« March 2022 | Main | May 2022 »

April 2022

2022.04.30

米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

こんにちは、丸山満彦です。

米国GAOが人工知能は国家安全保障をどう変えるかについて、ブログの記事を上げていましたね。。。

GAOは昨年の6月に監査人や第三者評価者が聞くべきポイントと、それを確認するための監査手続きを示した、「人工知能のための新しい枠組み」を発表しており、それを活かして監査をした結果の紹介という感じでしょうかね。。。

米国の競争国としての中国、ロシアも同様の活動をしているでしょうから、より賢くするためにはどうすれば良いか?独立した目線で評価し、発見事項と推奨事項案をあげ、当局とも話し合い、より良い方向に進めるようにする。

監査を単なるイチャモン付けではなく、検証、保証はしつつも、ある意味助言者でもあり、伴走者でもあるように活用するという意識が双方にあれば、組織はより発展するのかもしれませんね。。。いわゆる3E監査、VFM監査が重要なのでしょうが、単なる保証で終わりではなく、発見をした課題に対する改善策を互いに議論をして深め合い考えていくことが重要なのでしょうね。。。

 

U.S. GAO - WatchBlog

・2022.04.19 How Artificial Intelligence Is Transforming National Security

How Artificial Intelligence Is Transforming National Security 人工知能は国家安全保障をどう変えるか
Artificial Intelligence (AI) is expected to transform all sectors of society, including, according to Department of Defense (DOD), the very character of war. Failure to adopt and effectively integrate AI technology could hinder national security. As a result, DOD is investing billions of dollars and making organizational changes to integrate AI into their warfighting plans. 人工知能(AI)は、国防総省(DOD)によれば、戦争の性格そのものを含め、社会のあらゆる分野を変革すると予想されています。AI技術の導入と効果的な統合に失敗すれば、国家安全保障に支障をきたす可能性があります。そのため、DODは数十億ドルを投資し、AIを戦争遂行計画に統合するための組織改革を進めています。
In today’s WatchBlog post, we look at our recent reports about what DOD is doing to deploy this emerging technology, and our recommendations to improve this response. 本日のWatchBlog記事では、DODがこの新興技術を展開するために行っていることについての私たちの最近の報告書と、この対応を改善するための私たちの提言を見てみましょう。
AI in national security, on and off the battlefield 国家安全保障におけるAI、戦場でも戦場以外でも
Strategic competitors, such as China and Russia, are making significant investments in AI for national security purposes. Likewise, DOD is investing billions of dollars to develop and integrate AI into defense systems. The types of AI that DOD uses range from automating simple business tasks (such as processing financial data) and predicting mechanical failures in weapons platforms to performing complex analysis to support its warfighting mission. 中国やロシアなどの戦略的な競争相手は、国家安全保障の目的でAIに多大な投資を行っています。同様に、DODはAIを開発し、防衛システムに統合するために数十億ドルを投資しています。DODが使用するAIの種類は、単純なビジネスタスク(財務データの処理など)の自動化や兵器プラットフォームの機械的故障の予測から、戦争遂行任務を支援するための複雑な分析の実行まで、多岐にわたっています。
Types of Artificial Intelligence and Associated DOD Examples 人工知能の種類と関連するDODの例
Ai-graphic
Many AI capabilities that support DOD’s warfighting mission are still in development. Examples include analyzing intelligence information (for example, facial recognition), enhancing weapon systems (such as drones and robotic ships), or providing recommendations on the battlefield (such as where to target missile strikes). DODの戦争遂行任務をサポートする多くのAI能力はまだ開発中です。例えば、インテリジェンス情報の分析(例えば、顔認識)、兵器システムの強化(ドローンやロボット船など)、戦場での推奨事項(ミサイル攻撃の標的場所など)などがあります。
Why is DOD challenged to quickly develop, acquire, and integrate AI technologies? なぜDODはAI技術の迅速な開発、取得、統合という課題に直面しているのでしょうか?
DOD has historically faced challenges to buying major weapons systems—such as a long acquisition process and a shortage of skilled workers. In February, we found that DOD is encountering these same problems—along with some others that are specific to AI. DODは歴史的に、長い取得プロセスや熟練労働者の不足など、主要な兵器システムを購入するための課題に直面してきました。2月、我々はDODが(AIに特有の他のいくつかの問題も含めて)これらと同じ問題に遭遇していることを発見しました。
Developing and acquiring AI capable of the complex, high-risk tasks DOD needs on the battlefield is different from acquiring traditional software. Traditional software is programmed to perform tasks based on static instructions, but AI is programmed to learn and improve at its given tasks. To train and run this machine-learning process requires large data sets, substantial computing power, and continuous monitoring to ensure the capability performs as intended. 国防総省が戦場で必要とする複雑で高リスクのタスクをこなすAIの開発・取得は、従来のソフトウェアの取得とは異なります。従来のソフトウェアは、静的な命令に基づいてタスクを実行するようにプログラムされていますが、AIは与えられたタスクを学習し、改善するようにプログラムされています。この機械学習プロセスを訓練し実行するには、大規模なデータセット、相当な計算能力、そして能力が意図したとおりに実行されることを確認するための継続的な監視が必要です。
For example, to train AI to identify a helicopter on its own, developers provide the model with many labeled photos of various helicopters to ensure it identifies helicopters and not, for example, planes, birds, or people. 例えば、AIにヘリコプターを識別させるためには、開発者はラベル付けされた様々なヘリコプターの写真を多数与えて、ヘリコプターを識別させ、例えば飛行機、鳥、人などを識別させないようにする必要がある。
DOD has begun to address these kinds of challenges, but it is too soon to know whether they will be effective. DODはこのような課題に取り組み始めているが、効果があるかどうかはまだわからない。
Example of labeled imagery data for training AI AI学習用ラベル付き画像データの例
Ai-military-training-photo
What changes has DOD made to accelerate its adoption of AI technology? DODはAI技術の採用を加速させるために、どのような変化をもたらしたのでしょうか?
DOD has taken various actions to accelerate its ability to adopt and integrate AI capabilities: DODは、AI能力の導入と統合の能力を加速させるために、様々な行動を起こしてきた。
Organizational Changes. DOD established the Joint Artificial Intelligence Center (JAIC) in 2018. In February 2022, DOD stood up the new position of the Office of the Chief Digital and AI Officer to serve as the department’s senior official responsible for strengthening and integrating data, AI, and digital solutions and to replace the JAIC. 組織的な変更。DODは、2018年に統合人工知能センター(JAIC)を設立しました。2022年2月、DODは、データ、AI、デジタルソリューションの強化と統合を担当する省の高官として、またJAICに代わって、最高デジタル・AI責任者の役職を新たに立ち上げました。
Additional investments. DOD increased investments in recent years, reflecting the growing importance of AI. For example, the latest budget request included $130.1 billion for research and development in recognition of the need to sharpen our readiness in advanced technology including artificial intelligence.  追加投資の実施 DODは近年、AIの重要性が高まっていることを反映して投資を増やしました。例えば、最新の予算要求では、人工知能を含む先端技術における即応性を研ぎ澄ます必要性を認識し、研究開発費として1301億ドルが計上されました。
To learn more about DOD’s use and strategies for AI, check out our podcast with GAO’s Brian Mazanec. 国防総省のAI活用と戦略の詳細については、GAOのBrian Mazanec氏とのポッドキャストをご覧ください。


Transcript
DOD would benefit from comprehensive plans and improved coordination DODは包括的な計画と調整の改善から利益を得るでしょう。
Our March report made 7 recommendations aimed at helping DOD to improve its planning for AI technology— including improving strategies, refining the inventory process, and establishing collaboration guidance. Additionally, DOD could use the GAO AI accountability framework to improve its strategies and plans moving forward. 我々の3月の報告書は、DODがAI技術に関する計画を改善するのを支援することを目的とした7つの勧告を行いまし。さらに、DODはGAOのAI説明責任フレームワークを利用して、今後の戦略や計画を改善することができます。
AI is a rapidly developing technology, revolutionizing everything from daily life to global events. Additional actions from DOD are needed to ensure the department can take advantage of the AI revolution and maintain an advantage over China and Russia, which seek to do the same. AIは急速に発展している技術であり、日常生活から世界的な出来事まであらゆるものに革命を起こしています。DODがAI革命を確実に利用し、同じことをしようとする中国やロシアに対する優位性を維持するためには、DODからの追加的なアクションが必要です。

参考記事

● GAO

・2022.04.07 Uncrewed Maritime Systems:Navy Should Improve Its Approach to Maximize Early Investments

・2022.03.30 Artificial Intelligence:DOD Should Improve Strategies, Inventory Process, and Collaboration Guidance

・2022.02.17 Artificial Intelligence:Status of Developing and Acquiring Capabilities for Weapon Systems

AIのフレームワーク

・2021.06.30 Artificial Intelligence:An Accountability Framework for Federal Agencies and Other Entities

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.23 U.S. GAO 人工知能のための新しい枠組み at 2021.06.30

 

 

| | Comments (0)

富士通 プロジェクト情報共有ツールへの不正アクセスについて

こんにちは、丸山満彦です。

富士通のプロジェクト情報共有ツールの不正アクセスについての発表が第六報になってますね。。。ほぼ一年になるので、、、

 

富士通

・2022.04.22 プロジェクト情報共有ツールへの不正アクセスについて(第六報)

 ・[PDF] 検証委員会からご指摘頂いた事項  [downloaded]

20220429-144714

・2022.03.07 プロジェクト情報共有ツールへの不正アクセスについて(第五報)

・2021.12.09 プロジェクト情報共有ツールへの不正アクセスについて(第四報)

・2021.09.24 プロジェクト情報共有ツールへの不正アクセスについて(第三報)

・2021.08.11 プロジェクト情報共有ツールへの不正アクセスについて(第二報)

・2021.05.25 プロジェクト情報共有ツールへの不正アクセスについて

 


検証委員会からご指摘頂いた事項

1.不正アクセス事案および発覚後の対応が遅れたことに関する原因分析

  不正アクセス事案に対する原因として、情報保護の体制が不十分であったこと、ProjectWEB に対する人員・予算の制約等からセキュリティの強化・管理に手が回らなかったこと、不正アクセスを直ちに検知する体制が整っていなかったこと、各テナントの管理に係る事項の多くがテナント管理者に委ねられていたこと、のご指摘を頂きました。

また、発覚後の対応の遅れの原因として、個別プロジェクトのインシデントとの前提で対応していたこと、属人的運用やログ管理不適切によりProjectWEB の構造の把握に時間を要したこと、ProjectWEB のシステムの性質につき共通認識が乏しく被害可能性のある情報の重要性・業務影響の想定が困難だったこと、セキュリティインシデントに対応する体制が効果的に機能しなかったこと、セキュリティインシデントにおける迅 な対応を阻害する風土や準備不足があったこと、顧客先等への対応姿勢が適切でなかったこと、が指摘されています。

こうした事態を招いた真因の分析として、ProjectWEB が当初想定されていたよりも幅広い環境や目的でなし崩し的に利用され、ProjectWEB の性質や利用状況に沿った取扱いがなされていなかったこと、富士通の組織体制が縦割りの傾向にあり、それを反映して社内システムの管理が全社一元的あるいは中央集権的になされていなかったこと、業務上の利便性やコスト削減の意識から情報管理やセキュリティが優先されない場合があったこと、インシデント対応において主体的に先手を打とうとする姿勢が十分でなかったこと、のご指摘を頂きました。

2.検証委員会による再発防止の提言

  以上の原因分析での指摘事項および富士通における再発防止策の検討・実施状況を踏まえ、報告書では、  以下の再発防止策の提言を頂きました。

(1)社内IT システム等におけるセキュリティの充実
(2)不正アクセスや脆弱性を直ちに検知し、即座に対応する組織の整備
(3)社内IT システムの一元管理及び各システムの位置付けの明確化
(4)セキュリティ意識の全社への貫徹に向けた教育・意識付けの徹底
(5)関係当局とのコミュニケーションの充実等
(6)情報管理やセキュリティを業務上の利便性やコスト削減に劣後させない風土醸成
(7)インシデント発生時における社内外への情報伝達の改善
(8)その他富士通において更に検討すべき事項(風土改善等)

以 上

 


参考情報

piyolog

東京オリンピックのサイバー関連の出来事についてまとめてみた

富士通のプロジェクト情報共有ツール「ProjectWEB」への不正アクセスについてまとめてみた

 

Continue reading "富士通 プロジェクト情報共有ツールへの不正アクセスについて"

| | Comments (0)

2022.04.29

MITRE ATT&CKのVer 11.0がリリースされましたね。。。 (2022.04.25)

こんにちは、丸山満彦です。

MITRE ATT&CK v11.0が公開されています。。。

エンタープライズ、モバイル、ICSのテクニック、グループ、ソフトウェアが更新されたようです。。。

大きな変更点は、

・エンタープライズATT&CKのデータソースとデータコンポーネント目標に関連付けられた検出の再構築

・サブテクニックを活用したATT&CK for Mobileのベータリリース(確定版はV10です。。。)

ATT&CK for ICSのattack.mitre.orgへのアップデート

ということのようです。。。

 

MITRE - ATT&CK

・2022.04.25 Updates - April 2022

 

内容は、ブログの解説記事で。。。

・2022.04.25 ATT&CK Goes to v11: Structured Detections, Beta Sub-Techniques for Mobile, and ICS Joins the Band

 

2022年のロードマップ

・2022.02.03 ATT&CK 2022 Roadmap

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.29 米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ

・2022.04.09 米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)

・2021.11.02 MITRE 連邦政府のサイバーセキュリティを向上させるための議会への8つの提言

・2021.10.22 MITRE ATT&CKのVer 10.0がリリースされましたね。。。

・2021.08.20 MITRE AIの5つの失敗例とそこから学ぶべきこと

・2021.06.24 MITRE ATLASでAIの脅威から守る

・2021.06.24 米国CISA MITRE ATT&CK®をサイバー脅威インテリジェンスに活用するためのガイダンス at 2021.06.02

・2021.04.30 MITRE ATT&CKのVer 9.0がリリースされましたね。。。

・2021.02.28 MITRE "Intelligence After Next"

・2020.11.18 MITRE : INTELLIGENCE AFTER NEXT: THE FUTURE OF THE IC WORKPLACE (自宅でインテリジェンス?)

・2020.10.28 MITRE ATT&CKのVer 8.0がリリースされましたね。。。

・2020.10.24 敵対的機械学習に対する脅威マトリックス (Adversarial ML Threat Matrix)

・2020.08.27 MITRE Shield vs MITRE ATT&CK

・2020.07.08 MITRE ATT&CKのVer 7.0がリリースされましたね。。。

| | Comments (0)

米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ

こんにちは、丸山満彦です。

MITREが、産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディについての技術文書を公表していました。。。

● MITRE

・2022.04 DETECTION ENGINEERING IN INDUSTRIAL CONTROL SYSTEMS—UKRAINE 2016 ATTACK: SANDWORM TEAM AND INDUSTROYER CASE STUDY

 

論文自体は、2021年12月に発表されたもののようですね。。。

・2021.12 [PDF] Detection Engineering in Industrial Control Systems - Ukraine 2016 Attack: Sandworm Team and Industroyer Case Study

20220429-60258

Abstract  概要 
We extend MITRE's TCHAMP threat hunting methodology to Industrial Control Systems (ICS),  identifying and addressing challenges unique to ICS environments. We execute the defensive  analytic development process leveraging the Ukraine 2016 cyber-attack as a use case from which  we source requirements. We describe the use of purple teaming activities and research into  technique execution to determine an appropriate level of technical depth to support the detection  engineering process. Understanding how to map attacks to a target ICS environment and  understanding the breadth of options available to an adversary are both critical to developing  sufficiently specific detections. The output of this process is a set of usable analytics ranging in  maturity from proof-of-concept to ready-for-production deployment. We build upon work where  possible from commercial and open-source tooling, using the exemplar use case to establish  technical requirements for custom-built or commercially acquired detection capabilities. We  cover the analytics we developed and discuss lessons learned for future ICS detection  engineering efforts. MITREのTCHAMP脅威ハンティング手法を産業用制御システム(ICS)に拡張し、ICS環境に特有の課題を特定し、対処します。本書では、2016年のウクライナのサイバー攻撃をユースケースとして活用し、防御分析開発プロセスを実行し、そこから要件を抽出します。また、検出エンジニアリングプロセスを支援するための適切な技術的深度レベルを決定するための、パープルチーミング活動の使用と技術実行の研究についての説明もします。攻撃をターゲットのICS環境にマッピングする方法を理解し、敵対者が利用できるオプションの幅を理解することは、どちらも十分に具体的な検出を開発するために重要です。このプロセスの結果は、概念実証から本番配備まで、幅広い成熟度で使用可能な一連の分析となります。私たちは、可能な限り商用およびオープンソースのツールを使用し、カスタムメイドまたは商用で取得した検出機能の技術要件を確立するために、模範となるユースケースを使用します。私たちが開発した解析について説明し、今後のICS検知エンジニアリングの取り組みのために学んだ教訓について議論します。

 

 

Continue reading "米国 MITRE 産業用制御システムにおける検出工学-ウクライナ2016年攻撃:SandwormチームとIndustroyerのケーススタディ"

| | Comments (0)

2022.04.28

NIST SP 800-82 第3版 OTセキュリティガイド(ドラフト)

こんにちは、丸山満彦です。

NISTがSP 800-82 第3版 OTセキュリティガイド(ドラフト)を公開し、意見募集をしていますね。。。もう、PDFファイルで317ページもあります。。。

範囲は、ICSからOTに広げていますね。。。

また、SP 800-53 第5版との整合性の確保や

その他、時代に応じた更新をしている感じですかね。。。

確定したら、きっとJPCERT/CCが翻訳版を公開してくれるでしょう...(知らんけど...)

 

NIST - ITL

・2022.04.26 SP 800-82 Rev. 3 (Draft) Guide to Operational Technology (OT) Security

SP 800-82 Rev. 3 (Draft) Guide to Operational Technology (OT) Security SP 800-82 第3版 (ドラフト) 運用技術(OT)セキュリティの手引き
Announcement 発表
This initial public draft provides guidance on how to improve the security of Operational Technology (OT) systems while addressing their unique performance, reliability, and safety requirements. この最初の公開草案は、オペレーショナルテクノロジー(OT)システム特有の性能、信頼性、安全性の要件に対応しつつ、OTシステムのセキュリティを向上させる方法についてのガイダンスを提供するものです。
OT encompasses a broad range of programmable systems or devices that interact with the physical environment (or manage devices that interact with the physical environment). These systems/devices detect or cause a direct change through the monitoring and/or control of devices, processes, and events. Examples include industrial control systems (ICS), building automation systems, transportation systems, physical access control systems, physical environment monitoring systems, and physical environment measurement systems. OTは、物理環境と相互作用する(あるいは物理環境と相互作用するデバイスを管理する)プログラム可能なシステムやデバイスを幅広く包含しています。これらのシステム/デバイスは、デバイス、プロセス、およびイベントの監視および/または制御を通じて、直接的な変化を検出または引き起こします。例としては、産業制御システム(ICS)、ビルディングオートメーションシステム、輸送システム、物理アクセス制御システム、物理環境監視システム、物理環境測定システムなどがあります。
This third revision of SP 800-82 provides an overview of OT and typical system topologies, identifies typical threats to organizational mission and business functions supported by OT, describes typical vulnerabilities in OT, and provides recommended security safeguards and countermeasures to manage the associated risks.  この SP 800-82 の 3度目の改訂では、OT の概要と典型的なシステムトポロジー、OT がサポートする組織のミッションとビジネス機能に対する典型的な脅威の特定、OT における典型的な脆弱性の説明、関連リスクを管理するための推奨セキュリティ保護措置と対策が記載されています。 
Updates in this revision also include: また、この改訂では、次のような更新が行われました。
・Expansion in scope from ICS to OT ・ICSからOTへの範囲の拡大
・Updates to OT threats and vulnerabilities ・OTの脅威と脆弱性についての更新
・Updates to OT risk management, recommended practices, and architectures ・OTのリスク管理、推奨プラクティス、およびアーキテクチャの更新
・Updates to current activities in OT security ・OTセキュリティの現在の活動に関する更新
・Updates to security capabilities and tools for OT ・OTのセキュリティ機能及びツールに関する更新
・Additional alignment with other OT security standards and guidelines, including the Cybersecurity Framework (CSF) ・サイバーセキュリティフレームワーク(CSF)を含む他のOTセキュリティ標準及びガイドラインとの整合性を強化する。
・New tailoring guidance for NIST SP 800-53, Rev. 5 security controls ・NIST SP 800-53、Rev.5セキュリティコントロールのための新しい調整ガイダンス
・An OT overlay for NIST SP 800-53, Rev. 5 security controls that provides tailored security control baselines for low-impact, moderate-impact, and high-impact OT systems. ・NIST SP 800-53 Rev.5セキュリティ対策のためのOTオーバーレイは、低影響、中影響、高影響のOTシステムに合わせたセキュリティ対策のベースラインを提供します。
Abstract 概要
This document provides guidance on how to secure operational technology (OT), while addressing their unique performance, reliability, and safety requirements. OT encompasses a broad range of programmable systems and devices that interact with the physical environment (or manage devices that interact with the physical environment). These systems and devices detect or cause a direct change through monitoring and/or control of devices, processes, and events. Examples include industrial control systems, building automation systems, transportation systems, physical access control systems, physical environment monitoring systems, and physical environment measurement systems. The document provides an overview of OT and typical system topologies, identifies typical threats and vulnerabilities to these systems, and provides recommended security countermeasures to mitigate the associated risks. 本書は、運用技術(OT)に特有の性能、信頼性、安全性の要件に対応しつつ、運用技術を保護する方法についてのガイダンスを提供する。OTは、物理環境と相互作用する(または物理環境と相互作用するデバイスを管理する)幅広いプログラマブルシステムおよびデバイスを包含しています。これらのシステムおよびデバイスは、デバイス、プロセス、およびイベントの監視および/または制御を通じて、直接的な変化を検出または引き起こします。例としては、産業用制御システム、ビルディングオートメーションシステム、交通システム、物理的アクセス制御システム、物理環境監視システム、物理環境測定システムなどがある。本書では、OTの概要と代表的なシステムトポロジー、これらのシステムに対する代表的な脅威と脆弱性を特定し、関連するリスクを軽減するための推奨セキュリティ対策を提供しています。

 

 

 

・[PDF] SP 800-82 Rev. 3 (Draft)

20220428-90153

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Audience 1.2 想定読者
1.3 Document Structure 1.3 ドキュメントの構成
2 OT Overview 2 OTの概要
2.1 Evolution of OT 2.1 OTの進化
2.2 OT-Based Systems and Their Interdependencies 2.2 OTベースシステムとその相互依存性
2.3 OT System Operation, Architectures, and Components 2.3 OTシステムの運用、アーキテクチャ、およびコンポーネント
2.3.1 OT System Design Considerations 2.3.1 OTシステム設計の考慮事項
2.3.2 SCADA Systems 2.3.2 SCADAシステム
2.3.3 Distributed Control Systems 2.3.3 分散型制御システム
2.3.4 Programmable Logic Controller-Based Topologies 2.3.4 プログラマブル・ロジック・コントローラ・ベースのトポロジー
2.3.5 Building Automation Systems 2.3.5 ビルディングオートメーションシステム
2.3.6 Physical Access Control Systems 2.3.6 物理的アクセス制御システム
2.3.7 Safety Systems 2.3.7 安全システム
2.3.8 Industrial Internet of Things 2.3.8 インダストリアル・インターネット・オブ・シングス
2.4 Comparing OT and IT System Security 2.4 OTとITシステムセキュリティの比較
3 OT Cybersecurity Program Development 3 OTサイバーセキュリティプログラムの策定
3.1 Establish a Charter for OT Cybersecurity Program 3.1 OTサイバーセキュリティプログラムの憲章を制定する
3.2 Business Case for OT Cybersecurity Program 3.2 OTサイバーセキュリティプログラムのビジネスケース
3.2.1 Benefits of Cybersecurity investments 3.2.1 サイバーセキュリティ投資のメリット
3.2.2 Building an OT Cybersecurity Business Case 3.2.2 OTサイバーセキュリティのビジネスケースの構築
3.2.3 Resources for Building Business Case 3.2.3 ビジネスケースを構築するためのリソース
3.2.4 Presenting the OT Cybersecurity Business Case to Leadership 3.2.4 リーダーシップへのOTサイバーセキュリティビジネスケースの提示
3.3 OT Cybersecurity Program Content 3.3 OTサイバーセキュリティプログラムの内容
3.3.1 Establish OT Cybersecurity Governance 3.3.1 OTサイバーセキュリティガバナンスを確立する
3.3.2 Build and Train a Cross-Functional Team to Implement OT Cybersecurity Program 3.3.2 OTサイバーセキュリティプログラムを実施するための部門横断的なチームの構築とトレーニング
3.3.3 Define OT Cybersecurity Strategy 3.3.3 OTサイバーセキュリティ戦略を定義する
3.3.4 Define OT-Specific Policies and Procedures 3.3.4 OT 固有のポリシーと手順の定義
3.3.5 Establish Cybersecurity Awareness Training Program for OT Organization 3.3.5 OT 組織向けのサイバーセキュリティ意識向上トレーニングプログラムを確立する
3.3.6 Implement a Risk Management Framework for OT 3.3.6 OT のリスク管理フレームワークの導入
3.3.7 Develop Maintenance Tracking Capability 3.3.7 メンテナンス追跡能力の開発
3.3.8 Develop Incident Response Capability 3.3.8 インシデントレスポンス能力の開発
3.3.9 Develop Recovery and Restoration Capability 3.3.9 復旧・復元能力の開発
3.3.10 Summary of OT Cybersecurity Program Content 3.3.10 OTサイバーセキュリティプログラムの内容のまとめ
4 Risk Management for OT Systems 4 OT システムのリスク管理
4.1 Managing OT Security Risk 4.1 OTセキュリティリスクの管理
4.1.1 Framing OT Risk 4.1.1 OT リスクのフレームワーク
4.1.2 Assessing Risk in the OT Environment 4.1.2 OT環境におけるリスクの評価
4.1.3 Responding to Risk in an OT Environment 4.1.3 OT環境におけるリスクへの対応
4.1.4 Monitoring Risk in an OT Environment 4.1.4 OT環境におけるリスクの監視
4.2 Special Areas for Consideration 4.2 考慮すべき特別な領域
4.2.1 Supply Chain Risk Management 4.2.1 サプライチェーンリスクマネジメント
4.2.2 Safety Systems 4.2.2 安全システム
4.3 Applying the Risk Management Framework for OT Systems 4.3 OTシステムに対するリスクマネジメントフレームワークの適用
4.3.1 Prepare 4.3.1 準備する
4.3.2 Categorize 4.3.2 カテゴリー化
4.3.3 Select 4.3.3 選択
4.3.4 Implement 4.3.4 実施
4.3.5 Assess 4.3.5 評価
4.3.6 Authorize 4.3.6 権限を与える
4.3.7 Monitor 4.3.7 監視
5 OT Cybersecurity Architecture 5 OTサイバーセキュリティ・アーキテクチャ
5.1 Cybersecurity Strategy 5.1 サイバーセキュリティ戦略
5.1.1 Impacts of Choosing a Cybersecurity Strategy 5.1.1 サイバーセキュリティ戦略を選択することの影響
5.1.2 Defense-in-Depth Strategy 5.1.2 ディフェンス・イン・ディプス(深層防御)戦略
5.1.3 Other Cybersecurity Strategy Considerations 5.1.3 その他のサイバーセキュリティ戦略に関する考慮事項
5.2 Defense-in-Depth Architecture Capabilities 5.2 徹底した防衛アーキテクチャの機能
5.2.1 Layer 1 - Security Management 5.2.1 レイヤー1 - セキュリティ管理
5.2.2 Layer 2 - Physical Security 5.2.2 レイヤー2 - 物理的セキュリティ
5.2.3 Layer 3 - Network Security 5.2.3 レイヤー3 - ネットワークセキュリティ
5.2.4 Layer 4 - Hardware Security 5.2.4 レイヤー4 - ハードウェアセキュリティ
5.2.5 Layer 5 - Software Security 5.2.5 レイヤー5 - ソフトウェアセキュリティ
5.3 Additional Cybersecurity Architecture Considerations 5.3 サイバーセキュリティ・アーキテクチャに関するその他の考慮事項
5.3.1 Cyber-Related Safety Considerations 5.3.1 サイバー関連の安全性に関する考慮事項
5.3.2 Availability Considerations 5.3.2 可用性に関する考慮事項
5.3.3 Geographically Distributed Systems 5.3.3 地理的に分散されたシステム
5.3.4 Regulatory Requirements 5.3.4 規制要件
5.3.5 Environmental Considerations 5.3.5 環境への配慮
5.3.6 Field I/O (Purdue Level 0) Security Considerations 5.3.6 フィールドI/O(パデューレベル0)セキュリティの考慮事項
5.3.7 Additional Security Considerations for IIoT 5.3.7 IIoTのための追加のセキュリティの考慮事項
5.4 Cybersecurity Architecture Models 5.4 サイバーセキュリティ・アーキテクチャ・モデル
5.4.1 Distributed Control System (DCS)-Based OT Systems 5.4.1 分散型制御システム(DCS)ベースのOTシステム
5.4.2 DCS/PLC-Based OT with IIoT 5.4.2 DCS/PLCベースのOTとIIoTの組み合わせ
5.4.3 SCADA-Based OT Environments 5.4.3 SCADA ベースの OT 環境.
6 Applying the Cybersecurity Framework to OT 6 OT へのサイバーセキュリティフレームワークの適用
6.1 Identify (ID) 6.1 識別(ID)
6.1.1 Asset Management (ID.AM) 6.1.1 アセットマネジメント(ID.AM)
6.1.2 Governance (ID.GV) 6.1.2 ガバナンス(ID.GV)
6.1.3 Risk Assessment (ID.RA) 6.1.3 リスクアセスメント(ID.RA)
6.1.4 Risk Management Strategy (ID.RM) 6.1.4 リスクマネジメント戦略(ID.RM)
6.1.5 Supply Chain Risk Management (ID.SC) 6.1.5 サプライチェーンリスクマネジメント(ID.SC)
6.2 Protect (PR) 6.2 保護(PR)
6.2.1 Identity Management and Access Control (PR.AC) 6.2.1 アイデンティティ管理/アクセス制御(PR.AC)
6.2.2 Awareness and Training (PR.AT) 6.2.2 意識向上およびトレーニング(PR.AT)
6.2.3 Data Security (PR.DS) 6.2.3 データセキュリティ(PR.DS)
6.2.4 Information Protection Processes and Procedures (PR.IP) 6.2.4 情報を保護するためのプロセスおよび手順(PR.IP)
6.2.5 Maintenance (PR.MA) 6.2.5 保守(PR.MA)
6.2.6 Protective Technology (PR.PT) 6.2.6 保護技術(PR.PT)
6.2.7 Media Protection (PR.PT-2) 6.2.7 メディアの保護(PR.PT-2)
6.2.8 Personnel Security 6.2.8 人員の安全確保
6.2.9 Wireless Communications 6.2.9 無線通信
6.2.10 Remote Access 6.2.10 リモートアクセス
6.2.11 Flaw Remediation and Patch Management 6.2.11 不具合修正とパッチ管理
6.2.12 Time Synchronization 6.2.12 時刻同期
6.3 Detect (DE) 6.3 検出(DE)
6.3.1 Anomalies and Events (DE.AE) 6.3.1 異常とイベント(DE.AE)
6.3.2 Security Continuous Monitoring (DE.CM) 6.3.2 セキュリティの継続的なモニタリング(DE.CM)
6.3.3 Detection Process (DE.DP) 6.3.3 検出プロセス(DE.DP)
6.4 Respond (RS) 6.4 対応(RS)
6.4.1 Response Planning (RS.RP) 6.4.1 対応計画(RS.RP)
6.4.2 Response Communications (RS.CO) 6.4.2 コミュニケーション(RS.CO)
6.4.3 Response Analysis (RS.AN) 6.4.3 分析(RS.AN)
6.4.4 Response Mitigation (RS.MI) 6.4.4 低減(RS.MI)
6.4.5 Response Improvements (RS.IM) 6.4.5 改善(RS.IM)
6.5 Recover (RC) 6.5 復旧(RC)
6.5.1 Recovery Planning (RC.RP) 6.5.1 復旧計画(RC.RP)
6.5.2 Recovery Improvements (RC.IM) 6.5.2 改善(RC.IM)
6.5.3 Recovery Communications (RC.CO) 6.5.3 コミュニケーション(RC.CO)
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms 附属書A:略語
Appendix B— Glossary 附属書B 用語集
Appendix C— Threat Sources, Vulnerabilities, and Incidents 附属書C 脅威の発生源、脆弱性、インシデント
C.1 Threat Sources C.1 脅威の発生源
C.2 Vulnerabilities and Predisposing Conditions C.2 脆弱性と発生しやすい状況
C.2.1 Policy and Procedure Vulnerabilities and Predisposing Conditions C.2.1 政策や手続きの脆弱性とその素因となる条件
C.2.2 System Vulnerabilities and Predisposing Conditions C.2.2 システムの脆弱性とその前提条件
C.3 Threat Events and Incidents C.3 脅威となる事象とインシデント
C.3.1 Adversarial Events C.3.1 敵対的事象
C.3.2 Structural Events C.3.2 構造的事象
C.3.3 Environmental Events C.3.3 環境的事象
C.3.4 Accidental Events C.3.4 偶発的な事象
Appendix D— OT Security Organizations, Research, and Activities 附属書D - OTセキュリティの組織、研究、および活動
D.1 Consortiums and Standards D.1 コンソーシアムと標準
D.1.1 Critical Infrastructure Partnership Advisory Council (CIPAC) D.1.1 重要インフラストラクチャー・パートナーシップ諮問委員会(CIPAC)
D.1.2 Institute for Information Infrastructure Protection (I3P) D.1.2 情報インフラ保護協会 (I3P)
D.1.3 International Electrotechnical Commission (IEC) D.1.3 国際電気標準会議 (IEC)
D.1.4 Institute of Electrical and Electronics Engineers, Inc. (IEEE) D.1.4 米国電気電子学会 (IEEE)
D.1.5 International Society of Automation (ISA) D.1.5 国際自動化学会 (ISA)
D.1.6 International Organization for Standardization (ISO) D.1.6 国際標準化機構 (ISO)
D.1.7 National Council of Information Sharing and Analysis Centers (ISACs) D.1.7 情報共有・分析センター (ISAC) 全国協議会
D.1.8 National Institute of Standards and Technology (NIST) D.1.8 国立標準技術研究所 (NIST)
D.1.9 North American Electric Reliability Corporation (NERC) D.1.9 北米電気信頼性委員会 (NERC)
D.2 Research Initiatives and Programs D.2 研究イニシアティブとプログラム
D.2.1 Clean Energy Cybersecurity Accelerator Initiative D.2.1 クリーンエネルギー・サイバーセキュリティ・アクセラレータ・イニシアチブ
D.2.2 Cybersecurity for Energy Delivery Systems (CEDS) R&D Program D.2.2 エネルギー供給システム(CEDS)研究開発プログラムのためのサイバーセキュリティ.
D.2.3 Cybersecurity for the Operational Technology Environment (CyOTE) D.2.3 運用技術環境のためのサイバーセキュリティ(CyOTE).
D.2.4 Cybersecurity Risk Information Sharing Program (CRISP) D.2.4 サイバーセキュリティリスク情報共有プログラム(CRISP)
D.2.5 Cyber Testing for Resilient Industrial Control Systems (CyTRICS) D.2.5 耐久性のある産業用制御システムのためのサイバーテスト(CyTRICS)
D.2.6 Homeland Security Information Network - Critical Infrastructure (HSIN-CI) D.2.6 国土安全保障情報ネットワーク-重要インフラストラクチャ(HSIN-CI)
D.2.7 INL Cyber-Informed Engineering (CIE) / Consequence-Driven CIE (CCE) D.2.7 INL サイバー・インフォームド・エンジニアリング(CIE)/結果駆動型 CIE(CE)
D.2.8 LOGIIC - Linking the Oil and Gas Industry to Improve Cybersecurity D.2.8 LOGIIC - サイバーセキュリティを向上させるための石油・ガス産業との連携
D.2.9 NIST Cyber Physical Systems and Internet of Things Program D.2.9 NIST サイバー物理システム及びモノのインターネット・プログラム.
D.2.10 NIST Cybersecurity for Smart Grid Systems Project D.2.10 NIST スマートグリッドシステム向けサイバーセキュリティプロジェクト
D.2.11 NIST Cybersecurity for Smart Manufacturing Systems Project D.2.11 スマート製造システムのためのNISTサイバーセキュリティ・プロジェクト.
D.2.12 NIST Reliable, High Performance Wireless Systems for Factory Automation D.2.12 NIST ファクトリーオートメーション用高信頼性高性能ワイヤレスシステム
D.2.13 NIST Prognostics and Health Management for Reliable Operations in Smart Manufacturing (PHM4SM) D.2.13 NIST スマート・マニュファクチャリングにおける信頼できる運用のための予後管理と健康管理(PHM4SM)
D.2.14 NIST Supply Chain Traceability for Agri-Food Manufacturing D.2.14 NISTの農産物製造のためのサプライチェーントレーサビリティ
D.3 Tools and Training D.3 ツール及びトレーニング
D.3.1 CISA Cyber Security Evaluation Tool (CSET®) D.3.1 CISAサイバーセキュリティ評価ツール(CSET®)
D.3.2 CISA Cybersecurity Framework Guidance D.3.2 CISAサイバーセキュリティ・フレームワーク・ガイダンス.
D.3.3 CISA ICS Alerts, Advisories and Reports D.3.3 CISA ICSアラート、アドバイザリー、レポート
D.3.4 CISA ICS Training Courses D.3.4 CISA ICSトレーニングコース
D.3.5 MITRE ATT&CK for ICS D.3.5 MITRE ATT&CK for ICS
D.3.6 NIST Cybersecurity Framework D.3.6 NIST サイバーセキュリティフレームワーク
D.3.7 SANS ICS Security Courses D.3.7 SANS ICS セキュリティコース
D.4 Sector-Specific Resources D.4 セクター固有のリソース
D.4.1 Chemical D.4.1 化学
D.4.2 Communications D.4.2 通信.
D.4.3 Critical Manufacturing D.4.3 重要な製造業.
D.4.4 Dams D.4.4 ダム
D.4.5 Energy D.4.5 エネルギー
D.4.6 Food and Agriculture D.4.6 食品と農業
D.4.7 Healthcare and Public Health D.4.7 医療と公衆衛生.
D.4.8 Nuclear Reactors, Materials, and Waste D.4.8 原子炉、材料、および廃棄物.
D.4.9 Transportation Systems D.4.9 交通システム
D.4.10 Water and Wastewater D.4.10 水と廃水
D.5 Conferences and Working Groups D.5 コンファレンスとワーキンググループ
D.5.1 Digital Bond’s SCADA Security Scientific Symposium (S4) D.5.1 デジタルボンドのSCADAセキュリティ科学シンポジウム(S4)
D.5.2 Industrial Control Systems Joint Working Group (ICSJWG) D.5.2 産業制御システム共同作業グループ(ICSJWG)
D.5.3 IFIP Working Group 11.10 on Critical Infrastructure Protection D.5.3 重要インフラ保護に関する IFIP ワーキンググループ11.10).
D.5.4 SecurityWeek’s ICS Cyber Security Conference D.5.4 SecurityWeekのICSサイバーセキュリティ会議
D.5.5 Stockholm International Summit on Cyber Security in SCADA and ICS (CS3STHLM) D.5.5 SCADA と ICS におけるサイバーセキュリティに関するストックホルム国際サミット (CS3STHLM)
Appendix E— OT Security Capabilities and Tools 附属書 E- OT セキュリティの能力とツール
E.1 Network Segmentation and Isolation E.1 ネットワークの分離と隔離
E.1.1 Firewalls E.1.1 ファイアウォール
E.1.2 Unidirectional Gateways E.1.2 単方向ゲートウェイ
E.1.3 Virtual Local Area Networks (VLAN) E.1.3 仮想ローカルエリアネットワーク(VLAN)
E.1.4 Software-Defined Networking (SDN) E.1.4 ソフトウェア定義ネットワーキング(SDN)
E.2 Network Monitoring/Security Information and Event Management (SIEM) E.2 ネットワーク監視/セキュリティ情報およびイベント管理(SIEM).
E.2.1 Centralized Logging E.2.1 ログの一元管理
E.2.2 Passive Scanning E.2.2 パッシブ・スキャンニング
E.2.3 Active Scanning E.2.3 アクティブ・スキャン
E.2.4 Malware Detection E.2.4 マルウェア検出
E.2.5 Behavioral Anomaly Detection E.2.5 行動異常の検出
E.2.6 Data Loss Prevention (DLP) E.2.6 データ損失防止(DLP)
E.2.7 Deception Technology E.2.7 デセプション技術
E.2.8 Digital Twins E.2.8 デジタル・ツインズ
E.3 Data Security E.3 データセキュリティ
E.3.1 Backup Storage E.3.1 バックアップストレージ
E.3.2 Immutable Storage E.3.2 不変ストレージ
E.3.3 File Hashing E.3.3 ファイルのハッシュ化
E.3.4 Digital Signatures E.3.4 デジタル署名
E.3.5 Block Ciphers E.3.5 ブロック暗号.
E.3.6 Remote Access E.3.6 リモートアクセス
Appendix F— OT Overlay 附属書F - OTオーバーレイ
F.1 Overlay Characteristics F.1 オーバーレイの特徴
F.2 Applicability F.2 適用可能性
F.3 Overlay Summary F.3 オーバーレイの概要
F.4 Tailoring Considerations F.4 テーラリングの考慮事項
F.5 OT Communication Protocols F.5 OT通信プロトコル.
F.6 Definitions F.6 定義.
F.7 Detailed Overlay Control Specifications F.7 詳細なオーバーレイ制御仕様
F.7.1 ACCESS CONTROL – AC F.7.1 アクセス制御 - AC
F.7.2 AWARENESS AND TRAINING – AT F.7.2 意識向上とトレーニング - AT
F.7.3 AUDITING AND ACCOUNTABILITY – AU F.7.3 監査及び説明責任 - AU
F.7.4 ASSESSMENT, AUTHORIZATION, AND MONITORING – CA F.7.4 評価、承認、および監視 - CA
F.7.5 CONFIGURATION MANAGEMENT – CM F.7.5 構成管理 - CM
F.7.6 CONTINGENCY PLANNING - CP F.7.6 コンティンジェンシー計画 - CP
F.7.7 IDENTIFICATION AND AUTHENTICATION - IA F.7.7 識別及び認証 - IA
F.7.8 INCIDENT RESPONSE - IR F.7.8 インシデントレスポンス - IR
F.7.9 MAINTENANCE - MA F.7.9 メンテナンス - MA
F.7.10 MEDIA PROTECTION –MP F.7.10 メディア保護 - MP
F.7.11 PHYSICAL AND ENVIRONMENTAL PROTECTION – PE F.7.11 物理的及び環境的保護 - PE
F.7.12 PLANNING – PL F.7.12 計画 - PL
F.7.13 ORGANIZATION-WIDE INFORMATION SECURITY PROGRAM MANAGEMENT CONTROLS - PM F.7.13 組織全体の情報セキュリティプログラム管理統制 - PM
F.7.14 PERSONNEL SECURITY – PS F.7.14 人員セキュリティ - PSE
F.7.15 RISK ASSESSMENT – RA F.7.15 リスクアセスメント - RA
F.7.16 SYSTEM AND SERVICES ACQUISITION – SA F.7.16 システム及びサービスの取得 - SA
F.7.17 SYSTEM AND COMMUNICATIONS PROTECTION - SC F.7.17 システム及び通信の保護 - SC
F.7.18 SYSTEM AND INFORMATION INTEGRITY - SI F.7.18 システム及び情報の完全性 - SI
F.7.19 SUPPLY CHAIN RISK MANAGEMENT - SR F.7.19 サプライチェーンリスク管理 - SR

 


 

IPA

セキュリティ関連NIST文書

 

JPCERT/CC

制御システムセキュリティガイドライン(全般)

 ・NIST SP 800-82 産業制御システム(ICS)セキュリティ

 ・2016.03.14 [PDF] NIST SP800-82 Rev.2 産業用制御システム(ICS)セキュリティガイドSCADA、DCS、PLC、その他の制御システムの設定

20220428-93917

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.02 米国 連邦政府 重要インフラ制御システムのサイバーセキュリティの向上に関する国家安全保障に関する覚書

・2011.06.10 NIST Special Publication 800-82, Guide to Industrial Control System (ICS) Security.

| | Comments (0)

SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)

こんにちは、丸山満彦です。

NISTがSP 1800-33 5G Cybersecurity の本文部分 (1800-33B) の初期ドラフトを公開し、意見を求めていますね。。。

● NIST - ITL

・2022.04.25 SP 1800-33 (Draft)  5G Cybersecurity (Preliminary Draft)

SP 1800-33 (Draft)  5G Cybersecurity (Preliminary Draft) SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)
Announcement 発表
NIST’s National Cybersecurity Center of Excellence (NCCoE) has published portions of a preliminary draft practice guide, “5G Cybersecurity,” and is seeking the public's comments on the contents. Our proposed solution contains approaches that organizations can use to better secure 5G networks through a combination of 5G security features and third-party security controls. We also demonstrate how commercial tools can build a 5G standalone network that operates on—and uses—a trusted, secure, cloud-native hosting infrastructure. We also demonstrate how to strengthen a 5G network’s supporting IT infrastructure to make it more resistant to cyber attacks. NISTの国立サイバーセキュリティ・センター・オブ・エクセレンス(NCCoE)は、実践ガイド「5Gサイバーセキュリティ」の初期ドラフトの一部を公開し、その内容に関する一般からのコメントを求めています。私たちが提案するソリューションは、5Gのセキュリティ機能とサードパーティのセキュリティ制御を組み合わせて、5Gネットワークのセキュリティを向上させるために組織が利用できるアプローチを含んでいます。また、商用ツールにより、信頼性が高く安全なクラウドネイティブのホスティングインフラ上で動作する5Gスタンドアロンネットワークを構築し、それを使用する方法を示しています。さらに、5Gネットワークを支えるITインフラを強化し、サイバー攻撃への耐性を高める方法も紹介します。
Abstract 概要
Organizations face significant challenges in transitioning from 4G to 5G usage, particularly the need to safeguard new 5G-using technologies at the same time that 5G development, deployment, and usage are evolving. Some aspects of securing 5G components and usage lack standards and guidance, making it more challenging for 5G network operators and users to know what needs to be done and how it can be accomplished. To address these challenges, the NCCoE is collaborating with technology providers to develop example solution approaches for securing 5G networks. This NIST Cybersecurity Practice Guide explains how a combination of 5G security features and third-party security controls can be used to implement the security capabilities organizations need to safeguard their 5G network usage. 組織は、4Gから5Gへの移行において大きな課題に直面しています。特に、5Gの開発、展開、利用が進化するのと同時に、5Gを使用する新しいテクノロジーを保護する必要があります。5Gのコンポーネントや利用を保護するためのいくつかの側面には、標準やガイダンスがないため、5Gネットワークの運用者や利用者が、何を行う必要があり、どのように達成できるかを知ることがより困難になっています。これらの課題に対処するため、NCCoEは技術プロバイダーと協力し、5Gネットワークのセキュリティを確保するためのソリューションアプローチの例を開発しています。このNISTサイバーセキュリティ実践ガイドは、5Gセキュリティ機能とサードパーティのセキュリティ制御を組み合わせて、組織が5Gネットワークの利用を保護するために必要なセキュリティ機能を実装する方法を説明します。

 

・[PDF] SP 1800-33B (Prelim. Draft)

20220428-52805

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 メリット
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 文字種の規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 対象範囲
3.3  Assumptions 3.3 前提条件
3.4  Reference System Architecture Description / Components 3.4 参照システムアーキテクチャの説明/構成要素
3.4.1  High-Level Architecture 3.4.1 ハイレベルアーキテクチャー
3.4.2  Data Center Architecture 3.4.2 データセンターアーキテクチャ
3.4.3  Trusted Compute Cluster Architecture 3.4.3 信頼されたコンピュートクラスターアーキテクチャ
3.5  Risk Assessment 3.5 リスクアセスメント
3.5.1  Security Category 3.5.1 セキュリティカテゴリ
3.5.2  Security Capabilities 3.5.2 セキュリティ能力
3.5.3  Mitigated Threats and Vulnerabilities 3.5.3 軽減された脅威と脆弱性
3.5.4  Industry Security References 3.5.4 業界のセキュリティに関する参考文献
4  Components of the Example Solution 4 ソリューション例の構成要素
4.1  Collaborators 4.1 協働者
4.1.1  AMI 4.1.1 AMI
4.1.2  AT&T 4.1.2 AT&T
4.1.3  CableLabs 4.1.3 ケーブルラボ
4.1.4  Cisco 4.1.4 シスコ
4.1.5  Dell Technologies 4.1.5 デル・テクノロジー
4.1.6  Intel 4.1.6 インテル
4.1.7  Keysight Technologies 4.1.7 キーサイト・テクノロジー
4.1.8  MiTAC 4.1.8 MiTAC
4.1.9  Nokia 4.1.9 ノキア
4.1.10 Palo Alto Networks 4.1.10 パロアルトネットワークス
4.1.11 Red Hat 4.1.11 レッドハット
4.1.12 T-Mobile 4.1.12 ティモバイル
4.2  Technologies 4.2 テクノロジー
4.3  System Architecture Components 4.3 システムアーキテクチャコンポーネント
4.3.1  Dell Technologies 4.3.1 デルテクノロジー
4.3.2  MiTAC Computing Technology Corporation 4.3.2 MiTACコンピューティングテクノロジー株式会社
4.3.3  Intel Hardware Root of Trust Technologies 4.3.3 インテルハードウェアルートオブトラスト技術
4.3.4  AMI TruE 4.3.4 AMI TruE
4.3.5  Network Infrastructure 4.3.5 ネットワークインフラ
4.3.6  Cisco Secure Network Analytics (formerly known as Stealthwatch) 4.3.6 シスコ セキュア ネットワーク アナリティックス(旧名称:ステルスウォッチ)
4.3.7  Cisco Secure Firewall (Security Gateway) 4.3.7 シスコ セキュア フィアウォール (セキュリティゲートウェイ)
4.3.8  Nokia (5G System) 4.3.8 ノキア(5Gシステム)
4.3.9  Palo Alto Networks 4.3.9 パロ・アルト・ネットワークス
4.3.10 Keysight Technologies 5G LoadCore 4.3.10 キーサイト・テクノロジー社 5G ロードコア
5  Security Characteristic Demonstration 5 セキュリティ特性の実証実験
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Functional Demonstration Scenarios 5.2 機能的なデモのシナリオ
5.2.1  Scenario 1 – 5G SA deployment using single PLMN 5.2.1 シナリオ1 - 単一PLMNを使用した5G SA展開
5.3  Findings 5.3 調査結果
Appendix A Security Control Maps 附属書A セキュリティ・コントロール・マップ
Appendix B Future Capabilities 附属書B 将来の機能
Appendix C List of Acronyms 附属書C 頭字語(英語)リスト
Appendix D References 附属書D 参考文献

 

プロジェクトのページはこちら・・・

 NIST -NCCoE

5G Cybersecurity

 

2021.02.01に公開された、サマリーの部分

・[PDF] SP 1800-33A (Prelim. Draft)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.03 NIST SP 1800-33 (Draft) 5G Cybersecurity (Preliminary Draft) - 本当に暫定ドラフトです(^^)

 

 

Continue reading "SP 1800-33 (ドラフト) 5G Cybersecurity (初期ドラフト)"

| | Comments (0)

2022.04.27

中国 デジタル村開発業務の要点 (2022.04.20)

こんにちは、丸山満彦です。

日本でも都市部と地方部の差を少なくするために、2021年11月から「デジタル田園都市国家構想実現会議」が開催され、岸田総理を議長とし、関係各大臣、村井先生などの有識者、和歌山県白浜町長などを構成員として議論が行われているところですが、、、

中国では、昨年2021年9月に「[PDF] 数字乡村建设指南1.0 (デジタル村建設ガイド1.0)」が発行されていますね。そして、最近「2022年数字乡村发展工作要点2022年デジタル村開発業務の要点)」が公表されていました。。。

中国は中国の国状に応じた考え方があるのは当然ですが、参考になるところもあるように思います。。。経済的な問題、文化的な豊かさという話もありますが、食糧安全保障的なものが最初に来ていますね。。。

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.04.20 中央网信办等五部门印发《2022年数字乡村发展工作要点》

中央网信办等五部门印发《2022年数字乡村发展工作要点》 中央インターネット情報局など5部門が「2022年デジタル村開発業務の要点」を発行
近日,中央网信办、农业农村部、国家发展改革委、工业和信息化部、国家乡村振兴局联合印发《2022年数字乡村发展工作要点》(以下简称《工作要点》)。通知要求,坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,深入贯彻中央经济工作会议、中央农村工作会议精神,认真落实《中共中央 国务院关于做好2022年全面推进乡村振兴重点工作的意见》《数字乡村发展战略纲要》《“十四五”国家信息化规划》,充分发挥信息化对乡村振兴的驱动赋能作用,加快构建引领乡村产业振兴的数字经济体系,构建适应城乡融合发展的数字治理体系,不断推动乡村振兴取得新进展,推动数字中国建设迈出新步伐。 先日、中央インターネット情報局、農業農村、国家発展改革委員会、工業情報化部、国家農村振興局が共同で「2022年デジタル農村発展業務の要点」(以下「業務要点」)を発表した。 通知は、新時代の中国の特色ある社会主義という習近平の思想を指針とし、第19回中国共産党全国代表大会と第19回全体会議の精神を十分に実行し、中央経済工作会議と中央農村工作会議の精神を徹底的に実行し、中国共産党中央委員会と国務院の「2022年の農村活性化を全面的に推進する重点努力」「デジタル農村発展戦略の概要」、および、「農村活性化を全面的に推進する重点努力」という意見を熱心に実行することを要求している。 第14次5ヵ年」国家情報化計画では、情報化が農村の活性化を推進し、力を与えるという役割を十分に発揮し、農村産業の活性化をリードするデジタル経済システムの構築を加速し、都市と農村の一体的発展に適応するデジタル統治システムを構築し、農村活性化の新しい進歩とデジタル中国の建設の新しいステップを継続的に推進する。
《工作要点》明确了工作目标:到2022年底,数字乡村建设取得新的更大进展。数字技术有力支撑农业基本盘更加稳固,脱贫攻坚成果进一步夯实。乡村数字基础设施建设持续推进,5G网络实现重点乡镇和部分重点行政村覆盖,农村地区互联网普及率超过60%。乡村数字经济加速发展,农业生产信息化水平稳步提升,农产品电商网络零售额突破4300亿元。乡村数字化治理体系不断完善,信息惠民服务持续深化,农民数字素养与技能有效提升,数字乡村试点建设初见成效。 「業務要点」は明確な業務目標を設定:2022年末までに、デジタルイドの構築において、新たな、より大きな進歩を遂げる。 デジタル技術は、より強固な農業基盤を強力にサポートし、貧困撲滅の成果をさらに強固なものにする。 農村のデジタル基盤建設は今後も進み、5Gネットワークは重要な郷鎮と一部の重要な行政村でのカバレッジを達成し、農村のインターネット普及率は60%を超えると予想されます。 農村デジタル経済の発展が加速し、農業生産の情報化水準が着実に向上し、農産物の電子商取引量が4300億元を超えた。 農村のデジタルガバナンス体制が整備され、国民への情報サービスが深化し続け、農民のデジタルリテラシーとスキルが効果的に強化され、デジタル村の試験建設が実を結び始めているのである。
《工作要点》部署了10个方面30项重点任务。一是构筑粮食安全数字化屏障,包括加强农业稳产保供信息监测、提高农田建设管理数字化水平。二是持续巩固提升网络帮扶成效,包括加强防止返贫动态监测和帮扶、优化完善网络帮扶措施。三是加快补齐数字基础设施短板,包括持续推进乡村网络基础设施建设、推动农村基础设施数字化改造升级。四是大力推进智慧农业建设,包括夯实智慧农业发展基础、加快推动农业数字化转型、强化农业科技创新供给、提升农产品质量安全追溯数字化水平。五是培育乡村数字经济新业态,包括深化农产品电商发展、培育发展乡村新业态、强化农村数字金融服务、加强农村资源要素信息化管理。六是繁荣发展乡村数字文化,包括加强乡村网络文化阵地建设、推进乡村优秀文化资源数字化。七是提升乡村数字化治理效能,包括推进农村党建和村务管理智慧化、提升乡村社会治理数字化水平、推进乡村应急管理智慧化、运用数字技术助力农村疫情防控。八是拓展数字惠民服务空间,包括发展“互联网+教育”、发展“互联网+医疗健康”、完善社会保障信息服务、深化就业创业信息服务、推动农村消费升级。九是加快建设智慧绿色乡村,包括提升农村自然资源和生态环境监测水平、加强农村人居环境数字化治理。十是统筹推进数字乡村建设,包括加强统筹协调和试点建设、强化政策保障和金融服务、加强数字乡村人才队伍建设。 「業務要点」は10分野30項目の重要任務を展開した。 第一に、安定した農業生産・供給のための情報監視の強化や、農地造成・管理のデジタルレベルの向上など、食料安全保障のためのデジタルバリアを構築することである。 第二は、貧困の再来を防ぐためのダイナミックなモニタリングや支援の強化、ネットワーク支援策の最適化・改善など、ネットワーク支援の効果を継続的に定着させ、高めていくことである。 第三に、デジタル基盤の不足の解消を加速することである。農村のネットワーク基盤の建設を引き続き推進し、農村基盤のデジタル化とアップグレードを促進することを含む。 第四に、スマート農業の発展の基礎を固め、農業のデジタル化を加速し、農業科学技術イノベーションの供給を強化し、農産物の品質と安全のトレーサビリティのデジタルレベルを高めるなど、スマート農業の建設を強力に推進することである。 第五に、農産物の電子商取引の発展深化、農村の新事業の開拓と発展、農村のデジタル金融サービスの強化、農村資源の情報管理の強化など、新しい農村デジタル経済を育成することである。 第六に、農村のデジタル文化の発展を繁栄させる。農村のネットワーク文化ポジションの建設を強化し、農村の優れた文化資源のデジタル化を推進する。 第七に、農村におけるデジタルガバナンスの効果を高めること。農村の党建設と村落管理の知恵を促進し、農村の社会ガバナンスのデジタルレベルを高め、農村の緊急管理の知恵を促進し、デジタル技術を使って農村の疫病の予防と制御に役立てることである。 第八は、「インターネット+教育」の発展、「インターネット+医療健康」の発展、社会保障情報サービスの改善、雇用・起業情報サービスの深化、地方消費の高度化の推進など、国民向けのデジタルサービスを拡大することである。 第九は、スマートでグリーンな農村部の建設を加速させることで、農村の天然資源と生態環境の監視レベルの向上、農村居住のデジタルガバナンスの強化などが含まれる。 第十は、デジタル田園地帯の建設を調整し推進することで、調整と試験的な建設を強化し、政策保護と金融サービスを強化し、デジタル村の人材チームの構築を強化することである。

 

