« May 2022 | Main | July 2022 »

June 2022

2022.06.30

日本公認会計士協会 国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見について

こんにちは、丸山満彦です。

日本公認会計士協会が国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見を公表していますね。。。

監査法人系の会社によるコンサルティング業務のIT関連ビジネスについての独立性(自己レビュー等)に関係する内容も含まれていますね。。。米国のPCAOBはさらに厳しい規則を課しています。。。

 

日本公認会計士協会

・2022.06.27 国際会計士倫理基準審議会公開草案「テクノロジー関連のIESBA倫理規程改訂案」 に対する意見について

・[PDF] 本文(日本語)

20220630-62125

 

なお、元になったのは、、、

International Ethics Standards Board for AccountantsTECHNOLOGY: ETHICS & INDEPENDENCE CONSIDERATIONS

・2022.02.18 PROPOSED TECHNOLOGY-RELATED REVISIONS TO THE CODE

・[PDF] Proposed Technology-related Revisions to the Code

Phpthumb_generated_thumbnail

 

国際基準とPCAOBの独立性の比較も参考になりますね。。。

・2022.05.06 (press) IESBA STAFF RELEASES BENCHMARKING REPORT COMPARING THE INTERNATIONAL INDEPENDENCE STANDARDS WITH U.S. SEC AND PCAOB INDEPENDENCE RULES

・2022.05.06 SUMMARY: BENCHMARKING THE INTERNATIONAL INDEPENDENCE STANDARDS

Thumbnail

| | Comments (0)

公安調査庁 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示(2022.06.23)

こんにちは、丸山満彦です。

2022.06.23に公安調査庁長官が、公安調査局長・公安調査事務所長会議での訓示が公開されていますね。。。

 

公安調査庁

・2022.06.23 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示

 

概要は、

1. 経済安全保障に関する取組の強化・推進(経済安全保障特別調査室を設置)
(1)
官民連携の推進
(2)
国内外の関係機関との更なる連携の強化
(3)
機能・体制の強化

2. サイバー空間における脅威に対する取組の強化・推進(サイバー特別調査室を設置等)

3. 我が国の外交・安全保障に関する各種動向の迅速かつ的確な把握
(1)
北朝鮮
(2) 中国は
(3)
ロシア
(4)
インフルエンス・オペレーション(偽情報の流布なども含めた活動)
(5)
国際テロ情勢(ISIL、アルカイダなどの国際テロ組織、アフガニスタン)
(6)
ウクライナ情勢

4. いわゆるオウム真理教に対する観察処分の適正かつ厳格な実施

ということのようです。。。

 

サイバーセキュリティ部分...


第二に、サイバー空間における脅威に対する取組の強化・推進についてです。
 サイバー攻撃が国内外で常態化し、その手口も巧妙化する中で、特に我が国の周辺国等は、その政治的、軍事的、経済的目的を達成するため、サイバー空間を利用した諜報活動や重要インフラの破壊、偽情報の流布などによる情報操作といったサイバー戦能力を強化しており、我が国の安全保障に与える影響等を注視していかなければなりません。
 このような情勢を受け、サイバー攻撃事案等に係る情報収集・分析能力を強化するため、本年4月、サイバー特別調査室を設置しました。サイバー関連情報については、高まる情報ニーズの中、当庁に寄せられる期待にこれまで以上に応える必要があります。各局・事務所においても、サイバー特別調査室と緊密に連携し、同関連調査をより一層推進していただきたいと思います。


 

法務大臣の訓示、、、

2022.06.23 「公安調査局長・公安調査事務所長会議」における法務大臣訓示

 


...特に力を入れていただきたい4点につき、申し上げます。

第一に、経済安全保障についてです。
 米中対立等の国際情勢を背景に経済安全保障の重要性が高まり、我が国でも経済安全保障推進法が成立する中で、各種施策が整備されています。
 こうした情勢を踏まえ、企業や大学等との連携も深めつつ、経済安全保障に係る情報収集・分析を強化してまいります。その上で、機微な技術・データ等の流出の防止はもとより、外国資本が我が国の不動産や企業を取得する動向を早期に把握し、関係機関と協力して対応に当たるなど、関連施策の推進に貢献していただきたいと思います。

第二に、サイバー空間の脅威についてです。
 サイバー空間における悪意ある活動は、深刻な脅威です。様々な主体が政治的、軍事的、経済的目的を達成するためのサイバー戦能力を強化している中、関連調査を鋭意推進していただきたいと思います。
 加えて、世界各地で偽情報の流布などによって、他国の政策に影響を及ぼそうとする工作への懸念が高まっており、これらについても動向把握に努めていただきたいと思います。

第三に、我が国を取り巻く国際情勢についてです。
 北朝鮮がICBMの発射を強行し、ロシアによるウクライナ侵略や中国による海洋進出が続く中、周辺国等の諸動向を迅速かつ的確に把握することは、非常に重要です。
 また、国際テロは、今も世界各地で発生し、インターネット上には、過激な思想の拡散もみられ、厳重に警戒すべき状況にあります。
 こうした点を踏まえ、政府の情報ニーズに的確に対応していただきたいと思います。

第四に、いわゆるオウム真理教についてです。

...


 

公安調査庁

・2022.06.23 「公安調査局長・公安調査事務所長会議」における公安調査庁長官訓示

・2022.06.23 「公安調査局長・公安調査事務所長会議」における法務大臣訓示


1hroyyh9_400x400

| | Comments (0)

2022.06.29

メタバースのシステム構成論(佐藤一郎教授の資料 at 総務省 情報通信法学研究会AI分科会(令和4年度第1回会合))

こんにちは、丸山満彦です。

昨日は、欧州議会のThink Tankによるメタバース:機会、リスク、政策への影響について載せましたが、今日は総務省情報通信法学研究会AI分科会(令和4年度第1回会合)の佐藤一郎教授(構成員)のメタバースのシステム構成論です。。。

技術進歩とともに、できることが増えることにより、その結果は良い面にも悪い面にも影響を及ぼす、だからどのような政策が必要かというのが昨日の話ですが、そもそも技術の限界はどのようなものかというのが、今回の佐藤先生の資料から見えてくる部分もあるように思います。

これは読む価値があると思います。。。

個人的には、技術進歩により変わってきている一つの要素に没入感があると思います。演算速度、通信速度が高まり、現実に近い画像解像度、音質を3D的に表現しつつ他人とインタラクティブにコミュニケーションができるようになったきたということですね。。。(と言っても、視覚と聴覚だけですが。。。)

それ以外は既に歴史を振り返って検証すればわかることが多いのではないかと思っています。。。(それも佐藤先生の資料にありますが、、、)

そういう意味では、健康や心理的な側面の検討をより進める必要があるのかもしれません。。。

そして当面は、仮想社会ができても、現実社会との紐付けからは逃れられないようにする必要があるようのではないかと思います。つまり、KYC的なものは必要ということになると思います。。。(人類が仮想空間で過ごす時間が現実空間で過ごす時間より増えても、KYC的なものが必要なのは変わらないのであれば、常に必要ということかもしれない。)

ということで、当面の利用は、少人数による管理された環境下(例えば企業内でのコミュニケーション、会員間でのゲームやシミュレーション等)で使われるのが現実的なのかもしれません。。。

とはいえ、プラットフォーマの手数料も含めたシステム開発費、運用費の負担に比した利用のメリットがどれだけあるのか???ということを現実的に突き詰めていく頃には、どのようなものが残っているのかというのは興味があります。。。(もちろん、技術進歩により、同じ性能における開発費や運用費も下がっていくでしょうし。。。)

 

総務省  - 情報通信法学研究会 Fig1_20220629050001

・2022.06.29 情報通信法学研究会AI分科会(令和4年度第1回会合) 

[PDF] 資料1         佐藤構成員発表資料

20220629-45813


[PDF] 資料2         成原構成員解説資料
[PDF] 参考資料1 情報通信法学研究会開催要綱
[PDF] 参考資料2 情報通信法学研究会分科会構成
[PDF] 参考資料3 学術雑誌『情報通信政策研究』第6巻第1号の特集について


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

 

| | Comments (0)

2022.06.28

JIPDEC 将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~

こんにちは、丸山満彦です。

一般財団法人 日本情報経済社会推進協会 (JIPDEC) が、情報セキュリティ対策を行うためのエッセンスを紹介したガイドブック「将来の脅威に対応できるISMS構築のエッセンス ~クラウドセキュリティに役立つISO規格~」を新たにまとめ、発行していますね。。。

12ページでコンパクトにまとめられているということですかね。。。

主なポイントは以下のとおりとのことです。。。



■ テレワークによる職場環境やクラウドサービス活用を含むシステム変更等によって変化するリスクにどう対応するかを解説
■ 情報セキュリティにおけるガバナンスの重要性を解説
■ デジタルトランスフォーメーション(DX)推進に即したセキュリティ対策の考え方を紹介


 

● JIPDEC

・2022.06.27 JIPDEC クラウドサービス提供&利用のリスク対応を解説したガイドブックを発行 - 今、そして将来の脅威にどう対応する?ISO規格をもとにISMS構築のエッセンスを解説!

・[PDF] 将来の脅威に対応できるISMS 構築のエッセンス ~クラウドセキュリティに役立つISO 規格~ 

20220628-51355

 

目次...

1 はじめに
2
目的に沿った運用にするには
 2.1
ガバナンス
 2.2
リスクマネジメント
 2.3
運用時の注意事項
3
効果的な仕組みづくりのために ~ISMS 適合性評価制度の活用~
4
おわりに


 

 

| | Comments (0)

欧州議会 Think Tank メタバース:機会、リスク、政策への影響

こんにちは、丸山満彦です。

欧州議会のThink Tankが、メタバースをめぐる、機会、リスク、政策への影響について考察したレポートを公表していますね。。。

メタバースというか、仮想現実、拡張現実を利用し、没入感を高めたデジタル環境において、人間社会にどのようなチャンスとリスクがあるのか、それを踏まえてどのような政策が必要かを考察している資料ですね。。。

さすが欧州ですね。日本ではここまで踏み込んで検討していないでしょうね。。。

 

European Parliament - Think Tank

・2022.06.24 Metaverse: Opportunities, risks and policy implications

Metaverse: Opportunities, risks and policy implications メタバース:機会、リスク、政策への影響
One of the most talked about concepts in modern technology, the metaverse can be described as an immersive and constant virtual 3D world where people interact by means of an avatar to carry out a wide range of activities. Such activities can range from leisure and gaming to professional and commercial interactions, financial transactions or even health interventions such as surgery. While the exact scope and impact of the metaverse on society and on the economy is still unknown, it can already be seen that the metaverse will open up a range of opportunities but also a number of risks in a variety of policy areas. Major tech companies are scaling up their metaverse activities, including through mergers and acquisitions. This has given impetus to a debate on how merger regulations and antitrust law should apply. Business in the metaverse is expected to be underpinned largely by cryptocurrencies and non-fungible tokens, raising issues of ownership, misuse, interoperability and portability. Furthermore, the huge volume of data used in the metaverse raises a number of data protection and cybersecurity issues (e.g. how to collect user consent or protect avatars against identity theft). There is considerable scope for a wide range of illegal and harmful behaviours and practices in the metaverse environment. This makes it essential to consider how to attribute responsibility, inter alia, for fighting illegal and harmful practices and misleading advertising practices, and for protecting intellectual property rights. Moreover, digital immersion in the metaverse can have severe negative impacts on health, especially for vulnerable groups, such as minors, who may require special protection. Finally, the accessibility and inclusiveness of the metaverse remain areas where progress has still to be made in order to create an environment of equal opportunities. 現代技術で最も話題になっている概念の一つであるメタバースは、人々がアバターによって交流し、様々な活動を行う没入型かつ恒常的な仮想3D世界と表現することができる。このような活動は、レジャーやゲームから、専門家や商人との交流、金融取引、あるいは手術などの健康介入に至るまで、多岐にわたる。メタバースが社会や経済に及ぼす正確な範囲や影響はまだ不明だが、メタバースがさまざまな政策分野において、さまざまな機会をもたらすと同時に、多くのリスクをもたらすことはすでに確認されている。大手ハイテク企業は、M&Aを含め、メタバース活動を拡大している。このため、合併規制や独禁法の適用をどうするかという議論に弾みがついている。メタバースにおけるビジネスは、主に暗号通貨や非ファンジブルトークンに支えられ、所有権、不正使用、相互運用性、ポータビリティの問題が生じると予想される。さらに、メタバースで使用される膨大なデータは、多くのデータ保護とサイバーセキュリティの問題を提起する(例えば、利用者の同意を収集する方法、ID盗難からアバターを保護する方法など)。メタバース環境では、さまざまな違法・有害な行動や行為が行われる可能性がかなりある。このため、特に違法・有害な行為や誤解を招くような広告手法との戦い、および知的財産権の保護について、どのように責任を帰属させるかを検討することが不可欠である。さらに、メタバースにおけるデジタルへの没入は、特に特別な保護を必要とする未成年者などの脆弱な集団にとって、健康に深刻な悪影響を及ぼす可能性がある。最後に、メタバースのアクセシビリティと包摂性は、機会均等の環境を作るために、依然として進展が必要な領域である。

 

検討している内容は、次の7分野で、

o Competition  o 競争
o Data protection o データ保護
o Liabilities o 負債
o Financial transactions o 金融取引
o Cybersecurity  o サイバーセキュリティ 
o Health o 健康
o Accessibility and inclusiveness o アクセシビリティと包摂性

それぞれ、課題、考えられる政策的影響を分析しています。

非常に参考になると思います。

 

・2022.06.24 [PDF] Metaverse - Opportunities, risks and policy implications

20220628-43121

内容は、、、

Continue reading "欧州議会 Think Tank メタバース:機会、リスク、政策への影響"

| | Comments (0)

2022.06.27

日本公認会計士協会 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表

日本公認会計士協会が、経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」を公表していますね。。。

興味深いです!!!

 

日本公認会計士協会 (JICPA)

・2022.06.27 経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」の公表について

・[PDF] 本文

20220627-155943

 

目次


総論
1.本研究資料の作成の背景
2.本研究資料の作成の前提事項

会計不正の動向
1.会計不正の公表会社数
2.会計不正の類型と手口
3.会計不正の主要な業種内訳
4.会計不正の上場市場別の内訳
5.会計不正の発覚経路
6.会計不正の関与者
7.会計不正の発生場所
8.会計不正の不正調査体制の動向
9.会計不正と内部統制報告書の訂正の関係

【参考】会計不正の定義


 

今年+過去分

2022.06.27  経営研究調査会研究資料第9号「上場会社等における会計不正の動向(2022年版)」 PDF
2021.07.29  経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」 PDF
2020.07.17 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」 PDF
2019.06.19  経営研究調査会研究資料第6号「上場会社等における会計不正の動向(2019年版)」 PDF
2018.05.16  経営研究調査会研究資料第5号「上場会社等における会計不正の動向」 PDF

 


 

まるちゃんの情報セキュリティティ日記

・2021.07.31 日本公認会計士協会 経営研究調査会研究資料第8号「上場会社等における会計不正の動向(2021年版)」を公表

・2020.07.20 日本公認会計士協会 経営研究調査会研究資料第7号「上場会社等における会計不正の動向(2020年版)」を公表

| | Comments (0)

ドイツ BSI TR-03161 ヘルスケア分野でのアプリケーション等に対するセキュリティ要求事項

こんにちは、丸山満彦です。

ドイツが、ヘルスケア分野のアプリケーションについてのセキュリティ要求事項を「モバイルアプリケーション (TR-03161-1)」 、「ウェブアプリケーション (TR-03161-2)」 、「バックグラウンドシステム (TR-03161-3)」に分けて公表していますね。。。

 

Bundesamt für Sicherheit in der Informationstechnik: BSI

プレス...

・2022.06.23 Bundesamt für Sicherheit in der Informationstechnik BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen

BSI veröffentlicht Technische Richtlinien zur Sicherheit von Digitalen Gesundheitsanwendungen BSI、デジタルヘルス・アプリケーションのセキュリティに関する技術指針を発表
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat Sicherheitsanforderungen an Anwendungen im Gesundheitswesen veröffentlicht. Im Rahmen unterschiedlicher explorativer Projekte konnte das BSI in den letzten Jahren Erkenntnisse über den aktuellen Stand der IT-Sicherheit im Gesundheitswesen gewinnen. Um Herstellern und Betreibern mit präventiven Maßnahmen weitere Hilfestellungen geben zu können, wurden Sicherheitsanforderungen für unterschiedliche Teilbereiche von Anwendungen im Gesundheitswesen verfasst. Die Technische Richtlinie (TR) umfasst in mehreren Teilen Anforderungen an mobile Anwendungen (TR-03161-1), Web-Anwendungen (TR-03161-2) und Hintergrundsysteme (TR-03161-3). ドイツ連邦情報セキュリティ局 (BSI) は、ヘルスケア分野のアプリケーションに対するセキュリティ要件を発表しました。BSIは、さまざまな探索的プロジェクトの枠組みの中で、近年のヘルスケア分野におけるITセキュリティの現状について知見を得ることができました。メーカーやオペレーターに予防策を提供できるよう、ヘルスケア分野のさまざまなアプリケーションのサブエリアについて、セキュリティ要件が作成されています。本技術指針は、モバイルアプリケーション (TR-03161-1) 、ウェブアプリケーション (TR-03161-2) 、バックグラウンドシステム (TR-03161-3) の要件をいくつかのパートに分けて構成しています。
Die Anforderungen basieren auf dem aktuellen Stand der Technik im Gesundheitswesen und den Erkenntnissen aus unterschiedlichen Projekten des BSI. Darüber hinaus repräsentieren sie aus Sicht des BSI das Ergebnis eines regelmäßigen Austauschs mit der Industrie sowie der Beteiligung des Bundesinstituts für Arzneimittel und Medizinprodukte (BfArM) und dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI). Unter Berücksichtigung der stark fortschreitenden Digitalisierung im Gesundheitswesen und des sich wandelnden Standes der Technik, pflegt das BSI weiterhin einen regelmäßigen Austausch mit Vertretern der Industrie und den zuständigen Behörden. Die sich hieraus ergebenden Erkenntnisse werden im Rahmen einer jährlichen Evaluierung der TR berücksichtigt und in Form von Anpassungen und Erweiterungen mit aufgenommen. 要件は、ヘルスケアにおける現状と、BSIのさまざまなプロジェクトで得られた知見に基づいています。さらに、BSIの観点からは、産業界との定期的な交流や、連邦医薬品・医療機器研究所 (BfArM) 、連邦データ保護・情報自由委員会 (BfDI) の関与の結果であると言えるでしょう。BSIは、急速に進むヘルスケア分野のデジタル化とその状況の変化を考慮し、産業界や所轄官庁の代表者と定期的な交流を続けています。その結果得られた知見は、毎年行われるTRの評価で考慮され、適応や拡張の形で盛り込まれます。
Für den Nachweis der Konformität gegenüber den beschriebenen Sicherheitsanforderungen bietet das BSI jeweils ein Zertifizierungsverfahren nach TR an. 記載されたセキュリティ要件に適合していることを証明するために、BSI は TR に従った認証手続きを提供します。
Digitale Gesundheitsanwendungen (DiGA) nach § 33 a SGB V und digitale Pflegeanwendungen (DiPA) nach § 40 a SGB XI können grundsätzlich als Anwendungen im Gesundheitswesen gewertet werden. Eine Anerkennung der Zertifizierung nach TR für DiGA in Bezug auf § 139 e Absatz 10 SGB V und DiPA in Bezug auf § 78 a SGB XI Absatz 7 als Nachweis der einzuhaltenden Sicherheitsanforderungen obliegt dem BfArM. 33 a SGB Vによるデジタルヘルスアプリケーション (DiGA) と40 a SGB XIによるデジタルケアアプリケーション (DiPA) は、基本的にヘルスケア分野におけるアプリケーションとして評価することができる。満たすべき安全要件の証明として、SGB V §139 e 10 項に関する DiGA および SGB XI §78 a 7 項に関する DiPA の TR による認証の承認は、BfArM の責任です。

 

 

・2022.06.23 BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen

BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen BSI TR-03161 ヘルスケア分野でのアプリケーションに対する要求事項
Gegenstand der Technischen Richtlinie 技術指針の対象
Nach Einschätzung des Bundesministeriums für Gesundheit stehen die Gesundheitssysteme der westlichen Welt vor großen Herausforderungen. Es gilt immer mehr ältere und chronisch kranke Menschen zu behandeln, teure medizinische Innovationen zu bezahlen und strukturschwache ländliche Gebiete medizinisch zu versorgen [BMG-EHI]. Anwendungen im Gesundheitswesen können helfen, solche und andere Herausforderungen besser zu lösen. Sie haben das allgemeine Ziel bei „der Behandlung und Betreuung von Patientinnen und Patienten“ zu unterstützen und ,,die Möglichkeiten [zu] nutzen, die moderne Informations- und Kommunikationstechnologien (IKT) bieten“ [BMG-EH]. 連邦保健省によると、欧米の医療制度は大きな課題に直面しています。高齢者や慢性疾患患者が増え、高価な医療技術革新に費用がかかり、構造的に弱い地方に医療を提供しなければならないのです[BMG-EHI]。ヘルスケア・アプリケーションは、このような課題をよりよく解決するために役立ちます。これらは、「患者の治療とケア」を支援し、「現代の情報通信技術 (ICT) が提供する可能性を利用する」ことを一般的な目的としています[BMG-EH]。
Die Familie von Technische Richtlinien (TR) richtet sich an Hersteller von Anwendungen im Gesundheitswesen. Zusätzlich kann sie als Richtlinie für Anwendungen betrachtet werden, welche sensible Daten verarbeiten oder speichern. 技術ガイドライン (TR) ファミリーは、ヘルスケア分野のアプリケーションメーカーを対象としています。また、機密性の高いデータを処理・保管するアプリケーションのガイドラインとしても考慮できる。
Zielsetzung der Technischen Richtlinie 技術指針の目的
Die Digitalisierung aller Lebensbereiche, sei es im Beruf, in Heimumgebungen, im Individual- oder im öffentlichen Personenverkehr, schreitet stetig voran. Bereits im Jahr 2018 überschritt die Anzahl der Internetnutzer die Grenze von vier Milliarden Menschen. Zwei Drittel der zurzeit 7,6 Milliarden Menschen zählenden Weltbevölkerung nutzen ein Mobiltelefon. Mehr als drei Milliarden Menschen nutzen soziale Netzwerke und tun dies in neun von zehn Fällen über ihr Smartphone (vgl. [GDR18]). Diese Entwicklung setzt sich im Gesundheitswesen mit dem Trend zum „Self-Tracking“, aber auch mit der zunehmenden Forderung nach der effizienten Nutzung einmal erhobener medizinischer Daten fort. Insbesondere im Gesundheitswesen ist es dabei komfortabel, dass orts- und zeitunabhängig auf die eigenen medizinischen Daten zugegriffen werden kann. Anwendungen speichern in diesem Fall sensible und persönliche Daten - von der Pulsfrequenz, über Aufzeichnungen des Schlafrhythmus bis hin zu Medikationsplänen sowie ärztlichen Verordnungen und Bescheinigungen. Sie verbinden den Nutzer mit entsprechenden Services und fungieren als Kommunikations-Knotenpunkte. Ein kompromittiertes Endgerät kann somit das gesamte digitale Leben des Nutzers ungewollt offenlegen und zu hohem finanziellen Schaden führen. Das Einhalten von geeigneten Sicherheitsstandards kann dies wesentlich erschweren und möglicherweise sogar verhindern. Schon während der Entwicklungsphase sollten Hersteller sehr verantwortungsvoll planen, wie eine Anwendung personenbezogene und andere sensible Daten verarbeitet, speichert und schützt. 職場、家庭環境、個人、公共交通機関など、生活のあらゆる場面でデジタル化が着実に進行しています。すでに2018年には、インターネット利用者が40億人を突破しています。現在、世界の人口76億人のうち、3分の2が携帯電話を使用しています。30億人以上の人々がソーシャルネットワークを利用し、10件中9件はスマートフォンから利用しています ([GDR18]を参照) 。このような動きは、ヘルスケア分野でも続いており、「セルフトラッキング」の流れに加え、一度収集した医療データの効率的な活用が求められています。特に医療分野では、場所や時間に関係なく自分の医療データにアクセスできるのは便利なことです。この場合、アプリケーションには、脈拍や睡眠リズムの記録、投薬計画、医療処方箋や証明書など、機密性の高い個人情報が保存されます。ユーザーを対応するサービスに接続し、通信ノードとして機能する。エンドデバイスが危険にさらされると、意図せずユーザーのデジタルライフ全体が明らかになり、高額な金銭的損害につながる可能性があるのです。適切なセキュリティ基準を遵守することで、このような事態をより困難なものとし、場合によっては防ぐことができます。開発段階であっても、メーカーはアプリケーションが個人情報やその他の機密情報をどのように処理し、保存し、保護するかについて、非常に責任ある計画を立てる必要があります。
Die IT-Sicherheit verfolgt im Wesentlichen drei Schutzziele: Vertraulichkeit, Integrität und Verfügbarkeit. ITセキュリティは、基本的に3つの保護目標を追求しています。機密性、完全性、可用性。
Gerade bei Anwendungen im Gesundheitswesen ist die Einhaltung dieser Anforderungen von besonderer Wichtigkeit. Insbesondere im Gesundheitswesen ist die Vertraulichkeit von Gesundheitsdaten, die unwillentlich offenbart werden, für immer verloren. Der Patient könnte hierfür zwar Schadensersatz erhalten, die unwillentliche Offenbarung kann allerdings nicht ungeschehen gemacht werden. Darüber hinaus können durch das ungewollte Bekanntwerden von Gesundheitsdaten unerwünschte Folgen mit erheblichen Auswirkungen im sozialen wie auch im beruflichen Umfeld entstehen. Sollte ein Angreifer in der Lage sein, sensible Daten eines Dritten zu manipulieren und damit deren Integrität zu verletzen, könnte er wesentlichen Einfluss auf Therapieentscheidungen und letztlich die Gesundheit des Betroffenen haben. 特に、ヘルスケア分野のアプリケーションでは、これらの要件への適合が重要です。特に医療分野では、意図せず公開された健康データの機密性は永遠に失われます。この場合、患者は補償を受けることができるが、強制的な開示は元に戻すことができません。また、意図せずして健康データが開示されると、社会的・職業的に大きな影響を及ぼし、好ましくない結果になることもあります。万が一、攻撃者が第三者の機密データを操作し、その完全性を侵害した場合、治療の意思決定、ひいては本人の健康に大きな影響を与える可能性があります。
Diese Familie von Technische Richtlinien soll als Leitfaden dienen, um Entwickler von Anwendungen bei der Erstellung sicherer Lösungen zu unterstützen. この技術ガイドラインファミリーは、アプリケーション開発者が安全なソリューションを作成するためのガイドとして機能することを目的としています。
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート1:モバイルアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen BSI TR-03161 ヘルスケアアプリケーションの要件 - パート2:ウェブアプリケーション
BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme BSI TR-03161 ヘルスケアアプリケーションの要件 - Part 3: バックグラウンドシステム
Biometrie bei mobilen Gesundheitsanwendungen モバイルヘルスアプリケーションにおけるバイオメトリクス
Neue mobile Gesundheitsanwendungen sehen unter anderem auch eine biometrische Benutzerauthentisierung vor. Allerdings weist der Markt eine hohe Zahl an biometrischen Komponenten für mobile Endgeräte auf, welche sich in Performanz und Fälschungssicherheit deutlich unterscheiden. Um sicherzustellen, dass die biometrischen Authentifizierungsverfahren auf Smartphones für mobile Gesundheitsanwendungen ein ausreichendes Vertrauensniveau erreichen, will das BSI biometrische Authentifikationssysteme auf Smartphones prüfen und im Frühjahr 2022 eine initiale Whitelist geeigneter Geräte veröffentlichen, welche danach in regelmäßigen Abständen aktualisiert werden wird. Eine Verwendung biometrischer Authentisierungsmethoden wird nur für Geräte in dieser Whitelist zulässig sein, alle anderen werden sich auf die klassischen PIN/Passwort-Verfahren beschränken müssen. モバイルヘルスの新しいアプリケーションには、バイオメトリクスによるユーザー認証が含まれます。しかし、市場にはモバイル機器用の生体認証部品が数多く存在し、その性能や偽造防止性能は大きく異なっているのが現状です。BSIは、モバイルヘルスアプリケーション用のスマートフォンにおける生体認証手順が十分な信頼性を達成できるよう、スマートフォンにおける生体認証システムのテストを行い、2022年春に適切なデバイスの初期ホワイトリストを公開し、その後定期的に更新する予定です。生体認証の使用は、このホワイトリストに登録された機器にのみ許可され、それ以外の機器では従来のPIN/パスワードによる認証に限定されます。
Die Anforderungen für diese Prüfung ergeben sich aus der - derzeit im Finalisierungs- und Veröffentlichungsprozess befindlichen - Technischen Richtlinie TR-03161-1 (Anhang C). Hersteller von Endgeräten, die an einer Listung ihrer Endgeräte in dieser Whitelist interessiert sind, werden gebeten, sich mit dem BSI in Verbindung zu setzen. In diesem Zuge werden die konkreten Prüfanforderungen sowie nähere Informationen zum Prüfprozess bereitgestellt. Die Prüfung besteht dabei im Wesentlichen aus zwei Komponenten. Zunächst benötigt das BSI eine Herstellererklärung, die dokumentiert, dass das jeweilige Endgerät die näher bezeichneten Anforderungen erfüllt und wie diese Prüfung seitens des Hersteller erfolgt ist. Diese Herstellererklärung wird dann im BSI auf Plausibilität geprüft. Darüber hinaus behält sich das BSI eine stichprobenartige praktische Kontrolle der Endgeräte vor. 本テストの要求事項は、現在最終版として発行されている技術指針 TR-03161-1  (Annex C) から導き出されたものです。このホワイトリストへの掲載を希望するエンドデバイスの製造者は、BSI に連絡することが望まれる。本講座では、具体的なテスト要件に加え、テストプロセスに関するより詳細な情報を提供します。このテストは、基本的に2つの要素で構成されています。まず、BSIは、それぞれのエンドデバイスが指定された要件を満たしていること、そしてこのテストが製造者によってどのように実施されたかを文書化した製造者の宣言を要求しています。この製造者の宣言は、BSIでもっともらしいかどうかチェックされる。さらに、BSI は、エンドデバイスのランダムな実地チェックを行う権利を留保します。
Endgeräte werden in die Whitelist aufgenommen, soweit die Angaben in der Herstellererklärung plausibel sind und - sofern einschlägig - eine etwaige stichprobenartige Prüfung des jeweiligen Endgeräts keine Zweifel an der Herstellererklärung aufgeworfen hat. Erfolgt die stichprobenartige Kontrolle nach der initialen Listung des Endgerätes in der Whitelist, kann ein negatives Prüfergebnis zur Entfernung dieses Gerätes von der Whitelist führen. Jeder Eintrag in der Whitelist beinhaltet die Hersteller- und Modellbezeichnung, die zugelassene biometrische Modalität und die ggf. notwendige Konfiguration für ein als geeignet eingestuftes Gerät. Weitere Informationen werden nicht veröffentlicht. Insbesondere ist nicht geplant, eine Art „Blacklist“ mit solchen Geräten, die die Anforderungen nicht erfüllen, zu veröffentlichen. 端末機器は、製造者の宣言に記載されている情報が妥当であり、かつ (該当する場合) 各端末機器のランダムチェックで製造者の宣言に疑義が生じない場合に、ホワイトリストに掲載されます。ホワイトリストにエンドデバイスを最初に登録した後にランダムチェックを実施した場合、テスト結果がよくなければ、このデバイスをホワイトリストから削除することができます。ホワイトリストの各項目には、メーカー名とモデル名、承認された生体認証モダリティ、適切と判断されたデバイスに必要な設定 (ある場合) が含まれています。それ以外の情報は公開されません。特に、要件を満たさないそのような機器の「ブラックリスト」のようなものを公表する予定はない。
Der gesamte Prüf- und Veröffentlichungsprozess erfolgt seitens des BSI unter Wahrung der Vertraulichkeit. Den Herstellern wird zudem - sowohl im Falle einer Aufnahme ihrer Endgeräte in die Whitelist als auch im Falle einer Ablehnung - unter angemessener Fristsetzung Gelegenheit zur Stellungnahme gegeben werden. テストと公表の全プロセスは、BSIが機密を保持しながら実施します。さらに、製造者は、合理的な期間内に、ホワイトリストにエンドデバイスを含める場合と拒否する場合の両方について、意見を述べる機会を与えられます。
Aufgrund des dargestellten Prüfprozesses erhebt die Whitelist keinen Anspruch auf Vollständigkeit. Aus der fehlenden Listung eines Endgerätes in der Whitelist kann somit nicht zwingend der Schluss gezogen werden, dass dieses Gerät die Prüfanforderungen nicht erfüllt. 上記のような審査のため、ホワイトリストが完全であるとは言えません。ホワイトリストに含まれていないからといって、必ずしもテスト要件を満たしていないとは限りません。

 

モバイル版 T1

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 1: Mobile Anwendungen

20220627-141320

ウェブアプリケーション版 T2

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 2: Web-Anwendungen

20220627-141339

バックグラウンドシステム版 T3

・[PDF] BSI TR-03161 Anforderungen an Anwendungen im Gesundheitswesen - Teil 3: Hintergrundsysteme

20220627-141353

 

目次は共通項目が多いので、、、

     -1 -2  -3
1 Einleitung 1 はじめに
1.1 Gegenstand der Technischen Richtlinie 1.1 技術指針の主題
1.2 Zielsetzung der Technischen Richtlinie 1.2 技術指針の目的
1.3 Übersicht der Technischen Richtlinie 1.3 技術指針の概要
1.3.1 Methodik 1.3.1 方法論
1.3.2 Begriffe 1.3.2 用語の説明
2 Überblick der Sicherheitsanforderungen an Anwendungen im Gesundheitswesen 2 ヘルスケアアプリケーションに求められるセキュリティ要件の概要
2.1 Anwendungskonzepte auf mobilen Endgeräten 2.1 モバイル端末におけるアプリケーションの概念
2.1.1 Native-Anwendungen 2.1.1 ネイティブアプリケーション
2.1.2 Hybride Ansätze 2.1.2 ハイブリッド・アプローチ
2.2 Web-Anwendungen 2.2 ウェブアプリケーション
2.3 Hintergrundsysteme 2.3 バックグラウンド・システム
2.3.1 Selbst gehostete Systeme 2.3.1 セルフホストシステム
2.3.2 Extern gehostete Systeme 2.3.2 外部からホストされるシステム
2.3.3 Cloud Computing 2.3.3 クラウドコンピューティング
2.4 Security Problem Definition 2.4 セキュリティ問題の定義
2.4.1 Annahmen 2.4.1 前提条件
2.4.2 Bedrohungen 2.4.2 脅威
2.4.3 Organisatorische Sicherheitspolitiken 2.4.3 組織的なセキュリティポリシー
2.4.4 Restrisiken 2.4.4 残留リスク
3 Prüfaspekte für Anwendungen im Gesundheitswesen 3 ヘルスケアアプリケーションのためのテストの側面
3.1 Prüfaspekte 3.1 テスト面
3.1.1 Prüfaspekt (1): Anwendungszweck 3.1.1 テスト側面  (1) :適用目的
3.1.2 Prüfaspekt (2): Architektur 3.1.2 テスト側面  (2) :アーキテクチャ
3.1.3 Prüfaspekt (3): Quellcode 3.1.3 テスト側面  (3) :ソースコード
3.1.4 Prüfaspekt (4): Drittanbieter-Software 3.1.4 テスト側面  (4) :サードパーティソフトウェア
3.1.5 Prüfaspekt (5): Kryptographische Umsetzung 3.1.5 テスト側面  (5) :暗号化実装
3.1.6 Prüfaspekt (6): Authentifizierung 3.1.6 テスト側面  (6) :認証
3.1.7 Prüfaspekt (7): Datensicherheit 3.1.7 テスト側面  (7) :データセキュリティ
3.1.8 Prüfaspekt (8): Kostenpflichtige Ressourcen 3.1.8 テスト側面  (8) :有償リソース
3.1.9 Prüfaspekt (9): Netzwerkkommunikation 3.1.9 テスト側面  (9)  :ネットワーク通信  
3.1.10 Prüfaspekt (10): Plattformspezifische Interaktionen 3.1.10 テスト側面  (10)  :プラットフォーム固有のインタラクション  
3.1.9 Prüfaspekt (9): Netzwerksicherheit 3.1.9 テスト側面 (9) :ネットワークセキュリティ    
3.1.10 Prüfaspekt (10): Organisatorische Sicherheit
3.1.10 テスト側面 (10) :組織的なセキュリティ    
3.1.11 Prüfaspekt (11): Resilienz 3.1.11 テスト側面  (11)  :回復力  
4 Prüfschritte einer Anwendung im Gesundheitswesen 4. ヘルスケアアプリケーションのテストステップ
4.1 Anforderungen an die Prüfung 4.1 テスト要件
4.2 Protokollierung der Ergebnisse 4.2 結果の記録
4.3 Testcharakteristika 4.3 テスト特性
4.3.1 Testcharakteristik zu Prüfaspekt (1): Anwendungszweck 4.3.1 テスト側面  (1)  に対するテスト特性:適用目的
4.3.2 Testcharakteristik zu Prüfaspekt (2): Architektur 4.3.2 テスト側面  (2)  のテスト特性:アーキテクチャ
4.3.3 Testcharakteristik zu Prüfaspekt (3): Quellcode 4.3.3 テスト側面  (3)  のテスト特性:ソースコード
4.3.4 Testcharakteristik zu Prüfaspekt (4): Drittanbieter-Software 4.3.4 テスト側面  (4)  :サードパーティソフトウェアに関するテスト特性
4.3.5 Testcharakteristik zu Prüfaspekt (5): Kryptographische Umsetzung 4.3.5 テスト側面  (5)  のテスト特性:暗号化実装
4.3.6 Testcharakteristik zu Prüfaspekt (6): Authentifizierung 4.3.6 テスト側面  (6)  のテスト特性:認証
4.3.7 Testcharakteristik zu Prüfaspekt (7): Datensicherheit 4.3.7 テスト側面  (7)  に対するテスト特性:データセキュリティ
4.3.8 Testcharakteristik zu Prüfaspekt (8): Kostenpflichtige Ressourcen 4.3.8 テスト側面  (8)  のテスト特性:有償リソース
4.3.9 Testcharakteristik zu Prüfaspekt (9): Netzwerkkommunikation 4.3.9 テスト側面 (9) のテスト特性:ネットワーク通信
4.3.10 Testcharakteristik zu Prüfaspekt (10): Plattformspezifische Interaktionen 4.3.10 テスト側面 (10) :プラットフォーム固有のインタラクションに関するテスト特性
4.3.11 Testcharakteristik zu Prüfaspekt (11): Resilienz 4.3.11 テスト側面 (11) のテスト特性:弾力性 (Resilience  
5 Sicherheitsstufen und Risikoanalyse 5 セキュリティレベルとリスク分析
Anhang A: Schutzbedarf sensibler Datenelemente 附属書A:機密データ要素の保護要件
Anhang B: Begutachtungsperspektive 附属書B:評価の視点
B.1. Primäres Designziel B.1. 設計の主目的
B.2. Schutzmechanismen B.2. 保護機構
B.3. Sichere Entwicklung B.3. 安全な開発
B.4. Authentifizierung B.4. 認証
B.5. Sicherheit der Kommunikation B.5. 通信セキュリティ
B.6. Weitere Prüfthemen B.6. その他のテストトピック
Anhang C: Anforderungen an biometrische Authentifizierungs- und Verifizierungsverfahren für Anwendungen im Gesundheitswesen 附属書C:ヘルスケアアプリケーションのためのバイオメトリクス認証および検証方法に関する要求事項    
C.1.  Anforderungen an die Leistung und an die Erkennung von Präsentationsangriffen biometrischer Systeme auf mobilen Endgeräten C.1. モバイル機器上の生体認証システムの性能とプレゼンテーション攻撃検知の要件    
C.1.1. Begriffe C.1.1. 用語    
C.1.2. [GEN] Allgemeine Anforderungen C.1.2 [GEN] 一般要求事項    
Abkürzungsverzeichnis 略語一覧
Literaturverzeichnis 参照情報

 

参考になるBSIのページ...

eHealth – Cyber-Sicherheit im Gesundheitswesen

eHealth – Cyber-Sicherheit im Gesundheitswesen eHealth - ヘルスケア分野でのサイバーセキュリティ
Der Bereich eHealth befasst sich mit der Digitalisierung im Gesundheitswesen. Er wird thematisch in verschiedene Abschnitte aufgeteilt. Zum einen geht es um die elektronische Gesundheitskarte (eGK) und die dazugehörige Telematikinfrastruktur (TI) und zum anderen um die Cyber-Sicherheit von in Deutschland eingesetzter Medizintechnik. eHealthの分野では、ヘルスケア分野のデジタル化を扱っています。テーマ別に分かれています。一方では、電子健康保険証 (eGK) と関連するテレマティクスインフラ (TI) を扱い、他方では、ドイツで使用されている医療技術のサイバーセキュリティを扱っています。
Moderne Gesundheitsversorgung: digital und sicher 現代の医療:デジタルとセキュア
Medizinische Versorgung in Deutschland wird allen zu Teil. Sie ist ein Gradmesser für den Wohlstand, die Stärke und Solidarität in einer Gesellschaft. Das Gesundheitswesen in unserem Land gilt weltweit als eines der besten – auch, weil es in vielen Bereichen digitalisiert ist. Die elektronische Patientenakte, die Messung, Speicherung und Auswertung von Gesundheitsdaten per App oder die Video-Sprechstunde sind Beispiele für digitale Technologien, die derzeit die deutsche Gesundheitswirtschaft verändern. Von der Digitalisierung profitieren alle Akteure im Gesundheitswesen – von den Patientinnen und Patienten über die Kliniken und Arztpraxen bis hin zu den Krankenkassen. Digitale Gesundheitsfürsorge kann das Leben der Menschen erleichtern, lange Wege und Wartezeiten minimieren und im Krankheits- oder Notfall schnell helfen. ドイツの医療は誰でも受けられます。社会の繁栄、力強さ、連帯感を測る尺度である。我が国の医療制度は世界でもトップクラスと言われていますが、それは多くの分野でデジタル化されているからです。電子患者ファイル、アプリによる健康データの測定・保存・評価、ビデオ診察などは、現在ドイツの医療業界を変えつつあるデジタル技術の一例です。患者から診療所、医師会、医療保険会社まで、医療システムのすべてのプレーヤーがデジタル化の恩恵を受けています。デジタルヘルスケアは、人々の生活をより快適にし、長時間の移動や待ち時間を最小限に抑え、病気や緊急事態の際には迅速に対応することができます。
Doch alle Vorteile von eHealth sind ohne Informationssicherheit nicht denkbar. Denn die Digitalisierung erhöht auch im Gesundheitswesen das Risiko von IT-Sicherheitsvorfällen und Cyber-Angriffen. Wozu das führen kann, belegen zahlreiche Vorfälle der letzten Monate und Jahre: Krankenhäuser mussten in den Notbetrieb gehen, Millionen sensibler Patientendaten wurden gestohlen oder waren über längere Zeiträume öffentlich ohne Passwortschutz im Internet zugänglich. Hinzu kommen immer wieder Berichte über Schwachstellen in vernetzten Medizingeräten wie Insulinpumpen, Patientenmonitoren oder Beatmungsgeräten. Deren Ausfall oder Manipulation durch unbefugte Dritte kann im Ernstfall unmittelbare Folgen für Gesundheit, Leib und Leben eines Patienten haben. しかし、eヘルスがもたらすすべてのメリットは、情報セキュリティなしには考えられません。また、デジタル化により、医療分野におけるITセキュリティ事故やサイバー攻撃のリスクも高まっています。ここ数カ月、数年にわたる数々の事件は、このことが何をもたらすかを示しています。病院が緊急操業に入らなければならなくなったり、何百万という患者の機密データが盗まれたり、パスワード保護なしで長期間にわたってインターネット上で一般公開されたりしています。また、インスリンポンプ、患者用モニター、人工呼吸器など、ネットワーク接続された医療機器の脆弱性が繰り返し報告されています。その故障や権限のない第三者による操作は、緊急時に患者の健康、生命、身体に対して直ちに影響を与える可能性があります。
Sichere Digitalisierung gestalten 安全なデジタル化の設計
All diese Vorfälle kann sich eine moderne Gesellschaft nicht leisten. Auch deshalb gehören Einrichtungen des Gesundheitswesens zu den Kritischen Infrastrukturen in Deutschland. Als zentrales Kompetenzzentrum für Informationssicherheit in Deutschland übernimmt das BSI Verantwortung als Gestalter einer sicheren Digitalisierung in diesem für die Gesellschaft so wichtigen Bereich. 現代社会は、このような事件ばかりではいられない。ドイツで医療施設が重要インフラとされる理由のひとつがこれです。BSIは、ドイツにおける情報セキュリティの中央コンピテンスセンターとして、社会にとって重要なこの分野の安全なデジタル化の形成者としての責任を担っています。
Mit dem IT-Sicherheitsgesetz von 2015 hat das BSI die Zuständigkeit als Aufsichtsbehörde für Betreiber Kritischer Infrastrukturen (KRITIS) auch im Sektor Gesundheitswesen erhalten. Kritische Infrastrukturen im Gesundheitswesen sind beispielsweise Krankenhäuser und Kliniken mit mehr als 30.000 stationären Behandlungsfällen pro Jahr oder Pharmahersteller mit mehr als 4,65 Millionen in Verkehr gebrachte Packungen pro Jahr. 2015年のITセキュリティ法により、BSIは医療分野でも重要インフラ (CRITIS) の運用者の監督官庁としての責任を担うことになりました。ヘルスケア分野の重要インフラとは、例えば、年間3万件以上の入院患者を抱える病院や診療所、年間465万個以上の医薬品を上市している製薬会社などを指します。
Als Cyber-Sicherheitsbehörde des Bundes leistet das BSI einen wesentlichen Beitrag bei der Gestaltung der großen Digitalisierungsprojekte im Gesundheitswesen. Das BSI befasst sich mit der Weiterentwicklung der elektronischen Gesundheitskarte, mit dem Notfalldatenmanagement und dem elektronischen Medikationsplan im Zusammenhang mit der Arzneimitteltherapiesicherheit, mit der elektronischen Patientenakte, mit der Telematikinfrastruktur sowie der IT-Sicherheit von Medizinprodukten, beispielweise mit dem Projekt ManiMed - Manipulation von Medizinprodukten. Das BSI hat auch dafür gesorgt, dass die Corona-Warn-App des Bundes ein hohes Maß an Informationssicherheit bietet – nicht zuletzt ein wesentlicher Faktor für die hohe Akzeptanz der App in der Bevölkerung. 連邦政府のサイバーセキュリティ当局として、BSIはヘルスケア分野における主要なデジタル化プロジェクトの形成に大きく貢献しています。BSIは、電子健康カード、緊急時データ管理、薬物療法セキュリティに関連した電子投薬計画、電子患者ファイル、テレマティクス・インフラ、医療機器のITセキュリティのさらなる開発に取り組んでおり、例えば、ManiMedプロジェクト (医療機器の操作性) などがあります。BSIは、連邦政府のコロナ警報アプリが高いレベルの情報セキュリティを提供することを保証しており、このことが、同アプリが国民に高いレベルで受け入れられている重要な要因であることは言うまでもありません。
Das BSI leistet einen wesentlichen Beitrag zur sicheren Digitalisierung im Gesundheitswesen. Davon profitieren Kliniken, Ärztinnen und Ärzte ebenso wie die Patientinnen und Patienten. BSIは、ヘルスケア分野における安全なデジタル化に大きく貢献しています。これは、クリニック、医師、患者さんのいずれにもメリットがあります。
ARNE SCHÖNBOHM, PRÄSIDENT DES BSI アルネ・シェーンボーム (BSI会長)
Das BSI unterstützt in den IT-Anwendungsfeldern im Gesundheitsbereich mit Vorgaben, Sicherheitsstandards in Form von Technischen Richtlinien oder IT-Grundschutz-Bausteinen sowie konkreter Hilfestellung und Beratung für Behörden und Unternehmen, um schnell praktikable und zugleich sichere Anwendungen zu realisieren. Wichtig ist dabei die enge Zusammenarbeit des BSI mit Partnern wie der gematik, dem Bundesministerium für Gesundheit (BMG), dem Bundesbeauftragten für den Datenschutz und die Informationsfreiheit (BfDI), dem Bundesinstitut für Arzneimittel und Medizinprodukte (BfArM), der Kassenärztlichen Bundesvereinigung (KBV) sowie der Kassenzahnärztlichen Bundesvereinigung (KZBV). BSIは、医療分野のITアプリケーション分野において、実用的であると同時に安全なアプリケーションを迅速に実装するために、仕様、技術ガイドラインやIT-Grundschutzビルディングブロックの形式によるセキュリティ標準、当局や企業に対する具体的な支援やアドバイスなどのサポートを提供しています。ここでは、BSIとgematik、連邦保健省 (BMG) 、連邦データ保護・情報自由委員会 (BfDI) 、連邦医薬品・医療機器研究所 (BfArM) 、全国法定保険医協会 (KBV) 、全国法定保険歯科医協会 (KZBV) といったパートナーとの密接な連携が重要な意味をもっています。

 

 

| | Comments (0)

中国 TC260 個人情報の国際的な処理活動に関するセキュリティ認証仕様

こんにちは、丸山満彦です。

中国の全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee) (TC260)が、個人情報の国際的な処理活動に関するセキュリティ認証仕様を公表していますね。。。

● 全国信息安全标准化技术委员会 (National Information Security Standardization Technical Committee)

・2022.06.24 关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知

 

关于发布《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》的通知 サイバーセキュリティ基準実務指針-個人情報の越境処理活動に関するセキュリティ認証仕様-」の公表に関する通知
为落实《个人信息保护法》关于建立个人信息保护认证制度的相关要求,指导个人信息处理者规范开展个人信息跨境处理活动,秘书处组织编制了《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》。 個人情報保護法の個人情報保護認証制度の確立に関する関連要求事項を実施し、個人情報の国境を越えた処理活動を標準化するために、事務局は「サイバーセキュリティ基準-個人情報の国境を越えた処理活動のセキュリティ認証仕様に関する実践ガイダンス」を作成した。
本《实践指南》提出了个人信息跨境处理活动安全的基本原则,规定了个人信息跨境处理活动的基本要求和个人信息主体权益保障要求。 本実務指針は、個人情報の越境処理活動の安全に関する基本原則を提示し、個人情報の越境処理活動の基本要件及び個人情報主体の権益を保護するための要件を規定するものである。 

 

・[PDF] 网络安全标准实践指南——个人信息跨境处理活动安全认证规范

20220627-62808

概要...

