« 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09) | Main | 内閣官房 (NISC) 意見募集 「サイバーセキュリティ意識・行動強化プログラム(案)」 »

2022.09.14

米国 MITRE Web3のセキュリティ確保とインターネットの未来への挑戦

こんにちは、丸山満彦です。

MITREが、Web3のセキュリティ確保とインターネットの未来への挑戦という論文を公表していますね。。。

中国等が中央集権的なインターネットガバナンスに対する対抗としてWeb3ということも考えられなくもないですが、どうなんでしょうかね。。。

 

MITRE

・2022.09.09 Securing Web3 and Winning the Battle for the Future of the Internet

政府が検討すべき3つの政策を提言していますね。。。

  1. Web3 に関する国家的なサイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する。
  2. サイバーセキュリティと金融犯罪の両側面における不利益を軽減するために、サイバー脅威の情報共有のための官民パートナーシップを確立する。
  3. 標準を支持し、監査に参加し、金融とサイバーセキュリティの要素の監視と報告を遵守する Web3 事業体に対してインセンティブを提供する。

 

Securing Web3 and Winning the Battle for the Future of the Internet Web3のセキュリティ確保とインターネットの未来への挑戦
The next generation of the internet, known as Web3, has the potential to revolutionize the role the internet plays in our personal and professional lives. And the reverberations of that transformation will be felt globally, disrupting our social, economic, and national security paradigms.  Web3と呼ばれる次世代インターネットは、インターネットが私たちの個人生活や職業生活に果たす役割を大きく変える可能性を秘めている。そして、その変革の余波は、社会、経済、国家安全保障のパラダイムを破壊し、グローバルに感じられるようになるだろう。 
Web3 transforms the architecture on which our current financial systems, telecommunications systems, and other foundational institutions operate. Web3 will bring together new networking technologies and economic infrastructure in a way that blurs the traditional boundaries of telecommunications and finance.  Web3は、現在の金融システム、通信システム、その他の基礎的な制度が運用されているアーキテクチャを変革する。Web3は、従来の通信と金融の境界を曖昧にするような形で、新しいネットワーク技術と経済インフラを融合させるだろう。 
The impact of such outcomes cannot be overstated, nor can the implications of who controls the internet. China seeks to dominate ever-larger portions of the world’s digital infrastructure and reshape internet governance around centralized authoritarian models. If such autocratic standards become the dominant force behind the internet of tomorrow, the world will likely become a less stable, more dangerous place, including efforts to compromise confidentiality, commit financial crimes, and deny or disrupt services, any of which can easily undermine Web3’s capabilities—and wreak havoc on our way of life. このような成果がもたらすインパクトは、誰がインターネットを支配するかという点においても、過大評価することはできない。中国は、世界のデジタル・インフラをこれまで以上に大規模に支配し、中央集権的な権威主義モデルを中心にインターネット・ガバナンスを再構築しようとしている。このような独裁的な基準が明日のインターネットを支える支配的な力となった場合、世界はおそらく安定性を欠き、より危険な場所となるだろう。機密性の侵害、金融犯罪、サービスの拒否や妨害など、Web3 の能力を容易に損ない、我々の生活に大打撃を与える可能性のあるあらゆる取り組みが行われるだろう。
The security of Web3 depends on a robust, government-led national strategy to maintain U.S. S&T leadership and ensure a democratic future for the internet. We need a national strategy to address the risks and opportunities a decentralized web brings.  Web3 のセキュリティは、米国の科学技術におけるリーダーシップを維持し、インターネットの民主的な未来を確保するための、政府主導の強固な国家戦略にかかっている。分散型ウェブがもたらすリスクとチャンスに対処するための国家戦略が必要である。 
MITRE’s call for a national strategy for securing Web3 offers three policy recommendations for government to consider:  MITRE の Web3 安全化のための国家戦略の呼びかけは、政府が検討すべき 3 つの政策提言を示している。 
1. Develop national cybersecurity frameworks, standards, and best practices for Web3  1. Web3 に関する国家的なサイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する。 
2. Establish a public-private partnership for cyber-threat information sharing to help mitigate detrimental outcomes for both cybersecurity and financial crimes aspects  2. サイバーセキュリティと金融犯罪の両側面における不利益を軽減するために、サイバー脅威の情報共有のための官民パートナーシップを確立する。 
3. Offer incentives to Web3 entities that support standards, participate in audits, and comply with monitoring and reporting of financial and cybersecurity components 3. 標準を支持し、監査に参加し、金融とサイバーセキュリティの要素の監視と報告を遵守する Web3 事業体に対してインセンティブを提供する。
This paper series offers an approach to developing this important strategy. MITRE provides key insights based on our experience working with federal agencies across the government on the generational arc of web technologies and the new, unique features of Web3. Additionally, these papers emphasize the critical need for individual privacy protections as the government considers assuming a leadership role in the Web3 community. 本論文シリーズは、この重要な戦略を策定するためのアプローチを提供する。MITRE は、Web 技術の世代交代と Web3 の新しいユニークな機能について、政府内の連邦機関と協力してきた経験に基づく重要な洞察を提供している。 さらに、これらの論文では、政府が Web3 コミュニティでリーダーシップをとることを検討する際に、個人のプライバシー保護が極めて重要であることを強調している。
This is exactly the type of problem MITRE takes on. Through our federally funded R&D centers and public-private partnerships, we work across the government and in collaboration with academic institutions and industry to tackle challenges to our nation’s safety, stability, and well-being.  Novel Web3 technologies must be secured against attackers who want to exploit this new internet architecture. Engineering such security cannot be an afterthought. If we can do more to engineer security into the web of tomorrow, we can better manage the threats and position Web3 for success as a powerful tool for economic growth and innovation. The time to start is now. これはまさに、MITREが取り組んでいる問題の一種である。連邦政府が出資する研究開発センターと官民パートナーシップを通じて、私たちは政府全体、学術機関、産業界と協力し、わが国の安全、安定、福祉に対する課題に取り組んでいる。  新しいWeb3テクノロジーは、この新しいインターネット・アーキテクチャを悪用しようとする攻撃者から保護されなければならない。このようなセキュリティの設計は、後回しにすることはできない。明日のウェブにセキュリティを組み込むことができれば、脅威をよりよく管理し、経済成長とイノベーションのための強力なツールとして Web3 を成功させることができる。今こそ始めるべき時である。

