve and operationalize cybersecurity programs and capabilities, including cybersecurity for mobility. The public comment period will close April 18, 2022. CISAは、「ゼロトラスト原則のエンタープライズ・モビリティへの適用」のドラフト版を公開し、パブリックコメントを募集しています。この文書は、連邦政府機関がモビリティのためのサイバーセキュリティを含むサイバーセキュリティプログラムと能力を進化させ、運用する際の指針となるものです。パブリックコメント期間は2022年4月18日に終了する予定です。
Executive Order 14028:  Improving the Nation's Cybersecurity, issued May 12, 2021, requires Federal Civilian Executive Branch departments and agencies to adopt Zero Trust (ZT) architectures to protect the government’s information resources, of which federal mobility is an integral part. The guidance highlights the need for special consideration for mobile devices and associated enterprise security management capabilities due to their technological evolution and ubiquitous use. 2021年5月12日に発行された「大統領令14028:国家のサイバーセキュリティの改善」は、連邦民間行政府の部局および機関に対し、政府の情報資源を保護するためにゼロトラスト(ZT)アーキテクチャを採用するよう求めており、その一環として連邦モビリティが不可欠となっている。このガイダンスでは、モバイル機器の技術的進化とユビキタスな利用により、モバイル機器と関連する企業のセキュリティ管理機能に対する特別な配慮が必要であることを強調しています。
CISA encourages interested parties to review Applying Zero Trust Principles to Enterprise Mobility and provide comment. See CISA Blog: Maturing Enterprise Mobility Towards Zero Trust Architectures for more information.   CISAは、「ゼロトラスト原則のエンタープライズ・モビリティへの適用」を検討し、コメントを提供するよう関係者に呼びかけています。詳細は、CISAブログ:ゼロトラスト・アーキテクチャに向けたエンタープライズ・モビリティの成熟を参照してください。  

 

・[PDF] Applying Zero Trust Principles to Enterprise Mobility - Version: DRAFT FOR PUBLIC COMMENT

20220315-140353

・[DOCX] 仮訳

 

1  Introduction 1 はじめに
1.1  Purpose 1.1 目的
2  Federal Zero Trust Guidelines 2 連邦政府ゼロトラストガイドライン
2.1  National Institute of Standards and Technology Zero Trust Architecture 2.1 国立標準技術研究所 ゼロトラスト・アーキテクチャ
2.2  Department of Defense Zero Trust Reference Architecture 2.2 国防総省 ゼロトラストリファレンス・アーキテクチャ
2.3  National Security Agency Zero Trust Reference Architecture 2.3 国家安全保障省 ゼロトラストリファレンス・アーキテクチャ
2.4  Executive Office of the President, Executive Order on Improving the Nation’s Cybersecurity 2.4 大統領府 国家のサイバーセキュリティの改善に関する大統領令
2.5  Cybersecurity and Infrastructure Security Agency Zero Trust Maturity Model, Draft 2.5 サイバーセキュリティ・インフラセキュリティ庁 ゼロトラスト成熟度モデル(案)
2.6  OMB’s Zero Trust Strategy 2.6 OMBのゼロトラスト戦略
3  Currently Available Security Capabilities for Enterprise Mobility 3 エンタープライズモビリティのための現在利用可能なセキュリティ機能
3.1  Enterprise Mobile Security Technologies 3.1 エンタープライズ・モバイルセキュリティ技術
3.2  Operating System Security Capabilities 3.2 オペレーティングシステムのセキュリティ機能
3.3  Hardware Technologies (HRD) 3.3 ハードウェア技術 (HRD)
3.4  Ancillary Capability Enablers (ACE) 3.4 補助的な能力イネーブラ (ACE) 
4  A Crosswalk Between Zero Trust Principles and Secure Enterprise Mobility 4 ゼロトラスト原則とセキュア・エンタープライズモビリティの交差点
4.1 Cross-Cutting Capabilities 4.1 横断的な能力
4.2 Governance 4.2 ガバナンス
5 Conclusion and Proposed Next Steps 5 結論と次のステップの提案
Acronyms 頭字語

 