・2022.04.20 2022年数字乡村发展工作要点

2022年数字乡村发展工作要点 2022年 デジタル村開発業務の要点
2022年是“十四五”时期全面推进乡村振兴、加快农业农村现代化的关键之年,稳住农业基本盘、做好“三农”工作具有特殊重要意义。数字乡村发展工作要坚持以习近平新时代中国特色社会主义思想为指导,全面贯彻党的十九大和十九届历次全会精神,深入贯彻中央经济工作会议、中央农村工作会议精神,认真落实《中共中央 国务院关于做好2022年全面推进乡村振兴重点工作的意见》《数字乡村发展战略纲要》《“十四五”国家信息化规划》,充分发挥信息化对乡村振兴的驱动赋能作用,加快构建引领乡村产业振兴的数字经济体系,构建适应城乡融合发展的数字治理体系,不断推动乡村振兴取得新进展,推动数字中国建设迈出新步伐。 2022年は第14次5カ年計画期間において、農村の活性化を全面的に推進し、農業と農村の近代化を加速する重要な年であり、農業の基礎版を安定させ、「三農」をしっかりやることが特に重要である。 デジタル農村発展の作業は、習近平の新時代の中国の特色ある社会主義の思想を指針とし、第19回中国共産党全国代表大会と第19回全体会議の精神を十分に実行し、中央経済工作会議と中央農村工作会議の精神を徹底的に実行し、2022年の農村振興を全面的に促進する重点作業に関する中国共産党中央委員会と国務院の意見、デジタル農村発展戦略綱要、14次5カ年計画の綱領を真剣に実施する必要があります。 "第14次5ヵ年計画国家情報化計画 "では、情報化が農村の活性化を推進し、力を与える役割を十分に発揮し、農村産業の活性化をリードするデジタル経済システムの構築を加速し、都市と農村の一体的発展に適応するデジタル統治システムを構築し、農村活性化の新しい進展を絶えず推進し、デジタル中国の建設を推し進めて新しい一歩を踏み出する。
一、工作目标 I. 業務目標
到2022年底,数字乡村建设取得新的更大进展。数字技术有力支撑农业基本盘更加稳固,脱贫攻坚成果进一步夯实。乡村数字基础设施建设持续推进,5G网络实现重点乡镇和部分重点行政村覆盖,农村地区互联网普及率超过60%。乡村数字经济加速发展,农业生产信息化水平稳步提升,农产品电商网络零售额突破4300亿元。乡村数字化治理体系不断完善,信息惠民服务持续深化,农民数字素养与技能有效提升,数字乡村试点建设初见成效。 2022年末までに、デジタル村の構築は新たに大きく前進することになるだろう。 デジタル技術は、より強固な農業基盤を強力にサポートし、貧困撲滅の成果をさらに強固なものにする。 今後、地方におけるデジタル基盤の建設が進み、5Gネットワークは主要な町や一部の重要な行政村でのカバーが実現し、地方におけるインターネット普及率は60%を超えるだろう。 農村部のデジタル経済の発展が加速し、農業生産の情報化水準が着実に向上し、農産物の電子商取引量が4300億元を超えた。 農村のデジタルガバナンスシステムを継続的に改善し、民衆への情報サービスを継続的に深化させ、農民のデジタルリテラシーとスキルを効果的に向上させ、デジタル村の試験建設に初期効果を発揮させます。
二、重点任务 II. 主要課題
(一)构筑粮食安全数字化屏障 (1) 食料安全保障のためのデジタル障壁の構築
1. 加强农业稳产保供信息监测。强化粮食购销领域数字化监管,加快建设中央和地方政府事权粮食全覆盖、全链条、全过程数字化监管系统。建立健全重要农产品市场监测预警体系,分类分品种加强调控和应急保障。升级完善国省农业气象业务服务一体化平台,推进卫星遥感、土壤水分数据融合等气象监测技术的应用,开展精细化农业气象灾害预报预警,提升粮食安全气象服务保障能力。 1.農業の安定生産・安定供給のための情報モニタリングの強化。 食品売買分野のデジタル監督を強化し、中央・地方政府事務の食品の全範囲、チェーン、プロセスのデジタル監督システムの構築を加速させる。 重要農産物の市場に対する健全な監視と早期警戒体制を確立し、品目別・品種別の規制と緊急保護を強化する。 国と地方の農業気象事業サービスの統合プラットフォームを整備・改善し、衛星リモートセンシングや土壌水分データ融合などの気象モニタリング技術の応用を促進し、洗練された農業気象災害予測・早期警戒を実施し、食糧安全保障のための気象サービスの能力を向上させる。
2. 提高农田建设管理数字化水平。加快建成全国农田建设综合监测监管平台,完善永久基本农田数据库,构建全国农田建设“一张图”。综合运用卫星遥感等监测技术,加强对已建成高标准农田的全程监控、精准管理。深入推进国家黑土地保护工程,探索运用遥感监测、信息化管理手段监管黑土耕地质量。运用卫星遥感影像和信息化技术手段,加强对全国耕地和永久基本农田“非农化”“非粮化”动态监测。 2.農地施工管理のデジタル化レベル向上。 全国農地建設総合監視監督プラットフォームの完成を加速し、恒久的な基礎農地のデータベースを改善し、全国の農地建設の「一枚の地図」を構築する。 衛星リモートセンシングなどのモニタリング技術を総合的に活用することで、完成した高規格農地の監視と的確な管理を強化する。 国家黒土保護プロジェクトの徹底的な推進、黒土農地の品質を監視するためのリモートセンシング監視と情報管理手段の使用を模索する。 衛星リモートセンシング画像と情報技術を利用して、全国の耕地と永続的基礎農地の「非農業化」「非食糧化」の動態監視を強化する。
(二)持续巩固提升网络帮扶成效 (2) ネットワーク支援の継続的な集約と有効性の向上
3. 加强防止返贫动态监测和帮扶。完善优化防止返贫监测信息系统,将有返贫致贫风险和突发严重困难的农户纳入监测范围。针对发现的因灾因病因疫等苗头性问题,及时落实社会救助、医疗保障等帮扶措施。推进低收入人口动态监测信息平台建设,加强农村低收入人口主动发现机制、动态监测和分层分类救助帮扶。 3.貧困防止のためのダイナミックなモニタリングと支援の強化 貧困防止のためのモニタリング情報システムを改善・最適化し、貧困に戻る危険性があり、突発的で深刻な困難に直面している農民をモニタリングの対象に含める。 災害、疾病、疫病により確認された問題の初期段階への対応として、社会的支援、医療保障、その他の支援策をタイムリーに実施する。 低所得者層の動的監視情報プラットフォームの構築を推進し、農村の低所得者層に対する積極的な検出メカニズム、動的監視、段階的・分類的な救済・支援を強化すること。
4. 优化完善网络帮扶措施。加大对脱贫地区特别是国家乡村振兴重点帮扶县宽带网络升级改造支持力度。继续面向脱贫户开展精准降费。持续推进广播电视重点惠民工程建设。全面提升脱贫地区农副产品网络销售平台运营服务水平,扩大脱贫地区农产品销售规模。利用新一代信息技术巩固拓展生态扶贫成果。鼓励中央企业结合定点帮扶工作,积极开展脱贫地区数字乡村项目开发,加强基础设施建设、运营模式创新和利益联结覆盖。依托“万企兴万村”行动,引导民营企业支持脱贫地区数字乡村建设。充分发挥网信企业优势,持续开展数字乡村聚力行动公益项目。 4.ネットワーク対応策の最適化・改善 特に国の地方活性化支援の重点県において、貧困脱却地域のブロードバンドネットワーク整備への支援を強化する。 貧困から脱却した世帯に対する的確な料金引き下げを継続的に実施する。 国民のためにラジオ・テレビの重要プロジェクトの建設を継続的に推進する。 貧困地域の農産物・副産物のオンライン販売プラットフォームの運営とサービスを全面的にアップグレードし、貧困地域の農産物の販売規模を拡大する。 新世代の情報技術を使って、エコロジー的な貧困緩和の成果を集約し、拡大する。 中央企業がターゲット支援業務と連動して、貧困緩和地域のデジタル村プロジェクトを積極的に展開し、基盤建設、運営モデルの革新、利益連動範囲を強化することを奨励する。 一万人の村のための一万人の企業」イニシアティブに基づき、民間企業が貧困地域のデジタル村の建設を支援するよう誘導する。 インターネットと通信企業の利点を十分に生かし、「デジタル村結集行動」の公共福祉プロジェクトを引き続き実施する。
(三)加快补齐数字基础设施短板 (3) デジタル基盤の不足の解消加速
5. 持续推进乡村网络基础设施建设。持续深化电信普遍服务,推动农村光纤和4G网络广度和深度覆盖。面向有条件、有需求的农村及偏远地区,逐步推动千兆光纤网络建设,加快使用低频开展农村5G网络覆盖。补齐边疆地区通信网络设施短板,综合运用卫星通信等多种接入手段为用户提供宽带网络接入服务。实施智慧广电乡村工程,持续推进智慧广电服务乡村振兴专项行动。 5.農村のネットワーク基盤整備を継続的に推進する。 ユニバーサル通信サービスを継続的に深化させ、ルーラル光ファイバーと4Gネットワークの広範で深い普及を促進する。 条件やニーズのある地方や遠隔地については、ギガビット光ファイバー網の建設を徐々に推進し、低周波の利用を加速して地方の5Gネットワークカバレッジを実施する。 辺境地の通信ネットワーク設備の不足を補い、衛星通信や他のアクセス手段を総合的に活用して、利用者にブロードバンドネットワークアクセスサービスを提供すること。 スマートラジオ&テレビ農村プロジェクトを実施し、農村活性化のためのスマートラジオ&テレビサービスのスペシャルアクションを継続的に推進する。
6. 推动农村基础设施数字化改造升级。进一步完善农村公路数字化管理机制,加强基础数据统计、归集和共享机制建设。大力推进智慧水利建设,持续开展数字孪生流域和数字孪生水利工程先行先试。加快完善农村地区水利基础设施体系,推动水利基础设施智能化改造。继续实施农村电网巩固提升工程,提高农村供电可靠性和供电保障能力。支持商务流通、邮政、快递企业加强农产品产地冷链物流基础设施建设,积极推进冷链物流信息化。 6.デジタル変換と農村基盤のアップグレードの推進 農村道路のデジタル管理メカニズムをさらに改善し、基礎データの統計、収集、共有メカニズムの構築を強化する。 スマート水利の建設を積極的に推進し、デジタルツイン流域とデジタルツイン水利プロジェクトを引き続き早期かつ試験的に実施する。 農村の水利基盤システムの整備を加速し、水利基盤のインテリジェント化を推進する。 農村の電力網統合・整備プロジェクトを引き続き実施し、農村の信頼性と電力供給保証能力を向上させる。 農産物の原産地におけるコールドチェーン物流の基盤構築を強化するため、企業流通、郵便・宅配便事業者を支援し、コールドチェーン物流の情報化を積極的に推進する。
(四)大力推进智慧农业建设 (4) スマート農業構築の精力的な推進
7. 夯实智慧农业发展基础。持续推进高分卫星数据在农业遥感中的应用。积极推进农村地区移动物联网覆盖,加大农业生产场景窄带物联网(NB-IoT)部署。加快推动农业农村大数据建设应用,重点建设国家农业农村大数据平台,建立健全农业农村数据资源体系,构建全国农业农村大数据“一张图”。依托国家种业大数据平台,构建农业种质资源数据库。深入推进重要农产品单品种全产业链大数据建设。 7.インテリジェント農業の発展のための基盤を固める。 農業リモートセンシングにおける高精細衛星データの活用を継続的に推進する。 地方におけるモバイルIoTの普及を積極的に推進し、農業生産シナリオに合わせたナローバンドIoT(NB-IoT)の展開を拡大する。 農業農村ビッグデータの構築と応用を加速し、国家農業農村ビッグデータプラットフォームの構築、健全な農業農村データ資源体系の確立、国家農業農村ビッグデータの「一枚地図」の構築に力を入れる。 国家種子産業ビッグデータプラットフォームに依存し、農業生殖質資源のデータベースを構築する。 重要農産物の単一品種の産業チェーン全体に関するビッグデータ構築の徹底推進。
8. 加快推动农业数字化转型。大力推进数字育种技术应用,建设数字育种服务平台,加快“经验育种”向“精准育种”转变,逐步发展设计育种。加快推进信息技术在农业生产经营中的应用,提高农业生产经营效率。加强粮食全产业链数字化协同,推动粮食产购储加销全链条“上云用数赋智”。健全国家粮食交易平台功能,发展移动端交易。加快供销经营服务网点的数字化改造,打造“数字供销”为农服务综合平台。继续做好数字农业农村项目的推进实施与监督管理,进一步发挥农业农村信息化示范基地的示范引领作用。 8.農業のデジタルトランスフォーメーションを加速させる。 デジタル育種技術の応用を精力的に推進し、デジタル育種サービスプラットフォームを構築し、「経験的育種」から「正確な育種」への転換を加速し、デザイン育種を徐々に発展させる。 農業生産と運営における情報技術の応用を加速し、農業生産と運営の効率を向上させる。 全穀物産業チェーンのデジタルシナジーを強化し、穀物の生産、購入、貯蔵、加工、販売の全チェーンを「クラウド化し、データを使ってインテリジェンスを強化する」ことを推進する。 全国穀物取引プラットフォームの機能向上とモバイル取引の展開。 供給・販売業務とサービス店舗のデジタル化を加速し、農家向け「デジタル供給・販売」サービスの総合プラットフォームを構築する。 農業・農村デジタル化プロジェクトの推進と監督を継続し、農業・農村情報化実証基地の実証と指導の役割をさらに発展させる。
9. 强化农业科技创新供给。加强高端智能农机装备研发制造,实施国家重点研发计划“工厂化农业关键技术与智能农机装备”“乡村产业共性关键技术研发与集成应用”重点专项。利用专项支持适应于南方丘陵山区水稻种植机械等一批农机装备。实施农机购置与应用补贴政策,推进北斗智能终端在农业生产领域应用。加快国家农机装备产业计量测试中心筹建工作。搭建科技特派员信息管理服务系统,提升科技特派员服务效能。 9.農業科学技術イノベーションの供給を強化する。 ハイエンドのインテリジェント農業機械設備の研究開発と製造を強化し、国家重点研究開発計画の「工場農業とインテリジェント農業機械設備のキーテクノロジー」、「農村産業の共通キーテクノロジーの研究開発と総合応用」の重点特別プロジェクトを実施する。 特別プロジェクトを利用して、南部の丘陵地帯に適応した田植え機などの農業機械を多数支援する。 農業機械の購入・活用に対する補助金の実施、農業生産分野における北斗インテリジェント端末の活用を推進。 国立農機具産業計測試験センターの設立準備を加速させる。 科学技術委員会の情報管理サービスシステムを構築し、サービスの有効性を高める。
10. 提升农产品质量安全追溯数字化水平。完善国家农产品质量安全追溯管理信息平台。持续完善有机产品认证追溯信息系统,进一步优化食品农产品认证信息系统的公众查询服务。引导粮食加工龙头企业、“中国好粮油”示范企业开展质量追溯。加快推进中国农资质量安全追溯平台应用,建设完善全国棉花产业信息平台。 10.農産物の品質と安全性のトレーサビリティをデジタルレベルで強化する。 全国農産物品質・安全トレーサビリティ管理情報プラットフォームの改善 有機製品認証トレーサビリティ情報システムを継続的に改善し、食品・農産物認証情報システムの公開問い合わせサービスをさらに最適化する。 主要な穀物加工企業や「中国優良穀物油」実証企業に品質トレーサビリティの実施を指導する。 中国農業品質安全トレーサビリティプラットフォームの応用を加速し、国家綿業情報プラットフォームを構築・改善する。
(五)培育乡村数字经济新业态 (5) 地方における新しいデジタル経済の育成
11. 深化农产品电商发展。深入推进“互联网+”农产品出村进城工程。持续深化“数商兴农”,培育推介农产品网络品牌,开展特色农产品认证资助和推广,以品牌化带动特色产业发展。推进邮政快递服务农特产品出村进城工作,培育快递服务现代农业示范项目,建设农村电商快递协同发展示范区,持续推进交通运输与邮政快递融合发展。深入实施青年农村电商培育工程,组建“青耘中国”直播助农联盟,广泛开展“青耘中国”直播助农活动。持续发展“巾帼电商”,培育扶持妇女优势特色产业。 11.農産物の電子商取引の発展を深化させる。 インターネット+」農産物が村から都市へ出て行くプロジェクトを深化させる。 デジタルビジネスによる農業振興」を継続的に深化させ、農産物のオンラインブランドを育成・推進し、認証資金や特殊農産物のプロモーションを実施し、ブランド化による特殊産業の発展を推進する。 農産物の村から都市への郵便宅配サービスを推進し、現代農業の宅配サービス実証プロジェクトを育成し、農村の電子商取引宅配業者の共同発展のための実証区を建設し、引き続き交通と郵便宅配の一体化発展を推進すること。 を結成し、農民を支援する「青海中国」生放送活動を広範に実施するなど、深化を図っており、「女性向けeコマース」の継続的な展開と、女性にとって有利な特殊産業の育成・支援を行う。
12. 培育发展乡村新业态。强化乡村旅游重点村镇品牌建设,加大乡村旅游品牌线上宣传推广力度。完善乡村旅游监测工作体系。继续举办长三角乡村文旅创客大会,推动创业创新和乡村振兴有效结合。推进休闲农业、创意农业、认养农业等基于互联网的新业态发展。依托中国·国家地名信息库,深化乡村地名信息服务提升行动。 12.地方における新規事業の育成・開発 農村観光の鍵となる村や町のブランド化を強化し、農村観光ブランドのオンラインプロモーションを増加させる。 農村観光のモニタリングシステムを改善する。 長江デルタ農村文化観光創造者会議を継続して開催し、起業とイノベーションと農村活性化の効果的な融合を促進する。 レジャー農業、クリエイティブ農業、養子縁組農業など、インターネットを利用した新事業の開発を促進する。 中国全国地名情報データベースを活用し、農村地名情報サービスのレベルアップのための活動を深化させる。
13. 强化农村数字金融服务。持续推动农村数字普惠金融发展,积极稳妥开展普惠金融改革试验区建设。加大金融科技在农村地区的应用推广,加快研发适合广大农户、新型农业经营主体需求的金融产品。深入推进农村信用体系建设,不断提升授信覆盖面。持续推进农村支付服务环境建设,推广农村金融机构央行账户业务线上办理渠道及资金归集服务,推进移动支付便民服务向县域农村地区下沉。 13.農村におけるデジタル金融サービスの強化 農村におけるデジタル包括金融の発展を継続的に推進し、包括金融改革試行区の建設を積極的かつ着実に実施する。 農村における金融技術の応用と普及を拡大し、大多数の農民と新しい農業事業体のニーズに合った金融商品の開発を加速させる。 農村信用システムの構築を徹底的に推進し、信用カバー率を継続的に向上させる。 農村の決済サービス環境の構築を継続的に推進し、中央銀行の口座サービスや農村金融機関の資金回収サービスのオンライン処理ルートを促進し、県内の農村へのモバイル決済便利サービスの沈滞を促進する。
14. 加强农村资源要素信息化管理。健全国家、省、市、县等互联互通的农村土地承包信息应用平台,稳步开展农村土地承包合同网签。指导各地健全农村承包土地经营权流转合同网签制度,提升农村承包土地经营权流转规范化、信息化管理水平。鼓励各地建立农村承包土地经营权流转网络交易平台,规范开展农村承包土地经营权流转政策咨询、信息发布、合同签订、交易鉴证、权益评估、融资担保、档案管理等服务。探索农村宅基地数据库和管理信息系统建设。 14.農村資源要素の情報管理を強化する。 国、省、市、県が相互接続された農村土地契約情報アプリケーションプラットフォームを改善し、農村土地契約契約のオンライン締結を着実に実施する。 地方に農村契約土地管理権譲渡のオンライン契約締結システムを改善し、農村契約土地管理権譲渡の標準化と情報管理を強化することを指導する。 地方に農村契約土地管理権譲渡のオンライン取引プラットフォームの構築を奨励し、農村契約土地管理権譲渡のための政策協議、情報発信、契約締結、取引認証、持分評価、融資保証、ファイル管理などのサービス展開を標準化する。 農村居住拠点のデータベースと管理情報システムの構築を検討する。
(六)繁荣发展乡村数字文化 (6) 農村のデジタル文化の繁栄と発展
15. 加强乡村网络文化阵地建设。持续深化县级融媒体中心建设,扩大县级融媒体中心东西协作交流公益项目覆盖范围。加大对“三农”题材网络视听节目的支持,增强优质内容资源供给。规范互联网宗教信息服务,加大农村地区互联网宗教有害信息监管和处置力度,大力宣传党的宗教工作理论和方针政策。继续开展“净网”“清朗”等各类专项行动,为农村地区少年儿童营造安全、健康的网络环境。 15.農村部のオンライン文化ポジションの構築を強化する。 県級総合メディアセンターの建設を引き続き深化させ、県級総合メディアセンターの東西協力交流公共福祉プロジェクトの範囲を拡大する。 三地方」をテーマとしたオンラインオーディオビジュアルプログラムへの支援を強化し、質の高いコンテンツ資源の供給を充実させる。 インターネット上の宗教情報サービスを規制し、農村におけるインターネット上の有害な宗教情報の監督と処分を強化し、党の宗教工作理論と政策を強力に推進すること。 地方の子どもたちや青少年のために安全で健全なネット環境を作るため、「クリーン・ザ・ネット」「クリア・ザ・エア」など様々な特別活動を継続的に実施する。
16. 推进乡村优秀文化资源数字化。加大对乡村优秀传统文化资源挖掘保护力度,深入推进中华优秀传统文化传承发展工程“十四五”重点项目,持续推动实施国家文化数字化战略。继续完善历史文化名镇名村和中国传统村落数字博物馆建设,推动实施云上民族村寨工程。依托乡村数字文物资源库和数字展览,推进乡村文物资源数字化永久保存与开放利用。 16.地方にある優れた文化資源のデジタル化を推進する。 政府は農村の優れた伝統文化資源の探索と保護への取り組みを強化し、「中国卓越伝統文化遺産発展プロジェクト」の第14次5カ年計画の重点プロジェクトを推進し、国家文化デジタル化戦略の実施を引き続き推進した。 歴史文化の有名な町村や中国の伝統的な村のデジタル博物館建設を引き続き改善し、「クラウド上の民族村」プロジェクトの実施を推進する。 農村デジタル文化遺産資源のリポジトリとデジタル展示会を活用し、農村文化遺産資源のデジタル永久保存と開放利用を促進する。
(七)提升乡村数字化治理效能 (7) 地方におけるデジタルガバナンスの有効性の向上
17. 推进农村党建和村务管理智慧化。优化升级全国党员干部现代远程教育系统,不断提升农村基层党建工作信息化、科学化水平。加快推进网上政务服务省、市、县、乡(镇、街道)、村(社区)五级全覆盖,加强市、县政务服务平台建设,为农村居民提供精准化、精细化的政务服务。实施村级综合服务提升工程,提高村级综合服务信息化、智能化水平。加快建设农村房屋综合信息管理平台,提高农房建设管理与服务的信息化水平。 17.農村の党建設と村務運営の知恵を促進する。 党員と幹部に対する全国現代遠隔教育システムを最適化し、アップグレードし、農村の草の根党建設作業における情報と科学のレベルを絶えず向上させる。 省、市、県、郷(町、通り)、村(コミュニティ)レベルのオンライン政府サービスの全面的な普及を加速し、市・県政府サービスプラットフォームの建設を強化し、農村住民に正確で洗練された政府サービスを提供する。 村レベルの総合サービス強化プロジェクトを実施し、村レベルの総合サービスの情報・知能レベルを向上させる。 農村住宅総合情報管理プラットフォームの構築を加速し、農業住宅建設の管理・サービスに関する情報技術の水準を向上させる。
18. 提升乡村社会治理数字化水平。探索推广数字乡村治理新模式,拓展乡村治理数字化应用场景。开展网格化服务管理标准化建设,深化智安小区、平安乡村建设。继续加强农村公共区域视频图像系统建设联网应用,积极推进视频图像资源在疫情防控、防灾减灾、应急管理等各行业各领域深度应用。继续开展“乡村振兴、法治同行”活动,深入推进公共法律服务平台建设,进一步加强移动智能调解系统的推广应用,加快构建覆盖城乡、便捷高效、均等普惠的现代公共法律服务体系。 18.農村社会ガバナンスのデジタルレベルの向上。 デジタル・ルーラル・ガバナンスの新しいモデルを探求・推進し、ルーラル・ガバナンスのためのデジタル・アプリケーション・シナリオを拡大する。 グリッドベースのサービスマネジメントの標準的な構築を行い、賢く安全なコミュニティと安全な村の構築を深化させる。 農村の公共エリアにおけるビデオ画像システムのネットワーク化と応用を引き続き強化し、疫病の予防と制御、災害の予防と軽減、緊急管理などの様々な産業と分野におけるビデオ画像リソースの深い応用を積極的に推進する。 引き続き「農村活性化、法治」キャンペーンを実施し、公共法律サービスプラットフォームの建設をさらに推進し、モバイル知能調停システムの普及と応用をさらに強化し、都市と農村をカバーし、便利で効率的で、平等で普遍的利益をもたらす現代公共法律サービスシステムの建設を加速させる。
19. 推进乡村应急管理智慧化。完善智能数字网格预报技术体系,推进暴雨、局部地区突发强对流预警信号精确到乡(镇、街道),构建极端天气监测预警服务体系。依托空天地一体化监测体系,加强农村多灾易灾地区灾害风险监测。实施自然灾害监测预警信息化、国家地震烈度速报与预警等工程,加强面向偏远农村、牧区、山区的预警信息服务。持续开展乡村防灾减灾科普宣传教育。 19.地方の危機管理の知恵を広める。 インテリジェント・デジタルグリッド予報技術システムを改善し、地方から郷(町)にかけての大雨や突然の強い対流に対する早期警報信号の精度を促進し、異常気象監視・警報サービスシステムを構築すること。 大気・宇宙・空の統合的な監視システムに基づき、農村の災害が起こりやすい地域における災害リスク監視を強化する。 自然災害の監視と早期警報の情報化、全国震度速度の報告と早期警報、遠隔地の農村、牧畜地、山岳地帯の早期警報情報サービスの強化などのプロジェクトを実施する。 農村における防災・減災に関する大衆科学教育を継続的に実施する。
20. 运用数字技术助力农村疫情防控。强化农村疫情信息监测,升级通信大数据平台,支撑农村常态化疫情精准防控和局部疫情应急处置,提升区域协查数据的精准性和及时性。推进健康码全国互通互认、一码通行。充分利用互联网、应急广播终端等信息化手段开展疫苗接种、疫情防控等方面的政策措施和知识普及宣传。 20.デジタル技術を利用して、農村における伝染病の予防と制御に貢献する。 農村の疫病情報の監視を強化し、通信ビッグデータプラットフォームをアップグレードし、農村の疫病の定期的かつ正確な予防と制御、地域の疫病の緊急処理をサポートし、地域連携データの正確性と適時性を向上させる。 健康コードの国家的な相互運用性と相互承認、および1つのコードの使用を促進する。 インターネットや非常用放送端末などの情報技術ツールを駆使し、予防接種や防疫に関する政策や知識の普及を行う。
(八)拓展数字惠民服务空间 (8) 国民のためのデジタルサービスの拡大
21. 发展“互联网+教育”。加快推进教育新型基础设施建设,持续完善农村中小学校网络建设,提升中小学校网络承载能力和服务质量。通过卫星电视、宽带网络为农村薄弱学校和教学点输送优质教育资源。不断完善国家数字教育资源公共服务体系,强化国家中小学智慧教育平台功能,促进数字资源东西协作。继续开展教育信息化专题培训和捐赠活动,提升农村地区师生教育信息化素养。持续研发数字化国家通用语言文字学习资源,继续开展民族语言信息化研发工作。 21.インターネット+教育 "を展開する。 新しい教育基盤の建設を加速し、農村の小中学校のネットワーク構築を継続的に改善し、小中学校のネットワーク収容力とサービス品質を向上させる。 衛星テレビとブロードバンドネットワークは、恵まれない地方の学校や教場に高品質の教材を届けるために利用されています。 デジタル教育資源に関する国家公共サービスシステムを継続的に改善し、小中学校向けの国家スマート教育プラットフォームの機能を強化し、デジタル資源の東西連携を推進する。 教育情報化をテーマとした研修や寄贈活動を継続し、農村の教員や学生の教育情報化リテラシーを向上させる。 デジタル国語学習教材の研究開発、民族語情報化の研究開発の継続。
22. 发展“互联网+医疗健康”。构建权威统一、互联互通的全民健康信息平台,推动各级各类医疗卫生机构纳入区域全民健康信息平台。稳步推进医疗机构信息系统集约化云上部署。推进“互联网+医疗健康”“五个一”服务行动,继续加强远程医疗服务网络建设,推动优质医疗资源下沉。引导地方探索基层数字健共体建设。持续推进电子证照应用服务,推广“出生一件事”联办。深入推动“互联网+中医药”服务,深化中医馆健康信息平台的推广应用。加快推进全国统一的医疗保障信息平台落地应用,逐步建立救助患者医疗费用信息共享机制。2022年底前每个县至少有1家定点医疗机构实现包括门诊费用在内的医疗费用跨省直接结算。 22.インターネット+医療健康」を展開する。 全国民の健康のための権威ある、統一された、相互接続された情報プラットフォームを構築し、全国民の健康のための地域情報プラットフォームへの各レベルの医療・健康機関の統合を促進する。 医療機関の情報システムのクラウド展開を着実に集中的に推進する。 インターネット+ヘルスケア」のサービス構想「Five-One」を推進し、遠隔医療サービスネットワークの構築を引き続き強化し、良質な医療資源のシンクを推進する。 地域コミュニティを指導し、草の根レベルでのデジタルヘルスコミュニティの構築を模索する。 電子証明書やサービスの適用を継続的に推進し、「ワンバース」の共同運用を推進する。 インターネット+漢方」サービスの推進を深め、漢方薬局の健康情報プラットフォームの普及と応用を深化させる。 2022年末までに、各県に1つ以上の指定医療機関が、外来診療費を含む医療費の県を越えた直接精算を実現する予定である。
23. 完善社会保障信息服务。持续完善全国统一的社会保险公共服务平台建设,建立以社会保障卡为载体的居民服务“一卡通”,进一步优化乡村基层社保经办服务,不断扩大服务范围。加快推广应用全国社会救助系统,推动社会救助服务向移动端延伸。拓宽残疾人两项补贴“跨省通办”服务模式,推动实现“全程网办”。增加全国残疾人两项补贴信息系统的监管功能,提高补贴发放精准性。开展互联网网站、APP适老化及无障碍改造,制定属地化互联网应用适老化及无障碍改造方案。 23.社会保障情報サービスの向上 全国統一社会保険公共サービスプラットフォームの建設を引き続き改善し、社会保険カードをキャリアとする住民サービスの「ワンカード」を確立し、農村の草の根レベルの社会保険サービスをさらに最適化し、サービス範囲を継続的に拡大する。 国の社会扶助制度の適用を加速し、社会扶助サービスのモバイル端末への拡張を促進する。 障害者2手当の「都道府県横断」サービスモデルを拡大し、「完全オンライン処理」の実施を推進する。 2つの障害者補助金に関する国の情報システムの監視機能を高め、補助金分配の精度を向上させる。 インターネットサイトやアプリの年齢別バリアフリー化、地域別アプリの年齢別バリアフリー化計画を策定する。
24. 深化就业创业信息服务。持续完善就业信息化平台建设,加强脱贫人口、农民工、乡村青年等群体就业监测与分析。充分利用互联网平台汇集岗位信息,拓宽广大农民外出就业和就地就近就业渠道。面向农村转移劳动力、返乡农民工等群体开展职业技能培训,支持帮助其就业创业。推动互联网企业在农村地区开展互联网助农项目,为农民增收开辟新渠道。 24.雇用と起業の情報サービスの深化。 雇用情報プラットフォームの構築を継続的に改善し、貧困から脱出した人々、移住労働者、農村の若者などのグループの雇用の監視と分析を強化する。 インターネットのプラットフォームをフルに活用し、求人情報をプールし、大多数の農民が就職や地元での雇用のために外出するチャンネルを広げます。 農村の移民労働者や帰国移民労働者などのグループに対して職業技能訓練を提供し、彼らの雇用と起業を支援する。 インターネット企業が農村でインターネットを利用した農業プロジェクトを行うことを推進し、農民が収入を増やすための新しいチャンネルを開拓する。
25. 推动农村消费升级。继续实施县域商业建设行动,扩大农村电商覆盖面,健全县乡村三级物流配送体系,促进农村消费扩容提质升级。支持大型商贸流通企业、电商平台等服务企业向农村延伸拓展,加快品牌消费、品质消费进农村。加快农村寄递物流体系建设,分类推进“快递进村”工程,推广农村寄递物流末端共同配送。推进抵边自然村邮政普遍覆盖。引导传统商贸流通、邮政企业强化数据驱动,推动产品创新数字化、运营管理智能化、为农服务精准化,支持企业加快数字化、连锁化转型升级。 25.地方における消費の高度化の推進 県ビジネス建設イニシアティブを引き続き実施し、農村の電子商取引の範囲を拡大し、県と農村レベルの物流・流通システムを改善し、農村消費の拡大と質の向上を促進する。 大型貿易・流通企業、電子商取引プラットフォームなどのサービス企業の農村への拡張・進出を支援し、農村へのブランド消費・品質消費を加速させる。 農村配送物流システムの建設を加速し、「村への速達」プロジェクトを推進し、農村配送物流末端の共通流通を促進する。 国境の自然村での郵便のユニバーサルカバレッジを推進する。 伝統的な貿易流通・郵便企業にデータ駆動を強化するよう指導し、デジタル製品イノベーション、インテリジェント運営管理、農業向け精密サービスを推進し、企業のデジタル化・チェーン変革・アップグレードを加速させるようサポートする。
(九)加快建设智慧绿色乡村 (9) スマート・ビレッジ、グリーン・ビレッジの建設加速
26. 提升农村自然资源和生态环境监测水平。继续组织做好自然资源调查监测、实景三维中国建设,开展自然资源三维立体“一张图”、国土空间基础信息平台、自然资源监管决策应用体系扩展建设。探索推进包括农村在内的全国生态监测评价预警体系建设。加快推进林草生态网络感知系统建设与应用,推动感知平台各相关业务系统“真用真连”“互联互通”。推进全国林草信息化示范区评选工作。 26.農村における天然資源と生態環境の監視レベルを向上させる。 天然資源の調査と監視、現実的な三次元中国の建設を引き続き組織し、天然資源の三次元「一枚の地図」、土地と空間の基本情報プラットフォーム、天然資源の監督と意思決定のための応用システムの拡張の建設を実行する。 農村を含む全国的な生態系監視・評価・早期警報システムの構築を模索する。 林業と草の生態ネットワークセンシングシステムの構築と応用を加速し、センシングプラットフォーム上で関連するすべての業務システムの「実使用と接続」、「相互接続」を促進する。 国営林業・草地情報化実証地域の選定を推進する。
27. 加强农村人居环境数字化治理。建立农村人居环境问题在线受理机制,引导农村居民通过APP、小程序等方式参与人居环境网络监督。不断完善农村环境监测体系,持续加强环境要素和重点监管对象监测。提高农村地区水环境、水生态监测能力。持续加强农村生活垃圾收运处置信息管理,提升村镇污水垃圾治理水平。开展高分卫星在农村人居环境监测应用示范工作。 27.農村の生活環境のデジタル管理を強化する。 農村の生活環境問題を受け付けるオンライン機構を構築し、APPや小型プログラムを通じて農村住民が生活環境ネットワーク監督に参加するよう誘導する。 農村環境監視システムを継続的に改善し、環境要素と主要な規制目標の監視を継続的に強化する。 農wおける水環境と水生態のモニタリング能力を向上させる。 農村の家庭ごみ収集・処理に関する情報管理を継続的に強化し、村や町の汚水・廃棄物管理レベルを向上させる。 ハイビジョン衛星を利用した農村生活環境モニタリングの実証実験を行う。
(十)统筹推进数字乡村建设 (10) デジタル村構築の調整と推進
28. 加强统筹协调和试点建设。指导地方建立健全数字乡村发展统筹协调机制,推动《数字乡村发展行动计划(2022-2025年)》落地实施。研究制定数字乡村发展评价指标体系,开展数字乡村发展评价工作。印发实施数字乡村标准体系建设指南,加强数字乡村标准化建设。持续完善数字乡村建设指南。完成首批国家数字乡村试点总结评估,鼓励地方开展区域性数字乡村试点。充分利用融媒体、直播平台、网络视听节目等渠道,讲好乡村振兴故事,总结推广典型经验,营造良好社会氛围。 28.コーディネーションとパイロットの構築の強化 デジタル農村開発のための調整メカニズムの確立と改善を地方に指導し、デジタル農村開発のための行動計画(2022-2025)の実施を推進する。 デジタル村落開発の評価指標システムを研究開発し、デジタル村落開発の評価を実施する。 デジタルビレッジ標準システム構築のためのガイドラインを発行・実施し、デジタルビレッジの標準化を強化した。 デジタルビレッジ構築のためのガイドラインを継続的に改善する。 第一陣の国家デジタルビレッジパイロットの総括評価を完了し、地方に地域デジタルビレッジパイロットを実施するよう奨励する。 総合メディア、ライブ放送プラットフォーム、オンラインオーディオビジュアル番組などのチャンネルをフルに活用し、農村活性化のストーリーを伝え、典型的な経験をまとめ、広報し、良い社会的雰囲気を作り出す。
29. 强化政策保障和金融服务。加大财政资金投入和引导力度,按规定统筹利用现有涉农政策与资金渠道,支持数字乡村重点项目建设。加强金融机构对数字乡村建设重点项目和优质涉农企业、新型农业经营主体、农村就业创业群体的信贷、融资支持。持续加大乡村金融供给,提高全国整体县域信贷资金适配性。因地制宜打造金融服务乡村振兴创新示范区。持续推进金融科技赋能乡村振兴示范工程。鼓励地方探索构建数字乡村服务资源池,引导社会力量有序参与数字乡村建设。 29.政策的保護と金融サービスの強化 金融投資と指導を強化し、既存の農業関連政策と資金ルートを規則に従って協調して利用し、デジタル村サイドの重要プロジェクトの建設を支援する。 デジタル村サイドの構築における重要なプロジェクトや、質の高い農業関連企業、新しい農業事業体、農村の雇用・起業グループに対する金融機関からの信用・融資支援を強化する。 農村金融の供給を継続的に増加させ、全国的に県に対する信用資金の適合性を向上させる。 地方の活性化のための金融サービスの革新的な実証区を地域の実情に合わせて作成する。 金融技術による農村活性化の実証プロジェクトを継続的に推進する。 地方がデジタル農村サービス資源プールの建設を模索することを奨励し、社会勢力が整然とデジタル農村の建設に参加するよう誘導する。
30. 加强数字乡村人才队伍建设。持续开展农民手机应用技能培训,组织开展网络安全教育培训,提升农村人口的数字素养与个人信息保护意识。持续派强用好驻村第一书记和工作队,加强对农村党员干部现代信息技术应用方面的教育培训。继续加强高等学校新农村发展研究院建设,加大对农业农村等人才急需领域的职业教育供给。大力开展乡村旅游人才、农业农村科技青年人才、复合型巾帼人才信息化培训。 30.地方のデジタル人材プールの構築を強化する。 農民を対象とした携帯電話アプリケーションのスキルトレーニングを継続的に実施し、サイバーセキュリティ教育・訓練を組織して、農村住民のデジタルリテラシーと個人情報保護意識を向上させること。 強力でよく使われる第一書記とタスクフォースを引き続き村に派遣し、農村の党員と幹部に対する現代情報技術の応用に関する教育・訓練を強化する。 高等教育機関における新農村開発研究所の建設を引き続き強化し、農業や農村など人材が緊急に必要とされる分野での職業教育の供給を増加させる。 農村観光の人材、農業・農村科学技術の若い人材、情報技術の複合女性の人材育成を精力的に行う。

 

1_20210612030101

機械翻訳では「农村」と「乡村」が綺麗に分けて翻訳できないですね。。。もちろん1対1対応ではないのですが。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.06 中国 デジタル村建設ガイド1.0

 

その他関連する内容

・2022.02.20 中国 「第14次5ヵ年計画における国家情報化計画」についての3つの専門家の意見

・2021.12.31 中国 ロボット産業発展のための第14次5ヵ年計画

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

・2021.12.26 中国 インターネット上の宗教情報サービスの管理に関する弁法

・2021.12.23 中国 通信院 産業経済状況の見通し、上位100の工業都市と地区に関する開発報告

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.11.17 中国 党創立100周年闘争の主要な成果と歴史的経験に関する中共中央委員会の決議(全文)

| | Comments (0)

2022.04.26

米国 White House ドローン対策国家計画

こんにちは、丸山満彦です。

米国が、無人航空機システム (unmanned aircraft systems: UAS, or "drones") 対策についての国家計画を発表していますね。。。

2015年には、ホワイトハウス敷地内にドローンが墜落したり、日本でも官邸にドローンが墜落し、所有者が逮捕されたりしましたね。。。

そんなこともあり、日本でも、ドローンの利用と規制についての議論が起こり、委員会等も立ち上がって、安全な普及に向けた活動が続いていますね。。。

 

U.S. White House

・2022.04.25 FACT SHEET: The Domestic Counter-Unmanned Aircraft Systems National Action Plan

FACT SHEET: The Domestic Counter-Unmanned Aircraft Systems National Action Plan ファクトシート:国内無人航空機システム対策国家行動計画
Over the last decade, unmanned aircraft systems (UAS or “drones”) have become a regular feature of American life. We use them for recreation, for research, and for commerce. But the proliferation of this new technology has also introduced new risks to public safety, privacy, and homeland security.  Malicious actors have increasingly used UAS domestically to commit crimes, conduct illegal surveillance and industrial espionage, and thwart law enforcement efforts at the local, state and Federal level. 過去10年間で、無人航空機システム(UASまたは「ドローン」)はアメリカ人の生活の中で日常的に使われるようになりました。私たちは、レクリエーション、研究、そして商業のために無人航空機を使用しています。しかし、この新しい技術の普及は、公共の安全、プライバシー、国土安全保障に新たなリスクをもたらしています。  悪意のある行為者が、国内でUASを使用して犯罪を犯し、違法な監視や産業スパイを行い、地方、州、連邦レベルでの法執行努力を妨害するケースが増加しています。
Today, the Biden Administration is releasing the first whole-of-government plan to address UAS threats in the Homeland. Through the Domestic Counter-Unmanned Aircraft Systems National Action Plan, the Administration is working to expand where we can protect against nefarious UAS activity, who is authorized to take action, and how it can be accomplished lawfully. The Plan seeks to achieve this legitimate expansion while safeguarding the airspace, communications spectrums, individual privacy, civil liberties and civil rights. To achieve this balance, the Administration is calling on Congress to adopt legislation to close critical gaps in existing law and policy that currently impede government and law enforcement from protecting the American people and our vital security interests. 本日、バイデン政権は、国土におけるUASの脅威に対処するための初の政府全体計画を発表します。国内無人航空機システム対策国家行動計画を通じて、政権は、悪質なUAS活動から保護できる場所、行動を起こす権限を持つ人、そしてそれを合法的に達成する方法を拡大するために取り組んでいる。この計画は、空域、通信スペクトル、個人のプライバシー、市民的自由、市民権を保護しながら、この合法的な拡大を達成することを目指している。このバランスを達成するために、行政は議会に対し、現在政府と法執行機関が米国民と重要な安全保障上の利益を保護することを妨げている既存の法律と政策の重大なギャップを埋めるための法律を採択するよう求めている。
UAS serve many beneficial commercial and recreational purposes.  As has been the case with many technological advances, they can also be exploited for pernicious purposes.  To protect our Homeland and prevent their growing use from threatening the safety and security of our people, our communities, and our institutions, this Counter-UAS National Action Plan will set new ground rules for the expanding uses of UAS and improve our defenses against the exploitation of UAS for inappropriate or dangerous purposes. UASは、多くの有益な商業的および娯楽的な目的に役立っている。  多くの技術的進歩がそうであったように、UASもまた悪意のある目的のために利用される可能性がある。  国土を守り、その利用の拡大が国民、地域社会、組織の安全と安心を脅かすことを防ぐために、このUAS対策国家行動計画は、UASの利用拡大のための新しい基本ルールを定め、不適切または危険な目的でのUASの利用に対する防御を向上させるものである。
Recommendations 推奨事項
The Plan provides eight key recommendations for action: 本計画では、行動に関する8つの重要な推奨事項を提示します。
1. Work with Congress to enact a new legislative proposal to expand the set of tools and actors who can protect against UAS by reauthorizing and expanding existing counter‑UAS authorities for the Departments of Homeland Security, Justice, Defense, State, as well as the Central Intelligence Agency and NASA in limited situations. The proposal also seeks to expand UAS detection authorities for state, local, territorial and Tribal (SLTT) law enforcement agencies and critical infrastructure owners and operators.  The proposal would also create a Federally-sponsored pilot program for selected SLTT law enforcement agency participants to perform UAS mitigation activities and permit critical infrastructure owners and operators to purchase authorized equipment to be used by appropriate Federal or SLTT law enforcement agencies to protect their facilities; 1. 国土安全保障省、司法省、国防省、国務省、および中央情報局、NASAの既存のUAS対策権限を再承認し、限定的に拡大することにより、UASから保護できる手段および行為者を拡大する新しい法律案の制定に議会と協力すること。また、州、地方、地域、部族(SLTT)の法執行機関や重要インフラの所有者・運営者のためのUAS検知権限を拡大することも目指すこと。  この提案はまた、選ばれたSLTT法執行機関参加者がUAS緩和活動を行うための連邦政府主催のパイロット・プログラムを創設し、重要インフラの所有者およびオペレーターが、適切な連邦政府またはSLTT法執行機関がその施設を保護するために使用する認定機器を購入することを許可するものである。
2. Establish a list of U.S. Government authorized detection equipment, approved by Federal security and regulatory agencies, to guide authorized entities in purchasing UAS detection systems in order to avoid the risks of inadvertent disruption to airspace or the communications spectrum;  2. 連邦安全保障・規制機関によって承認された米国政府公認の探知装置のリストを確立し、空域または通信スペクトルへの不注意な破壊のリスクを回避するために、公認団体がUAS探知システムを購入する際の指針とすること。 
3. Establish oversight and enablement mechanisms to support critical infrastructure owners and operators in purchasing counter-UAS equipment for use by authorized Federal entities or SLTT law enforcement agencies; 3 .重要インフラの所有者および運営者が、認可された連邦機関またはSLTT法執行機関による使用のために、対UAS機器を購入することを支援するための監視および実現機構を確立すること。
4. Establish a National Counter-UAS Training Center to increase training accessibility and promote interagency cross-training and collaboration; 4. 訓練へのアクセス性を高め、省庁間の横断的な訓練と協力を促進するために、国家UAS対策訓練センターを設立すること。
5. Create a Federal UAS incident tracking database as a government-wide repository for departments and agencies to have a better understanding of the overall domestic threat; 5. 国内全体の脅威をよりよく理解するために、各省庁のための政府全体のリポジトリとして、連邦UAS事故追跡データベースを作成すること。
6. Establish a mechanism to coordinate research, development, testing, and evaluation on UAS detection and mitigation technology across the Federal government; 6. 連邦政府全体でUASの探知・緩和技術に関する研究、開発、試験、評価を調整する仕組みを構築すること。
7. Work with Congress to enact a comprehensive criminal statute that sets clear standards for legal and illegal uses, closes loopholes in existing Federal law, and establishes adequate penalties to deter the most serious UAS-related crimes; and  7. 議会と協力して、合法・違法使用の明確な基準を設定し、既存の連邦法の抜け穴を塞ぎ、最も深刻なUAS関連犯罪を抑止するための適切な刑罰を定めた包括的な刑事法の制定を行うこと。 
8. Enhance cooperation with the international community on counter‑UAS technologies, as well as the systems designed to defeat them. 8. 対UAS技術およびそれを破るために設計されたシステムに関する国際社会との協力を強化すること。

 

Department of Justice

・2022.04.25 Justice Department Issues Statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal

Justice Department Issues Statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal 司法省は、政府の無人航空機システム対策(C-UAS)国家行動計画および立法案について声明を発表
For almost four years, the Department of Justice has responsibly used the authority Congress granted it in the Preventing Emerging Threats Act of 2018 to protect critical department missions and the public, such as high-profile sporting events like the Super Bowl and the World Series, from the threat posed by unmanned aircraft systems (UAS), commonly referred to as “drones.” The department uses the authority to keep our communities safe while ensuring full respect for the Constitution, privacy, civil rights and civil liberties, and the safety of the national airspace system. But the threat posed by the criminal use of drones is increasing and evolving, and department components cannot protect everyone, everywhere, all the time.  司法省は約4年間、2018年新興脅威防止法で議会から与えられた権限を責任を持って活用し、一般に "ドローン "と呼ばれる無人航空機システム(UAS)がもたらす脅威から、スーパーボウルやワールドシリーズなどの注目を集めるスポーツイベントなど、省の重要任務と一般市民を守ってきました。本省は、憲法、プライバシー、市民権、市民的自由の完全な尊重、および国土空域システムの安全を確保しながら、コミュニティの安全を保つためにこの権限を使用しています。しかし、ドローンの犯罪利用がもたらす脅威は増大し、進化しており、同省の構成員が、いつでも、どこでも、すべての人を保護することはできません。 
The department strongly supports the Administration’s Counter-UAS National Action Plan and comprehensive legislative proposal transmitted to Congress on April 19 seeking the reauthorization of the department’s authority. Additionally, the department strongly supports the element of the National Action Plan incrementally extending relief from federal criminal laws to state, local, territorial and tribal (SLTT) law enforcement entities to use technology to detect, and in limited circumstances, mitigate UAS threats under appropriate controls and Federal oversight. A third critical component of the plan is endorsement of the department’s legislative proposal that would fill a gap in federal criminal laws to prosecute the most malicious and dangerous uses of drones. 本省は、本省の権限の再承認を求めて4月19日に議会に提出された政権の対UAS国家行動計画および包括的な立法案を強く支持します。さらに本省は、国家行動計画のうち、州・地方・準州・部族(SLTT)法執行機関が適切な管理と連邦監視の下で技術を利用してUASの脅威を検知し、限られた状況下で緩和するために連邦刑法からの救済を段階的に拡大する要素を強く支持します。この計画の第三の重要な要素は、ドローンの最も悪質で危険な使用を訴追するための連邦刑法におけるギャップを埋める、本省の立法提案への支持です。
The department is grateful to the Administration for recognizing the increasing risk and for involving federal departments and agencies in crafting a thoughtful approach. The Counter-UAS plan is a whole-of-government measured proposal that builds off existing authorities to address the threat that simultaneously protects privacy and civil liberties of the American people, the safety of the national airspace and the communications spectrum.  本省は、リスクが高まっていることを認識し、連邦政府各省庁を巻き込んで思慮深いアプローチを構築した行政府に感謝しています。対UAS計画は、米国民のプライバシーと市民的自由、国土空域の安全、通信スペクトルを同時に保護する脅威に対処するために、既存の権限を基にした政府全体の対策案です。 
In the coming weeks, the department and interagency will engage with the Congress and key stakeholders across the government, private sector, law enforcement and society on the plan and legislative proposal.  今後数週間、同省と省庁間機関は、計画および立法案について、議会および政府、民間企業、法執行機関、社会にわたる主要な利害関係者と意見を交わす予定です。 

 

Department of Homeland Security

・2022.04.25 Statement by Secretary Mayorkas on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal

 

Statement by Secretary Mayorkas on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and Legislative Proposal 無人航空機システム対策(C-UAS)国家行動計画および立法案に関するマヨルカス長官の声明
Secretary of Homeland Security Alejandro N. Mayorkas released the following statement on the Administration’s Counter Unmanned Aircraft Systems (C-UAS) National Action Plan and legislative proposal released today. アレハンドロ・N・マヨルカス国土安全保障長官は、本日発表された政府の無人航空機システム(C-UAS)対策国家行動計画および立法案について、以下の声明を発表しました。
“The Biden-Harris Administration’s C-UAS National Action Plan and legislative proposal are vital to enabling DHS and our partners to have the necessary authorities and tools to protect the public, the President and other senior officials, federal facilities, and U.S. critical infrastructure from threats posed by the malicious and illicit use of unmanned aircraft systems. These threats are increasing at home and abroad, and the Plan and legislative proposal call for the reauthorization and expansion of DHS’s C-UAS authority to help keep our communities safe. The Plan and legislative proposal also support the safe integration of unmanned aircraft systems for recreational and commercial use.” 「バイデン=ハリス政権のC-UAS国家行動計画と立法提案は、無人航空機システムの悪意ある不正使用による脅威から、DHSと我々のパートナーが国民、大統領やその他の高官、連邦施設、米国の重要インフラを守るために必要な権限と手段を持つために不可欠なものです。このような脅威は国内外で増加しており、本計画と立法案は、DHSのUAS対策権限の再承認と拡大を求め、我々のコミュニティの安全確保を支援するものです。また、本計画と立法案は、レクリエーションや商業利用のための無人航空機システムの安全な統合を支援するものです。
“DHS will continue to judiciously implement its C-UAS authorities, while protecting privacy, civil rights, and civil liberties. We look forward to working with Congress and key stakeholders across every level of government, in the private sector, and civil society on this critical Plan and related legislation.” DHSは、プライバシー、市民権、市民的自由を保護しながら、C-UAS権限を引き続き慎重に実施する。この重要なプランと関連法案について、議会や政府の各レベル、民間企業、市民社会の主要なステークホルダーと協力することを楽しみにしています。

 

U.S. Congress.gov

U.S. House of Representatives

U.S. Senate

 

Fig1_20220426061901

 


■ 日本のドローンについての検討

小型無人機に関する関係府省庁連絡会議

 


■ ドローン墜落...

● The New York Times

・2015.01.26 A Drone, Too Small for Radar to Detect, Rattles the White House

● 日本経済新聞

・2015.04.22 首相官邸にドローン落下 けが人はなし

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。

 

 

| | Comments (0)

2022.04.25

中国 人工知能白書 2022 (2022.04.12)

こんにちは、丸山満彦です。

中国の中国信息通信研究院が人工知能白書(AI白書)2022を公表していましたね。。。

 

中国信息通信研究院

・2022.04.12 人工智能白皮书(2022年)

【摘    要】 概要
白皮书全面回顾了2021年以来全球人工智能在政策、技术、应用和治理等方面的最新动向,重点分析了人工智能所面临的新发展形势及其所处的新发展阶段,致力于全面梳理当前人工智能发展态势,为各界提供参考,共同推动人工智能持续健康发展。 本白書は、2021年以降の世界のAIの政策、技術、応用、ガバナンスの最新動向を、AIが直面する新たな発展状況とその発展段階に焦点を当て、現在のAI発展状況を包括的に概観し、あらゆるセクターが共同でAIの持続的かつ健全な発展を促進するための参考とすることを目的としています。


・[PDF]

20220425-62849

 

前 言 前文
目 录 目次
一、人工智能发展概述 I. AI開発の概要
(一)全球不断升级人工智能战略,纷纷抢抓重要发展 机遇 (1) 世界はAI戦略をアップグレードし、重要な開発機会を掴んでいる
(二)人工智能开始迈入全新阶段,持续健康发展成为 焦点 (2) AIは新たな局面を迎え、その持続的かつ健全な発展が注目されている
二、人工智能技术及应用沿着“创新、工程、可信”三 个方向持续演进 II.AI技術とアプリケーションは、"革新、工学、信頼 "の3つの方向性で進化し続ける。
(一)人工智能在追求极致创新方面不断突破 (1) 極限の革新を追求するAIのブレークスルーが続く
1. 新算法不断涌现,技术融合成重要趋势 1. 新しいアルゴリズムが登場し、テクノロジーコンバージェンスが重要なトレンドになっている
2. 单点算力持续突破,新技术仍处于探索阶段 2. 計算能力の一点突破は続く、新技術はまだ模索の段階
3. 数据规模不断提升,构建领域知识集成热点 3. データ規模の増大とドメイン知識統合のホットスポットの構築
(二)人工智能工具链成为工程实践能力核心 (2) AIツールチェーンが工学実務能力のコアになる
(三)安全可信人工智能技术朝着一体化发展 (3) 統合に向けた安全で信頼できるAI技術
三、全球高度关注人工智能治理工作,人工智能安全可 信成重点 III.世界的に注目されるAIガバナンス、AIの安全性と信頼性が優先課題
(一)人工智能风险不断增多,全球初步建立治理机制 (1) AIのリスクは増大し、当初はグローバルなガバナンスの仕組みが構築されつつある
1. 人工智能深入赋能引发挑战 1. AIのディープエンパワーメントに起因する課題
2. 全球掀起人工智能治理浪潮 2. 世界的なAIガバナンスの波
(二)人工智能治理迈入软硬法协同和场景规制新阶段 (2) AIガバナンスは、ソフトロー・ハードローの相乗効果とシナリオ規制の新段階に入る
1. 人工智能治理实质化进程加速推进 1. 加速するAIガバナンスの具体化プロセス
2. 典型场景化治理各有侧重加速落地 2. 典型的なシナリオベースのガバナンスは、実装を加速させるために独自のフォーカスを持つ
(三)人工智能安全框架成为有效防范风险的关键指引 (3) AIセキュリティフレームワークは、効果的なリスク予防のための重要な指針となる
1. 人工智能安全框架逐渐形成雏形 1. 具体化するAIセキュリティのフレームワーク
2. 分类分级成为框架构建的新方向 2. フレームワーク構築の新たな方向性としての分類と等級
(四)可信人工智能已成为落实治理要求的重要方法论 (4) 信頼できるAIは、ガバナンス要件を実現するための重要な方法論となった
1. 可信理念逐渐深入到人工智能全生命周期 1. AIのライフサイクル全体に、信頼性の概念が徐々に浸透していく
2. 企业已成为实践可信人工智能的主要力量 2. 信頼できるAIの実践のために、企業が大きな力を発揮するようになった
3. 行业组织推进打造人工智能安全可信生态 3. 業界団体によるAIの安全で信頼できるエコシステムの構築の推進
四、总结与展望 IV.まとめと展望
参考文献 参考文献

 

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.04.24

カナダ プライバシーコミッショーナー事務局 政府機関が機関の長の判断によって個人情報を公開する場合のガイダンス

こんにちは、丸山満彦です。

カナダのプライバシー法 (Privacy Act) では、

政府機関(省庁等)の長(大臣、長官等)が、個人情報を本人の同意なしに開示することができる場合が第8条(2)に列挙されていて、そして包括的な規定として(m)に

(i) 開示の公益性が、開示によって生じ得るプライバシーの侵害を明らかに上回るか、または

(ii) 開示が、その情報の対象となる個人にとって明らかに有益である

と判断する場合、と定められているのですが、機関の長がその判断をする際のガイダンスがプライバシーコミッショナー事務局から公表されていますね。。。

参考になるかもですね。。。

 

Office of the Privacy Commissioner of Canada: OPC

・2022.04.21 OPC publishes updated guidance on public interest disclosures by federal institutions under the Privacy Act

・2022.04.21(改正)Public interest disclosures by federal institutions under the Privacy Act

Public interest disclosures by federal institutions under the Privacy Act プライバシー法に基づく連邦機関による公益情報の開示
Guidance on disclosures under paragraph 8(2)(m), which allows institutions to disclose personal information in the public interest or in the interest of the individual to whom the information relates. 個人情報保護法第8条(2)(m)に基づく開示に関するガイダンスである。この条項により、機関は公共の利益またはその情報に関連する個人の利益のために個人情報を開示することができる。
Overview 概要
The Privacy Act allows federal institutions to disclose personal information in the public interest or in the interest of the individual to whom the information relates. This includes cases where health, safety or security may be at risk, as well as other situations related to the individual or public interest. プライバシー法は、連邦機関が公共の利益または情報が関連する個人の利益のために個人情報を開示することを許可している。これには、健康、安全またはセキュリティが危険にさらされている可能性がある場合、および個人または公共の利益に関連する他の状況が含まれている。
When seeking to make use of these provisions, it is important that institutions have a clear understanding of appropriate use. This understanding helps to ensure that privacy rights are appropriately considered. これらの規定を利用しようとする場合、機関が適切な利用について明確に理解することが重要である。この理解は、プライバシー権への適切な配慮を確保するのに役立つ。
Understanding Paragraph 8(2)(m) 第8条(2)(m)の理解
Subsection 8(2) of the Privacy Act sets out specific circumstances in which government institutions may disclose personal information without the consent of the individual. プライバシー法第8条(2)では、政府機関が本人の同意なしに個人情報を開示できる具体的な状況を定めている。
Paragraph 8(2)(m) permits the disclosure of personal information where, in the opinion of the head of the institution, the public interest in disclosure clearly outweighs any invasion of privacy that could result from the disclosure, or disclosure would clearly benefit the individual to whom the information relates. It is up to the head of the institution, as defined in the Privacy Act, to make this assessment. 第8条(2)(m)は、機関の長の見解として、開示によるプライバシーの侵害を開示による公共の利益が明らかに上回る場合、または開示がその情報に関連する個人の利益に明らかになる場合に、個人情報の開示を許可するものである。この評価を行うのは、プライバシー法に定義される機関の長に任されている。
Paragraph 8(2)(m) is an important section in the Act which provides institutions with a tool to help them effectively balance an individual's right to privacy with other important contextual interests. For example, this provision has been used in cases such as: 第8条(2)(m)は、プライバシー法における重要な条項であり、個人のプライバシー権と他の重要な文脈上の利益とのバランスを効果的にとるためのツールを機関に提供するものである。例えば、この規定は、以下のようなケースで利用されている。
To seek assistance for an individual denied government benefits who has threatened self-harm or harm to others; 自傷行為や他者への危害を予告し、政府からの給付を拒否された個人に対して支援を求める場合。
To notify public health authorities charged with informing individuals of their potential exposure to a communicable disease; and 伝染病への曝露の可能性を個人に知らせることを担当する公衆衛生当局に通知する場合。
To assist in locating the next of kin of an individual who is injured or deceased. 負傷または死亡した個人の近親者の所在を確認するのを支援するため。
Paragraph 8(2)(m) may also apply in the context of a request for information under the Access to Information Act. While subsection 19(1) of the Access to Information Act requires heads of institutions to refuse to disclose any record requested that contains personal information, this requirement is subject to the discretionary exceptions contained in subsection 19(2). Of particular note is paragraph 19(2)(c) of the Act, which allows for the disclosure of personal information in accordance with section 8 of the Privacy Act. In considering whether to exercise discretion to disclose personal information in response to an Access to Information Act request under paragraph 19(2)(c), heads of institutions should follow this guidance. 第 8 項(2)(m)は、情報公開法に基づく情報提供の要請にも適用される場合がある。情報公開法第19条(1)では、機関の長は、個人情報を含む要求された記録の開示を拒否することを要求しているが、この要求は、第19条(2)に含まれる裁量的な例外に従うものである。特に注目すべきは、プライバシー法第8条に従って個人情報の開示を認める同法第19条(2)(c)である。第19条(2)(c)に基づく情報公開法の要求に対して、個人情報を開示する裁量を行使するかどうかを検討する場合、機関の長はこのガイダンスに従うこと。
The decision to disclose 開示の決定
The decision to disclose under paragraph 8(2)(m) requires a careful balancing of potentially competing interests. It is the responsibility of the head of the institution to ensure that the public interest clearly outweighs the invasion of privacy, in the case of subparagraph 8(2)(m)(i), or, in the case of 8(2)(m)(ii), disclosure must clearly benefit the individual to whom the information relates. 第8条(2)(m)に基づく開示の決定には、潜在的に競合する利害のバランスを慎重にとることが必要である。第8条(2)(m)(i)の場合、公共の利益がプライバシーの侵害を明らかに上回り、第8条(2)(m)(ii)の場合、開示がその情報に関連する個人の利益に明らかにならなければならないことは、機関の長の責任である。
The discretion to disclose personal information should be exercised with restraint. Paragraph 8(2)(m) does not require disclosure by a government institution nor is it a "loophole" that allows government departments and agencies to make information public when it should remain private. With this in mind, government institutions should be careful not to disclose more personal information than is necessary. 個人情報を開示する裁量は、抑制的に行使されなければならない。第8条(2)(m)は、政府機関による開示を義務付けるものではなく、また、政府省庁が非公開とすべき情報を公開することを認める「抜け道」でもない。このことを踏まえ、政府機関は必要以上に個人情報を開示しないように注意する必要がある。
Paragraph 8(2)(m) is applied in unique, fact-specific situations. In other words, institutions should exercise discretion to disclose personal information pursuant to this paragraph in unique circumstances where disclosure is truly justified. 第8項(2)(m)は、固有の、事実に基づいた状況で適用される。言い換えれば、機関は、開示が本当に正当化される特定の状況において、このパラグラフに従って個人情報を開示する裁量権を行使すべきである。
Institutions should apply the "invasion-of-privacy" test to determine the level of privacy risk in the disclosure. The invasion-of-privacy test involves a detailed review of three interrelated risk factors that will help institutions determine whether to apply subparagraph 8(2)(m)(i). These factors are: the sensitivity of the information; the expectations of the individual; and the probability and degree of injury. In addition, institutions should consider factors unique to their own operational context, as applicable. 機関は、開示におけるプライバシーリスクのレベルを決定するために、「プライバシーの侵害」テストを適用するべきである。プライバシー侵害テストでは、サブ第8条(2)(m)(i)を適用するかどうかを判断するのに役立つ、相互に関連する3つのリスク要因を詳細に検討する。これらの要因とは、情報の機密性、個人の期待、損害の発生する確率と程度である。さらに、各機関は、該当する場合、各自の業務状況に固有の要因を考慮する必要があります。
Tips for applying the invasion-of-privacy test プライバシーの侵害テスト適用のためのヒント
1) Sensitivity of the information 1) 情報の機密性
Consider whether the type of information is of a detailed (e.g., name and address) or highly personal (e.g., health information) nature. 情報の種類が、詳細な情報(例:氏名や住所)か、極めて個人的な情報(例:健康情報)かを検討する。
Evaluate the context in which the information was collected, and determine whether any contextual sensitivities apply to the information. For example, a list of public servants may not be considered particularly sensitive, but that same list, if collected to identify employees having a specific illness would be considered sensitive based on the context. 情報が収集された背景を評価し、その情報に文脈上の機微性が適用されるかどうかを判断する。例えば、公務員のリストは特にセンシティブとは見なされないかもしれませんが、同じリストでも、特定の病気を持つ従業員を特定するために収集された場合は、コンテキストに基づいてセンシティブと見なされるだろう。
2) Expectations of the individual 2) 本人への期待
Evaluate the conditions under which the personal information was collected, and consider what expectations the collecting institution may have established for its confidentiality, including whether the possibility of disclosure is conveyed in an applicable Privacy Notice Statement. 個人情報が収集された条件を評価し、開示の可能性が適用されるプライバシー通知ステートメントで伝えられているかどうかを含め、収集機関がその機密性に対してどのような期待を抱いていたかを検討する。
Consider the reasonable expectations of privacy that apply to the context in which the information was collected. To determine what constitutes a reasonable expectation of privacy, courts will look at the totality of circumstances. This could include location of collection (e.g., in a private conversation as compared to a public town hall), context of collection (e.g., in a routine application for services as compared to a letter sent to several government ministers), etc. 情報が収集された状況に適用される、プライバシーに対する合理的な期待を検討する。プライバシーの合理的な期待を構成するものを決定するために、裁判所は状況の全体像に注目する。これには、収集の場所(例:公共の役所と比べた私的な会話)、収集の状況(例:複数の政府閣僚に送られた手紙と比べた、サービスのための日常的なアプリケーション)などが含まれる。
3) Probability and degree of injury 3) 危害・名誉毀損等の可能性と程度
Consider the probability and degree or gravity of injury relative to the benefits of the disclosure to the public. This could include personal or physical injury, or damage to the reputation of an individual or others, which causes adverse consequences (e.g., any harm or embarrassment that negatively affects an individual's career, reputation, financial position, safety, health or well-being). 公開による利益と比較して、危害・名誉毀損等が発生する可能性と程度または重大性を検討する。これには、個人的または身体的な傷害、あるいは個人または他者の評判への損害が含まれ、有害な結果を引き起こす(例えば、個人のキャリア、評判、財政的地位、安全、健康または幸福に悪影響を及ぼすあらゆる害や恥辱)可能性がある。
Determine the potential of injury if the receiving party wrongfully disclosed the information further. 受け手が不当にその情報をさらに開示した場合の危害・名誉毀損等の可能性を判断する。
Alternatives to disclosure under paragraph 8(2)(m) 第8条(2)(m)に基づく開示の代替手段
Whether in the context of an access request, open government or otherwise, institutions can often be open and transparent about their activities where there is a public interest in doing so without resorting to disclosing personal information pursuant to paragraph 8(2)(m). For example, institutions can provide the public with access to information on the application or outcomes of government policies in a format that does not include personal information, such as program evaluation reports. They can also release information that has been de-identified to the point that there is no longer a serious possibility that it can be used to identify an individual, either through that information alone or in combination with other available information. アクセス要求、オープンガバメント、その他のいずれの状況であっても、公共的利益がある場合、機関は第8条(2)(m)に従って個人情報を開示することなく、その活動をオープンで透明性のあるものにできることが多い。例えば、政府政策の適用や成果に関する情報へのアクセスを、プログラム評価報告書など、個人情報を含まない形で一般に提供することができる。また、その情報だけで、あるいは他の利用可能な情報と組み合わせて、個人を特定するために使用される深刻な可能性がもはやないところまで非識別化された情報を公開することができる。
If an institution finds that it is routinely relying on paragraph 8(2)(m) to disclose information under a similar set of circumstances, it should evaluate whether this paragraph is the most appropriate authority for disclosure. Given that disclosures pursuant to this paragraph require a case-by-case assessment as well as a notification to the Privacy Commissioner of Canada, institutions may find that there are options more amenable to conducting systemic disclosures. In these cases, institutions may find that they have established a program that may require a Privacy Impact Assessment (PIA); or may determine the need for an Information Sharing Agreement (ISA) to formalize an ongoing information sharing relationship. もし金融機関が、同様の状況下で日常的に第8条(2)(m)に依拠して情報を開示していることを発見した場合、このパラグラフが開示のための最も適切な権限であるかどうかを評価するべきである。この条文に基づく開示は、ケースバイケースの評価とカナダプライバシーコミッショナーへの届出が必要であることから、機関によっては、システム的な開示の実施にもっと適した選択肢があると考えるかもしれない。このような場合、教育機関は、プライバシー影響評価(PIA)を必要とする可能性のあるプログラムを確立していることに気づくかもしれませんし、継続的な情報共有関係を公式化するための情報共有契約(ISA)が必要であると判断されるかもしれない。
Notifying the Office of the Privacy Commissioner of Canada カナダ・プライバシーコミッショナー事務局への通知
Under subsection 8(5) of the Privacy Act, the head of an institution has a duty to notify the Privacy Commissioner of Canada in writing prior to the release of any records under the Act's public interest disclosure provision. If this is not possible, institutions must notify the Commissioner as soon as possible upon the disclosure. This subsection serves to ensure that institutions rely on paragraph 8(2)(m) in a reasonable manner. The Commissioner may express concerns with the proposed disclosure and may notify the individual whose information will be disclosed. プライバシー法の第8条(5) に基づき、教育機関の長は、同法の公益開示規定に基づく記録の公開に先立ち、カナダ・プライバシーコミッショナーに書面で通知する義務を負っている。これが不可能な場合、機関は開示後できるだけ早く委員に通知しなければならない。この小項目は、機関が合理的な方法で第8条(2)(m)に依拠することを保証するためのものである。コミッショナーは、提案された開示について懸念を表明し、情報が開示される個人に通知することができる。
The Commissioner has no authority to prevent the disclosure and it is ultimately the institution's decision as to whether to release the information. コミッショナーには開示を阻止する権限はなく、情報を開示するかどうかは、最終的には教育機関の判断に委ねられる。
Public interest disclosure notifications can be submitted to the OPC by email at scg-ga@priv.gc.ca. Please note that this address cannot accept encrypted emails. In the case that an institution needs to provide information at a Protected B level or higher, the institution should contact scg-ga@priv.gc.ca to arrange the transmission. 公益開示通知は、OPCに電子メールで提出することができる(scg-ga@priv.gc.ca)。このアドレスは暗号化された電子メールを受け付けないことに留意すること。保護Bレベル以上の情報を提供する必要がある場合、教育機関は scg-ga@priv.gc.ca に連絡し、送信の手配をする必要がある。
Alternatively, institutions may submit their notifications by mail to: また、以下の宛先に郵送することも可能である。
Privacy Commissioner of Canada カナダ・プライバシーコミッショナー
30 Victoria Street ビクトリア通り30番地
Gatineau, Quebec ガティノー、ケベック州
K1A 1H3 K1A 1H3
Upon receiving notification of a public interest disclosure, the OPC's Government Advisory Directorate conducts a review of the disclosure. During the review, institutions may be asked to provide additional information to assist in understanding the context of the disclosure. We may provide recommendations for institutions to consider when applying the provisions. As noted above, in some circumstances, where deemed appropriate, the Commissioner may notify the individual whose personal information has been or will be disclosed. 公益開示の通知を受けた OPC の政府諮問部門は、その開示内容を審査します。審査の過程で、開示の背景を理解するための追加情報の提供を求められることがある。また、この規定を適用する際に、機関が考慮すべき推奨事項を提示することもあります。上述の通り、状況によっては、適切と判断される場合、コミッショナーは、個人情報が開示された、または開示される予定の個人に通知することがある。
For more information 詳細については
The Government Advisory Directorate offers information sessions for federal public servants on public interest disclosures. To schedule a session or for any questions related to public interest disclosures, please contact the OPC's Government Advisory Directorate at scg-ga@priv.gc.ca. 政府諮問本部は、連邦政府の公務員のために、公益開示に関する説明会を開催している。説明会の予約や公益開示に関する質問は、OPCの政府諮問局(scg-ga@priv.gc.ca)まで連絡すること。

 

Canada


 

Privacy ActR.S.C., 1985, c. P-21

第7条、第8条(2)(m)まで、、、

Protection of Personal Information 個人情報の保護
Marginal note:Use of personal information 個人情報の利用
7 Personal information under the control of a government institution shall not, without the consent of the individual to whom it relates, be used by the institution except 7 政府機関の管理下にある個人情報は、当該機関が関連する個人の同意なしに、以下の場合を除き、利用されてはならない。
(a) for the purpose for which the information was obtained or compiled by the institution or for a use consistent with that purpose; or (a) 当該機関が取得又は編集した目的又は当該目的に合致する利用。
(b) for a purpose for which the information may be disclosed to the institution under subsection 8(2). (b) 第8項(2)に基づき当該機関が情報を開示することができる目的のため。
1980-81-82-83, c. 111, Sch. II “7” 1980-81-82-83, 111, Sch. II "7".
Marginal note:Disclosure of personal information 個人情報の開示
8 (1) Personal information under the control of a government institution shall not, without the consent of the individual to whom it relates, be disclosed by the institution except in accordance with this section. 8 (1) 政府機関の管理下にある個人情報は、その情報に関連する個人の同意がない限り、本節に従った場合を除き、政府機関によって開示されてはならない。
Marginal note:Where personal information may be disclosed 注:個人情報を開示することができる場合
(2) Subject to any other Act of Parliament, personal information under the control of a government institution may be disclosed (2) 国会の他の法律に従うことを条件として、政府機関の管理下にある個人情報は、開示することができる。
(a) for the purpose for which the information was obtained or compiled by the institution or for a use consistent with that purpose; (a) 当該機関が取得または編集した目的、またはその目的に合致した用途のため。
(b) for any purpose in accordance with any Act of Parliament or any regulation made thereunder that authorizes its disclosure; (b) 開示を許可する国会法またはその下で制定された規則に従う任意の目的のため。
(c) for the purpose of complying with a subpoena or warrant issued or order made by a court, person or body with jurisdiction to compel the production of information or for the purpose of complying with rules of court relating to the production of information; (c) 情報の提出を強制するために裁判所、管轄権を有する個人または団体が発行した召喚状、令状または命令に従うため、または情報の提出に関する裁判所の規則に従うため。
(d) to the Attorney General of Canada for use in legal proceedings involving the Crown in right of Canada or the Government of Canada; (d) カナダ司法長官が、カナダの王室またはカナダ政府が関与する法的手続で使用するため。
(e) to an investigative body specified in the regulations, on the written request of the body, for the purpose of enforcing any law of Canada or a province or carrying out a lawful investigation, if the request specifies the purpose and describes the information to be disclosed; (e) 規則で指定された調査機関に対し、カナダまたは州の法律を執行するため、または合法的な調査を行うために、書面による要請があり、その要請に目的が明記され、開示される情報が記述されている場合。
(f) under an agreement or arrangement between the Government of Canada or any of its institutions and the government of a province, the council of the Westbank First Nation, the council of a participating First Nation as defined in subsection 2(1) of the First Nations Jurisdiction over Education in British Columbia Act, the council of a participating First Nation as defined in section 2 of the Anishinabek Nation Education Agreement Act, the government of a foreign state, an international organization of states or an international organization established by the governments of states, or any institution of any such government or organization, for the purpose of administering or enforcing any law or carrying out a lawful investigation; (f) カナダ政府またはその機関と州政府との間の協定または取り決めに基づき、ウェストバンク先住民族の議会、ブリティッシュ・コロンビア州教育に対する先住民族の管轄法(2)(1)に定義される参加先住民族の議会。Anishinabek Nation Education Agreement Actの(2)に定義された参加先住民の議会、外国政府、国家の国際組織、国家の政府によって設立された国際組織、またはその政府または組織の機関が、法律の管理または執行、合法的な調査の実施を目的として、参加するため。
(g) to a member of Parliament for the purpose of assisting the individual to whom the information relates in resolving a problem; (g) 情報の対象である個人の問題解決を支援する目的で、国会議員に提供する場合。
(h) to officers or employees of the institution for internal audit purposes, or to the office of the Comptroller General or any other person or body specified in the regulations for audit purposes; (h) 内部監査の目的で機関の役員または職員に、または監査の目的で会計検査院または規則で指定されたその他の個人または団体に提供される場合。
(i) to the Library and Archives of Canada for archival purposes; (i)カナダ図書館・公文書館によるアーカイブ目的のため。
(j) to any person or body for research or statistical purposes if the head of the government institution (j) 研究または統計目的のために、政府機関の長が以下の場合に個人または団体に提供する場合。
(i) is satisfied that the purpose for which the information is disclosed cannot reasonably be accomplished unless the information is provided in a form that would identify the individual to whom it relates, and (i) 情報が関連する個人を特定する形式で提供されなければ、その情報が開示される目的が合理的に達成されないと確信し、かつ、(ii)その個人から、その情報が開示される目的のために必要な情報を入手する場合。
(ii) obtains from the person or body a written undertaking that no subsequent disclosure of the information will be made in a form that could reasonably be expected to identify the individual to whom it relates; (ii) 当該個人又は団体から、当該情報が関連する個人を特定することが合理的に予想される形態で、当該情報のその後の開示を行わない旨の書面による約束を得る場合。
(k) to any aboriginal government, association of aboriginal people, Indian band, government institution or part thereof, or to any person acting on behalf of such government, association, band, institution or part thereof, for the purpose of researching or validating the claims, disputes or grievances of any of the aboriginal peoples of Canada; (k) カナダの原住民の主張、紛争、または苦情を調査または検証する目的で、原住民の政府、原住民の協会、インディアンバンド、政府機関またはその一部、あるいは当該政府、協会、バンド、機関またはその一部を代理する者に対し、提供する場合。
(l) to any government institution for the purpose of locating an individual in order to collect a debt owing to Her Majesty in right of Canada by that individual or make a payment owing to that individual by Her Majesty in right of Canada; and (l) 個人のカナダ国王陛下に対する債務を回収するため、または個人のカナダ国王陛下に対する債務を履行するために、個人を特定する目的で、政府機関へ。
(m) for any purpose where, in the opinion of the head of the institution, (m) 機関の長の見解において、以下の目的のため。
(i) the public interest in disclosure clearly outweighs any invasion of privacy that could result from the disclosure, or (i) 開示の公益性が、開示によって生じ得るプライバシーの侵害を明らかに上回るか、または
(ii) disclosure would clearly benefit the individual to whom the informa (ii) 開示が、その情報の対象となる個人にとって明らかに有益である場合。

 

 

 

| | Comments (0)

2022.04.23

オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年

こんにちは、丸山満彦です。

オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年についての報告が公開されています。。。

政府のアカウントアビリティに関することは、英国連邦系(英国、カナダ、オーストラリア)と米国は進んでいるように感じています。こちらもファイブアイズの国に重なりますね。。。

● Australian National Audit Office: ANAO

・2022.04.21 Audits of the Annual Performance Statements of Australian Government Entities — Pilot Program 2020–21

 

