« March 2022 | Main | May 2022 »

April 2022

2022.04.30

米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

こんにちは、丸山満彦です。

米国GAOが人工知能は国家安全保障をどう変えるかについて、ブログの記事を上げていましたね。。。

GAOは昨年の6月に監査人や第三者評価者が聞くべきポイントと、それを確認するための監査手続きを示した、「人工知能のための新しい枠組み」を発表しており、それを活かして監査をした結果の紹介という感じでしょうかね。。。

米国の競争国としての中国、ロシアも同様の活動をしているでしょうから、より賢くするためにはどうすれば良いか?独立した目線で評価し、発見事項と推奨事項案をあげ、当局とも話し合い、より良い方向に進めるようにする。

監査を単なるイチャモン付けではなく、検証、保証はしつつも、ある意味助言者でもあり、伴走者でもあるように活用するという意識が双方にあれば、組織はより発展するのかもしれませんね。。。いわゆる3E監査、VFM監査が重要なのでしょうが、単なる保証で終わりではなく、発見をした課題に対する改善策を互いに議論をして深め合い考えていくことが重要なのでしょうね。。。

 

U.S. GAO - WatchBlog

・2022.04.19 How Artificial Intelligence Is Transforming National Security

How Artificial Intelligence Is Transforming National Security 人工知能は国家安全保障をどう変えるか
Artificial Intelligence (AI) is expected to transform all sectors of society, including, according to Department of Defense (DOD), the very character of war. Failure to adopt and effectively integrate AI technology could hinder national security. As a result, DOD is investing billions of dollars and making organizational changes to integrate AI into their warfighting plans. 人工知能(AI)は、国防総省(DOD)によれば、戦争の性格そのものを含め、社会のあらゆる分野を変革すると予想されています。AI技術の導入と効果的な統合に失敗すれば、国家安全保障に支障をきたす可能性があります。そのため、DODは数十億ドルを投資し、AIを戦争遂行計画に統合するための組織改革を進めています。
In today’s WatchBlog post, we look at our recent reports about what DOD is doing to deploy this emerging technology, and our recommendations to improve this response. 本日のWatchBlog記事では、DODがこの新興技術を展開するために行っていることについての私たちの最近の報告書と、この対応を改善するための私たちの提言を見てみましょう。
AI in national security, on and off the battlefield 国家安全保障におけるAI、戦場でも戦場以外でも
Strategic competitors, such as China and Russia, are making significant investments in AI for national security purposes. Likewise, DOD is investing billions of dollars to develop and integrate AI into defense systems. The types of AI that DOD uses range from automating simple business tasks (such as processing financial data) and predicting mechanical failures in weapons platforms to performing complex analysis to support its warfighting mission. 中国やロシアなどの戦略的な競争相手は、国家安全保障の目的でAIに多大な投資を行っています。同様に、DODはAIを開発し、防衛システムに統合するために数十億ドルを投資しています。DODが使用するAIの種類は、単純なビジネスタスク(財務データの処理など)の自動化や兵器プラットフォームの機械的故障の予測から、戦争遂行任務を支援するための複雑な分析の実行まで、多岐にわたっています。
Types of Artificial Intelligence and Associated DOD Examples 人工知能の種類と関連するDODの例
Ai-graphic
Many AI capabilities that support DOD’s warfighting mission are still in development. Examples include analyzing intelligence information (for example, facial recognition), enhancing weapon systems (such as drones and robotic ships), or providing recommendations on the battlefield (such as where to target missile strikes). DODの戦争遂行任務をサポートする多くのAI能力はまだ開発中です。例えば、インテリジェンス情報の分析(例えば、顔認識)、兵器システムの強化(ドローンやロボット船など)、戦場での推奨事項(ミサイル攻撃の標的場所など)などがあります。
Why is DOD challenged to quickly develop, acquire, and integrate AI technologies? なぜDODはAI技術の迅速な開発、取得、統合という課題に直面しているのでしょうか?
DOD has historically faced challenges to buying major weapons systems—such as a long acquisition process and a shortage of skilled workers. In February, we found that DOD is encountering these same problems—along with some others that are specific to AI. DODは歴史的に、長い取得プロセスや熟練労働者の不足など、主要な兵器システムを購入するための課題に直面してきました。2月、我々はDODが(AIに特有の他のいくつかの問題も含めて)これらと同じ問題に遭遇していることを発見しました。
Developing and acquiring AI capable of the complex, high-risk tasks DOD needs on the battlefield is different from acquiring traditional software. Traditional software is programmed to perform tasks based on static instructions, but AI is programmed to learn and improve at its given tasks. To train and run this machine-learning process requires large data sets, substantial computing power, and continuous monitoring to ensure the capability performs as intended. 国防総省が戦場で必要とする複雑で高リスクのタスクをこなすAIの開発・取得は、従来のソフトウェアの取得とは異なります。従来のソフトウェアは、静的な命令に基づいてタスクを実行するようにプログラムされていますが、AIは与えられたタスクを学習し、改善するようにプログラムされています。この機械学習プロセスを訓練し実行するには、大規模なデータセット、相当な計算能力、そして能力が意図したとおりに実行されることを確認するための継続的な監視が必要です。
For example, to train AI to identify a helicopter on its own, developers provide the model with many labeled photos of various helicopters to ensure it identifies helicopters and not, for example, planes, birds, or people. 例えば、AIにヘリコプターを識別させるためには、開発者はラベル付けされた様々なヘリコプターの写真を多数与えて、ヘリコプターを識別させ、例えば飛行機、鳥、人などを識別させないようにする必要がある。
DOD has begun to address these kinds of challenges, but it is too soon to know whether they will be effective. DODはこのような課題に取り組み始めているが、効果があるかどうかはまだわからない。
Example of labeled imagery data for training AI AI学習用ラベル付き画像データの例
Ai-military-training-photo
What changes has DOD made to accelerate its adoption of AI technology? DODはAI技術の採用を加速させるために、どのような変化をもたらしたのでしょうか?
DOD has taken various actions to accelerate its ability to adopt and integrate AI capabilities: DODは、AI能力の導入と統合の能力を加速させるために、様々な行動を起こしてきた。
Organizational Changes. DOD established the Joint Artificial Intelligence Center (JAIC) in 2018. In February 2022, DOD stood up the new position of the Office of the Chief Digital and AI Officer to serve as the department’s senior official responsible for strengthening and integrating data, AI, and digital solutions and to replace the JAIC. 組織的な変更。DODは、2018年に統合人工知能センター(JAIC)を設立しました。2022年2月、DODは、データ、AI、デジタルソリューションの強化と統合を担当する省の高官として、またJAICに代わって、最高デジタル・AI責任者の役職を新たに立ち上げました。
Additional investments. DOD increased investments in recent years, reflecting the growing importance of AI. For example, the latest budget request included $130.1 billion for research and development in recognition of the need to sharpen our readiness in advanced technology including artificial intelligence.  追加投資の実施 DODは近年、AIの重要性が高まっていることを反映して投資を増やしました。例えば、最新の予算要求では、人工知能を含む先端技術における即応性を研ぎ澄ます必要性を認識し、研究開発費として1301億ドルが計上されました。
To learn more about DOD’s use and strategies for AI, check out our podcast with GAO’s Brian Mazanec. 国防総省のAI活用と戦略の詳細については、GAOのBrian Mazanec氏とのポッドキャストをご覧ください。


Transcript
DOD would benefit from comprehensive plans and improved coordination DODは包括的な計画と調整の改善から利益を得るでしょう。
Our March report made 7 recommendations aimed at helping DOD to improve its planning for AI technology— including improving strategies, refining the inventory process, and establishing collaboration guidance. Additionally, DOD could use the GAO AI accountability framework to improve its strategies and plans moving forward. 我々の3月の報告書は、DODがAI技術に関する計画を改善するのを支援することを目的とした7つの勧告を行いまし。さらに、DODはGAOのAI説明責任フレームワークを利用して、今後の戦略や計画を改善することができます。
AI is a rapidly developing technology, revolutionizing everything from daily life to global events. Additional actions from DOD are needed to ensure the department can take advantage of the AI revolution and maintain an advantage over China and Russia, which seek to do the same. AIは急速に発展している技術であり、日常生活から世界的な出来事まであらゆるものに革命を起こしています。DODがAI革命を確実に利用し、同じことをしようとする中国やロシアに対する優位性を維持するためには、DODからの追加的なアクションが必要です。

参考記事

● GAO

・2022.04.07 Uncrewed Maritime Systems:Navy Should Improve Its Approach to Maximize Early Investments

・2022.03.30 Artificial Intelligence:DOD Should Improve Strategies, Inventory Process, and Collaboration Guidance

・2022.02.17 Artificial Intelligence:Status of Developing and Acquiring Capabilities for Weapon Systems

AIのフレームワーク

・2021.06.30 Artificial Intelligence:An Accountability Framework for Federal Agencies and Other Entities

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

 

 

| | Comments (0)

富士通 プロジェクト情報共有ツールへの不正アクセスについて

こんにちは、丸山満彦です。

富士通のプロジェクト情報共有ツールの不正アクセスについての発表が第六報になってますね。。。ほぼ一年になるので、、、

 

富士通

・2022.04.22 プロジェクト情報共有ツールへの不正アクセスについて(第六報)

 ・[PDF] 検証委員会からご指摘頂いた事項  [downloaded]

20220429-144714

・2022.03.07 プロジェクト情報共有ツールへの不正アクセスについて(第五報)

・2021.12.09 プロジェクト情報共有ツールへの不正アクセスについて(第四報)

・2021.09.24 プロジェクト情報共有ツールへの不正アクセスについて(第三報)

・2021.08.11 プロジェクト情報共有ツールへの不正アクセスについて(第二報)

・2021.05.25 プロジェクト情報共有ツールへの不正アクセスについて

 


検証委員会からご指摘頂いた事項

1.不正アクセス事案および発覚後の対応が遅れたことに関する原因分析

  不正アクセス事案に対する原因として、情報保護の体制が不十分であったこと、ProjectWEB に対する人員・予算の制約等からセキュリティの強化・管理に手が回らなかったこと、不正アクセスを直ちに検知する体制が整っていなかったこと、各テナントの管理に係る事項の多くがテナント管理者に委ねられていたこと、のご指摘を頂きました。

また、発覚後の対応の遅れの原因として、個別プロジェクトのインシデントとの前提で対応していたこと、属人的運用やログ管理不適切によりProjectWEB の構造の把握に時間を要したこと、ProjectWEB のシステムの性質につき共通認識が乏しく被害可能性のある情報の重要性・業務影響の想定が困難だったこと、セキュリティインシデントに対応する体制が効果的に機能しなかったこと、セキュリティインシデントにおける迅 な対応を阻害する風土や準備不足があったこと、顧客先等への対応姿勢が適切でなかったこと、が指摘されています。

こうした事態を招いた真因の分析として、ProjectWEB が当初想定されていたよりも幅広い環境や目的でなし崩し的に利用され、ProjectWEB の性質や利用状況に沿った取扱いがなされていなかったこと、富士通の組織体制が縦割りの傾向にあり、それを反映して社内システムの管理が全社一元的あるいは中央集権的になされていなかったこと、業務上の利便性やコスト削減の意識から情報管理やセキュリティが優先されない場合があったこと、インシデント対応において主体的に先手を打とうとする姿勢が十分でなかったこと、のご指摘を頂きました。

2.検証委員会による再発防止の提言

  以上の原因分析での指摘事項および富士通における再発防止策の検討・実施状況を踏まえ、報告書では、  以下の再発防止策の提言を頂きました。

(1)社内IT システム等におけるセキュリティの充実
(2)不正アクセスや脆弱性を直ちに検知し、即座に対応する組織の整備
(3)社内IT システムの一元管理及び各システムの位置付けの明確化
(4)セキュリティ意識の全社への貫徹に向けた教育・意識付けの徹底
(5)関係当局とのコミュニケーションの充実等
(6)情報管理やセキュリティを業務上の利便性やコスト削減に劣後させない風土醸成
(7)インシデント発生時における社内外への情報伝達の改善
(8)その他富士通において更に検討すべき事項(風土改善等)

以 上

 


参考情報

piyolog

東京オリンピックのサイバー関連の出来事についてまとめてみた

富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた

 

Continue reading "富士通 プロジェクト情報共有ツールへの不正アクセスについて"

| | Comments (0)

2022.04.29

MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25)

こんにちは、丸山満彦です。

MITRE ATT&CK v11.0が公開されています。。。

エンタープライズ、モバイル、ICSのテクニック、グループ、ソフトウェアが更新されたようです。。。

大きな変更点は、

・エンタープライズATT&CKのデータソースとデータコンポーネント目標に関連付けられた検出の再構築

・サブテクニックを活用したATT&CK for Mobileのベータリリース(確定版はV10です。。。)

ATT&CK for ICSのattack.mitre.orgへのアップデート

ということのようです。。。

 

MITRE - ATT&CK

・2022.04.25 Updates - April 2022

 

内容は、ブログの解説記事で。。。

・2022.04.25 ATT&CK Goes to v11: Structured Detections, Beta Sub-Techniques for Mobile, and ICS Joins the Band

 

2022年のロードマップ

・2022.02.03 ATT&CK 2022 Roadmap

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.29 米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ

・2022.04.09 米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.10.22 MITRE ATT&CKのVer 10.0がリリースされましたね。。。

・2021.08.20 MITRE AIの5つの失敗例とそこから学ぶべきこと

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.06.24 米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

・2021.04.30 MITRE ATT&CKのVer 9.0がリリースされましたね。。。

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

| | Comments (0)

米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ

こんにちは、丸山満彦です。

MITREが、産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディについての技術文書を公表していました。。。

● MITRE

・2022.04 DETECTION ENGINEERING IN INDUSTRIAL CONTROL SYSTEMS—UKRAINE 2016 ATTACK: SANDWORM TEAM AND INDUSTROYER CASE STUDY

 

論文自体は、2021年12月に発表されたもののようですね。。。

・2021.12 [PDF] Detection Engineering in Industrial Control Systems - Ukraine 2016 Attack: Sandworm Team and Industroyer Case Study

20220429-60258

Abstract  概要 
We extend MITRE's TCHAMP threat hunting methodology to Industrial Control Systems (ICS),  identifying and addressing challenges unique to ICS environments. We execute the defensive  analytic development process leveraging the Ukraine 2016 cyber-attack as a use case from which  we source requirements. We describe the use of purple teaming activities and research into  technique execution to determine an appropriate level of technical depth to support the detection  engineering process. Understanding how to map attacks to a target ICS environment and  understanding the breadth of options available to an adversary are both critical to developing  sufficiently specific detections. The output of this process is a set of usable analytics ranging in  maturity from proof-of-concept to ready-for-production deployment. We build upon work where  possible from commercial and open-source tooling, using the exemplar use case to establish  technical requirements for custom-built or commercially acquired detection capabilities. We  cover the analytics we developed and discuss lessons learned for future ICS detection  engineering efforts. MITREのTCHAMP脅威ハンティング手法を産業用制御システム(ICS)に拡張し、ICS環境に特有の課題を特定し、対処します。本書では、2016年のウクライナのサイバー攻撃をユースケースとして活用し、防御分析開発プロセスを実行し、そこから要件を抽出します。また、検出エンジニアリングプロセスを支援するための適切な技術的深度レベルを決定するための、パープルチーミング活動の使用と技術実行の研究についての説明もします。攻撃をターゲットのICS環境にマッピングする方法を理解し、敵対者が利用できるオプションの幅を理解することは、どちらも十分に具体的な検出を開発するために重要です。このプロセスの結果は、概念実証から本番配備まで、幅広い成熟度で使用可能な一連の分析となります。私たちは、可能な限り商用およびオープンソースのツールを使用し、カスタムメイドまたは商用で取得した検出機能の技術要件を確立するために、模範となるユースケースを使用します。私たちが開発した解析について説明し、今後のICS検知エンジニアリングの取り組みのために学んだ教訓について議論します。

 

 

Continue reading "米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ"

| | Comments (0)

2022.04.28

NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト)

こんにちは、丸山満彦です。

NISTがSP 800-82 第3版 OTセキュリティガイド(ドラフト)を公開し、意見募集をしていますね。。。もう、PDFファイルで317ページもあります。。。

範囲は、ICSからOTに広げていますね。。。

また、SP 800-53 第5版との整合性の確保や

その他、時代に応じた更新をしている感じですかね。。。

確定したら、きっとJPCERT/CCが翻訳版を公開してくれるでしょう...(知らんけど...)

 

NIST - ITL

・2022.04.26 SP 800-82 Rev. 3 (Draft) Guide to Operational Technology (OT) Security

SP 800-82 Rev. 3 (Draft) Guide to Operational Technology (OT) Security SP 800-82 第3版 (ドラフト) 運用技術(OT)セキュリティの手引き
Announcement 発表
This initial public draft provides guidance on how to improve the security of Operational Technology (OT) systems while addressing their unique performance, reliability, and safety requirements. この最初の公開草案は、オペレーショナルテクノロジー(OT)システム特有の性能、信頼性、安全性の要件に対応しつつ、OTシステムのセキュリティを向上させる方法についてのガイダンスを提供するものです。
OT encompasses a broad range of programmable systems or devices that interact with the physical environment (or manage devices that interact with the physical environment). These systems/devices detect or cause a direct change through the monitoring and/or control of devices, processes, and events. Examples include industrial control systems (ICS), building automation systems, transportation systems, physical access control systems, physical environment monitoring systems, and physical environment measurement systems. OTは、物理環境と相互作用する(あるいは物理環境と相互作用するデバイスを管理する)プログラム可能なシステムやデバイスを幅広く包含しています。これらのシステム/デバイスは、デバイス、プロセス、およびイベントの監視および/または制御を通じて、直接的な変化を検出または引き起こします。例としては、産業制御システム(ICS)、ビルディングオートメーションシステム、輸送システム、物理アクセス制御システム、物理環境監視システム、物理環境測定システムなどがあります。
This third revision of SP 800-82 provides an overview of OT and typical system topologies, identifies typical threats to organizational mission and business functions supported by OT, describes typical vulnerabilities in OT, and provides recommended security safeguards and countermeasures to manage the associated risks.  この SP 800-82 の 3度目の改訂では、OT の概要と典型的なシステムトポロジー、OT がサポートする組織のミッションとビジネス機能に対する典型的な脅威の特定、OT における典型的な脆弱性の説明、関連リスクを管理するための推奨セキュリティ保護措置と対策が記載されています。 
Updates in this revision also include: また、この改訂では、次のような更新が行われました。
・Expansion in scope from ICS to OT ・ICSからOTへの範囲の拡大
・Updates to OT threats and vulnerabilities ・OTの脅威と脆弱性についての更新
・Updates to OT risk management, recommended practices, and architectures ・OTのリスク管理、推奨プラクティス、およびアーキテクチャの更新
・Updates to current activities in OT security ・OTセキュリティの現在の活動に関する更新
・Updates to security capabilities and tools for OT ・OTのセキュリティ機能及びツールに関する更新
・Additional alignment with other OT security standards and guidelines, including the Cybersecurity Framework (CSF) ・サイバーセキュリティフレームワーク(CSF)を含む他のOTセキュリティ標準及びガイドラインとの整合性を強化する。
・New tailoring guidance for NIST SP 800-53, Rev. 5 security controls ・NIST SP 800-53、Rev.5セキュリティコントロールのための新しい調整ガイダンス
・An OT overlay for NIST SP 800-53, Rev. 5 security controls that provides tailored security control baselines for low-impact, moderate-impact, and high-impact OT systems. ・NIST SP 800-53 Rev.5セキュリティ対策のためのOTオーバーレイは、低影響、中影響、高影響のOTシステムに合わせたセキュリティ対策のベースラインを提供します。
Abstract 概要
This document provides guidance on how to secure operational technology (OT), while addressing their unique performance, reliability, and safety requirements. OT encompasses a broad range of programmable systems and devices that interact with the physical environment (or manage devices that interact with the physical environment). These systems and devices detect or cause a direct change through monitoring and/or control of devices, processes, and events. Examples include industrial control systems, building automation systems, transportation systems, physical access control systems, physical environment monitoring systems, and physical environment measurement systems. The document provides an overview of OT and typical system topologies, identifies typical threats and vulnerabilities to these systems, and provides recommended security countermeasures to mitigate the associated risks. 本書は、運用技術(OT)に特有の性能、信頼性、安全性の要件に対応しつつ、運用技術を保護する方法についてのガイダンスを提供する。OTは、物理環境と相互作用する(または物理環境と相互作用するデバイスを管理する)幅広いプログラマブルシステムおよびデバイスを包含しています。これらのシステムおよびデバイスは、デバイス、プロセス、およびイベントの監視および/または制御を通じて、直接的な変化を検出または引き起こします。例としては、産業用制御システム、ビルディングオートメーションシステム、交通システム、物理的アクセス制御システム、物理環境監視システム、物理環境測定システムなどがある。本書では、OTの概要と代表的なシステムトポロジー、これらのシステムに対する代表的な脅威と脆弱性を特定し、関連するリスクを軽減するための推奨セキュリティ対策を提供しています。

 

 

 

・[PDF] SP 800-82 Rev. 3 (Draft)

20220428-90153

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Audience 1.2 想定読者
1.3 Document Structure 1.3 ドキュメントの構成
2 OT Overview 2 OTの概要
2.1 Evolution of OT 2.1 OTの進化
2.2 OT-Based Systems and Their Interdependencies 2.2 OTベースシステムとその相互依存性
2.3 OT System Operation, Architectures, and Components 2.3 OTシステムの運用、アーキテクチャ、およびコンポーネント
2.3.1 OT System Design Considerations 2.3.1 OTシステム設計の考慮事項
2.3.2 SCADA Systems 2.3.2 SCADAシステム
2.3.3 Distributed Control Systems 2.3.3 分散型制御システム
2.3.4 Programmable Logic Controller-Based Topologies 2.3.4 プログラマブル・ロジック・コントローラ・ベースのトポロジー
2.3.5 Building Automation Systems 2.3.5 ビルディングオートメーションシステム
2.3.6 Physical Access Control Systems 2.3.6 物理的アクセス制御システム
2.3.7 Safety Systems 2.3.7 安全システム
2.3.8 Industrial Internet of Things 2.3.8 インダストリアル・インターネット・オブ・シングス
2.4 Comparing OT and IT System Security 2.4 OTとITシステムセキュリティの比較
3 OT Cybersecurity Program Development 3 OTサイバーセキュリティプログラムの策定
3.1 Establish a Charter for OT Cybersecurity Program 3.1 OTサイバーセキュリティプログラムの憲章を制定する
3.2 Business Case for OT Cybersecurity Program 3.2 OTサイバーセキュリティプログラムのビジネスケース
3.2.1 Benefits of Cybersecurity investments 3.2.1 サイバーセキュリティ投資のメリット
3.2.2 Building an OT Cybersecurity Business Case 3.2.2 OTサイバーセキュリティのビジネスケースの構築
3.2.3 Resources for Building Business Case 3.2.3 ビジネスケースを構築するためのリソース
3.2.4 Presenting the OT Cybersecurity Business Case to Leadership 3.2.4 リーダーシップへのOTサイバーセキュリティビジネスケースの提示
3.3 OT Cybersecurity Program Content 3.3 OTサイバーセキュリティプログラムの内容
3.3.1 Establish OT Cybersecurity Governance 3.3.1 OTサイバーセキュリティガバナンスを確立する
3.3.2 Build and Train a Cross-Functional Team to Implement OT Cybersecurity Program 3.3.2 OTサイバーセキュリティプログラムを実施するための部門横断的なチームの構築とトレーニング
3.3.3 Define OT Cybersecurity Strategy 3.3.3 OTサイバーセキュリティ戦略を定義する
3.3.4 Define OT-Specific Policies and Procedures 3.3.4 OT 固有のポリシーと手順の定義
3.3.5 Establish Cybersecurity Awareness Training Program for OT Organization 3.3.5 OT 組織向けのサイバーセキュリティ意識向上トレーニングプログラムを確立する
3.3.6 Implement a Risk Management Framework for OT 3.3.6 OT のリスク管理フレームワークの導入
3.3.7 Develop Maintenance Tracking Capability 3.3.7 メンテナンス追跡能力の開発
3.3.8 Develop Incident Response Capability 3.3.8 インシデントレスポンス能力の開発
3.3.9 Develop Recovery and Restoration Capability 3.3.9 復旧・復元能力の開発
3.3.10 Summary of OT Cybersecurity Program Content 3.3.10 OTサイバーセキュリティプログラムの内容のまとめ
4 Risk Management for OT Systems 4 OT システムのリスク管理
4.1 Managing OT Security Risk 4.1 OTセキュリティリスクの管理
4.1.1 Framing OT Risk 4.1.1 OT リスクのフレームワーク
4.1.2 Assessing Risk in the OT Environment 4.1.2 OT環境におけるリスクの評価
4.1.3 Responding to Risk in an OT Environment 4.1.3 OT環境におけるリスクへの対応
4.1.4 Monitoring Risk in an OT Environment 4.1.4 OT環境におけるリスクの監視
4.2 Special Areas for Consideration 4.2 考慮すべき特別な領域
4.2.1 Supply Chain Risk Management 4.2.1 サプライチェーンリスクマネジメント
4.2.2 Safety Systems 4.2.2 安全システム
4.3 Applying the Risk Management Framework for OT Systems 4.3 OTシステムに対するリスクマネジメントフレームワークの適用
4.3.1 Prepare 4.3.1 準備する
4.3.2 Categorize 4.3.2 カテゴリー化
4.3.3 Select 4.3.3 選択
4.3.4 Implement 4.3.4 実施
4.3.5 Assess 4.3.5 評価
4.3.6 Authorize 4.3.6 権限を与える
4.3.7 Monitor 4.3.7 監視
5 OT Cybersecurity Architecture 5 OTサイバーセキュリティ・アーキテクチャ
5.1 Cybersecurity Strategy 5.1 サイバーセキュリティ戦略
5.1.1 Impacts of Choosing a Cybersecurity Strategy 5.1.1 サイバーセキュリティ戦略を選択することの影響
5.1.2 Defense-in-Depth Strategy 5.1.2 ディフェンス・イン・ディプス(深層防御)戦略
5.1.3 Other Cybersecurity Strategy Considerations 5.1.3 その他のサイバーセキュリティ戦略に関する考慮事項
5.2 Defense-in-Depth Architecture Capabilities 5.2 徹底した防衛アーキテクチャの機能
5.2.1 Layer 1 - Security Management 5.2.1 レイヤー1 - セキュリティ管理
5.2.2 Layer 2 - Physical Security 5.2.2 レイヤー2 - 物理的セキュリティ
5.2.3 Layer 3 - Network Security 5.2.3 レイヤー3 - ネットワークセキュリティ
5.2.4 Layer 4 - Hardware Security 5.2.4 レイヤー4 - ハードウェアセキュリティ
5.2.5 Layer 5 - Software Security 5.2.5 レイヤー5 - ソフトウェアセキュリティ
5.3 Additional Cybersecurity Architecture Considerations 5.3 サイバーセキュリティ・アーキテクチャに関するその他の考慮事項
5.3.1 Cyber-Related Safety Considerations 5.3.1 サイバー関連の安全性に関する考慮事項
5.3.2 Availability Considerations 5.3.2 可用性に関する考慮事項
5.3.3 Geographically Distributed Systems 5.3.3 地理的に分散されたシステム
5.3.4 Regulatory Requirements 5.3.4 規制要件
5.3.5 Environmental Considerations 5.3.5 環境への配慮
5.3.6 Field I/O (Purdue Level 0) Security Considerations 5.3.6 フィールドI/O(パデューレベル0)セキュリティの考慮事項
5.3.7 Additional Security Considerations for IIoT 5.3.7 IIoTのための追加のセキュリティの考慮事項
5.4 Cybersecurity Architecture Models 5.4 サイバーセキュリティ・アーキテクチャ・モデル
5.4.1 Distributed Control System (DCS)-Based OT Systems 5.4.1 分散型制御システム(DCS)ベースのOTシステム
5.4.2 DCS/PLC-Based OT with IIoT 5.4.2 DCS/PLCベースのOTとIIoTの組み合わせ
5.4.3 SCADA-Based OT Environments 5.4.3 SCADA ベースの OT 環境.
6 Applying the Cybersecurity Framework to OT 6 OT へのサイバーセキュリティフレームワークの適用
6.1 Identify (ID) 6.1 識別(ID)
6.1.1 Asset Management (ID.AM) 6.1.1 アセットマネジメント(ID.AM)
6.1.2 Governance (ID.GV) 6.1.2 ガバナンス(ID.GV)
6.1.3 Risk Assessment (ID.RA) 6.1.3 リスクアセスメント(ID.RA)
6.1.4 Risk Management Strategy (ID.RM) 6.1.4 リスクマネジメント戦略(ID.RM)
6.1.5 Supply Chain Risk Management (ID.SC) 6.1.5 サプライチェーンリスクマネジメント(ID.SC)
6.2 Protect (PR) 6.2 保護(PR)
6.2.1 Identity Management and Access Control (PR.AC) 6.2.1 アイデンティティ管理/アクセス制御(PR.AC)
6.2.2 Awareness and Training (PR.AT) 6.2.2 意識向上およびトレーニング(PR.AT)
6.2.3 Data Security (PR.DS) 6.2.3 データセキュリティ(PR.DS)
6.2.4 Information Protection Processes and Procedures (PR.IP) 6.2.4 情報を保護するためのプロセスおよび手順(PR.IP)
6.2.5 Maintenance (PR.MA) 6.2.5 保守(PR.MA)
6.2.6 Protective Technology (PR.PT) 6.2.6 保護技術(PR.PT)
6.2.7 Media Protection (PR.PT-2) 6.2.7 メディアの保護(PR.PT-2)
6.2.8 Personnel Security 6.2.8 人員の安全確保
6.2.9 Wireless Communications 6.2.9 無線通信
6.2.10 Remote Access 6.2.10 リモートアクセス
6.2.11 Flaw Remediation and Patch Management 6.2.11 不具合修正とパッチ管理
6.2.12 Time Synchronization 6.2.12 時刻同期
6.3 Detect (DE) 6.3 検出(DE)
6.3.1 Anomalies and Events (DE.AE) 6.3.1 異常とイベント(DE.AE)
6.3.2 Security Continuous Monitoring (DE.CM) 6.3.2 セキュリティの継続的なモニタリング(DE.CM)
6.3.3 Detection Process (DE.DP) 6.3.3 検出プロセス(DE.DP)
6.4 Respond (RS) 6.4 対応(RS)
6.4.1 Response Planning (RS.RP) 6.4.1 対応計画(RS.RP)
6.4.2 Response Communications (RS.CO) 6.4.2 コミュニケーション(RS.CO)
6.4.3 Response Analysis (RS.AN) 6.4.3 分析(RS.AN)
6.4.4 Response Mitigation (RS.MI) 6.4.4 低減(RS.MI)
6.4.5 Response Improvements (RS.IM) 6.4.5 改善(RS.IM)
6.5 Recover (RC) 6.5 復旧(RC)
6.5.1 Recovery Planning (RC.RP) 6.5.1 復旧計画(RC.RP)
6.5.2 Recovery Improvements (RC.IM) 6.5.2 改善(RC.IM)
6.5.3 Recovery Communications (RC.CO) 6.5.3 コミュニケーション(RC.CO)
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms 附属書A:略語
Appendix B— Glossary 附属書B 用語集
Appendix C— Threat Sources, Vulnerabilities, and Incidents 附属書C 脅威の発生源、脆弱性、インシデント
C.1 Threat Sources C.1 脅威の発生源
C.2 Vulnerabilities and Predisposing Conditions C.2 脆弱性と発生しやすい状況
C.2.1 Policy and Procedure Vulnerabilities and Predisposing Conditions C.2.1 政策や手続きの脆弱性とその素因となる条件
C.2.2 System Vulnerabilities and Predisposing Conditions C.2.2 システムの脆弱性とその前提条件
C.3 Threat Events and Incidents C.3 脅威となる事象とインシデント
C.3.1 Adversarial Events C.3.1 敵対的事象
C.3.2 Structural Events C.3.2 構造的事象
C.3.3 Environmental Events C.3.3 環境的事象
C.3.4 Accidental Events C.3.4 偶発的な事象
Appendix D— OT Security Organizations, Research, and Activities 附属書D - OTセキュリティの組織、研究、および活動
D.1 Consortiums and Standards D.1 コンソーシアムと標準
D.1.1 Critical Infrastructure Partnership Advisory Council (CIPAC) D.1.1 重要インフラストラクチャー・パートナーシップ諮問委員会(CIPAC)
D.1.2 Institute for Information Infrastructure Protection (I3P) D.1.2 情報インフラ保護協会 (I3P)
D.1.3 International Electrotechnical Commission (IEC) D.1.3 国際電気標準会議 (IEC)
D.1.4 Institute of Electrical and Electronics Engineers, Inc. (IEEE) D.1.4 米国電気電子学会 (IEEE)
D.1.5 International Society of Automation (ISA) D.1.5 国際自動化学会 (ISA)
D.1.6 International Organization for Standardization (ISO) D.1.6 国際標準化機構 (ISO)
D.1.7 National Council of Information Sharing and Analysis Centers (ISACs) D.1.7 情報共有・分析センター (ISAC) 全国協議会
D.1.8 National Institute of Standards and Technology (NIST) D.1.8 国立標準技術研究所 (NIST)
D.1.9 North American Electric Reliability Corporation (NERC) D.1.9 北米電気信頼性委員会 (NERC)
D.2 Research Initiatives and Programs D.2 研究イニシアティブとプログラム
D.2.1 Clean Energy Cybersecurity Accelerator Initiative D.2.1 クリーンエネルギー・サイバーセキュリティ・アクセラレータ・イニシアチブ
D.2.2 Cybersecurity for Energy Delivery Systems (CEDS) R&D Program D.2.2 エネルギー供給システム(CEDS)研究開発プログラムのためのサイバーセキュリティ.
D.2.3 Cybersecurity for the Operational Technology Environment (CyOTE) D.2.3 運用技術環境のためのサイバーセキュリティ(CyOTE).
D.2.4 Cybersecurity Risk Information Sharing Program (CRISP) D.2.4 サイバーセキュリティリスク情報共有プログラム(CRISP)
D.2.5 Cyber Testing for Resilient Industrial Control Systems (CyTRICS) D.2.5 耐久性のある産業用制御システムのためのサイバーテスト(CyTRICS)
D.2.6 Homeland Security Information Network - Critical Infrastructure (HSIN-CI) D.2.6 国土安全保障情報ネットワーク-重要インフラストラクチャ(HSIN-CI)
D.2.7 INL Cyber-Informed Engineering (CIE) / Consequence-Driven CIE (CCE) D.2.7 INL サイバー・インフォームド・エンジニアリング(CIE)/結果駆動型 CIE(CE)
D.2.8 LOGIIC - Linking the Oil and Gas Industry to Improve Cybersecurity D.2.8 LOGIIC - サイバーセキュリティを向上させるための石油・ガス産業との連携
D.2.9 NIST Cyber Physical Systems and Internet of Things Program D.2.9 NIST サイバー物理システム及びモノのインターネット・プログラム.
D.2.10 NIST Cybersecurity for Smart Grid Systems Project D.2.10 NIST スマートグリッドシステム向けサイバーセキュリティプロジェクト
D.2.11 NIST Cybersecurity for Smart Manufacturing Systems Project D.2.11 スマート製造システムのためのNISTサイバーセキュリティ・プロジェクト.
D.2.12 NIST Reliable, High Performance Wireless Systems for Factory Automation D.2.12 NIST ファクトリーオートメーション用高信頼性高性能ワイヤレスシステム
D.2.13 NIST Prognostics and Health Management for Reliable Operations in Smart Manufacturing (PHM4SM) D.2.13 NIST スマート・マニュファクチャリングにおける信頼できる運用のための予後管理と健康管理(PHM4SM)
D.2.14 NIST Supply Chain Traceability for Agri-Food Manufacturing D.2.14 NISTの農産物製造のためのサプライチェーントレーサビリティ
D.3 Tools and Training D.3 ツール及びトレーニング
D.3.1 CISA Cyber Security Evaluation Tool (CSET®) D.3.1 CISAサイバーセキュリティ評価ツール(CSET®)
D.3.2 CISA Cybersecurity Framework Guidance D.3.2 CISAサイバーセキュリティ・フレームワーク・ガイダンス.
D.3.3 CISA ICS Alerts, Advisories and Reports D.3.3 CISA ICSアラート、アドバイザリー、レポート
D.3.4 CISA ICS Training Courses D.3.4 CISA ICSトレーニングコース
D.3.5 MITRE ATT&CK for ICS D.3.5 MITRE ATT&CK for ICS
D.3.6 NIST Cybersecurity Framework D.3.6 NIST サイバーセキュリティフレームワーク
D.3.7 SANS ICS Security Courses D.3.7 SANS ICS セキュリティコース
D.4 Sector-Specific Resources D.4 セクター固有のリソース
D.4.1 Chemical D.4.1 化学
D.4.2 Communications D.4.2 通信.
D.4.3 Critical Manufacturing D.4.3 重要な製造業.
D.4.4 Dams D.4.4 ダム
D.4.5 Energy D.4.5 エネルギー
D.4.6 Food and Agriculture D.4.6 食品と農業
D.4.7 Healthcare and Public Health D.4.7 医療と公衆衛生.
D.4.8 Nuclear Reactors, Materials, and Waste D.4.8 原子炉、材料、および廃棄物.
D.4.9 Transportation Systems D.4.9 交通システム
D.4.10 Water and Wastewater D.4.10 水と廃水
D.5 Conferences and Working Groups D.5 コンファレンスとワーキンググループ
D.5.1 Digital Bond’s SCADA Security Scientific Symposium (S4) D.5.1 デジタルボンドのSCADAセキュリティ科学シンポジウム(S4)
D.5.2 Industrial Control Systems Joint Working Group (ICSJWG) D.5.2 産業制御システム共同作業グループ(ICSJWG)
D.5.3 IFIP Working Group 11.10 on Critical Infrastructure Protection D.5.3 重要インフラ保護に関する IFIP ワーキンググループ11.10).
D.5.4 SecurityWeek’s ICS Cyber Security Conference D.5.4 SecurityWeekのICSサイバーセキュリティ会議
D.5.5 Stockholm International Summit on Cyber Security in SCADA and ICS (CS3STHLM) D.5.5 SCADA と ICS におけるサイバーセキュリティに関するストックホルム国際サミット (CS3STHLM)
Appendix E— OT Security Capabilities and Tools 附属書 E- OT セキュリティの能力とツール
E.1 Network Segmentation and Isolation E.1 ネットワークの分離と隔離
E.1.1 Firewalls E.1.1 ファイアウォール
E.1.2 Unidirectional Gateways E.1.2 単方向ゲートウェイ
E.1.3 Virtual Local Area Networks (VLAN) E.1.3 仮想ローカルエリアネットワーク(VLAN)
E.1.4 Software-Defined Networking (SDN) E.1.4 ソフトウェア定義ネットワーキング(SDN)
E.2 Network Monitoring/Security Information and Event Management (SIEM) E.2 ネットワーク監視/セキュリティ情報およびイベント管理(SIEM).
E.2.1 Centralized Logging E.2.1 ログの一元管理
E.2.2 Passive Scanning E.2.2 パッシブ・スキャンニング
E.2.3 Active Scanning E.2.3 アクティブ・スキャン
E.2.4 Malware Detection E.2.4 マルウェア検出
E.2.5 Behavioral Anomaly Detection E.2.5 行動異常の検出
E.2.6 Data Loss Prevention (DLP) E.2.6 データ損失防止(DLP)
E.2.7 Deception Technology E.2.7 デセプション技術
E.2.8 Digital Twins E.2.8 デジタル・ツインズ
E.3 Data Security E.3 データセキュリティ
E.3.1 Backup Storage E.3.1 バックアップストレージ
E.3.2 Immutable Storage E.3.2 不変ストレージ
E.3.3 File Hashing E.3.3 ファイルのハッシュ化
E.3.4 Digital Signatures E.3.4 デジタル署名
E.3.5 Block Ciphers E.3.5 ブロック暗号.
E.3.6 Remote Access E.3.6 リモートアクセス
Appendix F— OT Overlay 附属書F - OTオーバーレイ
F.1 Overlay Characteristics F.1 オーバーレイの特徴
F.2 Applicability F.2 適用可能性
F.3 Overlay Summary F.3 オーバーレイの概要
F.4 Tailoring Considerations F.4 テーラリングの考慮事項
F.5 OT Communication Protocols F.5 OT通信プロトコル.
F.6 Definitions F.6 定義.
F.7 Detailed Overlay Control Specifications F.7 詳細なオーバーレイ制御仕様
F.7.1 ACCESS CONTROL – AC F.7.1 アクセス制御 - AC
F.7.2 AWARENESS AND TRAINING – AT F.7.2 意識向上とトレーニング - AT
F.7.3 AUDITING AND ACCOUNTABILITY – AU F.7.3 監査及び説明責任 - AU
F.7.4 ASSESSMENT, AUTHORIZATION, AND MONITORING – CA F.7.4 評価、承認、および監視 - CA
F.7.5 CONFIGURATION MANAGEMENT – CM F.7.5 構成管理 - CM
F.7.6 CONTINGENCY PLANNING - CP F.7.6 コンティンジェンシー計画 - CP
F.7.7 IDENTIFICATION AND AUTHENTICATION - IA F.7.7 識別及び認証 - IA
F.7.8 INCIDENT RESPONSE - IR F.7.8 インシデントレスポンス - IR
F.7.9 MAINTENANCE - MA F.7.9 メンテナンス - MA
F.7.10 MEDIA PROTECTION –MP F.7.10 メディア保護 - MP
F.7.11 PHYSICAL AND ENVIRONMENTAL PROTECTION – PE F.7.11 物理的及び環境的保護 - PE
F.7.12 PLANNING – PL F.7.12 計画 - PL
F.7.13 ORGANIZATION-WIDE INFORMATION SECURITY PROGRAM MANAGEMENT CONTROLS - PM F.7.13 組織全体の情報セキュリティプログラム管理統制 - PM
F.7.14 PERSONNEL SECURITY – PS F.7.14 人員セキュリティ - PSE
F.7.15 RISK ASSESSMENT – RA F.7.15 リスクアセスメント - RA
F.7.16 SYSTEM AND SERVICES ACQUISITION – SA F.7.16 システム及びサービスの取得 - SA
F.7.17 SYSTEM AND COMMUNICATIONS PROTECTION - SC F.7.17 システム及び通信の保護 - SC
F.7.18 SYSTEM AND INFORMATION INTEGRITY - SI F.7.18 システム及び情報の完全性 - SI
F.7.19 SUPPLY CHAIN RISK MANAGEMENT - SR F.7.19 サプライチェーンリスク管理 - SR

 


 

IPA

セキュリティ関連NIST文書

 

JPCERT/CC

制御システムセキュリティガイドライン(全般)

 ・NIST SP 800-82 産業制御システム(ICS)セキュリティ

 ・2016.03.14 [PDF] NIST SP800-82 Rev.2 産業用制御システム(ICS)セキュリティガイドSCADA、DCS、PLC、その他の制御システムの設定

20220428-93917

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

・2011.06.10 NIST Special Publication 800-82, Guide to Industrial Control System (ICS) Security.

| | Comments (0)

SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)

こんにちは、丸山満彦です。

NISTがSP 1800-33 5G Cybersecurity の本文部分 (1800-33B) の初期ドラフトを公開し、意見を求めていますね。。。

● NIST - ITL

・2022.04.25 SP 1800-33 (Draft)  5G Cybersecurity (Preliminary Draft)

SP 1800-33 (Draft)  5G Cybersecurity (Preliminary Draft) SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)
Announcement 発表
NIST’s National Cybersecurity Center of Excellence (NCCoE) has published portions of a preliminary draft practice guide, “5G Cybersecurity,” and is seeking the public's comments on the contents. Our proposed solution contains approaches that organizations can use to better secure 5G networks through a combination of 5G security features and third-party security controls. We also demonstrate how commercial tools can build a 5G standalone network that operates on—and uses—a trusted, secure, cloud-native hosting infrastructure. We also demonstrate how to strengthen a 5G network’s supporting IT infrastructure to make it more resistant to cyber attacks. NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、実践ガイド「5Gサイバーセキュリティ」の初期ドラフトの一部を公開し、その内容に関する一般からのコメントを求めています。私たちが提案するソリューションは、5Gのセキュリティ機能とサードパーティのセキュリティ制御を組み合わせて、5Gネットワークのセキュリティを向上させるために組織が利用できるアプローチを含んでいます。また、商用ツールにより、信頼性が高く安全なクラウドネイティブのホスティングインフラ上で動作する5Gスタンドアロンネットワークを構築し、それを使用する方法を示しています。さらに、5Gネットワークを支えるITインフラを強化し、サイバー攻撃への耐性を高める方法も紹介します。
Abstract 概要
Organizations face significant challenges in transitioning from 4G to 5G usage, particularly the need to safeguard new 5G-using technologies at the same time that 5G development, deployment, and usage are evolving. Some aspects of securing 5G components and usage lack standards and guidance, making it more challenging for 5G network operators and users to know what needs to be done and how it can be accomplished. To address these challenges, the NCCoE is collaborating with technology providers to develop example solution approaches for securing 5G networks. This NIST Cybersecurity Practice Guide explains how a combination of 5G security features and third-party security controls can be used to implement the security capabilities organizations need to safeguard their 5G network usage. 組織は、4Gから5Gへの移行において大きな課題に直面しています。特に、5Gの開発、展開、利用が進化するのと同時に、5Gを使用する新しいテクノロジーを保護する必要があります。5Gのコンポーネントや利用を保護するためのいくつかの側面には、標準やガイダンスがないため、5Gネットワークの運用者や利用者が、何を行う必要があり、どのように達成できるかを知ることがより困難になっています。これらの課題に対処するため、NCCoEは技術プロバイダーと協力し、5Gネットワークのセキュリティを確保するためのソリューションアプローチの例を開発しています。このNISTサイバーセキュリティ実践ガイドは、5Gセキュリティ機能とサードパーティのセキュリティ制御を組み合わせて、組織が5Gネットワークの利用を保護するために必要なセキュリティ機能を実装する方法を説明します。

 

・[PDF] SP 1800-33B (Prelim. Draft)

20220428-52805

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 メリット
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 文字種の規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 対象範囲
3.3  Assumptions 3.3 前提条件
3.4  Reference System Architecture Description / Components 3.4 参照システムアーキテクチャの説明/構成要素
3.4.1  High-Level Architecture 3.4.1 ハイレベルアーキテクチャー
3.4.2  Data Center Architecture 3.4.2 データセンターアーキテクチャ
3.4.3  Trusted Compute Cluster Architecture 3.4.3 信頼されたコンピュートクラスターアーキテクチャ
3.5  Risk Assessment 3.5 リスクアセスメント
3.5.1  Security Category 3.5.1 セキュリティカテゴリ
3.5.2  Security Capabilities 3.5.2 セキュリティ能力
3.5.3  Mitigated Threats and Vulnerabilities 3.5.3 軽減された脅威と脆弱性
3.5.4  Industry Security References 3.5.4 業界のセキュリティに関する参考文献
4  Components of the Example Solution 4 ソリューション例の構成要素
4.1  Collaborators 4.1 協働者
4.1.1  AMI 4.1.1 AMI
4.1.2  AT&T 4.1.2 AT&T
4.1.3  CableLabs 4.1.3 ケーブルラボ
4.1.4  Cisco 4.1.4 シスコ
4.1.5  Dell Technologies 4.1.5 デル・テクノロジー
4.1.6  Intel 4.1.6 インテル
4.1.7  Keysight Technologies 4.1.7 キーサイト・テクノロジー
4.1.8  MiTAC 4.1.8 MiTAC
4.1.9  Nokia 4.1.9 ノキア
4.1.10 Palo Alto Networks 4.1.10 パロアルトネットワークス
4.1.11 Red Hat 4.1.11 レッドハット
4.1.12 T-Mobile 4.1.12 ティモバイル
4.2  Technologies 4.2 テクノロジー
4.3  System Architecture Components 4.3 システムアーキテクチャコンポーネント
4.3.1  Dell Technologies 4.3.1 デルテクノロジー
4.3.2  MiTAC Computing Technology Corporation 4.3.2 MiTACコンピューティングテクノロジー株式会社
4.3.3  Intel Hardware Root of Trust Technologies 4.3.3 インテルハードウェアルートオブトラスト技術
4.3.4  AMI TruE 4.3.4 AMI TruE
4.3.5  Network Infrastructure 4.3.5 ネットワークインフラ
4.3.6  Cisco Secure Network Analytics (formerly known as Stealthwatch) 4.3.6 シスコ セキュア ネットワーク アナリティックス(旧名称:ステルスウォッチ)
4.3.7  Cisco Secure Firewall (Security Gateway) 4.3.7 シスコ セキュア フィアウォール (セキュリティゲートウェイ)
4.3.8  Nokia (5G System) 4.3.8 ノキア(5Gシステム)
4.3.9  Palo Alto Networks 4.3.9 パロ・アルト・ネットワークス
4.3.10 Keysight Technologies 5G LoadCore 4.3.10 キーサイト・テクノロジー社 5G ロードコア
5  Security Characteristic Demonstration 5 セキュリティ特性の実証実験
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Functional Demonstration Scenarios 5.2 機能的なデモのシナリオ
5.2.1  Scenario 1 – 5G SA deployment using single PLMN 5.2.1 シナリオ1 - 単一PLMNを使用した5G SA展開
5.3  Findings 5.3 調査結果
Appendix A Security Control Maps 附属書A セキュリティ・コントロール・マップ
Appendix B Future Capabilities 附属書B 将来の機能
Appendix C List of Acronyms 附属書C 頭字語(英語)リスト
Appendix D References 附属書D 参考文献