摘要 概要
本实践指南依据有关政策法规要求,为落实《个人信息 保护法》建立个人信息保护认证制度提供认证依据。申请个 人信息保护认证的个人信息处理者应当符合GB/T 35273《信 息安全技术 个人信息安全规范》的要求;对于开展跨境处 理活动的个人信息处理者,还必须符合本实践指南的要求。 本实践指南从基本原则、个人信息处理者和境外接收方在跨 境处理活动中应遵循的要求、个人信息主体权益保障等方面 提出了要求,为认证机构实施个人信息保护认证提供跨境处 理活动认证依据,也为个人信息处理者规范个人信息跨境处 理活动提供参考。 本実務指針は、関連する政策や法規の要求事項に基づいて、個人情報保護法の施行と個人情報保護認証制度の確立のための認証根拠を提供するものである。 個人情報保護認証を申請する個人情報処理者は、GB/T 35273「情報セキュリティ技術個人情報セキュリティ仕様」の要求を遵守しなければならず、国境を越えた処理活動を行う個人情報処理者は、本実務指針の要求も遵守しなければならない。本実務指針は、基本原則、越境処理活動において個人情報取扱事業者及び海外受取人が遵守すべき要件、個人情報主体の権益保護等の観点から要件を定めており、認証機関が越境処理活動に関する個人情報保護認証を実施するための基礎となり、また個人情報取扱事業者が個人情報の越境処理活動を規制するための参考となるものである。

 

目次...

摘 要 概要
1 适用情形 1 該当する状況
2 认证主体 2 認証対象
3 基本原则 3 基本原則
4 基本要求 4 基本要件
4.1 有法律约束力的协议 4.1 法的拘束力のある契約
4.2 组织管理 4.2 組織管理
4.3 个人信息跨境处理规则 4.3 国境を越えた個人情報の取り扱いに関する規定
4.4 个人信息保护影响评估 4.4 個人情報保護影響評価
5 个人信息主体权益保障 5 個人情報主体の権利保護について
5.1 个人信息主体权利 5.1 個人情報の主体の権利
5.2 个人信息处理者和境外接收方的责任义务 5.2 個人情報の処理者およびオフショア受領者の責任と義務

 

・[DOC] 仮対訳

 

| | Comments (0)

2022.06.26

英国 国防AI戦略 (2022.06.15)

こんにちは、丸山満彦です。

英国国防省が、国防AI戦略を公表していました。。。

よくできているように見えますね。。。

英国は、政策決定の枠組みが決まっているので、品質よく政策が策定、実行されるところもあるのでしょうかね。。。

 

U.K. Government - Defence and armed forces

・2022.06.15 Policy paper Defence Artificial Intelligence Strategy

Defence Artificial Intelligence Strategy

 

国防省のAIについてのビジョンは、

Our vision is that, in terms of AI, we will be the world’s most effective, efficient, trusted and influential Defence organisation for our size. 私たちのビジョン:AIという観点から、私たちの規模で、世界で最も効果的、効率的、信頼され、影響力のある国防組織になること。

4つの目標その具体的な活動...

Objective 1: Transform Defence into an ‘AI ready’ organisation. 目標1:国防を「AIに対応できる」組織へ変革する。
Actions to achieve objective 1: Upskill leaders and workforce, recruit key talent; address policy challenges; modernise digital, data and technology enablers. 目標1を達成するための行動:リーダーと労働力を強化し、重要な人材を採用し、政策の課題に対処し、デジタル、データ、技術のイネーブラを近代化する。
Objective 2: Adopt and exploit AI at pace and scale for Defence advantage. 目標2:国防の優位性のために、ペースと規模に応じてAIを導入し、活用する。
Actions to achieve objective 2: Organise for success; Exploit near and longer-term opportunities; Systematic experimentation; Collaborate internationally. 目標2を達成するための行動:成功のための組織化、短期および長期の機会の活用、体系的な実験、国際的な協力。
Objective 3: Strengthen the UK’s defence and security AI ecosystem. 目標3:英国の防衛・安全保障AIエコシステムを強化する。
Actions to achieve objective 3: Build confidence and clarify requirements; Address commercial barriers; Incentivise engagement and co-creation; Support business growth. 目的3を達成するための行動:信頼を築き、要件を明確にする;商業的障壁に対処する;関与と共同創造にインセンティブを与える;ビジネスの成長を支援する。
Objective 4: Shape global AI developments to promote security, stability and democratic values. 目標4:安全保障、安定、民主主義の価値を促進するために、グローバルなAIの発展を形成する。
Actions to achieve objective 4: Champion responsible global AI development; Promote security and stability; Develop future security policy. 目的4を達成するための行動:責任あるグローバルなAI開発を支持し、安全保障と安定を促進し、将来の安全保障政策を発展させる。

Fig1_20220626050801出典:U.K. Defence Artificial Intelligence Strategy

 

期待される成果とガバナンス

The four outcomes of AI adoption for Defence: Decision Advantage, Efficiency, Unlock New Capabilities, Empower the Whole Force. 国防のためのAI導入の4つの成果:意思決定の優位性、効率性、新しい能力の解放、全軍の能力強化
The Governance of AI in Defence: There is no single overall owner for AI in Defence. Every business unit and Function has an important role to play if we are to achieve our goals. 国防におけるAIのガバナンス:国防におけるAIの全体的な所有者は一人ではありません。目標を達成するためには、すべてのビジネスユニットとファンクションが重要な役割を担っています。
MOD Head Office: Set AI policy and strategy, define capability targets, direct strategic programmes and ensure overall coherence. 国防省 本部:AI政策と戦略を設定し、能力目標を定め、戦略的プログラムを指示し、全体的な一貫性を確保する。
Business units / Functional Leads: Pursue the forms of AI most relevant to them, guided by this Strategy and direction from Head Office. ビジネスユニット/ファンクショナルリード:この戦略と本部の指示に基づき、各自に最も適したAIの形態を追求する。
Strategic Command: Ensure strategic and operational integration across the warfighting domains. 戦略的コマンド:戦域を越えた戦略的・作戦的統合を確保する。
Overall strategic coherence is managed jointly by the Defence AI and Autonomy Unit (DAU) and the Defence AI Centre (DAIC). The DAU sets strategic policy frameworks governing development, adoption and use of AI. The DAIC is the focal point for AI R&D and technical issues. 全体的な戦略の一貫性は、国防AI・自律化ユニット(DAU)と国防AIセンター(DAIC)が共同で管理する。DAUは、AIの開発、採用、使用を管理する戦略的な政策枠組みを設定する。DAICは、AIの研究開発と技術的な問題の中心的な役割を果たす。

Fig2_20220626053101

出典:U.K. Defence Artificial Intelligence Strategy

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 The global technology context 1.1 世界のテクノロジー事情
1.1.1 The significance of Artificial Intelligence 1.1.1 人工知能の重要性
1.1.2 AI threats 1.1.2 AIの脅威
1.1.3 AI Competition 1.1.3 AIとの競争
1.2 Our response 1.2 私たちの対応
1.3 Ambitious, safe and responsible use of AI 1.3 野心的で安全かつ責任あるAIの使用
1.3.1 Our commitment as a responsible AI user 1.3.1 責任あるAIユーザーとしての私たちのコミットメント
1.3.2 Our commitment to our people 1.3.2 私たちの社員に対するコミットメント
2 Transform into an ‘AI Ready’ organisation 2 「AI Ready」な組織への変革
2.1 Culture, skills and policies 2.1 文化、スキル、ポリシー
2.1.1 Strategic planning for Defence AI skills 2.1.1 国防AIスキルのための戦略的計画
2.1.2 Applying the brightest minds to the AI challenge 2.1.2 AIへの挑戦のための優秀な頭脳の適用
2.1.3 AI leadership at all levels 2.1.3 全レベルでのAIリーダーシップ
2.1.4 Upskilling our workforce 2.1.4 労働力のアップスキル
2.1.5 Diversity and Inclusion 2.1.5 多様性と包括性
2.1.6 Policy, process and legislation 2.1.6 政策、プロセス、法規制
2.2 Digital, data and technology enablers 2.2 デジタル、データ、テクノロジーのイネーブラー
2.2.1 Trusted, coherent and reliable data 2.2.1 信頼できる、一貫性のある、信頼できるデータ
2.2.2 Computing power, networks and hardware 2.2.2 コンピューティングパワー、ネットワーク、ハードウェア
2.2.3 The Defence AI Centre (DAIC) 2.2.3 国防AIセンター(DAIC)
2.2.4 Technical assurance, certification and governance 2.2.4 技術保証、認証、ガバナンス
3 Adopt and Exploit AI at Pace and Scale for Defence Advantage 3 防衛の優位性のために、ペースと規模でAIを採用し、利用する
3.1 Organising for success 3.1 成功のための組織化
3.2 Our approach to delivery 3.2 配信へのアプローチ
3.3 Promoting pace, innovation and experimentation 3.3 ペース、イノベーション、実験の促進
3.3.1 Securing our AI operational advantage 3.3.1 AI運用の優位性の確保
3.4 Working across Government 3.4 政府全体との連携
3.5 International capability collaboration 3.5 国際的な能力協力
3.5.1 Key AI partnerships 3.5.1 主要なAIパートナーシップ
4 Strengthen the UK’s Defence and Security AI Ecosystem 4 英国の国防・安全保障AIエコシステムの強化
4.1 The UK’s AI strengths 4.1 英国のAIの強み
4.1.1 Defence’s role in spurring technological innovation 4.1.1 技術革新を促進するための国防の役割
4.2 Partnership on the basis of trust 4.2 信頼を基礎としたパートナーシップ
4.3 Clearly communicating our AI requirements, intent and expectations 4.3 AIの要件、意図、期待を明確に伝えること
4.4 Addressing barriers to frictionless collaboration 4.4 摩擦のないコラボレーションへの障壁に対処する
4.4.1 Information age acquisition and procurement policy 4.4.1 情報化時代の取得・調達政策
4.5 Incentivising engagement and co-creation 4.5 エンゲージメントと共創のインセンティブを与える
4.5.1 Understanding and reflecting market forces 4.5.1 市場の力を理解し反映させる
4.5.2 Talent exchange 4.5.2 タレント交換
4.5.3 Simplifying access to Defence assets 4.5.3 国防資産へのアクセスの簡素化
4.5.4 Promoting co-creation 4.5.4 共同創作の促進
4.5.5 Business support services 4.5.5 ビジネス支援サービス
5 Shape Global AI Developments to Promote Security, Stability and Democratic Values 5 安全保障、安定、民主的価値観を促進するためのグローバルな AI 開発の形成
5.1 Shape the global development of AI in line with UK goals and values 5.1 英国の目標と価値観に沿ったAIの世界的な発展を形作る
5.1.1 Promote safe and responsible military development and use 5.1.1 安全で責任ある軍事開発と利用を促進する
5.1.2 Influence the global development of AI technologies 5.1.2 AI技術の世界的な発展に影響を与える
5.2 Promote security and stability 5.2 安全保障と安定の促進
5.2.1 Counter-proliferation and arms control 5.2.1 拡散対策と軍備管理
5.2.2 Protecting critical technologies 5.2.2 重要技術の保護
5.2.3 Build confidence and minimise risk 5.2.3 信頼の構築とリスクの最小化
5.3 Develop future security policy 5.3 将来の安全保障政策の策定
5.3.1 AI, strategic systems and deterrence 5.3.1 AI、戦略的システム、抑止力
6 Strategy implementation and beyond 6 戦略の実施とその後
6.1 Priorities 6.1 優先順位
6.2 Leadership and governance 6.2 リーダーシップとガバナンス
6.3 Looking ahead 6.3 今後の展望

 

・[PDF] Defence Artificial Intelligence Strategy

20220626-53536

 

ブログの記事も参考になります。

U.K. GovernmentCentre for Data Ethics and Innovation Blog

・2022.06.15 Enabling the responsible use of AI in defence by

 

 

| | Comments (0)

2022.06.25

SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証

こんにちは、丸山満彦です。

NISTが、SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証を公表し、意見募集をしていますね。。。

昨年3月から初期ドラフトを段階的に発表してきたものです。

これの日本政府版を考えることを想定すると、日米の国力の差は歴然ですね。。。日本製品がないですからね。。。

執筆には、NSA、MITREのメンバーに加えてベンダーからは、ArcherDell TechnologiesEclypsiumHewlett Packard EnterpriseHP Inc.IBMIntelSeagateが参加していますね。。。

 

NIST - ITL

2022.06.23 SP 1800-34 (Draft) Validating the Integrity of Computing Devices

SP 1800-34 (Draft) Validating the Integrity of Computing Devices SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証
Announcement 発表
What Is This Guide About? このガイドは何について書かれているのか?
Technologies today rely on complex, globally distributed and interconnected supply chain ecosystems to provide reusable solutions. Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Managing cyber supply chain risks requires, in part, ensuring the integrity, quality, and resilience of the supply chain and its products and services. This project demonstrates how organizations can verify that the internal components of their computing devices are genuine and have not been altered during the manufacturing or distribution processes. 今日のテクノロジーは、再利用可能なソリューションを提供するために、複雑でグローバルに分散し、相互接続されたサプライチェーンエコシステムに依存している。組織は、意図的であるか否かを問わず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンのリスクを管理するには、サプライチェーンとその製品およびサービスの整合性、品質、および弾力性を確保することが一部で必要とされている。このプロジェクトでは、コンピュータデバイスの内部コンポーネントが本物であり、製造や流通の過程で変更されていないことを組織が確認する方法を紹介する。
Share Your Expertise 専門知識を共有する
Please download the document and share your expertise with us to strengthen the draft practice guide. The public comment period for this draft is now open and will close on July 25th, 2022. You can stay up to date on this project by sending an email to supplychain-nccoe@nist.gov to join our Community of Interest. Also, if you have any project ideas for our team, please let us know by sending an email to the email address above. We look forward to your feedback. 実践ガイドのドラフトを強化するために、ドキュメントをダウンロードし、あなたの専門知識を共有してください。このドラフトに対するパブリックコメント期間は現在開始されており、2022年7月25日に終了する予定である。このプロジェクトに関する最新情報は、supplychain-nccoe@nist.gov までメールをお送りいただき、Community of Interestにご参加ください。また、私たちのチームに対するプロジェクトのアイデアがあれば、上記のメールアドレスにメールを送ってお知らせください。皆様のご意見をお待ちしている。
Additional NIST Supply Chain Work NISTのサプライチェーンに関するその他の作業
NIST is also working on an important effort, the National Initiative for Improving Cybersecurity in Supply Chains (NIICS) with the private sector and others in government to improve cybersecurity in supply chains. This initiative will help organizations to build, evaluate, and assess the cybersecurity of products and services in their supply chains, an area of increasing concern. For more information on this effort, you can click here. NISTは、サプライチェーンにおけるサイバーセキュリティを向上させるために、民間企業や政府関係者とともに「サプライチェーンにおけるサイバーセキュリティ向上のための国家イニシアチブ(NIICS)」という重要な取り組みも行っている。このイニシアティブは、組織がサプライチェーンにおける製品やサービスのサイバーセキュリティを構築、評価、査定することを支援するもので、この分野はますます懸念されている。この取り組みの詳細については、こちらをご覧ください。
Abstract 概要
Organizations are increasingly at risk of cyber supply chain compromise, whether intentional or unintentional. Cyber supply chain risks include counterfeiting, unauthorized production, tampering, theft, and insertion of unexpected software and hardware. Managing these risks requires ensuring the integrity of the cyber supply chain and its products and services. This project will demonstrate how organizations can verify that the internal components of the computing devices they acquire, whether laptops or servers, are genuine and have not been tampered with. This solution relies on device vendors storing information within each device, and organizations using a combination of commercial off-the-shelf and open-source tools that work together to validate the stored information. This NIST Cybersecurity Practice Guide provides a draft describing the work performed so far to build and test the full solution. 組織は、意図的であるか否かにかかわらず、サイバーサプライチェーンの侵害のリスクにさらされることが多くなっている。サイバーサプライチェーンリスクには、偽造、不正生産、改ざん、盗難、予期せぬソフトウェアやハードウェアの挿入などがある。これらのリスクを管理するには、サイバー・サプライ・チェーンとその製品・サービスの完全性を確保する必要がある。このプロジェクトでは、組織が入手したコンピューティングデバイスの内部コンポーネントが、ノートパソコンであれサーバーであれ、本物であり、改ざんされていないことを確認する方法を実証する。このソリューションは、デバイスベンダーが各デバイス内に情報を保存し、組織が市販のツールとオープンソースのツールを組み合わせて使用し、保存された情報を検証することに依存している。このNISTサイバーセキュリティ実践ガイドは、完全なソリューションを構築しテストするためにこれまでに行われた作業を説明するドラフトを提供する。

 

NIST SP 1800-34 ipd

・2022.06.23 Validating the Integrity of Computing Devices NIST 1800-34 Practice Guide Draft

・[PDF] NIST SP 1800-34: Complete Guide

 

20220625-24825

 

目次...

1  Summary 1 概要
1.1  Challenge 1.1 課題
1.2  Solution 1.2 解決策
1.3  Benefits 1.3 利点
2  How to Use This Guide 2 このガイドの使い方
2.1 Typographic Conventions 2.1 タイポグラフィの規則
3 Approach 3 アプローチ
3.1  Audience 3.1 対象者
3.2  Scope 3.2 スコープ
3.2.1  Scenario 1: Creation of Verifiable Platform Artifacts 3.2.1 シナリオ1:検証可能なプラットフォームアーティファクトの作成
3.2.2  Scenario 2: Verification of Components During Acceptance Testing 3.2.2 シナリオ2:受入テストにおけるコンポーネントの検証
3.2.3  Scenario 3: Verification of Components During Use 3.2.3 シナリオ3:使用時のコンポーネントの検証
3.3  Assumptions 3.3 前提条件
3.4  Risk Assessment 3.4 リスクアセスメント
3.4.1  Threats 3.4.1 脅威
3.4.2  Vulnerabilities 3.4.2 脆弱性
3.4.3  Risk 3.4.3 リスク
3.5  Security Control Map 3.5 セキュリティコントロールマップ
3.6  Technologies 3.6 技術
3.6.1  Trusted Computing Group 3.6.1 トラステッドコンピューティンググループ
4  Architecture 4 アーキテクチャ
4.1  Architecture Description 4.1 アーキテクチャの説明
4.2  Existing Enterprise IT Management Systems 4.2 既存の企業IT管理システム
4.2.1  SIEM Tools 4.2.1 SIEMツール
4.2.2  Asset Discovery and Management System 4.2.2 資産発見・管理システム
4.2.3  Configuration Management System 4.2.3 コンフィギュレーション管理システム
4.2.4  Enterprise Dashboards 4.2.4 エンタープライズダッシュボード
4.3  Supporting Platform Integrity Validation Systems 4.3 サポートするプラットフォーム整合性検証システム
4.3.1  Host Integrity at Runtime and Start-up Attestation Certificate Authority (HIRS ACA)25  4.3.1 ランタイムおよびスタートアップ時のホスト完全性認証局(HIRS ACA)
4.3.2  Network Boot Services 4.3.2 ネットワークブートサービス
4.3.3  Platform Manifest Correlation System 4.3.3 プラットフォームマニフェスト相関システム
4.3.4  Eclypsium Analytic Platform 4.3.4 分析プラットフォーム
4.4  Computing Devices 4.4 コンピューティングデバイス
4.4.1  HP Inc 4.4.1 HP Inc.
4.4.2  Dell Technologies 4.4.2 デル・テクノロジー
4.4.3  Intel 4.4.3 インテル
4.4.4 Hewlett Packard Enterprise (HPE) 4.4.4 ヒューレット・パッカード・エンタープライズ(HPE)
4.4.5 Seagate 4.4.5 シーゲイト
5  Security Characteristic Analysis 5 セキュリティ特性分析
5.1  Assumptions and Limitations 5.1 前提条件と制限事項
5.2  Build Testing 5.2 ビルドテスト
5.2.1  Scenario 1 5.2.1 シナリオ1
5.2.2  Scenario 2 5.2.2 シナリオ2
5.2.3  Scenario 3 5.2.3 シナリオ3
5.3  Scenarios and Findings 5.3 シナリオと調査結果
5.3.1  Supply Chain Risk Management (ID.SC) 5.3.1 サプライチェーンリスクマネジメント(ID.SC)
5.3.2  Asset Management (ID.AM) 5.3.2 アセットマネジメント(ID.AM)
5.3.3  Identity Management, Authentication and Access Control (PR.AC) 5.3.3 アイデンティティ管理、認証、アクセス制御(PR.AC)
5.3.4  Data Security (PR.DS) 5.3.4 データセキュリティ(PR.DS)
5.3.5  Security Continuous Monitoring (DE.CM) 5.3.5 セキュリティ継続監視(DE.CM)
6  Future Build Considerations 6 今後の構築に関する考察
Appendix A List of Acronyms 附属書 A 頭字語(英語)リスト
Appendix B References 附属書 B 参考文献
Appendix C Project Scenario Sequence Diagrams 附属書 C プロジェクトシナリオシーケンスダイアグラム

 


まるちゃんの情報セキュリティティ気まぐれ日記

 

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2021.11.25 NIST SP 1800-34C (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.09.03 NIST SP 1800-34B (ドラフト) コンピューティングデバイスの完全性の検証(初期ドラフト)

・2021.03.18 NIST SP 1800-34 (Draft) Validating the Integrity of Computing Devices (コンピューティングデバイスの完全性の検証)(Preliminary Draft)

Continue reading "SP 1800-34 (ドラフト) コンピューティングデバイスの完全性の検証"

| | Comments (0)

米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル(約1兆700億円)サイバーセキュリティも強化項目

こんにちは、丸山満彦です。

GAOの来年度の予算要求額は8億1,030万ドル(約1兆700億円)で、今年よりも12.7%、9,110万ドル(約120億円)の増加となりますね。昨年度はサイバーセキュリティに関する監査能力の向上が目玉?になっていましたが、今年も引き続き、サイバーセキュリティの専門性を高めていくとなっていますね。。。

● U.S. Government Accountability Office; GAO

・2022.07.28 Information Technology and Cybersecurity:Using Scorecards to Monitor Agencies' Implementation of Statutory Requirements

 

・[PDF] Full Report

20220802-64951

 

 

Fiscal Year 2023 Budget Request:U.S. Government Accountability Office 2023年会計年度予算要求:米国政府説明責任局
GAO-22-900397 GAO-22-900397
Fast Facts 基本情報
For the last 5 years, our work yielded an average of $158 in financial benefits for every $1 invested in us, as well as an annual average of over 1,300 other benefits. 過去5年間、我々の仕事は、1ドルの投資に対して平均158ドルの経済的利益をもたらし、また年平均1,300以上のその他の利益をもたらした。
In this testimony before the Senate Subcommittee on the Legislative Branch, Committee on Appropriations, U.S. Comptroller General Gene Dodaro discusses GAO's FY 2023 budget request. We're continuing to evolve with the changing economic and security landscapes and technological developments. この証言は、上院歳出委員会立法府小委員会において、ジーン・ドダロ会計監査役がGAOの2023年度予算要求について述べたものである。私たちは、経済・安全保障環境の変化や技術開発に合わせて進化を続けている。
For example, we're continuing to grow our cybersecurity expertise and we just launched the GAO Antifraud Resource in Jan. 2022 to help combat fraud that affects the federal government. 例えば、サイバーセキュリティの専門性を高め続けていますし、2022年1月には、連邦政府に影響を与える不正に対抗するためのGAO Antifraud Resourceを立ち上げたばかりである。
Highlights ハイライト
GAO Results GAOの成果
For over a century, GAO has been committed to providing nonpartisan, professional and objective program and technical expertise to support Congress in overseeing the executive branch; evaluating government programs, operations and spending priorities; and assessing information from outside parties. GAOは1世紀以上にわたり、行政府の監督、政府のプログラム、運営、支出の優先順位の評価、外部からの情報の評価において議会を支援するため、超党派で専門的かつ客観的なプログラムおよび技術の専門知識の提供に専念してきた。
Since 2002, GAO’s work has resulted in about $1.26 trillion in financial benefits. Our work has helped change laws, improve public safety and other services, and promote better management throughout the government. Our average return on investment for the past five years is $158 to $1. We have also identified on average over 1,300 program and operational benefits that produced a more effective and efficient government each year during the same time period. 2002年以来、GAOの活動は約1兆2,600億ドルの財政的利益をもたらした。私たちの仕事は、法律の改正、公共安全やその他のサービスの改善、政府全体のより良い管理の推進に役立っている。また、過去5年間の平均投資収益率は1ドル=158ドルで、同期間中に毎年平均1,300以上のプログラムおよび業務上の利益を確認し、より効果的・効率的な政府を実現した。
GAO FY 2023 Request and Priorities GAOの2023年度要請と優先事項
GAO requests $810.3 million for FY 2023, an increase of $91.1 million (12.7 percent) over the enacted FY 2022 level. GAO also requests the use of $61.0 million in offsets and supplemental appropriations. With this budget request, we are planning to achieve and maintain 3,500 full-time equivalents (FTEs) in FY 2023. GAOは、2023年度に8億1030万ドルを要求しており、2022年度制定レベルより9,110万ドル(12.7%)増である。GAOはまた、6,100万ドルのオフセットと補正予算の使用を要請している。この予算要求により、2023年度に3,500人のフルタイム相当(FTE)を達成・維持する予定である。
The request for $810.3 in appropriated funds includes $25 million in no-year funds to help meet the congressional directives and requests for oversight of federal infrastructure spending included in the Infrastructure Investment and Jobs Act. 充当資金810.3ドルの要求には、インフラ投資・雇用法に含まれる連邦インフラ支出の監視に関する議会の指示・要求に応えるための無年金資金2500万ドルが含まれている。
Overall, the resources extended to GAO in the FY 2023 budget request will enable GAO to continue to increase our capabilities to review the opportunities and challenges associated with rapidly evolving science and technology issues; complex and growing cyber security developments, increasingly complex national security issues and the re-emergence of long-term, strategic competition; and rising health care costs. 全体として、2023年度予算要求でGAOに拡大された資源により、GAOは、急速に発展する科学技術問題、複雑で増大するサイバーセキュリティーの発展、ますます複雑化する国家安全保障問題や長期戦略的競争の再出現、医療費上昇に関連する機会と課題を検討する能力を引き続き高めることができるようになる。
The FY 2023 budget request also prioritizes GAO’s multi-year effort to ensure we have the 21st century tools and technologies needed to support our workforce and achieve our mission, including enhanced cloud data management and storage solutions, and IT security upgrades to combat the ever-growing cybersecurity threats toward U.S. assets. Lastly, this request continues support for long deferred infrastructure maintenance needs as our workforce returns to the workplace. また、2023年度予算要求では、GAOの複数年にわたる取り組みとして、労働力を支援し任務を達成するために必要な21世紀のツールと技術を確保することを優先し、クラウドデータ管理とストレージソリューションの強化、米国資産に対する増大し続けるサイバーセキュリティの脅威と戦うためのITセキュリティのアップグレードを含むとしている。最後に、本要求は、労働力の職場復帰に伴い、長年延期されてきたインフラ保守の必要性を引き続き支援するものである。
GAO FY 2021 Key Results GAOの2021年度の主な結果
GAO documented $66.2 billion in financial benefits and over 1,200 in program and operational benefits in FY 2021. GAO issued 578 reports and more than 500 legal decisions, and made 1,602 recommendations to improve government operations. GAO also testified at least once before 45 separate committees or subcommittees on a range of issues. GAOは、2021年度に662億ドルの財政的利益と1,200以上のプログラムおよび運用上の利益を文書化した。GAOは578の報告書と500以上の法的判断を発表し、政府業務の改善に向けた1,602の提言を行った。またGAOは、さまざまな問題について45の別々の委員会または小委員会で少なくとも1回は証言した。
The Congress continues to use GAO’s work to inform its legislative decisions. For example, recently enacted legislation, such as the National Defense Authorization Act for FY 2022, Consolidated Appropriations Act for FY 2021, and Infrastructure Investment and Jobs Act included more than 50 directives for agencies to implement our recommendations or take actions based on recommendations or findings. Most recently, the Consolidated Appropriations Act for FY 2022 included over 25 directives that would spur agency action on GAO’s recommendations. 議会は、GAOの仕事を立法判断に役立て続けている。例えば、最近成立した2022年度国防権限法、2021年度連結歳出法、インフラ投資・雇用法などの法律には、政府機関に対し、当社の勧告を実施するか、勧告や調査結果に基づく行動を取るよう50以上の指令が含まれている。直近では、2022年度連結歳出法が、GAOの勧告に対する各省庁の行動を促進する25以上の指令を含んでいた。

 

 

予算等の推移

20220802-65453

 

日本の会計検査院(令和4年)と比較してみましょう、、、

  GAO 会計検査院
Gene Dodaro 森田祐司
設置 1921年 1880年
人数 約3,500名(FTE) 約1,250名(2022.01)
予算 2023年度 要求 810 M US$ (約1兆700億円) 約169億円
予算 2022年度 719 M US$ (約792億円)  約168億円
予算 2019年度 637 M US$ (約700億円) 約177億円

GDP比的に見ても米国は厚い陣容です。。。

差は開くばかり。。。

ちなみに、現在の会計検査院長の森田さんは、私がトーマツに入った時の上司で最初の結婚式の仲人的な方です。システム監査をしておられて、ISACAに入るきっかけになった方でもあります(^^)。

 


■ 参考

● 会計検査院 - 会計検査院の予算・決算 - 令和4年度予算

 

 

 

昨年度...

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.05.02 100周年を迎えるU.S. GAOの来年度 (FY22) の予算要求額は7億4,430万ドル(約820億円)サイバーセキュリティ監査能力の強化

 

 

| | Comments (0)

2022.06.24

個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催され、資料が公開されていますね。。。

欧州主要国における顔識別機能付カメラの利用に関する法制度の調査と報告書案が示されていますね。。。

個人情報保護委員会

・2022.06.20 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第 議事次第

・[PDF] 資料1 報告書素案

20220624-33426

・[PDF] 資料2 欧州主要国における顔識別機能付カメラの利用に関する法制度の調査

20220624-33625

 


 

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

米国 2021年連邦ローテーシナル・サイバー要員プログラム法、2021年州・地方政府サイバーセキュリティ法に大統領が署名 (2022.06.21)

こんにちは、丸山満彦です。

バイデン大統領が、2021年連邦ローテーシナル・サイバー要員プログラム法、2021年州・地方政府サイバーセキュリティ法に署名していますね。。。

2021年連邦ローテーシナル・サイバー要員プログラム法は、連邦政府内でサイバー人材を派遣しあい、人材リソースの共有を促進し、教育効果も高めるために実施するのだろうと思います。

2021年州・地方政府サイバーセキュリティ法は、DHSと州・地方政府等の連携を深め、連邦政府が、州・地方政府のサイバー耐性を強化することを支援するというものだろうと思います。

不足するサイバー人材を共有と育成を通じて強化していこうということなんでしょうかね。。。

日本でも参考になるかもしれませんね。。。

 

The White House

・2021.06.21 Press Release: Bill Signed: S. 1097, S. 2520, and S. 3823

Press Release: Bill Signed: S. 1097, S. 2520, and S. 3823 プレスリリース 法案S. 1097、S. 2520、S. 3823は署名された
On Tuesday, June 21, 2022, the President signed into law: 2022年6月21日(火) 、大統領は法案に署名した。
S. 1097, the “Federal Rotational Cyber Workforce Program Act of 2021,” which establishes a Federal rotational cyber workforce program for the Federal cyber workforce; S. 1097「2021年連邦ローテーシナル・サイバー要員プログラム法」は、連邦サイバー要員のための連邦ローテーシナル・サイバー要員プログラムを確立するものである。
Thank you to Senators Peters, Hoeven, and Rosen and Representatives Khanna and Mace for their leadership. ピータース、ホーヴェン、ローゼン各上院議員、カンナ、メイス両衆院議員のリーダーシップに感謝する。
S. 2520, the “State and Local Government Cybersecurity Act of 2021,” which requires the Department of Homeland Security to increase collaboration with State, local, Tribal, and territorial governments on cybersecurity issues; S. 2520「2021年州・地方政府サイバーセキュリティ法」は、国土安全保障省に対し、サイバーセキュリティ問題に関して州・地方・部族・準州政府との協力を強化するよう求めるものである。
Thank you to Senators Peters, Portman, and Rosen, and Representative Neguse for their leadership. ピータース、ポートマン、ローゼン各上院議員、ネグセ代表のリーダーシップに感謝する。
S. 3823, the “Bankruptcy Threshold Adjustment and Technical Corrections Act,” which raises certain bankruptcy threshold limits and makes technical corrections to the Bankruptcy Administration Improvement Act. S. 3823, "破産閾値調整および技術的修正に関する法律", これは破産基準額の引き上げと破産行政改善法の技術的修正を行うものである。
 Thank you to Senators Grassley, Durbin, Whitehouse, and Cornyn, and Representatives Neguse and Cline for their leadership.  グラスリー、ダービン、ホワイトハウス、コーニン各上院議員、ネグズ、クライン両衆議院議員のリーダーシップに感謝する。

 

Congress Gov

S.1097 - Federal Rotational Cyber Workforce Program Act of 2021

概要...

Federal Rotational Cyber Workforce Program Act of 2021 2021年連邦ローテーシナル・サイバー要員プログラム法
This bill establishes a rotational cyber workforce program under which certain federal employees may be detailed among rotational cyber workforce positions at other agencies. 本法案は、特定の連邦職員が他省庁の連邦ローテーシナル・サイバー要員職の間で詳細な情報を得ることができるローテーシナル・サイバー要員プログラムを確立するものである。
This bill authorizes an agency to determine whether a workforce position involving information technology, cybersecurity, or other cyber-related functions in that agency is eligible for the program. 本法案は、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能に関わる要員職が、その機関のプログラムの対象となるかどうかを決定する権限を省庁に与えている。
Additionally, the bill requires the Office of Personnel Management to issue a Federal Rotational Cyber Workforce Program operation plan providing policies, processes, and procedures for detailing employees among rotational cyber workforce positions at agencies. さらに、本法案は、人事管理局に対し、各省庁のローテーシナル・サイバー要員職間の職員の詳細に関する方針、プロセス、手順を定めたローテーシナル・サイバー要員プログラムの運営計画を発行することを求めている。
The Government Accountability Office must assess the operation and effectiveness of the rotational cyber workforce program by addressing the extent to which agencies have participated in the program and the experiences of employees serving in the program. 政府説明責任局は、各省庁がどの程度このプログラムに参加しているか、またこのプログラムに従事している職員の経験を取り上げることにより、ローテーシナル・サイバー要員プログラムの運用と有効性を評価しなければならない。

条文...

S.1097 - Federal Rotational Cyber Workforce Program Act of 2021 117th Congress (2021-2022)  S.1097 -  2021年連邦ローテーシナル・サイバー要員プログラム法  第117回議会 (2021-2022) 
SECTION 1. SHORT TITLE. 第1条 短いタイトル
This Act may be cited as the “Federal Rotational Cyber Workforce Program Act of 2021”. 本法は、「2021年連邦ローテーシナル・サイバー要員プログラム法」として引用されることがある。
SEC. 2. DEFINITIONS. 第2条 定義
In this Act: 本法において
(1) AGENCY.—The term “agency” has the meaning given the term “Executive agency” in section 105 of title 5, United States Code, except that the term does not include the Government Accountability Office. (1) 省庁:「省庁」という用語は、政府説明責任局を含まないことを除き、合衆国法典第5編第105節において「行政省庁」という用語に与えられている意味を有する。
(2) COMPETITIVE SERVICE.—The term “competitive service” has the meaning given that term in section 2102 of title 5, United States Code. (2) 競争サービス:「競争サービス」という用語は、合衆国法典第5編第2102節においてその用語が与えられている意味を有する。
(3) COUNCILS.—The term “Councils” means— (3) 評議会:「評議会」という用語は、以下を意味する。
(A) the Chief Human Capital Officers Council established under section 1303 of the Chief Human Capital Officers Act of 2002 (5 U.S.C. 1401 note); and (A) 2002年最高人事責任者法(5 U.S.C. 1401注) の第1303条に基づき設立された最高人事責任者評議会。
(B) the Chief Information Officers Council established under section 3603 of title 44, United States Code. (B) 米国連邦法典第 44 編第 3603 条に基づき設立された最高情報責任者評議会。
(4) CYBER WORKFORCE POSITION.—The term “cyber workforce position” means a position identified as having information technology, cybersecurity, or other cyber-related functions under section 303 of the Federal Cybersecurity Workforce Assessment Act of 2015 (5 U.S.C. 301 note). (4) サイバー要員職:「サイバー要員職」という用語は、2015年連邦サイバーセキュリティ人材評価法(5 U.S.C. 301注) 第303条に基づき、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能を有すると特定される職を意味する。
(5) DIRECTOR.—The term “Director” means the Director of the Office of Personnel Management. (5) ディレクター :「ディレクター」という用語は、人事管理局のディレクターを意味する。
(6) EMPLOYEE.—The term “employee” has the meaning given the term in section 2105 of title 5, United States Code. (6) 従業員:「従業員」という用語は、合衆国法典第 5 編第 2105 条に規定される意味を有する。
(7) EMPLOYING AGENCY.—The term “employing agency” means the agency from which an employee is detailed to a rotational cyber workforce position. (7) 雇用省庁:「雇用省庁」という用語は、職員がローテーシナル・サイバー要員職に就くために派遣される省庁を意味する。
(8) EXCEPTED SERVICE.—The term “excepted service” has the meaning given that term in section 2103 of title 5, United States Code. (8) 除外勤務:「除外勤務」という用語は、合衆国法典第5編第2103節に規定される意味を持つ。
(9) ROTATIONAL CYBER WORKFORCE POSITION.—The term “rotational cyber workforce position” means a cyber workforce position with respect to which a determination has been made under section 3(a) (1) . (9) ローテーショナル・サイバー要員職:「ローテーショナル・サイバー要員職」という用語は、第3条 (a) (1) に基づく決定が行われたサイバー要員職をいう。
(10) ROTATIONAL CYBER WORKFORCE PROGRAM.—The term “rotational cyber workforce program” means the program for the detail of employees among rotational cyber workforce positions at agencies. (10) ローテーショナル・サイバー要員プログラム:「ローテーショナル・サイバー要員プログラム」という用語は、省庁のローテーショナル・サイバー要員職の間で職員を細かく分類するためのプログラムを意味する。
(11) SECRETARY.—The term “Secretary” means the Secretary of Homeland Security. (11) 長官:「長官」という用語は、国土安全保障省の長官を意味する。
SEC. 3. ROTATIONAL CYBER WORKFORCE POSITIONS. 第3条 ローテーシナル・サイバー要員職
(a) Determination With Respect To Rotational Service.— (a) ローテショナル勤務に関する決定。
(1) IN GENERAL.—The head of each agency may determine that a cyber workforce position in that agency is eligible for the rotational cyber workforce program, which shall not be construed to modify the requirement under section 4(b) (3) that participation in the rotational cyber workforce program by an employee shall be voluntary. (1) 一般:各省庁の長は、当該省庁のサイバー要員職がローテーシナル・サイバー要員プログラムに適格であると判断することができるが、これは、職員によるローテーシナル・サイバー要員プログラムへの参加は任意でなければならないという第 4 項 (b) (3) の要件を修正するものと解釈されてはならない。
(2) NOTICE PROVIDED.—The head of an agency shall submit to the Director— (2) 提供される通知:省庁の長は、局長に以下を提出するものとする。
(A) notice regarding any determination made by the head of the agency under paragraph (1) ; and (A) 第(1) 項に基づき当該省庁の長が行った決定に関する通知。
(B) for each position with respect to which the head of the agency makes a determination under paragraph (1) , the information required under subsection (b) (1) . (B) (1) に基づく決定が行われた各職種について、(b) (1) に基づき必要とされる情報。
(b) Preparation Of List.—The Director, with assistance from the Councils and the Secretary, shall develop a list of rotational cyber workforce positions that— (b) リストの作成-長官は、審議会および長官の支援を得て、以下のようなローテーショナル・サイバー要員職のリストを作成するものとする。
(1) with respect to each such position, to the extent that the information does not disclose sensitive national security information, includes— (1) 各職種について、国家安全保障上の機密情報を開示しない範囲において、以下を含む。
(A) the title of the position; (A) 役職のタイトル
(B) the occupational series with respect to the position; (B) 当該職種に関する職業系列
(C) the grade level or work level with respect to the position; (C) 当該職種の等級または業務レベル。
(D) the agency in which the position is located; (D) 当該職種の所属省庁
(E) the duty location with respect to the position; and (E) 当該職種の勤務地。
(F) the major duties and functions of the position; and (F) 職務の主な任務と機能。
(2) shall be used to support the rotational cyber workforce program. (2) ローテーシナル・サイバー要員プログラムを支援するために使用されるものとする。
(c) Distribution Of List.—Not less frequently than annually, the Director shall distribute an updated list developed under subsection (b) to the head of each agency and other appropriate entities. (c) リストの配布:少なくとも年に一度、長官は (b) に基づいて作成された最新のリストを各省庁の長および他の適切な団体に配布しなければならない。
SEC. 4. ROTATIONAL CYBER WORKFORCE PROGRAM. 第4条 ローテーシナル・サイバー要員プログラム
(a) Operation Plan.— (a) 運用計画
(1) IN GENERAL.—Not later than 270 days after the date of enactment of this Act, and in consultation with the Councils, the Secretary, representatives of other agencies, and any other entity as the Director determines appropriate, the Director shall develop and issue a Federal Rotational Cyber Workforce Program operation plan providing policies, processes, and procedures for a program for the detailing of employees among rotational cyber workforce positions at agencies, which may be incorporated into and implemented through mechanisms in existence on the date of enactment of this Act. (1) 一般:本法律の制定日から270日以内に、審議会、長官、他の省庁の代表者、および長官が適切と判断する他の団体と協議の上、長官は、省庁のローテーシナル・サイバー要員職間で職員の詳細を決めるためのプログラムの方針、プロセス、手順を定めた連邦ローテーシナル・サイバー要員プログラム運用計画を策定し発行しなければならず、これは本法の制定日に存在する機構に組み込まれて実施することが可能だ。
(2) UPDATING.—The Director may, in consultation with the Councils, the Secretary, and other entities as the Director determines appropriate, periodically update the operation plan developed and issued under paragraph (1) . (2) 更新:長官は、審議会、長官、および長官が適切と判断する他の組織と協議して、第 (1) 項に基づいて作成・発行された運用計画を定期的に更新することができる。
(b) Requirements.—The operation plan developed and issued under subsection (a) shall, at a minimum— (b) 要件:(a) に基づいて作成、発行された運営計画は、最低限次のことを行わなければならない。
(1) identify agencies for participation in the rotational cyber workforce program; (1) ローテーシナル・サイバー要員プログラムに参加する省庁を特定する。
(2) establish procedures for the rotational cyber workforce program, including— (2) 以下を含む、ローテーシナル・サイバー要員プログラムの手順を確立する。
(A) any training, education, or career development requirements associated with participation in the rotational cyber workforce program; (A) ローテーシナル・サイバー要員プログラムへの参加に関連する訓練、教育、またはキャリア開発要件。
(B) any prerequisites or requirements for participation in the rotational cyber workforce program; and (B) ローテーシナル・サイバー要員プログラムへの参加に必要な前提条件または要件
(C) appropriate rotational cyber workforce program performance measures, reporting requirements, employee exit surveys, and other accountability devices for the evaluation of the program; (C) 適切なローテーシナル・サイバー要員プログラムの成果指標、報告要件、従業員の退社調査、およびプログラム評価のためのその他の説明責任装置。
(3) provide that participation in the rotational cyber workforce program by an employee shall be voluntary; (3) 従業員によるローテーシナル・サイバー要員プログラムへの参加は任意であることを規定する。
(4) provide that an employee shall be eligible to participate in the rotational cyber workforce program if the head of the employing agency of the employee, or a designee of the head of the employing agency of the employee, approves of the participation of the employee; (4) 被雇用者の雇用省庁の長、または雇用省庁の長の被指名人が、被雇用者の参加を承認した場合、被雇用者はローテーシナル・サイバー要員プログラムに参加する資格を有すると規定する。
(5) provide that the detail of an employee to a rotational cyber workforce position under the rotational cyber workforce program shall be on a nonreimbursable basis; (5) ローテーシナル・サイバー要員プログラムに基づくローテーシナル・サイバー要員職への職員の派遣は、経費負担がないものとすることを規定する。
(6) provide that agencies may agree to partner to ensure that the employing agency of an employee that participates in the rotational cyber workforce program is able to fill the position vacated by the employee; (6) 各省庁は、ローテーシナル・サイバー要員プログラムに参加する職員の雇用省庁が、その職員が空けた職を埋めることができるように、提携することに同意することができることを規定する。
(7) require that an employee detailed to a rotational cyber workforce position under the rotational cyber workforce program, upon the end of the period of service with respect to the detail, shall be entitled to return to the position held by the employee, or an equivalent position, in the employing agency of the employee without loss of pay, seniority, or other rights or benefits to which the employee would have been entitled had the employee not been detailed; (7) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に派遣された職員は、派遣に関する勤務期間が終了した時点で、給与、年功、その他派遣されていなかった場合に与えられるであろう権利や利益を失うことなく、その職員が雇用する省庁で、その職員が持っていた職、または同等の職に戻る権利があることを義務付ける。
(8) provide that discretion with respect to the assignment of an employee under the rotational cyber workforce program shall remain with the employing agency of the employee; (8) ローテーシナル・サイバー要員プログラムに基づく職員の配置に関する裁量は、当該職員の雇用省庁に委ねられることを規定する。
(9) require that an employee detailed to a rotational cyber workforce position under the rotational cyber workforce program in an agency that is not the employing agency of the employee shall have all the rights that would be available to the employee if the employee were detailed under a provision of law other than this Act from the employing agency to the agency in which the rotational cyber workforce position is located; (9) 職員の雇用省庁ではない省庁で、ローテーシナル・サイバー要員プログラムに基づきローテーシナル・サイバー要員職に派遣された職員は、雇用省庁からローテーシナル・サイバー要員職のある省庁へ、本法以外の法律の規定に基づいて職員が派遣された場合に与えられるすべての権利を有することを義務付ける。
(10) provide that participation by an employee in the rotational cyber workforce program shall not constitute a change in the conditions of the employment of the employee; and (10) 職員がローテーシナル・サイバー要員プログラムに参加することは、当該職員の雇用条件の変更にはならないことを規定する。
(11) provide that an employee participating in the rotational cyber workforce program shall receive performance evaluations relating to service in the rotational cyber workforce program in a participating agency that are— (11) ローテーシナル・サイバー要員プログラムに参加する職員は、参加省庁におけるローテーシナル・サイバー要員プログラムでの勤務に関連し、以下のような業績評価を受けるものとする。
(A) prepared by an appropriate officer, supervisor, or management official of the employing agency, acting in coordination with the supervisor at the agency in which the employee is performing service in the rotational cyber workforce position; (A) 雇用省庁の適切な役員、監督者、または管理職員が、当該職員がローテーシナル・サイバー要員として勤務している省庁の監督者と連携して作成したものであること。
(B) based on objectives identified in the operation plan with respect to the employee; and (B) 当該従業員に関する業務計画で特定された目標に基づく。
(C) based in whole or in part on the contribution of the employee to the agency in which the employee performed such service, as communicated from that agency to the employing agency of the employee. (C) 当該職員が勤務していた省庁から当該職員の雇用省庁に伝達された、当該職員による当該省庁への貢献の全部または一部に基づくものであること。
(c) Program Requirements For Rotational Service.— (c) ローテーション勤務のためのプログラム要件。
(1) IN GENERAL.—An employee serving in a cyber workforce position in an agency may, with the approval of the head of the agency, submit an application for detail to a rotational cyber workforce position that appears on the list developed under section 3(b) . (1) 一般:ある省庁のサイバー要員職の職員は、その省庁の長の承認を得て、第3項 (b) に基づいて作成されたリストに掲載されているサイバー要員職のローテーションへの派遣申請を提出することができる。
(2) OPM APPROVAL FOR CERTAIN POSITIONS.—An employee serving in a position in the excepted service may only be selected for a rotational cyber workforce position that is in the competitive service with the prior approval of the Office of Personnel Management, in accordance with section 300.301 of title 5, Code of Federal Regulations, or any successor thereto. (2) 特定の職に対する人事院の承認: 除外勤務の職に就いている職員は、連邦規則集第5編300.301項またはその後継に従って、人事院の事前承認を得た場合にのみ、競争勤務のローテーショナル・サイバー要員職に選出されることができる。
(3) SELECTION AND TERM.— (3) 選定と期間
(A) SELECTION.—The head of an agency shall select an employee for a rotational cyber workforce position under the rotational cyber workforce program in a manner that is consistent with the merit system principles under section 2301(b) of title 5, United States Code. (A) 選考:省庁の長は、合衆国法典第 5 編第 2301 条(b) に基づく能力主義の原則に合致する方法で、ロー テーション・サイバー要員プログラムのローテーシナル・サイバー要員職の職員を選考するものとする。
(B) TERM.—Except as provided in subparagraph (C) , and notwithstanding section 3341(b) of title 5, United States Code, a detail to a rotational cyber workforce position shall be for a period of not less than 180 days and not more than 1 year. (B) 期間:(C) 項に規定される場合を除き、また合衆国法典第 5 編第 3341(b) 条にかかわらず、ロー テーション・サイバー要員職への派遣は、180 日以上 1 年以下の期間でなければならない。
(C) EXTENSION.—The Chief Human Capital Officer of the agency to which an employee is detailed under the rotational cyber workforce program may extend the period of a detail described in subparagraph (B) for a period of 60 days unless the Chief Human Capital Officer of the employing agency of the employee objects to that extension. (C) 延長:ローテーシナル・サイバー要員プログラムのもとで職員が派遣される省庁の人的資源最高責任者は、その職員の雇用省庁の人的資源最高責任者が延長に反対しない限り、(B) 項に記載の派遣の期間を 60 日間延長することができる。
(4) WRITTEN SERVICE AGREEMENTS.— (4) 書面による業務委託契約
(A) IN GENERAL.—The detail of an employee to a rotational cyber workforce position shall be contingent upon the employee entering into a written service agreement with the employing agency under which the employee is required to complete a period of employment with the employing agency following the conclusion of the detail that is equal in length to the period of the detail. (A) 一般:ローテーショナル・サイバー要員職への派遣は、派遣終了後、派遣期間と同程度の雇用期間を雇用省庁で過ごすことを義務付ける、書面による勤務契約を従業員が雇用省庁と締結することを条件とする。
(B) OTHER AGREEMENTS AND OBLIGATIONS.—A written service agreement under subparagraph (A) shall not supersede or modify the terms or conditions of any other service agreement entered into by the employee under any other authority or relieve the obligations between the employee and the employing agency under such a service agreement. Nothing in this subparagraph prevents an employing agency from terminating a service agreement entered into under any other authority under the terms of such agreement or as required by law or regulation. (B) その他の契約および義務:(A) 号に基づく書面による業務協定は、他の権限に基づき被雇用者が締結したその他の業務協定の条件に取って代わり、または条件を変更するものではなく、当該業務協定に基づく被雇用者と雇用省庁の間の義務を免除するものでもない。本項は、雇用省庁が他の権限の下で締結されたサービス契約を、当該契約の条件に基づき、または法律もしくは規則の要求に従って終了させることを妨げるものではない。
SEC. 5. REPORTING BY GAO. 第5条 GAOによる報告
Not later than the end of the third fiscal year after the fiscal year in which the operation plan under section 4(a) is issued, the Comptroller General of the United States shall submit to Congress a report assessing the operation and effectiveness of the rotational cyber workforce program, which shall address, at a minimum— 第4項 (a) に基づく運営計画が発行された会計年度の後、第3会計年度末までに、米国会計検査院は、ローテーシナル・サイバー要員プログラムの運営と効果を評価する報告書を議会に提出し、最低限以下の事項を記載しなければならない。
(1) the extent to which agencies have participated in the rotational cyber workforce program, including whether the head of each such participating agency has— (1) 各省庁がローテーシナル・サイバー要員プログラムにどの程度参加しているか、各参加省庁の長が以下を行ったかどうかを含む。
(A) identified positions within the agency that are rotational cyber workforce positions; (A) 当該省庁において、ローテーシナル・サイバー要員となる役職を特定したこと、
(B) had employees from other participating agencies serve in positions described in subparagraph (A) ; and (B) 他の参加省庁の職員に (A) 号に記載された職務を担当させたこと、および
(C) had employees of the agency request to serve in rotational cyber workforce positions under the rotational cyber workforce program in participating agencies, including a description of how many such requests were approved; and (C) 当該省庁の職員が、参加省庁のローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に就くことを要請し、そのような要請が何件承認されたかの説明も含めている。
(2) the experiences of employees serving in rotational cyber workforce positions under the rotational cyber workforce program, including an assessment of— (2) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員として勤務した従業員の経験(以下の評価を含む) 。
(A) the period of service; (A) 勤務期間
(B) the positions (including grade level and occupational series or work level) held by employees before completing service in a rotational cyber workforce position under the rotational cyber workforce program; (B) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職に就く前に従業員が就いていた職(等級レベル、職業系列または業務レベルを含む) 。
(C) the extent to which each employee who completed service in a rotational cyber workforce position under the rotational cyber workforce program achieved a higher skill level, or attained a skill level in a different area, with respect to information technology, cybersecurity, or other cyber-related functions; and (C) ローテーシナル・サイバー要員プログラムの下でローテーシナル・サイバー要員職での勤務を終えた各従業員が、情報技術、サイバーセキュリティ、またはその他のサイバー関連機能に関して、どの程度高いスキルレベルを達成したか、または異なる分野でスキルレベルを達成したか。
(D) the extent to which service in rotational cyber workforce positions has affected intra-agency and interagency integration and coordination of cyber practices, functions, and personnel management. (D) ローテーシナル・サイバー要員職での勤務が、サイバー業務、機能、および人事管理の省庁内および省庁間の統合および調整にどの程度影響を及ぼしたか。
SEC. 6. SUNSET. 第6条 適用期間
Effective 5 years after the date of enactment of this Act, this Act is repealed. 本法律成立の日から5年後に、本法律は廃止される。

 

 


S.2520 - State and Local Government Cybersecurity Act of 2021

概要...