Audits of the Annual Performance Statements of Australian Government Entities — Pilot Program 2020–21< オーストラリア政府機関の年次パフォーマンス報告書の監査-パイロット・プログラム2020-21年
This report reflects on the outcome of the ANAO’s annual performance statements audit pilot program and the ANAO’s preparation for the staged implementation of an annual performance statements assurance audit program. Following a request from the Minister for Finance in August 2019, the Australian National Audit Office (ANAO) commenced a pilot program of performance statements audits. 本報告書は、ANAOの年次パフォーマンス報告書監査パイロットプログラムの成果と、年次パフォーマンス報告書保証監査プログラムの段階的実施に向けたANAOの準備について考察するものである。 2019年8月の財務大臣からの要請を受け、オーストラリア国家監査局(ANAO)は、パフォーマンス報告書監査のパイロット・プログラムを開始した。
Executive summary エグゼクティブサマリー
1. The Public Governance Performance and Accountability Act 2013 (PGPA Act) places explicit obligations on accountable authorities for the quality and reliability of performance information and requires Australian Government entities to report their performance to Parliament in a way that meaningfully reflects their organisation’s purpose and achievements. This is an important aspect of the Australian Government’s public accountability system, enabling the Parliament and the public to assess whether Australian Government entities deliver value for money and achieve the outcomes for which they are funded. 1. 2013年公共ガバナンス・パフォーマンス・アカウンタビリティ法(PGPA法)は、アカウンタビリティを負う当局にパフォーマンス情報の質と信頼性に関する明確な義務を課し、オーストラリア政府機関に対して、組織の目的と成果を有意義に反映する形で議会にパフォーマンスを報告することを求めている。これは、オーストラリア政府の公的アカウンタビリティ制度の重要な側面であり、議会と国民は、オーストラリア政府機関が金額に見合う価値を提供し、資金提供を受けている成果を達成しているかどうかを評価できるようにするものである。
2. Recognising that public value is not only concerned with financial performance, the PGPA Act requires Australian Government entities to prepare annual performance statements. Australian Government entities have prepared annual performance statements and included those statements in their annual reports, with effect from the 2015–2016 reporting period. 2. 公共の価値は財務パフォーマンスだけにあるのではないとの認識から、オーストラリア政府機関は年次のパフォーマンス報告書を作成するよう、PGPA法は求めている。オーストラリア政府機関は、2015-2016年の報告期間から、年次パフォーマンス報告書を作成し、その内容を年次報告書に記載している。
3. The PGPA Act also makes provision for annual performance statements to be examined by the Auditor-General. Following a request from the Minister for Finance in August 2019, the Australian National Audit Office (ANAO) commenced a pilot program of performance statements audits. During the pilot program there was improvement in the standard of performance statements preparation and reporting for each of the audited entities1, demonstrating that mandated audits of performance statements can drive more transparent and meaningful performance reporting to Parliament. 3. PGPA法はまた、年次パフォーマンス報告書が監査総長によって調査されることを規定している。2019年8月に財務大臣からの要請を受け、オーストラリア国家監査院(ANAO)はパフォーマンス報告書監査のパイロット・プログラムを開始した。パイロットプログラム期間中、被監査団体のそれぞれについて、パフォーマンス報告書の作成と報告の水準に改善が見られ1、パフォーマンス報告書の監査の義務化が、議会に対してより透明で有意義なパフォーマンス報告を推進できることが示された。
4. Notwithstanding the progress made by entities during the pilot program, entities’ performance reporting functions and supporting systems will need to mature if they are to play a more proactive role in strategic planning and quality assurance. In addition, the ANAO will need to increase awareness within the sector of its methodology for conducting performance statements audits and continue to refine the methodology to enable the Auditor-General to provide the auditee with clear, concise and timely findings. 4. パイロット・プログラム期間中の各機関の進捗にもかかわらず、戦略立案と品質保証においてより積極的な役割を果たすためには、各機関のパフォーマンス報告機能と支援システムの成熟が必要である。さらに、ANAO は、パフォーマンス報告書監査の実施方法について、セクター内の認識を高め、監査総長が明確、簡潔かつタイムリーな調査結果を受審者に提供できるよう、その方法を継続して改善する必要がある。
5. The ANAO was provided additional funding in the 2021–22 Budget to support the staged roll-out of annual performance statements audits, from six audits in 2021–22 increasing to 19 audits in 2024–25 (comprising the material entities by income and expenditure). Implementation of mandatory auditing of entities’ annual performance statements would give the Parliament the same level of assurance over the quality and reliability of non-financial performance information that it currently receives for financial information presented in financial statements. 5. ANAO は、2021-22 年度予算において、年次パフォーマンス報告書監査を段階的に展開するための追加資金を提供され、2021-22 年度の 6 監査から 2024-25 年度には 19 監査(収入と支出による重要な事業体で構成)に増加することとなった。企業の年次パフォーマンス報告書の監査が義務化されれば、国会は、財務諸表に表示される財務情報に対して現在受けているのと同じレベルの、非財務パフォーマンス情報の品質と信頼性を保証することができる。
6. The Joint Committee of Public Accounts and Audit (JCPAA) has played an active and important role in the implementation of the PGPA Act through the Public Management Reform Agenda (PMRA). The JCPAA has recommended amending the PGPA Act to enable mandatory audits of annual performance statements by the Auditor-General to encourage the provision of high-quality performance information to support parliamentary accountability of entity performance2 and amending the Auditor-General Act 1997 so that audits of annual performance statements are able to be initiated without the need for approval or direction from the committee or Finance Minister.3 6. 会計監査合同委員会(JCPAA)は、公共経営改革アジェンダ(PMRA)を通じて、PGPA法の実施において積極的かつ重要な役割を担ってきた。JCPAA は、監査総長による年次パフォーマンス報告書の監査を義務化し、質の高いパフォーマンス情報の提供を促して、議会による企業パフォーマンスへのアカウンタビリティをサポートすること2 と、委員会や財務大臣による承認や指示を必要とせずに年次パフォーマンス報告書の監査を開始できるよう1997年監査総長法を改正することを提言した3。
7. This report reflects on the outcome of the ANAO’s annual performance statements audit pilot program and the ANAO’s preparation for the staged implementation of an annual performance statements assurance audit program. 7. 本報告書は、ANAO の年次パフォーマンス報告書監査パイロット・プログラムの結果と、年次パフォーマンス報告書保証監査プ ログラムの段階的実施に向けた ANAO の準備について考察したものである。
Performance reporting in the Australian Government オーストラリア政府におけるパフォーマンス報告
Developments in the Commonwealth Performance Framework 連邦政府のパフォーマンス・フレームワークの発展
8. The requirement for Australian Government entities to prepare annual performance statements under the PGPA Act took effect from 1 July 2015 with entities preparing and reporting annual performance statements for the first time in the 2015–16 reporting period. 8. オーストラリア政府機関に対するPGPA法に基づく年次パフォーマンス報告書の作成義務は、2015年7月1日から施行され、2015-16年の報告期間において初めて年次パフォーマンス報告書を作成・報告することとなった。
9. In August 2019, the Minister for Finance wrote to the Auditor-General requesting the conduct of a program of pilot assurance audits of annual performance statements of Australian Government entities subject to the PGPA Act in consultation with the JCPAA. 9. 2019年8月、財務大臣は監査総長に対し、日本公認会計士協会と協議の上、PGPA法の対象となるオーストラリア政府機関の年次パフォーマンス報告書に対する保証監査プログラムを試験的に実施することを要請する文書を提出した。
10. The Auditor-General agreedto the Finance Minister’s request and in 2020 commenced a pilot performance statements audit program of 2019–20 performance statements of the Department of Social Services (DSS), the Attorney-General’s Department (AGD) and the Department of Veterans’ Affairs (DVA). The same three entities’ 2020–21 annual performance statements were audited in 2021. 10. 監査総長は財務大臣の要請に同意し、2020年に社会福祉省(DSS)、法務大臣庁(AGD)、退役軍人省(DVA)の2019-20年度実績報告書に対する試験的な実績報告書監査プログラムを開始した。2021 年には、同 3 団体の 2020-21 年度年次実績報告書の監査を実施した。
11. The performance statements pilot program has demonstrated that accessible and understandable audit conclusions can be issued that clearly set out to the user the extent to which the performance statements can be relied upon to assess the performance of the entity. It has also demonstrated that the issuing of timely audit conclusions has been challenging. Ideally audit conclusions on an entity’s performance statements and financial statements would be issued in time to enable both to be included in the entity’s annual report. The framework does not currently require the audited entity to include the performance statements audit conclusion in its annual report. 11. パフォーマンス報告書パイロットプログラムは、パフォーマンス報告書が企業のパフォーマンスを評価するためにどの程度まで信頼できるかを利用者に明確に示す、アクセス可能で理解しやすい監査結論を出すことができることを実証している。また、適時に監査結論書を発行することが困難であることも実証されました。理想的には、企業のパフォーマンス報告書と財務諸表に関する監査結論は、両者が企業の年次報告書に含まれるように時間的に間に合うように発行されることである。この枠組みは、現在、被監査企業に対して、パフォーマンス報告書の監査結論を年次報告書に含めることを要求していない。
12. The ANAO is conducting six performance statements audits in 2021–2022, which will increase to 19 audits by 2024–25. 12. ANAOは、2021-2022年に6件のパフォーマンス報告書監査を実施し、2024-25年には19件に増加する予定である。
The benefits of high quality performance statements for the Parliament and the sector 質の高いパフォーマンス報告書が国会とセクターにもたらすメリット
High quality performance information 質の高いパフォーマンス情報
13. High quality annual performance statements will deliver on the Parliament’s key objective in establishing the performance framework requirements in the PGPA Act to improve the quality and reliability of performance information in the Australian public sector. High quality annual performance statements that comply with the framework will support the Parliament’s accountability and scrutiny function through the legislative process and parliamentary committees. 13. 質の高い年次パフォーマンス報告書は、オーストラリアの公共部門におけるパフォーマンス情報の質と信頼性を向上させるという、PGPA 法におけるパフォーマンスフレームワークの要件を確立した際の国会の主要な目的を実現するものである。枠組みを遵守した質の高い年次パフォーマンス報告書は、立法過程や議会の委員会を通じて、議会のアカウンタビリティと監視機能を支えることになる。
14. High quality performance statements enable entities to show the Parliament and the public whether policies and programs are delivering the results intended with the resources provided. The information that supports high quality performance statements will also provide a valuable evidence base for entities to justify new policy proposals and evaluate existing policy and program settings. 14. 高品質のパフォーマンス報告書により、事業体は、政策やプログラムが提供された資源で意図した結果を出しているかどうかを議会や国民に示すことができる。また、質の高いパフォーマンス報告書を支える情報は、事業体が新たな政策提案を正当化し、既存の政策やプログラムの設定を評価するための貴重な証拠となる。
15. The ANAO’s performance statements audits are designed to align with the Parliament’s expectations as established in the PGPA Act and the PGPA Rule (see Appendix 1). They provide assurance to the Parliament and also facilitate high quality performance reporting across the sector. Auditing contributes to the quality of preparation and presentation by entities and provides independent assurance to the Parliament that the performance statements can be relied upon. 15. ANAO のパフォーマンス報告書監査は、PGPA 法および PGPA 規則(付録 1 参照)に定められ た国会の期待に沿うよう設計されている。監査は、国会に保証を提供し、また、セクター全体における質の高いパフォーマンス報告を促進する。監査は、事業体による準備とプレゼンテーションの質に貢献し、パフォーマンス報告書が信頼できるものであるという独立した保証を国会に提供するものである。
Findings and recommendations from the Pilot Program パイロット・プログラムから得られた知見と提言
Audit themes 監査テーマ
16. Five themes emerged from findings through the audit process in 2020–21, representing opportunities for improvement and areas of focus for entities. 16. 2020-21年度の監査プロセスを通じて得られた知見から、5つのテーマが浮かび上がり、各団体の改善の機会や重点分野を示している。
17. For composite measures — a performance measure with several targets — the entity’s corporate plan needs to clearly set out how the results from each target will be weighted and the proportion of targets that must be met for the measure to be considered achieved. 17. 複合指標(複数の目標を持つパフォーマンス指標)については、各目標の結果の重み付けと、達成とみなされるために満たすべき目標の割合を、事業体の経営計画で明確に規定する必要がある。
18. Measures based on case studies and surveys need to be supported by a clear methodology that explains the basis for selecting case studies and identifies how surveys will be conducted. Entities need to pay particular attention where there is a heightened risk of bias in measuring and assessing performance. 18. ケーススタディや調査に基づく施策は、ケーススタディの選定根拠を説明し、どのように調査を行うかを明らかにする明確な方法論によってサポートされる必要がある。事業者は、パフォーマンスの測定や評価において、バイアスのリスクが高まる場合には、特に注意を払う必要がある。
19. A measure that is inwardly focused on what the entity does to enable an output to be produced will generally be assessed as an ‘input’ or an ‘activity’ — not an output. If the measure is assessed as an input or an activity, it would not normally meet the intent of the PGPA Rule. 19. あるアウトプットを生み出すために企業が行うことに内向きな測定は、一般に「インプット」または「活動」 として評価され、アウトプットではない。インプットまたはアクティビティとして評価される測定は、通常、PGPAルールの意図に合致しない。
20. Entities need to ensure there are appropriate disclosures in the performance statements regarding key information, known limitations with source data and the methodology for measuring results. 20. 事業者は、パフォーマンス報告書の中で、主要な情報、ソースデータに関する既知の限界、および結果の測定方法について、適切な開示があることを確認する必要がある。
21. Entities need to ensure that processes are in place to keep records and provide their own assurance over the systems and sources that inform their performance results. 21. 事業者は、記録を保存し、パフォーマンス結果を通知するシステムと情報源について、自ら保証を行うためのプロセスを確保する必要がある。
Audit conclusions and findings 監査の結論と所見
22. On 7 April 2022, the Minister for Finance tabled the Auditor-General’s Independent assurance reports on AGD’s, DVA’s and DSS’ 2020–21 annual performance statements.4 22. 2022年4月7日、財務大臣は、AGD、DVA、DSSの2020-21年の年次パフォーマンス報告書に関する監査総長の独立保証報告書を上程した4。
23. Across the three 2020–21 performance statements audits, entities’ annual performance statements were largely compliant with the requirements of the performance framework and fairly presented the performance of the entity. There were some exceptions where specific measures did not meet those requirements. The ANAO made significant findings and reported exceptions as qualifications to our audit conclusion for 14.9 per cent of the three entities’ performance measures. 23. 3つの2020-21年度パフォーマンス報告書の監査を通じて、事業体の年次パフォーマンス報告書は、パフォーマンスフレームワークの要件にほぼ適合しており、事業体のパフォーマンスを公正に示していた。例外として、特定の指標がその要件を満たしていない場合があった。ANAOは、3団体のパフォーマンス指標の14.9%について、重要な発見をし、我々の監査結論に対する除外事項として例外を報告した。
Lessons learned and future opportunities 学んだ教訓と将来の機会
Progress and areas to improve 進捗状況と改善すべき点
24. Overall, engagement with entities in this new audit function has been positive. Entities have demonstrated their willingness to improve the quality of the annual performance statements they present to Parliament. An emerging better practice is the development of performance measure profiles and preparation manuals. These documents are designed to underpin the performance measures included in the entity’s annual performance statements and the process of preparation of the performance statements. 24. 全体として、この新しい監査機能における事業体との関わりはポジティブなものであった。事業体は、国会に提出する年次パフォーマンス報告書の質を向上させる意欲を示している。より良い慣行として、パフォーマンス評価指標のプロファイルと作成マニュアルの作成が始まっている。これらの文書は、事業体の年次パフォーマンス報告書に含まれるパフォーマンス指標と、パフォーマンス報告書の作成プロセスを支援するために作成されたものである。
25. Entities’ performance reporting functions and supporting systems will need to mature and play a more proactive role in strategic planning and quality assurance. This should include: 25. 事業体のパフォーマンス報告機能と支援システムは成熟し、戦略立案と品質保証においてより積極的な役割を果たす必要がある。これには以下が含まれる。
・ensuring performance measures meet the requirements of the PGPA Rule; ・パフォーマンス指標が PGPA ルールの要求事項を満たしていること。
・having processes to gain assurance over the reliability and verifiability of the data source and methodology, and the completeness and accuracy of results; ・データソースと方法論の信頼性と検証可能性、および結果の完全性と正確性について保証を得るための プロセスを有すること。
・keeping records to demonstrate why and how internal assurance processes are undertaken; and ・内部保証プロセスを実施する理由と方法を実証するための記録を保持すること。
・constructing efficiency measures for outputs or results, which could involve linking money spent and resources applied to the results achieved. ・アウトプットまたは結果について、効率性の尺度を構築すること(支出した資金や適用した資源を達成した結果と関連付けることを含む)。
26. Consistent with their role for financial statements, audit committees have an important role to play in supporting entities to improve the quality of their performance statements. 26. 財務諸表に関する役割と同様に、監査委員会は、企業がパフォーマンス報告書の質を向上させることを支援する上で、重要な役割を担っている。
27. The 2020–21 audits showed that the ANAO needs to increase awareness within the sector of its methodology for conducting performance statements audits. The current shortfall in awareness may reflect the absence of a dedicated performance information function within entities, similar to the Chief Financial Officer (CFO) function which includes preparation of annual financial statements. Likewise, the absence of a network of performance reporting professionals to build capability and confidence could be addressed as the audit program grows. 27. 2020-21年の監査では、ANAOは、パフォーマンス報告書監査の実施方法について、セクター内の 認識を高める必要があることが示された。現在の認識不足は、年次財務諸表の作成を含む最高財務責任者(CFO)機能と同様に、事業体内のパフォーマンス情報専門機能の不在を反映していると思われる。同様に、能力と信頼を築くためのパフォーマンス報告専門家のネットワークが存在しないことも、監査プログラムの成長に伴って対処できる可能性がある。
28. The Department of Finance and the ANAO have discussed the establishment of a performance statements ‘Community of Practice’ to drive improvement in the effectiveness and the efficacy of the process and improve the profile and professionalism of the performance reporting function within the sector. 28. 財務局と ANAO は、パフォーマンス報告プロセスの有効性と効果を改善し、セクター内のパフォーマンス報告機能のプロファイルと専門性を向上させるために、パフォーマンス報告「実践のコミュニティ」の設立について議論している。
29. Performance statements audits will have a timeline consistent with financial statements audits such that audit conclusions can be tabled in the entity’s annual report by the end of October each year. Achieving this timeframe will require improvements in planning, systems and processes for both the ANAO and entities. 29. パフォーマンス報告書監査は、監査結論が毎年10月末までに事業体の年次報告書に記載されるよう、財務諸表監査と一致したタイムラインを持つことになる。この時間枠を達成するためには、ANAOと事業体の双方において、計画、システム、プロセスの改善が必要である。
30. This report recognises the progress that has been made during the performance statements pilot and the likely benefits for the Parliament and the sector as the audit program matures. Nonetheless, the staged roll-out of performance statements auditing will be challenging for the public sector. The disciplines applied to ensure informative and accurate financial reporting, which have been developed over many decades, are largely absent from performance reporting. 30. 本報告書は、パフォーマンス報告書試行期間中の進捗と、監査プログラムの成熟に伴い、議会とセクターが受けるであろう利益を認識している。しかし、パフォーマンス報告書監査の段階的な展開は、公共部門にとって困難なものである。何十年にもわたって培われてきた、有益で正確な財務報告を確保するための規律は、パフォーマンス報告にはほとんど存在しない。
31. The ANAO will provide the Parliament with regular updates on the progress of the performance statements audit program. The Finance Minister has noted that a JCPAA inquiry to review the audit methods and outcomes each year during the roll-out of the performance statements pilot program would inform incremental improvements in the program and practice and inform the design of legislation going forward.5 31. ANAOは、パフォーマンス報告書監査プログラムの進捗状況について、国会に定期的に報告する予定である。財務大臣は、パフォーマンス報告書のパイロット・プログラムが展開されている間、毎年監査方法と結果を見直すJCPAAの調査が、プログラムと実務の段階的な改善につながり、今後の法律設計に情報を提供することになると指摘している5。
Footnote 脚注
1 The Department of Social Services, the Attorney-General’s Department and the Department of Veterans’ Affairs participated in the performance statements pilot. 1 社会福祉省、検事総長省、退役軍人省がパフォーマンス・ステートメント試行に参加した。
2 Joint Committee of Public Accounts and Audit, Report 469: Commonwealth Performance Framework – Inquiry Based on Auditor-General’s Reports 31 (2015–16), and 6 and 58 (2016–17), December 2017, p. 49. 2 公会計監査合同委員会、報告書 469。Commonwealth Performance Framework - Inquiry Based on Auditor-General's Report 31 (2015-16), and 6 and 58 (2016-17), December 2017, p.49.。
3 Joint Committee of Public Accounts and Audit, Report 491: Review of the Auditor-General Act 1997, March 2022, p. 25, [pdf] [accessed 7 April 2022]. 3 会計検査院合同委員会、報告書491:1997年監査総監法の見直し、2022年3月、25頁、[pdf]
[accessed 7 April 2022].
4 Department of Finance, Publications, Reports, available from [web]  [accessed 8 April 2022]. 4 財務省、出版物、報告書、[web] [accessed April 8 2022]から入手可能。
5 Australian National Audit Office, Performance Statements Audit Pilot Program: Correspondence from Senator the Hon Simon Birmingham [Internet], available from [pdf] [accessed 27 January 2022]. 5 オーストラリア国家監査院、パフォーマンス・ステートメント・オーディット・パイロット・プログラム。Crespondence from Senator the Hon Simon Birmingham [Internet], available from [pdf] [accessed January 27 2022].

 

1519856744202

| | Comments (0)

米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...

こんにちは、丸山満彦です。

個人情報保護委員会、経済産業省のグローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言についてブログに記録しましたが、米国 フィリピン シンガポール 台湾でも発表されていますね。。。他にはカナダ、韓国もこの枠組みに入ります。。。


U.S. Department of Commerce

・2022.04.21 Statement by Commerce Secretary Raimondo on Establishment of the Global Cross-Border Privacy Rules (CBPR) Forum

 

Statement by Commerce Secretary Raimondo on Establishment of the Global Cross-Border Privacy Rules (CBPR) Forum グローバル越境プライバシールール(CBPR)フォーラムの設立に関するライモンド商務長官の声明
Secretary Gina M. Raimondo has issued the following statement regarding the announcement today by Canada, Japan, the Republic of Korea, the Philippines, Singapore, Chinese Taipei, and the United States of America, on the establishment of the Global CBPR Forum: ジーナ・M・ライモンド長官は、本日、カナダ、日本、韓国、フィリピン、シンガポール、台湾、米国が、グローバルCBPRフォーラムの設立を発表したことについて、以下の声明を発表しました。
“The establishment of the Global CBPR Forum reflects the beginning of a new era of multilateral cooperation in promoting trusted global data flows that are critically important to our modern economy. The Global CBPR Forum intends to establish the Global Cross Border Privacy Rules (CBPR) and Privacy Recognition for Processors (PRP) Systems, first-of-their-kind data privacy certifications that help companies demonstrate compliance with internationally recognized data privacy standards. At the same time, the new Forum will facilitate trade and international data flows and promote global cooperation, building on our shared data privacy values while recognizing the differences in our domestic approaches to protecting data privacy. With this unique approach founded on creating practical compliance tools and based on cooperation, we can make the digital economy work for consumers and businesses of all sizes alike.” 「グローバルCBPRフォーラムの設立は、現代経済にとって極めて重要な、信頼できるグローバルなデータの流れを促進するための多国間協力の新時代の幕開けを反映するものです。グローバルCBPRフォーラムは、企業が国際的に認知されたデータプライバシー基準に準拠していることを証明するための初のデータプライバシー認証であるグローバル越境プライバシールール  (CBPR) とプロセッサーのためのプライバシー認識  (PRP) システムを設立する予定である。同時に、新フォーラムは貿易と国際的なデータの流れを促進し、データプライバシー保護に対する国内のアプローチの違いを認識しながら、共通のデータプライバシー価値を構築し、国際協力を推進します。実用的なコンプライアンスツールを作成し、協力に基づくこの独自のアプローチにより、我々は消費者とあらゆる規模の企業にとって同様にデジタル経済を機能させることができます。」
Global Cross-Border Privacy Rules Declaration グローバル越境プライバシールール宣言
・[PDF] Global Cross-Border Privacy Rules Declaration FAQ グローバル越境プライバシールール宣言FAQ

 

宣言自体はこちら。。。

Global Cross-Border Privacy Rules Declaration

仮訳は経済産業省のウェブページから...

[PDF] Global CBPR Declaration(仮訳)

FAQ

・[PDF]  Global Cross-Border Privacy Rules Declaration FAQ

FAQs   よくある質問  
How is the Global CBPR Forum related to the Asia-Pacific Economic Cooperation (APEC) CBPR and Privacy Recognition for Processors (PRP) Systems?  グローバルCBPRフォーラムは、アジア太平洋経済協力会議(APEC)のCBPRおよびプロセッサのためのプライバシー承認(PRP)制度とどのように関係しているのですか?
The Global CBPR Forum intends to establish an international certification system based on the APEC CBPR and PRP Systems, but the system will be independently administered and separate from the APEC Systems.  The founding members of the Global CBPR Forum will consult with Accountability Agents and certified companies in the APEC Systems to formally transition operations from APEC to the Global CBPR Forum and will provide at least 30 days’ notice to Accountability Agents.   グローバルCBPRフォーラムは、APEC CBPRおよびPRP制度に基づく国際認証制度を構築することを意図していますが、この制度はAPEC制度とは別に独立して運営される予定です。 グローバルCBPRフォーラムの設立メンバーは、APECからグローバルCBPRフォーラムに正式に事業を移行するために、アカウンタビリティ機関およびAPECシステムの認証企業と協議し、少なくとも30日前にアカウンタビリティ機関に通知する予定です。 
What if my business is currently certified or is interested in becoming certified in the APEC CBPR or the PRP Systems?   私のビジネスが現在APEC CBPRまたはPRPシステムで認証を受けている、あるいは認証取得に関心がある場合はどうすればよいですか? 
APEC CBPR and PRP certifications will continue to be provided through APEC-approved Accountability Agents until further notice.  The founding members of the Global CBPR Forum that are currently participants in the APEC CBPR System plan to transition operations of the CBPR and PRP Systems from APEC to the Global CBPR Forum and will provide at least 30 days’ notice to Accountability Agents.  All approved Accountability Agents and certified companies will automatically be recognized in the new Global CBPR Forum based on the same terms that they are recognized within the APEC CBPR and PRP Systems.  Please contact your Accountability Agent for more information on the transition to the Global CBPR Forum.   APEC CBPRやPRPの認証は、追って通知があるまで、APECが承認したアカウンタビリティ機関を通じて提供されつづけます。 現在 APEC CBPR システムに参加しているグローバル CBPR フォーラムの創設メンバーは、CBPR および PRP システムの運営を APEC からグローバル CBPR フォーラムに移行することを計画しており、少なくとも 30 日前に アカウンタビリティ機関に通知する予定です。 承認されたすべてのアカウンタビリティ・エージェントと認証企業は、APEC CBPRおよびPRPシステム内で認められているのと同じ条件に基づいて、新しいグローバルCBPRフォーラムで自動的に認められることになる。 グローバルCBPRフォーラムへの移行に関する詳細については、アカウンタビリティ機関に問い合わせください。
How can I participate in the Global CBPR Forum?  グローバルCBPRフォーラムに参加するにはどうしたらよいですか?
The Global CBPR Forum members welcome consultations with jurisdictions that accept the objectives and principles of the Global CBPR Forum to identify alignment with CBPR System requirements.    グローバルCBPRフォーラムのメンバーは、グローバルCBPRフォーラムの目的と原則を受け入れ、CBPRシステムの要件との整合性を確認するために、国・地域との協議を歓迎します。  

 

Fig_20220420035501

 


フィリピンのデータ保護機関

National Privacy Commission

・2022.04.21 Global Cross-Border Privacy Rules (CBPR) Declaration

 

シンガポール

Infocomm Media Development Authority: IMDA

・2021.04.21 Singapore Welcomes Establishment Of The Global Cross-Border Privacy Rules (CBPR) Forum

 

台湾

國家發展委員會

・2022.04.21 我國以創始會員身分加入新設立之「全球跨境隱私規則論壇」


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.22 個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

 

| | Comments (0)

2022.04.22

個人情報保護委員会 経済産業省 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言

こんにちは、丸山満彦です。

個人情報保護委員会と経済産業省が、グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言をすることに合意しましたね。。。

英語の宣言書は、A4ではなく、レターサイズですね。。。

 

個人情報保護委員会

・2022.04.21 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言文の公表

・[PDF] グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言文の公表

20220422-61820

 

● 経済産業省

・2022.04.21 グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言をすることに合意しました

 


1.CBPRの拡大

Cross Border Privacy Rules(越境プライバシールール。以下、「CBPR」という。)システムは、企業等の越境個人データの保護に関して、プライバシー原則への適合性を認証するシステムです。
これまでAPECの取り組みとしてCBPRを実施して参りましたが、安全性が確保された個人データの越境移転については、第三者機関による企業認証に対するニーズが増しており、APECの枠にとらわれない、独立した新フォーラム(仮称:Global CBPR)として立ち上げを宣言することに合意しました。

2.新しいフォーラムの展望

新しいフォーラムの参加エコノミーは、まずは、現在のCBPR参加エコノミーですが、今後APEC加盟国以外にも広く開かれたものにしていく予定です。
この新しいフォーラムは、効果的なデータプライバシーの保護、各国におけるデータ保護関連の規律の相互運用性の促進を目指しています。
我が国はデータの国際流通のための枠組み作りを目指して様々な取組をしておりますが、その具体化に向けては「企業認証」の効果的な活用が期待されるところ、今般のGlobal CBPRが、そのような企業認証の1つとして、欧州も含めた幅広い国や地域で実効あるツールとして利用されるものとなるよう、目指します。 
なお、新しいフォーラムの具体的な設計、移行のための手続等については後日決定していく予定です。


 

関連資料

・[PDF] Global CBPR Declaration

20220422-62306

 

・[PDF] Global CBPR Declaration(仮訳)

 

 

2022.04.24 追記

CBPR認証を行なっているJIPDECでも、公表していますね。。。

JIPDEC

グローバル越境プライバシールール(CBPR)フォーラム設立に向けた宣言文公表について

 


2022.04.23 追記

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.23 米国 フィリピン シンガポール 台湾 グローバル越境プライバシールール(CBPR)フォーラム設立関連...

 

 

| | Comments (0)

米国 CISAがオーストラリアACSC、カナダCCCS、ニュージーランドNZ NCSC、英国NCSC-UKと協力して重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威についての警告を公表していますね。。。

こんにちは、丸山満彦です。

米国のCISA、オーストラリアのACSC、カナダのCCCS、ニュージーランドのNZ NCSC、英国のNCSC-UKが重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威についての警告を公表していますね。。。

CISA

・2022.04.20 Alert (AA22-110A) Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure

 

Alert (AA22-110A) Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure Alert (AA22-110A) 重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威
Summary 概要
Actions critical infrastructure organizations should implement to immediately protect against Russian state-sponsored and criminal cyber threats: 重要インフラ組織が、ロシアの国家支援および犯罪的なサイバー脅威から直ちに保護するために実施すべきアクション
• Patch all systems. Prioritize patching known exploited vulnerabilities. ・すべてのシステムにパッチを適用する。既知の脆弱性に対して優先的にパッチを適用する
• Enforce multifactor authentication. ・多要素認証を導入する
• Secure and monitor Remote Desktop Protocol and other risky services. ・リモートデスクトッププロトコルやその他の危険なサービスを保護・監視する
• Provide end-user awareness and training. ・エンドユーザーの意識向上とトレーニングを実施する
The cybersecurity authorities of the United States[1][2][3], Australia[4], Canada[5], New Zealand[6], and the United Kingdom[7][8] are releasing this joint Cybersecurity Advisory (CSA). The intent of this joint CSA is to warn organizations that Russia’s invasion of Ukraine could expose organizations both within and beyond the region to increased malicious cyber activity. This activity may occur as a response to the unprecedented economic costs imposed on Russia as well as materiel support provided by the United States and U.S. allies and partners. 米国[1][2][3]、オーストラリア[4]、カナダ[5]、ニュージーランド[6]、英国[7][8]のサイバーセキュリティ当局は、この共同サイバーセキュリティアドバイザリ(CSA)を発表します。本共同CSAの目的は、ロシアのウクライナ侵攻により、地域内外の組織が悪意のあるサイバー活動の増加にさらされる可能性があることを組織に警告することです。この活動は、ロシアに課された前例のない経済的コストと、米国および米国の同盟国やパートナーから提供された物資支援に対する反応として発生する可能性があります。
Evolving intelligence indicates that the Russian government is exploring options for potential cyberattacks (see the March 21, 2022, Statement by U.S. President Biden for more information). Recent Russian state-sponsored cyber operations have included distributed denial-of-service (DDoS) attacks, and older operations have included deployment of destructive malware against Ukrainian government and critical infrastructure organizations.  更新されてきている情報によると、ロシア政府が潜在的なサイバー攻撃のオプションを模索しているように見受けられます(詳細については、2022年3月21日のバイデン米国大統領による声明を参照)。最近のロシアの国家主導のサイバー作戦には、分散型サービス妨害(DDoS)攻撃などがあり、古い作戦では、ウクライナ政府や重要インフラ組織に対する破壊的なマルウェアの配備などがあります。
Additionally, some cybercrime groups have recently publicly pledged support for the Russian government. These Russian-aligned cybercrime groups have threatened to conduct cyber operations in retaliation for perceived cyber offensives against the Russian government or the Russian people. Some groups have also threatened to conduct cyber operations against countries and organizations providing materiel support to Ukraine. Other cybercrime groups have recently conducted disruptive attacks against Ukrainian websites, likely in support of the Russian military offensive. さらに、最近になって、ロシア政府への支援を公言するサイバー犯罪グループも出てきました。これらのロシアと連携するサイバー犯罪グループは、ロシア政府やロシア国民に対するサイバー攻撃と認識された場合、報復としてサイバー作戦を実施すると脅迫しています。また、ウクライナに物資を提供している国や組織に対してサイバー作戦を展開すると脅迫しているグループもあります。他のサイバー犯罪グループは、最近、ウクライナのウェブサイトに対して破壊的な攻撃を行いましたが、これはおそらくロシアの軍事攻撃を支援するためでしょう。
This advisory updates joint CSA Understanding and Mitigating Russian State-Sponsored Cyber Threats to U.S. Critical Infrastructure, which provides an overview of Russian state-sponsored cyber operations and commonly observed tactics, techniques, and procedures (TTPs). This CSA—coauthored by U.S., Australian, Canadian, New Zealand, and UK cyber authorities with contributions from industry members of the Joint Cyber Defense Collaborative (JCDC)—provides an overview of Russian state-sponsored advanced persistent threat (APT) groups, Russian-aligned cyber threat groups, and Russian-aligned cybercrime groups to help the cybersecurity community protect against possible cyber threats. この勧告は、米国の重要インフラに対するロシアの国家支援によるサイバー脅威を理解し軽減するための合同CSAを更新するもので、ロシアの国家支援によるサイバー作戦と一般的に観察される戦術、技術、手順(TTPs)の概要を説明しています。このCSAは、米国、オーストラリア、カナダ、ニュージーランド、英国のサイバー当局が、統合サイバー防御協働作戦 (JCDC) のメンバーの協力を得て作成したもので、ロシア国家が支援する高度持続的脅威(APT)グループ、ロシア系サイバー脅威グループ、ロシア系サイバー犯罪グループについての概要を提供し、サイバーセキュリティ・コミュニティの潜在的サイバー脅威からの保護に役立てていただくためのものです。
U.S., Australian, Canadian, New Zealand, and UK cybersecurity authorities urge critical infrastructure network defenders to prepare for and mitigate potential cyber threats—including destructive malware, ransomware, DDoS attacks, and cyber espionage—by hardening their cyber defenses and performing due diligence in identifying indicators of malicious activity. Refer to the Mitigations section of this advisory for recommended hardening actions. 米国、オーストラリア、カナダ、ニュージーランド、および英国のサイバーセキュリティ当局は、重要インフラストラクチャ・ネットワークの防御者に対して、破壊的なマルウェア、ランサムウェア、DDoS 攻撃、およびサイバースパイなどの潜在的サイバー脅威に備え、サイバー防御の強化や悪質な活動の指標の特定におけるデューディリジェンスを実施し、それらを軽減するよう促しています。推奨される強化策については、本アドバイザリーの「緩和策」のセクションを参照してください。
For more information on Russian state-sponsored cyber activity, see CISA’s Russia Cyber Threat Overview and Advisories webpage. For more information on the heightened cyber threat to critical infrastructure organizations, see the following resources: ロシアの国家的なサイバー活動に関する詳細については、CISAの「ロシアのサイバー脅威の概要と助言」のウェブページを参照してください。重要インフラストラクチャ組織に対するサイバー脅威の高まりに関する詳細については、以下のリソースを参照してください。
・Cybersecurity and Infrastructure Security Agency (CISA) Shields Up and Shields Up Technical Guidance  webpages  ・サイバーセキュリティ・インフラセキュリティ庁 (CISA) : Shields Up および Shields Up Technical Guidance のウェブページ
・Australian Cyber Security Centre’s (ACSC) Advisory Australian Organisations Should Urgently Adopt an Enhanced Cyber Security Posture ・オーストラリアン・サイバー・セキュリティ・センター(ACSC):助言:オーストラリアの組織は、早急にサイバーセキュリティの強化態勢を採用すべきである。
・Canadian Centre for Cyber Security (CCCS) Cyber Threat Bulletin Cyber Centre urges Canadian critical infrastructure operators to raise awareness and take mitigations against known Russian-backed cyber threat activity ・カナダ・サイバーセキュリティ・センター (CCCS): サイバー脅威速報:サイバーセンターは、カナダの重要インフラ事業者に対し、ロシアを後ろ盾とする既知のサイバー脅威活動に対する認識を高め、緩和策を講じるよう要請する。
・National Cyber Security Centre New Zealand (NZ NCSC) General Security Advisory Understanding and preparing for cyber threats relating to tensions between Russia and Ukraine ・ニュージーランド国家サイバーセキュリティセンター(NZ NCSC):一般的セキュリティ助言:ロシアとウクライナの緊張に関連するサイバー脅威の理解と準備
・United Kingdom’s National Cyber Security Centre (NCSC-UK) guidance on how to bolster cyber defences in light of the Russian cyber threat ・英国国家サイバーセキュリティセンター(NCSC-UK):ロシアのサイバー脅威を考慮したサイバー防衛の強化に関するガイダンス
REFERENCES 参照
[1] Cybersecurity and Infrastructure Security Agency [1] サイバーセキュリティ・インフラセキュリティ庁
[2] Federal Bureau of Investigation [2] 連邦捜査局(FBI)
[3] National Security Agency [3] 国家安全保障局
[4] Australian Cyber Security Centre [4] オーストラリア・サイバーセキュリティ・センター
[5] Canadian Centre for Cyber Security [5] カナダ・サイバーセキュリティセンター
[6] New Zealand's National Cyber Security Centre [6] ニュージーランド国家サイバーセキュリティセンター
[7] United Kingdom's National Cyber Security Centre [7] 英国国家サイバーセキュリティセンター
[8] United Kingdom's National Crime Agency [8] イギリス国家犯罪捜査局

 

Cisa_20220317203401


 

Australian Cyber Security Centre: ACSC

・2022.02.22 2022-02: Australian organisations should urgently adopt an enhanced cyber security posture

Fig2_20220422060701

 

 

Canadian Centre for Cyber Security: CCCS

Cyber threat bulletin: Cyber Centre urges Canadian critical infrastructure operators to raise awareness and take mitigations against known Russian-backed cyber threat activity

Canada

 

 

● New Zealand's National Cyber Security Centre: NZ NCSC

・2022.02.18 General Security Advisory: Understanding and preparing for cyber threats relating to tensions between Russia and Ukraine

Fig3

 

 

● United Kingdom's National Cyber Security Centre: NCSC-UK

・2022.03.18 NCSC advises organisations to act following Russia’s attack on Ukraine

 

Fig1_20220422061001



 

| | Comments (0)

米国 CISA 北朝鮮の国家支援型APTがブロックチェーン企業を狙っています

こんにちは、丸山満彦です。

CISAが北朝鮮の国家支援型APTがブロックチェーン企業を狙っていると発表していますが、日本にも攻撃は来ているんでしょうね。。。

CISA

・2022.04.18 Alert (AA22-108A) TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies

Alert (AA22-108A) TraderTraitor: North Korean State-Sponsored APT Targets Blockchain Companies アラート(AA22-108A)TraderTraitor:北朝鮮の国家支援型APTがブロックチェーン企業を狙っています
Summary 概要
Actions to take today to mitigate cyber threats to cryptocurrency: 暗号通貨に対するサイバー脅威を軽減するために、今日取るべき行動。
• Patch all systems. ・すべてのシステムにパッチを適用する。
• Prioritize patching known exploited vulnerabilities. ・既知の脆弱性に対して優先的にパッチを適用する。
• Train users to recognize and report phishing attempts. ・フィッシング詐欺を認識し,報告するようユーザを教育する。
• Use multifactor authentication. ・多要素認証の使用
The Federal Bureau of Investigation (FBI), the Cybersecurity and Infrastructure Security Agency (CISA), and the U.S. Treasury Department (Treasury) are issuing this joint Cybersecurity Advisory (CSA) to highlight the cyber threat associated with cryptocurrency thefts and tactics used by a North Korean state-sponsored advanced persistent threat (APT) group since at least 2020. This group is commonly tracked by the cybersecurity industry as Lazarus Group, APT38, BlueNoroff, and Stardust Chollima. For more information on North Korean state-sponsored malicious cyber activity, visit https://www.us-cert.cisa.gov/northkorea. 米連邦捜査局(FBI)、サイバーセキュリティおよびインフラセキュリティ局(CISA)、米財務省は、暗号通貨の盗難に関連するサイバー脅威を強調し、少なくとも2020年以降、北朝鮮の国家支援による高度持続的脅威(APT)グループが使用している手口を紹介するために、この共同サイバーセキュリティ勧告(CSA)を発行しました。このグループは、Lazarus Group、APT38、BlueNoroff、Stardust Chollimaとしてサイバーセキュリティ業界では一般的に追跡されています。北朝鮮の国家が支援する悪質なサイバー活動の詳細については、(web)。
The U.S. government has observed North Korean cyber actors targeting a variety of organizations in the blockchain technology and cryptocurrency industry, including cryptocurrency exchanges, decentralized finance (DeFi) protocols, play-to-earn cryptocurrency video games, cryptocurrency trading companies, venture capital funds investing in cryptocurrency, and individual holders of large amounts of cryptocurrency or valuable non-fungible tokens (NFTs). The activity described in this advisory involves social engineering of victims using a variety of communication platforms to encourage individuals to download trojanized cryptocurrency applications on Windows or macOS operating systems. The cyber actors then use the applications to gain access to the victim’s computer, propagate malware across the victim’s network environment, and steal private keys or exploit other security gaps. These activities enable additional follow-on activities that initiate fraudulent blockchain transactions. 米国政府は、北朝鮮のサイバー行為者が、暗号通貨取引所、分散型金融(DeFi)プロトコル、プレイ・トゥ・アーンの暗号通貨ビデオゲーム、暗号通貨取引会社、暗号通貨に投資するベンチャーキャピタルファンド、大量の暗号通貨または貴重な非化石トークン(NFT)の個人保有者などブロックチェーン技術および暗号通貨業界のさまざまな組織を標的にしていることを確認しています。この勧告で説明されている活動は、さまざまな通信プラットフォームを使用して被害者をソーシャルエンジニアリングし、WindowsまたはmacOSオペレーティングシステム上でトロイの木馬化した暗号通貨アプリケーションをダウンロードするよう個人に勧めるものです。サイバーアクターは、このアプリケーションを使用して被害者のコンピュータにアクセスし、被害者のネットワーク環境全体にマルウェアを伝播させ、秘密鍵を盗んだり、その他のセキュリティギャップを悪用したりするのです。これらの活動により、不正なブロックチェーン取引を開始する追加のフォローアップ活動が可能になります。
The U.S. government previously published an advisory about North Korean state-sponsored cyber actors using AppleJeus malware to steal cryptocurrency: AppleJeus: Analysis of North Korea’s Cryptocurrency Malware. The U.S. government has also previously published advisories about North Korean state-sponsored cyber actors stealing money from banks using custom malware: 米国政府は以前、北朝鮮の国家に支援されたサイバーアクターがAppleJeusマルウェアを使用して暗号通貨を盗むことに関する勧告を発表しています。 AppleJeus。北朝鮮の暗号通貨マルウェアの分析。米国政府は、北朝鮮の国家に支援されたサイバーアクターがカスタムマルウェアを使用して銀行から資金を盗むことについても、過去に勧告を発表しています。
HIDDEN COBRA – FASTCash Campaign ・HIDDEN COBRA - FASTCashキャンペーン
FASTCash 2.0: North Korea’s BeagleBoyz Robbing Banks ・FASTCash 2.0:銀行を襲う北朝鮮のBeagleBoyz
This advisory provides information on tactics, techniques, and procedures (TTPs) and indicators of compromise (IOCs) to stakeholders in the blockchain technology and cryptocurrency industry to help them identify and mitigate cyber threats against cryptocurrency.  本アドバイザリーは、ブロックチェーン技術および暗号通貨業界の関係者が暗号通貨に対するサイバー脅威を特定し緩和するために、戦術、技術、手順(TTPs)および侵害指標(IOCs)に関する情報を提供するものです。 

 

Cisa_20220317203401

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.17 公安調査庁 サイバー空間における脅威の概況2022

・2022.04.16 FBI 3月に発生した6億2000万ドルのイーサリアムが盗まれた事件は北朝鮮に関連するLazarus GroupとAPT38が犯人であることを確認した

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2022.03.20 米国 ハーバード・ベルファ科学国際問題センター 「サイバー犯罪者の国政術 - 北朝鮮ハッカーとグローバル・アンダーグラウンドの繋がり」

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2021.12.20 公安調査庁 内外情勢の回顧と展望(令和4年版)

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高める

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.11.16 ロシアと北朝鮮のハッカーがCOVID 19のワク​​チン研究者からデータを盗もうとしている by Microsoft

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.08.28 北朝鮮によるサイバー銀行強盗についての警告(BeagleBoyz Robbing Banks)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2020.07.09 HIDDEN COBRA(北朝鮮?)が米国や欧州のオンラインストアに侵入しクレジットカード番号を取得している?

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

・2020.04.16 US-CERT 北朝鮮のサイバー脅威に関するガイダンス

 

 

| | Comments (0)

2022.04.21

NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

こんにちは、丸山満彦です。

昨年の10月にドラフトが公表され、意見募集されていたNISTIR 8320Bが最終化されましたね。。。

NIST - ITL

・2022.04.20 NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms

NISTIR 8320B Hardware-Enabled Security: Policy-Based Governance in Trusted Container Platforms NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Abstract 概要
In today’s cloud data centers and edge computing, attack surfaces have significantly increased, cyber attacks are industrialized, and most security control implementations are not coherent or consistent. The foundation of any data center or edge computing security strategy should be securing the platform on which data and workloads will be executed and accessed. The physical platform represents the foundation for any layered security approach and provides the initial protections to help ensure that higher-layer security controls can be trusted. This report explains an approach based on hardware-enabled security techniques and technologies for safeguarding container deployments in multi-tenant cloud environments. It also describes a prototype implementation of the approach intended to be a blueprint or template for the general security community. 今日のクラウド・データセンターやエッジ・コンピューティングでは、攻撃対象が大幅に増加し、サイバー攻撃が産業化しており、ほとんどのセキュリティ制御の実装には一貫性や整合性がありません。データセンターやエッジコンピューティングのセキュリティ戦略の基本は、データやワークロードが実行されたりアクセスされたりするプラットフォームのセキュリティを確保することです。物理的なプラットフォームは、階層化されたセキュリティアプローチの基礎となるものであり、上位層のセキュリティ管理を信頼できるものにするための初期保護を提供します。本レポートでは、マルチテナント型のクラウド環境におけるコンテナのデプロイメントを保護するための、ハードウェアを利用したセキュリティ技術とテクノロジーに基づくアプローチについて説明しています。また、一般的なセキュリティコミュニティのための青写真またはテンプレートとなることを目的とした、このアプローチのプロトタイプの実装についても説明しています。

 

・[PDF] NISTIR 8320B

20220421-102232

 

目次レベルのドラフトと同じですね。。。

 

1 Introduction  1 はじめに 
1.1 Purpose and Scope  1.1 目的と範囲 
1.2 Terminology  1.2 用語集 
1.3 Document Structure 1.3 ドキュメントの構造
2 Prototype Implementation 2 プロトタイプの実装
2.1 Objective 2.1 目的
2.2 Goals  2.2 目標 
2.2.1 Stage 0: Platform attestation and measured worker node launch  2.2.1 ステージ0:プラットフォームの証明とワーカーノードの起動測定 
2.2.2 Stage 1: Trusted placement of workloads  2.2.2 ステージ1:ワークロードの信頼できる配置 
2.2.3 Stage 2: Asset tagging and trusted location  2.2.3 ステージ2:資産のタグ付けと信頼できるロケーション 
2.2.4 Stage 3: Trust-based workload encryption  2.2.4 ステージ3:信頼に基づくワークロードの暗号化 
2.2.5 Stage 4: Trust-based workload access to information 2.2.5 ステージ 4:信頼できるワークロードの情報へのアクセス
2.3 Additional Resources 2.3 追加リソース
3 Prototyping Stage 0  3 プロトタイピング・ステージ0 
4 Prototyping Stage 1  4 プロトタイピングステージ1 
5 Prototyping Stage 2  5 プロトタイピングステージ 2 
6 Prototyping Stage 3  6 プロトタイピングステージ3 
6.1 Solution Overview 6.1 ソリューションの概要
6.2 Solution Architecture 6.2 ソリューションのアーキテクチャ
7 Prototyping Stage 4  7 プロトタイピングステージ4 
7.1 Solution Overview 7.1 ソリューションの概要
7.2 Solution Architecture 7.2 ソリューション・アーキテクチャー
References 参考文献
Appendix A— Hardware Root of Trust Implementation 附属書A-ハードウェアRoot of Trustの実装
A.1 High-Level Implementation Architecture  A.1 ハイレベルな実装アーキテクチャ 
A.2 Hardware Root of Trust: Intel TXT and Trusted Platform Module (TPM)  A.2 信頼のおけるハードウェア。Intel TXTおよびTPM(Trusted Platform Module)
A.3 Attestation: Intel Security Libraries (ISecL) A.3 証明 インテル・セキュリティ・ライブラリー (ISecL)
Appendix B— Workload Orchestration Implementation: OpenShift  附属書B-ワークロードオーケストレーションの実装:OpenShift 
B.1 Prototype Architecture  B.1 プロトタイプアーキテクチャ 
B.2 OpenShift Installation and Configuration B.2 OpenShiftのインストールと構成
B.2.1 VMware-Based Management Cluster (Cluster A) B.2.1 VMwareベースの管理クラスタ(クラスタA)
B.2.2 KVM-Based Managed Cluster (Cluster B) B.2.2 KVMベースの管理クラスタ(クラスタB)
B.2.3 Installing MCM Pak 1.3 (MCM HUB - VMware) B.2.3 MCM Pak 1.3 (MCM HUB - VMware)のインストール
Appendix C— Workload Encryption Implementation  附属書C-ワークロード暗号化の実装 
C.1 Prototype Architecture  C.1 プロトタイプアーキテクチャ 
C.2 Workload Encryption Configuration C.2 ワークロードエンクリプションの構成
Appendix D— Trusted Service Identity (TSI)  附属書D- 信頼されたサービスアイデンティティ (TSI)
D.1 TSI Overview  D.1 TSI の概要 
D.2 TSI Installation and Configuration D.2 TSI のインストールと構成
Appendix E— Supporting NIST SP 800-53 Security Controls and Publications 附属書E-NIST SP 800-53セキュリティコントロールと出版物のサポート
Appendix F— Cybersecurity Framework Subcategory Mappings 附属書F-サイバーセキュリティフレームワークのサブカテゴリーのマッピング
Appendix G— Acronyms and Other Abbreviations  附属書G-頭字語およびその他の略語 
List of Tables 表の一覧
Table 1: VMs Instantiated on the VMware-Based Management Cluster  表1:VMwareベースの管理クラスタ上にインスタンス化されたVM 
Table 2: VMs Instantiated on the KVM-Based Managed Cluster  表2: KVMベースの管理クラスタ上にインスタンス化されたVM 
Table 3: Security Capabilities Provided by the Prototype 表3: プロトタイプが提供するセキュリティ機能
Table 4: Mapping of Security Capabilities to NIST SP 800-53 Controls 表4:NIST SP 800-53コントロールへのセキュリティ機能のマッピング
List of Figures 図の一覧
Figure 1: Concept of Trusted Pools 図1:トラステッドプールの概念
Figure 2: Stage 1 Solution Overview 図2:ステージ1のソリューション概要
Figure 3: Stage 3 Solution Architecture 図3:ステージ3のソリューション・アーキテクチャ
Figure 4: Stage 4 Solution Architecture 図4:ステージ4のソリューション・アーキテクチャ
Figure 5: Prototype Implementation Architecture  図5:プロトタイプの実装アーキテクチャ 
Figure 6: Remote Attestation Protocol 図6:リモート証明プロトコル
Figure 7: Prototype Architecture 図7: プロトタイプのアーキテクチャ
Figure 8: MCM Console to Import a Cluster 図8:クラスタをインポートするMCMコンソール
Figure 9: Managed Cluster Policies 図9:マネージドクラスターポリシー
Figure 10: Creating Pipeline for Image Decryption 図10:画像復号のためのパイプラインの作成
Figure 11: Sample JWT Created by TSI 図11:TSI が作成した JWT のサンプル

 

2022.04.21現在の状況...

NISTIR 8320 Hardware-Enabled Security:
Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)
ハードウェア対応セキュリティ:
クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案)
Draft 2021.10.27
NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype
ハードウェア対応セキュリティ:
コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Final 2021.06.17
NISTIR 8320B Hardware-Enabled Security:
Policy-Based Governance in Trusted Container Platforms
ハードウェア対応セキュリティ:
信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Final 2022.04.20
NISTIR 8320C Hardware-Enabled Security:
Machine Identity Management and Protection
ハードウェア対応セキュリティ:
マシン・アイデンティティの管理と保護
Draft 2022.04.20

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

| | Comments (0)

NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

こんにちは、丸山満彦です。

NISTが、NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護を公表し、意見募集をしていますね。。。

NIST - ITL

・2022.04.20 NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection

NISTIR 8320C (Draft) Hardware-Enabled Security: Machine Identity Management and Protection NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護
Announcement 発表
The initial public draft of NIST IR 8320C presents an approach for overcoming security challenges associated with creating, managing, and protecting machine identities, such as cryptographic keys, throughout their lifecycle.  NIST IR 8320Cの最初の公開草案は、暗号鍵などのマシンIDを作成、管理、保護し、そのライフサイクルを通じてセキュリティ上の課題を克服するためのアプローチを提示するものです。 
Abstract 概要
Organizations employ a growing volume of machine identities, often numbering in the thousands or millions per organization. Machine identities, such as secret cryptographic keys, can be used to identify which policies need to be enforced for each machine. Centralized management of machine identities helps streamline policy implementation across devices, workloads, and environments. However, the lack of protection for sensitive data in use (e.g., machine identities in memory) puts it at risk. This report presents an effective approach for overcoming security challenges associated with creating, managing, and protecting machine identities throughout their lifecycle. It describes a proof-of-concept implementation, a prototype, that addresses those challenges. The report is intended to be a blueprint or template that the general security community can use to validate and utilize the described implementation. 組織で使用されるマシンIDの数は増え続けており、1組織あたり数千から数百万にのぼることもあります。暗号鍵のようなマシンIDは、各マシンに適用するポリシーを特定するために使用される。マシンIDを一元管理することで、デバイス、ワークロード、環境全体におけるポリシーの実施を効率化することができます。しかし、使用中の機密データ(メモリ内のマシンIDなど)は保護されていないため、危険にさらされています。この報告書では、マシンIDの作成、管理、保護に関連するセキュリティ上の課題を、そのライフサイクルを通じて克服するための効果的なアプローチを紹介します。また、これらの課題に対処するための概念実証の実装(プロトタイプ)について説明しています。この報告書は、一般的なセキュリティコミュニティが、説明されている実装を検証し、利用するための青写真またはテンプレートとなることを意図しています。

 

 

・[PDF] NISTIR 8320C (Draft)

20220421-102402

 

目次...

1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Terminology 1.2 専門用語
1.3 Document Structure 1.3 文書の構成
2 Challenges with Protecting Machine Identities 2 マシン・アイデンティティの保護に関する課題
3 Stage 0: Enterprise Machine Identity Management 3 ステージ 0:エンタープライズマシンアイデンティティ管理
3.1 Solution Overview 3.1 ソリューション概要
3.2 Solution Architecture 3.2 ソリューション・アーキテクチャ
4 Stage 1: Secret Key In-Use Protection with Hardware-Based Confidential Computing 4 ステージ 1: ハードウェアベースの機密コンピューティングによる秘密鍵のインユースプロテクション
4.1 Solution Overview 4.1 ソリューション概要
4.2 Solution Architecture 4.2 ソリューション・アーキテクチャ
5 Stage 2: Machine Identity Management and End-to-End Protection 5 ステージ 2:マシンID管理とエンドツーエンドの保護
5.1 Solution Overview 5.1 ソリューション概要
5.2 Solution Architecture 5.2 ソリューションアーキテクチャ
List of Appendices 附属書一覧
Appendix A— Hardware Architecture 附属書A ハードウェアアーキテクチャ
Appendix B— Venafi Machine Identity Management Implementation 附属書B Venafi マシン・アイデンティティ・マネジメントの実装
Appendix C— Intel In-Use Secret Key Protection Implementation 附属書C インテル インユース秘密鍵保護の実装
Appendix D— Machine Identity Runtime Protection and Confidential Computing Integration 附属書D マシンアイデンティティランタイム保護とコンフィデンシャルコンピューティングの統合
D.1 Solution Overview D.1 ソリューション概要
D.2 Solution Architecture D.2 ソリューション・アーキテクチャ
D.3 Installation and Configuration D.3 インストールと構成
Appendix E— Acronyms and Other Abbreviations 附属書E 頭字語およびその他の略語
List of Figures 図表
Figure 1 - Stage 0 Implementation: Typical Enterprise-Grade Machine Identity Management 図 1 - ステージ 0 の実装。典型的なエンタープライズグレードのマシンID管理
Figure 2 - Private Key Protection Flows 図 2 - 秘密鍵の保護フロー
Figure 3 - High-Level Prototype Architecture 図 3 - ハイレベルプロトタイプアーキテクチャ
Figure 4 - Prototype Architecture 図 4 - プロトタイプ・アーキテクチャ
Figure 5 - Intel SGX Enclave 図 5 - Intel SGXエンクレーブ
Figure 6 - BIOS Enable SGX 図 6 - BIOSによるSGXの有効化
Figure 7 - Machine Identity Secret Key Protection by Intel SGX at Runtime 図 7 - ランタイムでのインテル® SGX によるマシン・アイデンティティの秘密鍵保護
Figure 8 - End-to-End Machine Identity Lifecycle Management Platform 図 8 - エンド・ツー・エンドのマシン・アイデンティティ・ライフサイクル管理プラットフォーム
Figure 9 - High-Level View of the Trust Protection Platform and SKC Integration 図 9 - トラスト・プロテクション・プラットフォームとSKC統合のハイレベルビュー
Figure 10 - Communication Flows between SKC, Trust Protection Platform, and CA 図 10 - SKC、Trust Protection Platform、およびCA間の通信フロー
Figure 11 - Create Venafi Adaptable Workflow Object 図 11 - Venafi Adaptable Workflow オブジェクトの作成
List of Tables
Table 1 - Trust Protection Platform VM Requirements 表 1 - Trust Protection Platform VM の要件

 

2022.04.21現在の状況...

NISTIR 8320 Hardware-Enabled Security:
Enabling a Layered Approach to Platform Security for Cloud and Edge Computing Use Cases (2nd Draft)
ハードウェア対応セキュリティ:
クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第2草案)
Draft 2021.10.27
NISTIR 8320A Hardware-Enabled Security:
Container Platform Security Prototype
ハードウェア対応セキュリティ:
コンテナ・プラットフォーム・セキュリティ・プロトタイプ
Final 2021.06.17
NISTIR 8320B Hardware-Enabled Security:
Policy-Based Governance in Trusted Container Platforms
ハードウェア対応セキュリティ:
信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス
Final 2022.04.20
NISTIR 8320C Hardware-Enabled Security:
Machine Identity Management and Protection
ハードウェア対応セキュリティ:
マシン・アイデンティティの管理と保護
Draft 2022.04.20

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

 

| | Comments (0)

NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

こんにちは、丸山満彦です。

昨年の10月にドラフトが公表され、意見募集されていたNIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイドが最終化されましたね。。。

NIST - ITL

・2022.04.20 SP 1800-19 Trusted Cloud: Security Practice Guide for VMware Hybrid Cloud Infrastructure as a Service (IaaS) Environments

Abstract 概要
A cloud workload is an abstraction of the actual instance of a functional application that is virtualized or containerized to include compute, storage, and network resources. Organizations need to be able to monitor, track, apply, and enforce their security and privacy policies on their cloud workloads, based on business requirements, in a consistent, repeatable, and automated way. The goal of this project is to develop a trusted cloud solution that will demonstrate how trusted compute pools leveraging hardware roots of trust can provide the necessary security capabilities. These capabilities not only provide assurance that cloud workloads are running on trusted hardware and in a trusted geolocation or logical boundary, but also improve the protections for the data in the workloads and in the data flows between workloads. The example solution leverages modern commercial off-the-shelf technology and cloud services to address lifting and shifting a typical multi-tier application between an organization-controlled private cloud and a hybrid/public cloud over the internet. クラウドワークロードとは、機能的なアプリケーションの実際のインスタンスを抽象化したもので、コンピュート、ストレージ、ネットワークのリソースを含むように仮想化またはコンテナ化されています。企業は、ビジネス要件に基づいて、一貫性があり、反復可能で自動化された方法で、クラウド・ワークロードに対するセキュリティおよびプライバシー・ポリシーを監視、追跡、適用、実施できる必要があります。このプロジェクトの目的は、トラステッドクラウドソリューションを開発し、ハードウェアの信頼性を活用したトラステッドコンピュートプールが必要なセキュリティ機能を提供できることを実証することです。これらの機能は、クラウドのワークロードが信頼できるハードウェア上で、信頼できる地理的位置や論理的境界で実行されていることを保証するだけでなく、ワークロード内のデータやワークロード間のデータフローの保護を向上させます。このソリューション例では、最新の商用技術とクラウドサービスを活用して、組織が管理するプライベートクラウドと、インターネットを介したハイブリッド/パブリッククラウドの間で、典型的な多層アプリケーションのリフティングと移行を行っています。

 

・[PDF] SP 1800-19

20220421-141845

 

National Cybersecurity Center of Excellence: NCCoE

・2021.04.21 The NCCoE Releases Three Publications on Trusted Cloud and Hardware-Enabled Security

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.21 NIST SP 1800-19 トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2022.04.21 NISTIR 8320C (ドラフト) ハードウェア対応セキュリティ:マシン・アイデンティティの管理と保護

・2022.04.21 NISTIR 8320B ハードウェア対応セキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現(第二次ドラフト)

・2021.10.29 NISTIR 8320B (ドラフト) ハードウェア対応のセキュリティ:信頼できるコンテナプラットフォームにおけるポリシーベースのガバナンス

・2021.10.29 NIST SP 1800-19 (ドラフト) トラステッドクラウド:VMwareハイブリッド・クラウドのIaaS環境のためのセキュリティ実践ガイド

・2021.06.19 NISTIR 8320A ハードウェア対応セキュリティ:コンテナ・プラットフォーム・セキュリティ・プロトタイプ

・2021.05.28 NISTIR 8320 (Draft) ハードウェア対応セキュリティ:クラウドおよびエッジ・コンピューティングのユースケースにおけるプラットフォーム・セキュリティへの階層型アプローチの実現

・2020.12.13 NISTIR 8320A マルチテナントクラウド環境におけるコンテナを保護するためのハードウェア対応のセキュリティ技術とその技術に基づくアプローチに関する文書の意見募集

| | Comments (0)

NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

NISTが、NISTIR 8401 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用のドラフトを公表し、意見募集をしていますね。。。

宇宙政策指令5(SPD-5)の目標に対応するものですね。。。

今回の報告書の対象範囲は、地上セグメントです。。。

Fig1_20220421045401

Figure 1 - Satellite Ground Segment Components of Commercial Space Operations

 

Fig2_20220421045501

Figure 2 - Components In and Out of Scope for the Profile

 

 

● NIST - ITL

・2022.04.18 NISTIR 8401 (Draft) Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control

NISTIR 8401 (Draft) Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control NISTIR 8401 (ドラフト) 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用
Announcement アナウンスメント
NIST recognizes the importance of the infrastructure that provides positioning, timing, and navigation (PNT) information to the scientific knowledge, economy, and security of the Nation. This infrastructure consists of three parts: the space segment, the ground segment, and the users of PNT. NIST now requests comments on a draft of a profile for the ground segment. NIST は、国家の科学的知識、経済、および安全保障にとって、位置、時刻、および航法(PNT)情報を提供するインフラの重要性を認識しています。このインフラは、宇宙セグメント、地上セグメント、およびPNTの利用者の3つの部分から構成されています。NISTは現在、地上セグメントのプロファイルのドラフトに対するコメントを求めています。
NIST IR 8401, Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control, applies the NIST CSF to the ground segment of space operations. The document defines the ground segment, outlines its responsibilities, and presents a mapping to relevant information references. The Profile defined in this report provides a flexible framework for managing risk and addresses the goals of Space Policy Directive 5 (SPD-5) for securing space. 「NIST IR 8401, 衛星地上セグメント:衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用」は、NIST CSFを宇宙事業の地上セグメントに適用しています。本報告書では、地上セグメントを定義し、その責任を概説し、関連する情報参照へのマッピングを提示していています。本報告書で定義されたプロファイルは、リスク管理のための柔軟なフレームワークを提供し、宇宙の安全を確保するための宇宙政策指令5(SPD-5)の目標に対応するものです。
Abstract 概要
Space operations are increasingly important to the national and economic security of the United States. Commercial space’s contribution to the critical infrastructure is growing in both volume and diversity of services, as illustrated by the increased use of commercial communications satellite (COMSAT) bandwidth, the purchase of commercial imagery, and the hosting of government payloads on commercial satellites. The U.S. Government recognizes and supports space resilience through numerous space policies, executive orders, and the National Cyber Strategy. The space cyber-ecosystem is an inherently risky, high-cost, and often inaccessible environment consisting of distinct yet interdependent segments. This report applies the NIST Cybersecurity Framework to the ground segment of space operations with an emphasis on the command and control of satellite buses and payloads. 宇宙活動は、米国の国家及び経済の安全保障にとってますます重要となっています。商業通信衛星(COMSAT)帯域幅の利用の増加、商業画像の購入、商業衛星での政府ペイロードのホスティングに示されるように、重要なインフラへの商業宇宙の貢献は、サービスの量と多様性の両方において増大しています。米国政府は、多くの宇宙政策、大統領令、国家サイバー戦略を通じて、宇宙の回復力を認識し、支援しています。宇宙サイバーエコシステムは、本質的にリスクが高く、高コストで、しばしばアクセス不能な環境であり、異なるが相互依存のセグメントで構成されています。本報告書は、NISTサイバーセキュリティフレームワークを、衛星バスとペイロードの指揮・統制に重点を置いて、宇宙事業の地上部門に適用したものです。

 

・[PDF] NISTIR 8401 (Draft)

20220421-50257

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Objectives 1.1 目的と目標
1.2 Scope 1.2 対象範囲
1.3 Audience 1.3 想定読者
2 Intended Use 2 使用目的
3 Overview 3 概要
3.1 Risk Management Overview 3.1 リスクマネジメントの概要
3.2 Cybersecurity Framework Overview 3.2 サイバーセキュリティフレームワークの概要
4 Baseline Profile 4 ベースラインプロファイル
4.1 Identify Function 4.1 識別機能
4.2 Protect Function 4.2 防御機能
4.3 Detect Function 4.3 検知機能
4.4 Respond Function 4.4 対応機能
4.5 Recover Function 4.5 復旧機能
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms and Abbreviations 附属書A 頭字語および略語
Appendix B— Glossary 附属書B 用語集
Appendix C— Additional Resources 附属書C その他のリソース

 


 

Office of Space Commerce

Cybersecurity 

・2020.09.04 President Signs Space Cybersecurity Policy Directive

・2020.09.04 Memorandum on Space Policy Directive-5—Cybersecurity Principles for Space Systems

 


まるちゃんの情報セキュリティ気まぐれ日記

衛星関係

・2022.02.28 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門(第2稿)

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270(ドラフト)商用衛星運用のためのサイバーセキュリティ入門

・2021.04.16 U.S. Rand研究所 衛星インターネットサービスは独裁者にとって吉?凶?

・2021.04.12 宇宙経済をサイバー攻撃から守り抜くために by The Center for Security Studies at ETH Zürich at 2021.01.07

・2020.11.21 MITREがサイバーセキュリティを含む宇宙関連の5つの技術報告書を公開していますね。。。

・2020.09.21 イランのハッカー3名が衛星会社から知財を盗んだ理由等により起訴されていますね。。。

PNT

・2021.05.23 GPSの二重化は現在のところ経済効率的ではないようですね。。。

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル:測位・航法・計時(PNT)サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時(PNT)に関連するサービスに関連したセキュリティプロファイルに関する文書(NISTIR 8323)のパブコメを募集していますね。

 

| | Comments (0)

総務省 経済産業省 警察庁、内閣官房 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催

こんにちは、丸山満彦です。

総務省 経済産業省 警察庁、内閣官房、JPCERT/CCが事務局となって「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催するようですね。。。

どんな情報(What)を、どのタイミング(When)で、どんな主体(Whom)と共有するのか、、、というのが議論のポイントになるのでしょうかね。。。

その際に、「技術情報」と「コンテクスト情報」を分離して共有することにし、早期の技術情報(対策状況、脆弱性、マルウェア、通信先等)の共有が可能になり、当事者の全容解明が早まり、当時に他社への注意喚起、同様の被害を受けた他社の解決の早期化にも資するということなのでしょうかね。。。

米国が、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)を成立させ、重要インフラ企業はサイバーインシデントがあれば、72時間以内にCISAに報告をすることになり、CISAが報告のための[PDF] ファクトシートを公開していますが、これとは少し違う目的のようにも思いますが、参考にできるところは参考にして、あるいはこちらの検討結果をCISAに共有する等をし、国際的な共有の枠組みを推進できると素敵ですよね。。。

 

20220421-33502

総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P2

 

20220421-34601

総務省発表 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料) P4

 

● 総務省

・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について


サイバー攻撃被害を受けた民間主体やその受託者等(以下「サイバー攻撃被害組織等」という。)が、その被害に係る情報をサイバーセキュリティ関係組織等と共有することは、発生したサイバー攻撃の全容を解明し、更なる対策の強化を可能とせしめるものであり、サイバー攻撃被害組織等自身にとっても、社会全体にとっても非常に有益です。しかし、現状、サイバー攻撃被害組織等の現場にとって、自組織のレピュテーションに影響しかねない情報共有には慎重であるケースも多く、被害に係る情報のうち、どのような情報を、どのタイミングで、どのような主体と共有すればよいかの検討にあたり、実務上の参考とすべきものがないため、適切に判断することが難しいとの声も聞かれます。

 そこで、サイバー攻撃被害に係る情報を取り扱う様々な担当者の判断に資することを目的として、サイバー攻撃被害組織等の立場にも配慮しつつ、技術情報等組織特定に至らない情報の整理を含めた、サイバー攻撃被害に係る情報の共有・公表ガイダンスを策定すべく、官民の多様な主体が連携する協議体である「サイバーセキュリティ協議会」の運営委員会の下に、「サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会」を開催することとしました。


・[PDF] 別紙1 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について(サイバーセキュリティ協議会運営委員会決定)

・[PDF] 別紙2 「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(説明資料)

 

● 経済産業省

・2021.04.20 サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会を開催します

・[PDF] 【別紙1】サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

・[PDF] 【別紙2】「サイバー攻撃被害に係る情報の共有・公表ガイダンス」の検討会について(概要)

 

● 警察庁 - サイバーポリスエージェンシー

・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

 

● 内閣官房 - サイバーセキュリティセンター

・2021.04.20 [PDF] サイバー攻撃被害に係る情報の共有・公表ガイダンス検討会の開催について

 


2.22.04.23 追記

事務局を務めることになるJPCERT/CC のブログ

● JPCERT/CC - blogs

・2022.04.21 サイバー攻撃被害情報の共有と公表のあり方について



 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

 

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

金融

・2021.11.23 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

企業情報開示での開示の話。。。

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

米国のサイバー戦略におけるリスク対応の源流...

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

 

| | Comments (0)

2022.04.20

AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

こんにちは、丸山満彦です。

ISO/IECがISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizationsを公表していますね。。。

 

ISO

ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations

ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations ISO/IEC 38507:2022 情報技術 - ITガバナンス - 組織による人工知能の使用に関するガバナンスの影響
ABSTRACT PREVIEW 要約プレビュー
This document provides guidance for members of the governing body of an organization to enable and govern the use of Artificial Intelligence (AI), in order to ensure its effective, efficient and acceptable use within the organization. 本文書は、人工知能(AI)の使用を可能にし、管理するために、組織の管理機関のメンバーに対して、組織内での効果的、効率的及び許容可能な使用を確保するための指針を提供する。
This document also provides guidance to a wider community, including: また、本文書は、以下を含むより広いコミュニティに対する指針も提供する。
—    executive managers; ・経営管理者
—    external businesses or technical specialists, such as legal or accounting specialists, retail or industrial associations, or professional bodies; ・法律や会計の専門家、小売業や業界団体、専門団体など、外部の企業や技術専門家
—    public authorities and policymakers; ・公的機関および政策立案者
—    internal and external service providers (including consultants); ・内部および外部のサービスプロバイダー(コンサルタントを含む)
—    assessors and auditors. ・評価者、監査人
This document is applicable to the governance of current and future uses of AI as well as the implications of such use for the organization itself. 本文書は、現在及び将来の AI 利用のガバナンス、並びにその利用が組織自体に及ぼす影響に適用される。
This document is applicable to any organization, including public and private companies, government entities and not-for-profit organizations. This document is applicable to an organization of any size irrespective of their dependence on data or information technologies 本文書は、公的及び私的な企業、政府機関及び非営利団体を含む、あらゆる組織に適用される。本文書は、データや情報技術への依存度にかかわらず、あらゆる規模の組織に適用される。

 

2224pxiso_logo_red_squaresvg


● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.29 経済産業省 AI原則実践のためのガバナンス・ガイドライン ver. 1.1

・2021.12.09 英国 AI保証に向けたロードマップを公表(AI認証制度?)

・2021.10.12 中国 科学技術部 新世代の人工知能倫理規定 at 2021.09.26

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.07.11 経済産業省 意見募集 AI原則実践のためのガバナンス・ガイドライン Ver1.0

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.02.15 経済産業省の「我が国のAIガバナンスの在り方 ver. 1.0(中間報告書)」に対する経団連等の意見

・2020.07.05 米国 国防省の内部監査部門が「AIのプロジェクトのガバナンスとセキュリティをしっかりせい」とおっしゃっているようです。。。

・2020.05.22 「倫理的な人工知能にとって、セキュリティは非常に重要」と言う意見

・2020.05.04 米国国防省と人工知能(戦略と倫理)

・2020.03.31 AI 倫理指針の動向とパーソナル AI エージェント by 中川裕志先生   AI 原則は機能するか?―非拘束的原則から普遍的原則への道筋 by 新保史生先生

 

Continue reading "AIガバナンスの標準? ISO/IEC 38507:2022 Information technology — Governance of IT — Governance implications of the use of artificial intelligence by organizations"

| | Comments (0)

米国 商務省 国家AI諮問委員会に27名を任命

こんにちは、丸山満彦です。

米国商務省が所管する国家AI諮問委員会 (National AI Advisory Committee) のメンバーに27名を指名していますね。。。

企業から13名、団体から7名、大学から7名です。。。企業も大企業が7社、ベンチャー的な企業が6社。議長はベンチャー、副議長は大企業、、、

委員を所属の属性に応じて並び替えてみました。。。 

氏名 所属
1 Miriam Vogel (Chair)  EqualAI, Inc.
2 James Manyika (Vice Chair) Google
6 Sayan Chakraborty Workday, Inc.
7 Jack Clark Anthropic
10 Paula Goldman Salesforce
11 Susan Gonzales AIandYou
17 Ashley Llorens Microsoft
18 Haniyeh Mahmoudian DataRobot, Inc.
19 Christina Montgomery IBM Corporation
20 Liz O’Sullivan Parity
25 Swami Sivasubramanian Amazon Web Services
26 Keith Strier NVIDIA, Inc.
27 Reggie Townsend SAS Institute
3 Zoë Baird Markle Foundation
4 Yll Bajraktari Special Competitive Studies Project
5 Amanda Ballantyne Technology Institute at AFL-CIO
9 Victoria Espinel BSA: The Software Alliance
12 Janet Haven Data & Society Research Institute
23 Trooper Sanders Benefits Data Trust
24 Navrina Singh Credo AI
8 David Danks University of California, San Diego
13 Daniel E. Ho Stanford University
14 Ayanna Howard The Ohio State University
15 Jon Kleinberg Cornell University
16 Ramayya Krishnan Carnegie Mellon University
21 Frederick L. Oswald Rice University
22 Frank Pasquale Brooklyn Law School

 

U.S. Department of Commerce

・2022.04.14 U.S. Department of Commerce Appoints 27 Members to National AI Advisory Committee

U.S. Department of Commerce Appoints 27 Members to National AI Advisory Committee 米国商務省、国家AI諮問委員会の委員27名を任命
Appointments are the first for the recently established committee, which will advise the President 大統領の諮問機関として設立間もない委員会にとって今回の人事は最初のものです
Today, the U.S. Department of Commerce announced the appointment of 27 experts to the National Artificial Intelligence Advisory Committee (NAIAC), which will advise the President and the National AI Initiative Office on a range of issues related to artificial intelligence (AI).  本日、米国商務省は、人工知能(AI)に関するさまざまな問題について大統領と国家AI構想室に助言する国家AI諮問委員会(NAIAC)に、27人の専門家を任命したことを発表しました。 
The appointments are the first for the recently established committee, created in response to the National AI Initiative Act of 2020. The initiative directs the NAIAC to provide recommendations on topics including the current state of U.S. AI competitiveness, the state of science around AI, and AI workforce issues. The committee also is responsible for advice regarding the management and coordination of the initiative itself, including its balance of activities and funding. 今回の任命は、2020年の国家AI推進法を受けて創設されたばかりの同委員会にとって初めてのことです。同推進法では、米国のAI競争力の現状、AIをめぐる科学の状況、AI労働力の問題などのテーマについて、NAIACに提言を行うよう指示しています。また、同委員会は、活動内容や資金のバランスなど、AIの推進自体の管理・調整に関する助言も担当します。
“Artificial intelligence presents a new frontier for enhancing our economic and national security, as well as our way of life. Moreover, responsible AI development is instrumental to our strategic competition with China,” said U.S. Deputy Secretary of Commerce Don Graves. “At the same time, we must remain steadfast in mitigating the risks associated with this emerging technology, and others, while ensuring that all Americans can benefit. The diverse leaders of our inaugural National Artificial Intelligence Advisory Committee represent the best and brightest of their respective fields and will be instrumental in helping the Department strike this balance. Their anticipated recommendations to the President and the National AI Initiative Office will serve as building blocks for U.S. AI policy for decades to come, and I am immensely grateful for their voluntary service.” ドン・グレイブス米国商務副長官は次のように述べています。
「人工知能は、経済や国家の安全保障、そして私たちの生活様式を向上させるための新たなフロンティアを示しています。さらに、責任あるAIの開発は、中国との戦略的な競争において重要です。 同時に、この新しい技術やその他の技術に関連するリスクを軽減し、すべてのアメリカ人が恩恵を受けることができるようにするために、私たちは確固たる姿勢を保たなければなりません。今回発足した国家AI諮問委員会の多様なリーダーたちは、それぞれの分野で最も優秀な人たちを代表しており、米国商務省がこのバランスを取る上で大きな助けとなることでしょう。彼らが大統領と国家AI推進事務局に提出する予定の提言は、今後数十年にわたる米国のAI政策の基礎となるものであり、彼らの自発的な奉仕に大いに感謝します。」
The committee members were nominated by the public as expert leaders from a broad and interdisciplinary range of AI-relevant disciplines from across academia, industry, non-profits and civil society. 委員会のメンバーは、学術界、産業界、非営利団体、市民社会など、AIに関連する幅広い学際的な分野の専門家リーダーとして一般から推薦されました。
“AI is already transforming the world as we know it, including science, medicine, transportation, communications and access to goods and services,” said the head of the Office of Science and Technology and Deputy Assistant to the President Alondra Nelson. “The expertise of the NAIAC will be critical in helping to ensure the United States leads the world in the ethical development and adoption of AI, provides inclusive employment and education opportunities for the American public, and protects civil rights and civil liberties in our digital age.” 科学技術室長で大統領副補佐官のアロンドラ・ネルソン氏は次のように述べています。「AIはすでに、科学、医療、交通、通信、商品やサービスへのアクセスなど、私たちが知っている世界を変えつつあります。米国がAIの倫理的な開発と採用において世界をリードし、米国民に包括的な雇用と教育の機会を提供し、デジタル時代の市民権と市民の自由を守るために、NAIACの専門知識は極めて重要です。」
The NAIAC is also directed to establish a subcommittee to consider matters related to the use of AI in law enforcement. This subcommittee will advise the president on topics that include bias, security of data, the adoptability of AI for security or law enforcement, and legal standards that include those that ensure that AI use is consistent with privacy rights, civil rights and civil liberties, and disability rights. また、NAIACは、法執行におけるAIの使用に関連する事項を検討する小委員会を設置するよう指示されている。この小委員会は、偏見、データの安全性、安全保障や法執行におけるAIの採用可能性、AIの使用がプライバシー権、公民権、障害者の権利と一致することを保証するものを含む法的基準などのテーマについて大統領に助言することになります。
The committee will hold its first meeting on Wednesday, May 4, 2022. The meeting will be open to the public via webcast. 同委員会は、2022年5月4日(水)に初会合を開催する予定です。この会議はウェブキャストで一般に公開される予定です。
Committee members will serve three-year terms and may serve two consecutive terms at the discretion of the secretary. The National Institute of Standards and Technology will provide administrative support to the committee. For more information on the NAIAC and its responsibilities, visit (ai.gov naiac) 委員会のメンバーは3年の任期を務め、長官の裁量で2期続けて務めることができる。国立標準技術研究所は、委員会の運営支援を行います。NAIACとその責務に関する詳細については、(ai.gov naiac)を参照ください。

 

National Artificial Intelligence Initiative

ABOUT THE ADVISORY COMMITTEE


Fig_20220420035501

 

 

 

| | Comments (0)

2022.04.19

総務省 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめの公表 (2022.04.15)

こんにちは、丸山満彦です。

総務省が、「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめを公表していましたね。。。

マイナンバーがスマートフォンに搭載されると一気に利用が広がるように思います。。。多くの人の感覚は、クレジットカードがスマホに入るんだから、マイナンバーもスマホに入るでしょう。。。という感じかもしれません。。。

本人確認が必要なので初期の手間は同じ(同じでないとダメですが。。。)なのですが、利用する場面の増加や民間IDとの連携等で民間IDの発行が楽になるように思います。。。

20220419-54101

セキュリティ面についてもよく考えられていると思います。。。

20220419-54728

進捗が楽しみです。。。

 

総務省

・2022.04.15 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第2次とりまとめの公表

・[PDF] 第2次とりまとめ ~デジタル社会の新たな基盤の構築に向けて~

20220419-60057

<関係報道発表等>
○2020.12.25 「マイナンバーカードの機能のスマートフォン搭載等に関する検討会」第1次とりまとめの公表

マイナンバーカードの機能のスマートフォン搭載等に関する検討会

 

-----

OSの順番ですが、まずは、Androidのようですね。。。

(P2:令和4年度中にAndroidスマートフォンへの搭載実現を目指すとともに、iPhoneについても早期実現を目指す。)

まずは、おじさんから使ってもらおう作戦なのかもしれません(^^)。。。

(Androidの最新機種はGP-SE搭載ですね。。。)

 

参考:

MMD研究所

・2021.12.14 メイン利用のスマートフォン、iPhoneは45.7%、Androidは47.0% - 10代、20代は男女ともにiPhoneの利用率がAndroidの利用率を上回る

 

 

 

| | Comments (0)

Cloud Security Alliance ソフトウェア定義境界 (SDP) とドメインネームシステム (DNS) の統合:強化されたゼロトラストポリシーの適用 (2022.04.12)

こんにちは、丸山満彦です。

Cloud Security AllianceがSDPとDNSの統合:強化されたゼロトラストポリシーの適用という研究文書を発表していますね。。。

こういうのは面白いですね。。。

 

Cloud Security Alliance (CSA)

・2022.04.13 New Cloud Security Alliance Paper Explores How Enterprises Can Augment, Integrate DNS Systems with Software-Defined Perimeter (SDP) to Enhance Security

New Cloud Security Alliance Paper Explores How Enterprises Can Augment, Integrate DNS Systems with Software-Defined Perimeter (SDP) to Enhance Security クラウドセキュリティアライアンスの新しい文書では、組織体がセキュリティを強化するためにDNSシステムをSDP(ソフトウェア定義境界)で補強、統合する方法について説明しています。
Security visibility, resiliency, and responsiveness can be improved by combining Domain Name Systems and enterprise-managed DDI systems with SDP ドメインネームシステムおよび組織体管理DDIシステムとSDPを組み合わせることで、セキュリティの可視性、強靭性、応答性を向上させることができます。
SEATTLE – April 13, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, has published a new white paper, Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement. Drafted by the Software-Defined Perimeter (SDP) and Zero Trust Working Group, the document explores how enterprise DDI systems – which collectively refer to three core network services, namely Domain Name System (DNS), Dynamic Host Configuration Protocol (DHCP), and Internet Protocol Address Management (IPAM) – can augment and integrate with SDP to enhance organizations’ security, resiliency, and responsiveness. SEATTLE - 2022年4月13日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるCloud Security Alliance(CSA)は、新しいホワイトペーパー「SDPとDNSの統合」を発表しました。ゼロトラストポリシーの強化 Software-Defined Perimeter (SDP) and Zero Trust Working Groupが作成したこのホワイトペーパーでは、企業のDDIシステム(DNS、DHCP、IPAMの3つのコアネットワークサービス)がSDPと統合され、セキュリティ、強靭性、応答性を強化する方法について説明しています。
DNS maps human-readable domain names (e.g., cloudsecurityalliance.org) to numerical internet protocol (IP) addresses. Setting and enforcing policy at the DNS layer isn’t compute-intensive and has the further advantage of being able to scale to millions. However, the ubiquity of DNS and the fact that it’s largely open, connectionless, and unencrypted, makes it a commonly exploited means of infiltrating malware into networks and exfiltrating data. Additional mechanisms are required for a fine-grained policy framework and enforcement to leverage the DDI database. DDI services can provide enterprises with visibility and control, and when combined with SDP can deliver considerably improved security and help organizations advance their Zero Trust security journeys. DNSは、人間が読めるドメイン名(例:cloudsecurityalliance.org)を数値のインターネットプロトコル(IP)アドレスにマッピングします。DNSレイヤーでのポリシーの設定と実行は、コンピュータに負荷がかからず、数百万単位で拡張できるというさらなる利点があります。しかし、DNSはどこにでも存在し、その大部分がオープンで、接続がなく、暗号化されていないため、マルウェアをネットワークに侵入させ、データを流出させる手段として悪用されることが一般的です。DDIデータベースを活用するためには、きめ細かなポリシーフレームワークと執行のための追加メカニズムが必要です。DDIサービスは、企業に可視性と制御を提供し、SDPと組み合わせることで、セキュリティを大幅に改善し、組織がゼロトラストセキュリティに推進するのを支援することができます。
“Integrating the three core systems that comprise DDI helps provide control, automation, and security for today’s modern and highly distributed networks. Tying together traditionally distinct systems for more holistic enforcement is a hallmark of the Zero Trust security approach, and DDI has the unique advantage of logging who’s on the network, where they’re going, and, more importantly, where they’ve been. Information security will always be multi-layered, and Zero Trust via SDP is an approach that benefits from integration with many other parts of an enterprise security infrastructure,” said Shamun Mahmud, senior research analyst, Cloud Security Alliance. Cloud Security Allianceのシニアリサーチアナリスト、シャーマン・マーマドは以下のように述べています。「DDIを構成する3つのコアシステムを統合することで、今日の高度に分散したネットワークに制御、自動化、およびセキュリティを提供することができます。DDIは、誰がネットワークにいるのか、どこに行くのか、そしてより重要なのは、どこにいたのかを記録するというユニークな利点を持っています。情報セキュリティは常に多層的であり、SDPによるゼロトラストは、企業のセキュリティインフラの他の多くの部分との統合によって恩恵を受けるアプローチです。」
The paper explains how by integrating an SDP architecture with DNS, a strategy that results in improved security, organizations can leverage DNS as a Zero Trust network policy enforcement point alongside the SDP policy enforcement points and mine valuable DNS data for faster threat response by SDPs. Two use cases where enterprise-managed DDI integrates with SDP to improve security, contextual awareness, and responsiveness are included by way of example. 本文書では、SDPアーキテクチャをDNSと統合することで、セキュリティを向上させる戦略、つまり組織がDNSをSDPのポリシー実施ポイントと並ぶゼロトラストネットワークポリシー実施ポイントとして活用し、貴重なDNSデータをマイニングしてSDPによる脅威対応を迅速に行う方法を説明しています。企業で管理されるDDIをSDPと統合して、セキュリティ、コンテキスト認識、および応答性を向上させる2つのユースケースを例として挙げています。

 

・2022.04.12 Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement

Integrating SDP and DNS: Enhanced Zero Trust Policy Enforcement SDPとDNSの統合:強化されたゼロトラストポリシーの適用
The purpose of this research article is to explain how DNS and the enterprise-managed DDI system can be combined with a Software-Defined Perimeter to deliver improved security visibility, resiliency, and responsiveness.  この研究文書の目的は、DNSと企業が管理するDDIシステムをソフトウェア定義境界と組み合わせることで、セキュリティの可視性、回復力、応答性を向上させる方法を説明することです。 
This position paper explores two use cases where DNS and the enterprise-managed DDI and SDP can be combined to improve security, contextual awareness, and responsiveness. This type of integration - tying together systems traditionally distinct for more holistic enforcement - is a hallmark of the Zero Trust approach to security. This paper does not address the security of the DNS infrastructure itself.  このポジションペーパーでは、DNSと企業が管理するDDIおよびSDPを組み合わせて、セキュリティ、状況認識、および応答性を向上させることができる2つのユースケースを探ります。この種の統合(従来は別個のシステム同士を結び付けてより全体的な強化を図る)は、セキュリティに対するゼロトラストアプローチの特徴です。本文書では、DNSインフラ自体のセキュリティについては言及しません。 

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220419-44119

 

目次...