 

プロジェクトのページはこちら・・・

 NIST -NCCoE

5G Cybersecurity

 

2021.02.01に公開された、サマリーの部分

・[PDF] SP 1800-33A (Prelim. Draft)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.03 NIST SP 1800-33 (Draft) 5G Cybersecurity (Preliminary Draft) - 本当に暫定ドラフトです(^^)

 

 

Continue reading "SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)"

| | Comments (0)

2022.04.27

中国 デジタル村開発業務の要点 (2022.04.20)

こんにちは、丸山満彦です。

日本でも都市部と地方部の差を少なくするために、2021年11月から「デジタル田園都市国家構想実現会議」が開催され、岸田総理を議長とし、関係各大臣、村井先生などの有識者、和歌山県白浜町長などを構成員として議論が行われているところですが、、、

中国では、昨年2021年9月に「[PDF] 数字乡村建设指南1.0 (デジタル村建設ガイド1.0)」が発行されていますね。そして、最近「2022年数字乡村发展工作要点2022年デジタル村開発業務の要点)」が公表されていました。。。

中国は中国の国状に応じた考え方があるのは当然ですが、参考になるところもあるように思います。。。経済的な問題、文化的な豊かさという話もありますが、食糧安全保障的なものが最初に来ていますね。。。

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.04.20 中央网信办等五部门印发《2022年数字乡村发展工作要点》

中央网信办等五部门印发《2022年数字乡村发展工作要点》 中央インターネット情報局など5部門が「2022年デジタル村開発業務の要点」を発行
近日,中央网信办、农业农村部、国家发展改革委、工业和信息化部、国家乡村振兴局联合印发《2022年数字乡村发展工作要点》(以下简称《工作要点》)。通知要求,坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,深入贯彻中央经济工作会议、中央农村工作会议精神,认真落实《中共中央 国务院关于做好2022年全面推进乡村振兴重点工作的意见》《数字乡村发展战略纲要》《“十四五”国家信息化规划》,充分发挥信息化对乡村振兴的驱动赋能作用,加快构建引领乡村产业振兴的数字经济体系,构建适应城乡融合发展的数字治理体系,不断推动乡村振兴取得新进展,推动数字中国建设迈出新步伐。 先日、中央インターネット情報局、農業農村、国家発展改革委員会、工業情報化部、国家農村振興局が共同で「2022年デジタル農村発展業務の要点」(以下「業務要点」)を発表した。 通知は、新時代の中国の特色ある社会主義という習近平の思想を指針とし、第19回中国共産党全国代表大会と第19回全体会議の精神を十分に実行し、中央経済工作会議と中央農村工作会議の精神を徹底的に実行し、中国共産党中央委員会と国務院の「2022年の農村活性化を全面的に推進する重点努力」「デジタル農村発展戦略の概要」、および、「農村活性化を全面的に推進する重点努力」という意見を熱心に実行することを要求している。 第14次5ヵ年」国家情報化計画では、情報化が農村の活性化を推進し、力を与えるという役割を十分に発揮し、農村産業の活性化をリードするデジタル経済システムの構築を加速し、都市と農村の一体的発展に適応するデジタル統治システムを構築し、農村活性化の新しい進歩とデジタル中国の建設の新しいステップを継続的に推進する。
《工作要点》明确了工作目标:到2022年底,数字乡村建设取得新的更大进展。数字技术有力支撑农业基本盘更加稳固,脱贫攻坚成果进一步夯实。乡村数字基础设施建设持续推进,5G网络实现重点乡镇和部分重点行政村覆盖,农村地区互联网普及率超过60%。乡村数字经济加速发展,农业生产信息化水平稳步提升,农产品电商网络零售额突破4300亿元。乡村数字化治理体系不断完善,信息惠民服务持续深化,农民数字素养与技能有效提升,数字乡村试点建设初见成效。 「業務要点」は明確な業務目標を設定:2022年末までに、デジタルイドの構築において、新たな、より大きな進歩を遂げる。 デジタル技術は、より強固な農業基盤を強力にサポートし、貧困撲滅の成果をさらに強固なものにする。 農村のデジタル基盤建設は今後も進み、5Gネットワークは重要な郷鎮と一部の重要な行政村でのカバレッジを達成し、農村のインターネット普及率は60%を超えると予想されます。 農村デジタル経済の発展が加速し、農業生産の情報化水準が着実に向上し、農産物の電子商取引量が4300億元を超えた。 農村のデジタルガバナンス体制が整備され、国民への情報サービスが深化し続け、農民のデジタルリテラシーとスキルが効果的に強化され、デジタル村の試験建設が実を結び始めているのである。
《工作要点》部署了10个方面30项重点任务。一是构筑粮食安全数字化屏障,包括加强农业稳产保供信息监测、提高农田建设管理数字化水平。二是持续巩固提升网络帮扶成效,包括加强防止返贫动态监测和帮扶、优化完善网络帮扶措施。三是加快补齐数字基础设施短板,包括持续推进乡村网络基础设施建设、推动农村基础设施数字化改造升级。四是大力推进智慧农业建设,包括夯实智慧农业发展基础、加快推动农业数字化转型、强化农业科技创新供给、提升农产品质量安全追溯数字化水平。五是培育乡村数字经济新业态,包括深化农产品电商发展、培育发展乡村新业态、强化农村数字金融服务、加强农村资源要素信息化管理。六是繁荣发展乡村数字文化,包括加强乡村网络文化阵地建设、推进乡村优秀文化资源数字化。七是提升乡村数字化治理效能,包括推进农村党建和村务管理智慧化、提升乡村社会治理数字化水平、推进乡村应急管理智慧化、运用数字技术助力农村疫情防控。八是拓展数字惠民服务空间,包括发展“互联网+教育”、发展“互联网+医疗健康”、完善社会保障信息服务、深化就业创业信息服务、推动农村消费升级。九是加快建设智慧绿色乡村,包括提升农村自然资源和生态环境监测水平、加强农村人居环境数字化治理。十是统筹推进数字乡村建设,包括加强统筹协调和试点建设、强化政策保障和金融服务、加强数字乡村人才队伍建设。 「業務要点」は10分野30項目の重要任務を展開した。 第一に、安定した農業生産・供給のための情報監視の強化や、農地造成・管理のデジタルレベルの向上など、食料安全保障のためのデジタルバリアを構築することである。 第二は、貧困の再来を防ぐためのダイナミックなモニタリングや支援の強化、ネットワーク支援策の最適化・改善など、ネットワーク支援の効果を継続的に定着させ、高めていくことである。 第三に、デジタル基盤の不足の解消を加速することである。農村のネットワーク基盤の建設を引き続き推進し、農村基盤のデジタル化とアップグレードを促進することを含む。 第四に、スマート農業の発展の基礎を固め、農業のデジタル化を加速し、農業科学技術イノベーションの供給を強化し、農産物の品質と安全のトレーサビリティのデジタルレベルを高めるなど、スマート農業の建設を強力に推進することである。 第五に、農産物の電子商取引の発展深化、農村の新事業の開拓と発展、農村のデジタル金融サービスの強化、農村資源の情報管理の強化など、新しい農村デジタル経済を育成することである。 第六に、農村のデジタル文化の発展を繁栄させる。農村のネットワーク文化ポジションの建設を強化し、農村の優れた文化資源のデジタル化を推進する。 第七に、農村におけるデジタルガバナンスの効果を高めること。農村の党建設と村落管理の知恵を促進し、農村の社会ガバナンスのデジタルレベルを高め、農村の緊急管理の知恵を促進し、デジタル技術を使って農村の疫病の予防と制御に役立てることである。 第八は、「インターネット+教育」の発展、「インターネット+医療健康」の発展、社会保障情報サービスの改善、雇用・起業情報サービスの深化、地方消費の高度化の推進など、国民向けのデジタルサービスを拡大することである。 第九は、スマートでグリーンな農村部の建設を加速させることで、農村の天然資源と生態環境の監視レベルの向上、農村居住のデジタルガバナンスの強化などが含まれる。 第十は、デジタル田園地帯の建設を調整し推進することで、調整と試験的な建設を強化し、政策保護と金融サービスを強化し、デジタル村の人材チームの構築を強化することである。

 

・2022.04.20 2022年数字乡村发展工作要点

2022年数字乡村发展工作要点 2022年 デジタル村開発業務の要点
2022年是“十四五”时期全面推进乡村振兴、加快农业农村现代化的关键之年,稳住农业基本盘、做好“三农”工作具有特殊重要意义。数字乡村发展工作要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,深入贯彻中央经济工作会议、中央农村工作会议精神,认真落实《中共中央 国务院关于做好2022年全面推进乡村振兴重点工作的意见》《数字乡村发展战略纲要》《“十四五”国家信息化规划》,充分发挥信息化对乡村振兴的驱动赋能作用,加快构建引领乡村产业振兴的数字经济体系,构建适应城乡融合发展的数字治理体系,不断推动乡村振兴取得新进展,推动数字中国建设迈出新步伐。 2022年は第14次5カ年計画期間において、農村の活性化を全面的に推進し、農業と農村の近代化を加速する重要な年であり、農業の基礎版を安定させ、「三農」をしっかりやることが特に重要である。 デジタル農村発展の作業は、習近平の新時代の中国の特色ある社会主義の思想を指針とし、第19回中国共産党全国代表大会と第19回全体会議の精神を十分に実行し、中央経済工作会議と中央農村工作会議の精神を徹底的に実行し、2022年の農村振興を全面的に促進する重点作業に関する中国共産党中央委員会と国務院の意見、デジタル農村発展戦略綱要、14次5カ年計画の綱領を真剣に実施する必要があります。 "第14次5ヵ年計画国家情報化計画 "では、情報化が農村の活性化を推進し、力を与える役割を十分に発揮し、農村産業の活性化をリードするデジタル経済システムの構築を加速し、都市と農村の一体的発展に適応するデジタル統治システムを構築し、農村活性化の新しい進展を絶えず推進し、デジタル中国の建設を推し進めて新しい一歩を踏み出する。
一、工作目标 I. 業務目標
到2022年底,数字乡村建设取得新的更大进展。数字技术有力支撑农业基本盘更加稳固,脱贫攻坚成果进一步夯实。乡村数字基础设施建设持续推进,5G网络实现重点乡镇和部分重点行政村覆盖,农村地区互联网普及率超过60%。乡村数字经济加速发展,农业生产信息化水平稳步提升,农产品电商网络零售额突破4300亿元。乡村数字化治理体系不断完善,信息惠民服务持续深化,农民数字素养与技能有效提升,数字乡村试点建设初见成效。 2022年末までに、デジタル村の構築は新たに大きく前進することになるだろう。 デジタル技術は、より強固な農業基盤を強力にサポートし、貧困撲滅の成果をさらに強固なものにする。 今後、地方におけるデジタル基盤の建設が進み、5Gネットワークは主要な町や一部の重要な行政村でのカバーが実現し、地方におけるインターネット普及率は60%を超えるだろう。 農村部のデジタル経済の発展が加速し、農業生産の情報化水準が着実に向上し、農産物の電子商取引量が4300億元を超えた。 農村のデジタルガバナンスシステムを継続的に改善し、民衆への情報サービスを継続的に深化させ、農民のデジタルリテラシーとスキルを効果的に向上させ、デジタル村の試験建設に初期効果を発揮させます。
二、重点任务 II. 主要課題
(一)构筑粮食安全数字化屏障 (1) 食料安全保障のためのデジタル障壁の構築
1. 加强农业稳产保供信息监测。强化粮食购销领域数字化监管,加快建设中央和地方政府事权粮食全覆盖、全链条、全过程数字化监管系统。建立健全重要农产品市场监测预警体系,分类分品种加强调控和应急保障。升级完善国省农业气象业务服务一体化平台,推进卫星遥感、土壤水分数据融合等气象监测技术的应用,开展精细化农业气象灾害预报预警,提升粮食安全气象服务保障能力。 1.農業の安定生産・安定供給のための情報モニタリングの強化。 食品売買分野のデジタル監督を強化し、中央・地方政府事務の食品の全範囲、チェーン、プロセスのデジタル監督システムの構築を加速させる。 重要農産物の市場に対する健全な監視と早期警戒体制を確立し、品目別・品種別の規制と緊急保護を強化する。 国と地方の農業気象事業サービスの統合プラットフォームを整備・改善し、衛星リモートセンシングや土壌水分データ融合などの気象モニタリング技術の応用を促進し、洗練された農業気象災害予測・早期警戒を実施し、食糧安全保障のための気象サービスの能力を向上させる。
2. 提高农田建设管理数字化水平。加快建成全国农田建设综合监测监管平台,完善永久基本农田数据库,构建全国农田建设“一张图”。综合运用卫星遥感等监测技术,加强对已建成高标准农田的全程监控、精准管理。深入推进国家黑土地保护工程,探索运用遥感监测、信息化管理手段监管黑土耕地质量。运用卫星遥感影像和信息化技术手段,加强对全国耕地和永久基本农田“非农化”“非粮化”动态监测。 2.農地施工管理のデジタル化レベル向上。 全国農地建設総合監視監督プラットフォームの完成を加速し、恒久的な基礎農地のデータベースを改善し、全国の農地建設の「一枚の地図」を構築する。 衛星リモートセンシングなどのモニタリング技術を総合的に活用することで、完成した高規格農地の監視と的確な管理を強化する。 国家黒土保護プロジェクトの徹底的な推進、黒土農地の品質を監視するためのリモートセンシング監視と情報管理手段の使用を模索する。 衛星リモートセンシング画像と情報技術を利用して、全国の耕地と永続的基礎農地の「非農業化」「非食糧化」の動態監視を強化する。
(二)持续巩固提升网络帮扶成效 (2) ネットワーク支援の継続的な集約と有効性の向上
3. 加强防止返贫动态监测和帮扶。完善优化防止返贫监测信息系统,将有返贫致贫风险和突发严重困难的农户纳入监测范围。针对发现的因灾因病因疫等苗头性问题,及时落实社会救助、医疗保障等帮扶措施。推进低收入人口动态监测信息平台建设,加强农村低收入人口主动发现机制、动态监测和分层分类救助帮扶。 3.貧困防止のためのダイナミックなモニタリングと支援の強化 貧困防止のためのモニタリング情報システムを改善・最適化し、貧困に戻る危険性があり、突発的で深刻な困難に直面している農民をモニタリングの対象に含める。 災害、疾病、疫病により確認された問題の初期段階への対応として、社会的支援、医療保障、その他の支援策をタイムリーに実施する。 低所得者層の動的監視情報プラットフォームの構築を推進し、農村の低所得者層に対する積極的な検出メカニズム、動的監視、段階的・分類的な救済・支援を強化すること。
4. 优化完善网络帮扶措施。加大对脱贫地区特别是国家乡村振兴重点帮扶县宽带网络升级改造支持力度。继续面向脱贫户开展精准降费。持续推进广播电视重点惠民工程建设。全面提升脱贫地区农副产品网络销售平台运营服务水平,扩大脱贫地区农产品销售规模。利用新一代信息技术巩固拓展生态扶贫成果。鼓励中央企业结合定点帮扶工作,积极开展脱贫地区数字乡村项目开发,加强基础设施建设、运营模式创新和利益联结覆盖。依托“万企兴万村”行动,引导民营企业支持脱贫地区数字乡村建设。充分发挥网信企业优势,持续开展数字乡村聚力行动公益项目。 4.ネットワーク対応策の最適化・改善 特に国の地方活性化支援の重点県において、貧困脱却地域のブロードバンドネットワーク整備への支援を強化する。 貧困から脱却した世帯に対する的確な料金引き下げを継続的に実施する。 国民のためにラジオ・テレビの重要プロジェクトの建設を継続的に推進する。 貧困地域の農産物・副産物のオンライン販売プラットフォームの運営とサービスを全面的にアップグレードし、貧困地域の農産物の販売規模を拡大する。 新世代の情報技術を使って、エコロジー的な貧困緩和の成果を集約し、拡大する。 中央企業がターゲット支援業務と連動して、貧困緩和地域のデジタル村プロジェクトを積極的に展開し、基盤建設、運営モデルの革新、利益連動範囲を強化することを奨励する。 一万人の村のための一万人の企業」イニシアティブに基づき、民間企業が貧困地域のデジタル村の建設を支援するよう誘導する。 インターネットと通信企業の利点を十分に生かし、「デジタル村結集行動」の公共福祉プロジェクトを引き続き実施する。
(三)加快补齐数字基础设施短板 (3) デジタル基盤の不足の解消加速
5. 持续推进乡村网络基础设施建设。持续深化电信普遍服务,推动农村光纤和4G网络广度和深度覆盖。面向有条件、有需求的农村及偏远地区,逐步推动千兆光纤网络建设,加快使用低频开展农村5G网络覆盖。补齐边疆地区通信网络设施短板,综合运用卫星通信等多种接入手段为用户提供宽带网络接入服务。实施智慧广电乡村工程,持续推进智慧广电服务乡村振兴专项行动。 5.農村のネットワーク基盤整備を継続的に推進する。 ユニバーサル通信サービスを継続的に深化させ、ルーラル光ファイバーと4Gネットワークの広範で深い普及を促進する。 条件やニーズのある地方や遠隔地については、ギガビット光ファイバー網の建設を徐々に推進し、低周波の利用を加速して地方の5Gネットワークカバレッジを実施する。 辺境地の通信ネットワーク設備の不足を補い、衛星通信や他のアクセス手段を総合的に活用して、利用者にブロードバンドネットワークアクセスサービスを提供すること。 スマートラジオ&テレビ農村プロジェクトを実施し、農村活性化のためのスマートラジオ&テレビサービスのスペシャルアクションを継続的に推進する。
6. 推动农村基础设施数字化改造升级。进一步完善农村公路数字化管理机制,加强基础数据统计、归集和共享机制建设。大力推进智慧水利建设,持续开展数字孪生流域和数字孪生水利工程先行先试。加快完善农村地区水利基础设施体系,推动水利基础设施智能化改造。继续实施农村电网巩固提升工程,提高农村供电可靠性和供电保障能力。支持商务流通、邮政、快递企业加强农产品产地冷链物流基础设施建设,积极推进冷链物流信息化。 6.デジタル変換と農村基盤のアップグレードの推進 農村道路のデジタル管理メカニズムをさらに改善し、基礎データの統計、収集、共有メカニズムの構築を強化する。 スマート水利の建設を積極的に推進し、デジタルツイン流域とデジタルツイン水利プロジェクトを引き続き早期かつ試験的に実施する。 農村の水利基盤システムの整備を加速し、水利基盤のインテリジェント化を推進する。 農村の電力網統合・整備プロジェクトを引き続き実施し、農村の信頼性と電力供給保証能力を向上させる。 農産物の原産地におけるコールドチェーン物流の基盤構築を強化するため、企業流通、郵便・宅配便事業者を支援し、コールドチェーン物流の情報化を積極的に推進する。
(四)大力推进智慧农业建设 (4) スマート農業構築の精力的な推進
7. 夯实智慧农业发展基础。持续推进高分卫星数据在农业遥感中的应用。积极推进农村地区移动物联网覆盖,加大农业生产场景窄带物联网(NB-IoT)部署。加快推动农业农村大数据建设应用,重点建设国家农业农村大数据平台,建立健全农业农村数据资源体系,构建全国农业农村大数据“一张图”。依托国家种业大数据平台,构建农业种质资源数据库。深入推进重要农产品单品种全产业链大数据建设。 7.インテリジェント農業の発展のための基盤を固める。 農業リモートセンシングにおける高精細衛星データの活用を継続的に推進する。 地方におけるモバイルIoTの普及を積極的に推進し、農業生産シナリオに合わせたナローバンドIoT(NB-IoT)の展開を拡大する。 農業農村ビッグデータの構築と応用を加速し、国家農業農村ビッグデータプラットフォームの構築、健全な農業農村データ資源体系の確立、国家農業農村ビッグデータの「一枚地図」の構築に力を入れる。 国家種子産業ビッグデータプラットフォームに依存し、農業生殖質資源のデータベースを構築する。 重要農産物の単一品種の産業チェーン全体に関するビッグデータ構築の徹底推進。
8. 加快推动农业数字化转型。大力推进数字育种技术应用,建设数字育种服务平台,加快“经验育种”向“精准育种”转变,逐步发展设计育种。加快推进信息技术在农业生产经营中的应用,提高农业生产经营效率。加强粮食全产业链数字化协同,推动粮食产购储加销全链条“上云用数赋智”。健全国家粮食交易平台功能,发展移动端交易。加快供销经营服务网点的数字化改造,打造“数字供销”为农服务综合平台。继续做好数字农业农村项目的推进实施与监督管理,进一步发挥农业农村信息化示范基地的示范引领作用。 8.農業のデジタルトランスフォーメーションを加速させる。 デジタル育種技術の応用を精力的に推進し、デジタル育種サービスプラットフォームを構築し、「経験的育種」から「正確な育種」への転換を加速し、デザイン育種を徐々に発展させる。 農業生産と運営における情報技術の応用を加速し、農業生産と運営の効率を向上させる。 全穀物産業チェーンのデジタルシナジーを強化し、穀物の生産、購入、貯蔵、加工、販売の全チェーンを「クラウド化し、データを使ってインテリジェンスを強化する」ことを推進する。 全国穀物取引プラットフォームの機能向上とモバイル取引の展開。 供給・販売業務とサービス店舗のデジタル化を加速し、農家向け「デジタル供給・販売」サービスの総合プラットフォームを構築する。 農業・農村デジタル化プロジェクトの推進と監督を継続し、農業・農村情報化実証基地の実証と指導の役割をさらに発展させる。
9. 强化农业科技创新供给。加强高端智能农机装备研发制造,实施国家重点研发计划“工厂化农业关键技术与智能农机装备”“乡村产业共性关键技术研发与集成应用”重点专项。利用专项支持适应于南方丘陵山区水稻种植机械等一批农机装备。实施农机购置与应用补贴政策,推进北斗智能终端在农业生产领域应用。加快国家农机装备产业计量测试中心筹建工作。搭建科技特派员信息管理服务系统,提升科技特派员服务效能。 9.農業科学技術イノベーションの供給を強化する。 ハイエンドのインテリジェント農業機械設備の研究開発と製造を強化し、国家重点研究開発計画の「工場農業とインテリジェント農業機械設備のキーテクノロジー」、「農村産業の共通キーテクノロジーの研究開発と総合応用」の重点特別プロジェクトを実施する。 特別プロジェクトを利用して、南部の丘陵地帯に適応した田植え機などの農業機械を多数支援する。 農業機械の購入・活用に対する補助金の実施、農業生産分野における北斗インテリジェント端末の活用を推進。 国立農機具産業計測試験センターの設立準備を加速させる。 科学技術委員会の情報管理サービスシステムを構築し、サービスの有効性を高める。
10. 提升农产品质量安全追溯数字化水平。完善国家农产品质量安全追溯管理信息平台。持续完善有机产品认证追溯信息系统,进一步优化食品农产品认证信息系统的公众查询服务。引导粮食加工龙头企业、“中国好粮油”示范企业开展质量追溯。加快推进中国农资质量安全追溯平台应用,建设完善全国棉花产业信息平台。 10.農産物の品質と安全性のトレーサビリティをデジタルレベルで強化する。 全国農産物品質・安全トレーサビリティ管理情報プラットフォームの改善 有機製品認証トレーサビリティ情報システムを継続的に改善し、食品・農産物認証情報システムの公開問い合わせサービスをさらに最適化する。 主要な穀物加工企業や「中国優良穀物油」実証企業に品質トレーサビリティの実施を指導する。 中国農業品質安全トレーサビリティプラットフォームの応用を加速し、国家綿業情報プラットフォームを構築・改善する。
(五)培育乡村数字经济新业态 (5) 地方における新しいデジタル経済の育成
11. 深化农产品电商发展。深入推进“互联网+”农产品出村进城工程。持续深化“数商兴农”,培育推介农产品网络品牌,开展特色农产品认证资助和推广,以品牌化带动特色产业发展。推进邮政快递服务农特产品出村进城工作,培育快递服务现代农业示范项目,建设农村电商快递协同发展示范区,持续推进交通运输与邮政快递融合发展。深入实施青年农村电商培育工程,组建“青耘中国”直播助农联盟,广泛开展“青耘中国”直播助农活动。持续发展“巾帼电商”,培育扶持妇女优势特色产业。 11.農産物の電子商取引の発展を深化させる。 インターネット+」農産物が村から都市へ出て行くプロジェクトを深化させる。 デジタルビジネスによる農業振興」を継続的に深化させ、農産物のオンラインブランドを育成・推進し、認証資金や特殊農産物のプロモーションを実施し、ブランド化による特殊産業の発展を推進する。 農産物の村から都市への郵便宅配サービスを推進し、現代農業の宅配サービス実証プロジェクトを育成し、農村の電子商取引宅配業者の共同発展のための実証区を建設し、引き続き交通と郵便宅配の一体化発展を推進すること。 を結成し、農民を支援する「青海中国」生放送活動を広範に実施するなど、深化を図っており、「女性向けeコマース」の継続的な展開と、女性にとって有利な特殊産業の育成・支援を行う。
12. 培育发展乡村新业态。强化乡村旅游重点村镇品牌建设,加大乡村旅游品牌线上宣传推广力度。完善乡村旅游监测工作体系。继续举办长三角乡村文旅创客大会,推动创业创新和乡村振兴有效结合。推进休闲农业、创意农业、认养农业等基于互联网的新业态发展。依托中国·国家地名信息库,深化乡村地名信息服务提升行动。 12.地方における新規事業の育成・開発 農村観光の鍵となる村や町のブランド化を強化し、農村観光ブランドのオンラインプロモーションを増加させる。 農村観光のモニタリングシステムを改善する。 長江デルタ農村文化観光創造者会議を継続して開催し、起業とイノベーションと農村活性化の効果的な融合を促進する。 レジャー農業、クリエイティブ農業、養子縁組農業など、インターネットを利用した新事業の開発を促進する。 中国全国地名情報データベースを活用し、農村地名情報サービスのレベルアップのための活動を深化させる。
13. 强化农村数字金融服务。持续推动农村数字普惠金融发展,积极稳妥开展普惠金融改革试验区建设。加大金融科技在农村地区的应用推广,加快研发适合广大农户、新型农业经营主体需求的金融产品。深入推进农村信用体系建设,不断提升授信覆盖面。持续推进农村支付服务环境建设,推广农村金融机构央行账户业务线上办理渠道及资金归集服务,推进移动支付便民服务向县域农村地区下沉。 13.農村におけるデジタル金融サービスの強化 農村におけるデジタル包括金融の発展を継続的に推進し、包括金融改革試行区の建設を積極的かつ着実に実施する。 農村における金融技術の応用と普及を拡大し、大多数の農民と新しい農業事業体のニーズに合った金融商品の開発を加速させる。 農村信用システムの構築を徹底的に推進し、信用カバー率を継続的に向上させる。 農村の決済サービス環境の構築を継続的に推進し、中央銀行の口座サービスや農村金融機関の資金回収サービスのオンライン処理ルートを促進し、県内の農村へのモバイル決済便利サービスの沈滞を促進する。
14. 加强农村资源要素信息化管理。健全国家、省、市、县等互联互通的农村土地承包信息应用平台,稳步开展农村土地承包合同网签。指导各地健全农村承包土地经营权流转合同网签制度,提升农村承包土地经营权流转规范化、信息化管理水平。鼓励各地建立农村承包土地经营权流转网络交易平台,规范开展农村承包土地经营权流转政策咨询、信息发布、合同签订、交易鉴证、权益评估、融资担保、档案管理等服务。探索农村宅基地数据库和管理信息系统建设。 14.農村資源要素の情報管理を強化する。 国、省、市、県が相互接続された農村土地契約情報アプリケーションプラットフォームを改善し、農村土地契約契約のオンライン締結を着実に実施する。 地方に農村契約土地管理権譲渡のオンライン契約締結システムを改善し、農村契約土地管理権譲渡の標準化と情報管理を強化することを指導する。 地方に農村契約土地管理権譲渡のオンライン取引プラットフォームの構築を奨励し、農村契約土地管理権譲渡のための政策協議、情報発信、契約締結、取引認証、持分評価、融資保証、ファイル管理などのサービス展開を標準化する。 農村居住拠点のデータベースと管理情報システムの構築を検討する。
(六)繁荣发展乡村数字文化 (6) 農村のデジタル文化の繁栄と発展
15. 加强乡村网络文化阵地建设。持续深化县级融媒体中心建设,扩大县级融媒体中心东西协作交流公益项目覆盖范围。加大对“三农”题材网络视听节目的支持,增强优质内容资源供给。规范互联网宗教信息服务,加大农村地区互联网宗教有害信息监管和处置力度,大力宣传党的宗教工作理论和方针政策。继续开展“净网”“清朗”等各类专项行动,为农村地区少年儿童营造安全、健康的网络环境。 15.農村部のオンライン文化ポジションの構築を強化する。 県級総合メディアセンターの建設を引き続き深化させ、県級総合メディアセンターの東西協力交流公共福祉プロジェクトの範囲を拡大する。 三地方」をテーマとしたオンラインオーディオビジュアルプログラムへの支援を強化し、質の高いコンテンツ資源の供給を充実させる。 インターネット上の宗教情報サービスを規制し、農村におけるインターネット上の有害な宗教情報の監督と処分を強化し、党の宗教工作理論と政策を強力に推進すること。 地方の子どもたちや青少年のために安全で健全なネット環境を作るため、「クリーン・ザ・ネット」「クリア・ザ・エア」など様々な特別活動を継続的に実施する。
16. 推进乡村优秀文化资源数字化。加大对乡村优秀传统文化资源挖掘保护力度,深入推进中华优秀传统文化传承发展工程“十四五”重点项目,持续推动实施国家文化数字化战略。继续完善历史文化名镇名村和中国传统村落数字博物馆建设,推动实施云上民族村寨工程。依托乡村数字文物资源库和数字展览,推进乡村文物资源数字化永久保存与开放利用。 16.地方にある優れた文化資源のデジタル化を推進する。 政府は農村の優れた伝統文化資源の探索と保護への取り組みを強化し、「中国卓越伝統文化遺産発展プロジェクト」の第14次5カ年計画の重点プロジェクトを推進し、国家文化デジタル化戦略の実施を引き続き推進した。 歴史文化の有名な町村や中国の伝統的な村のデジタル博物館建設を引き続き改善し、「クラウド上の民族村」プロジェクトの実施を推進する。 農村デジタル文化遺産資源のリポジトリとデジタル展示会を活用し、農村文化遺産資源のデジタル永久保存と開放利用を促進する。
(七)提升乡村数字化治理效能 (7) 地方におけるデジタルガバナンスの有効性の向上
17. 推进农村党建和村务管理智慧化。优化升级全国党员干部现代远程教育系统,不断提升农村基层党建工作信息化、科学化水平。加快推进网上政务服务省、市、县、乡(镇、街道)、村(社区)五级全覆盖,加强市、县政务服务平台建设,为农村居民提供精准化、精细化的政务服务。实施村级综合服务提升工程,提高村级综合服务信息化、智能化水平。加快建设农村房屋综合信息管理平台,提高农房建设管理与服务的信息化水平。 17.農村の党建設と村務運営の知恵を促進する。 党員と幹部に対する全国現代遠隔教育システムを最適化し、アップグレードし、農村の草の根党建設作業における情報と科学のレベルを絶えず向上させる。 省、市、県、郷(町、通り)、村(コミュニティ)レベルのオンライン政府サービスの全面的な普及を加速し、市・県政府サービスプラットフォームの建設を強化し、農村住民に正確で洗練された政府サービスを提供する。 村レベルの総合サービス強化プロジェクトを実施し、村レベルの総合サービスの情報・知能レベルを向上させる。 農村住宅総合情報管理プラットフォームの構築を加速し、農業住宅建設の管理・サービスに関する情報技術の水準を向上させる。
18. 提升乡村社会治理数字化水平。探索推广数字乡村治理新模式,拓展乡村治理数字化应用场景。开展网格化服务管理标准化建设,深化智安小区、平安乡村建设。继续加强农村公共区域视频图像系统建设联网应用,积极推进视频图像资源在疫情防控、防灾减灾、应急管理等各行业各领域深度应用。继续开展“乡村振兴、法治同行”活动,深入推进公共法律服务平台建设,进一步加强移动智能调解系统的推广应用,加快构建覆盖城乡、便捷高效、均等普惠的现代公共法律服务体系。 18.農村社会ガバナンスのデジタルレベルの向上。 デジタル・ルーラル・ガバナンスの新しいモデルを探求・推進し、ルーラル・ガバナンスのためのデジタル・アプリケーション・シナリオを拡大する。 グリッドベースのサービスマネジメントの標準的な構築を行い、賢く安全なコミュニティと安全な村の構築を深化させる。 農村の公共エリアにおけるビデオ画像システムのネットワーク化と応用を引き続き強化し、疫病の予防と制御、災害の予防と軽減、緊急管理などの様々な産業と分野におけるビデオ画像リソースの深い応用を積極的に推進する。 引き続き「農村活性化、法治」キャンペーンを実施し、公共法律サービスプラットフォームの建設をさらに推進し、モバイル知能調停システムの普及と応用をさらに強化し、都市と農村をカバーし、便利で効率的で、平等で普遍的利益をもたらす現代公共法律サービスシステムの建設を加速させる。
19. 推进乡村应急管理智慧化。完善智能数字网格预报技术体系,推进暴雨、局部地区突发强对流预警信号精确到乡(镇、街道),构建极端天气监测预警服务体系。依托空天地一体化监测体系,加强农村多灾易灾地区灾害风险监测。实施自然灾害监测预警信息化、国家地震烈度速报与预警等工程,加强面向偏远农村、牧区、山区的预警信息服务。持续开展乡村防灾减灾科普宣传教育。 19.地方の危機管理の知恵を広める。 インテリジェント・デジタルグリッド予報技術システムを改善し、地方から郷(町)にかけての大雨や突然の強い対流に対する早期警報信号の精度を促進し、異常気象監視・警報サービスシステムを構築すること。 大気・宇宙・空の統合的な監視システムに基づき、農村の災害が起こりやすい地域における災害リスク監視を強化する。 自然災害の監視と早期警報の情報化、全国震度速度の報告と早期警報、遠隔地の農村、牧畜地、山岳地帯の早期警報情報サービスの強化などのプロジェクトを実施する。 農村における防災・減災に関する大衆科学教育を継続的に実施する。
20. 运用数字技术助力农村疫情防控。强化农村疫情信息监测,升级通信大数据平台,支撑农村常态化疫情精准防控和局部疫情应急处置,提升区域协查数据的精准性和及时性。推进健康码全国互通互认、一码通行。充分利用互联网、应急广播终端等信息化手段开展疫苗接种、疫情防控等方面的政策措施和知识普及宣传。 20.デジタル技術を利用して、農村における伝染病の予防と制御に貢献する。 農村の疫病情報の監視を強化し、通信ビッグデータプラットフォームをアップグレードし、農村の疫病の定期的かつ正確な予防と制御、地域の疫病の緊急処理をサポートし、地域連携データの正確性と適時性を向上させる。 健康コードの国家的な相互運用性と相互承認、および1つのコードの使用を促進する。 インターネットや非常用放送端末などの情報技術ツールを駆使し、予防接種や防疫に関する政策や知識の普及を行う。
(八)拓展数字惠民服务空间 (8) 国民のためのデジタルサービスの拡大
21. 发展“互联网+教育”。加快推进教育新型基础设施建设,持续完善农村中小学校网络建设,提升中小学校网络承载能力和服务质量。通过卫星电视、宽带网络为农村薄弱学校和教学点输送优质教育资源。不断完善国家数字教育资源公共服务体系,强化国家中小学智慧教育平台功能,促进数字资源东西协作。继续开展教育信息化专题培训和捐赠活动,提升农村地区师生教育信息化素养。持续研发数字化国家通用语言文字学习资源,继续开展民族语言信息化研发工作。 21.インターネット+教育 "を展開する。 新しい教育基盤の建設を加速し、農村の小中学校のネットワーク構築を継続的に改善し、小中学校のネットワーク収容力とサービス品質を向上させる。 衛星テレビとブロードバンドネットワークは、恵まれない地方の学校や教場に高品質の教材を届けるために利用されています。 デジタル教育資源に関する国家公共サービスシステムを継続的に改善し、小中学校向けの国家スマート教育プラットフォームの機能を強化し、デジタル資源の東西連携を推進する。 教育情報化をテーマとした研修や寄贈活動を継続し、農村の教員や学生の教育情報化リテラシーを向上させる。 デジタル国語学習教材の研究開発、民族語情報化の研究開発の継続。
22. 发展“互联网+医疗健康”。构建权威统一、互联互通的全民健康信息平台,推动各级各类医疗卫生机构纳入区域全民健康信息平台。稳步推进医疗机构信息系统集约化云上部署。推进“互联网+医疗健康”“五个一”服务行动,继续加强远程医疗服务网络建设,推动优质医疗资源下沉。引导地方探索基层数字健共体建设。持续推进电子证照应用服务,推广“出生一件事”联办。深入推动“互联网+中医药”服务,深化中医馆健康信息平台的推广应用。加快推进全国统一的医疗保障信息平台落地应用,逐步建立救助患者医疗费用信息共享机制。2022年底前每个县至少有1家定点医疗机构实现包括门诊费用在内的医疗费用跨省直接结算。 22.インターネット+医療健康」を展開する。 全国民の健康のための権威ある、統一された、相互接続された情報プラットフォームを構築し、全国民の健康のための地域情報プラットフォームへの各レベルの医療・健康機関の統合を促進する。 医療機関の情報システムのクラウド展開を着実に集中的に推進する。 インターネット+ヘルスケア」のサービス構想「Five-One」を推進し、遠隔医療サービスネットワークの構築を引き続き強化し、良質な医療資源のシンクを推進する。 地域コミュニティを指導し、草の根レベルでのデジタルヘルスコミュニティの構築を模索する。 電子証明書やサービスの適用を継続的に推進し、「ワンバース」の共同運用を推進する。 インターネット+漢方」サービスの推進を深め、漢方薬局の健康情報プラットフォームの普及と応用を深化させる。 2022年末までに、各県に1つ以上の指定医療機関が、外来診療費を含む医療費の県を越えた直接精算を実現する予定である。
23. 完善社会保障信息服务。持续完善全国统一的社会保险公共服务平台建设,建立以社会保障卡为载体的居民服务“一卡通”,进一步优化乡村基层社保经办服务,不断扩大服务范围。加快推广应用全国社会救助系统,推动社会救助服务向移动端延伸。拓宽残疾人两项补贴“跨省通办”服务模式,推动实现“全程网办”。增加全国残疾人两项补贴信息系统的监管功能,提高补贴发放精准性。开展互联网网站、APP适老化及无障碍改造,制定属地化互联网应用适老化及无障碍改造方案。 23.社会保障情報サービスの向上 全国統一社会保険公共サービスプラットフォームの建設を引き続き改善し、社会保険カードをキャリアとする住民サービスの「ワンカード」を確立し、農村の草の根レベルの社会保険サービスをさらに最適化し、サービス範囲を継続的に拡大する。 国の社会扶助制度の適用を加速し、社会扶助サービスのモバイル端末への拡張を促進する。 障害者2手当の「都道府県横断」サービスモデルを拡大し、「完全オンライン処理」の実施を推進する。 2つの障害者補助金に関する国の情報システムの監視機能を高め、補助金分配の精度を向上させる。 インターネットサイトやアプリの年齢別バリアフリー化、地域別アプリの年齢別バリアフリー化計画を策定する。
24. 深化就业创业信息服务。持续完善就业信息化平台建设,加强脱贫人口、农民工、乡村青年等群体就业监测与分析。充分利用互联网平台汇集岗位信息,拓宽广大农民外出就业和就地就近就业渠道。面向农村转移劳动力、返乡农民工等群体开展职业技能培训,支持帮助其就业创业。推动互联网企业在农村地区开展互联网助农项目,为农民增收开辟新渠道。 24.雇用と起業の情報サービスの深化。 雇用情報プラットフォームの構築を継続的に改善し、貧困から脱出した人々、移住労働者、農村の若者などのグループの雇用の監視と分析を強化する。 インターネットのプラットフォームをフルに活用し、求人情報をプールし、大多数の農民が就職や地元での雇用のために外出するチャンネルを広げます。 農村の移民労働者や帰国移民労働者などのグループに対して職業技能訓練を提供し、彼らの雇用と起業を支援する。 インターネット企業が農村でインターネットを利用した農業プロジェクトを行うことを推進し、農民が収入を増やすための新しいチャンネルを開拓する。
25. 推动农村消费升级。继续实施县域商业建设行动,扩大农村电商覆盖面,健全县乡村三级物流配送体系,促进农村消费扩容提质升级。支持大型商贸流通企业、电商平台等服务企业向农村延伸拓展,加快品牌消费、品质消费进农村。加快农村寄递物流体系建设,分类推进“快递进村”工程,推广农村寄递物流末端共同配送。推进抵边自然村邮政普遍覆盖。引导传统商贸流通、邮政企业强化数据驱动,推动产品创新数字化、运营管理智能化、为农服务精准化,支持企业加快数字化、连锁化转型升级。 25.地方における消費の高度化の推進 県ビジネス建設イニシアティブを引き続き実施し、農村の電子商取引の範囲を拡大し、県と農村レベルの物流・流通システムを改善し、農村消費の拡大と質の向上を促進する。 大型貿易・流通企業、電子商取引プラットフォームなどのサービス企業の農村への拡張・進出を支援し、農村へのブランド消費・品質消費を加速させる。 農村配送物流システムの建設を加速し、「村への速達」プロジェクトを推進し、農村配送物流末端の共通流通を促進する。 国境の自然村での郵便のユニバーサルカバレッジを推進する。 伝統的な貿易流通・郵便企業にデータ駆動を強化するよう指導し、デジタル製品イノベーション、インテリジェント運営管理、農業向け精密サービスを推進し、企業のデジタル化・チェーン変革・アップグレードを加速させるようサポートする。
(九)加快建设智慧绿色乡村 (9) スマート・ビレッジ、グリーン・ビレッジの建設加速
26. 提升农村自然资源和生态环境监测水平。继续组织做好自然资源调查监测、实景三维中国建设,开展自然资源三维立体“一张图”、国土空间基础信息平台、自然资源监管决策应用体系扩展建设。探索推进包括农村在内的全国生态监测评价预警体系建设。加快推进林草生态网络感知系统建设与应用,推动感知平台各相关业务系统“真用真连”“互联互通”。推进全国林草信息化示范区评选工作。 26.農村における天然資源と生態環境の監視レベルを向上させる。 天然資源の調査と監視、現実的な三次元中国の建設を引き続き組織し、天然資源の三次元「一枚の地図」、土地と空間の基本情報プラットフォーム、天然資源の監督と意思決定のための応用システムの拡張の建設を実行する。 農村を含む全国的な生態系監視・評価・早期警報システムの構築を模索する。 林業と草の生態ネットワークセンシングシステムの構築と応用を加速し、センシングプラットフォーム上で関連するすべての業務システムの「実使用と接続」、「相互接続」を促進する。 国営林業・草地情報化実証地域の選定を推進する。
27. 加强农村人居环境数字化治理。建立农村人居环境问题在线受理机制,引导农村居民通过APP、小程序等方式参与人居环境网络监督。不断完善农村环境监测体系,持续加强环境要素和重点监管对象监测。提高农村地区水环境、水生态监测能力。持续加强农村生活垃圾收运处置信息管理,提升村镇污水垃圾治理水平。开展高分卫星在农村人居环境监测应用示范工作。 27.農村の生活環境のデジタル管理を強化する。 農村の生活環境問題を受け付けるオンライン機構を構築し、APPや小型プログラムを通じて農村住民が生活環境ネットワーク監督に参加するよう誘導する。 農村環境監視システムを継続的に改善し、環境要素と主要な規制目標の監視を継続的に強化する。 農wおける水環境と水生態のモニタリング能力を向上させる。 農村の家庭ごみ収集・処理に関する情報管理を継続的に強化し、村や町の汚水・廃棄物管理レベルを向上させる。 ハイビジョン衛星を利用した農村生活環境モニタリングの実証実験を行う。
(十)统筹推进数字乡村建设 (10) デジタル村構築の調整と推進
28. 加强统筹协调和试点建设。指导地方建立健全数字乡村发展统筹协调机制,推动《数字乡村发展行动计划(2022-2025年)》落地实施。研究制定数字乡村发展评价指标体系,开展数字乡村发展评价工作。印发实施数字乡村标准体系建设指南,加强数字乡村标准化建设。持续完善数字乡村建设指南。完成首批国家数字乡村试点总结评估,鼓励地方开展区域性数字乡村试点。充分利用融媒体、直播平台、网络视听节目等渠道,讲好乡村振兴故事,总结推广典型经验,营造良好社会氛围。 28.コーディネーションとパイロットの構築の強化 デジタル農村開発のための調整メカニズムの確立と改善を地方に指導し、デジタル農村開発のための行動計画(2022-2025)の実施を推進する。 デジタル村落開発の評価指標システムを研究開発し、デジタル村落開発の評価を実施する。 デジタルビレッジ標準システム構築のためのガイドラインを発行・実施し、デジタルビレッジの標準化を強化した。 デジタルビレッジ構築のためのガイドラインを継続的に改善する。 第一陣の国家デジタルビレッジパイロットの総括評価を完了し、地方に地域デジタルビレッジパイロットを実施するよう奨励する。 総合メディア、ライブ放送プラットフォーム、オンラインオーディオビジュアル番組などのチャンネルをフルに活用し、農村活性化のストーリーを伝え、典型的な経験をまとめ、広報し、良い社会的雰囲気を作り出す。
29. 强化政策保障和金融服务。加大财政资金投入和引导力度,按规定统筹利用现有涉农政策与资金渠道,支持数字乡村重点项目建设。加强金融机构对数字乡村建设重点项目和优质涉农企业、新型农业经营主体、农村就业创业群体的信贷、融资支持。持续加大乡村金融供给,提高全国整体县域信贷资金适配性。因地制宜打造金融服务乡村振兴创新示范区。持续推进金融科技赋能乡村振兴示范工程。鼓励地方探索构建数字乡村服务资源池,引导社会力量有序参与数字乡村建设。 29.政策的保護と金融サービスの強化 金融投資と指導を強化し、既存の農業関連政策と資金ルートを規則に従って協調して利用し、デジタル村サイドの重要プロジェクトの建設を支援する。 デジタル村サイドの構築における重要なプロジェクトや、質の高い農業関連企業、新しい農業事業体、農村の雇用・起業グループに対する金融機関からの信用・融資支援を強化する。 農村金融の供給を継続的に増加させ、全国的に県に対する信用資金の適合性を向上させる。 地方の活性化のための金融サービスの革新的な実証区を地域の実情に合わせて作成する。 金融技術による農村活性化の実証プロジェクトを継続的に推進する。 地方がデジタル農村サービス資源プールの建設を模索することを奨励し、社会勢力が整然とデジタル農村の建設に参加するよう誘導する。
30. 加强数字乡村人才队伍建设。持续开展农民手机应用技能培训,组织开展网络安全教育培训,提升农村人口的数字素养与个人信息保护意识。持续派强用好驻村第一书记和工作队,加强对农村党员干部现代信息技术应用方面的教育培训。继续加强高等学校新农村发展研究院建设,加大对农业农村等人才急需领域的职业教育供给。大力开展乡村旅游人才、农业农村科技青年人才、复合型巾帼人才信息化培训。 30.地方のデジタル人材プールの構築を強化する。 農民を対象とした携帯電話アプリケーションのスキルトレーニングを継続的に実施し、サイバーセキュリティ教育・訓練を組織して、農村住民のデジタルリテラシーと個人情報保護意識を向上させること。 強力でよく使われる第一書記とタスクフォースを引き続き村に派遣し、農村の党員と幹部に対する現代情報技術の応用に関する教育・訓練を強化する。 高等教育機関における新農村開発研究所の建設を引き続き強化し、農業や農村など人材が緊急に必要とされる分野での職業教育の供給を増加させる。 農村観光の人材、農業・農村科学技術の若い人材、情報技術の複合女性の人材育成を精力的に行う。

 

