まるちゃんの情報セキュリティ気まぐれ日記: August 2022

June 2025
Sun	Mon	Tue	Wed	Thu	Fri	Sat
1	2	3	4	5	6	7
8	9	10	11	12	13	14
15	16	17	18	19	20	21
22	23	24	25	26	27	28
29	30

August 2022

2022.08.31

シンガポールサイバーセキュリティ庁 2021年シンガポールのサイバーセキュリティ状況

こんにちは、丸山満彦です。

シンガポールのサイバーセキュリティ庁が、2021年シンガポールのサイバーセキュリティ状況を公開していますね。。。少し遅いですかね。。。

ランサムウェア被害が注目され、地政学リスクがサイバー空間にも影響を及ぼすというのは資本主義国的には同じ傾向ですかね。。。

● Cyber Security Agency of Singapore: CSA

・2022.08.29 Ransomware and phishing attacks continued to threaten Singapore organisations and individuals in 2021

Ransomware and phishing attacks continued to threaten Singapore organisations and individuals in 2021	2021年もランサムウェアとフィッシング攻撃がシンガポールの組織と個人を脅かす
Singapore, 29 August 2022 – The Cyber Security Agency of Singapore (CSA) released the Singapore Cyber Landscape (SCL) 2021 publication today. The publication highlights the continuous threats that ransomware and phishing posed to organisations and individuals in Singapore in 2021 (see Appendix A).	シンガポール、2022年8月29日 - シンガポール・サイバー・セキュリティ局（CSA）は本日、「シンガポール・サイバー・ランドスケープ（SCL）2021」を発表した。本書では、2021年にランサムウェアとフィッシングがシンガポールの組織や個人に与えた継続的な脅威を明らかにしている（附属書Aを参照）。
Key Malicious Cyber Activities in 2021	2021年における主な悪質なサイバー活動
i. Ransomware. 137 ransomware cases were reported to CSA in 2021, an increase of 54 per cent from the 89 cases reported in 2020. The cases affected mostly small-and-medium enterprises (SMEs) from sectors such as manufacturing and IT. The around-the-clock nature of these sectors’ operations did not provide for much time to patch their systems, thus potentially allowing ransomware groups to exploit vulnerabilities. CSA observed that ransomware groups targeting SMEs in Singapore utilised the Ransomware-as-a-Service (RaaS) model, which made it easier for amateur hackers to use existing infrastructure – created by developers – to distribute ransomware payloads.	i. ランサムウェア：2021年にCSAに報告されたランサムウェアは137件で、2020年に報告された89件から54%増加した。このケースは、製造業やITなどのセクターの中小企業（SME）に主に影響を与えた。これらの業種は24時間体制で業務を行っているため、システムにパッチを当てる時間があまりなく、ランサムウェアグループに脆弱性を突かれる可能性があった。CSAは、シンガポールの中小企業を狙うランサムウェアグループが、ランサムウェア・アズ・ア・サービス（RaaS）モデルを利用していることを確認した。このモデルでは、素人のハッカーが、開発者が作成した既存のインフラを使用して、ランサムウェアペイロードを配布することが容易になっている。
ii. Phishing. About 55,000 unique Singapore-hosted phishing URLs (with a “.SG” domain) were observed in 2021. This was an increase of 17 per cent compared to the 47,000 URLs seen in 2020. Social networking firms made up more than half of the spoofed targets. This was possibly driven by malicious actors’ exploitation of public interest in WhatsApp’s updated privacy policy announcement on users’ phone numbers being shared with Facebook. Scammers also exploited the COVID-19 pandemic amidst the Omicron sub-variant outbreak in late 2021 to spoof Government websites.	ii. フィッシング：2021年には、シンガポールでホストされている約55,000のユニークなフィッシングURL（「.SG」ドメイン付き）が観測されました。これは、2020年に観測された47,000のURLと比較して17％増加した。SNS企業がなりすまし対象の半数以上を占めていた。これは、WhatsAppがプライバシーポリシーを更新し、ユーザーの電話番号がFacebookと共有されることを発表したことに対する世間の関心を悪意ある行為者が利用したためと考えられる。また、詐欺師は、2021年後半にオミクロン亜種が発生する中、COVID-19のパンデミックを悪用し、政府のウェブサイトを偽装している。
iii. Malicious Command and Control (C&C) Servers & Botnet Drones. In 2021, CSA observed 3,300 malicious C&C servers hosted in Singapore, more than triple the 1,026 C&C servers observed in 2020. This was the largest number recorded since 2017. This spike was driven by a large increase in servers distributing CobaltStrike malware, which made up nearly 30 per cent of all C&C servers observed.	iii. 悪質なコマンド＆コントロール（C&C）サーバーとボットネット・ドローン：2021年、CSAはシンガポールでホストされている悪意のあるC&Cサーバーを3,300台観測し、2020年に観測された1,026台のC&Cサーバーの3倍以上となった。これは、2017年以降で最大の数を記録した。この急増は、CobaltStrikeマルウェアを配布するサーバーが大幅に増加し、観測した全C&Cサーバーの30%近くを占めたことによる。
In 2021, CSA detected about 4,800 botnet drones with Singapore IP addresses daily, a 27 per cent decrease from 2020’s daily average of 6,600. Malware strains for the infected drones varied greatly, with no single strain accounting for a clear majority among compromised devices. This trend could have been caused by threat actors diversifying away from ‘old’ malware strains and exploring new infection methods, as system owners cleaned up infected computers and devices progressively.	2021年、CSAはシンガポールのIPアドレスを持つボットネットドローンを毎日約4,800個検出し、2020年の1日平均6,600個から27%減少した。感染したドローンのマルウェアの系統は大きく異なり、感染したデバイスの中で単一の系統が明確に過半数を占めることはなかった。この傾向は、システム所有者が感染したコンピュータやデバイスを順次クリーンアップしていく中で、脅威者が「古い」マルウェア株から多様化し、新しい感染方法を模索していることが原因である可能性がある。
iv. Website Defacements. 419 ‘.sg’ websites were defaced in 2021, a decrease of 15 per cent from 495 in 2020. The majority of victims were SMEs. The downward trend could be attributed to hacktivist activities moving to other platforms with potentially wider reach, such as social media sites.	iv. ウェブサイトの改ざん：2021年に改ざんされた「.sg」ウェブサイトは419件で、2020年の495件から15％減少している。被害者の大半は中小企業であった。この減少傾向は、ハクティビスト活動がソーシャルメディアサイトなど、より広い範囲に及ぶ可能性のある他のプラットフォームに移行したことに起因すると考えられる。
v. Cybercrime. The Singapore Police Force reported that cybercrime remained a key concern, with 22,219 cybercrime cases in 2021, a 38 per cent increase from the 16,117 cases in 2020. Online scam¹ cases made up the top cybercrime category in Singapore, accounting for 81 per cent of cybercrime cases. 17 per cent of cybercrime cases were Computer Misuse Act offences and 2 per cent were cyber extortion cases.	v. サイバー犯罪：シンガポール警察の報告によると、サイバー犯罪は依然として重要な懸念事項であり、2021年のサイバー犯罪件数は22,219件で、2020年の16,117件から38％増加した。シンガポールでは、オンライン詐欺1がサイバー犯罪の上位を占め、81％を占めた。サイバー犯罪事件の17％はコンピュータ不正利用法違反、2％はサイバー恐喝事件であった。
Anticipated Cybersecurity Trends	予想されるサイバーセキュリティの動向
2 The SCL 2021 report also highlighted several trends to watch, against the backdrop of an increasingly complex and dynamic cyber threat landscape:	2 SCL2021報告書は、複雑化しダイナミックになるサイバー脅威の状況を背景に、注目すべきいくつかのトレンドも強調している。
(a) Decreased global reliance on Western technology due to increased geopolitical tensions. Russia had previously faced a major hurdle in decoupling from US technology, due to the risks that various payment services and product offerings used by Russian citizens would be suspended. With the sanctions imposed by Western technology firms, Russia’s desire to wean itself off Western technology is very likely to strengthen. Meanwhile, countries such as China have also sought to gain self-sufficiency in advanced technology areas. A world of differing cyber norms, ecosystems and standards may become a reality in the near future.	(a) 地政学的緊張の高まりによる、欧米のテクノロジーへの世界的な依存度の低下：ロシアはこれまで、ロシア国民が利用するさまざまな決済サービスや製品提供が停止されるリスクから、米国のテクノロジーとの切り離しに大きなハードルを抱えていた。今回の欧米テクノロジー企業による制裁措置により、ロシアの欧米テクノロジーからの離脱志向は強まる可能性が非常に高い。一方、中国なども先端技術分野での自給自足を目指している。近い将来、サイバー規範、エコシステム、標準が異なる世界が現実のものとなるかもしれない。
(b) Non-state actors playing a larger role in geopolitical conflicts. Cybercriminal and hacktivist groups have been observed taking sides in the Russia-Ukraine conflict, engaging in more malicious cyber activities for politically-motivated purposes, in addition to personal gain. This development increases the risk of reprisals, as any serious cyber incident by these groups may be used as a pretext for escalation by one side or the other. In a hyper-connected global cyberspace, collateral damage to organisations not linked to Russia or Ukraine have become a worrying possibility.	(b) 地政学的紛争において非国家主体がより大きな役割を果たす：ロシア・ウクライナ紛争では、サイバー犯罪者やハクティビスト集団が、個人的な利益だけでなく、政治的な動機から、より悪質なサイバー活動を行っていることが確認されている。このような動きにより、これらのグループによる深刻なサイバー事件が発生した場合、一方がエスカレートするための口実として利用される可能性があり、報復のリスクが高まっている。ハイパーコネクテッドなグローバルサイバースペースでは、ロシアやウクライナと関係のない組織が巻き添えを食うことが憂慮されるようになってきている。
(c) Rise of crypto-based scams. Crypto-based crime has been increasing, largely through the use of Decentralised Finance (DeFi) – peer-to-peer financial platforms that enable direct transactions, without the need for intermediaries. The borderless accessibility of DeFi’s open and distributed platforms, alongside anonymity features, have made it difficult to track illicit activity and enforce our regulations across borders. Such challenges further embolden cybercriminals to perpetuate more of such crypto-based scams.	(c) 暗号ベースの詐欺の増加：暗号ベースの犯罪は、主に分散型金融（DeFi）-仲介者を必要としない直接取引を可能にするピアツーピアの金融プラットフォーム-の利用によって増加している。DeFiのオープンで分散型のプラットフォームは、匿名性の機能とともに、国境を越えてアクセスできるため、不正な活動を追跡し、国境を越えて規制を実施することが困難になっている。このような課題は、サイバー犯罪者がこのような暗号ベースの詐欺をさらに永続させることをさらに助長させる。
(d) Targeting critical Internet of Things (IoT) devices in ransomware attacks. Cybercriminals are recognising that they can inflict significant damage to organisations by infecting critical IoT devices, such as Internet-connected Uninterruptible Power Supply (UPS) units, leading to significant downtime costs. IoT devices often lack critical cybersecurity protection. Employees have also been known to connect their personal IoT devices to the organisation’s networks without the knowledge of security teams. Should organisations in critical, time-sensitive industries such as healthcare, be infected with ransomware, there could be serious, life-threatening consequences.	(d) ランサムウェア攻撃における重要なIoTデバイスの標的化。サイバー犯罪者は、インターネットに接続された無停電電源装置（UPS）などの重要なIoTデバイスに感染することで、組織に大きな損害を与え、ダウンタイムのコストを大幅に削減できることを認識している。IoTデバイスには、重要なサイバーセキュリティの保護が欠けていることがよくある。また、従業員がセキュリティチームに知られることなく、個人所有のIoTデバイスを組織のネットワークに接続することも知られている。医療などの重要で時間的制約のある業界の組織がランサムウェアに感染した場合、生命を脅かす深刻な結果になる可能性がある。
CSA’s Efforts to Strengthen Collective Cybersecurity Posture	CSAのサイバーセキュリティ態勢強化への取り組み
3 Improving the awareness and adoption of good cybersecurity practices by individuals and enterprises is key to enabling our digital economy and digital way of life. CSA launched the SG Cyber Safe Programme last year to help enterprises in Singapore better protect themselves in the digital domain and raise their cybersecurity posture. Under the programme, CSA introduced cybersecurity toolkits tailored to different enterprise roles. This included cybersecurity tips for employees, who are the first line of defence for their organisation’s cybersecurity – such as through setting strong passphrases and protecting their devices with updated software and anti-virus. Since the toolkits were launched in October 2021, they have been downloaded more than 6,000 times.	3 個人とエンタープライズによる優れたサイバーセキュリティの実践に対する認識と採用の向上は、デジタル経済とデジタルライフを実現する上で重要である。CSAは昨年、シンガポールの企業がデジタル領域でよりよく身を守り、サイバーセキュリティの姿勢を強化できるよう、SG Cyber Safeプログラムを立ち上げた。このプログラムのもと、CSAは、企業のさまざまな役割に合わせたサイバーセキュリティ・ツールキットを導入した。このキットには、強力なパスフレーズを設定し、最新のソフトウェアとアンチウイルスでデバイスを保護するなど、組織のサイバーセキュリティの第一線で活躍する従業員向けのサイバーセキュリティのヒントが含まれている。2021年10月の開始以来、ツールキットは6,000回以上ダウンロードされている。
4 As SMEs tend to have limited IT and/or cybersecurity expertise and resources, CSA worked with the Infocomm Media Development Authority (IMDA) to offer SMEs pre-approved cybersecurity solutions under the SMEs Go Digital Programme. Since the programme’s launch in 2017, more than 6,000 SMEs have benefited from these cybersecurity solutions that provide endpoint protection, managed detection, response and unified threat management.	4 中小企業はITやサイバーセキュリティの専門知識やリソースが限られている傾向があるため、CSAはInfocomm Media Development Authority（IMDA）と協力し、SMEs Go Digital Programmeの下で中小企業に事前承認済みのサイバーセキュリティソリューションを提供した。2017年のプログラム開始以来、6,000社以上の中小企業が、エンドポイント保護、管理された検出、対応、統合脅威管理を提供するこれらのサイバーセキュリティ・ソリューションの恩恵を受けている。
5 CSA also recently launched the Critical Information Infrastructure (CII) Supply Chain Programme to enhance the security and resilience of Singapore’s CII sectors. Led by CSA, it is a national effort to establish processes and best practices to help CSA, Sector Leads, CII owners (CIIOs) and their vendors manage supply chain risks holistically.	5 CSAはまた、シンガポールのCIIセクターのセキュリティとレジリエンスを強化するために、重要情報インフラ（CII）サプライチェーンプログラムを最近開始した。CSAが主導するこのプログラムは、CSA、セクターリーダー、CIIオーナー（CIIO）、およびそのベンダーがサプライチェーンのリスクを総合的にマネジメントできるよう、プロセスやベストプラクティスを確立するための国家的な取り組みとなっている。
6 CSA will also re-launch its “Better Cyber Safe Than Sorry” national cybersecurity awareness campaign later this year, focusing on raising awareness and driving adoption of good cybersecurity practices. The national campaign augments concurrent efforts by CSA to target students and seniors respectively under the SG Cyber Safe Students Programme and SG Cyber Safe Seniors Programme. In collaboration with various government agencies, such as the Ministry of Education, GovTech, SPF and IMDA, these initiatives enable CSA to reach out to students and seniors with relevant cybersecurity messages through platforms – such as roadshows and webinars – to raise awareness and adoption of good cyber practices. Initiatives such as the Go Safe Online Pop-up and Go Safe Online Drama Skit under the SG Cyber Safe Students Programme have reached more than 160 schools, libraries, and community spaces, while CSA has engaged more than 45,000 seniors under the SG Cyber Safe Seniors Programme since the launch of both programmes in 2021.	CSA はまた、今年後半に「Better Cyber Safe Than Sorry」全国サイバーセキュリティ意識向上キャンペーンを再開し、サイバーセキュリティの優れた実践の意識向上と採用促進に重点を置く予定である。この全国キャンペーンは、「SG Cyber Safe 学生プログラム」と「SG Cyber Safe 高齢者プログラム」のもと、学生と高齢者をそれぞれ対象とした CSA の同時取り組みを補強するものである。教育省、GovTech、SPF、IMDAなどのさまざまな政府機関と協力し、これらの取り組みにより、CSAはロードショーやウェビナーなどのプラットフォームを通じて、学生や高齢者にサイバーセキュリティに関するメッセージを伝え、優れたサイバー対策の意識向上と採用につなげることができるようになった。SG Cyber Safe 学生プログラムのGo Safe Online Pop-upやGo Safe Online Drama Skitなどの取り組みは、160以上の学校、図書館、コミュニティスペースで行われ、CSAは2021年の両プログラムの開始以来、SG Cyber Safe 高齢者プログラムの下で45000人以上のシニアに参加してもらった。
7 Mr David Koh, Commissioner of Cybersecurity and Chief Executive of CSA, said: “The cyber landscape in 2021 was fraught with increasingly sophisticated threats and more brazen threat actors. The government has stepped up efforts to work with our stakeholders to do more, but cybersecurity is a team sport. Only by banding together and working across borders, do we stand a fighting chance against the ever-evolving threat. Governments, businesses and individuals must continue to do their part to strengthen our collective cybersecurity posture. We must act now.”	7 サイバーセキュリティ担当コミッショナー兼CSA最高責任者のDavid Koh氏は、次のように述べている。「2021年のサイバー環境は、ますます高度化する脅威と、より大胆な脅威行為に満ちていた。政府は、ステークホルダーと協力してより多くのことを行うための取り組みを強化しているが、サイバーセキュリティはチームスポーツである。国境を越えて団結し、協力してこそ、進化し続ける脅威に対して勝算がある。政府、企業、個人は、サイバーセキュリティの態勢を強化するために、それぞれの役割を果たし続ける必要がある。私たちは今、行動を起こさなければならない。

・Singapore Cyber Landscape 2021

・[PDF] Singapore Cyber Landscape 2021

2022.08.31 10:07 in 情報セキュリティ / サイバーセキュリティ, in ウイルス, in 法律 / 犯罪, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

産総研「機械学習品質マネジメントガイドライン第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)

こんにちは、丸山満彦です。

産総研が「機械学習品質マネジメントガイドライン第3版」と「機械学習品質評価・向上技術に関する報告書第2版」を公開していました。。。

プライバシー、セキュリティに関わる部分での整理が行われているようですね。。。

● 産業技術総合研究所

・2022.08.02 機械学習品質マネジメントガイドライン第3版

・[PDF] 機械学習品質マネジメントガイドライン第3版（本文）

第3版での主な変更点は、

・プライバシーに関わる外部品質を設定し、分析・対処方法等の記述を検討・追加。
・セキュリティを外部品質として位置づけ、既存の特性との関係を整理した上で、第2版の記述を拡充。
・公平性の章の記述を再整理。
・その他の記述の更新。

プライバシー、セキュリティに関わる部分での整理が行われているようですね。。。

全体像については、、、

1章の内容は参考（informative）である。本章に含まれ、本ガイドラインの規範の一部を構成する (normative) 内容については、後の章で再掲する。

本概要の全体構成は以下の通りである。第 2 章以降の本編に対応する内容がある場合には、その対応する章節も示す。
・ 1.1 節では、本ガイドラインを作成した背景と目的を示す。
・ 1.2 節では、本ガイドラインが主に想定する「使われ方」を提示する。（本編 2 章）
・ 1.3 節では、背景として掲げた「AI の品質管理が困難である理由」を分析する。
・ 1.4 節では、本ガイドラインがベースとする、品質管理のプロセスについての全体的な考え方を述べる。
・ 1.5 節では、本ガイドラインが「目標」として設定する４つの「外部品質」の観点（実装手段にあまり依存せず、使用を通じてしか評価できない品質観点）を提示する。（本編 3 章）
・ 1.6 節では前節を補足して、一般に「AI の品質」として議論される要素のうち、前節で採用しなかった要素について、その理由や本ガイドラインでの考え方を説明する。
・ 1.7 節では、本ガイドラインが「管理手段」として設定する 9 つの「内部品質」の観点（実装手段に依存し、計測や作り込みでの管理が可能な品質観点）を提示する。（本編 6 章・7 章）
・ 1.8 節では、本ガイドラインを作成するに当たって想定する開発プロセスの全体のイメージを提示する（本編 4 章・5 章）
・ 1.9 節では、外部の規範文書などとの関係を明らかにする。（本編 11 章）
・ 1.10 節では、本ガイドラインの残りの部分の構成を整理する。

・ 2 章では、本ガイドラインのスコープや既存規格類との関係について改めて整理する。
・ 3 章では、1.5 節で述べた外部品質特性について、レベル分けの決定を含む詳細について整理する。
・ 4 章では、1.8 節で概要を説明した開発プロセスについて、その参照モデルを示す。
・ 5 章では、本ガイドラインの具体的な運用・適用方法について述べる。
・ 6 章では、1.7 節で述べた内部品質特性をより詳細に整理する。
・ 7 章では、6 章の内部品質特性ごとに、その留意点や具体的な実現方法の可能性を整理する。
・ 8 章では、公平性の外部品質特性のマネジメントに特有の事柄について整理する。
・ 9 章では、外部品質特性としてのプライバシーのマネジメントについて整理する。
・ 10 章では、機械学習品質マネジメントにおけるセキュリティの考え方について整理する。
・ 11 章では、他のガイドラインなどとの関係性などの参考情報を示す。
・ 12 章では、本ガイドラインの検討委員会が 1.7 節（および 6 章）で掲げた内部品質を洗い出すまでの分析過程および考え方を、参考情報として示す。

外部品質として、プライバシー、AIセキュリティを位置付けているということを示す図となっていますね（AIセキュリティ以外は、ソフトウェアとしての一般的性質）。。。

1.5.4 プライバシー

AI に限らず実社会の情報システムの応用では、その実現の過程で一般に広く知らせてはいけない秘匿すべき情報を取り扱う場合がある。特に自然人のもつ様々な属性や志向などの個人情報の保護は、人の基本的な権利としてのプライバシー権の尊重として厳密に求められ、各国・地域において法律等で厳密にその取り扱いが規制されていることが多い。システムが取り扱う情報のうち、明示的な形で保存されている個人情報そのもの、例えば性別や人種、顔画像などは、システムの設計や運用の段階でその取り扱いを慎重に考えることが、直接的であるという意味では取り扱いの判断が容易である一方、例えば平均値などの統計処理された情報は、通常であれば個人を特定できないと想定される場合でも、情報が明らかになる状況（例えば入力値が 2 名であれば、その平均値からそれぞれの当人がもう 1 人の具体的な値を知ることができる）、つまり個人の特定を避けたにも関わらず再特定が可能になる状況があることを慎重に考えなければいけない場合が多い。

機械学習を利用したシステムにおいて、個人情報を訓練用データとして用いた機械学習モデルは、そのシステムの利用目的により、それぞれの当人の個人情報を含むものとして扱う場合（例えば、それぞれの当人を識別する認証システムとして使う場合）もあれば、含まないものとして扱いたいこと（例えば、当人とは別の人の年齢層を推定する目的の場合）もある。前者の場合であれば、機械学習モデルを従来の個人情報保護の仕組みで取り扱えば済むことも多い。しかし後者の場合、その機械学習モデルを公知のものとしてもプライバシー侵害に繋がる個人情報が想定外に漏洩しないかどうかは、従来の統計処理データと比べても技術的に不明な点が多く、実際に情報漏洩が起こるケースも指摘されている。このようなケースでは機械学習モデルを対象とした従来とは異なる個人情報漏洩対策が必要となる。

本特性ではこのような想定外の情報漏洩の場合を想定して、機械学習システムの構築を通じてプライバシーの保護を図るような対策を行う必要性を、「プライバシー」の品質観点として取り扱うことにした。この特性については、9 章で深く取り扱う。

なお、本節では特に公平性と並んで社会的要請の側面の強さに対応した語として「プライバシー」を用いたが、個人以外の企業の秘密情報（トレードシークレット）等の取り扱いについても、技術的には類似の観点から応用できる可能性があると考えられる。

1.5.5 AI セキュリティ

機械学習などの AI を用いたシステムは他の IT システム同様に、様々な悪意のある利用もされることが想定される。通常の自然な利用において上記の 4 つの外部品質が期待通りに達成される場合であっても、悪意のある人が環境や入力データに手を加えると、機械学習モデルの動作を意図的に変化させてこれらの外部品質の達成を妨げることができることがあることが、一般的に機械学習の持つ弱点として指摘されている。特に一般の利用者や市中環境での利用が想定されるシステムにおいては、このような入力データの改変を検知したり防いだりすることが難しく、機械学習システムにおいて特に対処を必要とすることがある。このようなケースに対応する外部品質として、「AI セキュリティ」を抽出する。

注意点として、本ガイドラインで導入する外部品質「AI セキュリティ」では、従来の IT セキュリティやシステムセキュリティの観点で対処できる、あるいは対処すべき攻撃は、対象としては扱わない。例えば、機械学習アルゴリズムを考慮した学習データの改竄（データポイズニング攻撃）は外部品質「AI セキュリティ」の対象とするが、学習データの改竄のために AI モデルの開発環境に侵入する攻撃は外部品質「AI セキュリティ」の対象外とする。また、画像データを改竄してバッファ・オーバーランなどのソフトウェアの誤動作を引き起こすような攻撃も、このガイドラインの外部品質「AI セキュリティ」の範疇外である。これらについては、従前通りのセキュリティマネジメントプロセスと、必要に応じて従来規格、例えば ISO/IEC 15408 [3] の評価保証レベル（EAL）などにより管理すればよい。

一方で、仕様通りに実装すればその通りに動いてくれると期待される従来型の IT ソフトウェアのセキュリティ対策と異なり、データから学習した機械学習モデルは、例え仕様の想定内のデータ（例えば、カメラ撮影後に改変されていない実環境の撮影画像データ）であっても、特定のデータで誤動作を起こすようなことがしばしば起こること、さらにそういったデータを意図的に作ることができることが指摘されている。また、オープンソース・ソフトウェアのように一般に公開されたデータや機械学習モデルをシステム構築に用いる場合に、検知が難しい悪意の改変をそれらの公開データに含めることができることも指摘されている。これらの問題に対しては、従来のソフトウェアセキュリティの事前検査などのアプローチが通用せず、機械学習システムの構築工程内で他の品質観点と同時並行的に対処せざるを得ない。

機械学習モデルの構築工程で対処する「AI セキュリティ」の品質観点については、10 章でそのリスクや事例、可能な対処などについて詳しく述べる。

10.2 機械学習利用システムに対する攻撃と被害

表 6：機械学習利用システムの各被害を引き起こす攻撃

10.3 機械学習特有の攻撃とその対策

表 7：機械学習特有の攻撃の実行フェーズ・攻撃者・攻撃手段の例

10.5 AI セキュリティの品質マネジメント

表 8：システム設計開発フェーズのセキュリティ対策の例

表 9：システム運用フェーズにおけるセキュリティ対策の例

参考文献

14 参考文献

14.1 国際規格

14.2 国・国際機関の指針等

内閣府統合イノベーション戦略推進会議. 人間中心の AI 社会原則. 2019 年 3 月. https://www8.cao.go.jp/cstp/aigensoku.pdf
United Nations Educational, Scientific and Cultural Organization (UNESCO), Draft Text of the Recommendation on the Ethics of Artificial Intelligence, 41 C/73 Annex, November 2021.
Organisation for Economic Co-operation and Development (OECD). OECD Principles on Artificial Intelligence. May 2019. https://www.oecd.org/going-digital/ai/principles/
European Commission. Regulation of the European parliament and of the council laying down harmonized rules on artificial intelligence (Artificial Intelligence Act) and amending certain union legislative acts. April 2021. https://digital-strategy.ec.europa.eu/en/library/proposal-regulation-laying-down harmonised-rules-artificial-intelligence-artificial-intelligence
European Commission. Regulation (EU) 2016/679 of The European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation).
European Commission. Communication Artificial Intelligence for Europe. 2018. https://digital-strategy.ec.europa.eu/en/library/communication-artificial-intelligence europe .
European Commission. The White Paper on Artificial Intelligence – A European approach to excellence and trust. February 2020. https://ec.europa.eu/info/publications/white-paper-artificial-intelligence-european approach-excellence-and-trust_en
European Commission. High-Level Expert Group on Artificial Intelligence. 2018. https://digital-strategy.ec.europa.eu/en/policies/expert-group-ai
The High-Level Expert Group on Artificial Intelligence, European Commission. Ethics guidelines for trustworthy AI. April 2019. https://ec.europa.eu/digital-single-market/en/news/ethics-guidelines-trustworthy-ai
The High-Level Expert Group on Artificial Intelligence, European Commission. The Assessment List for Trustworthy Artificial Intelligence (ALTAI). July 2020. https://ec.europa.eu/digital-single-market/en/news/assessment-list-trustworthy artificial-intelligence-altai-self-assessment
経済産業省. AI・データの利用に関する契約ガイドライン. 2018 年 6 月. https://www.meti.go.jp/press/2018/06/20180615001/20180615001-3.pdf
経済産業省 AI 社会実装アーキテクチャ検討会. 我が国の AI ガバナンスの在り方 0. 2021 年 1 月. https://www.meti.go.jp/press/2020/01/20210115003/20210115003-1.pdf
The IEEE Global Initiative on Ethics of Autonomous and Intelligent Systems. Ethically Aligned Design: A Vision for Prioritizing Human Well-being with Autonomous and Intelligent Systems, First Edition. IEEE, 2019. https://standards.ieee.org/content/ieee standards/en/industry-connections/ec/autonomous-systems.html
経済産業省. サイバー・フィジカル・セキュリティ対策フレームワーク 0. 2019 年 4 月. https://www.meti.go.jp/press/2019/04/20190418002/20190418002-2.pdf

14.3 公的規格・フォーラム標準等

National Institute of Standards and Technology (United States of America). Draft NIST IR 8269: A Taxonomy and Terminology of Adversarial Machine Learning. October 2019. https://nvlpubs.nist.gov/nistpubs/ir/2019/NIST.IR.8269-draft.pdf
National Institute of Standards and Technology (United States of America). NIST SP 800-30: Guide for Conducting Risk Assessments. September 2012. https://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-30r1.pdf
National Institute of Standards and Technology (United States of America). Cyber Security Framework Version 1.1. April 2018. https://doi.org/10.6028/NIST.CSWP.04162018
Adversarial ML Threat Matrix. https://github.com/mitre/advmlthreatmatrix
MITRE, Common Platform Enumerations. http://cpe.mitre.org/
MITRE, Common Vulnerability Enumerations. https://cve.mitre.org/
Payment Card Industry Security Standards Council. Payment Card Industry Data Security Standard (PCI DSS). https://www.pcisecuritystandards.org/.
AI プロダクト品質保証コンソーシアム. AI プロダクト品質保証ガイドライン08 版. 2020 年 8 月. http://qa4ai.jp/download/.
European Union Agency for Cybersecurity (ENISA). Artificial Intelligence Cybersecurity Challenges. December 2020. https://www.enisa.europa.eu/publications/artificial-intelligence-cybersecurity challenges
European Union Agency for Cybersecurity (ENISA). Securing Machine Learning Algorithms. December 2021. https://www.enisa.europa.eu/publications/securing machine-learning-algorithms
中華人民共和国国家情報セキュリティ標準化技術委員会. Information security technology: Assessment specification for machine learning algorithms (draft). August 2021.

次は、こっちの方...

・2022.08.02 機械学習品質評価・向上技術に関する報告書 機械学習品質マネジメントガイドライン付属文書 第 2 版

1 はじめに
1.1 本調査・研究開発の概要
1.2 著者リスト
1.3 謝辞

2 機械学習モデル情報の可視化
2.1 機械学習支援のための可視化手法についての調査
2.2 機械学習モデルと作業者情報の可視化手法の提案
2.3 今後の方針

3 データ拡張による品質向上
3.1 学習データ数と識別率の関係（予備実験）
3.2 識別率の平均値と標準偏差の評価
3.3 データ拡張手法の組み合わせの効果
3.4 まとめ

4 データ拡張の適用法の改良による品質改善
4.1 研究目的
4.2 データ拡張の適用層の改良
4.3 Mixup の改良による新しい混ぜ合わせ方法の提案

5 深層 NN ソフトウェアのデバッグ・テスティング
5.1 不具合の直接原因
5.2 内部指標
5.3 実験の方法と結果
5.4 関連研究
5.5 おわりに

6 訓練データのデバッグ・テスティング
6.1 ３つの問題設定
6.2 訓練データのデバッグ問題

参考

● まるちゃんの情報セキュリティ気まぐれ日記

機械学習品質マネジメントガイドライン関係

・2021.07.06 産総研「機械学習品質マネジメントガイドライン第2版」を公開

・2020.07.01 産総研「機械学習品質マネジメントガイドライン」を公開

AIリスクマネジメント・セキュリティ関連

・2022.08.24 NIST 意見募集 AIリスクマネジメントフレームワーク（第２ドラフト）とそのプレイブック

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク（初期ドラフト）

↓ ENISAの他にもNIST IR 8269、中国の国家标准《信息安全技术机器学习算法安全评估规范》

・2021.12.15 ENISA 機械学習アルゴリズムの保護

Continue reading "産総研「機械学習品質マネジメントガイドライン第3版」「機械学習品質評価・向上技術に関する報告書第2版」(2022.08.02)"

2022.08.31 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2022.08.30

経済産業省「サイバーセキュリティ経営に関する調査調査報告書」「地域ＳＥＣＵＮＩＴＹ形成促進事業調査報告書」

こんにちは、丸山満彦です。

経済産業省が、「サイバーセキュリティ経営に関する調査調査報告書」と「地域ＳＥＣＵＮＩＴＹ形成促進事業調査報告書」を公表していますね。。。

委託事業者は、どちらも「みずほリサーチ＆テクノロジーズ株式会社」ですね。。。

経済産業省「のサイバーセキュリティ経営ガイドラインと支援ツール」と関係がありますね。。。

● 経済産業省 - [PDF] 令和３年度委託調査報告書ＨＰ掲載一覧

・2022.08.26 [PDF] 令和３年度サイバー・フィジカル・セキュリティ対策促進事業（サイバーセキュリティ経営に関する調査）調査報告書

１．調査実施の⽬的、事業内容等
２．サイバーセキュリティ経営ガイドライン改訂及び可視化ツール普及促進に向けた調査
３．サイバーセキュリティ⼈材活躍モデルの構築のための調査
４．情報セキュリティサービス活⽤・普及に関する調査
５．まとめ

図1.1 調査の実施方針

1. サイバーセキュリティ経営ガイドライン改訂及び可視化ツール普及促進に向けた調査

1.1 経営ガイドラインの改訂に向けた調査と改訂⽅針案の作成

サイバー・フィジカル・セキュリティ対策フレームワーク（以下、「CPSF」という。）ほか、経済産業省との協議のもとに定めた調査対象について、最新の動向調査を実施した。
サイバーセキュリティ経営ガイドライン（以下、「経営ガイドライン」という。）Ver.2.0本⽂（英訳版を含む）について、改訂の必要性についての検討を⾏うととともに、改訂素案をとりまとめた。
経営ガイドライン付録Aについてはサイバーセキュリティ経営可視化ツール（以下、「可視化ツール」という。）の質問項⽬に合わせた形での修正を実施した。

1.2 企業調査

 ユーザ系企業10社、ベンダ系企業3社を対象に、経営ガイドラインへの意⾒や改訂版に盛り込むべき事項等について調査を実施した。

1.3 機関投資家へのヒアリング調査

サイバーセキュリティやリスクマネジメント、ESG等について企業を評価、投資判断当⾏ったことがあり、⾒解を持つ機関投資家⼜はその団体8者に対し、企業を評価する際に⾒る項⽬、サイバーセキュリティに関して⾒る内容、企業をサイバーセキュリティの観点で評価するときに参考にするガイドライン等及び課題等について調査を実施した。

1.4 海外動向調査

海外企業8社及び対照群としてそれぞれの同業種の国内企業7社を対象に、企業が開⽰しているサイバーセキュリティに関する情報に関する取組
事例と動向について整理した。

1.5 有識者会議の開催

企業のサイバーセキュリティ対策に知⾒を有する6名の有識者によるタスクフォースを設置し、9回にわたる開催にあたっての事務局運営を担当した。

調査の概要...

2.2.1 ユーザ系企業調查
① サイバーセキュリティ経営ガイドラインVer.2.0の活⽤状況
② サイバーセキュリティ経営ガイドラインVer.2.0の改訂について
③ 「最近のサイバー攻撃の状況を踏まえた経営者への注意喚起」に対する取組状況
④ 「サイバーセキュリティ体制構築・⼈材確保の⼿引き（第1.1版）」の活⽤状況
⑤ 「サイバーセキュリティ体制構築・⼈材確保の⼿引き（第1.1版）」の改善について
⑥ 最近の状況（コロナ禍、DX進展など）によるセキュリティ体制の変化
⑦ 最近の状況によるセキュリティ施策の変化
⑧ セキュリティ⼈材の確保・育成⽅法
⑨ プラス・セキュリティ⼈材の育成⽅法
⑩ グループ・グローバル関連会社のガバナンス⽅法
⑪ グループ・グローバル関連会社のセキュリティ実施状況の把握⽅法
⑫ サプライチェーン（取引先）のセキュリティ対策実施状況把握⽅法
⑬ OT/IoT分野のセキュリティに関する体制や⼈材の役割定義

2.2.2 ベンダー系企業調査

2.3 機関投資家へのヒアリング調査
① 企業を評価する際に⾒る項⽬（機関投資家等）
② サイバーセキュリティに関して⾒る内容（機関投資家等）
③ サイバーセキュリティに関して⾒る内容（M&Aにおけるデューデリジェンス）
④ 企業をサイバーセキュリティの観点で評価する際に参考にしているガイドライン等
⑤ 企業をサイバーセキュリティの観点で評価する際の課題
⑥ 経済産業省による機関投資家への普及啓発の⽅法について

2.4 海外動向調査

気になる、サイバーセキュリティ経営ガイドライン ver2.0の活用状況...

2.2.1 ユーザ系企業調查

(8) ヒアリング調查

① サイバーセキュリティ経営ガイドラインVer.2.0の活⽤状況

＜活用方法＞

ガイドラインの認知度は⾼く、施策や規定類の抜け漏れチェックやCISOの役割設定などに活⽤されている。
セキュリティ統括部⾨の⽴ち上げや年間計画/5か年計画の作成時や経営会議での報告時にも活⽤されている。
成熟度低の企業では最近になってガイドラインを活⽤してセキュリティ対策をアセスしている。
経営層に説明する際に経産省のガイドラインで確認していることで納得が得られる（説得⼒がある）。
経営層に理解してもらうためにガイドラインを活⽤。

＜経営者の意識、認識＞

経営者にはリスクや経営への影響を認識してもらえば良く、技術的内容まで理解してもらう必要はない。
セキュリティは専⾨性が⾼く、経営者がリーダーシップを発揮するのは難しいのではないか。
成熟度低の企業では経営者の意識を変えたい、セキュリティの重要性を認識してもらたいと考えているができていない。

＜経営への報告＞

経営者には定期的にリスク管理委員会からセキュリティの状況を報告。
経営者はセキュリティの重要性を認識しており、関係性も良いので予算や⼈の確保もできている。

＜活⽤していない理由＞

ガイドラインはセキュリティ対策が進んでいる企業では有効ではない。
セキュリティ施策は企業⽂化により異なるので、ベーシックな内容では活⽤しづらい。

＜可視化ツール＞

可視化ツールを使って実施状況を評価し経営会議に報告している。
レーダーチャートで到達点を決め現状を評価することが有効。

＜他のガイドラインの参照先として活⽤＞

管轄省庁のガイドラインを参照しているが、このガイドランは経営ガイドラインを踏まえていると認識している。
ベンダーの診断サービスで経営ガイドラインを参照した評価ができるようになっている。

② サイバーセキュリティ経営ガイドラインVer.2.0の改訂について

特に改訂の必要はないが約45％
ガイドラインを活用していない企業はわからないと回答（全体の1/3）

＜改訂に対する意⾒＞

攻撃者から⽀払いを求められたときの対処⽅法をガイドしてほしい。
リスクベースアプローチ、残存リスクに対する具体的アプローチ。
CISOの役割とか必要となる能⼒について提⾔してほしい。
現実と対⽐して分かりにくい部分や、同様の記述があるので⾒直してほしい。
定量的に脅威を可視化して把握することを盛り込んでほしい。

＜改訂の必要ない＞

成熟度⾼の企業ではガイドラインはベーシックなものと認識しており、改訂の必要はないと考えている。
ガイドラインは経営層向けであり、DX関連の動向で⾒直す必要はない。

グループ関連会社のガバナンス方法についてのユーザヒアリングも参考になる部分がありますね。。。

ただ、何割とかいうても、9社ですからね。。。

（P52とP51は同じかなぁ。。。あと、ベンダー企業へのヒアリング結果がないですかね。。。）

⓾ グループ・グローバル関連会社のガバナンス方法

約８割の企業は連邦型のガバナンス
集権型、文献型ガバナンスはそれぞれ約１割

＜ガバナンス形態、役割分担＞

連邦型のガバナンスで、会社ごとにシステムや予算も別であるが、各社にCISOがいる体制。
100％⼦会社は集権型だが、それ以外の関連会社は連邦型で、各社でセキュリティ対策を実施してもらい結果を報告してもらっている。
買収した企業はイントラにつないでいない。既存環境を維持したい場合はSP800-171をベースにした規定を遵守してもらっている。それができない場合は、セキュリティセンターがひな形を⽤意して要求事項を守れるように⾃分たちで細則を作って実施してもらっている。

＜セキュリティ施策、IT環境＞

既存事業を⾏っている関連会社は、セキュリティ施策（PC、EDR、ウイルス検知など）、ネットワーク、PC等のIT環境を標準化している。
ADはグローバルのADチームがあって、各国のHQによるツリーの上のところをグローバルで管理し、各国・地域のツリーの下のところに関しては各地域のHQで管理する形にしている。
インシデントが発⽣した時は、ネットワークを遮断したり、どう復旧させるかはグローバルで取り仕切っている。但し、ネットワークはSOCが24365で監視しており、異常を検知した場合は即時性のためインフラ部⾨が判断して対処している。

＜予算、費⽤回収＞

セキュリティ予算はグローバルでIT予算の枠内で管理している。
IT統括部で集中的に管理しているPCとかネットは⼀旦統括部でキャッシュアウトするが、内部で利⽤料として回収している。

＜規定・ルール＞

規定・ルールの基本的な部分はグローバル共通であるが、法令等により異なる部分は各リージョンに任せている。
関連会社も意識して規定・ガイドラインを作成している。

⑪ グループ・グローバル関連会社のセキュリティ実施状況の把握方法

チェックシートによりセキュリティ実施状況を把握している、検討している企業がそれぞれ1/3
個別にセキュリティ実施状況を聞いている企業が1/3

＜チェックリスト、定期的＞

成熟度⾼の企業では、FISCの安全対策基準や、海外はNIST SP800、EUのENISAなどをベースにチェックシートを作っている。それ以外にはMITRE ATT＆CKをベースにしたランサム攻撃に対する体制をみるチェックリストも作っている。
成熟度中の企業では国内関連会社はチェックシートによるチェックを毎年実施しているが、海外は実施していない。
チェックシートは⾃⼰評価であり、インタビューなどで実施状況を確認することもあるが現地調査は実施できておらず、現場確認や実効性確認は課題である。
各部⾨、関連会社の対策状況を確認するためシステムの棚卸しを⾏っている。保有するシステムのセキュリティリスクに応じて３×３のラインマトリックスで分類して評価している。

＜個別チェック、特定分野のチェック＞

成熟度低の企業では、必要に応じて個別に、もしくは多要素認証を導⼊する場合など特定機能についてはチェックしている。
クラウドはセキュリティ部⾨でチェックシートを作ってリスク評価している。

サプライチェーンも...

⑫ サプライチェーン（取引先）のセキュリティ対策実施状況把握⽅法

チェックシートによりセキュリティ対策状況を聞いている、もしくは計画しているは合計でいで1/3
個別にセキュリティ対策状況を聞いている企業が1/3
一方、セキュリティ対策状況を把握していない企業も1/3

＜IT環境、責任分界点＞

取引先とのシステム接続仕様を決めており、その仕様の中でセキュリティ対策をしてもらうことが前提となっている。この中にインシデント発⽣時の責任分解点も含まれている
システム開発会社とは専⽤の開発環境にしかつながらないような施策で、取り扱う情報も最⼩限にとどめて、かつモニタリングを掛けて後から追跡できるようにしている。
販売会社は契約ベースのガバナンスとなっている。シンクライアントを使ってもらい、ログを監視するなどガバナンスを強めている。

＜契約、規定・ルール＞

システム開発の委託先とはセキュリティ基本契約を締結しており、定期的にセキュリティチェックしている。
取引先とは契約書にセキュリティ関連項⽬（NDAの保持、適切なセキュリティ対策の実施）が含まれている。個⼈情報を扱っているところは漏洩時の責任の明確化なども含まれている。
情報システムや情報資産を扱う取引先との契約書にはセキュリティ監査やチェック後の指⽰に従うような条項も含まれている。
サプライチェーンのリスクが騒がれているので、機器とかソフトウエアを調達するときにセキュリティ条項を追加している。

＜ネットワーク接続形態＞

サプライチェーンを把握するのは事業規模的に無理なので社内ネットワークに繋がせないようにしている。
通信販売店とのネットはつながっている。個⼈情報を扱うオペレーションセンターとは別ネットにして分離しているが、ＦＷを介して繋がっている。
販売会社がシステムを使う場合は専⽤線とシンクライアントを使ってもらっている。そこから各店舗で持っているPCに情報を取り出せるようにしている。
開発会社とネット接続する場合は、決まった⽅法でしか接続させないようにしている。

＜インシデント発⽣時の対応＞

ランサムウエアに感染した場合などはネットを遮断して状況を調査して、場合によっては広報と相談して社外公表することもある。
サイバーセキュリティのインシデントが発⽣した場合に責任を取らせることはない。USBの紛失や個⼈情報の漏洩などは責任を追求することもある。

＜チェックリスト＞

成熟度⾼の会社ではサプライチェーンのセキュリティ対策実施状況をチェックリストでチェックしている。
事務やオペレーションの委託先のセキュリティ状況をどう把握するかは課題である。弁護⼠事務所、コールセンター、保険⾦査定会社などのセキュリティがどうなっているかは最近注⽬されている。

＜個別チェック＞

成熟度中の企業では、セキュリティ認証状況の確認やセキュリティ責任者の設置などを書⾯で聞いている企業がある。
IT部⾨では何を預けているかは分からないので、事業部⾨の判断としてやってもらっている。

＜特定分野のチェック＞

クラウドベンダーや個⼈情報を扱っている取引先はセキュリティチェックを⾏っている。
システム開発（ウエブサイト構築など）するときなどはウエブサイトの作り⽅に準拠した作り⽅になっているかなどをチェックすることはある。

＜顧客からのセキュリティチェック＞

取引先としてチェックされることが多い。チェックシートはお客様各社個別で別々に対応しなければならず、提出には社内稟議を通す必要があり⼤きな負荷となっている。確認する側も⼤変なので、社会全般的なルール・指針を作ってもらうと助かる。

制御系システムのセキュリティ...

⑬ OT/IoT分野のセキュリティに関する体制や⼈材の役割定義

OT/IoT分野もセキュリティ統括が担当しているのは約１割のみ
OT/IoT分野の制御部分は事業部門が担当し管理部分をセキュリティ統括が担当している企業が1/3
最近の状況を考慮し役割分担と県警方法を検討している企業が1/3

＜OT/IoTの担当部⾨と役割分担＞

⼯場部⾨の独⾃ネットについてはセキュリティ統括は関与していないが、ITで管理しているネットにつなぐ場合は関与する。
⼯場のセキュリティについてはセキュリティ⽅針を経営の決定事項として展開している。⼯場の責任者会議、現場の担当者向け説明会でネットワークを接続する場合はセキュリティ統括が介⼊することを周知徹底している。
数年前に⼯場でラインが⽌まったこともあり、3年前から技術はセキュリティ統括、実施の責任は⼯場部⾨ということで⼆⼈三脚でセキュリティ強化を実施している。
⼯場部⾨のセキュリティは⼯場部⾨担当だが、技術的進歩が速くアドバイスを求められており、今後は積極的に関与していくことを検討している。
OTとしては電気通信設備がある。電気通信設備の統括組織（ネットワーク事業推進本部）があり、その中にセキュリティ専⾨部隊が管理している。
新しい⼯場はネットワークアーキテクチャから、古い⼯場は機器の更新のタイミングに合わせて、アーキテクチャーとネットワークはIT部⾨が担当することになっておりセキュリティもチェックする。

機関投資家へのヒアリング...

① 企業を評価する際に⾒る項⽬（機関投資家等）

リスクとして調査対象とするのは５年程度の時間軸でみる⻑期のものであり、移⾏リスク（気候変動の影響等）とオペレーショナルリスク（サプライチェーンの健全性等）に分けて扱う。それぞれの重みは業種によって異なるので、業種毎の担当を置いて取材する。
企業の評価の際に確認する内容は、企業の業種や成⻑ステージによって異なるが、いずれも事業におけるリスクを把握するところから始まる。
企業が指標として⽤いている値の経年変化はかなり参考になる。ただし指標として妥当かどうかは確認が必要。デジタル⼈材の充⾜⽬標に対する進捗率を出している企業があり、参考にしている。
投資家による単独での企業との対話には限界があり、集団で分担して企業を調べるようにしている。これにより、質問対象を絞る代わりに深い内容について尋ねることができる。こうした動きを踏まえ、経営層は投資家からの質問に対して、リスクがどの程度⾒込まれ、どう対策をしているか答えられるようにしておくべき。
CEOがシステムに明るく、⾃分の⾔葉でDXの⽅向性や、活⽤するプラットフォームの考え⽅、外部連携を⾃分の⾔葉で語れると安⼼感がある。誰か担当者に尋ねた上で回答していると不安になる。
経営陣が適切な課題認識をもっているかどうかは重視している。課題について論理的に説明できることを期待している。
「気候関連財務情報開⽰タスクフォース（TCFD）」が「ガバナンス」、「戦略」、「リスク管理」、「指標と⽬標」の４つの柱に関して開⽰のプロトタイプを⽰している。投資家はこうした動きになじみはじめており、他のリスクに関しても開⽰のプロトタイプとして、わかりやすい開⽰を求める動きが出てくる可能性がある。
法律で開⽰が求められている情報の内容は各社とも似通っており、あまり読むことはない。⾃社にとって致命的なリスクをメリハリをもって⽰すことが重要。

② サイバーセキュリティに関して⾒る内容（機関投資家等）

企業がサイバーセキュリティを評価するのは、企業におけるリスクとして重要性（マテリアリティ）が⾼い場合。そうでない場合、事業上のすべてのリスクをチェックすることは⼀般的ではなく、対話のテーマにならない。
サイバーセキュリティを含むITリスクの重要度が⾼いのはゲーム業界や⾦融業界。
セキュリティ体制は機能していることが重要。現場と経営陣が円滑につながっているかを確認したい。
経営層がリスクをどの程度把握しているかを確認するため、開⽰内容は⼀通り参照する。サイバーセキュリティのリスクが⾼ければ、それをピックアップして確認する。
ある企業で情報漏えいが⽣じたから、同じ業種のリスクが⾼いとは考えない。事故の当事者企業には個別に対策状況等を確認することはある。扱う情報が多い業種・業態のリスクは⾼いとは考えている。データの流出が企業の存続に関わるようなケースでは詳細に確認する。
開⽰される情報のエビデンスは重視していない。エビデンスがあってもリスクはゼロにならない。ただしプライバシーマークやISO認証などは若⼲の安⼼材料。それよりも、体制や想定リスクに関する質問に対し、クリアな情報が提⽰されることが重要。ある保健医療関係の組織の場合、機微データを扱える⼈数、場所の制限、監視状況などの具体的な説明があったので、信憑性があると判断した。
事故発⽣の可能性はゼロにならないので、リカバリーの体制が取られているのかを含めた開⽰を期待する。
「デジタルガバナンスコード」に準拠しているといった説明を受けるが、準拠していれば情報漏えいが⽣じないわけではないことは理解している。
サイバーセキュリティの世界は、⼈権デューデリジェンスに近い捕捉の難しさがあると感じている。PDCAを通じたレベルアップを前提に、基準や取組事項をまとめた⾏動計画を普及させるべきではないか。

③ サイバーセキュリティに関して⾒る内容（M&Aにおけるデューデリジェンス）

サイバーセキュリティ対策状況を評価する際に、かけている費⽤よりは、構築している体制や管理状況を主に評価する。費⽤だけでの判断は難しく、多額の費⽤を投じていることもない。買収先の社内環境をそのまま繋げて問題ないかどうかの視点で⾒る。
M&AにおけるIT関連のデューデリジェンスはほとんどの企業を対象に実施している。サイバーセキュリティを対象とすることはまだ少ないが、以前に⽐べると増えている。
M&Aにおいて、買収対象企業のIT管理体制、委託関係、運⽤・監査等の規定整備状況等を確認する。この中にサイバーセキュリティ対策状況も含まれる。場合により、サイバーセキュリティを重点的に確認してほしいと依頼されることもある。
M&Aにおけるデューデリジェンスのプロセスにおいて、サイバーセキュリティを早期の段階から細かく調査することはない。買収が決まったところで改めてアセスメントするのが普通である。
セキュリティ対策に問題があったことで買収が不成⽴になった事例は国内では聞いたことがない。ただし海外では個⼈情報の管理に問題があると指摘され、損害賠償に⾄ったケースはある。今後は国内でも損害賠償の事例が⽣じる可能性はある。
企業に対して情報提供を求める際、拒絶されることはないが、結果的に出てこないことはある。その結果、リスクとして検討すべきことが残留することになり、その旨を依頼元に報告する。

④ 企業をサイバーセキュリティの観点で評価する際に参考にしているガイドライン等

ISO26000（組織の社会的責任）をもとに対応状況を把握している。
企業のサイバーセキュリティ対策の評価には、経営ガイドラインを利⽤している。網羅的にまとまっていることを評価している。経済産業省が作成したという点でも通りが良い。可視化ツールについては認知はしていたが使ったことはなかった。
BtoCの⼩売業などの場合は個⼈情報管理について気にすることが多い。この場合は個⼈情報保護委員会のガイドラインなどをベースに確認する。
経済産業省における取組を認識していなかった。DXを進めていく上での落とし⽳などは経済産業省などで⼿引きとして⽰してもらえるとよいと思う。
ステークホルダー保護の観点から、公的機関が最低限やるべきレベルを⽰してもらえるとよい。

⑤ 企業をサイバーセキュリティの観点で評価する際の課題

サイバーセキュリティに関する認識と取組は⽇本全体で遅れていると認識しており、それは機関投資家においても同様である。その結果、資⾦の集まり⽅も鈍いのではないか。
サイバーセキュリティ対策に携わる⼈材が圧倒的に不⾜しており、⼈材の認知と⽀援プログラムを整備すべきではないか。

⑥ 経済産業省による機関投資家への普及啓発の⽅法について

証券会社が開催するセミナーには多くの投資関係者が参加する。そこでサイバーセキュリティ経営や可視化について紹介すれば認知度が⾼まるのではないか。
機関投資家は証券会社のウェビナーを⾒るので、そこで経済産業省が取組を紹介してはどうか。
投資家の横の繋がりは弱い。個⼈単位で業界コミュニティ（投資家フォーラム、投信協会等）に参加する⼈はいる。

・2022.08.26 [PDF] 令和３年度中⼩企業サイバーセキュリティ対策促進事業（地域SECUNITY形成促進事業）調査報告書

目次...

１．事業⽬的、実施内容等
２．地域におけるサイバーセキュリティコミュニティの調査、プラクティス集の拡充
３．各地域に駆けつけ可能な講師派遣制度等の問い合わせリストの拡充
４．各地域におけるセキュリティコミュニティリストの作成
５．まとめ

参考

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.16 経済産業省令和３年度委託調査報告書（サイバーセキュリティ関係） 2022.07.14現在

2022.08.30 05:11 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 監査 / 認証, in ESG/CSR, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT | Permalink | Comments (0)
Tweet

2022.08.29

中国「 2022年サイバーセキュリティ年次総会」と「サイバー文明会議」

こんにちは、丸山満彦です。

中国で、2022.08.16に「2022年サイバーセキュリティ年次総会」が、2022.08.28,29に「2022年中国ネットワーク文明会議」が開催されていましたね。。。

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

サイバーセキュリティ年次総会。。。

・2022.08.26 2022年中国网络安全年会召开

2022年中国网络安全年会召开	中国サイバーセキュリティ年次総会2022を開催
8月16日，主题为“共建数字信息基础设施安全屏障”的2022年中国网络安全年会以线上形式召开。国家计算机网络应急技术处理协调中心主要负责同志致欢迎辞并作主旨发言。中央网信办网络安全协调局主要负责同志，工业和信息化部网络安全管理局、公安部网络安全保卫局负责同志致辞。相关专家院士以及多位企业代表分别作主旨报告。	8月16日、「デジタル情報基盤のセキュリティバリアの構築」をテーマとした「2022中国サイバーセキュリティ年次会議」がオンライン形式で開催された。全国コンピュータネットワーク緊急対応技術調整センターの主管同志が歓迎の挨拶と基調講演を行った。中央インターネット情報局ネットワークセキュリティ調整局、工業情報化部ネットワークセキュリティ管理局、公安部ネットワークセキュリティ局の主管同志がスピーチを行った。関係する専門家や学識経験者、多くの企業代表者が基調報告を行った。
今年，大会设置了“新常态下的网络安全运营”“筑牢数字基建新防线赋能网空安全新未来”“供应链网空安全”“推动数据安全合规管理防范数据安全深度风险”“新数算格局下的基础设施大运营”“数字技术筑建原生云防护”等6个主题分论坛。	今年は、「ニューノーマルにおけるネットワークセキュリティ運用」、「デジタルインフラの新しい防衛ラインの構築とネットワークと宇宙セキュリティの新しい未来の強化」、「サプライチェーンのネットワークと宇宙セキュリティ」、「データセキュリティのコンプライアンス管理と予防の促進」を設定した。「データセキュリティコンプライアンス経営の推進深いデータセキュリティリスクを防ぐ」、「新しいデジタルコンピューティング環境におけるインフラ運用」、「デジタル技術によるネイティブクラウド保護」など6つのテーマ別セッションを開催。今年の「中国サイバーセキュリティ年次総会」は、中国国務院が主催している。
本届中国网络安全年会由国家互联网信息办公室指导，国家计算机网络应急技术处理协调中心（CNCERT/CC）主办，12家网络安全企业联合主办，新华网、中国通信学会协办。	毎年開催される中国ネットワークセキュリティ会議は、国家インターネット情報局が指導し、国家コンピュータネットワーク緊急対応技術調整センター（CNCERT/CC）が主催し、ネットワークセキュリティ企業12社が共催し、新華社と中国通信協会が共催している。
一年一度的中国网络安全年会已成为国内网络安全领域的重要会议，成为国内网络安全“产、学、研、用”各界进行技术业务交流的桥梁和纽带，对于提高我国网络安全保障水平、增强全社会网络安全意识起到积极作用。	毎年開催される中国サイバーセキュリティ会議は、国内のサイバーセキュリティ分野における重要な会議であり、国内のサイバーセキュリティ「産・学・研・応用」の各分野における技術・ビジネス交流の橋渡し・つなぎ役となっており、中国のサイバーセキュリティレベルの向上と社会全体のサイバーセキュリティに対する意識向上に積極的に貢献している。

サイバー文明会議...

・2022.08.28 2022年中国网络文明大会主论坛在天津举行

2022年中国网络文明大会主论坛在天津举行	中国サイバー文明会議2022メインフォーラムを天津で開催
8月28日下午，2022年中国网络文明大会主论坛在天津举行。中共天津市委书记李鸿忠出席主论坛。中央宣传部分管日常工作的副部长李书磊，中央宣传部副部长、中央网信办主任、国家网信办主任庄荣文，教育部党组书记、部长怀进鹏在主论坛发表主旨演讲。	2022年中国ネットワーク文明会議のメインフォーラムが28日午後、天津で開催された。メインフォーラムには、中国共産党天津市委員会書記の李鴻章氏が出席した。メインフォーラムでは、中央宣伝部副部長で日常業務を担当する李秀麗氏、中央宣伝部副部長で中央インターネット情報弁公室主任・国家インターネット情報弁公室主任の荘栄文氏、党群書記で教育部部長の淮金鵬氏が基調講演を行った。
李书磊指出，党的十八大以来，在习近平总书记高度重视和亲自推动下，我国网络文明建设取得巨大进步和显著成就。当前网络技术发展日新月异，对宣传思想工作和精神文明建设提出更高要求、带来更多挑战。要坚持思想引领与实践养成相结合，始终高举思想旗帜，多层次多角度学习宣传党的创新理论，持续创新话语体系、表现形式、组织方式，引导网民深刻感悟习近平新时代中国特色社会主义思想的真理力量和实践伟力，增强拥护“两个确立”、做到“两个维护”的思想自觉和行动自觉。坚持多方共建与全民共享相统一，发挥各级党委政府、职能部门、网络平台、社会组织作用，将网络文明建设作为丰富提升人民精神生活的重要载体和有效途径，不断增进网民在文化权益保障、文化产品共享、文化与学术交流上的共同福祉。坚持创新发展与守正治理相协同，积极运用新技术新业态，依法依规加强网络空间治理，推动网络综合治理体系和治理能力现代化，为广大网民特别是青少年营造良好网络生态。坚持网上延伸与网下覆盖相融合，在文明理念网络传播、文明典范网络宣介上下功夫，在文明创建网络赋能、文明实践网络延伸上求实效，做到网上网下交相辉映、相得益彰，让社会主流思想价值充盈网络空间。	李秀麗は、第18回党大会以降、習近平総書記の大きな重視と個人的な推進のもと、中国はネットワーク文明の建設で大きな前進と顕著な成果を収めたと指摘した。現在、ネットワーク技術の急速な発展は、宣伝と思想活動、精神文明の建設に、より高い要求を提起し、より多くの課題をもたらしている。われわれは思想指導と実践的育成の結合を主張し、常に思想の旗を高く掲げ、党の革新理論を多段階、多角的に研究、公表し、言論体系、表現形式、組織方法を引き続き革新し、ネットユーザーが習近平の新時代の中国の特色ある社会主義思想の真理力と実践的偉大さを深く理解し、「二つの確立」「二つの保障」に対する支持力を高められるよう指導するべきだ。また、「2つの基盤」と「2つのセーフガード」の整備を進めている。多党建設と普遍的共有の統一を主張し、各レベルの党委員会と政府、機能部門、ネットワークプラットフォーム、社会組織の役割を果たし、ネット文明の建設を人々の精神生活を豊かにし高める重要な担い手と有効な手段とし、文化権益の保護、文化製品の共有、文化学術交流においてネットユーザーの共同福祉を絶えず向上させている。革新的な発展と正しいガバナンスの相乗効果を主張し、新技術と新しいビジネスモデルを積極的に利用し、法に基づきサイバースペースのガバナンスを強化し、総合的なネットワークガバナンスシステムとガバナンス能力の現代化を促進し、大多数のインターネットユーザー、特に若者にとって良いネットワークエコロジーを創造する。オンラインの拡張とオフラインのカバーの統合を主張し、オンラインでの文明概念の普及とオンラインでの文明モデルの普及に取り組み、文明ネットワーク力の創造とオンラインでの文明実践の拡張に有効な成果を求め、オンラインとオフラインを相互に補完し、主流の社会思想価値をサイバースペースに充満させるようにする。
庄荣文指出，举办中国网络文明大会，是以习近平同志为核心的党中央着眼党和国家事业发展全局，围绕加强新时代社会主义精神文明建设作出的一项重要部署。本届大会以“弘扬时代新风建设网络文明”为主题，要在网上唱响主旋律、树立新风尚，激励亿万网民在新时代新征程踔厉奋发、勇毅前行、团结奋斗，以实际行动迎接党的二十大胜利召开。要坚持思想引领，把握网络文明新航向，始终以习近平新时代中国特色社会主义思想统领网络文明建设，在网络空间汇聚起团结奋进的磅礴力量。要坚持固本培元，培育网络文明新风尚，加强社会主义核心价值观网上宣传教育，将网络空间打造成涵育文化素养、陶冶高尚情操的精神家园。要坚持激浊扬清，塑造网络文明新生态，把综合治理作为重要方法手段，统筹推进依法治理、源头治理、系统治理。要坚持日常实践，激发网络文明新活力，推进群众性精神文明创建活动向网上延伸，为网络文明建设注入不竭动力。要坚持汇聚合力，构建网络文明新格局，健全完善工作机制，鼓励支持互联网企业、网络社会组织、广大网民特别是青少年网民参与网络文明建设，形成齐心协力、共同参与的良好格局。	荘栄文氏は、中国ネットワーク文明会議の開催は、習近平同志を核心とする党中央委員会が、党と国家の全面的発展を重視し、新時代の社会主義精神文明の建設を強化するために行った重要な展開であると指摘した。今回の大会のテーマは「時代の新しいスタイルを貫き、ネットワーク文明を建設する」で、主旋律を歌い、ネットの新しいスタイルを確立し、数億人のネットユーザーを刺激し、新時代の新しい旅に秀で、勇気と団結で前進し、実践行動で第20回党大会の勝利を迎えようとするものである。我々は思想的指導を堅持し、ネットワーク文明の新しい方向を把握し、常に習近平の中国の特色ある新時代の社会主義思想を用いてネットワーク文明の建設をリードし、サイバースペースの統一と進歩の雄大な力を集結させるべきである。私たちは根を堅持し、要素を育成し、新しいスタイルのネット文明を開拓し、社会主義核心価値観のネット広報と教育を強化し、サイバースペースを文化リテラシーを育み、高貴な情操を養う精神の故郷にしなければなりません。泥をかき回し、透明性を高め、ネットワーク文明の新しい生態を形成し、総合的なガバナンスを重要な方法と手段とし、法的ガバナンス、源泉ガバナンス、体系的ガバナンスの推進を調整することを堅持することが必要である。日々の実践を堅持し、ネットワーク文明の新たな活力を刺激し、大衆精神文明創造活動のインターネットへの拡張を推進し、ネットワーク文明建設のための無尽蔵の勢いを注入すること。力の収束に付着するには、ネットワーク文明の新しいパターンを構築し、改善し、仕事の仕組みを完成させる、奨励し、インターネット企業、ネットワーク社会組織、インターネットユーザーの大半は、特に若いインターネットユーザーがネットワーク文明の建設に参加し、協調的努力の形成、共通の参加の良いパターンをサポートする。
怀进鹏指出，广大师生是网络空间的主力军，是网络文明的建设者、创新者、维护者。在网络文明建设中，教育系统肩负着重要的使命责任，发挥着不可替代的独特作用。近年来，教育系统充分用好数字变革红利，统筹推进网络文明建设和教育高质量发展，旗帜鲜明用科学理论、先进文化、主流价值筑牢网络阵地，守正创新引领广大师生放声唱响时代主旋律，千方百计营造清朗网络空间，为学生健康成长保驾护航。当前在校学生是与网络“共生”的一代，网络是他们学习生活的重要空间。教育系统将把网络文明建设摆在更加突出位置，汇聚全网之合力，坚持不懈以习近平新时代中国特色社会主义思想铸魂育人，针对网络时代的学生特征，加强研究阐释，深化理论武装，引导广大师生永远听党话、跟党走。倍增专网之能级，全力以赴推进教育数字化转型，全面实施国家教育数字化战略行动，进一步提升国家智慧教育平台的品牌效应、服务能力和社会影响力，有效推动优质教育资源共享和终身学习。厚植兴网之根基，持之以恒增强教育系统网络综合治理能力和水平，加强网络素养教育，深化教育评价改革，培养学科专业人才，建设和谐网络语言生活。	Huai Jinpeng氏は、大多数の教師と学生がサイバースペースの主役であり、サイバー文明の建設者、革新者、維持者であると指摘した。ネットワーク文明の構築において、教育制度は重要な使命と責任を担い、かけがえのない独自の役割を担っている。近年、教育システムはデジタル変化の配当を十分に利用し、ネットワーク文明の建設と教育の質の高い発展を調整し、科学理論、先進文化、主流の価値観の使用を旗印に、強固なネットワークの地位を築き、正義と革新を保ち、大多数の教師と生徒を率いて時代のメインテーマを歌い、明確なサイバースペースを作り、生徒の健全な育成を全力で保護することに成功した。今の小学生世代はインターネットと「共生」しており、インターネットは彼らにとって重要な学習・生活空間となっている。教育制度は、ネットワーク文明の建設をより重要な位置に置き、ネットワーク全体の総力を結集し、新時代の中国の特色ある社会主義という習近平の思想で粘り強く魂を鍛え、教育し、ネットワーク時代の学生の特徴に合わせた研究・解釈を強化し、理論武装を深め、大多数の教師と学生が常に党に聞き、党に従うよう指導していく。これにより、全国スマート教育プラットフォームのブランド効果、サービス能力、社会的影響力をさらに高め、質の高い教育資源の共有と生涯学習を効果的に推進することができる。また、インターネットの基盤を強化し、教育システムにおける総合的なネットワークガバナンスの能力とレベルを粘り強く高め、ネットワークリテラシーの教育を強化し、教育評価改革を深め、教科の専門性を養い、調和のとれたオンライン言語生活を構築していく。
主论坛上，十三届全国政协民族和宗教委员会委员、中国互联网发展基金会理事长王秀军以及中央重点新闻网站、知名专家学者、互联网企业代表发表主题演讲。	メインフォーラムでは、中国人民政治協商会議（CPPCC）第13期全国民族・宗教委員会委員で中国インターネット発展基金会会長の王秀軍氏をはじめ、中央の主要ニュースサイト、著名な専門家や学者、インターネット企業の代表が基調講演を行った。
王秀军表示，党的十八大以来，网信事业蓬勃发展，中国互联网发展基金会会同其他网络社会组织，主动参与网络文明建设，取得积极成效。网络社会组织应高举习近平新时代中国特色社会主义思想旗帜，践行“让互联网发展成果惠及亿万人民群众”，要坚持政治引领，服务网络文明建设大局。要打造活动品牌，贡献网络文明建设成果。要发挥自身优势，创新网络文明建设模式。要拓展国际合作，促进网络文明交流互鉴，谱写网络文明建设新篇章。	王秀軍氏は、第18回党全国代表大会以来、インターネット情報の大義が盛んになり、中国インターネット発展基金会は、他のインターネット社会組織とともに、率先してインターネット文明の建設に参加し、積極的な成果を収めたと述べた。インターネット社会組織は、習近平の新時代の中国の特色ある社会主義思想の旗印を高く掲げ、「インターネット発展の成果を数億人に利益させる」ことを実践し、政治指導を堅持してインターネット文明建設の総局に仕えるべきである。活動のブランドを創造し、ネットワーク文明の構築に貢献すること。私たちは、自らの長所を十分に発揮し、ネットワーク文明の構築方式を革新していかなければならない。国際協力を拡大し、ネットワーク文明の交流と相互理解を促進し、ネットワーク文明の建設に新たな一章を記すこと。
中共天津市委副书记、市长张工，国家市场监督管理总局党组成员、副局长秦宜智，中国关工委常务副主任胡振民等出席主论坛。中央网信办副主任、国家网信办副主任盛荣华主持主论坛。中央网信办副主任、国家网信办副主任牛一兵，中央网信委委员单位、中央文明委成员单位负责同志，人民日报、新华社负责同志，中央重点新闻网站负责同志，各省（区、市）网信办、文明办主要负责同志，网络社会组织和互联网企业负责人、专家学者代表等在主会场参会。此外，大会还在各省（区、市）设立了线上分会场，各地网信委委员单位和文明委成员单位代表在线上分会场参会。	メインフォーラムには、中国共産党天津市委員会副書記で市長の張公氏、党群メンバーで国家市場監督管理総局副局長の秦益芝氏、中国関公委員会執行副局長の胡振民氏が出席した。中央インターネット情報局副局長兼国家インターネット情報局副局長のSheng Ronghuaがメインフォーラムの司会を務めました。中央インターネット情報弁公室副主任・国家インターネット情報弁公室副主任の牛逸兵氏、中央インターネット情報委員会委員の担当同志、中央文明委員会の委員、人民日報・新華社の担当同志、中央重点ニュースサイトの担当同志、省（地域・市）インターネット情報弁公室・文明局の担当同志、ネットワーク社会組織とインターネット企業の責任者、専門家と学者がメイン会場に出席した。また、同会議は各省（自治区、市）にもオンラインサブコートを設置し、現地のインターネット情報委員会委員と文明委員会の委員の代表がオンラインサブコートに参加した。
主论坛上发布了《共建网络文明天津宣言》。2022年中国网络文明大会由中央网信办、中央文明办、中共天津市委和天津市人民政府共同主办，由中国网络社会组织联合会和天津市委网信办共同承办。大会期间将举办网络诚信建设高峰论坛、10场分论坛、新时代中国网络文明建设成果展示和网络文明主题活动。	メインフォーラムでは、「ネットワーク文明建設に関する天津宣言」が発表された。 2022中国ネットワーク文明会議は、中央インターネット情報弁公室、中央文明弁公室、中国共産党天津市委員会、天津市人民政府が共催し、中国ネットワーク社会団体連合会と天津市党委員会のインターネット情報弁公室が共同主催している。会議期間中は、ネットワーク整合性構築に関するサミットフォーラム、10のサブフォーラム、新時代の中国ネットワーク文明構築の成果展示、ネットワーク文明のテーマ別活動などが行われる予定である。

・2022.08.23 2022年中国网络文明大会将于8月28日至29日在天津举办

2022年中国网络文明大会将于8月28日至29日在天津举办	2022年中国ネットワーク文明会議、8月28日〜29日に天津で開催決定
8月23日下午，2022年中国网络文明大会新闻发布会在京举行，宣布大会将于8月28日至29日在国家会展中心（天津）举办。本届大会的主题为“弘扬时代新风建设网络文明”。中央网信办副主任、国家网信办副主任盛荣华，天津市委常委、宣传部部长沈蕾出席发布会，介绍大会有关情况，并回答记者提问。	23日午後、北京で2022年中国ネットワーク文明会議の記者会見が開かれ、8月28日から29日にかけて国家会議展覧センター（天津）で開催されることが発表された。今回のテーマは「時代の新風を推進し、ネットワーク文明を構築する」である。中央インターネット情報弁公室副主任兼国家インターネット情報弁公室副主任の盛栄華氏と、天津市委員会常務委員兼宣伝部部長の沈雷氏が出席し、状況を紹介するとともに記者からの質問に答えた。
盛荣华指出，党的十八大以来，以习近平同志为核心的党中央高度重视网络文明建设，把网络文明作为社会主义精神文明建设和网络强国建设的重要内容，引领和推动网络文明建设取得显著成效。习近平总书记对办好中国网络文明大会高度重视，去年亲自向首届大会致贺信，为我们做好新时代网络文明建设指明了前进方向、提供了根本遵循。	盛栄華は、第18回党大会以降、習近平同志を核心とする党中央委員会がネットワーク文明の建設を重視し、ネットワーク文明を社会主義精神文明の建設と強力なネットワークの建設の重要な要素として、ネットワーク文明の建設を主導、推進し、著しい成果を上げていると指摘した。習近平総書記は中国ネットワーク文明会議の運営を非常に重視しており、昨年の第1回会議には自ら祝電を送り、新時代のネットワーク文明の建設に良い仕事をするための道筋を示し、基本指針を示した。
盛荣华表示，在全党全国喜迎党的二十大胜利召开之际，举办本次中国网络文明大会，具有特殊重要意义。中央网信办将会同其他主办单位坚持“精细、精准、精致”工作标准，进一步创新办会理念、提升办会水平，着力增强大会实效性、影响力，努力打造一届热烈、精彩、节俭、安全的网络盛会。	盛栄華は、全党と全国が第20回党大会の勝利を迎える時期に、今回の中国ネットワーク文明会議を開催することは特別に重要であると述べた。中央インターネット情報局は、他の主催者と協力し、「精緻、正確、絶妙」の作業基準を堅持し、会議開催のコンセプトをさらに革新し、会議のレベルを向上させ、会議の効果と影響を高め、暖かく、素晴らしく、質素で安全なネットワークイベントの実現に努力する。
沈蕾介绍，天津将充分借鉴首届中国网络文明大会的好经验好做法，精益求精、扎实高效做好会务组织、嘉宾接待、安全保卫、疫情防控等大会筹备保障工作，注重细节打磨，体现天津元素，力争做到有声有色、出新出彩，为绘就网络文明美好画卷增添天津亮色。天津将广泛吸收大会成果，坚持建设与管理并重，继续抓实抓细全社会网络素养培育、网络空间生态治理等重点工作，推动网络文明建设实现更大跃升。	シェンレイは、天津が完全に良い経験と良い慣行の最初の中国ネットワーク文明会議から学び、改善、固体、効率的に会議の組織、ゲストの受付、セキュリティ、防疫と制御および他の準備作業を行うには、総会を守るために、天津の要素を反映して、研磨の詳細に注意を払い、ネットワーク文明の良い絵を描くために、音、新しい、カラフルな達成しようとする天津明るい色追加されます。天津市は、広く総会の成果を吸収し、建設と管理を等しく重視し、社会全体のネットワークリテラシーの育成、サイバースペース生態ガバナンスなどの重要な作業の詳細を把握し続け、ネットワーク文明の建設を推進し、より大きな飛躍を達成する。
据悉，本届大会由中央网信办、中央文明办、中共天津市委和天津市人民政府共同主办，由中国网络社会组织联合会和天津市委网信办共同承办。大会包括开幕式及主论坛、网络诚信建设高峰论坛、10场分论坛、新时代中国网络文明建设成果展示和网络文明主题活动。主论坛将邀请主管部门负责同志、网络社会组织和互联网企业负责人、专家学者和网络名人等参会，会上还将发布《共建网络文明天津宣言》。网络诚信建设高峰论坛将发布2021年度中国网络诚信十件大事、《中国网络诚信发展报告2022》和网络文明主题歌曲等。分论坛将围绕网络内容建设、网络生态建设、网络法治建设、网络文明社会共建、算法治理、网络谣言治理、网络文明国际交流互鉴、数字公益慈善、网络素养教育和个人信息保护等十个方面进行研讨交流，并将发布一系列网络文明建设成果。新时代中国网络文明建设成果展示将从党和国家推进网络文明建设、各地开展网络文明创建、互联网企业助力网络文明发展等维度，以线上线下相结合方式，集中展示党的十八大以来我国网络文明建设的发展历程和丰硕成果。	今回の会議は、中央インターネット情報弁公室、中央文明弁公室、中共天津市委員会、天津市人民政府が共催し、中国ネットワーク社会団体連合会、天津市委員会インターネット情報弁公室が共催していると報告された。会議には、開幕式とメインフォーラム、ネットワーク整合性建設サミットフォーラム、10のサブフォーラム、中国ネットワーク文明建設成果新時代のショーケース、ネットワーク文明テーマ活動などが含まれます。主なフォーラムでは、主管部門の担当同志、ネットワーク社会組織とインターネット企業の責任者、専門家、学者、インターネット著名人を招待し、「ネットワーク文明の建設に関する天津宣言」を発表する予定である。インターネット・インテグリティ・サミット・フォーラムでは、「2021年中国インターネット・インテグリティ十大イベント」「2022年中国インターネット・インテグリティ発展レポート」「インターネット文明テーマソング」を発表する予定である。サブフォーラムでは、ネットワークコンテンツ建設、ネットワーク生態建設、ネットワーク法治建設、ネットワーク文明社会建設、アルゴリズムガバナンス、ネットワーク風評管理、ネットワーク文明の国際交流と相互評価、デジタル公共福祉慈善、ネットワーク識字教育、個人情報保護など10項目を取り上げ、一連のネットワーク文明建設実績を発表する予定である。党と国家がネットワーク文明の建設を推進し、各地域のネットワーク文明の創造、インターネット企業がネットワーク文明の発展を助けるなど、新時代の中国のネットワーク文明の成果を紹介し、オンラインとオフラインの方法を組み合わせて、第18回党全国大会以降の中国のネットワーク文明の発展史と実りある成果を中心に展示する予定である。
会议期间，还将举办“网络文明之夜——海河城市交响音乐会”等具有天津特色的主题活动。大会将采取线上线下相结合方式，在其他省（区、市）设视频分会场。目前，大会各项筹备工作已基本就绪。	また、会期中には「ネットワーク文明の夜-海河市交響楽団コンサート」など、天津の特色を生かしたテーマ別の活動も行われる予定である。会議では、オンラインとオフラインの方法を組み合わせて、他の省（自治区、市町村）ではビデオ小会議を設置する。現在、会議の準備作業は基本的に整っている。

あわせて、、、

・2022.08.27 瞭望·治国理政纪事丨努力把我国建设成为网络强国 （展望 - 統治の記丨中国をサイバー大国にするために邁進する）

・2022.08.26 庄荣文以“坚定理想信念牢记党的宗旨”为主题讲党课 （荘栄文は「理想と信念を堅持し、党の目的を忘れない」というテーマで党員講演を行った）

2022.08.29 01:49 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー | Permalink | Comments (0)
Tweet

2022.08.28

個人情報保護委員会 EDPB「ソーシャルメディア・ユーザーのターゲティング」及び「コネクテッドビークル及びモビリティ関連アプリ」に関するガイドラインの仮訳

こんにちは、丸山満彦です。

個人情報保護委員会が、EDPB「ソーシャルメディア・ユーザーのターゲティング」及び「コネクテッドビークル及びモビリティ関連アプリ」に関するガイドラインの仮訳を公表していますね。。。

個人情報保護委員会では、多くの海外の法律、ガイドライン等を仮訳しているので、助かりますね。。。

● 個人情報保護委員会

・2022.08.24 EDPB「ソーシャルメディア・ユーザーのターゲティング」及び「コネクテッドビークル及びモビリティ関連アプリ」に関するガイドラインの仮訳を作成しました。

	Duropean Data Protection Board		個人情報保護委員会
2021.04.13	Guidelines 8/2020 on the targeting of social media users - Version 2.0	Web	ソーシャルメディア・ユーザーのターゲティングに関するガイドライン08/2020 - バージョン 2. 0
2021.03.09	Guidelines 01/2020 on processing personal data in the context of connected vehicles and mobility related applications - Version 2.0	Web	コネクテッドビークル及びモビリティ関連アプリケーションにおける個人データの取扱いに関するガイドライン01/2020 - バージョン 2. 0

2022.08.28 06:31 in 個人情報保護 / プライバシー, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2022.08.27

米国サイバー司令部：米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い

こんにちは、丸山満彦です。

アメリカの中間選挙まで、あと70日少しとなっていますね。。。上院の半数と下院の全員が選挙で戦うことになりますね。。。

記録的なインフレのためか、バイデン大統領の支持率は30%台というメディア報道もあったりと、人気はいまひとつのようです。ホワイトハウスの報道発表でも、インフレ対策の発表がこのところ数多くありますね。。。

選挙戦が接戦となってくると、他国等による選挙介入の影響が無視できなくなるのかもしれません。。。

選挙基盤は重要インフラで、ISACがありますね。。。

・ELECTIONS INFRASTRUCTURE ISAC

そして、NIST文書も...（ドラフトですが、、、）

・2021.03.29 NISTIR 8310 (Draft) Cybersecurity Framework Election Infrastructure Profile

もちろん、サイバー空間を利用した活動もあるでしょうが、従来からの手法についても引き続き、注意を払わないといけないのでしょうね。。。

● U.S. Cyber Command

・2022.08.25 How U.S. Cyber Command, NSA are defending midterms elections: One team, one fight

How U.S. Cyber Command, NSA are defending midterms elections: One team, one fight	米サイバー軍とNSAは中間選挙をどう守るか。一つのチーム、一つの戦い
With 75 days until the midterm elections, the Dept. of Defense is fully engaged to defend the U.S. electoral system from foreign interference and foreign influence alongside interagency partners.	中間選挙まで75日となり、国防総省は省庁間パートナーとともに、外国の干渉や影響から米国の選挙制度を守るために全面的に取り組んでいる。
"This is an enduring, no-fail mission for U.S. Cyber Command and the National Security Agency, who bring unique insights and actions to the whole-of-government effort," said U.S. Army Gen. Paul M. Nakasone, Commander of USCYBERCOM and Director of NSA/Chief, Central Security Service.	「これは、政府全体の取り組みに独自の洞察力と行動をもたらす米サイバー軍と国家安全保障局にとって、永続的で失敗のない任務である」と、USCYBERCOM司令官兼NSA長官／中央警備局長のポール・M・ナカソネ米陸軍元帥は述べている。
"Together, we bring speed and unity of effort against any foreign adversary who might seek to undermine our democratic institutions."	「私たちは共に、民主主義制度を弱体化させようとするいかなる外国の敵に対しても、迅速かつ団結した取り組みを行うことができる」と述べている。
The joint USCYBERCOM-NSA Election Security Group, stood up again in early 2022, aligns both organizations' efforts to disrupt, deter, and degrade foreign adversaries' ability to interfere with and influence how U.S. citizens vote and how those votes are counted.	2022年初頭に再び立ち上がったUSCYBERCOMとNSAの合同選挙セキュリティグループは、米国民の投票方法やその集計方法を妨害し影響を及ぼす外国の敵対者の能力を破壊、抑止、低下させるための両組織の取り組みを連携させるものである。
The group spearheads the Dept. of Defense's efforts, and is co-led by U.S. Air Force Brig. Gen. Victor Macias, USCYBERCOM's co-lead and Deputy Commander of Cyber National Mission Force, and Ms. Anna Horrigan, NSA's Senior Executive and Election Security co-Lead.	このグループは、国防総省の取り組みを先導し、USCYBERCOMの共同リーダーでサイバー国家任務部隊の副司令官である米空軍のビクター・マシアス准将と、NSAの上級幹部で選挙セキュリティ共同リーダーのアナ・ホリガン女史が共同リーダーを務めている。
"The ESG team is comprised of some of the best and brightest in this field," said Horrigan. "We are building on previous successes, while also maximizing our strong relationships and synchronizing often - enabling the U.S. to respond rapidly to election threats."	ホリガン氏は、次のように述べている。「ESGチームは、この分野で最も優秀な人材で構成されている。我々は、これまでの成功に加え、強力な関係を最大限に活用し、頻繁に同期することで、米国が選挙の脅威に迅速に対応できるようにしている」。
The ESG's primary objectives are to generate insights on foreign adversaries who may interfere with or influence elections, bolster domestic defense by sharing information with interagency, industry, and allied partners, and impose costs on foreign actors who seek to undermine democratic processes.	ESGの主な目的は、選挙を妨害したり影響を及ぼす可能性のある外国の敵対者について洞察を深め、省庁間、産業界、同盟国のパートナーと情報を共有して国内の防衛を強化し、民主的プロセスを損なおうとする外国の行為者にコストをかけることである。
As in in previous election cycles, USCYBERCOM and NSA are closely partnered across the government and industry, and are one critical component of a whole-of-government effort. The group directly supports partners like the Dept. of Homeland Security and the Federal Bureau of Investigation collecting, declassifying, and sharing vital information about foreign adversaries to enable domestic efforts in election security.	以前の選挙サイクルと同様に、USCYBERCOM と NSA は政府や産業界と密接に連携しており、政府全体の取り組みの重要な構成要素の一つとなっている。このグループは、国土安全保障省や連邦捜査局などのパートナーを直接支援し、選挙セキュリティにおける国内の取り組みを可能にするために、外国の敵に関する重要な情報の収集、機密解除、共有を行っている。
However, the ESG plays a unique role in combatting and disrupting adversary activity in this space-NSA's unique foreign intelligence collection and technical expertise can provide insight into adversary plans and cyber tradecraft, while USCYBERCOM's full-spectrum cyber operations can defend and disrupt malicious cyber actors.	しかし、ESG はこの領域で敵の活動を阻止し、混乱させるというユニークな役割を担っている。NSA のユニークな対外情報収集と技術的専門知識は、敵の計画とサイバー技術に関する洞察を提供し、USCYBERCOM の全領域にわたるサイバー作戦は悪質なサイバー行為者を防御し混乱させることが可能である。
"The biggest success of the last two election cycles wasn't just the defense of our democratic processes from foreign influence and interference," said Macias. "It is also the organizational focus on this enduring mission, the partnerships created and the people who come to work every day to defend our Nation's elections from foreign adversaries."	マシアス氏は、次のよう述べている。「過去2回の選挙サイクルの最大の成功は、外国の影響や干渉から民主的プロセスを防衛したことだけではない。この永続的な使命に組織的に集中し、パートナーシップを築き、外国の敵から我が国の選挙を守るために毎日働いている人々もである。」
For example, if the ESG sees a cyberattack occurring in foreign space, it could communicate that information to domestic agencies to mitigate the issue, and use its offensive cyber authorities to disrupt and degrade that foreign cyber actor's operations.	例えば、ESGが外国空間で発生しているサイバー攻撃を発見した場合、その情報を国内機関に伝達して問題を軽減し、攻撃的なサイバー権限を使用してその外国のサイバー行為者の活動を中断し、劣化させることができる。
Election security was deemed a critical infrastructure component in 2017 by DHS.	選挙セキュリティは、2017年にDHSによって重要インフラ要素とされた。
The U.S. government is actively defending against foreign interference and influence operations in U.S. elections, specifically by focusing on how adversaries seek to undermine U.S. interests and prosperity, the will to vote of the populace, as well as their belief in the sanctity and security of their elections.	米国政府は、米国の選挙における外国からの干渉や影響力の行使に対して積極的に防御を行っており、特に敵対者が米国の利益と繁栄、民衆の投票意思、そして選挙の神聖さと安全性に対する信念をいかに損なわせようとしているかに着目している。
According to the Office of Director of National Intelligence, Russia, China, Iran and other foreign malicious actors may seek to interfere in U.S. voting processes and influence voter perception. Such foreign activity can threaten to undermine fundamental principles of U.S. democracy and influence U.S. public sentiment.	国家情報長官室によると、ロシア、中国、イラン、その他の外国の悪質な行為者は、米国の投票プロセスを妨害し、有権者の認識に影響を与えようとする可能性がある。このような外国の活動は、米国の民主主義の基本原則を損ない、米国の国民感情に影響を与える恐れがある。
"In the complex cyberspace domain we operate in, we have to consider both the adversary threat landscape-- and the scale of technological advancements," Macias said. "These adversaries use discrete cyber operations to achieve their strategic objectives, and operate below the threshold of armed conflict. It's our job to disrupt them."	マシアス氏は、次のように述べている。「私たちが活動する複雑なサイバースペース領域では、敵対者の脅威の状況と技術の進歩の規模の両方を考慮しなければならない。これらの敵は、戦略的目標を達成するために個別のサイバー操作を使用し、武力紛争の閾値未満で動作している。彼らを混乱させるのが我々の仕事だ。」
Another key component of election defense is partnership- not just with interagency partners like DHS and FBI, but also with the private sector and U.S. allies and partners.	選挙防衛のもう一つの重要な要素は、DHSやFBIなどの省庁間パートナーだけでなく、民間企業や米国の同盟国、パートナーとのパートナーシップである。
Leveraging on past successes, the ESG has increased its whole-of-society engagement with industry to share threats and potential vulnerabilities.	ESGは過去の成功事例を生かし、脅威や潜在的な脆弱性を共有するために、産業界との社会全体の関わりを強めてきた。
"Successful defense against threats to elections requires robust relationships that include information and intelligence exchanges across both public and private sectors," Horrigan said. "We can't just watch our adversaries- we have to do something about it, whether sharing timely information, or taking action against that actor. Our nation expects that of us."	ホリガン氏は、次のように述べている。「選挙への脅威に対する防衛を成功させるには、官民両部門の情報と情報の交換を含む強固な関係が必要である。敵対者をただ見ているだけではだめで、タイムリーな情報を共有したり、その行為者に対して行動を起こしたりして、何かしなければならない。我が国はそれを期待している。」

● まるちゃんの情報セキュリティ気まぐれ日記

過去の大統領選を含む選挙、国民投票等への影響に関して...

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書（第５巻）を公開していますね。。。

・2020.07.25 英国議会諜報及び安全保証委員会報告書ロシア

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.04.30 中国による2020年台湾大統領選挙への干渉についての分析 by Recorded Future

影響力行使について

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

ISAC ISAO関係

・2020.10.08 米国のISACとISAO （根拠指令、取りまとめ団体、ISAO標準文書など）

NIST文書

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

全般...