・2022.03.04 MATURING ENTERPRISE MOBILITY TOWARDS ZERO TRUST ARCHITECTURES

MATURING ENTERPRISE MOBILITY TOWARDS ZERO TRUST ARCHITECTURES ゼロトラスト・アーキテクチャに向けたエンタープライズ・モビリティの成熟
As our adversaries continue to evolve their efforts to compromise networks across all sectors of the economy, the Biden Administration is driving urgent efforts toward a new cybersecurity paradigm. President  Biden’s Executive Order on Improving the Nation’s Cybersecurity (EO 14028) focuses on advancing security measures for the federal government that dramatically reduce the risk of successful cyberattacks. In particular, EO 14028 requires federal civilian agencies to establish plans to drive adoption of Zero Trust Architecture. 敵が経済のあらゆる部門のネットワークを侵害する努力を進化させ続ける中、バイデン政権は新しいサイバーセキュリティのパラダイムに向けた緊急の努力を推進しています。バイデン大統領による国家のサイバーセキュリティの改善に関する大統領令(EO 14028)は、サイバー攻撃の成功リスクを劇的に低減する連邦政府のセキュリティ対策の推進に焦点を当てています。特に、EO 14028は、連邦政府の文民機関がゼロトラストアーキテクチャの採用を推進する計画を策定することを求めています。
The Office of Management and Budget (OMB) issued a zero trust (ZT) strategy document in response to the Cybersecurity EO that requires Federal agencies to achieve certain specific ZT goals by the end of Fiscal Year 2024. Mobile devices present unique opportunities and challenges in adopting comprehensive zero trust models. We understand that mobile devices are an integral resource to conducting official business. 行政管理予算局(OMB)は、サイバーセキュリティの大統領令に対応してゼロトラスト(ZT)戦略文書を発行し、連邦政府機関に対して2024会計年度末までに特定のZT目標を達成するよう要求しています。モバイル機器は、包括的なゼロトラストモデルを採用する上でユニークな機会と課題を提供します。私たちは、モバイルデバイスが公務を遂行する上で不可欠なリソースであることを理解しています。
To support federal agencies and other organizations on their journey toward zero trust, CISA has published Applying Zero Trust Principles to Enterprise Mobility. This new publication highlights the need for special consideration for mobile devices and associated enterprise security management capabilities due to their technological evolution and ubiquitous use. The paper further presents architectural frameworks, principles, and capabilities to attain a ZT level set by the adopting organization. It then maps mobile security approaches into ZT principles that an organization can use to align its current mobile security capabilities with a ZT approach. ゼロ・トラストへの道を歩む連邦政府機関やその他の組織を支援するため、CISAは「ゼロトラスト原則のエンタープライズ・モビリティへの適用)」を発表しました。この新しい出版物は、モバイル機器の技術的進化とユビキタスな使用により、モバイル機器と関連する企業のセキュリティ管理機能に対する特別な配慮の必要性を強調しています。さらに、採用する組織が設定したZTレベルを達成するためのアーキテクチャのフレームワーク、原則、および機能を紹介しています。そして、モバイルセキュリティのアプローチをZTの原則にマッピングし、組織が現在のモバイルセキュリティ能力をZTアプローチに適合させるために利用できるようにします。
It is important to note that the mobility ZT paper is not a technical manual or implementation guide for either zero trust or enterprise mobility. Instead, it will guide federal civilian agencies and other organizations through the process of developing and implementing their specific cybersecurity capabilities for enterprise mobility toward adoption of their ZT goals. このモビリティZT文書は、ゼロトラスト・モビリティやエンタープライズ・モビリティの技術マニュアルや導入ガイドではないことに注意が必要です。その代わりに、連邦政府の民間機関やその他の組織が、ZT目標の採用に向けて、エンタープライズ・モビリティのための特定のサイバーセキュリティ能力を開発し、実装するプロセスを案内するものです。
We are also requesting public comment to ensure our guidance enables the best visibility, flexibility, and security. Our intent is to inform federal agencies how ZT principles can be applied to currently-available mobile security technologies that are already adopted in many cases as part of enterprise mobility security programs. また、私たちのガイダンスが最高の可視性、柔軟性、およびセキュリティを可能にするよう、パブリックコメントを求めています。私たちの意図は、企業のモビリティ・セキュリティ・プログラムの一部として多くの場合すでに採用されている、現在利用可能なモバイル・セキュリティ技術にZTの原則を適用する方法を連邦機関に知らせることです。

 

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2021.11.05 米国 国土安全保障省 拘束力のある運用指令22-01 悪用された既知の脆弱性についての重大なリスクの低減

・2021.09.09 米国 CISA 意見募集 ゼロトラスト成熟度モデル

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

| | Comments (0)