 

・2022.09.09 [PDF] Securing Web3 and Winning the Battle for the Future of the Internet

20220913-235616

 

Contents 目次
Executive Summary   エグゼクティブサマリー  
Introduction  はじめに 
Threat Model  脅威モデル 
Cybersecurity Framework and Standards  サイバーセキュリティ・フレームワークと標準 
Infrastructure Entities  インフラ事業者 
Financial Institutions and Centralized Exchanges  金融機関および中央集権的な取引所 
Decentralized Autonomous Organizations  分散型自律組織 
Interaction Layer and Endpoint Devices  インタラクションレイヤーとエンドポイントデバイス 
Threat Informed Defense and Information Sharing  脅威を考慮した防御と情報共有 
Threat Informed Defense for Web3  Web3のための脅威情報による防御 
Cyber Threat Information Sharing for Web3  Web3におけるサイバー脅威の情報共有 
Policy Recommendations  政策提言 
Recommendation 1: Develop cybersecurity frameworks, standards, and best practices  提言1:サイバーセキュリティのフレームワーク、標準、ベストプラクティスを開発する
Recommendation 2: Establish FinCEN threat-sharing partnership  提言2:FinCENの脅威共有パートナーシップを確立する 
Recommendation 3: Incentivize cybersecurity audits and compliance  提言3:サイバーセキュリティの監査とコンプライアンスを奨励する 
Conclusion  まとめ 
About the Authors  著者について 
Acknowledgements  謝辞 
Endnotes  巻末資料 

 

