« August 2022 | Main | October 2022 »

September 2022

2022.09.30

日本ファクトチェックセンター

こんにちは、丸山満彦です。

AI等を利用したFake画像、動画は本物と偽物の区別が直ちにわからないくらいに精巧に作られるようになってきた。そのようなFake画像、動画が何らかの意図を持って拡散され、それで世論を意図した方向に導こうとする者もいるかもしれません。その意図は、単なる悪戯心の場合もあるだろうし、国家転覆を企んでいることもあるかもしれません。しかし、その意図は簡単にはわからない。

拡散されている情報が本物か、偽物かを見極められるようにすることは時には非常に重要となりそうです。

このような情報のFACTチェックをする団体が設立されましたね(一般社団法人セーファーインターネット協会(SIA) 内に)。。。

今後の活躍に期待したいところですし、このような活動を海外にも広げて欲しいですね。。。

 

日本ファクトチェックセンター

・[PDF] ファクトチェックガイドライン

Profile_683e0bd45f506a3161f3d60279dbbac8

| | Comments (0)

欧州委員会 AI責任指令案

こんにちは、丸山満彦です。

欧州委員会から、AI責任指令の案が公表されていますね。。。AI法の審議は別途進んでいます。AIの責任についての規制は、RegulationではなくDirectiveです。。。各国の責任に関する法律の違いが大きいのが理由のようです。

立証責任の問題は確かに難しい問題なのかもしれません。。。

 

EU Commission

・2022.09.28 New liability rules on products and AI to protect consumers and foster innovation

New liability rules on products and AI to protect consumers and foster innovation 消費者を保護し、イノベーションを促進するための製品およびAIに関する新たな責任ルール
Today, the Commission adopted two proposals to adapt liability rules to the digital age, circular economy and the impact of global value chains. Firstly, it proposes to modernise the existing rules on the strict liability of manufacturers for defective products (from smart technology to pharmaceuticals). The revised rules will give businesses legal certainty so they can invest in new and innovative products and will ensure that victims can get fair compensation when defective products, including digital and refurbished products, cause harm. Secondly, the Commission proposes for the first time a targeted harmonisation of national liability rules for AI, making it easier for victims of AI-related damage to get compensation. In line with the objectives of the AI White Paper and with the Commission's 2021 AI Act proposal, setting out a framework for excellence and trust in AI – the new rules will ensure that victims benefit from the same standards of protection when harmed by AI products or services, as they would if harm was caused under any other circumstances. 本日、欧州委員会は、デジタル時代、循環型経済、グローバルなバリューチェーンの影響に賠償責任規則を適応させるための2つの提案を採択した。まず、欠陥製品(スマートテクノロジーから医薬品まで)に対する製造者の厳格責任に関する現行の規則を近代化することを提案している。改正された規則は、企業に法的確実性を与えて、新製品や革新的な製品への投資を可能にするとともに、デジタル製品や再生製品を含む欠陥製品が損害を与えた場合に、被害者が公正な補償を受けられるようにするものである。第二に、欧州委員会は、AIに関連する損害の被害者が補償を受けることを容易にするため、AIに関する各国の責任規則を的を絞って調和させることを初めて提案する。AI白書の目的と、AIにおける卓越性と信頼のための枠組みを定めた欧州委員会の2021年AI法の提案に沿って、新規則は、AI製品やサービスによって被害を受けた場合、被害者が他の状況で被害を受けた場合と同じ水準の保護の恩恵を受けられることを保証するものである。
Revised Product Liability Directive, fit for the green and digital transition and global value chains グリーン・デジタル移行とグローバル・バリューチェーンに適合する製造物責任指令の改訂版
The revised Directive modernises and reinforces the current well-established rules, based on the strict liability of manufacturers, for the compensation of personal injury, damage to property or data loss caused by unsafe products, from garden chairs to advanced machinery. It ensures fair and predictable rules for businesses and consumers alike by: 改正された指令は、製造者の厳格責任に基づき、ガーデンチェアから高度な機械まで、安全でない製品によって引き起こされた人身事故、物的損害、データ損失の補償に関する、現在確立されている規則を近代化し、強化するものである。これにより、企業と消費者双方にとって、公平で予測可能なルールが保証される。
•  Modernising liability rules for circular economy business models: by ensuring that liability rules are clear and fair for companies that substantially modify products. ・循環型経済ビジネスモデルのための責任ルールの近代化:製品を大幅に改良する企業にとって、責任ルールが明確かつ公正であることを保証すること。
•  Modernising liability rules for products in the digital age: allowing compensation for damage when products like robots, drones or smart-home systems are made unsafe by software updates, AI or digital services that are needed to operate the product, as well as when manufacturers fail to address cybersecurity vulnerabilities. ・デジタル時代の製品のための責任ルールの近代化:ロボット,ドローン,スマートホームシステムなどの製品が、製品の操作に必要なソフトウェアアップデート、AI、デジタルサービスによって安全でなくなった場合や、メーカーがサイバーセキュリティの脆弱性に対処しなかった場合の損害賠償を可能にする。
•  Creating a more level playing field between EU and non-EU manufacturers: when consumers are injured by unsafe products imported from outside the EU, they will be able to turn to the importer or the manufacturer's EU representative for compensation. ・EU域外のメーカーとの間により公平な競争条件を設ける:EU域外から輸入された安全でない製品によって消費者が損害を受けた場合、輸入業者またはメーカーのEU代理店に賠償を求めることができるようになる。
•  Putting consumers on an equal footing with manufacturers: by requiring manufacturers to disclose evidence, by introducing more flexibility to the time restrictions to introduce claims, and by alleviating the burden of proof for victims in complex cases, such as those involving pharmaceuticals or AI. ・消費者を製造業者と対等な立場に置く:製造業者に証拠の開示を義務付けること、請求権導入の時間的制約をより柔軟にすること、医薬品やAIなど複雑なケースにおける被害者の立証負担を軽減することで製造業者と対等な立場に置く。
Easier access to redress for victims AI Liability Directive 被害者の救済へのアクセスを容易にする AI責任指令
The purpose of the AI Liability Directive is to lay down uniform rules for access to information and alleviation of the burden of proof in relation to damages caused by AI systems, establishing broader protection for victims (be it individuals or businesses), and fostering the AI sector by increasing guarantees. It will harmonise certain rules for claims outside of the scope of the Product Liability Directive, in cases in which damage is caused due to wrongful behaviour. This covers, for example, breaches of privacy, or damages caused by safety issues. The new rules will, for instance, make it easier to obtain compensation if someone has been discriminated in a recruitment process involving AI technology. AI責任指令の目的は、AIシステムによる損害に関連して、情報へのアクセスや立証責任の軽減に関する統一ルールを定め、(個人・企業を問わず)被害者の保護を拡大し、保証を増やすことでAI分野を育成することである。不正行為により損害が生じた場合の製造物責任指令の範囲外の請求に関する一定のルールを調和させることになる。これは、例えば、プライバシーの侵害や、安全性の問題による損害などを対象としている。新しい規則により、例えば、AI技術を含む採用プロセスで差別を受けた場合、賠償金を得ることが容易になる。
The Directive simplifies the legal process for victims when it comes to proving that someone's fault led to damage, by introducing two main features: first, in circumstances where a relevant fault has been established and a causal link to the AI performance seems reasonably likely, the so called ‘presumption of causality' will address the difficulties experienced by victims in having to explain in detail how harm was caused by a specific fault or omission, which can be particularly hard when trying to understand and navigate complex AI systems. Second, victims will have more tools to seek legal reparation, by introducing a right of access to evidence from companies and suppliers, in cases in which high-risk AI is involved. この指令は、2つの主要な特徴を導入することにより、誰かの過失が損害につながったことを証明する際の被害者の法的手続きを簡素化する:第一に、関連する過失が立証され、AIの性能との因果関係が合理的にありそうな状況では、いわゆる「因果関係の推定」が、被害者が経験する、特定の過失によってどのように被害が生じたかを詳細に説明しなければならない困難さに対処することになり、これは複雑なAIシステムを理解し操作しようとすると特に困難となる場合がある。第二に、リスクの高いAIが関与している場合に、企業やサプライヤーから証拠を入手する権利を導入することで、被害者は法的賠償を求めるための手段をより多く得ることができるようになる。
The new rules strike a balance between protecting consumers and fostering innovation, removing additional barriers for victims to access compensation, while laying down guarantees for the AI sector by introducing, per instance, the right to fight a liability claim based on a presumption of causality. 新ルールは、消費者保護とイノベーションの促進を両立させ、被害者が賠償にアクセスするための新たな障壁を取り除く一方で、例えば因果関係の推定に基づく賠償請求に対抗する権利を導入するなど、AI分野への保証を定めている。
Members of the College said: 同カレッジのメンバーは次のように述べている。
 Vice-President for Values and Transparency, Věra Jourová said: “We want the AI technologies to thrive in the EU. For this to happen, people need to trust digital innovations. With today's proposal on AI civil liability we give customers tools for remedies in case of damage caused by AI so that they have the same level of protection as with traditional technologies and we ensure legal certainty for our internal market.”  価値と透明性担当の副学長であるVěra Jourováは、次のように述べている。 「私たちは、AI技術がEUで繁栄することを望んでいる。そのためには、人々がデジタル・イノベーションを信頼する必要があります。本日のAIの民事責任に関する提案により、我々はAIによって損害が発生した場合の救済のためのツールを顧客に提供し、顧客が従来の技術と同じレベルの保護を受けられるようにするとともに、我々の域内市場の法的確実性を確保する。」
Commissioner for Internal Market, Thierry Breton, said: “The Product Liability Directive has been a cornerstone of the internal market for four decades. Today's proposal will make it fit to respond to the challenges of the decades to come. The new rules will reflect global value chains, foster innovation and consumer trust, and provide stronger legal certainty for businesses involved in the green and digital transition.” ティエリ・ブルトン域内市場担当委員は、次のように述べている。 「製造物責任指令は、40年にわたり、域内市場の礎となってきた。本日の提案により、今後数十年の課題に対応できるようになる。新しい規則は、グローバルなバリューチェーンを反映し、イノベーションと消費者の信頼を育み、グリーンおよびデジタル移行に関わる企業により強い法的確実性を提供することになる」
 Commissioner for Justice, Didier Reynders, said: “While considering the huge potential of new technologies, we must always ensure the safety of consumers. Proper standards of protection for EU citizens are the basis for consumer trust and therefore successful innovation. New technologies like drones or delivery services operated by AI can only work when consumers feel safe and protected. Today, we propose modern liability rules that will do just that. We make our legal framework fit for the realities of the digital transformation.”  ディディエ・レインダース司法担当委員は、次のように述べている。 「新技術の大きな可能性を考慮する一方で、我々は常に消費者の安全を確保しなければならない。EU市民のための適切な保護基準は、消費者の信頼、ひいてはイノベーションの成功の基礎となるものである。ドローンやAIによる配送サービスなどの新技術は、消費者が安全で守られていると感じて初めて機能するものである。本日、私たちは、まさにそれを実現する近代的な責任ルールを提案します。私たちは、法的枠組みをデジタル変革の現実に適合させるのである。」
Next steps 次のステップ
The Commission's proposal will now need to be adopted by the European Parliament and the Council. 欧州委員会の提案は、今後、欧州議会と理事会で採択される必要がある。
It is proposed that five years after the entry into force of the AI Liability Directive, the Commission will assess the need for no-fault liability rules for AI-related claims if necessary. AI責任指令の発効から5年後に、欧州委員会は、必要に応じて、AI関連の請求に対する無過失責任規則の必要性を評価することが提案されている。
Background 背景
The current EU rules on product liability, based on the strict liability of manufacturers, are almost 40 years old. Modern rules on liability are important for the green and digital transformation, specifically to adapt to new technologies, like Artificial Intelligence. This is about providing legal certainty for businesses and ensuring consumers are well protected in case something goes wrong. 製造者の厳格責任に基づく現行のEUの製造物責任に関する規則は、約40年前に制定されたものである。グリーン・デジタルトランスフォーメーション、具体的には人工知能のような新しい技術に適応するためには、責任に関する最新の規則が重要である。これは、企業に法的確実性を提供し、何か問題が発生した場合に消費者が十分に保護されるようにするためである。
In her Political Guidelines, President von der Leyen laid out a coordinated European approach on Artificial Intelligence. The Commission has undertaken to promote the uptake of AI and to holistically address the risks associated with its uses and potential damages. フォン・デル・ライアン委員長は、政治的指針の中で、人工知能に関する欧州の協調的アプローチを打ち出した。欧州委員会は、AIの普及を促進し、その利用に伴うリスクと潜在的な損害に総合的に対処することを約束した。
In its White Paper on AI of 19 February 2020, the Commission undertook to promote the uptake of AI and to address the risks associated with some of its uses by fostering excellence and trust. In the Report on AI Liability accompanying the White Paper, the Commission identified the specific challenges posed by AI to existing liability rules. 2020年2月19日付のAI白書において、欧州委員会は、卓越性と信頼を育むことにより、AIの取り込みを促進し、その用途の一部に関連するリスクに対処することを約束した。同白書に添付された「AI責任に関する報告書」の中で、欧州委員会は、既存の責任規定に対してAIがもたらす具体的な課題を特定した。
The Commission adopted its proposal for the AI Act, which lays down horizontal rules on artificial intelligence, focusing on the prevention of damage, in April 2021. The AI Act is a flagship initiative for ensuring safety and trustworthiness of high-risk AI systems developed and used in the EU. It will guarantee the safety and fundamental rights of people and businesses, while strengthening AI uptake, investment and innovation. Today's AI liability package complements the AI Act by facilitating fault-based civil liability claims for damages, laying down a new standard of trust in reparation. 欧州委員会は、損害の防止を中心に人工知能に関する水平的なルールを定めた「AI法」の提案を2021年4月に採択した。AI法は、EU域内で開発・利用される高リスクのAIシステムの安全性と信頼性を確保するための旗印となる取り組みである。これは、人々と企業の安全性と基本的権利を保証するとともに、AIの取り込み、投資、イノベーションを強化するものである。本日のAI責任パッケージは、過失に基づく民事上の損害賠償請求を容易にすることでAI法を補完し、賠償における信頼の新しい基準を打ち立てるものである。
The AI Liability Directive adapts private law to the new challenges brought by AI. Together with the revision of the Product Liability Directive, these initiatives complement the Commission's effort to make liability rules fit for the green and digital transition. AI責任指令は、AIがもたらす新たな課題に私法を適応させるものである。製造物責任指令の改正と合わせて、これらの取り組みは、グリーンおよびデジタル移行に適した責任規則を作ろうとする欧州委員会の取り組みを補完するものである。
For More Information 詳細はこちら
Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence    非契約上の民事責任規則を人工知能に適応させるための指令の提案   
Proposal: Revision of the Product Liability Directive 提案 製造物責任指令(Product Liability Directive)の改正
Questions & Answers: AI Liability Directive 質問と回答 AI賠償責任指令
Questions & Answers: Product Liability Directive 質問と回答 製造物責任指令
Liability rules on Artificial Intelligence 人工知能に関する責任規定
Liability of defective products  欠陥製品の責任 
Commission White Paper on Artificial Intelligence - A European approach to excellence and trust 人工知能に関する欧州委員会の白書 - 卓越性と信頼に対する欧州のアプローチ
Commission Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and robotics 人工知能、モノのインターネット、ロボット工学の安全性と責任への影響に関する欧州委員会の報告書
Expert Group report on Liability for artificial intelligence and other emerging digital technologies 人工知能およびその他の新興デジタル技術に対する責任に関する専門家グループの報告書
Comparative Law Study on Civil Liability for Artificial Intelligence 人工知能の民事責任に関する比較法研究

 

Proposal for a Directive on adapting non contractual civil liability rules to artificial intelligence

・[PDF

20220929-172825

 


ちょっと関連...

 

AI法案

・2021.04.21 Proposal for a REGULATION OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL - LAYING DOWN HARMONISED RULES ON ARTIFICIAL INTELLIGENCE (ARTIFICIAL INTELLIGENCE ACT) AND AMENDING CERTAIN UNION LEGISLATIVE ACTS

 

 

AIに関する調査(人工知能の活用に関する欧州の企業調査)

・2020.09.04 [PDF] (downloaded) European enterprise survey on the use of technologies based on artificial intelligence

20220929-234112

 

AI白書(人工知能に関する白書-卓越性と信頼に対する欧州のアプローチ)

・2020.02.19 [PDF] WHITE PAPER On Artificial Intelligence - A European approach to excellence and trust

20220930-00411


・人工知能、モノのインターネット、ロボット工学の安全性と責任に関する欧州委員会から欧州議会、理事会、経済社会委員会への報告書

・2020.02.19 [PDF] REPORT FROM THE COMMISSION TO THE EUROPEAN PARLIAMENT, THE COUNCIL AND THE EUROPEAN ECONOMIC AND SOCIAL COMMITTEE - Report on the safety and liability implications of Artificial Intelligence, the Internet of Things and robotics

20220930-02102



 

まるちゃんの情報セキュリティ気まぐれ日記

 

AI責任指令関係...

・2022.09.25 英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

 

AI法関係...

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

AIの保証関係...

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定



 

| | Comments (0)

米国 OMB FISMA Report 2021

こんにちは、丸山満彦です。

米国行政管理局(OMB)が2021年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

ポイントは次の3つということのようです...

  1. 2021年度には32,543件のインシデントが報告された(前年度比6%増)。7件が重大インシデントとして報告され、そのうちのいくつかはSolarWindsの攻撃に関連するものであった。
  2. 各機関はサイバー衛生の改善を示しているが、さらなる取り組みが必要。
  3. 各機関は、民間セクターのパートナーと協力して、サイバー攻撃を軽減し、連邦政府のインフラへのリスクを低減する努力を続けている。

 

ちなみに、2020年度のポイントは次の3つでした。。。..

  1. 2020年度には30,819件のインシデントが報告され(前年比8%増)、そのうち6件が重大インシデントとして報告された。
  2. 各機関は、利用可能なサイバー衛生対策の改善を引き続き示しているが、さらなる努力が必要である。
  3. COVID-19パンデミックの際、各省庁はテレワークへの移行に迅速かつ安全に対応することができた。

 

● OMB

・ 2022.09 [PDF] Federal Information Security Modernizaion Act of 2014 - Annual Report to Congress Fiscal Year 2021

20230101-223358

 

目次...

Executive Summary: The State of Federal Cybersecurity エグゼクティブ・サマリー:連邦政府のサイバーセキュリティの現状
Section I: Federal Cybersecurity Activities I章:連邦政府のサイバーセキュリティ活動
A.   Building a Modern Cybersecurity Infrastructure A. 最新のサイバーセキュリティインフラの構築
Office of the National Cyber Director (ONCD) 国家サイバー長官室(ONCD)
Executive Order 14028 (EO 14028) 大統領令14028号 (EO 14028)
B.   Programs and Policy Areas B. プログラムおよび政策分野
Continuous Diagnostics and Mitigation (CDM) 継続的診断・軽減(CDM)
National Cybersecurity Protection System (NCPS) 国家サイバーセキュリティ保護システム(NCPS)
Coordinated Vulnerability Disclosure (CVD) 協調型脆弱性情報開示(CVD)
High Value Assets (HVAs) 高付加価値資産(HVA)
Trusted Internet Connections (TIC) 信頼できるインターネット接続(TIC)
Supply Chain Risk Management サプライチェーン・リスクマネジメント
Binding Operational Directives (BODs) and Emergency Directives (EDs) 拘束力のある運用指示書(BOD)と緊急指示書(ED)
Section II: Federal Cybersecurity Reporting and Analysis II章:連邦政府のサイバーセキュリティ報告および分析
A.   Improvements in Cybersecurity Hygiene A. サイバーセキュリティの衛生面の改善
Cybersecurity Cross-Agency Priority (CAP) Goal Performance サイバーセキュリティの省庁横断的な優先事項 (CAP) 目標の実績
Risk Management Assessments (RMAs) リスクマネジメントアセスメント(RMA)
Independent Assessments 第三者評価 
B.   FY 2021 Information Security Incidents B. 2021年度 情報セキュリティインシデント
Incidents by Vector ベクトル別インシデント 
Incidents by NCISS Priority Level NCISSの優先度別インシデント
Major Incidents 主なインシデント
C.   Cybersecurity Risk Management C. サイバーセキュリティのリスクマネジメント
Integration of Cyber and ERM Programs サイバーとERMの統合プログラム
FY2021 Priority IG Metrics Pilot 2021年度優先IG指標パイロット版
Supply Chain Risk Management IG Assessment サプライチェーンリスクマネジメントIGアセスメント
Overall Cyber Risk Management Summary サイバーリスクマネジメントの全体像
Section III: Senior Agency Official for Privacy (SAOP) Performance Measures III章:プライバシー担当上級機関職員の業績評価指標
A.   Senior Agency Officials for Privacy (SAOPs) and Privacy Programs A. プライバシー担当上級機関職員(SAOPs)とプライバシープログラム
B.   Personally Identifiable Information and Social Security Numbers B. 個人を特定できる情報および社会保障番号
C.   Privacy and the Risk Management Framework C. プライバシーとリスクマネジメントのフレームワーク
D.   Information Technology Systems and Investment D. 情報技術システム・投資
E.   Privacy Impact Assessments E. プライバシー影響評価
F.   Workforce Management F. ワークフォースマネジメント
G.   Breach Response and Privacy G. 情報漏えいへの対応とプライバシー
Appendix I: Agency Cybersecurity Performance Summaries 附属書 I:各機関のサイバーセキュリティパフォーマンスサマリー
CIO Self-Assessments and CIO Ratings CIOセルフアセスメントとCIOレーティング
Independent Assessments and IG Ratings 第三者評価とIGレーティング
Appendix II: Commonly Used Acronyms 附属書IIよく使われる略語

 

エグゼクティブサマリー...

Executive Summary: The State of Federal Cybersecurity  エグゼクティブ・サマリー:連邦政府のサイバーセキュリティの現状 
President Biden took office in January 2021, amid an unprecedented series of large-scale cyber-attacks against software supply chains, key Federal systems, and critical infrastructure. Fiscal Year (FY) 2021 began with the discovery of the SolarWinds software supply chain attack that had been ongoing since FY 2020. A series of Microsoft Exchange Server attacks was discovered less than 2 months after President Biden’s inauguration, and that was followed by the Colonial Pipeline ransomware attack. By the end of FY 2021, Federal agencies had reported a 6% increase in cyber incidents when compared against those reported in FY 2020.  バイデン大統領が就任した2021年1月は、ソフトウェアのサプライチェーン、連邦政府の重要システム、重要インフラに対する前例のない一連の大規模なサイバー攻撃が発生中であった。2021年度は、2020年度から続いていたSolarWindsのソフトウェアサプライチェーン攻撃の発覚で始まりまった。バイデン大統領の就任から2カ月も経たないうちにMicrosoft Exchange Serverへの一連の攻撃が発覚し、それに続いてColonial Pipelineのランサムウェア攻撃も発生した。2021年度末までに、連邦政府機関は、2020年度に報告されたものと比較して、サイバーインシデントが6%増加したと報告している。 
The President responded quickly by moving to strengthen our cybersecurity posture through a series of bold actions. These actions included Executive Order (EO) 14028, as well as a series of subsequent actions by the Office of Management and Budget (OMB), the National Security Council (NSC), and the Cybersecurity and Infrastructure Security Agency (CISA) to protect our digital infrastructure. EO 14028, in particular, represents a paradigm shift for the U.S. Government and recognizes that previous approaches to securing Federal systems have been insufficient.  大統領はこれに素早く対応し、一連の大胆な行動を通じてサイバーセキュリティの態勢を強化するために動き出した。これらの行動には、大統領令(EO)14028や、それに続く行政管理予算局(OMB)、国家安全保障会議(NSC)、サイバーセキュリティおよびインフラセキュリティ局(CISA)によるデジタルインフラ保護のための一連のアクションが含まれている。特に EO 14028 は、米国政府にとってパラダイムシフトを意味し、連邦政府のシステムを保護するためのこれまでのアプローチが不十分であったことを認識するものである。 
Implementation of EO 14028 has upgraded the security posture of Federal civilian executive branch (FCEB) agencies. Leading security practices like zero trust architecture (ZTA), phishing-resistant multi-factor authentication (MFA), and secure software development frameworks are now core parts of FCEB agencies’ digital security strategies.  EO 14028の施行により、連邦政府民間行政機関(FCEB)のセキュリティ態勢は向上した。ゼロ・トラスト・アーキテクチャー(ZTA)、フィッシングに強い多要素認証(MFA)、安全なソフトウェア開発フレームワークなどの先進的なセキュリティ慣行は、現在FCEB機関のデジタルセキュリティ戦略の中核を成している。 
Privacy and cybersecurity are separate but related disciplines, making coordination critical. This report also reflects agencies’ reporting on their privacy performance through their responses to the Senior Agency Official for Privacy (SAOP) metrics.   プライバシーとサイバーセキュリティは別のものであるが、関連する分野であるため、連携が重要である。また、この報告書は、プライバシー担当上級機関職員(SAOP)の測定基準への回答を通じて、各機関がプライバシーのパフォーマンスについて報告したことを反映している。  
FY 2021 Report Key Takeaways:  2021年度報告書 主要なポイント 
32,543 incidents were reported in FY 2021 (6% increase over previous year). Seven were reported as major incidents, several related to the SolarWinds attack.  2021年度には32,543件のインシデントが報告された(前年度比6%増)。7件が重大インシデントとして報告され、そのうちのいくつかはSolarWindsの攻撃に関連するものであった。 
Agencies show improvements in cyber hygiene; however, more work is necessary.  各機関はサイバー衛生の改善を示しているが、さらなる取り組みが必要。 
Agencies continue to work with private sector partners to mitigate cyber attacks and reduce the risk to federal infrastructure.  各機関は、民間セクターのパートナーと協力して、サイバー攻撃を軽減し、連邦政府のインフラへのリスクを低減する努力を続けている。 

 

NCISSのプライオリティレベル  FY 2019  FY 2020  FY2021
未分類
NCISS優先度を提供するために十分な情報が収集されなかったインシデント。
     
471 177 2,384
ベースライン - 無視できる (White)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、国民の信頼に影響を与える可能性が極めて低い。しかし、影響を与える可能性は存在し、さらなる精査が必要である。
     
19,850 19,039 16,783
ベースライン - マイナー (Blue)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性は極めて低い。
     
7,316 10,765 12,766
低 (Green)
国民の健康や安全、国家安全保障、経済安全保障、対外関係、市民的自由、社会的信頼に影響を与える可能性が低い。 
     
938 831 593
中 (Yellow)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に影響を与える可能性がある。
     
6 7 14
高 (Orange)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由、社会的信頼に実証可能な影響をもたらす可能性が高い。
     
0 0 3
重大 (Red)
国民の健康や安全、国家安全保障、経済安全保障、外交関係、市民的自由に重大な影響を与える可能性が高い。
     
0 0 0
緊急事態 (Black)
広範な重要インフラサービスの提供、国家政府の安定、または米国人の生命に差し迫った脅威をもたらす。
     
0 0 0
合計  28,581 30,819 32,543

 

FISMAの評価指標等はCISAのページにあります。。。

CISA

FEDERAL INFORMATION SECURITY MODERNIZATION ACT

 

 

■ このブログ

・2022.09.30 米国 OMB FISMA Report 2021

・2022.08.02 米国 GAO 情報技術とサイバーセキュリティ:省庁の法定要件の実施を監視するためのスコアカードの使用

・2022.03.17 米国 司法省監察局 独占禁止法部門、麻薬取締局のFISMAに基づく内部監査結果

・2022.01.13 米国 GAO ざっとみたところ、各省庁のFISMA要件の実施は各省庁でばらつきがあるようだ...

・2021.05.04 米国 OMB FISMA Report 2020

・2020.06.05 米国行政管理局(OMB)が2019年度版政府機関のサイバーセキュリティーに関する報告書(FISMAレポート)を公表していますね。。。

2011.05.29 NIST 2010 Computer Security Division Annual Report

2009.12.25 連邦機関による年次FISMAレポートのメトリックに関するコメントを要求するOMB

2009.05.08 GAO GAO Federal Information System Controls Audit Manual(FISCAM)

・2008.05.23 米国政府 セキュリティ評価関係 2007(2) 総合評価はC <= C-

・2008.04.15 米国政府 セキュリティ評価関係 2007

・2007.06.14 米国会計検査院 連邦政府機関の情報セキュリティ管理は依然として不十分

・2007.04.15 米国政府 情報セキュリティ通知簿2006

・2007.04.01 米国政府 セキュリティ評価関係

・2006.03.18 米国政府 情報セキュリティ通知簿2005 2

・2006.03.18 米国政府 OMB Releases Annual FISMA Report

・2006.03.17 米国政府 情報セキュリティ通知簿2005

・2005.02.23 米国政府 情報セキュリティ通知簿2

・2005.02.23 米国政府 情報セキュリティ通知簿

2004.12.08 国家セキュリティ体制 米国の状況・・・

 

・報告書 [Downloded]

| | Comments (0)

2022.09.29

IPA ビジネスメール詐欺(BEC)対策特設ページ

こんにちは、丸山満彦です。

IPAがビジネスメール詐欺(BEC)対策特設ページを開設しています。

IPA

・2022.09.28 ビジネスメール詐欺(BEC)対策特設ページ

 

前から気になっているのが、ビジネスメール詐欺対策の解説です。

多くの解説では、

・普段と異なるメールに注意するとか

・セキュリティ対策(ウイルス対策・不正アクセス対策など)

が強調されるわけですが、、、

最も本質的な対策は、送金についての内部統制なのだろうと思うんですよね。。。

販売周りの不正は、利益調整のための不正、予算達成のための不正が多いのに対して、

購買回りの不正は、金銭不正が多いように思います。

これは昔から。。。内部者が、自分(や自分がコントロールしている他人)の口座に、商品や固定資産等の購入代金を支払わせるという方法や、購買先と結託して、水増し請求をしてもらい、水増しした金額で支払い、購買先から水増し分の一部のキックバックをもらうという方法など、いくつかパターンがあります。

で、ビジネスメール詐欺の対策ですが、最も大事なのは、この支払い段階の不正を無くすことです。

そのためによく取られている対策は、実在性、評価の妥当性、期間配分の適切性を確認するために、

(1)発注部門の承認

(2)経理部門の承認(発注部門での不正を、経理部門が見つける)

(3)支払いのためのアプリケーション統制

となりますね。。。そして、不正が行われないようにするためによく行っている対策は、

・(3)の一部にある、支払い先のマスター管理です。つまり、支払いはあらかじめ登録した口座(支払口座マスターに登録されている口座)にしか払えないようにすることです。例外が生じる場合があると思うのですが、その場合は、取引先への確認(あらかじめ登録されている電話やメールアドレス等に対して)行うことです。

で、これってJ-SOXの業務処理統制ですから、少なくとも財務報告に係る内部統制が有効になっている企業においてはBEC被害はほぼないはずです。逆にいうと高額なBEC詐欺の被害を受けた企業は、財務報告に係る内部統制の不備の結果であることを認識してもらう必要があるかも知れません。。。

サイバーの目線だけで考えると適切なソリューションが見つかりませんね。。。

 

ちなみに、BEC被害はこの2年ほどは下がってきています。。。

● 警察庁

サイバー空間をめぐる脅威の情勢等

3_20220929014901

(出典:警察庁 令和3年におけるサイバー空間をめぐる脅威の情勢等について, 2022.04.07, https://www.npa.go.jp/publications/statistics/cybersecurity/data/R03_cyber_jousei.pdf から作成)

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

| | Comments (0)

ドイツ BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0)

こんにちは、丸山満彦です。

ドイツのBSIが事業継続管理に関する標準 (BS-Standard 200-4 BCM)の第2次ドラフトを公表し、意見募集をしていますね。。。

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.09.19 Zweiter Community Draft (CD 2.0) zum BSI-Standard 200-4 BCM veröffentlicht

Zweiter Community Draft (CD 2.0) zum BSI-Standard 200-4 BCM veröffentlicht BSI標準200-4 BCM第2次コミュニティドラフト(CD 2.0)の発行
Das Bundesamt für Sicherheit in der Informationstechnik (BSI) hat die überarbeitete Version des BSI-Standards 200-4 BCM zur Kommentierung veröffentlicht. Die Entwicklungen im Cyber-Raum der letzten Jahre und globale Krisen haben gezeigt, wie wichtig eine gute Vorbereitung auf diese und Notfälle aller Art ist. Der aktualisierte BSI-Standard 200-4 BCM zeigt auf, wie sich Institutionen auf solche Fälle vorbereiten können. ドイツ連邦情報セキュリティ庁(BSI)は、BSI標準200-4 BCMの改訂版を公開し、コメントを求めています。近年のサイバー空間の発展や世界的な危機は、これらやあらゆる種類の緊急事態に十分備えておくことがいかに重要であるかを示しています。更新されたBSIスタンダード200-4 BCMは、このようなケースに機関がどのように備えることができるかを示しています。
Das BSI hatte bereits den ersten Community Draft des BSI-Standards 200-4 zur Kommentierung zur Verfügung gestellt. Durch das Feedback konnte der Standard weiter verbessert werden. Die grundlegende Methodik und Dokumentenstruktur des ersten Community Drafts des BSI-Standards 200-4 wurde beibehalten. Jedoch haben sich die Struktur des Standards und inhaltliche Details in der aktuellen Version geändert. Daher wird der Standard erneut als Community Draft CD 2.0 zum Download bereitgestellt. BSIは、すでにBSI標準200-4の最初のコミュニティドラフトを公開し、コメントを求めていた。フィードバックにより、この標準はさらに改善される可能性があります。BSI標準200-4の最初のコミュニティドラフトの基本的な方法論と文書構成はそのまま踏襲された。しかし、現行版では標準の構成や内容の詳細が変更されています。そこで、今回もコミュニティドラフト CD 2.0として標準をダウンロードできるようにしました。
Der Community Draft kann bis zum 30. November 2.02.2. kommentiert werden. Derzeit ist geplant, die finale Version des BSI-Standards 200-4- nach Einarbeitung der Kommentare im ersten Quartal des nächsten Jahres zu veröffentlichen. コミュニティ・ドラフトは、2.02.2.年11月30日までコメントを受け付けています。現在、BSI Standard 200-4は、コメントを反映した最終版を来年の第1四半期に発行する予定です。
Zusätzlich stellt das BSI auf seinen Webseiten zahlreiche Hilfsmittel zum Thema BCM bereit. Als weiteres Hilfsmittel wird im Oktober der zum Standard dazugehörige Anforderungskatalog bereitgestellt, der die Anforderungen des Standards listenartig wiedergibt, damit sich Personen mit BCM-Erfahrung ohne Erklärungen direkt auf diese fokussieren können. また、BSIはBCMをテーマとした数多くのツールをホームページで提供しています。また、10月に公開されるもう一つのツールは、標準に付随する要求事項カタログで、BCM経験者が説明なしに直接集中できるように、標準の要求事項を一覧にしています。

 

・2022.09.19 BSI-Standard 200-4 Business Continuity Management - Community Draft

BSI-Standard 200-4 Business Continuity Management - Community Draft BSI標準200-4 事業継続マネジメント(BCM) - コミュニティドラフト
Modernisierter BSI-Standard 200-4 Business Continuity Management BSI標準200-4「事業継続マネジメント」改訂版
Im IT-Grundschutz ist das Thema Business Continuity Management (BCM) bereits seit Jahren fest verankert und bietet mit dem bisherigen BSI-Standard 100-4 zum Notfallmanagement eine fundierte Hilfestellung. Die fortlaufenden Entwicklungen und Erfahrungen in den Bereichen BCM, Notfallmanagement und (IT-)Krisenmanagement sowie mit den angrenzenden BSI-Standards zur Informationssicherheit haben jedoch den Bedarf aufgezeigt, den BSI Standard 100-4 grundsätzlich zu modernisieren. Die Ziele der Modernisierung bestehen vornehmlich darin: 事業継続管理(BCM)は、長年にわたりIT業界の中で確固たる地位を築いており、緊急事態管理に関する従来のBSI標準100-4は、十分な根拠に基づいた支援を行っています。しかし、BCM、緊急事態管理、(IT)危機管理の分野や、情報セキュリティに関する隣接するBSI標準の発展や経験が、BSI標準100-4を根本的に近代化する必要性を示しています。近代化の目標は、主に以下の通りです。
01_20220928125101
Quelle Bundesamt für Sicherheit in der Informationstechnik 出典 連邦情報セキュリティ局
Der BSI-Standard 200-4 bietet eine praxisnahe Anleitung, um ein Business Continuity Management System (BCMS) in der eigenen Institution aufzubauen und zu etablieren. Er ermöglicht so insbesondere unerfahrenen BCM-Anwenderinnen und -Anwendern einen leichten Einstieg in die Thematik. Für erfahrene BCM-Anwenderinnen und -Anwender wird ein normativer Anforderungskatalog zur Verfügung gestellt. Derzeit ist noch keine Zertifizierung zu dem Standard geplant. BSI標準200-4は、自機関の事業継続マネジメントシステム(BCMS)を立ち上げ、確立するための実践的な手順を示しています。特に、BCMの経験が浅い方でも簡単に始められるように配慮しています。BCMの経験者向けに、要求事項の規範的なカタログが提供されています。現在のところ、この標準の認証取得は予定していません。
Der BSI-Standard 200-4 steht unter folgendem Link als Community Draft 2.0 (CD 2.0) zum Download zur Verfügung: BSI標準200-4は、Community Draft 2.0 (CD 2.0)として、以下のリンクからダウンロードすることができます。
BSI-Standard 200-4 – Business Continuity Management CD 2.0 BSI Standard 200-4 - Business Continuity Management CD 2.0.
Auf Basis des Feedbacks zum Community Draft 1.0 des BSI-Standards 200-4 wurden umfangreiche Änderungen vorgenommen und der Community Draft 2.0 des BSI-Standards 200-4 erstellt. Dieser kann bis zum 30.11.2.02.2. kommentiert werden. So möchte das BSI allen Anwendern die erneute Möglichkeit geben, die Änderungen, die sich aus dem bisherigen Feedback ergeben, zu kommentieren, bevor der BSI-Standard 200-4 final veröffentlicht wird. BSI標準200-4のコミュニティドラフト1.0に対するフィードバックを基に、大幅な変更を加え、BSI標準200-4のコミュニティドラフト2.0が作成されました。2.02.2.年11月30日までコメント可能です。このように、BSIはBSI標準200-4の最終発行に先立ち、これまでに寄せられた意見に基づく変更点について、利用者の皆様に改めてコメントをいただく機会を設けたいと考えています。
Übersicht über wesentliche Weiterentwicklungen zum ersten Community Draft 第1次コミュニティ・ドラフトと比較した、さらなる重要な進展の概要
Neue Kapitelstruktur: 新しい章構成:
Der BSI-Standard 200-4 CD 2.0 ist umstrukturiert und so im Umfang deutlich reduziert. Er beschreibt den Aufbau eines BCMS pro Prozessschritt, statt anhand der Stufen Reaktiv-, Aufbau- und Standard-BCMS. Bei den Kapitelüberschriften wird nun differenziert, für welche Stufe die jeweiligen Kapitel benötigt werden, so dass die Stufe auch weiterhin gut erkennbar ist. Hierdurch ist der BSI-Standard 200-4 noch übersichtlicher und es konnten viele Redundanzen entfernt werden. BSI Standard 200-4 CD 2.0は再構築されたため、範囲が大幅に縮小されました。反応型BCMS、構造型BCMS、標準型BCMSという段階を使わず、プロセスステップごとにBCMSの構造を記述しています。各章の見出しは、どのレベルの章が必要かを区別し、レベルがわかりやすいようにしました。これにより、BSI標準200-4はさらに明確になり、多くの冗長性が取り除かれる可能性があります。
Methodik im Wesentlichen unverändert: 方法論は基本的に変更しない:
Aufgrund des positiven Feedbacks und um eine einfache Migration vom bestehenden BSI-Standard 100-4 zu ermöglichen, bleiben die prinzipielle Methodik und die damit verbundene Vorgehensweise sowie das zugrundeliegende Dokumentationsmodell unverändert. Auch die bereits veröffentlichten Hilfsmittel werden nicht wesentlich verändert, sodass die hiermit bereits begonnene Dokumentation leicht fortgeführt werden kann. 好評でもあり、既存のBSI標準100-4からの移行を容易にするため、基本的な手法と関連手順、および基本的な文書モデルは変更されていません。また、すでに公開されているツールも大きくは変更されませんので、これですでにスタートしたドキュメントも容易に継続することができます。
Outsourcing: アウトソーシング:
Die Inhalte des Kapitels 7. „BCM im Rahmen des Outsourcings und von Lieferketten“ aus dem ersten CD sind größtenteils in das Hilfsmittel BC-Strategien (wird derzeit überarbeitet) verschoben. Sie stehen dort gleichwertig neben anderen BC-Strategien im Fall von zeitkritischen Dienstleistungen. Im BSI-Standard 200-4 selbst ist das Thema in den BCM-Prozessen an geeigneten Stellen integriert (BC-Strategien, Soll-Ist-Vergleich, Überprüfungen, etc.), sodass das ursprüngliche Kapitel 7. „BCM im Rahmen des Outsourcings und von Lieferketten“ entfallen konnte. 第1弾CDの第7章「アウトソーシングとサプライチェーンの文脈におけるBCM」の内容は、BC戦略ツール(現在改訂中)にほぼ移管されています。そこで、タイムクリティカルなサービスの場合、他のBC戦略と対等に立ち回ることができる。BSI標準200-4自体では、適切な箇所(BC戦略、目標・実績比較、レビューなど)でBCMプロセスに組み込まれ、当初の第7章「アウトソーシングとサプライチェーンの文脈におけるBCM」を削除することが可能できました。
Weitere Änderungen: その他の変更点:
Neben dem grundsätzlichen, positiven Feedback gab es auch eine Vielzahl, an konstruktiven Kommentaren, die wiederum zu einer Vielzahl von Veränderungen im Detail geführt haben. Diese Änderungen werden hier nicht im Detail aufgezeigt. 基本的でポジティブな意見に加え、建設的な意見も多く、その結果、細部の変更も多く見られました。これらの変更点の詳細については、ここでは記載していません。
An dieser Stelle sei allen Anwenderinnen und Anwendern für die zahlreichen konstruktiven Anmerkungen gedankt. Über Updates zum BSI-Standard 200-4 informiert u.a. der BCM-Newsletter. この時点で、利用者の皆様から数々の建設的なご意見をいただいたことに感謝いたします。BSI Standard 200-4の更新情報は、BCMニュースレターでご覧いただけます。
Bis zur Veröffentlichung des finalen neuen BSI-Standard 200-4 bleibt der BSI-Standard 100-4 gültig. Anwender und Anwenderinnen können ihr BCMS bereits an den aktuellen CD des BSI-Standards 200-4 ausrichten, da in der 2. Kommentierungsphase keine wesentlichen Änderungen der Methodik oder Dokumentation erwartet werden. 最終的な新しい BSI 標準 200-4 が発行されるまでは、BSI 標準 100-4 が引き続き有効です。第2次コメント段階では、方法論や文書に大きな変更はないため、既に、利用者はBSI規格200-4の現行CDとBCMSを整合させることが可能です。
Hilfsmittel zum BSI-Standard 200-4 BSI標準200-4に対する補足
Um den Anwenderinnen und Anwendern die Arbeit und Umsetzung des BSI-Standards 200-4 zu erleichtern, werden zu diesem Standard zahlreiche Hilfsmittel veröffentlicht, wie z. B. weiterführende Aspekte zur Bewältigung oder eine Dokumentvorlage für Wiederanlaufpläne. Diese umfangreichen, bereits im BSI-Standard 200-4 referenzierten Hilfsmittel und die normativen Dokumente werden kontinuierlich auf der Webseite BSI-Standard 200-4 Hilfsmittel veröffentlicht. BSI標準200-4の作業と実施を利用者のために容易にするために、この標準のために、対処のためのさらなる側面や復旧計画のための文書テンプレートなど、多くの補足が公表されています。BSI標準200-4で既に参照されているこれらの広範な補足と、規範となる文書は、BSI標準200-4補足のウェブサイトで継続的に公開されています。

 

・[PDF] BSI-Standard 200-4 Business Continuity Management -Community Draft 2.0-

20220928-130046

目次...

1.Einleitung 1.はじめに
1.1. Adressatenkreis 1.1. 想定読者
1.2. Zielsetzung 1.2. 目標
1.3. Anwendungsweise 1.3. 適用方法
2. Einführung in das BCM 2. BCMの概要
2.1. Begriffe 2.1. 用語
2.2. Grundlagen eines Managementsystems 2.2. マネジメントシステムの基本
2.3. Ablauf der Bewältigung 2.3. マネジメントのプロセス
2.4. Abgrenzung und Synergien 2.4. 限界とシナジー効果
2.5. Überblick über Normen und Standards 2.5. 規範・標準の概要
2.6. BCMS Stufenmodell 2.6. BCMSステージモデル
3. Initiierung des BCMS durch die Institutionsleitung (R+AS) 3. 機関の経営層によるBCMSの開始(R+AS)
3.1. Übernahme der Verantwortung durch die Leitungsebene (R+AS) 3.1.経営層による責任分担(R+AS)
3.2. Zielsetzung (R+AS) 3.2. 目標 (R+AS)
3.3. Geltungsbereich (R+AS) 3.3. 適用範囲 (R+AS)
3.4. Entscheidung für Vorgehensweise (R+AS) 3.4. 手続きの決定 (R+AS)
3.5. Ernennung des BC-Beauftragten (R+AS) 3.5. 事業継続責任者の選任 (R+AS)
4. Konzeption und Planung des BCMS (R+AS) 4. BCMSの設計・計画(R+AS)
4.1. Definition und Abgrenzung (R+AS) 4.1. 定義と区切り(R+AS)
4.2. Analyse der erweiterten Rahmenbedingungen (AS) 4.2. 拡張フレームワーク条件の分析(AS)
4.3. Definition der BC-Aufbauorganisation (R+AS) 4.3. 事業継続組織体制の定義(R+AS)
4.4. Dokumentation (R+AS) 4.4. 文書化(R+AS)
4.5. Ressourcenplanung (R+AS) 4.5. リソースプランニング(R+AS)
4.6. Schulung (R+AS) 4.6. トレーニング(R+AS)
4.7. Sensibilisierung (R+AS) 4.7. 啓発(R+AS)
4.8. Leitlinie BCMS (R+AS) 4.8. ガイドラインBCMS(R+AS)
5. Aufbau und Befähigung der BAO (R+AS) 5. BAOの仕組みとエンパワーメント(R+AS)
5.1. Aufbau der BAO (R+AS) 5.1. BAOの構造(R+AS)
5.2. Detektion, Alarmierung und Eskalation (R+AS) 5.2. 検出、アラート、エスカレーション(R+AS)
5.3. Definition von Sofortmaßnahmen (R+AS) 5.3. 当面の対策の定義(R+AS)
5.4. Festlegung der Grundsätze zur Stabsarbeit (R) 5.4. スタッフワークの原則の定義(R)
5.5. Definition der Geschäftsordnung des Stabs (AS) 5.5. スタッフの手続き規則の定義(AS)
5.6. Herstellung der Fähigkeit zur Stabsarbeit (R+AS) 5.6. スタッフの能力の確立(R+AS)
5.7. NuK-Kommunikation (R+AS) 5.7. NUC通信(R+AS)
5.8. Nacharbeiten und Deeskalation (R+AS) 5.8. 再開とエスカレーションの解除(R+AS)
5.9. Analyse der Bewältigung (R+AS) 5.9. 対処法分析(R+AS)
6. Voranalyse (R+A) 6. 事前対応 (R+A)
6.1. Vorbereitung der Voranalyse (R+A) 6.1. 事前分析の準備(R+A)
6.2. Konkretisierung des Begriffs zeitkritisch (R+A) 6.2. タイムクリティカルという用語の具体化(R+A)
6.3. Durchführung der Voranalyse (R+A) 6.3. 予備解析の実施(R+A)
6.4. Konsolidierung und Vorstellung der Ergebnisse (R+A) 6.4. 成果の集約と発表(R+A)
6.5. Systematische Erweiterung des Prozessumfangs im Rahmen des Aufbau-BCMS (A) 6.5. 構築したBCMSの枠組みの中における計画的プロセス範囲の拡大(A)
7. Business Impact Analyse (R+AS) 7. 事業影響分析 (BIA)(R+AS)
7.1. Vorbereitung der BIA (R+AS) 7.1. BIAの準備(R+AS)
7.2. Durchführung der BIA (R+AS) 7.2. BIAの実施(R+AS)
7.3. Auswertung (R+AS) 7.3. 評価(R+AS)
8. Soll-Ist-Vergleich (R+AS) 8. 目標性能比較 (R+AS)
8.1. Identifizierung der Ressourcenzuständigen (R+AS) 8.1. リソース担当者の特定(R+AS)
8.2. Durchführung des Soll-Ist-Vergleichs (R+AS) 8.2. 目標と実績の比較の実施(R+AS)
8.3. Auswertung und Freigabe der Ergebnisse (R+AS) 8.3. 結果の評価と承認(R+AS)
9. BCM-Risikoanalyse (AS) 9. BCMリスク分析(AS)
9.1. Auswahl einer geeigneten Risikoanalyse-Methode (AS) 9.1. 適切なリスク分析手法の選択(AS)
9.2. Vorarbeiten zur Risikoanalyse (AS) 9.2. リスク分析のための予備作業(AS)
9.3. Erstellung einer Gefährdungsübersicht (AS) 9.3. ハザード・オーバービューの作成(AS)
9.4. Risikoeinschätzung (AS) 9.4. リスクアセスメント(AS)
9.5. Risikobewertung (AS) 9.5. リスク評価(AS)
9.6. Risikobehandlung (AS) 9.6. リスク対応(AS)
10. Business-Continuity-Strategien und Lösungen (AS) 10. 事業継続戦略とソリューション(AS)
10.1. Identifikation möglicher BC-Strategien (AS) 10.1. 考えられる事業継続戦略の特定(AS)
10.2. Bewertung von BC-Strategien (AS) 10.2. 事業継続戦略の評価(AS)
10.3. Auswahl der BC-Strategien durch die Institutionsleitung (AS) 10.3. 機関の経営層による事業継続戦略の選択(AS)
10.4. Umsetzung der BC-Strategien und Lösungen (AS) 10.4. BC戦略・ソリューションの実施(AS)
11.Geschäftsfortführungsplanung (R+AS) 11. 事業継続計画(R+AS)
11.1. Vorbereitung der GFPs (R+AS) 11.1. 事業継続計画の作成(R+AS)
11.2. Erstellung der GFPs (R+AS) 11.2. 事業継続計画の作成(R+AS)
11.3. Qualitätssicherung und Freigabe (R+AS) 11.3. 品質保証とリリース(R+AS)
12. Wiederanlauf- und Wiederherstellungsplanung (AS) 12.再稼働と復旧計画(AS)
12.1. Vorbereitung der WAPs (AS) 12.1. 再稼働計画の準備(AS)
12.2. Erstellung der WAPs (AS) 12.2. 再稼働計画の作成(AS)
12.3. Qualitätssicherung und Freigabe der WAPs (AS) 12.3. 品質保証と再稼働計画の開始(AS)
12.4. Wiederherstellungsplanung im Rahmen des BCM (AS) 12.4. BCMの枠組みにおける復旧計画(AS)
13. Üben und Testen (R+AS) 13. 実践と検証(R+AS)
13.1. Rahmenbedingungen zum Üben im Reaktiv-BCMS (R) 13.1. 受動的BCMSを実践するための枠組み条件(R)
13.2. Festlegung der Rahmenbedingungen zum Üben (AS) 13.2. 訓練フレームワークの確立(AS)
13.3. Erstellung einer Jahresübungsplanung (R+AS) 13.3. 年間演習計画の作成(R+AS)
13.4. Vorbereitung und Durchführung einer Übung (R+AS) 13.4. 演習の準備と実行(R+AS)
13.5. Auswertung und Nachbereitung von Übungen (R+AS) 13.5. 演習の評価とフォローアップ(R+AS)
14. Leistungsüberprüfung und Berichterstattung (AS) 14. パフォーマンスレビューと報告(AS)
14.1. Überwachung, Messung, Analyse und Bewertung (AS) 14.1.モニタリング、測定、分析、評価 (AS)
14.2. Bewertung und Überwachung von externen Dienstleistern (AS) 14.2. 外部サービスプロバイダーの評価と監視(AS)
14.3. Interne und externe Überprüfungen (AS) 14.3. 内部・外部レビュー(AS)
14.4. Managementbewertung (AS) 14.4. マネジメントレビュー(AS)
15. Aufrechterhaltung und Verbesserung (R+AS) 15. 保守・改善(R+AS)
15.1. Vorbereitung eines BCM-Maßnahmenplans (R+AS) 15.1.BCMアクションプランの作成(R+AS)
15.2. Ableitung von Korrektur- und Verbesserungsmaßnahmen (R+AS) 15.2. 是正処置及び改善処置の導出(R+AS)
15.3. Umsetzung und Überwachung von Korrektur- und Verbesserungsmaßnahmen (AS) 15.3. 是正・改善措置の実施とモニタリング(AS)
15.4. Weiterentwicklung des Reaktiv-BCMS (R) 15.4. 受動的BCMSのさらなる発展(R)
Anhang A: Anforderungskatalog 附属書A:要求事項のカタログ
Anhang B: Hinweise zu den Hilfsmitteln 附属書B:ツールに関する注意事項
Literaturverzeichnis 書誌情報

 

BSI 200-4補足資料

・ BSI-Standard 200-4: Hilfsmittel

・サンプルテキストを含む文書テンプレート

[DOCX] Leitlinie ガイドライン
[PPTX] Beispiel für eine BCM-Organisation BCM組織の例
[PPTX] Präsentationsvorlage zur Business-Impact-Analyse 事業影響分析用プレゼンテーションテンプレート
[PPTX] Übersicht über Schadensszenarien und -kategorien 損失シナリオとカテゴリの概要
[XLSX] Bewertungstabelle BC-Strategien 評価表 事業継続戦略
[DOCX] Notfallvorsorgekonzept 防災の考え方
[DOCX] Notfallhandbuch 緊急時対応マニュアル
[PPTX] Beispiel Verhaltenskodex 行動規範の例
[PPTX] Schaubild Eskalations- und Alarmierungspfade エスカレーションとアラートパスの図
[DOCX] Geschäftsfortführungsplan (GFP) 事業継続計画(CFP)
[DOCX] Wiederanlauf- / Wiederherstellungsplan (WAP/WHP) 再稼働/復旧計画(WAP/WHP)
[DOCX] Übungskonzept 訓練のコンセプト
[XLSX] BCM-Maßnahmenplan BCMアクションプラン
[DOCX] Grundanforderungskatalog für Outsourcing und Lieferketten アウトソーシングとサプライチェーンのための基本要件カタログ

 

 

現在のBS-Standard 100-4

BSI-Standard 100-4 Notfallmanagement

BSI-Standard 100-4 Notfallmanagement BSI標準100-4 緊急事態管理
Mit dem BSI-Standard 100-4 wird ein systematischer Weg aufgezeigt, ein Notfallmanagement in einer Behörde oder einem Unternehmen aufzubauen, um die Kontinuität des Geschäftsbetriebs sicherzustellen. Aufgaben eines Notfallmanagements sind daher, die Ausfallsicherheit zu erhöhen und die Institution auf Notfälle und Krisen adäquat vorzubereiten, damit die wichtigsten Geschäftsprozesse bei Ausfall schnell wieder aufgenommen werden können. Es gilt, Schäden durch Notfälle oder Krisen zu minimieren und die Existenz der Behörde oder des Unternehmens auch bei einem größeren Schadensereignis zu sichern. BSI標準100-4は、公共機関や企業において、事業の継続性を確保するための緊急事態管理システムを構築するための体系的な方法を示しています。したがって、緊急管理システムの課題は、フェイルセーフを高め、緊急事態や危機に対して十分に備え、障害が発生した場合に最も重要なビジネスプロセスを迅速に再開できるようにすることである。緊急事態や危機による被害を最小限に抑え、大きな被害が発生した場合でも当局や企業の存続を確保することを目的としています。

 

・[PDF] BSI-Standard 100-4 Notfallmanagement
 
20220928-142521

Inhaltsverzeichnis 目次
1.Einleitung 1.はじめに
1.1.Versionshistorie 1.1.改訂履歴
1.2. Zielsetzung 1.2. 目標
1.3. Adressatenkreis 1.3. 対象者
1.4. Anwendungsweise 1.4. 適用方法
1.5. Literaturverzeichnis 1.5. 書誌事項
2. Notfallmanagement und IT-Grundschutz 2. 緊急事態管理とIT化
2.1.Einordnung in die BSI-Standards 2.1.BSI標準における分類
2.2. Begriffe 2.2. 用語
2.3. Weitere Standards für Notfallmanagement 2.3. その他の緊急事態管理に関する標準
3. Der Notfallmanagement-Prozess 3. 緊急事態管理プロセス
3.1.Überblick 3.1.概要
3.2. Dokumentation 3.2. ドキュメント
3.2.1.Mindestanforderung an die Kennzeichnung der Dokumente zum Notfallmanagement 3.2.1.緊急事態管理文書のラベル付けに関する最低要件
3.2.2. Detailtiefe 3.2.2. 詳細レベル
3.2.3. Änderungsmanagement 3.2.3. 変更管理
3.2.4. Dokumentationsmedium 3.2.4. ドキュメント媒体
3.3. Sicherheit und Datenschutz 3.3. セキュリティとデータ保護
4. Initiierung des Notfallmanagement-Prozesses 4. 緊急事態管理プロセスの開始
4.1.Übernahme von Verantwortung durch die Leitungsebene 4.1.経営層による責任の分担
4.2. Konzeption und Planung des Notfallmanagement-Prozesses 4.2. 緊急管理プロセスの設計と計画
4.2.1.Definition des Notfallmanagements 4.2.1.緊急事態管理の定義
4.2.2. Festlegung des Geltungsbereichs 4.2.2. 適用範囲の決定
4.2.3. Rechtliche Anforderungen und sonstige Vorgaben 4.2.3. 法的要求事項およびその他の仕様
4.2.4. Zielsetzung und Anforderung an das Notfallmanagement 4.2.4. 緊急事態管理の目的および要件
4.2.5. Planungsprinzip 4.2.5. 計画の原則
4.3. Schaffung organisatorischer Voraussetzungen 4.3. 組織的要求事項の作成
4.3.1.Rollen in der Notfallvorsorgeorganisation 4.3.1.緊急時対応組織における役割
4.3.2. Rollen in der Notfallbewältigungsorganisation 4.3.2. 緊急事態管理組織における役割
4.3.3. Zusammenspiel mit dem Informationssicherheitsmanagement 4.3.3. 情報セキュリティ管理との相互作用
4.4. Erstellung einer Leitlinie zum Notfallmanagement 4.4. 緊急時対応ガイドラインの作成
4.5. Bereitstellung von Ressourcen 4.5. リソースの提供
4.5.1.Kosteneffiziente Notfallstrategie 4.5.1.費用対効果の高い緊急対策
4.5.2. Ressourcen für die Notfallmanagement-Organisation 4.5.2. 緊急事態管理組織のためのリソース
4.5.3. Ressourcen für Vorsorgemaßnahmen und deren Betrieb 4.5.3. 備え対策のための資源とその運用
4.5.4. Zusammenarbeit mit anderen Management-Systemen 4.5.4. 他のマネジメントシステムとの協働
4.6. Einbindung aller Mitarbeiter 4.6. 全スタッフの参画
4.6.1.Sensibilisierung und Schulung 4.6.1.意識改革とトレーニング
4.6.2. Einbindung, Risikokommunikation und Früherkennung 4.6.2. 関与、リスクコミュニケーション、早期発見
5. Konzeption 5. 設計
5.1.Die Business Impact Analyse 5.1.ビジネスインパクトの分析
5.1.1.Überblick 5.1.1.概要
5.1.2. Durchführung einer Business Impact Analyse 5.1.2. ビジネスインパクト解析の実施
5.1.2.1.Stammdaten und Geschäftsprozesse 5.1.2.1.マスターデータおよびビジネスプロセス
5.1.2.2. Auswahl der einzubeziehenden Organisationseinheiten und Geschäftsprozesse 5.1.2.2. 対象とする組織単位及び業務プロセスの選定
5.1.2.3. Schadensanalyse 5.1.2.3. ダメージ解析
5.1.2.4. Festlegung der Wiederanlaufparameter 5.1.2.4. 再起動パラメータの決定
5.1.2.5. Berücksichtigung von Abhängigkeiten 5.1.2.5. 依存関係への配慮
5.1.2.6. Priorisierung und Kritikalität der Geschäftsprozesse 5.1.2.6. ビジネスプロセスの優先順位付けと重要性
5.1.2.7. Erhebung der Ressourcen für Normal- und Notbetrieb 5.1.2.7. 平常時および緊急時のオペレーションに必要なリソースの調査
5.1.2.8. Kritikalität und Wiederanlaufzeiten der Ressourcen 5.1.2.8. リソースのクリティカリティと再起動時間
5.1.3. BIA-Bericht 5.1.3. BIAレポート
5.2. Risikoanalyse 5.2. リスク分析
5.2.1.Risikoidentifizierung 5.2.1.リスクの特定
5.2.2. Risikobewertung 5.2.2. リスクアセスメント
5.2.3. Gruppierung und Szenarienbildung 5.2.3. グループ分けとシナリオの構築
5.2.4. Risikostrategie-Optionen identifizieren 5.2.4. リスク戦略オプションの特定
5.2.5. Risikoanalyse-Bericht 5.2.5. リスク分析報告書
5.3. Aufnahme des Ist-Zustandes 5.3. 現状の記録
5.4. Kontinuitätsstrategien 5.4. 継続戦略
5.4.1.Entwicklung von Kontinuitätsstrategien 5.4.1.継続戦略の策定
5.4.2. Kosten-Nutzen-Analyse 5.4.2. コストベネフィット分析
5.4.3. Konsolidierung und Auswahl der Kontinuitätsstrategien 5.4.3. 継続戦略の整理と選択
5.5. Notfallvorsorgekonzept 5.5. 緊急事態への備えの考え方
5.5.1.Feinkonzeption, Sicherheit und Kontrollen 5.5.1.詳細設計、セキュリティ、コントロール
5.5.2. Inhalt 5.5.2. コンテンツ
5.5.3. Bekanntgabe und Verteilung des Notfallvorsorgekonzepts 5.5.3. 緊急事態への備えの考え方の発表と配布
5.5.4. Aktualisierung des Notfallvorsorgekonzepts 5.5.4. 緊急事態への備えの考え方の更新
6. Umsetzung des Notfallvorsorgekonzepts 6. 緊急事態への備えの考え方の実施
6.1.Kosten- und Aufwandsschätzung 6.1.コストと工数の見積もり
6.2. Festlegung der Umsetzungsreihenfolge der Maßnahmen 6.2. 施策の実施順序の決定
6.3. Festlegung der Aufgaben und der Verantwortung 6.3. 課題と責任の定義
6.4. Realisierungsbegleitende Maßnahmen 6.4. 実施に伴う措置
7. Notfallbewältigung und Krisenmanagement 7. 緊急対応・危機管理
7.1.Ablauforganisation 7.1.プロセスの構成
7.1.1.Meldung, Alarmierung und Eskalation 7.1.1.通知、警告、エスカレーション
7.1.2. Sofortmaßnahmen 7.1.2. 緊急対策
7.1.3. Krisenstabsraum 7.1.3. 危機管理室
7.1.4. Aufgaben und Kompetenzen des Krisenstabs 7.1.4. 危機管理チームの任務と能力
7.1.5. Geschäftsfortführung, Wiederanlauf und Wiederherstellung 7.1.5. 事業の継続、再開、回復
7.1.6. Rückführung und Nacharbeiten 7.1.6. 回復と再作業
7.1.7. Analyse der Notfallbewältigung 7.1.7. 緊急時の対応に関する分析
7.1.8. Dokumentation in der Notfallbewältigung 7.1.8. 緊急事態管理における文書化
7.2. Psychologische Aspekte bei der Krisenstabsarbeit 7.2. 危機管理チーム活動の心理的側面
7.3. Krisenkommunikation 7.3. 危機コミュニケーション
7.3.1.Interne Krisenkommunikation 7.3.1.社内危機コミュニケーション
7.3.2. Externe Krisenkommunikation 7.3.2. 社外危機コミュニケーション
7.4. Notfallhandbuch 7.4. 緊急時対応マニュアル
7.4.1.Sofortmaßnahmenplan 7.4.1.緊急時行動計画
7.4.2. Krisenstabsleitfaden 7.4.2. 危機管理チームガイド
7.4.3. Krisenkommunikationsplan 7.4.3. 危機コミュニケーション計画
7.4.4. Geschäftsfortführungspläne 7.4.4. 事業継続計画
7.4.5. Wiederanlaufpläne 7.4.5. 復旧計画
8. Tests und Übungen 8. テストと演習
8.1.Test- und Übungsarten 8.1.テストと演習の種類
8.2. Dokumente 8.2. 文書化
8.2.1.Übungshandbuch 8.2.1.演習マニュアル
8.2.2. Übungsplan 8.2.2. 演習計画
8.2.3. Test- und Übungskonzept 8.2.3. テストと演習の考え方
8.2.4. Test- und Übungsprotokoll 8.2.4. テストと演習のプロトコル
8.3. Durchführung von Tests und Übungen 8.3. テストと演習の実施
8.3.1.Grundsätze 8.3.1.原則
8.3.2. Rollen 8.3.2. 役割
8.3.3. Ablauf 8.3.3. 手続き
9. Aufrechterhaltung und kontinuierliche Verbesserung 9. メンテナンスと継続的改善
9.1.Aufrechterhaltung 9.1.メンテナンス
9.2. Überprüfungen 9.2. レビュー
9.3. Informationsfluss und Managementbewertung 9.3. 情報の流れとマネジメントの見直し
10. Outsourcing und Notfallmanagement 10. アウトソーシングと緊急事態管理
10.1.Planung und Vertragsgestaltung 10.1.企画・契約設計
10.2. Berücksichtigung bei der Konzeption 10.2. 設計上の配慮
11.Tool-Unterstützung 11.ツール支援
12. Glossar 12. 用語集
Anhang A Strategieoptionen 附属書A 戦略オプション
A.1.Arbeitsplätze A.1. 職場
A.2. Personal A.2. 人員
A.3. Informationstechnik A.3. 情報技術
A.4. Komponentenausfälle A.4. コンポーネントの不具合
A.5. Informationen A.5. 情報
A.6. Externe Dienstleister und Lieferanten A.6. 外部サービスプロバイダーとサプライヤー
Anhang B Präventive Maßnahmen 附属書B 予防措置
B.1.Meldetechnik B.1. レポート作成技術
B.2. Datensicherung B.2. データのバックアップ
B.3. Vereinbarungen mit externen Dienstleistern B.3. 外部サービスプロバイダーとの契約
B.4. Festlegung von Ausweichstandorten und deren Anforderungen B.4. 代替手段とその要求事項の決定
Anhang C Gliederung Notfallhandbuch 附属書C 緊急時対応マニュアルの概要
Anhang D Gliederung Geschäftsfortführungsplan 附属書D 事業継続計画の概要
Dankesworte 謝辞

 

 

| | Comments (0)

米国 中小企業庁監察官室 COVID-19と災害支援情報システムセキュリティコントロール

こんにちは、丸山満彦です。

米国中小企業庁監察官室が「COVID-19と災害支援情報システムセキュリティコントロール」についての内部監査報告書を公表しています。勧告が10もありますが、興味深いのは経営陣が2つの勧告(勧告6, 勧告7)に同意しなかったことですね。。。また、1つの勧告(勧告3)については、同意とも不同意とも意見を言っていないです。。。あまり、お目にかからないです。。。また、1つは、パンデミックに特有な問題なので、繰り返されることはない、、、という感じです。

日本の省庁には内部監査部門がないので、こういう報告がないのが残念です。。。

 

Oversight.Gov

・2022.09.27 COVID-19 and Disaster Assistance Information Systems Security Controls

COVID-19 and Disaster Assistance Information Systems Security Controls
COVID-19と災害支援情報システムセキュリティコントロール
This report presents the results of our audit to determine whether the U.S. Small Business Administration (SBA) maintained effective management control activities and monitoring of the design and implementation of third-party operated SBA systems. SBA needed information technology systems from third-party service providers that could improve the system efficiency and productivity to process high transaction volumes, transmit data between other information systems, and safeguard the integrity and confidentiality of the personally identifiable information processed by the programs. We found the agency’s entity-level control environment was not designed in accordance with federal guidance at the beginning of the COVID-19 assistance programs. The agency allowed the third-party systems to be put into service without conducting the baseline assessments. With no baseline, the agency could not perform effective continuous monitoring. Also, we found that control processes did not identify, communicate, and capture privacy and identity risks on an enterprise-wide basis. We made 10 recommendations to strengthen the agency’s entity-level IT control environment. The areas addressed included cybersecurity risk and privacy controls, system development life cycle, continuous monitoring, and the supply chain risk management processes. SBA management fully agreed with seven recommendations, disagreed with two recommendations, and stated one recommendation was specific to the pandemic and will not likely be repeated. While the agency agreed to implement seven recommendations, management’s planned corrective actions did not fully address identified control issues. 本報告書は、米国中小企業庁(SBA)が、第三者が運営するSBAシステムの設計および実装について、効果的な管理統制活動および監視を維持していたかどうかについて、我々の監査結果を提示するものである。SBAは、大量のトランザクションを処理し、他の情報システム間でデータを伝送し、プログラムによって処理される個人識別情報の整合性と機密性を保護するために、システムの効率性と生産性を向上できる第三者サービスプロバイダーからの情報技術システムを必要としていた。我々は、COVID-19支援プログラム開始当初、同機関の事業体レベルの統制環境が連邦政府のガイダンスに従って設計されていないことを発見した。同機関は、ベースライン評価を実施することなく、第三者機関のシステムの稼働を許可した。ベースラインがないため、効果的な継続的監視を行うことができなかった。また、管理プロセスが、プライバシーとアイデンティティのリスクをエンタープライズ規模で特定、伝達、把握できていないことも分かった。我々は、同庁の事業体レベルのIT統制環境を強化するため、10の勧告を行った。対象となった分野は、サイバーセキュリティリスクとプライバシーコントロール、システム開発ライフサイクル、継続的モニタリング、サプライチェーンリスクマネジメントプロセスなどである。SBAの経営陣は、7つの勧告に全面的に同意し、2つの勧告に同意せず、1つの勧告はパンデミックに特有であり、繰り返されることはないだろうと述べている。7 つの勧告の実施には同意したが、経営陣の計画した是正措置は、特定された管理上の問題に完全には対処できていなかった。
1. Ensure the existing SBA System Development Methodology is updated to include supply chain risk-management practices as required by OMB Circular A-130 and high-value asset system designation guidance. Also, ensure high-value asset system risks are incorporated into the enterprise risk management framework, as recommended by OMB M-19-03 and SBA SOP 90 47 6. 1. OMB Circular A-130および高価値資産システム指定ガイダンスで要求されるサプライチェーンリスクマネジメントを含むように、既存のSBAシステム開発方法論を更新することを確実にする。また、OMB M-19-03 および SBA SOP 90 47 6 が推奨するように、高価値資産システムリスクがエンタープライズのリスクマネジメントの枠組みに組み込まれるよう確認する。
2. Communicate and enforce the SBA System Development Methodology in which a traceability matrix is used to ensure that system requirements can be tested and demonstrated in the operational system. Ensure all requirements are aligned with the contractual acceptance criteria. 2. システム要件が運用システムでテストされ実証されることを保証するためにトレーサビリティマトリクスが使用されるSBAシステム開発方法論を伝え、実施する。すべての要件が契約上の受け入れ基準と整合していることを確認する。
3. Implement in updated agency guidance, the requirements of OMB Circular No. A-123 that stipulate a SOC 1 Type 2 report is needed for all new and existing financial systems. This guidance should also require confirmation at least annually that the controls are functioning as designed. 3. OMB Circular No.A-123の要件である、すべての新規および既存の財務システムにSOC 1 Type 2レポートが必要であることを規定する、更新された機関ガイダンスで実施する。また、このガイダンスでは、統制が設計通りに機能していることを少なくとも年1回確認することを義務付けるべきである。
4. Enforce the requirement to establish and implement internal controls to ensure appropriate program officials perform and document contract reviews to ensure that information security is appropriately addressed in the contracting language, as required by OMB Circular A-130 and SBA SOP 90 47 6. 4. OMB Circular A-130及びSBA SOP 90 47 6で要求されているように、情報セキュリティが契約文言に適切に対処されていることを確認するため、適切なプログラム担当者が契約レビューを実施し、文書化するよう内部統制を確立し、実施する要件を実施する。
5. In conjunction with the Enterprise Risk Management Board, implement enterprise-wide privacy risk mitigation practices that can be assimilated into new and existing system program designs. 5. 企業リスクマネジメント委員会と連携し、新規及び既存のシステムプログラムの設計に組み込むことができる、企業全体のプライバシーリスク緩和策を実施する。
6. Complete an initial assessment and authorization for each information system and all agency-designated common controls before operation. 6. 運用開始前に、各情報システム及び機関指定の共通管理の初期評価と認可を完了させる。
7. Transition information systems and common controls to an ongoing authorization process (when eligible for such a process) with the formal approval of the respective authorizing officials or reauthorize information systems and common controls as needed, on a time or event-driven basis in accordance with agency risk tolerance, as required by OMB Circular No. A-130 and SOP 90 47 6. 7. OMB Circular No. A-130 及び SOP 90 47 6 の要求に従い、各権限者の正式な承認を得て、情報システム及び共通制御を 継続的な承認プロセスに移行するか(そのプロセスの対象となる場合)、または情報システム 及び共通制御を必要に応じて、機関のリスク許容度に応じて時間またはイベント駆動型に再承認する。
8. Review and update POA&Ms at least quarterly as required by SOP 90 47 6. 8. SOP 90 47 6 の要求に従い、少なくとも四半期毎に POA&M を見直し、更新する。
9. Ensure data-sharing agreements are reviewed annually as required by SBA SOP 90 47 6. 9. SBA SOP 90 47 6 の要求に従い、データ共有契約が毎年見直されるようにする。
10. Implement an automated process to document and monitor system changes as recommended by NIST SP 800-53 Rev. 5. 10. NIST SP 800-53 Rev. 5 で推奨される、システム変更を文書化し監視する自動化されたプロセスを導入する。

 

・[PDF] SBA-OIG-Report-22-19.pdf

20220928-234323

 

 

| | Comments (0)

2022.09.28

経済産業省 デジタルガバナンス・コード 2.0 (2022.09.13)

こんにちは、丸山満彦です。

デジタルガバナンス・コード 2.0 が策定されていたのを忘れていました...