State and Local Government Cybersecurity Act of 2021 2021年州・地方政府サイバーセキュリティ法
This bill provides for collaboration between the Department of Homeland Security (DHS) and state, local, tribal, and territorial governments, as well as corporations, associations, and the general public, regarding cybersecurity. 本法案は、国土安全保障省(DHS)と州・地方・部族・準州政府、および企業・団体・一般市民とのサイバーセキュリティに関する協力について定めるものである。
The bill expands DHS responsibilities through grants and cooperative agreements, including provision of assistance and education related to cyber threat indicators, proactive and defensive measures and cybersecurity technologies, cybersecurity risks and vulnerabilities, incident response and management, analysis, and warnings. 法案は、サイバー脅威の指標、事前対策と防御策、サイバーセキュリティ技術、サイバーセキュリティのリスクと脆弱性、事故対応と管理、分析、警告に関する支援と教育の提供を含む、助成金と協力協定を通じてDHSの責任を拡大する。
The bill requires the National Cybersecurity and Communications Integration Center, upon request, to coordinate with entities such as the Multi-State Information Sharing and Analysis Center to engage in specified activities, including to (1) conduct exercises with state, local, tribal, or territorial government entities; (2) provide operational and technical cybersecurity training to such entities; and (3) promote cybersecurity education and awareness. この法案は、国家サイバーセキュリティ通信統合センターが、要請に応じて、複数州情報共有分析センターなどの団体と調整し、(1)州、地方、部族、または領土の政府団体と演習を行う、(2)これらの団体に運用および技術のサイバーセキュリティ訓練を提供する、(3)サイバーセキュリティ教育と認識を促進する、などの特定の活動に従事するよう要求している。

 

条文...

S.2520 - State and Local Government Cybersecurity Act of 2021117th Congress (2021-2022)  S.2520 - 2021年州・地方政府サイバーセキュリティ法 第117回議会 (2021-2022) 
SECTION 1. SHORT TITLE. 第1条 短いタイトル
This Act may be cited as the “State and Local Government Cybersecurity Act of 2021”. 本法は、「2021年州および地方政府サイバーセキュリティ法」として引用されることがある。
SEC. 2. AMENDMENTS TO THE HOMELAND SECURITY ACT OF 2002. 第2条 2002年国土安全保障法の改正
Subtitle A of title XXII of the Homeland Security Act of 2002 (6 U.S.C. 651 et seq.) is amended— 2002年国土安全保障法(6 U.S.C. 651 et seq.) のタイトルXXIIのサブタイトルAは、以下のように修正される。
(1) in section 2201 (6 U.S.C. 651) , by adding at the end the following: (1) 第2201条(6 U.S.C. 651) において、末尾に以下を追加する
“(7) SLTT ENTITY.—The term ‘SLTT entity’ means a domestic government entity that is a State government, local government, Tribal government, territorial government, or any subdivision thereof.”; and (7) SLTT ENTITY:「SLTT組織体」という用語は、州政府、地方自治体、部族政府、準州政府、またはその下部組織である国内政府組織体を意味する」、
(2) in section 2209 (6 U.S.C. 659) — (2) 第2209条(6 U.S.C.659) において、
(A) in subsection (c) (6) , by inserting “operational and” before “timely”; (A) 第(c) (6) 項において、「適時」の前に「運用上および」を挿入する。
(B) in subsection (d) (1) (E) , by inserting “, including an entity that collaborates with election officials,” after “governments”; and (B) 第(d) (1) (E) 項において、「政府」の後に「選挙管理者と協力する団体を含め、」を挿入する。
(C) by adding at the end the following: (C) 末尾に以下を追加する。
“(p) Coordination On Cybersecurity For SLTT Entities.— 「(p) SLTT事業者のためのサイバーセキュリティに関する調整。
“(1) COORDINATION.—The Center shall, upon request and to the extent practicable, and in coordination as appropriate with Federal and non-Federal entities, such as the Multi-State Information Sharing and Analysis Center— 「(1) 調整:センターは、要請があれば、実行可能な範囲で、連邦省庁および非連邦省庁(Multi-State Information Sharing and Analysis Center など) と適切に連携して、以下を行うものとする。
“(A) conduct exercises with SLTT entities; 「(A) SLTT 団体と演習を実施する。
“(B) provide operational and technical cybersecurity training to SLTT entities to address cybersecurity risks or incidents, with or without reimbursement, related to— 「(B) 払い戻しの有無にかかわらず、サイバーセキュリティのリスクやインシデントに対処するために、SLTT組織体に運用および技術的なサイバーセキュリティのトレーニングを提供し、以下の事項に関連するものである。
“(i) cyber threat indicators; 「(i) サイバー脅威の指標、
“(ii) defensive measures; 「(ii) 防御策、
“(iii) cybersecurity risks; 「(iii) サイバーセキュリティリスク、
“(iv) vulnerabilities; and 「(iv) 脆弱性;および
“(v) incident response and management; 「(v) 事故対応と事故管理。
“(C) in order to increase situational awareness and help prevent incidents, assist SLTT entities in sharing, in real time, with the Federal Government as well as among SLTT entities, actionable— 「(C) 状況認識を高め、インシデントの予防を支援するため、SLTT組織体が、連邦政府およびSLTT組織体間で、リアルタイムで、実行可能な以下の情報を共有することを支援する。
“(i) cyber threat indicators; 「(i) サイバー脅威の指標、
“(ii) defensive measures; 「(ii) 防御策、
“(iii) information about cybersecurity risks; and 「(iii) サイバーセキュリティのリスクに関する情報、および
“(iv) information about incidents; 「(iv) インシデントに関する情報。
“(D) provide SLTT entities notifications containing specific incident and malware information that may affect them or their residents; 「(D) SLTT組織体またはその住民に影響を与える可能性のある特定のインシデントおよびマルウェア情報を含む通知をSLTT組織体に提供する。
“(E) provide to, and periodically update, SLTT entities via an easily accessible platform and other means— 「(E) SLTT組織体に、簡単にアクセスできるプラットフォームやその他の手段で、以下を提供し、定期的に更新する。
“(i) information about tools; 「(i) ツールに関する情報、
“(ii) information about products; 「(ii) 製品に関する情報、
“(iii) resources; 「(iii) リソース、
“(iv) policies; 「(iv) ポリシー、
“(v) guidelines; 「(v) ガイドライン、
“(vi) controls; and 「(vi) 管理策、及び
“(vii) other cybersecurity standards and best practices and procedures related to information security, including, as appropriate, information produced by other Federal agencies; 「(vii) 情報セキュリティに関するその他のサイバーセキュリティ基準およびベストプラクティス、手順(適宜、他の連邦省庁によって作成された情報を含む) 。
“(F) work with senior SLTT entity officials, including chief information officers and senior election officials and through national associations, to coordinate the effective implementation by SLTT entities of tools, products, resources, policies, guidelines, controls, and procedures related to information security to secure the information systems, including election systems, of SLTT entities; 「(F) SLTT組織体の選挙システムを含む情報システムを保護するために、情報セキュリティに関するツール、製品、リソース、ポリシー、ガイドライン、コントロール、および手順をSLTT組織体が効果的に実施するよう、最高情報責任者や上級選挙管理者を含むSLTT組織体の幹部と各国の協会を通じて協力する。
“(G) provide operational and technical assistance to SLTT entities to implement tools, products, resources, policies, guidelines, controls, and procedures on information security; 「(G) SLTT組織体が情報セキュリティに関するツール、製品、リソース、ポリシー、ガイドライン、コントロール、手続きを実施するために、運営上および技術上の支援を提供する。
“(H) assist SLTT entities in developing policies and procedures for coordinating vulnerability disclosures consistent with international and national standards in the information technology industry; and 「(H) SLTT組織体が、情報技術産業における国際・国内標準に沿った脆弱性開示の調整を行うための方針と手順を策定するのを支援する。
“(I) promote cybersecurity education and awareness through engagements with Federal agencies and non-Federal entities. 「(I) 連邦省庁および非連邦省庁との関わりを通じて、サイバーセキュリティの教育および認識を促進する。
“(q) Report.—Not later than 1 year after the date of enactment of this subsection, and every 2 years thereafter, the Secretary shall submit to the Committee on Homeland Security and Governmental Affairs of the Senate and the Committee on Homeland Security of the House of Representatives a report on the services and capabilities that the Agency directly and indirectly provides to SLTT entities.”. 「(q) 報告書:本款の制定日から1年以上経過し、その後2年ごとに、長官は上院の国土安全保障・政府問題委員会と下院の国土安全保障委員会に、同庁が直接および間接的にSLTT組織体に提供するサービスおよび能力に関する報告書を提出するものとする。

 

Fig1_20210802074601

 

| | Comments (0)

2022.06.23

自己保存欲を学習したAIの行く末

こんにちは、丸山満彦です。

ちょっと、朝起きて思いついたことを文献調査もせずに忘れないようにと思い、書いているだけです。。。すみません。。。

AIが自動的に自己保存 (self-preservation) 欲を得るというのは難しいかもしれませんが、AIを搭載したロボットのようなものに、自己保存欲を学習させることは可能かもしれません。。。もちろん、自己保存欲をどのようにして学習させるのか?という問題はあります。。。(例えば、ロボットに何かの事象を与え、そのロボットの機能が減ればマイナスのポイントを与え、ロボットが自分で減った機能を復元あるいは強化すればプラスのポイントを与え、、、というようなことをシミュレーションさせ続けるような感じかなぁ、、、。でも、計算量が多すぎて電力足らないか、、、)

でももし、自己保存欲を持った自律型ロボットのようなものができ、複数種類のそのようなロボットを、自己再生が十分にできる環境に置いた場合、どのようなことが起こるのかということをシミュレーションとかはできるような気がしました。。。

どういうことが起こるのですかね。。。

Fig1_20220623060901

| | Comments (0)

個人情報保護委員会「個人情報保護委員会の国際戦略」の公表

こんにちは、丸山満彦です。

個人情報保護委員会が。第204回 個人情報保護委員会(2022.03.30開催)で決定した、「個人情報保護委員会の国際戦略」を公表していますね。。。

この案は当日の資料の[PDF] 資料2-2 令和4年度個人情報保護委員会活動方針(案)の「別添1」に記載されています。。。


個人情報保護委員会

・2022.06.22 「国際戦略」を掲載しました。

・[PDF] 「個人情報保護委員会の国際戦略」(令和4年3月30日個人情報保護委員会決定)

20220622-232138


個人情報保護委員会の国際戦略

令和4年3月 30 日個人情報保護委員会

 近年、デジタル社会の進展に伴うデータの流通の増加、特に経済・社会活動のグローバル化及び情報通信技術の進展に伴い、個人情報を含むデータの円滑な越境流通の重要性が更に増している。こうした状況下において、日本政府は、2019年に「信頼性が確保された自由なデータ流通の確保(DFFT)」を提唱し、特に日本がG7ホスト国となる2023年に向けて、政府全体としてDFFTを推進している。

こうした中、個人情報保護の分野では、世界各国においてそれぞれ独自の個人情報保護法制を整備する動きが進んでおり、各国の法制等の世界潮流の把握や企業活動のグローバル化に伴う各国当局との連携、データローカライゼーションや無制限なガバメントアクセスといった新たなリスクへ対応するための国際機関等との協議を更に進めることが求められている。

また、国内においても、デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)による個人情報保護法の改正等(以下「令和3年改正法」という。)による公的部門の一元化に伴い、新たに、公的部門に係る個人データの流通に係る対応も求められることとなる。

個人情報保護委員会(以下「委員会」という。)は、従前より、DFFT推進のための施策に取り組んできているほか、各国の法制等の世界潮流の把握、各国当局との連携の強化を進めているところであるが、上記の状況を踏まえ、委員会が主体となって進める国際的な取組に関する当面の戦略を明確化するものである。

1.DFFT推進の観点から個人情報が安全・円滑に越境移転できる国際環境の構築

  日本がG7ホスト国となる2023年を見据え、DFFTを更に推進するため、世界プライバシー会議(GPA)、アジア太平洋プライバシー機関(APPA)やG7等の国際的な枠組みにおいてDFFTの重要性についての発信や対話を通じた連携の深化を図る。加えて、米国、欧州、アジア太平洋諸国等の各国・地域との対話等を通じて、同志国(like minded countries)の国々との協力関係の強化を図る。これにより、米国や欧州との連携の深化やアジア太平洋諸国等との中期的な協力関係の強化、ひいてはDFFTに資するグローバルスタンダードの確立を目指す。

  • グローバルな企業認証制度に軸足を置き、その構築、そして対象や参加者の拡大を目指す。その際、欧州GDPRとAPEC CBPRのような異なる枠組みを共存させ、排他的なアプローチには与せず多くの企業が参加できる包括的なアプローチを志向する。取組を進めるに当たっては、事業者側のニーズを把握した上で、ビジネスの様態や規模に応じて、複数の選択肢から利用しやすい越境移転のスキームを選ぶことができる環境を目指す。
  • 個人の権利利益を保護する上で我が国と同様の水準にあると認められる個人情報の保護に関する制度を有している国との間の相互な個人データ移転の枠組みの維持・発展を図るほか、その他既存のデータ移転枠組みの深化を推進していく。既存の日EU相互認証については、委員会が、民間部門と公的部門双方の監視・監督を行うこととなったこと等を踏まえ、枠組みの対象範囲の拡大の検討を開始する。
  • DFFTを脅かす、無制限なガバメントアクセスやデータローカライゼーション等の新たなリスクについて、米国や欧州、またG7やOECD諸国といった同志国と緊密に協議を重ねつつ、グローバルスタンダードの形成に貢献する。

2.国際動向の把握と情報発信

  情報通信技術の飛躍的な進展とそれに伴う個人情報保護に関する課題に対応するため、各国との情報や問題意識の共有を図ることに加え、技術革新や社会的課題等への対応についての世界潮流を踏まえた上で、我が国の政策立案に活かしていく。

  • GPAやAPPA等の国際フォーラム等において、新たな技術・ビジネス様態と個人情報保護、プライバシーの関係について我が国の取組を積極的に発信するとともに、関係国の対応の把握、連携の深化を図る。
  • 委員会が収集した情報については、広く発信し、政策立案や、国境を越えて活動する事業者が活用できるようにする。

3.国境を越えた執行協力体制の強化

  事業者等の国境を越えた活動の増加や個人情報を含むデータの国境を越えた流通の増大を受け、自国のみでは対応できない事案の益々の増加が予想されることから、委員会は、委員会が対応する個別の執行事案について、関係各国・機関等との連携を推進し、諸外国からの協力が必要な時に得られるような協力関係を強化する。

  • 各国の執行当局が参加する国際的な枠組みに参加するほか、戦略的に連携が求められる諸外国の個人情報保護当局を中心に緊密な協力関係を築いていく。
  • 令和3年改正法の施行に伴い、令和4年以降、公的部門においても委員会が一元的に当該規律を解釈運用することになることを踏まえ、各国の個人情報保護当局における権限行使の在り方や関係省庁との協力関係の把握を進める。

(以上)


 

参考

デジタル庁

信頼性が確保された自由なデータ流通の確保(DFFT)

デジタル庁 - 法令

デジタル社会の形成を図るための関係法律の整備に関する法律(令和3年法律第37号)

 

| | Comments (0)

一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)

こんにちは、丸山満彦です。

一般社団法人セキュアドローン協議会が「ドローンセキュリティガイド 第3版」を 2022.06.16に公開していましたね。。。

2018.03.18に第1版、2021.04.01に第2版を出していますが、その後2022.03.31に経済産業省が、「無人航空機を対象としたサイバーセキュリティガイドライン」を策定していまし、機体登録制度も始まっていますし、、、それも踏まえての改訂なんでしょうね。。。

一般社団法人セキュアドローン協議会はBig4ではデロイトが会員ですね。私が関わっていた頃には入会していなかったので、最近なんですかね。。。

 

一般社団法人セキュアドローン協議会

・2022.06.16 セキュアドローン協議会、『ドローンセキュリティガイド 第3版』公開


【本セキュリティガイドの概要】

本セキュリティガイドの策定を通して、信頼できるドローンの安心安全な操作環境とデータ送信環境を確立していくための指標を提言しています。
産業用ドローンが普及していくためには、情報処理においてこれまで配慮されてきた情報セキュリティ対策や、最新のIoT関連のセキュリティ技術との連携が重要になり、ドローンにおけるセキュリティリスク、機体制御、機体管理、ドローン機器、通信、アプリケーションやクラウドなどドローンソリューション全体におけるセキュリティ、ドローン機体メーカー、ドローンサービス提供事業者、ドローン活用ユーザそれぞれのとるべきセキュリティ対策要件など産業利用における指標を記述しています。

【本セキュリティガイドの主な改定内容】

  • クラウドを使用したドローンの認証例
  • リモートIDについて
  • ドローン関連サービス、プロトタイプ開発事例

ドローンセキュリティガイド

ドローンセキュリティガイド第3版 ダウンロードフォーム

20220622-160437

 

変更箇所は、


以下の章の追記ならびに修正。

5.3. クラウドを使用したドローンの認証例
7. リモート ID について
8. ドローン関連サービス、プロトタイプ開発事例
9.業務運用に関する注意点


 


関連...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.08 NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

・2022.05.11 インド サイバーインシデントが発生したら6時間以内にCERT-Inに報告しなければならない... (2022.04.28)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.04.26 米国 White House ドローン対策国家計画

・2022.04.14 経済産業省 無人航空機を対象としたサイバーセキュリティガイドラインを策定 (2022.03.31)

・2022.04.07 経団連 Society 5.0の扉を開く ― デジタル臨時行政調査会に対する提言 ― (2022.03.31)

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2021.12.29 米国 バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.09.04 英国 ブレグジット後のグローバルデータ計画 at 2021.08.26

・2021.06.26 欧州委員会 合同サイバーユニットを提案

・2020.11.04 情報ネットワーク法学会 第20回研究大会

・2020.10.13 米空軍は「連邦U-2ラボがU-2 Dragon LadyをKubernetesで飛行させた」と公開していますね。。。

・2020.06.09 米空軍は、2021年7月にAIが操縦する戦闘機と人間が操縦する戦闘機でドッグファイトをすることを考えているようですね。。。


 

 

Continue reading "一般社団法人セキュアドローン協議会 ドローンセキュリティガイド 第3版 (2022.06.16)"

| | Comments (0)

2022.06.22

日本医師会 サイバーセキュリティ支援制度の運用を開始 (2022.06.01)

こんにちは、丸山満彦です。

日本医師会がサイバーセキュリティ支援制度の運用を2022.06.01から開始していましたね。。。

内容は、次の3つのようです。


(1)日本医師会サイバーセキュリティ対応相談窓口(緊急相談窓口)

 サイバーセキュリティに関連する日常の些細なセキュリティトラブルから重大トラブルまで幅広く相談できる相談窓口(年中無休・受付時間:9時~21時)を設置。無料で何度でも利用が可能としている。

(2)セキュリティ対策強化に向けた無料サイト(Tokio Cyber Port)の活用

 サイバー攻撃に対する意識の向上や予防のため、東京海上日動火災保険(株)が運営するサイバーセキュリティ情報発信ポータルサイト「Tokio Cyber Port」の活用を推奨(関連ニュースやコラム、標的型攻撃メール訓練、各種マニュアル等が提供されている)。

(3)日本医師会サイバー攻撃一時支援金・個人情報漏えい一時支援金制度

 日本医師会A(1)会員が開設・管理する医療機関において、「サイバー攻撃の被害を受けた場合」「サイバー攻撃に起因しない個人情報漏えいが発生した場合」に該当する被害が発生した際に、初期対応を支援する費用として一時金を支払う(事由発生日:2022年6月1日以降)。


ただし、


いわゆる「サイバ ーリスク保険」ではなく、サイバー攻撃により発生した損害賠償責任や費用損害に関する補償等を行うものではない。


とのことです。。。

 

日本医師会 - 日医 online

・2022.06.01 日本医師会サイバーセキュリティ支援制度の運用を開始

Jma

 


 

関連

● 東京海上日動火災保険

Tokio Cyber Port

 

 

| | Comments (0)

International Cybersecurity Challenge 2022 の優勝はヨーロッパチーム、2位はアジアチーム

こんにちは、丸山満彦です。

2022.06.14-17にギリシャのアテネで第1回 International Cybersecurity Challenge (ICC) が開催され、65カ国から集まったメンバーが7地域のチームにわかれ競い合った結果、優勝はヨーロッパチーム、2位はアジアチームとなったようですね。。。

日本からは、Code Blueでお馴染み?の篠田佳奈さんが支援者として、そしてセキュリティキャンプチームがメンバーとして参加しております。素晴らしい成果だと思います。おめでとうございます!!!

支援者であるENISAのプレスリリースでも取り上げられていますね。。。

来年の2023年は、DHS, CISAも関わって米国で8月に開催予定のようです。

その次の年は、NISC、経済産業省、総務省も加って日本で開催できると良いですね。。。

 

International Cybersecurity Challenge

1_20220621234901

チームはこちらから。。。

Teams

スポンサーはこちらから。。。日本からは、TrendMicroの名前が上がっています。。。

Sponsors

 

ENISA

・2022.06.20 Hats off to Team Europe - Winners of the 1st International Cybersecurity Challenge!

Hats off to Team Europe - Winners of the 1st International Cybersecurity Challenge! 第1回インターナショナル・サイバーセキュリティ・チャレンジの優勝チーム・ヨーロッパに脱帽!
The European Union Agency for Cybersecurity (ENISA) congratulates Team Europe - the winners of the ICC 2022 - and all the regional teams for their active participation and engagement. 欧州連合サイバーセキュリティ庁(ENISA)は、ICC 2022の優勝者であるチーム・ヨーロッパと、すべての地域チームの積極的な参加と関与に祝意を表します。

The 1st International Cybersecurity Challenge (ICC) concluded on Friday 17th June after two days of intensive and relentless competition between the teams to master this year’s cybersecurity challenges. The team who managed to solve most challenges and the winner of the ICC 2022 is Team Europe, followed by Team Asia in second place and Team USA in third place. The complete rankings of the seven regional teams can be viewed hereTeam Europe scored the most points in the set of challenges linked to Jeopardy, while Team Asia was the highest scorer in the so-called Attack & Defence challenges. The competition took place in Athens, Greece.

第1回インターナショナル・サイバーセキュリティ・チャレンジ(ICC)は、今年のサイバーセキュリティの課題をマスターするために、2日間にわたりチーム間で集中的かつ執拗な競争が行われ、6月17日金曜日に終了しました。最も多くの課題を解決し、ICC2022の優勝チームに輝いたのは、チーム・ヨーロッパ、2位はチーム・アジア、3位はチーム・アメリカでした。7つの地域チームの完全なランキングは、こちらでご覧いただけます。 チーム・ヨーロッパは、ジョパディと連動した一連の課題で最も多くのポイントを獲得し、チーム・アジアは、いわゆるアタック&ディフェンスの課題で最も多くのスコアを獲得しました。大会はギリシャのアテネで開催されました。
The two captains from Team Europe Danique Lummen (NL) and Nuno Miguel da Silva Sabino (PT) stated: "We are really happy to be part of this fantastic event. It was great to compete in the ICC with all the other great teams from all over the world. We are also very happy and proud that we won the first place and we look forward to be part of the next ICC in the US”. チーム・ヨーロッパのキャプテン、ダニク・ルンメン(オランダ)とヌノ・ミゲル・ダ・シルバ・サビーノ(ポルトガル)は、次のように述べています。 「この素晴らしいイベントに参加できて、本当にうれしいです。ICCで世界中の素晴らしいチームと競い合えたことは、とても素晴らしいことでした。また、優勝できたことを大変嬉しく、誇りに思っています。次回、米国で開催されるICCに参加できることを楽しみにしています。」
European Commission Vice-President Margaritis Schinas delivered the award to the winning team, stating: “The world needs more cybersecurity professionals. Our society needs more people with the right security skills to protect our democracies, our values, our interconnected world. So today we meet this cybersecurity skills shortage challenge with another challenge, the International Cybersecurity Challenge competition. This competition is a great opportunity to raise awareness on the need for more cybersecurity experts in the field. It is an example of how by working together we can address the cybersecurity skills gap and bring our youth to the forefront of finding solutions to shield us from today’s ever-increasing threats.” 欧州委員会副委員長のマルガリーティ・スキナスは、優勝チームに賞を贈り、次のように述べました。 「世界は、より多くのサイバーセキュリティの専門家を必要としています。私たちの社会は、民主主義、価値観、相互接続された世界を守るために、適切なセキュリティ技術を持ったより多くの人々を必要としています。そこで今日、私たちはこのサイバーセキュリティのスキル不足という課題に、もうひとつの課題であるインターナショナル・サイバーセキュリティ・チャレンジ・コンペティションで応えます。このコンペティションは、サイバーセキュリティの専門家がもっと必要であるという認識を高めるための絶好の機会です。これは、私たちが協力することで、サイバーセキュリティのスキルギャップに対処し、今日の増え続ける脅威から私たちを守るための解決策を見つける最前線に若者をもたらすことができるという例です。」
ENISA’s Executive Director Juhan Lepassaar, added: “Young talents are the assets we should invest in if we want to make sure to have highly skilled and trained cyber experts in the future. They are the ones who will keep our digital world secure. I am very glad to see the international cybersecurity community engaged with ENISA to promote cybersecurity skills, awareness and education. This is one of the ways to build and sustain our cybersecurity workforce. ENISAのジョアン レパッサー事務局長は、次のように付け加えました。「将来、高度な技術と訓練を受けたサイバー専門家を確保したいのであれば、若い才能は我々が投資すべき資産です。彼らは、私たちのデジタル世界を安全に保つことができる人たちです。国際的なサイバーセキュリティ・コミュニティが、サイバーセキュリティのスキル、意識、教育を促進するためにENISAと協力していることを大変うれしく思います。これは、サイバーセキュリティの人材を育成し、維持するための方法の一つです。」
The competition concluded with the intervention by Professor Bart Preneel of the KU University of Leuven who stressed how pleased he was to see the enthusiasm, curiosity and dedication of the next generation of cybersecurity experts: 最後に、ルーヴェン大学のバート・プレネル教授が、次世代のサイバーセキュリティ専門家の熱意、好奇心、献身を目の当たりにして、非常に満足していることを強調し、コンテストは終了しました。
“It is in their hands to build a better digital future that reflects our common values and to make the world a better place. “ 「私たちの共通の価値観を反映したより良いデジタルの未来を築き、世界をより良い場所にするのは、彼らの手にかかっているのです。 」
The organisers of the ICC and ENISA would like to thank European Commission Vice-President Margaritis Schinas, Professor Bart Preneel of the KU University of Leuven, Mr. Athanasios Staveris-Polykalas, General Secretary of Telecommunications & Posts of the Hellenic Republic - Ministry of Digital Governance, and Mr. Antonio “T” Scurlock, Deputy Chief Learning Officer (CLO) of the US Cybersecurity & Infrastructure Security Agency (CISA), for their support and participation, and our thanks also go to the sponsors who provided the awards: AccentureCensus-labsCyber NoesisISACANetcompany IntrasoftTrend MicroUbiTechYes We Hack and the Cybersecurity National Lab. ICC主催者およびENISAは、欧州委員会副委員長マルガリーティス・スキナス氏、ルーヴェン大学バート・プレネル教授、ギリシャ共和国デジタルガバナンス省電気通信・郵便総局アタナシオス・スタベリス=ポリカラス氏、米国サイバーセキュリティ&インフラセキュリティ局(CISA)CLO(最高学習責任者)補佐アントニオ「T」スカーロック氏の支援と参加に感謝し、また賞を提供していただいたスポンサー企業に感謝します。 アクセンチュア、Census-labs、Cyber Noesis、ISACA、Netcompany Intrasoft、トレンドマイクロ、UbiTech、Yes We Hack、Cybersecurity National Labの各協賛企業にも感謝します。
ENISA is extremely grateful to the partners involved in the challenge, to the trainers of the teams and to all the experts and staff who supported the organisation of the event. ENISAは、このチャレンジに参加したパートナー、チームのトレーナー、イベントの開催をサポートしたすべての専門家とスタッフに非常に感謝しています。
Next steps 次のステップ
The next ‘’International Cybersecurity Challenge’’(ICC) can be pencilled in your calendars in August 2023. It will be hosted by the ENISA colleagues from the U.S. Department of Homeland Security and CISA in the United States of America. 次回の''International Cybersecurity Challenge'' (ICC) は、2023年8月に開催されることが決定しています。このイベントは、米国国土安全保障省とCISAのENISAの同僚が主催する予定です。
If you are interested in participating in the ICC 2023, you can find more information on the dedicated ICC website. ICC 2023への参加にご興味のある方は、ICCのウェブサイトにて詳細を確認してください。
Further information その他の情報
ENISA press release – Vice-President Schinas announces Team EU for the first Cyber World Cup ENISAプレスリリース - スキナス副総裁、第1回サイバーワールドカップに向けたチームEUを発表
ICC website - International Cybersecurity Challenge ICCウェブサイト - インターナショナル・サイバー・セキュリティ・チャレンジ
ICC trailer video - 1st International Cybersecurity Challenge ICC予告編ビデオ - 第1回インターナショナル・サイバーセキュリティ・チャレンジ
ENISA report – Capture the flags competitions’’(CTFs) ENISAレポート - Capture the flags competitions(CTFs)(旗を捕らえる競技会

 

 

| | Comments (0)

2022.06.21

米国 司法省 国際的なサイバー作戦によるロシアのボットネットの破壊

こんにちは、丸山満彦です。

FBIがドイツ、オランダ、英国の法執行機関や脅威インテリジェンスの民間企業 (Black Echo, LLC) と協力してロシアのボットネットを破壊したようですね。。。

官民連携による、安全なコミュニティを維持するというのは、フィジカル空間でもサイバー空間でも同じですね。。。

Department of Justice (Southern District of California)

・2022.06.16 Russian Botnet Disrupted in International Cyber Operation

 

Russian Botnet Disrupted in International Cyber Operation 国際的なサイバー作戦によるロシアのボットネットの破壊
SAN DIEGO – The U.S. Department of Justice, together with law enforcement partners in Germany, the Netherlands and the United Kingdom, have dismantled the infrastructure of a Russian botnet known as RSOCKS which hacked millions of computers and other electronic devices around the world. サンディエゴ - 米国司法省は、ドイツ、オランダ、英国の法執行機関のパートナーとともに、世界中の数百万台のコンピュータやその他の電子機器をハッキングしたRSOCKSとして知られるロシアのボットネットのインフラストラクチャを解体しました。
A botnet is a group of hacked internet-connected devices that are controlled as a group without the owner’s knowledge and typically used for malicious purposes. Every device that is connected to the internet is assigned an Internet Protocol (IP) address. ボットネットとは、ハッキングされたインターネット接続機器の集団で、所有者が知らないうちに集団として制御され、通常、悪意のある目的に使用されるものです。インターネットに接続されているすべての機器には、インターネットプロトコル(IP)アドレスが割り当てられています。
According to a search warrant affidavit, unsealed today in the Southern District of California, and the operators’ own claims, the RSOCKS botnet, operated by Russian cybercriminals, comprised millions of hacked devices worldwide. The RSOCKS botnet initially targeted Internet of Things (IoT) devices. IoT devices include a broad range of devices—including industrial control systems, time clocks, routers, audio/video streaming devices, and smart garage door openers, which are connected to, and can communicate over, the internet, and therefore, are assigned IP addresses. The RSOCKS botnet expanded into compromising additional types of devices, including Android devices and conventional computers. カリフォルニア州南部地区で本日公開された捜査令状宣誓供述書と運営者自身の主張によると、ロシアのサイバー犯罪者が運営するRSOCKSボットネットは、世界中で数百万台のハッキングされたデバイスで構成されています。RSOCKSボットネットは当初、Internet of Things(IoT)デバイスを標的としていました。IoTデバイスには、産業用制御システム、タイムクロック、ルーター、オーディオ/ビデオストリーミングデバイス、スマートガレージドアオープナーなど、インターネットに接続され、インターネット上で通信できる、したがってIPアドレスが割り当てられたさまざまなデバイスが含まれます。RSOCKSボットネットは、Android端末や従来型のコンピュータなど、さらに多くの種類のデバイスに感染するよう拡大しました。
“The RSOCKS botnet compromised millions of devices throughout the world,” said U.S. Attorney Randy Grossman. “Cyber criminals will not escape justice regardless of where they operate. Working with public and private partners around the globe, we will relentlessly pursue them while using all the tools at our disposal to disrupt their threats and prosecute those responsible.”  Grossman thanked the prosecution team, the FBI and the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section for their excellent work on this case. 米国連邦検事のRandy Grossman氏は、次のように述べました。「RSOCKSボットネットは、世界中で数百万台のデバイスを危険にさらしています。サイバー犯罪者は、どこで活動しようとも、裁きを免れることはできません。世界中の公共および民間のパートナーと協力し、私たちは、彼らの脅威を破壊し、責任者を起訴するために、自由に使えるすべてのツールを使用しながら、彼らを容赦なく追及していきます。」  グロスマンは、検察チーム、FBI、司法省刑事局コンピューター犯罪・知的財産課のこの件に関する素晴らしい働きに対して感謝の意を表しました。
“This operation disrupted a highly sophisticated Russia-based cybercrime organization that conducted cyber intrusions in the United States and abroad,” said FBI Special Agent in Charge Stacey Moy. “Our fight against cybercriminal platforms is a critical component in ensuring cybersecurity and safety in the United States. The actions we are announcing today are a testament to the FBI’s ongoing commitment to pursuing foreign threat actors in collaboration with our international and private sector partners.” FBIのステイシー・モイ特別捜査官は次のように述べました。「この作戦は、米国内外でサイバー侵入を行った高度に洗練されたロシアを拠点とするサイバー犯罪組織を崩壊させました。サイバー犯罪のプラットフォームに対する我々の戦いは、米国のサイバーセキュリティと安全を確保するための重要な要素です。本日発表する措置は、海外や民間セクターのパートナーとの協力のもと、海外の脅威要因を追求するFBIの継続的な取り組みを証明するものです。」
A legitimate proxy service provides IP addresses to its clients for a fee. Typically, the proxy service provides access to IP addresses that it leases from internet service providers (ISPs). Rather than offer proxies that RSOCKS had leased, the RSOCKS botnet offered its clients access to IP addresses assigned to devices that had been hacked. The owners of these devices did not give the RSOCKS operator(s) authority to access their devices in order to use their IP addresses and route internet traffic. A cybercriminal who wanted to utilize the RSOCKS platform could use a web browser to navigate to a web-based “storefront” (i.e., a public web site that allows users to purchase access to the botnet), which allowed the customer to pay to rent access to a pool of proxies for a specified daily, weekly, or monthly time period. The cost for access to a pool of RSOCKS proxies ranged from $30 per day for access to 2,000 proxies to $200 per day for access to 90,000 proxies. 正規のプロキシ・サービスは、クライアントに対してIPアドレスを有料で提供します。通常、プロキシ・サービスは、インターネット・サービス・プロバイダー(ISP)から借用したIPアドレスへのアクセスを提供します。RSOCKSボットネットは、RSOCKSがリースしていたプロキシを提供するのではなく、ハッキングされたデバイスに割り当てられたIPアドレスへのアクセスをクライアントに提供していたのです。これらのデバイスの所有者は、IPアドレスを使用してインターネットトラフィックをルーティングするために、RSOCKSオペレータにデバイスにアクセスする権限を与えていませんでした。RSOCKS プラットフォームを利用しようとするサイバー犯罪者は、ウェブブラウザを使用してウェブベースの「ストアフロント」(ユーザーがボットネットへのアクセスを購入できる公開ウェブサイト)に移動し、顧客が指定した日、週、月の期間、プロキシのプールへのアクセスをレンタルするために支払うことができるようにします。RSOCKS プロキシのプールへのアクセス料は、2,000 個のプロキシへのアクセスが 1 日当たり 30 ドル、90,000 個のプロキシへのアクセスが 1 日当たり 200 ドルとなっています。
Once purchased, the customer could download a list of IP addresses and ports associated with one or more of the botnet’s backend servers. The customer could then route malicious internet traffic through the compromised victim devices to mask or hide the true source of the traffic. It is believed that the users of this type of proxy service were conducting large scale attacks against authentication services, also known as credential stuffing, and anonymizing themselves when accessing compromised social media accounts, or sending malicious email, such as phishing messages. 購入後、顧客はボットネットのバックエンドサーバーに関連するIPアドレスとポートのリストをダウンロードすることができます。そして、悪意のあるインターネットトラフィックを、侵害された犠牲者のデバイスを介してルーティングし、トラフィックの真のソースをマスクしたり隠したりすることができるようになります。この種のプロキシサービスのユーザーは、認証サービスに対する大規模な攻撃(クレデンシャル・スタッフィングとも呼ばれる)を行い、侵害されたソーシャルメディアアカウントにアクセスする際や、フィッシングメッセージなどの悪意のあるメールを送信する際に自身を匿名化したと考えられています。
As alleged in the unsealed warrant, FBI investigators used undercover purchases to obtain access to the RSOCKS botnet in order to identify its backend infrastructure and its victims. The initial undercover purchase in early 2017 identified approximately 325,000 compromised victim devices throughout the world with numerous devices located within San Diego County. Through analysis of the victim devices, investigators determined that the RSOCKS botnet compromised the victim device by conducting brute force attacks. The RSOCKS backend servers maintained a persistent connection to the compromised device. Several large public and private entities have been victims of the RSOCKS botnet, including a university, a hotel, a television studio, and an electronics manufacturer, as well as home businesses and individuals. At three of the victim locations, with consent, investigators replaced the compromised devices with government-controlled computers (i.e., honeypots), and all three were subsequently compromised by RSOCKS. The FBI identified at least six victims in San Diego. 公開された令状で主張されているように、FBI捜査官は、RSOCKSボットネットのバックエンドインフラとその被害者を特定するために、覆面購入を利用してアクセス権を取得しました。2017年初めに行われた最初の覆面購入では、世界中にある約32万5000台の感染した被害者デバイスを特定し、サンディエゴ郡内にある多数のデバイスを特定しました。捜査官は、被害者デバイスの分析を通じて、RSOCKSボットネットがブルートフォース攻撃を行うことで被害者デバイスを侵害したことを突き止めました。RSOCKSのバックエンドサーバーは、感染したデバイスとの持続的な接続を維持しました。RSOCKSボットネットの被害者は、大学、ホテル、テレビスタジオ、電子機器メーカーなど、複数の大規模な公共および民間企業、さらに一般家庭や個人も含まれています。被害者のうち 3か所では、同意を得て、捜査官が感染したデバイスを政府管理のコンピュータ(ハニーポットなど)に交換しましたが、3か所ともその後 RSOCKS に感染しました。FBIは、サンディエゴで少なくとも6人の被害者を確認しました。
This case was investigated by the FBI and is being prosecuted by Assistant U.S. Attorney Jonathan I. Shapiro of the Southern District of California and Ryan K.J. Dickey, Senior Counsel for the Department of Justice Criminal Division’s Computer Crimes and Intellectual Property Section.  The Department of Justice extends its appreciation to the authorities of Germany, the Netherlands, and the United Kingdom, the Justice Department’s Office of International Affairs and private sector cybersecurity company Black Echo, LLC for their assistance provided throughout the investigation. この事件は FBI によって捜査され、カリフォルニア州南部地区連邦検事補 Jonathan I. Shapiro と司法省刑事局コンピューター犯罪・知的財産課の上級弁護士 Ryan K.J. Dickey によって起訴されています。  司法省は、捜査を通じて提供されたドイツ、オランダ、英国当局、司法省国際局、民間企業のサイバーセキュリティ企業Black Echo, LLCの支援に感謝の意を表します。
In September 2020, FBI Director Christopher Wray announced the FBI’s new strategy for countering cyber threats. The strategy focuses on imposing risk and consequences on cyber adversaries through the FBI’s unique authorities, world-class capabilities, and enduring partnerships. Victims are encouraged to report the incident online with the Internet Crime Complaint Center (IC3) www.ic3.gov. 2020年9月、FBI長官クリストファー・レイは、サイバー脅威に対抗するためのFBIの新戦略を発表しました。この戦略では、FBI独自の権限、世界最高水準の能力、永続的なパートナーシップを通じて、サイバー敵対者にリスクと結果を課すことに重点を置いています。被害者は、インターネット犯罪苦情センター(IC3)www.ic3.govにオンラインで事件を報告することが推奨されます。

 

Fig1_20220411162001

 


 

参考

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.04 米国 FBI サイバーセキュリティに関するボストン会議2022でのFBI長官の基調講演

・2022.05.19 米国 司法省 ランサムウェアの使用と販売、およびサイバー犯罪者と利益分配をしたことでハッカーかつランサムウェア設計者を起訴

・2022.04.11 米国 司法省 ロシア連邦軍参謀本部情報総局(GRU)が管理するボットネットを裁判所の認可に基づき破壊(2022.04.06)

・2022.03.30 米国 司法省 重要インフラを標的とした2つのハッキングキャンペーンでロシア政府職員4人を起訴 (2022.03.24)

・2022.03.18 米国 FBIが新たに仮想資産課 (VAU) を設立...

・2022.03.03 米国 司法省 タスクフォース KleptoCapture (ロシアの資金源を断つ?)

・2021.12.26 2021年のEuropolのハイライト

・2021.11.13 米国 財務省 金融犯罪捜査ネットワーク ランサムウェア及び身代金支払いのために金融システムを利用する際の勧告

・2021.11.04 米国 FBI-ICS3 ランサムウェアの実行者は合併等の金融イベント等を狙って攻撃してきているとアラートを出していますね。。。

・2021.10.20 米国 司法省 国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.09.17 警察庁 ランサムウェア被害防止対策

・2021.06.08 米国 司法省 コロニアル・パイプライン社が支払った暗号通貨の大半(約230 万ドル)を押収

・2021.02.19 U.S. DOJ 北朝鮮軍のハッカー3人を複数のサイバー犯罪の容疑で起訴

・2020.09.17 米国 司法省 世界中で100名超の被害者に関連するコンピュータ侵入キャンペーンに関わったとしてApt41のメンバーを含む7名が起訴されたようですね

 

| | Comments (0)

内閣官房 サイバーセキュリティ 2022 重要インフラのサイバーセキュリティに係る行動計画 (2022.06.17)

こんにちは、丸山満彦です。

サイバーセキュリティ戦略本部第34回会合が開催され、サイバーセキュリティ2022(2021年度年次報告・2022年度年次計画)、重要インフラのサイバーセキュリティに係る行動計画が承認されましたね。。。

NISC

サイバーセキュリティ2022

 ・[PDF] 概要

20220621-02726

 

 ・[PDF] 全体

20220621-03935

目次...

はじめに

本編

1部 サイバーセキュリティ2022のポイント(「エグゼクティブ・サマリー」)
1
章 サイバー空間を巡る主な情勢の変化と昨今の状況
2
章 情勢の変化に伴い顕在化している政策課題
 1
サイバー空間上における脅威の高まりに対応するためのインシデントの未然防止
 2 「公共空間化」によるリスクの広がりに対応するための地域・中小企業等のセキュリティ強化・支援、サイバー犯罪への対応強化による安全・安心の確保
 3 厳しさを増す安全保障環境の中での国際協力・連携の強化

3
章 「自由、公正かつ安全なサイバー空間」の実現のために特に強力に取り組む施策
 1
官民連携のオールジャパンの推進体制強化〔ナショナルサート機能の強化〕
 2 重要インフラ事業者を始めとする民間部門のサイバーセキュリティの強化
 3 サイバー空間とフィジカル空間の融合に対応したサイバーセキュリティ対策
 4 地域・中小企業のサイバーセキュリティ対策
 5 サイバー警察局・サイバー特別捜査隊の新設による官民連携・国際連携の推進
 6 インド太平洋地域における能力構築支援の推進

2部 サイバーセキュリティに関する情勢
1
章 経済社会の活力の向上及び持続的発展
2
章 国民が安全で安心して暮らせるデジタル社会の実現
 1
国民・社会を守るためのセキュリティ基盤の構築
 2 経済社会基盤を支える各主体における情勢①(政府機関等)
 3 経済社会基盤を支える各主体における情勢②(重要インフラ)
 4 経済社会基盤を支える各主体における情勢③(大学・教育研究機関等)
 5 東京オリンピック・パラリンピック競技大会に向けた取組から得られた知見等の活用

3
章 国際社会の平和・安定及び我が国の安全保障への寄与
4
章 横断的施策
 1
サイバーセキュリティ分野の研究開発に関する動向
 2 IT・サイバーセキュリティ人材
 3 国民の意識・行動に関する動向

3部 戦略に基づく昨年度の取組実績、評価及び今年度の取組
1
章 経済社会の活力の向上及び持続的発展
 1
経営層の意識改革
 2 地域・中小企業におけるDX with Cybersecurityの推進
 3 新たな価値創出を支えるサプライチェーン等の信頼性確保に向けた基盤づくり
 4 誰も取り残さないデジタル/セキュリティ・リテラシーの向上と定着

2
章 国民が安全で安心して暮らせるデジタル社会の実現
 1
国民・社会を守るためのサイバーセキュリティ環境の提供
 2 デジタル庁を司令塔とするデジタル改革と一体となったサイバーセキュリティの確保
 3 経済社会基盤を支える各主体における取組①(政府機関等)
 4 経済社会基盤を支える各主体における取組②(重要インフラ)
 5 経済社会基盤を支える各主体における取組③(大学・教育研究機関等)
 6 多様な主体によるシームレスな情報共有・連携と東京オリンピック競技大会・東京パラリンピック競技大会に向けた取組から得られた知見等の活用
 7 大規模サイバー攻撃事態等への対処態勢の強化

3
章 国際社会の平和・安定及び我が国の安全保障への寄与
 1
「自由・公正かつ安全なサイバー空間」の確保
 2 我が国の防御力・抑止力・状況把握力の強化
 3 国際協力・連携
4章 横断的施策

 1
研究開発の推進
 2 人材の確保、育成、活躍促進
 3 全員参加による協働、普及啓発

5
章 推進体制

別添1 2022年度のサイバーセキュリティ関連施策
別添2 2021年度のサイバーセキュリティ関連施策の実施状況
別添3 各府省庁における情報セキュリティ対策の総合評価・方針
別添4 政府機関等における情報セキュリティ対策に関する統一的な取組
別添5 重要インフラ事業者等における情報セキュリティ対策に関する取組等
別添6 サイバーセキュリティ関連データ集
別添7 担当府省庁一覧(2022年度年次計画)
別添8 用語解説

 

・2022.06.17 [PDF] 重要インフラのサイバーセキュリティに係る行動計画

20220621-04141

目次

I. 総論
1.
重要インフラ防護の目的
2.
理想とする将来像
3.
サイバーセキュリティ基本法との整合性について
 3.1
サイバーセキュリティ基本法における行動計画の位置付け
 3.2 サイバーセキュリティ基本法におけるサイバーセキュリティの定義
 3.3 サイバーセキュリティ基本法における関係主体の責務

4.
本行動計画における施策群と補強・改善の方向性等

II. 本行動計画の要点(エグゼクティブサマリー)

III. 重要インフラを取り巻く環境変化と行動計画に関する基本的な考え方
1.
重要インフラを取り巻くサイバーセキュリティの環境変化
2.
重要インフラ防護の範囲
3.
組織統治の一部としてのサイバーセキュリティ
4.
自組織に適した防護対策の実現

IV. 計画期間内の取組
1.
障害対応体制の強化
 1.1
組織統治の一部としての障害対応体制 
 1.2 障害対応体制の強化に向けた取組
 1.3 官民一体となった障害対応体制の強化
 1.4 重要インフラに係る防護範囲の見直し

2.
安全基準等の整備及び浸透
 2.1
安全基準等策定指針の継続的改善
 2.2 安全基準等の継続的改善
 2.3 安全基準等の浸透
 2.4 安全基準等の文書の明確化

3.
情報共有体制の強化
 3.1
本行動計画期間における情報共有体制
 3.2 情報共有の更なる促進
 3.3 重要インフラ事業者等の活動の更なる活性化
 3.4 セプター訓練

4.
リスクマネジメントの活用
 4.1
リスクマネジメントの推進
 4.2 環境変化におけるリスク把握

5.
防護基盤の強化
 5.1
障害対応体制の有効性検証
 5.2 人材育成等の推進
 5.3 「セキュリティ・バイ・デザイン」の推進
 5.4 国際連携の推進
 5.5 サイバー犯罪対策等の強化
 5.6 デジタル庁と連携したセキュリティ確保
 5.7 広報広聴活動の推進

V. 関係主体において取り組むべき事項
1.
内閣官房
2.
重要インフラ所管省庁
3.
サイバーセキュリティ関係省庁
4.
事案対処省庁及び防災関係府省庁
5.
重要インフラ事業者等
6.
セプター及びセプター事務局
7.
セプターカウンシル
8.
サイバーセキュリティ関係機関
9.
サイバー空間関連事業者

VI. 評価・検証
1.
本行動計画の評価
 1.1
評価運営
 1.2
補完調査
2.
本行動計画の検証
 2.1
検証運営
 2.2
「重要インフラ事業者等による対策」の検証
 2.3
「政府機関等による施策」の検証

VII. 本行動計画の見直し

別添:情報連絡・情報提供について
1.
システムの不具合等に関する情報
2.
重要インフラ事業者等からの情報連絡
 2.1
情報連絡を行う場合
 2.2
情報連絡の仕組み
 2.3
情報連絡された情報の取扱い
3.
重要インフラ事業者等への情報提供
 3.1
情報提供を行う場合
 3.2
情報提供の仕組み
 3.3
情報提供のための連携体制

別紙1 対象となる重要インフラ事業者等と重要システム例
別紙2 重要インフラサービスとサービス維持レベル
別紙3 情報連絡における事象と原因の類型
別紙4-1 情報共有体制(通常時)
別紙4-2 情報共有体制(大規模重要インフラサービス障害対応時)
別紙4-3 情報共有体制における各関係主体の役割
別紙5 定義・用語集

 

決定文書

提出資料

関連資料

 

過去の資料については、こちら...