エグゼクティブサマリー

Executive Summary エグゼクティブサマリー
A battle is underway for the future of the Internet, with Chinese technology firms and the Chinese Communist Party actively seeking to dominate ever-larger portions of the world’s digital infrastructure and reshape Internet governance around centralized authoritarian models. There may be, however, elegant technical answers to some of these challenges: answers that could permit the next generation of web connectivity to operate in ways that both help catalyze another era of connectivity-facilitated growth and innovation and revolve around decentralized and “democratized” dynamics that would undermine the power and influence of the authoritarian Chinese technology stack. 中国のテクノロジー企業と中国共産党は、世界のデジタルインフラをより大きく支配し、中央集権的な権威主義モデルを中心にインターネットガバナンスを再構築しようと積極的に動いており、インターネットの未来をめぐる戦いが始まっている。それは、次世代のウェブ接続が、接続によって促進される新たな時代の成長と革新を促進し、権威主義的な中国のテクノロジー・スタックのパワーと影響力を弱める分散型「民主化」ダイナミクスを軸とした方法で動作することを可能にする答えである。
Web3 is the next generation of the Internet and will bring together new networking technologies and financial infrastructure in a way that blurs the traditional boundaries of telecommunications and finance, creating new decentralized and democratized models of network interaction built around the cryptographically secured autonomy of web users. For this to work, however, these novel web3 technologies need to be made secure against a range of non-state and state-level attackers, and engineering such security into web3 cannot be approached merely as an afterthought. Web3は次世代のインターネットであり、新しいネットワーキング技術と金融インフラを、従来の通信と金融の境界を曖昧にする方法で融合させ、暗号的に保護されたウェブユーザーの自治を中心に構築されたネットワーク交流の新しい分散化・民主化モデルを作り上げるだろう。しかし、このような新しいWeb3技術が機能するためには、非国家や国家レベルの攻撃者に対して安全である必要があり、Web3にそのようなセキュリティを工学的に組み込むことは、単に後付のアプローチとして行うことはできない。
This paper suggests how to approach the critical task of securing web3 against such adversaries. The web3 threat model must account for efforts to compromise confidentiality, such as mass surveillance by authoritarian governments of their populations’ financial transactions, exploitation of web3 infrastructure and services to enable fraud and illicit finance, and attacks against availability that deny or degrade web3 service access. Web3 must be resilient against organized crime and nation-state actors with vast resources and access to infrastructure. この論文では、このような敵対者からWeb3を保護するという重要なタスクにどのようにアプローチするかを提案する。Web3の脅威モデルは、権威主義的な政府による国民の金融取引の大規模な監視、詐欺や不正な金融を可能にするWeb3のインフラとサービスの悪用、Web3サービスへのアクセスを拒否または低下させる可用性に対する攻撃など、機密性を損なう取り組みを考慮しなければならない。Web3 は、膨大なリソースとインフラへのアクセスを持つ組織犯罪や国民国家のアクターに対するレジリエンスを備えている必要がある。
This will require new cybersecurity frameworks, standards, and best practices, and ones that will apply differently to different layers of the emerging web3 ecosystem: そのためには、新しいサイバーセキュリティのフレームワーク、標準、ベストプラクティス、そして新興のWeb3エコシステムの異なるレイヤーに異なる形で適用されるものが必要となる。
・ Blockchain infrastructure entities face both traditional and emerging cybersecurity threats and must securely provision, deploy, and manage their systems. ・ ブロックチェーンインフラストラクチャのエンティティは、従来のサイバーセキュリティの脅威と新たなサイバーセキュリティの脅威の両方に直面し、システムを安全にプロビジョニング、展開、管理する必要がある。