1. Introduction 1. はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Audience 1.3 想定読者
1.4 The Domain Name System (DNS) 1.4 ドメインネームシステム(DNS)
1.4.1 Dynamic Host Configuration Protocol (DHCP) 1.4.1 動的ホスト構成プロトコル(DHCP)
1.4.2 Internet Protocol Address Management (IPAM) 1.4.2 インターネットプロトコルアドレス管理(IPAM)
1.4.3 Cloud Managed Implementation 1.4.3 クラウドマネージド実装
1.5 DNS-Based Security 1.5 DNSを利用したセキュリティ
1.5.1 Malware Control Point 1.5.1 マルウェアのコントロールポイント
1.5.2 Blocking Data Exfiltration 1.5.2 データ流出の阻止
1.5.3 Domain Generation Algorithms (DGAs) Control Point 1.5.3 ドメイン生成アルゴリズム(DGA)制御ポイント
1.5.4 Category-Based Filtering 1.5.4 カテゴリに基づくフィルタリング
1.6 Zero Trust Policy Enforcement 1.6 ゼロトラスト・ポリシーの実施
1.6.1 SDP and Zero Trust Policy Enforcement 1.6.1 SDPとゼロ・トラスト・ポリシーの実施
1.6.2 DNS and Zero Trust Policy Enforcement 1.6.2 DNSとゼロトラストポリシーの適用
2. SDP/Zero Trust and DNS Use Cases 2. SDP/ゼロトラストとDNSの使用例
2.1 Use Case #1: DNS providing Context and Metadata to SDP 2.1 ユースケース#1: DNSからSDPへのコンテキストとメタデータの提供
2.1.1 Policy Enforcement in Use Case No. 1 2.1.1 ユースケースNo.1におけるポリシーエンフォースメント
2.1.1.1 Network Context and Identity Information 2.1.1.1 ネットワークコンテキストとアイデンティティ情報
2.1.2 Responding to Malicious Activity 2.1.2 悪意ある行為への対応
2.1.3 Location-Based Access Controls 2.1.3 位置情報を利用したアクセス制御
2.1.4 Device-Based Access Controls 2.1.4 デバイスベースのアクセス制御
2.1.5 User-Based Access Control 2.1.5 ユーザーベースのアクセス制御
2.2 Use Case #2 - SDP Controller Publishing Policy Decisions to DNS 2.2 ユースケース#2 - SDPコントローラーがDNSにポリシー決定を公開する場合
2.2.1 Policy Enforcement in DNS - an additional layer of security 2.2.1 DNSにおけるポリシー実施 - セキュリティの追加レイヤー
3. Conclusion 3. 結論
4. References 4. 参考文献
5. Acronyms 5. 頭字語

 

| | Comments (0)

2022.04.18

SaaSの設定ミスがセキュリティインシデントの63%に関与している? (Cloud Security Alliance )

こんにちは、丸山満彦です。

Cloud Security AllianceがSaaSの設定に関する調査報告書を公開していますね。。。

SaaSの設定ミスがセキュリティインシデントの63%に関与しているかもしれないということのようです。。。

SaaSの設定ミスの主な原因は、

  • SaaSのセキュリティ設定の変更を可視化できないこと(34%)、
  • SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)

であるとしていますね。。。

細かい数字はともかく、SaaSのアクセス関連の設定についてはユーザが定期的に確認することが重要ですね(報告書の中で、どのくらいの頻度でSaaSのセキュリティチェックをしているかの調査結果もあります)。。。

SaaS事業者も設定についてのリスクについて、わかりやすく説明することが重要でしょうし、デフォルトの設定についても安全サイドに寄せるとかしたほうが良いかもですね。。。(利便性を犠牲にしたくないという思いはあるのでしょうが、両立できるような製品にしていくことが重要なんでしょうね。。。)。

 

Cloud Security Alliance (CSA)

・2022.04.12 New Cloud Security Alliance Survey Finds SaaS Misconfigurations May Be Responsible for Up to 63 Percent of Security Incidents

 

New Cloud Security Alliance Survey Finds SaaS Misconfigurations May Be Responsible for Up to 63 Percent of Security Incidents クラウドセキュリティアライアンスの新しい調査により、SaaSの設定ミスがセキュリティインシデントの最大63%に関与している可能性が判明
Proper visibility into SaaS security application settings and automated tools can mitigate risk SaaSセキュリティアプリケーションの設定と自動化ツールを適切に可視化することで、リスクを軽減することができる
SEATTLE – April 12, 2022 – The Cloud Security Alliance (CSA), the world’s leading organization dedicated to defining standards, certifications, and best practices to help ensure a secure cloud computing environment, today released the findings of its latest survey, 2022 SaaS Security Survey Report. Commissioned by Adaptive Shield, a leading SaaS Security Posture Management (SSPM) company, the survey offers insight into the industry’s knowledge, attitudes, and opinions regarding SaaS security and related misconfigurations. シアトル - 2022年4月12日 - クラウドコンピューティング環境の安全性を確保するための標準、認証、ベストプラクティスの定義に取り組む世界有数の組織であるクラウドセキュリティアライアンス(CSA)は、最新の調査結果「2022 SaaS Security Survey Report」を本日発表しました。SaaSセキュリティポスチャ管理(SSPM)のリーディングカンパニーであるアダプティブシールドの委託により、本調査では、SaaSセキュリティおよび関連する設定ミスに関する業界の知識、態度、意見についての知見を提供しています。
“Many recent breaches and data leaks have been tied back to misconfigurations. Whereas most research related to misconfigurations has focused strictly on the IaaS layers and entirely ignores the SaaS stack, SaaS security and misconfigurations are equally, if not more, important when it comes to an organization's overall security. We wanted to gain a deeper understanding of the use of SaaS applications, how security assessments are conducted and the overall awareness of tools that can be used to secure SaaS applications," said Hillary Baron, lead author and research analyst, Cloud Security Alliance. Cloud Security Allianceの筆頭著者でリサーチアナリストのヒアリー・バロンは以下のように述べています。「最近の情報漏えい事件の多くは、設定ミスに起因しています。しかし、SaaS のセキュリティと設定ミスは、組織の全体的なセキュリティに関して、同等かそれ以上の重要性を持っています。私たちは、SaaSアプリケーションの使用状況、セキュリティ評価の実施方法、SaaSアプリケーションのセキュリティ確保に使用できるツールの全体的な認識について深く理解したいと考えました。」
“This survey shines a light on what CISOs and cybersecurity managers are looking for and need when it comes to securing their SaaS stack — from visibility, continuous monitoring and remediation to other ever-growing, critical use cases such as 3rd party application control and device posture monitoring,” asserts Maor Bin, CEO and co-founder of Adaptive Shield. “The SSPM market is maturing rapidly — and this type of zero-trust approach for SaaS is where the SSPM market is going.” 「この調査は、SaaSスタックのセキュリティ確保に関して、CISOやサイバーセキュリティ管理者が何を求め、何を必要としているかを明らかにするもので、可視化、継続的モニタリング、修正から、サードパーティアプリケーションコントロールやデバイス姿勢モニタリングといった成長し続ける重要なユースケースまで、幅広くカバーしています。SSPM市場は急速に成熟しており、このようなSaaS向けのゼロトラストアプローチがSSPM市場の行く末を決めるのです。」
Among the survey’s key findings: この調査の主な調査結果には、次のようなものがあります。
・SaaS misconfigurations are leading to security incidents. At least 43 percent of organizations report that they have dealt with one or more security incidents because of a SaaS misconfiguration. ・SaaSの設定ミスがセキュリティインシデントにつながっている。少なくとも43%の組織が、SaaSの設定ミスが原因で1つ以上のセキュリティインシデントに対処したことがあると報告しています。
・The leading causes of SaaS misconfigurations are lack of visibility into changes into the SaaS security settings (34%) and too many departments with access to SaaS security settings (35%). ・SaaSの設定ミスの主な原因は、SaaSのセキュリティ設定の変更を可視化できないこと(34%)と、SaaSのセキュリティ設定にアクセスできる部門が多すぎること(35%)である。
・Investment in business-critical SaaS applications is outpacing SaaS security tools and staff. Over the past year, 81 percent of organizations have increased their investment in business-critical SaaS applications, but fewer organizations reported increasing their investment in security tools (73%) and staff (55%) for SaaS security. ・ビジネスクリティカルなSaaSアプリケーションへの投資は、SaaSセキュリティツールやスタッフを上回っている。過去1年間で、81%の組織がビジネスに不可欠なSaaSアプリケーションへの投資を増やしましたが、SaaSセキュリティのためのセキュリティツール(73%)とスタッフ(55%)への投資を増やしたと回答した組織は少なかったです。
・Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed. Nearly half (46%) can only check monthly or less frequently, and another 5 percent don’t check at all, meaning that misconfigurations could go undetected for a month or longer. ・SaaSの設定ミスを手作業で検出し、修正することは、組織を無防備な状態にしている。半数近く(46%)は毎月またはそれ以下の頻度でしかチェックできず、さらに5%はまったくチェックしていないため、設定ミスが1カ月以上検出されない可能性があります。
・The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations. Organizations that use an SSPM can detect and remediate their SaaS misconfigurations significantly quicker — 78 percent checked their SaaS security configurations weekly or more, compared to those not utilizing an SSPM, where only 45 percent were able to check at least weekly. ・SSPM を使用すると、SaaS の設定ミスを検出して修正するまでの時間が短縮されます。SSPMを使用している組織では、SaaSのセキュリティ設定を毎週またはそれ以上チェックしており、SSPMを使用していない組織では、少なくとも毎週チェックできているのは45パーセントに過ぎなかったのに対し、SSPMを使用している組織では、大幅に早くSaaSの設定ミスを検出し修正することができました。

 

・2022.04.11 SaaS Security and Misconfigurations Report

SaaS Security and Misconfigurations Report SaaSのセキュリティと設定ミスに関するレポート
Many recent breaches and data leaks have been tied back to misconfigurations causing it to be a top concern for many organizations. Most research related to misconfigurations has focused strictly on the IaaS layers and ignores the SaaS stack entirely. Yet, SaaS security and misconfigurations are equally crucial to the organization's overall security. For these reasons, CSA developed and distributed a survey to better understand the use of SaaS applications, timeline and tools for SaaS security assessments, a timeframe for misconfiguration detection and remediation, and awareness of security tools for SaaS applications. 最近の情報漏えいの多くは、設定ミスに起因しており、多くの企業にとって最大の関心事となっています。設定ミスに関連する研究のほとんどは、IaaS レイヤーにのみ焦点を当て、SaaS スタックは完全に無視されています。しかし、SaaS のセキュリティとミスコンフィギュレーションは、組織の全体的なセキュリティにとって同様に重要です。このような理由から、CSA は、SaaS アプリケーションの使用状況、SaaS セキュリティ評価のタイムラインとツール、設定ミスの検出と修正のタイムフレーム、SaaS アプリケーション用セキュリティツールの認識について理解を深めるためのアンケートを作成し、配布しました。
The goal of this survey was to understand the current state of SaaS security and misconfigurations. Key areas of interest include: 本調査の目的は、SaaSのセキュリティと設定ミスの現状を把握することである。主な関心分野は以下の通りです。
・Use of SaaS applications with organizations ・組織でのSaaSアプリケーションの利用状況
・Methods, policies, and tools for assessing SaaS app security ・SaaSアプリのセキュリティを評価するための方法、ポリシー、ツール
・Timeline for detecting and remediating misconfigurations in SaaS app security ・SaaSアプリのセキュリティにおける設定ミスの検出と修正のためのタイムライン
・Awareness of new SaaS security related products ・SaaSセキュリティ関連新製品の認知度

 

・[PDF] 簡単な質問に答えるとダウンロードできます

20220418-55117

 

目次...

Acknowledgements 謝辞
Survey Creation and Methodology 調査の作成と方法
Goals of the study 調査の目標
Executive Summary エグゼクティブサマリー
・Key Finding 1: SaaS misconfigurations are leading to security incidents ・重要な発見1:SaaSの設定ミスがセキュリティインシデントにつながっている。
・Key Finding 2: The leading causes of SaaS misconfigurations are lack of visibility and too many departments with access ・重要な発見2:SaaSの設定ミスの主な原因は、可視化されていないこととアクセスできる部署が多すぎること。
・Key Finding 3: Investment in business-critical SaaS applications outpacing SaaS security tools and staff. ・重要な発見3:ビジネスクリティカルなSaaSアプリケーションへの投資が、SaaSセキュリティツールやスタッフよりも上回っている。
・Key Finding 4: Manually detecting and remediating SaaS misconfigurations is leaving organizations exposed ・重要な発見4:SaaSの誤設定を手動で検出し、修正することは、組織を無防備な状態にする。
・Key Finding 5: The use of an SSPM reduces the timeline to detect and remediate SaaS misconfigurations ・重要な発見5:SSPMの使用により、SaaSの設定ミスを検出し修正するまでの時間が短縮される。
SaaS Application Use in Organizations 企業におけるSaaSアプリケーションの活用
SaaS Security Assessment SaaSのセキュリティアセスメント
Misconfigurations in SaaS Security SaaSセキュリティの設定ミス
SaaS Security Tools SaaSセキュリティツール
Conclusion まとめ
Demographics デモグラフィック
About the Sponsor スポンサーについて

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.07 JASA 監査人の警鐘 – 2022年 情報セキュリティ十大トレンド

・2021.12.24 JNSA 2021セキュリティ十大ニュース

・2021.10.11 JIPDEC 2020年度「個人情報の取扱いにおける事故報告集計結果」について

・2021.06.18 Cloud Security Alliance 「Salesforce向けクリティカルコントロールの実装」を公表

・2021.02.01 NISC による重要インフラ事業者等に向けた注意喚起「Salesforceの製品の設定不備による意図しない情報が外部から参照される可能性について」

・2020.12.28 クラウドを利用する際の設定ミスにより第三者に迷惑をかける場合

・2020.08.20 SaaSのセキュリティは重要となりますが、アプリが多いので大変ですよね。。。

 

10年以上前...

・2010.03.27 総務省 クラウドコンピューティング時代のデータセンター活性化策に関する検討会(第4回)配付資料

| | Comments (0)

2022.04.17

公安調査庁 サイバー空間における脅威の概況2022

こんにちは、丸山満彦です。

公安調査庁が、「サイバー空間における脅威の概況2022」を公開していますね。。。表紙等を入れて20ページなのです。最近の状況が簡単にまとまっていてわかりやすいですね。。。

 

公安調査庁

・2022.4.14 「サイバー空間における脅威の概況2022」を公表しました。

・[PDF] サイバー空間における脅威の概況2022 [downloaded]

20220417-63718

内容...

サイバー空間における脅威の増大

2021年におけるサイバー脅威の概況
 1 我が国企業の海外拠点を狙った 攻撃が相次いで発覚
 2 我が国内外で ランサムウェア攻撃が多数発生
 3 オンライン・インフルエンス・オペレーション の広がり

《特集》重要インフラに対するサイバー攻撃

サイバー空間における不正な活動
 1
情報窃取・サイバー諜報
 2 情報システムの破壊・機能妨害
 3 不正な金銭獲得
 4 影響力工作(オンライン・インフルエンス・ オペレーション)

サイバー空間における脅威主体とアトリビューション
 1
中国
 2 ロシア

 3 北朝鮮

サイバー攻撃の手法と対策
 1
サイバー攻撃の手法
  1.1 システムの弱点を突いた攻撃
  1.2 人間の心の隙を突いた攻撃
 2 サイバー攻撃の対策
  2.1 システムの弱点に対する対策
  2.2 人間の心の隙に対する対策

公安調査庁のサイバー関連調査

公安調査庁からの情報発信・公表資料


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.12 警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.09 公安調査庁 経済安全保障関連調査及びサイバー関連調査の取組強化について

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.03.25 公安調査庁 サイバーパンフレット「サイバー空間における脅威の概況2021」at 2021.03.05

・2020.06.30 公安調査庁 サイバーパンフレット「サイバー攻撃の現状2020」

 

| | Comments (0)

個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

事務局資料の他、山本達彦先生、全国万引犯罪防止機構日本万引防止システム協会の資料が公開されていますね。。。

個人情報保護委員会

・2022.04.14 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

 ・[PDF] 議事次第

 ・[PDF] 資料1 事務局説明資料 

 ・[PDF] 資料2 山本構成員説明資料

 ・[PDF] 資料3 全国万引犯罪防止機構説明資料

 ・[PDF] 資料4 日本万引防止システム協会説明資料

 ・[PDF] 参考資料 第2回検討会議事概要


  1. 検討のスコープについて
  • どのような目的で、どういう機能を使ってカメラ画像を取得・利用するかを類型化し、それぞれに応じてカメラ画像を取り扱う事業者等に求められる事項や、ガバナンスを整理する必要がある。
  • カメラの被写体である本人の権利利益を守るために求められる事項には、個人情報 保護法上の具体的な権利や請求権のレベル、プライバシーのレベル、差別や実体的 な不利益からの保護や尊厳を守るための対応事項というレベルがあり、それぞれについて整理する必要がある。
  • 顔識別機能付きカメラの利用者にどのような対応を求めるかの基準を、識別性、照合性、検索性、自動処理の観点から明らかにする必要がある。
  • AI倫理や、EU の AI規則案も分析・検討のスコープに含めるとよいのではないか。

 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

2022.04.16

FBI 3月に発生した6億2000万ドルのイーサリアムが盗まれた事件は北朝鮮に関連するLazarus GroupとAPT38が犯人であることを確認した

こんにちは、丸山満彦です。

3月29日に報告された6億2000万ドル(約780億円)のイーサリアムが盗まれた事件は、朝鮮民主主義人民共和国に関連するサイバーアクターであるLazarus GroupとAPT38が犯人であることをFBIが確認したようですね。。。

すごい金額...

FBI

・2022.04.14 FBI Statement on Attribution of Malicious Cyber Activity Posed by the Democratic People's Republic of Korea

FBI Statement on Attribution of Malicious Cyber Activity Posed by the Democratic People's Republic of Korea 朝鮮民主主義人民共和国による悪質なサイバー行為の帰属に関する FBI の声明
The FBI continues to combat malicious cyber activity including the threat posed by the Democratic People's Republic of Korea to the U.S. and our private sector partners. Through our investigation we were able to confirm Lazarus Group and APT38, cyber actors associated with the DPRK,  are responsible for the theft of $620 million in Ethereum reported on March 29. The FBI, in coordination with Treasury and other U.S. government partners, will continue to expose and combat the DPRK’s use of illicit activities – including cybercrime and cryptocurrency theft – to generate revenue for the regime. FBIは、朝鮮民主主義人民共和国が米国および民間企業パートナーにもたらす脅威を含め、悪質なサイバー行為に対処し続けています。3月29日に報告された6億2000万ドルのイーサリアムが盗まれた事件では、我々の調査により、朝鮮民主主義人民共和国に関連するサイバーアクターであるLazarus GroupとAPT38が犯人であることを確認することが出来ました。FBIは、財務省やその他の米国政府のパートナーと連携し、DPRKがサイバー犯罪や暗号通貨窃盗などの不正な活動を利用して政権の収入を得ていることを暴露し、その撲滅に努めていきます。

 

Fbi_20210425171201

| | Comments (0)

2022.04.15

米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08)

こんにちは、丸山満彦です。

米国 食品医薬品局が医療機器におけるサイバーセキュリティについてのガイダンス案を公表し、意見募集をしていますね。。。SBOMも内容に含まれていますね。。。

 

Food and Drug Administration: FDA

Guidance Documents (Medical Devices and Radiation-Emitting Products)

・2022.04.08 Cybersecurity in Medical Devices: Quality System Considerations and Content of Premarket Submissions

・[PDF]

20220415-122507

 

I. Introduction I. はじめに
II. Scope II. 対象範囲
III. Background III. 背景
IV. General Principles IV. 一般原則
A. Cybersecurity is Part of Device Safety and the Quality System Regulations A. サイバーセキュリティは機器安全および品質システム規制の一部である
B. Designing for Security B. セキュリティのための設計
C. Transparency C. 透明性
D. Submission Documentation D. 提出書類
V. Using an SPDF to Manage Cybersecurity Risks V. サイバーセキュリティリスクを管理するためのSPDFの利用
A. Security Risk Management A. セキュリティリスク管理
1. Threat Modeling 1. 脅威のモデル化
2. Third-Party Software Components 2. サードパーティソフトウェアコンポーネント
3. Security Assessment of Unresolved Anomalies 3. 未解決の異常に対するセキュリティ評価
4. Security Risk Management Documentation 4. セキュリティリスクマネジメントの文書化
5. TPLC Security Risk Management 5. TPLCセキュリティリスクマネジメント
B. Security Architecture B. セキュリティ・アーキテクチャ
1. Implementation of Security Controls 1. セキュリティコントロールの実装
2. Security Architecture Views 2. セキュリティ・アーキテクチャ・ビュー
(a) Global System View (a) グローバルシステムビュー
(b) Multi-Patient Harm View (b) マルチペアレントハームビュー
(c) Updatability and Patchability View (c) 更新性・パッチ適用性ビュー
(d) Security Use Case Views (d) セキュリティユースケースビュー
C. Cybersecurity Testing C. サイバーセキュリティテスト
VI. Cybersecurity Transparency VI. サイバーセキュリティの透明性
A. Labeling Recommendations for Devices with Cybersecurity Risks A. サイバーセキュリティリスクのある機器に対するラベリング推奨事項
B. Vulnerability Management Plans B. 脆弱性管理計画
Appendix 1. Security Control Categories and Associated Recommendations 附属書 1. セキュリティ管理カテゴリーと関連する推奨事項
A. Authentication A. 認証
B. Authorization B. 認可
C. Cryptography C. 暗号技術
D. Code, Data, and Execution Integrity D. コード、データ、実行の整合性
E. Confidentiality E. 機密保持
F. Event Detection and Logging F. イベントの検出とログ
G. Resiliency and Recovery G. 回復力およびリカバリ
H. Firmware and Software Updates H. ファームウェアとソフトウェアの更新
Appendix 2. Submission Documentation for Security Architecture Flows 附属書2.セキュリティアーキテクチャフローの提出書類
A. Call-Flow Diagrams A. コールフロー図
B. Information Details for an Architecture View B. アーキテクチャビューの情報詳細
Appendix 3. Submission Documentation for Investigational Device Exemptions 附属書 3. 治験機器申請書類について
Appendix 4. Terminology 附属書 4. 用語解説

 

SBOM関係

2. Third-Party Software Components 2. サードパーティソフトウェアコンポーネント
As discussed in the FDA guidances “Off-The-Shelf (OTS) Software Use in Medical Devices”[25] and “Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software,”[26] medical devices commonly include third-party software components including off-the-shelf and open source software. When these components are incorporated, security risks of the software components become factors of the overall medical device system risk management processes and documentation. FDAのガイダンス「Off-The-Shelf (OTS) Software Use in Medical Devices」[25]や「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」[26]で述べられているように、医療機器には一般的に市販のソフトウェアやオープンソースを含む第三者のソフトウェアコンポーネントが含まれています。これらのコンポーネントが組み込まれると、ソフトウェアコンポーネントのセキュリティリスクは、医療機器システム全体のリスク管理プロセス及び文書化の要素となります。
As part of demonstrating compliance with quality system design controls under 21 CFR 820.30(g), and to support supply chain risk management processes, all software, including that developed by the device manufacturer (“proprietary software”) and obtained from third parties should be assessed for cybersecurity risk and that risk should be addressed. Accordingly, device manufacturers are expected to document all software components[27]of a device and to mitigate risks associated with these software components.   21 CFR 820.30(g)に基づく品質システム設計管理への準拠を実証する一環として、またサプライチェーンのリスク管理プロセスを支援するために、機器メーカーが開発したソフトウェア(「専有ソフトウェア」)や第三者から入手したソフトウェアを含むすべてのソフトウェアは、サイバーセキュリティリスクを評価し、そのリスクに対処する必要があります。したがって、機器メーカーは、機器のすべてのソフトウェアコンポーネント[27]を文書化し、これらのソフトウェアコンポーネントに関連するリスクを軽減することが期待されています。 
In addition, under 21 CFR 820.50, manufacturers must put in place processes and controls to ensure that their suppliers conform to the manufacturer’s requirements. Such information is documented in the Design History File, required by 21 CFR 820.30(j), and Design Master Record, required by 21 CFR 820.181. This documentation demonstrates the device’s overall compliance with the QSR, as well as that the third-party components meet specifications established for the device. Security risk assessments that include analyses and considerations of cybersecurity risks that may exist in or be introduced by third-party software and the software supply chain may help demonstrate that manufacturers have adequately ensured such compliance and documented such history.   さらに、21 CFR 820.50に基づき、メーカーは、サプライヤーがメーカーの要件に適合することを保証するためのプロセスとコントロールを導入する必要があります。このような情報は、21 CFR 820.30(j)で要求される設計履歴ファイル及び 21 CFR 820.181 で要求される設計マスターレコードに文書化される。この文書により、機器が全体的にQSRに準拠していること、及び第三者の部品が機器に対して設定された仕様を満たしていることが証明される。サードパーティ製ソフトウェア及びソフトウェアサプライチェーンに存在する、又はそれらによってもたらされる可能性のあるサイバーセキュリティリスクの分析及び考慮を含むセキュリティリスク評価は、製造業者がそのようなコンプライアンスを適切に確保し、その履歴を文書化していることを証明するのに役立つ場合があります。 
As part of configuration management, device manufacturers should have custodial control of source code through source code escrow and source code backups.[28] While source code is not provided in premarket submissions, if this control is not available based on the terms in supplier agreements, the manufacturer should include in premarket submissions a plan of how the thirdparty software component could be updated or replaced should support for the software end. The device manufacturer is also expected to provide to users whatever information is necessary to allow users to manage risks associated with the device.   28] 市販前申請ではソースコードは提供されないが、供給者契約の条件に基づいてこの管理が利用できない場合、製造者は市販前申請に、ソフトウェアのサポートが終了した場合に第三者のソフトウェアコンポーネントをどのように更新または交換できるかの計画を含める必要があります。また、機器メーカーは、ユーザーが機器に関連するリスクを管理できるようにするために必要なあらゆる情報をユーザーに提供することが期待されています。 
One tool to help manage supply chain risk as well as clearly identify and track the software incorporated into a device is a Software Bill of Materials (SBOM), as described below.  サプライチェーンのリスクを管理し、機器に組み込まれたソフトウェアを明確に特定し追跡するのに役立つツールの1つが、以下に説明するソフトウェア部品表(SBOM)です。
(a)  Software Bill of Materials  (a) ソフトウェア部品表 
A Software Bill of Materials (SBOM) can aid in the management of cybersecurity risks that exist throughout the software stack.  A robust SBOM includes both the device manufacturer developed components and third-party components (including purchased/licensed software and open-source software), and the upstream software dependencies that are required/depended upon by proprietary, purchased/licensed, and open-source software. An SBOM helps facilitate risk management processes by providing a mechanism to identify devices that might be affected by vulnerabilities in the software components, both during development (when software is being chosen as a component) and after it has been placed into the market throughout all other phases of a product’s life.[29]   ソフトウェア部品表(SBOM)は、ソフトウェアスタック全体に存在するサイバーセキュリティリスクの管理を支援することができます。 堅牢なSBOMは、デバイスメーカーが開発したコンポーネントとサードパーティのコンポーネント(購入/ライセンスされたソフトウェアとオープンソースのソフトウェアを含む)、およびプロプライエタリ、購入/ライセンス、オープンソースのソフトウェアが要求/依存する上流のソフトウェアの依存関係の両方を含んでいます。SBOMは、開発中(ソフトウェアがコンポーネントとして選択されるとき)と、製品のライフサイクルの他のすべての段階を通じて市場に投入された後の両方で、ソフトウェアコンポーネント内の脆弱性によって影響を受けるかもしれない装置を識別するメカニズムを提供することによって、リスク管理プロセスの促進を支援する[29]。 
Because vulnerability management is a critical part of a device’s security risk management processes, an SBOM or an equivalent capability should be maintained as part of the device’s configuration management, be regularly updated to reflect any changes to the software in marketed devices, and should support 21 CFR 820.30(j) (Design History File) and 820.181 (Design Master Record) documentation.    脆弱性管理は、機器のセキュリティリスク管理プロセスの重要な部分であるため、SBOMまたは同等の機能は、機器の構成管理の一部として維持され、市販の機器のソフトウェアのあらゆる変更を反映するために定期的に更新され、21 CFR 820.30(j) (設計履歴ファイル)および820.181(設計マスターレコード)文書をサポートする必要があります。  
To assist FDA’s assessment of the device risks and associated impacts on safety and effectiveness related to cybersecurity, FDA recommends that premarket submissions include SBOM documentation as outlined below. SBOMs can also be an important tool for transparency with users of potential risks as part of labeling as addressed later in Section VI   サイバーセキュリティに関連する機器のリスクおよび安全性と有効性への関連した影響のFDAによる評価を支援するために、FDAは市販前申請に以下のようなSBOM文書を含めることを推奨しています。SBOMはまた、セクションVIで後述するように、ラベリングの一部として潜在的なリスクをユーザーに透明化するための重要なツールになりえます。 
(b)  Documentation Supporting Software Bill of Materials  (b) ソフトウェア部品表をサポートする文書 
FDA’s guidance documents “Off-The-Shelf (OTS) Software Use in Medical Devices”[30]  and “Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software”[31] describe information that should be provided in premarket submissions for software components for which a manufacturer cannot claim complete control of the software lifecycle.  In addition to the information recommended in those guidances, for each OTS component, the following should also be provided in a machine-readable format in premarket submissions.   FDAのガイダンス文書「医療機器における既製(OTS)ソフトウェアの使用」[30]と「既製(OTS)ソフトウェアを含むネットワーク型医療機器のサイバーセキュリティ」[31]は、メーカーがソフトウェアのライフサイクルを完全にコントロールできないとするソフトウェアコンポーネントについて市販前申請で提供すべき情報を記述しています。 これらの指針で推奨される情報に加えて、各OTSコンポーネントについて、以下の事項を市販前申請の際に機械可読形式で提供することが望ましい。 
A.  The asset(s) where the software component resides;  A. ソフトウェア・コンポーネントが存在する資産
B.  The software component name;  B. ソフトウェア・コンポーネントの名称 
C.  The software component version;  C. ソフトウェアコンポーネントのバージョン 
D.  The software component manufacturer;  D. ソフトウェアコンポーネントの製造元 
E.  The software level of support provided through monitoring and maintenance from the software component manufacturer;  E. ソフトウェア部品製造業者による監視と保守を通じて提供されるソフトウェアレベル
F.  The software component’s end-of-support date; and  F.  ソフトウェア・コンポーネントのサポート終了日 
G.  Any known vulnerabilities.[32]  G. 既知の脆弱性[32]。
Industry-accepted formats of SBOMs can be used to provide this information to FDA; however, if any of the above elements are not captured in such an SBOM, we recommend that those items also be provided, typically as an addendum, to FDA for the purposes of supporting premarket submission review. Additional examples of the type of information to include in a SBOM can be found in the Joint Security Plan - Appendix G (“Example Customer Security Documentation”)[33] and Sections 2.3.17 and 2.3.18 of the Manufacturer Disclosure Statement for Medical Device Security (referred to as MDS2 or MDS2)[34] SBOMの業界標準のフォーマットを使用してFDAにこの情報を提供することができます。しかし、上記の要素のいずれかがSBOMに含まれていない場合、市販前の申請審査をサポートする目的で、それらの項目も、通常は補遺として、FDAに提供することをお勧めします。SBOMに含めるべき情報の種類の追加例は、共同セキュリティ計画-付録G(「顧客セキュリティ文書の例」)[33]および医療機器セキュリティに関する製造業者開示声明(MDS2またはMDS2と呼ばれる)[34]のセクション2.3.17および2.3.18で見つけることができます。
As part of the premarket submission, manufacturers should also describe how the known vulnerabilities (item (G) above) were discovered to demonstrate whether the assessment methods were sufficiently robust. For third-party components with known vulnerabilities, device manufacturers should provide in premarket submissions:  また、製造業者は、市販前申請の一部として、評価方法が十分に堅牢であったかどうかを示すために、既知の脆弱性(上記項目(G))がどのように発見されたかを説明する必要があります。既知の脆弱性を有するサードパーティーコンポーネントについて、機器メーカーは市販前申請で提供する必要があります。 
•       A safety and security risk assessment of each known vulnerability; and  ・各既知の脆弱性に関する安全性及びセキュリティリスク評価
•       Details of applicable safety and security risk controls to address the vulnerability.  If risk controls include compensating controls, those should be described in an appropriate level of detail  ・ 脆弱性に対処するために適用される安全性およびセキュリティリスクコントロールの詳細。 リスクコントロールに代償コントロールが含まれる場合,それらは適切なレベルで詳細に記述されるべきです。
For additional information and discussion regarding proprietary and third-party components, see section V.B.2., Security Architecture Views, below. 専有部品及び第三者部品に関する追加情報及び議論については、以下の「V.B.2.セキュリティアーキテクチャービュー」を参照のこと。
   
[25] See FDA guidance Off-The-Shelf (OTS) Software Use in Medical Devices available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices.  26  [25] 医療機器における既製(OTS)ソフトウェアの使用については、https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices にあるFDAガイダンスを参照。 26 https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software にあるFDAガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照のこと。 
[26] See FDA guidance Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software.   [26] FDA ガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software)。  
[27] The use of “component” in this guidance is consistent with the definition in 21 CFR 820.3. [27] 本ガイダンスにおける「コンポーネント」の使用は、21 CFR 820.3における定義と一致している。
[28] While some suppliers may not grant access to source code, manufacturers may consider adding to their purchasing controls acquisition of the source code should the purchased software reach end of support or end of life from the supplier earlier than the intended end of support or end of life of the medical device.  [28] 供給者によってはソースコードへのアクセスを認めない場合もあるが、製造者は、購入したソフ トウェアが供給者からのサポート終了又は医療機器の意図したサポート終了又は寿命より早く終 了する場合には、ソースコードの取得を購買管理に加えることを検討してもよい。
[29] For additional information see the Department of Commerce National Telecommunications and Information Administration’s multi-stakeholder process for software transparency.  [29] その他の情報については、商務省電気通信情報局のソフトウェアの透明性に関するマルチステークホルダー・プロセスを参照してください。
https://www.ntia.doc.gov/SoftwareTransparency  https://www.ntia.doc.gov/SoftwareTransparency 
[30] See FDA guidance Off-The-Shelf (OTS) Software Use in Medical Devices available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices. [30] FDAガイダンス「Off-The-Shelf (OTS) Software Use in Medical Devices」を参照(https://www.fda.gov/regulatory-information/search-fda-guidance-documents/shelf-software-use-medical-devices)。
[31] See FDA guidance Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software available at: https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software. [31] https://www.fda.gov/regulatory-information/search-fda-guidance-documents/cybersecurity-networkedmedical-devices-containing-shelf-ots-software にあるFDAガイダンス「Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software」を参照すること。
[32] Known vulnerabilities are vulnerabilities that are published in the public National Vulnerability Database (NVD) or similar software vulnerability and/or weakness database. NVD is available at https://nvd.nist.gov/vuln/full-listing [既知の脆弱性とは、公開されているNational Vulnerability Database(NVD)または同様のソフトウェア脆弱性・弱点データベースで公開されている脆弱性を指します。NVD は、https://nvd.nist.gov/vuln/full-listing で利用可能です。
[33] Medical Device and Health IT Joint Security Plan (JSP) is available at https://healthsectorcouncil.org/the-jointsecurity-plan/. [33] 医療機器と医療ITの共同セキュリティ計画(JSP)は、https://healthsectorcouncil.org/the-jointsecurity-plan/ で入手できます。
[34] The Manufacturer Disclosure Statement for Medical Device Security is available at https://www.nema.org/standards/view/manufacturer-disclosure-statement-for-medical-device-security.  [34] 医療機器セキュリティに関する製造者開示説明書(Manufacturer Disclosure Statement for Medical Device Security)は、https://www.nema.org/standards/view/manufacturer-disclosure-statement-for-medical-device-security。

| | Comments (0)

ENISA EUにおける協調的脆弱性開示政策

こんにちは、丸山満彦です。

ENISAがEUにおける協調的脆弱性開示政策についての報告書を公開していますね。。。EU各国での協調的脆弱性開示政策を分析していますね。。。

あわせて、中国、米国、そして日本にも触れられています。。。日本といえば、「早期警戒パートナーシップ」ですね。。。かなり上手くいっているという評価のようです。。。

ENISA

・2022.04.13 (news) Coordinated Vulnerability Disclosure policies in the EU

Coordinated Vulnerability Disclosure policies in the EU EUにおける協調的脆弱性開示政策
The European Union Agency for Cybersecurity (ENISA) publishes a map of national Coordinated Vulnerability Disclosure (CVD) policies in the EU Member States and makes recommendations. 欧州連合サイバーセキュリティ機関(ENISA)は、EU加盟国各国の協調的脆弱性開示政策 (CVD) のマップを公開し、提言を行います。
<data-diazo="news-body">Vulnerability disclosure has become the focus of attention of cybersecurity experts engaged in strengthening the cybersecurity resilience of the European Union. The valid source of concern comes from the cybersecurity threats looming behind vulnerabilities, as demonstrated by the impact of the Log4Shell vulnerability. 欧州連合のサイバーセキュリティの強靭性強化に携わるサイバーセキュリティの専門家の間で、脆弱性の開示が注目されています。Log4Shellの脆弱性の影響に示されるように、脆弱性の背後に迫るサイバーセキュリティの脅威が、正当な懸念材料となっています。
Security researchers and ethical hackers constantly scrutinise ICT systems - both open source and commercial closed source software - to find weaknesses, misconfigurations, software vulnerabilities, etc. A wide range of issues are thus revealed: weak passwords, fundamental cryptographic flaws or deeply nested software bugs. セキュリティ研究者と倫理的ハッカーは、ICTシステム(オープンソースと商用クローズドソースの両方)を常に精査し、弱点、設定ミス、ソフトウェアの脆弱性などを見つけ出しています。このようにして、脆弱なパスワード、暗号の基本的な欠陥、あるいは深く入り組んだソフトウェアのバグなど、さまざまな問題が明らかになります。
Identifying vulnerabilities is therefore essential if we want to prevent attackers from exploiting them. It is important to consider that attackers can always develop malware specially designed to exploit vulnerabilities disclosed to the public. Besides the identification itself, vendors can also be reluctant to acknowledge vulnerabilities as their reputation might be damaged as a consequence. したがって、攻撃者に悪用されるのを防ぐためには、脆弱性を特定することが不可欠です。攻撃者は、公開された脆弱性を悪用するために特別に設計されたマルウェアを常に開発できることを考慮することが重要です。また、脆弱性の特定だけでなく、ベンダーが脆弱性を認めたがらないのは、結果として自社の評判を落とすことになりかねないからです。
What is CVD? CVDとは?
Coordinated vulnerability disclosure (CVD) is a process by which vulnerabilities finders work together and share information with the relevant stakeholders such as vendors and ICT infrastructure owners. 協調的脆弱性開示(CVD)とは、脆弱性発見者が協力し、ベンダーやICTインフラ所有者などの関係者と情報を共有するプロセスです。
CVD ensures that software vulnerabilities get disclosed to the public once the vendor has been able to develop a fix, a patch, or has found a different solution. CVDは、ベンダーが修正プログラムやパッチを開発したり、別の解決策を見つけたりした時点で、ソフトウェアの脆弱性が一般に公開されるようにするものです。
What are national CVD policies? 各国のCVD政策とは何ですか?
National CVD policies are national frameworks of rules and agreements designed to ensure: 各国の CVD 政策とは、以下のことを確実にするためのルールや合意事項からなる国家的な枠組みです。
・researchers contact the right parties to disclose the vulnerability; ・研究者は、脆弱性を開示するために適切な関係者に連絡する。
・vendors can develop a fix or a patch in a timely manner; ・ベンダーがタイムリーに修正プログラムやパッチを開発できること。
・researchers get recognition from their work and are protected from prosecution. ・研究者が自分の仕事を評価され、訴追から保護されること。
What is the situation in the EU? EUの状況は?
The report published today maps the national CVD policies in place across the EU, compares the different approaches and, highlights good practices. 本日発表された報告書は、EU全域で実施されている各国のCVD政策をマッピングし、異なるアプローチを比較し、優れた実践例を紹介しています。
The analysis allows a wide disparity to be observed among Member States in relation to their level of CVD policy achievement. At the time the data used in the report was collected, only four Member States had already implemented such a CVD policy, while another four of them were about to do so. The remaining Member States are split into two groups: those currently discussing how to move forward and those who have not yet reached that stage. この分析により、CVD政策の達成度に関して、加盟国間で大きな格差があることが確認された。この報告書で使用されたデータが収集された時点で、CVD政策をすでに実施していた加盟国はわずか4カ国であり、さらにそのうちの4カ国は実施間近であった。残りの加盟国は、現在どのように進めるか議論している国と、まだその段階に至っていない国の2つのグループに分けられます。
What are ENISA’s recommendations to promote CVD? CVDを推進するためのENISAの提言とは?
The main recommendations from the analysis of nineteen EU Member States include: 19のEU加盟国の分析から得られた主な提言は以下の通りです。
・Amendments to criminal laws and to the Cybercrime Directive to offer legal protection to security researchers involved in vulnerability discovery; ・脆弱性発見に関与するセキュリティ研究者に法的保護を提供するための刑法およびサイバー犯罪指令の改正。
・the definition of specific criteria for a clear-cut distinction between “ethical hacking” and “black hats” activities prior to establishing any legal protection for security researchers; ・セキュリティ研究者の法的保護を確立する前に、「倫理的ハッキング」と「ブラックハット」活動を明確に区別するための具体的基準を定義すること。
・incentives to be developed for security researchers to actively participate in CVD research, either through national or European bug bounty programmes, or through promoting and conducting cybersecurity training. ・セキュリティ研究者が CVD 研究に積極的に参加するためのインセンティブを、国内または欧州のバグバウンティプログラム、あるいはサイバーセキュリティ研修の推進と実施のいずれかを通じて開発すること。
Apart from the above, additional recommendations are issued in relation to the economic and polical challenges and also address operational and crisis management activities. 上記とは別に、経済的・政治的課題、運用・危機管理活動に関する追加提言も発表されている。
Next steps 次のステップ
The Commission’s proposal for the revision of the Network and Information Security Directive or NIS2 proposal, provides for EU countries to implement a national CVD policy. ENISA will be supporting the EU Member States with the implementation of this provision and will be developing a guideline to help EU Member States establish their national CVD policies. 欧州委員会のネットワークおよび情報セキュリティ指令の改正案(NIS2案)では、EU諸国が国別のCVD政策を実施することが規定されています。ENISAは、この規定の実施についてEU加盟国を支援し、EU加盟国の国家CVD政策の確立を支援するためのガイドラインを策定する予定です。
In addition, ENISA will need to develop and maintain an EU Vulnerability database (EUVDB). The work will complement the already existing international vulnerability databases. ENISA will start discussing the implementation of the database with the European Commission and the EU Member States after the adoption of the NIS2 proposal. さらに、ENISAはEU脆弱性データベース(EUVDB)を開発し、維持する必要があります。この作業は、すでに存在する国際的な脆弱性データベースを補完することになります。ENISAは、NIS2提案の採択後、欧州委員会およびEU加盟国とデータベースの導入について協議を開始する予定です。
Background material 背景資料
The report builds upon previous work performed by ENISA in the field of vulnerabilities. ENISA issued a report on good practices on vulnerability disclosure in 2016, and the economic impact of vulnerabilites was explored in detail in 2018. In addition, the limitations and opportunities of the vulnerability ecosystem were analysed in the ENISA 2018/2019 State of Vulnerabilities report. この報告書は、脆弱性の分野でENISAが行った過去の作業を基に作成されています。ENISAは2016年に脆弱性開示に関するグッドプラクティスに関する報告書を発行し、2018年には脆弱性の経済的影響について詳細に検討しました。さらに、脆弱性エコシステムの限界と機会については、ENISA 2018/2019 State of Vulnerabilitiesレポートで分析されました。
Further information さらに詳しい情報
Vulnerability Disclosure in the EU – An overview of National Vulnerability Disclosure Policies in the EU – ENISA report EUにおける脆弱性開示 - EUにおける各国の脆弱性開示政策の概要 - ENISAレポート
State of Vulnerabilities 2018/2019 - Analysis of Events in the life of Vulnerabilities 脆弱性の状態2018/2019 - 脆弱性の生涯における事象の分析
Economics of Vulnerability Disclosure 脆弱性情報公開の経済学
Good Practice Guide on Vulnerability Disclosure. From challenges to recommendations 脆弱性開示に関するグッドプラクティスガイド:課題から提言まで

 


・2022.04.13 Coordinated Vulnerability Disclosure Policies in the EU

Coordinated Vulnerability Disclosure Policies in the EU EUにおける協調的脆弱性開示政策
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements. 本レポートでは、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握できるほか、ハイレベルな主要調査結果や今後の改善に関する提言も掲載しています。

・[PDF

20220415-50403

概要...

EXECUTIVE SUMMARY  エグゼクティブ・サマリー
This report analyses information and presents an overview of coordinated vulnerability disclosure (CVD) policies at the national level within the EU. Aside from offering a comprehensive overview of the EU CVD state of play, it also provides high-level key findings and recommendations for future improvements.  本報告書では、EU域内の国レベルでの協調的脆弱性開示(CVD)政策について、情報を分析し、その概要を紹介しています。EUのCVDの現状を包括的に把握することはもちろん、ハイレベルな重要事項や今後の改善に向けた提言も行っています。
As shown by the recent Apache Log4j vulnerability, a single software flaw can put hundreds of millions of devices around the world at risk, leaving organizations struggling to patch affected systems before the vulnerability turns into a security incident. This is yet another vulnerability with global repurcussions that shows the importance of security research, communication between stakeholders, patching and good security practices.  最近のApache Log4jの脆弱性に見られるように、1つのソフトウェアの欠陥が世界中の何億ものデバイスを危険にさらし、組織は脆弱性がセキュリティ事故に発展する前に、影響を受けるシステムにパッチを当てることに苦労しています。これは、セキュリティ研究、関係者間のコミュニケーション、パッチ適用、優れたセキュリティ対策の重要性を示す、世界的な影響を及ぼすもう一つの脆弱性です。
A national CVD policy is a framework under which security researchers are allowed and encouraged to research ICT products and services, following a set of rules, and report any vulnerabilities they find to the national authorities or the product vendor. A national CVD policy helps to increase the overall level of cybersecurity in a country; it increases transparency, and this helps to build trust in the ICT services and products used in that country. In addition, it allows for valuable time and cooperation between stakeholders for patch development, which can potentially reduce the time for exploitation.  CVD政策とは、セキュリティ研究者が一定のルールに従ってICT製品やサービスを研究し、発見した脆弱性を国家機関や製品ベンダーに報告することを許可・奨励する枠組みを指します。CVD政策は、その国のサイバーセキュリティのレベルを向上させ、透明性を高め、その国で使用されているICTサービスや製品に対する信頼性を高めるのに役立ちます。さらに、パッチ開発のための貴重な時間と関係者間の協力が可能になり、悪用されるまでの時間を短縮できる可能性があります。
At the national level, the research shows that, while evolving in a fragmented EU environment, multiple EU Member States are making progress in the development of national CVD policies. Currently, only Belgium, France, Lithuania and the Netherlands are undertaking CVD policy work and have implemented policy requirements. Among these four countries, policy initiatives strongly differ. In parallel, four other Member States are on the point of implementing a policy. In these cases, the proposal is either being examined at the level of policymakers or is being tested in pilot projects. Another set of ten EU Member States are considering implementing a national CVD policy or are on the point of doing so. However, failure to reach a consensus at the political or legislative levels hampered the process. Finally, another group of Member States (nine) has not implemented a CVD policy and the process for establishing one has not yet started.  国レベルでは、断片的なEU環境の中で進化しながらも、複数のEU加盟国が国別CVD政策の策定を進めていることが調査から明らかになっています。現在、ベルギー、フランス、リトアニア、オランダだけがCVD政策に取り組んでおり、政策要件を導入しています。この4カ国の間では、政策の取り組みに大きな違いがあります。これと並行して、他の4つの加盟国も政策の実施に踏み切っています。これらの国では、政策立案者レベルで検討されているか、パイロットプロジェクトで試験的に実施されている段階です。また、EU加盟国のうち10カ国は、国内CVD政策の実施を検討しているか、実施しようとしています。しかし、政治や立法レベルでのコンセンサスが得られないことが、このプロセスの障害となっています。最後に、別の加盟国(9カ国)はCVD政策を実施しておらず、政策の確立に向けたプロセスもまだ始まっていません。
This EU market heterogeneity could be explained by various challenges faced by national governments when considering CVD initiatives. These challenges include legal, economical and political aspects which are further addressed in this report. Additionally, the lack of alignment of CVD practices, terminology, understanding and assessment of a CVD process is perceived as an obstacle for the implementation of national CVD policies and cooperation between Member States.  このようなEU市場の異質性は、CVDの取り組みを検討する際に各国政府が直面するさまざまな課題によって説明することができます。これらの課題には、法的、経済的、政治的な側面が含まれ、本レポートでさらに詳しく説明されています。さらに、CVDの実務、用語、CVDプロセスの理解や評価が一致していないことが、各国のCVD政策の実施や加盟国間の協力の障害になっていると考えられています。
More specifically, it turned out that the comprehensive CVD process is often, but not always, supported by national CSIRTs, which many countries see as the natural focal point for these activities. Good practices related to CVD policies and authorities’ involvement have been shared by Member States representatives and collected in this report.  具体的には、包括的なCVDのプロセスは、多くの場合、各国のCSIRTによって支援されているが、常に支援されているわけではなく、多くの国がこれらの活動のための自然な中心地であるとみなしていることが判明しました。本報告書では、CVD政策と当局の関与に関するグッドプラクティスをメンバー国の代表と共有し、収集しました。
CVD policy initiatives carried out in China, Japan and the United States were also reported. These non-EU players presented various methods of creating and adapting a CVD national policy, and maintaining and working on vulnerability registries. These notions are further detailed aside from EU practices and illustrated with inspiring inputs from experts.  また、中国、日本、米国におけるCVD政策の取り組みも報告されました。これらの非EU加盟国は、CVD国家政策の策定と適応、脆弱性登録の維持と作業について、さまざまな方法を提示しました。これらの概念は、EUの慣行とは別にさらに詳しく、専門家からの刺激的なインプットとともに説明されています。
Furthermore, there are several challenges that were identified by the Member States and are presented for discussion, along with relevant recommendations that can help mitigate them and support the implementation of national vulnerability disclosure policies. These challenges were identified and categorized based on their nature as legal, economic or political, and include findings such as  さらに、加盟国によって特定されたいくつかの課題があり、それらを軽減し、脆弱性開示の国家政策の実施を支援することができる関連勧告とともに、議論のために提示されています。これらの課題は、法的、経済的、政治的な性質に基づいて特定・分類され、以下のような知見が含まれています。
•        legal risks faced by researchers;  ・研究者が直面する法的リスク
•        limited economic incentives for vulnerability research;  ・脆弱性研究に対する限られた経済的インセンティブ
•        political challenges related to the role of the government and ‘safe harbour’ for researchers.  ・政府の役割と研究者のための「セーフハーバー」に関する政治的課題。
Lastly, following the analysis, several recommendations and concrete suggestions were presented for the role of the European Union Agency for Cybersecurity (ENISA) in supporting CVD in the EU. Some of the most important recommendations and suggested objectives are listed below.  最後に、分析に続いて、EUにおけるCVDの支援における欧州連合サイバーセキュリティ機関(ENISA)の役割について、いくつかの提言と具体的な提案が提示されました。最も重要な提言と提案された目標を以下に挙げます。
Major recommendations  主な提言 
•        Take the necessary steps to develop and implement national CVD policies.  ・各国のCVD政策の策定と実施に必要な措置を講じること。
•        Define the role of ethical hackers in relevant national laws to establish a framework for ethical security research around vulnerabilities.  ・倫理的ハッカーの役割を関連する国内法で定義し、脆弱性をめぐる倫理的なセキュリティ研究の枠組みを確立すること。
•        Develop incentives for security researchers to actively participate in CVD research. ・セキュリティ研究者が CVD 研究に積極的に参加できるようなインセンティブを整備すること。
Role for ENISA and the European Commission  ENISAと欧州委員会の役割 
•        Provide clear guidance to Member States on how to establish a CVD policy.  ・加盟国に対しCVD政策の策定方法について明確なガイダンスを提供すること。
•        Promote knowledge building and information exchange on CVD at the EU level.  ・EUレベルでのCVDに関する知識の構築と情報交換を促進すること。
•        Encourage the harmonization of CVD initiatives across countries.  ・国を超えたCVDの取り組みの調和を促進すること。
The information regarding the state of play of EU Member States presented herein was collected between Q2 and Q3 2021. Any updates to that status since then will be presented in future ENISA work. 本書で紹介するEU加盟国の取り組み状況に関する情報は、2021年第2四半期から第3四半期にかけて収集されたものです。それ以降のその状況の更新は、今後のENISAの作業で紹介される予定です。

 

目次...

1. INTRODUCTION  1. はじめに 
2. COORDINATED VULNERABILITY DISCLOSURE POLICIES  2. 協調的脆弱性開示政策 
2.1 STATE OF PLAY CVD POLICIES IN THE EU AND RELEVANT COUNTRIES AND REGIONS OUTSIDE  THE EU 2.1 EU および EU 圏外の関連国・地域における CVD 政策の実施状況
2.2 STATUS OF CVD POLICIES IN THE EU  2.2 EUにおけるCVD政策の状況 
2.3 CVD WITHIN EACH MEMBER STATE  2.3 各加盟国でのCVD 
2.3.1 Belgium  2.3.1 ベルギー 
2.3.2 Bulgaria  2.3.2 ブルガリア 
2.3.3 Czechia  2.3.3 チェコ共和国 
2.3.4 Denmark  2.3.4 デンマーク 
2.3.5 Germany  2.3.5 ドイツ 
2.3.6 Estonia  2.3.6 エストニア 
2.3.7 Ireland  2.3.7 アイルランド 
2.3.8 Greece  2.3.8 ギリシャ 
2.3.9 Spain  2.3.9 スペイン 
2.3.10 France  2.3.10 フランス 
2.3.11 Croatia  2.3.11 クロアチア 
2.3.12 Italy  2.3.12 イタリア 
2.3.13 Cyprus  2.3.13 キプロス 
2.3.14 Latvia  2.3.14 ラトビア 
2.3.15 Lithuania  2.3.15 リトアニア 
2.3.16 Luxembourg  2.3.16 ルクセンブルク 
2.3.17 Hungary  2.3.17 ハンガリー 
2.3.18 Malta  2.3.18 マルタ 
2.3.19 The Netherlands  2.3.19 オランダ 
2.3.20 Austria  2.3.20 オーストリア 
2.3.21  Poland  2.3.21 ポーランド 
2.3.22 Portugal  2.3.22 ポルトガル 
2.3.23 Romania  2.3.23 ルーマニア 
2.3.24 Slovenia  2.3.24 スロベニア 
2.3.25 Slovakia  2.3.25 スロバキア 
2.3.26 Finland  2.3.26 フィンランド 
2.3.27 Sweden  2.3.27 スウェーデン 
2.4 CVD OUTSIDE THE EUROPEAN UNION  2.4 欧州連合外のCVD 
2.4.1 People’s Republic Of China   2.4.1 中華人民共和国  
2.4.2 Japan   2.4.2 日本  
2.4.3 United States of America   2.4.3 アメリカ合衆国  
3. CVD POLICY PRACTICES  3. CVD政策の実践 
3.1 DESIRED ELEMENTS OF CVD PROCESSES  3.1 CVDプロセスに望まれる要素 
3.1.1 Entities Involved  3.1.1 関与する主体 
3.1.2 Tools  3.1.2 ツール 
3.1.3 Awareness-Raising Campaigns  3.1.3 意識改革キャンペーン 
3.1.4 Operational and Crisis Management Activities  3.1.4 運用・危機管理活動 
3.2 CVD POLICY – GOOD PRACTICES  3.2 CVD政策 - グッドプラクティス 
3.2.1 Content of a CVD Policy  3.2.1 CVD政策の内容 
3.2.2 Established Good Practices in Member States CVD Procedures  3.2.2 加盟国のCVD手続きにおけるグッドプラクティスの確立 
3.3 CHALLENGES AND ISSUES  3.3 課題と問題点 
3.3.1 Legal challenges  3.3.1 法的課題 
3.3.2 Economic challenges  3.3.2 経済的な課題 
3.3.3 Political challenges  3.3.3 政治的な課題 
4. RECOMMENDATIONS  4. 提言 
4.1 RECOMMENDATIONS ON LEGAL CHALLENGES  4.1 法的課題に関する提言 
4.2 RECOMMENDATIONS ON ECONOMIC CHALLENGES  4.2 経済的課題に関する提言 
4.3 RECOMMENDATIONS ON POLITICAL CHALLENGES  4.3 政治的課題に関する提言 
4.4 RECOMMENDATIONS ON CHALLENGES FROM OPERATIONAL AND CRISIS MANAGEMENT ACTIVITIES  4.4 作戦・危機管理活動からの課題に関する提言 
4.5 THE ROLE OF ENISA AND OF THE EUROPEAN COMMISSION  4.5 ENISAと欧州委員会の役割 
5. REFERENCES  5. 参考文献 
6. BIBLIOGRAPHY  6. 関連文書

 

日本についての説明の部分...

2.4.2 Japan 75  2.4.2 日本
In Japan, the coordinated disclosure of vulnerabilities in products such as software is performed in accordance with the ‘Information Security Early Warning Partnership Guideline’ (hereafter ‘Guideline’). This guideline is based on a 2004 notification from the Ministry of Economy, Trade and Industry (METI) entitled ‘Standards for Handling Software Vulnerability Information and Others’, which was amended in 2014 and 2017. The notification was renamed ‘Standards for Handling Vulnerability-related Information of Software Products and Others’ in 2017. The guideline was created and jointly announced in cooperation with several industry organisations, namely the Japan Electronics and Information Technology Industries Association (JEITA), the Japan Information Technology Service Industry Association (JISA), the Computer Software Association of Japan (CSAJ) and the Japan Network Security Association (JNSA). It serves as a recommendation to parties relevant to the coordinated vulnerability disclosure process. The recommended processes in the guideline are in alignment with ISO/IEC 29147:2014 ‘Vulnerability disclosure’. For the purposes of this document, vulnerabilities in products such as software and firmware will be considered.  日本では、「情報セキュリティ早期警戒パートナーシップガイドライン」(以下、「ガイドライン」)に基づき、ソフトウェアなどの製品の脆弱性を協調して開示することが行われています。このガイドラインは、2004年に経済産業省から出された「ソフトウェアの脆弱性情報等の取扱いに関する基準」に基づいており、2014年、2017年に改正されました。同通達は2017年に『ソフトウェア製品の脆弱性関連情報の取扱い基準等』に名称が変更されました。本ガイドラインは、複数の業界団体である電子情報技術産業協会(JEITA)、情報通信サービス産業協会(JISA)、コンピュータソフトウェア協会(CSAJ)、日本ネットワークセキュリティ協会(JNSA)の協力を得て作成し、共同で発表したものです。脆弱性情報開示の協調プロセスに関わる関係者への推奨事項となっています。本ガイドラインの推奨プロセスは、ISO/IEC 29147:2014 'Vulnerability disclosure' と整合しています。この文書では、ソフトウェアやファームウェアなどの製品に存在する脆弱性を考慮しています。
In this guideline, vulnerability reports from researchers are sent to the Information-technology Promotion Agency (IPA), a policy implementation agency under the jurisdiction of METI handling initial analysis and triage. After this process, the reports are sent to the JPCERT Coordination Center (JPCERT/CC), an independent, non-profit organisation funded by METI for coordination with the vendor/developer of the product. Once the vulnerability has been addressed by the vendor/developer, an advisory will be published on Japan Vulnerability Notes (JVN), typically in conjunction with an advisory from the vendor/developer. Through this coordinated vulnerability disclosure process, a total of 1 875 advisories have been published on JVN as of March 2021.  本ガイドラインでは、研究者からの脆弱性報告は、経済産業省所管の政策実施機関である情報処理推進機構(IPA)に送られ、初期解析とトリアージが行われます。その後、経済産業省が出資する独立非営利団体JPCERTコーディネーションセンター(JPCERT/CC)に送られ、製品のベンダーや開発元との調整が行われます。ベンダー/開発元が脆弱性に対応した後、通常、ベンダー/開発元からのアドバイザリーとともに、Japan Vulnerability Notes (JVN)に公開されることになります。この協調的な脆弱性公開プロセスにより、2021年3月現在、合計1、875件のアドバイザリーがJVNで公開されています。
While this coordinated vulnerability disclosure process has worked fairly well, the number of reports received has increased significantly over the past few years. Various factors have caused this increase, among them being an increase in the overall awareness of security vulnerabilities, in the number of researchers searching for vulnerabilities, in the number of products available and in the availability of easy-to-use tools for vulnerability discovery. The increase in reports has led to a process overflow where some reports are not being handled in a timely manner. The guideline initially stated that all reported vulnerabilities must be coordinated and subsequently disclosed on JVN after the vulnerability has been addressed. While it is probably best to coordinate and disclose all reported vulnerabilities, regardless of their severity or the number of users that a particular product has, this is not practical in practice. Also, since this guideline has been published, many vendors/developers have become receptive to the coordinated vulnerability disclosure process, but there remain vendors/developers that are not.  この協調的な脆弱性開示プロセスは、かなりうまく機能しており、ここ数年、報告書の受理件数は大幅に増加しています。この増加にはさまざまな要因がありますが、中でも、セキュリティ脆弱性に対する全体的な意識の高まり、脆弱性を検索する研究者の数、利用可能な製品の数、脆弱性発見のための使いやすいツールの普及が挙げられます。報告件数の増加により、一部の報告がタイムリーに処理されないというプロセスのオーバーフローが発生しています。当初、ガイドラインでは、報告された脆弱性はすべて調整され、その後、脆弱性が対処された後にJVNで公開されなければならないとされていました。報告された脆弱性は、その深刻度や特定製品のユーザ数にかかわらず、すべて調整し公開することが最善であると思われますが、実際には現実的ではありません。また、このガイドラインが発行されて以来、多くのベンダー/デベロッパーが協調して脆弱性を開示するプロセスを受け入れるようになりましたが、そうでないベンダー/デベロッパーも残っています。
As a recommendation for creating a policy on coordinated vulnerability disclosure, the experiences in Japan lead to the following considerations.  脆弱性の協調開示に関する政策策定への提言として、日本での経験から、以下のような考察がなされます。
•        Incentive should be provided to researchers to report vulnerabilities to an organisation that can directly address the vulnerability or at least coordinate with an organisation that can address the vulnerability.  ・脆弱性に直接対処できる組織や、少なくとも対処できる組織と連携して脆弱性を報告するインセンティブを、研究者に与えるべきである。
•        Monetary incentive should also be provided (bug bounty).  ・金銭的なインセンティブも与えるべきである(バグバウンティ)。
•        Recognition should also be provided (credit on an advisory).  ・また、表彰を行うべきである(アドバイザリーへのクレジット掲載)。
•        Incentives should be provided to vendors to support the coordinated disclosure of vulnerabilities.  ・ベンダーに対して、脆弱性の協調的な公開を支援するインセンティブを与えるべきである。
•        Vendors should be allowed to promote their own actions to address vulnerabilities as a good practice (market appeal).  ・ベンダーは、自らの脆弱性対応行動をグッドプラクティスとしてアピールできるようにすべきである(市場へのアピール)。
•        Third-party coordinators can also provide value in this process.  ・また、第三者であるコーディネータもこのプロセスにおいて価値を提供することができる。
•        Advisories should be published so that information can reach a wider audience.  ・より多くの人に情報が届くように、アドバイザリを公開するべきである。
•        Support should be provided in the coordination process where multiple organisations need to be contacted with a vulnerability (multi-party coordination).  ・脆弱性に関して複数の組織と連絡を取る必要がある場合、調整プロセスにおいて支援を行うべきである(複数当事者による調整)。
•        The coordination process should be clarified so that researchers know how a reported vulnerability will be coordinated and disclosed.  ・報告された脆弱性がどのように調整され、公開されるかを研究者が知ることができるよう、調整プロセスを明確化する必要がある。
•        Vendors should be taught how to create a coordination process so that researchers know vendors will address reported vulnerabilities.  ・ベンダが報告された脆弱性に対応することが研究者にわかるように、ベンダに対して調整プロセスの作成方法を指導するべきである。

 

 

| | Comments (0)

2022.04.14

経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

こんにちは、丸山満彦です。

経済産業省が、無人航空機を対象としたサイバーセキュリティガイドラインを策定したと発表していましたね。。。見逃していました(^^;;

策定の目的ですが、、、


測量や物流、設備点検、警備、災害時の被災状況調査など無人航空機システムの活用分野が広がる中、これらの用途で扱われる記録映像やフライトログなどの情報が漏えいするリスクも増大しています。


ということもあり、今回のガイドラインは、

記録映像、フライトログの漏洩リスク

を中心に考えているんですかね。。。ガイドラインの中で対象とするセキュリティについてより正確に定義しています、、、


本書が対象とする非耐空性のセキュリティ(Non-Airworthiness Security)の定義

本書において対象範囲とする、無人航空機の耐空性に影響しないセキュリティ領域を非耐空性のセキュリティ(Non-Airworthiness Security)と定義する。

  • What:無人航空機システムにおいて実装されるソフトウェアや、取り扱われるデータが
  • When:「企画」、「設計・製造」、「評価」、「運用」、「廃棄」に至るまで
  • Where:電子情報及び、電子通信における経路上において
  • Who:第三者や外部、あるいは内部から
  • Why:意図的または随意的な
  • How:攻撃を受けた場合や過失により
  • Event:経済的損失、社会的信用の失墜、法制度への抵触、プライバシ侵害、セキュリティ機能の低下につながる

 

まずは、非耐空性のセキュリティ(Non-Airworthiness Security)のうち、情報システムの脅威を対象としているということですね。。。

 


20220414-45322

図 1-1 DO-356A が定義する耐空性に関するセキュリティの範囲6と、本書の対象スコープ


で、さらに構成要素で見ると。。。



20220414-52447_20220414052501

 図 2-1 無人航空機の汎用的なシステムモデル


となるようです。。。

PDFファイル314ページにも及ぶ大作ですから、全体像の理解が重要ですので、、、全体像の理解から、、、

第2章:無人航空機のシステムモデルイメージを定義し、システムモデル上のデータフローから取り扱われるデータを明確化する。
第3章:無人航空機分野として考慮すべきセキュリティ対策事項を導出する。
第4章:第2章の無人航空機のシステムモデルに対するリスク分析プロセスや、実施例を示す。
第5章:第3章の調査結果及び、第4章のリスク分析結果を踏まえ、無人航空機システムの構成要素別にセキュリティ要件を示す。また、ステークホルダー別に組織の活動に関するセキュリティ要件を示す。
Appendix_A :第5章のセキュリティ要件について、国内外の主要なガイドラインとの対応関係を示す。
Appendix_B :第4章のリスク分析プロセスの参考として、リスクレベルの検討例を示す。
Appendix_C :用語に関する用語集を示す。
Appendix_D :参考、参照した規格、ガイドライン文書を示す。

 


20220414-52001

図 1-2 本書の構成と、各章の関係性の整理


 

セキュリティ要件は、IPAが発行した「制御システムのセキュリティリスク分析ガイド第2版」の事業被害レベルの判断基準を参考にした4段階に応じて設定しているようですね。。。

4段階の分け方は、利用目的に応じて、

  • セキュリティクラス1:一般利用
  • セキュリティクラス2: 測量や物流、設備点検など通常の産業利用が想定される分野
  • セキュリティクラス3: 警備や災害対応など人命や安全に影響する分野
  • セキュリティクラス4: 軍事・国防領域

として、このうち、セキュリティクラス2、3を対象としていますね。。。

 


20220414-54051


 

 

経済産業省

・2022.03.31 無人航空機を対象としたサイバーセキュリティガイドラインを策定

・[PDF] 無人航空機_サイバーセキュリティガイドライン_Ver1.0

20220414-54913

 


■ 参考

日本

一般社団法人セキュアドローン協議会

・2021.05.20 セキュアドローン協議会、『ドローンセキュリティガイド 第2版』公開

ドローンセキュリティガイド

ドローンセキュリティガイド第2版 ダウンロードフォーム

20220414-55731

 

公立大学法人会津大学

・2019.05.22 サービスロボット・セキュリティガイドライン

・[PDF] サービスロボットセキュリティガイドラインVer1.0


20220414-60331

 

 

| | Comments (0)

2022.04.13

米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

こんにちは、丸山満彦です。

米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。サイバーインシデント報告法により、重要インフラの所有者および運営者は、実質的なサイバー攻撃に遭遇した場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられることになったので、それも踏まえたものなのでしょうね。。。

どういう場合に、どういうことを、誰と共有したら良いのかについて、参考になりそうです。。。

 

CISA

・2022.04.07 Guidance on Sharing Cyber Incident Information

Guidance on Sharing Cyber Incident Information サイバーインシデント情報の共有化に関するガイダンス
CISA’s Sharing Cyber Event Information Fact Sheet provides our stakeholders with clear guidance and information about what to share, who should share, and how to share information about unusual cyber incidents or activity.   CISAのSharing Cyber Event Information Fact Sheetは、異常なサイバーインシデントやアクティビティについて、何を共有すべきか、誰が共有すべきか、どのように共有すべきかについての明確なガイダンスと情報をステークホルダーに提供します。 
CISA uses this information from partners to build a common understanding of how adversaries are targeting U.S. networks and critical infrastructure sectors. This information fills critical information gaps and allows CISA to rapidly deploy resources and render assistance to victims suffering attacks, analyze incoming reporting across sectors to spot trends, and quickly share that information with network defenders to warn other potential victims.  Click the fact sheet link to learn more and visit our Shields Up site for useful information. CISAは、敵対者がどのように米国のネットワークと重要インフラ部門を標的にしているかについての共通理解を構築するために、パートナーからのこの情報を使用しています。この情報によって重要な情報格差が埋まり、CISAは攻撃に苦しむ被害者にリソースを迅速に配備して支援を提供し、部門を超えて寄せられる報告を分析して傾向を把握し、その情報をネットワーク防御者と迅速に共有して他の潜在的被害者に警告を発することができるようになります。  ファクトシートのリンクをクリックして詳細を、「 Shields Up site 」で有用な情報を、確認してください。

 

ファクトシート...