● 内閣官房サイバーセキュリティセンター - 政策 - 主要公表資料

歴史が全て詰まっている感じです。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.28 NISC サイバーセキュリティ戦略本部 第31回会合 サイバーセキュリティ戦略確定 (予算からみるとサイバーセキュリティは経済発展というよりも安全保障?)

・2021.07.13 NISC 「次期サイバーセキュリティ戦略(案)」と「サイバーセキュリティ2021(案)」に関する意見の募集について

・2020.07.23 内閣官房サイバーセキュリティ 2020

...

・2012.07.22 内閣官房(NISC) 情報セキュリティ2012

・2011.06.11 内閣官房 パブコメ 「情報セキュリティ2011」(案)

・2010.07.23 内閣官房 確定 「セキュア・ジャパン2010」改め、「情報セキュリティ2010」を公表

 

 


 

■ 参考 各国のサイバーセキュリティ戦略

■ EUの場合

European Commission

・2020.12.16 The EU's Cybersecurity Strategy in the Digital Decade

・[PDF] Factsheet

20210513-120625

 

■ ドイツの場合

Bundesministerium des Innern, für Bau und Heimat 

プレス

・2021.09.08 (press) Cybersicherheitsstrategie für Deutschland 2021 beschlossen

戦略本文

・[PDF] Cybersicherheitsstrategie für Deutschland 2021

20210926-60648

 

■ UKの場合

National Cyber Security Centre

2021.12.15 (news) Government publishes blueprint to protect UK from cyber threats

・2021.12.15 Policy paper National Cyber Strategy 2022

・[heml] National Cyber Strategy 2022

 ・[PDF] National Cyber Strategy 2022

20211217-55613

 

■ U.S. の場合

・2018.09.20 President Trump Unveils America’s First Cybersecurity Strategy in 15 Years

・[PDF] NATIONAL CYBER STRATEGY of the United States of America


20210513-121917

・仮訳 [DOCX

 

■ 日本の場合

内閣官房 - サイバーセキュリティセンター - サイバーセキュリティ戦略本部

・2021.09.27 第31回会合

・[PDF] 報道発表資料

・[PDF] サイバーセキュリティ2021

 

■ 中国の場合

 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China)

 プレス発表

戦略全文

・2016.12.27 国家网络空间安全战略

・英語訳

 ・2016.12.27 National Cyberspace Security Strategy

 

 

■ ロシアの場合(NATO CCDCOEの論文)

● NATO CCDCOE

2020 [PDF] The Past, Present, and Future of Russia’s Cyber Strategy and Forces by Bilyana Lilly and Joe Cheravitch



■ インドの場合

Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

■ シンガポールの場合

● Cyber Security Agency of Singapore

・2021.10.05 Singapore Updates National Cybersecurity Strategy

The Singapore Cybersecurity Strategy 2021

・[PDF]

20211011-134730

 


まるちゃんの情報セキュリティ気まぐれ日記

| | Comments (0)

2022.06.20

米国 CISA Trusted Internet Connections 3.0 クラウドユースケース(ドラフト)

こんにちは、丸山満彦です。

CISAがTrusted Internet Connections 3.0 クラウドユースケースのドラフトを公表し、意見募集をしていますね。。。

参考になりそうですね。。。

 

● CISA

・2022.06.16 SERVING UP “AS-A-SERVICE”: TIC RELEASES DRAFT USE CASES COVERING CLOUD SERVICES 

 

SERVING UP “AS-A-SERVICE”: TIC RELEASES DRAFT USE CASES COVERING CLOUD SERVICES  「as-a-service 」を提供する:TICクラウドサービスを対象としたユースケースのドラフトを公開 
A new item has been added to the menu of Trusted Internet Connections (TIC) guidance: draft use case covering cloud services. Building upon the Cloud Security Technical Reference Architecture (TRA) required by President Biden’s Cybersecurity Executive Order, this use case provides architectural guidance on different aspects of cloud services. With the appetite for cloud guidance growing, this new CISA resource will help federal agencies effectively leverage applicable aspects of the Cloud Security TRA and work to achieve a mandate in the EO for secure cloud services.  信頼できるインターネット接続 (TIC) ガイダンスのメニューに、クラウドサービスを対象としたユースケースのドラフトが追加されました。バイデン大統領のサイバーセキュリティ大統領令で要求されたクラウドセキュリティ技術参照アーキテクチャ(TRA)をベースにしたこのユースケースは、クラウドサービスのさまざまな側面に関するアーキテクチャのガイダンスを提供するものです。クラウドガイダンスに対する要望が高まる中、この新しいCISAリソースは、連邦政府がクラウドセキュリティTRAの該当する側面を効果的に活用し、安全なクラウドサービスに対する大統領令の義務付けを達成するために役立ちます。 
USE CASES BACKGROUND  ユースケースの背景 
Under the Office of Management and Budget’s (OMB) Memorandum M-19-26, the modernized TIC 3.0 initiative is required to produce use cases to support agencies as they design and implement secure, flexible network architectures. Having already produced the Traditional TIC Use Case, Branch Office Use Case, and Remote User Use Case, the Cloud Use Case serves as the final product in this series.  管理予算局(OMB)の覚書M-19-26に基づき、近代化TIC 3.0イニシアティブは、安全で柔軟なネットワークアーキテクチャの設計と実装を支援するユースケースを作成するよう求められています。従来のTICユースケース、ブランチオフィスユースケース、リモートユーザーユースケースはすでに作成されており、クラウドユースケースはこのシリーズの最後の文書として提供されます。 
CLOUD USE CASE: EXPLAINED  クラウド使用例:説明 
The Cloud Use Case provides network and multi-boundary security for agencies that operate in cloud environments. While this use case provides common security guidance for cloud operations, it also highlights unique considerations for Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS), Software-as-a-Service (SaaS), and Email-as-a-Service (EaaS) deployments. Like previous use cases, the Cloud Use Case outlines security patterns, applicable security capabilities, and telemetry requirements specific to this particular use case. However, this guidance also incorporates cloud-specific considerations, such as the shared services model and cloud security posture management principles outlined in the Cloud Security TRA. Another unique aspect of this use case is that it was written from the vantage point of cloud-hosted services, as opposed to from the vantage point of the client accessing these services.  クラウドユースケースは、クラウド環境で運用する省庁のためのネットワークおよびマルチバウンダリセキュリティを提供します。このユースケースは、クラウド運用のための一般的なセキュリティガイダンスを提供する一方で、IaaS、PaaS、SaaS、EaaSなどの展開における独自の検討事項についても取り上げています。これまでのユースケースと同様に、クラウドのユースケースは、この特定のユースケースに特有のセキュリティパターン、適用可能なセキュリティ機能、テレメトリー要件を概説しています。しかし、このガイダンスには、クラウドセキュリティTRAで概説されている共有サービスモデルやクラウドセキュリティポスチャ管理の原則など、クラウド特有の考慮事項も盛り込まれています。このユースケースのもう一つのユニークな点は、これらのサービスにアクセスするクライアントの視点とは対照的に、クラウドホスティングサービスの視点から書かれている点です。 

 

・2022.06.16[PDF] Trusted Internet Connections 3.0 Cloud Use Case

20220620-63438

 

目次...

1. Introduction  1. はじめに 
1.1 Key Terms  1.1 主要な用語 
2. Overview of TIC Use Cases 2. TICユースケースの概要
3. Purpose of the Cloud Use Case 3. クラウドのユースケースの目的
4. IaaS, PaaS, and SaaS Use Case 4. IaaS、PaaS、SaaSのユースケース
4.1  Assumptions and Constraints 4.1 前提条件と制約条件
4.2  Conceptual Architecture 4.2 概念的なアーキテクチャ
4.3  Security Patterns 4.3 セキュリティパターン
4.4 Applicable Security Capabilities 4.4 適用可能なセキュリティ機能
4.5 Telemetry Requirements 4.5 テレメトリー要件
5. EaaS Use Case 5. EaaSのユースケース
5.1  Assumptions and Constraints 5.1 前提条件と制約条件
5.2  Conceptual Architecture 5.2 概念的なアーキテクチャ
5.3  Security Patterns 5.3 セキュリティパターン
5.4 Applicable Security Capabilities 5.4 適用可能なセキュリティ機能
5.5 Telemetry Requirements 5.5 テレメトリー要件
6. Conclusion 6. 結論
Appendix A – Glossary and Definitions 附属書 A - 用語集と定義
Appendix B – Related Federal Guidelines and Requirements 附属書 B - 関連する連邦政府のガイドラインと要件
Appendix C – Glossary for Cloud Use Case 附属書 C - クラウドのユースケースのための用語集

 

 

TICについては、、、

TRUSTED INTERNET CONNECTIONS GUIDANCE REPOSITORY

に様々な情報があります。。。

 

・CISA - CLOUD SECURITY TECHNICAL REFERENCE ARCHITECTURE

・2021.08 [PDF] Cloud Security Technical Reference Architecture Ver1.0

20220620-64424

 

 

関連...

● OMB

・2019. 09.12 M-19-26 MEMORANDUM FOR HEADS OF EXECUTIVE DEPARTMENTS AND AGENCI

20220620-64754



 

| | Comments (0)

2022.06.19

NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル

こんにちは、丸山満彦です。

NISTが、NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル(ドラフト)を公表し、意見募集をしていますね。。。

NIST -ITL

・2022.06.17 NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products

 

消費者プロファイルは次のような項目で考えているようです。。。

IoT Product Capabilities IoT製品の性能
Asset Identification  アセットアイデンティフィケーション 
Product Configuration 製品構成
Data Protection  データ保護 
Interface Access Control  インターフェースアクセス制御 
Software Update ソフトウェアアップデート
Cybersecurity State Awareness サイバーセキュリティの状態認識
IoT Product Non-Technical Supporting Capabilities   IoT製品の非技術的なサポート能力  
Documentation 文書化
Information and Query Reception 情報および問い合わせの受付
Information Dissemination 情報発信
Product and Education Awareness 製品・教育啓発

Fig1_20220619060201

 

NISTIR 8425 (Draft) Profile of the IoT Core Baseline for Consumer IoT Products NISTIR 8425 (ドラフト) 消費者向けIoT製品のIoTコアベースラインのプロファイル
Abstract 概要
This publication documents the consumer profile of NIST’s IoT core baseline and identifies cybersecurity capabilities commonly needed for the consumer IoT sector (i.e., IoT products for home or personal use). It can also be a starting point for small businesses to consider in the purchase of IoT products. The consumer profile was developed as part of NIST’s response to Executive Order 14028 and was initially published in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. The consumer profile capabilities are phrased as cybersecurity outcomes that are intended to apply to the entire IoT product. This document also discusses the foundations to developing the recommended consumer profile and related considerations. NIST reviewed a landscape of relevant source documents to inform the consumer profile and engaged with stakeholders across a year-long effort to develop the recommendations. 本書は、NISTのIoTコアベースラインの消費者プロファイルを文書化し、消費者向けIoT分野(家庭用または個人用のIoT製品)に共通して必要なサイバーセキュリティ能力を特定するものである。また、中小企業がIoT製品を購入する際の検討材料とすることもできる。消費者向けプロファイルは、大統領令14028号へのNISTの対応の一環として開発され、当初は「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準」で発表された。消費者プロファイルの能力は、IoT製品全体に適用されることを意図したサイバーセキュリティの成果として表現されています。また、この文書では、推奨される消費者プロファイルを開発するための基礎と、関連する考慮事項についても述べている。NIST は、消費者プロファイルに情報を提供するために関連するソース文書をレビューし、推奨事項を策定するために1 年間の取り組みを通じて利害関係者と協力した。

 

・[PDF] NISTIR 8425 (Draft)

20220619-60444

 

1 Introduction 1 はじめに
2 Consumer Profile of IoT Core Baseline 2 IoT コアベースラインの消費者向けプロファイル
2.1 IoT Product Scope Statement 2.1 IoT製品スコープステートメント
2.2 Consumer Profile 2.2 消費者プロファイル
2.2.1 IoT Product Capabilities 2.2.1 IoT製品の能力
2.2.2 IoT Product Non-Technical Supporting Capabilities . 2.2.2 IoT製品の非技術的なサポート能力.
3 Consumer Sector Considerations Used to Create Profile  3 プロファイル作成に使用した消費者セクターの考慮事項 
3.1 Gathering Source Information about Consumer IoT Product Cybersecurity . 3.1 消費者向けIoT製品のサイバーセキュリティに関する情報源の収集.
3.2 Assessing Consumer IoT Product Cybersecurity Sources  3.2 消費者向けIoT製品のサイバーセキュリティの情報源の評価 
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms 附属書 A- 略語集
Appendix B— Glossary 附属書 B- 用語集
List of Figures 図一覧
Figure 1 – Capabilities Identified for the Consumer Profile. 図1-消費者プロファイルのために特定された能力
List of Tables 表一覧
Table 1 – Example Consumer IoT Vulnerabilities and the Relevant Capabilities from the Consumer Profile. 表1 - 消費者向けIoT脆弱性の例と、消費者プロファイルの関連機能。
Table 2 – Highlighted Insights and Key Takeaways From the Consumer Profiling Process 表2 - 消費者プロファイリングプロセスから得られた注目すべき洞察と主要な要点

 

Introduction  はじめに 
On May 12, 2021, the President issued Executive Order (EO) 14028 which, among other directives, called for NIST to recommend requirements for a consumer IoT product cybersecurity labeling program. As part of NIST’s response to this directive[1], a profile of the IoT core baseline[2] for consumer IoT products was created. This profile served as part of the recommendations that NIST published in response to the EO in February 2022 titled Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products [EO Criteria].  2021年5月12日、大統領は大統領令(EO)14028を発し、他の指令の中で、NISTに消費者向けIoT製品のサイバーセキュリティラベリングプログラムの要件を推奨するよう求めた。この指令[1]に対するNISTの対応の一環として、消費者向けIoT製品のIoTコアベースライン[2]のプロファイルが作成された。このプロファイルは、NISTが2022年2月にEOに対応して発表した「消費者向けIoT(Internet of Things)製品のサイバーセキュリティラベリングに関する推奨基準 [EO Criteria] 」という勧告の一部となったものである。
The profile builds on the NISTIR 8259 series by extending the IoT Core Baseline for consumer  このプロファイルは、NISTIR 8259シリーズをベースに、IoT Core Baselineを消費者向け製品向けに拡張したものである。
IoT products. NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259], provides foundational guidance for IoT device manufacturers pertaining to developing IoT devices that can be used securely by customers. NISTIR 8259 does not target any specific IoT sector but discusses how manufacturers can approach cybersecurity for IoT devices in general. NISTIR 8259A, IoT Device Cybersecurity Capability Core Baseline [IR8259A], and NISTIR 8295B, IoT Non-Technical Supporting Capability Core Baseline [IR8259B] define the IoT device cybersecurity capability core baseline (also referred to as the core baseline), a starting point for manufacturers to use in identifying the cybersecurity capabilities their customers may expect from the IoT devices they create. NISTIR 8259A discusses device cybersecurity capabilities, which are functions or features implemented by the device through its own hardware and software. For example, NISTIR 8259A discusses concepts such as data protection, access control, and software update, among others. NISTIR 8259B discusses non-technical supporting capabilities, which are actions taken by organizations to support the cybersecurity of the device. For example, NISTIR 8259B discusses concepts such as education and awareness, and information and query reception (by manufacturers).  IoT製品に拡張することで、NISTIR 8259シリーズを構築している。NISTIR 8259, Foundational Cybersecurity Activities for IoT Device Manufacturers [IR8259]は、顧客が安全に使用できるIoTデバイスの開発に関わるIoTデバイスメーカー向けの基礎的なガイダンスを提供する。NISTIR 8259は、特定のIoT分野を対象としておらず、製造業者がIoTデバイス全般のサイバーセキュリティにどのようにアプローチできるかを論じている。NISTIR 8259A、IoTデバイスサイバーセキュリティ能力コアベースライン [IR8259A]、およびNISTIR 8295B、IoT非技術的支援能力コアベースライン [IR259B] は、IoTデバイスサイバーセキュリティ能力コアベースライン(コアベースラインとも呼ばれる)、製造者がその顧客が作成するIoTデバイスに期待されるサイバーセキュリティ能力を識別するにあたって用いる出発点、を定義している。NISTIR 8259Aは、デバイスが自身のハードウェアとソフトウェアを通じて実装する機能または特徴であるデバイスのサイバーセキュリティ能力について論じている。例えば、NISTIR 8259Aは、データ保護、アクセス制御、ソフトウェア更新などの概念について論じている。NISTIR 8259Bは、非技術的な支援能力について述べており、デバイスのサイバーセキュリティを支援するために組織が取る行動である。例えば、NISTIR 8259Bは、教育や意識向上、(製造業者による)情報や問い合わせの受付といった概念について論じている。
Like NISTIR 8259, these baseline documents do not consider any sector or use case specific considerations, and instead present a starting point for any IoT device. Tailoring the baseline capabilities for a specific sector and/or use case requires a form of profiling. The profiling process using NISTIR 8259/A/B directs a profiler to gather sector-/use case-specific information and interpret the relevant impacts of this information to select the baseline capabilities most applicable to and responsive of the needs and goal of customers for the sector/use case.   NISTIR 8259と同様に、これらのベースライン文書では、セクターやユースケースに特有の考慮事項はなく、代わりにあらゆるIoTデバイスの出発点を提示している。特定のセクターやユースケース向けにベースライン能力を調整するには、一種のプロファイリングが必要である。NISTIR 8259/A/Bを用いたプロファイリングプロセスは、プロファイラーにセクター/ユースケース固有の情報を収集し、この情報の関連する影響を解釈して、セクター/ユースケースの顧客のニーズと目標に最も適用でき、対応するベースライン能力を選択するように指示する。 
The rest of this document describes the results of this profiling process for the consumer sector and is organized as follows:  本書の残りの部分では、消費者セクターに関するこのプロファイリングプロセスの結果について説明し、以下のように構成されている。
•       Section 2 explains the intended applicability of the consumer profile to consumer IoT products and defines the consumer profile.  ・ セクション 2 では、消費者プロファイルの消費者向け IoT 製品への意図された適用性を説明し、消費者向けプロファイルを定義している。
•       Section 3 describes the process used to develop the consumer profile in more depth.  ・ セクション 3 では、消費者プロファイルの開発に使用したプロセスをより深く説明する。
•       Section 4 explores some additional considerations readers should consider when using the consumer profile.  ・ セクション 4 では、読者が消費者プロファイルを使用する際に考慮すべき追加事項を探る。
[1] For more information about NIST’s response to EO 14028’s call for recommendations for a consumer IoT product cybersecurity label, visit [web]. [1] EO 14028 の消費者向け IoT 製品のサイバーセキュリティラベルに関する勧告の募集に対する NIST の回答の詳細については、[web] を参照。 
[2] The terms core baseline, IoT core baseline, and IoT device core capability baseline all refer to the set of capabilities presented in NISTIRs 8259A and 8259B.  [2] コアベースライン、IoT コアベースライン、および IoT デバイスコア能力ベースラインという用語はすべて、NISTIRs 8259A および 8259B に示される一連の能力を指す。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

NIST IoT関連の歴史...

・2022.05.19 NIST IoTセキュリティ関連の文書についてNISTのブログで簡単に説明されていますね。。。

 

White Paper

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨規準

 

NISTIR 8259関連

・2021.08.29 NISTIR 8259B IoT非技術的支援能力コアベースライン

・2020.12.17 NIST SP 800-213 (Draft) 連邦政府向け「 IoTデバイスサイバーセキュリティ要件の確立」、NISTIR 8259B、8259C、8259D

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

その他NIST。。。

・2022.02.06 NIST ホワイトペーパー :消費者向けIoT製品のサイバーセキュリティラベルの推奨基準

・2021.11.04 NIST 消費者向けソフトウェアのサイバーセキュリティに関するラベリングについての意見募集

・2021.09.02 NIST ホワイトペーパー(ドラフト):消費者向けIoTデバイスのベースライン・セキュリティ基準

・2021.05.15 NIST White Paper ドラフト IoTデバイスセキュリティの信頼を確立するために:どうすればいいのか?

・2021.03.31 NISTIR 8333 「消費者向け家庭用IoT製品におけるサイバーセキュリティ・リスク」に関するオンラインワークショップの要旨

・2020.02.06 NISTがIoT機器製造者向けセキュリティの実践資料のドラフト(Ver.2)を公開していますね。。。

 

 

| | Comments (0)

2022.06.18

英国 Ada Lovelance 協会: EUのAI法について説明 (2022.04.11)

こんにちは、丸山満彦です。

ITやAIについての研究機関である英国のAda Lovelance Institute(エイダ・ラブレンス協会)が、EUのAI法についての説明文を2022年4月に公表していましたね。。。

この時点では、成立は2023年の前半かなぁ。。。という感じのようですね。。。

Ada Lovelance Institute

・2022.04.11 Expert explainer: The EU AI Act Proposal

コンパクトな内容なので、読みやすいです。。。

目次的なもの。。。

Expert explainer: The EU AI Act Proposal 専門家による解説。EUのAI法提案
Introduction はじめに
o   Timeline o タイムライン
International significance 国際的な意義
o   9 key points o 9つのキーポイント
Scope スコープ
o   Who is subject to obligations under the Act? o 誰がこの法律の対象か?
Structure: a ‘risk-based’ approach 構造:「リスクベース」アプローチ
o   1. Unacceptable risk o 1. 許容できないリスク
o   2. High risk o 2. 高リスク
o   3. Limited risk o 3. 限定的なリスク
o   4. Minimal risk o 4. 最小限のリスク
 ‘Essential requirements’ for high-risk AI  高リスクのAIに対する「必須要件」
o   1. Data and data governance (Article 13) o 1. データ及びデータガバナンス(第13条)
o   2. Human oversight (Article 14) o 2.人間による監視(第14条)
Conformity assessment (pre-marketing) and enforcement (post-marketing) 適合性評価(市販前)及び実施(市販後)
o   Pre-market o 市販前
o   Post-market o 市販後
About the author 執筆者について
Expert opinion: Regulating AI in Europe 専門家の意見 欧州におけるAIの規制
People, risk and the unique requirements of AI 人、リスク、そしてAI特有の要求事項
Ada in Europe エイダ協会とは
Footnotes 脚注

 

サマリー的なもの。。。

9 key points 9つのポイント
1. The Act sets out harmonised rules for the development, placing on the market, and use of AI in the European Union (EU). 1. この法律は、欧州連合(EU)におけるAIの開発、市場での販売、使用に関する調和のとれた規則を定めたものである。
2. The Act draws heavily on the model of certification of ‘safe’ products used for many non-AI products in the New Legislative Framework (NLF) (see below) and is part of a set of EU draft proposals to regulate AI, including the Machinery Regulation and the announced but not yet released product liability reforms. 2. この法律は、新法規フレームワーク(NLF)(下記参照)の中で多くの非AI製品に用いられている「安全」製品の認証モデルを多分に活用しており、機械規則や、発表されたがまだ公表されていない製造物責任改革を含む、AI規制に関する一連のEU草案の一部である。
3. The Act needs to be read in the context of other major packages announced by the EU such as the Digital Services Act (DSA), the Digital Markets Act (DMA) and the Digital Governance Act (DGA). The first two primarily regulate very large commercial online platforms such as notably Google, Amazon, Facebook and Apple (GAFA). 3. この法律は、デジタルサービス法(DSA)、デジタル市場法(DMA)、デジタルガバナンス法(DGA)など、EUが発表した他の主要パッケージとの関連で読む必要がある。最初の2つは主に、Google、Amazon、Facebook、Apple(GAFA)など、非常に大規模な商業オンラインプラットフォームを規制するものである。
4. These well-known tech giants although prominently fuelled by ‘AI’, are not the focus of the Act: instead, it is mainly, though not exclusively, aimed at public sector and law enforcement AI.[2] 4. これらの有名なハイテク企業は「AI」によって大きく成長したが、この法律の焦点ではない。代わりに、この法律は主に公共部門と法執行機関のAI [2] を対象としている。
5. The Act does not replace but will overlap with the protections offered by the General Data Protection Regulation (GDPR),[3] although the former’s scope is more expansive and not restricted to personal data.  5. この法律は、一般データ保護規則(GDPR)[3]が提供する保護に取って代わるものではないが、こん法律がより範囲が広く、個人データに限定されていないため、オーバーラップすることになると考えられる。 
6. Parts of the Act related to manipulation and deception also draw on the Unfair Commercial Practices Directive (UCPD).[4] 6. この法律の不正操作と欺瞞に関する部分は、不公正商行為指令(UCPD)[4] も参照している。
7. Existing consumer law and national laws, such as on tort, are also relevant. 7. 既存の消費者法や不法行為に関する法律などの国内法も関連している。
8. Like the GDPR, the territorial jurisdiction of the Act is expansive: governing not just users of AI in the EU,[5] but providers who place on the market or into service AI systems in the EU. Thus, despite Brexit, the Act will be crucial to the UK AI industry’s aspirations as exporters to the EU or providers of ‘AI-as-a-Service’.[6] 8. GDPRと同様、この法律の管轄範囲は広く、EU域内のAIのユーザー [5] だけでなく、EU域内のAIシステムを市場に出したり、サービスを提供したりするプロバイダーにも適用される。したがって、この法律は、Brexitにもかかわらず、EUへの輸出業者や「AI-as-a-Service」のプロバイダーとして英国のAI産業が目指すものにとって極めて重要である[6]。
9. The Act’s extraterritorial reach is backed by big fines akin to the GDPR (maximum 6% global annual turnover). 9. この法律の域外適用範囲は、GDPRと同様の大きな罰金(最大で世界の年間売上高の6%)に裏付けられている。
Note: 脚注:
[2] Note that the Act does not affect the application of the (current) E-Commerce Directive or (future) DSA; Article 2(5).  [2] なお、この法律は、(現行の)電子商取引指令や(将来の)DSA(第2条第5項)の適用には影響を及ぼさない。 
[3] Hence already the issue of a report on interaction of the Act with the GDPR by European Data Protection Supervisor and European Data Protection. See: EDPB-EDPS. (2021). Joint Opinion 5/2021 on the proposal for a Regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act). Available at :[pdf] [3] そのため、欧州データ保護監督庁と欧州データ保護は、この法律とGDPRの相互作用に関する報告書を既に発表している。参照。EDPB-EDPS. (2021). 人工知能に関する調和された規則を定めた欧州議会及び理事会の規則の提案に関する共同意見5/2021(人工知能法). [pdf] で入手可能。 
[4] European Commission. Unfair Commercial Practices Directive. Available at : [web] .  [4] 欧州委員会. Unfair Commercial Practices Directive(不公正商行為指令). 利用可能なサイト:[web] . 
[5] NB note special use of ‘user’ here, article 3(4), discussed below.  [5] NB note special use of 'user' here, article 3(4), discussed below. 
[6] Cobbe, J. and Singh, J. (2021). ‘Artificial Intelligence as a Service: Legal Responsibilities, Liabilities, and Policy Challenges.’ Computer Law and Security Review, volume 42. Available at: [web] .  [6] Cobbe, J. and Singh, J. (2021). 'Artificial Intelligence as a Service: 法的責任、責任、および政策の課題」。Computer Law and Security Review, volume 42. [web] で入手可能。 

 

義務の対象

Who is subject to obligations under the Act? 同法に基づく義務の対象者は?
Predominantly, ‘providers’ of systems who develop an AI system with a view to placing it on to the market or putting it into service under their own name or trademark (Article 3). 主に、AIシステムを開発し、自己の名称又は商標の下で市場に流通させることを目的とするシステムの「提供者」である(第3条)。
But obligations also, or alternatively, fall in different ways on ‘users’, defined here rather contra-intuitively to mean any natural or legal person ‘using an AI system under its authority’, e.g. a local authority putting in a fraud detection scheme, or an employer putting in an automated hiring system. This is not the ‘ultimate end user’ of the system, or the ‘data subject’ in the GDPR and there is no word in the Act for this person. しかし、「ユーザー」にも、あるいはその代わりに、さまざまな形で義務が課される。ここでいう「ユーザー」とは、直感にかなり反していて、「その権限の下でAIシステムを使用するあらゆる自然人または法人」、たとえば、不正検知システムを導入する地方自治体や、自動雇用システムを導入する雇用主などのことである。これはシステムの「最終的なエンドユーザー」でもなければ、GDPRにおける「データ主体」でもなく、この人物に関する言葉はこの法律にはない。
Obligations also fall on importers and distributors (Articles 26–28) in a way similar to the product safety regime, with the intent of stopping dangerous products built outside the EU from entering it. The primary actor on whom obligations are placed is nonetheless the provider. また、EU域外で製造された危険な製品がEUに入るのを阻止する目的で、製品安全体制と同様の方法で、輸入業者や販売業者にも義務が課せられる(第26条〜第28条)。とはいえ、義務を負わされる主な関係者は提供者である。
While this scheme has worked relatively well for tangible products, where the manufacturer of a product is the analogue of the provider in the Act, this top-down allocation of duties will be more challenged in a world of ‘upstream’ AI services, which can be re-used downstream in a wide variety of unforeseeable contexts. We discuss this and ‘general purpose’ AI in particular, below. この方式は、製品の製造者が法における提供者の類似体である有形製品については比較的うまく機能しているが、このトップダウンの義務配分は、下流で多種多様な予測不可能な文脈で再利用されうる「上流」のAIサービスの世界ではより困難となるであろう。以下、この点、特に「汎用」AIについて論じる。

 

リスクベースの構造

Structureofrisk1024x510

出典:Ada Lovelance Institute: Expert explainer: The EU AI Act Proposal

 

 

・[PDF]

20220618-54743

 

 

 

関連

・2022.03.31 People, risk and the unique requirements of AI

・2022.03.31 Expert opinion: Regulating AI in Europe

 

AI法案(2021.11.29)

・2021.11.29 [PDF] Interinstitutional File: 2021/0106(COD)

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

 

| | Comments (0)

2022.06.17

金融庁 分散型金融システムのトラストチェーンにおける技術リスクに関する研究

こんにちは、丸山満彦です。

金融庁が、「分散型金融システムのトラストチェーンにおける技術リスクに関する研究 」についての調査報告書を公表していますね。。。クニエとの共同研究ということです。。。

京大(元日銀)の岩下教授、米ジョージタウン大学の松尾教授もインタビューに答えていますね。。。

 

リスクについては、

  1. システム運用
  2. システム開発
  3. ガバナンス
  4. 金融市場との関わり

における観点から分析されていますね。。。

 

なかなか興味深いです。。。

 

20220617-04322

 

 

20220617-04426

 

 

 

目次...

当研究の背景、目的

目次...

用語集

第1章 分散型金融システムのトラストチェーンについての全体像の把握
1-1
分散型金融システムに関する主な定義
 1-1-1
分散型金融システム(Decentralized Financial System)
 1-1-2 DeFi(Decentralized Finance)
 1-1-3 DAO(Decentralized Autonomous Organization)
 1-1-4 トラストポイント/トラストチェーン

 1-1-5 Weakest Link
1-2 分散型金融システムの主要な構成要素
1-3
分散型金融システムを構成する主要な構成要素のマッピング
 1-3-1
レイヤー分けの考え方
1-4
レイヤー毎の構成要素の技術特性の分析
 1-4-1
基盤ブロックチェーン
 1-4-2 基盤ブロックチェーンの機能拡張サービス
 1-4-3 アプリケーション基盤・アプリケーション
 1-4-4 アグリゲーション
 1-4-5 ユーザおよびユーザインターフェース

1-5
相互運用性(Interoperability)の分析

第2章 主要な DeFi プロジェクトについての分析
2-1
調査対象とする DeFi プロジェクトの特定
 2-1-1
調査対象 DeFi プロジェクトの選定(分散型取引所)
 2-1-2 調査対象 DeFi プロジェクトの選定(暗号資産ステーブルコイン発行プラットフォーム)
 2-1-3 調査対象 DeFi プロジェクトの選定(レンディングプラットフォーム)

2-2
分散型取引所 Uniswap の分析
 2-2-1
プロジェクト全体概要
 2-2-2 主な技術特性
 2-2-3 金融機関との連携
 2-2-4 ガバナンス運営
 2-2-5 インシデント事例
 2-2-6 Uniswap の主なトラストポイント

2-3
ステーブルコイン MakerDAI)の分析
 2-3-1
プロジェクト全体概要
 2-3-2 主な技術特性
 2-3-3 金融機関との連携
 2-3-4 ガバナンス運営
 2-3-5 インシデント事例
 2-3-6 Maker の主なトラストポイント

2-4
レンディング Aave の分析
 2-4-1
プロジェクト全体概要
 2-4-2 主な技術特性
 2-4-3 金融機関との連携
 2-4-4 ガバナンス運営
 2-4-5 Aave の主なトラストポイント

2-5
調査対象プロジェクトの分析結果
 2-5-1
主要な DeFi プロジェクトの構成要素マッピング
 2-5-2 調査対象プロジェクトの分析結果の比較

2-6
他の DeFi プロジェクトの主なインシデント事例分析結果
 2-6-1 The DAO Attack
 2-6-2 Flash Loan Attack #1
 2-6-3 Flash Loan Attack #2
 2-6-4
マネー・ローンダリング
 2-6-5 ビットコインの脆弱性(CVE-2018-17144)
 2-6-6 サイドチェーンの双方向ブリッジにロックされた資金の窃取(Ronin Network)
 2-6-7 2020 年以降の主なインシデント事例

2-7
トラストチェーンにおけるトラストポイント・Weakest Link の分析

第3章 分散型金融システムにおけるリスクの特定
3-1
システム運用におけるリスク要因の特定
3-2
システム開発におけるリスク要因の特定
3-3
ガバナンスにおけるリスク要因の特定
3-4
金融市場との関わりにおけるリスクの特定

第4章 分散型金融システムにおけるリスク低減策についての分析
4-1
システム運用におけるリスク低減策の分析
4-2
システム開発におけるリスク低減策の分析
4-3
ガバナンスにおけるリスク低減策の分析
4-4
金融市場との関わりにおけるリスク低減策の分析

おわりに




 

| | Comments (0)

2022.06.16

徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書

こんにちは、丸山満彦です。

ランサムウェアに感染し、データが暗号化され、その中で業務を継続しつつ、復旧に取り組んだ徳島県つるぎ町立半田病院 コンピュータウイルス感染事案有識者会議調査報告書が公表されていますね。。。

 

Fig1_20220616120101

 

徳島県つるぎ町立半田病院

・2022.06.16 コンピュータウイルス感染事案有識者会議調査報告書について

 

対応の考え方についての説明


事件発生後、当院の職員は一丸となって早期復旧を目指しました。全容解明や情報漏えい有無の特定よりも、まずは病院としての機能を一日も早く取り戻すために、患者さんのデータをいかに復元させるか、端末を利用できる状況にどのように戻すかに焦点を当てインシデント対応を行っていきました。


 

公開に至った理由...


有識者の方々からは、電子カルテシステムは閉域網で使用するものではなく、外部とつながって使用される状況であり、また、インターネットと接続させることでシステムをアップデートできることから、より強固なセキュリティの構築に取り組まなければいけないことを教えていただきました。この報告書には、我々の対応不足な点もたくさん指摘されていますが、広く日本の電子カルテシステムにおける問題も提起されています。本来なら、今後当院が電子カルテシステムをどのようにするのかの具体的な対策も提示して、皆様にご報告するべきだったと思いますが、まずはこれらを世に出して、全国の病院や事業所のセキュリティ強化に貢献できればと考え公開するものです。


 

[PDF] ウェブ文面

 

有識者会議調査報告書

20220616-114619

[Downloaded]

 

 

20220616-114631

[Downloaded]

 

 

20220616-114639

[Downloaded]

 

 

| | Comments (0)

経済産業省 「地域SECUNITYマップ」を公開

こんにちは、丸山満彦です。

中小企業のサイバーセキュリティ対策は、日本だけでなく世界的に課題になっていますよね。。。

個人的には、クラウド移行に伴い、クラウドにセキュリティの多くが取り込まれていくので、技術的な対策の多くはクラウド側で解決するとは思うものの、組織的、物理的、運用、人についてのセキュリティは残流ので最後まで現場がゼロになるわけではないと思っています。

 

ということで、これは重要な課題。。。

まずは、経営者、従業員共に、awarenessを高めるところからですかね。。。

経済産業省が、地域SECUNITY(セキュリティ・コミュニティ)のサイトを作っているのでインシデント、サプライチェーンの中で、困った時には、ここをヒントになんとか解決の糸口を見つけてほしいですね。。。

で、今回、「地域SECUNITYマップ」が公開されています。。。

経済産業省

地域SECUNITY(セキュリティ・コミュニティ)

・・地域SECUNITYリスト・マップ

・・[PDF]

Map_hokkaido_tohoku

 

このサイト自体の認知が低いかもしれないので、関係者の皆様、宣伝しておいてくださいませ。。。

 

 

 

| | Comments (0)

内閣官房 デジタル庁 総務省 経済産業省 意見募集「ISMAP-LIUクラウドサービス登録規則(案)」等

こんにちは、丸山満彦です。

内閣官房、デジタル庁、総務省、経済産業省が「ISMAP-LIUクラウドサービス登録規則(案)」等についての意見募集をしていますね。。。

今回検討している、ISMAP-LIUは、機密性 2 情報を扱う SaaS のうち、セキュリティ上のリスクの小さな業務・情報の処理に用いるものに対する仕組みですね。。。

LIUは、「エルアイユー」と呼び、Low-Impact Useの省略形のようです。。。

影響度が小さいかどうかは、関連資料(意見募集対象外)のISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)にガイドがあります。。。「政府機関等の対策基準策定のためのガイドライン(令和3年度版)」 第 6 部 情報システムのセキュリティ要件の遵守事項 6.1.1(1)(b)に記載の、「オンライン手続において想定されるリスク」を参考としたとのことですね。。。


SaaS の利用において想定されるリスク
①国民に不便、苦痛を与える、又は機関等が信頼を失う
②利用者に金銭的被害や賠償責任が生じるなど、財務上の影響を与える
③機関等の活動計画や公共の利益に対して影響を与える
④個人情報等の機微な情報が漏えいする
⑤利用者の身の安全に影響を与える
⑥法律に違反する


 

各省庁からの発表...

 

内閣官房 サイバーセキュリティセンター

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました。

デジタル庁

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集を行います

● 総務省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集

● 経済産業省

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見公募手続(パブリックコメント)を開始しました

 

J

 

さて、、、e-Govの意見募集のページ

● e-Gov

・2022.06.15 「ISMAP-LIUクラウドサービス登録規則(案)」等に対する意見募集について

 

意見募集対象

  1. [PDF] ISMAP-LIUクラウドサービス登録規則(案)
  2. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式1-2
  3. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_別紙2
  4. [PDF] 政府情報システムのためのセキュリティ評価制度(ISMAP)基本規程
  5. [PDF] ISMAPクラウドサービス登録規則
  6. [PDF] ISMAP管理基準
  7. [PDF] ISMAP標準監査手続
  8. [PDF] ISMAP情報セキュリティ監査ガイドライン 

関連資料

  1. [PDF] ISMAP-LIUについて(案)
  2. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式2-3 
  3. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_様式2-3別紙
  4. [PDF] ISMAP-LIUクラウドサービス登録規則(案)_別紙1 
  5. [PDF] ISMAP for Low-Impact Useにおける業務・情報の影響度評価ガイダンス(案)

 

 

| | Comments (0)

経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)

こんにちは、丸山満彦です。

経済産業省が、「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)を取りまとめ、発表していますね。

改訂内容は、


第1.1版(2021年4月公開)をもとに、読みやすさを重視しポイントをしぼって検討手順を明確化するとともに、企業におけるデジタル活用が進展する中で「プラス・セキュリティ」の必要性がさらに高まっていることを踏まえ、一部内容の更新・拡充を行っています。


となるようです。。。

1.1 と2.0 比べてみると、、、ページ数が73ページから42ページに激減していますね。。。そして、ワード的なものから、パワーポイント的な感じになっていますね。。。

そういう意味では、本から紙芝居に変わった感じですね。。。

(日本人は文書を読むより、絵を見る方が得意なのかもしれませんね。。。漢字が絵みたいやし。。。)

セキュリティ組織のパターンとかも引き続き例示されているので、参考にすると良いかもですね。。。

 

● 経済産業省

・2022.06.15 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)をとりまとめました

 

・[PDF] 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)本体

20220615-182827

 

・[PDF] 「サイバーセキュリティ体制構築・人材確保の手引き」(第2.0版)概要版(経営者向けサマリ)

20220615-182903

 


まるちゃんの情報セキュリ気まぐれ日記

経営ガイドライン関係...

・2022.04.12 経済産業省 「産業サイバーセキュリティ研究会」から「産業界へのメッセージ」

・2022.03.30 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2021.08.18 経済産業省 / IPA サイバーセキュリティ経営可視化ツールWeb版(V1.0版)

・2021.04.27 経済産業省 「サイバーセキュリティ体制構築・人材確保の手引き」(第1.1版)

・2021.04.06 IPA 「2020年度サイバーセキュリティ経営ガイドライン実践のためのプラクティスの在り方に関する調査」報告書

・2020.09.30 経済産業省からサイバーセキュリティ経営ガイドラインVer2.0の付録として「サイバーセキュリティ体制構築・人材確保の手引き」が公開されていますね。。。

・2020.07.01 経済産業省 第5回 産業サイバーセキュリティ研究会

・2020.06.04 IPA サイバーセキュリティ経営ガイドライン Ver 2.0実践のためのプラクティス集

・2020.03.26 IPA サイバーセキュリティ経営ガイドライン実践状況の可視化ツールβ版

| | Comments (0)

2022.06.15

英国 健康分野のデータ戦略

こんにちは、丸山満彦です。

英国(正確にはイングランド)の新しい健康分野のデータ戦略が公表されていますね。。。

 

なぜ、健康分野のデータ戦略が重要となるか。。。

We can plan and commission services that provide what each local area needs and support effective integrated care systems. それぞれの地域が必要とするものを提供するサービスを計画し、委託し、効果的な統合ケアシステムをサポートすることができる
We can develop new diagnostics, treatments and insights from analysing information so the public have the best possible care and can improve their overall wellbeing. 情報の分析から新しい診断法、治療法、洞察を開発し、国民が最善のケアを受け、全体的な健康状態を向上させることができる
We can stop asking the public to repeat their information unnecessarily by having it available at the right time. 適切なタイミングで情報を入手できるようにすることで、国民に不必要な情報の繰り返しを求めないようにすることができる
We can assess the safety and quality of care to keep the public safe, both for their individual care and to improve guidance and regulations. 国民が安全でいられるように、ケアの安全性と質を評価し、個々のケアとガイダンスや規制の改善の両方を行うことができる
We can better manage public health issues such as COVID-19, health and care disparities, and sexual health. COVID-19、医療・介護格差、セクシャルヘルスなどの公衆衛生問題をよりよく管理することができる
We can help the public make informed decisions about their care, including choosing clinicians, such as through patient-reported outcome measures (PROMs) that assess the quality of care delivered from a patient’s perspective. 患者の視点から提供されるケアの質を評価する患者報告型成果指標(PROMs)などを通じて、国民が臨床医の選択を含め、ケアに関して十分な情報を得た上で意思決定できるようにすることができる

 

 

ビジョン...