・ Financial services and centralized exchanges should comply with existing cybersecurity requirements for their industry and support existing threat finance requirements, such as know-your-customer (KYC), antimoney laundering (AML), and countering the financing of terrorism (CFT) policies. ・ 金融サービスと集中型取引所は、その業界の既存のサイバーセキュリティ要件に準拠し、KYC(本人確認)、資金洗浄防止(AML)、テロリストへの金融対抗(CFT)ポリシーなど、既存の脅威金融要件を支援する必要がある。
・ The web3 design must accommodate Decentralized Autonomous Organizations (DAOs), which are unique entities in the web3 space, and will need a growing set of smart contract cybersecurity audit and monitoring services, as well as emerging standards in contract design. ・ web3のデザインは、web3空間におけるユニークなエンティティである分散型自律組織(DAO)に対応しなければならず、契約デザインにおける新しい標準と同様に、スマート契約のサイバーセキュリティ監査および監視サービスの増大セットを必要とすることになる。
・ Endpoint devices and web3 platforms should meet existing web2 cybersecurity expectations. ・ エンドポイントデバイスとweb3プラットフォームは、既存のweb2サイバーセキュリティの期待に応える必要がある。
Advancing the ecosystem further necessitates cyber threat information (CTI) sharing in support of a broader threat-informed defense. Web3-specific extensions to frameworks such as STIX and MITRE ATT&CK® can help capture these ontologies. New and existing information-sharing partnerships can then take advantage of these interoperable formats to tackle cybersecurity and financial threats. エコシステムをさらに進化させるには、より広範な脅威情報に基づく防御を支援するサイバー脅威情報(CTI)の共有が必要である。STIX™ や MITRE ATT&CK® などのフレームワークに対する Web3 固有の拡張機能は、これらのオントロジーの取得を支援する。新規および既存の情報共有パートナーシップは、サイバーセキュリティと金融の脅威に取り組むために、これらの相互運用可能な形式を活用することができる。
As new policy is considered for web3, this paper offers the following specific policy recommendations: web3に関する新たな政策が検討されるにあたり、本論文では以下のような具体的な政策提言を行う。
・ The National Institute for Standards and Technology (NIST) should develop cybersecurity frameworks, standards, and best practices for web3. ・ 米国標準技術局(NIST)は、web3のためのサイバーセキュリティフレームワーク、標準、ベストプラクティスを開発する必要がある。
・ The U.S. Treasury’s Financial Crimes Enforcement Network (FinCEN) and the broader counter-threatfinance ecosystem should launch a new public-private partnership for CTI sharing that can help mitigate detrimental security and financial outcomes. ・ 米国財務省の金融犯罪取締ネットワーク(FinCEN)と広範な対脅威金融エコシステムは、セキュリティと金融の有害な結果を軽減するのに役立つCTI共有のための新しい官民パートナーシップを開始する必要がある。
・ Regulators and sector-specific agencies should incentivize web3 entities to support and participate in independent performance standards and associated audits covering financial transparency and reliability and cybersecurity, as well as transparent compliance mechanisms across the ecosystem through monitoring and reporting. ・ 規制当局とセクター固有の機関は、ウェブ3エンティティが、金融の透明性と信頼性、サイバーセキュリティ、および監視と報告によるエコシステム全体の透明なコンプライアンスメカニズムをカバーする独立したパフォーマンス基準と関連する監査を支援し、参加するようにインセンティブを与える必要がある。
For the U.S. government to take a leadership role in the web3 community, it is important to also implement appropriate protections for individual privacy while advancing these security objectives. 米国政府がweb3コミュニティにおいてリーダーシップを発揮するためには、これらのセキュリティ目標を推進する一方で、個人のプライバシーに対する適切な保護も実施することが重要である。