経済産業省 - デジタルガバナンス・コード

・2022.09.13 [PDF] デジタルガバナンス・コード2.0

20220927-224312

 

・[PDF] デジタルガバナンス・コード改訂のポイント

20220927-224638

 

  • 情報処理の促進に関する法律及びその指針に紐付くデジタルガバナンス・コードは、2年 に⼀度、⾒直しについて議論をすることとされており、策定時(202011⽉)から 約2年が経つ今回のタイミングで改訂の議論を実施。

  • 有識者会議において議論を⾏ったところ、今回の改訂においては、DX銘柄やDX認定等 の普及促進の観点から⼤幅な変更は⾏わず、デジタル⼈材の育成・確保やSX/GXとの 関わり等の新たなトピックを踏まえて「デジタルガバナンス・コード2.0」として企業のDXの 更なる促進に向けたメッセージを発信することとした。

 


 

 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.05 経済産業省 意見募集 デジタルガバナンス・コード2.0(案) (2022.08.10)

・2022.04.09 経済産業省 中小企業のDXに役立つ「手引き」と「AI導入ガイドブック」

・2021.05.26 サイバーセキュリティ対策推進議員連盟 サイバーセキュリティ対策に関する提言を取りまとめ

 

| | Comments (0)

2022.09.27

米国 GAO 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動

こんにちは、丸山満彦です。

米国のGAOが遠隔医療に関して、「監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動」についての報告書を公表していますね。。。

● U.S. Government Accountability Office; GAO

・2022.09.26 Medicare Telehealth:Actions Needed to Strengthen Oversight and Help Providers Educate Patients on Privacy and Security Risks

 

Medicare Telehealth: Actions Needed to Strengthen Oversight and Help Providers Educate Patients on Privacy and Security Risks 遠隔医療:監視を強化し、プロバイダーがプライバシーとセキュリティのリスクについて患者を教育するために必要な行動
GAO-22-104454 GAO-22-104454
Fast Facts  概要
To help patients access care during the pandemic, Medicare temporarily waived restrictions on telehealth—health care services delivered via phone or video. The use of telehealth services rose tenfold: 53 million telehealth visits in Apr.-Dec. 2020 vs. 5 million during the same period in 2019. パンデミック時に患者がケアにアクセスできるよう、メディケアは電話やビデオで提供される遠隔医療サービスに関する制限を一時的に免除した。遠隔医療サービスの利用は10倍に増え、2020年4月~12月の遠隔医療訪問は5,300万件で、2019年の同時期には500万件であった。
But Medicare hasn't comprehensively assessed the quality of care patients received, and lacks data on telehealth services delivered in patients' homes or via phone. Patients may also be unaware that their private health information could be overheard or inappropriately disclosed during their video appointment. しかし、メディケアは患者が受けたケアの質を包括的に評価しておらず、患者の自宅や電話で提供された遠隔医療サービスに関するデータが不足している。また、患者はビデオ予約中に自分の個人的な健康情報が盗み聞きされたり、不適切に開示される可能性があることを知らない可能性がある。
Our recommendations address these issues. 我々の提言は、これらの問題に対処するものである。
Highlights  ハイライト
What GAO Found GAOの発見事項
In response to the COVID-19 pandemic, the Department of Health and Human Services (HHS) temporarily waived certain Medicare restrictions on telehealth—the delivery of some services via audio-only or video technology. Use of telehealth services increased from about 5 million services pre-waiver (April to December 2019) to more than 53 million services post-waiver (April to December 2020). Total utilization of all Medicare services declined by about 14 percent post-waiver due to a 25 percent drop in in-person service use. GAO also found that, post-waiver, telehealth services increased across all provider specialties, and 5 percent of providers delivered over 40 percent of services. Urban providers delivered a greater percentage of their services via telehealth compared to rural providers; office visits and psychotherapy were the most common services. COVID-19の大流行を受けて、保健社会福祉省(HHS)は一時的に遠隔医療(音声のみあるいはビデオ技術による一部のサービスの提供)に関するメディケアの制限を免除した。遠隔医療サービスの利用は、免除前(2019年4月~12月)の約500万サービスから、免除後(2020年4月~12月)の5,300万サービス以上に増加した。対面サービスの利用が25%減少したため、メディケアの全サービスの利用総額は放棄後に約14%減少した。GAOはまた、権利放棄後、遠隔医療サービスはすべての医療機関の専門分野で増加し、5%の医療機関が40%以上のサービスを提供していることを明らかにした。都市部のプロバイダーは、地方のプロバイダーと比較して、遠隔医療経由でサービスを提供する割合が高く、診察と心理療法が最も一般的なサービスであった。
Telehealth and In-Person Utilization, by Month, April 2019–December 2020 遠隔医療と対面診療の利用状況(月別)、2019年4月~2020年12月
01_20220927043101
The Centers for Medicare & Medicaid Services (CMS) within HHS took actions to monitor some program integrity risks related to the telehealth waivers. However, CMS lacks complete data on the use of audio-only technology and telehealth visits furnished in beneficiaries' homes. This is because there is no billing mechanism for providers to identify all instances of audio-only visits. Moreover, providers are not required to use available codes to identify visits furnished in beneficiaries' homes. Complete data are important, as the quality of these services may not be equivalent to that of in-person services. Also, CMS has not comprehensively assessed the quality of telehealth services delivered under the waivers and has no plans to do so, which is inconsistent with CMS' quality strategy. Without an assessment of the quality of telehealth services, CMS may not be able to fully ensure that services lead to improved health outcomes. HHS内のメディケア&メディケイドサービスセンター(CMS)は、遠隔医療免除に関連するいくつかのプログラムインテグリティ・リスクを監視するための行動をとった。しかし、CMSは、受益者の自宅で提供される音声のみの技術および遠隔医療訪問の使用に関する完全なデータを欠いている。これは、プロバイダが音声のみの訪問のすべての事例を識別するための請求メカニズムがないためである。さらに、プロバイダーは、受益者の自宅で提供された訪問を識別するために利用可能なコードを使用することを要求されない。これらのサービスの質は、対面式サービスと同等でない可能性があるため、完全なデータが重要である。また、CMSは免除措置の下で提供される遠隔医療サービスの質を包括的に評価しておらず、その計画もないが、これはCMSの品質戦略と矛盾している。遠隔医療サービスの質の評価が行われなければ、CMSはサービスが健康アウトカムの改善につながることを十分に保証できないかもしれない。
In March 2020, HHS's Office for Civil Rights (OCR) announced that it would not impose penalties against providers for noncompliance with privacy and security requirements in connection with the good faith provision of telehealth during the COVID-19 public health emergency. OCR encouraged covered providers to notify patients of potential privacy and security risks. However, it did not advise providers of specific language to use or give direction to help them explain these risks to their patients. Providing such information to providers could help ensure that patients understand potential effects on their protected health information in light of the privacy and security risks associated with telehealth technology. 2020年3月、HHSの公民権局(OCR)は、COVID-19公衆衛生緊急時の誠意ある遠隔医療提供に関連して、プライバシーおよびセキュリティ要件の不遵守に対してプロバイダーに対する罰則を課さないことを発表した。OCRは、対象となるプロバイダーに対し、潜在的なプライバシーとセキュリティのリスクについて患者に通知するよう奨励した。しかし、プロバイダーがこれらのリスクを患者に説明するのを助けるために、使用すべき特定の言語をアドバイスしたり、指示を与えることはなかった。プロバイダーにそのような情報を提供することは、患者が遠隔医療技術に関連するプライバシーとセキュリティのリスクに照らして、保護された健康情報への潜在的な影響を理解することを確実にするのに役立つ可能性がある。
Why GAO Did This Study GAOがこの調査を行った理由
By law, Medicare pays for telehealth services under limited circumstances—such as only in certain (mostly rural) geographic locations. The waivers and other flexibilities that HHS issued in March 2020 (including under its own regulatory authority) have allowed services to be safely delivered and received during the pandemic. There is stakeholder interest in making these changes permanent. GAO and others have noted that extending them may increase spending and pose new risks of fraud, waste, and abuse. 法律では、メディケアは特定の(主に地方の)地理的な場所だけといった限られた状況下で遠隔医療サービスに支払っている。HHSが2020年3月に発行した免除措置やその他の柔軟性(独自の規制権限に基づくものも含む)により、パンデミックの間もサービスを安全に提供・受信することができた。これらの変更を恒久化することに利害関係者の関心が集まっている。GAOなどは、これらの延長は支出を増やし、不正・無駄・濫用の新たなリスクをもたらす可能性があると指摘している。
GAO was asked to review telehealth services under the waivers. This report describes, among other issues, (1) the utilization of telehealth services, (2) CMS efforts to identify and monitor risks posed by Medicare telehealth waivers, and (3) a change OCR made to its enforcement of regulations governing patients' protected health information during the COVID-19 public health emergency. GAOは、免除措置の下での遠隔医療サービスを検討するよう依頼された。本報告書は、特に、(1)遠隔医療サービスの利用、(2)メディケア遠隔医療免除がもたらすリスクを特定し監視するCMSの取り組み、(3)COVID-19公衆衛生緊急時に患者の保護医療情報を管理する規制の施行にOCRが行った変更について記述している。
GAO analyzed Medicare claims data from 2019 through 2020 (the most recently available data at the time); reviewed federal statutes, CMS documents (including its assessment of risks posed by telehealth waivers), and OCR guidance; and interviewed agency officials. GAOは、2019年から2020年までのメディケア請求データ(当時入手可能な最新のデータ)を分析し、連邦法、CMS文書(遠隔医療放棄がもたらすリスクの評価を含む)、およびOCRガイダンスを検討し、政府機関職員にインタビューした。
Recommendations 勧告
GAO is making three recommendations for CMS to strengthen its telehealth oversight, and one for OCR to provide additional direction to providers to explain privacy and security risks to patients. HHS neither agreed nor disagreed with the three CMS recommendations and concurred with the OCR recommendation. GAOは、CMSに対して遠隔医療の監視を強化するよう3つの勧告を、OCRに対して患者にプライバシーとセキュリティのリスクを説明するようプロバイダーに追加の指示を提供するよう1つの勧告を行っている。HHSはCMSの3つの勧告に同意も反対もせず、OCRの勧告に同意した。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected 影響を受ける機関
Centers for Medicare & Medicaid Services メディケア&メディケイドサービスセンター
The Administrator of CMS should develop an additional billing modifier or clarify its guidance regarding billing of audio-only office visits to allow the agency to fully track these visits. (Recommendation 1) CMS長官は、音声のみの診察の請求に関する追加の請求修飾子を開発するか、またはガイダンスを明確にして、これらの診察を完全に追跡できるようにすべきである。(勧告1)
The Administrator of CMS should require providers to use available site of service codes to indicate when Medicare telehealth services are delivered to beneficiaries in their homes. (Recommendation 2) CMS長官は、メディケアの遠隔医療サービスが受益者の自宅で提供される場合に、利用可能なサービス部位コードを使用するようプロバイダに要求すべきである。(提言2)。
The Administrator of CMS should comprehensively assess the quality of Medicare services, including audio-only services, delivered using telehealth during the public health emergency. Such an assessment could include leveraging evidence from related efforts led by other HHS agencies. (Recommendation 3) CMS長官は、公衆衛生上の緊急事態の間、遠隔医療を使用して提供された音声のみのサービスを含むメディケアサービスの質を包括的に評価するべきである。そのような評価には、他のHHS機関が主導する関連する取り組みからの証拠の活用を含むことができる。(勧告3)
Office for Civil Rights for the Department of Education 教育省市民権局
OCR should provide additional education, outreach, or other assistance to providers to help them explain the privacy and security risks to patients in plain language when using video telehealth platforms to provide telehealth services. (Recommendation 4) OCRは、ビデオ遠隔医療プラットフォームを使用して遠隔医療サービスを提供する際に、プライバシーとセキュリティのリスクを患者に分かりやすく説明できるよう、プロバイダーに追加の教育、アウトリーチ、その他の支援を提供する必要がある。(推奨事項4)
When we confirm what actions the agency has taken in response to this recommendation, we will provide updated information. この勧告に対して同省がどのような行動をとったか確認できた場合、最新の情報を提供する。

 

・[PDF] Highlights Page

20220927-43707

 

・[PDF] Full Report

20220927-43722

 

Letter レター
Background 背景
Utilization of and Spending on Telehealth Services Increased Under Waivers; Services Were Concentrated Among 5 Percent of Providers and Beneficiaries 遠隔医療サービスの利用と支出は免除の下で増加したが、サービスは5%のプロバイダーと受益者に集中した
CMS Identifies and Monitors Some Program Integrity Risks but Lacks Complete Data about Telehealth Delivery and Has Not Assessed Care Quality CMSはいくつかのプログラム・インテグリティ・リスクを特定し監視しているが、テレヘルスの提供に関する完全なデータがなく、ケアの質も評価していない
Patients May Be Unaware that OCR’s March 2020 Telehealth Policy May Not Protect Patient Privacy OCRの2020年3月のテレヘルスポリシーが患者のプライバシーを保護しない可能性があることを、患者は知らない可能性がある
Stakeholders Believe Telehealth Waivers Enabled Access but Noted Limitations; Most Support Extension 関係者は遠隔医療免除によってアクセスが可能になったと信じているが、限界も指摘しており、ほとんどの関係者は延長を支持している
Conclusions 結論
Recommendations for Executive Action 行政措置への提言
Agency Comments and Our Evaluation 政府機関のコメントと我々の評価
Appendix I Objectives, Scope, and Methodology 附属書 I 目的、範囲、および方法論
Appendix II Additional Information on Telehealth Utilization 附属書 II 遠隔医療利用についての追加情報
Appendix III Overview of Health Insurance Portability and Accountability Act of 1996 Privacy, Security, Enforcement, and Breach Notification Rules 附属書 III 1996年医療保険の相互運用性と説明責任に関する法律のプライバシー、セキュリティ、施行、および侵害通知規則の概要
Appendix IV Comments from the Department of Health and Human Services 附属書 IV 保健福祉省からのコメント
Appendix V GAO Contact and Staff Acknowledgments 附属書 V GAOの連絡先とスタッフへの謝辞

| | Comments (0)

米国 White House ハリス副大統領、岸田首相との会談

こんにちは、丸山満彦です。

安倍元首相がなくなり、本日27日国葬が行われますね。。。何事についても賛否両論があると思います。ただ、一人の人間が亡くなったということについて、弔意を示すことは当然でしょう。それぞれの関係の中でそれぞれのやり方で。。。もし国を挙げて弔意を示し、葬儀をしたいというのであれば、国民の代表者からなる国会での承認を取れば良かったのかも知れません。

さて、この国葬を捉えて弔問外交という話もありますね。弔意を示す場を政治的に利用するというのは、どうかという話もありますが、これも政治家の葬儀なので、そういうことになるのでしょう。私たち庶民の葬儀でも、規模は違うけれども、似たような話があるかも知れません。

The White House

・2022.09.26 Readout of Vice President Harris’s Meeting with Prime Minister Kishida of Japan

Readout of Vice President Harris’s Meeting with Prime Minister Kishida of Japan ハリス副大統領、岸田首相との会談を読み解く
STATEMENTS AND RELEASES 声明およびリリース
Vice President Kamala Harris today met with Prime Minister Kishida Fumio in Tokyo, Japan. The Vice President conveyed condolences over the assassination of former Prime Minister Abe Shinzo and they discussed his legacy in advance of tomorrow’s state funeral, for which the Vice President is leading the U.S. Presidential Delegation. The Vice President praised former Prime Minister Abe as a champion of the U.S.-Japan Alliance and a free and open Indo-Pacific, and affirmed the United States’ commitment to continue building on that legacy. カマラ・ハリス副大統領は本日、日本の東京で岸田文雄首相と会談した。副大統領は、安倍晋三元首相が暗殺されたことに哀悼の意を表し、副大統領が米国大統領代表団を率いて参列する明日の国葬を前に、その遺志を語り合った。副大統領は、日米同盟と自由で開かれたインド太平洋の擁護者として安倍元首相を称賛し、その遺産を引き続き築いていくという米国のコミットメントを確認した。
The Vice President underscored that the U.S.-Japan Alliance is the cornerstone of peace and stability in the Indo-Pacific, and they discussed efforts to promote a free and open Indo-Pacific. The Vice President reaffirmed the United States’ ironclad commitment to Japan’s defense. They discussed the People’s Republic of China’s recent aggressive and irresponsible provocations in the Taiwan Strait, and reaffirmed the importance of preserving peace and stability across the Taiwan Strait. The leaders condemned recent ballistic missile launch by the Democratic People’s Republic of Korea (DPRK) and pledged to work together to address the threats posed by DPRK’s nuclear and ballistic weapons program. They discussed the importance of resolving the issue of Japanese citizens abducted by the DPRK. The Vice President welcomed our growing space cooperation, across commercial, civil, and security sectors, and discussed opportunities to expand our partnership in these areas. In particular, they discussed the need to develop international rules and norms and finalize foundational documents to govern bilateral space cooperation.   副大統領は、日米同盟がインド太平洋の平和と安定の礎であることを強調し、自由で開かれたインド太平洋を促進するための努力について議論した。副大統領は、日本の防衛に対する米国の完全なコミットメントを再確認した。両首脳は、中華人民共和国による最近の台湾海峡における攻撃的で無責任な挑発行為について協議し、台湾海峡の平和と安定を維持することの重要性を再確認した。両首脳は,朝鮮民主主義人民共和国(DPRK)による最近の弾道ミサイル発射を非難し,DPRKの核及び弾道兵器プログラムがもたらす脅威に対処するために協力することを約束した。両氏は、北朝鮮による日本人拉致問題の解決の重要性について議論した。副大統領は、商業、民事及び安全保障の各分野にわたる我々の宇宙協力の拡大を歓迎し、これらの分野における我々のパートナーシップを拡大する機会について議論した。特に、国際的なルールや規範を整備し、二国間の宇宙協力を規定する基礎文書を確定させる必要性について議論した。 
The Vice President thanked the Prime Minister for Japan’s leadership on regional and global issues. The Vice President and the Prime Minister reviewed recent developments regarding Russia’s invasion of Ukraine, and the Vice President recognized the Prime Minister’s decisive action to ensure Russia is held accountable. They emphasized the importance of enhancing cooperation in Southeast Asia, the Pacific Islands, and Latin America. The Vice President underscored the benefits of U.S-Japan-Republic of Korea trilateral cooperation given our shared security concerns and welcomed progress toward closer Japan-Republic of Korea bilateral ties. 副大統領は、地域的・世界的な問題に対する日本のリーダーシップについて、首相に謝意を表明した。副大統領と首相は、ロシアのウクライナ侵攻に関する最近の動向を検討し、副大統領は、ロシアの責任追及を確保するための首相の果断な行動を認識した。両者は、東南アジア、太平洋諸島およびラテンアメリカにおける協力強化の重要性を強調した。副大統領は、安全保障上の懸念を共有する日米韓3カ国協力の利点を強調し、日韓2国間関係の緊密化に向けた前進を歓迎した。

 

この訪日+訪韓に先立って記者会見も行われています。。。

・2022.09.22 Background Press Call Previewing the Vice President’s Upcoming Travel to Japan and the Republic of Korea

訪日の目的は3つと言っていますね。。。

  1. 安倍首相の遺産を尊重し、安倍首相暗殺の悲劇を悼む日本国民を支援すること
  2. ますます複雑化する安全保障環境において、同盟国に対する米国のコミットメントを再確認すること
  3. インド太平洋地域への全体的な関与を深めること

その一方、岸田総理は、国連総会ハイレベル・ウィークで先週訪米していますね。。。

 

● フィリピン大統領

・2022.09.22 Readout of President Biden’s Meeting with Philippine President Ferdinand Marcos Jr.

● 岸田首相

・2022.09.21 Readout of President Joe Biden’s Meeting with Prime Minister Kishida of Japan

Readout of President Joe Biden’s Meeting with Prime Minister Kishida of Japan ジョー・バイデン大統領と岸田外相との会談の要旨
President Joseph R. Biden, Jr. met today with Prime Minister Kishida of Japan on the margins of the United Nations General Assembly in New York. The two leaders discussed the importance of advancing a free and open Indo-Pacific, emphasizing the importance of strengthening and modernizing their security alliance. During the meeting, President Biden thanked Prime Minister Kishida for Japan’s historic $1.08 billion pledge to the Global Fund’s Seventh Replenishment. ジョセフ・R・バイデン大統領は本日、ニューヨークで開催中の国連総会の傍ら、日本の岸田首相と会談した。両首脳は、自由で開かれたインド太平洋を進めることの重要性について議論し、両国の安全保障同盟を強化し、近代化することの重要性を強調した。会談の中でバイデン大統領は、世界基金の第7次増資に対する日本の歴史的な10.8億ドルの拠出誓約について岸田首相に謝意を表明しました。

● 韓国・ソクヨル大統領

・2022.09.21 Readout of President Joe Biden’s Meeting with President Yoon Suk Yeol of the Republic of Korea

● 仏国・マクロン大統領

・2022.09.21 Readout of President Joe Biden’s Meeting with President Emmanuel Macron of France

● 英国・トラス首相

・2022.09.21 Readout of President Joe Biden’s Meeting with Prime Minister Liz Truss of the United Kingdom

 

Fig1_20210802074601

 


さて、日本側の説明、、、

官邸

・2022.09.26 ハリス米国副大統領による岸田総理大臣表敬及び岸田総理大臣と米国代表団との夕食会

国連総会ハイレベル・ウィーク

・2022.09.22 米国訪問についての内外記者会見

 

| | Comments (0)

2022.09.26

米国 GAO 情報環境:DODの国家安全保障ミッションに対する機会および脅威 (2022.09.21)

こんにちは、丸山満彦です。

米国のGAOが国防総省の国家安全保障ミッションに対する機会および脅威に関する報告書を公表していますね。。。

● U.S. Government Accountability Office; GAO

・2022.09.21 Information Environment:Opportunities and Threats to DOD's National Security Mission

 

Information Environment:Opportunities and Threats to DOD's National Security Mission 情報環境:DODの国家安全保障ミッションに対する機会および脅威
GAO-22-104714 GAO-22-104714
Fast Facts 概要
To offset U.S. conventional warfighting advantages, opponents try to use the information environment, including information technology and social media. Actions can range from trying to plant malware in weapons to spreading disinformation on social media. 米国の通常戦の優位性を相殺するために、敵対勢力はITやソーシャルメディアなどの情報環境を利用しようとする。その行動は、兵器にマルウェアを仕掛けるものから、ソーシャルメディア上での偽情報の拡散に至るまで、多岐にわたる。
This report describes DOD's use and protection of the information environment. We profile 6 areas—such as threats and emerging technologies—and offer questions for further oversight. For example, DOD components identified threats like collecting intelligence, influencing decision-making, degrading electromagnetic spectrum capabilities, and cyberattacks. 本報告書は、DODの情報環境の利用と保護について記述している。脅威や新技術など6つの分野を取り上げ、さらなる監視のための質問を提示する。例えば、DODの構成要素は、情報収集、意思決定への影響、電磁波スペクトル能力の低下、サイバー攻撃などの脅威を特定した。
Information Environment Threats 情報環境の脅威
01_20220926142201
Highlights ハイライト
What GAO Found GAOの発見事項
Given the ubiquitous nature of the information environment, both DOD and adversaries can conduct operations and activities in the information environment from anywhere in the world. Additionally, with DOD capabilities dependent on IT and the electromagnetic spectrum (EMS), its ability to conduct operations and activities in any of the physical domains (land, maritime, air, and space) is reliant on protecting the information environment. Based on a review of DOD strategies, questionnaires, interviews, and guidance documents, GAO found: 情報環境のユビキタス性を考えると、DODも敵対者も世界のどこからでも情報環境での作戦や活動を行うことができる。さらに、DODの能力がITと電磁スペクトル(EMS)に依存しているため、物理的領域(陸、海、空、宇宙)のいずれでも作戦や活動を行う能力は、情報環境の保護に依存している。DODの戦略、アンケート、インタビュー、ガイダンス文書のレビューに基づき、GAOは以下のことを明らかにした。
Ubiquitous and Malign Information. The fusion of ubiquitous information and technology has granted individuals, organizations, and nation-states the ability to target the cognitive foundations of individuals—beliefs, emotions, and experiences—for purposes either benign or malign. The proliferation of ubiquitous information, misinformation, disinformation, and malinformation has prompted defense experts to begin examining the concept of cognitive security. ユビキタス情報と有害情報。 ユビキタス情報とテクノロジーの融合は、個人、組織、国家に、個人の認知的基盤-信念、感情、経験-を良性または悪性の目的のために標的とする能力を与えている。ユビキタス情報、誤情報、偽情報、悪意ある情報の急増は、防衛専門家に認知的安全保障の概念の検討を促した。
Relationship between Misinformation, Disinformation, and Malinformation 誤情報、偽情報、悪意ある情報の関係
02
DOD Missions and Functions. Technology, the EMS, and the sharing of data are integral to accomplishing DOD's missions in the information environment. DOD components consistently identified the conduct of military operations, communications, command and control decision-making, and others, as missions and functions affected by the information environment. DODの任務と機能 技術、EMS、データの共有は、情報環境におけるDODの任務達成に不可欠である。DODの各部門は一貫して、軍事作戦の実施、通信、指揮統制の意思決定、その他を、情報環境の影響を受ける任務と機能として挙げている。
Threat Actors. National and DOD strategies recognize that nation-states—such as China, Russia, Iran, and North Korea—have demonstrated that they are threat actors in the information environment, employing malicious cyber, EMS, and influence activities against DOD interests. Additionally, nonstate actors—such as insider threats, foreign terrorists, transnational criminal organizations, and others—pose a threat to DOD personnel at home and abroad. 脅威の主体。 国家と国防省の戦略は、中国、ロシア、イラン、北朝鮮のような国家が、国防省の利益に対して悪意のあるサイバー、EMS、影響力活動を採用し、情報環境における脅威行為者であることを示してきたと認識している。さらに、非国家主体-内部脅威、外国人テロリスト、多国籍犯罪組織、その他-は国内外の国防総省職員に脅威を与えている。
Threat Actions. DOD components highlighted a variety of cyberspace threats, information or intelligence collection threats, influence threats, and EMS threats that adversely affect DOD personnel and capabilities (see figure below). 脅威の行動 DOD の構成要素は DOD の人員と能力に悪影響を与える様々なサイバースペースの脅威、情報または情報収集の脅威、影響の脅威、EMS の脅威を強調した(下図を参照)。
Institutional Challenges. National and DOD strategies and documents identify a number of institutional challenges that DOD must address. The challenges include a lack of leadership emphasis, lack of resources, the implications of new technologies, and dated processes. DOD components identified personnel, funding, IT, organization, and training as the most important institutional challenges they face related to the information environment. 制度的な課題。 国家と国防総省の戦略や文書は、国防総省が対処しなければならない多くの制度的課題を明らかにしている。その課題とは、指導者の強調不足、資源の不足、新技術の影響、そして時代遅れのプロセスなどである。DODの構成要素は、情報環境に関連して直面する最も重要な組織的課題として、人材、資金、IT、組織、およびトレーニングを挙げている。
Emerging Technologies. DOD components identified a variety of technologies that may present either opportunities for or threats to DOD in the information environment: artificial intelligence and machine learning, quantum computing, social media platforms, and bots. Additionally, relevant reports and subject matter experts have identified extended reality, fifth-generation wireless telecommunications, and the Internet of Things as technologies that could have either positive benefits or negative consequences for DOD. 新たなテクノロジー DODの構成要素は、情報環境においてDODに機会または脅威を与える可能性のある様々な技術を特定した:人工知能と機械学習、量子コンピューティング、ソーシャルメディアプラットフォーム、およびボット。さらに、関連するレポートや主題専門家は、拡張現実、第5世代無線通信、およびモノのインターネットを、DODにプラスの利益またはマイナスの結果のいずれかをもたらす可能性のある技術として認識している。
Past and Planned DOD Actions. Achieving and sustaining an advantage requires DOD to undertake and plan actions across multiple areas, including doctrine, organization, and training. For example, DOD elevated the concept of "information" and has been revising its doctrine publications to reflect the fundamental nature of information in joint operations. 過去および計画されたDODの行動。 優位性を達成し維持するためには、DOD は教義、組織、訓練を含む複数の領域で行動を起こし、計画することが必要である。例えば、DODは「情報」の概念を高め、統合作戦における情報の基本的な性質を反映するために、教義書の改訂を進めている。
Threat Actions in the Information Environment 情報環境における脅威の行動
03
Why GAO Did This Study GAOがこの調査を行った理由
Today's information environment poses new and complex challenges for national security as the world has shifted from an industrial age to an information age. Advances in information technology, wireless communications, and social media have increased the speed and range of information, diffused power over information, and shifted socio-cultural norms. The United States' competitors and adversaries are taking advantage of these advances and the subsequent effects in the information environment to offset the U.S.'s conventional warfighting advantages. 今日の情報環境は、世界が工業化時代から情報化時代へと移行したため、国家安全保障に新たな複雑な課題を突きつけている。情報技術、無線通信、ソーシャルメディアの進歩は、情報の速度と範囲を拡大し、情報に対する力を拡散させ、社会文化的規範を変化させた。米国の競争相手や敵対勢力は、これらの進歩とそれに伴う情報環境の影響を利用し、米国の通常戦の優位性を相殺しようとしている。
The Department of Defense (DOD) defines the information environment as the aggregate of individuals, organizations, and systems that collect, process, disseminate, or act on information— consisting of physical, informational, and cognitive dimensions, as shown in the figure below. 国防総省(DOD)は、情報環境を、情報を収集、処理、普及、行動する個人、組織、システムの集合体として定義しており、下図に示すように、物理的、情報的、認知的側面から構成されている。
Three Dimensions of the Information Environment 情報環境の3つの次元
04
To illustrate and better inform Congress and DOD officials, this report describes DOD's use and protection of the information environment through the following six key elements—ubiquitous and malign information, effects on DOD's mission, threat actors, threat actions, institutional challenges, and emerging technologies that can enable or adversely affect DOD's missions. This report also describes DOD actions taken and planned to use and protect the information environment. 議会とDOD職員に説明し、より良く伝えるために、この報告書はDODの情報環境の利用と保護を次の6つの主要要素-偏在する悪意ある情報、DODの任務への影響、脅威の行為者、制度的課題、DODの任務に有効または悪影響を与える新技術-を通じて説明する。本報告書はまた、情報環境を利用し保護するためにとられたDODの行動と計画についても記述している。
To prepare this report, among other things, GAO administered questionnaires to 25 DOD organizations involved in the information environment. GAO staff also interviewed officials and subject matter experts; reviewed 35 documents on strategy, policy, doctrine, and other guidance from DOD and other federal agencies; and reviewed studies and other documents. この報告書を作成するために、GAOは特に、情報環境に関与する25のDOD組織にアンケートを実施した。また、GAOスタッフは関係者や主題専門家にインタビューを行い、DODや他の連邦機関の戦略、政策、ドクトリン、その他のガイダンスに関する35の文書を検討し、研究およびその他の文書も検討した。

 

情報環境の脅威

コンポーネントの情報システムに対する悪質なサイバー行為 意思決定を低下させることを目的とした指揮統制情報システムの操作
構成員の任務、業務、または人員を理解するための情報または諜報活動の収集 DODロジスティクス請負業者の活動や軍人のソーシャルメディアや携帯電話の使用状況の変化から配備スケジュールを特定する。
軍人や職員の士気や意思決定を標的としたり、影響を与えようとしたりすること。 ソーシャルメディア上の誤報や偽情報により、士気や即応性を低下させる。
DODの能力を低下させたり、損害を与えるための電磁スペクトル(EMS)の悪意ある使用。 GPS 信号または通信の EMS 妨害

 

誤情報、偽情報、悪意ある情報

誤情報 偽情報 悪意ある情報
写真のキャプション、日付、統計、翻訳、または風刺を真に受けた場合など、意図しない間違い。 捏造された、または意図的に操作されたオーディオ/ビジュアルコンテンツ、意図的に作られた陰謀論や風説。 非常に正確な情報であり、現実に即しているが、個人、組織、または国に損害を与えるために、文脈にそぐわない形で提示される可能性のある情報。

 

情報環境の3つの次元

認知的次元 情報的次元 物理的次元
人間中心 データ中心 有形物、現実にあるもの
信念、規範、脆弱性、動機、経験、モラル、教育、メンタルヘルス、アイデンティティ、イデオロギーなど 指揮統制が行われ、指揮官の意図が伝達される場所と方法に関する情報の収集、処理、保管、伝達、および保護 人間、指揮統制施設、新聞、書籍、通信塔、コンピュータ・サーバー、ノートパソコン、スマートフォン、タブレット端末

 

・[PDF] Hilights Pages

20220926-152844

 

・[PDF] Full Report

20220926-152901

 

| | Comments (0)

米国 GAO 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき

こんにちは、丸山満彦です。

米国のGAOというのは、やはり相当な権限がありますね。。。このGAOの強力な権限というのが、議会による政府の監督を実効あらしめ、ひいては国民の信頼を得るという構造に貢献しているのだろうと思いました。。。

 

さて、国家核安全保障局(NNSA)およびその契約先は、6つあるサイバーセキュリティの基礎的なリスクマネジメントのうち、いくつを改善する必要があるということのようです。。。

組織全体のサイバーセキュリティ・リスクマネジメント・プログラムを確立するための基礎的なサイバーセキュリティ・リスクマネジメントの実践

実践 1 リスクマネジメントのためのサイバーセキュリティの役割と責任を特定し、割り当てる。 サイバーセキュリティリスクが組織全体で取り組まれていることを確認するために、米国標準技術局(NIST)の特別刊行物(SP)800-37は、組織が個人またはグループを特定し、特定の役割と責任を割り当てるべきであると述べている。この実践の意図は、サイバーセキュリティリスク活動を組織全体で監督し、利害関係者間の協力とサイバーセキュリティリスクマネジメント戦略の一貫した適用を促進することである。
実践 2 組織のサイバーセキュリティリスクマネジメント戦略を確立し、維持する。 米国行政管理予算局(OMB)Circular A-130、NIST SP 800-37、国家安全保障システム委員会(CNSS)ポリシー22によると、組織はリスクマネジメント戦略を策定し、維持する必要があるとしている。NIST SP 800-37は、リスクマネジメント戦略の9つの要素について説明している。CNSSの命令1253は、組織に対して、少なくとも年1回はリスクマネジメント戦略を見直し、更新することを求めている。さらに、NIST SP 800-53によると、組織は組織の変化に対応するために、戦略を見直し、更新する必要がある。この実践の意図は、サイバーセキュリティリスクを管理するための基盤を構築し、リスクベースの決定のための境界を明確にすることであり、サイバーセキュリティリスクの枠組み、評価、対応、監視の方法を知らせることである。
実践 3 サイバーセキュリティプログラムの方針と計画を文書化し、維持する。 OMB Circular A-130 によると、政府機関は、連邦職員と請負業者が組織のサイバーセキュリティ要件とポリシーを遵守する責任を負うために、組織全体のサイバーセキュリティプログラムと計画を文書化して維持しなければならない。
実践 4 組織全体のサイバーセキュリティリスクを評価し、更新する。 NIST SP 800-37によると、組織は組織全体のサイバーセキュリティリスクを評価し、継続的に結果を更新する必要がある。CNSSポリシー22は、組織にリスク評価を実施し、組織全体の観点からサイバーセキュリティリスクを特定するよう指示している。この実践の意図は、機関がその情報システムの運用と使用から派生するすべてのサイバー関連リスクを考慮することを可能にすることである。
実践 5 情報システムまたはプログラムが継承可能な制御を指定する。 OMB Circular A-130、NIST SP 800-37、CNSSポリシー22によると、組織は、情報システムまたはプログラムが継承できるコントロールを特定し、文書化し、公表する必要がある。この実践の意図は、複数の情報システムまたはプログラムに継承できるコスト効率の良いサイバーセキュリティ能力を提供することである。
実践 6 組織全体のリスクを継続的に監視するための戦略を策定し、維持する。 OMB Circular A-130、NIST SP 800-37、CNSS Policy 22によると、組織は継続的な監視戦略を策定し維持する必要がある。また、同通達は、組織が定義した頻度に従って、戦略を更新することを機関に求めている。さらに、NISTのガイダンスでは、継続的な監視戦略の7つの要素について説明している。この実践の意図は、組織のサイバーセキュリティ態勢を継続的に監視し、新たなサイバー脅威に効率的かつ費用対効果の高い方法で対応することである。

 

● U.S. Government Accountability Office; GAO

・2022.09.22 Nuclear Weapons Cybersecurity:NNSA Should Fully Implement Foundational Cybersecurity Risk Management Practices

Nuclear Weapons Cybersecurity: NNSA Should Fully Implement Foundational Cybersecurity Risk Management Practices 核兵器のサイバーセキュリティ:NNSAはサイバーセキュリティの基礎的なリスクマネジメントを完全に実施すべき
GAO-22-104195 GAO-22-104195
Fast Facts 概要
The National Nuclear Security Administration (NNSA) is increasingly relying on advanced computers and integrating digital systems into weapons and manufacturing equipment. But, these systems could be hacked. 国家核安全保障局(NNSA)は、高度なコンピュータへの依存度を高め、兵器や製造装置にデジタルシステムを組み込んでいる。しかし、これらのシステムはハッキングされる可能性がある。
Federal laws and policies suggest 6 key practices to set up a cybersecurity management program, such as assigning risk management responsibilities. However, NNSA and its contractors haven't fully implemented these practices. 連邦法および政策は、リスクマネジメントの責任を割り当てるなど、サイバーセキュリティ管理プログラムを設定するための6つの重要な実践方法を提案している。しかし、NNSAとその請負業者は、これらの実践を完全に実施していない。
Additionally, NNSA and its contractors rely on subcontractors for services and equipment, but we found that oversight of subcontractors' cybersecurity was inconsistent. Our recommendations address these issues. さらに、NNSAとその請負業者は、サービスや機器を下請け業者に依存していますが、下請け業者のサイバーセキュリティに対する監視は一貫していないことが分かった。我々の提言は、これらの問題に対処するものである。
National Nuclear Security Administration Digital Environments 国家核安全保障局のデジタル環境
01_20220926013901

Highlights  ハイライト
What GAO Found GAOの発見事項
The National Nuclear Security Administration (NNSA) and its contractors have not fully implemented six foundational cybersecurity risk practices in its traditional IT environment. NNSA also has not fully implemented these practices in its operational technology and nuclear weapons IT environments. 国家核安全保障局(NNSA)とその請負業者は、従来のIT環境において6つの基本的なサイバーセキュリティ・リスクの実践を完全には行っていない。NNSAはまた、運用技術や核兵器のIT環境でも、これらの実践を十分に実施していない。
Organization-wide Foundational Practices to Manage Cybersecurity Risk サイバーセキュリティリスクをマネジメントするための組織的な基礎的実践
Practice 1 Identify and assign cybersecurity roles and responsibilities for risk management. 実践 1 リスクマネジメントのためのサイバーセキュリティの役割と責任を特定し、割り当てる。
Practice 2 Establish and maintain a cybersecurity risk management strategy for the organization. 実践 2 組織のサイバーセキュリティリスクマネジメント戦略を確立し、維持する。
Practice 3 Document and maintain policies and plans for the cybersecurity program. 実践 3 サイバーセキュリティプログラムの方針と計画を文書化し、維持する。
Practice 4 Assess and update organization-wide cybersecurity risks. 実践 4 組織全体のサイバーセキュリティリスクを評価し、更新する。
Practice 5 Designate controls that are available for information systems or programs to inherit. 実践 5 情報システムまたはプログラムが継承可能な制御を指定する。
Practice 6 Develop and maintain a strategy to monitor risks continuously across the organization. 実践 6 組織全体のリスクを継続的に監視するための戦略を策定し、維持する。
Source: GAO analysis based on Office of Management and Budget, National Institute of Standards and Technology, and Committee on National Security Systems guidance. | GAO-22-104195 出典 管理予算局、米国標準技術研究所、国家安全保障システム委員会のガイダンスに基づくGAOの分析。| 参考資料:GAO-22-104195
The traditional IT environment includes computer systems used for weapons design. NNSA fully implemented four of six practices and partially implemented two. NNSA contractors had fully implemented three of six practices and did not fully implement three. For example, both NNSA and its contractors had not fully implemented a continuous monitoring strategy because their strategy documents were missing key recommended elements. Without such elements, NNSA and its contractors lack a full understanding of their cybersecurity posture and are limited in their ability to effectively respond to emerging cyber threats. 従来のIT環境には、兵器設計に使用されるコンピュータシステムも含まれる。NNSAは、6つの実践のうち4つを完全に実施し、2つを部分的に実施した。NNSAの請負業者は、6つの実践のうち3つを完全に実施し、3つを完全に実施していなかった。例えば、NNSAとその請負業者の両方は、戦略文書に重要な推奨要素が欠けていたため、継続的監視戦略を十分に実施していなかった。このような要素がなければ、NNSAとその請負業者はサイバーセキュリティの姿勢を完全に理解することができず、新たなサイバー脅威に効果的に対応する能力が制限される。
The operational technology environment includes manufacturing equipment and building control systems with embedded software to monitor physical devices or processes. NNSA has not yet fully implemented any foundational risk management practices in this environment, and it is still developing specific guidance for contractors. This is partially because NNSA has not yet determined the resources it needs to implement practices and develop guidance. 運用技術環境には、物理デバイスやプロセスを監視するためのソフトウェアが組み込まれた製造装置やビル制御システムなどがある。NNSAは、この環境における基礎的なリスクマネジメントをまだ完全に実施しておらず、請負業者向けの具体的なガイダンスもまだ開発中である。これは部分的には、NNSAが実践の実施とガイダンスの作成に必要なリソースをまだ決定していないためである。
The nuclear weapons IT environment includes IT in or in contact with weapons. NNSA has implemented or taken action consistent with implementing most of the practices in this environment and is developing specific guidance for contractors. However, NNSA has not developed a cyber risk management strategy to address nuclear weapons IT-specific threats. The absence of such a strategy likely constrains NNSA's awareness of and responses to such threats. 核兵器のIT環境には、兵器に含まれる、あるいは兵器と接触するITが含まれる。NNSAは、この環境における実践のほとんどを実施、または実施と一致する行動をとっており、請負業者向けの具体的なガイダンスを開発しているところである。しかし、NNSAは、核兵器IT特有の脅威に対処するためのサイバーリスクマネジメント戦略を策定していない。このような戦略がないため、NNSAはこのような脅威に対する認識と対応に制約があると思われる。
NNSA's cybersecurity directive requires contractors to oversee their subcontractors' cybersecurity measures, but contractors' efforts to provide such oversight are mixed, and three of seven contractors do not believe it is a contractual responsibility. An NNSA official proposed adding an evaluation of such oversight to its annual contractor performance evaluation process, but NNSA could not provide evidence that it had done so. These oversight gaps, at both the contractor and NNSA level, leave NNSA with little assurance that sensitive information held by subcontractors is effectively protected. NNSAのサイバーセキュリティ指令は、請負業者に下請け業者のサイバーセキュリティ対策を監督するよう求めているが、請負業者のこうした監督への取り組みはまちまちで、7社中3社は、それが契約上の責任だとは考えていない。NNSAの担当者は、請負業者の年次業績評価プロセスにそのような監督の評価を加えることを提案したが、NNSAはそれを行ったという証拠を提供できなかった。請負業者とNNSAの両レベルにおけるこれらの監視のギャップにより、NNSAは、下請け業者が保有する機密情報が効果的に保護されているという保証をほとんど得られないままである。
Why GAO Did This Study GAOがこの調査を行った理由
NNSA and its site contractors integrate information systems into nuclear weapons, automate manufacturing equipment, and rely on computer modeling to design weapons. However, cyber systems are targets of malicious actors. To protect against such threats, federal law and policies require that NNSA establish a program to manage cybersecurity risk, which includes the implementation of six foundational practices. NNSA contractors are required to oversee subcontractors' cybersecurity. NNSAとそのサイト契約者は、核兵器に情報システムを統合し、製造装置を自動化し、兵器の設計にコンピュータ・モデリングに依存している。しかし、サイバーシステムは悪意ある行為者の標的となる。このような脅威から保護するため、連邦法と政策により、NNSAはサイバーセキュリティのリスクを管理するプログラムを確立することが求められており、これには6つの基礎的実践の実施が含まれている。NNSAの請負業者は、下請け業者のサイバーセキュリティを監督することが義務付けられている。
The Senate committee report accompanying the National Defense Authorization Act for Fiscal Year 2020 included a provision for GAO to review NNSA's cybersecurity practices and policies, and GAO was also asked to perform similar work. GAO's report examines the extent to which (1) NNSA and its seven site contractors implemented foundational cybersecurity risk management practices and (2) contractors oversee subcontractor cybersecurity. 2020年度国防権限法に伴う上院委員会報告書には、GAOがNNSAのサイバーセキュリティの実践と方針を審査する条項が含まれており、GAOも同様の作業を依頼された。GAOの報告書は、(1)NNSAとその7つのサイトの請負業者が基礎的なサイバーセキュリティのリスクマネジメントを実施しているか、(2)請負業者が下請けのサイバーセキュリティを監督しているかを調査したものである。
GAO reviewed NNSA and contractor documents, compared NNSA's efforts with federal and agency requirements for risk management practices, and interviewed NNSA officials and contractor representatives. GAOは、NNSAと請負業者の文書を調査し、NNSAの取り組みをリスクマネジメントの実施に関する連邦政府および機関の要件と比較し、NNSA職員と請負業者の代表者にインタビューを行った。
Recommendations 勧告
GAO is making nine recommendations to NNSA, including that it fully implement an IT continuous monitoring strategy; determine needed resources for operational technology efforts; create a nuclear weapons risk strategy; and enhance monitoring of subcontractor cybersecurity. NNSA agreed with GAO's recommendations. GAOはNNSAに対し、IT継続監視戦略の完全実施、運用技術の取り組みに必要なリソースの決定、核兵器リスク戦略の策定、下請け業者のサイバーセキュリティの監視強化など、9項目の勧告を行っている。NNSAはGAOの勧告に同意した。
Recommendations for Executive Action 行政措置に関する勧告
Agency Affected 影響を受ける機関
National Nuclear Security Administration 国家核安全保障局
The NNSA Administrator should promptly finalize its planned revision of Supplemental Directive 205.1, Baseline Cybersecurity Program, to include the most relevant federal cybersecurity requirements and review the directive at least every 3 years. (Recommendation 1) NNSA長官は、最も関連性の高い連邦サイバーセキュリティ要件を含むように、補足指令205.1「ベースライン・サイバーセキュリティ・プログラム」の改訂計画を速やかに確定し、少なくとも3年ごとに同指令を見直すこと。(勧告 1)
The NNSA Administrator should direct NNSA's Office of Information Management, and the site contractors that have not done so, to develop and maintain cybersecurity continuous monitoring strategies that address all elements from NIST guidance. (Recommendation 2) NNSA長官は、NNSAの情報管理室と、そうしていないサイトコントラクターに対して、NISTガイダンスのすべての要素に対応するサイバーセキュリティ継続監視戦略を策定し維持するよう指示すること。(勧告 2)
The NNSA Administrator should direct NNSA's Office of Information Management, and the site contractors that have not done so, to identify and assign all risk management roles and responsibilities called for in NIST guidance. (Recommendation 3) NNSA長官は、NNSAの情報管理室と、そうしていないサイトコントラクターに対して、NISTガイダンスで求められているすべてのリスクマネジメントの役割と責任を特定し、割り当てるように指示すること。(勧告 3)
The NNSA Administrator should direct that the site contractors that have not done so maintain a site-wide cybersecurity risk management strategy that addresses all elements from NIST guidance and perform periodic reviews at least annually. (Recommendation 4) NNSA長官は、NISTガイダンスの全要素に対応したサイト全体のサイバーセキュリティリスクマネジメント戦略を維持し、少なくとも年1回の定期的なレビューを行うよう、そうしていないサイトコントラクターに指示すること。(勧告 4)
The NNSA Administrator should direct the Office of Information Management to identify the needed resources to implement foundational practices for the OT environment, such as by developing an OT activity business case for consideration in NNSA's planning, programming, budgeting, and evaluation process. (Recommendation 5) NNSA長官は、情報管理室に対し、NNSAの計画、立案、予算、評価プロセスで検討するためのOT活動ビジネスケースを開発するなど、OT環境のための基礎的実践を実施するために必要なリソースを特定するよう指示すること。(勧告 5)
The Director of NNSA's Office of Defense Programs should establish a cybersecurity risk management strategy for nuclear weapons information technology that includes all elements from NIST guidance. (Recommendation 6) NNSAの防衛計画局長は、NISTガイダンスの全要素を含む、核兵器情報技術に関するサイバーセキュリティ・リスクマネジメント戦略を策定すること。(勧告 6)
The Director of NNSA's Office of Acquisition and Project Management should clarify and reinforce to the M&O contractors, such as by a policy flash or other communication, that they are required to monitor subcontractor's cybersecurity measures. (Recommendation 7) NNSAの取得・プロジェクト管理室長は、M&Oコントラクターに対し、下請け業者のサイバーセキュリティ対策を監視する必要があることを、ポリシーフラッシュやその他のコミュニケーションによって明確にし、強化すること。(勧告 7)
The Director of NNSA's Office of Acquisition and Project Management should include performance criteria evaluating contractor oversight of subcontractor cybersecurity measures in the annual M&O contractor performance evaluation process. (Recommendation 8) NNSAの取得・プロジェクト管理局長は、下請け業者のサイバーセキュリティ対策の監視を評価するパフォーマンス基準を、毎年のM&Oコントラクターパフォーマンス評価プロセスに含めること。(勧告 8)
The NNSA Administrator should direct Information Management and the Office of Acquisition and Project Management to ensure that Supplemental Directive 205.1 contains language requiring third-party validation of contractor and subcontractor cybersecurity measures. (Recommendation 9) NNSA長官は、補足指令205.1に請負業者と下請け業者のサイバーセキュリティ対策の第三者による検証を要求する文言が含まれるように、情報管理部と取得・プロジェクト管理部に指示すること。(勧告 9)
When we confirm what actions the agency has taken in response to this recommendation, we will provide updated information. この勧告に対し、同機関がどのような行動を取ったか確認できた場合、最新の情報を提供する。

 

・[PDF] Full Report

20220926-14348

 

・[PDF] Highlight

20220926-14517

 

| | Comments (0)

書籍紹介 保証型システム監査の実践—システム監査業務のさらなる深化に向けて

こんにちは、丸山満彦です。

特定非営利活動法人情報システム監査普及機構さんが、「保証型システム監査の実践—システム監査業務のさらなる深化に向けて」を発行されていますね。。。献本いただきました。。。ありがとうございます。。。

 

01_20220925160002

目次

第1章 システム監査の全容と保証型システム監査の位置付け
1 監査とは
(1) 監査の三者関係
(2) 監査の必須条件
(3) 監査の前提
(4) 監査の定義
(5) 監査の本質
2 システム監査とは
(1) システム監査の目的
(2) システム監査の対象
(3) システム監査の必要性
(4) システム監査の効果
3 助言型システム監査と保証型システム監査
(1) 助言型システム監査
(2) 保証型システム監査

第2章 保証型システム監査とは
1 保証型システム監査の必要性
2 言明書と保証の意味について
(1) 言明書とは
(2) 保証の意味
3 保証型システム監査の分類定義
(1) 経営者主導方式
(2) 委託者主導方式
(3) 受託者主導方式
(4) 社会主導方式
4 保証型システム監査を実施するための前提条件
(1) 保証型システム監査が可能であること
(2) 言明書があること
(3) 言明書のもととなるシステム管理基準が作成されていること
(4) 適切なシステム監査チームを組織化すること
5 システム監査人に求められる能力と育成
6 保証型システム監査の流れ
コラム 「基準」と「規準」

第3章 保証型システム監査の契約まで
1 事前協議フェーズ
(1) 事前インタビュー
(2) 保証型システム監査の理解促進
(3) 言明書の理解促進
(4) 必要情報の存在確認
(5) 可監査性の確認
2 依頼フェーズ
(1) 言明書の作成
(2) 依頼書の作成
3 提案フェーズ
(1) 依頼内容検討
(2) 提案書の作成
(3) 提案書の提出
4 契約フェーズ
(1) 監査契約書で合意すべき項目
(2) システム監査人の倫理
(3) 機密保持に関する準備
コラム システム監査契約書

第4章 保証型システム監査の実施
1 計画フェーズ
(1) 監査計画の策定と合意
(2) 監査手続と監査手続書の作成
(3) 監査計画の見直し
2 調査フェーズ
(1) 情報収集
(2) 現地調査
(3) 調査作成
3 分析フェーズ
(1) 監査資料の整理/検出事項の抽出・個別評価
(2) 検出事項の整理
(3) 監査意見の形成
コラム KJ法とはどのようなものか
4 報告フェーズ
(1) 監査報告省案の作成
(2) 被監査組織との意見交換会
(3) 監査報告書の最終版の作成
(4) 監査報告会の開催
コラム 保証型システム監査と助言型システム監査の目的とその実施方針の違い

参考文献

システム監査用語集

索引

 

なかなか野心的な本だと思います。

システム監査人が保証型監査を理解しやすいように書かれているように思います。契約締結からしっかりと書かれているところが実践的だと思います。

全部を詳細には読んでいませんが、気になった点

・保証型監査の説明は、この本の本質に関わるところなので、もっと詳細に説明があったらよいと思いました。

・特に監査意見形成の部分は保証型監査のクライマックスであるのに記載がないように思いました。

・保証型システム監査の分類定義で(1) 経営者主導方式、(2) 委託者主導方式、(3) 受託者主導方式、(4) 社会主導方式が記載されているが、三者関係の中で整理すればよりわかりやすいだろうと思いました。

・監査のための規準は目的にあわせて自由に設計できるとあるが、規準として満たす要件があるので、それにも触れたほうが良かったように思いました。

ちなみに、今年私が、情報セキュリティ大学院大学で行った、情報セキュリティ・システム監査の授業で使った保証業務についてのテキスト的なもの。。。

・2022.07.23 [PDF] 保証業務

しかしながら、いずれにしてもしても、保証型システム監査のための第一歩として書籍にまとめたのは非常に大きな意義があると思います。

 

 

 

 

 

| | Comments (0)

2022.09.25

経済産業省 デジタルプラットフォームの透明性・公正性に関するモニタリング会合

こんにちは、丸山満彦です。

「特定デジタルプラットフォームの透明性及び公正性の向上に関する法律 (e-Gov)」に基づき、経済産業省で開催されている「デジタルプラットフォームの透明性・公正性に関するモニタリング会合」が開催されていますが、2022.09.22までに3回に分けた、Amazon、楽天、Apple、Google、Yahoo! Japanのヒアリングが終わったようですね。。。

● 経済産業省 - 審議会・研究会 - ものづくり/情報/流通・サービス - デジタルプラットフォームの透明性・公正性に関するモニタリング会合

各回の資料です。並び順をちょっと変えていますが。。。

 

第1回 第2回 第3回
2021.12.24 2022.03.14 2022.08.25
議事次第 議事次第 議事次第
議事要旨 議事要旨 議事要旨
議事録 議事録 議事録
資料1 デジタルプラットフォームの透明性・公正性に関するモニタリング会合の開催について 資料1 デジタルプラットフォーム利用事業者向けアンケート調査結果(オンラインモール・アプリストア) 資料1 事務局提出資料
資料2 本会合の議事の取扱い等について(案) 資料2 事務局提出資料 資料2 特定デジタルプラットフォーム提供者による報告書(抜粋)
資料3 事務局提出資料   資料2-1 アマゾンジャパン合同会社提出資料
    資料2-2 楽天グループ株式会社提出資料
    資料2-3 ヤフー株式会社提出資料
    資料2-4 Apple Inc.及びiTunes株式会社提出資料
    資料2-5 Google LLC提出資料
    資料3 特定デジタルプラットフォーム提供者に対する質問・確認事項について(各社からの回答)
    参考資料 利用事業者からの声/規約等の概要(第2回会合資料から抜粋)

 

各社へのヒアリング...

第4回 第5回 第6回
2022.09.13 2022.09.21 2022.09.22
  議事次第 議事次第
議事要旨 議事要旨 議事要旨
     
資料1 ヒアリングの公開・非公開について 資料1 ヒアリングの公開・非公開について 資料1 ヒアリングの公開・非公開について
資料2 アマゾンジャパン合同会社提出資料(発表資料) 資料2 Apple Inc. 及び iTunes 株式会社提出資料(発表資料) 資料2 ヤフー株式会社提出資料(発表資料)
資料3-1 楽天グループ株式会社提出資料(発表資料)   資料3 Google LLC提出資料(発表資料)
資料3-2 楽天グループ株式会社提出資料(苦情及び紛争の件数等)    
参考資料1 特定デジタルプラットフォーム提供者による報告書(抜粋) 参考資料1 特定デジタルプラットフォーム提供者による報告書(抜粋)Apple Inc.及びiTunes 株式会社(第3回会合提出資料) 参考資料1 特定デジタルプラットフォーム提供者による報告書(抜粋)
参考資料1-1 アマゾンジャパン合同会社(第3回会合提出資料)   参考資料1-1 ヤフー株式会社(第3回会合提出資料)
参考資料1-2 楽天グループ株式会社(第3回会合提出資料)   参考資料1-2 Google LLC(第3回会合提出資料)
参考資料2 質問・確認事項に対する各社からの回答(第3回会合提出資料) 参考資料2 質問・確認事項に対する各社からの回答(第3回会合提出資料) 参考資料2 質問・確認事項に対する各社からの回答(第3回会合提出資料)

 

Meti


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.07 デジタル市場競争会議 ワーキンググループ 第38回 「モバイル・エコシステムに関する競争評価 中間報告」及び「新たな顧客接点(ボイスアシスタント及びウェアラブル)に関する競争評価 中間報告」に関する意見募集に寄せられた御意見等

 

デジタルサービス法、デジタル市場法

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

| | Comments (0)

英国 Ada Lovelace 協会 欧州におけるAI責任:EUのAI責任指令の先取り

こんにちは、丸山満彦です。

2022.09.28 にEU委員会が「AI責任指令」案を発表する予定のようですが、AIの責任に関する論考ですかね。。。なお、AI法はEU議会で議論中ですね。。。

AI法と違って、AIの責任についての規制は、RegulationではなくDirectiveとなるようですね。。。各国の責任に関する法律の違いが大きいのが理由なのかも知れませんね。。。

 

Ada Lovelace Institute - Library - Reports

・2022.09.22 AI liability in Europe: anticipating the EU AI Liability Directive

AI liability in Europe: anticipating the EU AI Liability Directive 欧州におけるAI責任:EUのAI責任指令の先取り
An explainer to provide legal context and analysis on how liability law could support a more effective legal framework for AI 責任法がAIのより効果的な法的枠組みをどのようにサポートし得るかについて、法的背景と分析を提供するための解説書
The EU Commission will publish its AI Liability Directive on 28 September. This explainer will be helpful to anyone interested in AI policy and understanding the significance of the Directive. EU委員会は、9月28日にAI責任指令を発表する予定である。本解説書は、AI政策に関心を持ち、同指令の意義を理解する人にとって有益なものとなるであろう。
It also describes how liability law can potentially provide answers to questions on the legal consequences of harms caused by AI systems. また、AIシステムによって引き起こされた被害の法的帰結に関する疑問に対して、責任法がどのように答えを提供できる可能性があるのかを解説している。
It provides five reasons for EU legislators to act, with three illustrative scenarios and three policy options to address under-compensation, and a commentary on AI liability beyond traditional accident scenarios. EUの立法者が行動すべき5つの理由を、3つの例示シナリオと補償不足に対処するための3つの政策オプション、そして従来の事故シナリオを超えたAI責任に関する解説を提供している。
It will be particularly useful for EU, UK and global policymakers who are interested in the progress of the AI Act, and in understanding how liability could support a more effective legal framework for AI. AI法の進展に関心を持ち、賠償責任がAIのより効果的な法的枠組みをどのように支えることができるかを理解しようとするEU、英国、世界の政策立案者にとって、特に有益なものとなるだろう。
Read Ada’s policy briefing which provides specific recommendations for EU policymakers for changes to be implemented into the final version of the AI Act. This policy briefing builds on the expert opinion paper commissioned from Professor Lilian Edwards, a leading academic in the field of internet law, which addresses substantial questions about AI regulation in Europe, looking towards a global standard. Adaの政策説明書では、AI法の最終版に実装されるべき変更について、EUの政策立案者に具体的な推奨事項を提示している。この政策説明書は、インターネット法分野の主要な学者であるリリアン・エドワーズ教授に依頼した専門家意見書に基づいており、欧州におけるAI規制に関する実質的な疑問を解決し、世界標準に目を向けている。

 

20220925-61432

目次的なもの...

Introduction はじめに
Timeline タイムライン
Why do we need a new regime of AI liability? なぜAI責任に関する新しい制度が必要なのか?
1. Avoiding under-compensation for injured parties 1. 損害を被った当事者に対する過少補償の回避
2. Enhancing enforcement of the AI Act and similar legislation 2. AI法および類似の法律の執行強化
3. Increasing public trust in new technologies 3. 新技術に対する国民の信頼の向上
4. Ensuring a level playing field and innovation-friendly climate for businesses 4. 企業にとって公平な競争条件とイノベーションに適した環境の確保
5. The ‘Brussels effect’ 5. ブリュッセル効果
Understanding under-compensation: Why might AI leave injured parties worse off? 補償不足を理解する:なぜAIは被害者をより不幸にするのか?
Scenario 1: fully self-driving vehicles シナリオ1:完全な自動運転車
Scenario 2: autonomous AI-enabled devices – lawnmowers or cleaning robots シナリオ2:AI搭載の自律型機器 - 芝刈り機や掃除ロボット
Scenario 3: credit scoring AI シナリオ3:信用スコアリングAI
Three policy options to avoid under-compensation for accidents 事故に対する過少補償を回避するための3つの政策オプション
Strict liability and/or mandatory insurance 無過失責任と保険加入の義務化
Addressing proof-related issues with product liability 製造物責任における証明に関する問題への対応
Addressing proof-related issues with fault liability 過失責任における証明に関する問題への対応
AI liability beyond traditional ‘accident scenarios’ 従来の「事故シナリオ」を超えるAI責任
Conclusions and reflections 結論と熟考
Footnotes 脚注

 

・[DOCX] 仮対訳

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

AI法関係...

・2022.09.23 ⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

 

AIの保証関係...

・2021.04.21 英国政府 データ倫理とイノベーションセンターのブログ AIの保証についての3つの記事

・2020.05.01 (人工知能 AI)ブラックボックスの検証:アルゴリズムシステムを評価するためのツール - アルゴリズムの監査・影響評価のための共通言語の特定

 

| | Comments (0)

米国 CISA アラート(AA22-265A) 制御システムの防御 相手を知る

こんにちは、丸山満彦です。

米国CISAが、アラート(AA22-265A) 制御システムの防御 相手を知るを公表してますね。

簡潔にまとまっていて、わかりやすいかもしれません。

 

CISA - Alerts  

・2022.09.22 Alert (AA22-265A) Control System Defense: Know the Opponent

Alert (AA22-265A) Control System Defense: Know the Opponent アラート(AA22-265A) 制御システムの防御 相手を知る
Summary 概要
Traditional approaches to securing OT/ICS do not adequately address current threats. OT/ICSを保護するための従来のアプローチでは、現在の脅威に適切に対処できない。
Operational technology/industrial control system (OT/ICS) assets that operate, control, and monitor day-to-day critical infrastructure and industrial processes continue to be an attractive target for malicious cyber actors. These cyber actors, including advanced persistent threat (APT) groups, target OT/ICS assets to achieve political gains, economic advantages, or destructive effects. Because OT/ICS systems manage physical operational processes, cyber actors’ operations could result in physical consequences, including loss of life, property damage, and disruption of National Critical Functions. 日々の重要なインフラストラクチャや産業プロセスを運用、制御、監視する運用技術/産業制御システム(OT/ICS)資産は、悪意のあるサイバー行為者にとって魅力的な標的であり続けている。高度持続的脅威(APT)グループを含むこれらのサイバー攻撃者は、政治的利益、経済的利益、または破壊的効果を得るためにOT/ICS資産をターゲットにしている。OT/ICSシステムは物理的な運用プロセスを管理するため、サイバー行為者の操作は、人命の損失、物的損害、国家重要機能の中断を含む物理的な結果をもたらす可能性がある。
OT/ICS devices and designs are publicly available, often incorporate vulnerable information technology (IT) components, and include external connections and remote access that increase their attack surfaces. In addition, a multitude of tools are readily available to exploit IT and OT systems. As a result of these factors, malicious cyber actors present an increasing risk to ICS networks. OT/ICSの機器や設計は一般に公開されており、脆弱な情報技術(IT)コンポーネントを組み込んでいることが多く、外部接続やリモートアクセスにより攻撃対象が拡大する。さらに、ITおよびOTシステムを悪用するための多数のツールが容易に入手可能である。これらの要因により、悪意のあるサイバーアクターがICSネットワークにもたらすリスクは増大している。
Traditional approaches to securing OT/ICS do not adequately address current threats to those systems. However, owners and operators who understand cyber actors’ tactics, techniques, and procedures (TTPs) can use that knowledge when prioritizing hardening actions for OT/ICS. OT/ICSを保護するための従来のアプローチでは、これらのシステムに対する現在の脅威に適切に対処することはできない。しかし、サイバー攻撃者の戦術、技術、手順(TTP)を理解している所有者と運用者は、OT/ICSのハードニング・アクションに優先順位をつける際にその知識を活用することができる。
This joint Cybersecurity Advisory, which builds on previous NSA and CISA guidance to stop malicious ICS activity and reduce OT exposure [1] [2], describes TTPs that malicious actors use to compromise OT/ICS assets. It also recommends mitigations that owners and operators can use to defend their systems. NSA and CISA encourage OT/ICS owners and operators to apply the recommendations in this CSA. この共同サイバーセキュリティ勧告は、悪意のあるICS活動を阻止し、OTのエクスポージャーを低減するための、これまでのNSAおよびCISAガイダンスに基づいており [1] [2] 、悪意のある行為者がOT/ICS資産を侵害するために用いるTTPsについて説明している。また、所有者と運用者がシステムを保護するために使用できる緩和策を推奨している。NSA と CISA は、OT/ICS の所有者と運用者が本 CSA の推奨事項を適用することを推奨する。

 

目次的なこと...

Summary 概要
Technical Details 技術的な詳細
Malicious actors’ game plan for control system intrusions 悪意ある行為者による制御システム侵入のゲームプラン
Establish intended effect and select a target 意図する効果の確立とターゲットの選定
Collect intelligence about the target system ターゲット・システムに関する情報の収集
Develop techniques and tools 技術やツールの開発
Gain initial access to the system システムへの初期アクセスの獲得
Execute techniques and tools to create the intended effects 意図した効果を生み出すための技術やツールの実行
Mitigations 緩和措置
Limit exposure of system information システム情報のエクスポージャーの抑制
Identify and secure remote access points リモート・アクセス・ポイントの特定と保護
Restrict tools and scripts ツールやスクリプトの制限
Conduct regular security audits 定期的なセキュリティ監査の実施
Implement a dynamic network environment 動的なネットワーク環境の構築
Conclusion 結論
Disclaimer of endorsement 推奨の免責事項
Purpose 目的
Contact Information 連絡先
References 参考文献
Revisions 改訂履歴

 

PDF版もあります...