1_20210612030101

機械翻訳では「农村」と「乡村」が綺麗に分けて翻訳できないですね。。。もちろん1対1対応ではないのですが。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.06 中国 デジタル村建設ガイド1.0

 

その他関連する内容

・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

・2021.12.31 中国 ロボット産業発展のための第14次5ヵ年計画

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.23 中国 通信院 産業経済状況の見通し、上位100の工業都市と地区に関する開発報告

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.11.17 中国 党創立100周年闘争の主要な成果と歴史的経験に関する中共中央委員会の決議(全文)

| | Comments (0)

2022.04.26

米国 White House ドローン対策国家計画

こんにちは、丸山満彦です。

米国が、無人航空機システム (unmanned aircraft systems: UAS, or "drones") 対策についての国家計画を発表していますね。。。

2015年には、ホワイトハウス敷地内にドローンが墜落したり、日本でも官邸にドローンが墜落し、所有者が逮捕されたりしましたね。。。

そんなこともあり、日本でも、ドローンの利用と規制についての議論が起こり、委員会等も立ち上がって、安全な普及に向けた活動が続いていますね。。。

 

U.S. White House

・2022.04.25 FACT SHEET: The Domestic Counter-Unmanned Aircraft Systems National Action Plan

FACT SHEET: The Domestic Counter-Unmanned Aircraft Systems National Action Plan ファクトシート:国内無人航空機システム対策国家行動計画
Over the last decade, unmanned aircraft systems (UAS or “drones”) have become a regular feature of American life. We use them for recreation, for research, and for commerce. But the proliferation of this new technology has also introduced new risks to public safety, privacy, and homeland security.  Malicious actors have increasingly used UAS domestically to commit crimes, conduct illegal surveillance and industrial espionage, and thwart law enforcement efforts at the local, state and Federal level. 過去10年間で、無人航空機システム(UASまたは「ドローン」)はアメリカ人の生活の中で日常的に使われるようになりました。私たちは、レクリエーション、研究、そして商業のために無人航空機を使用しています。しかし、この新しい技術の普及は、公共の安全、プライバシー、国土安全保障に新たなリスクをもたらしています。  悪意のある行為者が、国内でUASを使用して犯罪を犯し、違法な監視や産業スパイを行い、地方、州、連邦レベルでの法執行努力を妨害するケースが増加しています。
Today, the Biden Administration is releasing the first whole-of-government plan to address UAS threats in the Homeland. Through the Domestic Counter-Unmanned Aircraft Systems National Action Plan, the Administration is working to expand where we can protect against nefarious UAS activity, who is authorized to take action, and how it can be accomplished lawfully. The Plan seeks to achieve this legitimate expansion while safeguarding the airspace, communications spectrums, individual privacy, civil liberties and civil rights. To achieve this balance, the Administration is calling on Congress to adopt legislation to close critical gaps in existing law and policy that currently impede government and law enforcement from protecting the American people and our vital security interests. 本日、バイデン政権は、国土におけるUASの脅威に対処するための初の政府全体計画を発表します。国内無人航空機システム対策国家行動計画を通じて、政権は、悪質なUAS活動から保護できる場所、行動を起こす権限を持つ人、そしてそれを合法的に達成する方法を拡大するために取り組んでいる。この計画は、空域、通信スペクトル、個人のプライバシー、市民的自由、市民権を保護しながら、この合法的な拡大を達成することを目指している。このバランスを達成するために、行政は議会に対し、現在政府と法執行機関が米国民と重要な安全保障上の利益を保護することを妨げている既存の法律と政策の重大なギャップを埋めるための法律を採択するよう求めている。
UAS serve many beneficial commercial and recreational purposes.  As has been the case with many technological advances, they can also be exploited for pernicious purposes.  To protect our Homeland and prevent their growing use from threatening the safety and security of our people, our communities, and our institutions, this Counter-UAS National Action Plan will set new ground rules for the expanding uses of UAS and improve our defenses against the exploitation of UAS for inappropriate or dangerous purposes. UASは、多くの有益な商業的および娯楽的な目的に役立っている。  多くの技術的進歩がそうであったように、UASもまた悪意のある目的のために利用される可能性がある。  国土を守り、その利用の拡大が国民、地域社会、組織の安全と安心を脅かすことを防ぐために、このUAS対策国家行動計画は、UASの利用拡大のための新しい基本ルールを定め、不適切または危険な目的でのUASの利用に対する防御を向上させるものである。
Recommendations 推奨事項
The Plan provides eight key recommendations for action: 本計画では、行動に関する8つの重要な推奨事項を提示します。
1. Work with Congress to enact a new legislative proposal to expand the set of tools and actors who can protect against UAS by reauthorizing and expanding existing counter‑UAS authorities for the Departments of Homeland Security, Justice, Defense, State, as well as the Central Intelligence Agency and NASA in limited situations. The proposal also seeks to expand UAS detection authorities for state, local, territorial and Tribal (SLTT) law enforcement agencies and critical infrastructure owners and operators.  The proposal would also create a Federally-sponsored pilot program for selected SLTT law enforcement agency participants to perform UAS mitigation activities and permit critical infrastructure owners and operators to purchase authorized equipment to be used by appropriate Federal or SLTT law enforcement agencies to protect their facilities; 1. 国土安全保障省、司法省、国防省、国務省、および中央情報局、NASAの既存のUAS対策権限を再承認し、限定的に拡大することにより、UASから保護できる手段および行為者を拡大する新しい法律案の制定に議会と協力すること。また、州、地方、地域、部族(SLTT)の法執行機関や重要インフラの所有者・運営者のためのUAS検知権限を拡大することも目指すこと。  この提案はまた、選ばれたSLTT法執行機関参加者がUAS緩和活動を行うための連邦政府主催のパイロット・プログラムを創設し、重要インフラの所有者およびオペレーターが、適切な連邦政府またはSLTT法執行機関がその施設を保護するために使用する認定機器を購入することを許可するものである。
2. Establish a list of U.S. Government authorized detection equipment, approved by Federal security and regulatory agencies, to guide authorized entities in purchasing UAS detection systems in order to avoid the risks of inadvertent disruption to airspace or the communications spectrum;  2. 連邦安全保障・規制機関によって承認された米国政府公認の探知装置のリストを確立し、空域または通信スペクトルへの不注意な破壊のリスクを回避するために、公認団体がUAS探知システムを購入する際の指針とすること。 
3. Establish oversight and enablement mechanisms to support critical infrastructure owners and operators in purchasing counter-UAS equipment for use by authorized Federal entities or SLTT law enforcement agencies; 3 .重要インフラの所有者および運営者が、認可された連邦機関またはSLTT法執行機関による使用のために、対UAS機器を購入することを支援するための監視および実現機構を確立すること。
4. Establish a National Counter-UAS Training Center to increase training accessibility and promote interagency cross-training and collaboration; 4. 訓練へのアクセス性を高め、省庁間の横断的な訓練と協力を促進するために、国家UAS対策訓練センターを設立すること。
5. Create a Federal UAS incident tracking database as a government-wide repository for departments and agencies to have a better understanding of the overall domestic threat; 5. 国内全体の脅威をよりよく理解するために、各省庁のための政府全体のリポジトリとして、連邦UAS事故追跡データベースを作成すること。
6. Establish a mechanism to coordinate research, development, testing, and evaluation on UAS detection and mitigation technology across the Federal government; 6. 連邦政府全体でUASの探知・緩和技術に関する研究、開発、試験、評価を調整する仕組みを構築すること。
7. Work with Congress to enact a comprehensive criminal statute that sets clear standards for legal and illegal uses, closes loopholes in existing Federal law, and establishes adequate penalties to deter the most serious UAS-related crimes; and  7. 議会と協力して、合法・違法使用の明確な基準を設定し、既存の連邦法の抜け穴を塞ぎ、最も深刻なUAS関連犯罪を抑止するための適切な刑罰を定めた包括的な刑事法の制定を行うこと。 
8. Enhance cooperation with the international community on counter‑UAS technologies, as well as the systems designed to defeat them. 8. 対UAS技術およびそれを破るために設計されたシステムに関する国際社会との協力を強化すること。

 

Department of Justice

・2022.04.25 Justice Department Issues Statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal

Justice Department Issues Statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal 司法省は、政府の無人航空機システム対策(C-UAS)国家行動計画および立法案について声明を発表
For almost four years, the Department of Justice has responsibly used the authority Congress granted it in the Preventing Emerging Threats Act of 2018 to protect critical department missions and the public, such as high-profile sporting events like the Super Bowl and the World Series, from the threat posed by unmanned aircraft systems (UAS), commonly referred to as “drones.” The department uses the authority to keep our communities safe while ensuring full respect for the Constitution, privacy, civil rights and civil liberties, and the safety of the national airspace system. But the threat posed by the criminal use of drones is increasing and evolving, and department components cannot protect everyone, everywhere, all the time.  司法省は約4年間、2018年新興脅威防止法で議会から与えられた権限を責任を持って活用し、一般に "ドローン "と呼ばれる無人航空機システム(UAS)がもたらす脅威から、スーパーボウルやワールドシリーズなどの注目を集めるスポーツイベントなど、省の重要任務と一般市民を守ってきました。本省は、憲法、プライバシー、市民権、市民的自由の完全な尊重、および国土空域システムの安全を確保しながら、コミュニティの安全を保つためにこの権限を使用しています。しかし、ドローンの犯罪利用がもたらす脅威は増大し、進化しており、同省の構成員が、いつでも、どこでも、すべての人を保護することはできません。 
The department strongly supports the Administration’s Counter-UAS National Action Plan and comprehensive legislative proposal transmitted to Congress on April 19 seeking the reauthorization of the department’s authority. Additionally, the department strongly supports the element of the National Action Plan incrementally extending relief from federal criminal laws to state, local, territorial and tribal (SLTT) law enforcement entities to use technology to detect, and in limited circumstances, mitigate UAS threats under appropriate controls and Federal oversight. A third critical component of the plan is endorsement of the department’s legislative proposal that would fill a gap in federal criminal laws to prosecute the most malicious and dangerous uses of drones. 本省は、本省の権限の再承認を求めて4月19日に議会に提出された政権の対UAS国家行動計画および包括的な立法案を強く支持します。さらに本省は、国家行動計画のうち、州・地方・準州・部族(SLTT)法執行機関が適切な管理と連邦監視の下で技術を利用してUASの脅威を検知し、限られた状況下で緩和するために連邦刑法からの救済を段階的に拡大する要素を強く支持します。この計画の第三の重要な要素は、ドローンの最も悪質で危険な使用を訴追するための連邦刑法におけるギャップを埋める、本省の立法提案への支持です。
The department is grateful to the Administration for recognizing the increasing risk and for involving federal departments and agencies in crafting a thoughtful approach. The Counter-UAS plan is a whole-of-government measured proposal that builds off existing authorities to address the threat that simultaneously protects privacy and civil liberties of the American people, the safety of the national airspace and the communications spectrum.  本省は、リスクが高まっていることを認識し、連邦政府各省庁を巻き込んで思慮深いアプローチを構築した行政府に感謝しています。対UAS計画は、米国民のプライバシーと市民的自由、国土空域の安全、通信スペクトルを同時に保護する脅威に対処するために、既存の権限を基にした政府全体の対策案です。 
In the coming weeks, the department and interagency will engage with the Congress and key stakeholders across the government, private sector, law enforcement and society on the plan and legislative proposal.  今後数週間、同省と省庁間機関は、計画および立法案について、議会および政府、民間企業、法執行機関、社会にわたる主要な利害関係者と意見を交わす予定です。 

 

Department of Homeland Security

・2022.04.25 Statement by Secretary Mayorkas on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal

 

Statement by Secretary Mayorkas on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal 無人航空機システム対策(C-UAS)国家行動計画および立法案に関するマヨルカス長官の声明
Secretary of Homeland Security Alejandro N. Mayorkas released the following statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and legislative proposal released today. アレハンドロ・N・マヨルカス国土安全保障長官は、本日発表された政府の無人航空機システム(C-UAS)対策国家行動計画および立法案について、以下の声明を発表しました。
“The Biden-Harris Administration’s C-UAS National Action Plan and legislative proposal are vital to enabling DHS and our partners to have the necessary authorities and tools to protect the public, the President and other senior officials, federal facilities, and U.S. critical infrastructure from threats posed by the malicious and illicit use of unmanned aircraft systems. These threats are increasing at home and abroad, and the Plan and legislative proposal call for the reauthorization and expansion of DHS’s C-UAS authority to help keep our communities safe. The Plan and legislative proposal also support the safe integration of unmanned aircraft systems for recreational and commercial use.” 「バイデン=ハリス政権のC-UAS国家行動計画と立法提案は、無人航空機システムの悪意ある不正使用による脅威から、DHSと我々のパートナーが国民、大統領やその他の高官、連邦施設、米国の重要インフラを守るために必要な権限と手段を持つために不可欠なものです。このような脅威は国内外で増加しており、本計画と立法案は、DHSのUAS対策権限の再承認と拡大を求め、我々のコミュニティの安全確保を支援するものです。また、本計画と立法案は、レクリエーションや商業利用のための無人航空機システムの安全な統合を支援するものです。
“DHS will continue to judiciously implement its C-UAS authorities, while protecting privacy, civil rights, and civil liberties. We look forward to working with Congress and key stakeholders across every level of government, in the private sector, and civil society on this critical Plan and related legislation.” DHSは、プライバシー、市民権、市民的自由を保護しながら、C-UAS権限を引き続き慎重に実施する。この重要なプランと関連法案について、議会や政府の各レベル、民間企業、市民社会の主要なステークホルダーと協力することを楽しみにしています。

 

U.S. Congress.gov

U.S. House of Representatives

U.S. Senate

 

Fig1_20220426061901

 


■ 日本のドローンについての検討

小型無人機に関する関係府省庁連絡会議

 


■ ドローン墜落...

● The New York Times

・2015.01.26 A Drone, Too Small for Radar to Detect, Rattles the White House

● 日本経済新聞

・2015.04.22 首相官邸にドローン落下 けが人はなし

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。

 

 

| | Comments (0)

2022.04.25

中国 人工知能白書 2022 (2022.04.12)

こんにちは、丸山満彦です。

中国の中国信息通信研究院が人工知能白書(AI白書)2022を公表していましたね。。。

 

中国信息通信研究院

・2022.04.12 人工智能白皮书(2022年)

【摘    要】 概要
白皮书全面回顾了2021年以来全球人工智能在政策、技术、应用和治理等方面的最新动向,重点分析了人工智能所面临的新发展形势及其所处的新发展阶段,致力于全面梳理当前人工智能发展态势,为各界提供参考,共同推动人工智能持续健康发展。 本白書は、2021年以降の世界のAIの政策、技術、応用、ガバナンスの最新動向を、AIが直面する新たな発展状況とその発展段階に焦点を当て、現在のAI発展状況を包括的に概観し、あらゆるセクターが共同でAIの持続的かつ健全な発展を促進するための参考とすることを目的としています。


・[PDF]

20220425-62849

 

前 言 前文
目 录 目次
一、人工智能发展概述 I. AI開発の概要
(一)全球不断升级人工智能战略,纷纷抢抓重要发展 机遇 (1) 世界はAI戦略をアップグレードし、重要な開発機会を掴んでいる
(二)人工智能开始迈入全新阶段,持续健康发展成为 焦点 (2) AIは新たな局面を迎え、その持続的かつ健全な発展が注目されている
二、人工智能技术及应用沿着“创新、工程、可信”三 个方向持续演进 II.AI技術とアプリケーションは、"革新、工学、信頼 "の3つの方向性で進化し続ける。
(一)人工智能在追求极致创新方面不断突破 (1) 極限の革新を追求するAIのブレークスルーが続く
1. 新算法不断涌现,技术融合成重要趋势 1. 新しいアルゴリズムが登場し、テクノロジーコンバージェンスが重要なトレンドになっている
2. 单点算力持续突破,新技术仍处于探索阶段 2. 計算能力の一点突破は続く、新技術はまだ模索の段階
3. 数据规模不断提升,构建领域知识集成热点 3. データ規模の増大とドメイン知識統合のホットスポットの構築
(二)人工智能工具链成为工程实践能力核心 (2) AIツールチェーンが工学実務能力のコアになる
(三)安全可信人工智能技术朝着一体化发展 (3) 統合に向けた安全で信頼できるAI技術
三、全球高度关注人工智能治理工作,人工智能安全可 信成重点 III.世界的に注目されるAIガバナンス、AIの安全性と信頼性が優先課題
(一)人工智能风险不断增多,全球初步建立治理机制 (1) AIのリスクは増大し、当初はグローバルなガバナンスの仕組みが構築されつつある
1. 人工智能深入赋能引发挑战 1. AIのディープエンパワーメントに起因する課題
2. 全球掀起人工智能治理浪潮 2. 世界的なAIガバナンスの波
(二)人工智能治理迈入软硬法协同和场景规制新阶段 (2) AIガバナンスは、ソフトロー・ハードローの相乗効果とシナリオ規制の新段階に入る
1. 人工智能治理实质化进程加速推进 1. 加速するAIガバナンスの具体化プロセス
2. 典型场景化治理各有侧重加速落地 2. 典型的なシナリオベースのガバナンスは、実装を加速させるために独自のフォーカスを持つ
(三)人工智能安全框架成为有效防范风险的关键指引 (3) AIセキュリティフレームワークは、効果的なリスク予防のための重要な指針となる
1. 人工智能安全框架逐渐形成雏形 1. 具体化するAIセキュリティのフレームワーク
2. 分类分级成为框架构建的新方向 2. フレームワーク構築の新たな方向性としての分類と等級
(四)可信人工智能已成为落实治理要求的重要方法论 (4) 信頼できるAIは、ガバナンス要件を実現するための重要な方法論となった
1. 可信理念逐渐深入到人工智能全生命周期 1. AIのライフサイクル全体に、信頼性の概念が徐々に浸透していく
2. 企业已成为实践可信人工智能的主要力量 2. 信頼できるAIの実践のために、企業が大きな力を発揮するようになった
3. 行业组织推进打造人工智能安全可信生态 3. 業界団体によるAIの安全で信頼できるエコシステムの構築の推進
四、总结与展望 IV.まとめと展望
参考文献 参考文献

 

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.04.24

カナダ プライバシーコミッショーナー事務局 政府機関が機関の長の判断によって個人情報を公開する場合のガイダンス

こんにちは、丸山満彦です。

カナダのプライバシー法 (Privacy Act) では、

政府機関(省庁等)の長(大臣、長官等)が、個人情報を本人の同意なしに開示することができる場合が第8条(2)に列挙されていて、そして包括的な規定として(m)に

(i) 開示の公益性が、開示によって生じ得るプライバシーの侵害を明らかに上回るか、または

(ii) 開示が、その情報の対象となる個人にとって明らかに有益である

と判断する場合、と定められているのですが、機関の長がその判断をする際のガイダンスがプライバシーコミッショナー事務局から公表されていますね。。。

参考になるかもですね。。。

 

Office of the Privacy Commissioner of Canada: OPC

・2022.04.21 OPC publishes updated guidance on public interest disclosures by federal institutions under the Privacy Act

・2022.04.21(改正)Public interest disclosures by federal institutions under the Privacy Act

Public interest disclosures by federal institutions under the Privacy Act プライバシー法に基づく連邦機関による公益情報の開示
Guidance on disclosures under paragraph 8(2)(m), which allows institutions to disclose personal information in the public interest or in the interest of the individual to whom the information relates. 個人情報保護法第8条(2)(m)に基づく開示に関するガイダンスである。この条項により、機関は公共の利益またはその情報に関連する個人の利益のために個人情報を開示することができる。
Overview 概要
The Privacy Act allows federal institutions to disclose personal information in the public interest or in the interest of the individual to whom the information relates. This includes cases where health, safety or security may be at risk, as well as other situations related to the individual or public interest. プライバシー法は、連邦機関が公共の利益または情報が関連する個人の利益のために個人情報を開示することを許可している。これには、健康、安全またはセキュリティが危険にさらされている可能性がある場合、および個人または公共の利益に関連する他の状況が含まれている。
When seeking to make use of these provisions, it is important that institutions have a clear understanding of appropriate use. This understanding helps to ensure that privacy rights are appropriately considered. これらの規定を利用しようとする場合、機関が適切な利用について明確に理解することが重要である。この理解は、プライバシー権への適切な配慮を確保するのに役立つ。
Understanding Paragraph 8(2)(m) 第8条(2)(m)の理解
Subsection 8(2) of the Privacy Act sets out specific circumstances in which government institutions may disclose personal information without the consent of the individual. プライバシー法第8条(2)では、政府機関が本人の同意なしに個人情報を開示できる具体的な状況を定めている。
Paragraph 8(2)(m) permits the disclosure of personal information where, in the opinion of the head of the institution, the public interest in disclosure clearly outweighs any invasion of privacy that could result from the disclosure, or disclosure would clearly benefit the individual to whom the information relates. It is up to the head of the institution, as defined in the Privacy Act, to make this assessment. 第8条(2)(m)は、機関の長の見解として、開示によるプライバシーの侵害を開示による公共の利益が明らかに上回る場合、または開示がその情報に関連する個人の利益に明らかになる場合に、個人情報の開示を許可するものである。この評価を行うのは、プライバシー法に定義される機関の長に任されている。
Paragraph 8(2)(m) is an important section in the Act which provides institutions with a tool to help them effectively balance an individual's right to privacy with other important contextual interests. For example, this provision has been used in cases such as: 第8条(2)(m)は、プライバシー法における重要な条項であり、個人のプライバシー権と他の重要な文脈上の利益とのバランスを効果的にとるためのツールを機関に提供するものである。例えば、この規定は、以下のようなケースで利用されている。
To seek assistance for an individual denied government benefits who has threatened self-harm or harm to others; 自傷行為や他者への危害を予告し、政府からの給付を拒否された個人に対して支援を求める場合。
To notify public health authorities charged with informing individuals of their potential exposure to a communicable disease; and 伝染病への曝露の可能性を個人に知らせることを担当する公衆衛生当局に通知する場合。
To assist in locating the next of kin of an individual who is injured or deceased. 負傷または死亡した個人の近親者の所在を確認するのを支援するため。
Paragraph 8(2)(m) may also apply in the context of a request for information under the Access to Information Act. While subsection 19(1) of the Access to Information Act requires heads of institutions to refuse to disclose any record requested that contains personal information, this requirement is subject to the discretionary exceptions contained in subsection 19(2). Of particular note is paragraph 19(2)(c) of the Act, which allows for the disclosure of personal information in accordance with section 8 of the Privacy Act. In considering whether to exercise discretion to disclose personal information in response to an Access to Information Act request under paragraph 19(2)(c), heads of institutions should follow this guidance. 第 8 項(2)(m)は、情報公開法に基づく情報提供の要請にも適用される場合がある。情報公開法第19条(1)では、機関の長は、個人情報を含む要求された記録の開示を拒否することを要求しているが、この要求は、第19条(2)に含まれる裁量的な例外に従うものである。特に注目すべきは、プライバシー法第8条に従って個人情報の開示を認める同法第19条(2)(c)である。第19条(2)(c)に基づく情報公開法の要求に対して、個人情報を開示する裁量を行使するかどうかを検討する場合、機関の長はこのガイダンスに従うこと。
The decision to disclose 開示の決定
The decision to disclose under paragraph 8(2)(m) requires a careful balancing of potentially competing interests. It is the responsibility of the head of the institution to ensure that the public interest clearly outweighs the invasion of privacy, in the case of subparagraph 8(2)(m)(i), or, in the case of 8(2)(m)(ii), disclosure must clearly benefit the individual to whom the information relates. 第8条(2)(m)に基づく開示の決定には、潜在的に競合する利害のバランスを慎重にとることが必要である。第8条(2)(m)(i)の場合、公共の利益がプライバシーの侵害を明らかに上回り、第8条(2)(m)(ii)の場合、開示がその情報に関連する個人の利益に明らかにならなければならないことは、機関の長の責任である。
The discretion to disclose personal information should be exercised with restraint. Paragraph 8(2)(m) does not require disclosure by a government institution nor is it a "loophole" that allows government departments and agencies to make information public when it should remain private. With this in mind, government institutions should be careful not to disclose more personal information than is necessary. 個人情報を開示する裁量は、抑制的に行使されなければならない。第8条(2)(m)は、政府機関による開示を義務付けるものではなく、また、政府省庁が非公開とすべき情報を公開することを認める「抜け道」でもない。このことを踏まえ、政府機関は必要以上に個人情報を開示しないように注意する必要がある。
Paragraph 8(2)(m) is applied in unique, fact-specific situations. In other words, institutions should exercise discretion to disclose personal information pursuant to this paragraph in unique circumstances where disclosure is truly justified. 第8項(2)(m)は、固有の、事実に基づいた状況で適用される。言い換えれば、機関は、開示が本当に正当化される特定の状況において、このパラグラフに従って個人情報を開示する裁量権を行使すべきである。
Institutions should apply the "invasion-of-privacy" test to determine the level of privacy risk in the disclosure. The invasion-of-privacy test involves a detailed review of three interrelated risk factors that will help institutions determine whether to apply subparagraph 8(2)(m)(i). These factors are: the sensitivity of the information; the expectations of the individual; and the probability and degree of injury. In addition, institutions should consider factors unique to their own operational context, as applicable. 機関は、開示におけるプライバシーリスクのレベルを決定するために、「プライバシーの侵害」テストを適用するべきである。プライバシー侵害テストでは、サブ第8条(2)(m)(i)を適用するかどうかを判断するのに役立つ、相互に関連する3つのリスク要因を詳細に検討する。これらの要因とは、情報の機密性、個人の期待、損害の発生する確率と程度である。さらに、各機関は、該当する場合、各自の業務状況に固有の要因を考慮する必要があります。
Tips for applying the invasion-of-privacy test プライバシーの侵害テスト適用のためのヒント
1) Sensitivity of the information 1) 情報の機密性
Consider whether the type of information is of a detailed (e.g., name and address) or highly personal (e.g., health information) nature. 情報の種類が、詳細な情報(例:氏名や住所)か、極めて個人的な情報(例:健康情報)かを検討する。
Evaluate the context in which the information was collected, and determine whether any contextual sensitivities apply to the information. For example, a list of public servants may not be considered particularly sensitive, but that same list, if collected to identify employees having a specific illness would be considered sensitive based on the context. 情報が収集された背景を評価し、その情報に文脈上の機微性が適用されるかどうかを判断する。例えば、公務員のリストは特にセンシティブとは見なされないかもしれませんが、同じリストでも、特定の病気を持つ従業員を特定するために収集された場合は、コンテキストに基づいてセンシティブと見なされるだろう。
2) Expectations of the individual 2) 本人への期待
Evaluate the conditions under which the personal information was collected, and consider what expectations the collecting institution may have established for its confidentiality, including whether the possibility of disclosure is conveyed in an applicable Privacy Notice Statement. 個人情報が収集された条件を評価し、開示の可能性が適用されるプライバシー通知ステートメントで伝えられているかどうかを含め、収集機関がその機密性に対してどのような期待を抱いていたかを検討する。
Consider the reasonable expectations of privacy that apply to the context in which the information was collected. To determine what constitutes a reasonable expectation of privacy, courts will look at the totality of circumstances. This could include location of collection (e.g., in a private conversation as compared to a public town hall), context of collection (e.g., in a routine application for services as compared to a letter sent to several government ministers), etc. 情報が収集された状況に適用される、プライバシーに対する合理的な期待を検討する。プライバシーの合理的な期待を構成するものを決定するために、裁判所は状況の全体像に注目する。これには、収集の場所(例:公共の役所と比べた私的な会話)、収集の状況(例:複数の政府閣僚に送られた手紙と比べた、サービスのための日常的なアプリケーション)などが含まれる。
3) Probability and degree of injury 3) 危害・名誉毀損等の可能性と程度
Consider the probability and degree or gravity of injury relative to the benefits of the disclosure to the public. This could include personal or physical injury, or damage to the reputation of an individual or others, which causes adverse consequences (e.g., any harm or embarrassment that negatively affects an individual's career, reputation, financial position, safety, health or well-being). 公開による利益と比較して、危害・名誉毀損等が発生する可能性と程度または重大性を検討する。これには、個人的または身体的な傷害、あるいは個人または他者の評判への損害が含まれ、有害な結果を引き起こす(例えば、個人のキャリア、評判、財政的地位、安全、健康または幸福に悪影響を及ぼすあらゆる害や恥辱)可能性がある。
Determine the potential of injury if the receiving party wrongfully disclosed the information further. 受け手が不当にその情報をさらに開示した場合の危害・名誉毀損等の可能性を判断する。
Alternatives to disclosure under paragraph 8(2)(m) 第8条(2)(m)に基づく開示の代替手段
Whether in the context of an access request, open government or otherwise, institutions can often be open and transparent about their activities where there is a public interest in doing so without resorting to disclosing personal information pursuant to paragraph 8(2)(m). For example, institutions can provide the public with access to information on the application or outcomes of government policies in a format that does not include personal information, such as program evaluation reports. They can also release information that has been de-identified to the point that there is no longer a serious possibility that it can be used to identify an individual, either through that information alone or in combination with other available information. アクセス要求、オープンガバメント、その他のいずれの状況であっても、公共的利益がある場合、機関は第8条(2)(m)に従って個人情報を開示することなく、その活動をオープンで透明性のあるものにできることが多い。例えば、政府政策の適用や成果に関する情報へのアクセスを、プログラム評価報告書など、個人情報を含まない形で一般に提供することができる。また、その情報だけで、あるいは他の利用可能な情報と組み合わせて、個人を特定するために使用される深刻な可能性がもはやないところまで非識別化された情報を公開することができる。
If an institution finds that it is routinely relying on paragraph 8(2)(m) to disclose information under a similar set of circumstances, it should evaluate whether this paragraph is the most appropriate authority for disclosure. Given that disclosures pursuant to this paragraph require a case-by-case assessment as well as a notification to the Privacy Commissioner of Canada, institutions may find that there are options more amenable to conducting systemic disclosures. In these cases, institutions may find that they have established a program that may require a Privacy Impact Assessment (PIA); or may determine the need for an Information Sharing Agreement (ISA) to formalize an ongoing information sharing relationship. もし金融機関が、同様の状況下で日常的に第8条(2)(m)に依拠して情報を開示していることを発見した場合、このパラグラフが開示のための最も適切な権限であるかどうかを評価するべきである。この条文に基づく開示は、ケースバイケースの評価とカナダプライバシーコミッショナーへの届出が必要であることから、機関によっては、システム的な開示の実施にもっと適した選択肢があると考えるかもしれない。このような場合、教育機関は、プライバシー影響評価(PIA)を必要とする可能性のあるプログラムを確立していることに気づくかもしれませんし、継続的な情報共有関係を公式化するための情報共有契約(ISA)が必要であると判断されるかもしれない。
Notifying the Office of the Privacy Commissioner of Canada カナダ・プライバシーコミッショナー事務局への通知
Under subsection 8(5) of the Privacy Act, the head of an institution has a duty to notify the Privacy Commissioner of Canada in writing prior to the release of any records under the Act's public interest disclosure provision. If this is not possible, institutions must notify the Commissioner as soon as possible upon the disclosure. This subsection serves to ensure that institutions rely on paragraph 8(2)(m) in a reasonable manner. The Commissioner may express concerns with the proposed disclosure and may notify the individual whose information will be disclosed. プライバシー法の第8条(5) に基づき、教育機関の長は、同法の公益開示規定に基づく記録の公開に先立ち、カナダ・プライバシーコミッショナーに書面で通知する義務を負っている。これが不可能な場合、機関は開示後できるだけ早く委員に通知しなければならない。この小項目は、機関が合理的な方法で第8条(2)(m)に依拠することを保証するためのものである。コミッショナーは、提案された開示について懸念を表明し、情報が開示される個人に通知することができる。
The Commissioner has no authority to prevent the disclosure and it is ultimately the institution's decision as to whether to release the information. コミッショナーには開示を阻止する権限はなく、情報を開示するかどうかは、最終的には教育機関の判断に委ねられる。
Public interest disclosure notifications can be submitted to the OPC by email at scg-ga@priv.gc.ca. Please note that this address cannot accept encrypted emails. In the case that an institution needs to provide information at a Protected B level or higher, the institution should contact scg-ga@priv.gc.ca to arrange the transmission. 公益開示通知は、OPCに電子メールで提出することができる(scg-ga@priv.gc.ca)。このアドレスは暗号化された電子メールを受け付けないことに留意すること。保護Bレベル以上の情報を提供する必要がある場合、教育機関は scg-ga@priv.gc.ca に連絡し、送信の手配をする必要がある。
Alternatively, institutions may submit their notifications by mail to: また、以下の宛先に郵送することも可能である。
Privacy Commissioner of Canada カナダ・プライバシーコミッショナー
30 Victoria Street ビクトリア通り30番地
Gatineau, Quebec ガティノー、ケベック州
K1A 1H3 K1A 1H3
Upon receiving notification of a public interest disclosure, the OPC's Government Advisory Directorate conducts a review of the disclosure. During the review, institutions may be asked to provide additional information to assist in understanding the context of the disclosure. We may provide recommendations for institutions to consider when applying the provisions. As noted above, in some circumstances, where deemed appropriate, the Commissioner may notify the individual whose personal information has been or will be disclosed. 公益開示の通知を受けた OPC の政府諮問部門は、その開示内容を審査します。審査の過程で、開示の背景を理解するための追加情報の提供を求められることがある。また、この規定を適用する際に、機関が考慮すべき推奨事項を提示することもあります。上述の通り、状況によっては、適切と判断される場合、コミッショナーは、個人情報が開示された、または開示される予定の個人に通知することがある。
For more information 詳細については
The Government Advisory Directorate offers information sessions for federal public servants on public interest disclosures. To schedule a session or for any questions related to public interest disclosures, please contact the OPC's Government Advisory Directorate at scg-ga@priv.gc.ca. 政府諮問本部は、連邦政府の公務員のために、公益開示に関する説明会を開催している。説明会の予約や公益開示に関する質問は、OPCの政府諮問局(scg-ga@priv.gc.ca)まで連絡すること。

 

Canada


 

Privacy ActR.S.C., 1985, c. P-21

第7条、第8条(2)(m)まで、、、

Protection of Personal Information 個人情報の保護
Marginal note:Use of personal information 個人情報の利用
7 Personal information under the control of a government institution shall not, without the consent of the individual to whom it relates, be used by the institution except 7 政府機関の管理下にある個人情報は、当該機関が関連する個人の同意なしに、以下の場合を除き、利用されてはならない。
(a) for the purpose for which the information was obtained or compiled by the institution or for a use consistent with that purpose; or (a) 当該機関が取得又は編集した目的又は当該目的に合致する利用。
(b) for a purpose for which the information may be disclosed to the institution under subsection 8(2). (b) 第8項(2)に基づき当該機関が情報を開示することができる目的のため。
1980-81-82-83, c. 111, Sch. II “7” 1980-81-82-83, 111, Sch. II "7".
Marginal note:Disclosure of personal information 個人情報の開示
8 (1) Personal information under the control of a government institution shall not, without the consent of the individual to whom it relates, be disclosed by the institution except in accordance with this section. 8 (1) 政府機関の管理下にある個人情報は、その情報に関連する個人の同意がない限り、本節に従った場合を除き、政府機関によって開示されてはならない。
Marginal note:Where personal information may be disclosed 注:個人情報を開示することができる場合
(2) Subject to any other Act of Parliament, personal information under the control of a government institution may be disclosed (2) 国会の他の法律に従うことを条件として、政府機関の管理下にある個人情報は、開示することができる。
(a) for the purpose for which the information was obtained or compiled by the institution or for a use consistent with that purpose; (a) 当該機関が取得または編集した目的、またはその目的に合致した用途のため。
(b) for any purpose in accordance with any Act of Parliament or any regulation made thereunder that authorizes its disclosure; (b) 開示を許可する国会法またはその下で制定された規則に従う任意の目的のため。
(c) for the purpose of complying with a subpoena or warrant issued or order made by a court, person or body with jurisdiction to compel the production of information or for the purpose of complying with rules of court relating to the production of information; (c) 情報の提出を強制するために裁判所、管轄権を有する個人または団体が発行した召喚状、令状または命令に従うため、または情報の提出に関する裁判所の規則に従うため。
(d) to the Attorney General of Canada for use in legal proceedings involving the Crown in right of Canada or the Government of Canada; (d) カナダ司法長官が、カナダの王室またはカナダ政府が関与する法的手続で使用するため。
(e) to an investigative body specified in the regulations, on the written request of the body, for the purpose of enforcing any law of Canada or a province or carrying out a lawful investigation, if the request specifies the purpose and describes the information to be disclosed; (e) 規則で指定された調査機関に対し、カナダまたは州の法律を執行するため、または合法的な調査を行うために、書面による要請があり、その要請に目的が明記され、開示される情報が記述されている場合。
(f) under an agreement or arrangement between the Government of Canada or any of its institutions and the government of a province, the council of the Westbank First Nation, the council of a participating First Nation as defined in subsection 2(1) of the First Nations Jurisdiction over Education in British Columbia Act, the council of a participating First Nation as defined in section 2 of the Anishinabek Nation Education Agreement Act, the government of a foreign state, an international organization of states or an international organization established by the governments of states, or any institution of any such government or organization, for the purpose of administering or enforcing any law or carrying out a lawful investigation; (f) カナダ政府またはその機関と州政府との間の協定または取り決めに基づき、ウェストバンク先住民族の議会、ブリティッシュ・コロンビア州教育に対する先住民族の管轄法(2)(1)に定義される参加先住民族の議会。Anishinabek Nation Education Agreement Actの(2)に定義された参加先住民の議会、外国政府、国家の国際組織、国家の政府によって設立された国際組織、またはその政府または組織の機関が、法律の管理または執行、合法的な調査の実施を目的として、参加するため。
(g) to a member of Parliament for the purpose of assisting the individual to whom the information relates in resolving a problem; (g) 情報の対象である個人の問題解決を支援する目的で、国会議員に提供する場合。
(h) to officers or employees of the institution for internal audit purposes, or to the office of the Comptroller General or any other person or body specified in the regulations for audit purposes; (h) 内部監査の目的で機関の役員または職員に、または監査の目的で会計検査院または規則で指定されたその他の個人または団体に提供される場合。
(i) to the Library and Archives of Canada for archival purposes; (i)カナダ図書館・公文書館によるアーカイブ目的のため。
(j) to any person or body for research or statistical purposes if the head of the government institution (j) 研究または統計目的のために、政府機関の長が以下の場合に個人または団体に提供する場合。
(i) is satisfied that the purpose for which the information is disclosed cannot reasonably be accomplished unless the information is provided in a form that would identify the individual to whom it relates, and (i) 情報が関連する個人を特定する形式で提供されなければ、その情報が開示される目的が合理的に達成されないと確信し、かつ、(ii)その個人から、その情報が開示される目的のために必要な情報を入手する場合。
(ii) obtains from the person or body a written undertaking that no subsequent disclosure of the information will be made in a form that could reasonably be expected to identify the individual to whom it relates; (ii) 当該個人又は団体から、当該情報が関連する個人を特定することが合理的に予想される形態で、当該情報のその後の開示を行わない旨の書面による約束を得る場合。
(k) to any aboriginal government, association of aboriginal people, Indian band, government institution or part thereof, or to any person acting on behalf of such government, association, band, institution or part thereof, for the purpose of researching or validating the claims, disputes or grievances of any of the aboriginal peoples of Canada; (k) カナダの原住民の主張、紛争、または苦情を調査または検証する目的で、原住民の政府、原住民の協会、インディアンバンド、政府機関またはその一部、あるいは当該政府、協会、バンド、機関またはその一部を代理する者に対し、提供する場合。
(l) to any government institution for the purpose of locating an individual in order to collect a debt owing to Her Majesty in right of Canada by that individual or make a payment owing to that individual by Her Majesty in right of Canada; and (l) 個人のカナダ国王陛下に対する債務を回収するため、または個人のカナダ国王陛下に対する債務を履行するために、個人を特定する目的で、政府機関へ。
(m) for any purpose where, in the opinion of the head of the institution, (m) 機関の長の見解において、以下の目的のため。
(i) the public interest in disclosure clearly outweighs any invasion of privacy that could result from the disclosure, or (i) 開示の公益性が、開示によって生じ得るプライバシーの侵害を明らかに上回るか、または
(ii) disclosure would clearly benefit the individual to whom the informa (ii) 開示が、その情報の対象となる個人にとって明らかに有益である場合。

 

 

 

| | Comments (0)

2022.04.23

オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年

こんにちは、丸山満彦です。

オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年についての報告が公開されています。。。

政府のアカウントアビリティに関することは、英国連邦系(英国、カナダ、オーストラリア)と米国は進んでいるように感じています。こちらもファイブアイズの国に重なりますね。。。

● Australian National Audit Office: ANAO

・2022.04.21 Audits of the Annual Performance Statements of Australian Government Entities — Pilot Program 2020–21

 