・[PDF] SHARING CYBER EVENT INFORMATION: OBSERVE, ACT, REPORT

20220413-51852

 

SHARING CYBER EVENT INFORMATION: OBSERVE, ACT, REPORT サイバーイベント情報の共有:観察、行動、報告
Cybersecurity information sharing is essential to collective defense and strengthening cybersecurity for the Nation. サイバーセキュリティの情報共有は、集団的な防衛と国家のサイバーセキュリティの強化に不可欠です。
That’s why, as the nation’s cyber defense agency, CISA applauds the passage of the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). In accordance with CIRCIA, CISA will now undertake a rulemaking process to implement the statutory requirements. In the interim. CISA continues to encourage our stakeholders to voluntarily share information about cyber-related events that could help mitigate current or emerging cybersecurity threats to critical infrastructure. Together we can make a difference. そのため、CISAは国家のサイバー防衛機関として、2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)の成立を称賛しています。CIRCIAに従い、CISAは今後、法定要件を実施するためのルール策定プロセスに着手する予定です。その間のことです。CISAは引き続き、重要インフラに対する現在または新たなサイバーセキュリティの脅威を軽減するのに役立つサイバー関連事象に関する情報を自主的に共有するよう、関係者に呼びかけています。私たちが力を合わせれば、変化をもたらすことができます。
When cyber incidents are reported quickly, CISA can use this information to render assistance and provide a warning to prevent other organizations and entities from falling victim to a similar attack. This information is also critical to identifying trends that can help efforts to protect the homeland. サイバー事件が迅速に報告されると、CISAはこの情報を利用して支援を提供し、他の組織や団体が同様の攻撃の犠牲になるのを防ぐために警告を発することができます。また、この情報は、国土を保護する取り組みに役立つ傾向を把握するためにも重要です。
10 KEY ELEMENTS TO SHARE 共有すべき10の重要な要素
* 1. Incident date and time  * 1.発生日時、時刻 
* 2. Incident location  * 2.発生場所 
* 3. Type of observed activity  * 3.観測された活動の種類 
* 4. Detailed narrative of the event  * 4.事象の詳細な説明 
* 5. Number of people or systems affected  * 5. 影響を受けた人またはシステムの数 
* 6. Company/Organization name  * 6. 会社・団体名 
* 7. Point of Contact details  * 7. 連絡先詳細 
* 8. Severity of event  * 8. イベントの深刻度 
* 9. Critical Infrastructure Sector if known * 9. (わかる場合)重要インフラ部門がわかっているか
10. Anyone else you informed 10. その他知らせたいこと
*Priority *優先事項
WHAT YOU CAN DO  あなたができること 
• OBSERVE the activity ・活動を観察する
• ACT by taking local steps to mitigate the threat ・脅威を軽減するために,現地で対策を講じる。
• REPORT the event ・事象を報告する
WHO SHOULD SHARE  共有すべき人 
• Critical Infrastructure Owners and Operators ・重要インフラ所有者・運営者
• Federal, State, Local, Territorial, and Tribal Government Partners ・連邦政府、州政府、地方政府、準州、部族政府のパートナー
WHAT TYPES OF ACTIVITY SHOULD YOU SHARE WITH CISA  どのような活動をCISAと共有する必要がありますか?
• Unauthorized access to your system ・システムに対する不正なアクセス
• Denial of Service (DOS) attacks that last more than 12 hours ・12時間以上続くDOS攻撃
• Malicious code on your systems, including variants if known ・システム上の悪質なコード(既知の場合はその亜種を含む)
• Targeted and repeated scans against services on your systems ・自システム上のサービスに対する標的型の反復スキャン
• Repeated attempts to gain unauthorized access to your system ・自システムへの度重なる不正アクセスの試み
• Email or mobile messages associated with phishing attempts or successes ** ・フィッシングの試みや成功に関連した電子メールや携帯電話のメッセージ **。
• Ransomware against Critical Infrastructure, include variant and ransom details if known ・重要インフラに対するランサムウェア(判明している場合は亜種と身代金の詳細を含む)
HOW SHOULD YOU SHARE  どのように共有するのか 
If you are a Federal or Critical Infrastructure partner that has completed one of our Incident Reporting Forms we encourage you to continue to use this method. If you have never reported to CISA, or don’t have the time or capability, we encourage you to send an email to Report@cisa.gov and be as detailed as possible using the guidelines identified above. Please include full contact information or we may not be able to take the appropriate action.  連邦政府または重要インフラのパートナーで、CISAのインシデント報告フォームのいずれかに記入したことがある場合は、引き続きこの方法を使用することを推奨します。CISAに報告したことがない場合、または時間や能力がない場合は、Report@cisa.gov、上記のガイドラインに従ってできるだけ詳細に電子メールを送信することを推奨します。完全な連絡先情報を記載してください。でなければ適切な対応ができない場合があります。
**CISA partners with the Anti-Phishing Working Group (APWG) to collect phishing email messages, mobile messages and website locations to help people avoid becoming victims of phishing scams. You can share phishing info with CISA by sending the phishing email to phishing-report@us-cert.gov.  **CISAはAnti-Phishing Working Group(APWG)と提携し、フィッシング詐欺の被害に遭わないよう、フィッシングメールメッセージ、モバイルメッセージ、ウェブサイトの所在地を収集しています。フィッシングメールを phishing-report@us-cert.gov に送信することで、CISA とフィッシング情報を共有することができます。
WHAT TO EXPECT  期待すること 
CISA will triage and analyze your report. If appropriate, we will share anonymized information about this activity with others to help them manage their risk. If CISA needs additional information, we will contact you for additional details from one of our official accounts.  CISAは、あなたのレポートをトリアージし、分析します。適切であれば、この活動に関する匿名化された情報を他者と共有し、リスク管理の一助とします。CISAが追加情報を必要とする場合、CISAの公式アカウントのいずれかから追加の詳細をご連絡します。

 

 

 

 


■ 参考

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

・2021.10.09 米国 Cyber Incident Nortification Act of 2021案と Cyber Incident Reporting Act of 2021案

 

金融

・2021.11.23 米国 財務省通貨監督庁・連邦準備制度理事会・連邦預金保険公社 コンピューターセキュリティインシデント通知についての最終規則の承認

・2021.10.22 金融安定理事会 (FSB) 「サイバーインシデントレポート:既存のアプローチとより広範な収斂のための次のステップ」

 

企業情報開示での開示の話。。。

・2022.03.11 米国 SEC 公開企業によるサイバーセキュリティのリスク管理、戦略、ガバナンス、インシデントの開示に関する規則

 

米国のサイバー戦略におけるリスク対応の源流...

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令


| | Comments (0)

中国 香港 個人データのためのプライバシーコミッショナー室 (PCPD) が「ソーシャルメディアのプライバシー設定比較」報告書を公表していますね。。。

こんにちは、丸山満彦です。

香港の個人データのためのプライバシーコミッショナー室 (Office of th Privacy Commissioner for Personal Data, Hong Kong: PCPD) がソーシャルメディアのプライバシー設定比較」報告書を公表していますね。。。

比較対象としているのは、香港で利用が多い10のソーシャルメディア、メッセンジャーで

  1. Facebook
  2. Facebook Messenger
  3. Instagram
  4. LINE
  5. LinkedIn
  6. Skype
  7. Twitter
  8. WeChat
  9. WhatsApp
  10. YouTube

となります。いわゆる大陸系の

  1. 哔哩哔哩 Bilibili
  2. 抖音 Douyin (TikTok)
  3. 小红书 Red
  4. 微信 WeChat
  5. 微博 Weibo

は含まれていませんね。。。

Office of th Privacy Commissioner for Personal Data, Hong Kong: PCPD

・2022.04.12 (media) PCPD Releases Report on “Comparison of Privacy Settings of Social Media” 

 

PCPD Releases Report on “Comparison of Privacy Settings of Social Media”  PCPDが「ソーシャルメディアのプライバシー設定比較」報告書を公開 
As the public has become increasingly aware in recent years of the personal data privacy risks related to the use of social media, the Office of the Privacy Commissioner for Personal Data (PCPD) today released a report on “Comparison of Privacy Settings of Social Media” after a review of the top ten most commonly used social media platforms in Hong Kong, including Facebook, Facebook Messenger, Instagram, LINE, LinkedIn, Skype, Twitter, WeChat, WhatsApp and YouTube (in alphabetical order). 近年、ソーシャルメディアの利用に関連する個人データのプライバシーリスクについて一般の認識が高まっていることから、個人情報保護委員会(PCPD)は本日、香港で最もよく利用されているFacebook、Facebook Messenger、Instagram、LINE、LinkedIn、Skype、Twitter、WeChat、WhatsApp、YouTube(アルファベット順)のソーシャルメディア上位10プラットフォームを検証し「ソーシャルメディアのプライバシー設定比較」報告書を発表しました。
According to the review results, the performance of the ten social media in terms of their privacy functions, privacy policies and the usability of privacy dashboards are summarised as follows: レビュー結果によると、プライバシー機能、プライバシーポリシー、プライバシーダッシュボードの使いやすさの観点から、10ソーシャルメディアのパフォーマンスは以下のように要約されます。
·  All the social media reviewed have privacy policy in place.  They collect a wide variety of personal data, ranging from 12 to 19 types of personal data. ·  レビューしたすべてのソーシャルメディアは、プライバシーポリシーを導入しています。  収集する個人データの種類は12~19種類と多岐にわたります。
·  All the social media reviewed would collect users’ location data (including both the precise and coarse locations). ·  レビューしたすべてのソーシャルメディアは、ユーザの位置情報(正確な位置と粗い位置の両方を含む)を収集します。
·  In terms of the default privacy settings, the age and telephone number of a user are not disclosed by Skype and YouTube, while the other social media reviewed disclose users’ personal data such as age, location, email address or telephone number by default. ·  プライバシー設定の初期設定では、SkypeとYouTubeはユーザの年齢と電話番号を公開していないが、レビューした他のソーシャルメディアは、年齢、場所、メールアドレスまたは電話番号などのユーザの個人データをデフォルトで公開しています。
·  Twitter, WeChat and YouTube receive the highest scores for readability of their privacy policies, while the others that do not score full marks mainly lack infographics, tables or short videos in illustrating their privacy policies. ·  Twitter、WeChat、YouTubeは、プライバシーポリシーの読みやすさで最も高いスコアを獲得しましたが、満点を獲得できなかった他のメディアは、プライバシーポリシーを説明するインフォグラフィックス、表、短いビデオがないのが主な理由です。
·  Apart from WeChat, all other instant messaging applications reviewed including Facebook Messenger, LINE, Skype and WhatsApp deploy end-to-end encryption in the transmission of messages between users. ·  WeChatを除き、Facebook Messenger、LINE、Skype、WhatsAppなどのインスタントメッセージングアプリケーションはすべて、ユーザ間のメッセージ送信にエンドツーエンドの暗号化を導入しています。
·  Except for LINE, all other social media reviewed provide two-factor authentication. ·  LINEを除くすべてのソーシャルメディアは、2ファクタ認証を提供しています。
·  Most of the social media reviewed would retain users’ credit card data. ·  ほとんどのソーシャルメディアは、ユーザのクレジットカード情報を保持しています。
·  All the privacy policies of the social media reviewed explicitly state that users’ personal data would be transferred to their affiliated companies. ·  プライバシーポリシーには、ユーザの個人情報が関連会社に転送されることが明記されています。
·  Twitter does not provide its privacy policy in Chinese text.  Users who do not read English would find it difficult to understand the social media’s policies relating to the handling of their personal data. ·  Twitterは中国語のテキストでプライバシーポリシーを提供していません。  英語が読めないユーザは、個人データの取り扱いに関連するソーシャルメディアの方針を理解することが困難です。
·  Facebook, LINE, WeChat and YouTube all allow users to disseminate posts to specific individuals or groups, and modify the privacy settings of the contents after posting. ·  Facebook、LINE、WeChat、YouTubeは、ユーザが特定の個人やグループに投稿を配信したり、投稿後にコンテンツのプライバシー設定を変更したりすることができます。
The Privacy Commissioner for Personal Data, Ms Ada CHUNG Lai-ling states that: “While the online world is fascinating and users may communicate and connect with other users around the world by sharing their personal updates and messages on social media, we should not neglect the risks posed to personal data privacy arising from the use of social media. Such risks may include the abuse of personal data, data scrapping or data leakage.  Personal data which is openly available may also be used by others for the purposes of doxxing, cyberbullying, phishing, or other illegal activities, leading to property loss and even physical or psychological harm of the victims. I call for greater vigilance and smart use of social media when users surf or communicate online in order to reduce the risks posed to personal data privacy.” 個人情報保護委員会のアダ・チャン・ライリング女史は、次のように述べています。「オンライン世界は魅力的であり、ユーザはソーシャルメディア上で個人的な最新情報やメッセージを共有することで、世界中の他のユーザとコミュニケーションし、つながることができますが、ソーシャルメディアの使用から生じる個人データのプライバシーにもたらすリスクを無視してはなりません。 このようなリスクには、個人データの乱用、データのスクラップ、データの漏洩などが含まれる可能性があります。  また、公開された個人情報は、晒し、ネットいじめ、フィッシング、その他の違法行為に利用され、被害者の財産損失や身体的・精神的損害につながる可能性もあります。私は、個人情報のプライバシーにもたらされるリスクを軽減するために、ユーザがネットサーフィンやオンラインコミュニケーションを行う際に、より一層の警戒とソーシャルメディアの賢い利用を呼びかけます。」
The PCPD has issued the Report to the operators of the social media concerned. More specifically, the PCPD provides the following advice to the social media platforms:- PCPDは、当該ソーシャルメディアの運営者に対し、本報告書を発行しました。具体的には、PCPDはソーシャルメディアのプラットフォームに対して、次のようなアドバイスをしています。
·  Operators of social media should continuously adopt "Privacy by Design" to enhance their services and provide more privacy-related functions to users so as to increase the choices available to users.  ·  ソーシャルメディアの運営者は、「プライバシー・バイ・デザイン」を継続的に採用し、サービスを強化するとともに、プライバシー関連の機能をユーザに提供し、ユーザが利用できる選択肢を増やすべきです。 
·  Social media platforms should be cautious of the types of personal data collected and avoid collecting more data than is necessary for its services; ·  ソーシャルメディア・プラットフォームは、収集する個人データの種類に注意し、サービスに必要以上のデータを収集しないようにすべきです。
·  Privacy policies for social media should be clear and easy to understand and should not be vague and general. The PCPD considers that the use of layered presentations, infographics, tables or short videos would help to improve the readability of privacy policies; ·  ソーシャルメディアのプライバシーポリシーは、明確で理解しやすいものであるべきで、曖昧で一般的なものであってはなりません。PCPDは、階層化されたプレゼンテーション、インフォグラフィックス、表、または短いビデオを使用することで、プライバシーポリシーの読みやすさを向上させることができると考えています。
·  Social media should not track locations of its users by default and should provide choices to its users according to their needs; ·  ソーシャルメディアは、デフォルトでユーザの位置情報を追跡すべきではなく、ユーザのニーズに応じた選択肢を提供すべきです。
·  Social media should provide end-to-end encryptions and two-factor authentications to strengthen the protection of users’ personal data; and ·  ソーシャルメディアは、ユーザの個人データの保護を強化するために、エンドツーエンドの暗号化と二要素認証を提供すべきです。
·  Operators of social media should also proactively tackle “doxxing”, “data scraping” or other illegal acts and limit the ways for searching users. ·  また、ソーシャルメディアの運営者は、「ドキシング」や「データスクレイピング」等の違法行為に積極的に取り組み、ユーザの検索方法を制限すべきです。
On the other hand, the PCPD provides the following advice to users of social media:- 一方、PCPDは、ソーシャルメディアの利用者に対し、次のようなアドバイスをしています。
·  Before registering an account, read the privacy policy of the social media carefully, open an email account dedicated for social media and only provide the required personal data; ·  アカウントを登録する前に、ソーシャルメディアのプライバシーポリシーをよく読み、ソーシャルメディア専用のメールアカウントを開設し、必要な個人情報のみを提供すること。
·  Check the default settings on security or privacy of the social media, as well as the ways through which individual users may be searched on the media, with a view to minimising the disclosure of personal data and opting for the most privacy-protecting setting;  ·  ソーシャルメディアのセキュリティやプライバシーに関する初期設定、およびメディア上で個々のユーザを検索する方法を確認し、個人情報の開示を最小限に抑え、最もプライバシー保護に役立つ設定を選択します。 
·  If you do not need the location tracking function, consider turning off the function to avoid the collection of location data by the social media; ·  位置情報機能が不要な場合は、その機能をオフにして、ソーシャルメディアによる位置情報の収集を回避することを検討します。
·  Pay attention to the privacy options of contents posted and select the appropriate settings before posting the content; ·  投稿するコンテンツのプライバシーオプションに注意し、適切な設定を選択してから投稿します。
·  Before choosing any instant messaging application, pay attention to whether it provides end-to-end encryption forms of transmission to strengthen the confidentiality of transmitted data; ·  インスタントメッセージングアプリケーションを選択する前に、送信データの機密性を強化するためにエンドツーエンドの暗号化形式を提供しているかどうかに注意してください。
·  Use strong passwords and enable two-factor authentication for social media to strengthen account security; ·  アカウントのセキュリティを強化するために、強力なパスワードを使用し、ソーシャルメディアの二要素認証を有効にします。
·  Minimise the risk of credit card data leakage by avoiding transactions on social media platforms over public Wi-Fi or unsecured Wi-Fi connections; and ·  公共Wi-Fiや安全でないWi-Fi接続でのソーシャルメディアプラットフォームでの取引を避け、クレジットカード情報漏えいのリスクを最小限に抑える。
·  Parents/guardians may consider enabling parental controls to monitor their children’s use of social media and reminding them of the consequences of excessive disclosure or sharing of personal data. ·  保護者は、ペアレンタルコントロールを有効にして子供のソーシャルメディアの利用を監視し、個人データの過度の開示や共有がもたらす結果について注意を促すことを検討するとよいでしょう。

 

報告書は中国語だけですが。。。

・[PDF] 社交媒體私隱設定 大檢閱

20220413-32138


比較表があります。。。

 

| | Comments (0)

2022.04.12

警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について (2022.04.07)

こんにちは、丸山満彦です。

警察庁が、令和3年におけるサイバー空間をめぐる脅威の情勢等について、資料を公開していますね。。。

2021年に都道府県警に届けがあったランサムウェア被害は146件だったようですね。。。金銭の要求手口を確認できた被害は97件(約66%)で、そのうち二重恐喝は82件(約85%)を占めていたということです。

20220412-162852
年間146件というのは少ないですが、これは警察に届出があったものですから実際はもっと多いとは思うのですが、実際はどのくらいの被害があったのでしょうかね。。。海外と比べるとかなり少ないようですね 。。。

※ 古いデータですが、例えば、https://www.statista.com/statistics/1246438/ransomware-attacks-by-country/

被害件数(146件)の内訳を被害企業・団体等の規模別にみると、大企業は49件、中小企業は79件であり、その規模を問わず、被害が発生していることがわかります。もちろん、母集団として中小企業の方が多いのですが、細かく分析せずにばら撒いている場合もあるので、中小企業だから狙われないというわけでもなさそうですよね。。。

20220412-162923

 

なお、今年第26回のコンピュター犯罪に関する白浜シンポジウムのテーマはランサムウェアです。。。

 

警察庁 - サイバー空間をめぐる脅威の情勢等

・2022.04.07 [PDF] 令和3年におけるサイバー空間をめぐる脅威の情勢等について

20220412-163223

目次的...

1 情勢概況
2 サイバー空間の脅威情勢
3 警察における取組

別 添

1 令和3年における脅威の動向
(1)
ランサムウェアの情勢と対策
ア 概要
イ 企業・団体等におけるランサムウェア被害
(ア)被害件数
(イ)特徴
ウ 企業・団体等におけるランサムウェア被害の実態
(ア)復旧等に要した期間・費用
(イ)感染経路
エ ランサムウェアと関連するリークサイトの状況
オ サイバー犯罪被害に係る企業・団体等を対象としたアンケート調査*4
(ア)テレワーク実施状況等
(イ)外部から社内ネットワークへの接続率
カ ランサムウェアへの対策
(ア)警察庁ウェブサイトにおける注意喚起
(イ)損害保険会社と連携した対策の推進
(ウ)流出したVPN製品の認証情報に係る注意喚起
(エ)医療機関を標的としたランサムウェアへの対策

(2)
フィッシング等に伴う不正送金・不正利用の情勢と対策
ア インターネットバンキングに係る不正送金事犯の発生状況
イ フィッシング等に伴う被害の実態
ウ 警察の取組

(3)
東京大会のサイバー関連対策
(4) 主なサイバー攻撃事例と警察における取組

ア サイバー攻撃事例
イ 警察における取組

2 サイバー空間の脅威情勢
(1)
サイバー空間におけるぜい弱性探索行為等の観測状況
ア センサーにおいて検知したアクセスの概況
イ 特徴的な観測

(2)
標的型メール攻撃
ア サイバーインテリジェンス情報共有ネットワーク
イ 事例

(3)
サイバー犯罪の現況
ア サイバー犯罪の検挙件数
イ 不正アクセス禁止法*14 違反
(ア)検挙件数
(イ)特徴

ウ コンピュータ・電磁的記録対象犯罪
(ア)検挙件数
(イ)特徴


 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.01.31 警察法改正案 情報通信局からサイバー警察局へ他

・2021.12.19 警察庁 サイバーセキュリティ政策会議 【令和3年度】サイバー局等新組織において取り組む政策パッケージ

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.25 警察庁 サイバー事案への対処能力の強化のために警察庁にサイバー局を設置?

・2021.04.23 警察庁から「犯罪インフラ化するSMS認証代行への対策について」が公表されていますね

 

一気に10年前に飛びます(^^)

・2012.07.22 警察庁 警察庁長官官房審議官(サイバーセキュリティ戦略担当)の設置

・2012.06.12 警察庁 CSIRT設置

・2010.07.27 警察庁 マネー・ローンダリング対策のための事業者による顧客管理の在り方に関する懇談会報告書

・2010.03.23 警察庁 情報技術解析平成21年報

・2010.02.08 警察庁 確定 国家公安委員会が所管する事業分野における個人情報保護に関する指針

・2008.04.09 警察庁 Winny等ファイル共有ソフトを用いた著作権侵害問題とその対応策について(平成19年度総合セキュリティ対策会議 報告書)

・2007.03.08 警察庁 暗号化ソフト開発

・2007.02.22 警察庁 DNA型記録検索システム

・2005.10.22 警察庁 有害ネットの自動監視システム構築へ?

・2005.08.19 警察庁 平成17年上半期の犯罪情勢

・2005.07.22 警察庁 サイバー犯罪防止広報パンフレット

・2005.06.29 警察庁とマイクロソフトが技術協力

・2005.06.17 警察庁 インターネット安全・安心相談システムを開始

・2005.06.21 政府の情報セキュリティ機関

・2005.06.11 奥菜恵さんをインターネット安全大使に任命

・2005.04.07 警察庁 情報セキュリティ対策の実態調査

・2005.04.01 警察庁セキュリティビデオ 「サイバー犯罪事件簿~姿なき侵入者~」

・2005.03.01 サイバー犯罪といえば詐欺

・2005.02.24 サイバー犯罪といえば児童ポルノ

・2004.12.24 @policeの世界のセキュリティ情報

・2004.12.17 警察庁発表 振り込め詐欺対策

・2004.12.02 フィッシングって・・・と、その対策

・2004.11.25 政府のセキュリティサイトを訪ねてみよう

 

コンピュータ犯罪に関する白浜シンポジウム関係

・2021.05.22 第25回サイバー犯罪に関する白浜シンポジウムが終了しました。。。

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回 サイバー犯罪に関する白浜シンポジウムの発表資料

あのJIPDECの昭和57年発行の本をベースに発表した資料があります↓

・2016.08.11 コンピュータ・セキュリティ -犯罪対策と災害対策-

・2012.05.27 白浜シンポおわりました! 今年で16回目

・2011.05.14 まもなく白浜シンポ! 今年で15回目

・2011.04.16 第15回サイバー犯罪に関する白浜シンポジウム

・2010.06.04 第14回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2010.04.11 第14回サイバー犯罪に関する白浜シンポジウム

・2009.06.05 第13回 サイバー犯罪に関する白浜シンポジウム はじまってます。。。

・2008.10.01 白浜シンポ 経済産業大臣表彰「情報セキュリティ促進部門」

・2008.06.07 白浜シンポ無事終了。来年もできるように。

・2008.06.05 今日から「第12回サイバー犯罪に関する白浜シンポジウム」です。。。

・2008.04.15 第12回サイバー犯罪に関する白浜シンポジウム

・2007.06.09 白浜シンポ 無事終了・・・

・2007.06.09 白浜シンポ 無事、二日目終了・・・

・2007.06.08 白浜シンポ 無事、初日終了・・・

・2007.06.07 本日より・・・第11回サイバー犯罪に関する白浜シンポジウム

・2007.03.29 第11回サイバー犯罪に関する白浜シンポジウム

・2006.05.25 本日より・・・第10回コンピュータ犯罪に関する白浜シンポジウム

・2006.04.03 受付開始! 第10回コンピュータ犯罪に関する白浜シンポジウム

・2005.05.21 第9回コンピュータ犯罪に関する白浜シンポジウム無事終了!

・2005.04.03 コンピュータ犯罪に関する白浜シンポジウム 2005

| | Comments (0)

金融庁 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)(2022.04.08)

こんにちは、丸山満彦です。

金融庁が、「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)を公表していますね。。。

マネー・ローンダリング・テロ資金供与・拡散金融対策について、2022年3月末時点の金融庁所管事業者の対応状況や金融庁の取組み等を取りまとめた報告書を公表していますね。。。

金融庁

・2022.04.08 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)の公表について

・[PDF] 「マネー・ローンダリング・テロ資金供与・拡散金融対策の現状と課題」(2022年3月)

20220412-145333

目次...

はじめに(本レポートの趣旨)
第1章.我が国の金融機関等を取り巻くリスクの状況

1.我が国の金融機関等を取り巻くリスクの状況
2.我が国のマネロン事犯やその主体等の概要
3.マネロン等対策において注意すべき犯罪類型やリスク
(1) 暗号資産を使ったマネロン・テロ資金供与・拡散金融
(2) 資金決済におけるリスク
(3) 非対面決済におけるリスク
(4) デジタル技術を活用した取引時確認手法(e-KYC)におけるリスク
(5) サイバー犯罪(フィッシング詐欺、ランサムウェア)
(6) 特殊詐欺をはじめとした詐欺事案
(7) テロ資金供与リスク
(8) 地政学リスク(含む大量破壊兵器に関する拡散金融リスク)

第2章.金融機関等におけるマネロン等リスク管理態勢の現状と課題
1.業態共通の全体傾向と課題(報告徴求データの分析による全体の傾向)
2.業態別のリスクの所在と現状と課題
(1) 預金取扱金融機関
(2) 暗号資産交換業者
(3) 資金移動業者
(4) 保険会社
(5) 金融商品取引業者等
(6) 信託銀行・信託会社
(7) 貸金業者

第3章.FATF 第4次対日相互審査の結果
1.FATF 及び FATF 第4次相互審査の仕組み
(1) FATF とその仕組み
(2) 第3次対日相互審査の結果とその後の対応
(3) 第4次対日相互審査の仕組み

2.第4次対日相互審査の結果
(1) 対日審査報告書 第5章:金融機関等における予防的措置の有効性評価(IO.4)
(2) 対日審査報告書 第6章:金融機関等に対する監督の有効性評価(IO.3)

第4章.マネロン等対策に係る金融庁の取組
. ガイドラインの策定・改正
(1) 経営陣の関与・理解
(2) リスクの特定・評価
(3) 顧客管理
(4) 取引モニタリング・フィルタリング
(5) 海外送金等
(6) 輸出入取引等に係る資金の融通及び信用の供与等

. ガイドラインに関するよくあるご質問(FAQ)の策定
. 金融機関のマネロン等対策の実施状況等に係る定量・定性情報の報告徴求等
. マネロン等対策に係る態勢整備に係る期限の明示
. マネロン等対策に焦点を当てた検査の実施
. マネロン等対策に係るシステムの共同化
. 丁寧な顧客対応に係る要請(外国人対応含む)
. 省庁間での連携強化
(1) マネロン・テロ資金供与・拡散金融対策政策会議の設置
(2) 金融機関の監督省庁との検査等における連携
(3) 実質的支配者リスト制度の創設
(4) その他の省庁間での連携
(5) 日本銀行との連携

. 民間事業者との連携強化
(1) マネロン対応高度化官民連絡会
(2) 全国銀行協会 AML/CFT 態勢高度化研究会
(3) 各業界団体等に向けたアウトリーチ・研修の実施

10. 一般利用者の理解促進のための広報活動
11.FATF への貢献(相互審査以外)
(1) FATF における暗号資産を巡る議論への貢献について
(2) 「リスクベース・アプローチによる監督に関するガイダンス」について
(3) FATF におけるその他の議論
(4) 国際協力




 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.04 米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

・2022.03.30 世界経済フォーラム 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.23 米国 FBI 2021年インターネット犯罪レポート

・2022.03.23 企業会計基準委員会 意見募集 暗号資産(資金決済法、金商法)の発行及び保有についての論点整理と投資性ICOの会計処理・開示についての取り扱い

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.24 Cloud Security Alliance ブロックチェーン/分散型台帳技術(DLT)のリスクとセキュリティに関する考察 (2022.02.16)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア運営会社と仮想通貨取引所に制裁を科す

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.09.14 カナダ サイバーセキュリティセンタ:ランサムウェア:防止および回復する方法(ITSAP.00.099)

・2021.08.23 リキッドグループのQUOINE株式会社および海外関係会社での暗号資産流出(100億円以上?)

・2021.08.12 米国のSECはサイバー関連の専門家を年収1600万円−2800万円で募集中

・2021.07.17 米国 連邦政府国務省 国内の重要インフラに対する外国からの悪質なサイバー活動に関する情報提供についての報奨(最高約11億円

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.04.14 Cloud Security Alliance 暗号資産交換セキュリティガイドライン

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

 

 

| | Comments (0)

経済産業省 協調的なデータ利活用に向けたデータマネジメント・フレームワーク (2022.04.08)

こんにちは、丸山満彦です。

経済産業省が、「協調的なデータ利活用に向けたデータマネジメント・フレームワーク」を公表していますね。。。

 

このフレームワークでは、

  • データマネジメント=「データの属性が場におけるイベントにより変化する過程を、ライフサイクルを踏まえて管理すること」と定義
    • イベント = ライフサイクル(生成・取得、加工・利用、移転・提供、保管、廃棄)

    • 場 = 各国・地域等の法令、組織の内部規則、組織間の契約等

    • 属性 = カテゴリ、開示範囲、利用目的、データ管理主体、データ権利者等

それぞれに影響しあう関係にある3つの要素から構成されるモデルとして整理している。

3つの要素によってデータの状態が可視化

ステークホルダーの間で認識を共有しやすくなる

ステークホルダー全体での適切なデータマネジメントの実施につながる

ことを期待しているとのこと。。。

 

経済産業省

・2022.04.08 協調的なデータ利活用に向けたデータマネジメント・フレームワークを策定しました

Ver 1.0

・[PDF] 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ~データによる価値創造の信頼性確保に向けた新たなアプローチ Ver1.0

20220412-140426

目次...

1.新たなデータマネジメントの在り方
1-1 CPSF における第 3 層(サイバー空間におけるつながり)
 1-1-1 CPSF
概論
 1-1-2 第 3 層の位置づけ

1-2
データの信頼性確保:データマネジメントの考え方の確立
1-3
本フレームワークの目的
1-4
本フレームワークの想定読者
2
.本フレームワークにおけるデータマネジメントのモデル
2-1
概要編
 2-1-1
データマネジメントのモデル化の概要
 2-1-2 リスク分析手順

2-2
詳細編
 2-2-1
モデル化(「イベント」)
 2-2-2 モデル化(「場」)
 2-2-3 モデル化(「属性」)

3
.活用方法
3-1
サプライチェーンを構成するステークホルダー間での活用
3-2
ルール間のギャップの分析
添付 A ユースケース
A-1 POS
データの分析
A-2 高齢者生活支援事業の提供
A-3 IaaS、PaaS、SaaS 等を利用してサービスを提供する例
A-4 国内で提供される IT サービスに関して、海外で開発や運用等を実施する例

添付 B イベントごとのリスクの洗い出しのイメージ
B-1
イベントごとの典型的なリスクの記載方法等
B-2 イベントごとのリスクの洗い出しのイメージ


概要

・[PDF] 協調的なデータ利活用に向けたデータマネジメント・フレームワーク ~データによる価値創造の信頼性確保に向けた新たなアプローチの概要

20220412-140847

 

参考

・[PDF] パブリックコメントの結果(第1回、フレームワーク本文)

・[PDF] パブリックコメントの結果(第2回、フレームワーク本文修正、ユースケース等)

産業サイバーセキュリティ研究会WG1(制度・技術・標準化)

分野横断サブワーキンググループ

「第3層:サイバー空間におけるつながり」の信頼性確保に向けたセキュリティ対策検討タスクフォース

 

 

 

| | Comments (0)

経済産業省 「産業サイバーセキュリティ研究会」から「産業界へのメッセージ」

こんにちは、丸山満彦です。

2022.04.11に第7回「産業サイバーセキュリティ研究会」が開催され、「産業界へのメッセージ」が発出されていますね。。。

さらっと、本気でやろうとすると大変な項目がありますが、まぁ、昨今のサイバー空間の状況を考えると、必要な話という感じですよね。。。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する
② 感染が確認された場合には、適時、報告・相談・対応を行う
③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する
④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ

 

経済産業省

・2022.04.11 第7回「産業サイバーセキュリティ研究会」を開催し、「産業界へのメッセージ」を発出しました


「産業界へのメッセージ」

昨今、ランサムウェアやEmotet(エモテット)と呼ばれるマルウェアを用いた攻撃をはじめ、サイバー攻撃による被害が増加傾向であることを踏まえ、改めて各企業・団体等に、組織幹部のリーダーシップの下、サイバーセキュリティ対策に取り組んでいただくよう、産業サイバーセキュリティ研究会から「産業界へのメッセージ」を発出しました。

① サイバーセキュリティ対策を徹底し、持続可能な体制を確立する

  • 保有する情報資産を漏れなく把握する。
  • 不審なメールへの警戒や、機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
  • 多要素認証等により認証を強化する。
  • データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
  • サイバー攻撃を受けた際の対応について、普段から役員および職員に対して教育・訓練を行う。
  • システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備する。

② 感染が確認された場合には、適時、報告・相談・対応を行う

  • 感染拡大防止に留意するとともに、専門機関やセキュリティベンダー等へ支援を依頼しつつ、早期の業務復旧を図る。
  • サイバー攻撃者への金銭の支払いは厳に慎む。
  • Emotetの場合、取引関係者間などで感染が拡大することから、取引先を含めた関係者に状況を共有する。
  • 警察、所管省庁等への相談・報告・届出を実施する。報告義務のある事案については、正確かつ迅速に行う。

③ 中小企業においては「サイバーセキュリティお助け隊サービス」などの支援パッケージを活用する

  • 自社がサイバー攻撃による被害を受けた場合、その影響は、サプライチェーン全体の事業活動や経済全体に及ぶ可能性があることを踏まえ、「サイバーセキュリティお助け隊サービス」の活用など積極的なサイバーセキュリティ対策に取り組む。

④ ITサービス等提供事業者は、製品・サービスのセキュリティ対策に責任を持つ


 

本気でやろうとすると大変な項目(でも、昨今の状況を考えると必要だろうと思います)と思ったのは、

  1. 保有する情報資産を漏れなく把握する。
  2. 機器等に対して最新のセキュリティパッチを当てる等、脆弱性対策を徹底する。
  3. データ滅失に備えデータのバックアップを取得し、ネットワークから切り離された場所に保管する。
  4. システムが停止した場合に、業務を止めないための計画(BCP)を策定し、代替手段を整備する。

 

IPAの調査では中小企業のサイバーセキュリティ対策はこの5年間で特に進んでいないと公表していますね。。。

中小企業に対するセキュリティ対策については、日本だけでなく、世界中で悩んでいるように思います。そんな中、「サイバーセキュリティお助け隊サービス」といったアイデアは他の国にも参考になる施策ではないかと思います。。。

まずは、安心できるサービスから始まって、中小企業側も知識がついてくれば、より自社にあったサービスを選んでいけるようになるのではないかと思うんですよね。。。そして、事業者側も中小企業のニーズが理解できるようになると思うんですよね。。。もちろん、クラウド化が進むことにより、企業側で気にしなければならないセキュリティというのは減ってくるのだろうとは思うのですが、それでもインフラはクラウド事業者に行ったとしても、自社データの保護は自らが行わなければならないわけで、、、特に事故があった場合の対応において、このサービスは良いのではないかと思っています。。。

 

IPA

・2022.03.31 プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開 ~5年間で情報セキュリティ対策の実施状況の改善はわずか~

 ・[PDF] プレスリリース全文

 

・2022.03.31 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

 ・[PDF] 調査報告書

 ・[PDF] 概要説明資料

 

サイバーセキュリティお助け隊サービス制度

000090216

経済産業省 - 産業サイバーセキュリティ研究会

こちらが完全版です。。。

・2022.04.11 [PDF] サイバーセキュリティ対策についての産業界へのメッセージ

・2022.04.11 第7回 産業サイバーセキュリティ研究会

20220412-42542

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.02 IPA 2021年度中小企業における情報セキュリティ対策の実態調査報告書

・2022.02.27 経済産業省 意見募集 「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.20 経済産業省 機器のサイバーセキュリティ確保のためのセキュリティ検証の手引き

・2021.02.24 経済産業省 小売電気事業者のためのサイバーセキュリティ対策ガイドラインVer.1.0を策定

・2020.11.09 経済産業省が「IoTセキュリティ・セーフティ・フレームワーク(IoT-SSF)」を策定しましたね。。。

・2020.10.31 IPA サプライチェーン・サイバーセキュリティ・コンソーシアム(SC3)が設立されますね。。。

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会

・2020.04.01 経済産業省 パブコメ 「IoTセキュリティ・セーフティ・フレームワーク(案)]

 

 

| | Comments (0)

2022.04.11

米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

こんにちは、丸山満彦です。米連邦政府 司法省が、ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(無力化)したと発表していますね。。。

Department of Justice

・2022.04.06 Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU)

Justice Department Announces Court-Authorized Disruption of Botnet Controlled by the Russian Federation’s Main Intelligence Directorate (GRU) 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊
Operation Copied and Removed Malware Known as “Cyclops Blink” from the Botnet’s Command-And-Control Devices, Disrupting the GRU’s Control Over Thousands of Infected Devices Worldwide. Victims Must Take Additional Steps to Remediate the Vulnerability and Prevent Malicious Actors From Further Exploiting Unpatched Devices. ボットネットのコマンド・アンド・コントロール・デバイスから「Cyclops Blink」と呼ばれるマルウェアをコピー・除去し、GRUが世界中で感染した数千台のデバイスを制御できなくする作戦。被害者は、脆弱性を修正し、悪意ある行為者がパッチ未適用のデバイスをさらに悪用することを防止するための追加措置を講じる必要があります。
The Justice Department today announced a court-authorized operation, conducted in March 2022, to disrupt a two-tiered global botnet of thousands of infected network hardware devices under the control of a threat actor known to security researchers as Sandworm, which the U.S. government has previously attributed to the Main Intelligence Directorate of the General Staff of the Armed Forces of the Russian Federation (the GRU). The operation copied and removed malware from vulnerable internet-connected firewall devices that Sandworm used for command and control (C2) of the underlying botnet. Although the operation did not involve access to the Sandworm malware on the thousands of underlying victim devices worldwide, referred to as “bots,” the disabling of the C2 mechanism severed those bots from the Sandworm C2 devices’ control. 司法省は本日、2022年3月に実施された裁判所公認の作戦を発表し、セキュリティ研究者の間で「サンドワーム」として知られる脅威行為者の支配下にある、数千台の感染したネットワークハードウェア機器による2層構造のグローバルボットネットを破壊したことを発表しました。この脅威は、米国政府がこれまでロシア連邦軍参謀本部主要情報局(GRU)に起因するとしてきました。この作戦では、サンドワームが基盤となるボットネットのコマンド&コントロール(C2)に使用していた脆弱なインターネット接続ファイアウォールデバイスからマルウェアをコピーして除去しています。この作戦では、「ボット」と呼ばれる世界中の被害者デバイスにあるサンドワームマルウェアにはアクセスできませんでしたが、C2メカニズムを無効にしたことで、サンドワーム C2デバイスの制御からこれらのボットを切り離すことができました。
“This court-authorized removal of malware deployed by the Russian GRU demonstrates the department’s commitment to disrupt nation-state hacking using all of the legal tools at our disposal,” said Assistant Attorney General Matthew G. Olsen of the Justice Department’s National Security Division. “By working closely with WatchGuard and other government agencies in this country and the United Kingdom to analyze the malware and to develop detection and remediation tools, we are together showing the strength that public-private partnership brings to our country’s cybersecurity. The department remains committed to confronting and disrupting nation-state hacking, in whatever form it takes.” 司法省国家安全保障局の マシュー G. オルセン 司法次官補は、次のように述べています。「ロシア GRU が配備したマルウェアを裁判所が認可して除去したことは、あらゆる法的手段を用いて国民国家のハッキングを阻止するという司法省の取り組みを実証しています。サンドワーム の C2 メカニズムを無効にすることで、サンドワーム の C2 デバイスの制御からボットを切り離しました。ウォッチガードをはじめ、米国や英国の政府機関と緊密に協力し、マルウェアの解析や検知・修復ツールの開発を行うことで、官民パートナーシップが我が国のサイバーセキュリティにもたらす強みを示すことができました。同省は、どのような形であれ、国民国家のハッキングに立ち向かい、それを阻止することに引き続き尽力していきます。」
“Through close collaboration with WatchGuard and our law enforcement partners, we identified, disrupted and exposed yet another example of the Russian GRU’s hacking of innocent victims in the United States and around the world,” said U.S. Attorney Cindy K. Chung for the Western District of Pennsylvania. “Such activities are not only criminal but also threaten the national security of the United States and its allies. My office remains committed to working with our partners in the National Security Division, the FBI, foreign law enforcement agencies and the private sector to defend and maintain our nation’s cybersecurity.”  ペンシルバニア州西部地区の シンディー K チャン 連邦検事は、次のように述べています。「ウォッチガードと法執行機関のパートナーとの密接な協力を通じて、我々は米国および世界中の罪のない犠牲者に対するロシア GRU のハッキングの新たな例を特定し、破壊し、暴露しました。このような活動は犯罪であるばかりでなく、米国とその同盟国の国家安全保障を脅かすものです。私の部門は、国家安全保障部門、FBI、外国の法執行機関、民間部門のパートナーと協力して、わが国のサイバーセキュリティを守り維持することに引き続き尽力します。」
“This operation is an example of the FBI’s commitment to combatting cyber threats through  our unique authorities, capabilities, and coordination with our partners,” said Assistant Director Bryan Vorndran of the FBI’s Cyber Division. “As the lead domestic law enforcement and intelligence agency, we will continue pursuing cyber actors that threaten the national security and public safety of the American people, our private sector partners and our international partners.” FBIサイバー課のブライアン・ヴォルドラン課長補佐は、次のように述べました。「この作戦は、FBI独自の権限、能力、パートナーとの連携を通じて、サイバー脅威と戦うというFBIの決意を示す一例です。国内法執行および情報機関のリーダーとして、我々は米国民、民間セクターのパートナー、および国際的なパートナーの国家安全保障と公共の安全を脅かすサイバー行為者を引き続き追及していく」と述べています。
“The FBI prides itself on working closely with our law enforcement and private sector partners to expose criminals who hide behind their computer and launch attacks that threaten Americans’ safety, security and confidence in our digitally connected world,” said Special Agent in Charge Mike Nordwall of the FBI’s Pittsburgh Field Office. “The FBI has an unwavering commitment to combat and disrupt Russia’s efforts to gain a foothold inside U.S. and allied networks.” FBIピッツバーグ支局のマイク・ノードウォール特別捜査官は、次のように述べました。「FBIは、法執行機関や民間部門のパートナーと緊密に協力し、コンピュータの背後に隠れて、デジタルでつながった世界におけるアメリカ人の安全、安心、信頼を脅かす攻撃を行う犯罪者を暴くことを誇りにしています。FBIは、米国および同盟国のネットワーク内に足場を築こうとするロシアの取り組みに対抗し、これを阻止するために、揺るぎないコミットメントを有しています。」
On Feb. 23, the United Kingdom’s National Cyber Security Centre, the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency, the FBI and the National Security Agency released an advisory identifying the Cyclops Blink malware, which targets network devices manufactured by WatchGuard Technologies Inc. (WatchGuard) and ASUSTek Computer Inc. (ASUS). These network devices are often located on the perimeter of a victim’s computer network, thereby providing Sandworm with the potential ability to conduct malicious activities against all computers within those networks. As explained in the advisory, the malware appeared to have emerged as early as June 2019, and was the apparent successor to another Sandworm botnet called VPNFilter, which the Department of Justice disrupted through a court-authorized operation in 2018. 2月23日、英国のNational Cyber Security Centre、国土安全保障省のCybersecurity and Infrastructure Security Agency、FBI、国家安全保障局は、ウォッチガード・テクノロジー社およびエイスーステック・コンピューター (ASUS)社製のネットワーク機器を標的としているマルウェア「Cyclops Blink」についてのアドバイザリーを発表しました。これらのネットワーク機器は、被害者のコンピュータ・ネットワークの境界に配置されていることが多く、それによって、サンドワームは、これらのネットワーク内のすべてのコンピュータに対して悪意のある活動を行うことができる潜在的な能力を備えています。アドバイザリーで説明されているように、このマルウェアは早ければ2019年6月に出現したようで、2018年に司法省が裁判所公認の作戦によって破壊したVPNFilterという別のサンドワームボットネットの後継であることが明らかになりました。
The same day as the advisory, WatchGuard released detection and remediation tools for users of WatchGuard devices. The advisory and WatchGuard’s guidance both recommended that device owners deploy WatchGuard’s tools to remove any malware infection and patch their devices to the latest versions of available firmware. Later, ASUS released its own guidance to help compromised ASUS device owners mitigate the threat posed by Cyclops Blink malware. The public and private sector efforts were effective, resulting in the successful remediation of thousands of compromised devices. However, by mid-March, a majority of the originally compromised devices remained infected. ウォッチガードは勧告と同じ日に、ウォッチガードのデバイスのユーザー向けに検出および修復ツールをリリースしました。勧告とウォッチガードのガイダンスはいずれも、デバイスの所有者がウォッチガードのツールを導入してマルウェア感染を除去し、利用可能なファームウェアの最新バージョンにデバイスをパッチするよう推奨しています。その後、ASUS も独自のガイダンスを発表し、感染した ASUS デバイスの所有者が Cyclops Blink マルウェアによる脅威を軽減できるよう支援しました。このような官民の取り組みが功を奏し、感染した数千台のデバイスの修復に成功しました。しかし、3月中旬までには、感染したデバイスの大半が感染したままになっていました。
Following the initial court authorization on March 18, the department’s operation was successful in copying and removing the malware from all remaining identified C2 devices. It also closed the external management ports that Sandworm was using to access those C2 devices, as recommended in WatchGuard’s remediation guidance (a non-persistent change that the owner of an affected device can reverse through a device restart). These steps had the immediate effect of preventing Sandworm from accessing these C2 devices, thereby disrupting Sandworm’s control of the infected bot devices controlled by the remediated C2 devices. However, WatchGuard and ASUS devices that acted as bots may remain vulnerable to Sandworm if device owners do not take the WatchGuard and ASUS recommended detection and remediation steps. The department strongly encourages network defenders and device owners to review the Feb. 23 advisory and WatchGuard and ASUS releases. 3月18日の最初の裁判所認可後、同局の作戦は、残りの特定されたC2デバイスすべてからマルウェアをコピーし、除去することに成功しました。また、ウォッチガードの修復ガイダンスで推奨されているように、サンドワームがこれらのC2デバイスへのアクセスに使用していた外部管理ポートを閉鎖しました(影響を受けたデバイスの所有者がデバイスの再起動によって元に戻すことができる非持続的な変更)。これらの措置は、サンドワームがこれらのC2デバイスにアクセスするのを防ぐという直接的な効果をもたらし、それによってサンドワームが、改善されたC2デバイスによって制御される感染したボットデバイスを制御できなくすることができたのです。しかしながら、ボットとして機能した ウォッチガード および ASUS デバイスは、デバイスの所有者が ウォッチガード および ASUS が推奨する検出および修復の手順を踏まなければ、サンドワーム に対して脆弱なままである可能性があります。同局は、ネットワーク防御者とデバイス所有者に対し、2月23日の勧告とウォッチガードおよびASUSのリリースを確認するよう強く推奨しています。
The operation announced today leveraged direct communications with the Sandworm malware on the identified C2 devices and, other than collecting the underlying C2 devices’ serial numbers through an automated script and copying the C2 malware, it did not search for or collect other information from the relevant victim networks. Further, the operation did not involve any FBI communications with bot devices. 本日発表された作戦は、特定されたC2デバイス上のサンドワームマルウェアとの直接通信を活用し、自動スクリプトによって基盤となるC2デバイスのシリアル番号を収集し、C2マルウェアをコピーした以外は、関連する被害者ネットワークから他の情報を検索・収集することはありませんでした。さらに、この作戦では、FBIがボットデバイスと通信することはありませんでした。
Since prior to the Feb. 23 advisory, the FBI has been attempting to provide notice to owners of infected WatchGuard devices in the United States and, through foreign law enforcement partners, abroad. For those domestic victims whose contact information was not publicly available, the FBI has contacted providers (such as a victim’s internet service provider) and has asked those providers to provide notice to the victims.  As required by the terms of the court authorization, the FBI has provided notice to the owners of the domestic C2 devices from which the FBI copied and removed the Cyclops Blink malware. 2 月 23 日の勧告以前から、FBI は米国内および海外の法執行機関を通じて、感染した ウォッチガード 機器の所有者に通知を行うよう試みています。連絡先が公開されていない国内の被害者については、FBI がプロバイダー(被害者のインターネット・サービス・プロバイダーなど)と連絡を取り、プロバイダーに被害者への通知を行うよう要請しています。  裁判所の許可条件により要求されたとおり、FBI は、FBI が Cyclops Blink マルウェアをコピーして削除した国内 C2 デバイスの所有者に通知を行いました。
The efforts to disrupt the Cyclops Blink botnet were led by the FBI’s Pittsburgh, Atlanta and Oklahoma City Field Offices, the FBI Cyber Division, the National Security Division’s Counterintelligence and Export Control Section, and the U.S. Attorney’s Office for the Western District of Pennsylvania. Assistance was also provided by the Criminal Division’s Computer Crime and Intellectual Property Section and Office of International Affairs, as well as the U.S. Attorney’s Office for the Eastern District of California. Cyclops Blink ボットネットを破壊するための活動は、FBI のピッツバーグ、アトランタ、オクラホマシティの各フィールドオフィス、FBI サイバー部門、国家安全保障部門の防諜・輸出管理セクション、ペンシルバニア州西部地区連邦検事局によって主導されています。また、刑事部コンピュータ犯罪・知的財産課および国際課、カリフォルニア州東部地区連邦検事局も協力しています。
If you believe you have a compromised device, please contact your local FBI Field Office for assistance. The FBI continues to conduct a thorough and methodical investigation into this cyber incident. 侵入されたデバイスをお持ちの方は、最寄りのFBI支局にご連絡ください。FBIは、このサイバーインシデントについて、引き続き徹底的かつ体系的な調査を実施します。

 

・[PDF] Download EDCA Search Warrant Package

・[PDF] Download WDPA Search Warrant Package

 

GRU関係以外のものも含めて。。。

2022.04.06 ATTORNEY GENERAL MERRICK B. GARLAND ANNOUNCES ENFORCEMENT ACTIONS TO DISRUPT AND PROSECUTE RUSSIAN CRIMINAL ACTIVITY

 

Fig1_20220411162001


 

■ 参考

 U.K. NCSC - Malware Analysis Report

・2022.02.23 [PDF] Cyclops Blink

20220411-162909


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.05 フランス CERT-FRがロシアのウクライナ侵攻に関連した脅威・インシデントレポートを公表していますね。。。

・2021.07.02 米国 (NSA, CISA, FBI) 英国 (NCSC) が共同で「ロシアの情報機関が企業やクラウド環境への総当たり攻撃キャンペーンをグローバルに展開している」と公表していますね。

・2021.04.22 米国によるロシア制裁後のロシア連邦安全保障会議書記と米国大統領補佐官(国家安全保障担当)との電話会談

・2020.10.27 欧州連合 連合と加盟国を脅かすサイバー攻撃に対する制限的措置に関する決定(CFSP)2019/797の修正(ロシアの件。。。)

・2020.10.27 米国 連邦司法省がサイバースペースでの破壊的行為を世界的に行ったことでロシアのGRUの6人を起訴した (2020.10.19)

・2020.10.27 英国NCSC 東京オリンピック関係者にサイバー攻撃をしていたとしてロシアを非難 (2020.10.19)

・2020.08.16 FBIとNSAは合同でLinuxシステムを対象としたロシアのDrovorubマルウェアについて情報を公開していますね。。。

・2020.06.03 米国 国家安全保障局 (NSA) がEximの脆弱性を悪用するロシアのAPTグループ「Sandworm」に関する警告を公表

 

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書(第5巻)を公開していますね。。。

 

| | Comments (0)

ENISA サイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワーク

こんにちは、丸山満彦です。

ENISAがサイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析のフレームワークを公表していますね。。。いまいま段階の暫定版の位置付けで、さまざまな事例を通じてブラッシュアップしていく感じですね。。。まずは、配電網分野のIoTセキュリティ市場で試している感じです(日立も調査対象となっています)。。。

興味深いですね。。。

 

ENISA

・2022.04.08 (news) Cybersecurity Market Analysis in support of Informed Cybersecurity Business Decisions

Cybersecurity Market Analysis in support of Informed Cybersecurity Business Decisions 情報化されたサイバーセキュリティビジネスの意思決定を支援するサイバーセキュリティ市場分析
The European Union Agency for Cybersecurity (ENISA) introduces a framework to perform cybersecurity market analyses and dives into the market of the Internet of Things (IoT) distribution grids for validation. 欧州連合サイバーセキュリティ庁(ENISA)がサイバーセキュリティ市場分析を行うためのフレームワークを導入し、IoT(Internet of Things)配電網の市場について検証します。
What’s the objective? 目的は何ですか?
To improve market penetration, value for money, quality and acceptance of products, processes and services, performing cybersecurity market analysis has become an important tool for a variety of stakeholders. Market data is currently considered key to making informed decisions related to cybersecurity choices, on new products to be launched, policy initiatives or research and innovation funding. 製品、プロセス、サービスの市場浸透、コストパフォーマンス、品質、受容性を向上させるために、サイバーセキュリティ市場分析を行うことは、さまざまな関係者にとって重要な手段となっています。現在、市場データは、サイバーセキュリティの選択、発売される新製品、政策イニシアチブ、研究・革新資金に関する情報に基づいた意思決定を行う上で重要なものと考えられています。
The first report introduces a market analysis framework to be applied across various application areas over time.  最初の報告書では、時間をかけて様々なアプリケーション領域に適用される市場分析フレームワークを紹介しています。 
The second report analyses the IoT cybersecurity market demand and supply in the sector of electricity distribution grids across the EU. 2つ目の報告書では、EU全域の配電網の分野におけるIoTサイバーセキュリティ市場の需要と供給を分析します。
How does the framework work? フレームワークはどのように機能しますか?
The framework consists of a toolbox designed to facilitate the performance of cybersecurity market analyses. It offers a range of analysis approaches based on innovative market modelling specifically adapted to the cybersecurity market. このフレームワークは、サイバーセキュリティ市場分析のパフォーマンスを容易にするために設計されたツールボックスで構成されています。特にサイバーセキュリティ市場に適応した革新的な市場モデリングに基づいた様々な分析アプローチを提供します。
This framework can be applied to various market segments. Structured around six modules, it offers the flexibility to choose the type of the performed analysis among: このフレームワークは、様々な市場セグメントに適用することができます。6つのモジュールで構成されており、実行する分析の種類を柔軟に選択することができます。
・Market structure & segmentation; ・市場構造とセグメンテーション
・Demand-side research; ・需要側の調査
・Supply-side research including vendor market map; ・ベンダーマケットマップを含む供給側調査
・Technology research; ・テクノロジー調査
・Macro-environmental factors and ・マクロ環境要因
・Economic market characteristics. ・経済市場の特徴
Main points and foreseen next steps: 主なポイントと今後の予定
- On the framework ・フレームワークについて
Identifying the right data and the right method to perform data collection is essential if we want to avoid pitfalls such as bias. The processing techniques currently available need to be assessed and selected wisely. Moreover, the confidentiality of market data collected also raises both competition, and technical questions to be addressed. They call for the use of anonymisation, implementing security controls, etc. 偏りなどの落とし穴を避けるためには、正しいデータとデータ収集の方法を特定することが不可欠です。現在利用可能な処理技術を評価し、賢く選択する必要があります。さらに、収集した市場データの機密性についても、競争と技術的な問題の両方に対処しなければなりません。匿名化の利用、セキュリティ管理の実施などが求められています。
The framework introduces a coherent taxonomy of cybersecurity products, processes and services. This cybersecurity taxonomy has been derived from relevant work already performed within the EU. Cooperation with stakeholders that are active in classifying cybersecurity has also been taken into account (e.g. European Commission’s Joint Research Centre). このフレームワークは、サイバーセキュリティ製品、プロセス、サービスに関する首尾一貫した分類法を導入しています。このサイバーセキュリティの分類法は、EU内で既に実施された関連作業から導き出されたものです。サイバーセキュリティの分類に積極的なステークホルダーとの協力も考慮されています(例:欧州委員会の共同研究センター)。
Furthermore, Member States already started implementing cybersecurity market surveillance functions. These functions aim to check whether ICT products comply with the requirements of EU cybersecurity certificates. The development of market surveillance in Member States has been identified as a priority for ENISA today and for the years to come. The proposed cybersecurity market analysis framework may be a useful input to these efforts. さらに、加盟国はすでにサイバーセキュリティの市場監視機能の導入を開始しています。これらの機能は、ICT製品がEUのサイバーセキュリティ証明書の要件に適合しているかどうかをチェックすることを目的としています。加盟国における市場サーベイランスの発展は、現在および今後数年間のENISAの優先事項として認識されています。提案されているサイバーセキュリティ市場分析フレームワークは、こうした取り組みへの有用なインプットとなる可能性があります。
- On IoT in distribution grids ・配電網におけるIoTについて
The analysis on IoT for electricity grids reveals that the architecture of distribution grids is undergoing some major changes. Flexible and dynamically configured bi-directional power flows are gradually replacing traditional, one-way transmission electricity grids. The digital transformation of electricity grids will imply investing in digitalised components. However, this digitalisation will in turn lead to more cyber threat exposure by adversaries, such as State or non-State actors. 電力系統のIoT化に関する分析から、配電網のアーキテクチャが大きく変化していることが明らかになりました。柔軟で動的に構成された双方向の電力フローが、従来の一方通行の送電電力網に徐々に取って代わりつつあります。電力網のデジタル化は、デジタル化されたコンポーネントへの投資を意味します。しかし、このようなデジタル化は、国家や非国家主体などの敵対者によるサイバー脅威のさらなる露出を招くことになります。
The report on IoT serves as a proof of concept of the initial cybersecurity market analysis framework published herewith. Part of the objective of this report was to validate the applicability of the proposed framework. With the support of the Ad Hoc Working Group (AHWG) on the EU Cybersecurity Market established by ENISA in 2021, the Agency will conduct additional cybersecurity market analyses to further develop the framework. IoTに関する本レポートは、今回発表したサイバーセキュリティ市場分析の初期フレームワークの概念実証の役割を担っています。本報告書の目的の一つは、提案したフレームワークの適用可能性を検証することでした。2021年にENISAが設立したEUサイバーセキュリティ市場に関するアドホック・ワーキング・グループ(AHWG)の支援を受け、同庁は追加のサイバーセキュリティ市場分析を行い、枠組みをさらに発展させる予定です。
What’s the legal base? 法的根拠は?
The Cybersecurity Act (CSA) foresees the assessment of market developments, inter alia in the context of certification. Because certification is intended to improve the functioning of the internal market, performing the analysis of market trends both on the demand and on the supply sides helps ensuring market-enforcing certification efforts. Within this context, market analysis will therefore contribute to reducing the fragmentation of the EU internal market, an objective provided for by the CSA. サイバーセキュリティ法(CSA)は、特に認証の文脈で市場の発展を評価することを予見しています。認証は域内市場の機能を向上させることを目的としているため、需要側と供給側の両方で市場動向の分析を行うことは、市場強制力のある認証努力を保証するのに役立ちます。このような背景から、市場分析は、CSAが定める目的であるEU域内市場の断片化の抑制に貢献することになります。
Target audience 想定読者
・EU institutions, bodies and Agencies (EUIBAs); ・EUの機関、団体、機関(EUIBAs)。
・Member States/public authorities (e.g. Cybersecurity Authorities); ・加盟国/公的機関(サイバーセキュリティ当局など)。
・ENISA stakeholder groups (e.g. ENISA Advisory Group); ・ENISAのステークホルダー・グループ(例:ENISAアドバイザリー・グループ)。
・Further relevant stakeholder groups (e.g. ECCG, SCCG, NLOs) ・その他の関連するステークホルダー・グループ(例:ECCG、SCCG、NLOs)
・Industry and industry associations (Ecosystem of Certification, EU TIC Council, vendors / manufacturers, ECSO); ・業界および業界団体(認証のエコシステム、EU TIC協議会、ベンダー/メーカー、ECSO)。
・Research institutions and research related entities and ・研究機関および研究関連団体
・Consumer organisations/associations. ・消費者団体・協会
Further information その他の情報
ENISA Cybersecurity Market Analysis Framework ENISAサイバーセキュリティ市場分析フレームワーク
EU Cybersecurity Market Analysis – IoT in Distribution Grids EUサイバーセキュリティ市場分析 - 配電網におけるIoT

 

 

・2022.04.08 ENISA Cybersecurity Market Analysis Framework (ECSMAF)

ENISA Cybersecurity Market Analysis Framework (ECSMAF) ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market: it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed. この文書は、EUサイバーセキュリティ市場の分析におけるENISAの活動の基礎となるものです。EUサイバーセキュリティ市場の分析をどのように行うかについての「料理本」としてサイバーセキュリティ市場分析のフレームワークを提示します。

・[PDF

20220411-51103

EXECUTIVE SUMMARY  エグゼクティブサマリー 
In 2021, in its efforts to contribute to the achievement of its objectives as defined in the Cybersecurity Act (CSA)1 and to the implementation of the ENISA Single Programming Document5, ENISA has kicked-off a series of activities in the area of cybersecurity market analysis.   2021年、サイバーセキュリティ法(CSA) で定義された目的の達成と ENISA 単一計画文書5 の実施に貢献する取り組みとして、ENISA はサイバーセキュリティ市場分析の分野で一連の活動を開始しました。
Analysing how well cybersecurity products, services and processes succeed in the market is a key step in understanding how to improve their market diffusion, importance, quality and acceptance. Though cybersecurity has been considered in the past within market analysis efforts, the customisation and scoping of cybersecurity market analyses is still at low levels of maturity. Moreover, market data on cybersecurity products, services and processes are scarcely taken into account in the cybersecurity development life-cycle, e.g. within decision-making processes for the launching and development of cybersecurity initiatives, product ideas, policy actions, research funding, and deployments. By initiating this activity, ENISA delivers an important contribution towards a more targeted, market-driven decision-making process for the conception, launching and maintenance of cybersecurity products, services and processes within the EU.  サイバーセキュリティ製品、サービス、プロセスが市場でどの程度成功しているかを分析することは、市場での普及、重要性、品質、受容性を向上させる方法を理解する上で重要なステップです。過去にも市場分析においてサイバーセキュリティは考慮されてきましたが、サイバーセキュリティの市場分析のカスタマイズやスコープ設定はまだ成熟度が低いのが現状です。さらに、サイバーセキュリティ製品、サービス、プロセスに関する市場データは、サイバーセキュリティの開発ライフサイクル、例えば、サイバーセキュリティのイニシアティブ、製品アイデア、政策行動、研究資金、配備の開始と開発のための意思決定プロセスにおいて、ほとんど考慮されていません。この活動を開始することにより、ENISAは、EU域内のサイバーセキュリティ製品、サービス、プロセスの構想、立ち上げ、維持のための、より的を絞った、市場主導型の意思決定プロセスに向けて重要な貢献をすることになります。
This document is the cornerstone of ENISA activities in analysing the EU cybersecurity market:  この文書は、EUのサイバーセキュリティ市場を分析するENISAの活動の基礎となるものです。
it presents a cybersecurity market analysis framework as a “cookbook” on how EU cybersecurity market analyses can be performed and be:  この文書は、サイバーセキュリティ市場分析のフレームワークを、EUのサイバーセキュリティ市場分析がどのように実行され、どのようになるかの「料理本」として提示するものです。
•        More transparent: the fact that analysis method, parametrization, cybersecurity value chain, market trends and market stakeholders are fixed, leads to a more transparency as regards the results of the analysis.  ・透明性の向上:分析方法,パラメトリック,サイバーセキュリティのバリューチェーン,市場動向,市場関係者が固定されているため,分析結果の透明性が向上します。
•        More comparable: by having set both the content of various components and the steps of the analysis process, the achieved results are more comparable, and thus reusable among various analyses performed.  ・比較可能性:さまざまなコンポーネントの内容と分析プロセスのステップの両方が設定されているため,達成された結果はより比較可能であり,したがって実行されたさまざまな分析間で再利用可能です。
•        More targeted towards specific cybersecurity value chains: the availability of a standard taxonomy of cybersecurity value chains, allows for more targeted analysis with regard to specific cybersecurity areas, products, services and processes.   ・特定のサイバーセキュリティバリューチェーンにより的を絞る: サイバーセキュリティバリューチェーンの標準的な分類法が利用できるため、特定のサイバーセキュリティ分野の製品、サービス、プロセスに関して、より的を絞った分析が可能になります。
•        More customizable towards technology and market trends: the possibility to customize an analysis according to various trends, allows for consideration of market dynamics by means for forecasts, market gaps and market niches.  ・技術や市場のトレンドに対してよりカスタマイズが可能:さまざまなトレンドに応じて分析をカスタマイズできるため、予測、市場ギャップ、市場ニッチなどの手段で市場のダイナミクスを考慮することができる。
•        More agile: the inherent flexibility of setting market analysis foci and adapting accordingly the performed analysis process, increases agility of the proposed market analysis method.  ・市場分析の焦点の設定や分析プロセスの柔軟性により,提案する市場分析手法の俊敏性を高めることができる。
•        More comprehensive: the inclusion of all possible variables, criteria and contextual information on cybersecurity, as well as requirements and dependencies both from the supply and the demand sides, increases the comprehensiveness of the proposed market analysis method.  ・より包括的に:サイバーセキュリティに関するすべての可能な変数、基準、文脈情報、および供給側と需要側の両方からの要件と依存関係を含めることで、提案する市場分析手法の包括性が高まる。
•        More coherence: the use of the framework to perform market analyses facilitates information exchanges among specific market analysis reports by means of re-usability and coherence of created/maintained market information (both raw market data and analysis results).  ・一貫性の向上:市場分析を行うためにフレームワークを使用することで、作成/維持された市場情報(生の市場データと分析結果の両方)の再利用性と一貫性により、特定の市場分析レポート間の情報交換が容易になります。
The framework presented in this report is at its initial development phase. With increasing performance of cybersecurity market analyses, but also with interactions with stakeholders, ENISA will continuously develop, update and maintain the current framework to increase its efficiency and practicability. To this extent, it constitutes rather the starting point of a journey than a destination. 本報告書で紹介するフレームワークは、まだ開発の初期段階です。サイバーセキュリティ市場分析の実績が増えるにつれ、また利害関係者との相互作用により、ENISAは現行の枠組みを継続的に開発、更新、維持し、その効率と実用性を高めていく予定です。この限りにおいて、本報告書は目的地というよりもむしろ旅の出発点となるものです。

[1] https://eur-lex.europa.eu/legal-content/EL/TXT/PDF/?uri=CELEX:32019R0881&from=EN, accessed November 2021.

 

目次...

