« June 2022 | Main | August 2022 »

July 2022

2022.07.31

オーストラリア 子供向けサイバーセキュリティ (Cyber Security for Kids)

こんにちは、丸山満彦です。

今の子供は、デジタル・ネイティブ世代ですから、デジタル空間に入るタイミングでサイバーセキュリティについても教えていく必要があるのでしょうね。。。

オーストラリア・サイバーセキュリティ・センター (Australian Cyber Security Centre; ACSC) の子供向けサイバーセキュリティのページの紹介です。。。

日本で言うと小学3, 4年生くらいの内容なんでしょうかね。。。

 

Australian Cyber Security Centre; ACSC

Cyber Security for kids

次の5つが紹介されていますね。。。

Step 1. Update your device: Updated devices are harder to hack and have newer features. ステップ1.デバイスをアップデートしましょう。アップデートされたデバイスはハッキングされにくく、より新しい機能を備えています。
Step 2. Turn on multi-factor authentication: Turn on multi-factor authentication (MFA) to protect your important accounts with extra login steps. ステップ2. 多要素認証をオンにしましょう。多要素認証(MFA)をオンにすると、ログインの手順が増えるため、重要なアカウントを保護することができます。
Step 3: Back up your device: A back up is a digital copy of your most important information. ステップ3:デバイスのバックアップをとりましょう。バックアップは、あなたの最も重要な情報のデジタルコピーです。
Step 4: Use a passphrase: Passphrases are the more secure version of passwords. Passphrase uses four or more random words as your password. For example, ‘purple duck boat sky’. ステップ4:パスフレーズを使用しましょう。パスフレーズは、より安全なパスワードのバージョンです。パスフレーズは、4つ以上のランダムな単語をパスワードとして使用します。例えば、「purple duck boat sky」のように。
Step 5: Recognise and report scams: Beating cybercriminals takes teamwork. ステップ5:詐欺を認識し、報告しましょう。サイバー犯罪者に打ち勝つには、チームワークが必要です。

 

・[PDF] Cyber Security Instruction Manual: A kid's guide to using the internet securely

20220731-70905

 

・[PDF] Surf Securely - Kid's colouring sheet

20220731-70950

 

・[PDF] Cyber Security Poster for Kids

20220731-71011

 

 

| | Comments (0)

スタンフォード大学 AI監査のアイデア募集 賞金総額は約1000万円 (^^) (2022.07.11)

こんにちは、丸山満彦です。

スタンフォード大学が、AI監査のアイデアを募集しています。賞金総額は71,000ドルで、1位の賞金は25,000ドルです。

 

Stanford University Human-Centered Artificial Intelligence

・2022.07.11 AI Audit Challenge


Stanford

差別を生み出すようなAIが問題となっていることから、差別を生み出さないようになっていることを確認するようなシステムのアイデアを募集しているようです。論文のようなものではなく、既に使われているAIに対して利用できる実用的なものを求めているようです。(2022.10.10まで)

評価のポイントもあって、

Insights: What did we learn using the tool? 洞察力:そのツールを使って何を学んだか?
Alignment: How well anchored is the audit with legal and policy needs? アライメント: 法的・政策的なニーズにどれだけ合致しているか?
Impact: How many people would benefit from the tool? インパクト:そのツールによってどれだけの人が恩恵を受けるか?
Ease of use: Is the tool usable for our target audience? 使いやすさ:対象者にとって使いやすいか?
Scalability: Can the tool be used at scale and/or used in different contexts? 拡張性:そのツールは大規模に使用できるか、異なる文脈で使用できるか?
Replicability: Can the results be replicated by other users using the same systems? 再現性:同じシステムを使っている他のユーザが結果を再現できるか?
Documentation: How well-explained are the findings? 文書化:調査結果がどの程度説明されているか?
Sustainability: Is the tool financially and environmentally sustainable? 持続可能性:経済的、環境的に持続可能か?

ということのようです。。。

 

応募はこちらから。。。英語での応募となります。。。

 


 

こういう観点というのは重要なようです。。。

 

米国の雇用機会均等委員会

● U.S. Equal Employment opportunity commission wiki

3. Who is protected from employment discrimination?

Seal_of_the_united_states_equal_employme

 

 

| | Comments (0)

米国 サーベンス・オクスリー法20周年とPCAOB設立に関するウィリアムズPCAOB委員長のコメント

こんにちは、丸山満彦です。

このブログでも、J-SOX導入前後では、SOX法関係の投稿が多くありましたが、最近はすっかりご無沙汰です(^^)

J-SOXもすっかり落ち着き、定着しているように思います。

衝撃のエンロン事件、ワールドコム事件と続き、グローバル展開していた監査法人が吹っ飛び、資本主義社会の米国の本気を見たような気がしてから20年経ちますか。。。

会計士自らによる米国公認会計士協会AICPA [wikipedia] による自主規制は一部否定され、SECの監督下になりましたね。。。監査基準についても、公開会社の監査の基準はPCAOB [wikipedia] が発行することになりました。。。

私は入社した時から米国基準の監査をすることになったので、とにかく会社の米国の監査マニュアルと米国の監査基準 (Statements on Auditing Standards; SAS)  [wikipedia] を読まないとどうにもならない状況で、必死に読んでいました。。。

特に読むようにと言われたのは、

で、SAS 31は、COSOの報告を受けて、改訂され

 になります。

 監査証拠も

になります。。。

 そして、これらは、2006年に改訂されました。。。

 

ちなみに、内部統制についての監査の基準は1980年に策定された基準が既にあったんですよね。。。

です。。。そういうコンセプトが1980年(PCOABによる内部統制の監査が義務化される20年以上前!)に既に確立されていて(ただし、実施はされていなかったと思う)、その上にPCAOBによる内部統制の監査ができたということです。。。

 

ーーーーー

サーベンス・オクスリー法20周年とPCAOB設立に関するウィリアムズPCAOB委員長のコメントが興味深いです。。。

 

Public Company Accounting Oversight Board; PCAOB

・2022.07.28 PCAOB Chair Williams Remarks on 20th Anniversary of Sarbanes-Oxley Act and Establishment of the PCAOB

 

 

Pcaob

 

 

 

| | Comments (0)

2022.07.30

インターネットガバナンスに関する論文と中国の世界インターネット会議

こんにちは、丸山満彦です。

生貝先生のFacebookで、インターネットガバナンスに関する論文が紹介されていましたので、備忘録です。。。

例えば、インターネットアドレスの管理を誰がするのかといったようなインターネットに関するガバナンスをどうするのか、ということについて今の方法ではなく、国連の元(例えば、ITU)で政府機関を通じて行うべきという考え方も中国、ロシアにはあるので、今後の動向について、少し気にしておくことが必要かと思いました。。。

SSRN

China's War for Control of Global Internet Governance by Justin Sherman

・[PDF

20220730-70707

 

 

単純に結びつける話ではないですが、関連がありそうということで...

中国では、2010年くらいから一貫して、この主張はしており、7月中旬に、世界インターネット会議 (世界互联网大会) を北京で開催していますね。。。国連事務副総長の刘振民氏等がスピーチをしていますね。。。

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.07.12 世界互联网大会成立大会今日在京举行

・2022.07.16 世界互联网大会成立大会嘉宾发言摘编

 

4つの原則や、5つのも中国の立場を理解する上では重要かもしれません。。。

・2022.07.12 “四项原则”彰显担当 习近平推动全球互联网治理体系变革

・2022.07.12 “五点主张”凝聚共识 习近平谈构建网络空间命运共同体

 

 

| | Comments (0)

2022.07.29

ENISA サイバーセキュリティ脅威ランドスケープの方法論 (2022.07.06) ENISA流サイバーインテリジェンスの方法論?

こんにちは、丸山満彦です。

ENISAから、サイバー脅威インテリジェンスの方法論についての文書が公表されていました。。。

これ、参考になると思います。具体的なインテリジェンスレポートの作成の仕方という面よりも、どのように体型立てて作っていくかという面で...

 

ENISA

・2022.07.06 How to map the Cybersecurity Threat Landscape? Follow the ENISA 6-step Methodology

How to map the Cybersecurity Threat Landscape? Follow the ENISA 6-step Methodology サイバーセキュリティの脅威の状況をどう描くか?
ENISAの6ステップの方法論に従う
The cybersecurity threat landscape methodology developed by the European Union Agency for Cybersecurity (ENISA) aims at promoting consistent and transparent threat intelligence sharing across the European Union. 欧州連合サイバーセキュリティ機関(ENISA)が開発したサイバーセキュリティ脅威ランドスケープ手法は、欧州連合全体で一貫性があり透明性のある脅威情報の共有を促進することを目的としている。
With a cyber threat landscape in constant evolution, the need for updated and accurate information on the current situation is growing and this a key element for assessing relevant risks. サイバー脅威の状況は常に進化しており、現状に関する最新かつ正確な情報の必要性が高まっており、これは関連するリスクを評価するための重要な要素である。
This is why ENISA releases today an open and transparent framework to support the development of threat landscapes. このため、ENISAは本日、脅威ランドスケープの策定を支援するオープンで透明性の高いフレームワークを公開する。
The ENISA methodology aims to provide a baseline for the transparent and systematic delivery of horizontal, thematic and sectorial cybersecurity threat landscapes (CTL) thanks to a systematic and transparent process for data collection and analysis. ENISAの方法論は、データ収集と分析のための体系的で透明なプロセスのおかげで、水平、テーマ別、部門別のサイバーセキュリティ脅威ランドスケープ(CTL)を透明かつ体系的に提供するためのベースラインを提供することを目的としている。
Who can benefit from this new methodology? 誰がこの新しい手法の恩恵を受けるか?
This new methodology is made available to ENISA’s stakeholders and to other interested parties who wish to generate their own cyber threat landscapes. Adopting and/or adapting the proposed new CTL framework will enhance their ability to build situational awareness, to monitor and to tackle existing and potential threats. この新しい方法論は、ENISAのステークホルダーと、独自のサイバー脅威ランドスケープ作成を希望するその他の利害関係者が利用できるようになっている。 提案された新しいCTLフレームワークを採用、または適応することで、状況認識を構築し、既存および潜在的な脅威を監視し、対処する能力が強化される。
ENISA will also be using this new methodology to deliver an enhanced annual ENISA Threat Landscape (ETL). It will also be used to generate technical or sectorial threat landscapes. ENISAはまた、この新しい方法論を使って、強化されたENISA脅威ランドスケープ(ETL)を毎年提供する予定である。また、技術的または分野別の脅威の展望を作成するためにも使用される予定である。
How does the methodology work? 本手法はどのように機能するのか?
The framework is based on the different elements considered in the performance of the cybersecurity threat landscape analysis. It therefore includes the identification and definition of the process, methods and tools used as well as the stakeholders involved. このフレームワークは、サイバーセキュリティ脅威のランドスケープ分析を行う際に考慮される様々な要素に基づいている。そのため、使用するプロセス、方法、ツール、および関係者の特定と定義が含まれる。
Building on the existing modus operandi, this methodology provides directions on the following: 既存の手法に基づき、この方法論は以下に関する指示を提供する。
・defining components and contents of each of the different types of CTL; 異なるタイプのCTLの構成要素と内容を定義する。
・assessing the target audience for each type of CTL to be performed; 各タイプの CTL を実施する際の対象者の評価する。
・how data sources are collected; どのようにデータソースを収集するか。
・how data is analysed; どのようにデータを分析するか。
・how data is to be disseminated; どのようにデータを普及させるか。
・how feedback is to be collected and analysed. どのようにフィードバックを収集し、分析するか。
The ENISA methodology consists of six main steps with feedback foreseen and associated to each of these steps: ENISA の手法は、次の6つの主要なステップから構成され、各ステップは、フィードバックに予見され、関連される。
・Direction; ・方向付
・Collection; ・収集
・Processing; ・加工
・Analysis and production; ・分析・制作
・Dissemination; ・普及
・Feedback ・フィードバック
20220729-152010
This CTL methodology has been validated by the ENISA ad-hoc working group on the Cybersecurity Threat Landscape (CTL WG). The group consists of European and international experts from both public and private sector entities. この CTL 手法は、ENISA のサイバーセキュリティ脅威ランドスケープに関するアドホックワーキンググ ループ(CTL WG)によって検証されたものである。このグループは、公共部門と民間部門の両方の欧州および国際的な専門家から構成されている。
ENISA’s work on the Cybersecurity Threat Landscape ENISAのサイバーセキュリティ脅威の展望に関する取り組み
ENISA is constantly looking for ways to gather feedback and to continually improve and update the methodology applied to the performance of cybersecurity threat landscapes. Please feel free to reach out to etl@enisa.europa.eu with suggestions. ENISAは、サイバーセキュリティ脅威ランドスケープの性能に適用される手法を継続的に改善・更新するために、フィードバックを収集する方法を常に探している。ご提案がありましたら、etl@enisa.europa.eu までお気軽にご連絡ください。
The ENISA CTL methodology intends to provide a high-level overview of how to produce a CTL. This methodology is therefore meant to evolve in time according to any possible new developments in the process. The ongoing research and work ENISA performs in the area is meant to ensure the transparency and trust in the contents of the reports produced. ENISA CTL 手法は、CTL の作成方法に関するハイレベルな概観を提供することを意図している。したがって、この方法論は、プロセスにおける新たな展開の可能性に応じて、随時進化していくことを意図している。ENISAがこの分野で行っている継続的な研究と作業は、作成される報告書の内容の透明性と信頼性を確保することを目的としている。
Target audience 対象読者
・European Commission and European Member States policy makers (including but not limited to European Union Institutions (EUIs); ・欧州委員会および欧州加盟国の政策立案者(欧州連合機関(EUI)を含むがこれに限定されない。
・EU institutions, bodies and Agencies (EUIBAs); ・EUの機関、団体、機関(EUIBAs)。
・Cybersecurity experts, industry, vendors, solution providers, SMEs; ・サイバーセキュリティの専門家、産業界、ベンダー、ソリューションプロバイダー、SMEs。
・Member States and national authorities (e.g. Cybersecurity Authorities); ・加盟国および国内当局(例:サイバーセキュリティ当局)。
Further information さらに詳しい情報
ENISA Cyber Threat Landscape Methodology 2022 ・ENISAサイバー脅威ランドスケープメソドロジー2022
ENISA Threat Landscape 2021 ・ENISAの脅威の状況 2021年
Threat Landscape for Supply Chain Attacks ・サプライチェーン攻撃の脅威の状況
Ad-Hoc Working Group on Cyber Threat Landscapes ・サイバー脅威のランドスケープに関するアドホック・ワーキング・グループ

 

・2022.07.06 ENISA Threat Landscape Methodology

・[PDF] ENISA Threat Landscape Methodology


20220729-152157

 

目次...

1. INTRODUCTION 1.イントロダクション
1.1 OBJECTIVES 1.1 目的
1.2 OVERVIEW OF METHODOLOGICAL APPROACH 1.2 方法論的アプローチの概要
1.3 SCOPE 1.3 範囲
1.4 CYBERTHREAT LANDSCAPE DRIVING PRINCIPLES 1.4 サイバー脅威の背景となる原則
2. CTL METHODOLOGY 2.CTLの方法論
2.1 DIRECTION 2.1 方向付
2.1.1 Establish CTL Purpose 2.1.1 CTLの目的の確立
2.1.2 Define Audience 2.1.2 オーディエンスの定義
2.1.3 Identifying and Managing Stakeholders 2.1.3 ステークホルダーの特定と管理
2.1.4 Define Intelligence Requirements 2.1.4 インテリジェンスの要件の定義
2.2 COLLECTION 2.2 収集
2.2.1 Define collection requirements 2.2.1 収集要件の定義
2.2.2 Collection planning 2.2.2 収集計画
2.2.3 Validate Sources 2.2.3 出典の検証
2.2.4 Input data collection 2.2.4 入力データの収集
2.3 PROCESSING 2.3 加工
2.3.1 Preparation for processing 2.3.1 加工のための準備
2.3.2 Language processing 2.3.2 言語加工
2.3.3 Cyberthreat taxonomy 2.3.3 サイバー脅威の分類法
2.3.4 CTI frameworks 2.3.4 CTIフレームワーク
2.3.5 Consolidate processed content 2.3.5 加工済みコンテンツの整理統合
2.4 ANALYSIS & PRODUCTION 2.4 分析・制作
2.4.1 Analysis preparation 2.4.1 分析準備
2.4.2 Structured Analytical Technique (SAT) selection 2.4.2 構造化分析手法(SAT)の選択
2.4.3 Performing analysis 2.4.3 解析の実行
2.4.4 Validate CTL 2.4.4 CTLの検証
2.4.5 Validate dissemination medium 2.4.5 配信媒体の検証
2.4.6 Deliverable production 2.4.6 制作物制作
2.5 DISSEMINATION 2.5 普及
2.5.1 Prepare dissemination 2.5.1 普及の準備
2.5.2 Disseminate CTL deliverable 2.5.2 CTL制作物の普及
2.6 FEEDBACK 2.6 フィードバック
2.6.1 Requesting feedback 2.6.1 フィードバックの依頼
2.6.2 Receiving feedback 2.6.2 フィードバックを受ける
2.6.3 Actioning feedback 2.6.3 フィードバックへの対応
3. FUTURE WORK 3.今後の課題
3.1 MOVING TOWARDS AUTOMATED INFORMATION PROCESSING 3.1 情報加工の自動化に向けて
A ANNEX: 2021 ETL STAKEHOLDER SURVEY REVIEW A 附属書:2021年版ETL関係者調査レビュー
B ANNEX: REFERENCE TEMPLATES B 附属書:参照用テンプレート
B.1 GENERIC CYBERTHREAT LANDSCAPE TEMPLATE B.1 一般的なサイバー脅威の状況テンプレート
B.2 HORIZONTAL THREAT LANDSCAPE TEMPLATE B.2 水平方向の脅威の状況テンプレート
B.3 THEMATIC THREAT LANDSCAPE TEMPLATE B.3 テーマ別脅威の状況テンプレート
B.4 SECTORIAL THREAT LANDSCAPE TEMPLATE B.4 部門別脅威の状況テンプレート


・[DOCX] 仮訳

 

 

| | Comments (0)

米国 全米商工会議所 有権者はビッグテック企業への規制を強化することにあまり興味がない....強いて言えば、セキュリティやプライバシー規制の強化...

こんにちは、丸山満彦です。

全米商工会議所が、有権者にアンケートを実施し、次のことがわかったようです。。。

  1. ビッグテック企業への規制強化(独占禁止法による規制の強化等)には、あまり興味がない(テクノロジー企業の規制を優先すべきと考える有権者はわずか1%)、

  2. 景気対策や物価対策に力を入れて欲しいと思っているだ毛でなく、規制強化がかえって物価上昇を招くと考えている

  3. テクノロジー企業への規制の強化をするのであれば、セキュリティ対策の強化、プライバシー保護の強化をしてほしいと考えている

 

20220729-53733

 

色々と背景があるのかもしれませんが、、、

 

・2022.07.21 New National Poll: Voters Oppose Proposed Antitrust Regulations for Technology Companies

New National Poll: Voters Oppose Proposed Antitrust Regulations for Technology Companies 新全国世論調査:有権者はテクノロジー企業に対する独占禁止法規制案に反対
Voters less likely to support candidates that vote for the American Innovation and Choice Online Act 米国革新・選択オンライン法案に賛成する候補者を支持する有権者は少ない
Washington, D.C. — The U.S. Chamber of Commerce today released a new national poll conducted by  AXIS Research. The poll found that 70% of voters oppose Congressional proposals to add new antitrust regulations for technology companies, and a majority of voters are more likely to oppose candidates who support such regulations.  ワシントン D.C. - 米国商工会議所は本日、AXIS Researchが実施した新しい全国世論調査を発表した。この世論調査によると、有権者の70%がテクノロジー企業に対する新たな反トラスト規制を追加する議会案に反対しており、有権者の過半数がこうした規制を支持する候補者に反対する傾向があることがわかった。 
Upon hearing descriptions of the proposed policies in the American Innovation and Choice Online Act, 79% of Republicans, 72% of Independents, and 59% of Democrats say they strongly oppose or somewhat oppose the bill which would impact services they rely on.  米国革新・選択オンライン法案 の政策について聞いたところ、共和党員の79%、無党派層の72%、民主党員の59%が、自分が利用しているサービスに影響を与えるこの法案に強く反対するか、ある程度反対すると答えた。 
Candidates running for office who support the proposed regulations are likely to lose support from voters. Sixty-one percent of Republicans and 53% of Independents say they are more likely to oppose candidates who support the bill, and Democrat voters are more likely to oppose candidates who support the legislation (42%), than support candidates who back it (35%).  この規制案を支持する立候補者は、有権者からの支持を失う可能性が高い。共和党員の61%、無党派層の53%が、この法案を支持する候補者に反対する可能性が高いと答え、民主党員も、この法案を支持する候補者を支持する(35%)より、反対する(42%)可能性が高いと答えた。 
The poll reveals that more than anything else, voters want Congress focused on the economy (30%) and inflation (28%). And only 1% of voters think Congress should prioritize regulating technology companies, making it one of the lowest overall priorities for voters.  本調査では、有権者は何よりも議会に経済(30%)とインフレ(28%)に注目してほしいと考えていることが明らかになった。また、テクノロジー企業の規制を優先すべきと考える有権者はわずか1%で、有権者の全体的な優先順位は最も低いものの1つとなっている。 
“Congress should abandon unnecessary, harmful changes to America’s antitrust laws that would drive up prices and reduce choices for American families,” said U.S. Chamber Executive Vice President and Chief Policy Officer Neil Bradley. “It makes zero sense for Congress to pursue proposals that would make it illegal for companies to offer free shipping, discount goods, or complimentary services. Voters have made it clear they don’t like this bill and they want Congress to focus on taming inflation. Amazingly, the proposed legislation would likely lead to higher prices.”  米国商工会議所専務理事兼最高政策責任者のニール・ブラッドリー氏は、次のように述べている。「議会は、米国の家庭の価格を上昇させ選択肢を減らすような、不必要で有害な米国の独占禁止法の改正を断念すべきだ。企業が送料無料、割引商品、無料サービスを提供することを違法とするような提案を議会が追求することは全く意味がない。有権者はこの法案を嫌っており、議会がインフレ抑制に注力することを望んでいることは明らかである。驚くべきことに、この法案は物価の上昇につながる可能性が高い。」
Voters also see a direct correlation between government regulation and prices with 67% of voters worried that more government regulation of companies will increase prices on consumers.  また、有権者の67%が、政府による企業への規制強化が消費者の物価上昇につながることを懸念しており、政府の規制と物価の間に直接的な相関関係があると見ている。 
And when it comes to technology, voters think the most important issue for Congress to focus on is protecting data privacy (21%) followed by protecting consumers from scams and malware (12%).   また、テクノロジーに関して言えば、有権者は議会が最も重視すべき課題はデータ・プライバシーの保護(21%)であり、詐欺やマルウェアから消費者を守ること(12%)がそれに続くと考えている。  
Additional insights from the AXIS Research national poll include:  AXISリサーチの全国世論調査から得られたその他の見解は以下の通りである。 
・64% are concerned about where the economy is headed.  ・64%が経済の先行きを懸念している。 
・88% of voters agree that competition in the market means consumers get to select the best products and services that are offered at the best prices.  ・88%の有権者が、市場における競争は、消費者が最良の製品やサービスを最良の価格で選択できることを意味すると考えている。 
・81% of voters believe that market competition, not government regulation, is the fuel of American innovation.  ・81%の有権者が、政府の規制ではなく、市場競争こそがアメリカのイノベーションの原動力であると考えている。 ・
・Only 32% believed that government regulators should play a larger role in determining which products and services are allowed to compete in the marketplace.  ・どの製品やサービスが市場で競争できるかを決めるのに、政府の規制当局がもっと大きな役割を果たすべきだと考えている人は32%に過ぎない。 
・When it comes to regulating companies, 54% of voters think the government should prioritize lowering prices for consumers while only 16% think they should prioritize keeping businesses from getting too big.  ・企業の規制に関しては、54%の有権者が、政府は消費者のために価格を下げることを優先させるべきだと考えている一方、企業が大きくなりすぎないようにすることを優先させるべきだと考える人は16%に過ぎなかった。 
・When asked what should be done about tech regulation, only 5% support more regulation on big tech, 4% support breaking up large tech companies, and only 3% support limiting large tech firms from growing further.   ・ハイテク規制についてどうすべきかとの問いには、大手ハイテク企業への規制強化は5%、大手ハイテク企業の解体支持は4%、大手ハイテク企業がこれ以上成長するのを制限する支持は3%にとどまった。
The national poll surveyed 1,219 likely 2022 voters and was conducted July 5-10, 2022. Results from the full survey have a margin of error of plus or minus 2.86 percentage points.  本全米調査は、2022年の有権者と思われる1,219人を対象に、7月5日から10日にかけて実施された。全調査の結果は、プラスマイナス2.86ポイントの誤差がある。 
Full poll results can be viewed online here. 本調査の全結果は、オンライン閲覧可能である。 

 

・2022.07.21 Voters to Congress: Lower Prices, Leave Tech Alone

Voters to Congress: Lower Prices, Leave Tech Alone 有権者から議会へ:物価を下げ、技術に手を出すな
A new poll reveals that voters oppose Congressional proposals to add new antitrust regulations for technology companies, and a majority of voters are more likely to oppose candidates who support such regulations. 新しい調査によると、有権者はテクノロジー企業に対する新たな独占禁止法規制を追加する議会の提案に反対しており、有権者の大多数はそのような規制を支持する候補者に反対する傾向があることが明らかになった。
new poll from the U.S. Chamber of Commerce confirms what most people probably sense already: the American people want Congress to fight inflation and to avoid new regulations that could raise prices even higher.  米商工会議所の新しい調査は、おそらくほとんどの人がすでに感じていることを裏付けている。米国民は議会がインフレと戦い、物価をさらに上昇させるような新しい規制を避けることを望んでいる。 
In a national survey of 1,219 likely voters, with a ±2.86% margin of error, the Chamber examined American attitudes towards antitrust legislation and the government’s role in the market.  Axis Research, which conducted the poll, found that likely voters are hyper-focused on the economy and inflation – and that they worry that government intervention in the market would lead to even higher prices.  米国商工会議所は、有権者1,219人を対象にした全国規模の調査(誤差±2.86%)で、独占禁止法および市場における政府の役割に対する米国の意識を調査した。  この調査を実施したAxis Research社は、有権者が経済とインフレに過度の関心を抱いており、政府の市場介入によって物価がさらに上昇することを懸念していることを明らかにした。 
Large majorities of likely voters want Congress to focus like a laser beam on inflation:  有権者の大多数は、議会がインフレにレーザー光線のように焦点を当てることを望んでいる。 
・64% are concerned about where the economy is headed.  ・64%が経済の行方を懸念している。 
・58% of voters want Congress to focus on the economy/inflation.  Other priorities pale by comparison: Abortion (7%), Climate Change (6%), Healthcare (6%), Immigration (5%), and Crime (5%).  ・有権者の58%が議会に経済/インフレに焦点を当てることを望んでいる。  他の優先順位は、それに比べると見劣りする。中絶(7%)、気候変動(6%)、医療(6%)、移民(5%)、犯罪(5%)。 
・When it comes to regulating companies, 54% of voters think the government should prioritize lowering prices for consumers, while only 16% think they should prioritize keeping businesses from getting too big.   ・企業規制に関しては、54%の有権者が「消費者のために価格を下げることを優先すべき」と考えているのに対し、「企業が大きくなりすぎないようにすることを優先すべき」と考えているのは16%に過ぎない。  
Moreover, most likely voters worry that new tech regulations could actually raise prices even higher:   さらに、有権者の多くは、新たな技術規制がかえって物価を上昇させることを懸念している。  
・67% of voters believe more government regulation of companies will increase prices on consumers.  ・67%の有権者が、政府による企業への規制強化は消費者物価の上昇につながると考えている。 
Likely voters also want Congress to avoid regulations that could threaten the services they need and love:  また、有権者の多くは、自分たちが必要とし、愛しているサービスを脅かすような規制を議会が避けることを望んでいる。 
・70% of voters would strongly oppose or somewhat oppose antitrust regulation that impacts services they rely on daily, with 51% suggesting they may be inclined to vote against those who support antitrust regulation.     ・70%の有権者が、日常的に利用しているサービスに影響を与える独占禁止法の規制に強く反対するか、ある程度反対すると答え、51%が独占禁止法規制を支持する人に反対票を投じる傾向があると示唆した。    
・Voters place high value from things that are threatened by antitrust regulation, including: ・有権者は、独占禁止法規制によって脅かされるものに高い価値を置いており、以下のようなものがある。
・Google Maps embedded in search results — 85%  ・検索結果に表示されるグーグルマップ - 85%
・Free shipping via Amazon Prime — 82%  ・アマゾン・プライムによる配送料無料 - 82%
・App stores on phones — 74%  ・携帯電話のアプリストア - 74%
・Knowing apps have been vetted for security and viruses — 88%  ・アプリがセキュリティやウィルスに感染していないか確認できること - 88%
Indeed, outside of the Beltway, likely voters have almost no interest in changing the antitrust laws to go after tech companies:  実際、ワシントンDC以外の地域では、有権者は独占禁止法を改正してハイテク企業を追及することにほとんど関心を持っていない。 
・Just 1% of likely voters think Congress should prioritize regulating technology companies.  ・議会がテクノロジー企業の規制を優先させるべきだと考える有権者は、わずか1%だった。 
・When asked what should be done about tech regulation, only 5% support more regulation on big tech, 4% supported breaking up large tech companies, and only 3% supported limiting large tech firms from growing further.  ・テクノロジー規制についてどうすべきか、という質問に対しては、大手ハイテク企業への規制強化を支持する人はわずか5%、大手ハイテク企業の解体支持は4%、大手ハイテク企業のさらなる成長を制限する支持はわずか3%であった。 
Finally, and in light of skyrocketing gas prices and food prices, Americans do not believe that “government knows best” and do not want to empower bureaucrats to micromanage the economy:  最後に、ガソリン価格や食料価格の高騰を踏まえ、アメリカ人は「政府が一番よく知っている」とは思っておらず、官僚に経済の微調整をさせることは望んでいない。 
・88% of likely voters agree that competition in the market means consumers get to select the best products and services that are offered at the best prices.  ・88%の有権者は、市場における競争は、消費者が最良の製品やサービスを最良の価格で選択できることを意味すると考えている。 
・81% of likely voters believe that market competition, not government regulation, is the fuel of American innovation.  ・81%の有権者は、政府の規制ではなく、市場競争こそがアメリカのイノベーションの原動力だと考えている。 
・Only 32% believed that government regulators should play a larger role in determining which products and services are allowed to compete in the marketplace.  ・どの製品やサービスが市場で競争できるかを決めるのに、政府の規制当局がもっと大きな役割を果たすべきだと考えている人は、わずか32%であった。 
The message to Congress is clear: keep your hands off our beloved tech products and instead focus on fighting inflation.  The only real question is, will Congress listen?  議会へのメッセージは明確だ。私たちの愛するハイテク製品に手を出さず、インフレ対策に専念せよ。  唯一の問題は、議会が耳を傾けるかどうかということだ。 

 

調査結果

・[PDF

20220729-00907

 


 

まるちゃんの情報セキュリティ気まぐれ日記

欧州

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

英国

・2022.06.12 英国 競争市場局 モバイルエコシステムに関する市場調査 最終報告と今後

 

中国

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

日本

・2022.07.09 総務省 プラットフォームサービスに関する研究会 第二次とりまとめ(案)についての意見募集 (2022.07.04)

・2022.05.26 意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

 

その他。。。

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2021.10.18 JETRO EUデジタル政策の最新概要(2021年10月)

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

 

| | Comments (0)

2022.07.28

日本シーサート協議会 PSIRT Maturity Document 日本語版 (2022.07.13)

こんにちは、丸山満彦です。

FirstのPSIRT Maturity Documentの日本語版が公開されていますね。

(実は、ブログを書いたと思っていたら、書きかけのまま放置されていた...)

⽇本語訳は⽇本シーサート協議会と Software ISAC によって翻訳された後、JPCERT/CC とPanasonic PSIRT と TOSHIBA-SIRT がレビューしたようですね。。。

 

日本シーサート協議会 (NCA)

・2022.07.21 PSIRT Maturity Document 日本語版

ドキュメント自体はFIRSTのウェブ上にあります...

 

FIRST

・[PDF] Product Security Incident Response Team (PSIRT) Maturity Document(日本語版)

20220728-102952

 

原文はこちらです。。。

Product Security Incident Response Team (PSIRT) Maturity Document

PDF版はこちら。。。

・[PDF] Product Security Incident Response Team (PSIRT) Maturity Document

20220728-104849

 

サービスフレームワークについては、こちら。。。最新版は ver 1.1です。

PSIRT Services Framework

・[PDF] PSIRT Services Framework (ver1.1)

20220728-104351

 

日本語訳は ver1.0

・[PDF] PSIRT Services Framework Version 1.0 日本語版

20220728-105153

 

 

| | Comments (0)

Cloud Security Alliance: IoT Controls Matrix v3とそのガイド 日本語版 (2022.07.21)

こんにちは、丸山満彦です。

Cloud Security Allianceが IoT Controls Matrix v3そのガイドの日本語版を発表していますね。。。

IoT Controls Matrix v3自体は、エクセルです。。。

 

Cloud Security Alliance (CSA)

IoT Controls Matrixの日本語版はこちらから...

・2022.07.21 IoT Controls Matrix v3 - Japanese Translation

・[ELSX] アカウント登録するとダウンロードできます

 

で、そのガイドはこちらから...

・2022.07.21 CSA IoT Controls Matrix v3 ガイド

・[PDF] アカウント登録するとダウンロードできます

20220728-63231

 

目次...

業界プロファイル
ゴール
対象とする利用者
バージョンについて
IoT
セキュリティコントロール フレームワークの使い方
セキュリティコントロールの目的(A,B,C,D,E,F列)
IoT
システムリスクの影響度(GHI列)
補足的なコントロールガイダンス(JK欄)
実施ガイダンス(LMN列)
 セキュリティコントロールのタイプ(L列)
 コントロール実施ガイダンス(M列)
 コントロールの見直し期間(N列)

デバイス、ネットワーク、ゲートウェイ、クラウドサービス(OPQR
その他のリソース

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.13 Cloud Security Alliance: IoT Controls Matrix v3とそのガイド (2022.04.25)

 

 

 

| | Comments (0)

ISO/IEC 27099:2022 情報技術—公開鍵インフラストラクチャ—実践とポリシーフレームワーク (2022.07.08)

こんにちは、丸山満彦です。

公開鍵インフラストラクチャ—実践とポリシーフレームワークに関する標準が公表されていました。。。

  • 金融サービスのPKI標準ISO21188:2018から派生したもので、 ISO / IEC 9594-8ISO / IEC 19790RFC 3647に基づいて、ISMSを通じて運用、ベースラインのコントロールと実践の実装を促進する。
     
    • ISO 21188:2018 の条項の主な変更点については、附属書 E を参照
    • 参照されているISMSは、ISO/IEC 27002:2013の構造

  • 電子署名、認証またはデータ暗号化のための鍵確立に使用される公開鍵証明書のライフサイクルについて記述する。

  • ルートCAと中間CAにも適用できる

  • 公開鍵証明書の使用に基づく認証方法、否認防止要件、鍵管理プロトコルについては言及しない。

  • 属性証明書については、適用されない。

 

● International Organization for Standardization; ISO

・2022.07.08 ISO/IEC 27099:2022 Information technology — Public key infrastructure — Practices and policy framework

 ・Preview

ABSTRACT 要約
This document sets out a framework of requirements to manage information security for Public key infrastructure (PKI) trust service providers through certificate policies, certificate practice statements, and, where applicable, their internal underpinning by an information security management system (ISMS). The framework of requirements includes the assessment and treatment of information security risks, tailored to meet the agreed service requirements of its users as specified through the certificate policy. This document is also intended to help trust service providers to support multiple certificate policies. 本文書は、証明書ポリシー、証明書実務記述書、および該当する場合、情報セキュリティ管理システム(ISMS)による内部的な裏付けを通じて、公開鍵基盤(PKI)信頼サービスプロバイダの情報セキュリティを管理するための要求事項の枠組みを規定するものである。要求事項の枠組みには、証明書ポリシーで規定される利用者の合意されたサービス要件を満たすように調整された情報セキュリティリスクの評価と対処が含まれる。また、本書は、信頼できるサービスプロバイダが複数の証明書ポリシーをサポートするための一助となることを意図している。
This document addresses the life cycle of public key certificates that are used for digital signatures, authentication, or key establishment for data encryption. It does not address authentication methods, non-repudiation requirements, or key management protocols based on the use of public key certificates. For the purposes of this document, the term “certificate” refers to public key certificates. This document is not applicable to attribute certificates. 本文書は、電子署名、認証またはデータ暗号化のための鍵確立に使用される公開鍵証明書のライフサイクルについ て記述する。公開鍵証明書の使用に基づく認証方法、否認防止要件、鍵管理プロトコルについ ては言及しない。本文書において、「証明書」という用語は、公開鍵証明書を指す。属性証明書については、本書は適用されない。
This document uses concepts and requirements of an ISMS as defined in the ISO/IEC 27000 family of standards. It uses the code of practice for information security controls as defined in ISO/IEC 27002. Specific PKI requirements (e.g. certificate content, identity proofing, certificate revocation handling) are not addressed directly by an ISMS such as defined by ISO/IEC 27001 [26]. 本文書は、ISO/IEC 27000 規格群に定義される ISMS の概念および要件を使用する。ISO/IEC 27002 で定義されている情報セキュリティ管理に関する実践規範を使用している。特定の PKI 要件(証明書の内容、ID の証明、証明書の失効処理など)は、ISO/IEC 27001 [26]で定義されているような ISMS では直接扱われない。
The use of an ISMS or equivalent is adapted to the application of PKI service requirements specified in the certificate policy as described in this document. ISMS または同等のものの使用は、本文書に記載される証明書ポリシーに規定される PKI サービス要件の適用に適応される。
A PKI trust service provider is a special class of trust service for the use of public key certificates. PKI トラスト・サービス・プロバイダは、公開鍵証明書を使用するための特別なクラスのトラスト・ サービスである。
This document draws a distinction between PKI systems used in closed, open and contractual environments. This document is intended to facilitate the implementation of operational, baseline controls and practices in a contractual environment. While the focus of this document is on the contractual environment, application of this document to open or closed environments is not specifically precluded. 本文書は、クローズド、オープン、および契約上の環境で使用される PKI システムを区別してい る。本文書は、契約環境における運用、基準管理および実務の実施を促進することを意図している。本文書の焦点は契約環境にあるが、本文書をオープンまたはクローズド環境に適用することは特に妨げ られるものではない。

 

目次...

Foreword 序文
Introduction はじめに
1 Scope 1 適用範囲
2 Normative references 2 引用規格
3 Terms and definitions 3 用語及び定義
4 Abbreviated terms 4 略語
5 Public key infrastructure (PKI) general concepts 5 公開鍵基盤(PKI)の一般的な概念
5.1 General 5.1 一般
5.2 What is PKI? 5.2 PKI とは何か?
5.2.1 General 5.2.1 一般
5.2.2 Public key infrastructure process flow 5.2.2 公開鍵基盤のプロセスフロー
5.3 Use of PKI Service components within example business flows 5.3 ビジネスフロー例における PKI サービスコンポーネントの使用
5.3.1 General 5.3.1 一般
5.3.2 Illustration of certificate application in a contractual PKI environment 5.3.2 契約上の PKI 環境における証明書アプリケーションの図解
5.4 Certification authority (CA) 5.4 認証機関 (CA)
5.5 Business perspectives 5.5 ビジネス上の観点
5.5.1 General 5.5.1 一般
5.5.2 Business risks 5.5.2 ビジネスリスク
5.5.3 Applicability 5.5.3 適用可能性
5.5.4 Legal issues 5.5.4 法的問題
5.5.5 Regulatory issues 5.5.5 規制上の問題
5.5.6 Business usage issues 5.5.6 ビジネス利用上の問題
5.5.7 Interoperability issues 5.5.7 相互運用上の問題
5.6 Certificate policy (CP) 5.6 証明書ポリシー(CP)
5.6.1 General 5.6.1 一般
5.6.2 Policy Authority and certificate policy usage 5.6.2 ポリシー機関及び証明書ポリシーの使用法
5.6.3 Certificate policies within a hierarchy of trust 5.6.3 信頼の階層内の証明書ポリシー
5.6.4 Certificate status 5.6.4 証明書のステータス
5.7 Certification practice statement (CPS) 5.7 認証業務運用規程(CPS)
5.7.1 General 5.7.1 一般
5.7.2 CPS creation 5.7.2 CPS の作成
5.7.3 Purpose 5.7.3 目的
5.7.4 Level of specificity 5.7.4 具体性のレベル
5.7.5 Approach 5.7.5アプローチ
5.7.6 Audience and access 5.7.6 想定読者及びアクセス
5.8 Agreements 5.8 合意事項
5.9 Time-stamping 5.9 タイムスタンプ
5.10 Trust models 5.10 信頼モデル
5.10.1 Trust model considerations 5.10.1 信頼モデルの考慮事項
5.10.2 Wildcard certificate considerations 5.10.2 ワイルドカード証明書に関する考察
5.10.3 Relying party considerations 5.10.3 リライングパーティー に関する考察
5.11 Component services 5.11 コンポーネント・サービス
5.12 PKI hierarchies and independently managed CAs 5.12 PKI 階層および独立に管理される認証機関
5.13 Root CA 5.13 ルート CA
5.13.1 General 5.13.1 一般
5.13.2 CA relationships and PKI hierarchies 5.13.2 認証機関の関係および PKI 階層
6 Certificate policy (CP), certification practice statement (CPS) and their relationship to information security management system (ISMS) 6 証明書ポリシー(CP)、認証業務運用規程(CPS)、および情報セキュリティ管理システム(ISMS) とそれらの関係
6.1 General 6.1 一般
6.2 Certificate policy (CP) guidance 6.2 証明書ポリシー(CP)の手引き
6.3 Certification practice statement (CPS) guidance 6.3 認証業務運用規程(CPS)ガイダンス
7 Certification authority objectives and controls 7 認証機関の目的及び管理
7.1 General 7.1 一般
7.2 Certification practice statement and certificate policy management 7.2 認証業務運用規程及び認証書ポリシーの管理
7.2.1 Certificate policy management 7.2.1 証明書ポリシー管理
7.2.2 CPS and CA management 7.2.2 CPS および認証局の管理
7.2.3 Subscriber and relying party agreements 7.2.3 利用者及び依拠当事者規約
7.3 Information security 7.3 情報セキュリティ
7.4 Asset classification and management 7.4 資産の分類および管理
7.5 Human resources security 7.5 人的資源のセキュリティ
7.6 Physical and environmental security 7.6 物理的及び環境的セキュリティ
7.7 Operations security 7.7 運用セキュリティ
7.8 Access control 7.8 アクセス管理
7.9 System acquisition development and maintenance 7.9 システムの取得・開発・保守
7.10 Business continuity management 7.10 事業継続管理
7.11 Monitoring, conformance and compliance 7.11 監視、適合性、コンプライアンス
7.12 Audit journal security assurance 7.12 監査ジャーナルセキュリティ保証
7.13 CA key life cycle management controls 7.13 CA 鍵のライフサイクル管理の管理
7.13.1 CA key generation 7.13.1 認証機関鍵の生成
7.13.2 CA key storage, back-up, and recovery 7.13.2 認証機関鍵の保管、バックアップ、およびリカバリ
7.13.3 CA public key distribution 7.13.3 認証機関公開鍵の配布
7.13.4 CA key usage 7.13.4 認証機関鍵の使用
7.13.5 CA key archival and destruction 7.13.5 認証機関鍵のアーカイブおよび破壊
7.13.6 CA key compromise 7.13.6 認証機関鍵の危殆化
7.14 Subject key life cycle management controls 7.14 サブジェクト鍵のライフサイクル管理の管理
7.14.1 CA-provided subject key generation services (if supported) 7.14.1 CA が提供するサブジェクト鍵生成サービス(サポートされる場合)
7.14.2 CA-provided subject key storage and recovery services (if supported) 7.14.2 認証機関が提供するサブジェクト鍵の保管およびリカバリ・サービス(サポートされる場合)
7.14.3 Hardware token life cycle management if outsourced to an external service (if supported) 7.14.3 外部サービスに委託している場合は、ハードウェア・トークンのライフサイクル管理(サポートさ れている場合)
7.14.4 Subject key management, if supported 7.14.4 サブジェクト鍵の管理(サポートされる場合)
7.15 Certificate life cycle management controls 7.15 証明書ライフサイクル管理の管理
7.15.1 Subject registration 7.15.1 サブジェクトの登録
7.15.2 Certificate renewal (if supported) 7.15.2 証明書の更新(サポートされる場合)
7.15.3 Certificate rekey 7.15.3 証明書のリキー
7.15.4 Certificate issuance 7.15.4 証明書の発行
7.15.5 Certificate distribution 7.15.5 証明書の配布
7.15.6 Certificate revocation 7.15.6 証明書の失効
7.15.7 Certificate suspension (if supported) 7.15.7 証明書の一時停止(サポートされる場合)
7.15.8 Revocation status information service 7.15.8 失効ステータス情報サービス
7.15.9 Controlled CA termination 7.15.9 管理された認証局の終了
7.16 Root CA controls 7.16 ルート認証局の管理
7.16.1 Physical and environmental security 7.16.1 物理的および環境的なセキュリティ
7.16.2 Operations security 7.16.2 運用セキュリティ
7.16.3 Access control 7.16.3 アクセス管理
7.16.4 Root CA key generation 7.16.4 認証機関鍵の生成
7.16.5 Generation of root CA keys script requirements 7.16.5 ルート認証機関鍵の生成 スクリプトの要件
7.16.6 Root CA public key distribution 7.16.6 ルート認証機関公開鍵の配布
7.16.7 Root CA key compromise 7.16.7 認証局鍵の危殆化
7.17 CA certificate life cycle management controls – subordinate CA certificate 7.17 認証機関証明書のライフサイクル管理の管理 - 下位認証機関証明書
Annex A Management by certificate policy 附属書 A 証明書ポリシーによる管理
A.1 Purpose of certificate policies A.1 証明書ポリシーの目的
A.2 Definition of a certificate policy A.2 証明書ポリシーの定義
A.3 Establishing policies in certificates A.3 証明書にポリシーを設定する
A.4 Certificate applicability under a named certificate policy A.4 指定された証明書ポリシーに基づく証明書の適用性
A.5 Cross-certification, certificate chains, policy mapping and certificate policies A.5 相互認証、証明書チェーン、ポリシーマッピング、及び証明書ポリシー
A.5.1 Cross-certification A.5.1 相互認証
A.5.2 Certificate chains A.5.2 証明書チェーン
A.5.3 Certificate policy mapping A.5.3 証明書ポリシーのマッピング
A.5.4 Policy constraints A.5.4 ポリシー制約
A.6 Certificate classes and naming A.6 証明書クラスと命名
A.7 Certificate policy provisions A.7 証明書ポリシー規定
A.7.1 General A.7.1 一般
A.7.2 Interpretation A.7.2 解釈
A.7.3 Obligations A.7.3 義務
A.7.4 Enforcement A.7.4 強制執行
A.7.5 Liability A.7.5 責任
A.7.6 Operational requirements A.7.6 運用要件
A.8 Certificate policy management A.8 認証書ポリシー管理
Annex B CA key generation ceremony 附属書 B CA 鍵生成式
B.1 General B.1 一般
B.2 Roles and responsibilities B.2 役割と責任
B.2.1 General B.2.1 一般
B.2.2 Operating system administrator B.2.2 オペレーティングシステム管理者
B.2.3 CA application administrator B.2.3 CA アプリケーション管理者
B.2.4 Cryptographic materials custodian B.2.4 暗号化資料保管者
B.2.5 Key shareholders B.2.5 鍵の所有者
B.2.6 Master of ceremonies B.2.6 式典の司会者
B.2.7 Policy authority B.2.7 ポリシー権限者
B.2.8 Independent observer B.2.8 独立オブザーバ
B.3 CA key generation ceremony script B.3 CA 鍵生成セレモニースクリプト
B.3.1 General B.3.1 一般
B.3.2 CA key generation ceremony procedures B.3.2 CA 鍵生成セレモニー手順
Annex C Certification authority audit journal contents and use 附属書 C 認証機関の監査ジャーナルの内容および使用方法
C.1 General C.1 一般
C.2 Elements to be included in all journal entries C.2 すべてのジャーナル・エントリに記載されるべき要素
C.3 Certificate application information to be journalized by an RA or CA C.3 RA あるいは CA によって記録される認証書申請情報
C.4 Events to be journalized C.4 ジャーナルに記載されるイベント
C.5 Security-sensitive events to be journalized C.5 ジャーナルに記録されるべきセキュリティ上重要なイベント
C.6 Messages and data to be journalized C.6 ジャーナルされるメッセージおよびデータ
C.7 Audit journal backup C.7 監査ジャーナルのバックアップ
C.8 Audit journal use C.8 監査ジャーナルの使用
Annex D Certificate and PKI roles 附属書 D 証明書および PKI の役割
D.1 Short-term certificate (STC) D.1 短期証明書(STC)
D.2 Long-term certificate (LTC) D.2 長期証明書(LTC)
D.3 PKI role overview D.3 PKI の役割の概要
D.3.1 Policy authority (PA) D.3.1 ポリシー機関(PA)
D.3.2 Certificate authority (CA) D.3.2 認証機関 (CA)
D.3.3 Registration authority (RA) D.3.3 登録機関(RA)
D.3.4 Subject D.3.4 サブジェクト
D.3.5 Relying party (RP) D.3.5 依拠当事者(RP)
D.3.6 Subject cryptographic mechanism provider (SCMP) D.3.6 サブジェクト暗号メカニズムプロバイダ (SCMP)
Annex E Changes to ISO 21188:2018 to produce ISO/IEC 27099 附属書 E ISO/IEC 27099 を生成するための ISO 21188:2018 の変更点
Bibliography 参考文献

 

2224pxiso_logo_red_squaresvg

 

JIS

・2022.07.16 ISO/IEC 27099:2022 情報技術—公開鍵インフラストラクチャ—実践とポリシーフレームワーク

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」(IT委員会実務指針第9号)とそのQ&A(IT委員会研究報告第55号)の改訂案

 

15年ほど前

・2008.11.11 政府認証基盤(GPKI)が「WebTrust for CA」検証報告書を取得

・2008.07.09 地方公共団体組織認証基盤(LGPKI)が「WebTrust for CA」検証報告書を取得

・2005.11.29 検査機関、監査法人はトラストアンカーか・・・

・2005.01.20 IEが表示する「信頼する会社」とは・・・

 

| | Comments (0)

国立情報学研究所 オープンサイエンスのためのデータ管理基盤ハンドブック

こんにちは、丸山満彦です。

国立情報学研究所が、日本学術会議の協力を得て、「オープンサイエンスのためのデータ管理基盤ハンドブック-学術研究者のための"個人情報"の取扱い方について-」を作成し公開していますね。。。

このハンドブックは、研究者がデータを取扱う際の注意点をまとめ、わかりやすく解説したものと言うことです。。。

 

国立情報学研究所 

・2022.07.27 ビッグデータ時代の研究の個人情報保護ルールの全体像を説明 ~「オープンサイエンスのためのデータ管理基盤ハンドブック」を発行~

オープンサイエンスのためのデータ管理基盤ハンドブック


対象読者

 本ハンドブックの読者は、主として大学等の研究機関に属する研究者を想定していますが、企業等民間の研究機関に属する研究者、研究のアシスタントや大学事務、さらには研究機関内の研究倫理審査委員会に携わる方等にも有用な内容となるように作成しました。


と言うことのようです。。。

 

オープンサイエンスのためのデータ管理基盤ハンドブック ~学術研究者のための “個人情報” の 取扱い方について~

 ・[PDF] オープンサイエンスのためのデータ管理基盤ハンドブック ~学術研究者のための“個人情報”の取扱い方について~ (第1版)

20220727-181254

 

目次...