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

・2022.06.06 NATO CCDCOE 選挙干渉への対抗をテーマにしたイノベーションチャレンジ（52大学から56チームが参加）

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2022.03.29 米国 GAO 政府・社会に影響を与えるトレンド (2022.03.15)

・2022.03.03 笹川平和財団「我が国のサイバー安全保障の確保」事業　政策提言 "外国からのディスインフォメーションに備えを！～サイバー空間の情報操作の脅威～" (2022.02.07)

・2022.02.11 欧州議会 Think Tank 米国とロシアの関係：地政学的側面、安全保障的側面、経済的側面、人的側面

・2021.12.07 2021.12.09,10開催予定　Summit for Democracy　民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書＋米国政府まとめ

・2021.06.04 欧州検査院特別報告書 EUに影響を与える偽情報：対処しても対処しきれない

・2021.05.03 U.S. CISA 偽情報・誤情報の脅威とその対応方法についての（いかにもアメリカンな）漫画

・2021.03.30 NISTIR 8310 (Draft) サイバーセキュリティフレームワーク(CSF) 選挙インフラのプロファイル

・2021.03.10 防衛省 NIDS 防衛研究所米大統領選後の安全保障の展望

・2020.12.01 防衛省防衛研究所米大統領選後の安全保障の展望 ASEAN, 中国, 南アジア

・2020.11.04 情報ネットワーク法学会第20回研究大会

・2020.10.22 米国GAOのブログでDeepfakeが取り上げられていますね。。。

・2020.10.08 米国のISACとISAO （根拠指令、取りまとめ団体、ISAO標準文書など）

・2020.08.22 米国上院の情報委員会が2016年大統領選におけるロシアの影響を調べた報告書（第５巻）を公開していますね。。。

・2020.08.20 FBIロサンゼルスは、選挙の安全性と海外の悪質な影響力について市民を教育するための全国メッセージングキャンペーンに参加

・2020.07.25 英国議会諜報及び安全保証委員会報告書ロシア

・2020.07.17 英国政府はロシアが2019年の総選挙に違法に取得した政府文書を通じて妨害しようとしたと結論付けた

・2020.04.30 中国による2020年台湾大統領選挙への干渉についての分析 by Recorded Future

・2020.03.31 英国政府はCOVID-19に関する偽情報（misinformation）を取り締まるチームを設置したようですね。。。

・2020.03.16 アメリカ連邦選挙支援委員会(Election Assistance Commission)電子投票の仕様に関するガイドラインである任意的投票システムガイドライン(Voluntary Voting System Guideline = VVSG)バージョン2.0案

2022.08.27 07:34 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 電子投票, in AI/Deep Learning | Permalink | Comments (0)
Tweet

笹川平和財団台湾有事とハイブリッド戦争

こんにちは、丸山満彦です。

笹川平和財団が、「台湾有事とハイブリッド戦争」という記事を公表していますね。。。

私は、中国共産党軍が台湾に侵攻するかどうかはよくわかりません。その筋の専門家でもないし。。。ただ、それが起こった場合に、大きな影響があるのであれば、起こった場合に備えた対策はしておく必要があるでしょうね。。。BCP的な観点で。。。

さて、ハイブリッド戦ですが、利用できる手段は有効性・効率性の高い手段から利用するでしょうから、ハイブリッド戦という手段が有効性・効率性が高いと考えているのであれば、利用する可能性は高いので、その手段が利用された場合の備えは必要だろうと思います。

ただ、実際に他の手段と比較して、有効性・効率性が高いかどうかについての検討はしておいた方が良いと思います。ハイブリッド戦に気を取られすぎて、他の有効性・効率性の高い手段に対する対応を見逃してしまうと良くないので。。。

そういう意味では、昨日あげた私のブログの記事（スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文）も合わせて読むとバランスが良いかもですね。。。

● 笹川平和財団 - 国際情報ネットワーク分析 IINA

・2022.08.24 台湾有事とハイブリッド戦争 by 大澤淳特別研究員

出典：笹川平和財団台湾有事とハイブリッド戦争 (https://www.spf.org/iina/articles/osawa_02.html)

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.26 スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

2022.08.27 01:56 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

日本商工会議所中小企業におけるサイバー攻撃の実態と対処能力の向上について（中小企業向け動画解説）

こんにちは、丸山満彦です。

日本商工会議所が、大阪商工会議所経営情報センターの協力を得て、「中小企業におけるサイバー攻撃の実態と対処能力の向上」をテーマに、地域の中小企業・小規模事業者向けに分かりやすく解説する動画を制作し公開していますね。。。動画は約25分です。。。

対策については、IPAの「中小企業の情報セキュリティ対策ガイドライン」を参考にしていますね。。。

● 日本商工会議所

・2022.08.22 中小企業におけるサイバー攻撃の実態と対処能力の向上について（中小企業向け動画解説）

・ [youtube] 中小企業におけるサイバー攻撃の実態と対処能力の向上

＜主な内容＞

１．中小企業におけるサイバー攻撃の実態と対策

　○サイバー攻撃の「攻撃する側」と「攻撃される側」
　○中小企業って狙われているの？
　○サイバー攻撃の手法
　○どんな中小企業に攻撃が？（実例）

２．中小企業におけるサイバー攻撃対策の実情

　○「人」と「お金」

３．では、中小企業はどうすればいいの？

　○中小企業のサイバー対策に必要な視点
　○何から始めたらいいの？（経営者／情報システム担当者／一般社員）
　○「商工会議所サイバーセキュリティお助け隊サービス」の導入

参考

● IPA

・中小企業の情報セキュリティ対策ガイドライン

・セキュリティアクション

・サイバーセキュリティお助け隊サービス制度

2022.08.27 01:02 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.26

スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文

こんにちは、丸山満彦です。

スイス連邦工科大学にある研究機関、ETH Zürich (wikipedia) の論文でサイバー関係（諜報や影響力行使等）の論文が最近いくつか紹介されていたので、参考。。。

● ETH Zürich - Cyber Security Politics

> Journal Article | European Journal of International Relations

・2022.08.16 Subversion, Cyber Operations, and Reverse Structural Power in World Politics

JEuropean Journal of International Relations	ヨーロッパ国際関係学会誌
Subversion, Cyber Operations, and Reverse Structural Power in World Politics	世界政治における政権転覆、サイバー作戦、そして逆構造的パワー
The Russian-sponsored influence campaign targeting the 2016 US Presidential Elections highlighted a gap in theories of (cyber) power. In this European Journal of International Relations article, CSS’ Lennart Maschmeyer argues that this campaign demonstrated the importance of subversion, a, so far, undertheorized instrument of power. By integrating Intelligence scholarship and International Relations theory, Maschmeyer develops an innovative theory of subversion as reverse structural power. This theory helps explain two unresolved issues in cybersecurity: the capability–vulnerability paradox and the outsize role of non-state actors.	2016年の米国大統領選挙を標的としたロシア主催の影響力キャンペーンは、（サイバー）パワーの理論におけるギャップを浮き彫りにした。このEuropean Journal of International Relationsの論文で、CSSのLennart Maschmeyerは、このキャンペーンが、これまで十分に理論化されていなかったパワーの手段である政権転覆の重要性を実証したと論じている。マシュマイヤーは、インテリジェンス研究と国際関係論の統合により、政権転覆を逆構造的パワーとする革新的な理論を構築している。この理論は、サイバーセキュリティにおける2つの未解決の問題、すなわち、能力と脆弱性のパラドックスと非国家主体が果たす役割の大きさを説明するのに役立つ。
Abstract	概要
The Russian-sponsored influence campaign targeting the 2016 US Presidential Elections surprised policy-makers and scholars, highlighting a gap in theories of (cyber) power. Russia had used information technologies to project power, yet more subtly than prevailing militarized conceptions of cyber power predicted. Rather than causing damage and disruption, it turned sources of American power into vulnerabilities. Recent scholarship emphasizes this mechanism’s technological novelty. Instead, I argue this campaign demonstrated the importance of an undertheorized instrument of power: subversion. Integrating Intelligence scholarship and International Relations theory, this article develops an innovative theory of subversion as reverse structural power. Structural power shapes structures of interaction and the capacities of structural positions to the benefit of the holder of such power. Subversion reverses these benefits into harms. It exploits vulnerabilities in structures to secretly manipulate them, leveraging the capacities of structural positions to produce outcomes neither expected nor intended by the holders of structural power. Traditional subversion targets social structures, while cyber operations target sociotechnical structures: namely, Information Communications Technologies (ICTs) embedded in modern societies. The targeted structures differ, yet both rely on subversive techniques of exploitation that reverse structural power. Cyber operations are means of subversion. This theory helps explain two unresolved issues in cybersecurity: the capability–vulnerability paradox and the outsize role of non-state actors. Finally, I demonstrate the theory’s utility in a plausibility probe, examining the 2016 Election Interference Campaign. It shows this campaign did not use new “weapons,” but rather integrated traditional and sociotechnical means of subversion.	2016年の米国大統領選挙を標的としたロシア主催の影響力キャンペーンは、政策立案者や学者を驚かせ、（サイバー）パワーの理論におけるギャップを浮き彫りにした。ロシアは情報技術を利用してパワーを投射していたが、サイバーパワーに関する一般的な軍事的概念が予測したよりも微妙なものであった。ロシアは、損害や混乱を引き起こすのではなく、アメリカのパワーの源泉を脆弱なものに変えてしまったのである。最近の研究では、このメカニズムの技術的な新しさが強調されている。しかし、私は、このキャンペーンは、「破壊」という、理論化されていないパワーの道具の重要性を示すものであったと主張する。本稿は、インテリジェンス研究と国際関係論を統合し、構造的パワーの逆バージョンという革新的な理論を構築した。構造的権力は、相互作用の構造や構造的地位の能力を、そのような権力を持つ者の利益となるように形成する。破壊は、このような利益を害に転化する。構造的パワーの持ち主が期待も意図もしていない結果を生み出すために、構造的立場の能力を活用し、密かに構造を操作するために、構造の脆弱性を利用するのである。伝統的な破壊工作は社会構造を対象としているが、サイバー工作は社会技術的構造、すなわち現代社会に組み込まれた情報通信技術（ICTs）を対象としている。対象とする構造は異なるが、どちらも構造的権力を逆転させる破壊的な搾取の技術に依存している。サイバーオペレーションは破壊の手段なのである。この理論は、サイバーセキュリティにおける2つの未解決の問題、すなわち、能力と脆弱性のパラドックスと非国家主体が果たす大きな役割の説明に役立つ。最後に、2016年の選挙妨害キャンペーンを検証し、この理論の有用性をもっともらしい調査で実証する。このキャンペーンが新しい「武器」を使用したのではなく、伝統的で社会技術的な破壊の手段を統合したものであったことを示す。

> Journal Article | Journal of Strategic Studies

・2022.07.27 A New and Better Quiet Option? Strategies of Subversion and Cyber Conflict

Journal of Strategic Studies	戦略研究ジャーナル
A New and Better Quiet Option? Strategies of Subversion and Cyber Conflict	新しく、より良い静かな選択肢？破壊工作の戦略とサイバー紛争
ABSTRACT	概要
Theorizing on cyber conflict has moved from warfare to conflict short of war, but strategic thought has not kept pace. This article argues cyber conflict is subversive, builds on intelligence scholarship to identify strategies of subversion, and examines their applicability in cyber conflict. It distinguishes three subversive strategies: manipulation, Erosion and Overthrow. The analysis shows cyber operations can only implement one of these strategies (Erosion), indicating they offer less strategic value than traditional counterparts. Accordingly, although cyber operations offer superior scale, I argue their scope of influence is more limited. Finally, the article discusses strategic implications and identifies possible counterstrategies.	サイバー紛争に関する理論化は、戦争から戦争未満の紛争へと移行しているが、戦略的思考はそれに追いついていない。本稿は、サイバー紛争が破壊的であると主張し、インテリジェンス研究を基礎として破壊の戦略を特定し、サイバー紛争におけるその適用性を検討する。この論文では、3つの破壊的戦略、すなわち「操作」、「侵食」、「転覆」を区別している。分析によれば、サイバー作戦はこれらの戦略のうち1つ（「侵食」）しか実施できず、従来の作戦に比べ戦略的価値が低いことが分かる。したがって、サイバー作戦は規模的には優れているが、その影響力の範囲はより限定的であると論じている。最後に、戦略的な意味合いを論じ、可能な対抗策を明らかにする。
States now routinely use cyber operations to attain strategic advantages. Yet what strategies enable the achievement of which goals through these instruments still remains unclear. In fact, the very mode of conflict involved is contested. Early theorizing conceived of cyber conflict as a new form of war.1 Theorists accordingly derived offensive and defensive strategies from the study of war, building on offense-defense theory and nuclear deterrence.2 Yet in practice cyber conflict has beenlow in intensity, remaining below the threshold of armed conflict.3 Strategic thought on warfare thus promises limited insights. Accordingly, a current wave of scholarship suggests, cyber conflict occupies a new strategic space where actors can pursue unprecedented strategic gains in conflict short of war by leveraging the vast scale, speed and ease of anonymity that cyberspace enables.4 One strand of this theorizing focuses on the importance of persistence.5 Persistence in the offense, it predicts, allows actors to achieve cumulative gains that can shift the balance of power.6 Conversely, through persistent engagement of such offenders, defenders can deny these gains and impose friction.7 The United States Cyber Command has adopted the key tenets of this strategy.8 This is a welcome theoretical and strategic innovation.	国家は、戦略的優位性を獲得するために、日常的にサイバー作戦を利用している。しかし、どのような戦略によって、どのような目標を達成することができるかは、いまだ不明である。実際、関係する紛争の形態そのものが争点となっている。初期の理論化では、サイバー紛争を新しい形態の戦争と見なしていた1。そのため、理論家は戦争研究から攻防戦略を導き出し、攻防理論や核抑止論を構築した2。しかし、実際には、サイバー紛争は武力紛争の閾値を下回る程度にとどまっている3。このように、戦争に関する戦略的思考は限定的な洞察にとどまっている。それゆえ、戦争に関する戦略的思考は限られたものでしかない。現在の一連の研究は、サイバー紛争が、サイバー空間が可能にする膨大な規模、速度、および匿名性の容易さを活用することによって、戦争以外の紛争において行為者が前例のない戦略的利益を追求できる新しい戦略空間を占めていることを示唆している4。このような理論化の一筋は、持続性の重要性に焦点を当てている5 。攻撃を持続することで、行為者はパワーバランスを変化させることができる累積的な利益を得ることができると予測している6。逆に、このような攻撃者と粘り強く交戦することで、防衛側はこのような利益を否定し、摩擦をもたらすことができるのである7。米国サイバー軍団は、この戦略の主要な考え方を採用している8 。これは歓迎すべき理論的・戦略的革新である。
However, I argue that just like cyberwar theorists misjudged the operational characteristics and strategic value of cyber operations, current theories of conflict short of war risk building on similarly flawed assumptions. Rather than a new space of competition, a growing body of research shows cyber conflict has key parallels to intelligence contests.9 In particular, recent work highlights the mechanism of exploitation cyber operations rely upon reveals their nature as instruments of subversion – which offers great strategic promise but provides limited value in practice due to significant operational constraints.10 Prevailing expectations about a new strategic space focus on the promise, neglecting the constraints. Strategic thought must focus not only on what is theoretically possible, however, but also on what is practically feasible. Here intelligence scholarship on subversion promises key insights for strategic analysis and evaluation.	しかし、サイバー戦争の理論家がサイバー作戦の作戦特性と戦略的価値を見誤ったように、戦争以外の紛争に関する現在の理論も、同様の欠陥のある仮定に基づいて構築されているおそれがあると主張する。新たな競争空間というよりも、サイバー紛争が情報戦と重要な類似性を持っていることを示す研究が増えている9 。特に、最近の研究では、サイバー作戦が依存する搾取のメカニズムが、破壊の道具としての性質を明らかにし、戦略的に大きな可能性を秘めているが、運用上の大きな制約のために、実際には限られた価値しか提供しないことが強調されている10。新たな戦略空間に対する従来の期待は、その期待に焦点を当て、制約を無視している。しかし、戦略的思考は、理論的に可能なことだけでなく、現実的に実現可能なことにも焦点を当てなければならない。ここで、破壊工作に関するインテリジェンスの研究は、戦略的分析と評価にとって重要な示唆を与えてくれる。
Building on this literature, this article identifies strategies of subversion, evaluates their efficacy and examines their feasibility in cyber conflict. I outline three distinct strategies. Manipulation aims to manipulate government policy, either through exploitation of government or influential political organizations, or indirectly by swaying public opinion. Erosion strives to undermine an adversary’s sources of strength by eroding public trust, exacerbating societal tensions and sabotaging institutions and infrastructure. Overthrow attempts to replace a regime with one aligned with the subverter’s interests by mobilizing and supporting opposition groups. I sort these strategies according to their ascending potential to shift the balance of power. However, greater strategic impact also brings greater operational challenges, thus raising the risk of failure.	この文献に基づき、本稿では、破壊の戦略を特定し、その有効性を評価し、サイバー紛争における実現可能性を検討する。この論文では、3つの異なる戦略について説明する。「操作」は、政府や有力な政治組織を利用したり、世論を動かしたりして、間接的に政府の政策を操作することを目的としている。「侵食」は、国民の信頼を損ない、社会的緊張を高め、制度やインフラを破壊することによって、敵対者の強さの源泉を弱体化させようとするものである。「打倒」は、反対派を動員し、支援することで、破壊者の利益に合致した政権に取って代わろうとする。私は、これらの戦略を、パワーバランスを変化させる可能性が高い順に並べてみた。しかし、戦略的なインパクトが大きければ大きいほど、作戦上の課題も大きくなり、失敗のリスクも高くなる。
Examining the feasibility of implementing these strategies through cyber operations produces surprises. Unsurprisingly, considering the scale of the Internet, cyber operations enable a greater scale of intrusion compared to traditional subversion. However, the analysis shows the scope of their reach, and thus the scope of Manipulation they can achieve, to be more limited. Furthermore – and counterintuitively, considering prevailing expectations of conflict at the ‘speed of light’– cyber operations are relatively slow. Consequently, they are most suited to the Erosion strategy. It offers an attractive option to weaken an adversary without facing the risks and costs of war, in line with current expectations about cumulative shifts in the balance of power. However, I show this strategy faces two important limitations. First, it requires significant operational capacity and resources. Contrary to prevailing expectations of the low barriers to entry in cyber conflict, these requirements likely reserve the strategy for the largest and most advanced states. Second, even with these requirements fulfilled, its chance of success is very limited due to the operational challenges of subversion. Concerning the Overthrow strategy, the analysis shows cyber operations are incapable of independently implementing it – further underlining their limitations. The article concludes with a discussion of the consequences for world politics and shows why drawing on intelligence studies enables more effective strategies than a universal focus on persistence by countering specific operation and effect types.	サイバー作戦によってこれらの戦略を実行することが可能かどうかを検証してみると、意外な結果が得られる。当然のことながら、インターネットの規模を考慮すると、サイバー作戦は従来の破壊活動に比べてより大規模な侵入を可能にする。しかし、この分析から、「操作」の及ぶ範囲、つまり達成できる「操作」の範囲は、より限定的であることがわかる。さらに、「光の速さ」での紛争という一般的な期待を考えると、直感に反し、サイバー作戦は比較的時間がかかる。その結果、サイバー作戦は「侵食」作戦に最も適している。サイバー作戦は、戦争のリスクとコストに直面することなく敵対者を弱体化させる魅力的なオプションであり、パワーバランスの累積的変化に関する現在の予想に沿うものである。しかし、この戦略には2つの重要な限界があることを指摘する。第一に、この戦略には多大な作戦能力と資源が必要である。サイバー紛争への参入障壁が低いという一般的な予想に反して、これらの要件は、この戦略を最大かつ最も進んだ国家に限定している可能性が高い。第二に、これらの要件が満たされたとしても、破壊工作の運用上の課題から、成功の可能性は非常に限られたものである。「転覆」戦略については、サイバー作戦が単独で実施することは不可能であり、その限界をさらに明確にするものであると分析されている。本稿は、世界政治への影響について考察し、特定の作戦や効果に対抗することによって、情報研究を活用することで、永続性に焦点を当てた普遍的な戦略よりも効果的な戦略を可能にする理由を示している。
This article makes three contributions. First, it furthers strategic thought on cyber conflict by identifying three distinct strategies and evaluating their relative efficacy. Second, through its investigation of the historical parallels between cyber conflict and intelligence operations, it adds to the understanding of the strategic role of both cyber operations and subversive covert operations. Third, by comparing the relative advantages and disadvantages of cyber operations and their historical counterparts in implementing these three strategies, the article refines our understanding of how technological change has impacted competition short of war. Finally, these insights provide a foundation for future strategy development.	この論文は3つの貢献をしている。第一に、3つの異なる戦略を特定し、その相対的な有効性を評価することによって、サイバー紛争に関する戦略的思考をさらに深めることができる。第二に、サイバー紛争と諜報活動の歴史的類似性を調査することによって、サイバー作戦と破壊的秘密作戦の戦略的役割に関する理解を深めることができる。第3に、これら3つの戦略を実施する際のサイバー作戦と歴史的な対応策の相対的な長所と短所を比較することによって、技術的な変化が戦争以外の競争にどのような影響を及ぼしてきたかについての理解を深めるものである。最後に、これらの洞察は、将来の戦略開発のための基盤を提供するものである。

> Jurnal Article Inteernational Poplitical Sociology

・2022.07.23 What Can a Critical Cybersecurity Do?

Inteernational Poplitical Sociology	国際人口社会学
What Can a Critical Cybersecurity Do?	クリティカルなサイバーセキュリティは何ができるのか？
Abstract	概要
Cybersecurity has attracted significant political, social, and technological attention as contemporary societies have become increasingly reliant on computation. Today, at least within the Global North, there is an ever-pressing and omnipresent threat of the next “cyber-attack” or the emergence of a new vulnerability in highly interconnected supply chains. However, such discursive positioning of threat and its resolution has typically reinforced, and perpetuated, dominant power structures and forms of violence as well as universalist protocols of protection. In this collective discussion, in contrast, six scholars from different disciplines discuss what it means to “do” “critical” research into what many of us uncomfortably refer to as “cybersecurity.” In a series of provocations and reflections, we argue that, as much as cybersecurity may be a dominant discursive mode with associated funding and institutional “benefits,” it is crucial to look outward, in conversation with other moves to consider our technological moment. That is, we question who and what cybersecurity is for, how to engage as academics, and what it could mean to undo cybersecurity in ways that can reassess and challenge power structures in the twenty-first century.	現代社会の計算機への依存度が高まるにつれ、サイバーセキュリティは政治的、社会的、技術的に大きな関心を集めている。今日、少なくとも北半球では、次の「サイバー攻撃」の脅威や、高度に相互接続されたサプライチェーンにおける新たな脆弱性の出現が、常に強調され、遍在している。しかし、脅威とその解決に関するこうした言説的な位置づけは、支配的な権力構造や暴力の形態、そして普遍主義的な保護規定を強化し、永続させているのが一般的である。この集合的な議論では、これとは対照的に、異なる分野の6人の学者が、我々の多くが違和感を持って「サイバーセキュリティ」と呼ぶものについて、「批判的」な研究を「行う」ことの意味について議論している。一連の挑発と考察の中で、我々は、サイバーセキュリティが、関連する資金や制度的な「利益」とともに支配的な言説様式であるのと同様に、我々の技術的瞬間を考えるために、他の動きと対話しながら外部に目を向けることが極めて重要であると主張する。つまり、サイバーセキュリティは誰のため、何のためにあるのか、学問としてどのように関わるべきか、そして21世紀の権力構造を再評価し挑戦することができるような方法でサイバーセキュリティを元に戻すことは何を意味するのかを問い直すのである。

> Bulletin of the Atomic Scientists

・2022.07.11 A US history of not conducting cyber attacks

Bulletin of the Atomic Scientists	原子力科学者会報
A US history of not conducting cyber attacks	サイバー攻撃を行わなかった米国の歴史
ABSTRACT	概要
There were numerous occasions when the US military considered conducting cyber attacks but refrained from doing so, but these have been largely overlooked as sources of insight. Six cases that we do know about – mostly from journalistic reporting – reveal much about US strategic thinking, posturing, and assessment of the limits of cyberspace.	米軍がサイバー攻撃の実施を検討しながらも、それを見送ったケースは数多くあるが、これらは洞察の材料としてほとんど見過ごされてきた。我々が知っている6つの事例（ほとんどがジャーナリスティックな報道によるもの）は、米国の戦略的思考、姿勢、サイバースペースの限界に対する評価について多くのことを明らかにしている。
The United States is a leading cyber power.	米国はサイバー大国のリーダーである。
Naturally, experts have focused on deconstructing US-led cyber attacks to broaden our understanding of the nature of cyber conflict (Healey 2013). Most prominently, Operation Olympic Games – better known as the Stuxnet attacks that destroyed 1,000 centrifuges at Iran's Natanz uranium enrichment site – has proven the ability of cyber operations to cause destruction to critical infrastructure, highlighted the role of the private sector in exposing cyber attacks, and revealed where the offense versus defense balance lies (Lindsay 2013; Slayton 2016/2017).	当然ながら、専門家たちは、サイバー紛争の本質についての理解を深めるために、米国が主導するサイバー攻撃の解体に注力してきた（Healey 2013）。最も顕著なのは、イランのナタンズウラン濃縮施設の遠心分離機1000台を破壊したスタックスネット攻撃として知られるオリンピック作戦で、サイバー作戦が重要インフラに破壊をもたらす能力を証明し、サイバー攻撃を暴露する民間部門の役割を強調し、攻撃と防御のバランスがどこにあるかを明らかにした（Lindsay 2013; Slayton 2016/2017）......。
But these cyber attacks are only one part of the story.	しかし、こうしたサイバー攻撃は物語の一部分に過ぎない。
Just as important is the United States military’s history of not conducting cyber attacks – in particular, those it planned but never executed. There were numerous occasions when the US military considered conducting cyber attacks but refrained from doing so, and these have been largely overlooked as sources of insight. Part of this is due to the limited availability of information on these cases. (There are also operations the United States has tried but failed. For example, Joseph Menn reported that the United States tried a similar attack to Stuxnet against North Korea but ultimately failed because it was not able to get sufficient level of access (Menn 2015).)	それと同じくらい重要なのは、米軍がサイバー攻撃、特に計画したものの実行に移さなかった歴史である。米軍がサイバー攻撃の実施を検討しながらも、実行を見送ったことは数多くあり、これらは洞察の材料としてほとんど見過ごされてきた。その一因は、これらの事例に関する情報が限られているためである。(また、米国が試みて失敗した作戦もある。例えば、ジョセフ・メンは、米国が北朝鮮に対してスタックスネットと同様の攻撃を試みたが、十分なレベルのアクセスを得ることができず、最終的に失敗したと報告している(Menn 2015)。
Six cases that are publicly known – mostly originating from the diligent reporting of investigative journalists – reveal much about the US military’s strategic thinking, posturing, and assessment of the limits of cyberspace. For a discussion on a potential seventh case, Nitro Zeus, see: Sanger (2018). These incidents reveal much about the US military’s strategic thinking, posturing, and assessment of the limits of cyberspace. What at first glance appear to be cyber non-events in fact help us to identify the difficulties of planning cyber operations alongside conventional military operations. These non-events also aid in examining the US record (which actually shows considerable restraint), give context to institutional efforts, and show how uncertainty about collateral damage can lead to inaction.	公に知られている6つの事例-そのほとんどが調査ジャーナリストの熱心な報告に由来する-は、米軍の戦略的思考、姿勢、サイバースペースの限界に関する評価について多くのことを明らかにしている。7件目の可能性があるニトロゼウスに関する考察は、以下を参照。サンガー（2018）。これらの事件は、米軍の戦略的思考、構え、サイバースペースの限界に対する評価について多くのことを明らかにしている。一見するとサイバー非事件に見えるが、実際には、従来の軍事作戦と並行してサイバー作戦を計画することの難しさを確認するのに役立つ。また、これらの非事例は、米国の記録（実際にはかなりの抑制を示している）を検証するのに役立ち、制度的な取り組みに文脈を与え、巻き添え被害に対する不確実性がいかに不作為につながるかを示している。

Continue reading "スイス ETH Zürichsで公表されている最近のサイバー作戦、サイバー攻撃等、サイバー関連の最近の記事、論文"

2022.08.26 15:18 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

米国国土安全保障省監察官室 2015年サイバーセキュリティ法の下での情報共有を改善するために必要な追加的な進捗状況 (CISA)

こんにちは、丸山満彦です。

米国の国土安全保障省の監査官室 (OIG) が過去の情報共有についての指摘事項の進捗状況についての監査報告が公表していますね。。。

ここに出てくるAISについては、CISAのAUTOMATED INDICATOR SHARING を参照...日本では、NEC、富士通、日立等が5年ほど前から加盟していますね、、、

● Oversight.Gov - Department of Homeland Security

・2022.08.22 Additional Progress Needed to Improve Information Sharing under the Cybersecurity Act of 2015

・[PDF] OIG-22-59-Aug22.pdf

HS OIG HIGHLIGHTS	国土安全保障省監査官室ハイライト
Additional Progress Needed to Improve Information Sharing under the Cybersecurity Act of 2015	2015年サイバーセキュリティ法の下での情報共有の改善に必要な追加的な進展
Why We Did This Review	このレビューを行った理由
The Cybersecurity Act of 2015 requires the Department of Homeland Security to establish a capability and process for Federal entities to receive cyber threat information from non-Federal entities. The Act requires Inspectors General from the Intelligence Community and appropriate agencies to submit a joint report to Congress every 2 years on Federal Government actions to share cyber threat information. We conducted this review to evaluate CISA’s progress meeting the Cybersecurity Act’s requirements for 2019 and 2020.	2015年サイバーセキュリティ法は、国土安全保障省に対し、連邦機関が連邦機関以外からサイバー脅威情報を受け取るための能力とプロセスを確立することを求めている。同法は、情報コミュニティと適切な機関の検査官が、サイバー脅威情報を共有するための連邦政府の行動について、2年ごとに議会に共同報告書を提出することを義務付けている。我々は、2019年と2020年のサイバーセキュリティ法の要件を満たすCISAの進捗を評価するために、このレビューを実施した。
What We Recommend	推奨事項
We recommend CISA complete system upgrades, hire needed staff, encourage compliance with information sharing agreements and develop a formal reporting process with quality controls.	CISAは、システムのアップグレードを完了し、必要な要員を雇用し、情報共有契約の遵守を奨励し、品質管理を伴う正式な報告プロセスを開発することを推奨する。
What We Found	発見事項
The Cybersecurity and Infrastructure Security Agency (CISA) has addressed the basic information sharing requirements of the Cybersecurity Act of 2015 (Cybersecurity Act) but has made limited progress improving the overall quality of threat information. In 2019 and 2020, CISA continued to leverage its Automated Indicator Sharing (AIS) capability to share cyber threat information between the Federal Government and the private sector. During that time, CISA reportedly increased the number of Federal participants by more than 15 percent and increased the number of non-Federal participants by 13 percent. CISA asserted it increased the overall number of cyber threat indicators it shared and received by more than 162 percent, but it could not validate this number.	サイバーセキュリティ・インフラセキュリティ庁（CISA）は、2015年サイバーセキュリティ法（Cybersecurity Act）の基本的な情報共有要件に取り組んできたが、脅威情報の全体的な質の向上は限定的な進展にとどまっている。2019年と2020年、CISAは引き続き自動指標共有（AIS）機能を活用し、連邦政府と民間セクターの間でサイバー脅威情報を共有した。この間、CISAは連邦政府の参加者数を15％以上増やし、連邦政府以外の参加者数を13％増やしたと報告されている。CISAは、共有し受け取ったサイバー脅威指標の全体数を162%以上増加させたと主張しているが、この数字を検証することはできなかった。
The quality of information shared with AIS participants was not always adequate to identify and mitigate cyber threats. According to Federal and private sector entities we interviewed, most of the cyber threat indicators did not contain enough contextual information to help decision makers take action. We attribute this to limited AIS functionality, inadequate staffing, and external factors. We reported on these same challenges in our Cybersecurity Act evaluation for 2017 and 2018.	AIS参加者と共有される情報の質は、サイバー脅威を特定し緩和するために必ずしも適切ではなかった。我々がインタビューした連邦政府と民間企業によると、ほとんどのサイバー脅威指標は、意思決定者が行動を起こすのに役立つ十分な文脈的情報を含んでいなかった。これは、AISの機能制限、不十分な人員配置、および外部要因によるものだと考えている。我々は、2017年と2018年のサイバーセキュリティ法の評価で、これらと同じ課題について報告した。
Deficiencies in the quality of threat information shared among AIS participants may hinder the Federal Government’s ability to identify and mitigate potential cyber vulnerabilities and threats.	AIS参加者間で共有される脅威情報の質に欠陥があると、連邦政府が潜在的なサイバー脆弱性や脅威を特定し、緩和する能力に支障をきたす可能性がある。
CISA Response	CISAの対応
CISA concurred with all four recommendations. We included a copy of CISA’s comments in Appendix B.	CISAは、4つの推奨事項すべてに同意した。附属書BにCISAのコメントの写しを掲載した。

附属書BによるCISAの対応...

Appendix B: CISA Comments to the Draft Repor	報告書（案）に対するCISAのコメント
...	...
Recommendation 1: We recommend the Director of CI SA develop and implement a formal process to verify the number of cyber threat indicators shared through its Automated Indicator Sharing capability to enable accurate reporting and oversight.	推奨事項1：我々は、CI SA長官に対し、正確な報告と監視を可能にするため、自動指標共有機能を通じて共有されたサイバー脅威指標の数を検証する正式なプロセスを開発し、実施することを推奨する。
Response: Concur. On March 1, 2022, CISA's Cybersecurity Division launched its next generation version of AIS, "AIS 2.0," which, among other actions, created the capability to apply a CISA "opinion score" to Cyber Threat Indicators (CTI) in AIS.	対応：同意する。2022年3月1日、CISAのサイバーセキュリティ部門はAISの次世代バージョン「AIS 2.0」を発表し、AISのサイバー脅威指標（CTI）にCISAの「意見スコア」を適用する機能などを創設した。
This opinion score provides an assessment of whether or not the information can be corroborated with other sources available to the entity submitting the opinion to AIS. CISA publicly shares information on the opinion score methodology in the November 2021 document, "Automated Indicator Sharing (AIS) Scoring Framework Used for indicator Enrichment," Vl.0. 1 This scoring can help those receiving information from AIS make informed decision in support of cyber defense.	この意見スコアは、AISに意見を提出する主体が利用できる他の情報源で情報の裏付けが取れるかどうかの評価を行うものである。CISAは、2021年11月の文書「Automated Indicator Sharing (AIS) Scoring Framework Used for indicator Enrichment」Vl.0において、意見スコア方法についての情報を公開している。1 このスコアリングは、AISから情報を受け取る側が、サイバー防衛を支援するために、情報に基づいた意思決定を行うことを支援することができる。
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.	CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。
Recommendation 2: Develop and implement an approach to encourage Federal agencies and the private sector to comply with information sharing agreements and requirements, and report actions taken with information sharing agreements and requirements for Automated Indicator Sharing.	推奨事項2：連邦政府機関と民間企業が情報共有協定と要件を遵守することを奨励するアプローチを開発・実施し、情報共有協定と自動化指標共有の要件で取られた行動を報告すること。
Response: Concur. In November 2021 , CISA's Cybersecurity Division issued its "Automated Indicator Sharing (AIS) 2.0 Submission Guide, Vl.0,"2 which was intended to increase effective sharing participation in advance of the March 1, 2022, launch of AIS 2.0 by providing guidance for AIS participants when submitting Structured Threat Information Expression (STIX) format via the Trusted Automated Exchange of Intelligence Information (TAXII). Further, the AIS 2.0 Submission Guidance Vl.0 can be utilized with the AIS 2.0 Profile Vl.0 3 document to help AIS participants understand all requirements for AIS submissions.	対応：同意する。これは、2022 年 3 月 1 日の AIS 2.0 の開始に先立ち、AIS 参加者が Trusted Automated Exchange of Intelligence Information（TAXII）を介して Structured Threat Information Expression（STIX）形式を提出する際にガイダンスを提供し、有効な共有参加を拡大することを意図したものであった2。さらに、AIS 2.0 Submission Guidance Vl.0 は、AIS 2.0 Profile Vl.0 3 文書とともに利用することで、AIS 参加者が AIS 提出のためのすべての要件を理解できるようにすることができる。
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.	CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。
Recommendation 3: Complete Automated Indicator Sharing 2.0 upgrades.	推奨3：Automated Indicator Sharing 2.0のアップグレードを完了させる。
Response: Concur. CISA's Cybersecurity Division completed upgrades on March 1, 2022, for AIS to leverage the latest STIX/TAXII 2.0 standards for capturing and communicating cyber threat intelligence. Furthermore, on June 2, 2022, CISA demonstrated the AIS 2.0 operational capabilities to DHS OIG to show that the requirements of this recommendation were met.	対応：同意する。CISAのサイバーセキュリティ部門は、2022年3月1日にAISのアップグレードを完了し、サイバー脅威情報の取得と伝達のための最新のSTIX/TAXII 2.0標準を活用するようにした。さらに、2022年6月2日、CISAは国土安全保障省監査官室に対してAIS 2.0の運用能力を実演し、本推奨事項の要件が満たされていることを示した。
CISA requests that the OIG consider this recommendation resolved and closed, as implemented.	CISAは、監査官室がこの推奨事項を解決し、実施済みとして終了したものとみなすことを要請する。
Recommendation 4: Place priority on hiring administrative and operational staffing to conduct the strategic planning, coordination, analysis, and performance measurement needed to mitigate cybersecurity risks.	推奨事項4：サイバーセキュリティのリスクを軽減するために必要な戦略的計画、調整、分析、パフォーマンス測定を実施するための管理・運営要員の雇用を優先する。
Response: Concur. Over the past 18 months, CISA's Cybersecurity Division has added additional contractual resources to better support these efforts, and are also in the process of assessing a longer-term approach to allocate resources to fully support this critical mission area. Estimated Completion Date: January 31 , 2023.	対応：同意する。過去18ヶ月間、CISAのサイバーセキュリティ部門は、これらの取り組みをより良く支援するために契約上のリソースを追加し、また、この重要な任務分野を完全に支援するためのリソースを配分する長期的なアプローチを評価している最中である。予定される完了日は2023年1月31日である。

1 "Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment" Vl.0, November 2021 - https:/www.cisa.gov/sites/default/files/publications/AIS%20Scoring%20Framework%20Used%20for20Indicator%20Enrichment%20Vl.0_508.pdf

2 "Automated Indicator Sharing (AIS) 2.0 Submission Guide", Vl.0, November 2021 -https://www.cisa.gov/sites/default/files/publications/AIS%202.0%20Submission%20Guide%20V1.0_508.pdf

3 "Automated Indicator Sharing (AIS) Profile: Requirements for STIX Submissions," Vl.0, October 2021 -
https://www.cisa.gov/sites/default/files/publications/AIS%202.0%20Profile%20Vl.0_508.pdf

・[DOCX] 仮訳

● NEC

・2017.03.15 NEC、米国国土安全保障省が推進する官民でサイバー脅威情報を共有する枠組み「AIS」に加入

● 富士通

・2017.07.19 米国国土安全保障省が推進する「AIS」のサイバー脅威インテリジェンス（CTI）と当社のCTI活用システムの連携を実証

● 日立

・2017.08.17 HIRT-PUB17007：米国AISシステムとの接続

2022.08.26 00:00 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証 | Permalink | Comments (0)
Tweet

2022.08.25

英国建設業におけるジョイントベンチャー：情報セキュリティ・ベストプラクティス・ガイダンス

こんにちは、丸山満彦です。

英国の国家サイバーセキュリティ・センター (NCSC) [wikipedia]、国家インフラ保護センター (CPNI) [wikipedia]、ビジネス・エネルギー・産業戦略省 (BEIS) [wikipedia] が共同で、[PDF]「建設業におけるジョイントベンチャー：情報セキュリティ・ベストプラクティス・ガイダンス」を公表していますね。。。

これは、英国の新幹線プロジェクトであるHigh Speed 2 [wikipedia] や、ロンドン市内近郊をつなぐCrossrail [wikipedia] プロジェクトといったジョイントベンチャー (JV) による大型の建設プロジェクトにおける情報セキュリティのベストプラクティスという感じでしょうかね。。。JVという通常の組織形態とは違う中での情報セキュリティ管理の難しさがあるでしょうね。。。

● National Cyber Security Centre: NCSC

・2022.08.23 Cyber security experts team up to protect UK construction projects

Cyber security experts team up to protect UK construction projects	サイバーセキュリティの専門家が英国の建設プロジェクトを保護するために提携
New guidance to support UK construction projects has been jointly published between the NCSC, CPNI and BEIS.	英国の建設プロジェクトを支援する新しいガイダンスが、NCSC、CPNI、BEISの3者によって共同で発表された。
・Industry and government collaborate on best practice guidance helping major infrastructure projects, such as HS2 and Crossrail, improve data security	・HS2やクロスレールなどの主要インフラプロジェクトのデータセキュリティ向上を支援するベストプラクティス・ガイダンスを産業界と政府が共同で作成した。
・New advice, published by GCHQ’s National Cyber Security Centre, sets out best approach for managing information security risks	・GCHQの国家サイバーセキュリティ・センターが発表した新しい助言は、情報セキュリティリスクを管理するための最善の方法を示している。
・Construction sector urged to follow guidance amid continued targeting by malicious actors	・悪意のある人物に狙われ続ける建設業界に対し、ガイダンスに従うよう呼びかけている。
Construction firms working together on major building projects such as HS2 have today (Tuesday) been offered first-of-its-kind security advice from industry and government.	HS2などの大規模な建設プロジェクトで協働する建設会社に対して、本日（火曜日）、業界と政府から初のセキュリティに関するアドバイスが提供された。
The new Information Security Best Practice guide aims to help these firms keep sensitive data safe from attackers by offering tailored advice on how to securely handle the data they create, store and share in joint venture projects.	新しい情報セキュリティベストプラクティスガイドは、これらの企業が、ジョイントベンチャープロジェクトで作成、保存、共有するデータを安全に取り扱う方法について、個別のアドバイスを提供し、機密データを攻撃者から保護するのを支援することを目的としている。
The guide is a unique collaboration between experts from industry and the National Cyber Security Centre (NCSC), the Department for Business, Energy and Industrial Strategy (BEIS) and the Centre for the Protection of National Infrastructure (CPNI).	このガイドは、産業界の専門家と国家サイバーセキュリティ・センター（NCSC）、ビジネス・エネルギー・産業戦略省（BEIS）、国家インフラ保護センター（CPNI）との独自のコラボレーションによって作成された。
It includes input from firms with experience in joint ventures, including major infrastructure contracts such as HS2 and Crossrail, where information security risks are particularly relevant due to their typically large size, value and complexity.	また、HS2やクロスレールなどの大型インフラ契約など、一般的に規模が大きく、金額も複雑であるため、情報セキュリティリスクが特に関連するジョイントベンチャーでの経験を持つ企業からの情報も含まれている。
By following the recommended steps, businesses can improve their physical, personnel and cyber security, making themselves less attractive targets for malicious actors as threats – including ransomware – continue to pose a significant problem globally.	ランサムウェアを含む脅威が世界的に大きな問題を引き起こし続ける中、推奨される手順に従うことで、企業は物理的、人的、サイバー的セキュリティを改善し、悪意のある行為者にとって魅力的なターゲットではなくすることができる。
Sarah Lyons, NCSC Deputy Director for Economy and Society Resilience, said:	NCSCの経済・社会レジリエンス担当副所長であるサラ・ライオンズは、次のように述べている。
“Joint ventures in construction are responsible for some of the UK’s largest building projects and the data they handle must be protected to keep crucial infrastructure safe.	「建設分野のジョイントベンチャーは、英国最大の建築プロジェクトのいくつかを担っており、重要なインフラを安全に保つために、彼らが扱うデータを保護する必要があります。
“Failure to protect this information not only impacts individual businesses but can jeopardise national security, so it’s vital joint ventures secure their sites, systems and data.	「この情報の保護に失敗すると、個々のビジネスに影響を与えるだけでなく、国家安全保障を脅かす可能性があるため、ジョイント・ベンチャーはサイト、システム、データを安全に保護することが不可欠である。
“By following this new guidance – a first-of-its-kind collaboration between industry and government – construction firms can help put a holistic strategy in place to effectively manage their risks.”	「産業界と政府による初のコラボレーションであるこの新しいガイダンスに従うことで、建設会社はリスクを効果的に管理するための全体的な戦略を導入することができる。
The guidance is a collaboration between government and industry members of a NCSC-convened trust group, bringing together expertise, experience and input from dozens of companies in the sector.	このガイダンスは、NCSCが招集した信託グループの政府と産業界のメンバーとの共同作業で、このセクターの数十社から専門知識、経験、意見を集約したものである。
Business Minister Lord Callanan said:	ビジネス担当大臣のLord Callananは次のように述べている。
“Data and digital technology are key to making a more productive, competitive and sustainable construction industry. However, this new technology presents challenges that businesses must protect themselves and their stakeholders against.	「データとデジタル技術は、より生産的で競争力のある、持続可能な建設業界を実現するための鍵である。しかし、この新しい技術には、企業が自社とその利害関係者を保護しなければならない課題があります。
“This new guidance, produced in partnership between industry and Government, will help construction firms keep their information safe, ensuring building projects are delivered on time and securely.”	「この新しいガイダンスは、産業界と政府が協力して作成したもので、建設会社が情報を安全に保ち、建設プロジェクトが予定通りに安全に提供されるよう支援するものである。
The guide sets out why information security matters for joint ventures and offers a recommended approach to take to manage the risks, including:	本指針は、情報セキュリティがなぜジョイントベンチャーにとって重要なのかを説明し、リスクをマネジメントするために取るべき推奨アプローチを提供している。
・Establishing information security governance and accountability within the joint venture and ensuring board-level engagement	・ジョイントベンチャーにおける情報セキュリティのガバナンスとアカウンタビリティを確立し、取締役会レベルの関与を確保する。
・Identifying staff to hold responsibility for assessing specific information security risks and developing a shared information security strategy	・特定の情報セキュリティリスクを評価し、共有の情報セキュリティ戦略を策定する責任を負うスタッフを特定すること
・Understanding the specific risks and any regulatory requirements for the joint venture, and deciding on a shared risk appetite	・合弁会社における特定のリスク及びあらゆる規制上の要件を理解し、共有されたリスク選好度を決定すること。
・Developing and agreeing on a shared information security strategy to manage and mitigate the risks holistically, including physical, personnel and cyber risks.	・物理的リスク、人的リスク、サイバーリスクを含むリスクを総合的にマネジメントし、軽減するための情報セキュリティ戦略を策定し、合意する。
Globally, the construction industry continues to be one of the most targeted sectors by online attackers and businesses of all sizes are at risk.	世界的に見ても、建設業界はオンライン攻撃者から最も狙われる分野の1つであり、あらゆる規模の企業がリスクにさらされている。
Jon Ozanne, Chief Information Officer at Balfour Beatty, said:	バルフォー・ビーティー社の最高情報責任者であるジョン・オザンヌは、次のように述べている。
“With cyberattacks becoming increasingly more intelligent, cyber security and protecting our own, our employees, our supply chain and customers’ data has never been more important.	「サイバー攻撃がますますインテリジェントになる中、サイバーセキュリティと当社、従業員、サプライチェーン、顧客のデータの保護はかつてないほど重要なものとなってきている。
“The introduction of the new Information Security Best Practice guide will play a key role in helping to combat the operational risks faced across the sector; raising the standard and educating those to the measures required to protect against cyber threats.”	「新しい情報セキュリティベストプラクティスガイドの導入は、業界全体が直面している業務リスクと戦うために重要な役割を果たすでしょう。
Andy Black, Chief Information Security Officer, Sir Robert McAlpine, said:	Sir Robert McAlpineの最高情報セキュリティ責任者であるAndy Blackは、次のように述べている。
“Cross industry collaboration is important to help the construction sector level up its approach to information security. We are grateful for this opportunity to share our expertise and collaborate with our peers, the NCSC, BEIS and CPNI to develop this best practice guide for Joint Ventures.”	「建設業が情報セキュリティへの取り組みをレベルアップするためには、業界を超えた協力体制が重要である。私たちの専門知識を共有し、同業者であるNCSC、BEIS、CPNIと協力して、ジョイントベンチャーのためのベストプラクティスガイドを開発するこの機会に感謝しています" 。
Earlier this year, the NCSC published cyber security guidance with the Chartered Institute of Building aimed at helping small and medium-sized businesses improve their resilience.	今年初め、NCSCはChartered Institute of Buildingと共同で、中小企業のレジリエンス向上を支援することを目的としたサイバーセキュリティ・ガイダンスを発表した。
Other NCSC resources aimed at helping organisations manage cyber security risks include the Board Toolkit, to facilitate essential conversations between board members and their technical experts, and the Exercise in a Box toolkit which helps organisations to test their incident response plans in a safe environment.	NCSCは、組織がサイバーセキュリティのリスクを管理するのを支援することを目的とした他のリソースとして、取締役会と技術専門家の間の重要な会話を促進するためのBoard Toolkitや、組織が安全な環境でインシデント対応計画をテストするのを助けるExercise in a Box toolkitを提供している。

ブログ。。。

・2022.08.23 Information Security: best practice for the construction sector

Information Security: best practice for the construction sector	情報セキュリティ：建設業におけるベストプラクティス
New guidance for businesses of all sizes planning to take part in Joint Ventures.	ジョイント・ベンチャーへの参加を計画しているあらゆる規模の企業向けの新しいガイダンス。
We're delighted to announce new guidance on the holistic security approach Joint Ventures should adopt to protect any sensitive information they manage. 'Joint Ventures in the construction sector: Information Security: Best Practice Guidance' is a collaborative effort between the construction sector and government organisations, and provides advice for construction businesses on how to secure information for Joint Ventures.	ジョイント・ベンチャーが管理する機密情報を保護するために採用すべき包括的なセキュリティ・アプローチに関する新しいガイダンスを発表できることを嬉しく思いる。建設部門におけるジョイント・ベンチャー情報セキュリティ。ベストプラクティス・ガイダンス」は、建設業界と政府機関が共同で作成したもので、ジョイント・ベンチャーの情報を保護する方法について、建設業向けにアドバイスしている。
In Joint Ventures, each company involved contributes resources to the project. A company may provide land, capital, intellectual property, experienced staff, equipment or any other form of asset dependent on their skills or expertise. In doing so they also share the risks and benefits associated with the project.	ジョイント・ベンチャーでは、関係する各企業がプロジェクトに資源を提供する。合弁事業では、各企業は、土地、資本金、知的財産、経験豊富なスタッフ、設備、その他自社の技術や専門性に応じた資産を提供することができる。また、プロジェクトに関連するリスクと利益を共有する。
People outside of the construction industry are often surprised at the complexities of modern construction programme delivery and the data sharing requirements. Modern techniques and processes such as Building Information Modelling (BIM) require data to be shared at the right time, in the right format, to the right third party and always with the right focus on security. This is why it's so important to set up a good foundation for Information Governance before the Joint Venture commences.	建設業界以外の人は、現代の建設プログラム提供の複雑さとデータ共有の必要性にしばしば驚かされる。BIM（ビルディング・インフォメーション・モデリング）などの最新の技術やプロセスでは、適切なタイミングで、適切なフォーマットで、適切な第三者と、常にセキュリティを重視した形でデータを共有することが求められる。このため、ジョイントベンチャーを開始する前に、情報ガバナンスのための優れた基盤を構築することが非常に重要である。
The guidance provides a set of non-mandatory recommendations for ensuring information security in Joint Ventures, together with details of how recommendations might best be implemented. At a high level, its main requirements are that security is represented at Joint Venture Board level, and that individuals responsible for information security from a personnel, physical and cyber security perspective understand and address the specific challenges that Joint Ventures face.	このガイダンスは、ジョイント・ベンチャーにおける情報セキュリティを確保するための一連の非強制的な推奨事項と、推奨事項をどのように実施するのが最善であるかの詳細を示している。その主な要件は、ジョイント・ベンチャーの取締役会レベルでセキュリティを代表すること、および人事、物理、サイバーセキュリティの観点から情報セキュリティを担当する個人が、ジョイント・ベンチャーが直面する特定の課題を理解し、それに対処することである。
The guidance, which has been produced by members of the NCSC Civil Engineering, Architecture and Construction (CEAC) Trust Group, the Department for Business, Energy and Industrial Strategy (BEIS), the Centre for the Protection of National Infrastructure (CPNI) and the NCSC, can be adopted as a useful toolkit for Joint Venture Boards. We also intend to ensure the guidance remains relevant in future years as best practices and regulatory requirements evolve.	NCSC Civil Engineering, Architecture and Construction (CEAC) Trust Groupのメンバー、ビジネス・エネルギー・産業戦略省（BEIS）、国家インフラ保護センター（CPNI）、NCSCによって作成されたこのガイダンスは、ジョイントベンチャー委員会のための有用なツールキットとして採用することができるものである。また、ベストプラクティスや規制要件が進化する中で、このガイダンスが将来も適切であり続けるようにするつもりである。
We'd like to thank all those involved in the development of this guidance. If you have any feedback on this guidance, you can get in touch with us via enquiries@beis.gov.uk.	本ガイダンスの開発に携わったすべての関係者に感謝する。本ガイダンスについて意見は、enquiries@beis.gov.uk まで。

ということで、ガイドライン

・[PDF] Joint Ventures in the Construction Sector: Information Security Best Practice Guidance

目次的なもの。。。

Joint Ventures in the Construction Sector: Information Security Best Practice Guidance	建設業におけるジョイントベンチャー：情報セキュリティ・ベストプラクティス・ガイダンス
• Section 1 of this guidance is aimed at business owners and JV Board members. It describes why information security matters to the construction industry, and particularly to JVs.	・このガイダンスのセクション1は、事業主やJVの役員を対象としている。建設業界、特にジョイント・ベンチャーにとって情報セキュリティがなぜ重要なのかを説明している。
• Section 2 is aimed at Board members and JV Information Security and IT experts from each of the parent companies. It describes the key steps that should be taken to ensure a JV’s information is secure.	・セクション2は、各親会社の取締役、JVの情報セキュリティおよびITの専門家を対象としている。JVの情報の安全性を確保するために取るべき重要なステップを説明している。
• Section 3 provides focused advice for IS and IT operations specialists on producing detailed plans for securing information of a JV.	・セクション3では,情報セキュリティとITの専門家向けに,JVの情報を保護するための詳細な計画を作成するためのアドバイスを提供する。
Section1: Why Information Security Matters in JVs	セクション1：JVにおいて情報セキュリティが重要な理由
Section 2: Key Steps for Securing	セクション2：セキュリティ確保のための主要なステップ
2.1 Overview	2.1 概要
2.2 Step 1: Establish Information Security Governance and Accountability	2.2 ステップ1：情報セキュリティガバナンスとアカウンタビリティの確立
2.3 Step 2: Assign Key Roles and Responsibilities	2.3 ステップ2：主要な役割と責任の分担
2.4 Step 3: Understand the JV-specific Information Security Risks and Requirements	2.4 ステップ3：JV固有の情報セキュリティリスク及び要求事項の理解
2.5 Step 4: Develop and Agree an Information Security Strategy	2.5 ステップ4: 情報セキュリティ戦略の策定と合意
2.6 Step 5: Design and Implement an Information Security Management Plan	2.6 ステップ5：情報セキュリティマネジメントプランの設計と実施
Section 3: The Information Security Management Plan	セクション3：情報セキュリティマネジメントプラン
3.1 Overview	3.1 概要
3.2 Information Security Management (ISM)	3.2 情報セキュリティマネジメント(ISM)
3.3 Identity and Access Management	3.3 アイデンティティとアクセス管理
3.4 Incident Management, Disaster Recovery and Business Continuity	3.4 インシデント管理、災害復旧、事業継続性
3.5 Security Education, Training and Awareness (SETA)	3.5 セキュリティ教育・訓練・啓発（SETA)
3.6 Physical Security	3.6 物理的セキュリティ
3.7 Personnel Security	3.7 人的セキュリティ
3.8 Supply Chain Security	3.8 サプライチェーンセキュリティ
Annex A: Information Security Checklists For Boards and Practitioners	附属書 A：取締役会及び実務担当者向け情報セキュリティチェックリスト
A.1 Security Checklist for JV Boards	A.1 JV 委員会向けセキュリティチェックリスト
A.2 Security Checklist for Practitioners	A.2 実務者向けセキュリティチェックリスト
Annex B: JV Information Security Roles and Responsibilities	附属書B：JVの情報セキュリティの役割と責任
Annex C: Minimum Requirements for JV Participation	附属書 C：JV 参加のための最低要件
C.1 Overview:	C.1 概要
C.2 Up-to-date Information Security Policies	C.2 最新の情報セキュリティ方針
C.3 Alignment with NCSC – UK Cyber Essentials (not Plus)	C.3 NCSC - UK Cyber Essentials（Plusではない）との整合性
C.4 Security Education, Training and Awareness	C.4 セキュリティ教育、訓練及び意識向上

セクション１...

Why Information Security Matters in JVs	JVで情報セキュリティが重要な理由
Digitalisation in the construction sector is bringing greater efficiency, reduced costs and wider data sharing. It is also creating a paradigm in which larger and larger volumes of data are created and digitally stored for every project. The success of a project now relies on the confidentiality, integrity and availability of its information and IT systems.	建設業界では、デジタル化により、効率化、コスト削減、データ共有の拡大が進んでいます。また、プロジェクトごとに大量のデータが作成され、デジタル保存されるというパラダイムが生まれつつある。プロジェクトの成功は、情報とITシステムの機密性、完全性、可用性に依存するようになった。
These changes mean the industry is increasingly of interest to threat actors – including cyber criminals, foreign state actors and malicious insiders – who may seek to steal, misuse, modify, damage or deny access to key information, with the potential for significant impacts on victims. Importantly, the threat is not to large companies only: criminals can target all sizes of construction business. NCSC has recently published guidance for SMEs on protecting themselves from cyber threats.	このような変化は、この業界が、サイバー犯罪者、外国人行為者、悪意のある内部関係者を含む脅威者にとってますます関心を持たれていることを意味し、彼らは重要な情報を盗み、悪用、変更、損傷、またはアクセス不能にしようとするかもしれず、被害者に大きな影響を与える可能性がある。重要なのは、この脅威は大企業だけにとどまらないということである。犯罪者は、あらゆる規模の建設業をターゲットにすることができます。NCSCは最近、中小企業を対象としたサイバー脅威から身を守るためのガイダンスを発表した。
Successful attacks by malicious actors can be extremely costly and jeopardise project success:	悪意のある者による攻撃が成功すると、多大なコストがかかり、プロジェクトの成功が危ぶまれる可能性がある。
a. Ransomware attacks – in which cybercriminals encrypt and/or steal data to extort ransom payments – cost UK businesses £365 million in 2020 . Globally, construction is one of the sectors most targeted by ransomware and multiple UK	a. サイバー犯罪者がデータを暗号化または窃取して身代金の支払いを要求するランサムウェア攻撃は、2020年に英国企業で3億6500万ポンドの損害をもたらした。世界的に見ても、建設業はランサムウェアに最も狙われる分野の1つであり、英国では複数の企業がランサムウェアの被害を受けている。
b. Data breaches can incur heavy fines under the UK Data Protection Act 2018 (up to £17.5 million or 4% of annual global turnover) – and can also delay projects and impact the reputation of affected companies.	b. データ侵害は、英国データ保護法2018に基づく重い罰金（最大1750万ポンドまたは世界の年間売上高の4％）を課すことができる - また、プロジェクトを遅らせ、影響を受けた企業の評判に影響を与える可能性がある。
As well as malicious attacks, accidental actions can also impact a project’s information security. These might include sharing sensitive information in a presentation or published article, leaving commercial information on a memory stick on site, or even re-using software containing unsanitised data from a previous project. These accidents can constitute regulatory breaches and lead to the leaking of sensitive information into the public domain.	悪意のある攻撃だけでなく、偶発的な行為もプロジェクトの情報セキュリティに影響を与える可能性がある。例えば、プレゼンテーションや出版物の中で機密情報を共有したり、商業情報をメモリースティックに入れて現場に残したり、あるいは以前のプロジェクトで使用した未消毒のデータを含むソフトウェアを再利用したりすることなどが考えられる。このような事故は、規制違反となり、機密情報の漏洩につながる可能性がある。
Information security risks are particularly relevant to Joint Ventures (JV) due to:	情報セキュリティリスクは、以下の理由により、特にジョイントベンチャー（JV）に関連する。
a. Their large monetary value;	a. 金銭的価値が大きい
b. The high volumes of potentially sensitive data they can potentially generate, process, share and store;	b. 大量の潜在的な機密データを生成、処理、共有、保管する可能性があること
c. Potential differences in partners’ approaches to security and risk appetite;	c. セキュリティ及びリスク選好に対するパートナーのアプローチの潜在的な違い
d. The complexity of their IT infrastructure;	d. パートナーの IT インフラの複雑さ
e. Their potential physical proximity to other significant assets; and	e. 他の重要な資産に物理的に近接している可能性、及び
f. Their large site structures, which make them difficult to secure against physical attacks.	f. 敷地が広大なため、物理的な攻撃から守るのが難しい。
Adopting a standardised approach to JV information security is key to addressing these concerns, and will yield benefits including:	JVの情報セキュリティに標準的なアプローチを採用することは、これらの懸念に対処するための鍵であり、以下のような利点をもたらす。
a. Minimisation of delays, cost and complexity caused by retrofitting security measures	a. セキュリティ対策の後付けによる遅延、コスト、複雑さを最小化する
b. Increased compliance with regulations bringing reduced risk of fines and prosecution;	b. 規制へのコンプライアンスが向上し、罰金や起訴のリスクが減少する
c. Reduced likelihood of monetary loss or reputational damage	c. 金銭的損失や風評被害の可能性を低減する
d. Clear roles, responsibilities and accountabilities reducing friction between partners; and	d. 明確な役割、責任、説明責任により、パートナー間の摩擦が減少する
e. More accurate IT cost estimates and better infrastructure provision.	e. より正確なITコストの見積もりと、より良いインフラの提供する
This guidance provides a set of non-mandatory recommendations for ensuring information security in JVs together with details of how recommendations might best be implemented. At a high level, its main requirements are that security is represented at JV Board level and that individuals responsible for information security from a personnel, physical and cyber security perspective understand and address the specific challenges facing JVs	このガイダンスは、JVにおける情報セキュリティを確保するための一連の非強制的な勧告と、勧告をどのように実行するのが最善であるかの詳細を提供するものである。その主な要件は、JVの理事会レベルでセキュリティを代表し、人事、物理、サイバーセキュリティの観点から情報セキュリティを担当する個人が、JVが直面する特定の課題を理解し対処することである。

2022.08.25 01:46 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.24

NIST 意見募集 AIリスクマネジメントフレームワーク（第２ドラフト）とそのプレイブック

こんにちは、丸山満彦です。

NISTがAIリスクマネジメントフレームワーク（第２ドラフト）とそのプライブックについての意見募集をしていますね。。。2022.03.17に初期ドラフトが公開されましたが、その次のドラフトということですね。。。

プレイブックは、「統治」、「マップ」、「測定」、「管理」のうち、「統治」と「マップ」のドラフトが先行して公表され、意見募集されています。「測定」と「管理」のドラフトは後日発表ということのようですね。。。

2023年1月に正式版をリリースする予定ですね。。。

米国というのは、実践的な手法でリードしていく感じですね。。。

まずは、リスクマネジメントフレームワーク... 最初のドラフトから目次レベルでちょっと変わっていますね。。。

● NIST

・2022.08.18 NIST Seeks Comments on AI Risk Management Framework Guidance, Workshop Date Set

NIST Seeks Comments on AI Risk Management Framework Guidance, Workshop Date Set	NISTがAIリスクマネジメントフレームワークのガイダンスに対するコメントを募集、ワークショップの日程も決定
NIST is seeking comments on a second draft of the NIST Artificial Intelligence Risk Management Framework (AI RMF). The AI RMF is intended for voluntary use in addressing risks in the design, development, use, and evaluation of AI products, services, and systems. The new draft builds on and reflects the discussions at the AI RMF Workshop #2 and incorporates feedback received on the initial draft released in March 2022.	NISTは、NIST Artificial Intelligence Risk Management Framework (AI RMF)の第二次草案に対するコメントを募集している。AI RMFは、AI製品、サービス、システムの設計、開発、使用、評価におけるリスクへの対処に自主的に使用することを目的としている。新しいドラフトは、AI RMFワークショップ#2での議論を基にし、反映させ、2022年3月に発表された最初のドラフトに寄せられたフィードバックを取り入れたものである。
NIST also seeks comments on the draft NIST AI RMF Playbook, an online resource providing recommended actions on how to implement the Framework. The draft Playbook includes suggested actions, references, and supplementary guidance for “Govern” and “Map” – two of the four proposed Framework functions. Draft material for the other two functions, “Measure” and “Manage,” will be released at a later date.	NISTはまた、フレームワークの実施方法に関する推奨アクションを提供するオンラインリソースであるNIST AI RMF Playbookのドラフトに対するコメントも募集している。Playbookのドラフトには、提案されている4つのFramework機能のうちの2つである「ガバナンス」と「マップ」についての推奨行動、参考文献、補足ガイダンスが含まれている。他の2つの機能である「測定」と「管理」のドラフト資料は後日発表される予定である。
Comments on the draft Framework and initial comments on the draft Playbook should be sent via email to AIframework@nist.gov by September 29, 2022.	フレームワークのドラフトに対するコメントとプレイブックのドラフトに対する最初のコメントは、2022年9月29日までに電子メールで AIframework@nist.gov 宛にお送りください。
Feedback also will be welcomed during discussions at the Building the NIST AI Risk Management Framework: Workshop #3 on October 18-19, 2022. Registration for the virtual workshop is now open.	また、「Building the NIST AI Risk Management Framework」での議論でのフィードバックも歓迎する。ワークショップ#3は、2022年10月18日～19日に開催されます。この仮想ワークショップの参加登録は現在受付中である。
NIST plans to publish AI RMF 1.0 in January 2023.	NISTは、2023年1月にAI RMF 1.0を公開する予定である。

・[PDF] AI Risk Management Framework: Second Draf

目次...

Part 1: Motivation	第1部: 動機づけ
1. OVERVIEW	1. 概要
1.1. Trustworthy and Responsible AI	1.1. 信頼できる、責任あるAI
1.2. Purpose of the AI RMF	1.2. AI RMFの目的
1.3. Where to Get More Information	1.3. 詳細情報の入手先
2. AUDIENCE	2. 想定読者
3. FRAMING RISK	3. リスクの枠組み
3.1. Understanding Risk, Impacts, and Harms	3.1. リスク、影響、危害の理解
3.2. Challenges for AI Risk Management	3.2. AIリスクマネジメントの課題
4. AI RISKS AND TRUSTWORTHINESS	4. AIのリスクと信頼性
4.1. Valid and Reliable	4.1. 有効性と信頼性
4.2. Safe	4.2. 安全性
4.3. Fair – and Bias Is Managed	4.3. 公平性 - バイアスが管理されている
4.4. Secure and Resilient	4.4. 安全とレジリエンス
4.5. Transparent and Accountable	4.5. 透明性と説明責任
4.6. Explainable and Interpretable	4.6. 説明可能性と解釈可能性
4.7. Privacy-Enhanced	4.7. プライバシー保護
5. EFFECTIVENESS OF THE AI RMF	5. AI RMFの有効性
Part 2 Core and Profiles	第2部：コアとプロファイ
6. AI RMF CORE	6. AI RMFの中核
6.1. Govern	6.1. 統治
6.2. Map	6.2. マップ
6.3. Measure	6.3. 測定
6.4. Manage	6.4. 管理
7. AI RMF PROFILES	7. Ai RMFプロファイル
Appendices	附属書
APPENDIX A: DESCRIPTIONS OF AI ACTOR TASKS FROM FIGURE 1	附属書A：図1のAIアクターのタスクの説明
APPENDIX B: HOW AI RISKS DIFFER FROM TRADITIONAL SOFTWARE RISKS	附属書B：AIリスクと従来のソフトウェアリスクとの違い

・[DOCX] 仮訳

次にプレイブック

・ NIST AI Risk Management Framework Playbook

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.22 NIST 意見募集 AIリスクマネジメントフレームワーク（初期ドラフト）

・2022.03.21 NIST SP1270 人工知能におけるバイアスの識別と管理の標準化に向けて

NISTIR 8269↓

・2021.12.15 ENISA 機械学習アルゴリズムの保護

NISTIR 8312↓

・2020.08.21 NISTはAIに自己説明を求める？（説明可能な人工知能の4原則）

・2021.06.25 NIST SP1270 Draft 人工知能におけるバイアスの識別と管理

OECD

・2022.02.24 OECD AIシステム分類のためのOECDフレームワーク

■ 参考

OECDの「人工知能に関する理事会勧告」

● OECD

・OECD AI Principles overview

・2019.05.22 [PDF] Recommendation of the Council on Artificial Intelligence

総務省による仮訳

・2019.05.22 [PDF] 人工知能に関する理事会勧告

2022.08.24 02:21 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 内部統制 / リスクマネジメント, in パブコメ, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2022.08.23

米国サイバー司令部：クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする

こんにちは、丸山満彦です。

米国のサイバー司令部が、「ハント・フォワード作戦」の一環として、サイバーオペレーターチームをクロアチアに派遣し、クロアチア軍と一緒にネットワーク上のサイバー活動を追跡し、情報収集等を行なったようですね。。。

● U.S. Cyber Command

・2022.08.18 “Partnership in Action”: Croatian, U.S. cyber defenders hunting for malicious actors

“Partnership in Action”: Croatian, U.S. cyber defenders hunting for malicious actors	行動するパートナーシップ：クロアチアと米国のサイバー防衛隊が悪質な行為者をハントする
For the first time in U.S. Cyber Command history, a team of elite defensive cyber operators deployed to Croatia to hunt for malicious cyber activity on partner networks, returning with new insights and partnership that bolster the Nation’s defense.	米国サイバー司令部の歴史上初めて、防衛のための精鋭サイバーオペレーターチームがクロアチアに派遣され、パートナーネットワーク上の悪質なサイバー活動を追跡し、国家の防衛を強化する新しい洞察とパートナーシップを獲得して帰国した。
“This kind of partnership in cybersecurity is essential in today’s world as it expands our reach and capabilities,” said Director of the Croatian Security and Intelligence Agency Daniel Markić.	クロアチア安全保障情報庁のダニエル・マルキッチ長官は、次のように述べている。「サイバーセキュリティにおけるこのようなパートナーシップは、我々の範囲と能力を拡大するため、今日の世界では不可欠である。」
“We face the same adversaries and threat actors in cyberspace, and we both gain and share valuable insights into cyber resilience as it has become the key objective for national security,” he added.	「我々は、サイバースペースにおいて同じ敵や脅威者に直面しており、国家安全保障の重要な目的となっているサイバーレジリエンスについて、共に貴重な洞察を得て共有している」。
U.S. Cyber Command’s Cyber National Mission Force routinely conducts ‘hunt forward operations’ globally with the purpose of learning adversary activities for homeland defense and enabling partner nations’ collective cybersecurity.	米国サイバー司令部のサイバー・ナショナル・ミッション・フォースは、国土防衛のために敵の活動を学習し、同盟国のサイバーセキュリティを集団で可能にする目的で、日常的に「ハント・フォワード作戦」を世界各地で行っている。
The team, made up of U.S. military and civilian personnel, worked side-by-side with the Croatian Security and Intelligence Agency’s (SOA) Cyber Security Centre experts, hunting on the prioritized networks of national significance and looking for malicious cyber activity and vulnerabilities. The hunt forward team returned recently to the United States, with both adversary and shared understanding of each other’s methodologies and capabilities.	米軍と民間人で構成されるこのチームは、クロアチア安全情報局（SOA）のサイバーセキュリティセンターの専門家と肩を並べ、国家的に重要な優先順位の高いネットワークでハントし、悪質なサイバー活動や脆弱性を探した。ハント・フォワード・チームは、敵対する国と、互いの方法論と能力を理解した上で、最近米国に戻った。
“For us, it isn’t just about hunting on our partner’s networks for similar threats to our networks and then bringing that back home to defend our Nation’s networks,” said the U.S. hunt forward team leader, whose name cannot be used for operational security reasons. “It was also about the personal relationships we built, and the partnership we can grow. I was personally impressed with the level of organization, visibility, and proactivity of the SOA Cyber Security Center, as we sat side-by-side hunting for bad actors.”	米国のハント・フォワード・チームのリーダーは、作戦のセキュリティ上の理由から名前を明かすことはできないが、次のように述べた。「我々にとって、パートナーのネットワークで我々のネットワークと同様の脅威を発見し、それを自国のネットワーク防衛のために持ち帰ることだけが目的ではない」。また、我々が築いた個人的な関係、そして我々が成長することができるパートナーシップについても言及した。個人的には、SOAサイバー・セキュリティ・センターの組織力、可視性、積極性に感銘を受けたし、悪質な行為者を探すために一緒に行動した。
Hunt forward operations are part of U.S. Cyber Command’s persistent engagement strategy, aimed at proactively bolstering defenses in the U.S. and disrupting malicious cyber activity in U.S. infrastructure.	ハント・フォワード作戦は、米国サイバー司令部の持続的関与戦略の一環で、米国内の防御を積極的に強化し、米国のインフラにおける悪質なサイバー活動を妨害することを目的としている。
“It was an honor to send some of our best defensive operators to Croatia, to hunt for shared threats alongside our partners—we want to bring both expertise and talent to our partner nations, while seeing cyber adversaries who may be threatening our Nation,” said U.S. Army Maj. Gen. William J. Hartman, commander of the Cyber National Mission Force. “Our teams don’t just come back with insights that strengthen our defenses, and support our allies, but also with professional relationships…and these relationships will continue to grow as we work together, against common adversaries, in the years to come.”	サイバー国家任務部隊の司令官である米陸軍のウィリアム・J・ハートマン少将は次のように述べた。「クロアチアに我々の最高の防衛オペレーターを派遣し、パートナーと共に共有の脅威をハントすることができたのは名誉なことである。我々は同盟国に専門知識と才能をもたらすと同時に、我が国を脅かすかもしれないサイバー敵対者を見極めたい。我々のチームは、防衛を強化し、同盟国を支援するための知見を持って帰ってくるだけでなく、専門的な関係も持って帰ってきた...これらの関係は、今後数年間、共通の敵に対して共に働く中で、成長し続けるだろう。」
As of Aug. 2022, CNMF has conducted 35 hunt forward operations in 18 countries, including Estonia, Lithuania, Montenegro, North Macedonia and Ukraine—doing so on over 50 foreign networks, much of it during a global pandemic.	2022年8月現在、CNMFはエストニア、リトアニア、モンテネグロ、北マケドニア、ウクライナなど18カ国で35回のハント・フォワード作戦を実施し、50以上の外国のネットワークで、その多くは世界的流行中に行われた。
In cybersecurity, ‘hunting’ is a proactive cyber defense activity, to observe and mitigate threats that are undetected on a network or system. While hunt forward operations teams do not mitigate threats on partner networks, they enable their counterparts to pursue and address the threats found.	サイバーセキュリティにおける「ハンティング」とは、ネットワークやシステム上で検知されない脅威を観察し、緩和するためのプロアクティブなサイバー防衛活動である。ハント・フォワード作戦チームは、パートナーのネットワーク上の脅威を軽減するわけではないが、発見された脅威を追求し、対処することを可能にする。
“These defensive operators are hunters, trained to know the behavior of their target,” said CNMF’s defensive cyber lead against Russian threats. “They are experts at looking for those behaviors, and finding some of their more malicious and subtle techniques. We share this information with our partners, so they can take action on their own networks.”	ロシアの脅威に対するCNMFの防御的サイバーリーダーは、次のように述べている。「これらの防御的オペレーターは、ターゲットの行動を知るために訓練されたハンターだ。彼らは、そのような行動を探し出し、より悪質で巧妙なテクニックを見つける専門家だ。我々はこの情報をパートナーと共有し、パートナーは自分たちのネットワークで対策を講じることができる。」
In addition to countering the malicious cyber actors who target partner nation’s networks, data, and platforms, the U.S. and allies gain valuable insight into adversaries’ tactics, techniques, and procedures. Knowing these plans, capabilities, and tools further enables the U.S. and its allies to disrupt and even halt malicious cyber activity before it reaches friendly networks and causes significant harm.	米国と同盟国は、同盟国のネットワーク、データ、プラットフォームを狙う悪質なサイバー行為者に対抗するだけでなく、敵対者の戦術、技術、手順に関する貴重な知見を得ることができる。これらの計画、能力、ツールを知ることで、米国とその同盟国は、悪意のあるサイバー活動が友好的なネットワークに到達して大きな被害をもたらす前に、それを中断させ、停止させることさえできる。
“International partnerships we built are crucial for preventing numerous state-sponsored cyber-attacks, and attacks endangering our national security,” said Mr. Markić, whose organization is focused on preventing activities that endanger Croatian national interests. “The more complex the cyber security challenges become, the more comprehensive our response must be.”	マルキッチ氏は、クロアチアの国益を脅かす活動を防止するために、次のように述べた。「我々が築いた国際的なパートナーシップは、国家が支援する数々のサイバー攻撃や、国家の安全を脅かす攻撃を防止するために非常に重要だ。サイバーセキュリティの課題が複雑になればなるほど、我々の対応はより包括的でなければならない」。

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.04.06 第117回米国連邦議会におけるポール・M・ナカソネ米サイバー軍司令官の姿勢表明

・2021.12.31 米国サイバー司令部の2021年

・2021.12.29 米国バイデン大統領が2022年国防授権法にサインをしましたね。。。

・2021.12.07 米国国防省 23カ国が参加したサイバー防御演習 CYBER FLAG 21-1

・2021.11.20 米国米下院監視改革委員会でのFBIサイバー部門アシスタントディレクターの「ハッカーを阻止し、サイバー脅威からの回復力を高めるための戦略」についての証言

・2021.10.15 米国国家安全保障会議ランサムウェア対策イニシアチブ

・2021.08.15 日本の防衛副大臣が米サイバー軍を訪問し、CYBERCOM司令官のポール・ナカソネ大将と会談したようですね

・2021.07.13 従来型抑止と戦略的抑止に対するサイバー脅威と脆弱性 by 米国サイバースペース・ソラリウム委員会の事務局長

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2021.03.27 米国連邦上院軍事委員会公聴会特殊作戦コマンドとサイバーコマンド

・2021.01.06 米国 2021年度 National Defense Authorization Act (NDAA) （国防授権法）成立　サイバー関係も・・・

・2020.12.08 米国サイバーコマンドとオーストラリア国防軍情報戦部門がサイバー訓練プラットフォームの共同開発契約を締結

・2020.12.04 米軍とエストニアが共同作戦を通じてサイバー領域でのパートナーシップを強化

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.31 米国 CISA, FBIとCNMF（国防省ミッションフォース）がComRATの新しい亜種を特定したことを公表していますね。。。

・2020.10.04 サイバースペース・ソラリウム委員会

・2020.09.10 米国サイバー軍司令官＆国家安全保障局長官を務める中曽根氏による「サイバースペースで競争する方法 - サイバーコマンドの新しいアプローチ」という記事

・2020.08.28 北朝鮮によるサイバー銀行強盗についての警告（BeagleBoyz Robbing Banks）

・2020.06.17 今年の米軍のCyber Flag exerciseは、新しいトレーニング環境で行われる。。。

・2020.05.25 10歳になったUSのCyber Command

・2020.05.13 CISA / FBI / DoD : HIDDEN COBRA 北朝鮮の悪意あるサイバー活動

10年以上前...確か、最初は空有軍にサイバースペース防衛司令部ができたんですよね。。。

・2010.05.25 米国防総省　サイバー司令部を設立

・2006.11.06 米空軍サイバー空間防衛司令部

2022.08.23 08:25 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.22

NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて： All for one, One for all」

こんにちは、丸山満彦です。

デジタル・フォレンジック研究会にコラムを載せました。

● IDF - Column

・2022.08.18 第731号コラム：「サイバー空間の安全に向けて： All for one, One for all 」

すべての人が、サイバー空間の安全にむけて、なんらかの貢献をし、それが結局、自分を含むみんなのためになるのではないかという思いを込めて、、、

私が書いた「NPO デジタル・フォレンジック研究会」の「コラム」の一覧

＃	No	Date	Title
27	731	2022.08.22	サイバー空間の安全に向けて： All for one, One for all
26	702	2022.01.31	サイバーセキュリティは空気のように社会全体に拡がる
25	678	2021.08.16	ティラノサウルスとスズメ
24	650	2021.02.01	データを科学的に分析する
23	627	2020.08.17	若者のサイバー犯罪を無くしたい。。。
22	600	2020.02.03	デジタルフォレンジックスと多様性
21	578	2019.08.26	未来を考えようと思うとき、人は過去を振り返る
20	551	2019.02.11	とらわれずに物事をみつめる
19	521	2018.07.09	ＡＩは科学捜査を騙せるか？
18	493	2017.12.18	セキュリティ・デバイド？
17	474	2017.08.07	『デジタル・フォレンジック』という言葉を今更考える
16	451	2017.02.20	相手を知ることが重要
15	425	2016.08.15	本質を理解する
14	383	2015.10.12	名ばかりCSIRTで良いのか？
13	357	2015.04.13	ＩｏＴ時代は明るいか暗いか
12	335	2014.11.03	頭を下げるのは社長です
11	308	2014.04.30	標的型攻撃には内部不正対応が重要？
10	286	2013.11.14	セキュリティガバナンスはできる範囲だけやればよいのか？
09	261	2013.05.23	セキュリティの基本はずっとかわっていない
08	240	2012.12.25	さらに組織化が進むサイバー攻撃集団
07	207	2012.05.10	外部から侵入されている想定で情報セキュリティを考える
06	173	2011.09.08	想定外に対応するのが危機管理ではないか
05	139	2011.01.13	データ分析を使った不正発見手法
04	131	2010.11.11	発見的統制の重要性
03	084	2009.12.10	クラウドコンピューティングがもたらす光と影
02	058	2009.06.11	不正をさせない
01	021	2008.09.25	ニーズとシーズ、目的と手段

2022.08.22 14:02 in 情報セキュリティ / サイバーセキュリティ, in フィッシング, in 法律 / 犯罪, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

英国政府データ倫理・イノベーションセンター「自動運転車における責任あるイノベーション」

こんにちは、丸山満彦です。

英国政府のコネクティッド・自動運転車センター (Centre for Connected and Autonomous Vehicles: CCAV) は2022.08.19に「コネクティッド・自動運転車 2025：自動運転車のベネフィットの実現 ([PDF] Connected and automated mobility 2025: realising the benefits of self-driving vehicles) 」を発表し、同時にデータ倫理・イノベーションセンター (Centre for Data Ethics and Innovation’s: CDEI) が、「自動運転車における責任あるイノベーション (Responsible Innovation in Self-Driving Vehicles report
) 」を発表しています。。。

自動運転車・無人運転車の社会実装に向けての英国の取り組みで、参考になりますね。。。EUから離脱して、大変な面もあるとは思うのですが、英国のような実力のある国の場合は、むしろスピード感を持って規制のあり方も含めてグローバルな方向性を決めることもできるので、色々とやりやすくなったのかもしれませんね。。。

さて、、、データ倫理・イノベーションセンターの「自動運転車における責任あるイノベーション」の文書はこちら...

● Centre for Data Ethics and Innovation

・2022.08.19

・2022.08.19 Policy paper Responsible Innovation in Self-Driving Vehicles

Responsible Innovation in Self-Driving Vehicles	自動運転車における責任あるイノベーション
The CDEI has published a report that sets out proposals for a trustworthy approach to the regulation and governance of self-driving vehicles.	CDEIは、自動運転車の規制とガバナンスに対する信頼性の高いアプローチに関する提案を示した報告書を発表した。
Documents	文書
[HTML]	自動運転車における責任あるイノベーション
[PDF] Responsible Innovation in Self-Driving Vehicles: Annex - Regulatory ecosystem	自動運転車の責任あるイノベーション附属書：規制のエコシステム
Details	詳細
The CDEI was commissioned by the Centre for Connected and Autonomous Vehicles (a joint policy unit within the Department for Transport and the Department for Business, Energy & Industrial Strategy), to provide expert advice to inform the future regulation and governance of self-driving vehicles. The CDEI’s recommendations in this report directly support, the government’s ‘Connected and Automated Mobility 2025: Realising the benefits of self-driving vehicles in the UK’ - a roadmap which commits to developing a new legislative framework to build trust in self-driving vehicles while enabling innovation.	データ倫理・イノベーションセンター (CDEI) は、コネクティッド・自動運転車センター (CCAV) （運輸省とビジネス・エネルギー・産業戦略省の共同政策ユニット）の委託を受け、自動運転車の将来の規制とガバナンスに情報を提供するために専門家の助言を得ている。本報告書におけるCDEIの提言は、政府の「コネクッティッド・自動移動 2025」を直接的にサポートする。このロードマップは、イノベーションを可能にしながら自動運転車に対する信頼を築くための新たな法的枠組みの開発を約束する。
Next steps	次のステップ
This report will inform the work of the Centre for Connected and Autonomous Vehicles as they develop primary and secondary legislation in this area. As they start to implement the new legislative and regulatory frameworks for self-driving vehicles, we will continue to support their development.	本報告書は、コネクティッド・自動運転車センターがこの分野の一次法および二次法を策定する際の参考となる。自動運転車に関する新たな法規制の枠組みの導入が始まれば、我々はその発展を引き続き支援していく。

で、推奨事項要約は、、、

	政策立案者への提言	認定自動運転事業者（ASDE）、無人運転運用者 (NUiC operator) 、および試行組織に対する推奨要件
交通安全	認可当局は、規制当局と連携して、自動運転車に関する道路規則(RR)のガイダンスを開発し、公表すること。	運用設計領域（ODD）は、関連する道路規則と整合性があり、運用設計領域内で合理的に予想される交通弱者を含むすべてのクラスの道路利用者をカバーするすべきである。
交通安全	認可機関は、認定自動運転事業者が配備された自動運転車の更新を供給する前に、自動運転車性能のどのような変更が再認可を必要とするほど重要であるかを決定するスキームを定義すること。	認定自動運転事業者は、自動運転車の設計と挙動を支配するハイレベルな原則を定めた「安全かつ倫理的な運用概念」（SEOC）を定義すべきである。
データプライバシー	自動運転車規制当局は、情報コミッショナーオフィスと協議の上、認定自動運転事業者と無人運転運用者に対して、データ保護義務が自動運転車にどのように適用されるかを明確にするガイダンスを発行すべきである。	英国のGDPRに従い、認定自動運転事業者と無人運転運用者は、自動運転車の周囲のビデオに不可避的に写り込む顔画像データを収集した時点で、さらに処理する前に匿名化するなど、「設計およびデフォルトによるデータ保護」対策が自動運転車開発プロセス全体に組み込まれることを保証すること。
データプライバシー	内務省は、捜査権法2016が認定自動運転事業者と無人運転運用者にどのように適用されるかを明確にするガイダンスを発行すべきである。
公平性	自動運転車倫理・安全合同委員会の助言を受けた規制当局は、運用者へのフィードバックと集団学習を可能にするために、公正さと安全性の結果に関するデータを収集すべきである。	認定自動運転事業者は、アルゴリズムによるバイアスのリスクを最小化するために、トレーニングデータと運用設計領域の適合性を、認可プロセスで提出される平等影響評価とセーフティケースレポートの一部として報告すべきである。
公平性	認可当局と免許当局は、認可と免許の決定の一部として、自動運転車サービスがアクセスの点で非差別的であることを保証すべきである（例：誰が乗客になれるか、誰がサービスにアクセスできるか）。	認定自動運転事業者は、リスクとバイアスの独立した精査を促進し、リスクの分布を評価できるようにすべきである。
説明可能性	自動運転車倫理・安全合同委員会（後述）は、規制監督に必要な説明可能性の度合いを見直すべきである。	認定自動運転事業者は、動的運転タスク(DDT)中に行われた重要な決定について、通知される事象に至るまでの説明を構築できるように自動運転車を設計するべきである。
説明可能性	自動運転車倫理・安全合同委員会（後述）は、規制監督に必要な説明可能性の度合いを見直すべきである。	衝突、ニアミス、その他の通知すべき事象については、その事象に至るまでの自動運転車の主要な判断について、どのように発生したかを説明できるように、認定自動運転事業者は自動運転車を設計すべきである。
データ共有	安全関連データの開示は、認定自動運転事業者間で標準化されるべきである。使用中の規制当局は、認定自動運転事業者、認可当局、衝突調査ユニット間の共有を容易にするため、安全関連データの一貫した形式を定義すべきである。	認定自動運転事業者は、認可当局と協議の上、「安全かつ倫理的な運用コンセプト」の概要を公表し、車両の自動運転が認可された時点で一般に自由に入手できるようにすること。
データ共有		認定自動運転事業者と無人運転運用者は、交通安全に寄与する場合、他の認定自動運転事業者、使用中の規制当局、認可当局、衝突調査部門など、自動運転車エコシステムの他の組織から要請があれば、合意されたデータ形式を用いて安全関連データを伝達すべきである。
社会的信頼	コネクティッド・自動運転車センターは、以下のことについて一般市民の意見を求めるために、公開対話と社会調査を継続的に委託すべきである。自動運転車のリスクと利益の配分、インフラや交通ルールの将来の変更とそれに伴うコスト、自動運転車による意思決定の説明可能性、車両のラベリング。	認定自動運転事業者と無人運転運用者は、特定の地域で自動運転車の試行が計画されている場合、自治体を含む地域社会と連携すべきである。[脚注 10] この連携は、試験や配備に反映されるべきである（例：時間、場所、公共情報、最高速度などに関する条件の設定など）。
社会的信頼	公道での試験が事実上の配備となった場合、例えば安全運転者の排除、車両数の大幅な増加、顧客輸送の開始などにより、監視を強化し、安全評価を更新すべきである。	自動運転車は明確にラベル付けされるべきである。車両が自走する能力と従来通りの運転が異なる場合、信号で運転状態を示すべきである。この外部ラベリングは、運転モードを明確に示す車内情報に加えられるべきである。
ガバナンス	認可当局と使用規制当局は、自動運転車倫理・安全合同委員会（CAVES）を設立し、自動運転車の安全性に関する政策と倫理的問題について、議論のあるアドバイスと勧告を提供するべきである。自動運転車倫理・安全合同委員会は、多様な視点を持つ専門家と一般会員で構成されるべきである。

・[DOCX] 仮訳

でも、上記文書に関連するニュースリリース

● U.K. Government -:Department for Transport, Department for Business, Energy & Industrial Strategy, Centre for Connected and Autonomous Vehicles , Centre for Data Ethics and Innovation, The Rt Hon Kwasi Kwarteng MP, and The Rt Hon Grant Shapps MP

・2022.08.19 Self-driving revolution to boost economy and improve road safety

Self-driving revolution to boost economy and improve road safety	自動運転革命が経済を活性化し、交通安全を向上させる
New plan for self-driving vehicles plus a consultation on a safety ambition.	自動運転車の新計画に加え、安全性の追求に関する意見募集も実施
・government unveils plan to rollout self-driving vehicles on UK roads, sparking a transport revolution to improve road safety and better connect communities	・政府は、英国の道路に自動運転車を導入する計画を発表し、交通安全を向上させ、コミュニティをより良くつなげるための交通革命を呼び起こす。
・estimated 38,000 new jobs could be created in the UK from predicted £42 billion industry	・推定420億ポンドになる産業から、英国で38,000人の新規雇用が創出される可能性があると試算。
・backed by £100 million to support industry investment and fund research on safety developments	・産業界への投資と安全性向上のための研究資金として、1億ポンドを拠出。
UK roads could see self-driving vehicles rolled out by 2025 thanks to new government plans – backed by £100 million – which prioritise safety through new laws and create thousands of new jobs in the industry.	英国の道路では、1億ポンドの支援を受けた政府の新計画により、2025年までに自動運転車が普及する可能性がある。この計画は、新しい法律により安全を優先させ、業界で数千の新規雇用を創出する。
Some vehicles, including cars, coaches and lorries, with self-driving features could be operating on motorways in the next year, and today’s (19 August 2022) plans set out new legislation which will allow for the safe wider rollout of self-driving vehicles by 2025. This enables the UK to take full advantage of the emerging market of self-driving vehicles – which could create up to 38,000 jobs and could be worth an estimated £42 billion.	自動車、コーチ、ローリーなど、自動運転機能を搭載した一部の車両は、来年には高速道路で走行できるようになる。本日（2022年8月19日）の計画では、2025年までに自動運転車を安全に広く普及させるための新しい規則が定められた。これにより、英国は、最大38,000人の雇用を創出し、推定420億ポンドの価値があるとされる自動運転車の新興市場を最大限に活用することができる。
The government’s vision for self-driving vehicles is backed by a total of £100 million, with £34 million confirmed today for research to support safety developments and inform more detailed legislation. This could include researching the performance of self-driving cars in poor weather conditions and how they interact with pedestrians, other vehicles, and cyclists.	自動運転車に関する政府のビジョンは、総額1億ポンドで支援され、安全性の開発を支援し、より詳細な法律に反映させるための研究に対して、本日3,400万ポンドを拠出することが確定した。これには、悪天候下での自動運転車の性能や、歩行者、他の車両、自転車との相互作用の研究などが含まれるだろう。
The government is also today confirming £20 million, as part of the overall £100 million, to help kick-start commercial self-driving services and enable businesses to grow and create jobs in the UK, following an existing £40 million investment. Successful projects could help see, for example, groceries delivered to customers by self-driving vehicles, or shuttle pods assisting passengers when moving through airports. £6 million will also be used for further market research and to support commercialisation of the technology.	また、政府は本日、1億ポンドのうち、既存の4,000万ポンドに続き、自動運転の商用サービスを開始し、英国でのビジネスの成長と雇用創出を可能にするための2,000万ポンドを確定した。プロジェクトが成功すれば、例えば、自動運転車による食料品の配達や、空港での移動時に乗客をサポートするシャトルポッドなどが実現する可能性がある。また、600万ポンドはさらなる市場調査や技術の商業化を支援するために使用される予定である。
Self-driving vehicles could revolutionise public transport and passenger travel, especially for those who don’t drive, better connect rural communities and reduce road collisions caused by human error. Further in the future, they could, for example, provide tailored on-demand links from rural towns and villages to existing public transport options nearby. They could also provide more direct and timely services that enable people to better access vital services such as schools and medical appointments.	自動運転車は、公共交通機関や乗客の移動、特に運転しない人の移動に革命をもたらし、地方のコミュニティをより良く結び、ヒューマンエラーによる道路衝突事故を減らすことができる。さらに将来的には、例えば、地方の町や村から近隣の既存の公共交通機関へのオンデマンドな接続を提供できるようになるかもしれません。また、学校や医療機関などの重要なサービスをよりダイレクトに、よりタイムリーに利用できるようになる可能性もある。
Vehicles that can drive themselves on motorways could be available to purchase within the next year, which users would need a valid driving licence for, so they can drive on other roads. Other self-driving vehicles, for example used for public transport or delivery, expected on the roads by 2025, would not need anyone onboard with a driving licence because they would be able to drive themselves for the whole journey.	高速道路を自動運転する車両は、来年中に購入できるようになる可能性があり、この利用者は有効な運転免許証を取得して、他の道路を運転できるようになる。その他の自動運転車、例えば公共交通機関や配達に使用される車両は、2025年までに道路上で使用される予定だが、全行程を自分で運転することができるため、運転免許証を持つ人を乗せる必要はない。
Transport Secretary Grant Shapps said:	グラント・シャップス運輸大臣は次のように述べている。
The benefits of self-driving vehicles have the potential to be huge. Not only can they improve people’s access to education and other vital services, but the industry itself can create tens of thousands of job opportunities throughout the country.	自動運転車のメリットは非常に大きい。教育やその他の重要なサービスへのアクセスを改善できるだけでなく、この産業自体が国内全域で何万もの雇用機会を創出することができる。
Most importantly, they’re expected to make our roads safer by reducing the dangers of driver error in road collisions.	最も重要なのは、運転手のミスによる交通事故の危険性を減らすことで、道路をより安全にすることが期待されている。
We want the UK to be at the forefront of developing and using this fantastic technology, and that is why we are investing millions in vital research into safety and setting the legislation to ensure we gain the full benefits that this technology promises.	我々は、英国がこの素晴らしい技術の開発と利用の最前線に立つことを望んでいる。そのために、安全性に関する重要な研究に数百万ドルを投資し、この技術が約束する利益を完全に得られるように法整備を進めている。
The government is today consulting on a ‘safety ambition’ for self-driving vehicles to be as safe as a competent and careful human driver. This ambition would inform standards that vehicles need to meet to be allowed to ‘self-drive’ on the roads, and organisations, such as manufacturers, could face sanctions if standards are not met.	政府は本日、自動運転車が有能で慎重な人間のドライバーと同等の安全性を確保するための「安全性の追求」について意見募集をしている。この追求は、道路での「自動運転」を許可するために車両が満たすべき基準を示すものであり、基準を満たさない場合、メーカーなどの組織は制裁を受ける可能性がある。
The new laws for the safe rollout of self-driving vehicles by 2025 will be brought forward when parliamentary time allows.	2025年までに自動運転車を安全に普及させるための新しい法律は、国会の時間が許す限り、前倒しで制定される予定である。
The legislation will build on existing laws, and state that manufacturers are responsible for the vehicle’s actions when self-driving, meaning a human driver would not be liable for incidents related to driving while the vehicle is in control of driving.	この法律は、既存の法律をベースに、メーカーが自動運転時の車両の行動に責任を持つことを明記し、車両が運転を制御している間の運転に関する事故について、人間のドライバーは責任を負わないことを意味する。
Business Secretary Kwasi Kwarteng said:	クワシー・クワルテン商務長官は次のように述べている。
Self-driving vehicles have the potential to revolutionise people’s lives, particularly by helping those who have mobility issues or rely on public transport to access the jobs, local shops and vital services we all depend on.	自動運転車は、人々の生活に革命をもたらす可能性がある。特に、移動に問題を抱えている人や公共交通機関に依存している人が、仕事や地元の店、我々全員が依存している重要なサービスにアクセスするのを助けることで、人々の生活を向上させることができる。
This funding will help unlock the incredible potential of this industry, attracting investment, developing the UK’s growing self-driving vehicle supply chain, and supporting high-skill jobs as these new means of transport are rolled out.	この資金は、この産業の驚くべき可能性を解き放ち、投資を呼び込み、英国で成長する自動運転車のサプライチェーンを発展させ、これらの新しい交通手段が展開される中で高い技能を持つ雇用を支援する。
AA president, Edmund King, said:	AA会長のエドモンド・キングは、次のように述べている。
The automotive world is changing rapidly and so the government is right to embrace the positive changes offered by this new technology and back it by funding research and putting forward legislation. Assisted driving systems, for example, autonomous emergency braking and adaptive cruise control, are already helping millions of drivers stay safe on the roads.	自動車業界は急速に変化しているため、政府がこの新技術がもたらす前向きな変化を受け入れ、研究に資金を提供し、法律を制定して支援することは正しいことである。運転支援システム、例えば自律型緊急ブレーキやアダプティブ・クルーズ・コントロールは、すでに何百万人ものドライバーの道路での安全確保に役立っている。
It is still quite a big leap from assisted driving, where the driver is still in control, to self-driving, where the car takes control. It is important that the government does study how these vehicles would interact with other road users on different roads and changing weather conditions. However the ultimate prize, in terms of saving thousands of lives and improving the mobility of the elderly and the less mobile, is well worth pursuing.	しかし、運転手がコントロールする運転支援から、クルマがコントロールする自動運転への飛躍は、まだまだこれからである。政府は、さまざまな道路や天候の変化の中で、これらの車が他の道路利用者とどのように相互作用するかを研究することが重要である。しかし、何千人もの命を救い、高齢者や体の不自由な人の移動を改善するという点で、究極の賞は追求する価値がある。
Today also sees the publication of the Centre for Data Ethics and Innovation’s (CDEI) Responsible Innovation in Self-Driving Vehicles report, which sets out proposals for a trustworthy approach to the regulation and governance of self-driving vehicles.	また、本日、データ倫理・イノベーションセンター（CDEI）のレポート「自動運転車における責任あるイノベーション」が発表され、自動運転車の規制とガバナンスに対する信頼できるアプローチについての提案が示された。

で、意見募集（コンサルテーション）をしているのは、こちら・・・

・[PDF] Connected & Automated Mobility 2025: Realising the benefits of self-driving vehicles in the UK

Foreword	序文
1. Introduction	1. はじめに
1.1 Government’s vision for CAM	1.1 コネクテッド・自動運転モビリティ (CAM) に対する政府のビジョン
1.2 Why is CAM Important?	1.2 なぜCAMが重要なのか？
1.3 A Note on Language	1.3 言語に関する注意
1.4 Territorial Extent	1.4 領域の範囲
1.5 Consultation – What We’re Asking	1.5 意見募集 - 私たちが求めるもの
1.6 Consultation Principles	1.6 意見語集の原則
1.7 Freedom of Information	1.7 情報の自由
1.8 Privacy Notice	1.8 プライバシーに関する通知
2. Ensuring Safety and Security	2. 安全・安心の確保
2.1 Building the Evidence Base	2.1 証拠ベースの構築
2.2 A new safety framework	2.2 新しい安全性の枠組み
3. Securing the industrial and economic benefits of CAM	3. CAMの産業・経済的メリットの確保
3.1 Responding to the call for evidence on the future of connected and automated mobility in the UK	3.1 英国におけるCAMの未来に関する証拠収集への対応
3.2 Supporting industry’s transition to commercialisation	3.2 産業界の商業化への移行を支援する
3.3 CAM Trade & Investment	3.3 CAMの貿易と投資
4. Delivering the Societal Benefits of CAM	4. CAMの社会的便益の実現
4.1 Future of Transport	4.1 トランスポートの未来
4.2 Developing CAM with the public	4.2 一般市民とのCAMの発展
4.3 Integrating with Wider Networks	4.3 より広いネットワークとの統合
4.4 Environment	4.4 環境
Annex	附属書
A: Government Departments and Agencies	A: 政府部局と機関
B: Glossary & Abbreviations	B: 用語集と略語
C: Full list of Law Commissions' Recommendations	C: 法制委員会の推奨事項全リスト
D: Detailed comment on the Law Commissions' Recommendations	D: 法制委員会勧告の詳細コメント
E: The self-driving story so far	E: 自動運転に関するこれまでの経緯
F: Summary of findings for the BEIS call for evidence on the future of UK CAM	F: 英国CAMの将来に関するビジネス・エネルギー・産業戦略省 (BEIS) の証拠収集のための調査結果の概要

2019年に公表された、[PDF] Future of Mobility: Urbam Strategy に示された9つの原則が再掲されていますね。。。英国の場合は、この原則をベースに議論が進んでいるということは理解しておく必要があると思います。

Nine key principles from the Future of Mobility: Urban Strategy	モビリティの未来に向けた9つの重要な原則：都市戦略
In facilitating innovation in urban mobility for freight, passengers and services, the Government’s approach will be underpinned as far as possible by the following Principles:	貨物、旅客、サービスのための都市型モビリティの革新を促進する上で、政府のアプローチは、可能な限り以下の原則に裏打ちされたものとする。
1. New modes of transport and new mobility services must be safe and secure by design.	1. 新しい輸送手段と新しいモビリティサービスは、設計上、安全かつ確実でなければならない。
2. The benefits of innovation in mobility must be available to all parts of the UK and all segments of society.	2. モビリティにおけるイノベーションの恩恵は、英国のすべての地域と社会のすべての層が享受できるものでなければならない。
3. Walking, cycling and active travel must remain the best options for short urban journeys.	3. 歩行、自転車、アクティブ・トラベル（人力による移動）は、都市の短距離移動のための最良の選択肢であり続けなければならない。
4. Mass transit must remain fundamental to an efficient transport system.	4. 大量輸送は効率的な交通システムの基本であり続けなければならない。
5. New mobility services must lead the transition to zero emissions.	5. 新しいモビリティサービスがゼロエミッションへの移行をリードしなければならない。
6. Mobility innovation must help to reduce congestion through more efficient use of limited road space, for example through sharing rides, increasing occupancy or consolidating freight.	6. モビリティの革新は、限られた道路空間をより効率的に利用することで渋滞を緩和するものでなければならない。例えば、乗り物の共有、占有率の向上、貨物の集約化などである。
7. The marketplace for mobility must be open to stimulate innovation and give the best deal to consumers.	7. モビリティの市場は、イノベーションを刺激し、消費者に最良の取引をするために、オープンでなければならない。
8. New mobility services must be designed to operate as part of an integrated transport system combining public, private and multiple modes for transport users.	8. 新しいモビリティサービスは、公共交通機関、民間交通機関、複数の交通手段を組み合わせた統合交通システムの一部として運用されるように設計されなければならない。
9. Data from new mobility services must be shared where appropriate to improve choice and the operation of the transport system.	9. 新しいモビリティサービスからのデータは、選択肢と交通システムの運用を改善するために、適切な場合には共有されなければならない。

・2019.03.16 Future of mobility: urban strategy

・[PDF]

法制委員会による自動運転車についての発表

● U.K. Law Commission

・2022.01.26 Legal reforms to allow safe introduction of automated vehicles announced

・2021.07.02 Responses to Automated Vehicles consultation paper 3

・2020.12.18 Comprehensive regulatory framework for self-driving vehicles proposed to Government

・2020.05.20 Responses to Automated Vehicles consultation paper 2

・2020.05.20 Responses to consultation show future for self-driving passenger vehicles

・2019.10.16 Law Commissions looks to future with self-driving vehicles

・2019.06.19 Law Commissions’ analysis of responses to automated vehicle consultation points to the way forward

・2019.06.18 Responses to the Automated Vehicles consultation 2018-19

・Project: Automated Vehicles

2022.08.22 01:05 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in ロボット, in 危機管理 / 事業継続, in パブコメ, in IoT, in AI/Deep Learning | Permalink | Comments (0)
Tweet

カナダサイバーセキュリティセンター人工知能 - ITSAP.00.040

こんにちは、丸山満彦です。

カナダのサイバーセキュリティセンターが、AIについてのガイダンス（啓発シリーズ）を作成していますね。。。

簡潔にまとまっていて、参考になりますね。。。

● Canada.ca - Canadian Centre for Cyber Security - Cyber security guidance

・2022.08.10 Artificial Intelligence - ITSAP.00.040

・[PDF]

Artificial Intelligence - ITSAP.00.040	人工知能 - ITSAP.00.040
Awareness series	啓発シリーズ
The world we live in is being transformed by Artificial Intelligence (AI). This developing technology uses intelligent computer programs (i.e. learning algorithms) to find complex patterns in data to make predictions or classifications. AI is used today to perform specific tasks, such as to use facial recognition to access your mobile device or ask your smart speaker for the weather forecast. Machine learning, a subset of artificial intelligence, uses instructions, known as algorithms, and data to understand languages to help the computer system learn and improve based on its own experience. Deep learning, a subset of machine learning that uses vast volumes of data and a layered structure of algorithms referred to artificial neural network algorithms to train a model to make intelligent decisions on its own.	我々の住む世界は人工知能（AI）によって変貌しつつある。この発展途上のテクノロジーは、インテリジェントなコンピューター・プログラム（すなわち学習アルゴリズム）を使用して、データから複雑なパターンを見つけ出し、予測や分類を行う。AIは今日、顔認識を使ってモバイル・デバイスにアクセスしたり、スマート・スピーカーに天気予報を尋ねるなど、特定のタスクを実行するために使われている。人工知能のサブセットである機械学習は、アルゴリズムとして知られる命令とデータを使用して言語を理解し、コンピューターシステムが自身の経験に基づいて学習し改善するのを助ける。ディープラーニング（深層学習）は機械学習のサブセットで、膨大な量のデータと、人工ニューラルネットワークアルゴリズムと呼ばれるアルゴリズムの階層構造を用いて、モデルが自ら知的な判断を下すように訓練する。
What can AI do?	AIは何ができるのか？
AI already plays a big role in our everyday lives. From search engines to online shopping to voice assistants on our mobile device or smart speaker, AI provides recommendations, information, answers to questions, and helps to organize our schedules. These daily applications create data and feedback for machine learning tools to learn and improve from.	AIはすでに私たちの日常生活で大きな役割を果たしている。検索エンジンからオンラインショッピング、携帯端末やスマートスピーカーの音声アシスタントに至るまで、AIは推奨事項や情報、質問への回答を提供し、スケジュールの整理を助けてくれる。これらの日常的なアプリケーションは、機械学習ツールが学習し改善するためのデータとフィードバックを生み出す。
What can’t AI do today?	今日、AIは何ができないのか？
A few fundamental limitations still exist for AI today. Using reasoning or common sense, and adapting to different situations, and understanding cause and effect are all quite difficult for AI. Humans, with their judgement and insight, are still better able to handle situations that require these types of problem solving and decision making skills.	今日でもAIにはいくつかの基本的な限界が存在する。推論や常識を用いること、異なる状況に適応すること、原因と結果を理解することは、すべてAIにとって非常に難しいことだ。判断力や洞察力のある人間の方が、こうした問題解決や意思決定のスキルを必要とする状況に対処できる。
What are some of the ways in which organizations are using AI?	組織がAIを活用する方法にはどのようなものがあるか？
Facial recognition: A leading application of AI that looks at facial features in an image or video to identify or verify the individual.	顔認識：画像やビデオの顔の特徴を見て、個人を識別・確認するAIの代表的なアプリケーション。
Process optimization: A properly trained machine learning tool (one learning from accurate data) can use the data to give more accurate solutions and perform mundane tasks faster than a human can.	プロセスの最適化：適切に訓練された機械学習ツール（正確なデータから学習するもの）は、データを使用してより正確なソリューションを提供し、人間よりも速く平凡なタスクを実行することができる。
Digital Assistants: Chat or voice bots can improve customer service and reduce support costs. Customers can receive help within seconds—24 hours a day, seven days a week. These services are often highly personalized and can be based on a user’s preferences and history with the organization.	デジタル・アシスタント：チャットや音声ボットは、顧客サービスを改善し、サポートコストを削減することができる。顧客は1日24時間、年中無休で、数秒以内にサポートを受けることができる。これらのサービスは高度にパーソナライズされていることが多く、ユーザーの好みや組織との取引履歴に基づくことができる。
Healthcare: In the medical industry, AI aids in patient diagnosis and treatment in a variety of ways, such as computer-aided diagnostic systems that assist in making a diagnosis. Machine learning in precision medicine is another highly useful tool and is used to help predict which treatments are most likely to succeed on a patient.	ヘルスケア：医療業界では、AIは様々な方法で患者の診断と治療を支援している。例えば、診断を支援するコンピューター支援診断システムなどである。精密医療における機械学習も非常に有用なツールであり、どの治療法が患者にとって最も成功しやすいかを予測するのに役立てられている。
Fraud detection: Sophisticated machine learning tools can detect fraudulent emails faster than a human can. These tools sort through your inbox and move spam and phishing emails to your junk folder.	不正検知：洗練された機械学習ツールは、人間よりも早く詐欺メールを検知することができる。これらのツールは受信トレイを選別し、スパムやフィッシングメールを迷惑メールフォルダーに移動させる。
Data analysis: Using machine learning algorithms, AI is capable of analyzing large amounts of data and discover new patterns. This greatly reduces the processing time spent by a data analyst, known as automation, and improves business performance.	データ分析：機械学習アルゴリズムを使用することで、AIは大量のデータを分析し、新しいパターンを発見することができる。これにより、自動化と呼ばれるデータアナリストの処理時間が大幅に短縮され、業績が改善される。
Cybersecurity: AI is useful in detecting new threats to organizations through automation. By using sophisticated algorithms, AI are able to automate threat detection such as malware, run pattern recognition to find relationships between different attack vectors and provides superior predictive intelligence.	サイバーセキュリティ： AIは自動化によって組織に対する新たな脅威を検知するのに役立つ。高度なアルゴリズムを使用することで、AIはマルウェアなどの脅威検知を自動化し、パターン認識を実行して異なる攻撃ベクトル間の関係を見つけ、優れた予測インテリジェンスを提供することができる。
What are the threats of AI tools?	AIツールの脅威とは何か？
AI tools are often only as good as the data model they rely upon. The main threats to AI come from compromises to its data. Common methods of compromise include:	AIツールは多くの場合、依拠するデータモデルと同程度の性能しか持たない。AIに対する主な脅威は、データに対する侵害から来る。一般的な侵害方法には以下のようなものがある：
Data poisoning attack: This type of attack occurs at a machine learning tool’s training phase. AI tools rely heavily on accurate data for training. When poisoned (inaccurate) data is injected into the training data set, the poisoned data can lead the learning system to make mistakes.	データポイズニング攻撃：この種の攻撃は、機械学習ツールの学習段階で発生する。AIツールは、学習のための正確なデータに大きく依存している。ポイズニングされた（不正確な）データがトレーニングデータセットに注入されると、ポイズニングされたデータによって学習システムがミスを犯す可能性がある。
Adversarial example: This type of attack occurs after the machine learning tool is trained. The tool is fooled into classifying inputs incorrectly. For example, in the case of autonomous vehicles, an adversarial example could be a slight modification of traffic signs in the physical world (subtle fading or stickers applied to a stop sign), causing the vehicle’s AI system to misclassify a stop sign as a speed-limit sign. This could seriously impact the safe operation of self-driving vehicles.	敵対的な例：このタイプの攻撃は、機械学習ツールの学習後に発生する。機械学習ツールは騙されて入力を誤って分類してしまう。例えば、自律走行車の場合、敵対的な例として、物理世界における交通標識のわずかな修正（微妙な色あせや、一時停止標識に貼られたステッカー）により、車両のAIシステムが一時停止標識を速度制限標識と誤分類してしまうことが考えられる。これは自動運転車の安全運転に深刻な影響を与える可能性がある。
Model inversion and membership inference attacks: both of these scenarios occur when a threat actor queries your organization’s data model. A model inversion attack will reveal the underlying data set, allowing the threat actor to reproduce the training data. A membership inference attack confirms if a specific data file is part of the training data. Both model inversion and membership inference attacks could compromise the confidentiality and privacy of your training data and expose sensitive information.	モデル反転攻撃とメンバシップ推論攻撃：これらのシナリオはいずれも、脅威行為者が組織のデータモデルにクエリを発行する際に発生する。モデル反転攻撃は、基礎となるデータセットを明らかにし、脅威行為者が学習データを再現できるようにする。メンバーシップ推論攻撃は、特定のデータファイルがトレーニングデータの一部であるかどうかを確認する。モデル反転攻撃とメンバーシップ推論攻撃はどちらも、トレーニングデータの機密性とプライバシーを侵害し、機密情報を暴露する可能性がある。
What else should you know about AI?	AIについて他に知っておくべきことは？
Machine learning tools can detect patterns in data.	機械学習ツールはデータのパターンを検知することができる。
Machine learning tools need enough data to see the patterns at a high enough frequency.	機械学習ツールは、十分な頻度でパターンを見るために十分なデータを必要とする。
Data used for training should be complete, diverse, and accurate.	トレーニングに使用するデータは、完全で、多様で、正確でなければならない。
・If there are blanks in the data, some patterns might not be discovered, and the patterns that are found might not be accurate.	・データに空白があれば、いくつかのパターンが発見されないかもしれないし、発見されたパターンも正確ではないかもしれない。
・If the data used is not diverse, the tool will have a narrow scope.	・使用するデータが多様でなければ、ツールの適用範囲は狭くなる。
・If the training data used is not accurate, the tool will provide unreliable results.	・使用されるトレーニングデータが正確でなければ、ツールは信頼できない結果を提供することになる。
Data that is recorded and collected for “quality control” purposes can contain both sensitive and personal information.	品質管理」目的で記録・収集されるデータには、機密情報や個人情報が含まれている可能性がある。
Many organizations are now using trustworthy AI policies to ensure that their use of AI tools minimize potential biases and unintended consequences, especially regarding the treatment of individuals. Policies may also assist in the development of appropriate protocols for the handling of sensitive and personal information An example of an AI policy is the Government of Canada’s recently adopted Directive on Automated Decision-Making.	現在、多くの組織が信頼できるAIポリシーを使用して、AIツールの使用によって、特に個人の扱いに関する潜在的なバイアスや意図しない結果を最小限に抑えるようにしている。ポリシーはまた、機密情報や個人情報の取り扱いに関する適切なプロトコルの策定を支援することもある。AIポリシーの例としては、カナダ政府が最近採択した「自動意思決定に関する指令」がある。
If your organization intends to deploy AI, it should consider seeking legal advice to manage the many ethical, privacy, policy, and legal considerations that come from using AI.	あなたの組織がAIを導入するつもりなら、AIの使用から生じる多くの倫理的、プライバシー的、政策的、法的な考慮事項を管理するために、法的助言を求めることを検討すべきである。

2022.08.22 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2022.08.21

英国情報コミッショナーオフィスと国家サイバーセキュリティセンターが事務弁護士にランサムウェアの身代金の支払いに歯止めをかけるように依頼 (2022.07.07)

こんにちは、丸山満彦です。

英国の情報コミッショナーオフィスと国家サイバーセキュリティセンターが共同で、2022.07.07に事務弁護士にランサムウェアの身代金の支払いに歯止めをかけるように依頼していましたね。。。気付かなかったですね。。。（１ヶ月以上も前...）

制度が同じわけではないので、単純比較はできないですが、、、日本でいえば、個人情報保護委員会と内閣官房サイバーセキュリティセンターが共同で、弁護士会にランサムウェアの身代金の支払いに歯止めをかけるように依頼しているということになりますかね。。。

Fig1_20220820141201

● Information Commissioner's Office

・2022.07.08 ICO and NCSC stand together against ransomware payments being made

・[PDF] Letter from the Information Commissioner

● National Cyber Security Centre

・2022.07.08 Solicitors urged to help stem the rising tide of ransomware payments

・[PDF] Joint ICO and NCSC letter to The Law Society and the The Bar Council

その内容...