中国 意見募集 未成年者ネット保護条例案

こんにちは、丸山満彦です。

中国が未成年者ネット保護条例についての意見募集をおこなっていますね。。。

どこかの国の勢いがあるおじさん、おばさんが作りたがっているような内容かもしれませんね。。。そういう意味では、そういうおじさん、おばさんたちは、大いに隣の国に学ぶことがあるのかもしれません。。。

法律で国としての制度とするのか、事業者を関係者の協力で自主的に解決していくのかというのは重要な問題だと思います。すべてを法律、すべてを自主協力でというわけにはいかないと思います。。。その匙加減は、国民の民度によるのかもしれませんね。。。

 

国家互联网信息办公室(国家サイバースペース管理局)

2022.03.14 国家互联网信息办公室关于《未成年人网络保护条例(征求意见稿)》 国家サイバースペース管理局「未成年者ネット保護条例(意見募集案)

 

国家互联网信息办公室关于《未成年人网络保护条例(征求意见稿)》 国家サイバースペース管理局「未成年者ネット保護条例(意見募集案)」
再次公开征求意见的通知 再度のパブリックコンサルテーションの通知
为了营造健康、文明、有序的网络环境,保护未成年人身心健康,保障未成年人在网络空间的合法权益,按照有关立法规划计划安排,前期国家互联网信息办公室起草了《未成年人网络保护条例(征求意见稿)》并公开征求意见。此后,国家互联网信息办公室会同司法部根据新修订制定的《中华人民共和国未成年人保护法》《中华人民共和国个人信息保护法》等法律和社会公众反馈意见,对《未成年人网络保护条例(征求意见稿)》进行了修改完善。为深入推进科学立法、民主立法、依法立法,提高立法质量,现再次公开征求意见。公众可通过以下途径和方式提出反馈意见: 健全で文明的で秩序あるネットワーク環境を作り、未成年者の心身の健康を保護し、サイバー空間における未成年者の合法的権益を守るため、国家サイバースペース管理局は、関連立法計画案の取り決めに基づき、早期に「未成年者ネットワーク保護条例(パブリックコメント募集案)」を起草し、公に意見を募集している。 その後、国家サイバースペース管理局は、新たに改正・制定された「中華人民共和国未成年者保護法」、「中華人民共和国個人情報保護法」などの法律や国民からの意見に従って、「未成年者インターネット保護条例(パブリックコメント用ドラフト)」の改正・改善を法務部と共に行ってきました。 科学的、民主的、法的な立法をさらに推進し、立法の質を向上させるため、今回、改めて一般から意見を募集すします。 一般の方は、以下の方法・手段でご意見をお聞かせください
附件:
1.未成年人网络保护条例(征求意见稿)
別紙:
1.未成年者ネット保護条例(意見募集案)
2.关于《未成年人网络保护条例(征求意见稿)》的说明 2.未成年者ネット保護条例(意見募集案)説明

   

 

まず、「2.未成年者ネット保護条例(意見募集案)説明」から...