Audits of the Annual Performance Statements of Australian Government Entities — Pilot Program 2020–21< オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年
This report reflects on the outcome of the ANAO’s annual performance statements audit pilot program and the ANAO’s preparation for the staged implementation of an annual performance statements assurance audit program. Following a request from the Minister for Finance in August 2019, the Australian National Audit Office (ANAO) commenced a pilot program of performance statements audits. 本報告書は、ANAOの年次パフォーマンス報告書監査パイロットプログラムの成果と、年次パフォーマンス報告書保証監査プログラムの段階的実施に向けたANAOの準備について考察するものである。 2019年8月の財務大臣からの要請を受け、オーストラリア国家監査局(ANAO)は、パフォーマンス報告書監査のパイロット・プログラムを開始した。
Executive summary エグゼクティブサマリー
1. The Public Governance Performance and Accountability Act 2013 (PGPA Act) places explicit obligations on accountable authorities for the quality and reliability of performance information and requires Australian Government entities to report their performance to Parliament in a way that meaningfully reflects their organisation’s purpose and achievements. This is an important aspect of the Australian Government’s public accountability system, enabling the Parliament and the public to assess whether Australian Government entities deliver value for money and achieve the outcomes for which they are funded. 1. 2013年公共ガバナンス・パフォーマンス・アカウンタビリティ法(PGPA法)は、アカウンタビリティを負う当局にパフォーマンス情報の質と信頼性に関する明確な義務を課し、オーストラリア政府機関に対して、組織の目的と成果を有意義に反映する形で議会にパフォーマンスを報告することを求めている。これは、オーストラリア政府の公的アカウンタビリティ制度の重要な側面であり、議会と国民は、オーストラリア政府機関が金額に見合う価値を提供し、資金提供を受けている成果を達成しているかどうかを評価できるようにするものである。
2. Recognising that public value is not only concerned with financial performance, the PGPA Act requires Australian Government entities to prepare annual performance statements. Australian Government entities have prepared annual performance statements and included those statements in their annual reports, with effect from the 2015–2016 reporting period. 2. 公共の価値は財務パフォーマンスだけにあるのではないとの認識から、オーストラリア政府機関は年次のパフォーマンス報告書を作成するよう、PGPA法は求めている。オーストラリア政府機関は、2015-2016年の報告期間から、年次パフォーマンス報告書を作成し、その内容を年次報告書に記載している。
3. The PGPA Act also makes provision for annual performance statements to be examined by the Auditor-General. Following a request from the Minister for Finance in August 2019, the Australian National Audit Office (ANAO) commenced a pilot program of performance statements audits. During the pilot program there was improvement in the standard of performance statements preparation and reporting for each of the audited entities1, demonstrating that mandated audits of performance statements can drive more transparent and meaningful performance reporting to Parliament. 3. PGPA法はまた、年次パフォーマンス報告書が監査総長によって調査されることを規定している。2019年8月に財務大臣からの要請を受け、オーストラリア国家監査院(ANAO)はパフォーマンス報告書監査のパイロット・プログラムを開始した。パイロットプログラム期間中、被監査団体のそれぞれについて、パフォーマンス報告書の作成と報告の水準に改善が見られ1、パフォーマンス報告書の監査の義務化が、議会に対してより透明で有意義なパフォーマンス報告を推進できることが示された。
4. Notwithstanding the progress made by entities during the pilot program, entities’ performance reporting functions and supporting systems will need to mature if they are to play a more proactive role in strategic planning and quality assurance. In addition, the ANAO will need to increase awareness within the sector of its methodology for conducting performance statements audits and continue to refine the methodology to enable the Auditor-General to provide the auditee with clear, concise and timely findings. 4. パイロット・プログラム期間中の各機関の進捗にもかかわらず、戦略立案と品質保証においてより積極的な役割を果たすためには、各機関のパフォーマンス報告機能と支援システムの成熟が必要である。さらに、ANAO は、パフォーマンス報告書監査の実施方法について、セクター内の認識を高め、監査総長が明確、簡潔かつタイムリーな調査結果を受審者に提供できるよう、その方法を継続して改善する必要がある。
5. The ANAO was provided additional funding in the 2021–22 Budget to support the staged roll-out of annual performance statements audits, from six audits in 2021–22 increasing to 19 audits in 2024–25 (comprising the material entities by income and expenditure). Implementation of mandatory auditing of entities’ annual performance statements would give the Parliament the same level of assurance over the quality and reliability of non-financial performance information that it currently receives for financial information presented in financial statements. 5. ANAO は、2021-22 年度予算において、年次パフォーマンス報告書監査を段階的に展開するための追加資金を提供され、2021-22 年度の 6 監査から 2024-25 年度には 19 監査(収入と支出による重要な事業体で構成)に増加することとなった。企業の年次パフォーマンス報告書の監査が義務化されれば、国会は、財務諸表に表示される財務情報に対して現在受けているのと同じレベルの、非財務パフォーマンス情報の品質と信頼性を保証することができる。
6. The Joint Committee of Public Accounts and Audit (JCPAA) has played an active and important role in the implementation of the PGPA Act through the Public Management Reform Agenda (PMRA). The JCPAA has recommended amending the PGPA Act to enable mandatory audits of annual performance statements by the Auditor-General to encourage the provision of high-quality performance information to support parliamentary accountability of entity performance2 and amending the Auditor-General Act 1997 so that audits of annual performance statements are able to be initiated without the need for approval or direction from the committee or Finance Minister.3 6. 会計監査合同委員会(JCPAA)は、公共経営改革アジェンダ(PMRA)を通じて、PGPA法の実施において積極的かつ重要な役割を担ってきた。JCPAA は、監査総長による年次パフォーマンス報告書の監査を義務化し、質の高いパフォーマンス情報の提供を促して、議会による企業パフォーマンスへのアカウンタビリティをサポートすること2 と、委員会や財務大臣による承認や指示を必要とせずに年次パフォーマンス報告書の監査を開始できるよう1997年監査総長法を改正することを提言した3。
7. This report reflects on the outcome of the ANAO’s annual performance statements audit pilot program and the ANAO’s preparation for the staged implementation of an annual performance statements assurance audit program. 7. 本報告書は、ANAO の年次パフォーマンス報告書監査パイロット・プログラムの結果と、年次パフォーマンス報告書保証監査プ ログラムの段階的実施に向けた ANAO の準備について考察したものである。
Performance reporting in the Australian Government オーストラリア政府におけるパフォーマンス報告
Developments in the Commonwealth Performance Framework 連邦政府のパフォーマンス・フレームワークの発展
8. The requirement for Australian Government entities to prepare annual performance statements under the PGPA Act took effect from 1 July 2015 with entities preparing and reporting annual performance statements for the first time in the 2015–16 reporting period. 8. オーストラリア政府機関に対するPGPA法に基づく年次パフォーマンス報告書の作成義務は、2015年7月1日から施行され、2015-16年の報告期間において初めて年次パフォーマンス報告書を作成・報告することとなった。
9. In August 2019, the Minister for Finance wrote to the Auditor-General requesting the conduct of a program of pilot assurance audits of annual performance statements of Australian Government entities subject to the PGPA Act in consultation with the JCPAA. 9. 2019年8月、財務大臣は監査総長に対し、日本公認会計士協会と協議の上、PGPA法の対象となるオーストラリア政府機関の年次パフォーマンス報告書に対する保証監査プログラムを試験的に実施することを要請する文書を提出した。
10. The Auditor-General agreedto the Finance Minister’s request and in 2020 commenced a pilot performance statements audit program of 2019–20 performance statements of the Department of Social Services (DSS), the Attorney-General’s Department (AGD) and the Department of Veterans’ Affairs (DVA). The same three entities’ 2020–21 annual performance statements were audited in 2021. 10. 監査総長は財務大臣の要請に同意し、2020年に社会福祉省(DSS)、法務大臣庁(AGD)、退役軍人省(DVA)の2019-20年度実績報告書に対する試験的な実績報告書監査プログラムを開始した。2021 年には、同 3 団体の 2020-21 年度年次実績報告書の監査を実施した。
11. The performance statements pilot program has demonstrated that accessible and understandable audit conclusions can be issued that clearly set out to the user the extent to which the performance statements can be relied upon to assess the performance of the entity. It has also demonstrated that the issuing of timely audit conclusions has been challenging. Ideally audit conclusions on an entity’s performance statements and financial statements would be issued in time to enable both to be included in the entity’s annual report. The framework does not currently require the audited entity to include the performance statements audit conclusion in its annual report. 11. パフォーマンス報告書パイロットプログラムは、パフォーマンス報告書が企業のパフォーマンスを評価するためにどの程度まで信頼できるかを利用者に明確に示す、アクセス可能で理解しやすい監査結論を出すことができることを実証している。また、適時に監査結論書を発行することが困難であることも実証されました。理想的には、企業のパフォーマンス報告書と財務諸表に関する監査結論は、両者が企業の年次報告書に含まれるように時間的に間に合うように発行されることである。この枠組みは、現在、被監査企業に対して、パフォーマンス報告書の監査結論を年次報告書に含めることを要求していない。
12. The ANAO is conducting six performance statements audits in 2021–2022, which will increase to 19 audits by 2024–25. 12. ANAOは、2021-2022年に6件のパフォーマンス報告書監査を実施し、2024-25年には19件に増加する予定である。
The benefits of high quality performance statements for the Parliament and the sector 質の高いパフォーマンス報告書が国会とセクターにもたらすメリット
High quality performance information 質の高いパフォーマンス情報
13. High quality annual performance statements will deliver on the Parliament’s key objective in establishing the performance framework requirements in the PGPA Act to improve the quality and reliability of performance information in the Australian public sector. High quality annual performance statements that comply with the framework will support the Parliament’s accountability and scrutiny function through the legislative process and parliamentary committees. 13. 質の高い年次パフォーマンス報告書は、オーストラリアの公共部門におけるパフォーマンス情報の質と信頼性を向上させるという、PGPA 法におけるパフォーマンスフレームワークの要件を確立した際の国会の主要な目的を実現するものである。枠組みを遵守した質の高い年次パフォーマンス報告書は、立法過程や議会の委員会を通じて、議会のアカウンタビリティと監視機能を支えることになる。
14. High quality performance statements enable entities to show the Parliament and the public whether policies and programs are delivering the results intended with the resources provided. The information that supports high quality performance statements will also provide a valuable evidence base for entities to justify new policy proposals and evaluate existing policy and program settings. 14. 高品質のパフォーマンス報告書により、事業体は、政策やプログラムが提供された資源で意図した結果を出しているかどうかを議会や国民に示すことができる。また、質の高いパフォーマンス報告書を支える情報は、事業体が新たな政策提案を正当化し、既存の政策やプログラムの設定を評価するための貴重な証拠となる。
15. The ANAO’s performance statements audits are designed to align with the Parliament’s expectations as established in the PGPA Act and the PGPA Rule (see Appendix 1). They provide assurance to the Parliament and also facilitate high quality performance reporting across the sector. Auditing contributes to the quality of preparation and presentation by entities and provides independent assurance to the Parliament that the performance statements can be relied upon. 15. ANAO のパフォーマンス報告書監査は、PGPA 法および PGPA 規則(付録 1 参照)に定められ た国会の期待に沿うよう設計されている。監査は、国会に保証を提供し、また、セクター全体における質の高いパフォーマンス報告を促進する。監査は、事業体による準備とプレゼンテーションの質に貢献し、パフォーマンス報告書が信頼できるものであるという独立した保証を国会に提供するものである。
Findings and recommendations from the Pilot Program パイロット・プログラムから得られた知見と提言
Audit themes 監査テーマ
16. Five themes emerged from findings through the audit process in 2020–21, representing opportunities for improvement and areas of focus for entities. 16. 2020-21年度の監査プロセスを通じて得られた知見から、5つのテーマが浮かび上がり、各団体の改善の機会や重点分野を示している。
17. For composite measures — a performance measure with several targets — the entity’s corporate plan needs to clearly set out how the results from each target will be weighted and the proportion of targets that must be met for the measure to be considered achieved. 17. 複合指標(複数の目標を持つパフォーマンス指標)については、各目標の結果の重み付けと、達成とみなされるために満たすべき目標の割合を、事業体の経営計画で明確に規定する必要がある。
18. Measures based on case studies and surveys need to be supported by a clear methodology that explains the basis for selecting case studies and identifies how surveys will be conducted. Entities need to pay particular attention where there is a heightened risk of bias in measuring and assessing performance. 18. ケーススタディや調査に基づく施策は、ケーススタディの選定根拠を説明し、どのように調査を行うかを明らかにする明確な方法論によってサポートされる必要がある。事業者は、パフォーマンスの測定や評価において、バイアスのリスクが高まる場合には、特に注意を払う必要がある。
19. A measure that is inwardly focused on what the entity does to enable an output to be produced will generally be assessed as an ‘input’ or an ‘activity’ — not an output. If the measure is assessed as an input or an activity, it would not normally meet the intent of the PGPA Rule. 19. あるアウトプットを生み出すために企業が行うことに内向きな測定は、一般に「インプット」または「活動」 として評価され、アウトプットではない。インプットまたはアクティビティとして評価される測定は、通常、PGPAルールの意図に合致しない。
20. Entities need to ensure there are appropriate disclosures in the performance statements regarding key information, known limitations with source data and the methodology for measuring results. 20. 事業者は、パフォーマンス報告書の中で、主要な情報、ソースデータに関する既知の限界、および結果の測定方法について、適切な開示があることを確認する必要がある。
21. Entities need to ensure that processes are in place to keep records and provide their own assurance over the systems and sources that inform their performance results. 21. 事業者は、記録を保存し、パフォーマンス結果を通知するシステムと情報源について、自ら保証を行うためのプロセスを確保する必要がある。
Audit conclusions and findings 監査の結論と所見
22. On 7 April 2022, the Minister for Finance tabled the Auditor-General’s Independent assurance reports on AGD’s, DVA’s and DSS’ 2020–21 annual performance statements.4 22. 2022年4月7日、財務大臣は、AGD、DVA、DSSの2020-21年の年次パフォーマンス報告書に関する監査総長の独立保証報告書を上程した4。
23. Across the three 2020–21 performance statements audits, entities’ annual performance statements were largely compliant with the requirements of the performance framework and fairly presented the performance of the entity. There were some exceptions where specific measures did not meet those requirements. The ANAO made significant findings and reported exceptions as qualifications to our audit conclusion for 14.9 per cent of the three entities’ performance measures. 23. 3つの2020-21年度パフォーマンス報告書の監査を通じて、事業体の年次パフォーマンス報告書は、パフォーマンスフレームワークの要件にほぼ適合しており、事業体のパフォーマンスを公正に示していた。例外として、特定の指標がその要件を満たしていない場合があった。ANAOは、3団体のパフォーマンス指標の14.9%について、重要な発見をし、我々の監査結論に対する除外事項として例外を報告した。
Lessons learned and future opportunities 学んだ教訓と将来の機会
Progress and areas to improve 進捗状況と改善すべき点
24. Overall, engagement with entities in this new audit function has been positive. Entities have demonstrated their willingness to improve the quality of the annual performance statements they present to Parliament. An emerging better practice is the development of performance measure profiles and preparation manuals. These documents are designed to underpin the performance measures included in the entity’s annual performance statements and the process of preparation of the performance statements. 24. 全体として、この新しい監査機能における事業体との関わりはポジティブなものであった。事業体は、国会に提出する年次パフォーマンス報告書の質を向上させる意欲を示している。より良い慣行として、パフォーマンス評価指標のプロファイルと作成マニュアルの作成が始まっている。これらの文書は、事業体の年次パフォーマンス報告書に含まれるパフォーマンス指標と、パフォーマンス報告書の作成プロセスを支援するために作成されたものである。
25. Entities’ performance reporting functions and supporting systems will need to mature and play a more proactive role in strategic planning and quality assurance. This should include: 25. 事業体のパフォーマンス報告機能と支援システムは成熟し、戦略立案と品質保証においてより積極的な役割を果たす必要がある。これには以下が含まれる。
・ensuring performance measures meet the requirements of the PGPA Rule; ・パフォーマンス指標が PGPA ルールの要求事項を満たしていること。
・having processes to gain assurance over the reliability and verifiability of the data source and methodology, and the completeness and accuracy of results; ・データソースと方法論の信頼性と検証可能性、および結果の完全性と正確性について保証を得るための プロセスを有すること。
・keeping records to demonstrate why and how internal assurance processes are undertaken; and ・内部保証プロセスを実施する理由と方法を実証するための記録を保持すること。
・constructing efficiency measures for outputs or results, which could involve linking money spent and resources applied to the results achieved. ・アウトプットまたは結果について、効率性の尺度を構築すること(支出した資金や適用した資源を達成した結果と関連付けることを含む)。
26. Consistent with their role for financial statements, audit committees have an important role to play in supporting entities to improve the quality of their performance statements. 26. 財務諸表に関する役割と同様に、監査委員会は、企業がパフォーマンス報告書の質を向上させることを支援する上で、重要な役割を担っている。
27. The 2020–21 audits showed that the ANAO needs to increase awareness within the sector of its methodology for conducting performance statements audits. The current shortfall in awareness may reflect the absence of a dedicated performance information function within entities, similar to the Chief Financial Officer (CFO) function which includes preparation of annual financial statements. Likewise, the absence of a network of performance reporting professionals to build capability and confidence could be addressed as the audit program grows. 27. 2020-21年の監査では、ANAOは、パフォーマンス報告書監査の実施方法について、セクター内の 認識を高める必要があることが示された。現在の認識不足は、年次財務諸表の作成を含む最高財務責任者(CFO)機能と同様に、事業体内のパフォーマンス情報専門機能の不在を反映していると思われる。同様に、能力と信頼を築くためのパフォーマンス報告専門家のネットワークが存在しないことも、監査プログラムの成長に伴って対処できる可能性がある。
28. The Department of Finance and the ANAO have discussed the establishment of a performance statements ‘Community of Practice’ to drive improvement in the effectiveness and the efficacy of the process and improve the profile and professionalism of the performance reporting function within the sector. 28. 財務局と ANAO は、パフォーマンス報告プロセスの有効性と効果を改善し、セクター内のパフォーマンス報告機能のプロファイルと専門性を向上させるために、パフォーマンス報告「実践のコミュニティ」の設立について議論している。
29. Performance statements audits will have a timeline consistent with financial statements audits such that audit conclusions can be tabled in the entity’s annual report by the end of October each year. Achieving this timeframe will require improvements in planning, systems and processes for both the ANAO and entities. 29. パフォーマンス報告書監査は、監査結論が毎年10月末までに事業体の年次報告書に記載されるよう、財務諸表監査と一致したタイムラインを持つことになる。この時間枠を達成するためには、ANAOと事業体の双方において、計画、システム、プロセスの改善が必要である。
30. This report recognises the progress that has been made during the performance statements pilot and the likely benefits for the Parliament and the sector as the audit program matures. Nonetheless, the staged roll-out of performance statements auditing will be challenging for the public sector. The disciplines applied to ensure informative and accurate financial reporting, which have been developed over many decades, are largely absent from performance reporting. 30. 本報告書は、パフォーマンス報告書試行期間中の進捗と、監査プログラムの成熟に伴い、議会とセクターが受けるであろう利益を認識している。しかし、パフォーマンス報告書監査の段階的な展開は、公共部門にとって困難なものである。何十年にもわたって培われてきた、有益で正確な財務報告を確保するための規律は、パフォーマンス報告にはほとんど存在しない。
31. The ANAO will provide the Parliament with regular updates on the progress of the performance statements audit program. The Finance Minister has noted that a JCPAA inquiry to review the audit methods and outcomes each year during the roll-out of the performance statements pilot program would inform incremental improvements in the program and practice and inform the design of legislation going forward.5 31. ANAOは、パフォーマンス報告書監査プログラムの進捗状況について、国会に定期的に報告する予定である。財務大臣は、パフォーマンス報告書のパイロット・プログラムが展開されている間、毎年監査方法と結果を見直すJCPAAの調査が、プログラムと実務の段階的な改善につながり、今後の法律設計に情報を提供することになると指摘している5。
Footnote 脚注
1 The Department of Social Services, the Attorney-General’s Department and the Department of Veterans’ Affairs participated in the performance statements pilot. 1 社会福祉省、検事総長省、退役軍人省がパフォーマンス・ステートメント試行に参加した。
2 Joint Committee of Public Accounts and Audit, Report 469: Commonwealth Performance Framework – Inquiry Based on Auditor-General’s Reports 31 (2015–16), and 6 and 58 (2016–17), December 2017, p. 49. 2 公会計監査合同委員会、報告書 469。Commonwealth Performance Framework - Inquiry Based on Auditor-General's Report 31 (2015-16), and 6 and 58 (2016-17), December 2017, p.49.。
3 Joint Committee of Public Accounts and Audit, Report 491: Review of the Auditor-General Act 1997, March 2022, p. 25, [pdf] [accessed 7 April 2022]. 3 会計検査院合同委員会、報告書491:1997年監査総監法の見直し、2022年3月、25頁、[pdf]
[accessed 7 April 2022].
4 Department of Finance, Publications, Reports, available from [web]  [accessed 8 April 2022]. 4 財務省、出版物、報告書、[web] [accessed April 8 2022]から入手可能。
5 Australian National Audit Office, Performance Statements Audit Pilot Program: Correspondence from Senator the Hon Simon Birmingham [Internet], available from [pdf] [accessed 27 January 2022]. 5 オーストラリア国家監査院、パフォーマンス・ステートメント・オーディット・パイロット・プログラム。Crespondence from Senator the Hon Simon Birmingham [Internet], available from [pdf] [accessed January 27 2022].

 

1519856744202

| | Comments (0)

米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...

こんにちは、丸山満彦です。

個人情報保護委員会、経済産業省のグローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言についてブログに記録しましたが、米国 フィリピン シンガポール 台湾でも発表されていますね。。。他にはカナダ、韓国もこの枠組みに入ります。。。


U.S. Department of Commerce

・2022.04.21 Statement by Commerce Secretary Raimondo on Establishment of the Global Cross-Border Privacy Rules (CBPR) Forum

 

Statement by Commerce Secretary Raimondo on Establishment of the Global Cross-Border Privacy Rules (CBPR) Forum グローバル越境プライバシールール(CBPR)フォーラムの設立に関するライモンド商務長官の声明
Secretary Gina M. Raimondo has issued the following statement regarding the announcement today by Canada, Japan, the Republic of Korea, the Philippines, Singapore, Chinese Taipei, and the United States of America, on the establishment of the Global CBPR Forum: ジーナ・M・ライモンド長官は、本日、カナダ、日本、韓国、フィリピン、シンガポール、台湾、米国が、グローバルCBPRフォーラムの設立を発表したことについて、以下の声明を発表しました。
“The establishment of the Global CBPR Forum reflects the beginning of a new era of multilateral cooperation in promoting trusted global data flows that are critically important to our modern economy. The Global CBPR Forum intends to establish the Global Cross Border Privacy Rules (CBPR) and Privacy Recognition for Processors (PRP) Systems, first-of-their-kind data privacy certifications that help companies demonstrate compliance with internationally recognized data privacy standards. At the same time, the new Forum will facilitate trade and international data flows and promote global cooperation, building on our shared data privacy values while recognizing the differences in our domestic approaches to protecting data privacy. With this unique approach founded on creating practical compliance tools and based on cooperation, we can make the digital economy work for consumers and businesses of all sizes alike.” 「グローバルCBPRフォーラムの設立は、現代経済にとって極めて重要な、信頼できるグローバルなデータの流れを促進するための多国間協力の新時代の幕開けを反映するものです。グローバルCBPRフォーラムは、企業が国際的に認知されたデータプライバシー基準に準拠していることを証明するための初のデータプライバシー認証であるグローバル越境プライバシールール  (CBPR) とプロセッサーのためのプライバシー認識  (PRP) システムを設立する予定である。同時に、新フォーラムは貿易と国際的なデータの流れを促進し、データプライバシー保護に対する国内のアプローチの違いを認識しながら、共通のデータプライバシー価値を構築し、国際協力を推進します。実用的なコンプライアンスツールを作成し、協力に基づくこの独自のアプローチにより、我々は消費者とあらゆる規模の企業にとって同様にデジタル経済を機能させることができます。」
Global Cross-Border Privacy Rules Declaration グローバル越境プライバシールール宣言
・[PDF] Global Cross-Border Privacy Rules Declaration FAQ グローバル越境プライバシールール宣言FAQ

 

宣言自体はこちら。。。

Global Cross-Border Privacy Rules Declaration

仮訳は経済産業省のウェブページから...

[PDF] Global CBPR Declaration(仮訳)

FAQ

・[PDF]  Global Cross-Border Privacy Rules Declaration FAQ

FAQs   よくある質問  
How is the Global CBPR Forum related to the Asia-Pacific Economic Cooperation (APEC) CBPR and Privacy Recognition for Processors (PRP) Systems?  グローバルCBPRフォーラムは、アジア太平洋経済協力会議(APEC)のCBPRおよびプロセッサのためのプライバシー承認(PRP)制度とどのように関係しているのですか?
The Global CBPR Forum intends to establish an international certification system based on the APEC CBPR and PRP Systems, but the system will be independently administered and separate from the APEC Systems.  The founding members of the Global CBPR Forum will consult with Accountability Agents and certified companies in the APEC Systems to formally transition operations from APEC to the Global CBPR Forum and will provide at least 30 days’ notice to Accountability Agents.   グローバルCBPRフォーラムは、APEC CBPRおよびPRP制度に基づく国際認証制度を構築することを意図していますが、この制度はAPEC制度とは別に独立して運営される予定です。 グローバルCBPRフォーラムの設立メンバーは、APECからグローバルCBPRフォーラムに正式に事業を移行するために、アカウンタビリティ機関およびAPECシステムの認証企業と協議し、少なくとも30日前にアカウンタビリティ機関に通知する予定です。 
What if my business is currently certified or is interested in becoming certified in the APEC CBPR or the PRP Systems?   私のビジネスが現在APEC CBPRまたはPRPシステムで認証を受けている、あるいは認証取得に関心がある場合はどうすればよいですか? 
APEC CBPR and PRP certifications will continue to be provided through APEC-approved Accountability Agents until further notice.  The founding members of the Global CBPR Forum that are currently participants in the APEC CBPR System plan to transition operations of the CBPR and PRP Systems from APEC to the Global CBPR Forum and will provide at least 30 days’ notice to Accountability Agents.  All approved Accountability Agents and certified companies will automatically be recognized in the new Global CBPR Forum based on the same terms that they are recognized within the APEC CBPR and PRP Systems.  Please contact your Accountability Agent for more information on the transition to the Global CBPR Forum.   APEC CBPRやPRPの認証は、追って通知があるまで、APECが承認したアカウンタビリティ機関を通じて提供されつづけます。 現在 APEC CBPR システムに参加しているグローバル CBPR フォーラムの創設メンバーは、CBPR および PRP システムの運営を APEC からグローバル CBPR フォーラムに移行することを計画しており、少なくとも 30 日前に アカウンタビリティ機関に通知する予定です。 承認されたすべてのアカウンタビリティ・エージェントと認証企業は、APEC CBPRおよびPRPシステム内で認められているのと同じ条件に基づいて、新しいグローバルCBPRフォーラムで自動的に認められることになる。 グローバルCBPRフォーラムへの移行に関する詳細については、アカウンタビリティ機関に問い合わせください。
How can I participate in the Global CBPR Forum?  グローバルCBPRフォーラムに参加するにはどうしたらよいですか?
The Global CBPR Forum members welcome consultations with jurisdictions that accept the objectives and principles of the Global CBPR Forum to identify alignment with CBPR System requirements.    グローバルCBPRフォーラムのメンバーは、グローバルCBPRフォーラムの目的と原則を受け入れ、CBPRシステムの要件との整合性を確認するために、国・地域との協議を歓迎します。  

 

Fig_20220420035501

 


フィリピンのデータ保護機関

National Privacy Commission

・2022.04.21 Global Cross-Border Privacy Rules (CBPR) Declaration

 

シンガポール

Infocomm Media Development Authority: IMDA

・2021.04.21 Singapore Welcomes Establishment Of The Global Cross-Border Privacy Rules (CBPR) Forum

 

台湾

國家發展委員會

・2022.04.21 我國以創始會員身分加入新設立之「全球跨境隱私規則論壇」


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

 

| | Comments (0)

2022.04.22

個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

こんにちは、丸山満彦です。

個人情報保護委員会と経済産業省が、グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言をすることに合意しましたね。。。

英語の宣言書は、A4ではなく、レターサイズですね。。。

 

個人情報保護委員会

・2022.04.21 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言文の公表

・[PDF] グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言文の公表

20220422-61820

 

● 経済産業省

・2022.04.21 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言をすることに合意しました

 


1.CBPRの拡大

Cross Border Privacy Rules(越境プライバシールール。以下、「CBPR」という。)システムは、企業等の越境個人データの保護に関して、プライバシー原則への適合性を認証するシステムです。
これまでAPECの取り組みとしてCBPRを実施して参りましたが、安全性が確保された個人データの越境移転については、第三者機関による企業認証に対するニーズが増しており、APECの枠にとらわれない、独立した新フォーラム(仮称:Global CBPR)として立ち上げを宣言することに合意しました。

2.新しいフォーラムの展望

新しいフォーラムの参加エコノミーは、まずは、現在のCBPR参加エコノミーですが、今後APEC加盟国以外にも広く開かれたものにしていく予定です。
この新しいフォーラムは、効果的なデータプライバシーの保護、各国におけるデータ保護関連の規律の相互運用性の促進を目指しています。
我が国はデータの国際流通のための枠組み作りを目指して様々な取組をしておりますが、その具体化に向けては「企業認証」の効果的な活用が期待されるところ、今般のGlobal CBPRが、そのような企業認証の1つとして、欧州も含めた幅広い国や地域で実効あるツールとして利用されるものとなるよう、目指します。 
なお、新しいフォーラムの具体的な設計、移行のための手続等については後日決定していく予定です。


 

関連資料

・[PDF] Global CBPR Declaration

20220422-62306

 

・[PDF] Global CBPR Declaration(仮訳)

 

 

2022.04.24 追記

CBPR認証を行なっているJIPDECでも、公表していますね。。。

JIPDEC

グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言文公表について

 


2022.04.23 追記

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...

 

 

| | Comments (0)

米国 CISAがオーストラリアACSC、カナダCCCS、ニュージーランドNZ NCSC、英国NCSC-UKと協力して重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威についての警告を公表していますね。。。

こんにちは、丸山満彦です。

米国のCISA、オーストラリアのACSC、カナダのCCCS、ニュージーランドのNZ NCSC、英国のNCSC-UKが重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威についての警告を公表していますね。。。

CISA

・2022.04.20 Alert (AA22-110A) Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure

 

Alert (AA22-110A) Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure Alert (AA22-110A) 重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威
Summary 概要
Actions critical infrastructure organizations should implement to immediately protect against Russian state-sponsored and criminal cyber threats: 重要インフラ組織が、ロシアの国家支援および犯罪的なサイバー脅威から直ちに保護するために実施すべきアクション
• Patch all systems. Prioritize patching known exploited vulnerabilities. ・すべてのシステムにパッチを適用する。既知の脆弱性に対して優先的にパッチを適用する
• Enforce multifactor authentication. ・多要素認証を導入する
• Secure and monitor Remote Desktop Protocol and other risky services. ・リモートデスクトッププロトコルやその他の危険なサービスを保護・監視する
• Provide end-user awareness and training. ・エンドユーザーの意識向上とトレーニングを実施する
The cybersecurity authorities of the United States[1][2][3], Australia[4], Canada[5], New Zealand[6], and the United Kingdom[7][8] are releasing this joint Cybersecurity Advisory (CSA). The intent of this joint CSA is to warn organizations that Russia’s invasion of Ukraine could expose organizations both within and beyond the region to increased malicious cyber activity. This activity may occur as a response to the unprecedented economic costs imposed on Russia as well as materiel support provided by the United States and U.S. allies and partners. 米国[1][2][3]、オーストラリア[4]、カナダ[5]、ニュージーランド[6]、英国[7][8]のサイバーセキュリティ当局は、この共同サイバーセキュリティアドバイザリ(CSA)を発表します。本共同CSAの目的は、ロシアのウクライナ侵攻により、地域内外の組織が悪意のあるサイバー活動の増加にさらされる可能性があることを組織に警告することです。この活動は、ロシアに課された前例のない経済的コストと、米国および米国の同盟国やパートナーから提供された物資支援に対する反応として発生する可能性があります。
Evolving intelligence indicates that the Russian government is exploring options for potential cyberattacks (see the March 21, 2022, Statement by U.S. President Biden for more information). Recent Russian state-sponsored cyber operations have included distributed denial-of-service (DDoS) attacks, and older operations have included deployment of destructive malware against Ukrainian government and critical infrastructure organizations.  更新されてきている情報によると、ロシア政府が潜在的なサイバー攻撃のオプションを模索しているように見受けられます(詳細については、2022年3月21日のバイデン米国大統領による声明を参照)。最近のロシアの国家主導のサイバー作戦には、分散型サービス妨害(DDoS)攻撃などがあり、古い作戦では、ウクライナ政府や重要インフラ組織に対する破壊的なマルウェアの配備などがあります。
Additionally, some cybercrime groups have recently publicly pledged support for the Russian government. These Russian-aligned cybercrime groups have threatened to conduct cyber operations in retaliation for perceived cyber offensives against the Russian government or the Russian people. Some groups have also threatened to conduct cyber operations against countries and organizations providing materiel support to Ukraine. Other cybercrime groups have recently conducted disruptive attacks against Ukrainian websites, likely in support of the Russian military offensive. さらに、最近になって、ロシア政府への支援を公言するサイバー犯罪グループも出てきました。これらのロシアと連携するサイバー犯罪グループは、ロシア政府やロシア国民に対するサイバー攻撃と認識された場合、報復としてサイバー作戦を実施すると脅迫しています。また、ウクライナに物資を提供している国や組織に対してサイバー作戦を展開すると脅迫しているグループもあります。他のサイバー犯罪グループは、最近、ウクライナのウェブサイトに対して破壊的な攻撃を行いましたが、これはおそらくロシアの軍事攻撃を支援するためでしょう。
This advisory updates joint CSA Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure, which provides an overview of Russian state-sponsored cyber operations and commonly observed tactics, techniques, and procedures (TTPs). This CSA—coauthored by U.S., Australian, Canadian, New Zealand, and UK cyber authorities with contributions from industry members of the Joint Cyber Defense Collaborative (JCDC)—provides an overview of Russian state-sponsored advanced persistent threat (APT) groups, Russian-aligned cyber threat groups, and Russian-aligned cybercrime groups to help the cybersecurity community protect against possible cyber threats. この勧告は、米国の重要インフラに対するロシアの国家支援によるサイバー脅威を理解し軽減するための合同CSAを更新するもので、ロシアの国家支援によるサイバー作戦と一般的に観察される戦術、技術、手順(TTPs)の概要を説明しています。このCSAは、米国、オーストラリア、カナダ、ニュージーランド、英国のサイバー当局が、統合サイバー防御協働作戦 (JCDC) のメンバーの協力を得て作成したもので、ロシア国家が支援する高度持続的脅威(APT)グループ、ロシア系サイバー脅威グループ、ロシア系サイバー犯罪グループについての概要を提供し、サイバーセキュリティ・コミュニティの潜在的サイバー脅威からの保護に役立てていただくためのものです。
U.S., Australian, Canadian, New Zealand, and UK cybersecurity authorities urge critical infrastructure network defenders to prepare for and mitigate potential cyber threats—including destructive malware, ransomware, DDoS attacks, and cyber espionage—by hardening their cyber defenses and performing due diligence in identifying indicators of malicious activity. Refer to the Mitigations section of this advisory for recommended hardening actions. 米国、オーストラリア、カナダ、ニュージーランド、および英国のサイバーセキュリティ当局は、重要インフラストラクチャ・ネットワークの防御者に対して、破壊的なマルウェア、ランサムウェア、DDoS 攻撃、およびサイバースパイなどの潜在的サイバー脅威に備え、サイバー防御の強化や悪質な活動の指標の特定におけるデューディリジェンスを実施し、それらを軽減するよう促しています。推奨される強化策については、本アドバイザリーの「緩和策」のセクションを参照してください。
For more information on Russian state-sponsored cyber activity, see CISA’s Russia Cyber Threat Overview and Advisories webpage. For more information on the heightened cyber threat to critical infrastructure organizations, see the following resources: ロシアの国家的なサイバー活動に関する詳細については、CISAの「ロシアのサイバー脅威の概要と助言」のウェブページを参照してください。重要インフラストラクチャ組織に対するサイバー脅威の高まりに関する詳細については、以下のリソースを参照してください。
・Cybersecurity and Infrastructure Security Agency (CISA) Shields Up and Shields Up Technical Guidance  webpages  ・サイバーセキュリティ・インフラセキュリティ庁 (CISA) : Shields Up および Shields Up Technical Guidance のウェブページ
・Australian Cyber Security Centre’s (ACSC) Advisory Australian Organisations Should Urgently Adopt an Enhanced Cyber Security Posture ・オーストラリアン・サイバー・セキュリティ・センター(ACSC):助言:オーストラリアの組織は、早急にサイバーセキュリティの強化態勢を採用すべきである。
・Canadian Centre for Cyber Security (CCCS) Cyber Threat Bulletin Cyber Centre urges Canadian critical infrastructure operators to raise awareness and take mitigations against known Russian-backed cyber threat activity ・カナダ・サイバーセキュリティ・センター (CCCS): サイバー脅威速報:サイバーセンターは、カナダの重要インフラ事業者に対し、ロシアを後ろ盾とする既知のサイバー脅威活動に対する認識を高め、緩和策を講じるよう要請する。
・National Cyber Security Centre New Zealand (NZ NCSC) General Security Advisory Understanding and preparing for cyber threats relating to tensions between Russia and Ukraine ・ニュージーランド国家サイバーセキュリティセンター(NZ NCSC):一般的セキュリティ助言:ロシアとウクライナの緊張に関連するサイバー脅威の理解と準備
・United Kingdom’s National Cyber Security Centre (NCSC-UK) guidance on how to bolster cyber defences in light of the Russian cyber threat ・英国国家サイバーセキュリティセンター(NCSC-UK):ロシアのサイバー脅威を考慮したサイバー防衛の強化に関するガイダンス
REFERENCES 参照
[1] Cybersecurity and Infrastructure Security Agency [1] サイバーセキュリティ・インフラセキュリティ庁
[2] Federal Bureau of Investigation [2] 連邦捜査局(FBI)
[3] National Security Agency [3] 国家安全保障局
[4] Australian Cyber Security Centre [4] オーストラリア・サイバーセキュリティ・センター
[5] Canadian Centre for Cyber Security [5] カナダ・サイバーセキュリティセンター
[6] New Zealand's National Cyber Security Centre [6] ニュージーランド国家サイバーセキュリティセンター
[7] United Kingdom's National Cyber Security Centre [7] 英国国家サイバーセキュリティセンター
[8] United Kingdom's National Crime Agency [8] イギリス国家犯罪捜査局

 

Cisa_20220317203401


 

Australian Cyber Security Centre: ACSC

・2022.02.22 2022-02: Australian organisations should urgently adopt an enhanced cyber security posture

Fig2_20220422060701

 

 

Canadian Centre for Cyber Security: CCCS

Cyber threat bulletin: Cyber Centre urges Canadian critical infrastructure operators to raise awareness and take mitigations against known Russian-backed cyber threat activity

Canada

 

 

● New Zealand's National Cyber Security Centre: NZ NCSC

・2022.02.18 General Security Advisory: Understanding and preparing for cyber threats relating to tensions between Russia and Ukraine

Fig3

 

 

● United Kingdom's National Cyber Security Centre: NCSC-UK

・2022.03.18 NCSC advises organisations to act following Russia’s attack on Ukraine

 

Fig1_20220422061001



 

| | Comments (0)

米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています

こんにちは、丸山満彦です。

CISAが北朝鮮の国家支援型APTがブロックチェーン企業を狙っていると発表していますが、日本にも攻撃は来ているんでしょうね。。。

CISA

・2022.04.18 Alert (AA22-108A) TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies

Alert (AA22-108A) TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies アラート(AA22-108A)TraderTraitor:北朝鮮の国家支援型APTがブロックチェーン企業を狙っています
Summary 概要
Actions to take today to mitigate cyber threats to cryptocurrency: 暗号通貨に対するサイバー脅威を軽減するために、今日取るべき行動。
• Patch all systems. ・すべてのシステムにパッチを適用する。
• Prioritize patching known exploited vulnerabilities. ・既知の脆弱性に対して優先的にパッチを適用する。
• Train users to recognize and report phishing attempts. ・フィッシング詐欺を認識し,報告するようユーザを教育する。
• Use multifactor authentication. ・多要素認証の使用
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the U.S. Treasury Department (Treasury) are issuing this joint Cybersecurity Advisory (CSA) to highlight the cyber threat associated with cryptocurrency thefts and tactics used by a North Korean state-sponsored advanced persistent threat (APT) group since at least 2020. This group is commonly tracked by the cybersecurity industry as Lazarus Group, APT38, BlueNoroff, and Stardust Chollima. For more information on North Korean state-sponsored malicious cyber activity, visit https://www.us-cert.cisa.gov/northkorea. 米連邦捜査局(FBI)、サイバーセキュリティおよびインフラセキュリティ局(CISA)、米財務省は、暗号通貨の盗難に関連するサイバー脅威を強調し、少なくとも2020年以降、北朝鮮の国家支援による高度持続的脅威(APT)グループが使用している手口を紹介するために、この共同サイバーセキュリティ勧告(CSA)を発行しました。このグループは、Lazarus Group、APT38、BlueNoroff、Stardust Chollimaとしてサイバーセキュリティ業界では一般的に追跡されています。北朝鮮の国家が支援する悪質なサイバー活動の詳細については、(web)。
The U.S. government has observed North Korean cyber actors targeting a variety of organizations in the blockchain technology and cryptocurrency industry, including cryptocurrency exchanges, decentralized finance (DeFi) protocols, play-to-earn cryptocurrency video games, cryptocurrency trading companies, venture capital funds investing in cryptocurrency, and individual holders of large amounts of cryptocurrency or valuable non-fungible tokens (NFTs). The activity described in this advisory involves social engineering of victims using a variety of communication platforms to encourage individuals to download trojanized cryptocurrency applications on Windows or macOS operating systems. The cyber actors then use the applications to gain access to the victim’s computer, propagate malware across the victim’s network environment, and steal private keys or exploit other security gaps. These activities enable additional follow-on activities that initiate fraudulent blockchain transactions. 米国政府は、北朝鮮のサイバー行為者が、暗号通貨取引所、分散型金融(DeFi)プロトコル、プレイ・トゥ・アーンの暗号通貨ビデオゲーム、暗号通貨取引会社、暗号通貨に投資するベンチャーキャピタルファンド、大量の暗号通貨または貴重な非化石トークン(NFT)の個人保有者などブロックチェーン技術および暗号通貨業界のさまざまな組織を標的にしていることを確認しています。この勧告で説明されている活動は、さまざまな通信プラットフォームを使用して被害者をソーシャルエンジニアリングし、WindowsまたはmacOSオペレーティングシステム上でトロイの木馬化した暗号通貨アプリケーションをダウンロードするよう個人に勧めるものです。サイバーアクターは、このアプリケーションを使用して被害者のコンピュータにアクセスし、被害者のネットワーク環境全体にマルウェアを伝播させ、秘密鍵を盗んだり、その他のセキュリティギャップを悪用したりするのです。これらの活動により、不正なブロックチェーン取引を開始する追加のフォローアップ活動が可能になります。
The U.S. government previously published an advisory about North Korean state-sponsored cyber actors using AppleJeus malware to steal cryptocurrency: AppleJeus: Analysis of North Korea’s Cryptocurrency Malware. The U.S. government has also previously published advisories about North Korean state-sponsored cyber actors stealing money from banks using custom malware: 米国政府は以前、北朝鮮の国家に支援されたサイバーアクターがAppleJeusマルウェアを使用して暗号通貨を盗むことに関する勧告を発表しています。 AppleJeus。北朝鮮の暗号通貨マルウェアの分析。米国政府は、北朝鮮の国家に支援されたサイバーアクターがカスタムマルウェアを使用して銀行から資金を盗むことについても、過去に勧告を発表しています。
HIDDEN COBRA – FASTCash Campaign ・HIDDEN COBRA - FASTCashキャンペーン
FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks ・FASTCash 2.0:銀行を襲う北朝鮮のBeagleBoyz
This advisory provides information on tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to stakeholders in the blockchain technology and cryptocurrency industry to help them identify and mitigate cyber threats against cryptocurrency.  本アドバイザリーは、ブロックチェーン技術および暗号通貨業界の関係者が暗号通貨に対するサイバー脅威を特定し緩和するために、戦術、技術、手順(TTPs)および侵害指標(IOCs)に関する情報を提供するものです。 

 

Cisa_20220317203401

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.16 FBI 3月に発生した6億2000万ドルのイーサリアムが盗まれた事件は北朝鮮に関連するLazarus GroupとAPT38が犯人であることを確認した

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2022.03.20 米国 ハーバード・ベルファ科学国際問題センター 「サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり」

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2021.12.20 公安調査庁 内外情勢の回顧と展望(令和4年版)

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高める

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.08.28 北朝鮮によるサイバー銀行強盗についての警告(BeagleBoyz Robbing Banks)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2020.07.09 HIDDEN COBRA(北朝鮮?)が米国や欧州のオンラインストアに侵入しクレジットカード番号を取得している?

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

・2020.04.16 US-CERT 北朝鮮のサイバー脅威に関するガイダンス

 

 

| | Comments (0)

2022.04.21

NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

こんにちは、丸山満彦です。

昨年の10月にドラフトが公表され、意見募集されていたNISTIR 8320Bが最終化されましたね。。。

NIST - ITL

・2022.04.20 NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms

NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, cyber attacks are industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the foundation for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a prototype implementation of the approach intended to be a blueprint or template for the general security community. 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、階層化されたセキュリティアプローチの基礎となるものであり、上位層のセキュリティ管理を信頼できるものにするための初期保護を提供します。本レポートでは、マルチテナント型のクラウド環境におけるコンテナのデプロイメントを保護するための、ハードウェアを利用したセキュリティ技術とテクノロジーに基づくアプローチについて説明しています。また、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的とした、このアプローチのプロトタイプの実装についても説明しています。

 

・[PDF] NISTIR 8320B

20220421-102232

 

目次レベルのドラフトと同じですね。。。

 

1 Introduction  1 はじめに 
1.1 Purpose and Scope  1.1 目的と範囲 
1.2 Terminology  1.2 用語集 
1.3 Document Structure 1.3 ドキュメントの構造
2 Prototype Implementation 2 プロトタイプの実装
2.1 Objective 2.1 目的
2.2 Goals  2.2 目標 
2.2.1 Stage 0: Platform attestation and measured worker node launch  2.2.1 ステージ0:プラットフォームの証明とワーカーノードの起動測定 
2.2.2 Stage 1: Trusted placement of workloads  2.2.2 ステージ1:ワークロードの信頼できる配置 
2.2.3 Stage 2: Asset tagging and trusted location  2.2.3 ステージ2:資産のタグ付けと信頼できるロケーション 
2.2.4 Stage 3: Trust-based workload encryption  2.2.4 ステージ3:信頼に基づくワークロードの暗号化 
2.2.5 Stage 4: Trust-based workload access to information 2.2.5 ステージ 4:信頼できるワークロードの情報へのアクセス
2.3 Additional Resources 2.3 追加リソース
3 Prototyping Stage 0  3 プロトタイピング・ステージ0 
4 Prototyping Stage 1  4 プロトタイピングステージ1 
5 Prototyping Stage 2  5 プロトタイピングステージ 2 
6 Prototyping Stage 3  6 プロトタイピングステージ3 
6.1 Solution Overview 6.1 ソリューションの概要
6.2 Solution Architecture 6.2 ソリューションのアーキテクチャ
7 Prototyping Stage 4  7 プロトタイピングステージ4 
7.1 Solution Overview 7.1 ソリューションの概要
7.2 Solution Architecture 7.2 ソリューション・アーキテクチャー
References 参考文献
Appendix A— Hardware Root of Trust Implementation 附属書A-ハードウェアRoot of Trustの実装
A.1 High-Level Implementation Architecture  A.1 ハイレベルな実装アーキテクチャ 
A.2 Hardware Root of Trust: Intel TXT and Trusted Platform Module (TPM)  A.2 信頼のおけるハードウェア。Intel TXTおよびTPM(Trusted Platform Module)
A.3 Attestation: Intel Security Libraries (ISecL) A.3 証明 インテル・セキュリティ・ライブラリー (ISecL)
Appendix B— Workload Orchestration Implementation: OpenShift  附属書B-ワークロードオーケストレーションの実装:OpenShift 
B.1 Prototype Architecture  B.1 プロトタイプアーキテクチャ 
B.2 OpenShift Installation and Configuration B.2 OpenShiftのインストールと構成
B.2.1 VMware-Based Management Cluster (Cluster A) B.2.1 VMwareベースの管理クラスタ(クラスタA)
B.2.2 KVM-Based Managed Cluster (Cluster B) B.2.2 KVMベースの管理クラスタ(クラスタB)
B.2.3 Installing MCM Pak 1.3 (MCM HUB - VMware) B.2.3 MCM Pak 1.3 (MCM HUB - VMware)のインストール
Appendix C— Workload Encryption Implementation  附属書C-ワークロード暗号化の実装 
C.1 Prototype Architecture  C.1 プロトタイプアーキテクチャ 
C.2 Workload Encryption Configuration C.2 ワークロードエンクリプションの構成
Appendix D— Trusted Service Identity (TSI)  附属書D- 信頼されたサービスアイデンティティ (TSI)
D.1 TSI Overview  D.1 TSI の概要 
D.2 TSI Installation and Configuration D.2 TSI のインストールと構成
Appendix E— Supporting NIST SP 800-53 Security Controls and Publications 附属書E-NIST SP 800-53セキュリティコントロールと出版物のサポート
Appendix F— Cybersecurity Framework Subcategory Mappings 附属書F-サイバーセキュリティフレームワークのサブカテゴリーのマッピング
Appendix G— Acronyms and Other Abbreviations  附属書G-頭字語およびその他の略語 
List of Tables 表の一覧
Table 1: VMs Instantiated on the VMware-Based Management Cluster  表1:VMwareベースの管理クラスタ上にインスタンス化されたVM 
Table 2: VMs Instantiated on the KVM-Based Managed Cluster  表2: KVMベースの管理クラスタ上にインスタンス化されたVM 
Table 3: Security Capabilities Provided by the Prototype 表3: プロトタイプが提供するセキュリティ機能
Table 4: Mapping of Security Capabilities to NIST SP 800-53 Controls 表4:NIST SP 800-53コントロールへのセキュリティ機能のマッピング
List of Figures 図の一覧
Figure 1: Concept of Trusted Pools 図1:トラステッドプールの概念
Figure 2: Stage 1 Solution Overview 図2:ステージ1のソリューション概要
Figure 3: Stage 3 Solution Architecture 図3:ステージ3のソリューション・アーキテクチャ
Figure 4: Stage 4 Solution Architecture 図4:ステージ4のソリューション・アーキテクチャ
Figure 5: Prototype Implementation Architecture  図5:プロトタイプの実装アーキテクチャ 
Figure 6: Remote Attestation Protocol 図6:リモート証明プロトコル
Figure 7: Prototype Architecture 図7: プロトタイプのアーキテクチャ
Figure 8: MCM Console to Import a Cluster 図8:クラスタをインポートするMCMコンソール
Figure 9: Managed Cluster Policies 図9:マネージドクラスターポリシー
Figure 10: Creating Pipeline for Image Decryption 図10:画像復号のためのパイプラインの作成
Figure 11: Sample JWT Created by TSI 図11:TSI が作成した JWT のサンプル

 

2022.04.21現在の状況...

NISTIR 8320 Hardware-Enabled Security:
Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)
ハードウェア対応セキュリティ:
クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案)
Draft 2021.10.27
NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype
ハードウェア対応セキュリティ:
コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Final 2021.06.17
NISTIR 8320B Hardware-Enabled Security:
Policy-Based Governance in Trusted Container Platforms
ハードウェア対応セキュリティ:
信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Final 2022.04.20
NISTIR 8320C Hardware-Enabled Security:
Machine Identity Management and Protection
ハードウェア対応セキュリティ:
マシン・アイデンティティの管理と保護
Draft 2022.04.20

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

| | Comments (0)

NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

こんにちは、丸山満彦です。

NISTが、NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.04.20 NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection

NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
Announcement 発表
The initial public draft of NIST IR 8320C presents an approach for overcoming security challenges associated with creating, managing, and protecting machine identities, such as cryptographic keys, throughout their lifecycle.  NIST IR 8320Cの最初の公開草案は、暗号鍵などのマシンIDを作成、管理、保護し、そのライフサイクルを通じてセキュリティ上の課題を克服するためのアプローチを提示するものです。 
Abstract 概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもあります。暗号鍵のようなマシンIDは、各マシンに適用するポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができます。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされています。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介します。また、これらの課題に対処するための概念実証の実装(プロトタイプ)について説明しています。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図しています。

 

 

・[PDF] NISTIR 8320C (Draft)

20220421-102402

 

目次...

1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Terminology 1.2 専門用語
1.3 Document Structure 1.3 文書の構成
2 Challenges with Protecting Machine Identities 2 マシン・アイデンティティの保護に関する課題
3 Stage 0: Enterprise Machine Identity Management 3 ステージ 0:エンタープライズマシンアイデンティティ管理
3.1 Solution Overview 3.1 ソリューション概要
3.2 Solution Architecture 3.2 ソリューション・アーキテクチャ
4 Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing 4 ステージ 1: ハードウェアベースの機密コンピューティングによる秘密鍵のインユースプロテクション
4.1 Solution Overview 4.1 ソリューション概要
4.2 Solution Architecture 4.2 ソリューション・アーキテクチャ
5 Stage 2: Machine Identity Management and End-to-End Protection 5 ステージ 2:マシンID管理とエンドツーエンドの保護
5.1 Solution Overview 5.1 ソリューション概要
5.2 Solution Architecture 5.2 ソリューションアーキテクチャ
List of Appendices 附属書一覧
Appendix A— Hardware Architecture 附属書A ハードウェアアーキテクチャ
Appendix B— Venafi Machine Identity Management Implementation 附属書B Venafi マシン・アイデンティティ・マネジメントの実装
Appendix C— Intel In-Use Secret Key Protection Implementation 附属書C インテル インユース秘密鍵保護の実装
Appendix D— Machine Identity Runtime Protection and Confidential Computing Integration 附属書D マシンアイデンティティランタイム保護とコンフィデンシャルコンピューティングの統合
D.1 Solution Overview D.1 ソリューション概要
D.2 Solution Architecture D.2 ソリューション・アーキテクチャ
D.3 Installation and Configuration D.3 インストールと構成
Appendix E— Acronyms and Other Abbreviations 附属書E 頭字語およびその他の略語
List of Figures 図表
Figure 1 - Stage 0 Implementation: Typical Enterprise-Grade Machine Identity Management 図 1 - ステージ 0 の実装。典型的なエンタープライズグレードのマシンID管理
Figure 2 - Private Key Protection Flows 図 2 - 秘密鍵の保護フロー
Figure 3 - High-Level Prototype Architecture 図 3 - ハイレベルプロトタイプアーキテクチャ
Figure 4 - Prototype Architecture 図 4 - プロトタイプ・アーキテクチャ
Figure 5 - Intel SGX Enclave 図 5 - Intel SGXエンクレーブ
Figure 6 - BIOS Enable SGX 図 6 - BIOSによるSGXの有効化
Figure 7 - Machine Identity Secret Key Protection by Intel SGX at Runtime 図 7 - ランタイムでのインテル® SGX によるマシン・アイデンティティの秘密鍵保護
Figure 8 - End-to-End Machine Identity Lifecycle Management Platform 図 8 - エンド・ツー・エンドのマシン・アイデンティティ・ライフサイクル管理プラットフォーム
Figure 9 - High-Level View of the Trust Protection Platform and SKC Integration 図 9 - トラスト・プロテクション・プラットフォームとSKC統合のハイレベルビュー
Figure 10 - Communication Flows between SKC, Trust Protection Platform, and CA 図 10 - SKC、Trust Protection Platform、およびCA間の通信フロー
Figure 11 - Create Venafi Adaptable Workflow Object 図 11 - Venafi Adaptable Workflow オブジェクトの作成
List of Tables
Table 1 - Trust Protection Platform VM Requirements 表 1 - Trust Protection Platform VM の要件

 

2022.04.21現在の状況...