● Information Commissioner's Office

・2022.07.08 ICO and NCSC stand together against ransomware payments being made

ICO and NCSC stand together against ransomware payments being made	ICOとNCSCは、ランサムウェアの支払いに対抗するため、共に立ち上がる
Solicitors are today being asked to play their part in keeping the UK safe online by helping to tackle the rise in organisations paying out to ransomware criminals.	事務弁護士に、ランサムウェアの犯罪者に身代金を支払う企業が増加していることに対処し、英国のオンラインの安全を守る役割を果たすよう、本日要請しました。
The National Cyber Security Centre (NCSC) and Information Commissioner’s Office (ICO) have been told that some firms are paying ransoms with the expectation that this is the right thing to do and they do not need to engage with the ICO as a regulator, or will gain benefit from it by way of reduced enforcement. This is incorrect.	国家サイバーセキュリティセンター (NCSC) と情報コミッショナーオフィス (ICO) は、一部の企業が身代金を支払うことは正しいことであり、規制当局であるICOと関わる必要はない、あるいは規制の緩和により恩恵を受けることができると考えていると報告されています。これは間違っています。
Ransomware involves the encrypting of an organisation’s files by cyber criminals, who demand money in exchange for providing access to them.	ランサムウェアは、サイバー犯罪者が組織のファイルを暗号化し、アクセスを提供するのと引き換えに金銭を要求するものです。
In a joint letter, NCSC and the ICO ask the Law Society to remind its members that they should not advise clients to pay ransomware demands should they fall victim to a cyber-attack.	NCSCとICOは共同書簡で、法曹協会に対し、サイバー攻撃の被害に遭ったクライアントに対して身代金要求の支払いを助言してはならないことを喚起するよう求めています。
Paying ransoms to release locked data does not reduce the risk to individuals, is not an obligation under data protection law, and is not considered as a reasonable step to safeguard data.	身代金を支払ってロックされたデータを解放しても、個人のリスクは減らず、データ保護法上の義務でもなく、データを保護するための合理的な措置とは見なされません。
The ICO has clarified that it will not take this into account as a mitigating factor when considering the type or scale of enforcement action. It will however consider early engagement and co-operation with the NCSC positively when setting its response.	ICOは、強制措置の種類や規模を検討する際に、これを緩和要因として考慮しないことを明確にしています。しかし、対応を決定する際には、NCSCとの早期の関わりと協力を前向きに検討するとのことです。
NCSC CEO Lindy Cameron said:	NCSCのCEOであるLindy Cameronは次のように述べています。
“Ransomware remains the biggest online threat to the UK and we are clear that organisations should not pay ransom demands.	「ランサムウェアは依然として英国における最大のオンライン上の脅威であり、私たちは組織が身代金要求を支払ってはならないことを明確にしています。
“Unfortunately we have seen a recent rise in payments to ransomware criminals and the legal sector has a vital role to play in helping reverse that trend.	「残念ながら、ランサムウェアの犯罪者への支払いは最近増加しており、この傾向を逆転させるために、法律部門は重要な役割を担っています。
“Cyber security is a collective effort and we urge the legal sector to help us tackle ransomware and keep the UK safe online.”	「サイバーセキュリティは集団で取り組むべきものであり、ランサムウェアに対処し、英国をオンラインで安全に保つために、法律部門が協力することを強く求めます」。
John Edwards, UK Information Commissioner, added:	英国情報コミッショナーのJohn Edwardsは、次のように付け加えました。
“Engaging with cyber criminals and paying ransoms only incentivises other criminals and will not guarantee that compromised files are released. It certainly does not reduce the scale or type of enforcement action from the ICO or the risk to individuals affected by an attack.	「サイバー犯罪者と関わり、身代金を支払うことは、他の犯罪者を刺激するだけで、危険にさらされたファイルが解放されることを保証するものではありません。また、ICOによる強制措置の規模や種類、攻撃の影響を受ける個人のリスクを軽減するものでもありません。
“We’ve seen cyber-crime costing UK firms billions over the last five years. The response to that must be vigilance, good cyber hygiene, including keeping appropriate back up files, and proper staff training to identify and stop attacks. Organisations will get more credit from those arrangements than by paying off the criminals.	「過去5年間、サイバー犯罪によって英国企業は何十億もの損失を被っています。その対策として、警戒、適切なバックアップファイルの保持を含む優れたサイバー衛生、攻撃を特定し阻止するための適切なスタッフトレーニングが必要です。組織は、犯罪者に金を払うよりも、そうした態勢からより多くの信用を得ることができるだろう。
“I want to work with the legal profession and NCSC to ensure that companies understand how we will consider cases and how they can take practical steps to safeguard themselves in a way that we will recognise in our response should the worst happen.”	「私は、法律家やNCSCと協力して、私たちがどのようにケースを検討し、最悪の事態が発生した場合に私たちが認識できるような方法で、企業が自らを保護するための実践的な手段を確実に理解できるようにしたいと考えています」。
What should organisations do?	組織は何をすべきか？
In the event of a ransomware attack there is a regulatory requirement to report to ICO as the data regulator if people are put at high risk whereas NCSC – as the technical authority on cyber security – provides support and incident response to mitigate harm and learn broader cyber security lessons.	ランサムウェアの攻撃を受けた場合、人々が高いリスクにさらされる場合は、データ規制当局であるICOに報告するという規制要件があります。一方、サイバーセキュリティの技術的権威であるNCSCは、被害を軽減し、より広いサイバーセキュリティの教訓を学ぶためのサポートと事故対応を提供します。
The ICO will recognise when organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with NCSC and they can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support.	ICOは、組織が何が起こったかを十分に理解し、そこから学ぶための措置を講じ、適切な場合にはNCSCに事件を報告し、NCSCの適切なガイダンスとサポートからアドバイスを受けたこと、またはその遵守を証明することができる場合に、それを認めます。
The NCSC has a wide range of guidance on mitigating the ransomware threat, for example advising companies to keep offline back-ups. All of its advice can be found on its ransomware portal.	NCSCは、ランサムウェアの脅威を軽減するための幅広いガイダンスを用意しており、例えば、オフラインでバックアップをとっておくよう企業に助言しています。 NCSCのすべてのアドバイスは、ランサムウェアのポータルサイトで確認できます。
The ICO recently updated ransomware guidance, which can be found on its website.	ICOは最近、ランサムウェアに関するガイダンスを更新し、そのウェブサイトから入手できます。
Notes to Editors	編集後記
1. The Information Commissioner’s Office (ICO) is the UK’s independent regulator for data protection and information rights law, upholding information rights in the public interest, promoting openness by public bodies and data privacy for individuals. It has its head office in Wilmslow, Cheshire, and regional offices in Edinburgh, Cardiff and Belfast.	1. 情報コミッショナーオフィス（ICO）は、データ保護と情報権利法に関する英国の独立規制機関であり、公共の利益のために情報権利を支持し、公共機関による公開と個人のデータプライバシーを促進します。チェシャー州ウィルムスローに本部を置き、エジンバラ、カーディフ、ベルファストに地域事務所を構えています。
2. The ICO has specific responsibilities set out in the Data Protection Act 2018 (DPA2018), the General Data Protection Regulation (GDPR), the Freedom of Information Act 2000 (FOIA), Environmental Information Regulations 2004 (EIR), Privacy and Electronic Communications Regulations 2003 (PECR) and a further five Acts / Regulations.	2. ICOは、データ保護法2018（DPA2018）、一般データ保護規則（GDPR）、情報公開法2000（FOIA）、環境情報規則2004（EIR）、プライバシーおよび電子通信規則2003（PECR）、さらに5つの法律／規則で定められた特定の責任を担っています。
3. The ICO can take action to change the behaviour of organisations and individuals that collect, use and keep personal information. This includes criminal prosecution, non-criminal enforcement and audit.	3. ICOは、個人情報を収集、使用、保管する組織や個人の行動を変えるために行動を起こすことができます。これには、刑事訴追、非刑事的執行、監査が含まれます。
4. To report a concern to the ICO telephone our helpline 0303 123 1113 or go to ico.org.uk/concerns.	4. ICOに懸念を報告するには、ヘルプライン0303 123 1113に電話するか、ico.org.uk/concernsにアクセスしてください。

● National Cyber Security Centre

・2022.07.08 Solicitors urged to help stem the rising tide of ransomware payments

Solicitors urged to help stem the rising tide of ransomware payments	ランサムウェアによる支払の増加に歯止めをかけるよう事務弁護士に要請
The NCSC and ICO share joint letter with the Law Society after increases in ransomware payments.	ランサムウェアの支払い増加を受けて、NCSCとICOが法曹協会と共同書簡を共有。
・Request from the National Cyber Security Centre and the Information Commissioner’s Office follows rise in ransomware payments being made	・ランサムウェアの支払い増加を受けて、ナショナル・サイバー・セキュリティ・センターと情報コミッショナーオフィスから要請がありました。
・Organisations ask the Law Society to remind solicitors of their advice on ransomware and emphasise the payment of a ransom will not keep data safe or be viewed by the ICO as a mitigation	・ランサムウェアに関する事務弁護士のアドバイスを再確認し、身代金の支払いはデータの安全性を維持せず、ICOが緩和策と見なすことを強調するよう、各団体は法律協会に依頼
・Legal sector has key role to play in helping reduce ransomware – which remains the biggest online threat to the UK	・英国における最大のオンライン脅威であるランサムウェアを減らすために、法律部門は重要な役割を担っています。
Solicitors are being asked to play their part in keeping the UK safe online by helping to tackle a rise in payments being made to ransomware criminals.	事務弁護士には、ランサムウェアの犯罪者に支払われる金額の増加に対処し、英国のオンライン上の安全を確保するための役割を果たすことが求められています。
In a joint letter, the National Cyber Security Centre (NCSC) and Information Commissioner’s Office (ICO) ask the Law Society to remind its members of their advice on ransomware and emphasise that paying a ransom will not keep data safe or be viewed by the ICO as a mitigation in regulatory action.	ナショナル・サイバー・セキュリティ・センター（NCSC）と情報コミッショナーオフィス（ICO）は共同書簡で、法曹協会に対し、ランサムウェアに関するアドバイスを会員に思い出させ、身代金を支払うことでデータの安全が保たれたり、ICOが規制措置を緩和すると見なされることはないことを強調するよう要請しています。
In their letter, the NCSC – which is a part of GCHQ – and the ICO state that they have seen evidence of a rise in ransomware payments, and that in some cases solicitors may have been advising clients to pay, in the belief that it will keep data safe or lead to a lower penalty from the ICO.	GCHQの一部であるNCSCとICOは書簡の中で、ランサムウェアの支払いが増加している証拠を見たとしており、場合によっては、事務弁護士が、データの安全性を保てる、あるいはICOからのペナルティの軽減につながると考えて、顧客に支払いを勧めていた可能性があると述べています。
The two organisations ask the Law Society to clarify to its members that this is not that case, and that they do not encourage or condone paying ransoms, which can further incentivise criminals and will not guarantee that files are returned.	両団体は、法曹協会に対し、そのようなことはないこと、また、犯罪者をさらに刺激し、ファイルの返却を保証しない身代金の支払いを奨励または容認しないことを会員に明確にするよう要請しています。
Ransomware involves the encrypting of an organisation’s files by cyber criminals, who demand money in exchange for providing access to them. These attacks are becoming more sophisticated and damaging and the UK Government is working with partners across the board to mitigate the threat. With this in mind, in December 2021 the National Cyber Strategy was launched to provide £2.6bn of new investment and strengthen the UK’s role as a responsible cyber power.	ランサムウェアは、サイバー犯罪者が組織のファイルを暗号化し、アクセスを提供する代わりに金銭を要求するものです。これらの攻撃はより巧妙になり、被害も拡大しているため、英国政府はあらゆる分野のパートナーと協力し、脅威を軽減するための取り組みを行っています。このことを念頭に、2021年12月、26億ポンドの新規投資を行い、責任あるサイバー大国としての英国の役割を強化するための「国家サイバー戦略」が開始されました。
Tackling cyber crime, in particular ransomware, is at the heart of the strategy which aims at increasing capability of law enforcement partners so they can better respond to cyber attacks. For instance, the National Cyber Crime Unit (NCCU) within the National Crime Agency (NCA) was created to bring together law enforcement experts into a single elite unit. There is also an established network of regional cyber crime units (ROCUs) to provide access to specialist capabilities across the country.	サイバー犯罪、特にランサムウェアへの対処がこの戦略の中心で、法執行機関のパートナーの能力を高め、サイバー攻撃によりよく対応できるようにすることを目的としています。例えば、国家犯罪捜査局（NCA）内に設置された国家サイバー犯罪ユニット（NCCU）は、法執行機関の専門家を1つの精鋭部隊に結集させるために設立されました。また、地域サイバー犯罪ユニット（ROCU）のネットワークも確立されており、全国各地の専門的な能力を利用することができます。
NCSC CEO Lindy Cameron said:	NCSCのCEOであるLindy Cameronは次のように述べています。
“Ransomware remains the biggest online threat to the UK and we do not encourage or condone paying ransom demands to criminal organisations.	「ランサムウェアは、依然として英国における最大のオンライン上の脅威であり、犯罪組織に身代金の要求を支払うことは奨励も容認もしません。
“Unfortunately we have seen a recent rise in payments to ransomware criminals and the legal sector has a vital role to play in helping reverse that trend.	「残念ながら、ランサムウェアの犯罪者への支払いは最近増加しており、この傾向を逆転させるために、法律部門は重要な役割を担っています。
“Cyber security is a collective effort and we urge the legal sector to work with us as we continue our efforts to fight ransomware and keep the UK safe online.”	「サイバーセキュリティは集団で取り組むものであり、ランサムウェアと戦い、英国をオンラインで安全に保つための努力を続けている私たちと協力するよう、法律家に強く求めます」。
John Edwards, UK Information Commissioner, added:	英国情報コミッショナーのJohn Edwardsは、次のように付け加えました。
“Engaging with cyber criminals and paying ransoms only incentivises other criminals and will not guarantee that compromised files are released. It certainly does not reduce the scale or type of enforcement action from the ICO or the risk to individuals affected by an attack.	「サイバー犯罪者と関わり、身代金を支払うことは、他の犯罪者を刺激するだけで、危険にさらされたファイルが解放されることを保証するものではありません。また、ICOによる強制捜査の規模や種類、攻撃の影響を受ける個人のリスクを減らすこともできません。
“We’ve seen cyber crime costing UK firms billions over the last five years. The response to that must be vigilance, good cyber hygiene, including keeping appropriate back up files, and proper staff training to identify and stop attacks. Organisations will get more credit from those arrangements than by paying off the criminals.	「過去5年間、サイバー犯罪によって英国企業は何十億もの損失を被ってきました。このような事態に対処するためには、警戒を怠らず、適切なバックアップファイルを保管するなどのサイバー衛生を徹底し、攻撃を発見して阻止するための適切なスタッフトレーニングを行う必要があります。組織は、犯罪者に金を払うよりも、そうした態勢からより多くの信用を得ることができるだろう。
“I want to work with the legal profession and NCSC to ensure that companies understand how we will consider cases and how they can take practical steps to safeguard themselves in a way that we will recognise in our response should the worst happen.”	「私は、法律家やNCSCと協力して、私たちがどのようにケースを検討し、最悪の事態が発生した場合に私たちが認識できるような方法で、企業が自らを保護するための実践的な手段を確実に理解できるようにしたいと考えています」。
In the event of a ransomware attack or other cyber crimes, organisations should report directly an ongoing incident to Action Fraud (on 0300 123 2040 which is available 24/7), Information Commissioner’s Office (for data breaches under the GDPR), or to the NCSC for any major cyber incidents. Law enforcement will then be able to mitigate the impact of the attack and secure evidence that can assist an investigation.	ランサムウェア攻撃やその他のサイバー犯罪が発生した場合、組織は、アクション・フラウド（24時間365日対応の0300 123 2040）、情報コミッショナーオフィス（GDPRに基づくデータ侵害の場合）、または大規模サイバー事件の場合はNCSCに進行中の事件を直接報告すべきです。法執行機関は、攻撃の影響を緩和し、捜査を支援する証拠を確保することができます。
The ICO will recognise when organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with the NCSC and they can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support.	ICOは、組織が何が起こったかを十分に理解し、そこから学ぶための措置を講じ、適切な場合にはNCSCに事件を提起し、NCSCの適切なガイダンスとサポートから助言を得たこと、またはその遵守を証明できることを認識することになります。
The NCSC has a wide range of guidance on mitigating the ransomware threat, for example advising companies to keep offline back-ups. All of its advice can be found on its ransomware pages. The ICO recently updated ransomware guidance can be found on its website.	NCSCは、ランサムウェアの脅威を軽減するための幅広いガイダンスを用意しており、たとえば、オフラインでバックアップをとっておくよう企業に助言しています。NCSCのすべてのアドバイスは、ランサムウェアのページで確認できます。ICOが最近更新したランサムウェアのガイダンスは、同ウェブサイトに掲載されています。

・[PDF] Joint ICO and NCSC letter to The Law Society and the The Bar Council

RE: The legal profession and its role in supporting a safer UK online.	RE: より安全な英国のオンラインを支える法律専門職とその役割
We are writing to ask for your assistance in sharing some key messages with the legal profession in England and Wales to assist them in better advising their clients who may have suffered a cybersecurity incident.	私たちは、イングランドおよびウェールズの法律専門家が、サイバーセキュリティの被害に遭った可能性のあるクライアントに対してより良いアドバイスを提供できるよう、いくつかの重要なメッセージを共有するための支援をお願いするために、この文章を書きました。
In recent months, we have seen an increase in the number of ransomware attacks and ransom amounts being paid and we are aware that legal advisers are often retained to advise clients who have fallen victim to ransomware on how to respond and whether to pay. It has been suggested to us that a belief persists that payment of a ransom may protect the stolen data and/or result in a lower penalty by the ICO should it undertake an investigation. We would like to be clear that this is not the case.	ここ数ヶ月、ランサムウェアの攻撃や身代金の支払い件数が増加しており、ランサムウェアの被害に遭ったクライアントに対応方法や支払いの可否についてアドバイスするために法律顧問を依頼することが多いことを承知しています。身代金を支払えば、盗まれたデータを保護でき、ICOが調査を行う際の罰則が軽くなるとの考えが根強いとの指摘があります。私たちは、このようなことがないことを明確にしたいと思います。
Law Enforcement does not encourage, endorse nor condone the payment of ransoms. While payments are not usually unlawful, payers should be mindful of how relevant sanctions regimes (particularly those related to Russia) – and their associated public guidance - may change that position. More importantly, payment incentivises further harmful behaviour by malicious actors and does not guarantee decryption of networks or return of stolen data. UK data protection law requires organisations to take appropriate technical and organisational measures to keep personal information secure and to restore information in the event of an information security incident. As regulator, the ICO recognises in setting its response and any penalty level the actions taken to mitigate the risk of harm to individuals involved in a data breach. For the avoidance of doubt the ICO does not consider the payment of monies to criminals who have attacked a system as mitigating the risk to individuals and this will not reduce any penalties incurred through ICO enforcement action.	法執行機関は、身代金の支払いを奨励、保証、容認するものではありません。支払いは通常違法ではありませんが、支払者は、関連する制裁制度（特にロシアに関連する制裁制度）および関連する公的ガイダンスがその立場をどのように変える可能性があるかに留意する必要があります。さらに重要なことは、支払いは悪意のある行為者の有害な行動をさらに助長し、ネットワークの復号や盗まれたデータの返還を保証するものではないということです。英国のデータ保護法は、個人情報を安全に保ち、情報セキュリティ事故の際に情報を復元するために、適切な技術的・組織的措置を講じることを組織に義務付けています。ICOは、規制当局として、データ侵害に関与する個人への被害リスクを軽減するために取られた措置を、その対応とあらゆる罰則レベルの設定において認識します。疑問を避けるため、ICOはシステムを攻撃した犯罪者に金銭を支払うことを個人へのリスク軽減とは見なさず、ICOの強制措置によって発生する罰則を軽減することはありません。
Where the ICO will recognise mitigation of risk is where organisations have taken steps to fully understand what has happened and learn from it, and, where appropriate, they have raised their incident with the NCSC, reported to Law Enforcement via Action Fraud, and can evidence that they have taken advice from or can demonstrate compliance with appropriate NCSC guidance and support.	ICOがリスクの軽減を認めるのは、組織が何が起こったかを完全に理解し、そこから学ぶための措置を講じ、適切な場合には、NCSCに事件を提起し、Action Fraud（不正アクション）を通じて法執行機関に報告し、適切なNCSCガイダンスとサポートからアドバイスを受けたこと、またはその遵守を証明できる場合です。
The cost of cyber crime is estimated to be in the billions. The Economic and Social Costs of Crime report estimated an overall cost of £1.1bn from computer misuse incidents against individuals in England and Wales in the 2015/16 financial year. However, this is a partial estimate only. Crucially, this does not include the cost to businesses which are thought to bear the majority of the cyber crime costs, meaning the true cost from cyber crime will be much higher.	サイバー犯罪のコストは数十億ドルに上ると推定されています。「犯罪の経済的・社会的コスト報告書」では、2015/16会計年度にイングランドとウェールズで発生した個人に対するコンピュータ悪用事件から、全体として11億ポンドのコストがかかると推定しています。しかし、これはあくまで部分的な推計です。重要なのは、これにはサイバー犯罪のコストの大部分を負担すると考えられている企業へのコストが含まれていないことで、サイバー犯罪による真のコストはもっと高くなることを意味します。
As the regulator of the security principle the ICO has recently published its updated ransomware guidance . This sets out an up-to-date view of the common ransomware compliance issues including what you should do if you receive an offer to make a payment. The NCSC website has a ransomware hub which sets out all its guidance in one place.	セキュリティ原則の監督官庁であるICOは、最近、最新のランサムウェア・ガイダンス（Ransomware Guidance）を発表しました。このガイダンスでは、ランサムウェアの一般的なコンプライアンスに関する最新の見解が示されており、支払いの申し出があった場合にどうすべきかが示されています。NCSCのウェブサイトには、ランサムウェアのハブがあり、すべてのガイダンスが一箇所にまとまっています。
In the event of a ransomware attack, there may be a regulatory requirement to report to the ICO as the data regulator whereas NCSC – as the technical authority on cyber security – provides support and incident response to mitigate harm and learn broader cyber security lessons. The NCSC works with organisations to ensure they have understood how they came to be a victim of ransomware, have understood the cyber security implications and taken steps to protect themselves from similar incidents. Neither the NCSC nor Law Enforcement share information on incidents with any regulators without permission from the affected organisation. However, the ICO, the NCSC and Law Enforcement continue to work together – sharing information on strategic trends – to ensure we are making the UK a safer place to be online.	ランサムウェアの攻撃があった場合、データ規制当局であるICOに報告することが規制上求められる場合がありますが、NCSCはサイバーセキュリティの技術的権威として、被害を軽減し、より幅広いサイバーセキュリティの教訓を学ぶためのサポートとインシデント対応を提供します。NCSCは、組織がランサムウェアの被害に遭った経緯を理解し、サイバーセキュリティの意味を理解し、同様の事件から身を守るための措置を講じることができるよう、組織と連携しています。NCSCとLaw Enforcementは、被害を受けた組織の許可なしに、インシデントに関する情報をいかなる規制当局とも共有することはありません。しかし、ICO、NCSC、Law Enforcementは、英国をより安全なオンライン環境にするために、戦略的なトレンドに関する情報を共有し、引き続き協力していきます。
The National Crime Agency (NCA) lead the Law Enforcement response to ransomware and work closely with the National Police Chiefs Council (NPCC), Regional Organised Crime Units and Local Police forces to investigate offenders and deliver services to support victims of ransomware. These include Cyber Resilience Centres across the country which provide support to the smallest businesses to help them understand their cyber security requirements and the necessary steps they need to take to fulfil obligations under UKGDPR and DPA 18.	国家犯罪局（NCA）は、ランサムウェアに対する法執行機関の対応を主導し、全国警察署長会議（NPCC）、地域組織犯罪課、地方警察と緊密に連携して、犯罪者を捜査するとともに、ランサムウェアの被害者を支援するサービスを提供しています。また、国内にはサイバーレジリエンスセンターがあり、小規模な企業に対して、サイバーセキュリティの要件やUKGDPRおよびDPA18に基づく義務を果たすために必要な措置について理解を深めるための支援を行っています。
We are keen to engage and work with you, and, through you the profession, to ensure there is understanding and clarity about the cyber security standards we expect organisations to follow when they have been a victim of a cyber attack. This engagement is already well supported by the Insurance Trust Group and we welcome the collaboration between the NCSC, Law Society and Bar Council on the recent Cybersecurity questionnaire for the sector.	私たちは、組織がサイバー攻撃の被害に遭ったときに従うべきサイバーセキュリティの基準について理解と明確化を図るため、皆さんと、そして皆さんを通じて専門家と関わり、協力していきたいと考えています。この取り組みは、すでに保険信託グループによって十分にサポートされています。また、この分野のための最近のサイバーセキュリティ質問票に関するNCSC、法曹協会、事務弁護士会の協力も歓迎しています。
If it would be helpful to meet to discuss how we might collaborate further on this we would be pleased to do so. Please contact Scott C at NCSC and he can work with your teams to make the necessary arrangements.	もし、この件に関してどのように協力できるかを話し合うためにお会いすることが有益であるならば、喜んでそうさせていただきます。NCSCのScott Cにご連絡いただければ、あなたのチームと協力して必要な手配をさせていただきます。。
Yours sincerely	敬具
John Edwards	ジョン・エドワーズ
UK Information Commissioner Information Commissioner’s Office	英国情報コミッショナー情報コミッショナーオフィス
Lindy Cameron	リンディ・キャメロン
Chief Executive Officer National Cyber Security Centre	最高経営責任者ナショナル・サイバー・セキュリティ・センター

Action Fraudは警察のページで、日本語のページもありますね。。。

● Action Fraud

・日本語ページ

事務弁護士の法曹協会

● The Law Society

2022.08.21 00:00 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.20

英国デジタル・文化・メディア・スポーツ省サイバーセキュリティ侵害を起こした組織にインタビューした報告書...

こんにちは、丸山満彦です。

英国のデジタル・文化・メディア・スポーツ省がサイバーセキュリティ侵害を起こした組織にインタビューした報告書、"Exploring Organisational Experiences of Cyber Security Breaches" を公表していますね。。。

これはこれで、興味深いです。。。事故に遭って初めて本気になるのはどこでも同じかも。。。

● U.K. Government

・2022.08.17 Exploring organisational experiences of cyber security breaches

Exploring organisational experiences of cyber security breaches	サイバーセキュリティ侵害の組織的な経験を探る
An in-depth qualitative study with a range of businesses and organisations which have been affected by cyber security breaches.	サイバーセキュリティ侵害の影響を受けた様々な企業や組織を対象とした詳細な定性的調査。
Details	詳細
In March 2021 the Department for Digital, Culture, Media & Sport (DCMS) published the Cyber Security Breaches Survey of UK businesses, charities, and education institutions as part of the National Cyber Security Programme. The findings help businesses and organisations understand the nature and significance of the cyber security threats they face, and what others are doing to stay secure. It also supports the government to shape future policy in this area.	2021年3月、デジタル・文化・メディア・スポーツ省（DCMS）は、国家サイバーセキュリティプログラムの一環として、英国の企業、慈善団体、教育機関を対象とした「サイバーセキュリティ侵害調査」を発表した。この調査結果は、企業や組織が直面するサイバーセキュリティの脅威の性質と重要性、および安全を維持するために他の組織が行っていることを理解するのに役立つ。また、政府がこの分野で今後の政策を策定する際の参考にもなる。
Building on this earlier research, in January 2022 DCMS commissioned an in-depth qualitative study with a range of businesses and organisations which have been affected by cyber security breaches. The specific aims of this research were as follows:	この先行研究を踏まえ、DCMSは2022年1月、サイバーセキュリティ侵害の影響を受けた様々な企業や組織に詳細な定性調査を依頼した。本調査の具体的な目的は以下の通りである。
・Understand the level of existing cyber security before a breach	・侵害前の既存のサイバーセキュリティのレベルを理解する。
・Determine the type of cyber attack to which the organisation was subject	・組織が受けたサイバー攻撃の種類を特定する。
・Understand how businesses and organisations act in the immediate, medium, and long-term aftermath of a breach	・侵害が発生した直後、中期的、長期的に、企業や組織がどのように行動するかを把握する。
・Investigate the impacts upon the business or organisations immediately and into the future	・企業や組織が直ちに、そして将来にわたって受ける影響を調査する。
・How cyber security arrangements have changed in the wake of a cyber breach	・サイバー攻撃を受けて、サイバーセキュリティの仕組みがどのように変化したかを調べる。

2022.08.20 00:37 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

ニュージーランド CERT NZ オンラインを安全に利用するための行動学的洞察

こんにちは、丸山満彦です。

ニュージーランドのCERTが、政府機関、企業向けに、オンラインを安全に利用するための行動学的洞察という文書を公表していますね。。。

これ、意外と興味深いです。。。

人それぞれ好みがあるでしょうが、デザインが可愛くていいですね。。。でも、このような文書は、PDFで公開するだけでなく、英国政府のように、HTMLでも見られるようにすると非常に助かるんですけどね。。。

● CERT NZ

・2022.08.18 A changing cyber world is outpacing New Zealanders’ security steps – Research

A changing cyber world is outpacing New Zealanders’ security steps – Research	変化するサイバー社会は、ニュージーランド人のセキュリティ対策を上回っている - 調査結果
While New Zealanders have mostly picked up good passive behaviours, like not clicking on strange links in emails or deleting spam texts, they aren’t taking enough proactive steps to be secure online says new research from CERT NZ.	ニュージーランド人は、電子メールの変なリンクをクリックしない、スパムメールを削除するなど、受動的な行動には長けているが、オンラインで安全に過ごすための積極的な行動は十分でないとCERT NZの新しいリサーチが発表された。
As New Zealanders do more online, the number of people experiencing cyber security incidents is also increasing. For example, since 2019 New Zealander’s online shopping and transactions activity has doubled, and so has the number of incidents reported to CERT NZ.	ニュージーランド人のオンライン利用が増えるにつれて、サイバーセキュリティインシデントを経験する人の数も増えている。例えば、2019年以降、ニュージーランド人のオンラインショッピングや取引活動は2倍になり、CERT NZに報告されるインシデントの数も増えている。
The research found that 62% of New Zealanders have personally experienced a cyber threat (over a three-month period). Despite this, cyber threats only rank ninth (21%) in areas of concern and 70% of New Zealanders feel confident in their level of cyber security.	今回の調査では、ニュージーランド人の62％が個人的にサイバー脅威を経験したことがあることがわかった（3カ月間）。それにもかかわらず、サイバー脅威は懸念事項の第9位（21%）にとどまっており、ニュージーランド人の70%が自分のサイバーセキュリティのレベルに自信を持っていることがわかった。
CERT NZ Director Rob Pope said this doesn’t mean that all New Zealanders don’t care about cyber security and protecting themselves online.	CERT NZのディレクターであるRob Popeは、これはすべてのニュージーランド人がサイバーセキュリティやオンライン上での保護に関心がないことを意味するものではないと述べている。
“There are a number of barriers including awareness of what to do, how to do it and understanding why it’s important to being secure online. Our research shows that some New Zealanders see the cyber security steps as complicated; and others aren’t aware of the risks.”	「何をすべきか、どのようにすべきか、なぜオンラインで安全を確保することが重要なのかを理解することなど、さまざまな障壁がある。私たちの調査によると、ニュージーランド人の中には、サイバーセキュリティの手順が複雑であると考える人もいれば、リスクを認識していない人もいる。
“While only one in five people are concerned about general cyber security, that jumps to four in five when you ask specifically about the security of personal information online.”	一般的なサイバーセキュリティに不安を感じている人は5人に1人ですが、オンライン上の個人情報のセキュリティについて具体的に尋ねると、5人に4人に跳ね上がる。
While 70% of Kiwi wouldn’t share personal information with strangers online, over half the adult population has their social media accounts set to ‘friends-only’ or ‘private’ meaning anyone can view the information they share.	70%のKiwiがオンラインで知らない人と個人情報を共有しない一方で、半数以上の成人がソーシャルメディアのアカウントを「友達のみ」または「非公開」に設定しており、誰でも共有した情報を見ることができる。
“We’re not pointing the finger at people, in any way, but using the insights from this research is going to help us, and the wider online security industry, better reach New Zealanders and shift their cyber security behaviours in a positive direction” Pope said. “Moving forward CERT NZ will be using this to guide our campaign messaging and help people understand the impacts of cyber incidents.”	「この調査から得られた知見は、私たちやオンライン・セキュリティ業界にとって、ニュージーランド人のサイバーセキュリティに関する行動をよりよい方向に導くために役立つものである。今後、CERT NZはこの調査結果をもとに、キャンペーンのメッセージングを行い、サイバーインシデントの影響について理解を深めてもらう予定である。」
New Zealanders’ perception of cyber security	ニュージーランド人のサイバーセキュリティに対する認識
The media is the platform where most New Zealanders (73%) hear about cyber security incidents, however, these are often different to what they experience personally. Large scale incidents – ransomware, DDoS attacks and data breaches – on businesses and organisations receive more coverage but are very different to the lived experience of individuals – email, text message and phone scams.	ニュージーランド人の多く（73%）は、メディアを通じてサイバーセキュリティ事件について耳にしているが、これらは個人的に経験するものとは異なることが多いようである。ランサムウェア、DDoS攻撃、データ漏洩など、企業や組織に対する大規模な事件はより多く報道されるが、メール、テキストメッセージ、電話詐欺など、個人が実際に経験する事件とは大きく異なる。
Media reports are often accompanied by technology focussed imagery or ‘shadowy’ stock images (the infamous ‘hacker in a hoodie’-style photo), furthering the perception of being out of reach to most Kiwi.	メディアの報道には、テクノロジーに焦点を当てた画像や「影のある」ストックイメージ（悪名高い「パーカーを着たハッカー」風の写真）が添えられることが多く、ほとんどのキウイにとって手の届かない存在であるという印象をさらに強くしている。
“Cyber security is perceived as complex, intangible and inaccessible to everyday New Zealanders,” Pope said. “We have an opportunity to change behaviours by making cyber security human and tangible with a positive message.”	「サイバーセキュリティは、複雑で無形のものであり、ニュージーランド人の日常生活には無縁なものであると思われている。「私たちは、サイバーセキュリティを人間らしく、ポジティブなメッセージで具体化することで、行動を変える機会を得ている。
Cyber Change: Behavioural insights for being secure online	サイバー・チェンジオンラインを安全に利用するための行動学的洞察
The Cyber Change booklet has been created using the insights from the research. It offers behavioural nudges that organisations can use in their messaging on cyber security.	サイバー・チェンジ」小冊子は、調査から得られた知見をもとに作成された。この冊子は、組織がサイバーセキュリティに関するメッセージを発信する際に利用できる行動指針を提供している。
The Cyber Change: Behavioural insights for being secure online booklet can be downloaded from CERT NZ’s website:	サイバー・チェンジ。Cyber Change: Behavioural insights for being secure online」小冊子は、CERT NZのウェブサイトからダウンロードすることができる。

・Cyber Change: Behavioural insights for being secure online

Cyber Change: Behavioural insights for being secure online	サイバー・チェンジ。オンラインを安全に利用するための行動的洞察
CERT NZ and The Research Agency have produced Cyber Change – a book of behaviour change techniques aimed at prompting positive cyber security actions.	CERT NZとThe Research Agencyは、サイバーセキュリティに関する積極的な行動を促すことを目的とした行動変容のテクニック本「Cyber Change」を作成した。
The guide was created for government and industry agencies who are working in the area of online security, and its purpose is to share insights about how to improve the effectiveness of cyber security interventions.	このガイドは、オンライン・セキュリティの分野で活動する政府機関や産業機関向けに作成され、その目的は、サイバー・セキュリティへの介入の効果を高める方法についての洞察を共有することである。

・[PDF]

Introduction	はじめに
COM-B behaviour change model	COM-B 行動変容モデル
Cyber security nudges	サイバー・セキュリティ・ナッジ
• Capability	- 能力
• Opportunity	- 機会
• Motivation	- 動機づけ
Guide to nudging	ナッジの手引き
End notes	エンディングノート

2022.08.20 00:00 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2022.08.19

世界経済フォーラム (WEF) 暗号通貨とステーブルコインがもたらすマクロ経済への影響 (2022.07.22)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF) が、暗号通貨とステーブルコインがもたらすマクロ経済への影響についての報告書を公表していますが、興味深いですね。。。

● World Economic Forum - Whitepaper

・2022.07.20 The Macroeconomic Impact of Cryptocurrency and Stablecoins

・[PDF]

The Macroeconomic Impact of Cryptocurrency and Stablecoins	暗号通貨とステーブルコインがもたらすマクロ経済への影響
WHITE PAPER	ホワイトペーパー
22-Jul	7月22日
Foreword	序文
Kathryn White	キャサリン・ホワイト
Project Fellow and Initiative Lead, Blockchain and Digital Assets, World Economic Forum; Associate Director, Technology Innovation – Next Economies, Accenture, USA	世界経済フォーラムブロックチェーン＆デジタルアセットプロジェクトフェロー兼イニシアチブリーダー、アクセンチュア（米国）テクノロジーイノベーション-ネクストエコノミーアソシエイト・ディレクター
With the aim of mitigating risks to financial stability, safety and equity while broadening financial access and enabling innovation, cryptocurrencies and stablecoins should play a regulated role in economies.	金融アクセスを拡大し、イノベーションを可能にする一方で、金融の安定性、安全性、公平性に対するリスクを軽減することを目的として、暗号通貨とステーブルコインは経済において規制された役割を果たすべきである。
During the final weeks of authoring this report, the cryptocurrency market entered into a free fall, experiencing a loss of 50% year-to-date and, at points, surpassing $2 trillion in losses.	本レポートを執筆した最後の数週間、暗号通貨市場は自由落下に陥り、年初来で50%の損失を経験し、損失額は2兆ドルを超えた。
This kicked off a crypto “bear market”, known by some in the crypto industry as “crypto winter”, a downslope with no definite ending, though optimistically followed by a springtime resurgence. Many of the macroeconomic predictions described in this paper for cryptocurrencies and stablecoins played out in real time. Some of the immediate impacts during this downturn are:	暗号業界の一部では「暗号の冬」と呼ばれる暗号の「弱気相場」が始まり、春には復活すると楽観視されながらも、明確な終わりのない下落が続いた。本稿で紹介した暗号通貨とステーブルコインに関するマクロ経済予測の多くは、リアルタイムで展開された。この低迷期における直接的な影響としては、以下のようなものがある。
1. Spillover effects and market contagion to other parts of the crypto industry, the traditional financial system and companies exposed to the crypto market. Some of the spillover effects are caused, for example, by leveraged investing¹ such as margin trading, where investors use borrowed gains to reinvest in other assets in order to seek higher investment profits overall.²	1. 暗号業界の他の部分、伝統的な金融システム、暗号市場にさらされている企業への波及効果や市場の伝染。波及効果の一部は、例えば、投資家が全体としてより高い投資利益を求めるために、借りた利益を他の資産に再投資する信用取引などのレバレッジ投資1によって引き起こされるものです2。
2. Liquidity crises – citing “extreme” market conditions in June 2022, one crypto lender froze withdrawals and transfers between accounts “to stabilize liquidity and operations” while taking steps to preserve and protect assets.³	2. 流動性危機-2022年6月の「極端な」市況を理由に、ある暗号金融機関は「流動性と運用を安定させるため」引き出しと口座間の送金を凍結し、同時に資産の保全と保護のための措置をとった3。
3. A short-term slowdown in funding for crypto ventures – venture capital firms recently raised financing for crypto investment that will still need to be spent on the asset classes promised to their limited partners (LPs).	3. 暗号ベンチャーへの短期的な資金調達の減速 - ベンチャーキャピタル会社は最近、暗号投資のための資金を調達したが、その資金はリミテッドパートナー（LP）に約束した資産クラスにまだ費やす必要がある。
– Even though the venture capital deployed to cryptocurrency entrepreneurs was down in May 2022, the amount of capital invested in the space has increased by 89% since May 2021.⁴	- 2022年5月に暗号通貨起業家に投下されたベンチャーキャピタルが減少したとはいえ、この分野への投資額は2021年5月4 以来89%も増加した。
4. Sudden job loss within crypto firms that grew too quickly, with some companies blaming a “dramatic shift in macroeconomic conditions worldwide” for the lay-offs.⁵	4. 急成長した暗号企業内で突然の雇用喪失が発生し、一部の企業は解雇の理由を「世界のマクロ経済状況の劇的な変化」に求めている5。
5. Individual investors have lost funds and, in some cases, their life savings. However, Goldman Sachs calculates US consumer losses at only about 0.3% of American household wealth.⁶	5. 個人投資家は資金を失い、場合によっては人生の貯蓄も失っている。しかし、ゴールドマン・サックスは、米国の消費者の損失は、米国の家計の財産の約0.3%に過ぎないと計算している6。
The downturn will reveal which crypto companies have strong business models. This paper analyses the more holistic macroeconomic effects that we may see playing out in the near future, against an illustrative continuum of posed regulatory scenarios. As we move into increasingly uncertain economic times, coordinated domestic and global regulation is needed to mitigate the risks to financial stability, safety and equity while broadening financial access and enabling innovation.	景気後退により、どの暗号企業が強力なビジネスモデルを持っているかが明らかになる。本稿では、近い将来、より全体的なマクロ経済効果が現れる可能性があることを、想定される規制シナリオの連続性に照らし合わせて分析する。不確実性を増す経済情勢の中、金融の安定性、安全性、公平性に対するリスクを軽減し、金融アクセスを拡大し、イノベーションを可能にするために、国内およびグローバルで協調した規制が必要となっている。
In this context, the World Economic Forum has been working with members of the public and private sectors, civil society and academia to highlight what history has taught us about financial risk. The Digital Currency Governance Consortium (DCGC) community – comprising a global, multisector set of more than 85 leading organizations – continues to discuss the potential solutions and regulatory paths for the future to enable continued encouragement of the responsible roll-out and adoption of digital currencies. We will be publishing the DCGC’s second phase of work in two releases:	このような背景から、世界経済フォーラムは、官民、市民社会、学界のメンバーとともに、金融リスクについて歴史が教えてくれたことを浮き彫りにしてきた。デジタル通貨ガバナンス・コンソーシアム（DCGC）コミュニティは、85以上の主要な組織からなるグローバルなマルチセクターで、デジタル通貨の責任ある展開と採用を引き続き奨励できるよう、将来的な解決策と規制の道筋を議論し続けている。当社は、DCGCの第2段階の作業を2回に分けて発表する予定である。
1. The macroeconomic impact of cryptocurrency and stablecoins	1. 暗号通貨とステーブルコインのマクロ経済への影響
2. Regulatory best practices for cryptocurrency and stablecoins (to be published later this year)	2. 暗号通貨およびステーブルコインに関する規制のベストプラクティス（本年後半に発表予定）
Preface	巻頭言
The scale of usage and domestic and international impact of crypto-assets varies across jurisdictions, but there has indisputably been a rapid growth in adoption. The Financial Stability Board (FSB) has highlighted their use as an emerging risk to global financial stability, with potential macroeconomic impacts.⁷ There is a need for a timely and precautionary evaluation of the possible macroeconomic impacts and corresponding policy responses.⁸	暗号資産の利用規模や国内外への影響は国によって異なるが、導入が急増していることは間違いない。金融安定理事会（FSB）は、暗号資産の利用を世界金融安定化に対する新たなリスクとして取り上げ、マクロ経済的な影響を及ぼす可能性があると指摘している7。起こりうるマクロ経済的な影響とそれに対応する政策対応について、適時、予防的に評価する必要がある8。
In the absence of high-certainty macroeconomic models that project the impact of cryptocurrency and stablecoins, this white paper seeks to forecast the potential effects based on qualitative assessments from global macroeconomists and credible literature in this space.	暗号通貨やステーブルコインの影響を予測する確実性の高いマクロ経済モデルが存在しない中、本ホワイトペーパーでは、世界のマクロ経済学者による定性的評価とこの分野の信頼できる文献に基づいて、潜在的な影響を予測することを目的としている。
Defining cryptocurrency and stablecoins	暗号通貨とステーブルコインの定義
This white paper will focus on cryptocurrency and fiat-backed stablecoins, though it is important to note the definitions of and differences between commonly known digital currencies.	本ホワイトペーパーでは、暗号通貨とフィアットベースのステーブルコインに焦点を当てますが、一般的に知られているデジタル通貨の定義とその違いについて留意しておくことが重要である。
According to economics professor Eli Noam, digital currencies are “representations of value in digital form with monetary characteristics”.⁹ From a crypto-asset standpoint, digital currencies can refer to cryptocurrencies, stablecoins and central bank digital currencies (CBDCs).	経済学教授の Eli Noam によれば、デジタル通貨は「貨幣的特性を持つデジタル形式の価値表象」である9 。暗号資産の観点から、デジタル通貨は暗号通貨、ステーブルコイン、中央銀行デジタル通貨（CBDC）を指すことがある。
– Crypto-assets: a type of private digital asset that depends primarily on cryptography and distributed ledger or similar technology.¹⁰	・暗号資産:主に暗号と分散型台帳または類似の技術に依存する私的デジタル資産の一種10。
Non-financial assets	非金融資産
Floating rate payment instrument (e.g. Bitcoin, DOGE): can be a financial asset or a non-financial asset (depending on the issuer – if it’s a claim against the issuer, it’s a financial asset).	変動金利型支払手段（例：ビットコイン、DOGE）：金融資産にも非金融資産にもなりうる（発行者に依存 - 発行者に対する債権であれば金融資産）。
Cryptocurrency: digital assets and digital infrastructure such as Bitcoin and Ethereum that are open-sourced and public.¹¹	暗号通貨：ビットコインやイーサリアムなどのデジタル資産やデジタルインフラで、オープンソースで公開されているもの11。
– Cryptocurrencies (e.g. BTC, LTC)	・クリプトカレンシー(例:(BTC),LTC)
– Crypto tokens (e.g. FIL)	・クリプトトークン(例:(FIL))
– Crypto commodities (e.g. ETH)	・暗号コモディティ(例:(ETH))
Financial assets	金融資産
– Stablecoin: a broad term used to refer to digital currencies, most often DLT-based cryptocurrencies, that are designed to maintain a stable value relative to another asset (typically a unit of sovereign currency or commodity) or a basket of assets. CoinDesk has defined four common types of stablecoin. This white paper will focus only on fiat-backed stablecoins.	- ステーブルコイン：デジタル通貨を指す広義の用語で、最も多いのはDLTベースの暗号通貨で、他の資産（通常はソブリン通貨単位や商品）または資産のバスケットに対して安定した価値を維持するよう設計されている。CoinDeskは、4つの一般的なタイプのstablecoinを定義している。本ホワイトペーパーでは、不換紙幣担保型アップされたステーブルコインにのみ焦点を当てます。
Fixed rate payment instruments	固定金利の支払手段
– Fiat-backed: stablecoin issuers hold 1:1 reserves of fiat currency. The total value matches how much they have backed by fiat.	・不換紙幣担保型:ステーブルコインの発行者は,不換紙幣を1対1で保有している。総額は不換紙幣の裏付けをどれだけ持っているかと一致する。
– Commodity-backed: similar to fiat-backed stablecoins, stablecoin issuers hold equivalent values of commodities such as precious metals, oil and real estate. The coins may or may not be redeemable for the physical asset.	・商品担保型: 不換紙幣担保型のステーブルコインと同様にステーブルコイン発行者は貴金属、石油、不動産などの商品と同等の価値を保有している。コインは現物資産と交換可能な場合と不可能な場合がある。
– Algorithmic: these stablecoins are not backed. Instead, they aim to maintain a stable value through algorithms and smart contracts that manage the expansion and contraction of token supply.	・アルゴリズム型:これらのステーブルコインは裏付けがない。その代わり、トークン供給の拡大・縮小を管理するアルゴリズムとスマートコントラクトによって安定した価値を維持することを目的としている。
– Crypto-backed: these stablecoins are backed by other cryptos via smart contracts rather than a service provider. They are “over-collateralized”, meaning that the value of the crypto backing exceeds the value of stablecoins issued, in order to account for price fluctuations.	・暗号資産担保型: これらのステーブルコインは,サービスプロバイダではなく,スマートコントラクトを介して他の暗号によって裏打ちされている。価格変動を考慮し,暗号の裏づけの価値が発行されるステーブルコインの価値を上回る「過担保化」されている。
Cryptocurrency	暗号通貨
For the purposes of this white paper, cryptocurrencies refer to digital assets such as bitcoin (BTC) and Ether (ETH) that are public and permissionless in nature and dependent on global networks of computers to validate transactions and ensure network integrity.	本ホワイトペーパーでは、暗号通貨とはビットコイン（BTC）やイーサ（ETH）のようなデジタル資産を指し、その性質上パブリックでパーミッションがなく、取引の検証やネットワークの整合性を確保するためにコンピュータのグローバルネットワークに依存している。
Bitcoin was created in 2008 by an unknown person or group using the name Satoshi Nakamoto, as an alternative global money source that was uncontrolled by government authorities. It was popular among libertarians who were eager for a new monetary system.	ビットコインは、2008年にサトシ・ナカモトという名前を使った無名の人物またはグループによって、政府当局に管理されない代替のグローバルマネー源として誕生した。新しい通貨システムを熱望するリバータリアンの間で人気を博した。
With cryptocurrency there are two key innovations:	暗号通貨には、2つの重要な革新性がある。
1. The assets	1. 資産
– A digital payment instrument with properties akin to a bearer instrument or a digital token	・無記名式金融商品またはデジタルトークンのような性質を持つデジタル決済手段。
– A payment instrument issued by a nonbank and non-financial entity whereby the entity is undefined	・非銀行・非金融機関が発行する決済手段で、その主体は不定である。
– A decentralized network based on blockchain to validate transactions	・ブロックチェーンに基づく分散型ネットワークによる取引の検証
2. The decentralized networks and payment rails	2. 分散型ネットワークと決済レール
– The distributed ledger environment offers:	・分散型台帳環境は以下を提供する。
– Security and integrity	・セキュリティと完全性
– Atomicity of the payment exchange¹²	・決済のやりとりの原子性12
– Traceability and transparency	・トレーサビリティと透明性
There are various perspectives on the role that cryptocurrency takes within an economy:	暗号通貨が経済の中で果たす役割については、様々な観点がある。
– A currency	・通貨
– Most currencies attract speculation and are subject to significant valuation changes.	・ほとんどの通貨は投機を誘い、評価が大きく変動する。
– Like most currencies, however volatile, cryptocurrency can theoretically serve as a payment medium.	・ほとんどの通貨は投機的であり、評価額が大きく変動しやすい。
– A store of value/an asset class	・価値の貯蔵/資産クラス
– Gold and bitcoin are perceived by some as a safe haven against distrust in the monetary system.	・金とビットコインは,通貨システムに対する不信感に対する安全な避難場所として認識されている。
– Tangible or intangible instruments can be perceived to have utility, be used as a payment instrument and attract value (e.g. using collectibles such as baseball or Pokémon cards or cigarettes in wartime as currency). The novelty with cryptocurrency is that the assets are digital representations. The combination of rarity and utility determines value.	- 有形・無形の商品は、実用性があると認識され、決済手段として利用され、価値を集めることができる（例：野球カードやポケモンカードなどの収集品、戦時中のタバコを通貨として利用する）。暗号通貨で斬新なのは、資産がデジタル表現であることだ。希少性と実用性の組み合わせが価値を決定する。
– A means of payment	・決済の手段
– If cryptocurrency is to become a popular means of payment, as for any issuer of money, there needs to be some confidence among users that it actually works for making a payment.	・暗号通貨が決済手段として普及するためには、貨幣の発行元と同様に実際に決済に使えるという信頼感が利用者の間に必要である。
– A platform (such as Ethereum)	・プラットフォーム(イーサリアムなど)
– In 2013, Vitalik Buterin, co-founder of Ethereum, wrote a 36-page white paper describing his vision for Ethereum as an open-source blockchain on which programmers could build applications.	- 2013年、イーサリアムの共同創設者であるVitalik Buterin氏は、プログラマーがアプリケーションを構築できるオープンソースのブロックチェーンとして、イーサリアムのビジョンを36ページのホワイトペーパーに記述した。
– A pyramid	・ピラミッド
– A buyer is dependent on more people buying in for the value to rise. The person who buys in the latest, at the highest price, loses.	・買い手は価値が上昇するためにより多くの人が買うことに依存する。一番遅く、一番高い値段で買い付けた人が損をする。
Cryptocurrencies have been used across a wide range of industries and domains. While each project is unique in a cryptographic sense, many share similar or opposing characteristics derived from the original bitcoin design. The distinction between permissionless and permissioned coins is important. Permissionless blockchains allow anyone to participate in validating and mining transactions as well as in using the system to buy, sell and trade assets. A permissioned blockchain is a distributed ledger that is not publicly accessible – it can be accessed only by users with permissions. The users can perform only specific actions granted to them by the ledger administrators and are required to identify themselves through certificates or other digital means.¹³ Bitcoin and some Ethereum blockchains are permissionless, while many CBDCs would tend to be used on a permissioned blockchain or other DLT platforms.	暗号通貨は、幅広い業界や領域で利用されている。各プロジェクトは暗号学的な意味でユニークであるが、多くはオリジナルのビットコインの設計に由来する類似または対立する特徴を共有している。パーミッションレスコインとパーミッションドコインの区別は重要である。パーミッションレス・ブロックチェーンでは、誰でも取引の検証やマイニングに参加できるだけでなく、システムを利用して資産の売買や取引を行うことも可能である。パーミッション付きブロックチェーンは、一般にはアクセスできない分散型台帳であり、パーミッションを持つユーザーのみがアクセスできるようになっている。ビットコインや一部のイーサリアムのブロックチェーンはパーミッションレスですが、多くの CBDC はパーミッション付きのブロックチェーンや他の DLT プラットフォームで使用される傾向がある。
Stablecoins	ステーブルコイン
This white paper will focus on private fiat-backed stablecoins, leaving collateralized stablecoins and algorithmically stabilized coins¹⁴ out of scope. As it is also important to understand and regulate these, they will be addressed in future work. Fiat- backed stablecoins are defined by the FSB as stablecoins that purport to maintain a stable value by referencing physical or financial assets or other crypto-assets.¹⁵ Stablecoin issuers hold various reserve assets to back up the fixed value of their coins and ensure a 1:1 redeemability. Stablecoins are issued with a promise to keep a value that is stable relative to an external anchor in the case of fiat-backed stablecoins. As such, stablecoins are monetary liabilities similar to bank deposits and money market funds; there are even some parallels to e-money.	本ホワイトペーパーでは、プライベートな不換紙幣担保されたステーブルコインに焦点を当て、担保付ステーブルコインとアルゴリズムによるステーブルコイン14 は対象外する。これらを理解し規制することも重要であるため、将来の作業で取り上げる予定である。不換紙幣担保型ステーブルコインは FSB によって、物理的もしくは金融資産、または他の暗号資産を参照することで安定した価値を維持するとされるステーブルコインと定義されている15 。ステーブルコインは、不換紙幣担保型アップされたステーブルコインの場合、外部のアンカーとの関係で安定した価値を保つことを約束されて発行されるものである。そのため、ステーブルコインは銀行預金やマネーマーケットファンドに似た貨幣負債であり、電子マネーとの類似性さえある。
Many reserve designs exist and, in contrast with other cryptocurrencies such as bitcoin, many stablecoins are centralized and issued by a corporate entity. These corporate entities are responsible for holding reserve assets, issuing coins and engaging with regulators. Issuers’ design choices revolve around the kinds of reserve assets they hold, and the stabilization mechanisms used to maintain the pegged price.16 However, some experts insist that the underlying assets behind these coins – high-quality or not – may be more safely held by existing financial institutions, prompting calls for more guidance and regulation around stablecoins and their issuers. Currently, there are no regulations defining what kinds of reserve assets stablecoin issuers should hold to protect their pegs, as well as what type of disclosure issuers should provide to protect investor confidence.	多くのリザーブデザインが存在し、ビットコインなどの他の暗号通貨とは対照的に、多くのステイブルコインは法人によって集中的に発行されている。これらの法人は、準備資産の保有、コインの発行、規制当局との関わりを担っている。発行者のデザインは、保有する準備資産の種類や、ペッグ価格を維持するための安定化メカニズムを中心に決定される16 。しかし、専門家の中には、これらのコインの裏付けとなる原資産は、高品質かどうかにかかわらず、既存の金融機関でより安全に保有できる可能性があると主張する者もおり、ステーブルコインや発行者に対するガイダンスや規制を強化することが求められている。現在、ステーブルコインの発行者がペグを保護するためにどのような種類の準備資産を保有すべきか、また、投資家の信頼を守るために発行者がどのような情報開示を行うべきかを定義する規制は存在しない。
All cryptocurrencies, alleged to be currencies, are not currencies at all. They are speculative assets, the valuation of which changes enormously over time. Moreover, they present themselves as currencies, which they are not. An asset is an asset but should not claim it is a currency; it is not.	通貨であるとされる暗号通貨は、すべて通貨ではありません。それらは投機的な資産であり、その評価は時間と共に大きく変化する。さらに、暗号通貨は通貨でないにもかかわらず、通貨であるかのように装っている。資産は資産であるが、通貨であると主張すべきではなく、通貨ではない。
Christine Lagarde, President, European Central Bank, Germany, speaking on Radio Davos about crypto	クリスティーヌ・ラガルド欧州中央銀行総裁（ドイツ）ラジオ・ダボスで暗号について語る
When we look at stablecoins this is the area where the big mess happened. If a stablecoin is backed with assets, one to one, it is stable. When it is not backed with assets, but it is promised to deliver a 20% return, it’s a pyramid. What happens to pyramids? ... They eventually fall to pieces.	安定したコインについて見ると、これは大きな混乱が起こった部分である。安定したコインが1対1で資産に裏付けられている場合、それは安定したものである。資産の裏付けがなく、20％のリターンを約束されている場合、それはピラミッドである。ピラミッドはどうなるのか？最終的にはバラバラになる。
Kristalina Georgieva, Managing Director of the IMF, speaking during a panel moderated by CNBC at the World Economic Forum’s Annual Meeting 2022 in Davos	世界経済フォーラム年次総会（2022年、ダボス会議）でCNBCの司会により行われたパネルで発言するIMF専務理事のクリスタリナ・ゲオルギエヴァ氏
Executive summary	エグゼクティブサマリー
Too little is known about the economics guiding our understanding and analysis of cryptocurrency and stablecoins, which may deliver benefits and negative outcomes. There are many unanswered, and perhaps unanswerable, questions about the economic impact of alternative scenarios. A broad spectrum of views and predictions for the future exists, and the economic outcomes will vary depending on what shape any regulation takes. Additionally, there is insufficient data to create macroeconomic models for crypto and stablecoins, as neither is currently included in monetary financial statistics.	暗号通貨とステーブルコインの理解と分析を導く経済学について、あまりにも知られていないため、利益とマイナスの結果をもたらす可能性がある。代替シナリオの経済的影響については、多くの未解決の、そしておそらく答えのない疑問がある。将来に対する幅広い見解や予測が存在し、どのような規制が行われるかによって経済的な結果は異なるだろう。また、暗号通貨やステーブルコインは現在、金融統計に含まれていないため、マクロ経済モデルを作成するためのデータは不十分である。
To project the macroeconomic outcomes of given regulatory scenarios/paths, interviews were conducted for this white paper with 16 global macroeconomists who have made qualitative assessments of how cryptocurrencies and stablecoins might affect individual economies and the global financial system.	本ホワイトペーパーでは、想定される規制のシナリオやパスによるマクロ経済的な成果を予測するため、暗号通貨やステーブルコインが個々の経済や世界の金融システムにどのような影響を与えるかについて定性的な評価を行った16人のグローバルマクロ経済学者へのインタビューを実施した。
The possible macroeconomic outcomes and scenarios described in this white paper are categorized according to the following criteria:	本ホワイトペーパーに記載されているマクロ経済的な結果やシナリオの可能性は、以下の基準に従って分類されている。
– Financial stability (domestic and global)	・金融の安定(国内およびグローバル)
– Promotes monetary stability	・通貨の安定を促進する
– Promotes stability of the financial system	・金融システムの安定性を促進する
– Equity and safety	・公平性と安全性
– Promotes access to the financial system for people who have been historically excluded	・歴史的に排除されてきた人々の金融システムへのアクセスを促進する。
– Promotes protection against illegal activity	・違法行為からの保護
– Innovation	・イノベーション
– Promotes productive innovation and efficiency	・生産的なイノベーションと効率性を促進する
– Sustainability	・持続可能性
– Promotes environmental sustainability	・環境の持続可能性を促進
For cryptocurrency, governments can choose to let present trends continue, ban cryptocurrency, let it play a regulated role in the economy or make cryptocurrency legal tender. While the spectrum of possibilities within these options is broad and nuanced (e.g. there are many ways to implement a ban and within the regulatory category there could be anything from loose guidelines to strict rules, which may render these instruments obsolete), this paper seeks to explore the economic effects of each high-level path. Based on projected macroeconomic outcomes, the majority of economists interviewed predict that allowing cryptocurrency to play a regulated role in the economy will bring the highest macroeconomic net benefit to society. This is contingent on the responsible design and enforcement of regulation. A separate workstream within the World Economic Forum’s Digital Currency Governance Consortium (DCGC) will deliver more detail regarding regulatory best practices at a later date.	暗号通貨については、政府は現在のトレンドを継続させるか、暗号通貨を禁止するか、経済において規制された役割を果たすようにするか、暗号通貨を法定通貨にするかという選択をすることができる。これらのオプションの可能性は広範かつ微妙である（例えば、禁止を実施する方法は数多くあり、規制のカテゴリーでは緩やかなガイドラインから厳しい規則まであり得るため、これらの手段は時代遅れとなる可能性がある）が、本稿ではそれぞれのハイレベルな経路の経済効果を探ろうとするものである。インタビューしたエコノミストの大多数は、予測されるマクロ経済的な結果に基づき、暗号通貨が経済において規制された役割を果たすことを認めることが、社会に最も高いマクロ経済的な純益をもたらすと予測している。これは、規制の責任ある設計と施行が条件となる。世界経済フォーラムのデジタル通貨ガバナンス・コンソーシアム（DCGC）内の別のワークストリームでは、後日、規制のベストプラクティスに関するより詳細な情報を提供する予定である。
For fiat-backed stablecoins, governments can choose to let present trends continue, allow private fiat-backed stablecoins to play a regulated role in the payments system or tax (or ban) private stablecoins out of existence. Of these, allowing fiat-backed stablecoins to play a regulated role in the economy is predicted to bring the highest macroeconomic net benefit to society. This is contingent on the responsible design and enforcement of regulation.	不換紙幣担保型ステーブルコインについては、政府は現在のトレンドを継続させるか、不換紙幣担保型ステーブルコインが決済システムで規制された役割を果たすことを認めるか、あるいは民間ステーブルコインに課税（または禁止）して存在しないようにするかのいずれかを選択することができる。これらのうち、不換紙幣に裏打ちされたステーブルコインが経済において規制された役割を果たすことを認めることが、社会にとって最も高いマクロ経済的純益をもたらすと予想されます。これは、責任ある規制の設計と施行が条件となる。
Based on this analysis, policy-makers should:	この分析に基づき、政策立案者は以下を行うべきである。
– Create an international classification framework/ taxonomy to provide a common ontology (i.e. set of concepts and categories) to differentiate between the different digital currency types, how they interact and how stablecoins are collateralized	- 国際的な分類フレームワーク/タクソノミを構築し、異なるデジタル通貨の種類、相互作用、ステーブルコインの担保を区別するための共通のオントロジー（概念やカテゴリーの集合体）を提供する。
– Include cryptocurrency and stablecoins in monetary financial statistics	・暗号通貨とステーブルコインを貨幣金融統計に含める。
– Take economic qualitative assessments, such as this one, into consideration, as they become available, when choosing regulation	・規制を選択する際には,今回のような経済的な定性的評価を適宜考慮する。
– Coordinate with other governments to avoid:	・他国政府と調整し,回避する。
– Creating regulatory arbitrage	- 規制の裁定を生む
– Causing negative economic impacts due to the effect on emerging economies of developed economies’ choices	- 先進国の選択が新興国に与える影響により,経済的に悪影響を与えること。
Based on this analysis, business leaders should work proactively with policy-makers to receive regulatory clarity as business models are shaped and to have a voice in the creation of policy.	この分析に基づき、ビジネスリーダーは政策立案者と積極的に協力し、ビジネスモデルが形成される際に規制の明確化を受け、政策立案において発言権を持つ必要がある。
Introduction	はじめに
This white paper’s analysis focuses on the macroeconomic impact of the widespread adoption of cryptocurrencies and stablecoins. Because any economic outcomes will depend on future regulatory decisions, the paper is organized according to the potential regulatory paths for cryptocurrency and stablecoins, respectively, and the possible macroeconomic outcomes of each regulatory path. The macroeconomic considerations are explained neutrally. The paper then examines each regulatory path in relation to the initial criteria to assess which regulatory path would produce the optimal macroeconomic outcome and net benefit to society. It offers recommendations and a look forward to future work. Finally, those potential outcomes for each regulatory path are rated against the criteria for achieving macroeconomic net benefit to society.	本ホワイトペーパーでは、暗号通貨とステーブルコインの普及がもたらすマクロ経済への影響に焦点を当てて分析した。経済的な成果は今後の規制の決定次第であるため、本稿では暗号通貨とステーブルコインそれぞれの規制パスの可能性と、各規制パスで起こりうるマクロ経済的な成果に従って構成されている。マクロ経済的な考察は中立的に説明されている。次に、どの規制パスが最適なマクロ経済的成果をもたらし、社会に正味の利益をもたらすかを評価するために、各規制パスを最初の基準との関連で検証する。そして、提言と将来への展望を示す。最後に、各規制パスの潜在的な成果を、社会にとってのマクロ経済的な純便益を達成するための基準に照らして評価する。
This white paper will:	本ホワイトペーパーは以下の通りである。
– Define cryptocurrency and stablecoins in terms of how they apply to macroeconomics	- 暗号通貨とステーブルコインのマクロ経済への適用に関する定義
– Summarize the economic analysis undertaken to date	- 現在までの経済分析結果をまとめる。
– Explain why there are so many unknowns with regard to how cryptocurrencies and stablecoins will affect global economies	- 暗号通貨とステーブルコインが世界経済にどのような影響を与えるかについて,未知の部分が非常に多い理由を説明する。
– Define the criteria for a macroeconomic net benefit to society in the context of cryptocurrencies and stablecoins	- 暗号通貨とステーブルコインに関するマクロ経済的な社会的純益の基準を定義する。
– Acknowledge that the macroeconomic outcomes depend on which regulatory path is chosen (e.g. let present trends continue, ban, regulate, etc.). Here it is critical to note that these paths fall along a continuum as opposed to being stringent categories.	- マクロ経済的な成果は、どの規制経路を選択するか（現在のトレンドを継続させる、禁止、規制など）によって異なることを認識すること。ここで、これらのパスが厳格なカテゴリーであるのとは対照的に、連続体に沿ったものであることに留意することが重要である。
– For example, some jurisdictions will ban crypto for payments but still allow citizens to hold it. Other jurisdictions may ban mining only. Further, policy-makers may limit or ban targeted activities for regulated financial entities such as banks (e.g. no crypto on balance sheet, but allow customers to transfer funds to crypto platforms, etc.).	- 例えば、一部の国では、決済のための暗号を禁止しているが、市民が暗号を保有することは認めている。また、マイニングのみを禁止する国もある。さらに、政策立案者は、銀行などの規制対象金融機関の活動を制限または禁止することができる（例：バランスシート上の暗号資産は禁止するが、顧客による暗号プラットフォームへの資金移動は許可する、等々）。
– The same is true for other financial activities – e.g. crypto custody, derivatives, collective investment vehicles. Some policy-makers may also decide that only “qualified investors” can hold crypto, etc.	- 暗号のカストディ、デリバティブ、集団投資ビークルなど、他の金融活動についても同様である。政策立案者の中には、「適格投資家」のみが暗号を保有できるなどと決定する人もいるかもしれない。
– Set out the high-level spectrum of possible regulatory paths for cryptocurrency	- 暗号通貨に関する可能な規制の道筋のハイレベルなスペクトルを設定する。
– Use the criteria to project the macroeconomic outcomes of high-level regulatory paths for cryptocurrency based on interviews with macroeconomists (conducted under the Chatham House Rule)17 and other literature review	- マクロ経済学者へのインタビュー（チャタムハウス・ルールに基づいて実施）17 や文献調査に基づき、暗号通貨に関するハイレベルな規制パスのマクロ経済的な結果を予測する基準を使用する。
– Set out the spectrum of possible regulatory paths for stablecoins	- ステーブルコインに対する可能な規制パスのスペクトルを設定する。
– Use the criteria to project the macroeconomic outcomes of each regulatory path for stablecoins based on interviews with macroeconomists (conducted under the Chatham House Rule) and other literature review	- マクロ経済学者へのインタビュー（チャタムハウスルールに基づいて実施）やその他の文献調査に基づいて、安定コインの各規制パスのマクロ経済的成果を予測する基準を使用する。
– Conduct the analysis for cryptocurrency by rating each regulatory path in relation to the criteria for the optimal macroeconomic net benefit to society	- 暗号通貨について社会にとっての最適なマクロ経済的純便益の基準との関係で各規制パスの評価、分析を行う。
– Conduct the analysis for stablecoins by rating each regulatory path in relation to the criteria for the optimal macroeconomic net benefit to society	・ステーブルコインについて社会にとっての最適なマクロ経済的純便益の基準との関連で各規制パスの評価、分析を実施。
– Decide on the optimal regulatory path for cryptocurrency	・暗号通貨の最適な規制パスを決定する。
– Decide on the optimal regulatory path for stablecoins	・ステーブルコインの最適な規制経路の決定
– Offer recommendations to policy-makers and business leaders	・政策立案者とビジネスリーダーへの提言
– Conclude with a look forward to work in the pipeline from the World Economic Forum’s Digital Currency Governance Consortium (DCGC) working group on specific regulatory best practices for cryptocurrency and stablecoins	- 世界経済フォーラムのデジタル通貨ガバナンス・コンソーシアム（DCGC）ワーキンググループによる、暗号通貨とステーブルコインのための具体的な規制のベストプラクティスに関するパイプラインの作業を展望して終了する。
Scope of work	作業範囲
The scope of this white paper includes regulatory scenario-based macroeconomic impact projections by global macroeconomists for cryptocurrencies, including bitcoin (BTC) and Ethereum (ETH) and fiat-backed stablecoins. Projections are based on the educated opinions of macroeconomists in the absence of economic models for this topic.	本ホワイトペーパーのスコープには、ビットコイン（BTC）やイーサリアム（ETH）を含む暗号通貨と不換紙幣担保型アップされたステーブルコインに対するグローバルマクロ経済学者による規制シナリオベースのマクロ経済的影響予測が含まれている。予測は、このトピックに関する経済モデルがない中で、マクロ経済学者による教育的な意見に基づいている。
This report will not focus on:	本レポートでは、以下の点には焦点を当てない。
– Value cases/use cases for cryptocurrency and stablecoins	– 暗号通貨とステーブルコインの価値事例/使用事例
– Central bank digital currencies (CBDCs) – Regulatory analysis	– 中央銀行デジタル通貨(CBDC) - 規制の分析
– Regulatory recommendations	– 規制に関する提言
– Consumer protection	– 消費者保護
– Microeconomics	– マイクロエコノミクス
***	* (略) *
Recommendations	推奨事項
For policy-makers	政策立案者向け
1. Create an international classification framework/taxonomy to provide a common ontology/set of concepts and categories to differentiate between the different digital currency types and how they interact.	1. 国際的な分類の枠組みやタクソノミを構築し、異なるデジタル通貨の種類や相互作用を区別するための共通のオントロジーやコンセプト、カテゴリーを提供する。
For example, such efforts are under way as part of the Digital Currency Global Initiative (DCGI).	例えば、デジタル通貨グローバル・イニシアティブ（DCGI）の一環として、このような取り組みが行われている。
– The DCGI is working on a taxonomy model for all digital currency types to make it simple to explain the different ways in which transactions occur in CBDC, stablecoins and crypto-assets.	・DCGIは、CBDC、ステーブルコイン、暗号資産で発生する取引の異なる方法を簡単に説明できるようにすべてのデジタル通貨タイプに対応した分類法モデルを構築しているところである。
– The objective of the taxonomy model for digital currencies is to provide a standard unified ontology that can be used to describe the characteristics and differentiate between various digital currency types. This is currently lacking.	・デジタル通貨のタクソノミモデルの目的は様々なデジタル通貨タイプの特徴を説明し、区別するために使用できる標準的な統一オントロジーを提供することである。これは現在不足している。
2. Coordinate with other governments to mitigate regulatory arbitrage and reduce the negative economic impacts of choices made by developed economies on emerging economies.	2. 規制の裁定を緩和し、先進国の選択が新興国に与える経済的な悪影響を軽減するために、他国政府と協調する。
3. Include crypto and stablecoins in monetary financial statistics.	3. 暗号とステーブルコインを貨幣金融統計に含めること。
Monetary policy is dependent on this data, so there is therefore a gap. The information on mining activity is not available for all countries, and statisticians may not collect the information known by some firms.	金融政策はこのデータに依存しているため、ギャップがある。採掘活動に関する情報はすべての国で入手できるわけではなく、統計学者は一部の企業が知っている情報を収集していない可能性がある。
To integrate crypto and stablecoin data into monetary financial statistics:	暗号とステーブルコインのデータを貨幣金融統計に統合すること。
– A proper data collection mechanism would need to be mandated for exchanges to report activity, similar to the way in which commercial banks report activity. The data should reflect how the crypto-assets are used and how this use affects specific sectors of the economy.	・商業銀行が活動を報告する方法と同様に,取引所が活動を報告するための適切なデータ収集メカニズムが義務付けられる必要がある。暗号資産がどのように利用され,その利用が経済の特定部門にどのような影響を与えるかをデータに反映させる必要がある。
– Currently, statisticians do not know how to classify cryptocurrency and stablecoins. At present, crypto-assets that are not backed are classified as a commodity. The classification matters and will affect monetary policy.	・現在,統計学者は暗号通貨とステーブルコインをどのように分類すればよいのか分かっていません。現在、裏付けがない暗号資産は商品として分類されている。分類は重要であり、金融政策に影響を与えるだろう。
– An example of a data-collection mechanism that could be of reference and already exists is the EU-specific Basel III crypto monitoring. A recurrent exercise, it collects information about the financial industry’s exposure to crypto in the EU. It could be extended to virtual asset service providers as it becomes increasingly likely that they will be supervised by institutions with regulations such as MiCA in the EU.	・参考となるデータ収集メカニズムの例として、EUに特化したバーゼルIII暗号モニタリングが既に存在している。これはEUにおける金融業界の暗号へのエクスポージャーに関する情報を収集するもので,定期的に実施されている。仮想資産サービスプロバイダーがEUのMiCAなどの規制を持つ機関によって監督される可能性が高まっているため,仮想資産サービスプロバイダーにも拡張される可能性がある。
4. As economic projections become possible and as qualitative assessments such as this one are completed, take these into consideration when designing regulation. Policy-makers should also account for the differences between types of cryptocurrency and stablecoins when designing regulation.	4. 経済予測が可能になり、今回のような定性的な評価が完了したら、規制を設計する際にそれらを考慮すること。政策立案者は、規制を設計する際に、暗号通貨とステーブルコインの種類の違いも考慮する必要がある。
Our regulatory frameworks should be designed to support responsible innovation while managing risks – especially those that could disrupt the financial system and economy. As banks and other traditional financial firms become more involved in digital asset markets, regulatory frameworks will need to appropriately reflect the risks of these new activities.¹²⁵	私たちの規制の枠組みは、リスク、特に金融システムや経済を混乱させる可能性のあるリスクをマネジメントしながら、責任あるイノベーションを支援するように設計されるべきである。銀行や他の伝統的な金融機関がデジタル資産市場により深く関わるようになれば、規制の枠組みは、こうした新しい活動のリスクを適切に反映する必要があるだろう125。
Janet Yellen, United States Secretary of the Treasury	ジャネット・イエレン米国財務長官
I think that it’s actually not that hard to differentiate these things [e.g. Terra, Celsius] from other things. It does not reflect the broader crypto ecosystem in any kind of meaningful way. Education is really important here. Crypto is not a monolith. Every crypto L1 [layer 1] platform has a very different approach to what it’s thinking about doing. Every stablecoin is different – the reserves are held differently. And all of that nuance is critically important for us to understand as we move toward more of a regulation and policy environment.	これら（テラ、セルシオなど）を他のものと区別するのは、実はそれほど難しいことではないと思う。広範な暗号エコシステムを何らかの形で有意義に反映しているわけではない。ここでは教育が本当に重要である。暗号は一枚岩ではありません。すべての暗号L1（レイヤー1）プラットフォームは、何をしようと考えているのか、非常に異なるアプローチを持っている。ステーブルコインはそれぞれ異なり、準備金の保有方法も異なる。このようなニュアンスの違いを理解することは、規制や政策が強化される中で、非常に重要である。
Sheila Warren, Chief Executive Officer, Crypto Council for Innovation, in a Bloomberg Crypto Report¹²⁶	Bloomberg Crypto Report126におけるCrypto Council for Innovationの最高経営責任者、シーラ・ウォレン氏。
For businesses	企業向け
1. Work proactively and in partnership with regulators when designing business models.	1. ビジネスモデルを設計する際に、規制当局と積極的に連携すること。
I’ve loved my time here ... but in the end, what’s important is that we’re in the right place for the business … What we’ve been doing also is reaching out to try and find governments that would be excited to have us and work with us. That’s something we’re still working on, and we have a lot of candidates in mind.¹²⁷	私はここでの時間をとても気に入っている...しかし、最終的に重要なのは、私たちがビジネスにとって適切な場所にいることである...私たちがしてきたことは、私たちを迎え、私たちと一緒に働くことを喜んでくれる政府を見つけようと働きかけることでもありました。これはまだ作業中ですが、多くの候補を考えている127。
Sam Bankman-Fried, Chief Executive Officer, FTX, Hong Kong, speaking to the Financial Times	香港の FTX 社の CEO、Sam Bankman-Fried 氏が Financial Times 紙に語った言葉。
What we’ve been really working toward [in the US] is where the UK is now, toward a world in which the political and regulatory environment is much more amenable and forward-leaning on innovation in the digital assets market.¹²⁸	私たちが（米国で）本当に目指してきたものは、現在の英国のような、政治的・規制的環境がデジタル資産市場のイノベーションにもっと従順で前向きになるような世界である128。
Dante Disparte, Chief Strategy Officer and Head of Global Policy, Circle	サークル、最高戦略責任者兼グローバルポリシー責任者、ダンテ・ディスパルテ氏
Conclusion	結論
Allowing cryptocurrencies and stablecoins to play a regulated role in economies will have the greatest macroeconomic net benefit to the highlevel regulatory paths laid out in this white paper. In the future, the adoption of cryptocurrencies and stablecoins will most likely be correlated with the level of regulation in a given jurisdiction.	暗号通貨とステーブルコインが経済において規制された役割を果たすことを認めることは、本ホワイトペーパーで示されたハイレベルな規制の道筋に対して、マクロ経済的に最大の純益をもたらすことになる。将来的には、暗号通貨とステーブルコインの導入は、特定の法域における規制のレベルと相関する可能性が高いだろう。
Policy-makers should act quickly to gather macroeconomic impact data and begin to design regulatory frameworks that are custom-made for cryptocurrencies and stablecoins. Countries should collaborate to avoid regulatory arbitrage. Policymakers should also collaborate with the business and technology community to receive feedback about the effects that certain regulatory designs will create.	政策立案者は、マクロ経済への影響データを収集し、暗号通貨とステーブルコインのためにカスタムメイドされた規制フレームワークの設計を開始するために迅速に行動する必要がある。各国は規制の裁定を避けるために協力する必要がある。また、政策立案者はビジネスやテクノロジーコミュニティと連携し、特定の規制設計が生み出す効果についてフィードバックを受ける必要がある。
The future regulation itself should support the criteria outlined in this paper. It should promote monetary stability, stability of the financial system, access to the financial system, protection against illegal activity, innovation and environmental sustainability. The goals for the future should be to embrace the innovations that cryptocurrency and stablecoins bring, while using regulation to curtail the risks to the economy to the greatest extent possible.	将来の規制そのものは、本稿で概説した基準をサポートするものでなければならない。金融の安定、金融システムの安定、金融システムへのアクセス、違法行為からの保護、イノベーション、環境の持続可能性を促進するものであるべきだ。今後の目標は、暗号通貨やステーブルコインがもたらすイノベーションを受け入れつつ、規制によって経済へのリスクを可能な限り抑制することであるべきである。
The DCGC will continue a separate workstream throughout 2022, exploring the key risks and associated global implications as applicable to the regulation of cryptocurrencies/stablecoin. The workstream will also look at various policy approaches globally, based on perspectives from public-private partners, with the aim of understanding the nuances that need to be considered in a global coordinated approach to cryptocurrency and stablecoin regulation.	DCGCは、2022年を通して、暗号通貨/ステーブルコインの規制に適用される主要なリスクと関連するグローバルな影響を調査する、別のワークストリームを継続する予定である。また、このワークストリームでは、官民パートナーからの視点に基づき、暗号通貨およびステーブルコインの規制に対するグローバルな協調アプローチで考慮すべきニュアンスを理解することを目的として、グローバルに様々な政策アプローチを検討する。

2022.08.19 15:38 in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

NIST ホワイトペーパー（ドラフト）コンテキストにおけるAI/MLバイアスの緩和

こんにちは、丸山満彦です。

NISTが、コンテキストにおけるAI/MLバイアスの緩和というプロジェクト概要を説明したホワイトペーパーのドラフトを公開し、意見募集をしていますね。。。

まずは、金融の信用取引に焦点を当てるようですね。。。その後、採用や入学、、、にも拡張予定という感じですね。。。

さて、ホワイトペーパーでは、シナリオが4つ示されています。。。

バイアスの検出と緩和のための前処理データセット解析
統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー

これからの進展が楽しみですね。。。日本でも、同様の取り組みはされているんでしょうかね。。。

● NIST - ITL

・2022.08.18 White Paper (Draft) [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems

White Paper (Draft) [Project Description] Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems	ホワイトペーパー(ドラフト) [プロジェクト概要] コンテキストにおけるAI/MLバイアスの緩和：AIシステムのテスト、評価、検証、妥当性確認のためのプラクティスの確立
Announcement	発表
The NCCoE has released a new draft project description, Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems. Publication of this project description begins a process to solicit public comments for the project requirements, scope, and hardware and software components for use in a laboratory environment.	NCCoEは、新しいプロジェクト説明書ドラフト「Mitigating AI/ML Bias in Context」を公開した。AIシステムのテスト、評価、検証、およびバリデーションのための実践を確立する。このプロジェクト説明書の公開により、プロジェクトの要件、範囲、実験室環境で使用するハードウェアおよびソフトウェアのコンポーネントについて、パブリックコメントを募集するプロセスが開始される。
To tackle the complex problem of mitigating AI bias, this project will adopt a comprehensive socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach will connect the technology to societal values in order to develop guidance for recommended practices in deploying automated decision-making supported by AI/ML systems. A small but novel part of this project will be to look at the interplay between bias and cybersecurity and how they interact with each other.	AIのバイアスを軽減するという複雑な問題に取り組むため、本プロジェクトは、コンテキストにおけるAIシステムのテスト、評価、検証、妥当性確認（TEVV）に対する包括的な社会技術的アプローチを採用する予定である。このアプローチは、AI/MLシステムによってサポートされる自動化された意思決定を展開する際の推奨事項のガイダンスを開発するために、技術を社会的価値と結びつけるものである。このプロジェクトの小さいながらも斬新な部分は、バイアスとサイバーセキュリティの間の相互作用と、それらがどのように相互作用するかを調べることである。
The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. We intend to consider other application use cases, such as hiring and school admissions, in the future. This project will result in a freely available NIST AI/ML Practice Guide.	プロジェクトの初期段階では、金融サービス分野における信用引受の意思決定に関する概念実証の実装に焦点を当てる予定である。将来的には、採用や入学など、他のアプリケーションのユースケースも検討する予定です。このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。
Earlier this month, we announced a hybrid workshop on Mitigating AI Bias in Context on Wednesday, August 31, 2022. The workshop will now be virtual only via WebEx and will provide an opportunity to discuss this topic and work towards finalizing this project description. You can register by clicking on the above workshop link. Hope to see you there!	今月初旬に、2022年8月31日（水）に「Mitigating AI Bias in Context」のハイブリッドワークショップを開催することを発表した。このワークショップは、現在WebExによるバーチャルのみで、このトピックについて議論し、このプロジェクトの説明を確定するための作業を行う機会を提供する予定である。上記のワークショップのリンクをクリックすると登録できる。皆様のご参加を待っている。
Review the project description and submit comments online on or before September 16, 2022.	プロジェクト説明を確認の上、2022年9月16日までにオンラインでご意見を寄せてほしい。
You can also help shape and contribute to this project by joining the NCCoE’s AI Bias Mitigation Community of Interest. Send an email to ai-bias@nist.gov detailing your interest.	また、NCCoEのAIバイアス緩和コミュニティ・オブ・インタレストに参加することで、このプロジェクトの形成に貢献することができる。ご興味のある方は、ai-bias@nist.gov までメールを送付のこと。
Abstract	要旨
Managing bias in an AI system is critical to establishing and maintaining trust in its operation. Despite its importance, bias in AI systems remains endemic across many application domains and can lead to harmful impacts regardless of intent. Bias is also context-dependent. To tackle this complex problem, we adopt a comprehensive socio-technical approach to testing, evaluation, verification, and validation (TEVV) of AI systems in context. This approach connects the technology to societal values in order to develop guidance for recommended practices in deploying automated decision-making supported by AI/ML systems in a sector of the industry. A small but novel part of this project will be to look at the interplay between bias and cybersecurity and how they interact with each other. The project will leverage existing commercial and open-source technology in conjunction with the NIST Dioptra, an experimentation test platform for ML datasets and models. The initial phase of the project will focus on a proof-of-concept implementation for credit underwriting decisions in the financial services sector. We intend to consider other application use cases, such as hiring and school admissions, in the future. This project will result in a freely available NIST AI/ML Practice Guide.	AIシステムにおけるバイアスを管理することは、その運用に対する信頼を確立し維持するために重要である。その重要性にもかかわらず、AIシステムにおけるバイアスは、多くのアプリケーション領域で常在し、意図に関係なく有害な影響をもたらす可能性があります。また、バイアスは文脈に依存する。この複雑な問題に取り組むため、私たちは、コンテキストにおけるAIシステムのテスト、評価、検証、およびバリデーション（TEVV）に対する包括的な社会技術的アプローチを採用する。このアプローチは、AI/MLシステムによってサポートされる自動化された意思決定を産業の一部門で展開する際の推奨事項のガイダンスを開発するために、技術を社会的価値と結びつけるものである。このプロジェクトの小さいながらも斬新な部分は、バイアスとサイバーセキュリティの間の相互作用と、それらがどのように相互作用するかを調べることである。このプロジェクトは、MLデータセットとモデルの実験テストプラットフォームであるNIST Dioptraと連携して、既存の商用およびオープンソースの技術を活用する予定です。プロジェクトの初期段階では、金融サービス分野における信用引受の意思決定のための概念実証の実装に焦点を当てる。将来的には、採用や入学など、他のアプリケーションのユースケースも検討する予定である。このプロジェクトは、自由に利用できるNIST AI/ML実践ガイドに結実する予定である。

・[PDF]

・[DOCX] 仮訳

目次...