1. INTRODUCTION 1. イントロダクション
1.1 POLICY CONTEXT 1.1 政策の背景
1.2 PURPOSE, OBJECTIVES AND SCOPE 1.2 目的、目標、範囲
1.3 TARGET AUDIENCE 1.3 想定読者
1.4 STRUCTURE OF THE REPORT 1.4 報告書の構成
2. CONTENT OF THE ENISA CYBERSECURITY MARKET ANALYSIS  FRAMEWORK (ECSMAF)
2. ENISAサイバーセキュリティ市場分析フレームワーク(ECSMAP)の内容
2.1 LOGICAL BLOCKS/MODULES OF ECSMAF 2.1 ecsmafの論理ブロック/モジュール
2.1.1 Market structure and segmentation 2.1.1 市場の構造とセグメンテーション
2.1.2 Demand-side research 2.1.2 需要側の調査
2.1.3 Supply-side research 2.1.3 供給側調査
2.1.4 Technology research 2.1.4 技術研究
2.1.5 Macro-Environmental Factors and Economic Market Characteristics 2.1.5 マクロ環境因子と経済市場の特性
2.2 CONTEXTUALIZED ECSMAF COMPONENTS 2.2 コンテキスト化されたECSMAPの構成要素
2.2.1 Scoping the analysis and ECSMAF parametrization 2.2.1 分析のスコープとECSMAFのパラメトリゼーション
2.2.2 Cybersecurity market taxonomy 2.2.2 サイバーセキュリティ市場の分類法
2.2.3 Cybersecurity market trends 2.2.3 サイバーセキュリティ市場の動向
2.2.4 Market stakeholder types 2.2.4 市場のステークホルダーの種類
2.2.5 Methods for collecting market data 2.2.5 市場データの収集方法
3. RELATED AREAS 3. 関連する分野
4. ISSUES, CONSIDERATIONS, CONCLUSIONS 4. 問題点、考察、結論
4.1 GENERAL REMARKS 4.1 総論
4.2 OPEN ISSUES AND WAYS FORWARD 4.2 未解決の問題および今後の進め方
A ANNEX: EXAMPLES 附属書A:事例
A.1 EXAMPLES OF MARKET STRUCTURE AND SEGMENTATION A.1 市場構造とセグメンテーションの例
A.2 EXAMPLES OF DEMAND-SIDE RESEARCH A.2 需要側の研究例
A.3 EXAMPLES OF SUPPLY-SIDE RESEARCH A.3 供給側の調査例
A.3.1 Example of Market Map A.3.1 市場マップの例
A.4 EXAMPLES OF TECHNOLOGY RESEARCH A.4 テクノロジー調査の例
A.4.1 Example of Scenarios and Technology Map A.4.1 シナリオとテクノロジーマップの例
A.4.2 Example of market adoption forecast A.4.2 市場導入予測例
A.5 EXAMPLES OF MACRO-ENVIRONMENTAL FACTORS AND ECONOMIC MARKET CHARACTERISTICS A.5 マクロ環境要因と経済市場の特性に関する例
B MAIN ABBREVIATIONS B 主な略語

 

 

・2022.04.08 EU Cybersecurity Market Analysis - IoT in Distribution Grid

EU Cybersecurity Market Analysis - IoT in Distribution Grid EUサイバーセキュリティ市場分析-配電網のIoT化
This report analyses demand and supply of IoT cybersecurity in distribution grids. Tt provides detailed indications on how this market might further develop in the future. The conclusions provided in the report are related to the envisaged scope, being thus non-exhaustive with regard to the entire smart-grid infrastructure. 本レポートでは、配電網におけるIoTサイバーセキュリティの需要と供給について分析しています。今後、この市場がどのように発展していくかについて、詳細な示唆を与えています。本レポートで提供する結論は、想定される範囲に関連するものであり、したがってスマートグリッドインフラ全体に関して網羅的なものではありません。

 

・[PDF]

20220411-51113

 

エグゼクティブサマリー・・・

EXECUTIVE SUMMARY  エグゼクティブサマリー 
Due to increasing digital transformation across various sectors, cybersecurity is now at the forefront for many organisations. This trend has been further reinforced by the continuous development of relevant EU legislative and policy frameworks, such as the Network and Information Security (NIS) Directive[1], the EU Cybersecurity Act (CSA)[2] and the Digital Single Market Strategy3 様々な分野でデジタルトランスフォーメーションが進んでいるため、サイバーセキュリティは多くの組織にとって最重要課題となっています。この傾向は、ネットワークと情報セキュリティ(NIS)指令[1]、EUサイバーセキュリティ法(CSA)[2]、デジタル単一市場戦略3など、関連するEU立法や政策の枠組みが継続的に発展していることによってさらに強まっています。
The NIS Directive represents the first EU-wide legislation on cybersecurity. Its objective is to achieve a high common level of cybersecurity across all national ‘Operators of Essential Service’ (OES). The identified OESs include various industries, such as energy, transport and water distribution. The energy infrastructure is one of the most complex and, at the same time, critical infrastructures that other business sectors depend upon to deliver essential services. Therefore, unavailability in supply of energy may potentially have high impact on economy and society. A potential disruption for a long period of time can cause a disfunctions in society, industry and trade by even affecting the gross domestic product (GDP). As will be outlined in this study, the NIS Directive has important implications for numerous organisations, including those managing the electrical grid in the Member States. The ability for organisations to ensure the cybersecurity of power supply is of fundamental value for the functioning of Member States and the every-day lives of European citizens. As such, successful cyber-attacks may have a devastating impact on the performance of power grids. By way of example, the 2015 cyberattack in Ukraine[3][4] cut the electricity of 225,000 households, damaged industrial control systems, and resulted in lasting operational implications on the electricity grid for several weeks.  NIS指令は、サイバーセキュリティに関する最初のEU全体の法律です。その目的は、すべての国の「重要サービス事業者」(OES)に対して、高い共通レベルのサイバーセキュリティを実現することです。特定されたOESには、エネルギー、輸送、配水など、さまざまな産業が含まれます。エネルギーインフラは、最も複雑であると同時に、他の事業部門が不可欠なサービスを提供するために依存している重要なインフラの一つです。そのため、エネルギーが供給されないと、経済や社会に大きな影響を与える可能性があります。長期にわたる供給停止は、社会、産業、貿易に混乱をもたらし、国内総生産(GDP)にまで影響を及ぼす可能性があります。本研究で概説するように、NIS指令は、加盟国の電力網を管理する組織を含む多くの組織にとって重要な意味を持っています。電力供給のサイバーセキュリティを確保する組織の能力は、加盟国の機能と欧州市民の日常生活にとって基本的な価値を持つものです。そのため、サイバー攻撃が成功すれば、電力網の性能に壊滅的な影響を与える可能性があります。例として、2015年にウクライナで発生したサイバー攻撃[3][4]は、22万5000世帯の電力をカットし、産業用制御システムにダメージを与え、数週間にわたって電力網に持続的な運用上の影響を与える結果となりました。
Meanwhile, it must be noted that the electricity industry is undergoing a radical transformation, driven by political, economic, social, and environmental factors, as well as by the increased digitalisation through the adoption of new technologies and new market entrants. Considering the recent policy developments on IoT cybersecurity5, one could reasonably state that IoT technologies are increasingly at the forefront of this transformation. Be that as it may, as organisations continue to digitalise their operations and improve the flexibility of the grid to accommodate renewable energy sources, their attack surface has increased. Vulnerable (interconnected) IoT devices[5] can be accessed by malicious actors, resulting in stolen information or malicious activities that could cause disruptions to the safe operation of energy assets, causing potential harm to individuals, organisations, or Member States.  一方、電力業界は、政治的、経済的、社会的、環境的要因に加え、新技術の採用や新規市場参入によるデジタル化の進展により、急激な変革期を迎えていることに留意する必要があります。IoTサイバーセキュリティに関する最近の政策展開5を考慮すると、IoT技術がこの変革の最前線にますます近づいていると合理的に言うことができます。それはともかく、組織が業務のデジタル化を進め、再生可能エネルギー源に対応するためにグリッドの柔軟性を向上させるにつれ、その攻撃対象は増加しています。脆弱な(相互接続された)IoTデバイス[5]は、悪意のある行為者によってアクセスされ、その結果、情報が盗まれたり、エネルギー資産の安全な運用を妨害する悪質な行為が行われたりし、個人、組織、加盟国に損害を与える可能性があるのです。
In accordance with its mandate under the CSA, ENISA observes and analyses the cybersecurity market in the European Union. It is within this context that ENISA delivers this report which aims at analysing the IoT cybersecurity market in distribution grids in the European Union. This analysis has been conducted as a proof of concept (PoC) of the initial version of the ENISA Cybersecurity Market Analysis Framework (ECSMAF) developed by the Agency in 2021 and published in April 2022[6].  CSAに基づく職務権限に従い、ENISAは欧州連合におけるサイバーセキュリティ市場を観察し分析しています。ENISAが、欧州連合の配電網におけるIoTサイバーセキュリティ市場の分析を目的とした本レポートを提供するのは、このような背景のためです。本分析は、2021年に同庁が開発し、2022年4月に公表したENISAサイバーセキュリティ市場分析フレームワーク(ECSMAF)の初期バージョンの概念実証(PoC)として実施されたものです[6]。
As described in ENISA Cybersecurity Market Analysis Framework (ECSMAF), the scoping is key for the success of the analysis. The decision to conduct an analysis focused on IoT cybersecurity market in distribution grids was made by taking into account a variety of scoping criteria such as: level of adoption of IoT in the smart grid, size of the relevant market, reported level of exposure to cyberthreats, assumed added value of the analysis for the stakeholders, but also available project resources.  ENISA Cybersecurity Market Analysis Framework (ECSMAF)にあるように、分析の成功にはスコーピングが重要です。配電網におけるIoTサイバーセキュリティ市場に焦点を当てた分析を実施する決定は、スマートグリッドにおけるIoTの導入レベル、関連市場の規模、サイバー脅威への暴露の報告レベル、関係者に対する分析の想定付加価値、さらには利用できるプロジェクトリソースなどの様々なスコーピング基準を考慮することによって行われました。
This report analyses demand and supply of IoT cybersecurity in distribution grids. Furthermore, it provides detailed indications on how this market might further develop in the future. That being said, the conclusions provided in the report are related to the envisaged scope, being thus nonexhaustive with regard to the entire smart-grid infrastructure. Moreover, in the frame of available resources, the analysis is based on existing market data delivered by a contractor. While they constitute a good sample to assess international market dynamics, trends and characteristics, they do not encompass the complete picture of the EU IoT cybersecurity market. This can be achieved in prospective, more targeted analyses of this market segment.  本レポートでは、配電網におけるIoTサイバーセキュリティの需要と供給について分析しています。さらに、この市場が今後どのようにさらに発展していくかについて、詳細な示唆を与えています。とはいえ、本レポートで提供する結論は、想定される範囲に関連するものであり、スマートグリッドのインフラ全体に関しては非網羅的なものとなっています。さらに、利用可能なリソースの枠内で、分析は請負業者によって提供された既存の市場データに基づいています。これらは、国際市場のダイナミクス、トレンド、特性を評価するための良いサンプルとなりますが、EUのIoTサイバーセキュリティ市場の全体像を網羅するものではありません。これは、この市場セグメントについて、より対象を絞った前向きな分析で達成することができます。
The research that was conducted resulted in the following highlights:  実施された調査の結果、以下の概要が得られました。
•        IoT cybersecurity spending within the distribution grids of the EU-27 is mainly driven by the adoption of electricity “smart” meters.  ・EU-27の配電網内のIoTサイバーセキュリティ支出は、主に電力の「スマート」メーターの採用によってもたらされています。
•        From 2025 to 2030, the IoT cybersecurity market related to smart meters is expected to be mainly driven by Operational Expenditures (OPEX) rather than Capital Expenditures (CAPEX). In practice, this means that more capital is expected to be spent for the maintenance of IoT cybersecurity (such as maintenance of security software installed in IoT devices, e.g. software patches) than for the purchase of new cybersecurity hardware or software.  ・2025年から2030年にかけて、スマートメーターに関連するIoTサイバーセキュリティ市場は、主に資本支出(CAPEX)よりも運用支出(OPEX)により牽引されると予想されます。これは、実際には、サイバーセキュリティのハードウェアやソフトウェアの新規購入よりも、IoTサイバーセキュリティの保守(IoT機器にインストールされたセキュリティソフトウェアの保守、例えばソフトウェアパッチなど)に多くの資本が使われることが予想されることを意味します。
•        Analysis indicates that there are no IoT monopolies. Nonetheless, organisations tend to favour larger IoT vendors that possess the necessary capabilities to cover a wide spectrum of requirements, limiting the space for market entry of smaller organisations in consequence.  ・分析によると,IoTの独占は存在しません。しかし,組織は、幅広い要件に対応するために必要な能力を有する大規模なIoTベンダーを好む傾向があり、その結果、小規模な組織の市場参入の余地が制限されることになります。
•        There are four main archetypes of suppliers within the IoT cybersecurity market, these being: multi-domain industrial assets vendors, multi-domain IT vendors, specialist IoT vendors, and IoT cybersecurity specialist vendors.   ・IoTサイバーセキュリティ市場には、マルチドメイン産業資産ベンダー、マルチドメインITベンダー、IoT専門ベンダーおよびIoTサイバーセキュリティ専門ベンダーの4種類の主要な供給者が存在します。
•        The above-mentioned archetypes exhibit different competitive dynamics, i.e., focussing on a particular market segment vs. diversification.  ・これらのタイプは、特定の市場セグメントへの注力と多様化という異なる競争力学を示しています。
•        The increase of demand for cybersecurity tools and services to improve its IoT cybersecurity capabilities, represents one of the main trends by the energy industry.  ・IoTサイバーセキュリティ能力を向上させるためのサイバーセキュリティツールおよびサービスに対する需要の増加は、エネルギー産業による主要なトレンドの1つを表しています。
•        Embedded cybersecurity into IoT infrastructure and IoT management platforms represents one of the trends on the supply-side portfolios.  ・IoTインフラとIoT管理プラットフォームへのサイバーセキュリティの組み込みは、供給側ポートフォリオのトレンドの1つを表しています。
•        There are multiple technological development trends in the IoT cybersecurity market. Among these, cyber-physical system security and operational technology security are expected to materialize in the short term.  ・IoTサイバーセキュリティ市場には複数の技術開発トレンドが存在します。このうち短期的にはサイバーフィジカルシステムセキュリティと運用技術セキュリティが具体化すると予想されます。

[1] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN, accessed 20 September 2021.

[2] https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32019R0881&from=EN, accessed 20 September 2021. 3 https://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:52015DC0192&from=EN, accessed 20 September 2021.

[3] https://www.wired.com/2016/03/inside-cunning-unprecedented-hack-ukraines-power-grid/, accessed December 2021. 5 See for instance, EU's Cybersecurity Strategy for the Digital Decade, JOIN/2020/18 final, https://eur-lex.europa.eu/legalcontent/EN/ALL/?uri=JOIN:2020:18:FIN (see in particular Section 1.5 An Internet of Secure Things), accessed 13 January

[4] ; Council Conclusions on the cybersecurity of connected devices, 2 December 2020, 13629/20, https://data.consilium.europa.eu/doc/document/ST-13629-2020-INIT/en/pdf, accessed 13 January 2022; Commission Delegated Regulation of 29.10.2021 supplementing Directive 2014/53/EU of the European Parliament and of the Council with regard to the application of the essential requirements referred to in Article 3(3), points (d), (e) and (f), of that Directive, https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=PI_COM%3AC%282021%297672&qid=1638116539090, accessed 13 January 2022. For an overview on European Commission policy on IoT, see https://digitalstrategy.ec.europa.eu/en/policies/secure-internet-things, accessed 13 January 2022.

[5] In this report "IoT" and "connected devices" are used as synonymous.

 

目次・・・

EXECUTIVE SUMMARY エグゼクティブサマリー
1. INTRODUCTION 1. イントロダクション
1.1 SCOPING AND SELECTED THE FOCUS OF THE REPORT: IOT CYBERSECURITY IN DISTRIBUTION  GRIDS 1.1 スコープと報告書の焦点の選択:配電網におけるiotサイバーセキュリティ
1.2 SPECIFICITIES OF THIS MARKET ANALYSIS 1.2 この市場分析の特異性
1.3 STRUCTURE OF THE REPORT 1.3 レポートの構成
1.4 DATA COLLECTION 1.4 データ収集
1.5 BACKGROUND: A CHANGING LANDSCAPE IN THE ELECTRICITY INDUSTRY 1.5 背景:電力業界を取り巻く環境の変化
2. MARKET STRUCTURE 2. 市場構造
2.1 INTRODUCTION TO THE MARKET STRUCTURE 2.1 市場構造の紹介
2.2 RESEARCH QUESTIONS 2.2 調査クエスチョン
2.3 KEY ASSETS OF THE ELECTRICITY GRIDS FROM AN IOT PERSPECTIVE: SMART TRANSFORMERS  AND SMART METERS 2.3 iotの観点から見た電力網の主要資産:スマート変圧器とスマートメーター
2.4 COVERED GEOGRAPHIES 2.4 対象地域
2.5 IOT CYBERSECURITY MARKET IN DISTRIBUTION GRIDS IN EU-27 2.5 EU-27の配電網におけるiotサイバーセキュリティ市場
2.5.1 IoT cybersecurity market of smart transformers 2.5.1 スマート変圧器のIoTサイバーセキュリティ市場
2.5.2 IoT cybersecurity market of smart electricity meters 2.5.2 スマート電力計のIoTサイバーセキュリティ市場
2.5.3 IoT cybersecurity market: aggregated results 2.5.3 IoTサイバーセキュリティ市場:集計結果
3. DEMAND-SIDE RESEARCH 3. 需要側調査
3.1 INTRODUCTION TO THE DEMAND-SIDE RESEARCH SECTION 3.1 需要側調査セクションの紹介
3.2 RESEARCH QUESTIONS FOR THE DEMAND-SIDE 3.2 需要側の調査クエスチョン
3.3 METHODOLOGY OF THE DEMAND-SIDE RESEARCH 3.3 需要側調査の方法論
3.4 MARKET TRENDS ON THE DEMAND-SIDE 3.4 需要側の市場動向
4. SUPPLY-SIDE RESEARCH 4. 供給側調査
4.1 INTRODUCTION TO THE SUPPLY-SIDE ANALYSIS 4.1 供給側分析への導入
4.2 RESEARCH QUESTIONS FOR THE SUPPLY-SIDE ANALYSIS 4.2 供給側分析のための調査クエスチョン
4.3 METHODOLOGY OF THE SUPPLY-SIDE ANALYSIS 4.3 供給側分析の方法論
4.4 ARCHETYPES OF SUPPLIERS 4.4 供給者のアーキタイプ
4.4.1 Multi-domain industrial assets vendors 4.4.1 マルチドメイン産業資産ベンダー
4.4.2 Multi-domain IT vendors 4.4.2 マルチドメインITベンダー
4.4.3 Specialist IoT vendors 4.4.3 IoT専門ベンダー
4.4.4 IoT Cybersecurity specialist vendors 4.4.4 IoTサイバーセキュリティ専門ベンダー
4.5 PROFILES OF REPRESENTATIVE MARKET PLAYERS 4.5 代表的な市場プレイヤーのプロフィール
4.5.1 General Electric 4.5.1 ゼネラル・エレクトリック
4.5.2 Hitachi ABB Power Grids 4.5.2 日立ABBパワーグリッド
4.5.3 Microsoft 4.5.3 マイクロソフト
4.5.4 Oracle 4.5.4 オラクル
4.5.5 CloudPlugs 4.5.5 クラウドプラッグス
4.5.6 Telit 4.5.6 テリット
4.5.7 Nozomi Networks 4.5.7 のぞみネットワークス
4.5.8 Radiflow 4.5.8 ラジフロー
4.6 VENDORS IN SCOPE FOR THE ANALYSIS 4.6 分析対象ベンダー
4.7 MARKET TRENDS ON THE SUPPLY-SIDE 4.7 供給側の市場動向
5. TECHNOLOGY RESEARCH 5. 技術調査
5.1 INTRODUCTION TO THE TECHNOLOGY RESEARCH SECTION 5.1 技術調査セクションの紹介
5.2 RESEARCH QUESTIONS ON TECHNOLOGY 5.2 技術に関する調査の質問
5.3 METHODOLOGY OF TECHNOLOGY ANALYSIS 5.3 技術分析の方法論
5.4 IOT CYBERSECURITY TECHNOLOGY TRENDS IN DISTRIBUTION GRIDS 5.4 配電網におけるIoTサイバーセキュリティの技術動向
5.4.1 Cyber-physical system security 5.4.1 サイバーフィジカルシステムのセキュリティ
5.4.2 Operational Technology security 5.4.2 運用技術のセキュリティ
5.4.3 Positioning, Navigation, and Timing (PNT) security 5.4.3 PNT(ポジショニング・ナビゲーション・タイミング)セキュリティ
5.4.4 Digital Risk Protection Services 5.4.4 デジタルリスクプロテクションサービス
5.4.5 Homomorphic Encryption 5.4.5 ホモモーフィック・エンクリプション
6. MACRO-ENVIRONMENTAL FACTORS 6. マクロ環境要因
6.1 INTRODUCTION TO THE MACRO-ENVIRONMENTAL FACTORS SECTION 6.1 マクロ環境要因セクションの紹介
6.2 RESEARCH QUESTIONS 6.2 調査クエスチョン
6.3 METHODOLOGY OF ANALYSIS 6.3 分析の方法論
6.4 MACRO-ECONOMIC FACTORS OF THE IOT CYBERSECURITY MARKET 6.4 IoTサイバーセキュリティ市場のマクロ経済的要因
6.4.1 Accelerated electrification of vehicles in EU 6.4.1 EUで加速する自動車の電動化
6.4.2 Aftermath of the COVID-19 pandemic 6.4.2 COVID-19のパンデミックの余波
6.4.3 Available green bonds and government funding for energy transformation 6.4.3 エネルギー転換のためのグリーンボンドや政府資金が利用可能
6.4.4 Limited workforce to execute on grid digitalisation 6.4.4 グリッドのデジタル化を実行するための限られた労働力
6.4.5 Accelerated growth in electricity consumption because of global warming 6.4.5 地球温暖化により加速する電力消費量の増加
6.4.6 Relevant legal framework of IoT cybersecurity in distribution grids 6.4.6 配電網におけるIoTサイバーセキュリティの関連する法的枠組み
7. CONCLUSIONS 7. 結論
7.1 MAIN FINDINGS 7.1 主な調査結果
7.2 WAYS FORWARD 7.2 今後の進め方
A ANNEX: COVERED IOT CYBERSECURITY MARKET SEGMENT 附属書A:対象となるIoTサイバーセキュリティの市場セグメント
B ANNEX: ACRONYM TABLE 附属書B:頭字語表

| | Comments (0)

2022.04.10

NISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点

こんにちは、丸山満彦です。

NISTがNISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点が公表されていますね。。。

NIST - ITL

・2022.04.07 NISTIR 8419 Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives

NISTIR 8419 Blockchain and Related Technologies to Support Manufacturing Supply Chain Traceability: Needs and Industry Perspectives NISTIR 8419 製造業のサプライチェーントレーサビリティを支援するブロックチェーンと関連技術:ニーズと業界の視点
Abstract 概要
As supply chains become more complex and the origins of products become harder to discern, efforts are emerging that improve traceability of goods by exchanging traceability data records using blockchain and related technologies. This NIST NCCoE publication explores the issues that surround traceability, the role that blockchain and related technologies may be able to play to improve traceability, and several case studies in use today. サプライチェーンが複雑化し、商品の原産地が判別しにくくなる中、ブロックチェーンや関連技術を利用してトレーサビリティデータの記録を交換し、商品のトレーサビリティを向上させる取り組みが始まっています。本NIST NCCoE出版物では、トレーサビリティを取り巻く問題、ブロックチェーンや関連技術がトレーサビリティの改善に果たすことのできる役割、そして現在利用されているいくつかのケーススタディについて解説しています。

 

想定読者としては、以下の人がそ想定されているようです。。。

  • 製造業企業
  • 政府等の規制機関
  • 標準化団体
  • 学術研究者
  • 製品の消費者
  • 製造工場、公益事業、その他国家重要インフラの要素で利用される産業制御システム(ICS)を含む運用技術(OT)のサプライチェーンにおける利害関係者
    • OTを設計または実装するシステムエンジニア、インテグレーター、およびアーキテクト
    • OTを管理または保護する管理者、エンジニア、その他の情報技術(IT)専門家
    • OTのセキュリティを評価またはテストするセキュリティアナリスト
    • OTサイバーセキュリティの責任者やOTの中断による運用への影響を軽減する責任者など、OTに責任を持つ産業界の管理者
    • OTのユニークなセキュリティ面を理解するための研究者・アナリスト
    • OTまたはOT関連製品を開発する技術・業界サプライヤー

 

・[PDF] NISTIR 8419

20220410-44610

 

目次...

1 Introduction 1 はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 対象範囲
1.3 Target audience 1.3 想定読者
1.4 Foundational practices 1.4 基礎的な実践
1.5 Relationship to other programs and publications 1.5 他のプログラムおよび発行文書との関係
1.6 Methodology overview 1.6 メソドロジーの概要
1.7 Summary of insights 1.7 洞察のまとめ
1.8 Organization of this paper 1.8 本文書の構成
2 Manufacturing Supply Chain Overview and Imperatives 2 製造業のサプライチェーンの概要と必要条件
2.1 Introduction 2.1 はじめに
2.2 Supply chain risk 2.2 サプライチェーンリスク
2.3 Relevant NIST Special Publications 2.3 関連するNISTの特別発行文書
2.4 Product provenance and pedigree 2.4 製品の出所とペディグリー
2.5 Ecosystem perspective 2.5 エコシステムの視点
2.6 Industrial control system example 2.6 産業用制御システムの例
2.7 Traceability challenges 2.7 トレーサビリティの課題
2.8 Decentralized information sharing 2.8 非中央集権的な情報共有
3 Traceability 3 トレーサビリティ
3.1 Potential benefits of improved traceability 3.1 トレーサビリティの向上がもたらす潜在的な利益
3.2 Applicable domains 3.2 適用可能なドメイン
3.3 Metrics 3.3 メトリクス
4 Technologies Supporting Traceability 4 トレーサビリティを支える技術
4.1 Blockchain 4.1 ブロックチェーン
4.2 Cyber-physical anchors 4.2 サイバーフィジカルアンカー
4.3 Other technologies 4.3 その他の技術
4.4 Summary 4.4 まとめ
5 Considerations for Adoption of Blockchain 5 ブロックチェーン導入のための検討事項
5.1 Metrics 5.1 メトリクス
5.2 Information exchange standards 5.2 情報交換の標準
5.3 Minimum viable ecosystem 5.3 最小限のエコシステム
5.4 Multiple blockchains 5.4 複数のブロックチェーン
5.5 Intellectual property 5.5 知的財産
5.6 Privacy 5.6 プライバシー
5.7 Identity for supply chain partners 5.7 サプライチェーンパートナーのアイデンティティ
6 Industry Case Studies & Analysis 6 業界の事例と分析
6.1 From Field to Fork 6.1 フィールドからフォークまで
6.2 Sky Republic with SITA 6.2 スカイリパブリックとSITA
6.3 Guardtime Federal and “Perspectives from a Prime” 6.3 Guardtime Federalと "Perspectives from a Prime"
6.4 DUST Identity 6.4 DUST アイデンティティ
6.5 MediLedger 6.5 MediLedger
6.6 Chain Integration Project (CHIP) 6.6 チェーン統合プロジェクト(CHIP)
6.7 Methodology 6.7 方法論
7 Future Research Opportunities 7 今後の研究の可能性
7.1 Identity 7.1 アイデンティティ
7.2 Message content standards 7.2 メッセージ内容の標準化
7.3 Barriers to entry 7.3 参入障壁
7.4 Supply chain traceability ecosystems 7.4 サプライチェーントレーサビリティエコシステム
7.5 Metrics 7.5 メトリクス
7.6 Patterns in supply chain traceability 7.6 サプライチェーントレーサビリティのパターン
7.7 Ecosystem scale and interoperability 7.7 エコシステムの規模と相互運用性
7.8 Opportunities cross reference 7.8 機会の相互参照
8 Conclusions 8 結論
List of Appendices 附属書一覧
References 参考文献
Appendix A— Case Study Analysis Models and Lenses 附属書A- ケーススタディ分析モデルとレンズ
A.1 Cyber supply chain risk management A.1 サイバーサプライチェーンリスクマネジメント
A.2 Technology lenses & adoption curve A.2 技術レンズと採用曲線
A.3 Win/win and production possibility frontier A.3 Win/Winと生産可能性フロンティア
A.4 Intermediation, disintermediation, classic make/buy A.4 仲介、仲介解除、古典的なmake/buy
A.5 Centralized and decentralized A.5 中央集権型と非中央集権型
Appendix B— Submitted Case Studies 附属書B-提出されたケーススタディ
B.1 Case Study: Guardtime Federal, Inc. B.1 ケーススタディ ガードタイム・フェデラル社(Guardtime Federal, Inc.
B.2 Case Study: Perspectives from A Prime B.2 ケーススタディ:Guardtime Federal, Inc: Aプライムからの視点
B.3 Case Study: Sky Republic B.3 ケーススタディ スカイリパブリック
B.4 Case Study: Manufacturing Supply Chain Traceability from “Field to For B.4 ケーススタディ 製造業のサプライチェーンにおけるトレーサビリティ(現場から現場へ
B.5 Case Study: DUST Identity B.5 ケーススタディ DUSTアイデンティティ
Appendix C— Case Study Individual Analysis Notes 附属書C-ケーススタディ個別分析ノート
C.1 Field to Fork C.1 フィールド・トゥ・フォーク
C.2 Sky Republic C.2 スカイリパブリック
C.3 Guardtime Federal C.3 ガードタイムフェデラル
C.4 Large Prime C.4 ラージプライム
C.5 DUST Identity C.5 DUST Identity
C.6 MediLedger FDA Pilot Project C.6 MediLedger FDAパイロットプロジェクト
C.7 Chain Integration Project (CHIP) C.7 チェーン統合プロジェクト(CHIP)
Appendix D— Mental Models Analysis Candidate Areas for Research 附属書D-メンタルモデル分析 研究対象候補分野
D.1 Supply chain risk management candidates D.1 サプライチェーンリスクマネジメント候補
D.2 Marketplace positioning candidates D.2 マーケットプレイスポジショニング候補
D.3 Win/win and the production possibility frontier candidates D.3 Win/Winと生産可能性フロンティア候補
D.4 Intermediation and disintermediation, make or buy candidates D.4 仲介と仲介解除、作るか買うかの候補
D.5 Centralization and decentralization candidates D.5 中央集権と分散化の候補
Appendix E— Analysis notes from Standards and Solution Experts 附属書E- 規格とソリューションの専門家による分析メモ
E.1 Linking physical objects to data E.1 物理的なオブジェクトとデータの関連付け
E.2 Data integrity E.2 データの完全性
E.3 Data traceability E.3 データのトレーサビリティ
E.4 Ecosystems of cooperation E.4 協働のエコシステム
E.5 Enabling distributed coordination  E.5 分散型コーディネートの実現 
E.6 Analysis and trade space of decentralization, distribution, and consensus . E.6 分散、分配、コンセンサスの分析および取引空間 .
E.7 Analysis method to quickly discover/form/implement a blockchain enabled ecosystem E.7 ブロックチェーンに対応したエコシステムを迅速に発見/形成/実装するための分析方法
E.8 Identity E.8 アイデンティティ
E.9 Need to incorporate classified networks . E.9 分類されたネットワークを取り込む必要性 .
E.10 Minimum viable ecosystem E.10 最小限のエコシステム
E.11 Cross blockchain transactions  E.11 ブロックチェーン横断的な取引 
E.12 Standards . E.12 標準化.
E.13 Cooperation with logistics and IP blockchain records . E.13 物流やIPブロックチェーン記録との連携.
E.14 Decentralized information sharing (trusted, attributed, resilient) . E.14 分散型情報共有(信頼性、帰属性、強靭性)
E.15 Metrics  E.15 メトリクス 
E.16 Data patterns of external repositories (from legacy to Solid, IPFS, etc.) . E.16 外部リポジトリのデータパターン(レガシーからSolid、IPFSなど)

| | Comments (0)

2022.04.09

経済産業省 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」

こんにちは、丸山満彦です。

経済産業省が、

を公開していますね。。。

DXやAIと言って特別視するから、かえってハードルが高く見えるのかもしれませんね。。。

  • 「スマホを使ってできるようにしましょうとか」
  • 「クラウドを使ってXXXを最適化しましょう、XXXXの予想をしてみましょう」

とかでいいような。。。そうすると、だいたいDXになったり、AIを使ったりということになったりするんじゃないかなぁ。。。と思ったりもします。知らんけど(^^;;

小難しいコンセプトや道具を前面に出して、XXXを使いましょう、XXXの使い方はこうですよ。。。というよりも、適正仕入量の計算もできますよ、とか、部品の保守頻度を最適化できますよ、ということがわかれば、勝手にそういうツールを使うようになり、そしたらいつの間にかAIを使っていたという感じの方がいいかもですね。。。

経産省の今回の発表資料は、中小企業の導入事例があって参考になるように思いますので、大げさに考えずに、読んでみたら良いように思いました。。。

 

経済産業省

・2022.04.08 (press) 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」を取りまとめました

Fig1_20220409034501

 


デジタルガバナンスコード関係

・2022.04.08 中堅・中小企業等向け「デジタルガバナンス・コード」実践の手引き

20220409-34642

20220409-33706

 

 

 

 

 

 

20220409-35020


はじめに

1. DX とは何か、その可能性と進め方
1.1. そもそも DX とは何か
1.2. DX 推進の意義と中堅・中小企業等における可能性
1.3. DX の進め方
1.4. DX の成功のポイント

2. デジタルガバナンス・コードの実践に向けて
2.1. デジタルガバナンス・コードとは?
2.2. デジタルガバナンス・コード実践のポイント及び企業における取組例
 取組例 A:有限会社ゑびや(飲食業/三重県伊勢市)株式会社 EBILAB(情報システム開発販売業/三重県伊勢市)
 取組例 B:マツモトプレシジョン株式会社(精密機械部品加工/福島県喜多方市)
 取組例 C:株式会社ヒサノ(一般貨物自動車運送事業・機械器具設置工事業/熊本県熊本市)

中堅・中小企業等における DX 取組事例集
事例 1|北海道ワイン株式会社(酒類製造業/北海道小樽市)
事例 2|株式会社ヒバラコーポレーション(工業塗装/茨城県東海村)
事例 3|株式会社北國銀行(銀行業/石川県金沢市)
事例 4|株式会社竹屋旅館(宿泊業・飲食サービス業/静岡県静岡市)
事例 5|株式会社ハッピー(サービス業/京都府宇治市)
事例 6|株式会社スーパーワークス(技術サービス業/岡山県岡山市)
事例 7|東洋電装株式会社(制御盤製造及び技術サービス業/広島県広島市)
事例 8|株式会社太陽都市クリーナー(廃棄物処理業/広島県府中市)
事例 9|サンコー株式会社(ねじ・精密部品製造・販売等/香川県高松市)
事例 10|松本工業株式会社(自動車部品・金属製品等製造/福岡県北九州市)



AI導入関係

・2022.04.08 中小企業のAI活用促進について

これからAI導入にチャレンジする企業向け

① [PDF] AI導入ガイドブック 構想検討パンフレット 

20220409-41026


② [PDF] AI導入ガイドブック 需要予測(製造) 

20220409-40320


③ [PDF] AI導入ガイドブック 予知保全 

20220409-40328


④ [PDF] AI導入ガイドブック 加工図面の自動見積もり 

20220409-40344


 

社内にAI人材・IT人材を保有している企業向け

⑤ [PDF] AI導入ガイドブック 需要予測(小売り、卸業) 

20220409-40354


⑥ [PDF] AI導入ガイドブック 外観検査(部品、良品のみ) 

20220409-40401


⑦ [PDF] AI導入ガイドブック 外観検査(部品、不良品あり) 

20220409-40408

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.03 日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

| | Comments (0)

米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)

こんにちは、丸山満彦です。

MITREが世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略を公表していますね。。。全文は452ページあります。。。

MITRE

・2022.03 11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER

 

11 STRATEGIES OF A WORLD-CLASS CYBERSECURITY OPERATIONS CENTER 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略
If you are getting started in cybersecurity operations, evolving your existing security operations center (SOC), or engaging with a SOC regularly, MITRE offers free downloads of 11 Strategies of a World-Class Cybersecurity Operations Center—both for the 20-page summary document and the full textbook. Fully revised, this second edition of the popular 10 Strategies of a World-Class Cybersecurity Operations Center includes new material and evolved thinking to bring a fresh approach to excelling at cybersecurity operations and leveraging up your cyber defenses. サイバーセキュリティオペレーションをこれから始める方、既存のセキュリティオペレーションセンター(SOC)を発展させる方、SOCと定期的に関わる方向けに、MITREは「世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略」の20ページの要約文書と全文を無料でダウンロード提供しています。世界最高水準のサイバーセキュリティ運用センターの10の戦略」の第2版である本書は、全面的に改訂され、新しい資料や進化した考え方を盛り込み、サイバーセキュリティ運用に優れ、サイバー防御を強化するための新たなアプローチを提供します。
You will learn to: 本書では、次のことを学びます。
・Understand the mission context in which the SOC operates. ・SOCが活動するミッションの背景を理解する。
・Identify the right SOC structure and functions for your organization. ・組織にとって適切なSOCの構造と機能を特定する。
・Hire and grow talented staff, foster a sense of community, and create a place people want to be. ・優秀なスタッフを雇用し、成長させ、コミュニティ意識を醸成し、人が集まりたくなるような場所を作る。
・Instrument digital assets and fuse their data to speed workflow, maximize detection, and inform situational awareness. ・デジタル資産を活用し、そのデータを融合することで、ワークフローを高速化し、検知力を高め、状況認識を向上させる。
・Leverage cyber threat intelligence to operationalize threat-oriented defense, adversary emulation, hunting, and response. ・サイバー脅威のインテリジェンスを活用し、脅威指向の防御、敵のエミュレーション、ハンティング、レスポンスの運用を実現する。
・Tell the SOC’s story through effective metrics and communications, internally and externally. ・効果的な指標とコミュニケーションを通じて、SOCのストーリーを社内外に発信します。

 

・[PDF] 要約

・[PDF] 全文

20220408-212635

Executive Summary エグゼクティブサマリー
This book presents an overview of how to organize and consider the many functions in cybersecurity operations centers (SOCs). It describes strategies that can be applied to SOCs of all sizes, from two people to large, multi-national centers with hundreds of people. It is intended for all cybersecurity operations center personnel, from new professionals just starting in a SOC to managers considering capability expansion of the SOC. Starting with a Fundamentals section table which summarizes functional categories and areas, the book guides cyber professionals through applying mission context to 11 strategies of a worldclass SOC: 本書は、サイバーセキュリティオペレーションセンター(SOC)における多くの機能をどのように整理し、検討するかについて、その概要を紹介するものである。2名から数百名の大規模な多国籍センターまで、あらゆる規模のSOCに適用できる戦略を解説しています。この本は、SOCに入ったばかりの新しい専門家から、SOCの能力拡張を検討している管理者まで、すべてのサイバーセキュリティ運用センターの担当者を対象としています。本書は、機能分類と分野をまとめた「基礎編」の表から始まり、世界トップクラスのSOCの11の戦略にミッションのコンテキストを適用することで、サイバー専門家をガイドしています。
Strategy 1: Know What You Are Protecting and Why 戦略1:何を守るのか、なぜ守るのかを知る
Develop situational awareness through understanding the mission; legal regulatory environment; technical and data environment; user, user behaviors and service interactions; and the threat. Prioritize gaining insights into critical systems and data and iterate understanding over time. ミッション、法的規制環境、技術・データ環境、ユーザ、ユーザの行動、サービスの相互作用、脅威を理解することにより、状況認識を深めます。重要なシステムとデータに関する理解を深めることを優先し、時間をかけて繰り返し理解すします。
Strategy 2: Give the SOC the Authority to Do Its Job 戦略2:SOCに職務を遂行する権限を与える
Empower the SOC to carry out the desired functions, scope, partnerships, and responsibilities through an approved charter and the SOCs alignment within the organization. 承認された憲章と組織内のSOCの連携により、SOCが望ましい機能、範囲、パートナーシップ、責任を遂行する権限を与えます。
Strategy 3: Build a SOC Structure to Match Your Organizational Needs 戦略3:組織のニーズに合ったSOCの構造を構築する
Structure SOCs by considering the constituency, SOC functions and responsibilities, service availability, and any operational efficiencies gained by selecting one construct over another. SOCの構成は、構成員、SOCの機能と責任、サービスの利用可能性、ある構成を選択することで得られる業務効率などを考慮して決定されます。
Strategy 4: Hire AND Grow Quality Staff 戦略4:質の高いスタッフを雇用し、育成する
Create an environment to attract the right people and encourage them to stay through career progression opportunities and great culture and operating environment. Plan for turnover and build a pipeline to hire. Consider how many personnel are needed for the different SOC functions. 優秀な人材を惹きつけ、キャリアアップの機会や素晴らしい文化・経営環境を通じて、継続的に働いてもらえるような環境を整えます。離職率を考慮し、採用のためのパイプラインを構築する。SOCの各機能に必要な人数を検討します。
Strategy 5: Prioritize Incident Response 戦略5:インシデント対応の優先順位を付ける
Prepare for handling incidents by defining incident categories, response steps, and escalation paths, and codifying those into SOPs and playbooks. Determine the priorities of incidents for the organization and allocate the resources to respond. Execute response with precision and care toward constituency mission and business. インシデントのカテゴリ、対応ステップ、エスカレーション経路を定義し、それらをSOPやプレイブックに成文化することで、インシデント対応の準備をします。組織におけるインシデントの優先順位を決定し、対応に必要なリソースを割り当てる。構成員のミッションとビジネスに対して、正確かつ慎重に対応を実行します。
Strategy 6: Illuminate Adversaries with Cyber Threat Intelligence 戦略 6: サイバー脅威インテリジェンスで敵を照らし出す
Tailor the collection and use of cyber threat intelligence by analyzing the intersection of adversary information, organization relevancy, and technical environment to prioritize defenses, monitoring, and other actions. 敵の情報、組織の関連性、技術的環境の交点を分析し、防御、監視、その他の行動の優先順位付けを行うことで、サイバー脅威情報の収集と活用を調整することができます。
Strategy 7: Select and Collect the Right Data 戦略7:適切なデータを選択し収集する
Choose data by considering relative value of different data types such as sensor and log data collected by network and host systems, cloud resources, applications, and sensors. Consider the trade-offs of too little data and therefore not having the relevant information available and too much data such that tools and analysts become overwhelmed. ネットワークやホストシステム、クラウドリソース、アプリケーション、センサーによって収集されたセンサーデータやログデータなど、さまざまな種類のデータの相対的価値を考慮してデータを選択する。データが少なすぎて関連情報が得られない、データが多すぎてツールやアナリストが圧倒されてしまうというトレードオフを考慮します。
Strategy 8: Leverage Tools to Support Analyst Workflow 戦略8:アナリストのワークフローを支援するツールを活用する
Consolidate and harmonize views into tools and data and integrate them to maximize SOC workflow. Consider how the many SOC tools, including SIEM, UEBA, SOAR, and others fit in with the organization’s technical landscape, to include cloud and OT environments. SOCのワークフローを最大化するために、ツールやデータへの見方を集約・調和させ、それらを統合します。SIEM、UEBA、SOARなどの多くのSOCツールが、クラウドやOT環境など、組織の技術的な環境にどのように適合するかを検討します。
Strategy 9: Communicate Clearly, Collaborate Often, Share Generously 戦略9:明確なコミュニケーション、頻繁なコラボレーション、惜しみない共有
Engage within the SOC, with stakeholders and constituents, and with the broader cyber community to evolve capabilities and contribute to the overall security of the broader community. SOC内、ステークホルダーや構成員、より広いサイバーコミュニティと関わり、能力を進化させ、より広いコミュニティ全体のセキュリティに貢献します。
Strategy 10: Measure Performance to Improve Performance 戦略10:パフォーマンスを測定してパフォーマンスを改善する
Determine qualitative and quantitative measures to know what is working well, and where to improve. A SOC metrics program includes business objectives, data sources and collection, data synthesis, reporting, and decision-making and action. 何がうまくいっているのか、どこを改善すべきかを知るために、定性的・定量的な指標を決定する。SOCの測定基準プログラムには、ビジネス目標、データソースと収集、データの統合、報告、意思決定とアクションが含まれます。
Strategy 11: Turn up the Volume by Expanding SOC Functionality 戦略11:SOCの機能拡張で量を増やす
Enhance SOC activities to include threat hunting, red teaming, deception, malware analysis, forensics, and/or tabletop exercises, once incident response is mature. Any of these can improve the SOCs operating ability and increase the likelihood of finding more sophisticated adversaries. インシデントレスポンスが成熟したら、脅威ハンティング、レッドチーミング、デセプション、マルウェア解析、フォレンジック、卓上演習など、SOCの活動を強化します。これらはいずれもSOCの運用能力を向上させ、より巧妙な敵対者を発見する可能性を高めることができます。

 

目次 ↓

 

Continue reading "米国 MITRE 世界最高水準のサイバーセキュリティオペレーションセンターの11の戦略 (2022.03)"

| | Comments (0)

2022.04.08

NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

こんにちは、丸山満彦です。

NISTがパッチ管理についてのガイド(SP 800-40 Rev.4)と、プラクティスガイド (SP 1800-31) の最終版を公開していますね。。。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。特に可用性が重要なシステムについてのパッチ適用については、非常に難しいですよね。。。

NIST - ITL

・2022.04.06 SP 800-40 Rev. 4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology

SP 800-40 Rev. 4 Guide to Enterprise Patch Management Planning: Preventive Maintenance for Technology SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守
Abstract 概要
Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization. Patching is more important than ever because of the increasing reliance on technology, but there is often a divide between business/mission owners and security/technology management about the value of patching. This publication frames patching as a critical component of preventive maintenance for computing technologies – a cost of doing business, and a necessary part of what organizations need to do in order to achieve their missions. This publication also discusses common factors that affect enterprise patch management and recommends creating an enterprise strategy to simplify and operationalize patching while also improving reduction of risk. Preventive maintenance through enterprise patch management helps prevent compromises, data breaches, operational disruptions, and other adverse events. 組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、およびインストールの検証を行うプロセスです。技術への依存度が高まっていることから、パッチ適用の重要性はかつてないほど高まっていますが、パッチ適用の価値については、ビジネス/ミッションオーナーとセキュリティ/技術管理者の間で意見が分かれることがよくあります。本文書では、パッチ適用を、コンピュータ技術の予防的保守の重要な要素、すなわちビジネスを行う上でのコストであり、組織がミッションを達成するために必要なことの一部であると位置づけています。本文書では、組織全体のパッチ管理に影響を与える一般的な要因について説明し、パッチの適用を簡素化して運用するとともに、リスクの低減を図るための組織全体戦略の策定を推奨しています。組織全体のパッチ管理による予防的な保守は、情報漏洩、データの流出、業務の中断、その他の有害な出来事を防ぐのに役立ちます。

 

・[PDF] SP 800-40 Rev. 4

20220408-54750

Executive Summary  エグゼクティブサマリー 
Software used for computing technologies must be maintained because there are many in the world who continuously search for and exploit flaws in software. Software maintenance includes patching, which is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Enterprise patch management is the process of identifying, prioritizing, acquiring, installing, and verifying the installation of patches, updates, and upgrades throughout an organization.   世の中には、ソフトウェアの欠陥を探し出して悪用する輩が数多く存在するため、コンピュータ技術に使用されているソフトウェアには保守が必要です。ソフトウェアの保守には、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされているソフトウェアに対して、セキュリティや機能の問題を修正したり、新しい機能を追加したりするための変更を加える行為である「パッチ」が含まれます。組織全体のパッチ管理とは、組織全体におけるパッチ、アップデート、アップグレードの識別、優先順位付け、取得、インストール、検証のプロセスです。 
In past perimeter-based security architectures, most software was operated on internal networks protected by several layers of network security controls. While patching was generally considered important for reducing the likelihood of compromise and was a common compliance requirement, patching was not always considered a priority. In today’s environments, patching has become more important, often rising to the level of mission criticality. As part of a zero trust approach to security, it is now recognized that the perimeter largely does not exist anymore, and most technologies are directly exposed to the internet, putting systems at significantly greater risk of compromise. This dynamic applies across all computing technologies, whether they are information technology (IT), operational technology (OT), Internet of Things (IoT), mobile, cloud, virtual machine, container, or other types of assets. Zero trust architectures emphasize business asset-specific security over just protecting a network with assets on it, so patching is vital for reducing risk to those individual assets and determining the assets’ trust status.  これまでの境界ベースのセキュリティアーキテクチャでは、ほとんどのソフトウェアは、何層ものネットワークセキュリティコントロールで保護された内部ネットワーク上で運用されていました。侵害の可能性を低減するためにはパッチの適用が重要であると一般的に考えられており、一般的なコンプライアンス要件でもありましたが、パッチの適用は必ずしも優先事項とはみなされていませんでした。今日の環境では、パッチ適用の重要性が増し、しばしばミッションクリティカルなレベルにまで達しています。セキュリティに対するゼロトラストアプローチの一環として、境界線はもはやほとんど存在せず、ほとんどの技術がインターネットに直接さらされているため、システムが危険にさらされるリスクが大幅に高まっていることが認識されています。このような状況は、IT、OT、IoT、モバイル、クラウド、仮想マシン、コンテナ、その他のタイプの資産など、あらゆるコンピューティング技術に当てはまります。ゼロトラストアーキテクチャーでは、資産が置かれたネットワークを保護するだけではなく、ビジネス資産に特化したセキュリティを重視しているため、それらの個別資産のリスクを低減し、資産の信頼状態を判断するためには、パッチの適用が不可欠です。
There is often a divide between business/mission owners and security/technology management. Business/mission owners may believe that patching negatively affects productivity, since it requires scheduled downtime for maintenance and introduces the risk of additional downtime if something goes wrong and disrupts operations. Leadership and business/mission owners should reconsider the priority of enterprise patch management in light of today’s risks. Patching should be considered a standard cost of doing business and should be rigorously followed and tracked. Just as preventive maintenance on corporate fleet vehicles can help avoid costly breakdowns, patching should be viewed as a normal and necessary part of reliably achieving the organization’s missions. If an organization needs a particular technology to support its mission, it also needs to maintain that technology throughout its life cycle – and that includes patching.  ビジネス/ミッションオーナーとセキュリティ/技術管理者の間には、しばしば溝があります。ビジネス/ミッションのオーナーは、パッチ適用は、保守のために予定されたダウンタイムを必要とし、何か問題が発生して業務に支障をきたした場合、さらにダウンタイムが発生するリスクがあるため、生産性に悪影響を与えると考えるかもしれません。リーダーシップとビジネス/ミッションのオーナーは、今日のリスクに照らし合わせて、組織全体のパッチ管理の優先順位を再考する必要があります。パッチの適用は、ビジネスを行う上での標準的なコストと考えるべきであり、厳密にフォローし、追跡する必要があります。組織全体の車両の予防的な保守がコストのかかる故障を回避するのに役立つように、パッチ適用は、組織のミッションを確実に達成するために通常必要とされるものと考えるべきです。組織がそのミッションをサポートするために特定の技術を必要とする場合、その技術のライフサイクルを通じて保守を行う必要があり、それにはパッチ適用も含まれます。
Leadership at all levels of the organization, business/mission owners, and security/technology management teams should jointly create an enterprise patch management strategy that simplifies and operationalizes patching while also improving its reduction of risk. This will strengthen organizational resiliency to active threats and minimize business and mission impacts. This publication provides recommendations for enterprise patch management planning. 組織のあらゆるレベルのリーダーシップ、ビジネス/ミッションオーナー、およびセキュリティ/テクノロジー管理チームが共同で組織全体のパッチ管理戦略を策定し、パッチを簡素化して運用するとともに、そのリスク軽減を改善する必要があります。これにより、活発な脅威に対する組織の回復力を強化され、ビジネスやミッションへの影響を最小限に抑えられます。本文書は、組織全体のパッチ管理計画に関する推奨事項を示したものです。

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Changes from Previous Versions 1.2 旧版からの変更点
1.3 Publication Structure 1.3 本文書の構成
2 Risk Response Approaches for Software Vulnerabilities 2 ソフトウェアの脆弱性に対するリスク対応手法
2.1 Risk Responses 2.1 リスク対応策
2.2 Software Vulnerability Management Life Cycle 2.2 ソフトウェア脆弱性管理のライフサイクル
2.3 Risk Response Execution 2.3 リスク対応の実行
2.3.1 Prepare to Deploy the Patch 2.3.1 パッチを展開するための準備
2.3.2 Deploy the Patch 2.3.2 パッチの展開
2.3.3 Verify Deployment 2.3.3 パッチの展開を確認する
2.3.4 Monitor the Deployed Patches 2.3.4 展開されたパッチの監視
3 Recommendations for Enterprise Patch Management Planning 3 組織全体のパッチ管理計画に関する推奨事項
3.1 Reduce Patching-Related Disruptions 3.1 パッチに関連した混乱の軽減
3.2 Inventory Your Software and Assets 3.2 ソフトウェアと資産の棚卸し
3.3 Define Risk Response Scenarios 3.3 リスク対応シナリオの策定
3.4 Assign Each Asset to a Maintenance Group 3.4 各資産を保守グループに割り当てる
3.5 Define Maintenance Plans for Each Maintenance Group 3.5 各保守グループの保守計画の策定
3.5.1 Maintenance Plans for Scenario 1, Routine Patching 3.5.1 シナリオ1、定期的なパッチ適用のための保守計画
3.5.2 Maintenance Plans for Scenario 2, Emergency Patching 3.5.2 シナリオ2、緊急時のパッチ適用のための保守計画
3.5.3 Maintenance Plans for Scenario 3, Emergency Mitigation
3.5.3 シナリオ3、緊急時対応のための保守計画
3.5.4 Maintenance Plans for Scenario 4, Unpatchable Assets 3.5.4 シナリオ4、パッチ不可能な資産のための保守計画
3.5.5 Exceptions to Maintenance Plans
3.5.5 保守計画の例外事項
3.6 Choose Actionable Enterprise-Level Patching Metrics 3.6 実用的な組織全体レベルのパッチ適用指標の選択
3.7 Consider Software Maintenance in Procurement 3.7 ソフトウェア保守の調達を考慮する
References 参考文献
  Mappings to NIST Guidance and Frameworks   NISTガイダンス及びフレームワークへのマッピング
  Acronyms   頭字語

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

| | Comments (0)

NIST SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

こんにちは、丸山満彦です。

NISTがパッチ管理についてのガイド(SP 800-40 Rev.4)と、プラクティスガイド (SP 1800-31) の最終版を公開していますね。。。

です。

ゼロトラストアーキテクチャーにおいては、パッチ管理の重要性は高まっていますよね。。。資産管理とかちゃんとしないといけない、、、ということでサイバー衛生の重要性も理解しないといけませんよね。。。

「言うは易し、行うは難し」がこのパッチ管理ですよね。。。特に可用性が重要なシステムについてのパッチ適用については、非常に難しいですよね。。。

NIST - ITL

・2022.04.06 SP 1800-31 Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways

SP 1800-31 Improving Enterprise Patching for General IT Systems: Utilizing Existing Tools and Performing Processes in Better Ways SP 1800-31 一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行
Abstract 概要
Patching is the act of applying a change to installed software – such as firmware, operating systems, or applications – that corrects security or functionality problems or adds new capabilities. Despite widespread recognition that patching is effective and attackers regularly exploit unpatched software, many organizations cannot or do not adequately patch. There are myriad reasons why, not the least of which are that it’s resource-intensive and that the act of patching can reduce system and service availability. Also, many organizations struggle to prioritize patches, test patches before deployment, and adhere to policies for how quickly patches are applied in different situations. To address these challenges, the NCCoE collaborated with cybersecurity technology providers to develop an example solution that addresses these challenges. This NIST Cybersecurity Practice Guide explains how tools can be used to implement the patching and inventory capabilities organizations need to handle both routine and emergency patching situations, as well as implement isolation methods or other emergency mitigations as alternatives to patching. It also explains recommended security practices for patch management systems themselves. パッチを当てるとは、ファームウェア、オペレーティングシステム、アプリケーションなど、インストールされたソフトウェアに変更を加えることで、セキュリティや機能の問題を修正したり、新しい機能を追加したりする行為です。パッチを当てることは効果的であり、攻撃者は定期的にパッチを当てていないソフトウェアを悪用するという認識が広く浸透しているにもかかわらず、多くの組織は適切なパッチを当てられていないか、当てていません。その理由はいろいろありますが、その中でも特に重要なのは、パッチ適用にはリソースが必要であることと、パッチ適用によってシステムやサービスの可用性が低下する可能性があることです。また、多くの組織では、パッチの優先順位付け、展開前のパッチのテスト、状況に応じたパッチの適用速度に関するポリシーの遵守などに苦労しています。このような課題に対処するため、NCCoEはサイバーセキュリティ技術プロバイダーと協力して、これらの課題を解決するソリューション例を開発しています。このNIST サイバーセキュリティ実践ガイドでは、日常的なパッチ適用と緊急時のパッチ適用の両方に対応するために組織が必要とするパッチ適用およびインベントリ機能を実装するために、ツールをどのように使用できるか、またパッチ適用に代わる分離手法や、その他の緊急緩和策をどのように実施できるかについて説明しています。また、パッチ管理システム自体の推奨セキュリティ対策についても説明しています。

 

・[PDF] SP 1800-31

20220408-55001  

 

 

目次。。。

1 Summary 1 まとめ
1.1 Challenge 1.1 課題
1.2 Solution 1.2 ソリューション
1.3 Benefits 1.3 メリット
2 How to Use This Guide 2 このガイドの使用方法
2.1 Typographic Conventions 2.1 凡例
3 Approach 3 アプローチ
3.1 Audience 3.1 想定読者
3.2 Scope 3.2 対象範囲
3.3 Assumptions 3.3 前提条件
3.4 Scenarios 3.4 シナリオ
3.4.1 Scenario 0: Asset identification and assessment 3.4.1 シナリオ0:資産の識別と評価
3.4.2 Scenario 1: Routine patching 3.4.2 シナリオ1:定期的なパッチ適用
3.4.3 Scenario 2: Routine patching with cloud delivery model 3.4.3 シナリオ2: クラウド配信モデルによる定期的なパッチ適用
3.4.4 Scenario 3: Emergency patching 3.4.4 シナリオ3:緊急時のパッチ適用
3.4.5 Scenario 4: Emergency mitigation (and backout if needed) 3.4.5 シナリオ4:緊急時対応策(必要に応じてバックアウトも行う)
3.4.6 Scenario 5: Isolation of unpatchable assets 3.4.6 シナリオ5:パッチ適用不可能な資産の隔離
3.4.7 Scenario 6: Patch management system security (or other system with administrative privileged access) 3.4.7 シナリオ 6: パッチ管理システムのセキュリティ (または管理者権限でアクセスできる他のシステム)
3.5 Risk Assessment 3.5 リスク評価
3.5.1 Threats, Vulnerabilities, and Risks 3.5.1 脅威、脆弱性、およびリスク
3.5.2 Security Control Map 3.5.2 セキュリティコントロールマップ
4 Components of the Example Solution 4 ソリューション例の内容
4.1 Collaborators 4.1 協力者
4.1.1 Cisco 4.1.1 シスコ
4.1.2 Eclypsium 4.1.2 Eclypsium
4.1.3 Forescout 4.1.3 Forescout
4.1.4 IBM 4.1.4 IBM
4.1.5 Lookout 4.1.5 Lookout
4.1.6 Microsoft 4.1.6 マイクロソフト
4.1.7 Tenable 4.1.7 テナブル
4.1.8 VMware 4.1.8 ヴイエムウェア
4.2 Technologies 4.2 技術
4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC) 4.2.1 Cisco Firepower Threat Defense (FTD) & Firepower Management Center (FMC)
4.2.2 Cisco Identity Services Engine (ISE) 4.2.2 Cisco Identity Services Engine (ISE)
4.2.3 Eclypsium Administration and Analytics Service 4.2.3 Eclypsium 管理・分析サービス
4.2.4 Forescout Platform 4.2.4 Forescout プラットフォーム
4.2.5 IBM Code Risk Analyzer 4.2.5 IBM Code Risk Analyzer
4.2.6 IBM MaaS360 with Watson 4.2.6 IBM MaaS360 with Watson
4.2.7 Lookout 4.2.7 Lookout
4.2.8 Microsoft Endpoint Configuration Manager 4.2.8 Microsoft Endpoint Configuration Manager
4.2.9 Tenable.io 4.2.9 Tenable.io
4.2.10 Tenable.sc and Nessus 4.2.10 Tenable.scとNessus
4.2.11 VMware vRealize Automation SaltStack Config 4.2.11 VMware vRealize Automation SaltStack Config
Appendix A Patch Management System Security Practices 附属書A パッチ管理システムのセキュリティ対策
A.1 Security Measures A.1 セキュリティ対策
A.2 Component Support of Security Measures A.2 コンポーネントによるセキュリティ対策支援
A.2.1 Cisco FTD Support of Security Measures A.2.1 Cisco FTD によるセキュリティ対策支援
A.2.2 Cisco ISE Support of Security Measures A.2.2 Cisco ISE によるセキュリティ対策支援
A.2.3 Eclypsium Administration and Analytics Service Support of Security Measures A.2.3 Eclypsium Administration and Analytics Service によるセキュリティ対策支援
A.2.4 Forescout Platform Support of Security Measures A.2.4 Forescout Platformによるセキュリティ対策支援
A.2.5 IBM Code Risk Analyzer Support of Security Measures A.2.5 IBM Code Risk Analyzer セキュリティ対策支援
A.2.6 IBM MaaS360 with Watson Support of Security Measures A.2.6 IBM MaaS360 with Watson セキュリティ対策支援
A.2.7 Lookout MES Support of Security Measures A.2.7 Lookout MESによるセキュリティ対策支援
A.2.8 Microsoft Endpoint Configuration Manager (ECM) Support of Security Measures A.2.8 Microsoft Endpoint Configuration Manager(ECM)によるセキュリティ対策支援
A.2.9 Tenable.sc Support of Security Measures A.2.9 Tenable.scによるセキュリティ対策支援
A.2.10 VMware vRealize Automation SaltStack Config Support of Security Measures A.2.10 VMware vRealize Automation SaltStack Config によるセキュリティ対策支援
Appendix B List of Acronyms 附属書B 頭字語の一覧
List of Tables 表の一覧
Table 3-1: Mapping Security Characteristics of the Example Solution for Scenarios 0-5 表 3-1: シナリオ 0~5 に対応するソリューション例のセキュリティ特性のマッピング
Table 3-2: Mapping Security Characteristics of the Example Solution for Scenario 6 表 3-2: シナリオ 6 に対するソリューション例のセキュリティ特性のマッピング
Table 4-1: Technologies Used in the Build 表 4-1: 構築に使用した技術

 


参考

・SP 800-40 Rev.2 (2005) についてはIPAに翻訳がありますね。。。

● IPA - セキュリティ関連NIST文書

・[PDF] SP 800-40 ver.2 Creating a Patch and Vulnerability Management Program パッチおよび脆弱性管理プログラムの策定

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 NIST SP 1800-31(ドラフト)一般的なITシステムへの組織全体のパッチ適用の改善:既存ツール活用とより良い方法によるプロセスの実行

・2021.11.19 SP 800-40 Rev.4(ドラフト)組織全体のパッチ管理計画のためのガイド:技術についての予防的保守

・2021.11.19 米国 CISA サイバーセキュリティインシデント対応と脆弱性対応のプレイブックを発表

 

| | Comments (0)

IPA 組織における内部不正防止ガイドライン 第5版

こんちは、丸山満彦です。

IPAが組織における内部不正防止ガイドライン 第5版を公表していますね。。。

2013年に第1版を公表して以来、2017年に第4版の改訂を行い、この度、第5版への改訂が行われたという経緯です。

第5版では

  • コロナ禍を契機としたテレワークの普及・進展等による新しい働き方への移行、
  • 雇用・人材の流動化の加速、
  • 個人情報保護法や不正競争防止法等の改正・産業競争力強化法の施行などの最近の社会環境・動向の変化
  • セキュリティ関連技術の変遷

に則した改訂を行ったとのことです。

そして、改訂の骨子は、

  • (1)内部不正による情報漏えいが事業経営に及ぼすリスクについて経営者に向けたメッセージを強化
  • (2)テレワーク等の広がりによる、組織外での秘密情報の取扱増加に伴うリスクを低減する対策を追記
  • (3)雇用の流動化による退職者増加がもたらすリスクを低減する人的管理の対策を追記
  • (4)セキュリティ技術の急速な進展とそれらを適用する時の個人情報に配慮した運用の在り方を追記
  • (5)重要な法改正に伴う必要な対策の増補・強化

とのことです。。。

000097092

「組織における内部不正防止ガイドライン」第5版の改訂箇所

 

 

IPA

・2022.04.06 組織における内部不正防止ガイドライン

・[PDF] 組織における内部不正防止ガイドライン(日本語版) 第5版ガイドライン

20220407-224921

・[PDF] 第5版概要説明資料

 

20220407-224955

・[XLSX] 内部不正チェックシート(日本語版) 5.0版

 

| | Comments (0)

NATO CCDCOE ウクライナ支援のためのサイバー自警団:法的分析

 こんにちは、丸山満彦です。

NATO CCDCOEが、ウクライナ支援のためのサイバー自警団:法的分析を公表していますね。。。

武力紛争時のハクティビストのサイバー作戦の法的評価に特に影響を与える3つの具体的要因

  1. ハクティビストの位置付け
  2. 異なるハクティビスト集団の構造、組織、国家との関係の重要性
  3. 国家責任を喚起するための潜在的手段として、デューディリジェンス義務違反

を説明しているとのことです。。。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.04 Cyber vigilantism in support of Ukraine: a legal analysis

 

Cyber vigilantism in support of Ukraine: a legal analysis ウクライナ支援のためのサイバー自警団:法的分析
Hacktivist initiatives in supprt of Ukraine have been met with both praise and reprimand. As much as they are clever and innovative in taking a bottom-up grassroots approach to countering injustice and violence, they are also legally ambiguous and disposed to more serious consequences than initially planned.  This ad hoc working paper seeks to explain what is at stake from the international law perspective and analyses three specific factors that have a particular effect on the legal evaluation of hacktivist cyber operations in times of armed conflict. First, the the position of the hacktivist is looked into, following that the importance of the structure, organisation and state affiliations of the different hacktivist groups is analysed and last, the paper proceeds to  explain the breach of due diligence obligation as a potential avenue for evoking state responsibility. ウクライナを支援するハクティビストの活動には、賞賛と叱責の両方が寄せられています。不正や暴力に対抗するためのボトムアップの草の根的アプローチとして、巧妙かつ革新的である一方、法的には曖昧で、当初の予定よりも深刻な結果を招きやすい。 このアドホック・ワーキングペーパーは、国際法の観点から何が問題なのかを説明しようとするもので、武力紛争時のハクティビストのサイバー作戦の法的評価に特に影響を与える3つの具体的な要因を分析します。まず、ハクティビストの位置づけを検討し、次に、異なるハクティビスト集団の構造、組織、国家との関係の重要性を分析し、最後に、国家責任を喚起するための潜在的手段として、デューディリジェンス義務違反について説明します。

 

・[PDF] Cyber vigilantism in support of Ukraine: a legal analysis

20220407-222520

・[DOCX] 仮訳

 

 

| | Comments (0)

2022.04.07

JPCERT/CC blog 最近の”サイバー攻撃の動向”に関する情報発信について思うこと

こんにちは、丸山満彦です。

JPCERT/CCのブログに佐々木さんが、「最近の”サイバー攻撃の動向”に関する情報発信について思うこと」を載せていますね。。。

 

JPCERT/CC - blog

・2022.04.05 最近の”サイバー攻撃の動向”に関する情報発信について思うこと

 

Ratkwwyq_400x400

「攻撃の「増減」は立場によって見え方が異なる」

同じ事象を見てもどう判断するかという問題もありますよね。。。いわゆる「コップに半分入った水」の問題です。。。「半分も残っている」と考えるか「半分しか残っていない」と考えるか?

Fig1_20220407145401

また、そもそも同じ事象を見ているしても全部を観れているわけではないので、正確な全体像はわからないですよね。。。という問題もありますよね。。。

同じものを見ても、ある人は三角といい、ある人は四角といい、ある人は丸という、例の図形ですよね。。。

20220407-145544

攻撃活動が変化する背景は複雑

これは、そもそも特定の事象から全体を推定しようとしても、サンプルが母集団を代表しているかどうかわからないという問題(例えば、偏った事象を見ている。サンプル数があまりにも少なすぎるなど)という話もありますよね。。。

また、相関関係が分かったとしても、必ずしも因果関係はわからないという問題ですよね。。。

 

まぁ、できるかぎり全体像を解ろうとするために、

多くの情報、幅広い情報、その情報についての適切な分析が必要ですが、

一つの組織で実施するのは難しいので、収集した情報の共有も必要となるでしょうし、分析のための幅広い視野(地政学のような背景や、時間軸も含めて)、などが必要となりますよね。。。

 

全員が同じレベルの理解が必要ではないのですが、社会的に大きな影響力を持つ人が理解するためには、それなりに正しい理解が求められますよね。。。

「「正しく恐れる」こと」は重要ですよね。。。

 

 

 

| | Comments (0)

経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

こんにちは、丸山満彦です。

経団連が、デジタル臨時行政調査会に対する提言をしていますね。。。

デジタル原則として、

  1. デジタル完結・自動化原則
  2. アジャイルガバナンス原則
  3. 官民連携原則
  4. 相互運用性確保原則
  5. 共通基盤利用原則

を上げていますね。。。この原則に則って、具体的な提言としては87項目を上げていますね。。。読んでいると「なるほど、、、」「えっ〜、いまだに。。。」ということもありますね。。。

行政の監督は、立法府の仕事ですから、こういうところは議員さんも頑張って欲しいところではあります。

デジタル化するのにもコストがかかるわけですから、合わせて効率的なデジタル化についての提言もあってもよかったかもしれませんね(それは、また別にするのかもしれませんが。。。)

さらに言うと、デジタル時代の政府の歳出構造についての提言もあったもよかったかもしれません。。。(既存の歳出にアドオンでデジタル化の歳出が増えるだけだと、さらに財政が厳しくなりますからね。。。まぁ、国民から借金しているなら別にいいという話もありますが。。。)

さらにさらにいうと、経団連企業のデジタル化の成果についての報告もあっても良いですよね。。。

 

日本経済団体連合会

・2022.03.31 Society 5.0の扉を開く― デジタル臨時行政調査会に対する提言 ―

Wordに落とすと50ページ近くにもなるのに、目次がないので、目的なものを...