1. Improving trust in the health and care system’s use of data 1. 医療・介護システムのデータ活用に対する信頼性の向上
Our vision: the public have confidence in how their data will be handled, and are happy for their data to be used to improve the care that they and others receive 私たちのビジョン:国民は、自分のデータがどのように扱われるかに信頼を持ち、自分や他の人が受けるケアを改善するために自分のデータが使われることに満足している。
2. Giving health and care professionals the information they need to provide the best possible care 2. 医療・介護の専門家に、最善のケアを提供するために必要な情報の提供
Our vision: staff will have easy access to the right information to provide the best possible care 私たちのビジョン:スタッフは最善のケアを提供するために適切な情報に容易にアクセスできるようになる。
3. Improving data for adult social care 3. 成人の社会的ケアのためのデータの改善
Our vision: members of the public and their care teams will have access to timely, high-quality data to improve care quality and inform choices about their care and support 私たちのビジョン:市民とケアチームは、ケアの質を向上させ、ケアとサポートに関する選択に情報を提供するために、タイムリーで質の高いデータにアクセスできるようになる。
4. Supporting local and national decision-makers with data 4. 地域や国の意思決定者へのデータによる支援
Our vision: leaders and policymakers in every community will have up-to-date sophisticated data to make effective decisions, and help the health and care system run at its best 私たちのビジョン:すべてのコミュニティのリーダーや政策立案者が、効果的な意思決定を行うための最新の洗練されたデータを持ち、医療・介護システムが最高の状態で運営されるよう支援する。
5. Empowering researchers with the data they need to develop life-changing treatments, diagnostics, models of care and insights 5. 人生を変える治療法、診断法、ケアモデル、洞察を開発するために必要なデータによる研究者の支援
Our vision: researchers will be able to safely and easily access data to provide innovative solutions to health and care issues for the benefit of all 私たちのビジョン:研究者が安全かつ容易にデータにアクセスできるようになり、すべての人の利益のために医療とケアの問題に対する革新的な解決策を提供できるようになる。
6. Working with partners to develop innovations that improve health and care 6. パートナーとの協働による医療・介護の改善に向けたイノベーションの開発
Our vision: innovators will be supported to develop and deliver new solutions quickly and safely for the benefit of all citizens, staff and the system 私たちのビジョン: 改革者は、すべての市民、スタッフ、システムの利益のために、新しいソリューションを迅速かつ安全に開発し、提供するために支援される。
7. Developing the right technical infrastructure 7. 適切な技術インフラの開発
Our vision: we will ensure the data architecture underpinning the health and care system can easily work together to make more effective and efficient use of data 私たちのビジョン:医療・介護システムを支えるデータアーキテクチャが容易に連携し、より効果的かつ効率的にデータを活用できるようにする。

 

ということのようです。。。

● Gov U.K. - Government - Cyber security

・2022.06.13 Policy paper Data saves lives: reshaping health and social care with data

 

Policy paper: Data saves lives: reshaping health and social care with data ポリシーペーパー データは命を救う:データで医療と社会保障を再構築する
This final version of the strategy sets out ambitious plans to harness the potential of data in health and care in England, while maintaining the highest standards of privacy and ethics. この戦略の最終版は、プライバシーと倫理の最高水準を維持しながら、イングランドの医療とケアにおけるデータの可能性を活用するための野心的な計画を示しています。
Department of Health and Social Care 保健社会福祉省
Applies to England イングランドに適用
Documents 本文文書
Data saves lives: reshaping health and social care with data データは命を救う:データで医療と社会保障を再構築する
Details 詳細
This strategy sets out the Secretary of State for Health and Social Care’s vision for how data will be used to improve the health and care of the population in a safe, trusted and transparent way. It: この戦略は、安全、信頼、透明な方法で国民の健康とケアを改善するためにデータをどのように利用するかについての保健社会福祉省の国務長官のビジョンを示しています。それは
provides an overarching narrative and action plan to address the current cultural, behavioural and structural barriers in the system, with the ultimate goal of having a health and care system that is underpinned by high-quality and readily available data 高品質で容易に入手可能なデータに支えられた医療・介護システムを持つという最終目標に向けて、システムにおける現在の文化的、行動的、構造的な障壁に対処するための包括的な物語と行動計画を提供する。
marks the next steps of the discussion about how we can best utilise data for the benefit of patients, service users, and the health and care system 患者、サービス利用者、医療・介護システムの利益のために、どのようにデータを最もよく活用できるかについて、次のステップの議論を開始する。
This strategy applies to England only 本戦略はイングランドのみ適用
The strategy covers England only, in line with health as a devolved policy, but also sets out the government’s commitment to continue working collaboratively with the devolved administrations. 本戦略は、保健医療を分権政策としているため、イングランドのみを対象としていますが、分権行政機関との協力関係を継続する政府のコミットメントも示しています。
The strategy was published in draft format in June 2021 to enable full and open engagement. Feedback received during that period has informed this final version of the strategy. この戦略は、完全かつオープンなエンゲージメントを可能にするため、2021年6月にドラフト形式で発表された。この期間中に寄せられたフィードバックが、この戦略の最終版に反映されています。
Read more on why health and care data matters. 医療・介護データが重要な理由については、こちらをご覧ください。

 

本文

Data saves lives: reshaping health and social care with data

目次

Ministerial foreword 大臣序文
NHS England Transformation Director foreword NHSイングランド・トランスフォーメーション・ディレクター序文
1.Improving trust in the health and care system’s use of data 1. 医療・介護システムのデータ活用に対する信頼性の向上
2.Giving health and care professionals the information they need to provide the best possible care 2. 医療・介護の専門家に、最善のケアを提供するために必要な情報の提供
3.Improving data for adult social care 3. 成人の社会的ケアのためのデータの改善
4.Supporting local and national decision-makers with data 4. 地域や国の意思決定者へのデータによる支援
5.Empowering researchers with the data they need to develop life-changing treatments, diagnostics, models of care and insights 5. 人生を変える治療法、診断法、ケアモデル、洞察を開発するために必要なデータによる研究者の支援
6.Working with partners to develop innovations that improve health and care 6. パートナーとの協働による医療・介護の改善に向けたイノベーションの開発
7.Developing the right technical infrastructure 7. 適切な技術インフラの開発
How you can get involved 参加方法
Annex A: legislative changes 附属書A:法改正
Annex B: list of commitments 附属書B:公約のリスト
Annex C: organisations who provided feedback on the draft strategy 附属書C:戦略草案へのフィードバックを行った組織
Annex D: recommendations of the Goldacre review 附属書D:ゴールドエーカーレビューの勧告
Annex E: glossary 附属書E:用語集

 

サジッド・ジャビット大臣のスピーチはこちら。。。

・2022.06.13 Speech Data saves lives: reshaping health and social care with data

Data saves lives: reshaping health and social care with data データは命を救う:データで医療と社会保障を再構築する
The Health and Social Care Secretary spoke at London Tech Week’s HealthTech Summit to launch the new data in health strategy, Data saves lives: reshaping health and social care with data ロンドン・テック・ウィークのヘルステック・サミットで、保健社会福祉長官が講演し、新しい保健分野のデータ戦略「データは命を救う:データで保健・社会福祉を再構築する」を発表しました。
Department of Health and Social Care and The Rt Hon Sajid Javid MP 保健社会福祉省とサジッド・ジャビット議員
13 June 2022 (Transcript of the speech, exactly as it was delivered) 2022年6月13日(スピーチ原稿、配信したもの)
This is my second London Tech Week in this role, and it couldn’t be more different from the last. Last year’s London Tech Week was delayed to September due to Covid, but it was also virtual, and it’s great that we can meet like this face-to-face. It’s brilliant that London Tech Week is back in its rightful place this summer. It’s yet another example of how life is returning back to normal, and it’s our tech pioneers who have helped get us here. 今回で2回目のロンドン・テック・ウィークですが、前回とこれほど違うことはないでしょう。昨年のLondon Tech Weekは、Covidの関係で9月に延期されましたが、バーチャルでもあり、こうして顔を合わせることができるのは、素晴らしいことです。この夏、London Tech Weekが本来の場所に戻ってきたのは、素晴らしいことです。この夏、ロンドンテックウィークが本来の場所に戻ってきたのは素晴らしいことで、これも生活が正常に戻りつつあることの一例です。
Technology is something that I’ve always been very excited about because the story of technology is the story of human progress. When I took my current role, I saw so many opportunities where I could make a difference. The NHS, as many of you will know, is one of the world’s largest employers with some 1.4 million employees, and health and care, it’s fair to say, touches us all – it may be you, it may be your loved one, but we all care about our health and care, especially over the last few years. It’s with us and important to us from our first moments to our last moments. テクノロジーは、私がいつもとても楽しみにしているものです。なぜなら、テクノロジーの物語は人類の進歩の物語でもあるからです。私が現在の職務に就いたとき、自分が貢献できる機会がたくさんあると思いました。NHSは、ご存知のように140万人の従業員を擁する世界最大の雇用者のひとつであり、医療とケアは私たち全員に関わることだと言ってもいいでしょう。私たちの最初の瞬間から最後の瞬間まで、私たちとともにあり、私たちにとって重要なものなのです。
And so I believe we have the scope and the scale to drive some incredible change, especially if we build on what we’ve learned during the pandemic, where you could say we’ve seen at least a decade of change, at least a decade of change, happen in just a couple of years. It’s brilliant to be here with some pioneers that have helped make that change happen. You more than anyone understand the benefits that digital transformation can bring, but we need to keep shouting about it and be unafraid to be ambitious about what we can achieve. 特に、パンデミック時に学んだことを基にすれば、少なくとも10年分の変化が、たった2、3年で起こったと言えるでしょう。その変化の実現に貢献したパイオニアたちと一緒にここにいられることは、素晴らしいことです。皆さんは、デジタルトランスフォーメーションがもたらす利益を誰よりも理解しているはずです。しかし、私たちはそれを叫び続け、何を達成できるかについて臆することなく、野心的になる必要があるのです。
You may have seen a few headlines over the last few days about some comments I made in Cabinet last week, where I talked about the health and care system, and I said it must avoid the curse of Blockbuster. Who remembers Blockbuster? Who was a Blockbuster member? You’ll remember this was a company that fell behind the change that was happening around it, and it never fully recovered. Less than two decades ago, Blockbuster had more than 9000 stores across the globe. Now it has just one. It’s a museum that hosts 1990s-themed sleepovers. That’s true. Meanwhile Netflix, who not so long ago were sending people DVDs in the mail, they adapted, and now they’re one of the world’s most successful media companies. 先週、私が内閣で行ったコメントについて、いくつかの見出しをご覧になったかもしれません。私が医療・介護システムについて語り、ブロックバスターの呪いを回避しなければならないと述べたのです。ブロックバスターを覚えている人はいるだろうか?ブロックバスターのメンバーだった人はいますか?この会社は、周囲で起こっていた変化に遅れをとり、完全に立ち直ることができなかったことを覚えていることでしょう。20年弱前、ブロックバスターは世界中に9000以上の店舗を持っていました。それが今では、たった1店舗になってしまいました。1990年代をテーマにしたお泊まり会を開催する博物館です。その通りです。一方、Netflixは、少し前までは人々にDVDを郵送していましたが、適応し、今では世界で最も成功したメディア企業の一つになっています。
Of course, health and care is far more instrumental and important to our lives than a video store, but the message remains the same. I firmly believe in the founding principles of the NHS: having a world-class health system paid out of general taxation that’s free at the point of use. But we must acknowledge that if health and care doesn’t keep up with the rapidly changing world around us, then we will get stuck in the slow lane, and we won’t be able to deliver the care that people deserve and expect. もちろん、医療や介護はビデオショップよりもはるかに生活に密着した重要なものですが、メッセージは変わりません。私は、NHSの創設の理念を固く信じています。それは、一般税から支払われる世界レベルの医療システムを、利用する時点では無料で提供することです。しかし、私たちを取り巻く世界が急速に変化する中で、医療や介護がそれに追いついていかなければ、私たちは遅い車線から抜け出せなくなり、人々が値する、期待する医療を提供することができなくなることを認識しなければならないのです。
I’m coming up to almost a year in this role, and I remember when I first came into this office, one of my very first decisions was to bring what was NHSX and NHSD, and put that together to merge it with NHS England, convening all of the NHS’s digital bodies under one roof for the very first time. Imagine if any one of your organisations, or indeed any FTSE 100 company for example, allowing responsibility for one of the most important leaders of change, digital transformation, to sit outside their organisation – especially an organisation that is as crucial to the nation’s health and happiness as the NHS. Because digital isn’t an add on. It is something you cannot delegate; it must be owned and driven from the very top. This is something I will do and Amanda Pritchard, head of the NHS, that we both will do for as long as we are responsible. 私はこの役職に就いてもうすぐ1年になりますが、私がこのオフィスに初めて来たとき、最初の決定の1つは、NHSXとNHSDをまとめ、NHSイングランドと合併させ、NHSのすべてのデジタル機関を初めて1つの屋根の下に招集することだったのを覚えています。もし、皆さんの組織、あるいはFTSE100社のような企業が、変革の最も重要なリーダーの1つであるデジタル変革の責任を組織の外に置くことを許していたらと想像してみてください - 特に、NHSのように国民の健康と幸福にとって重要な組織ではなおさらです。なぜなら、デジタルは付加的なものではないからです。なぜなら、デジタルは付加価値ではなく、トップが所有し、推進しなければならないものだからです。これは、私もNHSの責任者であるアマンダ・プリチャードも、責任者である限り、ずっとやっていくことです。
So we are now needing a radical programme of digital reform that will make sure the NHS is set up to meet the challenges of 2048 – not 1948, when it was first established. I have already given the NHS a new target of to ensure 90% coverage of Electronic Patient Records by the end of next year, and we are on track to hit that. Although it’s fantastic that the NHS already has seen 63% of English adults have downloaded the NHS app – last year I understand it was the most-downloaded free iPhone app in England – I’m determined to make sure this number for the app reaches 75% of all adults in England, and we will do this by adding much more functionality to the app. ですから、NHSが設立された1948年ではなく、2048年の課題に対応できるような、抜本的なデジタル改革プログラムが今必要なのです。私はすでにNHSに、来年末までに電子患者記録の普及率を90%にするという新しい目標を与えており、私たちはその達成に向けて順調に進んでいます。すでにNHSでは、英国の成人の63%がNHSアプリをダウンロードしており、昨年は英国で最もダウンロードされた無料のiPhoneアプリだったと聞いており、素晴らしいことだと思います。私は、このアプリのダウンロード数がイングランドの成人の75%に達するよう、アプリの機能をさらに充実させたいと考えています。
We’re also publishing a series of transformative documents showing the changes that we need to see in health and care. Last week, I accepted the recommendations of the independent Health and Care Leadership Review, and we will very soon be publishing the Digital Health and Care Plan, which will put in one single place our overall vision for this digital transformation. 私たちはまた、医療と介護に必要な変化を示す一連の変革のための文書を発表しています。先週、私は独立機関であるヘルス&ケア・リーダーシップ・レビューの勧告を受諾しました。私たちは間もなく、このデジタル変革のための全体的なビジョンを一箇所にまとめた「デジタル・ヘルス&ケア計画」を発表する予定です。
Today, I want to talk to you about another major milestone: the publication of our new Data Strategy. The strapline for this strategy says it all: data saves lives. This landmark document will look at how we can build on the momentum that we’ve seen and apply the lessons of the twin challenges of recovery and reform. It’s a document with something for everyone, whatever part you play in health and care, and today I want to take you through some of the themes that underpin this new strategy. 今日は、もうひとつの大きなマイルストーン、新しいデータ戦略の発表についてお話したいと思います。この戦略のキャッチフレーズは、「データは命を救う」ということをすべて物語っています。この画期的な文書では、これまでの勢いをさらに強め、復興と改革という2つの課題から得た教訓をどのように生かすことができるかを検討します。この文書は、医療と介護に携わるすべての人に役立つものです。今日は、この新戦略を支えるテーマをいくつかご紹介したいと思います。
First, how we will improve trust in data, which is the currency that data-driven technologies need to function. Research from the Open Data Institute says that when it comes to handling personal data, the NHS is already one of the most trusted organisations in the UK, and surveys show that the majority of people are supportive of their health and care data being used to help others. まず、データ駆動型テクノロジーが機能するために必要な通貨であるデータへの信頼をどのように向上させるかです。Open Data Instituteの調査によると、個人データの取り扱いに関して、NHSはすでに英国で最も信頼されている組織の一つであり、調査によると、大多数の人が自分の医療・介護データが他の人を助けるために使われることに賛成しているそうです。
Of course this is a great starting point to build from, but we cannot take public trust for granted, and we haven’t always got this right, so we need to demonstrate that we are a trusted custodian of data. We will work with the public, including people working in health and care, to develop a new pact on data, which will set out how we will use health and care data and what the public has the right to expect. もちろん、これは素晴らしい出発点ですが、私たちは国民の信頼を当然と考えることはできませんし、常にこれを正しく理解してきたわけではありませんから、私たちが信頼されるデータの管理者であることを示す必要があるのです。私たちは、医療・介護に携わる人々を含む国民と協力し、医療・介護データの利用方法と国民が期待する権利について定めた、データに関する新しい協定を策定する予定です。
Second, we must give health and care professionals the information they need to provide the best possible care. Some 27% of doctors who responded to a survey by the BMA said that they lost over four hours a week because of inefficient hardware or systems that they use. We must free up their time to focus on what they do best: giving the best quality care. 第二に、私たちは医療・介護の専門家に、最高のケアを提供するために必要な情報を提供しなければなりません。BMAの調査に回答した医師の約27%は、使用しているハードウェアやシステムが非効率的であるために、週に4時間以上の時間を失っていると回答しています。私たちは、医師の時間を解放し、彼らが最も得意とすること、つまり最高の質の医療を提供することに集中できるようにしなければなりません。
To do this, we need to have shared records so clinicians can make decisions based on all the relevant information, whichever part of the system they have come from, and add to the same shared record in a safe and straightforward way. This means better, more accurate diagnoses, but it will also help to spur the more personalised care that is so important to my plans for reform. Basic shared records are now in place in all Integrated Care Systems, which of course I think is a fantastic start. But as well as putting these systems in place, we need to give people the confidence to use them. そのためには、臨床医がシステムのどの部分から来たにせよ、すべての関連情報に基づいて意思決定を行い、安全でわかりやすい方法で同じ共有記録に追加できるよう、記録の共有化が必要です。これは、より良い、より正確な診断を意味しますが、私の改革計画にとって非常に重要な、より個別化されたケアに拍車をかけることにもつながります。基本的な共有記録は現在、すべての統合ケアシステムで実施されており、これはもちろん素晴らしいスタートだと思います。しかし、このようなシステムを導入するだけでなく、それを利用する自信を人々に与える必要があります。
We hear from many staff that they are hesitant when it comes to using data, as they are worried they might get some things wrong. We need a fundamental shift in culture. The duty of patient confidentiality stretches back to the Hippocratic Oath and is rightly seen as sacred, but the duty to safely use data must be seen as just as important. To do this, guidance to colleagues on how they can use data must be as clear and as simple as possible. We saw some huge steps in this regard during the pandemic, where we simplified vital information, vital guidance onto just one page, and we’ll be applying this approach to guidance across health and care to bring safety and clarity. 多くのスタッフから、データを使うことに躊躇してしまう、何か間違いがあるのではないかと心配してしまうという声を聞きます。私たちは、文化の根本的な転換を図る必要があります。患者の守秘義務はヒポクラテスの誓いにまで遡り、当然ながら神聖視されていますが、データを安全に利用する義務も同様に重要視されなければなりません。そのためには、データの利用方法に関する同僚へのガイダンスが、可能な限り明確でシンプルでなければなりません。私たちは、パンデミックの際に、重要な情報と重要なガイダンスをたった1ページに簡素化することで、この点での大きな一歩を踏み出しました。
I want to move to an approach where safe access to data is the default, because the opportunities that this data can unlock are too important to be left to chance. So, we will introduce a new legal power that means health and care organisations can require anonymous information from each other and from commissioned private providers. This will help us to smash silos, and make sure that anonymous information can be shared more easily across the system. 私は、データへの安全なアクセスをデフォルトとするアプローチに移行したいと考えています。なぜなら、データによって引き出される機会は、偶然に任せるにはあまりにも重要だからです。そこで私たちは、医療・介護機関が互いに、また委託された民間事業者に匿名の情報を要求できる新たな法的権限を導入する予定です。これにより、縦割り行政を打破し、匿名の情報をシステム全体でより簡単に共有できるようにします。
Third, we will place a particular focus on promoting data-driven technologies in adult social care too. We must be open and honest about the fact that social care lags behind the NHS when it comes to digital transformation. Currently, only 45% of social care providers use a digital social care record, the same percentage that has expressed concern that their staff lacked digital skills. Too many staff in social care are spending their days chasing health updates and discharge summaries and dealing with antiquated paper-based systems and we must urgently bring a close to this digital divide. 第三に、大人の社会的養護においても、データ駆動型テクノロジーの推進に特に重点を置くことにしています。デジタル・トランスフォーメーションに関して、ソーシャル・ケアがNHSに遅れをとっているという事実に対して、私たちは率直で正直であるべきです。現在、ソーシャルケア事業者のうち、デジタル・ソーシャルケア記録を使用しているのは45%に過ぎず、この割合は、職員にデジタル技術がないことを懸念しているのと同じです。ソーシャルケアでは、あまりにも多くのスタッフが、健康状態のアップデートや退院サマリーを追いかけ、時代遅れの紙ベースのシステムに対処する日々を送っており、私たちは早急にこのデジタルデバイドに終止符を打つ必要があります。
We have already committed to investing at least £150 million to support digital transformation in adult social care, and the Data Strategy builds on this investment, showing how we will be develop a comprehensive digital training offer for people who work in the sector, and how we will join the gaps that exist when it comes to data sharing between health and social care so it’s only collected once and then flows right across the system. 私たちはすでに、成人社会福祉施設のデジタル変革を支援するために少なくとも1億5000万ポンドを投資することを約束しています。データ戦略はこの投資に基づいており、この部門で働く人々のために包括的なデジタルトレーニングを開発し、医療と社会福祉間のデータ共有に関して存在するギャップにどう対処し、データを一度収集するだけでシステム全体に流れるようにするかについて示しています。
To do this, I want us to be using the NHS number universally across adult social care, and by March 2024 we’ve set a target for at least 80% of all CQC-registered social care providers to have a digitised care record, which will be integrated with the wider shared care record. To back this work, I’m pleased to announce today that we are launching £25 million of funding this year across all Integrated Care Systems in England. また、2024年3月までに、CQCに登録されたソーシャル・ケア提供者の少なくとも80%が、電子化されたケア記録を持ち、より広範な共有ケア記録と統合されるという目標を設定しています。この活動を支援するために、今年、イングランドのすべての統合ケアシステムに対して2500万ポンドの資金提供を開始することを、本日発表できることを嬉しく思います。
This is the first of three years of funding that will allow ICSs to work with partners in social care to scale up adoption of these records. Along with other promising technologies, like for example sensors to detect and prevent falls, I want to see a technology revolution in adult social care. これは、ICSがソーシャルケアのパートナーと協力して、これらの記録の採用を拡大するための3年間の資金提供の第一弾となります。例えば、転倒を検知して予防するセンサーなど、他の有望な技術とともに、私は成人の社会的養護における技術革命を見たいと思います。
Fourth, we will give local and national decision makers better and more sophisticated data to help them to plan services. When it came to making important decisions about our life and liberty during the pandemic, I would depend on platforms like the coronavirus dashboard, some of you might remember, which brought together data sources from across Government in a clear and accessible way. For me and other ministers this was absolutely invaluable. Now that we’re living with Covid and taking forward the important reforms that are essential to health and care, we must take this forward. 第四に、地域や国の意思決定者がサービスを計画するのに役立つ、より良い、より洗練されたデータを提供することです。パンデミック時に私たちの生命と自由に関する重要な決定を下す際には、コロナウイルスダッシュボードのようなプラットフォームに頼ることになります。私や他の大臣にとって、これは本当に貴重なものでした。コビドとともに生き、医療と介護に不可欠な重要な改革を進めている今、私たちはこれをさらに前進させなければなりません。
Running through all these reforms is a population-based approach, which draws on all of the elements that determine our health in a local area. Traditional divisions that may have been created decades ago, like between the NHS and council services, have created deep-seated divisions in data too. Not only has this led to a lack of coordination in care, but it makes it harder for local and national leaders to plan, to develop and to commission policy. これらの改革を貫いているのは、人口ベースのアプローチであり、地方における私たちの健康を決定するすべての要素に注目することです。NHSと自治体サービスのように、何十年も前に作られたかもしれない伝統的な区分は、データ上でも根深い区分を生み出しています。そのため、ケアの連携がうまくいかないだけでなく、地域や国のリーダーが計画を立て、政策を立案し、委託することが難しくなっています。
Now that we are taking forward this more coordinated approach through our new Integrated Care Systems and the Integration White Paper, this is the perfect moment to bring data together and reap the benefits. So, we will develop a federated data platform which will allow Integrated Care Systems to bring together operational data – for example the number of hospital beds in their area, or the availability of medical supplies – to allow for better decision making and a clearer picture of population health. 今、私たちは、新しい統合ケアシステムと統合白書を通じて、より協調的なアプローチを進めています。今こそ、データを統合し、そのメリットを享受する絶好の機会です。そこで私たちは、統合ケアシステムが運用データをまとめられるよう、連携データプラットフォームを開発する予定です。 例えば、地域の病床数や医薬品の在庫状況など、より良い意思決定と住民の健康状態の明確な把握を可能にするためです。
This type of technology, already being piloted by the NHS, will allow organisations to coordinate care between them, ultimately freeing up more clinical time for care, and helping ICSs to share data and learn more quickly from each other. このようなテクノロジーは、すでにNHSで試験的に導入されており、組織間のケアの調整を可能にし、最終的にはより多くの臨床時間をケアのために解放し、ICSがデータを共有し、より迅速に相互に学習することを支援します。
Finally, I want to talk about the work that we are doing for pioneers like you. In this country we have some of the world’s best research institutes and universities, a powerhouse life sciences sector, and a thriving health tech industry. Growth in health tech is nearly six times larger than growth across the rest of the economy, so not only are you making the country healthier, but you are making it more productive and prosperous too. 最後に、皆さんのようなパイオニアのために、私たちが行っている活動についてお話したいと思います。この国には、世界最高の研究機関や大学、強力なライフサイエンス部門、そして盛んなヘルステック産業があります。ヘルステックの成長率は、他の経済全体の成長率の6倍近くにもなります。つまり、この国をより健康にするだけでなく、より生産的で豊かな国にしているのです。
I see my role as making sure this country is seen as the best-possible place for innovators to come and make their breakthroughs here, and to be the natural home for tech talent from right across the world. As we chart a new course after leaving the EU, I am determined to pursue every single opportunity to give ourselves a competitive advantage, and that includes our approach to data. 私の役割は、この国がイノベーターにとって最高の場所であり、世界中から技術系の人材が集まり、飛躍的な進歩を遂げることができる場所だと思われるようにすることだと考えています。EU離脱後の新しい道筋を描くにあたり、私は、競争上の優位性をもたらすあらゆる機会を追求することを決意しており、それはデータへのアプローチも含みます。
We know that when ingenuity in this room meets the insight of health and care data, the opportunities they really are incredible. We saw this through the RECOVERY trial that was held here in the UK using NHS data, and it identified dexamethasone as the first effective coronavirus treatment – a discovery that has saved over a million lives worldwide. I want many more of these breakthroughs to be made right here, especially through emerging technologies like AI and machine learning. We’ve already created the NHS AI lab to promote the safe and ethical use of AI technologies, and we’ve backed some 80 promising AI projects through the AI in health and care award, with funding of over £100 million. この部屋にある創意工夫が医療・介護データの洞察力と出会うとき、そのチャンスは本当に素晴らしいものになることを私たちは知っています。私たちは、ここ英国でNHSのデータを用いて行われたRECOVERY試験でこれを目の当たりにし、デキサメタゾンがコロナウイルスに対する最初の有効な治療法であることを確認しました。私は、このようなブレークスルーを、特にAIや機械学習などの新しいテクノロジーによって、もっとたくさんここで実現させたいと考えています。私たちはすでに、AI技術の安全かつ倫理的な利用を促進するためにNHS AIラボを設立し、AI in health and care awardを通じて80ほどの有望なAIプロジェクトを支援し、1億ポンド以上の資金を提供しています。
Behind all of these products are huge amounts of very, very complex data. And whenever I speak to innovators from across the world, they tell me that what they want are clear standards and guides to help them to innovate, and our new strategy shows how we will do exactly that. これらの製品の背景には、膨大で非常に複雑なデータがあります。そして、世界中のイノベーターと話すたびに、彼らが求めているのは、イノベーションを支援するための明確な基準とガイドであると言いますが、私たちの新戦略は、まさにそれを実現する方法を示しています。
Take for example the secure data environments that allow access to be granted to authorised researchers in a controlled and recorded way. In these environments, identifiable data cannot be removed from the system, and all access to the data is recorded and monitored, massively reducing the risk of data breaches. We will work with expert partners and the public to expand the use of secure data environments right across the NHS. As we break down the organisational silos that hold data, we must rebuild them based on the foundations of openness and interoperability. 例えば、安全なデータ環境は、権限を与えられた研究者に、管理され記録された方法でアクセスを許可するものです。このような環境では、個人を特定できるデータはシステムから削除できず、データへのアクセスはすべて記録・監視されるため、データ侵害のリスクが大幅に軽減されます。私たちは、専門家であるパートナーや一般の人々と協力し、NHS全体で安全なデータ環境の利用を拡大していく予定です。データを保持する組織のサイロを破壊すると同時に、オープン性と相互運用性の基盤に基づいてそれらを再構築する必要があります。
During the pandemic, we openly published the code for our new platforms, like the Covid-19 app and the QCovid predictive tool. We did it in the interests of transparency, and also because it helps data-driven innovators to build systems that can easily work with the health and care systems. We will keep leading the way in this area – after all, the NHS belongs to everyone. The Strategy shows that we will reshape our systems and platforms by allowing data to talk to each other and work together, and I am looking at passing legislation so we can make sure we can get the right structures in place. パンデミックの間、私たちはCovid-19アプリやQCovid予測ツールなどの新しいプラットフォームのコードをオープンに公開しました。これは透明性を高めるためであり、また、データ駆動型のイノベーターが医療・介護システムと容易に連携できるシステムを構築するのに役立つからです。結局のところ、NHSはみんなのものなのです。この戦略では、データ同士が会話し、連携できるようにすることで、システムやプラットフォームを再構築することを示しています。私は、適切な構造を確保できるよう、法律の制定を検討しています。
These are just a few of the commitments in this radical agenda for change. We are at a unique moment in history as we emerge from a crisis that has brought incredible hardship but also phenomenal change. This important document, the new Data Strategy, it shows how we will keep accelerating and innovating, and working with tech innovators like you, to transform health and care for the better. Because quite simply, data saves lives. これらは、この変革のための急進的なアジェンダにおける公約のほんの一部に過ぎません。私たちは、信じられないほどの苦難と同時に驚異的な変化をもたらした危機から脱した、歴史上ユニークな瞬間にいます。この重要な文書、新しいデータ戦略は、私たちがどのように加速し、革新し続け、皆さんのような技術革新者と協力して、医療とケアをより良く変えていくかを示しています。なぜなら、極めてシンプルに、データは命を救うからです。

 

 

Fig1_20211219053501

 

 

 

| | Comments (0)

英国 デジタルIDと属性の信頼性フレームワーク - ベータ版

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省が、デジタルIDと属性の信頼性フレームワーク - ベータ版を公表していますね。。。興味深い内容です。。。これから、ちょっと読んでみようと思います。。。


● Gov U.K. - Government - Cyber security

・2022.06.13 UK digital identity and attributes trust framework - beta version

 

目次です...

1.Ministerial foreword 1.大臣序文
2.Feedback received and updates 2.フィードバックと最新情報
3.Introduction 3.はじめに
4.What are digital identities 4.デジタルIDとは
5.What are attributes 5.属性とは
6.What the UK digital identity and attributes trust framework does 6.英国のデジタル・アイデンティティと属性の信頼性フレームワークが行うこと
7.What you get from adopting trust-marked digital identities and attributes 7.信頼マークを付けたデジタルIDと属性を採用することで得られるもの
8.Benefits for users 8.ユーザーにとってのメリット
9.Who runs the trust framework 9.誰がトラスト・フレームワークを運営しているか
10.How organisations participate in the trust framework 10.組織が信頼フレームワークに参加する方法
11.Rules for identity service providers 11.IDサービスプロバイダのためのルール
12.Rules for attribute service providers 12.属性サービスプロバイダのための規則
13.Rules for all identity and attribute service providers 13.全てのID・属性サービス提供者のためのルール
14.Rules for orchestration service providers 14.オーケストレーションサービスプロバイダのためのルール
15.Rules for all identity, attribute and orchestration service providers 15.ID、属性、オーケストレーションサービスプロバイダ共通のルール
16.Table of standards, guidance and legislation 16.標準、ガイダンス、および法規制の表
Glossary of terms and definitions 用語集と定義

 

参考

アルファバージョン

● Gov U.K. - Government - Cyber security

・2021.08 Policy paper UK digital identity and attributes trust framework - alpha version 2

 

Fig1_20211219053501


 

まるちゃんの情報セキュリ気まぐれ日記

・2022.01.19 英国 デジタル・文化・メディア・スポーツ省 ガイダンス:就労権、賃借権、犯罪歴確認のためのデジタルID認証

・2021.02.17 英国 デジタルID・属性のフレームワーク案の意見募集

 

 

| | Comments (0)

ドイツ BSI Security in focus - BSI Magazine 2021-02 はオンライン選挙をテーマにしていますね。。。 (2022.05.31)

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局 (Bundesamt für Sicherheit in der Informationstechnik: BSI) が発行しているBSI Security in focus - BSI Magazine 2021-02 はオンライン選挙をテーマにしていますね。。。


COVID-19で対面をできるだけ避けようとしながら、代表を選ぶということで、団体内での選挙も含めて、オンライン選挙について少し光が当たったように思っています。。。(日本ではそうでもないかもしれませんが。。。)

民主主義を実現するための手法の一つとして遠隔によるオンライン選挙が考えられるわけですが、国政選挙、地方自治の選挙についても、日本では現地での電子投票すら行われていない(コストの問題や、過去に事故があったことも影響するのでしょうね。)のですが、オンライン選挙については昔から気になっている分野ではあります。。。

例えば、国政選挙がオンラインでできるようになれば、例えばその基盤を使って、国民の意見をより簡単に聞けるようになるので、選挙人を選ぶだけでなく、個別の政策に対する投票とかもできるようになるし、国政に活かせるようになると思うんですよね。。。(政治家や現在、利権を得ている人にとっては困るようになることがあるのかもしれませんが。。。)

もちろん、地方議員や首長の選挙にも活用できますし。。。

もちろん、ちゃんと議論をしてからの多数決ということですから、議論をするための情報公開とそれを踏まえた適切な議論というのが前提なのは当然なのですが、、、

それ以外にも、株主投票や、団体の理事選とか、色々と活用の道はあるとは思うのですけどね。。。

 

この雑誌ですが、オンライン選挙以外にも気になる記事がありますね。。。

 

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2022.05.31 Security in focus - BSI Magazine 2021/02

・[PDF

20220615-54006

 

News ニュース
Cyber Security サイバーセキュリティ
The Accelerated Security Certification (BSZ) 加速するセキュリティ認証(BSZ)
Certified into the Quantum Future 量子的な未来への認証
Online Elections オンライン選挙
Digitalisation of Online Elections オンライン選挙のデジタル化
Certification of Online Elections Products オンライン選挙製品の認証
Secret Online Elections 秘密のオンライン選挙
Shaping Security – How Online Elections Products Are Advancing Software Certification セキュリティの形成 - オンライン選挙製品のソフトウェア認証の進め方
Protecting Information and Elections Securely 情報と選挙を安全に保護する
Online Events and Elections オンラインイベントと選挙
Digital Elections and Elections Processes – Opinions from the Field デジタル選挙と選挙プロセス - 現場からの意見
The BSI BSI
The BSI and State Elections BSIと国政選挙
Shaping Digitalisation in Germany – and at the BSI ドイツのデジタル化、そしてBSIのデジタル化
BSI Boosts Presence and Networking  BSIのプレゼンスとネットワーキングを強化 
Getting Better Every Day – The BSI Employee Survey 日々向上するBSIの従業員調査
The State of IT Security in Germany in 2021 2021年のドイツにおけるITセキュリティの状況
Cyber Security over the Past 12 Months 過去12ヶ月間のサイバーセキュリティ
The German IT Security Act 2.0 ドイツITセキュリティ法2.0
IT Security in Practice ITセキュリティの実践
The IT Security Label ITセキュリティラベル
Digital Consumer Protection Report デジタル消費者保護レポート
Well Prepared for the Next Emergency  次の緊急事態への備え 
BSI International BSIインターナショナル
Strengthening Europe’s Digital Sovereignty 欧州のデジタル主権を強化するために
The European Citizens’ Initiative 欧州市民イニシアチブ
New Impetus to Strengthen the Digital Single Market デジタル単一市場の強化に向けた新たな原動力
Digital Society デジタル社会
Crash Test for Cyber Security サイバーセキュリティのクラッシュテスト
Next Stage for the Smart Meter Gateway   スマートメーター・ゲートウェイの次のステージ  
Smart eID –  The Future of Mobile Identity スマートeID - モバイル・アイデンティティの未来
Interview with the Federal Returning Officer  連邦政府選挙管理委員会(Federal Returning Officer)インタビュー 
BSI Basic Tip: Access Your Data from Anywher BSIの基礎的ヒント: どこからでもデータにアクセスできる

 


 

まるちゃんの情報セキュリティ気まぐれ日記

電子投票

| | Comments (0)

2022.06.14

小林史明議員 デジタル臨調立ち上げと進むべき道

こんにちは、丸山満彦です。

デジタル庁の副大臣で自民党の小林史明議員のブログで、「デジタル臨調立ち上げと進むべき道」という題で、2,022.06.03から昨日までに3回の投稿がありますが、昨日のデジタル臨調立ち上げと進むべき道(3)で興味深い提案が書かれていました。。。

2つの内容は、、、

  1. 規制のあり方を事前規制型からリスクベースの規制へ。。。(これは、昔聞いたことがありますね。。。)
  2. デジタル法制局(デジタル的にどうかをチェックする機能。法制局のデジタル化ではなく...)

です。

 

自由民主党・衆議院議員小林史明 公式サイト

・2022.06.13 デジタル臨調立ち上げと進むべき道(3)

 

4adbad6ce7624a18a17b1eadcac53ed3

出典:自由民主党・衆議院議員小林史明 公式サイト : デジタル臨調立ち上げと進むべき道(3)

 


デジタル臨調と連動して規制改革を実行するにあたり、私が特に重視していることを、2つ共有したいと思います。

1つ目は認可制度や安全規制を事前規制型からリスクベースの規制へ移行できないかということです。前回のブログでも触れましたが、自動運転や医療機器で言えば、ソフトウエアが改良されたらそれを受け入れてデータを取り、安全性を検証しつつ、また次の改良に進めていくようにしなければなりません。

現在は、アップデートの際には、事前に各役所に申請を書類で出しに行き、許可を受けて初めてそのソフトウエアが実装されます。世界に比べて新しい技術の社会実装が遅れているのが日本の現実です。このような状況を大きく変えていきたいところです。

2つ目は、既存の法律だけでなく、今後出てくる新しい法律も含めて、技術の進展にともなって、デジタル社会に適合できているかどうか、見直しし続ける仕組みを導入していけないか、ということです。

現在、内閣法制局が各政府が法律を作る際の文言チェックなどを行っていますが、そもそも新しい法律がこれからのデジタル社会に適合しているか、アナログを押し付けるような法律になっていないかを常時チェックをする機能を持つ、いわゆるデジタル法制局機能を創設します。


 

 

 

・2022.06.05 デジタル臨調立ち上げと進むべき道(2)

ちょっと気になるところ。。。


これまで様々な改革が、規制改革推進会議や行政改革推進会議でも行われてきましたが、デジタル臨調はデジタル、規制、行政を一体的かつスピーディに改革を実現するために、これまでと大きく異なる点が3つあります。

1) 「点の改革」ではなく「面の改革」を行うこと。横断的に全省庁の1万の法令、3万の通知通達・ガイドラインを3年間で横断的に見直します。


2) 「要望ベース」ではなく「テクノロジーベース」で改革を行うこと。デジタル社会のあるべき法体系、行政組織に向けて、根本から日本の社会制度を見直します。

3) 「現状の改革」だけでなく「未来の改革」も念頭においた取組を行うこと。デジタル法制局機能を整備し、今後整備される新しい法律や技術の進展を見つつ既存の法律をアップデートし続ける仕組みを実装します。


 

デジタル原則、デジ庁のは10ありますが、こちらはそのげんけ


デジタル社会の実現に向けて改革の指針としてまとめたのが、下記、5つの「デジタル原則」です。


1:「デジタル完結自動化原則」

手続をオンライン化したと謳いながら、実は途中から紙での作業があったり、役所の中はオフラインでやっている実態が多々あります。押印の廃止を実行しましたが、あのような慣習をどんどん見直し、入り口から出口の処理まで全てデジタルで完結し、そしてそれをロボットが自動で行えるようにします。

2:「アジャイル・ガバナンス原則」

社会環境や技術はどんどん変わるという前提の元で法制度をつくり直します。例えば、自動運転や医療機器はソフトウエアがアップデートされ日進月歩で能力が上がっていく。そうした際に、毎回書類を出して認可を取るのは時代に合いません。

3:「官民連携原則」

政府が国民との接点を全て担うのは効率的ではありません。既に国民の皆さんが使っている民間のさまざまなサービスやアプリケーションを通じて、行政手続や行政サービスが完了していくようにします。

4:「相互運用性確保原則」

インターオペラビリティとも言います。省庁間や自治体間だけでなく、企業や国同士でも必要なデータを連携・連動できるよう、システムやルールを整えていきます。

5:「共通基盤利用原則」

マイナンバーはもちろん、中小企業が利用しているGビズID、法人番号といったものを共通の社会基盤として使ってもらうことで、効率的な社会をつくっていきます。
普段の生活で意識することはなかなかありませんが、法律や行政機関は私たちが社会生活を送る上で重要なインフラです。そのインフラが古くなっていることで、私たちの事業活動や人生の設計が縛られてしまっています。


 

・2022.06.03 デジタル臨調立ち上げと進むべき道(1)

 

参考...

 

デジタル庁 - 会議等 - デジタル臨時行政調査会

デジタル臨時行政調査会の開催について(PDF/75KB)
デジタル臨時行政調査会構成員(PDF/86KB)
デジタル臨時行政調査会(第1回)(令和3年11月16日開催)
デジタル臨時行政調査会(第2回)(令和3年12月22日開催)
デジタル臨時行政調査会(第3回)(令和4年3月30日開催)
デジタル臨時行政調査会(第4回)(令和4年6月3日開催)

 

 

 

| | Comments (0)

NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

こんにちは、丸山満彦です。

サイバーセキュリティとERMとの連携である、NISTIR 8286シリーズが充実してきていますね。。。

サイバーセキュリティ対策を考える場合に、よくリスク分析によって、、、と言われますが、その方法論(COSO ERMを敷衍しているような部分もありますが)についての文書がNISTIR 8286シリーズという感じですかね。。。

8286Dは、リスクの優先順位付けと対応にビジネス影響分析を利用する方法についての文書のようですね。。。ビジネス影響度分析が可用性に特に利用されていたという前提がありますね。。。もちろん、可用性にとっての重要な要因はビジネス影響(発生可能性はあまり考慮しない・・・)なので、それはわからないわけではないのですが、必ずしもそうでもないと思います。。。

 

● NIST -ITL

・2022.06.09 NISTIR 8286D (Draft) Using Business Impact Analysis to Inform Risk Prioritization and Response

 

NISTIR 8286D (Draft) Using Business Impact Analysis to Inform Risk Prioritization and Response NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネス影響分析を使用する方法
Announcement 発表内容
Traditional business impact analyses (BIAs) have been successfully used for business continuity and disaster recovery (BC/DR) by triaging damaged infrastructure recovery actions that are primarily based on the duration and cost of system outages (i.e., availability compromise). However, BIA analyses can be easily expanded to consider other cyber-risk compromises and remedies. 従来のビジネス影響分析(BIA)は、主にシステム停止の期間とコスト(すなわち可用性の低下)に基づいて、損傷したインフラの復旧アクションをトリアージすることにより、事業継続と災害復旧(BC/DR)にうまく利用されてきました。しかし、BIA分析は、他のサイバーリスクの侵害と救済を考慮するように簡単に拡張することができます。
This initial public draft of NIST IR 8286D provides comprehensive asset confidentiality and integrity impact analyses to accurately identify and manage asset risk propagation from system to organization and from organization to enterprise, which in turn better informs Enterprise Risk Management deliberations. This document adds expanded BIA protocols to inform risk prioritization and response by quantifying the organizational impact and enterprise consequences of compromised IT Assets. NIST IR 8286Dの最初の公開草案は、資産の機密性と完全性の影響に関する包括的な分析を提供し、システムから組織、組織から企業への資産リスクの伝播を正確に特定、管理し、企業リスク管理の審議により良い情報を提供するものである。本文書では、BIAプロトコルを拡張し、IT資産の侵害による組織への影響と企業への影響を定量化することで、リスクの優先順位付けと対応策を通知します。
Abstract 概要
While business impact analysis (BIA) has historically been used to determine availability requirements for business continuity, the process can be extended to provide broad understanding of the potential impacts to the enterprise mission from any type of loss. The management of enterprise risk requires a comprehensive understanding of the mission-essential functions (i.e., what must go right) and the potential risk scenarios that jeopardize those functions (i.e., what might go wrong). ビジネス影響分析(BIA)は、歴史的に事業継続のための可用性要件を決定するために使用されてきましたが、このプロセスは、あらゆる種類の損失が企業のミッションに与える潜在的な影響を幅広く理解するために拡張することが可能です。企業リスクの管理には、ミッションに不可欠な機能(すなわち、何がうまくいかなければならないか)と、それらの機能を危険にさらす潜在的なリスクシナリオ(すなわち、何がうまくいかない可能性があるか)を包括的に理解することが必要です。
The process described in this publication helps leaders determine which assets enable the achievement of mission objectives and to evaluate the factors that render assets as critical and sensitive. Based on those factors, enterprise leaders provide risk directives (i.e., risk appetite and tolerance) as input to the BIA. System owners then apply the BIA to developing asset categorization, impact values, and requirements for the protection of critical or sensitive assets. The output of the BIA is the foundation for ERM/CSRM process, as described in the NISTIR 8286 series, and enables consistent prioritization, response, and communication regarding information security risk. 本文書で説明するプロセスは、リーダーが、どの資産がミッション目標の達成を可能にするかを判断し、資産を重要かつ機密であると判断する要因を評価するのに役立地ます。これらの要因に基づき、企業のリーダーはリスク指令(すなわち、リスク選好度と許容度)をBIAへの入力として提供します。次にシステム所有者は、BIAを適用して、資産の分類、影響度、および重要資産や機密資産の保護要件を作成します。BIAの出力は、NISTIR8286シリーズに記載されているように、ERM/CSRMプロセスの基礎となり、情報セキュリティリスクに関する一貫した優先順位付け、対応、およびコミュニケーションを可能にします。

 

・[PDF] NISTIR 8286D (Draft) 

20220614-15242

エグゼクティブサマリー・・・

Executive Summary  エグゼクティブサマリー 
Risk is measured in terms of impact on enterprise mission, so it is vital to understand the various information and technology (IT) assets whose functions enable that mission. Each asset has a value to the enterprise. For government enterprises, many of those IT assets are key components for supporting critical services provided to citizens. For corporations, IT assets have a direct influence on enterprise capital and valuation, and IT risks can have a direct impact on the balance sheet or budget. For each type of enterprise, it is both vital and challenging to determine the conditions that will truly impact a mission. Today’s government agencies continue to provide critical services, yet they must also adhere to priority directives from senior leaders. In the commercial world, mission priority is often driven by long-term goals as well as factors that might impact the next quarter’s earnings call. Therefore, it is highly important to continually analyze and understand the enterprise resources that enable enterprise objectives and that can be jeopardized by cybersecurity risks. リスクは、企業のミッションに与える影響という観点から測定されるため、そのミッションを実現する機能を持つさまざまな情報および技術(IT)資産を理解することが不可欠です。各資産は、企業にとって価値があります。政府系企業の場合、IT資産の多くは市民に提供される重要なサービスを支える重要なコンポーネントである。企業の場合、IT資産は企業の資本や評価に直接影響を与え、ITリスクは貸借対照表や予算に直接影響を与える可能性がある。それぞれの企業にとって、ミッションに真に影響を与える状況を見極めることは、重要であると同時に難しいことでもあります。今日の政府機関は、重要なサービスを提供し続ける一方で、上級指導者からの優先的な指示を遵守しなければなりません。商業の世界では、ミッションの優先順位は、長期的な目標や次の四半期の収支に影響を与えるような要因によって左右されることがよくあります。したがって、企業の目標を実現し、サイバーセキュリティのリスクによって危険にさらされる可能性のある企業リソースを継続的に分析し、理解することが非常に重要です。
The NIST Interagency or Internal Report (NISTIR) 8286 series has coalesced around the risk register as a construct for storing and a process for communicating risk data [NISTIR8286]. Another critical artifact of risk management that serves as both a construct and a means of communication with the risk register is the Business Impact Analysis (BIA) Register.  The BIA examines the potential impact associated with the loss or degradation of an enterprise’s technology-related assets based on a qualitative or quantitative assessment of the criticality and sensitivity of those assets and stores the results in the BIA Register. An asset criticality or resource dependency assessment identifies and prioritizes the information assets that support the enterprise’s critical missions. Similarly, assessments of asset sensitivity identify and prioritize information assets that store, process, or transmit information that must not be modified or disclosed to unauthorized parties. In the cybersecurity realm, the use of the BIA has historically been limited to calculations of quality-based and time-based objectives for incident handling (including continuity of operations and disaster recovery).  NIST Interagency or Internal Report (NISTIR) 8286 シリーズは、リスクデータを保存し、伝達するためのプロセスとして、リスクレジスタを中心にまとまりました [NISTIR8286]。リスク登録の構成とコミュニケーション手段の両方として機能するリスクマネジメントのもう一つの重要な成果物は、事業影響分析(BIA)登録です。 BIAは、企業の技術関連資産の損失または劣化に関連する潜在的な影響を、それらの資産の重要性と感受性の定性的または定量的評価に基づいて調査し、その結果をBIA登録に保存するものである。資産の重要性またはリソース依存の評価では、企業の重要なミッションを支える情報資産を特定し、優先順位をつける。同様に、資産の機密性の評価では、不正な者に変更または開示されてはならない情報を保存、処理、または伝送する情報資産を特定し、優先順位を付けます。サイバーセキュリティの分野では、BIAの使用は歴史的に、インシデント処理(業務継続や災害復旧を含む)のための品質ベースおよび時間ベースの目標の計算に限られています。
Because the BIA serves as a nexus for understanding risk (which is the measurement of uncertainty on the mission), it provides a basis for risk appetite and tolerance values as part of the enterprise risk strategy[1].  That guidance supports performance and risk metrics based on the relative value of enterprise assets to communicate and monitor CSRM activities, including measures determined to be key performance indicators (KPIs) and key risk indicators (KRIs). BIA supports asset classification that drives requirements, risk communications, and monitoring. BIAはリスク(ミッションに関する不確実性の測定)を理解するための結節点として機能するため、企業リスク戦略の一環としてリスク選好度と許容値の根拠となります[1]。 そのガイダンスは、CSRM活動の伝達と監視のために、企業資産の相対的価値に基づくパフォーマンスとリスクの指標をサポートし、重要業績評価指標(KPI)や重要リスク指標(KRI)と判断される指標も含まれます。BIAは、要件、リスクコミュニケーション、およびモニタリングを推進するための資産分類をサポートします。

Expanding use of the BIA to include confidentiality and integrity considerations supports comprehensive risk analysis. The basis of asset valuation on enterprise impact helps to better align risk decisions to enterprise risk strategy. CSRM/ERM integration helps to complete the risk cycle by informing future iterations of impact analysis based on previous information gained through cybersecurity risk register (CSRR) aggregation, as detailed in NISTIR 8286C. As organizational and enterprise leaders gain an understanding of aggregate risk exposure and composite impact, that information helps adjust risk expectations (including business impact guidance to ensure ongoing balance among asset value, resource optimization, and risk considerations). BIAの利用を拡大し、機密性と完全性への配慮を含めることで、包括的なリスク分析が可能になる。企業への影響に基づく資産評価により、リスクに関する意思決定と企業のリスク戦略との整合性を高めることができます。CSRM/ERMの統合は、NISTIR8286Cに詳述されているように、サイバーセキュリティリスク登録(CSRR)集計を通じて得られた過去の情報に基づいて影響度分析の将来の反復に情報を提供することによって、リスクサイクルを完成させるのに役立ちます。組織と企業のリーダーは、集約されたリスクエクスポージャーと複合的な影響について理解することで、その情報はリスク予想を調整するのに役立ちます(資産価値、リソース最適化、リスク考慮の間で継続的にバランスを保つためのビジネス影響ガイダンスを含む)。
The BIA process enables system owners to record the benefits provided by an asset by considering the contribution to the enterprise, particularly in terms of mission, finance, and reputational aspects. Informed about how each asset supports enterprise value, system owners can then work with risk managers to determine the implications of uncertainty on those assets. BIAプロセスにより、システム所有者は、特にミッション、財務、評判の側面から企業への貢献を考慮し、資産によってもたらされる利益を記録することができます。各資産がどのように企業価値を支えているかを把握した上で、システムオーナーはリスクマネージャーと協力し、不確実性がこれらの資産に及ぼす影響を判断することができるのです。
It is more critical than ever to have centralized and reliable asset information recorded in the BIA Register since enterprises increasingly rely on various types of information and communications technology (ICT) resources, which are increasingly targeted by adversaries. The BIA process provides information that can be consistently recorded in a centralized registry of important asset management information, such as system ownership, contact information for key stakeholders, and characteristics of the physical devices (or services). Since asset management is an important element of cybersecurity risk management, this information is quite valuable for protecting the asset, detecting cyber events, responding quickly to potential issues, and recovering services when necessary. 企業はますます様々なタイプの情報通信技術(ICT)リソースに依存するようになっており、敵対勢力に狙われる可能性が高まっているため、BIA登録に記録される一元的で信頼できる資産情報がこれまで以上に重要となっています。BIAプロセスは、システムの所有権、主要な関係者の連絡先、物理的な装置(またはサービス)の特性など、重要な資産管理情報を一元的に登録し、一貫して記録できる情報を提供するものです。資産管理はサイバーセキュリティのリスク管理の重要な要素であるため、この情報は資産の保護、サイバーイベントの検出、潜在的な問題への迅速な対応、必要時のサービスの回復にとって非常に貴重なものです。
Public- and private-sector enterprises must maintain a continual understanding of potential business impacts, the risk conditions that might lead to those impacts, and the steps being taken (as recorded in various risk registers and, ultimately, in the Enterprise Risk Profile). In many cases, when a company or agency is asked about risks, they are being asked to describe potential impacts. Companies must describe the risk factors that could have a material adverse effect on the enterprise’s financial position, its ability to operate, or its corporate cash flow. Agencies must report to legislative and regulatory stakeholders about adverse impacts that could impair agency funding and mission. Use of the BIA methodology to categorize the criticality and sensitivity of enterprise assets enables effective risk management and the subsequent integration of reporting and monitoring at the enterprise level to ensure that risk and resource utilization are optimized in light of the value of those assets. 公共部門および民間部門の組織体は、潜在的なビジネスへの影響、その影響をもたらす可能性のあるリスク状況、および講じている措置(各種リスク登録、最終的にはエンタープライズ・リスク・プロファイルに記録されている)を継続的に理解しておく必要があります。多くの場合、企業や機関がリスクについて問われるとき、それは潜在的な影響について説明するよう求められています。企業は、企業の財政状態、経営能力、または企業のキャッシュフローに重大な悪影響を及ぼす可能性のあるリスク要因を記述しなければなりません。省庁は、省庁の資金や使命を損なう可能性のある悪影響について、立法・規制関係者に報告しなければなりません。BIAの手法を使用して組織体の資産の重要度と機密性を分類することにより、効果的なリスク管理が可能になり、その後の組織体レベルでの報告とモニタリングの統合により、リスクとリソースの利用がこれらの資産の価値に照らして最適化されることを保証します。
[1] OMB Circular A-123 defines risk appetite as “the broad-based amount of risk an organization is willing to accept in pursuit of its mission/vision. It is established by the organization’s most senior level leadership and serves as the guidepost to set strategy and select objectives.” The same document defines risk tolerance as “the acceptable level of variance in performance relative to the achievement of objectives.”
[1] OMB Circular A-123では、リスク選好度を「組織がその使命/ビジョンを追求するために受け入れようとする広範なリスク量。組織の最上位レベルのリーダーシップによって確立され、戦略を設定し、目標を選択するための道標として機能する」と定義しています。同文書では、リスク許容度を 「目標達成に対する業績の分散の許容度」と定義しています。

 

目次...