关于《未成年人网络保护条例(征求意见稿)》的说明 未成年者ワーク保護条例(意見募集案)説明
一、立法必要性 I. 法制化の必要性
近年来,随着互联网的普及应用,特别是移动互联网迅速发展,越来越多的未成年人开始接触和使用互联网。据统计,2020年我国未成年网民规模已达1.83亿,未成年人的互联网普及率达到94.9%,明显高于同期全国人口70.4%的互联网普及率。互联网在拓展未成年人学习、生活空间的同时,也带来了一些问题,如未成年人安全合理使用网络的意识和能力不强、网上违法和不良信息影响未成年人身心健康、未成年人个人信息被滥采滥用、一些未成年人沉迷网络等,亟待通过立法加以解决。 近年、インターネットの普及・応用、特にモバイルインターネットの急速な発展に伴い、より多くの未成年者がインターネットにアクセスし、利用するようになりました。 統計によると、中国の未成年インターネットユーザー規模は2020年に1億8300万人に達し、未成年者のインターネット普及率は94.9%に達し、同時期の全国民のインターネット普及率70.4%を大きく上回っています。 インターネットは、未成年者の学習・生活空間を拡大した一方で、未成年者のインターネットを安全かつ合理的に利用する意識や能力が高くない、インターネット上の違法・不当な情報が未成年者の心身の健康に影響を与える、未成年者の個人情報が無差別に抽出・悪用される、インターネット依存症の未成年者がいる等の問題をもたらし、立法による対処が急務であると考えます。
习近平总书记指出,我们要本着对社会负责、对人民负责的态度,依法加强网络空间治理,加强网络内容建设,为广大网民特别是青少年营造一个风清气正的网络空间。党中央、国务院高度重视未成年人网络保护工作,有关文件多次提出要制定未成年人网络保护条例,国务院也多次将制定未成年人网络保护条例列入立法工作计划。 習近平総書記は、人民に対して社会的責任と説明責任を果たし、法に従ってサイバースペースの統治を強化し、ネットコンテンツの建設を強化し、大多数のネットユーザー、特に若者にとって明瞭でクリーンなサイバースペースを実現すべきだと指摘しました。 党中央委員会及び国務院は、インターネット上の未成年者の保護を非常に重視しており、関連文書では、未成年者ネットワーク保護条例の策定を繰り返し提案しており、国務院も、未成年者ネットワーク保護条例の策定を繰り返し立法作業計画に盛り込んでいます。
二、起草过程 II.草案起草プロセス
根据党和国家关于未成年人网络保护和网信事业发展的决策部署,按照有关立法规划计划安排,国家互联网信息办公室会同司法部起草了《未成年人网络保护条例(征求意见稿)》。在此期间,国家互联网信息办公室、司法部先后向社会公开征求意见,多次大范围征求中央有关单位、部分地方政府和有关企业、行业协会和专家的意见,多次召开会议听取有关部门、企业、学校、家长和专家学者的意见;赴地方进行实地调研;根据未成年人保护法、预防未成年人犯罪法、个人信息保护法、家庭教育促进法等相关法律制定修订进展,反复研究完善,形成了目前的征求意见稿。 未成年者のネットワーク保護とネットの発展に関する党と国の決定に従って、国家サイバースペース管理局は、法務省と共に、関連する立法計画の取り決めに従って、「未成年者ネットワーク保護条例(パブリックコメント用ドラフト)」を起草しました。 この間、国家サイバースペース管理局と法務省は相次いで社会から世論を募集し、数回にわたって関連中央機関、一部の地方政府及び関連企業、業界団体、専門家に広く意見を求め、数回の会議を開催して関連部門、企業、学校、保護者および専門家と学者の意見を聞き、地方に出向いて現地調査を行い、未成年者保護法、少年犯罪防止法、少年犯罪予防法を根拠として、「少年犯罪防止法」「少年犯罪予防法」を制定しました。 今回の協議案は、「未成年者保護法」「少年非行防止法」「個人情報保護法」「家庭教育振興法」の策定・改正の進展に伴い、研究・改善を重ね、策定しました。
三、主要内容 III.主な内容
征求意见稿共七章六十七条,主要内容包括: 協議案は7章67条で構成され、その主な内容は以下の通りです。
(一)关于加强未成年人网络素养培育 (1) 未成年者のネット・リテラシーの育成強化について