1 ハンドブックの趣旨と想定読者
1.1
ハンドブックの趣旨
1.2
想定読者

2 ハンドブックの読み方
2.1
ハンドブック各章の関係性
2.2
学術研究分野における個人情報等の適正な取扱いチェックリスト

3 定義:対象となる情報とは
3.1
ポイント
3.2 Q&A
3.3
個人情報
3.4
個人識別符号
3.5
要配慮個人情報
3.6
個人情報データベース等
3.7
個人データ
3.8
保有個人データ
3.9
保有個人情報
3.10
個人関連情報

4 定義:対象となる取扱者とは
4.1
ポイント
4.2 Q&A
4.3
個人情報取扱事業者
4.4
個人関連情報取扱事業者
4.5
匿名加工情報取扱事業者
4.6
仮名加工情報取扱事業者

5 定義:その他
5.1
ポイント
5.2 Q&A
5.3
通知・公表
5.4
本人の同意
5.5
提供

6 研究利用目的での例外の考え方
6.1
ポイント
6.2 Q&A
6.3
学術研究機関等
6.4
学術研究目的
6.5
利用目的変更の制限の例外
6.6
要配慮個人情報の取得の例外
6.7
個人データの第三者提供の制限の例外
6.8
学術研究機関等の責務
6.9
別表第二法人等

7 研究分野毎の留意点
7.1
ポイント
7.2 Q&A

8 研究における個人情報の利用形式の検討
8.1
ポイント
8.2 Q&A
8.3
匿名加工情報
8.4
仮名加工情報
8.5
統計利用等

9 研究の各側面における個人情報取扱いの注意点:研究計画の策定
9.1
ポイント
9.2 Q&A
9.3
利用目的の特定
9.4
(例外検討)利用目的の変更
9.5
利用目的による制限

10 研究の各側面における個人情報取扱いの注意点:研究における個人情報の取得
10.1
ポイント
10.2 Q&A
10.3
適正取得
10.4
(例外検討)要配慮個人情報の取得
10.5
利用目的の通知又は公表
10.6
直接書面等による取得
10.7
利用目的の通知等をしなくてよい場合

11 研究の各側面における個人情報取扱いの注意点:研究における個人データの管理
11.1
ポイント
11.2 Q&A
11.3
データ内容の正確性の確保等
11.4
安全管理措置
11.5
従業員の監督
11.6
委託先の監督

12 研究の各側面における個人情報取扱いの注意点:個人情報の共有
12.1
ポイント
12.2 Q&A
12.3
(例外検討)第三者提供の制限
12.4
第三者に該当しない場合
12.5
外国にある第三者への提供の制限
12.6
第三者提供に係る記録の作成等
12.7
第三者提供を受ける際の確認等

13 研究の各側面における個人情報取扱いの注意点:保有個人データ・保有個人情報の取扱い
13.1
ポイント
13.2 Q&A
13.3
(民間部門)保有個人データに関する事項の公表等
13.4
(民間部門)保有個人データの開示
13.5
(民間部門)第三者提供記録の開示
13.6
(民間部門)保有個人データの訂正等
13.7
(民間部門)保有個人データの利用停止等
13.8
(民間部門)理由の説明
13.9
(民間部門)開示等の請求等に応じる手続
13.10
(民間部門)手数料
13.11
(民間部門)裁判上の訴えの事前請求
13.12
(公的部門)個人情報ファイル簿の作成及び公表
13.13
(公的部門)保有個人情報の開示
13.14
(公的部門)保有個人情報の訂正
13.15
(公的部門)保有個人情報の利用停止
13.16
苦情処理
13.17
対外発表時の留意点
13.18
研究終了後の保管

14 講ずべき安全管理措置
14.1
ポイント
14.2 Q&A
14.3
基本方針の策定
14.4
個人データの取扱いに係る規律の整備
14.5
組織的安全管理措置
14.6
人的安全管理措置
14.7
物理的安全管理措置
14.8
技術的安全管理措置
14.9
外的環境の把握

【参考】検討体制

-----

検討体制

座長 喜連川 優 国立情報学研究所所長
  生貝 直人 一橋大学大学院法学研究科准教授
  石井 夏生利 中央大学国際情報学部教授
  岡村 久道 英知法律事務所 弁護士
国立情報学研究所客員教授
  奥邨 弘司 慶應義塾大学大学院法務研究科教授
  佐藤 健 国立情報学研究所情報学プリンシプル研究系教授
座長代理 宍戸 常寿 東京大学大学院法学政治学研究科教授
国立情報学研究所客員教授
  髙橋 克巳 NTT 社会情報研究所 チーフ・セキュリティ・サイエンティスト
国立情報学研究所特任研究員
  西貝 吉晃 千葉大学大学院社会科学研究院准教授
  森 亮二 英知法律事務所 弁護士,
国立情報学研究所客員教授
  山地 一禎 国立情報学研究所教授 オープンサイエンス基盤研究センター長
  吉川 正俊 京都大学大学院情報学研究科教授

 

| | Comments (0)

公正取引委員会 うんこドリルと連携した「日本一楽しい競争のルールドリル」

こんにちは、丸山満彦です。

公正取引委員会が、競争の大切さや独占禁止法の内容について楽しく学んでもらうことを目的として「うんこドリル」と連携して「日本一楽しい競争のルールドリル」を作成していますね。。。

そう来ましたか。。。

「公正取引委員会 × うんこドリル 独占禁止法編」 となっているので、これからシリーズ化するのでしょうかね。。。

 

公正取引委員会

・2022.04.27「日本一楽しい競争のルールドリル」の作成について

・[PDF] 冊子

20220727-180053

 

内容はQ&A形式になっていて。。。

問題は5問です。

 

小学校高学年向けですかね。。。良いと思いました (^^)

 

ちなみに、随契で契約金額は1,650,000円です。。。[xlsx] 公共調達の適正化について(平成18年8月25日付財計第2017号)に基づく随意契約に係る情報の公表(物品役務等)及び公益法人に対する支出の公表・点検の方針について(平成24年6月1日 行政改革実行本部決定)に基づく情報の公開

 

 

 

 

 

| | Comments (0)

2022.07.27

米国 FBIによるNFT取引の留意事項... (2022.07.22)

こんにちは、丸山満彦です。

Web3 [wikipedia] なのか、Web3.0なのかはわかりませんが、NFT (Non-fungible token; 非代替性トークン) [wikipedia] がこのところ話題となっています。。。何故か、取引価格も上がったりしており、その結果、犯罪者に狙われるものの一つとなっているようですね。。。

と言うこともあってか、ギャンブルなどお金が動く街、ラスベガスのFBIが警告を出しているのだろうと思います。。。

FBI - LAS VEGAS

・2022.07.22 FBI Las Vegas Federal Fact Friday: All About NFTs

 

FBI Las Vegas Federal Fact Friday: All About NFTs FBIラスベガス 連邦ファクト・フライデー NFTのすべて
The FBI Las Vegas Field Office wants to ensure community standards for buying, selling, and trading NFTs are followed by interested parties. By following common-sense community standards, you can help the NFT community thrive and keep participants free from life-altering financial losses or worse. FBIラスベガス支局は、NFTの売買および取引に関するコミュニティ基準が関係者によって遵守されていることを確認したいと考えている。常識的なコミュニティ基準に従うことで、NFTコミュニティの繁栄に貢献し、参加者が人生を左右するような金銭的損失や最悪の事態を回避することができる。
NFT theft NFT窃盗
Even in down traditional and crypto markets, NFT theft has increasingly become a community targeted by criminals of all stripes. Some NFT collections have become valuable and the darling of high-tech theft. NFT collections such as Bored Ape Yacht Club, Mutant Ape Yacht Club, Cyber Punks, Azuki, and Cool Cats have elevated floor valuations and contain individual NFTs that are highly valuable. It shouldn’t be any surprise these are being targeted by thieves. 伝統的な市場や暗号市場でさえそうであるように、NFTの窃盗はあらゆる犯罪者に狙われるコミュニティとなってきている。NFTコレクションの中には貴重なものもあり、ハイテク窃盗団の寵児となっている。Bored Ape Yacht Club、Mutant Ape Yacht Club、Cyber Punks、Azuki、Cool CatsなどのNFTコレクションはその最低落札想定額が上昇し、非常に価値のある個々のNFTが含まれている。これらが窃盗団に狙われるのも不思議ではない。
How they do it 犯罪者の手口
Typically, it’s social engineering coupled with some technical know-how. Criminal adversaries will find NFTs they’re interested in on social media or on exchanges and target them. Social media platforms are popular for chatting about buying, selling, and trading NFTs, amongst many other NFT topics. Owners of valuable NFTs can be lured into using a social media site rather than the exchanges to complete a transaction by attempting to avoid commissions, higher prices, and/or unbalanced trades (in favor of the legitimate owner). Once a trade agreement has been reached between the legitimate owner and the criminal, the criminal sets up the trade and returns with a link in a direct message. Upon clicking the link the legitimate owner will see exactly what they expect to see. What the legitimate owner is really seeing, however, is a fake (phishing) site styled to look exactly like a legitimate site. It all looks good to the legitimate owner, and he/she links his/her digital wallet to the site and executes the trade. Upon doing so the legitimate owner has granted full access to his/her digital wallet and will quickly notice all his/her NFTs have been stolen. The stolen NFTs are listed on an exchange at a discounted price and quickly sold. The funds from the resulting sale are run through several wallets and/or mixers to “wash” it. Viola, a new victim is born. 一般的には、犯罪者の手口は、ソーシャルエンジニアリングと技術的なノウハウが組み合わされている。犯罪者は、ソーシャルメディアや取引所で興味のあるNFTを見つけ、それをターゲットにする。ソーシャルメディア・プラットフォームは、NFTの売買や取引など、NFTに関するさまざまなトピックについてチャットする場として人気がある。価値のあるNFTの所有者は、手数料や価格の上昇、(正当な所有者に有利な)不均衡な取引を避けようと、取引所ではなくソーシャルメディアサイトを使用して取引を完了するよう誘いかけられることがある。正規の所有者と犯罪者の間で取引の合意が成立すると、犯罪者は取引を設定し、ダイレクトメッセージでリンクを返する。リンクをクリックすると、正規の所有者は期待通りのものを見ることができる。しかし、正規の所有者が実際に見ているのは、正規のサイトのように見せかけた偽の(フィッシング)サイトである。そして、自分のデジタルウォレットをそのサイトにリンクさせ、取引を実行する。そうすると、正規の所有者は自分のデジタルウォレットへのフルアクセスを許可したことになり、すぐに自分のNFTがすべて盗まれていることに気づく。盗まれたNFTは取引所に格安で上場され、すぐに売却される。売却された資金は、複数のウォレットやミキサーにかけられ、「洗浄」される。ヴィオラ、新たな被害者の誕生だ。
How to defend against it NFTの防御方法
Since NFT theft can take place as a “drive-by” theft or over a period using social engineering tactics, it’s important to adhere to community standards to protect yourself. NFTの盗難は、「ドライブバイ」盗難として、またはソーシャルエンジニアリング戦術を使用して長期間にわたって行われるため、自分自身を守るためにコミュニティの標準を遵守することが重要である。
1. Do your due diligence. Check multiple NFT exchange sites to see if the NFT(s) you’re interested in have been flagged for suspicious activity. 1. デューデリジェンスを行う。複数のNFT取引所サイトをチェックし、興味のあるNFTに不審な動きがないか確認する。
2. Check social media sites for chatter related to NFT(s) you’re interested in. 2. ソーシャルメディアサイトで、興味のあるNFTに関連するチャットをチェックする。
3. Be suspicious of deeply discounted NFTs. For example, if you know the floor price of a collection is 100 ETH, be suspicious if you can buy into the collection for 50 ETH. 3. 大幅な値引きをしているNFTを疑ってみる。例えば、あるコレクションの最低落札価格が100ETHであることを知っている場合、50ETHでそのコレクションを購入できる場合は疑ってみよう。
4. Don’t be afraid to contact current or previous owners. There are a myriad of ways to contact owners—even anonymously—either via blockchain explorer or the applications you use. 4. 現所有者や前の所有者にコンタクトを取ることを恐れてはいけない。ブロックチェーンエクスプローラーや使用しているアプリケーションを経由して、匿名でも所有者に連絡する方法は無数に存在する。
5. Transactions are written permanently to a public blockchain. To add an extra layer of protection, you can view anyone’s wallet activity on a blockchain explorer such as Etherscan. You can also view a specific NFT’s activity on NFT exchange websites and/or the blockchain. Blockchain explorers can provide a wealth of useful information. 5. 取引はパブリックブロックチェーンに永久に書き込まれる。保護を強化するため、Etherscanなどのブロックチェーンエクスプローラーで誰のウォレットアクティビティでも見ることができる。また、NFT取引所のウェブサイトやブロックチェーン上で特定のNFTのアクティビティを見ることができる。ブロックチェーンエクスプローラーは、有用な情報を豊富に提供してくれる。
6. Store your NFTs and other digital assets in a hard-wallet as opposed to software wallets or on an exchange. As the old saying in crypto goes “not your keys not your crypto". The same can be applied to NFTs. 6. NFTやその他のデジタル資産は、ソフトウェアウォレットや取引所ではなく、ハードウォレットに保管すること。暗号の世界では昔から、「あなたの鍵がなければあなたの暗号ではない」と言われている。同じことがNFTにも当てはまる。
7. If you are going to execute a trade, initiate it from a trusted trading website or exchange and not from a social media DM containing a link. If you see one of these, chances are good you're being phished. 7. 取引を行う場合は、信頼できる取引サイトや取引所から行い、リンクを含むソーシャルメディアのDMからは行わないようにする。これらのDMを見た場合、フィッシングに遭っている可能性が高い。
Adhering to these community standards will keep the NFT markets fun and more importantly, safe. このようなコミュニティ基準を遵守することで、NFT市場は楽しく、より重要な安全性を保つことができる。
What to do if you become a victim 被害に遭った場合の対処法
8. First thing to do is report it. You can report it to your local FBI Field Office or report it to IC3.gov. Have as much detail as possible ready for the complaint and for when an FBI agent reaches out to you. 8. まず、報告すること。近くのFBI支局に報告するか、IC3.govに報告することができる。苦情やFBI捜査官が接触してきたときのために、できるだけ詳しい情報を準備しておく。
Important reminder 重要な注意事項
If you knowingly buy, sell or trade an NFT you know or suspect is stolen, you could be committing a crime. 盗難されたモノと知りながら、または盗難されたモノだろうと疑いながら、NFTを購入、販売、取引した場合、犯罪となる可能性がある。

 

Fbi_20210425171201

 

| | Comments (0)

意見募集 経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本的な方針案等について

こんにちは、丸山満彦です。

内閣府大臣官房経済安全保障法制準備室が、経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本的な方針案等についての意見募集をしていますね。。。

 

● e-Gov

・2022.07.27 経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本的な方針案等について

 

・[PDF] (1)経済施策を一体的に講ずることによる安全保障の確保の推進に関する基本的な方針(案)

20220727-11145

 

・[PDF] (2)特定重要物資の安定的な供給の確保に関する基本指針(案)

20220727-11324

 

・[PDF] (3)特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針(案)

20220727-11434

 


 

● 内閣官房 - 経済安全保障法制に関する有識者会議(令和4年度~)

議事次第

資料1 経済安全保障法制に関する有識者会議の開催について

資料2 経済安全保障法制に関する有識者会議運営要領

資料3 経済安全保障推進法の審議 ・今後の課題等について

資料4 ご説明資料

資料5 経済施策を一体的に講ずることによる 安全保障の確保の推進に関する基本的な方針(案)

資料6 特定重要物資の安定的な供給の確保に関する基本指針(案)

資料7 特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針

 


法律

● e-Gov

経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律



 

● まるちゃんの情報セキュリティきまぐれ日記

2022.05.12 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律が成立

2022.03.04 内閣府 経済施策を一体的に講ずることによる安全保障の確保の推進に関する法律案 (2022.02.25)

2022.02.03 内閣官房 経済安全保障法制に関する有識者会議 第4回

2022.01.20 内閣官房 経済安全保障法制に関する有識者会議 第3回

2022.01.04 内閣官房 経済安全保障法制に関する有識者会議 第2回

2021.11.29 内閣官房 経済安全保障法制に関する有識者会議

 

| | Comments (0)

中国 国家市場監督管理局 サイバーセキュリティサービスの認証実施に関する意見募集 (2022.07.21)

こんにちは、丸山満彦です。

中国の国家市場監督管理局が、国家サイバースペース管理局、公安部と連携し、サイバーセキュリティ事業者の認証業務を実施しようとしているようで、意見募集をしています。

内容はよくわからない...

 

国家市场监督管理总局

・2022.07.21 市场监管总局关于公开征求《关于开展网络安全服务认证工作的实施意见(征求意见稿)》意见的通知

 


关于开展网络安全服务认证工作的实施意见

(征求意见稿)

为推进网络安全服务认证体系建设,提升网络安全服务机构能力水平和服务质量,促进网络安全服务产业健康有序发展,根据《网络安全法》、《认证认可条例》,市场监管总局、中央网信办、公安部就开展国家统一推行的网络安全服务认证工作提出以下意见。

一、网络安全服务认证工作坚持“统一管理、共同实施、统一标准、规范有序”的基本原则。市场监管总局、中央网信办、公安部根据职责,加强认证工作的组织实施和监督管理,鼓励网络运营者等广泛采信网络安全服务认证结果。

二、网络安全服务认证目录由市场监管总局会同中央网信办、公安部根据市场需求和产业发展状况确定并适时调整,现阶段包括检测评估、安全运维、安全咨询和等级保护测评等服务类别。认证规则和认证标志由市场监管总局征求中央网信办、公安部意见后另行制定发布。

三、市场监管总局、中央网信办、公安部联合组建由政府部门、科研机构、认证机构、标准化机构、网络安全服务机构和用户等相关方参与的网络安全服务认证技术委员会,协调解决认证体系建设和实施过程中出现的技术问题,研究提出认证目录、认证规则编写修订工作建议等。

四、从事网络安全服务认证活动的认证机构应当依法设立,符合《认证认可条例》、《认证机构管理办法》规定的基本条件,具备从事网络安全服务认证活动的专业能力,并经市场监管总局征求中央网信办、公安部意见后批准取得资质。

五、网络安全服务认证机构应当根据认证委托人提出的认证委托,按照网络安全服务认证基本规范、认证规则开展认证工作,建立可追溯工作机制对认证全过程完整记录。

六、网络安全服务认证机构应当公开认证收费标准和认证证书有效、暂停、注销或者撤销等状态,并按照有关规定报送网络安全服务认证实施情况及认证证书信息。

七、通过认证的网络安全服务机构应当按照有关法律法规、标准规范的要求开展网络安全服务工作,并自觉接受市场监管部门、网信部门、公安部门的监督管理。

八、市场监管部门负责对网络安全服务认证机构、认证活动和认证结果进行监督管理,依法查处认证违法行为。

九、网信部门、公安部门负责对网络安全服务质量和认证结果采信应用情况进行监督管理。


 

1_20210612030101

 

| | Comments (0)

2022.07.26

防衛白書(2022年)

こんにちは、丸山満彦です。

防衛省が令和4年、2022年の防衛白書を公表しましたね。。。

今回はロシアによるウクライナ侵攻もあったので、この分析もあります。

サイバーと言う用語もあちこちで見られますね。。。

 

● 防衛省

・防衛白書

・[PDF] 本編

20220726-141712

・[PDF] 別冊

20220726-141736

・[PDF] 資料編

20220726-141759

・[PDF] 防衛年表

20220726-141816

・[PDF] 英語版パンフレット

20220726-141831

・[PDF] 中国語版パンフレット

20220726-141908

はじめての防衛白書

 

本編の目次レベルでは、、、


第I部 我が国を取り巻く安全保障環境
第4章 宇宙・サイバー・電磁波といった新たな領域をめぐる動向・国際社会の課題
第3節 サイバー領域をめぐる動向

第Ⅱ部 わが国の安全保障・防衛政策
第2章 わが国の安全保障と防衛に関する政策
解説 自衛隊サイバー防衛隊の新編について

第Ⅲ部 わが国の防衛の三つの柱(防衛の目標を達成するための手段)
第1章 わが国自身の防衛体制
第3節 宇宙・サイバー・電磁波の領域での対応

第2章 日米同盟
第2節 日米同盟の抑止力及び対処力の強化
1 宇宙領域やサイバー領域などにおける協力

第3章 安全保障協力
第3節 宇宙領域及びサイバー領域の利用にかかる協力


 

と出てきますね。。。

 

ロシアによるサイバー戦等についての評価は、P13に次のような記載がありますね。。。


ロシアによるサイバー攻撃や電子戦も事前に予想されていたほどの効果を発揮しなかったものとみられているほか、行為主体の特定を困難にし、自らの行為の正当化や情報のかく乱に重きを置いた「偽旗作戦」や「偽情報の流布」といった、いわゆる「ハイブリッド戦」の手法についても、行為主体が明白な大規模兵力による全面侵攻とは相反する性質を有することに加え、米国や英国の積極的なインテリジェンス情報の開示によってロシアの企図が周知されていたこともあり、奏功しなかったものと考えられる。一方、ウクライナは、フェドロフ副首相などの積極的な情報発信により官民を問わない外部の支援を獲得しているほか、有志参加者を募りロシアへのサイバー攻撃を任務とする「IT軍」を組織し、情報・メディア・サイバーなどの分野でロシアと比較して有利な立場を確保している。


 

 


参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2021.08.15 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね

・2021.07.14 日本の防衛白書が初めて台湾周辺情勢の安定の重要性に言及したことについての中国政府の見解

・2021.07.13 防衛白書(2021年)

・2021.01.23 防衛省主催のCTF(サイバーコンテスト)(^^)


 

 

Continue reading "防衛白書(2022年)"

| | Comments (0)

日本公認会計士協会 保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」(IT委員会実務指針第9号)とそのQ&A(IT委員会研究報告第55号)の改訂案

こんにちは、丸山満彦です。

情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書の発行業務について、海外団体が公表している特定の規準を利用する場合は、日本公認会計士協会の参考翻訳ではなく海外団体の原文を適用する必要があることを明らかにするために、

  • IT委員会実務指針第9号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」」
  • IT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」

の改訂案を作成し、意見募集をしていますね。。。

形式的な改訂なんですかね。。。

 

日本公認会計士協会

・2022.07.25 IT委員会実務指針第9号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」」及びIT委員会研究報告第55号「保証業務実務指針3850「情報セキュリティ等に関する受託業務のTrustに係る内部統制の保証報告書に関する実務指針」に係るQ&A」の改正(公開草案)の公表について

 

カナダと米国で始まった、Trust業務ですが、最初はPKIによる電子署名等のための(運用も含めた)システムの保証(WebTrust for CA)から始まり、ウェブシステムの機密性等の保証やプライバシー保護の領域に拡大し(WebTrust)、一般的なシステムにも拡大し(SysTrust)、全体を合わせてTrust業務として整理されたが、やっぱり残っているのは、WebTrust for CAの領域なんですかね。。。今は、カナダの公認会計士協会 (Chartered Professional Accountants Canada; CPA Canada) [wikipedia] によって維持されています。。。

 

実務指針...

 

20220726-73057

Q&A...

20220726-73213

 


 

本家のWebTrustはこちら。。。

 

Chartered Professional Accountants Canada; CPA Canada

WebTrust seal program

規準類はこちらに...

Principles and criteria and practitioner guidance

 

・01. WEBTRUST PRINCIPLES AND CRITERIA FOR CERTIFICATION AUTHORITIES

・・2021.06.01 [PDF] Version 2.2.2

20220726-81550

・・2020.11.01 [PDF] Version 2.2.1

 

02.WebTrust Principles and Criteria for Verified Mark Certificates

・・2021.11.01 [PDF] Version 1.0

 

03. Framework for third party assurance providers relating to Extended Validation certificates

・・2022.01.31 [PDF] Version 1.7.8

・・2020.11.01 [PDF] Version 1.7.3

 

・04. Framework for third party assurance providers relating to SSL certificates

・・2022.01.31 [PDF] Version 2.6

・・2020.11.01 [PDF] Version 2.5

 

・05. Framework for third party assurance providers relating to code signing

・・2022.01.31 [PDF] Version 2.7

・・2020.11.01 [PDF] Version 2.0 

 

・06. WebTrust Principles and Criteria for Registration Authorities

・・2022.01.31 [PDF] Version 1.1

 

カナダ基準、米国基準、国際基準に基づく報告書例

・ILLUSTRATIVE REPORTS

・・2022.02.01 [PDF] WebTrust - Canada reporting under CSAE 3000 - 3001

・・2022.02.01 [PDF] WebTrust - U.S. reporting under SSAE 18 and SSAE 21

・・2022.02.01 [PDF] WebTrust - International reporting under ISAE 3000

 

 

| | Comments (0)

総務省 AIネットワーク社会推進会議 「報告書2022」

こんにちは、丸山満彦です。

総務省が、AIネットワーク社会推進会議 「報告書2022」を公表していますね。。。なかなか興味深いです。。。AI開発ガイドラインおよびAI活用ガイドラインに関するレビューとか。。。

● 総務省

・2022.07.25 AIネットワーク社会推進会議 「報告書2022」の公表


1 経緯等


 総務省情報通信政策研究所は、平成28年10月から、社会全体におけるAIネットワーク化の推進に向けた社会的・経済的・倫理的・法的課題を総合的に検討することを目的として、マルチステークホルダの参加を得て「AIネットワーク社会推進会議」を開催し、平成29年7月には「国際的な議論のためのAI開発ガイドライン案」を、令和元年8月には「AI利活用ガイドライン」を策定・公表してきました。また、令和2年度以降は、AIの開発者やサービスプロバイダ、ビジネス利用者、消費者的利用者等に対するヒアリングを通じて把握した取組等を取りまとめ「報告書2020」及び「報告書2021」を公表しました。
 同会議においては、「報告書2021」の公表後も、「安心・安全で信頼性のあるAIの社会実装」の更なる推進に向け、引き続き、AIの社会実装に関する意欲的・先進的な取組に係るヒアリング等を行ってきました。今般、ヒアリング等により収集した取組事例の他、上記ガイドラインのレビュー、海外動向等を踏まえ、「報告書2022」を取りまとめましたので、公表します。
 今後も、「安心・安全で信頼性のあるAIの社会実装」の更なる推進に向けた取組を進めてまいります。

 

・[PDF] 別添1 「報告書2022」本文、別紙

20220726-02905

目次...

はじめに

第1章 AIネットワーク化をめぐる最近の動向
1. 国内の動向
2. 海外の動向
3. 国際的な議論の動向
4. 国際標準化に関する動向
5. 国際シンポジウム「AIネットワーク社会フォーラム 2022

第2章 「安心・安全で信頼性のあるAIの社会実装」の推進の取組
(取組事例の取りまとめ)
1. ヒアリングの概要
2. ヒアリングにおける発表・意見交換のポイント

第3章 AI開発ガイドライン及びAI利活用ガイドラインに関するレビュー
1. AI開発ガイドライン及びAI利活用ガイドラインに関するレビュー
2. AI開発ガイドライン及びAI利活用ガイドラインの見直しに関する論点の整理

第4章 今後の取組
1. AI倫理・ガバナンス
2. 取組事例の周知・共有
3. 人材育成

結びに代えて

<別紙1> 国際シンポジウム「AIネットワーク社会フォーラム 2022」の概要
<別紙2> AI開発ガイドライン及びAI利活用ガイドラインに関するレビュー(詳細)
<別紙3> AIネットワーク社会推進会議及びAIガバナンス検討会構成員一覧
<別冊>「安心・安全で信頼性のあるAIの社会実装」に関するグッドプラクティス集(取組事例集)

 

・[PDF] 別添2  <別冊>「安心・安全で信頼性のあるAIの社会実装」に関するグッドプラクティス集

20220726-03007

 

・[PDF] 別添3 「報告書2022」概要

20220726-03138

 

AIネットワーク社会推進会議

 

 

| | Comments (0)

総務省 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集

こんにちは、丸山満彦です。

総務省が、「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集をしていますね。。。合わせて、取組事例の募集もしていますね。。。

 

総務省

・2022.07.25 「クラウドサービスの利用・提供における適切な設定のためのガイドライン」(案)に対する意見募集及び取組事例の募集

 


1 背景・趣旨


 ここ数年、クラウドサービスを利用する事業者において、情報の流失のおそれに至る事案が増加しており、クラウドサービスの利用におけるリスクとして社会的に問題となっています。
 そこで、総務省ではクラウドサービスの利用・提供における適切な設定の促進を図り、安全安心なクラウドサービスの利活用を推進するための対策について、有識者にも御意見を伺いつつ検討を行いました。
...

 

・[PDF] 別紙1 クラウドサービスの利用・提供における適切な設定の促進

20220725-212814

 

・[PDF] 別紙2 クラウドサービス利用・提供における適切な設定のためのガイドライン(案)

20220725-213207

 


本ガイドラインの要旨

ここ数年、クラウドサービスを利用する事業者において、設定不備による顧客の個人情報の流失のおそれに至る事案が増加しており、クラウドサービスの利用におけるリスクとして社会的に問題となっている。また、独立行政法人情報処理推進機構(IPA)の「コンピュータウイルス・不正アクセスの届出状況 2021 年」によると、不正アクセスの原因別比率では、設定不備が全体のおよそ 17.7%で第 3 位となり、このような社会問題を引き起こす原因として無視できなくなっている。

このような設定不備は、直接的にはクラウドサービス利用者による単純なミスによるものと考えることもできる。しかし、これらの事案の真因を考察すると、利用側においてはクラウドサービス利用に関する理解不足や不十分な管理・作業体制、提供側においては利用側において設定不備を起こさせないための情報・ツール提供不足やミスを起こさせにくい設計への配慮不足など、様々な要因が複雑に絡み合いながら積み重なることによって設定不備事案の発生に至っていることが想定される。

そこで、本ガイドラインではこれらの設定不備が発生しないよう、安全安心なクラウドサービスの利用・提供に資することを目的として、利用者・事業者双方において共通的に認識しておくべき事項及び具体的な対策について整理し、取りまとめた。

クラウドサービスにおける設定不備の抑止・防止に向けた基本的な考え方は、下記の3つである。

  • クラウドサービス利用者・事業者双方において、クラウドサービスの特性や、クラウドサービスの利用・提供におけるリスクについて認識すること
  • クラウドサービス利用者・事業者双方において、自身の責任範囲や役割を理解し、それを共通認識とすること
  • クラウドサービス利用者・事業者間でコミュニケーションを密なものとしつつ、双方における設定不備の抑止・防止の対策を適切に実施すること

これらに資する情報として、本ガイドラインでは「前提および概要」においてクラウドサービスの設定不備のリスクや、クラウドサービスの設定に関する責任共有の考え方、設定不備の要因と対策の概要について記載した。

「クラウドサービス利用側に求められる対策」「クラウドサービス提供側に求められる対策」では、設定不備の抑止・防止のための具体的な対策やベストプラクティスについて記載している。まず「クラウドサービス利用側に求められる対策」では、クラウドサービス利用側における組織体制・人材育成、作業規則やマニュアルの整備、システム動作環境の設定管理、システム動作環境設定の方法論に関する対策を記載した。また、「クラウドサービス提供側に求められる対策」では、クラウドサービス提供側における組織体制や人材育成、提供するサービスの改善等の対策を記載するとともに、利用側に提供すべき情報や学習コンテンツ、学習機会、利用者を支援するツール等に関する対策を記載した。


 

 

目次...

Ⅰ.序編
Ⅰ.1
はじめに
Ⅰ.2
ガイドラインの位置付け
Ⅰ.3
ガイドライン活用の効果
Ⅰ.4
ガイドラインの全体構成
Ⅰ.5
ガイドラインの読み方と利用方法
Ⅰ.6
用語の定義
Ⅰ.7
参考文献

Ⅱ. 前提および概要
Ⅱ.1
本ガイドラインの前提事項
Ⅱ.1.1 クラウドサービスにおける典型的なセキュリティ設定項目と設定不備があった場合のリスク
Ⅱ.1.2 クラウドサービス事業者とクラウドサービス利用者の責任と役割
Ⅱ.1.3 環境の設定における留意すべきパターン

Ⅱ.2
設定不備の要因と対策
Ⅱ.2.1
設定不備の事例と要因分析
Ⅱ.2.2 要因に対する対策

Ⅲ. クラウドサービス利用側に求められる対策
Ⅲ.1
組織体制・人材育成
Ⅲ.1.1 クラウドサービス設定不備の抑止・防止に係る方針的事項
 Ⅲ.1.1.1【基本】クラウドサービス利用におけるガバナンスの確保
 Ⅲ.1.1.2【基本】事業部門等が独自に利用する場合のルール形成
 Ⅲ.1.1.3【推奨】設定診断等の支援ツール利用に対する組織的取組
 Ⅲ.1.1.4【基本】クラウドに関する人材の組織的育成
Ⅲ.1.2 技術情報の収集
 Ⅲ.1.2.1.【基本】技術情報の収集
Ⅲ.1.3 人材育成
 Ⅲ.1.3.1【基本】クラウドサービス利用におけるリテラシーの向上
 Ⅲ.1.3.2【基本】クラウドシステム動作環境設定における技術力向上
Ⅲ.1.4 コミュニケーション
 Ⅲ.1.4.1.【基本】コミュニケーション

Ⅲ.2
作業規則・マニュアル
Ⅲ.2.1
作業規則やマニュアルの整備
 Ⅲ.2.1.1【基本】作業規則の整備
 Ⅲ.2.1.2【基本】作業手順書の整備
 Ⅲ.2.1.3【基本】ヒューマンエラー対策
 Ⅲ.2.1.4【基本】作業手順書に係るマネジメント

Ⅲ.3
クラウドサービスにおけるシステム動作環境の設定管理
Ⅲ.3.1
クラウドセキュリティに係る設定項目の確認
 Ⅲ.3.1.1【基本】設定項目の把握と設定
 Ⅲ.3.1.2【基本】設定項目の管理
Ⅲ.3.2 クラウドシステムにおける動作環境のプロビジョニング
 Ⅲ.3.2.1【基本】変化への適応及び体制整備
Ⅲ.3.3 その他のリスクへの対応
 Ⅲ.3.3.1【基本】システム動作環境の設定に関連するその他のリスク対応

.4 クラウドシステム動作環境に関する設定の方法論
Ⅲ.4.1 ノウハウの蓄積
 Ⅲ.4.1.1【推奨】クラウドシステム動作環境設定に関するノウハウの蓄積
Ⅲ.4.2 支援ツール等の活用
 Ⅲ.4.2.1【推奨】支援ツールや外部診断サービス等の活用
Ⅲ.4.3 定期的な設定のチェックと対応
 Ⅲ.4.3.1【基本】システム動作環境の設定に関する定期的なチェックと対応

Ⅳ クラウドサービス提供側に求められる対策
Ⅳ.1
組織体制・人材育成
Ⅳ.1.1 クラウドサービス設定不備の抑止・防止に係る方針的事項
 Ⅳ.1.1.1【基本】クラウドサービス提供におけるガバナンスの確保
 Ⅳ.1.1.2【推奨】設定診断等の支援ツール提供に対する組織的取組
 Ⅳ.1.1.3【基本】クラウドに関する人材の組織的育成

Ⅳ.2
情報提供
Ⅳ.2.1
正しい情報の提供
 Ⅳ.2.1.1 【基本】正しい情報の提供
Ⅳ.2.2 十分な情報の提供
 Ⅳ.2.2.1 【基本】十分な情報の提供
Ⅳ.2.3 わかりやすい情報の提供
 Ⅳ.2.3.1【基本】わかりやすい情報の提供
Ⅳ.2.4 利用者別の対応
 Ⅳ.2.4.1【推奨】利用者の特性に応じた情報提供
Ⅳ.2.5 タイムリーな情報提供
 Ⅳ.2.5.1【基本】システム動作環境の変更等に伴うタイムリーな情報提供
 Ⅳ.2.5.2【基本】公開されたぜい弱性の影響に伴うタイムリーな情報提供

.3 学習コンテンツや学習機会の提供
Ⅳ.3.1
学習コンテンツの提供
 Ⅳ.3.1.1【推奨】体系的な学習コンテンツの提供
 Ⅳ.3.1.2【推奨】わかりやすい形式のコンテンツの作成
Ⅳ.3.2 学習機会の提供 ー 環境の設定に関する説明
 Ⅳ.3.2.1【推奨】セミナーや研修の開催
 Ⅳ.3.2.2【推奨】コンサルティングサービスの提供

.4 利用者支援ツールの提供
Ⅳ.4.1
設定項目管理ツールの提供
 Ⅳ.4.1.1【推奨】設定項目管理ツールの提供
Ⅳ.4.2 設定項目診断ツールの提供
 Ⅳ.4.2.1【推奨】設定項目診断ツールの提供

Ⅳ.5
システムの改善 - ミスが発生しにくいシステムの提供
Ⅳ.5.1 設定方法の見直し
 Ⅳ.5.1.1【基本】設定項目のメニュー化/リスト化
 Ⅳ5.1.2 【基本】選択肢の表記の工夫
Ⅳ.5.2 デフォルト値の見直し
 Ⅳ.5.2.1【基本】デフォルト値の見直し
Ⅳ.5.3 セルフチェック機能の追加
 Ⅳ.5.3.1【推奨】セルフチェック機能の追加
Ⅳ.5.4 利用者における設定機会の削減
 Ⅳ.5.4.1【基本】設定項目数及び選択肢の削減
 Ⅳ.5.4.2【基本】設定変更回数の削減
Ⅳ.5.5 暗号化機能の提供
 Ⅳ.5.5.1【推奨】暗号化機能の提供と設定

Ⅳ.6
継続的な改善 - PDCAを回す
Ⅳ.6.1 情報収集
 Ⅳ.6.1.1【基本】利用者からのフィードバック情報収集
 Ⅳ.6.1.2【基本】公的機関等からの情報収集
 Ⅳ.6.1.3【基本】その他の情報収集における事実確認
Ⅳ.6.2 サービスの改善
 Ⅳ.6.2.1【基本】サービスの改善

Ⅳ.7
マネージドサービスの提供
Ⅳ.7.1
マネージドサービスの提供
 Ⅳ.7.1.1【推奨】マネージドサービスの提供

参考資料
ANNEX 対策一覧



| | Comments (0)

NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド

こんにちは、丸山満彦です。

NISTがHIPPA対応のガイダンスの改訂に関するドラフト(NIST SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド)を公開し、意見募集をしていますね。。。

 

NIST - ITL

・2022.07.21 SP 800-66 Rev. 2 (Draft) Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide

SP 800-66 Rev. 2 (Draft) Implementing the Health Insurance Portability and Accountability Act (HIPAA) Security Rule: A Cybersecurity Resource Guide SP 800-66 Rev. 2 (ドラフト) 医療保険の相互運用性と説明責任に関する法律 (HIPAA) のセキュリティ規則の実装:サイバーセキュリティリソースガイド
Announcement アナウンスメント
The HIPAA Security Rule specifically focuses on protecting the confidentiality, integrity, and availability of electronic protected health information (ePHI), as defined by the Security Rule. All HIPAA-regulated entities must comply with the requirements of the Security Rule. HIPAA セキュリティ規則では、特に、セキュリティ規則で定義されている電子保護医療情報 (ePHI) の機密性、完全性、および可用性を保護することに重点を置いている。HIPAA の規制下にあるすべての事業体は、セキュリティ規則の要件を遵守する必要がある。
This draft update: この更新草案は
・Includes a brief overview of the HIPAA Security Rule ・HIPAAセキュリティ規則の概要を説明する。
・Provides guidance for regulated entities on assessing and managing risks to ePHI ・規制対象事業者がePHIに対するリスクを評価および管理するためのガイダンスを提供する。
・Identifies typical activities that a regulated entity might consider implementing as part of an information security program ・規制対象事業者が情報セキュリティプログラムの一環として実施を検討する可能性のある典型的な活動を特定する。
・Lists additional resources that regulated entities may find useful in implementing the Security Rule ・規制対象事業者がセキュリティ規則の実施に役立つと思われるその他のリソースをリストアップする。
Abstract 概要
The HIPAA Security Rule focuses on safeguarding electronic protected health information (ePHI) held or maintained by regulated entities. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. This publication provides practical guidance and resources that can be used by regulated entities of all sizes to protect ePHI and better understand the security concepts discussed in the HIPAA Security Rule. HIPAA セキュリティ規則は、規制対象事業者が保有または維持する電子保護医療情報(ePHI)の保護に重点を置いている。規制対象事業体が作成、受領、維持、または送信するePHIは、合理的に予測される脅威、危険、および許容されない使用や開示から保護されなければならない。本書は、あらゆる規模の規制対象事業者がePHIを保護し、HIPAAセキュリティ規則で議論されているセキュリティの概念をより良く理解するために利用できる、実践的なガイダンスとリソースを提供するものである。

 

・[PDF] SP 800-66 Rev. 2 (Draft)

20220725-205548

 

Executive Summary  エグゼクティブサマリー 
This publication aims to help educate readers about the security standards included in the Health Insurance Portability and Accountability Act (HIPAA) Security Rule [Sec. Rule], as amended by the Modifications to the HIPAA Privacy, Security, Enforcement, and Breach Notification Rules Under the Health Information Technology for Economic and Clinical Health Act [HITECH] and the Genetic Information Nondiscrimination Act; Other Modifications to the HIPAA Rules [Omnibus Rule][1] and assist regulated entities[2] in their implementation of the Security Rule. It includes a brief overview of the HIPAA Security Rule, provides guidance for regulated entities on assessing and managing risks to electronic protected health information (ePHI), identifies typical activities that a regulated entity might consider implementing as part of an information security program, and lists additional resources that regulated entities may find useful in implementing the Security Rule.  本書は、Health Insurance Portability and Accountability Act(HIPAA)セキュリティ規則[Sec. Rule]に含まれるセキュリティ基準について読者に理解してもらうこと、およびHIPAA規則のその他の修正[Omnibus Rule][1] によって修正されたセキュリティ規則を実施するにあたって規制対象組織[2]を支援することが目的です。本書には、HIPAAセキュリティ規則の概要、電子的な保護されるべき医療情報(ePHI)に対するリスクの評価と管理に関する規制対象事業者のための指針、情報セキュリティプログラムの一部として規制対象事業者が実施を検討し得る典型的な活動の特定、および規制対象事業者がセキュリティ規則の実施に有用と考えるその他の資源のリストが記載されている。
The HIPAA Security Rule specifically focuses on protecting the confidentiality, integrity, and availability of ePHI, as defined in the Security Rule. All HIPAA regulated entities must comply with the requirements of the Security Rule. The ePHI that a regulated entity creates, receives, maintains, or transmits must be protected against reasonably anticipated threats, hazards, and impermissible uses and/or disclosures. In general, the requirements, standards, and implementation specifications of the Security Rule apply to the following regulated entities:   HIPAAセキュリティ規則は、セキュリティ規則で定義されているように、特にePHIの機密性、完全性、および可用性を保護することに重点を置いている。すべてのHIPAA規制対象事業者は、セキュリティ規則の要件を遵守する必要があります。規制対象事業者が作成、受領、維持、または伝送するePHIは、合理的に予測される脅威、危険、および許容できない使用および/または開示から保護されなければならない。一般に、セキュリティ規則の要件、基準、および実装仕様は、以下の規制対象事業者に適用される。 
Covered Healthcare Providers – Any provider of medical or other health services or supplies who transmits any health information in electronic form in connection with a transaction for which the U.S. Department of Health and Human Services (HHS) has adopted a standard.  ・対象医療機関-米国保健社会福祉省(HHS)が基準を採択した取引に関連して、医療サービスまたはその他の医療用品の提供者で、健康情報を電子形式で送信するすべての者。
Health Plans – Any individual or group plan that provides or pays the cost of medical care (e.g., a health insurance issuer and the Medicare and Medicaid programs).  ・ヘルスプラン - 医療を提供する、または医療費を支払う個人またはグループのプラン(例:健康保険発行者、メディケアおよびメディケイドプログラム)。
Healthcare Clearinghouses – A public or private entity that processes another entity’s healthcare transactions from a standard format to a non-standard format or vice versa.  ・ヘルスケアクリアリングハウス - 他の事業者のヘルスケアトランザクションを標準フォーマットから非標準フォーマットに,またはその逆に処理する公的または私的な事業者。
Business Associate – A person or entity[3] that performs certain functions or activities that involve the use or disclosure of protected health information on behalf of or provides services to a covered entity. A business associate is liable for their own HIPAA violations.   ・業務提携者-保護されるべき健康情報の使用または開示を伴う特定の機能または活動を、対象事業者に代わって行うか、対象事業者にサービスを提供する個人または事業体[3]。ビジネス・アソシエイトは、彼ら自身のHIPAA違反に対して責任を負う。 
The Security Rule is separated into six main sections that each include several standards that a regulated entity must address. Many of the standards contain implementation specifications. An implementation specification is a more detailed description of the method or approach that regulated entities can use to meet a particular standard. Implementation specifications are either required or addressable. Regulated entities must comply with required implementation specifications. Regulated entities must perform an assessment to determine whether each  セキュリティ規則は、6つの主要セクションに分かれており、それぞれ規制対象事業者が対処しなければならないいくつかの標準を含んでいる。多くの標準には、実装仕様が含まれています。実装仕様とは、規制対象事業者が特定の基準を満たすために使用できる方法またはアプローチのより詳細な記述である。実施仕様には、必須または対処可能のいずれかがあります。規制対象事業者は、要求された実施仕様に準拠しなければならない。規制対象事業者は、各アドレス可能な実施仕様が合理的であるかどうかを判断するために、アセスメントを実施しなければならない。
addressable implementation specification is a reasonable and appropriate safeguard for implementation in the regulated entity’s environment.  規制される事業者は、対応可能な実装仕様が、規制される事業者の環境における実装のための合理的かつ適切なセーフガードであるかどうかを判断するために、評価を実施しなければならない。
The assessment, analysis, and management of risk to ePHI provides the foundation for a regulated entity’s Security Rule compliance efforts and the protection of ePHI. Readers are reminded of the Security Rule’s flexibility of approach. The HHS Office for Civil Rights (OCR) does not prescribe any particular risk assessment or risk management methodology. Section 3 and Section 4 provide background information about risk assessment and risk management processes, as well as approaches that regulated entities may choose to use in assessing and managing risk to ePHI.  ePHIに対するリスクの評価、分析、および管理は、規制対象事業者のセキュリティ規則への準拠努力とePHIの保護のための基盤となるものである。読者は、セキュリティ規則の柔軟なアプローチに気づかされることだろう。HHS市民権局(OCR)は、特定のリスク評価やリスク管理の手法を規定するものではない。セクション3及びセクション4は、リスク評価及びリスク管理プロセスに関する背景情報、並びにePHIに対するリスクを評価及び管理する際に規制対象事業者が選択することができるアプローチを提供する。
Many regulated entities may benefit from more specific guidance concerning how to comply with the standards and implementation specifications of the Security Rule. To that end, Section 5 highlights considerations for a regulated entity when implementing the Security Rule. Key activities, descriptions, and sample questions are provided for each standard. The key activities suggest actions that are often associated with the security function or functions suggested by that standard. Many of these key activities are often included in a robust security program and may be useful to regulated entities. The descriptions provide expanded explanations about each of the key activities, as well as the types of activities that a regulated entity may pursue in implementing the standard. The sample questions are a non-exhaustive list of questions that a regulated entity may ask itself to determine whether the standard has been adequately implemented.  多くの規制対象事業者は、セキュリティ規則の基準および実施仕様に準拠する方法に関するより具体的なガイダンスを得ることができる。そのため、セクション5では、セキュリティ規則を実施する際に規制対象事業者が考慮すべき事項を明らかにしている。各基準について、主要な活動、説明、および質問例が提供されている。主要な活動は、その規格が提案するセキュリティ機能または機能にしばしば関連する行動を示唆している。これらの主要な活動の多くは、堅牢なセキュリティプログラムに含まれることが多く、規制対象事業者にとって有用である可能性があります。説明文は、各主要活動に関する詳細な説明と、規制対象事業者が当該規格を実施する際に追求し得る活動の種類を提供する。質問例は、基準が適切に実施されているかどうかを判断するために、規制対象事業者が自問することができる質問の非網羅的なリストである。
Regulated entities may implement the Security Rule more effectively if they are shown controls catalogs and cybersecurity activities that align with each standard. To assist regulated entities, this publication includes mappings of the Security Rule’s standards and implementation specifications to Cybersecurity Framework [NIST CSF] Subcategories and to applicable security controls detailed in NIST Special Publication (SP) 800-53, Rev. 5, Security and Privacy Controls for Information Systems and Organizations [SP 800-53]. The mapping also lists additional NIST publications relevant to each Security Rule standard. Readers may draw upon these NIST publications and mappings for assistance in implementing the Security Rule.  規制対象事業者は、各基準に沿ったコントロールカタログとサイバーセキュリティ活動を示すことで、より効果的にセキュリティ規則を実施することができる。規制対象事業者を支援するために、本書には、セキュリティ規則の標準と実装仕様のサイバーセキュリティフレームワーク [NIST CSF] サブカテゴリへのマッピングと、NIST Special Publication (SP) 800-53, Rev. 5, 組織と情報システムのためのセキュリティおよびプライバシー管理策 [SP 800-53] に詳述されている該当するセキュリティ管理へのマッピングが含まれている。また、このマッピングには、各セキュリティ規則の規格に関連するNISTの追加出版物も記載されている。読者は、セキュリティ規則の実施に際して、これらのNISTの文書やマッピングを参考にすることができる。
Additionally, the publication lists a wide variety of resources (e.g., guidance, templates, tools) that regulated entities may find useful in complying with the Security Rule and improving the security posture of their organizations. For ease of use, the resources are organized by topic. Regulated entities could consult these resources when they need additional information or guidance about a particular topic. The resource topics include:  さらに、本書には、規制対象事業者がセキュリティ規則の順守と組織のセキュリティ態勢の改善に役立つと思われるさまざまなリソース(ガイダンス、テンプレート、ツールなど)がリストアップされている。使いやすいように、リソースはトピックごとに整理されている。規制対象組織は、特定のトピックに関する追加情報またはガイダンスが必要な場合に、これらのリソースを参照することができる。リソースのトピックは以下の通りである。
• Risk Assessment and Risk Management  ・ リスクアセスメントとリスクマネジメント
• Documentation Templates  ・ 文書化テンプレート
• Small Regulated Entities  ・ 小規模な規制対象事業者
• Telehealth/Telemedicine Guidance  ・ テレヘルス/遠隔医療ガイダンス
• Mobile Device Security  ・ モバイルデバイスのセキュリティ
• Cloud Services  ・ クラウドサービス
• Ransomware and Phishing  ・ ランサムウェアとフィッシング
• Education, Training, and Awareness  ・ 教育、トレーニング、意識向上
• Medical Device and Medical Internet of Things (IoT) Security  ・医療機器および医療用IoT(Internet of Things)セキュリティ 
• Protection of Organizational Resources and Data, including subtopics such as Zero-Trust architecture, digital identities, security of data exchanges, and trustworthy email  ・ 組織のリソースとデータの保護(ゼロトラスト・アーキテクチャ、デジタルアイデンティティ、データ交換のセキュリティ、信頼できる電子メールなどのサブトピックを含む )
• Incident Handling/Response  ・ インシデントハンドリング/レスポンス
• Equipment and Data Loss  ・ 機器とデータの損失
• Contingency Planning  ・ コンティンジェンシー・プランニング
• Supply Chain  ・ サプライチェーン
• Information Sharing  ・ 情報共有
• Access Control/Secure Remote Access  ・ アクセスコントロール/セキュアリモートアクセス
• Telework  ・ テレワーク
• Cybersecurity Workforce   ・ サイバーセキュリティの労働力
[1] For the remainder of this document, references to and discussions about the Security Rule will be to the Security Rule as amended by the Omnibus Rule unless otherwise specified.  [1] 本書の残りの部分では、セキュリティ規則への言及およびセキュリティ規則に関する議論は、特に断りのない限り、オムニバス規則によって改正されたセキュリティ規則を指すものとする。
[2] A “regulated entity” refers to both covered entities and business associates as defined in the Security Rule. Business associates also includes business associates’ subcontractors who have access to ePHI.  [2] 「規制対象事業体」とは、セキュリティ規則で定義される対象事業体と業務関係者の両方を指す。業務提携先には、ePHIにアクセスできる業務提携先の下請け業者も含まれる。
[3] A member of the covered entity’s workforce is not a business associate. A covered healthcare provider, health plan, or healthcare clearinghouse can be a business associate of another covered entity.  [3] 対象事業者の従業員は、業務関係者ではない。対象となる医療機関、医療計画、または医療クリアリングハウスは、他の対象となる事業者の業務関係者になることができる。

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的及び範囲
1.2 Applicability 1.2 適用可能性
1.3 Document Organization 1.3 文書の構成
1.4 How to Use this Document 1.4 このドキュメントの使用方法
2 HIPAA Security Rule 2 HIPAAセキュリティ規則
2.1 Security Rule Goals and Objectives 2.1 セキュリティ規則の目標及び目的
2.2 Security Rule Organization 2.2 セキュリティ規則の組織
3 Risk Assessment Guidance 3 リスクアセスメントのガイダンス
3.1 HIPAA Risk Assessment Requirements 3.1 HIPAAリスクアセスメントの要求事項
3.2 How to Conduct the Risk Assessment 3.2 リスクアセスメントを実施する方法
3.3 Risk Assessment Results Affect Risk Management 3.3 リスクアセスメント結果によるリスク管理への影響
4 Risk Management Guidance 4 リスクマネジメントのガイダンス
4.1 HIPAA Risk Management Requirements 4.1 HIPAAリスクマネジメントの要求事項
4.2 Risk Analysis 4.2 リスク分析
4.3 Selecting Additional Security Controls to Reduce Risk to ePHI 4.3 ePHIへのリスクを低減するための追加的なセキュリティコントロールの選択
4.4 Documenting Risk Management Activities 4.4 リスク管理活動の文書化
5 Considerations When Implementing the HIPAA Security Rule 5 HIPAAセキュリティ規則の実施に際しての考慮事項
5.1 Administrative Safeguards 5.1 管理上の保護措置
5.1.1 Security Management Process (§ 164.308(a)(1)) 5.1.1 セキュリティ管理プロセス(§164.308(a)(1)
5.1.2 Assigned Security Responsibility (§ 164.308(a)(2)) 5.1.2 割り当てられたセキュリティ責任(§164.308(a)(2)
5.1.3 Workforce Security (§ 164.308(a)(3)) 5.1.3 従業員のセキュリティ(§164.308(a)(3)
5.1.4 Information Access Management (§ 164.308(a)(4)) 5.1.4 情報アクセス管理(§164.308(a)(4)
5.1.5 Security Awareness and Training (§ 164.308(a)(5)) 5.1.5 セキュリティ教育及び訓練(§164.308(a)(5)
5.1.6 Security Incident Procedures (§ 164.308(a)(6)) 5.1.6 セキュリティインシデントの手順(§164.308(a)(6)
5.1.7 Contingency Plan (§ 164.308(a)(7)) 5.1.7 コンティンジェンシー計画(§164.308(a)(7)
5.1.8 Evaluation (§ 164.308(a)(8)) 5.1.8 評価(§164.308(a)(8)
5.1.9 Business Associate Contracts and Other Arrangements (§164.308(b)(1)) 5.1.9 業務提携の契約及びその他の取り決め(§164.308(b)(1)
5.2 Physical Safeguards 5.2 物理的安全保護措置
5.2.1 Facility Access Controls (§ 164.310(a)) 5.2.1 施設のアクセス制御(§164.310(a)
5.2.2 Workstation Use (§ 164.310(b)) 5.2.2 ワークステーションの使用(§164.310(b)
5.2.3 Workstation Security (§ 164.310(c)) 5.2.3 ワークステーションのセキュリティ(§164.310(c)
5.2.4 Device and Media Controls (§ 164.310(d)) 5.2.4 デバイス及びメディアの管理(§164.310(d)
5.3 Technical Safeguards 5.3 技術的セーフガード
5.3.1 Access Control (§ 164.312(a)) 5.3.1 アクセス制御(§164.312(a)
5.3.2 Audit Controls (§ 164.312(b)) 5.3.2 監査統制(§164.312(b)
5.3.3 Integrity (§ 164.312(c)) 5.3.3 完全性(§164.312(c)
5.3.4 Person or Entity Authentication (§ 164.312(d)) 5.3.4 人又は組織の認証(§164.312(d)
5.3.5 Transmission Security (§ 164.312(e)(1)) 5.3.5 転送のセキュリティ(§164.312(e)(1)
5.4 Organizational Requirements 5.4 組織的要件
5.4.1 Business Associate Contracts or Other Arrangements (§ 164.314(a)) 5.4.1 業務提携の契約またはその他の取り決め(§164.314(a)
5.4.2 Requirements for Group Health Plans (§ 164.314(b)) 5.4.2 グループ医療計画に対する要求事項(§164.314(b)
5.5 Policies and Procedures and Documentation Requirements 5.5 政策と手続きおよび文書化の要件
5.5.1 Policies and Procedures (§ 164.316(a)) 5.5.1 方針と手順(§164.316(a)
5.5.2 Documentation (§ 164.316(b)) 5.5.2 文書化(§164.316(b)
References 参考文献
List of Appendices 附属書リスト
  Acronyms   頭字語
  Glossary   用語集
  Risk Assessment Tables   リスクアセスメントの表
  National Online Informative References (OLIR) Program   全米オンライン情報提供プログラム(OLIR)
  Security Rule Standards and Implementation Specifications   セキュリティルールの標準と実装仕様
Crosswalk クロスウォーク
  HIPAA Security Rule Resources (Informative)   HIPAA セキュリティ規則のリソース(情報提供)

| | Comments (0)

NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースのアプローチによるDevSecOpsの実践

こんにちは、丸山満彦です。

ソフトウェアのサプライチェーン・リスクは政府機関を含む、多くの組織にとって重要な影響を及ぼすにもかかわらず、その管理が社会全体で見ると十分にできていないために、社会的な取り組みが必要となるのかもしれませんね。SBOMとかもね。。。

そのためにも、政府機関等、影響を受ける組織が、率先して取り組みを進めることが重要かもしれませんね。。。

 

NIST - ITL

・2022.07.21 White Paper (Draft) [Project Description] Software Supply Chain and DevOps Security Practices: Implementing a Risk-Based Approach to DevSecOps

 

White Paper (Draft) [Project Description] Software Supply Chain and DevOps Security Practices: Implementing a Risk-Based Approach to DevSecOps ホワイトペーパー(案) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践。リスクベースのアプローチによるDevSecOpsの実践
Announcement アナウンスメント
The NCCoE has released this draft Project Description, which begins a process to solicit public comments for the project requirements, scope, and hardware and software components for use in a laboratory environment. NCCoEは、このプロジェクト説明書ドラフトを発表し、実験室環境で使用するためのプロジェクトの要件、範囲、ハードウェアとソフトウェアのコンポーネントについてパブリックコメントを募集するプロセスを開始した。
The project will focus initially on developing and documenting an applied risk-based approach and recommendations for secure DevOps and software supply chain practices consistent with the Secure Software Development Framework (SSDF), Cybersecurity Supply Chain Risk Management (C-SCRM), and other NIST, government, and industry guidance. This project will apply these practices in proof-of-concept use case scenarios that are each specific to a technology, programming language, and industry sector. Both commercial and open source technology will be used to demonstrate the use cases. This project will result in a freely available NIST Cybersecurity Practice Guide.  このプロジェクトは、まず、セキュアソフトウェア開発フレームワーク(SSDF)、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)、その他のNIST、政府、業界のガイダンスと一致する、安全なDevOpsとソフトウェアのサプライチェーンの実践に関するリスクベースのアプローチと推奨事項を開発し文書化することに重点を置く予定である。このプロジェクトでは、技術、プログラミング言語、産業部門にそれぞれ特化した概念実証のユースケースシナリオでこれらの実践を行う。ユースケースの実証には、商用とオープンソースの両方の技術が使用される。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。 
... ...
Abstract 概要
DevOps brings together software development and operations to shorten development cycles, allow organizations to be agile, and maintain the pace of innovation while taking advantage of cloud-native technology and practices. Industry and government have fully embraced and are rapidly implementing these practices to develop and deploy software in operational environments, often without a full understanding and consideration of security. Also, most software today relies on one or more third-party components, yet organizations often have little or no visibility into and understanding of how these components are developed, integrated, and deployed, as well as the practices used to ensure the components’ security. To help improve the security of DevOps practices, the NCCoE is planning a DevSecOps project that will focus initially on developing and documenting an applied risk-based approach and recommendations for secure DevOps and software supply chain practices consistent with the Secure Software Development Framework (SSDF), Cybersecurity Supply Chain Risk Management (C-SCRM), and other NIST, government, and industry guidance. This project will apply these DevSecOps practices in proof-of-concept use case scenarios that will each be specific to a technology, programming language, and industry sector. Both commercial and open source technology will be used to demonstrate the use cases. This project will result in a freely available NIST Cybersecurity Practice Guide. DevOpsは、ソフトウェア開発と運用を統合し、開発サイクルの短縮、組織のアジャイル化、クラウドネイティブなテクノロジーとプラクティスを活用したイノベーションのペースを維持することを可能にするものである。産業界と政府機関は、運用環境におけるソフトウェアの開発とデプロイのために、これらのプラクティスを完全に受け入れ、急速に導入しているが、多くの場合、セキュリティに対する十分な理解と考慮がなされていない。また、今日のほとんどのソフトウェアは、1つ以上のサードパーティコンポーネントに依存しているが、組織はこれらのコンポーネントがどのように開発、統合、配備されているか、また、コンポーネントのセキュリティを確保するためにどのような手法が用いられているかについて、ほとんど、あるいはまったく理解していない場合が少なくない。NCCoEは、DevOpsのセキュリティ向上を支援するため、DevSecOpsプロジェクトを計画している。このプロジェクトでは、まず、セキュアソフトウェア開発フレームワーク(SSDF)、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)、その他のNIST、政府、業界の指針に沿った、安全なDevOpsとソフトウェアのサプライチェーンの実践のためのリスクベースのアプローチと推奨事項を適用し、文書化することに焦点を合わせる。このプロジェクトでは、これらのDevSecOpsの実践を、技術、プログラミング言語、産業部門に特化した概念実証のユースケースシナリオに適用する予定である。ユースケースの実証には、商用とオープンソースの両方の技術が使用される。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドを作成する予定である。

 

・[PDF] Draft Project Description

20220725-161413

 

 

目次。。。

1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions/Challenges 前提・課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Free and Open Source Software (FOSS) Development シナリオ1:フリー&オープンソースソフトウェア(FOSS)開発
Scenario 2: Commercial-Off-the-Shelf Software Development シナリオ2:商用オフザシェルフソフトウェアの開発
3 High-Level Architecture 3 ハイレベル・アーキテクチャ
Component List コンポーネント一覧
Desired Security Capabilities 望まれるセキュリティ能力
4 Relevant Standards and Guidance 4 関連する標準とガイダンス
5 Security Control Map 5 セキュリティコントロールマップ
Appendix A   References 附属書A 参考文献
Appendix B   Acronyms and Abbreviations 附属書B 頭字語および略語

 

 

1 EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
DevOps brings together software development and operations to shorten development cycles, allow organizations to be agile, and maintain the pace of innovation while taking advantage of cloud-native technology and practices. Industry and government have fully embraced and are rapidly implementing these practices to develop and deploy software in operational environments, often without a full understanding and consideration of security.  DevOps は、ソフトウェア開発と運用を統合し、開発サイクルの短縮、組織のアジャイル化、クラウドネイティブなテクノロジーとプラクティスを活用したイノベーションのペース維持などを実現する。産業界と政府機関は、運用環境におけるソフトウェアの開発とデプロイのために、これらのプラクティスを全面的に受け入れ、急速に導入しているが、多くの場合、セキュリティについて十分に理解し、考慮することなく導入しているのが現状である。
DevSecOps helps ensure that security is addressed as part of all DevOps practices by integrating security practices and automatically generating security and compliance artifacts throughout the process, including software development, builds, packaging, distribution, and deployment. This is important for several reasons, including:  DevSecOpsは、ソフトウェア開発、ビルド、パッケージング、配布、配備などのプロセス全体を通じて、セキュリティの実践を統合し、セキュリティとコンプライアンスの成果物を自動的に生成することによって、すべてのDevOps実践の一部としてセキュリティに対処できるようにするものである。これは、以下のような理由から重要である。
・reducing vulnerabilities, malicious code, and other security issues in released software without slowing down code production and releases;  ・コードの生産とリリースを減速させることなく、リリース済みソフトウエアの脆弱性、悪意あるコード、その他のセキュリティ問題を低減する。
・mitigating the potential impact of vulnerability exploitation throughout the software lifecycle, including when the software is being developed, built, packaged, distributed, deployed, and executed on dynamic hosting platforms;  ・ソフトウェアの開発、構築、パッケージ化、配布、配備、動的ホスティングプラットフォームでの実行を含む、ソフトウェアライフサイクル全体を通して脆弱性の悪用による潜在的な影響を軽減する。
・addressing the root causes of vulnerabilities to prevent recurrences, such as strengthening test tools and methodologies in the toolchain, and improving practices for developing code and operating hosting platforms; and  ・ツールチェーンにおけるテストツールや手法の強化、コード開発やホスティングプラットフォームの運用方法の改善など、脆弱性の根本原因に対処し、再発を防止する。
・reducing friction between the development, operation, and security teams in order to maintain the speed and agility needed to support the organization’s mission while taking advantage of modern and innovative technology.  ・開発・運用・セキュリティの各チーム間の摩擦を減らし、組織のミッションをサポートするために必要なスピードと俊敏性を維持しながら、最新かつ革新的な技術を活用する。
There is increasing recognition that DevSecOps should also encompass software supply chain security. Most software today relies on one or more third-party components, yet organizations often have little or no visibility into and understanding of how these software components are developed, integrated, and deployed, as well as the practices used to ensure the components’ security. DevSecOps practices can help identify, assess, and mitigate cybersecurity risk for the software supply chain. [1]  DevSecOpsは、ソフトウェアサプライチェーンセキュリティも包含すべきであるという認識が広まりつつある。今日、ほとんどのソフトウェアは1つ以上のサードパーティコンポーネントに依存しているが、組織はこれらのソフトウェアコンポーネントがどのように開発、統合、デプロイされているか、またコンポーネントのセキュリティを確保するためのプラクティスについてほとんど可視化できず、理解できないことがよくある。DevSecOpsの実践は、ソフトウェアサプライチェーンのサイバーセキュリティリスクを特定、評価、緩和するのに役立つ。[1] 
This document defines a National Cybersecurity Center of Excellence (NCCoE) project on which we are seeking feedback. This project focuses on developing and documenting an applied riskbased approach and recommendations for DevSecOps practices. For the purposes of this project, the term “DevSecOps” refers to integrating security practices developed by the security team into existing pipelines (e.g., continuous integration/continuous delivery [CI/CD]) and existing toolchains used by developers and managed by operations teams. NIST’s proposed approach for this project is similar to those used for the NIST Secure Software Development Framework (SSDF) [2] and the NIST Cybersecurity Framework [3]. This project is intended to help enable organizations to maintain the velocity and volume of software delivery in a cloud-native way and take advantage of automated tools. The project will also determine how the practices and tasks from the NIST SSDF can be implemented as part of a DevSecOps approach.   この文書では、フィードバックを求めている National Cybersecurity Center of Excellence (NCCoE) プロジェクトを定義している。このプロジェクトは、DevSecOps の実践のための応用的なリスクベースのアプローチと推奨事項を開発し、文書化することに重点を置いている。このプロジェクトでは、「DevSecOps」という用語は、セキュリティチームが開発したセキュリティ対策を、既存のパイプライン(例えば、継続的インテグレーション/継続的デリバリー[CI/CD])と、開発者が使用し、運用チームが管理する既存のツールチェーンに統合することを指している。このプロジェクトでNISTが提案するアプローチは、NISTセキュアソフトウェア開発フレームワーク(SSDF)[2]やNISTサイバーセキュリティフレームワーク[3]に用いられているアプローチと類似している。このプロジェクトは、組織がクラウドネイティブの方法でソフトウェア提供の速度と量を維持し、自動化ツールを活用できるようにすることを目的としている。また、NIST SSDFのプラクティスやタスクが、DevSecOpsアプローチの一部としてどのように実装できるかを判断する。 
The project’s objective is to produce practical and actionable guidelines that meaningfully integrate security practices into development methodologies. Industry, government, and other organizations could then apply the guidelines when choosing and implementing DevSecOps practices in order to improve the security of the software they develop and operate. That, in turn, would improve the security of the organizations using that software, and so on throughout the software supply chain. Additionally, the project intends to demonstrate how an organization can generate artifacts as a byproduct of its DevSecOps practices to support and inform the organization’s self-attestation and declaration to conformance to applicable NIST and industryrecommended practices for secure software development and cybersecurity supply chain risk management.  このプロジェクトの目的は、セキュリティの実践を開発手法に有意義に統合する、実用的で実行可能なガイドラインを作成することである。産業界、政府機関、その他の組織は、開発・運用するソフトウェアのセキュリティを向上させるために、DevSecOpsの手法を選択・導入する際に、このガイドラインを適用することができる。その結果、そのソフトウェアを使用する組織のセキュリティが向上し、ソフトウェアのサプライチェーン全体が改善される。さらに、このプロジェクトでは、組織がDevSecOpsの実践の副産物として成果物を生成し、安全なソフトウェア開発とサイバーセキュリティサプライチェーンリスク管理に関して適用可能なNISTと業界が推奨する実践への適合を自己証明し、宣言する方法を示すことを意図している。
The project will also strive to demonstrate the use of current and emerging secure development frameworks, practices, and tools to address cybersecurity challenges. Lessons learned during the project will be shared with the security and software development communities to inform improvements to secure development frameworks, practices, and tools. Lessons learned will also be shared with standards developing organizations to inform their DevSecOps-related work.  また、このプロジェクトでは、サイバーセキュリティの課題に対処するために、現在および最新の安全な開発フレームワーク、手法、ツールを使用することを実証するように努める。このプロジェクトで得られた教訓は、セキュリティコミュニティやソフトウェア開発コミュニティと共有され、安全な開発フレームワーク、手法、ツールの改善に役立てられる。また、標準化団体と共有し、DevSecOps関連の作業に反映させる。
This project will result in a publicly available NIST Cybersecurity Practice Guide, a detailed implementation guide of the practical steps needed to implement a cybersecurity reference design that addresses this challenge.  このプロジェクトは、一般に利用可能なNISTサイバーセキュリティ実践ガイドとして、この課題に対処するサイバーセキュリティ参照設計を実装するために必要な実践的ステップの詳細な実装ガイドを作成する予定である。
Scope  対象範囲 
This project will apply DevSecOps practices in multiple proof-of-concept use case scenarios that each involve different technologies, programming languages, industry sectors, etc. The NCCoE project will use commercial and open source technology to demonstrate the use cases. The intention is to demonstrate DevSecOps practices that would apply to organizations of all sizes and from all sectors, and to development for information technology (IT), operational technology (OT), Internet of Things (IoT), and other technology types. This project will not focus on the development of any particular technology type.  このプロジェクトでは、異なる技術、プログラミング言語、産業分野などを含む複数の概念実証のユースケースシナリオにDevSecOpsの実践を適用する。NCCoEプロジェクトでは、ユースケースの実証に商用およびオープンソースの技術を使用する予定である。その目的は、あらゆる規模、あらゆる業種の組織、および情報技術(IT)、運用技術(OT)、モノのインターネット(IoT)、その他の技術タイプの開発に適用可能なDevSecOpsの実践を実証することにある。このプロジェクトは、特定の技術タイプの開発に焦点を当てることはない。
As part of this project, NIST will bring together and normalize content on DevSecOps practices from existing guidance and practices publications. This content, to be published as part of the  project’s NIST Cybersecurity Practice Guide, will be drafted and revised in parallel with the use case implementations. It will provide definitions of fundamental DevSecOps concepts so that developers, security professionals, and operations personnel can all have the same shared understanding of them. Also, it will document key elements that organizations would need to build successful DevSecOps practices, from changing the organization’s culture to automating security practices into existing development pipelines and toolchains to support the concept of continuous authorization to operate (ATO). The guide will also provide all organizations with a way to document their current DevSecOps practices and define their future target practices as part of their continuous improvement processes. The recommendations and practices in the guide will be crafted to provide organizations choosing to adopt them with flexibility and customizability in their implementation.  このプロジェクトの一環として、NISTは、既存のガイダンスやプラクティスの出版物からDevSecOpsのプラクティスに関するコンテンツを集め、標準化する予定である。このコンテンツは、このプロジェクトのNISTサイバーセキュリティ実践ガイドの一部として発行される予定で、ユースケースの実装と並行して起草・改訂される予定である。開発者、セキュリティ専門家、運用担当者が同じように理解できるように、DevSecOps の基本概念の定義を提供する。また、組織の文化を変えることから、既存の開発パイプラインやツールチェーンにセキュリティ対策を自動化し、継続的な操作権限(ATO)の概念をサポートすることまで、組織がDevSecOpsを成功させるために必要な主要要素を文書化する予定である。また、このガイドは、すべての組織が、継続的な改善プロセスの一環として、現在のDevSecOpsの実践を文書化し、将来目標とする実践を定義する方法を提供するものである。ガイドの勧告とプラクティスは、それらを採用することを選択した組織が、その実装において柔軟性とカスタマイズ性を得られるように作成される予定である。
Selected NIST guidance most closely related to DevOps and supply chain security, such as NIST Special Publication (SP) 800-218 [2], SP 800-190 [4], and SP 800-161 [1], will be leveraged for the use case implementations and may be updated during the course of the project based on lessons learned from the implementations. There are many existing security guidance and practices publications from NIST and others, but they have not yet been put into the context of DevOps or DevSecOps. Industry, standards developing organizations, government agencies, and others are already performing DevSecOps. Their efforts would be leveraged to provide a community-developed set of recommended practices. Updating affected NIST publications so they reflect DevSecOps principles would also help organizations to make better use of their recommendations.  NIST Special Publication (SP) 800-218 [2]、SP 800-190 [4]、SP 800-161 [1]など、DevOps とサプライチェーンのセキュリティに最も関係の深い NIST のガイダンスが使用事例の実装に利用され、実装から得られた教訓に基づいてプロジェクトの過程で更新されることがある。NIST などから多くの既存のセキュリティガイダンスと実践の出版物があるが、それらはまだ、DevOps または DevSecOps の文脈に当てはめたものではない。業界、標準化団体、政府機関などは、すでにDevSecOpsを実施している。彼らの努力を活用し、コミュニティが開発した一連の推奨プラクティスを提供する。NIST の関連出版物を更新して、DevSecOps の原則を反映させれば、組織がその勧告をよりよく利用できるようにもなる。
Assumptions/Challenges  前提条件・課題 
Readers are assumed to understand basic DevOps and secure software development concepts.  読者は、基本的なDevOpsと安全なソフトウェア開発の概念を理解していることが前提である。
Background  背景 
A software development life cycle (SDLC)  is a formal or informal methodology for designing, creating, and maintaining software (including code built into hardware). There are many models for SDLCs, including waterfall, spiral, agile, and – in particular – agile combined with software development and IT operations (DevOps) practices. Few SDLC models explicitly address software security in detail, so secure software development practices usually need to be added to and integrated into each SDLC model. Regardless of which SDLC model is used, secure software development practices should be integrated throughout it for three reasons: to reduce the number of vulnerabilities in released software, to reduce the potential impact of the exploitation of undetected or unaddressed vulnerabilities, and to address the root causes of vulnerabilities to prevent recurrences. Vulnerabilities include not just bugs caused by coding flaws, but also weaknesses caused by security configuration settings, incorrect trust assumptions, and outdated or incorrect risk analysis. [5]   ソフトウェア開発ライフサイクル(SDLC)は、ソフトウェア(ハードウェアに組み込まれたコードを含む)を設計し、作成し、維持するための公式または非公式な方法論である。SDLC には、ウォーターフォール、スパイラル、アジャイル、そして、特に、アジャイルとソフトウェア開発および IT オペレーション(DevOps)プラクティスを組み合わせたものなど、多くのモデルがある。ソフトウェアセキュリティの詳細を明示的に扱うSDLCモデルはほとんどないため、安全なソフトウェア開発の実践は、通常、各SDLCモデルに追加、統合される必要がある。どの SDLC モデルを使用するかに関係なく、安全なソフトウェア開発の実践は、3つの理由から、SDLC モデル全体に統合される必要があります: リリースされたソフトウェアにおける脆弱性の数を減らすこと、未検出または未対処の脆弱性が悪用された場合の影響を減らすこと、脆弱性の根本原因に対処して再発を防止することである。脆弱性には、コーディングの不備によるバグだけでなく、セキュリティ設定による弱点、誤った信頼性の仮定、時代遅れまたは誤ったリスク分析などが含まれます[5]。
Most aspects of security can be addressed at multiple places within an SDLC, typically with some differences in cost, effectiveness, and ease of integration. However, in general, the earlier in the SDLC that security is addressed, the less effort and cost is ultimately required to achieve the same level of security. This principle, known as shifting left, is critically important regardless of the SDLC model. Shifting left minimizes any technical debt that would require remediating early security flaws late in development or after the software is in production. Shifting left can also result in software with stronger security.  セキュリティのほとんどの側面は、SDLC 内の複数の場所で対処することができ、典型的には、コスト、有効性、および、統合の容易さにおいて多少の違いがある。しかし、一般に、SDLC の早い段階でセキュリティに対処すればするほど、同じレベルのセキュリティを達成するために必要な労力とコストが最終的に少なくなる。この原則は、左遷として知られているが、SDLC モデルに関係なく、極めて重要である。左にシフトすることによって、開発の後半または、ソフトウェアが生産された後に、初期のセキュリティ不具合を修正する必要があるような技術的負債を最小にすることができる。また、左にシフトすることによって、より強力なセキュリティを持つソフトウェアになる。
With today’s software, the responsibility for implementing security practices is often distributed among multiple organizations based on the delivery mechanism (e.g., infrastructure as a service, software as a service, platform as a service, container as a service, serverless). In these situations, it likely follows a shared responsibility model involving the platform/service providers and the tenant organization that is consuming those platforms/services. The parties will need to agree on what security practices need to be performed based on the organization’s defined policy, regulations, and mandates, which party is responsible for each practice, and how each party will attest to their conformance with the agreement.  今日のソフトウェアでは、セキュリティ対策を実施する責任が、提供メカニズム(例:サービスとしてのインフラ、サービスとしてのソフトウェア、サービスとしてのプラットフォーム、サービスとしてのコンテナ、サーバーレス)に応じて複数の組織に分散されることが多くなっている。このような状況では、プラットフォーム/サービスのプロバイダーと、それらのプラットフォーム/サービスを消費しているテナント組織が関与する責任共有モデルに従う可能性が高い。両当事者は、組織が定義したポリシー、規制、および義務に基づき、どのようなセキュリティ対策を実施する必要があるか、各対策にどの当事者が責任を負うか、そして各当事者が合意内容に準拠していることをどのように証明するかについて合意する必要がある。
Another aspect of today’s software is that it often uses one or more software components developed by other organizations. Some of those components may also use components from other organizations, and so on. Managing cybersecurity risk from third-party software components, as part of cybersecurity supply chain risk management (C-SCRM), involves identifying, assessing, selecting, and implementing processes and mitigating controls. This risk management can largely be integrated into DevSecOps through its automation capabilities.  今日のソフトウェアのもう一つの側面は、他の組織によって開発された一つ以上のソフトウェアコンポーネントを使用することが多い。これらのコンポーネントの中には、他の組織のコンポーネントを使用しているものもあり、そのような場合は、他の組織のコンポーネントを使用することになる。サードパーティのソフトウェアコンポーネントから生じるサイバーセキュリティリスクを管理するには、サイバーセキュリティサプライチェーンリスク管理(C-SCRM)の一環として、プロセスと緩和策を特定、評価、選択、実施する必要がある。このリスク管理は、その自動化機能により、DevSecOpsにほぼ統合することができる。

 

 

| | Comments (0)

2022.07.25

NIST SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響:エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理 SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果:ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

こんにちは、丸山満彦です。

組織において、、、ERM ICTリスク サイバーセキュリティリスク と言うことですかね。。。

・NISTがSP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響:エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理

・SP 800-221A (ドラフト) 情報通信技術 (ICT) リスクの成果:ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合

を公表し、意見募集をしていますね。。。


まずは、SP800-221のほう...

 

NIST- ITL

・2022.07.20 SP 800-221 (Draft) Enterprise Impacts of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio

 

SP 800-221 (Draft) Enterprise Impacts of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio SP 800-221 (ドラフト) 情報通信技術リスクのエンタープライズへの影響:エンタープライズ・リスクポートフォリオの中でのICTリスクプログラムの統治と管理
Announcement 発表
NIST is posting two draft Special Publications (SP) on the Enterprise Impact of Information and Communications Technology (ICT) Risk, with a public comment period open through September 6, 2022. NISTは、情報通信技術(ICT)リスクのエンタープライズへの影響に関する2つの特別刊行物(SP)案を掲載し、2022年9月6日までパブリックコメントを募集している。
The increasing dependency on ICT means that all enterprises must ensure ICT risks receive the appropriate attention along with other risk disciplines –legal, financial, etc. – within their enterprise risk management (ERM) programs. These documents and resources are intended to help ICT risk practitioners at all levels of the enterprise, in private and public sectors, to better understand and practice ICT risk management (ICTRM) within the context of ERM.  Using organizing constructs, such as risk appetite and tolerance statements, business impact analysis (BIA), risk registers, and key risk indicators, enterprises, can better identify, assess, communicate, monitor, and manage their ICT risks in the context of their stated mission and business objectives using language and constructs already familiar to senior leaders. ICTへの依存度が高まっていることから、すべてのエンタープライズは、エンタープライズ・リスクマネジメント(ERM)において、ICTリスクが他のリスク分野(法務、財務など)と共に適切な注意を払う必要がある。これらの文書とリソースは、民間及び公的セクターのあらゆるレベルのエンタープライズのICTリスク実務者が、ERMの文脈の中でICTリスクマネジメント(ICTRM)をより良く理解し、実践することを支援することを目的としている。  リスク選好および許容ステートメント、ビジネスインパクト分析(BIA)、リスクレジスタ、および主要リスク指標のような組織的構成を使用することにより、エンタープライズは、シニアリーダーに既に馴染みのある言語および構成を使用して、明示されたミッションおよびビジネス目標に関連するICTリスクの特定、評価、伝達、監視、および管理をより適切に行うことができる。
NIST Special Publication 800-221 ipd (initial public draft), Enterprise Impact of Information and Communications Technology Risk: Governing and Managing ICT Risk Programs Within an Enterprise Risk Portfolio, promotes a greater understanding of the relationship between ICT risk management and ERM, and the benefits of integrating those approaches. NIST Special Publication 800-221 ipd (初期公開草案), 情報通信技術リスクの企業への影響:企業リスクポートフォリオの中でのICTリスクプログラムの統治と管理は、ICTリスクマネジメントとERMの関係、およびこれらのアプローチを統合する利点について理解を深めるためのものである。
NIST Special Publication 800-221A ipd, Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio, provides a set of desired outcomes and applicable references that are common across all types of ICT risk. It provides a common language for understanding, managing, and expressing ICT risk to internal and external stakeholders. It can be used to help identify and prioritize actions for reducing ICT risk, and it is a tool for aligning policy, business, and technological approaches to managing that risk. Using this approach for each type of ICT risk will help organizations improve the quality and consistency of ICT risk information they provide as inputs to their ERM programs. That, in turn, will help organizations address all forms of ICT risk more effectively in their ERM.  This publication complements SP 800-221 as the ICTRM catalog of outcomes. SP 800-221A can be browsed and downloaded in standardized JSON and Excel formats.  NIST Special Publication 800-221A ipd, 情報通信技術 (ICT) リスク: ICTリスクマネジメントプログラムとエンタープライズリスクポートフォリオの統合は、すべての種類のICTリスクに共通する一連の望ましい成果と適用可能な参考文献を提供している。これは、ICTリスクを理解し、管理し、内外の利害関係者に表明するための共通言語を提供する。それは、ICTリスクを低減するための行動を特定し、優先順位をつけるのに役立ち、そのリスクを管理するための政策、ビジネス、及び技術的アプローチを調整するためのツールである。ICTリスクの種類ごとにこのアプローチを使用することは、組織がERMプログラムのインプットとして提供するICTリスク情報の品質と一貫性を向上させるのに役立つ。その結果、組織はERMにおいて、あらゆる形態のICTリスクにより効果的に対処できるようになる。  本書は、SP 800-221を補完し、ICTRMの成果カタログとなる。SP 800-221Aは、標準化されたJSON及びExcel形式で閲覧及びダウンロードが可能である。 
The public comment period for both drafts is open through September 6, 2022. 両草案に対するパブリックコメント期間は、2022年9月6日までです。
Abstract 概要
All enterprises should ensure that information and communications technology (ICT) risk receives appropriate attention within their enterprise risk management (ERM) programs. This document is intended to help individual organizations within an enterprise improve their ICT risk management (ICTRM). This can enable enterprises and their component organizations to better identify, assess, and manage their ICT risks in the context of their broader mission and business objectives. This document explains the value of rolling up and integrating risks that may be addressed at lower system and organizational levels to the broader enterprise level by focusing on the use of ICT risk registers as input to the enterprise risk profile. すべてのエンタープライズは、エンタープライズ・リスクマネジメント(ERM)プログラムの中で、情報通信技術(ICT)リスクに適切な注意を払うようにしなければならない。本書は、エンタープライズ内の各組織がICTリスクマネジメント(ICTRM)を改善することを支援することを目的としている。これにより、エンタープライズ及びその構成組織は、より広い使命と事業目標との関連において、ICTリスクをより適切に特定、評価及び管理することができる。本書は、エンタープライズ・リスクプロファイルへのインプットとしてのICTリスクレジスターの使用に焦点を当て、システムや組織の下位レベルで対処可能なリスクをより広いエンタープライズレベルにロールアップし統合することの価値を説明する。

 

・[PDF] SP 800-221 (Draft)

 

20220725-11126

 

 

Executive Summary  エグゼクティブサマリー 
All types of organizations, from corporations to federal agencies, face a broad array of risks. For federal agencies, the Office of Management and Budget (OMB) Circular A-11 defines risk as “the effect of uncertainty on objectives” [OMB-A11]. The effect of uncertainty on enterprise mission and business objectives may then be considered as an “enterprise risk” that must be similarly managed. An enterprise is an organization that exists at the top level of a hierarchy with unique risk management responsibilities. Managing risks at that level—enterprise risk management (ERM)—calls for understanding the core risks that an enterprise faces, determining how best to address those risks, and ensuring that the necessary actions are taken. In the Federal Government, ERM is considered “an effective agency-wide approach to addressing the full spectrum of the organization’s significant risks by understanding the combined impact of risks as an interrelated portfolio rather than addressing risks only within silos” [OMB-A11]. OMB Circular A-123 “establishes an expectation for federal agencies to proactively consider and address risks through an integrated…view of events, conditions, or scenarios that impact mission achievement” [OMB-A123].  企業から連邦政府機関に至るまで、あらゆる種類の組織が、さまざまなリスクに直面している。連邦政府機関では、行政管理予算局(OMB)の通達A-11で、リスクを「目標に対する不確実性の影響」と定義している[OMB-A11]。したがって、企業の使命と事業目標に対する不確実性の影響は、同様に管理されなければならない「企業リスク」と考えることができる。企業とは、独自のリスク管理責任を持つ、階層の最上位に存在する組織である。そのレベルでのリスク管理、すなわち企業リスク管理(ERM)とは、企業が直面する中核的なリスクを理解し、そのリスクに対処する最善の方法を決定し、必要な措置を確実に講じることを意味する。連邦政府では、ERMは「サイロの中だけでリスクに対処するのではなく、相互に関連するポートフォリオとしてリスクの複合的な影響を理解し、組織の重要なリスクの全範囲に対処する効果的な機関全体のアプローチ」[OMB-A11]とみなされている。OMB Circular A-123は、「連邦政府機関が、任務達成に影響を与える事象、条件、またはシナリオを統合的に捉えることにより、リスクを積極的に検討し対処することへの期待を定めている」[OMB-A123]と述べている。
The information and communications technology (ICT) on which an enterprise relies is managed through a broad set of risk disciplines. For more than 50 years, NIST publications have provided important guidance for individual programs such as manufacturing excellence, privacy, supply chain, and cybersecurity. But, as the OMB quotes above point out, enterprise risk considerations and decisions must take a portfolio perspective. Individual risk programs have an important role and must integrate activities as part of that enterprise portfolio. Doing so ensures a focus on achieving enterprise objectives and helps identify those risks that will have the most significant impact on the entity’s mission. This publication extends that NIST risk program guidance, recognizing that risk extends beyond the boundaries of individual programs. ICT risk considerations and disciplines (e.g., Internet of Things, supply chain, privacy, cybersecurity) as well as risk management frameworks (e.g., those for artificial intelligence and for information systems and organizations) support the management of a mosaic of interrelated risks. Effectively addressing these ICT risks at the enterprise level requires coordination, communication, and collaboration. This publication examines the relationships among ICT risk disciplines and enterprise risk practices.  企業が依存する情報通信技術(ICT)は、広範なリスク分野を通じて管理される。50年以上にわたって、NISTの出版物は、製造技術、プライバシー、サプライチェーン、およびサイバーセキュリティなどの個々のプログラムに対して重要なガイダンスを提供してきました。しかし、上記のOMBの引用が指摘するように、企業リスクの検討と決定は、ポートフォリオの視点を持たなければならない。個々のリスクプログラムは重要な役割を担っており、その企業ポートフォリオの一部として活動を統合しなければならない。そうすることで、企業の目標達成に焦点を当て、企業のミッションに最も大きな影響を与えるリスクを特定することができます。本書は、NISTのリスクプログラムガイダンスを拡張し、リスクは個々のプログラムの境界を超えるものであることを認識するものである。ICTリスクに関する考慮事項や分野(例:モノのインターネット、サプライチェーン、プライバシー、サイバーセキュリティ)、及びリスク管理フレームワーク(例:人工知能、情報システム及び組織に関するもの)は、相互に関連するリスクのモザイクの管理をサポートするものである。企業レベルでこれらのICTリスクに効果的に対処するには、調整、コミュニケーション、およびコラボレーションが必要です。本書は、ICTリスク分野と企業リスク実務の関係を検証しています。
The broad set of ICT disciplines forms an adaptive system-of-systems composed of many interdependent components and channels. The resulting data represents information, control signals, and sensor readings. As with other complex systems-of-systems, the interconnectedness of these technologies produces system behaviors that cannot be determined by the behavior of individual components. That interconnectedness causes risks which exist between risk programs and across multiple risk programs. As our systems become more complex, they present exploitable vulnerabilities, emergent risks, and system instabilities that, once triggered, can have a runaway effect with multiple severe, often irreversible consequences. In the contemporary enterprise, emergency and real-time circumstances can turn a relatively minor ICT-based risk into true operational risks that disrupt an organization’s ability to perform mission or business functions.   ICT分野の広範なセットは、多くの相互依存のコンポーネントとチャンネルで構成される適応的なシステム・オブ・システムを形成しています。その結果、情報、制御信号、センサーの読み取り値などのデータが生成される。他の複雑なシステム・オブ・システムと同様に、これらの技術の相互接続性は、個々の構成要素の動作では決定できないシステムの動作を生じさせる。この相互接続性により、リスクプログラム間や複数のリスクプログラム間に存在するリスクが発生する。システムがより複雑になるにつれ、悪用可能な脆弱性、顕在化したリスク、一度引き起こされると複数の深刻な、しばしば取り返しのつかない結果をもたらす暴走をもたらすシステムの不安定性が発生します。現代の企業では、緊急時やリアルタイムの状況により、比較的小さなICTベースのリスクが、組織のミッションやビジネス機能の遂行を妨げる真のオペレーショナルリスクに変わることがあります。 
This publication supports an interconnected approach to risk frameworks and programs that addresses ICT risk as a special subset of enterprise risk. This publication encourages the practice of aggregating and normalizing ICT risk information, helping to identify, quantify, and communicate risk scenarios and their consequences. Doing so supports effective decisionmaking. That integrated approach ensures that shareholder and stakeholder value is quantified in financial, mission, and reputation metrics similar to those attributed to other (non-technical) enterprise risks, enabling executives and officials to prudently reallocate resources among all the varied competing risk types.  本書は、ICTリスクを企業リスクの特殊な部分集合として扱うリスクフレームワークとプログラムへの相互関連的なアプローチを支援するものである。本書は、ICTリスク情報を集約し、正規化し、リスクシナリオとその結果を特定、定量化、及び伝達することを推奨している。そうすることで、効果的な意思決定が可能になる。その統合されたアプローチは、株主とステークホルダーの価値が、他の(非技術的な)企業リスクに起因するものと同様に、財務、ミッション、および評判の指標で定量化されることを保証し、経営者と当局者がすべての多様な競合するリスクタイプ間で慎重にリソースを再配分することを可能にします。
While NIST is widely recognized as a source of cybersecurity guidance, cyber is only one portion of a large and complex set of uncertainties including financial, legal, legislative, safety, and strategic risks. As part of an ERM program, senior leaders (e.g., corporate officers, government senior executive staff) often have fiduciary and reporting responsibilities that other organizational stakeholders do not, so they have a unique responsibility to holistically manage the combined set of risks. ERM provides the umbrella under which risks are aggregated and prioritized so that all risks can be evaluated and “stovepiped” risk reporting can be avoided. ERM also provides an opportunity for identification of operational risk, a subset of the enterprise risks so significant that potential losses could jeopardize one or more aspects of operations. Risk managers will determine whether a failed internal process (related to enterprise people, processes, technology, or governance) will directly cause a significant operational impact. Some risk response activities are there to directly protect mission operations. Enterprise leaders should define these operational risk parameters as part of enterprise risk strategy.  NIST はサイバーセキュリティのガイダンスとして広く知られていますが、サイバーは、財務、法務、法律、安全、戦略的リスクなど、大きく複雑な不確実性の一要素に過ぎません。ERM プログラムの一環として、シニアリーダー(会社役員、政府の上級幹部職員など)は、他の組織の利害関係者にはない受託者責任と報告責任を負うことが多いため、複合的なリスクを総合的に管理する独自の責任を負っています。ERMは、すべてのリスクを評価し、「縦割り」のリスク報告を回避できるように、リスクを集約し、優先順位をつけるための傘を提供する。ERMはまた、潜在的な損失が業務の1つまたは複数の側面を危険にさらす可能性があるほど重大な企業リスクのサブセットであるオペレーショナルリスクを特定する機会を提供する。リスク管理者は、(企業の人材、プロセス、技術、ガバナンスに関連する)内部プロセスの失敗が、業務に重大な影響を直接引き起こすかどうかを判断します。リスク対応活動の中には、ミッション業務を直接的に保護するためにあるものもある。企業のリーダーは、企業のリスク戦略の一環として、これらのオペレーショナルリスクパラメータを定義する必要があります。
This publication explores the high-level ICT risk management (ICTRM) process illustrated by Figure 1. Many resources – such as well-known frameworks from the Committee of Sponsoring Organizations (COSO), OMB circulars, and the International Organization for Standardization (ISO) – document ERM frameworks and processes. They generally include similar approaches: identify context, identify risks, analyze risk, estimate risk importance, determine and execute the risk response, and identify and respond to changes over time. The process recognizes that no risk response should occur without understanding stakeholder expectations for managing risk to an acceptable level, as informed by leadership’s risk appetite and risk tolerance statements.  本書では、図1に示す高レベルのICTリスクマネジメント(ICTRM)プロセスを検討する。COSO(支援組織委員会)の有名なフレームワーク、OMBのサーキュラー、ISO(国際標準化機構)など、多くのリソースがERMフレームワークとプロセスを文書化しています。これらのフレームワークは、一般的に、コンテキストの特定、リスクの特定、リスクの分析、リスクの重要性の推定、リスク対応の決定と実行、時間の経過による変化の特定と対応という類似のアプローチを含んでいます。このプロセスでは、リーダーシップのリスク選好度やリスク許容度の声明によって知らされる、リスクを許容レベルまで管理することに対する利害関係者の期待を理解することなしに、リスク対応は行われるべきではないと認識しています。
To ensure that leaders can be provided a composite understanding of the various threats and consequences facing each organization and enterprise, risk information is recorded and shared through risk registers.  At higher levels in the enterprise structure, various risk registers (including those related to ICTRM) are aggregated, normalized, and prioritized into risk profiles. While it is critical that enterprises address potential negative impacts on mission and business objectives, it is equally critical (and required for federal agencies) that enterprises plan for success. OMB states that “the [Enterprise Risk] profile must identify sources of uncertainty, both positive (opportunities) and negative (threats).” [OMB-A123] Enterprise-level decision makers use the risk profile to choose which enterprise risks to address, allocate resources, and delegate responsibilities to appropriate risk owners. ERM strategy includes defining terminology, formats, criteria, and other guidance for risk inputs from lower levels of the enterprise.  各組織や企業が直面する様々な脅威とその結果について、リーダーが複合的に理解できるように、リスク情報はリスクレジスターを通じて記録され、共有されます。 企業構造のより高いレベルでは、様々なリスク登録(ICTRMに関連するものを含む)は、リスクプロファイルに集約され、正規化され、優先順位が付けられる。企業がミッションと事業目標に対する潜在的な負の影響に対処することは重要であるが、企業が成功に向けて計画を立てることも同様に重要である(連邦政府機関には義務付けられている)。OMBは、「(企業リスク)プロファイルは、ポジティブ(機会)およびネガティブ(脅威)の両方の不確実性の原因を特定しなければならない」と述べている[OMB-A123]。[企業レベルの意思決定者は、リスクプロファイルを使用して、どの企業リスクに取り組むべきかを選択し、資源を割り当て、適切なリスク所有者に責任を委譲する。ERM戦略には、企業の下層部からのリスクインプットに関する用語、フォーマット、基準、その他のガイダンスを定義することも含まれる。
Integrated risk management information from throughout the enterprise helps create a composite enterprise risk register (ERR) and a prioritized enterprise risk profile (ERP) to inform company executives and agency officials’ ERM deliberations, decisions, and actions. It describes the inclusion of ICT risks (including various operational technology, supply chain, privacy, and cybersecurity risks) as part of financial, valuation, mission, and reputation exposure. A comprehensive ERR and ERP support communication and disclosure requirements. The integration of technology-specific risk management activities supports an understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities. The iterative ICTRM process enables adjustments to risk direction. As leaders receive feedback regarding enterprise progress, strategy can be adjusted to take advantage of an opportunity or to better address negative risk as information is collected and shared.  企業全体から統合されたリスクマネジメント情報は、企業リスク登録(ERR)と優先順位付けされた企業リスクプロファイル(ERP)の作成に役立ち、企業幹部や機関関係者のERMの審議、決定、行動に情報を提供します。財務、評価、ミッション、レピュテーションのエクスポージャーの一部として、ICTリスク(様々なオペレーション技術、サプライチェーン、プライバシー、サイバーセキュリティのリスクを含む)を含めることを説明するものである。包括的なERRとERPは、コミュニケーションと開示の要件をサポートする。技術固有のリスク管理活動の統合は、企業報告(例:損益計算書、貸借対照表、キャッシュフロー)及び公共部門団体の類似要件(例:充当及び監督当局への報告)に関連するエクスポージャーの理解を支援する。ICTRMの反復的なプロセスは、リスクの方向性を調整することを可能にする。企業の進捗に関するフィードバックをリーダーが受け取ることで、情報が収集・共有されるため、機会を生かすため、あるいはネガティブなリスクによりよく対処するために、戦略を調整することができる。
Application of a consistent approach to identify, assess, respond to, and communicate risk throughout the enterprise about the entire portfolio of ICT risk disciplines will help ensure that leaders and executives are always informed and able to support effective strategic and tactical decisions. While the methods for managing risk among different disciplines will vary widely, an ICT-wide approach to directing that risk management, reporting and monitoring the results, and adjusting to optimize achievement of enterprise objectives will provide valuable benefits.  ICTリスク分野のポートフォリオ全体について、リスクを特定し、評価し、対応し、企業全体に伝達する一貫したアプローチを適用することは、リーダーやエグゼクティブが常に情報を得て、効果的な戦略・戦術的決定をサポートできることを保証するのに役立つ。異なる分野間でのリスク管理の方法は大きく異なるが、リスク管理を指示し、結果を報告し、監視し、企業目標の達成を最適化するための調整を行うICT全体のアプローチは、貴重な利益をもたらすであろう。

 

目次...

Executive Summary エグゼクティブサマリー
1 Introduction 1 はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2 Document Structure 1.2 文書の構成
2 Introduction to ICTRM and Challenges with ERM Integration 2 ICTRMの紹介とERM統合の課題
2.1 Comparing ICTRM and ERM 2.1 ICTRMとERMの比較
2.2 ICTRM Life Cycle 2.2 ICTRMのライフサイクル
2.3 ICTRM and ERM Integration 2.3 ICTRMとERMの統合
2.4 Shortcomings of Typical Approaches to ICTRM 2.4 ICTRMの典型的なアプローチの欠点
2.4.1 Increasing System and Ecosystem Complexity 2.4.1 システムとエコシステムの複雑化
2.4.2 Lack of Standardized Measures 2.4.2 標準化された尺度の欠如
2.4.3 Informal Analysis Methods 2.4.3 非公式な分析方法
2.4.4 Overly Focused on the System Level 2.4.4 システムレベルへの過度なフォーカス
2.4.5 The Gap Between ICTRM Output and ERM Input 2.4.5 ICTRMのアウトプットとERMのインプットの間のギャップ
2.4.6 Losing the Context of the Positive Risk 2.4.6 ポジティブリスクのコンテクストの喪失
3 ICT Risk Considerations 3 ICTリスクに関する考察
3.1 Identify the Context 3.1 コンテクストの特定
3.1.1 Risk Governance 3.1.1 リスクガバナンス
3.1.2 Risk Appetite and Risk Tolerance 3.1.2 リスクアペタイトとリスクトランザランス
3.1.3 Risk Management Strategy 3.1.3 リスクマネジメント戦略
3.2 Identify the Risks 3.2 リスクの特定
3.2.1 Inventory and Valuation of Assets 3.2.1 資産の棚卸し及び評価
3.2.2 Determination of Potential Threats 3.2.2 潜在的な脅威の特定
3.2.3 Determination of Exploitable and Susceptible Conditions 3.2.3 ExploitableとSusceptibleの状態の決定
3.2.4 Evaluation of Potential Consequences 3.2.4 潜在的な結果の評価
3.2.5 Risk Register Use 3.2.5 リスクレジスターの利用
3.3 Analyze (Quantify) the Risks 3.3 リスクの分析(定量化)
3.3.1 Risk Analysis Types 3.3.1 リスク分析の種類
3.3.2 Techniques for Estimating Likelihood and Impact 3.3.2 尤度及び影響の推定技法
3.4 Prioritize Risks 3.4 リスクの優先順位付け
3.5 Plan and Execute Risk Response Strategies 3.5 リスク対応戦略の立案と実行
3.6 Monitor, Evaluate, and Adjust Risk Management 3.6 リスクマネジメントの監視、評価、調整
3.6.1 When a Risk Event Passes Without Triggering the Event 3.6.1 リスク事象が誘発されずに経過した場合
3.7 Considerations of Positive Risks as an Input to ERM 3.7 ERMのインプットとしてのポジティブリスクの検討
4 Building ERRs and ERPs from ICTRM-Specific Risk Registers 4 ICTRM固有のリスクレジスターからのERRとERPの構築
4.1 Creating and Maintaining Enterprise-Level ICT Risk Registers 4.1 企業レベルのICTリスクレジスターの作成と維持
4.2 Creating the Enterprise Risk Register (ERR) 4.2 エンタープライズリスクレジスター(ERR)の作成
4.3 Developing the Enterprise Risk Profile (ERP) 4.3 エンタープライズリスクプロファイル(ERP)の作成
4.4 Translating the ERP to Inform Leadership Decisions 4.4 リーダーシップの意思決定に情報を提供するためのERPの翻訳
5 Enterprise Strategy for ICT Risk Coordination 5 ICTリスク調整のための企業戦略
5.1 Risk Integration and Coordination Activities 5.1 リスクの統合と調整活動
5.1.1 Detailed Risk Integration Strategy 5.1.1 詳細なリスク統合戦略
5.1.2 Risk Monitoring and Communication Activities 5.1.2 リスクの監視とコミュニケーション活動
5.2 Aggregation and Normalization of Risk Registers 5.2 リスクレジスターの集約と正規化
5.2.1 Aggregation of ICT Risk Information 5.2.1 ICTリスク情報の集約
5.2.2 Normalization of Risk Register Information 5.2.2 リスクレジスター情報の正規化
5.2.3 Integrating Risk Register Details 5.2.3 リスクレジスターの詳細の統合
5.3 Adjusting Risk Responses 5.3 リスク対応の調整
5.3.1 Factors Influencing Prioritization 5.3.1 優先順位付けに影響を与える要因
5.3.2 ICT Risk Optimization 5.3.2 ICTリスクの最適化
5.3.3 ICT Risk Priorities at Each Enterprise Level 5.3.3 各企業レベルのICTリスク優先度
5.4 Enterprise Adjustments Based on ICT Risk Results 5.4 ICTリスク結果に基づく企業の調整
5.4.1 Adjustments to ICT Program Budget Allocation 5.4.1 ICTプログラム予算配分の調整
5.4.2 Adjustments to Risk Appetite and Risk Tolerance 5.4.2 リスクアペタイトとリスクトレランスの調整
5.4.3 Reviewing Whether Constraints Are Overly Stringent 5.4.3 制約が厳しすぎないかどうかの見直し
5.4.4 Adjustments to Priority 5.4.4 優先順位の調整
References 参考文献
List of Appendices 附属書リスト
Appendix A - Acronyms and Abbreviations 附属書A - 頭字語および略語
Appendix B - Notional Example of a Risk Detail Record (RDR) 附属書B - リスク詳細記録(RDR)の想定例

 

次に SP 800-221Aの方...

・2022.07.20 SP 800-221A (Draft) Information and Communications Technology (ICT) Risk Outcomes: Integrating ICT Risk Management Programs with the Enterprise Risk Portfolio

 ・[PDF] SP 800-221A (Draft)

20220725-13040

 

1 Introduction  1 はじめに 
1.1 Purpose and Scope  1.1 目的と範囲 
1.2 Publication Contents 1.2 出版物の内容
2 Information and Communications Technology Areas  2 情報通信技術分野 
3 ICT Risk Outcomes Framework  3 ICTリスクアウトカムフレームワーク 
References 参考文献

 

 

| | Comments (0)

NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス

こんにちは、丸山満彦です。

NISTIR 8235 Security Guidance for First Responder Mobile and Wearable Devices NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス
Abstract 概要
Public safety officials utilizing public safety broadband networks will have access to devices, such as mobile devices, tablets, and wearables. These devices offer new ways for first responders to complete their missions but may also introduce new security vulnerabilities to their work environment. To investigate this impact, the security objectives identified in NIST Interagency Report (NISTIR) 8196, Security Analysis of First Responder Mobile and Wearable Devices, were used to scope the analysis of public safety mobile and wearable devices and the current capabilities that meet those security objectives. The purpose of this effort is to provide guidance that enables jurisdictions to select and purchase secure devices, and assist industry to design and build secure devices tailored to the needs of first responders. 公共安全のブロードバンド・ネットワークを利用する公共安全担当者は、モバイル機器、タブレット、ウェアラブルなどの機器にアクセスすることになる。これらの機器は、初動対応者が任務を遂行するための新しい方法を提供するが、彼らの作業環境に新たなセキュリティ脆弱性をもたらす可能性もある。この影響を調査するために、NIST 共同報告 (NISTIR) 8196, 「初動対応者用モバイル・ウェアラブル機器のセキュリティ分析」で特定されたセキュリティ目標を使用して、公共安全のモバイル機器とウェアラブル機器の分析およびこれらのセキュリティ目標を満たす現在の機能の範囲を決定した。この取り組みの目的は、管轄部署が安全な機器を選択・購入できるようにし、業界が初動対応者のニーズに合わせた安全な機器を設計・構築できるよう支援するガイダンスを提供することである。

 

・[PDF] NISTIR 8235

20220724-153357

 

 

Table of Contents 目次
1 Introduction 1 はじめに
1.1 Purpose 1.1 目的
1.2 Scope 1.2 スコープ
1.3 Document Structure 1.3 文書の構成
2 Technology Overview 2 技術の概要
2.1 Public Safety Mobile Devices 2.1 公共安全モバイル機器
2.2 Public Safety Wearable Devices 2.2 公共安全ウェアラブル機器
3 Analysis Methodology 3 分析方法論
3.1 Test Plan 3.1 テスト計画
3.2 Testing & Analysis 3.2 テストと分析
3.3 Develop Guidance 3.3 開発ガイダンス
4 Test Overview 4 テスト概要
4.1 Mobile Test Results Summary 4.1 モバイルテスト結果概要
4.2 Wearable Test Results Summary 4.2 ウェアラブルテスト結果概要
5 Best Practices and Guidance 5 ベストプラクティスとガイダンス
5.1 Guidance for Mobile and Wearable Devices 5.1 モバイル・ウェアラブル機器のためのガイダンス
6 Conclusion 6 結論
References 参考文献
   
Appendix A— Acronyms 附属書A - 略語集
Appendix B— Tests and Results 附属書B - テストと結果
B.1 Mobile Test Results B.1 モバイルテスト結果
B.1.1 Test 1: Obtain General Hardware Information B.1.1 テスト1: 一般的なハードウェア情報の取得
B.1.2 Test 2: Obtain General Software Information B.1.2 テスト2: 一般的なソフトウェア情報の取得
B.1.3 Test 3: Device Ruggedization Ratings B.1.3 テスト3: 機器の耐久性評価
B.1.4 Test 4: Obtaining Vulnerability Information from OS version and known databases B.1.4 テスト4: OSのバージョンと既知のデータベースからの脆弱性情報の取得
B.1.5 Test 5: Vulnerability Scan via Mobile Threat Defense (MTD) Application B.1.5 テスト5: モバイル脅威防御(MTD)アプリケーションを介した脆弱性スキャン
B.1.6 Test 6: External Fingerprinting B.1.6 テスト6: 外部からのフィンガープリントの取得
B.1.7 Test 7: External Vulnerability Scan B.1.7 テスト7: 外部からの脆弱性スキャン
B.1.8 Test 8: MAC Address Randomization B.1.8 テスト8: MAC アドレスのランダム化
B.1.9 Test 9: Device Update Policy B.1.9 テスト9: 機器の更新ポリシー
B.1.10Test 10: Rogue Base Station Detection B.1.10 テスト10: 不正な基地局の検出
B.1.11Test 11: Configuration Guidance B.1.11 テスト11: 設定ガイダンス
B.1.12Test 12: Wi-Fi PitM, Denial of Service, and Rogue Access Point Detection B.1.12 テスト12: Wi-Fi PitM、サービス妨害、不正アクセスポイント検出
B.1.13Test 13: Boot Integrity B.1.13 テスト13: ブートインテグリティ
B.1.14Test 14: Data Isolation B.1.14 テスト14: データの分離
B.1.15Test 15: Device Encryption B.1.15 テスト15: 機器の暗号化
B.2 Wearable Devices B.2 ウェアラブル機器
B.2.1 Test 1: Obtain General Hardware Information B.2.1 テスト1:一般的なハードウェア情報の取得
B.2.2 Test 2: Obtain General Software Information B.2.2 テスト2:一般的なソフトウェア情報の取得
B.2.3 Test 3: Device Ruggedization Ratings B.2.3 テスト3:機器の耐久性評価
B.2.4 Test 4: Obtaining Vulnerability Information from OS Information B.2.4 テスト4:OS情報からの脆弱性情報の取得
B.2.5 Test 5: Bluetooth Pairing B.2.5 テスト5:Bluetoothペアリング
B.2.6 Test 6: Bluetooth Encryption B.2.6 テスト6:Bluetoothの暗号化
B.2.7 Test 7: Configuration Guidance B.2.7 テスト7:設定ガイダンス
B.2.8 Test 8: Wearable Device MAC Address Randomization B.2.8 テスト8:ウェアラブル機器のMACアドレスのランダム化
B.2.9 Test 9: Device Update Policy B.2.9 テスト9:機器の更新ポリシー

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices

 

関連しそうなものを集めると...