・[PDF]

20220924-223217

 

 

| | Comments (0)

2022.09.24

NIST NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル、NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書

こんにちは、丸山満彦です。

NISTが「NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル」と「NISTIR 8431 NISTの基礎の上に構築するワークショップ概要報告:IoTセキュリティの次のステップ」を公表していますね。。。

NIST - ITL

・2022.09.20 NISTIR 8425 Profile of the IoT Core Baseline for Consumer IoT Products

NISTIR 8425 Profile of the IoT Core Baseline for Consumer IoT Products NISTIR 8425 消費者向けIoT製品のIoTコアベースラインのプロファイル
Abstract 概要
This publication documents the consumer profile of NIST’s IoT core baseline and identifies cybersecurity capabilities commonly needed for the consumer IoT sector (i.e., IoT products for home or personal use). It can also be a starting point for small businesses to consider in the purchase of IoT products. The consumer profile was developed as part of NIST’s response to Executive Order 14028 and was initially published in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products. The consumer profile capabilities are phrased as cybersecurity outcomes that are intended to apply to the entire IoT product. This document also discusses the foundations to developing the recommended consumer profile and related considerations. NIST reviewed a landscape of relevant source documents to inform the consumer profile and engaged with stakeholders across a year-long effort to develop the recommendations. 本書は、NISTのIoTコアベースラインの消費者プロファイルを文書化し、消費者向けIoT分野(家庭用または個人用のIoT製品)に共通して必要なサイバーセキュリティ能力を特定したものである。また、中小企業がIoT製品を購入する際の検討材料とすることもできる。コンシューマプロファイルは、大統領令14028号へのNISTの対応の一環として開発され、当初は「Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products」で発表された。消費者プロファイルの能力は、IoT製品全体に適用されることを意図したサイバーセキュリティの成果として表現されている。また、この文書では、推奨される消費者プロファイルを開発するための基礎と、関連する考慮事項についても述べている。NISTは、消費者プロファイルに情報を提供するために関連するソース文書をレビューし、推奨事項を策定するために1年にわたる取り組みで利害関係者と協力した。

 

・[PDF] NISTIR 8425

20220924-45239

・[DOCX] 仮訳

 

 

・2022.09.20 NISTIR 8431 Workshop Summary Report for “Building on the NIST Foundations: Next Steps in IoT Cybersecurity”

 

NISTIR 8431 Workshop Summary Report for “Building on the NIST Foundations: Next Steps in IoT Cybersecurity” NISTIR 8431 「NIST基礎の上に築く:IoTセキュリティの次のステップ」ワークショップ概要報告書
Abstract 概要
This report summarizes the feedback received on the work of the NIST Cybersecurity for the Internet of Things (IoT) program on IoT product cybersecurity criteria at a virtual workshop in June 2022. The purpose of this workshop was to obtain feedback on specific considerations—and techniques for addressing those considerations—around cybersecurity in IoT products. These considerations have broad applicability across IoT product sectors, including the consumer IoT products sector and the industrial IoT sector. For consumer IoT, these considerations arose in moving the criteria presented in Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products into draft NIST IR 8425, Profile of the IoT Core Baseline for Consumer IoT Products, along with a discussion paper on the complexity of risk identification for IoT published before the workshop. 本報告書は、2022年6月に開催された仮想ワークショップにおいて、IoT製品のサイバーセキュリティ基準に関するNIST Cybersecurity for the Internet of Things(IoT)プログラムの作業について受け取ったフィードバックをまとめたものである。このワークショップの目的は、IoT製品のサイバーセキュリティに関する具体的な検討事項とその検討事項に対処するための技術についてフィードバックを得ることであった。これらの考慮事項は、民生用IoT製品分野や産業用IoT分野など、IoT製品分野に広く適用可能なものです。消費者向けIoTについては、「Recommended Criteria for Cybersecurity Labeling for Consumer Internet of Things (IoT) Products」に示された基準を、NIST IR 8425「Profile of the IoT Core Baseline for Consumer IoT Products」に移行するにあたってこれらの検討事項が生まれ、さらにワークショップ前に発表したIoTにおけるリスク識別の複雑性に関する討議文書も合わせて発表された。

 

・[PDF] NISTIR 8431

20220924-45307

 

 

| | Comments (0)

2022.09.23

⽇欧産業協⼒センター 欧州デジタル政策 (Vol.1-3)

こんにちは、丸山満彦です。

一般社団法人⽇欧産業協⼒センターが、5月から2ヶ月に一度、「欧州デジタル政策」という簡単なレポートを公表しています。。。今、EUでは、デジタル市場法 (DMA) 、デジタルサービス法 (DSA) 、データ法、データガバナンス法、AI法と次々と法案が議論されている状況です(デジタル市場法とデジタルサービス法は2022.07.05にEU議会で承認されています)。

このような法案が出てきている背景や、法案の概要等を簡潔にまとめていてわかりやすいです。。。

次回が楽しみですね。。。

 

⽇欧産業協⼒センター

欧州デジタル政策

Vol.1 2022/05 EUのデジタル政策の⽅向性 20220923-14617
Vol.2 2022/07 EUにおけるオンライン・プラットフォーム規制(デジタル・マーケット法・デジタル・サービス法) 20220923-14646
Vol.3 2022/09 EUのデータ政策 20220923-14707

 

法文案等へのリンクはこちら。。。

    Wiki EUR-Lex   Document
Data Act データ法 2022.02.23 COM(2022)68 final 52022PC0068
Data Governance Act データガバナンス法 2020.11.25 COM(2022)767final 52020PC0767
      2022.06.03   32022R0868
Artificial Intelligence Act AI法 2021.04.21 COM(2021) 206 final 52021PC0206
Digital Services Act デジタルサービス法 2020.12.15 COM/2020/825 final 52020PC0825
Digital Markets Act デジタル市場法 2020.12.15 COM/2020/842 final 52020PC0842

 


まるちゃんの情報セキュリティ気まぐれ日記

データ法

・2022.03.01 欧州委員会 データ法の提案

データガバナンス法

・2021.12.05 欧州 欧州議会とEU加盟国間でデータガバナンス法について政治的合意 (欧州データガバナンス法成立が近づきましたね。。。)

・2021.03.14 欧州データ保護委員会 (EDPB)・欧州データ保護監督官 (EDPS) データガバナンス法に関する共同意見を採択

・2020.11.29 EU データガバナンス法案

AI法

・2022.06.18 英国 Ada Lovelace 協会: EUのAI法について説明 (2022.04.11)

・2021.12.05 欧州理事会 AI法改正案を欧州議会に提出

・2021.08.08 EU議会 BRIEFING 人工知能法 at 2021.07.26

・2021.04.24 欧州委員会がAIへの規制を提案 → 欧州データ保護官は歓迎するけど、公共空間での遠隔生体認証についての規制も入れてね

デジタルサービス法、デジタル市場法

・2022.07.20 欧州理事会 欧州連合理事会 デジタル市場法 (DMA) 案を採択

・2022.07.11 欧州議会 デジタルサービス法 (DSA) デジタル市場法 (DMA) が可決 (2022.07.05)

・2022.03.26 欧州理事会 欧州連合理事会 デジタル市場法(DMA)が理事会・欧州議会で合意されたようですね。。。

・2020.12.16 欧州委員会 デジタルプラットフォーマを規制するためのデジタルサービス法とデジタル市場法の最終提案を公表

 

 

| | Comments (0)

経済産業研究所 人工知能への信頼-リハビリテーション・ロボットを例に

こんにちは、丸山満彦です。

独立行政法人経済産業研究所が、「人工知能への信頼-リハビリテーション・ロボットを例に」という報告書を公表していますね。。。

その要旨から。。。


要旨

...本稿では、利用に際して複数の当事者がかかわる医療機器であるリハビリテーション・ロボットを取り上げ、その信頼について論じる。医師、療法士、ロボット開発者、患者の四者関係を踏まえ、それぞれの立場からみた信頼できる AI の要素をアンケート調査から分析した結果を報告する。結論として、患者・医師・療法士が求める「低費用」を技術者は求めていないなど、「信頼できるロボット」の要素には四者間で相違があり、また、新型コロナウイルスなどの疫病が流行している時点とそうでない平常時において、それぞれが求める要素にも違いが出ることが示された。少子高齢化に歯止めがかからず、医療分野の人手不足を補うために必要不可欠となるリハビリテーション・ロボットの今後の技術開発に際して、日本ではこのような齟齬を政策的に埋めていく必要があろう。


患者、医師、療法士、技術者に対するサンプル調査をしていてなかなか面白い研究だと思いました。

Trustという言葉について、Relianceと比較した説明があります。。。


倫理学においては、 Trust は、日本語で信頼と訳されることがある Relianceとは異なるとされる(Baier, 1986)。人は、Trust が失われたときには「裏切られた」と感じるが、Reliance が失われたときには「失望した」だけで済む、という差異があるという。Reliance より Trust のほうがより強い期待を伴う信頼であると考えられる。


財務諸表監査においては、「内部統制に依拠する」という言葉を使うことがあるが、その場合の依拠は、"rely on"と言います。Relianceの動詞ですね。。。確かに、内部統制に依拠しようとして、実は依拠できないと分かった時、監査人は「失望」はしますが、「裏切られた」とまでは思わないですね。。。なるほどです。。。

 

独立行政法人経済産業研究所

・2022.09.21 人工知能への信頼-リハビリテーション・ロボットを例に

・[PDF] 人工知能への信頼-リハビリテーション・ロボットを例に

20220923-01010

 

| | Comments (0)

IPA 「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書

こんにちは、丸山満彦です。

IPAが、「産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書を公表していますね。。。

検知手法としては、

  1. シグネチャー型
  2. ルールベース
  3. 振る舞い検知型
    1. 量的解析(フローベース)
    2. 質的解析(コンテンツベース)
  4. サンドボックス型
  5. ステートフルプロトコル解析

検知方法としては、

  1. ネットワーク監視型
    1. インライン型
    2. 受動型
      1. スパニングポートを利用した監視
      2. ネットワークタップを利用した監視
      3. ロードバランサを利用した監視
  2. エージェント型
  3. ヒストリアン型

が挙げられていますね。。。

産業用制御システム向け侵入検知製品の利用例として、

  1. 不動産・ビル業界
  2. 運輸・交通業界
  3. 石油・エネルギー業界

が、挙げられていますね。。。

参考になりますね。。。

 

IPA

・2022.09.20 産業用制御システム向け侵入検知製品の実装技術の調査」調査報告書の公開

20220922-232520

 

1. 本調査の概要
1.1.
本調査の背景と目的
1.2.
侵入検知技術の説明資料の作成の概要
1.3.
侵入検知技術の利用動向調査の概要

2. 産業用制御システムにおける侵入検知製品の技術の分類・整理結果
2.1.
検知手法
 2.1.1.
シグネチャー型
 2.1.2. ルールベース(仕様ベース)
 2.1.3. 振る舞い検知型
  2.1.3.1. 量的解析(フローベース)
  2.1.3.2. 質的解析(コンテンツベース)
 2.1.4. サンドボックス型
 2.1.5. ステートフルプロトコル解析

2.2.
検知方法
 2.2.1.
ネットワーク監視型
  2.2.1.1. インライン型
  2.2.1.2. 受動型
   2.2.1.2.1. スパニングポートを利用した監視
   2.2.1.2.2. ネットワークタップを利用した監視
   2.2.1.2.3. ロードバランサを利用した監視
 2.2.2. エージェント型
 2.2.3. ヒストリアン型

2.3.
侵入検知製品の付加機能
 2.3.1.
資産管理機能
 2.3.2. 脆弱性診断機能
 2.3.3. 攻撃経路予測機能
 2.3.4. モニタリング・他のデバイスとの通信状況の可視化機能
 2.3.5. フォレンジック分析機能
 2.3.6. パケットキャプチャ・保存機能
 2.3.7. コンプライアンス監査機能
 2.3.8. 他社ネットワーク機器・SIEM 連携機能
 2.3.9. 管理コンソール機能

APPENDIX. ドイツの政府系サイバーセキュリティ機関であるBSIの ICS におけるアノマリー検知に関するガイドライン
A.1.
アノマリーの具体的な例
 A.1.1.
ネットワークにおける通常とは異なる、あるいは、異常なアクティビティ
 A.1.2. 実運用環境のログに記録された異常なイベント
 A.1.3. 通常とは異なるプロセスデータ(センサーデータ、コントロールデータ等)の変化

A.2.
アノマリー検知システムに必要な機能に関する要件
 A.2.1.
一般的な要件
 A.2.2. 通常とは異なる、あるいは、異常なネットワークアクティビティに関する要件
 A.2.3. 実運用環境のログにおいて典型的な異常なイベントに関する要件
 A.2.4. プロセスデータ(センサーデータ、制御データ)の通常とは異なる変化に関する要件

3. 侵入検知技術の利用動向調査結果
3.1.
不動産・ビル業界の調査結果から参考になるポイント
 3.1.1.
侵入検知製品の利用概要
  3.1.1.1. システムの構成
  3.1.1.2. 侵入検知製品の適用範囲
  3.1.1.3. 採用している侵入検知製品技術
  3.1.1.4. 採用している侵入検知製品の付加機能
  3.1.1.5. 侵入検知製品と既存のセキュリティ対策技術の組み合わせ
 3.1.2. 導入にあたって参考となる事例
  3.1.2.1. 導入に至った背景
  3.1.2.2. 導入に向けた検討
  3.1.2.3. チューニング、試用期間
 3.1.3. 運用にあたって参考となる事例
  3.1.3.1. 侵入検知製品の運用・監視体制
  3.1.3.2. 侵入を検知した際の対処方策
  3.1.3.3. 運用時のメリット・デメリット
  3.1.3.4. 明らかになった課題
  3.1.3.5. 今後のセキュリティに関する展望等

3.2.
運輸・交通業界の調査結果から参考になるポイント
 3.2.1.
侵入検知製品、不正な端末の接続検知製品・不正なソフトウェア検知製品の利用概要
  3.2.1.1. システムの構成
  3.2.1.2. 侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品の適用範囲
  3.2.1.3. 採用している侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品技術
  3.2.1.4. 採用している侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品の付加機能
  3.2.1.5. 侵入検知製品・不正な端末の接続検知製品・不正なソフトウェア検知製品と既存のセキュリティ対策技術の組み合わせ
 3.2.2. 導入にあたって参考となる事例
  3.2.2.1. 導入に至った背景
  3.2.2.2. 導入に向けた検討
  3.2.2.3. チューニング、試用期間
 3.2.3. 運用にあたって参考となる事例
  3.2.3.1. 侵入検知製品の運用・監視体制
  3.2.3.2. 侵入を検知した際の対処方策
  3.2.3.3. 運用時のメリット・デメリット
  3.2.3.4. 明らかになった課題
  3.2.3.5. 今後のセキュリティに関する展望等

3.3.
石油・エネルギー業界の調査結果から参考になるポイント
 3.3.1.
侵入検知製品の利用概要
  3.3.1.1. システムの構成
  3.3.1.2. 侵入検知製品の適用範囲
  3.3.1.3. 採用している侵入検知製品技術
  3.3.1.4. 採用している侵入検知製品の付加機能
  3.3.1.5. 侵入検知製品と既存のセキュリティ対策技術の組み合わせ
 3.3.2. 導入にあたって参考となる事例
  3.1.2.1. 導入に至った背景
  3.3.2.2. 導入に向けた検討
  3.3.2.3. チューニング、試用期間
 3.3.3. 運用にあたって参考となる事例
  3.3.3.1. 侵入検知製品の運用・監視体制
  3.3.3.2. 侵入を検知した際の対処方策
  3.3.3.3. 運用時のメリット・デメリット
  3.3.3.4. 明らかになった課題
  3.3.3.5. 今後のセキュリティに関する展望等

4. 調査結果のまとめ
4.1.
各業界における侵入検知製品の導入状況に関する考察
 4.1.1.
不動産・ビル業界における侵入検知製品の導入状況に関する考察
 4.1.2. 運輸・交通業界における侵入検知製品の導入状況に関する考察
 4.1.3. 石油・エネルギー業界における侵入検知製品の導入状況に関する考察

4.2.
導入システムや導入場所、導入製品、監視・対処体制に関する考察

5. 侵入検知製品の導入を検討する事業者において参考となる事例
5.1.
侵入検知製品を導入し運用していく上での課題
5.2.
課題の解決のための創意工夫が見られる事例の取りまとめ

用語集

 

| | Comments (0)

2022.09.22

ドイツ BSI (連邦情報セキュリティ局):自動車業界状況報告2021/2022

こんにちは、丸山満彦です。

ドイツの連邦情報セキュリティ局が自動車業界の情勢報告2021/2022を公表していますね。。。「サイバーセキュリティが鍵」というメッセージですね。これは、昨年に2021.09.07に発表された報告書に続く、第2版です。

Bundesamt für Sicherheit in der Informationstechnik: BSI 

・2022.09.19 Cyber-Sicherheit als Schlüssel: BSI stellt Automotive-Lagebild 2021/2022 vor

Cyber-Sicherheit als Schlüssel: BSI stellt Automotive-Lagebild 2021/2022 vor サイバーセキュリティが鍵:BSIが自動車業界状況報告2021/2022を発表
Die Digitalisierung moderner Autos schreitet weiter schnell voran. Mitunter sind über 100 einzelner digitaler Steuerungsgeräte in heutigen Autos verbaut, die miteinander verbunden sind oder zentral gesteuert werden können. Durch das autonome Fahren und den Einsatz Künstlicher Intelligenz wird die Komplexität der Software-Architektur in Fahrzeugen weiterhin rasant zunehmen. Und auch die Unternehmen selbst sind mehr denn je auf sichere IT-Systeme angewiesen. Dies stellt das Bundesamt für Sicherheit in der Informationstechnik (BSI) in der zweiten Ausgabe seines Branchenlagebilds Automotive fest. 現代のクルマのデジタル化は急速に進み続けている。現在の自動車には、100個以上の個別のデジタル制御装置が搭載され、それらが相互に接続されたり、集中的に制御されたりすることもある。自律走行や人工知能の活用により、自動車に搭載されるソフトウェア・アーキテクチャの複雑さは今後も急速に増していくだろう。そして、企業自体も、安全なITシステムへの依存度がこれまで以上に高まっている。これは、連邦情報セキュリティ局(BSI)が、自動車産業の状況報告書の第2版で述べている。
BSI-Präsident Arne Schönbohm: „Das BSI gestaltet Informationssicherheit in der Digitalisierung für Staat, Gesellschaft und auch Wirtschaft. Die Automobilindustrie nimmt dabei auf Grund ihrer volkswirtschaftlichen Bedeutung und ihrer umfangreichen Lieferketten eine besondere Stellung ein. Mit dem Lagebild Automotive 2021/22 wird einmal mehr deutlich, dass Cyber-Sicherheit in allen Gliedern der Lieferkette mitgedacht werden muss – von Anfang an bis zum fertigen Produkt. Cyber-Sicherheit ist der Schlüssel für eine funktionierende Automobilindustrie.“ BSIのアルネ・シェーンボーム会長:「BSIは、国家、社会、そして経済のために、デジタル化における情報セキュリティを形成している。自動車産業は、その経済的重要性と広範なサプライチェーンから、特別な位置を占めている。「自動車業界状況報告2021/2022」は、サイバーセキュリティはサプライチェーンのすべてのリンク(最初から最終製品まで)で考慮されなければならないことを改めて明確にしている。サイバーセキュリティは、自動車産業が機能するための鍵である。」
Das Branchenlagebild Automotive 2021/2022 ist die zweite Ausgabe eines branchenspezifischen Überblicks aus Sicht des BSI zur Lage der Cyber-Sicherheit im Bereich „Automotive“, sowohl hinsichtlich der Produktion, als auch der Fahrzeuge selbst. Es macht deutlich, dass künftige Automobile noch viel stärker als heute schon von IT-Funktionen abhängig sein werden. Die Steuerung des Fahrzeugs selbst, aber auch die Vernetzung mit der Infrastruktur (car-to-x) wird rasant digitalisiert. So wurde in Deutschland im vergangenen Jahr die weltweit erste Genehmigung für ein automatisiertes KFZ (Spurhaltesystem) erteilt. Daher ist es aus Sicht des BSI von besonderer Bedeutung, dass die dazu notwendigen, neuen Technologien nicht manipulierbar sein dürfen und mögliche Cyber-Angriffe keinen Einfluss auf die Fahrsicherheit haben dürfen. Das BSI begrüßt daher, dass die Hersteller Cyber-Sicherheit frühzeitig im Entwicklungszyklus neuer Fahrzeugmodelle berücksichtigen und die Umsetzung nach EU-Typgenehmigungsrecht auch nachweisen müssen. 「自動車業界状況報告2021/2022」は、「自動車」セクターのサイバーセキュリティ状況について、生産と車両自体の両面からBSIの視点でセクター別にまとめた第2版である。これからの自動車は、今以上にIT機能への依存度が高まることが明らかである。車両自体の制御はもちろん、インフラとのネットワーク化(car-to-x)も急速にデジタル化されている。例えば、昨年はドイツで世界初の自動運転車(車線維持システム)の認可が下りた。そのため、BSIの観点からは、このために必要な新技術が操作可能であること、起こりうるサイバー攻撃が運転の安全性に影響を与えないことが特に重要であるとしている。したがって、BSIは、メーカーが新車種の開発サイクルの早い段階でサイバーセキュリティを考慮し、さらにEU型式認証法に従って実装を証明しなければならないという事実を歓迎する。
Im Berichtszeitraum waren erneut mehrere Automobilzulieferer von Ransomware-Vorfällen betroffen. Dadurch kam es bei den Betroffenen zu massiven Unterbrechungen der Leistungserbringung. Die durch das BSI grundsätzlich festgestellte Tendenz, dass Dritte mittelbar ebenfalls von IT-Sicherheitsvorfällen in Mitleidenschaft gezogen werden, bestätigt sich auch hier. So war auch ein weltweit führender Automobilhersteller von Ransomware-Angriffen bei Zulieferern betroffen und musste seinerseits seine Produktion drosseln. Im Hinblick auf die operative Cyber-Sicherheit in den Betrieben stellen Ransomware-Angriffe aus Sicht des BSI aktuell die größte Bedrohung dar. Neben den bestehenden Auswirkungen der COVID‑19-Pandemie, insbesondere in den Bereichen von Zulieferteilen, -produkten oder –dienstleistungen, wird die Lage maßgeblich durch den Krieg in der Ukraine und den damit verbundenen wirtschaftlichen, aber zunehmend auch cyber-sicherheitsrelevanten Auswirkungen auf die deutsche Automobilindustrie geprägt. Dies sind u. a. Verfügbarkeitsangriffe auf Webseiten durch DDoS-Angriffe sowie intensive Hacktivisten-Aktivitäten. 報告書の期間中、いくつかの自動車部品メーカーが再びランサムウェアの被害を受けた。そのため、被災組織ではサービスの提供に大規模な支障をきたすことになった。BSIが確認した、ITセキュリティ事故の影響を第三者も間接的に受けるという一般的な傾向は、ここでも確認されている。例えば、世界的な大手自動車メーカーも、サプライヤーへのランサムウェア攻撃の影響を受け、生産縮小を余儀なくされました。企業における運用上のサイバーセキュリティについては、BSIの観点では、現在、ランサムウェア攻撃が最大の脅威となっている。COVID 19の大流行による既存の影響、特にサプライヤーの部品、製品、サービスの分野に加え、ウクライナ戦争とそれに伴う経済的な影響、さらにはドイツの自動車産業に対するサイバーセキュリティ関連の影響によって、状況は大きく変化している。DDoS攻撃によるWebサイトへの可用性攻撃や、ハクティビストによる集中的な活動などである。
Um die Cyber-Sicherheit für den Wirtschafts- und Automobilstandort Deutschland zu erhöhen, arbeitet das BSI in Fragen der Cyber-Sicherheit eng mit dem Kraftfahrtbundesamt (KBA), dem Verband der Automobilindustrie (VDA) sowie weiteren Behörden und aus der Wirtschaft betroffenen Unternehmen zusammen. ビジネスや自動車の拠点としてのドイツのサイバーセキュリティを高めるため、BSIは連邦自動車交通局(KBA)、ドイツ自動車工業会(VDA)、その他の当局やサイバーセキュリティ問題の影響を受ける企業と緊密に連携している。

 

・2022.09.19 Branchenlagebild Automotive 2021/2022

Branchenlagebild Automotive 2021/2022 自動車業界状況報告 2021/2022
Die zweite Auflage des Branchenlagebild Automotive 2021/2022 gibt einen branchenspezifischen Überblick zur Lage der Cyber-Sicherheit im Bereich „Automotive“. Sie zeigt vielfältige und komplexe Herausforderungen auf - sowohl hinsichtlich der Produktion als auch der Fahrzeuge selbst. Die Publikation verdeutlicht, wie wichtig diese Aufgabe bei Herstellern, Zulieferern, Entwicklern und anderen Dienstleistern der Automobilindustrie ist und stellt das Engagement des BSI in diesem Sektor dar. 「自動車業界状況報告2021/2022」の第2版では、自動車業界のサイバーセキュリティの状況を分野別にまとめている。生産面でも車両面でも、多様で複雑な課題が浮き彫りになっている。本書は、自動車産業のメーカー、サプライヤー、開発者、その他のサービスプロバイダーにとって、このタスクがいかに重要であるかを説明し、この分野に対するBSIのコミットメントを提示している。

 

・[PDF]

20220922-62925

・[DOCX] 仮訳

 

 

 

1 Einleitung 1 はじめに
2 Managementübersicht zur Gesamtlage 2 経営の全体像の把握
3 Cyber-Sicherheit in der Automobilbranche 3 自動車産業におけるサイバーセキュリティ
3.1 Branchenüberblick 3.1 業界の概要
3.2 Auswirkungen durch den Angriffskrieg auf die Ukraine 3.2 ウクライナへの侵略戦争による影響
3.3 Gefahren durch Cybercrime 3.3 サイバー犯罪による脅威
3.4 Bedeutung der Informationssicherheit in der Supply Chain 3.4 サプライチェーンにおける情報セキュリティの重要性
3.5 Qualifizierung von Schlüsselpersonal 3.5 主要な人材の資格
4 Cyber-Sicherheit im Fahrzeug sowie in digitalen Produkten 4 自動車およびデジタル製品におけるサイバーセキュリティ
4.1 Vernetztes Fahren 4.1 コネクテッド・ドライブ
4.2 Automatisierung und Künstliche Intelligenz 4.2 オートメーションと人工知能
5 Cyber-Sicherheit in Produktionsanlagen und -prozessen 5 生産工場・プロセスにおけるサイバーセキュリティ
5.1 Digitalisierung als Herausforderung in der Produktion 5.1 生産現場の課題としてのデジタル化
5.2 Schwachstellenmanagement 5.2 脆弱性管理
5.3 Dienstleister und Fernservices 5.3 サービスプロバイダーとリモートサービス
6 Maßnahmen und Aktivitäten 6 施策と活動
6.1 Informationssicherheit im Unternehmen 6.1 企業における情報セキュリティ
6.2 Regulierung und Standardisierung - Vorgaben zur Cyber-Sicherheit 6.2 規制と標準化 - サイバーセキュリティ要件
6.3 Neuregelungen für Unternehmen im besonderen öffentlichen Interesse (UBI) 6.3 特別公益法人(UBI)に対する新たな規制
6.4 Zusammenarbeit und Aktivitäten des BSI 6.4 BSIの協力と活動
7 Chancen und Risiken: Ein Blick in die nahe Zukunft 7 チャンスとリスク:近未来への展望
Literaturverzeichnis 書誌情報
Impressum インプリント

 

 

 


 

昨年度

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.08 独国 BSI 自動車業界におけるサイバーセキュリティ

Bundesamt für Sicherheit in der Informationstechnik: BSI

 ・2021.09.07 Crashtest für Cyber-Sicherheit – BSI stellt Automotive-Lagebild vor

 ・2021.09.07 Branchenlagebild Automotive

 ・[PDF] Branchenlagebild Automotive - Cyber-Sicherheit in der Automobilbranche

 20210908-61137

 

| | Comments (0)

2022.09.21

米国 デジタル資産の責任ある開発に関する包括的フレームワーク (2022.09.16)

こんにちは、丸山満彦です。

米国が、デジタル資産の責任ある開発に関する包括的フレームワークを発表していますね。。。

暗号資産の規制とデジタルドルに関する内容も含まれているようです。。。

2022.09.21現在では、フレームワークの報告書?へのリンクが切れているようなんですよね。。。

 

White House

・2022.09.16 Statement by NEC Director Brian Deese and National Security Advisor Jake Sullivan on Digital Assets Framework

Statement by NEC Director Brian Deese and National Security Advisor Jake Sullivan on Digital Assets Framework デジタル資産フレームワークに関するNECのブライアン・ディース局長とジェイク・サリバン国家安全保障アドバイザーの声明
At the direction of President Biden and after 180 days of determined work across the Biden-Harris administration, we are releasing the first-ever comprehensive federal digital assets framework– positioning us to keep playing a leading role in the innovation and governance of the digital assets ecosystem at home and abroad and in a way that protects consumers, is consistent with our democratic values, and advances U.S. global competitiveness. バイデン大統領の指示のもと、バイデン-ハリス政権全体の 180 日間に及ぶ決意の作業の後、我々は史上初の包括的な連邦デジタル資産フレームワークを発表する。これは、国内外のデジタル資産エコシステムの革新とガバナンスにおいて、消費者を守り、民主主義の価値と一致し、米国の国際競争力を高める形で、我々が主導的役割を演じ続けるためのものである。
First, consistent with the President’s directive to place the “highest urgency” on research and development of a U.S. central bank digital currency (CBDC), the Administration encourages the Federal Reserve to continue its research and experimentation. We will also launch an interagency working group to support Federal Reserve efforts by the considering policy implications of a potential CBDC, especially for our national security. The leadership of the Federal Reserve, the National Economic Council, the National Security Council, the Office of Science and Technology Policy, the Treasury Department, and other agencies as appropriate, will meet regularly to discuss updates and progress. Second, the Administration will execute a comprehensive action plan with priority steps to mitigate key risks of cryptocurrencies—among others, money laundering and financing for terrorism. Agencies have developed recommendations to improve our ability to track, trace, and counter illicit cryptocurrency use, and urge further steps to redouble U.S. sanctions enforcement. Third, the reports propose critical measures to protect consumers, investors, and businesses—a top priority for President Biden. The reports encourage regulators, as they deem appropriate, to scale up investigations into digital asset market misconduct, redouble their enforcement efforts, and strengthen interagency coordination. To accomplish all the above steps, the reports call for continued engagement with allies and partners on these issues, which will reinforce U.S. technological and financial leadership globally. 第一に、米国の中央銀行デジタル通貨(CBDC)の研究開発に「最高の緊急性」を置くという大統領の指示と一致し、政権は連邦準備制度が研究と実験を継続することを奨励する。我々はまた、潜在的なCBDCの政策的影響、特に我々の国家安全保障への影響を考慮することにより、連邦準備銀行の努力を支援するための省庁間作業部会を立ち上げる予定である。連邦準備制度理事会、国家経済会議、国家安全保障会議、科学技術政策室、財務省、その他適宜の機関の指導者は、最新情報と進捗状況を議論するために定期的に会合を開く予定である。第二に、暗号通貨の主要なリスク(特にマネーロンダリングとテロリズムへの融資)を軽減するための優先的なステップを含む包括的な行動計画を実行することである。各機関は、暗号通貨の不正使用を追跡、追跡、および対策する能力を向上させるための勧告を作成し、米国の制裁執行を強化するためのさらなる措置を促した。第三に、報告書は、バイデン大統領の最優先事項である消費者、投資家、企業を保護するための重要な手段を提案している。報告書は、規制当局が適切と考える場合には、デジタル資産市場の不正行為に関する調査を拡大し、執行努力を倍加させ、省庁間の調整を強化するよう促している。上記のすべてのステップを達成するために、報告書は、これらの問題に関して同盟国やパートナーとの継続的な関与を求め、それによって米国の技術および金融における世界的なリーダーシップが強化されるとしている。
Together, we are laying the groundwork for a thoughtful, comprehensive approach to mitigating digital assets’ acute risks and—where proven—harnessing their benefits. We remain committed to working with allies, partners, and the broader digital asset community to shape the future of this ecosystem. 我々は共に、デジタル資産の深刻なリスクを軽減し、実証されている場合にはその利点を活用するための、思慮深い包括的なアプローチの基礎を築きつつある。我々は、このエコシステムの将来を形作るために、同盟国、パートナー、そしてより広いデジタル資産コミュニティと協力していくことを約束する。

 

・2022.09.16 FACT SHEET:  White House Releases First-Ever Comprehensive Framework for Responsible Development of Digital Assets

FACT SHEET:  White House Releases First-Ever Comprehensive Framework for Responsible Development of Digital Assets ファクトシート:ホワイトハウス、デジタル資産の責任ある開発に関する史上初の包括的フレームワークを発表
Following the President’s Executive Order, New Reports Outline Recommendations to Protect Consumers, Investors, Businesses, Financial Stability, National Security, and the Environment 大統領の大統領令を受け、消費者、投資家、企業、金融安定、国家安全保障、環境を保護するための推奨事項をまとめた新レポートを発表
The digital assets market has grown significantly in recent years. Millions of people globally, including 16% of adult Americans, have purchased digital assets—which reached a market capitalization of $3 trillion globally last November. Digital assets present potential opportunities to reinforce U.S. leadership in the global financial system and remain at the technological frontier.  But they also pose real risks as evidenced by recent events in crypto markets. The May crash of a so-called stablecoin and the subsequent wave of insolvencies wiped out over $600 billion of investor and consumer funds. 近年、デジタル資産市場は大きく成長している。米国人の成人の16%を含む世界中の何百万人もの人々がデジタル資産を購入しており、昨年11月にはその時価総額が世界で3兆ドルに達した。デジタル資産は、世界の金融システムにおける米国のリーダーシップを強化し、技術的なフロンティアを維持するための潜在的な機会を提供する。  しかし、最近の暗号市場で起こった出来事が示すように、デジタル資産は現実的なリスクもはらんでいる。5月のいわゆるステーブルコインの暴落とそれに続く倒産の波は、6000億ドル以上の投資家と消費者の資金を一掃した。
President Biden’s March 9 Executive Order (EO) on Ensuring Responsible Development of Digital Assets outlined the first whole-of-government approach to addressing the risks and harnessing the potential benefits of digital assets and their underlying technology. Over the past six months, agencies across the government have worked together to develop frameworks and policy recommendations that advance the six key priorities identified in the EO: consumer and investor protection; promoting financial stability; countering illicit finance; U.S. leadership in the global financial system and economic competitiveness; financial inclusion; and responsible innovation. バイデン大統領が3月9日に発表した「デジタル資産の責任ある開発の確保に関する大統領令(EO)」は、デジタル資産とその基盤技術のリスクに対処し、潜在的利益を活用するための初の政府全体によるアプローチを概説している。過去6カ月間、政府機関は協力して、EOで特定された6つの主要な優先事項(消費者と投資家の保護、金融安定の促進、不正資金対策、国際金融システムにおける米国のリーダーシップと経済競争力、金融包摂、責任あるイノベーション)を推進するための枠組みや政策提言を作成した。
The nine reports submitted to the President to date, consistent with the EO’s deadlines, reflect the input and expertise of diverse stakeholders across government, industry, academia, and civil society. Together, they articulate a clear framework for responsible digital asset development and pave the way for further action at home and abroad. The reports call on agencies to promote innovation by kickstarting private-sector research and development and helping cutting-edge U.S. firms find footholds in global markets. At the same time, they call for measures to mitigate the downside risks, like increased enforcement of existing laws and the creation of commonsense efficiency standards for cryptocurrency mining. Recognizing the potential benefits and risks of a U.S. Central Bank Digital Currency (CBDC), the reports encourage the Federal Reserve to continue its ongoing CBDC research, experimentation, and evaluation and call for the creation of a Treasury-led interagency working group to support the Federal Reserve’s efforts. EO の期限内に大統領に提出された 9 つの報告書は、政府、産業界、学界、市民社会の多様な関係者の意見や専門知識を反映したものである。これらの報告書は、責任あるデジタル資産開発のための明確な枠組みを明示し、国内外でのさらなる行動への道を開くものである。これらの報告書は、民間部門の研究開発を促進し、米国の最先端企業がグローバル市場で足掛かりを見つけるのを支援することで、イノベーションを促進するよう各機関に求めている。同時に、既存法の執行強化や暗号通貨マイニングの常識的な効率基準の策定など、マイナス面のリスクを軽減するための施策も求めている。米国中央銀行デジタル通貨(CBDC)の潜在的な利益とリスクを認識し、報告書は連邦準備制度理事会(FRB)に現在進行中のCBDCの研究、実験、評価の継続を奨励し、FRBの努力を支援する財務省主導の省庁間作業部会の創設を呼びかけている。
Protecting Consumers, Investors, and Businesses 消費者、投資家、企業の保護
Digital assets pose meaningful risks for consumers, investors, and businesses. Prices of these assets can be highly volatile: the current global market capitalization of cryptocurrencies is approximately one-third of its November 2021 peak. Still sellers commonly mislead consumers about digital assets’ features and expected returns, and non-compliance with applicable laws and regulations remains widespread. One study found that almost a quarter of digital coin offerings had disclosure or transparency problems—like plagiarized documents or false promises of guaranteed returns. Outright fraud, scams, and theft in digital asset markets are on the rise: according to FBI statistics, reported monetary losses from digital asset scams were nearly 600 percent higher in 2021 than the year before. デジタル資産は、消費者、投資家、企業にとって重大なリスクをもたらす。暗号通貨の現在の世界的な時価総額は、2021年11月のピーク時の約3分の1であり、これらの資産の価格は非常に不安定である。また、販売者はデジタル資産の特徴や期待リターンについて消費者に誤解を与えることが多く、適用される法律や規制の非遵守が依然として蔓延している。ある調査によると、デジタルコインオファリングの約4分の1が、文書の盗用やリターンの保証に関する虚偽の約束など、情報開示や透明性に問題があることが判明している。FBIの統計によると、2021年に報告されたデジタル資産詐欺による金銭的損失は、前年比で約600%増加している。
Since taking office, the Biden-Harris Administration and independent regulators have worked to protect consumers and ensure fair play in digital assets markets by issuing guidanceincreasing enforcement resources, and aggressively pursuing fraudulent actors. As outlined in the reports released today, the Administration plans to take the following additional steps: バイデン=ハリス政権と独立規制当局は、就任以来、ガイダンスの発行、執行リソースの増強、詐欺師の積極的な追及により、消費者の保護とデジタル資産市場における公正な取引の確保に取り組んできた。本日発表された報告書に概説されているように、同政権は以下の追加措置を講じる予定である。
・The reports encourage regulators like the Securities and Exchange Commission (SEC) and Commodity Futures Trading Commission (CFTC), consistent with their mandates, to aggressively pursue investigations and enforcement actions against unlawful practices in the digital assets space. ・証券取引委員会(SEC)や商品先物取引委員会(CFTC)などの規制当局が、それぞれの権限に基づき、デジタル資産分野での違法行為に対する調査や強制措置を積極的に推進するよう奨励する。
・The reports encourage Consumer Financial Protection Bureau (CFPB) and Federal Trade Commission (FTC), as appropriate, to redouble their efforts to monitor consumer complaints and to enforce against unfair, deceptive, or abusive practices. ・消費者金融保護局(CFPB)と連邦取引委員会(FTC)に対し、消費者からの苦情を監視し、不公正、欺瞞的、または不正な行為に対して執行する努力を強化するよう促している。
・The reports encourage agencies to issue guidance and rules to address current and emergent risks in the digital asset ecosystem. Regulatory and law enforcement agencies are also urged to collaborate to address acute digital assets risks facing consumers, investors, and businesses.  In addition, agencies are encouraged to share data on consumer complaints regarding digital assets—ensuring each agency’s activities are maximally effective. ・報告書は、デジタル資産のエコシステムにおける現在および将来のリスクに対処するためのガイダンスや規則を発行するよう各機関に促している。また、規制当局と法執行機関は、消費者、投資家、企業が直面するデジタル資産の深刻なリスクに対処するために協力するよう要請されている。さらに、各機関はデジタル資産に関する消費者の苦情に関するデータを共有し、各機関の活動が最大限に効果的であることを保証することが奨励される。
・The Financial Literacy Education Commission (FLEC) will lead public-awareness efforts to help consumers understand the risks involved with digital assets, identify common fraudulent practices, and learn how to report misconduct. ・金融リテラシー教育委員会(FLEC)は、消費者がデジタル資産に関わるリスクを理解し、一般的な詐欺行為を特定し、不正行為を報告する方法を学ぶことができるよう、一般啓発活動を主導することになる。
Promoting Access to Safe, Affordable Financial Services 安全で安価な金融サービスへのアクセス促進
Today, traditional finance leaves too many behind. Roughly 7 million Americans have no bank account. Another 24 million rely on costly nonbank services, like check cashing and money orders, for everyday needs. And for those who do use banks, paying with traditional financial infrastructure can be costly and slow—particularly for cross-border payments. 今日、伝統的な金融は多くの人々を置き去りにしている。約700万人の米国人が銀行口座を持っていない。さらに2,400万人が、日常的なニーズに応じて、チェックキャッシングやマネーオーダーなど、費用のかかるノンバンクサービスに頼っている。また、銀行を利用している人たちにとっても、従来の金融インフラでの支払いは、特に国境を越えた支払いでは、コストがかかり、時間もかかる。
The digital economy should work for all Americans. That means developing financial services that are secure, reliable, affordable, and accessible to all. To make payments more efficient, the Federal Reserve has planned the 2023 launch of FedNow—an instantaneous, 24/7 interbank clearing system that will further advance nationwide infrastructure for instant payments alongside The Clearinghouse’s Real Time Payments system. Some digital assets could help facilitate faster payments and make financial services more accessible, but more work is needed to ensure they truly benefit underserved consumers and do not lead to predatory financial practices. デジタル経済は、すべてのアメリカ人のために機能するものでなければならない。つまり、安全で、信頼性が高く、手頃な価格で、誰もが利用できる金融サービスを開発することである。連邦準備制度理事会は、決済をより効率的にするために、2023年にFedNow(24時間365日即時決済可能な銀行間決済システム)の立ち上げを計画しており、クリアリングハウスのリアルタイム決済システムとともに、即時決済のための全国的インフラをさらに発展させる予定である。デジタル資産の中には、より迅速な決済を促進し、金融サービスをより利用しやすくするものもあるが、サービスが十分でない消費者に真に恩恵を与え、略奪的な金融慣行につながらないようにするためには、より多くの作業が必要である。
To promote safe and affordable financial services for all, the Administration plans to take the following steps: すべての人にとって安全で手頃な金融サービスを促進するため、行政は以下の措置を講じる予定である。
・Agencies will encourage the adoption of instant payment systems, like FedNow, by supporting the development and use of innovative technologies by payment providers to increase access to instant payments, and using instant payment systems for their own transactions where appropriate – for example, in the context of distribution of disaster, emergency or other government-to-consumer payments
.
・各省庁は、FedNow のような即時決済システムの採用を奨励する。これは、即時決済へのアクセスを向上させるため、決済プロバイダーによる革新的な技術の開発と利用を支援し、適切な場合には、例えば、災害時、緊急時、その他の政府から消費者への支払いの配布という観点から、自らの取引に即時決済システムを使用することによって行われる。
・The President will also consider agency recommendations to create a federal framework to regulate nonbank payment providers. ・大統領はまた、ノンバンクの決済事業者を規制するための連邦政府の枠組みを作るための省庁の提言も検討することになる。
・Agencies will prioritize efforts to improve the efficiency of cross-border payments by working to align global payments practices, regulations, and supervision protocols, while exploring new multilateral platforms that integrate instant payment system. ・各省庁は、グローバルな決済実務、規制、監督プロトコルの整合性を図りながら、インスタント決済システムを統合する新たな多国間プラットフォームを模索し、国境を越えた決済の効率化に優先的に取り組むことになるであろう。
・The National Science Foundation (NSF) will back research in technical and socio-technical disciplines and behavioral economics to ensure that digital asset ecosystems are designed to be usable, inclusive, equitable, and accessible by all. ・全米科学財団(NSF)は、デジタル資産のエコシステムが、使いやすく、包括的で、公平で、誰もがアクセスできるように設計されるよう、技術・社会技術分野と行動経済学の研究を支援する。
Fostering Financial Stability 金融安定化の促進
Digital assets and the mainstream financial system are becoming increasingly intertwined, creating channels for turmoil to have spillover effects. Stablecoins, in particular, could create disruptive runs if not paired with appropriate regulation. The potential for instability was illustrated in May 2022 by the crash of the so-called stablecoin TerraUSD and the subsequent wave of insolvencies that erased nearly $600 billion in wealth. In October, the Financial Stability Oversight Council (FSOC) will publish a report discussing digital assets’ financial-stability risks, identifying related regulatory gaps, and making additional recommendations to foster financial stability. デジタル資産と主流の金融システムはますます絡み合うようになり、混乱が波及する経路を生み出している。特にステーブルコインは、適切な規制と組み合わされなければ、破壊的な暴走を引き起こす可能性がある。不安定化の可能性は、2022年5月、いわゆるステーブルコインのTerraUSDの暴落と、その後の約6000億ドルの富を消し去った債務超過の波によって示された。10月には、金融安定監督評議会(FSOC)が、デジタル資産の金融安定化リスクについて議論し、関連する規制のギャップを特定し、金融安定化を促進するための追加提言を行う報告書を発表する予定である。
The Biden-Harris Administration has long recognized the need for regulation to address digital assets’ stability risks. For example, in 2021, the President’s Working Group on Financial Markets recommended steps for Congress and regulators to make stablecoins safer. Building on this work, the Administration plans to take the additional following steps: バイデン=ハリス政権は、以前からデジタル資産の安定リスクに対処するための規制の必要性を認識してきた。例えば、2021年、大統領の金融市場に関する作業部会は、ステーブルコインをより安全にするために議会と規制当局がとるべき措置を提言した。この作業を踏まえ、行政はさらに以下のステップを踏む予定である。
・The Treasury will work with financial institutions to bolster their capacity to identify and mitigate cyber vulnerabilities by sharing information and promoting a wide range of data sets and analytical tools. ・財務省は、金融機関と協力し、情報を共有し、幅広いデータセットと分析ツールを推進することにより、金融機関のサイバー脆弱性を特定・軽減する能力を強化する。
・The Treasury will work with other agencies to identify, track, and analyze emerging strategic risks that relate to digital asset markets. It will also collaborate on identifying such risks with U.S. allies, including through international organizations like the Organization for Economic Co-operation and Development (OECD) and the Financial Stability Board (FSB). ・財務省は他の省庁と協力し、デジタル資産市場に関連する新たな戦略的リスクを特定、追跡、分析する。また、経済協力開発機構(OECD)や金融安定理事会(FSB)のような国際機関を通じて、米国の同盟国とそのようなリスクを特定するために協力する予定である。
Advancing Responsible Innovation 責任あるイノベーションの推進
U.S. companies lead the world in innovation. Digital asset firms are no exception. As of 2022, the United States is home to roughly half of the world’s 100 most valuable financial technology companies, many of which trade in digital asset services. 米国企業はイノベーションで世界をリードしている。デジタル資産企業も例外ではありません。2022年現在、世界で最も価値のある金融テクノロジー企業100社の約半数が米国にあり、その多くがデジタルアセットサービスを取引している。
The U.S. government has long played a critical role in priming responsible private-sector innovation. It sponsors cutting-edge research, helps firms compete globally, assists them with compliance, and works with them to mitigate harmful side-effects of technological advancement. 米国政府は、民間の責任あるイノベーションを促進するために、長い間重要な役割を担ってきた。米国政府は、最先端の研究を支援し、企業が国際的に競争できるようにし、コンプライアンスを支援し、技術進歩による有害な副作用を軽減するために協力する。
In keeping with this tradition, the Administration plans to take the following steps to foster responsible digital asset innovation: この伝統に従って、行政は責任あるデジタル資産のイノベーションを促進するため、以下のステップを踏む予定である。
・The Office of Science and Technology Policy (OSTP) and NSF will develop a Digital Assets Research and Development Agenda to kickstart fundamental research on topics such as next-generation cryptography, transaction programmability, cybersecurity and privacy protections, and ways to mitigate the environmental impacts of digital assets. It will also continue to support research that translates technological breakthroughs into market-ready products. Additionally, NSF will back social-sciences and education research that develops methods of informing, educating, and training diverse groups of stakeholders on safe and responsible digital asset use. ・科学技術政策局(OSTP)とNSFは、次世代暗号、取引のプログラマビリティ、サイバーセキュリティとプライバシー保護、デジタル資産の環境への影響を緩和する方法といったテーマに関する基礎研究を開始するため、「デジタル資産研究開発アジェンダ」を策定する。また、技術的なブレークスルーを市場に出せる製品に変換する研究も引き続き支援する。さらに、NSFは、デジタル資産の安全かつ責任ある利用について、多様なステークホルダーに情報を提供し、教育し、訓練する方法を開発する社会科学・教育研究を支援する。
・The Treasury and financial regulators are encouraged to, as appropriate, provide innovative U.S. firms developing new financial technologies with regulatory guidance, best-practices sharing, and technical assistance through things like tech sprints and Innovation Hours. ・財務省と金融規制当局は、新しい金融技術を開発する革新的な米国企業に対し、技術スプリントやイノベーションアワーのようなものを通じて、適宜、規制上のガイダンス、ベストプラクティスの共有、技術支援を行うことが推奨される。
・The Department of Energy, the Environmental Protection Agency, and other agencies will consider further tracking digital assets’ environmental impacts; developing performance standards as appropriate; and providing local authorities with the tools, resources, and expertise to mitigate environmental harms. Powering crypto-assets can take a large amount of electricity—which can emit greenhouse gases, strain electricity grids, and harm some local communities with noise and water pollution. Opportunities exist to align the development of digital assets with transitioning to a net-zero emissions economy and improving environmental justice. ・エネルギー省、環境保護庁、その他の機関は、デジタル資産の環境への影響をさらに追跡し、必要に応じてパフォーマンス基準を策定し、環境被害を軽減するためのツール、リソース、専門知識を地元当局に提供することを検討する。暗号資産を動かすには大量の電力を必要とする。この電力は温室効果ガスを排出し、電力網に負担をかけ、騒音や水質汚染で地域社会に害を与える可能性がある。デジタル資産の開発を、ネット・ゼロ・エミッション経済への移行や環境正義の改善と整合させる機会は存在する。
・The Department of Commerce will examine establishing a standing forum to convene federal agencies, industry, academics, and civil society to exchange knowledge and ideas that could inform federal regulation, standards, coordinating activities, technical assistance, and research support. ・商務省は、連邦政府機関、産業界、学術界、市民社会が、連邦政府の規制、基準、調整活動、技術支援、研究支援に役立つ知識やアイデアを交換するために招集する常設フォーラムの設立を検討する。
Reinforcing Our Global Financial Leadership and Competitiveness グローバル金融のリーダーシップと競争力の強化
Today, global standard-setting bodies are establishing policies, guidance, and regulatory recommendations for digital assets. The United States is working actively with its partners to set out these policies in line with our goals and values, while also reinforcing the United States’ role in the global financial system. Similarly, the United States has a valuable opportunity to partner with countries still developing their digital assets ecosystems, helping to ensure that countries’ financial, legal, and technological infrastructures respect core values including data privacy, financial stability, and human rights. 今日、世界的な標準化団体が、デジタル資産に関する政策、指針、規制勧告を策定している。米国はパートナーと積極的に協力し、我々の目標や価値観に沿ったこれらの政策を打ち出すと同時に、グローバルな金融システムにおける米国の役割を強化している。同様に、米国はデジタル資産のエコシステムを開発中の国々と提携し、各国の金融、法律、技術インフラがデータプライバシー、金融の安定、人権を含む中核的価値を尊重するよう支援する貴重な機会を持っている。
To reinforce U.S. financial leadership and uphold U.S. values in global digital asset markets, the Administration will take the following steps outlined in the framework for international engagement released by the Treasury Department earlier this summer: 世界のデジタル資産市場において米国の金融リーダーシップを強化し、米国の価値を維持するために、政権は今夏初めに財務省が発表した国際的関与のための枠組みで説明されている以下のステップを踏む予定である。
・U.S. agencies will leverage U.S. positions in international organizations to message U.S. values related to digital assets. U.S. agencies will also continue and expand their leadership roles on digital assets work at international organizations and standard-setting bodies—such as the G7, G20, OECD, FSB, Financial Action Task Force (FATF), and the International Organization for Standardization. Agencies will promote standards, regulations, and frameworks that reflect values like data privacy, free and efficient markets, financial stability, consumer protection, robust law enforcement, and environmental sustainability. 米国機関は、国際機関における米国の立場を活用し、デジタル資産に関連する米国の価値観を発信していく。 米国機関はまた、G7、G20、OECD、FSB、金融活動作業部会(FATF)、国際標準化機構などの国際機関や標準設定団体において、デジタル資産に関する業務で指導的役割を継続・拡大する。各省庁は、データプライバシー、自由で効率的な市場、金融の安定、消費者保護、強固な法執行、環境の持続可能性といった価値を反映した基準、規制、フレームワークを推進する。
・The State Department, the Department of Justice (DOJ), and other U.S. enforcement agencies will increase collaboration with—and assistance to—partner agencies in foreign countries through global enforcement bodies like the Egmont Group, bilateral information sharing, and capacity building. ・国務省、司法省(DOJ)、その他の米国執行機関は、エグモント・グループのような世界的な執行機関、二国間の情報共有、能力開発を通じて、外国のパートナー機関との協力、およびパートナー機関への援助を強化する。
・The State Department, Treasury, USAID, and other agencies will explore further technical assistance to developing countries building out digital asset infrastructure and services. As appropriate, this assistance may include technical assistance on legal and regulatory frameworks, evidence-gathering and knowledge-sharing on the impacts, risks, and opportunities of digital assets. ・国務省、財務省、USAID、その他の機関は、デジタル資産のインフラとサービスを構築する発展途上国への技術支援をさらに検討する。 この支援には、必要に応じて、法的規制の枠組みに関する技術支援、デジタル資産の影響、リスク、機会に関する証拠収集と知識の共有が含まれる場合がある。
・The Department of Commerce will help cutting-edge U.S. financial technology and digital asset firms find a foothold in global markets for their products. ・商務省は、米国の最先端の金融技術およびデジタル資産企業が、その製品の世界市場における足掛かりを見出すのを支援する。
Fighting Illicit Finance 不正金融との戦い
The United States has been a leader in applying its anti-money laundering and countering the financing of terrorism (AML/CFT) framework in the digital asset ecosystem. It has published relevant guidance, engaged in regular public-private dialogue, used its enforcement tools, and led in setting international AML/CFT standards. While our efforts have strengthened the U.S. financial system, digital assets— some of which are pseudonymous and can be transferred without a financial intermediary —have been exploited by bad actors to launder illicit proceeds, to finance terrorism and the proliferation of weapons of mass destruction, and to conduct a wide array of other crimes. For example, digital assets have facilitated the rise of ransomware cybercriminals; narcotics sales and money laundering for drug trafficking organizations; and the funding of activities of rogue regimes, as was the case in the recent thefts by the Democratic People’s Republic of Korea (DPRK)- affiliated Lazarus Group. 米国は、マネーロンダリング防止およびテロ資金調達対策(AML/CFT)の枠組みをデジタル資産のエコシステムに適用する上で、リーダー的存在となっている。米国は、関連するガイダンスを発表し、定期的に官民の対話に参加し、執行手段を活用し、国際的なAML/CFT基準の設定を主導してきた。私たちの努力によって米国の金融システムは強化されましたが、デジタル資産(その一部は仮名であり、金融仲介者を介さずに移転可能)は、不正な収益の洗浄、テロリズムや大量破壊兵器の拡散の資金調達、その他さまざまな犯罪を行うために悪用されてきた。例えば、デジタル資産は、サイバー犯罪者のランサムウェアの台頭、麻薬密売組織の麻薬販売とマネーロンダリング、朝鮮民主主義人民共和国(DPRK)系のLazarus Groupによる最近の盗難事件のような不正政権の活動資金調達を促進させてきた。
It is in the national interest to mitigate these risks through regulation, oversight, law enforcement action, and the use of other United States Government authorities. To fight the illicit use of digital assets more effectively, the Administration plans to take the following steps: 規制、監視、法執行、その他の米国政府当局の利用を通じて、これらのリスクを軽減することは国益に適う。デジタル資産の不正利用をより効果的に阻止するため、政権は以下の措置を講じる予定である。
・The President will evaluate whether to call upon Congress to amend the Bank Secrecy Act (BSA), anti-tip-off statutes, and laws against unlicensed money transmitting to apply explicitly to digital asset service providers—including digital asset exchanges and nonfungible token (NFT) platforms. He will also consider urging Congress to raise the penalties for unlicensed money transmitting to match the penalties for similar crimes under other money-laundering statutes and to amend relevant federal statutes to let the Department of Justice prosecute digital asset crimes in any jurisdiction where a victim of those crimes is found. ・大統領は、銀行機密保護法(BSA)、反チップオフ法、無許可の資金移動に対する法律を改正し、デジタル資産取引所や非可溶性トークン(NFT)プラットフォームを含むデジタル資産サービス・プロバイダーに明確に適用するよう議会に要請するかどうかを検討する。また、無許可の金銭授受に対する罰則を、他のマネーロンダリング法における同様の犯罪に対する罰則と同等に引き上げること、および関連する連邦法を改正し、デジタル資産犯罪の被害者がいる司法管轄区域で司法省が起訴できるよう議会に働きかけることも検討する予定である。
・The United States will continue to monitor the development of the digital assets sector and its associated illicit financing risks, to identify any gaps in our legal, regulatory, and supervisory regimes.  As part of this effort, Treasury will complete an illicit finance risk assessment on decentralized finance by the end of February 2023 and an assessment on non-fungible tokens by July 2023. ・米国は、デジタル資産分野の発展とそれに関連する不正資金調達のリスクを引き続き監視し、我々の法律、規制、監督体制におけるあらゆるギャップを特定する。  この努力の一環として、財務省は2023年2月末までに分散型金融に関する不法金融リスク評価を、2023年7月までに非可溶性トークンに関する評価を完了させる予定である。
・Relevant departments and agencies will continue to expose and disrupt illicit actors and address the abuse of digital assets.  Such actions will hold cybercriminals and other malign actors responsible for their illicit activity and identify nodes in the ecosystem that pose national security risks. ・関係省庁は引き続き、不正行為者の摘発と破壊、デジタル資産の乱用への対処を行う。  こうした行動は、サイバー犯罪者やその他の悪質な行為者の不法行為に対する責任を追及し、国家安全保障上のリスクをもたらすエコシステム内のノードを特定する。
・Treasury will enhance dialogue with the private sector to ensure that firms understand existing obligations and illicit financing risks associated with digital assets, share information, and encourage the use of emerging technologies to comply with obligations.  This will be supported by a Request for Comment published to the Federal Register for input on several items related to AML/CFT. ・財務省は、企業がデジタル資産に関連する既存の義務や不正資金調達のリスクを理解し、情報を共有し、義務を遵守するための新技術の利用を奨励するよう、民間企業との対話を強化する。  これは、AML/CFTに関連するいくつかの項目に関する意見を求めるために連邦官報に掲載される意見募集によって支援されるであろう。
Informing the above recommendations, the Treasury, DOJ/FBI, DHS, and NSF drafted risk assessments to provide the Administration with a comprehensive view of digital assets’ illicit-finance risks. The CFPB, an independent agency, also voluntarily provided information to the Administration as to risks arising from digital assets. The risks that agencies highlight include, but are not limited to, money laundering; terrorist financing; hacks that result in losses of funds; and fragilities, common practices, and fast-changing technology that may present vulnerabilities for misuse. 上記の提言を受けて、財務省、DOJ/FBI、DHS、NSFは、デジタル資産の違法金融リスクに関する包括的な見解を行政に提供するため、リスク評価を起草した。独立機関であるCFPBも、デジタル資産から生じるリスクについて、自主的に行政に情報を提供した。各機関が指摘するリスクには、マネーロンダリング、テロ資金調達、ハッキングによる資金流出、脆弱性、一般的な慣習、急速に変化する技術による不正利用の脆弱性などが含まれるが、これらに限定されない。
Exploring a U.S. Central Bank Digital Currency (CBDC) 米国の中央銀行デジタル通貨(CBDC)の検討
A U.S. CBDC – a digital form of the U.S. dollar – has the potential to offer significant benefits. It could enable a payment system that is more efficient, provides a foundation for further technological innovation, facilitates faster cross-border transactions, and is environmentally sustainable. It could promote financial inclusion and equity by enabling access for a broad set of consumers. In addition, it could foster economic growth and stability, protect against cyber and operational risks, safeguard the privacy of sensitive data, and minimize risks of illicit financial transactions. A potential U.S. CBDC could also help preserve U.S. global financial leadership, and support the effectiveness of sanctions. But a CBDC could also have unintended consequences, including runs to CBDC in times of stress. 米国中央銀行デジタル通貨(CBDC)は、米ドルのデジタル化であり、大きな利益をもたらす可能性がある。より効率的な決済システム、さらなる技術革新のための基盤、国境を越えた取引の迅速化、そして環境的に持続可能なシステムを実現できるかもしれない。また、幅広い消費者のアクセスを可能にすることで、金融包摂と公平性を促進することができる。さらに、経済成長と安定性を促進し、サイバーリスクやオペレーショナルリスクから保護し、機密データのプライバシーを保護し、不正な金融取引のリスクを最小化することができる。また、米国の潜在的な CBDC は、米国の国際金融のリーダーシップを維持し、制裁の有効性を支 持することができる。しかし、CBDC は、ストレスのあるときに CBDC に逃げ込むなど、意図しない結果をもたらす可能性もある。
Recognizing the possibility of a U.S. CBDC, the Administration has developed Policy Objectives for a U.S. CBDC System,which reflect the federal government’s priorities for a potential U.S. CBDC. These objectives flesh out the goals outlined for a CBDC in the E.O. A U.S. CBDC system, if implemented, should protect consumers, promote economic growth, improve payment systems, provide interoperability with other platforms, advance financial inclusion, protect national security, respect human rights, and align with democratic values. But further research and development on the technology that would support a U.S. CBDC is needed.  The Administration encourages the Federal Reserve to continue its ongoing CBDC research, experimentation, and evaluation. To support the Federal Reserve’s efforts and to advance other work on a potential U.S. CBDC, the Treasury will lead an interagency working group to consider the potential implications of a U.S. CBDC, leverage cross-government technical expertise, and share information with partners. The leadership of the Federal Reserve, the National Economic Council, the National Security Council, the Office of Science and Technology Policy, and the Treasury Department will meet regularly to discuss the working group’s progress and share updates on and share updates on CDBC and other payments innovations. 米国政府は、米国版 CBDC の可能性を認識し、米国版 CBDC のための政策目標(Policy Objectives for a U.S. CBDC System)を策定し、米国版 CBDC に対する連邦政府の優先順位を反映した。これらの目的は、大統領令で示された CBDC の目標を具体化したものである。米国 CBDC システムが実現されれば、消費者保護、経済成長の促進、決済システムの改善、他のプラットフォームとの相互運用性、金融包摂の促進、国家安全保障の保護、人権の尊重、民主的価値との一致を実現するはずである。しかし、米国の CBDC をサポートする技術に関するさらなる研究開発が必要である。  政府は、連邦準備制度理事会が現在行っている CBDC の研究、実験、評価を継続するよう奨励する。連邦準備銀行の努力を支援し、米国の潜在的なCBDCに関する他の作業を進めるために、財務省は、米国のCBDCの潜在的な意味を検討し、政府間の技術的専門知識を活用し、パートナーと情報を共有するための省庁間の作業グループを主導する。連邦準備制度理事会、国家経済会議、国家安全保障会議、科学技術政策室、財務省の指導者が定期的に会合を持ち、作業部会の進捗状況を議論し、CDBCやその他の決済技術革新に関する最新情報を共有する。

 

・2022.09.16 Background Press Call by Senior Administration Officials on the First-Ever Comprehensive Framework for Responsible Development of Digital Assets

 