针对一些未成年人网络素养需要提高,科学、文明、安全、合理使用网络能力不强的问题,征求意见稿规定:一是将网络素养教育纳入学校素质教育内容,制定未成年人网络素养测评指标(第十三条)。二是改善未成年人上网条件,通过配备指导教师或者政府购买服务等方式提供优质的网络素养教育课程(第十四条)。三是明确为未成年人提供互联网上网服务设施的有关场所应当履行的未成年人网络保护义务,以及未成年人上网保护软件、专门供未成年人使用的智能终端产品应当具有的功能(第十五条、第十九条)。四是强化学校、监护人的网络素养教育责任,建立健全学生在校上网管理制度,加强监护人对未成年人使用网络行为的引导和监督(第十六条、第十七条)。五是鼓励和支持专门以未成年人为服务对象、适应未成年人身心健康发展规律和特点的网络技术、产品和服务的研发、生产和使用(第十八条)。六是强化重要互联网平台服务提供者在未成年人网络保护中的责任,并设置专门义务(第二十条)。 未成年者の中には、ネット・リテラシーを向上させる必要があり、科学的、文明的、安全かつ合理的な方法でネットを利用することに強くない者がいるという問題に対して、公募案では、第1に、学校における質の高い教育の内容にインターネット・リテラシー教育を組み入れること、未成年者のネット・リテラシーの評価のための指標を策定すること(13条)が規則されています。 第2は、未成年者がネットにアクセスするための条件を整備し、政府による講師の派遣やサービスの購入を通じて、質の高いネット・リテラシー教育コースを提供することです(第14条)。 第3に、未成年者向けインターネット接続サービス設備を提供する関係事業所が果たすべき未成年者のネット保護義務、及び未成年者向けインターネット保護ソフトウェアや未成年者専用のスマート端末製品が提供すべき機能を明確にすること(15条、19条)。 第4に、ネット・リテラシー教育に対する学校及び保護者の責任の強化、学校における生徒のネット利用管理のための健全なシステムの確立、未成年者のネット利用行動に対する保護者の指導・監督の強化(16条、17条)である。 第5に、未成年者を特に対象とし、その身体的及び精神的健康の発達の法則及び特性に適合するネット技術、製品及びサービスの研究、開発、生産及び利用を奨励し、支援すること(第18条)。 第6に、未成年者のオンライン保護における重要なインターネット・プラットフォーム・サービス・プロバイダーの責任を強化し、特別な義務を設定すること(第20条)です。
(二)关于加强网络信息内容规范 (2) オンライン情報コンテンツの規制強化について
针对网上违法和不良信息影响未成年人身心健康、网络欺凌事件屡有发生、不法分子利用网络诱导未成年人违法犯罪等问题,征求意见稿规定:一是鼓励和支持有利于未成年人健康成长的网络信息的制作、复制、发布、传播(第二十一条)。二是加强对信息内容的管理,对含有危害未成年人身心健康内容的信息和可能影响未成年人身心健康的信息作出相应规范,明确网络产品和服务提供者发现相关信息的处置措施和报告义务(第二十二条至第二十四条、第二十六条、第三十条)。三是禁止对未成年人实施网络欺凌行为,保障未成年人及其监护人行使通知权利(第二十七条)。四是禁止利用网络组织、胁迫、引诱、教唆、欺骗和帮助未成年人实施不良行为、严重不良行为或者违法犯罪行为(第二十八条)。五是要求以未成年人为服务对象的在线教育网络产品和服务符合未成年人的身心发展特点和认知能力(第二十九条)。六是明确新闻媒体的未成年人保护义务,要求客观、审慎和适度采访报道涉及未成年人事件(第三十一条)。 ネット上の違法・不当な情報が未成年者の心身の健康に影響を与えること、いじめが繰り返されること、悪質な者がネットを利用して未成年者を犯罪に巻き込むことなどが問題となっていることから、意見募集では、第1に、未成年者の健全育成に資するオンライン情報の作成、複製、公表及び普及を奨励・支援すること(21条)を規則しています。 第2に、情報コンテンツの管理を強化し、未成年者の心身の健康に有害な内容を含む情報および未成年者の心身の健康に影響を与える可能性のある情報への対応規則を設け、オンライン商品・サービスの提供者が関連情報を発見した場合の処分方法および報告義務を明確にしています(22条~24条、26条、30条)。 第3に、未成年者に対するいじめを禁止し、未成年者及びその保護者の通告権を保障しています(第27条)。 第4に、ネットを利用して、未成年者が悪い行為、重大な悪い行為、犯罪を犯すことを組織し、強制し、教唆し、欺き、手助けすることを禁止しています(第28条)。 第5に、未成年者を対象としたオンライン教育ネットワーク製品及びサービスは、未成年者の身体的・精神的発達の特性及び認知能力に適合することが求められます(第29条)。 第六に、報道機関の未成年者保護義務を明確化し、未成年者が関与する事件の客観的かつ慎重で節度ある報道を義務付けています(第31条)。