・2021.08.29 NIST SP 1800-13 モバイルアプリケーションのシングルサインオン:公共安全の初動対応者のための認証の改善

・2020.09.30 NIST NISTIR 8235 (Draft) Security Guidance for First Responder Mobile and Wearable Devices

・2020.05.30 NIST IoT機器製造者向けセキュリティの実践資料 NISTIR 8259 Foundational Cybersecurity Activities for IoT Device Manufacturers, NISTIR 8259A IoT Device Cybersecurity Capability Core Baseline

・2020.05.16 NISTIR 8196 Security Analysis of First Responder Mobile and Wearable Devices

・2020.03.25 NIST SP 800-124 Rev. 2(Draft) Guidelines for Managing the Security of Mobile Devices in the Enterprise

...

・2012.07.22 NIST DRAFT SP 800-124 Revision 1, Guide to Enterprise Telework and Remote Access Security

 


 

はじめに、、、と結論、、、

↓↓↓

 

Continue reading "NIST NISTIR 8235 モバイル・ウェアラブル機器の初動対応者のためのセキュリティガイダンス"

| | Comments (0)

2022.07.24

米国 ボランティアをサポートする政府機関(アメリコープス)の侵入テストとフィッシングキャンペーンの評価 (監査報告書)

こんにちは、丸山満彦です。

ボランティアをサポートする政府機関(アメリコープス)の検査官室が外部の監査機関に依頼しておこなった侵入テストとフィッシングキャンペーンの評価 (監査報告書)が公表されています。監査報告書等を作成する際の参考になるかもしれません。。。

 

Oversight.Gov

・2022.07.21 AmeriCorps’ Penetration Testing and Phishing Campaign Evaluation

AmeriCorps’ security program has not been effective in accordance with Federal Information Security Management Act (FISMA) since Fiscal Year 2017. In order to determine its current status, AmeriCorps OIG engaged an independent certified public accounting firm to conduct an internal penetration test of AmeriCorps’ network. The independent auditors tested AmeriCorps’ network to evaluate the effectiveness of its information security program and to identify areas of weakness. This evaluation was comprised of three phases: network penetration testing, a phishing campaign, and the testing the effectiveness of controls in preventing and detecting the execution of malicious code. The independent auditors found two weaknesses related to preventive and detective security controls. AmeriCorps concurred and agreed to implement our recommendations to (1) develop and implement a plan to modify external emails to include information to assist the recipient of the level of risk posed by external email, (2) implement a plan to increase the frequency of behavior training directed at the identification of unwanted spam emails, and (3) implement a process to improve the detection rate to reduce the occurrence of email spam that reaches the users’ inboxes. AmeriCorps Management’s response can be found in Appendix II of the report. アメリコープスのセキュリティプログラムは、2017年度以降、連邦情報セキュリティ管理法(FISMA)に従ってなかった。現状を把握するために、アメリコープス検査官室は、独立監査事務所にアメリコープスのネットワークの内部侵入テストを実施するよう依頼した。独立監査人は、情報セキュリティ・プログラムの有効性を評価し、弱点の領域を特定するために、AmeriCorpsのネットワークをテストした。この評価は、ネットワーク侵入テスト、フィッシング・キャンペーン、悪意あるコードの実行を防止および検出するためのコントロールの有効性のテストの3つのフェーズで構成されている。独立監査人は、予防的および発見的なセキュリティ管理に関する2つの弱点を発見した。アメリコープスは、(1)外部電子メールがもたらすリスクのレベルを受信者に支援するための情報を含む外部電子メールを修正する計画を策定し実施すること、(2)不要なスパムメールの識別に向けた行動訓練の頻度を高める計画を実施すること、(3)ユーザの受信ボックスに届くスパムメールの発生率を減らすために検出率を改善する処理を実施すること、という私たちの推奨事項に同意し、実施することに同意している。アメリコープスの経営陣の回答は、報告書の附属書IIに掲載されている。

 

・[PDF] AMERICORPS PENETRATION TESTING AND PHISHING CAMPAIGN EVALUATION (OIG-EV-22-06)

20220724-63855


仮訳 [PDF] [DOCX]

 

| | Comments (0)

2022.07.23

中国 配車サービス業務等をおこなっている滴滴全球が80億元(1,600億円)以上の罰則を課される

こんにちは、丸山満彦です。

昨年の7月にNY証券市場に上場していた滴滴全球 (DiDi Global) が個人情報の取り扱いが不適切としてアプリケーションの利用を停止され、今年の5月23日にはNY証券市場を廃止を決定し(廃止をしないと新規ユーザの登録ができない)、6月2日に上場廃止しました。

そして、今回の当局の決定です。。。

ちなみに、20-Fを読んでいると、上場している持株会社の滴滴全球 (DiDi Global) は中国企業ではなく、ケイマン諸島にある会社のようですね。。。しかし、ビジネスの95%以上は中国のタクシー事業等のビジネスからなっていると言う感じですね。。。(いわゆる変動持分事業体; VIEスキームを利用した上場。。。)実質的には中国の会社なのですが、SECルールに基づく開示をおこなっているのはケイマン諸島の持株会社と言う構造ですね。SECルールに基づいて情報はどんどん開示されてしまう。。。でも中国当局は持株会社に直接権限を行使できない。。。上場を廃止しないとVIEがおこなっている中国での通常のビジネス(90%以上を占める)ができないといえば、株主利益を毀損するので上場廃止と言うことにならざるを得なくなり。。。と言うことなのかもしれませんね。。。で、今は滴滴全球股份有限公司は中国の会社になっているんですかね。。。滴滴全球 (DiDi Global) の株主はどうなったのでしょうかね。。。VIEはこれから難しいと言うことですかね。。。アリババもVIEでしたが。。。

 

中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

1_20210705085401

・2022.07.21 国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定

国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定 国家サイバースペース管理局が滴滴グローバルに対するネットワークセキュリティ審査関連の行政処分を決定
根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴全球股份有限公司涉嫌违法行为进行立案调查。经查实,滴滴全球股份有限公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣。 国家サイバースペース管理局は、ネットワークセキュリティ審査の結論と発見された問題点や手がかりにより、滴滴グローバル社の違法行為の疑いを調査する案件を開設し、その結果、滴滴グローバル社のネットワークセキュリティが違法であることが判明しました。 滴滴グローバル社は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法に違反し、違反の事実は明らかであり、証拠は決定的で、重大かつ、悪質である。
7月21日,国家互联网信息办公室依据《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等法律法规,对滴滴全球股份有限公司处人民币80.26亿元罚款,对滴滴全球股份有限公司董事长兼CEO程维、总裁柳青各处人民币100万元罚款。 7月21日、国家サイバースペース管理局は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法、行政処罰法などの法令に基づき、滴滴グローバル社に対して80億2600万人民元の罰金、滴滴グローバル社の鄭偉会長兼CEOと劉慶社長に対して各100万人民元の罰金を課した。

 

・2022.07.22 国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出 - 网络安全审查相关行政处罚的决定答记者问

国家互联网信息办公室有关负责人就对滴滴全球股份有限公司依法作出 滴滴グローバル社に対する行政処分の適法性について、国家サイバースペース管理局の関連担当者は次のように述べた。
网络安全审查相关行政处罚的决定答记者问 サイバーセキュリティ審査に関する行政処分の決定に関するQ&A
7月21日,国家互联网信息办公室公布对滴滴全球股份有限公司(以下简称“滴滴公司”)依法作出网络安全审查相关行政处罚的决定。国家互联网信息办公室有关负责人就案件相关问题回答了记者提问。 7月21日、国家サイバースペース管理局は、滴滴グローバル社(以下、滴滴社)に対して、ネットワークセキュリティ審査に関する行政処分を行うことを決定したと発表した。 国家サイバースペース管理局の担当者は、本件に関連する問題について記者の質問に答えた。
一、问:请简要介绍案件的背景和调查经过? 1. Q: 事件の背景と捜査過程を簡単に紹介してください。
答:2021年7月,为防范国家数据安全风险,维护国家安全,保障公共利益,依据《国家安全法》《网络安全法》,网络安全审查办公室按照《网络安全审查办法》对滴滴公司实施网络安全审查。 A:2021年7月、国家データセキュリティのリスクを防ぎ、国家安全を守り、公共の利益を保護するため、国家安全法およびネットワークセキュリティ法に従い、国家サイバースペース管理局は、ネットワークセキュリティ審査対策に基づき、滴滴社のネットワークセキュリティ審査を実施した。
根据网络安全审查结论及发现的问题和线索,国家互联网信息办公室依法对滴滴公司涉嫌违法行为进行立案调查。期间,国家互联网信息办公室进行了调查询问、技术取证,责令滴滴公司提交了相关证据材料,对本案证据材料深入核查分析,并充分听取滴滴公司意见,保障滴滴公司合法权利。经查实,滴滴公司违反《网络安全法》《数据安全法》《个人信息保护法》的违法违规行为事实清楚、证据确凿、情节严重、性质恶劣,应当从严从重予以处罚。 国家サイバースペース管理局は、ネットワークセキュリティ審査の結論と発見された問題点や手がかりをもとに、法律に基づいて滴滴社の違法行為の疑いを調査するケースを開設した。 この間、国家サイバースペース管理局は、調査照会、技術的な証拠収集、滴滴社に関連証拠資料の提出を命じ、本件証拠資料の詳細な検証・分析を行い、滴滴社の意見を十分に聞き、滴滴社の法的権利を保護することに努めました。 滴滴社は、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」に違反し、違反の事実は明らかであり、証拠は決定的で、重大かつ、悪質で、厳正に処罰されるべきであると判断された。
二、问:滴滴公司存在哪些违法违规行为? 2. Q:滴滴社はどのような違法・不法行為を行ったのですか?
答:经查明,滴滴公司共存在16项违法事实,归纳起来主要是8个方面。一是违法收集用户手机相册中的截图信息1196.39万条;二是过度收集用户剪切板信息、应用列表信息83.23亿条;三是过度收集乘客人脸识别信息1.07亿条、年龄段信息5350.92万条、职业信息1633.56万条、亲情关系信息138.29万条、“家”和“公司”打车地址信息1.53亿条;四是过度收集乘客评价代驾服务时、App后台运行时、手机连接桔视记录仪设备时的精准位置(经纬度)信息1.67亿条;五是过度收集司机学历信息14.29万条,以明文形式存储司机身份证号信息5780.26万条;六是在未明确告知乘客情况下分析乘客出行意图信息539.76亿条、常驻城市信息15.38亿条、异地商务/异地旅游信息3.04亿条;七是在乘客使用顺风车服务时频繁索取无关的“电话权限”;八是未准确、清晰说明用户设备信息等19项个人信息处理目的。 A:滴滴社には全部で16の違法な事実があることがわかり、それを大きく8つの側面に分けてまとめた。 第一に、ユーザーの携帯電話のアルバムから1196万3900枚のスクリーンショット情報を不正に収集し、第二に、ユーザーのクリップボードやアプリケーションリストから83億2300万件の情報を不正に収集し、第三に、乗客の顔認識情報1億700万件、年齢層に関する情報535万9200件、職業情報1635万5600件、家族関係情報137万2900件、タクシーの自宅や会社住所情報1億5300万件を過剰に収集し、第四に、運転手サービスの評価時、アプリがバックグラウンドで動作している時、携帯電話がオレンジビューレコーダー装置に接続されている時に、乗客の正確な位置情報(緯度と経度)を1億6700万件も過度に収集し、第五に、運転者の学歴に関する情報14万2900件を過剰に収集し、運転者のID番号に関する情報5780万2600件を平文でに保存し、第六に、乗客の旅行意図に関する情報539億7600万件、居住都市に関する情報15億3800件、出張/出張先に関する情報3億400万件を明示的に通知せずに分析し、第七に、タクシーサービスを利用する際に関係しない電話特典を頻繁に要求し、第八に ユーザー機器情報など19項目の個人情報の利用目的を正確かつ明確に記載していないことである。
此前,网络安全审查还发现,滴滴公司存在严重影响国家安全的数据处理活动,以及拒不履行监管部门的明确要求,阳奉阴违、恶意逃避监管等其他违法违规问题。滴滴公司违法违规运营给国家关键信息基础设施安全和数据安全带来严重安全风险隐患。因涉及国家安全,依法不公开。 以前、サイバーセキュリティレビューでは、滴滴社が国家安全保障に重大な影響を与えるデータ処理活動を行ったほか、規制当局からの明確な要求に従わない、陽動的な行動や悪意ある監督回避などの違法・不適格な問題があることも判明している。 滴滴社の違法かつ非適合な運用は、国家の重要な情報インフラとデータセキュリティの安全性に重大なセキュリティリスクをもたらした。 国家安全保障上の問題から法律に基づき開示されない。
三、问:本案的违法主体是如何认定的? 3. Q:今回の違反対象はどのように特定されたのでしょうか?
答:滴滴公司成立于2013年1月,相关境内业务线主要包括网约车、顺风车、两轮车、造车等,相关产品包括滴滴出行App、滴滴车主App、滴滴顺风车App、滴滴企业版App等41款App。 A: 滴滴社は2013年1月に設立され、国内の関連事業には主にオンラインタクシー、一般のタクシー、二輪車、自動車製造などがあり、関連製品には滴滴トラベルApp、滴滴オーナー、滴滴タクシーApp、滴滴エンタープライズAppなど41のアプリが含まれている。
滴滴公司对境内各业务线重大事项具有最高决策权,制定的企业内部制度规范对境内各业务线全部适用,且对落实情况负监督管理责任。该公司通过滴滴信息与数据安全委员会及其下设的个人信息保护委员会、数据安全委员会,参与网约车、顺风车等业务线相关行为的决策指导、监督管理,各业务线违法行为是在该公司统一决策和部署下的具体落实。据此,本案违法行为主体认定为滴滴公司。 滴滴社は、国内各事業の主要事項に関する最高意思決定権を有し、構築した社内制度・規範はすべて国内各事業に適用され、その実施状況を監督・管理する責任を負っている。 同社は、滴滴情報・データセキュリティ委員会および同社の個人情報保護委員会・データセキュリティ委員会を通じて、インターネット配車サービスやタクシーなどの事業ラインの関連行為の意思決定指導・監督・管理に参加し、事業ラインの違法行為は、同社の統一した意思決定・展開の下で実施された。 したがって、本件の違法行為の対象は滴滴社であると認定された。
滴滴公司董事长兼CEO程维、总裁柳青,对违法行为负主管责任。 滴滴社の鄭偉会長兼CEOと劉慶社長は、違法行為に責任があった。
四、问:对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是什么? 4. Q: 滴滴社にネットワークセキュリティの見直しに関する行政処分を科すことにした主な根拠は?
答:此次对滴滴公司的网络安全审查相关行政处罚,与一般的行政处罚不同,具有特殊性。滴滴公司违法违规行为情节严重,结合网络安全审查情况,应当予以从严从重处罚。一是从违法行为的性质看,滴滴公司未按照相关法律法规规定和监管部门要求,履行网络安全、数据安全、个人信息保护义务,置国家网络安全、数据安全于不顾,给国家网络安全、数据安全带来严重的风险隐患,且在监管部门责令改正情况下,仍未进行全面深入整改,性质极为恶劣。二是从违法行为的持续时间看,滴滴公司相关违法行为最早开始于2015年6月,持续至今,时间长达7年,持续违反2017年6月实施的《网络安全法》、2021年9月实施的《数据安全法》和2021年11月实施的《个人信息保护法》。三是从违法行为的危害看,滴滴公司通过违法手段收集用户剪切板信息、相册中的截图信息、亲情关系信息等个人信息,严重侵犯用户隐私,严重侵害用户个人信息权益。四是从违法处理个人信息的数量看,滴滴公司违法处理个人信息达647.09亿条,数量巨大,其中包括人脸识别信息、精准位置信息、身份证号等多类敏感个人信息。五是从违法处理个人信息的情形看,滴滴公司违法行为涉及多个App,涵盖过度收集个人信息、强制收集敏感个人信息、App频繁索权、未尽个人信息处理告知义务、未尽网络安全数据安全保护义务等多种情形。 A:滴滴社のネットワークセキュリティ審査に関わる行政処分は、一般の行政処分とは異なり、特殊な性質を持っている。 滴滴社の違法行為の経緯は深刻であり、ネットワークセキュリティの見直しと合わせて、厳正な処罰を行うべきである。 まず、違反の内容から、滴滴社は、ネットワークセキュリティ、データセキュリティ、個人情報保護に関する義務を関連法令および監督官庁の要求に従って履行せず、国家ネットワークセキュリティおよびデータセキュリティを軽視し、国家ネットワークセキュリティおよびデータセキュリティに重大なリスクと隠れた危険をもたらし、監督官庁が修正を命じた後も、包括的かつ徹底的な是正を行っておらず、極めて悪質である。 次に、違法行為の期間から見ると、滴滴社の当該違法行為は、2015年6月に初めて始まり、7年間継続しており、2017年6月施行のネットワークセキュリティ法、2021年9月施行のデータセキュリティ法、2021年11月施行の個人情報保護法に継続して違反するものである。 第三に、違法行為による被害についてであるが、滴滴社は、ユーザーのクリップボード情報、フォトアルバムのスクリーンショット情報、アフィニティ情報などの個人情報を違法な手段で収集しており、ユーザーのプライバシーを著しく侵害し、個人情報に関する権利を著しく侵害した。 第四に、法律に違反して取り扱った個人情報の量から、滴滴社は、顔認識情報、正確な位置情報、IDカード番号などの機密個人情報を含む647億900万件という膨大な量の個人情報を違法に取り扱った。 第五に、個人情報の違法な取扱いの状況から、滴滴社の違法行為は、複数のアプリが関与し、個人情報の過剰な収集、機微な個人情報の強制収集、アプリによる頻繁な権利主張、個人情報の取扱いの告知義務の不履行、ネットワークセキュリティデータ安全保護義務の不履行など様々な状況を対象としていることである。
综合考虑滴滴公司违法行为的性质、持续时间、危害及情形,对滴滴公司作出网络安全审查相关行政处罚的决定的主要依据是《网络安全法》《数据安全法》《个人信息保护法》《行政处罚法》等有关规定。 滴滴社の違法行為の性質、期間、被害および状況を考慮し、滴滴社に対するネットワークセキュリティ見直しに関する行政処分の決定の主な根拠は、「ネットワークセキュリティ法」「データセキュリティ法」「個人情報保護法」「行政処罰法」等の関連規定であった。
五、问:下一步网络执法的重点方向和领域有哪些? 5. Q:次のステップでのネットワーク法施行の重要な方向性と領域は何ですか?
答:近年来,国家不断加强对网络安全、数据安全、个人信息的保护力度,先后颁布了《网络安全法》《数据安全法》《个人信息保护法》《关键信息基础设施安全保护条例》《网络安全审查办法》《数据出境安全评估办法》等法律法规。网信部门将依法加大网络安全、数据安全、个人信息保护等领域执法力度,通过执法约谈、责令改正、警告、通报批评、罚款、责令暂停相关业务、停业整顿、关闭网站、下架、处理责任人等处置处罚措施,依法打击危害国家网络安全、数据安全、侵害公民个人信息等违法行为,切实维护国家网络安全、数据安全和社会公共利益,有力保障广大人民群众合法权益。同时,加大典型案例曝光力度,形成强大声势和有力震慑,做到查处一案、警示一片,教育引导互联网企业依法合规运营,促进企业健康规范有序发展。 A: 近年、国はネットワークセキュリティ、データセキュリティ、個人情報の保護を継続的に強化しており、「ネットワークセキュリティ法」「データセキュリティ法」「個人情報保護法」「重要情報インフラのセキュリティ保護に関する規定」「ネットワークセキュリティ審査対策」「データ出口セキュリティ審査対策」などの法令を公布しています。 インターネット情報部門は、ネットワークセキュリティ、データセキュリティ、個人情報保護などの分野において、法執行面談、訂正命令、警告、通知・批判、罰金、関連業務の停止命令、業務改善停止、ウェブサイトの閉鎖、オフライン、責任者の処遇などの処分・処罰措置を強化して、国家ネットワークセキュリティ、データセキュリティ、国民の個人情報侵害などを危惧する不法行為を取り締まり、国家を効果的に保護します。 ネットワークセキュリティ、データセキュリティ、社会的公共性を確保し、一般市民の正当な権利と利益を強力に保護します。 同時に、典型的な事例の露出を増やし、強い勢いと強力な抑止力を形成し、事件を調査・処理し、一片を警告し、インターネット企業が法に則って運営するよう教育・指導し、その健全かつ標準的な発展を促進させるようにする。

 

そして、2021年5月17日以来の会社のプレス発表。。。(投資家向けはSECルールに従い、2022年6月2日の上場廃止まで発表しています。。。)

滴滴全球 (DiDi Global)

5314322dfa7670ef2256accc95cb5764_26453_8

・2022.07.21 诚恳接受,坚决服从,全面深入自查,积极配合监管,认真完成整改

诚恳接受,坚决服从,全面深入自查,积极配合监管,认真完成整改 私たちは、心から受け入れ、断固として従い、包括的で綿密な自己点検を行い、監督と積極的に協力し、是正と改革を真剣にやり遂げます。
今天,国家互联网信息办公室对滴滴全球股份有限公司依法作出网络安全审查相关行政处罚的决定,对此我们诚恳接受,坚决服从,严格按照处罚决定和相关法律法规要求,全面深入自查,积极配合监管,认真完成整改。我们真诚地感谢主管部门的检查和指导,感谢社会公众的批评和监督,我们将引以为戒,坚持安全与发展并重,进一步加强网络安全、数据安全建设,加强个人信息保护,切实履行社会责任,服务好每一位乘客、司机师傅和合作伙伴,实现企业安全健康可持续发展。  本日、国家サイバースペース管理局は、法律に基づいて、滴滴グローバル株式会社にネットワークセキュリティ審査に関する行政処分を科す決定を下し、我々はこれを心から受け入れ、断固として従い、処分決定と関連法令の要求に従い、全面的かつ綿密な自己検査を行い、監督に積極的に協力し、是正を真剣に完成させました。主管庁の検査と指導、国民の批判と監督に心から感謝します。 これを戒めとし、安全と発展の等しい重要性を堅持し、ネットワークセキュリティとデータセキュリティの構築をさらに強化し、個人情報の保護を強化し、社会的責任を効果的に果たし、すべての乗客、運転手のマスター、パートナーに奉仕し、企業の安全、健康、持続可能な発展を達成します。 
滴滴全球股份有限公司 滴滴グローバル株式会社

 

上場廃止に関する情報

SEC FILINGS

上場廃止の通知

・2022.06.22 [PDF] Form-25 Notification filed by a National Securities Exchange to Report the Removal from listing and registration of matured , redeemed or retired securities

上場廃止決定の報告

・2022.05.23 [PDF] Form 6-K Report of Foreign Issuer

上場廃止の意向の報告

・2022.05.11 [PDF] Form 6-K Report of Foreign Issuer

こういう記述がありますね。。。

Based on the currently effective laws and regulations, as well as the most recent drafts of laws and regulations released for public comment and communication with the relevant cybersecurity review regulatory authorities, the Company has concluded that it needs to complete the cybersecurity review and rectification in order to resume normal operations, including applying for the 26 Apps to be made available for download on the app stores again and resuming the registration of new users in China, and that if it does not delist from the NYSE, it will not be able to complete the cybersecurity review and rectification, which would have a material adverse impact on the Company’s ability to conduct normal operations, restore its businesses and serve the best interests of its shareholders. During the rectification process, the Company has had confidential communications with the relevant PRC government authorities regarding the cybersecurity review and rectification. However, whether the Company’s rectification measures will satisfy the requirements of the relevant authorities and when it will be able to resume normal operations, including applying for the 26 Apps to be made available for download on the app stores again and resuming the registration of new users in China, remains uncertain. Based on the aforementioned currently effective laws and regulations, most recent drafts of laws and regulations released for public comment and communication with the relevant regulatory authorities, the Company has concluded that it needs to complete the cybersecurity review and rectification in order to resume normal operations, including applying for the 26 Apps to be uploaded to the app stores again and resuming the registration of new users in China. 当社は、現在有効な法令及びパブリックコメントのために公表された最新の法令案並びに関連するサイバーセキュリティ審査規制当局とのコミュニケーションに基づき、通常の業務を再開するためにはサイバーセキュリティ審査及び是正を完了する必要があると判断しています。26アプリのアプリストアでのダウンロード可能化の申請や中国での新規ユーザー登録の再開を含め、NYSEの上場を廃止しない場合、サイバーセキュリティの審査および是正を完了することができず、当社の通常の業務遂行能力、事業の回復および株主の最善の利益に重大な悪影響を及ぼすと判断したため、当社は、NYSEの上場を廃止することにしました。当社は、是正プロセスにおいて、関連する中国政府当局とサイバーセキュリティのレビュー及び是正に関して機密のやりとりを行ってきました。しかしながら、当社の是正措置が関連当局の要求を満たすかどうか、また、26アプリのアプリストアでのダウンロード再開の申請や中国での新規ユーザー登録の再開を含む通常業務の再開がいつ可能になるかは、依然として不確実なままであります。当社は、前述の現在有効な法令、パブリックコメントのために公表された最新の法令案および関連規制当局とのコミュニケーションに基づき、26アプリのアプリストアへの再アップロード申請および中国での新規ユーザー登録の再開を含む通常の業務を再開するためには、サイバーセキュリティの審査および是正を完了する必要があると判断しています。

 

最後となった 20-F

・2022.05.02 [HTML] Form 20-F Annual and Transition Report (foreign private issuer)


EDGARの情報。。。

U.S. SEC - EDGARSec_20220723031401

DiDi Global Inc. DIDIY on OTC

・2022.06.02 Form 25 Notification of the removal from listing and registration of matured, redeemed or retired securitiesOpen document

・2022.05.23 Form 6-K Report of Foreign Issuer

・2022.05.11 Form 6-K Report of Foreign Issuer

・2022.05.02 Form 20-F Annual and Transition Report (foreign private issuer)

ちなみに監査法人はPwCですね。。。

 


参考...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.02.20 中国 「ネットワークセキュリティ審査弁法」についての2つの専門家の意見

・2022.01.19 中国 海外上場をする企業にセキュリティ審査をする国家安全保障上の意図の説明 at 2022.01.07

・2022.01.05 中国 ネットワークセキュリティ審査弁法

・2021.08.23 中国 自動車データのセキュリティ管理に関する一定の規定(試行)が公表されていますね。。。at 2021.08.16

・2021.07.11 中国サイバースペース管理局が「运满满」、「货车帮」、「BOSS直聘」にサイバーセキュリティ審査を開始し、新規ユーザ登録を停止していますね。。。

・2021.07.05 中国 NY証券取引所に2021.06.30に上場した配車サービス「滴滴出行」が個人情報の取扱が不適切としてアプリの提供を2021.07.04に禁止される

 

 

 

| | Comments (0)

2022.07.22

米国 データプライバシー保護法 (ADPPA) はどうなるか

こんにちは、丸山満彦です。

米国下院のエネルギー・商業委員会 (House committee on Energy and Commerce) で 米国データプライバシー保護法 (The American Data Privacy and Protection Act; ADPPA) が議論され、投票された結果、賛成53票、反対2票の圧倒的な支持を得たと公表していますね。。。

日本語としては、「データの「プライバシーと保護」に関する法律」と言う感じですね。。。

色々と順調に進んでいるようにも見えますが、4度目の正直となるでしょうかね。。。

この法案のスポンサーはエネルギー・商業委員会の議長である、Frank Pallone, Jr.(フランク・パローネ・ジュニア)さんですね。。。

House committee on Energy and Commerce

・2022.07.20 BIPARTISAN E&C LEADERS HAIL COMMITTEE PASSAGE OF THE AMERICAN DATA PRIVACY AND PROTECTION ACT

 

法案文については、

Congress.Gov

H.R.8152 - To provide consumers with foundational data privacy rights, create strong oversight mechanisms, and establish meaningful enforcement.

に公表されて行くことになるのだろうと思いますが、2022.07.21現在では公開されていません。。。

が、下院のリポジトリーのウェブの委員会のリンクからみられます。。。。

 

U.S. House of Representatives Committee Repository

・2022.07.20 Markup of Six Bills (Committee on Energy and Commerce)

・[PDF] H.R. 8152, the “American Data Privacy and Protection Act”

20220722-60709

目次...

SECTION 1. SHORT TITLE; TABLE OF CONTENTS.  第1条 短いタイトル、目次 
SEC. 2. DEFINITIONS. 第2条 定義
TITLE I—DUTY OF LOYALTY  第I章 忠実義務 
Sec. 101. Data minimization.  第101条 データの最小化 
Sec. 102. Loyalty duties.  第102条 忠誠の義務 
Sec. 103. Privacy by design.  第103条 プライバシー・バイ・デザイン 
Sec. 104. Loyalty to individuals with respect to pricing.  第104条 価格設定に関する個人への忠誠心 
TITLE II—CONSUMER DATA RIGHTS  第II章 消費者データの権利 
Sec. 201. Consumer awareness.  第201条 消費者意識 
Sec. 202. Transparency.  第202項 透明性 
Sec. 203. Individual data ownership and control.  第203条 個人データの所有権と管理 
Sec. 204. Right to consent and object.  第204条 同意と異議申し立ての権利 
Sec. 205. Data protections for children and minors.  第205条 児童および未成年者のデータ保護 
Sec. 206. Third-party collecting entities.  第206条 第三者収集機関 
Sec. 207. Civil rights and algorithms.  第207条 市民権およびアルゴリズム 
Sec. 208. Data security and protection of covered data.  第208条 データ・セキュリティと対象データの保護 
Sec. 209. Small business protections.  第209条 中小企業保護 
Sec. 210. Unified opt-out mechanisms.  第210条 統一されたオプトアウト・メカニズム 
TITLE III—CORPORATE ACCOUNTABILITY  第III章 企業の説明責任 
Sec. 301. Executive responsibility.  第301項 経営者の責任 
Sec. 302. Service providers and third parties.  第302条 サービスプロバイダーと第三者 
Sec. 303. Technical compliance programs.  第303条 技術的コンプライアンスプログラム 
Sec. 304. Commission approved compliance guidelines.  第304条 委員会が承認したコンプライアンス・ガイドライン 
Sec. 305. Digital content forgeries.  第305条 デジタルコンテンツ偽造 
TITLE IV—ENFORCEMENT, APPLICABILITY, AND MISCELLANEOUS  第IV章 施行、適用、およびその他 
Sec. 401. Enforcement by the Federal Trade Commission.  第401条 連邦取引委員会による執行
Sec. 402. Enforcement by State Attorneys General.  第402条 州検察官による執行 
Sec. 403. Enforcement by persons.  第403条 個人による執行 
Sec. 404. Relationship to Federal and State laws.  第404条 連邦法および州法との関係 
Sec. 405. Severability.  第405条 分離可能性 
Sec. 406. COPPA.  第406条 COPPA
Sec. 407. Authorization of appropriations.  第407条 充当の承認 
Sec. 408. Effective date.  第408条 発効日 

 

条文の内容については、オフィス四々十六の代表でデジタル・フォレンジック研究会の佐藤さんのウェブページ等にありますね。。。参考になります。。。

● 砂糖の甘い付箋

・2022.07.21 米国データプライバシー及び保護法の討議草案

・2022.06.18 米国データプライバシー及び保護法案(2022年版)邦訳

 

デジタルフォレンジック研究会

・2022.07.21 第726号コラム:「米国データプライバシー保護法の討議草案」 by 佐藤 慶浩 理事(オフィス四々十六)

 

その他、米国のプライバシー保護団体(電子プライバシー情報センター (Electronic Privacy Information Center; EPIC) [wikipedia]) のウェブページでも取り上げられていますね。。。

Electronic Privacy Information Center; EPIC

・2022.07.20 American Data Privacy and Protection Act Advances in Congress

 

| | Comments (0)

2022.07.21

カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンターが、ロシアのウクライナ侵攻に関連するサイバー脅威活動について、2022.06.22現在でまとめた資料を公開しています。

インテリジェンス報告書の書き方としても参考になりますね。。。

今回の場合は、現実社会とサイバー空間の活動をまとめて時系列にして書くとわかりやすいですね。

 

20220721-65405

 

ウェブ版とPDF版がありますが、ウェブ版の方が読みやすいですね。。。

(そういえば、PDFがカナダなのにレターサイズですね。。。)

 

 Canada.caCanadian Centre for Cyber Security

・2022.07.14 Cyber threat bulletin: Cyber threat activity related to the Russian invasion of Ukraine

・[PDF] Cyber threat bulletin: Cyber threat activity related to the Russian invasion of Ukraine

20220721-74335

 

Cyber threat bulletin: Cyber threat activity related to the Russian invasion of Ukraine サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動
... ...
Table of content 目次
About this document この文書について
 Audience 想定読者
 Contact 連絡先
 Assessment base and methodology 評価の根拠と方法
Key judgements 主要な判断
Russian and Russia-linked cyber activity within Ukraine ウクライナ国内におけるロシアおよびロシアに関連するサイバー活動
 Cyber activity against Ukrainian communications ウクライナの通信に対するサイバー活動
 Cyber activity against the Ukrainian energy sector ウクライナのエネルギー部門に対するサイバー活動
 Cyber activity against the Ukrainian government ウクライナ政府に対するサイバー活動
 Timeline on military attacks and cyber operations in Ukraine: February 14 to May 16 ウクライナにおける軍事攻撃とサイバー作戦に関するタイムライン。2月14日から5月16日。[脚注15
Notable Russian and Russia-linked cyber activity beyond Ukraine ウクライナ以外の地域におけるロシアおよびロシアに関連する注目すべきサイバー活動
 Targeting the EU and NATO EUとNATOをターゲットにした攻撃
 In Canada カナダでは
Non-state actors targeting Russia ロシアを標的とする非国家主体
Key players engaged in this cyber activity このサイバー活動に従事する主要なプレーヤー
 Russian state-sponsored cyber threat actors ロシアの国家が支援するサイバー脅威主体
 Pro-Russia cyber threat actors 親ロシア派のサイバー脅威行為者
 Cybercriminals and hacktivists サイバー犯罪者とハクティビスト
Key indicators associated with cyber scenarios サイバーシナリオに関連する主な指標
  Contextual indicators 文脈的指標
 Cyber activity indicators サイバー活動の指標
Mitigating risk, raising awareness, and increasing cyber security リスクの軽減、意識の向上、サイバーセキュリティの強化
 Allied and Cyber Centre warning products released 連合国およびサイバーセンターの警告成果物をリリース
 CSE alerting Canadians on Russian disinformation activity CSE、ロシアの偽情報活動についてカナダ国民に注意喚起
Footnotes 脚注
... ...
Key judgements 主要な判断
・We assess that the scope and severity of cyber operations related to the Russian invasion of Ukraine has almost certainly been more sophisticated and widespread than has been reported in open sources ・ロシアのウクライナ侵攻に関連するサイバー作戦の範囲と重大性は、オープンソースで報告されているよりも高度で広範囲に及んでいることはほぼ確実であると評価している。
・We assess that Russian cyber operations have almost certainly sought to degrade, disrupt, destroy, or discredit Ukrainian government, military, and economic functions, secure footholds in critical infrastructure, and to reduce the Ukrainian public’s access to information Footnote1 ・ロシアのサイバー作戦は、ウクライナの政府、軍事、経済機能の低下、混乱、破壊、信用失墜、重要インフラの足場確保、ウクライナ国民の情報へのアクセス減少を狙っていたことはほぼ確実であると評価している。[脚注1]
・We assess that Russian state-sponsored cyber threat actors will almost certainly continue to perform actions in support of the Russian military’s strategic and tactical objectives in Ukraine ・我々は、ロシアの国家が支援するサイバー脅威の行為者は、ウクライナにおけるロシア軍の戦略的および戦術的目標を支援する行動を取り続けることはほぼ確実であると評価している。
・We assess that Russian state-sponsored cyber threat actors have almost certainly increased cyberespionage targeting of North Atlantic Treaty Organization (NATO) countries in response to NATO’s support for Ukraine ・NATOのウクライナ支援に呼応して、ロシアの国家支援型サイバー脅威勢力が北大西洋条約機構(NATO)諸国を標的としたサイバー犯罪を増加させたことはほぼ確実であると評価している。
・・We assess that Russia is almost certainly in the process of developing cyber capabilities against targets in the European Union (EU) and NATO, including the United States (US) and Canada Footnote2 ・ロシアは、米国やカナダを含む欧州連合(EU)およびNATOの標的に対するサイバー能力を開発中であることはほぼ確実であると評価している。[脚注2]

 

Footnotes 脚注
Footnote 1 脚注1
Kapellmann Zafra, Daniel and Raymond Leong, Chris Sistrunk, Ken Proska, Corey Hildebrant, Keith Lunden, Nathan Brubaker. “Industroyer.V2: Old Malware Learns New Tricks.” Mandiant. April 25, 2022. Kapellmann Zafra、 Daniel、Raymond Leong、Chris Sistrunk、Ken Proska、Corey Hildebrant、Keith Lunden、Nathan Brubaker. 「Industroyer.V2: Old Malware Learns New Tricks". マンディアント. 2022年4月25日。
Footnote 2 脚注2
CISA. “Russian State-Sponsored and Criminal Cyber Threats to Critical Infrastructure.” April 20, 2022. CISA。"重要インフラに対するロシアの国家支援・犯罪的なサイバー脅威". 2022年4月20日付。

 



Continue reading "カナダ サイバーセキュリティセンター 「サイバー脅威報告:ロシアのウクライナ侵攻に関連するサイバー脅威活動」 (2022.07.14)"

| | Comments (0)

NIST SP 800-171 Rev. 3 (ドラフト) 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護の作成に向けた意見募集

こんにちは、丸山満彦です。

NISTがSP 800-171(第3版)への改訂に動いていますね。。。

 

NIST - ITL

・2022.07.19 SP 800-171 Rev. 3 (Draft) Pre-Draft Call for Comments: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

SP 800-171 Rev. 3 (Draft) Pre-Draft Call for Comments: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations SP 800-171 Rev. 3 (ドラフト) プレドラフト非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護
Announcement 発表
NIST plans to update the Controlled Unclassified Information (CUI) series of publications, starting with Special Publication (SP) 800-171, Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations. To support this planned update, NIST is issuing this Pre-Draft Call for Comments to solicit feedback from interested parties to improve the publication and its supporting publications, SP 800-171A, SP 800-172, and SP 800-172A.  NISTは、Special Publication (SP) 800-171, 非連邦政府組織およびシステムにおける管理対象非機密情報CUIの保護をはじめとする管理対象非機密情報 (CUI) シリーズの出版物を更新する予定である。 この更新計画を支援するため、NISTは、本書およびその付属出版物であるSP 800-171A、SP 800-172、およびSP 800-172Aを改善するために関係者からフィードバックを求める本プレドラフト意見募集を発行している。 
SP 800-171 was published in June 2015 with minor updates in December 2016 and February 2020. Since the initial publication date, there have been significant changes in the cybersecurity threats, vulnerabilities, capabilities, technologies, and resources that impact the protection of CUI. In addition, there are the experiences of the organizations that have implemented SP 800-171 and its supporting publications. With these changes and opportunities to learn from implementers, NIST seeks feedback about the use, effectiveness, adequacy, and ongoing improvement of the CUI series.  SP 800-171は2015年6月に発行され、2016年12月と2020年2月にマイナーアップデートされた。最初の発行日以降、CUIの保護に影響を与えるサイバーセキュリティの脅威、脆弱性、能力、技術、リソースに大きな変化があった。さらに、SP 800-171とそのサポート出版物を実施した組織の経験もあります。これらの変化と実施者から学ぶ機会により、NISTはCUIシリーズの使用、有効性、妥当性、および継続的な改善に関するフィードバックを求めている。 
The following is a non-exhaustive list of topics that may be addressed in the call for comments. Comments may also include other topics related to the improvement of the CUI series. NIST will consider all relevant topics in the development of the revised SP 800-171 and its supporting publications. 以下は、コメント募集で取り上げられる可能性のあるトピックの非網羅的なリストである。コメントには、CUIシリーズの改善に関連する他のトピックも含めることができる。NISTは、改訂版SP 800-171及びそのサポート出版物の開発において、全ての関連するトピックを検討する予定である。
Use of the CUI Series CUIシリーズの使用
1. How organizations are currently using the CUI series (SP 800-171, SP 800-171A, SP 800-172, and SP 800-172A) 1. 組織が現在どのようにCUIシリーズ(SP 800-171、SP 800-171A、SP 800-172、およびSP 800-172A)を使用しているか。
2. How organizations are currently using the CUI series with other frameworks and standards (e.g., NIST Risk Management Framework, NIST Cybersecurity Framework, GSA Federal Risk and Authorization Management Program [FedRAMP], DOD Cybersecurity Maturity Model Certification [CMMC], etc.) 2. 組織が現在、他のフレームワークや標準(NISTリスク管理フレームワーク、NISTサイバーセキュリティフレームワーク、GSA連邦リスク・権限管理プログラム[FedRAMP]、DODサイバーセキュリティ成熟度モデル認証[CMMC]など)とどのようにCUIシリーズを使用しているのか。
3. How to improve the alignment between the CUI series and other frameworks 3. CUIシリーズと他のフレームワークとの整合性を向上させる方法
4. Benefits of using the CUI series 4. CUIシリーズを使用する利点
5. Challenges in using the CUI series 5. CUIシリーズを使用する際の課題
Updates for consistency with SP 800-53 Revision 5 and SP 800-53B SP 800-53 Revision 5およびSP 800-53Bとの整合性のためのアップデート
6. Impact on the usability and existing organizational implementation (i.e., backward compatibility) of the CUI series if it were updated for consistency with SP 800-53 Revision 5 and the moderate security control baseline in SP 800-53B 6. SP 800-53 Revision 5及びSP 800-53Bの中程度のセキュリティ管理基準との整合性のために更新された場合、CUIシリーズのユーザビリティ及び既存の組織的実装(すなわち後方互換性)に与える影響。
Updates to improve usability and implementation ユーザビリティと実装を改善するための更新
7. Features of the CUI series should be changed, added, or removed. Changes, additions, and removals can cover a broad range of topics, from consistency with other frameworks and standards to rescoping criteria for inclusion of requirements. For example: 7. CUIシリーズの機能は、変更、追加、または削除されるべきである。変更、追加、削除は、他のフレームワークや標準との整合性から、要求事項を含めるための基準の再スコープまで、幅広いトピックに及ぶ可能性がある。例えば、以下のようなものである。
a. Addition of new resources to support implementation: The benefits and challenges of including an SP 800-53 Control Overlay [1] and/or a Cybersecurity Framework Profile Appendix as an alternative way to express the CUI security requirements. a. 実装を支援するための新しいリソースの追加。CUIセキュリティ要求事項を表現する代替方法として、SP800-53コントロール・オーバーレイ[1]とサイバーセキュリティ・フレームワーク・プロファイル附属書を含めることの利点と課題。
b. Change to the security requirement tailoring criteria: Impact of modifying the criteria used to tailor [2] the moderate SP 800-53B security control baseline (e.g., the potential inclusion of controls that are currently categorized as NFO – Expected to be routinely satisfied by nonfederal organizations without specification) b. セキュリティ要件の調整基準への変更。中程度のSP 800-53Bセキュリティ対策基準 [2] を調整するために使用される基準を変更することの影響(例えば、現在NFO(指定なしでも連邦政府以外の組織が日常的に満たすことが期待される事項)と分類されている対策を含める可能性など)。
8. Any additional ways in which NIST could improve the CUI series 8. NISTがCUIシリーズを改善することができるその他の方法
[1] The term overlay is a specification of security or privacy controls, control enhancements, supplemental guidance, and other supporting information employed during the tailoring process that is intended to complement (and further refine) security control baselines. The overlay specification may be more stringent or less stringent than the original security control baseline specification and can be applied to multiple information systems. [1] オーバーレイという用語は、セキュリティまたはプライバシー管理、管理の強化、補足ガイダンス、およびセキュリティ管理ベースラインを補完(およびさらに洗練)することを目的とした調整プロセスで使用されるその他の補助情報の仕様である。オーバーレイの仕様は、元のセキュリティ管理ベースラインの仕様よりも厳しい場合もあれば、緩い場合もあり、複数の情報システムに適用することができる。
[2] The term tailoring is the process by which control baselines are modified by (1) identifying and designating common controls, (2) applying scoping considerations on the applicability and implementation of SP 800-53B baseline controls, (3) selecting compensating controls, (4) assigning specific values to organization-defined control parameters, (5) supplementing baselines with additional controls or control enhancements, and (5) providing additional specification information for control implementation. [2] テーラリングという用語は、コントロールベースラインが、(1)共通コントロールの識別と指定、(2)SP 800-53Bベースラインコントロールの適用性と実施に関するスコープ検討の適用、(3)補償コントロールの選択、(4)組織定義のコントロールパラメータへの特定の値の割り当て、(5)追加コントロールまたはコントロール強化によるベースラインの補完、(5)コントロール実施に関する追加の仕様情報の提供によって修正されるプロセスである。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.18 NIST SP 800-172A 管理対象非機密情報に対する強化版セキュリティ要件の評価

・2022.01.27 NIST SP 800-53A Rev. 5 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.11.07 米国 DoD サイバーセキュリティ成熟度モデル認証(CMMC)プログラムの戦略的方向性 - CMMC2.0

・2021.08.06 NIST SP 800-53A Rev. 5 (Draft) 情報システムと組織におけるセキュリティとプライバシーのコントロールの評価

・2021.07.19 IPA NIST文書SP800-53 rev.5「組織と情報システムのためのセキュリティおよびプライバシー管理策」及びSP800-53B「組織と情報システムのための管理策ベースライン」の翻訳版を公開

・2021.04.28 NIST SP 800-172A 管理対象非機密情報 (CUI) に対する強化版セキュリティ要件の評価

・2021.02.04 NIST SP 800-172 Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171

・2020.12.11 SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations, SP 800-53B Control Baselines for Information Systems and Organizationsの記載ミスの修正と第5版と第4版の更新分析、ISO/IEC27001とのマッピング表等の追加

・2020.10.30 NIST SP 800-53B Control Baselines for Information Systems and Organizations 情報システムと組織のコントロールベースライン

・2020.10.02 米国国防省がCMMCの暫定規則(DFARS Case 2019-D041)を公表し、意見募集を行っています

・2020.09.24 NIST SP 800-53 Rev. 5 Security and Privacy Controls for Information Systems and Organizations

・2020.08.01 NIST SP 800-53B (Draft) Control Baselines for Information Systems and Organizations

・2020.07.09 NIST SP 800-172 (Draft) Enhanced Security Requirements for Protecting Controlled Unclassified Information: A Supplement to NIST Special Publication 800-171 (Final Public Draft)

・2020.03.31 CMMC概要 An Introduction to the Cybersecurity Maturity Model Certification (CMMC)

・2020.03.17 NIST SP 800-53 Rev. 5(Draft) Security and Privacy Controls for Information Systems and Organizations (Final Public Draft)

・2020.03.09 Cybersecurity Maturity Model Certification (CMMC) Version 1.0

・2020.02.22 NIST Publishes SP 800-171 Revision 2: Protecting Controlled Unclassified Information in Nonfederal Systems and Organizations

 

少し前...