Background Press Call by Senior Administration Officials on the First-Ever Comprehensive Framework for Responsible Development of Digital Assets 背景 デジタル資産の責任ある開発のための史上初の包括的フレームワークに関する政権高官によるプレスコール
MODERATOR:  Thank you, everyone, and thanks for joining.  Today we’re doing a press call on the new Comprehensive Framework for Responsible Development of Digital Assets.  司会:皆さん、ご参加ありがとうございます。  本日は、「デジタル資産の責任ある発展のための包括的枠組み」に関するプレス・コールを行います。 
The first part of the call is on the record so we’re going to go ahead and get that started.  And I’m going to turn it over to Director of the National Economic Council Brian Deese.  Over to you. 最初の部分は記録されますので、それを先に始めたいと思います。  国家経済会議ブライアン・ディース局長にバトンタッチします。 どうぞ、よろしくお願いします。
MR. DEESE:  Thanks, and thank you all for joining here today.  I’ll be brief at the top and them I’m going to turn it over to my colleagues, Secretary Yellen and Director Nelson. ディーン局長:今日はお集まりいただきありがとうございます。  私は冒頭で簡潔に述べ、同僚のイエレン長官とネルソン局長に引き継ぎます。
Just to start, the bottom line here is that the responsible development of digital assets is vital for American interests, from the well-being of consumers and investors to the safety and stability of our financial system, and for our financial and technological leadership around the world.  まず最初に、デジタル資産の責任ある開発は、消費者や投資家の福利から金融システムの安全性と安定性まで、アメリカの利益にとって不可欠であり、世界の金融と技術のリーダーシップにとって重要です。 
And we’ve seen in recent months substantial turmoil in cryptocurrency markets, and these events really highlight how, without proper oversight, cryptocurrencies risk harming everyday American’s financial stability and our national security.  And it is why this administration believes that now more than ever prudent regulation of cryptocurrencies is needed if digital assets are going to play a role that we believe they can in fostering innovation and supporting our economic and technological competitiveness. ここ数カ月、暗号通貨市場で大きな混乱が起きていますが、こうした出来事は、適切な監視がなければ、暗号通貨がいかに日常的な米国人の金融安定性と国家安全保障に害を及ぼす危険性があるかを如実に示しています。  だからこそ、デジタル資産がイノベーションを促進し、経済的・技術的競争力を支える役割を果たすためには、暗号通貨に対する慎重な規制がこれまで以上に必要であると考えています。
This starts back — to, you know, dial the clock back to last March when the President recognized with the issuing of EO 14067 that this needed to be a priority for the entirety of the executive branch.  And that executive order tasked agencies with doing deep analysis of digital assets’ risks and opportunities in submitting policy recommendations so that we can build a framework that harnesses the potential benefits while decisively mitigating the risks.  これは、昨年3月に大統領が大統領令 14067を発出し、行政府全体の優先事項であるべきだと認識したことから始まります。  この大統領令は、デジタル資産のリスクと機会を深く分析し、リスクを決定的に軽減しながら潜在的な利益を活用する枠組みを構築するための政策提言を提出するよう、各省庁に命じています。 
And I — you know, what we’re here today to do is to mark, after 180 days of work, where we are and, in particular, to highlight the release of many of the reports contemplated under that executive order.  そして、今日、私たちがここにいるのは、180日間の作業の後、私たちがどこにいるか、特に、この大統領令の下で計画された多くの報告書が発表されたことに注目するためなのです。 
Across the government — Department of Treasury, Commerce, Justice, and the White House Office of Science and Technology Policy had been the primary authors and drivers of these reports, and they are the result of an extensive interagency process that reflect input and expertise of diverse stakeholders across government, industry, academia, and civil society.  And I want to thank all of our partners for their contributions. これらの報告書は、財務省、商務省、司法省、ホワイトハウスの科学技術政策室など、政府全体が主体となって作成し、推進したもので、政府、産業界、学界、市民社会など多様なステークホルダーの意見と専門知識を反映した、広範囲にわたる省庁間のプロセスの結果です。  そして、すべてのパートナーの貢献に感謝したいと思います。
I’m just going to very quickly highlight a couple of the topline findings from these reports before turning it over to our leaders who can highlight the findings in more detail.  私は、この報告書から得られた主要な知見を簡単に紹介し、その後で、より詳細な知見を紹介するリーダーたちに引き継ぎたいと思います。 
Three quick points.  First, these reports underscore and advance our understanding of the policy implications and technical choices surrounding a potential U.S. Central Bank Digital Currency should one be deemed to be in the national interest, and they facilitate further analysis and experimentation.  As an administration, as Secretary Yellen will detail, we encourage the Federal Reserve to continue its ongoing research and experimentation around a potential CBDC, and we look forward to continuing the work at the technical level with our interagency partners to support this effort.  And that the team’s principals and deputies at the Federal Reserve, the National Economic Council, the National Security Council, OSTP, and the Treasury Department will meet regularly to discuss the working group’s progress and share updates on CBDC and other payment innovations.  簡単に3つのポイントを挙げます。  第一に、これらの報告書は、米国の中央銀行デジタル通貨が国益に適うと判断された場合の政策的意味合いと技術的選択肢について、我々の理解を深め、前進させるものであり、さらなる分析と実験を促進するものです。  政権として、イエレン長官が詳述するように、我々は連邦準備制度理事会が潜在的なCBDCに関する進行中の研究と実験を続けることを奨励し、この努力を支援するために我々の省庁間パートナーと共に技術レベルでの作業を続けることを期待しています。  そして、連邦準備制度理事会、国家経済会議、国家安全保障会議、OSTP、財務省のチームの主要人物と代理人が定期的に会合を持ち、作業部会の進捗状況を話し合い、CBDCやその他の決済技術革新に関する最新情報を共有することを約束します。 
The report that is being released also calls for continued and more engagement with international partners on CBDC systems, which is a critical priority.  And as an administration, we will prioritize those engagements.  今回発表された報告書では、CBDCシステムに関する国際的なパートナーとの継続的かつより多くの関与も求められており、これは重要な優先事項です。  そして、政権として、そのような関与に優先順位をつけていきます。 
Second, today’s report articulates a comprehensive strategy for mitigating digital assets’ harms, especially the harms to consumers and the environment.  I want to highlight that the report’s proposed steps for countering cryptocurrencies use in illicit finance activity in particular, and these steps reflect the administration’s focus on illicit finance threats and builds on the progress of prior work with agencies including with our international partners.  For example, we convened a counter-ransomware initiative with over 30 countries this month for a virtual summit addressing global strategies to disrupt ransomware activities.  第二に、本日の報告書は、デジタル資産の害、特に消費者と環境に対する害を軽減するための包括的な戦略を明示しています。  特に、暗号通貨が不正な金融活動に利用された場合の対策として、本報告書が提案するステップを強調したいと思います。これらのステップは、不正金融の脅威に対する政権の焦点を反映し、国際パートナーを含む各省庁との事前の作業の進展を踏まえたものとなっています。  例えば、私たちは今月、30カ国以上からなるランサムウェア対策イニシアチブを招集し、ランサムウェアの活動を妨害するための世界的な戦略について話し合うバーチャルサミットを開催しました。 
And third, the reports provide a roadmap for reaping the fruits of responsible innovation and digital asset development, and to do so — and to advance innovation, the reports call for the federal government to craft a digital asset research and development agenda.  Through that initiative, government agencies will kick start new scientific and technical research, collaborating with key partners in academia, industry, and civil society.  第三に、報告書は責任あるイノベーションとデジタル資産開発の成果を得るためのロードマップを提供しており、そのために、そしてイノベーションを促進するために、報告書は連邦政府に対してデジタル資産の研究開発アジェンダを作成するよう求めています。  そのイニシアチブを通じて、政府機関は、学界、産業界、市民社会の主要なパートナーと協力しながら、新しい科学技術研究を始めます。 
And additionally, we will develop cross-government strategies for proactive global leadership on digital assets, as I mentioned.  And we believe that continued global leadership will reinforce the pivotal role that the U.S. plays in the world financial system and help global digital asset development proceed in a way that reflects American values.  さらに、先ほど申し上げたように、デジタル資産に関する積極的なグローバルリーダーシップを発揮するための政府横断的な戦略を策定します。  そして、グローバルなリーダーシップを発揮し続けることが、世界の金融システムにおいて米国が果たす極めて重要な役割を強化し、世界のデジタル資産の発展が米国の価値観を反映した形で進むことにつながると考えています。 
Each of these steps — these are just three steps — many others outlined in the report helps to make progress toward responsible development of digital assets, which is our core goal, as I started with.  And they lay the groundwork for what we believe can be a thoughtful and comprehensive approach to mitigating the risks and, where proven, harness the benefits.  And we look forward to continuing this work.  これらの各ステップは - これらは3つのステップに過ぎないが - 報告書に概説されている他の多くのステップは、冒頭で述べたように、我々の中核的目標であるデジタル資産の責任ある開発への前進を助けるものです。  そして、リスクを軽減し、実証済みであれば利益を活用するための思慮深い包括的なアプローチとなり得ると私たちが信じるものの土台を築くものである。  そして、私たちはこの作業を継続することを楽しみにしている。 
I will end by saying: Consistent with the President’s direction in the executive order, we will continue to prioritize this critical work across the executive branch.  最後に、こう申し上げたいと思う。大統領令の指示に従い、私たちは行政機関全体でこの重要な仕事に優先順位をつけていきます。 
So with that, let me turn it over to Secretary Yellen, who can provide more detail around the Treasury Department’s report being released.  Thank you. それでは、イエレン長官に代わって、財務省が発表する報告書について、より詳しいお話を伺いたいと思います。  ありがとうございました。
SECRETARY YELLEN:  Thank you very much, Brian.  And I’d first like to recognize President Biden’s leadership on digital assets and for convening experts from across the administration to ensure a coordinated and comprehensive approach to digital assets policy.  And I’d like to thank him for charging the Treasury Department with a leadership role in this work by calling on us to develop reports that address fundamental issues in this new and rapidly evolving area.  イエレン長官:ブライアン、ありがとう。  まず、バイデン大統領がデジタル資産に関してリーダーシップを発揮し、デジタル資産政策への協調的かつ包括的なアプローチを確保するために、政権全体から専門家を招集したことを評価したいと思います。  そして、この新しく、急速に発展する分野の基本的な問題を扱う報告書を作成するよう、財務省に要請し、この仕事における指導的役割を担わせてくれたことに感謝します。 
Innovation is one of the hallmarks of a vibrant financial system and economy.  But as we’ve painfully learned from history, innovation without adequate regulation can result in significant disruptions and harm to the financial systems and individuals.  And this is especially true for communities that are most vulnerable to these risks.  イノベーションは、活力ある金融システムと経済の特徴の一つです。  しかし、歴史から痛切に学んだように、適切な規制のないイノベーションは、金融システムと個人に大きな混乱と損害をもたらす可能性があります。  そしてこれは、こうしたリスクに対して最も脆弱な地域社会にとって、特に当てはまります。 
Tomorrow, the Treasury Department will be releasing three reports on key issues surrounding the responsible development of digital assets for financial services.  The reports clearly identify the real challenges and risks of digital assets used for financial services.  At the same time, if these risks are mitigated, digital assets and other emerging technologies could offer significant opportunities.  明日、財務省は、金融サービスのためのデジタル資産の責任ある開発をめぐる重要な問題に関する3つの報告書を公表します。  これらの報告書は、金融サービスに利用されるデジタル資産の現実的な課題とリスクを明確に示しています。  同時に、これらのリスクを軽減することができれば、デジタル資産やその他の新興技術は大きな機会を提供する可能性があります。 
The first report is about the future of the U.S money and payment system.  Right now, some aspects of our current payment system are too slow or too expensive.  The report encourages continued work on innovations to promote a system that is more competitive, efficient, and inclusive, and that also helps maintain and build on the United States global financial leadership.  最初の報告書は、米国の貨幣・決済システムの将来についてです。  現在、米国の決済システムには、スピードが遅すぎたり、コストが高すぎたりする面があります。  この報告書は、より競争力があり、効率的で、包括的なシステムを促進し、さらに米国の世界金融のリーダーシップを維持・構築するのに役立つ革新的な取り組みを継続するよう奨励しています。 
The report makes several recommendations to achieve these objectives.  The first recommendation is to advance policy and technical work on a potential central bank digital currency, or CBDC, so that the United States is prepared if a CBDC is determined to be in the national interest.  本報告書は、これらの目標を達成するためにいくつかの提言を行なっています。  第一の提言は、中央銀行デジタル通貨(CBDC)に関する政策的・技術的作業を進め、CBDCが国益に適うと判断された場合に米国が準備できるようにすることです。 
To advance this work, Treasury will lead an interagency working group to coordinate and consider questions necessary for a potential CBDC.  The working group will leverage expertise from across the administration and support the ongoing work of the Federal Reserve on the CBDC.  It will engage in information sharing with our allies and partners to promote responsible development of CBDCs.  この作業を進めるために、財務省は、潜在的なCBDCに必要な質問を調整・検討するための省庁間作業部会を主導します。  この作業部会は、政府内の専門知識を活用し、連邦準備制度理事会が現在行っている CBDC に関する作業を支援します。  作業部会は、CBDC の責任ある開発を促進するために、同盟国やパートナーとの情報交換を行います。 
The report also encourages the use of instant payment systems and efforts to improve cross-border payments.  The report recommends establishing a federal framework for payments regulation to protect users and the financial system while supporting responsible innovations.  この報告書はまた、即時決済システムの利用や国境を越えた決済を改善するための努力も奨励しています。  報告書は、責任ある革新を支援しつつ、利用者と金融システムを保護するために、決済規制のための連邦政府の枠組みを確立することを推奨しています。 
The second report reviews current use cases for crypto assets and their effects on consumers, investors, and businesses.  And this includes effects on underserved communities and those who are most vulnerable for the risks of crypto assets.  As we’ve seen over the past few months, risks stemming from improper conduct related to the trading of crypto assets continue to present an especially grave area of concern.  This includes frauds, thefts, and scams.   第二の報告書では、暗号資産の現在の使用事例と、消費者、投資家、企業への影響について検証しています。  そして、これには、十分なサービスを受けていないコミュニティや、暗号資産のリスクに対して最も脆弱な人々への影響も含まれています。  過去数カ月に見られたように、暗号資産の取引に関連する不適切な行為に起因するリスクは、引き続き特に重大な懸念分野となっています。  これには、詐欺、窃盗、詐欺が含まれます。 
We recommend that agencies continue to rigorously pursue their enforcement efforts focused on the crypto-asset sector.  Agencies should use existing authorities to issue additional supervisory guidance and rules to address current and emerging risks.  Further, we recommend that agencies work to ensure that American consumers, investors, and businesses have access to trustworthy information on crypto assets. 我々は、各機関が暗号資産分野に焦点を当てた執行活動を引き続き厳格に推進することを推奨する。  また、当局は既存の権限を活用し、現在および新たに発生するリスクに対応するため、追加の監督指針および規則を発行する必要がある。  さらに、米国の消費者、投資家、企業が暗号資産に関する信頼できる情報にアクセスできるよう、各機関が努力することを提言する。
The third report builds on the foundation established by the National Illicit Finance Strategy and the National Risk Assessments published earlier this year.  It carries forward the principles of the strategy and lays out a more detailed, illicit finance action plan.  第三の報告書は、今年初めに発表された「国家不正金融戦略」と「国家リスク評価」によって確立された基盤の上に構築されています。  同戦略の原則を継承し、より詳細な不正金融行動計画を打ち出しています。 
The action plan lays out seven priority actions.  These actions will guide our longstanding efforts to prevent digital assets from being used for financial crimes, such as money laundering and terrorism financing.  The actions include strengthening U.S. AML/CFT supervision of virtual asset activities, disrupting illicit actors, expanding public-private dialogue, and improving global regulation and enforcement of international standards.  The action plan also recommends continued monitoring of emerging risks in the digital asset sector to identify potential gaps in our regulatory regime.  行動計画では、7つの優先行動を定めています。  これらの行動は、デジタル資産がマネーロンダリングやテロ資金供与などの金融犯罪に利用されることを防ぐための我々の長年の努力の指針となるものです。  アクションには、仮想資産活動に対する米国のAML/CFT監督の強化、不正行為者の排除、官民対話の拡大、国際基準の規制と執行の改善などが含まれています。  また、行動計画では、デジタル資産分野における新たなリスクを継続的に監視し、我々の規制体制における潜在的なギャップを特定することを推奨しています。 
Overall, I believe that these reports, as well as others that we have consulted on with our interagency partners, provide a strong foundation for policymakers as we work to realize the potential benefits of digital assets and to mitigate and minimize the risks.  全体として、これらの報告書や、我々が省庁間パートナーと協議してきた他の報告書は、デジタル資産の潜在的利益を実現し、リスクを軽減・最小化するために取り組む政策立案者に強力な基盤を提供すると確信しています。 
These reports are in addition to the Framework for International Engagement on Digital Assets, which Treasury released in early July.  これらの報告書は、財務省が7月初旬に発表した「デジタル資産に関する国際的関与のための枠組み」に追加されるものです。 
And we will supplement this work soon; the Financial Stability Oversight Council will release a report on digital asset financial stability risks and regulations as required by the executive order.  And I will have more to share on the substance of that report once it’s released.  金融安定監視委員会は、行政命令で義務付けられているデジタル資産の金融安定リスクと規制に関する報告書を発表する予定であり、我々はこの作業をまもなく補足する。  その報告書の内容については、発表され次第、またお話ししたいと思います。 
So thank you for joining us on that call and let me now turn it over to Director Alondra Nelson, from OSTP. それでは、お電話にご参加いただきありがとうございました。次はOSTPのアロンドラ・ネルソン局長にお願いします。
DR. NELSON:  Thank you very much, Secretary Yellen.  Thank you, also, Director Deese.  Thank you both for your leadership and your partnership in this whole-of-government approach to digital assets.  And thank you to our colleagues in journalism for being with us.  ネルソン局長:イエレン長官、ありがとうございました。  ディーン局長もありがとうございました。  デジタル資産に対する政府全体のアプローチにおいて、お二人のリーダーシップとパートナーシップに感謝します。  そして、報道記者の皆様たちも、ご列席いただきありがとうございます。 
Before I start, I want to just recognize the teams at the Office of Science and Technology Policy, OSTP, for their incredibly hard work on, in particular, two of the really rigorous digital asset reports (inaudible) briefly for you while we’re on the call this afternoon.  始める前に、科学技術政策局(Office of Science and Technology Policy, OSTP)のチームの、特に2つの非常に厳密なデジタル資産レポートに関する非常に懸命な作業を評価したいと思います(聞き取れません)。 
As our moderator noted at the top, I lead the Office of Science and Technology Policy.  And our job really and our mandate from Congress since 1976 and from the President is to maximize the benefits of science and technology to advance health, prosperity, security, environmental quality, and justice for all of the American public.  司会者が冒頭で述べたように、私は科学技術政策局を率いている。  私たちの仕事は、つまり1976年以来、議会と大統領から与えられた使命は、科学技術の恩恵を最大限に生かし、アメリカ国民全員の健康、繁栄、安全、環境の質、そして正義を向上させることです。 
In addition to this, by our founding mandate, OSTP is the office in the Executive Office of the President that’s really kind of focused on the future.  So a lot of our work is engaged with tackling tough challenges of today, endeavoring to anticipate the unknown opportunities and obstacles that lie ahead, and really trying to drive boldly the country and the nation towards solutions.  これに加えて、OSTP は大統領府の中でも特に未来に焦点を当てたオフィスです。  ですから、私たちの仕事の多くは、今日の厳しい課題に取り組み、その先にある未知の機会や障害を予測する努力をし、国と国を解決に向けて大胆に推進しようとするものです。 
So this work means often taking a hard look at today’s innovations and technologies and things that are just cresting on the edge of new technologies, and evaluating their potential to either shape or hinder a safe, equitable, and flourishing future for all of us.  つまり、この仕事は、今日のイノベーションとテクノロジー、そして新しいテクノロジーの端にあるものを厳しく見つめ、私たち全員にとって安全で公平、かつ豊かな未来を形作る、または妨げる可能性を評価することを意味します。 
So the two reports I mentioned.  One, last week, we released a report on the Climate and Energy Implications of Crypto Assets.  In our climate report, we found that crypto assets consumed between 1 percent and 2 percent of all U.S. electricity each year.  We also found that crypto asset activity produces between 0.4 to 0.8 percent of U.S. greenhouse gas emissions.  That’s similar to the emissions from iron and steel production in the United States by way of comparison. 今お話した2つの報告書。  1つは、先週、暗号資産の気候およびエネルギーへの影響に関する報告書を発表しました。  気候に関する報告書では、暗号資産は毎年、米国の全電力の1%から2%を消費していることがわかりました。  また、暗号資産の活動は、米国の温室効果ガス排出量の0.4~0.8パーセントを生み出していることがわかりました。  これは、比較のために言うと、米国の鉄鋼生産による排出量と同様です。
The crypto asset industry is expanding rapidly using more electricity and producing more emissions.  And crypto mining affects local communities with noise pollution, as well as air and water pollution from direct fossil-fired electricity.  These local community impacts can exacerbate environmental justice issues for communities that are already burdened by other pollutants.  We need to make sure that crypto asset operations do not impede our goals to protect communities, reduce greenhouse gas emissions, and achieve a carbon pollution-free electricity grid.  暗号資産産業は急速に拡大しており、より多くの電力を使用し、より多くの排出物を生み出しています。  そして、暗号マイニングは、化石燃料を直接使用する電力による大気汚染や水質汚染だけでなく、騒音公害で地域社会に影響を与えます。  こうした地域コミュニティへの影響は、すでに他の汚染物質によって負担を強いられているコミュニティにとって、環境正義の問題を悪化させる可能性があります。  私たちは、暗号資産の運用が、地域社会の保護、温室効果ガスの排出削減、炭素汚染のない電力網の実現という目標を阻害しないようにする必要があります。 
The recommendations in our report align with these goals while also recognizing that innovations in this technology could help with climate monitoring and mitigation.  我々の報告書の提言は、これらの目標に沿うものであると同時に、この技術の革新が気候の監視と緩和に役立つ可能性があることを認識するものであります。 
Earlier this week, we saw a major crypto player begin transitioning to a less energy-intensive model, a good first step that we should encourage others to consider. 今週初め、私たちは、主要な暗号プレイヤーがエネルギー集約度の低いモデルへの移行を開始するのを見ました。これは良い第一歩であり、私たちは他のプレイヤーに検討を促すべきでしょう。
Innovation in the financial sector has the potential to transform money and payments.  This transformation may reach the core of our financial system through the introduction of a Central Bank Digital Currency — or CBDC.  金融セクターにおけるイノベーションは、お金と決済を変える可能性があります。  この変革は、中央銀行デジタル通貨(CBDC)の導入を通じて、金融システムの中核に到達する可能性があります。 
Our second report provides a technical evaluation for a potential U.S. CBDC system.  In theory, a U.S. CBDC system could facilitate efficient and low-cost transactions, might provide greater access to the financial system, and could help preserve U.S. global financial leadership.  第二の報告書では、米国におけるCBDCシステムの技術的な評価を行います。  理論的には、米国のCBDCシステムは効率的で低コストの取引を促進し、金融システムへのアクセスを向上させ、米国の世界的な金融リーダーシップを維持するのに役立つ可能性があります。 
At the Office of Science and Technology Policy, we believe that the best technology policy is specific about the policy objectives we hope to achieve, as well as the technology we’re using to achieve these objectives.  科学技術政策局では、最良の技術政策は、達成したい政策目標と、その目標を達成するために使用する技術について具体的であると信じています。 
That’s why we’ve worked across the federal government, gathering input from dozens of offices and an interagency process to develop a list of specific U.S. policy objectives for CBDCs, including safeguarding privacy and advancing equity.  そのため、私たちは連邦政府全体で協力し、数十の部署から意見を集め、省庁間のプロセスを経て、プライバシー保護や公平性の向上を含むCBDCに関する米国の特定の政策目的のリストを作成しました。 
Our colleagues at the Federal Reserve have also been doing experimentation and research on whether to pursue a CBDC as outlined in their January 2022 discussion paper.  連邦準備制度の同僚たちも、2022年1月のディスカッションペーパーで示されたように、CBDCを追求するかどうかについて実験と研究を行ってきました。 
While no decisions have been made to issue a CBDC, our report will help policymakers understand the technical design choices of a CBDC system, and how those choices can best align with the values of the Biden-Harris administration.  CBDCの発行は決定されていませんが、私たちの報告書は、政策立案者がCBDCシステムの技術的な設計の選択と、その選択がバイデン=ハリス政権の価値観とどのように最も調和することができるかを理解するのに役立つと思っています。 
These two reports and the larger suite of reports that Secretary Yellen just mentioned are only the beginning.  We need to continue working across the federal government to implement the recommendations.  この2つの報告書とイエレン長官が言及した一連の報告書は、始まりに過ぎません。  我々は、勧告を実施するために、連邦政府全体で作業を続ける必要があります。 
As we take action, we look forward to supporting innovation while prioritizing equity, inclusion, and national security.  We will work to expand the benefits of technological innovations for all the American public while reducing harmful financial practices like predatory inclusion of underserved communities.  私たちは、公平性、包括性、国家安全保障を優先させながら、イノベーションを支援することを期待しています。  私たちは、技術革新の恩恵をすべての米国民に拡大する一方で、十分なサービスを受けていないコミュニティに対する略奪的な取り込みのような有害な金融慣行を削減するために取り組んでいくつもりです。 
It’s going to take a broad coalition of stakeholders to do this, working together, but we can achieve these goals.  And we really appreciate your interest today and this policy work.  これを実現するには、幅広いステークホルダーの連合が必要であり、協力し合わなければなりませんが、私たちはこれらの目標を達成することができます。  本日の皆さんの関心と、この政策活動に本当に感謝します。 
With that I turn things back over to you. それでは、皆さんに話を戻します。
MODERATOR:  Thank you.  Thanks to our speakers for their remarks.  This concludes the on-the-record portion of the call.  司会:ありがとうございました。  スピーカーの皆さん、ご発言ありがとうございました。  これでオン・ザ・レコードの部分は終わりである。 
We’re going to now switch to on background, attributable to “senior administration officials” for the question-and-answer session of the call. これからは、質疑応答セッションのために、「政府高官」に起因するバックグラウンドに切り替わります。
For your awareness and not for reporting, the speakers on the call are [senior administration officials].  ご承知おきください。この通話の発言者は[政府高官]です。 
So, Operator, could you please queue up the directions to ask a question?  We’re going to take as many questions as we can in the time that we have. それでは、オペレーターの方、質問の指示を列挙していただけませんでしょうか。  時間内にできるだけ多くの質問をお受けするつもりです。
Q    (Inaudible) what you might say to somebody who is hungry for action — who sees what you’re doing and the methodical process, yet feels like it’s not commensurate with where we are in the evolution of these assets and has seen the implosion of a stable coin — so-called stable coin, recently; the precipitous drop in Bitcoin; and how leveraged this industry is becoming (inaudible) it’s becoming; and sees you plodding through this but not getting to anything actionable.  Q(聞き取り不能) 行動に飢えている人、つまり、あなたがやっていることや整然としたプロセスを見て、しかしそれがこれらの資産の進化における我々の位置に見合っていないと感じ、最近安定コイン-いわゆる安定コイン-の崩壊、ビットコインの急落、そしてこの業界がいかにレバレッジが効いてきているか(聞き取り不能)見てきて、あなたがこの中でのろのろとしているが何も行動に移していないのを見てきた人にあなたはどう言うのでしょう。 
I wonder what you would say in response to that, and also, when we might see steps that would be that — would be, say, the recommendation whether or not to do a CBDC.  More concrete steps than just more reports and more research. また、CBDCを行うかどうかの推奨など、そのようなステップをいつ見ることができるのでしょうか。  報告書や調査を増やすだけでなく、もっと具体的なステップはないのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Hi, this is (senior administration official).  I’ll take the question because your question is fundamentally around the risks and it sounds like particularly the risks around consumer protection.  政府高官: ハイ、こちら(上級行政官)です。  ご質問は基本的にリスクに関するもので、特に消費者保護に関するリスクと思われますので、私がお受けします。 
There are some key recommendations on actions regarding consumer protection.  There are actions regarding asking agencies to particularly — I’ll just pull that up quickly here.  消費者保護に関する行動については、いくつかの重要な提言があります。  特に各省庁への要請に関するアクションがあるが、ここではそれを手短に引き出します。 
First, on the congressional side.  As you know, Congress is debating legislative steps in that way.  But with regard to actually pursuing further work, it calls on agencies to follow up and do the work, to assess the use by consumers.  まず、議会についてです。  ご存知のように、議会はそのような立法措置について議論しています。  しかし、実際にさらなる作業を進めることに関しては、各省庁に対して、消費者による利用を評価するためのフォローアップと作業を行うよう求めています。 
And frankly, in addressing criminal activity, we’ve put a lot of work into existing law enforcement tools.  And for example, DOJ shut down Hydra, a Russian language dark net marketplace.  Hydra that uses trade cryptocurrency for illicit goods and services. 率直に言って、犯罪行為に対処するために、私たちは既存の法執行ツールに多くの労力を費やしてきました。  例えば、司法省はロシア語のダークネット市場であるHydraを閉鎖しました。  Hydraは、暗号通貨を不正な商品やサービスのために取引するものです。
And we’re doing additional work as well for agencies to invest in training their personnel and acquiring the most advanced analytic tools for the digital ecosystem.  また、捜査機関には、職員の訓練やデジタル・エコシステム用の最先端の分析ツールの入手に投資するための追加作業も行っています。 
So I think, to your point, we have significant concerns.  We’re asking agencies to double down on their work on enforcement of existing regulations, treating these as digital assets, and also looking carefully to say what additional work is needed in the space and watching for the work happening on the Hill to add additional regulation that may be needed as well. ですから、ご指摘の通り、私たちには大きな懸念がある。  そして、この分野でどのような追加作業が必要かを慎重に検討し、必要な追加規制を追加するために議会で起きている作業も注視している。
MODERATOR:  Thank you.  Do any of our other speakers have any comments before we move to the next question? 司会:ありがとうございました。  次の質問に移る前に、他の発言者から何かコメントはありますか?
SENIOR ADMINISTRATION OFFICIAL:  Yes.  This is (senior administration official).  So I reinforce what (senior administration official) just said.  One of the reports on the consumer use cases and protections looks exactly at what the current use cases are, identifies areas of misconduct, risks to market integrity, and reinforces with recommendations for the agencies that have already taken enforcement actions to continue to aggressively pursue those actions to address the instances of frauds and scams and other misconduct.  政府高官: はい。  こちらは(上級行政官)です。  今、(上級行政官)が言ったことを補足します。  消費者の利用事例と保護に関する報告書の1つは、現在の利用事例を正確に調べ、不正行為や市場の健全性に対するリスクの領域を特定し、すでに執行措置を取っている機関に対し、詐欺や不正行為などの事例に対処するためにそれらの措置を引き続き積極的に追求するよう勧告して補強しているものです。 
At the same time, it highlights that there are some potential use cases for this technology, especially like distributed ledger technology that could allow more automated transactions, peer to peer, faster settlement and clearing.  同時に、この技術、特に分散型台帳技術によって、より自動化された取引、ピアツーピア、高速な決済や清算が可能になるなど、いくつかの潜在的な利用事例があることも強調しています。 
And so, you’re trying to just make recommendations to address misconduct, risk to market integrity while at the same time reserving some space for innovation to be able to continue.  つまり、不祥事や市場の健全性に対するリスクに対処するための勧告を行うと同時に、イノベーションを継続できるようなスペースを確保しようとしているわけです。 
On your point about Central Bank Digital Currency, the report makes a recommendation to advance further work on policy and technical issues, you know, so that the U.S. is in a position to issue one should it be determined in the national interest.  ご指摘の中央銀行デジタル通貨については、報告書では、国益のために米国がデジタル通貨を発行できるように、政策と技術的な問題についてのさらなる作業を進めるよう勧告しています。 
But I would start with thinking about Central Bank digital currency.  It is just the country’s sovereign currency in digital form.  It is not — it’s a special type of financial asset; it is not just the consumer financial asset.  しかし、私はまず中央銀行のデジタル通貨について考えることから始めたいと思います。  これは、その国の主権通貨をデジタル化したものに過ぎません。  単なる消費者金融資産ではなく、特殊な金融資産です。 
There are many considerations to con- — to consider, many factors to consider.  On the one hand, it’s for competition and innovation and payments, financial inclusion.  But there are some risks as well, including the effects on the private intermediation sector, especially in times of stress. 検討すべき、多くの要素があります。  一方では、競争とイノベーション、そして決済、ファイナンシャル・インクルージョンがあります。  しかし、民間仲介部門への影響、特にストレスのかかる時期には、リスクもあります。
So, I think it is a question that needs to be seriously considered by — by many across the government.  And I think — so the recommendation is to advance that and have a sequence of regular meetings to discuss the merits of the policies and the technological features of a CBDC — of a potential CBDC. ですから、この問題は、政府全体で真剣に検討する必要があると思う。  そして、私は、--ですから、提言は、それを進めて、CBDCの--潜在的なCBDCの--政策と技術的特徴の利点を議論する一連の定期的な会議を持つことだと思います。
MODERATOR:  Thank you.  Anyone else?  All right.  Let’s go to our second question, please. 司会:ありがとうございました。  他にどなたかいらっしゃいますか?  わかりました。  では、2番目の質問をどうぞ。
Q    Hi, thank you.  Thank you for taking questions.  I really appreciate it.  I have — I have a couple questions.  The first being: After doing all of this information collecting and all of this research, is there any rulemaking through the agencies that the speakers would deem appropriate in the foreseeable future that seem, you know, common sense and obvious given how the industry is evolving? Q ハイ、ありがとう。  質問を受けてくださってありがとうございます。  本当に感謝しています。  いくつか質問があります。  1つ目は このような情報収集と調査をすべて行った上で、講演者の皆さんが当面適切と思われる、業界の発展を考えると常識的で明白な、省庁を通じた規則制定はありますか?
And then I have another question.  We’ve seen a couple — a few legislative proposals on what would be regulation for digital assets.  And is there — given what we’re talking about today through the executive branch, is there a concern that lawmakers pursuing their own sort of legislation, along with the executive branch pursuing research and eventually giving its own recommendation, there could potentially be any kind of inconsistency in the regulation of the market? それから、もう1つ質問があります。  デジタル資産に関する規制について、いくつかの立法案を目にしました。  今日、行政機関を通して話していることを考えると、議員たちが独自の法案を追求し、行政機関が研究を進め、最終的に独自の勧告をすることで、市場の規制に何らかの矛盾が生じる可能性はないのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  I can start with that. This current set of reports does not ask for specific legislative recommendations.  政府高官:その点からお話ししましょう。今回の報告書は、具体的な立法勧告を求めるものではありません。 
You may be familiar with a report that had been issued by the President’s Working Group on Financial Markets with the OCC and the FDIC to recommend legislation for stable coin, where the work had identified some regulatory gap.  So they’re — that had been a legislative recommendation.  皆さんは、OCCとFDICを含む金融市場に関する大統領作業部会が、安定したコインのための法律を推奨するために発行した報告書をご存じかもしれませんが、その作業では、何らかの規制上のギャップが確認されました。  つまり、この報告書は立法による勧告だったのです。 
There is — as [senior administration official] had mentioned, there is another report that Treasury lead — as leading the Financial Stability Oversight Council, will issue in several weeks.  And in that report, they were tasked to look at the current regulations and identify any regulatory gaps.  So that that work is still ongoing; the council members are discussing that. [政府高官]が言及したように、財務省が金融安定化監視委員会を率いて、数週間以内に発表する別の報告書があります。  その報告書では、現在の規制を調べ、規制上のギャップを特定するよう命じられています。  この作業はまだ進行中で、審議会のメンバーが議論しているところです。
So — but in this case, these reports — that had not been the task.  But there is still plenty to do, just to be clear. The — you know, one of the recommendations in the consumer and investor protection report was to ask the agencies to carefully review their sets of authorities, what they’re using for enforcement, what kinds of authorities they have for guidance, and whether in a coordinated manner the regulatory agencies have — can address the risks of these activities. しかし、今回の報告書では、それが任務ではありません。  はっきり言って、まだやることはたくさんあります。消費者・投資家保護に関する報告書での提言のひとつは、各機関に一連の権限を注意深く見直すよう求めるものでした。執行に何を使っているか、指導にどんな権限があるか、規制当局が協調してこうした活動のリスクに対処できるか、などです。
Now, these activities are often financial; they provide financial services.  Financial services have been provided in this country for a long time, it’s — but the underlying technology has changed.  But it seems the regula- — the regulations often address the function and the service and are indifferent to the technology.  So much of what the existing laws and authorities can address much of the problem.  And one the question — and we — we recommend enforcing compliance and applying the authorities, and especially in a coordinated way if that expands the reach. これらの活動は、多くの場合、金融サービスを提供するものです。  金融サービスは長い間、この国で提供されてきたが、基盤となる技術は変化してきました。  しかし、規制はしばしば機能やサービスを取り上げ、技術には無関心なようです。  ですから、既存の法律や当局が問題の多くに対処することができる。  私たちは、コンプライアンスを強化し、権限を適用すること、そして、特に、それが範囲を広げるのであれば、協調して適用することをお勧めします。
MODERATOR:  Thank you.  Anyone else have any other thoughts before we go to our next question?  All right, let’s go to our third question please. 司会:ありがとうございました。  次の質問に移る前に、他にご意見のある方はいらっしゃいますか?  それでは、3番目の質問をお願いします。
Q    Hi, thanks for — thanks for doing this.  My question is: I understand in the executive order, one of the reports relating to a Central Bank digital currency was going to be focused on the question of whether legislation would be necessary or — for the creation of a digital dollar.  And so, I guess my question is basically a practical one of, is that report — I guess, what is the finding of that report from DOJ?  Will — is it necessary for Con- — to act on a (inaudible) to create a digital dollar or what the status of that is? Q ハイ、ありがとうございます。  今回の大統領令では、中央銀行のデジタル通貨に関する報告書の中で、デジタル・ドルの創設のために法案が必要かどうかという問題に焦点が当てられていますね。  そこで質問なのですが、その報告書、つまり司法省からの報告書の所見はどうなっているのでしょうか?  デジタル・ドル創設のためにコン・・・が行動する必要はあるのでしょうか、それともその状況はどうなのでしょうか。
SENIOR ADMINISTRATION OFFICIAL:  Hi, Andrew.  I’ll take that one.  We’re not going to get ahead of ourselves now while the Fed studies the issue.  We believe it’s important to work with Congress on this like we have been and are continuing to do. 政府高官: こんにちは、アンドリュー。  それは私が受け持つことにします。  FRBがこの問題を研究している間、私たちは今、先走るつもりはありません。  私たちは、これまでと同様、そしてこれからも、この問題について議会と協力していくことが重要だと考えています。
MODERATOR:  I think we can go to our next question please. 司会:次の質問へどうぞ。
Q    Hi.  Yes, thanks for taking these questions.  Talking about in the executive — in the summary here about balancing financial innovation with consumer protection and other factors, are there examples of innovation in the private sector that you can identify that are furthering the goals of financial inclusion, reducing costs, and that sort of thing?  And are there ways in which you recommend maybe easing off on regulations that you might have recommended because you want to foster that innovation? Q ハイ。  質問を受けてくださってありがとう。  金融イノベーションと消費者保護やその他の要因のバランスをとることについて、この要旨に書かれていますが、民間企業におけるイノベーションの例で、金融包摂の目標を促進し、コストを削減するようなものはあるでしょうか?  また、そのようなイノベーションを促進するために、これまで推奨してきた規制を緩和するような方法はあるのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  I think the — I think there are definitely examples of private-sector innovations exploring the use of distributed ledger technology for applications.  政府高官:私は、分散型台帳技術の応用を模索する民間企業のイノベーションの例は、間違いなくあると思います。 
So you — there are financial institutions that have internal clearing and settlement systems, and this can speed it up, make it faster, instantaneous, so that — for example, balances you have to hold for end-of-day settlement, it reduces sort of the holding costs of various securities.  There are numbers of examples where private firms are testing this internally. 金融機関には内部清算・決済システムがあるが、これを高速化し、即時性を高めることで、例えば、終日決済のために保有しなければならない残高を減らし、さまざまな有価証券の保有コストを削減することができるのである。  民間企業が社内でテストしている例はいくつもあります。
I think the potential for distributed ledger technology to — for more broader consumer uses is still being tested.  And what we’ve seen over the last couple of years is that most of the consumer use has been kind of more trading and lending and borrowing.  And, you know, as I said, we — you know, are many cases of misconduct and fraud.  分散型台帳技術の消費者向け用途への可能性は、まだ検証中だと思います。  ここ数年、消費者向けには取引や貸し借りに使われることが多いようです。  そして、先ほども申し上げたように、不正行為や詐欺の事例がたくさんあります。 
And so, we would — we definitely recommend we want to, you know, aggressively pursue those and enforce current authorities. ですから、私たちは、そうした事例を積極的に追及し、現行の規制を強化することを強くお勧めします。
But I don’t — I think we’re starting from a place where a new technology is finding new places to test.  And we can anticipate where some products look like they could present risks, such as stable coin, and try to regulate in anticipation of them becoming large and more potentially pose larger risks to financial stability.  But I can’t cite an example that you cited of pulling back on something at this point. しかし、私たちは、新しい技術が新しいテスト場所を見つけるところから始めているのだと思います。  安定したコインなど、リスクをもたらす可能性のある商品を予測し、それが大きくなって金融の安定に大きなリスクをもたらす可能性があることを見越して規制しようとすることは可能です。  しかし、今のところ、あなたが挙げたような、何かに引き戻された例を挙げることはできません。
MODERATOR:  Thank you. I think we can go to our next question please. 司会:ありがとうございました。次の質問に行きましょう。
Q    Hey, there.  Thanks for the time.  So, you know, I’ve heard — it seems like more and more lawmakers these days are criticizing the SEC specifically in its — with regard to its mission to facilitate capital formation by updating its rules in light of this technology.  And the industry, similarly, has been asking for some kind of path so they can know if we take these steps — you know, we’re — we’re within guidelines.  Q どうも、こんにちは。  お時間をいただきありがとう。  最近、ますます多くの議員たちが、SECの、このテクノロジーに照らして規則を更新することによって資本形成を促進するという使命に関して、特に批判しているようですね。  同様に、業界も、私たちがこのようなステップを踏めば、ガイドラインの範囲内であることが分かるように、何らかの道筋を示すことを求めています。 
So I’m just curious: Is the administration’s position that some kind of regulatory update is needed for blockchains?  Or do you — does it agree with SEC Chair Gensler that the existing guidance for coin and token issuers is adequate already? そこで質問ですが、ブロックチェーンについて何らかの規制の更新が必要だというのが政権の見解なのでしょうか。  それとも、コインやトークンの発行者に対する既存のガイダンスはすでに十分であるというゲンスラーSEC委員長の意見に同意するのでしょうか?
SENIOR ADMINISTRATION OFFICIAL:  So I’ll jump in.  This is [senior administration official].  One of the recommendations — that regulators will issue new rules and guidance to resolve confusion and close gaps related to existing financial regulations applications to cryptocurrency.  政府高官: では、私が飛び入り参加しましょう。  こちらは[政府高官]です。  提言の1つ--規制当局は、暗号通貨への既存の金融規制の適用に関する混乱を解消し、ギャップを埋めるために新しい規則やガイダンスを発行する、というものです。 
So that’s a recognition that we see work needed in this space.  And that’s work that we intend — obviously, regulators operate independently, but that’s a clear recommendation coming out of the studies that were done. これは、私たちがこの分野で必要な作業を認識しているということです。  もちろん、規制当局は独自に動いていますが、今回の調査から明らかになった提言です。
MODERATOR:  Thank you.  Let’s go to our next question, please. 司会:ありがとうございました。  次の質問に行きましょう。
Q    Hi, thank you so much for holding this.  I wanted to follow up on Brady’s question just now.  We’re hearing increasingly from a lot of crypto companies that the lack of clarity on how to register and provide disclosure is becoming a major issue for them in terms of, you know, figuring out how to legally operate within the U.S.  Q ハイ、この場をお借りしてありがとうございました。  先ほどのBradyの質問の続きをしたいと思う。  多くの暗号関連企業から、登録や情報開示の方法が明確でないことが、米国内で合法的に事業を行う方法を考える上で大きな問題になっているという話を聞くことが増えている。 
With the — with the acknowledgement that the SEC and the CFTC are independent regulators, would the administration consider or does it plan to try and create a perhaps more clear definition of, you know, just where the line is between what could be deemed security and what could be deemed a commodity, and just — you know, how that would apply in, you know, 2022 given how many cryptocurrency projects there are out there at this point? SECとCFTCが独立した規制機関であることを認めた上で、政権は、証券とみなされるものと商品とみなされるものの境界線はどこか、そして、現時点では多くの暗号通貨プロジェクトが存在する中で、それが2022年にどう適用されるかについて、おそらくもっと明確な定義を作ろうと考えていますか、あるいは計画していますか?
MODERATOR:  [Senior administration official], do you want to take that one? 司会者:(上級行政官)、その質問に答えられますか?
SENIOR ADMINISTRATION OFFICIAL:  So I think — 政府高官:だから、私は、...
MODERATOR: Go ahead.  司会:どうぞ。 
SENIOR ADMINISTRATION OFFICIAL:  Just going back to your original point being the SEC and the CFTC being independent agencies, we need to start with from there.  The point of these reports was to assess, you know, the broader digital assets space in terms of risks and how they — risks and potential benefits, and how they achieved inclusion, equity, privacy, national security, global leadership.  政府高官:SECとCFTCが独立した機関であるという最初のポイントに戻りますが、そこから始める必要があります。  これらの報告書のポイントは、より広範なデジタル資産空間を、リスクと、リスクと潜在的な利益と、インクルージョン、公平性、プライバシー、国家安全保障、グローバル・リーダーシップをどのように達成するか、という観点から評価することでした。 
Some of those issues, the recommendation is for the agencies to clarify, review their rules, clarify, coordinate.  And I think that their view is, as they have expressed — and I’m just saying what they have said — they have the necessary authorities.  It is that many of the firms are not complying with their existing rules. これらの問題のいくつかは、各省庁が規則を明確化し、見直し、明確化し、調整するよう勧告しています。  そして、彼らの見解は、彼らが表明したように(私は彼らが言ったことをそのまま言っているだけですが)、彼らは必要な権限を持っているということだと思います。  多くの企業が既存の規則を遵守していないということです。
Q    Hi, thank you for doing the call.  I’m actually a bit confused by the last two responses.  Because on the one hand, it sounds like the administration is making some recommendations to agencies to provide more clarity to the industry, and especially since so much of what is in the kind of factsheet is focused on maintaining U.S. leadership and innovation.  At the same time, you just said that the agencies have said that they have, you know, all the authorities they need and that these firms are just not in compliance.  And those two things seem a little — those two messages that we’re hearing from you seem a bit at odds.  So could you, I guess, give us a little more clarity on what exactly it is that the report says or recommends to agencies like the SEC and the CFTC? Q ハイ、電話をありがとうございました。  実は、最後の2つの回答で少し混乱しています。  というのも、一方では、政権が業界をより明確にするために各省庁に提言しているように聞こえ、特にこのファクトシートの内容の多くが、米国のリーダーシップとイノベーションを維持することに焦点をあてているからです。  同時に、政府機関は必要な権限はすべて持っており、これらの企業はコンプライアンスを遵守していないだけだとも述べていますね。  この2つのことは、私たちが聞いている2つのメッセージと少し矛盾しているように思えます。  そこで、この報告書がSECやCFTCのような機関に対して述べていること、あるいは推奨していることについて、もう少し明確にしていただけませんか。
SENIOR ADMINISTRATION OFFICIAL:  The exact recommendation is that the agencies should continue to do — so, for example, to issue guidance and rules to address current and emerging risks in products and services for consumers, investors, and businesses.  And agencies should work collaboratively to promote consistent and comprehensive oversight.  政府高官:正確には、各機関は引き続き、例えば、消費者、投資家、企業向けの製品やサービスにおける現在および将来のリスクに対処するためのガイダンスやルールを発行するべきだという勧告です。  そして、各機関は、一貫性のある包括的な監督を促進するために協力し合うべきです。 
I think you’re pointing to a tension which is that this is a new and very rapidly developing product space, and we — it needs to — regulations need to be able to adjust to these new products and activities that are being offered.  So I don’t really think there is a tension.  It’s just the nature of the development of this technology — the rapid development of the technology. この分野は新しく、非常に急速に発展しているため、規制は新しい商品や活動に適応していく必要があります。  ですから、私は緊張感はないと思っています。  ただ、この技術の発展の性質、つまり、技術の急速な発展がそうさせるのです。
SENIOR ADMINISTRATION OFFICIAL:  Hi, this is [senior administration official].  So I’ll jump in, you know, to the question you asked.  So there were two sets of recommendations.  政府高官: ハイ、こちらは(政府高官)です。  このたびのご質問にお答えします。  提言は2つありました。 
The first one, building on [senior administration official]’s comments, were that financial regulators — like the SEC and CFTC, as well as law enforcement agencies — should redouble their investigations and enforcement actions against illicit, fraudulent, or deceptive digital asset practices under their jurisdictions, as they already have the mandate to do.  This includes scaling-up people, training, and technological capacity like blockchain analysis capabilities.  And the CFPB and FTC will do the same with their response to and investigations of consumer complaints.  1つ目は、[政府高官]のコメントを基に、金融規制当局(SECやCFTC、法執行機関など)は、その管轄下で違法、詐欺、欺瞞的なデジタル資産業務に対する調査や執行措置を強化すべきだというもので、すでにその権限が与えられているものである。  これには、人材、トレーニング、ブロックチェーン分析能力のような技術的能力の拡大が含まれます。  そして、CFPBとFTCは、消費者からの苦情への対応や調査についても同じことを行うでしょう。 
And in addition — building on that, we ask that agencies — the recommendation was that agencies pursue initiatives to promote consumer educational literacy about digital assets.  And the Financial Literacy and Education Commission will coordinate those efforts.  さらに--それを踏まえて、各機関に--勧告では、デジタル資産に関する消費者教育リテラシーを促進するためのイニシアチブを追求するよう求めている。  そして、金融リテラシー教育委員会がそのような取り組みを調整することになります。 
A second set of recommendations were that regulators will issue new rules and guidance to resolve confusion and close gaps related to existing financial regulations applications to cryptocurrency.  第二の提言は、暗号通貨に関する既存の金融規制の適用に関する混乱を解消し、ギャップを埋めるために、規制当局が新たな規則やガイダンスを発行することです。 
But what’s an overriding piece and the sum takeaway is that until now the approach to digital assets has been very much an agency-by-agency approach.  しかし、この提言で最も重要なことは、これまでデジタル資産に対するアプローチは、各省庁ごとに行われてきたということです。 
Now the White House is saying, the President’s direction is that we bring the various goals we have here — around climate and environment, international engagement, illicit finance, financial stability, consumer protection, and domestic innovation — and integrate the recommendations, which in some cases are competing, so that we have a holistic approach to digital assets, along with working with the Hill closely — as we are — to ensure that we’re working that arm in arm for the Hill’s independent opportunity to legislate with what can be done under executive authority, or by agencies pursuing digital assets under existing authorities for financial tools but with updates to the way they approach it because they often require, frankly, training and capabilities within government to do that, that may not already be in place or may need to be augmented. 現在、ホワイトハウスは、気候・環境、国際的関与、不正金融、金融安定、消費者保護、国内イノベーションといったさまざまな目標を掲げ、場合によっては競合する提言も統合し、デジタル資産に対する全体的なアプローチをとることが大統領の指示であるとしています。また、行政の権限でできることは行政が独自に法制化し、金融ツールの既存の権限でデジタル資産を追求する機関が、その方法を更新し、私たちは、行政権のもとでできることと、議会が独自に立法する機会を確保するために、緊密に連携して取り組んでおり、あるいは、金融ツールの既存の権限でデジタル資産を追求する機関が、そのアプローチ方法を更新することもできます。なぜなら、そのためには政府内の訓練や能力が必要で、それがまだ整備されていなかったり、増強される必要があったりするからです。
MODERATOR:  Thank you both.  We have time for just one more question.  So could we do our last question, please? 司会:お二人ともありがとうございました。  もう1つだけ質問の時間があります。  では、最後の質問をお願いします。
Q    Yeah, this last question is going to be a bit anticlimactic compared to the other ones.  The readout that we got mentions FedNow and the potential utility of FedNow as an instantaneous, 24/7 interbank clearing system.  I’m wondering to what extent the administration views this as something that could address many of the needs that a CBDC might meet or might address?  I know that there are some folks at the Fed who have made that point in the past.  Q ええ、この最後の質問は、他の質問と比べると少し拍子抜けするようなものになりそうです。  配布された資料には、FedNowと、24時間365日即時利用可能な銀行間決済システムとしてのFedNowの潜在的な有用性について触れられています。  CBDCが満たす可能性のある、あるいは取り組む可能性のある多くのニーズに対応できるものとして、行政はこれをどの程度に見ているのでしょうか。  FRB には過去にそのような指摘をした人たちがいることは知っています。 
SENIOR ADMINISTRATION OFFICIAL:  So for the FedNow or instant payment system is clearly a technological development that can make the payment system faster and cheaper, more efficient, and could — by lowering costs — address some of the financial inclusion considerations that are important for — under this EO and for this administration.  政府高官:FedNow や即時決済システムは、明らかに、決済システムをより速く、より安く、より効率的にすることができる技術開発で、コストを下げることによって、この 大統領令 や政権にとって重要である金融包摂の検討事項に対応することができる。 
A CBDC is somewhat — is different in the sense of yes, it is also a payment mechanism; it is money.  But it’s also, you know, the — it’s a liability — a direct liability of the central bank.  So it has — it is — you would choose a CBDC not only for the purposes of making payments more efficient, but for a number of other reasons.  CBDCは、確かに決済メカニズムでもあり、お金でもあるという意味で、多少 - 異なっています。  しかし同時に、中央銀行の負債、つまり直接の負債でもあります。  ですから、CBDCを選ぶのは、決済をより効率的にするためだけでなく、他にもいろいろな理由があるのです。 
And one could imagine a system where you would have instant payments and a CBDC.  They don’t have to be substitutes, but they both can improve a payment system.  But the CBDC has other attributes and potentially different sets of risks that need to be considered, which is why this sort of recommendation to continue to advance the research on a CBDC. インスタント・ペイメントとCBDCがあるようなシステムも想像できます。  両者は代替物である必要はありませんが、どちらも決済システムを改善することができます。  しかし、CBDCには他の特性もあり、考慮すべきリスクも異なる可能性があるため、CBDCの研究を進めるようこのように勧告しています。
SENIOR ADMINISTRATION OFFICIAL:  Hi, I’ll make a few comments to build on that.  You know, to the question Chris asked earlier regarding what is the value-add of cryptocurrencies and, in this case specifically, of the CBDC, and potentially could be faster settlements, particularly faster cross-border settlements.  政府高官:こんにちは、私は、いくつかのコメントをします。  先ほどクリスが質問した、暗号通貨と、この場合は特にCBDCの付加価値は何かということですが、潜在的には決済の高速化、特にクロスボーダー決済の高速化である可能性があります。 
And FedNow — and you saw the commitments that the Vice Chairman of the Fed recently rolled out for spring of 2023 — makes real progress on moving to a more rapid settlement bank to bank within the U.S., which is critical.  Right?  That’s a foundational step.  FedNowは、FRB副議長が最近発表した2023年春のコミットメントをご覧になった方もいらっしゃると思いますが、米国内の銀行間決済をより迅速に行うための実質的な前進であり、これは非常に重要なことなのです。  これは非常に重要なことである。これは基礎的なステップです。
So even as we continue to pursue the research and technology — the R&D around a CBDC, we make progress in parallel with the FedNow rollout.  And one of the key attributes of that, which is more rapid settlement: We participate in pilots with some of our international partners and what that might look like from a global perspective as well.  CBDCの研究開発を進めながら、FedNowの展開も並行して進めています。  その重要な特質のひとつは、より迅速な決済です。私たちは、国際的なパートナーとともに、グローバルな視点からどのようなことができるか、試験的な取り組みを行っています。 
Thank you. ありがとうございました。
MODERATOR:  All right.  Thank you so much.   Any other last thoughts from our speakers on the call?  司会:わかりました。  ありがとうございました。   それでは、最後にご発言がありましたらお願いします。 
Okay, great.  Well, thank you, everyone, for joining us today.  OK、素晴らしい。  では、みなさん、本日はありがとうございました。 
As a reminder, this entire call — both the on-the-record and on-background portion — is under embargo.  The embargo will lift tomorrow, Friday, September 16th, 6:00 a.m. Eastern.  この電話会議全体は、オン・ザ・レコードとオン・バックグラウンドの両部分とも、禁輸措置がとられている。  禁止措置は明日、9月16日(金)午前6時(東部時間)に解除されます。 
If you did not receive our factsheet, please let me know and we’ll make sure to get that to you all.  Thanks, everyone.  Have a great day. もし、ファクトシートを受け取っていない方がいらっしゃいましたら、私にお知らせください。  皆さん、ありがとうございました。  良い一日をお過ごしください。
END 終了

 

Fig1_20210802074601

| | Comments (0)

米国 CISA 戦略計画 2023-2025

こんにちは、丸山満彦です。

2018年にCISAが設立され、2019年8月に戦略的意図を示した文書 (CISA STRATEGIC INTENT [PDF] )を公表していますが、戦略計画は初めてのようです。。。

CISAは米国のサイバー防衛機関と重要インフラ企業のサイバーセキュリティに関する国家コーディネーターの役割を担っています。。。ということで、CISAのこの戦略計画は、国家のインフラに対するサイバーおよび物理的な脅威に対して、いかにしてリスクを削減し、回復力を高めるかに焦点をあてているようですね。

VISION  ビジョン 
Secure and resilient infrastructure for the American people.  安全で強靭なインフラをアメリカ国民に。
MISSION ミッション
Lead the national effort to understand, manage, and reduce risk to our cyber and physical infrastructure. サイバーおよび物理インフラに対するリスクを理解し、管理し、低減するための国家的取り組みを主導する。
CISA CORE PRINCIPLES CISAの基本原則
• People First  ・人間第一
• Do The Right Thing. Always.  ・正しいことをする。常に
• Lead With Empathy  ・共感をもって導く
• Seek And Provide Honest Feedback  ・正直なフィードバックを求め,提供する
• Communicate Transparently And Effectively  ・透明性のある,効果的なコミュニケーション
• Foster Belonging, Diversity, Inclusion, And Equality  ・帰属意識,多様性,包括性,平等性を育む
• Imagine, Anticipate, And Innovate To Win  ・想像し,予測し,そして勝利のために革新する
• Make It Count  ・カウントしよう
• Build And Cultivate Your Network  ・ネットワークを構築し,育成する
• Play Chess  ・チェスをする
• Stand In The Arena  ・アリーナに立つ
• Commit To A Lifetime Of Learning ・生涯学習へのコミットメント
CISA CORE VALUES  CISAのコアバリュー 
・COLLABORATION  ・コラボレーション 
・INNOVATION ・イノベーション
・SERVICE ・サービス
・ACCOUNTABILITY ・アカウンタビリティー

ということで、CISAが発表した戦略計画は「リスク削減と回復力の構築に「どのように」取り組むか
」についての3つの目標と、「one CISAとして活躍することを保証するための内部」についての目標となっているようですね。。。

4つの目標は次の通りです。。。

GOAL 1 | CYBER DEFENSE 目標1:サイバー防衛
 Spearhead the national effort to ensure defense and resilience of cyberspace  サイバースペースの防衛とレジリエンスを確保するための国家的取り組みを先導する。
GOAL 2 | RISK REDUCTION AND RESILIENCE  目標2:リスク低減とレジリエンス 
Reduce risks to, and strengthen resilience of, America’s critical infrastructure 米国の重要インフラに対するリスクを低減し、そのレジリエンスを強化する。
GOAL 3 | OPERATIONAL COLLABORATION  目標3:作戦協力 
Strengthen whole-of-nation operational collaboration and information sharing 全国的な作戦協力と情報共有を強化する。
GOAL 4 | AGENCY UNIFICATION  目標4:機関の統一 
Unify as One CISA through integrated functions, capabilities, and workforce 統合された機能、能力、人員により、一つのCISAとして統一される。

 

CISA

・2022.09.18 STRATEGIC PLAN

 

STRATEGIC PLAN 戦略計画
The Cybersecurity and Infrastructure Security Agency’s (CISA) 2023-2025 Strategic Plan is the agency’s first, comprehensive strategic plan since CISA was established in 2018. This is a major milestone for the agency: The CISA Strategic Plan will focus and guide the agency’s efforts over the next three years. サイバーセキュリティおよびインフラセキュリティ庁(CISA)の2023-2025戦略計画は、2018年にCISAが設立されて以来初の、同庁の包括的な戦略計画である。これは、同庁にとって大きな節目となるものである。CISA戦略計画は、今後3年間の同庁の取り組みに焦点を当て、指針とするものである。
The Strategic Plan builds on the foundation created through the CISA Strategic Intent published in August 2019 to guide the agency’s work and create unity of effort. In our role as the nation’s cyber defense agency and the national coordinator for critical infrastructure security, CISA works with critical infrastructure partners every day to address the evolving threat landscape.  戦略計画は、2019年8月に発表されたCISA戦略的意図を通じて作られた基盤の上に構築され、機関の作業を導き、努力の統一性を生み出すものである。国のサイバー防衛機関および重要インフラセキュリティの国家コーディネーターとしての役割を担うCISAは、日々進化する脅威の状況に対処するため、重要インフラのパートナーと連携している。 
That approach is reflected in the CISA Strategic Plan, which focuses on how we will collectively reduce risk and build resilience to cyber and physical threats to the nation’s infrastructure. To achieve the outcome of reduced risk and increased resilience, the CISA Strategic Plan describes four ambitious goals. Three of these goals focus on “how” the agency will work to reduce risk and build resilience, while the fourth goal focuses internally to ensure the agency is in a strong position to execute the CISA Strategic Plan, working as One CISA. このアプローチは、CISA戦略プランに反映されている。このプランでは、国のインフラに対するサイバーおよび物理的脅威に対して、いかにしてリスクを低減し、レジリエンスを構築するかに焦点をあてている。リスクの低減とレジリエンスの向上という成果を達成するために、CISA戦略計画では4つの野心的な目標が述べられている。これらの目標のうち3つは、当局がリスク低減とレジリエンス構築に「どのように」取り組むかに焦点を当て、4つ目の目標は、当局がOne CISAとして活動し、CISA戦略計画を実行する強力な立場にあることを保証するために、内部に焦点を当てている。
With this in mind, the Strategic Plan sets CISA on a path over the next three years to drive change in four key areas: このことを念頭に置いて、戦略計画は、今後3年間で、CISAが4つの重要な分野で変革を推進する道筋を定めている。
First, we will spearhead the national effort to ensure the defense and resilience of cyberspace. Serving as America’s cyber defense agency, we will spearhead the national effort to defend against cyber threat actors that target U.S. critical infrastructure, federal and SLTT governments, the private sector, and the American people. CISA must lean forward in our cyber defense mission toward collaborative, proactive risk reduction. Working with our many partners, it is CISA’s responsibility to help mitigate the most significant cyber risks to the country’s National Critical Functions, both as these risks emerge and before a major incident occurs. 第一に、我々はサイバースペースの防衛とレジリエンスを確保するための国家的取り組みの先頭に立つ。米国のサイバー防衛機関として、米国の重要インフラ、連邦政府および州・地方・部族・準州 (SLTT) 政府、民間セクター、そして米国民を標的とするサイバー脅威要因から防衛するための国家的取り組みの先頭に立つことになる。CISAは、サイバー防衛の任務において、協調的かつ積極的なリスク低減に向けて前進しなければならない。多くのパートナーと協力して、国の国家重要機能に対する最も重大なサイバーリスクを、リスクが顕在化した時点と重大インシデントが発生する前の両方で軽減するのを支援するのはCISAの責任である。
Second, we will reduce risks to, and strengthen the resilience of, America’s critical infrastructure. Our safety and security depend on the ability of critical infrastructure to prepare for and adapt to changing conditions and to withstand and recover rapidly from disruptions. CISA coordinates a national effort to secure and protect against critical infrastructure risks. This national effort is centered around identifying which systems and assets are truly critical to the nation, understanding how they are vulnerable, and taking action to manage and reduce risks to them. We serve as a key partner to critical infrastructure owners and operators nationwide to help reduce risks and build their security capacity to withstand new threats and disruptions, whether from cyberattacks or natural hazards and physical threats. 第二に、米国の重要インフラに対するリスクを軽減し、そのレジリエンスを強化する。我々の安全と安心は、重要インフラが状況の変化に備え、適応し、混乱に耐えて迅速に回復する能力にかかっている。CISAは、重要インフラのリスクに対して安全かつ保護するための国家的な取り組みを調整する。この国家的取り組みは、どのシステムや資産が国家にとって真に重要であるかを特定し、それらがどのように脆弱であるかを理解し、それらに対するリスクをマネジメントして低減するための行動をとることを中心に行われている。我々は、全国の重要インフラの所有者や運営者の重要なパートナーとして、サイバー攻撃や自然災害、物理的脅威など、新たな脅威や混乱に耐えられるよう、リスクの軽減とセキュリティ能力の構築を支援する。
Third, we will strengthen whole-of-nation operational collaboration and information sharing. At the heart of CISA’s mission is partnership and collaboration. Securing our nation’s cyber and physical infrastructure is a shared responsibility. We are challenging traditional ways of doing business and actively working with our government, industry, academic, and international partners to move toward more forward-leaning, action-oriented collaboration. We are also committed to growing and strengthening our Agency’s regional presence to more effectively deliver the assistance our stakeholders need. 第三に、国を挙げての作戦協力と情報共有を強化することである。CISAの使命の中心にあるのは、パートナーシップとコラボレーションである。我が国のサイバーおよび物理インフラを保護することは、共通の責任である。我々は、従来のビジネスのやり方に挑戦し、政府、産業界、学術界、国際的なパートナーと積極的に協力し、より前進的で行動的なコラボレーションに移行している。また、ステークホルダーが必要とする支援をより効果的に提供するために、当機関の地域的プレゼンスを拡大・強化することにも力を注いでいる。
・And fourth, foundational to our success, we will unify as One CISA through integrated functions, capabilities, and workforce. We will succeed because of our people. We are building a culture of excellence based on core values and core principles that prize teamwork and collaboration, innovation and inclusion, ownership and empowerment, and transparency and trust. As one team unified behind our shared mission, we will “work smart” to operate in an efficient and cost-effective manner. 第四に、我々の成功の基礎となる、機能、能力、労働力の統合により、One CISAとして団結することである。我々が成功するのは、社員のおかげである。我々は、チームワークとコラボレーション、イノベーションとインクルージョン、オーナーシップとエンパワーメント、そして透明性と信頼を尊ぶコアバリューと基本原則に基づき、卓越した文化を構築している。我々は、共通の使命のもとに結束した一つのチームとして、効率的で費用対効果の高い方法で業務を遂行するために「賢く働く」ことを目指す。
While the Strategic Plan highlights CISA’s overall measurement approach and representative outcomes for each objective, the agency is developing internal measures of performance and effectiveness to better track progress toward reducing risk and achieving its goals. 戦略計画では、CISAの全体的な測定方法と各目標の代表的な成果を強調しているが、リスクの削減と目標の達成に向けた進捗状況をよりよく把握するため、パフォーマンスと有効性に関する内部測定方法を開発中である。
We invite you to read the full CISA Strategic Plan. CISA戦略プランの全文をぜひご覧ください。
Supporting CISA Strategic Plans CISA戦略プランのサポート
Stakeholder Engagement Strategic Plan ステークホルダー・エンゲージメント戦略計画
Working collaboratively across the agency, CISA developed the Stakeholder Engagement Strategic Plan to coordinate a unified approach to stakeholder engagement and partnerships that strengthen whole-of-nation operational collaboration and information sharing. Fully aligned with CISA’s 2023-2025 Strategic Plan, the Stakeholder Engagement Strategic Plan will enable CISA to: CISAは、政府機関全体で協力しながら、ステークホルダー参画とパートナーシップに対する統一的なアプローチを調整し、全国的な業務連携と情報共有を強化するために、ステークホルダー参画戦略計画を策定しました。CISAの2023-2025年戦略計画と完全に整合しており、ステークホルダー・エンゲージメント戦略計画によってCISAは以下のことが可能になる。 
・foster collaboration on stakeholder engagement and outreach across CISA divisions,  ・CISAの各部門を横断するステークホルダー参画とアウトリーチに関する協働を促進する。 
・gain a better understanding of stakeholders’ security risks and needs, and   ・利害関係者のセキュリティ・リスクとニーズをよりよく理解する。  
・effectively provide stakeholders access to CISA’s products, services, resources, and information.    ・ステークホルダーにCISAの製品、サービス、リソース、情報へのアクセスを効果的に提供する。   
The goals outlined in the CISA Stakeholder Engagement Strategic Plan will unify CISA’s efforts to effectively engage and collaborate with stakeholders and partners, developing and strengthening the trusted relationships required to fulfill our mission. We invite you to read the full CISA Stakeholder Engagement Strategic Plan 2023-2025.   CISAステークホルダー・エンゲージメント戦略計画に示された目標は、ステークホルダーやパートナーと効果的に関わり、協力するためのCISAの取り組みを統一し、当社の使命を果たすために必要な信頼関係を発展、強化させるものである。CISAステークホルダーエンゲージメント戦略プラン2023-2025の全文を読むことを推奨する。  
We invite you to read the full Stakeholder Engagement Strategic Plan. ステークホルダーエンゲージメント戦略プランの全文
Diversity, Equity, Inclusion and Accessibility (DEIA) Strategic Plan 多様性、公平性、包括性、アクセシビリティ(DEIA)戦略計画
CISA is committed to ensuring a diverse and inclusive workplace environment that enables all employees to perform to their best potential. In November 2022, we released our first diversity, equity, inclusion, and accessibility defined strategic plan, the CISA Diversity, Equity, Inclusion and Accessibility (DEIA) Strategic Plan.  CISAは、すべての従業員が最高の能力を発揮できるよう、多様で包括的な職場環境を確保することに取り組んでいる。2022年11月、初の多様性、公平性、包括性、アクセシビリティを定義した戦略計画「CISA Diversity, Equity, Inclusion and Accessibility (DEIA) Strategic Plan」を発表した。 
The goals outlined in the CISA DEIA Plan will   CISA DEIAプランで示された目標は以下の通りである。  
・Demonstrate leadership commitment, shared responsibility and accountability for diversity, equity, inclusion, and accessibility.   ・多様性、公平性、包括性、アクセシビリティに対するリーダーシップのコミットメント、共有責任、説明責任を実証する。  
・Recruit, engage and retain a diverse talent pipeline and workforce.   ・多様な人材供給源と労働力を採用し、従事させ、維持する。  
・Ensure equity is at the core of an inclusive culture.    ・公平性が包括的な文化の中核であることを確認する。   
We invite you to read the full DEIA Strategic Plan.  DEIA戦略プランの全文 

 

・[PDF] CISA STRATEGIC PLAN 2023-2025

20230116-232031

Purpose / About CISA  目的・CISAについて 
Current Risk Landscape 現在のリスク状況
North Star / Our Mission and Vision  北極星 / 私たちの使命とビジョン 
CISA Core Values  CISAのコアバリュー 
CISA Core Principles CISAの基本理念
STRATEGIC PLAN OVERVIEW 戦略計画の概要
GOAL 1 | CYBER DEFENSE 目標1:サイバー防衛
Spearhead the national effort to ensure defense and resilience of サイバースペースの防衛とレジリエンスを確保するための国家的取り組みを先導する。
1.1. Enhance the ability of federal systems to withstand cyberattacks and incidents 1.1. 連邦政府のシステムがサイバー攻撃やインシデントに耐える能力を強化する。
1.2. Increase CISA’s ability to actively detect cyber threats targeting America’s critical infrastructure and critical networks 1.2. 米国の重要インフラと重要ネットワークを標的としたサイバー脅威を積極的に検知するCISAの能力を向上させる。
1.3. Drive the disclosure and mitigation of critical cyber vulnerabilities 1.3. 重要なサイバー脆弱性の開示と緩和を推進する。
1.4. Advance the cyberspace ecosystem to drive security-by-default 1.4. サイバースペース・エコシステムを推進し、デフォルトでのセキュリティを推進する。
GOAL 2 | RISK REDUCTION AND RESILIENCE 目標2:リスク低減とレジリエンス 
Reduce risks to, and strengthen resilience of, America’s critical infrastructure 米国の重要インフラに対するリスクを低減し、そのレジリエンスを強化する。
2.1. Expand visibility of risks to infrastructure, systems, and networks 2.1. インフラ、システム、ネットワークに対するリスクの可視性を拡大する。
2.2. Advance CISA’s risk analytic capabilities and methodologies 2.2. CISAのリスク分析能力及び方法論の高度化
2.3. Enhance CISA’s security and risk mitigation guidance and impact 2.3. CISAのセキュリティ及びリスク緩和の指針及び影響力を強化する
2.4. Build greater stakeholder capacity in infrastructure and network security and resilience 2.4. インフラ及びネットワークのセキュリティとレジリエンスに関するステークホルダーの能力を向上させる。
2.5. Increase CISA’s ability to respond to threats and incidents 2.5. CISAの脅威及びインシデントへの対応能力を向上させる
2.6. Support risk management activities for election infrastructure 2.6. 選挙インフラのリスクマネジメント活動の支援
GOAL 3 | OPERATIONAL COLLABORATION 目標3:作戦協力 
Strengthen whole-of-nation operational collaboration and information sharing 全国的な作戦協力と情報共有を強化する。
3.1. Optimize collaborative planning and implementation of stakeholder engagements and partnership activities 3.1. ステークホルダーの参画とパートナーシップ活動の共同企画と実施を最適化する。
3.2. Fully integrate regional offices into CISA’s operational coordination  3.2. 地域事務所をCISAの業務調整に完全に統合する。
3.3. Streamline stakeholder access to and use of appropriate CISA programs, products, and services 3.3. ステークホルダーが適切なCISAプログラム、製品、及びサービスにアクセスし、利用することを合理化する。
3.4. Enhance information sharing with CISA’s partnership base 3.4. CISAのパートナーシップ基盤との情報共有を強化する。
3.5. Increase integration of stakeholder insights to inform CISA product development and mission delivery 3.5. CISAの製品開発及び任務遂行に情報を提供するために、利害関係者の洞察の統合を促進する。
GOAL 4 | AGENCY UNIFICATION 目標4:機関の統一 
Unify as One CISA through integrated functions, capabilities, and  統合された機能、能力、人員により、一つのCISAとして統一される。
4.1. Strengthen and integrate CISA governance, management, and prioritization 4.1. CISAのガバナンス、管理、及び優先順位付けを強化し、統合する。
4.2. Optimize CISA business operations to be mutually supportive across all divisions 4.2. CISAの事業運営を最適化し、全部門で相互に支援し合う。
4.3. Cultivate and grow CISA’s high-performing workforce 4.3. CISAの優秀な人材を育成し、成長させる。
4.4. Advance CISA’s culture of excellence 4.4. CISAの卓越した文化を推進する

 

ステークホルダー・エンゲージメント

・[PDF] Stakeholder Engagement Strategic Plan 2023-2025

20230116-231929

 

・[PDF] DIVERSITY, EQUITY, INCLUSION, AND ACCESSIBILITY STRATEGIC ACTION PLAN 2022 – 2026

 

Message from the Director ディレクターからのメッセージ
Our Mission and Vision  ミッションとビジョン 
CISA Core Values CISAのコアバリュー
EXECUTIVE SUMMARY エグゼクティブサマリー
GOAL 1  目標1 
CISA collaboratively plans and implements stakeholder engagements and partnership activities to advance a unified mission delivery CISAは、統一されたミッションの提供を推進するために、ステークホルダーの参画とパートナーシップ活動を共同で計画し、実施する。
1.1. CISA establishes an internal coordinating function to support sustained trust-based relationships with State, Local, Tribal, and Territorial (SLTT) government, private sector, federal government, and international stakeholders to collaboratively advance mission objectives 1.1. CISAは、ミッション目標を共同で推進するために、州・地方・部族・準州(SLTT)政府、民間セクター、連邦政府、及び国際的利害関係者との信頼に基づく持続的関係を支援する内部調整機能を確立する。
1.2. CISA headquarters and regional offices collaborate to establish shared annual plans for national, regional, and international stakeholder outreach and engagement 1.2. CISA本部及び地域事務所が協力し、国内、地域、及び国際的な利害関係者への働きかけと関与に関する共有の年次計画を策定する。
1.3. CISA headquarters and regional offices plan and implement stakeholder engagements to ensure CISA programs connect with the right person at the right level to advance mission objectives 1.3. CISA本部及び地域事務局は、CISAのプログラムが適切なレベルの適切な人物とつながり、ミッション目標を達成できるように、ステークホルダーとの連携を計画し、実施する。
1.4. CISA engages new and established partners to develop and champion innovative risk reduction solutions, as appropriate, that help stakeholders collaborate with CISA to reduce risk to critical infrastructure through the lens of national critical functions 1.4. CISAは、新規及び既存のパートナーを巻き込み、必要に応じて、ステークホルダーが国家の重要な機能という観点から重要インフラのリスクを削減するためにCISAと協力できるような革新的なリスク削減ソリューションを開発し、支持する。
GOAL 2  目標2 
Stakeholder insights and feedback inform CISA product development and mission delivery 利害関係者の洞察及びフィードバックが、CISAの製品開発及び任務遂行に反映される。
2.1. CISA uses public sector best practices to garner feedback from stakeholders to improve product development and service delivery 2.1. CISAは、製品開発とサービス提供を改善するために、公共部門のベストプラクティスを利用して利害関係者からフィードバックを収集する。
2.2. CISA uses public sector best practices to garner insight into  2.2. CISAは、公共部門のベストプラクティスを用いて、ステークホルダーのコミュニティとその背景を把握し、製品開発とサービス提供の改善に役立てている。
stakeholder communities and their context to improve requirements definition, product development, and service delivery 2.2. CISAは、公共部門のベストプラクティスを用いて、ステークホルダーのコミュニティとその背景を理解し、要件定義、製品開発、及びサービス提供を改善する。
2.3. CISA uses stakeholder data and insights that reflect how stakeholders use CISA resources, products, and services to reduce risk from identified threats and vulnerabilities 2.3. CISAは、ステークホルダーがCISAのリソース、製品及びサービスをどのように利用しているかを反映したステークホルダーのデータ及び洞察を利用し、特定した脅威及び脆弱性によるリスクを低減する。
GOAL 3 目標3
Stakeholders have easy access to CISA programs, products, services and information ステークホルダーが、CISAのプログラム、製品、サービス、及び情報に容易にアクセスできる。
3.1. All CISA employees are a gateway to the full suite of CISA programs, products, services, and information 3.1. すべてのCISA職員が、CISAのプログラム、製品、サービス、及び情報一式への入口となる。
3.2. Stakeholders access programs, products, services, and  3.2. ステークホルダーは、プログラム、製品、サービス、および情報にアクセスする。
information through self-service offerings designed to augment engagement with CISA staff 3.2. 関係者は、CISA 職員との連携を強化するために設計されたセルフサービス製品を通じて、プログラム、製品、 サービス、情報にアクセスする。
3.3. CISA enhances information sharing with CISA’s partnership base 3.3. CISA は、CISA のパートナーシップ基盤との情報共有を強化する。
CONCLUSION 結論

 

多様性、公平性、包括性、アクセシビリティ(DEIA)戦略計画

・[PDF] DIVERSITY, EQUITY, INCLUSION, AND ACCESSIBILITY STRATEGIC ACTION PLAN 2022 – 2026

20230116-231936

 

 

 

 

| | Comments (0)

2022.09.20

米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)

こんにちは、丸山満彦です。

Information Technology Industry Council (ITI) [wikipedia]、日本語で言えば、IT産業協議会ですかね、、、が、AIシステムの透明性を実現するためのグローバルな政策原則を公表していますね。。。

透明性が重要と言っていますね。。。ただ、全てのAIシステムにそれが必要というわけではなく、特定のリスクの高いAIシステムの用途に透明性要件を適用することであると説明していますね。。。特定のリスクの高いAIシステムの用途というのは、特に健康、安全、自由、差別、人権に関連し、負の結果が人々に大きな影響を与える可能性がある用途という感じですね。。。

  1. 透明性要求の究極の目的は何かを検討する。
  2. 透明性要求の対象者と、AIシステムのライフサイクルのどの時点で適用されるかを検討する。
  3. 要求事項を検討する際には、透明性に関してリスクベースのアプローチをとる。
  4. 規制や政策提案の文脈で、透明性とは何を意味するのか、明確な定義を含める。
  5. 透明性にアプローチし、信頼を向上させるには様々な方法があり、説明可能性は1つの要素に過ぎないことを考慮する。
  6. 基本的権利に悪影響を及ぼす可能性のある AI システムの決定を理解するために十分な情報を利用者に提供し、利用者がそのような決定を見直し、異議を申し立てることができるようにすることを意図した規定を、法律内に含めることを検討する。
  7. 透明性要件が、機密性の高いIPやソースコードの開示、あるいは機密性の高い個人データの開示を企業に要求しないことを確認する。
  8. 様々なAIの透明性要件の相互運用性を維持するために、可能な限り任意の国際基準を活用する。
  9. AIシステムが利用者と直接対話する場合、その事実を容易に発見できるようにすべきであり、開示要件がこれを促進するのに役立つことを考慮する。
  10. 開示に係る規制は柔軟であるべきであり、含まれるべき特定の情報や技術的な詳細を規定することは避けるべきである。
  11. AIシステムの実際の導入者のみが情報開示の責任を負うべきである。

 

Information Technology Industry Council (ITI) 

・2022.09.15 ITI Publishes Global Policy Principles for Enabling Transparency of AI Systems

ITI Publishes Global Policy Principles for Enabling Transparency of AI Systems ITI、AIシステムの透明性を実現するためのグローバルな政策原則を発表
WASHINGTON – Today, global tech trade association ITI published new Policy Principles for Enabling Transparency of AI Systemsto help inform and guide policymaking. In its principles, ITI underscores that transparency is a critical part of developing accountable and trustworthy AI systems and avoiding unintended outcomes or other harmful impacts. At the highest level, transparency is about being clear about how an AI system is built, operated, and functions. When executed well, AI transparency can help to analyze outputs and hold appropriate AI stakeholders accountable. ワシントン - 本日、世界的な技術業界団体である ITI は、政策立案の情報提供と指針として、AI システムの透明性を実現するための新しいポリシー原則を発表した。ITIはその原則の中で、透明性は、説明可能で信頼できるAIシステムを開発し、意図しない結果やその他の有害な影響を回避するための重要な要素であることを強調している。最も高いレベルでは、透明性とは、AIシステムがどのように構築され、運用され、機能するかを明確にすることである。うまく実行されれば、AIの透明性は、アウトプットを分析し、適切なAI関係者に説明責任を負わせるのに役立つ。
Among its principles, ITI recommends policymakers empower users by including provisions within legislation that provide sufficient information to understand decisions of an AI system that may negatively affect users’ fundamental rights and give them the ability to review and/or challenge such decisions. ITI also outlines the need to make it clear to users when they are interacting directly with an AI system. ITIは、その原則の中で、政策立案者が利用者の基本的権利に悪影響を及ぼす可能性のあるAIシステムの決定を理解するのに十分な情報を提供し、そのような決定を見直し、異議を申し立てる能力を与える条項を法律内に盛り込むことによって、利用者に権限を与えることを推奨している。また、ITIは、利用者がAIシステムと直接対話する際に、それを明確にする必要があることを概説している。
“Transparency of AI systems has rightfully been a prime focus for policymakers in the U.S. and across the globe,” said ITI’s President and CEO Jason Oxman. “Regulations must effectively mitigate risk for users while preserving innovation of AI technologies and encouraging their uptake. ITI’s Policy Principles for Enabling Transparency of AI Systems offer a clear guide for policymakers to learn about and facilitate greater transparency of AI systems.” ITIの会長兼CEOであるJason Oxmanは、「AIシステムの透明性は、米国および世界中の政策立案者にとって当然のことながら主要な焦点となっている」と述べている。 「規制は、AI技術のイノベーションを維持し、その普及を促進しながら、利用者のリスクを効果的に軽減するものでなければならない。ITIの「AIシステムの透明性を実現するための政策原則」は、政策立案者がAIシステムについて学び、その透明性を高めることを促進するための明確な指針を提供する。"と述べている。
AI systems are comprised of sets of algorithms, which are capable of learning and evolving, whereas an algorithm alone is usually more simplistic, often executing a finite set of instructions. ITI’s Policy Principles for Enabling Transparency of AI Systems suggest that the most effective way to approach policymaking around transparency is to apply transparency requirements to specific, high-risk uses of AI systems – which are applications in which a negative outcome could have a significant impact on people — especially as it pertains to health, safety, freedom, discrimination, or human rights. AIシステムは、学習と進化が可能なアルゴリズムの集合で構成されているが、アルゴリズムだけでは通常もっと単純で、有限の命令セットを実行することが多い。ITIのAIシステムの透明性を実現するためのグローバルな政策原則は、透明性に関する政策立案にアプローチする最も効果的な方法は、特定のリスクの高いAIシステムの用途に透明性要件を適用することであると示唆している。これは、特に健康、安全、自由、差別、人権に関連し、負の結果が人々に大きな影響を与える可能性がある用途のことである。
ITI’s Policy Principles for Enabling Transparency of AI Systems advise policymakers to: ITIの「AIシステムの透明性を実現するための政策原則」は、政策立案者に次のように助言している。
・Consider what the ultimate objective of transparency requirements are. ・透明性要求の究極の目的は何かを検討する。
・Consider the intended audience of any transparency requirements and at what point of the AI system lifecycle they would apply. ・透明性要求の対象者と、AIシステムのライフサイクルのどの時点で適用されるかを検討する。
・Take a risk-based approach to transparency when considering requirements. ・要求事項を検討する際には、透明性に関してリスクベースのアプローチをとる。
・Include clear definitions of what is meant by transparency in the context of a regulation or policy proposal. ・規制や政策提案の文脈で、透明性とは何を意味するのか、明確な定義を含める。
・Consider that there are different ways to approach transparency and improve trust, and that explainability is only one component. ・透明性にアプローチし、信頼を向上させるには様々な方法があり、説明可能性は1つの要素に過ぎないことを考慮する。
・Consider including provisions within legislation that are intended to provide users with sufficient information to understand decisions of an AI system that may negatively affect their fundamental rights and provide users with the ability to review and/or challenge such decisions. ・基本的権利に悪影響を及ぼす可能性のある AI システムの決定を理解するために十分な情報を利用者に提供し、利用者がそのような決定を見直し、異議を申し立てることができるようにすることを意図した規定を、法律内に含めることを検討する。
・Ensure that transparency requirements do not require companies to divulge sensitive IP or source code or otherwise reveal sensitive individual data. ・透明性要件が、機密性の高いIPやソースコードの開示、あるいは機密性の高い個人データの開示を企業に要求しないことを確認する。
・Leverage voluntary international standards in order to maintain interoperability of various AI transparency requirements to the extent possible. ・様々なAIの透明性要件の相互運用性を維持するために、可能な限り任意の国際基準を活用する。
・Consider that when an AI system is directly interacting with a user, that fact should be easily discoverable and that disclosure requirements can help facilitate this. ・AIシステムが利用者と直接対話する場合、その事実を容易に発見できるようにすべきであり、開示要件がこれを促進するのに役立つことを考慮する。
・Regulations pertaining to disclosure should be flexible and avoid prescribing specific information or technical details to be included. ・開示に係る規制は柔軟であるべきであり、含まれるべき特定の情報や技術的な詳細を規定することは避けるべきである。
・Only the actual deployer of the AI system should be responsible for disclosure. ・AIシステムの実際の導入者のみが情報開示の責任を負うべきである。
These principles build on ITI’s Global AI Policy Recommendations, released in 2021, which offered a comprehensive set of policy recommendations for global policymakers seeking to foster innovation in AI while also addressing specific harms. この原則は、2021年に発表されたITIのグローバルAI政策提言に基づくもので、特定の害悪に対処しつつAIのイノベーションを促進しようとする世界の政策立案者に包括的な政策提言を提供するものである。

 

・[PDF] ITI Policy Principles for Enabling Transparency of AI Systems

20220920-33756

 

 

 

 

Continue reading "米国 ITI AIシステムの透明性を実現するためのグローバルな政策原則 (2022.09.15)"

| | Comments (0)

2022.09.19

米国 連邦取引委員会 (FTC) 消費者をだまし、罠にかける巧妙なダークパターンが増加している

こんにちは、丸山満彦です。

米国の連邦取引委員会 (FTC) が、消費者をだまし、罠にかける巧妙なダークパターンが増加していると報告書で注意喚起をしていますね。。。

Federal Trade Commission: FTC

・2022.09.15 FTC Report Shows Rise in Sophisticated Dark Patterns Designed to Trick and Trap Consumers

FTC Report Shows Rise in Sophisticated Dark Patterns Designed to Trick and Trap Consumers FTCの報告書、消費者をだまし、罠にかける巧妙なダークパターンの増加を示す
Tactics Include Disguised Ads, Difficult-to-Cancel Subscriptions, Buried Terms, and Tricks to Obtain Data 偽装広告、解約困難な定期購入商品、不明朗な規約、データ取得のための手口など
The Federal Trade Commission released a report today showing how companies are increasingly using sophisticated design practices known as “dark patterns” that can trick or manipulate consumers into buying products or services or giving up their privacy. The dark pattern tactics detailed in the report include disguising ads to look like independent content, making it difficult for consumers to cancel subscriptions or charges, burying key terms or junk fees, and tricking consumers into sharing their data. The report highlighted the FTC’s efforts to combat the use of dark patterns in the marketplace and reiterated the agency’s commitment to taking action against tactics designed to trick and trap consumers. 米連邦取引委員会(FTC)は本日、消費者を騙して製品やサービスを購入させたり、プライバシーを侵害したりする「ダークパターン」と呼ばれる巧妙な設計手法を用いる企業が増加していることを示す報告書を発表した。報告書で詳述されているダークパターンには、広告を独立したコンテンツに見せかけること、消費者による購読や料金の取り消しを困難にすること、重要な条件や迷惑料を隠蔽すること、消費者をだましてデータを共有させることなどが含まれている。この報告書は、市場におけるダークパターンの使用に対抗するためのFTCの取り組みを強調し、消費者を騙して陥れることを目的とした手口に対して対策を講じるというFTCの姿勢を改めて表明している。
“Our report shows how more and more companies are using digital dark patterns to trick people into buying products and giving away their personal information,” said Samuel Levine, Director of the FTC’s Bureau of Consumer Protection. “This report—and our cases—send a clear message that these traps will not be tolerated.” FTCの消費者保護局長であるサミュエル・レビンは、「我々の報告書は、ますます多くの企業がデジタルダークパターンを使って人々を騙し、製品を購入させたり、個人情報を提供させたりしていることを示している」と述べ、次のように述べている。「この報告書と私たちの事例は、このような罠を許さないという明確なメッセージを送っている。
For years, unscrupulous direct-mail and brick-and-mortar retailers have used design tricks and psychological tactics such as pre-checked boxes, hard-to-find-and read disclosures, and confusing cancellation policies, to get consumers to give up their money or data. As more commerce has moved online, dark patterns have grown in scale and sophistication, allowing companies to develop complex analytical techniques, collect more personal data, and experiment with dark patterns to exploit the most effective ones. The staff report, which stems from a workshop the FTC held in April 2021, examined how dark patterns can obscure, subvert, or impair consumer choice and decision-making and may violate the law. 長年にわたり、悪質なダイレクトメールや実店舗の小売業者は、消費者から金銭やデータを引き出させるために、チェック済みのボックス、見つけにくく読みにくい情報開示、紛らわしいキャンセルポリシーなど、デザイン上のトリックや心理作戦を駆使してきました。このため、企業は複雑な分析技術を開発し、より多くの個人データを収集し、最も効果的なパターンを利用するためにダークパターンを試すことができるようになった。 このスタッフレポートは、2021年4月にFTCが開催したワークショップに由来するもので、ダークパターンが消費者の選択や意思決定をいかに不明瞭にし、破壊し、障害を与え、法律に違反する可能性があるかを検証している。
The report, Bringing Dark Patterns to Light, found dark patterns used in a variety of industries and contexts, including e-commerce, cookie consent banners, children’s apps, and subscription sales. The report focuses on four common dark pattern tactics: 報告書「Bringing Dark Patterns to Light」では、電子商取引、クッキー同意バナー、子供向けアプリ、定期購入販売など、さまざまな業界や文脈で使用されているダークパターンを発見している。この報告書では、4つの一般的なダークパターンの手口に焦点を当てている。
・Misleading Consumers and Disguising Ads: These tactics include advertisements designed to look like independent, editorial content; comparison shopping sites that claim to be neutral but really rank companies based on compensation; and countdown timers designed to make consumers believe they only have a limited time to purchase a product or service when the offer is not actually time-limited. For example, the FTC took action against the operators of a work-from-home scheme for allegedly sending unsolicited emails to consumers that included “from” lines that falsely claimed they were coming from news organizations like CNN or Fox News. The body of these emails included links that sent consumers to additional fake online news stories, and then eventually routed consumers to sales websites that pitched the company’s work-from-home schemes. 消費者を欺く、広告を偽装する:これらの手口には、独立した編集コンテンツのように見せかけた広告、中立性を主張しながら実際には報酬に基づいて企業をランク付けする比較ショッピングサイト、実際には期限がないにもかかわらず消費者に製品やサービスを購入できる期間が限られていると思わせるようなカウントダウンタイマーなどが含まれる。例えば、FTCは、CNNやFox Newsなどの報道機関からのメールであると偽った「from」行を含む未承諾メールを消費者に送ったとされる在宅ワークスキームの運営者に対して訴訟を起こした。これらのメールの本文には、消費者をさらに偽のオンラインニュースへ誘導するリンクが含まれており、最終的には、同社の在宅ワークスキームを売り込む販売サイトへ消費者を誘導していた。
・Making it difficult to cancel subscriptions or charges: Another common dark pattern involves tricking someone into paying for goods or services without consent. For example, deceptive subscription sellers may saddle consumers with recurring payments for products and services they never intended to purchase or that they do not wish to continue purchasing. For example, in its case against ABCmouse, the FTC alleged the online learning site made it extremely difficult to cancel free trials and subscription plans despite promising “Easy Cancellation.” Consumers who wanted to cancel their subscriptions were often forced to navigate a difficult-to-find, lengthy, and confusing cancellation path on the company’s website and click through several pages of promotions and links that, when clicked, directed consumers away from the cancellation path. 購読や課金の取り消しを困難にする: もうひとつのよくある手口は、商品やサービスの代金を無断で支払わせるというものである。例えば、定期購入を謳う業者は、消費者が購入するつもりのなかった商品やサービス、あるいは継続購入を望まない商品について、定期的な支払いを強要することがある。例えば、ABCmouseに対する訴訟では、FTCは、オンライン学習サイトが「簡単な解約」を約束したにもかかわらず、無料体験版や定期購入プランの解約を非常に困難にしていると主張した。 解約を希望する消費者は、同社のウェブサイト上で、見つけにくく、長く、分かりにくい解約経路をたびたびたどり、数ページにわたる宣伝やリンクをクリックすると、解約経路から消費者を遠ざけるような行動をとらざるを得なかったのである。 
・Burying key terms and junk fees: Some dark patterns operate by hiding or obscuring material information from consumers, such as burying key limitations of the product or service in dense terms of service documents that consumers don’t see before purchase. This tactic also includes burying junk fees. Companies advertise only part of a product’s total price to lure consumers in, and do not mention other mandatory charges until late in the buying process. In its case against LendingClub, the FTC alleged that the online lender used prominent visuals to falsely promise loan applicants that they would receive a specific loan amount and pay “no hidden fees” but hid mention of fees behind tooltip buttons and in between more prominent text. 重要な用語やジャンクフィーを隠す:商品・サービスの重要な制限事項を、購入前に消費者が目にすることのない利用規約の中に埋没させるなど、消費者から重要な情報を隠したり、曖昧にしたりして運営する闇パターンもある。この手口には、迷惑料の隠蔽も含まれる。企業は、消費者を誘い込むために商品価格の一部だけを宣伝し、購入プロセスの後半になるまで他の必須料金に触れない。レンディングクラブに対する訴訟で、FTCは、オンライン金融業者が目立つビジュアルを使って、融資希望者に特定の融資額と「隠れた手数料なし」を不当に約束しながら、ツールチップ・ボタンの後ろや目立つテキストの間に手数料に関する言及を隠したと主張している。
・Tricking consumers into sharing data: These dark patterns are often presented as giving consumers choices about privacy settings or sharing data but are designed to intentionally steer consumers toward the option that gives away the most personal information. The FTC alleged that smart-TV maker Vizio enabled default settings allowing the company to collect and share consumers’ viewing activity with third parties, only providing a brief notice to some consumers that could easily be missed. 消費者を騙してデータを共有させる:これらの暗黒パターンは、消費者にプライバシー設定やデータ共有に関する選択肢を与えるように見せかけながら、最も個人情報を与えやすい選択肢に消費者を意図的に誘導するように設計されていることが多い。 FTCは、スマートTVメーカーのVizioが、消費者の視聴活動を収集し、第三者と共有することを可能にする初期設定を有効にし、一部の消費者には簡単に見落とせるような簡単な通知しかしていないと主張している。
As detailed in the report, the FTC has worked to keep pace with the evolving types of dark patterns used in the marketplace. The Commission has sued companies for requiring users to navigate a maze of screens in order to cancel recurring subscriptions, sneaking unwanted products into consumers’ online shopping carts without their knowledge, and experimenting with deceptive marketing designs.  報告書に詳述されているように、FTCは、市場で使用されるダークパターンの種類が進化していることに対応するために努力してきた。欧州委員会は、定期購読を解約するためにユーザーに迷路のような画面を操作させる、消費者が知らないうちに不要な商品をオンラインショッピングカートにこっそり入れる、欺瞞的なマーケティングデザインを試みているなどの理由で企業を提訴してきた。 
The Commission voted 5-0 at an open meeting to authorize the release of the staff report. 連邦取引委員会は、公開の会議において、5対0の賛成多数でスタッフレポートの公表を承認した。
The Federal Trade Commission works to promote competition and protect and educate consumers. Learn more about consumer topics at consumer.ftc.gov, or report fraud, scams, and bad business practices at ReportFraud.ftc.gov. Follow the FTC on social media, read consumer alerts and the business blog, and sign up to get the latest FTC news and alerts. 連邦取引委員会は、競争の促進、消費者の保護と啓蒙に努めている。消費者関連の話題については consumer.ftc.gov で、詐欺や悪徳商法については ReportFraud.ftc.gov で詳細を参照すること。FTCをソーシャルメディアでフォローし、消費者向け警告やビジネスブログを読み、FTCの最新ニュースや警告を受け取るために登録することができる。
Press Release Reference プレスリリース参照
FTC Releases Final Agenda for Dark Patterns Workshop on April 29 FTC、4月29日に開催されるダークパターン・ワークショップの最終アジェンダを発表
FTC to Hold Virtual Workshop Exploring Digital “Dark Patterns” FTC、デジタル "ダーク・パターン "を探求するバーチャル・ワークショップを開催
FTC Seeks Public Comment on Dark Patterns Topics ahead of Workshop FTC、ワークショップ開催に先立ち、ダークパターンのトピックについてパブリックコメントを募集