(三)关于加强未成年人个人信息保护 (3) 未成年者の個人情報保護の強化について
针对未成年人个人信息被滥采滥用、保护不充分等问题,征求意见稿明确:一是明确网络服务提供者收集未成年人真实身份信息相关要求(第三十三条)。二是规定个人信息处理者处理未成年人个人信息的基本原则、知情同意、告知规则和提供规则(第三十四条至第三十六条、第三十八条)。三是规定个人信息处理者处理未成年人敏感个人信息需要履行的特殊义务(第三十七条)。四是明确监护人在未成年人个人信息保护中的监护职责(第三十九条)。五是明确个人信息处理者的配合义务、安全事件应急处置要求、未成年人个人信息访问权限限制和个人信息合规审计要求(第四十条至第四十二条、第四十四条)。六是强化对未成年人私密信息的保护。(第四十三条)。 未成年者の個人情報が無差別に抽出・乱用され、その保護が不十分であるという問題に対し、今回の公開草案では、第1に、ネットワークサービス事業者による未成年者の実名情報の収集に関する要件を明確にしています(第33条)。 第2に、個人情報取扱者による未成年者の個人情報の取扱いについて、基本原則、インフォームドコンセント、通知規則、提供規則を定めています(第34条~第36条、第38条)。 第3に、未成年者の機微な個人情報を取り扱う際に、個人情報取扱者が果たすべき特別な義務について規則すること(第37条)。 第4に、未成年者の個人情報保護における保護者の後見的責任を明確にすること(第39条)。 第5に、個人情報取扱者の協力義務、セキュリティ事故の緊急対応要件、未成年者の個人情報へのアクセス制限、個人情報の準拠性監査の要件を明確にすること(第40条から42条、第44条)。 6つ目は、未成年者の個人情報保護を強化することです。 (第43条)。
(四)关于加强未成年人网络沉迷防治 (4) 未成年者のネット中毒の防止及び管理の強化に関すること。
针对一些未成年人沉迷于网络游戏、网络直播、网络音视频等网络产品和服务、未成年人非理性网络消费、参与“饭圈”乱象、“网瘾矫治机构”侵害未成年人身心健康等问题,征求意见稿规定:一是严禁以侵害未成年人身心健康的方式干预未成年人网络沉迷(第四十六条)。二是加强学校、监护人对未成年人沉迷网络的预防和干预,提高教师对未成年人沉迷网络的早期识别和干预能力,加强监护人对未成年人安全合理使用网络的监督(第四十七条、第四十八条)。三是明确平台责任义务,要求相关主体建立健全防沉迷制度,合理限制未成年人消费行为,采取措施防范和抵制流量至上等不良价值倾向(第四十九条至第五十二条)。四是完善网络游戏实名制规定,建立预防未成年人沉迷网络游戏的游戏规则,对游戏产品进行分类并予以适龄提示(第五十三条、第五十四条)。五是明确国家有关部门在未成年人网络沉迷防治工作方面的职责(第五十五条、第五十六条)。 一部の未成年者がオンラインゲーム、オンラインライブ配信、オンラインオーディオ・ビデオなどのオンライン製品・サービスにはまっていること、未成年者による不合理なオンライン消費、「おにぎりの輪(ファンサークル)」カオスへの参加、「ネット依存症治療施設」が未成年者の心身の健康を侵害している問題に対して、協議案が示されました。 草案では、第1に、未成年者のネット中毒について、その心身の健康を侵害するような干渉は厳禁とされています(第46条)。 第2に、学校及び保護者が未成年者のネット中毒を予防し介入する能力を強化し、教師が未成年者のネット中毒を早期に発見し介入する能力を向上させ、保護者が未成年者の安全かつ合理的なインターネット利用を監督する能力を強化すべきです(第47条、第48条)。 第3に、プラットフォームの責任と義務を明確化し、関連する主体に対して、健全な依存症対策システムの構築、未成年者の消費行動の合理的制限、トラフィック優先などの望ましくない価値傾向を防止し抵抗するための措置などを求めています(第49条~第52条)。 第4に、オンラインゲームの実名制に関する規則の整備、未成年者のオンラインゲーム中毒を防ぐためのゲームルールの制定、ゲーム商品の分類と年齢相応のアドバイス(53条、54条)です。 第5に、未成年者のネット依存症の予防と管理における国家関係部門の責任を明確にしています(第55条、第56条)。
此外,征求意见稿还对有关违法行为规定了相应的法律责任(第六章)。 さらに、コメント用ドラフトでは、関連する違法行為に対応する法的責任についても定めています(第6章)。