・2012.03.01 NIST Draft SP 800-53 Rev. 4 Security and Privacy Controls for Federal Information Systems and Organizations

・2011.07.22 NIST Draft SP 800-53 Appendix J DRAFT Privacy Control Catalog

・2010.05.10 NIST SP800-53関係の情報

| | Comments (0)

2022.07.20

W3C Decentralized Identifiers (DIDs) v1.0がW3C勧告に到達

こんにちは、丸山満彦です。

W3Cが、分散型識別子 (Decentralized Identifiers; DIDs) v1.0 がW3C推奨になったと発表していますね。。。

ここまでの調整は大変だったと思います。。。

W3Cのプレスは、英語、日本語、中国語がありますが、日本語はかなり機械翻訳のまんまですかね。。。

W3C

プレス

・2022.07.19 Decentralized Identifiers (DIDs) v1.0 becomes a W3C Recommendation

・2022.07.19 Decentralized Identifiers (DIDs) v1.0がW3C勧告に到達

Decentralized Identifiers (DIDs) v1.0 becomes a W3C Recommendation Decentralized Identifiers (DIDs) v1.0がW3C勧告に到達
A new tool to empower everyone on the web with privacy-respecting online identity and consent-based data sharing プライバシーを尊重するIDと同意に基づくデータ共有のツールでオンライン上の情報を制御します
https://www.w3.org/ — 19 July 2022 — The World Wide Web Consortium (W3C) has announced that Decentralized Identifiers (DIDs) v1.0 is now an official Web standard. This new type of verifiable identifier, which does not require a centralized registry, will enable both individuals and organizations to take greater control of their online information and relationships while also providing greater security and privacy. https://www.w3.org/ 2022年7月19日 World Wide Web Consortium (W3C)は、分散型識別子 (DID) v1.0が公式のウェブ技術標準となったことを発表しました。この新しいタイプの検証可能な識別子は中央集権的なレジストリを必要としないため、個人と組織の両方がオンライン情報と関係性をより詳細に制御できるようになると同時に、さらに高いセキュリティとプライバシーも提供します。
There is a historical analog to this announcement in the evolution of mobile phone numbers. Originally these were owned by the mobile carrier and "rented" to the individual. This required individuals to change numbers if they changed carriers. With the adoption of mobile phone number portability, individuals could now "take their numbers with them" when switching carriers. 本発表の内容には携帯電話番号の進化という歴史的な類似点があります。元来、携帯電話番号は携帯電話会社 (キャリア) が所有し、個人に「レンタル」されていました。これによりキャリアを変更した場合、個人は番号を変更する必要がありました。現在、携帯電話番号ポータビリティ制度の導入により、キャリアを変更する際にも「番号を持っていく」ことが可能になっています。ほとんどの電子メールアドレスやソーシャルネットワークのアドレスも同様です。これらの多くが個人「所有」ではありません。個人がプロバイダを変更する場合は、それらを変更する必要があります。
The same is true of most email addresses and social network addresses today—they are not “owned” by individuals and must be changed if the individual changes providers. By contrast, W3C Decentralized Identifiers can be controlled by the individuals or organizations that create them, are portable between service providers, and can last for as long as their controller wants to continue using them. W3C DIDは、それらを作成する個人または組織が制御することができます。サービスプロバイダー間で移植可能であり、それらをコントロールする個人または組織 (コントローラ)が使用し続けたい限り存続させることができるのです。
Whatsmore, DIDs have the unique property of enabling the controller to verify ownership of the DID using cryptography. This can enable any controller of a DID—an individual, an organization, an online community, a government, an IoT device—to engage in more trustworthy transactions online. For individuals in particular, DIDs can put them back in control of their personal data and consent, and also enable more respectful bi-directional trust relationships where forgery is prevented, privacy is honored, and usability is enhanced. さらにDIDは、コントローラが暗号を使用してDIDの所有権を確認できるという独自の特性を有します。これにより、個人、組織、オンラインコミュニティ、政府IoTデバイスなど、DIDを使用する全てのコントローラがオンラインでより信頼性の高いオンライン取引を行うことができるようになります。特に個人にとっては、DIDにより個人データと同意を管理ができるようになります。偽造が防止され、プライバシーが尊重され、ユーザビリティが向上する、より敬意のある双方向の信頼圏系の構築が可能となります。
Fundamentally, Decentralized Identifiers are a new type of globally unambiguous identifier that can be used to identify any subject (e.g., a person, an organization, a device, a product, a location, even an abstract entity or a concept). Each DID resolves to a DID document that contains the cryptographic material and other metadata for controlling the DID. The foundational pillars of the DID specification are: 1) DIDs do not require a central issuing agency (decentralized), 2) DIDs do not require the continued operation of an underlying organization (persistent), 3) Control of DIDs, and the information they are associated with, can be proven cryptographically (verifiable), and 4) DID metadata can be discovered (resolvable). 基本的に分散型識別子は、あらゆる対象(人、組織、機器、製品、場所、抽象的な実態や概念など)を識別するために使用できる、グローバルで使用できる新しいタイプの明確な識別子です。各DIDは、DIDを制御するための暗号化資料及びその他のメタデータを含むDIDドキュメントでresolveされます。DID仕様の基本的な柱は、1) DIDは中央発行期間を必要としない (分散型)、2) DIDは基盤となる組織の継続的な運営を必要としない (永続的)、3) DIDの制御とそれに関連する情報は暗号的に証明できる (検証可能)、4) DIDメタデータを発見できる (解決可能) の4点です。
Markets adopting DIDs すでに市場に浸透するDIDs
W3C Decentralized Identifiers, coupled with W3C Verifiable Credentials, are being used across a number of markets where identification and data authenticity is a concern: W3C DIDは、W3C Verifiable Credential (VC) と組み合わせてIDやデータの信頼性が懸念されている多くのマーケットですでに使用されています。
Governments – The US, Canada, and the EU, are exploring the use of DIDs to provide privacy-protecting digital identity documentation for their businesses and residents, which enable those entities to choose how and when their data is shared. 政府 – 米国、カナダ、EUは企業や住民のプライバシーを保護するデジタルID文書を提供するためにDIDを使用することを検討しています。そこではデータを共有する方法とタイミングを選択することができます。
Retailers – convenience stores, grocery stores, restaurants, bars, and consumer goods companies in the US are utilizing DIDs for new digital age verification programs to increase privacy, checkout speed, and combat the use of fraudulent identity documents when purchasing age-gated products. 小売業者 – 米国のコンビニエンスストア、食料品店、レストラン、バー、消費財メーカなどの企業は、プライバシー保護とチェックアウトの迅速化、年齢制限のある製品を購入する際の不正な身分証明書の使用に対抗するために、新しいデジタル年齢確認プログラムにDIDを使用しています。
Supply chain stakeholders — global government regulators, trade standards institutions, vendors, shippers, and retailers—are using DIDs to explore next generation systems that more accurately verify the origin and destination of products and services, which will streamline and enable the reporting designed to apply correct tariffs, prevent dumping, and monitor transshipment. サプライチェーンの利害関係者 — 世界の政府規制当局、貿易基準期間、ベンダー、荷送人、小売業者などのサプライチェーン関係者は、DIDを使用して製品やサービスの原産地と目的地をより正確に検証する次世代システムを模索しています。これにより効率的に、正しい関税の適用、ダンピング防止、積み替え監視などを実現しています。
Workforce – universities, job training programs, and education standards organizations are adopting DIDs in order to issue digital learning credentials that are controlled and shared by the graduate when applying for higher education or workforce positions. 労働力 – 大学、職業訓練プログラム、教育標準化団体は、高等教育や求人のポジションに応募する際に、卒業生自身が管理・提供するデジタル学習資格情報を発行するためにDIDを採用しています。
The Work Continues at W3C W3Cで作業は継続
W3C, composed of over 450 organizations, has made the investment in W3C Decentralized Identifiers and W3C Verifiable Credentials to ensure a more decentralized, privacy-respecting, and consent-based data sharing ecosystem. Official standards work will continue on these technologies through the newly re-chartered W3C Verifiable Credentials 2.0 Working Group, which will focus on expanding functionality based on market feedback. Further incubation on future privacy-respecting technologies will occur through the W3C Credentials Community Group, which is open to participation by the general public. 450を超える会員組織で構成されるW3Cは、より分散化されたプライバシーを尊重し、同意に基づくデータ共有エコシステムを確保するためにDIDとVCの開発に注力してきました。これらの技術は市場からのフィードバックに基づく機能拡張に焦点を当て、先に公式に再チャーターされたW3C Verifiable Credentials 2.0 ワーキンググループで継続して議論されます。今後のプライバシーを尊重する技術のインキュベーションは、一般の方も参加可能のW3C Credentials Community Groupを通じて行われる予定です。

 

これです。。。

Decentralized Identifiers (DIDs) v1.0

 

 

欧州委員会、DHSからも推薦文がありますね。。。

せっかく、慶應大学が共同運営に関わっているので、日本企業も推薦文を出したらよかったのに。。。と思ったりしました。。。

 

・2022.07.19 (blog) DECENTRALIZED IDENTIFIERS (DIDS) V1.0 IS A W3C RECOMMENDATION

Decentralized Identifiers (DIDs) v1.0 is a W3C Recommendation Decentralized Identifiers (DIDs) v1.0 はW3C勧告です。
The Decentralized Identifier Working Group has published Decentralized Identifiers (DIDs) v1.0 as a W3C Recommendation.
Decentralized Identifier Working Groupは、Decentralized Identifiers (DIDs) v1.0をW3C Recommendationとして公開しました。
This document defines Decentralized identifiers (DIDs), a new type of identifier that enables verifiable, decentralized digital identity. A DID identifies any subject (e.g., a person, organization, thing, data model, abstract entity, etc.) that the controller of the DID decides that it identifies. In contrast to typical, federated identifiers, DIDs have been designed so that they may be decoupled from centralized registries, identity providers, and certificate authorities. DIDs are URIs that associate a DID subject with a DID document allowing trustable interactions associated with that subject. Each DID document can express cryptographic material, verification methods, or services, which provide a set of mechanisms enabling a DID controller to prove control of the DID. Please read our Press Release to learn more about this tool to empower everyone on the web with privacy-respecting online identity and consent-based data sharing. この文書では、検証可能な分散型デジタルIDを可能にする新しいタイプの識別子であるDecentralized Identifiers (DIDs)を定義している。DIDは、DIDのコントローラが識別すると決定した任意の対象(人、組織、物、データモデル、抽象的な実体など)を識別する。一般的な連合識別子とは対照的に、DIDは集中型レジストリ、IDプロバイダ、および認証局から切り離されるように設計されている。DIDは、DIDの対象者をDID文書に関連付けるURIであり、その対象者に関連する信頼できる相互作用を可能にします。各DID文書は、暗号材料、検証方法、サービスを表現することができ、DIDコントローラーがDIDの制御を証明するための一連のメカニズムを提供します。プライバシーを尊重したオンラインアイデンティティと同意に基づくデータ共有により、ウェブ上のすべての人に力を与えるこのツールの詳細については、当社のプレスリリースを参照ください。

 

Photo_20220720151601

 

 

| | Comments (0)

欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

こんにちは、丸山満彦です。

欧州理事会 欧州連合理事会が、デジタル市場法案を採択しましたね。。。6か月後に適用開始となりますね。。。

セキュリティ的にはサイドローディングの問題があるのですが、下のプレスにはそれには触れていませんね。。。

 

● European Council/Council of the European Union

・2022.07.18 DMA: Council gives final approval to new rules for fair competition online

 

DMA: Council gives final approval to new rules for fair competition online DMA: 欧州理事会、オンラインにおける公正な競争のための新規則を最終承認
The Council today gave its final approval on new rules for a fair and competitive digital sector through the Digital Markets Act (DMA). 欧州理事会は本日、デジタル市場法(DMA)を通じて、公正で競争力のあるデジタル分野のための新たな規則を最終的に承認した。
The DMA ensures a digital level playing field that establishes clear rights and rules for large online platforms (‘gatekeepers’) and makes sure that none of them abuses their position. Regulating the digital market at EU level will create a fair and competitive digital environment, allowing companies and consumers to benefit from digital opportunities. DMAは、大規模なオンラインプラットフォーム(「ゲートキーパー」)に対する明確な権利と規則を確立し、いずれのプラットフォームもその地位を濫用しないようにすることで、デジタル上の公平な競争条件を確保するものである。EUレベルでデジタル市場を規制することにより、公正で競争力のあるデジタル環境が実現し、企業や消費者がデジタル機会から利益を得ることができるようになる。
With the final adoption of the Digital Markets Act, we will finally make large online platforms responsible for their actions. Hereby, the EU will change the online space worldwide. The gatekeepers that the DMA addresses are omnipresent – we all use their services on a daily basis. However, their power is growing to an extent that negatively affects competition. Thanks to the DMA, we will ensure fair competition online, more convenience for consumers and new opportunities for small businesses. 「デジタル市場法の最終的な採択により、大規模なオンライン・プラットフォームがその行為に責任を持つようになる。それによって、EUは世界中のオンライン空間を変えていくだろう。DMAが対象とするゲートキーパーはどこにでもいる存在であり、私たちは皆、日常的に彼らのサービスを利用している。しかし、彼らの力は、競争に悪影響を与える程度にまで増大している。DMAのおかげで、オンラインにおける公正な競争、消費者の利便性向上、中小企業の新たなビジネスチャンスを確保することができる。」
Ivan Bartoš, Deputy Prime Minister for Digitisation and Minister of Regional Development デジタル化担当副首相兼地域開発大臣 イワン・バルトシュ氏
New rules for gatekeepers ゲートキーパーのための新ルール
The DMA defines new rules for large online platforms (“gatekeepers”). They now have to: DMAは、大規模なオンラインプラットフォーム(「ゲートキーパー」)に対する新たな規則を定めています。ゲートキーパーの義務は以下の通り。
・ensure that unsubscribing from core platform services is just as easy as subscribing ・主要なプラットフォーム・サービスからの退会が、開始と同じくらい簡単にできるようにすること。
・ensure that the basic functionalities of instant messaging services are interoperable, i.e. enable users to exchange messages, send voice messages or files across messaging apps ・インスタントメッセージングサービスの基本機能が相互運用可能であること、すなわち、ユーザーがメッセージングアプリ間でメッセージの交換、音声メッセージの送信、ファイルの送信を行えるようにすること。
・give business users access to their marketing or advertising performance data on the platform ・ビジネスユーザーがプラットフォーム上のマーケティングまたは広告のパフォーマンスデータにアクセスできるようにすること。
・inform the European Commission of their acquisitions and mergers ・欧州委員会に買収や合併の情報を提供すること。
But they can no longer: ただし、以下のことは禁止する。
・rank their own products or services higher than those of others (self-preferencing) ・自社の製品やサービスを他社の製品よりも上位にランク付けすること(自己言及)。
・pre-install certain apps or software, or prevent users from easily un-installing these apps or software ・特定のアプリケーションやソフトウェアをプリインストールすること、またはユーザーがこれらのアプリケーションやソフトウェアを簡単にアンインストールできないようにすること。
・require the most important software (e.g. web browsers) to be installed by default when installing an operating system ・オペレーティングシステムのインストール時に、最も重要なソフトウェア(例:ウェブブラウザ)をデフォルトでインストールするよう要求すること。
・prevent developers from using third-party payment platforms for app sales ・アプリの販売において、開発者がサードパーティの決済プラットフォームを使用することを禁止すること。
・reuse private data collected during a service for the purposes of another service ・あるサービスで収集した個人情報を、別のサービスのために再利用すること。
If a large online platform is identified as a gatekeeper, it will have to comply with the rules of the DMA within six months.  大規模なオンラインプラットフォームがゲートキーパーと認定された場合、6ヶ月以内にDMAの規則に従わなければならない。 
If a gatekeeper violates the rules laid down in the DMA, it risks a fine of up to 10% of its total worldwide turnover. For a repeat offence, a fine of up to 20% of its worldwide turnover may be imposed. ゲートキーパーがDMAの規則に違反した場合、全世界の総売上高の10%を上限とする罰金が課されるリスクがあります。また、違反を繰り返した場合は、全世界の売上高の20%までの罰金が課される可能性がある。
If a gatekeeper systematically fails to comply with the DMA, i.e. it violates the rules at least three times in eight years, the European Commission can open a market investigation and, if necessary, impose behavioural or structural remedies. ゲートキーパーが組織的にDMAを遵守しない場合、すなわち、8年間に3回以上規則に違反した場合、欧州委員会は市場調査を行い、必要であれば、行動的または構造的な救済措置を講じることができる。
Background 背景
The EU's legal framework for digital services had not changed since the adoption of the e-commerce directive in 2000. In the meantime, digital technologies, business models and services have changed at an unprecedented pace. To keep up with this pace, the European Commission presented a digital services package comprising the Digital Services Act (DSA) and the Digital Markets Act (DMA) in December 2020. デジタルサービスに関するEUの法的枠組みは、2000年に電子商取引指令が採択されて以来、変化していない。しかし、デジタル技術、ビジネスモデル、サービスは、かつてないスピードで変化している。このペースに対応するため、欧州委員会は2020年12月にデジタルサービス法(DSA)とデジタル市場法(DMA)からなるデジタルサービスパッケージを提示した。
The digital services package is the EU’s response to the need to regulate the digital space. Together, the DSA and the DMA define a framework adapted to the economic and democratic footprint of digital giants and introduce measures to protect users while supporting innovation in the digital economy. デジタル・サービス・パッケージは、デジタル空間を規制する必要性に対するEUの対応策である。DSAとDMAは共に、デジタル大手の経済的・民主的足跡に適応した枠組みを定義し、デジタル経済における革新を支援しつつユーザーを保護するための措置を導入するものである。
On 25 November 2021, less than a year after the start of negotiations in the Council, member states unanimously agreed on the Council’s position on the DMA. 2021年11月25日、理事会での交渉開始から1年足らずで、加盟国はDMAに関する理事会の見解に全会一致で同意した。
On 24 March 2022, the Council and the European Parliament reached a provisional agreement on the DMA, which was endorsed by EU member states’ representatives on 11 May 2022. 2022年3月24日、理事会と欧州議会はDMAに関する暫定合意に達し、2022年5月11日にEU加盟国代表が承認した。
The provisional agreement on the DSA that was reached by the Council and the European Parliament on 23 April 2022 and adopted in European Parliament on 5 July is expected to be adopted by the Council in September 2022. 2022年4月23日に理事会と欧州議会が合意に達し、7月5日に欧州議会で採択されたDSAに関する暫定合意は、2022年9月に理事会で採択される予定である。
Next steps 次のステップ
Following the Council’s approval today of the European Parliament's position, the legislative act was adopted. 本日、欧州議会の見解が理事会で承認されたことを受け、議員立法が採択された。
After being signed by the President of the European Parliament and the President of the Council, it will be published in the Official Journal of the European Union and will start to apply six months later. 欧州議会議長および理事会議長の署名を経て、欧州連合官報に掲載され、6カ月後に適用が開始される予定である。
・[PDF] Regulation on contestable and fair markets in the digital sector (Digital Markets Act) ・デジタル分野における競争的かつ公正な市場に関する規則(デジタル市場法)
Digital services package (background information) ・デジタルサービスパッケージ(背景情報)
Visit the meeting page ・会議のページを見る

 

European-council

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

英国

・2022.06.12 英国 競争市場局 モバイルエコシステムに関する市場調査 最終報告と今後

 

中国

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

日本

・2022.07.09 総務省 プラットフォームサービスに関する研究会 第二次とりまとめ(案)についての意見募集 (2022.07.04)

・2022.05.26 意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

 

 

その他。。。

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2021.10.18 JETRO EUデジタル政策の最新概要(2021年10月)

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

| | Comments (0)

米国 CISA サウジアラビア国家サイバーセキュリティ局と協力促進のための覚書に署名+駐在武官事務所をロンドンに設置

こんにちは、丸山満彦です。

バイデン大統領が2022.07.13-16に中東に訪問していましたが、その成果の一つでしょうか、サウジアラビア国家サイバーセキュリティ局との協力促進のための覚書が締結されています。。。ロシアや、中国の一帯一路政策による、中東地域への影響力強化を踏まえて、そして、物価上昇対応の目標もあったのでしょうね。。。サウジアラビア皇太子と面談したのは、ちょっとまずかったのかもしれませんが、、、

 

White House

・2022.07.15 FACT SHEET: Results of Bilateral Meeting Between the United States and the Kingdom of Saudi Arabia

該当箇所...

Cybersecurity Cooperation:  President Biden welcomed the signing of two bilateral agreements on cybersecurity with Saudi Arabia’s National Cybersecurity Authority – one with the Federal Bureau of Investigations and the other with the Department of Homeland Security’s Cybersecurity and Infrastructure Security Agency (CISA).  Through these memoranda of cooperation, the United States and Saudi Arabia will expand their existing bilateral relationship on this critical issue, share information about cybersecurity threats and activities of malicious actors to enhance the shared defense of our nations, and collaborate on best practices, technologies, tools, and on approaches to cybersecurity training and education. サイバーセキュリティの協力:バイデン大統領は、サウジアラビアの国家サイバーセキュリティ局とのサイバーセキュリティに関する2つの二国間協定(1つは連邦捜査局、もう1つは国土安全保障省のサイバーセキュリティおよびインフラセキュリティ局(CISA))との調印を歓迎しました。  これらの協力覚書を通じて、米国とサウジアラビアは、この重要な問題に関する既存の二国間関係を拡大し、サイバーセキュリティの脅威と悪意ある行為者の活動に関する情報を共有して、両国の共同防衛を強化し、ベストプラクティス、技術、ツール、サイバーセキュリティ訓練と教育のアプローチについて協力することになります。

 

 

サウジアラビア側の発表。。。

National Cybersecurity Authority

Flag_of_saudi_arabiasvg

・2022.07.16 Saudi National Cybersecurity Authority and U.S. Department of Homeland Security Sign an MoU to Promote Cybersecurity Cooperation

Saudi National Cybersecurity Authority and U.S. Department of Homeland Security Sign an MoU to Promote Cybersecurity Cooperation サウジアラビア国家サイバーセキュリティ当局と米国国土安全保障省がサイバーセキュリティ協力推進に関する覚書に調印
On the sidelines of U.S. President Joe Biden’s visit to the kingdom of Saudi Arabia on July 15-16 2022, the Saudi National Cybersecurity Authority (NCA) announced the signing of a Memorandum of Understanding for Cybersecurity Cooperation with the U.S. Department of Homeland Security (DHS), Cybersecurity and Infrastructure Security Agency (CISA).   2022年7月15日から16日にかけて、ジョー・バイデン米国大統領がサウジアラビア王国を訪問した際に、サウジアラビア国家サイバーセキュリティ局(NCA)は、米国国土安全保障省(DHS)、サイバーセキュリティおよびインフラセキュリティ局(CISA)とサイバーセキュリティ協力のための覚書を締結したと発表しました。 
This MoU aims to promote bilateral cooperation in the field of cybersecurity to safeguard the cyberspace and vital interests in the Kingdom of Saudi Arabia and the United States of America.   この覚書は、サウジアラビア王国と米国のサイバースペースと重要な利益を保護するために、サイバーセキュリティの分野で二国間協力を促進することを目的としています。 
This MoU comes as a continuation to the ongoing cooperation between the two countries in cybersecurity. The MoU focuses on several areas such as sharing cyber threats information between both countries, and exchanging best practices and experiences in this field.     この覚書は、サイバーセキュリティにおける両国の継続的な協力関係の継続を意味するものです。この覚書は、両国間のサイバー脅威情報の共有や、この分野におけるベストプラクティスや経験の交換など、いくつかの分野に重点を置いています。   
Through this MoU, both parties recognize the importance of the collective efforts to further enhance their leading position internationally by strengthening integration, and establishing mechanisms for cooperation in order to achieve a safe and reliable cyberspace that enables growth and prosperity. この覚書を通じて、両国は、成長と繁栄を可能にする安全で信頼できるサイバースペースを実現するために、統合を強化し、協力のためのメカニズムを確立することによって、国際的に主導的地位をさらに強化するための共同の努力の重要性を認識しています。

 

そしてCISAは、ロンドンに駐在武官事務所を設置すると発表していますね。。。国際連携の強化を図っていますね。。。

CISA

・2022.07.18 CISA ANNOUNCES OPENING OF ATTACHÉ OFFICE IN LONDON, UK

Attaché Office to Serve as a Model as CISA Matures its International Mission to Drive Down Cybersecurity Risks CISAがサイバーセキュリティリスク低減のための国際的ミッションを成熟させるにあたり、駐在武官事務所がモデルとなる
Washington - The Cybersecurity and Infrastructure Security Agency (CISA) today announces its first Attaché Office, which will open this month in London. The Attaché Office will serve as a focal point for international collaboration between CISA, UK government officials, and other federal agency officials. The CISA Attaché will advance CISA’s missions in cybersecurity, critical infrastructure protection, and emergency communications, and leverage the agency’s global network to promote CISA’s four international strategic goals:  ワシントン - サイバーセキュリティおよびインフラストラクチャセキュリティ局(CISA)は本日、初のアタッシェ・オフィスをロンドンに今月開設することを発表しました。アタッシェ・オフィスは、CISA、英国政府関係者、その他の連邦政府機関関係者の間の国際協力の中心的な役割を果たすことになります。CISA Attachéは、サイバーセキュリティ、重要インフラ保護、緊急通信におけるCISAのミッションを推進し、同機関のグローバルネットワークを活用して、CISAの4つの国際戦略目標を推進します。 
・Advancing operational cooperation ・業務協力の推進
・Building partner capacity ・パートナーの能力構築
・Strengthening collaboration through stakeholder engagement and outreach ・ステークホルダーの参画とアウトリーチを通じた協力関係の強化
・Shaping the global policy ecosystem ・グローバルな政策エコシステムの形成
“As America’s cyber defense agency, we know that digital threat actors don’t operate neatly within borders. To help build resilience against threats domestically, we must think globally,” said CISA Director Jen Easterly. “I’m thrilled for CISA’s first international Attaché Office to open in London—true operational collaboration is a global endeavor.” CISA長官のJen Easterlyは、次のように述べています。「米国のサイバー防衛機関として、私たちはデジタル脅威の主体が国境を越えてきちんと活動するわけではないことを知っています。国内の脅威に対する耐性を高めるには、グローバルに考える必要があります。CISAの最初の国際的な駐在武官事務所がロンドンに開設されることをうれしく思います。」
CISA's first UK Attaché is Ms. Julie Johnson. Ms. Johnson previously served as a Regional Protective Security Advisor for CISA in New York, where she led research on microgrids, communications and the internet, and physical-cyber convergence. She also served as CISA’s regional lead for federal interagency working groups. Prior to her tenure at CISA, Ms. Johnson worked at the U.S. Department of State’s Bureau of Intelligence and Research, Bureau of International Narcotics and Law Enforcement, and Bureau of Educational and Cultural Affairs, where her work included citizen exchanges, Fulbright scholarships, IT center deployments, and international training. Ms. Johnson brings a wealth of knowledge, experience, and expertise in cybersecurity and critical infrastructure. CISA初の英国駐在武官は、ジュリー・ジョンソンです。彼女は以前、ニューヨークのCISAで地域保護セキュリティ・アドバイザーを務め、マイクログリッド、通信とインターネット、物理とサイバーの融合に関する研究を主導していました。 また、彼女は連邦省庁間作業部会におけるCISAの地域リーダーも務めました。CISA以前は、米国国務省の情報調査局、国際麻薬・法執行局、教育文化局に勤務し、市民交流、フルブライト奨学金、ITセンターの展開、国際研修などに携わりました。ジョンソンは、サイバーセキュリティと重要インフラに関する豊富な知識、経験、専門知識を有しています。

 

Flag_of_the_united_kingdomsvg

 

 

| | Comments (0)

2022.07.19

インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

こんにちは、丸山満彦です。

インドのデータセキュリティ評議会 (Data Security Council of India; DSCI)  がWeb3.0についての冊子を公開していますね。。。わかりやすいですね。。。

データセキュリティ評議会 (DSCI) は、インドのソフトウェア協会 (National Association of Software and Services Companies; NASCOM) によって設立されたインドのデータ保護に関する非営利の業界団体で、サイバーセキュリティとプライバシーに関するベストプラクティス、標準、イニシアチブを確立することによってサイバースペースを安全、安心、信頼できるものにすることに取り組んでいる団体です。。。日本で言うとNASCOMがJISA、DSCIはJNSA?ってところですかね。。。

Data Security Council of India; DSCI

・2022.07.06 Web 3.0 - The Internet of the New Era

Web 3.0 - The Internet of the New Era Web 3.0 - 新時代のインターネット
The internet has been growing exponentially over decades. Initially, in its earliest forms, no one could comprehend its full potential of it and its impact on us. As advancements took place, the number of applications grew significantly, and it has all led us to where we are now. Web 3.0 is the third iteration of the internet, which combines a bouquet of disruptive technologies such as blockchain, AR, VR, Cloud, Edge, IoT, Geolocation tech, 5G, digital twin and runs on an AI-based analytics layer for data-driven insights. インターネットは、数十年の間に指数関数的に成長してきた。当初、その初期形態では、誰もその可能性と私たちへの影響を完全に理解することはできなかった。しかし、進化を遂げるにつれ、アプリケーションの数は大幅に増加し、その結果、現在に至っている。Web 3.0は、ブロックチェーン、AR、VR、クラウド、エッジ、IoT、ジオロケーション技術、5G、デジタルツインなどの破壊的技術の束を組み合わせ、データ駆動型インサイトのためのAIベースの分析層で動作するインターネットの第3の反復である。
The report aims to break down what is Web 3.0, and how it is staged to evolve and impact the day-to-day business as well as create new opportunities through virtual economies. It further aims to shed light on the future course of action to embrace the change safely and securely. 本報告書では、Web 3.0とは何か、Web 3.0がどのように進化し、日々のビジネスに影響を与え、仮想経済を通じて新たな機会を生み出すかを解説している。さらに、この変化を安全かつ確実に受け入れるために、今後どのような行動を取るべきかを明らかにすることを目的としている。

 

・[PDF] Web 3.0 - The Internet of the New Era

20220719-50555

 

目次...

01 Overview 01 概要
a) Key differences between Web 1.0, 2.0 and 3.0  a) Web1.0、2.0、3.0の主な相違点
02 Web 3.0 02 ウェブ3.0
a) Defining Features of Web 3.0  a) ウェブ3.0の特徴を定義する
b) Difference between web 2.0 and 3.0  b) Web2.0と3.0の違い
c) Beyond the platfor  c) プラットフォームを超えて
03 Web 3.0 and the Metaverse 03 ウェブ3.0とメタバース
a) Metaverse Applications  a) メタバースアプリケーション
b) Industry betting big on Metaverse  b) メタバースに大きく賭ける業界
c) Key Metaverse Statistics & Facts  c) メタバースの主要な統計と事実
04 India Outlook 04 インドの展望
a) Investments pouring in to bolster India’s stance on Web 3.0  a) Web 3.0に対するインドのスタンスを強化するための投資の流れ
05 Challenges 05 課題
06 Way forward 06 進むべき道
07 Recommendations 07 提言
08 Ecosystem players 08 エコシステムの担い手

 

 

概要。。。

20220719-60417

01 Overview 01 概要
The internet has been growing exponentially over decades. Initially in its earliest forms, no one could comprehend the full potential of it and its impact upon us. In the 60s and the 70s, computer networking was limited to research and communication purposes and there was no commercial application permitted. As advancements took place, the number of applications grew significantly, and it has all led us to where we are now. インターネットは、数十年の間に飛躍的に発展してきた。当初は、インターネットが持つ可能性とその影響を誰も理解することができなかった。60年代から70年代にかけて、コンピュータネットワークは研究と通信に限定され、商用アプリケーションは許可されていなかった。しかし、進歩に伴い、アプリケーションの数が大幅に増加し、現在に至っている。
Web 1.0: Web 1.0 was majorly a military computer network called the Advanced Research Projects Agency Network (ARPANET) which was the first full-fledged working prototype of the modern-day internet. The aim was to develop the computing power that overcame geographic limitations and to enhance the posture of the US military. The ARPANET developments were directed towards academia in the later stages and as more academic institutions joined, a web of interconnected universities was created. Web 1.0:Web 1.0は、主にARPANET(Advanced Research Projects Agency Network)と呼ばれる軍事用コンピューターネットワークで、現代のインターネットの最初の本格的なワーキングプロトタイプであった。その目的は、地理的な制約を克服するコンピューティングパワーを開発し、米軍の態勢を強化することであった。ARPANETの開発は、後期には学術界に向けられ、より多くの学術機関が参加することで、相互に接続された大学の網が作られた。
・Web 1.0 was basically ‘read-only’ in nature ・Web 1.0は基本的に「読み取り専用」だった
・The web pages were mostly connected by hyperlinks, and it wasn’t interactive ・ウェブページはほとんどハイパーリンクでつながっており、インタラクティブなものではなかった
・It was called the era of static web pages ・静的なウェブページの時代と呼ばれた
・It was read-only and most of the content was written offline ・読み取り専用で、ほとんどのコンテンツはオフラインで書かれていた
Web 2.0: It is the most prevalent form of the web, the one we use today Web2.0:Webの最も一般的な形態で、現在私たちが利用しているものである
・The key features of Web 2.0 are - fast, vast, and highly interactive. ・Web 2.0の主な特徴は - 高速、広大、高度にインタラクティブであること。
・Web 2.0 takes an active approach in contrast to Web 1.0’s passive approach; the users are mainly the ones who provide content and curate the web. ・Web 1.0の受動的なアプローチに対し、Web 2.0は能動的なアプローチをとっており、主にユーザーがコンテンツを提供し、ウェブをキュレーションしているのが特徴である。
・With the rapid increase in internet penetration and push for digitalization, globally the status of the internet has shifted from just good ‘to have’ to a ‘must have’ for business and personal growth. ・インターネットの普及が急速に進み、デジタル化が進むにつれ、世界的にインターネットの地位は「あればいい」から「ビジネスや個人の成長のための必需品」へと変化してきた。
・Current innovations such as smartphones, mobile Internet access, and social networks have been the key factors for the exponential growth of Web 2.0. ・スマートフォン、モバイルインターネットアクセス、ソーシャルネットワークといった現在の技術革新が、Web 2.0の飛躍的な成長の主な要因となっている。
02 Web 3.0 02 ウェブ3.0
Web 3.0 is the third iteration to the internet, that combines a bouquet of disruptive technologies such as blockchain, AR, VR, Cloud, Edge, IoT, Geolocation tech, 5G, digital twin and runs on an AI-based analytics layer for data-driven insights. The underlying blockchain technology enables trust through mathematical proof and smart contracts. This facilitates creation of a network with minimal managerial requisites, thereby helping drive the new internet economy as a group or individuals, rather than giving into the centralized controls of large tech giants. Web 1.0 introduced a new platform for digital content, and Web 2.0 gave us user-driven feedback, Web 3.0 represents a new phase in the internet’s evolution i.e., a visually dynamic, semantic and spatial Web. ブロックチェーン、AR、VR、クラウド、エッジ、IoT、ジオロケーション技術、5G、デジタルツインなどの破壊的技術を組み合わせ、データ駆動型インサイトのためのAIベースの分析層上で実行されるインターネットへの第3の反復である。基礎となるブロックチェーン技術は、数学的証明とスマートコントラクトによる信頼を可能にする。これにより、必要最小限の管理でネットワークの構築が容易になり、大規模なテックジャイアントの中央集権的なコントロールに屈することなく、グループまたは個人として新しいインターネット経済を推進することを支援する。Web 1.0はデジタルコンテンツのための新しいプラットフォームを導入し、Web 2.0はユーザー主導のフィードバックをもたらした。Web 3.0はインターネットの進化における新しい段階、すなわち視覚的にダイナミックで意味と空間のあるWebを表している。
The goal of Web 3.0 is to create an intelligent, autonomous, connected, and open internet. Tim Berners Lee labelled Web 3.0 as the semantic web (Semantic Web technologies enable people to create data stores on the Web, build vocabularies, and write rules for handling data).  Web 3.0の目標は、インテリジェントで自律的、かつオープンなインターネットを構築することである。ティム・バーナーズ・リーは、Web 3.0をセマンティックWebと名付けた(セマンティックWeb技術により、人々はWeb上にデータストアを作成し、語彙を構築し、データを扱うためのルールを書くことができるようになる)。
Blockchain tech would serve as the backbone of Web 3.0. ブロックチェーン技術は、Web 3.0のバックボーンとして機能することになる。
“Web 3.0 represents the next iteration or phase of the evolution of the web/Internet and potentially could be as disruptive and represent as big a paradigm shift as Web 2.0. Web 3.0 is built upon the core concepts of decentralization, openness, and greater user utility.”  「Web 3.0は、Web/インターネットの進化における次の反復または段階を意味し、潜在的にはWeb 2.0と同様に破壊的で大きなパラダイムシフトとなる可能性がある。Web 3.0は、分散化、オープン性、より大きなユーザーユーティリティというコアコンセプトの上に構築されている。」
The impressive capabilities of Web 3.0 such as understanding information like a human, through hyper-intelligent networks, coupled with underlying secure digital ledger layer to track financial interactions, and convergence of AI, 5G telecommunications will open new avenues of growth and exploration for the digital ecosystem. It is forecasted to revolutionize the modus operandi of today’s network and enhance it manifold. It has the potential to blur the lines between the physical and digital world and provide a seamless interaction. The complete potential of Web 2.0 still hasn’t been fully capitalized; there is still room for innovation and the creation of ground-breaking and industry disrupting applications. However, as next-gen technologies are being created and adopted, right from basic RPA to hyper-intelligent machines and autonomous environments. It is only natural that the internet also evolves at par with the environment. Web 3.0 has four foundational pillars: semantic markup, blockchain and cryptocurrency, 3D visualisation, and artificial intelligence. 超インテリジェントなネットワークを通じて、人間のように情報を理解し、金融取引を追跡するための基盤となる安全なデジタル台帳層と相まって、AI、5G通信の融合といったWeb 3.0の素晴らしい能力は、デジタルエコシステムに新しい成長と探求の道を開くだろう。5G通信は、今日のネットワークに革命をもたらし、その機能を飛躍的に向上させることが予想される。物理的な世界とデジタルの世界の境界線を曖昧にし、シームレスな相互作用を提供する可能性を秘めている。Web 2.0の潜在能力はまだ完全に生かされておらず、革新的で業界を破壊するようなアプリケーションを生み出す余地はまだある。しかし、基本的なRPAから超知能マシンや自律環境まで、次世代テクノロジーの創造と採用が進んでいる。インターネットも環境に応じて進化するのが当然である。Web 3.0は、セマンティックマークアップ、ブロックチェーンと暗号通貨、3Dビジュアライゼーション、人工知能の4つを基礎的な柱としている。
Defining Features of Web 3.0: Web3.0の定義的特徴
01 Open or transparent 01 オープンまたは透明性
One of the major characteristics of Web 3.0 is the open network, all applications and programs are developed using open-source software. Essentially the code for development, which is a virtual resource is public for the community and the development process is also kept transparent. Web 3.0の大きな特徴の1つは、オープンネットワークであり、すべてのアプリケーションやプログラムは、オープンソースソフトウェアを使って開発されていることである。本来、仮想的な資源である開発用のコードは、コミュニティに対して公開され、開発プロセスも透明性が保たれている。
02 Trustless and permissionless  02 トラストレス、パーミッションレス 
The blockchain’s peer-to-peer network helps siphon the need for an intermediary or governing body, that looks over the transactions and interactions happening over the internet. The centralized control over data by platform companies moves into the hands of the individuals using smart protocols over the blockchain that eliminate the need for third parties. Therefore, pushing a trustless and permissionless ecosystem.  ブロックチェーンのピアツーピアネットワークは、インターネット上で行われる取引ややりとりを監視する仲介者や管理機関の必要性をなくすのに役立つ。プラットフォーム企業によるデータの集中管理は、ブロックチェーン上のスマートプロトコルを使用する個人の手に移り、第三者の必要性が排除される。そのため、信頼と許可のないエコシステムを推進する。
03 Decentralized 03 非中央集権
With the underlying blockchain technology, the data will not be stored in silos by gatekeepers of the internet. Instead with a distributed network of the Web 3.0, the data generated from smart devices, appliances, and sensors, can be sold by users through decentralized data networks, ensuring that users retain ownership control.  ブロックチェーン技術により、データはインターネットのゲートキーパーによってサイロに保管されることはない。その代わりに、Web 3.0の分散型ネットワークにより、スマートデバイス、家電、センサーから生成されたデータは、分散型データネットワークを通じてユーザーによって販売され、ユーザーが所有権を保持することを保証する。
04 Artificial Intelligence (AI) and machine learning 04 人工知能(AI)と機械学習
Web 3.0 will be able to assimilate and process data very similar to humans by using technologies based upon semantic web concepts and natural language processing. The underlying technology interprets and presents relevant results to search queries by analysing and iterating the search outputs in accordance with the user Web 3.0は、セマンティックウェブの概念と自然言語処理に基づく技術を用いることで、人間と非常に近い形でデータを同化し、処理することができるようになる。基礎となる技術は、ユーザーに応じて検索結果を分析し、反復することによって、検索クエリに関連する結果を解釈し提示する。
05 3D visualisation 05 3Dビジュアライゼーション
By usage of augmented reality, virtual reality and mixed reality, Web 3.0 will be able to create a spatial web when combined with technologies such as IoT and digital twin. This will help maintain the real-life scale and experience. Examples: museum guides, operation theatre, assembly line, industrial machinery, automotive, computer games, eCommerce, geospatial contexts, etc 拡張現実、仮想現実、複合現実を利用することで、Web 3.0はIoTやデジタルツインなどのテクノロジーと組み合わせて、空間的なWebを作り出すことができるようになる。これにより、現実のスケールと体験を維持することができる。例:博物館ガイド、手術室、組立ライン、産業機械、自動車、コンピュータゲーム、eコマース、地理空間コンテクスト、など
06 Semantic Web 06 セマンティックウェブ
The semantic web improves web technologies and assimilates information similar to a human, than a machine depending on keywords. セマンティックウェブは、ウェブ技術を向上させ、キーワードに依存した機械的な情報ではなく、人間に近い情報を同化させる。
07 Connectivity and ubiquity 07 コネクティビティとユビキタス
Web 3.0 with the help of IoT would emerge ubiquitously and will connect all smart devices. This will help in providing a 360-degree view of all assets and the rich data generated can also be analysed for drawing a range of insights depending on the users’ needs.  IoTの助けを借りたWeb 3.0は、ユビキタスに出現し、すべてのスマートデバイスを接続するようになる。これにより、すべての資産を360度見渡すことができるようになり、生成された豊富なデータは、ユーザーのニーズに応じてさまざまな洞察を得るために分析することができるようになる。
08 Immersive 08 イマーシブ
The ongoing merger between the physical and virtual world can be seen by the dramatic growth of online gaming, digital twin architectural design, and augmented and virtual reality (AR/VR). Combining 5G and IoT, the ongoing evolution in computing and information technology is now moving to create a graphic-intensive commercial landscape.  物理世界と仮想世界の融合が進んでいることは、オンラインゲーム、デジタルツイン建築設計、AR/VR(拡張・仮想現実)の劇的な成長からもうかがい知ることができる。5GとIoTを組み合わせ、コンピューティングと情報技術の進化は、グラフィックを多用した商業的景観を作り出そうとしている。
Beyond the Platform Economy プラットフォーム・エコノミーの先にあるもの
1.      Web 2.0 was majorly leveraged to capture and control the flow of data and advertise through centralized platforms. Web 3.0 is designed to use Distributed Ledger Technologies (DLT) like blockchain to support decentralized network security and storage. This allows the flow and management of data without a centralized control and minimum management.  1. Web 2.0は、中央集権的なプラットフォームを通じてデータや広告の流れを把握し、コントロールするために大きく活用された。Web 3.0は、ブロックチェーンのような分散型台帳技術(DLT)を用いて、分散型のネットワークセキュリティとストレージをサポートするように設計されている。これにより、中央集権的な制御や最低限の管理なしに、データの流れや管理を行うことができる。
2.      Currently we use a hybrid model where it’s a mix of centralized organizations and decentralized collaboration networks. Moving forward, the internet would be more open to all with an equal opportunity to monetize and grow. The key to it is the DLT that will enable the users to own and control their data.  2. 現在、私たちは中央集権的な組織と分散型コラボレーションネットワークが混在するハイブリッドモデルを使っている。今後は、インターネットがよりオープンになり、マネタイズと成長の機会が均等に与えられるようになる。その鍵は、ユーザーが自分のデータを所有し、コントロールすることを可能にするDLTにある。
3.      Automated social organization can be referred to as a Decentralized Autonomous Organization (DAO) that will help grow Web 3.0 ecosystem further. DAO has the following features:  3. 自動化された社会組織は、Web 3.0のエコシステムをさらに成長させる分散型自律組織(DAO)と呼ぶことができる。DAOは以下のような特徴を持つ。
・Minimal hierarchical organizational management using software-driven contracts. ・ソフトウェア主導の契約による最小限の階層的な組織管理。
・Governance is executed by voting- DAOs leveraging the feedback loops provided by users.  ・ガバナンスは投票によって実行され,DAOはユーザーから提供されるフィードバックのループを活用する。
Benefits of WEB 3.0: WEB3.0のメリット
Semantic web: The incorporation of technologies such as AI/ML improves the creation of applications in new areas and user interaction. セマンティックウェブ:AI/ML などの技術を取り入れることで、新しい分野のアプリケーションの創造やユーザーとのインタラクションが向上する。
Data ownership and monetization: Users will benefit from greater control and visibility over their personal data. This will limit the practice of data extraction.  データの所有権と収益化:ユーザーは、自分の個人データに対してより大きなコントロールと可視性の恩恵を受けることになる。これにより、データ抽出の行為が制限される。
・With blockchain technology as the backbone, users can directly interact with their peers through the network. It also allows complete ownership and control of their data and choose which websites they want to share their data with; users can decide on how and when their data is used with the help of applications and their private key. With the help of an internet connection and a crypto wallet they can bypass the middleman.  ・ブロックチェーン技術をバックボーンとして、ユーザーはネットワークを通じて仲間と直接やり取りすることができる。また、自分のデータを完全に所有・管理し、どのウェブサイトとデータを共有するかを選択できる。ユーザーは、アプリケーションと秘密鍵の助けを借りて、自分のデータがいつ、どのように使用されるかを決定することができる。インターネット接続と暗号財布があれば、中間業者を介さずに利用することができる。
・While becoming the only custodians of their data, the responsibility to secure it also falls on them.  ・データの唯一の管理者になる一方で,データを保護する責任もユーザー自身にある。
Anti-monopoly: It will curb the network effects and wouldn’t allow a single entity to have control.  反独占:ネットワーク効果を抑制し、単一の事業者が支配することを許さない。 
Secure networks: While using blockchain technology as a foundation, the data becomes immutable, transparent and hard to hack.  安全なネットワーク:ブロックチェーン技術を基盤にしながら、データは不変で、透明性が高く、ハッキングが困難なものになる。
・All the transactions are self-executing smart contracts based on mathematical proofs. ・すべての取引は数学的証明に基づく自己実行型のスマートコントラクトである。
Ubiquity and interoperability: While leveraging technologies like IoT and cloud, Web 3.0 offers a common ground where all the technologies can merge, enabling a faster & higher amount of data to be processed.  ユビキタス性と相互運用性:IoTやクラウドなどの技術を活用しながら、Web 3.0はすべての技術が融合できる共通の土台を提供し、より速く、より大量のデータを処理することを可能にする。 
・It ties up the physical world with the spatial web and spans all spheres of technologies.  ・物理的な世界と空間的なウェブを結びつけ、あらゆる技術領域にまたがる。

 

Area Web 2.0 Web 3.0 Future prospect 今後の見通し
Type of web Social Semantic and Spatial Web 3.0 will offer a more immersive experience that will offer information and services in XR. Web 3.0は、XRで情報やサービスを提供する、より没入感のある体験を提供する。
Structure Oligopoly/centralized Decentralized Web 3.0 has a blockchain enabled architecture that enables necessary decentralization. This is further augmented by a balanced economy, where creators and users are compensated for their time, effort, and information. Web 3.0は、ブロックチェーンに対応したアーキテクチャにより、必要な分散化を実現する。これはさらに、クリエーターとユーザーが時間、労力、情報に対して補償される、バランスのとれた経済によって補強される。
Target audience Communities individuals Web 3.0 is focused on reaching individual users, and offers a custom tailored experiences based on their online behavior.  Web 3.0は、個々のユーザーへのリーチに焦点を当て、そのオンライン上の行動に基づいてカスタムメイドの体験を提供する。
Viewability 2D Mix of 2D and 3D Web 3.0 combines 2D and 3D by using immersive realities to render an enriched UX.  Web 3.0は、没入型リアリティを利用して2Dと3Dを融合させ、豊かなUXを実現する。
Application type Apps dApps Using smart contracts dApps are self-executing and require minimum governance. スマートコントラクトを使用したdAppsは、自己実行型で、最小限のガバナンスしか必要としない。
App development Open code plus proprietary 100% open source This will provide complete transparency and will be available to everyone for inspection and development. これは完全な透明性を提供し、誰もが検査と開発のために利用できるようになる。

 

技術的に色々と可能となっても、現実社会に実装する際に、色々と制約が出てくるので、もうちょっとマイルドになったものになるような気がします。。。

 

Continue reading "インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)"

| | Comments (0)

2022.07.18

英国 情報コミッショナー 新しい戦略計画案 ICO25 を公表し、意見募集をしていますね。。。

こんにちは、丸山満彦です。

英国の情報保護委員会のような組織である、情報コミッショナー (The Information Commissioner's Office; ICO) が新しい戦略計画案 ICO25 を公表し、意見募集をしていますね。。。

自分達の存在意義から問い直し、自分達が何をどのように達成すべきか、そのためにはどのようなことが必要か、そのために目先の1年に何をすべきか、を整理した感じですかね。。。詳細まで読んでいませんが、こういうことを作って、進めていくというのが、いかにも英国っぽいように感じました。そして、EUから分離した結果、それを自分達で考える必要が出てきたと同時に、ある程度の自由度を持って進められるということですかね。。。

 

U.K. Information Commissioner's Office; ICO - Our strategies and plans

・2022.07.14 ICO25 plan

・[Video] ICO25 plan

・[PDF] ICO25 plan

20220718-64924

 

目次...

1. What does the ICO25 plan do? 1. ICO25計画では何をするのか?
2. Our plan on a page   2. 私たちの計画を1ページに  
3. Our purpose   3. 私たちの目的  
4. Our strategic context   4. 私たちの戦略的背景  
5. Our strategic enduring objectives   5. 私たちの戦略的な永続的な目標  
6. Our values and behaviours  6. 私たちの価値観と行動様式 
7. How we will know if we have achieved our objectives to October 2023  7. 2023年10月までの目標が達成できたかどうかを知る方法 
8. Annex One – Action Plan – October 2022 to October 2023 8. 附属書1 - 行動計画 - 2022年10月から2023年10月まで

 

 

1ページで言い表すと。。。

To empower you through information  情報を通じて、あなたを元気にするために

 

Shapes our four strategic enduring objectives 私たちの次の4つの戦略的で永続的な目標を設定する
1. Safeguard and empower people 1. 人々を守り、力を与える
2. Empower responsible innovation and sustainable economic growth 2. 責任あるイノベーションと持続可能な経済成長を促進する
3. Promote openness, transparency and accountability 3. 開放性、透明性、説明責任を促進する
4. Continuously develop the ICO's culture, capability and capacity 4. ICOの文化、能力、能力を継続的に発展させる

 

Which together with our values and behavior それらは、私たちの次の価値観と行動様式を伴って行う
1. Curious 1. 好奇心
2. Collaborative 2. 協調性
3. Impactful 3. インパクトがあること
4. Respect, equality, diversity and inclusivity 4. 尊重、平等、多様性、包括性

 

Drive our work and annual plan. 私たちの仕事と年次計画を推進する。

 

 

| | Comments (0)

ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が、Google、Apple、Pinterest等の外資企業が、ロシア人利用者のデータベースのローカ保管を確認していないと発表していますね。。。

こんにちは、丸山満彦です。

ロシアの通信・IT・マスメディア監督連邦サービス(Roskomnadzor)が、データローカリゼーションに関する法律を遵守しているかについての確認を外資系企業(主に米国企業)にとり、確認が取れない場合、違反している場合は、処分を進めているという発表が続いていますね(昨年も同じ時期にありました)。。。。Google、Apple、Pinterest、Airbnb等に対して裁判所からの命令が出ています。。。

 

Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 

・2022.07.14 О принятии мер понуждения в отношении Twitch

О принятии мер понуждения в отношении Twitch Twitchに対する強制措置の実施について
В связи с невыполнением американской ИТ-компанией Twitch Interactive, Inc. обязанности по удалению противоправной информации Роскомнадзором принято решение о применении меры понуждения в виде информирования поисковыми системами интернет-пользователей о нарушении иностранным лицом российского законодательства. 米国のIT企業Twitch Interactive, Inc.が違法な情報を削除しなかったため、通信・IT・マスメディア監督連邦サービスは、外国企業によるロシアの法律違反についてインターネット利用者に通知する形で強制措置を取ることを決定した。
Принятые меры информирующего характера в отношении интернет-компании Twitch будут действовать до полного устранения иностранным лицом нарушений российского законодательства. インターネット企業Twitchに関連して取られた通知措置は、外国企業がロシアの法令違反を完全に排除するまで有効である。
Также в отношении стриминговой платформы Twitch Роскомнадзором был составлен административный протокол по ч. 2 ст. 13.41 КоАП РФ за неудаление запрещенной информации – фейков о проводимой Вооруженными Силами РФ специальной военной операции на территории Украины. また、Twitchストリーミングプラットフォームに関連して、通信・IT・マスメディア監督連邦サービスは、禁止された情報(ロシア軍がウクライナの領土で行った特別軍事作戦に関する偽情報)を削除しなかったとして、ロシア連邦行政犯罪法第13.41条第2項に基づく行政議定書を作成した。

 

・2022.07.12 Иностранные компании признаны виновными в нарушении законодательства в сфере персональных данных

Иностранные компании признаны виновными в нарушении законодательства в сфере персональных данных 外国企業が個人情報に関する法律違反で有罪に
12 июля 2022 года мировой суд Таганского района г. Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении иностранных ИТ-компаний. 2022年7月12日、モスクワのタガンスキー地区の判事裁判所は、通信・IT・マスメディア監督連邦サービスが外国のIT企業に対して作成した行政報告書を検討した。
За отказ локализовать персональные данные российских граждан на территории РФ суд назначил компаниям Zoom Video Communications, Inc. и Ookla LLC штрафы по 1 млн рублей. На Apple Inc. был наложен штраф в размере 2 млн рублей. 裁判所は、Zoom Video Communications, Inc.とOokla LLCに対し、ロシア国民の個人データをロシア国内にローカル保管することを拒否したとして、それぞれ100万ルーブルの罰金を課した。Apple Inc.には200万ルーブルの罰金が科せられた。
Ранее Роскомнадзор потребовал от иностранных компаний предоставить документы, подтверждающие, что хранение и обработка персональных данных российских пользователей осуществляется на территории РФ. これに先立ち、通信・IT・マスメディア監督連邦サービスは外国企業に対し、ロシアの利用者の個人データの保存と処理がロシア連邦の領域で行われていることを確認する文書の提出を要求した。
Однако указанные компании не выполнили требования российского законодательства в сфере персональных данных, за что в их отношении Роскомнадзором были составлены административные протоколы по ч. 8 ст. 13.11 КоАП РФ. しかし、これらの企業は個人情報の分野におけるロシアの法律の要件を遵守していなかったため、通信・IT・マスメディア監督連邦サービスはロシア連邦行政犯罪法第13.11条第8項に基づき行政報告を行った。

 

・2022.06.28 Иностранные интернет-компании оштрафованы за отказ локализовать базы данных российских пользователей на территории РФ

Иностранные интернет-компании оштрафованы за отказ локализовать базы данных российских пользователей на территории РФ 海外のインターネット企業が、ロシア人利用者のデータベースをロシアにローカル保管することを拒否し、罰金を科されることになった
28 июня 2022 года Таганский районный суд Москвы рассмотрел административные протоколы, составленные Роскомнадзором, в отношении четырёх иностранных компаний за нелокализацию персональных данных российских пользователей. 6月28日、モスクワのタガンスキー地方裁判所は、ロシアの利用者の個人データがローカル保管されていないとして、通信・IT・マスメディア監督連邦サービスが外国企業4社に対して作成した行政報告書を審査した。
Решением суда компании Twitch Interactive, Inc., Pinterest, Inc. и Airbnb, Inc. оштрафованы на 2 млн рублей каждая, United Parcel Service, Inc. – на 1 млн рублей. 裁判所は、Twitch Interactive, Inc.、Pinterest, Inc.、Airbnb, Inc.にそれぞれ200万ルーブル、United Parcel Service, Inc.に100万ルーブルの罰金を科すことを決定した。
Ранее Роскомнадзор потребовал от ряда иностранных компаний предоставить документы, подтверждающие, что хранение и обработка персональных данных российских пользователей осуществляется на территории РФ. これに先立ち、通信・IT・マスメディア監督連邦サービスは、多くの外国企業に対し、ロシアの利用者の個人データの保存と処理がロシア連邦の領域で行われていることを確認する文書の提出を要求した。
Вышеперечисленные интернет-компании своевременно не предоставили такие данные, за что Роскомнадзором были составлены административные протоколы по ч. 8 ст. 13.11 КоАП РФ. 上記のインターネット会社は、そのようなデータの提供が間に合わなかったため、通信・IT・マスメディア監督連邦サービスは、ロシア連邦行政犯罪法第13.11条第8項についての行政報告を行った。
Согласно российскому законодательству оператор обязан обеспечить хранение баз данных россиян на территории Российской Федерации (ч. 5 ст. 18 ФЗ-152 «О персональных данных»). Выполнение этой нормы позволяет обеспечить надлежащие условия и гарантии хранения и защиты персональных данных российских граждан. ロシアの法律では、事業者はロシア国民のデータベースがロシア連邦の領域内に保存されていることを保証しなければならない(連邦法152「個人データについて」第18条第5項)。この規範を遵守することで、ロシア国民の個人情報の保管と保護について適切な条件と保証を確保することができる。

 

・2022.06.16 Суд назначил штрафы иностранным компаниям за отказ локализовать личные данные пользователей на территории России