 

・[PDF] Bringing Dark Patterns to Light

20220919-52841

 

Introduction はじめに
Background 背景
Common Dark Patterns & Consumer Protection Concerns よくある暗黒パターンと消費者保護への懸念
I. Design Elements that Induce False Beliefs I. 誤認を誘発するデザイン要素
II. Design Elements that Hide or Delay Disclosure of Material Information II. 重要な情報の開示を隠したり遅らせたりするデザイン要素
III. Design Elements that Lead to Unauthorized Charges III. 不正な課金につながる設計要素
IV. Design Elements that Obscure or Subvert Privacy Choices IV. プライバシーに関する選択肢を不明瞭にする、または妨害する設計要素
Conclusion 結論
Appendix A 附属書A
Compilation of Digital Dark Patterns デジタルダークパターンの編集
Appendix B 附属書B
Contributors 寄稿者
Endnotes 巻末資料

| | Comments (0)

2022.09.18

米国 行政管理予算局 (0MB) ソフトウェアサプライチェーンのセキュリティ強化 を公表

こんにちは、丸山満彦です。

米国 行政管理予算局 ソフトウェアサプライチェーンのセキュリティ強化 を公表していますね。。。これは、昨年5月に発表された大統領令14028に関連するものですね。。。

 

White House

・2022.09.14 Enhancing the Security of the Software Supply Chain to Deliver a Secure Government Experience

Enhancing the Security of the Software Supply Chain to Deliver a Secure Government Experience ソフトウェアサプライチェーンのセキュリティを強化し、安全なガバメントエクスペリエンスを提供する
By Chris DeRusha, Federal Chief Information Security Officer and Deputy National Cyber Director 連邦政府最高情報セキュリティ責任者兼国家サイバー副長官 Chris DeRusha氏より
The Biden-Harris Administration is committed to delivering a Government that works for all Americans – and technology powers our ability to do so. In order for Federal agencies to provide critical services, information, and products to the American people, they need access to secure and reliable software that manages everything from tax returns to veteran’s health records.   バイデン-ハリス政権は、すべてのアメリカ人のために機能する政府を実現することに尽力しており、テクノロジーはそのための能力を後押ししている。連邦機関が重要なサービス、情報、製品を米国民に提供するためには、納税申告から退役軍人の健康記録まであらゆるものを管理する安全で信頼できるソフトウェアにアクセスする必要がある。 
That’s why today, building on the President’s Executive Order on Improving the Nation’s Cybersecurity, the Office of Management and Budget is issuing guidance to ensure Federal agencies utilize software that has been built following common cybersecurity practices. このため、本日、国家サイバーセキュリティの改善に関する大統領令に基づき、行政管理予算局は、連邦機関が一般的なサイバーセキュリティ慣行に則って構築されたソフトウェアを確実に利用できるようにするためのガイダンスを発行している。
Not too long ago, the only real criteria for the quality of a piece of software was whether it worked as advertised. With the cyber threats facing Federal agencies, our technology must be developed in a way that makes it resilient and secure, ensuring the delivery of critical services to the American people while protecting the data of the American public and guarding against foreign adversaries. 少し前までは、ソフトウェアの品質を判断する基準は、文字通りに動くかどうかだけでした。連邦機関が直面しているサイバー脅威を考えると、私たちのテクノロジーは、米国民のデータを保護し、外国の敵対者から守りながら、米国民に重要なサービスを確実に提供するために、レジリエンスと安全性を高める方法で開発されなければならない。
This is not theoretical: foreign governments and criminal syndicates are regularly seeking ways to compromise our digital infrastructure. In 2020, a number of Federal agencies and large corporations were compromised by malicious code that was added into SolarWinds software. This small change created a backdoor into the digital infrastructure of Federal agencies and private sector companies. This incident was one of a string of cyber intrusions and significant software vulnerabilities over the last two years that have threatened the delivery of Government services to the public, as well as the integrity of vast amounts of personal information and business data that is managed by the private sector. これは机上の空論ではない。外国政府や犯罪組織は、私たちのデジタルインフラを侵害する方法を定期的に探し求めている。2020年、多くの連邦機関や大企業が、SolarWindsソフトウェアに追加された悪質なコードによって危険にさらされた。この小さな変更が、連邦機関や民間企業のデジタル・インフラへのバックドアを作り出したのである。この事件は、過去2年間に相次いだサイバー侵入やソフトウェアの重大な脆弱性の一つで、国民への政府サービスの提供や、民間企業が管理する膨大な量の個人情報およびビジネスデータの完全性を脅かすものでした。
In response to these threats, President Biden signed a historic Executive Order to ensure Federal agencies implement rigorous, modern cybersecurity protections for our systems and data. Part of this shift includes the release of today’s guidance, which will ensure that millions of lines of code that underpin Federal agencies’ work are built with industry security standards in place. The guidance, developed with input from the public and private sector as well as academia, directs agencies to use only software that complies with secure software development standards, creates a self-attestation form for software producers and agencies, and will allow the federal government to quickly identify security gaps when new vulnerabilities are discovered.   これらの脅威に対応するため、バイデン大統領は、連邦政府機関が我々のシステムとデータのために厳格で最新のサイバーセキュリティ保護を実施することを保証する歴史的な大統領令に署名した。この転換の一環として、本日のガイダンスの発表があり、連邦機関の業務を支える何百万行ものコードが、業界のセキュリティ基準に従って構築されていることを確認することになる。官民および学界の意見を取り入れて作成されたこのガイダンスは、安全なソフトウェア開発基準に準拠したソフトウェアのみを使用するよう機関に指示し、ソフトウェアメーカーと機関のための自己証明書を作成し、新しい脆弱性が発見されたときに連邦政府が迅速にセキュリティギャップを特定できるようにするものである。 
By strengthening our software supply chain through secure software development practices, we are building on the Biden-Harris Administration’s efforts to modernize agency cybersecurity practices, including our federal ‘zero trust’ strategy, improving our detection and response to threats, and our ability to quickly investigate and recover from cyber-attacks. It is part of a larger enterprise cybersecurity and information technology (IT) modernization plan that ensures we can deliver a simple, seamless, and secure customer experience. 安全なソフトウェア開発の実践を通じてソフトウェアのサプライチェーンを強化することで、バイデン=ハリス政権による連邦政府の「ゼロ・トラスト」戦略を含む省庁のサイバーセキュリティ実践の近代化、脅威の検知と対応、サイバー攻撃からの迅速な調査と復旧の能力向上への取り組みを基礎としている。これは、シンプルでシームレス、かつ安全な顧客体験を提供するための、より大きなエンタープライズ・サイバーセキュリティと情報技術(IT)近代化計画の一部である。
The guidance released today will help us build trust and transparency in the digital infrastructure that underpins our modern world and will allow us to fulfill our commitment to continue to lead by example while protecting the national and economic security of our country. 本日発表されたガイダンスは、現代社会を支えるデジタル・インフラの信頼性と透明性を高めるのに役立ち、我が国の国家と経済の安全を守りながら、模範となる行動を取り続けるという約束を果たすことができるようになるでしょう」と述べている。

 

 

・[PDF] M-22-18 MEMORANDUM FOR THE HEADS OF EXECUTIVE DEPARTMENTS AND AGENCIES 

20220918-34703

・[DOCX] 仮訳

 

 


Software Supply Chain関係...

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.26 NIST White Paper (Draft) [プロジェクト概要] ソフトウェアサプライチェーンとDevOpsセキュリティの実践:リスクベースのアプローチによるDevSecOpsの実践

・2022.05.08 NIST SP 800-161 Rev. 1 システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践

・2022.04.15 米国 食品医薬品局 (FDA) 医療機器におけるサイバーセキュリティ:品質システムに関する考察と市販前申請の内容:産業界と食品医薬品局スタッフのためのガイダンス(案) (2022.04.08)

・2022.02.26 NIST RFI(情報要求)サイバーセキュリティフレームワーク、サプライチェーンのサイバーリスクマネジメントの改善等のために。。。

・2022.02.22 NATO CCDCOE 最近のサイバー事件 軍事・国家安全保障の意思決定者のための検討事項 第14号は2021年の振り返り (2022.01)

・2022.02.06 NIST ホワイトペーパー: 大統領令14028条第4e項に基づくソフトウェア・サプライチェーン・セキュリティ・ガイダンス

・2022.01.17 米国 GAO サイバーセキュリティ:SolarWindsおよびMicrosoft Exchangeのインシデントに対する連邦政府の対応

・2021.10.30 NIST SP 800-161 Rev. 1 (Draft) システムと組織のためのサイバーセキュリティ・サプライチェーン・リスクマネジメントの実践(第2次ドラフト)

・2021.07.20 米国、英国、欧州連合は中国が悪意あるサイバー活動を行なっていると発表していますね。。。

・2021.06.02 米国 国家のサイバーセキュリティ向上に関する大統領令 (EO 14028) に基づくソフトウェアサプライチェーン管理に関係して。。。

・2021.05.13 米国 国家のサイバーセキュリティ向上に関する大統領令

・2021.05.09 NATO CCDCOE (Cooperative Cyber Defence Centre of Excellence) 5月発行の第10号の特集は「ソフトウェアサプライチェーン」

・2021.04.16 White HouseはSolarWindsの不正アクセスに関連する行動がロシアによるものと正式に認め制裁を課す大統領令を発出していますね。。。 U.S. サイバー司令部と国土安全保障省-CISAはSolarWindsの不正アクセスに関連するロシア製マルウェアのサンプルを公開

・2020.04.27 NIST White Paper - Mitigating the Risk of Software Vulnerabilities by Adopting a Secure Software Development Framework (SSDF)

 

| | Comments (0)

研究開発戦略センター デジタル社会における新たなトラスト形成

こんにちは、丸山満彦です。

研究開発戦略センターが「デジタル社会における新たなトラスト形成」という報告書を公表していますね。。。

3月に公表された、トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~をベースにしたものなのでしょうかね。。。

 

研究開発戦略センター

・2022.09.16 デジタル社会における新たなトラスト形成

・[PDF] 戦略プロポーザル デジタル社会における新たなトラスト形成

20220918-20654

 

目次...

1  研究開発の内容

2  研究開発を実施する意義
2.1
現状認識および問題点
2.2
社会・経済的効果
2.3
科学技術上の効果

3  具体的な研究開発課題
3.1
トラストの社会的よりどころの再構築
3.2
社会的トラスト形成フレームワーク
3.3
具体的トラスト問題ケースへの取り組み
3.4
トラストに関する基礎研究

4  研究開発の推進方法および時間軸

付録
付録 A  検討の経緯
付録 B  国内外の状況
付録 C  用語解説
付録 D  参考文献

コラム一覧
コラム 1 情報に関する対象真正性と内容真実性
コラム 2 トラストの弊害
コラム 3 内容真実性 : 事実や真実は定まるものなのか ?
コラム 4 AI 応用システムの振る舞い予想・対応可能性
コラム 5 デジタル化とトラスト問題の関係

気になる図表

20220918-21609

20220918-21658

 

 

20220918-21756

20220918-21852

 

20220918-22040

 

20220918-22117

20220918-22210





20220918-22326

 

 

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

・2022.03.07 科学技術振興機構 俯瞰ワークショップ報告書 「俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~」

● 国立科学技術法人科学技術振興機構

・2022.03.04 俯瞰セミナー&ワークショップ報告書:トラスト研究の潮流 ~人文・社会科学から人工知能、医療まで~

・[PDF] 報告書

20220307-52717

 

・2021.03.14 日本セキュリティ・マネジメント学会 学会誌第34巻第3号 三角さんの寄稿他

・2005.08.13 内閣官房 セキュリティ文化専門委員会 第1回会合

・2005.02.04 監視社会と信頼関係

 

| | Comments (0)

2022.09.17

欧州委員会 サイバーレジリエンス法案 製造者は「積極的に悪用される脆弱性」に気づいたら24時間以内にENISAに報告しなければならない...

こんにちは、丸山満彦です。

欧州委員会 (Euopean Commission) から不十分なセキュリティ機能を備えた製品から消費者と企業を保護するためのサイバーレジリエンス法(Cyber Resilience Act)案が公開されていますね。。。医療機器、自動車、航空機等については、別途規則があるので、それらは対象外です。。。

この法案は、

(a) デジタル要素を含む製品のサイバーセキュリティを確保するための製品の上市に関する規則、

(b) デジタル要素を含む製品の設計、開発、製造に関する必須要件、およびこれらの製品に関連するサイバーセキュリティに関する経済事業者の義務、

(c) デジタル要素を含む製品のサイバーセキュリティを全ライフサイクルにわたって確保するために製造者が実施する脆弱性処理プロセスに関する必須要件、及びこれらのプロセスに関連する経済事業者の義務

(d) 上記の規則及び要件の市場監視及び執行に関する規則

を定めているとのことです。。。

デジタル要素を含む製品を販売しようとする製造者は、事実上PSIRTを組成しないといけないことになりますね。。。

第11条第1項に積極的に悪用される脆弱性に気づいたら24時間以内にENISAに報告しなければならないとありますね。。。ちなみに積極的に悪用される脆弱性 (actively exploited vulnerability) とは「悪意のあるコードの実行が、システム所有者の許可なく、行為者によってシステム上で行われたという信頼できる証拠がある脆弱性」と定義されています。。。

さらに、第2項では、事故が発生した場合も24時間以内にENISAに報告しなければならないとありますね。。。そして、第4項では、製品の使用者にも事故と影響を軽減できる措置の仕方を通知しないといけないとなっていますね。。。

 

European Commission

・2022.09.15 Cyber Resilience Act

 

Cyber Resilience Act サイバーレジリエンス法
The proposal for a regulation on cybersecurity requirements for products with digital elements, known as the Cyber Resilience Act, bolsters cybersecurity rules to ensure more secure hardware and software products. サイバーレジリエンス法として、デジタル要素を含む製品のサイバーセキュリティ要件に関する規制の提案は、より安全なハードウェアおよびソフトウェア製品を保証するためにサイバーセキュリティの規則を強化するものである。
Hardware and software products are increasingly subject to successful cyberattacks, leading to an estimated global annual cost of cybercrime of €5.5 trillion by 2021. ハードウェアおよびソフトウェア製品がサイバー攻撃の標的となるケースが増加しており、2021年までに全世界のサイバー犯罪の年間コストは5.5兆ユーロに達すると推定されている。
Such products suffer from two major problems adding costs for users and the society: このような製品は、ユーザーと社会にコストをもたらす2つの大きな問題を抱えている。
1. a low level of cybersecurity, reflected by widespread vulnerabilities and the insufficient and inconsistent provision of security updates to address them, and 1. サイバーセキュリティのレベルが低く、脆弱性が蔓延し、それに対応するためのセキュリティアップデートが不十分で一貫性がないこと。
2. an insufficient understanding and access to information by users, preventing them from choosing products with adequate cybersecurity properties or using them in a secure manner.  2. ユーザーによる理解と情報へのアクセスが不十分で、適切なサイバーセキュリティ特性を持つ製品を選択したり、安全な方法で製品を使用したりすることを妨げていること。 
While existing internal market legislation applies to certain products with digital elements, most of the hardware and software products are currently not covered by any EU legislation tackling their cybersecurity. In particular, the current EU legal framework does not address the cybersecurity of non-embedded software, even if cybersecurity attacks increasingly target vulnerabilities in these products, causing significant societal and economic costs. 既存の域内市場法は、デジタル要素を持つ一部の製品に適用されますが、ハードウェアおよびソフトウェア製品のほとんどは、現在、そのサイバーセキュリティに取り組むEU法の対象にはなっていません。特に、非組込み型ソフトウェアのサイバーセキュリティについては、サイバーセキュリティ攻撃がこれらの製品の脆弱性を狙うようになってきており、社会的・経済的に大きな損失をもたらしているにもかかわらず、現在のEUの法的枠組みでは対処されていない。
Two main objectives were identified aiming to ensure the proper functioning of the internal market:  EU域内市場の適切な機能を確保するために、以下の2つの主要な目的が確認されました。 
create conditions for the development of secure products with digital elements by ensuring that hardware and software products are placed on the market with fewer vulnerabilities and ensure that manufacturers take security seriously throughout a product’s life cycle; and ハードウェアおよびソフトウェア製品がより脆弱性の少ない状態で市場に投入され、製造者が製品のライフサイクルを通じてセキュリティに真剣に取り組むことを保証することにより、デジタル要素を含む安全な製品を開発するための条件を整備すること。
create conditions allowing users to take cybersecurity into account when selecting and using products with digital elements. ユーザーがデジタル製品を選択・使用する際に、サイバーセキュリティを考慮できるような環境を整える。
Four specific objectives were set out: 具体的な目標としては、以下の4点が設定されました。
1. ensure that manufacturers improve the security of products with digital elements since the design and development phase and throughout the whole life cycle; 1. 製造者が設計・開発段階からライフサイクル全体を通じて、デジタル要素を含む製品のセキュリティを向上させること。
2. ensure a coherent cybersecurity framework, facilitating compliance for hardware and software producers; 2. 一貫したサイバーセキュリティの枠組みを確保し、ハードウェアとソフトウェアの製造者のコンプライアンスを促進する。
3. enhance the transparency of security properties of products with digital elements, and 3. デジタル要素を含む製品のセキュリティ特性の透明性を向上させる。
4. enable businesses and consumers to use products with digital elements securely. 4. 企業や消費者がデジタル製品を安全に使用できるようにする。

 

法案

・[PDF]  Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act

20220916-161849

・[DOCX] 仮訳

条文構成...

CHAPTER I  GENERAL PROVISIONS  第1章 総則 
Article 1 Subject matter  第1条 主題 
Article 2  Scope  第2条 対象範囲 
Article 3  Definitions  第3条 定義 
Article 4  Free movement  第4条 自由行動 
Article 5  Requirements for products with digital elements  第5条 デジタル要素を含む製品への要求事項 
Article 6  Critical products with digital elements  第6条 デジタル技術を駆使した重要な製品 
Article 7  General product safety  第7条 一般製品安全
Article 8  High-risk AI systems  第8条 高リスクのAIシステム 
Article 9  Machinery products  第9条 機械製品 
CHAPTER II  OBLIGATIONS OF ECONOMIC OPERATORS  第2章 経済事業者の義務 
Article 10  Obligations of manufacturers  第10条 製造者の義務 
Article 11  Reporting obligations of manufacturers  第11条 製造者の通知義務 
Article 12  Authorised representatives  第12条 正規代理店 
Article 13  Obligations of importers  第13条 輸入者の義務 
Article 14  Obligations of distributors  第14条 販売代理店の義務 
Article 15  Cases in which obligations of manufacturers apply to importers and distributors  第15条 製造者の義務が輸入者・販売者に適用されるケース 
Article 16  Other cases in which obligations of manufacturers apply  第16条 その他、製造者の義務が適用される場合 
Article 17  Identification of economic operators  第17条 経済事業者の特定 
CHAPTER III  CONFORMITY OF THE PRODUCT WITH DIGITAL ELEMENTS  第3章 製品のデジタル要素への適合性 
Article 18  Presumption of conformity  第18条 適合性の推定 
Article 19  Common specifications  第19条 共通仕様 
Article 20  EU declaration of conformity  第20条 EU適合性宣言 
Article 21  General principles of the CE marking  第21条 CEマークの一般原則 
Article 22  Rules and conditions for affixing the CE marking  第22条 CEマークの貼付に関する規定と条件 
Article 23  Technical documentation  第23条 技術文書 
Article 24 Conformity assessment procedures for products with digital elements  第24条 デジタル要素を含む製品の適合性評価手順 
CHAPTER IV  NOTIFICATION OF CONFORMITY ASSESSMENT BODIES  第4章 適合性評価機関の通知 
Article 25  Notification  第25条 通知 
Article 26  Notifying authorities  第26条 通知当局 
Article 27  Requirements relating to notifying authorities  第27条 通知当局に関する要求事項 
Article 28  Information obligation on notifying authorities  第28条 通知当局の情報義務 
Article 29 Requirements relating to notified bodies  第29条 通知機関に関する要求事項 
Article 30 Presumption of conformity of notified bodies  第30条 通知機関の適合性の推定 
Article 31  Subsidiaries of and subcontracting by notified bodies  第31条 通知機関の子会社および下請け業者 
Article 32  Application for notification  第32条 通知申請 
Article 33  Notification procedure  第33条 通知手順 
Article 34  Identification numbers and lists of notified bodies  第34条 識別番号と通知機関のリスト 
Article 35  Changes to notifications  第35条 通知事項の変更 
Article 36  Challenge of the competence of notified bodies  第36条 通知機関のコンピテンスへの挑戦 
Article 37  Operational obligations of notified bodies  第37条 通知機関の運用義務 
Article 38  Information obligation on notified bodies  第38条 通知機関への情報提供義務 
Article 39  Exchange of experience  第39条 経験交流 
Article 40  Coordination of notified bodies  第40条 通知機関のコーディネーション 
CHAPTER V  MARKET SURVEILLANCE AND ENFORCEMENT  第5章  市場監視と執行 
Article 41  Market surveillance and control of products with digital elements in the Union market  第41条 連合市場におけるデジタル技術を用いた製品の市場監視と管理 
Article 42  Access to data and documentation  第42条 データ・資料へのアクセス 
Article 43  Procedure at national level concerning products with digital elements presenting a significant cybersecurity risk  第43条 重大なサイバーセキュリティリスクをもたらすデジタル要素を持つ製品に関する国家レベルでの手続き
Article 44  Union safeguard procedure  第44条 ユニオン・セーフガード手続 
Article 45  Procedure at EU level concerning products with digital elements presenting a significant cybersecurity risk  第45条 重大なサイバーセキュリティ上のリスクをもたらすデジタル要素を持つ製品に関するEUレベルでの手続き 
Article 46  Compliant products with digital elements which present a significant cybersecurity risk  第46条 重大なサイバーセキュリティリスクをもたらすデジタル要素を含むコンプライアンス製品 
Article 47  Formal non-compliance  第47条 形式的なコンプライアンス違反 
Article 48  Joint activities of market surveillance authorities  第48条 市場監視当局の共同活動 
Article 49  Sweeps  第49条 スイープ 
CHAPTER VI  DELEGATED POWERS AND COMMITTEE PROCEDURE  第6章 委任された権限と委員会の手続き 
Article 50  Exercise of the delegation  第50条 委任事項の行使 
Article 51  Committee procedure  第51条 委員会の手続き 
CHAPTER VII  CONFIDENTIALITY AND PENALTIES  第7章 守秘義務と罰則 
Article 52  Confidentiality  第52条 守秘義務 
Article 53  Penalties  第53条 罰則 
CHAPTER VIII  TRANSITIONAL AND FINAL PROVISIONS  第8章 経過措置と最終規定 
Article 54  Amendment to Regulation (EU) 2019/1020  第54条 規則(EU)2019/1020の改正
Article 55  Transitional provisions  第55条 経過措置 
Article 56  Evaluation and review  第56条 評価・レビュー 
Article 57  Entry into force and application  第57条 発効と適用 

 

 

附属書 

・[PDF] Annexes Proposal for a Regulation on cybersecurity requirements for products with digital elements - Cyber resilience Act

20220916-162052

・[DOCX] 仮訳

 

 

 

| | Comments (0)

2022.09.16

中国 意見募集 ネットワークセキュリティ法の改正案

こんにちは、丸山満彦です。

中国のネットワークセキュリティ法の改正案についての意見募集が行われていますね。。。

データ保護法、個人情報保護法等を踏まえての改正のようです。。。主に、罰則の部分ですね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.09.14 关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》 意见的通知

 

关于公开征求《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》 中華人民共和国ネットワークセキュリティ法改正の決定(パブリックコメント募集案)について
意见的通知 意見募集の通知
为了做好《中华人民共和国网络安全法》与相关法律的衔接协调,完善法律责任制度,保护个人、组织在网络空间的合法权益,维护国家安全和公共利益,我办会同相关部门起草了《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》,现向社会公开征求意见。公众可通过以下途径和方式反馈意见: 中華人民共和国ネットワークセキュリティ法の関連法への収斂をうまく調整し、法的責任制度を改善し、サイバー空間における個人と組織の合法的権益を保護し、国家の安全と公共の利益を守るために、私は関連部門と共同で「中華人民共和国ネットワークセキュリティ法の改正に関する決定(パブリックコメント用ドラフト)」を作成し、現在公開し、意見を求めているところである。 一般の方は、以下の方法・手段でご意見をお聞かせください。
... ...
意见反馈截止时间为2022年9月29日。 意見の締め切りは2022年9月29日である。
附件:1.关于修改《中华人民共和国网络安全法》的决定(征求意见稿) 附属書:1.中華人民共和国ネットワークセキュリティ法の改正に関する決定(意見募集案)
   2.《关于修改〈中华人民共和国网络安全法〉的决定(征求意见稿)》的说明    2.中華人民共和国ネットワークセキュリティ法の改正に関する決定(意見募集案)についての説明
国家互联网信息办公室 国家サイバースペース管理室
2022年9月12日 2022年9月12日
关于修改《中华人民共和国网络安全法》的决定(征求意见稿) 中華人民共和国ネットワークセキュリティ法の改正に関する決定(意見募集案)
一、将第五十九条、第六十条、第六十一条、第六十二条修改为:“违反本法第二十一条、第二十二条第一款和第二款、第二十三条、第二十四条第一款、第二十五条、第二十六条、第二十八条、第三十三条、第三十四条、第三十六条、第三十八条规定的网络运行安全保护义务或者导致危害网络运行安全等后果的,由有关主管部门责令改正,给予警告、通报批评;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 I. 第59条、第60条、第61条および第62条を次のように改める。「ネットワーク運用の安全保護に関する法律第21条、第22条第1項および第2項、第23条、第24条第1項、第25条、第26条、第28条、第33条、34条、36条ならびに第38条の規定に違反した者に関係主管機関が是正を命じ、警告し、批判を通知する場合;是正を拒否し、または状況が深刻な場合、100万元以下の罰金を課し、関連業務の停止、是正のための業務の停止、ウェブサイトの閉鎖、関連営業許可の取り消し、営業許可の取り消しを命じ、責任者及びその他の直接責任者は1万元以上10万元以下の罰金を課されることがある。
有前款规定的违法行为,情节特别严重的,由省级以上有关主管部门责令改正,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令停止相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。” 前項の規定に特に重大な違反があった場合、省レベル以上の主管機関は是正を命じ、100万元以上5000万元以下または前年の売上高の5%以下の罰金を科し、当該事業の停止、事業の是正の停止、ウェブサイトの閉鎖、当該事業許可の取消、事業許可の取消を命じることができ、責任者及びその他の直接責任者は10万元以上の罰金とする。 100万元以上であり、一定期間、関連企業の取締役、監督者、上級管理者、ネットワークセキュリティ管理およびネットワーク運用の要職に就くことを禁止することを決定できる。」
二、将第六十三条、第六十七条修改为:“违反本法第二十七条、第四十六条规定,从事危害网络安全的活动,或者提供专门用于从事危害网络安全活动的程序、工具,或者为他人从事危害网络安全的活动提供技术支持、广告推广、支付结算等帮助,或者设立用于实施违法犯罪活动的网站、通讯群组,或者利用网络发布涉及实施违法犯罪活动的信息,尚不构成犯罪的,由公安机关没收违法所得,处五日以下拘留,可以并处五万元以上五十万元以下罚款;情节较重的,处五日以上十五日以下拘留,可以并处十万元以上一百万元以下罚款。 2. 第63条および第67条を次のように改める。「本法」第27条および第46条の規定に違反し、ネットワークセキュリティを危険にさらす活動を行い、またはネットワークセキュリティを危険にさらす活動を行うためのプログラムやツールを特別に提供し、または他人がネットワークセキュリティを危険にさらす活動を行うための技術支援、広告宣伝、支払および決済支援を行い、または違法・犯罪行為を行うためのウェブサイトやコミュニケーショングループを設立し、またはネットワークを利用して違法・犯罪行為の実行に関わる情報を公開した場合、公安機関は違法収益を没収し、5日以上50万元以下の罰金を科するものとします。 このような行為がまだ犯罪を構成しない場合、公安当局は違法所得を没収し、5日以下の拘留を課し、5万元以上50万元以下の罰金を科すことができ、状況がより深刻である場合、5日以上15日以下の拘留を課し、10万元以上100万元以下の罰金を科すことができる。
单位有前款行为的,由公安机关没收违法所得,处十万元以上一百万元以下罚款,并对直接负责的主管人员和其他直接责任人员依照前款规定处罚。 部隊が前項の行為を行った場合、公安当局は違法所得を没収し、10万元以上100万元以下の罰金を科し、前項の規定に従って直接責任者及びその他の直接責任者を処罰する。
违反本法第二十七条规定,受到治安管理处罚的人员,五年内不得从事网络安全管理和网络运营关键岗位的工作;受到刑事处罚的人员,终身不得从事网络安全管理和网络运营关键岗位的工作。” 本法第27条の規定に違反し、公安行政処分を受けた者は、5年以内にネットワークセキュリティ管理およびネットワーク運用の要職に就くことを許されず、刑事処分を受けた者は、終生ネットワークセキュリティ管理およびネットワーク運用の要職に就くことを許されない。」
三、将第六十四条修改为:“网络运营者、网络产品或者服务的提供者违反本法第二十二条第三款、第四十一条至第四十四条规定,侵害个人信息依法得到保护的权利的,依照有关法律、行政法规的规定处罚。” 第64条を次のように改める。「ネットワーク事業者又はネットワーク製品若しくはサービスの提供者が、この法律の第22条第3項及び第41条から第44条に違反して、個人情報が法律に従って保護される権利を侵害した場合には、関係法令及び行政規則の規定に従って罰する。」
四、将第六十五条修改为:“关键信息基础设施的运营者违反本法第三十五条规定,使用未经安全审查或者安全审查未通过的网络产品或者服务的,由有关主管部门责令停止使用,处采购金额一倍以上十倍以下或者上一年度营业额百分之五以下罚款,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。” 第65条を改正し、「重要情報インフラ事業者が本法第35条の規定に違反し、セキュリティ審査を受けていない、または審査に合格しなかったネットワーク製品またはサービスを使用する場合、関係主管機関は使用の中止を命じ、購入額の2倍以上、10倍以下または前年度売上高の5%以下の罰金を科し、直接責任者に罰金を科する」と規定する。 責任者及びその他の直接の責任者は、1万元以上10万元以下の罰金とする 。」
将第六十六条修改为:“关键信息基础设施的运营者违反本法第三十七条规定,在境外存储网络数据,或者向境外提供网络数据的,依照有关法律、行政法规的规定处罚。” 第66条を次のように改める。「重要情報インフラ事業者が本法第37条の規定に違反して国外でネットワークデータを保存し、または国外でネットワークデータを提供した場合、関係法令および行政法規の規定に従って処罰する。」
五、将第六十八条、第六十九条修改为:“违反本法第四十七条、第四十八条、第四十九条规定的网络信息安全保护义务,或者不按照有关部门的要求对法律、行政法规禁止发布或者传输的信息采取停止传输、消除等处置措施的,或者不按照有关部门的要求对网络存在较大安全风险和发生安全事件采取措施的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 5. 第68条および第69条を次のように改める。「本法第47条、第48条および第49条に規定するネットワーク情報セキュリティ保護義務に違反した場合、または法律や行政法規で公開や送信を禁止されている情報について、関係当局の要求に従って送信停止、排除、その他の処理措置を取らなかった場合、またはネットワークに大きなセキュリティリスクが存在しセキュリティ事故が発生していることについて関係当局の要求に従って措置を取らなかった場合は、関係主管機関は是正と修正を命じなければならない。 警告、批判の通知、違法所得の没収を行い、是正を拒否し、または状況が深刻な場合は、100万元以下の罰金を科し、関連業務の停止、是正業務の停止、ウェブサイトの閉鎖、関連営業許可の取消し、営業許可の取消しを命じ、直接責任者及びその他の直接責任者は1万元以上10万元以下の罰金を科することができる。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。” 特に重大な場合、省レベル以上の主管機関は、是正を命じ、違法所得を没収し、100万元以上5000万元以下または前年の売上高の5%以下の罰金を科し、関連業務の停止、是正業務の停止、ウェブサイトの閉鎖、関連営業許可の取消し、営業許可の取消しを命じ、責任者及びその他の直接責任者は10数万元以上100万元以下の罰金を科することができる。 直接の責任者及びその他の直接の責任者に対して、100万元以上の罰金を科し、一定期間、関連企業の取締役、監督者、上級管理者としての活動、ネットワークセキュリティ管理及びネットワーク運用の要職への就任を禁止する決定を下すことができる。」
六、将第七十条修改为:“发布或者传输本法第十二条第二款和其他法律、行政法规禁止发布或者传输的信息的,依照有关法律、行政法规的规定处罚。 6. 第70条を次のように改める。「本法第12条第2項その他の法令により掲載又は送信が禁止されている情報を掲載し、又は送信した者は、当該法令等の定めるところにより、処罰される。
法律、行政法规没有规定的,由有关主管部门责令改正,给予警告、通报批评,没收违法所得;拒不改正或者情节严重的,处一百万元以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照,对直接负责的主管人员和其他直接责任人员处一万元以上十万元以下罚款。 法律または行政法規に規定がない場合、関連主管機関は、是正を命じ、警告を与え、関連機関に通報・批判し、違法所得を没収し、当局が是正を拒否した場合または状況が深刻な場合は、100万元以下の罰金を科し、関連業務の停止、是正業務の停止、ウェブサイトの閉鎖、関連営業許可の取消し、営業許可の取消しを命じ、直接責任者およびその他の直接責任者に対して1万元以下の罰金を科することができる。
情节特别严重的,由省级以上有关主管部门责令改正,没收违法所得,处一百万元以上五千万元以下或者上一年度营业额百分之五以下罚款,并可以责令暂停相关业务、停业整顿、关闭网站、吊销相关业务许可证或者吊销营业执照;对直接负责的主管人员和其他直接责任人员处十万元以上一百万元以下罚款,并可以决定禁止其在一定期限内担任相关企业的董事、监事、高级管理人员或者从事网络安全管理和网络运营关键岗位的工作。” 特に重大な場合、省レベル以上の主管機関は、是正を命じ、違法所得を没収し、100万元以上5000万元以下または前年の売上高の5%以下の罰金を科し、関連業務の停止、是正業務の停止、ウェブサイトの閉鎖、関連営業許可の取り消し、営業許可の取り消しを命じ、責任者及びその他の直接責任者は10数万元以上100数十元以下の罰金を科することができます。 100万元以下の罰金、および関連企業の取締役、監督者、上級管理職、ネットワークセキュリティ管理およびネットワーク運用の要職に就くことを一定期間禁止することを決定することができる。」
此外,对条文序号作了相应调整。 また、これらに伴い、通し番号も調整する。
关于修改《中华人民共和国网络安全法》的决定(征求意见稿)的说明 中華人民共和国ネットワークセキュリティ法の改正に関する決定(意見募集案)についての説明
《中华人民共和国网络安全法》自2017年施行以来,为维护网络空间主权和国家安全、社会公共利益,保护公民、法人和其他组织的合法权益,提供了有力法律保障。同时,为适应新形势,《中华人民共和国行政处罚法》、《中华人民共和国数据安全法》、《中华人民共和国个人信息保护法》等法律于2021年相继修订制定实施。为做好《中华人民共和国网络安全法》与新实施的法律之间衔接协调,完善法律责任制度,进一步保障网络安全,拟对《中华人民共和国网络安全法》作以下修改: 2017年の施行以来、中華人民共和国ネットワークセキュリティ法は、サイバー空間の主権と国家の安全、社会の公益を守り、市民、法人、その他の組織の合法的な権利と利益を保護するために、強力な法的保護を提供している。 一方、新たな状況に対応するため、「中華人民共和国行政処罰法」「中華人民共和国データセキュリティ法」「中華人民共和国個人情報保護法」が2021年に改正・制定されました。 中華人民共和国ネットワークセキュリティ法と新たに施行された法律との間の調整を良好にし、法的責任制度を改善し、ネットワークセキュリティをさらに保護するために、中華人民共和国ネットワークセキュリティ法について、以下の改正を提案する。
一是完善违反网络运行安全一般规定的法律责任制度。结合当前网络运行安全法律制度实施情况,拟调整违反网络运行安全保护义务或者导致危害网络运行安全等后果的行为的行政处罚种类和幅度。 第一に、ネットワーク運用セキュリティの総則に違反した場合の法的責任制度を改善することである。 現在のネットワーク運用セキュリティの法制度の実施と合わせて、ネットワーク運用のセキュリティ保護義務に違反する行為やネットワーク運用のセキュリティを危うくする結果につながる行為に対する行政処分の種類と範囲を調整することを提案するものである。
二是修改关键信息基础设施安全保护的法律责任制度。关键信息基础设施是经济社会运行的神经中枢,为强化关键信息基础设施安全保护责任,进一步完善关键信息基础设施运营者有关违法行为行政处罚规定。 第二に、重要情報インフラのセキュリティ保護に関する法的責任体制の改正である。 重要情報インフラは、経済・社会活動の中枢であり、重要情報インフラのセキュリティ保護に対する責任を強化するため、重要情報インフラの事業者による違反に対する行政罰の規定をさらに改善する。
三是调整网络信息安全法律责任制度。适应网络信息安全工作实际,对违反网络信息安全义务行为的法律责任进行整合,调整了行政处罚幅度和从业禁止措施,新增对法律、行政法规没有规定的有关违法行为的法律责任规定。 第三に、ネットワーク情報セキュリティの法的責任体制の調整。 ネットワーク情報セキュリティの実際の業務に適応するため、ネットワーク情報セキュリティ義務違反の法的責任を統合し、行政処分の範囲と実務の禁止を調整し、法律と行政法規に規定されていない違反の法的責任に関する規定を新たに追加した。
四是修改个人信息保护法律责任制度。鉴于《中华人民共和国个人信息保护法》规定了全面的个人信息保护法律责任制度,拟将原有关个人信息保护的法律责任修改为转致性规定。 第四に、個人情報保護に関する法的責任体制の改正である。 中華人民共和国個人情報保護法が個人情報保護に関する包括的な法的責任制度を規定していることを踏まえ、個人情報保護に関する本来の法的責任を転嫁する規定として改正することを提案する。

 

 

1_20210612030101

 


ネットワークセキュリティ法の翻訳

JETRO

・[PDF

| | Comments (0)

NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

こんにちは、丸山満彦です。

NISTがNISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためにサイバーセキュリティ・リスクをステージングするを公表しましたね。。。

8286Bが、システムレベル、組織レベルのモニタリングをカバーするのに対し、8286Cはエンタープライズレベルのモニタリングをカバーするという分担です。。。

これで残るは、8286Dだけとなりました。。。

 

NIST - ITL

・2022.09.14 NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight

NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight NISTIR 8286C エンタープライズ・リスクマネジメントとガバナンスの監視のためのサイバーセキュリティリスクのステージング
Abstract 概要
This document is the third in a series that supplements NIST Interagency/Internal Report (NISTIR) 8286, Integrating Cybersecurity and Enterprise Risk Management (ERM). This series provides additional details regarding the enterprise application of cybersecurity risk information; the previous documents, NISTIRs 8286A and 8286B, provided details regarding stakeholder risk direction and methods for assessing and managing cybersecurity risk in light of enterprise objectives. NISTIR 8286C describes how information, as recorded in cybersecurity risk registers (CSRRs), may be integrated as part of a holistic approach to ensuring that risks to information and technology are properly considered for the enterprise risk portfolio. This cohesive understanding supports an enterprise risk register (ERR) and enterprise risk profile (ERP) that, in turn, support the achievement of enterprise objectives. 本書は、NIST Interagency/Internal Report (NISTIR) 8286「サイバーセキュリティとエンタープライズ・リスクマネジメント (ERM) の統合」を補足するシリーズの3作目である。本シリーズは、サイバーセキュリティ・リスク情報のエンタープライズへの適用に関する追加的な詳細を提供する。前回の文書であるNISTIR 8286Aおよび8286Bでは、エンタープライズの目的に照らしたサイバーセキュリティリスクの評価と管理のための利害関係者のリスクの方向性と方法に関する詳細が記載されていた。NISTIR 8286C では、サイバーセキュリティリスクレジスター(CSRR)に記録された情報を、エンタープライズのリスクポートフォリオにおいて情報と技術に対するリスクを適切に考慮するための全体的なアプローチの一部として統合する方法について説明している。この統合的な理解は、エンタープライズリスク登録(ERR)およびエンタープライズ・リスクプロファイル(ERP)をサポートし、ひいてはエンタープライズ目標の達成を支援することになる。

 

・[PDF] NISTIR 8286C

20221122-42434

Executive Summary エグゼクティブサマリー
1. Introduction 1. はじめに
1.1 Purpose and Scope 1.1 目的と範囲
1.2. Document Structure 1.2. 文書構成
2. Aggregation and Normalization of Cybersecurity Risk Registers  2. サイバーセキュリティリスク登録の集計と正規化 
2.1. Aggregation of Cybersecurity Risk Registers 2.1. サイバーセキュリティリスク登録の集計
2.2. Normalization of CSRR Information 2.2. CSRR情報の正規化
2.3. Integrating CSRR Details 2.3. CSRRの詳細の統合
3. Integration of Cybersecurity Risk into the ERR/ERP 3. サイバーセキュリティリスクのERR/ERPへの統合
3.1. Operational and Enterprise impact of Cybersecurity 3.1. サイバーセキュリティの運用とエンタープライズへの影響
3.2. Dependencies Among Enterprise Functions and Technology Systems 3.2. エンタープライズ機能及び技術システム間の依存関係
3.3. Enterprise Value of the ERP 3.3. ERPのエンタープライズ価値
3.4. Typical Enterprise Objectives, Functions, and Prioritization 3.4. 典型的なエンタープライズ目標、機能、および優先順位付け
4. Risk Governance as the Basis for Cybersecurity Risk Management 4. サイバーセキュリティ・リスクマネジメントの基礎となるリスクガバナンス
4.1. Frameworks in Support of Risk Governance and Risk Management 4.1. リスクガバナンスとリスクマネジメントを支援するフレームワーク
4.2. Adjustments to Risk Direction 4.2. リスクディレクションの調整
4.2.1. Adjustments to Cybersecurity Program Budget Allocation  4.2.1. サイバーセキュリティプログラムの予算配分の調整 
4.2.2. Adjustments to Risk Appetite and Risk Tolerance  4.2.2. リスク選好度及びリスク許容度の調整 
4.2.3. Reviewing Whether Constraints are Overly Stringent 4.2.3. 制約が厳しすぎるかどうかの見直し
4.2.4. Adjustments to Priority 4.2.4. 優先順位の調整
5. Cybersecurity Risk Monitoring, Evaluation, and Adjustment  5. サイバーセキュリティリスクの監視・評価・調整 
5.1. Key CSRM Mechanisms 5.1. 主要なCSRMメカニズム
5.2. Monitoring Risks 5.2. リスクの監視
5.3. Evaluating Risks 5.3. リスクの評価
5.4. Adjusting Risk Responses 5.4. リスク対応の調整
5.5. Monitor, Evaluate, Adjust Examples 5.5. 監視、評価、調整の例
References 参考文献

 

 

エグゼクティブ・サマリー...

Executive Summary  エグゼクティブサマリー 
This NIST Interagency Report (NISTIR) explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite Enterprise Risk Profile (ERP) to inform company executives’ and agency officials’ enterprise risk management (ERM) deliberations, decisions, and actions. It describes the inclusion of cybersecurity risks as part of financial, valuation, mission, and reputation exposure. Fig. 1 expands the enterprise risk cycle from previous reports to remind the reader that the input and sentiments of external stakeholders are a critical element of risk decisions.[1]  この NIST Interagency Report (NISTIR) は、エンタープライズ幹部や政府機関のエンタープライズ・リスクマネジメント (ERM) の審議、決定、行動に情報を提供するための複合エンタープライズリスクプロファイル (ERP) を作成するために、エンタープライズ全体から異種のサイバーセキュリティリスクマネジメント (CSRM) 情報を統合する方法を調査している。財務、評価、ミッション、レピュテーションのエクスポージャーの一部としてサイバーセキュリティリスクを含めることが説明されている。図1は、これまでの報告書にあったエンタープライズリスクサイクルを拡張し、外部の利害関係者の意見や感情がリスク決定の重要な要素であることを読者に思い起こさせるものである[1]。
The importance of information and technology risks to the enterprise risk posture makes it critical to ensure broad visibility about risk-related activities to protect enterprise reputation, finances, and objectives. A comprehensive enterprise risk register (ERR) and enterprise risk profile (ERP) support communication and disclosure requirements. The integration of CSRM activities supports understanding of exposures related to corporate reporting (e.g., income statements, balance sheets, and cash flow) and similar requirements (e.g., reporting for appropriation and oversight authorities) for public-sector entities.   エンタープライズリスクポスチャにおける情報・技術リスクの重要性は、エンタープライズの評判、財務、目標を保護するために、リスク関連活動に関する幅広い可視性を確保することが重要であることを意味する。包括的なエンタープライズリスクレジスター(ERR)とエンタープライズリスクプロファイル(ERP)は、コミュニケーションと開示の要件を支援する。CSRM活動の統合は、エンタープライズ報告(例:損益計算書、貸借対照表、キャッシュフロー)及び公共部門の類似要件(例:充当・監督当局への報告)に関連するエクスポージャーの理解を支援する。 
This NISTIR explores the methods for integrating disparate cybersecurity risk management (CSRM) information from throughout the enterprise to create a composite understanding of the various cyber risks that may have an impact on the enterprise’s objectives.  The report continues the discussion where NISTIR 8286B concluded by focusing on the integration of data points to create a comprehensive view of opportunities and threats to the enterprise’s information and technology. Notably, because cybersecurity risk is only one of the dozens of risk types in the enterprise risk universe, that risk understanding will itself be integrated with similar aggregate observations of other collective risk points. このNISTIRは、エンタープライズの目標に影響を及ぼす可能性のある様々なサイバーリスクの複合的な理解を得るために、エンタープライズ全体から集めた異種のサイバーセキュリティリスクマネジメント(CSRM)情報を統合するための方法を探っている。 この報告書は、NISTIR 8286Bの結論である、エンタープライズの情報と技術に対する機会と脅威の包括的なビューを作成するためのデータポイントの統合に焦点を当てた議論を引き継いでいる。注目すべきは、サイバーセキュリティリスクは、エンタープライズのリスクユニバースにおける数十のリスクタイプの1つに過ぎないため、そのリスク理解自体が、他の集合的なリスクポイントの同様の集約的観測と統合されることである。
 1_20210707191501
Fig. 1. NISTIR 8286 Series Publications Describe C-SCRM/ERM Integration 図1. NISTIR 8286 シリーズは、C-SCRM/ERM の統合について説明している。
NISTIR 8286C discusses how risk governance elements such as enterprise risk strategy, appetite, tolerance, and capacity direct risk performance. By monitoring the results of CSRM activities at each hierarchical level, senior leaders can adjust various governance components (e.g., policy, procedures, skills) to achieve risk objectives. This report describes how the CSRM Monitor, Evaluate, and Adjust (MEA) process supports enterprise risk management. This process also supports a repeatable and consistent use of terms, including an understanding of how the context of various terms can vary depending on the enterprise’s perspective. That understanding helps to ensure effective CSRM communication and coordination.   NISTIR 8286Cは、エンタープライズのリスク戦略、リスク選好、リスク許容度、キャパシティといったリスクガバナンスの要素が、どのようにリスクパフォーマンスに影響を与えるかを論じている。各階層におけるCSRM活動の結果をモニタリングすることで、シニアリーダーは、リスク目標を達成するために様々なガバナンス要素(方針、手順、スキルなど)を調整することができる。本報告書では、CSRMの監視、評価、調整(MEA)プロセスが、どのようにエンタープライズのリスクマネジメントを支えているかを説明している。また、このプロセスは、エンタープライズの視点によって様々な用語の文脈がどのように異なるかについての理解を含め、反復可能で一貫性のある用語の使用を支援する。このような理解は、CSRMの効果的なコミュニケーションと調整を保証するのに役立つ。 
While ERM is a well-established field, there is an opportunity to expand and improve the body of knowledge regarding coordination among cybersecurity risk managers and those managing risk at the most senior levels. This series is intended to introduce this integration while recognizing the need for additional research and collaboration. Further points of discussion include NISTIR 8286D’s focus regarding a business impact assessment (BIA), which is a foundation of understanding exposure and opportunity [4]. NIST also continues to perform extensive research and publication development regarding metrics – a topic that will certainly support ERM/CSRM performance measurement, monitoring, and communication.  ERMは確立された分野であるが、サイバーセキュリティのリスク管理者と最上位レベルのリスク管理者の間の調整に関する知識の体系を拡大し、改善する機会が存在する。このシリーズは、さらなる研究と協力の必要性を認識しながら、この統合を紹介することを目的としている。さらに、NISTIR 8286D では、曝露と機会を理解するための基礎となる事業インパクト評価(BIA)に重点を置いて議論している [4]。NISTはまた、ERM/CSRMパフォーマンスの測定、モニタリング、およびコミュニケーションを確実に支援するトピックであるメトリクスに関する広範な研究と出版物の開発を継続している。
NISTIR 8286C continues the discussion regarding the inclusion of CSRM priorities and results in support of an improved understanding about organization and enterprise impacts of cybersecurity risks on financial, reputation, and mission considerations. NISTIR 8286C は、サイバーセキュリティリスクが財務、評判、ミッションに及ぼす組織やエンタープライズの影響に関する理解を深めるために、CSRM の優先事項と結果を含めることに関する議論を続けている。
[1] Key external stakeholders include shareholders, strategic partners, regulators, constituents, allies, and legislators.  [外部の主要なステークホルダーには、株主、戦略的パートナー、規制当局、有権者、同盟者、議員などが含まれる。

 

NISTIR 8286 関連

Date St. Web PDF  
2020.10.13  Final NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)  サイバーセキュリティとエンタープライズ・リスク・マネジメント (ERM) の統合
2021.11.12  Final NISTIR 8286A Identifying and Estimating Cybersecurity Risk for Enterprise Risk Management エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定
2022.02.10  Final NISTIR 8286B Prioritizing Cybersecurity Risk for Enterprise Risk Management  エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け
2022.09.14  Final NISTIR 8286C Staging Cybersecurity Risks for Enterprise Risk Management and Governance Oversight エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング
2022.06.09 draft NISTIR 8286D Using Business Impact Analysis to Inform Risk Prioritization and Response リスクの優先順位付けと対応を行うためのビジネス影響分析の使用

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.16 NISTIR 8286C エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2022.06.14 NISTIR 8286D (ドラフト) リスクの優先順位付けと対応にビジネスインパクト分析を使用する方法 (2022.06.09)

・2022.02.13 NISTIR 8286B エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2022.01.28 NISTIR 8286C (ドラフト)エンタープライズ・リスク・マネジメント (ERM) とガバナンスの監督のためのサイバーセキュリティ・リスクのステージング

・2021.11.15 NISTIR 8286A エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定

・2021.09.03 NISTIR 8286B(ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの優先順位付け

・2021.07.08 NISTIR 8286A (ドラフト)エンタープライズ・リスク・マネジメント (ERM) のためのサイバーセキュリティ・リスクの識別と推定(第2ドラフト)

・2020.10.22 NISTIR 8286 Integrating Cybersecurity and Enterprise Risk Management (ERM)

・2020.07.12 NISTIR 8286 (Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM) (2nd Draft)

・2020.03.20 NISTIR 8286(Draft) Integrating Cybersecurity and Enterprise Risk Management (ERM)

 

関連する情報

・2021.08.19 NISTIR 8170 連邦政府機関がサイバーセキュリティフレームワークを使用するためのアプローチ

・2021.08.10 NIST SP 1271 NISTサイバーセキュリティフレームワーク入門:クイックスタートガイド

・2021.02.04 サイバーセキュリティとプライバシーに関する 2021年のNISTの取り組み

 

COSO 関連

・2022.01.18 ENISA 相互運用可能なEUのリスク管理フレームワーク

・2020.06.23 GAO GreenbookとOMB Circular No. A-123

少し(^^)遡ります。。。

・2011.12.22 COSO Exposure Draft: International Control Integrated Framework

・2009.01.27 COSO Guidance on Monitoring Internal Control Systems

・2008.06.12 COSO ED Guidance on Monitoring Internal Control Systems

・2007.09.15 COSO Guidance on Monitoring Internal Control Systems

・2007.06.26 英国規格 パブコメ リスクマネジメントのための実践規範 (BS 31100, Code of practice for risk management)

次の3つは歴史を知る上でも重要↓

・2006.08.28 SAS No.55の内部統制の要素

・2006.07.31 内部統制の構成要素比較 日本語

・2006.07.30 内部統制の構成要素比較

・2006.07.08 Internal Control over Financial Reporting — Guidance for Small Public Companies

この4つは歴史的にも重要かもですね。。。↓

・2006.05.10 CoCoにおける取締役会の統制上の責任

・2006.04.26 カナダCoCo内部統制ガイダンスにあって米国COSO内部統制報告書に明確にはないもの 「相互の信頼」

・2006.04.24 米国 30年前のIT全般統制の項目

・2006.04.03 米国では、全般統制と業務処理統制は30年以上前から言われている

・2005.10.28 COSO Guidance for Smaller Public Companies Reporting on Internal Control over Financial Reporting exposure draft

・2005.01.30 NHK COSOを導入

| | Comments (0)

FIRST The Traffic Light Protocol (TLP)  Version 2.0 の日本語版を公表

こんにちは、丸山満彦です。

FIRSTが、The Traffic Light Protocol (TLP)  Version 2.0 の日本語版を公表していますね。。。JPCERT/CCが翻訳をし、日立、NTT、パナソニック等のCISRT /PSIRTがレビューに協力していますね。。。

仕事早くて、質も良いですね。。。

 

FIRST

TRAFFIC LIGHT PROTOCOL (TLP) FIRST Standards Definitions and Usage Guidance — Version 2.0

・[PDF]

20220915-194720

 

・[RTF]

 

 

| | Comments (0)

2022.09.15

内閣官房 (NISC) 意見募集 「サイバーセキュリティ意識・行動強化プログラム(案)」

こんにちは、丸山満彦です。

内閣官房 (NISC) が「サイバーセキュリティ意識・行動強化プログラム(案)」についての意見募集をしていますね。。。

少し前に私が、デジタルフォレンジック研究会のコラム(第731号コラム:「サイバー空間の安全に向けて: All for one, One for all 
)で書いた問題意識と近いように感じます。。。国際的なつながりの強化についても触れられていると良いかもですね。。。

岡崎女子大学花田経子先生の資料が参照されていますね。。。

 

内閣官房(NISC) - 政策 - グループの活動内容 - 基本戦略グループ(第1) - 意見等の募集と結果

・2022.09.12「サイバーセキュリティ意識・行動強化プログラム(案)」に関する意見の募集について

・[PDF] 「サイバーセキュリティ意識・行動強化プログラム」(案)

20220914-185806

 

目次

1.はじめに

2.我が国のサイバーセキュリティを取り巻く現状
(1)ネット利用・対策等の状況
 ○ サイバー空間への多様な人々の参画の広がり
 ○ 脅威の動向・不安感

(2)現状の取組の課題
 ○ 個人向け
 ○ 組織向け
 ○ 共通の取組

3.今後のサイバーセキュリティ確保に向けた取組の基本的な考え方
(1)原則
 ① 国への期待
 ② 地域コミュニティ・地方公共団体への期待
 ③ 民間事業者等への期待
 ④ 家庭への期待

(2)ターゲット
 ① シニア・非就業層等
 ② こども層・家庭
 ③ 中小企業・組織

(3)各普及啓発主体が担うべき役割
 ① 成年層・家庭
 ② 地域コミュニティ・地方公共団体
 ③ 民間事業者等

(4)誰もが最低限実施すべき基本的な対策:『サイバーセキュリティ対策9か条』

4.具体的な取組
(1)ターゲットへの重点対策
 ① シニア・非就業層向け
 ② こども層・家庭向け
 ③ 中小企業・組織向け

(2)各主体の連携強化
 ① 地域における支援
 ② コンテンツの整備・共通化
 ③ 情報発信
 ④ 集中的な取組

5.取組の PDCA・対外発信


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.22 NPO デジタル・フォレンジック研究会のコラム by 丸山満彦 - 「サイバー空間の安全に向けて: All for one, One for all」

 

 

| | Comments (0)

2022.09.14

米国 MITRE Web3のセキュリティ確保とインターネットの未来への挑戦

こんにちは、丸山満彦です。

MITREが、Web3のセキュリティ確保とインターネットの未来への挑戦という論文を公表していますね。。。

中国等が中央集権的なインターネットガバナンスに対する対抗としてWeb3ということも考えられなくもないですが、どうなんでしょうかね。。。

 

MITRE

・2022.09.09 Securing Web3 and Winning the Battle for the Future of the Internet

政府が検討すべき3つの政策を提言していますね。。。

  1. Web3 に関する国家的なサイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する。
  2. サイバーセキュリティと金融犯罪の両側面における不利益を軽減するために、サイバー脅威の情報共有のための官民パートナーシップを確立する。
  3. 標準を支持し、監査に参加し、金融とサイバーセキュリティの要素の監視と報告を遵守する Web3 事業体に対してインセンティブを提供する。

 

Securing Web3 and Winning the Battle for the Future of the Internet Web3のセキュリティ確保とインターネットの未来への挑戦
The next generation of the internet, known as Web3, has the potential to revolutionize the role the internet plays in our personal and professional lives. And the reverberations of that transformation will be felt globally, disrupting our social, economic, and national security paradigms.  Web3と呼ばれる次世代インターネットは、インターネットが私たちの個人生活や職業生活に果たす役割を大きく変える可能性を秘めている。そして、その変革の余波は、社会、経済、国家安全保障のパラダイムを破壊し、グローバルに感じられるようになるだろう。 
Web3 transforms the architecture on which our current financial systems, telecommunications systems, and other foundational institutions operate. Web3 will bring together new networking technologies and economic infrastructure in a way that blurs the traditional boundaries of telecommunications and finance.  Web3は、現在の金融システム、通信システム、その他の基礎的な制度が運用されているアーキテクチャを変革する。Web3は、従来の通信と金融の境界を曖昧にするような形で、新しいネットワーク技術と経済インフラを融合させるだろう。 
The impact of such outcomes cannot be overstated, nor can the implications of who controls the internet. China seeks to dominate ever-larger portions of the world’s digital infrastructure and reshape internet governance around centralized authoritarian models. If such autocratic standards become the dominant force behind the internet of tomorrow, the world will likely become a less stable, more dangerous place, including efforts to compromise confidentiality, commit financial crimes, and deny or disrupt services, any of which can easily undermine Web3’s capabilities—and wreak havoc on our way of life. このような成果がもたらすインパクトは、誰がインターネットを支配するかという点においても、過大評価することはできない。中国は、世界のデジタル・インフラをこれまで以上に大規模に支配し、中央集権的な権威主義モデルを中心にインターネット・ガバナンスを再構築しようとしている。このような独裁的な基準が明日のインターネットを支える支配的な力となった場合、世界はおそらく安定性を欠き、より危険な場所となるだろう。機密性の侵害、金融犯罪、サービスの拒否や妨害など、Web3 の能力を容易に損ない、我々の生活に大打撃を与える可能性のあるあらゆる取り組みが行われるだろう。
The security of Web3 depends on a robust, government-led national strategy to maintain U.S. S&T leadership and ensure a democratic future for the internet. We need a national strategy to address the risks and opportunities a decentralized web brings.  Web3 のセキュリティは、米国の科学技術におけるリーダーシップを維持し、インターネットの民主的な未来を確保するための、政府主導の強固な国家戦略にかかっている。分散型ウェブがもたらすリスクとチャンスに対処するための国家戦略が必要である。 
MITRE’s call for a national strategy for securing Web3 offers three policy recommendations for government to consider:  MITRE の Web3 安全化のための国家戦略の呼びかけは、政府が検討すべき 3 つの政策提言を示している。 
1. Develop national cybersecurity frameworks, standards, and best practices for Web3  1. Web3 に関する国家的なサイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する。 
2. Establish a public-private partnership for cyber-threat information sharing to help mitigate detrimental outcomes for both cybersecurity and financial crimes aspects  2. サイバーセキュリティと金融犯罪の両側面における不利益を軽減するために、サイバー脅威の情報共有のための官民パートナーシップを確立する。 
3. Offer incentives to Web3 entities that support standards, participate in audits, and comply with monitoring and reporting of financial and cybersecurity components 3. 標準を支持し、監査に参加し、金融とサイバーセキュリティの要素の監視と報告を遵守する Web3 事業体に対してインセンティブを提供する。
This paper series offers an approach to developing this important strategy. MITRE provides key insights based on our experience working with federal agencies across the government on the generational arc of web technologies and the new, unique features of Web3. Additionally, these papers emphasize the critical need for individual privacy protections as the government considers assuming a leadership role in the Web3 community. 本論文シリーズは、この重要な戦略を策定するためのアプローチを提供する。MITRE は、Web 技術の世代交代と Web3 の新しいユニークな機能について、政府内の連邦機関と協力してきた経験に基づく重要な洞察を提供している。 さらに、これらの論文では、政府が Web3 コミュニティでリーダーシップをとることを検討する際に、個人のプライバシー保護が極めて重要であることを強調している。
This is exactly the type of problem MITRE takes on. Through our federally funded R&D centers and public-private partnerships, we work across the government and in collaboration with academic institutions and industry to tackle challenges to our nation’s safety, stability, and well-being.  Novel Web3 technologies must be secured against attackers who want to exploit this new internet architecture. Engineering such security cannot be an afterthought. If we can do more to engineer security into the web of tomorrow, we can better manage the threats and position Web3 for success as a powerful tool for economic growth and innovation. The time to start is now. これはまさに、MITREが取り組んでいる問題の一種である。連邦政府が出資する研究開発センターと官民パートナーシップを通じて、私たちは政府全体、学術機関、産業界と協力し、わが国の安全、安定、福祉に対する課題に取り組んでいる。  新しいWeb3テクノロジーは、この新しいインターネット・アーキテクチャを悪用しようとする攻撃者から保護されなければならない。このようなセキュリティの設計は、後回しにすることはできない。明日のウェブにセキュリティを組み込むことができれば、脅威をよりよく管理し、経済成長とイノベーションのための強力なツールとして Web3 を成功させることができる。今こそ始めるべき時である。

 

・2022.09.09 [PDF] Securing Web3 and Winning the Battle for the Future of the Internet

20220913-235616

 

Contents 目次
Executive Summary   エグゼクティブサマリー  
Introduction  はじめに 
Threat Model  脅威モデル 
Cybersecurity Framework and Standards  サイバーセキュリティ・フレームワークと標準 
Infrastructure Entities  インフラ事業者 
Financial Institutions and Centralized Exchanges  金融機関および中央集権的な取引所 
Decentralized Autonomous Organizations  分散型自律組織 
Interaction Layer and Endpoint Devices  インタラクションレイヤーとエンドポイントデバイス 
Threat Informed Defense and Information Sharing  脅威を考慮した防御と情報共有 
Threat Informed Defense for Web3  Web3のための脅威情報による防御 
Cyber Threat Information Sharing for Web3  Web3におけるサイバー脅威の情報共有 
Policy Recommendations  政策提言 
Recommendation 1: Develop cybersecurity frameworks, standards, and best practices  提言1:サイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する
Recommendation 2: Establish FinCEN threat-sharing partnership  提言2:FinCENの脅威共有パートナーシップを確立する 
Recommendation 3: Incentivize cybersecurity audits and compliance  提言3:サイバーセキュリティの監査とコンプライアンスを奨励する 
Conclusion  まとめ 
About the Authors  著者について 
Acknowledgements  謝辞 
Endnotes  巻末資料 

 

エグゼクティブサマリー

Executive Summary エグゼクティブサマリー
A battle is underway for the future of the Internet, with Chinese technology firms and the Chinese Communist Party actively seeking to dominate ever-larger portions of the world’s digital infrastructure and reshape Internet governance around centralized authoritarian models. There may be, however, elegant technical answers to some of these challenges: answers that could permit the next generation of web connectivity to operate in ways that both help catalyze another era of connectivity-facilitated growth and innovation and revolve around decentralized and “democratized” dynamics that would undermine the power and influence of the authoritarian Chinese technology stack. 中国のテクノロジー企業と中国共産党は、世界のデジタルインフラをより大きく支配し、中央集権的な権威主義モデルを中心にインターネットガバナンスを再構築しようと積極的に動いており、インターネットの未来をめぐる戦いが始まっている。それは、次世代のウェブ接続が、接続によって促進される新たな時代の成長と革新を促進し、権威主義的な中国のテクノロジー・スタックのパワーと影響力を弱める分散型「民主化」ダイナミクスを軸とした方法で動作することを可能にする答えである。
Web3 is the next generation of the Internet and will bring together new networking technologies and financial infrastructure in a way that blurs the traditional boundaries of telecommunications and finance, creating new decentralized and democratized models of network interaction built around the cryptographically secured autonomy of web users. For this to work, however, these novel web3 technologies need to be made secure against a range of non-state and state-level attackers, and engineering such security into web3 cannot be approached merely as an afterthought. Web3は次世代のインターネットであり、新しいネットワーキング技術と金融インフラを、従来の通信と金融の境界を曖昧にする方法で融合させ、暗号的に保護されたウェブユーザーの自治を中心に構築されたネットワーク交流の新しい分散化・民主化モデルを作り上げるだろう。しかし、このような新しいWeb3技術が機能するためには、非国家や国家レベルの攻撃者に対して安全である必要があり、Web3にそのようなセキュリティを工学的に組み込むことは、単に後付のアプローチとして行うことはできない。
This paper suggests how to approach the critical task of securing web3 against such adversaries. The web3 threat model must account for efforts to compromise confidentiality, such as mass surveillance by authoritarian governments of their populations’ financial transactions, exploitation of web3 infrastructure and services to enable fraud and illicit finance, and attacks against availability that deny or degrade web3 service access. Web3 must be resilient against organized crime and nation-state actors with vast resources and access to infrastructure. この論文では、このような敵対者からWeb3を保護するという重要なタスクにどのようにアプローチするかを提案する。Web3の脅威モデルは、権威主義的な政府による国民の金融取引の大規模な監視、詐欺や不正な金融を可能にするWeb3のインフラとサービスの悪用、Web3サービスへのアクセスを拒否または低下させる可用性に対する攻撃など、機密性を損なう取り組みを考慮しなければならない。Web3 は、膨大なリソースとインフラへのアクセスを持つ組織犯罪や国民国家のアクターに対するレジリエンスを備えている必要がある。
This will require new cybersecurity frameworks, standards, and best practices, and ones that will apply differently to different layers of the emerging web3 ecosystem: そのためには、新しいサイバーセキュリティのフレームワーク、標準、ベストプラクティス、そして新興のWeb3エコシステムの異なるレイヤーに異なる形で適用されるものが必要となる。
・ Blockchain infrastructure entities face both traditional and emerging cybersecurity threats and must securely provision, deploy, and manage their systems. ・ ブロックチェーンインフラストラクチャのエンティティは、従来のサイバーセキュリティの脅威と新たなサイバーセキュリティの脅威の両方に直面し、システムを安全にプロビジョニング、展開、管理する必要がある。
・ Financial services and centralized exchanges should comply with existing cybersecurity requirements for their industry and support existing threat finance requirements, such as know-your-customer (KYC), antimoney laundering (AML), and countering the financing of terrorism (CFT) policies. ・ 金融サービスと集中型取引所は、その業界の既存のサイバーセキュリティ要件に準拠し、KYC(本人確認)、資金洗浄防止(AML)、テロリストへの金融対抗(CFT)ポリシーなど、既存の脅威金融要件を支援する必要がある。
・ The web3 design must accommodate Decentralized Autonomous Organizations (DAOs), which are unique entities in the web3 space, and will need a growing set of smart contract cybersecurity audit and monitoring services, as well as emerging standards in contract design. ・ web3のデザインは、web3空間におけるユニークなエンティティである分散型自律組織(DAO)に対応しなければならず、契約デザインにおける新しい標準と同様に、スマート契約のサイバーセキュリティ監査および監視サービスの増大セットを必要とすることになる。
・ Endpoint devices and web3 platforms should meet existing web2 cybersecurity expectations. ・ エンドポイントデバイスとweb3プラットフォームは、既存のweb2サイバーセキュリティの期待に応える必要がある。
Advancing the ecosystem further necessitates cyber threat information (CTI) sharing in support of a broader threat-informed defense. Web3-specific extensions to frameworks such as STIX and MITRE ATT&CK® can help capture these ontologies. New and existing information-sharing partnerships can then take advantage of these interoperable formats to tackle cybersecurity and financial threats. エコシステムをさらに進化させるには、より広範な脅威情報に基づく防御を支援するサイバー脅威情報(CTI)の共有が必要である。STIX™ や MITRE ATT&CK® などのフレームワークに対する Web3 固有の拡張機能は、これらのオントロジーの取得を支援する。新規および既存の情報共有パートナーシップは、サイバーセキュリティと金融の脅威に取り組むために、これらの相互運用可能な形式を活用することができる。
As new policy is considered for web3, this paper offers the following specific policy recommendations: web3に関する新たな政策が検討されるにあたり、本論文では以下のような具体的な政策提言を行う。
・ The National Institute for Standards and Technology (NIST) should develop cybersecurity frameworks, standards, and best practices for web3. ・ 米国標準技術局(NIST)は、web3のためのサイバーセキュリティフレームワーク、標準、ベストプラクティスを開発する必要がある。
・ The U.S. Treasury’s Financial Crimes Enforcement Network (FinCEN) and the broader counter-threatfinance ecosystem should launch a new public-private partnership for CTI sharing that can help mitigate detrimental security and financial outcomes. ・ 米国財務省の金融犯罪取締ネットワーク(FinCEN)と広範な対脅威金融エコシステムは、セキュリティと金融の有害な結果を軽減するのに役立つCTI共有のための新しい官民パートナーシップを開始する必要がある。
・ Regulators and sector-specific agencies should incentivize web3 entities to support and participate in independent performance standards and associated audits covering financial transparency and reliability and cybersecurity, as well as transparent compliance mechanisms across the ecosystem through monitoring and reporting. ・ 規制当局とセクター固有の機関は、ウェブ3エンティティが、金融の透明性と信頼性、サイバーセキュリティ、および監視と報告によるエコシステム全体の透明なコンプライアンスメカニズムをカバーする独立したパフォーマンス基準と関連する監査を支援し、参加するようにインセンティブを与える必要がある。
For the U.S. government to take a leadership role in the web3 community, it is important to also implement appropriate protections for individual privacy while advancing these security objectives. 米国政府がweb3コミュニティにおいてリーダーシップを発揮するためには、これらのセキュリティ目標を推進する一方で、個人のプライバシーに対する適切な保護も実施することが重要である。

 

提言...