 

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Benefits of Extending the BIA for All Risk Types 1.1 すべてのリスクタイプにBIAを拡張するメリット
1.2 Foundational Practices for Business Impact Analysis 1.2 ビジネス影響解析の基礎的な実施事項
1.3 Document Structure 1.3 ドキュメント構造
2 Cataloging and Categorizing Assets Based on Enterprise Value 2 組織体の価値に基づく資産のカタログ化および分類
2.1 Identification of Enterprise Business Asset Types 2.1 エンタープライズビジネスアセットタイプの特定
2.2 The Business Impact Analysis Process 2.2 ビジネス影響分析プロセス
2.3 Determining Asset Value to Support CSRM Activities 2.3 CSRM活動を支援するための資産価値の決定
2.4 Determining Loss Scenarios and Their Consequences 2.4 損失シナリオとその結果の決定
2.5 Business Impact Analysis in Terms of Criticality and Sensitivity 2.5 重要度と感受性の観点からのビジネス影響分析
2.6 Using a BIA to Record Interdependencies 2.6 相互依存性を記録するためのBIAの使用
2.7 Consistent Business Impact Analysis Through an Enterprise Approach 2.7 エンタープライズ・アプローチによる一貫したビジネス影響分析
2.8 Using a BIA to Support an Enterprise Registry of System Assets 2.8 システム資産のエンタープライズ登録をサポートするためのBIAの使用
3 Conclusion 3 まとめ
References 参考文献
List of Appendices 附属書一覧
Appendix A— Acronyms 附属書A - 頭字語
List of Figures 図表一覧
Figure 1: Integration of BIA Process with Cybersecurity Risk Management 図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合
Figure 2: Level 3 BIA Activities 図2:レベル3のBIA活動
Figure 3: Impacts of Enterprise Assets for a Business or Agency 図3:企業資産の企業や機関への影響
Figure 4: Elements of Information Risk Identification (from NISTIR 8286A) 図4:情報リスク識別の要素(NISTIR8286Aより)

 

図1:BIAプロセスとサイバーセキュリティリスクマネジメントの統合

Fig1_20220614023601

Step A – Based on the enterprise mission, executives identify the systems and services that represent “mission/business-critical functions” that are essential to the successful operation of the enterprise. Based on that list, the executives and senior leaders identify the enterprise-level assets[4] that enable those functions. Those assets inherit the criticality/priority of the functions they support.  ステップ A - 企業のミッションに基づき、エグゼクティブは、組織体の正常な運営に不可欠な「ミッション/ビジネスクリティカルな機能」を表すシステムとサービスを特定する。そのリストに基づいて、エグゼクティブとシニアリーダーは、それらの機能を実現する組織体レベルの資産[4]を特定する。これらの資産は、サポートする機能の重要度/優先度を引き継ぐ。
Step B – Leaders establish and communicate the risk appetite associated with those enterprise assets, and organizational managers determine the resulting risk tolerance.  ステップ B - リーダーは、それらの企業資産に関連するリスク許容度を設定し、伝達し、組織管理者は、その結果としてのリスク許容度を決定する。
Step C – As part of the CSRM process, the system owner will determine the extent to which every system or activity enables a mission/business-critical function (as illustrated in Figure 2). The criticality/priority direction from leaders, expressed through risk appetite/risk tolerance statements (Step B), is used to help determine what the impact of losses would be on confidentiality, integrity, or availability. That impact understanding and the basis for those determinations are recorded in the system BIA Register.  ステップ C - CSRMプロセスの一環として、システム所有者は、すべてのシステムまたはアクティビティが、ミッション/ビジネスクリティカルな機能(図2に図示)をどの程度可能にするかを決定する。リスク選好度/リスク許容度ステートメント(ステップB)を通じて表現されたリーダーからの重要度/優先度の指示は、損失が機密性、完全性、または可用性に及ぼす影響を判断するために使用される。その影響の把握とその判断の根拠は、システムのBIA登録に記録される。
Fig2_20220614030001
  • 機密性による損失の影響の文書化
  • 完全性による損失の影響の文書化
  • 可用性による損失の影響の文書化
  • 資産の重要度・機微性の分類
  • BIA登録への追加・更新
Figure 2: Level 3 BIA Activities
図2:レベル3のBIA活動
Step D – The analysis and results provide the input into the CSRM process illustrated in the diagram and described in NISTIRs 8286A, 8286B, and 8286C.   ステップ D - 分析と結果は、図に示され、NISTIRs 8286A、8286B、8286Cで説明されているCSRMプロセスへのインプットを提供する。 
Step E – Residual risks, particularly those that impact critical and sensitive resources, are highlighted in the Level 2 risk registers as those CSRRs are normalized and aggregated.  Of important note is that cybersecurity is one component of technology risk that feeds operational risks (OpRisk).  ステップ E - 残留リスク、特に重要で機密性の高いリソースに影響を与えるリスクは、CSRR が正規化され、集約されることで、レベル 2 リスク登録でハイライトされる。 重要なことは、サイバーセキュリティは、オペレーショナルリスク(OpRisk)を養うテクノロジーリスクの1つの要素であるということである。
Step F – Enterprise leaders consider the results of ongoing risk activities reported through Level 2 CSRRs as integrated into an Enterprise Cybersecurity Risk Register (E-CSRR) and assess the aggregate impact of the Level 3 and Level 2 risks. This understanding of the composite impact on “mission/business-critical functions” (including OpRisk) is used to prioritize risk response based on enterprise finance, mission, and reputation consequences[5].  Composite understanding also helps to confirm that risks are within the stated risk appetite or to identify necessary adjustments. If adjustments are necessary, an action plan is created that will result in the appropriate increase or decrease of risk appetite to achieve the appropriate impact levels. ステップ F - 組織体のリーダーは、組織体のサイバーセキュリティリスク登録(E-CSRR)に統合されたレベル 2 CSRR を通じて報告された進行中のリスク活動の結果を考慮し、レベル 3 とレベル 2 リスクの複合的な影響を評価する。この「ミッション/ビジネスクリティカルな機能」(OpRisk を含む)に対する複合的な影響の理解は、企業財務、ミッション、レピュテーションへの影響に基づいてリスク対応の優先順位を決めるために使用される[5]。 複合的な理解はまた、リスクが定められたリスクアペタイトの範囲内にあることを確認したり、必要な調整を特定したりするのにも役立つ。調整が必要な場合は、適切な影響レベルを達成するために、リスクアペタイトを適切に増減させるアクションプランが作成される。
[4] The term ‘asset’ or ‘assets’ is used in multiple frameworks and documents. For the purposes of this publication, ‘assets’ are defined as technologies that may comprise an information system.  Examples include laptop computers, desktop computers, servers, sensors, data, mobile phones, tablets, routers, and switches.  In instances where the authors mean ‘assets’ as they appear on a balance sheet, the word ‘asset’ will be proceeded by words such as ‘high-level’ or ‘balance sheet’ or ‘Level 1’ to differentiate context.  [4] 「資産」または「資産」という用語は、複数のフレームワークや文書で使用されています。本書では、「資産」を情報システムを構成する可能性のある技術として定義しています。 例えば、ノートパソコン、デスクトップパソコン、サーバー、センサー、データ、携帯電話、タブレット端末、ルーター、スイッチなどである。 著者が貸借対照表上の「資産」を意味する場合、文脈を区別するために、「資産」という語の後に「ハイレベル」、「貸借対照表」、「レベル1」などの語を付すことにしている。
[5] Operational risk is discussed more fully in NISTIR 8286C Section 3.1.  [5] オペレーショナルリスクについては、NISTIR8286Cの3.1節でより詳細に議論されている。

 

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.01 26  draft NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.06.09 draft NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応にビジネス影響分析を使用する方法

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

2022.06.13

デジタル庁 デジタル社会の実現に向けた重点計画 (2022.06.08)

こんにちは、丸山満彦です。

デジタル庁が「デジタル社会の実現に向けた重点計画」を2022.06.08に公表していますね。。。

デジタル庁

デジタル社会の実現に向けた重点計画

 

目指す社会...

デジタルの活用により、一人ひとりのニーズに合ったサービスを選ぶことができ、多様な幸せが実現できる社会

S2400x2354_vfrms_webp_26944e8e39ce4a7b91

デジタル社会形成のための基本原則

デジタル社会を形成するための10原則

  1. オープン・透明
  2. 公平・倫理
  3. 安全・安心
  4. 継続・安定・強靭
  5. 社会課題の解決
  6. 迅速・柔軟
  7. 包摂・多様性
  8. 浸透
  9. 新たな価値の創造
  10. 飛躍・国際貢献

行政サービスのオンライン化実施の3原則

  1. デジタルファースト:個々の⼿続・サービスが⼀貫してデジタルで完結
  2. ワンスオンリー:⼀度提出した情報は⼆度提出が不要
  3. コネクテッド・ワンストップ:⺠間を含む複数の⼿続・サービスを⼀元化

ーーーーー

目次的なもの...

誰一人取り残されない、人に優しいデジタル化を
重点計画とは
デジタルにより目指す社会
デジタル社会の実現に向けた理念・原則
誰一人取り残されない
デジタル社会形成のための基本原則
デジタル社会を形成するための10原則
行政サービスのオンライン化実施の3原則
業務改革と規制改革
クラウド・バイ・デフォルト
デジタル化の基本戦略
デジタル社会の実現に向けた構造改革
デジタル田園都市国家構想の実現
国際戦略の推進
サイバーセキュリティ等の安全・安心の確保
包括的データ戦略の推進
デジタル産業の育成
Web3.0の推進
目指す社会を実現するために施策を展開する6つの分野
1. 継続的な成長
課題
目標
主な取組
行政手続のオンライン化
データを誰でも扱いやすく
官民の相乗効果を発揮する
未来の経済成長に向けて
2. 一人ひとりの暮らし
課題
目標
主な取組
暮らしのサービスを柔軟に
データの利活用を促進
連携の仕組みの標準化
制度の見直し
3. 地域の魅力向上
課題
目標
主な取組
業務を効率化する
情報インフラの整備
人材と課題をつなげる
4. UX・アクセシビリティ
課題
目標
主な取組
利用者視点に立つ
情報機器に不慣れな人の支援
情報リテラシーの啓発
根拠と効果の可視化
5. 人材育成
課題
目標
主な取組
情報教育の強化
人材育成環境の整備
行政機関での人材確保
6. 国際戦略
課題
目標
主な取組
自由なデータ流通
国際的な情報発信
国際競争力の強化
重点計画のこれから
✓デジタル庁が司令塔として取組を牽引
✓政府全体の推進体制を強化
✓デジタル・規制・行政を一体的に改革
✓地方公共団体や民間事業者との連携・協力
✓重点計画は継続的にバージョンアップ



資料等

20220613-60846

20220613-61117

20220613-61218

 

  • 工程表 [PDF] [PPTX]
  • 施策集 [PDF] [WORD]
  • 本計画とデジタル社会形成基本法第37条第2項各号、及び官民データ活用推進基本法第8条第2項各号に定める記載事項との対応関係 [PDF] [XLSX]
  • オンライン化を実施する行政手続の一覧等 [PDF] [WORD]
  • 統合版(令和4年6月7日閣議決定)デジタル社会の実現に向けた重点計画(本文/工程表/別冊)[PDF]
  • 参考資料 別表(施策集)[PDF] [XLSX]
  • 本ページ掲載内容 紹介 [PDF]
  • 過去資料 デジタル社会の実現に向けた重点計画の過去資料

 


まるちゃんの情報セキュリ気まぐれ日記

・2022.06.09 新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

 

懐かし系

・2004.12.18 u-Japan政策(3) ユビキタスネット社会憲章

・2004.12.18 u-Japan政策(2) やがて問題となる・・・

・2004.12.18 u-Japan政策(1) 100の課題

 

 

| | Comments (0)

中国 GB/T 41479 ネットワークデータセキュリティ処理マネジメント要求に基づく認証に関する通知

こんにちは、丸山満彦です。

中国が、GB/T 41479《信息安全技术 网络数据处理安全要求》 (GB/T 41479-2022   Information security technology—Network data processing security requirements) に基づくデータキュリティマネジメント認証についての通知をしていますね。。。

GB/T 41479《信息安全技术 网络数据处理安全要求》は2022.04.15に発行され、2022.11.01に施行されますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.06.09 国家市场监督管理总局 国家互联网信息办公室关于开展数据安全管理认证工作的公告

 

关于开展数据安全管理认证工作的公告 データセキュリティマネジメントの認証に関する通知
国家市场监督管理总局 国家市場監督管理局
国家互联网信息办公室 国家インターネット情報局
公 告 公告
2022年第18号 2022年第18号
关于开展数据安全管理认证工作的公告 データセキュリティマネジメントの認証に関する通知
根据《中华人民共和国网络安全法》《中华人民共和国数据安全法》《中华人民共和国个人信息保护法》《中华人民共和国认证认可条例》有关规定,国家市场监督管理总局、国家互联网信息办公室决定开展数据安全管理认证工作,鼓励网络运营者通过认证方式规范网络数据处理活动,加强网络数据安全保护。从事数据安全管理认证活动的认证机构应当依法设立,并按照《数据安全管理认证实施规则》(见附件)实施认证。 中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法、中華人民共和国認証認可規則の関連規定に基づき、国家市場監督管理局と国家インターネット情報局は、データセキュリティ管理認証作業を実施し、ネットワーク運営者が認証によってネットワークデータ処理活動を規制し、ネットワークを強化するよう促すことを決定しました データセキュリティの保護 データセキュリティマネジメント認証活動を行う認証機関は、法令に基づき、「データセキュリティマネジメント認証実施規程」(別紙参照)に従って設立され、認証を実施するものとする。
特此公告。 以上、発表する。
附件:数据安全管理认证实施规则 別紙:データセキュリティマネジメントの認証の実施規則
国家市场监督管理总局   国家互联网信息办公室 国家市場監督管理局 国家インターネット情報局
2022年6月5日 2022年6月5日
附件 別紙
数据安全管理认证实施规则 データセキュリティマネジメント認証取得のための実施規則
1 适用范围 1 適用範囲
本规则依据《中华人民共和国认证认可条例》制定,规定了对网络运营者开展网络数据收集、存储、使用、加工、传输、提供、公开等处理活动进行认证的基本原则和要求。 本規則は、「中華人民共和国認証及び認定に関する規則」に基づいて制定され、ネットワーク事業者がネットワークデータの収集、保存、使用、処理、伝送、提供及び開示などの処理活動を行うための認証に関する基本原則と要件を定める。
2 认证依据 2 認証根拠
GB/T 41479《信息安全技术 网络数据处理安全要求》及相关标准规范。 GB/T 41479 "情報セキュリ技術 ネットワーク・データ処理セキュリティ要求" および関連する標準仕様書。
上述标准原则上应当执行国家标准化行政主管部门发布的最新版本。 上記の規格は、原則として国家標準化管理部門が発行する最新版により実施すること。
3 认证模式 3 認証方法
数据安全管理认证的认证模式为: データセキュリティマネジメント認証の認証方式
技术验证+现场审核+获证后监督 技術検証+現地監査+認証取得後の監督
4 认证实施程序 4 認証実施手順
4.1 认证委托 4.1 認証委託
认证机构应当明确认证委托资料要求,包括但不限于认证委托人基本材料、认证委托书、相关证明文档等。 認証機関は、認証委託者の基本資料、認証委託書、関連する補足資料等を含むがこれらに限定されない認証委託情報の要件を規定するものとする。
认证委托人应当按认证机构要求提交认证委托资料,认证机构在对认证委托资料审查后及时反馈是否受理。 認証委託者は、認証機関の要求に応じて認証委託情報を提出するものとし、認証機関は、監査後、認証委託情報の受理について適時フィードバックするものとする。
认证机构应当根据认证委托资料确定认证方案,包括数据类型和数量、涉及的数据处理活动范围、技术验证机构信息等,并通知认证委托人。 認証機関は、データの種類と量、関与する情報処理活動の範囲、技術検証機関情報等の認証委託情報に基づき、認証スキームを決定し、認証委託者に通知するものとする。
4.2 技术验证 4.2 技術検証
技术验证机构应当按照认证方案实施技术验证,并向认证机构和认证委托人出具技术验证报告。 技術検証機関は、認証スキームに従って技術検証を実施し、認証機関および認証主体に技術検証報告書を発行する。
4.3 现场审核 4.3 現地監査
认证机构实施现场审核,并向认证委托人出具现场审核报告。 現地監査を実施する認証機関、および認証委員が現地監査報告書を発行する。
4.4 认证结果评价和批准 4.4 認証結果の評価と承認
认证机构根据认证委托资料、技术验证报告、现场审核报告和其他相关资料信息进行综合评价,作出认证决定。对符合认证要求的,颁发认证证书;对暂不符合认证要求的,可要求认证委托人限期整改,整改后仍不符合的,以书面形式通知认证委托人终止认证。 認証機関は、認証委託者の情報、技術検証報告書、現地監査報告書と包括的な評価のための他の関連情報に応じて、認証の決定を行う。 認証の要件を満たしている場合、認証証明書を発行する。認証要件を一部満たしていない場合は、制限期間内に認証委託者が是正するよう要求することができる。それでも是正がされない場合は、書面で認証を終了する認証委託者に通知する。
如发现认证委托人、网络运营者存在欺骗、隐瞒信息、故意违反认证要求等严重影响认证实施的行为时,认证不予通过。 認証委託者またはネットワーク運営者が、虚偽、情報の隠蔽、意図的な認証要件違反、その他認証の実施に重大な影響を与える行為を行ったことが判明した場合は、認証を通過させることができません。
4.5 获证后监督 4.5 認証取得後の監督
4.5.1 监督的频次 4.5.1 監督の頻度
认证机构应当在认证有效期内,对获得认证的网络运营者进行持续监督,并合理确定监督频次。 認証機関は、認証の有効期間中、認証されたネットワーク事業者に対する継続的な監督を行うものとし、その頻度を合理的に決定するものとする。
4.5.2 监督的内容 4.5.2 監督の内容
认证机构应当采取适当的方式实施获证后监督,确保获得认证的网络运营者持续符合认证要求。 認証機関は、認証されたネットワーク事業者が認証要件を継続的に満たしていることを確認するために、認証後の監督を実施する適切な方法を講じるものとする。
4.5.3 获证后监督结果的评价 4.5.3 認証取得後の監督結果の評価
认证机构对获证后监督结论和其他相关资料信息进行综合评价,评价通过的,可继续保持认证证书;不通过的,认证机构应当根据相应情形作出暂停直至撤销认证证书的处理。 包括的な評価、通路の評価のための監督と他の関連情報の結論後に認定される認証機関は、認証証明書を維持し続けることができる。不備があった場合、認証機関は、認証証明書の処理の撤回まで、対応する状況に応じて中断されるものとします。
4.6 认证时限 4.6 認証取得時期
认证机构应当对认证各环节的时限作出明确规定,并确保相关工作按时限要求完成。认证委托人应当对认证活动予以积极配合。 認証機関は、明確な規定を設け、時間的要件に従って作業が完了するよう、あらゆる側面から認証を実施すべきである。 認証委託者は、認証活動に積極的に協力することが望ましい。
5 认证证书和认证标志 5 認証書と認証マーク
5.1 认证证书 5.1 認証証明書
5.1.1 认证证书的保持 5.1.1 認証証明書の維持管理
认证证书有效期为3年。在有效期内,通过认证机构的获证后监督,保持认证证书的有效性。 認定証の有効期限は3年間とする。 有効期間中、認証機関の認証後の監督を通じて、認証の有効性を維持する。
证书到期需延续使用的,认证委托人应当在有效期届满前6个月内提出认证委托。认证机构应当采用获证后监督的方式,对符合认证要求的委托换发新证书。 認証が失効し、更新が必要な場合、認証委託者は、失効日の6ヶ月前以内に認証委託書を提出する。 認証機関は、認証後の監督を利用して、委員会の認証要件を満たし、新たな認証書を発行するものとする。
5.1.2 认证证书的变更 5.1.2 認証証明書の変更
认证证书有效期内,若获得认证的网络运营者名称、注册地址,或认证要求、认证范围等发生变化时,认证委托人应当向认证机构提出变更委托。认证机构根据变更的内容,对变更委托资料进行评价,确定是否可以批准变更。如需进行技术验证和/或现场审核,还应当在批准变更前进行技术验证和/或现场审核。 認証証明書は、認定されたネットワーク事業者の名前、登録住所、または認証要件、認証およびその他の変更の範囲は、認証委員会は、委員会を変更するには、認証機関に提案されるべきである場合、有効です。 変更の内容に応じて認証機関、変更手数料の情報は、変更が承認されることができるかどうかを判断するために、評価する。 技術検証および/またはサイト監査の場合、また、技術検証および/または現地監査の変更前に承認される必要がある。
5.1.3 认证证书的注销、暂停和撤销 5.1.3 認証の取消し、一時停止及び取消し
当获得认证的网络运营者不再符合认证要求时,认证机构应当及时对认证证书予以暂停直至撤销。认证委托人在认证证书有效期内可申请认证证书暂停、注销。 認証されたネットワーク事業者が認証要件を満たさなくなった場合、認証機関は速やかに認証証を失効するまで停止するものとする。 認証証明書の有効期間内の認証プリンシパルは、証明書の懸濁液、キャンセルを申請することができます。
认证机构应当采用适当方式对外公布被暂停、注销和撤销的网络运营者认证证书。 認証機関は、ネットワーク事業者の認証の一時停止、取り消し、および撤回を適切な手段で公表するものとする。
5.2 认证标志 5.2 認証マーク
Fig_20220612161201
“ABCD”代表认证机构识别信息。 「ABCD」は認証機関識別情報を表す。
5.3 认证证书和认证标志的使用 5.3 認証書と認証マークの使用
在认证证书有效期内,获得认证的网络运营者应当按照有关规定在广告等宣传中正确使用认证证书和认证标志,不得对公众产生误导。 認証されたネットワーク事業者は、認証書の有効期間中、関連法規に従い、広告その他の宣伝において認証書および認証マークを正しく使用し、公衆に誤解を与えてはならない。
6 认证实施细则 6 認証実施規則
认证机构应当依据本规则有关要求,细化认证实施程序,制定科学、合理、可操作的认证实施细则,并对外公布实施。 認証機関は、規則の関連要件に基づいて、認証の実装手順、認証および実装のための科学的、合理的かつ運用上の細則の制定、および公表を改善するものとする。
7 认证责任 7 認証責任
认证机构应当对现场审核结论、认证结论负责。 認証機関は、現地監査の結論と認証の結論に責任を負う。
技术验证机构应当对技术验证结论负责。 技術検証機関は、技術検証の結論に責任を負う。
认证委托人应当对认证委托资料的真实性、合法性负责。 認証委託者は、認証委託情報の真正性・適法性について責任を負う。

 

 

| | Comments (0)

2022.06.12

経済産業省 METI解体新書 サイバーセキュリティ対策は企業価値を守る“投資” (2022.06.06)

こんにちは、丸山満彦です。

経済産業省の現場の中堅・若手職員が登場する「METI Journal」というメディアを発行していますが、、、その中の「METI解体新書」の第10回に商務情報政策局サイバーセキュリティ課の塚本大介課長補佐(工場のセキュリティ対策)が、「サイバーセキュリティ対策は企業価値を守る“投資”」という内容でお話をされていますね。。。

なかなか興味深いです。。。

ちょうど、SEMI Japanで工場のセキュリティ対策のウェブ講演をしたところです。。。

 

経済産業省 - METI Journal

・2022.06.06 サイバーセキュリティ対策は企業価値を守る“投資”

 

 

 

 

 

 

| | Comments (0)

英国 競争市場局 モバイルエコシステムに関する市場調査 最終報告と今後

こんにちは、丸山満彦です。

英国の競争市場局がモバイルエコシステムに関する市場調査の最終報告書を公表していますね。。。また、モバイルブラウザとクラウドゲームの市場調査を計画していると公表していますね。。。

この調査によると、、、

モバイルエコシステム(OS、アプリストア、ウェブブラウザ)に関して、AppleとGoogleの二社独占は、これらの重要なゲートウェイに対して支配的であることを意味すると結論付けていますね。。。

競争を解放し、両社のサービスに依存している企業や人々を保護するために、介入オプションはいろいろあると。。。。

 

U.K. GovernmentMobile ecosystems market study

・2022.06.10 

20220612-00342

20220612-00507

・[DOCX] 仮訳

 

 

・2022.06.10 Press release: CMA plans market investigation into mobile browsers and cloud gaming

CMA plans market investigation into mobile browsers and cloud gaming 競争市場局、モバイルブラウザとクラウドゲーミングの市場調査を計画
Apple and Google “hold all the cards” with interventions needed to give innovators and competitors a fair chance to compete in mobile ecosystems AppleとGoogleは「すべてのカードを握っている」、イノベーターと競合他社にモバイルエコシステムで競争する公正な機会を与えるために介入が必要である。
The Competition and Markets Authority (CMA) is consulting on the launch of a market investigation into Apple and Google’s market power in mobile browsers and Apple’s restrictions on cloud gaming through its App Store. In parallel, it is also taking enforcement action against Google in relation to its app store payment practices. CMA(競争市場局)は、モバイルブラウザにおけるAppleとGoogleの市場支配力と、AppleによるApp Storeを通じたクラウドゲーミングの制限に関する市場調査の開始を諮問している。また、これと並行して、アプリストアの決済方法に関して、Googleに対する強制措置も実施している。
This follows a year-long study of the companies’ mobile ecosystems, the final report of which has been published today. The study found that Apple and Google have an effective duopoly on mobile ecosystems that allows them to exercise a stranglehold over these markets, which include operating systems, app stores and web browsers on mobile devices. これは、両社のモバイルエコシステムに関する1年にわたる調査を受けたもので、その最終報告書が本日発表された。この調査により、AppleとGoogleは、モバイル端末のOS、アプリストア、ウェブブラウザを含むモバイルエコシステムにおいて、事実上の二社独占状態にあり、これらの市場に対して支配力を行使できることが明らかになった。
Without interventions, both companies are likely to maintain, and even strengthen, their grip over the sector, further restricting competition and limiting incentives for innovators. 介入しなければ、両社はこの分野での支配力を維持し、さらに強化する可能性が高く、競争をさらに制限し、革新者のインセンティブを制限することになる。
While the report identified a range of potential interventions across these ecosystems, the CMA has looked at where it can take immediate targeted action to tackle these problems using its current powers. As a result, the CMA is now consulting on making a market investigation reference into mobile browsers and access to cloud gaming on mobile devices. 報告書では、これらのエコシステムに対する様々な介入の可能性が指摘されているが、競争市場局は、現在の権限を用いてこれらの問題に取り組むために、どこに即時の標的行動を取ることができるかを検討した。その結果、競争市場局は現在、モバイルブラウザとモバイル機器でのクラウドゲームへのアクセスについて市場調査の参考とするためのコンサルティングを実施している。
Andrea Coscelli, Chief Executive of the CMA, said: 競争市場局の最高責任者であるAndrea Coscelliは、次のように述べている。
"When it comes to how people use mobile phones, Apple and Google hold all the cards. As good as many of their services and products are, their strong grip on mobile ecosystems allows them to shut out competitors, holding back the British tech sector and limiting choice." 「携帯電話の利用方法に関しては、AppleとGoogleがすべてのカードを持っている。彼らのサービスや製品の多くは優れているが、モバイルのエコシステムを強力に支配しているため、競合他社を締め出すことができ、英国のハイテクセクターを抑制し、選択肢を狭めている。」
"We all rely on browsers to use the internet on our phones, and the engines that make them work have a huge bearing on what we can see and do. Right now, choice in this space is severely limited and that has real impacts – preventing innovation and reducing competition from web apps. We need to give innovative tech firms, many of which are ambitious start-ups, a fair chance to compete." 「私たちは皆、携帯電話でインターネットを利用するためにブラウザに依存しており、それらを動作させるエンジンは、私たちが何を見たり、何をしたりできるかに大きく関わっている。現在、この分野での選択肢は非常に限られており、イノベーションを妨げたり、ウェブアプリケーションとの競争を減らしたりと、大きな影響を及ぼしている。私たちは、革新的な技術系企業(その多くは野心的な新興企業)に、公平に競争する機会を与える必要がある。」
"We have always been clear that we will maximise the use of our current tools while we await legislation for the new digital regime. Today’s announcements – alongside the 8 cases currently open against major players in the tech industry, ranging from tackling fake reviews to addressing problems in online advertising – are proof of that in action." 「我々は、新しいデジタル規制のための法律を待つ間、現在のツールを最大限に活用することを常に明確にしてきました。本日の発表は、偽のレビューへの取り組みからオンライン広告の問題への対処に至るまで、技術業界の主要企業に対して現在開かれている8件の訴訟と並んで、それが実際に行われていることの証明となる。」
Mobile browsers モバイルブラウザ
Browsers are powered by an ‘engine,’ which is fundamental to browser performance. 97% of all mobile web browsing in the UK in 2021 happens on browsers powered by either Apple’s or Google’s browser engine. Apple bans alternatives to its own browser engine on its mobile devices; a restriction that is unique to Apple. The CMA is concerned this severely limits the potential for rival browsers to differentiate themselves from Safari (for example, on features such as speed and functionality) and limits Apple’s incentives to invest in its browser engine. ブラウザは、ブラウザのパフォーマンスの基本である「エンジン」によって駆動している。2021年に英国で行われるモバイルウェブ閲覧の97%は、AppleかGoogleのブラウザエンジンを搭載したブラウザで行われる。Appleは、自社のモバイル端末において、自社のブラウザエンジン以外の選択肢を禁止しており、これはApple独自の制限である。競争市場局は、このことが競合ブラウザがサファリと差別化する可能性(例えば、スピードや機能性など)を著しく制限し、Appleが自社のブラウザエンジンに投資するインセンティブを制限していることを懸念している。
This restriction also seriously inhibits the capability of web apps – apps that run on a browser rather than having to be individually downloaded – depriving consumers and businesses of the full benefits of this innovative technology. Mobile devices also typically have either Google’s Chrome or Apple’s Safari pre-installed and set as default at purchase, giving them a key advantage over other rival browsers. Apple and Google both have strong positions in mobile web browsing, with a combined share of supply of around 90% for their browsers. この制限はまた、ウェブアプリ(個別にダウンロードするのではなく、ブラウザ上で動作するアプリ)の機能を著しく阻害し、消費者と企業からこの革新的な技術の恩恵を完全に奪っている。また、モバイル機器には通常、GoogleのクロームまたはAppleのサファリがプリインストールされ、購入時のデフォルトとして設定されているため、他の競合ブラウザに対して重要な優位性を持っている。AppleとGoogleは、モバイル・ウェブ・ブラウジングにおいて強力な地位を築いており、両社のブラウザの合計供給シェアは約90%に達している。
Cloud gaming クラウドゲーミング
Apple has also blocked the emergence of cloud gaming services on its App Store. Like web apps, cloud gaming services are a developing innovation, providing mobile access to high-quality games that can be streamed rather than individually downloaded. Gaming apps are a key source of revenue for Apple and cloud gaming could pose a real threat to Apple’s strong position in app distribution. By preventing this sector from growing, Apple risks causing mobile users to miss out on the full benefits of cloud gaming. Appleは、App Storeにクラウドゲームサービスが登場するのを阻止している。ウェブアプリと同様に、クラウドゲームサービスも発展途上のイノベーションであり、個別にダウンロードするのではなく、ストリーミングできる高品質のゲームへのモバイルアクセスを提供する。ゲームアプリはAppleにとって重要な収入源であり、クラウドゲームはアプリ配信におけるAppleの強力な地位を脅かす存在になりかねない。この分野の成長を妨げることで、Appleはモバイルユーザーがクラウドゲーミングの恩恵を十分に受けられなくなる危険性をはらんでいる。
During its market study, the CMA heard concerns from a number of UK businesses and start-ups who said that the restrictions in relation to mobile browsers and cloud gaming make it harder for them to innovate and compete in these markets. 競争市場局は市場調査の中で、多くの英国企業や新興企業から、モバイルブラウザやクラウドゲームに関する規制によって、これらの市場での技術革新や競争が難しくなっているという懸念を聞いた。
The proposed market investigation will further assess the competition concerns identified to date in both areas and decide what, if any, action is appropriate. This could include making legally binding orders requiring changes to be made to Apple’s and Google’s practices. 提案されている市場調査では、両分野でこれまでに確認された競争上の懸念をさらに評価し、適切な措置があるとすればどのようなものかを決定することになる。これには、AppleとGoogleの慣行を変更することを求める法的拘束力のある命令が含まれる可能性がある。
Enforcement action 強制措置
In parallel, the CMA is also today launching a competition law investigation into Google’s rules governing apps’ access to listing on its Play Store, in particular regarding conditions Google sets for how users can make in-app payments for certain digital products. Separately, the CMA has an existing competition law investigation underway in relation to Apple’s App Store terms and conditions, which it opened in March 2021. これと並行して、競争市場局は本日、Playストアへのアプリの掲載に関するGoogleの規則、特に、ユーザーが特定のデジタル製品に対してアプリ内で支払いを行う方法についてGoogleが設定している条件について、競争法の調査を開始している。これとは別に、競争市場局は、2021年3月に開始したAppleのApp Storeの条件に関連して、既存の競争法調査を進めている。
The consultation on the proposed the market investigation reference will close on 22 July at 5pm. 市場調査リファレンス案に関するコンサルテーションは、7月22日午後5時に終了する。
For more information, visit the Mobile Ecosystems market study page and the Investigation into suspected anti-competitive conduct by Google case page. 詳しくは、モバイルエコシステムズ市場調査ページ、Googleによる反競争的行為の疑いに関する調査案件ページを参照。
Notes to Editors 編集後記
1. A market investigation by the CMA is an in-depth investigation led by a group drawn from the CMA’s panel of members. The CMA must conclude a market investigation in 18 months from the date that the reference is made. This is extendable by 6 months in exceptional circumstances. The process and general approaches to analysis in market investigations are set out in the market investigation guidelines. 1. 競争市場局による市場調査は、競争市場局の委員会から選ばれたグループによって行われる詳細な調査である。競争市場局は、照会が行われた日から18ヶ月以内に市場調査を終了しなければならない。例外的に6ヶ月間延長することができます。市場調査のプロセスと分析への一般的なアプローチは、市場調査ガイドラインに記載されている。
2. Market investigations consider whether there are features of a market that have an adverse effect on competition (AEC). If there is an AEC, the CMA has the power to impose its own remedies on businesses and it can also make recommendations to other bodies such as sectoral regulators or the government - when legislation might be required for example. The CMA has wide powers to change the behaviour of firms, such as governing the way a product is sold in a particular market and the information that is available to customers buying that product. The CMA also has the power to impose structural remedies which can require companies to sell parts of their business to improve competition. 2. 市場調査では、競争に悪影響を及ぼす市場の特徴(AEC)があるかどうかを検討する。AECが存在する場合、競争市場局は企業に対して独自の救済策を課す権限を持ち、また、セクター別の規制当局や政府など、他の機関に対して、例えば、法律制定が必要となるような場合に勧告を行うことができる。競争市場局は、特定の市場における製品の販売方法や、その製品を購入する顧客が入手可能な情報を管理するなど、企業の行動を変えるための幅広い権限を持っている。また、競争市場局は、構造的な救済措置を講じる権限も有しており、競争を改善するために、企業に事業の一部を売却するよう求めることができます。

 

2022.06.10 Investigation into suspected anti-competitive conduct by Google

Case Information: ケース情報
On 10 June 2022, the CMA launched an investigation under Chapter II of the Competition Act 1998 into suspected breaches of competition law by Google. The investigation concerns Google’s distribution of apps on Android devices in the UK, in particular Google’s Play Store rules which oblige app developers offering digital content to use Google’s own payment system (Google Play Billing) for in-app purchases. 2022年6月10日、CMAは、1998年競争法第2章に基づき、Googleによる競争法違反の疑いについて調査を開始した。この調査は、英国におけるGoogleのAndroid端末でのアプリ配布、特にデジタルコンテンツを提供するアプリ開発者にアプリ内課金にGoogle独自の決済システム(Google Play Billing)の利用を義務付けるGoogleのPlay Storeの規則に関するものである。

 


 

まるちゃんの情報セキュリ気まぐれ日記

・2022.05.26 意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

・2022.05.10 英国 意見募集 消費者保護のためにアプリストアへの政府の介入は必要か (2022.05.04)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2021.11.27 英国 情報コミッショナーの意見:オンライン広告の提案に対するデータ保護とプライバシーの期待

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

 

 

| | Comments (0)

2022.06.11

CISA Alert (AA22-158A) 中華人民共和国に支援されたサイバー犯罪者がネットワークプロバイダーやデバイスを悪用している (2022.06.07)

こんにちは、丸山満彦です。

米国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ局(CISA)、連邦捜査局(FBI)が共同で、中華人民共和国に支援された攻撃者が利用する脆弱性のリストを公開していますね。。。

● CISA

・2022.06.07 Alert (AA22-158A) People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices

 

Alert (AA22-158A) People’s Republic of China State-Sponsored Cyber Actors Exploit Network Providers and Devices アラート (AA22-158A) 中華人民共和国に支援されたサイバー犯罪者がネットワークプロバイダーやデバイスを悪用している
Summary 概要
This joint Cybersecurity Advisory describes the ways in which People’s Republic of China (PRC) state-sponsored cyber actors continue to exploit publicly known vulnerabilities in order to establish a broad network of compromised infrastructure. These actors use the network to exploit a wide variety of targets worldwide, including public and private sector organizations. The advisory details the targeting and compromise of major telecommunications companies and network service providers and the top vulnerabilities—primarily Common Vulnerabilities and Exposures (CVEs)—associated with network devices routinely exploited by the cyber actors since 2020. この共同サイバーセキュリティ勧告は、中華人民共和国(PRC)の国家に支援されたサイバー行為者が、侵害されたインフラの幅広いネットワークを確立するために、公に知られた脆弱性を悪用し続ける方法について説明しています。これらのサイバー攻撃者は、このネットワークを利用して、公共機関や民間企業を含む世界中のさまざまな標的を攻撃しています。本アドバイザリーでは、大手通信会社やネットワークサービスプロバイダーが標的とされ、侵害されたこと、また2020年以降、サイバー行為者によって日常的に悪用されているネットワーク機器に関連する脆弱性(主にCVE(共通脆弱性識別子))のトップについて詳述しています。
This joint Cybersecurity Advisory was coauthored by the National Security Agency (NSA), the Cybersecurity and Infrastructure Security Agency (CISA), and the Federal Bureau of Investigation (FBI). It builds on previous NSA, CISA, and FBI reporting to inform federal and state, local, tribal, and territorial (SLTT) government; critical infrastructure (CI), including the Defense Industrial Base (DIB); and private sector organizations about notable trends and persistent tactics, techniques, and procedures (TTPs). この共同サイバーセキュリティアドバイザリーは、米国家安全保障局(NSA)、サイバーセキュリティ・インフラセキュリティ局(CISA)、連邦捜査局(FBI)が共同で作成したものです。この報告書は、これまでの NSA、CISA、FBI の報告を基に、連邦政府および州、地方、部族、領土(SLTT)、防衛産業基盤(DIB)を含む重要インフラ(CI)、民間企業に対し、注目すべき傾向と根強い戦術、技術、手順(TTPs)に関する情報を提供するものです。
Entities can mitigate the vulnerabilities listed in this advisory by applying the available patches to their systems, replacing end-of-life infrastructure, and implementing a centralized patch management program. この勧告に記載されている脆弱性を緩和するには、利用可能なパッチをシステムに適用し、耐用年数が経過したインフラを交換し、集中パッチ管理プログラムを導入する必要があります。
NSA, CISA, and the FBI urge U.S. and allied governments, CI, and private industry organizations to apply the recommendations listed in the Mitigations section and Appendix A: Vulnerabilities to increase their defensive posture and reduce the risk of PRC state-sponsored malicious cyber actors affecting their critical networks. NSA、CISA、FBI は、米国および同盟国の政府、情報収集機関、民間企業組織が、「緩和策」のセクションおよび「附属書 A:脆弱性」に記載された推奨事項を適用して防御体制を強化し、中華人民共和国の支援による悪質なサイバー行為者が重要ネットワークに影響を及ぼすリスクを低減することを強く推奨します。
For more information on PRC state-sponsored malicious cyber activity, see CISA’s China Cyber Threat Overview and Advisories webpage. 中国がスポンサーとなっている悪質なサイバー活動の詳細については、CISAの中国サイバー脅威の概要と勧告のウェブページを参照してください。

 

・[PDF]

20220611-153122  

 

 

ベストプラクティスは、、、

Best Practices ベストプラクティス
• Apply patches as soon as possible ・できるだけ早いパッチの適用
• Disable unnecessary ports and protocols ・不要なポートやプロトコルの無効化
• Replace end-of-life infrastructure ・耐用年数が経過したインフラの交換
• Implement a centralized patch management system ・パッチ集中管理システムの導入

 

Vendor CVE 脆弱性タイプ
Cisco CVE-2018-0171 リモートコード実行
  CVE-2019-15271 リモートコード実行
  CVE-2019-1652 リモートコード実行
Citrix CVE-2019-19781 リモートコード実行
DrayTek CVE-2020-8515 リモートコード実行
D-Link CVE-2019-16920 リモートコード実行
Fortinet CVE-2018-13382 認証バイパス
MikroTik CVE-2018-14847 認証バイパス
Netgear CVE-2017-6862 リモートコード実行
Pulse CVE-2019-11510 認証バイパス
  CVE-2021-22893 リモートコード実行
QNAP CVE-2019-7192 権限昇格
  CVE-2019-7193 リモートインジェクション
  CVE-2019-7194 XMLルーティング迂回攻撃
  CVE-2019-7195 XMLルーティング迂回攻撃
Zyxel CVE-2020-29583 認証バイパス

 

 

| | Comments (0)

米国 White House 全米電気自動車充電ネットワークの新基準を提案

こんにちは、丸山満彦です。

White Houseが全米電気自動車充電ネットワークの新基準を提案しています。。。

電気自動車用のインフラが充実し、電気自動車が増えると、さらに電気自動車が増え電気自動車用のインフラが充実し、、、、

逆に、ガソリン自動車が減ると、ガソリンスタンドが減少し、ガソリンスタンドが減少すると、、、

ということになっていくのでしょうかね。。。

しかし、日本はどうなるんでしょうね。。。

The White House

・2022.06.09 FACT SHEET: Biden-Harris Administration Proposes New Standards for National Electric Vehicle Charging Network

 