Суд назначил штрафы иностранным компаниям за отказ локализовать личные данные пользователей на территории России 個人情報のロシア国内でのローカル保管を拒否した外国企業に対し、裁判所が罰金を科した
16 июня 2022 года мировой суд Таганского района г. Москвы рассмотрел административные протоколы, составленные Роскомнадзором в отношении иностранных компаний, не локализовавших базы данных российских пользователей на территории РФ. 2022年6月16日、モスクワのタガンスキー地区裁判所は、ロシア人利用者のデータベースをロシアにローカル保管しなかった外国企業に対して通信・IT・マスメディア監督連邦サービスが作成した行政報告書について検討した。
Компания Google LLC оштрафована на 15 млн рублей за повторный отказ локализовать личные данные пользователей в России (ч. 9 ст. 13.11 КоАП РФ). Ранее Google уже привлекался к административной ответственности за нарушение требования о локализации. В 2021 году штраф составил 3 млн рублей, который компания своевременно оплатила. Google LLCは、ロシアにおける利用者の個人データのローカル保管を2回目も拒否したことにより、1500万ルーブルの罰金を科された(ロシア連邦行政犯罪法第13.11条第9項)。Googleは以前、ローカライゼーション要件に違反したことで行政責任を問われたことがある。2021年、罰金は300万ルーブルとなり、同社は期限内にこれを支払った。
Суд также обязал компанию Likeme Pte. ltd. выплатить штраф в размере 1,5 млн рублей по ч. 8 ст. 13.11 КоАП РФ за нелокализацию персональных данных российских пользователей. また、裁判所はLikeme Pte. ltd.に対し、ロシアの利用者の個人データをローカル保管していなかったとして、ロシア行政犯罪法第8部13.11条に基づき、150万ルーブルの罰金を支払うよう命じた。
Согласно российскому законодательству оператор обязан обеспечить хранение баз данных россиян на территории Российской Федерации (ч. 5 ст. 18 ФЗ-152 «О персональных данных»). Локализация баз данных на территории РФ позволяет обеспечить необходимый уровень защищённости персональных данных российских граждан. ロシアの法律では、データ管理者はロシアの利用者のデータベースをロシア連邦内に確実に保存する義務があります(連邦法152「個人データについて」第18条第5項)。ロシア連邦の領土にデータベースをローカル保管することで、ロシア国民の個人データの必要な保護レベルを確保することが可能になる。

 

・2022.05.27 Ряд иностранных интернет-компаний не локализовали базы данных на территории России

Ряд иностранных интернет-компаний не локализовали базы данных на территории России 海外のインターネット企業の中には、データベースをロシアにローカル保管していないところもある
Роскомнадзор составил административные протоколы в отношении ряда зарубежных интернет-компаний за нарушение требований российского законодательства в области персональных данных (ПД) в части локализации баз данных российских пользователей на территории России. 通信・IT・マスメディア監督連邦サービスは、ロシアの個人データ(PD)法の要件であるロシア人利用者のデータベースのロシア国内でのローカル保管に違反したとして、多数の外国インターネット企業に対する行政報告書を作成した。
Ранее Роскомнадзор потребовал от ряда иностранных компаний предоставить документы, подтверждающие, что хранение и обработка персональных данных российских пользователей осуществляется на территории РФ. Интернет-компании Airbnb, Pinterest, Likeme, Twitch, Apple, United Parcel Service, Google своевременно не предоставили такие данные. これに先立ち、通信・IT・マスメディア監督連邦サービスは、多くの外国企業に対し、ロシアの利用者の個人データの保存と処理がロシア連邦の領域で行われていることを確認する文書の提出を要求した。インターネット企業のAirbnb、Pinterest、Likeme、Twitch、Apple、United Parcel Service、Googleは、こうしたデータを適時に提供することができなかった。
В отношении Airbnb, Pinterest, Likeme, Twitch, Apple, United Parcel Service составлены административные протоколы по ч. 8 ст. 13.11 КоАП РФ. В отношении Google — за повторное нарушение требования о локализации ПД по ч. 9 ст. 13.11 КоАП РФ. Airbnb、Pinterest、Likeme、Twitch、Apple、United Parcel Serviceについて、ロシア連邦行政犯罪法第13.11条第8項に関する行政報告書が作成された。Googleに対して - ロシア連邦行政犯罪法第13.11条第9項に関する個人データのローカル保管要件に繰り返し違反したため。
В 2021 году компания Google уже привлекалась к ответственности по ч. 8 ст. 13.11 КоАП РФ, суд наложил штраф в размере 3 млн рублей. Компания штраф своевременно оплатила. 2021年、Googleはすでにロシア連邦行政犯罪法第13.11条第8項に基づく責任を問われ、裁判所は300万ルーブルの罰金を課している。同社は期限内に罰金を支払った。
Согласно российскому законодательству (Федеральный закон от 27.06.2006 г. № 152-ФЗ) оператор ПД обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан РФ с использованием баз данных, находящихся на ее территории. Локализация баз данных на территории РФ позволяет обеспечить необходимый уровень защищённости персональных данных российских пользователей. ロシアの法律(連邦法No.152-FZ、2006年6月27日)に基づき、情報管理者はロシアにあるデータベースを使用して、ロシア国民の個人情報の記録、体系化、保存、明確化(更新、修正)、抽出を保証するものとします。ロシア連邦の領域にデータベースをローカル保管することで、ロシアの利用者の個人情報の保護に必要なレベルを確保することが可能になる。
Отсутствие подтверждения факта локализации баз данных российских граждан на территории РФ влечет наложение административного штрафа на юридических лиц в размере от 1 млн до 6 млн рублей (ч. 8 ст. 13.11 КоАП РФ). В случае повторного нарушения этого требования – от 6 млн до 18 млн рублей (ч. 9 ст. 13.11 КоАП РФ). ロシア連邦内のロシア国民のデータベースをローカル保管しなかった場合、法人に対して100万から600万ルーブルの行政罰が科せられる(ロシア連邦行政犯罪法第13.11条第8項)。この要件に繰り返し違反した場合、600万から1800万ルーブル(ロシア連邦行政犯罪法第13.11条9項)。

 

1920pxemblem_of_roskomnadzorsvg

 


● まるちゃんの情報セキュリティ気まぐれ日記

 

昨年も同様の発表をしていますね。。。

・2021.07.04 ロシア 通信・IT・マスメディア監督連邦サービス (Roskomnadzor) が「Google、Facebook、WhatsApp、Twitterは、ロシア人利用者のデータベースのロシアへのローカライズを確認していない」と発表


昨年成立した罰金をあげる法案の件

・2021.02.15 ロシア プライバシー法に違反した場合の罰金を引き上げる法案を下院が承認したようですね。。。

 

少し古いですが、各国のデータローカリゼーション等の法制度の報告書。ロシアもふくまれています。

・2016.07.14 経済産業省 越境データフローに係る制度等の調査研究の報告書

 

| | Comments (0)

2022.07.17

中国 国家サイバースペース管理局が「インターネット利用者アカウント情報管理規定」を公布 (2022.06.27)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が2022.06.27に「インターネット利用者アカウント情報管理規定」を公布していますね。。。2022.08.01から施行です。。。

インターネットに匿名は認めない(表では匿名であっても、裏は実名)というわけですが、日本もこっちの方向に進みたいのでしょうかね。。。例の上海当局から10億人以上の個人情報が漏洩したと言われている事案ですが、中国のSNS等ではあまり触れられていないようですね。。。触れているとしても、隠語を使っている感じのようですし。。。

国と個人の関係について考えても良いかもですね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.06.27 国家互联网信息办公室发布《互联网用户账号信息管理规定》

国家互联网信息办公室发布《互联网用户账号信息管理规定》 国家サイバースペース管理局が「インターネット利用者アカウント情報管理規定」を公布
6月27日,国家互联网信息办公室发布《互联网用户账号信息管理规定》(以下简称《规定》),自2022年8月1日起施行。国家互联网信息办公室有关负责人表示,出台《规定》,旨在加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康发展。 国家サイバースペース管理局は6月27日、「インターネット利用者アカウント情報管理規定」(以下、「本規定」)を公布し、2022年8月1日から施行する。 国家サイバースペース管理局の関係責任者は、本規定の導入は、インターネット利用者のアカウント情報の管理を強化し、社会主義核心価値観を促進し、国家の安全と社会公共利益を守り、国民、法人およびその他の組織の合法的権益を保護し、インターネット情報サービスの健全な発展を推進することを目的としていると述べた。
近年来,各类互联网信息服务迅速发展,互联网用户账号信息体现用户个性特征,方便在线交流,成为亿万网民展示自我的重要载体。但同时,通过注册、使用账号信息,编造传播虚假信息、实施网络暴力等行为时有发生,危害国家安全和社会公共利益,侵犯公民、法人和其他组织的合法权益。制定《规定》是规范互联网用户注册、使用和互联网信息服务提供者管理账号信息行为的需要,是维护意识形态安全、社会公平公正和网民合法权益的需要,也是防范化解国家安全风险、维护网络空间良好生态的需要。 近年、各種インターネット情報サービスが急速に発展し、インターネット利用者のアカウント情報は利用者の性格特性を反映し、オンラインコミュニケーションを円滑にし、数億人のインターネット利用者が自分をアピールするための重要なキャリアとなっている。 しかし一方で、アカウント情報の登録・利用、虚偽情報の捏造・流布などを通じて、ネット上での暴力行為などが発生し、国家の安全や社会公共利益を危うくし、国民・法人・その他団体の正当な権利・利益を侵害している。 本規定の制定は、インターネット利用者の登録と利用、インターネット情報サービス提供者のアカウント情報管理を規制し、思想安全、社会正義、インターネット利用者の合法的権益を保護し、国家安全リスクを予防・解決し、サイバースペースの良好なエコシステムを維持するために必要なものである。
《规定》明确,互联网用户账号信息是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息;互联网信息服务提供者,是指向用户提供互联网信息发布和应用平台服务的主体。国家网信部门负责全国互联网用户账号信息的监督管理工作。地方网信部门依据职责负责本行政区域内的互联网用户账号信息的监督管理工作。 本規定は、インターネット利用者アカウント情報とは、インターネット利用者がインターネット情報サービスに登録し使用する利用者アカウントを識別するための名前、アバター、カバー、プロフィール、署名、認証情報などの情報を指し、インターネット情報サービス提供者、利用者にインターネット情報公開とアプリケーションプラットフォームサービスを提供する主体であることを明確にしている。 国のネットワーク情報部門は、国家インターネット利用者アカウント情報の監督と管理を担当している。 地方のネットワーク情報部門は、その職務に基づき、行政区域内のインターネット利用者のアカウント情報を監督・管理する責任を負っている。
《规定》明确了账号信息注册和使用规范,要求互联网信息服务提供者应当制定和公开互联网用户账号信息管理规则、平台公约,明确账号信息注册、使用和管理相关权利义务。互联网个人用户注册、使用账号信息,含有职业信息的,应当与个人真实职业信息相一致;互联网机构用户注册、使用账号信息,应当与机构名称、标识等相一致。互联网信息服务提供者为互联网用户提供信息发布、即时通讯等服务的,应当进行真实身份信息认证;应当对互联网用户在注册时提交的和使用中拟变更的账号信息进行核验;应当在账号信息页面展示合理范围内的互联网用户账号的互联网协议地址归属地信息,便于公众为公共利益实施监督。 本規定は、アカウント情報の登録と使用に関する規範を明確にし、インターネット情報サービス提供者にインターネット利用者のアカウント情報管理に関する規則、プラットフォーム規約を作成・公開させ、アカウント情報の登録、使用、管理に関する権利と義務を明確にしたものです。 個人のインターネット利用者が職業情報を含むアカウント情報を登録・使用する場合は、個人の実際の職業情報と一致させ、インターネット機関利用者がアカウント情報を登録・使用する場合は、機関の名称およびロゴと一致させなければならない。 インターネット利用者に情報公開、インスタントメッセージなどのサービスを提供するインターネット情報サービス業者は、実名情報の認証を行い、インターネット利用者が登録時に提出し、使用時に変更する予定のアカウント情報を確認し、インターネット利用者のアカウントのインターネットプロトコルアドレス帰属に関する情報をアカウント情報ページに合理的に表示し、公共の利益のための監督を容易にしなければならない。
《规定》明确了账号信息管理的规范,要求互联网信息服务提供者履行账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力;建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度;完善投诉举报受理、甄别、处置、反馈等机制;建立健全互联网用户账号信用管理体系;对违法违规注册、使用账号信息的情形采取相应的处置措施。 本規定は、アカウント情報管理の仕様を明確化し、インターネット情報サービス提供者がアカウント情報管理の主責任を果たし、サービスの規模に見合った専門人材と技術力を備えること、実名情報認証、アカウント情報検証、情報コンテンツセキュリティ、生態ガバナンス、緊急処理、個人情報保護などの管理システムを構築し、厳格に実施すること、苦情や通報の受付、審査、処理、フィードバックなどを改善すること、などを義務付けた。 また、インターネット利用者のアカウントに関する健全な与信管理体制を確立し、アカウント情報の不正な登録・利用が行われた場合には、適切な措置を講じなければならない。

《规定》明确了开展监督检查和追究法律责任的相关要求,规定网信部门会同有关主管部门建立健全工作机制,协同开展互联网用户账号信息监督管理工作。网信部门依法对互联网信息服务提供者管理互联网用户注册、使用账号信息情况实施监督检查,互联网信息服务提供者应当予以配合,并提供必要的支持协助。发现互联网信息服务提供者存在较大网络信息安全风险的,省级以上网信部门可以要求其采取措施,进行整改,消除隐患。 本規定は、監督検査の要件と法的責任を明確にし、ネットワーク情報部門が関連主管部門と連携して、インターネット利用者のアカウント情報に対する監督管理を協調して行うための作業メカニズムを構築し改善することを規定している。 ネットワーク情報部門は、インターネット利用者の登録を管理するために、インターネット情報サービス提供者に関する法律に従って、監督と検査を実装するためのアカウント情報の使用は、インターネット情報サービス提供者は、協力し、支援するために必要なサポートを提供する必要がある。 ネットワーク情報セキュリティのリスクが高いと判断された場合、省レベル以上のネットワーク情報部門は、隠れた危険性を是正・除去するための措置を講じるよう求めることができる。
国家互联网信息办公室有关负责人指出,互联网用户账号信息治理需要政府、企业、网民等多方主体共同参与,弘扬社会主义核心价值观,维护国家安全和社会公共利益,营造更加清朗的网络空间。 国家サイバースペース管理局の関連責任者は、インターネット利用者のアカウント情報のガバナンスは、社会主義の核心的価値を促進し、国家の安全と社会公共の利益を保護し、より明確なサイバースペースを創造するために、政府、企業、ネット利用者など複数の主体の共同参加を必要としていると指摘した。

 

・2022.06.27 互联网用户账号信息管理规定

互联网用户账号信息管理规定 インターネット利用者アカウント情報管理規定
国家互联网信息办公室令 第10号 国家サイバースペース管理局令 第10号
《互联网用户账号信息管理规定》已经2022年6月9日国家互联网信息办公室2022年第11次室务会议审议通过,现予公布,自2022年8月1日起施行。 2022年6月9日、国家サイバースペース管理局第11回会議で「インターネット利用者アカウント情報管理規定」が採択されたので、ここに公布し、2022年8月1日から施行することとする。
国家互联网信息办公室主任 庄荣文 国家サイバースペース管理局局長 庄荣文
2022年6月27日 2022年6月27日
互联网用户账号信息管理规定 インターネット利用者アカウント情報管理規定
第一章 总则 第一章 総則
第一条 为了加强对互联网用户账号信息的管理,弘扬社会主义核心价值观,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,根据《中华人民共和国网络安全法》、《中华人民共和国个人信息保护法》、《互联网信息服务管理办法》等法律、行政法规,制定本规定。 第1条 インターネット利用者のアカウント情報の管理を強化し、社会主義核心価値観を促進し、国家の安全と社会公共の利益を保護し、国民、法人及びその他の組織の合法的権益を保護するため、「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国個人情報保護法」、「インターネット情報サービス管理弁法」などの法律及び行政法規に基づいて、本規定を制定する。
第二条 互联网用户在中华人民共和国境内的互联网信息服务提供者注册、使用互联网用户账号信息及其管理工作,适用本规定。法律、行政法规另有规定的,依照其规定。 第2条 本規定は、中華人民共和国領域内のインターネット利用者がインターネット情報サービス提供者に登録するインターネット利用者アカウント情報及びその管理について適用されるものとする。 法律または行政法規に別段の定めがある場合、その定めに従う。
第三条 国家网信部门负责全国互联网用户账号信息的监督管理工作。 第3条 国のネットワーク情報部門は、国家インターネット利用者アカウント情報の監督管理を担当する。
地方网信部门依据职责负责本行政区域内的互联网用户账号信息的监督管理工作。 地方のネットワーク情報部門は、その職務に基づき、行政区域内のインターネット利用者のアカウント情報を監督・管理する責任を負っている。
第四条 互联网用户注册、使用和互联网信息服务提供者管理互联网用户账号信息,应当遵守法律法规,遵循公序良俗,诚实信用,不得损害国家安全、社会公共利益或者他人合法权益。 第4条 インターネット情報サービス提供者によるインターネット利用者の登録及び利用並びにインターネット利用者のアカウント情報の管理は、法令を遵守し、公序良俗に従い、誠実かつ信頼できるものでなければならず、国家の安全、社会公共の利益又は他人の正当な権利及び利益を損なわないものでなければならない。
第五条 鼓励相关行业组织加强行业自律,建立健全行业标准、行业准则和自律管理制度,督促指导互联网信息服务提供者制定完善服务规范、加强互联网用户账号信息安全管理、依法提供服务并接受社会监督。 第5条 関係業界団体が業界の自己規律を強化し、業界標準、業界指針及び自主規制管理制度を制定・改善し、インターネット情報サービス提供者がサービス仕様を策定・改善し、インターネット利用者アカウントの情報セキュリティ管理を強化し、法律に基づきサービスを提供し、社会的監督を受けるよう監督・指導することを奨励する。
第二章 账号信息注册和使用 第二章 アカウント情報の登録と利用
第六条 互联网信息服务提供者应当依照法律、行政法规和国家有关规定,制定和公开互联网用户账号管理规则、平台公约,与互联网用户签订服务协议,明确账号信息注册、使用和管理相关权利义务。 第6条 インターネット情報サービス提供者は、法律、行政法規および国家の関連規定に基づいて、インターネット利用者のアカウント管理規定、プラットフォーム規約を制定・公開し、インターネット利用者とサービス契約を締結して、アカウント情報の登録、使用、管理に関する権利と義務を明確にしなければならない。
第七条 互联网个人用户注册、使用账号信息,含有职业信息的,应当与个人真实职业信息相一致。 第7条 個人のインターネット利用者によるアカウント情報の登録及び利用は、職業情報が含まれている場合、実際の職業情報と一致するものでなければならない。
互联网机构用户注册、使用账号信息,应当与机构名称、标识等相一致,与机构性质、经营范围和所属行业类型等相符合。 インターネット利用者によるアカウント情報の登録・利用は、組織の名称やロゴ、組織の性格、事業範囲、属する業種などに合致したものでなければならない。
第八条 互联网用户注册、使用账号信息,不得有下列情形: 第8条 インターネット利用者は、以下の場合、アカウント情報を登録または使用してはならない。
(一)违反《网络信息内容生态治理规定》第六条、第七条规定; (1)「ネットワーク情報コンテンツ・エコロジー・ガバナンス規定」第6条および第7条の規定に違反すること。
(二)假冒、仿冒、捏造政党、党政军机关、企事业单位、人民团体和社会组织的名称、标识等; (2) 政党、党、政府・軍機関、企業・機関、人民組織、社会組織の名称およびロゴを偽造、模倣、捏造すること。
(三)假冒、仿冒、捏造国家(地区)、国际组织的名称、标识等; (3) 国(地域)、国際機関等の名称、ロゴ等を偽造、模倣、捏造すること。
(四)假冒、仿冒、捏造新闻网站、报刊社、广播电视机构、通讯社等新闻媒体的名称、标识等,或者擅自使用“新闻”、“报道”等具有新闻属性的名称、标识等; (4) ニュースサイト、新聞・定期刊行物、ラジオ・テレビジョン機関、通信社等の名称やロゴを偽造、模倣、捏造したり、「ニュース」「報道」等のニュース属性のある名称やロゴを無断で使用すること。
(五)假冒、仿冒、恶意关联国家行政区域、机构所在地、标志性建筑物等重要空间的地理名称、标识等; (5) 国の行政区域、施設の所在地、ランドマーク等の重要な空間の地理的名称やロゴを偽造、模倣、悪意を持って連想させること。
(六)以损害公共利益或者谋取不正当利益等为目的,故意夹带二维码、网址、邮箱、联系方式等,或者使用同音、谐音、相近的文字、数字、符号和字母等; (6) 公共の利益を害し、または不正な利益を求める目的で、QRコード、ウェブアドレス、電子メールアドレス、連絡先等を意図的に同封し、または同音異義語、同調語もしくは類似語、数字、記号、文字等を使用すること。
(七)含有名不副实、夸大其词等可能使公众受骗或者产生误解的内容; (7)虚偽の記載や誇張など、人を欺いたり誤解を与えたりするおそれのある内容を含むもの。
(八)含有法律、行政法规和国家有关规定禁止的其他内容。 (8) その他、法律、行政法規、国の関連規定で禁止されている内容を含むもの。
第九条 互联网信息服务提供者为互联网用户提供信息发布、即时通讯等服务的,应当对申请注册相关账号信息的用户进行基于移动电话号码、身份证件号码或者统一社会信用代码等方式的真实身份信息认证。用户不提供真实身份信息,或者冒用组织机构、他人身份信息进行虚假注册的,不得为其提供相关服务。 第9条 インターネット情報サービス提供者がインターネット利用者に情報公開、インスタントメッセージなどのサービスを提供する場合、携帯電話番号、身分証明書番号または統一社会信用コードなどに基づいて、関連アカウント情報の登録を申請する利用者の真の身元情報を認証しなければならない。 実在の人物情報を提供しない利用者、または組織や他人の人物情報を不正に利用して虚偽の登録を行った利用者には、関連するサービスを提供してはならない。
第十条 互联网信息服务提供者应当对互联网用户在注册时提交的和使用中拟变更的账号信息进行核验,发现违反本规定第七条、第八条规定的,应当不予注册或者变更账号信息。 第10条 インターネット情報サービス提供者は、インターネット利用者が登録時に提出し、利用時に変更しようとするアカウント情報を確認し、本規則第7条および第8条の規定に違反していることが判明した場合には、アカウント情報を登録または変更しないものとする。
对账号信息中含有“中国”、“中华”、“中央”、“全国”、“国家”等内容,或者含有党旗、党徽、国旗、国歌、国徽等党和国家象征和标志的,应当依照法律、行政法规和国家有关规定从严核验。 「中国」「中華」「中央」「国」「州」などを含むアカウント情報の場合 「国」などの内容、または党旗、党章、国旗、国歌、国章などの党と国家のシンボルと紋章を含むものは、法律、行政法規および国家の関連規定に従って厳格に検証しなければならない。
互联网信息服务提供者应当采取必要措施,防止被依法依约关闭的账号重新注册;对注册与其关联度高的账号信息,应当对相关信息从严核验。 インターネット情報サービス提供者は、法令に基づき、契約に基づき、閉鎖されたアカウントの再登録を防止するために必要な措置を講じ、関連性の高いアカウント情報の登録については、関連情報を厳格に確認しなければならない。
第十一条 对于互联网用户申请注册提供互联网新闻信息服务、网络出版服务等依法需要取得行政许可的互联网信息服务的账号,或者申请注册从事经济、教育、医疗卫生、司法等领域信息内容生产的账号,互联网信息服务提供者应当要求其提供服务资质、职业资格、专业背景等相关材料,予以核验并在账号信息中加注专门标识。 第11条 インターネットニュース・情報サービス、オンライン出版サービス、その他のインターネット情報サービスを提供するアカウントの登録を申請するインターネット利用者で、法律により行政許可を取得する必要がある場合、または経済、教育、医療、司法分野の情報コンテンツ制作に従事するアカウントの登録を申請する場合、インターネット情報サービス提供者は、サービス資格、職業資格、職業経歴、その他の関連資料を提出させ、検証を行い、アカウント情報に特別なマークを付加する。
第十二条 互联网信息服务提供者应当在互联网用户账号信息页面展示合理范围内的互联网用户账号的互联网协议(IP)地址归属地信息,便于公众为公共利益实施监督。 第12条 インターネット情報サービス提供者は、公共の利益のために公衆の監督を容易にするため、インターネット利用者アカウントのインターネットプロトコル(IP)アドレスの帰属に関する情報を合理的な範囲内でインターネット利用者アカウント情報ページに表示しなければならない。
第十三条 互联网信息服务提供者应当在互联网用户公众账号信息页面,展示公众账号的运营主体、注册运营地址、内容生产类别、统一社会信用代码、有效联系方式、互联网协议(IP)地址归属地等信息。 第13条 インターネット情報サービス提供者は、インターネット利用者アカウントの公開アカウント情報ページに、公開アカウントの運営主体、登録運営アドレス、コンテンツ制作区分、統一社会信用コード、有効連絡先、インターネットプロトコル(IP)アドレス帰属に関する情報を表示しなければならない。
第三章 账号信息管理 第三章 アカウント情報の管理
第十四条 互联网信息服务提供者应当履行互联网用户账号信息管理主体责任,配备与服务规模相适应的专业人员和技术能力,建立健全并严格落实真实身份信息认证、账号信息核验、信息内容安全、生态治理、应急处置、个人信息保护等管理制度。 第14条 インターネット情報サービス提供者は、インターネット利用者のアカウント情報の管理について、サービス規模に見合った専門人材と技術能力を備え、健全かつ実在する身分情報認証、アカウント情報確認、情報コンテンツセキュリティ、エコシステムガバナンス、緊急処理、個人情報保護等の管理システムを構築し、厳格に実施しなければならない。
第十五条 互联网信息服务提供者应当建立账号信息动态核验制度,适时核验存量账号信息,发现不符合本规定要求的,应当暂停提供服务并通知用户限期改正;拒不改正的,应当终止提供服务。 第15条 インターネット情報サービス提供者は、アカウント情報の動的検証システムを構築し、適時に株式アカウント情報を検証し、本規定の要件を満たさないことが判明した場合、サービスの提供を停止して訂正期限を通知し、訂正を拒否した場合、サービスの提供を停止する。
第十六条 互联网信息服务提供者应当依法保护和处理互联网用户账号信息中的个人信息,并采取措施防止未经授权的访问以及个人信息泄露、篡改、丢失。 第16条 インターネット情報サービス提供者は、インターネット利用者のアカウント情報に含まれる個人情報を法令に従って保護し、取り扱うとともに、個人情報への不正アクセスや漏洩、改ざん、紛失を防止するための措置を講じなければなりらない。
第十七条 互联网信息服务提供者发现互联网用户注册、使用账号信息违反法律、行政法规和本规定的,应当依法依约采取警示提醒、限期改正、限制账号功能、暂停使用、关闭账号、禁止重新注册等处置措施,保存有关记录,并及时向网信等有关主管部门报告。 第17条 インターネット情報サービス提供者は、インターネット利用者が登録、法律、行政法規、この規定に違反してアカウント情報を使用することが判明し、警告と注意を取るものと、期間内に修正、アカウントの機能を制限し、使用を停止、アカウントを閉じ、再登録と法律に従って他の処分措置を禁止し、関連の記録を保存し、速やかにインターネット情報などの関係主務部門に報告します。
第十八条 互联网信息服务提供者应当建立健全互联网用户账号信用管理体系,将账号信息相关信用评价作为账号信用管理的重要参考指标,并据以提供相应服务。 第18条 インターネット情報サービス提供者は、インターネット利用者アカウントの与信管理システムを構築・改善し、アカウント情報に関連する信用評価をアカウントの与信管理のための重要な参考指標とし、それに応じたサービスを提供しなければならない。
第十九条 互联网信息服务提供者应当在显著位置设置便捷的投诉举报入口,公布投诉举报方式,健全受理、甄别、处置、反馈等机制,明确处理流程和反馈时限,及时处理用户和公众投诉举报。 第19条 インターネット情報サービス提供者は、便利な苦情申告ポータルを目立つ位置に設置し、苦情申告方法を公開し、受付、審査、処分、回答などの仕組みを改善し、処理プロセスと回答期限を明確にし、利用者と公衆の苦情を適時に処理しなければならない。
第四章 监督检查与法律责任 第四章 監督・検査と法的責任
第二十条 网信部门会同有关主管部门,建立健全信息共享、会商通报、联合执法、案件督办等工作机制,协同开展互联网用户账号信息监督管理工作。 第20条 ネットワーク情報部門は、関連主管部門と連携し、情報共有、協議・通知、共同法執行、事件監督などの作業メカニズムを構築・改善し、共同でインターネット利用者のアカウント情報の監督・管理を実施しなければならない。
第二十一条 网信部门依法对互联网信息服务提供者管理互联网用户注册、使用账号信息情况实施监督检查。互联网信息服务提供者应当予以配合,并提供必要的技术、数据等支持和协助。 第21条 ネットワーク情報部門は、インターネット情報サービス提供者がインターネット利用者のアカウント情報の登録と利用を管理することについて、監督と検査を実施する。 インターネット情報サービス提供者は、協力し、必要な技術、データその他の支援および援助を提供しなければならない。
发现互联网信息服务提供者存在较大网络信息安全风险的,省级以上网信部门可以要求其采取暂停信息更新、用户账号注册或者其他相关服务等措施。互联网信息服务提供者应当按照要求采取措施,进行整改,消除隐患。 インターネット情報サービス提供者がネットワーク情報セキュリティのリスクが高いと判断された場合、省クラス以上のネットワーク情報部門は、情報更新、利用者アカウント登録などの関連サービスを停止する措置を取るよう求めることができる。 インターネット情報サービス提供者は、要求事項に従って、隠れた危険の是正と除去のための措置を講じなければならない。
第二十二条 互联网信息服务提供者违反本规定的,依照有关法律、行政法规的规定处罚。法律、行政法规没有规定的,由省级以上网信部门依据职责给予警告、通报批评,责令限期改正,并可以处一万元以上十万元以下罚款。构成违反治安管理行为的,移交公安机关处理;构成犯罪的,移交司法机关处理。 第22条 インターネット情報サービス提供者がこの規定に違反したときは、関係法令及び行政法規の定めるところにより、これを罰することができる。 法律と行政法規に規定がない場合、省レベル以上のネットワーク情報部門は、その職務に基づき、警告、通報、批判を行い、一定期間内に是正を命じ、1万元以上10万元以下の罰金を科することができる。 公安管理違反に該当する場合は公安機関に移送して処理し、犯罪に該当する場合は司法機関に移送して処理するものとします。
第五章 附则 第五章 附則
第二十三条 本规定下列用语的含义是: 第23条 この規定における次の用語の意義は、次のとおりとする。
(一)互联网用户账号信息,是指互联网用户在互联网信息服务中注册、使用的名称、头像、封面、简介、签名、认证信息等用于标识用户账号的信息。 (1) インターネット利用者アカウント情報。インターネット利用者がインターネット情報サービスに登録し、利用する利用者アカウントを識別するための名前、アバター、カバー、プロフィール、署名、認証情報その他の情報を意味する。
(二)互联网信息服务提供者,是指向用户提供互联网信息发布和应用平台服务,包括但不限于互联网新闻信息服务、网络出版服务、搜索引擎、即时通讯、交互式信息服务、网络直播、应用软件下载等互联网服务的主体。 (2) インターネット情報サービス提供者。インターネットニュースおよび情報サービス、オンライン出版サービス、検索エンジン、インスタントメッセージ、双方向情報サービス、ライブウェブキャスティング、アプリケーションソフトウェアのダウンロードおよびその他のインターネットサービスを含むがこれらに限定されない、インターネット情報出版およびアプリケーションプラットフォームサービスを利用者に提供する主体を意味する。
第二十四条 本规定自2022年8月1日施行。本规定施行之前颁布的有关规定与本规定不一致的,按照本规定执行。 第24条 本規定は、2022年8月1日から施行する。 本規定の施行前に公布された関連規定がこの規定と矛盾する場合には、本規定に従って実施されるものとする。

 

1_20210612030101

専門家のコメントについては、、、

↓↓↓

Continue reading "中国 国家サイバースペース管理局が「インターネット利用者アカウント情報管理規定」を公布 (2022.06.27)"

| | Comments (0)

2022.07.16

経済産業省 令和3年度委託調査報告書(サイバーセキュリティ関係) 2022.07.14現在

こんにちは、丸山満彦です。

経済産業省が、令和3年度に委託調査をしたものの報告書一覧がありますが、それが2022.07.14に更新されて、サイバーセキュリティ関連の報告書が公開されていましたので、紹介です。。。

どの課が、どの事業予算で委託し、どの事業者が受託したかがわかります。金額も合わせて一表でわかると良いのにね。。。

 

経済産業省1_20220705055701

・[PDF] 令和3年度 委託調査報告書 HP掲載一覧

20220716-70750

 

2022.07.14公表分...

・2022.07.14 企業におけるサプライチェーンのサイバーセキュリティ対策に関する調査 調査報告書

20220716-70853


4.調査結果のまとめ 現状の課題

1 企業におけるリスク認識・対策

【リスク認識、攻撃被害の状況】
 企業は取引先等を経由したサイバー攻撃(Emotet、ランサムウェア、不正アクセス等)の被害影響のリスクを認識しており、実際に影響を受けているケースも多い
 業界・企業ごとにサプライチェーンの構造・特徴(商材、顧客、活動地域、利用するITサービス等)は異なり、特定・対処するリスクも様々
【取引先等への要請】
 多くの企業は、秘密保持、資産の取扱い、再委託の禁止等、自社で定める基準の適合を求めているが、推奨セキュリティ設定や、特定のサービス導入まで要求しているケースは少ない
 対策費用の負担、業種・規模・環境・意識レベル等の違い、自社と取引先等との関係性(力関係、取引への影響の懸念)から、サイバーセキュリティに関する要請を行いにくいと考える企業が多い
 取引先が多岐に渡り個別に対応する負荷が大きいため、各社への対応が十分に実施できない

2 企業における情報共有、攻撃被害の報告・公表

 取引先等がサイバー攻撃の被害を受けた際の報告・連絡手順、対応窓口が明確化されていない企業も多い
 IPAやJPCERT/CC等の公的機関から情報収取を実施する企業は多いが、専門家の活用や、情報収集コミュニティを通じた情報取得を実施する企業は一部に留まる
 サイバー攻撃の被害について、個人情報の流出や事業停止といった重大な影響が生じない場合、外部に公表しない企業が多い

3 国等の支援制度

 「中小企業の情報セキュリティ対策ガイドライン」の活用・認知は比較的進んでいる一方、「サイバーセキュリティお助け隊サービス」「SECURITY ACTION」は5割前後の認知に留まる
 補助金制度の拡大、強制力を伴う制度の導入、規模の小さい企業向けや特定のテーマに焦点化したガイドラインの提供等のニーズがある

4.調査結果のまとめ 優良事例・取組みの方向性

1 普及させるべき取組みの優良事例

【共通】
 取引先等の実態や調達するサービス・商材に応じたリスク評価と対策(自社基準、認証制度等の活用)
【仕入・外注・委託先等】
 業界団体・協議会等による、基準の策定やプラクティスの収集とその普及・啓発
 委託先等に提供する業務システム(プラットフォーム)を通じた情報提供、教育、アセスメント
 セキュリティ強化のための費用の一部負担
【グループ会社/海外拠点】
 グループポリシーの適用(海外拠点の場合等、実態に応じた適用)
 KPIの制定と経営層を含む定期的な会議体運営を通じたPDCA
 対策費用の一部負担、本社からの稼働提供によるサポート
 本社経営層主導での対策の強化

2 企業における情報共有の認識、今後の在り方

【情報収集・共有】
 IPA、JPCERT等の専門機関、業界団体・コミュニティ(ISAC等)を通じた情報収集・共有
 取引先等への情報共有の方針の検討
【攻撃被害の公表】
 平時における、攻撃被害の外部公表方針の検討、及びステークホルダーとの共有

3 企業、国、民間団体等が講ずべき措置の方向性

【企業等】
 業界団体・協議体等の働きかけによるベースラインの構築と定着
【国、自治体、関係機関等】
 補助金の拡充
 ガイドラインの提供
 相談・情報提供等の窓口の一元化


 

・2022.07.14 サイバーセキュリティ法制度の国際動向等に関する調査 報告書 

20220716-71018

別紙1が読み応えありますね。。。


1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. サイバーセキュリティに関する諸外国の法制度や官民の取組等に関する調査
2.1 ランサムウェアに関する法制度や取組
 2021年4月以降のランサムウェア関連調査
 サイバーインシデントに関する報告
2.2 諸外国におけるサイバーセキュリティに関する取組
 諸外国における中小企業向けのガイドライン・ツール・認証制度等の比較
 諸外国における政府(国)のサイバー保険普及策の有無
 EU 諸国におけるソフトウェアのセキュリティ確保に向けた取組(SBOM 等)に関する調査

3. サプライチェーンを支える基盤インフラ技術に関する調査
3.1 基盤インフラ技術の最新動向
 基盤インフラ技術の全体像
 基盤インフラ実現に向けた政策動向
 基盤インフラを構成する基盤ソフトウェアの課題
3.2 基盤インフラ技術に関して求められる政策の検討
 有識者会合(持ち回り会合)の実施

4. 総括

別紙 1 現代のサイバーセキュリティの法的課題についての国際的な研究に関する調査


 

 

・2022.07.14 ビルシステムのサイバーセキュリティ高度化に向けた調査 報告書 

20220716-71146


1. はじめに
1.1 調査背景・目的
1.2 調査実施概要

2. ビルガイドラインの高度化のための調査
2.1 ビルの空調設備システムの対応策に関する調査
2.2 共通ガイドラインの拡充に向けた調査
 インシデントレスポンスに対する要求の整理
 現在のガイドラインへの追加情報の充実化
 ビルシステム及び関連するシステムへの攻撃事例の収集

3. ビルシステムのサイバーセキュリティ推進体制の調査
3.1 推進体制の情報提供・共有・相談等の機能の実践的評価
3.2 推進体制のあり方の調査

4. 検討会の運営
4.1 ビルSWGの運営
 第12回ビル SWG の運営
 第13回ビル SWG の運営
4.2 作業グループの運営
 小グループ検討会(空調編作業グループ)の実施
 小グループ検討会(インシデントレスポンス作業グループ)の実施
 小グループ検討会(情報共有・推進体制ディスカッション)の実施

5. 総括


 

 

・2022.07.14 サイバー・フィジカル・セキュリティ対策フレームワークの実装・推進に関する調査 調査報告書

20220716-71247


エクゼクティブサマリー

  • 経済産業省では、サイバー空間とフィジカル空間を高度に融合させることにより、多様なニーズにきめ細かに対応したモノやサービスを提供し、経済的発展と社会的課題の解決を両立する超スマート社会「Society5.0」の実現へ向けて様々なデータの「つながり」から新たな付加価値を創出していく「Connected Industries」という概念を提唱し、その実現に向けた取り組みを推進している。「つながる」ことによるネットワーク化の進展は、悪意のある者にとって新たな攻撃の機会ともなっていくおそれがあるため、各企業におけるサイバーセキュリティ対策に加えて、サプライチェーン全体としてサイバーセキュリティ確保に向けて取り組む必要がある。また、サイバー攻撃は国境を越えて行われるものであり、米欧各国等との連携を強化し、我が国の取り組みを積極的に国際標準に提案するなど、国際ハーモナイゼーションを確保していくことを常に視野に入れた取り組みを進めていく必要がある。
  • このような背景を踏まえ経済産業省では、平成 29 年 12 月に産業界を代表する経営者、インターネット時代を切り開いてきた学識者等から構成される「産業サイバーセキュリティ研究会」(以下、「研究会」という。)を立ち上げた。サプライチェーンのサイバーセキュリティ強化に向けては、「制度・技術・標準化」WG にて、「Society5.0」における新たな形のサプライチェーンに求められるセキュリティ対策の全体像を整理した「サイバー・フィジカル・セキュリティ対策フレームワーク」(以下、「CPSF」という。)を平成 31 年 4 月に策定した。CPSF では、「Society5.0」における産業社会を3つの層(企業間のつながり(第1層)、フィジカル空間とサイバー空間のつながり(第2層)、サイバー空間におけるつながり(第3層))に整理し、セキュリティ確保のための信頼性の基点の明確化を行った。加えて、産業分野共通の課題を検討する分野横断 SWG、タスクフォース(以下、「TF」という。)等を立ち上げ、それぞれの課題に応じた検討を並行して進めている。
  • CPSF では、サイバー空間とフィジカル空間が高度に融合した産業社会の中で、サイバー空間とフィジカル空間の境界で交換される情報が正確に転換されること、つまり境界上における“転写”という役割に焦点を当て、第 2 層の信頼性の基点を転写機能とした上で、転写機能の信頼性を確保するための対策要件及び対策例を提示しているが、転写機能を担う IoT 機器等の多様性やインシデントが発生した場合の被害の複雑化等も踏まえ、IoT 機器等に求められるセキュリティ対策やリスクアセスメントの考え方等について更なる検討が必要である。そこで、令和 2 年 11 月に、サイバー空間とフィジカル空間をつなぐ新たな仕組みによってもたらされる新たなリスクに着目し、リスク形態及びそうしたリスクに対応するセキュリティ・セーフティ対策の類型化の手法を提示する「IoT セキュリティ・セーフティ・フレームワーク」(以下、「IoTSSF」という。)を策定した。
  • サプライチェーンのサイバーセキュリティ強化に向けては、各国政府においても取り組みが行われている状況下で、日本が国際的なサイバーセキュリティ対策のルールメイキングに主導的な役割を担えるようになるためにも、日本からサイバーセキュリティ対策の枠組みを提案することが重要である。
  • 本事業では、研究会及び各 WG 等の議論を踏まえ、各国政府の取り組みやその他国内外のセキュリティ等に関する文献等を調査し、サイバー空間におけるつながりの信頼性及びIoT機器等の転写機能の信頼性を確保するための対策要件等の検討及び CPSF 等に基づく国際規格(TR等を含む。)の推進を目的として実施した。
  • 本事業項目(1)「サイバー空間におけるつながりの信頼性及び IoT 機器等の転写機能の信頼性を確保するための対策要件等に関する動向等についての調査」では、IoT 機器等の転写機能の信頼性を確保するために求められる標準化団体、業界団体及び外国政府の取り組み等や IoT 機器等のセキュリティ対策、及びそれらの信頼性の確認手法等について、公開情報等を調査し整理した。また、一連の IoT-SSF の適用の流れを複数のユースケースを用いて例示するユースケース集を検討し、事業期間中開催された TF 等の議論の内容を反映して、「IoT セキュリティ・セーフティ・フレームワーク Version 1.0 実践に向けたユースケース集」としてまとめた。
  • サイバー空間におけるつながりの信頼性を確保するために求められる標準化団体、業界団体及び外国政府の取り組み等やデータのセキュリティ対策及びそれらの信頼性の確認手法等について、公開情報等を調査し整理した。また、事業期間中 2 回実施したパブリックコメントでいただいた意見や、TF 等での議論の内容を反映し、「協調的なデータ利活用に向けたデータマネジメント・フレームワーク~データによる価値創造の信頼性確保に向けた新たなアプローチ」としてまとめた。
  • 本事業項目(2)「CPSF 等に基づく国際規格(TR 等を含む。)の推進」においては、CPSF をベースにした国際標準化を推進することを目的として、推進に必要な諸外国の政府又は政府関連機関、業界団体、標準化団体等によるルール形成の取り組み状況等の調査や、ISO/IEC及びそれに関連する会議等における必要な働きかけの実施、CPSF 等に基づく国際規格(案)の作成等を実施した。
  • 具体的には、国際規格策定に向けた検討のロードマップを策定し、適宜必要な文献調査等を実施しつつ、サイバーセキュリティに関する国際規格の策定や維持管理を担う ISO/IEC JTC1/SC 27/WG 4 (セキュリティコントロールとサービス)の国内エキスパートと連携して本件に係る国際規格策定プロジェクトの提案及び PWI(予備業務項目)、NWIP(新規作業項目提案)としてのプロジェクト推進、その他必要に応じて国内外の関係者との意見交換を行った。CPSF をベースにした国際標準の実現に向けては、2022 年度以降も、本調査を通じて策定されたロードマップや識別された推進上の課題等を参照して、ISO/IEC JTC 1/SC 27/WG 4 におけるプロジェクトを効果的に推進していくことが期待される。

 

過去分...

・2022.06.24 熱供給事業のサイバーセキュリティ対策に関する調査事業 報告書

20220716-71507

・2022.06.17 北海道におけるサイバーセキュリティコミュニティ強化に向けた調査 調査報告書

20220716-71552

・2022.06.17 宇宙産業におけるサイバーセキュリティ対策に関する調査 調査報告書

20220716-72602

 

・2022.05.25 電力分野のサイバーセキュリティ対策 のあり方に関する詳細調査分析 報告書

20220716-72345

・2022.04.06 令和3年度四国地域の中小企業サイバーセキュリティ対策促進事業 調査報告書(公表用)

20220716-72450

 



 

 

| | Comments (0)

2022.07.15

個人情報保護委員会 第209回 個人情報保護委員会議案 尼崎市USBメモリ紛失事案の対応方針について

こんにちは、丸山満彦です。

第209回 個人情報保護委員会の議案が公開されていて、その中に資料2として、[PDF]「尼崎市USBメモリ紛失事案の対応方針について」が別紙と共に公開されていますね。。。

USBメモリ対策ですが、経済産業省の最初のガイドラインを作る際の委員をしていた頃(2003年頃?)から大きな変更がないですね。。。それはそうで、USBメモリという物理的なものについての大きな変化がないから、、、当時からUSBメモリを暗号化するという機能がついていたものもあったのですが、そういうものだけにするわけにもいかず、USBの利用を禁止するということも考えられたのですが、セキュリティのため?にインターネットにつなげていないシステムもあり、そのシステムとデータのやり取りするためには、どうしてもUSBメモリが必要という話もあり、、、

難しいですね。。。

 

・資料2 [PDF] 尼崎市USBメモリ紛失事案の対応方針について 

20220715-65927


2 委員会の対応方針(案)

本件は、広く報道等で取り上げられ国民の関心が高い上、関係者も単体ではないことから、個別の事業者であるビプロジー社への対応にとどまらず、事業者全体に対し、広く注意喚起を行いつつ、総務省と連携の下、地方公共団体に対しても、来年度の地方公共団体等を対象とした改正後の個人情報の保護に関する法律(平成 15 年法律第 57 号。以下「個情法」という。)の施行を見据えた取組を促していくなど、関係先全体に対して、包括的な対応を行っていく方針としたい。

地方公共団体及び事業者全体に対しては、速やかな対応を要するため、地方公共団体へは既に以下(1)の対応を実施済みであり、事業者全体へは、本委員会後に以下(2)アの対応を実施したい。

ビプロジー社等に対しては、今後、以下(2)イ及びウの対応を実施することとしたい。

(1)実施済の対応

地方公共団体全体に対しては、総務省とも連携し、地方公共団体向けに、改正個情法の来年度施行を見据えた安全管理措置並びに漏えい等報告及び本人通知の義務化への対応について記載した「(別紙1)個人情報保護法の施行に伴う地方公共団体等における安全管理措置等の対応について(通知)」を、6月 24 日に発出済。

(2)今後実施予定の対応

事業者全体に対しては、USB メモリ等電子媒体での個人情報の管理及びその管理方法等の規律に関する従業員・委託先事業者等への遵守徹底についての注意ポイントを記載した「(別紙2)USB メモリ紛失事案を受けた個人データの適正な取扱いについて(注意喚起)(案)」を、委員会ウェブサイト等で公表する方法での注意喚起を行うこととしたい。

ビプロジー社に対しては、事実関係の把握に必要な資料の確認及びヒアリングを実施し、確認された問題点に応じて、個情法第 144 条に基づく行政指導等の要否を検討する。

尼崎市に対しては、地方公共団体等を対象とする改正個情法の施行前であり、現時点では委員会が監視権限を有していないものの、任意ヒアリングにより、ビプロジー社との委託関係及び住民税非課税世帯等に対する臨時給付金支給事務における個人情報の取扱いに関するルール等を確認し、必要に応じて、同市の個人情報の適正な取扱いに係る情報の提供等の支援を行うこととしたい。


 

 ・別紙1 [PDF] 6月24日発出 地方公共団体向け通知

20220715-70006

 ・別紙2 [PDF] USBメモリ紛失事案を受けた個人データの適正な取扱いについて(注意喚起)

20220715-70030

 

 

 

 

| | Comments (0)

個人情報保護委員会 「個人情報保護法の基本」

こんにちは、丸山満彦です。

個人情報保護委員会は最近わかりやすい資料をたくさん作成し、公表していますが、[PDF] 「個人情報保護法の基本」が公表されていますね。。。

 

● 個人情報保護委員会

・2022.07.13 「個人情報保護法の基本」を掲載しました。

・[PDF] 個人情報保護法の基本

20220715-64431

目次的なもの...

1-1.個人情報保護委員会とは
1-2.個人情報保護法の目的・概要
1-3.個人情報保護法の全体像

2-1.「個人情報」 (法第2条第1項関係)
2-2.「個人識別符号」(法第2条第2項関係)
2-3.「要配慮個人情報」 (法第2条第3項関係)
2-4.「仮名加工情報」 (法第2条第5項関係)
2-5.「匿名加工情報」 (法第2条第6項関係)
2-6.「個人関連情報」 (法第2条第7項関係)
2-7.「個人情報取扱事業者」(法第16条第2項関係)
2-8.適用除外(法第57条関係)
2-9.「個人データ」「保有個人データ」(法第16条第3・4項関係)

3-1.民間事業者に提供される規律について
3-2.事業者が守るべきルール① - 取得・利用
3-2.事業者が守るべきルール② - 保管・管理
3-2.事業者が守るべきルール③ - 第三者提供(1)
3-2.事業者が守るべきルール③ - 第三者提供(2)
3-2.事業者が守るべきルール③ - 第三者提供(3)
3-2.事業者が守るべきルール④ - 公表事項・開示等請求
3-2.事業者が守るべきルール⑤ - 漏えい等報告等の義務化

4.令和2年改正法と令和3年改正法

 

| | Comments (0)

個人情報保護委員会 中小規模事業者の安全管理措置に関する実態調査 分析結果 (2022.06.27)

こんにちは、丸山満彦です。

個人情報保護委員会が、[PDF] 「中小規模事業者の安全管理措置に関する実態調査 分析結果を発表していましたね。。。

 

実施時期は、改正法施行前で、令和4年2月4日から3月7日までに 5,232 件を回収(回収率 17%)。

回答企業の前年度売上金額の内訳「1億円以下」58% 「1億円超5億円以下」26% 「5億円超」10%(無回答6%)ということなんですが、安全管理措置に要したコストは、年間で「10万円以下」とする事業者が6割、「10万円超~100万円以下」が2割超であり、「100 万円超~」は僅少(3%)ということです。。。

この調査、毎年実施して、継続的な変化を見たほうが良いかもですね。。。個人情報保護法が施行され15年以上たち、サイバーセキュリティの脅威がテレビでも普通に流されるようになって、これですからね。。。(私も小さな喫茶店を持っているので、中小企業の懐事情もわかるし、生き残れるかどうかの瀬戸際で頑張っている企業も多いのはわかっているのですが、、、)

そして、個人情報保護委員会のウェブページを見たことがない企業が約9割!!!(良い資料を公開しているのだが...)