Policy Recommendations 政策提言
This section summaries a few key policy recommendations that can help energize the web3 cybersecurity community and get the ecosystem started off on the right foot. このセクションでは、Web3 のサイバーセキュリティコミュニティを活性化し、エコシステムを正しい方向に導くのに役立つ、いくつかの重要な政策提言を要約しています。
Recommendation 1: Develop cybersecurity frameworks, standards, and best practices  提言1:サイバーセキュリティのフレームワーク、標準、およびベストプラクティスを開発する 
NIST should develop a detailed cybersecurity framework for web3 technologies that focuses on building, deploying, and operating various aspects of the web3 stack. NIST は、web3 スタックの様々な側面の構築、展開、運用に焦点を当てた、web3 技術のための詳細なサイバーセキュリティフレームワークを開発すべきである。
NIST should develop standards for cybersecurity of blockchain infrastructure, through its Special Publication 800-series. NISTは、Special Publication 800シリーズを通じて、ブロックチェーンインフラストラクチャのサイバーセキュリティのための基準を開発する必要がある。
Through the National Cybersecurity Center of Excellence, NIST should partner with industry to prototype current and emerging web3 use cases and develop best practice guides for their secure deployment and operation. NISTは、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンスを通じて、産業界と提携し、現在および新興のweb3のユースケースをプロトタイプ化し、その安全な展開と運用のためのベストプラクティス・ガイドを開発すべきである。
The NIST Privacy Framework should be extended to include guidelines on implementing decentralized identity protocols that allow citizens to port their identity credentials across application service providers and mitigate theft of personally identifiable information from security breaches. NIST プライバシーフレームワークを拡張して、国民がアプリケーションサービスプロバイダ間で ID クレデンシャルを移植し、セキュリティ侵害から個人を特定できる情報の盗難を軽減できるような分散型 ID プロトコルの実装に関するガイドラインを含める必要がある。
Recommendation 2: Establish FinCEN threat-sharing partnership 提言 2:FinCEN 脅威共有パートナーシップの確立
The U.S. Treasury Department’s FinCEN, in partnership with relevant federal law enforcement agencies, the Office of Cybersecurity and Critical Infrastructure Protection, and financial regulators, should launch a new public-private partnership focused on building out the CTI sharing ecosystem for web3, including both the cybersecurity and financial crimes aspects. This new partnership should work closely with the relevant ISACs and other stakeholders to develop the data sharing standards, processes, and tools to support real-time sharing and analysis of web3-related CTI. Opportunities to engage with international law enforcement agencies should also be explored here to help address the transnational dimensions of the threat landscape. 米国財務省の FinCEN は、関連する連邦法執行機関、サイバーセキュリティ・重要インフラ保護室、および金融規制当局と連携して、サイバーセキュリティと金融犯罪の両方の側面を含む、Web3 の CTI 共有エコシステムの構築に焦点を当てた新しい官民パートナーシップを立ち上げる必要がある。この新しいパートナーシップは、関連する ISAC や他の利害関係者と緊密に連携し、Web3 関連の CTI のリアルタイムの共有と分析をサポートするデータ共有基準、プロセス、ツールを開発する必要がある。また、脅威の状況の国境を越えた次元に対処するために、国際的な法執行機関と協力する機会も検討されるべきである。
Recommendation 3: Incentivize cybersecurity audits and compliance 提言3:サイバーセキュリティの監査とコンプライアンスを奨励する
DHS, in partnership with the Department of the Treasury, should develop a program to monitor infrastructure security for major blockchains and core web3 infrastructure. By publishing this data, infrastructure operators can be motivated to ensure their systems are up to date and secure. DHSは財務省との協力の下、主要なブロックチェーンとコアWeb3インフラのインフラセキュリティを監視するプログラムを開発すべきである。このデータを公表することで、インフラ事業者はシステムを最新の状態にし、安全性を確保するよう動機付けることができる。
As the CFTC and SEC pick up the regulatory reins for the cryptocurrency infrastructure within web3, they should incentivize normalization of smart contract security auditing by requiring it as part of mandatory disclosures and periodic reporting. CFTCとSECがweb3内の暗号通貨インフラに対する規制の手綱を握ると、開示義務や定期報告の一部として義務付けることで、スマートコントラクトのセキュリティ監査の正常化を奨励すべきである。
Regulated entities under CFTC and SEC should be covered entities under the Cyber Incident Reporting for Critical Infrastructure Act of 2022 and be required to report breaches. CFTCとSECの規制対象団体は、重要インフラ・サイバーインシデント報告法2022年法の対象団体とし、違反の報告を義務付けるべきである。

 

 


インターネットガバナンス論については、以下も参考になります。。。きっと。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.07 デジタル政策フォーラム 「インターネットを巡る”国家主権”と”サイバー主権”」 by 谷脇さん

・2022.07.30 インターネットガバナンスに関する論文と中国の世界インターネット会議

・2022.05.24 バイデン大統領の訪日に伴う一連のホワイトハウスの発表

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

 

ぐっと遡って...

・2005.09.29 経団連 インターネットガバナンスのあり方について

・2005.03.19 インターネットの管理体制、災害対策などめぐり議論 GIIC年次総会

・2004.12.01 インターネットガバナンスって何だ

 

Web3については、、、

・2022.07.27 米国 FBIによるNFT取引の留意事項... (2022.07.22)

インドのこのガイドは興味深いです。。。

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.07.14 総務省 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

 

 

 

| | Comments (0)

米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09)

こんにちは、丸山満彦です。

米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集をしていますね。。。各地で説明会(公聴会)も開催されるようですね。。。

CIRCIAの条文は、このブログの

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

にありますので、参考にしてくださいませ。。。

 

CISA

Cisa_20220913192501

・2022.09.09 CISA WELCOMES INPUT ON NEW CYBER INCIDENT REPORTING REQUIREMENTS

CISA WELCOMES INPUT ON NEW CYBER INCIDENT REPORTING REQUIREMENTS CISAは、新しいサイバーインシデント報告要件に関する意見を歓迎する。
WASHINGTON – Today, the Cybersecurity and Infrastructure Security Agency (CISA) announced their plans to issue a Request for Information (RFI) soliciting public input on approaches to implementing the cyber incident reporting requirements, pursuant to the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA), which President Biden signed into law in March 2022. The RFI will publish in the Federal Register on Monday, September 12 and provide the public with 60 days to provide their written submissions.  ワシントン - 本日、サイバーセキュリティおよびインフラセキュリティ庁(CISA)は、2022年3月にバイデン大統領が署名した2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)に基づき、サイバーインシデント報告要件の実施方法について一般の意見を求める情報要求(RFI)を発行する計画を発表した。RFIは9月12日(月)に連邦官報に掲載され、一般市民は60日以内に書面による提出を行うことができる。 
CIRCIA requires CISA to develop and publish a Notice of Proposed Rulemaking (NPRM) for public comment and review, containing proposed regulations for cyber incident and ransom payment reporting. The RFI solicits input from the critical infrastructure community and other members of the public, and that input will inform the agency’s development of the proposed regulations.   CIRCIAは、CISAに対し、サイバーインシデントおよび身代金支払報告に関する規制案を含む、パブリックコメントとレビューのための提案型規則制定通知(NPRM)を作成・公表するよう求めている。RFIは、重要インフラのコミュニティやその他の一般市民から意見を募り、その意見は規制案の策定に反映される。  
Timely cyber incident reporting allows CISA to rapidly deploy resources and render assistance to victims suffering attacks, identify emerging threats and trends, and quickly share threat information with federal partners and network defenders to take protective action and warn other potential victims.  サイバーインシデントのタイムリーな報告により、CISAは攻撃に苦しむ被害者に迅速にリソースを配備して支援を提供し、新たな脅威と傾向を特定し、脅威情報を連邦政府のパートナーやネットワーク防御者と迅速に共有して、保護措置を講じ、他の潜在的被害者に警告を発することができるようになる。 
“The Cyber Incident Reporting for Critical Infrastructure Act of 2022 is a game changer for the whole cybersecurity community and everyone invested in protecting our nation’s critical infrastructure. It will allow us to better understand the threats we are facing, to spot adversary campaigns earlier, and to take more coordinated action with our public and private sector partners in response,” said CISA Director Jen Easterly. “We can’t defend what we don’t know about and the information we receive will help us fill critical information gaps that will inform the guidance we share with the entire community, ultimately better defending the nation against cyber threats. We look forward to continuing to learn from the critical infrastructure community – through our request for information and our coast-to-coast listening sessions – to understand how we can implement the new cyber incident reporting legislation in the most effective way possible to protect the nation’s critical infrastructure.”  CISAディレクターのジェン・イースタリーは、以下のように述べている。「2022年の重要インフラのためのサイバーインシデント報告法は、サイバーセキュリティ・コミュニティ全体と、わが国の重要インフラの保護に投資するすべての人々にとって、大きな変化をもたらすものである。我々が直面している脅威をよりよく理解し、敵対者のキャンペーンを早期に発見し、それに対して官民のパートナーとより協調した行動をとることができるようになる。我々は知らないことを守ることはできない。我々が受け取った情報は、コミュニティ全体と共有するガイダンスに反映される重要な情報ギャップを埋めるのに役立ち、最終的にはサイバー脅威から国家をよりよく守ることになる。我々は、情報提供の要請や各地での聴聞会を通じて、重要インフラのコミュニティから引き続き学び、国の重要インフラを守るために最も効果的な方法で新しいサイバーインシデント報告法を実施する方法を理解したいと考えている。 
In addition to providing the opportunity to submit written comments in response to the RFI, CISA announced today it will be hosting public listening sessions across the country to receive in-person input from the American people to inform the development of the proposed regulations.  CISAは、RFIに対応した意見書を提出する機会を提供することに加え、規制案の策定に資するため、米国民から直接意見を聞く公聴会を全米で開催すると本日発表した。 
The Department of Homeland Security is also leading the newly established Cyber Incident Reporting Council, which was created by CIRCIA to better harmonize the various existing federal cyber incident reporting structures. The work of the Council will inform, as appropriate, the new proposed rule.  また、国土安全保障省は、既存の様々な連邦政府のサイバーインシデント報告体制をより調和させるために、CIRCIAによって新たに設立されたサイバーインシデント報告協議会を主導している。この協議会の作業は、適宜、新しい規則案に反映される予定である。 

 

意見募集はこちらから...

Federal Register

・2022.09.09 Request for Information on the Cyber Incident Reporting for Critical Infrastructure Act of 2022

Request for Information on the Cyber Incident Reporting for Critical Infrastructure Act of 2022  2022年重要インフラ用サイバーインシデント報告法に関する情報提供の要請
SUMMARY: 概要
The Cybersecurity and Infrastructure Security Agency (CISA) is issuing this Request for Information (RFI) to receive input from the public as CISA develops proposed regulations required by the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA). Among other things, CIRCIA directs CISA to develop and oversee implementation of regulations requiring covered entities to submit to CISA reports detailing covered cyber incidents and ransom payments. CIRCIA requires CISA to publish a Notice of Proposed Rulemaking (NPRM) within 24 months of the date of enactment of CIRCIA as part of the process for developing these regulations. CISA is interested in receiving public input on potential aspects of the proposed regulation prior to publication of the NPRM and is issuing this RFI as a means to receive that input. While CISA welcomes input on other aspects of CIRCIA's regulatory requirements, CISA is particularly interested in input on definitions for and interpretations of the terminology to be used in the proposed regulations; the form, manner, content, and procedures for submission of reports required under CIRCIA; information regarding other incident reporting requirements including the requirement to report a description of the vulnerabilities exploited; and other policies and procedures, such as enforcement procedures and information protection policies, that will be required for implementation of the regulations. サイバーセキュリティ・インフラセキュリティ庁(CISA)は、CISAが2022年の重要インフラのためのサイバーインシデント報告法(CIRCIA)が要求する規制案を策定するにあたり、一般からの意見を受けるためにこの情報提供要請(RFI)を発行している。CIRCIAは、特に、対象事業者が対象となるサイバーインシデントおよび身代金の支払いに関する詳細な報告書をCISAに提出することを義務付ける規制の策定と実施の監督をCISAに指示している。CIRCIA は、これらの規制を策定するプロセスの一環として、CISA に対し、CIRCIA の成立日から 24 カ月以内に提案された規則策定の通知(NPRM)を公表するよう求めている。CISAは、NPRMの発行に先立って、提案された規制の潜在的な側面について一般の方々から意見をいただくことに関心があり、そのための手段としてこのRFIを発行している。CISAは、CIRCIAの規制要件の他の側面に関する意見も歓迎するが、規制案で使用される用語の定義と解釈、CIRCIAの下で要求される報告書の形式、方法、内容、提出手順、悪用された脆弱性の説明を報告するという要件を含む他のインシデント報告要件に関する情報、および規制の実施に必要となる実施手順や情報保護方針などの他の方針と手順に関する意見を特に希望している。
... ...
II. Background II. 背景
The growing number of cyber incidents, including ransomware attacks, is one of the most serious economic and national security threats our nation faces. From the theft of private, financial, or other sensitive data, to cyber-attacks that damage computer networks or facilitate the manipulation of operational or other control systems, cyber incidents are capable of causing significant, lasting harm. ランサムウェア攻撃を含むサイバー事件の増加は、我が国が直面する最も深刻な経済的および国家安全保障上の脅威の1つである。個人情報、財務情報、その他の機密データの盗難から、コンピュータネットワークに損害を与え、業務システムやその他の制御システムの操作を容易にするサイバー攻撃まで、サイバー事件は重大かつ持続的な被害を引き起こす可能性がある。
Reporting cyber incidents and ransom payments to the government has many benefits. An organization that is a victim of a cyber incident, including those that result in ransom payments, can receive assistance from government agencies that are prepared to investigate the incident, mitigate its consequences, and help prevent future incidents through analysis and sharing of cyber threat information. CISA and our federal law enforcement partners have highly trained investigators who specialize in responding to cyber incidents for the express purpose of disrupting threat actors who caused the incident, and providing technical assistance to protect assets, mitigate vulnerabilities, and offer on-scene response personnel to aid in incident recovery. When supporting affected entities, the various agencies of the Federal Government work in tandem to leverage their collective response expertise, apply their knowledge of cyber threats, preserve key evidence, and use their combined authorities and capabilities both to minimize asset vulnerability and bring malicious actors to justice. Timely reporting of incidents also allows CISA to share information about indicators of compromise, tactics, techniques, procedures, and best practices to reduce the risk of a cyber incident propagating within and across sectors. サイバー事件や身代金の支払いを政府に報告することには、多くの利点がある。身代金の支払いにつながるものも含め、サイバー事件の被害者となった組織は、事件を調査し、その影響を緩和し、サイバー脅威情報の分析と共有を通じて将来の事件の防止を支援する準備を整えている政府機関から支援を受けることができる。CISAと連邦法執行機関のパートナーは、高度な訓練を受けた捜査官で、インシデントを引き起こした脅威者を妨害することを明確な目的としてサイバーインシデントに対応し、資産の保護、脆弱性の緩和、インシデントの復旧を支援する現場対応要員の提供などの技術支援を専門としている。被害を受けた団体を支援する場合、連邦政府の様々な機関が連携して、対応に関する専門知識を結集し、サイバー脅威に関する知識を応用し、重要な証拠を保全し、資産の脆弱性を最小限に抑え、悪意ある行為者を裁くために、それぞれの権限と能力を駆使する。また、インシデントをタイムリーに報告することで、CISAは侵害の指標、戦術、技術、手順、ベストプラクティスに関する情報を共有し、サイバーインシデントが部門内および部門間で伝播するリスクを軽減することができる。
Recognizing the importance of cyber incident and ransom payment reporting, in March 2022, Congress passed and President Biden signed the Cyber Incident Reporting for Critical Infrastructure Act of 2022 (CIRCIA), Public Law 117-103, Div. Y (2022) (to be codified at 6 U.S.C. 681-681g). Enactment of CIRCIA marks an important milestone in improving America's cybersecurity by, among other things, requiring CISA to develop and implement regulations requiring covered entities to report covered cyber incidents and ransom payments to CISA. These reports will allow CISA, in conjunction with other federal partners, to rapidly deploy resources and render assistance to victims suffering attacks, analyze incoming reporting across sectors to spot trends and understand how malicious cyber actors are perpetrating their attacks, and quickly share that information with network defenders to warn other potential victims. サイバーインシデントおよび身代金支払い報告の重要性を認識し、2022年3月、議会は「2022年重要インフラ向けサイバーインシデント報告法(CIRCIA)」、公法117-103、Division Y(2022)(合衆国法典681-681gにコード化される予定)を可決、バイデン大統領が署名した。CIRCIA の制定は、米国のサイバーセキュリティを向上させる上で重要なマイルストーンとなる。これは、特に CISA に対し、対象となる事業者が対象となるサイバーインシデントおよび身代金の支払いを CISA に報告するよう求める規則を策定・実施するよう求めるものである。これらの報告により、CISA は他の連邦政府のパートナーと連携して、攻撃に苦しむ被害者に迅速にリソースを配備して支援を提供し、寄せられた報告を部門横断的に分析して傾向を把握し、悪質なサイバー行為者がどのように攻撃を実行しているかを理解し、その情報をネットワーク防御者と迅速に共有して他の潜在的被害者に警告を発することができるようになる。
Some of these new authorities are regulatory in nature and require CISA to complete rulemaking activities before the reporting requirements go into effect. CIRCIA requires that CISA develop and publish a Notice of Proposed Rulemaking (NPRM), which will be open to public comment, and a Final Rule. CIRCIA also mandates that CISA consult with various entities, including Sector Risk Management Agencies, the Department of Justice, and the DHS-chaired Cyber Incident Reporting Council, throughout the rulemaking process. CISA is working to complete these activities within the statutorily mandated timeframes. In addition to the consultations required by CIRCIA, CISA is interested in receiving input from the public on the best approaches to implementing various aspects of this new regulatory authority. これらの新しい権限の中には、規制的な性格を持つものがあり、報告義務の発効前にCISAが規則制定活動を完了することが必要である。CIRCIA は、CISA に対し、パブリック・コメントに付される Notice of Proposed Rulemaking (NPRM) と Final Rule を作成し、公表することを義務付けている。また、CIRCIAは、規則制定プロセスを通じて、セクター・リスクマネジメント機関、司法省、DHSが議長を務めるサイバー・インシデント報告協議会など、さまざまな団体と協議することを義務付けている。CISAは、法令で定められた期間内にこれらの活動を完了するよう取り組んでいる。CIRCIAが要求する協議に加え、CISAは、この新しい規制権限の様々な側面を実施するための最良のアプローチについて、一般市民から意見を受け取ることに関心を持っている。
III. Request for Input III. 意見提出の要請
A. Importance of Public Feedback A. 一般からのフィードバックの重要性
CISA is committed to obtaining public input in the development of its approach to implementation of the cyber incident and ransom payment reporting requirements of CIRCIA. Owners and operators of entities in critical infrastructure sectors will have particularly useful information, data, and perspectives on the different approaches to reporting requirements given the potential impact that these requirements may have on their organizations and industries. Accordingly, CISA is seeking specific public feedback to inform its proposed regulations to implement CIRCIA's regulatory requirements. All members of the public, including but not limited to specialists in the field, academic experts, industry, public interest groups, and those with relevant economic expertise, are invited to comment. CISA は、CIRCIA のサイバーインシデントおよび身代金支払い報告要件の実施に向けたアプローチ の開発において、一般の人々からの意見を得ることに尽力している。重要インフラ部門の事業体の所有者および運営者は、これらの要件がその組織や業界に及ぼす潜在的な影響を考えると、報告要件の異なるアプローチについて特に有益な情報、データ、および視点を持つことになる。したがって、CISAは、CIRCIAの規制要件を実施するための規制案に反映させるために、一般からの具体的なフィードバックを求めている。この分野の専門家、学識経験者、産業界、公益団体、および関連する経済的専門知識を有する者を含むがこれらに限定されない、すべての一般市民が意見を述べるよう要請されている。
This notice contains a list of topics on which CISA believes inputs would be particularly useful in developing a balanced approach to implementation of the regulatory authorities Congress assigned to CISA under CIRCIA. CISA encourages public comment on these topics and any other topics commenters believe may be useful to CISA in the development of regulations implementing the CIRCIA authorities. The type of feedback that is most useful to the agency will identify specific approaches the agency may want to consider and provide information supporting why the approach would foster a cost-effective and balanced approach to cyber incident and ransom payment reporting requirements. Feedback that contains specific information, data, or recommendations is more useful to CISA than generic feedback that omits these components. For comments that contain any numerical estimates, CISA encourages the commenter to provide any assumptions made in calculating the numerical estimates. この通知には、CIRCIAの下で議会がCISAに付与した規制当局を実施するためのバランスの取れたアプローチを開発する上で、インプットが特に有用であるとCISAが考えるトピックのリストが含まれている。CISAは、これらのトピックおよびコメント投稿者がCIRCIA権限を実施する規制の策定においてCISAに有用であると考えるその他のトピックについてパブリックコメントを募集している。CIRCIA にとって最も有益なフィードバックのタイプは、CIRCIA が検討したい具体的なアプローチを特定し、そのアプローチがサイバーインシデントおよび身代金支払報告要件に対して費用対効果の高いバランスの取れたアプローチを促進する理由を裏付ける情報を提供するものである。具体的な情報、データ、または推奨事項を含むフィードバックは、これらの要素を省略した一般的なフィードバックよりもCISAにとって有用である。数値的な見積もりを含むコメントについては、コメント投稿者がその数値的な見積もりを計算する際に行った仮定を提示することを推奨する。
B. List of Topics for Commenters B. コメント提出者向けトピックの一覧
The below non-exhaustive list of topics is meant to assist members of the public in the formulation of comments and is not intended to restrict the issues that commenters may address: 以下の非網羅的なトピックのリストは、一般市民がコメントを作成する際の助けとなることを意図しており、コメント作成者が取り上げることができる問題を制限することを意図していない。
(1) Definitions, Criteria, and Scope of Regulatory Coverage (1) 定義、基準、規制の適用範囲について
a. The meaning of “covered entity,” consistent with the definition provided in section 2240(5) of the Homeland Security Act of 2002 (as amended), taking into consideration the factors listed in section 2242(c)(1). a. 2002 年国土安全保障法(改正後)第 2240 条(5)に規定される定義と整合し、第 2242 条(c)(1) に列挙される要素を考慮した「対象事業者」の意味。
b. The number of entities, either overall or in a specific industry or sector, likely to be “covered entities” under the definition provided in section 2240(5) of the Homeland Security Act of 2002 (as amended), taking into consideration the factors listed in section 2242(c)(1). b. 2242(c)(1)に記載されている要素を考慮し、2002年国土安全保障法2240(5)に規定されている定義のもと、全体または特定の産業やセクターにおいて「対象事業者」であると思われる事業者の数。
c. The meaning of “covered cyber incident,” consistent with the definition provided in section 2240(4), taking into account the requirements, considerations, and exclusions in section 2242(c)(2)(A), (B), and (C), respectively. Additionally, the extent to which the definition of “covered cyber incident” under CIRCIA is similar to or different from the definition used to describe cyber incidents that must be reported under other existing federal regulatory programs. c. 2242(c)(2)(A)、(B)、(C)それぞれの要件、考慮事項、除外事項を考慮し、2240(4)項に定める定義と整合する「対象サイバー事件」の意味。さらに、CIRCIA における「対象となるサイバーインシデント」の定義が、他の既存の連邦規制プログラムの下で報告する必要のあるサイバーインシデントを説明するために使用されている定義とどの程度類似しているか、または異なっているかについても説明する。
d. The number of covered cyber incidents likely to occur on an annual basis either in total or within a specific industry or sector. d. 全体または特定の産業やセクター内で、年間ベースで発生する可能性のある対象サイバーインシデントの数。
e. The meaning of “substantial cyber incident.” e. 「実質的なサイバーインシデント」の意味。
f. The meaning of “ransom payment” and “ransomware attack,” consistent with the definitions provided in section 2240(13) and (14). f. 第2240条(13)及び(14)に定める定義と一致する、「身代金の支払い」及び「ランサムウェア攻撃」の意味。
g. The number of ransom payments likely to be made by covered entities on an annual basis. g. 対象事業者が年間ベースで行う可能性のある身代金支払の数。
h. The meaning of “supply chain compromise,” consistent with the definition in section 2240(17). h. 第2240条第17項に定める定義と一致する「サプライチェーン侵害」の意味。
i. The criteria for determining if an entity is a multi-stakeholder organization that develops, implements, and enforces policies concerning the Domain Name System (as described in section 2242(a)(5)(C)). i. ドメインネームシステム(第2242条(a)(5)(C)に記載)に関するポリシーを策定、実施、執行するマルチステークホルダー組織であるかどうかを判断するための基準。
j. Any other terms for which a definition, or clarification of the definition for the term contained in CIRCIA, would improve the regulations and proposed definitions for those terms, consistent with any definitions provided for those terms in CIRCIA. j. CIRCIAに含まれる用語の定義、またはその定義を明確にすることにより、CIRCIAに規定される用語の定義と整合性を保ちつつ、これらの用語の規制および提案された定義を改善することができるその他の用語。
(2) Report Contents and Submission Procedures (2) 報告書の内容および提出方法
a. How covered entities should submit reports on covered cyber incidents, the specific information that should be required to be included in the reports (taking into consideration the requirements in section 2242(c)(4)), any specific format or manner in which information should be submitted (taking into consideration the requirements in section 2242(c)(8)(A)), any specific information that should be included in reports to facilitate appropriate sharing of reports among federal partners, and any other aspects of the process, manner, form, content, or other items related to covered cyber incident reporting that would be beneficial for CISA to clarify in the regulations. a. 対象事業者が対象となるサイバーインシデントに関する報告書をどのように提出すべきか、報告書に含めることを要求されるべき特定の情報(セクション2242(c)(4)の要件を考慮)、情報を提出すべき特定の形式または方法(セクション2242(c)(8)(A)の要件を考慮)。連邦政府パートナー間での適切な報告書の共有を促進するために報告書に含まれるべき特定の情報、及び、対象となるサイバーインシデント報告に関するプロセス、方法、形式、内容、又はその他の項目で、CISAが規則で明確にすることが有益と思われるその他の側面。
b. What constitutes “reasonable belief” that a covered cyber incident has occurred, which would initiate the time for the 72-hour deadline for reporting covered cyber incidents under section 2242(a)(1). b. 2242条(a)(1)に基づく72時間のサイバーインシデント報告期限を開始させる、対象となるサイバーインシデントが発生したと「合理的に信じる」ことを構成するものは何か。
c. How covered entities should submit reports on ransom payments, the specific information that should be required to be included in the reports (taking into consideration the requirements in section 2242(c)(5)), any specific format or manner in which information should be submitted (taking into consideration the requirements in section 2242(c)(8)(A)), and any other aspects of the process, manner, form, content, or other items related to ransom payments that would be beneficial for CISA to clarify in the regulations. c. 身代金支払いに関する報告書を対象事業者がどのように提出すべきか、報告書に含めることを要求されるべき特定の情報(第2242条(c)(5)の要件を考慮)、情報を提出すべき特定の形式または方法(第2242条(c)(8)(A)の要件を考慮)、その他CISAにとって規則で明確にすることが有益な身代金の支払いに関するプロセス、方法、形式、内容またはその他の事項のあらゆる側面。
e. When should the time for the 24-hour deadline for reporting ransom payments begin ( i.e., when a ransom payment is considered to have been “made”). e. 身代金の支払いに関する24時間の報告期限はいつから始まるべきか(すなわち、身代金の支払いが「行われた」とみなされるのはいつからか)。
f. How covered entities should submit supplemental reports, what specific information should be included in supplemental reports, any specific format or manner in which supplemental report information should be submitted, the criteria by which a covered entity determines “that the covered cyber incident at issue has concluded and has been fully mitigated and resolved,” and any other aspects of the process, manner, form, content, or other items related to supplemental reports that would be beneficial for CISA to clarify in the regulations. f. 対象事業者が補足報告書を提出する方法、補足報告書に含まれるべき特定の情報、補足報告書情報を提出すべき特定の形式や方法、対象事業者が「問題の対象サイバー事件が終結し、完全に緩和され解決された」と判断する基準、補足報告書に関連するプロセス、方法、形式、内容、その他の項目で、CISAが規則で明確にすることが有益と考えられるその他の面。
g. The timing for submission of supplemental reports and what constitutes “substantial new or different information,” taking into account the considerations in section 2242(c)(7)(B) and (C). g. 2242(c)(7)(B)及び(C)項の考慮事項を考慮した、補足報告書の提出時期及び「実質的な新規又は異なる情報」を構成するもの。
h. What CISA should consider when “balanc[ing] the need for situational awareness with the ability of the covered entity to conduct cyber incident response and investigations” when establishing deadlines and criteria for supplemental reports. h. CISAが補足報告書の期限と基準を定める際に、「状況認識の必要性と対象事業者のサイバーインシデント対応及び調査の能力のバランスをとる」際に考慮すべきこと。
i. Guidelines or procedures regarding the use of third-party submitters, consistent with section 2242(d). i. セクション2242(d)と整合性のある、第三者提出者の使用に関するガイドライン又は手順。
j. Covered entity information preservation requirements, such as the types of data to be preserved, how covered entities should be required to preserve information, how long information must be preserved, allowable uses of information preserved by covered entities, and any specific processes or procedures governing covered entity information preservation. j. 保存すべきデータの種類、対象事業者が情報を保存するために要求されるべき方法、情報を保存しなければならない期間、対象事業者が保存する情報の許容される使用、対象事業者の情報保存を管理する特定のプロセスまたは手順などの対象事業者の情報保存の要件。
k. To clarify or supplement the examples provided in section 2242(d)(1), what constitutes a third-party entity who may submit a covered cyber incident report or ransom payment report on behalf of a covered entity. k. セクション2242(d)(1)で提供される例を明確化または補足するために、対象事業者に代わって対象サイバー事件報告書または身代金支払報告書を提出できる第三者事業者を構成するものは何か。
l. How a third party can meet its responsibility to advise an impacted covered entity of its ransom payment reporting responsibilities under section 2242(d)(4). l. 第2242条(d)(4)に基づき、第三者が、影響を受ける対象事業体に身代金支払報告責任について助言する責任をどのように果たすことができるか。
(3) Other Incident Reporting Requirements and Security Vulnerability Information Sharing (3) その他のインシデント報告要件およびセキュリティ脆弱性情報共有
a. Other existing or proposed federal or state regulations, directives, or similar policies that require reporting of cyber incidents or ransom payments, and any areas of actual, likely, or potential overlap, duplication, or conflict between those regulations, directives, or policies and CIRCIA's reporting requirements. a. サイバーインシデントまたは身代金支払の報告を要求する他の既存または提案された連邦または州の規制、指令、または同様の政策、およびそれらの規制、指令、または政策とCIRCIAの報告要件との間に実際に重複、重複、または矛盾が生じる可能性のある領域。
b. What federal departments, agencies, commissions, or other federal entities receive reports of cyber incidents or ransom payments from critical infrastructure owners and operators. b. 重要インフラの所有者および運営者からサイバーインシデントまたは身代金支払いの報告を受ける連邦省庁、委員会、または他の連邦機関は何か。
c. The amount it typically costs and time it takes, including personnel salary costs (with associated personnel titles if possible), to compile and report information about a cyber incident under existing reporting requirements or voluntary sharing, and the impact that the size or type of cyber incident may have on the estimated cost of reporting. c. 既存の報告要件または任意の共有の下でサイバーインシデントに関する情報をコンパイルして報告するために、職員の給与コスト(可能であれば関連する職員の肩書きも)を含む通常かかる金額と時間、およびサイバーインシデントの規模または種類が報告コストの見積もりに与える可能性がある影響。
d. The amount it costs per incident to use a third-party entity to submit a covered cyber incident report or ransom payment report on behalf of a covered entity. d. 第三者機関を利用して、対象事業者に代わって対象サイバーインシデント報告書または身代金支払報告書を提出するためにかかる1インシデントあたりの費用額。
e. The amount it typically costs to retain data related to cyber incidents. e. サイバーインシデントに関連するデータを保持するために通常かかる金額。
f. Criteria or guidance CISA should use to determine if a report provided to another federal entity constitutes “substantially similar reported information.” f. 他の連邦機関に提供された報告書が "実質的に類似した報告情報 "に該当するかどうかを判断するためにCISAが使用すべき基準又は指針。
g. What constitutes a “substantially similar timeframe” for submission of a report to another federal entity. g. 他の連邦政府機関に報告書を提出するための「実質的に類似した時間枠」を構成するものは何か。
h. Principles governing the timing and manner in which information relating to security vulnerabilities may be shared, including any common industry best practices and United States or international standards. h. セキュリティ脆弱性に関連する情報を共有するタイミング及び方法を規定する原則(業界共通のベストプラクティス及び米国又は国際的な基準を含む)。
(4) Additional Policies, Procedures, and Requirements (4) その他の方針、手順、及び要求事項
a. Policies, procedures, and requirements related to the enforcement of regulatory requirements, to include the issuance of requests for information, subpoenas, and civil actions consistent with section 2244. a. 規制要件の実施に関する方針、手順、要件。これには、情報要求、召喚状、及び第 2244 条と整合性のある民事訴訟の発行が含まれる。
b. Information on protections for reporting entities under section 2245. b. 第2245条に基づく報告主体の保護に関する情報。
c. Any other policies, procedures, or requirements that it would benefit the regulated community for CISA to address in the proposed rule. c. CISAが規則案で取り上げることにより、規制対象コミュニティの利益となるその他の方針、手順、又は要件。
CISA notes that this RFI is issued solely for information and program-planning purposes. Responses to this RFI do not bind CISA to any further actions. CISAは、このRFIが情報及びプログラム計画のみを目的として発行されていることに留意すること。このRFIに対する回答は、CISAを今後の活動において拘束するものではない。
Jennie M. Easterly, ジェニー・M・イースタリー

 

公聴会の開催については、

・2022.09.09 Cyber Incident Reporting for Critical Infrastructure Act of 2022 Listening Sessions

 

 

 

 


まるちゃんの情報セキュリティ気まぐれ日記

・2022.05.12 米国 ITI SECのサイバーセキュリティに関する規則案の延期を要請 - セキュリティリスクの分散と軽減のために

・2022.04.13 米国 CISAがサイバーイベント情報の共有のためのファクトシートを公表していますね。。。 (2022.04.07)

 

サイバーインシデント報告法 (CIRCIA) が可決したのはこちら...条文もこちらに載せています。。。

・2022.03.17 米国 バイデン大統領が歳出法案に署名ー重要インフラの所有者・運営者は、サイバー攻撃を受けた場合は72時間以内に、ランサムウェアの支払いを行った場合は24時間以内にCISAに報告することが義務付けられる...

 

条文案の段階...

・2022.03.14 米国 H. R. 5440 重要インフラのためのサイバーインシデント報告法案が下院で可決

・2022.03.06 米国 S.3600 - Strengthening American Cybersecurity Act of 2022案が上院で可決

 

| | Comments (0)

2022.09.13

個人情報保護委員会 令和4年9月「第2回G7データ保護・プライバシー機関ラウンドテーブル会合」

こんにちは、丸山満彦です。

個人情報保護委員会のウェブページに、令和4年9月「第2回G7データ保護・プライバシー機関ラウンドテーブル会合」についての情報が公開されていますね。。。

 

● 個人情報保護委員会

令和4年9月「第2回G7データ保護・プライバシー機関ラウンドテーブル会合」

 

・2022.09.08 [PDF] Roundtable of G7 Data Protection and Privacy Authorities – Communiqué – 

20220912-164330

・[DOCX] 仮訳

 

・2022年の活動として、

  • 認証を含む国際的なデータ転送ツール - 仏CNIL、独BfDI
  • プライバシー強化技術 - 英ICO
  • データ保護法およびプライバシー法における非識別化基準および非識別化データの位置づけ - 加OPC
  • 商業監視の課題に対応するためのデータ最小化、目的および用途制限の原則の再活性化 - 米FTC
  • AIガバナンスのための倫理的・文化的モデルを設定し、推進する上でのプライバシーおよびデータ保護当局の役割 - 伊Garante

英国のプライバシー強化技術については、このブログでも取り上げていますね。。。

次回は日本で開催予定です。。。

 


開催国 ドイツ BfDIのウェブページ

Logo_bfdi_52019svg

Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit: BfDI

G7 Datenschützer und Privacy-Behörden wollen DFFT voranbringen

Zum Communique des G7-DPA Roundtable 2022

Mehr zum G7-DPA Roundtable 2022

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.11 英国 ICO プライバシー強化技術に関するガイダンス案を発表

 

 

| | Comments (0)

2022.09.12

中国 インターネットポップアップ情報プッシュ型サービス管理規定と偽情報の取締り

こんにちは、丸山満彦です。

国家サイバースペース管理局、工業情報化部、国家市場監督管理総局が共同で「インターネットポップアップ情報プッシュ型サービス管理規定」を公布し、2022年9月30日から施行することとしたようですね。。。

欧州と同じような規制の方向性かもです。規則を決めるプロセスは違いますが。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.09.09 三部门联合发布《互联网弹窗信息推送服务管理规定》

三部门联合发布《互联网弹窗信息推送服务管理规定》 三部署が共同で「インターネットポップアップ情報プッシュ型サービス管理規定」を制定
近日,国家互联网信息办公室、工业和信息化部、国家市场监督管理总局联合发布《互联网弹窗信息推送服务管理规定》(以下简称《规定》),自2022年9月30日起施行。国家互联网信息办公室有关负责人表示,《规定》旨在加强对弹窗信息推送服务的规范管理,维护国家安全和社会公共利益,保护公民、法人和其他组织的合法权益,促进互联网信息服务健康有序发展。 このほど、国家サイバースペース管理局、工業情報化部、国家市場監督管理総局は共同で「インターネットポップアップ情報プッシュ型サービス管理規定」(以下「規定」)を公布し、2022年9月30日から施行することとした。 国家サイバーセキュリティ管理局の関係責任者は、「本規定は、ポップアップ情報プッシュ型サービスの標準化管理を強化し、国家の安全と社会公共利益を守り、国民、法人およびその他の組織の合法的権益を保護し、インターネット情報サービスの健全で秩序ある発展を促進することを目的としている」と述べている。
近年来,互联网弹窗信息推送服务为用户浏览查看信息提供极大便利,但随着互联网的飞速发展和移动应用程序的广泛应用,弹窗信息推送服务不断出现新情况新问题,需适应形势予以规范。《规定》立足当前实际,紧盯弹窗新闻信息推送、弹窗信息内容导向、弹窗广告等重点环节,着力解决利用弹窗违规推送新闻信息、弹窗广告标识不明显、广告无法一键关闭、恶意炒作娱乐八卦、推送频次过多过滥、推送信息内容比例不合理、诱导用户点击实施流量造假等问题。 近年、インターネットのポップアップ情報プッシュ型サービスは、ユーザーが情報を閲覧・視聴する際に大きな利便性を提供してきたが、インターネットの急速な発展やモバイルアプリケーションの普及に伴い、ポップアップ情報プッシュ型サービスは、新しい状況や新しい問題を生み出し続け、状況に適応した規制が必要になってきている。 本規定は、現行の実務に基づき、ポップアップニュース情報のプッシュ型、ポップアップ情報内容の誘導、ポップアップ広告などの主要な側面に焦点を当て、ポップアップウィンドウを使用してニュース情報を不正に押し出すこと、ポップアップ広告が明確に表示されないこと、広告がワンクリックで閉じられないこと、芸能ゴシップの悪質な推測、過剰かつ過度のプッシュ型回数、情報内容を押し出す割合が不当であり、ユーザーにクリックさせてトラフィック偽装を実行するという問題の解決に向けて努力する。
《规定》明确,互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务;互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的组织或者个人。 本規定では、「インターネットポップアップ情報プッシュ型サービス」とは、オペレーティングシステム、アプリケーションソフトウェア、ウェブサイトなどを通じて、ポップアップメッセージの形でインターネットユーザーに提供する情報プッシュ型サービスを指し、「インターネットポップアップ情報プッシュ型サービス提供者」とは、インターネットポップアップ情報プッシュ型サービスを提供する組織または個人を指すことを明確にしている。
《规定》提出,互联网弹窗信息推送服务提供者应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。 本規定では、インターネットポップアップ情報プッシュ型サービス提供者は、憲法、法律、行政法規を遵守し、社会主義核心価値観を推進し、正しい政治方向、世論方向、価値方向を堅持し、明確なサイバースペースを維持することを提案している。
《规定》要求,互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。 本規定では、インターネットポップアップ情報プッシュ型サービス提供者が、情報コンテンツ管理の主管を実施し、情報コンテンツ監査、エコロジーガバナンス、データセキュリティと個人情報保護、未成年者保護などの管理システムを構築・改善することを要求している。
《规定》强调,互联网弹窗信息推送服务提供者应当遵守优化推送内容生态、强化互联网信息服务资质管理、规范新闻信息推送、科学设定推送内容占比、健全推送内容审核流程、强化用户权益保障、合理算法设置、规范广告推送、杜绝恶意引流等九个方面具体要求。 本規定では、インターネットポップアップ情報プッシュ型サービス提供者が、プッシュコンテンツのエコシステムの最適化、インターネット情報サービスの資格管理の強化、ニュース情報のプッシュ規制、プッシュコンテンツの比率を科学的に設定、プッシュコンテンツの審査プロセスの改善、利用者の権益保護の強化、合理的アルゴリズムの設定、広告のプッシュ規制、悪質転用の排除など9項目の特定要求を満たすよう強調した。

 

・2022.09.09 互联网弹窗信息推送服务管理规定

互联网弹窗信息推送服务管理规定 インターネット上のポップアップ情報プッシュ型サービスの管理に関する規則
第一条 为了规范互联网弹窗信息推送服务,维护国家安全和公共利益,保护公民、法人和其他组织的合法权益,促进行业健康有序发展,根据《中华人民共和国网络安全法》、《中华人民共和国未成年人保护法》、《中华人民共和国广告法》、《互联网信息服务管理办法》、《互联网新闻信息服务管理规定》、《网络信息内容生态治理规定》等法律法规,制定本规定。 第1条 インターネットポップアップ情報プッシュ型サービスを規制し、国家の安全および公共の利益を保護し、国民、法人およびその他の組織の合法的権益を保護し、業界の健全かつ秩序ある発展を促進するため、本規定は「中華人民共和国ネットワークセキュリティ法」、「中華人民共和国未成年者保護法」、「中華人民共和国広告法」、「インターネット情報サービス管理弁法」、「インターネットニュースおよび情報サービス管理規則」、および「オンライン情報コンテンツのエコ・ガバナンスに関する規定」等の法令に基づき、本規定を制定する。
第二条 在中华人民共和国境内提供互联网弹窗信息推送服务,适用本规定。 第2条 この規定は、中華人民共和国の領域内におけるインターネットポップアップ情報プッシュ型サービスの提供について適用される。
本规定所称互联网弹窗信息推送服务,是指通过操作系统、应用软件、网站等,以弹出消息窗口形式向互联网用户提供的信息推送服务。 本規定でいうインターネットポップアップサービスとは、オペレーティングシステム、アプリケーションソフトウェア、ウェブサイトなどを通じて、ポップアップメッセージの形でインターネット利用者に提供される情報プッシュ型サービスを指す。
本规定所称互联网弹窗信息推送服务提供者,是指提供互联网弹窗信息推送服务的组织或者个人。 本規定でいうインターネットポップアップ情報プッシュ型サービスの提供者とは、インターネットポップアップ情報プッシュ型サービスを提供する組織または個人を指す。
第三条 提供互联网弹窗信息推送服务,应当遵守宪法、法律和行政法规,弘扬社会主义核心价值观,坚持正确政治方向、舆论导向和价值取向,维护清朗网络空间。 第3条 インターネットのポップアップ情報プッシュ型サービスの提供は、憲法、法律、行政法規を遵守し、社会主義核心価値観を推進し、正しい政治方向、世論誘導、価値観の方向性を堅持し、明確なサイバースペースを保たなければならない。
第四条 互联网弹窗信息推送服务提供者应当落实信息内容管理主体责任,建立健全信息内容审核、生态治理、数据安全和个人信息保护、未成年人保护等管理制度。 第4条 インターネットポップアップ情報プッシュ型サービスの提供者は、情報コンテンツ管理の主管を実施し、情報コンテンツの監査、エコロジーガバナンス、データセキュリティと個人情報保護、未成年者保護などの管理システムを構築・改善しなければならない。
第五条 提供互联网弹窗信息推送服务的,应当遵守下列要求: 第5条 インターネットポップアップインフォメーションプッシュ型サービスを提供する者は、以下の要件を遵守しなければならない。
(一)不得推送《网络信息内容生态治理规定》规定的违法和不良信息,特别是恶意炒作娱乐八卦、绯闻隐私、奢靡炫富、审丑扮丑等违背公序良俗内容,不得以恶意翻炒为目的,关联某一话题集中推送相关旧闻; (1)「インターネット情報コンテンツのエコ・ガバナンスに関する規定」に規定された違法かつ望ましくない情報、特に芸能ゴシップ、ゴシップとプライバシー、贅沢と誇大な富に関する悪質な憶測、醜さの検証、醜いふりをすること、その他公序良俗に反する内容を押し付けてはならず、悪質な焼き直し目的で特定の話題に関する関連の古いニュースを集中的に押し付けてはならない。
(二)未取得互联网新闻信息服务许可的,不得弹窗推送新闻信息,弹窗推送信息涉及其他互联网信息服务,依法应当经有关主管部门审核同意或者取得相关许可的,应当经有关主管部门审核同意或者取得相关许可; (2)インターネットニュース情報サービスの許可を得ずに、ポップアップウィンドウでニュース情報を押さない。その他のインターネット情報サービスに関わるポップアップウィンドウで、法律に従って関係主管庁の審査と承認を受けるか、関連許可を得るべき情報を押さない。
(三)弹窗推送新闻信息的,应当严格依据国家互联网信息办公室发布的《互联网新闻信息稿源单位名单》,不得超范围转载,不得歪曲、篡改标题原意和新闻信息内容,保证新闻信息来源可追溯; (3) ポップアップで押し出すニュース情報は、国家サイバーセキュリティ管理局が発行した「インターネットニュース情報源単位リスト」に厳格に基づき、範囲を超えた複製をしてはならず、ニュース情報のタイトルと内容の本来の意味を歪めたり変えたりしてはならず、ニュース情報の出所を確実に追跡できるようにしなければならない。
(四)提升弹窗推送信息多样性,科学设定新闻信息和垂直领域内容占比,体现积极健康向上的主流价值观,不得集中推送、炒作社会热点敏感事件、恶性案件、灾难事故等,引发社会恐慌; (4) ポップアップウィンドウに表示される情報の多様性を高め、ニュース情報と垂直方向のコンテンツの割合を科学的に設定し、前向きで健全な主流の価値を反映させ、社会的に話題の敏感な事件、悪質な事件、災害や事故など、社会パニックを引き起こすような情報の押し売りや憶測に集中しないようにする。
(五)健全弹窗信息推送内容管理规范,完善信息筛选、编辑、推送等工作流程,配备与服务规模相适应的审核力量,加强弹窗信息内容审核; (5) ポップアップ情報によってプッシュされるコンテンツの管理に関する規範を改善し、情報の審査、編集、プッシュのワークフローを完璧にし、サービスの規模に見合った監査力を備え、ポップアップ情報のコンテンツに対する監査を強化すること。
(六)保障用户权益,以服务协议等明确告知用户弹窗信息推送服务的具体形式、内容频次、取消渠道等,充分考虑用户体验,科学规划推送频次,不得对普通用户和会员用户进行不合理地差别推送,不得以任何形式干扰或者影响用户关闭弹窗,弹窗信息应当显著标明弹窗信息推送服务提供者身份; (6) 利用者の権益を保護し、サービス契約によりポップアップ情報プッシュ型サービスの具体的な形態、内容の頻度、解除経路を利用者に明確に知らせ、利用者の経験を十分に考慮し、プッシュ頻度を科学的に計画し、一般利用者と会員利用者の間で不当に異なる押し出しをせず、ポップアップウィンドウの閉鎖をいかなる方法でも妨害、影響せず、ポップアップ情報はポップアップ情報プッシュ型サービスの提供者をはっきりと表示すること。
(七)不得设置诱导用户沉迷、过度消费等违反法律法规或者违背伦理道德的算法模型;不得利用算法实施恶意屏蔽信息、过度推荐等行为;不得利用算法针对未成年人用户进行画像,向其推送可能影响其身心健康的信息; (7) 法令違反や倫理・道徳に反する耽溺・過消費等を誘発するようなアルゴリズムモデル、悪質な情報遮断や過剰なレコメンデーション等を実施するアルゴリズム、未成年者のプロファイリングや心身の健康に影響を与える情報を押し付けるようなアルゴリズムを用いてはならない。
(八)弹窗推送广告信息的,应当具有可识别性,显著标明“广告”和关闭标志,确保弹窗广告一键关闭; (8) 広告情報を押し出すポップアップは、識別できるようにし、「広告」であることを目立つように表示して閉じるようにし、シングルクリックでポップアップが閉じるようにすること。
(九)不得以弹窗信息推送方式呈现恶意引流跳转的第三方链接、二维码等信息,不得通过弹窗信息推送服务诱导用户点击,实施流量造假、流量劫持。 (9) 悪意のある第三者のリンク、QRコード、その他の情報をポップアップ情報プッシュの形で提示してはならず、ポップアップ情報プッシュ型サービスをクリックするよう誘導し、トラフィック改ざんやトラフィックハイジャックを実施してはならない。
第六条 互联网弹窗信息推送服务提供者应当自觉接受社会监督,设置便捷投诉举报入口,及时处理关于弹窗信息推送服务的公众投诉举报。 第6条 インターネットポップアップ情報プッシュ型サービス提供者は、社会的監視を意識的に受け入れ、便利な苦情申告窓口を設置し、ポップアップ情報プッシュ型サービスに対する公衆の苦情や通報を速やかに処理しなければならない。
第七条 鼓励和指导互联网行业组织建立健全互联网弹窗信息推送服务行业准则,引导行业健康有序发展。 第7条 インターネット業界団体が、インターネットポップアップ情報プッシュ型サービスに関する業界ガイドラインを制定・改善し、業界の健全かつ秩序ある発展を導くよう奨励・指導する。
第八条 网信部门会同电信主管部门、市场监管部门等有关部门建立健全协作监管等工作机制,监督指导互联网弹窗信息推送服务提供者依法依规提供服务。 第8条 インターネット情報部門は、主管電信部門、市場監督部門等の関係部門と連携し、共同監督等の作業メカニズムを構築・改善し、インターネットポップアップ情報プッシュ型サービス提供者が法令に基づきサービスを提供できるよう監督・指導する。
第九条 互联网弹窗信息推送服务提供者违反本规定的,由网信部门、电信主管部门、市场监管部门等有关部门在职责范围内依照相关法律法规规定处理。 第9条 インターネットポップアップ情報プッシュ型サービス提供者が本規定に違反した場合、インターネット情報部門、主管電信部門、市場監督部門などの関連部門が関連法規に基づき、職務の範囲内で処理しなければならない。
第十条 本规定自2022年9月30日起施行。 第 10 条 この規定は、2022 年 9 月 30 日から施行する。

 

そういえば、偽情報の取締りについても

・2022.09.02 中央网信办部署开展“清朗·打击网络谣言和虚假信息”专项行动

 

 

1_20210612030101

 

 

| | Comments (0)

2022.09.11

英国 ICO プライバシー強化技術に関するガイダンス案を発表

こんにちは、丸山満彦です。

英国の情報コミッショナー事務局が、 プライバシー強化技術に関するガイダンス案を発表し、意見募集をしていますね。。。

これは、2022.09.07-08にドイツのボンで開催されるG7データ保護・プライバシー当局の2022年円卓会議に先立って発表されたもので、PETsに関する作業をG7関係者に紹介し、責任あるPETsの革新的利用支援のための国際合意を促すことを考えているようですね。。。

英米両国にとっての、産業政策の一環でもあるのでしょうね。。。

 

Information Commissioner's Office: ICO

・2022.09.07 ICO publishes guidance on privacy enhancing technologies

 

ICO publishes guidance on privacy enhancing technologies ICO、プライバシー強化技術に関するガイダンスを発表
The Information Commissioner’s Office (ICO) has published draft guidance on privacy-enhancing technologies (PETs) to help organisations unlock the potential of data by putting a data protection by design approach into practice.  情報コミッショナー事務局(ICO)は、設計によるデータ保護(Data Protection by Design)アプローチを実践することにより、組織がデータの潜在能力を引き出せるよう、プライバシー強化技術(PETs)に関するガイダンスのドラフトを発表した。 
PETs are technologies that can help organisations share and use people’s data responsibly, lawfully, and securely, including by minimising the amount of data used and by encrypting or anonymising personal information. They are already used by financial organisations when investigating money laundering, for example, and by the healthcare sector to provide better health outcomes and services to the public.  PETsは、組織が責任を持って、合法的に、かつ安全に人々のデータを共有・利用するための技術であり、データの使用量を最小限に抑えたり、個人情報を暗号化や匿名化したりすることなどが含まれる。金融機関ではマネーロンダリングの調査などに、ヘルスケア分野ではより良い健康状態の実現や国民へのサービス提供などに、すでに利用されている。 
The draft PETs guidance explains the benefits and different types of PETs currently available, as well as how they can help organisations comply with data protection law. It is part of the ICO’s draft guidance on anonymisation and pseudonymisation, and the ICO is seeking feedback to help refine and improve the final guidance.  PETsガイダンス案は、現在利用可能なPETsの利点と種類、および組織がデータ保護法を遵守するためにPETsがどのように役立つかを説明している。このガイダンス案は、ICOの匿名化および仮名化に関するガイダンス案の一部であり、ICOは最終ガイダンスの洗練と改善に資するフィードバックを求めている。 
By enabling organisations to share and collaboratively analyse sensitive data in a privacy-preserving manner, PETs open up unprecedented opportunities to harness the power of data through innovative and trustworthy applications. The UK and US governments have launched a set of prize challenges to unleash the potential of PETs to tackle combat global societal challenges, supported by the ICO. PETは、組織がプライバシーを保護した形で機密データを共有し、共同で分析できるようにすることで、革新的で信頼できるアプリケーションを通じてデータの力を活用する前例のない機会を提供する。 英米両政府は、ICOの支援を受けて、グローバルな社会的課題に取り組むためにPETsの潜在能力を引き出すための一連の懸賞課題を立ち上げた。
John Edwards, UK Information Commissioner, said:   英国情報コミッショナーのJohn Edwardsは、次のように述べている。  
“Although the use of PETs is in its early stages, it can unlock safe and lawful data sharing where people can enjoy better services and products without trading their privacy rights. In the UK, one example is the NHS building a system for linking patient data across different organisational domains.  「PETの利用は初期段階であるが、安全で合法的なデータ共有が可能になり、人々はプライバシー権を犠牲にすることなく、より良いサービスや製品を享受できるようになる。英国では、NHSが異なる組織領域間で患者データをリンクさせるシステムを構築しているのがその一例である。 
“Today’s draft guidance is part of my office’s strategy for the next three years, where we will be supporting the responsible use and sharing of personal information to drive innovation and economic growth. PETs have the potential to do that, so we look forward to hearing from industry and other stakeholders on how our guidance can help them achieve this.”   本日のガイダンス案は、今後3年間の私の事務所の戦略の一部であり、イノベーションと経済成長を促進するために、個人情報の責任ある利用と共有を支援するものである。PETはそのための可能性を秘めており、我々のガイダンスがその実現にどのように役立つか、産業界やその他の関係者から意見を聞くことを楽しみにしている。」 
The PETs draft guidance has been published ahead of the 2022 roundtable of G7 data protection and privacy authorities taking place in Bonn, Germany on 7-8 September, where the ICO will present its work on PETs to its G7 counterparts and encourage international agreement for the support of responsible and innovative use of PETs. PETsガイダンス案は、9月7日~8日にドイツのボンで開催されるG7データ保護・プライバシー当局の2022年円卓会議に先立って発表され、ICOはPETsに関する作業をG7関係者に紹介し、責任あるPETsの革新的利用支援のための国際合意を促す予定である。
As part of this, the ICO will call for the development of industry-led governance, such as codes of conduct and certification schemes, to help organisations use PETs responsibly and to help PETs developers and providers to build the technology with data protection and privacy at the forefront.  その一環として、ICOは、組織が責任を持ってPETsを利用し、PETsの開発者やプロバイダーがデータ保護とプライバシーを最優先にして技術を構築できるよう、行動規範や認証制度など、業界主導のガバナンスの開発を呼びかける予定である。 
Mr Edwards said: エドワーズ氏は次のように述べている。
“It’s not just regulators that need to take action – we need the industry to step up, too. We want organisations to come to us with codes of conduct and certification schemes, for example, to show their commitment to building services or products that are designed in a privacy-friendly way and that protect people’s data.” 「行動を起こす必要があるのは規制当局だけではない。例えば、プライバシーに配慮した設計で、人々のデータを保護するサービスや製品を作るという約束を示すために、行動規範や認証制度を持って、私たちのところに来てほしい。」
Notes to Editors  編集後記 
About the G7 2022 Regulator’s Roundtable G7 2022 規制当局者ラウンドテーブルについて
Under Germany’s 2022 G7 presidency, the German Federal Commissioner for Data Protection and Freedom of Information, Bundesbeauftragter für den Datenschutz und die Informationsfreiheit (BfDI), is convening a G7 data protection and privacy authorities roundtable in Bonn, Germany on 7-8 September 2022. The UK Information Commissioner’s Office held the first roundtable in September 2021. ドイツの2022年G7議長国の下、データ保護と情報の自由のためのドイツ連邦コミッショナー、Bundesbeauftragter für den Datenschutz und die Informationsfreiheit(BfDI)は、2022年9月7~8日にドイツのボンでG7データ保護およびプライバシー当局ラウンドテーブルを開催する。 英国情報コミッショナー庁は、2021年9月に最初のラウンドテーブルを開催した。
Each G7 authority will present a specific technology or innovation issue of importance to the growing global economy where closer cooperation is needed. G7の各当局は、成長する世界経済にとって重要で、より緊密な協力が必要とされる特定の技術やイノベーションの問題を提示する予定である。
The G7 data protection and privacy authorities consist of:  G7のデータ保護とプライバシーに関する当局の構成は以下の通りである。 
Office of the Privacy Commissioner (Canada) プライバシー・コミッショナー室(カナダ)
Commission Nationale de l’Informatique et des Libertés (France) フランス:フランス情報自由委員会
Federal Commissioner for Data Protection and Freedom of Information, BfDI (Germany) ドイツ:データ保護と情報の自由のための連邦委員会(BfDI)
Garante per la Protezione dei Dati Personali (Italy) イタリア:個人情報保護委員会
Personal Information Protection Commission, 個人情報保護委員会 (Japan) 日本:個人情報保護委員会
Information Commissioner’s Office (UK) 英国:情報コミッショナー事務所
Federal Trade Commission (United States of America) 米国:連邦取引委員会 

 

・[PDF] Chapter 5: Privacy-enhancing technologies (PETs)

20220911-70143

 

Chapter 5: Privacy-enhancing technologies (PETs)  第5章:プライバシー強化技術(PETs) 
Contents 内容
How can PETs help with data protection compliance? PETsはデータ保護コンプライアンスにどのように役立つか?
What are privacy-enhancing technologies (PETs)? プライバシー強化技術(PET)とは何か?
How do PETs relate to data protection law? PETs はデータ保護法とどのような関係がある?
What are the benefits of PETs? PETs の利点は何か?
What are the risks of using PETs? PETs を使用するリスクは何か?
What are the different types of PETs? PETs にはどのような種類があるか?
Are PETs anonymisation techniques? PETs は匿名化技術か?
When should we consider using PETs? どのような場合に PETs の利用を検討すべきか?
How should we decide whether or not to use PETs? PETs を使用するかどうかは、どのように判断すべきか?
How do we determine the maturity of a PET? PETs の成熟度はどのように判断するか?
What PETs are there? どのようなPETsがあるのか?
Introduction はじめに
Homomorphic encryption (HE) 準同型暗号 (HE)
Secure multiparty computation (SMPC) 秘匿マルチパーティ計算(SMPC)
Private set intersection (PSI) プライベート共通集合(PSI)
Federated learning 連合学習
Trusted execution environments 信頼可能な実行環境
Zero-knowledge proofs ゼロ知識証明
Differential privacy 差分プライバシー
Synthetic data 合成データ
Reference table 参照表

 

 

全体についてはこちらに...

ICO call for views: Anonymisation, pseudonymisation and privacy enhancing technologies guidance

 

今のところは、、、

ICO call for views: Anonymisation, pseudonymisation and privacy enhancing technologies guidance ICOの意見募集 匿名化、仮名化、プライバシー強化技術ガイダンス
This consultation closes on 16 September 2022; このコンサルテーションは2022年9月16日に締め切る。
How do we ensure anonymisation is effective? 匿名化が効果的であることをどのように確認するか?
The ICO is calling for views on its updated draft guidance on anonymisation, pseudonymisation and privacy enhancing technologies. We are sharing our thinking in stages to ensure we gather as much feedback as possible to help refine and improve the final guidance, on which we will carry out a formal consultation. ICOは、匿名化、仮名化、プライバシー強化技術に関するガイダンスの最新ドラフトについて意見を求めている。最終的なガイダンスの洗練と改善のため、できるだけ多くのフィードバックを集められるよう、段階的に考え方を共有しており、それについて正式なコンサルテーションを実施する予定である。
In our first chapter ‘Introduction to Anonymisation’ we outlined the legal, policy and governance issues around the application of anonymisation in the context of data protection law. We are grateful for the feedback we have received from many organisations across different sectors. 第1章「匿名化の紹介」では、データ保護法の文脈における匿名化の適用に関する法律、政策、ガバナンスの問題について概説した。さまざまな分野の多くの組織からいただいたフィードバックに感謝している。
Our second chapter ‘Identifiability’ focuses on how to assess anonymisation in the context of identifiability. We explore the concept of a spectrum of identifiability, data sharing scenarios, the motivated intruder and reasonably likely tests as well as guidance on managing re-identification risk. These key principles set out our views on effective anonymisation and we welcome your feedback. 第2章「識別可能性」では、識別可能性の観点から匿名化を評価する方法に焦点を当てます。識別可能性のスペクトルの概念、データ共有のシナリオ、動機付けされた侵入者、合理的可能性のテスト、および再識別リスクのマネジメントに関するガイダンスを検討する。これらの主要原則は、効果的な匿名化に関する我々の見解を示したものであり、皆様からの意見を待っている。
Our third chapter ‘pseudonymisation’ explains the key differences between pseudonymisation and anonymisation. We also explore how pseudonymisation can help to reduce risk and allow personal data to be processed for other purposes. The chapter also provides guidance on how to approach pseudonymisation and the DPA 2018 re-identification offence. These key topics set out our views on how pseudonymisation can be used effectively and we welcome your feedback. 第3章「仮名化」では、仮名化と匿名化の主な違いについて説明している。また、仮名化がどのようにリスク軽減に役立ち、個人データを他の目的で処理することを可能にするのかについても説明している。この章では、仮名化およびDPA 2018の再識別違反にどのようにアプローチするかについてのガイダンスも提供している。これらの重要なトピックでは、仮名化を効果的に使用する方法に関する私たちの見解を示しており、皆様からの意見を待っている。
Our fourth chapter ‘Accountability and governance’ explains the governance approach you should take when you anonymise personal data. We explore the factors you need to consider for ensuring transparency such as using DPIAs to identify and mitigate risks and keeping up to date with technical and legal developments to ensure anonymisation remains effective. The chapter also provides guidance on other relevant legislation you should consider when disclosing anonymous information. These key topics set out our views on how you should approach your accountability and governance obligations when anonymising personal data and we welcome your feedback. 第4章「説明責任とガバナンス」では、個人データを匿名化する際に取るべきガバナンスアプローチについて説明している。DPIAを使用してリスクを特定・軽減し、匿名化の効果を維持するための技術的・法的発展に関する最新情報を入手するなど、透明性を確保するために考慮すべき要素を探ります。また、匿名化された情報を開示する際に考慮すべき他の関連法規に関するガイダンスも提供している。これらの主要なトピックは、個人情報を匿名化する際に、説明責任とガバナンスの義務にどのように対処すべきかについての我々の見解を示したものであり、皆様の意見を待っている。
We will continue to publish draft chapters for comment at regular intervals. As outlined in Building on the data sharing code – our plans for anonymisation guidance, chapters to follow include: 今後も定期的に章立てのドラフトを公開し、意見を求める予定である。データ共有コードの構築 - 匿名化ガイダンスの計画」で説明したように、次のような章が予定されている。
・Anonymisation and research - how anonymisation and pseudonymisation apply in the context of research; ・匿名化と研究 - 匿名化および仮名化の研究への適用方法
・Guidance on privacy enhancing technologies (PETs) and their role in safe data sharing; ・プライバシー強化技術(PETs)に関するガイダンスと安全なデータ共有におけるその役割。
・Technological solutions – exploring possible options and best practices for implementation; and ・技術的解決策 - 可能なオプションと実装のためのベストプラクティスを探る。
・Data sharing options and case studies – supporting organisations to choose the right data sharing measures in a number of contexts including sharing between different organisations and open data release. Developed with key stakeholders, our case studies will demonstrate best practice. ・データ共有の選択肢とケーススタディ -異なる組織間の共有やオープンデータの公開など、様々な状況において組織が適切なデータ共有手段を選択できるよう支援する。主要なステークホルダーとともに開発されたケーススタディは、ベストプラクティスを示すものである。
Input at this early stage can make a significant difference as we will use the responses we receive to inform our work in developing the guidance. この初期段階での意見は、ガイダンスの開発における我々の作業に反映されるため、大きな変化をもたらす可能性がある。
This call for views is the first stage in the process and we will consult on the full draft guidance in the autumn. You can provide your feedback by emailing anonymisation@ico.org.uk. この意見募集はプロセスの第一段階であり、秋にはガイダンスの全ドラフトについて協議する予定である。意見は、anonymisation@ico.org.uk までメールすること。
When submitting your views, please specify to which chapter you are referring. 意見を寄せる際には、どの章について言及されているのかを明記すること。
Further Reading 参考文献
Chapter 1: introduction to anonymisation 第1章: 匿名化についての紹介
Chapter 2: How do we ensure anonymisation is effective? 第2章:匿名化が効果的であることをどのように確認するか?
Chapter 3: pseudonymisation 第3章: 仮名化
Chapter 4: Accountability and governance 第4章:説明責任とガバナンス
Chapter 5: Privacy-enhancing technologies 第5章:プライバシー強化技術

 

 

過去分も...


・[PDF] Chapter 1: introduction to anonymisation

20220911-71614

 

Chapter 1: introduction to anonymisation 第1章: 匿名化についての紹介
Contents 目次
About this guidance 本ガイダンスについて
Why have you produced this guidance? なぜこのガイダンスを作成したのか?
What is this guidance about? このガイダンスは何について書かれたものか?
Who is this guidance for? このガイダンスは誰のためのものか?
How is this guidance structured? このガイダンスの構成はどうなっているか?
Introduction to anonymisation 匿名化の紹介
What is personal data? 個人情報とは何か?
What is anonymous information? 匿名化とは何か?
What is anonymisation? 匿名化とは何か?
Is anonymisation always necessary? 匿名化は常に必要であるか?
Is anonymisation always possible? 匿名化は常に可能であるか?
What are the benefits of anonymisation? 匿名化にはどのような利点があるか?
If we anonymise personal data, does this count as processing? 個人情報を匿名化した場合、それは処理とみなされるか?
What is pseudonymisation? 仮名化とは何か?
What about ‘de-identified’ personal data? 「非識別化」された個人データについてはどうであるか?
What is the difference between anonymisation and pseudonymisation? 匿名化と仮名化の違いは何か?
What are the benefits of pseudonymisation? 仮名化のメリットは何か?

 


・[PDF] Chapter 2: How do we ensure anonymisation is effective?

20220911-71628

 

Chapter 2: How do we ensure anonymisation is effective? 第2章:匿名化が効果的であることをどのように確認するか?
Contents 目次
How do we ensure anonymisation is effective? 匿名化が効果的であることを確認するにはどうすればよいか?
What should our anonymisation process seek to achieve? 匿名化プロセスは何を達成することを目指すべきか?
What is identifiability? 識別可能性とは何か?
What are the key indicators of identifiability? 識別可能性の主な指標は何か。
What is the “spectrum of identifiability”? 「識別可能性の範囲」とは何か?
What does data protection law say about assessing identifiability risk? 識別可能性のリスク評価について、データ保護法はどのように説明しているか?
How should we approach this assessment? この評価にはどのようにアプローチすべきか?
What factors should we include? どのような要素を含めるべきか?
What is the “motivated intruder” test? 「動機付けされた侵入」テストとは何か?
What information can a motivated intruder use? 動機付けされた侵入はどのような情報を利用することができるか?
Do we need to consider who else may be able to identify individuals from the data? データから個人を特定できる可能性のある人物を考慮する必要があるか?
When should we review our identifiability assessments? 識別可能性評価はいつ見直すべきか?
Deciding when and how to release data データの公開方法と日付を決定する

 


・[PDF] Chapter 3: pseudonymisation

20220911-71641

 

Chapter 3: pseudonymisation 第3章: 仮名化
Contents 目次
Pseudonymisation 仮名化
What is pseudonymisation? 仮名化とは何か?
Is pseudonymised data still personal data? 仮名化されたデータも個人データなのか?
What is the difference between pseudonymisation and anonymisation? 仮名化と匿名化の違いは何か?
What are the benefits of pseudonymisation? 仮名化のメリットは何か?
Pseudonymisation can help you to reduce risk 仮名化処理によりリスクを低減することができる
Pseudonymisation can help you process data for other purposes 仮名化処理により、他の目的のためにデータを処理することができる
Are there any offences relating to pseudonymisation? 仮名化処理に関連する犯罪はあるか?
How should we approach pseudonymisation? どのように仮名化処理に取り組むべきか?

 


・[PDF] Chapter 4: Accountability and governance

20220911-71654

 

Chapter 4: Accountability and governance 第4章:説明責任とガバナンス
Contents 目次
What accountability and governance measures are needed for 匿名化にはどのような説明責任とガバナンスが必要であるか?
anonymisation? 匿名化にはどのような説明責任とガバナンスが必要か?
What governance approach should we take? どのようなガバナンスのアプローチを取るべきか?
Who should be responsible for our anonymisation process? 匿名化プロセスには誰が責任を持つべきであるか?
Should we do a Data Protection Impact Assessment? データ保護インパクトアセスメントを実施すべきか?
Are we clear about why we want to anonymise personal data? 個人データを匿名化する理由は明確であるか?
How should we work with other organisations, where necessary? 必要な場合、他の組織とどのように連携すべきか?
What type of disclosure is it? どのような種類の開示か?
How should we identify potentially difficult cases? 困難となりうるケースをどのように特定すべきか?
How should we ensure transparency? 透明性はどのように確保すべきか?
How should we ensure appropriate staff training? 適切なスタッフ教育をどのように確保すべきか?
How should we keep updated with legal and technical developments? 法的・技術的な進展に対応するために、どのように最新情報を入手すべきか?
How should we mitigate re-identification risk due to a security incident? セキュリティ・インシデントによる再識別のリスクをどのように軽減すべきか?
What other legal considerations apply? 他にどのような法的考慮事項があるか?