NISTIR 8320 Hardware-Enabled Security:
Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)
ハードウェア対応セキュリティ:
クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案)
Draft 2021.10.27
NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype
ハードウェア対応セキュリティ:
コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Final 2021.06.17
NISTIR 8320B Hardware-Enabled Security:
Policy-Based Governance in Trusted Container Platforms
ハードウェア対応セキュリティ:
信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Final 2022.04.20
NISTIR 8320C Hardware-Enabled Security:
Machine Identity Management and Protection
ハードウェア対応セキュリティ:
マシン・アイデンティティの管理と保護
Draft 2022.04.20

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

| | Comments (0)

NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

こんにちは、丸山満彦です。

昨年の10月にドラフトが公表され、意見募集されていたNIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイドが最終化されましたね。。。

NIST - ITL

・2022.04.20 SP 1800-19 Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments

Abstract 概要
A cloud workload is an abstraction of the actual instance of a functional application that is virtualized or containerized to include compute, storage, and network resources. Organizations need to be able to monitor, track, apply, and enforce their security and privacy policies on their cloud workloads, based on business requirements, in a consistent, repeatable, and automated way. The goal of this project is to develop a trusted cloud solution that will demonstrate how trusted compute pools leveraging hardware roots of trust can provide the necessary security capabilities. These capabilities not only provide assurance that cloud workloads are running on trusted hardware and in a trusted geolocation or logical boundary, but also improve the protections for the data in the workloads and in the data flows between workloads. The example solution leverages modern commercial off-the-shelf technology and cloud services to address lifting and shifting a typical multi-tier application between an organization-controlled private cloud and a hybrid/public cloud over the internet. クラウドワークロードとは、機能的なアプリケーションの実際のインスタンスを抽象化したもので、コンピュート、ストレージ、ネットワークのリソースを含むように仮想化またはコンテナ化されています。企業は、ビジネス要件に基づいて、一貫性があり、反復可能で自動化された方法で、クラウド・ワークロードに対するセキュリティおよびプライバシー・ポリシーを監視、追跡、適用、実施できる必要があります。このプロジェクトの目的は、トラステッドクラウドソリューションを開発し、ハードウェアの信頼性を活用したトラステッドコンピュートプールが必要なセキュリティ機能を提供できることを実証することです。これらの機能は、クラウドのワークロードが信頼できるハードウェア上で、信頼できる地理的位置や論理的境界で実行されていることを保証するだけでなく、ワークロード内のデータやワークロード間のデータフローの保護を向上させます。このソリューション例では、最新の商用技術とクラウドサービスを活用して、組織が管理するプライベートクラウドと、インターネットを介したハイブリッド/パブリッククラウドの間で、典型的な多層アプリケーションのリフティングと移行を行っています。

 

・[PDF] SP 1800-19

20220421-141845

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

| | Comments (0)

NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

NISTが、NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用のドラフトを公表し、意見募集をしていますね。。。

宇宙政策指令5(SPD-5)の目標に対応するものですね。。。

今回の報告書の対象範囲は、地上セグメントです。。。

Fig1_20220421045401

Figure 1 - Satellite Ground Segment Components of Commercial Space Operations

 

Fig2_20220421045501

Figure 2 - Components In and Out of Scope for the Profile

 

 

● NIST - ITL

・2022.04.18 NISTIR 8401 (Draft) Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control

NISTIR 8401 (Draft) Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用
Announcement アナウンスメント
NIST recognizes the importance of the infrastructure that provides positioning, timing, and navigation (PNT) information to the scientific knowledge, economy, and security of the Nation. This infrastructure consists of three parts: the space segment, the ground segment, and the users of PNT. NIST now requests comments on a draft of a profile for the ground segment. NIST は、国家の科学的知識、経済、および安全保障にとって、位置、時刻、および航法(PNT)情報を提供するインフラの重要性を認識しています。このインフラは、宇宙セグメント、地上セグメント、およびPNTの利用者の3つの部分から構成されています。NISTは現在、地上セグメントのプロファイルのドラフトに対するコメントを求めています。
NIST IR 8401, Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control, applies the NIST CSF to the ground segment of space operations. The document defines the ground segment, outlines its responsibilities, and presents a mapping to relevant information references. The Profile defined in this report provides a flexible framework for managing risk and addresses the goals of Space Policy Directive 5 (SPD-5) for securing space. 「NIST IR 8401, 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用」は、NIST CSFを宇宙事業の地上セグメントに適用しています。本報告書では、地上セグメントを定義し、その責任を概説し、関連する情報参照へのマッピングを提示していています。本報告書で定義されたプロファイルは、リスク管理のための柔軟なフレームワークを提供し、宇宙の安全を確保するための宇宙政策指令5(SPD-5)の目標に対応するものです。
Abstract 概要
Space operations are increasingly important to the national and economic security of the United States. Commercial space’s contribution to the critical infrastructure is growing in both volume and diversity of services, as illustrated by the increased use of commercial communications satellite (COMSAT) bandwidth, the purchase of commercial imagery, and the hosting of government payloads on commercial satellites. The U.S. Government recognizes and supports space resilience through numerous space policies, executive orders, and the National Cyber Strategy. The space cyber-ecosystem is an inherently risky, high-cost, and often inaccessible environment consisting of distinct yet interdependent segments. This report applies the NIST Cybersecurity Framework to the ground segment of space operations with an emphasis on the command and control of satellite buses and payloads. 宇宙活動は、米国の国家及び経済の安全保障にとってますます重要となっています。商業通信衛星(COMSAT)帯域幅の利用の増加、商業画像の購入、商業衛星での政府ペイロードのホスティングに示されるように、重要なインフラへの商業宇宙の貢献は、サービスの量と多様性の両方において増大しています。米国政府は、多くの宇宙政策、大統領令、国家サイバー戦略を通じて、宇宙の回復力を認識し、支援しています。宇宙サイバーエコシステムは、本質的にリスクが高く、高コストで、しばしばアクセス不能な環境であり、異なるが相互依存のセグメントで構成されています。本報告書は、NISTサイバーセキュリティフレームワークを、衛星バスとペイロードの指揮・統制に重点を置いて、宇宙事業の地上部門に適用したものです。

 

・[PDF] NISTIR 8401 (Draft)

20220421-50257

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Objectives 1.1 目的と目標
1.2 Scope 1.2 対象範囲
1.3 Audience 1.3 想定読者
2 Intended Use 2 使用目的
3 Overview 3 概要
3.1 Risk Management Overview 3.1 リスクマネジメントの概要
3.2 Cybersecurity Framework Overview 3.2 サイバーセキュリティフレームワークの概要
4 Baseline Profile 4 ベースラインプロファイル
4.1 Identify Function 4.1 識別機能
4.2 Protect Function 4.2 防御機能
4.3 Detect Function 4.3 検知機能
4.4 Respond Function 4.4 対応機能
4.5 Recover Function 4.5 復旧機能
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms and Abbreviations 附属書A 頭字語および略語
Appendix B— Glossary 附属書B 用語集
Appendix C— Additional Resources 附属書C その他のリソース

 


 

Office of Space Commerce

Cybersecurity 

・2020.09.04 President Signs Space Cybersecurity Policy Directive

・2020.09.04 Memorandum on Space Policy Directive-5—Cybersecurity Principles for Space Systems

 


まるちゃんの情報セキュリティ気まぐれ日記

衛星関係

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

PNT

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

 

| | Comments (0)

総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

こんにちは、丸山満彦です。

総務省 経済産業省 警察庁、内閣官房、JPCERT/CCが事務局となって「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催するようですね。。。

どんな情報(What)を、どのタイミング(When)で、どんな主体(Whom)と共有するのか、、、というのが議論のポイントになるのでしょうかね。。。

その際に、「技術情報」と「コンテクスト情報」を分離して共有することにし、早期の技術情報(対策状況、脆弱性、マルウェア、通信先等)の共有が可能になり、当事者の全容解明が早まり、当時に他社への注意喚起、同様の被害を受けた他社の解決の早期化にも資するということなのでしょうかね。。。

米国が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)を成立させ、重要インフラ企業はサイバーインシデントがあれば、72時間以内にCISAに報告をすることになり、CISAが報告のための[PDF] ファクトシートを公開していますが、これとは少し違う目的のようにも思いますが、参考にできるところは参考にして、あるいはこちらの検討結果をCISAに共有する等をし、国際的な共有の枠組みを推進できると素敵ですよね。。。

 

20220421-33502

総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P2

 

20220421-34601

総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P4

 

● 総務省

・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について


サイバー攻撃被害を受けた民間主体やその受託者等(以下「サイバー攻撃被害組織等」という。)が、その被害に係る情報をサイバーセキュリティ関係組織等と共有することは、発生したサイバー攻撃の全容を解明し、更なる対策の強化を可能とせしめるものであり、サイバー攻撃被害組織等自身にとっても、社会全体にとっても非常に有益です。しかし、現状、サイバー攻撃被害組織等の現場にとって、自組織のレピュテーションに影響しかねない情報共有には慎重であるケースも多く、被害に係る情報のうち、どのような情報を、どのタイミングで、どのような主体と共有すればよいかの検討にあたり、実務上の参考とすべきものがないため、適切に判断することが難しいとの声も聞かれます。

 そこで、サイバー攻撃被害に係る情報を取り扱う様々な担当者の判断に資することを目的として、サイバー攻撃被害組織等の立場にも配慮しつつ、技術情報等組織特定に至らない情報の整理を含めた、サイバー攻撃被害に係る情報の共有・公表ガイダンスを策定すべく、官民の多様な主体が連携する協議体である「サイバーセキュリティ協議会」の運営委員会の下に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催することとしました。


・[PDF] 別紙1 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について(サイバーセキュリティ協議会運営委員会決定)

・[PDF] 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料)

 

● 経済産業省

・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会を開催します

・[PDF] 【別紙1】サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

・[PDF] 【別紙2】「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(概要)

 

● 警察庁 - サイバーポリスエージェンシー

・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

 

● 内閣官房 - サイバーセキュリティセンター

・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

 


2.22.04.23 追記

事務局を務めることになるJPCERT/CC のブログ

● JPCERT/CC - blogs

・2022.04.21 サイバー攻撃被害情報の共有と公表のあり方について



 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

 

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

金融

・2021.11.23 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

企業情報開示での開示の話。。。

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

米国のサイバー戦略におけるリスク対応の源流...

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

| | Comments (0)

2022.04.20

AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

こんにちは、丸山満彦です。

ISO/IECがISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizationsを公表していますね。。。

 

ISO

ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations ISO/IEC 38507:2022 情報技術 - ITガバナンス - 組織による人工知能の使用に関するガバナンスの影響
ABSTRACT PREVIEW 要約プレビュー
This document provides guidance for members of the governing body of an organization to enable and govern the use of Artificial Intelligence (AI), in order to ensure its effective, efficient and acceptable use within the organization. 本文書は、人工知能(AI)の使用を可能にし、管理するために、組織の管理機関のメンバーに対して、組織内での効果的、効率的及び許容可能な使用を確保するための指針を提供する。
This document also provides guidance to a wider community, including: また、本文書は、以下を含むより広いコミュニティに対する指針も提供する。
—    executive managers; ・経営管理者
—    external businesses or technical specialists, such as legal or accounting specialists, retail or industrial associations, or professional bodies; ・法律や会計の専門家、小売業や業界団体、専門団体など、外部の企業や技術専門家
—    public authorities and policymakers; ・公的機関および政策立案者
—    internal and external service providers (including consultants); ・内部および外部のサービスプロバイダー(コンサルタントを含む)
—    assessors and auditors. ・評価者、監査人
This document is applicable to the governance of current and future uses of AI as well as the implications of such use for the organization itself. 本文書は、現在及び将来の AI 利用のガバナンス、並びにその利用が組織自体に及ぼす影響に適用される。
This document is applicable to any organization, including public and private companies, government entities and not-for-profit organizations. This document is applicable to an organization of any size irrespective of their dependence on data or information technologies 本文書は、公的及び私的な企業、政府機関及び非営利団体を含む、あらゆる組織に適用される。本文書は、データや情報技術への依存度にかかわらず、あらゆる規模の組織に適用される。

 

2224pxiso_logo_red_squaresvg


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.02.15 経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

・2020.05.22 「倫理的な人工知能にとって、セキュリティは非常に重要」と言う意見

・2020.05.04 米国国防省と人工知能(戦略と倫理)

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

Continue reading "AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations"

| | Comments (0)

米国 商務省 国家AI諮問委員会に27名を任命

こんにちは、丸山満彦です。

米国商務省が所管する国家AI諮問委員会 (National AI Advisory Committee) のメンバーに27名を指名していますね。。。

企業から13名、団体から7名、大学から7名です。。。企業も大企業が7社、ベンチャー的な企業が6社。議長はベンチャー、副議長は大企業、、、

委員を所属の属性に応じて並び替えてみました。。。 

氏名 所属
1 Miriam Vogel (Chair)  EqualAI, Inc.
2 James Manyika (Vice Chair) Google
6 Sayan Chakraborty Workday, Inc.
7 Jack Clark Anthropic
10 Paula Goldman Salesforce
11 Susan Gonzales AIandYou
17 Ashley Llorens Microsoft
18 Haniyeh Mahmoudian DataRobot, Inc.
19 Christina Montgomery IBM Corporation
20 Liz O’Sullivan Parity
25 Swami Sivasubramanian Amazon Web Services
26 Keith Strier NVIDIA, Inc.
27 Reggie Townsend SAS Institute
3 Zoë Baird Markle Foundation
4 Yll Bajraktari Special Competitive Studies Project
5 Amanda Ballantyne Technology Institute at AFL-CIO
9 Victoria Espinel BSA: The Software Alliance
12 Janet Haven Data & Society Research Institute
23 Trooper Sanders Benefits Data Trust
24 Navrina Singh Credo AI
8 David Danks University of California, San Diego
13 Daniel E. Ho Stanford University
14 Ayanna Howard The Ohio State University
15 Jon Kleinberg Cornell University
16 Ramayya Krishnan Carnegie Mellon University
21 Frederick L. Oswald Rice University
22 Frank Pasquale Brooklyn Law School

 

U.S. Department of Commerce

・2022.04.14 U.S. Department of Commerce Appoints 27 Members to National AI Advisory Committee

U.S. Department of Commerce Appoints 27 Members to National AI Advisory Committee 米国商務省、国家AI諮問委員会の委員27名を任命
Appointments are the first for the recently established committee, which will advise the President 大統領の諮問機関として設立間もない委員会にとって今回の人事は最初のものです
Today, the U.S. Department of Commerce announced the appointment of 27 experts to the National Artificial Intelligence Advisory Committee (NAIAC), which will advise the President and the National AI Initiative Office on a range of issues related to artificial intelligence (AI).  本日、米国商務省は、人工知能(AI)に関するさまざまな問題について大統領と国家AI構想室に助言する国家AI諮問委員会(NAIAC)に、27人の専門家を任命したことを発表しました。 
The appointments are the first for the recently established committee, created in response to the National AI Initiative Act of 2020. The initiative directs the NAIAC to provide recommendations on topics including the current state of U.S. AI competitiveness, the state of science around AI, and AI workforce issues. The committee also is responsible for advice regarding the management and coordination of the initiative itself, including its balance of activities and funding. 今回の任命は、2020年の国家AI推進法を受けて創設されたばかりの同委員会にとって初めてのことです。同推進法では、米国のAI競争力の現状、AIをめぐる科学の状況、AI労働力の問題などのテーマについて、NAIACに提言を行うよう指示しています。また、同委員会は、活動内容や資金のバランスなど、AIの推進自体の管理・調整に関する助言も担当します。
“Artificial intelligence presents a new frontier for enhancing our economic and national security, as well as our way of life. Moreover, responsible AI development is instrumental to our strategic competition with China,” said U.S. Deputy Secretary of Commerce Don Graves. “At the same time, we must remain steadfast in mitigating the risks associated with this emerging technology, and others, while ensuring that all Americans can benefit. The diverse leaders of our inaugural National Artificial Intelligence Advisory Committee represent the best and brightest of their respective fields and will be instrumental in helping the Department strike this balance. Their anticipated recommendations to the President and the National AI Initiative Office will serve as building blocks for U.S. AI policy for decades to come, and I am immensely grateful for their voluntary service.” ドン・グレイブス米国商務副長官は次のように述べています。
「人工知能は、経済や国家の安全保障、そして私たちの生活様式を向上させるための新たなフロンティアを示しています。さらに、責任あるAIの開発は、中国との戦略的な競争において重要です。 同時に、この新しい技術やその他の技術に関連するリスクを軽減し、すべてのアメリカ人が恩恵を受けることができるようにするために、私たちは確固たる姿勢を保たなければなりません。今回発足した国家AI諮問委員会の多様なリーダーたちは、それぞれの分野で最も優秀な人たちを代表しており、米国商務省がこのバランスを取る上で大きな助けとなることでしょう。彼らが大統領と国家AI推進事務局に提出する予定の提言は、今後数十年にわたる米国のAI政策の基礎となるものであり、彼らの自発的な奉仕に大いに感謝します。」
The committee members were nominated by the public as expert leaders from a broad and interdisciplinary range of AI-relevant disciplines from across academia, industry, non-profits and civil society. 委員会のメンバーは、学術界、産業界、非営利団体、市民社会など、AIに関連する幅広い学際的な分野の専門家リーダーとして一般から推薦されました。
“AI is already transforming the world as we know it, including science, medicine, transportation, communications and access to goods and services,” said the head of the Office of Science and Technology and Deputy Assistant to the President Alondra Nelson. “The expertise of the NAIAC will be critical in helping to ensure the United States leads the world in the ethical development and adoption of AI, provides inclusive employment and education opportunities for the American public, and protects civil rights and civil liberties in our digital age.” 科学技術室長で大統領副補佐官のアロンドラ・ネルソン氏は次のように述べています。「AIはすでに、科学、医療、交通、通信、商品やサービスへのアクセスなど、私たちが知っている世界を変えつつあります。米国がAIの倫理的な開発と採用において世界をリードし、米国民に包括的な雇用と教育の機会を提供し、デジタル時代の市民権と市民の自由を守るために、NAIACの専門知識は極めて重要です。」
The NAIAC is also directed to establish a subcommittee to consider matters related to the use of AI in law enforcement. This subcommittee will advise the president on topics that include bias, security of data, the adoptability of AI for security or law enforcement, and legal standards that include those that ensure that AI use is consistent with privacy rights, civil rights and civil liberties, and disability rights. また、NAIACは、法執行におけるAIの使用に関連する事項を検討する小委員会を設置するよう指示されている。この小委員会は、偏見、データの安全性、安全保障や法執行におけるAIの採用可能性、AIの使用がプライバシー権、公民権、障害者の権利と一致することを保証するものを含む法的基準などのテーマについて大統領に助言することになります。
The committee will hold its first meeting on Wednesday, May 4, 2022. The meeting will be open to the public via webcast. 同委員会は、2022年5月4日(水)に初会合を開催する予定です。この会議はウェブキャストで一般に公開される予定です。
Committee members will serve three-year terms and may serve two consecutive terms at the discretion of the secretary. The National Institute of Standards and Technology will provide administrative support to the committee. For more information on the NAIAC and its responsibilities, visit (ai.gov naiac) 委員会のメンバーは3年の任期を務め、長官の裁量で2期続けて務めることができる。国立標準技術研究所は、委員会の運営支援を行います。NAIACとその責務に関する詳細については、(ai.gov naiac)を参照ください。

 

National Artificial Intelligence Initiative

ABOUT THE ADVISORY COMMITTEE


Fig_20220420035501

 

 

 

| | Comments (0)

2022.04.19

総務省 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめの公表 (2022.04.15)

こんにちは、丸山満彦です。

総務省が、「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめを公表していましたね。。。

マイナンバーがスマートフォンに搭載されると一気に利用が広がるように思います。。。多くの人の感覚は、クレジットカードがスマホに入るんだから、マイナンバーもスマホに入るでしょう。。。という感じかもしれません。。。

本人確認が必要なので初期の手間は同じ(同じでないとダメですが。。。)なのですが、利用する場面の増加や民間IDとの連携等で民間IDの発行が楽になるように思います。。。

20220419-54101

セキュリティ面についてもよく考えられていると思います。。。

20220419-54728

進捗が楽しみです。。。

 

総務省

・2022.04.15 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめの公表

・[PDF] 第2次とりまとめ ~デジタル社会の新たな基盤の構築に向けて~

20220419-60057

<関係報道発表等>
○2020.12.25 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第1次とりまとめの公表

マイナンバーカードの機能のスマートフォン搭載等に関する検討会

 

-----

OSの順番ですが、まずは、Androidのようですね。。。

(P2:令和4年度中にAndroidスマートフォンへの搭載実現を目指すとともに、iPhoneについても早期実現を目指す。)

まずは、おじさんから使ってもらおう作戦なのかもしれません(^^)。。。

(Androidの最新機種はGP-SE搭載ですね。。。)

 

参考:

MMD研究所

・2021.12.14 メイン利用のスマートフォン、iPhoneは45.7%、Androidは47.0% - 10代、20代は男女ともにiPhoneの利用率がAndroidの利用率を上回る

 

 

 

| | Comments (0)

Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12)

こんにちは、丸山満彦です。

Cloud Security AllianceがSDPとDNSの統合:強化されたゼロトラストポリシーの適用という研究文書を発表していますね。。。

こういうのは面白いですね。。。

 

Cloud Security Alliance (CSA)

・2022.04.13 New Cloud Security Alliance Paper Explores How Enterprises Can Augment, Integrate DNS Systems with Software-Defined Perimeter (SDP) to Enhance Security

New Cloud Security Alliance Paper Explores How Enterprises Can Augment, Integrate DNS Systems with Software-Defined Perimeter (SDP) to Enhance Security クラウドセキュリティアライアンスの新しい文書では、組織体がセキュリティを強化するためにDNSシステムをSDP(ソフトウェア定義境界)で補強、統合する方法について説明しています。
Security visibility, resiliency, and responsiveness can be improved by combining Domain Name Systems and enterprise-managed DDI systems with SDP ドメインネームシステムおよび組織体管理DDIシステムとSDPを組み合わせることで、セキュリティの可視性、強靭性、応答性を向上させることができます。
SEATTLE – April 13, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, has published a new white paper, Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement. Drafted by the Software-Defined Perimeter (SDP) and Zero Trust Working Group, the document explores how enterprise DDI systems – which collectively refer to three core network services, namely Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), and Internet Protocol Address Management (IPAM) – can augment and integrate with SDP to enhance organizations’ security, resiliency, and responsiveness. SEATTLE - 2022年4月13日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるCloud Security Alliance(CSA)は、新しいホワイトペーパー「SDPとDNSの統合」を発表しました。ゼロトラストポリシーの強化 Software-Defined Perimeter (SDP) and Zero Trust Working Groupが作成したこのホワイトペーパーでは、企業のDDIシステム(DNS、DHCP、IPAMの3つのコアネットワークサービス)がSDPと統合され、セキュリティ、強靭性、応答性を強化する方法について説明しています。
DNS maps human-readable domain names (e.g., cloudsecurityalliance.org) to numerical internet protocol (IP) addresses. Setting and enforcing policy at the DNS layer isn’t compute-intensive and has the further advantage of being able to scale to millions. However, the ubiquity of DNS and the fact that it’s largely open, connectionless, and unencrypted, makes it a commonly exploited means of infiltrating malware into networks and exfiltrating data. Additional mechanisms are required for a fine-grained policy framework and enforcement to leverage the DDI database. DDI services can provide enterprises with visibility and control, and when combined with SDP can deliver considerably improved security and help organizations advance their Zero Trust security journeys. DNSは、人間が読めるドメイン名(例:cloudsecurityalliance.org)を数値のインターネットプロトコル(IP)アドレスにマッピングします。DNSレイヤーでのポリシーの設定と実行は、コンピュータに負荷がかからず、数百万単位で拡張できるというさらなる利点があります。しかし、DNSはどこにでも存在し、その大部分がオープンで、接続がなく、暗号化されていないため、マルウェアをネットワークに侵入させ、データを流出させる手段として悪用されることが一般的です。DDIデータベースを活用するためには、きめ細かなポリシーフレームワークと執行のための追加メカニズムが必要です。DDIサービスは、企業に可視性と制御を提供し、SDPと組み合わせることで、セキュリティを大幅に改善し、組織がゼロトラストセキュリティに推進するのを支援することができます。
“Integrating the three core systems that comprise DDI helps provide control, automation, and security for today’s modern and highly distributed networks. Tying together traditionally distinct systems for more holistic enforcement is a hallmark of the Zero Trust security approach, and DDI has the unique advantage of logging who’s on the network, where they’re going, and, more importantly, where they’ve been. Information security will always be multi-layered, and Zero Trust via SDP is an approach that benefits from integration with many other parts of an enterprise security infrastructure,” said Shamun Mahmud, senior research analyst, Cloud Security Alliance. Cloud Security Allianceのシニアリサーチアナリスト、シャーマン・マーマドは以下のように述べています。「DDIを構成する3つのコアシステムを統合することで、今日の高度に分散したネットワークに制御、自動化、およびセキュリティを提供することができます。DDIは、誰がネットワークにいるのか、どこに行くのか、そしてより重要なのは、どこにいたのかを記録するというユニークな利点を持っています。情報セキュリティは常に多層的であり、SDPによるゼロトラストは、企業のセキュリティインフラの他の多くの部分との統合によって恩恵を受けるアプローチです。」
The paper explains how by integrating an SDP architecture with DNS, a strategy that results in improved security, organizations can leverage DNS as a Zero Trust network policy enforcement point alongside the SDP policy enforcement points and mine valuable DNS data for faster threat response by SDPs. Two use cases where enterprise-managed DDI integrates with SDP to improve security, contextual awareness, and responsiveness are included by way of example. 本文書では、SDPアーキテクチャをDNSと統合することで、セキュリティを向上させる戦略、つまり組織がDNSをSDPのポリシー実施ポイントと並ぶゼロトラストネットワークポリシー実施ポイントとして活用し、貴重なDNSデータをマイニングしてSDPによる脅威対応を迅速に行う方法を説明しています。企業で管理されるDDIをSDPと統合して、セキュリティ、コンテキスト認識、および応答性を向上させる2つのユースケースを例として挙げています。

 

・2022.04.12 Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement

Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement SDPとDNSの統合:強化されたゼロトラストポリシーの適用
The purpose of this research article is to explain how DNS and the enterprise-managed DDI system can be combined with a Software-Defined Perimeter to deliver improved security visibility, resiliency, and responsiveness.  この研究文書の目的は、DNSと企業が管理するDDIシステムをソフトウェア定義境界と組み合わせることで、セキュリティの可視性、回復力、応答性を向上させる方法を説明することです。 
This position paper explores two use cases where DNS and the enterprise-managed DDI and SDP can be combined to improve security, contextual awareness, and responsiveness. This type of integration - tying together systems traditionally distinct for more holistic enforcement - is a hallmark of the Zero Trust approach to security. This paper does not address the security of the DNS infrastructure itself.  このポジションペーパーでは、DNSと企業が管理するDDIおよびSDPを組み合わせて、セキュリティ、状況認識、および応答性を向上させることができる2つのユースケースを探ります。この種の統合(従来は別個のシステム同士を結び付けてより全体的な強化を図る)は、セキュリティに対するゼロトラストアプローチの特徴です。本文書では、DNSインフラ自体のセキュリティについては言及しません。 

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220419-44119

 

目次...

1. Introduction 1. はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Audience 1.3 想定読者
1.4 The Domain Name System (DNS) 1.4 ドメインネームシステム(DNS)
1.4.1 Dynamic Host Configuration Protocol (DHCP) 1.4.1 動的ホスト構成プロトコル(DHCP)
1.4.2 Internet Protocol Address Management (IPAM) 1.4.2 インターネットプロトコルアドレス管理(IPAM)
1.4.3 Cloud Managed Implementation 1.4.3 クラウドマネージド実装
1.5 DNS-Based Security 1.5 DNSを利用したセキュリティ
1.5.1 Malware Control Point 1.5.1 マルウェアのコントロールポイント
1.5.2 Blocking Data Exfiltration 1.5.2 データ流出の阻止
1.5.3 Domain Generation Algorithms (DGAs) Control Point 1.5.3 ドメイン生成アルゴリズム(DGA)制御ポイント
1.5.4 Category-Based Filtering 1.5.4 カテゴリに基づくフィルタリング
1.6 Zero Trust Policy Enforcement 1.6 ゼロトラスト・ポリシーの実施
1.6.1 SDP and Zero Trust Policy Enforcement 1.6.1 SDPとゼロ・トラスト・ポリシーの実施
1.6.2 DNS and Zero Trust Policy Enforcement 1.6.2 DNSとゼロトラストポリシーの適用
2. SDP/Zero Trust and DNS Use Cases 2. SDP/ゼロトラストとDNSの使用例
2.1 Use Case #1: DNS providing Context and Metadata to SDP 2.1 ユースケース#1: DNSからSDPへのコンテキストとメタデータの提供
2.1.1 Policy Enforcement in Use Case No. 1 2.1.1 ユースケースNo.1におけるポリシーエンフォースメント
2.1.1.1 Network Context and Identity Information 2.1.1.1 ネットワークコンテキストとアイデンティティ情報
2.1.2 Responding to Malicious Activity 2.1.2 悪意ある行為への対応
2.1.3 Location-Based Access Controls 2.1.3 位置情報を利用したアクセス制御
2.1.4 Device-Based Access Controls 2.1.4 デバイスベースのアクセス制御
2.1.5 User-Based Access Control 2.1.5 ユーザーベースのアクセス制御
2.2 Use Case #2 - SDP Controller Publishing Policy Decisions to DNS 2.2 ユースケース#2 - SDPコントローラーがDNSにポリシー決定を公開する場合
2.2.1 Policy Enforcement in DNS - an additional layer of security 2.2.1 DNSにおけるポリシー実施 - セキュリティの追加レイヤー
3. Conclusion 3. 結論
4. References 4. 参考文献
5. Acronyms 5. 頭字語

 

| | Comments (0)

2022.04.18

SaaSの設定ミスがセキュリティインシデントの63%に関与している? (Cloud Security Alliance )

こんにちは、丸山満彦です。

Cloud Security AllianceがSaaSの設定に関する調査報告書を公開していますね。。。

SaaSの設定ミスがセキュリティインシデントの63%に関与しているかもしれないということのようです。。。

SaaSの設定ミスの主な原因は、

  • SaaSのセキュリティ設定の変更を可視化できないこと(34%)、
  • SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)

であるとしていますね。。。

細かい数字はともかく、SaaSのアクセス関連の設定についてはユーザが定期的に確認することが重要ですね(報告書の中で、どのくらいの頻度でSaaSのセキュリティチェックをしているかの調査結果もあります)。。。

SaaS事業者も設定についてのリスクについて、わかりやすく説明することが重要でしょうし、デフォルトの設定についても安全サイドに寄せるとかしたほうが良いかもですね。。。(利便性を犠牲にしたくないという思いはあるのでしょうが、両立できるような製品にしていくことが重要なんでしょうね。。。)。

 

Cloud Security Alliance (CSA)

・2022.04.12 New Cloud Security Alliance Survey Finds SaaS Misconfigurations May Be Responsible for Up to 63 Percent of Security Incidents

 

New Cloud Security Alliance Survey Finds SaaS Misconfigurations May Be Responsible for Up to 63 Percent of Security Incidents クラウドセキュリティアライアンスの新しい調査により、SaaSの設定ミスがセキュリティインシデントの最大63%に関与している可能性が判明
Proper visibility into SaaS security application settings and automated tools can mitigate risk SaaSセキュリティアプリケーションの設定と自動化ツールを適切に可視化することで、リスクを軽減することができる
SEATTLE – April 12, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, today released the findings of its latest survey, 2022 SaaS Security Survey Report. Commissioned by Adaptive Shield, a leading SaaS Security Posture Management (SSPM) company, the survey offers insight into the industry’s knowledge, attitudes, and opinions regarding SaaS security and related misconfigurations. シアトル - 2022年4月12日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるクラウドセキュリティアライアンス(CSA)は、最新の調査結果「2022 SaaS Security Survey Report」を本日発表しました。SaaSセキュリティポスチャ管理(SSPM)のリーディングカンパニーであるアダプティブシールドの委託により、本調査では、SaaSセキュリティおよび関連する設定ミスに関する業界の知識、態度、意見についての知見を提供しています。
“Many recent breaches and data leaks have been tied back to misconfigurations. Whereas most research related to misconfigurations has focused strictly on the IaaS layers and entirely ignores the SaaS stack, SaaS security and misconfigurations are equally, if not more, important when it comes to an organization's overall security. We wanted to gain a deeper understanding of the use of SaaS applications, how security assessments are conducted and the overall awareness of tools that can be used to secure SaaS applications," said Hillary Baron, lead author and research analyst, Cloud Security Alliance. Cloud Security Allianceの筆頭著者でリサーチアナリストのヒアリー・バロンは以下のように述べています。「最近の情報漏えい事件の多くは、設定ミスに起因しています。しかし、SaaS のセキュリティと設定ミスは、組織の全体的なセキュリティに関して、同等かそれ以上の重要性を持っています。私たちは、SaaSアプリケーションの使用状況、セキュリティ評価の実施方法、SaaSアプリケーションのセキュリティ確保に使用できるツールの全体的な認識について深く理解したいと考えました。」
“This survey shines a light on what CISOs and cybersecurity managers are looking for and need when it comes to securing their SaaS stack — from visibility, continuous monitoring and remediation to other ever-growing, critical use cases such as 3rd party application control and device posture monitoring,” asserts Maor Bin, CEO and co-founder of Adaptive Shield. “The SSPM market is maturing rapidly — and this type of zero-trust approach for SaaS is where the SSPM market is going.” 「この調査は、SaaSスタックのセキュリティ確保に関して、CISOやサイバーセキュリティ管理者が何を求め、何を必要としているかを明らかにするもので、可視化、継続的モニタリング、修正から、サードパーティアプリケーションコントロールやデバイス姿勢モニタリングといった成長し続ける重要なユースケースまで、幅広くカバーしています。SSPM市場は急速に成熟しており、このようなSaaS向けのゼロトラストアプローチがSSPM市場の行く末を決めるのです。」
Among the survey’s key findings: この調査の主な調査結果には、次のようなものがあります。
・SaaS misconfigurations are leading to security incidents. At least 43 percent of organizations report that they have dealt with one or more security incidents because of a SaaS misconfiguration. ・SaaSの設定ミスがセキュリティインシデントにつながっている。少なくとも43%の組織が、SaaSの設定ミスが原因で1つ以上のセキュリティインシデントに対処したことがあると報告しています。
・The leading causes of SaaS misconfigurations are lack of visibility into changes into the SaaS security settings (34%) and too many departments with access to SaaS security settings (35%). ・SaaSの設定ミスの主な原因は、SaaSのセキュリティ設定の変更を可視化できないこと(34%)と、SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)である。
・Investment in business-critical SaaS applications is outpacing SaaS security tools and staff. Over the past year, 81 percent of organizations have increased their investment in business-critical SaaS applications, but fewer organizations reported increasing their investment in security tools (73%) and staff (55%) for SaaS security. ・ビジネスクリティカルなSaaSアプリケーションへの投資は、SaaSセキュリティツールやスタッフを上回っている。過去1年間で、81%の組織がビジネスに不可欠なSaaSアプリケーションへの投資を増やしましたが、SaaSセキュリティのためのセキュリティツール(73%)とスタッフ(55%)への投資を増やしたと回答した組織は少なかったです。
・Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed. Nearly half (46%) can only check monthly or less frequently, and another 5 percent don’t check at all, meaning that misconfigurations could go undetected for a month or longer. ・SaaSの設定ミスを手作業で検出し、修正することは、組織を無防備な状態にしている。半数近く(46%)は毎月またはそれ以下の頻度でしかチェックできず、さらに5%はまったくチェックしていないため、設定ミスが1カ月以上検出されない可能性があります。
・The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations. Organizations that use an SSPM can detect and remediate their SaaS misconfigurations significantly quicker — 78 percent checked their SaaS security configurations weekly or more, compared to those not utilizing an SSPM, where only 45 percent were able to check at least weekly. ・SSPM を使用すると、SaaS の設定ミスを検出して修正するまでの時間が短縮されます。SSPMを使用している組織では、SaaSのセキュリティ設定を毎週またはそれ以上チェックしており、SSPMを使用していない組織では、少なくとも毎週チェックできているのは45パーセントに過ぎなかったのに対し、SSPMを使用している組織では、大幅に早くSaaSの設定ミスを検出し修正することができました。

 

・2022.04.11 SaaS Security and Misconfigurations Report

SaaS Security and Misconfigurations Report SaaSのセキュリティと設定ミスに関するレポート
Many recent breaches and data leaks have been tied back to misconfigurations causing it to be a top concern for many organizations. Most research related to misconfigurations has focused strictly on the IaaS layers and ignores the SaaS stack entirely. Yet, SaaS security and misconfigurations are equally crucial to the organization's overall security. For these reasons, CSA developed and distributed a survey to better understand the use of SaaS applications, timeline and tools for SaaS security assessments, a timeframe for misconfiguration detection and remediation, and awareness of security tools for SaaS applications. 最近の情報漏えいの多くは、設定ミスに起因しており、多くの企業にとって最大の関心事となっています。設定ミスに関連する研究のほとんどは、IaaS レイヤーにのみ焦点を当て、SaaS スタックは完全に無視されています。しかし、SaaS のセキュリティとミスコンフィギュレーションは、組織の全体的なセキュリティにとって同様に重要です。このような理由から、CSA は、SaaS アプリケーションの使用状況、SaaS セキュリティ評価のタイムラインとツール、設定ミスの検出と修正のタイムフレーム、SaaS アプリケーション用セキュリティツールの認識について理解を深めるためのアンケートを作成し、配布しました。
The goal of this survey was to understand the current state of SaaS security and misconfigurations. Key areas of interest include: 本調査の目的は、SaaSのセキュリティと設定ミスの現状を把握することである。主な関心分野は以下の通りです。
・Use of SaaS applications with organizations ・組織でのSaaSアプリケーションの利用状況
・Methods, policies, and tools for assessing SaaS app security ・SaaSアプリのセキュリティを評価するための方法、ポリシー、ツール
・Timeline for detecting and remediating misconfigurations in SaaS app security ・SaaSアプリのセキュリティにおける設定ミスの検出と修正のためのタイムライン
・Awareness of new SaaS security related products ・SaaSセキュリティ関連新製品の認知度

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220418-55117

 

目次...

Acknowledgements 謝辞
Survey Creation and Methodology 調査の作成と方法
Goals of the study 調査の目標
Executive Summary エグゼクティブサマリー
・Key Finding 1: SaaS misconfigurations are leading to security incidents ・重要な発見1:SaaSの設定ミスがセキュリティインシデントにつながっている。
・Key Finding 2: The leading causes of SaaS misconfigurations are lack of visibility and too many departments with access ・重要な発見2:SaaSの設定ミスの主な原因は、可視化されていないこととアクセスできる部署が多すぎること。
・Key Finding 3: Investment in business-critical SaaS applications outpacing SaaS security tools and staff. ・重要な発見3:ビジネスクリティカルなSaaSアプリケーションへの投資が、SaaSセキュリティツールやスタッフよりも上回っている。
・Key Finding 4: Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed ・重要な発見4:SaaSの誤設定を手動で検出し、修正することは、組織を無防備な状態にする。
・Key Finding 5: The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations ・重要な発見5:SSPMの使用により、SaaSの設定ミスを検出し修正するまでの時間が短縮される。
SaaS Application Use in Organizations 企業におけるSaaSアプリケーションの活用
SaaS Security Assessment SaaSのセキュリティアセスメント
Misconfigurations in SaaS Security SaaSセキュリティの設定ミス
SaaS Security Tools SaaSセキュリティツール
Conclusion まとめ
Demographics デモグラフィック
About the Sponsor スポンサーについて

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2021.10.11 JIPDEC 2020年度「個人情報の取扱いにおける事故報告集計結果」について

・2021.06.18 Cloud Security Alliance 「Salesforce向けクリティカルコントロールの実装」を公表

・2021.02.01 NISC による重要インフラ事業者等に向けた注意喚起「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」

・2020.12.28 クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合

・2020.08.20 SaaSのセキュリティは重要となりますが、アプリが多いので大変ですよね。。。

 

10年以上前...

・2010.03.27 総務省 クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料

| | Comments (0)

2022.04.17

公安調査庁 サイバー空間における脅威の概況2022

こんにちは、丸山満彦です。

公安調査庁が、「サイバー空間における脅威の概況2022」を公開していますね。。。表紙等を入れて20ページなのです。最近の状況が簡単にまとまっていてわかりやすいですね。。。

 

公安調査庁

・2022.4.14 「サイバー空間における脅威の概況2022」を公表しました。

・[PDF] サイバー空間における脅威の概況2022

20220417-63718

内容...

サイバー空間における脅威の増大

2021年におけるサイバー脅威の概況
 1 我が国企業の海外拠点を狙った 攻撃が相次いで発覚
 2 我が国内外で ランサムウェア攻撃が多数発生
 3 オンライン・インフルエンス・オペレーション の広がり

《特集》重要インフラに対するサイバー攻撃

サイバー空間における不正な活動
 1
情報窃取・サイバー諜報
 2 情報システムの破壊・機能妨害
 3 不正な金銭獲得
 4 影響力工作(オンライン・インフルエンス・ オペレーション)

サイバー空間における脅威主体とアトリビューション
 1
中国
 2 ロシア

 3 北朝鮮

サイバー攻撃の手法と対策
 1
サイバー攻撃の手法
  1.1 システムの弱点を突いた攻撃
  1.2 人間の心の隙を突いた攻撃
 2 サイバー攻撃の対策
  2.1 システムの弱点に対する対策
  2.2 人間の心の隙に対する対策

公安調査庁のサイバー関連調査

公安調査庁からの情報発信・公表資料


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.09 公安調査庁 経済安全保障関連調査及びサイバー関連調査の取組強化について

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

・2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

| | Comments (0)

個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

事務局資料の他、山本達彦先生、全国万引犯罪防止機構日本万引防止システム協会の資料が公開されていますね。。。

個人情報保護委員会

・2022.04.14 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

 ・[PDF] 議事次第

 ・[PDF] 資料1 事務局説明資料 

 ・[PDF] 資料2 山本構成員説明資料

 ・[PDF] 資料3 全国万引犯罪防止機構説明資料

 ・[PDF] 資料4 日本万引防止システム協会説明資料

 ・[PDF] 参考資料 第2回検討会議事概要


  1. 検討のスコープについて
  • どのような目的で、どういう機能を使ってカメラ画像を取得・利用するかを類型化し、それぞれに応じてカメラ画像を取り扱う事業者等に求められる事項や、ガバナンスを整理する必要がある。
  • カメラの被写体である本人の権利利益を守るために求められる事項には、個人情報 保護法上の具体的な権利や請求権のレベル、プライバシーのレベル、差別や実体的 な不利益からの保護や尊厳を守るための対応事項というレベルがあり、それぞれについて整理する必要がある。
  • 顔識別機能付きカメラの利用者にどのような対応を求めるかの基準を、識別性、照合性、検索性、自動処理の観点から明らかにする必要がある。
  • AI倫理や、EU の AI規則案も分析・検討のスコープに含めるとよいのではないか。

 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.04.16

FBI 3月に発生した6億2000万ドルのイーサリアムが盗まれた事件は北朝鮮に関連するLazarus GroupとAPT38が犯人であることを確認した

こんにちは、丸山満彦です。

3月29日に報告された6億2000万ドル(約780億円)のイーサリアムが盗まれた事件は、朝鮮民主主義人民共和国に関連するサイバーアクターであるLazarus GroupとAPT38が犯人であることをFBIが確認したようですね。。。

すごい金額...