1 EXECUTIVE SUMMARY	1 エグゼクティブサマリー
Purpose	目的
Scope	対象範囲
Assumptions/Challenges	前提条件・課題
Background	背景
2 SCENARIOS	2 シナリオ
Scenario 1: Pre-process dataset analysis for detecting and mitigating bias	シナリオ1：バイアスの検出と緩和のための前処理データセット解析
Scenario 2: In-process model training analysis for identifying and mitigating statistical bias	シナリオ2：統計的バイアスの特定と緩和のためのインプロセス・モデルトレーニング分析
Scenario 3: Post-process model inference analysis for identifying and mitigating statistical bias	シナリオ3：統計的バイアスの特定と緩和のためのポストプロセス・モデル推論分析
Scenario 4: Human-in-the-loop (HITL) decision flow for identifying and mitigating cognitive bias	シナリオ4：認知バイアスの特定と緩和のためのHITL (Human-in-the-Loop) 決定フロー
3 HIGH-LEVEL ARCHITECTURE	3 ハイレベルなアーキテクチャ
Desired Requirements	希望する条件
4 RELEVANT STANDARDS AND GUIDANCE	4 関連する規格およびガイダンス
APPENDIX A REFERENCES	附属書A 参考文献
APPENDIX B ACRONYMS AND ABBREVIATIONS	附属書B 頭字語および略語

こちらの参考も事前に読んでおくと、理解が深まるかもですね。。。

● NIST- ITL

これは最初に読んでおく方が良いですね。。。ただし、かなりの分量です。。。

・Dioptra

こちらも。。。

・2022.03.16 [PDF] NIST SP 1270 Towards a Standard for Identifying and Managing Bias in Artificial Intelligence

信用に関する連邦法は...

● Federal Trade Commission: FTC

・Equal Credit Opportunity Act

NIST SP 800-108 Rev.1 擬似乱数関数を使用した鍵導出の推奨事項

こんにちは、丸山満彦です。

NISTがSP 800-108 Rev.1 擬似乱数関数を使用した鍵導出の推奨事項の確定版を公表していますね。。。

● NIST - ITL

・2022.08.17 SP 800-108 Rev. 1 Recommendation for Key Derivation Using Pseudorandom Functions

Abstract	概要
This Recommendation specifies techniques for the derivation of additional keying material from a secret key—either established through a key establishment scheme or shared through some other manner—using pseudorandom functions HMAC, CMAC, and KMAC.	この推奨事項は，擬似乱数関数HMAC，CMAC，KMACを用いて，鍵確立方式で確立されたか，あるいは他の方法で共有された秘密鍵から，追加の鍵材料を導出するための技術を規定する。

・[PDF] SP 800-108 Rev. 1

目次...

1 Introduction	1 はじめに
2 Scope and Purpose	2 範囲と目的
3 Pseudorandom Function (PRF)	3 擬似乱数関数 (PRF)
4 Key Derivation Function (KDF)	4 鍵の導出関数 (KDF)
4.1 KDF in Counter Mode	4.1 カウンタモードのKDF
4.2 KDF in Feedback Mode	4.2 フィードバック・モードのKDF
4.3 KDF in Double-Pipeline Mode	4.3 ダブル・パイプライン・モードのKDF
4.4 KDF Using KMAC	4.4 KMACを用いたKDF
5 Key Hierarchy	5 鍵ヒエラルキー
6 Security Considerations	6 セキュリティに関する考察
6.1 Cryptographic Strength	6.1 暗号の強度
6.2 The Length of Key Derivation Key	6.2 鍵導出用の鍵の長さについて
6.3 Converting Keying Material to Cryptographic Keys	6.3 鍵素材の暗号鍵への変換
6.4 Input Data Encoding	6.4 入力データの暗号化
6.5 Key Separation	6.5 鍵の分離
6.6 Context Binding	6.6 コンテキスト・バインディング
6.7 Key Control Security	6.7 鍵コントロールセキュリティ
References	参考文献
Appendix A. Revisions	附属書A. 改訂
Appendix B. Example of CMAC Key Control Security Issue	附属書B. CMAC鍵制御のセキュリティ問題の例
Appendix C. List of Symbols, Abbreviations, and Acronyms	附属書C. 記号・略語・頭字語の一覧表
Appendix D. Glossary	附属書D. 用語集
List of Figures	図一覧
Figure 1. KDF in Counter Mode	図1. KDFのカウンターモード
Figure 2. KDF in Feedback Mode	図2. フィードバックモードのKDF
Figure 3. KDF in Double-pipeline Mode	図3. KDFのダブルパイプライン・モード
Figure 4. KDF Using KMAC	図4. KMACを用いたKDF
Figure 5. Key Hierarchy	図5. 鍵ヒエラルキー

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.10.20 NIST SP 800-108 Rev.1 (Draft) 擬似乱数関数を使用した鍵導出の推奨事項

2022.08.19 06:02 in 情報セキュリティ / サイバーセキュリティ, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2022.08.18

世界経済フォーラム (WEF) サイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上 (2022.07.14)

こんにちは、丸山満彦です。

世界経済フォーラム (WEF)がサイバーレジリエンス指数 - 組織のサイバーレジリエンスの向上を公表していました。

とても良い内容だと思いました。

● World Economic Forum - Whitepaper

・2022.07.14 The Cyber Resilience Index: Advancing Organizational Cyber Resilience

・[PDF]

原則は次の通りです。。。

1.Regularly assess and prioritize cyber risk	1. サイバーリスクの定期的な評価と優先順位付け
2. Establish and maintain core security fundamentals	2. 中核となるセキュリティの基本の確立と維持
3. Incorporate cyber-resilience governance into business strategy	3. 事業戦略へのサイバーレジリエンス・ガバナンスの組み込み
4. Encourage systemic resilience and collaboration	4. システムのレジリエンスとコラボレーションの促進
5. Ensure design supports cyber resilience	5. サイバーレジリエンスを支援する設計の確保
6. Cultivate a culture of resilience	6. レジリエンス文化の育成

この6つの原則に下に、プラクティスがあり、プラクティスの下にサブプラクティスがあります。

アクセンチュアが協力して作成していますね。。。

・[DOCX] 仮訳

2022.08.18 09:20 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

米国国土安全保障省内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要

こんにちは、丸山満彦です。

国土安全保障省の内部監察官室が、2015年サイバーセキュリティ法に基づく情報共有についてさらなる改善が必要という内部監査報告書を公表していますね。。。

日本でも、インシデント情報の早期共有についての議論が始まっていますが、米国の取り組みは参考になることも多いと思います。。。

この報告書では、「自動指標共有（AIS）で共有される情報の質が良くなく、つまり、AISの機能制限、不十分な人員配置、外的要因により、サイバー脅威指標のほとんどは、意思決定者が行動を起こすのに役立つ十分な文脈情報を含んでおらず、サイバー脅威を特定し軽減するために必ずしも適切ではなかった。」と報告していますね。（しかも2017年、2018年にも同様の報告をしている。）

米国も苦労しているようですね。。。

しかし、内部監察官室、GAOの指摘があり、改善に向かうのはよいことですね。。。日本政府も見習うところではないでしょうかね。。。流石に昭和でもないし、政府無謬神話を唱える人もいないと思うので...

● Department of Homeland Security - Office of Inspector General

・2022.08.16 Additional Progress Needed to Improve Information Sharing under the Cybersecurity Act of 2015

・[PDF]

・[DOCX] 仮訳

Why We Did This Review	このレビューを行った理由
The Cybersecurity Act of 2015 requires the Department of Homeland Security to establish a capability and process for Federal entities to receive cyber threat information from non-Federal entities. The Act requires Inspectors General from the Intelligence Community and appropriate agencies to submit a joint report to Congress every 2 years on Federal Government actions to share cyber threat information. We conducted this review to evaluate CISA’s progress meeting the Cybersecurity Act’s requirements for 2019 and 2020.	2015年サイバーセキュリティ法は、国土安全保障省に対し、連邦事業体が連邦以外の事業体からサイバー脅威情報を受け取るための能力とプロセスを確立することを求めている。同法は、情報コミュニティと適切な機関の監察官に対し、サイバー脅威情報を共有するための連邦政府の措置について、2年ごとに共同報告書を議会に提出することを求めている。我々は、2019年と2020年のサイバーセキュリティ法の要件を満たすCISAの進捗状況を評価するために、このレビューを実施した。
What We Recommend	勧告
We recommend CISA complete system upgrades, hire needed staff, encourage compliance with information sharing agreements and develop a formal reporting process with quality controls.	我々は、CISAがシステムのアップグレードを完了し、必要なスタッフを雇用し、情報共有契約の遵守を奨励し、品質管理を伴う正式な報告プロセスを開発することを勧告する。
What We Found	発見事項
The Cybersecurity and Infrastructure Security Agency (CISA) has addressed the basic information sharing requirements of the Cybersecurity Act of 2015 (Cybersecurity Act) but has made limited progress improving the overall quality of threat information. In 2019 and 2020, CISA continued to leverage its Automated Indicator Sharing (AIS) capability to share cyber threat information between the Federal Government and the private sector. During that time, CISA reportedly increased the number of Federal participants by more than 15 percent and increased the number of non-Federal participants by 13 percent. CISA asserted it increased the overall number of cyber threat indicators it shared and received by more than 162 percent, but it could not validate this number.	サイバーセキュリティ・インフラセキュリティ庁（CISA）は、2015年サイバーセキュリティ法（Cybersecurity Act of 2015）の基本的な情報共有要件に取り組んできたが、脅威情報の全体的な質の改善は限定的な進展にとどまっている。2019年と2020年、CISAは引き続き自動指標共有（AIS）能力を活用し、連邦政府と民間セクターの間でサイバー脅威情報を共有した。この間、CISAは連邦政府の参加者数を15％以上増加させ、連邦政府以外の参加者数を13％増加させたと報告されている。CISAは、共有・受信したサイバー脅威指標全体の数を162％以上増加させたと主張しているが、この数を検証することはできなかった。
The quality of information shared with AIS participants was not always adequate to identify and mitigate cyber threats. According to Federal and private sector entities we interviewed, most of the cyber threat indicators did not contain enough contextual information to help decision makers take action. We attribute this to limited AIS functionality, inadequate staffing, and external factors. We reported on these same challenges in our Cybersecurity Act evaluation for 2017 and 2018.	AIS参加者と共有される情報の質は、サイバー脅威を特定し軽減するために必ずしも適切ではなかった。我々がインタビューした連邦政府および民間事業体によると、サイバー脅威指標のほとんどは、意思決定者が行動を起こすのに役立つ十分な文脈情報を含んでいなかった。これはAISの機能制限、不十分な人員配置、外的要因によるものである。我々は、2017年と2018年のサイバーセキュリティ法の評価において、これらと同じ課題について報告した。
Deficiencies in the quality of threat information shared among AIS participants may hinder the Federal Government’s ability to identify and mitigate potential cyber vulnerabilities and threats.	AIS参加者間で共有される脅威情報の質の低下は、連邦政府が潜在的なサイバー脆弱性と脅威を特定し、緩和する能力を阻害する可能性がある。

勧告とその回答、解決についての詳細...

Recommendations	勧告
We are administratively closing the recommendations from our prior report to issue the following new recommendations:	以下の新たな勧告を発表するため、前回の報告書の勧告を事務的に終了する：
Recommendation 1: We recommend the Director of CISA develop and implement a formal process to verify the number of cyber threat indicators and defensive measures shared through CISA’s Automated Indicator Sharing capabilities to enable accurate reporting and oversight.	勧告1：CISAの自動指標共有機能を通じて共有されたサイバー脅威指標と防御策の数を検証し、正確な報告と監視を可能にするための正式なプロセスを開発し、実施することをCISA長官に勧告する。
Recommendation 2: We recommend the Director of CISA develop and implement an approach to encourage Federal agencies and the private sector to comply with information sharing agreements and requirements, and report actions taken with information sharing agreements and requirements for Automated Indicator Sharing.	勧告2：CISA長官に対し、連邦政府機関と民間部門が情報共有協定と要件を遵守することを奨励するためのアプローチを策定・実施し、情報共有協定と自動指標共有の要件を遵守した行動を報告することを勧告する。
Recommendation 3: We recommend the Director of CISA complete Automated Indicator Sharing 2.0 upgrades.	勧告3：CISA部長に対し、自動指標共有2.0のアップグレードを完了するよう勧告する。
Recommendation 4: We recommend the Director of CISA place priority on hiring administrative and operational staffing to conduct the strategic planning, coordination, analysis, and performance measurement needed to mitigate cybersecurity risks.	勧告4：CISA 長官は、サイバーセキュリティのリスクを軽減するために必要な戦略的計画、調整、分析、およびパフォーマンス測定を行うための管理・運営スタッフの雇用を優先するよう勧告する。
CISA Management Comments and OIG Analysis	CISA経営陣のコメントとOIG分析
We obtained written comments from CISA on a draft of this report. In its comments, CISA indicated it appreciated our work in planning, conducting our review, and issuing this report. CISA will continue to ensure that cyber threat indicators are shared through the real-time process according to 6 United States Code 1504(a)(3)(B).	本報告書のドラフトについて、CISAから書面によるコメントを得た。そのコメントの中で、CISAは、本報告書の計画、レビューの実施、および発行における我々の作業を高く評価している。CISAは、米国コード6 1504(a)(3)(B)に従い、サイバー脅威指標がリアルタイムのプロセスを通じて共有されることを引き続き確保する。
We have reviewed CISA’s comments, as well as the technical comments previously submitted under separate cover, and updated the report as appropriate. One recommendation is open and unresolved, one recommendation is open and resolved, and two recommendations are closed and resolved. A summary of the CISA’s responses and our analysis follows.	我々は、CISAのコメント、および以前別カバーで提出された技術的なコメントを検討し、報告書を適宜更新した。勧告1件は未解決、勧告1件は未解決かつ解決済み、勧告2件は解決済みである。CISAの回答と我々の分析の概要は以下の通りである。
DHS Response to Recommendation #1: Concur. CISA’s Cybersecurity Division launched its next generation version of AIS, AIS 2.0, which created the capability to apply a CISA opinion score to cyber threat indicators. This score provides an assessment of whether the information can be corroborated with other sources available to the entity submitting the opinion to AIS. CISA publicly shared information on the opinion score methodology in the November 2021 document, Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment, V1.0.	勧告1に対するDHSの回答：同意する。CISAのサイバーセキュリティ部門は、AISの次世代バージョンであるAIS 2.0を立ち上げ、サイバー脅威指標にCISAの意見スコアを適用する機能を構築した。このスコアは、AIS に意見を提出する事業体が利用可能な他の情報源と情報の裏付けが取れるかどうかの評価を提供する。CISAは、2021年11月の文書「指標エンリッチメントに使用される自動指標共有（AIS）スコアリングフレームワーク、V1.0」において、オピニオンスコア手法に関する情報を公に共有した。
OIG Analysis: CISA’s actions are not responsive to this recommendation. The Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment, V1.0 emphasizes enriching cyber threat indicator information so that decision makers can prioritize actions and investigate indicator objects. Additionally, the document did not include any reporting or oversight capability requirements. This recommendation is open and unresolved until CISA provides documentation showing the total numbers of cyber threat indicators and defensive measures for a reporting period in support of its oversight of the AIS program.	OIG の分析：CISAの措置はこの勧告に対応していない。自動指標共有(AIS)スコアリングフレームワークV1.0は、意思決定者が行動の優先順位を付け、指標対象物を調査できるように、サイバー脅威指標情報を充実させることを強調している。さらに、この文書には、報告または監視能力の要件は含まれていなかった。この勧告は、CISAがAISプログラムの監視を支援するために、報告期間のサイバー脅威指標と防御策の総数を示す文書を提供するまで未解決である。
DHS Response to Recommendation #2: Concur. CISA’s Cybersecurity Division issued its Automated Indicator Sharing (AIS) 2.0 Submission Guide, V1.0, which was intended to increase participation in advance of the March 1, 2022, launch of AIS 2.0. Further, the submission guide can be used with the Automated Indicator Sharing (AIS) Profile: Requirements for STIX Submissions V1.0 document to help AIS participants understand all requirements for AIS submissions.	勧告2に対するDHSの回答：同意する。CISAのサイバーセキュリティ部門は、自動指標共有（AIS）2.0提出ガイドV1.0を発行したが、これは2022年3月1日のAIS2.0開始に先立ち、参加者を増やすことを意図したものである。さらに、この提出ガイドは自動指標共有（AIS）プロファイルと共に使用することができる：この文書は、2022年3月1日のAIS 2.0の開始に先立ち、AISへの参加者を増やすことを目的として作成されたものである。
OIG Analysis: CISA’s actions are responsive to this recommendation, after review of the Automated Indicator Sharing (AIS) 2.0 Submission Guide, V1.0 and the Automated Indicator Sharing (AIS) Profile: Requirements for STIX Submissions V1.0, we consider this recommendation closed and resolved.	OIG の分析：自動指標共有(AIS)2.0提出ガイドV1.0および自動指標共有(AIS)プロファイルV1.0を見直した結果、CISAの対応はこの勧告に対応している：STIX 提出のための要件 V1.0 を検討した結果、本勧告は終了し解決されたと判断した。
DHS Response to Recommendation #3: Concur. CISA’s Cybersecurity Division completed upgrades on March 1, 2022, for AIS to leverage the latest Structured Threat Information eXpression (STIX)/ Trusted Automated eXchange of Indicator Information (TAXII) 2.0 standards for capturing and communicating cyber threat intelligence. Further, on June 2, 2022, CISA demonstrated the AIS 2.0 operational capabilities for us to show that the requirements of this recommendation were met.	勧告3に対するDHSの回答：同意する。CISAのサイバーセキュリティ部門は2022年3月1日、サイバー脅威情報を収集・伝達するための最新の構造化脅威情報表現（Structured Threat Information eXpression：STIX）／信頼された自動指標交換（Trusted Automated eXchange of Indicator Information：TAXII）2.0標準を活用するためのAISのアップグレードを完了した。さらに2022年6月2日、CISAはこの勧告の要件が満たされていることを示すため、AIS 2.0の運用能力を実証した。
OIG Analysis: CISA’s actions are responsive to this recommendation, after two demonstrations to the OIG showing the upgrade to AIS 2.0 and its new operational capabilities. Additionally, the Automated Indicator Sharing (AIS) Scoring Framework Used for Indicator Enrichment, V1.0, the supported documentation for recommendation 1, should increase the quality of information of cyber threat indicators and defensive measures. We consider this recommendation closed and resolved.	OIG の分析：AIS2.0へのアップグレードとその新しい運用能力を示す2回のデモンストレーションをOIGに行った後、CISAの行動はこの勧告に対応している。さらに、勧告1の裏付け文書である「指標強化に使用される自動指標共有（AIS）スコアリングフレームワーク、V1.0」は、サイバー脅威指標と防御策の情報の質を高めるはずである。この勧告は終了し、解決されたと考える。
DHS Response to Recommendation #4: Concur. During the past 18 months, CISA's Cybersecurity Division has added additional contractual resources to better support these efforts and is also assessing a longer-term approach to allocate resources to fully support this critical mission area. Estimated Completion Date: January 31, 2023.	勧告4に対するDHSの回答：同意する。過去1年半の間に、CISAのサイバーセキュリティ部門は、これらの取り組みをよりよく支援するために契約上のリソースを追加し、また、この重要な任務分野を完全に支援するためのリソースを割り当てるための長期的なアプローチを評価している。完了予定日2023年1月31日
OIG Analysis: CISA’s actions are responsive to this recommendation, which will remain open and resolved until CISA provides a hiring plan and a long-term approach to address strategic planning, coordination, analysis, and performance measurement needed to mitigate cybersecurity risks.	OIG の分析：CISAの行動はこの勧告に対応しているが、CISAがサイバーセキュリティリスクを軽減するために必要な戦略的計画、調整、分析、パフォーマンス測定に対処するための雇用計画と長期的アプローチを提供するまで、この勧告は未解決のまま解決されない。

関係文書

2015年サイバーセキュリティ情報共有法

・[PDF]

ガイダンス文書

・Cybersecurity Information Sharing Act of 2015 Procedures and Guidance

Resource Materials

・2020.10 [PDF] Non-Federal Entity Sharing Guidance under the Cybersecurity Information Sharing Act of 2015

・[DOCX] 仮訳

・2021.01.04 [PDF] Privacy and Civil Liberties Final Guidelines: Cybersecurity Information Sharing Act of 2015

・[DOCX] 仮訳

・2016.02.16 [PDF] Federal Government Sharing Guidance under the Cybersecurity Information Sharing Act of 2015

・[DOCX] 仮訳

連携のまとめ...

4	Sec.103(a)(1)	Timely Sharing of Classified Cyber Threat Indicators and Defensive Measures	機密扱いのサイバー脅威指標と防御策の適時共有
	ECS	Department of Homeland Security (DHS) Enhanced Cybersecurity Services (ECS) Program	国土安全保障省 (DHS) 強化サイバーセキュリティ・サービス (ECS) プログラム	http://www.dhs.gov/enhanced-cybersecurity-services
	CS	Department of Defense (DoD) Defense Industrial Base (DIB) Cybersecurity (CS) Program –32 CFR Part 236	国防総省（DoD）防衛産業基盤（DIB）サイバーセキュリティ（CS）プログラム32 CFR Part 236,	http://dibnet.dod.mil/
	CISCP	DHS Cyber Information Sharing and Collaboration Program (CISCP)	DHS サイバー情報共有・協力プログラム（CISCP）	http://www.dhs.gov/ciscp
	NCIJTF	The National Cyber Investigative Joint Task Force (NCIJTF)	国家サイバー捜査官合同タスクフォース(NCIJTF)	https://www.fbi.gov/aboutus/investigate/cyber/ncijtf
5	Sec. 103(a)(2)	Timely Sharing of Declassified Cyber Threat Indicators and Defensive Measures	機密解除されたサイバー脅威指標と防御策の適時共有
	NCCIC	DHS National Cybersecurity and Communications Integration Center (NCCIC)	DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC)	https://www.dhs.gov/nccic
	FLASH	FBI Private Industry Notifications (PINs) and FBI Liaison Alert System (FLASH) Reports	FBI民間企業通知（PIN）およびFBI連携警告システム（FLASH）レポート
	CRISP	Department of Energy (DOE) Cybersecurity Risk Information Sharing Program (CRISP)	エネルギー省（DOE）サイバーセキュリティリスク情報共有プログラム（CRISP）
6	Sec. 103(a)(3)	Timely Sharing of Unclassified Cyber Threat Indicators and Defensive Measures	非機密のサイバー脅威指標と防御策の適時共有
	AIS	DHS Automated Indicator Sharing initiative (AIS)	DHS 自動指標共有イニシアチブ（AIS）	https://www.us-cert.gov/ais
	CISCP	DHS Cyber Information Sharing and Collaboration Program (CISCP) via AIS	AIS を通じた DHS サイバー情報共有・協力プログラム（CISCP）	http://www.dhs.gov/ciscp
	NCCIC	DHS National Cybersecurity and Communications Integration Center (NCCIC)	DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC)	https://www.dhs.gov/nccic
	CS	DOD Defense Industrial Base (DIB) Cybersecurity (CS) Program	DoD 防衛産業基盤（DIB）サイバーセキュリティ（CS）プログラム	http://dibnet.dod.mil/
	NCIJTF	FBI National Cyber Investigative Joint Task Force (NCIJTF)	FBI 国家サイバー捜査官合同タスクフォース（NCIJTF）	https://www.fbi.gov/aboutus/investigate/cyber/ncijtf
	CRISP	DOE Cybersecurity Risk Information Sharing Program (CRISP)	DOE サイバーセキュリティリスク情報共有プログラム（CRISP）
	CFM	DOE Cyber Fed Model (CFM) Program	DOEサイバー連邦モデル（CFM）プログラム
	CIG	Treasury’s Financial Sector Cyber Intelligence Group (CIG)	財務省の金融セクター・サイバー・インテリジェンス・グループ（CIG）
7	Sec. 103(a)(4)	Timely Sharing of Information Relating to Cyber Threats	サイバー脅威に関する情報の適時共有
	NCCIC	DHS National Cybersecurity and Communications Integration Center (NCCIC)	DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC)	https://www.dhs.gov/nccic
	DC3	DOD Defense Cyber Crime Center (DC3)	国防総省サイバー犯罪センター（DC3）	http://www.dc3.mil/
	NCIJTF	FBI National Cyber Investigative Joint Task Force (NCIJTF)	FBI 国家サイバー捜査官合同タスクフォース（NCIJTF）	https://www.fbi.gov/aboutus/investigate/cyber/ncijtf
8	Sec. 103(a)(5)	Periodic Sharing of Cybersecurity Best Practices	サイバーセキュリティのベストプラクティスの定期的共有
	NIST	Department of Commerce (DOC)’s National Institute of Standards and Technology (NIST)	商務省（DOC）の国立標準技術研究所（NIST）	http://www.nist.gov/itl/csd/
	C3	Critical Infrastructure Cyber Community (C3) Voluntary Program	重要インフラ・サイバー・コミュニティ (C3) 自主プログラム	https://www.dhs.gov/ccubedvp
	NCCIC	DHS National Cybersecurity and Communications Integration Center (NCCIC)	DHSサイバーセキュリティ・コミュニケーション統合センター(NCCIC)	https://www.dhs.gov/nccic
	CS	DOD Defense Industrial Base (DIB) Cybersecurity (CS) Program	DoD 防衛産業基盤（DIB）サイバーセキュリティ（CS）プログラム	http://dibnet.dod.mil/
		FBI	FBI
		National Security Agency (NSA) Information Assurance (IA) Guidance	国家安全保障局（NSA）情報保証（IA）ガイダンス	https://www.nsa.gov/ia/mitigation_guidance
		Small Business Administration Cybersecurity Landing Page	中小企業庁サイバーセキュリティ・ランディングページ	https://www.sba.gov/cybersecurity

・2016.06.15 [PDF] Final Procedures Related to the Receipt of Cyber Threat Indicators and Defensive Measures by the Federal Government

・[DOCX] 仮訳

● 情報セキュリティ気まぐれ日記

・2020.10.08 米国のISACとISAO （根拠指令、取りまとめ団体、ISAO標準文書など）

Continue reading "米国国土安全保障省内部監察官室 2015年サイバーセキュリティ情報共有法の下、情報共有の改善に向けてさらなる進展が必要"

2022.08.18 00:00 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.17

米国連邦取引委員会 (FTC) 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討 (2022.08.11)

こんにちは、丸山満彦です。

米国では、連邦レベルの個人情報保護法の制定についての議論がありますが、一方で、連邦取引委員会 (FTC) が、商用監視やデータセキュリティの強化に向けた規制改正についての、意見を募集していますね。。。

委員5名のうち3名が賛成、2名が反対の中での意見募集ということですかね。。。論点が色々とありますが、日本の政策検討の際にも参考になるものですね。。。

● Federal Trade Commission: FTC

・2022.08.11 FTC Explores Rules Cracking Down on Commercial Surveillance and Lax Data Security Practices

FTC Explores Rules Cracking Down on Commercial Surveillance and Lax Data Security Practices	FTC 商用監視と緩いデータ・セキュリティ慣行を取り締まる規則の検討
Agency Seeks Public Comment on Harms from Business of Collecting, Analyzing, and Monetizing Information About People	個人情報の収集・分析・収益化ビジネスによる弊害についてパブリックコメントを募集中
Note: The FTC hosted a virtual news conference on the ANPR announcement. View the webcast.	注：FTCは、ANPR発表に関するバーチャル・ニュース・カンファレンスを開催した。ウェブキャストを参照。
The Federal Trade Commission today announced it is exploring rules to crack down on harmful commercial surveillance and lax data security. Commercial surveillance is the business of collecting, analyzing, and profiting from information about people. Mass surveillance has heightened the risks and stakes of data breaches, deception, manipulation, and other abuses. The FTC’s Advance Notice of Proposed Rulemaking seeks public comment on the harms stemming from commercial surveillance and whether new rules are needed to protect people’s privacy and information.	連邦取引委員会は本日、有害な商用監視と緩いデータ・セキュリティを取り締まるための規則を検討していることを発表した。商用監視とは、人々に関する情報を収集、分析し、利益を得るビジネスである。大規模な監視により、データ漏洩、詐欺、不正操作、その他の悪用のリスクと利害関係が高まっている。FTCの規則制定提案の事前通知は、商用監視から生じる損害と、人々のプライバシーと情報を保護するために新しい規則が必要かどうかについて、パブリックコメントを求めている。
“Firms now collect personal data on individuals at a massive scale and in a stunning array of contexts,” said FTC Chair Lina M. Khan. “The growing digitization of our economy—coupled with business models that can incentivize endless hoovering up of sensitive user data and a vast expansion of how this data is used—means that potentially unlawful practices may be prevalent. Our goal today is to begin building a robust public record to inform whether the FTC should issue rules to address commercial surveillance and data security practices and what those rules should potentially look like.”	FTCのLina M. Khan委員長は、次のように述べている。「企業は現在、膨大な規模と驚くべき数の状況で、個人の個人データを収集している。経済のデジタル化の進展と、機密性の高いユーザーデータを際限なく収集し、その利用方法を大幅に拡大するビジネスモデルが相まって、潜在的に違法な行為が蔓延している可能性があることを意味する。今日の我々の目標は、FTCが商用監視とデータ・セキュリティの慣行に対処するための規則を発行すべきかどうか、またその規則がどのようなものであるべきかを知らせるために、確固たる公的記録の構築を始めることである。」
The business of commercial surveillance can incentivize companies to collect vast troves of consumer information, only a small fraction of which consumers proactively share. Companies reportedly surveil consumers while they are connected to the internet – every aspect of their online activity, their family and friend networks, browsing and purchase histories, location and physical movements, and a wide range of other personal details.	商用監視のビジネスは、企業が膨大な消費者情報を収集する動機となり得るが、消費者が主体的に共有するのはそのごく一部に過ぎない。企業は、消費者がインターネットに接続している間、消費者のオンライン活動のあらゆる側面、家族や友人のネットワーク、閲覧・購入履歴、場所、身体的な動き、その他さまざまな個人情報を監視すると言われている。
Companies use algorithms and automated systems to analyze the information they collect. And they make money by selling information through the massive, opaque market for consumer data, using it to place behavioral ads, or leveraging it to sell more products.	企業は収集した情報をアルゴリズムや自動化されたシステムで分析する。そして、消費者データの巨大で不透明な市場を通じて情報を販売し、それを使って行動ターゲティング広告を掲載したり、より多くの製品を販売するために活用することで利益を得ている。
The FTC is seeking comment on a wide range of concerns about commercial surveillance practices. For example, some companies fail to adequately secure the vast troves of consumer data they collect, putting that information at risk to hackers and data thieves. There is a growing body of evidence that some surveillance-based services may be addictive to children and lead to a wide variety of mental health and social harms.	FTCは、商用監視慣行に関する広範な懸念についてコメントを求めている。例えば、一部の企業は、収集した膨大な消費者データを適切に保護できず、その情報をハッカーやデータ窃盗犯の危険にさらしている。また、監視サービスの中には、子どもにとって中毒性があり、精神衛生や社会生活にさまざまな害をもたらす可能性があることを示す証拠も増えてきている。
While very little is known about the automated systems that analyze data companies collect, research suggests that these algorithms are prone to errors, bias, and inaccuracy. As a result, commercial surveillance practices may discriminate against consumers based on legally protected characteristics like race, gender, religion, and age, harming their ability to obtain housing, credit, employment, or other critical needs.	企業が収集したデータを分析する自動化されたシステムについてはほとんど知られていないが、研究によると、これらのアルゴリズムはエラー、バイアス、および不正確な傾向があることが示唆されている。その結果、商用監視慣行は、人種、性別、宗教、年齢などの法的に保護された特性に基づいて消費者を差別し、住宅、クレジット、雇用、またはその他の重要なニーズを得る能力を損なう可能性がある。
Other concerns stem from the ways in which companies make commercial surveillance difficult to avoid. Some companies require people to sign up for surveillance as a condition for service. Consumers who do not wish to have their personal information shared with other parties may be denied service– or required to pay a premium to keep their personal information private. After consumers sign up, companies may change their privacy terms going forward to allow for more expansive surveillance. Companies increasingly employ dark patterns or marketing to influence or coerce consumers into sharing personal information.	その他の懸念は、商用監視を回避することを企業が困難にしていることである。一部の企業は、サービスの条件として監視を受けることを要求している。個人情報を他者と共有することを望まない消費者は、サービスを拒否されたり、個人情報を非公開にするために割増料金を支払うよう要求されたりすることがある。消費者がサインアップした後、企業はより広範な監視を可能にするために、今後プライバシー規約を変更する可能性がある。企業は、消費者に影響を与えたり、個人情報を共有するよう強要したりするために、ダークパターンやマーケティングを採用することが増えている。
In the last two decades, the FTC has used its existing authority under the FTC Act to bring hundreds of enforcement actions against companies for privacy and data security violations. These include cases involving the sharing of health-related data with third parties, the collection and sharing of sensitive television viewing data for targeted advertising, and the failure to implement reasonable security measures to protect sensitive personal data such as Social Security numbers.	過去20年間、FTCはFTC法に基づく既存の権限を行使し、プライバシーやデータ・セキュリティの侵害を理由に、企業に対して何百もの強制訴訟を起こしてきた。その中には、健康関連データの第三者との共有、ターゲット広告のための機密性の高いテレビ視聴データの収集と共有、社会保障番号などの機密個人データを保護するための合理的なセキュリティ対策の不履行に関する事例が含まれている。
The FTC’s past work, however, suggests that enforcement of the FTC Act alone may not be enough to protect consumers. The FTC’s ability to deter unlawful conduct is limited because the agency generally lacks authority to seek financial penalties for initial violations of the FTC Act. By contrast, rules that establish clear privacy and data security requirements across the board and provide the Commission the authority to seek financial penalties for first-time violations could incentivize all companies to invest more consistently in compliant practices.	しかし、FTCのこれまでの活動は、FTC法の施行だけでは消費者保護に十分でない可能性を示唆している。FTCは一般に、FTC法違反の初期段階において金銭的な罰則を求める権限を持たないため、違法行為を抑止する能力は限定的である。これとは対照的に、プライバシーとデータ・セキュリティに関する明確な要件を全面的に定め、初回の違反に対して金銭的な罰則を求める権限を委員会に与える規則は、すべての企業がコンプライアンスに則った実践に一貫して投資する動機付けとなる可能性がある。
Information about how to submit comments on the FTC’s Advance Notice of Proposed Rulemaking is included in the Federal Register notice. The deadline for submitting comments will be 60 days after the notice is published in the Federal Register in the coming days. Submitted comments will be posted to Regulations.gov.	FTCの規則案事前通知に対する意見提出の方法については、連邦官報の通知に記載されている。意見提出の期限は、この通知が連邦官報に掲載されてから60日後の近日中である。提出された意見はRegulations.govに掲載される予定である。
The public will also have an opportunity to share their input on these topics during a virtual public forum on September 8, 2022.	また、2022年9月8日に開催されるバーチャル・パブリック・フォーラムで、一般の人々がこれらのテーマについて意見を交換する機会が設けられる。
The Commission voted 3-2 to publish the notice in the Federal Register. Chair Khan, Commissioner Rebecca Kelly Slaughter and Commissioner Alvaro Bedoya issued separate statements. Commissioners Noah Joshua Phillips and Christine S. Wilson voted no and issued dissenting statements.	委員会は、連邦官報に公告することを3対2で決定した。カーン委員長、レベッカ・ケリー・スローター委員、アルバロ・ベドヤ委員は、それぞれ個別に声明を発表した。Noah Joshua Phillips委員とChristine S. Wilson委員は反対票を投じ、反対声明を発表した。

カンファレンスのビデオ...

背景を理解するためには良いですね。。。35分ほどです。。。

・2022.08.11 FTC Press Conference Event

説明...

・2022.08.11 Commercial Surveillance and Data Security Rulemaking

Commercial Surveillance and Data Security Rulemaking	商用監視およびデータ・セキュリティに関する規則制定
File	ファイル
Text of the Notice of Proposed Rulemaking Regarding the Commercial Surveillance and Data Security (636.29 KB)	商用監視およびデータ・セキュリティに関する規則制定提案の通知本文 (636.29 KB)
Factsheet on Commercial Surveillance and Data Security (213.57 KB)	商用監視およびデータ・セキュリティに関するファクトシート (213.57 KB)
Factsheet on Public Participation in the Section 18 Rulemaking Process	第 18 条の規則策定プロセスへの一般参加に関するファクトシート
Participación Pública En El Proceso De Reglamentación De La FTC Conforme a La S…	商用監視およびデータ・セキュリティに関するFTCの規則策定プロセスへの市民参加に関するファクトシート
Overview	概要
Commercial surveillance is the business of collecting, analyzing, and profiting from information about people. Technologies essential to everyday life also enable near constant surveillance of people’s private lives. The volume of data collected exposes people to identity thieves and hackers. Mass surveillance has heightened the risks and stakes of errors, deception, manipulation, and other abuses. The Federal Trade Commission is asking the public to weigh in on whether new rules are needed to protect people’s privacy and information in the commercial surveillance economy.	商用監視とは、人々に関する情報を収集、分析し、利益を得るビジネスである。日常生活に不可欠なテクノロジーは、人々の私生活をほぼ常時監視することも可能にしている。収集された大量のデータは、人々をID窃盗やハッカーにさらす。大量の監視は、誤り、欺瞞、操作、その他の悪用のリスクと利害を高めている。連邦取引委員会は、商用監視経済において人々のプライバシーと情報を保護するために新たな規則が必要かどうかについて、一般市民の意見を求めている。
Public Forum	パブリック・フォーラム
The Commission is hosting a public forum on commercial surveillance and data security to be held virtually on Thursday, September 8, 2022, from 2 p.m. until 7:30 p.m. Members of the public are invited to attend. Learn more on the Commercial Surveillance and Data Security Public Forum page.	連邦取引委員会は、2022年9月8日（木）午後2時から午後7時30分まで、商用監視とデータ・セキュリティに関する公開フォーラムを仮想的に開催する。一般の方のご参加を待っている。詳しくは、商用監視とデータ・セキュリティに関するパブリックフォーラムのページを参照。
Submit a Comment	意見書の提出
The Advanced Notice of Proposed Rulemaking asks a series of questions about practices related to commercial surveillance and data security. The topic areas and the questions are listed below. Anyone from the public can submit a comment weighing in on the rulemaking, the general topics, or a specific question. The link to submit comments to the Federal Register on Regulations.gov will be posted as soon as it is available.	規則制定提案の事前通知では、商用監視およびデータ・セキュリティに関する慣行について一連の質問を投げかけている。トピックエリアと質問は以下の通りである。一般市民は誰でも、この規則策定、一般的なトピック、または特定の質問について意見を提出することができます。 Regulations.govの連邦官報にコメントを提出するためのリンクは、利用可能になり次第、掲載される予定である。
Harms to Consumers	消費者への影響
This ANPR has alluded to only a fraction of the potential consumer harms arising from lax data security or commercial surveillance practices, including those concerning physical security, economic injury, psychological harm, reputational injury, and unwanted intrusion.	このANPRは、物理的セキュリティ、経済的損害、心理的損害、評判への損害、不要な侵入など、緩いデータ・セキュリティや商用監視慣行から生じる消費者の潜在的損害のほんの一部に言及しているに過ぎない。
Which practices do companies use to surveil consumers?	企業は消費者を監視するためにどのような慣行を用いているか。
Which measures do companies use to protect consumer data?	企業は消費者データを保護するためにどのような手段を用いているか。
Which of these measures or practices are prevalent? Are some practices more prevalent in some sectors than in others?	これらの対策や慣行のうち、どれが一般的ですか。ある部門は他の部門より普及しているか。
How, if at all, do these commercial surveillance practices harm consumers or increase the risk of harm to consumers?	これらの商用監視慣行が消費者に害を及ぼす、あるいは消費者に害を及ぼすリスクを増大させるとすれば、それはどのようなものか。
Are there some harms that consumers may not easily discern or identify? Which are they?	消費者が容易に見分けがつかない、あるいは特定できないような危害もあるか。それはどのようなものか。
Are there some harms that consumers may not easily quantify or measure? Which are they?	消費者が容易に定量化または測定できないような危害がありますか。それらはどのようなものか。
How should the Commission identify and evaluate these commercial surveillance harms or potential harms? On which evidence or measures should the Commission rely to substantiate its claims of harm or risk of harm?	委員会は、これらの商用監視の害や潜在的な害をどのように特定し評価すべきか。委員会は、害や害のリスクの主張を立証するために、どのような証拠や手段に依拠すべきか?
Which areas or kinds of harm, if any, has the Commission failed to address through its enforcement actions?	委員会は、強制措置を通じて、どのような分野または種類の損害に対処してこなかったのか。
Has the Commission adequately addressed indirect pecuniary harms, including potential physical harms, psychological harms, reputational injuries, and unwanted intrusions?	委員会は、潜在的な身体的損害、心理的損害、評判への傷害、望ましくない侵入など、間接的な金銭的損害に適切に対処してきたか?
Which kinds of data should be subject to a potential trade regulation rule? Should it be limited to, for example, personally identifiable data, sensitive data, data about protected categories and their proxies, data that is linkable to a device, or non-aggregated data? Or should a potential rule be agnostic about kinds of data?	どのような種類のデータが潜在的通商規制ルールの対象となるべきか。例えば、個人を特定できるデータ、機密データ、保護されたカテゴリとそのプロキシに関するデータ、デバイスにリンクできるデータ、または非集計データに限定すべきか? あるいは、潜在的なルールはデータの種類を問わないものとすべきか。
Which, if any, commercial incentives and business models lead to lax data security measures or harmful commercial surveillance practices? Are some commercial incentives and business models more likely to protect consumers than others? On which checks, if any, do companies rely to ensure that they do not cause harm to consumers?	商業的なインセンティブやビジネスモデルがあるとすれば、それは緩いデータ・セキュリティ対策や有害な商用監視慣行につながるものか? ある種の商業的インセンティブやビジネスモデルは、他のものよりも消費者を保護する可能性が高いか? 企業は消費者に害を与えないことを保証するために、もしあるとすればどのようなチェックに頼っているのか。
Lax data security measures and harmful commercial surveillance injure different kinds of consumers (e.g., young people, workers, franchisees, small businesses, women, victims of stalking or domestic violence, racial minorities, the elderly) in different sectors (e.g., health, finance, employment) or in different segments or “stacks” of the internet economy. For example, harms arising from data security breaches in finance or healthcare may be different from those concerning discriminatory advertising on social media which may be different from those involving education technology. How, if at all, should potential new trade regulation rules address harms to different consumers across different sectors? Which commercial surveillance practices, if any, are unlawful such that new trade regulation rules should set out clear limitations or prohibitions on them? To what extent, if any, is a comprehensive regulatory approach better than a sectoral one for any given harm?	緩いデータ・セキュリティ対策や有害な商用監視は、異なる分野（健康、金融、雇用など）やインターネット経済の異なるセグメントや「スタック」において、異なる種類の消費者（若者、労働者、フランチャイズ店、中小企業、女性、ストーカーやDVの被害者、人種的マイノリティ、高齢者など）を傷付けるものである。例えば、金融や医療におけるデータ・セキュリティ侵害から生じる被害は、ソーシャルメディア上の差別的な広告に関するものと異なる可能性があり、また教育技術に関わるものとは異なる可能性がある。新しい通商規制ルールの可能性があるとすれば、異なるセクター間の異なる消費者への害にどのように対処すべきか。新しい通商規制規則が明確な制限や禁止を定めるべき違法な商用監視慣行があるとすれば、それはどのようなものか。ある危害に対して、セクター別の規制アプローチよりも包括的な規制アプローチの方が優れているとすれば、それはどの程度か。
Harms to Children	子供への被害
The Commission here invites comment on commercial surveillance practices or lax data security measures that affect children, including teenagers. Are there practices or measures to which children or teenagers are particularly vulnerable or susceptible? For instance, are children and teenagers more likely than adults to be manipulated by practices designed to encourage the sharing of personal information?	委員会は、10代の若者を含む子供たちに影響を与える商用監視慣行や緩いデータ・セキュリティ対策について意見を求めている。子どもやティーンエイジャーが特に被害を受けやすい、あるいは受けやすい慣行や対策はあるか。例えば、子供やティーンエイジャーは、個人情報の共有を促すような慣行によって操られる可能性が大人よりも高いか。
What types of commercial surveillance practices involving children and teens’ data are most concerning? For instance, given the reputational harms that teenagers may be characteristically less capable of anticipating than adults, to what extent should new trade regulation rules provide teenagers with an erasure mechanism in a similar way that COPPA provides for children under 13? Which measures beyond those required under COPPA would best protect children, including teenagers, from harmful commercial surveillance practices?	子どもやティーンエイジャーのデータに関わる商用監視慣行で、最も懸念されるのはどのようなものか。例えば、ティーンエイジャーは大人よりも風評被害を予測する能力が低いという特徴があることから、新しい取引規制ルールでは、COPPAが13歳未満の児童に対して提供しているのと同様の消去メカニズムをティーンエイジャーにどの程度提供すべきか。有害な商用監視慣行からティーンエイジャーを含む児童を最もよく保護できるのは、COPPAで要求される以上のどのような措置か。
In what circumstances, if any, is a company’s failure to provide children and teenagers with privacy protections, such as not providing privacy-protective settings by default, an unfair practice, even if the site or service is not targeted to minors? For example, should services that collect information from large numbers of children be required to provide them enhanced privacy protections regardless of whether the services are directed to them? Should services that do not target children and teenagers be required to take steps to determine the age of their users and provide additional protections for minors?	サイトやサービスが未成年者を対象としていない場合でも、プライバシー保護設定をデフォルトで提供しないなど、企業が子どもやティーンエイジャーにプライバシー保護を提供しないことが不公正行為になるとしたら、どのような状況か。例えば、多数の児童から情報を収集するサービスは、サービスが児童を対象としているか否かにかかわらず、児童に強化されたプライバシー保護を提供するよう求められるべきか。児童やティーンエイジャーを対象としていないサービスには、利用者の年齢を判断するための措置を講じ、未成年者のための追加的な保護を提供することを義務付けるべきか。
Which sites or services, if any, implement child-protective measures or settings even if they do not direct their content to children and teenagers?	児童やティーンエイジャーを対象としていなくても、児童保護のための措置や設定を実施しているサイトやサービスがあるとすれば、それはどのようなものか。
Do techniques that manipulate consumers into prolonging online activity (e.g., video autoplay, infinite or endless scroll, quantified public popularity) facilitate commercial surveillance of children and teenagers? If so, how? In which circumstances, if any, are a company’s use of those techniques on children and teenagers an unfair practice? For example, is it an unfair or deceptive practice when a company uses these techniques despite evidence or research linking them to clinical depression, anxiety, eating disorders, or suicidal ideation among children and teenagers?	消費者を操作してオンライン活動を長引かせる技術（例：ビデオの自動再生、無限または無限のスクロール、定量的な大衆人気）は、児童・青少年の商用監視を促進するか。もしそうなら、どのようにすべきか。企業が子どもやティーンエイジャーにこうした技術を使用することが不公正な行為であるとすれば、それはどのような状況か。例えば、子供やティーンエイジャーの臨床的なうつ病、不安、摂食障害、自殺念慮と関連する証拠や研究にもかかわらず、企業がこれらの技術を使用する場合、不公正または欺瞞的行為となるか。
To what extent should trade regulation rules distinguish between different age groups among children (e.g., 13 to 15, 16 to 17, etc.)?	取引規制のルールは、子どもの異なる年齢層（例：13歳から15歳、16歳から17歳など）をどの程度まで区別するべきか。
Given the lack of clarity about the workings of commercial surveillance behind the screen or display, is parental consent an efficacious way of ensuring child online privacy? Which other protections or mechanisms, if any, should the Commission consider?	画面やディスプレイの裏にある商用監視の仕組みが明確でない中、保護者の同意は子どものオンラインプライバシーを確保する有効な手段か。委員会が検討すべき他の保護や仕組みがあるとすれば、それはどのようなものか。
How extensive is the business-to-business market for children and teens’ data? In this vein, should new trade regulation rules set out clear limits on transferring, sharing, or monetizing children and teens’ personal information?	子供や十代の若者のデータを扱う企業間市場は、どの程度拡大しているのか。この観点から、新たな取引規制のルールとして、子供や十代の若者の個人情報の移転、共有、収益化について明確な制限を設けるべきか。
Should companies limit their uses of the information that they collect to the specific services for which children and teenagers or their parents sign up? Should new rules set out clear limits on personalized advertising to children and teenagers irrespective of parental consent? If so, on what basis? What harms stem from personalized advertising to children? What, if any, are the prevalent unfair or deceptive practices that result from personalized advertising to children and teenagers?	企業は、収集した情報の利用を、子どもやティーンエイジャー、あるいはその親が申し込んだ特定のサービスに限定すべきか。新しい規則では、保護者の同意に関係なく、子どもやティーンエイジャーにパーソナライズされた広告の明確な制限を設定する必要がありますか。もしそうなら、どのような根拠で。子ども向けのパーソナライズド広告から生じる弊害は何か。子供やティーンエイジャーに向けたパーソナライズド広告から生じる不公正または欺瞞的な慣行があるとすれば、それはどのようなものか。
Should new rules impose differing obligations to protect information collected from children depending on the risks of the particular collection practices?	新しい規則では、特定の収集方法のリスクに応じて、子どもから収集した情報を保護するための異なる義務を課すべきか。
How would potential rules that block or otherwise help to stem the spread of child sexual abuse material, including content-matching techniques, otherwise affect consumer privacy?	コンテンツ・マッチング技術など、児童性的虐待の資料の拡散を阻止するための潜在的なルールは、消費者のプライバシーにどのような影響を与えるか?
Costs and Benefits	費用と便益
The Commission invites comment on the relative costs and benefits of any current practice, as well as those for any responsive regulation. How should the Commission engage in this balancing in the context of commercial surveillance and data security? Which variables or outcomes should it consider in such an accounting? Which variables or outcomes are salient but hard to quantify as a material cost or benefit? How should the Commission ensure adequate weight is given to costs and benefits that are hard to quantify?	委員会は、現行の慣行のコストと便益、および対応する規制のコストと便益の相対的比較について意見を求めている。商用監視とデータ・セキュリティの観点から、委員会はどのようにこのバランスをとるべきか。このような会計処理において、どのような変数や結果を考慮すべきか。重要ではあるが、重要なコストや便益として定量化するのが難しい変数や成果は何か。委員会は、定量化が困難なコストと便益に十分な重みを与えることをどのように確保すべきか。
What is the right time horizon for evaluating the relative costs and benefits of existing or emergent commercial surveillance and data security practices? What is the right time horizon for evaluating the relative benefits and costs of regulation?	既存あるいは新たに出現した商用監視及びデータ・セキュリティ慣行の相対的コストと便益を評価するための適切な時間軸は何か。規制の相対的な便益とコストを評価するための適切な時間軸は何か。
To what extent would any given new trade regulation rule on data security or commercial surveillance impede or enhance innovation? To what extent would such rules enhance or impede the development of certain kinds of products, services, and applications over others?	データ・セキュリティや商用監視に関する新しい通商規制のルールは、どの程度まで技術革新を妨げたり、高めたりするか。そのようなルールは、ある種の製品、サービス、アプリケーションの開発をどの程度まで促進したり妨げたりするか。
Would any given new trade regulation rule on data security or commercial surveillance impede or enhance competition? Would any given rule entrench the potential dominance of one company or set of companies in ways that impede competition? If so, how and to what extent?	データ・セキュリティや商用監視に関する新しい通商規制のルールは、競争を妨げますか、それとも強めますか。どのような規則でも、競争を阻害するような形で、ある企業または一連の企業の潜在的な支配力を強固にしますか。もしそうなら、どのように、どの程度までか。
Should the analysis of cost and benefits differ in the context of information about children? If so, how?	コストと便益の分析は、子供に関する情報との関連で異なるべきか。もしそうなら、どのようにすべきか。
What are the benefits or costs of refraining from promulgating new rules on commercial surveillance or data security?	商用監視やデータ・セキュリティに関する新たな規則の発布を控えることの利点やコストは何か。
Regulations	規制
Rulemaking Generally	一般的な規則策定
Should the Commission pursue a Section 18 rulemaking on commercial surveillance and data security? To what extent are existing legal authorities and extralegal measures, including self-regulation, sufficient? To what extent, if at all, are self-regulatory principles effective?	委員会は、商用監視およびデータ・セキュリティに関する第18条の規定作りを追求すべきか。既存の法的権限や自主規制を含む法外な措置はどの程度まで十分か。自己規制の原則が有効であるとすれば、それはどの程度までか。
Data Security	データ・セキュリティ
Should the Commission commence a Section 18 rulemaking on data security? The Commission specifically seeks comment on how potential new trade regulation rules could require or help incentivize reasonable data security.	委員会はデータ・セキュリティに関する第18条の規定作成を開始すべきか。委員会は、新しい取引規制の規則の可能性が、合理的なデータ・セキュリティをどのように要求し、または奨励するのに役立つかについて特に意見を求めている。
Should, for example, new rules require businesses to implement administrative, technical, and physical data security measures, including encryption techniques, to protect against risks to the security, confidentiality, or integrity of covered data? If so, which measures? How granular should such measures be? Is there evidence of any impediments to implementing such measures?	例えば、新規則は、対象データの安全性、機密性、完全性に対するリスクから保護するために、暗号化技術を含む管理的、技術的、物理的なデータ・セキュリティ対策を実施するよう企業に求めるべきか。その場合、どのような対策が必要か。また、そのような対策はどの程度詳細であるべきか。そのような措置の実施を妨げる証拠があるか。
Should new rules codify the prohibition on deceptive claims about consumer data security, accordingly authorizing the Commission to seek civil penalties for first-time violations?	消費者データ・セキュリティに関する欺瞞的な主張の禁止を新規則で成文化し、それに伴って委員会が初回の違反に対して民事罰を求める権限を与えるべきか。
Do the data security requirements under COPPA or the GLBA Safeguards Rule offer any constructive guidance for a more general trade regulation rule on data security across sectors or in other specific sectors?	COPPAやGLBAセーフガード・ルールのデータ・セキュリティ要件は、分野横断的あるいは特定分野でのデータ・セキュリティに関するより一般的な通商規制ルールに対して建設的な指針を与えるか。
Should the Commission take into account other laws at the state and federal level (e.g., COPPA) that already include data security requirements. If so, how? Should the Commission take into account other governments’ requirements as to data security (e.g., GDPR). If so, how?	委員会は、すでにデータ・セキュリティ要件を含んでいる州および連邦レベルの他の法律（例えば、COPPA）を考慮すべきか。考慮する場合は、どのようにすべきか。委員会は、データ・セキュリティに関する他の政府の要求事項（例えば、GDPR）を考慮すべきか。考慮する場合は、どのようにすべきか。
To what extent, if at all, should the Commission require firms to certify that their data practices meet clear security standards? If so, who should set those standards, the FTC or a third-party entity?	委員会は、企業に対して、自社のデータ業務が明確なセキュリティ基準を満たしていることを証明するよう、どの程度まで要求すべきか。その場合、FTCと第三者機関のどちらがその基準を設定すべきか。
Collection, Use, Retention, and Transfer of Consumer Data	消費者データの収集、使用、保持、移転
How do companies collect consumers’ biometric information? What kinds of biometric information do companies collect? For what purposes do they collect and use it? Are consumers typically aware of that collection and use? What are the benefits and harms of these practices?	企業は消費者の生体情報をどのように収集しているのか。企業はどのような種類の生体情報を収集するのか。企業はどのような目的でそれを収集し使用するのか。消費者は通常、その収集と利用を認識しているか。これらの慣行の利点と弊害は何か。
Should the Commission consider limiting commercial surveillance practices that use or facilitate the use of facial recognition, fingerprinting, or other biometric technologies? If so, how?	委員会は、顔認識、指紋、その他の生体認証技術を使用する、あるいは使用を促進する商用監視慣行を制限することを検討すべきか。もしそうなら、どのようにすべきか。
To what extent, if at all, should the Commission limit companies that provide any specifically enumerated services (e.g., finance, healthcare, search, or social media) from owning or operating a business that engages in any specific commercial surveillance practices like personalized or targeted advertising? If so, how? What would the relative costs and benefits of such a rule be, given that consumers generally pay zero dollars for services that are financed through advertising?	委員会は、具体的に列挙されたサービス（金融、ヘルスケア、検索、ソーシャルメディアなど）を提供する企業が、個別化広告やターゲット広告のような特定の商用監視慣行に従事する事業を所有・運営することをどの程度まで制限すべきか。もしそうなら、どのようにすべきか。一般的に消費者は広告によって賄われるサービスに0ドルを支払うことを考えると、そのような規則の相対的なコストと利益はどのようになるか。
How accurate are the metrics on which internet companies rely to justify the rates that they charge to third-party advertisers? To what extent, if at all, should new rules limit targeted advertising and other commercial surveillance practices beyond the limitations already imposed by civil rights laws? If so, how? To what extent would such rules harm consumers, burden companies, stifle innovation or competition, or chill the distribution of lawful content?	インターネット企業が第三者広告主に請求する料金を正当化するために依拠する指標は、どの程度正確か。新しいルールは、市民権法によってすでに課されている制限を超えて、標的型広告やその他の商用監視慣行をどの程度まで制限すべきか? もしそうなら、どのようにすべきか。そのようなルールは、どの程度、消費者に害を与え、企業に負担をかけ、イノベーションや競争を阻害し、あるいは合法的なコンテンツの流通を冷え込ませるか。
To what alternative advertising practices, if any, would companies turn in the event new rules somehow limit first- or third-party targeting?	新しい規則がファーストまたはサードパーティのターゲティングを何らかの形で制限した場合、企業はどのような代替広告手法に転換するか。
How cost-effective is contextual advertising as compared to targeted advertising?	ターゲティング広告と比較して、コンテクスト広告の費用対効果はどの程度か。
To what extent, if at all, should new trade regulation rules impose limitations on companies’ collection, use, and retention of consumer data? Should they, for example, institute data minimization requirements or purpose limitations, i.e., limit companies from collecting, retaining, using, or transferring consumer data beyond a certain predefined point? Or, similarly, should they require companies to collect, retain, use, or transfer consumer data only to the extent necessary to deliver the specific service that a given individual consumer explicitly seeks or those that are compatible with that specific service? If so, how? How should it determine or define which uses are compatible? How, moreover, could the Commission discern which data are relevant to achieving certain purposes and no more?	新しい取引規制ルールは、企業の消費者データの収集、使用、保持にどの程度まで制限を課すべきか。例えば、データ最小化要件や目的制限、すなわち、企業が消費者データをある定義された時点を超えて収集、保持、使用、転送することを制限することを制定すべきか。あるいは同様に、消費者個人が明確に求めている特定のサービス、またはその特定のサービスと互換性のあるサービスを提供するために必要な範囲でのみ消費者データを収集、保持、使用、転送するよう企業に要求すべきか。もしそうなら、どのようにすべきか。また、どのような用途が適合するかは、どのように判断・定義すればよいのか。さらに、委員会は、どのデータが特定の目的の達成に関連し、それ以上でないかをどのように見分けることができるか。
By contrast, should new trade regulation rules restrict the period of time that companies collect or retain consumer data, irrespective of the different purposes to which it puts that data? If so, how should such rules define the relevant period?	これに対して、新たな取引規制の規則では、企業が消費者データを収集・保持する期間を、そのデータの使用目的の違いとは無関係に制限すべきなのか。もしそうなら、そのような規則は関連する期間をどのように定義すべきか。
Pursuant to a purpose limitation rule, how, if at all, should the Commission discern whether data that consumers give for one purpose has been only used for that specified purpose? To what extent, moreover, should the Commission permit use of consumer data that is compatible with, but distinct from, the purpose for which consumers explicitly give their data?	目的限定規則に従って、消費者がある目的のために提供したデータが、その特定の目的のためにのみ使用されたかどうかを、委員会は、もしあるとすれば、どのように見極めるべきか。さらに、委員会は、消費者が明示的にデータを提供した目的とは異なるが、それと両立する消費者データの利用をどの程度まで認めるべきなのか。
Or should new rules impose data minimization or purpose limitations only for certain designated practices or services? Should, for example, the Commission impose limits on data use for essential services such as finance, healthcare, or search—that is, should it restrict companies that provide these services from using, retaining, or transferring consumer data for any other service or commercial endeavor? If so, how?	あるいは、新たな規則は、特定の業務やサービスに対してのみ、データの最小化や目的の制限を課すべきか。例えば、委員会は、金融、医療、検索などの重要なサービスに対するデータ使用に制限を課すべきか。つまり、これらのサービスを提供する企業が、他のサービスや商業的努力のために消費者データを使用、保持、移転することを制限すべきか。その場合、どのように制限するか。
To what extent would data minimization requirements or purpose limitations protect consumer data security?	データ最小化要件または目的制限は、どの程度まで消費者データのセキュリティを保護するか。
To what extent would data minimization requirements or purpose limitations unduly hamper algorithmic decision-making or other algorithmic learning-based processes or techniques? To what extent would the benefits of a data minimization or purpose limitation rule be out of proportion to the potential harms to consumers and companies of such a rule?	データ最小化の要件または目的の制限は、アルゴリズムによる意思決定またはその他のアルゴリズムによる学習ベースのプロセスまたは技術をどの程度まで不当に妨げるか。データ最小化または目的制限の規則がもたらす利益は、その規則が消費者や企業にもたらす潜在的な損害とどの程度比例しないか。
How administrable are data minimization requirements or purpose limitations given the scale of commercial surveillance practices, information asymmetries, and the institutional resources such rules would require the Commission to deploy to ensure compliance? What do other jurisdictions have to teach about their relative effectiveness?	商用監視慣行の規模、情報の非対称性、およびそのような規則が遵守を確保するために委員会に要求する組織的リソースを考慮すると、データ最小化要件または目的制限はどの程度管理可能か。他の管轄区域は、その相対的な効果について何を教えてくれるのか。
What would be the effect of data minimization or purpose limitations on consumers’ ability to access services or content for which they are not currently charged out of pocket? Conversely, which costs, if any, would consumers bear if the Commission does not impose any such restrictions?	データの最小化や目的制限が、消費者が現在負担していないサービスやコンテンツにアクセスする能力にどのような影響を及ぼすか。逆に、委員会がそのような制限を課さない場合、消費者が負担するとすればどのようなコストか。
To what extent, if at all, should the Commission require firms to certify that their commercial surveillance practices meet clear standards concerning collection, use, retention, transfer, or monetization of consumer data? If promulgated, who should set those standards: the FTC, a third-party organization, or some other entity?	消費者データの収集、利用、保持、移転、収益化に関して、商用監視慣行が明確な基準を満たしていることを証明するよう、委員会は企業にどの程度まで要求するべきか。また、その基準は、FTC、第三者機関、その他、誰が設定するのか。
To what extent, if at all, do firms that now, by default, enable consumers to block other firms’ use of cookies and other persistent identifiers impede competition? To what extent do such measures protect consumer privacy, if at all? Should new trade regulation rules forbid the practice by, for example, requiring a form of interoperability or access to consumer data? Or should they permit or incentivize companies to limit other firms’ access to their consumers’ data? How would such rules interact with general concerns and potential remedies discussed elsewhere in this ANPR?	現在、デフォルトで、消費者が他の企業のクッキーと他の永続的な識別子の使用をブロックできるようにしている企業は、どの程度、競争を阻害しているか。そのような手段が消費者のプライバシーを保護するとすれば、それはどの程度ですか? 新しい取引規制ルールは、例えば、相互運用性や消費者データへのアクセスを要求することによって、そのような行為を禁止すべきか。あるいは、企業が他の企業の消費者データへのアクセスを制限することを許可したり、奨励したりすべきなのか。このような規則は、本ANPRの他の箇所で議論されている一般的な懸念や潜在的な救済措置とどのように関係するか。
Automated Systems	自動化されたシステム
How prevalent is algorithmic error? To what extent is algorithmic error inevitable? If it is inevitable, what are the benefits and costs of allowing companies to employ automated decision-making systems in critical areas, such as housing, credit, and employment? To what extent can companies mitigate algorithmic error in the absence of new trade regulation rules?	アルゴリズムによる誤りはどの程度存在するのか。アルゴリズムによる誤りはどの程度まで避けられないのか。もし避けられないのであれば、住宅、クレジット、雇用などの重要な分野で企業が自動意思決定システムを採用することの利点とコストはどの程度か。新たな取引規制のルールがない場合、企業はどの程度までアルゴリズムによるエラーを軽減することができるのか。
What are the best ways to measure algorithmic error? Is it more pronounced or happening with more frequency in some sectors than others?	アルゴリズムによるエラーを測定する最善の方法は何か。アルゴリズムによるエラーは、他のセクターよりもあるセクターでより顕著に、より頻繁に発生しているのでしょうか。
Does the weight that companies give to the outputs of automated decision-making systems overstate their reliability? If so, does that have the potential to lead to greater consumer harm when there are algorithmic errors?	企業が自動意思決定システムのアウトプットを重視することで、その信頼性が過大評価されていないか。もしそうなら、アルゴリズムによるエラーが発生した場合、消費者被害を拡大させる可能性があるのか。
To what extent, if at all, should new rules require companies to take specific steps to prevent algorithmic errors? If so, which steps? To what extent, if at all, should the Commission require firms to evaluate and certify that their reliance on automated decision-making meets clear standards concerning accuracy, validity, reliability, or error? If so, how? Who should set those standards, the FTC or a third-party entity? Or should new rules require businesses to evaluate and certify that the accuracy, validity, or reliability of their commercial surveillance practices are in accordance with their own published business policies?	新しい規則では、アルゴリズムによるエラーを防止するための具体的な措置を企業にどの程度まで求めるべきか。その場合、どのような手段をとるべきか。自動化された意思決定への依存が、正確性、妥当性、信頼性、エラーに関する明確な基準を満たしていることを評価し、証明することを企業に義務付けるべきとすれば、どの程度までか。もしそうであれば、どのようにすべきか。また、そのような基準は誰が設定するのか、FTCか第三者機関か。あるいは、新規則は、企業が公表している事業方針に従って、商用監視慣行の正確性、有効性、信頼性を評価し、証明することを求めるべきか。
To what extent, if at all, do consumers benefit from automated decision-making systems? Who is most likely to benefit? Who is most likely to be harmed or disadvantaged? To what extent do such practices violate Section 5 of the FTC Act?	自動意思決定システムから消費者が恩恵を受けるとすれば、それはどの程度か。誰が最も恩恵を受ける可能性が高いか。誰が最も損害を受ける可能性が高いか、または不利益を被る可能性が高いか。そのような行為は、どの程度までFTC法第5条に違反するか。
Could new rules help ensure that firms’ automated decision-making practices better protect non-English speaking communities from fraud and abusive data practices? If so, how?	新しい規則は、企業の自動的な意思決定が、非英語圏のコミュニティを詐欺や不正なデータ操作からより確実に保護することに役立ち得るか。もし可能であれば、どのようにすべきか。
If new rules restrict certain automated decision-making practices, which alternatives, if any, would take their place? Would these alternative techniques be less prone to error than the automated decision-making they replace?	新しい規則が特定の自動的意思決定手法を制限する場合、それに代わる代替手法があるとすれば、どのようなものか。これらの代替技術は、代替となる自動化された意思決定よりもエラーが起こりにくいか。
To what extent, if at all, should new rules forbid or limit the development, design, and use of automated decision-making systems that generate or otherwise facilitate outcomes that violate Section 5 of the FTC Act? Should such rules apply economy-wide or only in some sectors? If the latter, which ones? Should these rules be structured differently depending on the sector? If so, how?	FTC法第5条に違反する結果を生み出す、あるいは促進する自動意思決定システムの開発、設計、使用を新規則で禁止または制限すべきとすれば、それはどの程度までか。そのようなルールは経済全体に適用されるべきか、それとも一部の分野のみに適用されるべきか。後者であれば、どの分野か。これらのルールは、分野によって異なる構造とすべきか。もしそうなら、どのようにすべきか。
What would be the effect of restrictions on automated decision-making in product access, product features, product quality, or pricing? To what alternative forms of pricing would companies turn, if any?	製品アクセス、製品機能、製品品質、価格設定における自動的意思決定の制限は、どのような影響を及ぼすか。代替的な価格設定があるとすれば、企業はどのような形式に移行するか。
Which, if any, legal theories would support limits on the use of automated systems in targeted advertising given potential constitutional or other legal challenges?	ターゲット広告における自動化システムの利用を制限する際に、憲法やその他の法的な問題が生じる可能性があるとすれば、どのような法的理論がそれを支持するか。
To what extent, if at all, does the First Amendment bar or not bar the Commission from promulgating or enforcing rules concerning the ways in which companies personalize services or deliver targeted advertisements?	企業がサービスをパーソナライズしたり、ターゲット広告を配信する方法に関する規則を委員会が公布または施行することは、憲法修正第1条によりどの程度禁止されるか、または禁止されないか?
To what extent, if at all, does Section 230 of the Communications Act, 47 U.S.C. 230, bar the Commission from promulgating or enforcing rules concerning the ways in which companies use automated decision-making systems to, among other things, personalize services or deliver targeted advertisements?	通信法230条（47 U.S.C. 230）は、企業が自動意思決定システムを使用して、特にサービスのパーソナライズやターゲット広告を配信する方法に関する規則を委員会が公布または施行することを、どの程度まで禁じているか。
Discrimination	差別
How prevalent is algorithmic discrimination based on protected categories such as race, sex, and age? Is such discrimination more pronounced in some sectors than others? If so, which ones?	アルゴリズムによる差別は、人種、性別、年齢などの保護カテゴリーに基づき、どの程度広まっているのか。そのような差別は、ある部門と他の部門でより顕著なのか。もしそうなら、それはどの分野か。
How should the Commission evaluate or measure algorithmic discrimination? How does algorithmic discrimination affect consumers, directly and indirectly? To what extent, if at all, does algorithmic discrimination stifle innovation or competition?	委員会はアルゴリズムによる差別をどのように評価・測定すべきか。アルゴリズムによる差別は、直接的・間接的に消費者にどのような影響を与えるか。アルゴリズムによる差別は、技術革新や競争を阻害するとすれば、どの程度までか。
How should the Commission address such algorithmic discrimination? Should it consider new trade regulation rules that bar or somehow limit the deployment of any system that produces discrimination, irrespective of the data or processes on which those outcomes are based? If so, which standards should the Commission use to measure or evaluate disparate outcomes? How should the Commission analyze discrimination based on proxies for protected categories? How should the Commission analyze discrimination when more than one protected category is implicated (e.g., pregnant veteran or Black woman)?	委員会はこのようなアルゴリズム差別にどのように対処すべきか。差別を生むあらゆるシステムの展開を、その結果の根拠となったデータやプロセスに関係なく、禁止または何らかの形で制限する新たな取引規制ルールを検討すべきか。その場合、委員会はどのような基準で格差のある結果を測定・評価すべきか。委員会は、保護カテゴリのプロキシに基づく差別をどのように分析すべきか。複数の保護カテゴリーが関係している場合、委員会はどのように差別を分析すべきか（例：妊娠中の退役軍人や黒人女性）。
Should the Commission focus on harms based on protected classes? Should the Commission consider harms to other underserved groups that current law does not recognize as protected from discrimination (e.g., unhoused people or residents of rural communities)?	委員会は、保護されたカテゴリーに基づく害に焦点を当てるべきか。委員会は、現行法が差別からの保護を認めていない、その他の十分なサービスを受けていない集団に対する害を考慮すべきか（例：住居のない人々や農村地域の住民）。
Should the Commission consider new rules on algorithmic discrimination in areas where Congress has already explicitly legislated, such as housing, employment, labor, and consumer finance? Or should the Commission consider such rules addressing all sectors?	委員会は、住宅、雇用、労働、消費者金融など、議会がすでに明確に法制化している分野において、アルゴリズムによる差別に関する新たなルールを検討すべきか。あるいは、すべての分野を対象としたルールを検討すべきか。
How, if at all, would restrictions on discrimination by automated decision-making systems based on protected categories affect all consumers?	保護カテゴリーに基づく自動意思決定システムによる差別を制限することは、すべての消費者に影響を与えるとすれば、どのように影響するか。
To what extent, if at all, may the Commission rely on its unfairness authority under Section 5 to promulgate antidiscrimination rules? Should it? How, if at all, should antidiscrimination doctrine in other sectors or federal statutes relate to new rules?	委員会は、差別撤廃規則を公布するために、第5条に基づく不公正の権限にどの程度まで頼ることができるか。そうすべきなのか。他の分野や連邦法における反差別の原則は、新しい規則とどのように関連づけられるべきか。
How can the Commission’s expertise and authorities complement those of other civil rights agencies? How might a new rule ensure space for interagency collaboration?	委員会の専門知識と権限は、他の公民権機関のそれをどのように補完することができるか。新しい規則は、どのようにして省庁間の協力の場を確保することができるか。
Consumer Consent	消費者の同意
The Commission invites comment on the effectiveness and administrability of consumer consent to companies’ commercial surveillance and data security practices. Given the reported scale, opacity, and pervasiveness of existing commercial surveillance today, to what extent is consumer consent an effective way of evaluating whether a practice is unfair or deceptive? How should the Commission evaluate its effectiveness? In which circumstances, if any, is consumer consent likely to be effective? Which factors, if any, determine whether consumer consent is effective? To what extent does current law prohibit commercial surveillance practices, irrespective of whether consumers consent to them? To what extent should new trade regulation rules prohibit certain specific commercial surveillance practices, irrespective of whether consumers consent to them? To what extent should new trade regulation rules require firms to give consumers the choice of whether to be subject to commercial surveillance? To what extent should new trade regulation rules give consumers the choice of withdrawing their duly given prior consent? How demonstrable or substantial must consumer consent be if it is to remain a useful way of evaluating whether a commercial surveillance practice is unfair or deceptive? How should the Commission evaluate whether consumer consent is meaningful enough? What would be the effects on consumers of a rule that required firms to give consumers the choice of being subject to commercial surveillance or withdrawing that consent? When or how often should any given company offer consumers the choice? And for which practices should companies provide these options, if not all? Should the Commission require different consent standards for different consumer groups (e.g., parents of teenagers (as opposed to parents of pre-teens), elderly individuals, individuals in crisis or otherwise especially vulnerable to deception)? Have opt-out choices proved effective in protecting against commercial surveillance? If so, how and in what contexts? Should new trade regulation rules require companies to give consumers the choice of opting out of all or certain limited commercial surveillance practices? If so, for which practices or purposes should the provision of an opt-out choice be required? For example, to what extent should new rules require that consumers have the choice of opting out of all personalized or targeted advertising? How, if at all, should the Commission require companies to recognize or abide by each consumer’s respective choice about opting out of commercial surveillance practices—whether it be for all commercial surveillance practices or just some? How would any such rule affect consumers, given that they do not all have the same preference for the amount or kinds of personal information that they share?	委員会は、企業の商用監視およびデータ・セキュリティ慣行に対する消費者の同意の有効性と管理性について意見を募集している。現在の商用監視の規模、不透明さ、広まりを考えると、消費者の同意は、どの程度、不公正または欺瞞的行為であるかを評価する有効な方法であるか。委員会は、その有効性をどのように評価すべきか。消費者の同意が効果的であるとすれば、それはどのような状況か。消費者の同意が効果的かどうかを決定する要素があるとすれば、それは何か。現行法は、消費者の同意の有無にかかわらず、商用監視慣行をどの程度まで禁止しているか。新しい取引規制ルールは、消費者の同意の有無にかかわらず、特定の商用監視慣行をどの程度まで禁止すべきか。新しい取引規制ルールは、企業が消費者に商用監視の対象となるかどうかの選択肢を提供することをどの程度まで要求すべきか? 新しい取引規制ルールは、どの程度まで消費者に正当に与えられた事前同意を撤回する選択肢を与えるべきか。商用監視慣行が不公正または欺瞞的であるかどうかを評価する有用な方法であり続けるためには、消費者の同意はどの程度実証的または実質的でなければならないか? 消費者の同意が十分に意味のあるものかどうか、委員会はどのように評価すべきか。商用監視の対象となるか、同意を撤回するかという選択肢を消費者に与えることを企業に義務付ける規則は、消費者にどのような影響を与えるか。企業はいつ、どれくらいの頻度で消費者に選択肢を提供すべきなのか。また、すべてではないにせよ、どのような業務に対して企業がこれらの選択肢を提供すべきなのか。委員会は、消費者グループごとに異なる同意基準を要求すべきか（例えば、ティーンエイジャーの親（10〜12歳の子供の親と比べて）、高齢者、危機的状況にある個人、その他特に詐欺に遭いやすい個人など）。オプトアウトの選択肢は、商用監視から保護する上で有効であることが証明されているか。もしそうなら、どのように、どのような文脈で。新たな取引規制のルールとして、企業は消費者に対し、すべてあるいは特定の限定された商用監視慣行からオプトアウトする選択肢を提供するよう求めるべきか。その場合、どのような慣行や目的に対してオプトアウトの選択肢を提供することが要求されるべきか。例えば、新しい規則では、消費者がすべてのパーソナライズされた広告またはターゲット広告をオプトアウトする選択肢を持つことをどの程度まで要求すべきか。商用監視慣行のオプトアウトに関する消費者それぞれの選択（それがすべての商用監視慣行であれ、一部の行為であれ）を企業が認識し、遵守することを義務付けるべきとすれば、それはどのような方法か。消費者が共有する個人情報の量や種類に関して、全員が同じ選好を持っているわけではないことを考えると、そのような規則は消費者にどのような影響を与えるか。
Notice, Transparency, and Disclosure	通知、透明性、開示
To what extent should the Commission consider rules that require companies to make information available about their commercial surveillance practices? What kinds of information should new trade regulation rules require companies to make available and in what form?	委員会は、企業に対して、自社の商用監視慣行に関する情報を公開することを義務付ける規則をどの程度まで検討すべきか。新しい取引規制の規則では、どのような種類の情報をどのような形で提供するよう企業に求めるべきか。
In which contexts are transparency or disclosure requirements effective? In which contexts are they less effective?	透明性や情報開示の要件は、どのような状況において有効か。また、どのような状況においては、あまり効果的でないか。
Which, if any, mechanisms should the Commission use to require or incentivize companies to be forthcoming? Which, if any, mechanisms should the Commission use to verify the sufficiency, accuracy, or authenticity of the information that companies provide?	委員会が企業に対して情報公開を要求したり、インセンティブを与えるために用いるべきメカニズムがあるとすれば、それはどのようなものか。企業が提供する情報の十分性、正確性、信憑性を検証するために、委員会が利用すべきメカニズムがあるとすれば、それは何か。
The Commission invites comment on the nature of the opacity of different forms of commercial surveillance practices. On which technological or legal mechanisms do companies rely to shield their commercial surveillance practices from public scrutiny? Intellectual property protections, including trade secrets, for example, limit the involuntary public disclosure of the assets on which companies rely to deliver products, services, content, or advertisements. How should the Commission address, if at all, these potential limitations?	委員会は、さまざまな形態の商用監視慣行の不透明さの性質についてコメントを募集している。企業は、どのような技術的または法的メカニズムに依拠して、商用監視慣行を世間の目から隠しているのか。例えば、企業秘密を含む知的財産の保護は、企業が製品、サービス、コンテンツ、広告を提供するために依存している資産の不本意な一般公開を制限するものである。委員会は、このような潜在的な制限に対処するとすれば、どのように対処すべきか。
To what extent should the Commission rely on third-party intermediaries (e.g., government officials, journalists, academics, or auditors) to help facilitate new disclosure rules?	委員会は、新しい開示規則の促進を支援するために、どの程度、第三者の仲介者（政府関係者、ジャーナリスト、学者、監査人など）に頼るべきか。
To what extent, moreover, should the Commission consider the proprietary or competitive interests of covered companies in deciding what role such third-party auditors or researchers should play in administering disclosure requirements?	さらに、委員会は、開示規則の運用においてそのような第三者の監査人や研究者がどのような役割を果たすべきかを決定する際に、対象企業の所有権や競争上の利益をどの程度まで考慮すべきか。
To what extent should trade regulation rules, if at all, require companies to explain (1) the data they use, (2) how they collect, retain, disclose, or transfer that data, (3) how they choose to implement any given automated decision-making system or process to analyze or process the data, including the consideration of alternative methods, (4) how they process or use that data to reach a decision, (5) whether they rely on a third-party vendor to make such decisions, (6) the impacts of their commercial surveillance practices, including disparities or other distributional outcomes among consumers, and (7) risk mitigation measures to address potential consumer harms?	取引規制に関する規則は、もしあるとすれば、企業に対して、(1) 使用するデータ、(2) そのデータの収集、保持、開示、移転方法、(3) データを分析・処理するための所定の自動意思決定システムまたはプロセスの導入方法（代替方法の検討も含む）について、どの程度説明するよう求めるべきか。(4) 意思決定に至るためにデータをどのように処理または使用するか、(5) そのような意思決定を行うために第三者ベンダーに依存しているか、(6) 消費者間の格差またはその他の分配結果を含む、彼らの商用監視慣行の影響、および (7) 潜在的な消費者被害に対処するためのリスク軽減措置?
Disclosures such as these might not be comprehensible to many audiences. Should new rules, if promulgated, require plain-spoken explanations? How effective could such explanations be, no matter how plain? To what extent, if at all, should new rules detail such requirements?	これらのような開示は、多くの聴衆にとって理解しやすいものではないかもしれない。新規則を制定する場合、平易な説明を義務付けるべきか。そのような説明は、どんなに平易であっても、どの程度効果的でありうるか。また、新規則では、どの程度まで、そのような要件を詳細に規定すべきか。
Disclosure requirements could vary depending on the nature of the service or potential for harm. A potential new trade regulation rule could, for example, require different kinds of disclosure tools depending on the nature of the data or practices at issue (e.g., collection, retention, or transfer) or the sector (e.g., consumer credit, housing, or work). Or the agency could impose transparency measures that require in-depth accounting (e.g., impact assessments) or evaluation against externally developed standards (e.g., third-party auditing). How, if at all, should the Commission implement and enforce such rules?	情報開示の要件は、サービスの性質や損害の可能性に応じて異なる可能性がある。例えば、潜在的な新規取引規制ルールは、問題となっているデータまたは慣行の性質（例えば、収集、保持、移転）または分野（例えば、消費者信用、住宅、または仕事）に応じて、異なる種類の開示ツールを要求することができます。あるいは、綿密な会計処理（影響評価など）や、外部で策定された基準に対する評価（第三者監査など）を必要とする透明性の高い措置を課すことも可能である。委員会がそのような規則を実施・執行すべきとすれば、それはどのようなものか。
To what extent should the Commission, if at all, make regular self-reporting, third-party audits or assessments, or self-administered impact assessments about commercial surveillance practices a standing obligation? How frequently, if at all, should the Commission require companies to disclose such materials publicly? If it is not a standing obligation, what should trigger the publication of such materials?	委員会は、商用監視慣行に関する定期的な自己報告、第三者による監査または評価、あるいは自ら行う影響評価を、あるとすればどの程度まで恒常的な義務として課すべきか。委員会は、もしあるとすれば、どの程度の頻度で企業にそのような資料を公に開示するよう求めるべきか。継続的な義務でない場合、何がそのような資料の公表のきっかけとなるか。
To what extent do companies have the capacity to provide any of the above information? Given the potential cost of such disclosure requirements, should trade regulation rules exempt certain companies due to their size or the nature of the consumer data at issue?	企業には上記の情報を提供する能力がどの程度あるのか。そのような開示義務に潜在的なコストがかかることを考えると、取引規制規則は、その規模や問題となっている消費者データの性質により、特定の企業を除外すべきか。
Remedies	救済措置
How should the FTC’s authority to implement remedies under the Act determine the form or substance of any potential new trade regulation rules on commercial surveillance? Should new rules enumerate specific forms of relief or damages that are not explicit in the FTC Act but that are within the Commission’s authority? For example, should a potential new trade regulation rule on commercial surveillance explicitly identify algorithmic disgorgement, a remedy that forbids companies from profiting from unlawful practices related to their use of automated systems, as a potential remedy? Which, if any, other remedial tools should new trade regulation rules on commercial surveillance explicitly identify? Is there a limit to the Commission’s authority to implement remedies by regulation?	本法に基づく救済措置を実施するFTCの権限によって、商用監視に関する新たな取引規制規則の可能性の形式または内容をどのように決定すべきか。FTC法には明示されていないが、委員会の権限内である特定の形式の救済や損害賠償を新しい規則で列挙すべきか。例えば、商用監視に関する新たな取引規制規則の候補として、企業が自動化システムの使用に関連した違法行為から利益を得ることを禁じる救済措置であるアルゴリズム損害賠償を潜在的救済措置として明示すべきか。商用監視に関する新しい取引規制の規則で、その他の救済手段を明示すべきものがあるとすれば、それは何か。規制によって救済策を実施する委員会の権限に限界はあるか。
Obsolescence	陳腐化
The Commission is alert to the potential obsolescence of any rulemaking. As important as targeted advertising is to today’s internet economy, for example, it is possible that its role may wane. Companies and other stakeholders are exploring new business models. Such changes would have notable collateral consequences for companies that have come to rely on the third-party advertising model, including and especially news publishing. These developments in online advertising marketplace are just one example. How should the Commission account for changes in business models in advertising as well as other commercial surveillance practices?	委員会は、いかなる規則制定も陳腐化する可能性があることに留意している。例えば、ターゲット広告が今日のインターネット経済にとって重要であるのと同様に、その役割が衰退する可能性はある。企業やその他の関係者は、新しいビジネスモデルを模索している。そのような変化は、特にニュース出版を含む、第三者広告モデルに依存するようになった企業にとって、顕著な付随的影響をもたらすだろう。オンライン広告市場におけるこうした動きは、その一例に過ぎない。委員会は、広告におけるビジネスモデルの変化だけでなく、その他の商用監視慣行についても、どのように考慮すべきなのか。

商用監視およびデータ・セキュリティに関する規則制定提案の通知の本文...