 

 

| | Comments (0)

2022.09.10

NIST SP 800-90C(ドラフト)ランダムビット生成器(RBG)の構成に関する推奨事項(第3ドラフト)とNISTIR 8427 (ドラフト) SP 800 90 シリーズの完全エントロピーの仮定に関する考察

こんにちは、丸山満彦です。

NISTが、SP 800-90C(ドラフト)「ランダムビット生成器(RBG)の構成に関する推奨事項(第3ドラフト)」とNISTIR 8427 (ドラフト) 「SP 800 90 シリーズの完全エントロピーの仮定に関する考察」を公表し、意見を募集していますね。。。

NIST - ITL

・2022.09.07 SP 800-90C (Draft) Recommendation for Random Bit Generator (RBG) Constructions (3rd Draft)

 

SP 800-90C (Draft) Recommendation for Random Bit Generator (RBG) Constructions (3rd Draft) SP 800-90C(ドラフト)ランダムビット生成器(RBG)の構成に関する推奨事項(第3ドラフト)
Announcement 発表内容
The NIST SP 800-90 series of documents supports the generation of high-quality random bits for cryptographic and non-cryptographic use. SP 800-90A specifies several deterministic random bit generator (DRBG) mechanisms based on cryptographic algorithms. SP 800-90B provides guidance for the development and validation of entropy sources. SP 800-90C specifies constructions for the implementation of random bit generators (RBGs) that include DRBG mechanisms as specified in SP 800-90A and that use entropy sources as specified in SP 800-90B. NIST SP 800-90 シリーズは、暗号および非暗号用の高品質なランダムビットの生成をサポートする文書である。 SP 800-90Aは、暗号アルゴリズムに基づくいくつかの決定論的ランダムビット生成器(DRBG)機構を規定している。SP 800-90Bは、エントロピー源の開発および検証のためのガイダンスを提供する。SP 800-90Cは、SP 800-90Aで規定されたDRBGメカニズムを含み、SP 800-90Bで規定されたエントロピー源を使用するランダムビット生成器(RBG)の実装のための構造を規定する。
This draft includes constructions for three classes of RBGs: このドラフトには、3つのクラスのRBGの構成が含まれている。
An RBG1 construction provides random bits from a device that is initialized from an external RBG. RBG1の構成は、外部RBGから初期化されたデバイスからランダムビットを提供する。
An RBG2 construction includes an entropy source that is available on demand. RBG2の構成は、オンデマンドで利用可能なエントロピー源を含む。
An RBG3 construction includes an entropy source that is continuously accessed to provide output with full entropy. RBG3の構成は、完全なエントロピーの出力を提供するために継続的にアクセスされるエントロピー源を含む。
SP 800-90C includes a note to readers, guidance for accessing and handling the entropy sources in SP 800-90B, specifications for the initialization and use of the three RBG constructions that incorporate the DRBGs from SP 800-90A, and guidance on health testing and implementation validation using NIST's Cryptographic Algorithm Validation Program (CAVP) and the Cryptographic Module Validation Program (CMVP) that is jointly operated by NIST and the Canadian Centre for Cyber Security (CCCS). SP 800-90Cには、読者への注意事項、SP 800-90Bのエントロピー源へのアクセスと取り扱いの指針、SP 800-90AのDRBGを組み込んだ3つのRBG構造の初期化と使用の仕様、NISTの暗号アルゴリズム検証プログラム(CAVP)とNISTとカナダ・サイバーセキュリティセンター(CCCS)が共同で運営している暗号モジュール検証プログラム(CMVP)による健康テストと実装検証の指針が含まれている。
Abstract 概要
The NIST Special Publication (SP) 800-90 series of documents supports the generation of high-quality random bits for cryptographic and non-cryptographic use. SP 800-90A specifies several deterministic random bit generator (DRBG) mechanisms based on cryptographic algorithms. SP 800-90B provides guidance for the development and validation of entropy sources. This document (SP 800-90C) specifies constructions for the implementation of random bit generators (RBGs) that include DRBG mechanisms as specified in SP 800-90A and that use entropy sources as specified in SP 800-90B. Constructions for three classes of RBGs (namely, RBG1, RBG2, and RBG3) are specified in this document. NIST Special Publication (SP) 800-90シリーズは、暗号および非暗号用の高品質なランダムビットの生成をサポートする文書である。SP 800-90Aは、暗号アルゴリズムに基づくいくつかの決定論的ランダムビット生成器(DRBG)機構を規定している。SP 800-90Bは、エントロピー源の開発および検証のためのガイダンスを提供する。本文書(SP 800-90C)は、SP 800-90Aで規定されたDRBGメカニズムを含み、SP 800-90Bで規定されたエントロピー源を使用するランダムビット生成器(RBG)の実装のための構造を規定するものである。本文書では、3つのクラスのRBG(すなわち、RBG1、RBG2、およびRBG3)に対する構成が規定されている。

 

SP 800-90C (Draft)

20220910-62051

 

1. Introduction and Purpose 1. 序論と目的
1.1. Audience 1.1. 対象者
1.2. Document Organization 1.2. 文書の構成
2. General Information 2. 一般情報
2.1 RBG Security 2.1 RBGのセキュリティ
2.2. RBG Constructions 2.2. RBGの構成
2.3. Sources of Randomness for an RBG 2.3. RBGの乱数源
2.4. DRBGs 2.4. DRBG
2.4.1. DRBG Instantiations 2.4.1. DRBGのインスタンス化
2.4.2. DRBG Reseeding, Prediction Resistance, and Recovery from Compromise 2.4.2. DRBGの再定義、予測耐性、および妥協からの回復
2.5. RBG Security Boundaries 2.5. RBGのセキュリティ境界
2.6. Assumptions and Assertions 2.6. 前提条件とアサーション
2.7. General Implementation and Use Requirements and Recommendations 2.7. 一般的な実装と使用の要件と推奨事項
2.8. General Function Calls 2.8. 一般的な関数呼び出し
2.8.1. DRBG Functions 2.8.1. DRBG関数
2.8.2. Interfacing with Entropy Sources Using the GetEntropy and Get_ES_Bitstring Functions 2.8.2. GetEntropyおよびGet_ES_Bitstring関数を使用したエントロピー源とのインターフェイス
2.8.3. Interfacing with an RBG3 Construction 2.8.3. RBG3構築とのインターフェイス
3. Accessing Entropy Source Output 3. エントロピー源の出力へのアクセス
3.1. The Get_ES_Bitstring Function 3.1. Get_ES_Bitstring関数
3.2. Entropy Source Requirements 3.2. エントロピー源の要件
3.3. External Conditioning to Obtain Full-Entropy Bitstrings 3.3. 完全エントロピーのビット列を取得するための外部条件付け
3.3.1. Conditioning Function Calls 3.3.1. 条件付けのための関数呼び出し
3.3.2. Using a Vetted Conditioning Function to Obtain Full-Entropy Bitstrings 3.3.2. 吟味された状態関数による完全エントロピー・ビット変数の取得
4. RBG1 Constructions Based on RBGs with Physical Entropy Sources 4. 物理エントロピー源を持つRBGに基づくRBG1の構成
4.1. RBG1 Description 4.1. RBG1の説明
4.2. Conceptual Interfaces 4.2. 概念的インターフェイス
4.2.1. Instantiating the DRBG in the RBG1 Construction 4.2.1. RBG1構築におけるDRBGのインスタンス化
4.2.2. Requesting Pseudorandom Bits 4.2.2. 疑似ランダムビットの要求
4.3. Using an RBG1 Construction with Subordinate DRBGs (Sub-DRBGs) 4.3. 下位DRBG(Sub-DRBG)を持つRBG1の構成の使用
4.3.1. Instantiating a Sub-DRBG 4.3.1. Sub-DRBGのインスタンス化
4.3.2. Requesting Random Bits 4.3.2. ランダムビットの要求
4.4. Requirements 4.4. 要求事項
4.4.1. RBG1 Requirements 4.4.1. RBG1 の要件
4.4.2. Sub-DRBG Requirements 4.4.2. サブDRBGの要件
5. RBG2 Constructions Based on Physical and/or Non-Physical Entropy Sources 5. 物理的・非物理的エントロピー源に基づくRBG2 の構成
5.1 RBG2 Description 5.1 RBG2 の説明
5.2. Conceptual Interfaces 5.2. 概念的インターフェイス
5.2.1. RBG2 Instantiation 5.2.1. RBG2のインスタンス化
5.2.2. Requesting Pseudorandom Bits from an RBG2 Construction 5.2.2. RBG2の構成からの疑似ランダムビットの要求
5.2.3. Reseeding an RBG2 Construction 5.2.3. RBG2構築のReseeding
5.3. RBG2 Requirements 5.3. RBG2 の要件
6. RBG3 Constructions Based on Physical Entropy Sources 6. 物理エントロピー源に基づくRBG3の構成
6.1. General Requirements 6.1. 一般要件
6.2. RBG3(XOR) Construction 6.2. RBG3(XOR)構成
6.2.1. Conceptual Interfaces 6.2.1. 概念的なインターフェイス
6.2.2. RBG3(XOR) Requirements 6.2.2. RBG3(XOR)の要件
6.3. RBG3(RS) Construction 6.3. RBG3(RS)の構成
6.3.1. Conceptual Interfaces 6.3.1. 概念的インターフェイス
6.3.2. Requirements for a RBG3(S) Construction 6.3.2. RBG3の構成のための要件
7. Testing 7. テスト
7.1. Health Testing 7.1. 健康テスト
7.1.1. Testing RBG Components 7.1.1. RBGコンポーネントのテスト
7.1.2. Handling Failures 7.1.2. 不具合への対応
7.2. Implementation Validation 7.2. 実装の検証
References 参考文献
Appendix A Entropy vs. Security Strength (Informative) 附属書A エントロピーとセキュリティ強度の比較 (参考)
A.1. Entropy A.1. エントロピー
A.2. Security Strength A.2. セキュリティ強度
A.3. A Side-by-Side Comparison A.3. サイドバイサイドの比較
A.4. Entropy and Security Strength in this Recommendation A.4. 本提言におけるエントロピーとセキュリティの強さ
Appendix B. RBG Examples (Informative) 附属書B. RBGの例(参考)
B.1. Direct DRBG Access in an RBG3 Construction B.1. RBG3構築におけるDRBGへの直接アクセス
B.2. Example of an RBG1 Construction B.2. RBG1構築の例
B.2.1. Instantiation of the RBG1 Construction B.2.1. RBG1構造のインスタンス化
B.2.2. Generation by the RBG1 Construction B.2.2. RBG1コンストラクションによる生成
B.3. Example Using Sub-DRBGs Based on an RBG1 Construction B.3. RBG1構文に基づくサブDRBGの使用例
B.3.1. Instantiation of the Sub-DRBGs B.3.1. Sub-DRBGのインスタンス化
B.3.1.1. Instantiating Sub-DRBG1 B.3.1.1. Sub-DRBG1 のインスタンス化
B.3.1.2. Instantiating Sub-DRBG2 B.3.1.2. サブDRBG2のインスタンス化
B.3.2. Pseudorandom Bit Generation by Sub-DRBGs B.3.2. サブDRBGによる疑似ランダムビット生成

 

レビュー上の留意事項

Note to Reviewers   査読者への留意事項  
1.     This draft of SP800-90C describes three RBG constructions. Note that in this draft, a nondeterministic random bit generator (NRBG) is presented as an RBG3 construction.  1.     このSP800-90Cドラフトは、3つのRBGの構成について記述している。なお、この草案では、非決定性ランダムビット発生器(NRBG)は、RBG3の構成として示されている。
Question: In a future revision of SP 800-90C, should other constructions be included?  質問 SP 800-90Cの将来の改訂において、他の構成も含めるべきか。
This version of SP 800-90C does not address the use of an RBG software implementation in which a) a cryptographic library or an application is loaded into a system and b) the software accesses entropy sources or RBGs already associated with the system for its required randomness. NIST intends to address this situation in the near future.  SP 800-90Cの本バージョンでは、a) 暗号ライブラリまたはアプリケーションがシステムにロードされ、b) ソフトウェアがその必要なランダム性のためにシステムに既に関連付けられたエントロピー源またはRBGにアクセスするRBGソフトウェア実装の使用については対処していない。NISTは近い将来、この状況に対処する予定である。
2.     The RBG constructions provided in this draft use NIST-approved cryptographic primitives (such as block ciphers and hash functions) as underlying components. Note that non-vetted conditioning components may be used within SP 800-90B entropy sources.  2.     本ドラフトで提供するRBGの構成は、NISTが承認した暗号プリミティブ(ブロック暗号やハッシュ関数など)を基本コンポーネントとして使用している。SP 800-90Bのエントロピー源では、認証されていない条件付けの構成要素が使用される可能性があることに注意すること。
Although NIST still allows three-key TDEA as a block-cipher algorithm, Section 4 of [SP800131A] indicates that its use is deprecated through 2023 and will be disallowed thereafter for applying cryptographic protection. This document (i.e., SP 800-90C) does not approve the use of three-key TDEA in an RBG.  NISTはブロック暗号アルゴリズムとして3鍵TDEAをまだ許可しているが、[SP800131A]のセクション4は、その使用が2023年まで非推奨であり、それ以降は暗号保護の適用に不許可となることを示すものである。本文書(すなわち、SP 800-90C)は、RBGにおける3鍵TDEAの使用を承認していない。
Although SHA-1 is still approved by NIST, NIST is planning to remove SHA-1 from a future revision of FIPS 180-4, so the SP 800-90 series will not be including the use of SHA-1.  SHA-1はまだNISTによって承認されているが、NISTはFIPS 180-4の将来の改訂からSHA-1を削除することを計画しているため、SP 800-90シリーズではSHA-1の使用を含めない予定である。
The use of the SHA-3 hash functions are approved in SP 800-90C for Hash_DRBG and HMAC_DRBG but are not currently included in [SP800-90A]. SP 800-90A will be revised to exclude the use of TDEA and SHA-1 and include the use of the SHA-3 family of hash functions.  SHA-3ハッシュ関数の使用は、SP800-90CではHash_DRBGとHMAC_DRBGで承認されているが、現在[SP800-90A]には含まれていない。SP 800-90Aは、TDEAとSHA-1の使用を除外し、ハッシュ関数のSHA-3ファミリーの使用を含むように改訂される予定である。
3.     Since the projected date for requiring a minimum security strength of 128 bits for U.S. Government applications is 2030 (see [SP800-57Part1]), RBGs are only specified to provide 128, 192, and 256 bits of security strength (i.e., the 112-bit security strength has been removed). Note that a consuming application may still request a lower security strength, but the RBG output will be generated at the instantiated security strength.  3.     米国政府のアプリケーションに128ビットの最小セキュリティ強度を要求する予定日は2030年であるため([SP800-57Part1]を参照)、RBGは128、192、256ビットのセキュリティ強度のみを提供するように規定される(すなわち、112ビットのセキュリティ強度は削除された)。消費者アプリケーションはより低いセキュリティ強度を要求することができるが、RBG出力はインスタンス化されたセキュリティ強度で生成されることに注意すること。
4.     Guidance is provided for accessing entropy sources and for obtaining full-entropy bits using the output of an entropy source that does not inherently provide full-entropy output (see Section 3.3).  4.     エントロピー源へのアクセス、および本来完全エントロピー出力を提供しないエントロピー源の出力を使用して完全エントロピー・ビットを取得するためのガイダンスが提供される (セクション3.3参照)。
5.     SP 800-90A requires that when instantiating a CTR_DRBG without a derivation function, the randomness source needs to provide full-entropy bits (see SP 800-90A). However, this draft (SP 800-90C) relaxes this requirement in the case of an RBG1 construction, as specified in Section 4. In this case, the external randomness source may be another RBG construction. An addendum to SP 800-90A has been prepared as a temporary specification in SP 800-90C, but SP 800-90A will be revised in the future to accommodate this change.  5.     SP 800-90Aでは、導出関数を持たないCTR_DRBGをインスタンス化する場合、乱数源は完全エントロピー・ビットを提供する必要があると規定している(SP 800-90Aを参照)。しかし、この草案 (SP 800-90C) では、セクション 4 で規定されているように、RBG1 構築の場合にこの要求が緩和される。この場合、外部の乱数源は他のRBGの構成であってもよい。SP 800-90Cの暫定仕様として、SP 800-90Aの補遺が作成されたが、SP 800-90Aはこの変更に対応するため、将来的に改訂される予定である。
6.     The DRBG used in RBG3 constructions supports a security strength of 256 bits. The RBG1 and RBG2 constructions may support any valid security strength (i.e., 128, 192 or 256 bits).  6.     RBG3の構成で使用されるDRBGは、256ビットのセキュリティ強度をサポートしている。RBG1およびRBG2の構成は、任意の有効なセキュリティ強度(すなわち、128、192または256ビット)をサポートすることができる。
7.     SP 800-90A currently allows the acquisition of a nonce (when required) for DRBG instantiation from any randomness source. However, SP 800-90C does not include an explicit requirement for the generation of a nonce when instantiating a DRBG. Instead, additional bits beyond those needed for the security strength are acquired from the randomness source. SP 800-90A will be revised to agree with this change.  7.     7. SP 800-90Aでは、DRBGインスタンス化のためのnonce(必要な場合)を任意の乱数源から取得することが可能である。しかし、SP 800-90Cでは、DRBGのインスタンス化の際にnonceを生成する明確な要件は含まれていない。その代わり、セキュリティ強度に必要なビット以外の追加ビットを乱数源から取得する。この変更に伴い、SP 800-90Aも改訂される予定である。
8.     SP 800-90C allows the use of both physical and non-physical entropy sources. See the definitions of physical and non-physical entropy sources in Appendix E. Also, multiple validated entropy sources may be used to provide entropy, and two methods are provided in Section 2.3 for counting the entropy provided in a bitstring.  8.     SP 800-90Cでは、物理的および非物理的なエントロピー源を使用することが認められている。附属書Eの物理的及び非物理的エントロピー源の定義を参照されたい。また、複数の有効なエントロピー源を使用してエントロピーを提供することができ、ビットストリングに提供されるエントロピーをカウントするための2つの方法がセクション2.3で提供されている。
9.     The CMVP is considering providing information on an entropy source validation certificate that indicates whether an entropy source is physical or non-physical.  9.     CMVPは、エントロピー源検証証明書において、エントロピー源が物理的か非物理的かを示す情報を提供することを検討している。
10.  The CMVP is developing a program to validate entropy sources against SP 800-90B with the intent of allowing the re-use of those entropy sources in different RBG implementations.  10.  CMVPは、異なるRBG実装におけるエントロピー源の再利用を可能にすることを意図して、SP 800-90Bに対してエントロピー源を検証するプログラムを開発中である。
Question: Are there any issues that still need to be addressed in SP 800-90C to allow the reuse of validated entropy sources in different RBG implementations? Note that in many cases, specific issues need to be addressed in the FIPS 140 implementation guide rather than in this document.  質問 異なる RBG 実装において検証されたエントロピー源の再利用を可能にするために、SP 800-90C においてまだ対処する必要がある問題はあるか?多くの場合、特定の問題は本文書ではなく、FIPS 140実装ガイドで対処される必要があることに留意されたい。

 

Other Parts of this Publication:

SP 800-90A Rev. 1

SP 800-90B


 

・2022.09.07 NISTIR 8427 (Draft) Discussion on the Full Entropy Assumption of the SP 800 90 Series

NISTIR 8427 (Draft) Discussion on the Full Entropy Assumption of the SP 800 90 Series NISTIR 8427 (ドラフト) SP 800 90 シリーズの完全エントロピーの仮定に関する考察
Announcement 発表
The NIST SP 800-90 series supports the generation of high-quality random bits for cryptographic and non-cryptographic use. The security of a random number generator depends on the unpredictability of its outputs, which can be measured in terms of entropy. The NIST SP 800-90 series uses min-entropy to measure entropy. A full-entropy bitstring has an amount of entropy equal to its length. Full-entropy bitstrings are important for cryptographic applications, as these bitstrings have ideal randomness properties and may be used for any cryptographic purpose. Due to the difficulty of generating and testing full-entropy bitstrings, the SP 800-90 series assumes that a bitstring has full entropy if the amount of entropy per bit is at least 1 - ε, where ε is at most 2-32. NIST IR 8427 provides a justification for the selection of ε. NIST SP 800-90シリーズは、暗号および非暗号用の高品質なランダムビットの生成をサポートしている。乱数生成器の安全性は、その出力の予測不可能性に依存し、これはエントロピーの観点から測定することができる。NIST SP 800-90シリーズでは、エントロピーを測定するために最小エントロピーを使用している。フルエントロピーのビット列は、その長さに等しい量のエントロピーを持つ。完全エントロピービット変数は、理想的なランダム性を持ち、あらゆる暗号用途に使用できるため、暗号用途に重要である。完全エントロピービット変数の生成とテストが困難なため、SP 800-90シリーズでは、ビットあたりのエントロピー量が少なくとも1 - ε(εは最大2-32)であれば完全エントロピーであると仮定しています。NIST IR 8427では、εを選択する正当な理由を説明している。
Abstract 概要
NIST SP 800-90 series support the generation of high-quality random bits for cryptographic and non-cryptographic use. The security of a random number generator depends on the unpredictability of its outputs, which can be measured in terms of entropy. NIST SP 800-90 series uses min-entropy to measure entropy. A full-entropy bitstring has an amount of entropy equal to its length. Full-entropy bitstrings are important for cryptographic applications, as these bitstrings have ideal randomness properties and may be used for any cryptographic purpose. Due to the difficulty of generating and testing full-entropy bitstrings, SP 800-90 series assume that a bitstring has full entropy if the amount of entropy per bit is at least 1 - ε, where ε is at most 2-32. This report provides a justification for the selection of ε. This is accomplished as follows.  The report begins by defining full entropy in terms of a hypothetical distinguishing game.  The report then derives two results following from this definition.  First, it is shown how output satisfying this definition can be generated using a conditioning function acting on data having a known entropy level.  Second, the actual entropy level of output produced by such a process is computed, thereby providing support for the selected value of ε. NIST SP 800-90シリーズは、暗号および非暗号用の高品質なランダムビットの生成をサポートしています。乱数生成器の安全性は、その出力の予測不可能性に依存し、これはエントロピーの観点から測定することができる。NIST SP 800-90シリーズでは、エントロピーを測定するために最小エントロピーを使用している。完全エントロピーのビット変数は、その長さに等しいエントロピー量を持つ。完全エントロピービット変数は、理想的なランダム性を持ち、あらゆる暗号用途に使用できるため、暗号用途に重要である。SP 800-90シリーズでは、完全エントロピービット変数の生成とテストが困難なため、ビットあたりのエントロピー量が少なくとも1 - ε(εは最大2-32)であればフルエントロピーを有すると仮定している。本報告書では、εの選択の正当性を以下のように示している。  まず、仮想的な区別ゲームの観点から完全エントロピーの定義を行う。  そして、この定義から2つの結果を導き出す。  第一に、既知のエントロピーを持つデータに対して作用する条件付け関数を用いて、この定義を満たす出力が生成されることを示す。  第二に、このようなプロセスによって生成された出力の実際のエントロピーレベルを計算し、それによって選択されたεの値の裏付けを行う。

 

・[PDF] NISTIR 8427 (Draft) 

20220910-63844

 

 

| | Comments (0)

個人情報保護委員会 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

こんにちは、丸山満彦です。

個人情報保護委員会で「第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会」が開催されていますね。。。資料は非公開です。。。

個人情報保護委員会

・2022.09.07 第6回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・[PDF] 議事次第 議事次第

・[PDF] 議事概要 議事概要

 

議事概要が興味深い...

 

・本報告書の対象とする空間的範囲について

・不法行為の成否と個人情報保護法(個情法)の関係について

・利用目的等の通知公表等について


○ カメラの設置場所において掲示を行うことについて、死角を明らかにすることによって利用目的の達成に支障が生じる場合とはどういう場合なのか、果たしてそういう場合があるのか。社会生活上悉皆的に捕捉する必要性はあり得るが、それはレーンやゲートにより管理するのであって、死角を明らかにしないことで初めて利用目的が達成できる場合とはどのような場合かというのは書いたほうが良い。それを書いた上で、たとえ死角を不明確にする場合であっても、一定の入り口への掲示が重要であるとしていただきたい。

(事務局)
○ 死角が明らかになり利用目的の達成に支障がある場合とは、例えば万引きが多発している場合に新たに設置してしまうと捕まえられなくなってしまうとか、駅や空港など立入りを禁じたい重要なシステムや部屋がある場合、死角を通り抜けて入ってしまうなど例外的な場合を想定している。


・不適正利用の禁止及び適正取得のための態様について

・従来型防犯カメラについての考え方

・従来型防犯カメラにより撮影した画像を第三者に提供する場合の考え方

・共同利用について

・事業者の自主的取組みとして求められる事項


○ いわゆる不審者検知のような、AIに不審者の行動を勉強させて、それに似た行動を取った人を検知していくというものを含んでいる場合に、差別的取扱いに注意しなければいけない。それとの関係で、影響評価とは何に関する影響評価なのか。差別的な問題を含めて考えると、通常のPIAよりも広い影響評価が必要ではないか。

○ 利用開始前からの広報について、「カメラ画像利活用ガイドブック」ではかねてからその重要性を提言している。

○ 運用開始後に第三者委員会を設置することについて、運用開始後もPIAのような検証を求めるのか。

(事務局)
○ 第三者委員会については、運営が適切に行われているかどうかということを検証するために設置することを提言している。


掲示案・Web サイト例について

・その他

Fig_20220201061401

 


 

● まるちゃんの情報セキュリティ気まぐれ日記

この委員会

・2022.06.24 個人情報保護委員会 第5回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.05.25 個人情報保護委員会 第4回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.04.17 個人情報保護委員会 第3回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.03.16 個人情報保護委員会 第2回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2022.02.01 個人情報保護委員会 第1回犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会

・2021.12.25 個人情報保護委員会 犯罪予防や安全確保のためのカメラ画像利用に関する有識者検討会の設置

 

| | Comments (0)

2022.09.09

米国 NSA 国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表

こんにちは、丸山満彦です。

米国の国家安全保障局が国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表していますね。。。

National Security Agency/Central Security Service

・2022.09.07 NSA Releases Future Quantum-Resistant (QR) Algorithm Requirements for National Security Systems

 

NSA Releases Future Quantum-Resistant (QR) Algorithm Requirements for National Security Systems NSA、国家安全保障システムのための将来の耐量子(QR)アルゴリズム要件を発表
The National Security Agency (NSA) released the “Commercial National Security Algorithm Suite 2.0” (CNSA 2.0) Cybersecurity Advisory (CSA) today to notify National Security Systems (NSS) owners, operators and vendors of the future quantum-resistant (QR) algorithms requirements for NSS — networks that contain classified information or are otherwise critical to military and intelligence activities. 国家安全保障局(NSA)は、国家安全保障システム(NSS)の所有者、運用者、ベンダーに対して、機密情報を含むネットワークや軍事・情報活動にとって重要なネットワークであるNSSに対する将来の耐量子(QR)アルゴリズムの要件を通知するため、「商用国家安全アルゴリズム スイート 2.0 (CNSA 2.0) サイバーセキュリティアドバイザリー(CSA)」を本日発表した。
A cryptanalytically-relevant quantum computer (CRQC) would have the potential to break public-key systems (sometimes referred to as asymmetric cryptography) that are used today. Given foreign pursuits in quantum computing, now is the time to plan, prepare and budget for a transition to QR algorithms to assure sustained protection of NSS and related assets in the event a CRQC becomes an achievable reality. 暗号解読に関連する量子コンピュータ(CRQC)は、現在使用されている公開鍵暗号(非対称暗号と呼ばれることもある)を破る可能性がある。海外の量子コンピュータの動向を考えると、今こそ、CRQCが実現可能になった場合にNSSとその関連資産を持続的に保護するために、QRアルゴリズムへの移行を計画し、準備し、予算を組むべき時である。
“This transition to quantum-resistant technology in our most critical systems will require collaboration between government, National Security System owners and operators, and industry,” said Rob Joyce, Director of NSA Cybersecurity. “Our hope is that sharing these requirements now will help efficiently operationalize these requirements when the time comes.” NSA サイバーセキュリティ局長の Rob Joyce は、次のように述べた。「最も重要なシステムにおける耐量子技術への移行は、政府、国家安全保障システムの所有者および運用者、そして産業界との協力が必要である。我々の願いは、今、これらの要件を共有することで、その時が来たときに効率的に運用することができるようになることである。」
The Director of NSA is the National Manager for NSS and therefore issues guidance for NSS. The algorithms in CNSA 2.0 are an update to those in the currently required Commercial National Security Algorithm Suite (now referred to as CNSA 1.0) listed in CNSSP 15, Annex B (released in 2016). The CNSA 2.0 algorithms have been analyzed as secure against both classical and quantum computers, and they will eventually be required for NSS. NSA長官はNSSの国家管理者であるため、NSSのガイダンスを発行する。CNSA 2.0のアルゴリズムは、CNSSP 15, Annex B(2016年リリース)に記載されている現在要求されているCommercial National Security Algorithm Suite(CNSA 1.0と現在呼ばれている)のアルゴリズムを更新したものである。CNSA 2.0のアルゴリズムは、古典コンピュータと量子コンピュータの両方に対して安全であると分析されており、最終的にはNSSに要求される予定である。
NSA’s CNSA 2.0 algorithm selections were based on the National Institute of Standards and Technology’s (NIST) recently announced selections for standardization for quantum-resistant cryptography, but there are neither final standards nor FIPS-validated implementations available yet. NSAのCNSA 2.0アルゴリズムの選定は、米国標準技術研究所(NIST)が最近発表した耐量子暗号の標準化のための選定に基づいているが、まだ最終規格やFIPS検証済みの実装はない。
NSA urges NSS owners and operators to pay attention to NIST selections and to the future requirements outlined in CNSA 2.0, while CNSA 1.0 compliance continues to be required in the interim. NSA は、NSS の所有者と運用者に対して、NIST の選定と CNSA 2.0 に記載された将来の要件に注意するよう促している。
“We want people to take note of these requirements to plan and budget for the expected transition, but we don’t want to get ahead of the standards process,” said Joyce. ジョイス氏は、「我々は、予想される移行に向けた計画や予算を立てるために、これらの要件に留意してもらいたいが、標準化プロセスを先取りするようなことはしたくない」と述べている。
NSS owners and operators should not deploy QR algorithms on mission networks until they have been vetted by NIST and National Information Assurance Partnership (NIAP) as required in CNSSP-11. There will be a transition period, and NSA will be transparent about NSS transition requirements. NSS の所有者とオペレータは、CNSSP-11 で要求されているように、NIST と 国家情報保証パートナーシップ (NIAP) の審査を受けるまでは、QR アルゴリズムをミッションネットワークに展開しないようにすべきである。 移行期間があり、NSA は NSS の移行要件について透明性を確保する予定である。
For additional information, the CNSA 2.0 CSA is accompanied by a cybersecurity information sheet (CSI), “The Commercial National Security Algorithm Suite 2.0 and Quantum Computing FAQ.” This CSI provides updated answers to quantum-related FAQs that were previously published on NSA’s website. 追加情報として、CNSA 2.0 CSA にはサイバーセキュリティ情報シート(CSI)"The Commercial National Security Algorithm Suite 2.0 and Quantum Computing FAQ "が添付されている。このCSIは、以前NSAのウェブサイトで公開された量子関連のFAQに対する最新の回答を提供している。

 

・[PDF] Announcing the Commercial National Security Algorithm Suite 2.0

20220909-73903

Executive summary  エグゼクティブサマリー 
The need for protection against a future deployment of a cryptanalytically relevant quantum computer (CRQC) is well documented. That story begins in the mid-1990s when Peter Shor discovered a CRQC would break public-key systems still used today. Continued progress in quantum computing research by academia, industry, and some governments suggests that the vision of quantum computing will ultimately be realized. Hence, now is the time to plan, prepare, and budget for an effective transition to quantum-resistant (QR) algorithms, to assure continued protection of National Security Systems (NSS) and related assets.   暗号解読に関連する量子コンピュータ(CRQC)の将来の配備に対する防御の必要性は、よく知られている。1990年代半ば、ピーター・ショーがCRQCが現在も使用されている公開鍵システムを破ることを発見したことがその始まりである。学術界、産業界、そして一部の政府による量子コンピュータ研究の継続的な進展は、量子コンピュータのビジョンが最終的に実現されることを示唆している。したがって、国家安全保障システム(NSS)および関連資産を継続的に保護するために、今こそ耐量子(QR)アルゴリズムへの効果的な移行を計画、準備、予算化する時である。 
This advisory notifies NSS owners, operators, and vendors of future requirements for QR algorithms for NSS. These algorithms (also referred to as post-quantum algorithms) are analyzed as being secure against both classical and quantum computers. They are an update to those in the Commercial National Security Algorithm Suite (referred to as CNSA 1.0, the algorithms currently listed in CNSSP 15, Annex B). NSA will reference this update as CNSA Suite 2.0, and any future updates will modify the version number.   この勧告は、NSSの所有者、運用者、ベンダーに対して、NSSのためのQRアルゴリズムに対する将来の要求事項を通知するものである。これらのアルゴリズム(ポスト量子アルゴリズムとも呼ばれる)は、古典コンピュータと量子コンピュータの両方に対して安全であると分析されている。これらのアルゴリズムは、Commercial National Security Algorithm Suite (CNSA 1.0 と呼ばれ、現在 CNSSP 15, Annex B に記載されているアルゴリズム) のアップデート版である。NSA はこのアップデートを CNSA Suite 2.0 として参照し、今後のアップデートではバージョン番号を変更する。 
NSA is providing this advisory in accordance with authorities detailed in NSD-42, NSM8, NSM-10, CNSSP 11, and CNSSP 15. Its direction applies to all NSS use of public cryptographic algorithms (as opposed to algorithms NSA developed), including those on all unclassified and classified NSS. Using any cryptographic algorithms the National Manager did not approve is generally not allowed, and requires a waiver specific to the algorithm, implementation, and use case. In accordance with CNSSP 11, software and hardware providing cryptographic services require National Information Assurance Partnership (NIAP) or NSA validation in addition to meeting the requirements of the appropriate version of CNSA. NSAは、NSD-42、NSM8、NSM-10、CNSSP11、CNSSP15に詳述されている権限に従い、この勧告を提供している。その指示は、すべての非分類および分類されたNSS上のものを含む、公的暗号アルゴリズム(NSAが開発したアルゴリズムとは異なる)のすべてのNSSの使用に適用される。国家管理者が承認していない暗号アルゴリズムの使用は一般的に許可されず、アルゴリズム、実装、ユースケースに特有の権利放棄を必要とする。CNSSP 11に従い、暗号サービスを提供するソフトウェアとハードウェアは、CNSAの適切なバージョンの要件を満たすことに加え、国家情報保証パートナーシップ(NIAP)またはNSAの検証を必要とする。

 

タイムライン

20220909-83159

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.07 NISTIR 8413 NIST耐量子暗号標準化プロセス第3ラウンドの現状報告

・2022.05.05 米国 国家量子推進諮問委員会の強化に関する大統領令

・2022.03.05 NATO サイバーセキュリティセンター 量子コンピュータの攻撃に耐えられるセキュアネットワークの実験に成功

・2021.10.26 Cloud Security Alliance 量子後の世界への実践的な備え at 2021.10.19

・2021.10.06 米国 DHS CISA 量子コンピューティングの進展に伴うセキュリティリスクを軽減するためのガイダンス

・2021.04.29 NIST White Paper ポスト量子暗号への備え:ポスト量子暗号アルゴリズムの採用と使用に関連する課題の調査

・2021.02.10 ENISA 暗号に関する2つの報告書 「ポスト量子暗号:現状と量子緩和」と「暗号資産:デジタル通貨と分散型台帳技術の概要」

・2020.10.31 NIST SP 800-208 ステートフルなハッシュベースの署名方式の推奨

| | Comments (0)

インド データセキュリティ評議会「IoTセキュリティガイド」と「IoTセキュリティ・ベストプラクティス」(2022.08.24)

こんにちは、丸山満彦です。

インドのインドデータセキュリティ評議会 (Data Security Council of India: DSCI) が「IoTセキュリティガイド」と「IoTセキュリティ・ベストプラクティス」を2022.08.24 に公開していました。。。

なかなか興味深いです。。。

 

Fig1_20220908165301


データセキュリティ評議会 (DSCI) は、インドのソフトウェア協会 (National Association of Software and Services Companies; NASCOM) によって設立されたインドのデータ保護に関する非営利の業界団体で、サイバーセキュリティとプライバシーに関するベストプラクティス、標準、イニシアチブを確立することによってサイバースペースを安全、安心、信頼できるものにすることに取り組んでいる団体です。。。

Data Security Council of India: DSCI

・2022.08.24 IoT Security Guidebook

IoT Security Guidebook IoTセキュリティガイドブック
This guidebook aims to present a wide spectrum of technological perspectives on IoT Security. It is a comprehensive document that covers IoT communication protocols as well as advice for building architectures for designing and developing IoT applications. The document offers recommendations on strategies to deal with common security threats and flaws in IoT services. It is intended to give a set of design recommendations for developing a secure product for IoT service providers. Further, it also highlights the solutions among different Industries such as Huawei’s IoT solution security architecture (the 3T + 1M framework), LTTS IoT Security Framework, oneM2M Standards, and Zero Trust Architecture. 本ガイドブックは、IoTセキュリティに関する幅広い技術的な観点を提示することを目的としている。IoT通信プロトコルだけでなく、IoTアプリケーションを設計・開発するためのアーキテクチャ構築のアドバイスも網羅した包括的な文書となっている。本書では、IoTサービスにおける一般的なセキュリティ脅威や欠陥に対処するための戦略について提言している。これは、IoTサービスプロバイダのための安全な製品を開発するための一連の設計推奨事項を与えることを意図している。さらに、ファーウェイのIoTソリューションセキュリティアーキテクチャ(3T + 1Mフレームワーク)、LTTS IoTセキュリティフレームワーク、oneM2M標準、Zero Trustアーキテクチャなどの異なる産業間のソリューションも取り上げている。
Key Findings 主な調査結果
1. As per an IDC report, IoT is expected to consist of more than 55 billion connected devices generating 80 Zettabytes of data by 2025. 1. IDCのレポートによると、IoTは2025年までに550億台以上の接続デバイスからなり、80ゼタバイトのデータを生成すると予想されている。
2. According to the IoT Analytics "State of IoT - Summer 2021" report, the global number of connected IoT devices is expected to grow 9% to 12.3 billion active endpoints and by 2025 the total number of IoT connections is predicted to reach 27 billion. 2. IoT Analytics社のレポート「State of IoT - Summer 2021」によると、世界で接続されているIoTデバイスの数は9%増の123億アクティブエンドポイント、2025年にはIoT接続の総数が270億に達すると予想されている。
3. As per Fortune Business Insights, the projected growth of the global IoT market by 2028 is $1,854.76 billion, creating several opportunities for vendors and companies looking to capitalize on IoT. 3. Fortune Business Insightsによると、2028年までの世界のIoT市場の成長予測は1兆8547億6000万ドルで、IoTを活用しようとするベンダーや企業にとっていくつかの機会が創出されるとしている。
4. The document focuses on several IoT Application Architectures that are used in fields like Healthcare Industry, Smart Home Ecosystem, and Industrial Control Systems. 4. 本書では、ヘルスケア産業、スマートホームエコシステム、産業用制御システムなどの分野で利用されているいくつかのIoTアプリケーションアーキテクチャに焦点を当てている。

 

・[PDF]

20220908-164941

 目次...

EXECUTIVE SUMMARY エグゼクティブサマリー
Key Takeaways 主要なポイント
01. Introduction to IoT 01. IoTの紹介
1.1 Evolution of IoT 1.1 IoTの進化
1.2 Examples of IoT Applications 1.2 IoTの応用例
1.3 IoT Link Layer Connectivity 1.3 IoTのリンク層接続性
02.IoT Application Architecture 02. IoTアプリケーションのアーキテクチャ
2.1 Introduction 2.1 はじめに
2.2 Security Concerns of IoT 2.2 IoTのセキュリティ上の懸念事項
2.3 Security Recommendations 2.3 セキュリティに関する推奨事項
2.4 Solutions Among Different Industries 2.4 異業種間のソリューション
2.5 IoT Application Architectures in Focus 2.5 注目されるIoTアプリケーション・アーキテクチャ
03.Security and IoT 03. セキュリティとIoT
3.1 Overview of Cyberattacks in IoT 3.1 IoTにおけるサイバー攻撃の概要
3.2 Distributed Denial of Service 3.2 分散型サービス拒否(Denial of Service
3.3 Hardware Security  3.3 ハードウェア・セキュリティ 
3.4 Hardware Security v/s Hardware Trust 3.4 ハードウェア・セキュリティとハードウェア・トラスト
3.5 Embedded System Hardware 3.5 組み込みシステム用ハードウェア
3.6 Data Layers 3.6 データレイヤー
04. SCADA and IoT 04. SCADAとIoT
4.1 SCADA System 4.1 SCADAシステム
4.2 Cyberthreats to SCADA and IoT Systems 4.2 SCADAとIoTシステムに対するサイバー脅威
4.3 Protecting SCADA, IIoT and IoT Systems 4.3 SCADA、IIoT、IoTシステムの保護
4.4 Challenges to Secure SCADA systems in IoT-Cloud Environments 4.4 IoT-クラウド環境におけるSCADAシステムのセキュリティ確保に向けた課題
4.5 Best practices for securing IoT-Cloud based SCADA systems 4.5 IoT-CloudベースのSCADAシステムを保護するためのベストプラクティス
05.   The Threat Model for IoT 05. IoTの脅威モデル
5.1    How to Carry out Threat Modelling 5.1 脅威モデルの実施方法
5.2   Data-centric Threat Modelling 5.2 データ中心の脅威モデリング
5.3   Why IoT Threat Modelling Matters 5.3 IoTの脅威モデリングが重要な理由
5.4  Threat Modelling for Device-level Security 5.4 デバイスレベルのセキュリティのための脅威モデリング
5.5  Defining Threat Model for IoT Networks 5.5 IoTネットワークのための脅威モデルの定義
06.   Research and Development 06. 研究開発
6.1    Introduction 6.1 はじめに
6.2   Confidentiality 6.2 機密保持
6.3  Authentication and Access Control 6.3 認証とアクセス制御
6.4  Identity Management 6.4 アイデンティティ管理
07.    IoT Security Standards 07. IoTセキュリティ標準
7.1    Industrial Internet of Things (IIoT) 7.1 産業用IoT(IIoT)
7.2   IoT Security Standards Protocols 7.2 IoTセキュリティ標準プロトコル
7.3   GSMA: Global System for Mobile Communications 7.3 GSMA:グローバル・システム・フォー・モバイル・コミュニケーションズ
7.4  One M2M & IoT 7.4 One M2M&IoT
08. 5G-Fifth Generation 08. 5G-第五世代
8.1 Introduction 8.1 はじめに
8.2 Features of 5G 8.2 5Gの特徴
8.3 Technologies used in 5G 8.3 5Gで使用される技術
8.4 Deployment of 5G 8.4 5Gの展開
8.5 5G Devices 8.5 5Gのデバイス
8.6 Frequencies of 5G 8.6 5Gの周波数
8.7 5G and IoT 8.7 5GとIoT
8.8 Security Recommendations for 5G 8.8 5Gのセキュリティに関する推奨事項
8.9 Challenges in 5G 8.9 5Gにおける課題
8.10 Solutions for 5G 8.10 5Gのためのソリューション
8.11 Security Solutions for 5G with IoT 8.11 IoTと5Gのためのセキュリティソリューション
8.12 Ways customers can be prepared when prone to 5G security issues 8.12 5Gのセキュリティ問題が発生した時に顧客が準備できる方法
09. References 09. 参考資料
10. Abbreviations 10. 略記事項

 

エグゼクティブサマリーと主要なポイント

EXECUTIVE SUMMARY エグゼクティブサマリー
The Internet of Things (IoT), which will soon expand to the Internet of Everything, is a historical shift in the way we interact with our surroundings, our workplaces, and society. Our ability to converge the digital and physical worlds through IoT holds tremendous potential for the digital economy.  まもなくInternet of Everythingへと拡大するInternet of Things(IoT)は、私たちの身の回りや職場、社会との関わり方における歴史的な変化である。IoTを通じてデジタルと物理の世界を融合する我々の能力は、デジタル経済にとって非常に大きな可能性を秘めている。
With the advent of 5G technologies, IoT technologies are set to take a giant leap forward. 5G can support a large number of static and mobile IoT devices, which have unique bandwidth, speed, and quality of service requirements. With these capabilities, we will see an explosion in IoT usage and innovation. In fact, as per an IDC report, IoT is expected to consist of more than 55 billion connected devices generating 80 Zettabytes of data by 2025. However, in addition to new opportunities, the IoT era also introduces new attack surfaces, which are already being exploited by cybercriminals.  5G技術の出現により、IoT技術は大きな飛躍を遂げようとしている。5Gは、独自の帯域幅、速度、サービス品質要件を持つ、多数の静的およびモバイルIoTデバイスをサポートすることができる。これらの機能により、IoTの利用やイノベーションが爆発的に増加することが予想される。実際、IDCのレポートによると、IoTは2025年までに550億台以上の接続デバイスから80ゼタバイトのデータが生成されると予想されている。しかし、IoT時代は新たな機会だけでなく、新たな攻撃対象も生み出し、それはすでにサイバー犯罪者によって悪用されている。
While IoT promises to bring efficient business results across several industry verticals, organisations just focusing on connectivity to win the digital transformation race and putting security in the backseat would place the entire ecosystem at risk of fraud and attack.  IoTは、さまざまな業種に効率的なビジネス成果をもたらすことが期待されているが、デジタル変革競争に勝つために接続性だけに焦点を当て、セキュリティを後回しにする組織は、エコシステム全体を詐欺や攻撃のリスクにさらしてしまうことになる。
In this context, we aim to present a wide spectrum of technological perspectives on IoT Security through our IoT Security Guidebook. This guidebook is a comprehensive document that covers IoT communication protocols as well as advice for building architectures for designing and developing IoT applications. Furthermore, the document highlights existing security architectures used across various industries. Threat modelling for IoT will assist developers in risk prioritization and lay the groundwork for establishing a product protection plan. このような背景から、当社はIoTセキュリティガイドブックを通じて、IoTセキュリティに関する幅広い技術的な視点を提示することを目的としている。このガイドブックは、IoT通信プロトコルや、IoTアプリケーションを設計・開発するためのアーキテクチャ構築のアドバイスなどを網羅したドキュメントである。さらに、さまざまな業界で使用されている既存のセキュリティアーキテクチャについても取り上げている。IoTの脅威モデリングは、リスクの優先順位付けにおいて開発者を支援し、製品の保護計画を確立するための土台を築くことになる。
The purpose of the IoT Security Guidebook is to help the budding Internet of Things industry develop a unified knowledge of security challenges. The IoT Security Guidebook advocates for a methodology for designing secure IoT Services that ensures security best practices are followed throughout the service's life cycle. The documents offer recommendations on strategies to deal with common security threats and flaws in IoT services. It is intended to give a set of design recommendations for developing a secure product for IoT service providers. This document will operate as an overarching model for evaluating which features of advanced technologies or services are significant to the developer. Once these elements, or components, have been identified, the developer can assess the risks associated with each one and decide how to mitigate them. 「IoTセキュリティガイドブック」の目的は、新進のIoT産業がセキュリティの課題に関する統一した知識を身につけることにある。IoTセキュリティガイドブックでは、サービスのライフサイクルを通じてセキュリティのベストプラクティスが守られるように、安全なIoTサービスを設計するための方法論を提唱している。この文書は、IoTサービスにおける一般的なセキュリティ脅威や欠陥に対処するための戦略に関する推奨事項を提供する。IoTサービスプロバイダのための安全な製品を開発するための一連の設計推奨事項を与えることを意図している。この文書は、先進的な技術やサービスのどの機能が開発者にとって重要であるかを評価するための包括的なモデルとして運用される。これらの要素、または構成要素が特定されると、開発者はそれぞれに関連するリスクを評価し、それを軽減する方法を決定することができる。
Its scope is identified as design and deployment-specific recommendations for IoT services. It should be noted that national rules and regulations for a given territory may take precedence over the guidelines outlined in this document in some circumstances. その範囲は、IoTサービスの設計と展開に特化した推奨事項として特定される。ある地域の国内規則や規制が、状況によってはこの文書に概説されたガイドラインよりも優先される可能性があることに留意すべきである。
Key Takeaways 重要なポイント
IoT is the network of inter-connected devices that can process data and communicate with each other, without the need for human intervention. IoT-based technology will deliver an advanced level of services in the coming years, effectively changing how people live their lives. Mobile computing, Pervasive Computing, Wireless Sensor Networks, and Cyber-Physical Systems are just a few of the categories where IoT is well-established. A few of the opportunities include new business models, diversification of revenue systems, real-time information and global visibility. The elements that shape the IoT ecosystems are Intelligent decision-making, communications, embedded systems, sensors and actuators. Advancements in Wearables, Smart Homes, Smart Cities, Smart Grids, Industrial, connected cars, Smart Retail, Smart Supply Chain, Smart Farming and Connected Health are a very few of the categorical examples of IoT use cases. This document outlines some of the prominent standard IoT network communication protocols such as Wi-Fi (Wireless Fidelity), Bluetooth, Zigbee, and 6LoWPAN (IPv6 over Low-power wireless personal area networks) and LoRaWAN (Long Range Wide-area network). IoTは、人間の介入を必要とせず、データを処理し、互いに通信できる、相互に接続されたデバイスのネットワークである。IoTベースの技術は、今後数年間で高度なサービスを提供し、人々の生活様式を効果的に変化させるだろう。モバイルコンピューティング、パーベイシブコンピューティング、ワイヤレスセンサーネットワーク、サイバーフィジカルシステムは、IoTが確立されているカテゴリーのほんの一部に過ぎない。新しいビジネスモデル、収益システムの多様化、リアルタイムの情報、グローバルな可視性など、いくつかの機会がある。IoTのエコシステムを形成する要素は、インテリジェントな意思決定、通信、組み込みシステム、センサー、アクチュエーターである。ウェアラブル、スマートホーム、スマートシティ、スマートグリッド、産業用、コネクテッドカー、スマートリテール、スマートサプライチェーン、スマートファーミング、コネクテッドヘルスにおける進歩は、IoTの使用事例のごく一部のカテゴリーに属する。本書では、Wi-Fi(Wireless Fidelity)、Bluetooth、Zigbee、6LoWPAN(IPv6 over Low-power wireless personal area networks)、LoRaWAN(Long Range Wide-area network)など、IoTネットワークの標準通信プロトコルについて概説している。
A significant proportion of IoT solutions designed for a specific application are dispersed and heterogeneous, making standardisation difficult. Security is one of the most important considerations for IoT, and it must be recognised alongside the overarching need for safety, as the entire world is closely intertwined with both concerns. The IoT Application Architecture gives detailed outline models and strategies for both design and development of an application. It also offers the readers a blueprint and recommendations to develop an application in a well-structured manner. The lack of technical standardisation in the IoT ecosystem exposes hardware, software, and relevant data to attacks and threats. It is therefore essential to dedicate more time to formulating industry guidelines and architectural standards required to efficiently implement IoT. Regulation of IoT products will be beneficial to improving the scalability, interoperability, security, and reliability of these products, especially given the complicated nature and uncertainty of the IoT ecosystem. 特定のアプリケーション向けに設計されたIoTソリューションがかなりの割合で分散・異種混在しており、標準化を困難にしている。セキュリティはIoTにとって最も重要な検討事項の1つであり、世界全体が両方の関心事に密接に絡み合っているため、安全に対する包括的な必要性とともに認識されなければならない。IoTアプリケーションアーキテクチャは、アプリケーションの設計と開発の両方について、詳細なアウトラインモデルと戦略を提供する。また、読者には、構造化された方法でアプリケーションを開発するための青写真と推奨事項が提供される。IoTエコシステムの技術標準化が進んでいないため、ハードウェア、ソフトウェア、および関連データが攻撃や脅威にさらされている。したがって、IoTを効率的に実装するために必要な業界ガイドラインやアーキテクチャ標準の策定に、より多くの時間を割くことが不可欠である。IoT製品の規制は、特にIoTエコシステムの複雑な性質と不確実性を考慮すると、これらの製品の拡張性、相互運用性、セキュリティ、および信頼性を改善するのに有益である。
The document also underlines the Security concerns of IoT, since almost all IoT devices can threaten personal Confidentiality and public safety through cyberattacks. A few standard problems while tackling the security concerns include limited device resources, fragmentation of Standards and regulations, Security Integration and Data Privacy. The broad range of security concerns needed in IoT to enable design security, data protection, risk analysis and other concerns are outlined. The best practices to tackle these are by establishing secure IoT lifecycle guidelines on software and hardware development, Implementing role separation in Application Architecture and Supporting the establishment of IoT security strategies and Regulations. また、ほぼすべてのIoTデバイスがサイバー攻撃によって個人の秘密と公共の安全を脅かす可能性があるため、この文書ではIoTのセキュリティに関する懸念も強調されている。セキュリティに関する懸念に取り組む際の標準的な問題として、デバイスのリソースが限られていること、標準と規制の断片化、セキュリティの統合、データのプライバシーなどが挙げられます。設計セキュリティ、データ保護、リスク分析などを可能にするためにIoTで必要とされる幅広いセキュリティの懸念事項が概説されている。これらに取り組むためのベストプラクティスは、ソフトウェアとハードウェア開発におけるセキュアなIoTライフサイクルガイドラインの確立、アプリケーションアーキテクチャにおける役割分担の実装、IoTセキュリティ戦略および規制の確立のサポートである。
The document also highlights the solutions among different Industries such as Huawei’s IoT solution security architecture (the 3T + 1M framework), LTTS IoT Security Framework and Zero trust Architecture. The document presents the key components of LTTS IoT Security Framework and oneM2M standards and the benefits of using oneM2M また、同文書では、ファーウェイのIoTソリューションセキュリティアーキテクチャ(3T + 1Mフレームワーク)、LTTS IoTセキュリティフレームワーク、Zero Trustアーキテクチャなど、各業界のソリューションも紹介している。本書では、LTTS IoTセキュリティフレームワークとoneM2M標準の主要コンポーネントとoneM2Mを使用する利点を紹介している。

 

 


 

ベストプラクティスの方...

・2022.08.24 IoT Security Best Practices Document

IoT Security Best Practices Document IoTセキュリティベストプラクティス資料
This document provides an overview of IoT security and explains its significance. It also discusses the various threats to IoT security, starting from vulnerabilities and malware to lack of awareness, and alarming need for best practices for securing IoT . The best practices for Consumer IoT security , Industrial IoT security and Cloud IoT Security environments have been covered in this document. OWASP IoT project and the published top 10 list of vulnerabilities have also been discussed in the document. 本書では、IoTセキュリティの概要を説明し、その意義について解説している。また、脆弱性やマルウェアに始まるIoTセキュリティに対する様々な脅威、認識不足、IoTを保護するためのベストプラクティスの必要性を憂慮している。本書では、コンシューマー向けIoTセキュリティ、産業向けIoTセキュリティ、クラウド向けIoTセキュリティの各環境におけるベストプラクティスを取り上げている。また、OWASP IoTプロジェクトと公表された脆弱性のトップ10リストについても説明している。
Key Findings 主な調査結果
1. Experts have predicted that by 2025, there will be 22 billion linked IoT devices, up from more than 10 billion currently. 1. 専門家の予測によると、現在100億台以上あるIoTデバイスは、2025年までに220億台に増加すると言われている。
2. A significant focus on various Best Practices for IoT Security 2. IoTセキュリティのための様々なベストプラクティスに大きな注目が集まっている
3. OWASP top ten things to avoid when building, deploying, or managing IoT systems in terms of security. 3. IoTシステムを構築、展開、管理する際に、セキュリティの観点から避けるべきOWASPトップ10。

 

・[PDF

20220908-165032

 

  目次...

01. What is IoT? 01. IoTとは何か?
02. What is IoT Security? 02. IoTセキュリティとは?
03. Challenges in IoT security 03. IoTセキュリティの課題
04. OWASP IoT Security Project 04. OWASP IoTセキュリティプロジェクト
05. Need for Best Practices and Best Practices for securing IoT 05. IoTを安全にするためのベストプラクティスとベストプラクティスの必要性
5.1 Consumer IoT Security Best Practices 5.1 消費者向けIoTセキュリティのベストプラクティス
5.2 Industrial IoT Security Best Practices 5.2 産業用IoTセキュリティのベストプラクティス
5.3 Cloud IoT Best Practices 5.3 クラウドIoTのベストプラクティス

 

05をさらに分解すると...

5.1 Consumer IoT Security Best Practices 5.1 消費者向けIoTセキュリティのベストプラクティス
5.1.1 Ensure Unique Credentials 5.1.1 一意のクレデンシャルを確保する
5.1.2 Store credentials and security-sensitive data securely 5.1.2 クレデンシャルとセキュリティ上重要なデータを安全に保管する
5.1.3 Validate input data 5.1.3 入力データの妥当性確認
5.1.4 Implement a vulnerability disclosure policy 5.1.4 脆弱性開示ポリシーの実施
5.1.5 Keep Software Up to Date 5.1.5 ソフトウェアを常に最新の状態に保つ
5.1.6 Secure Communication 5.1.6 安全な通信
5.1.7 Minimise Exposed Attack Surface 5.1.7 露出した攻撃表面の最小化
5.1.8 Ensure Software Integrity 5.1.8 ソフトウェアの完全性の確保
5.1.9 Ensure the protection of personal data 5.1.9 個人情報の保護を確実にする
5.1.10 Make systems resilient to outages 5.1.10 システムの停止に対するレジリエンスの確保
5.1.11 Monitor system telemetry data 5.1.11 システムのテレメトリデータを監視する
5.1.12 Make it easier for customers to delete personal data 5.1.12 お客様が個人情報を容易に削除できること
5.1.13 Make installation and maintenance of device easy 5.1.13 デバイスの設置や保守を容易にする
5.2 Industrial IoT Security Best Practices 5.2 産業用IoTセキュリティのベストプラクティス
5.2.1 Network Segmentation 5.2.1 ネットワークのセグメンテーション
5.2.2 Weigh the risks of melding IT and OT 5.2.2 ITとOTを融合させるリスクを天秤にかける
5.2.3 Appropriate Access Controls Schemes and Granularity 5.2.3 適切なアクセス制御のスキームと粒度
5.2.4 Secure Interoperability 5.2.4 安全な相互運用性
5.2.5 Have an emergency response team in place 5.2.5 緊急対応チームの設置
5.2.6 Secure and Preventive Maintenance Procedures Preparation 5.2.6 安全で予防的な保守手順の準備
5.3 Cloud IoT Best Practices 5.3 クラウドIoTのベストプラクティス
5.3.1 Introducing planned defensive measure methodology 5.3.1 計画的な防御策手法の導入
5.3.2 Updating passwords on Cloud-based devices at regular intervals 5.3.2 クラウド型デバイスのパスワードの定期的な更新
5.3.3 Initialize traceability 5.3.3 トレーサビリティの初期化
5.3.4 Keep Authentication Keys Safe 5.3.4 認証キーの安全性確保
5.3.5 Securing all the layers 5.3.5 すべてのレイヤーのセキュリティ確保
5.3.6 Mechanisms to safeguard data and eliminate risks 5.3.6 データを保護し、リスクを排除するための仕組み

 

インドデータセキュリティ評議会 (Data Security Council of India: DSCI) は、過去にも色々と面白い報告書を出していますね。。。

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.03.11 インド データセキュリティ評議会 (DSCI) サイバーレジリエンスなビジネス環境

 

これでも紹介していますが、戦略も出しています。。。

・2021.05.13 サイバーセキュリティ戦略本部 次期サイバーセキュリティ戦略の骨子

 Data Security Council of India

・2020.08.15 [PDF] National Cyber Security Strategy 2020

20210513-131956

 

 

| | Comments (0)

2022.09.08

中国 デジタル村標準システム構築ガイド (2022.09.01)

こんにちは、丸山満彦です。

中国のサイバースペース管理局がデジタル村標準システム構築ガイドを公表していましたね。。。デジタルの力を使って国をまとめるというチャレンジなんでしょうね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.09.01 中央网信办等四部门关于印发《数字乡村标准体系建设指南》的通知

中央网信办等四部门关于印发《数字乡村标准体系建设指南》的通知 中央インターネット情報室など4部門による「デジタル村標準システム構築ガイド」の発行に関する通知

 

 ・[PDF] 数字乡村标准体系建设指南

20220908-44827

 

・[DOCX] 仮訳

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.08.04 中国 デジタルチャイナ開発報告書(2021年)

・2022.04.27 中国 デジタル村開発業務の要点 (2022.04.20)

・2021.12.29 中国 ネットワークセキュリティ・情報技術中央委員会が「第14次5ヵ年計画における国家情報化計画」を発表していますね。。。

・2021.12.13 中国 第14次5カ年計画 デジタル経済開発計画

・2021.09.06 中国 デジタル村建設ガイド1.0

 

 

 

| | Comments (0)

2022.09.07

デジタル政策フォーラム 「インターネットを巡る”国家主権”と”サイバー主権”」 by 谷脇さん

 こんにちは、丸山満彦です。

デジタル政策フォーラムの顧問でもある谷脇さんのコラム「インターネットを巡る”国家主権”と”サイバー主権”」が興味深いですね。。。

デジタル政策フォーラム

・2022.09.02 #19 インターネットを巡る”国家主権”と”サイバー主権” - 谷脇康彦(デジタル政策フォーラム顧問)

 


...

欧米各国や日本といった旧西側諸国からみれば、リアル空間はサイバー空間に投影されるものであって両空間を区別する特段の理由はなく、既存の国際法はサイバー空間にも当然に適用される。したがって、サイバー空間においても現行の「国家主権」の考え方が適用されると解される[2]。これに対し、中国は「国家主権」を「サイバー主権(cyber sovereignty)」と位置付け、国(のみ)が自国内でサイバー空間を積極的に制御することを認められるという立場をとってきた。

...インターネットとはあくまでマルチステークホルダ主義を前提としてこれまで民主的プロセスの中で発展を遂げてきたものであり、政府が当事者の一人に過ぎないということ、すなわち国家主権に制約があるということには合理性がある。その背景には、国家主権を100%認めることは表現の自由や報道の自由に公的権力が介入する根拠を与えるおそれがあることや、インターネット関連技術は政府の規制の外にあったからこそ社会基盤になるまでの発展を遂げてきたということが挙げられる。

これに対し、中国やロシアは「サイバー主権」に基づき国がインターネットをきちんと管理すること(管理という言葉は、ネットを流通するコンテンツに対する直接規制も含まれる意味で使われることが多い)が国の権益として国際的に認められるべきであると主張する。...すなわち中国のサイバー主権はマルチステークホルダ主義ではなく、マルチラテラル主義(multilateralism)を基本とするという考え方に立っている。

そしてその考え方に立脚すればIETFやICANNのガバナンスがマルチステークホルダ主義に依拠することは、「サイバー主権」の原則に反するということになる。Sherman[3]が指摘するように、中国はこうした事態を是正するために国連機関であるITU(国際電気通信連合)をインターネット管理組織として位置付けることを提案している。...

...

Fig2_20220907005101

 


 

谷脇さんが引用している報告書等

[1] UN General Assembly, Group of Governmental Experts on Development in the Field of Information and Telecommunications in the Context of International Security (June 2015)

・2015.07.22 [PDF] Group of Governmental Experts on Developments in the Field of Information and Telecommunications in the Context of International Security

20220907-01440

 

[2] タリンマニュアル

Tallinn Manual 2.0 on the International Law Applicable to Cyber Operations (English Edition) 2nd 版, Kindle版

20

Tallinn Manual on the International Law Applicable to Cyber Warfare (English Edition) 1st 版, Kindle版

10_20220907010901

 

タリンマニュアル3.0についての情報

● CCDCOE - The Tallinn Manual

 

[3] Justin Sherman “China’s War for Control of Global Internet Governance” July 2022, SSRN 

・2022.07.27 [PDF] China’s War for Control of Global Internet Governance


20220907-11607

 

[4] Jacob Hafey and Dana Poponete, “How the War in Ukraine Will Shape the Future of the Internet,” March 2022, Access Partnership

・2022.03.24 How the War in Ukraine Will Shape the Future of the Internet

 

[5] “Joint Statement of the Russian Federation and the People’s Republic of China on the International Relations Entering a New Era and the Global Sustainable Development”

ロシア政府

● Puresident of Russia

・2022.02.04 Joint Statement of the Russian Federation and the People’s Republic of China on the International Relations Entering a New Era and the Global Sustainable Development

 

● 中国人民政府

・2022.02.04 中华人民共和国和俄罗斯联邦关于新时代国际关系和全球可持续发展的联合声明(全文)

 

北大法律英文网

・2022.02.04 英中

 

[6] US Department of State “Declaration for the Future of the Internet,”

● U.S. Department of State

・2022.04.28 Declaration for the Future of the Internet

・[PDF] A Declaration for the Future of the Internet

20220907-13649

 

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.30 インターネットガバナンスに関する論文と中国の世界インターネット会議

・2022.05.24 バイデン大統領の訪日に伴う一連のホワイトハウスの発表

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

 

ぐっと遡って...

・2005.09.29 経団連 インターネットガバナンスのあり方について

・2005.03.19 インターネットの管理体制、災害対策などめぐり議論 GIIC年次総会

・2004.12.01 インターネットガバナンスって何だ

 

|

2022.09.06

米国 国家情報長官室 9月は「全国インサイダー脅威啓発月間」 - 焦点はデジタル空間のリスク対策

こんにちは、丸山満彦です。

米国では、4年前から9月は「全国インサイダー脅威啓発月間」となっていて、国家情報長官室の国家防諜・安全保障センター [wikipedia]が中心となって、キャンペーンが行われていますね。。。今年は、デジタル空間のリスク対策に焦点を当てていますね。。。(昨年は、インサイダー脅威と職場文化でした。。。)

インサイダー脅威は、正式なアクセス権を持っている人がもたらすリスク (CISA - DEFINING INSIDER THREATS
) って感じですかね。。。

今年のキャンペーンでは、ゲームもありますね。。。

Game

 

Office of the Director of National Intelligence (ODNI) - The National Counterintelligence and Security Center (NCSC)

Nscs

 

National Insider Threat Awareness Month Help prevent the exploitation of authorized access from causing harm to your organization.

 

This Year's Theme 今年のテーマ
Individuals/organizations achieve a greater understanding of how virtual platforms have been utilized by malicious actors and how to spot efforts to intentionally manipulate perceptions. 個人/組織は、悪意のある行為者によってバーチャル・プラットフォームがどのように利用されてきたか、また、意図的に認識を操作しようとする努力を見抜く方法について理解を深めることができます。
COVID, isolation, and working from home has made it more difficult to discern between true coworkers and phishing attempts for proprietary or sensitive information. It has also lead to more interactions on social media which makes individuals more vulnerable to deception. COVID、孤立、在宅勤務により、真の同僚と、機密情報を狙うフィッシングとの見分けがつきにくくなっています。また、ソーシャルメディア上での交流が盛んになり、個人はより欺かれやすくなっています。
Insider threat programs are designed to detect, prevent, and mitigate risks associated with malicious or unwitting insiders while protecting privacy and civil liberties. インサイダー脅威プログラムは、プライバシーと市民的自由を保護しながら、悪意のある、または無意識のインサイダーに関連するリスクを検出、防止、緩和するために設計されています。
Critical thinking helps individuals become less susceptible to various types of risks, to include social engineering, solicitation by adversaries, (foreign and domestic) and information designed to malign. 批判的思考は、ソーシャルエンジニアリング、敵対者(国内外)による勧誘、悪意のある情報など、様々な種類のリスクに対して個人が影響を受けにくくなるよう支援します。
Increased awareness and understanding of why critical thinking is key to preventing unwitting and witting insider threats and protecting national security. 無意識・無意識を問わずインサイダーの脅威を防ぎ、国家の安全を守るために、なぜ批判的思考が鍵となるのかについての認識と理解を深めます。

 

ゲームは今のところmission1がありますが、Mission2も間も無く公開のようです。。。

Featured Game

Game

 

プレス...

・2022.08.31 NCSC AND FEDERAL PARTNERS FOCUS ON COUNTERING RISK IN DIGITAL SPACES DURING NATIONAL INSIDER THREAT AWARENESS MONTH 2022

 NCSC and Federal Partners Focus on Countering Risk in Digital Spaces during National Insider Threat Awareness Month 2022  NCSCと連邦政府パートナーは、2022年の全国インサイダー脅威啓発月間にデジタル空間におけるリスク対策に焦点を当てる
The National Counterintelligence and Security Center (NCSC), the National Insider Threat Task Force (NITTF), the Office of the Under Secretary of Defense Intelligence and Security, the Defense Counterintelligence and Security Agency, and the Department of Homeland Security today launched the fourth-annual “National Insider Threat Awareness Month” (NITAM). 国家防諜・安全保障センター(NCSC)、全国インサイダー脅威タスクフォース(NITTF)、国防情報保全次官室、国防防諜・安全保障局、国土安全保障省は本日、4年目となる「全国インサイダー脅威啓発月間」(NITAM)をスタートさせました。
NITAM is an annual, month-long campaign during September to educate government and industry about the risks posed by insider threats and the role of insider threat programs. The campaign seeks to encourage government and private industry employees to recognize and report behaviors of concern, leading to early intervention and positive outcomes for at-risk individuals and reduced risks to organizations. To learn more about the campaign and resources available to organizations, visit the NITAM 2022 website. NITAMは、インサイダー脅威がもたらすリスクとインサイダー脅威プログラムの役割について、政府と産業界を啓発するために毎年9月の1カ月間にわたって実施されるキャンペーンです。このキャンペーンは、政府および民間企業の従業員が懸念される行動を認識し報告することを奨励し、リスクのある個人への早期介入とポジティブな結果、組織へのリスク軽減につなげることを目的としています。キャンペーンの詳細と組織が利用できるリソースについては、NITAM 2022のウェブサイトをご覧ください。
An insider threat is anyone with authorized access who wittingly or unwittingly harms an organization through their access. Most insider threats exhibit risky behavior prior to committing negative workplace events. If identified early, many insider threats can be mitigated before harm occurs. Federal insider threat programs are composed of multi-disciplinary teams that address insider threats while protecting privacy and civil liberties of the workforce, maximizing organizational trust, and ensuring positive work cultures that foster diversity and inclusion. インサイダー脅威とは、許可されたアクセス権を持ち、そのアクセス権を通じて故意または無意識に組織に害を及ぼす者のことを指します。インサイダー脅威者の多くは、職場でネガティブな事象を引き起こす前に危険な行動をとります。早期に発見されれば、多くのインサイダー脅威は被害が発生する前に軽減することができます。連邦政府のインサイダー脅威対策プログラムは、複数の専門分野からなるチームで構成されており、インサイダー脅威に対処しながら、従業員のプライバシーと市民の自由を守り、組織の信頼を最大化し、多様性と包括性を育むポジティブな職場文化を確保しています。
Fostering Critical Thinking in Digital Spaces デジタル空間における批判的思考の育成
This year’s NITAM campaign focuses on the importance of critical thinking to help workforces guard against risk in digital spaces, which can facilitate insider threat activity. Such risk includes social engineering efforts; online solicitation by foreign or domestic threats; misinformation, disinformation, and mal-information; as well as malicious cyber tactics like phishing, smishing, and vishing. 今年のNITAMキャンペーンでは、インサイダー脅威の活動を助長する可能性のあるデジタル空間におけるリスクから従業員を守るために、批判的思考の重要性に焦点を当てます。このようなリスクには、ソーシャルエンジニアリング、国内外の脅威によるオンライン勧誘、誤報、偽情報、不正情報、フィッシング、スミッシング、ビッシングなどの悪質なサイバー手口が含まれます。
With virtual work environments becoming more prevalent, malicious actors have more opportunities to target those in our workforces through exploitation of the digital information landscape. Government and industry employees are often susceptible to malicious digital approaches, posing enhanced risk to themselves and their organizations. The ability to spot and respond to manipulative information begins with critical thinking skills, which are essential to reducing vulnerability to these risks. バーチャルな職場環境の普及に伴い、悪意ある行為者は、デジタル情報を悪用し、従業員を標的にする機会が増えています。政府機関や企業の従業員は、悪意のあるデジタルアプローチの影響を受けやすく、自分自身や組織に対するリスクが高まっています。このようなリスクに対する脆弱性を軽減するためには、批判的思考スキルを身につけることが重要です。
“Our trusted workforces (our insiders) are some of the most valuable assets in our nation, but they face an increasingly challenging risk environment,” said NCSC Deputy Director Michael Orlando. “It is imperative that we arm our trusted insiders with the resources and skills to counter increasingly sophisticated efforts to exploit our personnel, information, and resources.” NCSCのマイケル・オーランド副所長は、以下のように述べています。「信頼できる従業員(インサイダー)は、わが国で最も価値のある資産の一つですが、彼らはますます厳しいリスク環境に直面しています。私たちの人材、情報、資源を悪用しようとする巧妙化する努力に対抗するために、信頼できる内部関係者にリソースとスキルを提供することが不可欠です」。
“Increasing the workforce's awareness of manipulated information and attempts at online social engineering is critical to ensuring our trusted workforce remains resilient and vigilant against these threats,” said Ronald Moultrie, Under Secretary of Defense for Intelligence and Security. 国防省情報セキュリティ次官 Ronald Moultrie は、以下のように述べている。「信頼できる従業員がこれらの脅威に対して回復力と警戒心を維持するためには、操作された情報やオンラインのソーシャルエンジニアリングの試みに対する従業員の認識を高めることが重要です」。
Today, insider threat practitioners from across the U.S. Government and industry will participate in the 2022 Insider Threat Virtual Conference, hosted by the Department of Defense, to kick off the NITAM 2022 campaign. The 2022 Insider Threat Virtual Conference features senior level speakers and panelists who will present on critical thinking for the workforce, social engineering threats, an insider threat case study, and resources for workforce resiliency to counter insider risk. 本日、米国政府と産業界からインサイダー脅威の専門家が、国防総省が主催する2022年インサイダー脅威バーチャル会議に参加し、NITAM 2022キャンペーンを開始する予定です。2022年インサイダー脅威バーチャル会議では、上級レベルの講演者とパネリストが、労働力のための批判的思考、ソーシャルエンジニアリングの脅威、インサイダー脅威のケーススタディ、インサイダーリスクに対抗するための労働力の回復力に関するリソースについて発表します。
Recent examples underscore the damage that can be caused by insider threats: 最近の事例では、インサイダー脅威がもたらす被害が強調されています。
・In August 2022, a federal jury in California convicted Ahmad Abouammo, a former manager at Twitter, of acting as an unregistered agent of Saudi Arabia and other violations. Abouammo had used his position at Twitter to access, monitor, and convey the private information of Twitter users, including critics of the Saudi regime, to officials of the Kingdom of Saudi Arabia and the Saudi Royal family in exchange for bribes worth hundreds of thousands of dollars. ・2022年8月、カリフォルニア州の連邦陪審は、Twitterの元マネージャーであるAhmad Abouammoに対し、サウジアラビアの未登録のエージェントとして行動したなどの違反行為で有罪判決を下しました。アブアンモはTwitterでの地位を利用して、数十万ドル相当の賄賂と引き換えに、サウジアラビア政権の批判者を含むTwitterユーザーの個人情報にアクセスし、監視し、サウジアラビア王国および王室の関係者に伝えていたのです。
・In July 2022, a federal jury in New York convicted former CIA programmer Joshua Schulte of violations stemming from his theft and illegal dissemination of highly classified information.  Harboring resentment toward CIA, the programmer had used his access at CIA to some of the country’s most valuable intelligence-gathering cyber tools to covertly collect these materials and provide them to WikiLeaks, making them known to the public and to U.S. adversaries. ・2022年7月、ニューヨークの連邦陪審は、元CIAプログラマーのジョシュア・シュルトに、高度な機密情報の窃盗と違法な流布に起因する違反行為で有罪判決を下しました。  このプログラマーは、CIAに恨みを持ち、CIAで最も貴重な情報収集サイバーツールへのアクセス権を利用して、これらの資料を密かに収集し、ウィキリークスに提供して、一般市民や米国の敵対勢力に知らしめたのである。
・In June 2022, civilian defense contractor Shapour Moinian pleaded guilty in California to federal charges, admitting that he acted as an unregistered agent of China and accepted money from Chinese government representatives to provide them aviation-related information from his U.S. intelligence community and defense contractor employers.  An individual in China posing online as a job recruiter had contacted Moinian offering him a consulting opportunity. Moinian later traveled to China and other locations where he supplied US aviation information to individuals he knew were employed by or directed by the Chinese government in exchange for money. ・2022年6月、民間防衛請負業者のシャプール・モイニアンはカリフォルニア州で連邦政府の罪を認め、中国の無登録のエージェントとして行動し、中国政府の代表から金銭を受け取って、米国の情報機関や防衛請負業者の雇用主の航空関連情報を提供したことを認めています。  中国のある人物がオンラインで求職者を装ってモイニアン氏に連絡を取り、コンサルティングの機会を提供したのです。モイニアン氏はその後、中国やその他の場所に行き、中国政府に雇用されている、あるいは中国政府の指示を受けていると知っていた人物に、金銭と引き換えに米国の航空情報を提供しました。
It has been more than 10 years since Executive Order 13587 required all federal agencies with access to classified information to have their own insider threat prevention programs and directed the creation of the NITTF under the leadership of the Attorney General and the Director of National Intelligence. 大統領令13587号が、機密情報にアクセスするすべての連邦政府機関に対して、独自のインサイダー脅威防止プログラムを持つことを求め、司法長官と国家情報長官が主導するNITTFの創設を指示してから、10年以上が経ちました。
NITTF is currently housed at NCSC. Since its inception, the NITTF has worked with federal agencies to build programs that deter, detect, and mitigate insider threats. NITTF and NCSC coordinate insider threat training and awareness; liaison and assistance; governance and advocacy; and research and analysis for stakeholders in the public and private sector to reduce the risk of insider threats to public health and safety, economic security, and national security. NITTFは現在、NCSCに置かれています。NITTFは発足以来、連邦政府機関と協力し、インサイダー脅威を抑止、検知、緩和するプログラムを構築してきた。NITTFとNCSCは、公衆衛生と安全、経済安全保障、国家安全保障に対するインサイダー脅威のリスクを軽減するために、官民の関係者のために、インサイダー脅威のトレーニングと啓発、連絡と支援、統治と擁護、調査と分析の調整を行っています。

 


過去...