 

個人情報保護委員会

・2022.06.27 中小規模事業者の安全管理措置に関する実態調査結果等を掲載しました。

・[PDF] 中小規模事業者の安全管理措置に関する実態調査 分析結果

20220715-60454

1.個人情報の保有状況

・中小規模事業者(従業員 100 人以下)を対象としているが、顧客情報1万人超の事業者も一部(4%)存在する。

・保有する個人情報の内容をみると、基本4情報(氏名、生年月日、性別、住所)は6~9割、電話番号は9割と、高い比率で保有されている。メールアドレス、銀行口座情報は4割、マイナンバー、健康状態(健康診断情報を含む)は3割の比率で保有されている。



2.個人情報保護に関する取組み

・個人情報の取扱いに関する課題について、中小規模事業者の4割が、そもそも「何をしてよいかわからない」としており、また、「個人情報保護法の理解不足」を課題とする事業者も4割にのぼった。一部(2割)の事業者が「電子化による管理の難易度の上昇」を課題として挙げているが、こうした環境変化にもかかわらず、限られた経営リソースの下で、十分な体制整備ができていない状況がうかがわれる。

・個人情報保護に関する担当者を設置していない事業者が、過半を占めている。

・個人情報の管理にあたり参考にしているものとして、「法令・ガイドライン」(6割)のほか、「弁護士、税理士、コンサルティング業者に相談」が3割、「商工会議所、認定団体等の民間事業者主催説明会」と「親会社・グループ企業からの通達等」がそれぞれ1割。

・「弁護士、税理士、コンサルティング業者に相談」と回答した事業者の具体的な相談先として、税理士が最も多く(8割)、次いで社会保険労務士の比率も高く(4割)、何れも弁護士の比率(2割)を上回っている。因みに、以前に実施した大企業に対する調査結果(個人データの取扱いに関する責任者等についての実態調査 報告書(令和3年3月実施))では、外部有識者との連携先として、弁護士を挙げる先が最も多く(2割超)、税理士、社会保険労務士とも僅少(2%、7%)にとどまっている。中小規模事業者にとって税務や社会保険などで密接な関係性を有する税理士および社会保険労務士に対して、専門分野に限らず、個人情報の管理等についても相談が寄せられていることがうかがわれる。

・なお、個人情報保護委員会では、令和3年度において、税理士及び社会保険労務士に対し、日本税理士会連合会及び全国社会保険労務士会連合会を通じて、クライアントである事業者への漏えい等報告制度の周知依頼を行っており、今後も、こうした連携を図っていくことが有効と考えられる。

・安全管理措置に要したコストは、年間で「10万円以下」とする事業者が6割、「10万円超~100万円以下」が2割超であり、「100 万円超~」は僅少(3%)にとどまっている。経営リソースに限りのある中小規模事業者においては、個人情報保護委員会からも有益な情報提供を行うことなどにより個人情報の保護への取組みを支援していくことが必要と考えられる。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P3

 

3.改正法と漏えい等への対応


・ 改正個人情報保護法について、予定を含めて対応すると回答した中小規模事業者は3割に満たず、「改正したことや改正内容を知らない」事業者が4割、「改正内容は把握しているが何をしてよいかわからない」事業者が1割であり、多くの事業者が改正法に対応できていないことがうかがわれる。

・ 改正法により漏えい等報告が義務化されたことについて、「知らなかった」とする事業者が多くを占めており(75%)、「知っている」と回答した事業者は2割にとどまった。

・ 漏えい等発生時の規程・マニュアルの整備状況について、作成済とする事業者は1割程度にとどまり、「作成する予定であるが1年以内の予定はない」事業者が4割、「今後も作成する予定はない」事業者が4割を占めている。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P5

 

4.不正アクセス


・ 不正アクセスを受けたことがある中小規模事業者は、一部(3%)ではあるが、被害状況としては「システム等の停止」が多く、次いで「データの改ざん」、「クレジットカード情報漏えい」が挙がっている。

・ 不正アクセスの原因として、「システムの脆弱性に起因するもの」のほか、「フィッシングメール」、「セキュリティソフトを導入していなかった」、「パスワードの設定不備」などが挙がっている。これらは、何れも情報セキュリティの基本的な対策(システム機器の OS やソフトを最新の状態にすること、ウイルス対策ソフトの導入、ウイルス定義ファイルを最新の状態にすること、従業員に対する教育・注意喚起など)により回避で
きたものとみられる。

・ また、不正アクセスの被害を受けたにもかかわらず原因不明としている割合が3割と多く、中小規模事業者における情報セキュリティに関する分析・調査のノウハウが十分でないことがうかがわれる。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P6

 

5.ECサイト等の運営状況


・ECサイトを運営している中小規模事業者の割合は1割。このうち、ECサイトの開発方法について、「外部事業者に委託(オープンソースの EC サイト構築用プログラムなどでの構築を含む)」している事業者が半数程度を占めており、保守・運用についても、外部事業者に委託している事業が半数程度(そのうち大半が開発を行った事業者と同じ外部事業者を使用)を占めている。

・インシデント発生時の対応として、「何かあれば連絡があると思っているので、特にルール等は決めていない」とする事業者が4割と最も多く、自社と委託先との間で、セキュリティ対策に関する責任範囲を理解しておらず、認識合わせ・合意をしていないECサイト運営事業者が、大半であるとみられる。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P7

 

6.個人情報保護委員会への要望等


・個人情報保護委員会は、広報・啓発活動として、事業者への講師派遣や多面的な情報発信、ハンドブック等のホームページ掲載などの広報・啓発活動に努めている。

・この点、個人情報保護委員会のホームページを閲覧したことがあるとする事業者は1割未満にとどまっている。一方で、中小規模事業者側からは、個人情報保護委員会への要望として、資料の充実(分かりやすいパンフレット、具体的でわかりやすい対策やマニュアルなど)、説明会・研修会の実施などが挙がっている。

・こうした中小規模事業者の期待に応えていくために、上述の個人情報保護委員会からホームページなどにより提供している中小規模事業者の個人情報保護に関する理解に資する資料を、しっかりと周知していくとともに、さらなる資料の有用性の向上(改正法の内容を遅滞なく反映するほか、より分かりやすい解説にするなど)を図っていくことが肝要。


出典:中小規模事業者の安全管理措置に関する実態調査 分析結果 P8

 

個人情報保護委員会のウェブページを見たことがない企業が約9割ですから、ウェブページへのコンテンツの充実も重要ですが、まずは見てもらえる施策が必要なんでしょうね。。。

研修会の実施も記載されていますが、、、中小企業がよくみるWebページに個人情報保護委員会の資料をリンクしてもらうとか、、、そんなことも考えないとですね。。。

 

| | Comments (0)

個人情報保護委員会 株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について

こんにちは、丸山満彦です。

個人情報保護委員会が、株式会社メタップスペイメントに対し、個人情報の保護に関する法律第 144 条に基づく指導を行ったと発表していますね。。。

個人情報保護委員会


・2022.07.13 株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について(令和4年7月13日)

・[PDF] 株式会社メタップスペイメントに対する個人情報の保護に関する法律に基づく行政上の対応について [downloaded]

20220715-53440

 

e-Gov - 法令検索

個人情報の保護に関する法律


第六章 個人情報保護委員会
第二節 監督及び監視
第一款 個人情報取扱事業者等の監督
(指導及び助言)
第百四十四条 委員会は、第四章の規定の施行に必要な限度において、個人情報取扱事業者等に対し、個人情報等の取扱いに関し必要な指導及び助言をすることができる。

 

メタップスペイメント

・2022.07.14 個人情報保護委員会からの指導について [DOCX] 文面

 

 


メタップスペイメントによる発表

・2022.07.14 個人情報保護委員会からの指導について [DOCX] 文面

・2022.07.01 不正アクセスによる情報流出に関する対応状況について [DOCX] 文面

 ・2022.07.01 [PDF] 第三者委員会調査報告書(公表版) [downloaded]

・2022.07.01 行政処分に関するお知らせ [DOCX] 文面

・2022.05.31 再発防止委員会及び第三者委員会の活動について [DOCX] 文面

・2022.04.28 再発防止委員会の活動の日程について [DOCX] 文面

・2022.02.28 不正アクセスによる情報流出に関するご報告とお詫び [DOCX] 文面

・2022.01.25 不正アクセスに関するご報告とお詫び [DOCX] 文面

 

メタップスによる発表(IRニュース)

・2022.07.01 [PDF] (開示事項の経過)当社子会社における不正アクセスに関するお知らせ [downloaded]

・2022.07.01 [PDF] 当社子会社に対する改善命令について [downloaded]

・2022.02.28 [PDF] (開示事項の経過)当社子会社における不正アクセスに関するお知らせ [downloaded]

・2022.01.25 [PDF] 当社子会社における不正アクセスに関するお知らせ [downloaded]

 

経済産業省

・2022.06.30 クレジットカード番号等取扱業者に対する行政処分を行いました  [DOCX] 文面

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.05 メタップスペイメントに対する行政処分と第三者報告書

 

 

| | Comments (0)

2022.07.14

総務省 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

こんにちは、丸山満彦です。

総務省が、「Web3時代に向けたメタバース等の利活用に関する研究会」を開催するようですね。。。研究会の名前が、すごいですね。。。この委員会で、Web3とかメタバースとか、用語を定義してくれるといいなぁ。。。

総務省

・2022.07.13 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

 

ところで、何をするかですが。。。

目的は、


...総務省では、メタバース等の利活用や、Web3の市場が拡大しつつある中、利用者利便の向上、その適切かつ円滑な提供及びイノベーションの創出に向け、ユーザの理解やデジタルインフラ環境などの観点から、様々なユースケースを念頭に置きつつ情報通信行政に係る課題を整理すること...


で、研究事項は、


 (1)メタバース等の利活用における利用者利便の向上に関連する事項  
 (2)メタバース等のユースケース毎の利活用における課題整理に関連する事項  
 (3)メタバース等の利活用拡大が、デジタルインフラ、社会経済活動、利用者等へ与える影響  
 (4)(1)から(3)に掲げる事項のほか、新たな時代のメタバース等の利活用に関連する事項


一番の課題は、半導体不足や、電力不足。。。かもですね。。。

構成員は、


雨宮 智浩  東京大学大学院情報理工学系研究科 准教授
石井 夏生利  中央大学国際情報学部 教授
出原 立子  金沢工業大学情報フロンティア学部 教授
栄藤 稔  大阪大学先導的学際研究機構 教授
大屋 雄裕  慶應義塾大学法学部 教授
岡嶋 裕史  中央大学国際情報学部 教授
木村 朝子  立命館大学情報理工学部 教授
小塚 荘一郎  学習院大学法学部 教授
是津 耕司  情報通信研究機構ユニバーサルコミュニケーション研究所統合ビッグデータ研究センター 研究センター長
塚田 学  東京大学大学院情報理工学系研究科 准教授
仲上 竜太  日本スマートフォンセキュリティ協会技術部会 部会長
増田 雅史  森・濱田松本法律事務所 パートナー
安田 洋祐  大阪大学大学院経済学研究科 教授


知っている優秀な方が数名、委員になっているので、議論の結果が楽しみです。

 

1_20220714105901

 

| | Comments (0)

横河電機 (YOKOGAWA) 横河技報 IIoT SOCサービス(参考になります。。。)

こんにちは、丸山満彦です。

横河電機 (YOKOGAWA) が計測、制御、情報をテーマに製品や技術に関する情報を広く発信することを目的として、年2回発行している技術情報誌、横河技報に横河電機が提供している、「IT/OT 統合 SOC」に関する論文が掲載されていますね。。。塩崎さんが小泉さんという方と共同で執筆しているようですね。。。

長らく製造業で情報セキュリティ・サイバーセキュリティに関わってきた方なので、とても参考になる内容だと思います!

ITとOTのセキュリティ対応の際に気をつけないといけないポイントを4つ挙げています。

  1. セキュリティの3要素である機密性,完全性,可用性の優先順位の相違
  2. セキュリティ標準規格の違い
  3. 固有のプロトコルへの対応の違い
  4. IT と OT SOC での顧客対応の違い

が4つ目のIT と OT SOC での顧客対応の違いは実務を長らくやってきている方だからこそできる視点で、とても参考になります。

また、グローバルSOC体制も構築されていますね。。。

これらを踏まえて、「4. Yokogawa IT/OT セキュリティのアプローチ」、「5. 今後の取り組み」を読むとさらに理解が進むかもしれません。

これからグローバルSOC体制を構築しようと考えている方、OT SOCを検討されている方、ぜひ一読をお勧めします。そして、塩崎さんはとても気さくな方なので、機会があれば、直接お話を聞いたほうが良いかもですね。。。

今回の特集は他の論文にもセキュリティ関連記事があるので参考になると思います。。。

 

横河電機 - 横河技報2022年横河技報[Vol.65 No.1]IT/OTコンバージェンスサービス 特集

・[PDF] IIoT SOCサービス


   横河電機ではDigital Transformation(DX)の一環としてお客様向けIoT(Internet of Things)クラウドサービス(Yokogawa Cloud)を推進している。DXの推進には強固なセキュリティ対策が不可欠である。そこで社内向けに展開してきたYokogawa Security Operation Center(Y-SOC)のノウハウを活かし,お客様向けIT/OTセキュリティ監視サービスへと発展させ,より安全なDXサービスをご提供している。本稿では,IT/OT Convergenceにおける技術動向について解説した上で,横河電機のIT/OT統合SOCについて事例を通して紹介する。


20220714-73944

 

是非是非...

 

 

| | Comments (0)

NIST NCCoE ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ(ドラフト)

こんにちは、丸山満彦です。

NIST NCCoEが、ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティについてのドラフトを公開し、意見募集をしていますね。。。

注目が集まりつつある、宇宙。。。

NIST - NCCoE

・2022.07.12 (announcements) Hybrid Satellite Networks (HSN) Cybersecurity Draft Annotated Outline

Hybrid Satellite Networks (HSN) Cybersecurity Draft Annotated Outline ハイブリッド衛星ネットワーク(HSN)サイバーセキュリティ草案 注釈付きアウトライン
The objective of this Cybersecurity Profile is to identify an approach to assess the cybersecurity posture of Hybrid Satellite Networks (HSN) systems that provide services such as: このサイバーセキュリティプロファイルの目的は、以下のようなサービスを提供するハイブリッド衛星ネットワーク(HSN)システムのサイバーセキュリティ態勢を評価するアプローチを特定することである。
The HSN systems may interact with other government systems and the Critical Infrastructure as defined by the Department of Homeland Security to provide increased resiliency. This Profile will consider the cybersecurity of all the interacting systems that form the HSN rather than the traditional approach of the government acquiring the entire satellite system that includes the satellite bus, payloads, and ground system. HSNシステムは、他の政府システムおよび国土安全保障省が定義する重要インフラと相互作用し、耐障害性を向上させることができます。このプロファイルでは、政府が衛星バス、ペイロード、地上システムを含む衛星システム全体を取得するという従来のアプローチではなく、HSNを形成するすべての相互作用するシステムのサイバーセキュリティを考慮することになる。
NIST is developing a consistent approach to better understand the attack surface, incorporate security, and achieve greater resilience for space systems that may be leveraged by critical infrastructure owners and operators, the DoD, or other government missions. NISTは、重要インフラの所有者や運用者、国防総省、その他の政府ミッションによって活用される可能性のある宇宙システムに対して、攻撃対象領域をよりよく理解し、セキュリティを組み込み、より高い耐性を実現するための一貫したアプローチを開発している。

 

・[PDF] Hybrid Satellite Networks (HSN) Cybersecurity Draft Annotated Outline

20220714-30145

 

目次...

1 HSN Cybersecurity Profile – Introduction 1 HSN サイバーセキュリティプロファイル - はじめに
1.1 Background 1.1 背景
1.2 Purpose and Objectives 1.2 目的と目標
1.3 Scope 1.3 適用範囲
1.4 Audience 1.4 想定読者
2 How to Use the HSN Cybersecurity Profile 2 HSNサイバーセキュリティプロファイルの使用方法
3 HSN Cybersecurity Profile – Overview 3 HSNサイバーセキュリティプロファイル-概要
3.1 Risk Management Overview 3.1 リスクマネジメントの概要
3.2 Capabilities Overview 3.2 能力の概要
3.2.1 Policies and Procedures 3.2.1 ポリシーとプロシージャ
3.2.2 Security Technical Capabilities Overview  3.2.2 セキュリティ技術能力の概要 
3.3 The HSN Cybersecurity Profile 3.3 HSNサイバーセキュリティプロファイル
3.3.1 Detection of Disruptions to HSN Services  3.3.1 HSNサービスに対する妨害の検出 
3.3.2 Resilience of HSN Services  3.3.2 HSNサービスのレジリエンス(回復力 
References 参考文献

 

イントロダクション...

1  HSN Cybersecurity Profile – Introduction  1 HSN サイバーセキュリティプロファイル - はじめに 
A significant level of  sensing, communications, and PNT capabilities are being provided by the space sector and there is a growing trend toward multi-national/ multi-organizational consortia providing these services. Hybrid Satellite Networks (HSN) present opportunities for organizations to leverage existing space-based capabilities through means such as hosted payloads, however there is a need to ensure that these systems are secure, and the integration of the components are done in a manner that is acceptable to the participating organizations.  宇宙分野では、センシング、通信、PNT の各機能がかなりのレベルで提供されており、これらの サービスを提供する多国籍/多組織のコンソーシアムの傾向も強まってきている。ハイブリッド衛星ネットワーク(HSN)は、ホストペイロードなどの手段により、組織が既存の宇宙ベースの能力を活用する機会を提供するが、これらのシステムが安全であり、参加組織が許容する方法でコンポーネントの統合が行われることを保証する必要性がある。
The HSN cybersecurity profile (hereafter, the Profile) is intended to provide a means to assess and communicate an organization’s cybersecurity posture in a consistent and standardized manner. The Profile applies to;   HSN サイバーセキュリティプロファイル(以下、プロファイル)は、一貫した標準的な方法で組織のサイバーセキュリティ態勢を評価し、伝達する手段を提供することを意図するものである。このプロファイルは、以下に適用される。 
• Organizations that have already adopted the NIST Cybersecurity Framework (CSF) to help identify, assess, and manage cybersecurity risks [NIST CSF];   ・サイバーセキュリティのリスクを特定、評価、管理するためにNISTサイバーセキュリティフレームワーク(CSF)を既に採用している組織[NIST CSF]。 
• Organizations that are familiar with the CSF and want to improve their cybersecurity postures; and  ・CSF を熟知しており、サイバーセキュリティの態勢を改善したいと考えている組織、および
• Organizations that are unfamiliar with the CSF but need to implement HSN services in a risk informed manner through the use of a cybersecurity risk management frameworks.   ・CSF をよく知らないが、サイバーセキュリティリスク管理フレームワークを使用して、リスク に配慮した形で HSN サービスを実装する必要がある組織。
1.1  Background  1.1 背景 
The Space Systems Command (SSC) is charged with acquisition of space-based programs for the U.S. Space Force. This includes acquisition of satellite-based systems for communications, PNT; remote sensing, weather monitoring, and imagery. SSC’s programs are increasing the use of commercial space through means such as hosting payloads on commercial satellites and services to meet mission objectives.   宇宙システム司令部(SSC)は、米国宇宙軍の宇宙ベースプログラムの取得を担当している。これには、通信、PNT、リモートセンシング、気象観測、画像などのための衛星ベースのシステム の取得が含まれる。SSCのプログラムは、ミッションの目的を達成するために、商業衛星やサービスにペイロードをホスティングするなどの手段を通じて、商業宇宙の利用を増やしている。 
In an effort to partner with industry and leverage cybersecurity lessons learned, SSC in collaboration with NIST and the public and private sectors will create the HSN profile.  産業界と提携し、サイバーセキュリティの教訓を活用するため、SSC は NIST と官民の協力の下、HSN プロファイルを作成する予定である。
Throughout the Profile development process, NIST will engage the public and private sectors on multiple occasions to include a request for information, participation in workshops, and comment and review of the draft Profile. The Profile development process is iterative and, in the end state, promotes the risk informed use of Hybrid Satellite Networks.   プロファイルの開発プロセスを通じて、NISTは情報提供の要請、ワークショップへの参加、プロファイルのドラフトに対するコメントやレビューなど、複数の機会に官民セクターを巻き込んでいく予定である。プロファイルの開発プロセスは反復的であり、最終的にはリスク情報に基づいたハイブリッド衛星ネットワ ークの利用を促進するものである。 
1.2  Purpose and Objectives  1.2 目的と目標 
The purpose of the Profile is to provide practical guidance for organizations and stakeholders engaged in the design, acquisition, and operation of satellite buses or payloads that involve HSN.   本プロファイルの目的は、HSN を含む衛星バスやペイロードの設計、取得、運用に携わる組織や関係 者に対して、実用的なガイダンスを提供することである。 
A completed Profile for commercial satellite companies operating in a hybrid environment that includes government and commercial entities will provide for future cybersecurity resilience. The Profile is suitable for applications that involve multiple stakeholders contributing to communications architecture and for other use cases such as hosted payloads. Use of the HSN Profile will help organizations ;  政府及び商業機関を含むハイブリッド環境で活動する商業衛星会社のために完成したプロファイルは、 将来のサイバーセキュリティの強靭性を提供することになる。このプロファイルは、通信アーキテクチャに貢献する複数の関係者が関与するアプリケーションや、ホストされたペイロードのような他のユースケースに適している。HSNプロファイルを使用することにより、組織は以下のことが可能となる。
• Identify systems that provide HSN services;  ・HSNサービスを提供するシステムの特定
• Identify data that originated from HSN sources;  ・HSNソースに由来するデータの特定
• Protect HSN services by adhering to basic principles of resiliency;   ・弾力性の基本原則を遵守することによるHSNサービスの保護
• Detect cybersecurity-related disturbances or corruption of HSN services and data;  ・HSN サービスとデータのサイバーセキュリティ関連の妨害または破損の検出
• Address cybersecurity risk in their management and use of HSN services and data;  ・HSN サービスとデータの管理および使用におけるサイバーセキュリティ・リスクへの対処
• Identify common threats to systems that leverage HSN services and data;   ・HSNサービスとデータを活用するシステムに対する一般的な脅威の特定
• Respond to HSN service or data anomalies in a timely, effective, and resilient manner; and  ・HSN のサービスまたはデータの異常に対して、適時、効果的、かつ回復力のある方法での対応
• Recover the HSN to proper working order at the conclusion of a cybersecurity incident.   ・サイバーセキュリティ事故終了時のHSNの正常な動作状態への回復
1.3  Scope  1.3 適用範囲 
The Profile will document an example architecture for data transport through hybrid satellite networks. The architecture will describe the salient cybersecurity functions that are part of the HSN and may include operational views (OVs) to highlight cybersecurity dependencies.  本プロファイルは、ハイブリッド衛星ネットワークを介したデータ伝送のためのアーキテクチャ例を文書化するものである。このアーキテクチャは HSN の一部である主要なサイバーセキュリティ機能を記述し、サイバーセキュリティの依存関係を強調するために運用ビューを含むことができる。
The Profile will focus on the complex variety of interfaces, data flows, and institutions/actors involved in modern satellite communications networks. The CSF profile is intended to:  プロファイルは、現代の衛星通信ネットワークに関わる複雑で多様なインタフェース、データフロー、機関/アクターに焦点を当てる。CSFプロファイルは、以下を意図している。
• Facilitate integration of HSN components thorough consideration of cybersecurity functions, categories, and subcategories   ・サイバーセキュリティ機能、カテゴリー、サブカテゴリーを十分に考慮したHSNコンポーネントの統合を促進する。
• Assess and communicate cybersecurity posture in a consistent manner • Povide a comprehensive framework to facilitate risk management decisions.  ・一貫した方法でサイバーセキュリティの姿勢を評価し、伝達する - リスク管理の決定を促進するための包括的な枠組みを提供する。
• Facilitate consistent analysis of cyber-risk  ・サイバーリスクの一貫した分析を促進する。
• Communicate cybersecurity posture and priorities in a consistent manner  ・サイバーセキュリティの姿勢と優先順位を一貫した方法で伝える。
The Profile identifies a subset of CSF subcategories that are directly applicable to HSN while giving organizations the flexibility to mitigate cyber risk for their unique environment.  このプロファイルは、HSN に直接適用可能な CSF のサブカテゴリを特定する一方、組織独自の環境 に応じてサイバーリスクを軽減する柔軟性を付与している。
1.4  Audience  1.4 想定読者
This document is intended to be used by those involved in overseeing, developing, implementing, and managing the HSN cybersecurity of systems such as:  この文書は、以下のようなシステムの HSN サイバーセキュリティの監督、開発、実施、管理に携わる 人々の利用を意図している。
• Public and private organizations that provide HSN services;  ・HSN サービスを提供する公共及び民間組織。
• Managers responsible for the use of HSN services;  ・HSN サービスの利用に責任を持つ管理者。
• Risk managers, cybersecurity professionals, and others with a role in cybersecurity risk management for systems that use HSN services;  ・リスク管理者、サイバーセキュリティ専門家、およびHSNサービスを使用するシステムのサイバーセキュリティリスク管理の役割を持つその他の人々。
• Procurement officials responsible for the acquisition of HSN services;  ・HSNサービスの取得に責任を有する調達担当者。
• Mission and business process owners responsible for achieving operational outcomes dependent on HSN services; and  ・HSNサービスに依存する運用成果の達成に責任を負うミッション及びビジネス・プロセス・オーナー。
• Researchers and analysts who study the unique cybersecurity needs of HSN services. ・HSNサービス特有のサイバーセキュリティの必要性を研究する研究者とアナリスト。

 

20220714-24248

 

| | Comments (0)

国際監査・保証基準審議会 「デジタル時代の保証」 (2022.07.01)

こんにちは、丸山満彦です。

国際会計士連盟 (International Federation of Accountants: IFAC) の中に設置されている国際監査・保証基準を設定する機関である国際監査・保証基準審議会 (International Auditing and Assurance Standards Board: IAASB) に議長及びフェローによる「デジタル時代の保証 (Assurance in the Digital Age) という記事が載っているので紹介。。。

日本公認会計士協会のウェブページにも紹介されています。。。

 

International Auditing and Assurance Standards Board: IAASB

Iaasblogo

・2022.07.01 ASSURANCE IN THE DIGITAL AGE by IAASB Chair Tom Seidenstein and IAASB Fellow Danielle Davies

 

2020年に100社以上の技術革新企業を調査し、監査実務者、基準設定主体、規制当局、会計専門機関、テクノロジーベンチャーの創業者・経営者にインタビューをし、監査手続き(内部統制の評価を含む)に影響を与えるものを調査したようですね。

その結果、4つのテーマを特定したということのようです。

・Audits and assurance procedures performed on a more continuous and real time basis.  ・より継続的かつリアルタイムに実施される監査・保証手続。 
・An audit or assurance engagement that is increasingly analytics based, including making use of artificial intelligence and machine learning in performing analytics.  ・人工知能や機械学習の活用など、ますます分析に基づく監査・保証業務が行われること。 
・An audit and assurance engagement that is increasingly performed remotely. ・リモートで実施されることが多くなった監査・保証業務。
・Audit and assurance becoming a more technology-enabled profession, where more professionals can understand, use, and leverage advancements in technology in their day-to-day work. ・監査・保証業務が、より多くの専門家が日々の業務においてテクノロジーの進歩を理解し、利用し、活用できるような、よりテクノロジーに対応した職業になること。

 

・リアルタイム・継続監査

・AI・機械学習の活用による分析的監査手法

・リモート監査

・業界として技術をより活用できるようになること

 

という感じですかね。。。会計監査だけでなく、保証業務全般(つまりセキュリティ監査等も含む)ことに言えることなのだろうと思います。

ちょうど、情報セキュリティ大学院大学で保証業務についての講義をしているので、方向性を理解するということで参考になります。。。

 

日本公認会計士協会 (JICPA)

・2022.07.13 【IAASB】デジタル時代の保証(記事紹介)


 



| | Comments (0)

2022.07.13

公正取引委員会 ソフトウェア業の下請取引等に関する実態調査報告書について (2022.06.29)

こんにちは、丸山満彦です。

公正取引委員会がソフトウェア業の下請取引等に関する実態調査報告書を公表していますね。。。


ソフトウェア業における2万1000社(資本金3億円以下)を対象としたアンケート調査、関係事業者・団体に対するヒアリング調査などによって、ソフトウェア業の下請取引等に関する実態調査を実施した。


とあり、それなりの本気度で取り掛かっているように思います。。。

ソフトウェア業界の多重下請け構造に根ざした問題はいくつかあり、昔から問題になってきていますが、業界的になかなか解消されていないようにも思います。

概要版にある、「提言(今後の対応)」の内容を読んでみると、どういう対策を今後していくかが見えてきていますね。。。具体的に実行してくるように思います。。。

提言(今後の対応)


①多重下請構造下で生じる問題への対応強化

  • 独占禁止法・下請法違反行為を未然に防止し、取引の適正化を図る観点からは、エンドユーザー・元請にあっては、自身の契約内容の不明確さがサプライチェーン全体における契約内容の不明確さを招き、独占禁止法・下請法違反行為を誘発しかねないことから、契約内容の明確化を図るべき。
    「中抜き」事業者の存在はいたずらに多重下請構造の多層化を深め、独占禁止法・下請法違反行為を誘引・助長するおそれがあることから、業界全体においてサプライチェーンのスリム化に向けた取組を進めていくことが期待される。
    これらの取組は、多重下請構造にある他の業界においても進めていくことが望ましい。
  • 複雑な取引を把握し、多重下請構造下におけるサプライチェーンに対応できるよう取組を強化し、「中抜き」事業者など多重下請構造下で生じる問題について、独占禁止法・下請法の執行を強化。その際、体制の強化を行い、多重下請構造がみられる他の業界への対応強化も実施。
  • 以上の取組について、事業所管省庁と必要な連携を図るとともに、関係団体に対し、法令遵守に向けた取組強化の要請を実施。

②不当なしわ寄せ防止に向けた普及啓発活動の対応強化

  • 物流業界向けに実施していた業種別講習をソフトウェア業にも拡大。

③複雑な取引関係における優越的地位の濫用に関する対応強化

  • 今後、独占禁止法上の優越的地位の濫用に関する調査において、多重下請構造がみられる業界への対応強化を実施。「優越Gメン」による立入調査を行うとともに、関係事業者に対する注意喚起文書の送付を実施。

 

昨今では、安全保障の観点からサプライチェーンの問題にも注目が集まっていますね。。。せっかく公正取引委員会がこのような実態調査報告書を作成したので、業界を上げて問題に対応をしていけば良いのではないかと思っています。それがひいては業界の発展につながると思います。。。

ただ、今後クラウド化が進むといわゆるSierの業務は(ゼロにはならないとしても)どんどんとなくなっていくと思われます。そうなってくると業界自体が縮小していくのかもしれませんが。。。

 

公正取引委員会

・2022.06.29 ソフトウェア業の下請取引等に関する実態調査報告書について

・[PDF] ソフトウェア業の下請取引等に関する実態調査報告書について

・[PDF] ソフトウェア業の下請取引等に関する実態調査報告書(概要)

20220713-73701

・[PDF] ソフトウェア業の下請取引等に関する実態調査報告書(本体)

20220713-75655_20220713143501

 

目次、、、


第1部 調査の趣旨等
第1 調査の趣旨

第2 調査方法
1 調査期間
2 下請事業者向けアンケート等
3 親事業者向けヒアリング調査等

第2部 ソフトウェア業界の概況
第1 市場規模等
1 市場規模
2 ソフトウェア業の労働人口
3 事業所数等
 ⑴ 法人事業所数の推移
 ⑵ 資本金別事業所数
 ⑶ 従業者規模別事業所数
 ⑷ フリーランス事業者数

第2 多重下請構造と取引階層別状況
1 多重下請構造
 ⑴ 多重下請構造
 ⑵ ソフトウェアの発注

2 取引階層別の事業者の状況
 ⑴ 「元請」・「中間下請」・「最終下請」の分布(資本金3億円以下)
 ⑵ 取引階層別の資本金額の状況(資本金3億円以下)と下請法の資本金区分との関係

第3部 多重下請構造における事業者間取引の実態と問題点
第1 取引依存度
1 下請取引依存度
2 下請取引の取引先(発注元)の数
3 下請取引の受注方法
4 最も下請取引の額が大きい取引先への依存度
5 問題のある行為を受けた場合の対応等
 ⑴ 問題のある行為を受けた場合の対応
 ⑵ 問題のある行為を受け入れている理由

第2 多重下請構造から生じ得る問題点
1 ソフトウェア制作の多重下請構造から生じ得る問題点
 ⑴ 下請代金にまつわる下流しわ寄せ型の問題
 ⑵ ソフトウェア制作の特性に係る問題

2 「中抜き」事業者の存在
 ⑴ 「中抜き」事業者の実感
 ⑵ 「中抜き」事業者の類型・弊害
 ⑶ 「中抜き」事業者が介在する問題点

3 多重下請構造の今後

第4部 多重下請構造型サプライチェーン下における下請法の義務・禁止行為に関する調査結果
第1 下請法の義務・禁止行為に係る調査結果(全体)

第2 下請代金にまつわる下流しわ寄せ型の問題
1 買いたたき
 ⑴ 価格交渉の実態
 ⑵ 買いたたきの経験
 ⑶ 問題の所在

2 下請代金の減額
 ⑴ 下請代金の減額の経験
 ⑵ 問題の所在

3 支払遅延
 ⑴ 支払遅延の経験
 ⑵ 問題の所在

第3 ソフトウェア制作取引の特性に係る問題
1 不当な給付内容の変更
 ⑴ 不当な給付内容の変更の経験
 ⑵ 問題の所在

2 不当なやり直し
 ⑴ 不当なやり直しの経験
 ⑵ 問題の所在

3 受領拒否
 ⑴ 受領拒否の経験
 ⑵ 問題の所在

第4 発注書面の交付等
1 発注書面の交付状況等
 ⑴ 発注書面の交付状況
 ⑵ 問題の所在

2 アジャイル開発の場合

第5 下請法等の知識とコンプライアンス活動
1 優越的地位の濫用規制・下請法に関する知識等
 ⑴ 優越的地位の濫用規制・下請法に関する知識
 ⑵ 取引を行う際に下請法の対象となるかを確認しているか

2 大手事業者のコンプライアンス活動
 ⑴ コンプライアンス意識向上策
 ⑵ 下請法対象か否かの判定
 ⑶ 発注書面交付忘れ・支払遅延等の下請法違反防止策
 ⑷ その他

第6 フリーランスSEへのしわ寄せ等
1 末端のフリーランスSEへのしわ寄せ
2 問題の背景

第7 その他の問題例
1 買いたたき
2 下請代金の減額
3 支払遅延
4 受領拒否

第8 (参考)最近の指導事例

第5部 今後の対応
第1 多重下請構造下で生じる問題への対応強化
1 問題点
 ⑴ 「下請代金にまつわる下流しわ寄せ型の問題」及び「ソフトウェア制作取引の特性に係る問題」
 ⑵ 「中抜き」事業者の介在による弊害
 ⑶ エンドユーザー・元請事業者を発端とする問題

2 今後の対応

第2 不当なしわ寄せ防止に向けた普及啓発活動の対応強化
1 問題点
2 今後の対応

第3 複雑な取引関係における優越的地位の濫用に関する対応強化
1 問題点
2 今後の対応


 

| | Comments (0)

IPA ゼロトラスト移行のすゝめ (IPA 産業サイバーセキュリティセンター 中核人材育成プログラム 5期生 ゼロトラストプロジェクト)

こんにちは、丸山満彦です。

IPAがこれからゼロトラスト移行を検討している組織の担当者に向けて、「ゼロトラストの概念を自組織に実装する際に必要となる検討の流れや、得られるメリット、ソリューションの導入順序とその際のポイントについてまとめ」た「ゼロトラスト移行のすゝめ」を公開していますね。。。

IPA 産業サイバーセキュリティセンター「中核⼈材育成プログラム」 5期⽣のゼロトラストプロジェクトの成果物ですね。。。

 

● IPA

・2022.07.11 ゼロトラスト移行のすゝめ

・[PDF] ゼロトラスト移行のすゝめ

20220713-70905

 


...ゼロトラストを構成する重要な要素を「ID 統制」「デバイス統制・保護」「ネットワークセキュリティ」「データ漏洩防⽌」「ログの収集・分析」に分類し、ゼロトラストとの関連性とそれぞれに関連するソリューションを紹介する。ここでは、セキュリティ⾯だけでなくユーザー利便性、運⽤効率化の観点でもメリットがあることを理解いただきたい。


出典;ゼロトラスト移行のすゝめ P3

とのことです。

PwC Japanの⽇本国内の企業を対象に⾏った「国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021」も参照されていますね。。。

目次...


まえがき

本書の構成

免責事項

第 1 章: はじめに
1.1.
ゼロトラストとは
1.2.
ゼロトラスト構成への移⾏に関する実態調査から⾒えること
1.3.
本書の⽬的

第 2 章: ゼロトラスト構成への移⾏
2.1. ゼロトラスト構成へ移⾏検討中の組織に必要なマインド
2.2.
ゼロトラスト移⾏の進め⽅
 2.2.1. As-is 分析、ありたい姿の検討 (Phase1)
 2.2.2. グランドデザイン作成 (Phase2)
 2.2.3. 投資判断 (Phase3)
 2.2.4. 環境構築 (Phase4)
 2.2.5. 検証・改善
(Phase5)
2.3.
プロジェクトの推進体制

第 3 章: まとめ

謝辞


こちらもぜひ。。。

こちらも参考になるかもです。。。

PwC Japan

国内企業の実態調査

国内企業における「ゼロトラスト・アーキテクチャ」の実態調査2021 ―ゼロトラストから得られた効果は「DXの推進・多様な働き方の実現」がトップ

翻訳

・2020.12.10 NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳


 

 

まるちゃんの情報セキュリティ気まぐれ日記

昨年度のプロジェクトについて...

・2021.06.29 ゼロトラスト指南書 IPA 産業サイバーセキュリティセンター 中核人材育成プログラム 4期生 ゼロトラストプロジェクト

 

 

| | Comments (0)

IPA 暗号鍵設定ガイダンス~暗号鍵の鍵長選択方法と運用方法~

こんにちは、丸山満彦です。

IPAが、暗号鍵設定ガイダンス~暗号鍵の鍵長選択方法と運用方法~を公表していますね。。。

IPA

・2022.07.11 暗号鍵設定ガイダンス~暗号鍵の鍵長選択方法と運用方法~

 


「暗号鍵設定ガイダンス」の内容

本書で示すセキュリティ強度は暗号技術のセキュリティ(暗号学的安全性) を判断する上での目安となるものであり、利用する鍵長によってセキュリティ強度と処理効率などが変わることに留意する必要があります。

アルゴリズムの中には(特にRSAなどの公開鍵暗号では)必要以上に長い鍵長を使用すると処理効率などに悪影響が出る場合がある一方、短すぎる鍵長を使用すると十分なセキュリティ強度を提供しないため、システムやアプリケーションの設計・開発にあたっては、適切なセキュリティ強度を満たすように鍵長を定めることが重要です。
実際の設計・開発にあたっては、鍵長以外の対策を適切に併用することによって、システム全体としてのセキュリティ確保を図るという方針を採用する事も可能です。

また、暗号技術の安全な運用の観点から、適切に暗号鍵の管理を行うために必要となる項目についての技術的概要を提示しています。 具体的な対策方法や実現方法などについては本書で説明していないため、より詳細な情報が必要であれば、NIST SP800-57パート1改訂5版などを参考にしてください。

本ガイダンスは、暗号技術評価プロジェクトCRYPTRECで作成されました。

節立ては以下のとおりです。

  • 1節では、イントロダクションとして、本書の位置づけや想定読者を示しています。
  • 2節では、本書を理解する上での技術的な基礎知識を説明しています。また、暗号技術ごとの推定セキュリティ強度をまとめています。
  • 3節では、鍵長選択の考え方を記載しています。
  • 4節では、鍵を安全に運用するために重要な、鍵の生成から破棄までのライフサイクルについて説明しています。
  • 5節では、鍵の利用期間について考え方を提示しています。
  • 6節では、鍵の保護について考慮すべきポイントを提示しています。
  • 7節では、運用中における鍵長移行に関する検討の必要性を示し、その際の論点等を記載しています。
  • Appendixには、国際的な研究機関・組織の今後求めるセキュリティ強度基準の要件を記載しています。

 

・[PDF] 暗号鍵設定ガイダンス

20220713-62640  

 

目次...

1. はじめに
1.1
本書の内容及び位置付け
1.2
本書が対象とする読者

2. 技術的な基礎知識
2.1
暗号処理及び鍵タイプの種類
2.2
暗号技術の推定セキュリティ強度表現-ビットセキュリティ
 2.2.1
公開鍵暗号の推定セキュリティ強度
 2.2.2 共通鍵暗号の推定セキュリティ強度
 2.2.3 ハッシュ関数の推定セキュリティ強度

2.3
暗号技術の組合せによるセキュリティ強度の考え方

3. 鍵長選択の考え方
3.1
運用寿命とセキュリティ強度要件の関係
3.2
求められるセキュリティ強度要件の考え方
3.3
鍵長の選択及び利用期間の考え方

4. 鍵のライフサイクル
4.1
活性化前状態
4.2
活性化状態
4.3
一時停止状態
4.4
非活性化状態
4.5
危殆化状態
4.6
破棄状態

5. 鍵タイプごとの鍵の利用期間
5.1
鍵の利用期間
5.2
鍵の利用期間に影響を与える要因
5.3
鍵タイプごとの鍵の利用期間の考え方
 5.3.1
公開鍵暗号及び署名の鍵ペアの利用期間
 5.3.2 共通鍵暗号の鍵の利用期間
 5.3.3 SP800-57 に記載されている推奨利用期間

6. 鍵の保護について
6.1
鍵の保護要件
6.2
鍵の危殆化対策

7. 運用中における鍵長移行に関する検討の必要性
7.1
移行計画策定における論点
 7.1.1
通信時及び鍵共有の暗号化における論点
 7.1.2 保管時の暗号化における論点
 7.1.3 署名における論点
 7.1.4 メッセージ認証における論点
 7.1.5 エンティティ認証における論点

7.2
システムやアプリケーションの運用寿命の延長に伴う移行にあたっての対応
7.3
暗号技術の推定セキュリティ強度の変更に伴う移行にあたっての対応
7.4
突発的な理由に伴う緊急移行にあたっての対応
7.5
量子コンピュータの実現リスクへの対応

Appendix 参考情報


参考

NIST SP 800シリーズ

● NIST

 

● IPA

(NIST 翻訳)

(その他)

| | Comments (0)

中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局(国家互联网信息办公室)がデータ越境セキュリティ評価弁法(数据出境安全评估办法)を公表していますね。。。

・重要情報インフラ事業者、

・100万人以上の個人情報を取り扱うデータ処理業者による個人情報の国外提供

・前年の1月1日以降に累計10万人分の個人情報または1万人分の機密個人情報を提供したデータ処理業者による個人情報の国外提供

をした事業者についてデータ越境セキュリティ評価を求めるもののようです。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.07.07 国家互联网信息办公室公布《数据出境安全评估办法》

国家互联网信息办公室公布《数据出境安全评估办法》 国家サイバースペース管理局、「データ越境セキュリティ評価弁法」を公表
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》),自2022年9月1日起施行。国家互联网信息办公室有关负责人表示,出台《办法》旨在落实《网络安全法》、《数据安全法》、《个人信息保护法》的规定,规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,切实以安全保发展、以发展促安全。 7月7日、国家サイバースペース管理局は、2022年9月1日から施行される「データ越境セキュリティ評価弁法」(以下、「本弁法」)を発表した。 国家サイバースペース管理局の関係責任者は、本弁法の導入は、「ネットワークセキュリティ法」、「データセキュリティ法」、「個人情報保護法」の規定を実施し、データ越境活動を規制し、個人情報の権益を保護し、国家の安全と社会公共利益を守り、国境を越えたデータの安全かつ自由な流れを促進し、安全とともに発展を確保し、発展とともに安全を推進することを目的としていると述べた。
近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。明确数据出境安全评估的具体规定,是促进数字经济健康发展、防范化解数据跨境安全风险的需要,是维护国家安全和社会公共利益的需要,是保护个人信息权益的需要。《办法》规定了数据出境安全评估的范围、条件和程序,为数据出境安全评估工作提供了具体指引。 近年、デジタル経済の活況に伴い、データの越境活動が頻繁に行われるようになり、データ処理者のデータ越境のニーズが急速に高まっている。 データ越境のセキュリティ評価に関する具体的な規定を明確にすることは、デジタル経済の健全な発展を促進し、データ越境安全リスクを防止・解決し、国家安全保障と社会公共の利益を保護し、個人情報の権益を保護するために必要なことである。 本弁法は、データ越境セキュリティ評価の範囲、条件および手順を規定し、データ越境セキュリティ評価の作業に関する具体的なガイドラインを提供するものである。
《办法》明确,数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估适用本办法。提出数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合等原则。 本弁法では、データ処理者が中華人民共和国において業務上収集・生成する重要データおよび個人情報のセキュリティ評価が適用されることを明確にしている。 データ越境のセキュリティ評価は、事前評価と継続的な監督を組み合わせ、リスク自己評価とセキュリティ評価を組み合わせるという原則に従うことを提案する。
《办法》规定了应当申报数据出境安全评估的情形,包括数据处理者向境外提供重要数据、关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息、自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息以及国家网信部门规定的其他需要申报数据出境安全评估的情形。 本弁法では、データ処理業者による重要データの国外提供、重要情報インフラ事業者及び100万人以上の個人情報を取り扱うデータ処理業者による個人情報の国外提供、前年の1月1日以降に累計10万人分の個人情報または1万人分の機密個人情報を提供したデータ処理業者による個人情報の国外提供など、データ越境セキュリティ評価を申告すべき状況、および国家インターネット情報化委員会が規定するデータ越境セキュリティ評価の宣言を必要とするその他の状況が規定されている
《办法》提出了数据出境安全评估的具体要求,规定数据处理者在申报数据出境安全评估前应当开展数据出境风险自评估并明确了重点评估事项。规定数据处理者在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,在数据出境安全评估有效期内发生影响数据出境安全的情形应当重新申报评估。此外,还明确了数据出境安全评估程序、监督管理制度、法律责任以及合规整改要求等。 本弁法は、データ越境セキュリティ評価の具体的な要求を定め、データ処理者がデータ越境セキュリティ評価を宣言する前に、データ越境リスクの自己評価を行うことを規定し、主要な評価事項を明記している。 データ処理者は、海外の受信者と締結した法的文書において、データセキュリティ保護の責任と義務について明確に合意し、データ越境セキュリティ評価の有効期間中にデータ越境セキュリティに影響を与える状況が発生した場合、評価を再宣言しなければならないと定めている。 さらに、データ越境のセキュリティ評価手順、監督管理体制、法的責任、コンプライアンスと是正の要件も明確にされている。

 

・2022.07.07 数据出境安全评估办法

数据出境安全评估办法 データ越境セキュリティ評価弁法
国家互联网信息办公室令 国家サイバースペース管理局令
第11号 第11号
《数据出境安全评估办法》已经2022年5月19日国家互联网信息办公室2022年第10次室务会议审议通过,现予公布,自2022年9月1日起施行。 「データ越境セキュリティ評価弁法」は、2022年5月19日の国家サイバースペース管理局第10回会議で審議・採択され、ここに公布され、2022年9月1日から施行される。
国家互联网信息办公室主任 庄荣文 国家サイバースペース管理局局長 庄荣文
2022年7月7日 2022年7月7日
数据出境安全评估办法 データ越境セキュリティ評価弁法
第一条 为了规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动,根据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规,制定本办法。 第1条 本弁法は、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法及びその他の法令に基づき、データ越境活動を規制し、個人情報の権利利益を保護し、国家安全及び社会公共の利益を保護し、国境を越えたデータの安全かつ自由な流れを促進するために制定されたものである。
第二条 数据处理者向境外提供在中华人民共和国境内运营中收集和产生的重要数据和个人信息的安全评估,适用本办法。法律、行政法规另有规定的,依照其规定。 第2条 本弁法は、情報処理者が中華人民共和国において業務上収集・生成した重要データ及び個人情報を外国に提供する際のセキュリティ評価に適用されるものとする。 法令または行政法規に別段の定めがある場合は、その定めに従うものとする。
第三条 数据出境安全评估坚持事前评估和持续监督相结合、风险自评估与安全评估相结合,防范数据出境安全风险,保障数据依法有序自由流动。 第3条 データ越境のセキュリティ評価は、事前評価と継続的な監督の組み合わせ、およびリスク自己評価とセキュリティ評価の組み合わせを重視し、データ越境のセキュリティリスクを防止し、法律に従って秩序あるデータの自由な流れを確保する。
第四条 数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估: 第4条 情報処理事業者が中国国外でデータを提供する場合、次のいずれかに該当する場合は、その事業者が所在する省のネットワーク情報部門を通じて、国のネットワーク情報部門にデータ越境セキュリティ評価を申告しなければならない。
(一)数据处理者向境外提供重要数据; (1) データ処理者が重要なデータを国外で提供する場合。
(二)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息; (2) 100万人以上の個人情報を取り扱う重要情報インフラ事業者及び情報処理事業者が、中国国外に個人情報を提供する場合。
(三)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息; (3) 前年の1月1日以降、合計で10万人分の個人情報または1万人分の機微な個人情報を外国に提供しているデータ処理事業者が、外国に個人情報を提供している場合。
(四)国家网信部门规定的其他需要申报数据出境安全评估的情形。 (4) その他、国家サイバースペース管理局が規定するデータ越境セキュリティ評価の宣言を必要とする状況。
第五条 数据处理者在申报数据出境安全评估前,应当开展数据出境风险自评估,重点评估以下事项: 第5条 データ処理者は、データ越境セキュリティ評価を宣言する前に、以下の事項に着目し、データ越境リスクの自己評価を行うものとする。
(一)数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性; (1) データ越境の合法性、適法性、必要性、および海外の受取人によるデータ処理の目的、範囲、方法。
(二)出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险; (2) 越境されるデータの規模、範囲、種類、機密性、およびデータの越境によって生じる国家安全保障、公共の利益、個人または組織の正当な権利と利益に対する起こりうるリスク。
(三)境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全; (3) 海外の受取人が引き受ける責任及び義務、並びに責任及び義務を履行するための管理及び技術的措置並びに能力が、越境データの安全性を保証することができるかどうか。
(四)数据出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险,个人信息权益维护的渠道是否通畅等; (4) 越境時または越境後にデータの改ざん、破壊、漏えい、紛失、転送、不正取得・不正利用されるおそれがあり、個人情報の権利利益を保護するための経路が円滑かどうか、など。
(五)与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件等(以下统称法律文件)是否充分约定了数据安全保护责任义务; (5) 海外の受取人との間で作成されたデータ越境関連契約その他の法的拘束力のある文書(以下、総称して法的文書という)において、データセキュリティ保護責任及び義務が適切に合意されているかどうか。
(六)其他可能影响数据出境安全的事项。 (6) その他、データ越境の安全性に影響を及ぼす可能性のある事項。
第六条 申报数据出境安全评估,应当提交以下材料: 第6条 データ越境セキュリティ評価宣言には、次の資料を提出するものとする。
(一)申报书; (1) 申告書。
(二)数据出境风险自评估报告; (2) データ流出リスクに関する自己評価報告書
(三)数据处理者与境外接收方拟订立的法律文件; (3) データ処理業者と海外の受領者が作成した法的文書
(四)安全评估工作需要的其他材料。 (4) その他、セキュリティアセスメントに必要な資料。
第七条 省级网信部门应当自收到申报材料之日起5个工作日内完成完备性查验。申报材料齐全的,将申报材料报送国家网信部门;申报材料不齐全的,应当退回数据处理者并一次性告知需要补充的材料。 第7条 省のネットワーク情報部門は、申告資料を受領した日から5営業日以内に、完全性チェックを完了させなければならない。 申告した資料に不備がなければ、申告した資料を国のネットワーク情報部門に提出し、申告した資料に不備があれば、データ処理者に返却し、必要な追加資料を一度通知しなければならない。
国家网信部门应当自收到申报材料之日起7个工作日内,确定是否受理并书面通知数据处理者。 国家サイバースペース管理局は、申告資料を受領した日から7営業日以内に、受理するかどうかを決定し、データ処理業者に書面で通知しなければならない。
第八条 数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项: 第8条 データ越境セキュリティ評価は、データ越境活動が国家の安全、公共の利益及び個人又は組織の正当な権益に及ぼす可能性のあるリスクの評価に重点を置き、主に次の事項を含む。
(一)数据出境的目的、范围、方式等的合法性、正当性、必要性; (1) データ抽出の目的、範囲及び方法の合法性、適法性及び必要性
(二)境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求; (2) 海外の受取人がいる国や地域のデータセキュリティ保護政策や規制、ネットワークセキュリティ環境が越境データのセキュリティに与える影響、海外受取人のデータ保護レベルが中華人民共和国の法律や行政法規、強制的な国家規格の要求を満たしているかどうか。
(三)出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等的风险; (3) 送信データの規模、範囲、種類及び機密性、並びに送信期間中及び送信後の送信データへの改ざん、破壊、漏洩、損失、転送又は不正アクセス若しくは不正使用の危険性。
(四)数据安全和个人信息权益是否能够得到充分有效保障; (4) データの安全性及び個人情報の権利と利益を十分かつ効果的に保護することができるかどうか。
(五)数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务; (5) データ処理者と海外の受領者との間で作成された法的文書が、データセキュリティ保護に関する責任と義務について適切に合意されているかどうか。
(六)遵守中国法律、行政法规、部门规章情况; (6) 中国の法律、行政法規、部内規の遵守状況
(七)国家网信部门认为需要评估的其他事项。 (7) その他、国家サイバースペース管理局が評価する必要があると判断した事項。
第九条 数据处理者应当在与境外接收方订立的法律文件中明确约定数据安全保护责任义务,至少包括以下内容: 第9条 情報処理事業者は、海外の受領者との間で締結する法的文書において、少なくとも次の内容を含む、情報セキュリティ保護に関する責任と義務について明確に合意するものとする。
(一)数据出境的目的、方式和数据范围,境外接收方处理数据的用途、方式等; (1) データを越境させる目的、方法及び範囲、並びに海外の受取人によるデータ処理の利用及び方法
(二)数据在境外保存地点、期限,以及达到保存期限、完成约定目的或者法律文件终止后出境数据的处理措施; (2) 国外でのデータの保管場所、保管期間、保管期間に達した後、合意した目的が達成された後、または法的文書が終了した後に国外に出るデータを取り扱うための措置。
(三)对于境外接收方将出境数据再转移给其他组织、个人的约束性要求; (3) 海外の受取人が、越境されたデータを他の組織または個人に再転送するための拘束力のある要件。
(四)境外接收方在实际控制权或者经营范围发生实质性变化,或者所在国家、地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形导致难以保障数据安全时,应当采取的安全措施; (4) 海外の受取人の実質的支配力や業務範囲に大きな変化が生じた場合、または受取人の所在する国・地域のデータセキュリティ保護方針・規制やサイバーセキュリティ環境の変化、その他データセキュリティの確保が困難な不可抗力的状況が生じた場合に、当該受取人がとるべきセキュリティ対策について。
(五)违反法律文件约定的数据安全保护义务的补救措施、违约责任和争议解决方式; (5) 法的文書で合意されたデータセキュリティ保護義務違反に対する救済措置、契約違反に対する責任、および紛争解決。
(六)出境数据遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险时,妥善开展应急处置的要求和保障个人维护其个人信息权益的途径和方式。 (6) 送信データの改ざん、破損、漏えい、紛失、転送、不正アクセス・不正利用等のリスクに対して、適切な緊急処理の要件と、個人情報の保護に関する個人の権利・利益を守るための方法・手段を示する。
第十条 国家网信部门受理申报后,根据申报情况组织国务院有关部门、省级网信部门、专门机构等进行安全评估。 第10条 国のネットワーク情報部門は、申告を受けた後、国務院の関連部門、省のネットワーク情報部門および専門機関を組織し、申告に基づくセキュリティ評価を実施するものとする。
第十一条 安全评估过程中,发现数据处理者提交的申报材料不符合要求的,国家网信部门可以要求其补充或者更正。数据处理者无正当理由不补充或者更正的,国家网信部门可以终止安全评估。 第11条 セキュリティ評価の過程で、情報処理者が提出した申告資料が要求を満たしていないことが判明した場合、国のネットワーク情報部門は、情報処理者に対して補足または訂正を要求することができる。 データ処理者が正当な理由なく追加や修正を行わない場合、国のネットワーク情報部門はセキュリティ評価を終了することができる。
数据处理者对所提交材料的真实性负责,故意提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 情報処理者は、提出された資料の真偽について責任を負うものとし、意図的に虚偽の資料を提出した場合は、審査の不合格に基づき処理され、法令に基づき対応する法的責任について調査されるものとする。
第十二条 国家网信部门应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。 第12条 国のネットワーク情報部門は、情報処理者に受入通知書を発行した日から45営業日以内に、データ越境セキュリティ評価を完了しなければならない。状況が複雑で、追加資料または修正資料を必要とする場合、適切に延長し、情報処理者に延長予定期間を通知することができる。
评估结果应当书面通知数据处理者。 データ処理者は、評価結果を文書で通知されるものとする。
第十三条 数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 第13条 情報処理事業者が評価結果に不服がある場合、評価結果の受領後15営業日以内に国のネットワーク情報部門に再審査を申請することができ、再審査結果を最終結論とする。
第十四条 通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。在有效期内出现以下情形之一的,数据处理者应当重新申报评估: 第 14 条 データ越境セキュリティ評価合格の結果は、評価結果の発行日から 2 年間有効であるものとする。 データ処理者は、有効期間中に以下のいずれかの状況が発生した場合、評価を再申告するものとする。
(一)向境外提供数据的目的、方式、范围、种类和境外接收方处理数据的用途、方式发生变化影响出境数据安全的,或者延长个人信息和重要数据境外保存期限的; (1) 国外で提供されるデータの目的、方法、範囲および種類、海外の受取人のデータ処理の用途および方法の変更が、国外へのデータの安全性に影響を与え、または個人情報および重要なデータを国外に保管する期間を延長する場合。
(二)境外接收方所在国家或者地区数据安全保护政策法规和网络安全环境发生变化以及发生其他不可抗力情形、数据处理者或者境外接收方实际控制权发生变化、数据处理者与境外接收方法律文件变更等影响出境数据安全的; (2) 海外の受信者が所在する国または地域におけるデータセキュリティ保護方針・規制およびネットワークセキュリティ環境の変化、その他不可抗力的な状況、データ処理者および海外受信者の実際の管理状況の変化、データ処理者および海外受信者間の法的文書の変更等により、送信データのセキュリティに影響が生じた場合。
(三)出现影响出境数据安全的其他情形。 (3) その他、送信データのセキュリティに影響を与える事態が発生した場合。
有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 有効期間が満了し、データ越境活動を継続する必要がある場合、データ処理者は有効期間満了の60営業日前に評価を再申告するものとする。
第十五条 参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 第15条 関係機関及びセキュリティ評価業務に携わる者は、職務遂行上知り得た国家機密、個人のプライバシー、個人情報、商業機密、業務上の秘密情報等のデータを法律に従って機密保持し、他人に開示、不法提供、不法使用しないものとする。
第十六条 任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。 第16条 情報処理業者が本弁法に違反してデータを国外に提供していることを発見した組織または個人は、省レベル以上のネットワーク情報部門に通報することができる。
第十七条 国家网信部门发现已经通过评估的数据出境活动在实际处理过程中不再符合数据出境セキュリティ管理要求的,应当书面通知数据处理者终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。 第17条 国のネットワーク情報部門は、審査に合格したデータ越境活動が、実際の処理過程でデータ越境セキュリティ管理の要求を満たさなくなったと判断した場合、データ処理業者に書面で通知し、データ越境活動を終了させなければならない。 データ処理業者がデータ越境活動を継続する必要がある場合、要求事項に従って状況を是正し、是正完了後に評価を再告知するものとする。
第十八条 违反本办法规定的,依据《中华人民共和国网络安全法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律法规处理;构成犯罪的,依法追究刑事责任。 第18条 本弁法の規定に違反した場合、中華人民共和国ネットワークセキュリティ法、中華人民共和国データセキュリティ法、中華人民共和国個人情報保護法およびその他の法令に基づき処理され、犯罪となる場合は、法律に従い刑事責任を追及される。
第十九条 本办法所称重要数据,是指一旦遭到篡改、破坏、泄露或者非法获取、非法利用等,可能危害国家安全、经济运行、社会稳定、公共健康和安全等的数据。 第19条 本弁法にいう重要データとは、改ざん、破損、漏えい、不正取得、不正利用等により、国の安全、経済運営、社会の安定、公衆衛生に危害を及ぼすおそれのあるデータをいう。
第二十条 本办法自2022年9月1日起施行。本办法施行前已经开展的数据出境活动,不符合本办法规定的,应当自本办法施行之日起6个月内完成整改。 第 20 条 本弁法は、2022 年 9 月 1 日から施行する。 本弁法の実施前に既に実施されたデータ越境活動で、本弁法の規定に準拠していないものは、本弁法の実施日から6ヶ月以内に是正されるものとする。