 

1.未成年者ネット保護条例(意見募集案)

未成年人网络保护条例(征求意见稿) 未成年者ネット保護条例(意見募集案)
第一章 总则 第1章 総則
第一条 为了营造健康、文明、有序的网络环境,保护未成年人身心健康,保障未成年人在网络空间的合法权益,根据《中华人民共和国未成年人保护法》《中华人民共和国网络安全法》《中华人民共和国个人信息保护法》等法律,制定本条例。 第1条 本規則は、中華人民共和国未成年者保護法、中華人民共和国ネットワークセキュリティ法、中華人民共和国個人情報保護法及びその他の法律に従い、健全で文明的かつ秩序あるネットワーク環境を作り、未成年者の心身の健康を守り、サイバー空間における未成年者の合法的権益を保護するために制定された。
第二条 未成年人网络保护工作应当坚持最有利于未成年人的原则,以社会主义核心价值观为引领,适应未成年人身心健康发展和网络空间的规律和特点,实行社会共治。 第2条 未成年者のネット保護は、未成年者に最も資するという原則を堅持し、社会主義の核心的価値観に導かれ、未成年者の健全な心身の発達とサイバースペースの法律及び特性に適応し、社会共治を実施する。
第三条 国家网信部门负责统筹协调未成年人网络保护工作,并依据职责做好相关未成年人网络保护工作。 第3条 国家のネットワーク情報部門は、未成年のネット保護に関する業務を調整する責任を負い、その任務に従って未成年のネット保護に善処しなければならない。
国家新闻出版部门和国务院教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门依据各自职责做好相关未成年人网络保护工作。 国家報道出版部門および教育、電信、公安、民政、文化観光、衛生、市場監督管理、ラジオ・テレビなどの国務院の関連部門は、それぞれの職務に基づき、未成年者のネットワーク保護に関する関連作業を行う。
县级以上地方有关部门依据各自职责做好相关未成年人网络保护工作。 県レベル以上の地方関連部門は、それぞれの責任に基づき、ネット上の未成年者保護のための関連業務を行う。
第四条 共产主义青年团、妇女联合会、工会、残疾人联合会、关心下一代工作委员会、青年联合会、学生联合会、少年先锋队以及其他人民团体、有关社会组织、基层群众性自治组织,应当协助有关部门做好未成年人网络保护工作,维护未成年人在网络空间的合法权益。 第4条 共産主義青年団、婦女連合会、労働組合、障害者連合会、次世代配慮委員会、青年連合会、学生連合会、青年開拓団などの人民組織、関連社会団体、草の根大衆自治組織は、関連部門がネット上の未成年者を保護し、サイバー空間における未成年者の合法的権益を保護するために良い仕事をするように援助しなければならない。
第五条 家庭、学校和其他教育机构应当教育引导未成年人参加有益身心健康的活动,科学、文明、安全、合理使用网络,预防和干预未成年人沉迷网络。 第5条 家庭、学校その他の教育機関は、未成年者が心身の健康に有益な活動に参加し、ネットを科学的、文明的、安全かつ合理的に利用するよう教育及び指導し、未成年者のネット依存を防止及び介入する。
第六条 网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者应当遵守法律法规规章,尊重社会公德,遵守商业道德,诚实信用,履行未成年人网络保护义务,承担社会责任。 第6条 ネットワーク製品・サービス提供者、個人情報処理者、インテリジェント端末製品製造・販売者は、法令を遵守し、社会道徳を尊重し、企業倫理を守り、誠実かつ信頼され、ネット上の未成年者保護義務を果たし、社会的責任を負わなければならない。
第七条 网络产品和服务提供者、个人信息处理者、智能终端产品制造者和销售者应当接受政府和社会的监督,配合有关部门依法实施涉及未成年人网络保护工作的监督检查,建立便捷、合理、有效的投诉、举报渠道,通过显著方式公布投诉、举报途径和方法,及时受理并处理公众投诉、举报。 第7条 ネットワーク製品・サービス提供者、個人情報処理業者、インテリジェント端末製品の製造・販売業者は、政府および社会の監督を受け入れ、関係部門と協力して、法に基づき未成年者が関わるネットワーク保護業務の監督・検査を実施し、便利で合理的かつ有効な苦情・通報ルートを設け、苦情・通報方法と手段を目立つように公表し、公衆の苦情・通報を迅速に受け付け、処理する。