・2021.08.31 NCSC AND FEDERAL PARTNERS KICK OFF “NATIONAL INSIDER THREAT AWARENESS MONTH”

・2020.09.01 NCSC AND THE NATIONAL INSIDER THREAT TASK FORCE (NITTF) KICK OFF “NATIONAL INSIDER THREAT AWARENESS MONTH”

・2019.09.03 NCSC AND THE NATIONAL INSIDER THREAT TASK FORCE LAUNCH NATIONAL INSIDER THREAT AWARENESS MONTH IN SEPTEMBER 2019

 

| | Comments (0)

2022.09.05

経済産業省 意見募集 デジタルガバナンス・コード2.0(案) (2022.08.10)

こんにちは、丸山満彦です。

デジタルガバナンス・コード2.0(案)に対する意見募集が2022.08.10に出ていたことを、締め切りまで3日という時に案内するという...すみません。。。

DXって、デートとデジタル技術を活用してビジネスモデルを変革しようとするからうまく行かないようのではないかと思いますよね。。。ビジネス変革をしようと思っていたら、あらっ、こんなところに今まであまり使っていなかった便利なツール(スマホ、クラウド、AIソフト、VRとか)があるじゃないの、これ、リスクをちゃんと考慮して使っちゃいましょうよ、って感じで進めるんじゃないでしょうかね。。。

そういう意味では、新しいことをしたい、今あるプロセスを大幅に効率化したい、と思ったときに、スマホを使える業務プロセスがうまく当てはまるのであれば、DXいっちょできあがり的な感じになるように思います。。。このときに重要なのは、スマホを使うことではなく、「新しいこと」の内容であったり、「大幅に効率化」できたかどうかですよね。。。

 

● e-Gov. 

・2022.08.10 デジタルガバナンス・コード2.0(案)に対する意見募集について

・[PDF] 「デジタルガバナンス・コード2.0(案)」[Downloaded]

20220904-234748

 

DXの定義もされていますね。。。


DXの定義は次のとおりとする。「企業がビジネス環境の激しい変化に対応し、データとデジタル技術を活用して、顧客や社会のニーズを基に、製品やサービス、ビジネスモデルを変革するとともに、業務そのものや、組織、プロセス、企業文化・風土を変革し、競争上の優位性を確立すること。」


 

実は、この発表で気づいたんです。。。

経済産業省

・2022.08.31 「デジタルガバナンス・コード」の改訂に伴い、DX認定の基準等が変わります!

関連資料

関連リンク

 

■ 参考

経済産業省 - コロナ禍を踏まえたデジタル・ガバナンス検討会

・2022.08.04 第3回

・2022.07.13 第2回

・2022.01.26 第1回

 

| | Comments (0)

証券取引等監視委員会 開示検査事例集(令和3事務年度)

こんにちは、丸山満彦です。

証券取引等監視委員会が、令和3事務年度の開示検査事例集を公表していますね。。。

証券取引等監視委員会の開示検査は、開示規制違反の早期発見・早期是正や再発防止・未然防止のため、上場会社等の開示書類の記載内容を検査するものです。虚偽記載等が認められた場合は、金融庁長官に対して、課徴金納付命令を出すように勧告することもあります。また、重大で悪質な場合は、金融商品取引法に基づき、証券監視委員会が犯罪調査をすることになります。。。

事例等を読んでいると、しびれる内容も多くあります。

また、監視委コラムが地味に興味深いです。。。

 

証券取引等監視委員会

・2022.08.31 「開示検査事例集(令和3事務年度)」の公表について

・[PDF] 開示検査事例集(令和3事務年度)

20220904-215133

目次...

目 次
証券取引等監視委員会からのメッセージ
監視委コラム(開示検査と犯則調査は何が違う?)

Ⅰ 最近の開示検査の取組み
 監視委コラム(「業界特有の商流」ってどんなもの?)
 監視委コラム(大量保有報告書・変更報告書の提出義務について)

Ⅱ 最近の開示検査の実績とその内容
1 課徴金納付命令勧告事案の概要
2 開示規制違反の背景・原因
3 金融商品取引法違反行為に係る裁判所への禁止及び停止命令発出の申立て(無届募集)
4 その他
 監視委コラム(内部統制やガバナンス体制は大丈夫ですか?)
 監視委コラム(特定関与行為とは?)

Ⅲ 最新の課徴金納付命令勧告事例
1 売上の過大計上
【事例 1】売上の過大計上等
【事例 2】売上の過大計上
【事例 3】売上の過大計上等
【事例 4】売上の過大計上等

2 費用の過少計上
【事例 5】販売費及び一般管理費の過少計上等
3 売上の前倒し計上
【事例 6】売上の前倒し計上等
4 特別損失
【事例 7】滅損損失の過少計上
5 資産
【事例 8】ソフトウェア仮勘定の架空計上等

Ⅳ 過去の検査事例
1 開示書類の虚偽記載
(1)
売上高
【事例 9】 子会社による売上の過大計上等
【事例 10】売上の過大計上
【事例 11】子会社による売上の過大計上
【事例 12】売上の過大計上等
【事例 13】当社及び子会社における売上の前倒し計上等
 監視委コラム(証券監視委と公認会計士・監査審査会との連携)
【事例 14】子会社による架空売上の計上等
 監視委コラム(架空取引(資金循環取引)の気付き)
【事例 15】売上の過大計上
 監視委コラム(「業界の特殊性」は本当?)

(2)
売上原価
【事例 16】売上原価の過少計上等
【事例 17】子会社による売上原価の過少計上等
 監視委コラム(海外子会社管理は大丈夫?)
【事例 18】売上原価の過少計上等

(3)
販売費及び一般管理費
【事例 19】子会社による費用の過少計上
【事例 20】代位弁済立替金に係る貸倒引当金の過少計上

(4)
営業外利益
【事例 21】グループ会社を連結の範囲から除外し、内部取引利益を連結決算で利益計上
(5)
営業外費用
【事例 22】貸倒引当金の過少計上
(6)
特別利益
【事例 23】匿名組合清算配当金の過大計上
(7)
特別損失
【事例 24】貸倒損失の不計上
【事例 25】長期未収入金及び長期貸付金に係る貸倒引当金の過少計上

(8)
資産
【事例 26】ソフトウェアの架空計上
【事例 27】のれんの過大計上
【事例 28】投資有価証券の過大計上
【事例 29】棚卸資産の過大計上

(9)
負債
【事例 30】前受金の過少計上
(10)
純資産
【事例 31】純資産額の過大計上
(11)
関連当事者取引に係る注記の不記載
【事例 32】関連当事者取引に係る注記の不記載
 監視委コラム(関連当事者取引はなぜ注記が必要か?)

(12)
非財務情報
【事例 33】「コーポレート・ガバナンスの状況」の虚偽記載
【事例 34】役員の報酬等の過少記載
 監視委コラム(非財務情報の開示の充実)
【事例 35】大株主の所有株式数の虚偽記載
【事例 36】第三者割当予定先の状況等に係る虚偽記載

2 開示書類の不提出に係る個別事例
【事例 37】訂正届出書の不提出
 監視委コラム(充実した第三者割当に関する情報)
【事例 38】発行開示書類(有価証券届出書)の不提出

3 検査による自発的訂正
【事例 39】A社(東証二部、製造業(その他製品))
【事例 40】B社(東証ジャスダック、機械)
【事例 41】C社(非上場、サービス業)

4 内部統制の実態
【事例 42】A社(東証一部、サービス業)
【事例 43】B社(東証マザーズ、建設業)
【事例 44】C社(東証ジャスダック、情報・通信業)

5 再発防止策の履行状況把握
【事例 45】A社(東証一部、サービス業)
6 特定関与行為に係る個別事例
【事例 46】特定関与行為(東証一部、広告制作業)

Ⅴ 審判手続の状況及び個別事例
【審判事例 1】新株予約権証券の募集を行った相手方の使用人該当性の可否
【審判事例 2】関連当事者との取引における「重要な事項」の不記載への該当性
【審判事例 3】第三者割当予定先の状況等の虚偽記載
【審判事例 4】販売斡旋手数料の売上計上の可否(役務提供及び対価の実態の有無)
【審判事例 5】課徴金の要件としての経済的利得や故意過失の必要性
【審判事例 6】虚偽記載のある有価証券届出書により新株予約権証券を取得させた場合の課徴金額
【審判事例 7】虚偽記載(資産の架空計上)の有無

Ⅵ 参考資料

 

過去の事例(2008年からあります) ...

課徴金事例集・開示検査事例集

 

| | Comments (0)

2022.09.04

総務省 ICT を取り巻く市場環境の動向に関する調査研究の請負報告書

こんにちは、丸山満彦です。

総務省が、「ICT を取り巻く市場環境の動向に関する調査研究の請負報告書」を公表しています。作成したのは、株式会社情報通信総合研究所ですね。。。

情報通信白書の一部になっていくんですよね。。。

 

総務省 - 予算執行の情報 - 委託調査費関連

・[EXLX] 令和3年度 委託調査費の支出状況(第4四半期) - 4-28 デジタル社会における経済安全保障に関する調査研究の請負

・2022.03 [PDF] ICT を取り巻く市場環境の動向に関する調査研究の請負報告書

20220904-72102

 

目次...


第 1 章 ICT を取り巻く市場環境の動向の調査

1 節 ICT 市場全体の概観

2 節 コンテンツ・アプリケーションレイヤーの動向
2-1.
コンテンツ・アプリケーション市場の動向
 2-1-1.
動画配信・音楽配信・電子書籍
 2-1-2. SNS 市場
 2-1-3. メタバース市場
 2-1-4. EC 市場
 2-1-5. 電子決済市場
 2-1-6. 検索サービス市場

2-2.
広告市場の動向
2-3.
クラウドサービス市場の動向
2-4.
データセンター市場の動向
2-5.
コンテンツ・アプリケーションレイヤーの今後の展望

3 節 プラットフォームレイヤーの動向
3-1.
主要なサービス事業者の動向
3-2.
プラットフォームレイヤーの国際競争力
3-3.
海外プラットフォーマーの台頭が日本経済に与える影響
3-4.
プラットフォームレイヤーに関する海外の政策動向
3-5.
プラットフォームレイヤーの今後の展望

4 節 ネットワークレイヤーの動向
4-1.
国内外の通信市場の動向
 4-1-1.
固定・移動通信サービス
 4-1-2. 主要国別の主要事業者の動向
 4-1-3. トピック

4-2.
国内外の放送市場の動向
 4-2-1.
市場概況
 4-2-2. 主要事業者の動向

4-3.
ネットワークレイヤーに関する海外の政策動向
4-4.
ネットワークレイヤーの今後の展望

5 節 機器・端末レイヤーの動向
5-1.
国内外の情報端末市場の動向
5-2.
国内外のネットワーク機器市場の動向
5-3.
国内外の半導体市場の動向
5-4.
国内外の機器・端末レイヤーの輸入額・輸出額の推移

6 節 レイヤー横断的な課題及び主要事業者の動向
6-1.
サイバーセキュリティ
 6-1-1.
サイバーセキュリティの市場動向
 6-1-2. サイバーセキュリティの主要事業者の動向

6-2. AI
(人工知能)
 6-2-1. AI
の市場動向
 6-2-2. AI の主要事業者の動向



| | Comments (0)

KPMG 消費財・小売セクター 「取締役会の優先課題2022」「監査委員会の優先課題2022」

こんにちは、丸山満彦です。

KPMGが消費財・小売セクター 「取締役会の優先課題2022」「監査委員会の優先課題2022」を公表していますね。。。

KPMG (Japan)

・2022.08.31 取締役会の優先課題2022:消費財・小売

・2022.08.31 監査委員会の優先課題2022:消費財・小売

それぞれ、8項目、9項目が取り上げられていますが、いずれにも、サイバー・プライバシー関係の内容が含まれていますね。。。

 

取締役会の優先課題

  1. デジタル化が加速する未来に向けた戦略に取締役会(米国)が積極的に関与する
  2. 気候リスクやDEIを含め、ESGをリスクと戦略に関する議論に組み込み、「何を」「どのように」行うかについて話し合いを進める
  3. インフレーション、経済、税制に関する政策変更を適切に監視し、対応するプロセスが導入されていることを確認する
  4. 経営陣とともに、サプライチェーンの混乱、回復力、および進化の優先順位を決定する
  5. 顧客、進化する顧客行動、そして市場チャネルに再び焦点を当てる
  6. 文化と人材、特に、採用、定着率、新たなスキルの開発を優先課題とする
  7. サイバーセキュリティ、ランサムウェア、データガバナンス、プライバシーを特に重視する
  8. 取締役会のメンバーと多様性について戦略的検討を行う

となっていて、デジタル、ESG、マクロ経済・政策、サプライチェーン、マーケット、人材、サイバー・プライバシー、I&Dとなっていますね。。。そこにサイバー・プライバシーが項目としてはやはり入ってくるということですかね。。。

 

監査委員会の優先課題

  1. ハイブリッドな作業環境における、財務報告と関連する内部統制リスクに引き続き注力する
  2. 気候変動その他のESG開示に関するSECのルール策定活動をモニターし、監査委員会のESG監督責任を明確にする
  3. 世界の税制動向とリスク、特に租税政策の変更、貿易と関税、ESGによる税務上の影響を常に把握する
  4. サイバーセキュリティとランサムウェア対策を優先課題として取り上げる
  5. デジタル化と顧客中心主義が進む世界で、いかにデータガバナンスが優先課題として認識されているかを理解する
  6. 監査人がいかにテクノロジーを利用して監査を補佐し、質の向上を図っているかを理解する
  7. デジタルファイナンス改革の過程と効果的なリソース管理について理解する
  8. 内部監査の焦点が企業の重大リスクから外れることのないよう補佐していく
  9. 監査委員会と一緒にいる時間を最大限に活用する

やはり、こちらにもサイバーは含まれていますね。。。

個人的には、無難な内容な取締役会の優先課題よりも、より踏み込んでいる監査委員会の優先課題の方が興味深いです。。。

詳細な内容を読むには、会員登録が必要です。。。

 

さて、同様のテーマで他のBig4とかも発表していると思い調べてみると。。。


EYは、地域(US、欧州、アジア・パシフィック)ごとに発表していますね。。。

EY 

・2022.04.22 2022年取締役会の優先事項︓アジア太平洋地域で企業が成功するために取締役会が取り得る対策とは

2022 board priorities: critical questions for US boards to consider

Seven priorities for EMEIA boards to transform their 2022 agenda

 

さて、サイバー・プライバシー関係ですが、

アジア・パシフィックの報告書では、3つの領域

1. Environmental, social and governance (ESG)
2. Digital transformation and cyber security
3. Talent

が重要だとしていますが、デジタル化の推進にはセキュリティ対策が不可欠ということで、セキュリティについての記載がありますね。。。

US、EMEIAでも同様にサイバーは含まれていますね。。。

 

Fig1_20220904062101

| | Comments (0)

総務省 デジタル社会における経済安全保障に関する調査研究 報告書

こんにちは、丸山満彦です。

総務省の調査研究です。

表題は、「デジタル社会における経済安全保障に関する調査研究 報告書」なんですけどね、、、歴史書として面白いです。。。

 

総務省 - 予算執行の情報 - 委託調査費関連

・[EXLX] 令和3年度 委託調査費の支出状況(第4四半期) - デジタル社会における経済安全保障に関する調査研究の請負

・2022.03 [PDF] デジタル社会における経済安全保障に関する調査研究 報告書


20220903-04243

目次...


序章 白書刊行当初(昭和 48 年)と現在の環境の変化
1
節 コミュニケーション手段の普及・多様化・高度化
2
節 企業における ICT 環境の変化
3
節 社会活動と ICT
 1-3-1.
教育と通信
 1-3-2. 医療と通信
 1-3-3. 防災と通信
 1-3-4. 公害対策と通信
 1-3-5. 農業と通信

第 1 章 過去 50 年間での変化を時系列で振り返る
1
19731985 年頃:アナログ通信の時代
2
19851995 年頃:デジタル化の進展
3
19952005 年頃:インターネット、パソコン、携帯電話の普及期
4
20052015 年頃:モバイル活用の拡大とブロードバンド化、グローバル化
5
2015 年-現在:社会・経済インフラとしての定着

第 2 章 今後の日本社会の展望
1
節 今後の日本社会における ICT の役割に関する展望
 2-1-1.
今後の日本社会の展望
 2-1-2. ICT が果たすべき役割の展望

2
ICT の普及に伴うリスクへの対応
 2-2-1. ICT
を巡るサプライチェーンとサプライチェーン強靱化に向けた取組の現状
 2-2-2. デジタルインフラ(データセンター、海底ケーブル等)の現状
 2-2-3. データガバナンス、違法・有害情報への対応の現状
 2-2-4. サイバー攻撃インフラ検知等のセキュリティ対策の現状
 2-2-5. 先端技術に係る研究開発等の現状
 2-2-6. デジタル変革 (DX) の加速



 

| | Comments (0)

2022.09.03

総務省 「自治体デジタル・トランスフォーメーション(DX)推進計画」等の改定

こんにちは、丸山満彦です。

総務省が、自治体デジタル・トランスフォーメーション(DX)推進計画」(令和2年12月25日策定)等の改定版である、自治体デジタル・トランスフォーメーション(DX)推進計画【第2.0版】を公表していますね。。。

改訂点・・・

20220903-14143

 

総務省

・2022.09.02 「自治体デジタル・トランスフォーメーション(DX)推進計画」等の改定 

| | Comments (0)

日本内部監査協会 第65回内部監査実施状況調査結果 -2020年度における各社の内部監査テーマ・要点集

こんにちは、丸山満彦です。

日本監査協会が毎年発行している内部監査実施状況調査結果も今年で65回なんですね。。。

会員はPDFで読めるようです。書籍として7,700円でアマゾンから買えるようになりますね。。。

 

日本内部監査協会

・2022.08.30 第65回内部監査実施状況調査結果 -2020年度における各社の内部監査テーマ・要点集

10131tn

目次は、

  1. 調査結果の発表に当たって
  2. 調査要領
  3. 調査結果の概要
  4. 解説・所見 九州大学大学院経済学研究院 丸田 起大
  5. 調査結果:監査対象業務別に見た内部監査実施状況
    • A. 購買業務
    • B. 外注管理業務
    • C. 製造業務
    • D. 営業業務
    • E. 経理業務
    • F. 棚卸資産管理業務
    • G. 固定資産管理業務
    • H. 総務・人事・厚生業務
    • I. 情報システム
    • J. 全般管理・組織・制度
    • K. 関係会社とその管理業務
    • L. 物流業務
    • M. 研究開発業務
    • N. 環境管理業務
    • O. その他

となっていますね。。。

サイバーセキュリティはなくて、情報システムの中に入っているのだろうと思います。業務サイクル別に監査をするということから、上記のような区分になるのだろうと思います。。。

会社全体から見るとサイバーセキュリティってこんなもんなんですかね。。。

 

 

| | Comments (0)

米国 NISC NCCoEの話題:エンタープライズモビリティのための7つのプライバシー課題

こんにちは、丸山満彦です。

NISCがNCCoEの話題として、エンタープライズモビリティのための7つのプライバシー課題を発表していますね。。。

 

NIST - National Cybersecurity Center of Excellence

・2022.08.30 The NCCoE Buzz: 7 Privacy Challenges for Enterprise Mobility

Enterprise Mobile Device Security: 7 Privacy Challenges for Enterprise Mobility エンタープライズモバイルデバイスセキュリティ:エンタープライズモビリティのための7つのプライバシー課題
When organizations allow employees to use mobile devices for work (e.g., Bring Your Own Device/BYOD), there are potential privacy implications that can impact employees. Privacy and cybersecurity are commonly thought of as two distinct areas, but when considering the risks of each, they often intersect. 組織が従業員にモバイルデバイスを業務で使用させる場合(例:BYOD)、従業員に影響を与える可能性のあるプライバシーに関する問題がある。プライバシーとサイバーセキュリティは、一般に2つの異なる領域と考えられているが、それぞれのリスクを考慮すると、しばしば交錯することがある。
Below is a list of 7 privacy challenges for enterprise mobile deployments, some of which arise from cybersecurity-related risks: 以下は、エンタープライズのモバイル導入におけるプライバシーの7つの課題のリストである。そのうちのいくつかは、サイバーセキュリティ関連のリスクから生じている。
1. Loss of information via device wipe 1. デバイスのワイプによる情報の喪失
2. Device surveillance 2. デバイスの監視
3. Data transmission via third parties security tools 3. サードパーティセキュリティツール経由のデータ送信
4. Malicious applications 4. 悪意のあるアプリケーション
5. Employee awareness of organizational policies 5. 組織のポリシーに対する従業員の意識
6. Unsecured public Wi-Fi 6. 安全が確保されていない公衆無線LAN
7. Lost or stolen devices 7. デバイスの紛失・盗難

 

・[PDF] 7 Privacy Challenges for Enterprise Mobility

20220902-233624

 

1. Loss of Information via Device Wipe  1. デバイスワイプによる情報の喪失
Employees may lose personal information due to the organization performing a device wipe without notification  組織による無通知での端末消去により、従業員が個人情報を失う可能性がある。
2. Device Surveillance  2. デバイスの監視 
Organizational collection of geolocation, application data, and hardware information may make employees feel surveilled  組織的に位置情報、アプリケーションデータ、ハードウェア情報を収集することで、従業員が監視されていると感じる可能性がある。
3. Data Transmission via Third Parties Security Tools  3. サードパーティセキュリティツール経由のデータ送信 
Information that is shared to third party security tools may not be transmitted securely or properly de-identified which may lead to re-identification of employee data  第三者のセキュリティツールに共有される情報は、安全に送信されず、適切に識別が解除されない可能性があり、従業員データの再識別につながる可能性がある。
4. Malicious Applications  4. 悪意のあるアプリケーション 
Employees may experience data loss via installation and use of insecure applications from first- or third-party application stores  従業員は、ファーストまたはサードパーティのアプリケーションストアから安全でないアプリケーションをインストールし、使用することにより、データ損失を経験する可能性がある。
5. Employee Awareness of Organizational Policies  5.組織のポリシーに対する従業員の意識
Employees may not be aware of or may forget organizational data collection/use policies which may result in a loss of trust between the employee and the organization  従業員は、組織のデータ収集/使用ポリシーを知らないか、忘れている可能性があり、その結果、従業員と組織との間の信頼関係が失われる可能性がある。
6. Unsecured Public Wi-Fi  6. 安全が確保されていない公衆無線LAN 
Employees may have browsing sites and data, along with communication messages, exposed by using public access points which may result in embarrassment or stigmatization  公共のアクセスポイントを利用することで、閲覧サイトやデータ、通信メッセージが流出し、羞恥心や烙印を押される可能性がある。
7. Lost or Stolen Devices  7. デバイスの紛失・盗難 
Employees may experience data loss via lost or stolen devices that utilize insecure methods of authentication or lack of remote wiping capability  安全でない認証方法、リモートワイプ機能のないデバイスの紛失や盗難により、データが消失する可能性がある。

 

 

| | Comments (0)

2022.09.02

中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版)

こんにちは、丸山満彦です。

中国 国家サイバースペース管理局 データ越境セキュリティ評価報告書作成ガイド(第1版)を公表していますね。。。

申請の雛形等がありますね。。。

 

● 中央网安全和信息化委公室 (Cyberspace Administration of China: CAC)

・2022.08.31 国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》

国家互联网信息办公室发布《数据出境安全评估申报指南(第一版)》 国家サイバースペース管理局、「データ越境セキュリティ評価申告の手引き(第一版)」を公開
为了指导和帮助数据处理者规范、有序申报数据出境安全评估,国家互联网信息办公室编制了《数据出境安全评估申报指南(第一版)》,对数据出境安全评估申报方式、申报流程、申报材料等具体要求作出了说明。 データ処理者がデータ越境セキュリティ評価を標準的かつ秩序立てて申告することを指導、支援するため、国家サイバースペース管理局は、「データ越境セキュリティ評価申告ガイド(第1版)」を作成し、データ越境セキュリティ評価の申告方法、申告プロセス、申告資料に関する具体的な要求事項を説明した。
数据处理者因业务需要确需向境外提供数据,符合数据出境安全评估适用情形的,应当根据《数据出境安全评估办法》规定,按照申报指南申报数据出境安全评估。 データ処理者が業務上中国国外にデータを提供する必要があり、データ越境セキュリティ評価の適用状況に該当する場合、データ越境セキュリティ評価措置の規定に基づき、報告ガイドラインに従ってデータ越境セキュリティ評価を申告する必要がある。

 

・[PDF] 数据出境安全评估申报指南(第一版)

20220902-90957

 

本文

数据出境安全评估申报指南(第一版) データ越境セキュリティ評価報告書作成ガイド(第1版)
《数据出境安全评估办法》自 2022 年 9 月 1 日起施行。为指导和帮助数据处理者规范、有序申报数据出境安全评估,特制定本指南。 データ越境安全性評価措置は、2022年9月1日から施行する。 本ガイドラインは、データ処理業者がデータ越境のセキュリティ評価を標準的かつ整然と宣言するための指針として策定されたものである。
一、适用范围 I. 適用範囲
数据处理者向境外提供数据,有下列情形之一的,应当通过所在地省级网信办向国家网信办申报数据出境安全评估: 中国国外でデータを提供するデータ処理業者は、以下の状況に該当する場合、所在地の省サイバースペース管理局を通じて、国家サイバースペース管理局にデータ越境安全評価を申告しなければならない。
(一) 数据处理者向境外提供重要数据; (1)データ処理業者が重要なデータを中国国外で提供する。
(二) 关键信息基础设施运营者和处理 100 万人以上个人信息的数据处理者向境外提供个人信息; (2) 100万人以上の個人情報を取り扱う重要情報インフラ事業者及び情報処理事業者が、中国国外に個人情報を提供する場合。
(三) 自上年 1 月 1 日起累计向境外提供 10 万人个人信息或者 1 万人敏感个人信息的数据处理者向境外提供个人信息; (3) 前年の1月1日以降、累計で10万人分の個人情報または1万人分の機微な個人情報を外国に提供したデータ処理事業者。
(四) 国家网信办规定的其他需要申报数据出境安全评估的情形。 (4) その他、国家サイバースペース管理局が規定する、データ越境セキュリティ評価の申告を必要とする状況。
以下情形属于数据出境行为: 次のような場合、データ越境行為とみなされる。
(一) 数据处理者将在境内运营中收集和产生的数据传输、存储至境外; (1) 国内業務の過程で収集・生成されたデータを国外で転送・保管するデータ処理業者
(二) 数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以查询、调取、下载、导出; (2) 情報処理機関が収集し生成したデータが領域内に保存され、領域外の機関、組織、または個人が照会、検索、ダウンロード、または越境できること。
(三) 国家网信办规定的其他数据出境行为。 (3) その他、国家サイバースペース管理局の定めるデータ越境行為。
二、申报方式及流程 II. 宣言の方法とプロセス
数据处理者申报数据出境安全评估,应当通过所在地省级网信办申报数据出境安全评估。申报方式为送达书面申报材料并附带材料电子版。 データ処理業者は、所在地の省サイバースペース管理局を通じて、データ越境のセキュリティ評価を申告しなければならない。 申告は書面で行い、申告資料の電子版を添付するものとする。
省级网信办收到申报材料后,在 5 个工作日内完成申报材料的完备性查验。通过完备性查验的,省级网信办将申报材料上报国家网信办;未通过完备性查验的,数据处理者将收到申报退回通知。 申告資料を受領後、5営業日以内に道庁インターネット局が申告資料の完全性チェックを行う。 申告資料が完全性チェックに合格した場合、省内サイバースペース管理局は国家サイバースペース管理局に申告資料を提出し、申告資料が完全性チェックに合格しない場合、データ処理者に申告の返送を通知する。
国家网信办自收到省级网信办上报申报材料之日起 7 个工作日内,确定是否受理并书面通知数据处理者。 省サイバースペース管理局から提出された申告資料を受け取った日から7営業日以内に、国家サイバースペース管理局は申告の可否を判断し、データ処理者に書面で通知する。
数据处理者如被告知补充或者更正申报材料,应当及时按照要求补充或者更正材料。无正当理由不补充或者更正申报材料的,安全评估将会终止。情况复杂的,数据处理者将被告知评估预计延长的时间。 データ処理者は、申告された資料を補足または訂正するよう通知された場合、要求事項に従って適時にそれを行う必要がある。 正当な理由なく追加または訂正の申告がない場合は、セキュリティ評価を終了する。 複雑なケースでは、データ処理者に評価の延長が予想されることを通知する。
评估完成后,数据处理者将收到评估结果通知书。对评估结果无异议的,数据处理者须按照数据出境安全管理相关法律法规和评估结果通知书的有关要求,规范相关数据出境活动;对评估结果有异议的,数据处理者可以在收到评估结果通知书 15 个工作日内向国家网信办申请复评,复评结果为最终结论。 評価終了後、データ処理者は評価結果の通知を受け取ります。 評価結果に異議がない場合、情報処理者は、データ越境の安全管理に関する関連法規および評価結果通知書の関連要求に従って、関連するデータ越境活動を規制しなければならない。評価結果に異議がある場合、情報処理者は評価結果通知を受け取った後15営業日以内に国家サイバースペース管理局に再審査を申請でき、再審査結果を最終結論としなければならない。
三、申报材料 III. 宣言資料
数据处理者申报数据出境安全评估,应当提交如下材料 データ処理業者は、データ越境セキュリティ評価を宣言するために、以下の資料を提出しなければならない。
(数据出境安全评估申报材料要求见附件 1): (データ越境のセキュリティ評価に関する宣言資料の要件は附属書1参照)
1.统一社会信用代码证件影印件 1. 統一社会信用規約文書の写し
2.法定代表人身份证件影印件 2. 法定代理人の身分証明書の写し
3.经办人身份证件影印件 3. 担当者の身分証明書の写し
4.经办人授权委托书(模板见附件 2) 4. 管理者の承認書(雛形は附属書2参照)
5.数据出境安全评估申报书(模板见附件 3) 5. データ越境セキュリティ評価宣言(雛形は附属書3参照)
6.与境外接收方拟订立的数据出境相关合同或者其他具有法律效力的文件影印件 6. 海外の受取人とのデータ消去契約書等の法的拘束力のある文書の写し
7.数据出境风险自评估报告(模板见附件 4) 7. データ越境リスクに関する自己評価報告書(雛形は附属書4参照)
8.其他相关证明材料 8. その他関連する補足資料
数据处理者对所提交材料的真实性负责,提交虚假材料的,按照评估不通过处理,并依法追究相应法律责任。 データ処理者は、提出された資料の真偽について責任を負うものとし、虚偽の資料が提出された場合、評価は却下され、対応する法的責任が法律に基づいて調査されるものとする。
四、申报咨询 IV.宣言コンサルテーション
电子邮箱:sjcj@cac.gov.cn 联系电话:010-55627135 Eメール:sjcj@cac.gov.cn 電話:010-55627135
附件:1.数据出境安全评估申报材料要求 附属書1. データ越境セキュリティ評価提出要件
2.经办人授权委托书(模板) 2. 管理者向け申請書(雛形)
3.数据出境安全评估申报书(模板) 3. データ越境セキュリティ評価申告書(雛形)
4.数据出境风险自评估报告(模板) 4. データ越境リスク自己評価報告書(雛形)

 

1_20210612030101

 


関連

まるちゃんの情報セキュリティ気まぐれ日記

・2022.07.13 中国 国家サイバースペース管理局 「データ越境セキュリティ評価弁法」を公表 (2022.07.07)

・2021.11.01 中国 意見募集 データ域外移転のセキュリティ評価に関する弁法

 

 

| | Comments (0)

米国 PCAOB 中国・香港に本社を置く登録会計事務所を検査することについて中国証券監督管理委員会、中華人民共和国財政部と議定書に署名 (2022.08.26)

こんにちは、丸山満彦です。

公開企業会計監視委員会 (Public Company Accounting Oversight Board: PCAOB)  と中国証券監督管理委員会(中国证券监督管理委员会)、中華人民共和国財政部(中华人民共和国财政部)が、中国・香港に本社を置く登録会計事務所を検査することについて合意し、議定書に署名をしたようですね。。。

NY証券取引所に上場している企業を監査をするためには、PCAOBに登録をし、PCAOBの定期的な検査を受けないといけないことになっています。(もちろん、米国は監査法人はもちろん、日本の監査法人も同じで、日本の監査法人にもPCAOBの検査が入っています。。。)

しかし、中国政府は、中国の監査法人にPCAOBの検査が入ることにより、その監査法人の秘密?あるいはその監査法人が監査をしている他の企業の情報がPCAOBに漏れること?を気にして、検査が入ることを拒んでいましたね。。。で、法改正を経て、いよいよ、NY証券取引所に上場している企業が上場廃止になるということで、合意に漕ぎ着いたという感じでしょうかね。。。

10年かかって、やっとここまできましたが、PCAOBもSECも、合意をしたのは始まりに過ぎず、問題は、この合意が守られるかどうかだということになっていますね。。。

中国側の発表はあっさりとしていますが、ちゃんとプレスしていますね。。。

さて、どうなるのでしょうかね。。。

 

Public Company Accounting Oversight Board: PCAOB

・2022.08.26 PCAOB Signs Agreement with Chinese Authorities, Taking First Step Toward Complete Access for PCAOB to Select, Inspect and Investigate in China

PCAOB Signs Agreement with Chinese Authorities, Taking First Step Toward Complete Access for PCAOB to Select, Inspect and Investigate in China PCAOBが中国当局と協定を締結し、PCAOBの中国での選定、検査、調査への完全なアクセスに向けた第一歩を踏み出した。
Chair Williams underscores agreement is just first step, says PCAOB must now test it before making December determination ウィリアムズ委員長は、合意は最初の一歩に過ぎないことを強調し、PCAOBは12月の決定を下す前に今試験を行う必要があると述べた。
Public Company Accounting Oversight Board (PCAOB) Chair Erica Y. Williams released the following statement today after the PCAOB signed a Statement of Protocol with the China Securities Regulatory Commission and the Ministry of Finance of the People’s Republic of China – the first step toward opening access for the PCAOB to inspect and investigate registered public accounting firms headquartered in mainland China and Hong Kong completely, consistent with U.S. law.  公開会社会計監視委員会(PCAOB)のエリカ・Y・ウィリアムズ委員長は本日、PCAOBが中国証券監督管理委員会および中華人民共和国財政部との間で議定書に署名し、中国本土および香港に本社を置く登録会計事務所を米国の法律と整合的に検査・調査できるようPCAOBに開放するための最初の一歩となったことを受け、次の声明を発表した。 
From Chair Williams: ウィリアムズ議長より
“The U.S. Congress sent a strong message with the passage of the Holding Foreign Companies Accountable Act that access to the U.S. capital markets is a privilege, not a right. 「米国議会は、Holding Foreign Companies Accountable Actの可決により、米国資本市場へのアクセスは権利ではなく特権であるという強いメッセージを発した。
“The PCAOB has been working to execute our mandate under the law. PCAOBは、この法律の下での任務を遂行するために活動してきた。
“As part of our ongoing efforts, this morning, the PCAOB signed a Statement of Protocol with the China Securities Regulatory Commission and the Ministry of Finance of the People’s Republic of China – the first step toward opening access for the PCAOB to inspect and investigate completely registered public accounting firms in mainland China and Hong Kong. これは、PCAOBが中国本土および香港の完全登録型会計事務所を検査・調査するためのアクセスを開放する第一歩となるものである。
“On paper, the agreement signed today grants the PCAOB complete access to the audit work papers, audit personnel, and other information we need to inspect and investigate any firm we choose, with no loopholes and no exceptions. But the real test will be whether the words agreed to on paper translate into complete access in practice. 今日締結された協定は、書類上、PCAOBに監査書類、監査人員、その他我々が選んだ監査法人を検査・調査するために必要な情報へのアクセスを、抜け穴や例外なく完全に許可するものである。しかし、真の試練は、紙の上で合意された言葉が、実際の完全なアクセスにつながるかどうかである。
“Today, I directed the PCAOB inspection team to finalize their preparations to be on the ground by mid-September so we can put this agreement to the test. 本日、私はPCAOBの検査チームに対し、9月中旬までに現地に到着するよう最終準備するよう指示した。
“The Statement of Protocol grants the PCAOB complete access in three important ways: 議定書では、3つの重要な点においてPCAOBに完全なアクセスを許可している。
1. The PCAOB has sole discretion to select the firms, audit engagements and potential violations it inspects and investigates – without consultation with, nor input from, Chinese authorities. 1. PCAOBは、中国当局と協議することなく、また中国当局の意見を聞くことなく、検査・調査する監査法人、監査業務、潜在的な違反行為を単独で選択することができる。
2. Procedures are in place for PCAOB inspectors and investigators to view complete audit work papers with all information included and for the PCAOB to retain information as needed. 2. PCAOBの検査官と調査官は、すべての情報が含まれた完全な監査報告書を閲覧し、PCAOBが必要に応じて情報を保持する手続きを行っている。
3. The PCAOB has direct access to interview and take testimony from all personnel associated with the audits the PCAOB inspects or investigates. 3. PCAOBは、PCAOBが検査または調査する監査に関連するすべての職員に直接面会し、証言を得ることができる。
“Now we will find out whether those promises hold up. このような約束が守られるかどうか、私たちはこれから見極めることになる。
“Our dedicated teams of professionals have been preparing for this moment for months, and they are ready to work swiftly, but thoroughly, to carry out our inspections and investigations. Whether our teams are able to complete that work without obstruction will inform the PCAOB’s determinations at the end of this year. 私たちの専門家チームは、この瞬間のために何ヶ月も準備を進めてきた。私たちのチームが妨害されることなく仕事を完了できるかどうかが、今年末のPCAOBの判断材料となる。
“While we have much more work to do, we would never have gotten to where we are today without the work of the U.S. Congress, and I am grateful to Members of Congress for their ongoing leadership as the PCAOB continues our work to carry out the law. まだまだやるべきことはたくさんあるが、米国議会の働きなくして今日の状況はあり得ない。PCAOBが法律を遂行するための仕事を続ける中で、議員の皆さんの継続的なリーダーシップに感謝している。
“I want to thank my fellow PCAOB Board Members, Chair Gensler and the Securities and Exchange Commission for their support of the PCAOB’s efforts throughout this process, and our talented PCAOB staff – those who worked tirelessly to get to today’s agreement and those whose continued efforts will put it to the test. PCAOB理事会メンバー、ゲンスラー議長、そしてこのプロセスを通じてPCAOBの努力を支援してくれた証券取引委員会、そして有能なPCAOBスタッフ(今日の合意に至るまで精力的に働いてくれたスタッフ、そして今後も試練に立ち向かうスタッフ)に感謝したい。
“Now our work continues, guided by the same mission that guides everything we do at the PCAOB: protecting investors. That is what this is all about.” 私たちは、PCAOBのすべての活動の指針である「投資家の保護」という同じ使命に導かれ、仕事を続けている。それが、今回の合意である。」
The PCAOB inspects and investigates registered public accounting firms in more than 50 jurisdictions around the world, consistent with its mandate under the Sarbanes-Oxley Act. PCAOBは、サーベンス・オックスレー法に基づいて、世界中の50以上の国・地域の登録会計事務所を検査・調査している。
But, for more than a decade, the PCAOB’s access to inspect and investigate registered public accounting firms in mainland China and Hong Kong has been obstructed. しかし、10年以上にわたって、PCAOBが中国本土と香港の登録会計事務所を検査・調査するためのアクセスは妨害されてきた。
In 2020, Congress passed the Holding Foreign Companies Accountable Act (HFCAA). Under the HFCAA, beginning with 2021, after three consecutive years of PCAOB determinations that positions taken by authorities in the People's Republic of China (PRC) obstructed the PCAOB's ability to inspect and investigate registered public accounting firms in mainland China and Hong Kong completely, the companies audited by those firms would be subject to a trading prohibition on U.S. markets. 2020年、議会は外国企業の責任追及法(HFCAA)を可決した。HFCAAでは、2021年から、中華人民共和国(PRC)当局の立場がPCAOBによる中国本土および香港の登録会計事務所の検査・調査能力を完全に妨害したとPCAOBが3年連続で判断すると、これらの事務所が監査した企業は米国市場で取引禁止の対象となる。
Such a trading prohibition would be carried out by the Securities and Exchange Commission (SEC) and would apply to companies the SEC identifies as having used registered public accounting firms in mainland China and Hong Kong for three consecutive years. このような取引禁止は、証券取引委員会(SEC)が実施し、SECが中国本土および香港の登録会計事務所を3年連続で使用したと認定した企業に適用される。
In 2021, the PCAOB made determinations that the positions taken by PRC authorities prevented the PCAOB from inspecting and investigating in mainland China and Hong Kong completely. 2021年、PCAOBは、中国当局のとる立場により、中国本土と香港での検査・調査が完全にできなくなったとの判断を下した。
The PCAOB is now required to reassess its determinations by the end of 2022. PCAOBは現在、2022年末までにその判断を再評価することが求められている。

 

・2022.08.26 FACT SHEET: CHINA AGREEMENT

FACT SHEET: CHINA AGREEMENT ファクトシート:中国での合意
Statement of Protocol Marks First Step Toward Complete Access for PCAOB to Select, Inspect and Investigate in China PCAOBの中国での選択、検査、調査への完全なアクセスに向けた第一歩となる議定書の声明
On August 26, 2022, the Public Company Accounting Oversight Board (PCAOB) signed a Statement of Protocol with the China Securities Regulatory Commission and the Ministry of Finance of the People's Republic of China, taking the first step toward opening access for the PCAOB to inspect and investigate registered public accounting firms headquartered in mainland China and Hong Kong completely, consistent with U.S law.  2022年8月26日、公開会社会計監視委員会(PCAOB)は、中国証券監督管理委員会及び中華人民共和国財政部と議定書に署名し、PCAOBが中国本土及び香港に本社を置く登録会計事務所を米国の法律と整合的に検査・調査できるようアクセスを開くための第一歩を踏み出した。 
Three Keys to Complete Access 完全なアクセスへの3つの鍵
This is the most detailed and prescriptive agreement the PCAOB has ever reached with China. It includes three provisions that, if abided by, would grant the PCAOB complete access for the first time: 今回の合意は、PCAOBがこれまで中国と交わした合意の中で最も詳細かつ規定的なものである。この協定には3つの条項が含まれており、これを遵守すれば、PCAOBは初めて完全なアクセスが可能になる。
1. The PCAOB has sole discretion to select the firms, audit engagements and potential violations it inspects and investigates – without consultation with, nor input from, Chinese authorities. 1. PCAOBは、中国当局と協議することなく、また中国当局の意見を聞くことなく、検査・調査する監査法人、監査業務、潜在的な違反行為を単独で選択することができる。
2. Procedures are in place for PCAOB inspectors and investigators to view complete audit work papers with all information included and for the PCAOB to retain information as needed. 2. PCAOBの検査官と調査官は、すべての情報が含まれた完全な監査報告書を閲覧し、PCAOBが必要に応じて情報を保持する手続きを行っている。
3. The PCAOB has direct access to interview and take testimony from all personnel associated with the audits the PCAOB inspects or investigates.  3. PCAOBは、PCAOBが検査または調査する監査に関連するすべての人員に直接面会し、証言を得ることができる。 
Only a First Step 最初の一歩に過ぎない
・While significant, the Statement of Protocol is only a first step. The real test comes next, as the PCAOB prepares to have inspectors on the ground by mid-September and begin conducting on-site inspections and investigations of firms headquartered in mainland China and Hong Kong. ・重要なことではあるが、Statement of Protocolは最初の一歩に過ぎません。PCAOBは9月中旬までに検査官を現地に派遣し、中国本土と香港に本社を置く企業に対する立入検査と調査を開始する予定であり、本当の試練はこれからである。
・Whether the PCAOB can make a determination that China is no longer obstructing access depends on whether China abides by this agreement and allows for full and timely access to information. ・PCAOBが、中国がもはやアクセスを妨害していないと判断できるかどうかは、中国がこの協定を遵守し、完全かつタイムリーな情報への深度のあるアクセスを可能にするかどうかにかかっている。
・The Holding Foreign Companies Accountable Act is clear that the PCAOB must be able to inspect and investigate “completely,” and the PCAOB will demand the complete access the law requires. ・外国企業責任追及法は、PCAOBが「完全に」検査・調査できなければならないと明言しており、PCAOBは法律が要求する完全なアクセスを要求することになる。
Additional Background: The PCAOB inspects and investigates registered public accounting firms in more than 50 jurisdictions around the world, consistent with its mandate under the Sarbanes-Oxley Act. But, for more than a decade, the PCAOB’s access to inspect and investigate registered public accounting firms in mainland China and Hong Kong has been obstructed. その他の背景 PCAOBは、サーベンス・オックスリー法の下、その義務に基づき、世界中の50以上の管轄区域で登録会計事務所を検査・調査している。しかし、10年以上にわたって、PCAOBが中国本土および香港の登録会計事務所を検査・調査するためのアクセスは妨害されてきた。
In 2020, Congress passed the Holding Foreign Companies Accountable Act (HFCAA). Under the HFCAA, beginning with 2021, after three consecutive years of PCAOB determinations that positions taken by authorities in the People's Republic of China (PRC) obstructed the PCAOB’s ability to inspect and investigate registered public accounting firms in mainland China and Hong Kong completely, the companies audited by those firms would be subject to a trading prohibition on U.S. markets. Such a trading prohibition would be carried out by the Securities and Exchange Commission (SEC) and would apply to companies the SEC identifies as having used registered public accounting firms in mainland China and Hong Kong for three consecutive years. 2020年、議会は外国企業の責任追及法(HFCAA)を可決した。HFCAAでは、2021年から、中華人民共和国(PRC)当局の立場がPCAOBによる中国本土および香港の登録会計事務所の検査・調査能力を完全に妨害したとPCAOBが3年連続で判断すると、これらの事務所が監査した企業は米国市場で取引禁止の対象となる。このような取引禁止は、証券取引委員会(SEC)が実施し、SECが中国本土および香港の登録会計事務所を3年連続で使用していると認定した企業に適用される。
In 2021, the PCAOB made determinations that the positions taken by PRC authorities prevented the PCAOB from inspecting and investigating in mainland China and Hong Kong completely. 2021年、PCAOBは、中国当局のとる立場により、中国本土と香港での検査・調査が完全にできなくなったとの判断を下した。
The PCAOB is now required to reassess its determinations by the end of 2022. PCAOBは現在、2022年末までにその判断を再評価することが求められている。

 

Pcaob_20220902055201

 


SECでも発表がされていますね。。。

U.S. Securities and Exchange Commission: SEC

・2022.08.26 Statement on Agreement Governing Inspections and Investigations of Audit Firms Based in China and Hong Kong

Statement on Agreement Governing Inspections and Investigations of Audit Firms Based in China and Hong Kong 中国及び香港に拠点を置く監査法人に対する検査及び調査を統制する協定に関する声明
Chair Gary Gensler 議長 ゲイリー・ゲンスラー
Today, the Public Company Accounting Oversight Board (PCAOB) signed a Statement of Protocol with the China Securities Regulatory Commission (CSRC) and the Ministry of Finance of the People’s Republic of China governing inspections and investigations of audit firms based in China and Hong Kong. 本日、公開会社会計監視委員会(PCAOB)は、中国証券監督管理委員会(CSRC)及び中華人民共和国財政部との間で、中国及び香港に拠点を置く監査法人に対する検査・調査を規定する議定書(Statement of Protocol)に調印した。
This agreement marks the first time we have received such detailed and specific commitments from China that they would allow PCAOB inspections and investigations meeting U.S. standards. The Chinese and we jointly agreed on the need for a framework. We were not willing to have PCAOB inspectors travel to China and Hong Kong unless there was an agreement on such a framework. In light of the time required to conduct these inspections and investigations, inspectors must be on the ground by mid-September if their work has any chance to be successfully completed by the end of this year. この合意は、米国基準を満たすPCAOBの検査と調査を許可するという、これほど詳細で具体的な約束を中国から得た初めてのケースとなる。中国側と私たちは、枠組みの必要性について共同で合意した。私たちは、このような枠組みについて合意がない限り、PCAOBの検査官を中国と香港に派遣することを望まなかったのである。これらの検査や調査に必要な時間を考慮すると、今年末までに検査業務を成功させるためには、検査官は9月中旬までに現地に到着していなければならない。
Make no mistake, though: The proof will be in the pudding. While important, this framework is merely a step in the process. This agreement will be meaningful only if the PCAOB actually can inspect and investigate completely audit firms in China. If it cannot, roughly 200 China-based issuers will face prohibitions on trading of their securities in the U.S. if they continue to use those audit firms. 間違ってはいけない:証拠はプリンにある(まだ確認されていない)。この枠組みは重要ではあるが、あくまでプロセスの一歩に過ぎない。この合意は、PCAOBが実際に中国にある完全な監査法人を検査・調査できるようになって初めて意味を持つ。もしそれができなければ、中国に拠点を置く約200の発行体が、それらの監査法人を使い続けた場合、米国での証券売買の禁止に直面することになる。
Why do these inspections and investigations matter? It’s a privilege for foreign issuers to access our markets — the largest, deepest, most liquid markets in the world. Investors in U.S. markets should be protected — and have trust in a company’s financial numbers — regardless of whether an issuer is foreign or domestic. Further, if foreign issuers want access to our public capital markets, they must be on a level playing field with U.S. firms. なぜ、このような検査や調査が必要なのか?外国の発行体が、世界で最も大きく、深く、流動性のある我々の市場にアクセスすることは特権である。米国市場の投資家は、発行体が外国か国内かにかかわらず保護され、企業の財務数値を信頼できるようになるべきである。さらに、外国の発行体がわが国の公的資本市場へのアクセスを望むのであれば、米国企業と同じ土俵に立たなければならない。
More than 50 jurisdictions have complied with the requirements that the PCAOB inspect and investigate audit firms of U.S.-listed companies, regardless of where the audit firm is based. Two have not: China and Hong Kong. 50以上の国・地域が、米国上場企業の監査事務所をPCAOBが検査・調査するという要件を、監査事務所の所在地に関係なく遵守している。遵守していないのは2つの国・地域である。すなわち、中国と香港である。
China-based issuers, however, have continued to access U.S. markets while not complying with the basic bargain of the Sarbanes-Oxley Act, enacted on a bipartisan basis 20 years ago this past July: If you want to issue public securities in the U.S., the registered public accounting firms that audit your books have to be subject to inspections and investigations by the PCAOB. When foreign issuers seek access to U.S. capital markets, they must abide by the same rules regarding auditing as our domestic issuers. These rules include a requirement that the PCAOB have the ability to inspect all audit work papers — standard, engagement-specific documentation of the audit work related to an issuer’s financial statements and the quality of the audit. しかし、中国を拠点とする発行体は、20年前のこの7月に超党派で制定されたサーベンス・オクスリー法の基本的な取り決めを守らないまま、米国市場へのアクセスを続けているのである。米国で証券を発行する場合、会計監査を行う登録会計事務所はPCAOBによる検査と調査を受けなければならない。外国の発行体が米国の資本市場にアクセスしようとする場合、国内の発行体と同じように監査に関する規則を守らなければならない。これらの規則には、PCAOBがすべての監査調書(発行体の財務諸表および監査の品質に関連する監査作業に関する標準的な契約固有の文書)を検査する能力を持つという要件が含まれている。
Congress recently reaffirmed the requirement for complete inspections and investigations under the Holding Foreign Companies Accountable Act of 2020 (HFCAA), which amended Sarbanes-Oxley. Under the HFCAA, if the PCAOB is “unable to inspect or investigate completely”[1] registered public accounting firms located in foreign jurisdictions, issuers that use those firms for three consecutive years face prohibitions on their securities trading in the U.S. — in this case, roughly 200 companies based in China. 米国議会は最近、サーベンス・オクスリー法を改正した2020年外国企業説明責任法(HFCAA)に基づき、完全な検査・調査の要件を再確認している。HFCAAでは、PCAOBが外国の管轄区域にある登録会計事務所を「完全に検査または調査できない」場合[1]、その事務所を3年連続で使用した発行体は、米国での証券取引が禁止される--今回のケースでは、中国に拠点を置く約200社の企業が対象となる。
This agreement announced today brings specificity and accountability to effectuate Congress’s intent. It provides the standards against which to judge whether auditors of Chinese issuers have complied with the requirements of U.S. law, including PCAOB auditing standards. I thank Congress for their attention to these important matters. In particular, Chinese authorities have committed to four critical items: 本日発表されたこの合意は、議会の意図を実現するために、具体性と説明責任をもたらすものである。この協定は、中国の発行体の監査人がPCAOB監査基準を含む米国法の要件を遵守しているかどうかを判断するための基準を提供します。私は、議会がこれらの重要な問題に注意を払っていることに感謝します。特に、中国当局は4つの重要な項目にコミットしている。
・First, in accordance with the Sarbanes-Oxley Act, the PCAOB has independent discretion to select any issuer audits for inspection or investigation; ・第一に、サーベンス・オクスリー法に基づき、PCAOBは独立した裁量で検査や調査の対象となる発行体監査を選択することができる。
・Second, the PCAOB gets direct access to interview or take testimony from all personnel of the audit firms whose issuer engagements are being inspected or investigated; ・第二に、PCAOBは、発行体監査が検査・調査される監査事務所のすべての職員と直接面会し、証言を得ることができる。
・Third, the PCAOB has the unfettered ability to transfer information to the SEC, in accordance with the Sarbanes-Oxley Act; and ・第三に、PCAOBは、サーベンス・オクスリー法に基づき、SECに情報を転送する自由裁量権を有する。
・Fourth, PCAOB inspectors can see complete audit work papers without any redactions. On this last item, the PCAOB was able to establish view only procedures — as it has done in the past with certain other jurisdictions — for targeted pieces of information (for example, personally identifiable information).   ・第四に、PCAOBの検査官は、監査調書を一切修正することなく見ることができる。この最後の項目については、PCAOBは、過去に他の特定の法域で行ったように、対象となる情報(例えば、個人を特定できる情報)に対して閲覧のみの手続きを確立することができた。 
Going forward, will our markets include China-based issuers? That still is up to our counterparts in China. It depends on whether they comply with the requirements of U.S. law, as detailed in the framework. 今後、私たちの市場は、中国を拠点とする発行者を含めることになるのか?それはやはり、中国の対応次第である。米国法の要件を満たすかどうかは、このフレームワークに記載されている通りである。
Either way, I look forward to ensuring key investor protections in our markets — with China-based issuers, if this framework is followed; or without China-based issuers, if it is not. いずれにせよ、私は、この枠組みが守られるなら中国ベースの発行体とともに、守られないなら中国ベースの発行体とともに、我々の市場で主要な投資家保護を確保することを期待している。
Though much work remains to ensure compliance, I would like to thank our counterparts at the CSRC and the Ministry of Finance for the productive discussions to date. コンプライアンスを確保するために多くの仕事が残っているが、CSRC と財政部のカウンターパートに、今日までの生産的な議論に感謝したい。
I would like to thank my colleagues at the SEC and the PCAOB for their diligent work on these matters, including: SECとPCAOBの同僚には、これらの問題に真摯に取り組んでくれたことに感謝したいと思う。
・YJ Fischer, Paul Munter, Natasha Guinan, Kathleen Hutchinson, Matthew Greiner, Paul Gumagay, Megan Barbero, Elizabeth McFadden, Melissa Hodgman, Tejal Shah, and LaShawn Latson of the SEC; and ・SECのYJ Fischer、Paul Munter、Natasha Guinan、Kathleen Hutchinson、Matthew Greiner、Paul Gumagay、Megan Barbero、Elizabeth McFadden、Melissa Hodgman、 Tejal Shah及びLaShawn Latson、そして、SECのErica Williams議長、PCAOBのMichael Hodgman、Tejal Shah、及びLaShawn Latsonである。
・Chair Erica Williams, Board member Kara Stein, Board member Anthony Thompson, Board member Duane DesParte, Board member Christina Ho, Omid Harraf, George Botic, Karen Dietrich, Alan Lo Re, Beth Hilliard Colleye, and Juliann Ravas of the PCAOB. ・PCAOBのErica Williams議長、Kara Stein理事、Anthony Thompson理事、Duane DesParte理事、Christina Ho理事、Omid Harraf, George Botic, Karen Dietrich, Alan Lo Re, Beth Hilliard Colleye, Juliann Ravasの9名である。

[1] See S.945 - Holding Foreign Companies Accountable Act, available at https://www.congress.gov/bill/116th-congress/senate-bill/945/text.

 

 


 

中国側の発表。。。

 

中国证券监督管理委员会

・2022.08.26 中国证监会、财政部与美国监管机构签署审计监管合作协议

中国证监会、财政部与美国监管机构签署审计监管合作协议 中国証券監督管理委員会、財政部、米国規制当局が監査規制協力協定に調印
中国证券监督管理委员会、中华人民共和国财政部于2022年8月26日与美国公众公司会计监督委员会(PCAOB)签署审计监管合作协议,将于近期启动相关合作。 中華人民共和国証券監督管理委員会(CSRC)と財政部(MOF)は、2022年8月26日に米国公開会社会計監督委員会(PCAOB)と監査規制協力協定を締結し、近日中に関連協力を開始する予定である。
合作协议依据两国法律法规,尊重国际通行做法,按照对等互利原则,就双方对相关会计师事务所合作开展监管检查和调查活动作出了明确约定,形成了符合双方法规和监管要求的合作框架。 この協力協定は、両国の法令に基づき、国際的な常識を尊重し、互恵互利の原則に基づき、双方が関連する会計事務所の規制検査及び調査活動を行う際の協力について明確に取り決め、双方の法令及び規制の要求に応じた協力体制を形成するものである。
合作协议的签署,是中美双方监管机构在解决审计监管合作这一共同关切问题上迈出的重要一步,为下一阶段双方积极、专业、务实推进合作奠定了基础。依法推进跨境审计监管合作,将有利于进一步提高会计师事务所执业质量,保护投资者合法权益,也有利于为企业依法合规开展跨境上市活动营造良好的国际监管环境。 協力協定の締結は、中国と米国の監督機関の監査監督協力という共通の関心事に取り組む上で重要な一歩であり、双方が次の段階で積極的、専門的、現実的に協力を推進するための基礎を築くものである。 法律に従って国境を越えた監査規制協力を促進することは、会計事務所の実務の質をさらに向上させ、投資者の正当な権益を保護することに資するとともに、企業が法律に従って国境を越えた上場活動を行うために有利な国際的規制環境を作り出すことにもなる。

 

| | Comments (0)

2022.09.01

NIST White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの緩和

 こんにちは、まるやまみつひこです。

NISTが昨年8月末に意見募集をしていた、「ホワイトペーパー:ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの緩和」を正式に公表していますね。。。

想定されるアーキテクチャ。。。

20220831-200230

 

NIST- ITL

・2022.08.29 [Project Description] Mitigating Cybersecurity Risk in Telehealth Smart Home Integration: Cybersecurity for the Healthcare Sector

Abstract 概要
This project's goal is to provide HDOs with practical solutions for securing an ecosystem that incorporates consumer-owned smart home devices into an HDO-managed telehealth solution. This project will result in a freely available NIST Cybersecurity Practice Guide. このプロジェクトの目標は、HDOが管理する遠隔医療ソリューションに消費者が所有するスマートホームデバイスを組み込んだエコシステムを保護するための実用的なソリューションをHDOに提供することである。このプロジェクトは、自由に利用できるNISTサイバーセキュリティ実践ガイドとして結実する予定である。
While the healthcare landscape began telehealth adoption that parallels technology advancement over recent years, 2020 acted as a catalyst for healthcare delivery organizations expanding patient interaction and monitoring. Telehealth advances coincide with a proliferation of IoT devices, including smart speakers. This project will analyze how consumers use smart home devices as an interface into the telehealth ecosystem. Smart home devices offer enhanced, multi-sensory user experiences that allow individuals to converse with technology naturally. While the user experience may be improved, practitioners may find challenges associated with deploying mitigating controls that limit cybersecurity and privacy risks given that devices may use proprietary or purpose-built operating systems that do not allow engineers to add protective software. Practices and guidance are available for safeguarding computer systems. However, smart home devices use voice command and response, which differ from text- or graphic-based user interfaces. For example, common data security approaches based on computer systems that depend on an individual's ability to provide usernames and passwords may not be applicable. ヘルスケア業界では、近年、技術の進歩と並行して遠隔医療の導入が始まったが、2020年は医療提供機関が患者との対話とモニタリングを拡大する触媒として機能した。遠隔医療の進歩は、スマートスピーカーを含むIoTデバイスの普及と重なる。このプロジェクトでは、消費者がスマートホームデバイスをテレヘルスのエコシステムへのインターフェースとしてどのように使用しているかを分析する。スマートホームデバイスは、個人がテクノロジーと自然に会話することを可能にする、強化された多感覚のユーザー体験を提供する。ユーザー体験は改善されるかもしれないが、デバイスが保護ソフトウェアを追加することを許さない独自のまたは専用のオペレーティングシステムを使用している可能性があるため、実務者はサイバーセキュリティとプライバシーリスクを制限する緩和制御の展開に関連した課題を見つけるかもしれない。コンピュータ・システムの保護については、実践とガイダンスが利用可能である。しかし、スマートホーム機器は音声によるコマンドと応答を使用し、テキストやグラフィックベースのユーザインタフェースとは異なる。例えば、ユーザー名とパスワードの入力に依存するコンピュータシステムには、一般的なデータセキュリティのアプローチは適用できないかもしれない。
The project team will apply the 1) NIST Cybersecurity Framework; 2) NIST Privacy Framework; and 3) the NIST Risk Management Framework to identify threats and risks to the smart home integrated telehealth ecosystem. The project will focus on three common scenarios that involve using smart home devices using voice assistant technology. These devices interact with clinical systems deployed in an NCCoE Healthcare laboratory environment. The project team will develop a reference design and a detailed description of the practical steps needed to implement a secure solution based on standards and best practices. プロジェクトチームは、1)NISTサイバーセキュリティフレームワーク、2)NISTプライバシーフレームワーク、3)NISTリスクマネジメントフレームワークを適用し、スマートホーム統合遠隔健康エコシステムへの脅威とリスクを特定する。このプロジェクトでは、音声アシスタント技術を使用するスマートホームデバイスの使用を伴う3つの一般的なシナリオに焦点を当てる。これらのデバイスは、NCCoEヘルスケアラボ環境に配備された臨床システムと相互作用する。プロジェクトチームは、標準とベストプラクティスに基づく安全なソリューションの実装に必要なリファレンスデザインと実用的な手順の詳細な説明を作成する予定である。

 

Project Description

・[PDF] Project Description final

20220831-195958

 

TABLE OF CONTENTS  目次 
1 Executive Summary 1 エグゼクティブサマリー
Purpose 目的
Scope 対象範囲
Assumptions/Challenges 前提・課題
Background 背景
2 Scenarios 2 シナリオ
Scenario 1: Patient Visit Scheduling シナリオ1: 患者の来院予約
Scenario 2: Patient Prescription Refill シナリオ2: 患者の処方箋の再処方
Scenario 3: Patient Regimen Check-In シナリオ3: 患者のレジメチェックイン
3 High-Level Architecture 3 ハイレベルアーキテクチャ
Component List コンポーネント一覧
Components for Patient Home Environment 患者ホーム環境用コンポーネント
Components for Cloud Service Provider Environment クラウドサービスプロバイダー環境コンポーネント
Components for Healthcare Technology Integration Solution 医療技術統合ソリューションの構成要素
Components for HDO Environment HDO環境コンポーネント
Telehealth Ecosystem Actors テレヘルスエコシステムアクター
Desired Requirements 望ましい要件
4 Relevant Standards and Guidance 4 関連する規格とガイダンス
General Cybersecurity and Risk Management 一般的なサイバーセキュリティとリスクマネジメント
Cybersecurity/Technology-Related Standards サイバーセキュリティ/技術関連規格
Other Relevant Regulations, Standards, and Guidance (Healthcare/Medical Devices) その他の関連する規制、標準、およびガイダンス(ヘルスケア/医療機器)
5 Security Control Map 5 セキュリティコントロールマップ
Appendix A  References 附属書A 参考資料

 

1 EXECUTIVE SUMMARY  1 エグゼクティブサマリー 
Purpose  目的 
This document defines a National Cybersecurity Center of Excellence (NCCoE) project that will develop guidance on smart home devices integrating with healthcare information systems. The project will identify unique cybersecurity and privacy risks when patients use IoT devices such as smart speakers to interact with healthcare information systems.  本書は、医療情報システムと統合するスマートホームデバイスに関するガイダンスを開発する、米国サイバーセキュリティセンターオブエクセレンス(NCCoE)プロジェクトを定義する。本プロジェクトでは、患者がスマートスピーカーなどのIoTデバイスを使用して医療情報システムとやり取りする際の、固有のサイバーセキュリティおよびプライバシーリスクを特定する。
Healthcare delivery organizations (HDOs) may offer patients the ability to be active participants in managing their healthcare by providing interfacing systems such as patient portals, scheduling systems, or other systems. HDO-managed systems may allow patients to use IoT devices to obtain test results, schedule visitations, set reminders, or request prescription refills. While HDOs have implemented patient-facing systems for several years, the approach has been to implement user interfaces that are text- or graphically driven. That is, systems have assumed that the patient interacts with systems with devices that have a keyboard-driven device for input and a visual display for output. Smart home device user interfaces differ in that input and output may include vocal interactions. Smart home devices augment a person’s ability to retrieve and interact with information that extends beyond text or graphic displays. As a component in telehealth, smart home devices offer patients active engagement with managing their own health.   医療提供組織(HDO)は、患者ポータル、スケジュール管理システム、その他のシステムなどのインターフェース・システムを提供することにより、患者が自分の健康管理に積極的に参加できるようにすることができる。 医療提供組織が管理するシステムでは、患者がIoTデバイスを使用して、検査結果の取得、診察のスケジュール設定、リマインダーの設定、処方箋の再処方依頼を行うことができる場合がある。 医療提供組織は数年前から患者向けシステムを導入しているが、そのアプローチは、テキストまたはグラフィカルなユーザーインターフェイスを実装することであった。つまり、入力はキーボードで行い、出力はビジュアルディスプレイで行うことを想定していた。スマートホーム機器のユーザーインターフェースは、入力と出力に音声によるインタラクションが含まれる場合がある点が異なる。スマートホームデバイスは、テキストやグラフィックディスプレイを超える情報を取得し、対話する人の能力を補強する。遠隔医療におけるコンポーネントとして、スマートホームデバイスは、患者が自分自身の健康を管理するための積極的な関与を提供する。 
This project will result in a practice guide that describes a reference architecture for smart home integration with healthcare systems as part of a telehealth program. The project will evaluate cybersecurity and privacy risks when patients use smart home devices to interact with clinical systems and identify measures to mitigate risks in the patient home and the HDO.   本プロジェクトは、遠隔医療プログラムの一部としてスマートホームを医療システムと統合するための参照アーキテクチャを記述した実践ガイドを作成するものである。本プロジェクトでは、患者がスマートホーム機器を使用して臨床システムと対話する際のサイバーセキュリティとプライバシーのリスクを評価し、患者の自宅と 医療提供組織におけるリスクを軽減する手段を特定する。 
Scope  対象範囲 
This project’s objective is to identify and mitigate cybersecurity and privacy risks based on patient use of smart home devices interfacing with patient information systems. While a key project focal point provides guidance for safeguarding the use of smart home devices, safeguards will be limited to the use of the devices, and will not address device manufacture, hardware, operating systems, or software development techniques that may be used to enable clinical access functionality.  本プロジェクトの目的は、患者がスマートホームデバイスを使用して患者情報システムと相互作用することによるサイバーセキュリティ及びプライバシーリスクを特定し、緩和することである。プロジェクトの主要な焦点は、スマートホーム機器の使用を保護するためのガイダンスを提供することであるが、保護措置は機器の使用に限定され、機器の製造、ハードウェア、オペレーティングシステム、または臨床アクセス機能を有効にするために使用するソフトウェア開発技術には対処しない。
This project will apply established NIST guidance such as the Cybersecurity, Privacy, and Risk Management Frameworks to identify safeguards for smart home devices as well as HDO-managed systems. HDO-managed systems include patient and clinical information systems used for telehealth smart home integration. The project will develop a reference architecture that describes how patients use smart speakers as virtual health assistants, interfacing with health information systems. A proposed component list appears in this document’s High-Level Architecture section.  本プロジェクトでは、サイバーセキュリティ、プライバシー、リスクマネジメントのフレームワークなど、NISTが確立したガイダンスを適用し、スマートホームデバイスと 医療提供組織が管理するシステムのセーフガードを特定する予定である。 医療提供組織が管理するシステムには、遠隔医療スマートホーム統合に使用される患者情報システムおよび臨床情報システムが含まれる。本プロジェクトでは、患者がスマートスピーカーを仮想健康アシスタントとして使用し、健康情報システムと連動させる方法を説明する参照アーキテクチャを開発する予定である。提案されたコンポーネントのリストは、このドキュメントのハイレベルアーキテクチャのセクションに記載されている。
Assumptions/Challenges  前提・課題 
• This project assumes that the patient smart home device only interacts with authorized networks. This implies that the smart home device authenticates to a manufacturer's trusted network. The NCCoE has begun a separate project titled, "Trusted Internet of Things Device Network-Layer Onboarding and Lifecycle Management". That project will provide guidance and will assure safeguards on communications between the smart home device and the manufacturer [1].  ・本プロジェクトは、患者のスマートホームデバイスが認可されたネットワークとのみ相互作用することを想定している。これは、スマートホームデバイスが製造者の信頼できるネットワークに認証されることを意味する。NCCoEは、「Trusted Internet of Things Device Network-Layer Onboarding and Lifecycle Management」というタイトルの別プロジェクトを開始した。本プロジェクトはガイダンスを提供し、スマートホームデバイスとメーカー間の通信に関するセーフガードを保証する予定である[1]。
• Patients will use consumer-grade smart home devices such as smart speakers with audio input and output capability.  ・患者は、音声入出力機能を持つスマートスピーカーなどのコンシューマーグレードのスマートホームデバイスを使用する。
• Patients will provide broadband network connectivity between the smart home devices and clinical systems.  ・患者は、スマートホーム機器と臨床システム間のブロードバンド・ネットワーク接続を提供する。
• Patient information systems may be hosted either at the HDO or a third-party with an established relationship with the HDO.  ・患者情報システムは, 医療提供組織または 医療提供組織と関係のあるサードパーティがホスティングすることができる。
• Patients’ use of a smart home integration with healthcare systems will be limited to information retrieval or update with clinical systems. Patients may interact with clinical systems to schedule visitations, obtain information regarding their healthcare history, and request prescription updates. This project does not address direct clinical care to the patient. Clinical practices that affect medical device settings, interactions involving remote patient monitoring devices [2], and managing implantable medical devices are out of scope.  ・患者によるスマートホームと医療システムの統合は、臨床システムとの情報検索または更新に限定される。患者は臨床システムと対話し、診察の予定を立てたり、診療履歴に関する情報を入手したり、処方箋の更新を依頼したりすることができる。本プロジェクトは、患者への直接的な臨床ケアには対応しない。医療機器の設定、遠隔患者監視装置[2]を含む相互作用、及び埋め込み型医療機器の管理に影響する臨床行為は対象外である。
• This project excludes biometric data capture. The project assumes the only data interface in the patient home is the smart home device.  ・本プロジェクトは生体データの取得を除外している。本プロジェクトでは,患者宅のデータインタフェースはスマートホームデバイスのみと想定している。
• This project excludes clinician use of IoT devices for patient note documentation or HDO operations.  ・本プロジェクトは,患者メモの文書化または 医療提供組織操作のための臨床医によるIoTデバイスの使用を除外する。
• This project assumes that the NIST Cybersecurity and Privacy Frameworks will be used to identify cybersecurity-related privacy events.  ・本プロジェクトは,サイバーセキュリティ関連のプライバシーイベントを特定するために,NISTサイバーセキュリティとプライバシーフレームワークが使用されることを想定している。
Background  背景 
The NCCoE recently published NIST SP 1800-30, Securing Telehealth Remote Patient Monitoring Ecosystem as a foray into examining the healthcare community’s interest and use of telehealth. While developing that practice guide, the NCCoE’s research identified different ways or use cases by which telehealth concepts may be implemented. Consulting with its community of interest and engaging with academic partners, the NCCoE determined that each telehealth use case may have unique sets of security and privacy risks associated with it. Different telehealth use cases may require distinct practical guidance to assure that technology usage includes appropriate cybersecurity and privacy safeguards. The NCCoE anticipates that telehealth adoption and capabilities offered to patients and consumers will expand as technology rapidly evolves. The demand for telehealth capabilities continues to grow as stakeholders (e.g., patients; providers; payers; federal, state, and local governments) see the benefits that telehealth brings to improving the quality of patient care and healthcare accessibility [1].  NCCoEは最近、ヘルスケアコミュニティのテレヘルスの関心と利用を調査するための試みとして、NIST SP 1800-30「Securing Telehealth Remote Patient Monitoring Ecosystem」を発表した。NCCoEは、この実践ガイドを作成する際に、遠隔医療のコンセプトを実現するための様々な方法やユースケースを特定した。NCCoEは、そのコミュニティと協議し、学術パートナーに関与し、各遠隔医療のユースケースは、それに関連するセキュリティとプライバシーリスクのユニークなセットを持つかもしれないことを決定した。異なる遠隔医療ユースケースは、技術利用が適切なサイバーセキュリティとプライバシー保護策を含むことを保証するために、明確な実用的ガイダンスを必要とするかもしれません。NCCoEは、技術の急速な進化に伴い、患者と消費者に提供される遠隔医療の採用と機能が拡大することを期待している。ステークホルダー(患者、プロバイダー、支払者、連邦政府、州政府、地方自治体など)が、患者ケアの質と医療アクセスの改善に遠隔医療がもたらす利点を認識し、遠隔医療機能に対する需要は拡大し続けている[1]。
Telehealth has evolved alongside IoT. IoT adoption brings novel capabilities to consumers in their homes. However, with those enhanced capabilities, IoT compels technology adopters to re-think how they may need to secure their home environment and the networks with which their homes interconnect [3]. The NCCoE identified an opportunity to develop guidance for smart home integration with telehealth.    遠隔医療はIoTとともに進化してきた。IoTの採用により、消費者は自宅で斬新な機能を手に入れることができるようになった。しかし、これらの機能強化に伴い、IoTは、家庭環境と家庭が相互接続するネットワークのセキュリティをどのように確保する必要があるか、技術採用者に再考を迫っている[3]。NCCoEは、スマートホームとテレヘルスの統合のためのガイダンスを開発する機会を特定した。  

[1] Watrobski al., Trusted Internet of Things (IoT) Device Network-Layer Onboarding and Lifecycle Management, NCCoE Project Description, May 2021. Available: https://www.nccoe.nist.gov/sites/default/files/library/project-descriptions/trusted-iot-networkdevice-project-description-final.pdf.

[2] Cawthra et al., Securing Telehealth Remote Patient Monitoring Ecosystem National Institute of Standards and Technology (NIST) Special Publication (SP) 1800-30 Final, Feb. 2022. Available: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.1800-30.pdf.

[3] Defining IoT Cybersecurity Requirements: Draft Guidance for Federal Agencies and IoT Device Manufacturers (SP 800-213, NISTIRs 8259B/C/D), Dec. 2020. Available: https://csrc.nist.gov/news/2020/draft-guidance-for-defining-iot-cyber-requirements.

 

 

Project homepage (web)

20220831-202730

 


 

まるちゃんの情報セキュリティ気まぐれ日記

・2021.09.02 NIST 意見募集 White Paper ドラフト 遠隔医療・スマートホーム統合におけるサイバーセキュリティ・リスクの軽減

| | Comments (0)

« August 2022 | Main | October 2022 »