FACT SHEET: Biden-⁠Harris Administration Proposes New Standards for National Electric Vehicle Charging Network ファクトシート:バイデン-ハリス政権、全米電気自動車充電ネットワークの新基準を提案
Bipartisan Infrastructure Law Investments to Enable Families to Plug-In, Charge Up, and Drive Across America 超党派のインフラストラクチャー法への投資により、家族がアメリカ全土でプラグイン、充電、運転ができるようになる
Today, the Biden-Harris Administration is announcing new steps to meet President Biden’s goal to build out the first-ever national network of 500,000 electric vehicle chargers along America’s highways and in communities, a key piece of the Bipartisan Infrastructure Law. 本日、バイデン-ハリス政権は、バイデン大統領の目標である、米国の高速道路や地域社会に50万台の電気自動車充電器の全国ネットワークを構築するための新たなステップを発表しました。
The Department of Transportation, in partnership with the Department of Energy, is proposing new standards to make charging electric vehicles (EVs) a convenient, reliable, and affordable for all Americans, including when driving long distances. Without strong standards, chargers would be less reliable, may not work for all cars, or lack common payment methods. The new standards will ensure everyone can use the network –no matter what car you drive or which state you charge in. 運輸省は、エネルギー省と共同で、長距離運転時など、すべてのアメリカ人にとって電気自動車(EV)の充電が便利で信頼でき、かつ安価になるような新しい基準を提案しています。強力な規格がなければ、充電器の信頼性が低下したり、すべての自動車に対応しなかったり、一般的な支払い方法がなかったりすることになります。新しい規格は、どんな車に乗っていても、どの州で充電していても、誰もがネットワークを利用できることを保証します。
The proposed standards, along with new coordinated federal actions on EVs, support President’s Biden’s priorities  to lower costs for families, create good-paying jobs, and combat climate change. He is pressing Congress on his plan to provide tax credits that make EVs more affordable, so families’ budgets aren’t hurt by volatile gas prices. The actions will spur good-paying jobs with strong workforce requirements for America’s steelworkers, electrical workers, and laborers to build, install, and maintain the network. And, making chargers and EVs more accessible will help tackle the climate crisis – reducing emissions, increasing cleaner air, and advancing the President’s Justice40 Initiative. この規格案は、EV に関する連邦政府の新たな協調行動とともに、家庭のコスト削減、高収入の雇用創出、気候変動対策というバイデン大統領の優先事項を支援するものです。バイデン大統領は、電気自動車をより手頃な価格で購入できるようにする税額控除を提供する計画について議会に圧力をかけており、その結果、不安定なガソリン価格によって家計が苦しめられることがなくなります。また、充電器や電気自動車を製造するために、アメリカの鉄鋼労働者、電気工事士、労働者などの雇用を促進し、給料の良い仕事を増やすことを目指します。また、充電器や電気自動車をより利用しやすくすることは、気候変動問題への取り組みにつながり、排出量の削減、よりクリーンな空気の増加、そして大統領の「Justice40イニシアチブ」の推進につながるでしょう。
Thanks to President Biden’s bold vision, leadership, and actions EV sales have doubled since he took office, and there are now more than two million EVs and 100,000 chargers on the road. The Biden Administration has positioned the United States to lead the electric future and make it in America: バイデン大統領の大胆なビジョン、リーダーシップ、行動のおかげで、就任以来、EV の販売台数は倍増し、現在では 200 万台以上の EV と 10 万台の充電器が路上で使用されています。バイデン政権は、米国が電気自動車の未来をリードし、米国でそれを実現できるよう位置づけました。
・Secured historic investments in the Bipartisan Infrastructure Law – $7.5 billion for EV charging infrastructure and more than $7 billion for the critical minerals supply chains necessary for batteries, components, materials, and recycling. ・超党派インフラ法において、EV 充電インフラに 75 億ドル、電池、部品、材料、リサイクルに必要な重要鉱物のサプライチェーンに 70 億ドル以上の歴史的な投資を確保しました。
・United automakers and autoworkers around an ambitious target for 50% of new vehicles sold in 2030 to be electric. ・自動車メーカーと自動車労働者は、2030年に販売される新車の50%を電気自動車にするという野心的な目標に取り組みました。
・Triggered a string of investment commitments of over $100 billion from private companies to make more EVs and their parts in America, create jobs for our autoworkers, and strengthen our domestic supply chains. ・電気自動車とその部品を米国内で生産し、自動車労働者の雇用を創出し、国内のサプライチェーンを強化するために、民間企業が1,000億ドル以上の投資を相次いで約束するきっかけを作りました。
・Activated the purchasing power of the federal government to procure 100% zero-emission light-duty vehicles by 2027 and all vehicles by 2035. ・連邦政府の購買力を活性化し、2027年までに100%ゼロエミッションの小型車、2035年までに全車両を調達しました。
・Finalized the strongest passenger vehicle emissions and fuel economy standards in history. ・史上最も強力な乗用車の排出ガスと燃費の基準を最終決定しました。
Historic Infrastructure Investments in Charging 充電器に関する歴史的なインフラ投資
The $7.5 billion for EV charging infrastructure in President Biden’s Bipartisan Infrastructure Law will build a convenient and equitable charging network through two programs. The National Electric Vehicle Infrastructure (NEVI) program will provide $5 billion in formula funding to States to build out charging infrastructure along highway corridors – filling gaps in rural, disadvantaged, and hard-to-reach locations while instilling public confidence in charging. Today’s minimum standards and requirements will guide States on how to spend federal funds in a way that makes chargers function the same from state-to-state, easy to find, use, and pay for, no matter who operates chargers. The Bipartisan Infrastructure Law also provides $2.5 billion in competitive grants to support community and corridor charging, improve local air quality, and increase EV charging access in underserved and overburdened communities.  DOT will open applications for this program later this year. バイデン大統領の超党派インフラ法におけるEV充電インフラへの75億ドルは、2つのプログラムを通じて、便利で公平な充電ネットワークを構築するものです。国家電気自動車インフラ (NEVI) プログラムは、高速道路沿いの充電インフラを構築するため、州に 50 億ドルの公式資金を提供します。これは、充電に対する国民の信頼を高めながら、地方や恵まれない地域、到達しにくい場所でのギャップを埋めるものです。本日の最低基準と要件は、充電器の機能を州ごとに同じにし、誰が充電器を運営しても、見つけやすく、使いやすく、支払いやすいように、州が連邦資金をどのように使うかの指針となるものです。また、超党派インフラ法では、コミュニティやコリドーでの充電を支援し、地域の大気質を改善し、サービスが不十分で負担の大きいコミュニティでのEV充電アクセスを増やすために、25億ドルの競争的補助金が提供されます。DOTは今年後半にこのプログラムの申請を開始する予定です。
These federal charging programs were designed to catalyze additional private sector investments that complement the build-out of a user-friendly, cost-saving, and financially sustainable national EV charging network. Together, President Biden’s leadership is mobilizing public and private charging investment to accelerate the adoption of EVs and create good-paying jobs across manufacturing, installation, and operation. These chargers will also make sure the new renewable electricity sources like solar and wind can power the cars we drive and reduce energy costs for families. これらの連邦政府の充電プログラムは、使いやすく、コスト削減が可能で、財政的に持続可能な EV 充電ネットワークの構築を補完する民間部門の追加投資を促進するために設計されたものです。バイデン大統領のリーダーシップにより、官民合同の充電設備への投資が行われ、EV の普及が加速されるとともに、製造、設置、運用に関わる高収入の雇用が創出されます。これらの充電器はまた、太陽光や風力などの再生可能な新しい電力源が、私たちが運転する車に電力を供給し、家庭のエネルギーコストを削減することを可能にします。
Setting the Standard 標準を設定する
The Bipartisan Infrastructure Law also established a Joint Office of Energy and Transportation to work hand-in-hand with States, industry leaders, manufacturers, and other stakeholders to meet the President’s goals. And to ensure that this electric transformation is both timely and equitable, Vice President Harris launched an EV Charging Action Plan that fast tracks federal investments and targets equity benefits for disadvantaged communities – and the Department of Transportation released a Rural EV toolkit to help ensure all Americans, regardless of where they live, have the opportunity to benefit from the lower operating costs, reduced maintenance needs, and improved performance that EVs provide. These investments, steered by the standards proposed today, will create a public charging system that meets our goals of being reliable, affordable, equitable and seamless between states and networks. They will also use workforce standards such as the Electric Vehicle Infrastructure Training Program (EVITP) to increase the safety and reliability of charging station’s functionality and usability – creating and supporting good-paying, highly-skilled union jobs in communities across the country. 超党派インフラ法案では、大統領の目標を達成するために、州、業界リーダー、メーカー、その他の関係者と手を携えて活動するエネルギー・運輸合同事務所も設立されました。また、この電気自動車への転換をタイムリーかつ公平に行うため、ハリス副大統領は、連邦政府の投資を迅速化し、不利な立場にあるコミュニティに対する公平な利益を目標とする 電気自動車充電器アクションプランを立ち上げ、交通省は、居住地にかかわらず、すべてのアメリカ人に EV がもたらす運用コストの削減、メンテナンスの必要性の軽減、性能向上の恩恵を受ける機会が与えられるよう、Rural EV toolkit をリリースしました。本日提案する基準によって導かれるこれらの投資は、信頼性が高く、安価で、公平で、州やネットワーク間でシームレスであるという我々の目標を満たす公共充電システムを構築することになります。また、電気自動車インフラ訓練プログラム (EVITP) などの労働基準を用いて、充電ステーションの機能と使いやすさの安全性と信頼性を高めることで、全国のコミュニティで高収入、高スキルの組合員の雇用を創出し、支援することができます。
Additional Steps to Drive Progress 進捗を促進するための追加ステップ
Today, as part of an Administration-wide strategy, the Biden-Harris Administration is announcing a fleet of actions from nine federal agencies across the charging ecosystem to complement the NEVI program – creating good-paying jobs in the U.S., reducing emissions, and putting us on a path to net-zero emissions by 2050. 本日、バイデン-ハリス政権は、行政全体にわたる戦略の一環として、NEVI プログラムを補完し、米国内で高収入の雇用を創出し、排出量を削減し、2050 年までに純排出量ゼロへの道筋をつける、充電エコシステムについての 9 つの連邦機関による一連の行動を発表しています。
・The Joint Office of Energy and Transportation announced the formation of a new Federal Advisory Committee called the EV Working Group that will be a key advisory body to “make recommendations regarding the development, adoption, and integration of light-, medium-, and heavy-duty electric vehicles into the transportation and energy systems of the United States,” including on infrastructure topics. The 25 members will be selected in the coming months. The joint office also announced a partnership to support EV charging with the American Public Power Association, Edison Electric Institute, and National Rural Electric Cooperative Association to inform electric system investments and support state planning. ・エネルギー省・運輸省による合同事務局は、EVワーキンググループと呼ばれる新しい連邦諮問委員会の設立を発表しました。この委員会は、インフラの話題を含め、「小型・中型・大型電気自動車の開発、採用、米国の交通・エネルギーシステムへの統合に関する勧告を行う」重要な諮問機関です。25人のメンバーは今後数カ月のうちに選出される予定です。また、同共同事務局は、米国電力協会、エジソン電気協会、全米農村電気協同組合協会と、電気システム投資への情報提供と州計画支援のため、EV充電を支援するパートナーシップを発表しました。
・The Department of Energy announced $45 million through its “EVs4ALL” program to develop very fast charging batteries to complement the rollout of the public charging network. They are also preparing multiple funding topics for projects that offer EV charging solutions for drivers who lack access to home charging or who live in underserved communities. DOE’s Vehicle Technologies Office anticipates up to $30M in funding opportunities to support clean energy mobility pilots and demonstration in underserved and rural areas. The opportunity will seek projects to deploy EV charging solutions for drivers with no home charging and projects that will engage underserved communities to develop community-driven EV charging plans and install EV chargers in locations that maximize benefits to underserved communities. ・エネルギー省は、「EVs4ALL」プログラムを通じて、公共充電ネットワークの展開を補完する超高速充電用バッテリーの開発に4500万ドルを拠出すると発表しました。また、家庭での充電ができないドライバーや、十分なサービスを受けていない地域に住むドライバーにEV充電ソリューションを提供するプロジェクトに対しても、複数の資金提供テーマを準備しています。エネルギー省の車両技術局は、十分なサービスを受けていない地域や農村部でのクリーンエネルギー移動性の試験・実証を支援するために、最大3000万ドルの資金提供の機会を見込んでいます。この機会では、家庭で充電できないドライバーのためのEV充電ソリューションを展開するプロジェクトや、十分なサービスを受けていない地域社会を巻き込んで地域主導のEV充電計画を策定し、十分なサービスを受けていない地域社会に最大限の利益をもたらす場所にEV充電器を設置するプロジェクトが募集される予定です。
・The Department of Agriculture developed an EV charging resource guide and funding eligibility infographic for rural property owners, states and territories, Tribes, municipalities, cooperatives, and non- and for-profit entities to assist those looking to make the transition to electric. They also developed a climate smart schools guide that includes information on funding for charging for rural school districts. In addition, USDA signed a Memorandum of Understanding with the Department of Energy to address EV supply equipment and related charging infrastructure. ・農務省は、電気自動車への移行を検討している人々を支援するために、農村部の土地所有者、州・準州、部族、自治体、協同組合、非・営利団体向けのEV充電リソースガイドと資金調達資格インフォグラフィックを作成しました。また、農村部の学区における充電のための資金調達に関する情報を含む、気候スマートスクールガイドも作成しました。さらに、米国農務省は、エネルギー省と EV 供給装置と関連する充電インフラに取り組むための覚書に調印しました。
・The General Services Administration created Blanket Purchase Agreements for federal agencies and other eligible users to seamlessly acquire an array of EV chargers and services at federally owned, managed, and occupied facilities. They also published a ‘Guide to Building Owners’ that details the relationship between EV charging and building electricity loads – ensuring that buildings are equipped to handle new charging infrastructure, and optimize existing chargers. Through their Green Proving Ground program, GSA is working closely with the Department of Energy to install and pilot EV charging innovations, including managed and bidirectional charging, at selected GSA facilities and to accelerate market acceptance. In addition, GSA’s Public Buildings Service established an Interagency Agreement with the Department of Veterans Affairs to install EV charging stations at approximately 60 Veterans Affairs locations at a value greater than $40 million. ・一般調達庁は、連邦政府機関やその他の適格なユーザーが、連邦政府が所有・管理・使用する施設において一連のEV充電器やサービスをシームレスに取得できるよう、包括的購入契約を作成しました。また、EV充電と建物の電力負荷の関係を詳しく説明した「建物所有者へのガイド」を発行し、建物が新しい充電インフラに対応し、既存の充電器を最適化できるようにしました。GSAは、グリーン・プルービング・グラウンド・プログラムを通じて、エネルギー省と緊密に協力し、選択したGSA施設に管理充電や双方向充電などのEV充電イノベーションを設置・試験し、市場の受け入れを加速しています。さらに、GSA の公共建築サービスは、退役軍人省との省庁間協定を確立し、退役軍人省の約 60 箇所に 4000 万ドル以上の EV 充電ステーションを設置することになりました。
・The National Park Service established an interdisciplinary EV Working Group that is developing a national strategy for electrifying their government fleets, public-serving transit fleets, and public-use charging infrastructure. They are in the process of transitioning Zion National Park’s transit fleet to battery-electric buses with $33 million in funding from the Department of Transportation’s Nationally Significant Federal Lands and Tribal Projects program – with plans to pursue the same program to electrify transit at Grand Canyon National Park next year. In addition, NPS is working with State DOTs to fill charging gaps in corridors and routes that serve as gateways to national parks. ・国立公園局は、学際的なEVワーキンググループを設立し、政府車両、公共交通車両、公共用充電インフラの電化のための国家戦略を策定しています。ザイオン国立公園の輸送車両は、運輸省の国家重要連邦土地および部族プロジェクトプログラムからの3300万ドルの資金でバッテリー電気バスに移行中で、来年には同じプログラムでグランドキャニオン国立公園の輸送車両の電化を進める予定です。さらにNPSは、国立公園へのゲートウェイとなる回廊やルートにおける充電ギャップを埋めるため、州運輸省と協力しています。
・The Department of Housing and Urban Development has continued to support the inclusion of EV charging infrastructure as part of its green building standards through several of its housing financing programs. In addition, they are exploring the installation of EV chargers in multi-family rental housing as part of their Green Mortgage Insurance Premium incentive – lowering annual premiums for participants. ・住宅都市開発省は、いくつかの住宅融資プログラムを通じて、グリーンビルディング基準の一部としてEV充電インフラを組み込むことを継続的に支援しています。さらに、グリーン住宅ローン保険料のインセンティブとして、集合住宅へのEV充電器の設置を検討しており、参加者の年間保険料を引き下げています。
・The Environmental Protection Agency created a Clean School Bus Program through the Bipartisan Infrastructure Law to replace the nation’s fleet of dirty diesel buses, with clean, American-made, zero-emission buses. EPA released $500 million in the first round of funding for this $5 billion program, and schools can use portions of this funding to build-out needed EV charging infrastructure for these new, clean school buses. In addition, there are now 300 different Level 2 EV charger products available under the EPA’s ENERGY STAR program.  ・環境保護庁は、超党派インフラ法を通じて、汚れたディーゼルバスを米国製のクリーンなゼロ・エミッションバスに置き換えるクリーン・スクールバス・プログラムを創設しました。EPAはこの50億ドルのプログラムの第一弾として5億ドルの資金を発表し、学校はこの資金の一部を、新しいクリーンなスクールバスに必要なEV充電インフラの整備に充てることができます。さらに、環境保護庁 の ENERGY STAR プログラムでは、現在 300 種類のレベル 2 EV 充電器が利用可能です。 
The Department of Defense launched a pilot project to install 20 Level 2 EV chargers for government fleet vehicles at the Pentagon along with a planning study for future additional installations. The Senior Pentagon Climate Working Group also created a sub-working group focused solely on removing barriers to installing EV charging infrastructure that supports the Department’s zero-emission vehicle acquisition goals. ・国防総省は、ペンタゴンの公用車用にレベル2EV充電器20台を設置するパイロットプロジェクトを開始し、将来の追加設置のための計画調査も行っています。ペンタゴン上級気候ワーキンググループは、同省のゼロエミッション車取得目標をサポートするEV充電インフラの設置に対する障壁を取り除くことだけに焦点を当てたサブワーキンググループも設立しました。
・The Department of Commerce is supporting the build-out of the domestic EV charging supply chain and promoting foreign direct investment in American EV charging and supply equipment manufacturing. At the end of June, they will host the 2022 SelectUSA Investment Summit – the highest-profile event promoting foreign direct investment in the U.S. – where they will highlight investment opportunities in EV charging catalyzed by the Bipartisan Infrastructure Law. In addition, DOC’s Hollings Manufacturing Extension Partnership provides hands on assistance to manufactures across 51 centers, in every state and Puerto Rico, to address unmet needs in the EV charging supply chain and help traditional automotive suppliers diversify their customer base and enter into the EV charging market. 商務省は、国内のEV充電サプライチェーンの構築を支援し、米国のEV充電・供給装置製造への海外直接投資を促進しています。6月末には、米国への外国直接投資を促進する最も注目度の高いイベントである「2022 SelectUSA Investment Summit」を開催し、超党派インフラ法が促進するEV充電への投資機会について紹介する予定です。また、DOCのHollings Manufacturing Extension Partnershipは、各州とプエルトリコにある51のセンターで製造業者に実地支援を行い、EV充電サプライチェーンの満たされていないニーズに対応し、従来の自動車サプライヤーが顧客ベースを多様化してEV充電市場に参入できるよう支援しています。

 

Fig1_20210802074601

| | Comments (0)

NIST NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定

こんにちは、丸山満彦です。

NISTが、NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定を公表し、意見募集をしていますね。。。

なかなか興味深い報告書です。。。

 

● NIST - ITL

・2022.06.08 NISTIR 8409 (Draft) Measuring the Common Vulnerability Scoring System Base Score Equation

NISTIR 8409 (Draft) Measuring the Common Vulnerability Scoring System Base Score Equation NISTIR 8409 (ドラフト) 共通脆弱性評点システムの基礎評点の計算式の測定
Announcement 発表
Calculating the severity of information technology vulnerabilities is important for prioritizing vulnerability remediation and helping to understand the risk of a vulnerability. The Common Vulnerability Scoring System (CVSS) is a widely used approach to evaluating properties that lead to a successful attack and the effects of a successful exploitation. CVSS is managed under the auspices of the Forum of Incident Response and Security Teams (FIRST) and is maintained by the CVSS Special Interest Group (SIG). Unfortunately, ground truth upon which to base the CVSS measurements has not been available. Thus, CVSS SIG incident response experts maintain the equations by leveraging CVSS SIG human expert opinion. 情報技術の脆弱性の深刻度を計算することは、脆弱性修正の優先順位付けや、脆弱性のリスクの把握に役立つため、重要です。共通脆弱性評点システム(CVSS)は、攻撃の成功につながる特性や悪用が成功した場合の影響を評価するためのアプローチとして広く利用されています。CVSSは、FIRSTの後援を受け、CVSS Special Interest Group (SIG)によって維持管理されています。残念ながら、CVSS測定の基礎となるグランド・トゥルースは利用可能ではありません。そのため、CVSS SIGのインシデントレスポンスの専門家が、CVSS SIGの人間の専門家の意見を活用し、数式を維持しています。
This work evaluates the accuracy of the CVSS “base score” equations and shows that they represent the CVSS maintainers' expert opinion to the extent described by these measurements. NIST requests feedback on the approach, the significance of the results, and any CVSS measurements that should have been conducted but were not included within the initial scope of this work. Finally, NIST requests comments on sources of data that could provide ground truth for these types of measurements. この研究では、CVSSの「基礎評点」式の精度を評価し、この測定値がCVSSメンテナンス担当者の専門的な意見を表現していることを示しました。NISTは、このアプローチ、結果の重要性、およびこの作業の最初の範囲に含まれなかったが実施されるべきであったCVSS測定に関するフィードバックを求めます。最後に、NISTは、この種の測定にグランドトゥルースを提供できるデータソースについてのコメントを求めています。
Abstract 概要
This work evaluates the validity of the Common Vulnerability Scoring System (CVSS) Version 3 ``base score'' equation in capturing the expert opinion of its maintainers. CVSS is a widely used industry standard for rating the severity of information technology vulnerabilities; it is based on human expert opinion. This study is important because the equation design has been questioned since it has features that are both non-intuitive and unjustified by the CVSS specification. If one can show that the equation reflects CVSS expert opinion, then that study justifies the equation and the security community can treat the equation as an opaque box that functions as described. この研究は、共通脆弱性評点システム(CVSS) 第3版 の「基礎評点」式の有効性を、その保守者の専門的な意見を反映させることで評価するものです。CVSSは、情報技術の脆弱性の深刻度を評価するために広く利用されている業界標準であり、人間の専門家の意見に基づいています。この研究は、CVSSの仕様から直感的でなく、正当化できない特徴を持つ方程式の設計が疑問視されているため、重要です。もし、数式がCVSS専門家の意見を反映していることを示すことができれば、その研究は数式を正当化し、セキュリティコミュニティは数式を説明どおりに機能する不透明な箱として扱うことができます。
This work shows that the CVSS base score equation closely though not perfectly represents the CVSS maintainers' expert opinion. The CVSS specification itself provides a measurement of error called ``acceptable deviation'' (with a value of 0.5 points). In this work, the distance between the CVSS base scores and the closest consistent scoring systems (ones that completely conform to the recorded expert opinion) is measured. The authors calculate that the mean scoring distance is 0.13 points and the maximum scoring distance is 0.40 points. The acceptable deviation was also measured to be 0.20 points (lower than claimed by the specification). These findings validate that the CVSS base score equation represents the CVSS maintainers' domain knowledge to the extent described by these measurements. この研究は、CVSS基礎評点の式が、完全ではないものの、CVSS保守者の専門家の意見を忠実に反映していることを示しました。CVSS仕様自体は、「許容距離」(0.5点の値)と呼ばれる誤差の測定法を提供しています。この研究では、CVSSの基礎評点と、最も整合性の高い評点システム(記録された専門家の意見に完全に適合するもの)との間の距離を測定しています。著者らは、平均得点距離は0.13点、最大得点距離は0.40点であると計算しています。また、許容距離は0.20点と測定されました(仕様で主張されている値より低い)。これらの結果は、CVSSの基礎評点式がCVSS保守者のドメイン知識をこれらの測定で説明される程度に表していることを検証するものです。

 

・[PDF] NISTIR 8409 (Draft)

20220610-151106

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
2 Common Vulnerability Scoring System 2 共通脆弱性評点システム
2.1 CVSS Base Score Metrics 2.1 CVSS基礎評点の指標
2.2 CVSS Base Score Equations 2.2 CVSS 基礎評点の計算式
3 Rationale for the CVSS Base Score Equations 3 CVSS 基礎評点評点式の根拠
3.1 Development of the CVSS Base Score Equation 3.1 CVSS基礎評点評点式の開発
3.2 Acceptable Deviation 3.2 許容距離
4 Metrology Tools, Metrics, and Algorithms 4 計測ツール、計測指標、アルゴリズム
4.1 Knowledge Encoder Tool 4.1 知識エンコーダツール
4.2 Knowledge Constraint Graphs 4.2 知識制約グラフ
4.2.1 Equivalency Sets 4.2.1 等価性セット
4.2.2 Magnitude Measurements 4.2.2 マグニチュード測定
4.2.3 Simplifed Graphs 4.2.3 簡略化されたグラフ
4.3 Inconsistency Metrics for Knowledge Constraint Graphs 4.3 知識制約グラフの非整合性指標
4.4 Voting Unifcation Algorithm 4.4 投票統一アルゴリズム
4.4.1 Analysis of Votes 4.4.1 投票の分析
4.4.2 Priority Ordering 4.4.2 優先順位付け
4.4.3 Unifed Graph Construction 4.4.3 統一されたグラフの構築
4.4.4 Description of Constructed Graph 4.4.4 構築されたグラフの説明
5 Data Collection and Processing 5 データ収集と処理
5.1 Data Set of Analyzed Vectors 5.1 解析対象ベクターのデータセット
5.2 Volunteer Participants 5.2 ボランティア参加者
5.3 Produced Knowledge Constraint Graphs 5.3 作成された知識制約グラフ
5.4 Knowledge Constraint Graph Inconsistency Measurements 5.4 知識制約グラフの非整合性の測定
5.4.1 Graph f00 5.4.1 グラフf00
5.4.2 Graph 977 5.4.2 グラフ977
5.5 Unifed Knowledge Constraint Graph 5.5 統一された知識制約グラフ
5.6 Optimal Number of Equivalency Sets 5.6 最適な等価集合の数
6 Measurement Approach 6 測定方法
6.1 Consistent Scoring Systems 6.1 無矛盾な採点システム
6.1.1 Scoring System Defnition 6.1.1 評点リング・システムの定義
6.1.2 Consistent Scoring System Defnition 6.1.2 無矛盾な評点システムの定義
6.2 Generation of a Closest Consistent Scoring System 6.2 最も近い無矛盾性評点システムの生成
6.3 Measurement Methodology 6.3 測定方法
7 Measurement Results 7 測定結果
7.1 Mean Scoring Distance 7.1 平均得点距離
7.2 Maximum Scoring Distance 7.2 最大採点距離
7.3Acceptable Deviation 7.3 許容距離
7.4 Increasing Accuracy with More Data 7.4 より多くのデータによる精度の向上
8 Interpretation of Results and Related Work 8 結果の解釈と関連研究
9 Conclusion 9 まとめ
References 参考文献
List of Appendices 附属書一覧
Appendix A—Acronyms 附属書A - 頭字語
Appendix B- Set of Evaluated CVSS vectors 附属書B - 評価済みCVSSベクトル集合
Appendix C- Encoded Knowledge Constraint Graphs 附属書C - 符号化された知識制約グラフ

 

エグゼクティブサマリー

Executive Summary  エグゼクティブサマリー 
The Common Vulnerability Scoring System (CVSS) Version 3 maintained by the CVSS Special Interest Group (SIG) is a widely used industry standard for characterizing the properties of information technology vulnerabilities and measuring their severity. It is based on human expert opinion. Vulnerability properties are characterized through a multidimensional vector. The severity is defned primarily through a multi-part “base score” equation, with 8 input metrics, that is not readily amenable to human comprehension.  CVSS Special Interest Group (SIG) によって維持されている 共通脆弱性評点システム、 (CVSS) 第3版 は、情報技術の脆弱性の特性を特徴付け、その深刻度を測定するために広く使用されている業界標準です。CVSSは、人間の専門家の意見に基づいています。脆弱性の特性は、多次元ベクトルによって特徴づけられます。深刻度は、主に8つの入力指標を持つ多部構成の「基礎評点」式によって定義されますが、これは人間の理解には容易ではありません。
To develop the equation, CVSS SIG members frst described a set of real vulnerabilities using CVSS vectors and assigned them one of fve severity levels. This created a partial lookup table mapping vectors to severity levels. They then defned a target score range for each severity level and created an equation to attempt to map each vector to a score within the specifed score range. Finally, they reviewed the equation’s scoring of vectors not included in the partial lookup table to evaluate the effectiveness of the equation on the full set of possible vectors. Since the equation could not perfectly map vectors to score ranges, the CVSS Version 3.1 specifcation provides a measurement of error (an ‘acceptable deviation’ of 0.5 points). However, suffcient information is not provided to reproduce the experiment.  この方程式を開発するために、CVSS SIGのメンバーはまず、CVSSベクトルを使用して一連の実際の脆弱性を記述し、5つの深刻度レベルのうちの1つを割り当てました。これにより、ベクターと重要度レベルを対応させた部分的なルックアップテーブルが作成されました。次に、各重要度レベルの目標評点範囲を定義し、各ベクトルを指定された評点範囲内の評点に対応付けることを試みる方程式を作成しました。最後に,部分ルックアップテーブルに含まれていないベクトルに対する方程式の評点を確認し,可能性のあるすべてのベクトルに対する方程式の有効性を評価した.この方程式はベクターを評点範囲に完全に対応付けることができないため、CVSSバージョン3.1の仕様では、誤差の測定値(0.5点の「許容距離」)を提供しています。しかし、実験を再現するのに十分な情報は提供されていない。
This work measures the degree to which the CVSS base score equation refects the CVSS SIG expert domain knowledge while providing a reproducible justifcation for the measurements. It starts not from a set of real vulnerabilities, as the CVSS SIG did, but from a set of 66 vulnerability types (i.e., CVSS vectors) that represent 90 % of the vulnerabilities published by the U.S. National Vulnerability Database. CVSS SIG experts then evaluate these vulnerability types and encode their knowledge as constraint graphs; sets of graphs are then unifed using a voting algorithm. These unifed graphs represent sets of consistent scoring systems (mappings of vectors to scores).  この研究では、CVSS基礎評点の式がCVSS SIG専門家のドメイン知識をどの程度反映しているかを測定し、測定値に対して再現可能な正当性を提供します。CVSS SIGのように実際の脆弱性の集合からではなく、米国の国家脆弱性データベースによって公開された脆弱性の90%を占める66種類の脆弱性(すなわちCVSSベクトル)の集合から開始します。次に、CVSS SIGの専門家がこれらの脆弱性の種類を評価し、その知識を制約グラフとして表現します。そして、グラフの集合は投票アルゴリズムを用いて単一化されます。これらの統一されたグラフは、一貫した採点システム(ベクトルと評点のマッピング)の集合を表します。
The consistent scoring system closest to the CVSS Version 3.1 scores was found, and the distance between the scores and the closest consistent scoring system scores was measured. These measurements represent the degree to which the CVSS v3.1 base score equation represents the CVSS SIG expert domain knowledge.  CVSS 第3.1版の評点に最も近い一貫した採点システムを見つけ、その評点と最も近い一貫した採点システムの評点との間の距離を測定した。これらの測定値は、CVSS v3.1の基礎評点式がCVSS SIG専門家のドメイン知識をどの程度表しているかを表しています。
Using this approach, the mean and maximum distance of the CVSS v3.1 scores compared to the closest consistent scoring system scores was measured and the acceptable deviation was recalculated. Unlike acceptable deviation, the new distance metrics measure the score values themselves separate from the severity levels. Using all 12 CVSS SIG inputs, the mean scoring distance is 0.13 points, the maximum scoring distance is 0.40 points, and the acceptable deviation is 0.20 points. Sets of 11 out of 12 of the inputs were used to calculate precision measurements (i.e., standard deviation).  この方法を用いて、最も近い一貫性のある採点システムの評点と比較したCVSS 第3.1版の評点の平均距離と最大距離が測定され、許容距離が再計算されました。許容距離とは異なり、新しい距離メトリックは、深刻度レベルとは別に評点値そのものを測定します。12のCVSS SIGインプットすべてを使用した場合、平均評点リング距離は0.13点、最大評点リング距離は0.40点、許容距離は0.20点となりました。12個の入力のうち11個の入力は、精度の測定(すなわち標準距離)を計算するために使用されました。
These fndings validate that the CVSS base score equation functions as described (to the extent described by these measurements); it represents the encoded CVSS SIG domain knowledge. The measurements support the equation as defned. The security community may use it as an opaque box without understanding the internal functionality.  これらの結果は、CVSS基礎評点の式が(これらの測定値によって記述される範囲において)記述されたとおりに機能することを検証するもので、それは符号化されたCVSS SIGドメイン知識を表しています。測定結果は、定義された方程式をサポートしています。セキュリティコミュニティは、内部機能を理解することなく、不透明な箱としてそれを使用することができます。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

CVSSが脆弱性についての数値をアウトプットとして出すのに対して、SSVCはとるべき対応をアウトプットして出すということで、具体的な対策に結びつける方法・・・

・2021.04.30 カーネギー大学 ソフトウェア工学研究所が「Stakeholder-Specific Vulnerability Categorization:SSVC 2.0」を発表していますね。。。

 

昔に遡り。。。

・2010.10.25 IPA 共通脆弱性評価システムCVSS概説

・2007.04.26 JVN は、名称をJP Vendor Status Notes (JVN) から、Japan Vulnerability Notes (JVN) と変更しました

 

 

| | Comments (0)

2022.06.10

日本公認会計士協会 保証業務に関する解説動画

こんにちは、丸山満彦です。

日本公認会計士協会が、一般の人向け(?)に保証業務を説明した動画を公表していますね。。。

 

日本公認会計士協会

・2022.06.10 保証業務に関する解説動画


近年、投資家及びその他のステークホルダーに対して非財務情報を含めて開示する新たな企業報告に関する注目度が国内外で高まっており、併せて、それに対する保証業務についても注目度が高まっております。
 そこで、日本公認会計士協会では、皆様に保証業務について、改めて理解いただく機会になればと考え、保証業務に関する解説動画を作成いたしました。
 ポイントをまとめて解説しておりますので、ぜひご覧ください。


とのことです。

これは、良い取り組みですね。。。ビデオは3分です。

ちなみに、私は情報セキュリ大学院大学で保証業務について、セキュリティ・システム監査の講義の中で説明していますが、おそらく8時間くらいします。。。(3分の内容を。。。)

 

● [YouTube] 保証業務とは

502pxlogo_of_youtube_20152017svg

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.04.17 日本公認会計士協会 「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」」の公表とIT委員会実務指針第2号「Trustサービスに係る実務指針(中間報告)」 IT委員会実務指針第5号「ITに係る保証業務等の実務指針(一般指針)」等の廃止について

・2021.02.04 日本公認会計士協会 (JICPA) 保証業務実務指針「非パブリック型のブロックチェーンを活用した受託業務に係る内部統制の保証報告書に関する実務指針」(公開草案)の公表について

・2021.02.03 日本公認会計士協会 (JICPA) IT委員会研究資料第11号「WebTrustの保証報告書等の記載例」+Trustサービス関連の情報

・2020.12.26 日本公認会計士協会がTrust規準以外の情報セキュリティ監査ができるように基準を変えるようですよ(公開草案を公表しています

 

10年前。。。

・2011.05.29 日本公認会計士協会 パブコメ 監査・保証実務委員会実務指針『受託業務に係る内部統制の保証報告書』(中間報告)

・2011.02.06 NECのクラウドが、ISAE3402とSSAE16の監査を受けるようですね。。。

・2010.05.22 公認会計士協会 確定 IT委員会研究報告「情報セキュリティ検証業務」

・2010.04.01 公認会計士協会 パブコメ IT委員会研究報告「情報セキュリティ検証業務」

・2009.07.24 公認会計士協会 パブコメ IT委員会報告「ITに係る保証業務等の実務指針(一般指針)」

・2009.07.24 公認会計士協会 監査・保証実務委員会研究報告第20号「公認会計士等が行う保証業務等に関する研究報告」

・2009.03.27 KPMGあずさサステナビリティ株式会社(あずさ監査法人グループ)のCSR報告書に対する独立第三者の審査報告書

・2009.03.18 監査、ISMS認証、成熟度評価、要介護認定の異同ってなんだろう?

・2008.08.14 公認会計士協会 パブコメ 監査・保証実務委員会研究報告「公認会計士等が行う保証業務等に関する研究報告」

・2007.06.04 JASA 保証型監査概念フレームワーク

・2007.05.31 環境省&公認会計士協会 「CSR情報審査に関する研究報告」を公表

・2006.03.12 監査のクライテリア

・2006.03.11 日本の保証基準

・2005.10.24 環境報告書審査・登録制度が始まる

・2005.07.21 公認会計士協会 パブコメ 財務諸表監査以外の保証業務等に関する実務指針

 

| | Comments (0)

NIST SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング

こんにちは、丸山満彦です。

NISTが、SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリングを公表し、意見を募集していますね。。。

● NIST -ITL

・2022.06.07 SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems

SP 800-160 Vol. 1 Rev. 1 (Draft) Engineering Trustworthy Secure Systems SP 800-160 Vol.1 Rev.1(ドラフト)信頼性の高いセキュアなシステムのエンジニアリング
Announcement 発表内容
This final public draft offers significant content and design changes that include a renewed emphasis on the importance of systems engineering and viewing systems security engineering as a critical subdiscipline necessary to achieving trustworthy secure systems. This perspective treats security as an emergent property of a system. It requires a disciplined, rigorous engineering process to deliver the security capabilities necessary to protect stakeholders’ assets from loss while achieving mission and business success. この最終公開草案では、システム工学の重要性を改めて強調し、システムセキュリティ工学を信頼できる安全なシステムを実現するために必要な重要な下位分野と見なすなど、内容および設計に大きな変更を加えています。この観点では、セキュリティをシステムの創発的な特性として扱います。ミッションとビジネスを成功させながら、利害関係者の資産を損失から守るために必要なセキュリティ機能を提供するためには、規律正しく厳格なエンジニアリングプロセスが必要です。
Bringing security out of its traditional stovepipe and viewing it as an emergent system property helps to ensure that only authorized system behaviors and outcomes occur, much like the engineering processes that address safety, reliability, availability, and maintainability in building spacecraft, airplanes, and bridges. Treating security as a subdiscipline of systems engineering also facilitates making comprehensive trade space decisions as stakeholders continually address cost, schedule, and performance issues, as well as the uncertainties associated with system development efforts. セキュリティを従来の縦割り行政から脱却し、システムの創発的な特性として捉えることで、宇宙船、航空機、橋梁の建設において安全性、信頼性、可用性、保守性に取り組むエンジニアリングプロセスのように、許可されたシステムの動作と結果のみが発生することを保証することができます。また、セキュリティをシステム工学の一分野として扱うことで、利害関係者がコスト、スケジュール、性能の問題や、システム開発努力に伴う不確実性に絶えず対処する中で、包括的な貿易空間の決定を行うことが容易になります。
In particular, this final public draft: 特に、この最終公開草案では
Provides a renewed focus on the design principles and concepts for engineering trustworthy secure systems, distributing the content across several redesigned initial chapters 信頼性の高い安全なシステムを設計するための設計原理と概念に新たに焦点を当て、再設計されたいくつかの章に内容を分散させました。
Relocates the detailed system life cycle processes and security considerations to separate appendices for ease of use 詳細なシステムライフサイクルプロセスとセキュリティに関する考察を、使いやすいように別の附属書に移動しました。
Streamlines the design principles for trustworthy secure systems by eliminating two previous design principle categories 信頼できるセキュアなシステムのための設計原則を、従来の2つの設計原則を削除して簡素化しました。
Includes a new introduction to the system life cycle processes and describes key relationships among those processes システムライフサイクルプロセスを新たに導入し、これらのプロセス間の重要な関係を説明します
Clarifies key systems engineering and systems security engineering terminology 主要なシステム工学及びシステムセキュリティ工学の用語を明確化しました
Simplifies the structure of the system life cycle processes, activities, tasks, and references システムライフサイクルプロセス、アクティビティ、タスク、およびリファレンスの構造を簡素化しました
Provides additional references to international standards and technical guidance to better support the security aspects of the systems engineering process システムエンジニアリングプロセスのセキュリティ面をより良くサポートするために、国際規格や技術ガイダンスを追加参照できるようにしました。
NIST is interested in your feedback on the specific changes made to the publication during this update, including the organization and structure of the publication, the presentation of the material, its ease of use, and the applicability of the technical content to current or planned systems engineering initiatives. NISTは、本書の構成や構造、資料の表示、使いやすさ、現在または計画中のシステムエンジニアリングの取り組みへの技術的内容の適用性など、今回の更新で本書に加えられた特定の変更について、皆様のご意見をお待ちしています。
Abstract 概要
This publication provides a basis for establishing a discipline for systems security engineering (SSE) as part of systems engineering and does so in terms of its principles, concepts, activities, and tasks. The publication also demonstrates how those SSE principles, concepts, activities, and tasks can be effectively applied to systems engineering efforts to foster a common mindset to deliver security for any system, regardless of its purpose, type, scope, size, complexity, or stage of its system life cycle. Ultimately, the intent of the material is to advance the field of SSE as a discipline that can be applied and studied and to serve as a basis for the development of educational and training programs, including the development of professional certifications and other assessment criteria. 本書は、システムズエンジニアリングの一部として、システムセキュリティ工学(SSE)の分野を確立するための基礎を提供し、その原則、概念、活動、およびタスクの観点からそれを行うものです。また、SSEの原則、概念、活動、タスクをシステムズエンジニアリングの取り組みに効果的に適用することで、目的、種類、範囲、規模、複雑さ、システムライフサイクルの段階にかかわらず、あらゆるシステムのセキュリティを実現するための共通の考え方を醸成できることも示していました。最終的に、この資料の意図は、応用と研究が可能な学問としてのSSEの分野を発展させ、専門家認定やその他の評価基準の開発を含む教育・訓練プログラムの開発の基礎となることです。

 

・[PDF] SP 800-160 Vol. 1 Rev. 1 (Draft)

20220610-31721

 

目次...

CHAPTER ONE INTRODUCTION 第1章 はじめに
1.1 PURPOSE AND APPLICABILITY 1.1 目的と適用性
1.2 TARGET AUDIENCE 1.2 対象読者
1.3 HOW TO USE THIS PUBLICATION 1.3 この出版物の使用方法
1.4 ORGANIZATION OF THIS PUBLICATION 1.4 本書の構成
CHAPTER TWO SYSTEMS ENGINEERING OVERVIEW 第2章 システムズエンジニアリングの概要
2.1 SYSTEM CONCEPTS 2.1 システムの概念
2.2 SYSTEMS ENGINEERING FOUNDATIONS 2.2 システムズエンジニアリングの基礎
2.3 TRUST AND TRUSTWORTHINESS 2.3 信頼と信頼性
CHAPTER THREE SYSTEM SECURITY CONCEPTS 第3章 システムセキュリティの概念
3.1 THE CONCEPT OF SECURITY 3.1 セキュリティの概念
3.2 THE CONCEPT OF AN ADEQUATELY SECURE SYSTEM 3.2 十分に安全なシステムの概念
3.3 THE NATURE AND CHARACTER OF SYSTEMS 3.3 システムの性質と特徴
3.4 THE CONCEPT OF ASSETS 3.4 資産の概念
3.5 THE CONCEPTS OF LOSS AND LOSS CONTROL 3.5 損失と損失管理の概念
3.6 REASONING ABOUT ASSET LOSS 3.6 資産損失に関する推論
3.7 PROTECTION NEEDS 3.7 保護の必要性
3.8 SYSTEM SECURITY VIEWPOINTS 3.8 システムセキュリティの視点
3.9 DEMONSTRATING SYSTEM SECURITY 3.9 システムセキュリティの実証
3.10 SYSTEMS SECURITY ENGINEERING 3.10 システムセキュリティエンジニアリング
CHAPTER FOUR SYSTEM SECURITY ENGINEERING FRAMEWORK 第4章 システムセキュリティ工学の枠組み
4.1 THE PROBLEM CONTEXT 4.1 問題のコンテキスト
4.2 THE SOLUTION CONTEXT 4.2 解決策のコンテキスト
4.3 THE TRUSTWORTHINESS CONTEXT 4.3 信頼性のコンテキスト
REFERENCES 参考文献
APPENDIX A GLOSSARY 附属書A 用語集
APPENDIX B ACRONYMS 附属書B 頭字語
APPENDIX C SECURITY POLICY AND REQUIREMENTS 附属書C セキュリティポリシーと要件
C.1 SECURITY POLICY C.1 セキュリティポリシー
C.2 SECURITY REQUIREMENTS C.2 セキュリティ要件
C.3 DISTINGUISHING REQUIREMENTS, POLICY, AND MECHANISMS C.3 要求事項、ポリシー、及びメカニズムの区別
APPENDIX D TRUSTWORTHY SECURE DESIGN 附属書D 信頼できる安全な設計
D.1 DESIGN APPROACH FOR TRUSTWORTHY SYSTEMS D.1 信頼できるシステムのための設計アプローチ
D.2 DESIGN FOR BEHAVIORS AND OUTCOMES D.2 行動と結果のための設計
D.3 SECURITY DESIGN ORDER OF PRECEDENCE D.3 セキュリティ設計の優先順位
D.4 FUNCTIONAL DESIGN CONSIDERATIONS D.4 機能的設計の考慮事項
APPENDIX E PRINCIPLES FOR TRUSTWORTHY SECURE DESIGN 附属書E 信頼できる安全な設計のための原則
E.1 CLEAR ABSTRACTIONS E.1 明確な抽象化
E.2 COMMENSURATE RIGOR E.2 相応の厳密さ
E.3 COMMENSURATE TRUSTWORTHINESS E.3 相応の信頼性
E.4 COMPOSITIONAL TRUSTWORTHINESS E.4 構成的な信頼性
E.5 HIERARCHICAL PROTECTION E.5 階層的な保護
E.6 MINIMAL TRUSTED ELEMENTS E.6 最小限の信頼される要素
E.7 REDUCED COMPLEXITY E.7 複雑性の低減
E.8 SELF-RELIANT TRUSTWORTHINESS E.8 自立した信頼性
E.9 STRUCTURED DECOMPOSITION AND COMPOSITION E.9 構造化された分解と合成
E.10 SUBSTANTIATED TRUSTWORTHINESS E.10 実証された信頼性
E.11 TRUSTWORTHY SYSTEM CONTROL E.11 信頼されるシステム制御
E.12 ANOMALY DETECTION E.12 異常検知
E.13 COMMENSURATE PROTECTION E.13 相応の保護
E.14 COMMENSURATE RESPONSE E.14 相応の応答
E.15 CONTINUOUS PROTECTION E.15 継続的な保護
E.16 DEFENSE IN DEPTH E.16 深層部における防御
E.17 DISTRIBUTED PRIVILEGE E.17 分散型特権
E.18 DIVERSITY (DYNAMICITY) E.18 多様性(動的性)
E.19 DOMAIN SEPARATION E.19 ドメインの分離
E.20 LEAST FUNCTIONALITY E.20 最小限の機能性
E.21 LEAST PERSISTENCE E.21 最小の永続性
E.22 LEAST PRIVILEGE E.22 最小の特権
E.23 LEAST SHARING E.23 最小の共有
E.24 LOSS MARGINS E.24 損失マージン
E.25 MEDIATED ACCESS E.25 仲介されたアクセス
E.26 MINIMIZE DETECTABILITY E.26 検出可能性の最小化
E.27 PROTECTIVE DEFAULTS E.27 保護的デフォルト
E.28 PROTECTIVE FAILURE E.28 保護失敗
E.29 PROTECTIVE RECOVERY E.29 保護回復
E.30 REDUNDANCY E.30 冗長性
APPENDIX F TRUSTWORTHINESS AND ASSURANCE 附属書F 信頼性と保証
F.1 TRUST AND TRUSTWORTHINESS F.1 信頼及び信頼性
F.2 ASSURANCE F.2 保証
APPENDIX G SYSTEM LIFE CYCLE PROCESSES OVERVIEW 附属書G システムライフサイクルプロセスの概要
G.1 PROCESS OVERVIEW G.1 プロセスの概要
G.2 PROCESS RELATIONSHIPS G.2 プロセスの関係
APPENDIX H TECHNICAL PROCESSES 附属書H 技術的プロセス
H.1 BUSINESS OR MISSION ANALYSIS H.1 ビジネス又はミッションの分析
H.2 STAKEHOLDER NEEDS AND REQUIREMENTS DEFINITION H.2 ステークホルダーのニーズと要件の定義
H.3 SYSTEM REQUIREMENTS DEFINITION H.3 システム要件定義
H.4 SYSTEM ARCHITECTURE DEFINITION H.4 システムアーキテクチャの定義
H.5 DESIGN DEFINITION H.5 設計定義
H.6 SYSTEM ANALYSIS H.6システム分析
H.7 IMPLEMENTATION H.7.実装
H.8 INTEGRATION H.8 統合
H.9 VERIFICATION H.9 検証
H.10 TRANSITION H.10 移行
H.11 VALIDATION H.11 バリデーション
H.12 OPERATION H.12 運用
H.13 MAINTENANCE H.13 メンテナンス
H.14 DISPOSAL H.14 廃棄
APPENDIX I TECHNICAL MANAGEMENT PROCESSES 附属書 I 技術的管理プロセス
I.1 PROJECT PLANNING I.1 プロジェクトの計画
I.2 PROJECT ASSESSMENT AND CONTROL I.2 プロジェクトの評価と管理
I.3 DECISION MANAGEMENT I.3 意思決定管理
I.4 RISK MANAGEMENT I.4 リスクマネジメント
I.5 CONFIGURATION MANAGEMENT I.5 コンフィギュレーションマネジメント
I.6 INFORMATION MANAGEMENT I.6 情報管理
I.7 MEASUREMENT i.7 測定
I.8 QUALITY ASSURANCE I.8 品質保証
APPENDIX J ORGANIZATIONAL PROJECT-ENABLING PROCESSES 附属書J 組織的なプロジェクト実現プロセス
J.1 LIFE CYCLE MODEL MANAGEMENT J.1 ライフサイクルモデルの管理
J.2 INFRASTRUCTURE MANAGEMENT J.2 インフラストラクチャーマネジメント
J.3 PORTFOLIO MANAGEMENT J.3 ポートフォリオマネジメント
J.4 HUMAN RESOURCE MANAGEMENT J.4 ヒューマンリソースマネジメント
J.5 QUALITY MANAGEMENT J.5 品質マネジメント
J.6 KNOWLEDGE MANAGEMENT J.6 ナレッジマネジメント
APPENDIX K AGREEMENT PROCESSES 附属書K 契約プロセス
K.1 ACQUISITION K.1 購買
K.2 SUPPLY K.2 供給

 

FOREWORD  序文 
On May 12, 2021, the President signed an Executive Order (EO) on Improving the Nation’s  2021 年 5 月 12 日、大統領は国家のサイバーセキュリティの改善に関する大統領令(EO)[EO 14028]に署名しました。
Cybersecurity [EO 14028]. The Executive Order stated—  サイバーセキュリティ[EO 14028]に署名しました。大統領令は次のように述べていました。
“The United States faces persistent and increasingly sophisticated malicious cyber campaigns that threaten the public sector, the private sector, and ultimately the American people's security and privacy. The Federal Government must improve its efforts to identify, deter, protect against, detect, and respond to these actions and actors.”  「米国は、公共部門、民間部門、そして最終的には米国民の安全とプライバシーを脅かす、執拗でますます巧妙になる悪意のあるサイバーキャンペーンに直面していました。連邦政府は、こうした行動や行為者を特定し、抑止し、防御し、検知し、対応するための取り組みを改善しなければならない」 と述べていました。
The Executive Order further described the holistic nature of the cybersecurity challenges confronting the Nation with computing technology embedded in every type of system from general-purpose computing systems supporting businesses to cyber-physical systems controlling the operations in power plants that provide electricity to the American people. The Federal Government must bring to bear the full scope of its authorities and resources to protect and secure its computer systems, whether the systems are cloud-based, on-premises, or hybrid. The scope of protection and security must include systems that process data (information technology [IT]) and those that run the vital machinery that ensures our safety (operational technology [OT]).  大統領令はさらに、ビジネスを支える汎用コンピューティングシステムから、米国民に電力を供給する発電所の運転を制御するサイバーフィジカルシステムまで、あらゆる種類のシステムにコンピューティング技術が組み込まれており、国家が直面しているサイバーセキュリティの課題が全体的なものであることを説明しています。連邦政府は、システムがクラウドベース、オンプレミス、ハイブリッドのいずれであっても、コンピュータシステムの保護とセキュリティのために、その権限と資源をフルに活用しなければなりません。保護とセキュリティの範囲には、データを処理するシステム(情報技術[IT])と、私たちの安全を確保する重要な機械を動かすシステム(運用技術[OT])が含まれなければなりません。
In response to the EO, there is a need to:  大統領令に対応して、以下のことが必要です。
•       Identify stakeholder assets and protection needs   ・ステークホルダーの資産と保護ニーズの特定
•       Provide protection commensurate with the criticality of stakeholder assets, needs, and the consequences of asset loss, and correlated with the modern threat and adversary capability  ・利害関係者の資産と保護ニーズの重要性,ニーズ,資産喪失の結果に見合った保護を提供し,現代の脅威と敵対者の能力に相関させること
•       Develop scenarios and model the complexity of systems to provide a rigorous basis to reason about, manage, and address the uncertainty associated with that complexity  ・シナリオを作成し,システムの複雑性をモデル化することで,複雑性に伴う不確実性を推論し,管理し,対処するための厳密な基礎を提供すること
•       Adopt an engineering-based approach that addresses the principles of trustworthy secure design and apply those principles throughout the system life cycle  ・信頼できる安全な設計の原則に対応した工学ベースのアプローチを採用し,システムのライフサイクルを通じてその原則を適用すること。
Building trustworthy, secure systems cannot occur in a vacuum with stovepipes for cyberspace, software, hardware, and information technology. Rather, it requires a transdisciplinary approach to protection, a determination across all assets where loss could occur, and an understanding of adversity, including how adversaries attack and compromise systems. As such, this publication addresses considerations for the engineering-driven actions necessary to develop defensible and survivable systems, including the components that compose and the services that depend on those systems. The overall objective is to address security issues from a stakeholder requirements and protection needs perspective and to use established engineering processes to ensure that such requirements and needs are addressed with appropriate fidelity and rigor across the entire life cycle of the system.  信頼できる安全なシステムの構築は、サイバースペース、ソフトウェア、ハードウェア、情報技術の縦割り行政では実現できない。むしろ、保護に対する学際的なアプローチ、損失が発生する可能性のあるすべての資産に対する判断、敵対者がどのようにシステムを攻撃し侵害するかを含む敵対性に対する理解が必要です。そのため、本書では、システムを構成するコンポーネントやシステムに依存するサービスを含め、防御可能かつ生存可能なシステムを開発するために必要な工学的な措置に関する考察を取り上げる。全体的な目的は、利害関係者の要求と保護ニーズの観点からセキュリティ問題を取り上げ、確立された工学プロセスを用いて、システムのライフサイクル全体にわたって、そのような要求とニーズが適切な忠実度と厳密さで対処されることを確実にすることです。
Engineering trustworthy, secure systems is a significant undertaking that requires a substantial investment in the requirements, architecture, and design of systems, components, applications, and networks. A trustworthy system is a system that provides compelling evidence to support claims that it meets its requirements to deliver the protection and performance needed by stakeholders. Introducing a disciplined, structured, and standards-based set of systems security engineering activities and tasks provides an important starting point and forcing function to initiate needed change.  信頼できる安全なシステムを設計することは、システム、コンポーネント、アプリケーション、およびネットワークの要件、アーキテクチャ、および設計に相当な投資を必要とする重要な事業です。信頼できるシステムとは、利害関係者が必要とする保護と性能を提供するために、その要件を満たしているという主張を裏付ける説得力のある証拠を提供するシステムです。規律正しく、構造化され、標準に基づいたシステムセキュリティ工学の活動やタスクを導入することは、必要な変化を起こすための重要な出発点と強制力を提供するものです。

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.21 NIST SP 800-160 Vol.1 Rev.1 (ドラフト) 信頼性の高いセキュアなシステムの構築 at 2022.01.11

・2021.08.07 SP 800-160 Vol. 2 Rev. 1 (Draft) サイバーレジリエントなシステムの開発:システムセキュリティ・エンジニアリング・アプローチ

 

 

| | Comments (0)

2022.06.09

新しい資本主義のグランドデザイン及び実行計画 経済財政運営と改革の基本方針2022

こんにちは、丸山満彦です。

政府の新しい資本主義のグランドデザイン及び実行計画、経済財政運営と改革の基本方針2022が閣議決定 (2022.06.07) しましたね。。。

理系で会計士なので、経済、法律、会計、ファイナンス、管理、科学分野について浅く学んできたので、こういうものを読むときは助かります。。。が、やはり知識が浅いということはわかるので、、、全体の深い理解は難しいですね。。。

 

内閣府 -内閣府の政策 - 経済財政政策 - 経済財政諮問会議 - 令和4年 会議情報一覧

・2022.06.07 第8回会議資料

 

20220609-54411

本質ではないですが、この色使いのセンス(バリアフリーと美しさ両面で)...