 

・2022.07.07 《数据出境安全评估办法》答记者问

《数据出境安全评估办法》答记者问 データ越境セキュリティ評価弁法への質問と回答
7月7日,国家互联网信息办公室公布《数据出境安全评估办法》(以下简称《办法》)。国家互联网信息办公室有关负责人就《办法》相关问题回答了记者提问。 7月7日、国家サイバースペース管理局は「データ越境セキュリティ評価弁法」(以下、「弁法」)を発表した。 国家サイバースペース管理局の担当者は、記者の「弁法」に関する質問に答えた。
问:请简要介绍《办法》出台的背景? Q: 本弁法導入の背景を簡単に紹介してください。
答:近年来,随着数字经济的蓬勃发展,数据跨境活动日益频繁,数据处理者的数据出境需求快速增长。同时,由于不同国家和地区法律制度、保护水平等的差异,数据出境安全风险也相应凸显。数据跨境活动既影响个人信息权益,又关系国家安全和社会公共利益。世界上许多国家和地区相继从本国、本地区实际出发,对数据跨境セキュリティ管理作了制度探索。制定出台《办法》是落实《网络安全法》、《数据安全法》、《个人信息保护法》有关数据出境规定的重要举措,目的是进一步规范数据出境活动,保护个人信息权益,维护国家安全和社会公共利益,促进数据跨境安全、自由流动。 A:  近年、デジタル経済の活況な発展に伴い、データの越境活動がますます頻繁に行われるようになり、データ処理業者からのデータ越境の要求が急速に高まってきている。 同時に、国や地域によって法制度や保護水準が異なるため、データ越境のセキュリティリスクもそれに応じて強調されている。 データの国境を越えた活動は、個人情報の権利や利益に影響を与えるだけでなく、国家の安全や社会的な公益にも関わるものである。 世界の多くの国や地域では、国境を越えてデータを安全に管理するためのシステムを、それぞれの国や地域の実情に合わせて検討している。 本弁法の公布は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法のデータ越境に関する規定を実施するための重要なステップであり、データ越境活動をさらに規制し、個人情報の権利利益を保護し、国家の安全および社会公共利益を守り、国境を越えた安全かつ自由なデータ流通を促進することを目的としている。
问:《办法》所称数据出境活动是指什么? Q: 本弁法で言及されているデータ越境活動とは何ですか?
答:《办法》所称数据出境活动主要包括:一是数据处理者将在境内运营中收集和产生的数据传输、存储至境外。二是数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。 A:  本弁法で言及されているデータ越境活動は主に以下の通りである。まず、データ処理業者は、国内業務で収集・生成したデータを中国国外に転送・保管する。 第二に、データ処理業者が収集・生成したデータは領域内に保存され、領域外の機関、組織、個人がアクセスしたり呼び出したりすることである。
问:哪些情形需要申报数据出境安全评估? Q: データ越境のセキュリティ評価を宣言する必要があるのは、どのような状況ですか?
答:《办法》明确了4种应当申报数据出境安全评估的情形:一是数据处理者向境外提供重要数据。二是关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息。三是自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息。四是国家网信部门规定的其他需要申报数据出境安全评估的情形。 A:  本弁法では、データ越境のセキュリティ評価を申告すべき4つの状況を規定している。まず、データ処理者が重要なデータを外国に提供する場合である。 第二に、100万人以上の個人情報を取り扱う重要情報インフラ事業者や情報処理事業者が、外国に個人情報を提供していることである。 第三に、前年の1月1日以降、累計で10万人分の個人情報または1万人分の機微な個人情報を外国に提供したデータ処理事業者である。 第四に、国家サイバースペース管理局が規定するその他のケースで、データ越境のセキュリティ評価の申告が必要なもの。
问:数据出境安全评估主要评估哪些内容? Q: データ越境のセキュリティ評価の主な内容は何ですか?
答:数据出境安全评估重点评估数据出境活动可能对国家安全、公共利益、个人或者组织合法权益带来的风险,主要包括以下事项:一是数据出境的目的、范围、方式等的合法性、正当性、必要性。二是境外接收方所在国家或者地区的数据安全保护政策法规和网络安全环境对出境数据安全的影响;境外接收方的数据保护水平是否达到中华人民共和国法律、行政法规的规定和强制性国家标准的要求。三是出境数据的规模、范围、种类、敏感程度,出境中和出境后遭到篡改、破坏、泄露、丢失、转移或者被非法获取、非法利用等风险。四是数据安全和个人信息权益是否能够得到充分有效保障。五是数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务。六是遵守中国法律、行政法规、部门规章情况。七是国家网信部门认为需要评估的其他事项。 A: データ越境のセキュリティ評価は、データ越境活動が国家安全保障、公共の利益、個人または組織の正当な権利と利益にもたらす可能性のあるリスクに焦点を当て、主に以下の事項を含みます。第一に、データ越境の目的、範囲、方法の合法性、正当性、必要性である。 第二に、海外受取人の所在する国や地域のデータセキュリティ保護政策や規制、ネットワークセキュリティ環境が越境データのセキュリティに与える影響、海外受取人のデータ保護水準が中華人民共和国の法律や行政法規、強制国家規格の要求を満たしているかどうかである。 第三に、越境データの規模、範囲、種類及び機密性、並びに越境中及び越境後のデータの改ざん、破壊、漏洩、損失、移転又は不正アクセス若しくは不正使用の危険性である。 第四に、データの安全性、個人情報の権利・利益が十分かつ効果的に保護されるかどうかである。 第五に、データ処理者と海外の受領者との間で作成された法的文書が、データセキュリティ保護に関する責任と義務について適切に合意しているかどうかということである。 第六は、中国の法律、行政法規、部門規則の遵守である。 第七は、その他国家インターネット情報管理局が評価する必要があると考える事項である。
问:为了规范数据出境安全评估活动,《办法》明确了哪些具体流程? Q:  データ越境のセキュリティ評価活動を規制するために、本弁法では具体的にどのようなプロセスを明確化するのでしょうか。
答:《办法》明确了数据出境的具体流程。一是事前评估,数据处理者在向境外提供数据前,应首先开展数据出境风险自评估。二是申报评估,符合申报数据出境安全评估情形的,数据处理者应通过所在地省级网信部门向国家网信部门申报数据出境安全评估。三是开展评估,国家网信部门自收到申报材料之日起7个工作日内确定是否受理评估;自出具书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。四是重新评估和终止出境,评估结果有效期届满或者在有效期内出现本办法中规定重新评估情形的,数据处理者应当重新申报数据出境安全评估。已经通过评估的数据出境活动在实际处理过程中不再符合数据出境セキュリティ管理要求的,在收到国家网信部门书面通知后,数据处理者应终止数据出境活动。数据处理者需要继续开展数据出境活动的,应当按照要求整改,整改完成后重新申报评估。 A:  本弁法は、データ終了の具体的なプロセスを明確にするものである。 第一は、事前評価である。データ処理者は、海外にデータを提供する前に、まずデータ越境のリスクについて自己評価を行う必要がある。 第二は、評価の申告である。 データ処理者がデータ越境セキュリティ評価を申告する資格を有する場合、データ処理者は、所在地の地方ネットワーク情報部門を通じて、国のネットワーク情報部門にデータ越境セキュリティ評価を申告しなければならない。 第三に、評価を実施するために、国のネットワーク情報部門は、申告資料を受け取った日から7営業日以内に評価を受理するかどうかを決定し、受理通知書の発行日から45営業日以内にデータ越境セキュリティ評価を完了し、状況が複雑で、追加または修正資料を要する場合、適切に延長し、データ処理者に延長予定時間を通知することができる。 第四に、再査定及び終了。 査定結果が期限切れになった場合、または有効期間中に本弁法に規定する再査定の状況が発生した場合、情報処理者はデータ終了セキュリティ査定を再宣言するものとする。 評価に合格したデータ越境活動が、実際の処理の過程でデータ越境セキュリティ管理要件を満たさなくなった場合、データ処理者は国家サイバースペース管理局から書面による通知を受けた後、データ越境活動を終了させるものとする。 データ処理者がデータ越境活動を継続する必要がある場合、要求事項に従って状況を是正し、是正完了後に評価を再告知するものとする。
问:评估过程中如何保障数据处理者的商业秘密等合法权益? Q:  評価の過程で、商業機密などデータ処理者の正当な権利や利益をどのように保護するのでしょうか?
答:《办法》规定了参与安全评估工作的相关机构和人员对在履行职责中知悉的国家秘密、个人隐私、个人信息、商业秘密、保密商务信息等数据应当依法予以保密,不得泄露或者非法向他人提供、非法使用。 A: 本弁法は、関連機関およびセキュリティ評価業務に携わる人員は、職務を遂行する過程で知り得た国家機密、個人のプライバシー、個人情報、商業機密、業務機密などのデータを法律に基づいて機密保持し、他人に開示、違法提供、違法使用しないことを規定している。
问:《办法》还明确了哪些规定? Q:  この他に、どのような条項が明確化されましたか?
答:除了上述评估内容、具体流程、保密要求等管理措施以外,《办法》还明确了国家网信部门负责决定是否受理安全评估,并根据申报情况组织国务院有关部门、省级网信部门、专门机构等开展安全评估。省级网信部门负责接收数据出境安全评估申请材料,并完成完备性查验。任何组织和个人发现数据处理者违反本办法向境外提供数据的,可以向省级以上网信部门举报。 A: 本弁法は、上記の評価内容、具体的なプロセス、守秘義務などの管理措置のほか、国のネットワーク情報部門がセキュリティ評価を受け入れるかどうかを決定し、国務院の関連部門、省のネットワーク情報部門および専門機関を組織して、宣言に基づいてセキュリティ評価を実施する責任があることを明確にしている。 地方のネットワーク情報部門は、データ越境のセキュリティ評価申請資料を受け取り、完成度をチェックする役割を担っている。 データ処理業者が本弁法に違反して中国国外にデータを提供していることを発見した組織または個人は、省クラス以上のネットワーク情報部門に報告することができる。
问:数据处理者何时申报数据出境安全评估? Q:  データ処理業者は、いつデータ越境のセキュリティ評価を宣言すべきですか?
答:数据处理者应当在数据出境活动发生前申报并通过数据出境安全评估。实践中,数据处理者宜在与境外接收方签订数据出境相关合同或者其他具有法律效力的文件(以下统称法律文件)前,申报数据出境安全评估。如果在签订法律文件后申报评估,建议在法律文件中注明此文件须在通过数据出境安全评估后生效,以避免可能因未通过评估而造成损失。 A:  データ処理者は、データ終了活動が行われる前に、データ終了セキュリティアセスメントを宣言し、合格する必要がある。 実務的には、データ処理者は、海外の受領者とデータ越境関連の契約やその他の法的拘束力のある文書(以下、総称して法的文書という)を締結する前に、データ越境セキュリティ評価を申告することが望ましいと思われます。 法的文書に署名した後に評価を申請する場合、評価に合格しなかったことによる損失の可能性を避けるため、法的文書に、データ越境のセキュリティ評価に合格した後に文書を検証する必要があることを記載することが推奨される。
问:企业申报数据出境安全评估的结果可能有哪几类? Q:  企業がデータ越境のセキュリティ評価を宣言した場合、どのような結果が考えられますか?
答:一是申报不予受理。对于不属于安全评估范围的,数据处理者接到国家网信部门不予受理的书面通知后,可以通过法律规定的其他合法途径开展数据出境活动。二是通过安全评估。数据处理者可以在收到通过评估的书面通知后,严格按照申报事项开展数据出境活动。三是未通过安全评估。未通过数据出境安全评估的,数据处理者不得开展所申报的数据出境活动。 A: 第一に、不受理。 セキュリティ評価の範囲に入らないものについては、情報処理者が国家インターネット情報サービスから不許可の書面による通知を受けた後、法律に規定された他の合法的なルートでデータ越境活動を行うことができる。 第二は、セキュリティ評価の合格。 データ処理業者は、審査に合格した旨の書面を受領した後、宣言した事項に厳格に従い、データ越境活動を行うことができる。 第三は、セキュリティ評価の不合格。 データ処理業者がデータ越境のセキュリティ評価に合格しない場合、データ処理業者は宣言されたデータ越境活動を行うことができない。
问:对评估结果有异议如何处理? Q:  評価結果に同意できない場合はどうしたらよいですか?
答:数据处理者对评估结果有异议的,可以在收到评估结果15个工作日内向国家网信部门申请复评,复评结果为最终结论。 A:  データ処理業者が評価結果に同意できない場合、評価結果を受け取ってから15営業日以内に国内のネットワーク情報部門に再審査を申請することができ、これが最終的な評価結果となる。
问:通过数据出境安全评估的结果有效期是多久? Q: データ越境セキュリティアセスメント合格の結果は、いつまで有効ですか?
答:通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。有效期届满,需要继续开展数据出境活动的,数据处理者应当在有效期届满60个工作日前重新申报评估。 A:  データエクスチェンジセキュリティアセスメントの合格結果は、アセスメント結果発行日から2年間有効である。 有効期間が満了し、データ処理業者がデータ越境活動を継続する必要がある場合、 データ処理業者は有効期間満了の 60 営業日前に評価を再申告する必要がある。
问:违反《办法》如何追究法律责任? Q:  対策に違反した場合、どのように法的責任を問われるのでしょうか?
答:《办法》明确数据处理者违反本办法规定的,依照《网络安全法》、《数据安全法》、《个人信息保护法》等法律法规的规定处理;构成犯罪的,依法追究刑事责任。 A:  本弁法の規定に違反したデータ処理者は、ネットワークセキュリティ法、データセキュリティ法、個人情報保護法などの法令の規定に従って処理され、犯罪を構成する場合は、法律に従って刑事責任を負うことが明確にされている。
问:对于个人信息向境外提供,安全评估与标准合同、个人信息保护认证之间的关系,三种方式如何衔接? Q: 国外で提供される個人情報について、セキュリティ評価と標準契約の関係、個人情報保護認証、この3つのアプローチをどのように収束させるのですか。
答:《办法》适用范围已经明确,对于适用安全评估的个人信息处理者的数据出境情形应当申报安全评估;《办法》适用范围外的个人信息处理者的数据出境情形,可以通过个人信息保护认证或者签订国家网信部门制定的标准合同来满足个人信息跨境提供条件,便利个人信息处理者依法开展数据出境活动。 A: 本弁法の適用範囲を明確化し、セキュリティ評価が適用される個人情報取扱事業者のデータ越境の状況を申告する。本弁法の適用範囲外の個人情報取扱事業者のデータ越境状況については、個人情報保護認証または国家サイバー情報部門が制定した標準契約約款を締結することにより、個人情報の越境提供の条件を満たすことができ、個人情報取扱事業者が法令に基づきデータ越境活動を行うことを容易にする。

 

1_20210612030101

専門家のコメントについては、、、

↓↓↓

 

Continue reading "中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)"

| | Comments (0)

2022.07.12

米国 国土安全保障省検査局 米国税関・国境警備局は空港での国際線旅行者の識別のために顔認証のポリシーを遵守している (2022.07.07)

こんにちは、丸山満彦です。

2日前に、米国のGAOによる政府機関の顔認識技術の利用についての報告書を紹介しましたが、その際に名前が上がっていた国土安全保障省 (DHS) の米国税関・国境警備局 (CBP) ですが、国土安全保障省の内部監査チームである検査局 (OIG) が米国税関・国境警備局は空港での国際線旅行者の識別のために顔認証のポリシーを遵守しているという内部監査の結果を公開していますね。。。

こちらの報告書は、顔認識技術の利用により不一致が出た場合の対応についての方針と手順の遵守状況の確認ですね。。。


Oversight.Gov

・2022.07.07 CBP Complied with Facial Recognition Policies to Identify International Travelers at Airports

CBP Complied with Facial Recognition Policies to Identify International Travelers at Airports 米国税関・国境警備局は空港での国際線旅行者の身元確認のために顔認証のポリシーを遵守している
Our objective was to determine to what extent CBP adheres to its policies and procedures for resolving facial biometric discrepancies when confirming travelers’ identities at airports. 我々の目的は、米国税関・国境警備局が空港で旅行者の身元を確認する際に、顔面バイオメトリックの不一致を解決するための方針と手順をどの程度遵守しているかを確認することである。

 

・[PDF] OIG-22-48-July22

20220712-60724

内部監査の結果、適切なポリシーを導入し、適切に運用されていたとして、違反はなかったという監査意見となっていますね。。。

 

顔認識技術が有効に使われている例として、弟の有効な米国パスポートを利用して入国しようとした対象者を特定したケースが挙げられていますね。。。

20220712-60937

 

報告書では、顔の不一致が出た場合のフローも記載されていて興味深いです。

20220712-64344

 

 

米国税関・国境警備局の生体認証に関するウェブページも興味深いです。過去の実証実験の話とか、顔認識技術が選ばれた理由とか、、、あと、NECの顔認識技術が使われていることがわかります(^^)

是非...

U.S. Customs and Border Protection

Biometric Breakthrough

 

Biometrics-07出典:https://www.cbp.gov/frontline/cbp-biometric-testing

 


 

顔認識関連

米国GAO関係

・2022.07.10 米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

 

日本での犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

欧州AI規制法案

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

英情報コミッショナー意見書「公共の場所でのライブ顔認証技術の使用」

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念


欧州評議会 顔認証に関するガイドライン (Guidelines on Facial Recognition)

・2021.01.30 欧州評議会 108号条約委員会が「顔認識に関するガイドライン」を採択しましたね。。。

Faicial Recognition

・2022.05.30 英国 情報コミッショナー 顔認識データベース会社Clearview AI Incに750万ポンド以上の罰金を科し、英国人のデータの削除を命じた

・2022.05.20 欧州データ保護委員会 (EDPB) 意見募集「法執行分野における顔認識技術の使用に関するガイドライン」

・2022.05.15 カナダ プライバシーコミッショナー室 プライバシーに関する戦略的優先事項とそこから生まれたテーマと見解

・2022.04.30 米国 GAO ブログ 人工知能は国家安全保障をどう変えるか (2022.04.19)

・2022.01.21 ENISA デジタル・アイデンティティ攻撃に注意:あなたの顔が偽装される可能性があります

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

・2021.10.17 インターポール、国連地域間犯罪司法研究所、オランダ警察、世界経済会議が「顔認証を責任もって制限するためのポリシーフレームワーク ユースケース:法執行機関の捜査」 at 2021.10.05

・2021.09.29 世界経済フォーラム (WEF) 技術の責任ある利用:IBMをケースにした研究

・2021.09.27 欧州委員会 職場での電子モニタリングと監視 (Electronic Monitoring and Surveillance in the Workplace)

・2021.09.10 EU議会 提言 バイオメトリクス認識と行動検知

・2021.08.28 中国 意見募集 国家サイバースペース管理局 「インターネット情報サービスのアルゴリズムによる推奨に関する管理規定」

・2021.08.27 米国 GAO 顔認識技術:連邦政府機関による現在および計画中の使用方法

・2021.08.20 英国 意見募集 監視カメラ実施規範改訂案 by 監視カメラコミッショナー at 2021.08.13

・2021.08.11 EU議会 STUDY バイオメトリクス認識と行動検知

・2021.08.10 EU議会 STUDY ヨーロッパの政策におけるディープフェイクへの取り組み at 2021.07.30

・2021.08.08 EU議会 BRIEFING スマートシティとアーバンモビリティにおける人工知能 at 2021.07.23

・2021.08.07 総務省 AIネットワーク社会推進会議 「報告書2021」の公表

・2021.08.07 Atlantic Council AIとデータ倫理におけるコミットメントからコンテンツへの移行:正義と説明可能性

・2021.08.04 中国 通信院 信頼できる人工知能についての白書 at 2021.07.09

・2021.08.03 中国 最高人民法院 「民事案件における顔識別技術の使用に関する司法解釈」

・2021.07.15 米国GAO 顔認識技術について連邦法執行機関はプライバシーやその他のリスクをより適切に評価する必要がある at 2021.06.03

・2021.07.12 ニューヨーク市 生体情報プライバシー条例が2021.07.09から施行されましたね。。。

・2021.06.30 WHO 保健のための人工知能の倫理とガバナンス

・2021.06.28 EU 外交政策ツールとしての人工知能ガバナンス

・2021.06.23 欧州 EDPBとEDPS 公共の場における人の特徴を自動認識するためのAIの使用、および不当な差別につながる可能性のあるその他のAIの使用の一部を禁止するよう要請

・2021.06.22 欧州保険職業年金局 (EIOPA) 欧州保険セクターにおける倫理的で信頼できるAIガバナンス原則に関するレポートを公表

・2021.06.20 英国 情報コミッショナー 公共の場でのライブ顔認識技術の使用に関するプライバシーの懸念

・2021.06.17 米国上院・下院 顔認識ツールを含む生体情報監視を政府が使用することを禁止する「顔認識および生体認識技術モラトリアム法案」

・2021.06.17 英国政府:データ倫理とイノベーションセンター プライバシーに関するユーザの積極的選択中間報告(スマートフォン)

・2021.06.08 U.S. の公益団体であるEPICが顔認識技術および遠隔生体認識技術の使用禁止を世界的に呼びかけていますね。。。

・2021.05.12 カナダのプライバシーコミッショナーが顔認識技術について議会で見解を述べたようですね。。。

・2021.05.07 ドイツ連邦情報セキュリティ局 (BSI) が「監査可能なAIシステムを目指して - 現状と今後の展望」を公表しています

・2021.05.03 中国 意見募集 顔認識に続けて、歩行認識、音声認識のデータセキュリティ要件の国家標準案を発表し、意見募集していますね。。。

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

・2021.04.22 ドイツ連邦情報セキュリティ局 (BSI) が安全なAI導入のための対策をまとめていますね。。。

・2021.04.21 U.S. FTC(連邦取引委員会) のブログ 会社でAIを活用する場合は真実、公正、公平を目指そう、という記事がありますね。。。

・2021.03.14 CNIL 乗客のマスク着用率を測定するためのインテリジェントビデオの使用に関する法令についての意見を公表

・2021.02.05 カナダのプライバシーコミッショナーが顔認識ソフトウェアを提供するClearview AIについての声明を出していますね。。。

・2021.01.30 欧州評議会 108号条約委員会が「顔認証に関するガイドライン」を採択しましたね。。。

・2021.01.12 欧州委員会 市民イニシアティブとして「生体認証による大量監視慣行の禁止」を登録

・2021.01.04 ニューヨーク州 知事が学校での顔認識技術の使用を一時停止し、研究を指示する法律に署名 at 2020.12.22

・2020.11.04 カナダプライバシー委員会 Cadillac Fairview社が500万人の顔データを取得していたことに関する報告書(2020.10.28)

・2020.06.26 人間が間違うなら、人間を模倣したAIも間違うんでしょうね。。。

・2020.06.14 IBM, Amazon, Microsoftは顔認証システムを米国の警察には販売しない

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

・2020.03.26 JVNVU#99619336 勾配降下法を使用する機械学習モデルに、誤った識別をさせるような入力を作成することが可能な問題

・2020.03.04 FIRST EVER DECISION OF A FRENCH COURT APPLYING GDPR TO FACIAL RECOGNITION

・2020.02.17 遠くからでもわかる顔認識システム!

ぐっと遡って、2000年代

・2009.11.07 世界プライバシー宣言(Global Privacy Standards for a Global World)

・2005.08.11 外務省 IC旅券調査研究報告書

・2005.02.04 監視社会と信頼関係

| | Comments (0)

IPA 情報セキュリティ白書2022

こんにちは、丸山満彦です。

2022.07.15から書籍版が販売ということのようです。。。

情報セキュリティ白書は2008年から続いていますから、今年で15周年ですね。。。

サブタイトルが、「ゆらぐ常識、強まる脅威:想定外に立ち向かえ」となっていますね。。。

 

IPA

・2022.07.11 情報セキュリティ白書2022 7月15日発売(予定)

20220711-214649

 


情報セキュリティ分野の動向を反映した最新刊のおすすめトピックは以下の通りです。

  • 内部不正防止対策の動向
  • 個人情報保護法改正
  • クラウドの情報セキュリティ
  • 中小企業に向けた情報セキュリティ支援策
  • 米国の政策(重要インフラに対する脅威動向、情報発信の規制と課題など)
  • 欧州の政策(サイバーセキュリティおよびセキュリティガバナンスに関する政策、GDPRの運用状況など)

 

目次...

序章 2021年度の情報セキュリティの概況
第1章 情報セキュリティインシデント・脆弱性の現状と対策
1.1 2021年度に観測されたインシデント状況
1.2 情報セキュリティインシデント別の手口と対策
1.3 情報システムの脆弱性の動向
第2章 情報セキュリティを支える基盤の動向
2.1 国内の情報セキュリティ政策の状況
2.2 国外の情報セキュリティ政策の状況
2.3 情報セキュリティ人材の現状と育成
2.4 組織・個人における情報セキュリティの取り組み
2.5 情報セキュリティの普及啓発活動
2.6 国際標準化活動
2.7 安全な政府調達に向けて
2.8 その他の情報セキュリティ動向
第3章 個別テーマ
3.1 制御システムの情報セキュリティ
3.2 IoTの情報セキュリティ
3.3 クラウドの情報セキュリティ
3.4 米国・欧州の情報セキュリティ政策
付録 資料・ツール
資料A 2021年のコンピュータウイルス届出状況
資料B 2021年のコンピュータ不正アクセス届出状況
資料C ソフトウェア等の脆弱性関連情報に関する届出状況
資料D 2021年の情報セキュリティ安心相談窓口の相談状況
IPAの便利なセキュリティツール
第17回 IPA「ひろげよう情報モラル・セキュリティコンクール」2021 受賞作品

 

情報セキュリティ白書

過去のバックアップ

年度 サブタイトル 全文
2022 ゆらぐ常識、強まる脅威:想定外に立ち向かえ  
2021 進むデジタル、広がるリスク:守りの基本を見直そう PDF
2020 変わる生活、変わらぬ脅威:自らリスクを考え新しい行動を PDF
2019 新しい基盤、巧妙化する攻撃:未知のリスクに対応する力 PDF
2018 深刻化する事業への影響:つながる社会で立ち向かえ PDF
2017 広がる利用、見えてきた脅威:つながる社会へ着実な備えを  
2016 今そこにある脅威:意識を高め実践的な取り組みを  
2015 サイバーセキュリティ新時代:あらゆる変化へ柔軟な対応を  
2014 もはや安全ではない:高めようリスク感度  
2013 つながる機器に広がる脅威:求められる一人ひとりの意識の向上  
2012 狙われる機密情報:求められる情報共有体制の整備  
2011 広がるサイバー攻撃の脅威:求められる国際的な対応  
2010 広まる脅威・多様化する攻撃:求められる新たな情報セキュリティ対策  
2009 岐路に立つ情報セキュリティ対策:求められるIT活用との両立  
2008 脅威が見えない脅威-求められるプロアクティブな対策  

 

Continue reading "IPA 情報セキュリティ白書2022"

| | Comments (0)

2022.07.11

欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

こんにちは、丸山満彦です。

2022.07.05にデジタルサービス法 (DSA) デジタル市場法 (DMA) が欧州議会で可決しています。。。

この後、DMAは、7月に、DSAは、9月に理事会で審議に諮られ、正式に採択されると、両法律はEU官報に掲載され、掲載から20日後に発効することになります。。。

発効されると、DMAは発効から6カ月後に適用され、DSAは、発効後15カ月または202411日(どちらか遅い方)から適用されます(超大型オンラインプラットフォームおよび超大型オンライン検索エンジンに対する義務については、欧州委員会が指定した4カ月後に適用される。)。

日本でも、「モバイル・エコシステムに関する競争評価 中間報告」等(e-Gov・2022.04.26 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について)で議論されていますね。。。

競争市場を目指すのは良いとして、世の中に完全市場というのは存在しないので、外部不経済を取り込めるように、法律で競争市場に強制的に近づけるというのは、理解はするものの、そのための検証というのは簡単ではなく、多くの人が多くの時間かけて検討をしているとは思うものの、適切な解になっているかどうかの判断は、難しいところですね。。。もちろん、政治的な思惑等も含まれているのかもしれませんし。。。

個人的にはサイドローディングの義務化をするとしても、うまくしないとマルウェア(ある意味「公害」)が溢れかえって、結局社会的なコストが増えるということになると思います。公害防止に関連する法律のような、サイバーハイジーン法を新たに作らないといけないのかもしれませんね。。。でも、マルウェアの配布については、その実行者の実効的な取り締まりが難しいというのが、いわゆる公害との違いという気もするので、導入しても実効性が伴わないかもしれません。。。

難しいですね。。。

 

European Parliament

340pxeuropean_parliament_logosvg

・2022.07.05 Digital Services: landmark rules adopted for a safer, open online environment

Digital Services: landmark rules adopted for a safer, open online environment デジタルサービス:より安全でオープンなオンライン環境のための画期的な規則が採択されました
With the new rules, users in the EU will have more choices and their rights will be better protected online.  新しい規則により、EUのユーザーはより多くの選択肢を持ち、オンライン上での権利がより保護されるようになります。
The new EU digital rulebook sets out unprecedented standards on the accountability of online companies, within an open and competitive digital market. EUの新しいデジタル規則集は、オープンで競争的なデジタル市場において、オンライン企業の説明責任に関する前例のない基準を定めています。
On Tuesday, Parliament held the final vote on the new Digital Services Act (DSA) and Digital Markets Act (DMA), following a deal reached between Parliament and Council on 23 April and 24 March respectively. The two bills aim to address the societal and economic effects of the tech industry by setting clear standards for how they operate and provide services in the EU, in line with the EU’s fundamental rights and values. 4月23日に議会が、3月24日に理事会がそれぞれ合意した新デジタルサービス法(DSA)およびデジタル市場法(DMA)について、火曜日、議会は最終投票を実施しました。この2つの法案は、EUの基本的権利と価値観に沿って、EUにおけるハイテク産業の運営とサービス提供の方法について明確な基準を設けることにより、ハイテク産業の社会的・経済的影響に対処することを目的としています。
The Digital Services Act was adopted with 539 votes in favour, 54 votes against and 30 abstentions. The Digital Markets Act - with 588 in favour, 11 votes against and 31 abstentions. デジタルサービス法は、賛成539票、反対54票、棄権30票で、デジタル市場法は、賛成588票、反対11票、棄権31票で採択されました。
What is illegal offline, should be illegal online オフラインで違法なものは、オンラインでも違法とすべきです
The Digital Services Act (DSA) sets clear obligations for digital service providers, such as social media or marketplaces, to tackle the spread of illegal content, online disinformation and other societal risks. These requirements are proportionate to the size and risks platforms pose to society. デジタルサービス法(DSA)は、ソーシャルメディアやマーケットプレイスなどのデジタルサービスプロバイダーに対し、違法コンテンツ、オンライン偽情報、その他の社会的リスクの拡散に対処するための明確な義務を定めています。これらの要件は、プラットフォームが社会にもたらす規模やリスクに比例するものです。
The new obligations include: 新たな義務には以下が含まれます。
・New measures to counter illegal content online and obligations for platforms to react quickly, while respecting fundamental rights, including the freedom of expression and data protection; ・表現の自由やデータ保護などの基本的権利を尊重しつつ、オンライン上の違法コンテンツに対抗するための新たな措置と、プラットフォームが迅速に対応すること。
・Strengthened traceability and checks on traders in online marketplaces to ensure products and services are safe; including efforts to perform random checks on whether illegal content resurfaces; ・オンラインマーケットプレイスにおけるトレーサビリティとトレーダーに対するチェックを強化し、製品やサービスの安全性を確保すること。
・Increased transparency and accountability of platforms, for example by providing clear information on content moderation or the use of algorithms for recommending content (so-called recommender systems); users will be able to challenge content moderation decisions; ・例えば、コンテンツの適正化やコンテンツ推奨のためのアルゴリズム(いわゆるレコメンダーシステム)の使用に関する明確な情報を提供することにより、プラットフォームの透明性と説明責任を強化すること。
・Bans on misleading practices and certain types of targeted advertising, such as those targeting children and ads based on sensitive data. The so-called “dark patterns” and misleading practices aimed at manipulating users’ choices will also be prohibited. ・誤解を招くような行為や、子供をターゲットにした広告や機密データに基づく広告など、特定の種類のターゲット広告の禁止。いわゆる「ダークパターン」や、ユーザーの選択を操作することを目的とした誤解を招く行為を禁止すること。
Very large online platforms and search engines (with 45 million or more monthly users), which present the highest risk, will have to comply with stricter obligations, enforced by the Commission. These include preventing systemic risks (such as the dissemination of illegal content, adverse effects on fundamental rights, on electoral processes and on gender-based violence or mental health) and being subject to independent audits. These platforms will also have to provide users with the choice to not receive recommendations based on profiling. They will also have to facilitate access to their data and algorithms to authorities and vetted researchers. 最もリスクが高い超大型のオンラインプラットフォームや検索エンジン(月間利用者数が4,500万人以上)は、欧州委員会が実施する、より厳しい義務を遵守しなければならなくなります。これには、体系的なリスク(違法なコンテンツの流布、基本的権利や選挙プロセスへの悪影響、ジェンダーに基づく暴力やメンタルヘルスへの影響など)の防止や、独立した監査の対象となることなどが含まれます。また、これらのプラットフォームは、プロファイリングに基づく推薦を受けないという選択肢をユーザーに提供する必要があります。また、当局や審査に合格した研究者がデータやアルゴリズムにアクセスできるようにしなければなりません。
A list of “do’s” and “don’ts” for gatekeepers ゲートキーパーのための「すべきこと」と「すべきでないこと」のリスト
The Digital Markets Act (DMA) sets obligations for large online platforms acting as “gatekeepers” (platforms whose dominant online position make them hard for consumers to avoid) on the digital market to ensure a fairer business environment and more services for consumers. デジタル市場法(DMA)は、より公正なビジネス環境と消費者へのサービス向上を確保するため、デジタル市場で「ゲートキーパー」(オンライン上で優位な立場にあり、消費者が回避しにくいプラットフォーム)として活動する大規模オンラインプラットフォームに対する義務を定めています。
To prevent unfair business practices, those designated as gatekeepers will have to: 不公正な商習慣を防ぐために、ゲートキーパーに指定された者は以下のことをしなければなりません。
・allow third parties to inter-operate with their own services, meaning that smaller platforms will be able to request that dominant messaging platforms enable their users to exchange messages, send voice messages or files across messaging apps. This will give users greater choice and avoid the so-called “lock-in” effect where they are restricted to one app or platform; ・つまり、小規模なプラットフォームは、有力なメッセージングプラットフォームに対して、ユーザーがメッセージングアプリ間でメッセージのやり取りや音声メッセージ、ファイルを送信できるよう要請することができるようになります。これにより、ユーザーの選択肢が広がり、1つのアプリやプラットフォームに制限される、いわゆる「ロックイン」効果を回避することができます。
・allow business users to access the data they generate in the gatekeeper’s platform, to promote their own offers and conclude contracts with their customers outside the gatekeeper’s platforms. ・ビジネスユーザがゲートキーパーのプラットフォームで生成したデータにアクセスし、ゲートキーパーのプラットフォーム外で独自のオファーを促進し、顧客と契約を締結できるようにする。
Gatekeepers can no longer: ゲートキーパーは、もはや以下を行うことはできません。
・Rank their own services or products more favourably (self-preferencing) than other third parties on their platforms; ・ゲートキーパーのプラットフォームにおいて、自社のサービスや製品を他のサードパーティよりも有利にランク付けすること(セルフプレファレンシング)。
・Prevent users from easily un-installing any pre-loaded software or apps, or using third-party applications and app stores; ・ユーザーがプリインストールされたソフトウェアやアプリケーションを簡単にアンインストールしたり、サードパーティのアプリケーションやアプリケーションストアを使用したりすることを妨げること。
・Process users’ personal data for targeted advertising, unless consent is explicitly granted. ・明示的な同意がない限り、ターゲティング広告のためにユーザーの個人データを処理すること。
Sanctions 制裁措置
To ensure that the new rules on the DMA are properly implemented and in line with the dynamic digital sector, the Commission can carry out market investigations. If a gatekeeper does not comply with the rules, the Commission can impose fines of up to 10% of its total worldwide turnover in the preceding financial year, or up to 20% in case of repeated non-compliance. DMAに関する新規則が、ダイナミックなデジタル分野に沿って適切に実施されていることを確認するために、欧州委員会は市場調査を実施することができます。ゲートキーパーが規則を遵守しない場合、欧州委員会は、その前会計年度の世界総売上高の最大10%、あるいは繰り返し遵守しない場合は最大20%の制裁金を科すことができます。
Quotes 引用
During the debate Christel Schaldemose (S&D, DK), rapporteur for the Digital Services Act said: “For too long tech giants have benefited from an absence of rules. The digital world has developed into a Wild West, with the biggest and strongest setting the rules. But there is a new sheriff in town - the DSA. Now rules and rights will be strengthened. We are opening up the black box of algorithms so that we can have a proper look at the moneymaking machines behind these social platforms.” デジタルサービス法の報告者であるクリステル・シャルデモーゼ氏(民主、S&D)は、討論の中で次のように述べました。「あまりにも長い間、ハイテク企業はルールの欠如から利益を得てきました。デジタル世界は西部劇のように発展し、最大かつ最強の者がルールを決めてきました。しかし、この街には新しい保安官がいます。DSAです。今、ルールと権利が強化されます。我々は、アルゴリズムのブラックボックスを開き、これらのソーシャルプラットフォームの背後にある金儲けマシンを正しく見ることができるようにします。」
Andreas Schwab (EPP, DE), rapporteur for the Digital Markets Act said : “We no longer accept the "survival of the financially strongest". The purpose of the digital single market is that Europe gets the best companies and not just the biggest. This is why we need to focus on the legislation’s implementation. We need proper supervision to make sure that the regulatory dialogue works. It is only once we have a dialogue of equals that we will be able to get the respect the EU deserves; and this, we owe to our citizens and businesses”. デジタル市場法の報告者であるアンドレアス・シュワブ(EPP、ドイツ)は、次のように述べました。「我々はもはや "財政的強者の生き残り "を認めません。デジタル単一市場の目的は、欧州が最大手だけでなく最良の企業を獲得することです。だからこそ、この法律の実施に焦点を当てる必要があるのです。規制当局との対話がうまくいくように、適切な監督が必要です。対等な対話ができてはじめて、EUにふさわしい尊敬を得ることができます。」
Next steps 次のステップ
Once formally adopted by the Council in July (DMA) and September (DSA), both acts will be published in the EU Official Journal and enter into force twenty days after publication. 7月(DMA)および9月(DSA)に理事会で正式に採択されると、両法律はEU官報に掲載され、掲載から20日後に発効する予定です。
The DSA will be directly applicable across the EU and will apply fifteen months or from 1 January 2024 (whichever comes later) after the entry into force. As regards the obligations for very large online platforms and very large online search engines, the DSA will apply earlier - four months after they have been designated as such by the Commission. DSAはEU全域に直接適用され、発効後15カ月または2024年1月1日(どちらか遅い方)から適用されます。超大型オンラインプラットフォームおよび超大型オンライン検索エンジンに対する義務については、DSAの方が早く、欧州委員会が指定した4カ月後に適用されます。
The DMA will start to apply six months following its entry into force. The gatekeepers will have a maximum of six months after they have been designated to comply with the new obligations. DMAは発効から6カ月後に適用が開始されます。ゲートキーパーは、指定されてから最長で6カ月以内に新たな義務を遵守することになります。

 

参考

・2021.12.14 EU Digital Markets Act and Digital Services Act explained

 

DMA

The Digital Markets Act: ensuring fair and open digital markets

・法案

 ・2020.12.15 Proposal for a Regulation on Digital markets act

 ・EN [HTML] [DOC] [PDF]

20220711-60806

 

 

DSA

The Digital Services Act: ensuring a safe and accountable online environment

・法案

 ・2020.12.15 Proposal for a Regulation on a Single Market For Digital Services (Digital Services Act)

 ・EN [HTML] [DOC] [PDF

20220711-60850

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会 オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

英国

・2022.06.12 英国 競争市場局 モバイルエコシステムに関する市場調査 最終報告と今後

 

中国

・2021.02.09 中国 国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

 

日本

・2022.07.09 総務省 プラットフォームサービスに関する研究会 第二次とりまとめ(案)についての意見募集 (2022.07.04)

・2022.05.26 意見募集 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に対する意見募集について (2022.04.26)

 

 

その他。。。

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

・2021.10.18 JETRO EUデジタル政策の最新概要(2021年10月)

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制:利用者のインフォームド・コンセントをいかに確保するか

| | Comments (0)

2022.07.10

米国 GAO 顔認識技術:連邦政府機関の利用と関連するプライバシー保護 (2022.06.29)

こんにちは、丸山満彦です。

GAOが連邦政府における顔認識技術の利用と関連するプライバシー保護についての報告書を公表していました。。。

過去の調査をまとめた感じでしょうかね。。。

連邦政府の利用例として

  1. デジタルアクセス、サイバーセキュリティ
  2. 国内法の執行
  3. 物理的セキュリティ
  4. 国境・交通セキュリティ
  5. 安全保障・防衛
  6. その他

を上げ、過去に調査した結果等も載せていますね。。。

 

20220710-44700

● GAO

・2022.06.29 Facial Recognition Technology:Federal Agencies' Use and Related Privacy Protections

Facial Recognition Technology:Federal Agencies' Use and Related Privacy Protections 顔認識技術:連邦政府機関の利用と関連するプライバシー保護
Fast Facts ファストファクト
We testified about our work on agency use of facial recognition technologies and related privacy issues. 我々は、各機関の顔認識技術の利用と関連するプライバシー問題についての我々の仕事について証言した。
For example, 18 of 24 agencies reported using this technology in FY 2020, mostly for building and computer access and law enforcement. 例えば、24機関中18機関が2020年度にこの技術を利用していると報告しており、そのほとんどが建物やコンピュータへのアクセス、法執行のためであった。
In another survey, 14 of 42 agencies with law enforcement officers told us they used the technology in criminal investigations. We found 13 of them didn't track employee use of non-federal (e.g., state and commercial) systems, which could put agencies at risk of violating privacy rules. 別の調査では、法執行官のいる42機関のうち14機関が、犯罪捜査にこの技術を利用していると回答している。そのうち13機関は、連邦政府以外の(州や民間など)システムの従業員の利用を追跡していないことがわかり、これは、機関をプライバシー規則違反の危険にさらす可能性がある。
Agencies generally agreed with our recommendations on tracking use of this technology and assessing related privacy risks. 各機関は、この技術の使用状況を追跡し、関連するプライバシーリスクを評価するという私たちの勧告に概ね同意している。
1_20220710061901
States and Localities that Own Facial Recognition Technology Systems Accessed by Federal Agencies in FY 2020 2020年度に連邦政府機関がアクセスした顔認識技術システムを所有する州および地方公共団体
Highlights ハイライト
What GAO Found GAOの調査結果
In August 2021, GAO reported its survey results on facial recognition technology (FRT) activities, which found that 18 of 24 agencies reported using FRT for one or more purposes, with digital access and domestic law enforcement as the most common. For example, two agencies reported testing FRT to verify identities of persons accessing government websites and other agencies used FRT to generate leads in criminal investigations. Agencies also reported accessing FRT systems of other entities, such as those owned by other federal agencies, state and local governments, and the private sector. In addition, ten agencies reported conducting or supporting FRT-related research and development. For example, the Department of Justice reported conducting applied research on the relationship between skin tone and false match rates in facial recognition algorithms, among other efforts. 2021年8月、GAOは顔認識技術(FRT)活動に関する調査結果を報告し、24機関中18機関が1つ以上の目的で顔認識技術を使用していると報告し、デジタルアクセスと国内法執行が最も一般的であることを明らかにした。例えば、2つの機関は、政府のウェブサイトにアクセスする人のアイデンティティを確認するために顔認識技術をテストし、他の機関は犯罪捜査の手がかりを得るために顔認識技術を使用したと報告している。また、他の連邦機関、州および地方政府、および民間部門が所有するものなど、他の団体の顔認識技術システムにアクセスすることも報告されている。さらに、10 の機関が、顔認識技術 関連の研究開発を実施または支援していると報告した。例えば、司法省は、顔認識アルゴリズムにおける肌の色と誤認識率の関係についての応用研究を実施していると報告している。
Examples of Facial Recognition Technology Uses by Federal Agencies 連邦政府機関による顔認識技術の利用例
In June 2021, GAO reported the results of another survey of 42 federal agencies that employ law enforcement officers. Fourteen agencies reported using FRT to support criminal investigations; however, GAO found that 13 of these agencies did not track employee use of non-federal (e.g., state and commercial) FRT systems. For example, one agency conducted a poll and learned that its employees had used a non-federal system to conduct more than 1,000 facial recognition searches. The lack of awareness about employees' use of non-federal FRT systems can have privacy implications—including a risk of not adhering to privacy laws or that system owners may share sensitive information used for searches. In September 2020, GAO also found that U.S. Customs and Border Protection's (CBP) Biometric Entry-Exit Program incorporated some privacy protections, but the implementation of privacy notices and audits were inconsistent. For example, CBP had audited only one of its more than 20 commercial airline partners and did not have a plan to audit all its partners for compliance with the program's privacy requirements. 2021年6月、GAOは、法執行官を雇用する42の連邦政府機関に対する別の調査結果を報告した。14の機関が犯罪捜査を支援するために顔認識技術を使用していると報告したが、GAOは、これらの機関のうち13が連邦政府以外の(例えば、州や商業)顔認識技術システムの従業員の使用を追跡していないことを明らかにした。例えば、ある機関は世論調査を行い、職員が連邦政府以外のシステムを使って1000件以上の顔認識検索を行ったことを知った。従業員の連邦政府以外の顔認識技術システムの使用に関する認識不足は、プライバシー法を遵守しないリスクや、システム所有者が検索に使用される機密情報を共有する可能性など、プライバシーに影響を及ぼす可能性がある。2020年9月、GAOはまた、米国税関・国境警備局(CBP)の生体認証出入国プログラムには、いくつかのプライバシー保護が組み込まれているが、プライバシー通知の実施と監査に一貫性がないことを明らかにした。例えば、米国税関・国境警備局は20社以上の民間航空会社のうち1社しか監査しておらず、プログラムのプライバシー要件の遵守についてすべてのパートナーを監査する計画を持っていなかった。
Why GAO Did This Study GAOがこの調査を行った理由
Use of FRT has become increasingly common across the government and private sector. As the use of FRT continues to expand, advocacy organizations and others have highlighted the importance of understanding FRT uses in federal agencies and related privacy risks. 顔認識技術の使用は、政府及び民間部門全体でますます一般的になってきている。顔認識技術の使用が拡大し続ける中、擁護団体等は、連邦政府機関における顔認識技術の使用と関連するプライバシーリスクを理解することの重要性を強調してきた。
This statement describes (1) use of FRT at federal agencies and (2) privacy protections present in FRT systems used by federal agencies. この声明は、(1)連邦政府機関における顔認識技術の使用、および(2)連邦政府機関が使用する顔認識技術システムに存在するプライバシー保護について説明するものである。
This statement is based on recent GAO reports on the use of FRT, including (1) an August 2021 report on current and planned use of FRT across federal agencies that included a survey of the 24 largest agencies, (2) a June 2021 report on federal law enforcement agencies' use of FRT that included a survey administered to 42 agencies that employ law enforcement officers, and (3) a 2020 report on use of FRT for airport and port security. To conduct this prior work, GAO reviewed relevant documents and interviewed agency officials. 本声明は、(1)最大規模の24機関の調査を含む連邦機関全体の顔認識技術の現在および計画された使用に関する2021年8月の報告書、(2)法執行官を雇用する42機関に実施した調査を含む連邦法執行機関の顔認識技術使用に関する2021年6月の報告書、(3)空港および港湾警備における顔認識技術使用に関する2020年の報告書を含む顔認識技術使用に関する最近のGAO報告に基づくものである。この先行作業を行うため、GAOは関連文書をレビューし、政府機関職員にインタビューを行った。
Recommendations 提言
In prior reports, GAO made recommendations to 13 agencies to implement a mechanism to track use of non-federal systems by employees and assess the risks of these systems and to CBP to develop and implement a plan to conduct privacy audits of its partners, among others. Agencies generally concurred with the recommendations. Three agencies have implemented mechanisms to track non-federal systems, but have not yet assessed the risks of using such systems. CBP has conducted some, but not all, privacy audits of its partners. GAOは過去の報告書で、13の機関に対し、職員による非連邦システムの利用を追跡し、これらのシステムのリスクを評価する仕組みを導入すること、米国税関・国境警備局に対し、提携先のプライバシー監査を実施する計画を策定・実施することなどを勧告している。各機関はこの勧告に概ね同意している。3つの機関は、連邦政府以外のシステムを追跡するメカニズムを導入したが、そのようなシステムを使用するリスクはまだ評価されていない。米国税関・国境警備局は、パートナーに対して、すべてではないが、いくつかのプライバシー監査を実施した。

 

・[PDF] Highlights Page

20220710-62427


・[PDF] Full Report

20220710-62653

 

 

関連するGAOの報告書

2021.08.24 GAO-21-526 Facial Recognition Technology: Current and Planned Uses by Federal Agencies.  顔認識技術:連邦政府機関による現在および計画中の利用
2021.07.06 GAO-21-435SP Forensic Technology: Algorithms Strengthen Forensic Analysis, but Several Factors Can Affect Outcome.  フォレンジック技術:アルゴリズムはフォレンジック分析を強化するが、いくつかの要因が結果に影響する可能性がある。
2021.06.03 GAO-21-518 Facial Recognition Technology: Federal Law Enforcement Agencies Should Better Assess Privacy and Other Risks. 顔認識技術:連邦法執行機関はプライバシーおよびその他のリスクをより良く評価すべきである。
2020.09.02 GAO-20-568 Facial Recognition: CBP and TSA are Taking Steps to Implement Programs, but CBP Should Address Privacy and System Performance Issues.  顔認識技術:米国税関・国境警備局 (CBP) と米国運輸保安庁 (TSA) はプログラム実施のためのステップを踏んでいるが、米国税関・国境警備局はプライバシーとシステム性能の問題に取り組むべきである。
2020.07.13 GAO-20-522 Facial Recognition Technology: Privacy and Accuracy Issues Related to Commercial Uses.  顔認識技術:商業的使用に関するプライバシーと精度の問題
2016.05.16 GAO-16-267