FBI

・2022.04.14 FBI Statement on Attribution of Malicious Cyber Activity Posed by the Democratic People's Republic of Korea

FBI Statement on Attribution of Malicious Cyber Activity Posed by the Democratic People's Republic of Korea 朝鮮民主主義人民共和国による悪質なサイバー行為の帰属に関する FBI の声明
The FBI continues to combat malicious cyber activity including the threat posed by the Democratic People's Republic of Korea to the U.S. and our private sector partners. Through our investigation we were able to confirm Lazarus Group and APT38, cyber actors associated with the DPRK,  are responsible for the theft of $620 million in Ethereum reported on March 29. The FBI, in coordination with Treasury and other U.S. government partners, will continue to expose and combat the DPRK’s use of illicit activities – including cybercrime and cryptocurrency theft – to generate revenue for the regime. FBIは、朝鮮民主主義人民共和国が米国および民間企業パートナーにもたらす脅威を含め、悪質なサイバー行為に対処し続けています。3月29日に報告された6億2000万ドルのイーサリアムが盗まれた事件では、我々の調査により、朝鮮民主主義人民共和国に関連するサイバーアクターであるLazarus GroupとAPT38が犯人であることを確認することが出来ました。FBIは、財務省やその他の米国政府のパートナーと連携し、DPRKがサイバー犯罪や暗号通貨窃盗などの不正な活動を利用して政権の収入を得ていることを暴露し、その撲滅に努めていきます。

 

Fbi_20210425171201

| | Comments (0)

2022.04.15

米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08)

こんにちは、丸山満彦です。

米国 食品医薬品局が医療機器におけるサイバーセキュリティについてのガイダンス案を公表し、意見募集をしていますね。。。SBOMも内容に含まれていますね。。。

 

Food and Drug Administration: FDA

Guidance Documents (Medical Devices and Radiation-Emitting Products)

・2022.04.08 Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions

・[PDF]

20220415-122507

 

I. Introduction I. はじめに
II. Scope II. 対象範囲
III. Background III. 背景
IV. General Principles IV. 一般原則
A. Cybersecurity is Part of Device Safety and the Quality System Regulations A. サイバーセキュリティは機器安全および品質システム規制の一部である
B. Designing for Security B. セキュリティのための設計
C. Transparency C. 透明性
D. Submission Documentation D. 提出書類
V. Using an SPDF to Manage Cybersecurity Risks V. サイバーセキュリティリスクを管理するためのSPDFの利用
A. Security Risk Management A. セキュリティリスク管理
1. Threat Modeling 1. 脅威のモデル化
2. Third-Party Software Components 2. サードパーティソフトウェアコンポーネント
3. Security Assessment of Unresolved Anomalies 3. 未解決の異常に対するセキュリティ評価
4. Security Risk Management Documentation 4. セキュリティリスクマネジメントの文書化
5. TPLC Security Risk Management 5. TPLCセキュリティリスクマネジメント
B. Security Architecture B. セキュリティ・アーキテクチャ
1. Implementation of Security Controls 1. セキュリティコントロールの実装
2. Security Architecture Views 2. セキュリティ・アーキテクチャ・ビュー
(a) Global System View (a) グローバルシステムビュー
(b) Multi-Patient Harm View (b) マルチペアレントハームビュー
(c) Updatability and Patchability View (c) 更新性・パッチ適用性ビュー
(d) Security Use Case Views (d) セキュリティユースケースビュー
C. Cybersecurity Testing C. サイバーセキュリティテスト
VI. Cybersecurity Transparency VI. サイバーセキュリティの透明性
A. Labeling Recommendations for Devices with Cybersecurity Risks A. サイバーセキュリティリスクのある機器に対するラベリング推奨事項
B. Vulnerability Management Plans B. 脆弱性管理計画
Appendix 1. Security Control Categories and Associated Recommendations 附属書 1. セキュリティ管理カテゴリーと関連する推奨事項
A. Authentication A. 認証
B. Authorization B. 認可
C. Cryptography C. 暗号技術
D. Code, Data, and Execution Integrity D. コード、データ、実行の整合性
E. Confidentiality E. 機密保持
F. Event Detection and Logging F. イベントの検出とログ
G. Resiliency and Recovery G. 回復力およびリカバリ
H. Firmware and Software Updates H. ファームウェアとソフトウェアの更新
Appendix 2. Submission Documentation for Security Architecture Flows 附属書2.セキュリティアーキテクチャフローの提出書類
A. Call-Flow Diagrams A. コールフロー図
B. Information Details for an Architecture View B. アーキテクチャビューの情報詳細
Appendix 3. Submission Documentation for Investigational Device Exemptions 附属書 3. 治験機器申請書類について
Appendix 4. Terminology 附属書 4. 用語解説

 

SBOM関係

2. Third-Party Software Components 2. サードパーティソフトウェアコンポーネント
As discussed in the FDA guidances “Off-The-Shelf (OTS) Software Use in Medical Devices”[25] and “Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software,”[26] medical devices commonly include third-party software components including off-the-shelf and open source software. When these components are incorporated, security risks of the software components become factors of the overall medical device system risk management processes and documentation. FDAのガイダンス「Off-The-Shelf (OTS) Software Use in Medical Devices」[25]や「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」[26]で述べられているように、医療機器には一般的に市販のソフトウェアやオープンソースを含む第三者のソフトウェアコンポーネントが含まれています。これらのコンポーネントが組み込まれると、ソフトウェアコンポーネントのセキュリティリスクは、医療機器システム全体のリスク管理プロセス及び文書化の要素となります。
As part of demonstrating compliance with quality system design controls under 21 CFR 820.30(g), and to support supply chain risk management processes, all software, including that developed by the device manufacturer (“proprietary software”) and obtained from third parties should be assessed for cybersecurity risk and that risk should be addressed. Accordingly, device manufacturers are expected to document all software components[27]of a device and to mitigate risks associated with these software components.   21 CFR 820.30(g)に基づく品質システム設計管理への準拠を実証する一環として、またサプライチェーンのリスク管理プロセスを支援するために、機器メーカーが開発したソフトウェア(「専有ソフトウェア」)や第三者から入手したソフトウェアを含むすべてのソフトウェアは、サイバーセキュリティリスクを評価し、そのリスクに対処する必要があります。したがって、機器メーカーは、機器のすべてのソフトウェアコンポーネント[27]を文書化し、これらのソフトウェアコンポーネントに関連するリスクを軽減することが期待されています。 
In addition, under 21 CFR 820.50, manufacturers must put in place processes and controls to ensure that their suppliers conform to the manufacturer’s requirements. Such information is documented in the Design History File, required by 21 CFR 820.30(j), and Design Master Record, required by 21 CFR 820.181. This documentation demonstrates the device’s overall compliance with the QSR, as well as that the third-party components meet specifications established for the device. Security risk assessments that include analyses and considerations of cybersecurity risks that may exist in or be introduced by third-party software and the software supply chain may help demonstrate that manufacturers have adequately ensured such compliance and documented such history.   さらに、21 CFR 820.50に基づき、メーカーは、サプライヤーがメーカーの要件に適合することを保証するためのプロセスとコントロールを導入する必要があります。このような情報は、21 CFR 820.30(j)で要求される設計履歴ファイル及び 21 CFR 820.181 で要求される設計マスターレコードに文書化される。この文書により、機器が全体的にQSRに準拠していること、及び第三者の部品が機器に対して設定された仕様を満たしていることが証明される。サードパーティ製ソフトウェア及びソフトウェアサプライチェーンに存在する、又はそれらによってもたらされる可能性のあるサイバーセキュリティリスクの分析及び考慮を含むセキュリティリスク評価は、製造業者がそのようなコンプライアンスを適切に確保し、その履歴を文書化していることを証明するのに役立つ場合があります。 
As part of configuration management, device manufacturers should have custodial control of source code through source code escrow and source code backups.[28] While source code is not provided in premarket submissions, if this control is not available based on the terms in supplier agreements, the manufacturer should include in premarket submissions a plan of how the thirdparty software component could be updated or replaced should support for the software end. The device manufacturer is also expected to provide to users whatever information is necessary to allow users to manage risks associated with the device.   28] 市販前申請ではソースコードは提供されないが、供給者契約の条件に基づいてこの管理が利用できない場合、製造者は市販前申請に、ソフトウェアのサポートが終了した場合に第三者のソフトウェアコンポーネントをどのように更新または交換できるかの計画を含める必要があります。また、機器メーカーは、ユーザーが機器に関連するリスクを管理できるようにするために必要なあらゆる情報をユーザーに提供することが期待されています。 
One tool to help manage supply chain risk as well as clearly identify and track the software incorporated into a device is a Software Bill of Materials (SBOM), as described below.  サプライチェーンのリスクを管理し、機器に組み込まれたソフトウェアを明確に特定し追跡するのに役立つツールの1つが、以下に説明するソフトウェア部品表(SBOM)です。
(a)  Software Bill of Materials  (a) ソフトウェア部品表 
A Software Bill of Materials (SBOM) can aid in the management of cybersecurity risks that exist throughout the software stack.  A robust SBOM includes both the device manufacturer developed components and third-party components (including purchased/licensed software and open-source software), and the upstream software dependencies that are required/depended upon by proprietary, purchased/licensed, and open-source software. An SBOM helps facilitate risk management processes by providing a mechanism to identify devices that might be affected by vulnerabilities in the software components, both during development (when software is being chosen as a component) and after it has been placed into the market throughout all other phases of a product’s life.[29]   ソフトウェア部品表(SBOM)は、ソフトウェアスタック全体に存在するサイバーセキュリティリスクの管理を支援することができます。 堅牢なSBOMは、デバイスメーカーが開発したコンポーネントとサードパーティのコンポーネント(購入/ライセンスされたソフトウェアとオープンソースのソフトウェアを含む)、およびプロプライエタリ、購入/ライセンス、オープンソースのソフトウェアが要求/依存する上流のソフトウェアの依存関係の両方を含んでいます。SBOMは、開発中(ソフトウェアがコンポーネントとして選択されるとき)と、製品のライフサイクルの他のすべての段階を通じて市場に投入された後の両方で、ソフトウェアコンポーネント内の脆弱性によって影響を受けるかもしれない装置を識別するメカニズムを提供することによって、リスク管理プロセスの促進を支援する[29]。 
Because vulnerability management is a critical part of a device’s security risk management processes, an SBOM or an equivalent capability should be maintained as part of the device’s configuration management, be regularly updated to reflect any changes to the software in marketed devices, and should support 21 CFR 820.30(j) (Design History File) and 820.181 (Design Master Record) documentation.    脆弱性管理は、機器のセキュリティリスク管理プロセスの重要な部分であるため、SBOMまたは同等の機能は、機器の構成管理の一部として維持され、市販の機器のソフトウェアのあらゆる変更を反映するために定期的に更新され、21 CFR 820.30(j) (設計履歴ファイル)および820.181(設計マスターレコード)文書をサポートする必要があります。  
To assist FDA’s assessment of the device risks and associated impacts on safety and effectiveness related to cybersecurity, FDA recommends that premarket submissions include SBOM documentation as outlined below. SBOMs can also be an important tool for transparency with users of potential risks as part of labeling as addressed later in Section VI   サイバーセキュリティに関連する機器のリスクおよび安全性と有効性への関連した影響のFDAによる評価を支援するために、FDAは市販前申請に以下のようなSBOM文書を含めることを推奨しています。SBOMはまた、セクションVIで後述するように、ラベリングの一部として潜在的なリスクをユーザーに透明化するための重要なツールになりえます。 
(b)  Documentation Supporting Software Bill of Materials  (b) ソフトウェア部品表をサポートする文書 
FDA’s guidance documents “Off-The-Shelf (OTS) Software Use in Medical Devices”[30]  and “Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software”[31] describe information that should be provided in premarket submissions for software components for which a manufacturer cannot claim complete control of the software lifecycle.  In addition to the information recommended in those guidances, for each OTS component, the following should also be provided in a machine-readable format in premarket submissions.   FDAのガイダンス文書「医療機器における既製(OTS)ソフトウェアの使用」[30]と「既製(OTS)ソフトウェアを含むネットワーク型医療機器のサイバーセキュリティ」[31]は、メーカーがソフトウェアのライフサイクルを完全にコントロールできないとするソフトウェアコンポーネントについて市販前申請で提供すべき情報を記述しています。 これらの指針で推奨される情報に加えて、各OTSコンポーネントについて、以下の事項を市販前申請の際に機械可読形式で提供することが望ましい。 
A.  The asset(s) where the software component resides;  A. ソフトウェア・コンポーネントが存在する資産
B.  The software component name;  B. ソフトウェア・コンポーネントの名称 
C.  The software component version;  C. ソフトウェアコンポーネントのバージョン 
D.  The software component manufacturer;  D. ソフトウェアコンポーネントの製造元 
E.  The software level of support provided through monitoring and maintenance from the software component manufacturer;  E. ソフトウェア部品製造業者による監視と保守を通じて提供されるソフトウェアレベル
F.  The software component’s end-of-support date; and  F.  ソフトウェア・コンポーネントのサポート終了日 
G.  Any known vulnerabilities.[32]  G. 既知の脆弱性[32]。
Industry-accepted formats of SBOMs can be used to provide this information to FDA; however, if any of the above elements are not captured in such an SBOM, we recommend that those items also be provided, typically as an addendum, to FDA for the purposes of supporting premarket submission review. Additional examples of the type of information to include in a SBOM can be found in the Joint Security Plan - Appendix G (“Example Customer Security Documentation”)[33] and Sections 2.3.17 and 2.3.18 of the Manufacturer Disclosure Statement for Medical Device Security (referred to as MDS2 or MDS2)[34] SBOMの業界標準のフォーマットを使用してFDAにこの情報を提供することができます。しかし、上記の要素のいずれかがSBOMに含まれていない場合、市販前の申請審査をサポートする目的で、それらの項目も、通常は補遺として、FDAに提供することをお勧めします。SBOMに含めるべき情報の種類の追加例は、共同セキュリティ計画-付録G(「顧客セキュリティ文書の例」)[33]および医療機器セキュリティに関する製造業者開示声明(MDS2またはMDS2と呼ばれる)[34]のセクション2.3.17および2.3.18で見つけることができます。
As part of the premarket submission, manufacturers should also describe how the known vulnerabilities (item (G) above) were discovered to demonstrate whether the assessment methods were sufficiently robust. For third-party components with known vulnerabilities, device manufacturers should provide in premarket submissions:  また、製造業者は、市販前申請の一部として、評価方法が十分に堅牢であったかどうかを示すために、既知の脆弱性(上記項目(G))がどのように発見されたかを説明する必要があります。既知の脆弱性を有するサードパーティーコンポーネントについて、機器メーカーは市販前申請で提供する必要があります。 
•       A safety and security risk assessment of each known vulnerability; and  ・各既知の脆弱性に関する安全性及びセキュリティリスク評価
•       Details of applicable safety and security risk controls to address the vulnerability.  If risk controls include compensating controls, those should be described in an appropriate level of detail  ・ 脆弱性に対処するために適用される安全性およびセキュリティリスクコントロールの詳細。 リスクコントロールに代償コントロールが含まれる場合,それらは適切なレベルで詳細に記述されるべきです。
For additional information and discussion regarding proprietary and third-party components, see section V.B.2., Security Architecture Views, below. 専有部品及び第三者部品に関する追加情報及び議論については、以下の「V.B.2.セキュリティアーキテクチャービュー」を参照のこと。
   
[25] See FDA guidance Off-The-Shelf (OTS) Software Use in Medical Devices available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices.  26  [25] 医療機器における既製(OTS)ソフトウェアの使用については、https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices にあるFDAガイダンスを参照。 26 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software にあるFDAガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照のこと。 
[26] See FDA guidance Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software.   [26] FDA ガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software)。  
[27] The use of “component” in this guidance is consistent with the definition in 21 CFR 820.3. [27] 本ガイダンスにおける「コンポーネント」の使用は、21 CFR 820.3における定義と一致している。
[28] While some suppliers may not grant access to source code, manufacturers may consider adding to their purchasing controls acquisition of the source code should the purchased software reach end of support or end of life from the supplier earlier than the intended end of support or end of life of the medical device.  [28] 供給者によってはソースコードへのアクセスを認めない場合もあるが、製造者は、購入したソフ トウェアが供給者からのサポート終了又は医療機器の意図したサポート終了又は寿命より早く終 了する場合には、ソースコードの取得を購買管理に加えることを検討してもよい。
[29] For additional information see the Department of Commerce National Telecommunications and Information Administration’s multi-stakeholder process for software transparency.  [29] その他の情報については、商務省電気通信情報局のソフトウェアの透明性に関するマルチステークホルダー・プロセスを参照してください。
https://www.ntia.doc.gov/SoftwareTransparency  https://www.ntia.doc.gov/SoftwareTransparency 
[30] See FDA guidance Off-The-Shelf (OTS) Software Use in Medical Devices available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices. [30] FDAガイダンス「Off-The-Shelf (OTS) Software Use in Medical Devices」を参照(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices)。
[31] See FDA guidance Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software. [31] https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software にあるFDAガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照すること。
[32] Known vulnerabilities are vulnerabilities that are published in the public National Vulnerability Database (NVD) or similar software vulnerability and/or weakness database. NVD is available at https://nvd.nist.gov/vuln/full-listing [既知の脆弱性とは、公開されているNational Vulnerability Database(NVD)または同様のソフトウェア脆弱性・弱点データベースで公開されている脆弱性を指します。NVD は、https://nvd.nist.gov/vuln/full-listing で利用可能です。
[33] Medical Device and Health IT Joint Security Plan (JSP) is available at https://healthsectorcouncil.org/the-jointsecurity-plan/. [33] 医療機器と医療ITの共同セキュリティ計画(JSP)は、https://healthsectorcouncil.org/the-jointsecurity-plan/ で入手できます。
[34] The Manufacturer Disclosure Statement for Medical Device Security is available at https://www.nema.org/standards/view/manufacturer-disclosure-statement-for-medical-device-security.  [34] 医療機器セキュリティに関する製造者開示説明書(Manufacturer Disclosure Statement for Medical Device Security)は、https://www.nema.org/standards/view/manufacturer-disclosure-statement-for-medical-device-security。

| | Comments (0)

ENISA EUにおける協調的脆弱性開示政策

こんにちは、丸山満彦です。

ENISAがEUにおける協調的脆弱性開示政策についての報告書を公開していますね。。。EU各国での協調的脆弱性開示政策を分析していますね。。。

あわせて、中国、米国、そして日本にも触れられています。。。日本といえば、「早期警戒パートナーシップ」ですね。。。かなり上手くいっているという評価のようです。。。

ENISA

・2022.04.13 (news) Coordinated Vulnerability Disclosure policies in the EU

Coordinated Vulnerability Disclosure policies in the EU EUにおける協調的脆弱性開示政策
The European Union Agency for Cybersecurity (ENISA) publishes a map of national Coordinated Vulnerability Disclosure (CVD) policies in the EU Member States and makes recommendations. 欧州連合サイバーセキュリティ機関(ENISA)は、EU加盟国各国の協調的脆弱性開示政策 (CVD) のマップを公開し、提言を行います。
<data-diazo="news-body">Vulnerability disclosure has become the focus of attention of cybersecurity experts engaged in strengthening the cybersecurity resilience of the European Union. The valid source of concern comes from the cybersecurity threats looming behind vulnerabilities, as demonstrated by the impact of the Log4Shell vulnerability. 欧州連合のサイバーセキュリティの強靭性強化に携わるサイバーセキュリティの専門家の間で、脆弱性の開示が注目されています。Log4Shellの脆弱性の影響に示されるように、脆弱性の背後に迫るサイバーセキュリティの脅威が、正当な懸念材料となっています。
Security researchers and ethical hackers constantly scrutinise ICT systems - both open source and commercial closed source software - to find weaknesses, misconfigurations, software vulnerabilities, etc. A wide range of issues are thus revealed: weak passwords, fundamental cryptographic flaws or deeply nested software bugs. セキュリティ研究者と倫理的ハッカーは、ICTシステム(オープンソースと商用クローズドソースの両方)を常に精査し、弱点、設定ミス、ソフトウェアの脆弱性などを見つけ出しています。このようにして、脆弱なパスワード、暗号の基本的な欠陥、あるいは深く入り組んだソフトウェアのバグなど、さまざまな問題が明らかになります。
Identifying vulnerabilities is therefore essential if we want to prevent attackers from exploiting them. It is important to consider that attackers can always develop malware specially designed to exploit vulnerabilities disclosed to the public. Besides the identification itself, vendors can also be reluctant to acknowledge vulnerabilities as their reputation might be damaged as a consequence. したがって、攻撃者に悪用されるのを防ぐためには、脆弱性を特定することが不可欠です。攻撃者は、公開された脆弱性を悪用するために特別に設計されたマルウェアを常に開発できることを考慮することが重要です。また、脆弱性の特定だけでなく、ベンダーが脆弱性を認めたがらないのは、結果として自社の評判を落とすことになりかねないからです。
What is CVD? CVDとは?
Coordinated vulnerability disclosure (CVD) is a process by which vulnerabilities finders work together and share information with the relevant stakeholders such as vendors and ICT infrastructure owners. 協調的脆弱性開示(CVD)とは、脆弱性発見者が協力し、ベンダーやICTインフラ所有者などの関係者と情報を共有するプロセスです。
CVD ensures that software vulnerabilities get disclosed to the public once the vendor has been able to develop a fix, a patch, or has found a different solution. CVDは、ベンダーが修正プログラムやパッチを開発したり、別の解決策を見つけたりした時点で、ソフトウェアの脆弱性が一般に公開されるようにするものです。
What are national CVD policies? 各国のCVD政策とは何ですか?
National CVD policies are national frameworks of rules and agreements designed to ensure: 各国の CVD 政策とは、以下のことを確実にするためのルールや合意事項からなる国家的な枠組みです。
・researchers contact the right parties to disclose the vulnerability; ・研究者は、脆弱性を開示するために適切な関係者に連絡する。
・vendors can develop a fix or a patch in a timely manner; ・ベンダーがタイムリーに修正プログラムやパッチを開発できること。
・researchers get recognition from their work and are protected from prosecution. ・研究者が自分の仕事を評価され、訴追から保護されること。
What is the situation in the EU? EUの状況は?
The report published today maps the national CVD policies in place across the EU, compares the different approaches and, highlights good practices. 本日発表された報告書は、EU全域で実施されている各国のCVD政策をマッピングし、異なるアプローチを比較し、優れた実践例を紹介しています。
The analysis allows a wide disparity to be observed among Member States in relation to their level of CVD policy achievement. At the time the data used in the report was collected, only four Member States had already implemented such a CVD policy, while another four of them were about to do so. The remaining Member States are split into two groups: those currently discussing how to move forward and those who have not yet reached that stage. この分析により、CVD政策の達成度に関して、加盟国間で大きな格差があることが確認された。この報告書で使用されたデータが収集された時点で、CVD政策をすでに実施していた加盟国はわずか4カ国であり、さらにそのうちの4カ国は実施間近であった。残りの加盟国は、現在どのように進めるか議論している国と、まだその段階に至っていない国の2つのグループに分けられます。
What are ENISA’s recommendations to promote CVD? CVDを推進するためのENISAの提言とは?
The main recommendations from the analysis of nineteen EU Member States include: 19のEU加盟国の分析から得られた主な提言は以下の通りです。
・Amendments to criminal laws and to the Cybercrime Directive to offer legal protection to security researchers involved in vulnerability discovery; ・脆弱性発見に関与するセキュリティ研究者に法的保護を提供するための刑法およびサイバー犯罪指令の改正。
・the definition of specific criteria for a clear-cut distinction between “ethical hacking” and “black hats” activities prior to establishing any legal protection for security researchers; ・セキュリティ研究者の法的保護を確立する前に、「倫理的ハッキング」と「ブラックハット」活動を明確に区別するための具体的基準を定義すること。
・incentives to be developed for security researchers to actively participate in CVD research, either through national or European bug bounty programmes, or through promoting and conducting cybersecurity training. ・セキュリティ研究者が CVD 研究に積極的に参加するためのインセンティブを、国内または欧州のバグバウンティプログラム、あるいはサイバーセキュリティ研修の推進と実施のいずれかを通じて開発すること。
Apart from the above, additional recommendations are issued in relation to the economic and polical challenges and also address operational and crisis management activities. 上記とは別に、経済的・政治的課題、運用・危機管理活動に関する追加提言も発表されている。
Next steps 次のステップ
The Commission’s proposal for the revision of the Network and Information Security Directive or NIS2 proposal, provides for EU countries to implement a national CVD policy. ENISA will be supporting the EU Member States with the implementation of this provision and will be developing a guideline to help EU Member States establish their national CVD policies. 欧州委員会のネットワークおよび情報セキュリティ指令の改正案(NIS2案)では、EU諸国が国別のCVD政策を実施することが規定されています。ENISAは、この規定の実施についてEU加盟国を支援し、EU加盟国の国家CVD政策の確立を支援するためのガイドラインを策定する予定です。
In addition, ENISA will need to develop and maintain an EU Vulnerability database (EUVDB). The work will complement the already existing international vulnerability databases. ENISA will start discussing the implementation of the database with the European Commission and the EU Member States after the adoption of the NIS2 proposal. さらに、ENISAはEU脆弱性データベース(EUVDB)を開発し、維持する必要があります。この作業は、すでに存在する国際的な脆弱性データベースを補完することになります。ENISAは、NIS2提案の採択後、欧州委員会およびEU加盟国とデータベースの導入について協議を開始する予定です。
Background material 背景資料
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in 2016, and the economic impact of vulnerabilites was explored in detail in 2018. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2018/2019 State of Vulnerabilities report. この報告書は、脆弱性の分野でENISAが行った過去の作業を基に作成されています。ENISAは2016年に脆弱性開示に関するグッドプラクティスに関する報告書を発行し、2018年には脆弱性の経済的影響について詳細に検討しました。さらに、脆弱性エコシステムの限界と機会については、ENISA 2018/2019 State of Vulnerabilitiesレポートで分析されました。
Further information さらに詳しい情報
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities 脆弱性の状態2018/2019 - 脆弱性の生涯における事象の分析
Economics of Vulnerability Disclosure 脆弱性情報公開の経済学
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations 脆弱性開示に関するグッドプラクティスガイド:課題から提言まで

 


・2022.04.13 Coordinated Vulnerability Disclosure Policies in the EU

Coordinated Vulnerability Disclosure Policies in the EU EUにおける協調的脆弱性開示政策
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements. 本レポートでは、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握できるほか、ハイレベルな主要調査結果や今後の改善に関する提言も掲載しています。

・[PDF

20220415-50403

概要...

EXECUTIVE SUMMARY  エグゼクティブ・サマリー
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements.  本報告書では、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握することはもちろん、ハイレベルな重要事項や今後の改善に向けた提言も行っています。
As shown by the recent Apache Log4j vulnerability, a single software flaw can put hundreds of millions of devices around the world at risk, leaving organizations struggling to patch affected systems before the vulnerability turns into a security incident. This is yet another vulnerability with global repurcussions that shows the importance of security research, communication between stakeholders, patching and good security practices.  最近のApache Log4jの脆弱性に見られるように、1つのソフトウェアの欠陥が世界中の何億ものデバイスを危険にさらし、組織は脆弱性がセキュリティ事故に発展する前に、影響を受けるシステムにパッチを当てることに苦労しています。これは、セキュリティ研究、関係者間のコミュニケーション、パッチ適用、優れたセキュリティ対策の重要性を示す、世界的な影響を及ぼすもう一つの脆弱性です。
A national CVD policy is a framework under which security researchers are allowed and encouraged to research ICT products and services, following a set of rules, and report any vulnerabilities they find to the national authorities or the product vendor. A national CVD policy helps to increase the overall level of cybersecurity in a country; it increases transparency, and this helps to build trust in the ICT services and products used in that country. In addition, it allows for valuable time and cooperation between stakeholders for patch development, which can potentially reduce the time for exploitation.  CVD政策とは、セキュリティ研究者が一定のルールに従ってICT製品やサービスを研究し、発見した脆弱性を国家機関や製品ベンダーに報告することを許可・奨励する枠組みを指します。CVD政策は、その国のサイバーセキュリティのレベルを向上させ、透明性を高め、その国で使用されているICTサービスや製品に対する信頼性を高めるのに役立ちます。さらに、パッチ開発のための貴重な時間と関係者間の協力が可能になり、悪用されるまでの時間を短縮できる可能性があります。
At the national level, the research shows that, while evolving in a fragmented EU environment, multiple EU Member States are making progress in the development of national CVD policies. Currently, only Belgium, France, Lithuania and the Netherlands are undertaking CVD policy work and have implemented policy requirements. Among these four countries, policy initiatives strongly differ. In parallel, four other Member States are on the point of implementing a policy. In these cases, the proposal is either being examined at the level of policymakers or is being tested in pilot projects. Another set of ten EU Member States are considering implementing a national CVD policy or are on the point of doing so. However, failure to reach a consensus at the political or legislative levels hampered the process. Finally, another group of Member States (nine) has not implemented a CVD policy and the process for establishing one has not yet started.  国レベルでは、断片的なEU環境の中で進化しながらも、複数のEU加盟国が国別CVD政策の策定を進めていることが調査から明らかになっています。現在、ベルギー、フランス、リトアニア、オランダだけがCVD政策に取り組んでおり、政策要件を導入しています。この4カ国の間では、政策の取り組みに大きな違いがあります。これと並行して、他の4つの加盟国も政策の実施に踏み切っています。これらの国では、政策立案者レベルで検討されているか、パイロットプロジェクトで試験的に実施されている段階です。また、EU加盟国のうち10カ国は、国内CVD政策の実施を検討しているか、実施しようとしています。しかし、政治や立法レベルでのコンセンサスが得られないことが、このプロセスの障害となっています。最後に、別の加盟国(9カ国)はCVD政策を実施しておらず、政策の確立に向けたプロセスもまだ始まっていません。
This EU market heterogeneity could be explained by various challenges faced by national governments when considering CVD initiatives. These challenges include legal, economical and political aspects which are further addressed in this report. Additionally, the lack of alignment of CVD practices, terminology, understanding and assessment of a CVD process is perceived as an obstacle for the implementation of national CVD policies and cooperation between Member States.  このようなEU市場の異質性は、CVDの取り組みを検討する際に各国政府が直面するさまざまな課題によって説明することができます。これらの課題には、法的、経済的、政治的な側面が含まれ、本レポートでさらに詳しく説明されています。さらに、CVDの実務、用語、CVDプロセスの理解や評価が一致していないことが、各国のCVD政策の実施や加盟国間の協力の障害になっていると考えられています。
More specifically, it turned out that the comprehensive CVD process is often, but not always, supported by national CSIRTs, which many countries see as the natural focal point for these activities. Good practices related to CVD policies and authorities’ involvement have been shared by Member States representatives and collected in this report.  具体的には、包括的なCVDのプロセスは、多くの場合、各国のCSIRTによって支援されているが、常に支援されているわけではなく、多くの国がこれらの活動のための自然な中心地であるとみなしていることが判明しました。本報告書では、CVD政策と当局の関与に関するグッドプラクティスをメンバー国の代表と共有し、収集しました。
CVD policy initiatives carried out in China, Japan and the United States were also reported. These non-EU players presented various methods of creating and adapting a CVD national policy, and maintaining and working on vulnerability registries. These notions are further detailed aside from EU practices and illustrated with inspiring inputs from experts.  また、中国、日本、米国におけるCVD政策の取り組みも報告されました。これらの非EU加盟国は、CVD国家政策の策定と適応、脆弱性登録の維持と作業について、さまざまな方法を提示しました。これらの概念は、EUの慣行とは別にさらに詳しく、専門家からの刺激的なインプットとともに説明されています。
Furthermore, there are several challenges that were identified by the Member States and are presented for discussion, along with relevant recommendations that can help mitigate them and support the implementation of national vulnerability disclosure policies. These challenges were identified and categorized based on their nature as legal, economic or political, and include findings such as  さらに、加盟国によって特定されたいくつかの課題があり、それらを軽減し、脆弱性開示の国家政策の実施を支援することができる関連勧告とともに、議論のために提示されています。これらの課題は、法的、経済的、政治的な性質に基づいて特定・分類され、以下のような知見が含まれています。
•        legal risks faced by researchers;  ・研究者が直面する法的リスク
•        limited economic incentives for vulnerability research;  ・脆弱性研究に対する限られた経済的インセンティブ
•        political challenges related to the role of the government and ‘safe harbour’ for researchers.  ・政府の役割と研究者のための「セーフハーバー」に関する政治的課題。
Lastly, following the analysis, several recommendations and concrete suggestions were presented for the role of the European Union Agency for Cybersecurity (ENISA) in supporting CVD in the EU. Some of the most important recommendations and suggested objectives are listed below.  最後に、分析に続いて、EUにおけるCVDの支援における欧州連合サイバーセキュリティ機関(ENISA)の役割について、いくつかの提言と具体的な提案が提示されました。最も重要な提言と提案された目標を以下に挙げます。
Major recommendations  主な提言 
•        Take the necessary steps to develop and implement national CVD policies.  ・各国のCVD政策の策定と実施に必要な措置を講じること。
•        Define the role of ethical hackers in relevant national laws to establish a framework for ethical security research around vulnerabilities.  ・倫理的ハッカーの役割を関連する国内法で定義し、脆弱性をめぐる倫理的なセキュリティ研究の枠組みを確立すること。
•        Develop incentives for security researchers to actively participate in CVD research. ・セキュリティ研究者が CVD 研究に積極的に参加できるようなインセンティブを整備すること。
Role for ENISA and the European Commission  ENISAと欧州委員会の役割 
•        Provide clear guidance to Member States on how to establish a CVD policy.  ・加盟国に対しCVD政策の策定方法について明確なガイダンスを提供すること。
•        Promote knowledge building and information exchange on CVD at the EU level.  ・EUレベルでのCVDに関する知識の構築と情報交換を促進すること。
•        Encourage the harmonization of CVD initiatives across countries.  ・国を超えたCVDの取り組みの調和を促進すること。
The information regarding the state of play of EU Member States presented herein was collected between Q2 and Q3 2021. Any updates to that status since then will be presented in future ENISA work. 本書で紹介するEU加盟国の取り組み状況に関する情報は、2021年第2四半期から第3四半期にかけて収集されたものです。それ以降のその状況の更新は、今後のENISAの作業で紹介される予定です。

 

目次...

1. INTRODUCTION  1. はじめに 
2. COORDINATED VULNERABILITY DISCLOSURE POLICIES  2. 協調的脆弱性開示政策 
2.1 STATE OF PLAY CVD POLICIES IN THE EU AND RELEVANT COUNTRIES AND REGIONS OUTSIDE  THE EU 2.1 EU および EU 圏外の関連国・地域における CVD 政策の実施状況
2.2 STATUS OF CVD POLICIES IN THE EU  2.2 EUにおけるCVD政策の状況 
2.3 CVD WITHIN EACH MEMBER STATE  2.3 各加盟国でのCVD 
2.3.1 Belgium  2.3.1 ベルギー 
2.3.2 Bulgaria  2.3.2 ブルガリア 
2.3.3 Czechia  2.3.3 チェコ共和国 
2.3.4 Denmark  2.3.4 デンマーク 
2.3.5 Germany  2.3.5 ドイツ 
2.3.6 Estonia  2.3.6 エストニア 
2.3.7 Ireland  2.3.7 アイルランド 
2.3.8 Greece  2.3.8 ギリシャ 
2.3.9 Spain  2.3.9 スペイン 
2.3.10 France  2.3.10 フランス 
2.3.11 Croatia  2.3.11 クロアチア 
2.3.12 Italy  2.3.12 イタリア 
2.3.13 Cyprus  2.3.13 キプロス 
2.3.14 Latvia  2.3.14 ラトビア 
2.3.15 Lithuania  2.3.15 リトアニア 
2.3.16 Luxembourg  2.3.16 ルクセンブルク 
2.3.17 Hungary  2.3.17 ハンガリー 
2.3.18 Malta  2.3.18 マルタ 
2.3.19 The Netherlands  2.3.19 オランダ 
2.3.20 Austria  2.3.20 オーストリア 
2.3.21  Poland  2.3.21 ポーランド 
2.3.22 Portugal  2.3.22 ポルトガル 
2.3.23 Romania  2.3.23 ルーマニア 
2.3.24 Slovenia  2.3.24 スロベニア 
2.3.25 Slovakia  2.3.25 スロバキア 
2.3.26 Finland  2.3.26 フィンランド 
2.3.27 Sweden  2.3.27 スウェーデン 
2.4 CVD OUTSIDE THE EUROPEAN UNION  2.4 欧州連合外のCVD 
2.4.1 People’s Republic Of China   2.4.1 中華人民共和国  
2.4.2 Japan   2.4.2 日本  
2.4.3 United States of America   2.4.3 アメリカ合衆国  
3. CVD POLICY PRACTICES  3. CVD政策の実践 
3.1 DESIRED ELEMENTS OF CVD PROCESSES  3.1 CVDプロセスに望まれる要素 
3.1.1 Entities Involved  3.1.1 関与する主体 
3.1.2 Tools  3.1.2 ツール 
3.1.3 Awareness-Raising Campaigns  3.1.3 意識改革キャンペーン 
3.1.4 Operational and Crisis Management Activities  3.1.4 運用・危機管理活動 
3.2 CVD POLICY – GOOD PRACTICES  3.2 CVD政策 - グッドプラクティス 
3.2.1 Content of a CVD Policy  3.2.1 CVD政策の内容 
3.2.2 Established Good Practices in Member States CVD Procedures  3.2.2 加盟国のCVD手続きにおけるグッドプラクティスの確立 
3.3 CHALLENGES AND ISSUES  3.3 課題と問題点 
3.3.1 Legal challenges  3.3.1 法的課題 
3.3.2 Economic challenges  3.3.2 経済的な課題 
3.3.3 Political challenges  3.3.3 政治的な課題 
4. RECOMMENDATIONS  4. 提言 
4.1 RECOMMENDATIONS ON LEGAL CHALLENGES  4.1 法的課題に関する提言 
4.2 RECOMMENDATIONS ON ECONOMIC CHALLENGES  4.2 経済的課題に関する提言 
4.3 RECOMMENDATIONS ON POLITICAL CHALLENGES  4.3 政治的課題に関する提言 
4.4 RECOMMENDATIONS ON CHALLENGES FROM OPERATIONAL AND CRISIS MANAGEMENT ACTIVITIES  4.4 作戦・危機管理活動からの課題に関する提言 
4.5 THE ROLE OF ENISA AND OF THE EUROPEAN COMMISSION  4.5 ENISAと欧州委員会の役割 
5. REFERENCES  5. 参考文献 
6. BIBLIOGRAPHY  6. 関連文書

 

日本についての説明の部分...

2.4.2 Japan 75  2.4.2 日本
In Japan, the coordinated disclosure of vulnerabilities in products such as software is performed in accordance with the ‘Information Security Early Warning Partnership Guideline’ (hereafter ‘Guideline’). This guideline is based on a 2004 notification from the Ministry of Economy, Trade and Industry (METI) entitled ‘Standards for Handling Software Vulnerability Information and Others’, which was amended in 2014 and 2017. The notification was renamed ‘Standards for Handling Vulnerability-related Information of Software Products and Others’ in 2017. The guideline was created and jointly announced in cooperation with several industry organisations, namely the Japan Electronics and Information Technology Industries Association (JEITA), the Japan Information Technology Service Industry Association (JISA), the Computer Software Association of Japan (CSAJ) and the Japan Network Security Association (JNSA). It serves as a recommendation to parties relevant to the coordinated vulnerability disclosure process. The recommended processes in the guideline are in alignment with ISO/IEC 29147:2014 ‘Vulnerability disclosure’. For the purposes of this document, vulnerabilities in products such as software and firmware will be considered.  日本では、「情報セキュリティ早期警戒パートナーシップガイドライン」(以下、「ガイドライン」)に基づき、ソフトウェアなどの製品の脆弱性を協調して開示することが行われています。このガイドラインは、2004年に経済産業省から出された「ソフトウェアの脆弱性情報等の取扱いに関する基準」に基づいており、2014年、2017年に改正されました。同通達は2017年に『ソフトウェア製品の脆弱性関連情報の取扱い基準等』に名称が変更されました。本ガイドラインは、複数の業界団体である電子情報技術産業協会(JEITA)、情報通信サービス産業協会(JISA)、コンピュータソフトウェア協会(CSAJ)、日本ネットワークセキュリティ協会(JNSA)の協力を得て作成し、共同で発表したものです。脆弱性情報開示の協調プロセスに関わる関係者への推奨事項となっています。本ガイドラインの推奨プロセスは、ISO/IEC 29147:2014 'Vulnerability disclosure' と整合しています。この文書では、ソフトウェアやファームウェアなどの製品に存在する脆弱性を考慮しています。
In this guideline, vulnerability reports from researchers are sent to the Information-technology Promotion Agency (IPA), a policy implementation agency under the jurisdiction of METI handling initial analysis and triage. After this process, the reports are sent to the JPCERT Coordination Center (JPCERT/CC), an independent, non-profit organisation funded by METI for coordination with the vendor/developer of the product. Once the vulnerability has been addressed by the vendor/developer, an advisory will be published on Japan Vulnerability Notes (JVN), typically in conjunction with an advisory from the vendor/developer. Through this coordinated vulnerability disclosure process, a total of 1 875 advisories have been published on JVN as of March 2021.  本ガイドラインでは、研究者からの脆弱性報告は、経済産業省所管の政策実施機関である情報処理推進機構(IPA)に送られ、初期解析とトリアージが行われます。その後、経済産業省が出資する独立非営利団体JPCERTコーディネーションセンター(JPCERT/CC)に送られ、製品のベンダーや開発元との調整が行われます。ベンダー/開発元が脆弱性に対応した後、通常、ベンダー/開発元からのアドバイザリーとともに、Japan Vulnerability Notes (JVN)に公開されることになります。この協調的な脆弱性公開プロセスにより、2021年3月現在、合計1、875件のアドバイザリーがJVNで公開されています。
While this coordinated vulnerability disclosure process has worked fairly well, the number of reports received has increased significantly over the past few years. Various factors have caused this increase, among them being an increase in the overall awareness of security vulnerabilities, in the number of researchers searching for vulnerabilities, in the number of products available and in the availability of easy-to-use tools for vulnerability discovery. The increase in reports has led to a process overflow where some reports are not being handled in a timely manner. The guideline initially stated that all reported vulnerabilities must be coordinated and subsequently disclosed on JVN after the vulnerability has been addressed. While it is probably best to coordinate and disclose all reported vulnerabilities, regardless of their severity or the number of users that a particular product has, this is not practical in practice. Also, since this guideline has been published, many vendors/developers have become receptive to the coordinated vulnerability disclosure process, but there remain vendors/developers that are not.  この協調的な脆弱性開示プロセスは、かなりうまく機能しており、ここ数年、報告書の受理件数は大幅に増加しています。この増加にはさまざまな要因がありますが、中でも、セキュリティ脆弱性に対する全体的な意識の高まり、脆弱性を検索する研究者の数、利用可能な製品の数、脆弱性発見のための使いやすいツールの普及が挙げられます。報告件数の増加により、一部の報告がタイムリーに処理されないというプロセスのオーバーフローが発生しています。当初、ガイドラインでは、報告された脆弱性はすべて調整され、その後、脆弱性が対処された後にJVNで公開されなければならないとされていました。報告された脆弱性は、その深刻度や特定製品のユーザ数にかかわらず、すべて調整し公開することが最善であると思われますが、実際には現実的ではありません。また、このガイドラインが発行されて以来、多くのベンダー/デベロッパーが協調して脆弱性を開示するプロセスを受け入れるようになりましたが、そうでないベンダー/デベロッパーも残っています。
As a recommendation for creating a policy on coordinated vulnerability disclosure, the experiences in Japan lead to the following considerations.  脆弱性の協調開示に関する政策策定への提言として、日本での経験から、以下のような考察がなされます。
•        Incentive should be provided to researchers to report vulnerabilities to an organisation that can directly address the vulnerability or at least coordinate with an organisation that can address the vulnerability.  ・脆弱性に直接対処できる組織や、少なくとも対処できる組織と連携して脆弱性を報告するインセンティブを、研究者に与えるべきである。
•        Monetary incentive should also be provided (bug bounty).  ・金銭的なインセンティブも与えるべきである(バグバウンティ)。
•        Recognition should also be provided (credit on an advisory).  ・また、表彰を行うべきである(アドバイザリーへのクレジット掲載)。
•        Incentives should be provided to vendors to support the coordinated disclosure of vulnerabilities.  ・ベンダーに対して、脆弱性の協調的な公開を支援するインセンティブを与えるべきである。
•        Vendors should be allowed to promote their own actions to address vulnerabilities as a good practice (market appeal).  ・ベンダーは、自らの脆弱性対応行動をグッドプラクティスとしてアピールできるようにすべきである(市場へのアピール)。
•        Third-party coordinators can also provide value in this process.  ・また、第三者であるコーディネータもこのプロセスにおいて価値を提供することができる。
•        Advisories should be published so that information can reach a wider audience.  ・より多くの人に情報が届くように、アドバイザリを公開するべきである。
•        Support should be provided in the coordination process where multiple organisations need to be contacted with a vulnerability (multi-party coordination).  ・脆弱性に関して複数の組織と連絡を取る必要がある場合、調整プロセスにおいて支援を行うべきである(複数当事者による調整)。
•        The coordination process should be clarified so that researchers know how a reported vulnerability will be coordinated and disclosed.  ・報告された脆弱性がどのように調整され、公開されるかを研究者が知ることができるよう、調整プロセスを明確化する必要がある。
•        Vendors should be taught how to create a coordination process so that researchers know vendors will address reported vulnerabilities.  ・ベンダが報告された脆弱性に対応することが研究者にわかるように、ベンダに対して調整プロセスの作成方法を指導するべきである。

 

 

| | Comments (0)

2022.04.14

経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

こんにちは、丸山満彦です。

経済産業省が、無人航空機を対象としたサイバーセキュリティガイドラインを策定したと発表していましたね。。。見逃していました(^^;;

策定の目的ですが、、、


測量や物流、設備点検、警備、災害時の被災状況調査など無人航空機システムの活用分野が広がる中、これらの用途で扱われる記録映像やフライトログなどの情報が漏えいするリスクも増大しています。


ということもあり、今回のガイドラインは、

記録映像、フライトログの漏洩リスク

を中心に考えているんですかね。。。ガイドラインの中で対象とするセキュリティについてより正確に定義しています、、、


本書が対象とする非耐空性のセキュリティ(Non-Airworthiness Security)の定義

本書において対象範囲とする、無人航空機の耐空性に影響しないセキュリティ領域を非耐空性のセキュリティ(Non-Airworthiness Security)と定義する。

  • What:無人航空機システムにおいて実装されるソフトウェアや、取り扱われるデータが
  • When:「企画」、「設計・製造」、「評価」、「運用」、「廃棄」に至るまで
  • Where:電子情報及び、電子通信における経路上において
  • Who:第三者や外部、あるいは内部から
  • Why:意図的または随意的な
  • How:攻撃を受けた場合や過失により
  • Event:経済的損失、社会的信用の失墜、法制度への抵触、プライバシ侵害、セキュリティ機能の低下につながる

 

まずは、非耐空性のセキュリティ(Non-Airworthiness Security)のうち、情報システムの脅威を対象としているということですね。。。

 


20220414-45322

図 1-1 DO-356A が定義する耐空性に関するセキュリティの範囲6と、本書の対象スコープ


で、さらに構成要素で見ると。。。



20220414-52447_20220414052501

 図 2-1 無人航空機の汎用的なシステムモデル


となるようです。。。

PDFファイル314ページにも及ぶ大作ですから、全体像の理解が重要ですので、、、全体像の理解から、、、

第2章:無人航空機のシステムモデルイメージを定義し、システムモデル上のデータフローから取り扱われるデータを明確化する。
第3章:無人航空機分野として考慮すべきセキュリティ対策事項を導出する。
第4章:第2章の無人航空機のシステムモデルに対するリスク分析プロセスや、実施例を示す。
第5章:第3章の調査結果及び、第4章のリスク分析結果を踏まえ、無人航空機システムの構成要素別にセキュリティ要件を示す。また、ステークホルダー別に組織の活動に関するセキュリティ要件を示す。
Appendix_A :第5章のセキュリティ要件について、国内外の主要なガイドラインとの対応関係を示す。
Appendix_B :第4章のリスク分析プロセスの参考として、リスクレベルの検討例を示す。
Appendix_C :用語に関する用語集を示す。
Appendix_D :参考、参照した規格、ガイドライン文書を示す。

 


20220414-52001

図 1-2 本書の構成と、各章の関係性の整理


 

セキュリティ要件は、IPAが発行した「制御システムのセキュリティリスク分析ガイド第2版」の事業被害レベルの判断基準を参考にした4段階に応じて設定しているようですね。。。

4段階の分け方は、利用目的に応じて、

  • セキュリティクラス1:一般利用
  • セキュリティクラス2: 測量や物流、設備点検など通常の産業利用が想定される分野
  • セキュリティクラス3: 警備や災害対応など人命や安全に影響する分野
  • セキュリティクラス4: 軍事・国防領域

として、このうち、セキュリティクラス2、3を対象としていますね。。。

 


20220414-54051


 

 

経済産業省

・2022.03.31 無人航空機を対象としたサイバーセキュリティガイドラインを策定

・[PDF] 無人航空機_サイバーセキュリティガイドライン_Ver1.0

20220414-54913

 


■ 参考

日本

一般社団法人セキュアドローン協議会

・2021.05.20 セキュアドローン協議会、『ドローンセキュリティガイド 第2版』公開

ドローンセキュリティガイド

ドローンセキュリティガイド第2版 ダウンロードフォーム

20220414-55731

 

公立大学法人会津大学

・2019.05.22 サービスロボット・セキュリティガイドライン

・[PDF] サービスロボットセキュリティガイドラインVer1.0


20220414-60331

 

 

| | Comments (0)

2022.04.13

米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

こんにちは、丸山満彦です。

米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。サイバーインシデント報告法により、重要インフラの所有者および運営者は、実質的なサイバー攻撃に遭遇した場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられることになったので、それも踏まえたものなのでしょうね。。。

どういう場合に、どういうことを、誰と共有したら良いのかについて、参考になりそうです。。。

 

CISA

・2022.04.07 Guidance on Sharing Cyber Incident Information

Guidance on Sharing Cyber Incident Information サイバーインシデント情報の共有化に関するガイダンス
CISA’s Sharing Cyber Event Information Fact Sheet provides our stakeholders with clear guidance and information about what to share, who should share, and how to share information about unusual cyber incidents or activity.   CISAのSharing Cyber Event Information Fact Sheetは、異常なサイバーインシデントやアクティビティについて、何を共有すべきか、誰が共有すべきか、どのように共有すべきかについての明確なガイダンスと情報をステークホルダーに提供します。 
CISA uses this information from partners to build a common understanding of how adversaries are targeting U.S. networks and critical infrastructure sectors. This information fills critical information gaps and allows CISA to rapidly deploy resources and render assistance to victims suffering attacks, analyze incoming reporting across sectors to spot trends, and quickly share that information with network defenders to warn other potential victims.  Click the fact sheet link to learn more and visit our Shields Up site for useful information. CISAは、敵対者がどのように米国のネットワークと重要インフラ部門を標的にしているかについての共通理解を構築するために、パートナーからのこの情報を使用しています。この情報によって重要な情報格差が埋まり、CISAは攻撃に苦しむ被害者にリソースを迅速に配備して支援を提供し、部門を超えて寄せられる報告を分析して傾向を把握し、その情報をネットワーク防御者と迅速に共有して他の潜在的被害者に警告を発することができるようになります。  ファクトシートのリンクをクリックして詳細を、「 Shields Up site 」で有用な情報を、確認してください。

 

ファクトシート...