 


 

Ⅰ.はじめに

Ⅱ.基本的考え方

STEP1:既存規制の総点検とデジタル一括改正(始動)
STEP2:新たな制度・インフラの整備(過渡期)
STEP3:デジタル前提の体制構築(Society 5.0の土台の概成)
その先へ

Ⅲ.具体的要望

デジタル原則① デジタル完結・自動化原則

1.行政・民間を含めた手続の電子化

【全分野に関する手続】
No. 1 電子化されていない手続・契約の公表と電子化の工程表明示
No. 2 電子署名の活用に必要な環境整備
No. 3 未だ残る押印・直筆署名の撤廃
(1)押印の全廃
(2)直筆署名の廃止
No. 4 調査・委託・助成事業等における手続のデジタル完結
(1)政府等の統計調査
(2)政府の委託・助成事業に関する行政手続の電子化
(3)公的研究費に関する行政手続の統一・電子化
No. 5 政府会合のデジタル技術活用推進
No. 6 各種国家資格試験における申請手続・免許証等のデジタル完結

【雇用・労働に関する手続】
No. 7 社会保険・雇用保険等に関する行政手続のデジタル完結
No. 8 健康保険組合における電子化対応促進
(1) 健康保険被保険者の申請手続の電子化
(2) 健康保険被保険者の申請手続のワンストップ化
(3) 健康保険組合議員選挙のオンライン化
No. 9 ハローワークに対して行う手続の電子化
No. 10 会社分割に伴う労働契約の承継に関する手続のデジタル完結
No. 11 労使協定に関する手続のデジタル完結

【税に関する手続】
No. 12 税務手続のデジタル完結
No. 13 税務調査のオンライン化
No. 14 年末調整・確定申告に関する手続のデジタル完結および簡素化
No. 15 給与所得の源泉徴収票等の電子化に必要な本人承諾の見直し

【道路・運送・建設に関する手続】
No. 16 道路に関する行政手続のデジタル完結
No. 17 運送業に関する行政手続のデジタル完結
No. 18 建設に関する行政手続のデジタル完結
No. 19 船舶に関する行政手続のデジタル完結
No. 20 都市開発における組合関係手続のデジタル完結

【エネルギー・廃棄物に関する手続】
No. 21 発電に関する行政手続のデジタル完結
(1)事業用電気工作物に関する工事計画届の電子化
(2)水力発電関連の各種手続の電子化
No. 22 高圧ガス・冷凍設備に関する行政手続のデジタル完結
No. 23 産業廃棄物に関する行政手続のデジタル完結
(1)産業廃棄物処理に関する手続の電子化
(2)電子マニフェスト(産業廃棄物管理票)使用の義務化
No. 24 放射性同位元素・放射線発生装置に関する行政手続のデジタル完結
No. 25 環境保全に関する行政手続のデジタル完結

【製造・サービスに関する手続】
No. 26 計量に関する行政手続のデジタル完結
(1)計量法における型式承認の各種手続の電子化
(2)計量証明書の原則電子化
(3)計量トレーサビリティ証明書の電子化
No. 27 鉱業に関する行政手続のデジタル完結
No. 28 サービス業に関する行政手続のデジタル完結
(1)旅行業に関する各種手続の電子化
(2)たばこの販売免許申請の電子化
(3)インターネット型結婚相手紹介サービス業に関する各種手続の電子化
No. 29 電波に関する行政手続のデジタル完結
No. 30 医療に関する行政手続のデジタル完結
(1) 医薬品医療機器総合機構(PMDA)への申請電子化
(2) 医師・歯科医師・薬剤師届出票提出の電子化
(3)診療所の変更許可申請の電子化
No. 31 金融に関する行政手続のデジタル完結
(1)金融商品取引業における法定帳簿の電子化
(2)割賦販売法および貸金業法に関する行政手続の電子化

【特許・登記等に関する手続】
No. 32 知的財産に関する行政手続のデジタル完結
No. 33 登記・裁判に関する手続のデジタル完結
No. 34 相続手続のデジタル完結
(1)戸籍証明書一式の電子化
(2)遺産分割協議書等の電子化
(3)法定相続人のオンライン認証の容認
No. 35 在留申請のデジタル完結
No. 36 輸出入等に関する手続のデジタル完結

【警察・消防・防衛に関する手続】
No. 37 警察に対して行う行政手続のデジタル完結
(1)車庫証明取得手続の電子化
(2)警備業法に関する各種手続のデジタル完結
No. 38 消防に関する行政手続のデジタル完結
No. 39 防衛省に関する行政手続のデジタル完結

【地方公共団体に関する手続】
No. 40 地方公共団体との契約のデジタル完結
No. 41 地方公共団体における公共調達に関する手続のデジタル完結
(1)入札参加資格申請の電子化
(2)公共工事の電子化徹底
(3)ポータルサイトの構築
No. 42 公金決済のデジタル完結
No. 43 情報公開請求手続のデジタル完結

【民間取引等における手続】
No. 44 取引における電磁的記録の提供に関するルールの明確化
No. 45 下請法に基づく手続の電子化促進
(1)下請法に基づく電磁的記録に関する規律の見直し
(2)取引書類送受・保管の電子化促進
No. 46 株主総会関連書類の電子化
No. 47 金融分野に関する各種手続の電子化

2.常駐・専任・目視規制の見直し
No. 48 建設における常駐・専任規制の緩和
(1)主任技術者・監理技術者等の配置・兼務要件の見直し
(2)工事監理者の遠隔監理の容認
(3)建設現場における現場代理人の兼務要件の緩和
No. 49 電気主任技術者の常駐・専任規制の緩和
No. 50 主任無線従事者の常駐・専任規制の緩和
No. 51 点検・検査における目視規制の緩和
(1)電気工作物、ガス工作物、高圧ガス設備等の定期自主検査の遠隔化
(2)測定結果データを用いたリモート点検への対応
No. 52 医療における常駐・専任規制の緩和
(1)薬局外からのオンライン服薬指導の実現
(2)OTC医薬品の特定販売におけるオンライン対応の実現
No. 53 情報記憶媒体等の機器の廃棄における目視規制の緩和

デジタル原則② アジャイルガバナンス原則

1.手法・基準・資格者要件等の見直し
No. 54 デジタル技術の導入に関する規制の見直し
(1)非防爆機器の持込規制の見直し
(2)ドローンの飛行申請の手続の統一・電子化
(3)水中ドローンの使用許可・届出が必要な要件の明確化
(4)一般用医薬品のインターネット販売に関する制度見直し
(5)卸売販売業者の区分に関する規制の撤廃
No. 55 本人確認の手法に関する規制の見直し
(1)酒類・たばこ販売における電子的な年齢確認の実現
(2)資格者証の真正性検証に関する技術基準の明確化
No. 56 インフラ検査・点検の手法に関する規制の見直し
(1)点検支援技術性能カタログにおけるLEVEL4の早期実装
(2)パイプライン溶接部X線検査におけるデジタル画像の受入
No. 57 技術基準の柔軟化
No. 58 資格者要件の見直し

2.新たな技術に対応した制度整備
No. 59 AI・ロボット活用に必要な制度整備
(1)建設用ロボットの実装に向けた法制度整備
(2)自動運転農機の高い安全機能を踏まえた規制緩和
(3)原子力施設のデジタル活用ルール整備
(4)AI時代に即した労働安全管理手法の整備
(5)介護事業所で使用するデジタルデバイスの標準化
(6)空飛ぶクルマに関する制度整備
No. 60 電波の円滑な利活用に向けた環境の整備
(1)ローカル5Gに関する申請要件の緩和・明確化
(2)ローカル5G免許者・免許申請者リストの電子的公開
No. 61 生体認証に関する横断的なルール整備
No. 62 デジタル導入に向けた公共調達等の制度整備
(1)公共調達におけるアジャイル手法の活用
(2)国立法人における日本版バイ・ドール制度に基づく契約書の使用
No. 63 行政のデジタルマインドへの改革
(1)行政システムの仕様変更に関する運用改善
(2)日本年金機構の電子申請の利便性向上

デジタル原則③ 官民連携原則

1.公共・準公共データ基盤の整備・API公開
No. 64 通知・通達、地方公共団体の条例・規則等に関するデータベース整備
No. 65 e-Govの整備・拡充
(1)e-Govの電子申請APIの利便性向上
(2)e-Gov電子申請の容量拡大・利便性向上
(3)e-Gov電子申請の窓口体制の整備
No. 66 医療に関するデータ利活用
(1)健康・医療分野のDXに関する全体ビジョンの提示
(2)個人起点のデータ活用を促進する仕組みの整備
(3)公的データベース利活用の環境整備
No. 67 空間に関するデータ利活用
(1)デジタルツイン納品の推進
(2)BIM/CIMモデルの100%普及
(3)BIM/CIMデータのデータベース構築
(4)地下空間情報のデジタルデータ化
No. 68 住宅に関するデータ利活用
(1)建物の耐火性能や耐震性能等に関するデータベース整備・公開
(2)ハザードマップポータルサイトの利便性向上
No. 69 出入国に関するデータ利活用
(1) 外国人本人がアクセス可能なデータベースの構築
(2)外国人旅行者向け免税カウンターにおけるデータ連携

デジタル原則④ 相互運用性確保原則

1.データ利活用に向けたデータベース等の整備
No. 70 インフラ等に関する事業者間のデータ共有
(1)インフラ事業者の設備情報に関するデータ連携
(2)建物の仕様等に関する共有データベースの構築
(3)非化石証書に関するデータ利活用
No. 71 上下水道事業におけるデータ利活用
No. 72 雇用・労働に関するデータ利活用
(1)定年退職後の健康保険証の継続利用
(2)企業型年金規約関連事務の簡素化に向けたデータ連携
No. 73 研究開発等に資するデータ利活用
(1)e-CSTIのデータ利活用
(2)PIO-NETのオープンデータ化
(3)製品安全に関する届出事業者・製品情報のオープンデータ化
(4)化学品管理の一元化に向けたデータベースの整備
(5)材料データベースの整備
No. 74 国家資格取得者に関するデータ連携
No. 75 国家プロジェクトの研究開発に関するデータ連携

2.地方公共団体間のルールの整合性確保
No. 76 地方公共団体間の様式・基準統一
(1) 就労証明書の様式統一・完全電子化
(2)消防設備の設置等に関する審査基準の統一・公開
(3)警察における車庫証明取得手続対応の統一化
(4)医療機関への医薬品等の納入に関する手続の統一・電子化

3.イコールフッティングの確保
No. 77 イコールフッティングの確保

デジタル原則⑤ 共通基盤利用原則

1.ベースレジストリの参照・利用の徹底
No. 78 マイナンバーの徹底活用に向けた特定個人情報の見直し
No. 79 マイナンバーを活用した添付書類の省略(行政等)
No. 80 マイナンバーを活用した添付書類の省略(民間)
No. 81 マイナンバーを活用した手続の省略
(1)許認可申請手続におけるマイナンバーの活用
(2)政府内で重複する厚生年金・国民年金手続のワンスオンリー
No. 82 マイナンバーを活用したデータ連携の実現
(1)学習者IDとマイナンバーのデータ連携
(2)金融関連手続におけるマイナンバーの有効活用
No. 83 マイナンバー制度の利便性向上
(1)マイナンバー授受に関する手続の電子化・システム化
(2)マイナポータルにおけるAPI認証時の包括同意の容認
No. 84 マイナンバーカードの利便性向上
(1)電子証明書の利便性向上
(2)マイナンバーカードへの電子マネー機能搭載
No. 85 行政サービスIDの附番
No. 86 既存ID・コードの連携・統合
(1) 企業IDの連携
(2)企業IDと有価証券報告書における企業データの連携
(3)登記簿番号による手続への対応
(4)本人確認手続に関する証明手段の電子化
No. 87 GビズIDプライム取得手続の簡素化・簡略化

 

Keidanren

 

| | Comments (0)

2022.04.06

個人情報保護委員会 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて(制度編・事例編)

こんにちは、丸山満彦です。

個人情報保護委員会が、仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて、制度編と事例編を公開していますね。。。

 

● 個人情報保護委員会

・2022.04.06 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けてを公開しました。

事務局レポート

・[PDF] 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて―制度編― 

20220406-162938

はじめに

1. イントロダクション
1.1
平成 27 年個⼈情報保護法改正により匿名加⼯情報制度が導⼊された背景
1.2
令和 2 年個⼈情報保護法改正により仮名加⼯情報制度が導⼊された背景
1.3
本レポートの位置付け

2. 個⼈情報保護法上の各制度の概要
2.1
個⼈情報とその取扱いにおける制約

3. 仮名加⼯情報
3.1
仮名加⼯情報とは
3.2
仮名加⼯情報の作成に当たって求められる加⼯
3.3
仮名加⼯情報の作成・利⽤に当たっての留意点
3.4
第三者提供との関係

4. 匿名加⼯情報
4.1
匿名加⼯情報とは
4.2
匿名加⼯情報の作成に当たって求められる加⼯
4.3
匿名加⼯情報等の安全管理措置
4.4
匿名加⼯情報の利⽤に当たっての留意点

おわりに

【参考資料】
I.
参考⽂献

 

・[PDF] 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて―事例編― 

20220406-163009

1. 仮名加工情報

1.1 事例 1 事業者が持つ一つのデータベースに含まれる個人情報を仮名加工情報に加工し利用目的を変更する事例

1.2 事例 2 事業者が持つ複数のデータベースに含まれる個人情報からそれぞれ仮名加工情報を作成し利用目的を変更した上で同一の個人ごとに突合して利用する事例

2. 匿名加工情報

2.1 購買履歴の事例
 2.1.1
購買履歴の事例1(ID-POS データ)
 2.1.2 購買履歴の事例2(クレジットカード利用情報)

2.2 乗降履歴・移動履歴の事例
 2.2.1
乗降履歴の事例
 2.2.2 移動履歴の事例

2.3 電力利用履歴の事例

Continue reading "個人情報保護委員会 仮名加工情報・匿名加工情報 信頼ある個人情報の利活用に向けて(制度編・事例編)"

| | Comments (0)

第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

こんにちは、丸山満彦です。

2022.04.05に第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明がWebページに掲載されていますね。。。

こういう話ができる人って、信頼されるのだろうなと思いました。自戒も込めて。。。議会って「演説」ですからね。。。

内容としては、脅威としては、ロシアのウクライナ侵攻があるので目先としてはロシアですが、長期的には中国の脅威を強く意識しているように感じますね。。。

今年注力する5つの分野については、民間企業でも参考になるような気がしました。

あっ、防衛産業基盤(DIB)企業についても触れられています。。。

 

U.S. Cyber Command

・2022.04.05 Posture statement of Gen. Paul M. Nakasone, commander, U.S. Cyber Command before the 117th Congress

 

Posture statement of Gen. Paul M. Nakasone, commander, U.S. Cyber Command before the 117th Congress 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明
Fort George Meade, Maryland   –   メリーランド州フォート・ジョージ・ミード 
Gen. Paul M. Nakasone, commander, U.S. Cyber Command, on Tuesday, April 5, 2022 will testify in front of the Senate Committee on Armed Services and the House Committee on Armed Services, Cyber, Innovative Technologies, and Information Systems Subcommittees. 米国サイバー軍司令官ポール・M・ナカソネ元帥は、2022年4月5日(火)、上院軍事委員会および下院軍事委員会サイバー・革新技術・情報システム小委員会で証言する予定です。
Opening paragraph for the Senate Committee On Armed Services: Chairman Reed, Ranking Member Inhofe and distinguished members of the Committee, thank you for your enduring support and the opportunity today to represent the hard working men and women of U.S. Cyber Command (USCYBERCOM). I am honored to be here and testify beside Assistant Secretary of Defense Christopher Maier and General Rich Clarke. 上院軍事委員会の冒頭文: リード委員長、インホフ委員、そして委員会の著名なメンバーの皆様、本日は米サイバー軍(USCYBERCOM)の勤勉な男女を代表し、永続的な支援と機会をいただき、ありがとうございました。この場で、クリストファー・メイヤー国防次官補とリッチ・クラーク将軍の傍らで証言できることを光栄に思っています。
Opening paragraph for the House Armed Services Committee, Subcommittee On Cyber, Innovative Technologies and Information Systems: Chairman Langevin, Ranking Member Banks and distinguished members of the Committee, thank you for your enduring support and the opportunity today to represent the hard working men and women of U.S. Cyber Command (USCYBERCOM). I am honored to be here and testify beside Assistant Secretary of Defense John Plumb. 下院軍事委員会サイバー・革新技術・情報システム小委員会の冒頭文:ランジュバン委員長、バンクス委員、そして委員会の著名なメンバーの皆様、本日は米サイバー軍(USCYBERCOM)の勤勉な男女を代表し、永続的な支援と機会をいただき、ありがとうございました。この場で、ジョン・プランブ国防次官補の傍らで証言できることを光栄に思います。
Let me begin by acknowledging the dedicated service of our Service members and civilians at USCYBERCOM. Their mission is to plan and execute global cyber operations, activities and missions to defend and advance national interests in collaboration with domestic and international partners across the full spectrum of competition and conflict. Our three lines of operation are to: まず、USCYBERCOMの武官と文官の献身的な奉仕に感謝します。彼らの使命は、競争と紛争の全領域において、国内外のパートナーと協力して国益を守り推進するために、グローバルなサイバー作戦、活動、任務を計画し実行することです。私たちの活動方針は次の3つです。
・Provide mission assurance for the Department of Defense by directing the security, operation and defense of Department of Defense Information Network (DODIN), including DoD’s critical infrastructure; ・国防総省の重要インフラを含む国防総省情報ネットワーク(DODIN)のセキュリティ、運用、防衛を指揮することにより、国防総省に任務を保証すること。
・Help deter and defeat strategic threats to the United States and its national interests; and ・米国とその国益に対する戦略的脅威の抑止と撃退を支援すること。
・Assist Combatant Commanders to achieve their objectives in and through cyberspace. ・戦闘指揮官がサイバースペースにおいて、またサイバースペースを通じて目的を達成するのを支援すること。
U.S. Cyber Command directs operations through its components. These include the Cyber National Mission Force-Headquarters (CNMF-HQ), Joint Force Headquarters-DoD Information Network (JFHQ-DODIN, the commander for which is dual-hatted as the Director of the Defense Information Systems Agency) and Joint Task Force Ares. They work with our Joint Force headquarters elements, the commanders for which are dual-hatted with one of the Services’ cyber components (Army Cyber Command, Marine Corps Forces Cyberspace Command, Fleet Cyber Command/Tenth Fleet, Air Force Cyber/16th Air Force and Coast Guard Cyber Command). The Command currently comprises 133 teams across the Cyber Mission Force (CMF), approximately 6,000 Service members, including National Guard and Reserve personnel on active duty. The CMF is due to grow by 14 teams over the next five years. 米軍サイバー司令部は、その構成要素を通じて作戦を指揮します。その中には、サイバー国家任務軍本部(CNMF-HQ)、統合軍本部-国防情報ネットワーク(JFHQ-DODIN、司令官は国防情報システム局長を兼任)、統合任務軍アレスが含まれます。また、陸軍サイバー司令部、海兵隊サイバースペース司令部、艦隊サイバー司令部/第10艦隊、空軍サイバー司令部/第16空軍、沿岸警備隊サイバー司令部のいずれかのサイバー部門と兼任している統合軍司令部と連携しています。司令部は現在、サイバー・ミッション・フォース(CMF)全体で133チーム、現役の国家警備隊や予備軍を含む約6000人のサービスメンバーで構成されています。CMFは今後5年間で14チーム増加する予定です。
USCYBERCOM is postured to execute its missions and meet both the nation’s near-term and enduring strategic challenges in cyberspace. I shall address the Command’s role in the crisis caused by Russia’s invasion of Ukraine, and then speak to our preparedness for persistent threats and in meeting our long-term pacing challenge, China. As the Commander of USCYBERCOM and Director of the National Security Agency (NSA), I have learned that the Command’s linkage with NSA is essential to achieving critical outcomes for the nation in both cyber and intelligence operations. The dual-hatted command relationship improves planning, resource allocation, risk mitigation, and unity of effort. It allows us to operate with speed, agility, and mission effectiveness that we could not achieve without it. This is critical to meeting the strategic challenges of our adversaries as they grow in sophistication, aggressiveness and scope of operations. USCYBERCOMは、その任務を遂行し、サイバースペースにおける国家の短期的および永続的な戦略的課題に対応するための態勢を整えています。私は、ロシアのウクライナ侵攻による危機における司令部の役割を述べた後、持続的な脅威に対する備えと、長期的なペースでの課題である中国への対応について述べたいと思います。USCYBERCOM の司令官と国家安全保障局(NSA)の長官として、私は、司令部と NSA との連携が、サイバーと情報の両面で国家のために重要な成果を上げるために不可欠であることを学びました。両者の指揮関係は、計画、資源配分、リスク軽減、努力の統一を向上させます。これなしには達成できないスピード、敏捷性、任務の有効性をもって活動することができるのです。これは、敵が高度化し、攻撃性が増し、作戦範囲が拡大する中で、敵の戦略的課題に対応するために不可欠なものです。
Strategic Challenges 戦略的課題
Russia’s invasion of Ukraine demonstrated Moscow’s determination to violate Ukraine’s sovereignty and territorial integrity, forcibly impose its will on its neighbors and challenge the North Atlantic Treaty Organization (NATO). Russia’s military and intelligence forces are employing a range of cyber capabilities, to include espionage, influence and attack units, to support its invasion and to defend Russian actions with a worldwide propaganda campaign. ロシアのウクライナ侵攻は、ウクライナの主権と領土を侵害し、近隣諸国に自国の意思を強制的に押し付け、北大西洋条約機構(NATO)に挑戦するというモスクワの決意を示すものでした。ロシアの軍事・諜報部隊は、諜報活動、影響力行使、攻撃部隊を含む様々なサイバー能力を駆使して、侵略を支援し、世界的なプロパガンダキャンペーンでロシアの行動を擁護しています。
U.S. Cyber Command (with NSA) has been integral to the nation’s response to this crisis since Russian forces began deploying on Ukraine’s borders last fall. We have provided intelligence on the building threat, helped to warn U.S. government and industry to tighten security within critical infrastructure sectors, enhanced resilience on the DODIN (especially in Europe), accelerated efforts against criminal cyber enterprises and, together with interagency members, Allies, and partners, planned for a range of contingencies. Coordinating with the Ukrainians in an effort to help them harden their networks, we deployed a hunt team who sat side-by-side with our partners to gain critical insights that have increased homeland defense for both the United States and Ukraine. In addition, USCYBERCOM is proactively ensuring the security and availability of strategic command and control and other systems across the Department. We have also crafted options for national decision makers and are conducting operations as directed. 米国サイバー軍(NSAと共同)は、昨年秋にロシア軍がウクライナ国境に展開し始めて以来、この危機への国家の対応に不可欠な存在となっています。私たちは、脅威の構築に関する情報を提供し、米国政府と産業界に重要なインフラ部門のセキュリティを強化するよう警告し、DODIN(特にヨーロッパ)における弾力性を強化し、犯罪的サイバー企業に対する取り組みを加速し、省庁間のメンバー、同盟国、パートナーとともに、さまざまな不測の事態を計画してきました。また、ウクライナと連携してネットワークの強化を支援するため、パートナーとともに状況収集(ハント)チームを配備し、米国とウクライナ双方の国土防衛を強化するための重要な洞察を得ました。さらに、USCYBERCOMは、戦略的コマンド・コントロール・システムおよびその他のシステムのセキュリティと可用性を省内で積極的に確保しています。また、国家の意思決定者向けにオプションを作成し、指示された作戦を実施しています。
When Moscow ordered the invasion in late February, we stepped up an already high operational tempo. We have been conducting additional hunt forward operations to identify network vulnerabilities. These operations have bolstered the resilience of Ukraine and our NATO Allies and partners. We provided remote analytic support to Ukraine and conducted network defense activities aligned to critical networks from outside Ukraine – directly in support of mission partners. In conjunction with interagency, private sector and Allied partners, we are collaborating to mitigate threats to domestic and overseas systems. モスクワが2月下旬に侵攻を命じたとき、私たちはすでに高い作戦テンポを強めていました。ネットワークの脆弱性を特定するため、ハントフォワード作戦を追加で実施しています。これらの作戦は、ウクライナとNATOの同盟国やパートナーの回復力を強化した。私たちはウクライナに遠隔分析支援を提供し、ウクライナの外から重要なネットワークと連携したネットワーク防御活動を実施し、ミッション・パートナーを直接支援しました。省庁間、民間企業、同盟国のパートナーと連携し、国内外のシステムに対する脅威を軽減するために協力しています。
These measures were made possible by the patient investments in cyberspace operations capabilities and capacity over the last decade, as well as by the lessons that we as a Department and a nation have learned from operational experience. The current crisis is not over, but I am proud of the response of our people and confident in their ability to deliver results no matter how long it lasts. Their grit and ingenuity have been inspiring. これらの措置は、過去10年間にわたるサイバースペース運用能力と能力への忍耐強い投資と、私たち省庁および国家が運用経験から学んだ教訓によって可能となったものです。現在の危機は終わっていませんが、私は国民の対応を誇りに思うとともに、危機がどれほど長引こうと、彼らが結果を出す能力を備えていると確信しています。彼らの気概と創意工夫には感動をしました。
Shifting to longer-term considerations, I note that our operations are planned and executed in accord with the Interim National Security Strategic Guidance. Underpinning our work is Integrated Deterrence. We provide combat-capable forces in cyberspace that engage in active campaigning to disrupt adversary actions, demonstrate capabilities and resolve, shape adversary perceptions and gain warfighting advantages should deterrence fail. Integrated Deterrence is multi-partner, multi-domain, multi-theater and multi-spectrum, requiring us to compete every day in cyberspace against military and intelligence actors seeking to undermine our nation’s strength and strategic advantages. より長期的な考察に移りますが、私たちの活動は暫定的な国家安全保障戦略ガイダンスに沿って計画・実行されていることに留意しています。私たちの活動の根底にあるのは、統合抑止力です。私たちはサイバースペースで戦闘能力のある部隊を提供し、敵の行動を混乱させ、能力と決意を示し、敵の認識を形成し、抑止が失敗した場合に戦闘上の優位を得るために積極的な作戦行動に従事しています。統合抑止は、複数のパートナー、複数の領域、複数の地域、複数のスペクトルから構成され、わが国の力と戦略的優位を損なおうとする軍事・情報当局とサイバースペースで日々競争することが要求されます。
Cyberspace is a dynamic and inter-connected domain where near-peer adversaries seek to exploit gaps and seams between our organizations and authorities. Such adversaries use a variety of cyber means to compromise our systems, distort narratives and disseminate misinformation. These actions threaten our national interests by impairing the safety and security of our citizens, stealing intellectual property and personal information while seeking to undermine the legitimacy of our institutions. Our adversaries have demonstrated sophisticated cyber-attack capabilities for use in competition, crisis and conflict, but I am confident that USCYBERCOM is well postured to meet those challenges. サイバースペースはダイナミックで相互に接続された領域であり、ほぼ同質の敵が私たちの組織と権限の間のギャップや隙を突こうとします。このような敵は、さまざまなサイバー手段を使って、私たちのシステムを危険にさらし、話をゆがめ、誤った情報を流布します。これらの行為は、国民の安全と安心を損ない、知的財産や個人情報を盗み、私たちの組織の正統性を損なおうとすることで、私たちの国益を脅かすものです。敵対勢力は、競争、危機、紛争で使用する高度なサイバー攻撃能力を示しているが、私はUSCYBERCOMがこれらの課題に対応する態勢を整えていると確信しています。
China is our pacing challenge, which I see as both a sprint and a marathon. China’s military modernization over the past several years threatens to erode deterrence in the western Pacific, which requires immediate steps to redress. At the same time, China is an enduring strategic challenge that is now global in scope. Beijing is exerting influence worldwide through its rising diplomatic, informational, military, and economic power. China is a challenge unlike any other we have faced. I have therefore created a China Outcomes Group under joint USCYBERCOM and NSA leadership to ensure proper focus, resourcing, planning, and operations to meet this challenge. Although we recognize that much of our effort will be in support of U.S. Indo-Pacific Command, China is a global challenge. The success of our efforts will depend in part on the resilience and capabilities of regional and worldwide partners. We are building operating relationships and also dedicating long-term work to enhance their cybersecurity and cyberspace operations forces. 中国は私たちの歩調(ペース)に関する課題であり、私はこれをスプリントとマラソンの両方と見ています。過去数年にわたる中国の軍事的近代化は、西太平洋における抑止力を低下させる恐れがあり、これを是正するための早急な措置が必要です。同時に、中国は今や世界規模になった永続的な戦略的課題です。北京は、外交力、情報力、軍事力、経済力の増大を通じて世界中に影響力を及ぼしています。中国は、私たちがこれまで直面したことのない挑戦です。そこで私は、USCYBERCOMとNSAの共同リーダーシップのもと、この課題に対応するための適切な焦点、資源調達、計画、運用を確保するために、中国成果グループを創設しました。私たちの努力の多くは米インド太平洋軍を支援するものであると認識していますが、中国は世界的な課題です。私たちの努力の成否は、地域および世界のパートナーの回復力と能力に部分的に依存します。私たちは運用関係を構築し、また彼らのサイバーセキュリティとサイバースペース運用力を強化するために長期的な作業を捧げています。
Iran and North Korea are cyber adversaries growing in sophistication and willingness to act. Despite our strengthened focus on China, we are maintaining our ability to counter these threats. Tehran has increased ransomware operations, the targeting of critical infrastructure, and influence campaigns (including in our 2020 elections). We support U.S. Central Command in its efforts against Iranian-backed proxies in Iraq and Syria (as we also did in the withdrawal from Afghanistan last summer). North Korea uses its cyber actors to generate revenue through criminal enterprises, such as hacking-for-hire and theft of cryptocurrency. USCYBERCOM works with the Departments of State and Treasury to stem Pyongyang’s campaigns. イランと北朝鮮は、高度化し、行動する意欲を高めているサイバー敵対国です。中国への注力を強化しているものの、これらの脅威への対抗能力は維持しています。テヘランは、ランサムウェアの運用、重要インフラの標的化、(2020年の選挙を含む)影響力キャンペーンを強化しています。私たちは、イラクとシリアにおけるイランの支援を受けた代理人に対する米中央司令部の取り組みを支援しています(昨夏のアフガニスタンからの撤退の際も同様)。北朝鮮は、サイバーアクターを利用して、ハッキング・フォー・ハイヤーや暗号通貨の窃盗などの犯罪事業を通じて収益を上げています。USCYBERCOMは、国務省や財務省とともに、平壌のキャンペーンを阻止するために活動しています。
The scope, scale and sophistication of these threats is rising. The United States faced major cybersecurity challenges over the last year, beginning with the SolarWinds supply-chain compromise but extending to incidents involving software compromises that affected companies like Colonial Pipeline, Microsoft, JBS, Kaseya, and Apache. In each instance, our Command worked through CNMF and other components to provide insights to our homeland security and law enforcement partners, who are the nation’s first line of defense for U.S. systems and networks. このような脅威の範囲、規模、巧妙さは、ますます増大しています。米国は昨年、SolarWinds のサプライチェーン侵害に始まり、Colonial Pipeline、Microsoft、JBS、Kaseya、Apache などの企業に影響を与えたソフトウェアの侵害を含む事件に至るまで、サイバーセキュリティ上の大きな課題に直面しました。いずれのケースでも、米国司令部はCNMFやその他のコンポーネントを通じて、米国のシステムとネットワークに対する国家の最初の防衛線である国土安全保障と法執行機関のパートナーに洞察を提供するために働きました。
Ransomware can have strategic effects as America saw in the disruption of Colonial Pipeline’s systems. CNMF has taken numerous actions over the past year to combat ransomware in close partnership with law enforcement, interagency, industry, and foreign partners to disrupt and degrade the operations of ransomware groups attacking our nation’s critical infrastructure. CNMF and NSA enabled whole-of-government actions targeting ransomware actors, passing key insights in near-real time. CNMF was a key partner in the whole-of- government effort to disrupt and impose costs against those who targeted Colonial Pipeline. ランサムウェアは、アメリカがColonial Pipeline社のシステムの混乱で見たように、戦略的な影響を及ぼす可能性があります。CNMFは、法執行機関、省庁間、産業界、外国のパートナーと緊密に連携してランサムウェアと戦うために、過去1年間に数多くの行動を起こし、米国の重要インフラを攻撃するランサムウェアグループの活動を妨害し、その機能を低下させることに成功しました。CNMF と NSA は、ランサムウェアの攻撃者を標的とした政府全体の行動を可能にし、ほぼリアルタイムで重要な洞察を伝えました。CNMFは、コロニアルパイプラインを標的とした犯人を混乱させ、コストを課す政府全体の取り組みにおいて、重要なパートナーでした。
USCYBERCOM (with JFHQ-DODIN) also defended the DODIN against cyber threats and helped ensure that disruptions to its systems and data remained inconsequential and brief. We continue to innovate in enhancing DODIN defenses and countering adversary threats; indeed, we must, because our adversaries are agile and adaptive. Key to this effort is building resilience in our systems and platforms while preparing the Department, the other Combatant Commands and Defense Industrial Base (DIB) companies to operate even in degraded cyber environments. USCYBERCOM(JFHQ-DODINとともに)はまた、DODINをサイバー脅威から守り、そのシステムとデータへの混乱が取るに足らない短時間にとどまるよう支援しました。私たちはDODINの防御を強化し、敵の脅威に対抗するために革新を続けています。この努力の鍵は、私たちのシステムとプラットフォームに弾力性を持たせるとともに、損傷したサイバー環境でも活動できるように、防衛省、他の戦闘司令部、防衛産業基盤(DIB)企業を準備することです。
U.S. Cyber Command Posture for the Future 米国サイバー司令部の将来的な態勢
Our success against these growing challenges is a result of sustained efforts and investments, not to mention a lot of hard work. I should add that that work over the last two years took place under COVID-19 mitigations. USCYBERCOM has been on-mission, running operations and exercises with the joint force and domestic and foreign partners throughout the pandemic, with negligible workforce transmission and slight impact to operations. We will continue to prioritize workplace safety, workforce confidence, and mission continuity. これらの増大する課題に対する私たちの成功は、持続的な努力と投資、そして言うまでもなく、多くのハードワークの結果です。過去2 年間のその作業は、COVID-19 の緩和措置の下で行われたことを付け加えておきます。USCYBERCOMはオンミッションで、パンデミックの期間中、統合軍や国内外のパートナーとともに作戦や演習を実行し、労働力の感染はごくわずかで、作戦への影響もわずかでした。今後も、職場の安全、従業員の信頼、任務の継続を優先していきます。
We see 2022 as a year of opportunity to make progress in several areas that will enhance USCYBERCOM’s capabilities and contributions to national security. With this in mind, I have established the following priorities for our Command: 2022年は、USCYBERCOMの能力と国家安全保障への貢献を強化するいくつかの分野で前進するチャンスの年だと考えています。このことを念頭に置き、私は我が司令部の優先事項を以下のように設定しました。
・Readiness; ・即応性
・Operations in Defense of the Nation; ・国家防衛のための作戦
・Integrated Deterrence; ・統合抑止力
・Recruiting, Retention and Training; and ・採用、維持、訓練
・Joint Cyber Warfighting Architecture and Enhanced Budget Control ・統合サイバー戦闘アーキテクチャと予算管理の強化
Readiness is priority one. It is foundational to the success of operations in defense of the nation and Integrated Deterrence. USCYBERCOM has made progress despite challenges. We improved our ability to monitor the status of our cyber mission forces down to the team, mission element and individual levels. Across the Department, USCYBERCOM is responsible for setting standards for all of DoD’s Cyberspace Operations Forces. We work to provide commanders with the situational awareness they require to assess risks and make informed decisions, not just in operations but in maintaining force readiness as a whole. We will work with the Services this year to ensure the progress we have made over the past year continues. レディネス(準備)は最優先事項です。国家防衛と統合抑止の成功の基礎となるものです。USCYBERCOMは課題にもかかわらず前進しています。サイバー・ミッション部隊の状況をチーム、ミッション・エレメント、個人レベルに至るまで監視する能力を向上させたのです。国防総省全体では、USCYBERCOMは国防総省のすべてのサイバースペース作戦部隊の基準を設定する責任を負っています。私たちは、作戦だけでなく部隊全体の即応性を維持するために、リスクを評価し、情報に基づいた決定を下すのに必要な状況認識を指揮官に提供することに取り組んでいます。私たちは、昨年までの進展が継続するよう、今年もサービス部門と協力していくつもりです。
Second, along with our interagency partners, we defended the nation’s recent elections against foreign interference and are preparing to support the defense of this year’s midterms through the combined efforts of USCYBERCOM and NSA. We anticipate that our adversaries will continue using their military and intelligence elements to affect our democracy. Thus I appointed a USCYBERCOM general officer and an NSA senior executive to oversee election security in 2022. This is an enduring, no-fail mission for USCYBERCOM. 次に、省庁間のパートナーとともに、最近の選挙を外国の干渉から守り、USCYBERCOMとNSAの力を合わせて、今年の中間選挙の防衛を支援する準備を進めています。私たちの敵は、民主主義に影響を与えるために、彼らの軍事的および情報的要素を使い続けるだろうと予想しています。そこで私は、2022年の選挙セキュリティを監督するために、USCYBERCOMの将校とNSAの上級幹部を任命しました。これはUSCYBERCOMにとって永続的で失敗の許されない任務です。
Interagency partnerships are crucial in these efforts. Working with the Federal Bureau of Investigation (FBI) and the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA) has demonstrated that we are much stronger together. Indeed, no single agency can defend the nation on its own. USCYBERCOM imposes costs on threat actors and provides insights to domestic and foreign partners to mitigate and respond to malign activity, enabling each to act under its respective authorities. We will continue to collaborate with our domestic partners across the federal government and the states to share best practices and expertise. こうした取り組みには、省庁間の連携が欠かせない。連邦捜査局(FBI)や国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA)と協力することで、私たちはより強力に連携できることが証明されました。実際、どの機関も単独で国家を守ることはできません。USCYBERCOM は、脅威となる行為者にコストを課し、国内外のパートナーに悪意のある活動を緩和し対応するための見識を提供し、それぞれがそれぞれの権限に基づいて行動できるようにするものです。私たちは、ベストプラクティスと専門知識を共有するために、連邦政府と州をまたがる国内のパートナーとの協力を続けていくつもりです。
Our adversaries also target our economy. DIB companies are on the frontlines in cyberspace and are constantly targeted by malicious cyber actors. Over the past year, we have deepened our relationships with private industry through voluntary information sharing. Since the nation's critical infrastructure and systems are largely in private hands, these relationships have directly enhanced our operations, in addition to the security of their commercial systems. 私たちの敵は、私たちの経済も標的にしています。DIB の企業はサイバースペースの最前線におり、常に悪意あるサイバー行為者の標的にされています。過去 1 年間、私たちは自主的な情報共有を通じて、民間企業との関係を深めてきました。国の重要なインフラやシステムの大部分は民間の手に委ねられているため、こうした関係は、その商業システムのセキュリティに加え、私たちの業務も直接的に強化しています。
Third, supporting the national priority of Integrated Deterrence means preparing for crisis and conflict while campaigning in competition across the full spectrum of cyber operations. It also means building the strategic partnerships that enable the defense of U.S. systems and networks beyond the DODIN and the DIB. Our foreign partnerships begin with our “Five Eye” Allies – the United Kingdom, Canada, Australia and New Zealand. The circle of partnership has been enlarged in recent years as we enhanced existing relationships with allies and forged new ones with several nations, especially in Europe and the Indo-Pacific region. 第三に、国家的優先事項である統合抑止力を支援することは、危機と紛争に備える一方で、サイバー作戦の全範囲にわたって競争的なキャンペーンを行うことを意味します。また、DODIN や DIB を超えて、米国のシステムとネットワークの防衛を可能にする戦略的パートナーシップを構築することを意味します。私たちの対外パートナーシップは、英国、カナダ、オーストラリア、ニュージーランドの「ファイブ・アイ」同盟国から始まります。近年、同盟国との既存の関係を強化し、特にヨーロッパとインド太平洋地域のいくつかの国と新たな関係を築いたため、パートナーシップの輪は広がっています。
Fourth is building a skilled workforce through recruitment, training, and retention. Talent is key to preserving our competitive edge against our adversaries. USCYBERCOM has improved its civilian hiring with the use of its congressionally-granted Cyber Excepted Service (CES) authorities, which allow us to offer competitive compensation packages for high-demand expertise. In addition, a diverse, talented workforce that expands equity and inclusiveness is an enduring goal. To recruit and retain a skilled military workforce, we are also grateful for the authorities Congress has granted the Services to offer flexible promotion and commissioning avenues in support of the CMF. 第四に、採用、訓練、人材確保を通じた熟練労働力の構築です。人材は、敵対勢力に対する競争力を維持するための鍵です。USCYBERCOMは議会が付与したサイバー例外サービス(CES)権限を活用し、文官の雇用を改善してきました。この権限により、需要の高い専門家に対して競争力のある報酬体系を提供することができます。さらに、公平性と包括性を拡大する多様で有能な労働力は、永続的な目標です。熟練した武官を採用し維持するために、議会がCMFを支援するために柔軟な昇進と任用手段を提供する権限をサービスに付与したことにも感謝します。
Partnerships with academia will aid in engaging the future cyber workforce and enriching the strategic dialogue about cyber. Our new Academic Engagement network began last year and comprises 93 institutions, including 10 minority-serving institutions, across 40 states and the District of Columbia, as of March 25, 2022. Interest in partnering with USCYBERCOM is strong and growing. 学界とのパートナーシップは、将来のサイバー人材に関心を持たせ、サイバーに関する戦略的対話を充実させるのに役立つだろう。私たちの新しいアカデミック・エンゲージメント・ネットワークは昨年始まり、2022年3月25日現在、40の州とコロンビア特別区にまたがる93の機関(10の少数民族支援機関を含む)で構成されています。USCYBERCOMとの提携に対する関心は高く、高まっています。
Training and proficiency are improving through our mission simulation capabilities, particularly the Persistent Cyber Training Environment (PCTE). The PCTE is helping us mature cyber operations tradecraft, enhance individual proficiencies and enable faster attainment of team certification and collective training in maneuvers such as Exercise CYBER FLAG. ミッション・シミュレーション機能、特に持続的サイバー訓練環境 (Persistent Cyber Training Environment: PCTE) により、訓練と熟練度は向上しています。PCTEはサイバー作戦の技巧を成熟させ、個人の熟練度を高め、チーム認定やサイバーフラッグ演習のような演習での集団訓練の早期達成を可能にしています。
The Reserve Component is critical to protecting the nation in cyberspace. As a result of the partnership between USCYBERCOM and the National Guard Bureau during the 2020 election, Guard units could rapidly share information on malicious cyber activity with state and local authorities. Members of the National Guard and Reserve often have private-sector experience in fields of strong interest to USCYBERCOM. In addition, the ability of the National Guard and Reserve to hire cyber talent has been especially helpful in retaining the contributions of Service members who decide to leave active duty upon completion of their commitment; members can transfer to a part-time status. 予備役部隊は、サイバースペースで国家を保護するために不可欠です。2020年の選挙期間中にUSCYBERCOMと州兵局が協力した結果、州兵部隊は悪質なサイバー活動に関する情報を州や地元当局と迅速に共有することができるようになりました。州兵や予備役の隊員は、USCYBERCOMが強い関心を寄せる分野で、多くの場合、民間企業での経験を積んでいます。さらに、国家警備隊と予備役がサイバー人材を雇用できることは、任務完了後に現役を退くことを決めた隊員の貢献を維持する上で特に役立っています。隊員は、パートタイムに移行することができます。
Our final priority is guiding the Department’s investments in cyberspace capability through the Joint Cyber Warfighting Architecture (JCWA) and Enhanced Budget Control. JCWA consolidates and standardizes the Department’s cyberspace operations capabilities, enabling us to integrate data from missions and monitoring to help commanders gauge risk, make timely decisions and act against threats at speed and scale. The Department is building JCWA and advancing the Cyber Mission Force’s capabilities for conducting the full spectrum of cyberspace operations. 私たちの最後の優先事項は、統合サイバー戦アーキテクチャ (Joint Cyber Warfighting Architecture: JCWA) と より高度化した予算統制を通して、サイバースペース能力への省の投資を指導することです。JCWA は、米国防省のサイバースペース運用能力を統合・標準化し、ミッションや監視からのデータを統合して、指揮官がリスクを測り、タイムリーな判断を下し、脅威に対して迅速かつ大規模に行動できるようにするものです。防衛省は、JCWAを構築し、サイバースペース作戦の全領域を実施するためのサイバー・ミッション・フォースの能力を向上させているのです。
USCYBERCOM is grateful to this Committee and Congress for granting us Enhanced Budget Control over resources dedicated to the Cyber Mission Force. With this authority, USCYBERCOM will improve direction, control and synchronization of investments for cyber operations across the Department of Defense. USCYBERCOM は、当委員会と議会がサイバー・ミッション・フォース専用の資源について予算統制強化の権限を与えてくれたことに感謝しています。この権限により、USCYBERCOMは国防総省全体のサイバー作戦のための投資の方向性、統制、同期化を改善することができるでしょう。
Conclusion 結論
U.S. Cyber Command views 2022 as a year of significant opportunity for building our capabilities against the five priorities above. Our overarching goal is to build a Command that is ready and capable at providing options and conducting operations in defense of the nation with wider partnerships and world-class talent, all linked through the Joint Cyber Warfighting Architecture. These elements will be essential to our nation’s security as it faces an array of adversaries who are expanding the scope, scale and sophistication of their operations against us, and will be critical to developing the right mission posture to meet the unprecedented challenge of China. 米国サイバー軍は、2022年を上記の5つの優先事項に対する能力を構築するための重要なチャンスの年と見なしています。私たちの包括的な目標は、選択肢を提供し、国家防衛のための作戦を実施する準備ができていて能力がある司令部を、より広いパートナーシップと世界クラスの人材で、統合サイバー戦争遂行アーキテクチャを通じてすべてリンクされている状態で構築することです。これらの要素は、私たちに対する作戦の範囲、規模、精巧さを拡大しつつある一連の敵対者に直面する我が国の安全保障にとって不可欠であり、中国という前例のない挑戦に対応するための正しい任務態勢を構築する上で極めて重要です。
The men and women at U.S. Cyber Command are grateful for the support this Committee has given to our Command. We can only succeed with a strong partnership with Congress. Thank you, and now I look forward to your questions. 米サイバー軍の職員は、本委員会が私たちの司令部に与えてくれた支援に感謝しています。私たちは、議会との強力なパートナーシップによってのみ成功することができます。ありがとうございました。では、質問をお待ちしています。

 

さて、どのような質疑があったのでしょうかね。。。

 

Fig1_20220406060701

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.31 米国 サイバー司令部の2021年

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.12.07 米国 国防省 23カ国が参加したサイバー防御演習 CYBER FLAG 21-1

・2021.11.20 米国 米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.10.15 米国 国家安全保障会議ランサムウェア対策イニシアチブ

・2021.08.15 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.03.27 米国 連邦上院軍事委員会 公聴会 特殊作戦コマンドとサイバーコマンド

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) (国防授権法)成立 サイバー関係も・・・

・2020.12.08 米国サイバーコマンドとオーストラリア国防軍情報戦部門がサイバー訓練プラットフォームの共同開発契約を締結

・2020.12.04 米軍とエストニアが共同作戦を通じてサイバー領域でのパートナーシップを強化

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.31 米国 CISA, FBIとCNMF(国防省ミッションフォース)がComRATの新しい亜種を特定したことを公表していますね。。。

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.09.10 米国サイバー軍司令官&国家安全保障局長官を務める中曽根氏による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事

・2020.08.28 北朝鮮によるサイバー銀行強盗についての警告(BeagleBoyz Robbing Banks)

・2020.06.17 今年の米軍のCyber Flag exerciseは、新しいトレーニング環境で行われる。。。

・2020.05.25 10歳になったUSのCyber Command

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

 

10年以上前...確か、最初は空有軍にサイバースペース防衛司令部ができたんですよね。。。

・2010.05.25 米国防総省 サイバー司令部を設立

・2006.11.06 米空軍 サイバー空間防衛司令部

 

| | Comments (0)

2022.04.05

米国 国務省にサイバースペース・デジタル政策局を設置

こんにちは、丸山満彦です。

昨年10月の設置決定の公表から約半年、国務省にサイバースペース・デジタル政策局が設置されたとアナウンスがありましたね。。。

これは、サイバースペース、デジタル技術、デジタル政策に関連する国家安全保障上の課題、経済的機会、米国の価値観への影響に取り組む局で、

  1. 国際サイバースペースセキュリティ
  2. 国際情報通信政策
  3. デジタルフリーダム

の3つの政策ユニットが設置されたようですね。。。

U.S. Department of State

・2022.04.04 Establishment of the Bureau of Cyberspace and Digital Policy

Establishment of the Bureau of Cyberspace and Digital Policy 「サイバースペース・デジタル政策局」の設置について
The Department is pleased to announce that the Bureau of Cyberspace and Digital Policy (CDP) began operations today. A key piece of Secretary Blinken’s modernization agenda, the CDP bureau will address the national security challenges, economic opportunities, and implications for U.S. values associated with cyberspace, digital technologies, and digital policy. 本日、サイバースペース・デジタル政策局 (CDP) が業務を開始したことをお知らせします。ブリンケン長官の近代化アジェンダの重要な部分であるCDP局は、サイバー空間、デジタル技術、デジタル政策に関連する国家安全保障上の課題、経済的機会、米国の価値観への影響に取り組むことになります。
The CDP bureau includes three policy units: International Cyberspace Security, International Information and Communications Policy, and Digital Freedom. Ultimately, the bureau will be led by a Senate-confirmed Ambassador-at-Large. Starting today, Jennifer Bachus, a career member of the Senior Foreign Service, is serving as Principal Deputy Assistant Secretary for the CDP bureau. PDAS Bachus will serve as Senior Bureau Official until an Ambassador-at-Large is confirmed. Michele Markoff is serving as Acting Deputy Assistant Secretary for International Cyberspace Security, Stephen Anderson is serving as Acting Deputy Assistant Secretary for International Information and Communications Policy, and Blake Peterson is serving as Acting Digital Freedom Coordinator. CDP局の3つの政策ユニット:CDP局には、国際サイバースペースセキュリティ、国際情報通信政策、デジタルフリーダムの3つの政策ユニットがあります。最終的には、上院で承認された特命全権大使がこの局を率いることになる。本日より、上級外交官のキャリアを持つジェニファー・バッカス氏がCDP局の首席副次官補として勤務することになりました。バッカス副長官は、特命全権大使が確定するまで上級局員として勤務する。Michele Markoffは国際サイバースペースセキュリティ担当副次官補代理、Stephen Andersonは国際情報通信政策担当副次官補代理、Blake Petersonはデジタルフリーダムコーディネーター代理を務めています。
The Department appreciates the service and collaboration of all who will work with and within the CDP bureau in the coming months and years to empower it to achieve its vital mission. 同省は、CDP局がその重要な使命を達成できるよう、今後数カ月から数年間、同局と協力するすべての人々の奉仕と協力に感謝している。

 

・2022.04.04 Bureau of Cyberspace and Digital Policy

Bureau of Cyberspace and Digital Policy サイバースペース・デジタル政策局
Our Mission 私たちの使命
The Bureau of Cyberspace and Digital Policy leads and coordinates the Department’s work on cyberspace and digital diplomacy to encourage responsible state behavior in cyberspace and advance policies that protect the integrity and security of the infrastructure of the Internet, serve U.S. interests, promote competitiveness, and uphold democratic values. The Bureau addresses the national security challenges, economic opportunities, and values considerations presented by cyberspace, digital technologies, and digital policy and promotes standards and norms that are fair, transparent, and support our values. サイバースペース・デジタル政策局は、サイバー空間における責任ある国家の行動を奨励し、インターネットのインフラの完全性とセキュリティを保護し、米国の利益に貢献し、競争力を促進し、民主的価値を支持する政策を推進するために、サイバースペースとデジタル外交に関する省の活動を指導・調整します。同局は、サイバースペース、デジタル技術、デジタル政策がもたらす国家安全保障上の課題、経済的機会、価値観の考察に取り組み、公正かつ透明で、我々の価値を支える基準や規範を推進しています。

 

昨年10月の公表については、こちらを参考に。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.27 米国 国務省配下にサイバースペース・デジタル政策局を新設?

 

Fig1_20211027042201

 

 

 

| | Comments (0)

SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)

こんにちは、丸山満彦です。

SECの審査項目は民主党の重点政策項目に連動しますから、気候変動リスク関連やESG等は引き続きですね。。。COVID-19時代になってサイバー攻撃、例えばランサムウェアが増えていることもあり、引き続きサイバーセキュリティ・情報セキュリティ関係は含まれていますね。。。そして、バイデン政権が力を入れることにした暗号資産も重点項目になっていますね。。。

重点項目は次の5つですね。。

A. Private Funds A. プライベート・ファンド
B. Environmental, Social, and Governance (ESG) Investing B. 環境・社会・ガバナンス (ESG) 投資
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS C. 行動基準:ベスト・インタレスト規制、受託者責任、フォームCRS
D. Information Security and Operational Resiliency D. 情報セキュリティと業務回復力
E. Emerging Technologies and Crypto-Assets E. 先端技術と暗号資産

 

● SEC

・2021.03.31(press) SEC Division of Examinations Announces 2022 Examination Priorities

Enhances Focus on Private Funds, ESG, and Operational Resiliency

「情報セキュリティと業務回復力」と「先端技術と暗号資産」の部分。。。

Information Security and Operational Resiliency – The Division will review broker-dealers’, RIAs’, and other registrants’ practices to prevent interruptions to mission-critical services and to protect investor information, records, and assets. Examinations will continue to review whether firms have taken appropriate measures to safeguard customer accounts and prevent account intrusions; oversee vendors and service providers; address malicious email activities, such as phishing or account intrusions; respond to incidents, including those related to ransomware attacks; identify and detect red flags related to identity theft; and manage operational risk as a result of a dispersed workforce. In addition, the Division will again be reviewing registrants’ business continuity and disaster recovery plans, with particular focus on the impact of climate risk and substantial disruptions to normal business operations. 情報セキュリティと業務回復力 - 当局は、ブローカー・ディーラー、RIA、およびその他の登録者の、基幹業務の中断を防ぎ、投資家の情報、記録、資産を保護するための業務慣行を審査します。審査は、会社が顧客口座の保護と口座侵入の防止、ベンダーやサービス・プロバイダーの監督、フィッシングや口座侵入などの悪質な電子メールへの対処、ランサムウェア攻撃に関するものを含む事故への対応、個人情報窃盗に関するレッドフラグの特定と検出、従業員の分散による運用リスク管理などのために適切な措置を講じているかどうかを引き続き審査します。さらに、当局は、気候変動リスクと通常の事業運営への大幅な中断の影響に特に重点を置いて、登録者の事業継続と災害復旧計画を再度見直す予定です。
Emerging Technologies and Crypto-Assets – The Division will conduct examinations of broker-dealers and RIAs that are using emerging financial technologies to review whether the unique risks these activities present were considered by the firms when designing their regulatory compliance programs. RIA and broker-dealer examinations will focus on firms that are, or claim to be, offering new products and services or employing new practices to assess whether operations and controls in place are consistent with disclosures made and the standard of conduct owed to investors and other regulatory obligations; advice and recommendations, including by algorithms, are consistent with investors’ investment strategies and the standard of conduct owed to such investors; and controls take into account the unique risks associated with such practices. Examinations of market participants engaged with crypto-assets will continue to review the custody arrangements for such assets and will assess the offer, sale, recommendation, advice, and trading of crypto-assets. 新興技術と暗号資産 - 当局は、先端の金融技術を利用しているブローカーディーラーとRIAに対して調査を行い、これらの活動がもたらす固有のリスクが、規制遵守プログラムを設計する際に考慮されていたかどうかを検証します。RIAやブローカー・ディーラーの審査では、新しい商品やサービスを提供している、あるいはそう主張している会社に焦点を当て、その業務や管理が、開示された内容や投資家に負うべき行動基準、その他の規制義務と一致しているか、アルゴリズムによるものも含めて助言や推奨が投資家の投資戦略やそうした投資家に負うべき行動基準と一致しているか、そうした業務に関連する独自のリスクが管理者によって考慮されているかが審査されることになります。暗号資産に関わる市場参加者の審査では、引き続き当該資産のカストディの取り決めを確認し、暗号資産の提供、販売、推奨、助言、取引について評価する予定です。

 

・[PDF] 2022 EXAMINATION PRIORITIES - Division of Examinations

20220405-111001

Division of Examinations’ Leadership Message 審査局長のメッセージ
Fiscal Year 2021 2021年度
A Word About “Compliance” コンプライアンス について
Final Notes 最終事項
DIVISION OF EXAMINATIONS – 2022 EXAMINATION PRIORITIES 審査部 - 2022年審査の優先順位
I. Significant Focus Areas I. 重要な重点分野
A. Private Funds A. プライベート・ファンド
B. Environmental, Social, and Governance (ESG) Investing B. 環境・社会・ガバナンス (ESG) 投資
C. Standards of Conduct: Regulation Best Interest, Fiduciary Duty, and Form CRS C. 行動基準:ベスト・インタレスト規制、受託者責任、フォームCRS
D. Information Security and Operational Resiliency D. 情報セキュリティとオ運用の強靭性
E. Emerging Technologies and Crypto-Assets E. 先端技術と暗号資産
II. Investment Adviser and Investment Company Examination Program II. 投資顧問・投資会社審査プログラム
A. Registered Investment Advisers A. 登録投資顧問会社
B. Registered Investment Companies, Including Mutual Funds and ETFs B. 投資信託、ETFを含む登録投資会社
III. Broker-Dealer and Exchange Examination Program III. ブローカー・ディーラーおよび取引所審査プログラム
A. Microcap, Municipal, Fixed Income, and Over-The-Counter Securities A. マイクロキャップ、地方債、フィクスト・インカム、店頭売買有価証券
B. Broker-Dealer Operations B. ブローカー・ディーラー業務
C. National Securities Exchanges C. 全国証券取引所
D. Security-Based Swap Dealers (SBSDs) D. セキュリティ・ベース・スワップ・ディーラー(SBSDs)
E. Municipal Advisors E. 自治体アドバイザー
F. Transfer Agents F. 名義書換代理人
IV. Clearance and Settlement Examination Program IV. 清算・決済審査プログラム
V. Regulation Systems Compliance and Integrity V. 規制システムのコンプライアンスとインテグリティ
VI. FINRA VI. FINRA
VII. MSRB VII. MSRB
VIII. The London Inter-Bank Offered Rate (LIBOR) Transition VIII. ロンドン銀行間取引金利(LIBOR)の変遷
IX. Anti-Money Laundering IX. マネーロンダリング対策
X. Conclusion X. 結論

 

 

過去分

2021年度 プレス [PDF]
2020年度 プレス [PDF]
2019年度 プレス [PDF]
2018年度 プレス [PDF]
2017年度 プレス [PDF]

 


まるちゃんの情報セキュリティ気まぐれ日記

・2021.03.12 SECが2021年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。at 2021.03.03

 


この部分については、

D. Information Security and Operational Resiliency D. 情報セキュリティと業務回復力
E. Emerging Technologies and Crypto-Assets E. 先端技術と暗号資産

こちらに。。。↓

 

Continue reading "SECが2022年度の審査強化項目を公表していますね。。。 引き続きサイバーセキュリティも含まれています。。。(2022.03.31)"

| | Comments (0)

NATO CCDCOE タリンペーパー第13号:平時のサイバーアトリビューションに関する証明基準の開発

こんにちは、丸山満彦です。

NATO CCDCOEに、タリンペーパー第13号:平時のサイバーアトリビューションに関する証明基準の開発が掲載されていますね。。。サイバー攻撃を受けたら、誰から?というのは普通の感覚ですが、それを確かめるのは難しいですね。。。

サイバー攻撃は誰が行っているのかを証明するための基準の合意ができると素晴らしいと思うもののなかなか難しいのは理解できます。

この著者は、アトリビューションについて、

  • 技術的
  • 政治的
  • 法的

に分けて議論する必要があると考えているようです。確かに中国のサーバーから攻撃を受けていることが明確になったとしても、それを中国政府職員のハッカーが攻撃をしているといえるのかというと、それだけでは不十分でしょうし、、、この辺りは、サイバー攻撃とは何か、とか、色々と法的な観点からの検討も必要ですし、技術+法律の知識が必要となる領域ですね。。。

The NATO Cooperative Cyber Defence Centre of Excellence: CCDCOE

・2022.04 Tallinn Paper: Developing Applicable Standards of Proof for Peacetime Cyber Attribution

Tallinn Paper: Developing Applicable Standards of Proof for Peacetime Cyber Attribution タリン・ペーパー 平時のサイバーアトリビューションに関する証明基準の開発
In order to take countermeasures properly under customary international law, states must attribute the triggering internationally wrongful act to the perpetrator state accurately. International law tolerates no mistake or error in such attributions, in essence holding states to a standard of proof of “beyond reasonable doubt” for a countermeasure to be lawful. However, in the potentially more consequential context of self-defence — in which, unlike with countermeasures, military force is authorised — a notably less stringent standard of “reasonableness” applies and errors in attribution are accepted. The author proposes that standards of proof applicable to peacetime cyber attribution should be more stringent as the severity of the action in response increases. According to the new Tallinn Paper, a more balanced approach would subject attribution of internationally wrongful cyber operations giving rise to countermeasures to a preponderance of the evidence standard. At the same time, any response taken by a state in self-defence should require attribution based on clear and convincing evidence before it is deemed “reasonable”. 国際慣習法の下で適切に対抗措置を講じるためには、国家は、国際的に不正な行為の引き金となったものを、加害国に正確に帰属させなければなりません。国際法は、このような帰属の誤りや間違いを許しません。要するに、対抗措置が合法であるためには、「合理的疑いを越えて」という証明基準を国家に課しているのです。しかし、より大きな影響を及ぼす可能性のある自衛の文脈では、対抗措置とは異なり、軍事力が認められているため、「合理性」の基準はかなり緩やかであり、帰属の誤りは容認されます。著者は、平時のサイバーアトリビューションに適用される証明基準は、対応する行為の重大性が増すほど、より厳格になるべきだと提案しています。この新しいタリンペーパーによれば、よりバランスの取れたアプローチは、対抗措置の原因となる国際的に不正なサイバー操作の帰属を証拠の優越基準に委ねるというものです。同時に、国家が自衛のために行う対応は、「合理的」と判断される前に、明確かつ説得力のある証拠に基づく帰属を必要とするはずです。

 

・[PDF] Tallinn Paper: Developing Applicable Standards of Proof for Peacetime Cyber Attribution

20220405-44740

 


米国は、中国だ、ロシアだとかなり名前を上げてきていますし(中国はそんなことはないと反論することもあります)、具体的に犯人を起訴、逮捕するケースもあります。。。最近は中国やロシアもそういうことを公開し始めていますね。。。

日本でも「令和3年版警察白書」で、中国からのサイバー攻撃を受けたというメモ第1部 特集·トピックス - 特集2 サイバー空間の安全の確保 P20)があります。。。

20220405-45807

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.01 ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

・2022.03.30 中国 国家サイバースペース管理局 我が国のインターネットは海外からのサイバー攻撃に遭っています。。。(2022.03.11)

 

| | Comments (0)

2022.04.04

防衛装備庁 防衛産業サイバーセキュリティ基準の強化について

こんにちは、丸山満彦です。

防衛装備庁が「防衛産業サイバーセキュリティ基準の強化について」を発表していますね。。。

令和5年度(2023年度)の契約から適用することになっていいますね。。。「システム換装等を考慮し一定の移行期間(最長5年間)を設定いたしますが、サイバー情勢も踏まえ、できるだけ早期の導入をお願いいたします。」とのことです。。。

防衛産業の育成が防衛力の強化につながる面もあるので、一定の距離感を持った防衛産業との協力体制というのが重要なんですが、そのあたりが十分に考慮されてのことだと良いのですけどね。。。

 

防衛装備庁

・2022.04.01 [PDF] 防衛産業サイバーセキュリティ基準の強化について


防衛産業サイバーセキュリティ基準の強化について

防衛省との契約企業におけるサイバーセキュリティ対策として「防衛産業サイバーセキュリティ基準」を新たに整備いたしました。
近年、国家の関与が疑われるサイバー攻撃が我が国産業に対して行われ、また、防衛産業において安全保障に影響を及ぼすおそれのあるデータが流出した可能性がある事案が発生するなど、サイバー攻撃のリスクは深刻化しています。
こうしたサイバー攻撃は、ネットワーク内部へ入り込む手段等が多様化・高度化していることを背景としており、防衛省の対策としては、先行する米国の取り組みを参考に、米国国防省が契約企業に義務付けている基準と同水準の管理策を盛り込んだ新たな情報セキュリティ基準(防衛産業サイバーセキュリティ基準)を制定することといたしました。
この新たな基準は、防衛省との契約に基づき保護すべき情報等を扱っている企業全てに適用されることとしており、速やかに関係企業において必要なサイバーセキュリティ対策が講じられるよう取り組んでまいります。

企業からの相談に対応するため、サイバーセキュリティに関する総合窓口を設置いたします。詳しくは、防衛装備庁公式ホームページ内「トピックス」に掲載しておりますのでご確認ください。

https://www.mod.go.jp/atla/cybersecurity.html


 

基準については、こちら・・・

防衛産業サイバーセキュリティ基準の整備について

・[PDF] 装備品等及び役務の調達における情報セキュリティの確保に関する特約条項

・[PDF] 装備品等及び役務の調達における情報セキュリティ基準 [Downloaded]

20220404-162718

 

・[PDF] 秘密保全対策ガイドライン

 

装備品等及び役務の調達における情報セキュリティ基準とISO/IEC 27001との比較表があった方が良いですよね。。。

さて、、、、ISO/IEC 27001と米国国防省基準の比較の図がありますが、間違っていますね。。。(ISO/IEC 27001との対比表を作れば自然と訂正されるとは思いますが。。。)

 

Img2022

 

誰が吹き込んで作ったんでしょうかね。。。

ISO/IEC 27001:2013が「検知」「対応」「復旧」が対応していないような図になっていますが、ありますよね。。。

NISTのCSFの資料を見れば明らかだと思います。。。(どこかのタイミングで訂正をしたほうが良いですね。。。)

● NIST -CYBERSECURITY FRAMEWORK - Framework Documents

・[xlsx] Framework V1.1 Core

 


 

まるちゃんの情報セキュリティ気まぐれ日記

CMMC関係...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.10 米国 CMMC Ver.2.0

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.05.01 Cybersecurity成熟度モデル認証制度は普及するか、しないか・・・

・2020.04.19 COVID-19によりDODのサイバーセキュリティ認証(CMMC)の開始が遅れる?

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

 

 

| | Comments (2)

米国 デジタル・ドルができる? H.R. 7231 電子通貨および安全なハードウェア(ECASH)法案

こんにちは、丸山満彦です。

米国でデジタル・ドル、つまりドルのデジタルキャッシュを作る法案が下院に提出されたようです。基本的には現物通貨と同様なことをデジタルに置き換えるようなもので、法定通貨(財務省が作成し流通させる無記名式の通貨)、金融包摂(幅広い人が幅広い局面で利用できるようにする。個人間取引、オフライン取引等もできなければならない)、プライバシー保護(通貨プライバシー委員会によるプライバシー保護の監督等)、消費者保護保護(手数料禁止、プライバシー保護等の情報開示)、マネーロンダリング禁止、透明性・監視などについての取り決めが行われるような法案になっていますね。。。

● Congress

・提出者:Rep. Lynch, Stephen F. [D-MA-8]   下院議員[wikipedia]

H.R.7231 - To direct the Secretary of the Treasury to develop and pilot digital dollar technologies that replicate the privacy-respecting features of physical cash

 

プレスリリース

Stephen F. Lynch

・2022.03.28 Rep. Lynch Introduces Legislation to Develop Electronic Version of U.S. Dollar

Rep. Lynch Introduces Legislation to Develop Electronic Version of U.S. Dollar リンチ議員、電子版米ドルを開発する法案を提出
Boston, MA – Today, U.S. Representative Stephen F. Lynch (MA-08), Chairman of the Task Force on Financial Technology, introduced H.R. 7231, the Electronic Currency and Secure Hardware (ECASH) Act, which would develop an electronic version of the U.S. Dollar for use by the American public.  This innovative legislation would promote greater financial inclusion, maximize consumer protection and data privacy, and advance U.S. efforts to develop and regulate digital assets.  U.S. Representatives Jesús G. “Chuy” García (IL-04), Rashida Tlaib (MI-13), Ayanna Pressley (MA-07) and Alma Adams (NC-12) of the Committee on Financial Services are original cosponsors of the bill.  マサチューセッツ州ボストン - 本日、金融技術に関するタスクフォースの議長であるスティーブン F. リンチ米国下院議員(マサチューセッツ州08)は、米国民が使用する電子版米ドルを開発する H.R. 7231, the Electronic Currency and Secure Hardware (ECASH) Act を提案しました。  この革新的な法案は、金融包摂を促進し、消費者保護とデータプライバシーを最大化し、デジタル資産の開発と規制に関する米国の取り組みを前進させるものです。  金融サービス委員会のヘスス・ガルシア(IL-04), Rashida Tlaib (MI-13), アヤナ・プレスリー(MA-07), アルマ・アダムス(NC-12) 各米下院議員は、この法案の原案共同提案者となっています。    
“As digital payment and currency technologies continue to rapidly expand and with Russia, China, and over 90 countries worldwide already researching and launching some form of Central Bank Digital Currency, it is absolutely critical for the U.S. to remain a world leader in the development and regulation of digital currency and other digital assets,” said Rep. Lynch. “By establishing a pilot program within Treasury for the development of an electronic U.S. Dollar, the ECASH Act will greatly complement and advance ongoing efforts undertaken by the Federal Reserve and President Biden to examine potential design and deployment options for a digital dollar.  Importantly, this pilot program will also preserve a role in our financial system for smaller anonymous cash-like transactions which are currently transacted in physical dollars and which have seen a rapid decline in use.” リンチ議員は以下のように述べました。「デジタル決済・通貨技術が急速に拡大し、ロシア、中国をはじめ世界90カ国以上がすでに何らかの形で中央銀行デジタル通貨を研究・開始している中、米国がデジタル通貨やその他のデジタル資産の開発・規制で世界のリーダーであり続けることが絶対に重要です。電子版米ドルを開発するためのパイロットプログラムを財務省内に設立することで、ECASH 法は、デジタル・ドルの設計と展開の可能性を検討するために連邦準備制度理事会とバイデン大統領が行っている取り組みを大幅に補完し、前進させることになります。重要なのは、この試験的プログラムは、現在物理的なドルで取引され、その利用が急速に減少している、より小さな匿名の現金に似た取引の金融システムにおける役割を維持することでもあります。」
“My neighborhood in Chicago is home to one of the strongest immigrant business districts in the country, and it couldn’t run without cash, “ said Congressman Jesús “Chuy” García (IL-04). Cash remains our strongest tool to promote financial inclusion while preserving privacy and security, and new digital tools should emulate it– not replace it.  Our government can provide digital assets that are both secure and accessible, and this bill is an important step in that direction.” ヘスス・ガルシア下院議員(IL-04)は、以下のように述べました。「私の住むシカゴは、全米で最も強力な移民のビジネス街であり、現金なしでは運営できません。 現金はプライバシーとセキュリティを守りながら金融包摂を促進する最強のツールであり、新しいデジタルツールはそれに代わるものではなく、それを模倣するものであるべきです。  私たちの政府は、安全でアクセスしやすいデジタル資産を提供することができ、この法案はその方向への重要な一歩となります。」
 “Our current financial system has too often served as a barrier for Black, brown, and low-income communities to build and sustain wealth,” said Congresswoman Pressley, Vice Chair for the Subcommittee on Consumer Protection and Financial Institutions. “Ensuring economic justice means advancing innovative solutions that will promote financial inclusion and trustworthiness while protecting consumer safety and privacy. I am proud to co-sponsor the ECASH Act to ensure we have strong consumer protections and improve financial access and equity.”  消費者保護・金融機関小委員会の副委員長を務めるプレスリー議員は、以下のように述べました。「現在の金融システムは、黒人や褐色人種、低所得者層が富を築き、維持するための障壁となることがあまりにも多いです。経済的公正を確保することは、消費者の安全とプライバシーを守りつつ、金融包摂と信用を促進する革新的な解決策を進めることを意味します。私は、強力な消費者保護を確保し、金融アクセスと公平性を改善するために、ECASH Actを共同提案できることを誇りに思います。」
In January of 2022, the Federal Reserve released its white paper on a potential U.S. central bank digital currency and other digital payment methods – underscoring the importance of exploring a wide variety of design options.  More recently, President Biden issued his Executive Order on Ensuring Responsible Development of Digital Assets – providing that the Administration places the “highest urgency on research and development efforts” into digital dollar design, including assessments of financial inclusion, possible benefits and risks for consumers, existing payment systems, and national security.  2022年1月、米連邦準備制度理事会は、米国の中央銀行デジタル通貨およびその他のデジタル決済手段の可能性に関する白書を発表し、多様な設計オプションを検討することの重要性を強調しました。さらに最近、バイデン大統領は、デジタル資産の責任ある開発の確保に関する大統領令を発表し、金融包摂、消費者にとっての可能な利益とリスク、既存の決済システム、国家安全保障の評価を含め、デジタルドルの設計に関する「研究開発の努力を最も緊急に行う」ことを規定しています。 
In line with these guidance and directives, the ECASH Act would establish a two-stage pilot program led by the U.S. Department of the Treasury to develop and issue an electronic version of the U.S. Dollar that promotes consumer safety and privacy, financial inclusion and equity, and anti-money laundering and counterterrorism compliance.  In order to maximize consumer protection and data privacy, the bill requires Treasury to incorporate key security and functionality safeguards into e-cash that are generally associated with the use of physical currency – including anonymity, privacy, and minimal generation of data from transactions.  In the interest of expanding financial inclusion, e-cash must also be interoperable with existing financial institution and payment provider systems, capable of executing peer-to-peer offline transactions, and distributed directly to the public via secured hardware devices.  Moreover, the bill specifies that e-cash would be regulated similar to physical currency and subject to existing anti-money laundering, counterterrorism, Know Your Customer, and transaction reporting requirements and regulation.  これらの指針や指令に沿って、ECASH法は、消費者の安全とプライバシー、金融包摂と公平性、マネーロンダリング防止とテロ対策の遵守を促進する電子版米ドルを開発・発行するために、米国財務省主導による2段階の試験プログラムを設立します。  消費者保護とデータプライバシーを最大化するため、法案は財務省に対し、匿名性、プライバシー、取引データの最小化など、一般的に現物通貨の使用に関連する主要なセキュリティおよび機能的安全措置を電子通貨に組み込むよう求めている。  金融包摂を拡大するため、電子マネーには、既存の金融機関や決済業者のシステムとの相互運用性、ピアツーピアのオフライン取引の実行、安全なハードウェア機器による一般市民への直接配布も求められています。  さらに、この法案では、電子マネーが物理的な通貨と同様に規制され、既存のマネーロンダリング防止、テロ対策、Know Your Customer、取引報告の要件と規制の対象になることを明記しています。 
The ECASH Act has been endorsed by the following organizations and experts:  ECASH法は、以下の団体や専門家から支持されています。 
Americans for Financial Reform / Demand Progress: “We support the introduction of the ECASH act because it would offer a public option for digital payments that would improve financial inclusion and security for all Americans, especially those who've been left behind by the traditional financial system,” said Mark Hays, Senior Policy Analyst with Demand Progress and Americans for Financial Reform.  “The ECASH Act can also help ensure the introduction of a public digital dollar doesn’t come at the expense of our rights to privacy, and could forestall other digital payment schemes that might expand mass surveillance, not curtail it.” 金融改革のためのアメリカ人」/「デマンド・プログレス」:シニア政策アナリスト、マーク・ヘイズは以下のように述べています。 「ECASH法の導入は、すべてのアメリカ人、特に従来の金融システムから取り残された人々の金融包摂とセキュリティを改善するデジタル決済の公的選択肢を提供することになるため、我々はECASH法の導入を支持します。ECASH法は、公共のデジタル・ドルの導入が、我々のプライバシー権を犠牲にすることのないよう支援し、大衆監視を抑制するのではなく、拡大する可能性のある他のデジタル決済スキームを阻止することもできます。」
Rohan Grey, Assistant Professor of Law at Willamette University and Research Director of the Digital Fiat Currency Research Institute:  "The E-CASH Act is the world's first legislative proposal to create a digital dollar using secured hardware technology that replicates the privacy-respecting, peer-to-peer, and offline-capable features of physical currency,” said Grey.  “Until now, the conversation over CBDCs and cryptocurrencies has been divided between proponents of centralized and distributed ledger-based designs. By contrast, e-cash is unique in that it does not involve any common ledger whatsoever.” ウィラメット大学法学部准教授、デジタル不換紙幣研究所リサーチディレクター、ローハン・グレイ氏:彼は以下のように述べました。 「E-CASH法は、物理的な通貨のプライバシー尊重、ピアツーピア、オフライン対応の特徴を再現した、安全なハードウェア技術を用いたデジタル・ドルを創設する世界初の立法案です。これまで、CBDCや暗号通貨をめぐる議論は、中央集権型と分散型台帳型の支持者の間で分かれていました。これに対し、電子現金は、共通台帳を一切介さないという点でユニークです。」
Raúl Carrillo, Yale Law School; Director, Public Money Action "The E-CASH Act is the most critical component of a broader effort to ensure that the future financial system preserves the accessibility, privacy, and security of our day-to-day transactions,” said Carrillo.  “In a world of private payments technologies that do not sufficiently protect financial data, especially the data of people in poor and marginalized communities, this public innovation will set new standards for civil rights within the financial technology sector as a whole." イエール大学公共通貨法ディレクターのポール・カリロは次のように述べました。「E-CASH法は、将来の金融システムが我々の日常的な取引のアクセス性、プライバシー、セキュリティを維持することを保証するための幅広い努力の最も重要な要素です" Carrilloは述べています。  「金融データ、特に貧困層や社会から疎外された人々のデータを十分に保護しない民間の決済技術の世界において、この公共的な革新は、金融技術分野全体における公民権の新しい基準を設定することになるでしょう。」
Action Center on Race and the Economy アクション・センター・オン・レース・アンド・エコノミー
Click here for a fact sheet on the bill.  ・法案のファクトシート 
Click here for the bill text.  ・法案本文
As Chairman of the Task Force on Financial Technology, Rep. Lynch has prioritized oversight of the development of a digital dollar: リンチ議員は、金融技術に関するタスクフォースの議長として、デジタル・ドルの開発に対する監視を優先してきました。
In June of 2021, Chairman Lynch held a hearing entitled, “Digitizing the Dollar: Investigating the Technological Infrastructure, Privacy, and Financial Inclusion Implications of Central Bank Digital Currencies.”  2021年6月 リンチ委員長:「ドルのデジタル化:中央銀行デジタル通貨の技術的インフラ、プライバシー、金融包摂の影響を調査」と題する公聴会を開催しました。
In July of 2021, Chairman Lynch participated in a Financial Services Committee hearing during which he underscored to Chairman of the Federal Reserve Board of Governors Jerome H. Powell the importance of examining U.S. central bank digital currency given continuing CBDC advancements made by countries worldwide.  2021年7月 リンチ委員長は金融サービス委員会の公聴会に参加し、パウエルFRB議長に対し、世界各国でCBDCの進歩が続いていることから、米国の中央銀行デジタル通貨を調査することの重要性を強調しました。 
In July of 2021, Chairman Lynch participated in a hearing held in the National Security, International Development and Monetary Policy Subcommittee during which he asked digital asset, economic, and national security experts about the national security impact of China’s development of the Digital Yuan.  2021年7月 リンチ委員長は国家安全保障・国際開発・金融政策小委員会で開かれた公聴会に参加し、デジタル資産、経済、国家安全保障の専門家に、中国のデジタル元開発による国家安全保障への影響について質問しました。  
In March of 2022, Chairman Lynch participated in a Financial Services Committee hearing during which he urged Chair Pro Tempore Jerome H. Powell of the Federal Reserve to collaborate with Congress and Treasury on exploring digital dollar architecture alternatives.  2022年3月 リンチ委員長は金融サービス委員会の公聴会に参加し、パウエル臨時議長に対して、デジタル・ドルのアーキテクチャの代替案を探るために議会と財務省が協力するよう促しました。 

 

ファクトシート

・[PDF] H.R. 7231, the Electronic Currency and Secure Hardware (ECASH) Act

H.R. 7231, the Electronic Currency and Secure Hardware (ECASH) Act H.R. 7231:電子通貨および安全なハードウェア(ECASH)法(Electronic Currency and Secure Hardware Act)
SUMMARY 概要
In view of the continued expansion of digital payment and currency technologies and in line with efforts undertaken by the Federal Reserve and Biden Administration to explore diverse digital dollar designs and deployment options, the Electronic Currency and Secure Hardware (ECASH) Act directs the Secretary of the Treasury to develop and issue an electronic version of the U.S. Dollar (e-cash) for use by the American public. デジタル決済および通貨技術の継続的な拡大を考慮し、また、デジタル・ドルの多様な設計および展開オプションを探求するために連邦準備制度およびバイデン政権によって行われた努力に沿って、電子通貨および安全なハードウェア(ECASH)法は、米国民による使用のための電子版米ドル(Eキャッシュ)の開発および発行を財務長官に指令する。
• To maximize consumer protection and data privacy, this innovative legislation requires Treasury to incorporate key security and functionality safeguards into the e-cash system that are generally associated with the use of physical currency – including anonymity, privacy, and minimal generation of data from transactions. ・消費者保護とデータプライバシーを最大化するため、この革新的な法律は、匿名性、プライバシー、取引からのデータ生成の最小化など、一般的に現物通貨の使用に関連する主要なセキュリティと機能安全策を電子キャッシュシステムに組み込むことを財務省に要求しています。
• In the interest of greater financial inclusion, the bill mandates that e-cash must be interoperable with existing financial institution and payment provider systems, capable of executing peer-to-peer offline transactions and distributed directly to the public via secured hardware devices. ・金融包摂の観点から、法案は、電子マネーが既存の金融機関や決済業者のシステムと相互運用でき、ピアツーピアのオフライン取引を実行でき、安全なハードウェア機器を介して一般市民に直接配布されなければならないことを義務付けています。
• To safeguard e-cash against illicit financial activities, the bill requires e-cash compliance with existing anti-money laundering and countering terrorist finance regimes. ・不正な金融活動から電子マネーを守るため、法案は、電子マネーが既存のマネーロンダリング防止およびテロ資金対策制度に準拠することを義務付けている。
ELECTRONIC CURRENCY INNOVATION PROGRAM 電子通貨イノベーション・プログラム
• Requires the Secretary of the Treasury to establish the Electronic Currency Innovation Program to direct, oversee, and coordinate the development and implementation of e-cash and enabling architecture, technologies, and platforms. ・財務長官に対し、電子通貨およびそれを可能にするアーキテクチャ、技術、プラットフォームの開発と実装を指揮、監督、調整するための電子通貨イノベーションプログラムを設立するよう要請している。
• Treasury is fully suited to lead e-cash development given that the agency already produces hard currency and successfully implements the U.S. Debit Card Program – including the Economic Impact Payment prepaid debit cards issued to Americans under the CARES Act. ・財務省はすでにハードカレンシーの製造を行っており、CARES法に基づき米国人に発行されたEconomic Impact Paymentプリペイドデビットカードを含む米国デビットカードプログラムの実施に成功していることから、電子通貨開発を主導するには十分適していると考えられます。
• The director of the ECIP is appointed by the President, with the advice and consent of the Senate, for a 5-year term. ・ECIPのディレクターは、上院の助言と同意を得て、大統領によって任命され、任期は5年です。
PILOT PROGRAM パイロット・プログラム(PILOT PROGRAM
• Requires Treasury to initiate a two-phase e-cash pilot program within 90 days of enactment – with the deployment of e-cash to the American public expected no later than 48 months after enactment. ・財務省は、制定後90日以内に2段階の電子現金化試験プログラムを開始し、遅くとも制定後48カ月以内に米国民に電子現金化を配備することを義務付けています。
• Phase 1: Consists of at least three “Proof-of-Concept” pilot programs designed to determine the initial feasibility of e-cash design and deployment. These pilots may be conducted in partnership with universities, non-profit organizations, insured financial institutions, financial technology firms, non-bank payment providers focused on expanding financial inclusion, and other entities. They may also be conducted in partnership with existing federal, state, or local government fund disbursement or payment program – including those that rely on the U.S. Debit Card Program. At least two of the technologies selected for the pilot program must be based on secured hardware-based architectures that do not involve any common or distributed ledger, at least one must include a stored-value magnetic or pin card option for storage and payment, and at least one must include a cell phone or SIM card option for storage and payment. ・フェーズ1: 少なくとも3つの「概念実証」パイロット・プログラムで構成され、電子マネーの設計と配備の初期実現可能性を判断することを目的としています。これらのパイロットは、大学、非営利団体、保険付き金融機関、金融技術企業、金融包摂の拡大を目指すノンバンク決済プロバイダ、およびその他の事業者とのパートナーシップで実施することができます。また、既存の連邦、州、または地方政府の資金分配または支払いプログラム(米国のデビットカードプログラムに依存するものを含む)とのパートナーシップで実施することもできます。パイロット・プログラムに選ばれた技術のうち少なくとも 2 つは、共通または分散型台帳を使用しない、安全なハードウェアベースのアーキテクチャに基づくものでなければならず、少なくとも 1 つは、保管と支払いに磁気またはピンカードのオプションを含む必要があり、少なくとも 1 つは、保管と支払いに携帯電話または SIM カードのオプションを含む必要があります。
• Phase 2: Consists of at least one large-scale “Field Test” pilot program deployment to a segment of the American public. These pilots may be conducted in partnership with federal, state, local, and foreign governments, international regulatory bodies, and the entities eligible to partner in Phase 1. ・フェーズ 2: 米国の一般市民を対象とした、少なくとも 1 つの大規模な 「フィールドテスト」 パイロットプログラムの展開から成る。これらのパイロットは、連邦政府、州政府、地方政府、外国政府、国際規制機関、および第 1 段階で提携する資格を有する団体と連携して実施することができる。
• Objectives: The general purpose of the pilot programs is to assess the viability and capacity of various e-cash technologies to incorporate the security and functionality safeguards that are generally associated with the use of physical currency; deploy rapidly and efficiently; and maintain compatibility with existing financial institution and payment provider systems. ・目的 パイロット・プログラムの一般的な目的は、さまざまな電子現金化技術の実行可能性と能力を評価し、一般的に現物通貨の使用に関連するセキュリティと機能性セーフガードを組み込み、迅速かつ効率的に展開し、既存の金融機関および支払プロバイダのシステムとの互換性を維持することです。
ELECTRONIC DOLLAR 電子ドル
The bill mandates several e-cash features, e.g.,: 法案は、いくつかのe-cashの特徴を義務づけている。
Legal Tender: E-cash must be legal tender, created and issued into circulation by Treasury, and payable to bearer. 法定通貨:電子マネーは、財務省が作成し流通させる法定通貨であり、かつ無記名式でなければなりません。
Financial Inclusion: E-cash must be distributed and used directly by the American public via widely available hardware devices. It must also be capable of peer-to-peer, offline transactions and interoperable with all existing financial institution and payment provider systems. Moreover, in developing e-cash, the Security must priorities technologies that promote universal access and usability – particularly as relating to individuals with disabilities, low-income individuals, and communities with limited access to internet or telecommunications networks. 金融包摂:電子マネーは、広く入手可能なハードウェア・デバイスを通じて、アメリカ国民に直接配布され、使用されなければならない。また、ピアツーピアのオフライン取引が可能で、既存のすべての金融機関や決済業者のシステムと相互運用できるものでなければならない。さらに、電子マネーの開発において、セキュリティは、特に障害のある人、低所得者、インターネットや通信ネットワークへのアクセスが限られているコミュニティに関する、普遍的なアクセスとユーザビリティを促進する技術を優先させなければならない。
Privacy: E-cash must incorporate key security and functionality safeguards that are generally associated with the use of physical currency – including anonymity, privacy, and minimal generation of data from transactions. E-cash must also be distributed through secure hardware devices that are secured locally via cryptographic encryption or other similar technologies and cannot contain personal identifiable information or be subject to surveillance, transactional data collection, or censorship-enabling features. Establishes a “Monetary Privacy Board” which will review decisions and actions of the ECIP and ensure that the actions are consistent with the Act and commit to preserving the privacy interest of individuals that use e-cash. Moreover, establishes a Monetary Privacy Board to review e- cash development actions and decisions and evaluate the extent to which they preserve individual privacy. プライバシー:電子マネーには、匿名性、プライバシー、取引データの最小化など、一般的に現物通貨の使用に関連する主要なセキュリティと機能性の保護措置が組み込まれていなければなりません。また、電子マネーは、暗号化またはその他の類似の技術によってローカルに保護された安全なハードウェアデバイスを通じて配布されなければならず、個人を特定できる情報を含むことはできず、監視、取引データの収集、検閲を可能にする機能の対象となることはできません。ECIPの決定と行動を見直し、その行動が法律に合致し、電子マネーを使用する個人のプライバシー利益を保護することを約束する「通貨プライバシー委員会」を設置する。さらに、電子マネーの開発行為と決定事項を審査し、個人のプライバシーをどの程度保護しているかを評価するために、通貨プライバシー委員会を設置する。
Consumer Protection: Merchants may not impose any fee for using e-cash payments or purchases. Disclosures by the government and any third-party authorized to distribute e-cash devices regarding usage, fees, interoperability, security, privacy, data collection, and other areas identified as relevant by the Bureau of Consumer Financial Protection must be clear, readily understandable, and made in writing. 消費者保護:加盟店は、電子マネーの支払いや購入に対していかなる手数料も課すことはできません。政府および電子マネー機器の配布を許可された第三者による、使用、手数料、相互運用性、セキュリティ、プライバシー、データ収集、および消費者金融保護局によって関連性があると見なされたその他の分野に関する開示は、明確で容易に理解でき、文書で作成されなければなりません。
AML/CTF: E-cash must be classified and regulated in a manner similar to physical currency and would therefore be subject to existing anti-money laundering, counterterrorism, Know Your Customer, and financial transaction reporting requirements and regulations. AML/CTF:電子マネーは、実際の通貨と同様に分類され規制されなければならないため、既存のマネーロンダリング防止、テロ対策、Know Your Customer、金融取引報告の要件および規制が適用されるものとします。
Transparency/Oversight: In developing e-cash, Treasury must prioritize the use of hardware and software technologies issued under open-source licenses. Also establishes a Digital Dollar Council within Treasury to coordinate with other relevant U.S. departments and agencies on e-cash related activities. 透明性/監視:電子マネーの開発において、財務省はオープンソースライセンスの下で発行されたハードウェアおよびソフトウェア技術の使用を優先させなければなりません。また、財務省内にデジタル・ドル協議会を設置し、電子マネーに関連する他の米国関係省庁との調整を行います。

 

法案

・[PDF

 

進捗

● Congress

H.R.7231 - To direct the Secretary of the Treasury to develop and pilot digital dollar technologies that replicate the privacy-respecting features of physical cash.