第八条 任何组织和个人发现违反本条例规定的,可以向网信、新闻出版、教育、电信、公安、民政、文化和旅游、卫生健康、市场监督管理、广播电视等有关部门投诉、举报。收到投诉、举报的部门应当及时依法作出处理;不属于本部门职责的,应当及时移送有权处理的部门。 第8条 本規則に違反する行為を発見した組織または個人は、ネット情報、報道出版、教育、電気通信、公安、民政、文化観光、保健、市場監督管理、ラジオ・テレビなどの関連部門に苦情または通報を行うことができる。 苦情や報告を受けた部門は、法律に従って速やかに対処し、その部門の責任に該当しない場合は、それを処理する権利を有する部門に速やかに移管しなければならない。
第九条 网络相关行业组织应当加强行业自律,制定未成年人网络保护相关行业规范,指导会员履行未成年人网络保护义务,加强对未成年人的网络保护。 第9条 ネットワーク関連業界団体は、業界の自主規制を強化し、未成年のネット保護に関する業界規範を策定し、会員が未成年のネット保護に関する義務を履行することを指導し、未成年のネット保護を強化する。
第十条 新闻媒体应当通过新闻报道、专题栏目(节目)、公益广告等方式,开展未成年人网络保护法律制度、政策措施和有关知识的宣传,对侵犯未成年人网络权益的行为进行舆论监督,引导全社会共同参与未成年人网络保护。 第10条 報道機関は、報道、特別欄(番組)及び公共広告を通じて、未成年のネット保護に関する法制度、政策、措置及び関連知識を広報し、未成年者のインターネット権益を侵害する行為に関する世論を監視し、社会全体が未成年のネット保護に参加するように指導しなければならない。
第十一条 国家鼓励和支持在未成年人网络保护领域加强科学研究和人才培养,开展国际交流与合作。 第11条 国は、未成年のネット保護の分野における科学的研究及び人材の育成の強化並びに国際交流及び協力の発展を奨励し、支援する。
第十二条 对在未成年人网络保护工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。 第12条 未成年のネット保護に顕著な貢献をした団体及び個人は、国家の関連規則に基づいて表彰される。
第二章 网络素养培育 第2章 ネットリテラシーの育成
第十三条 国务院教育行政部门应当将网络素养教育纳入学校素质教育内容,并会同国家网信部门制定未成年人网络素养测评指标。 第13条 国務院教育行政部門は、学校における質の高い教育の内容にネットリテラシーの教育を取り入れ、国家のネットワーク情報部門と共同で、未成年者のネットリテラシーを測定するための指標を策定する。
教育行政部门应当指导、支持学校开展未成年人网络素养教育,围绕网络道德意识和行为准则、网络法治观念和行为规范、网络使用能力建设、人身财产安全保护等,培育未成年人网络安全意识、文明素养、行为习惯和防护技能。 教育行政部門は、学校が未成年者のネットリテラシーに関する教育を実施するよう指導・支援し、ネットの道徳・行動規範の意識、ネットの法治・行動規範の概念、ネット利用の能力開発、個人財産安全の保護などを中心に、未成年者のネット安全意識、文明的リテラシー、行動習慣、保護能力などを育成すべきである。
第十四条 县级以上人民政府应当科学规划、合理布局,加强提供公益性上网服务的公共文化设施建设,改善未成年人上网条件,促进公益性上网服务均衡协调发展。 第14条 県レベル以上の地方人民政府は、科学的な計画と合理的な配置を行い、公共の福祉ネット接続サービスを提供する公共文化施設の建設を強化し、未成年者のネット接続条件を改善し、公共の福祉ネット接続サービスの均衡と協調のある発展を促進しなければならない。
县级以上地方人民政府应当通过为中小学校配备具备相应专业能力的指导教师或者政府购买服务等方式,为学生提供优质的网络素养教育课程。 県レベル以上の地方人民政府は、初等・中等学校に適切な専門能力を有する指導者を配置することにより、または政府がサービスを購入することにより、生徒に対して質の高いネットリテラシー教育コースを提供する。
第十五条 学校、社区、图书馆、文化馆、青少年宫等场所为未成年人提供互联网上网服务设施,应当通过安排专业人员和招募志愿者、教师、家长参与等方式,以及安装未成年人网络保护软件或者采取其他安全保护技术措施,为未成年人提供上网指导和安全、健康的上网环境。 第15条 学校、共同体、図書館、文化センター、青少年会館その他未成年者のためにネット接続サービス施設を提供するところは、専門職員を配置し、ボランティア、教師及び保護者の参加を求め、また、未成年者用のインターネット保護ソフトウェアをインストールし、その他安全保護のための技術的措置を採ることにより、未成年者の指導及び安全かつ健全なインターネット環境を提供しなければならない。
第十六条 学校应当将科学、文明、安全、合理使用网络等内容纳入教育教学活动,并合理使用网络开展教学活动,建立健全学生在校期间上网的管理制度,对学生进行网络素养教育,依法规范管理