・[PDF] Text of the Notice of Proposed Rulemaking Regarding the Commercial Surveillance and Data Security

・[DOCX] 仮対訳

読んで面白いのは、こちらですかね。。。委員の意見（3名が賛成、2名が反対...）

賛成派＝連邦法の議論はあるものの、いつできるかわからない。できるまで待てない。今のうちに強化したらどうか。。。

反対派＝連邦法の議論があるのだから、それに任せれば良い。そもそも、法律でもないのに、FTCが規制を強化するのはいかがなものか。。。

という感じかなぁ。。。

賛成派

・[PDF] Lina M. Khan

・[PDF] Christine S. Wilson

・[PDF] Rebecca Kelly Slaughter

反対派

・[PDF] Noah Joshua Phillips

・[PDF] Christine S. Wilson

まとめて

・[DOCX] 仮対訳

ADPPAについては、、、

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.22 米国データプライバシー保護法 (ADPPA) はどうなるか

2022.08.17 07:27 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

欧州データ保護委員会(EDPB) 意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告

こんにちは、丸山満彦です。

欧州データ保護委員会(EDPB)が、意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告を公表していますね。。。

● EUROPEAN DATA PROTECTION SUPERVISOR

・2022.08.09 Cross-border data flows in the Agreement between the EU and Japan for an Economic Partnership

・[PDF]

Opinion 17/2022 On the Recommendation for a Council Decision authorizing the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership	意見書 17/2022 欧州連合と日本との間の経済連携協定に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を承認する理事会決定のための勧告
The European Data Protection Supervisor (EDPS) is an independent institution of the EU, responsible under Article 52(2) of Regulation 2018/1725 ‘With respect to the processing of personal data… for ensuring that the fundamental rights and freedoms of natural persons, and in particular their right to data protection, are respected by Union institutions and bodies’, and under Article 52(3)‘…for advising Union institutions and bodies and data subjects on all matters concerning the processing of personal data’.	欧州データ保護監督官（EDPS）はEUの独立機関であり、規則2018/1725の第52条2項「個人データの処理に関して...自然人の基本的権利と自由、特にデータ保護に対する権利が、EUの機関および団体によって尊重されるようにすること」、および同条3項「個人データの処理に関するあらゆる事柄についてEU機関および団体とデータ主体に助言すること」に基づいて、責任を負っている。
Wojciech Rafał Wiewiórowski was appointed as Supervisor on 5 December 2019 for a term of five years.	Wojciech Rafał Wiewiórowskiは、2019年12月5日に5年の任期で監督官に任命された。
Under Article 42(1) of Regulation 2018/1725, the Commission shall ‘following the adoption of proposals for a legislative act, of recommendations or of proposals to the Council pursuant to Article 218 TFEU or when preparing delegated acts or implementing acts, consult the EDPS where there is an impact on the protection of individuals’ rights and freedoms with regard to the processing of personal data’.	規則2018/1725の第42条1項に基づき、欧州委員会は「立法行為の提案、勧告、またはTFEU第218条に基づく理事会への提案の採択後、または委任行為もしくは実施行為の作成時に、個人データの処理に関して個人の権利と自由の保護に影響がある場合、EDPSに相談する」ものとされている。
This Opinion relates to the Commission Recommendation for a Council Decision authorising the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership. This Opinion does not preclude any future additional comments or recommendations by the EDPS, in particular if further issues are identified or new information becomes available. Furthermore, this Opinion is without prejudice to any future action that may be taken by the EDPS in the exercise of his powers pursuant to Regulation (EU) 2018/1725. This Opinion is limited to the provisions of the Recommendation that are relevant from a data protection perspective.	本意見は、日本と欧州連合の経済連携協定に国境を越えたデータの流れに関する条項を盛り込むための交渉開始を承認する理事会決定に関する欧州委員会勧告に関するものである。本意見は、EDPSによる将来の追加的なコメントや勧告、特に、さらなる問題の発見や新たな情報の入手を妨げるものではない。さらに、本意見は、規則（EU）2018/1725に基づく権限の行使においてEDPSが将来取り得る行動を害するものではない。本意見は、データ保護の観点から関連する勧告の規定に限定される。
Executive Summary	エグゼクティブサマリー
On 12 July 2022, the Commission issued a Recommendation for a Council Decision authorising the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership.	2022年7月12日、欧州委員会は、欧州連合と日本との経済連携協定に国境を越えたデータの流れに関する条項を盛り込むための交渉開始を許可する理事会決定のための勧告を発表した。
The Agreement for an Economic Partnership between the European Union and Japan was signed on 17 July 2018. The objective of this Agreement is, in particular, to remove the vast majority of duties paid by EU and Japanese companies and other technical and regulatory trade barriers.	2018年7月17日、欧州連合と日本との間の経済連携に関する協定が締結された。この協定の目的は、特に、EUと日本の企業が負う義務の大部分と、その他の技術的・規制的な通商障壁を撤廃することである。
On 23 January 2019, Japan was granted an adequacy finding by the Commission. Consequently, transfers of personal data from a controller or a processor in the European Economic Area (EEA) to organisations in Japan covered by the adequacy decision may take place without the need to obtain any further authorisation.	2019年1月23日、日本は欧州委員会から十分性認定を受けた。その結果、欧州経済領域（EEA）内の管理者または処理者から、十分性判断の対象となる日本国内の組織への個人データの移転は、さらなる認可を得る必要なく行うことができるようになった。
The EDPS takes note that the negotiations would exclusively concern cross-border data flows. Having regard to the fact that Japan has already been granted an adequacy finding by the Commission in 2019, the EDPS recommends detailing the reasons why, despite this adequacy decision, further negotiations on cross-border data flows are considered necessary.	EDPSは、交渉が国境を越えたデータの流れにのみ関係することに留意している。日本が2019年に欧州委員会から既に十分性認定を受けていることを考慮し、EDPSは、今回の十分性決定にもかかわらず、国境を越えたデータの流れに関するさらなる交渉が必要と考えられる理由を詳細に説明することを勧告する。
The EPDS welcomes the specification that the provisions on cross-border data flows should be coherent with the horizontal provisions for cross-border data flows and personal data protection in trade negotiations. The horizontal provisions, published by the Commission in July 2018, represent a balanced compromise between public and private interests as they allow the EU to tackle protectionist practices in third countries in relation to digital trade, while ensuring that trade agreements cannot be used to challenge the high level of protection guaranteed by the Charter of fundamental rights of the EU and the EU legislation on the protection of personal data.	EPDSは、国境を越えたデータフローに関する規定は、通商交渉における国境を越えたデータフローと個人データ保護に関する水平規定と首尾一貫しているべきであるという仕様を歓迎する。2018年7月に欧州委員会が発表した水平規定は、EUの基本権憲章と個人データの保護に関するEUの法律が保証する高いレベルの保護に挑戦するために通商協定を利用できないようにしつつ、デジタル通商に関連して第三国の保護主義的慣行に取り組むことを可能にし、公と私の利益の間でバランスのとれた妥協点を示している。
The EDPS understands the negotiating directives and the horizontal provisions as allowing, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA. The EDPS recalls that, together with the EDPB, he recently recommended that controllers and processors, established in the EU/EEA and processing personal electronic health data within the scope of the Commission’s proposal for a Regulation on the European Health Data Space, should be required to store this data in the EU/EEA, without prejudice to the possibility to transfer personal electronic health data in compliance with Chapter V GDPR. For the avoidance of doubt, the EDPS recommends to expressly clarify in the negotiating directives that the negotiated rules should not prevent the EU or the Member States from adopting, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA.	EDPSは、交渉指令と水平的規定は、正当に正当化された場合には、管理者や処理者が個人データをEU/EEAに保管することを要求するような措置を認めるものであると理解している。EDPSは、EDPBとともに、最近、EU/EEAに設立され、欧州委員会の欧州医療データ空間に関する規則の提案の範囲内で個人電子医療データを処理する管理者及び処理者に対し、GDPR第5章に従って個人電子医療データを移転する可能性を損なうことなく、当該データをEU/EEAに保管するよう求めるべきであると勧告したことを想起している。疑念を避けるため、EDPSは、交渉による規則が、EUまたは加盟国が、正当に正当化された場合に、管理者または処理者にEU/EEAでの個人データの保存を義務づける措置を採用することを妨げるべきではないことを交渉指令で明示的に明確にすることを勧告している。
Contents	内容
1. Introduction	1. はじめに
2. General remarks	2. 一般的な注意事項
3. Horizontal provisions on cross-border data flows	3. 国境を越えたデータフローに関する水平規定
4. Reference to this Opinion	4. 本意見書への言及
5. Conclusions	5. 結論
THE EUROPEAN DATA PROTECTION SUPERVISOR,	欧州データ保護監督機構
Having regard to the Treaty on the Functioning of the European Union,	欧州連合の機能に関する条約に留意して
Having regard to Regulation (EU) No 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data (‘EUDPR’)[1], and in particular Article 42(1) thereof,	欧州連合の機関、団体、事務所及び機関による個人データの処理に関する自然人の保護及び当該データの自由な移動に関する2018年10月23日の欧州議会及び理事会の規則（EU）No 2018/1725（以下「EUDPR」）［1］、特にその42条（1）に関して考慮し、
HAS ADOPTED THE FOLLOWING OPINION:	以下の意見を採択した。
1. Introduction	1. はじめに
1. On 12 July 2022, the European Commission (‘the Commission’) issued a Recommendation for a Council Decision authorising the opening of negotiations for the inclusion of provisions on cross-border data flows in the Agreement between the European Union and Japan for an Economic Partnership[2] (‘the Recommendation’).	1. 2022年7月12日、欧州委員会（以下、「委員会」）は、欧州連合と日本との経済連携協定[2]に国境を越えたデータの流れに関する規定を盛り込むための交渉開始を認める理事会決定のための勧告（以下、「勧告」）を発表した。
2. By decision of 29 November 2012, the Council approved negotiating directives for the Commission to negotiate a free trade agreement with Japan, on the basis of which the Commission negotiated the Agreement between the European Union and Japan for an Economic Partnership, signed on 17 July 2018[3] (‘the Agreement’). The Agreement entered into force on 1 February 2019. The objective of the Agreement is, in particular, to remove the vast majority of duties paid by EU and Japanese companies and other technical and regulatory trade barriers.	2. 2012年11月29日の決定により、理事会は、欧州委員会が日本との自由通商協定について交渉するための交渉指令を承認し、それに基づいて欧州委員会は、2018年7月17日に署名された「経済連携のための欧州連合と日本との間の協定」[3]（以下「本協定」）について交渉した。本協定は2019年2月1日に発効した。本協定の目的は、特に、EUと日本の企業が負う義務の大部分と、その他の技術的・規制的な通商障壁を撤廃することである。
3. Chapter 8 of the Agreement contains provisions on trade in services, investment liberalisation and electronic commerce. Article 8.81 of the Agreement, which relates to the free flow of data, provides that '[t]he Parties shall reassess within three years of the date of entry into force of this Agreement the need for inclusion of provisions on the free flow of data into this Agreement’. In its meeting of 25 March 2022, the Joint Committee established by Article 22.1 of the Agreement examined whether the economic partnership between the European Union and Japan would benefit from the inclusion of provisions on cross-border data flows in the Agreement. Building on that examination, the representatives of the European Union and Japan, at the 28th EU-Japan summit (in May 2022), committed to consider the launch of the negotiations needed for such inclusion[4].	3. 協定の第8章には、サービス通商、投資自由化、電子商取引に関する規定が含まれている。データの自由な流れに関する協定第8条81項では、「両当事者は、この協定の発効日から3年以内に、データの自由な流れに関する規定をこの協定に含めることの必要性を再評価する」と規定されている。2022年3月25日の会合で、協定第22条第1項により設置された合同委員会は、国境を越えたデータの流れに関する規定を協定に含めることによって、欧州連合と日本の経済連携が利益を得るかどうかを検討した。その検討を踏まえて、第28回日・EU定期首脳協議（2022年5月）において、欧州連合と日本の代表者は、そのような盛り込みに必要な交渉の開始を検討することを約束した[4]。
4. As made clear by its title, the objective of the Recommendation is to authorise the Commission to open negotiations with Japan with the view to include provisions on data flows into the Agreement.	4. この勧告の目的は、その表題からも明らかなように、データの流れに関する条項を協定に盛り込むことを視野に入れ、欧州委員会が日本との交渉を開始する権限を与えることである。
5. The present Opinion of the EDPS is issued in response to a consultation by the Commission of 22 July 2022, pursuant to Article 42(1) of EUDPR.	5. EDPSの本意見は、EUDPR第42条1項に基づき、2022年7月22日に欧州委員会が行った諮問に応えるために出されたものである。
2. General remarks	2. 総論
6. The EDPS has long taken the view that, as the protection of personal data is a fundamental right in the Union, it cannot be subject to negotiations in the context of EU trade agreements. It is for the EU alone to decide how to implement fundamental rights protections in Union law. The Union cannot and should not embark on any international trade commitments that are incompatible with its domestic data protection legislation. Dialogues on data protection and trade negotiations with third countries can complement each other but must follow separate tracks. Personal data flows between the EU and third countries should be enabled by using the mechanisms provided under the EU data protection legislation[5].	6. EDPSは、個人データの保護はEUにおける基本的権利であるため、EUの通商協定との関連で交渉の対象とすることはできないとの見解を長年示してきた。基本的権利の保護をEUの法律でどのように実現するかを決めるのはEUだけである。EUは、国内のデータ保護法と相容れない国際通商の約束に乗り出すことはできないし、そうすべきでもない。データ保護に関する対話と第三国との通商交渉は、互いに補完し合うことができますが、別々の道を歩む必要があります。EUと第三国間の個人データの流れは、EUデータ保護法[5]の下で提供されるメカニズムを利用することによって可能になるはずです。
7. In this regard, the EDPS positively notes that Japan has already been granted an adequacy finding by the Commission on 23 January 2019 (‘the Adequacy Decision)^[6]. Consequently, transfers of personal data from a controller or a processor in the European Economic Area (EEA) to organisations in Japan covered by the Adequacy Decision may take place without the need to obtain any further authorisation^[7].	7. この点、EDPSは、日本が既に2019年1月23日に欧州委員会から十分性認定（「十分性決定」）[6]を受けていることに積極的に留意している。その結果、欧州経済領域（EEA）内の管理者または処理者から、適切性判断の対象となる日本国内の組織への個人データの移転は、さらなる認可を得る必要なく実施することができます[7]。
8. In this context, the EDPS takes note that the negotiating directives, included in the annex to the Recommendation, clarify that the provisions, to be negotiated and included in the Agreement, will ‘exclusively concern cross-border data flows between the European Union and Japan’ (emphasis added). In view of the Adequacy Decision, the need for having additional rules covering cross-border data flows should be expressed in more detail so that the justification for an amendment of the Agreement is made clearer[8]. In other words, the EDPS recommends to further explain why, despite the Adequacy Decision, further negotiations on cross-border data flows are considered to be necessary.	8. この文脈で、EDPSは、勧告の付属書に含まれる交渉指令が、交渉され協定に含まれることになる条項が「専ら欧州連合と日本間の国境を越えたデータの流れに関係する」（強調）ことを明らかにしていることに留意している。Adequacy Decisionを考慮し、国境を越えたデータフローをカバーする追加ルールの必要性をより詳細に表現し、協定改正の正当性をより明確にする必要がある[8]。すなわち、EDPSは、Adequacy Decisionにもかかわらず、なぜ国境を越えたデータフローに関する更なる交渉が必要であると考えられるのか、その理由をさらに説明することを推奨している。
3. Horizontal provisions on cross-border data flows	3. 国境を越えたデータ・フローに関する水平規定
9. On 31 January 2018, the European Commission endorsed horizontal provisions for crossborder data flows and personal data protection in trade negotiations (‘the Horizontal Provisions’), which were published in July 2018[9].	9. 2018年1月31日、欧州委員会は、通商交渉における国境を越えたデータの流れと個人データ保護に関する水平規定（以下「水平規定」）を承認し、2018年7月に公表された[9]。
10. The EDPS recalls that he supports the legal wording of the Horizontal Provisions as the best outcome achievable to preserve individual’s fundamental rights to data protection and privacy. The Horizontal Provisions reach a balanced compromise between public and private interests as they allow the EU to tackle protectionist practices in third countries in relation to digital trade, while ensuring that trade agreements cannot be used to challenge the high level of protection guaranteed by the Charter of fundamental rights of the EU and the EU legislation on the protection of personal data[10].	10. EDPSは、データ保護とプライバシーに対する個人の基本的権利を維持するために達成可能な最善の成果として、水平規定の法的文言を支持することを想起する。水平規定は、EUの基本権憲章と個人データの保護に関するEUの法律が保証する高いレベルの保護に挑戦するために通商協定を利用できないことを保証しながら、デジタル通商に関連する第三国の保護主義的慣行に取り組むことを可能にするので、公共と民間の利益の間でバランスのとれた妥協点に到達している[10]。
11. In his Opinion 3/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, the EDPS recommended that the wording agreed with the UK on data protection and privacy (which modified the Horizontal Provisions) remained an exception and would not be the basis for future trade agreements with other third countries[11].	11. EDPSは、EU・英国通商協定及びEU・英国機密情報交換協定の締結に関する意見書3/2021において、データ保護とプライバシーに関して英国と合意した文言（水平規定の修正）は例外にとどまり、他の第三国との将来の通商協定の基礎にはならないことを勧告している[11]。
12. Therefore, the EDPS welcomes Recital 4 to the Recommendation, which confirms that the negotiations would be opened ‘with a view to include the provisions on data flows into the Agreement, coherent with the horizontal provisions for cross-border data flows and personal data protection in trade negotiations’ (emphasis added).	12. したがって、EDPSは、「通商交渉における国境を越えたデータの流れと個人データ保護に関する水平規定と首尾一貫して、データの流れに関する規定を協定に含めることを視野に入れて」交渉を開始することを確認した勧告のRecital 4を歓迎する（強調事項）。
13. The negotiating directives, included in the annex to the Recommendation, recall that the negotiated rules should not prevent the European Union and its Member States from regulating economic activity in the public interest and to achieve legitimate public policy objectives, including the protection of privacy and data protection. The directives also reiterate that the negotiations should not affect the EU’s personal data protection rules and should be in line with the EU legal framework.	13. 勧告の付属文書に含まれる交渉指令は、交渉された規則が、欧州連合とその加盟国が公共の利益のために、プライバシーとデータ保護の保護を含む正当な公共政策の目的を達成するために経済活動を規制することを妨げてはならないことを想起させるものである。また、この指令は、交渉がEUの個人データ保護規則に影響を及ぼすべきではなく、EUの法的枠組みに沿ったものであるべきであることを再確認している。
14. The EDPS welcomes the directives, which are in line with Article 2(2) of the Horizontal Provisions, according to which ‘[e]ach Party may adopt and maintain the safeguards it deems appropriate to ensure the protection of personal data and privacy, including through the adoption and application of rules for the cross-border transfer of personal data. Nothing in this agreement shall affect the protection of personal data and privacy afforded by the Parties’ respective safeguards.’	14. EDPSは、この指令が水平規定第2条2項に沿ったものであることを歓迎する。同条項によれば、「各締約国は、個人データの国境を越えた移転に関する規則の採択及び適用を含む、個人データ及びプライバシーの保護を確保するために適切と考える保護措置を採択し、維持することができる。この協定のいかなる内容も、締約国のそれぞれのセーフガードによって与えられる個人データ及びプライバシーの保護に影響を与えないものとする」。
15. The EDPS understands the negotiating directives and the Horizontal Provisions as allowing, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA. The EDPS recalls that, together with the EDPB, he recently recommended the co-legislators to require that controllers and processors, established in the EU/EEA and processing personal electronic health data within the scope of the Commission’s proposal for a Regulation on the European Health Data Space, should be required to store this data in the EU/EEA, without prejudice to the possibility to transfer personal electronic health data in compliance with Chapter V GDPR[12]. For the avoidance of doubt, the EDPS recommends to expressly clarify in the negotiating directives that the negotiated rules should not prevent the EU or the Member States from adopting, in duly justified cases, measures that would require controllers or processors to store personal data in the EU/EEA.	15. EDPSは、交渉指令及び水平規定が、正当に正当化された場合には、管理者又は処理者が個人データをEU／EEAに保管することを要求するような措置を許容するものであると理解している。EDPSは、EDPBとともに、最近、欧州委員会の欧州医療データ空間に関する規則の提案の範囲内でEU/EEAに設立され個人電子医療データを処理する管理者及び処理者に対し、GDPR第5章に従って個人電子医療データを移転する可能性を損なうことなく、当該データをEU/EEAに保管するよう求めることを共同立法者に勧告したことを想起している[12]。疑念を避けるために、EDPSは、交渉された規則が、EUまたは加盟国が、正当に正当化された場合に、管理者または処理者にEU/EEAでの個人データの保存を義務づける措置を採用することを妨げるべきではないことを交渉指令で明示的に明確にすることを推奨している。
4. Reference to this Opinion	4. 本意見書への言及
16. The EDPS notes that the Recommendation does not refer to the EDPS consultation. Therefore, the EDPS recommends inserting a reference to the EDPS consultation in a recital.	16. EDPSは、本勧告がEDPS協議に言及していないことに留意する。従って、EDPSは、EDPS協議への言及を前文に挿入することを推奨する。
5. Conclusions	5. 結論
17. In light of the above, the EDPS makes the following recommendations:	17. 以上を踏まえ、EDPS は以下の提言を行う。
(1) to detail in a recital the reasons why, despite the Adequacy Decision, further negotiations on cross-border data flows are considered to be necessary;	(1) 適正性決定にもかかわらず、国境を越えたデータフローに関する更なる交渉が必要であると考えられる理由を説明文書に明記すること。
(2) to clarify, in the negotiating directives included in the annex to the Recommendation, that the negotiated rules should not prevent the EU or the Member States from imposing on controllers and processors, in duly justified cases, to store personal data in the EU/EEA; and	(2) 勧告の附属書に含まれる交渉指令において、交渉された規則は、EUまたは加盟国が、正当に正当化された場合に、管理者や処理者に対して、EU/EEAに個人データを保管することを課すことを妨げるものであってはならないことを明確にすること。
(3) to refer to the EDPS consultation in a recital.	(3) リサイタルでEDPSの協議に言及すること。

[1] OJ L 295, 21.11.2018, p. 39.	[1] OJ L 295, 21.11.2018, p.39.
^[2] COM(2022) 336 final, web.	[2] COM(2022) 336 final,web
[3] Agreement between the European Union and Japan for an Economic Partnership, OJ L 330, 27.12.2018, p. 3.	[3] 経済連携に関する欧州連合と日本との間の協定、OJ L 330, 27.12.2018, p. 3.
[4] Recital 2 to the Recommendation.	[4] 勧告への前文2。
^[5] EDPS Opinion 03/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, issued on 22 February 2021, paragraph 14.	[5] 2021年2月22日に出されたEUと英国の通商協定及びEUと英国の機密情報交換協定の締結に関するEDPS意見書03/2021、パラグラフ14.
[6] Commission Implementing Decision (EU) 2019/419 of 23 January 2019 pursuant to Regulation (EU) 2016/679 of the European Parliament and of the Council on the adequate protection of personal data by Japan under the Act on the Protection of Personal Information (Text with EEA relevance), OJ L 76, 19.3.2019, p. 1.	[6] 個人情報の保護に関する法律に基づく日本による個人データの適切な保護に関する欧州議会及び理事会の規則（EU）2016/679に基づく2019年1月23日の欧州委員会実施決定（EU）2019/419（EEA関連性を有するテキスト）、OJ L 76, 19.3.2019, p.1.
[7] Article 45(1) GDPR and Recital 5 of the Adequacy Decision.	[7] GDPR第45条1項及び適正化決定の前文5。
[8] Recitals 3 and 4 to the Recommendation offer limited clarification in this regard.	[8] 勧告のリサイタル3及び4は、この点に関して限定的な明確化を提供している。
^[9] web.	[9] web.
^[10] EDPS Opinion 03/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, issued on 22 February 2021, paragraphs 15.	[10] 2021年2月22日に公表されたEU・英国通商協定及びEU・英国機密情報交換協定の締結に関するEDPS意見書03/2021、パラグラフ15。
^[11] EDPS Opinion 03/2021 on the conclusion of the EU and UK trade agreement and the EU and UK exchange of classified information agreement, issued on 22 February 2021, paragraphs 16- 22 and 38.	[11] EUと英国の通商協定及びEUと英国の機密情報交換協定の締結に関するEDPS意見書03/2021、2021年2月22日発行、16-22項及び38項。
^[12] EDPB-EDPS Joint Opinion 03/2022 on the Recommendation for a Regulation on the European Health Data Space, issued on 12 July 2022, paragraph 111.	[12] 欧州健康データ空間に関する規則の勧告に関するEDPB-EDPS共同意見書03/2022（2022年7月12日発行、パラグラフ111）。

2022.08.17 00:00 in 個人情報保護 / プライバシー, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2022.08.16

中国白書「台湾問題と新時代の中国統一事業」 (2022.08.10)

こんにちは、丸山満彦です。

中国が2022.08.10に「台湾問題と新時代の中国統一事業」という白書を公表していましたね。。。

台湾問題に興味がある方は、読んでおいた方が良いのでしょうね。。。

● 中央人民政府 - 政策 - 白皮书

・2022.08.10 台湾问题与新时代中国统一事业

台湾问题与新时代中国统一事业	台湾問題と新時代の中国統一の大義
新华社北京8月10日电国务院台湾事务办公室、国务院新闻办公室10日发表《台湾问题与新时代中国统一事业》白皮书。全文如下：	北京8月10日】国務院台湾事務弁公室と国務院情報弁公室は10日、「新時代における台湾問題と中国統一の大義」をテーマにした白書を発表した。全文は以下の通りである。
台湾问题与新时代中国统一事业	台湾問題と新時代の中国統一事業
（2022年8月）	(2022年8月)
中华人民共和国	中華人民共和国
国务院台湾事务办公室	国務院台湾事務弁公室
国务院新闻办公室	国務院情報弁公室
目录	内容
前言	前文
一、台湾是中国的一部分不容置疑也不容改变	1. 台湾は中国の一部であり、疑うことも変えることもできない
二、中国共产党坚定不移推进祖国完全统一	2. 中国共産党は祖国の完全統一を断固推進する
三、祖国完全统一进程不可阻挡	3. 祖国の完全統一のプロセスは止められない
（一）实现祖国完全统一是中华民族伟大复兴的必然要求	(1) 祖国の完全な統一を達成することは、中華民族の偉大な再生のための必然的な要件である
（二）国家发展进步引领两岸关系发展方向	(2) 国家の発展と進歩が両岸関係の道を切り開く
（三）“台独”分裂势力抗拒统一不会得逞	(3) 「台湾独立」分離独立勢力は、統一への抵抗に成功しない
（四）外部势力阻碍中国完全统一必遭失败	(4) 中国の完全な統一を妨害する外的勢力は必ず失敗する
四、在新时代新征程上推进祖国统一	4. 新しい時代と新しい旅路における祖国統一の推進
（一）坚持“和平统一、一国两制”基本方针	(1) 「平和的統一と一国二制度」の基本原則を堅持する
（二）努力推动两岸关系和平发展、融合发展	(2) 両岸関係の平和的発展と統合の推進に努める
（三）坚决粉碎“台独”分裂和外来干涉图谋	(3) 「台湾独立」という分裂と外患誘致を断固として粉砕する
（四）团结台湾同胞共谋民族复兴和国家统一	(4) 台湾の同胞を団結させ、民族の再生と統一を図る
五、实现祖国和平统一的光明前景	5. 祖国の平和的統一への明るい展望
（一）台湾发展空间将更为广阔	(1) 台湾の開発余地が広がる
（二）台湾同胞切身利益将得到充分保障	(2) 台湾同胞の当面の利益は完全に保護される
（三）两岸同胞共享民族复兴的伟大荣光	(3) 台湾海峡両岸の同胞は、民族の再生という大きな栄光を分かち合う
（四）有利于亚太地区及全世界和平与发展	(4) アジア太平洋地域および全世界の平和と発展に寄与する
结束语	結論
前言	前文
解决台湾问题、实现祖国完全统一，是全体中华儿女的共同愿望，是实现中华民族伟大复兴的必然要求，是中国共产党矢志不渝的历史任务。中国共产党、中国政府和中国人民为此进行了长期不懈的努力。	台湾問題を解決し、祖国の完全な統一を実現することは、すべての中国人の息子と娘の共通の願いであり、中華民族の偉大な再生のための必然的な条件であり、中国共産党がコミットする歴史的な課題である。中国共産党、中国政府、中国国民は、この目的のために長い間、絶え間ない努力を続けてきたのである。
中共十八大以来，中国特色社会主义进入新时代。在以习近平同志为核心的中共中央坚强领导下，中国共产党和中国政府积极推进对台工作理论和实践创新，牢牢把握两岸关系主导权和主动权，有力维护台海和平稳定，扎实推进祖国统一进程。但一个时期以来，台湾民进党当局加紧进行“台独”分裂活动，一些外部势力极力搞“以台制华”，企图阻挡中国实现完全统一和中华民族迈向伟大复兴。	中国共産党第18回全国代表大会以降、中国の特色ある社会主義は新しい時代に突入した。習近平同志を核心とする中国共産党中央委員会の強力な指導の下、中国共産党と中国政府は対台湾業務において積極的に理論的、実践的革新を進め、両岸関係における支配力と主導権をしっかりと握り、台湾海峡の平和と安定を力強く維持し、祖国統一のプロセスを堅固に推し進めてきた。しかし、一時期、台湾の民進党当局が「台湾独立」のための分離工作を強化し、一部の外部勢力が中国の完全統一と中華民族の偉大な再興を阻止しようと「台湾で中国をコントロール」しようと努力している。
中国共产党团结带领全国各族人民长期奋斗，如期全面建成小康社会、实现第一个百年奋斗目标，开启全面建设社会主义现代化国家、向第二个百年奋斗目标进军新征程。中华民族迎来了从站起来、富起来到强起来的伟大飞跃，实现中华民族伟大复兴进入了不可逆转的历史进程。这是中国统一大业新的历史方位。	中国共産党（中共）は、各民族人民の長い闘争を団結してリードし、中等度の豊かな社会を建設し、予定通り第一次100年目標を達成し、近代社会主義国を建設して第二次100年目標に向かって行進する新しい旅に出発しました。中華民族は、立ち上がり、豊かになることから、強くなることへと大きく飛躍し、中華民族の偉大な再生を実現する不可逆的な歴史過程に入ったのである。これは、中国の偉大な統一事業の新しい歴史的方向性である。
中国政府于1993年8月、2000年2月分别发表了《台湾问题与中国的统一》、《一个中国的原则与台湾问题》白皮书，全面系统阐述了解决台湾问题的基本方针和有关政策。为进一步重申台湾是中国的一部分的事实和现状，展现中国共产党和中国人民追求祖国统一的坚定意志和坚强决心，阐述中国共产党和中国政府在新时代推进实现祖国统一的立场和政策，特发布本白皮书。	中国政府は1993年8月に「台湾問題と中国統一」、2000年2月に「一つの中国の原則と台湾問題」という白書をそれぞれ発表し、台湾問題解決のための基本指針および関連政策を包括的かつ体系的に示した。本白書は、台湾が中国の一部であるという事実と現状をさらに再確認し、祖国統一を追求する中国共産党と中国人民の確固たる意志と強い決意を示し、新時代の祖国統一の実現に向けた中国共産党と中国政府の立場と方針を詳しく説明するために発刊されたものである。
一、台湾是中国的一部分不容置疑也不容改变	1. 台湾は中国の一部であり、疑うことも変えることもできない
台湾自古属于中国的历史经纬清晰、法理事实清楚。不断有新的考古发现和研究证明海峡两岸深厚的历史和文化联系。大量的史书和文献记载了中国人民早期开发台湾的情景。公元230年，三国时期吴人沈莹所著《临海水土志》留下了关于台湾最早的记述。隋朝政府曾三次派兵到时称“流求”的台湾。宋元以后，中国历代中央政府开始在澎湖、台湾设治，实施行政管辖。1624年，荷兰殖民者侵占台湾南部。1662年，民族英雄郑成功驱逐荷兰殖民者收复台湾。清朝政府逐步在台湾扩增行政机构，1684年设立台湾府，隶属福建省管辖；1885年改设台湾为行省，是当时中国第20个行省。	台湾が古来より中国に属していたという歴史は明らかであり、法的事実も明確である。海峡を挟んだ両岸の歴史的・文化的な深い結びつきを証明する考古学的発見や研究は、常に行われている。中国人が台湾を早くから開発していたことは、数多くの歴史書や文献に記されている。西暦230年、三国時代の呉出身の沈英が『臨海水宅志』に残したのが、台湾に関する最古の記述である。隋の政府は、当時「劉丘」と呼ばれていた台湾に3度にわたり軍隊を派遣した。宋・元時代以降、歴代の中国中央政府は澎湖と台湾の支配を確立し始め、1624年にはオランダの植民地支配が台湾南部を侵攻し、1662年には国民的英雄鄭成功がオランダ植民地を追放して台湾を奪還した。清朝政府は台湾の行政機構を徐々に拡大し、1684年に福建省の管轄下にあった台湾府を設置、1885年には当時中国で20番目の省に改編された。
1894年7月，日本发动侵略中国的甲午战争，次年4月迫使战败的清朝政府割让台湾及澎湖列岛。抗日战争时期，中国共产党人明确提出收复台湾的主张。1937年5月15日，毛泽东同志会见美国记者尼姆·韦尔斯时表示：“中国的抗战是要求得最后的胜利，这个胜利的范围，不限于山海关，不限于东北，还要包括台湾的解放。”	1894年7月、日本は日清戦争を開始し、敗れた清国は翌年4月に台湾と澎湖諸島を割譲させる。抗日戦争中、中国共産党は台湾奪還を明確に打ち出し、1937年5月15日、毛沢東同志はアメリカのジャーナリスト、ニム・ウェルズと会談した際、「中国の抵抗戦争は最後の勝利のため、その勝利は殷殷に限らず、東北にも限らず、台湾解放を含む」と発言している。
1941年12月9日，中国政府发布对日宣战布告，宣告“所有一切条约、协定、合同，有涉及中日间之关系者，一律废止”，并宣布将收回台湾、澎湖列岛。1943年12月1日，中美英三国政府发表《开罗宣言》宣布，三国之宗旨在使日本所窃取于中国之领土，例如东北、台湾、澎湖列岛等，归还中国。1945年7月26日，中美英三国共同签署、后来苏联参加的《波茨坦公告》，重申“开罗宣言之条件必将实施”。同年9月，日本签署《日本投降条款》，承诺“忠诚履行波茨坦公告各项规定之义务”。10月25日，中国政府宣告“恢复对台湾行使主权”，并在台北举行“中国战区台湾省受降仪式”。由此，通过一系列具有国际法律效力的文件，中国从法律和事实上收复了台湾。	1941年12月9日、中国政府は日本に対して宣戦布告を行い、「中国と日本の関係に関するすべての条約、協定、契約を破棄する」と宣言し、台湾と澎湖諸島を奪還することを宣言した。 1943年12月1日、中国、アメリカ、イギリスの3カ国はカイロ宣言を発表し、日本が中国から奪った東北地方、台湾、澎湖諸島などの領土を中国に返還することを目指すと宣言した。1945年7月26日、中国、アメリカ、イギリスが署名し、後にソ連も加わったポツダム宣言で、「カイロ宣言の条件を履行する」ことが再確認された。同年9月、日本は「ポツダム宣言に基づく義務を誠実に履行する」ことを約束する「日本降伏条項」に調印した。 10月25日、中国政府は「台湾に対する主権行使を再開した」と発表し、台北で「中国戦区における台湾省の降伏式」を行った。こうして、国際的な法的効力を持つ一連の文書によって、中国は台湾を実質的にも事実上も取り戻したのである。
1949年10月1日，中华人民共和国中央人民政府宣告成立，取代中华民国政府成为代表全中国的唯一合法政府。这是在中国这一国际法主体没有发生变化情况下的政权更替，中国的主权和固有领土疆域没有改变，中华人民共和国政府理所当然地完全享有和行使中国的主权，其中包括对台湾的主权。由于中国内战延续和外部势力干涉，海峡两岸陷入长期政治对立的特殊状态，但中国的主权和领土从未分割也决不允许分割，台湾是中国领土的一部分的地位从未改变也决不允许改变。	1949年10月1日、中華人民共和国中央人民政府が宣言され、中華民国政府に代わって中国全土を代表する唯一の合法的な政府として誕生した。これは、国際法の主体としての中国に何の変化もない政権交代であり、中国の主権と固有の領土境界は変わらず、中華人民共和国政府は台湾を含む中国の主権を当然に完全に享受し行使しているのである。中国の内戦が続き、外部勢力の干渉を受けた結果、海峡両岸は長期にわたる政治的対立の特殊状態に陥っているが、中国の主権と領土は決して分割されておらず、分割を許すこともなく、中国の領土の一部である台湾の地位は決して変わらず、変更を許すこともないだろう。
1971年10月，第26届联合国大会通过第2758号决议，决定：“恢复中华人民共和国的一切权利，承认她的政府的代表为中国在联合国组织的唯一合法代表并立即把蒋介石的代表从它在联合国组织及其所属一切机构中所非法占据的席位上驱逐出去。”这一决议不仅从政治上、法律上和程序上彻底解决了包括台湾在内全中国在联合国的代表权问题，而且明确了中国在联合国的席位只有一个，不存在“两个中国”、“一中一台”的问题。随后，联合国相关专门机构以正式决议等方式，恢复中华人民共和国享有的合法席位，驱逐台湾当局的“代表”，如1972年5月第25届世界卫生大会通过第25.1号决议。联合国秘书处法律事务办公室官方法律意见明确指出，“台湾作为中国的一个省没有独立地位”，“台湾当局不享有任何形式的政府地位”。实践中，联合国对台湾使用的称谓是“台湾，中国的省（Taiwan，Province of China）”（注1）。	1971年10月、第26回国連総会は決議2758号を採択し、「中華人民共和国のすべての権利を回復し、同国政府の代表を国際連合に対する中国の唯一の正当な代表と認め、蒋介石の代表が国際連合およびそのすべての機関において不当に占めている席から直ちに追放すること」を決定づけた。この決議は、台湾を含む中国の国連における代表権の問題を政治的、法的、手続き的に解決しただけでなく、中国の議席は一つであり、「二つの中国」「一つの中国、一つの台湾」という問題は存在しないことを明確にした。その後、国連の関連専門機関は、1972年5月の第25回世界保健総会で採択された決議25.1号などの公式決議により、中華人民共和国が享受していた法的地位を回復し、台湾当局の「代表」を追放している。国連事務局法務部の公式な法的見解では、「台湾は中国の一省として独立した地位を持たない」「台湾当局はいかなる形の政府の地位も享受していない」と明言されている。実際には、国連は台湾を「Taiwan, Province of China」と表記している（注1）。
联大第2758号决议是体现一个中国原则的政治文件，国际实践充分证实其法律效力，不容曲解。台湾没有任何根据、理由或权利参加联合国及其他只有主权国家才能参加的国际组织。近年来，以美国为首的个别国家一些势力与“台独”分裂势力沆瀣一气，妄称该决议没有处理“台湾的代表权问题”，炒作非法无效的“旧金山和约”（注2），无视《开罗宣言》、《波茨坦公告》在内的一系列国际法律文件，再度鼓吹“台湾地位未定”，宣称支持台湾“有意义地参与联合国体系”，其实质是企图改变台湾是中国的一部分的地位，制造“两个中国”、“一中一台”，实现其“以台制华”的政治目的。这些行径歪曲联大第2758号决议，违反国际法，严重背弃有关国家对中国作出的政治承诺，侵犯中国的主权和尊严，践踏国际关系基本准则。对此，中国政府已经表明了反对和谴责的严正立场。	国連総会決議2758号は一つの中国原則を具現化した政治文書であり、その法的効力は国際慣行によって十分に確立されており、誤解を招くことはない。台湾は、主権国家のみが参加できる国連やその他の国際機関に参加する根拠も理由も権利もない。近年、米国を筆頭に個々の国の一部の勢力は「台湾独立」分離独立勢力に加担し、決議は「台湾の代表権の問題」を扱っていないと傲慢に主張し、違法かつ無効な「サンフランシスコ平和条約」に憶測を呼んでいる。 "（注2）と、カイロ宣言やポツダム宣言など一連の国際法文書を無視し、再び「台湾の地位は未確定」と唱え、台湾の「国連システムへの有意義な参加」を支持すると主張している。要するに、中国の一部である台湾の地位を変え、「二つの中国」と「一つの中国、一つの台湾」を作り、「台湾を使って中国を支配する」という政治的目標を達成しようとするものである。これらの行為は総会決議2758号を歪曲し、国際法に違反し、関係国が中国に対して行った政治的約束を著しく反故にし、中国の主権と尊厳を侵害し、国際関係の基本的規範を踏みにじるものである。この点で、中国政府は厳粛に反対と非難の立場を明確にしている。
一个中国原则是国际社会的普遍共识，是遵守国际关系基本准则的应有之义。目前，全世界有包括美国在内的181个国家，在一个中国原则的基础上与中国建立了外交关系。1978年12月发表的《中美建交公报》声明：“美利坚合众国政府承认中国的立场，即只有一个中国，台湾是中国的一部分”；“美利坚合众国承认中华人民共和国政府是中国的唯一合法政府。在此范围内，美国人民将同台湾人民保持文化、商务和其他非官方关系”。	一帯一路の原則は国際社会の普遍的なコンセンサスであり、国際関係の基本的な規範を遵守するための適切な要件である。現在、米国を含む世界181カ国が、一帯一路の原則に基づいて中国と外交関係を結んでいる。1978年12月に出された「米中国交樹立に関するコミュニケ」には、「アメリカ合衆国政府は、唯一の中国であり台湾は中国の一部であるという中国の立場を承認する。」、「アメリカ合衆国は、中華人民共和国政府を、中国の唯一の合法的政府として承認する。その限りにおいて、米国の人々は、台湾の人々と文化的、商業的、その他の非公式な関係を維持する」」と記されている。
1982年12月，中华人民共和国第五届全国人民代表大会第五次会议通过《中华人民共和国宪法》，规定：“台湾是中华人民共和国的神圣领土的一部分。完成统一祖国的大业是包括台湾同胞在内的全中国人民的神圣职责。”2005年3月，第十届全国人民代表大会第三次会议通过《反分裂国家法》，规定：“世界上只有一个中国，大陆和台湾同属一个中国，中国的主权和领土完整不容分割。维护国家主权和领土完整是包括台湾同胞在内的全中国人民的共同义务。”“台湾是中国的一部分。国家绝不允许‘台独’分裂势力以任何名义、任何方式把台湾从中国分裂出去。”2015年7月，第十二届全国人民代表大会常务委员会第十五次会议通过《中华人民共和国国家安全法》，规定：“中国的主权和领土完整不容侵犯和分割。维护国家主权、统一和领土完整是包括港澳同胞和台湾同胞在内的全中国人民的共同义务。”	1982年12月、中華人民共和国第5回全国人民代表大会は、「台湾は中華人民共和国の神聖な領土の一部である」とする中華人民共和国憲法を採択した。祖国統一の大業を成し遂げることは、台湾の同胞を含む中国全人民の神聖な義務である。 2005年3月、第10期全国人民代表大会第3回会議で、「世界には一つの中国しかなく、大陸と台湾は同じ中国に属し、中国の主権と領土は不可分である」と規定した「反占領法」が採択された。国家主権と領土保全を守ることは、台湾の同胞を含む中国国民全体の共通の義務である」。「台湾は中国の一部である。国家は、いかなる名目であれ、いかなる手段であれ、中国から台湾を分割しようとする「台湾独立」分離主義勢力を決して許さない」。2015年7月、第12期全国人民代表大会常務委員会第15回会議において、「中国の主権と領土保全は不可侵であり、切り離せない」と規定した「中華人民共和国国家安全法」が採択された。「国家主権、統一、領土保全を守ることは、香港、マカオ、台湾の同胞を含むすべての中国人の共通の義務である」。
世界上只有一个中国，台湾是中国的一部分的历史事实和法理事实不容置疑，台湾从来不是一个国家而是中国的一部分的地位不容改变。任何歪曲事实、否定和挑战一个中国原则的行径都将以失败告终。	世界には一つの中国しかなく、台湾が中国の一部であるという歴史的・法的事実を争うことはできないし、台湾が国であったことはなく、中国の一部であるという地位も変えられないのである。事実を歪曲し、一つの中国主義を否定し、挑戦する行為は失敗に終わる。
二、中国共产党坚定不移推进祖国完全统一	2. 中国共産党は祖国の完全統一を断固推進する
中国共产党始终致力于为中国人民谋幸福、为中华民族谋复兴。在成立初期，中国共产党就把争取台湾摆脱殖民统治回归祖国大家庭、实现包括台湾同胞在内的民族解放作为奋斗目标，付出了巨大努力。	中国共産党は、中国人民の幸福と中華民族の再興のために働くことを常に約束している。中国共産党は建国初期に、台湾の植民地支配からの祖国復帰と台湾同胞を含む民族解放の実現を目指すことを目標とし、そのために大きな努力を払ってきた。
中国共产党始终把解决台湾问题、实现祖国完全统一作为矢志不渝的历史任务，团结带领两岸同胞，推动台海形势从紧张对峙走向缓和改善、进而走上和平发展道路，两岸关系不断取得突破性进展。	中国共産党は、台湾問題の解決と祖国の完全統一を、常に揺るぎない歴史的課題とし、台湾海峡両岸の同胞を団結させ、指導することで、台湾海峡の情勢を緊迫した対立から脱皮・改善へと導き、平和的発展の道を歩み、両岸関係は絶えず飛躍的な発展を遂げている。
新中国成立以后，以毛泽东同志为主要代表的中国共产党人，提出和平解决台湾问题的重要思想、基本原则和政策主张；进行了解放台湾的准备和斗争，粉碎了台湾当局“反攻大陆”的图谋，挫败了各种制造“两个中国”、“一中一台”的图谋；促成联合国恢复了中华人民共和国的合法席位和一切权利，争取了世界上绝大多数国家接受一个中国原则，为实现和平统一创造了重要条件。中共中央还通过适当渠道与台湾当局高层人士接触，为寻求和平解决台湾问题而积极努力。	新中国建国後、毛沢東同志を中心とする中国共産党は、台湾問題の平和的解決のための重要な思想、基本原則、政策思想を打ち出し、台湾解放のための準備と闘争を行い、台湾当局の「大陸反撃」の試みを粉砕し、「二つの中国」「一つの中国」を作ろうとするあらゆる企図を阻止してきた。また、中華人民共和国の法的地位と国連におけるすべての権利の回復を促進し、世界の大多数の国による一国主義の受け入れを確保し、平和的統一の実現に向けた重要な条件を整えた。中国共産党中央委員会も適切なルートで台湾当局の高官と接触し、台湾問題の平和的解決を求めるために積極的に努力した。
中共十一届三中全会以后，以邓小平同志为主要代表的中国共产党人，从国家和民族的根本利益出发，在实现中美建交的时代条件下，在争取和平解决台湾问题思想的基础上，确立了争取祖国和平统一的大政方针，创造性地提出了“一个国家，两种制度”的科学构想，并首先运用于解决香港问题、澳门问题；主动缓和两岸军事对峙状态，推动打破两岸长期隔绝状态，开启两岸民间交流合作的大门，使两岸关系进入新的历史阶段。	中国共産党第11期中央委員会第3回全体会議の後、中国共産党は、鄧小平同志を主席として、国と民族の根本的利益のために行動し、中米間に外交関係が成立した時代状況の下、台湾問題の平和的解決に努力する思想に基づいて祖国の平和統一を目指すという一般方針を確立し、「一国二制度」の科学概念を創造的に打ち出した。「一国二制度」の科学的概念は、香港・マカオ問題の解決に初めて適用され、台湾海峡両岸の軍事的対立を率先して緩和し、両岸の長年の孤立状態の打破を促進し、両岸の民間交流・協力の扉を開き、両岸関係を新たな歴史的段階へと導いた。
中共十三届四中全会以后，以江泽民同志为主要代表的中国共产党人，提出发展两岸关系、推进祖国和平统一进程的八项主张（注3）；推动两岸双方达成体现一个中国原则的“九二共识”，开启两岸协商谈判，实现两岸授权团体负责人首次会谈，持续扩大两岸各领域交流合作；坚决开展反对李登辉分裂祖国活动的斗争，沉重打击“台独”分裂势力；实现香港、澳门顺利回归祖国，实行“一国两制”，对解决台湾问题产生积极影响。	中国共産党第13期中央委員会第4回全体会議の後、共産党は、江沢民同志を主席として、両岸関係を発展させ、祖国の平和的統一プロセスを前進させるための8つの命題を提示した（注3）。また、一帯一路の原則を体現した台湾海峡両岸の「1992年コンセンサス」を推進し、両岸協議と交渉を開き、台湾海峡両岸の公認団体トップによる初の会談を実現し、両岸の交流と協力を各分野で拡大し続け、李登輝の祖国分裂活動に対して断固として闘いを開始、「台湾独立」に大きな打撃を与えてた。「香港・マカオの祖国との統一」と「一国二制度」の実現が成功したことは、台湾問題の解決に好影響を与えている。
中共十六大以后，以胡锦涛同志为主要代表的中国共产党人，提出两岸关系和平发展重要思想；针对岛内“台独”分裂活动猖獗制定实施《反分裂国家法》，举行中国共产党和中国国民党两党主要领导人60年来首次会谈，坚决挫败陈水扁“法理台独”图谋；开辟两岸关系和平发展新局面，推动两岸制度化协商谈判取得丰硕成果，实现两岸全面直接双向“三通”，签署实施《海峡两岸经济合作框架协议》，两岸关系面貌发生深刻变化。	中国共産党第16回全国代表大会の後、共産党は、胡錦涛同志を主席として、両岸関係の平和的発展という重要な理念を打ち出した。台湾で横行する「台湾独立」分離工作に対し、「分離禁止法」が制定・施行され、60年ぶりに中共と国民党の主要指導者が会談し、陳水扁の「合法的台湾独立」の試みはキッパリと敗退した。両岸協議・交渉の制度化の推進、台湾海峡を挟んだ包括的な双方向「三直」の実現、両岸経済協力枠組み協定の締結と実施など、両岸関係の平和的発展のために実り多い成果が得られ、新しい状況が切り開かれた。
中共十八大以来，以习近平同志为主要代表的中国共产党人，全面把握两岸关系时代变化，丰富和发展国家统一理论和对台方针政策，推动两岸关系朝着正确方向发展，形成新时代中国共产党解决台湾问题的总体方略，提供了新时代做好对台工作的根本遵循和行动纲领。2017年10月，中共十九大确立了坚持“一国两制”和推进祖国统一的基本方略，强调：“绝不允许任何人、任何组织、任何政党、在任何时候、以任何形式、把任何一块中国领土从中国分裂出去！”2019年1月，习近平总书记在《告台湾同胞书》发表40周年纪念会上发表重要讲话，郑重提出了新时代推动两岸关系和平发展、推进祖国和平统一进程的重大政策主张：携手推动民族复兴，实现和平统一目标；探索“两制”台湾方案，丰富和平统一实践；坚持一个中国原则，维护和平统一前景；深化两岸融合发展，夯实和平统一基础；实现同胞心灵契合，增进和平统一认同。中国共产党和中国政府采取一系列引领两岸关系发展、促进祖国和平统一的重大举措：	中国共産党第18回全国代表大会以来、共産党は習近平同志を主席として、両岸関係の時代変化を全面的に把握し、国家統一理論と台湾政策を充実・発展させ、両岸関係を正しい方向に押し上げ、新時代の台湾問題解決のための中国共産党の全体戦略を形成し、新時代の良い仕事をするための基本的な指針と行動プログラムを提供した。 2017年10月、第19回全国代表大会では、「一国二制度」を堅持し、祖国の統一を推進するという基本戦略を打ち出し、「いかなる者、いかなる組織、いかなる政党も、いかなる時も、いかなる形でも、中国の領土を中国から分割することを許さない！」と強調した。 2019年1月、習近平総書記は「台湾同胞への手紙」発行40周年記念式典で重要演説を行い、両岸関係の平和的発展を促進し、新時代の祖国平和統一プロセスを前進させるための主要政策命題として、手を携えて国家の再生を推進し平和統一の目標を達成することを打ち出し、平和統一の実践を豊かにするために「二つの制度」台湾案を模索し、平和統一を推進するために同胞の精神的一体性を実現する。中国共産党と中国政府は、両岸関係の発展をリードし、祖国の平和的統一を促進するために、一連の大きな方針を採用している。
——推动实现1949年以来两岸领导人首次会晤、直接对话沟通，将两岸交流互动提升到新高度，为两岸关系发展翻开了新篇章、开辟了新空间，成为两岸关系发展道路上一座新的里程碑。双方两岸事务主管部门在共同政治基础上建立常态化联系沟通机制，两部门负责人实现互访、开通热线。	・1949年以来、台湾海峡を挟んだ初の首脳会談と直接対話・意思疎通の実現を推進したことは、両岸の交流と意思疎通を新たな高みに引き上げ、両岸関係発展の新しい章と空間を開き、両岸関係発展の道のりで新たな一里塚となった。台湾海峡両岸の当局は、共通の政治的基盤のもとに定期的な連絡・通信メカニズムを構築し、両部門の責任者は訪問を交換し、ホットラインを開設した。
——坚持一个中国原则和“九二共识”，推进两岸政党党际交流，与台湾有关政党、团体和人士就两岸关系与民族未来开展对话协商，深入交换意见，达成多项共识并发表共同倡议，与台湾社会各界共同努力探索“两制”台湾方案。	・「一つの中国主義」と「1992年コンセンサス」を堅持し,台湾海峡両岸の政党間の交流を促進し,台湾の関連政党,団体,個人と両岸関係及び国家の将来について対話と協議を行い,深く意見を交換し,多くの合意に達し,共同イニシアティブを発表し,台湾社会の各界と協力して「両岸関係」の探求に努めました。我々は,台湾のさまざまなセクターと共同で,「二つの制度」という台湾案を模索する努力を行ってきた。
——践行“两岸一家亲”理念，以两岸同胞福祉为依归，推动两岸关系和平发展、融合发展，完善促进两岸交流合作、保障台湾同胞福祉的制度安排和政策措施，实行卡式台胞证，实现福建向金门供水，制发台湾居民居住证，逐步为台湾同胞在大陆学习、创业、就业、生活提供同等待遇，持续率先同台湾同胞分享大陆发展机遇。	・我々は、「台湾海峡両岸一家」の理念を実践し、台湾海峡両岸の同胞の幸福のために両岸関係の平和的かつ一体的な発展を促進し、両岸の交流と協力を促進し台湾同胞の幸福を守るための制度整備と政策措置を改善し、カード式台湾同胞カードの実施、福建から金門への水の供給、台湾住民の居住許可の発行、台湾同胞に対する平等な扱いの提供を徐々に進めていく。中国本土での学習、起業、就職、生活のために、台湾同胞と本土の発展の機会を共有するために、引き続き率先して行動する。
——团结广大台湾同胞，排除“台独”分裂势力干扰阻挠，推动两岸各领域交流合作和人员往来走深走实。克服新冠肺炎疫情影响，坚持举办海峡论坛等一系列两岸交流活动，保持了两岸同胞交流合作的发展态势。	・我々は台湾の同胞と団結し、「台湾独立」分離主義勢力の干渉と妨害を排除し、両岸の各分野の交流と協力、人民交流がますます深くなるよう推進した。新型肺炎の影響を克服し、海峡フォーラムなど一連の両岸交流の開催にこだわり、台湾海峡両岸の同胞の交流と協力の勢いを維持した。
——坚定捍卫国家主权和领土完整，坚决反对“台独”分裂和外部势力干涉，有力维护台海和平稳定和中华民族根本利益。依法打击“台独”顽固分子，有力震慑“台独”分裂势力。妥善处理台湾对外交往问题，巩固发展国际社会坚持一个中国原则的格局。	・我々は、国家主権と領土保全を堅持し、台湾独立の分離と外部勢力の干渉に断固として反対し、台湾海峡の平和と安定、中華民族の根本的利益を強力に保護する。私たちは、「台湾独立」の不逞の輩を法に則って取り締まり、「台湾独立」の分離独立勢力を強力に抑止する。台湾の対外関係問題を適切に処理し、国際社会の一帯一路の原則の堅持を強化・発展させる。
在中国共产党的引领推动下，70多年来特别是两岸隔绝状态打破以来，两岸关系获得长足发展。两岸交流合作日益广泛，互动往来日益密切，给两岸同胞特别是台湾同胞带来实实在在的好处，充分说明两岸和则两利、合则双赢。1978年两岸贸易额仅有4600万美元，2021年增长至3283.4亿美元，增长了7000多倍；大陆连续21年成为台湾最大出口市场，每年为台湾带来大量顺差；大陆是台商岛外投资的第一大目的地，截至2021年底，台商投资大陆项目共计123781个、实际投资额713.4亿美元（注4）。1987年两岸人员往来不足5万人次，2019年约900万人次。近3年来受疫情影响，线上交流成为两岸同胞沟通互动的主要形式，参与及可及人数屡创新高。	中国共産党の指導の下、特に台湾海峡の両岸の孤立が解消されて以来、この70年間で両岸関係は大きく発展してきた。両岸の交流と協力がますます広まり、交流がますます緊密になることで、台湾海峡両岸、特に台湾の同胞に具体的な利益をもたらし、両岸の調和が互恵であり、協力がウィンウィンであることを十分に証明している。1978年、両岸の貿易額はわずか4,600万米ドルだったが、2021年には3,283億4,000万米ドルと、7,000倍以上に増加した。両岸の旅客数は、1987年には5万人以下だったのが、2019年には約900万人になるそうである。台湾企業の島外への投資先は本土が第1位であり、2021年末までに123,781件のプロジェクト、713.4億米ドルの実投資額となっている（注4）。両岸の旅客輸送は1987年に5万人未満、2019年には約900万人となっている。この3年間、流行の影響を受け、オンライン交流は台湾海峡両岸の同胞のコミュニケーションと交流の主要な形態となり、参加者とアクセス数は過去最高となった。
中国共产党始终是中国人民和中华民族的主心骨，是民族复兴、国家统一的坚强领导核心。中国共产党为解决台湾问题、实现祖国完全统一不懈奋斗的历程充分表明：必须坚持一个中国原则，绝不允许任何人任何势力把台湾从祖国分裂出去；必须坚持为包括台湾同胞在内的全体中国人民谋幸福，始终致力于实现两岸同胞对美好生活的向往；必须坚持解放思想、实事求是、守正创新，把握民族根本利益和国家核心利益，制定实施对台方针政策；必须坚持敢于斗争、善于斗争，同一切损害中国主权和领土完整、企图阻挡祖国统一的势力进行坚决斗争；必须坚持大团结大联合，广泛调动一切有利于反“独”促统的积极因素，共同推进祖国统一进程。	中国共産党（中共）は、常に中国人民と中華民族の背骨であり、民族の再生と民族の統一のための強力な指導的核心である。台湾問題を解決し、祖国の完全な統一を実現するための中国共産党の絶え間ない闘争は、中国共産党が一国主義を堅持し、いかなる人物や勢力にも台湾を祖国から分離することを決して許さないこと、台湾同胞を含むすべての中国人の幸福を追求し、台湾海峡両岸の同胞のより良い生活の願いを実現するために常に努力し、心を解放し、事実から真実を求め、正義と革新を堅持しなければならないことを十分に証明している。心の解放」「事実から真実を求める」「義理と革新を守る」「国家の根本的利益と核心的利益を把握する」「台湾に関する政策を立案し実行する」という原則を主張しなければならない。一緒に祖国の統一を進めよう。
三、祖国完全统一进程不可阻挡	3. 祖国の完全統一のプロセスは止められない
当前，在国内国际两个大局都发生深刻复杂变化的时代背景下，推进祖国完全统一面临着新的形势。中国共产党和中国政府有驾驭复杂局面、战胜风险挑战的综合实力和必胜信心，完全有能力推动祖国统一大业阔步前进。	現在、国内外の情勢が深く複雑に変化していることを背景に、祖国の完全統一を進める上で新たな状況が生まれている。中国共産党と中国政府は、複雑な状況を克服し、リスクと課題を克服する総合力と自信を持ち、祖国統一の大義を推し進める能力を十分に備えている。
（一）实现祖国完全统一是中华民族伟大复兴的必然要求	(1) 祖国の完全な統一を達成することは、中華民族の偉大な再生のための必然的な要件である
在中华民族五千多年的发展进程中，追求统一、反对分裂始终是全民族的主流价值观，这一价值观早已深深融入整个中华民族的精神血脉。近代以后，由于西方列强入侵和封建统治腐败，中国逐步成为半殖民地半封建社会，国家蒙辱、人民蒙难、文明蒙尘，中华民族遭受了前所未有的劫难。台湾被日本霸占半个世纪的历史，是中华民族近代屈辱的缩影，给两岸同胞留下了剜心之痛。一水之隔、咫尺天涯，两岸迄今尚未完全统一是历史遗留给中华民族的创伤。两岸同胞应该共同努力，谋求国家统一，抚平历史创伤。	中華民族の5,000年にわたる発展の中で、団結の追求と分裂への反対は常に民族全体の主流の価値観であり、この価値は長く中華民族全体の精神の血統に深く組み込まれてきた。近代以降、中国は西欧列強の侵略と封建的支配の腐敗により、次第に半植民地・半封建的な社会になっていった。半世紀にわたって日本に占領された台湾の歴史は、近代における中華民族の屈辱を象徴しており、台湾海峡の両岸の同胞に抉り取るような痛みを残している。台湾海峡の両岸がまだ完全に統一されていないことは、歴史が中華民族に残したトラウマである。台湾海峡両岸の同胞は、民族の統一を目指し、歴史の傷を癒すために協力し合うべきである。
实现中华民族伟大复兴，是近代以来中国人民和中华民族最伟大的梦想。实现祖国完全统一，才能使两岸同胞彻底摆脱内战的阴霾，共创共享台海永久和平；才能避免台湾再次被外国侵占的危险，打掉外部势力遏制中国的图谋，维护国家主权、安全、发展利益；才能清除“台独”分裂的隐患，稳固台湾作为中国的一部分的地位，推进中华民族伟大复兴；才能更好地凝聚两岸同胞力量建设共同家园，增进两岸同胞利益福祉，创造中国人民和中华民族更加幸福美好的未来。正如中国伟大的革命先行者孙中山先生所言：“‘统一’是中国全体国民的希望。能够统一，全国人民便享福；不能统一，便要受害。”	中華民族の偉大な再生を実現することは、近代以降の中国人民と中華民族の最大の夢である。祖国の完全な統一を実現してこそ、台湾海峡両岸の同胞は内戦の憂鬱から完全に解放され、台湾海峡に恒久的な平和を創造し共有することができるのである。そうしてこそ、台湾が再び外国に占領される危険を回避し、中国を封じ込めようとする外部勢力の試みを打ち破り、国家の主権、安全、発展の利益を守ることができるのである。そうしてこそ、「台湾独立」分離独立の隠れた危険を取り除き、台湾の中国の一部としての地位を確保し、中華民族の偉大な若返りを促進することができるのである。そうしてこそ、台湾海峡両岸の同胞をよりよく団結させ、共通の祖国を建設し、海峡両岸の同胞の利益と幸福を高め、中国人民と中華民族により幸福でよりよい未来を築くことができるのである。中国の偉大な革命家である孫文は、「『統一』はすべての中国人の希望である」と言った。統一できれば、国全体が幸福になり、統一できなければ、苦しむことになる。"
中华民族在探寻民族复兴强盛之道的过程中饱经苦难沧桑。“统则强、分必乱”，这是一条历史规律。实现祖国完全统一，是中华民族的历史和文化所决定的，也是中华民族伟大复兴的时和势所决定的。我们比历史上任何时期都更接近、更有信心和能力实现中华民族伟大复兴的目标，也更接近、更有信心和能力实现祖国完全统一的目标。台湾问题因民族弱乱而产生，必将随着民族复兴而解决。全体中华儿女团结奋斗，就一定能在同心实现中华民族伟大复兴进程中完成祖国统一大业。	中華民族は苦難と波乱に耐えながら、国家の再生と強化の道を探ってきた。団結すれば強くなるが、分裂すれば混乱する」のは歴史の法則である。祖国の完全な統一を達成することは、中華民族の歴史と文化、そして中華民族の偉大な再生の時期と勢いによって規定されるものである。我々は、歴史上のどの時期よりも中華民族の偉大な再生という目標に近づき、それに自信を持ち、達成する能力がある。また、祖国の完全な統一という目標に近づき、それに自信を持ち、達成する能力がある。国家の弱体化と混乱から生じた台湾問題は、国家の再生とともに必ず解決される。すべての中華民族の息子と娘が団結して闘えば、中華民族の偉大な再生の過程で祖国統一の大業を完成させることができるのである。
（二）国家发展进步引领两岸关系发展方向	(2)国家の発展と進歩が両岸関係の道を切り開く
决定两岸关系走向、实现祖国完全统一的关键因素是国家的发展进步。国家发展进步特别是40多年来改革开放和现代化建设所取得的伟大成就，深刻影响着解决台湾问题、实现祖国完全统一的历史进程。无论何党何派在台湾掌权，都无法改变两岸关系向前发展的总体趋势和祖国统一的历史大势。	両岸関係の方向性を決定し、祖国の完全な統一を達成するための重要な要因は、国の発展と進歩である。国の発展と進歩、特に過去40年間の改革開放と近代化における偉大な成果は、台湾問題を解決し祖国の完全統一を達成する歴史的過程に深い影響を与えた。台湾でどのような政党や派閥が政権を握ろうとも、両岸関係が前進し、祖国が統一されるという歴史の流れは変えられない。
根据国际货币基金组织的统计（注5），1980年，大陆生产总值约3030亿美元，台湾生产总值约423亿美元，大陆是台湾的7.2倍；2021年，大陆生产总值约174580亿美元，台湾生产总值约7895亿美元，大陆是台湾的22.1倍。国家发展进步特别是经济实力、科技实力、国防实力持续增强，不仅有效遏制了“台独”分裂活动和外部势力干涉，更为两岸交流合作提供了广阔空间、带来了巨大机遇。越来越多的台湾同胞特别是台湾青年来大陆学习、创业、就业、生活，促进了两岸社会各界交往交流交融，加深了两岸同胞利益和情感联系，增进了两岸同胞文化、民族和国家认同，有力牵引着两岸关系沿着统一的正确方向不断前行。	国際通貨基金（注5）の統計によると、1980年の大陸の国内総生産は約3030億米ドル、台湾の国内総生産は約423億米ドルで、大陸は台湾の7.2倍、2021年の大陸の国内総生産は約174兆580億米ドル、台湾の国内総生産は約789兆500億米ドルで、大陸は台湾の22.1倍となる。国の発展と進歩、特に経済力、技術力、国防力は、「台湾独立」の分離独立活動や外部勢力の干渉を効果的に抑制しただけでなく、両岸の交流と協力に広大な空間と多大な機会を提供した。ますます多くの台湾同胞、特に台湾の若者が大陸に留学、起業、就職、居住するようになり、台湾海峡両岸の各社会部門の交流と交わりを促進し、海峡両岸の同胞の関心と情緒的な絆を深め、海峡両岸の同胞の文化、民族、国家のアイデンティティを高め、両岸関係を統一という正しい方向に強く推し進めている。
中国共产党团结带领中国人民已经踏上了全面建设社会主义现代化国家的新征程。大陆坚持中国特色社会主义道路，治理效能提升，经济长期向好，物质基础雄厚，人力资源丰厚，市场空间广阔，发展韧性强大，社会大局稳定，继续发展具有多方面优势和条件，并持续转化为推进统一的动力。立足新发展阶段，贯彻新发展理念，构建新发展格局，推动高质量发展，将使大陆综合实力和国际影响力持续提升，大陆对台湾社会的影响力、吸引力不断扩大，我们解决台湾问题的基础更雄厚、能力更强大，必将有力推动祖国统一进程。	中国共産党は、中国人民を団結させ、総合的な社会主義近代国家を建設するために指導する新たな旅に出発した。中国の特色ある社会主義の路線の堅持、ガバナンスの有効性の向上、長期的な経済好転、強力な物質基盤、豊富な人的資源、広大な市場空間、強力な発展弾力性と社会の安定により、大陸には多くの優位性と発展を続ける条件があり、それは引き続き統一を推進する勢いに変換されている。新しい発展段階に基づき、新しい発展理念を実行し、新しい発展パターンを構築し、質の高い発展を推進することで、大陸の総合力と国際的影響力が引き続き高まり、台湾社会に対する大陸の影響力と魅力が引き続き拡大し、台湾問題解決の基礎がより強固で有能になり、祖国統一のプロセスに必ず強い原動力を与えることになる。
（三）“台独”分裂势力抗拒统一不会得逞	(3) 「台湾独立」分離独立勢力は、統一への抵抗に成功しない
台湾自古是中国的神圣领土。所谓“台湾独立”，是企图把台湾从中国分割出去，是分裂国家的严重罪行，损害两岸同胞共同利益和中华民族根本利益，是走不通的绝路。	台湾は古来、中国の神聖な領土であった。いわゆる「台湾独立」は、台湾を中国から切り離そうとするものであり、台湾海峡両岸の同胞の共通利益と中華民族の根本的利益を損なう重大な離反犯罪であり、到底容認できない道である。
民进党当局坚持“台独”分裂立场，勾连外部势力不断进行谋“独”挑衅。他们拒不接受一个中国原则，歪曲否定“九二共识”，妄称“中华民国与中华人民共和国互不隶属”，公然抛出“新两国论”；在岛内推行“去中国化”、“渐进台独”，纵容“急独”势力鼓噪推动“修宪修法”，欺骗台湾民众，煽动仇视大陆，阻挠破坏两岸交流合作和融合发展，加紧“以武谋独”、“以武拒统”；勾结外部势力，在国际上竭力制造“两个中国”、“一中一台”。民进党当局的谋“独”行径导致两岸关系紧张，危害台海和平稳定，破坏和平统一前景、挤压和平统一空间，是争取和平统一进程中必须清除的障碍。	民進党当局は「台湾独立」の分離主義的な姿勢を貫き、外部勢力と連携して常に「独立」を求め、挑発している。一国主義を認めず、1992年コンセンサスを歪曲・否定し、「中華民国と中華人民共和国は互いに従属しない」と主張し、「新二国論」を公然と打ち出している。島で「脱中国化」と「台湾の漸進的独立」を推進し、「性急な独立」勢力を容認して「憲法改正と立法改正」を主張する。台湾の人々を欺き、大陸に対する憎悪を煽り、両岸の交流と協力、統合と発展を妨害し、「力による独立を求め」、「力による統一を拒否」する努力を強め、外部勢力と結託し、あらゆる努力を重ねている。民進党は外部勢力と連携し、国際舞台で「二つの中国」「一つの中国、一つの台湾」を作り出そうと懸命だ。民進党当局の「独立」追求は両岸関係の緊張を招き、台湾海峡の平和と安定を危うくし、平和統一の展望を損ね、平和統一の空間を圧迫している。
台湾是包括2300万台湾同胞在内的全体中国人民的台湾，中国人民捍卫国家主权和领土完整、维护中华民族根本利益的决心不可动摇、意志坚如磐石，这是挫败一切“台独”分裂图谋的根本力量。100多年前中国积贫积弱，台湾被外国侵占。70多年前中国打败侵略者，收复了台湾。现在的中国，跃升为世界第二大经济体，政治、经济、文化、科技、军事等实力大幅增强，更不可能再让台湾从中国分裂出去。搞“台独”分裂抗拒统一，根本过不了中华民族的历史和文化这一关，也根本过不了14亿多中国人民的决心和意志这一关，是绝对不可能得逞的。	台湾は2,300万人の同胞を含むすべての中国人の台湾であり、国家主権と領土保全を守り、中華民族の根本的利益を守る中国人の揺るぎない決意と揺るぎない意志は、「台湾独立」離脱のすべての試みを阻止する根本的な力である。 100年以上前、中国は貧しく弱く、台湾は外国に占領されていた。70年以上前、中国は侵略者を打ち破り、台湾を取り戻した。今や中国は世界第2位の経済大国となり、政治力、経済力、文化力、技術力、軍事力を大幅に高め、台湾が中国から離脱することはさらに不可能になった。「台湾独立」という統一に抵抗することは、中華民族の歴史と文化、14億人以上の中国人の決意と意志の試練に合格することはなく、決して成功することはない。
（四）外部势力阻碍中国完全统一必遭失败	(4) 中国の完全な統一を妨害する外的勢力は必ず失敗する
外部势力干涉是推进中国统一进程的突出障碍。美国一些势力出于霸权心态和冷战思维，将中国视为最主要战略对手和最严峻的长期挑战，竭力进行围堵打压，变本加厉推行“以台制华”。美国声称“奉行一个中国政策，不支持‘台独’”，但美国一些势力在实际行动上却背道而驰。他们虚化、掏空一个中国原则，加强与台湾地区官方往来，不断策动对台军售，加深美台军事勾连，助台拓展所谓“国际空间”，拉拢其他国家插手台湾问题，不时炮制损害中国主权的涉台议案。他们颠倒黑白、混淆是非，一方面怂恿“台独”分裂势力制造两岸关系紧张动荡，另一方面却无端指责大陆“施压”、“胁迫”、“单方面改变现状”，为“台独”分裂势力撑腰打气，给中国实现和平统一制造障碍。	外部からの干渉は、中国の統一プロセスを進める上で顕著な障害となる。米国の一部の勢力は、覇権主義的な考え方と冷戦的な考え方から、中国を主要な戦略的敵対国、長期的に最も深刻な課題とみなし、中国を包囲し抑圧しようとし、「台湾で中国を支配しよう」とする動きを強めている。米国は「一帯一路の政策を堅持し、『台湾独立』を支持しない」と主張しているが、実際には米国内の一部の勢力がこれに反する行動をとっている。一帯一路の原則をごまかし、空洞化させ、台湾との公式接触を強化し、台湾への武器売却を継続的に推進し、米台軍事関係を深め、台湾のいわゆる「国際空間」拡大を助け、他国を引き込んで台湾問題に介入し、中国の主権を損なう台湾関連法案を随時練り上げているのである。一方では「台湾独立」分離主義勢力を煽って両岸関係に緊張と混乱をもたらし、他方では大陸が理由もなく「圧力」「強制」「一方的な現状変更」を行ったと非難している。その一方で、大陸が「圧力」「強制」「一方的な現状変更」を行い、「台湾独立」分離主義勢力をバックアップし、中国の平和的統一に障害を与えていると不当に非難している。
《联合国宪章》规定的尊重国家主权和领土完整、不干涉别国内政等重要原则，是现代国际法和国际关系的基石。维护国家统一和领土完整，是每个主权国家的神圣权利，中国政府理所当然可以采取一切必要手段解决台湾问题、实现国家统一，不容外部势力干涉。美国的一些反华势力以所谓“自由、民主、人权”和“维护以规则为基础的国际秩序”为幌子，刻意歪曲台湾问题纯属中国内政的性质，企图否定中国政府维护国家主权和领土完整的正当性与合理性。这充分暴露了他们搞“以台制华”、阻挠中国统一的政治图谋，必须予以彻底揭露和严正谴责。	国際連合憲章に規定されている国家主権と領土保全の尊重、他国の内政への不干渉という重要な原則は、現代の国際法および国際関係の礎となっている。中国政府は、外部からの干渉を受けることなく、台湾問題を解決し、国家統一を達成するために必要なあらゆる手段を正しく用いることができる。米国の一部の反中国勢力は、いわゆる「自由、民主、人権」や「ルールに基づく国際秩序の維持」を口実に、台湾問題を中国の純粋な内政問題として意図的に歪曲し、中国政府の国家主権と領土保全の正当性、合理性を否定しようとしている。これで、彼らの「台湾問題」は完全に露呈した。これは、「台湾で中国を支配する」「中国の統一を妨害する」という彼らの政治的意図を完全に露呈しており、徹底的に暴露し、厳粛に非難しなければならない。
外部势力打“台湾牌”，是把台湾当作遏制中国发展进步、阻挠中华民族伟大复兴的棋子，牺牲的是台湾同胞的利益福祉和光明前途，绝不是为了台湾同胞好。他们纵容鼓动“台独”分裂势力滋事挑衅，加剧两岸对抗和台海形势紧张，破坏亚太地区和平稳定，既违逆求和平、促发展、谋共赢的时代潮流，也违背国际社会期待和世界人民意愿。新中国成立之初，在百废待兴、百业待举的情况下，中国共产党和中国政府紧紧依靠人民，以“钢少气多”力克“钢多气少”，赢得抗美援朝战争伟大胜利，捍卫了新中国安全，彰显了新中国大国地位，展现了我们不畏强暴、反抗强权的铮铮铁骨。中国坚定不移走和平发展道路，同时决不会在任何外来干涉的压力面前退缩，决不会容忍国家主权、安全、发展利益受到任何损害。“挟洋谋独”没有出路，“以台制华”注定失败。	外部勢力は「台湾カード」を使って、台湾を駒として中国の発展と進歩を封じ込め、中華民族の偉大な再生を妨害し、台湾同胞の利益、幸福、明るい未来を犠牲にしており、決して台湾同胞のためになることはない。彼らは「台湾独立」分離主義勢力を謀り、刺激し、両岸の対立と台湾海峡の緊張を悪化させ、アジア太平洋地域の平和と安定を損なっている。新中国建国の当初、まだやるべきことがたくさんあった時、中国共産党と中国政府は国民をしっかり頼り、「大鉄小ガス」を「小鉄大ガス」で乗り越えてきたのである。中国の大国としての地位が示され、暴力に屈しない、権力に抵抗する鉄のバックボーンが示された。中国は平和的発展の道を堅持すると同時に、外国の介入圧力に直面しても決して引き下がらず、国家の主権、安全、発展利益に対するいかなる損害も容認しない。外国勢力に独立を求める」ことに出口はなく、「台湾を利用して中国をコントロールする」ことは失敗する運命にある。
要安宁、要发展、要过好日子，是台湾同胞的普遍心声，创造美好生活是两岸同胞的共同追求。在中国共产党的坚强领导下，中国人民和中华民族迎来从站起来、富起来到强起来的伟大飞跃，一穷二白、人口众多的祖国大陆全面建成小康社会，我们更有条件、更有信心、更有能力完成祖国统一大业，让两岸同胞都过上更好的日子。祖国统一的历史车轮滚滚向前，任何人任何势力都无法阻挡。	平和と発展、より良い生活を手に入れることは、台湾の同胞の普遍的な願いであり、より良い生活を作り出すことは、台湾海峡両岸の同胞の共通の追求である。中国共産党の強力な指導の下で、中国人民と中華民族は、立ち上がり、豊かになり、強くなるまでの大きな飛躍を遂げました。祖国統一という歴史の歯車は、誰にも、どんな力にも止められずに回っていく。
四、在新时代新征程上推进祖国统一	4. 新しい時代と新しい旅路における祖国統一の推進
在民族复兴的新征程上，中国共产党和中国政府统筹中华民族伟大复兴战略全局和世界百年未有之大变局，深入贯彻新时代中国共产党解决台湾问题的总体方略和对台大政方针，扎实推动两岸关系和平发展、融合发展，坚定推进祖国统一进程。	国家の再生という新たな旅路において、中国共産党（CPC）と中国政府は、中華民族の偉大な再生と過去一世紀にわたる世界の未曾有の変化に対する全体的な戦略状況を調整している。中共の台湾問題解決の全体戦略と新時代の台湾に対する主要政策を徹底的に実行し、両岸関係の平和的かつ一体的な発展をしっかりと推進し、祖国との統一プロセスをしっかりと前進させる。
（一）坚持“和平统一、一国两制”基本方针	(1) 「平和的統一と一国二制度」の基本原則を堅持する
以和平方式实现祖国统一，最符合包括台湾同胞在内的中华民族整体利益，最有利于中国的长期稳定发展，是中国共产党和中国政府解决台湾问题的第一选择。尽管几十年来遇到困难和阻力，但我们仍然坚持不懈地争取和平统一，这体现了我们对民族大义、同胞福祉与两岸和平的珍视和维护。	平和的手段で祖国の統一を実現することは、台湾の同胞を含む中華民族全体の利益であり、中国の長期的な安定発展に最も資するものである。過去数十年にわたる困難と抵抗にもかかわらず、我々は平和的統一に向けて粘り強く努力してきた。これは、我々が国家の正義、同胞の幸福、両岸の平和を大切にし、支持していることの表れである。
“一国两制”是中国共产党和中国政府为实现和平统一作出的重要制度安排，是中国特色社会主义的一个伟大创举。“和平统一、一国两制”是我们解决台湾问题的基本方针，也是实现国家统一的最佳方式，体现了海纳百川、有容乃大的中华智慧，既充分考虑台湾现实情况，又有利于统一后台湾长治久安。我们主张，和平统一后，台湾可以实行不同于祖国大陆的社会制度，依法实行高度自治，两种社会制度长期共存、共同发展。“一国”是实行“两制”的前提和基础，“两制”从属和派生于“一国”并统一于“一国”之内。我们将继续团结台湾同胞，积极探索“两制”台湾方案，丰富和平统一实践。“一国两制”在台湾的具体实现形式会充分考虑台湾现实情况，会充分吸收两岸各界意见和建议，会充分照顾到台湾同胞利益和感情。	「一国二制度」は、中国共産党と中国政府が平和的統一を実現するために行った重要な制度的取り決めで、中国の特色ある社会主義の偉大な革新である。平和的統一と「一国二制度」は、台湾問題を解決するための基本的な考え方であり、海はすべての川を受け入れ、寛容であるという中国の知恵を反映した、国家統一を達成するための最善の方法である。我々は、台湾が平和的に統一された後、祖国とは異なる社会制度を採用し、法律に従って高度な自治を行使することができると提唱している。 "一国 "に従属し、"一国 "から派生する "二制度 "を実現するための前提・基礎となるものであり「二つの制度」は「一つの国」に従属し、「一つの国」から派生し、「一つの国」の中で統一されている。我々は、台湾の同胞を団結させ、「二つの制度」の台湾案を積極的に模索し、平和的統一の実践を充実させていくつもりである。台湾における「一国二制度」の具体的な実現形態は、台湾の現実を十分に考慮し、台湾海峡両岸の各界の見解と提案を十分に取り入れ、台湾同胞の利益と感情を十分に受け入れるものである。
“一国两制”提出以来，台湾一些政治势力曲解误导，民进党及其当局不遗余力地造谣抹黑，造成部分台湾同胞的偏颇认知。事实是，香港、澳门回归祖国后，重新纳入国家治理体系，走上了同祖国内地优势互补、共同发展的宽广道路，“一国两制”实践取得举世公认的成功。同时，一个时期内，受各种内外复杂因素影响，“反中乱港”活动猖獗，香港局势一度出现严峻局面。中国共产党和中国政府审时度势，采取一系列标本兼治的举措，坚持和完善“一国两制”制度体系，推动香港局势实现由乱到治的重大转折，进入由治及兴的新阶段，为推进依法治港治澳、促进“一国两制”实践行稳致远打下了坚实基础。	「一国二制度」が導入されて以来、台湾の一部の政治勢力はこれを誤認・誤導し、民進党とその当局は噂で中傷する努力を惜しまず、一部の台湾同胞は偏った認識を持っている。事実、祖国への返還後、香港とマカオは国家統治体制に再び組み込まれ、大陸と力を補完し合い、共同発展するという幅広い道に踏み出し、「一国二制度」の実践は普遍的に認められる成功を収めたのである。一方、香港では一時期、内外のさまざまな複雑な事情や「反中・反抗」活動の横行により、危機的な状況に陥ったことがある。中国共産党と中国政府は状況を把握し、問題の症状と根本原因の両方に対処する一連の対策を採用し、「一国二制度」を堅持・改善し、香港の状況を混沌から統治へと大きく転換させ、統治と繁栄の新しい局面に入ることを推進した。これにより、法に則った香港・マカオの統治を推進し、「一国二制度」の実践を安定的に推進するための確固たる基盤が築かれたのである。
实现两岸和平统一，必须面对大陆和台湾社会制度与意识形态不同这一基本问题。“一国两制”正是为解决这个问题而提出的最具包容性的方案。这是一个和平的方案、民主的方案、善意的方案、共赢的方案。两岸制度不同，不是统一的障碍，更不是分裂的借口。我们相信，随着时间的推移，“一国两制”将被广大台湾同胞重新认识；在两岸同胞共同致力实现和平统一的过程中，“两制”台湾方案的空间和内涵将得到充分展现。	台湾海峡を越えて平和的に統一するためには、大陸と台湾の社会制度やイデオロギーが異なるという根本的な問題を直視する必要がある。「一国二制度」は、この問題を解決するための最も包括的な提案である。平和的解決、民主的解決、親善的解決、ウィンウィンの解決である。台湾海峡を挟んで異なる体制は、統一の障害にはならないし、分断の口実にもならない。時間の経過とともに、「一国二制度」が台湾の同胞に再認識され、台湾海峡両岸の同胞が平和的統一に向けて協力する中で、「二制度」台湾提案の空間と意味合いが十分に明らかになると信じている。
和平统一，是平等协商、共议统一。两岸长期存在的政治分歧问题是影响两岸关系行稳致远的总根子，总不能一代一代传下去。两岸协商谈判可以有步骤、分阶段进行，方式可灵活多样。我们愿意在一个中国原则和“九二共识”的基础上，同台湾各党派、团体和人士就解决两岸政治分歧问题开展对话沟通，广泛交换意见。我们也愿意继续推动由两岸各政党、各界别推举的代表性人士开展民主协商，共商推动两岸关系和平发展、融合发展和祖国和平统一的大计。	平和的統一とは、対等な立場で協議し、共同で議論することである。台湾海峡両岸の長年の政治的相違は、両岸関係の根本原因であり、世代を超えて受け継ぐことはできない。両岸の協議と交渉は、段階的かつ段階的な方法で、さまざまな柔軟性をもって行うことができる。我々は、一帯一路の原則と1992年コンセンサスに基づき、台湾の様々な政党、団体、個人と両岸の政治的相違の解決について対話とコミュニケーションを行い、広く意見交換を行うことを望んでいる。また、台湾海峡両岸の政党やセクターから推薦された代表的な人物による民主的な協議を引き続き推進し、両岸の平和的関係の促進、統合と発展、祖国の平和的統一を議論していく所存である。
（二）努力推动两岸关系和平发展、融合发展	(2) 両岸関係の平和的発展と統合の推進に努める
两岸关系和平发展、融合发展是通向和平统一的重要途径，是造福两岸同胞的康庄大道，需要凝聚两岸同胞力量共同推进。我们要在两岸关系和平发展进程中深化两岸融合发展，密切两岸交流合作，拉紧两岸情感纽带和利益联结，增强两岸同胞对中华文化和中华民族的认同，铸牢两岸命运共同体意识，厚植祖国和平统一的基础。	両岸関係の平和的発展と統合は、台湾海峡両岸の同胞のために平和的統一と繁栄への重要な道であり、両岸の同胞が共同で推進する必要がある。両岸関係の平和的発展の過程で両岸の融合と発展を深め、両岸の交流と協力を緊密にし、両岸の情緒的な結びつきと利益のつながりを強化し、台湾海峡両岸の同胞が中国文化と中華民族に対するアイデンティティを強化し、台湾海峡両岸の運命共同体の意識を醸成し、祖国の平和統一のための基礎を厚くする必要がある。
突出以通促融、以惠促融、以情促融，勇于探索海峡两岸融合发展新路，率先在福建建设海峡两岸融合发展示范区。持续推进两岸应通尽通，不断提升两岸经贸合作畅通、基础设施联通、能源资源互通、行业标准共通。推动两岸文化教育、医疗卫生合作，社会保障和公共资源共享，支持两岸邻近或条件相当地区基本公共服务均等化、普惠化、便捷化。积极推进两岸经济合作制度化，打造两岸共同市场，壮大中华民族经济。	我々は、コミュニケーション、利益、愛情によって統合を促進することの重要性を強調し、両岸の統合と発展の新しい方法を模索し、福建省で両岸の統合と発展の実証区を率先して建設していく。両岸へのアクセスをすべて促進し、両岸の経済貿易協力、インフラ接続性、エネルギー資源の相互運用性、業界標準を継続的に向上させる。文化、教育、医療、社会保障、公共資源の共有における両岸協力を推進し、台湾海峡両岸の近隣地域または同等地域における基本的な公共サービスの均等化、普遍化、利便化を支援する。両岸経済協力の制度化を積極的に推進し、両岸共通市場を創設し、中国の国民経済を強化する。
完善保障台湾同胞福祉和在大陆享受同等待遇的制度和政策，依法维护台湾同胞正当权益。支持台胞台企参与“一带一路”建设、国家区域重大战略和区域协调发展战略，融入新发展格局，参与高质量发展，让台湾同胞分享更多发展机遇，参与国家经济社会发展进程。	台湾同胞の福利と大陸での平等な扱いを保証する制度と政策を改善し、法律に従って台湾同胞の合法的な権利と利益を保護すること。台湾同胞と企業が「一帯一路」建設、主要な国家地域戦略、地域協調発展戦略に参加し、新しい発展パターンに溶け込み、質の高い発展に参加することを支援し、台湾同胞がより多くの発展の機会を共有し、国家の経済・社会発展プロセスに参加できるようにする。
排除干扰、克服障碍，不断扩大两岸各领域交流合作。推动两岸同胞共同传承和创新发展中华优秀传统文化，加强两岸基层民众和青少年交流，吸引更多台胞特别是台湾青年来大陆学习、创业、就业、生活，使两岸同胞加深相互理解，增进互信认同，逐步实现心灵契合。	妨害を排除し、障害を克服して、両岸の各分野の交流と協力を継続的に拡大する。我々は、台湾海峡両岸の同胞の間で、優れた中国伝統文化の共通遺産と革新的発展を促進し、海峡両岸の草の根の人々と青年の交流を強化し、より多くの台湾同胞、特に台湾青年が大陸で学び、事業を起こし、職を求め、生活するよう誘致し、海峡両岸の同胞が相互理解を深め、相互信頼とアイデンティティを高め、徐々に精神的結びつきを実現できるようにしたい」と述べている。
（三）坚决粉碎“台独”分裂和外来干涉图谋	(3) 「台湾独立」という分裂と外患誘致を断固として粉砕する
搞“台独”分裂只会将台湾推入灾难深渊，给台湾同胞带来深重祸害。维护包括台湾同胞在内的中华民族整体利益，必须坚决反对“台独”分裂、促进祖国和平统一。我们愿意为和平统一创造广阔空间，但绝不为各种形式的“台独”分裂活动留下任何空间。中国人的事要由中国人来决定。台湾问题是中国的内政，事关中国核心利益和中国人民民族感情，不容任何外来干涉。任何利用台湾问题干涉中国内政、阻挠中国统一进程的图谋和行径，都将遭到包括台湾同胞在内的全体中国人民的坚决反对。任何人都不要低估中国人民捍卫国家主权和领土完整的坚强决心、坚定意志、强大能力。	台湾の独立は、台湾を災いの深淵に突き落とし、台湾の同胞に深刻な被害をもたらすだけである。台湾の同胞を含む中華民族全体の利益を守るために、我々は「台湾独立」という分裂に断固反対し、祖国の平和的統一を推進しなければならない。我々は平和的統一のために広い空間を作ることを望んでいるが、あらゆる形態の「台湾独立」分離主義的な活動のための余地を決して残さない。中国のことは中国人が決めればいい。台湾問題は中国の内政問題であり、中国の核心的利益と中国国民の民族感情に関わるもので、いかなる外国からの干渉も許されない。台湾問題を利用して中国の内政に干渉し、中国の統一プロセスを妨害するいかなる試み、行動も、台湾の同胞を含む中国全人民が断固として反対するものである。中国人民の国家主権と領土保全に対する強い決意、確固たる意志、強力な能力を、誰も過小評価してはならない。
我们愿继续以最大诚意、尽最大努力争取和平统一。我们不承诺放弃使用武力，保留采取一切必要措施的选项，针对的是外部势力干涉和极少数“台独”分裂分子及其分裂活动，绝非针对台湾同胞，非和平方式将是不得已情况下做出的最后选择。如果“台独”分裂势力或外部干涉势力挑衅逼迫，甚至突破红线，我们将不得不采取断然措施。始终坚持做好以非和平方式及其他必要措施应对外部势力干涉和“台独”重大事变的充分准备，目的是从根本上维护祖国和平统一的前景、推进祖国和平统一的进程。	我々は、最大限の誠意と努力をもって、平和的統一のために引き続き努力するつもりである。我々は、武力行使を放棄することを約束するものではなく、外部勢力やごく少数の「台湾独立」分離主義者とその分離主義的な活動による干渉を対象とするために必要なあらゆる手段を講じるという選択肢を留保するが、台湾の同胞は対象外である。もし「台湾独立」の分離主義勢力や外部の干渉勢力が挑発し、強行突破したり、レッドラインを突破するようなことがあれば、断固とした措置を取らなければならない。我々は、祖国の平和的統一の展望を根本的に守り、平和的統一のプロセスを前進させることを目的として、外部からの干渉や「台湾独立」の重大事件に対して、非平和的手段やその他の必要な措置で対応する準備を十分に整えておくことを常に主張してきたのである。
当前，美国一些势力图谋“以台制华”，处心积虑打“台湾牌”，刺激“台独”分裂势力冒险挑衅，不仅严重危害台海和平稳定，妨碍中国政府争取和平统一的努力，也严重影响中美关系健康稳定发展。如果任其发展下去，必将导致台海形势紧张持续升级，给中美关系造成颠覆性的巨大风险，并严重损害美国自身利益。美国应该恪守一个中国原则，慎重妥善处理涉台问题，停止说一套做一套，以实际行动履行不支持“台独”的承诺。	現在、米国の一部勢力は「台湾で中国をコントロール」しようと、意図的に「台湾カード」を使い、「台湾独立」分離派勢力を刺激して危険な挑発行為に及んでいる。これは台湾海峡の平和と安定を著しく損なうだけでなく、中国政府の平和的統一への努力を妨げ、中米関係の健全で安定した発展に深刻な影響を与える。このままでは、台湾海峡の緊張が高まり続け、米中関係が不安定化し、米国の利益が著しく損なわれる大きなリスクを生むことになる。米国は、一帯一路の原則を守り、台湾問題を慎重かつ適切に処理し、有言実行をやめ、「台湾独立」を支持しないという約束を現実の行動で果たすべきである。
（四）团结台湾同胞共谋民族复兴和国家统一	(4) 台湾同胞を団結させ、民族の再生と統一を図る
国家统一是中华民族走向伟大复兴的历史必然。台湾前途在于国家统一，台湾同胞福祉系于民族复兴。实现中华民族伟大复兴，与两岸同胞前途命运息息相关。民族强盛，是两岸同胞之福；民族弱乱，是两岸同胞之祸。民族复兴、国家强盛，两岸同胞才能过上富足美好的生活。实现中华民族伟大复兴需要两岸同胞共同奋斗，实现祖国完全统一同样需要两岸同胞携手努力。	民族統一は、中華民族の偉大な再生のために歴史的に必要なことである。台湾の未来は祖国統一にあり、台湾同胞の幸福は祖国再生にある。中華民族の偉大な再生の実現は、台湾海峡両岸の同胞の未来と運命と密接な関係がある。強い国家は台湾海峡両岸の同胞にとって祝福であり、弱い国家は台湾海峡両岸の同胞にとって呪いである。国家が再生、国が強くなってこそ、台湾海峡両岸の同胞が豊かで美しい生活を送ることができるのである。中華民族の偉大な再生を実現するためには、台湾海峡両岸の同胞が力を合わせる必要があり、祖国の完全な統一を実現するためには、海峡両岸の同胞が力を合わせる必要がある。
由于受到“台独”思想毒害，也由于两岸政治分歧问题尚未得到解决，一些台湾同胞对两岸关系性质和国家认同问题认识出现偏差，对祖国统一心存疑惧。台湾同胞是我们的骨肉天亲，两岸同胞是血浓于水的一家人。我们愿意保持足够的耐心和包容心，创造条件加强两岸交流交往，不断加深广大台湾同胞对祖国大陆的了解，逐步减少他们的误解和疑虑，进而走出受“台独”煽惑的历史误区。	「台湾独立」という誤った思想と台湾海峡両岸の未解決の政治的相違により、一部の台湾同胞は両岸関係の本質と国家アイデンティティについて誤解し、祖国統一に疑問と恐怖を抱いている。台湾の同胞は我々の肉親であり、台湾海峡両岸の同胞は血の通った水よりも濃い家族である。我々は十分な忍耐と寛容を保ち、両岸交流と交流を強化する条件を整え、台湾同胞の祖国に対する理解を絶えず深め、彼らの誤解と疑念を徐々に減らし、「台湾独立」に扇動された歴史的誤解から脱することを望んでいる。
我们将团结广大台湾同胞共创祖国统一、民族复兴的光荣伟业。希望广大台湾同胞坚定站在历史正确的一边，做堂堂正正的中国人，认真思考台湾在民族复兴中的地位和作用，深明大义、奉义而行，坚决反对“台独”分裂和外部势力干涉，积极参与到推进祖国和平统一的正义事业中来。	我々は、台湾の同胞を団結させ、祖国の統一と国家の再生のための輝かしい仕事に取り組んでいく。我々は、台湾同胞が歴史の正しい側面にしっかりと立ち、まっすぐな中国人であり、国家の再生における台湾の地位と役割を真剣に考え、大義を理解し、正義に従って行動し、台湾独立の分離と外部勢力の干渉に断固反対し、祖国の平和統一を促進するという正義のために積極的に参加することを望んでいる。
五、实现祖国和平统一的光明前景	5. 祖国の平和的統一への明るい展望
按照“一国两制”实现两岸和平统一，将给中国发展进步和中华民族伟大复兴奠定新的基础，将给台湾经济社会发展创造巨大机遇，将给广大台湾同胞带来实实在在的好处。	「一国二制度」の下での台湾海峡両岸の平和的統一は、中国の発展と中華民族の偉大な再生のための新しい基盤を築き、台湾の経済・社会発展のために多大な機会を創出し、大多数の台湾同胞に具体的な利益をもたらすだろう。
（一）台湾发展空间将更为广阔	(1) 台湾の発展余地が広がる
台湾经济发展水平较高，产业特色明显，对外贸易发达，两岸经济互补性强。统一后，两岸经济合作机制、制度更加完善，台湾经济将以大陆市场为广阔腹地，发展空间更大，竞争力更强，产业链供应链更加稳定通畅，创新活力更加生机勃勃。长期困扰台湾经济发展和民生改善的众多难题，可以在两岸融合发展、应通尽通中得到解决。台湾财政收入尽可用于改善民生，多为老百姓做实事、办好事、解难事。	台湾は高度な経済発展、特色ある産業特性、発達した対外貿易、両岸経済の強い補完性を持っている。統一後、両岸経済協力のメカニズムとシステムがより完成され、台湾経済は大陸市場を広大な後背地として、より発展する余地と競争力を持ち、産業チェーンのサプライチェーンはより安定的かつ円滑になり、イノベーションがより活発になる。台湾の経済発展や人々の生活向上を長い間悩ませてきた多くの問題は、両岸の統合と発展、そして互いにつながるためのあらゆる努力によって解決することができる。台湾の収入は、できるだけ人々の生活を向上させ、より現実的で善良かつ困難なことを行うために使われる。
台湾的文化创造力将得到充分发扬，两岸同胞共同传承中华文化、弘扬民族精神，台湾地域文化在中华文化根脉的滋养中更加枝繁叶茂、焕发光彩。	台湾の文化的創造力が十分に発揮され、台湾海峡両岸の同胞が協力して中国文化の継承と民族精神の高揚を図り、中国文化の根源を養う中で台湾の地域文化が花開き、輝きを放つようになるだろう。
（二）台湾同胞切身利益将得到充分保障	(2) 台湾同胞の当面の利益は完全に保護される
在确保国家主权、安全、发展利益的前提下，台湾可以作为特别行政区实行高度自治。台湾同胞的社会制度和生活方式等将得到充分尊重，台湾同胞的私人财产、宗教信仰、合法权益将得到充分保障。所有拥护祖国统一、民族复兴的台湾同胞将在台湾真正当家作主，参与祖国建设，尽享发展红利。有强大祖国做依靠，台湾同胞在国际上腰杆会更硬、底气会更足，更加安全、更有尊严。	国家主権、安全保障、発展利益の確保を前提に、台湾は特別行政区として高度な自治を行使することができる。台湾同胞の社会制度や生活様式などを十分に尊重し、私有財産、信仰、合法的な権益を十分に保護する。祖国の統一と民族の再生を支持するすべての台湾同胞は、真に自分の国の主人となり、祖国の建設に参加し、発展の配当を享受することができる。強い祖国を頼りにすることで、台湾の同胞は国際舞台でより強い背中を見せ、より自信を持ち、より安全で威厳のある生活を送ることができるようになるだろう。
（三）两岸同胞共享民族复兴的伟大荣光	(3) 台湾海峡両岸の同胞は、民族の再生という偉大な栄光を分かち合う。
台湾同胞崇敬祖先、爱土爱乡、勤劳勇敢、自强不息，具有光荣的爱国主义传统。两岸同胞发挥聪明才智，携手共创美好未来潜力巨大。统一后，两岸同胞可以弥合因长期没有统一而造成的隔阂，增进一家人的同胞亲情，更加紧密地团结起来；可以发挥各自优势，实现互利互补，携手共谋发展；可以共同促进中华民族的繁荣昌盛，让中华民族以更加昂扬的姿态屹立于世界民族之林。	台湾海峡両岸の同胞には、祖先を敬い、祖国を愛し、勤勉で勇敢で、自立した愛国心という輝かしい伝統がある。台湾海峡両岸の同胞が創意工夫と知恵を発揮し、より良い未来のために協力し合うことは、大きな可能性を秘めているのである。統一後、台湾海峡両岸の同胞は、長い間の統一不在による溝を埋め、家族の絆を深め、より緊密に団結することができ、それぞれの長所を十分に発揮し、互恵と補完を実現し、共に発展を目指し、中華民族の繁栄を共同で推進し、中華民族は世界の森でより高揚した姿勢で立つことができるのである。
两岸同胞血脉相连、命运与共。统一后，中国的国际影响力、感召力、塑造力将进一步增强，中华民族的自尊心、自信心、自豪感将进一步提升。台湾同胞将同大陆同胞一道，共享一个伟大国家的尊严和荣耀，以做堂堂正正的中国人而骄傲和自豪。两岸同胞共同探索实施“两制”台湾方案，共同发展完善“一国两制”制度体系，确保台湾长治久安。	台湾海峡の両岸に住む同胞は、血で結ばれ、同じ運命を共有している。統一後、中国の国際的な影響力、魅力、形成力はさらに高まり、中華民族の自尊心、自信、誇りはさらに高められるだろう。台湾の同胞は、大陸の同胞と大国の尊厳と栄光を分かち合い、正しい中国人であることに誇りと栄誉を感じることでしょう。台湾海峡両岸の同胞は、「二制度」台湾案の実施を共同で模索し、「一国二制度」体制を共同で発展・改善し、台湾の長期的安定を確保することができるだろう。
（四）有利于亚太地区及全世界和平与发展	(4) アジア太平洋地域および世界の平和と発展に寄与する
实现两岸和平统一，不仅是中华民族和中国人民之福，也是国际社会和世界人民之福。中国的统一，不会损害任何国家的正当利益包括其在台湾的经济利益，只会给各国带来更多发展机遇，只会给亚太地区和世界繁荣稳定注入更多正能量，只会为构建人类命运共同体、为世界和平发展和人类进步事业作出更大贡献。	台湾海峡の両岸が平和的に統一されることは、中華民族と中国国民だけでなく、国際社会と世界の人々にも祝福を与えることになるだろう。中国の統一は、台湾における経済的利益を含め、いかなる国の合法的利益も損なわず、ただ他国に発展の機会をもたらし、アジア太平洋地域と世界の繁栄と安定により積極的なエネルギーを注入し、人類運命共同体の構築と世界の平和、発展、人類の進歩のために、より大きな貢献をすることになるだろう。
统一后，有关国家可以继续同台湾发展经济、文化关系。经中国中央政府批准，外国可以在台湾设立领事机构或其他官方、半官方机构，国际组织和机构可以在台湾设立办事机构，有关国际公约可以在台湾适用，有关国际会议可以在台湾举办。	統一後も、関係国は台湾との経済・文化関係を発展させることができる。中国中央政府の承認を得て、外国は台湾に領事事務所やその他の公的・半公的機関を設置することができ、国際機関や組織は台湾に事務所を設置することができ、台湾で関連国際条約を適用することができ、台湾で関連国際会議を開催することができる。
结束语	結論
具有五千多年文明史的中华民族创造了震古烁今的灿烂文化，对人类社会发展进步作出了重大贡献。在经历了近代以来从屈辱走向奋起、从落伍走向崛起的百年沧桑之后，中华民族迎来了大发展大作为的时代，迈出了走向伟大复兴的铿锵步伐。	中華民族は5,000年以上の文明の歴史を持ち、時代を超えて輝く素晴らしい文化を創造し、人類社会の発展と進歩に大きく寄与してきた。中華民族は、屈辱と上昇、後退と上昇の一世紀を経て、偉大な発展と進歩の時代を迎え、偉大な再生への歩みだした。
在新时代新征程上，中国共产党和中国政府将继续团结带领两岸同胞顺应历史大势，勇担时代责任，把前途命运牢牢掌握在自己手中，为实现祖国完全统一和中华民族伟大复兴而努力奋斗。	この新しい時代と新しい旅路において、中国共産党と中国政府は引き続き団結し、台湾海峡両岸の同胞が歴史の大勢に従って、時代の責任を担い、未来と運命を自らの手でしっかりとつかみ、祖国の完全統一と中華民族の偉大な復興に向けて努力するよう導いていくだろう。
前进道路不可能一马平川，但只要包括两岸同胞在内的所有中华儿女同心同德、团结奋斗，就一定能够粉碎任何形式的“台独”分裂和外来干涉图谋，就一定能够汇聚起促进祖国统一和民族复兴的磅礴伟力。祖国完全统一的历史任务一定要实现，也一定能够实现！	前途は決して平坦ではないが、台湾海峡両岸の同胞を含むすべての中国の子女が一心同体となって闘う限り、いかなる形の「台湾独立」や外国の干渉も粉砕し、祖国の統一と国家の再生のために雄大な力を結集することができるだろう。祖国の完全統一という歴史的課題は必ず達成されなければならないし、必ず達成されるのです
（注1）详见《联合国司法年鉴2010》（United Nations Juridical Yearbook 2010）第516页。	(注1）詳しくは、「国連法務年鑑2010」516頁参照。
（注2）1951年9月4日至8日，美国纠集一些国家，在排斥中华人民共和国、苏联的情况下，在美国旧金山召开所谓“对日和会”，签署包含“日本放弃对台湾、澎湖列岛之所有权利和请求权”等内容的“旧金山和约”。该“和约”违反1942年中美英苏等26国签署的《联合国家宣言》规定，违反《联合国宪章》和国际法基本原则，对台湾主权归属等任何涉及中国作为非缔约国的领土和主权权利的处置也都是非法、无效的。中国政府从一开始就郑重声明，“旧金山和约”由于没有中华人民共和国参加准备、拟制和签订，中国政府认为是非法无效的，绝不承认。苏联、波兰、捷克斯洛伐克、朝鲜、蒙古、越南等国家也拒绝承认“和约”效力。	(注2）1951年9月4日から8日にかけて、米国は多くの国を集めてサンフランシスコでいわゆる「対日講和会議」を開き、中華人民共和国とソ連を排除しつつ、「日本が台湾と澎湖諸島に対するすべての権利と主張を放棄すること」を盛り込んだ「サンフランシスコ平和条約」を締結した。日本は台湾及び澎湖諸島に対する一切の権利及び請求権を放棄する」ことを盛り込んだ「サンフランシスコ講和条約」に調印したのである。この「平和条約」は、1942年に中国、米国、英国、ソ連など26カ国が署名した「国連宣言」の規定、国連憲章、国際法の基本原則に違反するものである。中国政府は当初から、中華人民共和国の参加なしに準備、作成、署名されたサンフランシスコ平和条約は違法かつ無効であるとみなし、決して承認されないと厳粛に表明してきたのである。ソ連、ポーランド、チェコスロバキア、韓国、モンゴル、ベトナムなどの国も「平和条約」の有効性を認めようとしない。
（注3）1995年1月30日，时任中共中央总书记、国家主席江泽民发表题为《为促进祖国统一大业的完成而继续奋斗》的讲话，提出发展两岸关系、推进祖国和平统一进程的八项主张，强调“坚持一个中国的原则，是实现和平统一的基础和前提”、“我们不承诺放弃使用武力，决不是针对台湾同胞，而是针对外国势力干涉中国统一和搞‘台湾独立’的图谋的”等。详见《江泽民文选》第一卷，人民出版社2006年8月第1版，第418至423页。	(注3）1995年1月30日、当時の江沢民中国共産党中央総書記・国家主席は「祖国統一偉業の完成に向けた闘争の継続」と題する演説を行い、両岸関係の発展と祖国の平和的統一を促進するための8つの提言を行い、「一国主義の堅持は平和的統一達成の基礎と前提条件である」と強調した。 "我々は、台湾の同胞に対してではなく、中国の統一と『台湾独立』を妨害しようとする外国勢力に対して、いかなる形であれ、武力行使を放棄することを約束しない "と述べた。詳しくは、江沢民『著作選集』第1巻、人民出版社、初版、2006年8月、418-423頁。
（注4）这里不含经第三地的转投资。	(注4) 第三者を経由した出資の移転はここに含まれない。
（注5）根据2022年4月国际货币基金组织“世界经济展望数据库”的统计。	(注5）2022年4月、国際通貨基金「世界経済見通しデータベース」による。

● 人民日報

・2022.08.14 蓝厅观察丨涉台白皮书向“台独”和外部势力发出强力警告

2022.08.16 07:02 in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.15

中国国家サイバースペース管理局インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、「インターネット情報サービスのアルゴリズム推奨管理規則」に基づく国内のインターネット情報サービスアルゴリズムの名称と申請番号を公表し始めましたね。。。

まずは、24社、30のアプリ、ウェブ、アプレットが公開されていますね。。。こうして公表されだすと、興味深い取り組みであるように感じます。。。

● 中央网络安全和信息化委员会办公室 (Office of the Central Cyberspace Affairs Commission / Cyberspace Administration of China)

・2022.08.12 国家互联网信息办公室关于发布互联网信息服务算法备案信息的公告

国家互联网信息办公室关于发布互联网信息服务算法备案信息的公告

国家サイバースペース管理局インターネット情報サービスのアルゴリズム申請に関する情報公開の公告

根据《互联网信息服务算法推荐管理规定》，现公开发布境内互联网信息服务算法名称及备案编号，相关信息可通过互联网信息服务算法备案系统（https://beian.cac.gov.cn）进行查询。任何单位或个人如有疑议，请发送邮件至pingguchu@cac.gov.cn，提出疑议应以事实为依据，并提供相关证据材料。后续将在本页面持续更新算法备案清单。

「インターネット情報サービスのアルゴリズム推奨管理規則」に基づき、国内のインターネット情報サービスアルゴリズムの名称と申請番号が公開され、インターネット情報サービスアルゴリズム申請システム（https://beian.cac.gov.cn）を通じて関連情報を照会することができるようになった。企業や個人が疑念を抱いた場合、pingguchu@cac.gov.cnまでメールでの問い合わせること。問い合わせは、事実に基づいて行う必要がある。本リストは継続的に更新される予定である。

・[DOC] 附件：境内互联网信息服务算法备案清单（2022年8月）

・[DOC] 仮訳

　24社のリスト。。。urlは自信無し...