 

提言...

Policy Recommendations 政策提言
This section summaries a few key policy recommendations that can help energize the web3 cybersecurity community and get the ecosystem started off on the right foot. このセクションでは、Web3 のサイバーセキュリティコミュニティを活性化し、エコシステムを正しい方向に導くのに役立つ、いくつかの重要な政策提言を要約しています。
Recommendation 1: Develop cybersecurity frameworks, standards, and best practices  提言1:サイバーセキュリティのフレームワーク、標準、およびベストプラクティスを開発する 
NIST should develop a detailed cybersecurity framework for web3 technologies that focuses on building, deploying, and operating various aspects of the web3 stack. NIST は、web3 スタックの様々な側面の構築、展開、運用に焦点を当てた、web3 技術のための詳細なサイバーセキュリティフレームワークを開発すべきである。
NIST should develop standards for cybersecurity of blockchain infrastructure, through its Special Publication 800-series. NISTは、Special Publication 800シリーズを通じて、ブロックチェーンインフラストラクチャのサイバーセキュリティのための基準を開発する必要がある。
Through the National Cybersecurity Center of Excellence, NIST should partner with industry to prototype current and emerging web3 use cases and develop best practice guides for their secure deployment and operation. NISTは、ナショナル・サイバーセキュリティ・センター・オブ・エクセレンスを通じて、産業界と提携し、現在および新興のweb3のユースケースをプロトタイプ化し、その安全な展開と運用のためのベストプラクティス・ガイドを開発すべきである。
The NIST Privacy Framework should be extended to include guidelines on implementing decentralized identity protocols that allow citizens to port their identity credentials across application service providers and mitigate theft of personally identifiable information from security breaches. NIST プライバシーフレームワークを拡張して、国民がアプリケーションサービスプロバイダ間で ID クレデンシャルを移植し、セキュリティ侵害から個人を特定できる情報の盗難を軽減できるような分散型 ID プロトコルの実装に関するガイドラインを含める必要がある。
Recommendation 2: Establish FinCEN threat-sharing partnership 提言 2:FinCEN 脅威共有パートナーシップの確立
The U.S. Treasury Department’s FinCEN, in partnership with relevant federal law enforcement agencies, the Office of Cybersecurity and Critical Infrastructure Protection, and financial regulators, should launch a new public-private partnership focused on building out the CTI sharing ecosystem for web3, including both the cybersecurity and financial crimes aspects. This new partnership should work closely with the relevant ISACs and other stakeholders to develop the data sharing standards, processes, and tools to support real-time sharing and analysis of web3-related CTI. Opportunities to engage with international law enforcement agencies should also be explored here to help address the transnational dimensions of the threat landscape. 米国財務省の FinCEN は、関連する連邦法執行機関、サイバーセキュリティ・重要インフラ保護室、および金融規制当局と連携して、サイバーセキュリティと金融犯罪の両方の側面を含む、Web3 の CTI 共有エコシステムの構築に焦点を当てた新しい官民パートナーシップを立ち上げる必要がある。この新しいパートナーシップは、関連する ISAC や他の利害関係者と緊密に連携し、Web3 関連の CTI のリアルタイムの共有と分析をサポートするデータ共有基準、プロセス、ツールを開発する必要がある。また、脅威の状況の国境を越えた次元に対処するために、国際的な法執行機関と協力する機会も検討されるべきである。
Recommendation 3: Incentivize cybersecurity audits and compliance 提言3:サイバーセキュリティの監査とコンプライアンスを奨励する
DHS, in partnership with the Department of the Treasury, should develop a program to monitor infrastructure security for major blockchains and core web3 infrastructure. By publishing this data, infrastructure operators can be motivated to ensure their systems are up to date and secure. DHSは財務省との協力の下、主要なブロックチェーンとコアWeb3インフラのインフラセキュリティを監視するプログラムを開発すべきである。このデータを公表することで、インフラ事業者はシステムを最新の状態にし、安全性を確保するよう動機付けることができる。
As the CFTC and SEC pick up the regulatory reins for the cryptocurrency infrastructure within web3, they should incentivize normalization of smart contract security auditing by requiring it as part of mandatory disclosures and periodic reporting. CFTCとSECがweb3内の暗号通貨インフラに対する規制の手綱を握ると、開示義務や定期報告の一部として義務付けることで、スマートコントラクトのセキュリティ監査の正常化を奨励すべきである。
Regulated entities under CFTC and SEC should be covered entities under the Cyber Incident Reporting for Critical Infrastructure Act of 2022 and be required to report breaches. CFTCとSECの規制対象団体は、重要インフラ・サイバーインシデント報告法2022年法の対象団体とし、違反の報告を義務付けるべきである。

 

 


インターネットガバナンス論については、以下も参考になります。。。きっと。。。

 

まるちゃんの情報セキュリティ気まぐれ日記

・2022.09.07 デジタル政策フォーラム 「インターネットを巡る”国家主権”と”サイバー主権”」 by 谷脇さん

・2022.07.30 インターネットガバナンスに関する論文と中国の世界インターネット会議

・2022.05.24 バイデン大統領の訪日に伴う一連のホワイトハウスの発表

・2021.12.07 2021.12.09,10開催予定 Summit for Democracy 民主主義サミット + 中国的民主主義 + ロシアの批判 + EUの参加報告書+米国政府まとめ

・2020.08.20 ロシアからインターネットを見たら、インターネットの国際的な枠組みを作りたくなりますよね。。。

 

ぐっと遡って...

・2005.09.29 経団連 インターネットガバナンスのあり方について

・2005.03.19 インターネットの管理体制、災害対策などめぐり議論 GIIC年次総会

・2004.12.01 インターネットガバナンスって何だ

 

Web3については、、、

・2022.07.27 米国 FBIによるNFT取引の留意事項... (2022.07.22)

インドのこのガイドは興味深いです。。。

・2022.07.19 インド データセキュリティ評議会 Web 3.0 - The Internet of the New Era (2022.07.06)

・2022.07.14 総務省 「Web3時代に向けたメタバース等の利活用に関する研究会」の開催

・2022.06.28 欧州議会 Think Tank メタバース:機会、リスク、政策への影響

 

 

 

|

« 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09) | Main | 内閣官房 (NISC) 意見募集 「サイバーセキュリティ意識・行動強化プログラム(案)」 »

Comments

Post a comment



(Not displayed with comment.)


Comments are moderated, and will not appear on this weblog until the author has approved them.



« 米国 CISA サイバーインシデント報告法 (CIRCIA) における報告要件に関する意見募集 (2022.09.09) | Main | 内閣官房 (NISC) 意見募集 「サイバーセキュリティ意識・行動強化プログラム(案)」 »