 

 

Fig1_20220404051501

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.30 世界経済フォーラム 暗号通貨規制:今、私たちはどこにいて、どこに向かっているのか?

・2022.03.29 米国 GAO ブロックチェーン:新たな技術がもたらす利点と課題

・2022.03.10 米国 デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.12.24 中国 通信院 グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.18 ロシア 連邦中央銀行 意見募集 2022-2024年の金融市場のデジタル化に関するガイドライン草案 at 2021.12.10

・2021.11.18 金融庁 「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.11.13 米国 財務省 政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.09.26 中国 人民銀行等 仮想通貨取引における投機リスクの更なる防止・対処に関する通知

・2021.09.25 中国 国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行 国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.03.21 金融活動作業部会 仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所 「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.08.29 米国司法省 北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.07.13 米国のシークレットサービスが金融犯罪調査委員会(FCTF)と電子犯罪調査委員会(ECTF)を統合してサイバー不正調査委員会(CFTF)を設立したようですね。

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる???

・2020.04.21 仮想通貨が2,500万ドル(約27億円)盗まれたようですね。。。

 

だいぶ昔の話ですが、、、

・2006.12.22 カードなし電子マネー、ポイントに対する規制?第二銀行法案?

 

| | Comments (0)

厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

こんにちは、丸山満彦です。

厚生労働省が、医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)を公表していますね。。。

ランサムウェアによる被害の増加等の影響も踏まえての改訂となっているようですね。。。

あと、電子署名関係の改訂もありますね。。。

ランサムウェア対策
 ランサムウェアによる攻撃への対応としてのバックアップのあり方等の対策を示した(6.10章)
 適切なリスク分析を行い、被害に遭った際の対策を速やかに講じられるよう、医療情報システムに関する全体構成図(ネットワーク構成図、システム構成図等)、及びシステム責任者一覧(設置事業 者等含む)を整備する旨について示した(6.2章)

医療機関等が利用する医療情報システムにおいて外部サービスとの連携が進む中で、アプリケーション間の安全性を確保する観点から、外部アプリケーションとの連携における利用者の認証・認可に関する記述を示した(6.5章)

本ガイドラインにおいて従来から利用が認められているシステムやサービスの利用形態に関して、
 これらの利用が安全に管理されている状況下で利用が可能であることを、改めて示すよう、一部記述の追記等をした
 例えば、BYOD については安全に管理されている環境下での利用について具体的な記述を行った(6.9 章)
 また外部ネットワークを利用する上で医療機関等が負うべき管理内容を明示した

電子署名
 リモート署名や立会人型電子署名など新たな利用形態が普及しつつあることを踏まえて、電子署名に関する記載を整理した(6.12章)
 例えば、文書の作成者に資格が必要な場合に求められる署名についての要件等について示した
 その他関係制度の変更等に伴う修正を行った
 電子署名が求められる文書の長期保存に必要なタイムスタンプについて、総務大臣の認定制度が創設されたことに伴う修正を行った(6.12章)
 電子署名に用いる暗号アルゴリズムの参照規格について、実務の状況を勘案して、JISから ISOに参照規格を変更する旨を示した(6.12章)

外部保存を行う際の事業者の選定に関して、「医療情報を取り扱う情報システム・サービスの提供 事業者における安全管理ガイドライン」(総務省・経済産業省 令和 2 年 8 月 21 日)における基準に揃えた(8.3章)

分かりやすさや表現の平仄を合わせる観点から一部構成を修正した

 

厚生労働省

・2022.03.31 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)

・[PDF]「「医療情報システムの安全管理に関するガイドライン第5.2版」の策定について」(医政発0331第50号)

 


医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)
本編 [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(本編)(令和4年3月) 

20220403-174808
別冊 [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(別冊)(令和4年3月)

20220403-175244
付表、付録、別添、Q&A
付表 [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付表 
付録 [PDF] 医療情報システムの安全管理に関するガイドライン 第5.2版(令和4年3月)付録 
別添 [PDF] 医療情報を安全に管理するために(管理者読本)第2.2版
[PDF] 医療情報システムの安全管理に関するガイドライン別冊用語集
「医療情報システムの安全管理に関するガイドライン 第5.2版」に関するQ&A
2022.04.21 [PDF] 「医療情報システムの安全管理に関するガイドライン 第5.2版」に関するQ&A
「医療機関のサイバーセキュリティ対策チェックリスト」及び「医療情報システム等の障害発生時の対応フローチャート」
2022.05.06 [XLSX] 「医療機関のサイバーセキュリティ対策チェックリスト」
[PDF] 「医療機関のサイバーセキュリティ対策チェックリスト」
[XLSX] 「医療情報システム等の障害発生時の対応フローチャート」
[PDF] 「医療情報システム等の障害発生時の対応フローチャート」
参考
  [PDF] 「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に係る調査」の結果について
[PDF] 「病院における医療情報システムのバックアップデータ及びリモートゲートウェイ装置に係る調査」の解説付き回答要領

 

本編と別冊の目次

【本編】 【別冊】
1. はじめに 1. はじめに
2. 本ガイドラインの読み方 2. 本ガイドラインの読み方
3. 本ガイドラインの対象システム及び対象情報 3. 本ガイドラインの対象システム及び対象情報
3.1. 7 章及び 9 章の対象となる文書について 3.1. 7 章及び 9 章の対象となる文書についての解説
3.2. 8 章の対象となる文書等について 3.2. 8 章の対象となる文書等についての解説
3.3. 紙の調剤済み処方箋と調剤録の電子化・外部保存について 3.3. 紙の調剤済み処方箋と調剤録の電子化・外部保存について
3.4. 取扱いに注意を要する文書等 3.4. 取扱いに注意を要する文書等
4. 電子的な医療情報を扱う際の責任のあり方 4. 電子的な医療情報を扱う際の責任のあり方
4.1. 医療機関等の管理者の情報保護責任について 4.1. 医療機関等の管理者の情報保護責任について
4.2. 委託と第三者提供における責任分界 4.2. 委託と第三者提供における責任分界
4.2.1. 委託における責任分界 4.2.1. 委託における責任分界に関する解説
4.2.2. 第三者提供における責任分界 4.2.2. 第三者提供における責任分界に関する解説
4.3. 例示による責任分界点の考え方の整理 4.3. 例示による責任分界点の考え方の整理における具体的な責任分界例の解説
4.4. 技術的対策と運用による対策における責任分界点 4.4. 技術的対策と運用による対策における責任分界点
5. 情報の相互運用性と標準化について 5. 情報の相互運用性と標準化について
  5.1. 基本データセットや標準的な用語集、コードセットの利用
  厚生労働省標準規格
  基本データセット
  用語集・コードセット
  5.2. データ交換のための国際的な標準規格への準拠
  5.3. 標準規格の適用に関わるその他の事項
6. 医療情報システムの基本的な安全管理 6. 医療情報システムの基本的な安全管理
6.1. 方針の制定と公表 6.1. 方針の制定と公表に関する解説
6.2. 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践 6.2. 医療機関等における情報セキュリティマネジメントシステム(ISMS)の実践
6.2.1. ISMS 構築の手順 ISMS 構築の手順
6.2.2. 取扱い情報の把握 取扱い情報の把握
6.2.3. リスク分析 リスク分析に関する解説
6.3. 組織的安全管理対策(体制、運用管理規程) 6.3. 組織的安全管理対策(体制、運用管理規程)
6.4. 物理的安全対策 6.4. 物理的安全対策
6.5. 技術的安全対策 6.5. 技術的安全対策
6.6. 人的安全対策 6.6. 人的安全対策
6.7. 情報の破棄 6.7. 情報の破棄
6.8. 医療情報システムの改造と保守 6.8. 医療情報システムの改造と保守に関する解説
6.9. 情報及び情報機器の持ち出し並びに外部利用について 6.9. 情報及び情報機器の持ち出し及び外部利用についての解説
6.10. 災害、サイバー攻撃等の非常時の対応 6.10. 災害、サイバー攻撃等の非常時の対応に関する解説
6.11. 外部のネットワーク等を通じた個人情報を含む医療情報の交換に当たっての安全管理 6.11. 外部のネットワーク等を通じた個人情報を含む医療情報の交換に当たっての安全管理
6.12. 法令で定められた記名・押印を電子署名で行うことについて 6.12. 法令で定められた記名・押印を電子署名で行うことについて
7. 電子保存の要求事項について 7. 電子保存の要求事項について
7.1. 真正性の確保について 7.1. 真正性の確保に関する解説
7.2. 見読性の確保について 7.2. 見読性の確保に関する解説
7.3. 保存性の確保について 7.3. 保存性の確保に関する解説
8. 診療録及び診療諸記録を外部に保存する際の基準 8. 診療録及び診療諸記録を外部に保存する際の基準
8.1. 電子保存の 3 基準の遵守 8.1. 電子保存の 3 基準の遵守
8.2. 運用管理規程 8.2. 運用管理規程
8.3. 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準 8.3. 外部保存を受託する事業者の選定基準及び情報の取扱いに関する基準に関する解説
8.4. 個人情報の保護 8.4. 個人情報の保護
8.5. 責任の明確化 8.5. 責任の明確化
8.5.1. 留意事項 旧 8.4 外部保存全般の留意事項について
  旧 8.4.2 外部保存契約終了時の処理に関する解説
  旧 8.4.3 保存義務のない診療録等の外部保存について
9. 診療録等をスキャナ等により電子化して保存する場合について 9. 診療録等をスキャナ等により電子化して保存する場合について
9.1. 共通の要件  
9.2. 診療等の都度スキャナ等で電子化して保存する場合  
9.3. 過去に蓄積された紙媒体等をスキャナ等で電子化保存する場合  
9.4. 紙の調剤済み処方箋をスキャナ等で電子化し保存する場合について  
9.5(補足) 運用の利便性のためにスキャナ等で電子化を行うが、紙等の媒体もそのまま保存を行う場合  
10. 運用管理について 10. 運用管理について
付則  
付則 1 電子媒体による外部保存を可搬媒体を用いて行う場合  
付則 2 紙媒体のままで外部保存を行う場合  
別紙  別紙 
付表 1 一般管理における運用管理の実施項目例 付表 1 一般管理における運用管理の実施項目例
付表 2 電子保存における運用管理の実施項目例 付表 2 電子保存における運用管理の実施項目例
付表 3 外部保存における運用管理の例 付表 3 外部保存における運用管理の例
付録 (参考)外部機関と診療情報等を連携する場合に取り決めるべき内容 付録 (参考)外部機関と診療情報等を連携する場合に取り決めるべき内容

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.02.02 厚生労働省 医療情報システムの安全管理に関するガイドライン 第5.1版(令和3年1月)

・2020.10.05 厚生労働省 医療情報システムの安全管理に関するガイドライン第5.1版(案)に関する御意見の募集について

・2020.08.23 総務省 経済産業省 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見募集の結果及び当該ガイドラインの公表

・2020.03.27 厚労省 医療情報システムの安全管理に関するガイドライン 改定素案(第 5.1 版)

・2020.03.10 厚労省の「医療情報システムの安全管理に関するガイドライン」の改訂作業が始まりましたね。。。

・2020.03.06 「医療情報を取り扱う情報システム・サービスの提供事業者における安全管理ガイドライン」(案)に対する意見の募集

10年以上遡ると...

・2009.12.26 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン 第4.1版(案)」

・2009.11.22 パブコメ 厚生労働省 「診療録等の保存を行う場所について」の一部改正

・2009.07.17 総務省 確定 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン」

・2009.05.23 総務省 パブコメ 「ASP・SaaS事業者が医療情報を取り扱う際の安全管理に関するガイドライン(案)」

・2009.04.09 厚生労働省 確定 医療情報システムの安全管理に関するガイドライン 第4版

・2008.03.08 厚生労働省 パブコメ 「医療情報システムの安全管理に関するガイドライン第3版(案)」 & 経済産業省 パブコメ 「医療情報を受託管理する情報処理事業者向けガイドライン案」

・2007.04.14 厚生労働省 確定 「医療情報システムの安全管理に関するガイドライン 第2版」

・2005.04.09 医療情報システムの安全管理に関するガイドライン

・2005.03.05 医療情報システム パブコメ

 

 

| | Comments (0)

2022.04.03

日本クラウド産業協会(ASPIC) AI クラウドサービスの情報開示認定制度

こんにちは、丸山満彦です。

一般社団法人ASP・SaaS・AI・IoTクラウド産業協会改め(2022.04.01)、日本クラウド産業協会(ASPIC)がAI クラウドサービスの情報開示認定制度を開始しましたね。。。

元々ASPICの活動の原点は1999年ですから、歴史的には長く活動をしている団体です。

2012年から「IaaS・PaaS/データセンターの安全・信頼性情報開示認定制度」をしています。最近、サプライチェーンリスクが注目されるようになり、セキュリティ等についての情報開示について注目を浴びるようになってきていますが、それを2012年から取り組んでいて、先進的な活動をしている団体です。

2022.03.31現在で、に認定されたサービスは、累計293サービス、199事業者となっているようです。。。

今回は、2022.02.15に公開された[PDF] AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)に基づいて行われるようですね。。。

 

日本クラウド産業協会(ASPIC)

・2022.04.01 [PDF] 「AIクラウドサービスの情報開示認定制度」新設について

Fig1_20220403154301 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.17 総務省 「AIを用いたクラウドサービスに関するガイドブック」の公表+AIを用いたクラウドサービスの安全・信頼性に係る情報開示指針(ASP・SaaS編)

| | Comments (0)

防衛省防衛研究所 サイバー国際規範をめぐる規範起業家と規範守護者の角逐(安全保障戦略研究 第2巻 第2号)

こんにちは、丸山満彦です。

防衛省防衛研究所が発行している安全保障戦略研究 第2巻 第2号が発行されているわけですが、、、原田有研究員の[PDF]「サイバー国際規範をめぐる規範起業家と規範守護者の角逐」が少し興味深いので紹介です。。。

内容としては、

・サイバー空間の規範形成プロセスが多様化し、複雑化してきた過程とその要因についての話です。

その要因としては、

・国家によるサイバー空間の統制に資する新たな規範を求める主にロシアの規範起業家としての試みを、情報の自由な流通や表現の自由等を含む既存の国際法の適用を重視する米国等の規範守護者が阻むという構造があるということを説明していますね。(まぁ、そうですね。。。)

また、それを解消する点について、

・フランスが非国家主体と連携し、複雑さの解消に向けた役割を果たしつつある

とも指摘していますね。

参考文献が参考になりますね。。。

防衛省 防衛研究所

・2022.03.29 安全保障戦略研究』第2巻 第2号を掲載しました

 ・[PDF] サイバー国際規範をめぐる規範起業家と規範守護者の角逐 

目次的なもの。。。


<要旨>

はじめに

1.規範形成プロセスを捉える分析視角
(1)規範起業家
(2)規範守護者
(3)調整者

2.サイバー空間の規範形成プロセスの多様化

3.サイバー空間の規範形成プロセスの複雑化

4.規範形成プロセスの複雑化の要因分析

おわりに


 

| | Comments (0)

米国 GAO 自らのプライバシープログラムを改善し、データ保護の強化をしなければならない by GAOの内部監査部門

こんにちは、丸山満彦です。

米国のGAOは議会の指示で行政府を監視する役割を担っているわけですが、連邦政府のFISMAの対象にもなっています。そして、またGAO自身にも内部監査部門 (Office of Inspector General: OIG) があります。。。ということで、GAOのOIGが、GAOのプライバシー・プログラムに対する改善ポイントとして、次の2つを上げていますね。。。

  • インシデント対応時の影響評価 (PII)
  • プライバシートレーニング

日本の政府にには内部監査部門がないですよね。。。ということで、日本の会計検査院にも内部監査部門はないので、こういう話が出てくることはないですね。。。

Gaoiglogo

 

Oversight.Gov

・2022.03.31 Information Security: Privacy Program Improvements Could Enhance GAO Efforts to Protect Data and Systems

 

● U.S. Government Accountability Office

・2022.03.31 Information Security:Privacy Program Improvements Could Enhance GAO Efforts to Protect Data and Systems

 

Information Security:Privacy Program Improvements Could Enhance GAO Efforts to Protect Data and Systems 情報セキュリティ:プライバシープログラムの改善により、データとシステムを保護するGAOの取り組みを強化することが可能
OIG-22-2 OIG-22-2
Fast Facts ファストファクト
GAO relies extensively on information systems and technology to fulfill its mission and support needs. GAOは、そのミッションとサポートの必要性を満たすために、情報システムと技術に幅広く依存しています。
We assessed GAO's efforts to protect its information systems and data against 5 key metrics established for Inspectors General to use when evaluating agency information security. 私たちは、GAOの情報システムとデータの保護に対する取り組みを、検査官が機関の情報セキュリティを評価する際に使用するために確立された5つの主要な指標に照らして評価しました。
While GAO has taken steps to protect sensitive information and prevent data exfiltration, it could improve its privacy program by: GAOは、機密情報を保護し、データの流出を防止するための措置を講じていますが、プライバシー・プログラムを次のように改善することができまあす。・
・assessing impact to individuals and the organization during incident response ・インシデント対応時に個人及び組織への影響を評価する。
・better defining privacy training for people who have greater access to personally identifiable information ・個人を特定できる情報にアクセスする機会が多い人たちのためのプライバシートレーニングをより明確にする。
We made 2 recommendations to address these issues. これらの問題を解決するために、2つの提言を行いました。
Highlights ハイライト
Objective 目的
This report presents the OIG’s Fiscal Year (FY) 2021 assessment of the effectiveness of GAO’s information security program in relation to selected Federal Information Security Modernization Act of 2014 (FISMA) requirements. 本報告書は、2014年連邦情報セキュリティ近代化法(FISMA)要件に関連するGAOの情報セキュリティプログラムの有効性に関するOIGの2021会計年度(FY)評価を示すものです。
What OIG Found OIGが発見したこと
We assessed GAO’s information systems against selected FY 2021 Inspector General (IG) FISMA reporting metrics, and found certain aspects pertaining to management of data protection and privacy have opportunities for improvement. While GAO has taken steps to protect sensitive information and prevent data exfiltration, opportunities exist to improve its privacy program in the areas of incident response and training for people with specific roles. 私たちは、選択した2021年度監察総監(IG)FISMA報告指標に対してGAOの情報システムを評価し、データ保護とプライバシーの管理に関する特定の側面に改善の機会があることを見出しました。GAOは機密情報を保護し、データの流出を防ぐための措置を講じていますが、インシデント対応と特定の役割を担う人々へのトレーニングの分野で、プライバシープログラムを改善する機会が存在します。
GAO’s Incident Response plan does not contain all the recommended elements for addressing incidents involving Personally Identifiable Information (PII). Specifically, the current GAO incident response procedures do not contain documented procedures for assessing the potential damage to organizations and individuals resulting from the loss of PII. GAOのインシデント対応計画には、個人識別情報(PII)を含むインシデントに対処するための推奨要素がすべて含まれていません。特に、現在のGAOのインシデント対応手順には、PIIの損失から生じる組織と個人への潜在的な損害を評価するための文書化された手順が含まれていません。
All GAO employees and contractors receive privacy training annually, as part of a mandatory course on security and privacy awareness. However, we found that training for personnel with role-specific responsibility for PII has not been consistently implemented. GAOの全職員と契約社員は、セキュリティとプライバシー意識に関する必須コースの一部として、毎年プライバシー・トレーニングを受けています。しかし、PIIに対して特定の役割を担う職員に対するトレーニングは、一貫して実施されていないことがわかりました。
What OIG Recommends OIGの推奨事項
We recommend that the Comptroller General direct the Chief Administrative Officer to direct the appropriate office(s) to (1) define and implement policies and procedures for incident response that align with NIST guidance for assessing privacy impact incidents and (2) define and implement policies and procedures for role-based privacy training which (a) identify who must regularly take the training, and (b) ensure annual compliance with such training. GAO agreed with the recommendations and outlined planned actions to address them. 私たちは、GAO院長に対し、(1)プライバシーへの影響を評価するためのNISTガイダンスに沿ったインシデント対応の方針と手順を定義し実施すること、(2)役割ベースのプライバシートレーニングの方針と手順を定義し実施し、(a)トレーニングを定期的に受けるべき人を特定し、(b)そのトレーニングが毎年確実に遵守されることを指示するよう勧告します。GAOは勧告に同意し、それらに対処するための計画的な行動を概説しました。

 

・[PDF] Highlights

20220403-53859

 

・[PDF] Full Report

20220403-53925

 

 

 

| | Comments (0)

2022.04.02

オーストラリア 重要インフラ保護法2022 (サイバーセキュリティの強化等)

こんにちは、丸山満彦です。

オーストラリアの重要インフラ保護法 (2018) の改正案が両院を通過したようです。。。女王の勅許が降りれば法律ということになります。。。改正目的にはサイバーセキュリティの強化もあるようですね。。。

まだざっとしか見ていないのですが。。。

Fig1_20220402052301

Department of Home Affairs

内務大臣の発言

・2022.03.31 (speach) Senate Estimates​

Department of Home Affairs - Cyber and Infrastructure Security Centre: CISC

・2022.03.31 (news) Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022 has been passed by the Parliament

 

法案に関するWebページ

Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022

・2022.03.28 Bills Digest [HTML]  [PDF]

20220402-52947

現行法

Security of Critical Infrastructure Act 2018

 

 

改正に合わせて、CISCが4つのFact Sheetを公表していますね。。。

Department of Home Affairs

・2022.03.31 Security Legislation Amendment (Critical Infrastructure Protection) Bill 2022

 

20220402-54839 The Security Legislation Amendment (Critical Infrastructure Protection) Act 2022 2022年安全保障法制改正(重要インフラ保護)法
20220402-54848 Risk Management Program リスクマネジメントプログラム
20220402-54856 Systems of National Significance / Enhanced Cyber Security Obligations 国家的に重要なシステム/強化されたサイバーセキュリティの義務
20220402-54908 CISC Factsheet - ​Use and Disclosure of Protected Information 保護された情報の使用と開示

 

強化されたサイバーセキュリティ義務...

What is an Enhanced Cyber Security Obligation?  強化されたサイバーセキュリティ義務とは?
Under the ECSOs, the Secretary may require the responsible entity for a SoNS to undertake one or more prescribed cyber security activities. The Secretary must have regard to the cost, the reasonableness and proportionality of the prescribed activity and any other matters the Secretary considers relevant in deciding whether an entity should be required to undertake ESCO’s.  ECSOsに基づき、長官はSoNSの責任主体に対し、1つまたは複数の所定のサイバーセキュリティ活動を行うよう要求することができる。長官は、企業がESCOを実施するよう要求されるべきかどうかを決定する際に、コスト、所定の活動の合理性と比例性、および長官が関連すると考えるその他の事柄を考慮しなければなりません。
Cyber Security Incident Response Plan  サイバーセキュリティインシデント対応計画 
The responsible entity of a SoNS may be required to adopt, maintain and comply with an ‘incident response plan'. They will be required to comply with and regularly review the plan, and take all reasonable steps to ensure the plan is up to date.  SoNSの責任主体は、「インシデント対応計画」を採用し、維持し、遵守することを求められる場合がある。彼らは、計画を遵守し、定期的に見直し、計画が最新のものであることを保証するためにあらゆる合理的な手段を講じることが要求されます。
An incident response plan is a written plan detailing how an entity will respond to cyber security incidents that affect its systems. These obligations will assist entities to articulate ‘what to do’ and ‘who to call’ in the event of a cyber incident. This response plan must be provided to the Secretary of the Department of Home Affairs (the Department) as soon as practicable after the adoption.  インシデント対応計画とは、企業がそのシステムに影響を与えるサイバーセキュリティインシデントにどのように対応するかを詳細に記述した計画書です。これらの義務は、企業がサイバーインシデントの発生時に「何をすべきか」「誰に連絡すべきか」を明確にすることを支援するものです。この対応計画は、採択後できるだけ早く内務省の長官に提供されなければなりません。
Cyber Security Exercises  サイバーセキュリティ演習 
The responsible entity of a SoNS may be required to undertake a ‘cyber security exercise’ in relation to the SoNS and against all or one or more types of specified cyber security incidents.  SoNSの責任主体は、SoNSに関連して、すべてまたは1つ以上のタイプの特定サイバーセキュリティインシデントに対して「サイバーセキュリティ演習」を行うよう要求される場合があります。
A cyber security exercise is a simulation of a cyber incident. Exercises are generally either a discussion-based or tabletop exercise or an operational or functional exercise.  サイバーセキュリティ演習は、サイバーインシデントのシミュレーションです。演習は一般的に、討論型または卓上演習、または運用型または機能型演習のいずれかです。
The entity may be required to allow Departmental officers, or designated officers from the Australian Cyber Security Centre (ACSC), to attend, observe and record the exercise. The entity must prepare an evaluation report following the exercise and provide this report to the Secretary of the Department. The entity may be required to appoint an external auditor to prepare this evaluation.  事業者は、省庁の職員、またはオーストラリア・サイバー・セキュリティ・センター(ACSC)の指定職員が演習に参加し、観察し、記録することを求められることがあります。事業者は、演習後に評価報告書を作成し、この報告書を省長に提出しなければならない。事業者は、この評価書を作成するために、外部監査人を指名することが求められる場合があります。
Vulnerability Assessments  脆弱性評価
The responsible entity of a SoNS may be required to undertake a vulnerability assessment in relation to the SoNS within a specified period. The assessment may be conducted against all or one or more types of specified cyber security incidents.  SoNSの責任主体は、指定期間内にSoNSに関する脆弱性評価を実施するよう求められる場合がある。評価は、指定されたサイバーセキュリティインシデントのすべて、または1つ以上のタイプに対して実施することができる。
A vulnerability assessment is a cyber security evaluation of a critical infrastructure asset’s systems. This can include (but is not limited to) evaluating the governance, risk and change management processes for an organisation, as well as a technical verification of systems cyber security controls and system architecture. The Secretary of the Department may require that a Departmental officer perform this vulnerability assessment.  脆弱性評価とは、重要インフラストラクチャー資産のシステムに対するサイバーセキュリティ評価です。これには、組織のガバナンス、リスクおよび変更管理プロセスの評価、ならびにシステムのサイバーセキュリティ制御およびシステムアーキテクチャの技術的検証を含まれます(ただし、これに限定されるものではありません)。内務省の長官は、内務省の職員がこの脆弱性評価を行うことを要求できます。
Under the Act, the Department may ask the ACSC to undertake vulnerability assessments as designated officers.  同法に基づき、内務省はACSCに対し、指定された担当者として脆弱性評価を実施するよう求めることができます。
System Information  システム情報 
The Secretary of the Department may request a SoNS to provide system information to the ACSC. There are two tiers of reporting obligations on a relevant entity based on the frequency of reporting:   省長官は、SoNSに対し、ACSCへのシステム情報の提供を要請することができる。関連事業者の報告義務には、報告頻度に基づき2つの段階があります。 
•        The first creates an obligation on a relevant entity of a SoNS to provide periodic reporting of system information.   ・第一段階は、SoNSの関連事業体に対して、システム情報の定期的な報告義務を課すもの。
•        The second creates an obligation on a relevant entity of a SoNS to provide event-based reporting of system information.  ・第二段階は、SoNSの関連事業体にシステム情報のイベントベースの報告を提供する義務を課すもの。

 

| | Comments (0)

IPA 2021年度中小企業における情報セキュリティ対策の実態調査報告書

こんにちは、丸山満彦です。

IPAが「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開していますね。。。

 

IPA

・2022.03.31 プレス発表「2021年度中小企業における情報セキュリティ対策の実態調査報告書」を公開 ~5年間で情報セキュリティ対策の実施状況の改善はわずか~


2016年度調査との比較では、中小企業における対策の実施状況の改善はわずかであり、更なる対策の必要性の訴求や対策の実践に向けた支援の必要性が明らかになりました。


全ての中小企業が一律にサイバーセキュリティ対策を強化しなければならないということはないとは思いますが、

・少なくとも、社会として他者に迷惑をかけないようにするための最低限のサイバーセキュリティ対策

・重要インフラ、重要な産業分野におけるサプライチェーンの一員として必要となるサイバーセキュリティ対策

の実施が必要なんでしょうね。。。

 

・[PDF] プレスリリース全文

 

・2022.03.31 「2021年度 中小企業における情報セキュリティ対策に関する実態調査」報告書について

 ・[PDF] 調査報告書

20220412-62124

 ・[PDF] 概要説明資料

 

 

| | Comments (0)

IPA 「事例調査業務」報告書について(「サイバーインシデントに係る事故調査」機能を整備する上で検討すべき事項や課題等についての検討)

こんにちは、丸山満彦です。

IPAから「事例調査業務」報告書が公開されていますね。。。

日本において、「サイバーインシデントに係る事故調査」機能を整備する上で検討すべき事項や課題等についての検討のために

海外の事例を

  1. 電力分野
  2. 鉄道分野
  3. 航空分野
  4. 自動車分野

について検討し、

国内の制度についても整理していますね。。。

電力分野は重要インフラとして国民の生活への密着度が高い、鉄道分野、航空分野については大規模事故により多数の人命に影響するという側面があるので、制度としての事故調査については歴史がありますよね。。。そういう分野ではサイバーは事故の一つのテーマという位置付けですよね。。。

今回取り上げていませんが、厚労省の「医療事故調査」についての調査があってもよかったかもしれませんね。。。

● IPA

・2022.03.31「事例調査業務」報告書について

 ・[PDF] 成果報告書

20220412-54243

目次...



1. 本調査の概要
1.1
背景・目的
1.2
業務概要

2. 欧米各国における「事故調査」及び「サイバーインシデントに係る事故調査」の動向調査
2.1
電力分野
 2.1.1
調査結果サマリー
 2.1.2 米国
 2.1.3 EU
 2.1.4 英国
 2.1.5 フランス
 2.1.6 ドイツ
 2.1.7 エストニア

2.2
鉄道分野
 2.2.1
調査結果サマリー
 2.2.2 米国
 2.2.3 EU
 2.2.4 英国
 2.2.5 フランス
 2.2.6 ドイツ
 2.2.7 エストニア

2.3
航空分野
 2.3.1
調査結果サマリー
 2.3.2 米国
 2.3.3 EU
 2.3.4 英国
 2.3.5 フランス
 2.3.6 ドイツ
 2.3.7 エストニア

2.4
自動車分野
 2.4.1
調査結果サマリー
 2.4.2 米国
 2.4.3 EU
 2.4.4 英国
 2.4.5 フランス
 2.4.6 ドイツ
 2.4.7 エストニア

3. 国内における重要インフラ・産業基盤の各業界における「事故調査」のしくみの調査
3.1
調査結果サマリー
3.2
電力分野
 3.2.1
組織体制・関連する法制度
 3.2.2 サイバーインシデントに関する対応状況
 3.2.3 事故調査事例

3.3
鉄道分野
 3.3.1
組織体制・関連する法制度
 3.3.2 事故調査事例

3.4
航空分野
 3.4.1
組織体制・関連する法制度
 3.4.2 サイバーインシデントに関する対応状況
 3.4.3 事故調査事例

3.5
自動車分野
 3.5.1
組織体制・関連する法制度
 3.5.2 サイバーインシデントに関する対応状況
 3.5.3 事故調査事例
 3.5.4 主要製品のサプライチェーンの構造

3.6
自動車部品分野
 3.6.1
組織体制・関連する法制度
 3.6.2 事故調査事例
 3.6.3 主要製品のサプライチェーンの構造

3.7
鉄鋼分野
 3.7.1
組織体制・関連する法制度
 3.7.2 事故調査事例
 3.7.3 主要製品のサプライチェーンの構造

3.8
建築分野
 3.8.1
組織体制・関連する法制度
 3.8.2 サイバーインシデントに関する対応状況
 3.8.3 事故調査事例
 3.8.4 主要製品のサプライチェーンの構造

4. 「サイバーインシデントに係る事故調査」機能の整備に向けた提言
4.1
事故調査機能に求められる体制、リソースに関する検討
4.2
国内の各分野の特性に応じた対応の検討

5. 参考資料
5.1
ヒアリング調査


 

 ・[PDF] 成果報告書(概要版)

 

 

| | Comments (0)

IPA クラウドサービスのサプライチェーンリスクマネジメント調査

こんにちは、丸山満彦です。

IPAがクラウドサービスのサプライチェーンリスクマネジメント調査が公表されていますね。。。

 COVID-19の影響もあり、在宅勤務→SaaS利用拡大ということで、、、

SaaSのサプライチェーンのセキュリティ対策について調査し、SaaSのサプライチェーンのインシデント情報の収集と分析および脅威、リスク、今後の課題などを明らかにしましたということのようです。。。

 

SaaS事業者では、リスクの開示と、サービスについてのインシデント対応チーム(PSIRT)が重要となるでしょうね。。。

もちろん、そのためには、SBOMといった話も重要となってくると思います。。。

 

IPA 

・2022.03.30 クラウドサービスのサプライチェーンリスクマネジメント調査

 ・[PDF] 概要説明資料

 ・[PDF] 調査報告書 本文

20220412-51002

目次


1. 本調査の背景と目的 
 1.1. ITサプライチェーンリスクマネジメントに関するこれまでの調査 
 1.2. クラウドサービス活用を取り巻く社会情勢 
 1.3. クラウドサービスの拡大に伴うセキュリティの懸念 
 1.4. 本調査の目的 
 1.5. SaaS事業者が抱える課題の想定 
2. 調査方法 
 2.1. インシデント及び脆弱性情報の調査 
 2.2. インタビュー調査 
3. 調査結果 
 3.1. インシデント及び脆弱性情報調査結果 
 3.2. インタビュー調査結果 
4. 本調査のまとめ 
 4.1. 想定した課題との違い
 4.2. 新たに指摘された課題 
 4.3. 団体・有識者の課題認識 
 4.4. SaaSが抱える脅威・リスク 
 4.5. 今後深堀すべきポイント 
付録 インシデント及び脆弱性情報一覧 


今後深掘すべきポイントについては、次のように整理されています。。。

 

工程 No. 深堀すべきポイント
開発監視対応 1 SaaS事業者の組織としてセキュリティ対策に注力するリソースの不足を、どのように改善させていくか。
開発 2 セキュリテイプラクティスの実践における具体的な設計・実装についての情報の蓄積と蓄積された情報へのSaaS事業者間での共有。
3 SaaSの設計開発におけるセキュアコーディングの実施をどのように推進していくか。
4 SaaS事業者が利用するOSSのメンテナー開発体制の評価方法をどのように確立し、広めていくか。OSS利用に先んじた上記評価の徹底について、どのようにして慣習化する
監視 5 SaaS事業者の、脆弱性肩報や攻撃に対する監視体制をどのように強化し、効率的な監視手法についての情報をどのように広めていくか。
対応 6 SaaS事業者内での、インシデント対応手順作成や問い合わせ先の整理、顧客説明といった平時の準備にどのようなことが必要か。
7 SaaS連携における事業者間での責任範囲の明確化をどのように推進していくか。
8 利用者に起因するインシデントを防止するため、SaaS事業者は利用者に向けてどのような情報を提供していくべきか。
9 個人情報管理に関するセキュリティ対策への積極的な姿勢・SaaS事業者としての立場の明確化といった文化・慣習をどのように形成し、維持していくか。
10 利用者が安心してクラウドービスを利用できるようにするために、Saas事業者はセキュリティ情報をどこまで開示するべきか。
11 SaaS業界を挙けたセキュリティ情報の開示をどのように促進していくか。

 

総務省もSaaSについては色々と進めているので、一緒に検討をすれば良いと思います。特に開示制度については、一般社団法人ASP・SaaS・AI・IoTクラウド産業協会改め(2022.04.01)、日本クラウド産業協会(ASPIC)
が先行して実施しているので、共同でプロモーションをすれば良いと思います。。。


| | Comments (0)

IPA IoT開発におけるセキュリティ設計の手引き

こんにちは、丸山満彦です。

IPAが「IoT開発におけるセキュリティ設計の手引き」を発表していますね。。。

今後のIoTの普及に備え、IoT機器およびその使用環境で想定されるセキュリティ脅威と対策を整理したものということのようですね。。。

IoTには、

  1. 最初からIoTを想定し開発されたもの
  2. 元々は単体での動作を前提としていた機器に、ネットワーク接続機能が後付けされたもの

の2種類があり、その違いをおさえた上で、

  • 機器やサービスがネットワークでつながることで生じうる様々な脅威や、それらを原因とするリスクや被害を予め踏まえておく必要がある

と考えている感じですかね。。。

 

 

IPA

・2022.03.30「IoT開発におけるセキュリティ設計の手引き」を公開

 ・[PDF] IoT開発におけるセキュリティ設計の手引き

20220412-44928

目次。。。


公開にあたって
  1. はじめに
   1.1 IoTのセキュリティの現状と課題
   1.2 本書のねらい
  2. 本書におけるIoTの定義
   2.1 サービス提供サーバ・クラウド
   2.2 中継機器
   2.3 システム
   2.4 デバイス
   2.5 直接相互通信するデバイス
  3. IoTのセキュリティ設計
   3.1 脅威分析
   3.2 セキュリティ対策の検討
   3.3 脆弱性への対応
    3.3.1 開発段階での対応
    3.3.2 運用段階での対応
    3.3.3 IPAが提供するコンテンツの活用
  4. IoT関連のセキュリティガイド
   4.1 OWASP Internet of Things Project
   4.2 OTA IoT Trust Framework
   4.3 GSMA IoT Security Guidelines & Assessment
  5. IoTシステムにおける脅威分析と対策検討の実施例
   5.1 デジタルテレビ
   5.2 ヘルスケア機器とクラウドサービス
   5.3 スマートハウス
   5.4 コネクテッドカー
  6. IoTセキュリティの根幹を支える暗号技術
  参考文献
  付録A. OWASP Internet of Things Projectの成果概要
  付録B. OTA IoT Frameworkの概要
  付録C. IoTにおける暗号技術利用チェックリスト


IoTシステムについて4つの検討例が載っていますね。。。

1. デジタルテレビ

20220412-45421

 

2. ヘルスケア機器とクラウドサービス

20220412-45513_20220412050001

3. スマートハウス

20220412-45549_20220412050001

4. コネクテッドカー

20220412-45621_20220412050101

 

 

[PDF] プレスリリース

 

| | Comments (0)

四病協 病院のサイバーセキュリティ対策への公的補助金の支給について(緊急提言)

こんにちは、丸山満彦です。

日本病院会全日本病院協会日本医療法人協会日本精神科病院協会、いわゆる四病院団体協議会[wikipedia]が、厚生労働大臣に「病院のサイバーセキュリティ対策への公的補助金の支給について(緊急提言)」を提出していますね。。。

日本病院会

・2022.03.31 [PDF] 四病協 病院のサイバーセキュリティ対策への公的補助金の支給について(緊急提言) [downloaded]

 

20220407-155841

 

公助って、税金ですかね。。。。。

 

 

 

| | Comments (0)

2022.04.01

PCI Data Security Standard v4.0

こんにちは、丸山満彦です。

PCI Security Standards Council: PCI SSC が、PCI Data Security Standard: PCI DSS v4.0を公開していますね。。。現行のV3.2.1は2年後の2024.03.31に廃止されますね。。。

PCI SCC

・2022.03.31 (press) Securing the Future of Payments: PCI SSC Publishes PCI Data Security Standard v4.0

変更点については、

Examples of the changes in PCI DSS v4.0 include: PCI DSS v4.0の変更点の例としては、以下が挙げられます。
Updated firewall terminology to network security controls to support a broader range of technologies used to meet the security objectives traditionally met by firewalls. ファイアウォールの用語をネットワークセキュリティ制御に更新し、従来ファイアウォールによって満たされていたセキュリティ目標を満たすために使用される、より幅広い技術のサポート。
Expansion of Requirement 8 to implement multi-factor authentication (MFA) for all access into the cardholder data environment. カード会員データ環境へのすべてのアクセスに多要素認証(MFA)を実装するための要件 8 の拡張。
Increased flexibility for organizations to demonstrate how they are using different methods to achieve security objectives. セキュリティ目標を達成するために、組織がさまざまな方法を使用していることを実証するための柔軟性の向上。
Addition of targeted risk analyses to allow entities the flexibility to define how frequently they perform certain activities, as best suited for their business needs and risk exposure. ターゲットリスク分析の追加により、事業者がビジネスニーズと影響を受けるリスクに最適な形で、特定の活動の実行頻度を柔軟に定義できるようにすること。

ということのようです。。。

 

で基準は...

・[PDF] Payment Card Industry Data Security Standard - Requirements and Testing Procedures Version 4.0 March 2022

20220401-165202_20220401165301

 

360ページありますね(^^)...

目次...

1 Introduction and PCI Data Security Standard Overview
2 PCI DSS Applicability Information
3 Relationship between PCI DSS and PCI SSC Software Standards
4 Scope of PCI DSS Requirements
5 Best Practices for Implementing PCI DSS into Business-as-Usual Processes
6 For Assessors: Sampling for PCI DSS Assessments
7 Description of Timeframes Used in PCI DSS Requirements
8 Approaches for Implementing and Validating PCI DSS
9 Protecting Information About an Entity’s Security Posture
10 Testing Methods for PCI DSS Requirements
11 Instructions and Content for Report on Compliance
12 PCI DSS Assessment Process
13 Additional References
14 PCI DSS Versions
15 Detailed PCI DSS Requirements and Testing Procedures
Build and Maintain a Secure Network and Systems
Requirement 1: Install and Maintain Network Security Controls
Requirement 2: Apply Secure Configurations to All System Components
Protect Account Data
Requirement 3: Protect Stored Account Data
Requirement 4: Protect Cardholder Data with Strong Cryptography During Transmission Over Open, Public Networks
Maintain a Vulnerability Management Program
Requirement 5: Protect All Systems and Networks from Malicious Software
Requirement 6: Develop and Maintain Secure Systems and Software
Implement Strong Access Control Measures
Requirement 7: Restrict Access to System Components and Cardholder Data by Business Need to Know
Requirement 8: Identify Users and Authenticate Access to System Components
Requirement 9: Restrict Physical Access to Cardholder Data
Regularly Monitor and Test Networks
Requirement 10: Log and Monitor All Access to System Components and Cardholder Data
Requirement 11: Test Security of Systems and Networks Regularly4
Maintain an Information Security Policy
Requirement 12: Support Information Security with Organizational Policies and Programs
Appendix A Additional PCI DSS Requirements
Appendix A1: Additional PCI DSS Requirements for Multi-Tenant Service Providers
Appendix A2: Additional PCI DSS Requirements for Entities Using SSL/Early TLS for Card-Present POS POI Terminal Connections
Appendix A3: Designated Entities Supplemental Validation (DESV)
Appendix B Compensating Controls
Appendix C Compensating Controls Worksheet
Appendix D Customized Approach
Appendix E Sample Templates to Support Customized Approach
Appendix F Leveraging the PCI Software Security Framework to Support Requirement 6
Appendix G PCI DSS Glossary of Terms, Abbreviations, and Acronyms

 

 

概要

・[PDF] PCI DSS v4.0 At a Glance

20220401-172530

 

変更点

・[PDF] Summary of Changes from PCI DSS Version 3.2.1 to 4.0

説明

PCI DSS v4.0: A Conversation with the Council

 


 

PCIについては、最近書いてませんでしたね。。。

でも、色々と本質的なことを書いていますね。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2010.10.30 PCI Security Standards Council Releases PCI DSS 2.0 and PA-DSS 2.0

・2009.10.13 JIPDEC クレジット加盟店向け“情報セキュリティのためのガイド”(PCI DSS/ISMS準拠のためのガイド)を公開

・2008.06.06 「どこまで情報セキュリティ対策をすればよいのかわからない」という不満について

・2006.08.13 対策強度×保証強度

・2005.06.27 米国カード情報流出と情報セキュリティ監査

・2005.04.27 ビザとマスターカード、大手販売業者にセキュリティ対策を義務付け

・2006.07.05 クレジットカード業界のセキュリティ

 

| | Comments (0)

小島プレス工業 システム停止事案調査報告書(第1報)

こんにちは、丸山満彦です。

2022.02.26(金)に小島プレス工業株式会社がウイルスに感染し、03.01(火)に業務を停止し、システム復旧を行い03.02(水)から業務を再開したという事案があったわけですが、システム停止事案調査報告書(第1報)が公表されていますね。。。

全容解明と全面復旧に向けて取り組んでいるということですね。。。

ランサムウェアにより、サーバやパソコン端末の一部でデータが暗号化されたことを確認しているが、外部へ情報が持ち出された形跡、具体的な情報漏洩の事実は現在のところ確認されていないという感じですかね。。。

攻撃者は、子会社が独自に特定外部企業との専用通信に利用していたリモート接続機器の脆弱性をついて子会社内のネットワークに侵入し、さらに親会社の社内ネットワークへ侵入して...という感じのようです。。。

 

小島プレス工業株式会社

・2022.03.31 ウィルス感染被害によるシステム停止事案発生のお知らせ(第2報)


平素は格別のご高配を賜り厚く御礼申し上げます。

2月26日夜間に発生したサーバ障害ならびに全システム停止によって、取引先各社様には多大なるご迷惑とご心配をおかけしておりますこと、改めて深くお詫び申し上げます。

外部専門家の皆様のご協力を得ながら、侵害調査ならびに全面復旧に向けて取り組んでいるところです。これまでの調査の結果、判明した事実につきまして、弊社ホームページにてお知らせさせていただきます。

引き続き、原因調査ならびに全面復旧に向けて総力を挙げて取り組む所存ですので何卒ご理解ご協力を賜りますようお願い申し上げます。


20220401-141026

 

 

Continue reading "小島プレス工業 システム停止事案調査報告書(第1報)"

| | Comments (0)

ロシア 外務省 米国とその衛星国による継続的なロシアへのサイバー攻撃についての声明

こんにちは、丸山満彦です。

ロシア連邦外務省が、米国とその衛星国がロシアに継続的にサイバー攻撃をしていると批難していますね。。。

2022.03.11には、中国政府(国家サイバースペース管理局)が米国や同盟国からサイバー攻撃を受けていて、米国や同盟国から中国を経由してロシア、ベラルーシ、ウクライナに攻撃が行われていると発表していましたね。。。

インターネットの産みの親の国で、世界一の大国ですから、サイバー攻撃も一番レベルが高く、数多く、行っているのかもしれませんね。。。

 

(ロシア連邦外務省)

・2022.03.29 Foreign Ministry statement on continued cyberattack by the “collective West”

Foreign Ministry statement on continued cyberattack by the “collective West” 米国とその衛星国による継続的なロシアへのサイバー攻撃についてのロシア外務省の声明
In the context of the special military operation launched to defend the Donetsk and Lugansk people’s republics and to demilitarise and denazify Ukraine, the United States and its satellites are waging a large-scale cyberattack against Russia.  Advanced information and communication technologies are being used almost every day to attack government agencies, media outlets, critical infrastructure and vital facilities. The Kiev regime has announced international recruitment of anti-Russia IT professionals into “offensive cyber forces.” Daily malicious attacks against Russia number hundreds of thousands. ドネツクおよびルガンスク人民共和国の防衛とウクライナの非軍事化・非ナチ化のために開始された特別軍事作戦の流れで、米国とその衛星国はロシアに対して大規模なサイバー攻撃を繰り広げています。  高度な情報通信技術がほぼ毎日、政府機関、報道機関、重要インフラ、重要施設を攻撃するために使われています。キエフ政権は、反ロシアのIT専門家を 「攻撃的サイバー軍」に国際的に採用することを発表しました。ロシアに対する毎日の悪意ある攻撃は数十万件にのぼります。
Sophisticated cyber technologies are being used to capture the personal data of Russian citizens. A lot of fake news are posted online to disorient and demoralise Russian society, discredit the actions of the Russian Armed Forces and government agencies, encourage unlawful activities of the public, complicate the operation of our industrial sectors and sow fear and instability in the country. ロシア国民の個人情報を取得するために、高度なサイバー技術が使用されています。ロシア社会を混乱させ、士気を低下させ、ロシア軍や政府機関の行動を信用せず、国民の違法行為を助長し、産業部門の運営を複雑にして国内に恐怖と不安定をまき散らすために、多くのフェイクニュースがネット上に掲載されています。
The unprecedented scale of these attacks and their close coordination clearly indicate that the cyberwar waged against Russia by Ukrainian special ICT operations centres trained by US and other NATO experts is being reinforced with anonymous hackers and trolls acting on orders from the Kiev regime’s Western mentors. In fact, this cyberwar is being waged by an army of cyber mercenaries who have been given concrete combat tasks that often border on terrorism. これらの攻撃の前例のない規模と密接な連携は、米国や他のNATOの専門家が訓練したウクライナの特別なICTオペレーションセンターがロシアに対して行っているサイバー戦争が、キエフ政権の西側の指導者からの命令で行動する匿名のハッカーやトロールによって強化されていることを明確に示しています。実際、このサイバー戦争は、しばしばテロに近い具体的な戦闘任務を与えられたサイバー傭兵の軍隊によって繰り広げられています。
Concerned Russian agencies are effectively fighting back and repelling these attacks. The task of strengthening ICT security in the current conditions is becoming a priority aspect of reliably ensuring national security. Efforts will be redoubled at international venues, first of all at the UN, to promote relevant initiatives. Work will continue to strengthen the legal protection of Russian individuals and legal entities from malicious foreign cyber activities. ロシアの関係機関は、これらの攻撃に対して効果的に反撃し、撃退しています。このような状況下でICTセキュリティを強化することは、国家の安全保障を確実に確保するための優先事項となっています。国際的な場、特に国連において、関連するイニシアチブを推進するための努力を惜しません。ロシアの個人と法人を、外国の悪意あるサイバー活動から法的に保護するための活動を継続します。
Nobody must have any doubt that the cyber aggression being waged against Russia will have dramatic consequences for its inspirers and operators. The sources of these attacks will be identified, and the culprits will inevitably be called to account for their activities in accordance with the law. ロシアに対して行われているサイバー攻撃は、その発案者や運営者に劇的な結果をもたらすことを誰も疑わないはずです。これらの攻撃の発信源は特定され、犯人は必然的に法律に従ってその活動に対する責任を問われることになるでしょう。

Forelgn-affairs-of-russia


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.30 中国 国家サイバースペース管理局 我が国のインターネットは海外からのサイバー攻撃に遭っています。。。(2022.03.11)

| | Comments (0)

欧州検査院 特別報告書:EUの機構・団体・機関のサイバーセキュリティ : 全体的な準備のレベルは脅威に見合っていない

こんにちは、丸山満彦です。

欧州検査院 (European Court of Auditors) がEUの機構・団体・機関のサイバーセキュリティについての特別報告書を公表していますね。。。2022.03.22に欧州委員会がセキュリティ規則を提出したのですが、それは、この検査報告書の結果を受けての。。。ということのようですね。。。

European Court of Auditors

・2022.03.29 Special report 05/2022: Cybersecurity of EU institutions, bodies and agencies : Level of preparedness overall not commensurate with the threats

Special report 05/2022: Cybersecurity of EU institutions, bodies and agencies : Level of preparedness overall not commensurate with the threats 特別報告書05/2022:EUの機構・団体・機関のサイバーセキュリティ : 全体的な準備のレベルは脅威に見合っていない
The number of cyberattacks on EU institutions, bodies and agencies (EUIBAs) is increasing sharply. As EUIBAs are strongly interconnected, weaknesses in one can expose others to security threats. We examined whether the EUIBAs have adequate arrangements to protect themselves against cyber threats. We found that, overall, EUIBAs’ level of preparedness is not commensurate with the threats, and that they have very different levels of cybersecurity maturity. We recommend that the Commission improve EUIBAs’ preparedness by proposing the introduction of binding cybersecurity rules and an increase in resources for the Computer Emergency Response Team (CERT-EU). The Commission should also promote further synergies among EUIBAs, and CERT-EU and the European Union Agency for Cybersecurity should focus their support on less mature EUIBAs. EUの機構・団体・機関(EUIBA)に対するサイバー攻撃の件数が急増しています。EUIBAは相互に強く結びついているため、1つの弱点が他をセキュリティの脅威にさらす可能性があります。我々は、EUIBAがサイバー脅威から自らを守るための適切な取り決めを行っているかどうかを調査しました。その結果、全体としてEUIBAの準備レベルは脅威と見合っておらず、サイバーセキュリティの成熟度は大きく異なっていることが分かリマした。我々は、欧州委員会が、拘束力のあるサイバーセキュリティ規則の導入と、コンピュータ緊急対応チーム(CERT-EU)のリソースの増加を提案することにより、EUIBAsの準備態勢を改善することを提言します。また、欧州委員会は、EUIBA間の相乗効果をさらに促進し、CERT-EUと欧州連合サイバーセキュリティ機関は、成熟度の低いEUIBAに支援を集中させるべきでしょう。

 

プレスリリース

・[PDF] EU bodies must step up their cybersecurity preparedness

回答

 欧州委員会

・[PDF] Replies: European Commission 

 ENISA、CERT-EU、欧州議会

・[PDF] Replies: CERT-EU and ENISA

 

報告書

・[HTML]

・[PDF]

20220401-02127

目次

Executive summary エグゼクティブサマリー
Introduction はじめに
What is cybersecurity? サイバーセキュリティとは?
Cybersecurity in EU institutions, bodies and agencies EUの機関、団体、代理店におけるサイバーセキュリティ
Audit scope and approach 監査範囲とアプローチ
Observations 観察事項
EUIBAs have very different levels of cybersecurity maturity and do not always comply with good practice EUIBAのサイバーセキュリティの成熟度は非常に異なっており、必ずしもグッドプラクティスに準拠しているわけではない。
IT security governance in EUIBAs is often not well developed and risk assessments are not comprehensive EUIBAのITセキュリティガバナンスは十分に整備されていないことが多く、リスク評価も包括的でない。
EUIBAs do not approach cybersecurity consistently and essential controls are not always in place EUIBAは一貫してサイバーセキュリティに取り組んでおらず、必要不可欠な管理が必ずしも行われていない。
Several EUIBAs do not have their cybersecurity arrangements subject to regular independent assurance いくつかのEUIBAは、サイバーセキュリティの取り決めを定期的な独立した保証の対象にしていない。
EUIBAs have established mechanisms for cooperation but there are shortcomings EUIBAは協力のためのメカニズムを確立しているが、欠点もある。
There is a formalised structure for EUIBAs to coordinate their activities, albeit with some governance issues ガバナンスの問題はあるが、EUIBAが活動を調整するための公式な構造がある。
Potential synergies through cooperation are not yet fully exploited 協力による潜在的な相乗効果は、まだ十分に活用されていない。
ENISA and CERT-EU have not yet provided EUIBAs with all the support they need ENISAとCERT-EUは、EUIBAsが必要とするすべてのサポートをまだ提供していない。
ENISA is a key player in the EU cybersecurity landscape, but its support has so far reached very few EUIBAs ENISAはEUのサイバーセキュリティの状況において重要な役割を担っているが、その支援は今のところごく少数のEUIBAにしか行き届いていない。
CERT-EU is highly valued by its constituents but its means are not commensurate with current cybersecurity challenges CERT-EUはその構成員から高く評価されているが、その手段は現在のサイバーセキュリティの課題に見合ったものでない。
Conclusions and recommendations 結論と提言
Annexes 附属書
Annex I – List of EUIBAs surveyed 附属書I - 調査対象EUIBAsのリスト
Annex II – Additional information on the key interinstitutional committees 附属書II - 主要な機関間委員会に関する追加情報
Acronyms and abbreviations 頭字語・略語
Glossary 用語集
Replies of the Commission 欧州委員会の回答
Replies of the CERT-EU and ENISA CERT-EUとENISAの回答
Timeline タイムライン

 

Executive summary エグゼクティブサマリー
The EU Cybersecurity Act defines cybersecurity as “the activities necessary to protect network and information systems, the users of such systems, and other persons affected by cyber threats”. Due to the sensitive information they process, EU institutions, bodies and agencies (EUIBAs) are attractive targets for potential attackers, particularly groups capable of executing highly sophisticated stealth attacks for cyber espionage and other purposes. EUIBAs are strongly interconnected, despite their institutional independence and administrative autonomy. Therefore, weaknesses in individual EUIBAs could expose others to security threats. I EUサイバーセキュリティ法では、サイバーセキュリティを「ネットワークおよび情報システム、当該システムの利用者、ならびにサイバー脅威の影響を受けるその他の者を保護するために必要な活動」と定義しています。EUの機構・団体・機関(EUIBAs)は、その処理する機密情報のため、潜在的な攻撃者、特にサイバースパイ活動やその他の目的で高度なステルス攻撃を実行することができるグループにとって魅力的な標的となっています。EUIBAは、その制度的独立性と行政的自律性にもかかわらず、強く相互に結びついています。したがって、個々の EUIBA の弱点は、他の EUIBA をセキュリティ上の脅威にさらす可能性があります。
II Given that the number of cyberattacks on EUIBAs is increasing sharply, the objective of this audit was to determine whether the EUIBAs, as a whole, have established adequate arrangements to protect themselves against cyber threats. We conclude that the EUIBA community has not achieved a level of cyber preparedness commensurate with the threats. II EUIBAに対するサイバー攻撃が急増していることを踏まえ、本監査の目的は、EUIBAが全体としてサイバー脅威から身を守るための適切な取り決めを確立しているかどうかを判断することです。私たちは、EUIBA コミュニティは、脅威に見合ったレベルのサイバー対策を達成していないと結論づけました。
III We found that key cybersecurity good practices were not always implemented, including some essential controls, and a number of EUIBAs are clearly underspending on cybersecurity. Sound cybersecurity governance is also not yet in place in some EUIBAs: IT security strategies are in many cases lacking or are not endorsed by senior management, security policies are not always formalised, and risk assessments do not cover the entire IT environment. Not all EUIBAs have their cybersecurity regularly subject to independent assurance. III 私たちは、いくつかの必須コントロールを含む主要なサイバーセキュリティのグッドプラクティスが必ずしも実施されておらず、多くのEUIBAがサイバーセキュリティに対する支出を明らかに下回っていることを発見しました。また、いくつかのEUIBAでは、健全なサイバーセキュリティガバナンスがまだ確立されていません。ITセキュリティ戦略は多くの場合、欠如しているか、上級管理職によって承認されておらず、セキュリティポリシーは必ずしも正式なものではなく、リスク評価はIT環境全体を対象としていません。すべてのEUIBAが、サイバーセキュリティを定期的に独立した保証の対象としているわけではありません。
IV Cybersecurity training is not always systematic. Just over half of EUIBAs offer ongoing cybersecurity training for IT staff and IT security specialists. Few EUIBAs provide mandatory cybersecurity training for managers responsible for IT systems containing sensitive information. Phishing exercises are an important tool for training staff and raising awareness, but not all EUIBAs use them systematically. IV サイバーセキュリティのトレーニングは必ずしも体系化されていません。EUIBAの半数強が、ITスタッフおよびITセキュリティ専門家に対して継続的なサイバーセキュリティ教育を実施しています。機密情報を含むITシステムの責任者に対し、義務的なサイバーセキュリティ教育を実施しているEUIBAはほとんどありません。フィッシング演習は、職員の訓練と意識向上のための重要なツールですが、すべてのEUIBAが体系的に利用しているわけではありません。
While EUIBAs have established structures for cooperation and information exchange on cybersecurity, we noted that potential synergies are not fully exploited. EUIBAs do not systematically share with each other information on cybersecurity-related projects, security assessments and service contracts. Furthermore, basic communication tools such as encrypted email or videoconference solutions are not fully interoperable. This can lead to less secure exchanges of information, duplication of efforts and increased costs. V EUIBAsはサイバーセキュリティに関する協力と情報交換のための構造を確立していますが、潜在的な相乗効果が十分に活用されていないことを私たちは指摘しました。EUIBAは、サイバーセキュリティ関連のプロジェクト、セキュリティ評価、サービス契約に関する情報を互いに体系的に共有していません。さらに、暗号化された電子メールやビデオ会議ソリューションのような基本的なコミュニケーションツールは、完全に相互運用可能なものではありません。これは、安全性の低い情報交換、努力の重複、コスト増につながる可能性があります。
VI The Computer Emergency Response Team of the EUIBAs (CERT-EU) and the European Union Agency for Cybersecurity (ENISA) are the two main entities tasked with supporting EUIBAs on cybersecurity. However, due to resource constraints or priority being given to other areas, they have not been able to provide EUIBAs with all the support they need, particularly in relation to capacity building for less mature EUIBAs. Although CERT-EU is highly valued by the EUIBAs, its effectiveness is compromised by an increasing workload, unstable funding and staffing, and insufficient cooperation from some EUIBAs, which do not always share timely information on vulnerabilities and on significant cybersecurity incidents that have impacted them or may impact others. VI EUIBAsのコンピュータ緊急対応チーム(CERT-EU)と欧州連合サイバーセキュリティ庁(ENISA)は、サイバーセキュリティに関してEUIBAsを支援することを任務とする二つの主要組織です。しかし、リソースの制約や他の分野への優先順位により、EUIBA が必要とするすべての支援、特に成熟度の低い EUIBA の能力向上に関連する支援を提供することはできていません。CERT-EU は EUIBA に高く評価されていますが、作業量の増加、不安定な資金と人員、一部の EUIBA の不十分な協力によって、その有効性が損なわれています。EUIBA は、脆弱性や、自国に影響を与えたか他国に影響を与える可能性のある重大なサイバーセキュリティ事件に関する情報を常にタイムリーに共有しているわけでありません。
VII Based on these conclusions, we recommend that: VII これらの結論に基づき、私たちは以下のことを提言します。
・the Commission improve the cyber preparedness of EUIBAs through a legislative proposal introducing common binding rules on cybersecurity for all EUIBAs and increased resources for CERT-EU; ・欧州委員会は、すべてのEUIBAのためのサイバーセキュリティに関する共通の拘束力のある規則を導入する立法案と、CERT-EUのためのリソースを増やすことによって、EUIBAのサイバー対策能力を向上させること。
・the Commission, in the context of the Interinstitutional Committee for the Digital Transformation, promotes further synergies among EUIBAs in selected areas; ・欧州委員会は、デジタル変革のための機関間委員会との関連で、特定の分野におけるEUIBAs間の相乗効果をさらに促進すること。
・CERT-EU and ENISA increase their focus on EUIBAs that are less mature in cybersecurity; ・CERT-EUとENISAは、サイバーセキュリティの成熟度が低いEUIBAsへの注力を強化すること。

 

ENISAも発表していますね。。。

 

ENISA

・2022.03.30 (news) Securing EU Institutions, Bodies and Agencies

Securing EU Institutions, Bodies and Agencies EUの機構・団体・機関のセキュリティ確保
Today, the European Union Agency for Cybersecurity (ENISA) welcomes the recommendations of the European Court of Auditors on cybersecurity of EUIBAs. 本日、欧州連合サイバーセキュリティ機関(ENISA)は、EUIBAのサイバーセキュリティに関する欧州監査役会の勧告を受け入れます。
The observations and recommendations of the European Court of Auditors’ special report on the cybersecurity of EU institutions, bodies and agencies come at a timely moment, as cyber threats are increasing and discussions about cyber preparedness are taking place across numerous EU communities. EUの機構・団体・機関のサイバーセキュリティに関する欧州監査院の特別報告書の見解と勧告は、サイバー脅威が増大し、多数のEU共同体でサイバー対策に関する議論が行われている今、時宜を得たものです。
The report highlights the key roles that ENISA and CERT-EU can play in increasing the level of cyber preparedness of EUIBAs as a whole and underscores the need for adequate resources to do so. Furthermore, the findings and recommendations of the report underline the importance of common legal cybersecurity frameworks for all EUIBAs. この報告書は、EUIBAs全体のサイバー対策レベルを向上させる上で、ENISAとCERT-EUが果たすことのできる重要な役割を強調するとともに、そのための十分なリソースの必要性を強調しています。さらに、本報告書の所見と提言は、すべてのEUIBAに共通の法的サイバーセキュリティの枠組みの重要性を強調しています。
The observations arrive just as the European Commission has proposed a regulation on measures for a high common level of cybersecurity at the EU institutions, bodies and agencies. The regulation aims to establish common cybersecurity measures to boost the resilience and response capacities against cyber threats and incidents. この見解は、欧州委員会がEUの機構・団体・機関において高い共通レベルのサイバーセキュリティのための措置に関する規則を提案した矢先のことです。この規制は、サイバー上の脅威やインシデントに対する回復力と対応能力を高めるために、共通のサイバーセキュリティ対策を確立することを目的としています。
Background 背景
In 2021, the EU Agency for Cybersecurity and CERT-EU signed an agreement on a structured cooperation to work together on capacity building, operational cooperation and knowledge and information sharing. The provision for a structured cooperation was included in the Cybersecurity Act of 2019. ENISA and CERT-EU meet regularly to agree on joint activities to implement the Annual Cooperation Plans. 2021年、EUサイバーセキュリティ機関とCERT-EUは、能力開発、運用協力、知識・情報共有について協力するための構造的協力に関する協定を締結しました。構造的協力の規定は、2019年のサイバーセキュリティ法に盛り込まれた。ENISAとCERT-EUは定期的に会合を開き、年次協力計画を実施するための共同活動について合意しています。
Further Information さらなる情報
ECA special report: Cybersecurity of EU institutions, bodies and agencies  ECAスペシャルレポート EUの機構・団体・機関のサイバーセキュリティ 
Proposed regulation 規制案
Cybersecurity Act サイバーセキュリティ法

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.24 欧州委員会 欧州議会、機関等のサイバーセキュリティを強化する規則案

・2022.02.24 ENISA CSIRT成熟度フレームワークの改訂

・2022.02.15 ENISAとCERT-EU EUのすべての官民組織が最低限実施すべきサイバーセキュリティのベストプラクティス14項目

・2021.10.25 欧州連合理事会が「大規模サイバーセキュリティ事件・危機へのEU協調対応を補完する共同サイバーユニット構想の可能性を探るための理事会結論案 」を承認

 

 

 

 

 

| | Comments (0)

« March 2022 | Main | May 2022 »