杭州菜鸟物流信息科技有限公司	https://tech.cainiao.com/
杭州点望科技有限公司	https://www.qinbaobao.com/
小米科技有限责任公司	https://www.mi.com/
上海拉扎斯信息科技有限公司	https://www.ele.me/
深圳市云网万店电子商务有限公司	https://mc.suning.com/
深圳市富途网络科技有限公司	https://www.futunn.com/
深圳市腾讯计算机系统有限公司	https://www.tencent.com/en-us/
同道精英（天津）信息技术有限公司	https://www.liepin.com/
北京一点网聚科技有限公司	http://www.yidianzixun.com/
北京快手科技有限公司	https://www.kuaishou.com/
北京奇虎科技有限公司	https://www.360.cn/
北京三快科技有限公司	https://bj.meituan.com/
北京字节跳动科技有限公司	https://www.bytedance.com/
北京新浪互联信息服务有限公司	https://www.sina.com.cn/
北京天盈九州网络技术有限公司	https://www.ifeng.com/
北京微梦创科网络技术有限公司	https://www.sina.com.cn/
北京百度网讯科技有限公司	https://home.baidu.com/
北京网易传媒有限公司	https://www.163.com/
北京网聘咨询有限公司	https://www.zhaopin.com/
浙江天猫网络有限公司	https://www.liepin.com/
浙江淘宝网络有限公司	https://world.taobao.com/
聚好看科技股份有限公司	https://global.hisense.com/
优酷信息技术（北京）有限公司	https://www.youku.com/
钉钉科技有限公司	www.dingtalk.com

互联网信息服务算法推荐管理规定（インターネット情報サービスのアルゴリズム推奨管理規則）の情報について...

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.01.05 中国インターネット情報サービスのアルゴリズム推奨管理規則

2022.08.15 02:50 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2022.08.14

米国国土安全保障省監察官室国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要

こんにちは、丸山満彦です。

国土安全保障省の監察官室（内部監査部門）は、「国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要」という勧告を出していますね。。。

米国連邦政府ですら、そういう戦略がないということですから、他の国でも同様なのでしょうね（中国はあるかもしれませんが。。。）。

● Oversight.GOV

・2022.08.10 DHS Needs a Unified Strategy to Counter Disinformation Campaigns

DHS Needs a Unified Strategy to Counter Disinformation Campaigns	国土安全保障省は偽情報キャンペーンに対する統一的な戦略が必要
Report Description:	報告書の内容
The objective was to determine the extent to which DHS is positioned to prevent and reduce domestic terrorism in the United States. We determined that DHS has taken steps to help the United States counter terrorism, but those efforts have not always been consistent. This occurred because the Department has not established a governance body with staff dedicated to long-term oversight and coordination of its efforts to combat domestic terrorism.	目的は、国土安全保障省が米国の国内テロを防止・軽減するためにどの程度まで位置づけられているかを判断することであった。我々は、国土安是保障省が米国のテロ対策を支援するための措置を講じていると判断したが、その努力は必ずしも一貫していない。これは、同省が国内テロ対策への取り組みを長期的に監督・調整するための専門スタッフを擁する統治機関を設立していないために生じたものである。

・[PDF] OIG-22-58-Aug22.pdf

ハイライト...

Why We Did This Audit	監査を実施した理由
In recent years, cyberattacks, intellectual property theft, and statesponsored disinformation campaigns against our Nation have increased significantly. Our objective was to determine the internal and external coordination efforts the Department has taken to counter disinformation that appears in social media.	近年、わが国に対するサイバー攻撃、知的財産の窃盗、国家主導の偽情報キャンペーンが著しく増加している。我々の目的は、ソーシャルメディアに現れる偽情報に対抗するために、同省が行ってきた内部および外部の調整努力を明らかにすることである。
What We Recommend	勧告事項
We recommend DHS develop a unified strategy to counter disinformation campaigns that appear in social media.	国土安全保障省がソーシャルメディアに現れる偽情報キャンペーンに対抗する統一戦略を策定することを勧告する。
What We Found	発見事項
The Department of Homeland Security began internal and external coordination efforts in 2018 to counter disinformation appearing in social media. These efforts were predominantly focused on disinformation campaigns that pertained to election infrastructure or to distinct mission operations.	国土安全保障省は2018年、ソーシャルメディアに現れる偽情報に対抗するため、内部および外部の調整努力を開始した。これらの取り組みは、主に選挙インフラに関連する偽情報キャンペーンや、明確な任務遂行に焦点を当てたものであった。
Although DHS components have worked across various social media platforms to counter disinformation, DHS does not yet have a unified department-wide strategy to effectively counter disinformation that originates from both foreign and domestic sources. DHS faced challenges unifying component efforts because disinformation is an emerging and evolving threat. We also attributed some challenges to the continual changes in DHS leadership, which may have hindered the development of top-down strategic guidance for countering disinformation.	国土安全保障省の各部門は、さまざまなソーシャルメディア・プラットフォームで偽情報対策に取り組んできたが、国土安全保障省には、海外と国内の両方から発信される偽情報に効果的に対抗するための部門全体の統一戦略はまだない。偽情報が新たな脅威であり、進化しているため、国土安全保障省は各部門の取り組みを統一するという課題に直面している。また、国土安全保障省の指導者が絶えず交代していることも、情報操作に対抗するためのトップダウンの戦略的指針の策定を妨げている可能性があると考えられる。
Without a unified strategy, DHS and its components cannot coordinate effectively, internally, or externally to counter disinformation campaigns that appear in social media.	統一された戦略がなければ、国土安全保障省とその構成機関は、ソーシャルメディアに現れる偽情報キャンペーンに対抗するために、内部でも外部でも効果的に調整することができない。
DHS Response	国土安全保障省の対応
The Department concurred with our recommendation. DHS management comments on a draft of this report are in Appendix A.	同省は我々の勧告に同意した。本報告書の草稿に対する国土安全保障省の執行陣のコメントは附属書 A にある。

・[DOCX] 仮訳

参考文献が役に立つことも多いので、、、

DHS, Strategic Planning, last updated November 10, 2021, https://www.dhs.gov/strategicplanning.
DHS, Secure Cyberspace and Critical Infrastructure, last updated February 23, 2022, https://www.dhs.gov/secure-cyberspace-and-critical-infrastructure.
Pew Research Center, 7 Percent of Americans don't use the internet. Who are they?, April 2, 2021, https://www.pewresearch.org/fact-tank/2021/04/02/7-of-americans-dont-use-theinternet-who-are-they/.
CISA defines disinformation as fabricated information intended to mislead or cause harm; misinformation is false, but not created or shared with the intention of causing harm; and malinformation is based on fact but used out of context to mislead, harm, or manipulate, https://www.cisa.gov/mdm.
CISA Insights, Preparing for and Mitigating Foreign Influence Operations Targeting Critical Infrastructure, February 2022, https://www.cisa.gov/sites/default/files/publications/cisa_insight_mitigating_foreign_influenc pdf.
AEP 2019, Combatting Targeted Disinformation Campaigns, October 2019 https://www.dhs.gov/sites/default/files/publications/ia/ia_combatting-targeteddisinformation-campaigns.pdf.
Merriam Webster defines a deepfake as an image or recording that has been convincingly altered and manipulated to misrepresent someone as doing or saying something that was not actually done or said, https://www.merriam-webster.com/dictionary/deepfake. According to the Regulatory Review, Responding to Deepfakes and Disinformation, August 14, 2021, deepfakes are uniquely effective at spreading disinformation, https://www.theregreview.org/2021/08/14/saturday-seminar-responding-deepfakesdisinformation/.
Kelley M. Sayler and Laurie A. Harris, Deepfakes and National Security, June 8, 2021, https://crsreports.congress.gov/product/pdf/IF/IF11333.
Forbes, There Are Now 15,000 Deepfake Videos on Social Media. Yes, You Should Worry, October 8, 2019, https://www.forbes.com/sites/johnbbrandon/2019/10/08/there-are-now15000-deepfake-videos-on-social-media-yes-you-should-worry/?sh=75405acd3750.
Katell Thielemann, It’s Time to Focus on Critical Infrastructure Systems Security, January 24, 2022, https://www.cybersecuritydive.com/news/critical-infrastructure-security/617561/.
Senate Letter to DHS Regarding Efforts to Prevent Disinformation & Propaganda, March 13, 2022, https://www.rosen.senate.gov/sites/default/files/2022-03/3290%20FINAL.pdf.
CISA Alert (AA20-352A), Advanced Persistent Threat Compromise of Government Agencies, Critical Infrastructure, and Private Sector Organizations, April 15, 2021, https://www.cisa.gov/uscert/ncas/alerts/aa20-352a.
Gillian Cleary, Twitter Bots: Anatomy of a Propaganda Campaign, June 5, 2019, https://symantec-enterprise-blogs.security.com/blogs/threat-intelligence/twitterbotspropaganda-disinformation.
AEP 2019, Combatting Targeted Disinformation Campaigns, October 2019, https://www.dhs.gov/sites/default/files/publications/ia/ia_combatting-targeteddisinformation-campaigns.pdf.
WTOP, COVID Conspiracy: Foreign Disinformation Driving American Vaccine Resistance, September 27, 2021, https://wtop.com/j-j-green-national/2021/09/covid-conspiracy-foreigndisinformation-driving-american-vaccine-resistance/.
PEW, Election Disinformation Fears Came True for State Officials, November 20, 2020, https://www.pewtrusts.org/en/research-and-analysis/blogs/stateline/2020/11/20/electiondisinformation-fears-came-true-for-state-officials.
Christina Georgapoulos and Trey Poche, Fake news, disinformation and the George Floyd Protests, August 2020, https://faculty.lsu.edu/fakenews/about/protestfakenews.php.
Brookings, How Disinformation Evolved in 2020, January 4, 2021, https://www.brookings.edu/techstream/how-disinformation-evolved-in-2020/.
Id.
Presidential Policy Directive 41, United States Cyber Incident Coordination, July 26, 2016, https://obamawhitehouse.archives.gov/the-press-office/2016/07/26/presidential-policydirective-united-states-cyber-incident.
CISA’s MDM website, accessed July 13, 2021, states it continues to make social media platforms and law enforcement aware of disinformation, https://www.cisa.gov/mdm.
CISA’s email correspondence to Social Media platforms included the following disclaimer: “The Cybersecurity and Infrastructure Security Agency (CISA) of the U.S. Department of Homeland Security (DHS) is not the originator of this information. CISA is forwarding this information, unedited, from its originating source – this information has not been originated or generated by CISA. This information may also be shared with law enforcement or intelligence agencies. CISA affirms that it neither has nor seeks the ability to remove or edit what information is made available on social media platforms. CISA makes no recommendations about how the information it is sharing should be handled or used by social media companies. Additionally, CISA will not take any action, favorable or unfavorable, toward social media companies based on decisions about how or whether to use this information.”
Strategic Framework for Countering Terrorism and Targeted Violence,
CISA’s Bug Bytes graphic novel, accessed April 29, 2021, https://www.cisa.gov/resilienceseries-graphic-novels.
CISA’s Real Fake graphic novel, accessed April 29, 2021, https://www.cisa.gov/resilienceseries-graphic-novels.
CISA, #Protect2020 webpage, accessed April 29, 2021, https://www.cisa.gov/protect2020.
CISA, Tools of Disinformation: Inauthentic Content, accessed April 29, 2021, https://www.cisa.gov/sites/default/files/publications/mdm-inauthentic-content-productpdf.
CISA’s factsheet states that forged artifacts typically feature fake letterheads, copied and pasted signatures, made-up social media posts, and maliciously edited emails. Proxy websites are fronts for malicious actors, designed to launder disinformation and divisive content or use that content to drive website visits, accessed May 11, 2021, https://www.cisa.gov/sites/default/files/publications/mdm-inauthentic-content-productpdf.
COVID-19 Disinformation Toolkit, accessed April 29, 2021, https://www.cisa.gov/covid-19disinformation-toolkit.
Social Media Bots Infographic Set, accessed May 11, 2021, https://www.cisa.gov/sites/default/files/publications/social_media_bots_infographic_set_508.
Presidential Policy Directive 21, Critical Infrastructure Security and Resilience, February 12, 2013, https://obamawhitehouse.archives.gov/the-press-office/2013/02/12/presidentialpolicy-directive-critical-infrastructure-security-and-resil.
DHS Strategic Framework for Countering Terrorism and Targeted Violence, September 2019, https://www.dhs.gov/sites/default/files/publications/19_0920_plcy_strategic-frameworkcountering-terrorism-targeted-violence.pdf.
Homeland Threat Assessment, October 2020, https://www.dhs.gov/sites/default/files/publications/2020_10_06_homeland-threatpdf.
Strategic Framework for Countering Terrorism and Targeted Violence, September 2019, https://www.dhs.gov/sites/default/files/publications/19_0920_plcy_strategic-frameworkcountering-terrorism-targeted-violence.pdf.
Alejandro Mayorkas was sworn in as DHS Secretary on February 1, 2021.
In an April 2022 House Judiciary Committee hearing, the DHS Secretary stated that the Department had established a Disinformation Governance Board to focus on the dissemination of disinformation. Three weeks after DHS Secretary’s announcement, it was reported that the Department decided to “pause” the Disinformation Governance Board and its work. We did not validate detailed information about the board, a strategy, or milestones as part of this audit, as it was formed after our fieldwork was complete. Washington Post, How the Biden administration let right-wing attacks derail its disinformation efforts, May 18, 2022, https://www.washingtonpost.com/technology/2022/05/18/disinformation-board-dhs-ninajankowicz/.

2022.08.14 06:30 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2022.08.13

総務省「ICTサイバーセキュリティ総合対策2022」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2022」の公表

こんにちは、丸山満彦です。

総務省が「ICTサイバーセキュリティ総合対策2022」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2022」を公表していますね。。。

昨年に引き続き、パブコメが出たとき (2022.06.16) に紹介をするのを忘れていました。。。

● 総務省

・2022.08.12 「ICTサイバーセキュリティ総合対策2022」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2022」の公表

・[PDF] ICTサイバーセキュリティ総合対策2022

目次...

はじめに

Ⅰ サイバーセキュリティを巡る最近の動向
１. サイバーセキュリティに関する政策動向
２. サイバーセキュリティ全般を巡る動向

Ⅱ 「ICT サイバーセキュリティ総合対策 2022」として今後取り組むべき施策
１. 情報通信ネットワークの安全性・信頼性の確保
（１）情報通信ネットワークのサイバーセキュリティ対策の推進
ア. 電気通信事業者による積極的サイバーセキュリティ対策の推進
イ. 情報通信分野におけるサプライチェーンリスク対策
ウ. IoTにおけるサイバーセキュリティの確保
エ. クラウドサービスにおけるサイバーセキュリティの確保
オ. スマートシティにおけるサイバーセキュリティの確保
カ. ICT-ISACを通じた情報共有
キ. 放送設備におけるサイバーセキュリティ対策
ク. Beyond 5G・6Gに向けたサイバーセキュリティの検討
（２）トラストサービスの普及
２. サイバー攻撃への自律的な対処能力の向上
（１） CYNEX（サイバーセキュリティ統合知的・人材育成基盤）等の推進
（２）研究開発の推進
（３）人材育成の推進
ア. 実践的サイバー防御演習（CYDER）の実施
イ. 大規模イベント向け実践的サイバー演習の実施
ウ. SecHack365の実施
エ. 地域人材エコシステムの形成
３. 国際連携の推進
ア. 有志国との二国間連携の強化
イ. 多国間会合を通じた有志国との連携の強化
ウ. ISAC間を通じた民間分野での国際連携の促進
エ. インド太平洋地域における開発途上国に対する能力構築支援
オ. 国際標準化機関における日本の取組の発信及び各国からの提案への対処
カ. 国内企業のASEAN地域等に向けた国際展開への支援
４. 普及啓発の推進
（１）事業者向けの普及啓発
ア. テレワークにおけるサイバーセキュリティの確保
イ. 地域セキュリティコミュニティの強化
ウ. サイバー攻撃被害に係る情報の共有・公表の適切な推進
エ. サイバーセキュリティ対策に係る情報開示の促進
オ. サイバーセキュリティに関する功績の表彰を通じたモチベーション向上策
（２）個人向けの普及啓発 .
ア. 無線LANにおけるサイバーセキュリティの確保
イ. 国民のためのサイバーセキュリティサイトを通じた普及啓発
ウ. こどもや高齢者等に向けた普及啓発

Ⅲ 今後の進め方

付録１「サイバーセキュリティタスクフォース」開催要綱
付録２これまでのサイバーセキュリティタスクフォースにおける検討状況
付録３本文に記載した総務省作成ガイドラインの一覧

・[PDF] 提出された意見及びその意見に対する同タスクフォースの考え方

意見を出したのは、

1 KDDI株式会社
2 楽天モバイル株式会社
に個人が9名のようですね。。。

過去の報告書等...

・2022.06.16 「ICTサイバーセキュリティ総合対策2022」（案）に対する意見募集

・2021.07.29 「ICTサイバーセキュリティ総合対策2021」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

・2020.07.17 「IoT・5Gセキュリティ総合対策2020（案）」に対する意見募集の結果及び「IoT・5Gセキュリティ総合対策2020」の公表

・2019.08.30 「IoT・5Gセキュリティ総合対策」の公表

・2017.10.03 「IoTセキュリティ総合対策」の公表

・2017.01.18 「サイバーセキュリティタスクフォース」の開催

● まるちゃんの情報セキュリティ気まぐれ日記

・2021.07.31 総務省「ICTサイバーセキュリティ総合対策2021」（案）に対する意見募集の結果及び「ICTサイバーセキュリティ総合対策2021」の公表

・2020.07.20 総務省「IoT・5Gセキュリティ総合対策2020（案）」に対する意見募集の結果及び「IoT・5Gセキュリティ総合対策2020」の公表

・2020.06.07 総務省「IoT・5Gセキュリティ総合対策2020（案）」に対する意見募集

・2020.05.23 総務省 IoT・5Gセキュリティ総合対策プログレスレポート2020」の公表

2022.08.13 03:12 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in IoT | Permalink | Comments (0)
Tweet

2022.08.12

Rand研究所大国間戦争の再来 - 米中間のシステム的対立のシナリオ

こんにちは、丸山満彦です。

Rand研究所が興味深い報告書を公表しているので、備忘録...

● Rand Corporation

・2022.08 The Return of Great Power War - Scenarios of Systemic Conflict Between the United States and China

The Return of Great Power War	大国間戦争の再来
Scenarios of Systemic Conflict Between the United States and China	米中間のシステム的対立のシナリオ
Through a careful synthesis of current and historical data on relevant factors, anticipated trends, and research-grounded speculation, the authors analyze several scenarios of systemic U.S.-China conflict under hypothetical conditions in which China has neared the point of global primacy. Drawing on academic and research findings regarding the potential trajectory of international security and warfare in coming years, China's approach to future warfare, relevant experiences of preceding great powers, and historic patterns in interstate wars, they explore the possibility of a U.S.-China war of power transition. The authors develop two scenarios of systemic U.S.-China conflict. The first scenario features a low-intensity conflict that unfolds across much of the world, across many domains and over many years. The second features a high-intensity war that evolved out of the low-intensity war. The high-intensity war scenario envisions aggressive actions by both countries to destroy the war-fighting capability of the adversary and carries an extremely high risk of escalation to the most destructive levels. Both scenarios occur within the context of a deeply fragmented international situation in which the U.S. and Chinese militaries experience immense strain from sustaining the war effort while grappling with an array of nontraditional threats and responding to demands for aid from embattled partners. Although their analysis concerns a hypothetical conflict situation in which China had neared global primacy, their findings could inform defense planning for potential contingencies even today.	著者は、関連要因に関する現在および過去のデータ、予想される傾向、研究に基づく推測を慎重に総合することにより、中国が世界の優位に立った時点に近づいているという仮定の下、体系的な米中衝突のシナリオをいくつか分析している。今後数年間の国際安全保障と戦争の潜在的軌道、将来の戦争に対する中国のアプローチ、先行する大国の関連する経験、国家間戦争の歴史的パターンに関する学術・研究成果をもとに、米中間の勢力移行戦争の可能性を探り当てている。著者らは、米中間のシステム的な対立について2つのシナリオを描いている。第一のシナリオは、世界の多くの地域で、多くの領域にわたって、何年にもわたって展開される低強度の対立を想定している。もう一つは、低強度の対立から発展した高強度の対立を想定したものである。高強度の対立シナリオでは、敵対国の戦闘能力を破壊するために両国が積極的に行動し、最も破壊的なレベルまでエスカレートする危険性が極めて高いことが想定される。いずれのシナリオも、米中両国の軍隊が、非伝統的な脅威の数々に対処し、困窮したパートナーからの援助要請に応えつつ、戦力を維持するために大きな負担を強いられるという、深く分裂した国際状況の中で発生するものである。彼らの分析は、中国が世界の優位に立ちつつある仮想的な紛争状況を対象としているが、その結果は、現在でも潜在的な不測の事態に対する防衛計画に反映させることができるだろう。
Research Questions	研究課題
1. How might China's security goals change if it were to engage in systemic conflict with the United States?	1. 中国が米国とシステム的対立を起こした場合、中国の安全保障目標はどのように変化するのか。
2. How might the People's Liberation Army (PLA) operate and modernize its forces in such a situation?	2. そのような状況において、人民解放軍はどのように軍隊を運用し、近代化することができるのか。
3. Where and how might conflict involving Chinese and U.S. forces unfold?	3. 中国軍と米軍の衝突はどこで、どのように展開されうるか。
4. What distinctive features of the Chinese military might enable or impede its ability to fight a systemic war with U.S. forces?	4. 中国軍のどのような特徴が、米軍とのシステム的な戦争を可能にし、あるいは妨げているのだろうか。
Key Findings	主な研究成果
・Systemic U.S.-China conflict would likely extend across the global and to all domains including cyberspace and outer space. Such a conflict would take a chronic, systemic form that persisted for possibly years. The conflict would only end when one side or the other conceded the fight and acknowledged its subordination to the other.	・米中間の組織的な紛争は、おそらく全世界に広がり、サイバースペースや宇宙空間を含むすべての領域に及ぶであろう。そのような紛争は、慢性的でシステム的な形態をとり、何年も続く可能性がある。このような紛争は、どちらか一方が戦いを譲歩し、相手への従属を認めたときにのみ終結する。
・The U.S. and Chinese militaries could find themselves under immense strain in a systemic conflict owing to the competing demands to sustain the war effort, respond to a broad array of acute transnational threats, and help partner stations cope with their own security challenges.	・米中両軍は、戦争努力の維持、国境を越えた広範な脅威への対応、およびパートナー国が自国の安全保障上の課題に対処するのを支援するという競合する要求のために、システム的対立において多大な負担を強いられることになる可能性がある。
・Low-intensity war could feature extensive fighting conducted primarily through partner nations and nonstate groups. The escalation risk would remain high since either side might tire of the inconclusive nature of such fighting and seek more aggressive actions to bring the war to a conclusion.	・低強度の戦争は、主に相手国や非国家組織を通じて行われる大規模な戦闘を特徴とする可能性がある。どちらかがこのような戦闘の決定的でない性質に嫌気がさし、戦争を終結させるためにより積極的な行動を求めるかもしれないので、エスカレーションのリスクは高いままである。
・To fight U.S. forces in a high-intensity war, the PLA might favor operations that relied on lower-cost, lower-risk weapons and methods such as long-range precision-strike, cyber operations, and support for irregular forces.	・高強度の戦争で米軍と戦うために、中国共産党は低コスト、低リスクの兵器や長距離精密打撃、サイバー作戦、非正規軍への支援といった方法に依存する作戦を好むかもしれない。
・Although such a war might begin with more modest war aims in mind, the temptation to escalate would be difficult to resist, owing to the underlying drive to dominate the other side. Fighting could feature extensive Chinese missile strikes throughout the Indo-Pacific region aimed at shattering U.S. military power.	・このような戦争は、より控えめな戦争目的を念頭に置いて始まるかもしれないが、相手を支配しようとする根本的な衝動から、エスカレートする誘惑に抗することは困難であろう。戦闘は、米国の軍事力を粉砕することを目的として、インド太平洋地域全体で中国の大規模なミサイル攻撃を特徴とする可能性がある。
Recommendations	提言
・Planners should consider a broader range of contingencies for low- or high-intensity war with China, which could carry out combat options beyond such flashpoints as Taiwan.	・中国との低強度・高強度の戦争を想定し、台湾のような一触即発の地点を超えて戦闘オプションを実行できるような、より広範なコンティンジェンシーを検討すべきである。
・Planners should consider the prospect of U.S.-China conflict less as a single battle or clash over a specific flashpoint such as Taiwan than as a series of sequentially related, geographically dispersed clashes between U.S.- and Chinese-aligned forces that spans many domains. Such conflict could last for years and severely stress a U.S. military already addressing competing demands for security assistance by allies and partners and possibly tackling severe transnational threats as well.	・米中紛争は、台湾のような特定の一点での戦闘や衝突というよりも、米中両軍が地理的に分散し、多くの領域にまたがって順次関連する一連の衝突として考えるべきである。このような紛争は何年も続く可能性があり、同盟国やパートナーからの安全保障支援に対する競合要求に対処し、場合によっては深刻な国境を越えた脅威にも対処している米軍に大きなストレスを与えることになる。
・The United States should consider bolstering its ability to wage low-intensity war, which is a more likely scenario for U.S.-China conflict than a high-intensity war.	・米国は、米中対立のシナリオとして、高強度戦争よりも可能性の高い低強度戦争の能力を強化することを検討すべきである。
・Planners should ensure U.S. ability to defend and secure vital choke points in the Middle East and along the Indian Ocean.	・中東やインド洋の重要な隘路の防衛・確保能力を確保すること。
・Planners should focus on alliance building and on weapons and platforms that help gain the information advantage and mitigate long-range strike capabilities, as well as on alliance building.	・計画者は、同盟関係の構築と同様に、情報優位の獲得と長距離攻撃能力を緩和するための兵器とプラットフォームに焦点を当てるべきである。

・[PDF]

Summary	概要
This report explores scenarios of systemic U.S.-Chinese conflict in situations in which China has neared the point of global primacy. To help illuminate how war might unfold in such a circumstance, the authors examine trends in warfare and geopolitics, the behavior of select past great powers, and relevant patterns in interstate conflict. From these data, the authors formulate two scenarios of systemic war—one that is low-intensity and another that is high-intensity.	本報告書では、中国が世界の優位に立ちつつある状況において、米中が系統的に対立するシナリオを検討した。このような状況下で戦争がどのように展開するかを明らかにするために、著者らは、戦争と地政学のトレンド、過去の大国の行動、国家間紛争の関連パターンを検証している。これらのデータから、著者らは、低強度および高強度の2つのシステム戦争のシナリオを策定している。
The intensification of strategic rivalry between the United States and China introduces political and security challenges that in key ways exceed what U.S. policymakers faced during the Cold War. Although the immediate risk of conflict remains low and U.S.-Chinese relations are far less hostile than U.S.-Soviet relations tended to be, the two countries contend over a much broader range of issues than was the case during the Cold War. China and the United States routinely feud over an array of political, economic, technological, and ideological issues. The two countries also maintain a tense standoff over dangerous flash points near China and argue over the role of human rights, democracy, and individual freedoms in international politics.^[1] Moreover, unlike the Cold War, which saw the United States enter the contest near the zenith of its economic might, in the current rivalry, the nation is in a period of relative decline. Even though its economic growth trajectory is slowing, Chinese national power continues to accrue at a rate faster than that of the United States. If the trends continue, the Chinese economy could exceed the U.S. economy in nominal terms by the 2030s, although Chinese per capita gross domestic product (GDP) will continue to lag.^[2] A U.S. military facing flat budgets will in such a situation confront an increasingly powerful and modern Chinese military.^[3] The same trends raise the risk that China could become emboldened in its approach to such long-standing flash points as the South China Sea or Taiwan and possibly provoke conflict.^[4] Nor is there likely to be a quick and easy resolution to this imposing strategic challenge. Owing to deep structural drivers, the U.S.-China competition is expected to last many years, if not decades.^[5]	米中間の戦略的対立の激化は、冷戦時代に米国の政策立案者が直面したものを重要な意味で超える政治的・安全保障的課題をもたらす。米中間の直接的な紛争リスクは依然として低く、米中関係は米ソ関係に比べてはるかに敵対的ではないが、両国は冷戦時代よりもはるかに広範な問題をめぐって争うようになった。中国と米国は、政治、経済、技術、イデオロギーなどさまざまな問題で日常的に対立している。また、中国周辺の危険な一触即発の地点をめぐって緊迫した対立があり、国際政治における人権、民主主義、個人の自由の役割をめぐって議論が交わされている。^[1]さらに、冷戦期には経済力の頂点にあった米国が参戦したのに対し、現在の米国は相対的に衰退期に入っている。経済成長が鈍化しているとはいえ、中国の国力は米国を上回るスピードで蓄積され続けている。このままいけば、2030年代には中国経済が名目ベースで米国経済を上回る可能性があるが、中国の一人当たりの国内総生産（GDP）は引き続き遅れていくだろう。^[2]そのような状況では、予算が横ばいの米軍は、ますます強力で近代化された中国軍と対峙することになる。^[3]また、南シナ海や台湾のような長年の懸案事項に対して中国が増長し、紛争を誘発する危険性もある。^[4]また、この深刻な戦略的課題に対して、迅速かつ容易な解決は望めない。米中間の競争は、深い構造的要因によって、数十年とは言わないまでも、何年も続くと予想される。^[5]
Should China successfully realize its ambitious Belt and Road Initiative (BRI), an ambitious Chinese-led effort to develop a massive trade and infrastructure network spanning much of Africa and Eurasia, the United States could one day find itself confronting a peer rival for global leadership possessing far greater power than the Soviet Union ever held. If, under such conditions, U.S.-China relations deteriorated into open hostility, the risk of militarized crises and conflicts across many parts of the world could rapidly grow. The dangers of a global confrontation could be amplified by the advent of new, poorly understood civilian and military technologies and unprecedented historical developments. As one example, the ability of cybertechnologies to inflict massive damage and dislocation raises problematic new escalation risks. Chinese success in extending a network of client states could also result in confrontations and crises involving U.S. interests that do not exist today. Many questions about such an important and dangerous situation arise. How might China’s national and security goals change if it were to engage in systemic conflict with the United States? How might the People’s Liberation Army (PLA) operate and modernize its forces in such a situation? Where and how might conflict involving Chinese and U.S. forces unfold? What distinctive features of the Chinese military might enable or impede its ability to fight a systemic war with U.S. forces? While the answers to these questions remain ultimately unknowable, this report aims to encourage a preliminary consideration of them.	中国がアフリカとユーラシア大陸にまたがる巨大な貿易・インフラ網を構築する野心的な「一帯一路構想（BRI）」の実現に成功すれば、米国はいつの日かソ連をはるかにしのぐ力を持つ世界のリーダー格のライバルに対峙することになるかもしれない。このような状況下で米中関係が公然と敵対するようになれば、世界各地で軍事的な危機や紛争が発生する危険性が急速に高まるだろう。世界的な対立の危険性は、理解されていない新しい民生・軍事技術の出現と前例のない歴史的発展によって増幅される可能性がある。一例を挙げれば、大規模な損害と混乱をもたらすサイバーテクノロジーの能力は、問題となる新たなエスカレーション・リスクを提起するものである。また、中国が従属国のネットワークを拡大することに成功すれば、米国の利益に関わる対立や危機が、現在では存在しないものになる可能性もある。このような重要かつ危険な状況について、多くの疑問が生じる。もし中国が米国と組織的な対立をすることになれば、中国の国家目標や安全保障目標はどのように変化するのだろうか。そのような状況において、人民解放軍はどのように軍隊を運用し、近代化するのだろうか。中国軍と米軍が関与する紛争はどこでどのように展開される可能性があるのか。中国軍のどのような特徴が、米軍との体系的な戦争を可能にし、あるいは妨げているのだろうか。これらの問いに対する答えは最終的にはわからないままであるが、本報告書は、その予備的な検討を促すことを目的としている。
We aim to analyze potential U.S.-China systemic conflict under conditions in which China has neared the point of global primacy through a careful synthesis of current and historical data on relevant factors, anticipated trends, and research-grounded speculation. For this report we considered academic and research findings regarding the potential trajectory of international security and warfare in coming years, China’s approach to future warfare, relevant experiences from preceding great powers, and historic patterns of interstate conflict.	我々は、関連要因に関する現在および過去のデータ、予想される傾向、そして研究に基づく推測を慎重に総合することで、中国が世界の優位に立ちつつある状況下での米中システム的対立の可能性を分析することを目的としている。本報告書では、今後数年間の国際安全保障と戦争の潜在的軌道、中国の将来の戦争へのアプローチ、先行大国の関連経験、国家間紛争の歴史的パターンに関する学術的・研究的知見を検討した。
Drawing from these findings, we then developed two scenarios of U.S.-China systemic conflict. The first scenario consists of pervasive low-intensity, or indirect, conflict. The primary means of fighting consists of combat by the militaries of partner countries or favored nonstate groups, as well as paramilitary and defense contractors. These proxy U.S.-China conflicts could be waged as part of intrastate or interstate conflicts. The fighting would take place against the backdrop of considerable international fragmentation and the proliferation of nonstate threats, which would add its own stresses on the two militaries. Extensive conflict that involved partners of both countries could raise demand for military assistance to cope with their own threats as well. The militaries of the two contending great powers could find themselves under immense pressure to respond to the competing demands while sustaining their low-intensity war efforts against one another.	これらの知見から、米中間のシステム的対立のシナリオを2つ設定した。第一のシナリオは、低強度の間接的な対立が蔓延している場合である。戦闘の主な手段は、パートナー国の軍隊、または支持する非国家組織、準軍事組織や防衛請負業者による戦闘である。このような米中代理戦争は、国内紛争または国家間紛争の一部として行われる可能性がある。このような戦闘は、国際社会の大きな分断と非国家的脅威の拡散を背景として行われ、両軍に独自のストレスを与えることになるであろう。両国のパートナーを巻き込んだ大規模な紛争は、自国の脅威に対処するための軍事的支援に対する需要を高める可能性もある。競合する2つの大国の軍隊は、互いに低強度戦争の努力を維持しながら、競合する要求に応えなければならないという大きな圧力にさらされる可能性がある。
The low-intensity conflict scenario envisions these clashes as occurring primarily along the BRI routes that China has prioritized as the geographic basis of its international power. While avoiding direct conventional war with one another, relevant Chinese and U.S.-backed military units could support partners in combat operations against the rival power and its own partners. The two militaries could also engage each regularly in cyberspace and in the information domains. Conventional military forces would continue their buildup and preparations for major combat operations but operate primarily as deterrent forces or participate in limited operations such as those against nonstate actors or other forces backed by the rival power but in which the risk of escalation to high-intensity great power war remained low. War waged primarily through indirect means would leave open the possibility of U.S.-Chinese cooperation on some shared concerns, in a manner somewhat evocative of how relations between the Soviet Union and the United States stabilized despite their waging indirect conflict against one another through proxies around the world. If the combatants successfully avoided escalation and maintained the conflict at a low enough level, they might be able to sustain some trade and investment with each other. The result could be a chronic state of conflict featuring minor positional changes in influence in different parts of the world but also considerable stability. The stalemate could last years. Yet, despite the apparent stability, the risk of escalation would remain substantial because either side could tire of the persistent conflict and risk major high-intensity operations to bring the war to a conclusion.	低強度対立シナリオでは、こうした衝突は、中国がその国際的パワーの地理的基盤として優先している一帯一路構想のルート上で主に発生すると想定している。互いに直接的な通常戦争を避ける一方で、中国と米国の関連部隊が、ライバル国や自国のパートナーに対する戦闘作戦でパートナーを支援する可能性がある。両軍はまた、サイバースペースと情報領域で定期的に交戦することができる。通常兵力は、大規模戦闘のための増強と準備を続けるが、主として抑止力として活動するか、非国家主体や敵対国の支援を受けた他の勢力に対する作戦など、高強度の大国間戦争にエスカレートするリスクが低い限定的作戦に参加することになる。主に間接的な手段で行われる戦争は、ソ連と米国が世界各地で代理人を通じて互いに間接的な紛争を起こしながらも、米中関係が安定したことを想起させるように、いくつかの共有する懸念について米中が協力する可能性を残すことになる。戦闘の激化をうまく回避し、紛争を十分に低いレベルに維持すれば、互いにある程度の貿易と投資を維持することができるかもしれない。その結果、世界のさまざまな地域で影響力の位置がわずかに変化するものの、かなり安定した慢性的な紛争状態になる可能性がある。膠着状態が何年も続くこともあり得る。しかし、見かけの安定性とは裏腹に、どちらかが持続的な紛争に疲弊し、戦争を終結させるために大規模な強度の作戦を行う危険性があるため、エスカレートのリスクは相当なものになるだろう。
The second scenario consists of a high-intensity war and expands on many features of the low-intensity conflict. Indeed, it envisions considerable continuity with the low-intensity systemic war scenario. The two sides would continue to maintain low-intensity war efforts as low-cost means of distracting and bleeding away vital military and other resources for the rival power. As in the previous scenario, a gridlocked and fractured international order could yield an expansion of nonstate threats, potentially endangering the interests of both China and the United States.	第二のシナリオは、高強度の戦争から成り、低密度の紛争の多くの特徴を拡大したものである。実際、このシナリオは、低強度システム戦争シナリオとかなりの連続性があることを想定している。両陣営は、敵対国の重要な軍事的資源およびその他の資源を撹乱し、流出させるための低コストの手段として、低強度戦争の努力を維持し続けることになる。前シナリオと同様に、国際秩序の膠着と分断は、非国家的脅威の拡大をもたらし、中国と米国双方の利益を脅かす可能性がある。
Amid this situation of low intensity war and international fragmentation, the militaries in this high-intensity scenario initiate direct hostilities. Although traditional flash points such as Taiwan provide the most plausible proximate cause, others are possible. New flash points could emerge over time as well. The advent of high-intensity combat operations would introduce a new phase in conflict, and the two sides could rush to exploit the possibilities after a perhaps years-long period of chronic, indecisive low-intensity conflict. Although either side might begin the high-intensity war with restrained goals in mind, the urge to escalate into a broader war of decision regarding the issue of systemic leadership could be difficult to resist. For example, China’s ambition to shatter U.S. power could motivate it to rapidly escalate an initial clash arising from a crisis in Asia by striking U.S. military assets and facilities throughout the theater. The war in the first and second island chains could thus be characterized by extensive air, maritime, and missile attacks.[6] China’s willingness to engage in high-intensity operations in other parts of the world might similarly seek as a goal the degradation of U.S. combat power and ability to sustain major war. The possibility of kinetic and nonkinetic strikes on the homelands of both countries cannot be excluded either.	このような低強度の戦争と国際的な分裂の状況の中で、この高強度シナリオの軍隊は、直接敵対行為を開始する。台湾のような伝統的な火種が最も妥当な近因であるが、他の火種も考えられる。また、新たな引火点が時間の経過とともに出現する可能性もある。高強度の戦闘行為の出現は、紛争に新たな局面をもたらし、両陣営は、慢性的で優柔不断な低密度の紛争が数年間続いた後、その可能性を利用しようと急ぐ可能性がある。いずれの側も、抑制的な目標を念頭に置いて高強度の戦争を始めるかもしれないが、体制的なリーダーシップの問題に関するより広範な決定戦へとエスカレートする衝動には抗しがたい可能性がある。例えば、中国は米国の力を打ち砕くという野心を抱いているため、アジアの危機から生じる最初の衝突を急速にエスカレートさせ、アジア全域の米軍資産や施設を攻撃する動機となる可能性がある。したがって、第1、第2列島線での戦争は、大規模な航空、海上、ミサイル攻撃によって特徴付けられる可能性がある。[6]世界の他の地域で高強度の作戦に従事する中国の意欲は、同様に、米国の戦闘力と大規模戦争を維持する能力の低下を目標として求めるかもしれない。また、両国の国土に対する運動論的・非運動論的攻撃の可能性も排除できない。
A high-intensity war to decide the issue of systemic leadership would thus likely feature extensive combat around the world and across all domains. It would likely involve many combatants as partners of one side or the other. The war could include a variety of overlapping war aims for China beyond the severe weakening of U.S. power. China could carry out amphibious or other ground operations in nearby countries to protect clients, punish adversary governments, and secure territory. In countries close to China’s borders, such as in Central Asia, South Asia, and Southeast Asia, the PLA could carry out direct interventions to bolster the efforts of rebel groups and governments engaged with U.S.-backed forces. If U.S. military forces operated in those regions, there could be risks of direct engagements, especially in regions along China’s land borders, such as Southeast Asia.	したがって、体制的リーダーシップの問題を決定するための高強度の戦争は、世界中で、あらゆる領域にわたって、大規模な戦闘を特徴とする可能性が高い。この戦争には、一方または他方のパートナーとして、多くの戦闘員が参加する可能性がある。この戦争には、米国のパワーを著しく弱体化させること以上に、中国にとってさまざまな重複する戦争目標が含まれる可能性がある。中国は、顧客の保護、敵対政府の処罰、および領土の確保を目的として、近隣諸国において水陸両用またはその他の地上作戦を実施することができる。中央アジア、南アジア、東南アジアなど、中国の国境に近い国々では、中国軍は直接介入して、米国の支援を受ける反乱軍や政府の努力を強化することができる。もし米軍がこれらの地域で活動すれば、特に東南アジアなど中国の陸上国境に沿った地域で、直接交戦のリスクが生じる可能性がある。
Outside these areas, China’s eagerness to secure an Indian Ocean route could lead it to deploy major joint combat formations to seize vital choke points in the Middle East, perhaps in conjunction with a coalition of client military forces that might include paramilitary and contractor armed groups. With a de facto alliance with Russia, China could also rely more on overland routes to transport larger combat forces, opening opportunities to deploy larger combat formations farther afield. PLA forces could also step up combat support to client states in Central Asia and the Middle East to threaten any groups aligned with the United States.	これらの地域以外では、インド洋航路の確保に熱心な中国は、おそらく準軍事組織や請負業者による武装集団を含む顧客軍事力の連合と連携して、中東の重要な隘路を押さえるために大規模な合同戦闘組織を展開する可能性がある。ロシアとの事実上の同盟関係により、中国は大規模な戦闘部隊の輸送を陸路に依存するようになり、大規模な戦闘部隊をより遠くへ展開する機会が生まれる可能性もある。また、中国軍は、中央アジアや中東の従属国への戦闘支援を強化し、米国と連携するグループを脅かすことも可能である。
Direct combat operations between Chinese and U.S. forces beyond the Middle East would be more difficult for the PLA to carry out, owing to the limitations of its power projection capabilities. However, in our scenarios we do not rule out the possibility of some sort of clash involving both militaries in those areas. Chinese military assets based on the Mediterranean coast in North Africa or on the coasts of East Africa or West Africa could engage passing U.S. naval and air assets as well, as might Chinese naval ships that escort merchant ships through the Arctic. In a climate of major war featuring contested environments, the PLA would struggle to safely transport large volumes of military equipment to more distant locations. PLA bases, assets, and personnel in Africa, Latin America, and the Middle East could come under attack by U.S.-backed forces. To support its clients in these areas, China could seek to provide weapons such as air defense missiles, unmanned combat systems, and other portable weapons and equipment. Small numbers of PLA troops could also travel to help advise and direct the efforts of client militaries. But client states and nonstate groups would, in this scenario, bear the brunt of the fighting in the most distant regions.	中東以遠で中米両軍が直接戦闘を行うことは、中国共産党の戦力投射能力の限界から、より困難であろう。しかし、本シナリオでは、これらの地域で両軍が何らかの衝突を起こす可能性は排除していない。北アフリカの地中海沿岸や東アフリカ、西アフリカの海岸に拠点を置く中国の軍事資産は、米国の海・空軍資産と交戦する可能性もあるし、北極圏で商船を護衛する中国海軍の艦船が交戦する可能性もある。大規模な戦争が起こり、環境が変化すると、中国共産党は、大量の軍備をより遠くの場所に安全に輸送するのに苦労することになる。アフリカ、中南米、中東にある中国共産党の基地、資産、人員は、米国の支援を受けた軍隊の攻撃を受ける可能性がある。これらの地域の顧客を支援するために、中国は防空ミサイル、無人戦闘システム、およびその他の携帯武器と装備などの兵器を提供しようとする可能性がある。また、少人数の中国軍兵士が出張して、従属国軍の努力に助言を与え、指導することも可能である。しかし、このシナリオでは、最も遠い地域で戦闘の矢面に立つのは、クライアント国や非国家グループである。
This report concludes with some observations and hypotheses about how the PLA might perform in the posited combat scenarios. It also reviews key challenges and vulnerabilities that could affect the PLA’s battlefield performance. The implications and recommendations herein would apply chiefly to a hypothetical conflict situation in which China had neared global primacy. However, the conclusions could inform defense planning for potential contingencies even today. Our first finding is that planners may need to consider a broader range of contingencies for low- or high-intensity war when contemplating possible combat involving China. Most defense planning scenarios focus on flash points such as Taiwan within an assumed context of U.S. primacy. These scenarios tend to envision a relatively contained set of combat operations that concludes with the resolution of China’s attempt to subjugate the island. This approach might make sense in a situation in which China experienced significant inferiority compared with the United States, such as Iraq did when the United States defeated its efforts to annex Kuwait in the first Gulf War. But China could consider combat options in a dramatically different way in conditions in which it had grown powerful enough to more aggressively contend for global primacy. In such circumstances, the drive to escalate an initial clash to a broader war of power transition could be difficult to resist, regardless of the outcome of the initial battle near a flash point such as Taiwan.	本報告書は、想定される戦闘シナリオにおいて中国共産党がどのようなパフォーマンスを発揮するかについて、いくつかの見解と仮説で締めくくられている。また、中国共産党の戦場でのパフォーマンスに影響を及ぼしうる主要な課題と脆弱性についても検討した。本書の意味と提言は、主として、中国が世界の優位に近づいている仮想的な紛争状況に適用されるものである。しかし、その結論は、今日でも、潜在的な不測の事態に対する防衛計画に反映させることができる。最初の発見は、中国との戦闘を想定する場合、計画者は低強度戦争や高強度戦争のより広い範囲の事態を考慮する必要があるかもしれないということである。防衛計画のシナリオの多くは、米国の優位という前提の下で、台湾のような一触即発の状況に焦点を当てている。これらのシナリオは、台湾を征服しようとする中国の企てを解決することで完結する、比較的封じ込められた一連の戦闘行為を想定する傾向がある。このアプローチは、第一次湾岸戦争でクウェート併合の努力を米国に敗れたイラクのように、中国が米国と比較して著しい劣勢に立たされている状況では意味を持つかもしれない。しかし、中国は、世界の優位性をより積極的に争うほどに力をつけてきた状況では、戦闘オプションについて劇的に異なる方法で検討することができる。そのような状況では、台湾のような一触即発の場所での最初の戦闘の結果にかかわらず、最初の衝突をより広範な勢力移行戦争へとエスカレートさせようとする動きに抗することは困難であろう。
Second, planners may need to consider U.S.-China conflict less as a single battle or war than as a series of sequentially related, geographically dispersed clashes between U.S.- and Chinese-aligned forces. A systemic war could last years, involve many participants, and span virtually all domains, even if it stayed at the level of low-intensity conflict. The possibility that U.S. military forces might be severely stressed by competing demands for security assistance by allies and partners or to tackle severe transnational threats should be considered as well. Third, the United States should consider bolstering its ability to wage indirect war, given our conclusion that a scenario of indirect, low-intensity conflict is more plausible than that of high-intensity war. Fourth, the analysis of high-intensity war has underscored the importance of ensuring the U.S. ability to defend and secure vital choke points in the Middle East and along the Indian Ocean. Fifth, U.S.-China conventional conflict scenarios outside the first island chain could consist mainly of engagements between intelligence, surveillance, and reconnaissance sensors and modest-size units of long-range strike systems, as well as potential clashes involving irregular and proxy forces. Planners who seek to anticipate such scenarios may want to focus on weapons and platforms that help gain the information advantage and mitigate long-range strike capabilities. Alliance building to develop counterinsurgency capabilities could be useful as well.	第二に、計画者は米中紛争を単一の戦闘や戦争としてではなく、米中両国が連携する軍隊の、順次関連する地理的に分散した一連の衝突として考える必要があるかもしれない。システム戦争は、たとえ低強度の紛争レベルにとどまったとしても、何年も続き、多くの参加者を巻き込み、事実上すべての領域にまたがる可能性がある。同盟国やパートナーによる安全保障支援や深刻な国境を越えた脅威への対処という競合する要求によって、米軍に深刻なストレスがかかる可能性も考慮しなければならない。第三に、間接的な低強度対立のシナリオは高強度戦争のシナリオよりも妥当であるという我々の結論から、米国は間接戦争の能力を強化することを検討すべきである。第四に、高強度戦争の分析から、中東とインド洋にある重要な隘路の防衛と安全を確保する米国の能力の重要性が強調された。第五に、第一列島線以外の米中通常戦シナリオは、主に情報・監視・偵察センサーと長距離攻撃システムの中型ユニット間の交戦、および非正規軍と代理軍が関与する潜在的な衝突で構成される可能性がある。このようなシナリオを想定しようとする計画者は、情報の優位性を獲得し、長距離攻撃能力を緩和するのに役立つ武器とプラットフォームに注目するとよいであろう。対反乱戦能力を開発するための同盟関係の構築も有効であろう。

・[DOCX] 仮訳

2022.08.12 06:16 in 情報セキュリティ / サイバーセキュリティ, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.11

JIPDEC 安定したクラウドサービス実現のためのハンドブックを発行

こんにちは、丸山満彦です。

JIPDECが、安定したクラウドサービス実現のためのハンドブックを発行しましたね。。。

● ⽇本情報経済社会推進協会 (JIPDEC)

・2022.08.10 JIPDEC　安定したクラウドサービス実現のためのハンドブックを発行

このハンドブックは、

クラウドサービス選定・利用時にユーザーが重要視する、「サービス可用性」（”稼働率”や”サービス継続性”等）を確立するための方法等をまとめた

ものということですね。。。

で、内容としては、

クラウドサービスで生じる障害事例をもとに、クラウドサービス提供者に求められる対策やDX推進のためのITサービスマネジメントシステム（ITSMS）国際規格ISO/IEC 20000^※1の活用方法、導入事例等を紹介している

ものですね。。。

ハンドブックでは、次のように説明しています。。。

本書では、この「サービスの停止」、つまりクラウドサービスの提供と利用にかかる「可用性」に関する課題に焦点をあてた具体的な障害事例に対して、IT サービスの国際規格である ISO/IEC 20000 を用いてそのようなトラブルを防止する方法を紹介することを目的に本書を発行いたしました。ISO/IEC 20000-1:2018※を参考に、どのようにサービスの可用性を高め、事業継続性を維持するのか等について解説していきます。

ISO/IEC 20000 は、IT サービスの品質向上のための仕組みを定めた国際規格であり、サービスのセキュリティ、可用性はもとより、安定した運用の強化に役立つ様々な手法が記載されており、クラウドサービスの効果的かつ安全な運用に役立つものです。クラウドサービスと ISO/IEC 20000 の関連を理解いただくとともに、ISO/IEC 20000 を活用して安全で安定したクラウドサービスの構築、運用の参考になることを期待しています。

・[PDF]

はじめに

1 IaaS に見るクラウドサービスの可用性と障害事例
1.1 クラウドサービス（IaaS）の可用性
1.2 可用性の障害事例
コラム︓クラウドサービスの利用における留意点～提供者と利用者の責任範囲～

2 トラブルを防止するための ISO/IEC 20000 の適用
2.1 ISO/IEC 20000 とは
コラム︓DX 認定制度

3 サービス可用性管理、サービス継続管理の重要性
3.1 サービス可用性管理
3.2 サービス継続管理
3.3 クラウドサービス（IaaS）の提供におけるサービス可用性管理とサービス継続管理

4 サービス可用性、サービス継続を支える活動～インシデント管理、問題管理～
4.1 インシデント管理とは
4.2 問題管理とは
4.3 サービス可用性管理とインシデント管理及び問題管理
4.4 サービス継続管理とインシデント管理及び問題管理

5 実践事例と導入効果の紹介～株式会社ＴＫＣ～
5.1 会社説明、サービス説明
5.2 ＳＭＳ導入の目的（期待していた効果）
5.3 実際に得られた成果（全般）
5.4 実際に SMS を導入、運用してみた感想（クラウドサービスとの親和性）
5.5 SMS をクラウドサービスへ適用するためのポイント

6 サービスの信頼性を示すには～ITSMS 適合性評価制度～
コラム︓認定機関が ITSMS 認証機関を認定する意義

おわりに

付録 1 章における架空の障害事例（P 社）の技術的背景
コラム︓ストレージサブシステム、RAID、ファームウェア

内容の感想というよりも、報告書の体裁なんですが、

・レイアウト

・フォント

・利用する色

・利用するアイコンや図表

って、統一したほうが良いと思うんですよね。。。大手の企業ではしていると思うのですが、、、

通常は、ロゴを変える時にするんですけど、JIPDECも考えても良いように思いました。。。

そういう意味では、ENISAとかは綺麗に作っていますよね。。。

2022.08.11 05:21 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド | Permalink | Comments (0)
Tweet

経済産業省パブコメ責任あるサプライチェーンにおける人権尊重のためのガイドライン（案）

こんにちは、丸山満彦です。

経済産業省に設置された「サプライチェーンにおける人権尊重のためのガイドライン検討会」が、「責任あるサプライチェーンにおける人権尊重のためのガイドライン（案）」を公表し、意見募集を行っていますね。。。

支配関係にある企業グループ以外も含まれるサプライチェーンの課題にどのように取り組むべきかの、ヒントがあるかもしれないと思いながら。。。

ちなみに、このガイドラインでの「サプライチェーン」、「その他のビジネス上の関係先」の定義は、

「サプライチェーン」とは、自社の製品・サービスの原材料や資源、設備やソフトウェアの調達・確保等に関係する「上流」と自社の製品・サー
ビスの販売・消費等に関係する「下流」を意味するものとする。

また、「その他のビジネス上の関係先」は、サプライチェーン上の企業以外の企業であって、自社の事業・製品・サービスと関連する他企業を指す。具体的には、例えば、企業の投融資先や合弁企業の共同出資者、設備の保守点検や警備サービスを提供する事業者等が挙げられる。

となっていますね。。。なるほど。。。

● 経済産業省

・2022.08.08 責任あるサプライチェーンにおける人権尊重のためのガイドライン（案）に対する意見募集について

・[PDF] 責任あるサプライチェーンにおける人権尊重のためのガイドライン（案）

目次...

1. はじめに
1.1 本ガイドライン策定の経緯・目的等
1.2 人権尊重の意義
1.3 本ガイドラインの対象企業及び人権尊重の取組の対象範囲

2. 企業による人権尊重の取組の全体像（総論）
2.1 取組の概要
2.1.1 人権方針（各論 3 参照）
2.1.2 人権 DD（各論 4 参照）
2.1.2.1 「人権」の範囲
2.1.2.2 「負の影響」の範囲
2.1.2.3 「ステークホルダー」
2.1.3 救済（各論 5 参照）
2.2 人権尊重の取組にあたっての考え方
2.2.1 経営陣によるコミットメントが大切である
2.2.2 潜在的な負の影響はいかなる企業にも存在する
2.2.3 人権尊重の取組にはステークホルダーとの対話が重要である
2.2.4 優先順位を踏まえ順次対応していく姿勢が重要である
2.2.5 各企業は協力して人権尊重に取り組むことが重要である

3. 人権方針の策定（各論）
3.1 策定に際しての留意点
3.2 策定後の留意点

4. 人権 DD の実施（各論）
4.1 負の影響の特定・評価
4.1.1 具体的なプロセス
4.1.2 負の影響の特定・評価プロセスの留意点
4.1.2.1 継続的な影響評価
4.1.2.2 脆弱な立場にあるステークホルダー
4.1.2.3 関連情報の収集
4.1.2.4 紛争等の影響を受ける地域における考慮
4.1.3 負の影響への対応の優先順位付けの判断基準
4.1.3.1 優先順位付けの考え方
4.1.3.2 深刻度の判断基準
4.2 負の影響の防止・軽減
4.2.1 検討すべき措置の種類
4.2.1.1 自社が人権への負の影響を引き起こし又は助長している場合
4.2.1.2 自社の事業等が人権の負の影響に直接関連している場合
4.2.1.3 取引停止
4.2.2 紛争等の影響を受ける地域からの「責任ある撤退」
4.2.3 構造的問題への対処
4.3 取組の実効性の評価
4.3.1 評価の方法
4.3.2 実効性評価の社内プロセスへの組込
4.3.3 評価結果の活用
4.4 説明責任
4.4.1 説明の内容
4.4.1.1 基本的な方針
4.4.1.2 負の影響への対処方法
4.4.2 説明責任を果たす方法

5. 救済（各論）
5.1 苦情処理メカニズム
5.2 国家による救済の仕組み

● サプライチェーンにおける人権尊重のためのガイドライン検討会

2022.08.08 ガイドライン（案）への意見募集について

2022.08.03 第5回
2022.06.08 第4回
2022.04.37 第3回
2022.03.24 第2回
2022.04.09 第1回

2022.08.11 04:34 in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in パブコメ | Permalink | Comments (0)
Tweet

中国未成年者を対象とした通信ネットワーク詐欺の典型的な事例を公表

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、夏休みということで、未成年者を対象とした通信ネットワーク詐欺の典型的な事例を公表していますね。。。

実名アカウント制をとっていて、口座の開設等もそれなりに厳密にしているように思ったのですが、それなりの犯罪があるような感じですね。。。

でも、読んでみると、親の携帯を使って支払われているという感じなので、親が、子供が勝手に自分の携帯を使わせないようにすることが、まずは重要なのかもしれませんね。。。

その上で、一定額以上の支払いは必ず生体認証を必要とするとか、、、

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2022.08.08 国家网信办曝光一批涉未成年人电信网络诈骗典型案例

国家网信办曝光一批涉未成年人电信网络诈骗典型案例	国家サイバースペース管理局、未成年者を対象とした通信ネットワーク詐欺の典型的な事例を公表
为贯彻落实习近平总书记关于打击治理电信网络诈骗犯罪工作的重要指示精神，针对暑假期间未成年人上网时间增多的情况，国家网信办会同公安部，深入清理网上涉诈有害信息，精准提示潜在受骗群众，从严从重打击不法分子，维护未成年人财产安全和身心健康。今年以来，已处置涉未成年人电信网络诈骗案件1.2万余起。	習近平総書記の通信網詐欺対策・管理業務に関する重要な指示の精神を実現するため、夏休み期間中、未成年者のインターネット利用時間が増加することを踏まえ、国家サイバースペース管理局は公安部と連携し、インターネット上の詐欺に関する有害情報の一掃、騙される可能性のある大衆への正確な注意喚起、不正行為者の厳格かつ真剣な取り締まり、未成年者の財産、安全および心身の健康を保護する活動を行っている。今年、未成年者が関わる通信ネットワーク詐欺事件は12,000件以上処理された。
暑假期间，国家网信办反诈中心监测发现多起针对未成年人的电信网络诈骗事件。不法分子经常以加入“明星粉丝QQ群”为诱饵，声称完成任务可领取礼品或明星签名，诱导未成年人进行转账或刷单；有的宣称免费赠送游戏装备，再通过“激活费、认证费、验证费”骗取未成年人钱财，严重危害未成年人身心健康。	夏休みの間、国家サイバースペース管理局の詐欺防止センターが監視したところ、未成年者を狙った通信ネットワーク詐欺事件が多発した。「スターファンのQQグループ」に参加することを餌に、作業を完了するとプレゼントやスターのサインをもらえると言って未成年者を誘い、お金を振り込ませたり、注文をさせることも多くある。中には、ゲーム機器の無料配布を謳って、「アクティベーション料金、認証料金、検証料金」などで未成年者から金銭を騙し取るものもあり、未成年者の心身の健康を著しく害することになる。
国家网信办有关负责同志表示，网站平台积极履行信息内容管理主体责任，在处置涉诈有害信息、整治电信网络诈骗方面发挥了作用。同时也要看到，一些网站平台还存在责任认识不到位、制度机制不完善等问题。QQ、快手等社交类平台、短视频平台要落实信息内容管理要求，持续排查处置涉诈信息、群圈、账号；建立完善账号监测预警机制，及时发现和处置异常账号，落实账号实名登记制度；建立完善涉诈举报机制，及时处置和反馈网民涉诈举报；对现有应用、业务、技术进行安全评估，对不符合要求的进行整改。对相关企业未履行风险控制责任致使群众受骗的，有关部门将依法追究责任。希望社会各界共同努力，积极引导未成年人，提高防范电信网络诈骗意识，不给犯罪分子可乘之机。	国家サイバースペース管理局の関係者は、ウェブサイトプラットフォーマーが積極的に情報コンテンツ管理の主な責任を果たし、詐欺関連の有害情報の処理をし、通信ネットワーク詐欺を正す役割を果たしていると述べている。一方で、一部のウェブサイトプラットフォーマーでは、責任に対する理解がまだ不十分であったり、システムの仕組みが完全でないなどの問題があることも確認しておかなければならない。QQ、快手などのソーシャルプラットフォームやショートビデオプラットフォームは、実名によるアカウント登録システムを導入し、情報コンテンツ管理要件に従い、不正に関連する情報、グループサークル、アカウントを継続的に調査・処分し、アカウント監視と早期警告メカニズムを確立・改善し、既存のアプリケーション、ビジネス、技術に対してセキュリティ評価を行い、問題があれば是正すること。関連企業がリスクコントロールの責任を果たさず、公衆を欺くような事態を引き起こした場合、関連当局は法律に従って責任を追求することになる。犯罪者に付け入る隙を与えないよう、地域ぐるみで未成年者への積極的な指導と、通信ネットワーク詐欺防止の啓発に努めていただきたい。
为提高人民群众特别是未成年人识骗防骗能力，现将部分典型案例通报如下（以下均为化名）：	国民の皆様、特に未成年の方々の不正に対する認知力・防止力を高めるため、代表的な事例を以下の通り示す（以下はすべて仮名である）。
一、2022年5月，海南省吴某（12岁）使用母亲手机登录某QQ群，看到有人免费发放游戏皮肤，随后吴某添加对方为QQ好友，微信扫描二维码领取皮肤。对方告诉吴某其账号存在非法领取行为，需联系后台工作人员处理，否则要赔付10万元，被判刑1年。吴某非常害怕，添加了对方另一个QQ账号，并按照对方语音提示，扫描二维码支付6500元，事后吴某母亲发现异常并报警。	1. 2022年5月、海南省の呉さん（12歳）は母親の携帯電話を使ってQQグループにログインし、誰かがゲームのスキンを無料で配布しているのを見た後、呉さんは相手をQQの友達として追加し、WeChatでQRコードをスキャンしてスキンを受け取った。相手は、呉さんのアカウントに違法な収集行動があり、裏組織のメンバーに連絡をし、対応をしてもらう必要がある、もしそうしなければ、10万元を支払うか、懲役1年になると説明を受けた。呉さんは非常に怖くなり、相手の別のQQアカウントを追加し、相手の言うことに従い、QRコードを読み取り、6,500元を支払った。その後、呉さんの母親が異常を発見し、警察に通報した。
二、2022年7月，山西省黄某某（17岁）在玩手机游戏时，网上有人表示要高价购买黄某某的游戏账号，随后双方添加为QQ好友。对方让黄某某登录一个叫“下芬购”的网站，称该网站为正规游戏交易平台，很多游戏玩家在此买卖账号。黄某某同意出售账号，但对方称用来购买账号的钱款被“下芬购”网站冻结，需出卖人黄某某充值进行交易确认，黄某某便在该网站充值2次共3000元，后发现对方的QQ联系不上，该网站也无法登录。	2. 2022年7月、山西省の黄さん（17歳）がモバイルゲームをしていたところ、ネット上の誰かが黄さんのゲームアカウントを高額で買いたいと言い、その後、双方がQQフレンドとして追加した。相手は黄さんに「下芬购」というサイトは多くのゲームプレイヤーが自分のアカウントを売買する正式なゲーム取引プラットフォームであると説明し、同サイトにログインするよう求めた。相手は、アカウントを購入するためのお金が「下芬购」により凍結されたと言い、取引の確認のためには、黄さんが相手に2回に分け合計3,000元を追加で支払った。その後、相手のQQに連絡がつかず、サイトにログインできないことがわかった。
三、2022年5月，广东省谭某某（15岁）在玩手机游戏时，有人添加其为微信好友，并宣称可以帮其解除未成年人手机游戏的时间限制。谭某某信以为真，并依照对方的视频指导，偷偷使用家长手机先后3次扫码支付，合计被骗3800元。	3. 2022年5月、広東省でモバイルゲームをプレイしていた譚さん（15歳）は、何者かにWeChatの友達として追加され、未成年者のモバイルゲームの時間制限を解除するのを手伝うと言われた。譚さんはそれを信じ、相手のビデオの指示に従い、親の携帯電話でこっそりコードをスキャンして3回支払い、合計3,800元をだまし取られた。
四、2022年3月，重庆市马某某（12岁）在快手刷短视频时，看到免费领取游戏装备的信息，便根据指示加入某QQ群，在客服引导下领取游戏装备。随后客服以账号被冻结为由，要求马某某转账进行账号解封。马某某先后转账5笔共计4300元，事后发现被骗。	4. 2022年3月、重慶市の馬さん（12歳）は『Racer』のショート動画をブラウジングしていた時に無料ゲーム機器の情報を目にし、指示に従いQQグループに参加し、顧客サービスからの案内でゲーム機器を受け取った。顧客サービスは、馬さんのアカウントが凍結されているので、アカウントロックを解除するために馬さん振込を依頼した。馬さんは5回で合計4,300元を振り込み、後で騙されたことに気がついた。
五、2022年6月，河南省王某（11岁）在某粉丝QQ群看到推送信息称，进入某QQ群可以免费抽奖和领红包，王某便申请加入了该QQ群。不久群里的“工作人员”告诉王某，其被公司抽中一等奖，奖金6000元，并获得某明星签名。根据“工作人员”指示，王某在该QQ群里先后发红包8次，合计被骗5000余元。	5. 2022年6月、河南省の王さん（11歳）は、ファンのQQグループで、QQグループに入ると無料で抽選に当ったり、ご祝儀袋がもらえるというプッシュメッセージを見てQQグループへの参加を申し込んだ。やがて、グループの中の「スタッフ」が王さんに、会社の抽選で1等6,000元と有名人のサイン色紙をプレゼントすると連絡してきた。「スタッフ」の指示に従い、QQグループの王さんは、ご祝儀袋を8回、5,000元以上を送金したが、それは詐欺であった。
六、2021年4月，湖北省朱某（14岁）被朋友拉入了一个QQ群，群里通知可以投票获得返现。朱某扫描对方二维码后，被要求输入代码88.8，朱某输入后发现手机被扣款88.8元，且无返现通道。随后对方添加朱某为QQ好友称，因朱某转账为未成年人转账，导致公司账户被冻结，必须按要求操作才能解除冻结，否则将通过法院传唤其父母，并要求朱某操作解冻时不得让父母发现。朱某按对方要求出示了父母的付款码，被对方扣款12600元。	6. 2021年4月、湖北省の朱さん（14歳）は、友人からQQグループに引き込まれ、投票すればキャッシュバックが受けられると知らされた。朱さんが相手のQRコードをスキャンした後、88.8というコードを入力するように言われ、朱さんが入力した後、自分の携帯電話から88.8元が引き落とされたが、キャッシュバックの方法がないことが分かった。他人が、QQの友人として朱さんを追加した。朱さんは未成年のため、アカウントが凍結された結果、凍結解除のために必要な手続きをする必要があり、そうしなければ朱さんの両親が裁判所に召喚されると説明された。アカウント凍結解除のことは、両親に知られないようにしなければならないと言い、朱は相手から要求された両親の支払いコードを提示し、相手から12,600元を引き落とされた。
七、2022年2月，陕西省秦某（14岁）经朋友推荐加入某“QQ追星粉丝群”，通过群内管理员介绍参加刷单返利活动。秦某扫码进行刷单操作后，管理员以秦某为未成年人为由，要求进行身份审查，并缴纳8000元的审查保证金。秦某便用其母亲账号扫码支付，事后发现被骗。	7. 2022年2月、陝西省の秦さん（14歳）は友人に勧められ「QQファングループ」に参加し、グループの管理者から紹介されてシングルリベート活動に参加した。管理者は、秦さんが未成年であることを理由に身元の審査を依頼し、審査保証金8,000元を請求した。そして、秦さんは母親の口座を使ってコードをスキャンして支払った。その後、秦さんは騙されたことに気づいた。

2022.08.11 03:10 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2022.08.10

CISA アラート（AA22-216A） & ACSC 2021年のトップマルウェア株

こんにちは、丸山満彦

米国のCISAと、オーストラリアのACSCが、2021年のマルウェアトップ10を公表していますね。。。

トップ10は

Agent Tesla
AZORult
Formbook
Ursnif
LokiBot
MOUSEISLAND
NanoCore
Qakbot
Remcos
TrickBot and GootLoader

ということのようですね。。。

● CISA

・2022.08.04 Alert (AA22-216A) 2021 Top Malware Strains

・[PDF]

Alert (AA22-216A) 2021 Top Malware Strains	アラート（AA22-216A） 2021年のトップマルウェア株
Summary	まとめ
This joint Cybersecurity Advisory (CSA) was coauthored by the Cybersecurity and Infrastructure Security Agency (CISA) and the Australian Cyber Security Centre (ACSC). This advisory provides details on the top malware strains observed in 2021. Malware, short for “malicious software,” can compromise a system by performing an unauthorized function or process. Malicious cyber actors often use malware to covertly compromise and then gain access to a computer or mobile device. Some examples of malware include viruses, worms, Trojans, ransomware, spyware, and rootkits.[1]	この共同サイバーセキュリティ勧告（CSA）は、サイバーセキュリティ・重要インフラ庁（CISA）とオーストラリア・サイバーセキュリティ・センター（ACSC）が共同で作成したものである。本アドバイザリーでは、2021年に観測された上位のマルウェアの詳細について説明する。マルウェアは「悪意のあるソフトウェア」の略称で、不正な機能やプロセスを実行することでシステムを危険にさらすことができる。悪意のあるサイバーアクターは、しばしばマルウェアを使用して、コンピュータやモバイルデバイスを密かに侵害し、アクセス権を取得する。マルウェアの例としては、ウイルス、ワーム、トロイの木馬、ランサムウェア、スパイウェア、ルートキットなどがある[1]。
In 2021, the top malware strains included remote access Trojans (RATs), banking Trojans, information stealers, and ransomware. Most of the top malware strains have been in use for more than five years with their respective code bases evolving into multiple variations. The most prolific malware users are cyber criminals, who use malware to deliver ransomware or facilitate theft of personal and financial information.	2021年、マルウェアの上位には、リモートアクセス型トロイの木馬（RAT）、バンキング型トロイの木馬、情報窃取型、ランサムウェアが含まれている。上位のマルウェア系統のほとんどは、5年以上にわたって使用されており、それぞれのコードベースは複数のバリエーションに進化している。最も多くマルウェアを使用しているのはサイバー犯罪者で、マルウェアを使用してランサムウェアを配信したり、個人情報や財務情報の窃取を促進している。
CISA and ACSC encourage organizations to apply the recommendations in the Mitigations sections of this joint CSA. These mitigations include applying timely patches to systems, implementing user training, securing Remote Desktop Protocol (RDP), patching all systems especially for known exploited vulnerabilities, making offline backups of data, and enforcing multifactor authentication (MFA).	CISAとACSCは、組織がこのジョイントCSAの「緩和策」のセクションにある推奨事項を適用することを推奨する。これらの緩和策には、システムへのタイムリーなパッチの適用、ユーザートレーニングの実施、リモート・デスクトップ・プロトコル（RDP）の保護、特に既知の脆弱性を悪用したすべてのシステムへのパッチ適用、データのオフラインバックアップ、多要素認証（MFA）の強化が含まれる。
Immediate Actions You Can Take Now to Protect Against Malware:	マルウェアから身を守るために、今すぐできること。
• Patch all systems and prioritize patching known exploited vulnerabilities.	・すべてのシステムにパッチを適用し,悪用される既知の脆弱性には優先的にパッチを適用する。
• Enforce multifactor authentication (MFA).	・多要素認証（MFA）を導入する。
• Secure Remote Desktop Protocol (RDP) and other risky services.	・リモート・デスクトップ・プロトコル（RDP）およびその他の危険なサービスを保護する。
• Make offline backups of your data.	・データのオフライン・バックアップを行う。
• Provide end-user awareness and training about social engineering and phishing.	・ソーシャル・エンジニアリングやフィッシングに関するエンドユーザーの意識向上とトレーニングを実施する。
Technical Details	技術的な詳細
Key Findings	主な発見事項
The top malware strains of 2021 are: Agent Tesla, AZORult, Formbook, Ursnif, LokiBot, MOUSEISLAND, NanoCore, Qakbot, Remcos, TrickBot and GootLoader.	2021年のマルウェア上位株は以下の通り。Agent Tesla、AZORult、Formbook、Ursnif、LokiBot、MOUSEISLAND、NanoCore、Qakbot、Remcos、TrickBotおよびGootLoaderである。
・Malicious cyber actors have used Agent Tesla, AZORult, Formbook, LokiBot, NanoCore, Remcos, and TrickBot for at least five years.	・悪意のあるサイバー行為者は、少なくとも5年間、Agent Tesla、AZORult、Formbook、LokiBot、NanoCore、Remcos、TrickBotを使用している。
・Malicious cyber actors have used Qakbot and Ursnif for more than a decade.	・悪意のあるサイバーアクターは、10年以上にわたってQakbotとUrsnifを使用している。
Updates made by malware developers, and reuse of code from these malware strains, contribute to the malware’s longevity and evolution into multiple variations. Malicious actors’ use of known malware strains offers organizations opportunities to better prepare, identify, and mitigate attacks from these known malware strains.	マルウェアの開発者によるアップデートや、これらのマルウェアのコードの再利用が、マルウェアの長寿命化と複数のバリエーションへの進化に寄与している。悪意のある行為者が既知のマルウェア株を使用することは、組織がこれらの既知のマルウェア株からの攻撃に備え、識別し、軽減する機会を提供する。
The most prolific malware users of the top malware strains are cyber criminals, who use malware to deliver ransomware or facilitate theft of personal and financial information.	上位のマルウェア株を最も多く使用しているのは、サイバー犯罪者で、マルウェアを使用してランサムウェアを配信したり、個人情報や財務情報の窃取を容易にしたりしている。
・Qakbot and TrickBot are used to form botnets and are developed and operated by Eurasian cyber criminals known for using or brokering botnet-enabled access to facilitate highly lucrative ransomware attacks. Eurasian cyber criminals enjoy permissive operating environments in Russia and other former Soviet republics.	・QakbotとTrickBotは、ボットネットを形成するために使用され、ボットネットを使用したアクセスを仲介し、非常に有利なランサムウェア攻撃を行うことで知られるユーラシアのサイバー犯罪者によって開発・運用されている。ユーラシア大陸のサイバー犯罪者は、ロシアやその他の旧ソビエト共和国において、寛容な活動環境を享受している。
・According to U.S. government reporting, TrickBot malware often enables initial access for Conti ransomware, which was used in nearly 450 global ransomware attacks in the first half of 2021. As of 2020, malicious cyber actors have purchased access to systems compromised by TrickBot malware on multiple occasions to conduct cybercrime operations.	・米国政府の報告によると、TrickBotマルウェアは、しばしばContiランサムウェアの初期アクセスを可能にし、2021年上半期に約450件のグローバルランサムウェア攻撃で使用された。2020年現在、悪意のあるサイバーアクターは、TrickBotマルウェアによって侵害されたシステムへのアクセスを複数回購入し、サイバー犯罪のオペレーションを実施している。
・In 2021, cyber criminals conducted mass phishing campaigns with Formbook, Agent Tesla, and Remcos malware that incorporated COVID-19 pandemic themes to steal personal data and credentials from businesses and individuals.	・2021年、サイバー犯罪者は、企業や個人から個人データや認証情報を盗むために、COVID-19パンデミックをテーマに取り入れたFormbook、Agent Tesla、Remcosマルウェアによる大規模なフィッシングキャンペーンを実施した。
In the criminal malware industry, including malware as a service (MaaS), developers create malware that malware distributors often broker to malware end-users.[2] Developers of these top 2021 malware strains continue to support, improve, and distribute their malware over several years. Malware developers benefit from lucrative cyber operations with low risk of negative consequences. Many malware developers often operate from locations with few legal prohibitions against malware development and deployment. Some developers even market their malware products as legitimate cyber security tools. For example, the developers of Remcos and Agent Tesla have marketed the software as legitimate tools for remote management and penetration testing. Malicious cyber actors can purchase Remcos and Agent Tesla online for low cost and have been observed using both tools for malicious purposes.	マルウェア・アズ・ア・サービス（MaaS）を含む犯罪用マルウェア業界では、開発者が作成したマルウェアを、マルウェア配布業者がマルウェアのエンドユーザに仲介するケースが多く見られる[2]。これらの2021年トップレベルのマルウェア株の開発者は、数年にわたってマルウェアのサポート、改善、配布を続けている。マルウェア開発者は、悪影響を及ぼすリスクの低い、儲かるサイバーオペレーションから利益を得ている。マルウェア開発者の多くは、マルウェアの開発や配備に対する法的な禁止事項がほとんどない場所で活動していることが多い。また、開発者の中には、自社のマルウェア製品を正当なサイバーセキュリティツールとして販売する者もいる。例えば、RemcosやAgent Teslaの開発者は、これらのソフトウェアを遠隔管理や侵入テストのための合法的なツールとして販売している。悪意のあるサイバーアクターは、RemcosとAgent Teslaをオンラインで安価に購入することができ、両ツールを悪意のある目的で使用していることが確認されている。
Top Malware	トップマルウェア
Agent Tesla	エージェントテスラ
Overview: Agent Tesla is capable of stealing data from mail clients, web browsers, and File Transfer Protocol (FTP) servers. This malware can also capture screenshots, videos, and Windows clipboard data. Agent Tesla is available online for purchase under the guise of being a legitimate tool for managing your personal computer. Its developers continue to add new functionality, including obfuscation capabilities and targeting additional applications for credential stealing.[3][4]	概要：Agent Teslaは、メールクライアント、ウェブブラウザ、およびファイル転送プロトコル（FTP）サーバからデータを盗み出すことができる。また、このマルウェアは、スクリーンショット、ビデオ、およびWindowsのクリップボードデータをキャプチャすることができる。Agent Tesla は、個人的なコンピュータを管理するための正当なツールであるかのように装って、オンラインで購入することができる。その開発者は、難読化機能を含む新しい機能を追加し続け、資格情報窃盗のための追加のアプリケーションをターゲットにしている[3][4]。
Active Since: 2014	活動開始時期：2014年
Malware Type: RAT	マルウェアの種類：RAT
Delivery Method: Often delivered as a malicious attachment in phishing emails.	配信方法：多くの場合、フィッシングメールの悪意のある添付ファイルとして配信される。
Resources: See the MITRE ATT&CK page on Agent Tesla.	リソース：Agent Tesla に関する MITRE ATT&CK のページを参照。
AZORult	AZORult
Overview: AZORult is used to steal information from compromised systems. It has been sold on underground hacker forums for stealing browser data, user credentials, and cryptocurrency information. AZORult’s developers are constantly updating its capabilities.[5][6]	概要：AZORultは、感染したシステムから情報を盗むために使用される。ブラウザデータ、ユーザー認証情報、暗号通貨情報を盗むために、アンダーグラウンドハッカーフォーラムで販売されている。AZORultの開発者は、その機能を常に更新している[5][6]。
Active Since: 2016	活動開始時期：2016年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Phishing, infected websites, exploit kits (automated toolkits exploiting known software vulnerabilities), or via dropper malware that downloads and installs AZORult.	配信方法：フィッシング、感染したWebサイト、エクスプロイトキット（既知のソフトウェアの脆弱性を悪用する自動ツールキット）、またはAZORultをダウンロードおよびインストールするドロッパーマルウェアを経由する。
Resources: See the MITRE ATT&CK page on AZORult and the Department of Health and Human Services (HHS)’s AZORult brief.	リソース：AZORult に関する MITRE ATT&CK のページ、および保健社会福祉省（HHS）の AZORult 概要を参照。
FormBook	FormBook
Overview: FormBook is an information stealer advertised in hacking forums. ForrmBook is capable of key logging and capturing browser or email client passwords, but its developers continue to update the malware to exploit the latest Common Vulnerabilities and Exposures (CVS)[7], such as CVE-2021-40444 Microsoft MSHTML Remote Code Execution Vulnerability.[8][9]	概要：FormBookは、ハッキング・フォーラムで宣伝されている情報窃盗犯である。ForrmBookは、キーロギングとブラウザまたはメールクライアントのパスワードのキャプチャが可能であるが、その開発者は、CVE-2021-40444 Microsoft MSHTMLリモートコード実行脆弱性などの最新のCommon Vulnerabilities and Exposures (CVS)[7] を利用するためにマルウェアの更新を続けている[8][9]。
Active Since: At least 2016	活動開始時期：少なくとも2016年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered as an attachment in phishing emails.	配信方法：通常、フィッシングメールの添付ファイルとして配信される。
Resources: See Department of Health and Human Services (HHS)’s Sector Note on Formbook Malware Phishing Campaigns.	リソース：米国保健社会福祉省（HHS）のSector Note on Formbook Malware Phishing Campaignsを参照。
Ursnif	Ursnif
Overview: Ursnif is a banking Trojan that steals financial information. Also known as Gozi, Ursnif has evolved over the years to include a persistence mechanism, methods to avoid sandboxes and virtual machines, and search capability for disk encryption software to attempt key extraction for unencrypting files.[10][11][12] Based on information from trusted third parties, Ursnif infrastructure is still active as of July 2022.	概要：Ursnifは、金融情報を盗むバンキング型トロイの木馬である。Goziとしても知られるUrsnifは、長年にわたり進化を続け、永続化メカニズム、サンドボックスや仮想マシンを回避する手法、ディスク暗号化ソフトウェアの検索機能を備え、暗号化されていないファイルの鍵抽出を試みます[10][11][12] 信頼できる第三者からの情報に基づいて、Ursnifインフラは2022年7月の時点でまだアクティブな状態であるとされている。
Active Since: 2007	活動開始時期：2007年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered as a malicious attachment to phishing emails.	配信方法：通常、フィッシングメールに悪意のある添付ファイルとして配信される。
Resources: See the MITRE ATT&CK page on Ursnif.	リソース：Ursnif に関する MITRE ATT&CK のページを参照。
LokiBot	LokiBot
Overview: LokiBot is a Trojan malware for stealing sensitive information, including user credentials, cryptocurrency wallets, and other credentials. A 2020 LokiBot variant was disguised as a launcher for the Fortnite multiplayer video game.[13][14]	概要：LokiBot は、ユーザー認証情報、暗号通貨ウォレットなどの機密情報を盗み出すためのトロイの木馬型マルウェアである。2020年のLokiBotの亜種は、マルチプレイヤービデオゲーム「Fortnite」のランチャーとして偽装されていました[13][14]。
Active Since: 2015	活動開始時期：2015年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered as a malicious email attachment.	配信方法：通常、悪意のある電子メールの添付ファイルとして配信される。
Resources: See CISA’s LokiBot Malware alert and the MITRE ATT&CK page on LokiBot.	リソース：CISA の LokiBot マルウェア警告および LokiBot に関する MITRE ATT&CK のページを参照。
MOUSEISLAND	MOUSEISLAND
Overview: MOUSEISLAND is usually found within the embedded macros of a Microsoft Word document and can download other payloads. MOUSEISLAND may be the initial phase of a ransomware attack.[15]	概要：MOUSEISLAND は通常、Microsoft Word ドキュメントの埋め込みマクロ内に存在し、他のペイロードをダウンロードすることができる。MOUSEISLANDは、ランサムウェア攻撃の初期段階である可能性がある[15]。
Active Since: At least 2019	活動開始時期：少なくとも2019年
Malware Type: Macro downloader	マルウェアの種類：マクロダウンローダ
Delivery Method: Usually distributed as an email attachment.	配信方法：通常、電子メールの添付ファイルとして配布される。
Resources: See Mandiant’s blog discussing MOUSEISLAND.	リソース：MOUSEISLAND について説明した Mandiant のブログを参照。
NanoCore	NanoCore
Overview: NanoCore is used for stealing victims’ information, including passwords and emails. NanoCore could also allow malicious users to activate computers’ webcams to spy on victims. Malware developers continue to develop additional capabilities as plug-ins available for purchase or as a malware kit or shared amongst malicious cyber actors.[16][17][18]	概要：NanoCoreは、パスワードや電子メールなど、被害者の情報を盗むために使用される。また、悪意のあるユーザがコンピュータのウェブカメラを起動し、被害者を監視することも可能である。マルウェア開発者は、購入可能なプラグインとして、またはマルウェアキットとして、あるいは悪意のあるサイバーアクター間で共有される機能として、さらなる開発を続けている[16][17][18]。
Active Since: 2013	活動開始：2013年
Malware Type: RAT	マルウェアの種類：RAT
Delivery Method: Has been delivered in an email as an ISO disk image within malicious ZIP files; also found in malicious PDF documents hosted on cloud storage services.	配信方法：クラウドストレージサービスにホストされている悪意のあるPDF文書でも確認されている。
Resources: See the MITRE ATT&CK page on NanoCore and the HHS Sector Note: Remote Access Trojan Nanocore Poses Risk to HPH Sector.	リソース：MITRE ATT&CK の NanoCore および HHS Sector Note: Remote Access Trojan Nanocore Poses Risk to HPH Sector のページを参照。
Qakbot	Qakbot
Overview: originally observed as a banking Trojan, Qakbot has evolved in its capabilities to include performing reconnaissance, moving laterally, gathering and exfiltrating data, and delivering payloads. Also known as QBot or Pinksliplot, Qakbot is modular in nature enabling malicious cyber actors to configure it to their needs. Qakbot can also be used to form botnets.[19][20]	概要：当初はバンキング型トロイの木馬として観測されたQakbotは、偵察の実行、横方向への移動、データの収集と流出、ペイロードの配信など、その機能を進化させている。Qakbotは、QBotまたはPinksliplotとしても知られており、悪意のあるサイバーアクターがニーズに合わせて設定できるよう、モジュール化されている。また、Qakbotはボットネットを形成するために使用されることもある[19][20]。
Active Since: 2007	活動開始：2007年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: May be delivered via email as malicious attachments, hyperlinks, or embedded images.	配信方法：悪意のある添付ファイル、ハイパーリンク、または埋め込み画像として電子メール経由で配信されることがある。
Resources: See the MITRE ATT&CK page on Qakbot and the Department of Health and Human Services (HHS) Qbot/Qakbot Malware brief.	リソース：Qakbot に関する MITRE ATT&CK のページおよび米国保健社会福祉省（HHS）の Qbot/Qakbot Malware brief を参照。
Remcos	Remcos
Overview: Remcos is marketed as a legitimate software tool for remote management and penetration testing. Remcos, short for Remote Control and Surveillance, was leveraged by malicious cyber actors conducting mass phishing campaigns during the COVID-19 pandemic to steal personal data and credentials. Remcos installs a backdoor onto a target system. Malicious cyber actors then use the Remcos backdoor to issue commands and gain administrator privileges while bypassing antivirus products, maintaining persistence, and running as legitimate processes by injecting itself into Windows processes.[21][22]	概要：Remcos は、リモート管理および侵入テストのための正規のソフトウェアツールとして販売されている。Remcos は Remote Control and Surveillance の略で、COVID-19 の流行時に悪意のあるサイバーアクターが個人データや認証情報を盗むために大量のフィッシングキャンペーンを行った際に利用された。Remcosは、標的のシステムにバックドアをインストールする。悪意のあるサイバーアクターは、Remcosバックドアを使用してコマンドを発行し、管理者権限を取得する一方で、アンチウイルス製品を回避し、持続性を維持し、Windowsプロセスに自身を注入することで正規のプロセスとして実行する[21][22]。
Active Since: 2016	活動開始時期：2016年
Malware Type: RAT	マルウェアの種類：RAT
Delivery Method: Usually delivered in phishing emails as a malicious attachment.	配信方法：通常、悪意のある添付ファイルとしてフィッシングメールで配信される。
Resources: See the MITRE ATT&CK page on Remcos.	リソース：Remcos に関する MITRE ATT&CK のページを参照。
TrickBot	TrickBot
Overview: TrickBot malware is often used to form botnets or enabling initial access for the Conti ransomware or Ryuk banking trojan. TrickBot is developed and operated by a sophisticated group of malicious cyber actors and has evolved into a highly modular, multi-stage malware. In 2020, cyber criminals used TrickBot to target the Healthcare and Public Health (HPH) Sector and then launch ransomware attacks, exfiltrate data, or disrupt healthcare services. Based on information from trusted third parties, TrickBot’s infrastructure is still active in July 2022 .[23][24][25][26]	概要：TrickBot マルウェアは、ボットネットの形成や、Conti ランサムウェアまたは Ryuk バンキング型トロイの木馬の初期アクセスを可能にするためによく使用される。TrickBotは、悪意のあるサイバーアクターの洗練されたグループによって開発および運用されており、高度にモジュール化された多段階のマルウェアに進化している。2020年、サイバー犯罪者はTrickBotを使用して、ヘルスケアおよびパブリックヘルス（HPH）セクターを標的とし、その後、ランサムウェア攻撃、データの流出、またはヘルスケアサービスの妨害を行っている。信頼できる第三者からの情報に基づいて、TrickBotのインフラストラクチャは2022年7月現在もアクティブである[23][24][25][26]。
Active Since: 2016	活動開始時期：2016年
Malware Type: Trojan	マルウェアの種類：トロイの木馬
Delivery Method: Usually delivered via email as a hyperlink.	配信方法：通常、ハイパーリンクとして電子メールで配信される。
Resources: See the MITRE ATT&CK page on Trickbot and the Joint CSA on TrickBot Malware.	リソース：Trickbot に関する MITRE ATT&CK のページおよび TrickBot マルウェアに関する Joint CSA を参照。
GootLoader	GootLoader
Overview: GootLoader is a malware loader historically associated with the GootKit malware. As its developers updated its capabilities, GootLoader has evolved from a loader downloading a malicious payload into a multi-payload malware platform. As a loader malware, GootLoader is usually the first-stage of a system compromise. By leveraging search engine poisoning, GootLoader’s developers may compromise or create websites that rank highly in search engine results, such as Google search results.[27]	概要：GootLoader は、歴史的に GootKit マルウェアに関連するマルウェアローダーである。開発者がその機能を更新するにつれ、GootLoaderは、悪意のあるペイロードをダウンロードするローダーから、マルチペイロードマルウェアプラットフォームへと進化している。GootLoaderは、通常、ローダー型マルウェアとして、システム侵害の第一段階を担いる。検索エンジンのポイズニングを活用することで、GootLoaderの開発者は、Googleの検索結果など、検索エンジンの結果で上位にランクされるWebサイトを侵害したり、作成したりすることがある[27]。
Active Since: At least 2020	活動開始時期：少なくとも2020年
Malware Type: Loader	マルウェアの種類：ローダー
Delivery Method: Malicious files available for download on compromised websites that rank high as search engine results	配信方法：配信方法：検索エンジンの検索結果で上位にランクインする侵害されたWebサイト上でダウンロード可能な悪質なファイル
Resources: See New Jersey’s Cybersecurity & Communications Integration Cell (NJCCIC) page on GootLooader and BlackBerry’s Blog on GootLoader.	リソース：GootLooader に関する New Jersey's Cybersecurity & Comunications Integration Cell (NJCCIC) のページおよび GootLoader に関する BlackBerry 社のブログを参照。
Mitigations	軽減措置
Below are the steps that CISA and ACSC recommend organizations take to improve their cybersecurity posture based on known adversary tactics, techniques, and procedures (TTPs). CISA and ACSC urge critical infrastructure organizations to prepare for and mitigate potential cyber threats immediately by (1) updating software, (2) enforcing MFA, (3) securing and monitoring RDP and other potentially risky services, (4) making offline backups of your data, and (5) providing end-user awareness and training.	以下は、CISA と ACSC が、既知の敵の戦術、技術、手順 (TTP) に基づいて、サイバーセキュリティの姿勢を改善するために組織に推奨する手順である。CISA と ACSC は、重要インフラストラクチャ組織に対し、(1) ソフトウェアのアップデート、(2) MFA の実施、(3) RDP など潜在的にリスクの高いサービスの保護と監視、(4) データのオフラインバックアップ、(5) ユーザの認識とトレーニングなど、潜在的サイバー脅威に対する準備と軽減を早急に行うよう促している。
Update software, including operating systems, applications, and firmware, on IT network assets. Prioritize patching known exploited vulnerabilities and critical and high vulnerabilities that allow for remote code execution or denial-of-service on internet-facing equipment.	ITネットワーク資産のOS、アプリケーション、ファームウェアなどのソフトウェアを更新する。インターネットに接続された機器において、既知の悪用される脆弱性、リモートでのコード実行やサービス拒否を可能にする重要かつ高度な脆弱性に対して、優先的にパッチを適用する。
Consider using a centralized patch management system.	集中型パッチ管理システムの利用を検討する。
Consider signing up for CISA’s cyber hygiene services, including vulnerability scanning, to help reduce exposure to threats. CISA’s vulnerability scanning service evaluates external network presence by executing continuous scans of public, static IP addresses for accessible services and vulnerabilities.	脆弱性スキャンを含むCISAのサイバーハイジーンサービスへの加入を検討し、脅威への露出を減らす。CISAの脆弱性スキャンサービスは、公開されている静的IPアドレスに対して、アクセス可能なサービスや脆弱性のスキャンを継続的に実行することで、外部ネットワークの存在を評価する。
Enforce MFA to the greatest extent possible and require accounts with password logins, including service accounts, to have strong passwords. Do not allow passwords to be used across multiple accounts or stored on a system to which an adversary may have access. Additionally, ACSC has issued guidance on implementing multifactor authentication for hardening authentication systems.	可能な限りMFAを実施し、サービスアカウントなどパスワードログインが必要なアカウントには強力なパスワードを要求する。パスワードを複数のアカウントで使用したり、敵対者がアクセスできるシステムに保存したりしないようにする。さらに、ACSCは、認証システムを堅牢化するための多要素認証の実装に関するガイダンスを発行している。
If you use RDP and/or other potentially risky services, secure and monitor them closely. RDP exploitation is one of the top initial infection vectors for ransomware, and risky services, including RDP, can allow unauthorized access to your session using an on-path attacker.	RDPやその他の潜在的にリスクの高いサービスを使用している場合は、それらの安全性を確保し、厳重に監視する。RDPの悪用は、ランサムウェアの最初の感染経路の上位の一つであり、RDPを含むリスクの高いサービスは、オンパス攻撃者を使用してセッションに不正にアクセスすることを可能にする。
Limit access to resources over internal networks, especially by restricting RDP and using virtual desktop infrastructure. After assessing risks, if RDP is deemed operationally necessary, restrict the originating sources, and require MFA to mitigate credential theft and reuse. If RDP must be available externally, use a virtual private network (VPN) or other means to authenticate and secure the connection before allowing RDP to connect to internal devices. Monitor remote access/RDP logs, enforce account lockouts after a specified number of attempts to block brute force attempts, log RDP login attempts, and disable unused remote access/RDP ports.	特にRDPの制限や仮想デスクトップインフラの利用により、内部ネットワーク経由のリソースへのアクセスを制限する。リスクを評価した上で、RDP が業務上必要と判断される場合は、発信元を制限し、MFA を要求してクレデンシャルの盗難と再利用を軽減する。RDPを外部から利用する必要がある場合は、仮想プライベートネットワーク（VPN）などを利用して認証し、接続を安全にした上で、RDPによる内部デバイスへの接続を許可する。リモートアクセス/RDPのログを監視し、ブルートフォースの試行をブロックするために指定回数の試行後にアカウントのロックアウトを実施し、RDPログイン試行を記録し、未使用のリモートアクセス/RDPポートを無効化する。
Ensure devices are properly configured and that security features are enabled. Disable ports and protocols that are not being used for a business purpose (e.g., RDP Transmission Control Protocol Port 3389).	デバイスが適切に設定され、セキュリティ機能が有効になっていることを確認する。ビジネスで使用されていないポートやプロトコルを無効にする（例：RDP Transmission Control Protocol Port 3389）。
Maintain offline (i.e., physically disconnected) backups of data. Backup procedures should be conducted on a frequent, regular basis (at a minimum every 90 days). Regularly test backup procedures and ensure that backups are isolated from network connections that could enable the spread of malware.	データのオフライン（物理的に切断された状態）バックアップを維持する。バックアップの手順は、頻繁に、定期的に（最低でも90日ごとに）実施すること。定期的にバックアップ手順をテストし、バックアップがマルウェアの拡散を可能にするネットワーク接続から分離されていることを確認する。
Ensure the backup keys are kept offline as well, to prevent them being encrypted in a ransomware incident.	バックアップキーがランサムウェアのインシデントで暗号化されるのを防ぐため、オフラインで保管されていることも確認する。
Ensure all backup data is encrypted, immutable (i.e., cannot be altered or deleted), and covers the entire organization’s data infrastructure with a particular focus on key data assets.	バックアップデータは暗号化され、変更・削除ができないようにし、主要なデータ資産に特に重点を置いて、組織のデータインフラ全体をカバーするようにする。
Provide end-user awareness and training to help prevent successful targeted social engineering and spearphishing campaigns. Phishing is one of the top infection vectors for ransomware.	エンドユーザーの意識向上とトレーニングにより、ソーシャル・エンジニアリングやスピアフィッシングの成功防止に努める。フィッシングは、ランサムウェアの最も重要な感染経路の一つである。
Ensure that employees are aware of potential cyber threats and delivery methods.	従業員が、潜在的なサイバー脅威とその伝達方法について認識するよう徹底する。
Ensure that employees are aware of what to do and whom to contact when they receive a suspected phishing email or suspect a cyber incident.	フィッシングの疑いのあるメールを受け取ったとき、またはサイバーインシデントが疑われるときに、従業員が何をすべきか、誰に連絡すべきかを認識するようにする。
As part of a longer-term effort, implement network segmentation to separate network segments based on role and functionality. Network segmentation can help prevent the spread of ransomware and threat actor lateral movement by controlling traffic flows between—and access to—various subnetworks. The ACSC has observed ransomware and data theft incidents in which Australian divisions of multinational companies were impacted by ransomware incidents affecting assets maintained and hosted by offshore divisions outside their control.	長期的な取り組みの一環として、役割や機能に応じてネットワークセグメントを分離するネットワークセグメンテーションを実施する。ネットワーク・セグメンテーションは、様々なサブネットワーク間のトラフィックフローやアクセスを制御することにより、ランサムウェアの拡散や脅威者の横移動を防止することができる。ACSC は、多国籍企業のオーストラリア部門が、自社の管理外のオフショア部門が管理・ホストする資産に影響を与えたランサムウェアおよびデータ盗難事件を観察している。
RESOURCES	リソース
For alerts on malicious and criminal cyber activity, see the FBI Internet Crime Complaint Center webpage.	悪質なサイバー犯罪に関するアラートについては、FBIインターネット犯罪相談センターのウェブページを参照。
For more information and resources on protecting against and responding to ransomware, refer to StopRansomware.gov, a centralized, U.S. Government webpage providing ransomware resources and alerts.	ランサムウェアからの保護と対応に関する詳細な情報とリソースについては、ランサムウェアのリソースとアラートを提供する米国政府の集中型ウェブページである StopRansomware.gov を参照。
The ACSC recommends organizations implement eight essential mitigation strategies from the ACSC’s Strategies to Mitigate Cyber Security Incidents as a cybersecurity baseline. These strategies, known as the “Essential Eight,” make it much harder for adversaries to compromise systems.	ACSC は、サイバーセキュリティの基本方針として、ACSC の「Strategies to Mitigate Cyber Security Incidents」にある 8 つの重要な緩和策を実施することを組織に推奨している。これらの戦略は「エッセンシャルエイト」として知られ、敵対者がシステムを侵害することをより困難にする。
Refer to the ACSC’s practical guides on how to protect yourself against ransomware attacks and what to do if you are held at ransom at cyber.gov.au .	ランサムウェア攻撃から身を守る方法と身代金を要求された場合の対処法については、ACSCの実践的なガイドcyber.gov.auを参照。