・[PDF] SHARING CYBER EVENT INFORMATION: OBSERVE, ACT, REPORT

20220413-51852

 

SHARING CYBER EVENT INFORMATION: OBSERVE, ACT, REPORT サイバーイベント情報の共有:観察、行動、報告
Cybersecurity information sharing is essential to collective defense and strengthening cybersecurity for the Nation. サイバーセキュリティの情報共有は、集団的な防衛と国家のサイバーセキュリティの強化に不可欠です。
That’s why, as the nation’s cyber defense agency, CISA applauds the passage of the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). In accordance with CIRCIA, CISA will now undertake a rulemaking process to implement the statutory requirements. In the interim. CISA continues to encourage our stakeholders to voluntarily share information about cyber-related events that could help mitigate current or emerging cybersecurity threats to critical infrastructure. Together we can make a difference. そのため、CISAは国家のサイバー防衛機関として、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)の成立を称賛しています。CIRCIAに従い、CISAは今後、法定要件を実施するためのルール策定プロセスに着手する予定です。その間のことです。CISAは引き続き、重要インフラに対する現在または新たなサイバーセキュリティの脅威を軽減するのに役立つサイバー関連事象に関する情報を自主的に共有するよう、関係者に呼びかけています。私たちが力を合わせれば、変化をもたらすことができます。
When cyber incidents are reported quickly, CISA can use this information to render assistance and provide a warning to prevent other organizations and entities from falling victim to a similar attack. This information is also critical to identifying trends that can help efforts to protect the homeland. サイバー事件が迅速に報告されると、CISAはこの情報を利用して支援を提供し、他の組織や団体が同様の攻撃の犠牲になるのを防ぐために警告を発することができます。また、この情報は、国土を保護する取り組みに役立つ傾向を把握するためにも重要です。
10 KEY ELEMENTS TO SHARE 共有すべき10の重要な要素
* 1. Incident date and time  * 1.発生日時、時刻 
* 2. Incident location  * 2.発生場所 
* 3. Type of observed activity  * 3.観測された活動の種類 
* 4. Detailed narrative of the event  * 4.事象の詳細な説明 
* 5. Number of people or systems affected  * 5. 影響を受けた人またはシステムの数 
* 6. Company/Organization name  * 6. 会社・団体名 
* 7. Point of Contact details  * 7. 連絡先詳細 
* 8. Severity of event  * 8. イベントの深刻度 
* 9. Critical Infrastructure Sector if known * 9. (わかる場合)重要インフラ部門がわかっているか
10. Anyone else you informed 10. その他知らせたいこと
*Priority *優先事項
WHAT YOU CAN DO  あなたができること 
• OBSERVE the activity ・活動を観察する
• ACT by taking local steps to mitigate the threat ・脅威を軽減するために,現地で対策を講じる。
• REPORT the event ・事象を報告する
WHO SHOULD SHARE  共有すべき人 
• Critical Infrastructure Owners and Operators ・重要インフラ所有者・運営者
• Federal, State, Local, Territorial, and Tribal Government Partners ・連邦政府、州政府、地方政府、準州、部族政府のパートナー
WHAT TYPES OF ACTIVITY SHOULD YOU SHARE WITH CISA  どのような活動をCISAと共有する必要がありますか?
• Unauthorized access to your system ・システムに対する不正なアクセス
• Denial of Service (DOS) attacks that last more than 12 hours ・12時間以上続くDOS攻撃
• Malicious code on your systems, including variants if known ・システム上の悪質なコード(既知の場合はその亜種を含む)
• Targeted and repeated scans against services on your systems ・自システム上のサービスに対する標的型の反復スキャン
• Repeated attempts to gain unauthorized access to your system ・自システムへの度重なる不正アクセスの試み
• Email or mobile messages associated with phishing attempts or successes ** ・フィッシングの試みや成功に関連した電子メールや携帯電話のメッセージ **。
• Ransomware against Critical Infrastructure, include variant and ransom details if known ・重要インフラに対するランサムウェア(判明している場合は亜種と身代金の詳細を含む)
HOW SHOULD YOU SHARE  どのように共有するのか 
If you are a Federal or Critical Infrastructure partner that has completed one of our Incident Reporting Forms we encourage you to continue to use this method. If you have never reported to CISA, or don’t have the time or capability, we encourage you to send an email to Report@cisa.gov and be as detailed as possible using the guidelines identified above. Please include full contact information or we may not be able to take the appropriate action.  連邦政府または重要インフラのパートナーで、CISAのインシデント報告フォームのいずれかに記入したことがある場合は、引き続きこの方法を使用することを推奨します。CISAに報告したことがない場合、または時間や能力がない場合は、Report@cisa.gov、上記のガイドラインに従ってできるだけ詳細に電子メールを送信することを推奨します。完全な連絡先情報を記載してください。でなければ適切な対応ができない場合があります。
**CISA partners with the Anti-Phishing Working Group (APWG) to collect phishing email messages, mobile messages and website locations to help people avoid becoming victims of phishing scams. You can share phishing info with CISA by sending the phishing email to phishing-report@us-cert.gov.  **CISAはAnti-Phishing Working Group(APWG)と提携し、フィッシング詐欺の被害に遭わないよう、フィッシングメールメッセージ、モバイルメッセージ、ウェブサイトの所在地を収集しています。フィッシングメールを phishing-report@us-cert.gov に送信することで、CISA とフィッシング情報を共有することができます。
WHAT TO EXPECT  期待すること 
CISA will triage and analyze your report. If appropriate, we will share anonymized information about this activity with others to help them manage their risk. If CISA needs additional information, we will contact you for additional details from one of our official accounts.  CISAは、あなたのレポートをトリアージし、分析します。適切であれば、この活動に関する匿名化された情報を他者と共有し、リスク管理の一助とします。CISAが追加情報を必要とする場合、CISAの公式アカウントのいずれかから追加の詳細をご連絡します。

 

 

 

 


■ 参考

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

金融

・2021.11.23 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

企業情報開示での開示の話。。。

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

米国のサイバー戦略におけるリスク対応の源流...

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令


| | Comments (0)

中国 香港 個人データのためのプライバシーコミッショナー室 (PCPD) が「ソーシャルメディアのプライバシー設定比較」報告書を公表していますね。。。

こんにちは、丸山満彦です。

香港の個人データのためのプライバシーコミッショナー室 (Office of th Privacy Commissioner for Personal Data, Hong Kong: PCPD) がソーシャルメディアのプライバシー設定比較」報告書を公表していますね。。。

比較対象としているのは、香港で利用が多い10のソーシャルメディア、メッセンジャーで

  1. Facebook
  2. Facebook Messenger
  3. Instagram
  4. LINE
  5. LinkedIn
  6. Skype
  7. Twitter
  8. WeChat
  9. WhatsApp
  10. YouTube

となります。いわゆる大陸系の

  1. 哔哩哔哩 Bilibili
  2. 抖音 Douyin (TikTok)
  3. 小红书 Red
  4. 微信 WeChat
  5. 微博 Weibo

は含まれていませんね。。。

Office of th Privacy Commissioner for Personal Data, Hong Kong: PCPD

・2022.04.12 (media) PCPD Releases Report on “Comparison of Privacy Settings of Social Media” 

 

PCPD Releases Report on “Comparison of Privacy Settings of Social Media”  PCPDが「ソーシャルメディアのプライバシー設定比較」報告書を公開 
As the public has become increasingly aware in recent years of the personal data privacy risks related to the use of social media, the Office of the Privacy Commissioner for Personal Data (PCPD) today released a report on “Comparison of Privacy Settings of Social Media” after a review of the top ten most commonly used social media platforms in Hong Kong, including Facebook, Facebook Messenger, Instagram, LINE, LinkedIn, Skype, Twitter, WeChat, WhatsApp and YouTube (in alphabetical order). 近年、ソーシャルメディアの利用に関連する個人データのプライバシーリスクについて一般の認識が高まっていることから、個人情報保護委員会(PCPD)は本日、香港で最もよく利用されているFacebook、Facebook Messenger、Instagram、LINE、LinkedIn、Skype、Twitter、WeChat、WhatsApp、YouTube(アルファベット順)のソーシャルメディア上位10プラットフォームを検証し「ソーシャルメディアのプライバシー設定比較」報告書を発表しました。
According to the review results, the performance of the ten social media in terms of their privacy functions, privacy policies and the usability of privacy dashboards are summarised as follows: レビュー結果によると、プライバシー機能、プライバシーポリシー、プライバシーダッシュボードの使いやすさの観点から、10ソーシャルメディアのパフォーマンスは以下のように要約されます。
·  All the social media reviewed have privacy policy in place.  They collect a wide variety of personal data, ranging from 12 to 19 types of personal data. ·  レビューしたすべてのソーシャルメディアは、プライバシーポリシーを導入しています。  収集する個人データの種類は12~19種類と多岐にわたります。
·  All the social media reviewed would collect users’ location data (including both the precise and coarse locations). ·  レビューしたすべてのソーシャルメディアは、ユーザの位置情報(正確な位置と粗い位置の両方を含む)を収集します。
·  In terms of the default privacy settings, the age and telephone number of a user are not disclosed by Skype and YouTube, while the other social media reviewed disclose users’ personal data such as age, location, email address or telephone number by default. ·  プライバシー設定の初期設定では、SkypeとYouTubeはユーザの年齢と電話番号を公開していないが、レビューした他のソーシャルメディアは、年齢、場所、メールアドレスまたは電話番号などのユーザの個人データをデフォルトで公開しています。
·  Twitter, WeChat and YouTube receive the highest scores for readability of their privacy policies, while the others that do not score full marks mainly lack infographics, tables or short videos in illustrating their privacy policies. ·  Twitter、WeChat、YouTubeは、プライバシーポリシーの読みやすさで最も高いスコアを獲得しましたが、満点を獲得できなかった他のメディアは、プライバシーポリシーを説明するインフォグラフィックス、表、短いビデオがないのが主な理由です。
·  Apart from WeChat, all other instant messaging applications reviewed including Facebook Messenger, LINE, Skype and WhatsApp deploy end-to-end encryption in the transmission of messages between users. ·  WeChatを除き、Facebook Messenger、LINE、Skype、WhatsAppなどのインスタントメッセージングアプリケーションはすべて、ユーザ間のメッセージ送信にエンドツーエンドの暗号化を導入しています。
·  Except for LINE, all other social media reviewed provide two-factor authentication. ·  LINEを除くすべてのソーシャルメディアは、2ファクタ認証を提供しています。
·  Most of the social media reviewed would retain users’ credit card data. ·  ほとんどのソーシャルメディアは、ユーザのクレジットカード情報を保持しています。
·  All the privacy policies of the social media reviewed explicitly state that users’ personal data would be transferred to their affiliated companies. ·  プライバシーポリシーには、ユーザの個人情報が関連会社に転送されることが明記されています。
·  Twitter does not provide its privacy policy in Chinese text.  Users who do not read English would find it difficult to understand the social media’s policies relating to the handling of their personal data. ·  Twitterは中国語のテキストでプライバシーポリシーを提供していません。  英語が読めないユーザは、個人データの取り扱いに関連するソーシャルメディアの方針を理解することが困難です。
·  Facebook, LINE, WeChat and YouTube all allow users to disseminate posts to specific individuals or groups, and modify the privacy settings of the contents after posting. ·  Facebook、LINE、WeChat、YouTubeは、ユーザが特定の個人やグループに投稿を配信したり、投稿後にコンテンツのプライバシー設定を変更したりすることができます。
The Privacy Commissioner for Personal Data, Ms Ada CHUNG Lai-ling states that: “While the online world is fascinating and users may communicate and connect with other users around the world by sharing their personal updates and messages on social media, we should not neglect the risks posed to personal data privacy arising from the use of social media. Such risks may include the abuse of personal data, data scrapping or data leakage.  Personal data which is openly available may also be used by others for the purposes of doxxing, cyberbullying, phishing, or other illegal activities, leading to property loss and even physical or psychological harm of the victims. I call for greater vigilance and smart use of social media when users surf or communicate online in order to reduce the risks posed to personal data privacy.” 個人情報保護委員会のアダ・チャン・ライリング女史は、次のように述べています。「オンライン世界は魅力的であり、ユーザはソーシャルメディア上で個人的な最新情報やメッセージを共有することで、世界中の他のユーザとコミュニケーションし、つながることができますが、ソーシャルメディアの使用から生じる個人データのプライバシーにもたらすリスクを無視してはなりません。 このようなリスクには、個人データの乱用、データのスクラップ、データの漏洩などが含まれる可能性があります。  また、公開された個人情報は、晒し、ネットいじめ、フィッシング、その他の違法行為に利用され、被害者の財産損失や身体的・精神的損害につながる可能性もあります。私は、個人情報のプライバシーにもたらされるリスクを軽減するために、ユーザがネットサーフィンやオンラインコミュニケーションを行う際に、より一層の警戒とソーシャルメディアの賢い利用を呼びかけます。」
The PCPD has issued the Report to the operators of the social media concerned. More specifically, the PCPD provides the following advice to the social media platforms:- PCPDは、当該ソーシャルメディアの運営者に対し、本報告書を発行しました。具体的には、PCPDはソーシャルメディアのプラットフォームに対して、次のようなアドバイスをしています。
·  Operators of social media should continuously adopt "Privacy by Design" to enhance their services and provide more privacy-related functions to users so as to increase the choices available to users.  ·  ソーシャルメディアの運営者は、「プライバシー・バイ・デザイン」を継続的に採用し、サービスを強化するとともに、プライバシー関連の機能をユーザに提供し、ユーザが利用できる選択肢を増やすべきです。 
·  Social media platforms should be cautious of the types of personal data collected and avoid collecting more data than is necessary for its services; ·  ソーシャルメディア・プラットフォームは、収集する個人データの種類に注意し、サービスに必要以上のデータを収集しないようにすべきです。
·  Privacy policies for social media should be clear and easy to understand and should not be vague and general. The PCPD considers that the use of layered presentations, infographics, tables or short videos would help to improve the readability of privacy policies; ·  ソーシャルメディアのプライバシーポリシーは、明確で理解しやすいものであるべきで、曖昧で一般的なものであってはなりません。PCPDは、階層化されたプレゼンテーション、インフォグラフィックス、表、または短いビデオを使用することで、プライバシーポリシーの読みやすさを向上させることができると考えています。
·  Social media should not track locations of its users by default and should provide choices to its users according to their needs; ·  ソーシャルメディアは、デフォルトでユーザの位置情報を追跡すべきではなく、ユーザのニーズに応じた選択肢を提供すべきです。
·  Social media should provide end-to-end encryptions and two-factor authentications to strengthen the protection of users’ personal data; and ·  ソーシャルメディアは、ユーザの個人データの保護を強化するために、エンドツーエンドの暗号化と二要素認証を提供すべきです。
·  Operators of social media should also proactively tackle “doxxing”, “data scraping” or other illegal acts and limit the ways for searching users. ·  また、ソーシャルメディアの運営者は、「ドキシング」や「データスクレイピング」等の違法行為に積極的に取り組み、ユーザの検索方法を制限すべきです。
On the other hand, the PCPD provides the following advice to users of social media:- 一方、PCPDは、ソーシャルメディアの利用者に対し、次のようなアドバイスをしています。
·  Before registering an account, read the privacy policy of the social media carefully, open an email account dedicated for social media and only provide the required personal data; ·  アカウントを登録する前に、ソーシャルメディアのプライバシーポリシーをよく読み、ソーシャルメディア専用のメールアカウントを開設し、必要な個人情報のみを提供すること。
·  Check the default settings on security or privacy of the social media, as well as the ways through which individual users may be searched on the media, with a view to minimising the disclosure of personal data and opting for the most privacy-protecting setting;  ·  ソーシャルメディアのセキュリティやプライバシーに関する初期設定、およびメディア上で個々のユーザを検索する方法を確認し、個人情報の開示を最小限に抑え、最もプライバシー保護に役立つ設定を選択します。 
·  If you do not need the location tracking function, consider turning off the function to avoid the collection of location data by the social media; ·  位置情報機能が不要な場合は、その機能をオフにして、ソーシャルメディアによる位置情報の収集を回避することを検討します。
·  Pay attention to the privacy options of contents posted and select the appropriate settings before posting the content; ·  投稿するコンテンツのプライバシーオプションに注意し、適切な設定を選択してから投稿します。
·  Before choosing any instant messaging application, pay attention to whether it provides end-to-end encryption forms of transmission to strengthen the confidentiality of transmitted data; ·  インスタントメッセージングアプリケーションを選択する前に、送信データの機密性を強化するためにエンドツーエンドの暗号化形式を提供しているかどうかに注意してください。
·  Use strong passwords and enable two-factor authentication for social media to strengthen account security; ·  アカウントのセキュリティを強化するために、強力なパスワードを使用し、ソーシャルメディアの二要素認証を有効にします。
·  Minimise the risk of credit card data leakage by avoiding transactions on social media platforms over public Wi-Fi or unsecured Wi-Fi connections; and ·  公共Wi-Fiや安全でないWi-Fi接続でのソーシャルメディアプラットフォームでの取引を避け、クレジットカード情報漏えいのリスクを最小限に抑える。
·  Parents/guardians may consider enabling parental controls to monitor their children’s use of social media and reminding them of the consequences of excessive disclosure or sharing of personal data. ·  保護者は、ペアレンタルコントロールを有効にして子供のソーシャルメディアの利用を監視し、個人データの過度の開示や共有がもたらす結果について注意を促すことを検討するとよいでしょう。

 

報告書は中国語だけですが。。。

・[PDF] 社交媒體私隱設定 大檢閱

20220413-32138


比較表があります。。。

 

| | Comments (0)

2022.04.12

警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

こんにちは、丸山満彦です。

警察庁が、令和3年におけるサイバー空間をめぐる脅威の情勢等について、資料を公開していますね。。。

2021年に都道府県警に届けがあったランサムウェア被害は146件だったようですね。。。金銭の要求手口を確認できた被害は97件(約66%)で、そのうち二重恐喝は82件(約85%)を占めていたということです。

20220412-162852
年間146件というのは少ないですが、これは警察に届出があったものですから実際はもっと多いとは思うのですが、実際はどのくらいの被害があったのでしょうかね。。。海外と比べるとかなり少ないようですね 。。。

※ 古いデータですが、例えば、https://www.statista.com/statistics/1246438/ransomware-attacks-by-country/

被害件数(146件)の内訳を被害企業・団体等の規模別にみると、大企業は49件、中小企業は79件であり、その規模を問わず、被害が発生していることがわかります。もちろん、母集団として中小企業の方が多いのですが、細かく分析せずにばら撒いている場合もあるので、中小企業だから狙われないというわけでもなさそうですよね。。。

20220412-162923

 

なお、今年第26回のコンピュター犯罪に関する白浜シンポジウムのテーマはランサムウェアです。。。

 

警察庁 - サイバー空間をめぐる脅威の情勢等

・2022.04.07 [PDF] 令和3年におけるサイバー空間をめぐる脅威の情勢等について

20220412-163223

目次的...

1 情勢概況
2 サイバー空間の脅威情勢
3 警察における取組

別 添

1 令和3年における脅威の動向
(1)
ランサムウェアの情勢と対策
ア 概要
イ 企業・団体等におけるランサムウェア被害
(ア)被害件数
(イ)特徴
ウ 企業・団体等におけるランサムウェア被害の実態
(ア)復旧等に要した期間・費用
(イ)感染経路
エ ランサムウェアと関連するリークサイトの状況
オ サイバー犯罪被害に係る企業・団体等を対象としたアンケート調査*4
(ア)テレワーク実施状況等
(イ)外部から社内ネットワークへの接続率
カ ランサムウェアへの対策
(ア)警察庁ウェブサイトにおける注意喚起
(イ)損害保険会社と連携した対策の推進
(ウ)流出したVPN製品の認証情報に係る注意喚起
(エ)医療機関を標的としたランサムウェアへの対策

(2)
フィッシング等に伴う不正送金・不正利用の情勢と対策
ア インターネットバンキングに係る不正送金事犯の発生状況
イ フィッシング等に伴う被害の実態
ウ 警察の取組

(3)
東京大会のサイバー関連対策
(4) 主なサイバー攻撃事例と警察における取組

ア サイバー攻撃事例
イ 警察における取組

2 サイバー空間の脅威情勢
(1)
サイバー空間におけるぜい弱性探索行為等の観測状況
ア センサーにおいて検知したアクセスの概況
イ 特徴的な観測

(2)
標的型メール攻撃
ア サイバーインテリジェンス情報共有ネットワーク
イ 事例

(3)
サイバー犯罪の現況
ア サイバー犯罪の検挙件数
イ 不正アクセス禁止法*14 違反
(ア)検挙件数
(イ)特徴

ウ コンピュータ・電磁的記録対象犯罪
(ア)検挙件数
(イ)特徴


 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.25 警察庁 サイバー事案への対処能力の強化のために警察庁にサイバー局を設置?

・2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

 

一気に10年前に飛びます(^^)

・2012.07.22 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置

・2012.06.12 警察庁 CSIRT設置

・2010.07.27 警察庁 マネー・ローンダリング対策のための事業者による顧客管理の在り方に関する懇談会報告書

・2010.03.23 警察庁 情報技術解析平成21年報

・2010.02.08 警察庁 確定 国家公安委員会が所管する事業分野における個人情報保護に関する指針

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.03.08 警察庁 暗号化ソフト開発

・2007.02.22 警察庁 DNA型記録検索システム

・2005.10.22 警察庁 有害ネットの自動監視システム構築へ?

・2005.08.19 警察庁 平成17年上半期の犯罪情勢

・2005.07.22 警察庁 サイバー犯罪防止広報パンフレット

・2005.06.29 警察庁とマイクロソフトが技術協力

・2005.06.17 警察庁 インターネット安全・安心相談システムを開始

・2005.06.21 政府の情報セキュリティ機関

・2005.06.11 奥菜恵さんをインターネット安全大使に任命

・2005.04.07 警察庁 情報セキュリティ対策の実態調査

・2005.04.01 警察庁セキュリティビデオ 「サイバー犯罪事件簿~姿なき侵入者~」

・2005.03.01 サイバー犯罪といえば詐欺

・2005.02.24 サイバー犯罪といえば児童ポルノ

・2004.12.24 @policeの世界のセキュリティ情報

・2004.12.17 警察庁発表 振り込め詐欺対策

・2004.12.02 フィッシングって・・・と、その対策

・2004.11.25 政府のセキュリティサイトを訪ねてみよう

 

コンピュータ犯罪に関する白浜シンポジウム関係

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

| | Comments (0)

金融庁 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)(2022.04.08)

こんにちは、丸山満彦です。

金融庁が、「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)を公表していますね。。。

マネー・ローンダリング・テロ資金供与・拡散金融対策について、2022年3月末時点の金融庁所管事業者の対応状況や金融庁の取組み等を取りまとめた報告書を公表していますね。。。

金融庁

・2022.04.08 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)の公表について

・[PDF] 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)

20220412-145333

目次...

はじめに(本レポートの趣旨)
第1章.我が国の金融機関等を取り巻くリスクの状況

1.我が国の金融機関等を取り巻くリスクの状況
2.我が国のマネロン事犯やその主体等の概要
3.マネロン等対策において注意すべき犯罪類型やリスク
(1) 暗号資産を使ったマネロン・テロ資金供与・拡散金融
(2) 資金決済におけるリスク
(3) 非対面決済におけるリスク
(4) デジタル技術を活用した取引時確認手法(e-KYC)におけるリスク
(5) サイバー犯罪(フィッシング詐欺、ランサムウェア)
(6) 特殊詐欺をはじめとした詐欺事案
(7) テロ資金供与リスク
(8) 地政学リスク(含む大量破壊兵器に関する拡散金融リスク)

第2章.金融機関等におけるマネロン等リスク管理態勢の現状と課題
1.業態共通の全体傾向と課題(報告徴求データの分析による全体の傾向)
2.業態別のリスクの所在と現状と課題
(1) 預金取扱金融機関
(2) 暗号資産交換業者
(3) 資金移動業者
(4) 保険会社
(5) 金融商品取引業者等
(6) 信託銀行・信託会社
(7) 貸金業者

第3章.FATF 第4次対日相互審査の結果
1.FATF 及び FATF 第4次相互審査の仕組み
(1) FATF とその仕組み
(2) 第3次対日相互審査の結果とその後の対応
(3) 第4次対日相互審査の仕組み

2.第4次対日相互審査の結果
(1) 対日審査報告書 第5章:金融機関等における予防的措置の有効性評価(IO.4)
(2) 対日審査報告書 第6章:金融機関等に対する監督の有効性評価(IO.3)

第4章.マネロン等対策に係る金融庁の取組
. ガイドラインの策定・改正
(1) 経営陣の関与・理解
(2) リスクの特定・評価
(3) 顧客管理
(4) 取引モニタリング・フィルタリング
(5) 海外送金等
(6) 輸出入取引等に係る資金の融通及び信用の供与等

. ガイドラインに関するよくあるご質問(FAQ)の策定
. 金融機関のマネロン等対策の実施状況等に係る定量・定性情報の報告徴求等
. マネロン等対策に係る態勢整備に係る期限の明示
. マネロン等対策に焦点を当てた検査の実施
. マネロン等対策に係るシステムの共同化
. 丁寧な顧客対応に係る要請(外国人対応含む)
. 省庁間での連携強化
(1) マネロン・テロ資金供与・拡散金融対策政策会議の設置
(2) 金融機関の監督省庁との検査等における連携
(3) 実質的支配者リスト制度の創設
(4) その他の省庁間での連携
(5) 日本銀行との連携

. 民間事業者との連携強化
(1) マネロン対応高度化官民連絡会
(2) 全国銀行協会 AML/CFT 態勢高度化研究会
(3) 各業界団体等に向けたアウトリーチ・研修の実施

10. 一般利用者の理解促進のための広報活動
11.FATF への貢献(相互審査以外)
(1) FATF における暗号資産を巡る議論への貢献について
(2) 「リスクベース・アプローチによる監督に関するガイダンス」について
(3) FATF におけるその他の議論
(4) 国際協力




 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2022.03.30 世界経済フォーラム 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.23 企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.24 Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア運営会社と仮想通貨取引所に制裁を科す

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.08.12 米国のSECはサイバー関連の専門家を年収1600万円−2800万円で募集中

・2021.07.17 米国 連邦政府国務省 国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供についての報奨(最高約11億円

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

 

 

| | Comments (0)

経済産業省 協調的なデータ利活用に向けたデータマネジメント・フレームワーク (2022.04.08)

こんにちは、丸山満彦です。

経済産業省が、「協調的なデータ利活用に向けたデータマネジメント・フレームワーク」を公表していますね。。。

 

このフレームワークでは、

  • データマネジメント=「データの属性が場におけるイベントにより変化する過程を、ライフサイクルを踏まえて管理すること」と定義
    • イベント = ライフサイクル(生成・取得、加工・利用、移転・提供、保管、廃棄)

    • 場 = 各国・地域等の法令、組織の内部規則、組織間の契約等

    • 属性 = カテゴリ、開示範囲、利用目的、データ管理主体、データ権利者等

それぞれに影響しあう関係にある3つの要素から構成されるモデルとして整理している。

3つの要素によってデータの状態が可視化

ステークホルダーの間で認識を共有しやすくなる

ステークホルダー全体での適切なデータマネジメントの実施につながる

ことを期待しているとのこと。。。

 

経済産業省

・2022.04.08 協調的なデータ利活用に向けたデータマネジメント・フレームワークを策定しました

Ver 1.0

・[PDF] 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ~データによる価値創造の信頼性確保に向けた新たなアプローチ Ver1.0

20220412-140426

目次...

1.新たなデータマネジメントの在り方
1-1 CPSF における第 3 層(サイバー空間におけるつながり)
 1-1-1 CPSF
概論
 1-1-2 第 3 層の位置づけ

1-2
データの信頼性確保:データマネジメントの考え方の確立
1-3
本フレームワークの目的
1-4
本フレームワークの想定読者
2
.本フレームワークにおけるデータマネジメントのモデル
2-1
概要編
 2-1-1
データマネジメントのモデル化の概要
 2-1-2 リスク分析手順

2-2
詳細編
 2-2-1
モデル化(「イベント」)
 2-2-2 モデル化(「場」)
 2-2-3 モデル化(「属性」)

3
.活用方法
3-1
サプライチェーンを構成するステークホルダー間での活用
3-2
ルール間のギャップの分析
添付 A ユースケース
A-1 POS
データの分析
A-2 高齢者生活支援事業の提供
A-3 IaaS、PaaS、SaaS 等を利用してサービスを提供する例
A-4 国内で提供される IT サービスに関して、海外で開発や運用等を実施する例

添付 B イベントごとのリスクの洗い出しのイメージ
B-1
イベントごとの典型的なリスクの記載方法等
B-2 イベントごとのリスクの洗い出しのイメージ


概要

・[PDF] 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ~データによる価値創造の信頼性確保に向けた新たなアプローチの概要

20220412-140847

 

参考

・[PDF] パブリックコメントの結果(第1回、フレームワーク本文)

・[PDF] パブリックコメントの結果(第2回、フレームワーク本文修正、ユースケース等)

産業サイバーセキュリティ研究会WG1(制度・技術・標準化)

分野横断サブワーキンググループ

「第3層:サイバー空間におけるつながり」の信頼性確保に向けたセキュリティ対策検討タスクフォース

 

 

 

| | Comments (0)

経済産業省 「産業サイバーセキュリティ研究会」から「産業界へのメッセージ」

こんにちは、丸山満彦です。

2022.04.11に第7回「産業サイバーセキュリティ研究会」が開催され、「産業界へのメッセージ」が発出されていますね。。。

さらっと、本気でやろうとすると大変な項目がありますが、まぁ、昨今のサイバー空間の状況を考えると、必要な話という感じですよね。。。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する
② 感染が確認された場合には、適時、報告・相談・対応を行う
③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する
④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ

 

経済産業省

・2022.04.11 第7回「産業サイバーセキュリティ研究会」を開催し、「産業界へのメッセージ」を発出しました


「産業界へのメッセージ」

昨今、ランサムウェアやEmotet(エモテット)と呼ばれるマルウェアを用いた攻撃をはじめ、サイバー攻撃による被害が増加傾向であることを踏まえ、改めて各企業・団体等に、組織幹部のリーダーシップの下、サイバーセキュリティ対策に取り組んでいただくよう、産業サイバーセキュリティ研究会から「産業界へのメッセージ」を発出しました。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する

  • 保有する情報資産を漏れなく把握する。
  • 不審なメールへの警戒や、機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
  • 多要素認証等により認証を強化する。
  • データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
  • サイバー攻撃を受けた際の対応について、普段から役員および職員に対して教育・訓練を行う。
  • システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備する。

② 感染が確認された場合には、適時、報告・相談・対応を行う

  • 感染拡大防止に留意するとともに、専門機関やセキュリティベンダー等へ支援を依頼しつつ、早期の業務復旧を図る。
  • サイバー攻撃者への金銭の支払いは厳に慎む。
  • Emotetの場合、取引関係者間などで感染が拡大することから、取引先を含めた関係者に状況を共有する。
  • 警察、所管省庁等への相談・報告・届出を実施する。報告義務のある事案については、正確かつ迅速に行う。

③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する

  • 自社がサイバー攻撃による被害を受けた場合、その影響は、サプライチェーン全体の事業活動や経済全体に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組む。

④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ


 

本気でやろうとすると大変な項目(でも、昨今の状況を考えると必要だろうと思います)と思ったのは、

  1. 保有する情報資産を漏れなく把握する。
  2. 機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
  3. データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
  4. システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備する。

 

IPAの調査では中小企業のサイバーセキュリティ対策はこの5年間で特に進んでいないと公表していますね。。。

中小企業に対するセキュリティ対策については、日本だけでなく、世界中で悩んでいるように思います。そんな中、「サイバーセキュリティお助け隊サービス」といったアイデアは他の国にも参考になる施策ではないかと思います。。。

まずは、安心できるサービスから始まって、中小企業側も知識がついてくれば、より自社にあったサービスを選んでいけるようになるのではないかと思うんですよね。。。そして、事業者側も中小企業のニーズが理解できるようになると思うんですよね。。。もちろん、クラウド化が進むことにより、企業側で気にしなければならないセキュリティというのは減ってくるのだろうとは思うのですが、それでもインフラはクラウド事業者に行ったとしても、自社データの保護は自らが行わなければならないわけで、、、特に事故があった場合の対応において、このサービスは良いのではないかと思っています。。。

 

IPA

・2022.03.31 プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開 ~5年間で情報セキュリティ対策の実施状況の改善はわずか~

 ・[PDF] プレスリリース全文

 

・2022.03.31 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

 ・[PDF] 調査報告書

 ・[PDF] 概要説明資料

 

サイバーセキュリティお助け隊サービス制度

000090216

経済産業省 - 産業サイバーセキュリティ研究会

こちらが完全版です。。。

・2022.04.11 [PDF] サイバーセキュリティ対策についての産業界へのメッセージ

・2022.04.11 第7回 産業サイバーセキュリティ研究会

20220412-42542

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.02 IPA 2021年度中小企業における情報セキュリティ対策の実態調査報告書

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.02.24 経済産業省 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定

・2020.11.09 経済産業省が「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。

・2020.10.31 IPA サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されますね。。。

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会

・2020.04.01 経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク(案)]

 

 

| | Comments (0)

2022.04.11

米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

こんにちは、丸山満彦です。米連邦政府 司法省が、ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(無力化)したと発表していますね。。。

Department of Justice

・2022.04.06 Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU)

Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU) 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊
Operation Copied and Removed Malware Known as “Cyclops Blink” from the Botnet’s Command-And-Control Devices, Disrupting the GRU’s Control Over Thousands of Infected Devices Worldwide. Victims Must Take Additional Steps to Remediate the Vulnerability and Prevent Malicious Actors From Further Exploiting Unpatched Devices. ボットネットのコマンド・アンド・コントロール・デバイスから「Cyclops Blink」と呼ばれるマルウェアをコピー・除去し、GRUが世界中で感染した数千台のデバイスを制御できなくする作戦。被害者は、脆弱性を修正し、悪意ある行為者がパッチ未適用のデバイスをさらに悪用することを防止するための追加措置を講じる必要があります。
The Justice Department today announced a court-authorized operation, conducted in March 2022, to disrupt a two-tiered global botnet of thousands of infected network hardware devices under the control of a threat actor known to security researchers as Sandworm, which the U.S. government has previously attributed to the Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (the GRU). The operation copied and removed malware from vulnerable internet-connected firewall devices that Sandworm used for command and control (C2) of the underlying botnet. Although the operation did not involve access to the Sandworm malware on the thousands of underlying victim devices worldwide, referred to as “bots,” the disabling of the C2 mechanism severed those bots from the Sandworm C2 devices’ control. 司法省は本日、2022年3月に実施された裁判所公認の作戦を発表し、セキュリティ研究者の間で「サンドワーム」として知られる脅威行為者の支配下にある、数千台の感染したネットワークハードウェア機器による2層構造のグローバルボットネットを破壊したことを発表しました。この脅威は、米国政府がこれまでロシア連邦軍参謀本部主要情報局(GRU)に起因するとしてきました。この作戦では、サンドワームが基盤となるボットネットのコマンド&コントロール(C2)に使用していた脆弱なインターネット接続ファイアウォールデバイスからマルウェアをコピーして除去しています。この作戦では、「ボット」と呼ばれる世界中の被害者デバイスにあるサンドワームマルウェアにはアクセスできませんでしたが、C2メカニズムを無効にしたことで、サンドワーム C2デバイスの制御からこれらのボットを切り離すことができました。
“This court-authorized removal of malware deployed by the Russian GRU demonstrates the department’s commitment to disrupt nation-state hacking using all of the legal tools at our disposal,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “By working closely with WatchGuard and other government agencies in this country and the United Kingdom to analyze the malware and to develop detection and remediation tools, we are together showing the strength that public-private partnership brings to our country’s cybersecurity. The department remains committed to confronting and disrupting nation-state hacking, in whatever form it takes.” 司法省国家安全保障局の マシュー G. オルセン 司法次官補は、次のように述べています。「ロシア GRU が配備したマルウェアを裁判所が認可して除去したことは、あらゆる法的手段を用いて国民国家のハッキングを阻止するという司法省の取り組みを実証しています。サンドワーム の C2 メカニズムを無効にすることで、サンドワーム の C2 デバイスの制御からボットを切り離しました。ウォッチガードをはじめ、米国や英国の政府機関と緊密に協力し、マルウェアの解析や検知・修復ツールの開発を行うことで、官民パートナーシップが我が国のサイバーセキュリティにもたらす強みを示すことができました。同省は、どのような形であれ、国民国家のハッキングに立ち向かい、それを阻止することに引き続き尽力していきます。」
“Through close collaboration with WatchGuard and our law enforcement partners, we identified, disrupted and exposed yet another example of the Russian GRU’s hacking of innocent victims in the United States and around the world,” said U.S. Attorney Cindy K. Chung for the Western District of Pennsylvania. “Such activities are not only criminal but also threaten the national security of the United States and its allies. My office remains committed to working with our partners in the National Security Division, the FBI, foreign law enforcement agencies and the private sector to defend and maintain our nation’s cybersecurity.”  ペンシルバニア州西部地区の シンディー K チャン 連邦検事は、次のように述べています。「ウォッチガードと法執行機関のパートナーとの密接な協力を通じて、我々は米国および世界中の罪のない犠牲者に対するロシア GRU のハッキングの新たな例を特定し、破壊し、暴露しました。このような活動は犯罪であるばかりでなく、米国とその同盟国の国家安全保障を脅かすものです。私の部門は、国家安全保障部門、FBI、外国の法執行機関、民間部門のパートナーと協力して、わが国のサイバーセキュリティを守り維持することに引き続き尽力します。」
“This operation is an example of the FBI’s commitment to combatting cyber threats through  our unique authorities, capabilities, and coordination with our partners,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “As the lead domestic law enforcement and intelligence agency, we will continue pursuing cyber actors that threaten the national security and public safety of the American people, our private sector partners and our international partners.” FBIサイバー課のブライアン・ヴォルドラン課長補佐は、次のように述べました。「この作戦は、FBI独自の権限、能力、パートナーとの連携を通じて、サイバー脅威と戦うというFBIの決意を示す一例です。国内法執行および情報機関のリーダーとして、我々は米国民、民間セクターのパートナー、および国際的なパートナーの国家安全保障と公共の安全を脅かすサイバー行為者を引き続き追及していく」と述べています。
“The FBI prides itself on working closely with our law enforcement and private sector partners to expose criminals who hide behind their computer and launch attacks that threaten Americans’ safety, security and confidence in our digitally connected world,” said Special Agent in Charge Mike Nordwall of the FBI’s Pittsburgh Field Office. “The FBI has an unwavering commitment to combat and disrupt Russia’s efforts to gain a foothold inside U.S. and allied networks.” FBIピッツバーグ支局のマイク・ノードウォール特別捜査官は、次のように述べました。「FBIは、法執行機関や民間部門のパートナーと緊密に協力し、コンピュータの背後に隠れて、デジタルでつながった世界におけるアメリカ人の安全、安心、信頼を脅かす攻撃を行う犯罪者を暴くことを誇りにしています。FBIは、米国および同盟国のネットワーク内に足場を築こうとするロシアの取り組みに対抗し、これを阻止するために、揺るぎないコミットメントを有しています。」
On Feb. 23, the United Kingdom’s National Cyber Security Centre, the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency, the FBI and the National Security Agency released an advisory identifying the Cyclops Blink malware, which targets network devices manufactured by WatchGuard Technologies Inc. (WatchGuard) and ASUSTek Computer Inc. (ASUS). These network devices are often located on the perimeter of a victim’s computer network, thereby providing Sandworm with the potential ability to conduct malicious activities against all computers within those networks. As explained in the advisory, the malware appeared to have emerged as early as June 2019, and was the apparent successor to another Sandworm botnet called VPNFilter, which the Department of Justice disrupted through a court-authorized operation in 2018. 2月23日、英国のNational Cyber Security Centre、国土安全保障省のCybersecurity and Infrastructure Security Agency、FBI、国家安全保障局は、ウォッチガード・テクノロジー社およびエイスーステック・コンピューター (ASUS)社製のネットワーク機器を標的としているマルウェア「Cyclops Blink」についてのアドバイザリーを発表しました。これらのネットワーク機器は、被害者のコンピュータ・ネットワークの境界に配置されていることが多く、それによって、サンドワームは、これらのネットワーク内のすべてのコンピュータに対して悪意のある活動を行うことができる潜在的な能力を備えています。アドバイザリーで説明されているように、このマルウェアは早ければ2019年6月に出現したようで、2018年に司法省が裁判所公認の作戦によって破壊したVPNFilterという別のサンドワームボットネットの後継であることが明らかになりました。
The same day as the advisory, WatchGuard released detection and remediation tools for users of WatchGuard devices. The advisory and WatchGuard’s guidance both recommended that device owners deploy WatchGuard’s tools to remove any malware infection and patch their devices to the latest versions of available firmware. Later, ASUS released its own guidance to help compromised ASUS device owners mitigate the threat posed by Cyclops Blink malware. The public and private sector efforts were effective, resulting in the successful remediation of thousands of compromised devices. However, by mid-March, a majority of the originally compromised devices remained infected. ウォッチガードは勧告と同じ日に、ウォッチガードのデバイスのユーザー向けに検出および修復ツールをリリースしました。勧告とウォッチガードのガイダンスはいずれも、デバイスの所有者がウォッチガードのツールを導入してマルウェア感染を除去し、利用可能なファームウェアの最新バージョンにデバイスをパッチするよう推奨しています。その後、ASUS も独自のガイダンスを発表し、感染した ASUS デバイスの所有者が Cyclops Blink マルウェアによる脅威を軽減できるよう支援しました。このような官民の取り組みが功を奏し、感染した数千台のデバイスの修復に成功しました。しかし、3月中旬までには、感染したデバイスの大半が感染したままになっていました。
Following the initial court authorization on March 18, the department’s operation was successful in copying and removing the malware from all remaining identified C2 devices. It also closed the external management ports that Sandworm was using to access those C2 devices, as recommended in WatchGuard’s remediation guidance (a non-persistent change that the owner of an affected device can reverse through a device restart). These steps had the immediate effect of preventing Sandworm from accessing these C2 devices, thereby disrupting Sandworm’s control of the infected bot devices controlled by the remediated C2 devices. However, WatchGuard and ASUS devices that acted as bots may remain vulnerable to Sandworm if device owners do not take the WatchGuard and ASUS recommended detection and remediation steps. The department strongly encourages network defenders and device owners to review the Feb. 23 advisory and WatchGuard and ASUS releases. 3月18日の最初の裁判所認可後、同局の作戦は、残りの特定されたC2デバイスすべてからマルウェアをコピーし、除去することに成功しました。また、ウォッチガードの修復ガイダンスで推奨されているように、サンドワームがこれらのC2デバイスへのアクセスに使用していた外部管理ポートを閉鎖しました(影響を受けたデバイスの所有者がデバイスの再起動によって元に戻すことができる非持続的な変更)。これらの措置は、サンドワームがこれらのC2デバイスにアクセスするのを防ぐという直接的な効果をもたらし、それによってサンドワームが、改善されたC2デバイスによって制御される感染したボットデバイスを制御できなくすることができたのです。しかしながら、ボットとして機能した ウォッチガード および ASUS デバイスは、デバイスの所有者が ウォッチガード および ASUS が推奨する検出および修復の手順を踏まなければ、サンドワーム に対して脆弱なままである可能性があります。同局は、ネットワーク防御者とデバイス所有者に対し、2月23日の勧告とウォッチガードおよびASUSのリリースを確認するよう強く推奨しています。
The operation announced today leveraged direct communications with the Sandworm malware on the identified C2 devices and, other than collecting the underlying C2 devices’ serial numbers through an automated script and copying the C2 malware, it did not search for or collect other information from the relevant victim networks. Further, the operation did not involve any FBI communications with bot devices. 本日発表された作戦は、特定されたC2デバイス上のサンドワームマルウェアとの直接通信を活用し、自動スクリプトによって基盤となるC2デバイスのシリアル番号を収集し、C2マルウェアをコピーした以外は、関連する被害者ネットワークから他の情報を検索・収集することはありませんでした。さらに、この作戦では、FBIがボットデバイスと通信することはありませんでした。
Since prior to the Feb. 23 advisory, the FBI has been attempting to provide notice to owners of infected WatchGuard devices in the United States and, through foreign law enforcement partners, abroad. For those domestic victims whose contact information was not publicly available, the FBI has contacted providers (such as a victim’s internet service provider) and has asked those providers to provide notice to the victims.  As required by the terms of the court authorization, the FBI has provided notice to the owners of the domestic C2 devices from which the FBI copied and removed the Cyclops Blink malware. 2 月 23 日の勧告以前から、FBI は米国内および海外の法執行機関を通じて、感染した ウォッチガード 機器の所有者に通知を行うよう試みています。連絡先が公開されていない国内の被害者については、FBI がプロバイダー(被害者のインターネット・サービス・プロバイダーなど)と連絡を取り、プロバイダーに被害者への通知を行うよう要請しています。  裁判所の許可条件により要求されたとおり、FBI は、FBI が Cyclops Blink マルウェアをコピーして削除した国内 C2 デバイスの所有者に通知を行いました。
The efforts to disrupt the Cyclops Blink botnet were led by the FBI’s Pittsburgh, Atlanta and Oklahoma City Field Offices, the FBI Cyber Division, the National Security Division’s Counterintelligence and Export Control Section, and the U.S. Attorney’s Office for the Western District of Pennsylvania. Assistance was also provided by the Criminal Division’s Computer Crime and Intellectual Property Section and Office of International Affairs, as well as the U.S. Attorney’s Office for the Eastern District of California. Cyclops Blink ボットネットを破壊するための活動は、FBI のピッツバーグ、アトランタ、オクラホマシティの各フィールドオフィス、FBI サイバー部門、国家安全保障部門の防諜・輸出管理セクション、ペンシルバニア州西部地区連邦検事局によって主導されています。また、刑事部コンピュータ犯罪・知的財産課および国際課、カリフォルニア州東部地区連邦検事局も協力しています。
If you believe you have a compromised device, please contact your local FBI Field Office for assistance. The FBI continues to conduct a thorough and methodical investigation into this cyber incident. 侵入されたデバイスをお持ちの方は、最寄りのFBI支局にご連絡ください。FBIは、このサイバーインシデントについて、引き続き徹底的かつ体系的な調査を実施します。

 

・[PDF] Download EDCA Search Warrant Package

・[PDF] Download WDPA Search Warrant Package

 

GRU関係以外のものも含めて。。。

2022.04.06 ATTORNEY GENERAL MERRICK B. GARLAND ANNOUNCES ENFORCEMENT ACTIONS TO DISRUPT AND PROSECUTE RUSSIAN CRIMINAL ACTIVITY

 

Fig1_20220411162001


 

■ 参考

 U.K. NCSC - Malware Analysis Report

・2022.02.23 [PDF] Cyclops Blink

20220411-162909


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2021.07.02 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

 

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

 

| | Comments (0)

ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

こんにちは、丸山満彦です。

ENISAがサイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワークを公表していますね。。。いまいま段階の暫定版の位置付けで、さまざまな事例を通じてブラッシュアップしていく感じですね。。。まずは、配電網分野のIoTセキュリティ市場で試している感じです(日立も調査対象となっています)。。。

興味深いですね。。。

 

ENISA

・2022.04.08 (news) Cybersecurity Market Analysis in support of Informed Cybersecurity Business Decisions

Cybersecurity Market Analysis in support of Informed Cybersecurity Business Decisions 情報化されたサイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析
The European Union Agency for Cybersecurity (ENISA) introduces a framework to perform cybersecurity market analyses and dives into the market of the Internet of Things (IoT) distribution grids for validation. 欧州連合サイバーセキュリティ庁(ENISA)がサイバーセキュリティ市場分析を行うためのフレームワークを導入し、IoT(Internet of Things)配電網の市場について検証します。
What’s the objective? 目的は何ですか?
To improve market penetration, value for money, quality and acceptance of products, processes and services, performing cybersecurity market analysis has become an important tool for a variety of stakeholders. Market data is currently considered key to making informed decisions related to cybersecurity choices, on new products to be launched, policy initiatives or research and innovation funding. 製品、プロセス、サービスの市場浸透、コストパフォーマンス、品質、受容性を向上させるために、サイバーセキュリティ市場分析を行うことは、さまざまな関係者にとって重要な手段となっています。現在、市場データは、サイバーセキュリティの選択、発売される新製品、政策イニシアチブ、研究・革新資金に関する情報に基づいた意思決定を行う上で重要なものと考えられています。
The first report introduces a market analysis framework to be applied across various application areas over time.  最初の報告書では、時間をかけて様々なアプリケーション領域に適用される市場分析フレームワークを紹介しています。 
The second report analyses the IoT cybersecurity market demand and supply in the sector of electricity distribution grids across the EU. 2つ目の報告書では、EU全域の配電網の分野におけるIoTサイバーセキュリティ市場の需要と供給を分析します。
How does the framework work? フレームワークはどのように機能しますか?
The framework consists of a toolbox designed to facilitate the performance of cybersecurity market analyses. It offers a range of analysis approaches based on innovative market modelling specifically adapted to the cybersecurity market. このフレームワークは、サイバーセキュリティ市場分析のパフォーマンスを容易にするために設計されたツールボックスで構成されています。特にサイバーセキュリティ市場に適応した革新的な市場モデリングに基づいた様々な分析アプローチを提供します。
This framework can be applied to various market segments. Structured around six modules, it offers the flexibility to choose the type of the performed analysis among: このフレームワークは、様々な市場セグメントに適用することができます。6つのモジュールで構成されており、実行する分析の種類を柔軟に選択することができます。
・Market structure & segmentation; ・市場構造とセグメンテーション
・Demand-side research; ・需要側の調査
・Supply-side research including vendor market map; ・ベンダーマケットマップを含む供給側調査
・Technology research; ・テクノロジー調査
・Macro-environmental factors and ・マクロ環境要因
・Economic market characteristics. ・経済市場の特徴
Main points and foreseen next steps: 主なポイントと今後の予定
- On the framework ・フレームワークについて
Identifying the right data and the right method to perform data collection is essential if we want to avoid pitfalls such as bias. The processing techniques currently available need to be assessed and selected wisely. Moreover, the confidentiality of market data collected also raises both competition, and technical questions to be addressed. They call for the use of anonymisation, implementing security controls, etc. 偏りなどの落とし穴を避けるためには、正しいデータとデータ収集の方法を特定することが不可欠です。現在利用可能な処理技術を評価し、賢く選択する必要があります。さらに、収集した市場データの機密性についても、競争と技術的な問題の両方に対処しなければなりません。匿名化の利用、セキュリティ管理の実施などが求められています。
The framework introduces a coherent taxonomy of cybersecurity products, processes and services. This cybersecurity taxonomy has been derived from relevant work already performed within the EU. Cooperation with stakeholders that are active in classifying cybersecurity has also been taken into account (e.g. European Commission’s Joint Research Centre). このフレームワークは、サイバーセキュリティ製品、プロセス、サービスに関する首尾一貫した分類法を導入しています。このサイバーセキュリティの分類法は、EU内で既に実施された関連作業から導き出されたものです。サイバーセキュリティの分類に積極的なステークホルダーとの協力も考慮されています(例:欧州委員会の共同研究センター)。
Furthermore, Member States already started implementing cybersecurity market surveillance functions. These functions aim to check whether ICT products comply with the requirements of EU cybersecurity certificates. The development of market surveillance in Member States has been identified as a priority for ENISA today and for the years to come. The proposed cybersecurity market analysis framework may be a useful input to these efforts. さらに、加盟国はすでにサイバーセキュリティの市場監視機能の導入を開始しています。これらの機能は、ICT製品がEUのサイバーセキュリティ証明書の要件に適合しているかどうかをチェックすることを目的としています。加盟国における市場サーベイランスの発展は、現在および今後数年間のENISAの優先事項として認識されています。提案されているサイバーセキュリティ市場分析フレームワークは、こうした取り組みへの有用なインプットとなる可能性があります。
- On IoT in distribution grids ・配電網におけるIoTについて
The analysis on IoT for electricity grids reveals that the architecture of distribution grids is undergoing some major changes. Flexible and dynamically configured bi-directional power flows are gradually replacing traditional, one-way transmission electricity grids. The digital transformation of electricity grids will imply investing in digitalised components. However, this digitalisation will in turn lead to more cyber threat exposure by adversaries, such as State or non-State actors. 電力系統のIoT化に関する分析から、配電網のアーキテクチャが大きく変化していることが明らかになりました。柔軟で動的に構成された双方向の電力フローが、従来の一方通行の送電電力網に徐々に取って代わりつつあります。電力網のデジタル化は、デジタル化されたコンポーネントへの投資を意味します。しかし、このようなデジタル化は、国家や非国家主体などの敵対者によるサイバー脅威のさらなる露出を招くことになります。
The report on IoT serves as a proof of concept of the initial cybersecurity market analysis framework published herewith. Part of the objective of this report was to validate the applicability of the proposed framework. With the support of the Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market established by ENISA in 2021, the Agency will conduct additional cybersecurity market analyses to further develop the framework. IoTに関する本レポートは、今回発表したサイバーセキュリティ市場分析の初期フレームワークの概念実証の役割を担っています。本報告書の目的の一つは、提案したフレームワークの適用可能性を検証することでした。2021年にENISAが設立したEUサイバーセキュリティ市場に関するアドホック・ワーキング・グループ(AHWG)の支援を受け、同庁は追加のサイバーセキュリティ市場分析を行い、枠組みをさらに発展させる予定です。
What’s the legal base? 法的根拠は?
The Cybersecurity Act (CSA) foresees the assessment of market developments, inter alia in the context of certification. Because certification is intended to improve the functioning of the internal market, performing the analysis of market trends both on the demand and on the supply sides helps ensuring market-enforcing certification efforts. Within this context, market analysis will therefore contribute to reducing the fragmentation of the EU internal market, an objective provided for by the CSA. サイバーセキュリティ法(CSA)は、特に認証の文脈で市場の発展を評価することを予見しています。認証は域内市場の機能を向上させることを目的としているため、需要側と供給側の両方で市場動向の分析を行うことは、市場強制力のある認証努力を保証するのに役立ちます。このような背景から、市場分析は、CSAが定める目的であるEU域内市場の断片化の抑制に貢献することになります。
Target audience 想定読者
・EU institutions, bodies and Agencies (EUIBAs); ・EUの機関、団体、機関(EUIBAs)。
・Member States/public authorities (e.g. Cybersecurity Authorities); ・加盟国/公的機関(サイバーセキュリティ当局など)。
・ENISA stakeholder groups (e.g. ENISA Advisory Group); ・ENISAのステークホルダー・グループ(例:ENISAアドバイザリー・グループ)。
・Further relevant stakeholder groups (e.g. ECCG, SCCG, NLOs) ・その他の関連するステークホルダー・グループ(例:ECCG、SCCG、NLOs)
・Industry and industry associations (Ecosystem of Certification, EU TIC Council, vendors / manufacturers, ECSO); ・業界および業界団体(認証のエコシステム、EU TIC協議会、ベンダー/メーカー、ECSO)。
・Research institutions and research related entities and ・研究機関および研究関連団体
・Consumer organisations/associations. ・消費者団体・協会
Further information その他の情報
ENISA Cybersecurity Market Analysis Framework ENISAサイバーセキュリティ市場分析フレームワーク
EU Cybersecurity Market Analysis – IoT in Distribution Grids EUサイバーセキュリティ市場分析 - 配電網におけるIoT