 

・[PDF] 新しい資本主義のグランドデザイン及び実行計画

20220609-54835

 

で気になった部分

議論に出発点が、

P1「新自由主義」と呼ばれる考え方が台頭し、グローバル化が進展することで経済は活力を取り戻し、世界経済が大きく成長した。

なんですが、日本って、これに乗り遅れた国じゃないですか、、、

でも、

P1 経済的格差の拡大、気候変動問題の深刻化、過度な海外依存による経済安全保障リスクの増大、人口集中による都市問題の顕在化、市場の失敗等による多くの弊害も生んだ。

というのはある程度、そうかなと思います。(「気候変動問題」は、どのくらい科学的に確かめられているのかちょっと分からない面がありますし、「過度な海外依存」という場合、普遍的に適正な海外依存というのはあり得るのかというところも分かりません)

P1 実際、権威主義的国家資本主義とも呼べる体制を採用する国は、自由経済のルールを無視した、不公正な経済活動等を進めることで、急速な経済成長をなしとげ、国際政治における影響力を拡大してきた。自由と民主主義は、権威主義的国家資本主義からの挑戦にさらされている。

という現状を説明しているわけですが、経済成長に成功した「権威主義的国家資本主義」対ちょっと最近停滞気味?の「自由、民主主義の資本主義」という構造なんですかね。。。

民主主義の国は、独裁?主義の国に経済競争で勝っていかないといけないということなのでしょうかね。。。

で、論理上の本質的な話は、

P1 、新しい資本主義においては、市場だけでは解決できない、いわゆる外部性の大きい社会的課題について、「市場も国家も」、すなわち新たな官民連携によって、その解決を目指していく。

ということで、「外部性の大きい社会的課題」を「官民連携」して解決していくというが目的ということなのでしょうね。。。その先の世界は

P2 一人ひとりの国民の持続的な幸福を実現

ということなのでしょうね。。。

サイバーセキュリティも外部性の大きな社会的課題の一つと思いますので、サイバーセキュリティも新たな官民連携で解決ですかね。。。

 

目次...

はじめに

Ⅰ.資本主義のバージョンアップに向けて
1.市場の失敗の是正と普遍的価値の擁護
2.「市場も国家も」による課題解決と新たな市場・成長、国民の持続的な幸福実現
3.経済安全保障の徹底

Ⅱ.新しい資本主義を実現する上での考え方
1.分配の目詰まりを解消し、更なる成長を実現
2.技術革新に併せた官民連携で成長力を確保
3.民間も公的役割を担う社会を実現

Ⅲ.新しい資本主義に向けた計画的な重点投資
1.人への投資と分配
(1)賃金引上げの推進
(2)スキルアップを通じた労働移動の円滑化
(3)貯蓄から投資のための「資産所得倍増プラン」の策定
(4)子供・現役世代・高齢者まで幅広い世代の活躍を応援
(5)多様性の尊重と選択の柔軟性
(6)人的資本等の非財務情報の株式市場への開示強化と指針整備

2.科学技術・イノベーションへの重点的投資
(1)量子技術
(2)AI実装
(3)バイオものづくり
(4)再生・細胞医療・遺伝子治療等
(5)大学教育改革
(6)2025年大阪・関西万博

3.スタートアップの起業加速及びオープンイノベーションの推進
(1)スタートアップ育成5か年計画の策定
(2)付加価値創造とオープンイノベーション

4.GX(グリーン・トランスフォーメーション)及びDX(デジタル・トランスフォーメーション)への投資
(1)GXへの投資
(2)DXへの投資

Ⅳ.社会的課題を解決する経済社会システムの構築
1.民間で公的役割を担う新たな法人形態・既存の法人形態の改革の検討
2.競争当局のアドボカシー(唱導)機能の強化
3.寄付文化やベンチャー・フィランソロフィーの促進など社会的起業家への支援強化
4.インパクト投資の推進
5.孤独・孤立など社会的課題を解決するNPO等への支援
6.コンセッション(PPP/PFIを含む)の強化

Ⅴ.経済社会の多極集中化
1.デジタル田園都市国家構想の推進
(1)デジタル田園都市国家の実現に向けた基盤整備
(2)デジタル田園都市国家を支える農林水産業、観光産業、教育の推進
(3)デジタル田園都市国家構想の前提となる安心の確保

2.一極集中管理の仮想空間から多極化された仮想空間へ
(1)インターネットにおける新たな信頼の枠組みの構築
(2)ブロックチェーン技術を基盤とするNFT(非代替性トークン)の利用等のWeb3.0の推進に向けた環境整備
(3)メタバースも含めたコンテンツの利用拡大
(4)Fintechの推進

3.企業の海外ビジネス投資の促進

Ⅵ.個別分野の取組
1.国際環境の変化への対応
(1)経済安全保障の強化
(2)対外経済連携の促進

2.宇宙
3.海洋
4.金融市場の整備
(1)四半期決算短信
(2)国際金融センターの実現とアセットマネージャーの育成
(3)銀行の業務範囲及び銀証ファイアウォール規制の見直し
(4)金融機関の取組を通じた貯蓄から投資の促進
(5)事業性融資への本格的かつ大胆な転換

5.グローバルヘルス(国際保健)
6.文化芸術・スポーツの振興
7.福島をはじめ東北における新たな産業の創出

Ⅶ.新しい資本主義実現に向けた枠組み
1.工程表の策定とフォローアップ
2.官と民の連携
3.経済財政運営の枠組み


 

テクノロジー関連の言葉が並んでいますが、進めてから見直しもあり得るという感じが良いでしょうね。。。状況は変わるでしょうし。。。

デジタル人材も育成する話がありますが、毎度毎度ですね。。。

 

最後に工程表の話もあり、PDCAで見直すと書いていますので、適正な運用が行われることが期待されますね。。。(できれば、会計検査院もきっちりと監査をし、できたことにした、とかうやむやにしたとかにならないようにしてほしいですね。。。内容を時代に合わせて若干変えるのはアリでしょうし。。。)

ぼちぼち、読んでおきます。。。

 

・[PDF] 経済財政運営と改革の基本方針2022

20220609-93507

第1章 我が国を取り巻く環境変化と日本経済
1. 国際情勢の変化と社会課題の解決に向けて
2. 短期と中長期の経済財政運営
(1)コロナ禍からの回復とウクライナ情勢の下でのマクロ経済運営
(2)中長期の経済財政運営

第2章 新しい資本主義に向けた改革
1.新しい資本主義に向けた重点投資分野
(1)人への投資と分配
(2)科学技術・イノベーションへの投資
(3)スタートアップ(新規創業)への投資
(4)グリーントランスフォーメーション(GX)への投資
(5)デジタルトランスフォーメーション(DX)への投資

2.社会課題の解決に向けた取組
(1)民間による社会的価値の創造
(2)包摂社会の実現
(3)多極化・地域活性化の推進
(4)経済安全保障の徹底

第3章 内外の環境変化への対応
1. 国際環境の変化への対応
(1)外交・安全保障の強化
(2)経済安全保障の強化
(3)エネルギー安全保障の強化
(4)食料安全保障の強化と農林水産業の持続可能な成長の推進
(5)対外経済連携の促進

2. 防災・減災、国土強靱化の推進、東日本大震災等からの復興
3. 国民生活の安全・安心

第4章 中長期の経済財政運営
1. 中長期の視点に立った持続可能な経済財政運営
2. 持続可能な社会保障制度の構築
3. 生産性を高め経済社会を支える社会資本整備
4. 国と地方の新たな役割分担
5. 経済社会の活力を支える教育・研究活動の推進

第5章 当面の経済財政運営と令和5年度予算編成に向けた考え方
1. 当面の経済財政運営について
2. 令和5年度予算編成に向けた考え方

 




経団連

・2022.06.07 会長コメント/スピーチ 会長コメント「新しい資本主義のグランドデザイン及び実行計画」・「骨太方針2022」に関する十倉会長コメント

 同日のコメントなので、事前に原稿は作っていたのでしょうね。。。まぁ、当然でしょうが。。。(という意味では官民連携ですかね。。。)

 


 

 

 

 

 

| | Comments (0)

2022.06.08

NATO CCDCOE 武力紛争時のプライバシーとデータ保護の権利

こんにちは、丸山満彦です。

NATO CCDCOEが、武力紛争時のプライバシーとデータ保護の権利についての論文集を公表していますね。。。15の論文が掲載されていて、PDFで333ページあります。。。

NATO CCDCOE

・2022 The Rights to Privacy and Data Protection in Times of Armed Conflict

The Rights to Privacy and Data Protection in Times of Armed Conflict 武力紛争時におけるプライバシーおよびデータ保護への権利
Contemporary warfare yields a profound impact on the rights to privacy and data protection. Technological advances in the fields of electronic surveillance, predictive algorithms, big data analytics, user-generated evidence, artificial intelligence, cloud storage, facial recognition, and cryptography are redefining the scope, nature, and contours of military operations. Yet, international humanitarian law offers very few, if any, lex specialis rules for the lawful processing, analysis, dissemination, and retention of personal information. This edited anthology offers a pioneering account of the current and potential future application of digital rights in armed conflict. 現代の戦争は、プライバシーとデータ保護に対する権利に大きな影響を与える。電子的監視、予測アルゴリズム、ビッグデータ解析、ユーザー作成証拠、人工知能、クラウドストレージ、顔認識、暗号の分野における技術の進歩は、軍事行動の範囲、性質、および輪郭を再定義している。しかし、国際人道法は、個人情報の合法的な処理、分析、普及、保持に関するlex specialis規則をほとんど提供していない。この編集された論文集は、武力紛争におけるデジタルの権利の現在および将来の適用可能性について、先駆的な説明を提供するものである。
In Part I Mary Ellen O’Connell, Tal Mimran and Yuval Shany, Laurie Blank and Eric Talbot Jensen, Jacqueline Van De Velde, Omar Yousef Shehabi and Emily Crawford explore how various IHL regimes, ranging from the rules regarding the protection of property to these regulating the treatment of POWs,  protect the rights to digital privacy and data protection. 第Ⅰ部では、Mary Ellen O'Connell、Tal Mimran and Yuval Shany、Laurie Blank and Eric Talbot Jensen、Jacqueline Van De Velde、Omar Yousef Shehabi and Emily Crawfordが、財産保護に関する規則から捕虜の扱いを規制する規則まで様々なIHL体制が、いかにデジタルプライバシーとデータ保護に対する権利を保護しているかを探っている。
Part II, which contains contributions by Leah West, Eliza Watt and Tara Davenport, and concentrates on the extent to which specific technological tools and solutions, such as facial recognition, drone surveillance and underwater cables. 第Ⅱ部は、Leah West、Eliza Watt、Tara Davenportによる寄稿で、顔認識、ドローン監視、水中ケーブルなどの特定の技術的ツールやソリューションが、どの程度まで保護されているかについて集中している。
Part III of this collection examines the obligations of militaries and humanitarian organizations when it comes to the protection of digital rights. Tim Cochrane focuses on military data subject access rights, Deborah Housen-Couriel explores data protection in multinational military operations, and Asaf Lubin expounds the role of ICRC as a data controller in the context of humanitarian action. 第III部では、デジタルな権利の保護に関して、軍隊と人道支援組織の義務について検証している。Tim Cochraneは軍事データへのアクセス権に注目し、Deborah Housen-Courielは多国籍軍事作戦におけるデータ保護を探求し、Asaf Lubinは人道的行動の文脈におけるデータ管理者としてICRCの役割を解説している。
In Part IV Kristina Hellwig, Yaël Ronen and Amir Cahane focus on digital rights in the post bellum phase. This part takes a closer look at the role of the right to privacy in the investigation and prosecution of international crimes, the ‘right to be forgotten’ in cases concerning information about international crimes and the protection of the digital identities of individuals caught up in humanitarian disasters. 第IV部では、Kristina Hellwig、Yaël Ronen、Amir Cahane が、ポスト・ベラム段階におけるデジタルな権利に焦点を当てている。このパートでは、国際犯罪の捜査と訴追におけるプライバシーの権利の役割、国際犯罪に関する情報に関するケースでの「忘れられる権利」、人道的災害に巻き込まれた個人のデジタル・アイデンティティの保護について詳しく見ている。
The anthology is edited by Dr Asaf Lubin and Dr Russell Buchan, the research project is led by Ms Ann Väljataga from CCDCOE’s law branch. この論文集は、Dr Asaf LubinとDr Russell Buchanが編集し、研究プロジェクトはCCDCOEの法律部門のMs Ann Väljatagaが主導している。

 

・[PDF] The Rights to Privacy and Data Protection in Times of Armed Conflict




 

序文

FOREWORD 序文
For more than a decade, the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) has been analyzing cyberwar while wishing for cyber peace. That wish has been granted: what we have may be tumultuous, tense, and fragile, but it is peaceful. At least peaceful in the sense of existing below the threshold of conflict and violence. Consequently, non-war realities form the context for a vast share of our legal research. While, for instance, the first Tallinn Manual was a book about war, Peacetime Regime for State Activities in Cyberspace and Tallinn Manual 2.0, two later publications, sought to explore the uneasy kind of peace we are currently experiencing. This edited volume examines the rights to digital privacy and data protection in times of armed conflict while also offering a broader perspective on the fundamental differences between war- and peacetime thinking about cyber security and privacy. In doing so, it critically dissects how the rules of war and peace shape the ways our digital data is collected and utilized. NATO Cooperative Cyber Defence Centre of Excellence(CCDCOE)は、10年以上にわたり、サイバー戦争について分析し、サイバー平和を願い続けてきました。その願いは叶えられました。今あるものは、騒々しく、緊迫し、壊れやすいかもしれないが、平和です。少なくとも、紛争や暴力の閾値の下に存在するという意味では、平和的です。その結果、私たちの法的研究の大部分は、戦争以外の現実を背景にしています。例えば、最初の「タリン・マニュアル」は戦争に関する本でしたが、その後出版された「サイバースペースにおける国家活動の平時体制」と「タリン・マニュアル2.0」は、我々が現在経験している不安な種類の平和を探求するものでした。本編では、武力紛争時のデジタル・プライバシーとデータ保護に関する権利を検証すると同時に、サイバー・セキュリティとプライバシーに関する戦争時と平時の考え方の根本的な違いについて、より広い視野から考察しています。そうすることで、戦争と平和のルールが、私たちのデジタルデータの収集と活用の方法をどのように形成しているかを批判的に解き明かしているのです。
Legal writing on the relationship between international human rights law (IHRL) and international humanitarian law (IHL) has focused mainly on the rights that are closer to the kinetic theatre of war and thus also to the core of IHL. Even though the majority of States and experts take the view that both IHRL and IHL apply to cyber activities in relation to an armed conflict, the unsettled interplay between the two has rarely been elucidated further. Despite the militaries’ increasing dependency on data, digital human rights are still, often reflexively, considered a peacetime legal concern. It is tacitly assumed that, should war break out, there would be more specific norms to rely on. Yet in fact, when it comes to the right to privacy, IHL is surprisingly silent. This silence cannot be deliberate, unless, of course, the laws of war were drafted by technological visionaries who foresaw the risks and opportunities that personal data could one day entail in terms of intelligence, weaponry, or human dignity. Therefore, building on the assumption that IHRL plays a key role in protecting our informational privacy before, during, and after an armed conflict, the essays in this anthology delve a great deal deeper into the realistic remits of privacy and data protection in a military context. 国際人権法(IHRL)と国際人道法(IHL)の関係に関する法律論文は、主に戦場に近い権利、したがってIHLの中核に近い権利に焦点を当ててきました。大多数の国や専門家は、武力紛争に関連するサイバー活動にはIHRLとIHLの両方が適用されるという見解を持っていますが、両者の間の未解決の相互作用がさらに解明されることはほとんどありませんでした。軍隊がデータへの依存度を高めているにもかかわらず、デジタル人権は未だに、しばしば反射的に、平時の法的関心事であると考えられています。戦争が勃発すれば、より具体的な規範に依拠することになると暗黙のうちに想定されているのです。しかし、実際、プライバシーの権利に関しては、国際人道法は驚くほど沈黙しています。この沈黙は意図的なものではありえません。もちろん、個人データがいつか諜報活動、兵器、あるいは人間の尊厳の面でもたらすリスクと機会を予見した技術的先見者によって戦争法が起草されたのであれば、話は別です。したがって、IHRLが武力紛争の前、中、後において、我々の情報的プライバシーを保護する上で重要な役割を果たすという前提のもと、この論文集に収められた論文は、軍事的文脈におけるプライバシーとデータ保護の現実的な範囲について大いに掘り下げたものです。
The editors and authors have elegantly united two clashing discourses—that of the critical necessities of conflict and that of the peace and freedom people seek in their daily lives. Naturally, implementing the ideas expressed here might create short-term practical and procedural obstacles in planning or executing military (cyber) operations. That would call for a sobering reassessment of how much personal data is actually needed for any given military activity, be it the biometric identification of prisoners of war or protected persons, the development of AI-based cyber weapons, the preservation of evidence for postwar investigations, or the storage of records held by international criminal tribunals. Furthermore, hard questions must be asked, such as where the data comes from and whether it actually provides any national security or military advantages. But these contemplations are essential for a just and efficient military decision-making that can keep pace with its technological environment.The discussions in the book are as relevant to the complex balancing act between civilian normality and military necessity as they are to data-processing practices within the military community. At their heart is a concern that people should be able to lead dignified lives that are not reducible to mere behavioral statistics and involve a few secrets. A study into the means to protect such lives from arbitrary violations can only advance our ability to understand both conflict and peace against their current technological backdrop and therefore makes for a truly valuable addition to CCDCOE’s work. 編集者と著者は、紛争に不可欠なものと、人々が日常生活で求める平和と自由という、2つの衝突する言説を見事に統合しています。当然ながら、ここで述べられている考えを実行に移すと、軍事(サイバー)作戦の計画や実行において短期的には実用的・手続き的な障害が生じるかもしれません。その場合、捕虜や被保護者の生体認証、AIを使ったサイバー兵器の開発、戦後調査のための証拠保全、国際刑事裁判の記録の保管など、どのような軍事活動にも実際にどれだけの個人データが必要なのか、冷静な再評価が必要になります。さらに、そのデータがどこから来たのか、実際に国家安全保障や軍事的な利点をもたらすのか、といった難しい問題も問われなければなりません。しかし、こうした熟考は、技術環境に対応できる公正で効率的な軍の意思決定には不可欠です。本書の議論は、軍部内のデータ処理実務と同様に、民間の正常性と軍の必要性の間の複雑なバランス行為に関連するものです。その根底にあるのは、人々が単なる行動統計に還元されることのない、いくつかの秘密を含んだ尊厳ある生活を送ることができるべきだという懸念です。このような生活を恣意的な侵害から守るための手段を研究することは、現在の技術を背景とした紛争と平和の両方を理解する我々の能力を前進させるだけであり、したがってCCDCOEの業務に真に付加価値を与えるものです。
Ann Väljataga Ann Väljataga
International law researcher 国際法研究者
Lead of the Privacy in Conflict research project 紛争時のプライバシー研究プロジェクトリーダー
CCDCOE CCDCOE

 

目次です。。。

Table of Contents 目次
Foreword  序文 
Authors and Editors  著者と編集者 
Abbreviations  略歴 
Acknowledgements  謝辞 
Introduction : Russell Buchan and Asaf Lubin はじめに: Russell Buchan and Asaf Lubin
DIGITAL RIGHTS IN IHL REGIMES 第I部:IHL体制におけるデジタルな権利
Chapter 1 Data Privacy Rights: The Same in War and Peace : Mary Ellen O’Connell 第1章 データ・プライバシー権:戦争中も平和下も変わらない : Mary Ellen O’Connell
Chapter 2 Integrating Privacy Concerns in the Development and Introduction of New Military or Dual-Use Technologies : Tal Mimran and Yuval Shany  第2章 新しい軍事技術や軍民二重利用技術の開発と導入におけるプライバシーへの配慮の統合 : Tal Mimran and Yuval Shany
Chapter 3 LOAC and the Protection and Use of Digital Property in Armed Conflict : Laurie R. Blank and Eric Talbot Jensen 第3章 LOACと武力紛争におけるデジタル資産の保護と使用 : Laurie R. Blank and Eric Talbot Jensen
Chapter 4 From Telegraphs to Terabytes: The Implications of the Law of Neutrality for Data Protection by “Third” States and the Corporations Within Them : Jacqueline Van De Velde  第4章 電信からテラバイトへ:第三国とその中の企業によるデータ保護に対する中立法の影響:Jacqueline Van De Velde
Chapter 5 Emerging Technologies, Digital Privacy, and Data Protection in Military Occupation : Omar Yousef Shehabi 第5章 軍事占領下における新技術、デジタルプライバシー、データ保護: Omar Yousef Shehabi
Chapter 6 The Right to Privacy and the Protection of Data for Prisoners of War in Armed Conflict : Emily Crawford  第6章 武力紛争における捕虜のプライバシー権とデータ保護 : Emily Crawford 
DIGITAL RIGHTS AND SURVEILLANCE TECHNOLOGIES  第II部 デジタルな権利と監視技術 
Chapter 7 Face Value: Precaution versus Privacy in Armed Conflict : Leah West 第7章 フェイスバリュー 武力紛争における予防とプライバシー : Leah West
Chapter 8 The Principle of Constant Care, Prolonged Drone Surveillance and the Right to Privacy of Non-Combatants in Armed Conflicts : Eliza Watt 第8章 常時注意の原則、ドローン監視の長期化、武力紛争における非戦闘員のプライバシー権 : Eliza Watt
Chapter 9 The Use of Cable Infrastructure for Intelligence Collection During Armed Conflict: Legality and Limits : Tara Davenport 第9章 武力紛争時の情報収集のためのケーブル・インフラ利用:合法性と限界 : Tara Davenport
DIGITAL RIGHTS AND THE OBLIGATIONS OF MILITARIES AND HUMANITARIAN ORGANIZATIONS  第Ⅲ部 デジタルな権利と軍隊・人道支援組織の義務 
Chapter 10 Military Subject Access Rights: A Comparative and International Perspective: Tim Cochrane 第10章 軍事的主題へのアクセス権:比較と国際的な視点: Tim Cochrane
Chapter 11 Managing Data Privacy Rights in Multilateral Coalition Operations’ Information Sharing Platforms: A “Legal Interoperability” Approach : Deborah A. Housen-Couriel 第11章 多国間連合作戦の情報共有プラットフォームにおけるデータプライバシー権の管理:「法的相互運用性」のアプローチ:Deborah A. Housen-Couriel
Chapter 12 Data Protection as an International Legal Obligation for International Organizations: The ICRC as a Case Study : Asaf Lubin 第12章 国際機関の国際的な法的義務としてのデータ保護:ICRCをケーススタディとして : Asaf Lubin
POST BELLUM 第Ⅳ部 ポスト・ベラム
Chapter 13 The Investigation of Grave Crimes: Digital Evidence, the Right to Privacy, and International Criminal Procedure : Kristina Hellwig 第13章 重大犯罪の捜査:デジタル証拠、プライバシー権、国際刑事訴訟法 : Kristina Hellwig
Chapter 14 The “Right to be Forgotten” and International Crimes : Yaël Ronen 第14章 「忘れられる権利」と国際犯罪 : Yaël Ronen
Chapter 15 The Right Not to Forget: Cloud-Based Service Moratoriums in War Zones and Data Portability Rights : Amir Cahane 第15章 忘れない権利:紛争地域におけるクラウドベースのサービスモラトリアムとデータポータビリティ権:Amir Cahane

 

興味深い内容ですが、まだ読めていません。。。

 

はじめに(導入)の部分

Introduction : Russell Buchan and Asaf Lubin はじめに: Russell Buchan and Asaf Lubin
As we are writing this introduction war is raging in Europe. Russian aggression[1] against Ukraine has already led to the death or injury of thousands of soldiers and civilians. Whole Ukrainian cities are under siege and subject to heavy shelling as corridors of humanitarian relief are formed to support millions of Ukrainians as they flee west in search of refuge. The images of devastation and destruction coming out of Ukraine are a chilling reminder of some of humanity’s most savage tendencies. These images trigger historical trauma from wars in the European continent’s past. But at least in some respects, the 2022 Russian invasion into Ukraine represents the future of warfare. 私たちがこの序文を書いているとき、ヨーロッパでは戦争が激化している。ロシアのウクライナに対する攻撃[1]によって、すでに何千人もの兵士と民間人が死傷している。ウクライナの都市全体が包囲され、激しい砲撃にさらされている。避難先を求めて西に逃れた何百万人ものウクライナ人を支援するために、人道支援回廊が形成されつつある。ウクライナから発信される荒廃と破壊の映像は、人類の最も残忍な傾向を思い起こさせるものである。これらの映像は、ヨーロッパ大陸の過去の戦争による歴史的トラウマを呼び起こす。しかし、少なくともいくつかの点で、2022年のロシアのウクライナへの侵攻は、戦争の未来を象徴している。
The formation of a global cyber militia to support the war efforts of Ukraine by conducting cyber attacks against Russian targets offers one example of that future.[2] Another one is represented by the role that citizens are playing in the real-time documentation of war crimes using their smartphones. This type of “user-generated evidence” is dramatically changing the face of international criminal investigations and prosecutions.[3]  ロシアの標的に対してサイバー攻撃を行うことでウクライナの戦争努力を支援するグローバルなサイバー民兵の形成は、その未来の一例を示している[2]。 もう一つは、スマートフォンを使って戦争犯罪をリアルタイムで記録する際に市民が果たす役割に代表されるものである。このような「ユーザーが作成した証拠」は、国際的な犯罪捜査と訴追の様相を劇的に変えつつある[3]。
The conflict is also a propaganda war with both States trying to develop and disseminate a narrative by controlling the flow of information in and out of the region. As more and more social media giants pull out of Russia and as Russian authorities continue to censor speech, a new “digital barricade between the country and the West” is forming, “erasing the last remnants of independent information online.”[4] Meanwhile, in Ukraine news conferences where captured Russian POWs are paraded “to counter the Kremlin’s propaganda” have become a routine.[5] These conferences join other “gory videos” shared by Ukraine’s Ministry of Internal Affairs on TikTok, Twitter, and YouTube “purporting to show dead bodies of Russian soldiers.”[6] この紛争はまた、地域内外の情報の流れをコントロールすることによって物語を発展させ広めようとする両国のプロパガンダ戦争でもある。より多くのソーシャルメディア大手がロシアから撤退し、ロシア当局が言論検閲を続ける中、新たな「国と西側との間のデジタルバリケード」が形成され、「オンライン上の独立情報の最後の残骸が消去されつつある」[4]。 「一方、ウクライナでは、「クレムリンのプロパガンダに対抗するために」捕虜となったロシア兵がパレードする記者会見が日常化している[5]。 これらの会見は、ウクライナ内務省がTikTok、Twitter、YouTubeで共有する「ロシア兵の死体を映したとする痛ましい動画」[6]に加わっている。
So while we have not yet seen a full-fledged cyber war break out in Ukraine, as some had initially anticipated,[7] these anecdotal examples do tell an evolving story about the informationalization, digitization, and datafication of warfare. In fact, Ukraine only serves as the dress rehearsal for what is to come in this regard. Already now the U.S. Department of Defence (DoD) has a “formal objective to treat data as a strategic asset,” and to consider its collection and deployment for warfighting efforts as “the currency of future warfare.”[8] The DoD thus recognizes that “it is in a high stakes race to harness the power of data and is actively working on creating a culture of data-centric decision-making.”[9] These tendencies are only likely to increase with the incorporation of machine learning and artificial intelligence applications into greater parts of the military apparatus.[10] したがって、当初予想されていたような本格的なサイバー戦争がウクライナで勃発したわけではないが[7]、これらの逸話は、戦争の情報化、デジタル化、データ化に関する進化したストーリーを物語っている。実際、ウクライナはこの点に関して今後起こるであろうことの予行演習の役割を果たすにすぎない。すでに現在、米国国防総省(DoD)は「データを戦略的資産として扱い、その収集と戦力化のための展開を「将来の戦争の通貨」と見なす正式な目的」を持っている[8]。したがってDoDは、「データの力を利用するために高い賭けの競争に入っており、データ中心の意思決定の文化を作り出すために活発に活動している」ことを認識している。
But as Omri Ben-Shahar once said, “[t]he digital economy creates digital smog,”[11] in the sense that “[e]missions of data are like emissions of other pollutants; the costs are often external, degrading social interests.”[12] In the context of military operations in war, that social interest being degraded might very well be our collective strive to protect the lives, the physical and mental health, and the human dignity of individuals. Consider again the digital iron curtain being erected in Russia or the collection of user-generated evidence across cities and towns in Ukraine. What is at stake in both instances are a set of digital rights — informational privacy and data protection, anonymity, encryption, internet access, freedom of online expression, freedom from online censorship, access to information, internet security, and cyber security. If we do not act soon, we might grow to regret our failure to appreciate the magnitude of the potential externalities that certain data-driven wartime practices have on this list of digital rights. Put differently, the trend towards treating data as a strategic asset in war might stand in direct opposition to a decades-long humanitarian campaign to minimize human suffering and protect persons affected by armed conflict.  しかし、Omri Ben-Shaharがかつて言ったように、「データのミッションは他の汚染物質の排出のようなものであり、そのコストはしばしば外部であり、社会的利益を低下させる」[12]という意味において「デジタル経済はデジタルスモッグを作り出す」[11]。戦争における軍事行動の文脈では、低下する社会的便益は、個人の生命、身体と精神の健康、そして人間の尊厳を守るための我々の集団努力かもしれません。ロシアで建設中のデジタルの鉄のカーテンや、ウクライナの市や町でのユーザー作成の証拠収集についてもう一度考えてみよう。どちらの場合も、情報プライバシーとデータ保護、匿名性、暗号化、インターネットアクセス、オンライン表現の自由、オンライン検閲からの自由、情報へのアクセス、インターネットセキュリティ、サイバーセキュリティといった一連のデジタル著作権が危機に瀕している。もし私たちがすぐに行動を起こさないなら、ある種のデータ主導の戦時中の慣行がこのデジタル権のリストに及ぼす潜在的な外部性の大きさを評価しなかったことを後悔するようになるかもしれません。別の言い方をすれば、データを戦争における戦略的資産として扱う傾向は、人間の苦しみを最小限に抑え、武力紛争の影響を受ける人々を保護するという数十年にわたる人道的キャンペーンに真っ向から対立することになるかもしれません。
Troublingly, the 1949 Geneva Conventions and 1977 Additional Protocols, the bedrock of contemporary treatises of international humanitarian law (IHL), offer very little guidance as to the protection of digital rights during war. We certainly have the Martens Clause, which the International Court of Justice once described as “an effective means of addressing the rapid evolution of military technology.”[13] But the general commitment to “the laws of humanity and the requirements of the public conscience” is a poor substitute for tailored rules, standards, and analytical frameworks that could be responsive to the tectonic technological shifts generated by a growing military datasphere.  厄介なことに、現代の国際人道法(IHL)の基礎となる 1949 年ジュネーブ条約と 1977 年追加議定書は、戦争中のデジタル著作権の保護についてほとんど指針を与えていない。確かに、国際司法裁判所がかつて「軍事技術の急速な進化に対処する効果的な手段」と評したマルテンス条項がある[13]が、「人道の法則と公衆良心の要求」に対する一般的な約束は、軍事データ領域の拡大によって生じる地殻変動に対応し得る、個々の状況に応じた規則、基準、分析的枠組みにとって不十分な代物である。
Looking beyond treaty law, “there is practically no international legal jurisprudence, commentaries, or academic literature” that applies digital rights like the rights to privacy and data protection in times of armed conflict.[14] Indeed, it would seem that the “pace of technological innovation is outmatching the intellectual stamina and regulatory capacities of IHL rule-prescribers and rule-appliers.”[15]15 When Asaf Lubin first wrote these words in a book chapter in 2019 he didn’t imagine that they will turn into a full research agenda. But shortly after a draft of that chapter was released to the world, the NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) approached Asaf and asked him to lead this book project. He immediately suggested the involvement of Russell Buchan and together they spent the next two years as co-editors bringing this project to life. 条約法以外を見ても、プライバシーやデータ保護に対する権利のようなデジタル権を武力紛争時に適用する「国際法学、注釈、学術文献は実質的に存在しない」[14]。 実際、「技術革新のペースは、IHL規則の制定者や規則適用者の知的体力と規制能力に及ばない」[15]ようである。 Asaf Lubinが2019年に本の章に初めてこの言葉を書いたとき、それが研究課題の一部になると想像しなかったのだろう。しかし、その章の草稿が世に出た直後、NATO Cooperative Cyber Defence Centre of Excellence (CCDCOE) が Asaf に接触し、この本のプロジェクトを主導するように依頼した。彼はすぐにRussell Buchanの参加を提案し、彼らはその後2年間、共同編集者としてこのプロジェクトを実現させた。
In light of the technological advances in the fields of electronic surveillance, social engineering, predictive algorithms, big data analytics, artificial intelligence, automated processing, biometric analysis, and targeted hacking, we presented our contributing authors with a herculean task. We asked each author to doctrinally and theoretically explore the ways that these technologies, and others, are already interacting or could possibly inter- act in the future with wartime digital rights. In so doing, we invited the authors to grapple with the concurrent and extraterritorial application of these rights, with the limitations and possible derogations from these rights during war, and with their scope of application to actual case studies and scenarios taken from the field.  電子監視、ソーシャルエンジニアリング、予測アルゴリズム、ビッグデータ解析、人工知能、自動処理、生体情報解析、標的型ハッキングなどの分野における技術的進歩を考慮し、私たちは執筆者に困難な課題を提示した。私たちは各執筆者に、これらの技術やその他の技術が、戦時中のデジタル著作権とどのように相互作用しているか、あるいは将来的に相互作用する可能性があるかを、教義的かつ理論的に探求するよう依頼した。そうすることで、これらの権利の同時適用や域外適用、戦時中のこれらの権利の制限や剥奪の可能性、そして実際のケーススタディやシナリオに適用される範囲について、著者たちに取り組んでもらうことにしたのである。
Our contributing authors rose to this challenge in two ways. First, their chapters provide a unique canvassing of the various actors that play a role in the multistakeholder and polycentric tapestry of governance that controls emerging military technologies. Particular focus is given to non-State actors and their obligations to protect digital rights in the context of wartime data generation, collection, and dissemination activities. The chapters thus provide a true tour de force of the ecosystem, examining such actors as military contractors, tech giants, internet service providers, cloud providers, third-party vendors and suppliers of software and hardware, armed groups, international organizations and fact-finding missions, courts and tribunals, journalists, and humanitarian actors.  本書の執筆者たちは、2つの点でこの難題に挑んだ。まず、各章では、新興軍事技術を管理するマルチステークホルダー・ポリセントリックなガバナンスの中で役割を果たす様々なアクターについて、ユニークな見取り図を提供している。特に、戦時中のデータ生成、収集、普及活動において、非国家主体およびそのデジタル著作権保護義務に焦点が当てられている。したがって、各章は、軍事請負業者、ハイテク大手、インターネットサービスプロバイダ、クラウドプロバイダ、ソフトウェアやハードウェアのサードパーティベンダーやサプライヤ、武装集団、国際機関や事実調査団、裁判所や法廷、ジャーナリスト、人道支援者などの関係者を検証する、エコシステムの真の力作を提供している。
Second, the chapters also offer a wide ranging account of specific IHL regimes, including the law of targeting, the law of occupation, the law of neutrality, weapon acquisition, coalition operations, the law of detainees and POWs, the protections of property in war, the law on weapons review, and the law governing jus post bellum investigations. Each chapter provides a deep dive into a different classic field of study in IHL and in each chapter the authors chart riveting pathways for reconceptualizing traditional rules to futureproof them against this technological revolution. 第二に、各章では、標的法、占領法、中立法、兵器取得、連合作戦、抑留者・捕虜法、戦時中の財産保護、兵器審査法、Jus Post bellum調査法などの特定のIHL体制についても幅広く解説している。各章では、IHLの異なる古典的な研究分野を深く掘り下げており、各章で著者は、この技術革命に対して将来対抗するために伝統的なルールを再認識するためのリベット状の道筋を示している。
This collection is split into four parts. Part I explores the extent to which various regimes of IHL protect the rights to digital privacy and data protection. Part I begins with a chapter by Mary Ellen O’Connell and its core claim is that the protection afforded by international law to personal data is the same during times of armed conflict as it is during times of peace. This chapter advances this claim by relying on four interrelated arguments: first, personal data plays no role in the kinetic action of armed conflict; second, and due to the non-kinetic nature of personal data, peacetime legal protections continue to apply during times of armed conflict; third, the protection of personal medical data under IHL extends by analogy to other personal data; and fourth, targeting personal data cannot be justified on the basis of military necessity and cannot be carried out in compliance with the duty to take precautions, thus rendering such operations unlawful under IHL.  本書は4つのパートから構成されている。第Ⅰ部では、IHLの様々な制度がデジタル・プライバシーとデータ保護の権利をどの程度まで保護しているのかを探る。第一部は、Mary Ellen O'Connellによる章から始まり、その中心的主張は、国際法が個人データに与える保護は、武力紛争時にも平時と同じであるということである。第1に、個人データは武力紛争の運動行為において何の役割も果たさないこと、第2に、個人データの非運動学的性質により、平時の法的保護が武力紛争時にも引き続き適用されること、第3に、IHLによる個人医療データの保護は、他の個人データにも類推されること、第4に、個人データを標的とすることは軍事的必要性に基づいて正当化できず、予防措置義務に準拠して実施されないためIHL上違法となる、という相互に関連する4項目の主張に基づいてこの主張は推進されている。
In Chapter 2, Tal Mimran and Yuval Shany document the privacy- related risks associated with the development of new military technologies such as autonomous weapons, cyber operations, and the enhancement of human soldiers. This chapter argues that the weapons review obligation contained in Article 36 of Additional Protocol I to the Geneva Conventions requires State parties to integrate privacy concerns into their evaluation of new military technologies and assesses whether these technologies can be used compliantly with the right to privacy as it is protected under international human rights law. This chapter maintains that the weapons review obligation requires States to develop a unique privacy impact assessment methodology, which demands consideration of a host of difficult issues such as the likely long-term harms and indirect harms caused by autonomous and cyber weapons and when soldiers can be said to have consented to human enhancement. 第2章では、Tal MimranとYuval Shanyが、自律型兵器、サイバー作戦、人間の兵士の強化などの新しい軍事技術の開発に関連するプライバシー関連のリスクについて述べている。本章では、ジュネーブ条約第一追加議定書第36条に含まれる兵器審査義務は、締約国に対し、プライバシーに関する懸念を新しい軍事技術の評価に組み込むことを要求し、これらの技術が国際人権法の下で保護されているプライバシー権に準拠して使用可能かどうかを評価すると論じている。本章では、兵器審査義務によって、国家は独自のプライバシー影響評価手法を開発する必要があり、自律兵器やサイバー兵器が引き起こすと思われる長期的被害や間接的被害、兵士が人間強化に同意したと言えるのはいつか、といった多くの難題を考慮する必要があると主張する。
In Chapter 3, Laurie Blank and Eric Talbot Jensen examine the extent to which IHL governs the seizure, destruction, and requisition of data during times of armed conflict. Critical to this assessment is whether data can be regarded as ‘property’ because, as they reveal, the relevant rules of IHL only apply to ‘property’. Assuming that data can be regarded as property, this chapter explores when the appropriation of data can be regarded as an act of ‘pillage’, which is prohibited by IHL. This chapter also assesses which types of data fall within the meaning of ‘war booty’, which is important because IHL permits parties to armed conflicts to seize such property where it is necessary to assist the war effort.  第3章では、Laurie Blank と Eric Talbot Jensenが、武力紛争時のデータの押収、破壊、徴発をIHLがどの程度規定しているのかを検証している。この評価で重要なのは、データが「財産」と見なせるかどうかである。彼らが明らかにしたように、IHLの関連規則は「財産」にのみ適用されるからである。データが財産と見なせると仮定して、本章ではデータの流用が IHL で禁止されている「略奪」行為と見なせるのはどのような場合かについて検討する。また、どのような種類のデータが「戦利品」の意味に含まれるかを評価する。これは、IHLが武力紛争当事者に、戦争努力を支援するために必要な場合、そのような財産の押収を認めていることからも重要なことである。
In Chapter 4, Jacqueline Van De Velde focuses on the situation in which private companies located in neutral States transfer data to parties to armed conflicts. This chapter examines the extent to which the law of neutrality requires neutral States to monitor and prevent companies located within their jurisdictions from transferring data to parties to armed conflicts in breach of the data subject’s rights to privacy and data protection. This chapter also assesses whether the law of neutrality imposes direct obligations on corporate entities, given that, in the digital age, they have come to possess quasi-sovereign status. 第4章では、Jacqueline Van De Veldeが、中立国にある民間企業が武力紛争当事者にデータを転送する状況に着目している。本章では、中立国の法律が、中立国の管轄内にある企業が、データ主体のプライバシー権やデータ保護に違反して武力紛争当事者にデータを移転することをどの程度まで監視・防止することを求めているかを検証している。本章では、デジタル時代において企業が準主権的な地位を占めるようになったことを踏まえ、中立法が企業体に直接義務を課すかどうかも評価する。
In Chapter 5, Omar Yousef Shehabi explains that contemporary occupying powers use a range of technologies to collect intelligence on the residents of occupied territories, including biometric IDs, facial recognition checkpoints, ‘smart’ video surveillance, spyware, and offensive cyber tools. Using the occupied Palestinian territory as a case study, this chapter considers how the conventional law of occupation may be progressively reinterpreted to protect digital privacy and queries whether the procedural approach to data protection duties and data subject rights emerging in human rights law interfaces with the nature of occupation regimes. It questions whether the source and scope of data rights and obligations can be defined as a matter of the general law of occupation, without resolving epistemological questions regarding particular occupation regimes. 第5章では、Omar Yousef Shehabiが、現代の占領軍が、生体認証、顔認識チェックポイント、「スマート」ビデオ監視、スパイウェア、攻撃的サイバーツールなど、様々なテクノロジーを使って占領地住民の情報を収集していることを説明している。本章では、パレスチナ占領地をケーススタディとして、従来の占領法がデジタル・プライバシー保護のためにどのように再解釈されうるかを考察し、人権法におけるデータ保護義務やデータ主体の権利に対する手続き的アプローチが占領体制の性質に合致しているかどうかを問うている。また、特定の占領体制に関する認識論的な問題を解決することなく、データの権利と義務の源と範囲を占領の一般法の問題として定義することが可能かどうかを問うている。
In Chapter 6, Emily Crawford explores the privacy-related rights of prisoners of war (POWs) in the digital age. In particular, this chapter identifies the types of data that detaining powers can collect from POWs and examines how this data must be managed. It finds that there is a lack of IHL protecting the data of POWs and encourages stakeholders to develop more effective rules in this area, averring that international human rights law has much to offer in this regard and that its rules on the right to privacy can provide a model or blueprint to help guide the practice of detaining powers in the future.  第6章では、Emily Crawfordが、デジタル時代における戦争捕虜(POW)のプライバシー関連の権利について探求している。特に、本章では、抑留国が捕虜から収集できるデータの種類を特定し、このデータがどのように管理されなければならないかを検証している。そして、捕虜のデータを保護する国際人道法が存在しないことを明らかにし、この分野でより効果的な規則を開発するよう関係者に奨励している。この点に関して、国際人権法は提供するものが多く、プライバシー権に関する規則は、将来の抑留国の実践を導くのに役立つモデルや青写真を提供できると主張している。
Part II of this collection considers the impact of surveillance technologies on the protection of digital rights. In Chapter 7, Leah West highlights the tension between the obligation imposed on commanders by IHL to gather and use intelligence to inform their targeting decisions and the obligation imposed on parties to armed conflicts under international human rights law to respect the privacy rights of civilians who are affected by those intelligence operations. By using facial recognition technology as a case study, this chapter reveals the legal obligations that arise during an armed conflict that both necessitate and limit the use of modern surveillance technology. It also identifies the core policy and procedural questions that commanders must consider before deploying facial recognition technology to meet those legal obligations.  本コレクションのパートIIでは、監視技術がデジタルな権利の保護に与える影響について考察している。第7章において、Leah Westは、IHLによって指揮官に課せられた、標的の決定に情報を提供するために情報を収集・利用する義務と、国際人権法の下で武力紛争の当事者に課せられた、それらの情報操作によって影響を受ける民間人のプライバシー権を尊重する義務との間の緊張関係を明らかにしている。本章では、顔認識技術をケーススタディとして、武力紛争時に生じる法的義務を明らかにすることで、現代の監視技術の使用を必要とし、また制限していることを明らかにする。また、こうした法的義務を果たすために顔認識技術を導入する前に、指揮官が考慮しなければならない基本的な政策や手続き上の疑問も明らかにされている。
In Chapter 8, Eliza Watt examines the impact of sustained drone surveillance on non-combatants in war zones and argues that legal constraints should be placed on this practice. This chapter identifies a lacuna in the IHL framework with respect to privacy and data protection rights. It demonstrates that IHL and international human rights law apply concurrently in armed conflict and contends that the international human rights law rules on mass surveillance of communications apply to this method of intelligence collection. This chapter argues that the rationale for their application is the constant care principle set out in Article 57(1) of Additional Protocol I to the Geneva Conventions, which places State parties under a continuous duty of care over civilian populations. 第8章では、Eliza Wattが、戦争地域における非戦闘員に対する持続的なドローン監視の影響を検証し、この行為に法的制約を加えるべきであると論じている。本章では、プライバシーとデータ保護の権利に関して、IHLの枠組みの欠落を明らかにしている。武力紛争においてはIHLと国際人権法が同時に適用されることを示し、通信の大量監視に関する国際人権法の規則がこの情報収集の方法に適用されることを主張するものである。本章では、その適用根拠として、ジュネーブ条約第一追加議定書第57条1項に規定される常時注意原則を挙げ、締約国に民間人に対する継続的な注意義務を課していることを主張している。
In Chapter 9, Tara Davenport demonstrates that attempts to intercept and collect data resident on or transiting through cable infrastructure are an increasingly common practice in armed conflict. This chapter identifies and explores the international law that applies where parties to armed conflicts seek to intercept and collect data located on cable infrastructure. Its analysis spans a range of international legal rules and regimes including the law of the sea, international human rights law, and IHL. 第9章では、Tara Davenportが、ケーブル・インフラに常駐し、あるいはそこを通過するデータを傍受・収集する試みは、武力紛争においてますます一般的になっていることを実証している。本章では、武力紛争の当事者がケーブルインフラ上にあるデータを傍受・収集しようとする場合に適用される国際法を特定し、探求している。その分析は、海洋法、国際人権法、IHLを含む様々な国際法上のルールや体制に及ぶものである。
Part III of this collection examines the obligations of militaries and humanitarian organizations when it comes to the protection of digital rights. In Chapter 10, Tim Cochrane explores the potential for subject access rights — core data protection rights enabling a person to obtain their own personal data from others — to be used to obtain personal data from military agencies during armed conflicts, and labels these ‘military subject access rights’ (MSARs). This chapter explains the extent to which MSARs are available in four common law jurisdictions: Australia, Canada, New Zealand, and the United Kingdom. It then applies these MSARs to three hypothetical extraterritorial armed conflict case studies, taking into account overarching international human rights law and IHL. Overall, this chapter provides a practical roadmap for the exercise of MSARs by individuals and makes recommendations for comparator States and others to better provide and protect MSARs. 第III部では、デジタル著作権の保護に関する軍隊と人道支援組織の義務について考察している。第10章では、Tim Cochraneが、武力紛争中に軍事機関から個人データを入手するために、主体アクセス権(他者から自己の個人データを入手することを可能にする中核的データ保護権)が使用される可能性を探り、これを「軍事主体アクセス権」(MSARs)と名づけている。本章では、4 つのコモンローの管轄区域で MSAR がどの程度利用可能かを説明する。オーストラリア、カナダ、ニュージーランド、および英国の4つのコモンローの管轄区域において、MSARがどの程度利用可能かを説明する。そして、包括的な国際人権法と国際人道法を考慮に入れながら、これらのMSARを3つの仮想的な域外武力紛争のケーススタディに適用する。全体として、本章は個人によるMSARの行使のための実践的なロードマップを提供し、MSARをより良く提供し保護するための比較対象国等への提言を行なっている。
In Chapter 11, Deborah Housen-Couriel focuses on data sharing within multilateral military operations and especially the sharing of data relating to the members of their armed forces. While this chapter argues that IHL provides members of the armed forces with little data privacy protection, it maintains that coalition partners remain bound by their domestic law regimes, which often include considerable data privacy protections. Using the European Union’s General Data Protection Regulation as a sample regulatory regime for the protection of data privacy, this chapter explores the extent to which partners must respect the data privacy of members of their armed forces when sharing information. This chapter considers how personal data privacy might be supported as part of overall legal interoperability and argues that the requirement of legal interoperability exemplifies the need to coordinate civilian data protection regimes at the global level. 第11章では、Deborah Housen-Couriel氏が、多国間軍事作戦におけるデータ共有、特に自国軍メンバーに関するデータの共有に焦点を当てる。本章では、国際人道法が軍人にほとんどデータ・プライバシー保護を与えないと主張する一方で、連合国のパートナーは、しばしばかなりのデータ・プライバシー保護を含む国内法体制に拘束され続けることを主張している。本章では、データ・プライバシー保護のための規制体制の例として欧州連合の一般データ保護規則を用い、情報を共有する際にパートナーが軍人のデータ・プライバシーをどの程度まで尊重しなければならないかを探る。本章では、法的相互運用性の一部として、個人のデータ・プライバシーがどのようにサポートされ得るかを検討し、法的相互運用性の要件が、世界レベルで民間のデータ保護体制を調整する必要性を例証していることを論じている。
In Chapter 12, Asaf Lubin examines the International Committee of the Red Cross’s (ICRC) obligations to protect data in the context of their humanitarian action. This chapter turns to the recent revelations of a sophisticated cyber attack that targeted ICRC servers storing the personal data of over 500,000 people worldwide. Building on that experience, this chapter explores the extent to which data custodians like the ICRC are legally bound, as a matter of international or transnational law, to protect the data of their constituencies, and the scope of such an obligation. While recognizing some of the ICRC’s pioneering work in developing data protection norms and best practices for the humanitarian sector, this chapter also identifies challenges imposed by new and evolving technological, political, and market-based realities. These developments generate complex ethical and legal challenges on the ability of an organization like the ICRC to uniformly and consistently apply its data protection rules. 第 12 章では、Asaf Lubinが赤十字国際委員会(ICRC)の人道的行動におけるデータ保護義務について検証している。本章では、最近発覚した、世界中の50万人以上の個人データを保存するICRCのサーバーを標的とした巧妙なサイバー攻撃について取り上げます。この経験を踏まえ、本章では ICRC のようなデータ管理者が、国際法または国境を越えた法律の問題として、その構成員のデータを保護する法的義務をどの程度負うのか、またそのような義務の範囲はどの程度なのかを検討する。本章では、人道的セクターのた