オーストラリアの発表

● Australian Cyber Security Centre: ACSC

・2022.08.05 2021 Top Malware Strains

2022.08.10 14:44 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. C, D)

こんにちは、丸山満彦です。

NISTがSP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）を公表し、意見募集をしていますね。。。

6月はサマリーにあたる、NIST SP 1800-35A: Executive Summaryを、7月は本文にあたる、NIST SP 1800-35B: Approach, Architecture, and Security Characteristics – what we built and whyを、公表していますが、今回は、

Volume C: How-To Guides
Volume D: Functional Demonstrations

の二つになります。。。

これで、一連の文書の初期ドラフトが揃ったということですかね。。。

● NIST - ITL

・2022.08.09 SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft)

SP 1800-35 (Draft) Implementing a Zero Trust Architecture (Preliminary Draft)	SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装(初期ドラフト)
Announcement	発表
The Zero Trust Architecture (ZTA) team at NIST's National Cybersecurity Center of Excellence (NCCoE) has published volumes C and D of a preliminary draft practice guide titled "Implementing a Zero Trust Architecture" and is seeking the public's comments on its contents.	NISTのナショナル・サイバーセキュリティ・センター・オブ・エクセレンス（NCCoE）のゼロトラスト・アーキテクチャ（ZTA）チームは、「ゼロトラストアーキテクチャの実装」と題した実践ガイドの初期ドラフトC巻とD巻を公開し、その内容に関する一般からのコメントを求めています。
This guide summarizes how the NCCoE and its collaborators are using commercially available technology to build interoperable, open standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. As the project progresses, the preliminary draft will be updated and additional volumes will be released for comment.	このガイドは、NCCoEとその協力者が、NIST Special Publication (SP) 800-207, ゼロトラスト・アーキテクチャの概念と原則に沿った、相互運用可能でオープンスタンダードに基づくZTA実装を、市販の技術を使用して構築する方法を要約したものです。プロジェクトの進捗に伴い、この暫定版は更新され、コメントのために追加版がリリースされる予定です。
Abstract	概要
A zero trust architecture (ZTA) focuses on protecting data and resources. It enables secure authorized access to enterprise resources that are distributed across on-premises and multiple cloud environments, while enabling a hybrid workforce and partners to access resources from anywhere, at any time, from any device in support of the organization’s mission. Each access request is evaluated by verifying the context available at access time, including the requester’s identity and role, the requesting device’s health and credentials, and the sensitivity of the resource. If the enterprise’s defined access policy is met, a secure session is created to protect all information transferred to and from the resource. A real-time and continuous policy-driven, risk-based assessment is performed to establish and maintain the access. In this project, the NCCoE and its collaborators use commercially available technology to build interoperable, open, standards-based ZTA implementations that align to the concepts and principles in NIST Special Publication (SP) 800-207, Zero Trust Architecture. This NIST Cybersecurity Practice Guide explains how commercially available technology can be integrated and used to build various ZTAs.	ゼロトラストアーキテクチャ（ZTA）は、データとリソースの保護に重点を置いています。オンプレミスや複数のクラウド環境に分散している企業リソースへの安全な認証アクセスを可能にし、ハイブリッドワーカーやパートナーが、いつでも、どこからでも、どんなデバイスからでも、組織のミッションをサポートするためにリソースにアクセスできるようにします。各アクセス要求は、アクセス時に利用可能なコンテキスト（要求者のアイデンティティや役割、要求デバイスの状態や認証情報、リソースの機密性など）を検証することで評価されます。企業で定義されたアクセスポリシーに適合する場合、リソースとの間で転送されるすべての情報を保護するために安全なセッションが作成されます。リアルタイムかつ継続的に、ポリシーに基づいたリスクベースの評価が行われ、アクセスの確立と維持が行われます。このプロジェクトでは、NCCoEとその協力者は、市販の技術を使用して、NIST Special Publication (SP) 800-207「Zero Trust Architecture」の概念と原則に沿った、相互運用可能でオープン、標準ベースのZTA実装を構築しています。このNISTサイバーセキュリティ実践ガイドは、市販の技術を統合し、さまざまなZTAを構築するために使用する方法について説明しています。

まずは、Volume C: How-To Guides

Volume C: How-To Guides	C巻：ハウツーガイド
Contents	目次
1 Introduction	1 はじめに
1.1 How to Use this Guide	1.1 このガイドの使い方
1.2 Build Overview	1.2 ビルドの概要
1.2.1 EIG Crawl Phase Build Features	1.2.1 EIGクロールフェーズの構築機能
1.2.2 Physical Architecture Overview	1.2.2 物理アーキテクチャの概要
1.3 Typographic Conventions	1.3 文字種の規則
2 Enterprise 1 Build 1 (EIG E1B1) Product Guides	2 エンタープライズ1 ビルド1 (EIG E1B1) 製品ガイド
2.1 Okta Identity Cloud	2.1 Okta Identity Cloud
2.1.1 Configuration and Integration	2.1.1 構成と統合
2.1.2 Okta Verify App	2.1.2 Okta Verifyアプリ
2.1.3 Okta Access Gateway	2.1.3 Okta Access Gateway
2.2 Radiant Logic RadiantOne	2.2 Radiant Logic RadiantOne
2.2.1 Installation	2.2.1 インストール
2.2.2 Configuration	2.2.2 構成
2.2.3 Integration	2.2.3 統合
2.3 SailPoint IdentityIQ	2.3 SailPoint IdentityIQ
2.3.1 Installation and Configuration	2.3.1 インストールと構成
2.3.2 Integration with Radiant Logic	2.3.2 Radiant Logicとの統合
2.3.3 Integration with AD	2.3.3 AD との統合
2.3.4 Integration with Okta	2.3.4 Oktaとの統合
2.4 Ivanti Neurons for UEM	2.4 Ivanti Neurons for UEM
2.4.1 Installation and Configuration	2.4.1 インストールと構成
2.4.2 Integration with Ivanti Connector	2.4.2 Ivanti Connectorとの統合
2.4.3 Integration with Okta	2.4.3 Oktaとの統合
2.5 Ivanti Sentry	2.5 Ivanti Sentry
2.5.1 Installation and Configuration	2.5.1 インストールと構成
2.5.2 Ivanti Tunnel Configuration and Deployment	2.5.2 Ivanti Tunnelの構成と展開
2.6 Ivanti Access ZSO	2.6 Ivanti Access ZSO
2.6.1 Integration with Ivanti Neurons for UEM	2.6.1 Ivanti Neurons for UEMとの統合
2.6.2 Integration with Okta	2.6.2 Oktaとの統合
2.7 Zimperium Mobile Threat Defense (MTD)	2.7 Zimperium モバイル脅威防御 (MTD)
2.7.1 Installation, Configuration, and Integration	2.7.1 インストール、構成、および統合
2.8 IBM Cloud Pak for Security	2.8 IBM Cloud Pak for Security
2.9 IBM Security QRadar XDR	2.9 IBM セキュリティ QRadar XDR
2.10 Tenable.io	2.10 Tenable.io
2.10.1 Installation and Configuration	2.10.1 インストールと構成
2.10.2 Integration with QRadar	2.10.2 QRadarとの統合
2.11 Tenable.ad	2.11 Tenable.ad
2.12 Mandiant Security Validation (MSV)	2.12 Mandiant Security Validation (MSV)
2.12.1 MSV Director Installation/Configuration	2.12.1 MSV Directorのインストール/構成
2.12.2 MSV Network Actor Installation/Configuration	2.12.2 MSV Network Actor のインストール/構成
2.12.3 MSV Endpoint Actor Installation/Configuration	2.12.3 MSV Endpoint Actor のインストール/構成
2.12.4 MSV Evaluation Configuration	2.12.4 MSV Evaluation の構成
2.12.5 MSV Evaluation Execution	2.12.5 MSV Evaluation の実行
2.13 DigiCert CertCentral	2.13 DigiCert CertCentral
2.14 AWS IaaS	2.14 AWS IaaS
3 Enterprise 3 Build 1 (EIG E3B1) Product Guides	3 エンタープライズ3 ビルド1 (EIG E3B1)製品ガイド
3.1 Microsoft Azure Active Directory (AD)	3.1 Microsoft Azure Active Directory (AD)
3.2 Microsoft Endpoint Manager	3.2 Microsoft Endpoint Manager
3.2.1 Configuration and Integration	3.2.1 構成と統合
3.3 Microsoft Defender for Endpoint	3.3 Microsoft Defender for Endpoint
3.3.1 Configuration and Integration	3.3.1 構成と統合
3.3.2 Microsoft Defender Antivirus	3.3.2 Microsoft Defender アンチウイルス
3.4 Microsoft Sentinel	3.4 Microsoft Sentinel
3.5 F5 BIG-IP	3.5 F5 BIG-IP
3.5.1 Installation, Configuration, and Integration	3.5.1 インストール、構成、統合
3.6 Lookout Mobile Endpoint Security (MES)	3.6 Lookout モバイルエンドポイントセキュリティ(MES)
3.6.1 Configuration and Integration	3.6.1 構成と統合
3.6.2 Create MTD device compliance policy with Intune	3.6.2 IntuneでのMTDデバイスコンプライアンスポリシーの作成
3.7 PC Matic Pro	3.7 PC Matic Pro
3.8 Tenable.io	3.8 Tenable.io
3.8.1 Integration with Microsoft Sentinel	3.8.1 Microsoft Sentinelとの統合
3.9 Tenable.ad	3.9 Tenable.ad
3.10 Mandiant Security Validation (MSV)	3.10 Mandiant Security Validation (MSV) (マンディアント・セキュリティ・バリデーション)
3.11 Forescout eyeSight	3.11 Forescout eyeSight
3.11.1 Integration with AD	3.11.1 ADとの統合
3.11.2 Integration with Cisco Switch	3.11.2 Cisco Switchとの統合
3.11.3 Integration with Cisco Wireless Controller	3.11.3 Ciscoワイヤレスコントローラとの統合
3.11.4 Integration with Microsoft Sentinel	3.11.4 Microsoft Sentinelとの統合
3.11.5 Integration with Palo Alto Networks NGFW	3.11.5 Palo Alto Networks NGFWとの統合
3.11.6 Integration with Tenable.io	3.11.6 Tenable.ioとの統合
3.12 Palo Alto Next Generation Firewall	3.12 Palo Alto Next Generation Firewall
3.13 DigiCert CertCentral	3.13 DigiCert CertCentral
Appendix A List of Acronyms	附属書 A 頭字語リスト

次に、Volume D: Functional Demonstrations

Volume D: Functional Demonstrations	D巻：機能デモ
Contents	目次
1 Introduction	1 はじめに
1.1 How to Use this Guide	1.1 このガイドの使用方法
2 Functional Demonstration Playbook	2 機能デモのプレイブック
2.1 Definitions	2.1 定義
2.1.1 Network IDs	2.1.1 ネットワークID
2.1.2 Subject and Requested Resource Types	2.1.2 対象となるリソースと要求されるリソースの種類
2.1.3 Resource and Querying Endpoint Compliance Classification	2.1.3 リソースとクエリのエンドポイント準拠の分類
2.1.4 Desired Outcomes	2.1.4 望ましい結果
2.1.5 Authentication Status	2.1.5 認証ステータス
2.2 General Configurations	2.2 一般的な構成
2.2.1 Access Level	2.2.1 アクセス・レベル
2.2.2 Access Profiles	2.2.2 アクセス・プロファイル
2.2.3 Resources and Capabilities	2.2.3 リソースと能力
2.2.4 User Profiles	2.2.4 ユーザープロファイル
2.3 Demonstration Methodology	2.3 デモの方法論
2.4 Use Case A: Discovery and Identification of IDs, Assets, and Data Flows	2.4 ユースケース A：ID、資産、データフローの発見と識別
2.4.1 Scenario A-1: Discovery and authentication of endpoint assets	2.4.1 シナリオ A-1：エンドポイントアセットの検出と認証
2.4.2 Scenario A-2: Reauthentication of identified assets	2.4.2 シナリオ A-2：識別されたアセットの再認証
2.4.3 Scenario A-3: Discovery of transaction flows	2.4.3 シナリオ A-3：トランザクションフローの発見
2.5 Use Case B: Enterprise ID Access	2.5 ユースケース B：企業 ID アクセス
2.5.1 Scenario B-1: Full/limited resource access using an enterprise endpoint	2.5.1 シナリオ B-1：エンタープライズエンドポイントの使用 - 完全/限定的なリソースアクセス
2.5.2 Scenario B-2: Full/limited internet access using an enterprise endpoint	2.5.2 シナリオ B-2：エンタープライズエンドポイントの使用 - 完全/限定的なインターネットアクセス
2.5.3 Scenario B-3: Stolen credential using an enterprise endpoint	2.5.3 シナリオ B-3：エンタープライズエンドポイントの使用 - 盗まれたクレデンシャル
2.5.4 Scenario B-4: Full/limited resource access using BYOD	2.5.4 シナリオ B-4：BYODの使用 - 完全/限定的なリソースアクセス
2.5.5 Scenario B-5: Full/limited internet access using BYOD	2.5.5 シナリオ B-5：BYODの使用 - 完全/限定的なインターネットアクセス
2.5.6 Scenario B-6: Stolen credential using BYOD	2.5.6 シナリオ B-6：BYODの使用 - 盗まれたクレデンシャル
2.6 Use Case C: Collaboration: Federated-ID Access	2.6 ユースケース C：コラボレーション：フェデレート ID アクセス
2.6.1 Scenario C-1: Full resource access using an enterprise endpoint	2.6.1 シナリオ C-1：エンタープライズエンドポイントの使用 - 完全なリソースアクセス
2.6.2 Scenario C-2: Limited resource access using an enterprise endpoint	2.6.2 シナリオ C-2：エンタープライズエンドポイントの使用 - 限定的なリソースアクセス
2.6.3 Scenario C-3: Limited internet access using an enterprise endpoint	2.6.3 シナリオ C-3：エンタープライズエンドポイントの使用 - 限定的なインターネットアクセス
2.6.4 Scenario C-4: No internet access using an enterprise endpoint	2.6.4 シナリオ C-4：エンタープライズエンドポイントの使用 - インターネットアクセスなし
2.6.5 Scenario C-5: Internet access using BYOD	2.6.5 シナリオ C-5：BYODを使用したインターネットアクセス
2.6.6 Scenario C-6: Access resources using BYOD	2.6.6 シナリオ C-6：BYODを使用したリソースアクセス
2.6.7 Scenario C-7: Stolen credential using an enterprise endpoint	2.6.7 シナリオ C-7：エンタープライズエンドポイントの使用 - 盗まれたクレデンシャル
2.6.8 Scenario C-8: Stolen credential using BYOD	2.6.8 シナリオ C-8：BYODの使用 - 盗まれたクレデンシャル
2.7 Use Case D: Other-ID Access	2.7 ユースケース D：他の ID アクセス
2.7.1 Scenario D-1: Full/limited resource access using an enterprise endpoint	2.7.1 シナリオ D-1：エンタープライズ・エンドポイントの使用 - 完全/限定リソース・アクセス
2.7.2 Scenario D-2: Full/limited internet access using an enterprise endpoint	2.7.2 シナリオ D-2：エンタープライズ・エンドポイントの使用 - 完全/限定的なインターネット・アクセス
2.7.3 Scenario D-3: Stolen credential using BYOD or enterprise endpoint	2.7.3 シナリオ D-3：BYODまたはエンタープライズエンドポイントの使用 - 盗難クレデンシャル
2.7.4 Scenario D-4: Full/limited resource access using BYOD	2.7.4 シナリオ D-4：BYOD の使用 - 完全/限定的なリソース・アクセス
2.7.5 Scenario D-5: Full/limited internet access using BYOD	2.7.5 シナリオ D-5：BYODの使用 - 完全/限定的なインターネット・アクセス
2.7.6 Scenario D-6: Stolen credential using BYOD	2.7.6 シナリオ D-6：BYOD の使用 - 盗まれたクレデンシャル
2.8 Use Case E: Guest: No-ID Access	2.8 ユースケース E：ゲスト - ID なしアクセス
2.8.1 Scenario E-1: Guest requests public internet access	2.8.1 シナリオ E-1：ゲスト - 公共インターネットアクセス要求
2.9 Use Case F: Confidence Level	2.9 ユースケース F：信頼性レベル
2.9.1 Scenario F-1: User reauthentication fails during active session	2.9.1 シナリオ F-1：アクティブ・セッション中のユーザ再認証の失敗
2.9.2 Scenario F-2: Requesting endpoint reauthentication fails during active session	2.9.2 シナリオ F-2：アクティブ・セッション中のエンドポイント再認証要求の失敗
2.9.3 Scenario F-3: Resource reauthentication fails during active session	2.9.3 シナリオ F-3：アクティブセッション中のリソース再認証の失敗
2.9.4 Scenario F-4: Compliance fails during active session	2.9.4 シナリオ F-4：アクティブセッション中のコンプライアンスの失敗
2.9.5 Scenario F-5: Compliance improves between requests	2.9.5 シナリオ F-5：リクエスト間のコンプライアンスの改善
3 Functional Demonstration Results	3 機能的なデモの結果
3.1 EIG Crawl Phase Demonstration Results	3.1 EIG クロールフェーズの実証結果
3.1.1 Enterprise 1 Build 1 (E1B1) Demonstration Results	3.1.1 エンタープライズ1 ビルド1 (E1B1) の実証結果
3.1.2 Enterprise 2 Build 1 (E2B1) Demonstration Results	3.1.2 エンタープライズ2 ビルド1 (E2B1) の実証結果
3.1.3 Enterprise 3 Build 1 (E3B1) Demonstration Results	3.1.3 エンタープライズ3 ビルド1 (E3B1) の実証結果
3.1.4 Enterprise 4 Build 1 (E4B1) Demonstration Results	3.1.4 エンタープライズ4 ビルド1 (E4B1) の実証結果
Appendix A List of Acronyms	附属書A 頭字語リスト
Appendix B References	附属書B 参考文献

NISTの参考情報

Supplemental Material:

・[PDF] NIST SP 1800-35D iprd

・[PDF] NIST SP 1800-35C iprd

・[PDF] NIST SP 1800-35B iprd

・[PDF] NIST SP 1800-35A iprd

・[WEB] Project homepage

協力企業24社のリスト

● NCCoE

・2022.06.03 The Zero Trust Architecture (ZTA) Team Releases Preliminary Draft Practice Guide (Vol A)

● まるちゃんの情報セキュリティ気まぐれ日記

SP 1800-35関係

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. A)

米国のZero Trust関係

・2022.08.10 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. C, D)

・2022.07.09 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. B)

・2022.06.07 NIST SP 1800-35 (ドラフト) ゼロトラストアーキテクチャの実装（初期ドラフト）(Vol. A)

・2022.05.08 NIST ホワイトペーパー CSWP 20 ゼロトラストアーキテクチャのための計画：連邦政府管理者向け計画策定ガイド

・2022.04.08 NIST SP 800-40 Rev.4 組織全体のパッチ管理計画のためのガイド：技術についての予防的保守

・2022.03.28 米国上院 S.3894 - 継続的診断・軽減 (CDM) を通じたサイバーセキュリティの推進に関する法律案

・2022.03.15 米国 CISA 意見募集ゼロトラスト原則のエンタープライズ・モビリティへの適用 (2022.03.07)

・2022.01.28 米国 OMB M-22-09 米国政府のゼロトラスト・サイバーセキュリティ原則への移行についての覚書

・2022.01.24 米国国家安全保障、国防総省、および情報コミュニティのシステムのサイバーセキュリティ向上に関する覚書

・2021.11.19 SP 800-40 Rev.4（ドラフト）組織全体のパッチ管理計画のためのガイド：技術についての予防的保守

・2021.09.09 米国 CISA 意見募集ゼロトラスト成熟度モデル

・2021.05.13 米国国家のサイバーセキュリティ向上に関する大統領令

・2021.03.01 米国国家安全保障局 (NSA) ゼロトラストセキュリティモデルに関するガイダンス

・2020.12.14 PwC Japanが「NIST SP800-207 「ゼロトラスト・アーキテクチャ」の解説と日本語訳」を公表していますね。。。

・2020.10.22 NISTのZero Trust Architecture実装プロジェクトに関する文書

・2020.08.14 NIST SP 800-207 Zero Trust Architecture

・2020.05.28 CSAがソフトウェア定義の境界（SDP）を使用してゼロトラストを実装する方法に関する報告書を公開していますね。。。

・2020.04.01 NIST White Paper [Project Description] Critical Cybersecurity Hygiene: Patching the Enterprise

・2020.04.02 NIST White Paper (Draft) Methodology for Characterizing Network Behavior of Internet of Things Devices

・2020.02.14 NIST SP 800-207(Draft) Zero Trust Architecture (2nd Draft)

2022.08.10 06:43 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in クラウド, in パブコメ | Permalink | Comments (0)
Tweet

2022.08.09

経済安全保障関係「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について（報告）」のサイバーセキュリティ関係...

こんにちは、丸山満彦です。

内閣府の「経済安全保障重要技術育成プログラムに係るプログラム会議」の第2回会議が開催され、「経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について（報告）」等の資料が公開されていますね。。。

検討テーマは、

・海洋領域
・宇宙・航空領域
・領域横断・サイバー空間
・バイオ領域

という感じでしょうか？？？

研究開発ビジョン検討ワーキンググループ（WG）委員のうち、サイバー関係の委員は

・松本勉横浜国立大学大学院環境情報研究院教授
・盛合志帆情報通信研究機構サイバーセキュリティ研究所長

ですかね。。もちろん、サイバーは分野横断的なテーマなので、他の分野との組み合わせで考えることが重要なので、サイバーの専門家だけでなく、他の分野の専門家と共に議論することが重要ですよね。。。

で、支援対象とする技術は、、、

‧ AI セキュリティに係る知識・技術
‧ 不正機能検証技術（ファームウェア・ソフトウェア／ハードウェア）
‧ ハイブリッドクラウド利用基盤技術

みたいです。。。

● 内閣府 - 内閣府の政策 - 科学技術・イノベーション - 安全・安心 - 第2回経済安全保障重要技術育成プログラムに係るプログラム会議

資料1-1経済安全保障重要技術育成プログラムにかかる研究開発ビジョン検討WG の検討結果について（報告）

サイバー空間関連：取組を強化すべき今後の課題に関する背景等

【背景や一般的な課題認識】
- サイバー空間の「公共空間化」が進展し、サイバー空間において提供される多様なサービスが複雑化するに伴いサイバー空間内やサイバーとフィジカルの垣根を超えた主体間の「相互連関・連鎖性」が一層深化。「自由、公正かつ安全なサイバー空間」を確保するためにはこれらをとりまく不確実性の変容・増大によって生じるリスクを適切に把握した上で対応していくことが必要。
- サイバーセキュリティ研究分野は、脅威に関する情報やユーザー等のニーズを踏まえ、実践的な研究開発を進めることが非常に重要な分野。我が国においてその基盤となる研究開発の国際競争力の強化と産学官エコシステムの構築に取り組む必要。また、デジタル技術の進展に応じ、中長期的な視点から技術トレンドを捉えた取組みを推進していくことが重要。特に、AI技術・量子技術をはじめとする先端技術の進展を見据えた対応が求められる。
- 近年、民生のみならず公的分野におけるクラウドサービスの利用拡大や複雑かつグローバルなサプライチェーンを経由する製品・サービスの拡大・浸透、IoT機器の利用拡大やAI技術の様々なシステムへの活用などにより、インシデントが発生した場合の経済社会活動への影響は、より広範に、多様な主体・場面に及ぶおそれ。

個別の課題認識と考えられる技術：AIセキュリティに係る知識・技術体系

【課題認識】
- 民生部門・公的部門双方において人工知能（AI）活用が広がり、広範な産業領域や社会インフラなどでAI技術は大きな影響を与えている。一方で、AIそのものを守るセキュリティ（Security for AI）に関しては、AIのセキュリティ面での脆弱性がどのようなものか（※）国際的にもまだ十分に理解されていないと考えられる。海外では、例えば機械学習の誤認識に係る研究や防御に関する学術面での研究が多くなっている。
- AIを活用したサイバーセキュリティ対策（AI for Security）に関しては、実際にAIを活用したセキュリティ製品やサービスの商用化が進んでいる。一方で、攻撃そのものにAI技術を活用した新たな攻撃手法が広がるなど、変化が大きい状況。

（※）今後高まり得るリスクとして、AIに対する不正アクセスにより、秘匿性の高い学習データが復元されて漏えいする、意図的にAIの誤認識を誘発し機能不全に陥れる、AIアルゴリズムが窃盗・改ざんされることでAIの判断が意図的にゆがめられてしまう等が考えられる。

【考えられる技術】：AIセキュリティに係る知識・技術体系
- AIとセキュリティの境界領域がゆえに研究者・技術者のコミュニティが十分でないと考えられるところ、我が国においてAIセキュリティに係るリスクが今後顕在化した際に、自らの技術力で課題の理解・解決ができるよう、産学官において必要な知見蓄積や、知識・技術体系の整理・獲得が必要ではないか。その際、人材層の拡大も念頭に、様々なアプローチによる複数の研究チームでの知見の共有を含めた研究開発推進が重要ではないか。
  - (Security for AI）例えば、機械学習における機密性・完全性・可用性の考え方を整理しつつ、機械学習が扱うデータや訓練済みモデルの保護、敵対的サンプルやポイズニング攻撃など悪意のある入力の検知・無毒化、不正を受けた場合にも利用可能な状態を維持するといった防御技術等の研究開発を推進できるのではないか。
  - (AI for Security) 例えば、具体のユースケースを基にした産学官の連携体制で、いわゆるオフェンシブセキュリティ（攻撃者の視点から知見を得る）研究のアプローチも取り入れ、攻撃者が高度に機械学習を利用することで生じる脅威に対する研究等を推進できるのではないか。また、仮想のシステムに対して攻撃・防御の模擬戦を行うといった手法も考えられるのではないか。

（参考）なお、上記以外に、AIの信頼性の向上に関して、AI戦略2022（令和4年4月）において、説明可能なAI（Explainable AI）など責任あるAIの実現に向けた取組が具体目標として挙げられている。

個別の課題認識と考えられる技術：サイバー分野における不正機能検証技術

【課題認識】
- サイバー空間を構成するICT機器・システムのサプライチェーンの複雑化やグローバル化、また、オープンAPI(Application Programming Interface) やOSS (Open Source Software) の普及など、サイバー分野におけるサプライチェーンを取り巻く環境は一層複雑化し、サプライチェーンの過程で不正機能等が埋め込まれるリスクなど、サプライチェーン・リスクが顕在化している。
- 国のサイバーセキュリティ研究開発戦略（令和3年５月改訂）でも、他国に容易に依存できない技術もあり得るため、産学官連携により、重点的に強化を図るべき研究領域とされている。不正機能につながり得る未知の脆弱性等を検証する技術が存在するものの、技術の体系化までは必ずしもなされていない。
【考えられる技術】
- 不正機能検証技術（ファームウェア・ソフトウェア）
  - ICT機器・システムを構成するファームウェア・ソフトウェアにおいてバックドア等の不正機能が仕込まれていないかを検証する観点から、未知の脆弱性の検証やその不正な意図性の評価を試みる技術の開発が必要ではないか。その際、現在産学官に人材が散在している可能性があることから、産学官の複数の参画チーム間でのデータ・知見共有・蓄積を含め技術体系の整理と高度化を図る手法が重要ではないか。また、上記の知見やデータを活用しつつ不正機能を効率的・安定的に検出できるツールや、革新的な手法に基づく検証ツール等の研究開発が視野に入るのではないか。
- 不正機能検証技術（ハードウェア）
  - 半導体・電子機器等のハードウェアに本来期待される機能以外の不正機能が混入していないかを、機器をブラックボックス的に保ったまま検証し不正機能を特定することは極めて困難。そこで不正機能の特定や排除が可能となるよう、半導体・電子機器等のハードウェアを詳細情報に基づくホワイトボックス的な検証を行うために必要となる要素技術の特定や技術開発を行い、検証基盤を確立することが必要ではないか。

個別の課題認識と考えられる技術：ハイブリッドクラウド利用基盤技術

【課題認識】
- サイバーセキュリティや機器の信頼性を確保しつつ、クラウドサービスの活用を進めていくため、政府が取り扱う情報の機密性等に応じて、パブリッククラウドとプライベートクラウドを組み合わせて利用する、いわゆるハイブリッドクラウドの利用の促進が謳われている。（※）

（※）デジタル社会の実現に向けた重点計画、令和4年6月。なお、プライベートクラウドは、個別の設計が可能なため、オープンアーキテクチャをベースとしたホワイトボックスで構成された信頼できるクラウドが想定できることに対し、パブリッククラウドは、必ずしもホワイトボックスではないクラウドが想定される。

- 各主体が構築する情報システムにおいて、利便性の高いパブリッククラウド利用と、我が国における自律性の確保の観点等も念頭にしたプライベートクラウド利用、オンプレミス・システム利用という、異なるセキュリティ領域を必要に応じて行き来して情報処理やデータ利活用ができるような、データ中心のセキュリティを確保していくことが重要と考えられる。
【考えられる技術】
- ハイブリッドクラウド利用基盤技術
  - オンプレミス、プライベートクラウド、パブリッククラウドとの間で、重要度に応じてデータを適切に保護しつつ、データ連携を可能とする技術やネットワークの自動化技術等が必要ではないか。その際、安全・低コスト・自動で行う技術として、クラウド間のデータの中継やアクセス制御を行うハブとしてソフトウェアスタック（※）の開発が考えらえれるのではないか。
  - なお、ソフトウェアレベルで運用者等にとってのホワイトボックスなクラウドを構築できたとしても、ハードウェアの信頼性をホワイトボックス的な検証により確保することも必要と考えられるため、クラウドに用いられる半導体・電子機器等のハードウェアの不正機能検証技術も併せて推進することが重要ではないか。

（※）互いに相互運用性のあるソフトウェアを積み重ね、全体として一つのシステムや機能を実現するもの

資料1-2研究開発ビジョン検討WG の議論のポイント

研究開発ビジョン検討WG（第一回：全体会合・6/21・27）における議事のポイント

研究テーマ、領域と技術の関係性について
- サイバーセキュリティにおいては、我が国ではハードの交換まで含めると機動的な対処ができないという課題があることを考慮に入れて、ハード・ソフトの両面で我が国の強みとなりうるテーマを選択して、我が国の優位性に繋げる視点が重要。
- AIのためのセキュリティ、セキュリティのためのAIはともに大切なテーマ。
- 海洋・宇宙・航空などでシステム化を考える際にはデジタル化やセキュリティを同時に考えることが必要。
プログラムの運営上の工夫、社会実装について
- サイバーセキュリティ技術の優位性担保の観点からは、課題に本質的に切り込める戦略的な人材育成や、脅威をしっかり洗い出してより良い技術が確実に使われるような仕組みを形成することが重要。

研究開発ビジョン検討WG（第二回：宇宙・航空領域・7/12）における議事のポイント

その他（社会実装・産官学連携など）
- 宇宙・航空領域に共通する課題として、...さらに、両領域においては、サイバーセキュリティの視点も重要ではないか。

研究開発ビジョン検討WG（第二回：領域横断・サイバー空間・バイオ領域・7/12）における議事のポイント

当該領域全般に関すること
- 議論された「課題解決の方向性と考えられる技術」は、概ね適当かつ概ね妥当ではないか。
- AIセキュリティについては、Security for AIはまだ十分確立されておらず日本のアドバンテージになり得る。AI for Securityは、AIが防御にも攻撃にも使われているが、社会を混乱させるデータや画像のフェイクといったものも研究対象になり得るのではないか。また、日本のAI研究コミュニティにセキュリティの問題を投げかけ、すでにAIセキュリティに関心をもって進めているセキュリティ研究コミュニティと研究者が緊密に組織的に連携する研究推進が重要ではないか。
- 不正機能検出技術については、ファームウェアとハードウェアは手法等が少し異なるので推進策を分けて議論することで良い。ファームウェアの検証では、検証対象や脆弱性情報をどうするかなど協議会の枠組みを使って関係省庁と意見交換して進められると良いのではないか。ハードウェアの
  検証は、設計情報等に基づく検証が調達とも関わっているところ、将来の運用を念頭にして、具体の推進策の検討を行うことや、調達に関するルール等の提案を視野に入れることも必要ではないか。
- ハイブリッドクラウド利用基盤技術については、プライベートクラウドとパブリッククラウドの間での様々な条件をどのように設定するのかの視点が重要ではないか。また、欧州等グローバルにも国境を意識したクラウドが導入されつつあるが、パブリッククラウドに対する要求といったことも含め将来の運用を意識して進めることが重要ではないか。
その他（人材育成、制度、社会実装など）
- サイバーセキュリティに関しては、データセンターやコンピューターなどの施設・機器におけるセキュリティや脆弱性の視点も重要ではないか。
- AIセキュリティに関して、研究者・技術者のコミュニティを拡大していく視点も重要ではないか。不正機能検出技術やハイブリッド利用基盤技術を含め、サイバー空間関連は、社会での実際の運用も十分に視野に入れ、技術開発とともにアンカーテナンシーはもちろん、制度やルール作りを並行して考えることが重要ではないか。

研究開発ビジョン検討WG（第二回：領域横断・サイバー空間・バイオ領域・7/13）における議事のポイント

その他（人材育成、制度、社会実装など）
- サイバーセキュリティについては、パーツで捉えるのではなくシステムとしての見ていく視点が重要ではないか。

資料1-3研究開発ビジョン検討WGの議論の各セッションにおける取りまとめ：支援対象とする技術（第一次・案）

資料2-1研究開発ビジョン骨子案概要

資料2-2研究開発ビジョン骨子案

資料3-1経済安全保障重要技術育成プログラムの運用・評価指針案概要

資料3-2経済安全保障推進法に係る状況について

資料3-3特定重要技術の研究開発の促進及びその成果の適切な活用に関する基本指針（案）

ちなみに、AIとセキュリティについては、2年前の2020年8月27日に私が「第24回サイバー犯罪に関する白浜シンポジウム」で発表した資料がわかりやすいと思いますので、参考になればと思います。

● まるちゃんの情報セキュリティ気まぐれ日記

・2020.10.25 『スマートサイバー AI活用時代のサイバーリスク管理』第24回サイバー犯罪に関する白浜シンポジウムの発表資料

● 第24回サイバー犯罪に関する白浜シンポジウム

・プログラム

スマートサイバー　AI活用時代のサイバーリスク管理　丸山満彦氏（PwCコンサルティング合同会社）

機械学習、深層学習をはじめとするいわゆる人工知能技術（AI）の社会での実装が進んできています。サイバーリスクの防御の面でも機械学習、深層学習を活用したサイバー防御製品やサービスが広がってきています。サイバーリスク管理にAIがどのように活用できるのか、人間とのかかわりはどうすべきか、そしてAIを活用したサイバー攻撃、AIに対するサイバー攻撃といったことにも触れていきながら、これからの課題を考えていきたいと思います。

・[PDF] スマートサイバー　AI活用時代のサイバーリスク管理（配布用）

2022.08.09 06:50 in 情報セキュリティ / サイバーセキュリティ, in AI/Deep Learning | Permalink | Comments (0)
Tweet

2022.08.08

日本内部監査協会 COSO「コンプライアンスリスクマネジメント：COSO ERMフレームワークの適用」 (2022.06.14)

こんにちは、丸山満彦です。

少し前の話になるのですが、２ヶ月ほど前に2020年11月にCOSOが公表したガイダンス”Compliance Risk Management: Applying the COSO ERM Framework”の日本語訳を日本内部監査協会が公表していました。。。

”Compliance Risk Management: Applying the COSO ERM Framework” は、

COSOの全社的リスクマネジメント（ERM）フレームワークをコンプライアンスと倫理（C&E）プログラムのフレームワークと連携させ、それぞれの基礎となる概念を統合する強力なツールを作成することにより、コンプライアンスリスクの識別、評価および管理に適用することを目的とするもの

ということのようです。

● 日本内部監査協会 - ガバナンス資料集

・2022.06.14 COSO『コンプライアンスリスクマネジメント：COSO ERMフレームワークの適用』

・[PDF]

目次...

1.はじめに
2.コンプライアンスリスクのガバナンスとカルチャー
3.コンプライアンスリスクの戦略と目標設定
4.コンプライアンスリスクのパフォーマンス
5.コンプライアンスリスクのレビューと修正
6.コンプライアンスリスクの情報、伝達および報告
付録1. 効果的なコンプライアンスと倫理のプログラムの要素
付録2. コンプライアンスと倫理のプログラムに対する認識と要件の国際的な高まり

COSO ERMを学ぶ上でも役立つように思います。

原文は、

● Committee of Sponsoring Organizations of the Treadway Commission; COSO

・[PDF] Compliance Risk Management: Applying the COSO ERM Framework

2022.08.08 06:05 in 監査 / 認証, in 内部統制 / リスクマネジメント | Permalink | Comments (0)
Tweet

2022.08.07

デジタル市場競争会議ワーキンググループ第38回「モバイル・エコシステムに関する競争評価　中間報告」及び「新たな顧客接点（ボイスアシスタント及びウェアラブル）に関する競争評価　中間報告」に関する意見募集に寄せられた御意見等

こんにちは、丸山満彦です。

4月26日にデジタル市場競争会議ワーキンググループから突如提案された、「モバイル・エコシステムに関する競争評価　中間報告」及び「新たな顧客接点（ボイスアシスタント及びウェアラブル）に関する競争評価　中間報告」に関するパブコメの結果と、今後検討すべき課題についての議論が、第38回デジタル市場競争会議ワーキンググループで行われたようですね。。。

論点は幅広く、その影響も国内だけでなく国際的ですから、もう少しオープンな議論がされた方が良いように思ったりもしますが、どうなんでしょうかね。。。

参入障壁が高く（分野によってはそうではないところもあるでしょうが...）、規模の経済が働きやすい領域ですから、自然と寡占市場が形成されていく状況で、技術的な問題もあり消費者が情報を全て理解した上で行動することも難しく、かつ、公共財的な側面（安全保障等）もあるという中で、適切な解を見つけるというのも難しので、適切な解を模索する過程を多くの国民に参加してもらうことによって、進めることが重要なのだろうと思います。

もちろん、時間がかかることでしょうが、だからと言って、一部の政府関係者や利害関係者の意見に沿って議論が進んでいくのは良くないのだろうと思います。今回はパブリックコメントを募集し、それなりの数が集まったようですので、それを踏まえた、真摯な議論が必要でしょうね。また、まだまだ周知がされていないように思いますので、多くの国民が議論を進めていければと思います。

Web3とかの技術がどれほどの社会的インパクトがあるかはよくわかっていませんが、こういう国民生活全体に影響が及ぶようなことに、そういう技術が使えると良いのかもしれませんね。。。

● 官邸 - デジタル市場競争本部 - デジタル市場競争会議ワーキンググループ

・2022.08.05 第38回

「モバイル・エコシステムに関する競争評価　中間報告」及び「新たな顧客接点（ボイスアシスタント及びウェアラブル）に関する競争評価　中間報告」に関する意見募集に寄せられた御意見
「モバイル・エコシステムに関する競争評価　中間報告」及び「新たな顧客接点（ボイスアシスタント及びウェアラブル）に関する競争評価　中間報告」の今後検討すべき課題について

　・配布資料

[PDF] 資料１事務局提出資料（意見募集に寄せられた御意見について）
[PDF] 資料２事務局提出資料（今後検討すべき課題別論点等）

セキュリティやプライバシーに関係するところでは、例えばサイドローディングの問題があるのですが、、、

ここについては、後でもう少し確認しておこうと思いました。。。

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.20 欧州理事会欧州連合理事会デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会欧州連合理事会デジタル市場法（DMA）が理事会・欧州議会で合意されたようですね。。。

・2021.03.03 欧州委員会オンラインプラットフォーム経済に関する最終報告書を発表

・2020.12.16 欧州委員会デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

英国

・2022.06.12 英国競争市場局モバイルエコシステムに関する市場調査最終報告と今後

中国

・2021.02.09 中国国務院独占禁止委員会がプラットフォーム経済に関する独占禁止ガイドラインを発表していますね。。。

日本

・2022.07.09 総務省プラットフォームサービスに関する研究会　第二次とりまとめ（案）についての意見募集 (2022.07.04)

・2022.05.26 意見募集「モバイル・エコシステムに関する競争評価　中間報告」及び「新たな顧客接点（ボイスアシスタント及びウェアラブル）に関する競争評価　中間報告」に対する意見募集について (2022.04.26)

その他。。。

・2022.06.28 欧州議会 Think Tank メタバース：機会、リスク、政策への影響

・2021.10.18 JETRO EUデジタル政策の最新概要（2021年10月）

・2021.09.02 欧州議会 Think Tank デジタルサービスにおけるターゲット広告や行動に基く広告の規制：利用者のインフォームド・コンセントをいかに確保するか

Continue reading "デジタル市場競争会議ワーキンググループ第38回「モバイル・エコシステムに関する競争評価　中間報告」及び「新たな顧客接点（ボイスアシスタント及びウェアラブル）に関する競争評価　中間報告」に関する意見募集に寄せられた御意見等"

2022.08.07 06:58 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in ウイルス, in 法律 / 犯罪, in 危機管理 / 事業継続, in クラウド, in パブコメ, in IoT | Permalink | Comments (0)
Tweet

インド個人情報保護法の制定は振り出しに戻る？

こんにちは、丸山満彦です。

世界で二番目（たぶん、今のところ）の人口を誇り、将来の有望消費者市場（現在でも名目GDPでは世界5位 [wikipedia]、購買力平価GDPでは3位 [wikipedia] ）と考えられているインド共和国 [wikipedia] ですが、個人情報保護法の制定が近いかなぁ。。。と思っていたら、いったん取り下げになっていますね。。。

● Parliament Library Parliament Of India - List of Business

・2022.08.03 [PDF] LEGISLATIVE BUSINESS - Bill for withdrawal

・[DOCX]

● Twitter - Ashwini Vaishnaw

・2022.08.03 Personal Data Protection Bill has been withdrawn because the JCP recommended 81 amendments in a bill of 99 sections. Above that it made 12 major recommendations. Therefore the bill has been withdrawn and a new bill will be presented for public consultation.

ちなみに2019年法案について2021年12月に提出された報告書は、、、

・2021.12.21 [PDF] Report of the Joint Committee on The personal Data protection Bill, 2019

2022.08.07 06:02 in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2022.08.06

NIST SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド

こんにちは、丸山満彦です。

NISTが、SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイドを公表していますね。。。

・マルチクラウド環境

・地理期的に広がった事業所

・疎結合のマイクロサービスへの移行

などをふまえて・・・ということですかね。。。

今後のネットワーク・アーキテクチャを考える上で参考になりそうですね。。。

● NIST - ITL

・2022.08.05 SP 800-215 (Draft) Guide to a Secure Enterprise Network Landscape

SP 800-215 (Draft) Guide to a Secure Enterprise Network Landscape	SP 800-215 (ドラフト) 安全なエンタープライズ・ネットワーク環境のためのガイド
Announcement	発表
The enterprise network landscape has undergone a significant transformation in the last decade. The drivers for this transformation are enterprise access to multiple cloud services, the geographic spread of enterprise-owned (on-premises) IT resources (e.g., in a central office, multiple branch offices, and data centers), and changes to application architecture from being monolithic to a set of loosely coupled microservices. The transformation has the following security impacts:	企業のネットワーク環境は、過去10年間で大きな変貌を遂げた。この変革の推進力は、複数のクラウドサービスへの企業アクセス、組織体が所有する（オンプレミスの）ITリソースの地理的な広がり（例えば、セントラルオフィス、複数の支店、データセンター）、モノリシックから疎結合のマイクロサービスのセットへのアプリケーションアーキテクチャの変更である。この変革は、以下のようなセキュリティ上の影響をもたらす。
・disappearance of the concept of a perimeter associated with the enterprise network;	・企業ネットワークに関連する境界の概念の消滅。
・an increase in attack surface due to the sheer multiplicity of IT resource components; and	・ITリソースの構成要素の多様化に伴う攻撃対象の増加。
・sophistication of the attackers in their ability to escalate attacks across several network boundaries leveraging the connectivity features.	・接続機能を利用して、複数のネットワーク境界を越えて攻撃をエスカレートさせる攻撃者の能力の高度化。
The initial public draft of NIST Special Publication (SP) 800-215, Guide to a Secure Enterprise Network Landscape, provides guidance for navigating this new enterprise network landscape from a secure operations perspective. It examines the security limitations of current network access solutions and point security solutions through traditional appliances with enhanced security features. It also considers new appliances, emerging network configurations, frameworks that incorporate the configurations, and cloud-based wide area network (WAN) services with integrated security infrastructures.	NIST特別出版物 (SP) 800-215「安全なエンタープライズ・ネットワーク環境のためのガイド」の最初の公開草案は、この新しい企業ネットワーク環境を安全な運用の観点からナビゲートするためのガイダンスを提供するものである。このガイドでは、セキュリティ機能を強化した従来のアプライアンスを通じて、現在のネットワーク・アクセス・ソリューションとポイント・セキュリティ・ソリューションのセキュリティの限界を検証している。また、新しいアプライアンス、新たなネットワーク構成、これらの構成を取り入れたフレームワーク、セキュリティインフラを統合したクラウドベースのワイドエリアネットワーク（WAN）サービスについても考察している。
Abstract	概要
Access to multiple cloud services, the geographic spread of enterprise IT resources (including multiple data centers), and the emergence of microservices-based applications (as opposed to monolithic ones) have significantly altered the enterprise network landscape. This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. Hence, it starts by examining the security limitations of the current network access solutions to the enterprise network. It then considers security feature enhancements to traditional network appliances in the form of point security solutions, network configurations for various security functions (e.g., application security, cloud access security, device or endpoint security, etc.), security frameworks that integrate these individual network configurations, and the evolving wide area network (WAN) infrastructure to provide a comprehensive set of security services for the modern enterprise network landscape.	複数のクラウド・サービスへのアクセス、組織体のITリソースの地理的な広がり（複数のデータセンターを含む）、マイクロサービス・ベースのアプリケーションの出現（モノリシックなものとは対照的）により、組織体のネットワークの状況は大きく変化している。本書は、この新しいエンタープライズ・ネットワークの状況に対して、セキュアな運用の観点からガイダンスを提供することを意図している。そのため、まず、現在のエンタープライズ・ネットワークへのネットワークアクセスソリューションのセキュリティ上の制限を検証する。次に、ポイントセキュリティソリューションという形で従来のネットワーク機器に追加されたセキュリティ機能、さまざまなセキュリティ機能（アプリケーションセキュリティ、クラウドアクセスセキュリティ、デバイスまたはエンドポイントセキュリティなど）のためのネットワーク構成、これらの個々のネットワーク構成を統合するセキュリティフレームワーク、現代のエンタープライズネットワーク環境に包括的なセキュリティサービスセットを提供するための進化した広域ネットワーク（WAN）インフラについて考察している。

・[PDF] SP 800-215 (Draft)

Executive Summary	エグゼクティブサマリー
1. Introduction	1. はじめに
1.1. Structural Implication of Drivers on Enterprise Network Landscape	1.1. エンタープライズ・ネットワークへのドライバの構造的影響
1.2. Security Implication of Drivers for the Enterprise Network Landscape	1.2. ドライバがエンタープライズ・ネットワーク環境に与えるセキュリティ上の影響
1.3. The Need for a Security Guide	1.3. セキュリティガイドの必要性
1.4. Scope	1.4. 適用範囲
1.5. Target Audience	1.5. 対象読者
1.6. Organization of This Document	1.6. 本文書の構成
2. Traditional Enterprise Network Access Approaches and Their Limitations	2. 従来のエンタープライズ・ネットワークアクセスのアプローチとその限界
2.1. Limitations of Network Perimeter-based Protections	2.1. ネットワーク境界ベースの防御の限界
2.2. Limitations of VPN-based Access	2.2. VPN によるアクセスの限界
2.3. Limitation of MPLS Technology as Enterprise WANs	2.3. エンタープライズWANとしてのMPLS技術の限界
2.4. Limitation of User Identity-based Controls	2.4. ユーザーIDを利用した制御の限界
3. Network Security Appliances in Enterprise Network Landscape	3. エンタープライズ・ネットワークにおけるネットワークセキュリティアプライアンスの位置づけ
3.1. Cloud Access Security Broker (CASB)	3.1. クラウドアクセスセキュリティブローカー(CASB)
3.2. Enhanced Firewall Capabilities	3.2. 強化されたファイアウォール機能
3.3. Appliance-set with Integrated Functions	3.3. 機能統合型アプライアンスセット
3.4. Requirements for Network Automation Tools	3.4. ネットワーク自動化ツールの要件
3.4.1. Network Monitoring and Observability Tools	3.4.1. ネットワーク監視・監視可能ツール
3.4.2. Automated Network Provisioning Tools	3.4.2. ネットワーク自動化プロビジョニングツール
3.5. Networking Appliances as Services	3.5. サービスとしてのネットワーク・アプライアンス
4. Enterprise Network Configurations for Hybrid Application Environments	4. ハイブリッドアプリケーション環境におけるエンタープライズ・ネットワーク構成
4.1. Network Configuration for Device Management	4.1. デバイス管理のためのネットワーク構成
4.2. Network Configuration for User Authentication	4.2. ユーザー認証のためのネットワーク構成
4.3. Network Configuration for Device Authentication and Health Monitoring	4.3. 機器認証とヘルスモニタリングのためのネットワーク構成
4.4. Network Configuration for Authorizing Application Access	4.4. アプリケーションのアクセスを許可するためのネットワーク構成
4.5. Network Configuration for Preventing Attack Escalation (Microsegmentation)	4.5. 攻撃のエスカレーションを防ぐネットワーク構成 (マイクロセグメンテーション)
4.5.1. Prerequisites for Implementing Microsegmentation	4.5.1. マイクロセグメンテーションを実装するための前提条件
4.5.2. Microsegmentation – Implementation Approaches	4.5.2. マイクロセグメンテーション - 実装方法
4.6. Security Frameworks Governing Network Configurations	4.6. ネットワーク構成を管理するセキュリティフレームワーク
4.6.1. Conceptual Underpinnings – Contextual Information	4.6.1. 概念的な背景 - コンテキスト情報
4.6.2. Network Security Framework – Software-defined Perimeter (SDP)	4.6.2. ネットワークセキュリティフレームワーク - ソフトウェア定義境界 (SDP)
4.6.3. Network Security Framework – Zero Trust Network Access (ZTNA)	4.6.3. ネットワークセキュリティフレームワーク - ゼロトラストネットワークアクセス（ZTNA)
5. Secure Wide Area Network Infrastructure for an Enterprise Network	5. エンタープライズ・ネットワークにおけるセキュアな広域ネットワーク基盤
5.1. Common Requirements for a Secure SD-WAN	5.1. セキュアなSD-WANの共通要件
5.2. Specific Requirements for WANs for Cloud Access	5.2. クラウドアクセスのためのWANの具体的要件
5.3. Requirements for an Integrated Security Services Architecture for SD-WAN	5.3. SD-WANのための統合セキュリティサービスアーキテクチャの要件
6. Summary and Conclusions	6. まとめと結論
References	参考文献

Executive Summary	エグゼクティブサマリー
The enterprise network landscape has undergone tremendous changes in the last decade due to the following three drivers:	エンタープライズ・ネットワークの状況は、以下の3つの要因によって、この10年で大きく変化している。
1. Enterprise access to multiple cloud services,	1. 組織体が複数のクラウド・サービスにアクセスできるようになっていること。
2. The geographical spread of enterprise-based (on-premises) IT resources (e.g., multiple data centers and branch offices), and	2. 組織体内（オンプレミス）ITリソースが地理的（複数のデータセンターや支社など）に広がっていること。
3. Changes to application architecture from being monolithic to a set of loosely coupled microservices.	3. アプリケーションのアーキテクチャが、モノリシックから疎結合のマイクロサービスへと変化していること。
The impact of these drivers on the security of the enterprise network landscape include:	これらの推進要因が、エンタープライズ・ネットワーク環境のセキュリティに与える影響としては、以下のようなものが挙げられる。
• Disappearance of the concept of a network perimeter that can be protected and the necessity to protect each endpoint (device or service) that treats it as a perimeter	・ネットワークの境界を保護するという概念の消滅と、境界として扱う各エンドポイント（デバイスやサービス）の保護の必要性
• Increase in attack surface due to sheer multiplicity of IT resources (computing, networking, storage) and components	・ITリソース（コンピューティング、ネットワーク、ストレージ）とコンポーネントの多重化による攻撃対象領域の拡大
• Sophistication of the attackers in their ability to escalate attacks across several network boundaries and leverage connectivity features	・複数のネットワーク境界を越えて攻撃をエスカレートさせ、接続機能を活用する攻撃者の能力が高度化されたこと
This document is meant to provide guidance to this new enterprise network landscape from a secure operations perspective. The adopted methodology considers the security challenges that the network poses and then examines the limitations of current network access technologies and how solutions have evolved from being security function-specific to a security framework to a comprehensive security infrastructure that provides a holistic set of security services. Specific areas addressed include:	本書は、このような新しいエンタープライズ・ネットワークの状況に対して、安全な運用という観点からガイダンスを提供することを目的としている。採用した手法は、ネットワークがもたらすセキュリティ上の課題を考慮した上で、現在のネットワークアクセス技術の限界と、ソリューションがセキュリティ機能に特化したものからセキュリティフレームワーク、包括的なセキュリティサービスのセットを提供する総合セキュリティインフラへと発展してきたことを検証している。具体的には、以下のような分野を取り上げる。
• Feature enhancements to traditional network security appliances	・従来のネットワークセキュリティアプライアンスの機能強化
• Secure enterprise networking configurations for various scenarios	・さまざまなシナリオに対応した安全な企業ネットワーク構成
• Security frameworks that integrate individual network configurations	・個々のネットワーク構成を統合するセキュリティフレームワーク
• Evolving wide area network (WAN) infrastructure that provides a comprehensive set of security services	・包括的なセキュリティサービスを提供する進化したWAN（Wide Area Network）インフラストラクチャ
What is termed as the enterprise network in this document encompasses the various local networks on enterprise premises and that portion of wide area network that is used to connect its various geographically dispersed locations and cloud service access points.	本書では、エンタープライズ・ネットワークとして、組織体敷地内のさまざまなローカルネットワークと、地理的に分散したさまざまな拠点やクラウドサービスのアクセスポイントを結ぶためのワイドエリアネットワークの一部を定義している。

2022.08.06 02:28 in 情報セキュリティ / サイバーセキュリティ | Permalink | Comments (0)
Tweet

2022.08.05

ドイツ BSI 宇宙インフラのためのサイバーセキュリティ

こんにちは、丸山満彦です。

ドイツのBSI（連邦情報セキュリティ局）が「宇宙インフラのためのサイバーセキュリティ」を公表していますね。。。見逃していましたが、2022.06.30には、「宇宙インフラのためのIT保護基本プロファイル」も公表していました。。。これから、「宇宙インフラの安全性に関する技術ガイドライン」と「衛星システムの地上インフラのためのIT保護基本プロファイル」が作成され、公表されていくようです。。。

米国のNISTも

NISTIR 8323 Foundational PNT Profile: Applying the Cybersecurity Framework for the Responsible Use of Positioning, Navigation, and Timing (PNT) Services

を公表し、ドラフト段階ですが、

NISTIR 8401 (Draft) Satellite Ground Segment: Applying the Cybersecurity Framework to Assure Satellite Command and Control
NISTIR 8270 (Draft) Introduction to Cybersecurity for Commercial Satellite Operations
Hybrid Satellite Networks (HSN) Cybersecurity

を公表しています。（これ以外にもあるかもですが。。。）

日本も、経済産業省が

宇宙産業におけるサイバーセキュリティ対策に関する調査調査報告書

を公表していますね（私はこの委員会の委員です。。。）

では、BSIの方を。。。

まずは、「BSI 宇宙インフラのためのサイバーセキュリティ」を...

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2022.08.03 BSI veröffentlicht Publikation zur „Cyber-Sicherheit für Weltrauminfrastrukturen“

BSI veröffentlicht Publikation zur „Cyber-Sicherheit für Weltrauminfrastrukturen“	BSI「宇宙インフラのためのサイバーセキュリティ」を発行
Die Bedeutung von Weltrauminfrastrukturen für Gesellschaft, Wirtschaft und Staat nimmt stetig zu. Gleichzeitig steigt die Bedrohungslage für diese. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) stellt in der neuen Fachpublikation dar, wie es dazu beitragen wird, die Cyber-Sicherheit von Weltrauminfrastrukturen zu stärken und die Verfügbarkeit von Diensten über integre und authentische Kommunikation sicher zu stellen. Dazu wird der aus technischer Sicht bestehende strategische Handlungsbedarf für den Schutz der Cyber-Sicherheit von Weltraumsystemen und zugehörigen Infrastrukturen dargelegt. Daraus abgeleitet ergeben sich konkrete Handlungsfelder und -ziele, denen das BSI durch systematische Entwicklung und Umsetzung geeigneter Maßnahmen begegnen wird.	社会、経済、国家にとって宇宙インフラの重要性は常に高まっている。同時に、それらにとっての脅威の状況も高まっている。連邦情報セキュリティ局（BSI）は、新しい技術文書の中で、宇宙インフラのサイバーセキュリティを強化し、整数かつ真正な通信によるサービスの可用性を確保するための支援について概説している。そのために、宇宙システムと関連インフラのサイバーセキュリティを技術的な観点から保護するための戦略的な行動の必要性を提示する。そこから導き出された具体的な行動分野と目標を、BSIは体系的に整備し、適切な施策を実施することで、取り組んでいく。
Fallen Satellitenanwendungen mit den drei Hauptfeldern Navigation, Kommunikation und Erdbeobachtung aus, oder sind die Schutzziele Integrität und Authentizität sowie Vertraulichkeit der Signale und Daten nicht sichergestellt, kann dies einschneidende Auswirkungen haben. Zum Beispiel sind verschiedene Sektoren kritischer Infrastrukturen (KRITIS) auf satellitengestützte Anwendungen wie GNSS-Dienste zur Schienenüberwachung, Synchronisation von Stromnetzen oder für Finanztransaktionen angewiesen.	航法、通信、地球観測の3分野を中心とした衛星利用が失敗したり、信号やデータの完全性、信頼性、機密性といった保護目標が確保されなかったりすると、重大な結果をもたらす可能性がある。例えば、重要インフラ（CRITIS）の様々なセクターは、鉄道監視、電力網の同期化、金融取引などのために、GNSSサービスなどの衛星ベースのアプリケーションに依存している。
Um die Cyber-Sicherheit von Weltrauminfrastrukturen zu gewährleisten, ist es ein Ziel des BSI, die Digitalisierung in der Raumfahrtbranche, auch in Hinblick auf New-Space-Entwicklungen, sicher auszugestalten. Um dies zu erreichen, sollen unter anderem die nationalen Weltraum- und Cyber-Sicherheitsarchitekturen enger zusammenarbeiten. Hierzu zählt ebenso, die internationale Zusammenarbeit in diesem Bereich weiter zu stärken und zum Beispiel die europaweite Harmonisierung von IT-Sicherheitsanforderungen durch Standards und Normen weiter voranzutreiben. Für eine Mindestabsicherung bei Satelliten wurden bereits gemeinsam mit nationalen Raumfahrtakteuren Anforderungen erarbeitet und kürzlich in Form eines IT-Grundschutzprofils veröffentlicht.	宇宙インフラのサイバーセキュリティを確保するために、BSIの目標の1つは、新しい宇宙開発に関しても、宇宙分野のデジタル化を安全にすることである。これを実現するために、国の宇宙とサイバーセキュリティのアーキテクチャがより密接に協力することなどが求められている。また、この分野での国際協力をさらに強化し、例えば、標準や規範を通じて、ITセキュリティ要件の欧州全体での調和をさらに促進することも含まれる。衛星の最小限のセキュリティに関する要件は、すでに各国の宇宙機関とともに開発され、最近、ITセキュリティ基本プロファイルの形で公表された。
Die Publikation adressiert alle an einer cyber-sicheren Gestaltung im Raumfahrtbereich interessierten Akteure, insbesondere aus Staat und Wirtschaft.	本書は、宇宙分野におけるサイバーセキュア設計に関心を持つすべての関係者、特に政府および産業界の関係者を対象としている。

・[PDF] Cyber-Sicherheit für Weltrauminfrastrukturen

1 Einleitung und Motivation	1 はじめに・動機
1.1 Bedrohungslage	1.1 脅威の状況
2 Handlungsfelder und -ziele	2 活動分野と活動目標
2.1 Vorgehensweise	2.1 アプローチ
2.2 Handlungsfelder	2.2 活動分野
2.2.1 Handlungsziele	2.2.1 活動目標
3 Nächste Schritte	3 次のステップ
4 Glossar	4 用語集
4.1 Begriffsbestimmungen	4.1 定義
Literaturverzeichnis	書誌情報

宇宙における脅威の分類とサイバー脅威の区切り方についての図がありますね。。。

EMU physisch – nicht-kinetisch, mit physischer Zerstörung der Betriebsfähigkeit, nicht reversibel	EMU 物理的 - 非キネティック：オペレーション機能の物理的破壊を伴う、非可逆的。
physisch – kinetisch, mit physischer Zerstörung der Gesamtfunktionalität	物理的 - キネティック：全体的な機能の物理的な破壊を伴う
EMU elektronisch, ohne physische Zerstörung der Betriebsfähigkeit, reversibel	EMU 電子的：運用能力の物理的破壊がなく、可逆的である。
Cyberraum, auf informationstechnisch-logischer Ebene, i.d.R. reversibel	サイバー空間：情報・技術・論理レベルで、通常は可逆的なもの

に分けていますね。。

活動目標

2.2.1 Handlungsziele	2.2.1 行動目標
Jedem der identifizierten Strategischen Ziele sind im Folgenden mehrere konkrete Handlungsziele zugeordnet, an denen das BSI eine aktiv gestaltende Rolle übernimmt.	特定された戦略的目標のそれぞれには、以下のようにいくつかの具体的な行動目標が割り当てられ、BSIは積極的に形成の役割を担っている。
i Die voranschreitende Digitalisierung in der Raumfahrtbranche und New-Space-Entwicklungen sind sicher ausgestaltet.	i 宇宙分野のデジタル化の進展や新たな宇宙開発は、安全に設計されている。
• Zur Umsetzung von für die Erreichung der Handlungsziele geeigneten Maßnahmen ist 2023 das Schwerpunktreferat für Informationssicherheit im Weltraum im BSI eingerichtet und in der nationalen Weltraum・und Cybersicherheitsarchitektur etabliert und anerkannt.	・行動目標の達成に適した対策を実施するため、2023年にBSIに宇宙における情報セキュリティのフォーカルポイントユニットを設置し、国の宇宙・サイバーセキュリティアーキテクチャに確立し、認知されるようにする。
• Es ist ein umfassendes Wissens-Niveau im Bereich der Weltraum-Cybersicherheit im BSI gewährleistet.	・BSIでは、宇宙サイバーセキュリティの分野における包括的な知識レベルが確保されている。
• 2022 sind Mindestanforderungen zu Weltraum-Cybersicherheit identifiziert und in einem Katalog zusammengefasst, 2023 werden diese in einer Technischen Richtlinie detailliert abgebildet.	・2022年には、宇宙サイバーセキュリティに関する最低要求事項を特定し、カタログにまとめ、2023年には、技術ガイドラインに詳細にマッピングする。
• Sicherheitsanforderungen werden bereits in der Entwicklungsphase berücksichtigt; bei sicherheitskritischen Missionen erbringen Unternehmen hierzu entsprechende Nachweise (Security-byDesign).	・セキュリティ要件は開発段階ですでに考慮されており、セキュリティが重要なミッションの場合、企業はそれに対応する証拠を提供する（セキュリティ・バイ・デザイン）。
• Hersteller und Betreiber von Satellitenanwendungen wenden einheitliche, auf Raumfahrt zugeschnittene Cybersicherheits-Standards an.	・衛星アプリケーションのメーカーとオペレーターは、宇宙旅行に合わせて統一されたサイバーセキュリティ基準を適用している。
• Die IT-Sicherheitsarchitekturen von Satelliten, die selbst als Verschlusssache (VS) eingestuft sind oder VS-Informationen verarbeiten, basieren auf dem aktuellen technischen Entwicklungsstand und sind durch zulassungsfähige IT-Sicherheitsfunktionen (z.B. Kryptosysteme) geschützt.	・それ自体が機密であったり、機密情報を扱う衛星のITセキュリティ・アーキテクチャは、技術開発の現状に基づき、認証可能なITセキュリティ機能（暗号システムなど）で保護されている。
• Allen sicherheitskritischen Raumfahrtprojekten liegt ein risikoorientiertes ISMS (Information Security Management System) zugrunde. Dieses basiert auf BSI-IT-Grundschutz, ISO 27001/2. Alternativ kann auch ein mindestens gleichwertiger internationaler Standard (bspw. ISO 2700 X-Familie) herangezogen werden.	・セキュリティが重要な宇宙プロジェクトはすべて、リスク志向のISMS（情報セキュリティマネジメントシステム）に基づいている。これはBSI IT-Grundschutz、ISO 27001/2に基づいている。あるいは、少なくとも同等の国際規格（例：ISO 2700 Xファミリー）を使用することもできる。
• Die Sensibilisierung bzgl. Cyberbedrohungen und das Schaffen eines Sicherheitsbewusstseins bei Bedarfsträgern, Herstellern, Entwicklern und Betreibern von Satellitenanwendungen und -systemen wird aktiv gefördert.	・衛星アプリケーションやシステムの利用者、製造者、開発者、運用者に対するサイバー脅威に関する啓発とセキュリティ意識の醸成を積極的に推進する。
ii Die nationalen Weltraum・und Cybersicherheitsarchitekturen und -strukturen sind eng miteinander verflochten. Kompetenzen für die Herstellung eines Gesamtüberblicks der Gefährdungslage sind geschaffen und zusammengebracht.	ii 国家の宇宙とサイバーセキュリティのアーキテクチャと構造は、密接に絡み合っている。脅威の状況を全体的に把握するためのコンピテンシーを作成し、まとめている。
• Es bestehen übergreifende Kooperationen, die gezielt zur Thematik der Cybersicherheit im Weltraum in regelmäßigen Arbeitskreisen zusammentreffen. 2022 haben hierzu Auftaktveranstaltungen stattgefunden, es wurden Synergien gefunden und gemeinsame Aktivitäten sind in Planung.	・宇宙におけるサイバーセキュリティのトピックに特化して、定期的にワーキンググループを開催している包括的な協力体制があります。2022年にはキックオフイベントが開催され、シナジーが見出され、共同活動が計画されている。
• Durch die nationale und internationale Vernetzung mit Cyber・und Weltraumlagezentren, funktionierender Prozesse zur Informationsweitergabe und Meldepflichten bei Vorfällen können Änderungen der Bedrohungslage früh erkannt werden und entsprechend Maßnahmen zur Prävention kontinuierlich geplant und eingeführt bzw. fortgeschrieben und zur Reaktion rechtzeitig ergriffen werden.	・サイバー・宇宙状況センターとの国内および国際的なネットワーク、情報伝達のための機能プロセス、インシデント発生時の報告義務を通じて、脅威状況の変化を早い段階で認識し、予防のための措置を継続的に計画・導入、または更新して、適切なタイミングで対応することができる。
• Nationale Kompetenzen bei Staat und Wirtschaft ergänzen sich. Ein enger Austausch mit Experten aus Wirtschaft und Behörden bzgl. Cybergefährdungen und -sicherheit ist etabliert.	・国家と経済の国力は互いに補完し合っている。サイバー脅威とセキュリティに関して、企業や政府の専門家との密接な交流が確立されている。
iii Synergien zwischen Staat und Wirtschaft sowie der Gesellschaft werden gezielt gesucht und genutzt.	iii 国家と経済・社会とのシナジーを具体的に追求し、活用する。
• Eine Auswahl der im KRITIS-Umfeld etablierten Prozesse zur Stärkung und Gewährleistung der Cybersicherheit ist – soweit notwendig – bis 2023 für Raumfahrtinfrastrukturen übernommen.	・2023年までに、サイバーセキュリティを強化・確保するためにCRITIS環境で確立されたプロセスのうち、宇宙インフラに採用されているもの（必要な場合）を選択する。
• Das BSI berät im Rahmen der Digitalisierung bei zukünftig geplanten hoheitlichen oder sicherheitskritischen Satellitenanwendungen und -systemen über den gesamten Lebenszyklus hinweg zu sicherheitstechnischen Fragestellungen (im Rahmen seiner Kompetenzen). Unternehmen können hinsichtlich der Umsetzung von Projekten zur Verbesserung der Cybersicherheit bei Raumfahrtanwendungen unterstützt und gefördert werden.	・デジタル化の枠組みの中で、BSIは、将来計画される主権的またはセキュリティ上重要な衛星アプリケーションおよびシステムのセキュリティ関連問題（その権限の範囲内）について、ライフサイクル全体を通じて助言している。宇宙利用におけるサイバーセキュリティ向上のためのプロジェクト実施に関して、企業を支援・促進することができる。
iv Das BSI stützt die deutsche Position auf internationaler Ebene. Die Entwicklung von Standards und Normen gemeinsam mit anderen EU-Mitgliedsstaaten und deren breite Akzeptanz trägt zu einer europaweiten Harmonisierung von IT-Sicherheitsanforderungen für Weltrauminfrastrukturen bei.	iv BSI は、国際レベルにおけるドイツの立場を支持する。他のEU加盟国とともに標準や規範を開発し、それが広く受け入れられることは、宇宙インフラに対するITセキュリティ要件の欧州全体での調和に貢献する。
• Das BSI unterstützt mit seiner Fachexpertise bei der Teilnahme an internationalen Gremien und Organisationen zur Cybersicherheit im Weltraum. Die Brisanz von Cyberbedrohungen ist in Zusammenarbeit mit anderen nationalen Stakeholdern erfolgreich in bestehenden Weltraumsicherheitsgremien verankert.	・BSIは、宇宙におけるサイバーセキュリティに関する国際機関や組織への参加を、その技術的専門知識で支援している。サイバー脅威の爆発力は、他の国のステークホルダーと協力して、既存の宇宙セキュリティ機関にうまく固定されている。
• Es bestehen zahlreiche Kooperationen mit Partnernationen (bi・und multilateral), mit denen gemeinsame Leitlinien erarbeitet werden.	・共同ガイドラインを策定しているパートナー国（二国間、多国間）との協力も多数あります。
• Die national entwickelten Sicherheitsanforderungen sind grenzüberschreitend anerkannt. Die internationalen Weltraum-Cybersicherheits-Standards sind konform mit den national erarbeiteten Anforderungen.	・国が策定したセキュリティ要件は、国境を越えて認知されます。宇宙サイバーセキュリティの国際標準は、国内で策定された要件に準拠している。
• Empfehlungen (und soweit möglich und notwendig, Vorgaben) sind transparent, konsistent und risikoorientiert, sie basieren auf der Anwendung etablierter Standards.	・勧告（および可能かつ必要な場合は仕様）は、透明性が高く、一貫性があり、リスク指向であり、確立された基準の適用に基づいている。
• Das BSI erarbeitet aus seiner fachlichen Sicht Standardisierungen für den Bereich Weltraum Cybersicherheit. Diese werden im IMA als die strategischen Standardisierungsziele der Bundesregierung eingebracht.	・BSIは、その技術的な観点から、宇宙サイバーセキュリティの分野の標準化を進めている。これらは、連邦政府の戦略的な標準化目標としてIMCで紹介されている。
• Basierend auf europäischen Weltraum-Cybersicherheits-Standards wird gemeinsam mit nationalen Partnern (Industrie, Ressorts, Behörden etc.) ein europäischer Regulierungsrahmen erarbeitet.	・欧州の宇宙サイバーセキュリティ基準に基づき、各国のパートナー（産業界、省庁、当局など）と共に欧州の規制枠組みを構築する。

宇宙インフラのためのIT保護基本プロファイルの方...

・2022.06.30 IT-Grundschutz-Profil für Weltrauminfrastrukturen

IT-Grundschutz-Profil für Weltrauminfrastrukturen

宇宙インフラのためのIT保護基本プロファイル

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat 2021 eine Arbeitsgruppe bestehend aus Experten des BSI, OHB Digital Connect und Airbus Defence and Space sowie der Deutschen Raumfahrtagentur im Deutschen Zentrum für Luft・und Raumfahrt (DLR) initiiert, um gemeinsam Mindestanforderungen an die Cyber-Sicherheit für Satelliten zu erstellen. Damit setzt das BSI erste Maßnahmen um, welche zur Erreichung der in der BSI-Strategie für Cyber-Sicherheit im Weltraum definierten Handlungsziele identifiziert wurden.

2021年、ドイツ連邦情報セキュリティ局（BSI）は、BSI、OHB デジタルコネクト、エアバス・ディフェンス・アンド・スペース、およびドイツ航空宇宙センター（DLR）のドイツ宇宙局の専門家からなるワーキンググループを発足し、人工衛星のサイバーセキュリティに関する最低要件の共同策定を開始した。このように、BSIは、宇宙におけるサイバーセキュリティのためのBSI戦略で定義された行動目標を達成するために特定された最初の措置を実施している。

・[PDF] IT-Grundschutz-Profil für Weltrauminfrastrukturen - Mindestabsicherung für den Satelliten über den gesamten Lebenszyklus

目次...

1 Einleitung	1 はじめに
1 Formale Aspekte	1 公式な課題
2 Haftungsausschluss	2 免責事項
3 Liste der Autorinnen und Autoren	3 著者一覧
4 Management Summary	4 マネジメント向け概要
4.1 Zielgruppe	4.1 想定読者
4.2 Zielsetzung	4.2 目標
4.3 Aufgaben der Leitungsebene	4.3 マネジメントレベルのタスク
5 Festlegung des Geltungsbereichs	5 スコープの定義
5.1 Zielgruppe	5.1 想定読者
5.2 Beschreibung des Schutzbedarfs	5.2 保護の必要性の説明
5.3 IT-Grundschutz Vorgehensweise	5.3 IT基盤保護手順
5.4 Kompatibilität zu anderen Standards	5.4 他の規格との互換性
5.5 Berücksichtigte Rahmenbedingungen	5.5 考慮される一般条件
6 Abgrenzung des Informationsverbundes	6 情報ネットワークの分離
6.1 Bestandteile des Informationsverbundes	6.1 情報ネットワークの構成要素
6.2 Nicht berücksichtigte Teile	6.2 考慮しない部分
7 Referenzarchitektur	7 リファレンスアーキテクチャ
7.1 Prozesse	7.1 プロセス
7.2 Anwendungen	7.2 用途
7.3 IT-Systeme	7.3 ITシステム
7.4 Netze und Netzkomponenten	7.4 ネットワークとネットワークコンポーネント
7.4.1. Netzplan	7.4.1 ネットワーク図
7.5 Gebäude und Räume	7.5 建物・部屋
7.6 Annahmen und Erläuterungen	7.6 前提条件と説明
7.7 Umgang mit Abweichungen	7.7 逸脱への対応
8 Zu erfüllende Anforderungen und umzusetzende Maßnahmen	8 満たすべき要件と実施すべき対策
8.1 Feststellung des Schutzbedarfs	8.1 保護の必要性の判断
8.1.1. Rahmenbedingungen	8.1.1 一般条件
8.1.2. Methodik	8.1.2. 方法論
8.1.3. Beispielmissionen	8.1.3. 任務例
8.1.4. Schutzbedarf, Regulatorik und Szenarien	8.1.4. 保護要件、規制、シナリオ
8.1.5. Ergebnis der generischen Schutzbedarfsanalyse	8.1.5 一般的な保護ニーズの分析結果
8.1.6. Hinweise zur Erstellung einer individuellen Schutzbedarfsfeststellung	8.1.6. 個人保護ニーズアセスメントの作成手順
8.2 Auswahl relevanter Bausteinen	8.2 関連部分の選定
8.2.1. Übergreifende Bausteine (gesamter Informationsverbund)	8.2.1 一般的な構成要素（情報ネットワーク全体）
8.2.2. Bausteine pro Zielobjekt	8.2.2 ターゲットオブジェクトごとのモジュール
8.3 Anforderungen an Satelliten	8.3 サテライトの要件
8.3.1. Allgemeine Anforderungen	8.3.1 一般要求事項
8.3.2. Anforderungen an den Transport	8.3.2. 輸送に関する要求事項
8.3.3. Starteinrichtung	8.3.3. 打上げ装置
8.3.4. Schnittmenge In Orbit Phase und Bodensegment	8.3.4. 交点軌道上・地上区間
8.3.5. Außerbetriebnahme	8.3.5. デコミッショニング
9 Restrisiko	9 残留リスク
10 Anwendungshinweise	10 アプリケーションノート
11 Checkliste – Mindestanforderungen für die IT-Sicherheit in Weltrauminfrastrukturen	11 チェックリスト・宇宙インフラにおけるITセキュリティの最低要件

宇宙利用におけるサイバーセキュリティのページ

・Cyber-Sicherheit für Weltraumanwendungen

Cyber-Sicherheit für Weltraumanwendungen	宇宙利用におけるサイバーセキュリティ
Satellitenanwendungen sind aus dem täglichen Leben kaum mehr wegzudenken. Auch für hoheitliche Aufgaben besitzen weltraumgestützte Systeme eine hohe Relevanz. Als Cyber-Sicherheitsbehörde des Bundes steht das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der Verantwortung, die Informationssicherheit solcher Satellitensysteme zu stärken und die Verfügbarkeit von Diensten über integre, authentische Kommunikation sicherzustellen.	衛星利用は、今や日常生活に欠かせないものとなっている。また、宇宙を利用したシステムは、主権者の仕事にも大きく関わってきます。連邦政府のサイバーセキュリティ当局である連邦情報セキュリティ局（BSI）は、こうした衛星システムの情報セキュリティを強化し、整合のとれた真正な通信によるサービスの提供を確保する責任を負っている。
Auf der Grundlage von BSI-Gesetz und IT-Sicherheitsgesetz hat das BSI Handlungsfelder und -ziele identifiziert, anhand derer es geeignete Maßnahmen zur Gestaltung der Cyber-Sicherheit für Weltrauminfrastrukturen ableitet und umsetzt. Daneben ist das BSI zuständig für Aufbau und Betrieb des Schlüssel・und Sicherheitsmanagements für geschützte Kommunikationswege des europäischen Galileo-Satellitensystems.	BSIは、BSI法およびITセキュリティ法に基づいて、活動分野と目標を特定し、それに基づいて宇宙インフラストラクチャのサイバーセキュリティを設計するために適切な手段を導き出し、実施している。また、BSIは欧州の衛星システム「ガリレオ」の保護された通信経路の鍵とセキュリティ管理の設定と運用を担当している。
Satellitensysteme bieten vielfältige Unterstützung	多様なサポートを提供する衛星システム
Satellitengestützte Navigationsdienste ermöglichen Routenplanung, vermeiden Kollisionen von Schienen-, Wasser・oder Luftfahrzeugen, synchronisieren Stromnetze oder bieten hochpräzise Zeit・und Ortsstempel für zuverlässige Finanztransaktionen.	衛星を利用した航法サービスは、ルート計画、鉄道、水上、航空車両の衝突回避、電力網の同期、信頼性の高い金融取引のための高精度な時刻と位置のスタンプを提供することができる。
Erdbeobachtungssatelliten unterstützen die Wettervorhersage, die Erforschung des Klimawandels, die Koordinierung von Einsatzkräften im Katastrophenfall sowie die militärische Aufklärung.	地球観測衛星は、気象予報、気候変動研究、災害時の緊急部隊の連携、軍事偵察などを支えている。
Kommunikationssatelliten übertragen Rundfunkprogramme, bieten Internetzugriff und andere Datenübertragungen in schwer erreichbaren Regionen, auf Langstreckenflügen oder in militärischen Einsätzen. Der Mobilfunkstandard 5G integriert Kommunikationssatelliten als Backhaul. Weiterentwicklungen im Rahmen von 5G Direct Satellite Access könnten zu einer weltweiten Konnektivität beitragen.	通信衛星は、放送番組の伝送、インターネットアクセス、その他のデータ伝送を、電波の届きにくい地域や長距離飛行、軍事作戦などで行いる。5G移動通信規格では、バックホールとして通信衛星を統合している。5G 衛生直接アクセスの文脈でさらに開発が進めば、グローバルな接続性に貢献する可能性がある。
Diese Dienste weltweit und rund um die Uhr zu garantieren, ist ohne die Einbindung von Satelliteninfrastrukturen nicht realisierbar. Vor diesem Hintergrund hat nach Anbietern wie StarLink oder OneWeb auch die Europäische Kommission sich dafür entschieden, eine eigene Infrastruktur für Satellitenkommunikation aufzubauen.	これらのサービスを世界中、24時間体制で保証するためには、衛星インフラの統合が不可欠である。こうした背景から、欧州委員会はStarLinkやOneWebといったプロバイダーに続き、独自の衛星通信用インフラを構築することを決定した。
Sichere Weltrauminfrastruktur am Boden und im Orbit	地上と軌道上の宇宙インフラの安全確保
Fallen solche Dienste aus oder sind nicht verfügbar, oder sind die Schutzziele Integrität, Authentizität und Vertraulichkeit der Signale nicht sichergestellt, kann das einschneidende Auswirkungen etwa auf die Verkehrssicherheit oder die Arbeit von Notfallstäben haben. Viele Satellitensysteme erfahren daher im gesamten Lebenszyklus hohe Sicherheitsanforderungen. Bereits in den Design・und Entwicklungsphasen von Kontrollzentren, Empfängern, Verbindungen oder Satelliten werden cybersicherheitsrelevante Aspekte explizit adressiert. Während für das Boden・und Nutzersegment terrestrisch-etablierte Standards und Empfehlungen angewandt werden können, bestehen für das Raumsegment neue Herausforderungen:	このようなサービスに障害が発生したり、利用できない場合、あるいは信号の完全性、真正性、機密性といった保護目標が確保されない場合、例えば交通安全や救急隊員の業務に重大な影響を与える可能性がある。そのため、多くの衛星システムでは、そのライフサイクルを通じて高いセキュリティが要求される。サイバーセキュリティに関連する側面は、制御センター、受信機、リンク、衛星の設計・開発段階の早い段階で明示的に対処される。地上波で確立された標準や勧告は、地上波やユーザーセグメントには適用できるが、宇宙セグメントには新たな課題が存在する。
・Die durchaus lange Lebensdauer der Satelliten sowie extreme Umweltbedingungen im Weltraum erfordern eine besondere IT-Sicherheitsarchitektur.	・人工衛星の寿命は非常に長く、また宇宙空間は過酷な環境下にあるため、特殊なITセキュリティ・アーキテクチャが必要とされる。
・Eine nachträgliche Anpassung der IT-Sicherheitsarchitektur im operativen Betrieb ist nur begrenzt möglich, da der physische Zugriff fehlt.	・物理的なアクセスができないため、運用中にITセキュリティ・アーキテクチャを変更することは、限られた範囲でしかできない。
・Die Möglichkeit eines (feindlichen) physischen Zugriffs auf Satelliten sollte in die Überlegung zu Schutzvorkehrungen einbezogen werden.	・衛星への（敵対的な）物理的アクセスの可能性は、防護措置の検討に含まれるべきである。
Ziele und Handlungsfelder des BSI	BSIの目標・活動分野
In der Fachpublikation „Cyber-Sicherheit für Weltrauminfrastrukturen“ definiert das BSI die Ziele und Handlungsfelder, anhand derer das BSI sich in Bezug auf die Gestaltung der Cyber-Sicherheit für Weltraumanwendungen positioniert. Die Handlungsfelder der 2021 aktualisierten Cyber-Sicherheitsstrategie für Deutschland fließen in den Prozess der Entwicklung der Handlungsfelder ein.	BSI は、技術文書「宇宙インフラのためのサイバーセキュリティ」において、宇宙アプリケーションのサイバーセキュリティ設計に関する BSI の位置づけとなる目的と活動分野を定義している。2021年に更新された「ドイツのサイバーセキュリティ戦略」の行動分野を策定する過程に組み込まれている。
Leitziel zur Cyber-Sicherheit für Weltrauminfrastrukturen	宇宙インフラのサイバーセキュリティに関する重要な目標
Stärkung der Cyber-Sicherheit von Weltrauminfrastrukturen, welche von Relevanz für Staat, Wirtschaft und Gesellschaft sind, zur Sicherstellung der Verfügbarkeit von Diensten über integre, authentische Kommunikation.	国家、経済、社会に関連する宇宙インフラのサイバーセキュリティを強化し、整合のとれた真正な通信によるサービスの利用を確保すること。
Ausgehend vom Leitziel für Cyber-Sicherheit für Weltrauminfrastrukturen leitet das BSI konkrete Handlungsziele ab und entwickelt Maßnahmen zu deren Umsetzung. Erste Maßnahmen wurden bereits umgesetzt, etwa die Bereitstellung von Mindestanforderungen für Hersteller, Entwickler, Betreiber sowie Zulieferer von Satellitensystemen und deren Komponenten im Rahmen eines IT-Grundschutzprofils für Weltrauminfrastrukturen, welches gemeinsam mit der Industrie und der Deutschen Raumfahrtagentur erarbeitet worden ist.	BSIは、宇宙インフラのサイバーセキュリティの指導目標に基づき、具体的な行動目標を導き出し、その実施策を策定している。産業界とドイツ宇宙庁が共同で策定した「宇宙インフラのための基本的なIT保護プロファイル」の枠組みの中で、衛星システムとそのコンポーネントのメーカー、開発者、オペレーター、サプライヤーに対する最低要件を規定するなど、初期の対策はすでに実施されている。
Zur Umsetzung weiterer Maßnahmen ist derzeit angedacht, 2023 im BSI das Schwerpunktreferat für Informationssicherheit für Weltrauminfrastrukturen einzurichten. Als zentrale, koordinierende Stelle für Cyber-Sicherheit in zivilbehördlichen sowie militärischen Luft・und Raumfahrtanwendungen und -systemen wird es in den kommenden Jahren folgende Ziele umsetzen:	さらに対策を進めるため、現在、2023年にBSIに宇宙インフラの情報セキュリティに関するフォーカルポイントユニットを設置することを計画している。民生用および軍事用の航空宇宙アプリケーションやシステムにおけるサイバーセキュリティの中心的な調整機関として、今後数年間、以下の目標を実施する。
・Identifizierung von Mindestanforderungen für Cyber-Sicherheit im Weltraum. In Ergänzung zum bereits veröffentlichten IT-Grundschutzprofil werden 2023 eine Technische Richtlinie zu sicheren Weltrauminfrastrukturen sowie ein IT-Grundschutzprofil für die Bodeninfrastrukturen von Satellitensystemen bereitgestellt.	・宇宙におけるサイバーセキュリティの最低要件を明らかにする。すでに公開されているIT保護基本プロファイルに加え、2023年には宇宙インフラの安全性に関する技術ガイドラインと衛星システムの地上インフラのIT保護基本プロファイルが提供される予定である。
・Erarbeitung von Vorgaben und Empfehlungen, entwicklungsbegleitende Beratung bereits in frühen Projektphasen. Die IT-Sicherheitsarchitekturen zulassungsfähiger Satelliten müssen auf dem aktuellen technischen Entwicklungsstand sein und zukunftsfähige Kryptosysteme enthalten.	・プロジェクトの初期段階から、仕様書や推奨事項の作成、開発-付随するアドバイスなどを行う。承認対象となる衛星のITセキュリティ・アーキテクチャは、技術開発の現段階にあるもので、将来を見据えた暗号システムを含んでいる必要がある。
・Beratung und Dienstleistungen bezüglich der Cyber-Sicherheit in den Bereichen Mindestanforderungen und Zulassung. Das Kompetenzzentrum stellt Informationen bereit und ist auskunftsfähig, beispielweise zu nationalen und internationalen Cyber-Sicherheitsstandards, zugelassenen Produkten, der Gefährdungslage und Entwicklungs-Trends in der Raumfahrt.	・サイバーセキュリティに関する最低限必要な事項や承認に関するアドバイスやサービス。コンピテンスセンターは情報を提供し、例えば国内外のサイバーセキュリティ基準、認定製品、脅威の状況、宇宙における開発動向などの情報を提供することができる。
・Aktive Teilnahme oder Durchführung von Veranstaltungen, Publikation von Beiträgen mit fachlichem Bezug zu Luft・und Raumfahrtsystemen. Mit dieser Presse・und Öffentlichkeitsarbeit fördert das BSI die Sensibilisierung bezüglich der Cyber-Gefährdung und schafft ein Sicherheitsbewusstsein.	・イベントへの積極的な参加または組織化、航空宇宙システムに関連する技術的な記事の出版。この報道・広報活動により、BSIはサイバー脅威の認知を促進し、セキュリティ意識を醸成している。
Satellitensysteme für hoheitliche Anwendungen	主権者向け衛星システム
Zum Aufgabenspektrum des BSI gehört die Zulassung und Bereitstellung von IT-Sicherheitsprodukten für die elektronische Verarbeitung von Verschlusssachen. Sowohl die militärische Aufklärung und Kommunikation, als auch der behördlich regulierte Dienst PRS (Public Regulated Service) des zivilen europäischen Satellitennavigationssystems Galileo müssen den Geheimhaltungsgrad „Geheim“ verarbeiten können. Dies erfordert eine Zulassung der zu integrierenden Kryptogeräte. Dabei setzt das BSI auf einen hohen, international anerkannten Standard und begleitet Hersteller und Entwickler durch den gesamten Entwicklungs・und Zulassungsprozess.	BSIの業務範囲は、機密情報を電子的に処理するためのITセキュリティ製品の承認と提供である。軍事用の偵察・通信も、民間の欧州衛星航法システム「ガリレオ」の公式規制サービスPRS（Public Regulated Service）も、機密情報を処理できることが必要である。そのためには、統合する暗号デバイスの承認が必要である。BSIは、国際的に認められた高い規格に依拠し、開発・承認プロセス全体を通じてメーカーや開発者に伴走している。
Für den PRS gestaltet das BSI das Schlüssel・und Sicherheitsmanagement. Als Grundlage dient der Aufgabenübertragungserlass gemäß der Ressortvereinbarung vom 28.02.2014, welche die Einrichtung einer nationalen PRS-Behörde gemäß Beschluss Nr. 1104/2011/EU des Europäischen Parlaments und Rates betrifft. Die an das BSI übertragenen Aufgaben sind:	BSIは、PRSの鍵およびセキュリティ管理を設計している。その根拠は、欧州議会・理事会の決定1104/2011/EU号に基づく国内PRS当局の設立に関する2014年2月28日の部局間合意に基づく業務移管令である。BSIに移管された業務は以下の通りである。
・Aufbau und Betrieb des PRS-Schlüsselmanagements.	・PRSキーマネジメントの構築と運用。
・Unterstützung bei der Erarbeitung von Konzepten und Verfahrensweisen für die Gewährleistung des Sicherheitsmanagements.	・セキュリティマネジメントを確保するための考え方や手順の策定を支援する。
・Mitarbeit in nationalen und internationalen Gremien im Bereich PRS-Schlüsselmanagement.	・PRSキーマネージメント分野の国内外委員会への参加。
・Zusammenarbeit mit anderen Mitgliedsstaaten und EU-Institutionen und Agenturen bezüglich Harmonisierung, Standardisierung und Kompatibilität der nationalen Schlüsselmanagementinfrastrukturen.	・各国の鍵管理インフラの調和、標準化、互換性に関して、他の加盟国やEUの機関・団体と協力すること。
・Unterstützung der nationalen Galileo PRS-Behörde und der Ressorts bzgl. Cyber und IT-Sicherheit von Satellitensystemen.	・衛星システムのサイバー・セキュリティやITセキュリティに関して、国のガリレオPRS当局や各省庁を支援する。
Weiterführende Links	その他のリンク
Download Cyber-Sicherheit für Weltrauminfrastrukturen (PDF)	宇宙インフラのためのサイバーセキュリティ（PDF）ダウンロード
IT-Grundschutz-Profil für Weltrauminfrastrukturen	宇宙インフラにおけるITセキュリティの基本プロファイル

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.16 経済産業省令和３年度委託調査報告書（サイバーセキュリティ関係） 2022.07.14現在

・2022.07.14 NIST NCCoE ハイブリッド衛星ネットワーク（HSN）サイバーセキュリティ（ドラフト）

・2022.07.06 NISTIR 8323 Rev. 1 (ドラフト) 基礎的な PNT プロファイル：測位・航法・計時（PNT）サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用 (2022.06.29)

・2022.04.21 NISTIR 8401 (ドラフト) 衛星地上セグメント：衛星の指揮・統制を保証するためのサイバーセキュリティフレームワークの適用

・2022.02.28 NISTIR 8270（ドラフト）商用衛星運用のためのサイバーセキュリティ入門（第2稿）

・2022.02.27 経済産業省意見募集「民間宇宙システムにおけるサイバーセキュリティ対策ガイドラインβ版」

・2021.07.02 NISTIR 8270（ドラフト）商用衛星運用のためのサイバーセキュリティ入門

・2021.02.13 NIST NISTIR 8323 基本的なPNTプロファイル：測位・航法・計時（PNT）サービスの責任ある使用のためのサイバーセキュリティフレームワークの適用

・2020.10.23 NISTが測位・航法・計時（PNT）に関連するサービスに関連したセキュリティプロファイルに関する文書（NISTIR 8323）のパブコメを募集していますね。

2022.08.05 07:38 in 情報セキュリティ / サイバーセキュリティ, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in IoT | Permalink | Comments (0)
Tweet

2022.08.04

中国デジタルチャイナ開発報告書（2021年）

こんにちは、丸山満彦です。

中国の国家サイバースペース管理局が、デジタルチャイナ開発報告書（2021年）を公表していますね。。。

これは読み応えありますね。。。若干の誇張はあるのかもしれませんが、それにしてもすごいパワーだと思いました。。。

そう言う国の隣にいる日本ですからね。。。過去1,500年以上。。。

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2022.08.02 国家互联网信息办公室发布《数字中国发展报告（2021年）》