 

 

・2022.04.08 ENISA Cybersecurity Market Analysis Framework (ECSMAF)

ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISAの活動の基礎となるものです。EUサイバーセキュリティ市場の分析をどのように行うかについての「料理本」としてサイバーセキュリティ市場分析のフレームワークを提示します。

・[PDF

20220411-51103

EXECUTIVE SUMMARY  エグゼクティブサマリー 
In 2021, in its efforts to contribute to the achievement of its objectives as defined in the Cybersecurity Act (CSA)1 and to the implementation of the ENISA Single Programming Document5, ENISA has kicked-off a series of activities in the area of cybersecurity market analysis.   2021年、サイバーセキュリティ法(CSA) で定義された目的の達成と ENISA 単一計画文書5 の実施に貢献する取り組みとして、ENISA はサイバーセキュリティ市場分析の分野で一連の活動を開始しました。
Analysing how well cybersecurity products, services and processes succeed in the market is a key step in understanding how to improve their market diffusion, importance, quality and acceptance. Though cybersecurity has been considered in the past within market analysis efforts, the customisation and scoping of cybersecurity market analyses is still at low levels of maturity. Moreover, market data on cybersecurity products, services and processes are scarcely taken into account in the cybersecurity development life-cycle, e.g. within decision-making processes for the launching and development of cybersecurity initiatives, product ideas, policy actions, research funding, and deployments. By initiating this activity, ENISA delivers an important contribution towards a more targeted, market-driven decision-making process for the conception, launching and maintenance of cybersecurity products, services and processes within the EU.  サイバーセキュリティ製品、サービス、プロセスが市場でどの程度成功しているかを分析することは、市場での普及、重要性、品質、受容性を向上させる方法を理解する上で重要なステップです。過去にも市場分析においてサイバーセキュリティは考慮されてきましたが、サイバーセキュリティの市場分析のカスタマイズやスコープ設定はまだ成熟度が低いのが現状です。さらに、サイバーセキュリティ製品、サービス、プロセスに関する市場データは、サイバーセキュリティの開発ライフサイクル、例えば、サイバーセキュリティのイニシアティブ、製品アイデア、政策行動、研究資金、配備の開始と開発のための意思決定プロセスにおいて、ほとんど考慮されていません。この活動を開始することにより、ENISAは、EU域内のサイバーセキュリティ製品、サービス、プロセスの構想、立ち上げ、維持のための、より的を絞った、市場主導型の意思決定プロセスに向けて重要な貢献をすることになります。
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market:  この文書は、EUのサイバーセキュリティ市場を分析するENISAの活動の基礎となるものです。
it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed and be:  この文書は、サイバーセキュリティ市場分析のフレームワークを、EUのサイバーセキュリティ市場分析がどのように実行され、どのようになるかの「料理本」として提示するものです。
•        More transparent: the fact that analysis method, parametrization, cybersecurity value chain, market trends and market stakeholders are fixed, leads to a more transparency as regards the results of the analysis.  ・透明性の向上:分析方法,パラメトリック,サイバーセキュリティのバリューチェーン,市場動向,市場関係者が固定されているため,分析結果の透明性が向上します。
•        More comparable: by having set both the content of various components and the steps of the analysis process, the achieved results are more comparable, and thus reusable among various analyses performed.  ・比較可能性:さまざまなコンポーネントの内容と分析プロセスのステップの両方が設定されているため,達成された結果はより比較可能であり,したがって実行されたさまざまな分析間で再利用可能です。
•        More targeted towards specific cybersecurity value chains: the availability of a standard taxonomy of cybersecurity value chains, allows for more targeted analysis with regard to specific cybersecurity areas, products, services and processes.   ・特定のサイバーセキュリティバリューチェーンにより的を絞る: サイバーセキュリティバリューチェーンの標準的な分類法が利用できるため,特定のサイバーセキュリティ分野,製品,サービス,プロセスに関して,より的を絞った分析が可能になります。
•        More customizable towards technology and market trends: the possibility to customize an analysis according to various trends, allows for consideration of market dynamics by means for forecasts, market gaps and market niches.  ・技術や市場のトレンドに対してよりカスタマイズが可能:さまざまなトレンドに応じて分析をカスタマイズできるため,予測,市場ギャップ,市場ニッチなどの手段で市場のダイナミクスを考慮することができる。
•        More agile: the inherent flexibility of setting market analysis foci and adapting accordingly the performed analysis process, increases agility of the proposed market analysis method.  ・市場分析の焦点の設定や分析プロセスの柔軟性により,提案する市場分析手法の俊敏性を高めることができる。
•        More comprehensive: the inclusion of all possible variables, criteria and contextual information on cybersecurity, as well as requirements and dependencies both from the supply and the demand sides, increases the comprehensiveness of the proposed market analysis method.  ・より包括的に:サイバーセキュリティに関するすべての可能な変数,基準,文脈情報,および供給側と需要側の両方からの要件と依存関係を含めることで,提案する市場分析手法の包括性が高まります。
•        More coherence: the use of the framework to perform market analyses facilitates information exchanges among specific market analysis reports by means of re-usability and coherence of created/maintained market information (both raw market data and analysis results).  ・一貫性の向上:市場分析を行うためにフレームワークを使用することで、作成/維持された市場情報(生の市場データと分析結果の両方)の再利用性と一貫性により、特定の市場分析レポート間の情報交換が容易になります。
The framework presented in this report is at its initial development phase. With increasing performance of cybersecurity market analyses, but also with interactions with stakeholders, ENISA will continuously develop, update and maintain the current framework to increase its efficiency and practicability. To this extent, it constitutes rather the starting point of a journey than a destination. 本報告書で紹介するフレームワークは、まだ開発の初期段階です。サイバーセキュリティ市場分析の実績が増えるにつれ、また利害関係者との相互作用により、ENISAは現行の枠組みを継続的に開発、更新、維持し、その効率と実用性を高めていく予定です。この限りにおいて、本報告書は目的地というよりもむしろ旅の出発点となるものです。

[1] https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32019R0881&from=EN, accessed November 2021.

 

目次...

1. INTRODUCTION 1. イントロダクション
1.1 POLICY CONTEXT 1.1 政策の背景
1.2 PURPOSE, OBJECTIVES AND SCOPE 1.2 目的、目標、範囲
1.3 TARGET AUDIENCE 1.3 想定読者
1.4 STRUCTURE OF THE REPORT 1.4 報告書の構成
2. CONTENT OF THE ENISA CYBERSECURITY MARKET ANALYSIS  FRAMEWORK (ECSMAF)
2. ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAP)の内容
2.1 LOGICAL BLOCKS/MODULES OF ECSMAF 2.1 ecsmafの論理ブロック/モジュール
2.1.1 Market structure and segmentation 2.1.1 市場の構造とセグメンテーション
2.1.2 Demand-side research 2.1.2 需要側の調査
2.1.3 Supply-side research 2.1.3 供給側調査
2.1.4 Technology research 2.1.4 技術研究
2.1.5 Macro-Environmental Factors and Economic Market Characteristics 2.1.5 マクロ環境因子と経済市場の特性
2.2 CONTEXTUALIZED ECSMAF COMPONENTS 2.2 コンテキスト化されたECSMAPの構成要素
2.2.1 Scoping the analysis and ECSMAF parametrization 2.2.1 分析のスコープとECSMAFのパラメトリゼーション
2.2.2 Cybersecurity market taxonomy 2.2.2 サイバーセキュリティ市場の分類法
2.2.3 Cybersecurity market trends 2.2.3 サイバーセキュリティ市場の動向
2.2.4 Market stakeholder types 2.2.4 市場のステークホルダーの種類
2.2.5 Methods for collecting market data 2.2.5 市場データの収集方法
3. RELATED AREAS 3. 関連する分野
4. ISSUES, CONSIDERATIONS, CONCLUSIONS 4. 問題点、考察、結論
4.1 GENERAL REMARKS 4.1 総論
4.2 OPEN ISSUES AND WAYS FORWARD 4.2 未解決の問題および今後の進め方
A ANNEX: EXAMPLES 附属書A:事例
A.1 EXAMPLES OF MARKET STRUCTURE AND SEGMENTATION A.1 市場構造とセグメンテーションの例
A.2 EXAMPLES OF DEMAND-SIDE RESEARCH A.2 需要側の研究例
A.3 EXAMPLES OF SUPPLY-SIDE RESEARCH A.3 供給側の調査例
A.3.1 Example of Market Map A.3.1 市場マップの例
A.4 EXAMPLES OF TECHNOLOGY RESEARCH A.4 テクノロジー調査の例
A.4.1 Example of Scenarios and Technology Map A.4.1 シナリオとテクノロジーマップの例
A.4.2 Example of market adoption forecast A.4.2 市場導入予測例
A.5 EXAMPLES OF MACRO-ENVIRONMENTAL FACTORS AND ECONOMIC MARKET CHARACTERISTICS A.5 マクロ環境要因と経済市場の特性に関する例
B MAIN ABBREVIATIONS B 主な略語

 

 

・2022.04.08 EU Cybersecurity Market Analysis - IoT in Distribution Grid

EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. Tt provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本レポートでは、配電網におけるIoTサイバーセキュリティの需要と供給について分析しています。今後、この市場がどのように発展していくかについて、詳細な示唆を与えています。本レポートで提供する結論は、想定される範囲に関連するものであり、したがってスマートグリッドインフラ全体に関して網羅的なものではありません。

 

・[PDF]

20220411-51113

 

エグゼクティブサマリー・・・

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Due to increasing digital transformation across various sectors, cybersecurity is now at the forefront for many organisations. This trend has been further reinforced by the continuous development of relevant EU legislative and policy frameworks, such as the Network and Information Security (NIS) Directive[1], the EU Cybersecurity Act (CSA)[2] and the Digital Single Market Strategy3 様々な分野でデジタルトランスフォーメーションが進んでいるため、サイバーセキュリティは多くの組織にとって最重要課題となっています。この傾向は、ネットワークと情報セキュリティ(NIS)指令[1]、EUサイバーセキュリティ法(CSA)[2]、デジタル単一市場戦略3など、関連するEU立法や政策の枠組みが継続的に発展していることによってさらに強まっています。
The NIS Directive represents the first EU-wide legislation on cybersecurity. Its objective is to achieve a high common level of cybersecurity across all national ‘Operators of Essential Service’ (OES). The identified OESs include various industries, such as energy, transport and water distribution. The energy infrastructure is one of the most complex and, at the same time, critical infrastructures that other business sectors depend upon to deliver essential services. Therefore, unavailability in supply of energy may potentially have high impact on economy and society. A potential disruption for a long period of time can cause a disfunctions in society, industry and trade by even affecting the gross domestic product (GDP). As will be outlined in this study, the NIS Directive has important implications for numerous organisations, including those managing the electrical grid in the Member States. The ability for organisations to ensure the cybersecurity of power supply is of fundamental value for the functioning of Member States and the every-day lives of European citizens. As such, successful cyber-attacks may have a devastating impact on the performance of power grids. By way of example, the 2015 cyberattack in Ukraine[3][4] cut the electricity of 225,000 households, damaged industrial control systems, and resulted in lasting operational implications on the electricity grid for several weeks.  NIS指令は、サイバーセキュリティに関する最初のEU全体の法律です。その目的は、すべての国の「重要サービス事業者」(OES)に対して、高い共通レベルのサイバーセキュリティを実現することです。特定されたOESには、エネルギー、輸送、配水など、さまざまな産業が含まれます。エネルギーインフラは、最も複雑であると同時に、他の事業部門が不可欠なサービスを提供するために依存している重要なインフラの一つです。そのため、エネルギーが供給されないと、経済や社会に大きな影響を与える可能性があります。長期にわたる供給停止は、社会、産業、貿易に混乱をもたらし、国内総生産(GDP)にまで影響を及ぼす可能性があります。本研究で概説するように、NIS指令は、加盟国の電力網を管理する組織を含む多くの組織にとって重要な意味を持っています。電力供給のサイバーセキュリティを確保する組織の能力は、加盟国の機能と欧州市民の日常生活にとって基本的な価値を持つものです。そのため、サイバー攻撃が成功すれば、電力網の性能に壊滅的な影響を与える可能性があります。例として、2015年にウクライナで発生したサイバー攻撃[3][4]は、22万5000世帯の電力をカットし、産業用制御システムにダメージを与え、数週間にわたって電力網に持続的な運用上の影響を与える結果となりました。
Meanwhile, it must be noted that the electricity industry is undergoing a radical transformation, driven by political, economic, social, and environmental factors, as well as by the increased digitalisation through the adoption of new technologies and new market entrants. Considering the recent policy developments on IoT cybersecurity5, one could reasonably state that IoT technologies are increasingly at the forefront of this transformation. Be that as it may, as organisations continue to digitalise their operations and improve the flexibility of the grid to accommodate renewable energy sources, their attack surface has increased. Vulnerable (interconnected) IoT devices[5] can be accessed by malicious actors, resulting in stolen information or malicious activities that could cause disruptions to the safe operation of energy assets, causing potential harm to individuals, organisations, or Member States.  一方、電力業界は、政治的、経済的、社会的、環境的要因に加え、新技術の採用や新規市場参入によるデジタル化の進展により、急激な変革期を迎えていることに留意する必要があります。IoTサイバーセキュリティに関する最近の政策展開5を考慮すると、IoT技術がこの変革の最前線にますます近づいていると合理的に言うことができます。それはともかく、組織が業務のデジタル化を進め、再生可能エネルギー源に対応するためにグリッドの柔軟性を向上させるにつれ、その攻撃対象は増加しています。脆弱な(相互接続された)IoTデバイス[5]は、悪意のある行為者によってアクセスされ、その結果、情報が盗まれたり、エネルギー資産の安全な運用を妨害する悪質な行為が行われたりし、個人、組織、加盟国に損害を与える可能性があるのです。
In accordance with its mandate under the CSA, ENISA observes and analyses the cybersecurity market in the European Union. It is within this context that ENISA delivers this report which aims at analysing the IoT cybersecurity market in distribution grids in the European Union. This analysis has been conducted as a proof of concept (PoC) of the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF) developed by the Agency in 2021 and published in April 2022[6].  CSAに基づく職務権限に従い、ENISAは欧州連合におけるサイバーセキュリティ市場を観察し分析しています。ENISAが、欧州連合の配電網におけるIoTサイバーセキュリティ市場の分析を目的とした本レポートを提供するのは、このような背景のためです。本分析は、2021年に同庁が開発し、2022年4月に公表したENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)の初期バージョンの概念実証(PoC)として実施されたものです[6]。
As described in ENISA Cybersecurity Market Analysis Framework (ECSMAF), the scoping is key for the success of the analysis. The decision to conduct an analysis focused on IoT cybersecurity market in distribution grids was made by taking into account a variety of scoping criteria such as: level of adoption of IoT in the smart grid, size of the relevant market, reported level of exposure to cyberthreats, assumed added value of the analysis for the stakeholders, but also available project resources.  ENISA Cybersecurity Market Analysis Framework (ECSMAF)にあるように、分析の成功にはスコーピングが重要です。配電網におけるIoTサイバーセキュリティ市場に焦点を当てた分析を実施する決定は、スマートグリッドにおけるIoTの導入レベル、関連市場の規模、サイバー脅威への暴露の報告レベル、関係者に対する分析の想定付加価値、さらには利用できるプロジェクトリソースなどの様々なスコーピング基準を考慮することによって行われました。
This report analyses demand and supply of IoT cybersecurity in distribution grids. Furthermore, it provides detailed indications on how this market might further develop in the future. That being said, the conclusions provided in the report are related to the envisaged scope, being thus nonexhaustive with regard to the entire smart-grid infrastructure. Moreover, in the frame of available resources, the analysis is based on existing market data delivered by a contractor. While they constitute a good sample to assess international market dynamics, trends and characteristics, they do not encompass the complete picture of the EU IoT cybersecurity market. This can be achieved in prospective, more targeted analyses of this market segment.  本レポートでは、配電網におけるIoTサイバーセキュリティの需要と供給について分析しています。さらに、この市場が今後どのようにさらに発展していくかについて、詳細な示唆を与えています。とはいえ、本レポートで提供する結論は、想定される範囲に関連するものであり、スマートグリッドのインフラ全体に関しては非網羅的なものとなっています。さらに、利用可能なリソースの枠内で、分析は請負業者によって提供された既存の市場データに基づいています。これらは、国際市場のダイナミクス、トレンド、特性を評価するための良いサンプルとなりますが、EUのIoTサイバーセキュリティ市場の全体像を網羅するものではありません。これは、この市場セグメントについて、より対象を絞った前向きな分析で達成することができます。
The research that was conducted resulted in the following highlights:  実施された調査の結果、以下の概要が得られました。
•        IoT cybersecurity spending within the distribution grids of the EU-27 is mainly driven by the adoption of electricity “smart” meters.  ・EU-27の配電網内のIoTサイバーセキュリティ支出は、主に電力の「スマート」メーターの採用によってもたらされています。
•        From 2025 to 2030, the IoT cybersecurity market related to smart meters is expected to be mainly driven by Operational Expenditures (OPEX) rather than Capital Expenditures (CAPEX). In practice, this means that more capital is expected to be spent for the maintenance of IoT cybersecurity (such as maintenance of security software installed in IoT devices, e.g. software patches) than for the purchase of new cybersecurity hardware or software.  ・2025年から2030年にかけて、スマートメーターに関連するIoTサイバーセキュリティ市場は、主に資本支出(CAPEX)よりも運用支出(OPEX)により牽引されると予想されます。これは、実際には、サイバーセキュリティのハードウェアやソフトウェアの新規購入よりも、IoTサイバーセキュリティの保守(IoT機器にインストールされたセキュリティソフトウェアの保守、例えばソフトウェアパッチなど)に多くの資本が使われることが予想されることを意味します。
•        Analysis indicates that there are no IoT monopolies. Nonetheless, organisations tend to favour larger IoT vendors that possess the necessary capabilities to cover a wide spectrum of requirements, limiting the space for market entry of smaller organisations in consequence.  ・分析によると,IoTの独占は存在しません。しかし,組織は、幅広い要件に対応するために必要な能力を有する大規模なIoTベンダーを好む傾向があり、その結果、小規模な組織の市場参入の余地が制限されることになります。
•        There are four main archetypes of suppliers within the IoT cybersecurity market, these being: multi-domain industrial assets vendors, multi-domain IT vendors, specialist IoT vendors, and IoT cybersecurity specialist vendors.   ・IoTサイバーセキュリティ市場には、マルチドメイン産業資産ベンダー、マルチドメインITベンダー、IoT専門ベンダーおよびIoTサイバーセキュリティ専門ベンダーの4種類の主要な供給者が存在します。
•        The above-mentioned archetypes exhibit different competitive dynamics, i.e., focussing on a particular market segment vs. diversification.  ・これらのタイプは、特定の市場セグメントへの注力と多様化という異なる競争力学を示しています。
•        The increase of demand for cybersecurity tools and services to improve its IoT cybersecurity capabilities, represents one of the main trends by the energy industry.  ・IoTサイバーセキュリティ能力を向上させるためのサイバーセキュリティツールおよびサービスに対する需要の増加は、エネルギー産業による主要なトレンドの1つを表しています。
•        Embedded cybersecurity into IoT infrastructure and IoT management platforms represents one of the trends on the supply-side portfolios.  ・IoTインフラとIoT管理プラットフォームへのサイバーセキュリティの組み込みは、供給側ポートフォリオのトレンドの1つを表しています。
•        There are multiple technological development trends in the IoT cybersecurity market. Among these, cyber-physical system security and operational technology security are expected to materialize in the short term.  ・IoTサイバーセキュリティ市場には複数の技術開発トレンドが存在します。このうち短期的にはサイバーフィジカルシステムセキュリティと運用技術セキュリティが具体化すると予想されます。

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN, accessed 20 September 2021.

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0881&from=EN, accessed 20 September 2021. 3 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015DC0192&from=EN, accessed 20 September 2021.

[3] https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/, accessed December 2021. 5 See for instance, EU's Cybersecurity Strategy for the Digital Decade, JOIN/2020/18 final, https://eur-lex.europa.eu/legalcontent/EN/ALL/?uri=JOIN:2020:18:FIN (see in particular Section 1.5 An Internet of Secure Things), accessed 13 January

[4] ; Council Conclusions on the cybersecurity of connected devices, 2 December 2020, 13629/20, https://data.consilium.europa.eu/doc/document/ST-13629-2020-INIT/en/pdf, accessed 13 January 2022; Commission Delegated Regulation of 29.10.2021 supplementing Directive 2014/53/EU of the European Parliament and of the Council with regard to the application of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM%3AC%282021%297672&qid=1638116539090, accessed 13 January 2022. For an overview on European Commission policy on IoT, see https://digitalstrategy.ec.europa.eu/en/policies/secure-internet-things, accessed 13 January 2022.

[5] In this report "IoT" and "connected devices" are used as synonymous.

 

目次・・・

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. イントロダクション
1.1 SCOPING AND SELECTED THE FOCUS OF THE REPORT: IOT CYBERSECURITY IN DISTRIBUTION  GRIDS 1.1 スコープと報告書の焦点の選択:配電網におけるiotサイバーセキュリティ
1.2 SPECIFICITIES OF THIS MARKET ANALYSIS 1.2 この市場分析の特異性
1.3 STRUCTURE OF THE REPORT 1.3 レポートの構成
1.4 DATA COLLECTION 1.4 データ収集
1.5 BACKGROUND: A CHANGING LANDSCAPE IN THE ELECTRICITY INDUSTRY 1.5 背景:電力業界を取り巻く環境の変化
2. MARKET STRUCTURE 2. 市場構造
2.1 INTRODUCTION TO THE MARKET STRUCTURE 2.1 市場構造の紹介
2.2 RESEARCH QUESTIONS 2.2 調査クエスチョン
2.3 KEY ASSETS OF THE ELECTRICITY GRIDS FROM AN IOT PERSPECTIVE: SMART TRANSFORMERS  AND SMART METERS 2.3 iotの観点から見た電力網の主要資産:スマート変圧器とスマートメーター
2.4 COVERED GEOGRAPHIES 2.4 対象地域
2.5 IOT CYBERSECURITY MARKET IN DISTRIBUTION GRIDS IN EU-27 2.5 EU-27の配電網におけるiotサイバーセキュリティ市場
2.5.1 IoT cybersecurity market of smart transformers 2.5.1 スマート変圧器のIoTサイバーセキュリティ市場
2.5.2 IoT cybersecurity market of smart electricity meters 2.5.2 スマート電力計のIoTサイバーセキュリティ市場
2.5.3 IoT cybersecurity market: aggregated results 2.5.3 IoTサイバーセキュリティ市場:集計結果
3. DEMAND-SIDE RESEARCH 3. 需要側調査
3.1 INTRODUCTION TO THE DEMAND-SIDE RESEARCH SECTION 3.1 需要側調査セクションの紹介
3.2 RESEARCH QUESTIONS FOR THE DEMAND-SIDE 3.2 需要側の調査クエスチョン
3.3 METHODOLOGY OF THE DEMAND-SIDE RESEARCH 3.3 需要側調査の方法論
3.4 MARKET TRENDS ON THE DEMAND-SIDE 3.4 需要側の市場動向
4. SUPPLY-SIDE RESEARCH 4. 供給側調査
4.1 INTRODUCTION TO THE SUPPLY-SIDE ANALYSIS 4.1 供給側分析への導入
4.2 RESEARCH QUESTIONS FOR THE SUPPLY-SIDE ANALYSIS 4.2 供給側分析のための調査クエスチョン
4.3 METHODOLOGY OF THE SUPPLY-SIDE ANALYSIS 4.3 供給側分析の方法論
4.4 ARCHETYPES OF SUPPLIERS 4.4 供給者のアーキタイプ
4.4.1 Multi-domain industrial assets vendors 4.4.1 マルチドメイン産業資産ベンダー
4.4.2 Multi-domain IT vendors 4.4.2 マルチドメインITベンダー
4.4.3 Specialist IoT vendors 4.4.3 IoT専門ベンダー
4.4.4 IoT Cybersecurity specialist vendors 4.4.4 IoTサイバーセキュリティ専門ベンダー
4.5 PROFILES OF REPRESENTATIVE MARKET PLAYERS 4.5 代表的な市場プレイヤーのプロフィール
4.5.1 General Electric 4.5.1 ゼネラル・エレクトリック
4.5.2 Hitachi ABB Power Grids 4.5.2 日立ABBパワーグリッド
4.5.3 Microsoft 4.5.3 マイクロソフト
4.5.4 Oracle 4.5.4 オラクル
4.5.5 CloudPlugs 4.5.5 クラウドプラッグス
4.5.6 Telit 4.5.6 テリット
4.5.7 Nozomi Networks 4.5.7 のぞみネットワークス
4.5.8 Radiflow 4.5.8 ラジフロー
4.6 VENDORS IN SCOPE FOR THE ANALYSIS 4.6 分析対象ベンダー
4.7 MARKET TRENDS ON THE SUPPLY-SIDE 4.7 供給側の市場動向
5. TECHNOLOGY RESEARCH 5. 技術調査
5.1 INTRODUCTION TO THE TECHNOLOGY RESEARCH SECTION 5.1 技術調査セクションの紹介
5.2 RESEARCH QUESTIONS ON TECHNOLOGY 5.2 技術に関する調査の質問
5.3 METHODOLOGY OF TECHNOLOGY ANALYSIS 5.3 技術分析の方法論
5.4 IOT CYBERSECURITY TECHNOLOGY TRENDS IN DISTRIBUTION GRIDS 5.4 配電網におけるIoTサイバーセキュリティの技術動向
5.4.1 Cyber-physical system security 5.4.1 サイバーフィジカルシステムのセキュリティ
5.4.2 Operational Technology security 5.4.2 運用技術のセキュリティ
5.4.3 Positioning, Navigation, and Timing (PNT) security 5.4.3 PNT(ポジショニング・ナビゲーション・タイミング)セキュリティ
5.4.4 Digital Risk Protection Services 5.4.4 デジタルリスクプロテクションサービス
5.4.5 Homomorphic Encryption 5.4.5 ホモモーフィック・エンクリプション
6. MACRO-ENVIRONMENTAL FACTORS 6. マクロ環境要因
6.1 INTRODUCTION TO THE MACRO-ENVIRONMENTAL FACTORS SECTION 6.1 マクロ環境要因セクションの紹介
6.2 RESEARCH QUESTIONS 6.2 調査クエスチョン
6.3 METHODOLOGY OF ANALYSIS 6.3 分析の方法論
6.4 MACRO-ECONOMIC FACTORS OF THE IOT CYBERSECURITY MARKET 6.4 IoTサイバーセキュリティ市場のマクロ経済的要因
6.4.1 Accelerated electrification of vehicles in EU 6.4.1 EUで加速する自動車の電動化
6.4.2 Aftermath of the COVID-19 pandemic 6.4.2 COVID-19のパンデミックの余波
6.4.3 Available green bonds and government funding for energy transformation 6.4.3 エネルギー転換のためのグリーンボンドや政府資金が利用可能
6.4.4 Limited workforce to execute on grid digitalisation 6.4.4 グリッドのデジタル化を実行するための限られた労働力
6.4.5 Accelerated growth in electricity consumption because of global warming 6.4.5 地球温暖化により加速する電力消費量の増加
6.4.6 Relevant legal framework of IoT cybersecurity in distribution grids 6.4.6 配電網におけるIoTサイバーセキュリティの関連する法的枠組み
7. CONCLUSIONS 7. 結論
7.1 MAIN FINDINGS 7.1 主な調査結果
7.2 WAYS FORWARD 7.2 今後の進め方
A ANNEX: COVERED IOT CYBERSECURITY MARKET SEGMENT 附属書A:対象となるIoTサイバーセキュリティの市場セグメント
B ANNEX: ACRONYM TABLE 附属書B:頭字語表

| | Comments (0)

2022.04.10

NISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点

こんにちは、丸山満彦です。

NISTがNISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点が公表されていますね。。。

NIST - ITL

・2022.04.07 NISTIR 8419 Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives

NISTIR 8419 Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives NISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点
Abstract 概要
As supply chains become more complex and the origins of products become harder to discern, efforts are emerging that improve traceability of goods by exchanging traceability data records using blockchain and related technologies. This NIST NCCoE publication explores the issues that surround traceability, the role that blockchain and related technologies may be able to play to improve traceability, and several case studies in use today. サプライチェーンが複雑化し、商品の原産地が判別しにくくなる中、ブロックチェーンや関連技術を利用してトレーサビリティデータの記録を交換し、商品のトレーサビリティを向上させる取り組みが始まっています。本NIST NCCoE出版物では、トレーサビリティを取り巻く問題、ブロックチェーンや関連技術がトレーサビリティの改善に果たすことのできる役割、そして現在利用されているいくつかのケーススタディについて解説しています。

 

想定読者としては、以下の人がそ想定されているようです。。。

  • 製造業企業
  • 政府等の規制機関
  • 標準化団体
  • 学術研究者
  • 製品の消費者
  • 製造工場、公益事業、その他国家重要インフラの要素で利用される産業制御システム(ICS)を含む運用技術(OT)のサプライチェーンにおける利害関係者
    • OTを設計または実装するシステムエンジニア、インテグレーター、およびアーキテクト
    • OTを管理または保護する管理者、エンジニア、その他の情報技術(IT)専門家
    • OTのセキュリティを評価またはテストするセキュリティアナリスト
    • OTサイバーセキュリティの責任者やOTの中断による運用への影響を軽減する責任者など、OTに責任を持つ産業界の管理者
    • OTのユニークなセキュリティ面を理解するための研究者・アナリスト
    • OTまたはOT関連製品を開発する技術・業界サプライヤー

 

・[PDF] NISTIR 8419

20220410-44610

 

目次...

1 Introduction 1 はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Target audience 1.3 想定読者
1.4 Foundational practices 1.4 基礎的な実践
1.5 Relationship to other programs and publications 1.5 他のプログラムおよび発行文書との関係
1.6 Methodology overview 1.6 メソドロジーの概要
1.7 Summary of insights 1.7 洞察のまとめ
1.8 Organization of this paper 1.8 本文書の構成
2 Manufacturing Supply Chain Overview and Imperatives 2 製造業のサプライチェーンの概要と必要条件
2.1 Introduction 2.1 はじめに
2.2 Supply chain risk 2.2 サプライチェーンリスク
2.3 Relevant NIST Special Publications 2.3 関連するNISTの特別発行文書
2.4 Product provenance and pedigree 2.4 製品の出所とペディグリー
2.5 Ecosystem perspective 2.5 エコシステムの視点
2.6 Industrial control system example 2.6 産業用制御システムの例
2.7 Traceability challenges 2.7 トレーサビリティの課題
2.8 Decentralized information sharing 2.8 非中央集権的な情報共有
3 Traceability 3 トレーサビリティ
3.1 Potential benefits of improved traceability 3.1 トレーサビリティの向上がもたらす潜在的な利益
3.2 Applicable domains 3.2 適用可能なドメイン
3.3 Metrics 3.3 メトリクス
4 Technologies Supporting Traceability 4 トレーサビリティを支える技術
4.1 Blockchain 4.1 ブロックチェーン
4.2 Cyber-physical anchors 4.2 サイバーフィジカルアンカー
4.3 Other technologies 4.3 その他の技術
4.4 Summary 4.4 まとめ
5 Considerations for Adoption of Blockchain 5 ブロックチェーン導入のための検討事項
5.1 Metrics 5.1 メトリクス
5.2 Information exchange standards 5.2 情報交換の標準
5.3 Minimum viable ecosystem 5.3 最小限のエコシステム
5.4 Multiple blockchains 5.4 複数のブロックチェーン
5.5 Intellectual property 5.5 知的財産
5.6 Privacy 5.6 プライバシー
5.7 Identity for supply chain partners 5.7 サプライチェーンパートナーのアイデンティティ
6 Industry Case Studies & Analysis 6 業界の事例と分析
6.1 From Field to Fork 6.1 フィールドからフォークまで
6.2 Sky Republic with SITA 6.2 スカイリパブリックとSITA
6.3 Guardtime Federal and “Perspectives from a Prime” 6.3 Guardtime Federalと "Perspectives from a Prime"
6.4 DUST Identity 6.4 DUST アイデンティティ
6.5 MediLedger 6.5 MediLedger
6.6 Chain Integration Project (CHIP) 6.6 チェーン統合プロジェクト(CHIP)
6.7 Methodology 6.7 方法論
7 Future Research Opportunities 7 今後の研究の可能性
7.1 Identity 7.1 アイデンティティ
7.2 Message content standards 7.2 メッセージ内容の標準化
7.3 Barriers to entry 7.3 参入障壁
7.4 Supply chain traceability ecosystems 7.4 サプライチェーントレーサビリティエコシステム
7.5 Metrics 7.5 メトリクス
7.6 Patterns in supply chain traceability 7.6 サプライチェーントレーサビリティのパターン
7.7 Ecosystem scale and interoperability 7.7 エコシステムの規模と相互運用性
7.8 Opportunities cross reference 7.8 機会の相互参照
8 Conclusions 8 結論
List of Appendices 附属書一覧
References 参考文献
Appendix A— Case Study Analysis Models and Lenses 附属書A- ケーススタディ分析モデルとレンズ
A.1 Cyber supply chain risk management A.1 サイバーサプライチェーンリスクマネジメント
A.2 Technology lenses & adoption curve A.2 技術レンズと採用曲線
A.3 Win/win and production possibility frontier A.3 Win/Winと生産可能性フロンティア
A.4 Intermediation, disintermediation, classic make/buy A.4 仲介、仲介解除、古典的なmake/buy
A.5 Centralized and decentralized A.5 中央集権型と非中央集権型
Appendix B— Submitted Case Studies 附属書B-提出されたケーススタディ
B.1 Case Study: Guardtime Federal, Inc. B.1 ケーススタディ ガードタイム・フェデラル社(Guardtime Federal, Inc.
B.2 Case Study: Perspectives from A Prime B.2 ケーススタディ:Guardtime Federal, Inc: Aプライムからの視点
B.3 Case Study: Sky Republic B.3 ケーススタディ スカイリパブリック
B.4 Case Study: Manufacturing Supply Chain Traceability from “Field to For B.4 ケーススタディ 製造業のサプライチェーンにおけるトレーサビリティ(現場から現場へ
B.5 Case Study: DUST Identity B.5 ケーススタディ DUSTアイデンティティ
Appendix C— Case Study Individual Analysis Notes 附属書C-ケーススタディ個別分析ノート
C.1 Field to Fork C.1 フィールド・トゥ・フォーク
C.2 Sky Republic C.2 スカイリパブリック
C.3 Guardtime Federal C.3 ガードタイムフェデラル
C.4 Large Prime C.4 ラージプライム
C.5 DUST Identity C.5 DUST Identity
C.6 MediLedger FDA Pilot Project C.6 MediLedger FDAパイロットプロジェクト
C.7 Chain Integration Project (CHIP) C.7 チェーン統合プロジェクト(CHIP)
Appendix D— Mental Models Analysis Candidate Areas for Research 附属書D-メンタルモデル分析 研究対象候補分野
D.1 Supply chain risk management candidates D.1 サプライチェーンリスクマネジメント候補
D.2 Marketplace positioning candidates D.2 マーケットプレイスポジショニング候補
D.3 Win/win and the production possibility frontier candidates D.3 Win/Winと生産可能性フロンティア候補
D.4 Intermediation and disintermediation, make or buy candidates D.4 仲介と仲介解除、作るか買うかの候補
D.5 Centralization and decentralization candidates D.5 中央集権と分散化の候補
Appendix E— Analysis notes from Standards and Solution Experts 附属書E- 規格とソリューションの専門家による分析メモ
E.1 Linking physical objects to data E.1 物理的なオブジェクトとデータの関連付け
E.2 Data integrity E.2 データの完全性
E.3 Data traceability E.3 データのトレーサビリティ
E.4 Ecosystems of cooperation E.4 協働のエコシステム
E.5 Enabling distributed coordination  E.5 分散型コーディネートの実現 
E.6 Analysis and trade space of decentralization, distribution, and consensus . E.6 分散、分配、コンセンサスの分析および取引空間 .
E.7 Analysis method to quickly discover/form/implement a blockchain enabled ecosystem E.7 ブロックチェーンに対応したエコシステムを迅速に発見/形成/実装するための分析方法
E.8 Identity E.8 アイデンティティ
E.9 Need to incorporate classified networks . E.9 分類されたネットワークを取り込む必要性 .
E.10 Minimum viable ecosystem E.10 最小限のエコシステム
E.11 Cross blockchain transactions  E.11 ブロックチェーン横断的な取引 
E.12 Standards . E.12 標準化.
E.13 Cooperation with logistics and IP blockchain records . E.13 物流やIPブロックチェーン記録との連携.
E.14 Decentralized information sharing (trusted, attributed, resilient) . E.14 分散型情報共有(信頼性、帰属性、強靭性)
E.15 Metrics  E.15 メトリクス 
E.16 Data patterns of external repositories (from legacy to Solid, IPFS, etc.) . E.16 外部リポジトリのデータパターン(レガシーからSolid、IPFSなど)

| | Comments (0)

2022.04.09

経済産業省 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」

こんにちは、丸山満彦です。

経済産業省が、

を公開していますね。。。

DXやAIと言って特別視するから、かえってハードルが高く見えるのかもしれませんね。。。

  • 「スマホを使ってできるようにしましょうとか」
  • 「クラウドを使ってXXXを最適化しましょう、XXXXの予想をしてみましょう」

とかでいいような。。。そうすると、だいたいDXになったり、AIを使ったりということになったりするんじゃないかなぁ。。。と思ったりもします。知らんけど(^^;;

小難しいコンセプトや道具を前面に出して、XXXを使いましょう、XXXの使い方はこうですよ。。。というよりも、適正仕入量の計算もできますよ、とか、部品の保守頻度を最適化できますよ、ということがわかれば、勝手にそういうツールを使うようになり、そしたらいつの間にかAIを使っていたという感じの方がいいかもですね。。。

経産省の今回の発表資料は、中小企業の導入事例があって参考になるように思いますので、大げさに考えずに、読んでみたら良いように思いました。。。

 

経済産業省

・2022.04.08 (press) 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」を取りまとめました

Fig1_20220409034501

 


デジタルガバナンスコード関係

・2022.04.08 中堅・中小企業等向け「デジタルガバナンス・コード」実践の手引き

20220409-34642

20220409-33706

 

 

 

 

 

 

20220409-35020


はじめに

1. DX とは何か、その可能性と進め方
1.1. そもそも DX とは何か
1.2. DX 推進の意義と中堅・中小企業等における可能性
1.3. DX の進め方
1.4. DX の成功のポイント

2. デジタルガバナンス・コードの実践に向けて
2.1. デジタルガバナンス・コードとは?
2.2. デジタルガバナンス・コード実践のポイント及び企業における取組例
 取組例 A:有限会社ゑびや(飲食業/三重県伊勢市)株式会社 EBILAB(情報システム開発販売業/三重県伊勢市)
 取組例 B:マツモトプレシジョン株式会社(精密機械部品加工/福島県喜多方市)
 取組例 C:株式会社ヒサノ(一般貨物自動車運送事業・機械器具設置工事業/熊本県熊本市)

中堅・中小企業等における DX 取組事例集
事例 1|北海道ワイン株式会社(酒類製造業/北海道小樽市)
事例 2|株式会社ヒバラコーポレーション(工業塗装/茨城県東海村)
事例 3|株式会社北國銀行(銀行業/石川県金沢市)
事例 4|株式会社竹屋旅館(宿泊業・飲食サービス業/静岡県静岡市)
事例 5|株式会社ハッピー(サービス業/京都府宇治市)
事例 6|株式会社スーパーワークス(技術サービス業/岡山県岡山市)
事例 7|東洋電装株式会社(制御盤製造及び技術サービス業/広島県広島市)
事例 8|株式会社太陽都市クリーナー(廃棄物処理業/広島県府中市)
事例 9|サンコー株式会社(ねじ・精密部品製造・販売等/香川県高松市)
事例 10|松本工業株式会社(自動車部品・金属製品等製造/福岡県北九州市)



AI導入関係

・2022.04.08 中小企業のAI活用促進について

これからAI導入にチャレンジする企業向け

① [PDF] AI導入ガイドブック 構想検討パンフレット 

20220409-41026


② [PDF] AI導入ガイドブック 需要予測(製造) 

20220409-40320


③ [PDF] AI導入ガイドブック 予知保全 

20220409-40328


④ [PDF] AI導入ガイドブック 加工図面の自動見積もり 

20220409-40344


 

社内にAI人材・IT人材を保有している企業向け

⑤ [PDF] AI導入ガイドブック 需要予測(小売り、卸業) 

20220409-40354


⑥ [PDF] AI導入ガイドブック 外観検査(部品、良品のみ) 

20220409-40401


⑦ [PDF] AI導入ガイドブック 外観検査(部品、不良品あり) 

20220409-40408

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

| | Comments (0)

米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)

こんにちは、丸山満彦です。

MITREが世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略を公表していますね。。。全文は452ページあります。。。

MITRE

・2022.03 11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER

 

11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略
If you are getting started in cybersecurity operations, evolving your existing security operations center (SOC), or engaging with a SOC regularly, MITRE offers free downloads of 11 Strategies of a World-Class Cybersecurity Operations Center—both for the 20-page summary document and the full textbook. Fully revised, this second edition of the popular 10 Strategies of a World-Class Cybersecurity Operations Center includes new material and evolved thinking to bring a fresh approach to excelling at cybersecurity operations and leveraging up your cyber defenses. サイバーセキュリティオペレーションをこれから始める方、既存のセキュリティオペレーションセンター(SOC)を発展させる方、SOCと定期的に関わる方向けに、MITREは「世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略」の20ページの要約文書と全文を無料でダウンロード提供しています。世界最高水準のサイバーセキュリティ運用センターの10の戦略」の第2版である本書は、全面的に改訂され、新しい資料や進化した考え方を盛り込み、サイバーセキュリティ運用に優れ、サイバー防御を強化するための新たなアプローチを提供します。
You will learn to: 本書では、次のことを学びます。
・Understand the mission context in which the SOC operates. ・SOCが活動するミッションの背景を理解する。
・Identify the right SOC structure and functions for your organization. ・組織にとって適切なSOCの構造と機能を特定する。
・Hire and grow talented staff, foster a sense of community, and create a place people want to be. ・優秀なスタッフを雇用し、成長させ、コミュニティ意識を醸成し、人が集まりたくなるような場所を作る。
・Instrument digital assets and fuse their data to speed workflow, maximize detection, and inform situational awareness. ・デジタル資産を活用し、そのデータを融合することで、ワークフローを高速化し、検知力を高め、状況認識を向上させる。
・Leverage cyber threat intelligence to operationalize threat-oriented defense, adversary emulation, hunting, and response. ・サイバー脅威のインテリジェンスを活用し、脅威指向の防御、敵のエミュレーション、ハンティング、レスポンスの運用を実現する。
・Tell the SOC’s story through effective metrics and communications, internally and externally. ・効果的な指標とコミュニケーションを通じて、SOCのストーリーを社内外に発信します。

 

・[PDF] 要約

・[PDF] 全文

20220408-212635

Executive Summary エグゼクティブサマリー
This book presents an overview of how to organize and consider the many functions in cybersecurity operations centers (SOCs). It describes strategies that can be applied to SOCs of all sizes, from two people to large, multi-national centers with hundreds of people. It is intended for all cybersecurity operations center personnel, from new professionals just starting in a SOC to managers considering capability expansion of the SOC. Starting with a Fundamentals section table which summarizes functional categories and areas, the book guides cyber professionals through applying mission context to 11 strategies of a worldclass SOC: 本書は、サイバーセキュリティオペレーションセンター(SOC)における多くの機能をどのように整理し、検討するかについて、その概要を紹介するものである。2名から数百名の大規模な多国籍センターまで、あらゆる規模のSOCに適用できる戦略を解説しています。この本は、SOCに入ったばかりの新しい専門家から、SOCの能力拡張を検討している管理者まで、すべてのサイバーセキュリティ運用センターの担当者を対象としています。本書は、機能分類と分野をまとめた「基礎編」の表から始まり、世界トップクラスのSOCの11の戦略にミッションのコンテキストを適用することで、サイバー専門家をガイドしています。
Strategy 1: Know What You Are Protecting and Why 戦略1:何を守るのか、なぜ守るのかを知る
Develop situational awareness through understanding the mission; legal regulatory environment; technical and data environment; user, user behaviors and service interactions; and the threat. Prioritize gaining insights into critical systems and data and iterate understanding over time. ミッション、法的規制環境、技術・データ環境、ユーザ、ユーザの行動、サービスの相互作用、脅威を理解することにより、状況認識を深めます。重要なシステムとデータに関する理解を深めることを優先し、時間をかけて繰り返し理解すします。
Strategy 2: Give the SOC the Authority to Do Its Job 戦略2:SOCに職務を遂行する権限を与える
Empower the SOC to carry out the desired functions, scope, partnerships, and responsibilities through an approved charter and the SOCs alignment within the organization. 承認された憲章と組織内のSOCの連携により、SOC