・[PDF] 数字中国发展报告（2021年）

摘要	概要
党的十八大以来，以习近平同志为核心的党中央高瞻远瞩，抓住全球数字化发展与数字化转型的重大历史机遇，系统谋划、统筹推进数字中国建设。习近平总书记强调，加快数字中国建设，就是要适应我国发展新的历史方位，全面贯彻新发展理念，以信息化培育新动能，用新动能推动新发展，以新发展创造新辉煌。2017 年，党的十九大报告明确提出建设“网络强国、数字中国、智慧社会”，数字中国首次写入党和国家纲领性文件。2021 年，《中华人民共和国国民经济和社会发展第十四个五年规划和 2035 年远景目标纲要》专篇部署“加快数字化发展建设数字中国”，《“十四五”国家信息化规划》《“十四五”数字经济发展规划》等重大战略规划相继出台，擘画“十四五”时期数字中国建设的美好蓝图。各地区各部门扎实推进数字基础设施、数字技术、数字经济、数字政府和数字社会建设，不断优化数字化发展环境，拓展数字领域国际合作，支撑统筹推进经济、政治、文化、社会和生态文明建设，数字中国建设在创新实践中迈出坚实步伐，在砥砺奋进中取得显著成就。	第18回党大会以来、習近平同志を核心とする党中央委員会は、先見の明を持ち、世界のデジタル発展とデジタル変革という大きな歴史的チャンスを捉え、デジタル中国の建設を計画的、組織的に推進してきた。 2017年、第19回党大会の報告で、「強いネットワーク国、デジタル中国、スマート社会」の建設が明確に提案された。 2021年、「中華人民共和国国家経済社会発展第14次5カ年計画及び2035年ビジョン概要」は「デジタル発展の加速とデジタル中国の建設」を掲げ、「国家情報化第14次5カ年計画」は「デジタル発展の加速とデジタル中国の建設」を掲げている。「第14次5カ年計画国家情報化計画」と「第14次5カ年計画デジタル経済発展計画」が相次いで発表され、第14次5カ年計画期間のデジタル中国建設の美しい青写真が描かれた。第14次5カ年計画期間中のデジタル中国建設の青写真。各地域と各部門はデジタルインフラ、デジタル技術、デジタル経済、デジタル政府、デジタル社会の建設を堅実に推進し、デジタル発展環境を絶えず最適化し、デジタル分野の国際協力を拡大し、経済、政治、文化、社会、生態の文明建設の協調推進を支持し、中国のデジタル建設は革新実践でしっかりと一歩前進し、鍛錬過程で顕著な成果を収めた。
一、党的十九大以来数字中国建设取得显著成就	1. 第19回党大会以降のデジタル中国建設における重要な成果
一是建成全球规模最大、技术领先的网络基础设施。截至 2021 年底，我国已建成 142.5 万个 5G 基站，总量占全球 60%以上，5G 用户数达到 3.55 亿户。全国超 300 个城市启动千兆光纤宽带网络建设，千兆用户规模达 3456 万户。农村和城市实现“同网同速”，行政村、脱贫村通宽带率达 100%，行政村通光纤、通 4G 比例均超过 99%。IPv6 规模部署和应用取得显著进展，截至 2021 年底，IPv6 地址资源总量位居世界第一，IPv6 活跃用户数达 6.08 亿。算力基础设施快速发展，近 5 年算力年均增速超过 30%，算力规模全球排名第二。北斗导航卫星全球覆盖并规模应用。二是数据资源价值加快释放。党的十九届四中全会首次提出将数据作为生产要素参与分配，加快探索构建数据基础制度。2017 年到 2021 年，我国数据产量从 2.3ZB 增长至 6.6ZB，全球占比 9.9%，位居世界第二。大数据产业规模快速增长，从 2017 年的 4700 亿元增长至 2021 年的 1.3 万亿元。公共数据开放取得积极进展，2017 年到 2021 年，全国省级公共数据开放平台由 5 个增至 24 个，开放的有效数据集由 8398 个增至近 25 万个。各地积极探索数据治理规则，培育数据要素市场，促进数据流通交易和开发利用。三是数字技术创新能力快速提升。5G 实现技术、产业、应用全面领先，高性能计算保持优势。芯片自主研发能力稳步提升，国产操作系统性能大幅提升。人工智能、云计算、大数据、区块链、量子信息等新兴技术跻身全球第一梯队。2021 年，我国信息领域 PCT 国际专利申请数量超过 3 万件，比 2017 年提升 60%，全球占比超过三分之一。我国互联网企业更加注重创新，2017 年到 2021 年，上市互联网企业研发投入增长 227%。四是数字经济发展规模全球领先。2017 年到 2021 年，我国数字经济规模从 27.2 万亿增至 45.5 万亿元，总量稳居世界第二，年均复合增长率达 13.6%，占国内生产总值比重从 32.9%提升至 39.8%，成为推动经济增长的主要引擎之一。数字产业规模快速壮大，2017 年到 2021 年，规模以上计算机、通信和其他电子设备制造业营收由 10.6 万亿增长至 14.1 万亿元；规模以上软件业营收由 5.5 万亿增长至 9.5 万亿元。数字化转型加快推进，农业生产信息化水平快速提升，工业互联网应用已覆盖 45 个国民经济大类，电子商务交易额从 2017 年的 29 万亿增长至2021 年的 42 万亿元。五是数字政府治理服务效能显著增强。我国电子政务在线服务指数全球排名提升至第 9 位，“掌上办”“指尖办”已成为各地政务服务标配，“一网通办”“跨省通办”取得积极成效。超 90%的省级行政许可事项实现网上受理和“最多跑一次”，平均承诺时限压缩超过一半以上。数字抗疫加速推动部门之间以及中央和地方之间的数据互通共享，健康码的普及和使用达到了前所未有的程度，对统筹推进疫情防控和经济社会发展发挥了至关重要的作用。疫情加速了数字化进程，数字化有力支撑了疫情下经济社会发展和政府公共服务。六是数字社会服务更加普惠便捷。2017 年到 2021 年，我国网民规模从 7.72 亿增长到 10.32 亿，互联网普及率从 55.8%提升至 73%，特别是农村地区互联网普及率提升到 57.6%，城乡地区互联网普及率差异缩小 11.9 个百分点。国家智慧教育平台加快建设，我国所有中小学（含教学点）全部实现联网。全国统一的医保信息平台建成，实现跨省异地就医自助备案和住院直接结算，远程医疗县区覆盖率超过 90%。互联网应用适老化及无障碍改造行动深入开展。网络扶贫和数字乡村建设接续推进，城乡居民共享数字化发展成果。七是数字化发展治理取得明显成效。深入开展网络空间治理，制定《网络信息内容生态治理规定》《区块链信息服务管理规定》《互联网信息服务算法推荐管理规定》。提升个人信息保护水平，出台《个人信息保护法》《儿童个人信息网络保护规定》。推动平台经济规范健康发展，有效维护市场主体和人民群众合法权益。“清朗”系列专项行动深入实施，营造了良好的网络生态。2019 年以来，清理违法和不良信息 204.93 亿条、账号 13.89 亿个，下架违法违规应用程序 6.7 万余款。八是数字安全保障能力大幅提升。夯实国家网络安全和数据安全保障体系，制定实施《网络安全法》《数据安全法》，印发《党委（党组）网络安全工作责任制实施办法》。网络安全标准体系日益完善，制定发布 300 余项国家标准，主导和参与发布 10 余项国际标准。网络安全产业规模快速增长。国家网络安全人才与创新基地投入运行，全国 200 余所高校设立网络安全本科专业，每年网络安全专业毕业生超过 2 万人。九是数字领域国际合作稳步拓展。我国倡导发起《携手构建网络空间命运共同体行动倡议》《“一带一路”数字经济国际合作倡议》等国际合作倡议。积极参与多边多方数字经济治理机制活动，为网络空间国际规则和技术标准制定贡献中国智慧和中国方案。申请加入《全面与进步跨太平洋伙伴关系协定》（CPTPP）和《数字经济伙伴关系协定》（DEPA）。“数字丝绸之路”建设成果显著，已与 17 个国家签署“数字丝绸之路”合作谅解备忘录，与 23 个国家建立“丝路电商”双边合作机制，数字贸易竞争力持续增强。	第一に、世界最大かつ技術的に高度なネットワークインフラを構築していることである。2021年末までに、中国は142万5千の5G基地局を建設し、世界全体の60％以上を占め、5Gユーザー数は3億5千5百万人に達した。全国300以上の都市でギガビット光ファイバーブロードバンドネットワークの建設が開始され、ギガビットユーザーは3,456万人に達している。行政村と貧困から脱した村のブロードバンド化率は100％に達し、光ファイバーと4Gが接続された行政村の割合は99％を超えた。IPv6のアクティブユーザー数は6億800万人に達した。コンピューティングパワーのインフラは急速に発展しており、過去5年間の年平均成長率は30％を超え、コンピューティングパワーの規模は世界第2位となっている。北斗航法衛星は全地球をカバーしており、大規模な利用が行われている。第二に、データリソースの価値が加速度的に向上していることである。第19期中国共産党中央委員会第4回全体会議では、データを流通の生産要素として巻き込み、データ基盤システムの構築の模索を加速することが初めて提案された。2017年から2021年にかけて、中国のデータ生産量は2.3ZBから6.6ZBに増加し、世界第2位の9.9%を占めると予想されている。ビッグデータ産業の規模は、2017年の4700億元から2021年には1兆3,000億元へと急成長している。公共データのオープン化は積極的に進展しており、2017年から2021年にかけて、全国の地方の公共データオープン・プラットフォームは5から24に増え、有効なオープンデータセット数は8,398から約25万に増加した。地方では、データガバナンスルールの検討、データ要素市場の育成、データの流通・取引・開発の促進などが積極的に行われている。第三に、デジタル技術の革新能力が急速に向上していることである。5Gは技術、産業、アプリケーションの総合的なリーダーシップを獲得し、ハイパフォーマンスコンピューティングはその優位性を維持している。チップの自主研究開発能力は着実に向上しており、国産OSの性能も大幅に向上している。2021年、中国の情報分野におけるPCT国際特許出願件数は3万件を超え、2017年比60％増、世界全体の3分の1以上を占めると予想される。中国のインターネット企業はイノベーションにより注目しており、上場インターネット企業の研究開発投資は2017年から2021年にかけて227％増加している。第四に、デジタル経済の発展規模は世界をリードしていることである。2017年から2021年にかけて、中国のデジタル経済の規模は27.2兆元から45.5兆元へと増加し、総量では世界第2位、年平均複合成長率は13.6％に達する見込みである。デジタル産業の規模は急速に拡大しており、2017年から2021年にかけて、規模以上のコンピュータ、通信、その他の電子機器製造業の売上は10.6兆元から14.1兆元へ、規模以上のソフトウェア産業の売上は5.5兆元から9.5兆元へ増加している。デジタル変革が加速し、農業生産の情報化レベルが急速に向上し、産業インターネットの応用が国民経済の主要45部門をカバーし、電子商取引は2017年の29兆元から2021年には42兆元に拡大した。第五に、デジタルガバメントサービスの有効性が著しく向上したことである。中国の電子政府オンラインサービス指数は世界第9位で、「ワンストップサービス」「省を越えたサービス」など、「ハンドヘルド」「フィンガーチップ」サービスが世界の政府サービスの標準となった。「省を越えたサービス」は成果を上げている。地方の行政許認可案件の9割以上がオンラインで受け付けられ、「最大1回実行」、平均制限時間は半分以下に圧縮された。健康コードの普及と利用はかつてないレベルに達し、疫病の予防と制御、および経済と社会の発展を促進する上で重要な役割を担っている。流行はデジタル化のプロセスを加速させ、デジタル化は流行下の経済・社会発展や政府の公共サービスを強力に支援した。第六に、デジタル社会サービスがより包括的で便利になったことである。2017年から2021年にかけて、中国のネットユーザー数は7億7200万人から10億3200万人に増加し、インターネット普及率は55.8％から73％に上昇し、特に農村部のインターネット普及率は57.6％に上昇、都市と農村との差が11.9ポイント縮小していることが分かる。全国スマート教育プラットフォームの構築が加速され、中国全土の小中学校（教場も含む）が接続された。全国統一の医療保険情報プラットフォームが完成し、省を越えた入院治療の自助申告と直接決済が実現し、県内の遠隔医療カバー率が90％を超えた。インターネットアプリケーションの経年劣化とアクセシビリティの改修の取り組みを深く掘り下げた。ネットワーク貧困緩和とデジタル村の建設が進み、都市と農村の住民がデジタル発展の果実を共有した。第七に、デジタル開発とガバナンスが大きな成果を上げたことである。「インターネット情報コンテンツのエコ・ガバナンスに関する規則」、「ブロックチェーン情報サービス管理に関する規則」、「インターネット情報サービスのアルゴリズム勧告管理に関する規則」を制定し、サイバースペースの綿密なガバナンスが行われた。個人情報保護の水準を高め、「個人情報保護法」「インターネットにおける子どもの個人情報の保護に関する規定」を導入した。プラットフォーム経済の標準的かつ健全な発展を促進し、市場関係者と国民の合法的な権益を効果的に保護する。2019年以降、204億9300万件の違法・望ましくない情報と13億8900万件のアカウントをクリーンアップし、6万7,000件以上の違法・非適合アプリケーションを削除した。第八に、デジタルセキュリティの能力を大幅に向上させたことである。国家ネットワークセキュリティとデータセキュリティ保護体制が強化され、「ネットワークセキュリティ法」と「データセキュリティ法」が制定・施行され、「ネットワークセキュリティ業務に関する党委員会（党部会）の責任体制実施弁法」が公布された。サイバーセキュリティの標準体系はますます整備され、300以上の国家標準が策定・発表され、10以上の国際標準を主導し、参加した。ネットワークセキュリティの業界規模は急速に拡大している。国家サイバーセキュリティ人材・イノベーション基地が稼動し、全国200以上の大学がサイバーセキュリティ学部を設置し、毎年2万人以上のサイバーセキュリティの卒業生を輩出している。第九に、デジタル分野での国際協力が着実に広がっていることである。中国は、「サイバースペースにおける運命共同体の構築に関する行動計画」や「デジタル経済における国際協力に関する『ベルト＆ロード』イニシアティブ」などの国際協力イニシアティブを開始した。我々は、多国間・複数政党によるデジタル経済のガバナンス機構に積極的に参加し、サイバースペースにおける国際ルールや技術標準の策定に中国の知恵と解決策を貢献してきた。包括的および先進的な環太平洋パートナーシップ（CPTPP）およびデジタル経済連携協定（DEPA）への加盟を申請した。「デジタルシルクロード」での協力に関する覚書を17カ国と締結し、シルクロードでの電子商取引に関する二国間協力体制を23カ国と確立した。デジタルトレードの競争力は高まり続けている。
数字中国建设从夯基垒台到积厚成势、从发展起步到不断壮大，根本在于有以习近平同志为核心的党中央坚强领导，有习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想指引方向。我国探索出了一条具有中国特色的数字化发展道路，形成了一系列宝贵经验。主要是坚持统筹推进、协同发展，坚持创新驱动、基础先行，坚持应用牵引、多方参与，坚持人民至上、惠民便民，坚持发展和安全并重，不断推动数字中国建设向更高标准更高质量迈进。	デジタル中国の建設は、習近平同志を中核とする党中央委員会の強力な指導と、習近平の新時代の中国の特色ある社会主義思想、特に習近平総書記の強力なネットワークに関する重要思想の指導により、強固な基礎から強固な基盤へ、発展の始まりから継続的な成長へと発展してきたのである。中国は中国の特色あるデジタル発展の道を模索し、一連の貴重な経験を形成してきた。主に、協調推進と協調発展、革新主導と基礎第一、応用主導と多者参加、人間優先と人間フレンドリー、発展と安全の両立を堅持し、デジタル中国の建設をより高い水準とより高い品質へと継続的に押し進めている。
二、2021 年数字中国发展成效评价	2. 2021年のデジタルチャイナの発展効果の評価
为更好地评估各地区数字中国建设进展情况，国家网信办组织开展 2021 年数字中国发展水平评估工作，重点评估 31 个省（区、市）在数字基础设施、数字技术创新、数字经济、数字政府、数字社会、网络安全和数字化发展环境等方面的发展水平。同时，首次开展数字中国发展情况网络问卷调查活动。网民普遍认为近年来数字中国建设取得了显著成效，期盼未来能够享受更便捷、更高效、更普惠的数字服务。	国家サイバースペース管理局は、各地域のデジタル中国建設の進捗状況をよりよく評価するため、2021年のデジタル中国の発展レベル評価を組織し、31省（自治区、市）のデジタルインフラ、デジタル技術革新、デジタル経済、デジタル政府、デジタル社会、サイバーセキュリティ、デジタル発展環境の発展レベルに焦点を当てた。同時に、デジタルチャイナの発展に関するオンラインアンケート調査も初めて実施した。ネットユーザーは一般的に、デジタルチャイナの構築が近年目覚ましい成果を上げていると考えており、将来、より便利で効率的、包括的なデジタルサービスを享受することを期待している。
评价结果显示，浙江、北京、上海、广东、江苏、山东、天津、福建、湖北、四川等地区数字化综合发展水平位居全国前 10 名。	評価結果によると、浙江、北京、上海、広東、江蘇、山東、天津、福建、湖北、四川は、デジタル開発全体において中国のトップ10に入る地域であることがわかった。
三、数字中国发展趋势与展望	3. デジタルチャイナの発展動向と展望
2022 年是进入全面建设社会主义现代化国家、向第二个百年奋斗目标进军新征程的重要一年，要坚持以习近平新时代中国特色社会主义思想特别是习近平总书记关于网络强国的重要思想为指导，加强数字中国建设整体布局，持续从数字技术创新、数字基础设施、数字经济、数字政府、数字文化、数字社会、数字生态文明、数据资源、数字安全和治理、数字国际合作等方面推进数字中国建设，以实际行动迎接党的二十大胜利召开。一是加强数字技术自主创新，实现高水平自立自强。二是夯实数字基础设施根基，打通信息“大动脉”。三是做强做优做大数字经济，释放高质量发展动力。四是提高数字政府建设水平，增强管理服务效能。五是推动数字文化繁荣发展，共筑美好精神家园。六是加快数字社会建设步伐，共享普惠包容的数字生活。七是推进数字生态文明建设，促进人与自然和谐发展。八是推进数据资源高效利用，加快激发数据要素活力。九是完善数字安全和治理体系，营造健康安全的发展环境。十是加强数字领域国际合作交流，携手构建网络空间命运共同体。	2022年は、総合的な社会主義近代国家を建設する新たな旅路に入り、2つの100年の目標に向かって邁進する重要な年である。党は引き続き、デジタル技術革新、デジタルインフラ、デジタル経済、デジタル政府、デジタル文化、デジタル社会、デジタル生態文明、データ資源、デジタル安全・ガバナンス、デジタル国際協力の面でデジタル中国の建設を推進し、第20回党大会の勝利を実践的行動で迎えたいと考えている。第一に、デジタル技術の自主革新を強化し、高いレベルでの自立と自己改革を実現する。第二に、デジタルインフラの基盤を強化し、情報の「動脈」を開通させることである。第三に、デジタル経済を強化・拡大し、質の高い発展の勢いを解放することである。第四に、デジタル政府構築のレベルを向上させ、管理サービスの有効性を高めることである。第五に、デジタル文化の豊かな発展を促進し、より良い心の故郷を築くことである。第六に、デジタル社会構築のペースを加速させ、普遍的で包括的なデジタルライフを共有することである。第七に、デジタルエコロジー文明の建設と人と自然の調和ある発展を促進することである。第八に、データ資源の効率的な利用を促進し、データ要素の活性化を加速させることである。第九に、デジタルセキュリティとガバナンス体制を整備し、健全で安全な開発環境を実現することである。第十に、デジタル分野における国際協力と交流を強化し、サイバースペースにおける運命共同体を構築するために手を携えることである。

目次...

第一篇	第一編
一、党的十九大以来数字中国建设取得显著成就	1. 第19回党大会以降のデジタル中国建設における重要な成果
(一)建成全球规模最大、技术领先的网络基础设施	(1) 世界最大かつ最先端のネットワークインフラの構築
(二)数据资源价值加快释放	(2) データリソースの価値解放の加速化
(三)数字技术创新能力快速提升	(3) デジタル技術のイノベーション能力の急速な向上
(四)数字经济发展规模全球领先	(4) デジタル経済の発展規模において世界をリードする
(五)数字政府治理服务效能显著增强	(5) デジタルガバメントサービスは著しく効果的である
(六)数字社会服务更加普惠便捷	(6) より包括的で利便性の高いデジタル社会サービス
(七)数字化发展治理取得明显成效	(7) デジタル開発ガバナンスは大きな成果を上げた
(八)数字安全保障能力大幅提升	(8) デジタル安全・セキュリティ能力の大幅な向上
(九)数字领域国际合作稳步拓展	(9) デジタル分野での国際協力の着実な拡大
二、党的十九大以来数字中国建设形成的经验认识	2. 第19回党大会以降のデジタルチャイナの構築に関する体験と理解
(一)坚持统筹推进、协同发展	(1) 統合的かつ相乗的な開発の堅持
(二)坚持创新驱动、基础先行	(2) イノベーション主導、ファンデーションファーストを貫く。
(三)坚持应用牵引、多方参与	(3) アプリケーションの牽引とマルチパーティシペーションの主張
(四)坚持人民至上、惠民便民	(4) 人民第一主義を堅持し、人民の利益に資すること
(五)坚持发展和安全并重	(5) 発展性と安全性の両立を重視する。
第二篇	第二編
三、数字基础设施有力支撑经济社会数字化发展	3. デジタルインフラが経済・社会のデジタル発展を強力に支える
(一)网络基础设施加速迈向“双千兆”时代	(1) ダブルギガビット時代に向けたネットワークインフラの加速
(二)新型算力体系推进优化布局	(2) 最適配置を促進する新演算方式
(三)IPv6 规模部署和应用取得重大突破	(3) IPv6 の展開と応用における大きなブレークスルー
四、数据要素市场化配置加快探索实践	4. 市場原理に基づくデータ要素の割り当ての検討と実践の加速
(一)各地积极探索数据治理规则	(1) 世界のデータガバナンスルールの積極的な探索
(二)数据交易市场加快培育	(2) データ取引市場の開拓の加速
(三)数据流通关键技术加快探索应用	(3) データ流通のためのキーテクノロジーの探求と応用を加速する
五、数字技术创新夯实可持续发展能力	5. デジタル技術の革新が持続可能な発展を実現する
(一)关键数字技术取得系列突破	(1) 主要なデジタル技術のブレークスルーが相次いでいること。
(二)数字技术创新活力加速释放	(2) デジタル技術のイノベーションダイナミクスの加速度的な解放
(三)协同创新生态持续优化	(3) コラボレーティブ・イノベーション・エコロジーの継続的な最適化
六、数字经济健康发展成为经济增长关键动力	6. 経済成長の主要な推進力としてのデジタル経済の健全な発展
(一)数字产业化带动经济稳步增长	(1) デジタル産業化による着実な経済成長
(二)产业数字化转型提升发展质量效益	(2) 開発の質と効率を高めるための産業のデジタルトランスフォーメーション
(三)新业态新模式持续激发内需潜能	(3) 新産業・新モデルの登場により、内需ポテンシャルを刺激し続ける
(四)数字经济区域协作加快开展	(4) デジタル経済に関する地域協力の加速化
七、数字政府建设有力推进国家治理体系和治理能力现代化	7. デジタル政府建設は、国家統治システムと統治能力の近代化を強力に推進する
(一)数字技术有力支撑常态化疫情防控	(1) デジタル技術は定期的な疫病の予防と制御を強力に支援する
(二)在线政务服务能力持续提升	(2) オンライン政府サービス能力の継続的改善
(三)数据开放共享体系加快建设	(3) オープンデータ共有システムの構築加速
(四)政务公开强化政民互动	(4) オープンガバメントサービスによる国民と政府との交流の促進
(五)“互联网+监管”有力推进政策落实	(5) 「インターネット＋規制」が政策実現を強力に後押しする
(六)电子政务推动行政服务能力不断增强	(6) 電子政府による、能力向上による行政サービスの促進
八、数字社会建设提升群众获得感幸福感安全感	8. 大衆の幸福感や安心感を高めるデジタル社会の構築
(一)“互联网+教育”推动优质教育资源共享	(1) 良質な教育資源の共有化を促進する「インターネット＋教育」
(二)“互联网+医疗健康”缓解看病就医难题	(2) 医療サービスへのアクセス問題を解決する「インターネット＋ヘルスケア」
(三)就业社保数字化提升保障服务能力	(3) 保護サービスの能力を強化するための雇用と社会保障のデジタル化
(四)交通运输数字化升级全面推进	(4) 本格化する交通のデジタル化
(五)包容普惠的数字服务环境加快构建	(5) 包括的かつ包括的なデジタルサービス環境の構築を加速する
(六)智慧城市整体“智治”迈出新步伐	(6) スマートシティの全体的な "スマートガバナンス "の新たな前進
(七)数字乡村建设稳步推进	(7) デジタル村の構築の着実な進展
(八)社会治安和应急信息化体系加快建设	(8) 社会保障・緊急時情報システムの構築の加速化
九、数字文化繁荣发展不断丰富群众生活	9. デジタル文化は繁栄し、大衆の生活を豊かにし続ける
(一)数字文化供给更加丰富多元	(1) より豊かで多様なデジタル文化供給
(二)数字文化传播实现立体覆盖	(2) 立体的な取材を実現するデジタル文化発信
(三)数字文化消费市场发展动力强劲	(3) デジタル文化消費市場の発展の勢い
十、数字生态文明建设描绘美丽中国新图景	10. デジタル生態文明の構築で、新しい美しい中国を描く
(一)数字化促进绿色生产方式不断创新	(1) グリーンな生産方式を継続的に革新するためのデジタル化
(二)数字化推动绿色生活方式加快普及	(2) グリーンライフスタイルの普及を加速させるデジタル化
(三)数字化环境治理体系加快建设	(3) デジタル環境ガバナンスシステム構築の加速化
十一、数字化发展治理保障健康有序发展	11. デジタル開発ガバナンスは健全で秩序ある開発を保証する
(一)法制建设取得重要成果	(1) 法制度構築の重要な成果
(二)平台治理促进市场公平竞争	(2) 市場における公正な競争のためのプラットフォームガバナンス
(三)网络空间更加健康清朗	(3) より健全で明瞭なサイバースペース
(四)网络安全保障体系和能力建设加快推进	(4) ネットワーク・セキュリティ・システムの構築と能力開発の加速化
十二、数字领域国际合作推动构筑网络空间命运共同体	12. サイバースペースにおける運命共同体の構築を促進するためのデジタル分野での国際協力
(一)国际规则标准制定能力稳步提升	(1) 国際的なルール・基準設定能力の着実な向上
(二)全球数字合作伙伴关系更加深化	(2) グローバルデジタルパートナーシップの深化
(三)数字贸易开放协作空间持续拓展	(3) デジタルトレードのためのオープンでコラボレーティブなスペースの継続的な拡大
第三篇	第三編
十三、2021 年各地区数字中国发展成效评价	13. 2021年における地域別デジタル中国展開の効果評価
(一)整体评价情况	(1) 総合評価状況
(二)数字基础设施建设评价情况	(2) デジタルインフラ整備の評価
(三)数字技术创新评价情况	(3) デジタル技術革新の評価
(四)数字经济发展评价情况	(4) デジタル経済発展の評価
(五)数字政府建设评价情况	(5) デジタル政府開発の評価
(六)数字社会建设评价情况	(6) デジタル社会構築の評価
(七)网络安全建设评价情况	(7) サイバーセキュリティ構築の評価
(八)数字化发展环境建设评价情况	(8) デジタル開発環境の整備に関する評価
第四篇	第四編
十四、2022 年数字中国建设形势与展望	14. 2022年のデジタル・チャイナ構築の状況と展望
(一)加强数字技术自主创新，实现高水平自立自强	(1) デジタル技術の自主革新の強化により、高いレベルの自立と自己変革を実現する
(二)夯实数字基础设施根基，打通信息“大动脉”	(2) デジタルインフラの基盤を強化し、情報の「動脈」を切り開く
(三)做强做优做大数字经济，释放高质量发展动力	(3) デジタル経済の強化・充実を図り、質の高い発展の勢いを発揮する
(四)提高数字政府建设水平，增强管理服务效能	(4) デジタル政府構築のレベルアップと経営サービスの有効性向上
(五)推动数字文化繁荣发展，共筑美好精神家园	(5) デジタル文化の豊かな発展と、より良い心の故郷の建設の促進
(六)加快数字社会建设步伐，共享普惠包容的数字生活	(6) デジタル社会の構築とユニバーサルでインクルーシブなデジタルライフの共有の加速
(七)推进数字生态文明建设，促进人与自然和谐发展	(7）デジタルエコロジー文明の建設と人間と自然の調和的発展の促進
(八)推进数据资源高效利用，加快激发数据要素活力	(8) データ資源の効率的な利用を促進し、データエレメントの活力を加速させる
(九)完善数字安全和治理体系，营造健康安全的发展环境	(9) デジタル・セキュリティとガバナンス・システムの改善による健全で安全な開発環境の構築
(十)加强数字领域国际合作交流，携手构建网络空间命运共同体	(10) デジタル分野における国際協力と交流を強化し、サイバースペースにおける運命共同体を構築するために手を携える
附件:2021 年数字中国发展网民感知情况分析	附属書 2021年のデジタルチャイナの発展に対するネットユーザーの認識に関する分析

・[DOCX] 仮訳

2022.08.04 12:39 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in 法律 / 犯罪, in クラウド, in AI/Deep Learning, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

2022.08.03

ドイツ BSI 静的アプリケーションセキュリティテストの文脈における機械学習

こんにちは、丸山満彦です。

ドイツのBSIが静的アプリケーションセキュリティテストにおける AI の使用に関する研究報告書を公表していますね。。。力作ですが、2023年初頭に最終化するようです。

● Bundesamt für Sicherheit in der Informationstechnik: BSI

・2022.07.27 Machine Learning in the Context of Static Application Security Testing - ML-SAST

Machine Learning in the Context of Static Application Security Testing - ML-SAST	静的アプリケーションセキュリティテストの文脈における機械学習 - ML-SAST
Überblick über den aktuellen Stand in Forschung und Technik	研究・技術の現状を概観する
Im Projekt Machine Learning in the Context of Static Application Security Testing (ML-SAST) untersucht das BSI, wie Verfahren des maschinellen Lernens genutzt werden können, um Methoden der statischen Codeanalyse zu verbessern.	静的アプリケーションセキュリティテストの文脈における機械学習（ML-SAST）プロジェクトにおいて、BSIは機械学習手法を静的コード解析手法の改善にどのように利用できるかを調査している。
In der Softwareentwicklung stellt die statische Programmcodeanalyse neben der dynamischen Programmcodeanalyse eine wichtige Technik dar, um zum Beispiel redundanten Code, Verletzungen von Programmierrichtlinien oder Fehler in Treiberdateien aufzudecken. Sie ermöglicht ein automatisiertes Auffinden von potentiellen Schwachstellen im Programmcode durch statische Analyseverfahren. Ein aktuelles Anliegen ist es, bereits während der Programmierung Sicherheitslücken für verdeckte Angriffsmöglichkeiten, wie Pufferüberläufe, aufzudecken und somit einen Security-by-Design-Ansatz zu verwirklichen.	ソフトウェア開発において、静的プログラムコード解析は、動的プログラムコード解析と並んで、冗長なコード、プログラミングガイドライン違反、ドライバファイルのエラーなどを検出するための重要な技術である。静的解析手続きにより、プログラムコードの潜在的な弱点を自動的に検出することができる。現在、バッファオーバーフローのような隠れた攻撃可能性を持つセキュリティ脆弱性を、プログラミングの段階ですでに検出し、セキュリティバイデザインのアプローチを実現することが課題となっている。
Im Rahmen des Projekts hat das BSI die neusta mobile solutions GmbH mit der Erstellung einer mehrteiligen Studie beauftragt. Im ersten Teil wird der aktuelle Stand der Forschung in den Bereichen des Machine Learning, der statischen Codeanalyse und deren Kombination untersucht. Flankierend wurden im zweiten Teil Experteninterviews geführt, um die Nachteile der aktuellen Ansätze zu erfassen, und geeignete Use-Cases zu definieren. Im letzten Teil werden vorhandene ML-SAST-Ansätze anhand der Use-Cases und einer neu entwickelten Metrik miteinander verglichen und ein Vorschlag für die Entwicklung eines neuartigen ML-SAST-Ansatzes vorgestellt. Dieser befindet sich aktuell in der Umsetzung. Die Veröffentlichung der finalen Studie und der Implementierung erfolgt Anfang des Jahres 2023.	このプロジェクトの一環として、BSIはneusta mobile solutions GmbHに依頼し、いくつかのパートに分かれて調査書を作成した。第1部では、機械学習、静的コード解析、およびそれらの組み合わせの領域における研究の現状について検討する。第2部では、現在のアプローチのデメリットを明らかにし、適切なユースケースを定義するために、専門家へのインタビューを実施した。最後に、ユースケースと新たに開発した指標に基づいて、既存のML-SASTアプローチを相互に比較し、新しいML-SASTアプローチの開発に関する提案を行う。現在、実施中である。最終的な検討と実施は、2023年初頭に発表される予定である。

・[PDF] Machine Learning in the Context of Static Application Security Testing - ML-SAST

目次...

1 Introduction	1 はじめに
1.1 Summary	1.1 概要
1.2 Summary in German	1.2 概要（ドイツ語）
1.3 Motivation	1.3 動機
1.4 Contribution	1.4 貢献度
1.5 Structure	1.5 構成
2 Artificial Intelligence and Machine Learning	2 人工知能と機械学習
2.1 Definition of Artificial Intelligence	2.1 人工知能の定義
2.2 Basic Principles of AI Systems	2.2 人工知能システムの基本原理
2.3 Machine Learning Primer	2.3 機械学習入門
2.3.1 Supervised Learning	2.3.1 教師あり学習
2.3.2 Unsupervised Learning	2.3.2 教師なし学習
2.3.3 Reinforcement Learning	2.3.3 強化学習
2.3.4 Neural Networks	2.3.4 ニューラルネットワーク
2.3.5 Recurrent Neural Networks	2.3.5 リカレントニューラルネットワーク
2.3.6 LSTM Networks	2.3.6 LSTMネットワーク
2.3.7 Bidirectional Sequence Models	2.3.7 双方向配列モデル
2.3.8 Graph Neural Networks	2.3.8 グラフニューラルネットワーク
2.4 Other Concepts and Further Reading	2.4 その他の概念と参考文献
3 Static Application Security Testing	3 静的アプリケーションセキュリティテスト
3.1 SAST Tools	3.1 SASTツール
3.2 Background on Static Program Analysis	3.2 静的プログラム解析の背景
3.2.1 Compiler Construction Techniques	3.2.1 コンパイラの構築技法
3.2.2 Typical Internal Data Structures for Static Program Analysis	3.2.2 静的プログラム解析のための典型的な内部データ構造
3.2.3 Static Analysis Problems	3.2.3 静的解析の問題点
4 ML in the Context of SAST	4 SASTの文脈における機械学習
4.1 Preliminaries	4.1 前提条件
4.2 Refinements	4.2 リファインメント
4.3 Current State of the Art	4.3 現在の技術水準
4.3.1 Datasets	4.3.1 データセット
4.3.2 Architectures	4.3.2 アーキテクチャ
4.3.3 Explainability	4.3.3 説明可能性
4.3.4 Outlook	4.3.4 展望
5 Expert Interviews	5 専門家インタビュー
5.1 Method	5.1 方法
5.2 Interview Partners	5.2 インタビューの相手
5.3 Results of the Expert Interviews	5.3 専門家インタビューの結果
5.3.1 Versions of C and C++ Used	5.3.1 使用したCおよびC++のバージョン
5.3.2 Opinions Towards SAST Tools in General	5.3.2 SASTツール全般に対する意見
5.3.3 Input Format for Rules for SAST tools	5.3.3 SASTツールのルールの入力形式
5.3.4 Expectations Towards ML-based SAST Tools and Ideas to this End	5.3.4 機械学習ベースのSASTツールへの期待とそのためのアイデア
5.3.5 Easily and Not Easily Detectable Errors	5.3.5 検出が容易なエラーとそうでないエラー
5.3.6 Sources for Error Use Cases	5.3.6 エラー・ユースケースのソース
6 Online Questionnaire	6 オンラインアンケート
6.1 Platform	6.1 プラットフォーム
6.2 Participants	6.2 参加者
6.3 Questionnaire	6.3 アンケート質問
6.4 Results	6.4 アンケート結果
6.4.1 C/C++ Versions	6.4.1 C/C++バージョン
6.4.2 SAST Tools	6.4.2 SASTツール
6.4.3 Input Format for Rules for SAST tools	6.4.3 SASTツール用ルールの入力形式
6.4.4 Error Use Cases	6.4.4 エラーの使用例
6.4.5 ML and SAST Tools	6.4.5 MLとSASTツール
7 Elicitation and Explanation of Error Use Cases with Descriptions	7 エラー・ユースケースの抽出と説明
7.1 void* Pointers	7.1 void*ポインタ
7.2 Difficulty in Tracking Tainted Data	7.2 汚染されたデータの追跡の困難さ
7.3 Integer Overflows Related to Tainted Data	7.3 汚染されたデータに関連する整数のオーバーフロー
7.4 Array Boundary Errors	7.4 アレイバウンダリエラー
7.5 Null Pointer Access	7.5 Nullポインタのアクセス
7.6 Format String Errors (With Tainted Data)	7.6 (汚染されたデータを含む)文字列のフォーマットエラー
7.7 String Termination Errors	7.7 文字列の終了エラー
7.8 Missing Security Checks for Critical Operations	7.8 重要な操作のためのセキュリティチェックの欠落
7.9 Unsafe Use of Random Number Generators	7.9 乱数生成器の安全でない使用
7.10 Information Flow Through Uncleared Main Memory Data Structures	7.10 安全でないメインメモリのデータ構造を介した情報の流れ
7.11 Insecure Origin of Cryptographic Keys and Initialization Vectors	7.11 安全ではない暗号鍵の出所と初期化ベクタ
7.12 Reuse of Initialization Vectors for Specific Operating Modes of Block Ciphers	7.12 ブロック暗号の特定の動作モードに対する初期化ベクタの再利用
7.13 Memory Leaks	7.13 メモリリーク
7.14 Dangling Pointers – Use-After-Free	7.14 ぶら下がりポインタ - ユーズ・アフター・フリー
7.15 Race Conditions	7.15 レースコンディション
7.16 Application-Specific Errors	7.16 アプリケーション固有のエラー
7.17 Pointer Casts to Types with Stricter Alignment	7.17 より厳格なアライメントを持つ型へのポインタキャスト
8 Evaluation Criteria for ML-SAST Approaches	8 ML-SASTアプローチの評価基準
8.1 Qualitative Criteria	8.1 定性的評価基準
8.1.1 Transparency	8.1.1 透過性
8.1.2 Other Requirements	8.1.2 その他の要求事項
8.2 Quantitative Criteria	8.2 定量的基準
8.3 Other Criteria	8.3 その他の基準
9 Data in ML-Experiments: Types, Formats and Schemata	9 ML-Experimentsにおけるデータ：データの種類，フォーマット，スキーマ
9.1 Benchmarks	9.1 ベンチマーク
9.2 Type, Format and Metrics	9.2 タイプ，フォーマット，評価基準
9.2.1 Name, Version and Description of Dataset	9.2.1 データセットの名称、バージョン、説明
9.2.2 Dataset Scheme	9.2.2 データセットのスキーム
9.2.3 Experiment Scheme	9.2.3 実験スキーム
9.2.4 Model Persistence and Tracking	9.2.4 モデルの永続性とトラッキング
9.3 Ontologies for Machine Learning	9.3 機械学習のためのオントロジー
10 Approaches to Conducting a Literature Mapping for ML-SAST	10 ML-SASTのための文献マッピングの実施方法
10.1 Research Questions	10.1 リサーチクエスチョン
10.2 Initial Search	10.2 初期検索
10.3 Iteration Steps	10.3 イテレーションステップ
10.4 Data Extraction	10.4 データ抽出
10.5 Summary of the Most Important Results	10.5 最も重要な結果のまとめ
11 Detailed Description of Most Appropriate Methods for ML-SAST	11 ML-SASTに最適な手法の詳細説明
11.1 Training Data	11.1 学習データ
11.2 Models	11.2 モデル
11.3 Explainability	11.3 説明可能性
12 Prioritization of Models for this Approach and Outlook on Further Work	12 本アプローチにおけるモデルの優先順位付けと今後の展望
12.1 Graph Neural Networks	12.1 グラフニューラルネットワーク
12.2 Conventional Neural Networks	12.2 伝統的ニューラルネットワーク
12.3 Clustering Approaches	12.3 クラスタリングアプローチ
12.4 Reinforcement Learning	12.4 強化学習
12.5 Ensembles of Approaches	12.5 アプローチのアンサンブル
12.6 Conclusion of the Prioritization	12.6 優先順位付けの結論
13 Conclusion	13 結論
13.1 Further Research	13.1 更なる研究
13.2 Outlook	13.2 展望
14 Appendix	14 附属書
14.1 Glossary	14.1 用語集
14.2 Results of the Literature Mapping	14.2 文献マッピングの結果
14.2.1 Base Set	14.2.1 基本セット
14.2.2 Round I	14.2.2 ラウンドI
14.2.3 Round II	14.2.3 ラウンドII
14.2.4 Round III	14.2.4 ラウンドIII
14.2.5 Round IV	14.2.5 ラウンドIV
14.3 Guideline for the interviews with the experts	14.3 専門家インタビューのためのガイドライン
Bibliography	書誌情報

2022.08.03 15:55 in 情報セキュリティ / サイバーセキュリティ, in 脆弱性, in 内部統制 / リスクマネジメント, in AI/Deep Learning | Permalink | Comments (0)
Tweet

サイバーセキュリティ分野の国際連携　米国ーウクライナ　中国ーインドネシア

こんにちは、丸山満彦です。

米国のCISAがウクライナの国家特殊通信情報保護局 (Ukrainian State Service of Special Communications and Information Protection of Ukraine; SSSCIP) と覚書を締結したようですね。。。これにより、

サイバーインシデントに関する情報交換とベストプラクティスの共有
重要インフラのセキュリティに関する技術交流
サイバーセキュリティの訓練と合同演習

の分野での協力を促進するようですね。。。

● CISA

・2022.07.27 UNITED STATES AND UKRAINE EXPAND COOPERATION ON CYBERSECURITY

UNITED STATES AND UKRAINE EXPAND COOPERATION ON CYBERSECURITY	米国とウクライナ、サイバーセキュリティに関する協力を拡大
CISA and Ukraine SSSCIP Sign Agreement to Deepen Cybersecurity Operational Collaboration	CISAとウクライナSSSCIP、サイバーセキュリティの運用協力の深化に向けた協定に署名
WASHINGTON – The U.S. Cybersecurity and Infrastructure Security Agency (CISA) and the Ukrainian State Service of Special Communications and Information Protection of Ukraine (SSSCIP) signed a Memorandum of Cooperation (MOC) this week to strengthen collaboration on shared cybersecurity priorities.	ワシントン - 米国のサイバーセキュリティおよびインフラセキュリティ局（CISA）とウクライナ国家特殊通信情報保護局（SSSCIP）は今週、共通のサイバーセキュリティ優先事項に関する協力を強化するための協力の覚書（MOC）に署名した。
The MOC expands upon CISA’s existing relationship with the Government of Ukraine in the areas of:	この覚書は、以下の分野におけるCISAとウクライナ政府との既存の関係を拡大するものである。
・Information exchanges and sharing of best practices on cyber incidents;	・サイバーインシデントに関する情報交換とベストプラクティスの共有。
・Critical infrastructure security technical exchanges; and	・重要インフラのセキュリティに関する技術交流
・Cybersecurity training and joint exercises.	・サイバーセキュリティの訓練と合同演習
“I am incredibly pleased to sign this MOC to deepen our cybersecurity collaboration with our Ukrainian partners,” said CISA Director Jen Easterly. “I applaud Ukraine’s heroic efforts to defend its nation against unprecedented Russian cyber aggression and have been incredibly moved by the resiliency and bravery of the Ukrainian people throughout this unprovoked war. Cyber threats cross borders and oceans, and so we look forward to building on our existing relationship with SSSCIP to share information and collectively build global resilience against cyber threats.”	CISA長官のJen Easterlyは、次のように述べた。「ウクライナのパートナーとのサイバーセキュリティの協力関係を深めるために、この覚書に署名できたことを大変うれしく思っています。私は、ロシアの前例のないサイバー攻撃から国を守ろうとするウクライナの英雄的な努力を称賛し、このいわれのない戦争を通してウクライナの人々の回復力と勇気に非常に感動しています。サイバー脅威は国境や海を越えるため、SSSCIPとの既存の関係を基に、情報を共有し、サイバー脅威に対するグローバルな回復力を共同で構築することを期待しています。」
“This memorandum of cooperation represents an enduring partnership and alignment in defending our shared values through increased real-time information sharing across agencies and critical sectors and committed collaboration in cultivating a resilient partnership,” said Mr. Oleksandr Potii, Deputy Chairman, SSSCIP.	SSSCIPの副会長であるOleksandr Potii氏は、「この協力覚書は、機関や重要な部門を超えたリアルタイムの情報共有を強化し、回復力のあるパートナーシップを育成するための献身的な協力を通じて、私たちの共有価値を守るための持続的パートナーシップと連携を表しています」と述べています。

ウクライナ側の発表

● Державна служба спеціального зв’язку та захисту інформації України

・2022.07.28 Україно-американське співробітництво у сфері кібербезпеки виходить на новий рівень

英語のページ...

● State Service of Special Communications and Information Protection of Ukraine (SSSCIP)

・2022.07.28 Ukraine-U.S. cooperation in cybersecurity area reaches a new level

Ukraine-U.S. cooperation in cybersecurity area reaches a new level	サイバーセキュリティ分野におけるウクライナと米国の協力が新たなレベルに到達
The SSSCIP has signed a Memorandum of Cooperation with the Cybersecurity and Infrastructure Security Agency (CISA) under the United States Department of Homeland Security.	SSSCIPは、米国国土安全保障省傘下のサイバーセキュリティ・インフラセキュリティ局（CISA）と協力覚書に調印した。
Deepening cybersecurity collaboration with our American partners is another important step towards the integration of Ukrainian cyber defenders into the global expert environment. The U.S. and Ukraine are the two countries upon which the greatest number of cyberattacks has been waged. This is why sharing our experience and joining our efforts in resisting cyber aggression would help both countries protect their information resources more efficiently.	米国のパートナーとのサイバーセキュリティの協力関係を深めることは、ウクライナのサイバー防御をグローバルな専門家環境に統合するためのもう一つの重要なステップです。米国とウクライナは、最も多くのサイバー攻撃が行われている2つの国です。このため、両国の経験を共有し、サイバー攻撃に対抗するための努力を結集することは、両国の情報資源をより効率的に保護するのに役立つだろう。
“This memorandum of cooperation represents an enduring partnership and alignment in defending our shared values through increased real-time information sharing across agencies and critical sectors and committed collaboration in cultivating a resilient partnership,” said Mr. Oleksandr Potii, Deputy Chairman, SSSCIP.	SSSCIP副会長のOleksandr Potii氏は、「この協力覚書は、機関や重要な部門を超えたリアルタイムの情報共有を強化し、回復力のあるパートナーシップを育成するための献身的な協力を通じて、私たちの共有価値を守るための持続的パートナーシップと連携を表しています。」と述べた。
CISA Director Jen Easterly pointed out that the signed document would deepen CISA cybersecurity collaboration with its Ukrainian partners. “I applaud Ukraine’s heroic efforts to defend its nation against unprecedented russian cyber aggression and have been incredibly moved by the resiliency and bravery of the Ukrainian people throughout this unprovoked war. Cyber threats cross borders and oceans, and so we look forward to building on our existing relationship with SSSCIP to share information and collectively build global resilience against cyber threats.”	CISAのディレクターであるJen Easterly氏は、次のように述べた。「ウクライナのパートナーとのサイバーセキュリティの協力関係を深めるために、この覚書に署名できたことを大変うれしく思っています。私は、ロシアの前例のないサイバー攻撃から国を守ろうとするウクライナの英雄的な努力を称賛し、このいわれのない戦争を通してウクライナの人々の回復力と勇気に非常に感動しています。サイバー脅威は国境や海を越えるため、SSSCIPとの既存の関係を基に、情報を共有し、サイバー脅威に対するグローバルな回復力を共同で構築することを期待しています。」
The key areas of collaboration between the two cybersecurity agencies will be:	両サイバーセキュリティ機関の主な協力分野は以下の通りです。
・studying methodology and practices of the U.S. critical infrastructure security,	・米国の重要インフラセキュリティの方法論と実践の研究
・cooperation in cyber threat indicators, protective actions and information regarding cybersecurity risks and incidents,	・サイバーセキュリティのリスクとインシデントに関するサイバー脅威の指標、保護措置、情報についての協力。
・information exchanges and sharing of best practices on cyber incidents to enhance relevant incident management systems, response systems and post-incident recovery systems by establishing bilateral information exchange channels between the parties to identify and respond to threats in cyberspace,	・サイバー空間における脅威を特定し対応するために、当事者間で二国間の情報交換チャンネルを確立し、関連するインシデント管理システム、対応システム、インシデント後の復旧システムを強化するためのサイバーインシデントに関する情報交換とベストプラクティスの共有。
・understanding how both parties cooperate with the private sector in the cybersecurity area,	・両当事者がサイバーセキュリティ分野においてどのように民間部門と協力しているかを理解すること。
・sharing of best practices and participation in cybersecurity through studies, training and joint exercises,	・研究、訓練及び共同演習を通じたサイバーセキュリティに関するベストプラクティスの共有及び参加。
・implementation of joint cybersecurity projects.	・サイバーセキュリティに関する共同プロジェクトの実施

Fig1_20220803053101

一方、中国のサイバースペース管理局 (CAC) もインドネシアの国家ネットワーク・暗号局とサイバーセキュリティ協力行動計画に署名をしたと報道していますね。。。

● 中央网络安全和信息化委员会办公室 (Cyberspace Administration of China: CAC)

・2022.07.29 中国国家互联网信息办公室与印尼国家网络与密码局签署网络安全合作行动计划

中国国家互联网信息办公室与印尼国家网络与密码局签署网络安全合作行动计划

中華人民共和国国家サイバースペース管理局情報弁公室とインドネシア国家サイバー・暗号局がサイバーセキュリティ協力行動計画に調印

近日，中华人民共和国国家互联网信息办公室与印度尼西亚共和国国家网络与密码局签署网络安全合作行动计划，双方将在2021年签署的《关于发展网络安全能力建设和技术合作的谅解备忘录》的基础上，进一步深化两国网络安全能力建设合作。

先日、中華人民共和国国家インターネット情報局とインドネシア共和国国家サイバー暗号庁は、2021年に締結した「サイバーセキュリティ能力構築と技術協力の発展に関する覚書」に基づき、両国のサイバーセキュリティ能力構築における協力をさらに深めていくというサイバーセキュリティ協力行動計画に署名しました。

インドネシアといえば、大統領夫妻が訪日していましたね。。。

● KEMENTERIAN SEKRETARIAT NEGARA REPUBLIK INDONESIA（インドネシア共和国国務省）

・2022.07.27 Presiden Jokowi dan Ibu Iriana diterima Kaisar dan Permaisuri Jepang

・2022.07.27 Presiden Jokowi dan PM Kishida Sepakat Perkuat Perdagangan dan Investasi

そういえば、中国に発注したインドネシアの高速鉄道はどうなったんでしょうね。。。

2022.08.03 05:37 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪 | Permalink | Comments (0)
Tweet

2022.08.02

米国責任あるフィンテック政策を求める書簡（1500人のコンピュータ科学者、ソフトウェアエンジニア、テクノロジストから米国議員への手紙）(2022.06.01)

こんにちは、丸山満彦です。

米国の1500人のコンピュータ科学者、ソフトウェアエンジニア、テクノロジストから米国議員に、フィンテック政策について責任を持った判断をするように書簡を送ったようですね。。。

原文はこちらです。

● https://concerned.tech/

・2022.06.01 Letter in Support of Responsible Fintech Policy

これをP2Ptk.orgが翻訳してくれています。

● P2Ptk.org

・2022.07.26 クリプト・Web3業界の誇大広告に踊らされてはならない：1500人超の科学者・エンジニア・技術者が米議会に警告

...ブロックチェーン技術の実経済的な用途はほとんど期待できません。一方、その基盤たる暗号資産は、不健全で変動の激しい投機的な投資スキームの手段となっており、その性質やリスクを理解できない個人投資家に積極的に宣伝されています。他にも、マネーロンダリングやランサムウェア攻撃による国家安全保障への脅威、価格変動の大きさによる金融安定リスク、投機性や感染性、取引の大半を占める暗号通貨で利用されるプルーフ・オブ・ワーク技術による大規模な大気汚染、大規模詐欺、金融犯罪による投資家リスクなどの重大な外部性を抱えています。...

...ブロックチェーン技術や暗号資産投資がもたらす大惨事や外部性は、たまたま起こったことでも、生まれたばかりの技術の成長痛でもありません。それは、合目的的に構築されていない技術の必然的帰結であり、大規模な経済活動の基盤としては永遠に不適当なのです。 ...

...私たちは、暗号資産がもたらす深刻なリスクから投資家と世界の金融市場を守るために今すぐ行動する必要があり、技術的実用性の絶望的な欠落を覆い隠す技術的難解さにごまかされてはなりません。私たちは金融技術と規制に関するあなた方のリーダーシップに感謝するとともに、立法プライオリティの指針として、私たちの客観的かつ独立した専門家の判断を考慮してくださるよう強く求めるものです。...

20220802-153923

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.01 金融庁寄稿暗号資産交換所ビジネスの現状とモニタリングの方向性（金融財政事情 2022.05.17）

・2022.04.04 米国デジタル・ドルができる？ H.R. 7231 電子通貨および安全なハードウェア（ECASH）法案

・2022.03.30 世界経済フォーラム暗号通貨規制：今、私たちはどこにいて、どこに向かっているのか？

・2022.03.29 米国 GAO ブロックチェーン：新たな技術がもたらす利点と課題

・2022.03.10 米国デジタル資産の責任ある開発を確保するための大統領令

・2022.03.03 米国司法省タスクフォース KleptoCapture （ロシアの資金源を断つ？）

・2022.02.21 金融安定理事会 (FSB) 「暗号資産による金融安定化リスクの評価」

・2021.12.24 中国通信院グローバルデジタルガバナンス白書、ブロックチェーン白書、デジタルツインシティ白書、デジタルカーボンニュートラル白書、ビッグデータ白書、インターネット法白書

・2021.12.18 ロシア連邦中央銀行意見募集 2022-2024年の金融市場のデジタル化に関するガイドライン草案 at 2021.12.10

・2021.11.18 金融庁「デジタル・分散型金融への対応のあり方等に関する研究会」中間論点整理を公表

・2021.11.13 米国財務省政府一体となったランサムウェア対策によりランサムウェア実行者と仮想通貨取引所に制裁を科す

・2021.10.20 米国司法省国家暗号通貨執行チームの設立を発表 at 2021.10.06

・2021.09.26 中国人民銀行等仮想通貨取引における投機リスクの更なる防止・対処に関する通知

・2021.09.25 中国国家発展改革委員会などが仮想通貨の「マイニング」を規制

・2021.09.20 米国 SEC長官の上院での証言(1) 暗号資産に関して「私たちはもっとうまくやれるはず」

・2021.07.15 国際決済銀行 (BIS) ・国際通貨基金 (IMF) ・世界銀行国際決済のための中央銀行デジタル通貨 (CBDC) に関するG20への報告書

・2021.06.08 米国司法省コロニアル・パイプライン社が支払った暗号通貨の大半（約230 万ドル）を押収

・2021.03.21 金融活動作業部会仮想資産および仮想資産サービスプロバイダーへのリスクベースアプローチに関するガイダンスの更新草案を公表

・2020.11.22 INTERPOL, Europol, バーゼルガバナンス研究所「第4回犯罪金融と暗号通貨に関する世界会議」の7つの推奨事項

・2020.11.08 米国 10億US$以上の価値のある暗号通貨を没収するための民事訴訟を提起

・2020.08.29 米国司法省北朝鮮のサイバーハッキングプログラムと中国の暗号通貨マネーロンダリングネットワークとの継続的なつながり

・2020.07.13 米国のシークレットサービスが金融犯罪調査委員会（FCTF）と電子犯罪調査委員会（ECTF）を統合してサイバー不正調査委員会（CFTF）を設立したようですね。

・2020.06.27 ”CryptoCore”は2年間で暗号通貨取引所から約200億円以上相当の暗号通貨を盗んでいる？？？

・2020.04.21 仮想通貨が2,500万ドル（約27億円）盗まれたようですね。。。

だいぶ昔の話ですが、、、

・2006.12.22 カードなし電子マネー、ポイントに対する規制？第二銀行法案？

2022.08.02 15:40 in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

米国 GAO 情報技術とサイバーセキュリティ：省庁の法定要件の実施を監視するためのスコアカードの使用

こんにちは、丸山満彦です。

米国のGAOが、ハイリスクリストに含まれているITマネジメントとサイバーセキュリティに対して、2010年以降、報告した5,300件の勧告のうち、2022.06現在で解決されているのは約77%と言うことのようです。23％（約1,200件）は完全には実施されていないと言うことですね。。。

そのうち、重要な項目については、ITマネジメントについては約300件、サイバーセキュリティについては600件以上が実施されていないと言うことです。。。

● U.S. Government Accountability Office; GAO

・2022.07.28 Information Technology and Cybersecurity:Using Scorecards to Monitor Agencies' Implementation of Statutory Requirements

・[PDF] Highlights

・[PDF] Full Report

Information Technology and Cybersecurity:Using Scorecards to Monitor Agencies' Implementation of Statutory Requirements	情報技術とサイバーセキュリティ：省庁の法定要件の実施を監視するためのスコアカードの使用
GAO-22-106105	GAO-22-106105
Fast Facts	基本情報
The federal government annually spends more than $100 billion on IT and cyber investments—many of which have been ineffectively managed. Congress passed laws to address these issues, including the Federal Information Technology Acquisition Reform Act (FITARA).	連邦政府は毎年1000億ドル以上をITおよびサイバー投資に費やしているが、その多くは効果的に管理されていない。連邦議会は、連邦情報技術取得改革法（FITARA）を含む、これらの問題に対処するための法律を可決した。
Since 2015, Congress has issued scorecards to monitor agencies' implementation of FITARA and key IT topics. We testified that the scorecards have evolved and served as effective oversight tools.	2015年以降、議会はFITARAと主要なITトピックの各省庁の実施状況を監視するためにスコアカードを発行している。我々は、スコアカードが進化し、効果的な監視ツールとして機能していることを証言した。
Both IT management and cybersecurity are on our High Risk List. About 77% of the 5,300 recommendations we've made in these areas since 2010 have been implemented.	ITマネジメントとサイバーセキュリティの両方が「高リスクリスト」に含まれています。2010年以降、これらの分野で行った5,300件の勧告のうち、約77%が実施されている。
Planned FY 2023 Federal Spending on Information Technology Investments, as of June 2022	2023年度連邦政府情報技術投資支出予定額（2022年6月現在

Highlights	ハイライト
What GAO Found	GAOが発見したこと
Since November 2015, this Subcommittee has issued scorecards as an oversight tool to monitor agencies' progress in implementing various statutory IT provisions and addressing other key IT issues. The selected provisions are from laws such as the Federal Information Technology Acquisition Reform Act (commonly referred to as FITARA), Making Electronic Government Accountable by Yielding Tangible Efficiencies Act of 2016, the Modernizing Government Technology Act, and the Federal Information Security Modernization Act of 2014. The scorecards have assigned each covered agency a letter grade (i.e., A, B, C, D, or F) based on components derived from statutory requirements and additional IT-related topics. As of July 2022, fourteen scorecards had been released (see figure).	2015年11月以降、本小委員会は、様々な法定IT条項の実施やその他の重要なIT問題への対処における各省庁の進捗状況を監視するための監視ツールとして、スコアカードを発行している。選定した条項は、連邦情報技術取得改革法（通称FITARA）、2016年有形効率化法による電子政府の説明責任化法、政府技術近代化法、2014年連邦情報セキュリティ近代化法などの法律から選ばれたものである。スコアカードは、法定要件と追加のIT関連トピックから導き出された構成要素に基づいて、各対象機関にレターグレード（すなわち、A、B、C、D、またはF）を割り当てている。2022年7月現在、14枚のスコアカードが発表されている（図参照）。
Scorecards Release Timeline with Associated Components	スコアカードのリリーススケジュールと関連するコンポーネント

As reflected above, additional important components have been added over time. Initial components were specific to FITARA provisions related to incremental development, risk management, cost savings and data centers. The scorecards then evolved to include additional statutory provisions and related IT topics, such as telecommunications.	上記のように、時間の経過とともに重要なコンポーネントが追加されている。当初の構成要素は、FITARA条項のうち、インクリメンタル開発、リスク管理、コスト削減、データセンターに関するものに特化したものであった。その後、スコアカードは、追加の法令条項や、電気通信などの関連するITトピックを含むように発展してきた。
The Subcommittee-assigned grades have shown steady improvement and resulted in the scorecards serving as effective oversight tools. For example, during 2020 and 2021, all 24 agencies received A grades for two components (software licensing and data center optimization initiative), resulting in removal of these components from the scorecard. Notwithstanding the improvements made through the use of the scorecard, the federal government's difficulties acquiring, developing, managing, and securing its IT investments remain.	小委員会が指定した評点は着実に改善され、スコアカードが効果的な監視ツールとして機能するようになった。例えば、2020年から2021年にかけて、2つのコンポーネント（ソフトウェアライセンスとデータセンター最適化イニシアチブ）で24機関すべてがAグレードを獲得し、スコアカードからこれらのコンポーネントが削除されることになった。スコアカードの活用による改善にもかかわらず、連邦政府のIT投資の取得、開発、管理、安全確保は依然として困難な状況にある。
GAO has long recognized the importance of addressing these difficulties by including improving the management of IT acquisitions and operations as well as ensuring the cybersecurity of the nation as areas on its high-risk list. Continued oversight by Congress to hold agencies accountable for implementing statutory provisions and addressing longstanding weaknesses is essential. Implementation of outstanding GAO recommendations can also be instrumental in delivering needed improvements.	GAOは以前から、ITの取得・運用管理の改善や国家のサイバーセキュリティの確保を高リスク分野に含めることで、こうした困難に対処することの重要性を認識してきた。法的規定の実施と長年の弱点への対処について各省庁の責任を問うため、議会による継続的な監視が不可欠である。また、GAOの未解決の勧告を実施することも、必要な改善を実現する上で重要である。
Why GAO Did This Study	GAOがこの調査を行った理由
Congress has long recognized that IT systems provide essential services critical to the health, economy, and defense of the nation. In support of these systems, the federal government annually spends more than $100 billion on IT and cyber-related investments.	米国議会は、ITシステムが国家の健康、経済、防衛に不可欠なサービスを提供していることを長い間認識してきた。これらのシステムを支えるため、連邦政府は毎年1000億ドル以上をITおよびサイバー関連投資に費やしている。
However, many of these investments have suffered from ineffective management. Further, recent high profile cyber incidents have demonstrated the urgency of addressing cybersecurity weaknesses.	しかし、これらの投資の多くは、効果的でない管理に悩まされてきた。さらに、最近の著名なサイバー事件により、サイバーセキュリティの弱点への対処が緊急であることが証明された。
To improve the management of IT, Congress and the President enacted FITARA in December 2014. FITARA applies to the 24 agencies subject to the Chief Financial Officers Act of 1990, although with limited applicability to the Department of Defense.	ITの管理を改善するために、議会と大統領は2014年12月にFITARAを制定した。FITARAは、国防総省への適用は限定的であるが、1990年の最高財務責任者法の対象となる24の機関に適用される。
GAO was asked to provide an overview of the scorecards released by this Subcommittee. The scorecards have been used for oversight of agencies' efforts to implement statutory provisions and other IT-related topics. For this testimony, GAO relied on its previously issued products.	GAOは、本小委員会が公表したスコアカードの概要を提供するよう要請された。スコアカードは、法令規定の実施に向けた各省庁の取り組みや、その他のIT関連テーマの監視に利用されてきた。この証言のために、GAOは過去に発行された報告に依拠した。
Since 2010, GAO has made approximately 5,300 recommendations to improve IT management and cybersecurity. As of June 2022, federal agencies have fully implemented about 77 percent of these. However, many critical recommendations have not been implemented—nearly 300 on IT management and more than 600 on cybersecurity.	2010年以降、GAOはIT管理およびサイバーセキュリティの改善に向け、約5,300件の勧告を行ってきた。2022年6月現在、連邦政府機関はこれらのうち約77％を完全に実施している。しかし、多くの重要な勧告は実施されておらず、ITマネジメントについては約300件、サイバーセキュリティについては600件以上となっている。

参考

・High Risk List

Current List (2022.08.01)	現在の一覧 (2022.08.01)
Emergency Loans for Small Businesses - NEW	中小企業向け緊急融資 - NEW
National Efforts to Prevent, Respond to, and Recover from Drug Misuse – NEW	薬物乱用の防止、対応、回復のための国家的取り組み - NEW
Decennial Census	10年ごとの国勢調査
Department of Energy's Contract and Project Management for the National Nuclear Security Administration and Office of Environmental Management	エネルギー省による国家核安全保障局および環境管理局の契約およびプロジェクト管理
DOD Approach to Business Transformation	DOD ビジネス変革のためのアプローチ
DOD Business Systems Modernization	DOD ビジネスシステム近代化
DOD Contract Management	DOD 契約管理
DOD Financial Management	DOD 財務管理
DOD Support Infrastructure Management	DOD サポートインフラマネジメント
DOD Weapon Systems Acquisition	DOD 兵器システム取得
Enforcement of Tax Laws	税法の施行
Ensuring the Cybersecurity of the Nation	国家のサイバーセキュリティの確保
Ensuring the Effective Protection of Technologies Critical to U.S. National Security Interests	米国の国家安全保障上の利益にとって重要な技術の効果的な保護の確保
Funding the Nation's Surface Transportation System	国家表面輸送システムの資金調達
Government-wide Personnel Security Clearance Process	政府全体の人事セキュリティ・クリアランス・プロセス
Improving and Modernizing Federal Disability Programs	連邦障害者プログラムの改善と近代化
Improving Federal Management of Programs that Serve Tribes and Their Members	部族とその構成員にサービスを提供するプログラムの連邦政府管理の改善
Improving Federal Oversight of Food Safety	食品安全に対する連邦政府の監視を改善する
Improving the Management of IT Acquisitions and Operations	ITの取得と運用の管理改善
Limiting the Federal Government's Fiscal Exposure by Better Managing Climate Change Risks	気候変動リスク管理の改善による連邦政府の財政負担の抑制
Management of Federal Oil and Gas Resources	連邦政府の石油・ガス資源の管理
Managing Federal Real Property	連邦政府の不動産管理
Managing Risks and Improving VA Health Care	VA ヘルスケアのリスク管理および改善
Medicare Program & Improper Payments	メディケアプログラムと不適切な支払い
Modernizing the U.S. Financial Regulatory System	米国金融規制システムの近代化
NASA Acquisition Management	NASA 調達管理
National Flood Insurance Program	全米洪水保険プログラム
Pension Benefit Guaranty Corporation Insurance Programs	年金給付保証公社の保険プログラム
Protecting Public Health through Enhanced Oversight of Medical Products	医療製品の監視強化による公衆衛生の保護
Resolving the Federal Role in Housing Finance	住宅金融における連邦政府の役割の解決
Strategic Human Capital Management	戦略的人的資本管理
Strengthening Department of Homeland Security Management Functions	国土安全保障省の管理機能強化
Strengthening Medicaid Program Integrity	メディケイドプログラムの整合性強化
Transforming EPA's Process for Assessing and Controlling Toxic Chemicals	EPAの有害化学物質評価・管理プロセスの変革
U.S. Government's Environmental Liability	米国政府の環境責任
USPS Financial Viability	USPSの財務的安定性
VA Acquisition Management	VA 調達管理

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.06.25 米国 GAO 来年度 (FY23) の予算要求額は8億1,030万ドル（約1兆700億円）サイバーセキュリティも強化項目

・2022.02.10 米国 GAOブログハッキング事件を機に米国議会と連邦政府機関が今後のサイバーセキュリティリスクを軽減するための取り組みを強化

・2022.01.17 米国 GAO サイバーセキュリティ：SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.12.11 米国 GAO 国防省の委託事業者のサイバーセキュリティについての認証フレームワークの改善

・2021.12.07 米国 GAO サイバーセキュリティ：国の重要インフラをより良く保護するための連邦政府の行動が緊急に求められている

・2021.05.25 米国GAO サイバー保険の加入率も保険料率も上昇？

・2021.05.21 U.S. GAO (blog) コロニアルパイプラインへのサイバー攻撃は、連邦政府および民間部門のサイバーセキュリティへの備えの必要性を認識させた

・2021.04.17 U.S. GAO 連邦政府は、ITおよびサイバー関連に年間1,000億ドル（11兆円）以上の投資をしているが、多くは失敗またはパフォーマンスが低く、管理が不十分で、セキュリティ上の弱点がある。

・2021.03.26 U.S. GAO 電力網サイバーセキュリティ：エネルギー省は彼らの計画が配電システムのリスクに完全に対応していることを確認する必要がある at 2021.03.18

・2021.03.25 U.S. GAO High-Riskシリーズ：連邦政府は主要なサイバーセキュリティの課題に対処するための重要な行動を早急に実施する必要がある

・2021.03.16 U.S. GAO 2022年度予算要求「複雑なサイバー・セキュリティの開発をレビューする能力を高める」

・2021.03.16 U.S. GAO CISAに対して組織変革を確実に遂行するために11の勧告をしたようですね。。。（CISAも同意済み）

・2021.03.08 U.S. GAO 国防省に兵器システムについてサイバーセキュリティ要件を購買プログラム契約で定義し、作業を承認または拒否するための基準と、要件が満たされていることを政府が確認する方法についての基準を確立する必要があると指摘

・2021.03.07 U.S. GAO ハイリスクリスト 2021 （サイバーセキュリティはリスクが高まっているという評価のようです...）

・2020.12.27 U.S. GAO 国防省の15のシステム開発を監査してみて・・・開発手法やセキュリティについてコメント付けてます

・2020.11.21 米国GAOが国防省のJoint Cyber Warfighting Architectureについて相互運用性目標を定義することを推奨していますね。。。

・2020.10.14 米国GAOは連邦航空局がアビオニクスのリスクベースのサイバーセキュリティ監視を強化するための仕組みを入れる必要があると推奨していますね。。。

・2020.09.29 米国GAO が「国家サイバー戦略」の完全実施のためにリーダーシップを明確にするために議会がリーダーを指名するように提案していますね。

・2020.09.24 U.S. GAO サイバー空間安全保証・新興技術局の設立計画の策定に関連する連邦機関を関与させていない

・2020.09.18 米国GAO 財務省は金融セクターのサイバーセキュリティリスク軽減の取り組みについての追跡調査を改善する必要がある

・2020.09.02 米国GAO - FedRAMP-連邦政府機関によるクラウドコンピューティングの安全な利用の確保

・2020.08.19 米国GAO 国土安全保障省と特定の機関は、ネットワーク監視プログラムの実装上の欠点に対処する必要がある

・2020.08.06 US-GAO GAOがOMBにIT管理、サイバーセキュリティの監査結果を伝えていますが結構厳しい・・・

・2020.07.11 US-GAOの報告書　サイバーセキュリティに関する10-Kの開示は一般的な内容が多くあまり参考にならないので追加の開示を希望している by 年金基金代表者

・2020.05.17 GAO 重要インフラ保護：国土安全保障省はリスクが高い化学施設のサイバーセキュリティにもっと注意を払え

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

・2020.03.22 GAO CRITICAL INFRASTRUCTURE PROTECTION: Additional Actions Needed to Identify Framework Adoption and Resulting Improvements

少し遡って...

・2016.09.20 US GAO "Federal Chief Information Security Officers: Opportunities Exist to Improve Roles and Address Challenges to Authority"

さらに遡って...

・2009.07.21 GAO Agencies Continue to Report Progress, but Need to Mitigate Persistent Weaknesses

・2009.05.09 GAO Federal Information System Controls Audit Manual (FISCAM)　表

・2009.05.08 GAO GAO Federal Information System Controls Audit Manual (FISCAM)

・2007.06.14 米国会計検査院連邦政府機関の情報セキュリティ管理は依然として不十分

・2006.11.30 米国会計検査院省庁に情報セキュリティに関する定期的な検査のための適切な方針の開発と導入が必要

・2005.07.21 米国会計検査院　国土安全保障省のサイバーセキュリティへの対応は不十分

・2005.07.13 米国会計検査院国土安全保障省はセキュリティプログラムを実施していない

・2005.06.16 米国会計検査院米国政府機関はネット上の脅威に対し無防備と警告

・2005.05.31 米国会計検査院　国土安全保障省はサイバーセキュリティに無防備と批判

・2005.04.22 米国の会計検査院は情報セキュリティ監査でがんばっている

その他、GAOを理解する上で参考となる情報

・2021.04.03 U.S. Office of Inspectors General（連邦監察官室）

・2021.04.01 GAO 連邦政府の財務諸表に監査意見を付与することができない・・・その理由は・・・

・2021.02.22 U.S. GAOが技術評価ハンドブックを公表していますね

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

・2020.06.22 US-GAO 米空軍は強化されたエンタープライズリスクマネジメントと内部統制評価を通じてミッションクリティカルな資産に対する説明責任を向上させることができる

・2020.04.15 GAO 国防総省はサイバー衛生を改善する必要があるので7つの推奨事項を作ったよ！という報告書

・2011.02.20 会計検査院の権限

・2006.07.30 内部統制の構成要素比較

・2006.06.23 パブリックセクターの内部統制

・2005.03.29 会計検査院のウェブページ

2022.08.02 06:06 in 情報セキュリティ / サイバーセキュリティ, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続 | Permalink | Comments (0)
Tweet

2022.08.01

MITRE 誤情報・偽情報の研究課題調査：主要なテーマ

こんにちは、丸山満彦です。

MITREが、昨年 (2021年) 7月に議論した、誤情報・偽情報の研究課題についての要約を公開していますね。。。

● MITRE

・2022.07 MIS- AND DISINFORMATION RESEARCH AGENDA SURVEY: KEY THEMES

・[PDF]

-----

目次的なもの...

序論と方法論

テーマ

インフラとデータの必要性
インフラストラクチャー
データ
アトリビューション
戦術・技術・手順 (TTPs)
動機
広がり／拡散

影響
誤情報の影響・影響力・効果の定量化
因果関係モデル
オフライン（「実世界」）の影響力
下位集団への影響

緩和
介入による偽情報の影響への対抗と緩和
攻撃に対するコミュニティのレジリエンスを構築する
制度の強化

学際的・部門横断的なコラボレーション

クロスプラットフォーム，クロスフォーマット研究

国際的な視点

参考文献

・[DOCX] 仮訳

2022.08.01 18:27 in 法律 / 犯罪, in 危機管理 / 事業継続, in AI/Deep Learning | Permalink | Comments (0)
Tweet

金融庁寄稿暗号資産交換所ビジネスの現状とモニタリングの方向性（金融財政事情 2022.05.17）

こんにちは、丸山満彦です。

金融財政事情 (2022.05.17) 号に金融庁の職員が、「暗号資産交換所ビジネスの現状とモニタリングの方向性」を寄稿しているのですが、その寄稿文が金融庁のウェブページに掲載されていました。

簡潔にまとまっていてわかりやすかったので、備忘録。。。

NFTについても、「ＮＦＴは一般的にはデジタル資産であり、暗号資産等の金融規制の潜脱として用いられない限り金融当局が関与するべきものとは考えていない」という金融庁の立場も記載されていますが、そうだろうと思います。。。

● 金融庁 - 金融庁職員による寄稿等

・2022.07.27 更新 2022.05.17 [PDF] 暗号資産交換所ビジネスの現状とモニタリングの方向性

重点的に取り組む四つのモニタリング事項は次の4つ

①サイバーセキュリティー対策

...当庁では、暗号資産交換業者について、従前課題となっていたサイバーセキュリティー管理態勢の整備状況等について、検査・モニタリングにより各社の状況を確認してきた。加えて、脆弱性診断の実施や、演習・訓練の実施を通じたサイバーインシデント発生時のコンティンジェンシープランの実効性向上を促してきた。その結果、直近では交換業者において、インシデント発生時における対応手順の整備に進捗が認められた。...

②マネロン・テロ資金供与対策等

...いわゆるトラベルルール2について、今年４月から自主規制での導入が試行的に始まっており、今後、犯罪収益移転防止法の改正により法令上の義務とされる予定である。さらには、ウクライナ問題に関し、暗号資産がロシアへの経済制裁の抜け穴になるのではないかといった指摘がなされ、今国会に提出された外為法改正案において、顧客暗号資産の移転先が外為法の制裁対象者ではないことを確認するなどの義務が課される見込みである。...

③新規ビジネスへの対応、財務状況把握

...当局のモニタリングが新たなビジネス展開やイノベーション促進の阻害とならないよう留意する必要もあり、そのモニタリングの在り方については十分に検討を進めていきたい。

また、暗号資産交換業者以外の者によるビジネス、主にＮＦＴ関係について、金融規制等がビジネスの阻害要因となっているのではないかとの批判が寄せられている。具体的には、「ＮＦＴが暗号資産に該当するかどうかの判断基準が必ずしも明確でない」「ＮＦＴ取引に用いられる暗号資産トークンについて、新規発行・売買を日本で行うための自主規制機関による審査に時間がかかる」といった意見である。ＮＦＴは一般的にはデジタル資産であり、暗号資産等の金融規制の潜脱として用いられない限り金融当局が関与するべきものとは考えていないが、いずれにせよ円滑なビジネス展開促進の観点から対応を検討していく。...

④登録審査、無登録業者対応

新規登録については、収益環境の悪化やセキュリティー対策等の参入コストの高さもあり、前述のとおり相談件数は大きく減少している。同時に、既存業務との親和性が高い会社や資本力のある会社からの申し込みが多くなっており、...

また、無登録業者に関しては、当局に対し利用者からの相談が引き続き寄せられていることを踏まえ、そうした相談やインターネットの巡回・監視などによる情報を収集・把握してきた。加えて、...無登録営業を行っていることが判明した場合には、積極的に「警告書」を発出し当局ホームページで公表を行うなどの対応をとってきた。

最近ではＳＮＳ等で知り合った相手から暗号資産の購入を勧められて現金をだまし取られたといった事例が増えてきていることから、今後とも警察庁や消費者庁とも連携し、登録業者以外を利用しないよう広報活動を進めるとともに、無登録業者に対しては厳正に対応していく。

● 一般社団法人金融財政事情研究会 - 週刊　金融財政事情

・2022.05.17号特集 雲をつかむ暗号資産ビジネス
　

2022.08.01 14:56 in 情報セキュリティ / サイバーセキュリティ, in 法律 / 犯罪, in 監査 / 認証, in 内部統制 / リスクマネジメント, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

ENISA ランサムウェアについての脅威状況

こんにちは、丸山満彦です。

ENISAが過去のランサムウェア被害を分析した報告書を公表していますね。学ぶことが多いように思います。。。

● ENISA

・2022.07.29 Ransomware: Publicly Reported Incidents are only the tip of the iceberg

・2022.07.29 ENISA Threat Landscape for Ransomware Attacks

・[PDF]

1. INTRODUCTION	1. はじめに
2. FOCUS ON RANSOMWARE	2. ランサムウェアへの注目
2.1 DEFINING RANSOMWARE	2.1 ランサムウェアの定義
2.2 TYPES OF RANSOMWARE	2.2 ランサムウェアの種類
2.3 LEDS ACTIONS	2.3 導入されたアクション
2.3.1 Lock	2.3.1 ロック
2.3.2 Encrypt	2.3.2 暗号化
2.3.3 Delete	2.3.3 削除
2.3.4 Steal	2.3.4 窃盗
2.4 ASSETS TARGETED BY RANSOMWARE	2.4 ランサムウェアの標的となる資産
3. RANSOMWARE LIFE CYCLEE	3. ランサムウェアのライフサイクル
3.1 INITIAL ACCESS	3.1 初期アクセス
3.2 EXECUTION	3.2 実行
3.3 ACTION ON OBJECTIVES	3.3 目標達成のための行動
3.4 BLACKMAIL	3.4 ブラックメール
3.5 RANSOM NEGOTIATION	3.5 身代金交渉
4. RANSOMWARE BUSINESS MODELS	4. ランサムウェアのビジネスモデル
4.1 INDIVIDUAL ATTACKERS	4.1 個人攻撃者
4.2 GROUP THREAT ACTORS	4.2 グループ脅威アクター
4.3 RANSOMWARE-AS-A-SERVICE	4.3 ランサムウェア・アズ・ア・サービス
4.4 DATA BROKERAGE	4.4 データ仲介者
4.5 NOTORIETY AS KEY TO A SUCCESSFUL RANSOMWARE BUSINESS	4.5 ランサムウェアビジネスの成功の鍵となる悪評
5. ANALYSIS OF RANSOMWARE INCIDENTS	5. ランサムウェアインシデントの分析
5.1 DATA SAMPLING TECHNIQUE	5.1 データサンプリング技術
5.2 STATISTICS ABOUT THE INCIDENTS	5.2 インシデントに関する統計
5.3 VOLUME OF DATA STOLEN	5.3 盗まれたデータ量
5.4 AMOUNT OF LEAKED DATA	5.4 漏えいしたデータ量
5.5 TYPE OF LEAKED DATA	5.5 漏えいしたデータの種類
5.6 PERSONAL DATA	5.6 個人情報
5.7 NON-PERSONAL DATA	5.7 非個人情報
5.8 INCIDENTS PER COUNTRY	5.8 国別インシデント
5.9 INITIAL ACCESS TECHNIQUES	5.9 初期アクセス技術
5.10 PAID RANSOM	5.10 身代金支払額
5.11 INCIDENTS IN EACH TYPE OF SECTOR	5.11 各業種におけるインシデント
5.12 NUMBER OF INCIDENTS CAUSED BY EACH THREAT ACTOR	5.12 各脅威アクターが引き起こしたインシデント数
5.13 TIMELINE OF RANSOMWARE INCIDENTS	5.13 ランサムウェア・インシデントのタイムライン
6. RECOMMENDATIONS	6. 推奨事項
6.1 RESILIENCE AGAINST RANSOMWARE	6.1 ランサムウェアへの耐性
6.2 RESPONDING TO RANSOMWARE	6.2 ランサムウェアへの対応
7. CONCLUSIONS	7. 結論
7.1 LACK OF RELIABLE DATA	7.1 信頼できるデータの欠如
7.2 THREAT LANDSCAPE	7.2 脅威の状況
APPENDIX A: NOTABLE INCIDENTS	附属書A：注目すべきインシデント
A.1 COLONIAL PIPELINE RANSOMWARE INCIDENT	A.1 コロニアルパイプライン・ランサムウェア事件
A.2 KASEYA	A.2 KASEYA

EXECUTIVE SUMMARY	エグゼクティブサマリー
During the last decade ransomware has become one of the most devastating types of attacks, impacting organisations of all sizes worldwide. Quickly adapting to new business models with advanced threat actors leveraging the cybercrime ecosystem for a better distribution of labour, ransomware has managed to increase its reach and impact significantly. No business is safe.	過去10年間、ランサムウェアは最も破壊的なタイプの攻撃の1つとなり、世界中のあらゆる規模の組織に影響を及ぼしてきた。高度な脅威を持つ企業がサイバー犯罪のエコシステムを活用し、より良い労働力を分配することで、新しいビジネスモデルに素早く適応し、ランサムウェアはその範囲と影響を大幅に拡大させることに成功した。どの企業も安全ではない。
This report aims to bring new insights into the reality of ransomware incidents through mapping and studying ransomware incidents from May 2021 to June 2022. The findings are grim. Ransomware has adapted and evolved, becoming more efficient and causing more devastating attacks. Businesses should be ready not only for the possibility of their assets being targeted by ransomware but also to have their most private information stolen and possibly leaked or sold on the Internet to the highest bidder.	本報告書は、2021年5月から2022年6月までのランサムウェア・インシデントをマッピングして調査することで、ランサムウェア・インシデントの実態に新たな知見をもたらすことを目的としている。調査結果は厳しいものである。ランサムウェアは適応と進化を遂げ、より効率的になり、より壊滅的な攻撃を引き起こすようになった。企業は、自社の資産がランサムウェアに狙われる可能性だけでなく、最もプライベートな情報が盗まれ、インターネット上で最も高い入札者に漏えいまたは売却される可能性があることに備える必要がある。
The main highlights of the report include the following:	本報告書の主な内容は以下のとおりである。
• A novel LEDS matrix (Lock, Encrypt, Delete, Steal) that accurately maps ransomware capabilities based on the actions performed and assets targeted;	• ランサムウェアの能力を、実行されたアクションと標的となった資産に基づいて正確にマッピングする、新しいLEDSマトリクス（ロック：Lock, 暗号化：Encrypt, 削除：Delete, 窃盗：Steal）である。
• A detailed and in-depth analysis of the ransomware life cycle: initial access, execution, action on objectives, blackmail, and ransom negotiation;	• ランサムウェアのライフサイクル（初期アクセス、実行、目標達成のための行動、脅迫、身代金交渉）を詳細かつ徹底的に分析する。
• Collection and in-depth analysis of 623 ransomware incidents from May 2021 to June 2022;	• 2021年5月から2022年6月までのランサムウェア623件のインシデントの収集と詳細な分析。
• More than 10 terabytes of data stolen monthly by ransomware from targeted organisations;	• ランサムウェアによって、標的となった組織から毎月10テラバイト以上のデータが盗まれている。
• Approximately 58.2% of all the stolen data contains GDPR personal data based on this analysis;	• この分析に基づき、盗まれたデータ全体の約58.2%にGDPRの個人データが含まれている。
• In 95.3% of the incidents it is not known how threat actors obtained initial access into the target organisation;	• 95.3%のインシデントにおいて、脅威アクターがターゲット組織への最初のアクセスをどのように取得したかは分かっていない。
• It is estimated that more than 60% of affected organisations may have paid ransom demands;	• 被害を受けた組織の60％以上が身代金要求額を支払った可能性があると推定されている。
• At least 47 unique ransomware threat actors were found.	• 少なくとも47のユニークなランサムウェアの脅威アクターが発見された。
The report also highlights issues with the reporting of ransomware incidents and the fact that we still have limited knowledge and information regarding such incidents. The analysis in this report indicates that publicly disclosed incidents are just the tip of the iceberg.	また、ランサムウェアのインシデントの報告に関する問題や、そのようなインシデントに関する知識や情報がまだ限られているという事実も浮き彫りになっている。本報告書の分析によると、一般に公開されているインシデントは氷山の一角に過ぎないことがわかる。
Along with a general recommendation to contact the competent cybersecurity authorities and law enforcement in cases of ransomware attacks, several other recommendations are put forward, both to build resilience against such attacks and to mitigate their impact.	ランサムウェアに感染した場合、管轄のサイバーセキュリティ当局や法執行機関に連絡するよう一般的に推奨しているほか、こうした攻撃に対する耐性を高め、その影響を軽減するためのいくつかの推奨事項を提示している。

1. INTRODUCTION	1. イントロダクション
The threat of ransomware has consistently ranked at the top in the ENISA Threat Landscape for the past few years and, in particular, in 2021 it was assessed as being the prime cybersecurity threat across the EU^[1]. Motivated mainly by greed for money, the ransomware business model has grown exponentially in the last decade^[2] and it is projected to cost more than $10 trillion by 2025^[3]. The evolution of the business model to a more specialised and organised distribution of labour through a cybercrime-as-a-service model has turned ransomware into a commodity. Nowadays, it seems simpler for anyone with basic technical skills to quickly perform ransomware attacks. The introduction of cryptocurrency, the fact that affected companies actually do pay the ransom, and the more efficient division of work, have greatly fuelled the growth of ransomware, generating a catastrophic global effect⁴,^[4].	ランサムウェアの脅威は、過去数年間、ENISAの脅威状況で常に上位にランクされており、特に2021年には、EU全域でサイバーセキュリティの主要な脅威であると評価された^[1] 。主に金銭欲を動機とするランサムウェアのビジネスモデルは、過去10年間で指数関数的に成長し、^[2] 、2025年までに10兆円以上の費用がかかると予測されている。^[3] .ビジネスモデルが、サイバー犯罪・アズ・ア・サービス・モデルを通じて、より専門的かつ組織的な労働力の分配へと進化したことで、ランサムウェアは商品と化した。現在では、基本的な技術力があれば、誰でもすぐにランサムウェア攻撃を実行できるようになり、よりシンプルになったと思われる。暗号通貨の導入、被害を受けた企業が実際に身代金を支払うという事実、そしてより効率的な分業が、ランサムウェアの成長を大いに促進し、世界的に壊滅的な影響を生み出している^[4] ^[5].
Even though ransomware is not new, technologies evolve and with them so do attacks and vulnerabilities, thus pressurising organisations to be always prepared for a ransomware attack. In many cases, staying in business requires difficult decisions, such as paying or not paying the ransom[5], since this money ends up fuelling ransomware activities. This is despite year-long and consistent recommendation not to pay ransom demands and to contact the relevant cybersecurity authorities to assist in handling such incidents.	ランサムウェアは新しいものではないが、技術は進化し、それに伴い攻撃や脆弱性も進化するため、組織は常にランサムウェア攻撃への備えをする必要に迫られている。多くの場合、ビジネスを継続するためには、身代金を払うか払わないかといった難しい決断が必要である。[6] このお金は結局ランサムウェアの活動を助長することになるためである。これは、身代金要求を支払わないこと、およびそのようなインシデントの処理を支援するために関連するサイバーセキュリティ当局に連絡することを、1年前から一貫して推奨しているにもかかわらず、である。
This report brings new insights into the ransomware threat landscape through a careful study of 623 ransomware incidents from May 2021 to June 2022. The incidents were analysed in-depth to identify their core elements, providing answers to some important questions such as how do the attacks happen, are ransom demands being paid and which sectors are the most affected. The report focuses on ransomware incidents and not on the threat actors or tools, aiming to analyse ransomware attacks that actually happened as opposed to what could happen based on ransomware capabilities. This ransomware threat landscape has been developed on the basis of the recently published ENISA Cybersecurity Threat Landscape Methodology[6].	本報告書は、2021年5月から2022年6月までの623件のランサムウェア・インシデントを慎重に調査することで、ランサムウェアの脅威の状況に新たな洞察をもたらしている。インシデントを詳細に分析してその中核要素を特定し、攻撃がどのように発生するのか、身代金要求は支払われているのか、どの部門が最も影響を受けているのかといった重要な質問に対する答えを提供している。この報告書では、脅威の主体やツールではなく、ランサムウェアのインシデントに焦点を当て、ランサムウェアの能力に基づいて起こりうることではなく、実際に起こったランサムウェア攻撃を分析することを目的としている。このランサムウェアの脅威の状況は、最近発表されたENISA Cybersecurity Threat Landscape Methodology に基づいて作成されたものである。 [7]
The report starts by clearly defining what ransomware is since it has proven to be an elusive concept spanning various dimensions and including different stages. The definition is followed by a novel description of the types of ransomware that breaks the traditional classification and instead focuses on the four actions performed by ransomware, i.e. Lock, Encrypt, Delete, Steal (LEDS), and the assets at which these actions are aimed. By defining the types of ransomware, it is then possible to study the life cycle of ransomware and its business models. This characterisation of ransomware leads into the core of this report which is the deep analysis of 623 incidents and its summary in precise statistics. The report ends by highlighting recommendations for readers and key conclusions.	本報告書では、まず、ランサムウェアとは何かを明確に定義することから始める。この定義に続いて、ランサムウェアの種類について、従来の分類を破り、ランサムウェアが実行する4つのアクション、すなわち、ロック、暗号化、削除、窃盗（LEDS）、およびこれらのアクションが対象とする資産に焦点を当てた、新しい説明が行う。そして、ランサムウェアの種類を定義することで、ランサムウェアのライフサイクルとそのビジネスモデルを研究することが可能になる。このようにランサムウェアの特徴を把握することで、623件のインシデントを詳細に分析し、正確な統計としてまとめた本報告書の核心に迫ることができる。報告書の最後には、読者への提言と主要な結論を強調している。
The report is structured as follows:	報告書の構成は以下の通りである。
• Chapter 1, Introduction, provides a brief introduction to the problem of ransomware attacks and the dedicated ENISA ransomware threat landscape report;	• 第1章「はじめに」では、ランサムウェア攻撃の問題点と、専用のENISAランサムウェア脅威状況報告書について簡単に紹介している。
• Chapter 2, Focus on Ransomware, discusses what ransomware is and its key elements, as well as proposing the LEDS matrix to accurately map ransomware capabilities based on the actions performed and assets targeted;	• 第2章「ランサムウェアにフォーカス」では、ランサムウェアとは何か、その主要な要素について説明するとともに、ランサムウェアの能力を、実行されるアクションと標的となる資産に基づいて正確にマッピングするためのLEDSマトリックスを提案している。
• Chapter 3, Ransomware Life Cycle, gives a detailed overview of the life cycle of a ransomware attack;	• 第3章「ランサムウェアのライフサイクル」では、ランサムウェア攻撃のライフサイクルの概要を詳しく解説している。
• Chapter 4, Ransomware Business Models, discusses the evolution of ransomware business models and how trust is the key to the ransomware business;	• 第4章「ランサムウェアのビジネスモデル」では、ランサムウェアのビジネスモデルの進化と、信頼がランサムウェアビジネスの鍵になることを解説している。
• Chapter 5, Analysis of Ransomware Incidents, presents a detailed study of ransomware incidents from May 2021 to June 2022, including a timeline of incidents;	• 第5章「ランサムウェア・インシデントの分析」では、2021年5月から2022年6月までのランサムウェア・インシデントを時系列で詳細に調査した結果を紹介している。
• Chapter 6, Recommendations, provides high-level recommendations to better protect against ransomware incidents;	• 第6章「推奨事項」では、ランサムウェア・インシデントからより良く保護するためのハイレベルな推奨事項を記載している。
• Chapter 7, Conclusions, highlights the most important conclusions of the study and how they can potentially impact the future of the threat landscape.	• 第 7 章「結論」では、本調査の最も重要な結論と、それが今後の脅威の状況にどのような影響を与える可能性があるかについて述べている。

[1] See https://www.enisa.europa.eu/publications/enisa-threat-landscape-2021 , October 2021

[2] ‘2021 Trends Show Increased Globalized Threat of Ransomware | CISA’. https://www.cisa.gov/uscert/ncas/alerts/aa22 040a (accessed Jul. 02, 2022)

[3] Cybercrime To Cost The World $10.5 Trillion Annually By 2025’, Cybercrime Magazine, Dec. 08, 2018. https://cybersecurityventures.com/cybercrime-damages-6-trillion-by-2021/ (accessed Jul. 02, 2022) ⁴ Kaseya VSA ransomware attack’, Wikipedia. Apr. 07, 2022. Accessed: Jul. 02, 2022. [Online]. Available: https://en.wikipedia.org/w/index.php?title=Kaseya_VSA_ransomware_attack&oldid=1081509343

[4] J. Dossett, ‘A timeline of the biggest ransomware attacks’, CNET. https://www.cnet.com/personal-finance/crypto/a timeline-of-the-biggest-ransomware-attacks/ (accessed Jul. 02, 2022)

[5] ‘83% of ransomware victims paid ransom: Survey’, ZDNet. https://www.zdnet.com/article/83-of-ransomware-victims-paid ransom-survey/ (accessed Jul. 02, 2022)

[6] https://www.enisa.europa.eu/news/enisa-news/how-to-map-the-cybersecurity-threat-landscape-follow-the-enisa-6-step methodology

7. CONCLUSIONS	7. 結論
The analysis of the ransomware threat landscape from May 2021 to June 2022 resulted in some conclusions that can be regarded as takeaways for the community.	2021年5月から2022年6月までのランサムウェアの脅威状況を分析した結果、コミュニティにとって収穫とみなせる結論がいくつか得られた。
7.1 LACK OF RELIABLE DATA	7.1 不確実なデータ
In general, ransomware security incidents are seldom reported. Most organisations prefer to deal with the problem internally and avoid bad publicity. Some countries have laws regulating the mandatory reporting of incidents, but in most cases a security attack is first disclosed by the attacker.	一般に、ランサムウェアのセキュリティインシデントが報告されることはほとんどない。ほとんどの組織は、問題を社内で処理し、悪い評判を避けることを望んでいる。国によっては、インシデントの報告義務を規定する法律がありますが、ほとんどの場合、セキュリティ攻撃は攻撃者によって最初に公表される。
A recent legislative initiative in the United States requires the reporting of all security incidents and ransom payments to the Department of Justice Cybersecurity and Infrastructure Security Agency (CISA)^[1]. In the EU, the arrival of the revised Network and Information Security Directive 2^[2] and the enhanced notification provisions for security incidents is expected to support a better understanding of relevant incidents.	米国では最近、すべてのセキュリティインシデントと身代金の支払いを司法省サイバーセキュリティおよびインフラセキュリティ局（CISA）^[1] に報告することを義務付ける法律が制定された。EUでは、改訂されたネットワークと情報セキュリティ指令2^[2] の到来とセキュリティインシデントの通知規定の強化により、関連インシデントの理解を深めるサポートが期待されている。
The lack of reliable data from targeted organisations makes it very hard to fully understand the problem or even know how many ransomware cases there are. To this day, the most reliable sources for finding out which organisations have been infected are the web pages of the ransomware threat actors. This lack of transparency is not good for the industry, since the majority of the data leaked, as was found in this report, is personal data that belongs to employees and customers.	標的となる組織からの信頼できるデータがないため、問題を完全に理解することはもちろん、ランサムウェアの件数を把握することすら非常に困難である。今日に至るまで、どの組織が感染したかを知るための最も信頼できる情報源は、ランサムウェアの脅威を仕掛ける側のWebページなのである。この報告書にあるように、漏えいしたデータの大半は従業員や顧客の個人情報であるため、このような透明性の欠如は業界にとって好ましいことではない。
Even using the data from the web pages of threat actors (an undeniably unreliable source), it is very hard to keep track of the number of attacks, particularly because a large majority is ignored by the media, goes unreported by the victims and gets no coverage. The most important information that is missing is the technical explanation as to how the attackers obtained access to the targets. This is usually private data that describes the security posture of the target, so it is never shared with the public. As a consequence, our learning as a community of the problems to be solved remains fragmented and isolated.	特に、その大部分がメディアによって無視され、被害者によっても報告されず、報道されないため、脅威アクターのウェブページからのデータ（紛れもなく信頼できないソース）を使用しても、攻撃の数を追跡することは非常に困難である。最も重要な情報は、攻撃者がどのようにしてターゲットにアクセスしたかという技術的な説明である。これは通常、ターゲットのセキュリティ状況を説明するプライベートなデータであるため、一般に公開されることはない。その結果、解決すべき問題についてのコミュニティとしての学習は、断片的で孤立したままになっている。
Lastly, the trend in RaaS makes it hard to identify the threat actor behind an attack, since now the ransomware tool and command and control are shared between many different affiliates and threat actor groups.	最後に、RaaSのトレンドは、ランサムウェアツールとコマンド＆コントロールが多くの異なる関連会社や脅威アクターグループの間で共有されているため、攻撃の背後にいる脅威アクターを特定することが困難になっている。
7.2 THREAT LANDSCAPE	7.2 脅威の風景
The study conducted on ransomware attacks from May 2021 to June 2022 showed that on average more than 10 terabytes of data a month were stolen by ransomware threat actors. Our research shows that 58.2% of the stolen data contains personal data from employees. Given the sensitivity of such data, coordinated actions are needed to counter this threat. Ransomware threat actors are motivated mostly in terms of the acquisition of money, which increases the complexity of the attacks and, of course, the capabilities of the adversaries.	2021年5月から2022年6月にかけて行われたランサムウェア攻撃に関する調査では、月平均10テラバイト以上のデータがランサムウェア脅威アクターに窃取されていることがわかった。当社の調査によると、盗まれたデータの58.2%に従業員の個人データが含まれている。このようなデータの機密性を考えると、この脅威に対抗するためには協調的な行動が必要である。ランサムウェアの脅威アクターは、金銭の獲得を主な動機としているため、攻撃の複雑さが増し、もちろん敵の能力も向上する。
In 94.2% of the incidents it is not known whether the company paid the ransom or not. However, 37.88% of the incidents had their data leaked on the webpages of the attackers, indicating that the ransom negotiations failed. This allows us to estimate that approximately 62.12% of the companies might somehow have come to an agreement or solution concerning the ransom demand.	94.2%のインシデントにおいて、企業が身代金を支払ったかどうかは不明である。しかし、37.88％のインシデントでは、攻撃者のWebページにデータが漏えいしており、身代金交渉が失敗したことを示している。このことから、約62.12%の企業が身代金要求に関して何らかの合意や解決に至った可能性があると推定される。
Ransomware is thriving, and our research shows that threat actors are conducting indiscriminate attacks. Companies of every size across all sectors are affected. Anyone can become a target. We urge organisations to prepare for ransomware attacks and consider possible consequences before attacks occur.	ランサムウェアが盛んになり、脅威アクターが無差別に攻撃していることが当社の調査で明らかになった。あらゆる分野のあらゆる規模の企業が被害を受けている。誰もがターゲットになり得るのである。私たちは、組織がランサムウェアの攻撃に備え、攻撃が発生する前に起こりうる結果を考慮することを強く推奨する。

・[DOCX] 仮訳

2022.08.01 07:09 in 情報セキュリティ / サイバーセキュリティ, in 個人情報保護 / プライバシー, in フォレンジック, in ウイルス, in 法律 / 犯罪, in 内部統制 / リスクマネジメント, in 危機管理 / 事業継続, in 暗号 / 電子署名 / ブロックチェーン | Permalink | Comments (0)
Tweet

サイト内検索

Recent Posts

Recent Comments

Recent Trackbacks

連載 (ITmedia)

ウェブページ

August 2022

2022.08.31

2022.08.30

2022.08.29

2022.08.28

2022.08.27

2022.08.26

2022.08.25

2022.08.24

2022.08.23

2022.08.22

2022.08.21

2022.08.20

2022.08.19

2022.08.18

2022.08.17

2022.08.16

2022.08.15

2022.08.14

2022.08.13

2022.08.12

2022.08.11

2022.08.10

2022.08.09

2022.08.08

2022.08.07

2022.08.06

2022.08.05

2022.08.04

2022.08.03

2022.08.02

2022.08.01

ココログ

まるちゃん

関連団体

情報法関連Blog

情報法 Web

セキュリティ Blog

セキュリティ web

内部統制